В данной статье я хотел бы рассказать одну историю из моей практики взлома..
Думаю, что случай достаточно интересный и достаточно подробно
рассказывает об одном из методов взлома..

Итак, однажды, студеной зимней ночью, я вышел в инет.. и чуть не опух =)
В общем, постучался на мою шестизнаку кой-то парень и стал спрашивать,
хакер я или нет.. После минут 15 объяснений я понял примерно
следующее: парня выкинули из какой-то фирмы, занимающейся журналами, и теперь он хочет мести (знаете, такой.. не кровавой, но что-то
типа rm -rf =) По его объяснениям я так понял, что есть у той конторы внутренняя сеть и прокся на выход в сеть, т.е. все тачки выходят через
нее в Сеть.. Естественно, что про софтину и сервисы на тачках он ничего не знает, только сказал, что на прокси (она же сервер) "что-то Юниксовое такое" =), а остальные тачки походу виндовые.
Еще из настроек сети он помнит IP внешний и то, что прокси висит на 3128 порту и там юзается логин "proxy" без пароля.
Это мне ничего не дало =(

Полез на свои родные шеллы и стал там творить проверку удаленной сети.
Ничего путного, кроме SSH, Sendmail и кого-то сервера синхронизации времени
найдено не было. SSH был двушечкой, и я тут же вспомнил про
SSH CRC32, однако в то время его у меня не было =( Сендмайл тоже оказался новым.
Если что-то под него и было, то только приватное и
мне недоступное. Синхронизацию я даже трогать не стал, только со своей тачкой сверил...
Ну часы у них почти правильно шли =)

На следующую ночь появляется наша VIP-персона в
Сети (это я в смысле =) и стучится в асю опять тот паренек с вопросом "ну как, ты там все убил?".
В отсутствии результата он стал вспоминть
подробности и оказалось, что на серваке
стоит FreeBSD 4.6-Stable. Спрашиваю чего там такое, он отвечает, что деталь скорее всего не существенная, так как дает только доступ к домашней директории.
Вот тут я, честно говоря, несколько офигел..
Спрашиваю, по SSH? Уверенности в его словах не
было... Вытаскиваю из него логин с пасом, прощаюсь с ним до
следующей ночи и иду ставить туннель до их SSH. 

Кода все было готово, я приконнектился к 22 порту на их сервере и увидел..
Собсно поле "login:" и увидел.. Забил я туда логин, затем в пароль и стал ждать..
Результатом стало все файло /etc/motd и строка шелла,
bash. Сразу заюзал uname -a, а потом who. В системе я был один. Ну посмотрел я результат id, он меня не особо порадовал.
Uid был каким-то 4-значным, ну да это поправимо
=) Интересно было, почему админ не кильнул юзера, ушедшего с работы..
Хотя он там в своей каморке и не знал наверное =)
В общем х\з.Полазил я немного по системе, посмотрел на права, но ничего не придумал..
Юзать сплойт под фрю было последним делом, т.к. админ скорее всего заметил бы эту хрень.
Система была настроена очень и очень прилично, я даже растерялся, думая, что ничего не получится.

На следующую ночь опять беседа с парнем,
опять поход на систему. Заюзал опять who, но на этот раз в системе был еще юзверь.
Посмотрел его id - юзер как юзер. Uid как у меня, и группа такая же.
Я-то думал админ не спит, но видимо кто-то из работников
ночью решил навести сервак =) Полез смотреть что тут есть, чего я не приметил.
Права на su были очень странные - rwxrwxr-x, т.е. была доступна запись для группы.
Может оно так круто, но я лично убиваю нафиг, только рут, нафига группе переписывать эту хрень.
Ладно, это мне еще ничего не дает, я же не в группе админов, а юзверей.
Полез я в /root/ - не пускает. Заполз в /etc/, тут тоже все для группы.
Ну, думаю, усе.. Придется покоцать систему.
Пока искал директорию под сплойт, залез в /var/ и заюзал ls -la
и вот что привлекло мое внимание -  директория backup, у меня потому что такая же =) (только в /root/)
Так вот, залез внутрь оной, заюзал ls и офигел.
Там были tar-ы под именами etc, var, root, usr_bin, usr_local_www. Меня привлекал и манил архив
etc. Распачил я его в свою директорию и стал смотреть
и оказалось, что тут все из /etc/. Удивили меня
права на passwd - rwxrwxrwx. Сразу заюзал cat ./master.passwd и увидел =) логины и хэши.
Переписал это усе себе, почистил хоум и свалил
=)

На своей системе осмотрел потыренный файл, там было достаточно много юзверей и мало демонов.
Нашел народ из wheel (админы), там их было 6 человек.
Ну, думаю, пасы они полюбому юзают крутые (потому запись root даже не стал трогать, хотя ему и по SSH путь закрыт).
В общем посмотрел на хэши, выбрал самый понравившийся ($apr1$zv/.....$iBexp98VRyUK9u.Cvmcwp1) и поставил на утро и часть дня его подешифровать методом научного подбора =), посимвольно короче.
Брутом его, брутом.. Кто хочет можете его
расшифровать сам. Результат должен быть "iadmin", как видите 6
символов. Видимо паренек был очень рад, что он в группе wheel =)

Опять ночь.. И я уже ползу с коварными мыслями на 22 порт.
Идея была достаточно простая: т.к. один из wheel-ов может писать в su, то просто заменить оную команду на свою, которая и запишет мне куда-нить пасс.
Зашел я под юзером slava, чей пасс недавно дешифрил, заюзал id, группа wheel, ну думаю, хана тут усем =)
Уже было полез, да по пути заюзал who и несколько остановился.
Дело в том, что юзер slava уже сидел на другой консольке (виртуальной).
Решил немного подождать, пока он свалит, либо, если он не ведет активных действий, продолжить. Перелогинился под логин уволенного работника, стал ждать.
Около минут 20 никаких действий наш iadmin не проводил.
Я уже собирался продолжить, но тут он стал копашится.
Еще минут через 15 он вышел. В системе я остался один, по показаниям who.
Полез под логином slava, к команде su.

Заодно, посмотрел чего еще можно. Я, конечно, знаю, что я извращенец, но я заюзал cat su =)
А вот то, что я там увидел несколько помутило мой рассудок.
Там был исходник на Си того, чем я хотел оную команду заменить!
Причем лог должен был идти в /home/slava/tmp/bash.log.
Сделал cat /home/slava/tmp/bash.log - ничего. Тут меня немного покорежило от мысли, что "уволенный" мог просить о чем-то не только меня.
И что в системе реально работают как минимум два человека на одну цель.
Видимо и способы одинаковые.. Замена su.. Сотворил я такую фичу
- скомпилил свою su с записью логов ко мне, а в файле bash.log начепятал
"Уважаемый Хакер, ваши действия были раскрыты, ваши данные были сообщены в компетентные органы.. Удачи вам. Администратор." Я, конечно, понимаю, что это не хорошо, но все-таки..
Конкурент типа =) 

Ну вот и наступила последняя ночь пребывания в системе.
Точнее, я был уверен, что последняя. Залез я под "уволенным", благо на файл лога поставил rwxrwxrwx.
Сделал cat, есть пароль, заюзал who - свободно. Перелогинился, заменил su нормальным, убил лог.
Заюзал "su -", набрал пасс.. Есть рут! В систему в это время вошел некто slava. =)
Ну, думаю, как быстро он выйдет. Он остался минут на
30, а затем вышел. Я хотел сделать cat его лога, но лога уже не было.
Посмотрел на su - нормальная. Ну, думаю, парень сейчас жестяк кромсает.. =)

Залез я в /root/ огляделся. Кроме порнухи (ну или че там в "xxx" такое =) нашел всякие доки.. маны.. короче хрень всякую.. =)
Нашел там бэкап всей /home/. Побродил по хомам, слил кую-то инфу.. (на следующий день удалил - ну совсем отстой =), почистил на системе логи.. дальше в сеть не полез..
Я так понял, там пара бесдисковых терминалов и пара ПК, все сводится к серверу.
В общем стукнул в асю тому парню, чего делать-то
надо? Он сказал, что хорошо бы там все убить нафиг.
Ну.. Все не стал, кильнул только /root/, думаю, админу этого хватило =), кильнул их проксю, апач (а нафига оно тут
нужно? =), зачистил до блеска логи и вышел.
Перед этим заменив /etc/motd - поставил туда обращение к юзерам =),
типа пипец тут всем и все такое.. =)

Dark_Ghost (dark[at]sunlimited[dot]ru)
Sunlimited security team [www.sunlimited.ru]

Check Also

Фреймворки для постэксплуатации. Выбираем между Metasploit, Cobalt Strike, Merlin, Apfell, Faction C2, Koadic и другими

В этой статье мы поговорим о фреймворках, которые помогут эксплуатировать уязвимости, закр…

Оставить мнение