bugtraq.ru / библиотека / беллетристика / хакнутые выборы-II
Часть 0х02.
ОргВопросы.
Офис головной компании одной из
крупнейших в Европе XYZ компаний. Кабинет "по должности СисАдмина/Main
Developer'а/Персонального Домового/CIO".
Мысли:
----------------------------------------------------
Таааксь. Что у нас по хаку этого хлама можно придумать?
Первое - надо всё про Вишню разузнать подробнее. С кем работает, кто, где что и
как #@$%$#@-ит. Потом придумать стратегию.
Таааксть. Что мы там про
Зимнюю Вишню знаем?
А вот что:
http://www.ibusiness.ru/offline/2002/210/18775/
http://www.ibo.ru/offline/2002/216/20233/
http://www.ibusiness.ru/offline/2002/214/19774/
http://forum.compulenta.ru/offline/2002/448/18395/
Хех. Знаем мы этих редисок, чьи
завезённые Соньки стоят на столах в Белом Доме. Хоть бы редиски честно
признались, ЧТО SONY официально не поставляет в Россию НОУТБУКИ. У НИХ НЕТ
никакого гарантийного сервиса по компам в России. Я сам конечно люблю нотики
SONY - но вопросы сервиса до сегодняшнего дня меня останавливали от покупки
данной "игрушки".
Конечно - "Крок" и Дионис http://www.factor-ts.ru/factor/dio.asp - "свои" конторы.
Хотя - у каждого своя "правда".
Тааак: ГАС мы конечно продолбаем, так или иначе, если поимеем к ней доступ
напрямую. Вот только как?
Думай леший, Думай:.
Так...
Таккккккккк....
Вот блин засада....
Ну, чего? Социнжинерия? Найти основного разработчика/архитектора, запугать,
предложить денег? Провести НЛП на тему любви к Родине??? Неее, не катит.
Наверняка за ним наблюдаловка постоянная. Я-бы лично так и сделал. "Там " же не
дураки сидят, понимают что да как. Первый вариант отпадает.
Таааакккк:. Блин - да дододбали со звонками в рабочее время. Есть-же аська,
почта. Неужели лениво по "клаве" постучать.
Тээээксь. ладно - нафик всё. Утро вечера мудренее:
На следующий день:
"Эврика!"
Дык ведь можно разобрать по полочкам Дионис и продолбать их нахрен. Узнать
номера их региональных и центральных модемных пулов - как два пальца об
асфальт. Если мы до сих пор имеем полный терминальный доступ не только к МТС'
ному CBOSS'у, не говоря уже про остальное - то это дело 5 минут. А дальше -
что-то типа хака "Maximus'а", если в этом мире это слово хоть кому-нибудь
что-нибудь ещё говорит.
....
Нееее, там-же тоже не дураки сидят, в конце-концов. Всё-таки бывшие ФАПСИ-ки.
Но и "на старуху найдётся проруха" - видали мы этих ФАПСИшников - заходила тут
года 2 назад парочка ко мне - пальцы гнули, каким-то генералом прикрывались -
их быстренько соединили с Первым Отделом нашего оператора и послали собирать
мухоморы в деревне Гадюкино.
Тааак, что ещё. У нас же тусовка большая. Если надо будет "положить" все "не
наши" спутники всё-таки к нам не к последними будут обращаться... И люди все
разные - начиная от "скромных" работников российских госсруктур до
топ-менеджемента таких компаний c мировым именем, как NOXYZ.
... Хех. Вспоминается старая история с этим отморозком LovinGod'ом.
БНЯ! ВИРУСЫ! КАК Я СРАЗУ НЕ ПОДУМАЛ! ВИРУСЫ - АНТИВИРУСЫ! НАШИ ЛЮДИ, БНЯ! Честь
и хвала создателю фильма "День Независимости"!
В Касперском - наши люди. У Данилова - тоже! Да и Украинцы не отстают - The
Stop! AV - вообще полу-UCL'я контора.
Хахаха. Как всё элементарно. Достаточно внедрить в обновления к
антивирусным базам троянца новенького - и хрена лысого кто тебя найдёт. И
трафик до троянца через кучу проксей пропустить. И логи с троянца по текущему
IP-адресу валить на какой-ть xxx@cjb.de мыло, чтобы никто не отсёк. Ведь всё
равно им придётся апдейтить AV-базы.
Тааак. К кому обращаться? Ну конечно к нашей славной андеграундной
антивирусной конторе с Мировым Именем - к Касперскому. Тем более что людей
оттудова мы ещё по институту знаем.
перед ДК МАИ
Помниться, на каком-то из Комтеков
лично Каспер выдавал презервативы в коробке из под своего антивиря в качестве
приза - вот это подкол был грамотный.
Т.е. первым этапом рассылаем троянца, который Валит на кучу адресов логии
либо через винды, либо через любой доступный шлюз в сетке с выходом в Инет. Но
это только, если он находит на диске папочку с ДИОНИC'ом. В логии пишем все
IP-со всех интерфейсов. если ДИОНИС запущен под виндами, часто меняемые
конфигурационные файлы и логи с клавиатуры (keylogger).
Так. Теперь распишем структуру это самой системы ГАС-Выборы.
Славный добрый Дионис рождён ещё со времён ББС. А борды мы любили в детстве
долбать по самое "небалуйся" =)
Итак, что у нас получается:
Коммуникационные региональные сервера всей этой тьму-таракани работают под
голым ДОСом. Протокол - х.25. Ethernet вяжется через ДОСовские драйвера сетевых
карт и через odi-драйвер. TCP/IP стек реализован там же, в ДИОНИС'е под Dos'ом.
Как правило дионисовский хост имеет модемный пулл - что-типа старой доброй
BBS.
Хех. Проверим. К примеру Воронежский хост поколупаем =) Социнжинерией
вычисляем телефон модемного пула в Воронеже Дионисовского хоста.
Полтора часа уходит на то, чтобы узнать все входящие телефоны центрального
хоста ГАС-Выборы в Воронеже.
Дальше - старый добрый Telemate 4.20 =)
----------------------
Connected to dionis.vrn.xxx.ru.
Escape character is '^]'.
зддї зддї зддї здддддддддї NETWORKS & TELECOMMUNICATIONS
Ё Ёш Ё Ёш юэээш Ё зэээї Ёш
Ё Ёш Ё Ёш зддї Ё Ёш юэээш MAIN Vrn Dionis HOST
Ё Ёш Ё Ёш Ё Ёш Ё юъдддддї Leshaya, 13
Ё Ёш Ё Ёш Ё Ёш юээээээї Ёш
Ё юъдды Ёш Ё Ёш зддї Ё Ёш tech. service 8 911 9657374
юдї зээш Ё Ёш Ё юъдды Ёш marketing 39-13-14;39-13-15
юээээээш юэээш юээээээээээш fax 19-13-12
ENTER YOUR NAME => guest
LANGUAGE => e
System DIONIS 3.20. (C) "Factor" Ltd.
Host vrn.xxx.ru
As a guest, You have limited rights to use the system
Session is limited to 20 min.
15: demo - logon: 10:49am Wed 02/26/04
Last logoff: 8:46pm Tue 02/17/04
To get help enter "?" or "??" or "? <command>".
To return one level up enter "-".
You have 00:20:00 (hh:mm:ss) to complete your work
Mail, Conf, DATabases, ..., ?, BYE => bye
Bye!
Host vrn.xxx.ru
15: demo - logoff: 10:50am Wed 02/26/04
Work time : 00:00:44
Bytes sent : 4
Bytes received: 367
---------------------------------
Что мы из этого получаем?
А то, что хостов таких дофига по всей России стоит. И наверняка кое-куда
даже есть telnet-е заходы через Транстелеком. Данные по выборам с регионов и
мелких избирательных участков сливаются в центральные региональные ИзбирКомы.
Т.е. долбать на первом этапе надо их.
А как долбать? Да так же, как в старые добрые времена =)
Звоним на пул дионисовского хоста. С гостевого аккаунта шлём мессагу или
отправляем бандлом через Z-Modem. Реализация Z-Modem'а там кривая (а точнее
Zed-Zap'а пакетного) до безобразия, и буфер сорвать, подшаманив на стороне
передачи и сформировать кривой фрейм - как два пальца об асфальт. А т.к.
система - под ДОС'ом - то можно вообще полный takeover системы породить. К
примеру, в заголовке фрейма можно записать отрицательную длину, и пихать
данные, пока они в стек не пролезут. Ну а дальше уже модемный пулл не нужен. Мы
в системе, в закрытой сети и можем делать всё, что душе угодно. Брутить пароли
и т.д.
И при всём при этом организационного бардака там всегда хватало - системы часто
стоят чуть ли не с дефолтными установками, пароли из 3-х символов никто не
меняет годами и так далее.
Хех. Плюс ещё один оригинальный вариант "расточки".
В системе наверняка до сих пор осталась "Directory traversal"-дыра, поэтому
запросив вместо файла fuck.me fuck.me\\c:\dionis\config.cfg можно с высокой
вероятностью его получить =). Фича в том, что в пакетном режиме система
предлагает взять только то, что лежит для тебя на холде, и попросить что-то
другое не получиться =) Зато можно в известное место что-ть положить =) К
примеру исправленный autoexec.bat и эксплоит к нему. Плюха только в том, что
надо ждать перезагрузки системы, плюс система после получения переименует
бандл. Хотя - на файлор можно установить хитрый атрибут какой-ть, типа
"system+R|O", или установить дату 1970 года, либо аварийно прервать сессию.
Т.е. под это вариант вырисовывается следующий эксплоит:
1. Диалапимся на модемный пулл ;-)
2. Заходим гостем ;-)
3. Стартуем Z-Modem'ную передачу ;-)
4. Пытаемся отправить на хост мессагу в пакетном режиме укладывая её в заранее
известное место используя "Directory traversal"-дыру. В мессаге м.б. архив
тулзей/троянцев для дальнейшей работы. Причём используя Z-Modem таким образом
можно дописать в существующий файл информация (изобразив resume сессии). К
примеру дописать а autoexec.bat вызов Трояна и залить самого Трояна. ;-)
5. Логофимся ;-)
6. Дозваниваемся и снова стартуя Z-Modem отправляем мессагу бандлом. ;-)
7. Эксплоит формирует новый handshake-фрейм, который в длине блока передачи
содержит отрицательное значение длины. Сравнение там скорее всего знаковое.
поэтому проверку на размер такой фрейм пройдёт. Внутри первого-же фрейма с
данными лежит код эксплоита. Сам фрейм далее пустой, размером килобайт 150-200
для срыва стека. ;-)
8. У сервера срывает крышу и слетает стек. Выполняется экслоит, который
формирует нам в системе аккаунт с правами superuser'а. Сервер есс-но после
этого падает , поэтому эксплоит аккуратно перезапускает систему, либо просто
аккуратно ребутим систему. ;-)
9. Перегружается хост ;-)
10. Входим в систему с правами superuser'а. ;-)
Правда, вылазят несколько скользких вопросов:
а) Надо знать кучу номеров модемных пулов крупнейших региональных центров
обработки ГАС-Выборы.
б) Экслоит должен быть написан и оттестирован. Т.е. надо иметь все ДОНИС'овские
продукты на предмет в них покувыркаться.
в) Вычислить нормальные выходы через ведомственные сети в Инет, чтобы было
более комфортнее работать.
-------------------------------------------
call 98911272ХХХХ.
- Бонжур Сеньёре Панталоне!
- Ну привет пропащий...
- Как дела-то у тебя?
- да нормально. У тебя что - надыбал что-ть?
- ага. Полный takeover.
- вот бня. Ты серьёзно?
- Ага, ещё пару нерещённый вопросо осталось. Кстати - 7-го марта у biz0n'а День
Рожденья - в знак будущей работёнки мы решили объединиться снова.
- да ладно. Не верю. 5 лет прошло с развала UCL после того, как это чудик из журнала
"Кот и Пёс" над тобой подшутил в Компьютере.
- дааа.. Грамотная шутка была. Я бня после этой шутки когда ОБЭП пришёл - сиганул в окно с 5-го
этажа по пожарной лестнице. Винты все полетели в Москва-реку и были готовы
билеты в штаты, чтобы свалить подальше от этих придурков из Аладьина. Но берёзки - они
всё-таки роднее - так-что мы тут развиваемся потихоньку.
- ну ты короче решай все вопросы оставшиеся - Fixit тебя тогда встретит по
приезду в Питер, размесишься у меня. А на нашем объединяющем сборе ты всё и
озвучишь.
- хех. не могу тебя представить за одним столом, после всего произошедшего
вместе с Dexter'ом и hijaq. Кстати - ты в курсе что Лёха
ожил?
- ага. Я долго офигивал от этого. Надо-же было так замоскироваться, чтобы 4
года о тебе никто не знал. Просто класс. Ему-бы в шпиёны пойти работать. Правда
он слишком засвечен был в своё время =)
- ну короче в Питере всё обсудим.
- ок. Пока.