Подробный анализ незаконного получения доступа к компьютерным данным (Часть 2)

Published on Февраль 2, 2009 by   ·   Комментариев нет

Если вы захотите прочитать предыдущую часть статьи, то пройдите по ссылке Подробный анализ незаконного получения доступа к компьютерным данным (Часть 1).

В первой части мы остановились на просмотре номера открывающего пакета, отправляемого Nmap. Отправка номера началась с обратного ответа ICMP, что означает, что IP адрес принадлежит компьютеру или сетьи. Более того, мы смогли убедиться из ttl в пакете ICMP, что компьютерная сеть жертвы, базируется на Microsoft Windows. Теперь мы просмотрим оставшиеся пакеты в Nmap сканировании и получим оставшуюся информацию, которая позволит нам определить параметры сети жертвы.

Продолжим

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 >
192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1…..o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^…^
0x0020: 5010 0800 fd46 0000 P….F..
10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 >
192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(……….o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$…^…^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P…h………

Два выше приведенных пакета появились сразу после пакета, основанного на ICMP, с которым мы ознакомились в первой части статьи. Nmap отправил ACK пакет на IP адрес сети жертвы — 192.168.111.23 в порт 80. В случае профилирования информации у нас нет всех результатов. Мы видели, что пакет ACK, полученный от хакера, извлек обратно пакет RST, так как этот ACK был неожиданным. На самом деле он не принадлежит к предыдущему установленному соединению. У нас до сих пор есть ttl 128, являющийся аналогом ttl, который мы видели раньше.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q…o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o…..w…….
0x0020: 5002 0c00 37ce 0000 P…7…
10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 >
192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240 <mss 1460>
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,..@…….o.
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o…..ds}Dw…
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `…OX……..
10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 >
192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n……..o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o…..w…w…
0x0020: 5004 0000 ca50 0000 P….P..

Обменяв ACK и RST пакеты, мы видим, что настоящий SYN пакет, который хакер отправил в сеть жертвы, как показано в пакете с выделенной буквой «S». Затем идет извлечение SYN/ACK пакета из сети жертвы в порт 21. Это изменение заканчивается тем, что хакер со своего компьютера отправляет RST пакет в сеть жертвы. В этих трех пакетах теперь содержится еще больше профилирующей информации.

Из компьютера жертвы мы имеем тот же ttl 128, но также у нас есть и окно размером 64240. Хотя это значение не отображено в раннем списке hyperlinked to, это на самом деле размер окна, которое я видел раньше много раз из Win32 (32-бттный вариант Microsoft Windows, такие как Win NT, 2K, XP и 2K3). Другими определяющими значениеми на компьютере с Microsoft Windows, как и ожидалось, являются IP ID номера. В этом случае у нас есть только IP ID значение, в нашем примере 398 в середине выше приведенного пакета. Нам понадобится как минимум еще одно значение, чтобы с уверенностью сказать, что этот компьютер является MS Windows. Поэтому давайте взглянем на оставшиеся пакеты из Nmap сканирования.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 >
192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(….;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o….Pw…….
0x0020: 5002 1000 3393 0000 P…3…
10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 >
192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240 <mss 1460>
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,..@…….o.
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw…
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `…y………
10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 >
192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o……..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o….Pw…w…
0x0020: 5004 0000 ca15 0000 P…….

Первое, на что смотрит хакер – это возрастание IP ID номера до 399. Этот IP ID на самом деле 399, как видно в центральном пакете. Благодаря этой информации, хакер уверен, что он имеет дело с NT, 2K , XP, или 2K3. Так же в этом пакете видно, что у порта 80 сети жертвы есть сервис, как на то указывает SYN/ACK. SYN/ACK пакет определен проверкой поля флагов в TCP заголовке, в нашем примере подчеркнуто в шестнадцатеричном коде 12 или в десятичном 18. Это значение получается с помощью значения 2 SYN флага, которое прибавили к значению ACK флага, которое равно 16.

Про нумерацию

Теперь, когда хакер знает, что порты 21 и 80 открыты, он переходит к стадии нумерации. Все, что ему нужно знать – это тип веб-сервера, который используется для соединения. Для него будет глупость использовать эксплойт Apache в веб-сервере IIS. Не забывая об этом, он открывает cmd.exe и активизирует netcat.

C:\>nc.exe 192.168.111.23 80
GET slslslls/
HTTP/1.1 400 Bad Request
Server:Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
C:\>

В выше приведенном синтаксисе netcat или nc.exe мы можем видеть IP адрес сети жертвы, так же как и порт 80. Нажав один раз Enter, он печатает в заголовок GET HTTP, после которого идет устаревшая информация. Это вынуждает веб-сервер сети жертвы отослать в ответ информацию, так как он не понимает запрос. На самом деле он сам себя нумерует:-). Поэтому хакер теперь знает, что он работает с Microsoft IIS 5.0. Великолепная новость, так как теперь у него есть выбор эксплойтов для этой версии IIS. Все замечательно взаимодействуют в интегрированной среде Metasploit.

Заключение

После того, как хакер просканировал сеть жертвы, используя Nmap, он получит важный комплект пакетов. Как мы видели, благодаря этим пакетам хакер теперь имеет достаточно информации для нанесения удара по операционной системе, архитектуре и с помощью netcat по серверу.

  • У нас есть возрастающие IP ID номера, которые указывают на MS Windows.
  • У нас есть ttl 128, который тоже указывает на MS Windows.
  • Также ttl 128 указывает на ошибку в структуре Intel x86 — SPARC.
  • Через netcat мы узнали, что веб-сервер MS IIS 5.0.

В конце концов, неплохой багаж информации. Благодаря ей хакер смог провести профиляцию хост-узла, архитектуры и сервиса. С этой информацией теперь готов начать атаку на веб-сервер сети жертвы. В третей части мы рассмотрим это более подробно. Увидимся.

Источник www.windowsecurity.com














































Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]