Взлом Ms Windows NT, 2k, XP

Ну а в этой части мы изложим основные принципы взлома защиты сетевых операционных систем Windows NT, Windows 2000, и сответственно особо не оличающимся от них в этом плане Windows XP. Взлом Microsoft Windows 2000Часть 1: Основные принципы взлома защиты сетевых операционных систем Windows NT и Windows 2000 В этой части мы изложим основные принципы взлома защиты сетевых операционных систем Windows NT и Windows 2000. Почему нами выбрана группа операционных систем Windows NT/2000? Семейство операционных систем Windows NT/2000 (в дальнейшем просто Windows NT, т.к. Windows 2000 является по своей сути пятой версией NT) имеет богатейшие возможности работы с конфигурацией операционной среды, поддерживает устаревшее программное обеспечение для операционных систем DOS, Windows З.хх/95/98, что влечет за собой возможность с большей вероятностью найти в защите системы слабое место. Всегда надо помнить принцип: Обычно ломается лифт, а не лестница. Следовательно, чем проще, тем надежней. Вторая причина, почему мы остановили свой выбор на семействе Windows NT - из-за популярности этих систем и распространенности их в мире. С одной стороны, украсть информацию из Windows NT/2000 затруднительно, т. к. сложность похищения информации вызвана, конечно, не безупречностью TCP/IP стека Windows NT, a его убогостью и отсутствие в стандартной поставке сетевых демонов и крайне ограниченный набор клиентских утилит (host, nslookup, talk и т.д.). Хакеры со всех концов света обратили на нее свое внимание и, естественно, нашли и находят прорехи в системе безопасности Windows NT. Методы взлома, изложенные здесь, будут доступны для хакера не высокой квалификации. Те программы или средства, которые потребуются для подрыва защиты и проникновения в систему можно свободно найти на страницах Interneta. Кроме того, еще не все системные администраторы осознали необходимость комплексного подхода при защите информации для сетей под Windows NT. Обычно затраты на сохранность ценностей составляют от Ю до 30% от их стоимости. Но как оценить интеллектуальную собственность? Тут вступает в действие всемирный пофигизм, вот он - главный друг хакера. Безопасности компьютерной системы или сети обычно присущи три составляющие: 1. Физический доступ к компьютеру; 2. Доступ в локальной сети; 3. Доступ в глобальной сети. Эти три составляющие очень тесно связаны между собой, поэтому мы последовательно рассмотрим их. Приведенные ниже способы преодоления защиты этих трех уровней помогут понять сам принцип взлома системы. Кроме того, хакерские инструменты первого и второго уровня часто могут помочь взломщику компьютерных систем, если он работает удаленно через Internet. Сделаем небольшое отступление. Необходимо понять один простой принцип. Все течет, все изменяется, и на любые каверзы хакеров умные программеры и системные администраторы придумают свои препоны и защиты. Но принцип взлома они победить не смогут, ибо, что один человек сделал, другой завсегда разобрать сможет. А те программы, которыми необходимо пользоваться, могут устареть или те конкретные дыры в защите, описанные в этой главе, через некоторое время будут залатаны песочно-бизэшным Билли... Начнем с простого. Часть 2: Физический доступ к компьютеру Что такое физический доступ к компьютеру? Это значит, что вы имеете доступ к компьютеру, на котором находится интересующая вас информация. Причем доступ этот физический, т.е. вы можете подойти к этой машине, потрогать ее ручками. Желательно, чтобы трогание ручками было воспринято окружающими без эмоций, а лучше вообще не воспринято, т.е. вы там частый гость, или лучший друг своего недруга (зачем друзей подставлять), или.., ну в общем, вы - ужас, летящий на крыльях ночи, никем не замеченный. Вот что значит физический доступ. Сначала немного общеобразовательных моментов. В семействе операционных систем Windows NT реализована возможность контроля за локальным доступом (т.е. доступом к локальному диску, винту, если так понятнее). Реализуется эта возможность с помощью новой (по сравнению с FAT) файловой системой NTFS на основе расширений файловой системы. Вообще-то, Windows NT поддерживает две системы FAT и NTFS. Поэтому мы рассмотрим способ взлома сначала для FAT. Самый простой и надежный - загрузка с дискеты и копирование данных на zip-дисковод. Таким образом, вам становится доступным вся та часть информации, которая хранится с помощью FAT. Но такую халяву вам вряд ли когда подсунут. Скорее всего придется повозиться с NTFS. Вот тут и начинается наша песня. NTFS используют всегда, когда требуется защитить информацию и распределить доступ к ней. Но вот беда - все это работает только при работе под Windows NT. А вот если вам удастся загрузить MS-DOS , дискеты, то любая информация из разделов, работающих под NTFS, может быль считана с помощью драйвера NTSFDOS.EXE (автор - Mark Russinovich, поклон ему земной). И никакая система безопасности Windows NT тут не поможет, ну кроме злобного сисадмина, который с дубинкой дежурил бы рядом. Но, естественно, нужен дисковод. Если его нет, а такое может быть, или он каким-то образом вам не доступен, и такое может быть тоже искать не судьба - надо искать другой способ. Ну, вот вы незаметно загрузились с дискеты, запустили программку NTSFDOS.EXE и обнаруживаете, что ничего не видите или видите, но понять или прочесть не можете. А это значит, что сисадмин оказался чуть-чуть умнее, чем мы предполагали, и зашифровал информацию на диске посредством программных или аппаратных средств. Зашифровать он ее мог или средствами какой-либо посторонней программы (аппарата) или с помощью Windows NT (такая возможность уже появилась в Windows 2000). Так как мы в этой главе освещаем методы взлома Windows NT, то про методы взлома систем шифрования мало чего скажем. Мы просто перечислим некоторые из них: SeNTry2020(http://www.sonwinter.com); SecurityPlus (http://www.softbytelabs.com); Cryptext (http://www.tip.net.au/~njpayne). А если вдруг объектом вашего внимания стала машина, находящаяся на госпредприятии или на предприятии, на котором размещен госзаказ, то можно однозначно определить, что используемая там система шифрования - "Верба-OW" (http://www. security, ru), которая сертифицирована ФАПСИ. Конечно, это может быть и не эта система шифрования, но обязательно сертифицированная ФАПСИ. А таких систем не так уж много. Да и список таких систем можно легко узнать, так как нет лучшей рекламы для продажи, чем сертификат ФАПСИ. В том случае, если информация зашифрована с помощью какой-либо программы, то самый простой способ - это найти ключ, способ потруднее - его отгадать. А вот если установлено аппаратное шифрование, то тут без ключа никак не обойтись. Ключ может быть программный, выносной (на внешнем носителе) и комбинированный. У нас и России распространены шифрующие контроллеры дисков серии КРИПТОН, имеющие сертификат ФАПСИ. Если вам удалось получить физический доступ к информации на машине, то вы приступаете к следующей стадии взлома системы, а именно получению паролей пользователей системы и/или прав администратора. Существует такой файл SAM, в нем хранятся учетные записи пользователей и их пароли. Получить к нему доступ возможно, загрузившись с дискеты и скопировав этот файл. Сам файл располагается в каталоге WINNT SYSTEM32CONFIG. Когда Windows NT запущена и работает, доступ к файлу SAM, который располагается в директории WINNTSYSTEM32CONFIG, имеет только администратор, но файл можно скопировать, загрузившись с системной дискеты. Если вам удалось заполучить файл SAM, то для взлома вы можете использовать программу LOPHTCrack. Найти ее возможно в поисковой системе Rambler.ru или Alta Vista. Ниже приведено более подробное описание данной программы. Для того чтобы избежать просмотра паролей, их подвергают хешированию. Но, как известно, что зашифровали, то расшифровать можно. Хотя хеширование имеет одну неприятность: для восстановления пароля надо перебрать все возможные значения. А, следовательно, существует пропорциональная зависимость между временем, требуемым для дехеширования, длиной пароля и количеством применяемых символов. Стандартно программы ограничивают длину пароля до 13-16 символов, хотя Windows NT поддерживает до 128 символов. Еще одна хитрость в том, что файл SAM содержит два хешированных представления одного и того же пользовательского пароля, полученные с помощью разных алгоритмов. Один из них - в стандарте Windows NT, другой - в стандарте LAN Manager. Вообще стандарт LAN Manager применяют для того, чтобы добиться совмещения с другими ОС, установленными на рабочих станциях, например: Windows 3.11 for Workgroups и Windows 95/98. Вот то, о чем мы писали выше: всевозможные достоинства можно обратить в недостатки: ведь хешированный пароль стандарта LAN Manager слабо устойчив к взлому, так как каждая из двух половин 14-байтового символьного пароля хэшируется независимо, а результаты затем соединяются. Таким образом, вычисление 14-байтового пароля эквивалентно взлому двух 7-байтовых паролей, что значительно сокращает число возможных комбинаций для перебора. По этой причине, если вы будете взламывать пароль, то сначала займитесь паролем, захэшированным по стандарту LAN Manager. Существующая программа LOphtCrack, работающая на Pentium 11-450, может вскрыть пароль любой длины, как спелый арбуз, примерно за трое суток (ниже мы рассмотрим работу этой утилиты подробнее). Обычно наивные администраторы защищаются с помощью утилиты SYSKEY, входящей в состав Service Pack 3. SYSKEY позволяет дополнительно зашифровать данные в SAM, после чего программы извлечения и восстановления паролей не смогут корректно обрабатывать информацию из этого файла.Это надо учитывать. Но o помните - все течет, все изменяется, и последняя версия программы LOphtCrack позволяет пробить и дополнительное шифрование этой утилиты. Часть 3: Извлечение и вскрытие текстовых паролей из украденной SAM Рассмотрим взлом SAM файла более подробнее, углубимся, влетали... Итак, как было сказано ранее, информация обо всех пользователях Windows NT/2000 и их паролях хранится в базе данных системы .(registry), которая физически расположена в файле %SystemRoot%SYSTEM32CONFlGSAM-базе данных безопасности системы. Данный файл является по умолчанию заблокированным, т.к. используется прочими. компонентами системы. Поэтому вам не удастся напрямую скопировать этот файл. Однако, если администратор системы регулярно выполняет операцию создания диска ERD (Emergency Repair Disk), то относительно свежая копия данного файла содержится в директории %SystemRoot%REPAIR. Но если администратор системы не выполнял данную операцию, то полученная база будет содержать пользователей Administrator и Guest, с паролями присвоенными во время инсталляции операционной системы. Пароли в данном файле хранятся в 16-байтном значении, зашифрованном (в кодировке UNICODE) с использованием хэш-алгоритма MD4. Поэтому для взлома паролей Windows NT/2000, вам необходимо выделить из базы данных безопасности системы имя пользователя и соответствующее ему хэш-значение. Данная процедура может быть выполнена с использованием программного обеспечения, доступного через Internet и которое описано ниже. Часть 4: Программа LOphtCrack Программа LOphtCrack позволяет вычислять пароли, используя два различных метода. При использовании первого метода применяется поисковая словарная таблица, которую определяет специальный файл словаря. Хешированные пароли для всех слов в файле словаря уже являются вычисленными и сравниваются со всеми паролями для пользователей данной SAM. Когда имеется соответствие - пароль известен. Этот метод чрезвычайно быстр. Тысячи пользователей могут быть проверены при помощи 300 КБ файла словаря всего за несколько минут на обычном PII. Недостаток этого метода состоит в том, что при помощи словаря можно определить только очень простые пароли, которые существуют в английском языке (словарный запас которого не превышает 100 тыс. слов). Для открытия словаря word-english вам необходимо выполнить команду "File" (Файл) "Open Woralist File" (Открыть словарь). Второй метод использует последовательный перебор набора символов типа A-Z или A-Z и 0-9 (и также других наборов) и вычисляет хеш для каждого возможного пароля для этих символов. Единственный недостаток данного метода - время. Данный метод использует интенсивный перебор значений, что требует больших вычислительных мощностей. Чем больший набор символов вы указали в меню "Tools" (Сервис) ""Options" (Параметры), тем дольше времени требуется для перебора всех значений. Набор символов A-Z требует приблизительно 7 часов вычислений на 600 герцовых процессорах PIII или Athlon. Представьте себе, что через каких-нибудь 7 часов вы будете иметь ключи от системы, и будете эдаким маленьким богом, местного значения или не местного, как повезет. Набор А-Z и 0-9 требует приблизительно трое суток. Однако программа LOphtCracks разработана с учетом возможности интенсивных и долговременных вычислений и может использовать преимущества многопроцессорных систем. Если вы не хотите, чтобы программа присутствовала в панели задач, выберите в меню "Window" (Окно) "Hide, Ctrl+Alt+L to Show" (Спрятать, для вывода на экран нажмите Ctrl+Alt+L). При запуске данной программы на многопроцессорном сервере, она будет выполняться низким приоритетом, используя вычислительные возможности неактивного центрального процессора. Программа регулярно, через каждые пять минут, сохраняет результаты вычислений, что позволяет восстанавливать состояние вычислений в случаях отключения питания или перезагрузок. Открытие файла, с которым программа работала до перезагрузки можно из меню "File" (Файл) "Open Password File" (Открыть файл паролей). Инсталляция Для инсталляции просто разархинируйте дистрибутивный архив в любой каталог на жестком лиске. Создайте ярлык к программе lOphtcrack.exe (или 10phtcrack95.exe для Windows 95/98). Кроме того, если вы физически подключены к данной локальной сети и используете Windows NT 4.0 (или Window 2000), вы можете использовать сетевой sniffer readsmb.exe, при помощи которого можно получить пароли клиентских машин Windows 3.11/95/95 и MS-DOS-Перед использованием сетевого sniffer'a необходимо предварительно, установить сетевой NDIS-драйвер, который входит в дистрибутивный комплект. Этот драйвер может работать только поверх драйвера реально присутствующей в системе сетевой Ethernet-платы и использует протокол CSMA-CD. Для установки NDIS-драйвера откройте апплет "Network" (Сеть) в панели управления. На вкладке "Protocols" (Протоколы) нажмите кнопку "Add" (Добавить). Затем нажмите кнопку "Have Disk" (Установить с диска) и определите каталог, в который вы установили LOphtCrack и в котором находится файл ОепкеЦфлпГфайл. После перезагрузки вы сможете использовать сетевой sniffer readsmb.exe, для перехвата паролей клиентских машин Windows. Получение хешированных паролей Перед вычислением паролей необходимо получить доступ к хешированным паролям. Существуют три основных метода получения хешированных паролей: непосредственно из системного реестра, из файла SAM или при помощи сетевого sniffer'a. Получение хешированных паролей непосредственно из реестра Если вы обладаете административными привилегиями, вы можете получить хешированные пароли, используя команду "Tools" (Сервис) "Dump Password from Registry" (Получить дамп пароля из реестра). Для этого укажите имя компьютера или адрес IP в формате Computer_name или IP-address. Однако сервер Windows NT/2000 может запретить попытку доступа к системному реестру по сети, если сконфигурирован надлежащим образом. Кроме того, если версия Windows NT/2000 локализована, для группы "Administrator" используется переведенное на другой язык слово, например для русского языка "Администратор". Для того, чтобы программа LOphtCrack корректно обратилась к дампу системного реестра удаленного компьютера, вам необходимо изменить ключ системного реестра на вашем локальном компьютере. Для этого запустите программу regedit.exe и отредактируйте значение ключа HKEY_CLIRRENT_USER SoftwareLHILOphtCrackAdminGroupName. Присвойте значению этого ключа название группы "Administrator" для локализованной версии Windows NT (2000). Получение хешированных паролей из файла SAM Вы можете получить хеширонанные пароли из файла SAM на жестком диске, с резервной ленты или дискеты ERD (Emergency Repair Disk). Системный реестр NT фактически сохранен в нескольких различных файлах на системном диске в каталоге %SystemRoot%SYSTEM32CONFIG.Если вы имеете физический доступ в компьютеру с установленной операционной системой Windows NT/2000, вы можете загрузить машину при помощи системной дискеты DOS и использовать программу типа NTFSDOS (http://www.ntinternals.com/ntfs20r) чтобы скопировать файл SAM на гибкий диск. Затем вы можете использовать команду программы LOphtCrack "Import SAM File" (Импорт SAM-файла), которая расположена в меню "File" (Файл) чтобы извлечь хешированный пароль из файла SAM. Если вы работаете с компьютером Windows NT (2000) удаленно, то вам остается только воспользоваться резервной копией базы SAM, которая хранится в каталоге %SystemRoot%REPAIR. Кроме того, если у вас имеется возможность получить доступ к кассетам стримера, на который производи гся ежедневный backup или к дискетам ERD, то вы можете скопировать файл SAM оттуда. Если вам удалось использовать дискету ERD, скопируйте оттуда сжатый файл sam._ и затем выполните команду: EXPAND SAM._ SAM Затем разжатый файл sam._ может импортироваться в LOphtCrack. Однако, если администратор системы установил Service Pack 3 for NT 4.0 и использует утилиту 5У5КЕУдля дополнительной криптоустойчивой шифрации файлов реестра, то программа LOphtCrack (это справедливо для версий более ранних, чем LOphtCrack 2.5) не сможет произвести импорт файла SAM. Использование сетевого sniffer'a для получения хешированных паролей. Если администратор системы использует утилиту SYSKEY, и вам отказано в доступе к системному реестру по сети, имеется третий метод для получения хешированных паролей. Для этого используется сетевой sniffer, который выполняет прослушивание и отбор пакетов для всех устройств в физическом сегменте Ethernet-сети. Сетевой sniffer, включенный с LOphtCrack, реализован в виде файла readsmb.exe, который работает только в Windows NT 4.0 (в последней версии программы реализован сетевой sniffer" Windows 95/98). Для запуска сетевого sniffer'a следует использовать команду: READSMB > PASSWD Как вы видите из данной команды, вся информация, полученная сетевым sniffer'ом, будет перенаправляться в текстовый файл passwd. Для сбора всех хешированных паролей пользователя достаточно запустить sniffer один раз утром, в период времени, когда большинство пользователей приходит на работу и производит регистрацию в сети. Затем вы можете прервать работу этой программы и открыть файл passwd в LOphtCrack. Для включения режима отладки sniffer'a используйте команду -v: REAOSMB -V На медленных машинах -v опция может приводить к тому, что readsmb будет пропускать некоторые пакеты, так что эта опция действительна только для отладки и исследования. Выделение паролей из хеша После того, как вы получили набор хешированных паролей, и загрузили их в программу LOphtCrack, а также открыли словарь word-english, вы можете приступить к вычислению настоящих текстовых паролей. Для начала этой операции выполните команду "Run" (Запуск) из меню "Tools" (Сервис). Опции, установленные в диалоговом окне "Tools Options" по умолчанию, определяют, что сначала будет произведено вычисление паролей при помощи словаря word-english. Затем будет производится определение паролей при помощи последовательного перебора заданных значений, что требует уже более длительного времени. LOphtCrack сохраняет состояние вычислений каждые 5 минут *.LСфайл. Новые возможности LOphtCrack 2.52 o Увеличение быстродействия на 450% за счет оптимизированного ассемблерного кода для Pentium, Pentium MMX, Pentium Pro, и Pentium II и III. Это приводит к увеличению быстродействия. Все алфавитно-цифровые пароли могут быть найдены за трое суток на Pentium 11/450. o Новый гибридный метод расшифровки объединяет самые лучшие качества словарного и метода прямого подбора. o Возможность подключения национальных словарей. o Реализация сетевого 8MB sniffer'a для операционных систем Windows 95/98. o Встроенная утилита PWDUMP2, которая позволяет произвести извлечение хешированных паролей из файла SAM, который зашифрован при помощи утилиты SYSKEY из SP3. Утилита PWDUMP2 http://www.web-span.net/~tas/pwduinp2/ позволяет получить список хешированных паролей даже в системе с включенной утилитой SYSKEY. Данная программа может функционировать, если только, пользователь, ее запустивший, имеет привилегию "Отладка программ" и является членом группы Administrators. Кроме того, данная утилита может использоваться в том случае, если с атакуемой системы удалось получить копию базы данных безопасности системы. o Получение паролей Windows NT при помощи PWL-фаилов. Если вы получили доступ к клиентским компьютерам Windows 3.11/95/98, которые функционируют в локальной сети, вы можете узнать пароль системного администратора или других бюджетов в домене Windows NT косвенным образом. Для этого необходимо собрать все доступные *.PWL файлы, которые располагаются в системных каталогах Windows 3.11/95/98. Для расшифровки этих файлов вы можете использовать программу repwl.exe, которую можно найти по адресу http://web-don.com /vitas/pwltool.htm. Это одна из лучших программ для вычисления паролей из PWL-фаилов, которая почти мгновенно может вычислить любой пароль. Открыв при помощи кнопки "Browse" (Пролистать) PWL-файл, выберите в списке нужный набор символов и затем нажмите кнопку "Search Password" (Поиск пароля). Найденные таким образом пароли помогут вам, затем получить доступ к главному доменному серверу Windows NT. Но помните, что для более совершенной защиты, системные администраторы, которые посообразительней, могут не ограничиться применением специальных утилит, но могут установить вручную еще более жесткие права на объекты файловой системы. В частности, за рекомендациями по установке таких ограничений они могут обратиться по адресу: http://www.microsoit.com/ntserver/security/exec /overview/ Secure_NTInstall.asp Соответственно там же можно искать и противоядие от их мощной защиты. К счастью, у дяди Билли работают еще такие люди, которые могут совершить ошибку, и благодаря таким людям мы можем проникнуть в систему через те дыры, которые они нам предоставляют. В частности, одной из таких дыр является возможность повысить свой уровень привилегий и войти в группу администраторов, а потом... Достигается это с помощью программы GetAdmin.exe (автор - Константин Соболев). Правда в Service Pack 4 возможность эта устранена, но рискнуть стоит. Идея, заложенная в ней, довольно таки проста и гениальна. Системные процессы в NT работают, как правило, под System Account, а значит, имеют на локальном рабочем месте администраторские права. Делайте вывод. Но, к сожалению Billy сработал оперативно, в SP4 это уже залатали. Но не стоит отчаиваться, кто ищет, тот всегда найдет. Часть 5: Доступ в локальной сети Если вы получили полный доступ к одной из рабочих станций в локальной или глобальной сети домена, вы можете использовать недостаточность защиты сетевых соединений серверов Windows NT. Слабая защита сетевых соединений приводит к тому, что, используя специализированное программное обеспечение, вы сможете завесить сервер Windows NT ("отказ в обслуживании") или даже получить права администратора путем перехвата административных сетевых соединений. Для этого применяются следующие виды атак: o Использование Named Pipe File System o Использование средств удаленного управления Часть 6: Использование Named Pipe File System Named Pipe File System является виртуальной файловой системой, которая не управляет файлами, а управляет каналами named pipes. Каналы named pipes относятся к классу файловых объектов вместе с файлами, дисковыми директориями, устройствами и почтовыми ящиками (mailslots). Поэтому большинство функций, предназначенных для работы с файлами (в том числе Create File, ReadFile и Write File), работают и с каналами. Канал named pipes представляет собой виртуальное соединение, по которому передается информация от одного процесса к другому. Информация может передаваться как в одну сторону (однонаправленный канал), так и в обе стороны (двунаправленный или дуплексный канал)- Создание виртуального канала в Windows NT происходит следующим образом: o Серверный процесс создает канал на локальном компьютере с помощью функции программного интерфейса Win32 "CreateNamedPipe". o Серверный процесс активизирует канал при помощи функции "ConnectNamedPipe", после чего к каналу могут подключаться клиенты. o Далее производится подключение к каналу computer_namepipepipe_name посредством вызова функции "Create File". Клиентский процесс может отключиться от канала в любой момент с помощью функции "CloseHandle". Серверный процесс может отключить клиента в любой момент с помощью функции "DisconnectNamedPipe". После прекращения связи с клиентом серверный процесс может повторно использовать канал с помощью повторного вызова функции "ConnectNamedPipe". При помощи одного и того же канала сервер может одновременно обслуживать нескольких клиентов. Для этого серверный процесс может создать N-ное количество экземпляров канала, вызвав N-ное количество раз функцию "CreateNamedPipe" (при этом в каждом вызове должно быть, указано одно и то же имя канала). Если канал имеет несколько экземпляров, клиент может быть подключен к любому свободному (не занятому другим клиентом) экземпляру этого канала. После установления виртуального соединение серверный процесс и клиентский процесс могут обмениваться информацией при помощи пар функций "ReadFile" и "WriteFile". Если один участник информационного обмена записывает данные в канал при помощи функции "WriteFile", то другой участник может прочитать, используя функцию "ReadFile". Интерфейс Named Pipe File System широко используется операционной системой Windows NT для множества задач, некоторые из которых играют важную роль в обеспечении безопасности операционной системы. Например, удаленный вызов процедур (RPC) в Windows NT реализован как надстройка над NPFS. Однако в смысле защиты информации и устойчивости программам, интерфейс Named Pipe File System может использован для взлома или выведения из строя операционной системы. Ниже приведены две программы PipeBomb и AdminTrap, которые используют непродуманность реализации Named Pipe File System. Часть 7: Программа PipeBomb Прикладная программа PipeBomb производит открытие на запись в вечном цикле новых экземпляров определенного системного канала и записывает в них порции бесполезной информации. Через довольно короткий промежуток времени все свободные экземпляры канала будут заняты, после чего серверный процесс определяет, что все экземпляры его канала заняты, после чего начинает создавать новые экземпляры канала. Каждый новый экземпляр канала обслуживается новым потоком (thread), под который отводится новый буфер в оперативной памяти для хранения информации. Клиентский процесс постоянно открывает новые экземпляры канала, поэтому серверному процессу приходится создавать новые потоки. Это приводит к максимальной загрузке процессора сервера, а объем свободной оперативной памяти этого компьютера быстро уменьшается. Через несколько минут атакованный компьютер становится практически неработоспособным. Данная программа одинаково эффективно работает как для атак на рабочие станции, так и на сервера Windows NT 4.0. Для начала атаки необходимо запустить программу PipeBomb и в поле ввести имя атакуемого компьютера. Затем следует нажать кнопку "Create" (Создать) или "Write" (Записать), после чего любой сервер Windows NT будет завешен в течение двух минут. Эту атаку можно применять через Internet, инкапсулируя пакеты SMB в пакеты TCP/IP (сетевая составляющая интерфейса Named Pipe File System организована как надстройка над протоколом SMB). Часть 8: Программа AdminTrap Программа AdminTrap производит создание троянского экземпляра одного из системных каналов и ждет, когда к нему подключится клиент. Затем AdminTrap выполняет вызов функции Win32 "ImpersonateNamedPipeClient", которая назначает маркер доступа (access token) клиента экземпляра канала, handle серверного конца которого указан в качестве параметра функции. Если выполнение функции прошло успешно, один из потоков программы AdminTrap получает полномочия пользователя-клиента троянского экземпляра канала. Вероятность того, что программа AdminTrap после вызова "ImpersonateNamedPipeClient" получит полномочия администратора, весьма велика, если случайно удастся перехватить следующие сетевые соединения: o winreg - удаленное управление реестром, списком сервисов, репликацией и административными оповещениями (alerts), удаленный просмотр системных журналов, удаленное диагностирование и оценка производительности; o spoolss - удаленное управление принтером. После запуска программа ожидает подключения администратора. Когда администратор начнет выполнять одну из административных операций, сетевое соединение администратора перехватывается, программа выдает на экран окно, содержащее имя и список привилегий этого администратора, и предлагает осуществить создание нового пользователя с именем AdminTrap, который входит в группу "Administrators". Часть 9: Использование средства удаленного управления Back Oriffice 2000 Программа Back Orifice (дословный перевод - задний проход) является еще одним средством взлома серверов Windows NT и удаленного управления ими через Internet. В02К состоит из клиентской, серверной части и утилит, позволяющих добавлять некоторые новые функции и производить настройку серверной части. Данное программное обеспечение может работать на компьютерах с установленными операционными системами Windows 95/98 и Windows NT. Клиентская часть В02К (файл bo2kgui.exe) используется на компьютере хакера и позволяет получить доступ к машине с установленной серверной части по протоколам TCP или UPD по порту 31337. Обычно перед внедрением серверной части (размер 120 Кб) производится сканирование подсети и выявление по конкретного IP-адреса. Затем серверная часть запускается на сервере при помощи любого локального бюджета. Хакер, используя клиентскую часть,может выполнять следующие действия: o производить редактирование реестра; o осуществлять полный контроль над файловой системой через браузер; o получать информацию о введённых паролях; o просматривать текущее состояние экрана на сервере; o просматривать сетевые ресурсы, подключенные к серверу; o управлять системными процессами; o выполнять удалённую перезагрузку; o удалённо выполнять программы с возможностью перенаправления консоли на компьютер хакеру. Перед внедрением серверная часть конфигурируется при помощи Мастера конфигурирования В02К Configuration Wizard (файл bo2kcfg.exe). Мастер В02К Configuration Wizard позволяет выбрать файл сервера В02К (bo2k.exe) и задать пароль, который затем будет использоваться для доступа по сети. Кроме того, мастер позволяет выбрать порт для IP-соединения, метод шифрования соединений между клиентом и сервером. Вам необходимо указать, какой сетевой модуль будет использоваться в IP-соединениях TCP или LJPD. TCP-соединения обычно используются для организации управления через сеть Internet. UPD-соединения применяются для работы в ЛВС. Кроме того, данная утилита используется для добавления к основному запускаемому модулю bo2k.exe дополнительных возможностей, которые реализованы в виде Plugins DLL. Часть 10: Удаленный взлом Windows NT через Internet Самым трудным взломом Windows NT считается удаленный взлом через Internet. В самом начале у атакующего отсутствует вообще, какая либо информация, кроме имени хоста и его IP-адреса. Если на удаленном сервере работает Web-сервер, вы тоже сразу же сможете интуитивно определить, с какой операционной системой вы имеете дело. Для этого следует, используя браузер, провести исследование страничек и отрытых для просмотра каталогов Web-сервера. Для Web-серверов IIS 3.0/4.0/5.0, которые являются продуктами Microsoft и работают исключительно под Windows NT, характерны следующие особенности: Web-страницы имеют расширения *.htm, *.asp; страницы имеют кодировку Win 1253, а не K018-R (для русскоязычных страниц) и прочие косвенные признаки. Кроме того, следует тщательно просмотреть структуру каталогов документов и скриптов. Каталоги документов, в которых отсутствуют файлы index, htm покажут вам полный список файлов и расположенных ниже директорий. Случайно бродя по Internety, вы можете случайно наткнуться на такой Web-сервер новостей штата Айдахо http://www.ida-honews.com/, который полностью соответствует описанным критериям. Но самое смешное, то, что у этого сервера открыты для просмотра каталоги скриптов scripts и cgi-bin. Если каталоги скриптов scripts и cgi-bin открыты для просмотра, то этот сервер просто находка для опытного хакера. Используя браузер, удаленный клиент может запускать любые файлы из этих директорий на Web-сервере. Остается каким-либо способом загрузить одну из программ, описанных раннее, в каталоги скриптов scripts и cgi-bin. Для этого исследуем открытые каталоги более подробно. Как вы можете видеть из рисунка, открытый каталог cgi-bin позволил нам получить информацию о том, что данный сервер Windows NT использует язык Perl. Используя обычный браузер, вы можете скачать все скрипты из этих директорий и произвести их анализ на получение различного рода информации об удаленном сервере. Кроме того, в каталоге cgi-bin находится подкаталог MSWin32-x86-object. Войдем в него и просмотрим его содержимое. Как мы видим из рисунка, подкаталог MSWin32-x86-object содержит инсталлированную версию языка Perl 5.0, а также сам дистрибутив Perl 5.00502.exe. Затем скачаем из этой директории файл регистрации ошибок PerlIS-Err.log: *** 'E:docs' error message at: 1998/11/24 13:23:57 Can't open perl script 'E:docs": Permission denied *** 'E:docs' error message at: 1998/12/25 04:49:16 Can't open perl script "E:docs': Permission denied *** 'E:docs' error message at: 1999/03/26 16:05:43 Can't open perl script "E:docs": Permission denied *** 'E:docs' error message at: 1999/09/08 11:39:54 Can't open perl script "E:docs"' Permission denied *** 'E:docs' error message at: 1999/09/08 11;:58:34 Can't open perl script "E:docs": Permission denied *** 'E:docs/idaho8' error message at: 1999/10/25 13:51:51 Can't open perl script 'E:docsldaho8": Permission denied Конечно, данный журнальный файл дает не слишком много информации, кроме той, что основные документы расположены на диске Е: в каталоге docs, и также PerI.exe использовался раннее для неудачных попыток проникновения в систему. Затем следует просмотреть документацию в сети Internet по ошибкам и дырам в реализации Perl 5.0 для Windows NT и, исходя из этого, произвести анализ находящихся в каталогах scripts и cgi-bin *.р1-скриптов. Производим просмотр каталога scripts. Открытый каталог scripts дает нам следующую информацию: o Подкаталог /scripts/centralad/ содержит средства для централизованного администрирования какой-то информационной системы. o Подкаталог scripts/iisadmin/ содержит HTML-версию для администрирования Web-сервера IIS, которая очень может пригодиться при взломе системы. o Подкаталог scripts/tools/ содержит различные утилиты для IIS. o Файл General.mdb - файл базы данных Microsoft Access, говорит о том, что возможно на сервере установлена СУБД MS Access; o Файлы PASSWRD2.EXE и PASSWRD2.CPP имеют очень странное имя PASSWRD2.*, которое напоминает одно из известных хакерских инструментов. Создается впечатление, что данный сервер уже ломали раннее, т.к. возможно эти файлы были загружены на сервер хакерами. Затем можно просканировать данный хост на наличие открытых портов, и, следовательно, сервисов, на нем установленных. Для сканирования портов вы можете использовать следующие сканеры портов Windows: o 7th Sphere PortScan v 1.1 o All Around Internet o Ogre v0.9b o Port Scannerv1.1 o Port Scan Plus o SiteScan by Rhino9/Intercore o TCP Port Scanner o UltraScanvl.2. Данные утилиты вы можете получить со страницы http://208.234.248.19:81/hack/genar/archive5.ht ml. Наиболее полезным и простым сканером портов является Ogre v0.9b (Rhino9). Другие сканеры портов под Windows или UNIX вы сможете отыскать при определенном упорстве в сети Internet. Утилита Ogre обеспечивает взломщика эффективным инструментом для сбора информации об уязвимых местах для серверов Windows NT и прочих хостов Internet. Ogre позволяет выполнить ряд тестов для выбранной подсети класса С и проверить хосты на известные дыры в операционных системах Windows 95 и Windows NT, а также в установленном программном обеспечении. Утилита Ogre позволяет: o Определить активные хосты в данной подсети класса С; o Просмотреть выявленные хосты, чтобы определить доступные удаленные службы и порты, по которым к ним можно обратиться; o Получить информацию относительно состояния netbios (Nbtstat); o Просмотреть доступные сетевые ресурсы, выделенные в совместное использование (net view); o Проверить существование серверных расширений Microsoft Frontpage; o Проверить присутствия в системе средства администрирования НТМ1для115; o Проверить существование индексированных по умолчанию документов Index Server. Часть 11: Использование утилиты Ogre для проверки подсети сервера новостей штата Айдахо Перед использованием этой утилиты необходимо получить IP-адрес сервераhttp://www.idahonews.com/. Для этого выполним команду ping www.idahonews.com: Pinging www.idahonews.cum [198.60.102.4] with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. IP-адрес сервера отображается через DNS, однако ping не проходит. Это означает, что данный сервер прикрыт firewall'ом и сканирование его портов будет неудачным. Однако сканирование данной подсети позволит выявить другие сервера домена idahonews.com. Для тестирования подсети, в которой находится сервер новостей штата Айдахо, введем первый адрес подсети в IP в поле "Starting IP" (Начальный IP-адрес) 198.60.102.1. Затем, введем последний адрес подсети в "Ending Octet" 254 (Конечныйоктет). Для начала сканирования нажмем кнопку "Start scan" (Начать сканирование). После сканирования получим следующие результаты: Scanning - 198.60.102.1 =================== Commencing Port Scan: Port 21: Closed Port 23: Open Port 26: Closed Port 53: Closed Port 79: Open Port 80: Closed Port 110: Closed Port 111: Closed Port 139: Closed Port 443: Closed Port 1080: Closed Port 8181: Closed Scanning - 198.60.102.2 * Inactive IP address* S