Удаленный взлом Windows NT через Internet
Самым трудным взломом Windows NT считается удаленный взлом через Internet. В самом начале у атакующего отсутствует вообще какая либо информация, кроме имени хоста и его IP-адреса. Если на удаленном сервере работает Web-сервер, вы тоже сразу же сможете интуитивно определить, с какой операционной системой вы имеете дело. Для этого следует, используя браузер, провести исследование страничек и отрытых для просмотра каталогов Web-сервера. Для Web-серверов IIS 3.0/4.0/5.0, которые являются продуктами Microsoft и работают исключительно под Windows NT, характерны следующие особенности: Web-страницы имеют расширения *.htm, *.asp; страницы имеют кодировку Win 1253, а не KOI8- R (для русскоязычных страниц) и прочие косвенные признаки.
Кроме того, следует тщательно просмотреть структуру каталогов документов и скриптов. Каталоги документов, в которых отсутствуют файлы index. htm покажут вам полный список файлов и расположенных ниже директорий. Случайно бродя по Интернету вы можете случайно наткнуться на такой Web-сервер новостей штата Айдахо http://www. idahone - ws. com/, который полностью соответствует описанным критериям. Но самое смешное, то, что у этого сервера открыты для просмотра каталоги скриптов scripts и cgi-bin.
Если каталоги скриптов scripts и cgi-bin открыты, для просмотра, то этот сервер просто находка для опытного хакера. Используя браузер, удаленный клиент может запускать любые файлы из этих директорий на Web-сервере. Остается каким-либо способом загрузить одну из программ,
Описанных раннее, в каталоги скриптов scripts и cgi-bin. Для этого исследуем открытые каталоги более подробно.
Как вы можете видеть из рисунка, открытый каталог cgi-bin позволил нам получить информацию о том, что данный сервер Windows NT использует язык Perl. Используя обычный браузер, вы можете скачать все скрипты из этих директорий и произвести их анализ на получение различ - ното рода информации об удаленном сервере. Кроме того, в каталоге cgi - bin находится подкаталог MSWin32-x86-object. Войдем в него и просмотрим его содержимое.
Как мы видим из рисунка, подкаталог MSWin32-x86-object содержит инсталлированную версию языка Perl 5.0, а также сам дистрибутив Perl 5.00502.exe. Затем скачаем из этой директории файл регистрации oniH6oK? erlIS-Err. log:
*** 'E:docs' error message at: 1998/11/24 13:23:57 Can't open perl script "E:docs": Permission denied *** 'E:docs - error message at: 1998/12/25 04:49:16 Can't open perl script "E:docs": Permission denied *** 'E:docs' error message at: 1999/03/26 16:05:43 Can't open perl script "E:docs": Permission denied *** 'E:docs' error message at: 1999/09/08 11:39:54 Can't open perl script "E:docs": Permission denied *** 'E:docs' error message at: 1999/09/08 11:58:34 Can't open perl script "E:docs": Permission denied *** ' E:docsidaho8' error message at: 1999/10/25 13:51:51 Can't open perl script "E:docsidaho8": Permission denied Конечно, данный журнальный файл дает не слишком много информации, кроме той, что основные документы расположены на диске Е: в каталоге docs, и также Perl. exe использовался раннее для неудачных попыток проникновения в систему. Затем следует просмотреть документацию в сети Internet по ошибкам и дырам в реализации Perl 5.0 для Windows NT и, исходя из этого, произвести анализ находящихся в каталогах scripts и cgi-bin *.р!~скриптов.
Производим просмотр каталога scripts.
Открытый каталог scripts дает нам следующую информацию:
® Подкаталог /scripts/centralad/ содержит средства для централизованного администрирования какой-то информационной системы.
# Подкаталог scripts/iisadmin/ содержит HTML-версию для администрирования Web-сервера IIS, которая очень может пригодится при взломе системы.
® Подкаталог scripts/tools/ содержит различные утилиты для 11S.
• Файл General. mdb — файл базы данных Microsoft Access, говорит о том, что возможно на сервере установлена СУБД MS Access;
Файлы PASSWRD2.EXE и PASSWRD2.CPP имеют очень странное имя PASSWRD2.*, которое напоминает одно из известных хакерских инструментов. Создается впечатление, что данный сервер уже ломали раннее, т. к. возможно эти файлы были загружены на сервер хакерами.
Затем можно просканировать данный хост на наличие открытых портов, и, следовательно сервисов, на нем установленных. Для сканирования портов вы можете использовать следующие сканеры портов Windows:
7th Sphere PortScanv 1.1 All Around Internet Ogre v0.9b Port Scanner PortScan Plus
SiteScan by Rhino9/Intercore TCP Port Scanner UltraScan vl.2.
Данные утилиты вы можете получить со страницы Http://208.234. 248.19:81/hack/genar/archive5.html. Наиболее полезным и простым сканером портов является Ogre v0.9b (Rhino9). Другие сканеры портов под Windows или' UNIX вы сможете отыскать при определенном упорстве в сети Internet.
Утилита Ogre обеспечивает взломщика эффективным инструментом для сбора информации об уязвимых местах для серверов Windows NT и прочих хостов Internet.
Ogre позволяет выполнить ряд тестов для выбранной подсети класса С и проверить хосты на известные дыры в операционных системах Windows 95 и Windows NT, а также в установленном программном обеспечении. Утилита Ogre позволяет:
• Определить активные хосты в данной подсети класса С;
• Просмотреть выявленные хосты, чтобы определить доступные удаленные службы и порты, по которым к ним можно обратиться;
• Получить информацию относительно состояния netbios (Nbtstat);
Просмотреть доступные сетевые ресурсы, в
Совместное использование (net view);
Проверить существование серверных расширений Frontpage;
Проверить присутствия в системе средства администрирования НТМЬдля 1IS;
Проверить существование индексированных по умолчанию документов Index Server.
Использование утилиты Ogre для проверки подсети сервера новостей штата Айдахо Http://www. idahonews. com/
Перед использованием этой утилиты необходимо получить IP-ад - рес сервера Http://www. idahonews. com/. Для этого выполним команду ping Www. idahonews. com:
Pinging Www. idahonews. com [198.60.102.4] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
IP-адрес сервера отображается через DNS, однако ping не проходит. Это означает, что данный сервер прикрыт firewall'oM и сканирование его портов будет неудачным. Однако сканирование данной подсети позволит выявить другие сервера домена idahonews. com.
Для тестирования подсети, в которой находится сервер новостей штата Айдахо, введем первый адрес подсети в IP в поле «Starting IP» (Начальный ІР-адрес) 198.60.102.1. Затем, введем последний адрес подсети в «Ending Octet» 254 (Конечный октет). Для начала сканирования нажмем кнопку «Start scan» (Начать сканирование). После сканирования получим следующие результаты:
Scanning - 198.60.102.1
Commencing Port Scan:
Port 21: Closed
Port 23: Open
Port 25: Closed
Port 53: Closed
Port 79: Open
Port 80: Closed
Port 110: Closed
Port 111: Closed
Port 139: Closed
Port 443: Closed
Port 1080: Closed
Port 8181: Closed
Scanning - 198.60.102.2
♦ Inactive IP address* Scanning - 198.60.102.3
*Inactive IP address* Scanning - 198.60.102.4
«Inactive IP address* Scanning - 198.60.102.5
Commencing Port Scan:
Port 21: Closed Port 23: Closed
Port 25: Open
Port 53: Open
Port 79: Open
Port 80: Closed
Port 110: Open
Port 111: Closed Port 139: Closed
Port 443: Closed
Port 1080: Closed
Port 8181: Closed
Scanning - 198.60.102.6
♦Inactive IP address*
Scanning - 198.60.102.38
IP address* Scanning - 198.60.102.39
Commencing Port Scan:
Port 21: Closed Port 23: Closed Port 25: Open Port 53: Open Port 79: Open Port 80: Closed Port 110: Open Port 111: Closed Port 139: Closed Port 443: Closed Port 1080: Closed Port 8181: Closed
Scanning — 198.60.102.40
♦Inactive IP address*
Scanning - 198.60.102.54
♦Inactive IP address* Scanning - 198.60.102.55
Commencing Port Scan:
|
Port |
21: |
Closed |
|
Port |
23: |
Closed |
|
Port |
25: |
Open |
|
Port |
53: |
Open |
|
Port |
79: |
Open |
|
Port |
80: |
Closed |
|
Port |
110: |
Open |
|
Port |
111: |
Closed |
|
Port |
139: |
Closed |
|
Port |
443: |
Closed |
|
Port |
1080 |
: Closed |
|
Port |
8181 |
: Closed |
|
Scanning - |
IP address*
Scanning - 198.60.102.254 ♦Inactive IP address*
Идеальным вариантом при взломе Windows NT были бы открытые порты 135-139. Тогда бы мы смогли получить массу познавательной информации о сервере, его сервисах и прочих ресурсах. Однако при сканировании мы получили:
Scanning - 198.60,102.4
SS5SSC5SSBSS3S=SI7SSZS
♦Inactive IP address*
Действительно, данный сервер прикрыт ftrewall'oM. Попробуем определить его тип, выполнив трейсинг соседних активных хостов. Для этого выполним команду tracert 198.60.102.1 (для UNIX команда traceroute): Tracing route to cisco. idahonews. com [198.60.102.1]over a maximum
Of 30 hops:
11 240 ms 241 ms 240 ms gbr2-p01.wswdc. ip. att. net [12.123.8.241] 12 261 ms 260 ms 251 ms gbr1-p40.oc~ 48.sl9mo. ip. att. net [12.122.2.82] 13 330 ms 301ms 390 ms gbr2-p50.oc-12.sffca. ip. att. net [12.122.3.17] 14 301ms 320ms 311 ms ar2-a3120s4.sffca. ip. att. net [12.127.1.145] 15 401 ms 350 ms 351 ms 12,126,207,46 16 381 ms 350 ms 371 ms cisco. idahonews, com [198.60.102.1] Trace complete
Еще одной распространенной ошибкой администраторов небольших сетей является манера давать названия хостам, исходя из выполняемой ими функций. Благодаря этому мы получили информацию, что хостом по адресу 198.60.102.1 является Firewall корпорации Cisco. Его так просто не хакнешь. Хотя, конечно, существует шанс, что ленивый админ забыл сменить заводской пароль. У хоста cisco. idahonews. com открытыми являются полученные при сканировании Ogre порты: 23 (Telnet), 79.
Затем выполним команду tracert 198.60.102.5:
Tracing route to router. idahonews. com [198.60,102.5]over a maximum
Of 30 hops:
12 260 ms 270 ms 261 ms gbr1-p40.oc-48.sl9mo. ip. att. net [12.122.2.82] 13 321 ms 310 ms 300 ms gbr2-p50,oc - 12.sffca. ip. att. net [12.122.3.17] 14 310 ms 321 ms 320 ms ar2-a300s3.sffca. ip. att. net [12.127.5.177] 15 341 ms 340 ms 371 ms 12.126.207,34 16 371 ms
198,60.104,181 17 361 ms 361 ms 370 ms router. idahonews, com
[198.60.102.5]
Trace complete
Опять мы получили информацию, что хостом по адресу 198.60.102.5 является маршрутизатор router (который может быть реализован в виде аппаратного устройства или обычного UNIX-роутера). У хоста router. ida - honews. com открыты порты: 25 (SMNP-почта), 53 (DNS-сервер), 110 (POP-сервер). Исходя из открытых портов, можно с уверенностью заявить, что данный сервер является почтовым и DNS-сервером. Можно с большой уверенностью сказать, что данный маршрутизатор передает пакеты во внутреннюю локальную подсегку idahonews. com 192.168.0.*.
Трассировка других хостов подсетки 198.60.102.6-253 дала информацию, что другие IP-адреса не имеют никакого отношения к домену ida - honews. com.
Как мы видим, полученной полезной информации явно не хватает для проникновения в систему. Для взлома Www. idahonews. com необходимо собрать наиболее полную информацию обо всех трех хостах. Кроме того, взлом Firewall'oB Cisco и Unix-роутеров выходит за границы данной темы. Поэтому мы рассмотрим идеальный вариант, при котором сервер Windows NT не был прикрыт Firewall'oM и порты 135-139 были бы открыты.
