Месть хакера - Работодатель в позе

Master-lame-master

Xakep, номер #058, стр. 058-048-1

Нашумевшие истории крупных взломов

Одному хакеру досталась непростая работа - слить базу данных у крупного хостинга. После двух бессонных ночей он полностью выполнил задание и отправил заказчику огромнейшую базу электронных адресов и кредитных карт. И все бы хорошо, но взломщика кинули - он не получил свои $500 за проделанную работу. Работодатель смылся и не отвечал на e-mail и ICQ. Деньги с заказчика пришлось получать иным путем...

RPC-эпидемия

Перелистывая виртуальные страницы свежего выпуска рассылки bugtraq, хакер наткнулся на шокирующую новость - был зарелизен эксплоит под RPC-уязвимость. Суть бреши не разглашалась, но по описанию было ясно, что именно делает эксплоит. Он предоставлял удаленный шелл с правами администратора на 4444 порту. Эта новость очень заинтересовала взломщика. Сконнектившись с шеллом, хакер скачал, скомпилил и запустил RPC-DCOM эксплоит.

Хакер давно заприметил одну биллинговую систему под управлением WinXP и решил испытать эксплоит на ней. К тому же взломщик знал версию операционки с точностью до сервиспака. Таким образом, он зашел на свой шелл и запустил эксплоит с двумя параметрами: IP-адрес машины и версия WinXP SP1.

Как и ожидалось, наш герой получил удаленный доступ к машине. Он знал, что администраторы этой компании весьма бдительны и заметят любой троянец в системе. Рисковать хакер не хотел, поэтому от установки бэкдора он отказался. Бродя по дискам на машине (их было 4, включая CD-ROM), хакер не нашел ничего интересного, хотя надеялся, что на сервере хранятся всякие базы с полезной инфой. Получасовой поиск не дал никаких результатов - на сервере были только служебные программы, типа 1C, Гарант и т.п.

Погружаемся в сеть!

Взломщик уже собирался уходить. Напоследок, не ожидая каких-нибудь суперрезультатов, он выполнил команду netstat -r. Если ты немного разбираешься в консольных приложениях винды, то знаешь назначение этой утилиты. Она показывает таблицу маршрутов в системе (ее аналогом является команда route PRINT). Вывод команды заставил хакера призадуматься, так как WinXP была подключена в большую локальную сеть. Он решил проверить всю локалку на RPC-уязвимость, для чего залил виндовый эксплоит KAHT2 на сервер. Теперь хакеру оставалось лишь запустить его с параметрами начального и конечного IP-адреса, а также задать количество потоков для сканирования. Взломщик натравил эксплоит на подсеть 10.0.0.0/24 (внутренние IP’шники биллинга).

Новая жертва

Через несколько минут хакер получил шелл на рабочей станции с адресом 10.0.0.12. Как он понял, там вертелась такая же WinXP, что и на предыдущей тачке, только без сервиспаков. Первым делом взломщик решил проверить содержимое дисков на взломанной машине. Ничего интересного не нашлось, кроме нескольких ICQ-логов, в которых содержалось обсуждение какого-то письма. На первый взгляд хакеру показалось, что он попал в обычную юзерскую систему. Но перед выходом наш злодей все-таки решил проверить наличие файла wcx_ftp.ini (о его предназначении ты можешь прочитать в прошлых этюдах). Файл был обнаружен, более того, в нем хранились инфа о различных соединениях к серверам, причем с паролями. Расшифровав все пароли, хакер завладел несколькими FTP (а впоследствии и shell) аккаунтами на различных серверах. Любопытство взяло верх, поэтому, несмотря на логи, взломщик соединился с одной из машин.

Содержание  Вперед на стр. 058-048-2
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001