Просто search
Одним серым холодным осенним вечером хакер бродил по просторам сети и пытался найти себе работу. Случайно, на одном форуме он наткнулся на
интересную запись. Требовалось взломать какой-то компьютер и достать некоторую информацию. E-mail прилагался. Хакер наскоро написал письмо будущему
заказчику и отправился спать. На следующее утро наш сетевой партизан выбрался из своего окопа и стал смотреть почту. Заказчик просил взломать один компьютер под управлением ОС Windows 2000, который находился в локальной сети одной компании, но у них был Веб-сервер, находившийся в одной сети с остальными машинами. То есть необходимо было взломать как минимум две тачки. Не зря, наверное, заказчик обещал за выполненную работу 500 зеленых заморских буржуев. Хакер начал с Веб-сервера. Зайдя на один из своих шелов он просканировал потенциальную жертву тулзочкой nmap. Как видите, ничего лишнего не было.
Анализ и проникновение
Сняв баннеры с портов и проанализировав данные хакер понял, что система достаточно часто пропатчивается, да и в общем сервисы висели новенькие. Следовательно, оставалась надежда на Веб-сайт. Выбрав подходяший прокси-сервер, хакер зашел на сайт и начал серфить по линкам. Оказалось, что на этом сервере несколько виртуальных WWW серверов. Хацкер проверил парочку сайтов и не нашел ничего кроме скучных HTML файлов. И,
наконец, на третий раз ему повезло. Он набрел на линк вида: http://targethost/cgi-bin/cat.cgi?f=news. После нескольких небольших комбинаций линк был приведен к виду: http://targethost/cgi-bin/cat.cgi?f=../../../../../../etc/passwd%00. Что это давало? Чтение файлов и листинг директорий на сервере в рамках прав пользователя Nobody. Правда, единственный файл, показавшийся интересным, был тот самый /etc/passwd. Никакие интересные логи, вроде .bash_history и т.д., прочитать не удалось. Наш кулхацкер составил небольшой текстовик с логинами пользователей. В виде файла паролей он выбрал тот же текстовый файл и натравил брутофорс на FTP сервис. Оказалось, что пользователь "sasha" выбрал в виде пароля к учетной записи именно слово "sasha", т.е. свое имя. Мало того, Санек имел шел /bin/bash. Хакеру повезло, что ssh не фильтровался фаерволом. Наш партизан зашел на сервер посредством своего любимого Putty. Нет, все у него с ориентацией нормально,
Putty - это такой SSH, Telnet, Rlogin и Raw клиент. Что же обнаружил хакер?
Сервер стоял на линуксе с ядрышком 2.4.20. Права за минуту были подняты до root с помощью банального ptrace-kmod бага. Взломщик
просканировал со взломанной машины внутреннюю сеть. У его жертвы (напомню, что требовалось взломать компьютер из внутренней сети под управлением ОС Windows) оказались открыты порты
135, 139. Тачка жертвы не поддалась никаким RPC-эксплоитам и подобной ерунде. Что же делать? В сети были шесть машин с подобными сервисами. Ясно было то, что диски всех этих шести компьютеров расшарены друг для друга. Нужен был всего-то пароль. С логином проблем не было, т.к. существовал доступ по нулевой сессии. Благодаря данному недочету можно узнать имена учетных записей и много еще чего интересного. Хакер решил отложить подбор паролей на
следующий раз и оставил сеть на этот день в покое.
Повезло
На следующий день хакер начал брутофорсить пароль уже со взломанного сервера. Он опробовал несколько словарей, но все попытки были тщетны. Взломщик поставил подбор не по словарю, а методом тупого перебора английских символов и запустил процесс в бэкграунд. Спустя еще один день он решил проверить результаты - ничего. Он опять просканировал сеточку с надеждой найти что-то новое и нашел. На одной из шести виндузных машин (к сожалению не на той, что интересовала его) он увидел, что появились такие сервисы как chargen (19/tcp), smtp (25/tcp) и т.д. Взломщика это удивило! И он решил тщательно проверить эту машинку. Оказалось, что доступ к ресурсам этого компьютера по NetBios был доступен с логином "Администратор" и пустым паролем. Почему так вышло? Дело в том, что именно сегодня
администратор по каким-то своим причинам решил переустановить операционную систему на компьютере, полез за патчами и прочими вещами, а пароль еще не установил. Хакер решил проверить содержание диска на наличие интересных документов, но там были некоторые бухгалтерские отчетности и несколько игрушек. Вывод: на данном
компьютере работает бухгалтер, человек менее всего ознакомленный с основами IT-Security. Интересно то, что администратор устанавливал ОС Windows 2000 на файловую систему FAT32.
Как уже было упомянуто, на машине присутствовали игры. Так вот, exe-шник одной из этих игр хакер решил заменить на самописный троян. Он открывал командную строку на порту 31337, помимо этого содержал клавиатурный шпион. На всякий случай хакер захватил хеши учетных записей с этой машинки и вышел из сети.
Собираем урожай
Долго ждать не пришлось. В конце недели бухгалтер решил поиграть в свои игры. К счастью, на
данной машине антивирус не присутствовал, поэтому все сработало. В кейлогах хакер нашел пароль в открытом виде от одной из учетных записей (пользователь Engene). Сеть состояла из шести машин под управлением ОС Windows и нескольких по управлением Linux. На всех этих шести машинах под вынь имелось по пять учетных записей. Ясно было то, что если на всех компьютерах есть аккаунт "Engene", то пароль везде будет одинаков. Хакер быстро зашел на диск нужной ему машины под логином "Engene", слил нужные документы и отправил письмо
заказчику. Через два дня на указанный им счет были переведены 500 баксов.
