Опубликован: 20.02.2007 | Уровень: специалист | Доступ: платный
Лекция 2:

Системные средства с открытым программным кодом: основы

REGDMP

Regdmp является стандартной Windows-утилитой из набора NT Resource Kit, которая позволяет вывести на стандартный вывод или сбросить в файл информацию о ключах реестра. Если взломщик имеет доступ к командной строке Windows-машины, то он может с помощью regdmp сбросить в файл некоторую интересную информацию о ключах и переменных реестра - или получить содержимое всего системного реестра. С другой стороны, интерфейс командной строки regdmp сам по себе служит для написания скриптов и получения справочной информации.

Реализация

Можно использовать regdmp, чтобы получить сведения о том, какие службы и приложения запускаются на нашем компьютере в момент загрузки.

C:\Windows\Desktop\> regdmp HKEY_LOCAL_MACHINE\
  SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Мы должны убедиться, что в момент загрузки не запускается никаких зловредных программ, вроде Netcat или Netbus.

У regdmp есть опция -m, которая позволяет задать удаленный хост. Обычно только администратор имеет удаленный доступ к реестру, но можно попытаться сделать это, и, не будучи администратором.

C:\Windows\Desktop\> regdmp -m 192.168.1.102 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Подробнее мы обсудим использование regdmp в лекции ""Компоновка и использование набора инструментов для расследования хакерских атак, то есть для "живого ответа" в системе Windows"" .

FINGER

Под управлением Unix утилита finger позволяет получать информацию о пользователях системы. Система запускает демон finger, который работает по протоколу TCP через 79 порт и отвечает на запросы о работающих в настоящее время в системе пользователях, а также на запросы о конкретных пользователях.

Реализация

Поскольку используется много версий finger -клиентов и демонов, то может меняться состав доступных опций, но мы приведем основную информацию о том, что можно получить с помощью утилиты finger.

finger @host_name.com

Эта команда выдает информацию обо всех пользователях, в настоящее время зарегистрированных в системе с именем host_name@com. Если в системе запущен демон finger, мы можем просто набрать команду finger, чтобы получить ту же самую информацию на локальной машине.

[bobuser@originix bobuser]$ finger @host_name.com 
Login       Name            Tty     Idle    Login Time      Office  Phone
estewart    Eebel Stewart    1       39d    Jan 16 05:43    (somewhere) 
wwankel     Willy Wankel    /4              Feb 24 07:23    (whoknows)  
bspear      Billy Spear     /5              Feb 24 08:11    (nada)

Здесь представлено немало информации. Мы получили идентификаторы трех пользователей системы. Есть шанс, что хотя бы один из них использует несложный пароль. Чем больше работающих в системе пользователей мы обнаружим, тем больше пользовательских идентификаторов мы можем испробовать для взлома паролей.

finger estewart@host_name.com

Теперь посмотрим, какую информацию мы сможем получить о пользователе с именем Eebel Stewart.

[bobuser@originix bobuser]$ finger estewart@host_name.com

Login: estewart                           Name: Eebel Stewart
Directory: /home/estewart                 Shell: /bin/tcsh
On since Wed Jan 16 05:43 (EST) on tty1       39 days 2 hours idle
Last login Sun Feb 24 07:20 (EST) on 4 from somewere.host_name.com
No mail
No Plan

Мы получили кое-что интересное. Мы обнаружили пользовательскую директорию, используемый командный интерпретатор, и определили, откуда пользователь последний раз заходил в систему.

Совет. Если вы используете команду finger -l @host_name.com, вы сможете получить ту же самую информацию для всех пользователей, зарегистрированных в системе на текущий момент.
finger stewart@host_name.com

finger может использоваться не только для поиска имен пользователей, но и для поиска настоящих имен в системе. Вы можете попытаться получить с его помощью информацию о распространенных именах вроде Джонсона, Джонса или Стюарта.

Почему запускается демон finger?

Finger-демоны были популярны несколько лет назад, особенно в академических кругах. Это не слишком веский аргумент, чтобы использовать его сейчас, поскольку - строго между нами - он выдает слишком много информации о вашей системе, и люди этим пользуются. Если вы хотите запустить finger -демон для локальных пользователей для поиска информации, по крайней мере, перекройте к нему доступ через брандмауэр (79 порт TCP). К сожалению, некоторые наиболее старые дистрибутивы Unix поставляются с предустановленным и готовым к работе демоном finger, поэтому иногда вы можете сталкиваться с системами, в которых администраторы не обратили внимания на эту службу и тем самым оставили открытой информационную брешь.

Пример из жизни. Социальная инженерия 101

Некоторые хакеры в душе - старомодные мошенники. Зачем хакеру беспокоиться о сканировании портов и поиске уязвимых сетевых серверов, если он может всего лишь убедить кого-нибудь предоставить ему доступ к системе?

Хакер запускает команды finger в местной образовательной сети и обнаруживает пользователя с довольно информативной записью в файле plan. Plan - специальный общедоступный пользовательский файл, который пользователи могут создать в своих начальных каталогах ( ~/.plan ). Он содержит дополнительную информацию, которую пользователь хочет сообщить другим людям. Некоторые пользователи напрягают все силы и включают в файлы plan свои биографии, включая номера телефонов, адреса и альтернативные адреса электронной почты.

Login: cjones                                      Name: Carla Jones
Directory: /home3/cjones                           Shell: /bin/tcsh
On since Tue Apr 30 00:37 (EDT) on pts/1
No mail.
Plan:
Hi!  My  name's  Carla and I'm a 21-year old junior MassComm major who
knows  ABSOLUTELY  NOTHING  about  computers! :-) My boyfriend Jon set
this  up for me because he said I need one - whatever!!! I'm hoping to
get into broadcast journalism, but my true love is the theater! I love
Broadway  shows  -  and am always looking to go up to NYC and see one!
E-mail  me  at  cjones@my_university.edu if you're headed up there and
want some company! :-)
Bye for now...

О! Как много этот plan говорит хакеру о Карле. Хакер связывается с Карлой по электронной почте.

Dear Carla,

My  name  is  Jennifer  Winslow from FreeBroadway! We are a non-profit
organization  that provides theater-loving college students chances to
see  Broadway shows FOR FREE and keeps you updated on news and events!
Your  friend  Jon has signed you up for a two-year subscription to our
electronic  newsletter.  By registering with us, you are also eligible
to  win  an all-expenses paid trip to New York City for three days and
two  nights in which you'll get treated to FIVE Broadway shows of your
choice!

In  order  to track the progress of our contest and get full access to
all  that  FreeBroadway has to offer, you'll need to create an account
with us. We'll need the following information from you:

Full Name
Address (city, state, zip)
Phone

You'll  also  need  to  choose a username and password so that you can
access your FreeBroadway account once it's created. This will allow us
to  verify  that  you  are  Carla Jones when the time comes to claim a
prize.  You  can  use  the same username and password that you use for
your current e-mail account.

More news and information will follow once we hear back from you.
Congratulations Carla, and welcome to FreeBroadway.

Sincerely,
Jennifer Winslow

Вы можете подумать, что большинство людей не попадутся на такую очевидную уловку. Вы будете удивлены. Велика вероятность, что Карла с радостью снабдит нашего хакера информацией о логине, которым она пользуется в данной системе электронной почты.

Социальная инженерия может быть применена также и другими способами. В следующем разделе мы обсудим средство whois, которое может дать хакерам важные административные, технические и относящиеся к выписке счетов контакты организаций. Если хакер фокусирует внимание на одном из контактных имен и сможет собрать достаточно информации об этом человеке, то он может сконструировать похожее профессиональное электронное послание - заставляя работодателя разгласить информацию, которую он или она обычно не раскрывают незнакомцам.

Сергей Хлюкин
Сергей Хлюкин
Россия, Москва, Московский Государственный Открытый Университет, 2007
Игорь Касаткин
Игорь Касаткин
Россия, Москва