NFsec Logo

Zabawy z testproxy.php

31/10/2016 w Ataki Internetowe Brak komentarzy.

B

oty skanują Internet 24 godziny na dobę, 365 dni w roku. Niektóre są dobre, niektóre złe, a jeszcze inne neutralne. Mnie osobiście podobnie, jak innych użytkowników zaczęło zastanawiać dlaczego ktoś pyta o adres /testproxy.php szukając otwartych serwerów proxy? Szczególnie, że podszywa się pod host: testX.pospr.waw.pl lub testX.piwo.pila.pl. Większość zwrotnych adresów IP prowadzi do polskiej firmy hostingowej. Nie należy od razu pochopnie wydawać opinii, że za całym tym incydentem stoi owa firma, ponieważ każda platforma hostingowa, która posiada slogan „Testuj bezpłatnie przez X dni” może paść ofiarą osób, które cyklicznie korzystają z takiej oferty, a przez ten czas instalują szkodliwe oprogramowanie, aby skanować Internet w poszukiwaniu różnych luk.
[ czytaj całość… ]

POINTYFEATHER aka ominięcie ścieżki rozpakowania tar

31/10/2016 w Bezpieczeństwo Brak komentarzy.

B

łąd w programie tar umożliwia pomyślne wypakowanie plików i katalogów do dowolnej lokalizacji, gdy podsunie mu się odpowiednio spreparowany plik archiwum. W przypadku, gdy na systemie zostanie rozpakowane archiwum dostarczone przez atakującego podatność może zostać wykorzystania do nadpisania wrażliwych plików zwykłego użytkownika (np. .ssh/authorized_keys, .bashrc, .bash_logout, .profile, .subversion, czy .anyconnect), a w przypadku użycia tar przez administratora np. podmiany /etc/shadow, wpisów cron użytkownika root, plików binarnych na te zawierające tylną furtkę lub atrybut suid.
[ czytaj całość… ]

Tere fere Referer(e)

26/10/2016 w Bezpieczeństwo Brak komentarzy.

6 października napisał do mnie mejla Borys Lącki o temacie, który raczej przyciągnął od razu moją uwagę, ponieważ było w nim słowo: „ALAAAAAAAAAAAAAAAAAAAARM”. Gdzie się paliło? Otóż historia jest na tyle ciekawa, że bardziej przypomina dwie osoby patrzące na siebie poprzez dwa ustawione lustra pod kątem 90%. W treści wiadomości były też screenshoty zawierające pełną ścieżkę URL do systemu webalizer, który przelicza liczbę odwiedzin dla NF.sec. Skąd Borys wiedział o tym URL? Przecież adres był w głębokim ukryciu ;). Wyjaśnienie jest proste. Ja na swoim webalizerze zobaczyłem w refererach adres pochodzący z bothunters.pl. Nie otworzyłem nowej karty i wykonałem sekwencji Ctrl+C,Ctrl+V tylko odruchowo kliknąłem w link. W tym momencie mój adres webalizera pojawił się jako referer w systemie statystyk bothunters. Chwila zapomnienia i miejscówka spalona. Ale nie o tym – temat jest na tyle ciekawy w kontekście odkrycia, które udostępnił na Twitterze Kacper Rybczyński.
[ czytaj całość… ]

Close all the things!

23/10/2016 w Ataki Internetowe, Bezpieczeństwo, Pen Test Brak komentarzy.

Z

nowu IofT dał popalić Internetowi. Jak powstrzymać te wszystkie urządzenia przed przejęciem? Hmm… najlepiej je zamknąć przed zewnętrznym dostępem. Ale jak? Co łączy wszystkie te urządzenia? Może protokół? Ale jaki? HTTP. No tak, ale nie wstrzykniemy nim przecież uwierzytelnienia. To musi być coś uniwersalnego… No tak! UPnP. Spójrzmy ile mniej więcej jest wystawionych interfejsów tego protokołu. Według shodana prawie 14 milionów (dokładnie: 13,968,198). To już daje jakieś pole do popisu. Zacznijmy od routerów.
[ czytaj całość… ]

Dirty COW – lokalne podniesienie uprawnień poprzez lukę w jądrze

21/10/2016 w Bezpieczeństwo Brak komentarzy.

9

letni błąd w jądrze systemu Linux pozwala na lokalne podniesienie uprawień poprzez sytuację wyścigu w sposobie, w jaki podsystem pamięci obsługuje kopiowanie przy zapisie (Copy On Write – COW). Nieuprzywilejowany użytkownik może wykorzystać tę lukę, aby zdobyć dostęp do zapisu zmapowanej pamięci będącej normalnie tylko do odczytu i tym samym podnieść swoje uprawnienia. Skutkuje to możliwością obejścia standardowego mechanizmu uprawnień oraz modyfikacją wrażliwych plików binarnych systemu. Błąd istnieje od 2007 roku, czyli mniej więcej od wersji 2.6.22 i został naprawiony 18.10.2016. Luka nadal mogła zostać w ukryciu, gdyby nie Phil Oester, który przeanalizował włamanie na jeden ze swoich serwerów (przechwytywał cały, przychodzący ruch do swoich webserwerów – jak twierdzi zawsze to pomaga w informatyce śledczej) i odtworzył binarny plik eksploita użytego przez włamywacza. Przeanalizował jego działanie i przekazał oficjalnym opiekunom jądra Linuksa. PoCe znajdują się tutaj.

Więcej informacji: Dirty COW (CVE-2016-5195) is a privilege escalation vulnerability in the Linux Kernel

Wyciekające nagłówki HTTP

20/10/2016 w Pen Test Brak komentarzy.

W

świecie HTTP istnieje wiele nagłówków. Niektóre z nich starają się nas chronić inne – wręcz przeciwnie. Poszczególne urządzenia równoważenia obciążenia, serwery www oraz aplikacje webowe ujawniają informacje odnośnie swoich wersji. Czasami dochodzi również do ujawnienia informacji o wewnętrznych sieciach przed którymi się one znajdują. Poniżej zamieszczam kilka przykładów takich wycieków.
[ czytaj całość… ]

F5 powiedz przecie kto ma adres wewnętrzny na świecie?

19/10/2016 w Pen Test Brak komentarzy.

S

pójrzmy na poniższy nagłówek HTTP przechodzący przez urządzenie BIG-IP firmy F5 Networks zawierający ciasteczko powodujące przywiązanie klienta do jednego serwera z backendu:

HTTP/1.1 403 Forbidden
Date: Mon, 17 Oct 2016 07:56:53 GMT
Server: Apache
Content-Type: text/html; charset=iso-8859-1
Set-Cookie: BIGipServerCRM-entryhttps_WAF-Pool=872768522.15168.0000; path=/
Transfer-Encoding: chunked

Zamieńmy liczbę 872768522 na wartość heksadecymalną: 3405640A, rozbijmy ją od tyłu na bloki i ponownie wróćmy do wartości decymalnych:

0A = 10
64 = 100
05 = 5
34 = 52

Hmm… czyżby właście wyciekła informacja o wewnętrznym adresie serwera 10.100.5.52? Zróbmy analogiczną konwersję z liczbą 15168 (3B40), która pewnie oznacza port do komunikacji:

403B = 16443

Finalnie otrzymujemy: 10.100.5.52:16443. Dość ciekawą informacją jest fakt, że samo F5 Networks ujawnia, jak zaszyfrować i rozszyfrować takie dość nieprzemyślane ciasteczko.

Więcej informacji: Overview of BIG-IP persistence cookie encoding

Audytujemy algorytmy szyfrowania SSH

17/10/2016 w Bezpieczeństwo Brak komentarzy.

K

onfiguracja SSH oprócz: zezwolenia wybranych użytkowników; wyłączenia / podkręcenia niektórych funkcji; zastanawiania się czy hasłem, czy kluczem i którym portem – przede wszystkim powinna się skupić na rodzajach algorytmów, które oferują nam bezpieczną, szyfrowaną transmisję. Od strony manualnej możemy skorzystać z dobrego przewodnika Mozilli lub zaprząc do tego automat, który podpowie nam, jakie algorytmy są już przestarzałe i nie powinny być już oferowane od strony serwera w naszej wersji:
[ czytaj całość… ]

Gray hat, black hat everybody gone bad

16/10/2016 w Hackultura Brak komentarzy.

W

IRED napisał artykuł poddający definicji „White Hat”, „Black Hat” oraz „Gray Hat”. Okazał się niekompletny i stronniczy. Black Haty to źli goście: cyberkryminaliści (jak rosyjskie cybergangi), cyberszpiedzy (jak chińscy hackerzy sponsorowani przez rząd, którzy włamali się do OPM) lub cyberterroryści (hackerzy ISIS, którzy chcieli rozwalić sieć elektrowni). Mogą lub nie być cyberwandalami (jak niektóre działania Anonymous), którzy podmieniają strony. Czarne kapelusze są tymi, którzy chcą wyrządzać szkody lub zyskać kosztem innych.
[ czytaj całość… ]

Powrót do przyszłości: *niksowe wieloznaczniki oszalały

12/10/2016 w Bezpieczeństwo, Pen Test Brak komentarzy.

P

o pierwsze ten artykuł nie ma nic wspólnego z współczesnymi technikami hackingu jak obejście ASLR, eksploracją ROP, zdalnym 0day lub łańcuchem 14 różnych błędów, aby złamać Chrome. Nic z tych rzeczy. Omówimy jednak jedną technikę hackingu starej szkoły Uniksa, która działa nawet w dzisiejszych czasach. Technikę, o której (ku mojemu zdziwieniu) wiele osób związanych z bezpieczeństwem nigdy nie słyszało. Prawdopodobnie dlatego, że nikt wcześniej tak naprawdę o niej nie mówił. Dlatego postanowiłem opisać ten temat bo jest on dla mnie osobiście całkiem zabawny, aby przekonać się, co można zrobić za pomocą prostych sztuczek zatrucia wildcardów w Uniksie. Więc w dalszej części możnemy spodziewać się zbioru schludnych hacków na ten temat. Jeśli zastanawiasz się, jak podstawowe narzędzia Uniksa, jak „tar” lub „chown” mogą doprowadzić do kompromitacji systemu – czytaj dalej.
[ czytaj całość… ]

Strona 3 z 5912345...1015...Ostatnia »