Месть хакера - Работодатель в позе

Master-lame-master

Xakep, номер #058, стр. 058-048-1

Нашумевшие истории крупных взломов

Одному хакеру досталась непростая работа - слить базу данных у крупного хостинга. После двух бессонных ночей он полностью выполнил задание и отправил заказчику огромнейшую базу электронных адресов и кредитных карт. И все бы хорошо, но взломщика кинули - он не получил свои $500 за проделанную работу. Работодатель смылся и не отвечал на e-mail и ICQ. Деньги с заказчика пришлось получать иным путем...

RPC-эпидемия

Перелистывая виртуальные страницы свежего выпуска рассылки bugtraq, хакер наткнулся на шокирующую новость - был зарелизен эксплоит под RPC-уязвимость. Суть бреши не разглашалась, но по описанию было ясно, что именно делает эксплоит. Он предоставлял удаленный шелл с правами администратора на 4444 порту. Эта новость очень заинтересовала взломщика. Сконнектившись с шеллом, хакер скачал, скомпилил и запустил RPC-DCOM эксплоит.

Хакер давно заприметил одну биллинговую систему под управлением WinXP и решил испытать эксплоит на ней. К тому же взломщик знал версию операционки с точностью до сервиспака. Таким образом, он зашел на свой шелл и запустил эксплоит с двумя параметрами: IP-адрес машины и версия WinXP SP1.

Как и ожидалось, наш герой получил удаленный доступ к машине. Он знал, что администраторы этой компании весьма бдительны и заметят любой троянец в системе. Рисковать хакер не хотел, поэтому от установки бэкдора он отказался. Бродя по дискам на машине (их было 4, включая CD-ROM), хакер не нашел ничего интересного, хотя надеялся, что на сервере хранятся всякие базы с полезной инфой. Получасовой поиск не дал никаких результатов - на сервере были только служебные программы, типа 1C, Гарант и т.п.

Погружаемся в сеть!

Взломщик уже собирался уходить. Напоследок, не ожидая каких-нибудь суперрезультатов, он выполнил команду netstat -r. Если ты немного разбираешься в консольных приложениях винды, то знаешь назначение этой утилиты. Она показывает таблицу маршрутов в системе (ее аналогом является команда route PRINT). Вывод команды заставил хакера призадуматься, так как WinXP была подключена в большую локальную сеть. Он решил проверить всю локалку на RPC-уязвимость, для чего залил виндовый эксплоит KAHT2 на сервер. Теперь хакеру оставалось лишь запустить его с параметрами начального и конечного IP-адреса, а также задать количество потоков для сканирования. Взломщик натравил эксплоит на подсеть 10.0.0.0/24 (внутренние IP’шники биллинга).

Новая жертва

Через несколько минут хакер получил шелл на рабочей станции с адресом 10.0.0.12. Как он понял, там вертелась такая же WinXP, что и на предыдущей тачке, только без сервиспаков. Первым делом взломщик решил проверить содержимое дисков на взломанной машине. Ничего интересного не нашлось, кроме нескольких ICQ-логов, в которых содержалось обсуждение какого-то письма. На первый взгляд хакеру показалось, что он попал в обычную юзерскую систему. Но перед выходом наш злодей все-таки решил проверить наличие файла wcx_ftp.ini (о его предназначении ты можешь прочитать в прошлых этюдах). Файл был обнаружен, более того, в нем хранились инфа о различных соединениях к серверам, причем с паролями. Расшифровав все пароли, хакер завладел несколькими FTP (а впоследствии и shell) аккаунтами на различных серверах. Любопытство взяло верх, поэтому, несмотря на логи, взломщик соединился с одной из машин.

Содержание  Вперед на стр. 058-048-2
ttfb: 113.83295059204 ms