Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #67, ИЮЛЬ 2004 г.

Cisco под прицелом

Master-lame-master

Xakep, номер #067, стр. 067-038-1

Истории хакерского деструктива

Самая эффективная защита против нашумевших уязвимостей в Win2k - это принудительная фильтрация подключений на 135 порт со стороны провайдера. Но, как показывает практика, и эту, казалось бы, бетонную преграду при желании можно обойти. В этой статье я расскажу про то, как одному хакеру удалось преодолеть файрвол на центральном маршрутизаторе.

Saccer vs Lsass

Совсем недавно мир узнал об очередном баге в Windows. На этот раз дядю Билли огорчил сервис Lsass, в одной из функций которого было обнаружено переполнение буфера. Об этой уязвимости мы уже не раз писали на страницах журнала, поэтому ее принцип я рассматривать не буду.

Началось все с того, что нашему герою потребовалось получить доступ к компьютеру одного своего недруга, где хранились очень ценные сведения, нужные взломщику позарез. Поскольку хозяин компьютера был довольно инертным человеком, который не только не читал багтраки, но и никогда в жизни не ставил на свою машину ни одного патча, то любой злоумышленник мог легко к нему наведаться. Хакер слил удобный виндовый эксплойт для lsass.dll (www.openwww.net/soft/HOD-ms04011-lsasrv-expl.exe), выбрал нужный таргет (он знал, какая операционка стоит у жертвы) и запустил его. Казалось бы, все, сейчас цель будет достигнута, но не тут-то было! Эксплойт ругнулся на то, что не может присоединиться к 135 порту на удаленной машине - по всему было видно, что этот порт фильтровался. Это очень сильно удивило взломщика, поскольку он точно знал, что на компе жертвы не стоит файрвола. Просканировав ломаемую машину, хакер выяснил, что все остальные порты (даже 139 и 445) открыты, что было также очень странно. Тогда он решил посмотреть, нет ли в сети провайдера машин с открытым 135 портом - оказалось, что на всех компьютерах этот порт был закрыт. "Что за черт!" - подумал взломщик. Дело оказалось в следующем. В сети провайдера уже вовсю орудовал червяк Saccer, юзающий уязвимость в Lsass. Поэтому провайдер решил, что проще закрыть всем клиентам 135 порт, чем учить их качать заплаты на ОС. Правы ли были админы или нет - вопрос спорный. Но факт остается фактом - взломщику все-таки удалось обойти эту, казалось бы, непробиваемую защиту.

В поиске источника

Несмотря на все сложности, взломщик не расстался с мыслью о взломе недруга. После некоторых раздумий хакер решил найти машинку, которая режет все коннекты на 135 порт. Он сделал трассировку до айпишника жертвы и обратил внимание на предпоследний хоп. По-видимому, за этим адресом скрывался какой-то провайдерский роутер. Сканирование nmap'ом показало, что, действительно, соединение со 135 портом режет циска. Хакер очень не любил подобные железки и отказался бы от идеи взлома, если бы не обратил внимание на список открытых портов...

На циске был открыт 23 порт, что говорило о наличии telnetd, демона для удаленного администрирования роутера. После подключения к телнету система потребовала от хакера пароля, которого он, естественно, не знал. Первый метод, о котором подумал наш герой, - жесткий брутфорс, однако применять грубую силу с помощью самопальной утилиты (у хакера не было брутфорсера для Cisco) не хотелось. Поэтому сетевой партизан решил поискать другие пути решения этой занимательной задачи :).

Содержание  Вперед на стр. 067-038-2
ttfb: 3.5951137542725 ms