Easy hack

Завдання: Сховати будь-який файл в JPEG'Е

Давно вже руки свербіли написати що-небудь про стеганографії. Як нам повідомляє Wikipedia, стеганографія - це наука про приховану передачу інформації путeм збереження в таємниці самого факту передачі. Наприклад, невидиме чорнило - це один з класичних методів стеганографії. У тій же Вікі написано, що можна писати молоком (як Ленін), а за допомогою вогню проявляти текст. У мене молока не було, тільки сгущeнка. Спробував - не вийшло. Сгущeнка палится, видать метод ненадійний ... Краще з'їсти :).

Тут exiftools - стандартна тулза для роботи з exif. Головна особливість exif - кількість даних, що зберігаються не обмежена. Єдине обмеження - текстовий формат. Звідси і рішення - конвертуємо наш evil.exe в Base64.

uuencode -m evil.exe evil.exe> ​​evil.txt

Тут uuencode - тулза для роботи з конвертацією; -m - вказуємо, що конвертуємо в Base64.
Тепер додамо отриманий файл в exif-заголовок файлу test.jpg.

exiftool -Comment "<=" evil.txt test.jpg

  • -Comment - вказуємо ім'я поля, куди додати дані;
  • "<=" evil.txt — добавить данные из файла evil.txt.

Тепер якщо ти запустиш exiftools test.jpg, то виявиш зміни в заголовках.
Таким чином, ми всe сховали. Зображення при цьому ніяк не змінилося. Хіба що розмір файлу збільшився. Звичайно, метод лайтовий, і задетектіть його просто. Але найцікавіше полягає в тому, що ми можемо залити цей файл в альбом на facebook або на flickr! Взагалі кажучи, ми можемо залити і файли, в яких використовувалися навіть крутіші засоби стеганографії (інфу ховають в самому зображенні), але на всіх онлайн-сервісах графічні файли проходять предобработку і вміст змінюється. Але це не стосується exif-заголовків! Тільки Вконтакте ця тема не працює - там має місце повна обробка зображення.

Для декодування і отримання evil.exe з нашого jpeg'а нам потрібно виконати наступну послідовність. Качаємо фотку з Фейсбук, а далі:

dd if = test_from_FB.jpg of = test_from_FB.uue bs = 1 skip = 24

Де dd - стандартна тулза для конвертації і копіювання файлів;
if - з якого файлу; of - в який файл; bs = 1 - розмір блоку 1 байт;
skip = 24 - пропустити перші 24 байта (заголовок jpeg).

Таким чином, ми отримаємо в test_from_FB.uue тільки текстові рядки, тобто наш evil.exe в Base64. Далі декодуємо рядок образно в exe-файл:

Другим плюсом цього методу є його простота. Приклад пріведeн для * nix'ов, але те ж саме можна зробити і в Win, тільки потрібно більше працювати ручками. наприклад:

Для конвертації файлів в Base64 можна скористатися будь-яким онлайн-сервісом.

Завдання: Перевірити «малваре» на детектіруемих, або заміна VIRUSTOTAL

Так, антивирь розвелося сила-силенна! Вони тепер фактично входять в стандартний комплект ПО будь-якого ПК. І щоб когось заразити (природно, в ознайомлювальних цілях), нам доводиться ці антивирь обходити.

Але частіше виходить, що наша мета «анонімна» і має невідомий антивирь. Доводиться обходити всі. Але поставити навіть десять основних примірників на виртуалки - справа накладне і клопітно. Тому ми скористаємося онлайн-сервісами.

До речі, тут під «малваре» давай розуміти щось більш широке. Нехай це будуть як всякі віри, так і хакерські тулзи. Адже навіть з нешкідливим netcat'ом були проблеми через детектив.

Отже, в ході пошуків знайшлася наступна група онлайн-сервісів:

Основний же «проблемою» більшості сервісів є те, що підсумки їх роботи потрапляють в антивірусні компанії. Тобто запіхнeм ми туди підозрілий бінарник, що в цей час палится лише частиною антивірусів - і тим, які не спалили файл, буде відправлений відповідний отчeт. Таким чином, через деякий час і інші антивіруси додадуть сигнатури в свої бази. Але насправді не всe так страшно. Отчeт в антивірусні компанії відсилається багато, обробляються вони повільно, а багато і зовсім відкидається.

Крім того, у більшості перерахованих сервісів є галка в стилі «No distribute», яка передбачає, що файли / результати не будуть нікуди вирушати. Але на антічате (forum.antichat.ru/threadnav32269-1-10.html) є старий пост, говорить про зворотне.

Типу, такі файли навпаки піддаються більш ретельній перевірці. Разом з тим, в мережі знайшлася ещe парочка онлайн-сервісів, які стверджують, що нікуди нічого не відправляють, але вони платні (недорого).

Завдання: Перебір паролів по-розумному

У нім представлена ​​велика і гарна статистика по українським компаніям. Документ не дуже новий, але всe одно актуальний. По ньому стає ясно, як перебирати паролі і куди йти з ними далі :). Як бонус - різноманітні словники самих распространeнних паролів з прив'язкою до ресурсів можна почерпнути тут:

На закінчення - мотаємо на вус самі распространeнние паролі «в середньому по лікарні»:

  • 123456 (+ \ - 2 символи);
  • Qwerty;
  • abc123;
  • password;
  • названіе_сервіса;
  • Ім'я користувача.

Завдання: Закачка бінарних файлів жертві (BIN2HEX)

Досить распространeнная ситуація, коли ламаєш win-системи (хоча і під nix'амі буває) і розумієш, що шелл є, а зробити з ним нічого не можна. Це пов'язано в основному з обмеженістю консольного ПО вінди, а також з наявністю будь-яких файерволов. Загалом, завдання класична: закачати файлик «через консоль».

Для цього можна скористатися старим добрим методом - через debug.exe. Debug - це стандартна програма-відладчик в Windows, яку використовують для перевірки і налагодження виконуваних файлів.

Метод чимось схожий на описаний вище стеганографічний. Для початку ми конвертуємо наш exe-файл в hex (шістнадцятковий формат). Але не просто в Хекс, а в спеціально відформатований Хекс. Подавши його на «вхід» debug'у, ми на виході отримаємо повноцінний exe'шнік.

Щоб дотримати це спеціальне форматування, скористаємося стороннім продуктом - Fast Track'ом або яким-небудь іншим (в Мережі їх цілий пучок).
Fast Track - це ещe одне відгалуження / фронт-енд до Metasploit'у. За ним уже не особливо стежать, тому є проблеми в роботі, хоча він всe одно увімкнення в BackTrack R2. Ну да ладно, до справи.

  1. Запускаємо Fast Track.
  2. Вибираємо "Binary to Hex Payload Converter".
  3. Прописуємо шлях до exe-файлу, який необхідно конвертувати.

У підсумку ми отримаємо послідовність echo, яку і потрібно ввести в консоль жертві. Зрозуміло, що вводити вручну - шалено. Але автоматизація, як розумієш, залежить від ситуації. Приклад професійний і застосуємо до продукту від Citrix (з використанням протоколу RDP). Загалом, всe було б просто і елегантно, але є великий мінус: обмеження на розмір створюваного файлу, а саме - 64 Кб. Це дуже мало. Ми можемо залити той же netcat (наприклад, його стару версію вагою 60 Кб) або який-небудь легкий шелл-код з Metasploit'а, але meterpreter вже завеликий. Проте, це обмеження можна обійти. Як?
Спочатку невеликий відступ. Вищеописаний метод дуже часто використовується для завантаження файлів на сервер через захоплений MSSQL-сервер, використовуючи процедуру xp_cmdshell (дана процедура дозволяє виконувати команди ОС з СУБД). Тому і спосіб обходу частково «прив'язаний» до MSSQL.

На жаль, мені не вдалося знайти в мережі конкретного опису, як працює даний конвертер (схоже, на гуглі мене забанили). Але всe не так уже й погано. У Metasploit'е є модуль, який реалізує завантаження великих файлів через MSSQL, якраз використовуючи конвертер (метод c DefCon'а). Опис і вихідний код в найпростішому для портування вигляді (в нових версіях MSF він ускладнився) можна взяти на offensive-security.com/metasploit-unleashed/The_Guts_Behind_It.
Для BackTrack'а 4 шлях до файлу-конвертера лежить в / opt / metasploit3 / msf3 / data / exploits / mssql. Файл (h2b) вже знаходиться в hex-виді для debug'а. Таким чином, нам остаeтся залити його, використовуючи той чи інший спосіб, в файл (наприклад, converter.tmp):

debug

Перейменовуємо з правильним розширенням:

move converter.bin converter.exe

Далі ми можемо закачувати будь-які інші exe-файли. Тут також буде потрібно автоматизація. При цьому «закачування» відбувається просто в hex-виді. Останній крок - конвертувати hex-файл в exe. Він створиться з тим же ім'ям, що і файл на вході:

converter.exe evil_fi le_hex.txt

Наостанок розповім про чергове мінусі даного методу - в останніх версіях Windows відсутній debug.exe. В яких саме - питання (в Win7 файлу точно немає).

Браузери вже давно є однією з основних цілей, одним з головних місць для проникнення і захоплення систем. Воно й зрозуміло. Інтернет - це наше всe, а браузер - основний засіб для взаємодії. З огляду на розмаїття сучасних в Мережі технологій одного браузера не вистачає, і до нього ставляться плагіни.
Класичний набір: flash, pdf reader, java. І кожен з полігонів додає новий вектор атаки. Зрозуміло, що в різних версіях браузерів / плагінів свої власні уразливості, і експлуатація їх часто різна, а тому необхідно точно визначити версію ПО перед атакою.

Таким чином, код під різні браузери - різний. По-третє, крім того, що плагін встановлений, він повинен бути увімкнення (enabled).

По-четверте - навіщо винаходити велосипед? Є кілька «детекторів», багато з яких входять до стандартні веб-фреймворкі. Мені до вподоби pinlady.net/PluginDetect, який написав Ерік Гердс.

Підпихати його на наш сайт:

І отримуємо версію Adobe Reader, наприклад:

var reader_version = PluginDetect.getVersion ( "AdobeReader");

Точність залежить від деяких умов, але найчастіше ми отримуємо четирехціферную версію плагіна. Подробиці методів визначення і обмежень шукай на вищевказаному сайті. Також в детектив є ещe кілька корисних функцій, які можна використовувати і для благих цілей.

Завдання: Зробити журнал] [краще!

Покажи цю статтю друзям: