telnet - враг твой, провайдер!

Xakep, номер #033, стр. 033-050-1

X-KoDeX (root@hack4joy.com)

На хак-зарядку становись!

Когда приходит вдохновение на взлом? Естественно, когда пиво заканчивается, а водку организм принимает за страшнейший яд, но все равно истребляет без следа... Вот тогда, во времена тяжкие, организму открываются сотни консолей, стартуют компиляторы, посещаемость багтреков увеличивается вдвое. Тогда и я принялся за дело. Да и настроение в тот вечер было не очень, и я, плюнув на все (кроме подруги, естественно, та как раз закончила 3-ю симфонию на трубе :), пошел домой, в Сеть. На Ирке, как всегда, был дурдом, по-моему даже боты были далеко не трезвы :). Почитав ньюсы, ответив на мыла, полазив по форумам, понял, что "делать что-то надо". Человек сам себе хозяин, и в каком он настроении (ну и состоянии, естественно ;), зависит только от самого человека. А скучать мне не по кайфу, вот и понеслось...

Карточная система

Меня давно интересовала относительно новая система "Internet по карточкам", и серванты авторизации еще не были опробованы мною на вкус. Решил я эту брешь закрыть посредством проверки на вшивость одного из таких провов.

Взял IP одного кекса из аськи, так как он недавно жаловался, что карточки подорожали, денег не хватает, и нес другую суицидальную чушь. Потом зашел на http://www.ripe.net/whois,

узнал весь диапазон адресов.

Пров был небольшой, имел всего лишь один range IP-адресов класса С и пул на 160 мопедиков (но это я узнал чуть позже). Дальше в ход был пущен NsBatch (DNS-сканнер такой),

хотя можно было юзать и ShadowScan, там тоже есть такая фича, как "массовый" nslookup :). Вводишь диапазон адресов, и сканнер вытягивает с DNS-сервера имена этих самых хостов. После выдачи имен пришло какое-то "нейтральное" чувство, так как вся система прова была настроена довольно стандартно:

NS1 - 212.*.*.1

NS2 - 212.*.*.2

Default Gateway - 212.*.*.3

POP/SMTP/NEWS - 212.*.*.4

WWW/Shells/Proxy - 212.*.*.5

На первых 2-ух сервантах стояла ФриБздя 4.0 (FreeBSD), на остальных Шапка 6.2 (Red Hat). Везде был открыт 22 порт и портянки стандартных демонов. Маленькое примечание: на "пятом" серванте еще работал rsh (514 порт). И все.

Проверку на дырявые cgi-скрипты решил оставить на потом, так как меня этот метод не особо пробивает. Остановил свое внимание на 212.*.*.5 . Открыты там были 21, 22, 23, 80, 3128 и 514 порты.

Telnetd/ftpd/spirtd и другие глупые демоны

Полез чесать, точнее чекать любимое место :). FTP-демон был версии wu-ftpd 2.6.0(1). Решил зайти туда, пров оказался добрым и предоставил стандартный набор прог и доков (вроде SPx, всяких upgrade'ов, патчей и т.д.) анонимному юзверю. Самое прекрасное было то, что присутствовал каталог incoming, зачем его админ поставил - было непонятно. И тут в голову ударила мысль! Вспомнил классическую атаку, основанную на ошибке в telnetd. И осуществил ее!

В чем заключается суть дыры?

Протокол телнета позволяет изменять в переменных окружения пути к библиотекам идентификации. А как "изменить", читай затроянить, LIBы проверки логина и пароля - ][ писал в одном из недавних номеров. В принципе, у каждого хакерюги должны быть "под рукой" такие библиотеки для различных ОС. Лучше потратить сутки на поиск, зато они всегда потом будут рядом.

Содержание  Вперед на стр. 033-050-2

ttfb: 2.885103225708 ms