Пробой в локалке

Master-lame-master

Xakep, номер #060, стр. 060-058-1

Как не надо тестить свои скрипты

Многие важные сервера крупных компаний прячутся в локальных сетях, чтобы скрыться от назойливых хакеров. Но всегда есть вероятность проникновения очередного zl0-h4x0r в апартаменты локального сервера. Конечно, многое зависит от стечения обстоятельств и опыта самого хакера. В доказательство своих слов хочу привести пример реальной истории взлома виндового сервера коммерческой компании через smbd в Linux.

Азарт программиста

Слоняясь по каналам крупной IRC-сети EFNet, хакер-одиночка пытался найти интересные каналы по кодингу. У него назрел один вопрос по написанию собственного эксплоита под свежую багу. Через 10 минут он сидел на крупном канале русских кодеров, где активно обсуждали какую-то проблему.

Один из посетителей канала писал свою поисковую систему по FTP-серверам, причем делал это весьма увлеченно. Чувак кинул ссылку на свое творение и попросил протестить скрипт. Наш герой жмакнул на эту ссылку. В браузере отобразилась форма для ввода запроса с кнопкой «Найти!». «Почему же не помочь человеку?» - подумал взломщик и ввел слово для поиска «mp3». Спустя пару секунд скрипт отобразил около сотни результатов, ссылки на которые заставили хакера призадуматься. Дело в том, что программист тестировал скрипты на своем FTP-сервере, пользуясь собственным аккаунтом для входа в систему. Найдя таким образом пароли в открытом виде, хакер полез на 22 порт машины, чтобы проверить валидность аккаунта. Его поджидал облом-с – пароль оказался неверным.

Дуршлаг на 21 порту

«Не пускает на SSH, попробую на FTP», - подумал хакер и ввел консольную команду telnet server 21. В ответ взломщик получил дефолтовый баннер демона ProFTPD 1.2.8. Если раньше ProFTPD был супернадежным, то на данный момент в нем обнаружено множество ошибок, приводящих к получению root-access. Взломщик знал о существовании нового эксплоита для ProFTPD от Haggis, который включал в себя брутфорс нужного адреса возврата (www.security.nnov.ru/files/proft_put_down.c). Последний позволял переполнить буфер в демоне и выполнить произвольный код с правами рута. В итоге хакер заполз на свой шелл, скачал и запустил эксплоит.

Такой взлом мог закончиться как запуском /bin/bash, так и неудачей. Используя эксплоит впервые, наш ковырятель сайтов склонялся именно ко второму варианту. Но ему повезло - эксплоит нашел нужный адрес возврата, после чего был запущен рутовый шелл.

Танцуем самбу

Почистив логи на тачке, чтобы не подставлять свою задницу, хакер приступил к детальному изучению сервера - определить, какую, собственно, пользу он получит от взломанной системы. По команде «ps ax» обнаружился запущенный процесс самбы. Это стало интересным. По конфигурационным файлам хакер определил, что smbd был запущен в качестве Primary Domain Controller. Причем самба обслуживала домен SECURE.

Взломщик уже сталкивался с подобной ситуацией и знал, что если есть домен, то существуют и клиенты, которые заходят на него. При этом учетные записи этих клиентов находятся на главном сервере, который хакер только что порутал. Дело оставалось за малым - найти виндовые машины и зайти на них под паролем администратора.

Содержание  Вперед на стр. 060-058-2
ttfb: 11.757135391235 ms