آموزش های تخصصی شبکه و امنیت و ضد امنیت

شروع هك ( جمع آوری اطلاعات - قسمت پنجم)
در ادامه ي مبحث ، مي پردازيم به انواع ديگه ي اسكن كردن . يكي ديگه از جاهايي كه در كتابها به اون اشاره ميشه ، اسكن كردن نقاط دسترسي هست . نقاط دسترسي يعني نقاطي كه ما ميتونيم خارج از مسير معمولي ، از طريق اونها وارد سيستم يا شبكه هدف بشيم . اين نقاط در زمان قديم ، مودم هايي بودن كه به يك خط تلفن متصل و منتظر تماس از خارج و برقراري ارتباط هستند . نفوذ از طريق اين مودمها رو اصطلاحاً War Dialling ميگند . اگرچه اين كار يك راه كار قديمي براي مديريت راه دور هست ، اما ممكنه در حال حاضر هم از اون استفاده بشه . علت اينكه ديگه از اين روش براي مديريت راه دور استفاده نميشه اينه كه تكنولوژي هاي جديدتر مثل *** جايگزين اون شده و همينطور نرم افزارهاي مديريت از راه دور پيشرفته كه امكان مديريت راحت و منعطف رو از طريق اينترنت فراهم ميكنه . اما با اين وجود ، هنوز ابزارهايي مثل سوييچ ، روتر و فايروال ، يك پورت براي اتصال به مودم و خط تلفن دارند . مديران شبكه ي با تجربه ، اين كار رو انجام ميدن كه هر وقت امكان مديريت ابزار مورد نظر از طريق شبكه امكان نداشت و دسترسي فيزيكي هم موجود نبود ، از اين راه ابزار مورد نظر رو مديريت كنند . اين اتفاق مخصوصاً موقع به روز رساني سيستم عامل ابزار ، هنگامي كه سيستم عامل جديد درست نصب نميشه و مشكلي پيش مياد ، و شخصي هم كه ميتونه مشكل رو رفع كنه در سازمان نيست ، خيلي كاربرد داره . يعني تنها راه برگشت به حالت نرمال هست . اين موضوع ميتونه مورد سو استفاده هكرها هم قرار بگيره . براي اينكار احتياج به دونستن شماره تلفني هست كه به مودم وصل هست. اين شماره رو ميشه از راه هايي كه در قسمت هاي قبلي به اون اشاره شد ، بدست آورد . نرم افزارهايي هم هستند كه براي اسكن كردن يك رنج از شماره تلفن ها , مورد استفاده قرار مي گيرند . معروفترين اين نرم افزارها THC-Scan هست كه البته من فكر ميكنم به همون علت كه در بالا اشاره شد ، اين نرم افزار ديگه رشد نكرد و نسخه ي موجود همون نسخه ي قديمي هست كه اينترفيس جالبي نداره . نرم افزار ديگه اي هم در اين زمينه وجود داره به اسم PhoneSweep كه يك نرم افزار تجاري هست .

اما مهمترين بخش در اسكن كردن سيستم ها ، اسكن كردن براي پيدا كردن حفره هاي امنيتي هست . نرم افزارهاي زيادي براي اين كار وجود داره كه هر كدوم ويژگيهاي خاص خودشون رو دارند . اين نرم افزار ها اكثراً ، پورتها رو هم اسكن ميكنند. اين بخش به اندازه اي مهم هست كه خيلي ها براي شروع هك ، مستقيماً وارد اين قسمت ميشن و كاري به بخش هاي ديگه ندارند . اگر سيستمي رو پيدا كردند كه داراي باگ هست ، اون رو هك ميكنند و در غير اين صورت هم ، دست خالي بر مي گردند . اما اگر شما مصمم به هك كردن يك سيستم خاص هستيد ، بايد همه ي مراحل رو مد نظر داشته باشيد . بنابرين توصيه مي كنم كه اگر روي يك سيستم باگي پيدا نكرديد ، از اسكن كردن پورتها نا اميد نشيد . مورد هايي بوده كه سيستم هدف خيلي ايمن بوده ، اما با اسكن كردن تمام پورتهاي tcp و udp روي اون ، متوجه نصب نرم افزار هاي مديريت راه دور شديم كه از طريق اونها تونستيم به سيستم نفوذ كنيم . روي سرور ها معمولاً از اينجور نرم افزارها نصب ميشه ، فقط بايد كمي حوصله داشته باشيد و مصمم براي انجام كار .

همونطور كه اشاره شد ، نرم افزار هاي زيادي براي اسكن كردن سيستم ها در سطح سيستم عامل و سرويس ها وجود داره كه مقالات زيادي در سايت هاي مختلف به زبان فارسي در مورد اونها وجود داره و قصد نداريم كه تكرار مكررات كنيم . استفاده از اين نرم افزار ها هم تا يه حدي سليقه اي هست و هر شخصي با يك نرم افزار راحت هست . من شخصاً Nessus‌ تحت لينوكس رو مي پسندم . اما اين نرم افزار ها ، تابع ماتريكس 2 در 2 هستند و هميشه امكان اينكه نتيجه ي نشون داده شده اشتباه باشه ، وجود داره . مسئله ي به روز بودن نرم افزار هم خيلي مهم هست و اين كه بشه يك اسكنر رو با آخرين باگهاي كشف شده به روز كرد ، اهميت فوق العاده ي داره . خيلي وقتها هم قضيه ي هك كردن سيستم هدف ، حالت معكوس ميگيره . يعني هكر ، اول در مورد سيستم هدفش اطلاعات بدست مياره ، و بعد اينترنت رو براي پيدا كردن آخرين باگها و اكسپلويت هاي منتشر شده مربوط به اون نسخه ي خاص از سرويس يا سيستم عامل ، جستجو ميكنه . اين روش مخصوصاً براي هك كردن از طريق برنامه هاي كاربردي تحت وب ، خيلي كاربردي هست .

غير از اسكنرهاي مربوط به كشف باگ در سيستم عامل و سرويس هاي اون ، اسكنرهايي هم هستند كه باگ هاي امنيتي در برنامه هاي تحت وب رو پيدا مي كنند. يكي از نرم افزار هاي خوب در اين زمينه Acunetix هست كه البته يك نرم افزار تجاري هست كه امكان خريد لايسنس اون از طريق شركت آواژنگ در ايران ميسر هست .( قيمتهاي خيلي بالايي داره )

اسكنرها از لحاظ روش و به كارگيري اصطلاحات ، مثل هم هستند . يعني اگر شخصي اصطلاحات و مفاهيم به كار برده شده در يك اسكنر رو به خوبي متوجه بشه، با هر اسكنر ديگه اي هم ميتونه به راحتي كار كنه . فقط اينترفيس ها هست كه با هم فرق ميكنه . نكته ي مهم در انجام يك اسكن خوب ، انتخاب صحيح ماژول هاي موجود در اسكنر هست . يعني اگر ميدونيم كه سيستم عامل هدف لينوكس هست، ماژول هاي مربوط به ويندوز رو انتخاب نكنيم . يا اگر متوجه شديم كه روي يك سرور ، سرويس ftp در حال اجرا هست ، ماژول هاي مناسب با اين سرويس رو انتخاب كنيم و سعي كنيم كه اسكن هاي ديمي و باري به هر جهت انجام نديم .

چون مطمئن هستم كه مطالب در اين زمينه به اندازه ي كافي در سايتهاي دوستان موجود هست ، بيشتر از اين روي اين موضوع مكث نمي كنم و از مقالات بعدي ، وارد مراحل بعد از اسكن كه كاربردي تر هست ميشيم . انشاالله .

معمولاً در بعضي شرايط خاص ، يك مرحله به شناسايي هدف اضافه ميشه كه اصطلاحاً به اون Enumeration‌ ميگند ، كه من اسم پيشروي در جزييات رو روي اون گذاشتم . اگر هدف ما از سرويسهاي NetBios ، SNMP ، DNS‌ و SMB استفاده كنه ، شايد بشه اطلاعات بيشتري در مورد هدف بدست آورد . اين كه ميگم شايد به اين علت هست كه امروزه سيستم عامل و سرويسهاي اون ، اونقدر ايمن شدند كه ديگه نشه به اين راحتي اينجور تكنيكها رو روشون اجرا كرد . اما طبق اصول ، ما بايد با اين تكنيكها آشنا باشيم ، چون ممكنه جايي بدردمون بخوره .

اولين سرويسي كه در اين مرحله مطرح ميشه ، NetBIOS هست . اگر اين سرويس در روي سيستم هدف در حال اجرا و براي ما به صورت راه دور قابل دسترس باشه ( يعني در نتايج پورت اسكن ، پورتهاي 139 و 445 tcp براي SMB و 137 و 138 udp باز باشه ) مي تونيم اطلاعاتي از قبيل نام كاربري افرادي كه روي سيستم هدف داراي حساب كاربري هستند، نام گروه هاي كاربري و منابعي كه share‌ شدند رو بدست بياريم . من دقيقاً يادم هست كه 5- 6 سال پيش ، با استفاده از همين مسئله ، اسامي و نام كاربري و پست سازماني و گروه هاي كاربري حدود 50 الي 60 نفر از كارمند هاي شركت ذوب آهن اصفهان رو بدست آورده بوديم كه از مدير عامل تا مسئول حراست اين شركت داخل اين ليست بود . اگرچه فكر نمي كنم ديگه همچين هدف هايي پيدا بشه . اطلاعاتي كه از اين طريق بدست مياد ، معمولاً به طور مستقيم ما رو به دسترسي نميرسونه ، بلكه يك جور ديد و شناخت ما رو از هدف كاملتر ميكنه و امكان استفاده از اطلاعات در حملات ديگه رو بوجود مياره . همونطور كه ميدونيد NetBIOS بر روي سيستم هاي ويندوز قابل استفاده هست .

SNMP يا Simple Network Management Protocol‌ هم همونطور كه از اسمش پيداست، يك پروتكل مديريتي ساده هست كه براي مديريت راه دور سيستم ها و ابزارهاي شبكه بوجود اومده . نكته اي كه در مورد اين پروتكل وجود داره ، استفاده از يك string‌ هست كه بين ابزارهايي كه قصد دارند با استفاده از اين پروتكل با هم تبادل اطلاعات كنند ، رد و بدل ميشه . اين string كه اصطلاحاً به اون SNMP Community String ميگند ، در حالت مونيتور و خوندن اطلاعات ، به صورت پيش فرض رشته ي " public " و براي حالت نوشتن رشته ي “ private “ هست . بنابرين با استفاده از اين نقيصه ، ميشه اطلاعات خيلي جزيي در مورد سيستم پيكربندي سيستم هدف بدست آورد و حتي پيكربندي رو تغيير داد . SNMP رو پورت 161 udp در حالت listen قرار ميگيره و بيشتر روي ابزارهاي شبكه مثل روترها استفاده ميشه .

در مورد DNS Zone Transfer هم در مقالات قبل توضيح دادم .

نرم افزار هاي زيادي در مورد Enumeration وجود داره كه هر كدوم به يك بخش مي پردازه، اما بين اونها ، نرم افزار WinFingerprint تقريباً همه ي موارد رو در كنار هم جمع كرده . اينترفيس و كار كردن با اون خيلي ساده هست و احتياج به توضيح نداره .

اما قبل از شروع مرحله بعد در هك ، يك سري مقدمات رو بايد براي افرادي كه تازه ميخوان شروع كنند ، شرح بدم . اگر بخوايم مطالبي كه تا اينجا گفتيم رو جمع بندي كنيم، بايد اين رو بگيم كه ما بدنبال بدست آوردن اطالاعاتي بوديم كه از طريق اون اطلاعات ، روي سيستم هدف دسترسي پيدا كنيم و به قول معروف هكش كنيم . ما تمركز خودمون رو روي نفوذ به سيستم هدف ، از راه دور قرار دادیم . ولي اين تمام موضوع هك نيست . نفوذ از راه دور يكي از مقولات هك محسوب ميشه . كه البته در دنياي امنيت شبكه ، كمترين ريسك رو شامل ميشه . علتش هم اين هست كه خيلي از تهديدات راه دور ، با چند ترفند ساده قابل مهار هستند . چيزي كه امنيت شبكه خيلي از اون ميترسه ، وجود كاربران داخلي با دانش بالا یا بدون دانش و ناراصی هست كه ميتونند بيشترين تهديد رو براي شبكه بوجود بيارن . فرض كنيد كه يك كارمند در بخش Software Develop يك سازمان كه طبق نيازش ميتونه روي سيستمش نرم افزار نصب كنه ، يك sniffer نصب كنه و ... . اين چيزي هست كه امنيت شبكه خيلي از اون ميترسه و مباحث اصلي و حرفه اي امنيت ، اونجا معني پيدا مي كنند . اين موضوع رو مطرح كردم كه قبل از هر چيز بگم كه هك كردن فقط اسكن كردن ، پيدا كردن باگ ، اكسپلويت كردن سيستم و نفوذ به هدف از طريق اينترنت نيست و همه ي امنيت شبكه هم مقابله با اون نيست . اين تنها يك بخش كوچيك از اون چيزي هست كه همه به دنبال يادگيري اون هستيم .

خب ، با اين توضيح ما داريم از يك بحث ساده وارد دنياي هك ميشيم . يك سيستم رو اسكن كرديم و اسكنر ما ، مثلاً Nessus ، يك سري report به ما داده . حالا بايد چي كار كنيم ؟‌

گزارشي كه يك اسكنر به ما ميده ، معمولاً شامل سه نوع تقسيم بندي هست . اين سه دسته شامل
Security Hole , Security Warning و Security Note هستند . چيزي كه در مرحله ي اول براي ما مهم هست ، Security Hole ها هستند . اين حفره هاي امنيتي ، امكان نفوذ به سيستم رو براي ما فراهم مي كنند . هر باگي كه كشف و گزارش ميشه ، بعد از بررسي و تاييد ، دسته بندي ميشه و يك شماره منحصر به فرد ميگيره كه به اون BugtraqID يا BugID ميگند . كمترين چيزي كه يك اسكنر بايد گزارش بده ، BugID پبدا شده روي سيستم هدف هست . با استفاده از اين BugID ، ما ميتونيم اطلاعات دقيقتري نسبت به اون حفره امنيتي و راه هاي اكسپلويت كردن اون به دست بياريم . يكي از سايتهاي مرجع در اين زمينه ، سايت SecurityFocus.com هست .
ناگفته نمونه كه سایت bugtraq.ir هم یك مرجع خوب برای فارسی زبانها هست كه جای تقدیر و خسته نباشید برای گرداننده های اون رو داره و كمبود اون همیشه احساس میشد .
حالا علاوه بر BugID ، يك ديكشنري از آسيب پذيري هاي شناخته شده ي عمومي وجود داره كه به اون Common Vulnerability and Exposures يا CVE‌ مي گند . هر آسيب پذيري بر اساس سال كشف و گزارش داده شدن و چندمين آسيب پذيري در اون سال بودن ، يك شماره شناسايي منحصر به فرد ميگيره كه به شكل مثلاً CVE-2007-6303 نشون داده ميشه . اسكنري مثل Nessus‌ اين شماره رو هم در اختيار ميذاره كه با استفاده از اون هم ميشه به همون اطلاعات بالا دسترسي پيدا كرد . در سايت SecurityFocus با رفتن به لينك http://www.securityfocus.com/vulnerabilities امكان جستجو بر اساس CVE ميسر هست . همينطور با قرار دادن شماره BugID در انتهاي اين لينكhttp://www.securityfocus.com/bid/ به اطلاعات مورد نظر رسيد . مثلاً براي پيدا كردن اطلاعات باگ شماره 26832 ، از لينك زير استفاده ميكنيم :
http://www.securityfocus.com/bid/26832

اما بعد از رفتن به صفحه ي مربوط به باگ مورد نظر در اين سايت ، لينك exploit بسيار مورد استفاده قرار ميگيره . http://www.securityfocus.com/bid/26832/exploit .

در اين صفحه ، اگر براي اون باگ خاص در ديتابيس SecurityFocus ، اطلاعات يا كد خاصي باشه ، ارائه ميشه . نبودن اكسپلويت در اين سايت ، به معني نبودن اكسپلويت در مورد اون باگ به طور كل ، نيست .
اما اكسپلويت هايي كه در اين سايت قرار ميگيره ، تا اونجا كه من ديدم ، شامل چند نوع اكسپلويت ميشه كه به شرح ذيل هستند :

1)گروهي از اين اكسپلويت ها احتياج به كد خاصي ندارند و از طريق URL يا دستورالعملهاي خاصي قابل اجرا هستند . معمولاً روش استفاده از اونها در خود صفحه ي مورد نظر توضيح داده شده .

2)گروهي ديگه فايل هايي هستند كه پسوند c يا cpp دارند . اين اكسپلويت ها كد هايي هستند كه به زبان C يا C پلاس پلاس نوشته شدند و بايد قبل از اجرا ، بر اساس سيستم عاملي كه در براي اون نوشته شدند ، كامپايل بشن . اين نوع اكسپلويت ها سه دسته هستند . يك دسته اونهايي كه براي اجرا بر روي ويندوز نوشته شدند . اين گروه از هدرهاي مخصوص ويندوز مثل windows.h يا winsock.h يا winsock2.h استفاده ميكنند . گروه دوم كدهايي هستند كه براي استفاده در لينوكس نوشته شدند . اين كدها علاوه بر اينكه هدرهاي ويندوز رو ندارند ، از هدرهايي مثلsys/socket.h یا sys/types.h استفاده مي كنند . گروه سوم هم اكسپلويت هايي هستند كه براي هر دو محيط ويندوز و لينوكس نوشته شدند و هر دو سري از هدر ها رودارند و فرق نميكنه كه در ويندوز كامپايل بشن يا در لينوكس . اكسپلويت هاي ويندوزي رو با VC++6 و لينوكسي رو با gcc ميشه كامپايل كرد . نكته اي كه اينجا وجود داره اين هست كه معمولاً اين كدها در هنگام كامپايل يك سري خطا ميدن كه بايد اين خطاها رو رفع كنيد . عمده ترين خطاها مربوط به پيدا نكردن يك هدر خاص ، يا جا افتادن يك سمي كالن ، و يا تغيير علامت كوتيشن در انتهاي رشته ها بر اثر استفاده از يونيكدهاي مختلف در سيستم هاي مختلف هست .

3)گروه ديگه اكسپلويت هاي هستند كه پسوند pm دارند . اين اكسپلويتها ماژولهاي پرل هستند كه در MetaSploit قابل استفاده هستند . كافيه كه اونها رو به فولدر مربوط به اكسپلويت ها در MetaSploit كپي كنيد و در شرايطي كه هنگام load شدن با خطا مواجه شديد ؛ با توجه به پيغام خطا ، كافيه كه يك يا دو خط در سورس اكسپلويت تغيير ايجاد كنيد تا مشكل حل بشه .

4) گروه ديگه از اكسپلويت ها پسوند pl دارند . اينها اسكريپت هاي perl هستند . براي اجراي اونها در ويندوز از نرم افزار ActivePerl استفاده ميشه و لينوكس هم كامپايلر اون رو داره . خطاهاي اين اسكريپت ها هم بايد با توجه به پيغام خطا مرتفع بشه .

5)دسته ي ديگه از اكسپلويت ها ، پسوند py دارند كه اسكريپت هاي پيتون هستند كه مفسر اونها براي ويندوز و لينوكس موجود و قابل نصب هست .

6) گروه دیگه به صورت كدهای html هستند كه باید طبق دستور نویسنده از اونها استفاده كرد .

7)گروه آخر هم فايلهاي باينري هستند كه به طور مستقيم از ويندوز قابل اجرا هستند .

معمولاً همه ی این اكسپلویتها حاوی توضیحات برای نحوه ی صحیح استفاده و آسیب پذیری كه برای اون ها چك شده هستند , می باشند .

اگر دقت كرده باشيد ، متوجه ميشيد كه سايت SecurityFocus ، يك سايت امنيتي هست و به صورت خاص روي اكسپلويت ها فعاليت نمي كنه . سايت PacketStormSecurity.nl هم همينطور هست .اما سايت milw0rm.com به صورت تخصصي روي هك و اكسپلويت ها كار ميكنه .

اگرچه اكسپلويت مفهوم وسيعي داره ، اما از ديدگاه كدها ، دو جور اكسپلويت داريم . اكسپلويت هاي remote و local اكسپلويت هاي ریموت براي نفوذ بدون دسترسي هست ، يعني در شرايطي كه ما هيچ گونه دسترسي ، چه فيزيكي و چه راه دور به سيستم نداريم و تازه قصد داريم كه دسترسي بگيريم . اما اكسپلويت هاي لوكال براي زماني هست كه ما روي سيستم دسترسي داريم و حالا قصد داريم كه دسترسي خودمون رو به سطح بالاتري از مديريت برسونيم .

البته شما نباید اكسپلویت های مخصوص web application رو با این نوع اكسپلویت هایی كه در بالا در موردشون صحبت شد , یكی بدونید .برنامه های كاربردی تحت web داستانش متفاوت از سیستم عامل و سرویسهای اون هست . اگر چه خود web server به عنوان سرویس سیستم عامل مطرح میشه . بنابرین در مورد حملات تحت وب , در انجمن مربوط به خودش صحبت می كنیم .

یكی دیگه از مسائلی كه قبل از نفوذ مهم هست , آماده داشتن ابزارهایی هست كه مورد نیاز هست . این به معنی این هست كه قبل از شروع به نفوذ , باید بدونیم كه چه جوری میخوایم دسترسی بگیریم و بعد از دسترسی قصد داریم چه كار كنیم . بر همین اساس تمام ابزارهای مورد نیازمون باید دم دست باشن , تا كار سریع و درست انجام بشه. این كار احتیاج به تمرین و تجربه داره كه كم كم به دست میاد .

سیستم هكینگ ( 1 )
بحث در مورد گرفتن دسترسي روي هدف رو ، همونطور كه قول داده بودم ، به صورت كاربردي روي يك سيستم Windows XP SP1 شروع مي كنم .

محيط ما ، يك محيط آزمايشگاهي هست ، و من دقيقاً در مورد سيستم هدفم ، اطلاعات دارم ، بنابرين مستقيم ميرم سراغ اسكن كردن هدف . البته اينجا اسكن كردن رو فقط براي تمرين و دادن كمي توضيح در مورد گزارشات Nessus انجام ميديم ، وگرنه در حالت واقعي تر ، اگر بدونيم كه هدفمون XP SP1 هست ، با metasploit‌ به راحتي دسترسي ميگيريم .
من يك قسمت از گزارش ارائه شده توسط Nessus رو كه قصد داريم روي اون كار كنيم رو جدا كردم كه در زير مي بينيد .
کد:
microsoft-ds (445/tcp)


Synopsis :

Arbitrary code can be executed on the remote host due to a flaw in the 
LSASS service.


Description :

The remote version of Windows contains a flaw in the function 
DsRolerUpgradeDownlevelServer of the Local Security Authority
Server Service (LSASS) which may allow an attacker to execute
arbitrary code on the remote host with the SYSTEM privileges.

A series of worms (Sasser) are known to exploit this vulnerability
in the wild.


Solution: 

Microsoft has released a set of patches for Windows NT, 2000, XP and 2003 :

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx


Risk Factor : 

Critical / CVSS Base Score : 10
(AV:R/AC:L/Au:NR/C:C/A:C/I:C/B:N)
CVE : CVE-2003-0533
BID : 10108
Other references : IAVA:2004-A-0006, OSVDB:5248
Plugin ID : 12209

همونطور كه مشخص هست ، اين باگ معروف LSASS هست كه روي سرويس NetBIOS Over TCP مايكروسافت ،روي پورت 445 وجود داره . اين گزارش ميگه كه توسط اين باگ ميشه يك كد رو از راه دور روي سيستم قرباني اجرا كرد و دسترسي SYSTEM گرفت .

همين جا من يك نكته ي امنيتي خيلي ريز و خيلي خيلي مهم رو بگم كه اگر شما اون رو رعايت كنيد ، تقريباً 99 درصد از اكسپلويت هايي كه از باگهاي سيستم عامل و سرويس هاي اون ، مثل اين باگ ، و باگهايي كه هنوز كشف نشده ، استفاده ميكنند ، در گرفتن دسترسي روي سيستم هدف شكست ميخورند . ( قابل توجه worm نويسها كه از اين باگها براي طراحي worm‌ استفاده مي كنند )
در مقاله اي كه در مورد ايمن كردن ويندوزهاي سرور در همين سايت ارائه شده ، به حدود 20 تا فايل اجرايي مهم اشاره شده كه بايد دسترسي اجرا رو به اونها ، فقط و فقط به administrator داد . اين فايلها به طور پيش فرض ، دسترسي براي اكانت system‌ هم دارند كه بايد حذف بشه . يكي از اين فايلهاي مهم ، cmd.exe هست . اين اكسپلويت ها از شل كد استفاده مي كنند و همونطور كه در درسهاي شل كد نويسي اشاره كرديم ، شل كد بايد در انتها فايل cmd.exe رو اجرا و اون رو روي پورتي كه باز كرده bind كنه ، و چون اكثر سرويسها در ويندوز با اكانت SYSTEM‌ اجرا ميشن ، شل كد نمي تونه فايل cmd.exe رو كه اين اكانت به اون دسترسي نداره رو اجرا كنه و نهايتاً باعث ميشه كه اكسپلويت fail بشه . به همين راحتي با يك permission بندي درست ، سيستم شما تا حد خيلي زيادي safe‌ ميشه .

خب ، برگرديم به تحليل گزارش . چيزي كه براي ما مهم هست ، بخش انتهايي گزارش هست كه Risk Factor‌ رو توضيح داده . اين باگ از نوع بحراني تشخيص داده شده و بر اساس استاندارد امتياز دهي به باگهاي امنيتي (CVSS) ، امتياز 10 رو گرفته . حروف مخففي هم كه در زير اين امتياز دهي در داخل پرانتز نوشته شده ، مربوط به همين سيستم امتياز دهي هست كه جزييات و معاني اون ها رو ميتونيد در آدرس http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2 ببينيد . ما اينجا به شماره CVE‌ يا BID كه همون bugID هست ، احتياج داريم . به وسيله ي يكي از اين 2 آيتم ، به آدرس http://www.securityfocus.com/bid/10108 ميريم و وارد صفحه ي مربوط exploit ميشيم . همونطور كه مي بينيد ، ما اينجا 4 تا اكسپلويت داريم كه 3 تاي اونها كدهاي C هستند و آخري ماژول پرل براي metasploit . معمولاً در چنين شرايطي ، من اكسپلويت مربوط به metasploit‌ رو انتخاب مي كنم ، اما اينجا ، براي اينكه كدهاي C عموميت بيشتري دارند ، اكسپلويت ديگه اي رو انتخاب مي كنيم .
اكسپلويت HOD-ms04011-lsasrv-expl.c انتخاب مي كنيم . با كليك روي لينك اون ، كد نمايش داده ميشه . توضيحات كد و نحوه ي استفاده از اون كاملاً مناسب به نظر ميرسه ، ضمن اينكه نويسنده اظهار كرده كه روي هدف مورد نظر ما هم اون رو تست كرده . بنابرين VS C++ 6 رو اجرا ميكنيم ، يك فايل سورس C جديد باز مي كنيم و محتواي اكسپلويت رو copy & paste مي كنيم داخل فايل جديد . از منوي Build ، گزينه Compile رو انتخاب مي كنيم و فايل رو با يك اسم ، مثلاً hod.c ذخيره مي كنيم . در سيستم ما ، عمل كامپايل بدون خطا و با 5 اخطار (Warning) انجام شد كه اخطار ها قابل اغماض هستند ، مگر اينكه در هنگام ساخت فايل اجرايي باعث مشكل بشن . بنابرين از منوي build گزينه build رو انتخاب مي كنيم تا فايل اجرايي با اسم hod.exe ساخته بشه . فايل بدون مشكل ساخته ميشه . فقط بايد دقت كنيد كه آنتي ويروس ما به محض ساخته شدن فايل اجرايي ، اون رو ويروس تشخيص داد و حذفش كرد ، بنابرين بايد Auto – Protect آنتي ويروس رو غير فعال كنيد .
حالا اكسپلويت رو اجرا مي كنيم . شكل زير رو ببينيد .

اين اكسپلويت ، يك اكسپلويت جالب هست . همونطور كه در Usage و توضيحات اون اومده ، ميشه اون رو به دو شكل مستقيم و معكوس استفاده كرد . براي جلسه ي اول ، ما از روش مستقيم استفاده كرديم . در شكل بالا ، طبق توضيح نويسنده ي كد ، ما از عدد صفر براي Targets كه xp هست استفاده كرديم . آدرس ip هدف يا قرباني هم 192.168.0.10 هست و پورتي كه مي خوايم روي سيستم هدف باز بشه و از طريق اون شل بگيريم هم 4444 انتخاب كرديم . اگر حمله بدون مشكل انجام بشه ، خروجي اكسپلويت به شكل بالا خواهد بود و تا گرفتن دسترسي به همون شكل باقي ميمونه ( كنترل به سيستم عامل بر نمي گرده )
در اين حالت ، ما يك ترمينال ديگه باز مي كنيم و با استفاده از netcat ، روي پورت 4444 به سيستم هدف وصل شده و شل مي گيريم . بعد از گرفتن شل ، مسئله ي اصلي اين هست كه قصد داريم چه كاري انجام بديم . چون در اين سري از مقالات قصد ما آموزش هست ، بنابرين تمام كارهايي كه به ذهنمون ميرسه يا بلد هستيم رو انجام ميديم ، اما در حالت واقعي ، بايد يك مسير درست و منطبق با شرايط رو انتخاب كرد .

خيلي از مسيرها ، براي انجام ، احتياج به اين داره كه ما بتونيم روي سيستم هدف فايل upload يا از روي اون download كنيم . براي همين بايد اول بفهميم كه چطور بايد اين كار رو انجام بديم . در اين جلسه ما آسون ترين راه روي سيستم هاي ويندوز ، يعني استفاده از tftp رو بررسي مي كنيم و در درسهاي بعد ، روشهاي ديگه رو كار مي كنيم .

براي انجام اين كار ابتدا بايد يك tftp‌ سرور روي سيستم خودمون اجرا كنيم . ما از TFTPD32.EXE استفاده كرديم . بعد از اجرا ، بايد security اون رو روي none تنظيم كنيم.
بهتره فايلي رو هم كه ميخوايم uoload كنيم ، در همون فولدري باشه كه tftpd32.exe رو از اونجا اجرا كرديم .
استفاده از tftp.exe ، در سه صورت با شكست مواجه ميشه . اول اين كه مجوز اجرا براي اين فايل ، مثل cmd.exe ، فقط براي administrator تنظيم شده باشه . ما هنوز دسترسي در حد SYSTEM داريم . دوم اين فايل ، اصلاً روي سيستم هدف وجود نداشته باشه و سوم اينكه يك فايرول ، ارتباط روي پورت 69 udp رو ********** كنه .
حالا با فرض اين كه هيچ مشكلي وجود نداره ، مطابق شكل زير ، فايل nc.exe رو روي سيستم قرباني upload مي كنيم . نكته اي كه وجود داره اينه كه بايد nc.exe رو قبل از ارسال rename كنيم ، طوري كه تابلو نباشه . كه البته در اينجا براي ساده بودن ، اين كارو نكرديم .

بعد از ارسال nc.exe روي سيستم هدف ، بايد اون رو به صورت backdoor اجرا كنيم . در اين مورد به اندازه ي كافي مقاله آموزشي به زبان فارسي وجود داره و احتياج به توضيح نداره ، فقط من 2 تا نكته كه در جايي نديدم به اون اشاره بشه و خيلي مهم هم هست رو توضيح ميدم . تا اونجا كه من ديدم ، همه ميگن كه netcat در حالت backdoor ، بايد به شكل زير اجرا بشه :

nc.exe -l -p 1234 –e cmd.exe

اين حالت اجرا ، اگرچه كه يك backdoor روي پورت 1234 tcp روي هدف ايجاد ميكنه ، اما 2 تا ايراد بزرگ داره .
اونايي كه دوست دارند مطالب رو عمقي و كاربردي تر ياد بگيرند ، چند روزي فرصت دارند تا در اين مورد فكر كنند و بگن كه اين backdoor چه ايرادهايي داره

سیستم هكینگ ( 2 )
در قسمت اول جاهایی را به اشتباه توضیح دادم که در اینجا اصلاح میکنم . ( دوستان که مطالب را دنبال نمیکنن )

netcat‌ در ويندوز ، 2 تا option اضافي نسبت به لينوكس داره . يكي سوييچ d و يكي هم سوييچ L هستش . وقتي netcat در حالت backdoor در استارت آپ يا رجيستري قرار ميگيره ، وقتي سيستم بالا مياد و ميخواد netcat رو اجرا كنه ، پنجره ي command prompt ويندوز باز ميشه . حالا اگر سوييچ d استفاده نشه ، اين پنجره به همين شكل باز باقي ميمونه و title پنجره ، كاملاً نشون ميده كه netcat به حالت backdoor اجرا شده و اين خيلي تابلو و اشتباه مبتديانه اي هست . اما اگر سوييچ d رو به كار ببريم ، پنجره ي مورد بحث ، يك لحظه ي كوچيك باز ميشه و بلافاصله بسته ميشه و اين حالت نسبت به حالت قبلي بسيار مخفي تر هست . اين سوييچ تاثيري در موقعي كه backdoor رو از روي شل اجرا ميكنيم نداره . اما بهتره كه عادت كنيم هميشه ازش استفاده كنيم .

سوييچ بعدي كه مي بايست استفاده كنيم ، L به جاي l هستش . اين سوييچ باعث ميشه كه اگر به هر دليل ، سوكت ايجاد شده توسط backdoor بسته شد ، netcat به صورت اتوماتيك ، دوباره سوكت رو باز كنه . اين مورد خيلي به درد بخور هست ، مخصوصاً وقتي كه ما به صورت اشتباهي ، خط فرمان ارتباطي خودمون با backdoor رو ، روي سيستم خودمون مي بنديم .

پس بهتره كه netcat رو در حالت backdoor به اين شكل اجرا كنيم :

nc.exe –L –p 1234 –e cmd.exe –d

خب ، قبل از ادامه ي بحث در مورد هدفمون ، به يك روش ديگه براي گذاشتن يا برداشتن فايل روي سيستم هدف ، در سيستم هاي ويندوزي اشاره ميكنم . در اين روش از netbios و share براي انجام اين كار استفاده ميكنيم . البته اين روش ممكنه هميشه جوابگو نباشه . اما در صورتي كه استفاده از tftp‌ به هر دليل مقدور نباشه ، ميشه روي اين روش كار كرد . اين روش در حقيقت بازي كردن با دستورات net در ويندوز هست . چون دوست عزيز و استاد گرامي آقاي دكتر آراز صمدي ، حدود 4 سال پيش يك سري مقاله تحت عنوان ضروريات ويندوز سرور براي هکرها در اينترنت منتشر كردند و فكر ميكنم كه هنوز هم قابل دسترس باشه ، ديگه ضرورتي براي توضيح اين دستورات نمي دونم و فكر ميكنم كه همه با اين دستورات آشنا هستند . در اين روش ، كه اون رو بارها تست كردم ، شما ابتدا يك فولدر روي سيستم خودتوون share مي كنيد و فايلهايي كه قصد داريد رويه سيستم هدف قرار بديد رو در اون فولدر ميذاريد . بعد با استفاده از دستورات net use و net view ، از روي شل سيستم قرباني ، فولدر share‌ شده در سيستم خودتون رو به صورت يك درايو مجازي به درايوهاي سيستم هدف اضافه مي كنيد . و بعد با دستور copy اون فايلها رو از درايو ايجاد شده به سيستم هدف منتقل مي كنيم . همين كار رو براي برداشتن فايل از سيستم هدف هم ميشه انجام داد .
اين روش در زماني كه فايل net.exe فقط دسترسي اجرا براي administrator رو داشته باشه ، قابل استفاده نيست . همينطور وقتي كه ما از يك bug مربوط به netbios ، مثل همين باگ مطرح شده ، براي نفوذ به سيستم استفاده مي كنيم .

خب ، برگرديم به ادامه ي بحث خودمون . وضعيت خودمون رو بررسي مي كنيم :

1 – يك دسترسي با مجوز SYSTEM روي هدف داريم .
2 – مي تونيم فايل روي سيستم هدف up يا down كنيم .
3 – netcat رو روي سيستم up و به صورت backdoor اجرا كرديم و يك دسترسي ديگه هم روي سيستم هدف داريم .

از اينجا به بعد ، ديگه هر شخصي مسير خودش رو دنبال ميكنه . اما به طور كل ، اگر هدف ما داشتن يك دسترسي دائم روي سيستم هدف هست ، بايد بتونيم يك backdoor دائم روي سيستم ايجاد كنيم . ضمن اينكه بايد حواسمون به ردپا هامون هم باشه . براي شروع ، اول فايل auditpol.exe‌ رو روي سيستم قرباني up مي كنيم و اون رو به صورت auditpol /disable اجرا مي كنيم . اين كار باعث ميشه audit policy روي سيستم قرباني غير فعال بشه . حالا خيالمون راحته كه از اينجا به بعد ، فعاليت هاي ما ثبت نميشه . اما يك نكته هم اينجا وجود داره .

نمي دونم كدوم يكي از دوستان ، چندوقت پيش به صورت خصوصي ، سوالي در مورد سيستمهاي ضد اطلاعاتي پرسيده بود . در ضد اطلاعات ، كار بايد به مخفيانه ترين روش انجام بشه . فرق اطلاعات با ضد اطلاعات اينه كه اطلاعاتي ، اطلاعات رو از افراد معمولي بدست مياره ، اما ضد اطلاعاتي ، اطلاعات رو از اطلاعاتي بدست مياره ، و اين خيلي فرق داره . افراد عادي معمولاً نسبت به پيرامونشون كم توجه هستند و نكته ها براشون مهم نيست ، اما اطلاعاتي ها كاملاً هشيار هستند . بنابرين وقتي يك برنامه ضد اطلاعاتي قرار هست كه انجام بشه ، بايد خيلي دقيق و حرفه اي انجام بشه . به همين علت ، مثلاً وقتي قرار هست كه محيط يك اطلاعاتي مورد تجسس قرار بگيره ، اين كار بايد توسط حداقل دو نفر انجام بشه . يكي از اين دو نفر ، تجسس ميكنه و نفر دوم ، تمام چيزهايي رو كه نفر اول مورد تجسس قرار ميده يادداشت ميكنه . اين كار براي اين هست كه هنگام ترك كردن موقعيت ، تمام وسايل بررسي شده ، دوباره به همون شكل اول سرجاشون قرار بگيرند . چون يك شخص اطلاعاتي به راحتي ميتونه متوجه تغييرات بشه .

خب ، اين موضوع رو مطرح كردم كه بگم ، اگر Audit Policy غيرفعال بشه ، امكان اينكه در بررسي هاي امنيتي متوجه اون بشن ، خيلي زياد هست . بنابرين خوبه كه هر وقت خواستيم ارتباط رو قطع كنيم ، اون رو enable كنيم . حتي ميتونيم مشخص كنيم كه مثلاً 5 دقيقه بعد از خروج ما ، اين عمل انجام بشه .

قدم بعد ميتونه ثبت backdoor در رجيستري ويندوز يا تهيه يك batch file‌ و قرار دادن اون در Start Up باشه . در هر دو صورت ، بهتره كه يك batch file براي اجراي backdoor تهيه بشه و بعد اين batch file با برنامه هاي bat2com يا bat2exe تبديل به يك فايل اجرايي بشه . اسم اين فايل هم كاملاً شبيه فايلهاي سيستمي ويندوز انتخاب بشه . اون وقت اين فايل رو با استفاده از دستور reg ، از خط فرمان در رجيستري ثبت كرد يا در start up قرار داد .
يكي ديگه از راه هاي متداول براي حفظ دسترسي ، ايجاد يك حساب كاربري و انتقال اون به گروه ادمين ها هست . اين كار هم با دستورات net قابل اجرا هست كه چون در مقالات آقاي دكتر صمدي موجود هست ، ديگه به اون نمي پردازم .

در مقالات بعد ، انشاء الله مطالب بيشتري رو در اين زمينه بررسي خواهيم كرد .

کلک برای بالا بردن دسترسی
خیلی موقع ها پیش میاد برای شما که ممکنه بخواهین سطح دسترسی اکانت خودتون رو داخل سیستم عامل ویندوز افزایش بدین .
همونطور که میدونین داخل ویندوز های NT Based از جمله 2000 - 2003 - XP دو نوع سطح دسترسی وجو داره که یکیش سطح Administrator هست یعنی مدیر سیستم که به تمامی resource ها دسترسی داره و میتونه سیستم رو مدیریت کنه و یکی دیگه از نوع دسترسی ها نوع دسترسی Limit هست که همونطور که از اسمش پیداست کاربرانی که از این نوع تعریف میشن " محدود " هستن و برای انجام خیلی از کارها قابلیتهای انجام اون کار رو ندارن و در واقع privilege اون اکانت در سطح پائین و limit قرار داره .
ولی بعضی اوقات و به خاطر برخی از دلایل شما مجبور میشین سطح دسترسی خودتون رو افزایش بدین ( قانونی و یا غیر قانونی . این بستگی به شما داره ! ) .
همونطور که میدونین دسته ای از آسیب پذیری ها وجود دارن که از اونها با نام Privilege Escalation نام برده میشن که به دلیل وجود آسیب پذیری در یک سرویس خاص ، قابلیت افزایش سطح دسترسی تا سطح administrator وجود داره .
اکثراً هم افزایش این privilege ها به صورت local صورت میگیره یعنی در واقع exploit اونها به صورت local نوشته میشه که بهشون میگن Local Escalation Of Privilege .
خیلی اوقات بسیاری از کدهای مخرب هم توی War Head برای Conquer کردن یک سیستم و نفوذ به یک سیستم بعد از اینکه War Head خودشون رو اجرا کردن که قاعدتاً یک Exploit از نوع 0day هست با یک آسیب پذیری 0day از نوع escalation سطح دسترسی خودشون رو به Admin میرسونن .
خوب ، بعضی اوقات پیش میاد که شما قابلیت Run کردن یک exploit از نوع privilege escalation رو روی سیستم خودتون ندارین و در واقع به هر نوعی شاید محدودیتی داشته باشین ، مثل اینکه نتونین Cmd رو اصلا باز کنین که بخواهین یک exploit رو پارامتر دهی کنین و از نوع طریق دسترسی بگیرین .
در همچین مواقعی که تقریباً میشه گفت تمام درها به روی شما بسته هست یک راه میمونه و اون هم استفاده از یک ابزار بسیار جالب هست که امروز به صورت کامل بررسیش کردم و روی سیستم خودم تست کردم و جواب گرفتم .
اسم این ابزار PC Login Now هست که به صورت یک Live CD لینوکس هست که به صورت یک image روی HD شما اجرا میشه و به شما اجازه میده که با انتخاب کردن ویندوز مورد نظر خودتون اکانتها رو بررسی کنین ، اونها رو Disable کنین ، lock کنین و مهم ترین و جالبترین هسمتش اینه که اجازه افزایش سطح دسترسی یک اکانت رو به شما میده و در واقع شما میتونین از پائین ترین سطح دسترسی ( به طور مثل : مهمان ) به بالاترین سطح دسترسی ( administrator ) روی ویندوز خودتون برسین .
و در واقع وظیفه Elevate کردن سطح دسترسی بیشتر رو به عهده میگیره .
خوب این مسئله برای خیلی ها میتونه حائز اهمیت باشه .
لینک دانلود این ابزار :
http://downloads.sourceforge.net/pcl...esize=57894912

نکاتی که برای استفاده از این ابزار باید در نظر داشته باشین و انجام بدین :

[ + ] اول اینکه ابتدا Image مورد نظر رو که دانلود کردین با یک ابزار Write مثل Nero روی یک cd رایت میکنین .
[ + ] سیستم خودتون رو Boot میکنین و CD رو داخل CD ROM قرار میدین و از قسمت تنظیمات مربوط به BIOS سیستم رو از روی CD Rom / DVD Rom بوت میکنین .
[ + ] CD شروع به Boot شدن میکنه و پس ازطی چند مرحله که به صورت Automatic انجام میشه میرسه به جائی که شما باید ویندوز مورد نظر خودتون رو که میخواهین توی قسمت تنظیمات Account ش دستکاری بکنین رو انتخاب کنین .
[ + ] مرحله بعدی میرسه به جایی که شما اکانت مورد نظر خودتون رو انتخاب میکنین و با توجه به ابزارهایی که دور و برش میبینین یه کارهای جالبی روش صورت میدین که دیگه من نمیگم که خودتون ببینین .
نهایتاً شما یک User در سطح Limit که کاملاً محدود هست رو میتونین تبدیل کنین به یک User که قابلیت مدیریت کل سیستم رو داره .

ممنون واقعا" تخصصیه.

عالیه.