Метавеселье на практике

etoo

Хакер, номер #086, стр. 086-074-1

Практическое использование уязвимости в обработке WMF-файлов

Ты, без сомнений, слышал о новом мегапопулярном баге в продуктах Microsoft, позволяющем творить настоящие чудеса. Закачать посетителю страницы трояна? Без проблем! Организовать conback-доступ к шеллу? Какие вопросы! Утащить пароли и все такое прочее? Элементарно! Баг, ставший публичным в самый разгар новогодней шумихи, продолжает и по сей день грозить пальчиком всем пользователям Windows, не следящим за обновлениями системы. Сейчас я расскажу о том, как сетевые отморозки, негодяи и прохиндеи на практике используют зловредный сплоит.

ты уже понял?

Да, конечно, понял. Речь идет о тех самых багах при обработке WMF-файлов, которым посвящена огромная статья Криса Касперски в этом номере. Там Крис рассказывает об историческом происхождении этого бага, показывает, как его используют черви для распространения и как работают все увиденные им сплоиты. Но все то, о чем он там говорит, носит серьезный системный характер. Сегодня наша цель — разобраться с тем, как сетевые засранцы на практике используют опубликованные в Сети эксплойты. Скажу даже больше: я сам отношусь к этим сетевым паразитам и поэтому изложение буду вести от первого лица. Расскажу о том, как я веселился над своими друзьями.

первым делом

Что нужно сначала сделать? Правильно: сначала надо скачать сплоит с любого из многочисленных сайтов, где он выложен. Я воспользовался следующим линком: www.securitylab.ru/poc/extra/243579.php. Если тебе лень его перебивать из журнала, то можно воспользоваться поиском на сайте или просто взять сорец сплоита с диска. Не забывай,используя его, ты сам несешь за это всяческую этико-уголовную ответственность.

При первом взгляде на сплоит у непосвященного человека возникает ряд вопросов. В самом деле, что означают строки в начале сплоита?

package Msf::Exploit::ie_xp_pfv_metafile;

use strict;

Что-то непонятное. Беглый осмотр программы позволяет высказать предположение, что это Perl-скрипт. Однако почему нет знакомой строки с указанием пути к интерпретатору? Что-то здесь не так. И действительно, чтобы разобраться с этим, нужно перевести английский текст в заголовке сплоита: «Этот файл — часть Metasploit Framework и может распространяться так, как тебе хочется; последнюю версию Framework можно слить с www.metasploit.com». Это жизнеутверждающее предложение, наверное, заставило тебя задуматься еще больше. Если так, то тебе будет полезно узнать побольше о Metasploit Framework. Почитать об этом амбициозном проекте можно в соответствующей врезке. А я перехожу к зловредной практике :).

зло-практика

Проект метасплоит целиком написан на перле, поэтому выполнять его можно почти на любой платформе. Мне для этого удобно воспользоваться шеллом на машине под FreeBSD.

Скачиваем проект:

wget http://www.metasploit.com/tools/framework-2.5-snapshot.tar.gz

Разархивируем его:

tar xzvf framework-2.5-snapshot.tar.gz

cd framework-2.5

В директории с проектом ты найдешь немало файлов и папок. Папка со сплоитами называется вполне адекватно - exploits :). Именно там лежат все доступные сплоиты, каждый с расширением pm. Если ты сделаешь ls в этой папке, то увидишь среди прочих эксплойт с именем ie_xp_pfv_metafile.pm. Это и есть та отмычка, о которой мы сегодня говорим. Как видишь, новый сплоит уже загружен в базу и ждет, когда мы его заюзаем.

Содержание  Вперед на стр. 086-074-2
ttfb: 3.6180019378662 ms