Охота за багами

Докучаев Дмитрий aka Forb

Спецвыпуск: Хакер, номер #047, стр. 047-062-2

Следующий интересный авторутер использовал известный баг в OpenSSH. Ты, наверное, помнишь множество поколений эксплоита x2. Так вот, комплект xssh.tgz содержал в себе сплоит x2, а также два бинарника: Xnet и Xirc.

Xnet - обычный сканер, совмещенный с эксплоитом, при запуске он искал в заданном диапазоне IP-адресов хост с нужным демоном и пытался его порутать. В случае успеха эксплоит автоматически добавлял нового юзера на машине жертвы, сообщал об этом к себе в лог и продолжал поиск.

Xirc делал нечто куда более оригинальное. Он заходил в IRC и пытался найти жертву там! Xirc join’ился на определенный канал и проверял всех присутствующих на предмет уязвимости в OpenSSH. Найдя ее, запускал эксплоит и далее по тому же принципу, что и в Xnet.

Этот авторутер успешно тестировался мной в локальной сети одного университета. Практически все демоны в университетской локалке были уязвимы, поэтому Xnet подарил мне целых шесть рутов!

Сканирование местности

Но на все уязвимости авторутеров не напасешься, да и обнаружить их все не так-то уж просто. Тут на помощь приходят сканеры безопасности.

Под *nix-системы существует много различных сканеров, но самый известный из них - nessus. Этот пакет состоит из двух частей - серверной и клиентской. Перед тем как сканировать сеть на уязвимости, необходимо сконфигурировать nessusd.conf и создать нового пользователя (командой nessus-adduser). Затем можно запускать демон nessusd с параметром -D (в режиме демона). Далее с настройкой можно разобраться и без бутылки: запускаем клиент и в удобных Иксах конфигурируем параметры nessus. Не забудь указать логин и пароль того юзера, которого ты создал консольным nessus-adduser. Пожалуй, после этих шагов nessus готов к автоматизированному сканированию. К каждому найденному багу прилагается подробное описание включая ссылку на багтрак, так что ты всегда будешь знать, каким эксплоитом можно атаковать дырявого пингвина!

Следующий хакерский сканер поможет найти уязвимость по заданному баннеру. Известный grabbb от TESO умеет сканировать сетевую местность с записью в журнал баннеров указанных служб - стоит лишь запустить его в бэграунд с полным логгингом. Именно с помощью grabbb я искал уязвимые FTPD.

Также не могу не рассказать о чудесном сканере strobe, который до недавнего времени вообще был приватным. Он необходим при определении неизвестного сервиса на открытом порте (портах). Кстати, strobe и grabbb объединяет один недостаток – невозможность сканирования диапазонов сетевых адресов. И тот, и другой сканеры понимают лишь отдельные IP-адреса, которые генерируются специальными утилитами с последующей записью в специальный host-файл. Как ты догадался, этот файл и передается сканеру в качестве параметра.