Бесплатный электронный учебник по защите информации компьютера в интернет

служба Компьютерная помощь
Кириши Ленинградской области
(911) 239-8212, E-m@il

Ложные атаки (PANDORA)

	Первые признаки вируса
	Компьютерные вирусы
	Классификация компьютерных вирусов
	Нежелательные программы
	Вредоносные программы
	Удаление программ вирусов
	Правила антивирусной безопасности компьютера
	Какой антивирус лучший?
	Скачать антивирус бесплатно
	Бесплатно скачать антивирус для Vista
	Лицензионный антивирус Касперского 7.0
	Купить лицензионный антивирус Касперского 7.0
	Лицензионный антивирус Dr.Web 4.44
	Купить лицензионный антивирус Dr.Web 4.44
	Карта сайта / Главная
	Наша ссылка

Ложные атаки (PANDORA)

Если все предыдущие попытки получения привилегий администратора закончились неудачей, то можно прибегнуть к нескольким ложным атакам с применением пакетов NCP. Средства для осуществления таких атак разработаны в центре исследований NMRC (Nomad Mobile Research Center, http://www.nmrc.org) и называются Pandora (http://www.nmrc.org/pandora/download.html). В настоящее время доступна версия 4.0, однако в данной книге рассматриваются возможности версии 3.0. Для работы пакета Pandora необходимо выполнение нескольких обязательных условий.

•  Работа с сетевым адаптером должна осуществляться посредством связанного с ним драйвера пакетов (packet driver). Такой драйвер имеется в комплекте поставки лишь определенных сетевых адаптеров. Уточните у производителя, поддерживается ли вашей NIC драйвер пакетов. Можете считать, что вам крупно повезло, если ваш сетевой адаптер изготовлен такими производителями, как Netgear, D-Link и 3Com. Драйвер пакетов необходим также для перехвата прерывания 0x60.
•  Чтобы пакет Pandora мог функционировать, должна быть загружена поддержка интерфейса DPMI (DOS Protected Mode Interface — интерфейс защищенного режима DOS). Необходимые файлы можно загрузить с Web-узла, адрес которого приведен выше.
•  В дереве нужно найти контейнер, в котором содержится как объект Admin (или с эквивалентными правами), так и пользователь, пароль которого известен.

gameover

Одного имени утилиты gameover вполне достаточно, чтобы узнать, для чего она предназначена. Утилита gameover позволяет взломщику предоставить пользователю привилегии, эквивалентные администратору. Это достигается с помощью передачи серверу 4.x ложного NCP-запроса, в результате чего им будет обработан запрос SET EQUIVALENT TO.
Для того чтобы установить клиента DOS/Win95, выполните следующие действия.
1. Перейдите в режим DOS.
2. Загрузите драйвер пакетов (например, производства компании D-Link): dc22xpd
3. Загрузите поддержку интерфейса DPMI: cwsdpmi
Теперь, воспользовавшись информацией о пользователе, полученной с помощью приложения On-Site (рис. 7.7), можно приступить к своему "черному делу".

Рис. 7.7. Теперь взломщик может приступить к своему "черному делу"

Запустите утилиту gameover следующим образом.

Gameover<cr>
Server internal net (4 bytes hex)
36FCC65D<cr>
Server address (6 bytes hex)
000000000001<cr>
File server connection number (irit)
most probably '!' (seen as: '*<server_name>.<server.context>')
4<cr>
Server socket high (1 byte hex)
most probably '40' 40<cr>
Server socket low (1 byte hex)
Most probably '07' 39<cr>
User name to gain rights
(does NOT have to be currently connected)
eculp<cr>
User name to get rights from
(does not have to be currently connected)
Admin<cr>
Spoofing: Done.

После этого можно зарегистрироваться в качестве пользователя ECULP и получить права администратора. Здорово, не правда ли?
В пакете Pandora содержится и много других утилит, заслуживающих внимания. Две другие утилиты, levell-1 и level3-1. также предназначены для передачи ложных NCP-запросов, как и gameover. Их использование также приводит к обработке запроса SET EQUIVALENT, однако при этом объекты-пользователи могут располагаться в различных контекстах. Такую возможность в лабораторных условиях нам проверить не удалось.
Утилиты extract, crypto и crypto2 предназначены для взлома паролей NDS и будут рассмотрены ниже в данной главе. Утилита havoc является прекрасным инструментом для выполнения атаки DoS.

Контрмеры: защита от утилит Pandora

Для защиты от утилит из пакета Pandora существует много различных способов, и их перечень во многом зависит от архитектуры узла NetWare. Вообще, для предотвращения хакинга с применением описанных средств нужно следовать следующим рекомендациям:

•  Никогда не помещайте пользователя Admin (или эквивалентного) в тот же контейнер, в котором содержатся другие пользователи.
•  Установите самый новый пакет обновления Support Pack 6 (IWSP6.EXE), который можно найти по адресу ftp://ftp.novell.com/pub/updates/nw/ nw411/iwsp ехе. При этом файл DS.NLM будет замещен его новой версией. Ее можно свободно получить по адресу http://www.support.novell.com.
•  Перед запуском файла DS.NLM добавьте команду SET PACKET SIGNATURE OPTION=3 либо в конец файла autoexec.ncf, либо в начало файла startup.ncf.
•  В сценарии autoexec, ncf можно также вызвать сценарий SYS:SYSTEMXsecure, ncf. При этом для того же и нескольких других параметров будут установлены требуемые значения, однако снова убедитесь в том, что сценарий вызывается в начале файла autoexec.ncf. Откройте файл secure.ncf и удалите символы комментария В строке SET PACKET SIGNATURE OPTION=3.