Подробный анализ незаконного получения доступа к компьютерным данным (Часть 2)
Если вы захотите прочитать предыдущую часть статьи, то пройдите по ссылке Подробный анализ незаконного получения доступа к компьютерным данным (Часть 1).
В первой части мы остановились на просмотре номера открывающего пакета, отправляемого Nmap. Отправка номера началась с обратного ответа ICMP, что означает, что IP адрес принадлежит компьютеру или сетьи. Более того, мы смогли убедиться из ttl в пакете ICMP, что компьютерная сеть жертвы, базируется на Microsoft Windows. Теперь мы просмотрим оставшиеся пакеты в Nmap сканировании и получим оставшуюся информацию, которая позволит нам определить параметры сети жертвы.
Продолжим
10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 >192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..
10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 >
192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........
Два выше приведенных пакета появились сразу после пакета, основанного на ICMP, с которым мы ознакомились в первой части статьи. Nmap отправил ACK пакет на IP адрес сети жертвы - 192.168.111.23 в порт 80. В случае профилирования информации у нас нет всех результатов. Мы видели, что пакет ACK, полученный от хакера, извлек обратно пакет RST, так как этот ACK был неожиданным. На самом деле он не принадлежит к предыдущему установленному соединению. У нас до сих пор есть ttl 128, являющийся аналогом ttl, который мы видели раньше.
10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 30720x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...
10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 >
192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240 <mss 1460>
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,..@.......o.
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........
10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 >
192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..
Обменяв ACK и RST пакеты, мы видим, что настоящий SYN пакет, который хакер отправил в сеть жертвы, как показано в пакете с выделенной буквой «S». Затем идет извлечение SYN/ACK пакета из сети жертвы в порт 21. Это изменение заканчивается тем, что хакер со своего компьютера отправляет RST пакет в сеть жертвы. В этих трех пакетах теперь содержится еще больше профилирующей информации.
Из компьютера жертвы мы имеем тот же ttl 128, но также у нас есть и окно размером 64240. Хотя это значение не отображено в раннем списке hyperlinked to, это на самом деле размер окна, которое я видел раньше много раз из Win32 (32-бттный вариант Microsoft Windows, такие как Win NT, 2K, XP и 2K3). Другими определяющими значениеми на компьютере с Microsoft Windows, как и ожидалось, являются IP ID номера. В этом случае у нас есть только IP ID значение, в нашем примере 398 в середине выше приведенного пакета. Нам понадобится как минимум еще одно значение, чтобы с уверенностью сказать, что этот компьютер является MS Windows. Поэтому давайте взглянем на оставшиеся пакеты из Nmap сканирования.
10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 >192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...
10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 >
192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240 <mss 1460>
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,..@.......o.
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........
10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 >
192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......
Первое, на что смотрит хакер – это возрастание IP ID номера до 399. Этот IP ID на самом деле 399, как видно в центральном пакете. Благодаря этой информации, хакер уверен, что он имеет дело с NT, 2K , XP, или 2K3. Так же в этом пакете видно, что у порта 80 сети жертвы есть сервис, как на то указывает SYN/ACK. SYN/ACK пакет определен проверкой поля флагов в TCP заголовке, в нашем примере подчеркнуто в шестнадцатеричном коде 12 или в десятичном 18. Это значение получается с помощью значения 2 SYN флага, которое прибавили к значению ACK флага, которое равно 16.
Про нумерацию
Теперь, когда хакер знает, что порты 21 и 80 открыты, он переходит к стадии нумерации. Все, что ему нужно знать – это тип веб-сервера, который используется для соединения. Для него будет глупость использовать эксплойт Apache в веб-сервере IIS. Не забывая об этом, он открывает cmd.exe и активизирует netcat.
C:\>nc.exe 192.168.111.23 80GET slslslls/
HTTP/1.1 400 Bad Request
Server:Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body> В выше приведенном синтаксисе netcat или nc.exe мы можем видеть IP адрес сети жертвы, так же как и порт 80. Нажав один раз Enter, он печатает в заголовок GET HTTP, после которого идет устаревшая информация. Это вынуждает веб-сервер сети жертвы отослать в ответ информацию, так как он не понимает запрос. На самом деле он сам себя нумерует:-). Поэтому хакер теперь знает, что он работает с Microsoft IIS 5.0. Великолепная новость, так как теперь у него есть выбор эксплойтов для этой версии IIS. Все замечательно взаимодействуют в интегрированной среде Metasploit. После того, как хакер просканировал сеть жертвы, используя Nmap, он получит важный комплект пакетов. Как мы видели, благодаря этим пакетам хакер теперь имеет достаточно информации для нанесения удара по операционной системе, архитектуре и с помощью netcat по серверу. В конце концов, неплохой багаж информации. Благодаря ей хакер смог провести профиляцию хост-узла, архитектуры и сервиса. С этой информацией теперь готов начать атаку на веб-сервер сети жертвы. В третей части мы рассмотрим это более подробно. Увидимся. Если вы захотите прочитать предыдущую часть статьи, то пройдите по ссылке Подробный анализ незаконного получения доступа к компьютерным данным (Часть 1).
</html>
C:\>
Заключение
Автор: Дон Паркер (Don Parker)
Дон Паркер (Don Parker), GCIA GCIH специализируется на вопросах распознавания вторжений и их обработке. Он также работает в качестве приглашаемого докладчика в различных конференциях, посвященных сетевой безопасности, и пишет для различных online и печатных изданий по проблемам компьютерной безопасности. Вы можете связаться с Доном Паркером по адресу don@windowsecurity.com.
Программа для учета трафика и контроля интернет активности пользователей компании, использующей Microsoft ISA Server 2004/2006.
Набор бесплатных утилит, облегчающих работу администратора Microsoft ISA Server.
Программа для контроля Интернет-канала организации и учета трафика, проходящего через Microsoft ISA Server
и другие прокси-серверы. Позволяет отслеживать кто, когда, куда, откуда и зачем выходил в Интернет.
Программа для учета трафика и контроля эффективности работы Microsoft Exchange Server и других почтовых серверов.
Позволяет отслеживать сколько, кто, кому, когда отправлял электронных писем.
Программа для мониторинга принтеров Вашей организации. Позволяет отслеживать кто, когда и сколько распечатал страниц.
RSS
