Хакинг HTTP

Протокол HTTP позволяет хакерам достичь много, поскольку его поддержка сервером IIS не отличается надежной защитой от попыток несанкционированного доступа. В ранних версиях IIS 2.0 достаточно было ввести такой адрес:

http://www.anysite.com/../../../../../winnt/secret.file

чтобы загрузить с Web-сервера информацию, содержащуюся в файле secret.txt. Это - пример ошибки в реализации системы защиты Windows, хранящей разрешения на доступ к информационным ресурсам в списках ACL. В более новых версиях IIS эта ошибка исправлена, но ее можно найти у Web-серверов других производителей. А взамен описанной уязвимости в последних версиях IIS имеются другие, и их список непрерывно пополняется, что можно видеть по сообщениям на сайтах, посвященных информационной безопасности, например, SecurityLab.ru (http://www.securitylab.ru).

Чтобы исследовать такого рода уязвимости IIS, очень удобно использовать утилиту netcat (http://www.atstake.com), (netcat - это очень мощный инструмент - недаром авторы Мак-Клар С., Скембрей Д., Курц Д. называют netcat основным орудием хакинга IIS). Проиллюстрируем использование netcat для атаки на сервер Sword-2000 нашей экспериментальной сети, к услугам которой мы прибегаем на протяжении всей книги. Для использования netcat в наших целях выполните такую процедуру.

• Запустите из командной строки компьютера Alex-З утилиту netcat, выполнив команду nc -vv 1.0.0.1 80

• После появления сообщения об открытии соединения с сервером введите строку GET / HTTP/ 1.0 и два раза нажмите клавишу Enter. Результат представлен на Рис. 4.

Рис. 4, Запрос GET к серверу IIS из утилиты netcat

Запрос GET / HTTP/1.0 по умолчанию запрашивает файл из корневого каталога сервера IIS. Как видно из Рис. 4, в ответ получен файл с кодом HTML, загрузка которого в браузер воспроизведет сообщение об ошибке.

Чтобы облегчить себе жизнь, можно передавать запросы GET другим способом - конвейеризовав ввод данных в командной строке с помощью атрибута <. Для этого создадим текстовый файл GET.txt с такими строками:

GET/HTTP:/1.0

[CRLF]

[CRLF]

Здесь запись [CRLF] означает пустую строку. Теперь утилиту netcat следует запустить следующим образом.

nc -vv 1.0.0.1 80 < get.txt

В результате после установления соединения на сервер будет переправлен текст из файла get.txt, и результат будет аналогичен представленному на Рис. 4. (Удобство состоит в возможности многократного запуска запроса без необходимости ручного набора сложного кода.)

Покажем теперь, чего может достичь хакер такой простой процедурой. Создадим файл ddcode.txt с таким содержимым.

G ET /scripts/..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ HTTP /1.0

[CRLF]

[CRLF]

Теперь попробуем взломать доступ к компьютеру А1ех-1 с системой Windows 2000 (русифицированная инсталляция без всяких сервисных пакетов). Запустим утилиту netcat следующим образом:

nc -vv 1.0.0.7 80<ddcode.txt

Результат представлен на Рис. 5.

Рис. 5. Доступ к каталогам А1ех-1 получен!

Как видим, мы получили доступ к файловой системе А1ех-1 и можем делать с ней что угодно! Но вот на сервер Sword-2000 (система Windows 2000 Advanced Server с Service Pack 2) такая атака уже не действует - компания Microsoft ликвидировала брешь в системе защиты, причем сразу после ее обнаружения в 2000 году. Также были ликвидированы уязвимости подобного рода, связанные с множеством других некорректно сформированных адресов URL в запросах, описание которых можно найти во многих источниках. Однако многие ли об этом знают, и у многих ли системы Windows 2000 обновлены сервисными пакетами?

Что же все-таки можно сделать с сервером, на котором установлены все сервисные пакеты и администраторы которых следят за обновлением программного обеспечения и настройками системы защиты? Имеется еще одна возможность, связанная с уязвимыми сценариями.