Программа Jaggernaut была написана редактором журнала «Phrack». Он посвятил программе статью в своем журнале, которую можно найти по адресу: http://staff.washington.edu/dittrich/talks/qsm-sec/P50-06.txt.

Демонстрационная версия программы 1.0 была представлена на суд общественности во время презентации на первой конференции по вопросам безопасности «Black Hat Briefings». В следующем выпуске журнала «Phrack» читателям был представлен файл исправлений. Исправленная с его помощью версия программы Jaggernaut стала известна как версия 1.2. Этот файл можно найти по адресу: http://staff.washington.edu/dittrich/talks/qsm-sec/P51-07.txt.

Будьте осторожны. Опубликованный файл исправлений немного подпорчен. При попытке воспользоваться им сразу станет видно, где конкретно он был изменен. Автор обошел эту проблему, удалив измененные части исправлений и вручную добавив несколько строк. Будьте также осторожны при загрузке файлов: они не в формате HTML-файлов, а текстовые. Поэтому при вырезке или вставке фрагментов файлов с Web-сайта в редактор

Notepad или во что-нибудь еще вполне возможно, что вы столкнетесь с пропуском некоторых символов, которые Web-браузер попытался проинтерпретировать. Поэтому лучше выполнить команду «Сохранить как...» или облегчить себе жизнь, получив работающую версию на packetstormsecurity.org/new-exploits/1.2.tar.gz.

В процессе тестирования программа Jaggemaut не «видела» соединений до тех пор, пока не была включена опция GREED в сборочном файле проекта шаке-файл. В инсталляционном файле описано, как это сделать.

На момент своего опубликования программа Juggernaut была пионерской работой, у которой не было аналогов. Даже сегодня лишь немногие инструментальные средства пытаются перехватывать сессии так, как это делает программа Juggernaut.

Программа Juggernaut имеет два режима работы. Первый предназначен для работы в качестве одного из вариантов модуля проверки текущего состояния в сети, который реагирует на определенные биты в передаваемых данных. Второй режим работы называется Normal - стандартный режим работы программы. Он будет рассмотрен позднее. Ниже приведена предъявляемая в оперативном режиме подсказка команд программы:

[root@rh Juggernaut]# ./juggernaut -h Usage: ./juggernaut [-h] [-s TOKEN [-e xx] ] [-v] [-t xx]
-h terse help
-H expanded help for those “specially challanged” people...
-s dedicated sniffing (bloodhound) mode, in which TOKEN is found enticing
-e enticement factor (defaults to 16)
-v decrease verbosity (don’t do this)
-V version information
-t xx network read timeout in seconds (defaults to 10)
Invoked without arguments, Juggernaut starts in “normal” mode.

Показанный фрагмент - это короткая справка. Расширенная подсказка содержит более детальные объяснения, а также несколько примеров. Как можно увидеть из приведенной подсказки, у этой программы есть опции. Если программу запустить с опцией - s (специализированный режим работы программы, при котором проверяется текущее состояние сети с поиском заданных символов), то она будет работать как модуль проверки и регистрации текущего состояния сети. Например, можно задать программе символы, которые следует найти в паролях, определяемых ключевыми словами password и Password, и она будет регистрировать найденные пакеты согласно заданным символам. Количество зарегистрированных ее пакетов называется показателем захвата (enticement factor). По умолчанию эта величина равна 16, то есть программа по умолчанию регистрирует 16 найденных пакетов. При желании эту величину можно увеличить или уменьшить. Пока в исходном тексте программы не будет изменено имя файла, захваченные пакеты будут регистрироваться в файле, который называется juggernaut.log.snif. Этот файл расположен в директории, из которой была вызвана программа. Запуск программы без задания опций в командной строке приведет к запуску программы в стандартном режиме работы Normal. При этом на экран будет выведен список опций работы программы, как это показано ниже: Juggernaut +-+

?) Help
0) Program information
1) Connection database
2) Spy on a connection
3) Reset a connection
4) Automated connection reset daemon
5) Simplex connection hijack
6) Interactive connection hijack
7) Packet assembly module
8) Souper sekret option number eight
9) Step Down

(Запуск программы без задания опций в командной строке приведет к отображению начального экрана программы с приведенной выше информацией. При указании восьмой опции ничего не делается.) При выборе первой опции, «База данных соединений» (Connection database), пользователю программы предъявляется список ТСР-соединений, которые «увидела» программа. Ниже приведен пример Telnet-соединения:

Current Connection Database: -ref # source target
(1) 10.0.0.5 [2211] -> 10.0.0.10 [23]
Database is 0.20% to capacity.
[c,q] >

Указанная внизу экрана опция q, как и в большинстве других мест программы, возвращает пользователя к пункту 9 основного меню. Опция с очищает базу данных соединений. Для работы ниже перечисленных функций необходимо, чтобы в базе данных соединений была записана какая-то информация о соединениях. Поэтому функции прослушивания или перехвата сессии не будут работать до тех пор, пока программа работает с выбранной первой опцией. Вторая опция, «Шпионить за соединением» (Spy on а connection), предназначена для снифинга. Выбор этой опции позволяет следить за соединениями, представленными в списке подключений. Следующий пример взят из того же Telnet-соединения, что и в предыдущем случае.

Current Connection Database: -ref # source target
(1) 10.0.0.5 [2211] -> 10.0.0.10 [23]
Choose a connection [q] > 1

Do you wish to log to a file as well? [y/N] > у

Spying on connection, hit “ctrl-c” when done.
Spying on connection: 10.0.0.5 [2211] -> 10.0.0.10 [23]C
Disk Usage (Jul 3 06:01): Mail - 1705 kilobytes
File Repository - 162 kilobytes
Fax Repository - 1 kilobytes
109 Message(s) In New Mail
[TECNET:Main menu]?

Как можно увидеть, у пользователя программы появилась возможность занести перехваченные данные в журнал регистрации. Опция 5 - это «Односторонний перехват соединения» (Simplex connection hijack). При выборе данной опции программа перехватывает соединение и посылает команду без отображения результатов на экране злоумышленника. Например:

Current Connection Database: -ref # source target
(1) 10.0.0.5 [2211] -> 10.0.0.10 [23]
Choose a connection [q] > 1
Enter the command string you wish executed [q] >

Напоследок рассмотрим опцию 6 «Интерактивный перехват соединения» (Interactive connection hijack). По своим функциям эта опция аналогична опции 5 («Односторонний перехват соединения»), но при ее выборе появляется возможность просмотреть результаты работы программы точно так же, как и при выборе опции 2 («Шпионить за соединением»).

Вполне вероятно, что в большинстве случаев злоумышленник при перехвате соединения захочет воспользоваться именно этой опцией, для того чтобы иметь возможность видеть происходящее перед взломом. При этом если злоумышленник хочет работать скрытно, то вряд ли он будет использовать команду «echo + + > /гhosts». С другой стороны, если пользователь в какой-то момент производит действия, приводящие к выводу большого количества данных, то злоумышленник, возможно, предпочтет работать вслепую, для того чтобы не загромождать свой экран выводом посторонних данных. Вот что может увидеть пользователь при выборе опции 6:

Current Connection Database: -ref # source target
(1) 10.0.0.5 [2211] -> 10.0.0.10 [23]
Choose a connection [q] > 1
Spying on connection, hit “ctrl-c” when you want to hijack.
NOTE: This will cause an ACK storm and desynch the client until the connection is RST.
Spying on connection: 10.0.0.5 [2211] -> 10.0.0.10 [23]

Автор программы Juggernaut больше не поддерживает и не улучшает ее. Создается впечатление, что никто не делает этого, по крайней мере открыто. Автор программы Juggernaut написал усовершенствованную версию Juggernaut++ и однажды показал, как выглядят экранные формы программы, но он никогда не выпускал версию этой программ для всеобщего использования. К моменту написания книги программе Juggernaut исполнилось уже несколько лет. Это большой промежуток времени для инструментальных средств обеспечения безопасности, а особенно для программы, которая активно не разрабатывается. У программы есть некоторые ограничения. Например, нельзя осуществить повторную синхронизацию соединения, а также невозможно работать с соединениями, в которых участвуют хосты с запущенной на них программой Juggernaut. Тем не менее эта программа будет работать на любых TCP-портах. (Другие инструментальные средства работают с Telnet или аналогичными протоколами.) Программа Juggernaut уже не является лучшей в этом классе программ, но тем не менее с познавательной точки зрения до сих пор очень полезно прочитать о проведенных автором программы Juggernaut исследованиях. По этому поводу прочтите оригинальную статью в журнале «Phrack».

Программа Hunt

Программа Hunt была создана Павлом Краузом (Pavel Krauz). Ее текущая версия 1.5. Складывается впечатление, что на момент выхода книги активная разработка программы не велась. Версия программы 1.5 была выпущена 30 мая 2000 года. Ее можно найти по адресу: http://lin.fsid.cvut.ez/~kra/index.html#HUNT.

Hunt является более амбициозным проектом, нежели Juggernaut. По крайней мере, он развился в такой проект. В соответствии с файлом readme, поставляемым вместе с дистрибутивом, одной из причин разработки Краузом программы Hunt было желание реализовать некоторые возможности, которые не были доступны в Juggernaut.

Как и в программе Juggernaut, у программы Hunt есть режимы анализа сетевого трафика (снифинга) и перехвата сессий. В отличие от Juggernaut, в программе Hunt реализованы средства спуфинга при работе с протоколом разрешения адресов ARP. С их помощью можно переслать через атакующую машину данные, посылаемые машиной жертвой, а также избежать перегрузки сети уведомлениями АСК (АСК storm), обычно сопутствующей перехвату TCP сессии. Вот как выглядит программа Hunt при запуске:

/* * hunt 1.5
* multipurpose connection intruder / sniffer for Linux
* (c) 1998-2000 by kra
*/
starting hunt
- Main Menu - rcvpkt 0, free/alloc 63/64 -1/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit ->

Строка - > является приглашением пользователя к вводу команд. После нее ожидается ввод одной из команд из списка главного меню. По умолчанию, программа Hunt настроена на Telnet- и rlogin-соединения, но она написана таким образом, что можно легко добавить поддержку других типов соединений. Для этого в расположенном в файле hunt.c коде инициализации предусмотрена следующая строка: add telnet rlogin policy();

Этафункция находится в файле addpolicy.c и выглядит следующим образом:

void add_telnet_rlogin_policy(void) {
struct add_policy_info *api;
api = malloc(sizeof(struct add_policy_info));
assert(api);
memset(api, 0, sizeof(sizeof(struct add_policy_info)));
api->src_addr = 0;
api->src_mask = 0;
api->dst_addr = 0;
api->dst_mask = 0;
api->src_ports[0] = 0;
api->dst_ports[0] = htons(23);
api->dst_ports[l] = htons(513);
api->dst_ports[2] = 0;
list_push(&l_add_policy, api);
};

Из исходного текста функции видно, что для добавления новых возможностей достаточно просто добавить новые номера портов и затем перекомпилировать программу. Когда программа Hunt захватывает Telnet- или rlogin-соединение, она отображает его в меню списка соединений, как показано ниже:

-> 1 0) 10.0.1.1 [3014] -> 130.212.2.65 [23]
- Main Menu - rcvpkt 2664, free/alloc 63/64 -1/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit

Первые две строчки - это то, что нас интересует. Программа Hunt часто обновляет меню сразу после введенной команды. Из приведенной экранной формы видно, что программа Hunt обнаружила Telnet-соединение. Ниже показан вызов режима наблюдения (снифинга) за соединением.

-> w 0) 10.0.1.1 [3014]-> 130.212.2.65 [23] choose conn> 0
dump [s]rc/[d]st/[b]oth [b]> [cr] print src/dst same characters y/n [n]> [cr]
CTRL-C to break llss
<FF><FA>!<FF><FO><FF><FC><FF><FA>»FF><FO><FF><FA>»b <FF><F0><FF><FE><FF><FA>»<FF><F0><FF><FA>»<82><E2> <82>
<82>
<82><82><82><82><82><FF><F0><FF><FA>!<FF><F0>
Apps/ Library/ Mailboxes/ Makefile bookmarks.html
dead.letter mail/ proj l.c publichtml/
<FF><FA>!<FF><FO><FF><FB><FF><FA>»<FF><FO><FF><FA>»<FF><FF>b<FF><FF
>
<FF><FF>
<FF><FF>
<FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FO><FF><FA>!<FF><FO>fut
on>
<FF><FD>
<FF><FA>“<FF><F0><FF><FA>”<82><FF><FF><E2><FF><FF> <82><FF><FF> <82><FF><FF>

<82><FF><FF><82><FF><FF><82><FF><FF><82><FF><FF><82><FF><FF><FF><F0> Например, пользователь программы Hunt запустил программу, захватил Telnet-соединение, выбрал режим наблюдения за ним, а затем перешел в Telnet-окно и набрал команду «Is». Команду «Is» (показанную как llss) можно увидеть ближе к началу приведенного выше протокола работы, за которой следует вывод данных в шестнадцатеричном формате, за которыми следуют файлы в директории пользователя, а затем опять шестнадцатеричный код. Вывод введенной команды «Is» в виде «llss» -результат отображения программой Hunt введенных пользователем символов с добавленным ответом сервера, возвращающего пользователю введенные им же символы. В итоге это выглядит как будто возможность вывода одних и тех же исходных и полученных символов, что работает не вполне корректно. Шестнадцатеричные символы являются форматирующими терминал-символами, которые обычно во время Telnet-ceccnn остаются за рамками рассмотрения. Конечно, в данном случае нас мало интересуют реализованные в программе Hunt возможности снифинга, хотя это и удобно. Главное - это понять, каким образом программа Hunt используется для перехвата сессий! Именно это демонстрируется ниже:

-> s 0) 10.0.1.1 [3014] -> 130.212.2.65 [23]
choose conn> 0
dump connection y/n [n]> [cr]
Enter the command string you wish executed or [cr]> cd Apps
<FF><FA>!<FF><F0>cd Apps
futon>

Тем временем вот что было отображено в Telnet-OKHe пользователя:

futon> futon> cd Apps
futon>

Выходные данные были отображены на экране точно так же, как если бы они были введены в окне Telnet. Вернемся к программе Hunt:

Enter the command string you wish executed or [cr]> [cr] [r]eset connection/[s]ynchronize/[n]one [r]> s
user have to type 8 chars and print 0 chars to synchronize
connection
CTRL-C to break

Когда пользователь нажимает клавишу Enter для завершения посылки символов от лица клиента, ему предоставляется возможность выбрать одну из перечисленных команд:

сбросить соединение (прервать и возвратить его в исходное состояние), синхронизировать клиента и сервера или же оставить соединение десинхронизированным. В данном случае попытка выбора опции синхронизации соединения не увенчалась успехом, потому что в результате система была установлена в состояние ожидания. Складывалось впечатление, что ввод символов в окно Telnet не помог повторной синхронизации. Другие попытки повторной синхронизации оказались более успешными. Возможно, что на это оказали влияние такие факторы, как время ввода и длина введенной злоумышленником команды, надежность сети в этот момент (прежде всего имеется в виду потеря пакетов) и, конечно, реализация TCP. Как правило, если злоумышленник захочет замести следы, он вводит свои команды с максимально возможной скоростью, а затем сразу же сбрасывает соединение. При этом он надеется на то, что легитимный пользователь клиента, если он там вообще есть, подумает, что это очередное малопонятное завершение соединения, и просто откроет новое окно, ничего не заподозрив.

Программа Hunt не лишена недостатков. Автор, работая с программой, обнаружил следующее. При работе со всеми просмотренными им интерактивными экранами, в которых для разрыва соединения предлагалось нажать комбинацию клавиш Ctrl + С, было обнаружено, что после нажатия клавиш Ctrl + С требовалось подождать некоторое время наблюдаемую машину, которая что-то передавала, прежде чем программа Hunt обращала внимание на нажатые клавиши. Например, во время наблюдения за Telnet-соединением были нажаты клавиши Ctrl + С, но ничего не произошло. Как только автор подключался к окну Telnet и нажимал клавишу, программа Hunt откликалась. По-видимому, программа Hunt во время мониторинга не следит постоянно за нажатием клавиш. Возможно, программа ожидает передаваемые по сети данные, не обращая внимания на нажатые в это время клавиши. И только после анализа поступивших данных она начинает проверять ввод оператором символов.

Пользовательский интерфейс немного некрасив и чересчур краток. Тем не менее в приложениях подобного типа этот недостаток легче всего устранить. Сетевая составляющая программы более сложна и поэтому, вероятно, является более интересной частью программы. Впрочем, интерфейс удобен, так что не все так плохо. Возможно, что кто-то из читателей этой книги заинтересован в данном вопросе и умеет программировать. Тогда он или она может связаться с разработчиком программы Hunt и, возможно, помочь в улучшении интерфейса.

Перехват пользовательского протокола данных udp | Защита от хакеров корпоративных сетей | Программа ettercap


Защита от хакеров корпоративных сетей



Новости за месяц

  • Август
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс