"Данная статья написана исключительно в мирных целях, её не стоит воспринимать за руководство ко взлому, и тем более, как практическое пособие. И вообще, я не первый, кто пишет подобные вещи, так что заранее заявляю, что не несу никакой ответственности за тот вред, который может принести (и принесёт, надеюсь) эта вещь. Основная тема всего нижеследующего бреда - проблемы в обработчике запросов драйвера MS ODBC и релиз кульно-рульной проги под хитрым названием Sss (то бишь Shadow Security Scanner). Про сам релиз вы можете прочитать чуть раньше, кто-то уже её тут описывал, я же просто буду опираться на результаты, полученные в ходе её использования. Итак, скачав сей продукт, я, естественно, тут же решил произвести бета-тестирование. Для тестов мне попался тихий забитый homеpage одного знакомого геймклуба, который в дальнейшем буду для простоты называть сервер. Сам сайт имел тихое, не содержащее лишних понтов доменное имя третьего уровня и стоял на WinNT4.0. Запустив прогу, я отправился ужинать (при моём коннекте времени сканирования с лихвой хватило бы не то, что ужин, а на солидный банкет с последующими танцами и девочками:). Вернувшись, я обнаружил, что прога зависла на самом интересном месте. Помянув недобрым словом Красную Тень и его весёлые сканнеры с соотношением понтов/багов 1:1, я плюнул на глюки и решил просмотреть те результаты, что уже имелись в моём распоряжении. Вот тут-то я и подпрыгнул до потолка от радости. Логи были оформлены в виде HTML-страниц (!) с живыми ссылками (!), описанием всех найденных дыр(!), и прямыми линками на соответствующий багтрак!!! Короче, приложив минимум усилий, я сэкономил кучу времени. Итак, вот те результаты, что имелись в моём распоряжении FTP Servers: Anonymous FTP Port: 21 CGI Scripts: CGI - ExAir query DoS Port: 80 Script http://server/IISSamples/ExAir/search/query.aspBugtraqID: 193 CGI Scripts: CGI - ExAir advsearch DoS Port: 80 Script http://server/IISSamples/ExAir/search/advsearch.aspBugtraqID: 193
CGI Scripts: CGI - ExAir search DoS Port: 80 Script http:/server/IISSamples/ExAir/search/search.asp BugtraqID: 193 CGI Scripts: IIS Web adminsitration hole Port: 80 Script http://server/iisadmpwd/aexp4b.htrCGI Scripts: MSADCS RDS Vulnerability Port: 80 Script http://server/msadc/msadcs.dllBugtraqID: 529 Web Servers: codebrws.asp Port: 80 Script http://server/iissamples/exair/howitworks/codebrws.aspПонятно, что если бы я был Митником, то мне вполне хватило бы одного Anonymous FTP. Но так, как я (а возможно и ты, друг) пока недостаточно крут для таких вещей, то пришлось искать что-то попроще. Следующие 3 скрипта давали уязвимость, позволяющую загрузить процессор до 100%. Эту возможность я оставил на крайний случай, если не получится ничего другого, так хоть западло будет что надо:). Что такое Web Administration Hole (Дырка Администрации Паутины), я не знал, но справедливо предположил, что это имеет отношение к женскому полу, но при чём здесь Паутина, а также Администрация (женщины - плохие админы), я не понял, ну и ладно. А вот следующий и последующий пункты меня очень даже оживили. Уязвимость в MSADCS.DLL давала возможность исполнять команды на удалённой машине с высшим (системным) приоритетом. А стрёмный codebrws.asp позволял просматривать файлы на сервере. Уже хорошо. Вот на этом месте достаточно образованные товарищи скажут ""Да ну его на фиг, этого ламера, мы и так нормально сечём, тут уже нечего делать, мы пошли ломать"". Ну и фиг с вами, идите, мне начхать! Так вот, касательно сервера; сначала я попробовал применить эксплоит от eEye под названием iishack, но после победных надписей о том, что, мол, всё класс, мужик, портшелл заливается, iis в дауне, и.т.д., ничего почему-то не произошло. ""Пропатчено"" - подумал Штирлиц. ""Штирлиц"" - подумало Пропатчено. Нужно было искать другие пути. После этого я попытался утянуть у них sam._ и всучить всё это дело l0phtcrack'у, но вонючий, гадский, ...., ......., ... codebrws.asp конкретно перепорт ил это дело, и выяснить что-либо не представлялось возможным. (Кстати, дабы меня не обвинили в плагиаторстве, надо заметить, что все действия, описанные тут, я совершал, руководствуясь материалами с l0pht.com, void.ru и microsoft.com). Потом я нашёл на сервере newdsn.exe, и вспомнил о тех самых дырах в ODBC-драйверах. Что это за дыры и с чем их едят, я конечно же не знал, но, как порядочный человек, полез на багтрак и стал вчитываться в бред на английском, изредка перемежающийся полезной информацией. После некоторого изучения этого материала стало ясно, что для создания объекта (Data Source), запрос к скрипту должен иметь примерно следующий вид: http://server/scripts/tools/newdsn.exe?driver=Microsoft%2BAccess%2BDriver%2B%28*.mdb%29&dsn=nazgul&dbq=c%3A%5Csys.mdb&newdb=CREATE_DB&attr=HTTP/1.0Конечно, до этого было несколько неудачных попыток, но в конце концов я получил ""Data Source creation succesful"" на красивом сером фоне. Дальше я узнал из документации (сайты смотрите выше), что драйвер ODBS, через который обращаются к DSN'у имеет свойство воспринимать виды запроса к нему, выделенные ""|"" и содержащие строку типа shell (""....."") как руководство к исполнению команд с системными правами. Круто? Вот и я так подумал. Но зато когда я обратился к msadcs.dll, мне в ответ написали какой-то стрём, в котором было нечто вроде этого: ""Content-Type: application/x-varg Content-Length: 6"" и т.д... То есть, обращение шло через какой-то непонятный формат Майкрософта application/x-varg. Ну, я стал думать, как быть дальше. На Void по этому поводу было высказывание, что, мол, если не получится сразу написать свой руль на дельфи, то идите изучать документацию к Биллу, а потом всё равно напишете, куда вы денетесь-то:). На багтраке по этому поводу придерживались совершенно другого мнения, и выложили готовый ""The Remote Data Service (RDS) Exploit By Wanderley [-Storm-] Jr. "". После всего этого и создания DSN'a (nazgul), который потом и эксплоитился, команды шелла прошли без запинки. После закачки и исполнения на сервере GetAdmin'a всё вообще стало путём!:)"