Архив спецвыпуска журнала Хакер на www.realsoft.by.ru, номер #024, стр. 024-018-4, АТАКА проходим сквозь фаерволл

АТАКА проходим сквозь фаерволл

GREEN (green@rootshell.ru)

Спецвыпуск Xakep, номер #024, стр. 024-018-4

# /sbin/ifconfig eth0 mtu 100

# nc -vvv 172.16.0.2 21

(UNKNOWN) [172.16.0.2] 21 (?) open

220 sol FTP server (SunOS 5.6) ready.

227 (172,16,0,2,128,7)

500 '

[1]+ Stopped nc -vvv 172.16.0.2 21

В этот момент мы можем соединиться сервером по порту 32775 (128*258+7), в случае, если на той стороне установлен Solaris 2.6, на этом порту сидит дырявый ToolTalk сервис, который мы теперь можем поиметь.

Некоторые реализации фаерволла позволяют передавать данные по такому открытому порту только в одном направлении - к серверу, так что для окончательного успеха нам нужен такой ToolTalk, который выполнит, например, такие операции:

"cp /usr/sbin/in.ftpd /tmp/in.ftpd.back ; rm -f /usr/sbin/in.ftpd ; cp /bin/sh /usr/sbin/in.ftpd".

В результате следующее соединение к этому серверу по 21-му порту даст нам root shell.

ПЕРЕДАЧА ИНФОРМАЦИИ ИЗНУТРИ

Теперь посмотрим, как можно передать инфу изнутри сети, прикрытой фаерволлом. Естественно, для этого нужно иметь помощника - например, трояна или живого человека, готового продать информацию изнутри, но не готового носить внутрь дискетки/винты (например, из-за строгого пропускного режима).

В самом простом случае все исходящие соединения, сделанные с внутренних машин наружу, будут работать. В таком случае информацию можно просто переслать. В случае с трояном - он установит соединение наружу, по которому ему будут передавать команды, что делать дальше, например, установить еще одно соединение и все данные из него перенаправить для выполнения cmd.exe (или другим локальным шеллом, если троян не для windows).

В чуть более сложном случае - исходящие соединения будут разрешены только на определенные порты (например, 80-й - для http); этот случай почти так же тривиален, как и предыдущий. Всего лишь нужно заставить троян соединяться с твоим серваком по 80-му порту. Ну, или человеку передавать данные на 80-й порт. В общем, если из внутренней сети есть доступ в Internet и внутри есть помощник - информацию утаить невозможно.

Назад на стр. 024-018-3 Содержание Вперед на стр. 024-018-5