Tutorial by BaCkSpAcE, part I ------------------------------------------------- Ukratko, ovo je prvi moj tutorial a ne i poslednji, shto znachi da ce biti josh tutoriala. Sadrzaj mojih tutoriala najvishe ce se odnositi na security ali bice ponekad nekih koji se odnose na neshto drugo. Kao shto vidite skoro sve tekstove sam ja napisao, a ubacivacu uvek po jedan do dva "tudja" teksta u ovaj Tutorial. I josh neshto, za one kojima se ovo ne svidja i kojima idem na nerve, vazi staro pravilo, a za one kojima se svidjaju ovi tutoriali, neka nastave da me podrzavaju a zainteresovani koji hoce da pomognu, mogu da se jave na mail i ako imaju neki svoj dobar tekst, mogu ga objaviti u jednom od sledecih tutoriala. Toliko za sada! E-Mail: nec_xe15@mail.com Datum: 17/10/2000 ======================================================= SADRZAJ: ------------------ 1. Con, Aux i Nul Exploit (by BaCkSpAcE) 2. SYN Flood Attack (by BaCkSpAcE) 3. Ping of Death (by BaCkSpAcE) 4. Exploit za NT 3.5x rachunare (by BaCkSpAcE) 5. Malo o NT (by Perun) 6. Stvaranje backspace.bat fajla na serveru (by BaCkSpAcE) 7. Apache HTTP Server - Exploit (by Zeroo_Cool, modified by BaCkSpAcE) 8. PHP Path Revealing Vulnerability (downloaded from Rootshell, translated by BaCkSpAcE) 9. Sakrivanje IP broja u mIRCu (by BaCkSpAcE} 10. Trik u SoftICE za crackere koji nisu znali (by BaCkSpAcE) ======================================================== 1. Con, Aux i Nul Exploit ----------------------------------------- Ovi exploiti provereno rade na Win98 i Win98 SE ali u WinME ne rade. Oni se javljaju pri ukucavanju sledecih komandi: c:\con\con ili c:\aux\aux ili c:\nul\nul Nakon ovoga rachunar ce da se zamrzne i jedino reshenje bice rebootovanje rachunara. Moze da se koristi npr. za Web, tako shto napravite hiperlink do npr. c:\con\con i kada korisnik pritisne na to rachunar se zaledi ili slichno. Reshenje problema je skidanje zakrpe sa Micro$oftovog sajta ili da predjete na Linux, ako to vec niste uradili. ======================================================== 2. SYN Flood Attack --------------------------------- Shta je to SYN Flood Attack? To je ustvari jedna vrsta Denial of Service napada.Syn Attack radi tako shto napadach shalje zrtvi Syn Request da se konektuje na server zrtve, a zrtva odgovara sa ACK, i rezervishe buffer (mesto u memoriji) za tu konekciju. Napadach neodgovara sa ACK nego shalje SYN Request ponovo, i zrtva ponovo odgovara sa AK i odvaja buffer i sve tako dok zrtva neostane bez Buffer Space i krashira se. Ovom vrstom necete naneti skoro nikakvu shtetu WebMasteru. On ce morati, posle SYN Flood Attacka, da rebootuje rachunar. NT je po defaultu podeshen da shalje SYN-ACK na 3,6,12,24 i 48-oj sekundi. Posle slanja zadnjeg SYN-ACK, serveru je potrebno 96 sekundi da dealocira prostor koji je bio zauzet. Znachi napadach ima fore ukupno 3+6+12+24+48+96 = 189 sekundi. ======================================================== 3. Ping of Death ---------------------------- Ping of Death je isto jedna varijanta Denial of Service napada. Izvodi se tako shto cesh da otkucash 'ping adresa -n 9999999' i uz to treba da nadjesh rachunare sa brzim linijama.Tako su gospoda koja je napala yahoo.com i uradila.Uzeli su par mocnih kompjutera na brzim linijama sa Stanford univerziteta i uradili 'ping www.yahoo.com -n 9999999' i onda je ta linija kojom se ulazi u Yahoo bila zakrchena velikom kolichinom podataka (skoro milion pingova) i niko nishta nije mogao uraditi.Naime, kada se otkuca ova komanda, onda server pochinje da obradjuje te podatke.Ali poshto je tu ima puno podataka server ce da dugo dugo radi.Ali ako je to neki slabiji server(mislim na neke klasu ispod Yahoo), onda ce taj rachunar zablokirati(mozda se chak i sam resetuje!).Znachi kod slabijih rachunara se dogodi Buffer Overflow zbog kolichine podataka vece od njegovog buffera, ali Yahoo je jachi.Izashao je i patch za vecinu ugrozenih sistema koji onemogucava Efekat Ping of Deatha. ======================================================== 4. Exploit za NT 3.5x rachunare ---------------------------------------------------- a) Ako u toku rada DNSa telnetujete se na port 53 i ako ukucate 10 ili vishe znakova i pritiskom na enter, DNS ce se zaustaviti. b) Ako se u toku konekcije na Port 135 telnetujete i ukucate 10 ili vishe znakova i pritiskom na enter, onda ce se korishcenje procesora popeti na 100%, shto znatno usporava performanse sistema. c) Ako se telnetujete na port 1031 i ako ukucate 10 ili vishe znakova i pritisnete enter, onda ce se IIS zaustaviti. d) Telnetovanjem na port 80 i ukucavanjem 'GET ../..' takodje ce zaustaviti IIS. ======================================================== 5. Malo o NT ------------------------------------------------------------- NT koristi jedan na objectima zasnovan model obezbedjenja sto znaci da se svaki fajl posebno moze obezbediti na serveru. Model obezbedjenja u NT-u se sastoji iz cetiri dela: 1 Local Securitu Autority 2 Security Account Manager 3 Security Reference Monitor 4 User Interface -UI NT koristi Server Message Block za kontrolu slanja podataka. OS od NT ima jedan poseban security nivo I zbog toga on podrzava vise security-interface-a. Glavno pravilo kod obezbedjena NT sistema je -koristi zdrav razum (kao na primer fizicko obezbedjenja servera ). Ovde je bitno naglasiti da NT ima C2 certifikat Americkog Ministarsva za odbranu samo kao stand-alone machina -bez diskete-drajva I neprikljucen na mrezu. NT je prilicno zatvoren sistem ali ima jedno par slabosti koje hakeri obicno koriste ; Na primer shares - deljene particije direktorijumi I fajlovi: - Ako kao administrator delite mape tako da user Pera ima kontrolu nad njima ,user Pera moze dalje da kontrolose direktorijume I mape na kojima ima dovoljne privilegije sto postane prilicno nezgodno ako user Pera vise nije pravi user Pera neko haker koji je na jedan od mnogobrojnih nacina preuzeo njegiv identitet.Zato je potrbno da se svaki share explicitno definira I ne prihvataju defaul configuracije NT-a jer one omogucavaju malicioznom useru da npr. "hanguje" sever pod oderdjenim okolnostima - Ako haker na jedan ili drugi nacin dobije fizicki pristup serveru on moze restartovati server sa DOS disketom I sa ntfsdos.exe jedne Microsoftove aplikacije dobiti pristup na sve fajlove na serveru ili radnoj stanici server - bez bilo kakve brige o priveligijama pravima na njima ..Takodje ako ima CD-ROM sa Linoxom na njemu od moze da potuno over-raiduje obezbedjnje Servera iz Linuxa tako da mu uopste nije potreban Administratorov ili bilo ciji drugi password. Naredna slabost je kod davanja Full controll prava userima - jer pod tim se podrazumeva jedno skriveno pravo koje se zove File Delete child I koje je neizbrisivo iz Full control privilegija.Sa tim pravom user moze da brise read-only files sto moze da bude prilicno nezgodno ako su ona kljucna za funkcuionisanje NT OS. Jedna od najvaznijih stvari kod NT obezbedjnja je obezbediti grupu Administratora. Posto clanovi ove grupe imaju neogranicenu kontrolu, haker ce prvo pokusati da provali ovaj racun Ukoliko je on suvise dobro obezbedjen haker ce pokusati da provali racun sa manjim privilegijama a onda sebe doda grupi administratora (acces-promotion ili t.z.v. step-up attack). Jedan od najboljih nacina je sve clanove grupe administratora prebaciti u novu grupu I njoj dati potuna prava (pod drugim imenom) a onda izbrisati ili ograniciti prava grupe administratora tako da haker nece znati kojoj grupi I pod kojim imenom mora pripadati da bi dobio prava administratora. Klasican napad krakera zapocinje time sto ce sebi pokusati da pribavi password on nekod racuna koji nije toliko vazan (I obezbedjen) a kasnije pokusati sebe da promovira u racun sa vise privilegija.Za ovo se koriste t.z.v. brute-power sistemi I programi koji su nabavljivi djabe na Internetu I koji mogu da u roku od 7 dana na prosecnoj machini krakrraju passworde I do 16 znakova dugacke. Za ovo haker mora da dodje do cipherteksta u password fajlovima Ikoji se cuvaju na serveru u Sam fajlovima I za koje mora da ima fizicki pristup serveru ili njegovoj fizickoj kopiji (rezervni serveri - shadow sistemi) I tu dolazi vaznost fizickog pristupa serveru u prvi plan. Takodje ukljucivanje funkcije Account lockout otezava posao hakeru (ali I administratoru ako je configuriran na premali broj pokusaja pa dobija non stop telefoncice od trapavih usera koji su se zakljucali pogresnim tipkanjem passworda) takodje I cool-out preiod ne sme biti previse dug jer haker to moze da koristi za t.z.v. denial of service napade. Takodje dobar racun-policu je na mestu, cesto menjanje userovih passorda I prisiljavanje usera da koriste passworde od najmanje 8 znakova I sa ukljucenjem brojeva ,znakova itd kao I koriscenje bezbednisnih programa kao KSA (Kane security monitor) umanjuju rizik od ovakvih napada. Zbog toga sto se standardno ne moze ukluciti Account -lockout za Administratorov racun on je jako ranjiv za ovakve vrste napada .Tu postoji par trikova da se to izbegne kao davanje drugog imena administratorovom racunu kao prethodno objasnjeno I onda pravljenje novog usera sa imenom administrator u dodavanjem njega grupi guests pa mu onda udaris jedan veoma dugacak password I onda ukljucis audit (koji ne postoji za administratora) I inda gledas sta se desava I ko sve pokusava da provali (mamac) "administratorov" racun. Takodje I zabranjvanje administraturu da se loguje preko networka nego samo direktno sa konzole umanjuje rizik. Iskljucivanje racuna Guest je takodje preporuka jer preko njega haker moze da dodje do vaznih fajlova u registry pod bilo kojim racunom I passwordom.To mu daje veoma siroka prava I ne samo citanje veoma vaznih fajlova (kao na primer password fajlova) vec I menjanje osobina fajlova (npr notepad.exe u haker.exe) kao I pristup veoma vaznim kljucevima (HKEY_CLASSES_ROOT, HKEY_LOCAL_MACHINE itd ..kao I ubacivanje Trojanaca na ovaj nacin koji mogu raditi gotovo sve kao na primer slanje password fajlova pri restartovanju servera... Sto se napada sa networka tice najvaznije su slabosti koriscene kod SMTP i HTTP protokola.Zato se bitno da ovi protokoli imaju samo pristup (na user-nivou -onim fajlovima ili direktorijumima koji su neophodni za njihov rad).Takodje I svi TCP/UDP portovoi izmedju 135 I 139 treba da budu zacepljeni u vezi sa odbranom od napada obaziranih na Secure Message blocks) Narocito kod networka koje koriste SAMBU za komuniciranje sa Unix hostovima i serverima. Stavljanjem Web servera koji imaju vezu sa internetom na poseban subnet zasticen firewallom kao I koriscenje internih firewallova za poverljive servere je jako preporucljivo. Applikacije kao Alerter i Messanger kao i koriscenje LAN Menadjera su potencijalne security rupe jer koriste sisteme obezbedjnje koji su jako slabiji od NT-ovok standardnog nivoa. Na CD-romu na NT4.0 Microsoft je greskom postavio program rollback.exe kojemu je namena bila da pomogne administratorima da rediguju podatke u registriju ali umesto toga brise sve u njemu.Najbolja opcija je izbrisati ovaj fajl ili u najmanju ruku promeniti mu ime u nesto nepogodivo da bi se izbegla zloupotreba od hakera. Ukoliko imate masinu sa dual-butom (Unix, OS2, Novel ) virusi koji napdaju boot-sektor preko ovih drugih OS-ova imaju uticaj i na NT (Obicno dobijas nesto kao :Boot device nor accesible). Takodje u SAMBA okruzenju sve r (remote) komande trebalo bi biti iskljucene (rlogin,rsh,remsh, itd …). Ukoliko se NT sever koristi kao FTP server bolje je koristiti FTP od IIS 4.0 jer je bolje zasticen nego standardni ftp od NT-a. Pri koriscenu RAS-a treba imati u vidu da RAS sifruje samo password sa MD4-hash funkcijom (koji moze biti snifovan) ostali podaci putuju networkom nesifrovani. Ukoliko haker provali password a RAS server je povezan u domain network on onda ima pristup celom domainu.Zato treba RAS uvek izolovati na poseban firewallon zasticen network od ostatka LAN-a. Zbog toga su i aktiviranje audita, verifikacije,sifrovanja,call-back funkcije nephodno radi zastite networka, specijalno u produkcionim sistemima i sa sistemima sa osetljivim informacijama. FTP i Telnet passwordi putuju nesifrovani networkom jer ovi protokoli ne podrzavju ovu funkciju. Posto vecina usera koristi iste passworde i za logovanje na domeinu neophodnoje sa user-policy prisiliti usere da koriste razlicite passworde za ovu namenu. Sto se tice ranjivisti TCP/UDP protokola kod NT-a to prilicno OK osim ranjivih portova od 135-139 koji mogu da se koriste za denial-of-service napada kojom haker zeli da postigne neke od sledecih rezultata: - Aktiviranje trojanca kojeg je ranije postavio I koji postaje aktivan tek posle reboot-a - Maskiranje hakerskih aktiviteta (snifovanja, previsok-procenat ACK paketa u networku, neobicno ponasanje procesora,) 3 ======================================================== 6. Stvaranje backspace.bat fajla na serveru ------------------------------------------------------------------------ Ugrozene su verzije 3.5x i NT 4.0 bez odgovarajuceg Service Packa (ne secam se tachno koji sp je potreban). Posle ukucavanja: www.server.com/scripts/script_name%0A%0D>PATH\backspace.bat stvorice se jedan prazan fajl backspace.bat na tom serveru. Resenje je instaliranje odgovarajuceg sp-a na taj rachunar sa WinNT. ======================================================== 7. Apache HTTP Server - Exploit ------------------------------------------------------ Ako upishemo u nash browser Url koji ce u sebi da sadrzi preko hiljadu '/', onda cemo dovesti Apache Web Server u stanje kad koristi ogromne CPU resurse. Da bi ovaj DDoS (distributed denial of service) uspeo, potrebno je napraviti puno simultanih konekcija. Ranjivi verzije Apache Web Servera su sve verzije pre 1.2.5 a ova verzija 1.2.5 i novije su imune na ovakvu vrstu napada.Napad je krajnje jednostavan - dodaj te puno '/' u URL i Apache ce biti spreman da potroshi ogromne resurse dok ne procesira takav zahtev. Ako je ogroman broj ovakvih zahteva poslat u isto vreme na server, onda bi isti server mogao biti nedostupan !!! ======================================================== 8. PHP Path Revealing Vulnerability ------------------------------------------------------------ Pomocu ovoga Vulnerability-ja, haker moze doci do informacije gde se nalazi direktorijum sa PHP podacima. Ovo se deshava na svim serverima na kojima je ukljucen error_reporting (prijava greshaka). Ranjivi su sistemi PHP 4.01 i noviji. Ovo shljaka tako shto kada u browser upishemo nepostojecu stranicu npr. www.server.com/he.php3 i server ce da prijavi Fatal Error i pokazace gde se direktorijum nalazi. Npr. evo jednog sluchaja: Fatal error: Unable to open /vhmap/i/n/server.com/he.php3 in - on line 0 No input File specified Reshenje ovog problema je iskljucivanje error_reporting-a, ali ovo reshenje moze da izazove i druge nezeljene posledice. ======================================================== 9. Sakrivanje IP broja u mIRCu --------------------------------------------------- Ovo uputstvo sam pisao po ugledu na mIRC 5.71 a isto je i za novije i starije verzije. Naime, treba uci u opcije i naci pod stavkom Connect izabrati Firewall. Tu treba chekirati 'Use SOCKS Firewall', za protokol treba izabrati 'Socks4', u 'Hostname' ukucaj 'interate.com.pe' i u 'Port' ukucaj '1080'. Posle ovoga Restartuj mIRC i onda cesh biti anoniman. Ovo ce ti mozda malo usporiti mIRC zato shto ce se sve obavljati preko kompjutera koji se nalazi u Americi, ali vredi. Ako hocete mozda neshto brze, potrazite proxy adrese za mIRC i isprobajte ih i nadjite sebi najbrzu. ======================================================== 10. Trik u SoftICE za crackere koji nisu znali ------------------------------------------------------------------------- Ako radite u SoftICE-u i zelite da crackujete neku protekciju u programu, ja bih vam preporuchio da breakpoint postavite ovako: bpx hmemcpy U 90% slucajeva naci cete se u samoj blizini protekcije u kodu, i uz malo iskustva moci cete da crackujete program. Ovo vazi za sledece protekcije: - Serial - Name/Serial - Name/Company/Serial i sl. ======================================================== *************************************************************************** Toliko u ovom Tutorial !!! Nadam se da je bilo zabavno !!! Napominjem, ako neko ima neki interesantan text s kojim bi mogao da mi pomogne u realizaciji sledeceg Tutoriala, neka me kontaktira na email backspace@backspace.8k.com BaCkSpAcE BaCkSpAcE.8k.com c-Ya