Взлом 1С версии 7х

Как можно взломать 1С? Многие админы интересуются этим вопросом по разным причинам. В общем то в 7 ке это сделать просто, на ум пришло два простых способа.

Способ №1
Переименовываем папку в каталоге программы 1С предприятие userdef например на qwerty и запускаем программу 1С предприятие без паролей с полным доступом. Некоторые конфигурации могут ругаться, что "пользователь системы не определен" в таком случае заходим в Конфигуратор и добавляем нового пользователя. После этого возвращаем папке userdef ее название.

Способ №2
Копируем файлик из папки программы 1С предприятие userdef\users.usr брутфорсим его програмкой BforceMD http://filesserv.ru/download/75 и получаем пароли всех пользователей. От себя замечу начинайте брутфорс с цифр, и от 6 до 8 знаков, обычно юзеры ставят только цифры в таком количестве.

Кража базы 1С любым пользователем.

Сегодня я бы хотел поделиться с вами моим недавним открытием к которому я пришел при настройке сервера терминалов от инсайдерских угроз, которое меня мягко говоря огорчило.
Сегодня пойдет речь о краже любой базы 1С (файловой) версии 7.7 любым пользователем, с любыми правами (даже самыми ограниченными) который имеет рабочий аккаунт в программе 1С предприятие и использует терминальный доступ, то ли это посредством RDP (удаленный рабочий стол) то ли посредством CITRIX.

Все действия начинаются после того когда пользователь уже зашел в программу 1С предприятие. Далее все просто, "ловкость рук и никакого мошенничества"

1) Идем по пути Файл > Открыть и видим вот такую форму проводника (показываю на примере Windows 7 так как не имею Windows XP но разницы никакой)















Далее в строке Имя файла: пишем локальный путь где лежит база С:\ D:\ E:\ нажимаем ENTER и попадаем на локальный раздел диска терминального сервера. После открытия раздела локального диска терминального сервера, левой клавишей мыши кликаем по папке с базой 1С предприятие и нажимаем копировать, тем самым копируем папку с базой 1С.

2) Далее в той же в строке Имя файла: пишем сетевой или локальный путь к файлопомойке в сети например \\192.168.0.20\SHARA или С:\SHARA ( файлопомойка это-общий сетевой ресурс в сети) такие общие сетевые ресурсы есть в подавляющем большинстве на многих предприятиях и фирмах, и предназначены для общего обмена информацией. Далее нажимаем клавишу ENTER и в проводнике уже отображается не локальный раздел диска терминального сервера, а папка общего сетевого ресурса, далее кликаем левой клавишей мыши и в контекстном мнею нажимаем вставить, и вуаля кража базы произведена.

После этого базу можно архивировать и отправлять по E-mail (если заблокировано использование USB-FLASH) или записать на компакт диск, или отправить по WEB почте, или сбросить файлом по ICQ. Как видите вариантов сбросить базу после кражи множество.
Данная уязвимость (а иначе не назовешь) присутствует в редакциях Wndows начиная с WIN 95.
В сети под управлением ACTIVE DIRECTORY данную неприятность можно завинтить с помощью GPO ну, а в простой рабочей группе по всей видимости к сожалению никак.

© Нестеров Игорь Владимирович 2011 год.