Как заточить exploit под себя

       

Где брать?


Поиск новых exploit'ов очень похож на охоту: всемирная сеть велика, а дичь гнездиться там, где никогда бы не подумал ее искать. Самые свежие exploit'ы обычно выкладываются на немодерируемые хакерские форумы с высоким трафиком (среди которых выделяется http://lists.grok.org.uk/pipermail/full-disclosure/), откуда они с некоторой степенью оперативности попадают на http://www.securityforcus.com и другие "накопители дыр", превратившиеся в последнее время в сплошные помойки, источающие зловонный запах давно непроветриваемых отстойников.

Кстати говоря, securityforcus как-то очень странно устроен. В разделе "exploit" обычно присутствует только текст "currently we are not aware of any exploits for this issue. If you feel we are in error or are aware of more recent information, please mail us at: vuldb@securityfocus.com" (в настоящее время мы не знаем ни об этом exploit'е для этой дыры. если вы считаете, что мы ошибаемся или имеете более свежую информацию, пожалуйста, шлите нам на vuldb@securityfocus.com). Не верьте им! Они гонят! Ссылки на exploit'ы часто (но не всегда!) находятся в соседнем разделе— "reference". Если же их там нет — вводим название дыры (брать только значимые слова! например, "Microsoft Internet Explorer Unspecified OBJECT Tag Memory Corruption Variant Vulnerability" лучше всего отыскивается по запросу "IE OBJECT tag") добавляем ключевое слово "exploit" и идем курить гугол, обязательно обращая внимание на дату публикации, а то ведь так недолго и в позапрошлогоднюю дырку залететь, а потом долго недоумевать, какого хрена exploit не фурычит.

Рисунок 1 на www.securitysocus.com все самое ценное не в разделе "exploit", а в "references"

Модерируемые форумы (типа bugtraq

на http://seclists.org/) содержат намного более концентрированную информацию, но прежде, чем откопать рабочий exploit приходится очень долго ковыряться. Но зачем гнаться за свежестью? Все равно, даже с учетом Windows Update, множество машин не латаются годами! Намного проще отправится в "лавку exploit'ов", где выложен разный антиквариат, среди которого хотелось бы отметить Metaexpolit Framework Project (http://www.metasploit.com) – своеобразный универсальный "движок", изначально написанный на Perl'e, а начиная с версии 3.0 переписанный на Ruby и работающий как из командной строки, так и через WEB-интерфейс.
К движку подключаются "топливные модули" — гибкие и высококонфигурабельные exploit'ы, способные нести на своем борту любую боевую нагрузку (payload). Собственно говоря, разделение кода на "движок", "exploit" и "payload" и есть главное преимущество Metaexpolit Framework'а перед обычными exploit'ами, где все эти три агрегата смешаны в кучу и чтобы подключить свою собственную боевую начинку приходится каждый раз разбираться что, как и куда. Исходный код движка распространяется бесплатно и неплохо документирован. Там же, на сайте проекта, можно найти достаточно оперативно пополняемую базу exploit'ов и минимальный комплект боевой нагрузки (www.metasploit.com/sc/win32msf20payloads.tar.gz), дающий в том числе и удаленный shell (а большего, для атаки, как правило, и не требуется).



Рисунок 2 главный сайт проекта Metaexploit Framework – универсального атакующего "движка" с обширной базой свежих explot'ов

Другой полезный сайт — MilW0rm (http://milw0rm.com/) содержит огромную коллекцию exploit'ов под всевозможные системы. Достаточно оперативно обновляемую и к тому же неплохо классифицированную, что значительно упрощает поиск, избавляя нас от необходимости качать всякую непонятую хрень. Здесь же находятся примеры shell-кода с готовой боевой нагрузкой и немногочисленный инструментарий.



Рисунок 3 www.MilW0rm.com – хорошая копилка exploit'ов плюс сподручный инструментарии

Популярный Packet Storm (http://www.packetstormsecurity.org/) значительно реже обновляется, да и коллекция exploit'ов у него победнее будет, зато на нем выложено умопомрачительное количество статей и до черта всякого полезного инструментария — от сканеров безопасности, до мелких утилит в десяток строк.



Рисунок 4 packet storm – немного exploit'ов зато какой инструментарий!

Кстати говоря, мыщъх чаще всего узнает о новых дырах не через форумы, а от знакомых. Достаточно завести обширную переписку, и можно быть в курс дел, происходящих на всех континентах! Один услышит одно, другой — узнает другое, а все вместе мы знаем обо всем! Силами одного человека отслеживать появление новых дыр просто нереально, разве что полностью посвятить свою жизнь дырам целиком.


Содержание раздела