Napisał: Patryk Krawaczyński
09/01/2024 w Debug
J
ako zwykły użytkownik czasami mamy ograniczony dostęp do różnych informacji o sprzęcie maszyny fizycznej lub oprogramowaniu stojącego za maszyną wirtualną. Na przykład korzystanie z polecenia dmidecode to sprawdzony sposób na odczytywanie różnych informacji o pamięci RAM w systemach Linux, takich jak numer modelu, prędkość i inne atrybuty. Ale niestety używanie dmidecode jest ograniczone do praw administracyjnych ze względu na konieczność dostępu do /dev/mem. Okazuje się jednak, że istnieje inny, mniej znany sposób na uzyskanie tych samych informacji o wielu komponentach pamięci i nie tylko. Mianowicie podczas procesu uruchamiania w najnowszych dystrybucjach Linuksa udev wyodrębnia informacje DMI i przechowuje je w swojej “bazie danych”. Dlatego uruchomienie polecenia:
udevadm info -e | grep -e MEMORY_DEVICE -e MEMORY_ARRAY
jako zwykły użytkownik doje dostęp do informacji o pamięci DIMM Np.
E: MEMORY_DEVICE_1_FORM_FACTOR=DIMM
E: MEMORY_DEVICE_1_TYPE=DDR4
E: MEMORY_DEVICE_1_SPEED_MTS=2400
E: MEMORY_DEVICE_1_CONFIGURED_SPEED_MTS=2133
E: MEMORY_DEVICE_1_MANUFACTURER=00AD00B300AD
E: MEMORY_DEVICE_1_PART_NUMBER=HMA82GR7AFR8N-UH
E: MEMORY_DEVICE_1_SIZE=17179869184
Widzimy dostęp do informacji: typu, dostawcy, modelu, rozmiaru, szybkości MT/s i innych wskaźników pamięci. W ten sposób uzyskujemy dostęp do informacji w tych obszarach, gdy nie możemy uruchamiać poleceń jako administrator. Polecenie: udevadm info -e daje nam również dostęp do innych informacji DMI, które w przeciwnym razie byłyby zwykle ograniczone do konta root.
Więcej informacji: A Nifty Way To Access Linux Memory/RAM Information
Napisał: Patryk Krawaczyński
03/06/2023 w Bezpieczeństwo
O
prócz analizy najczęściej używanych haseł z publikacji danych logowania – możemy sprawdzić jakie najczęściej znaki pojawiają się w hasłach. Nawet jeśli użytkownicy umieszczają w swoich hasłach do serwisów mieszankę liter, cyfr i symboli to nadal mogą paść ofiarą często używanych kombinacji. Poniższe wyciągi pokazują popularność poszczególnych znaków, aby zidentyfikować znaki na klawiaturze, po które ludzie sięgają najczęściej podczas tworzenia swoich haseł. Liczby takie jak 0, 1 i 2, a także symbole takie jak kropka, podkreślenie i znak “małpy” (“@”) są nadal powszechne i można je łatwo odgadnąć.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
07/01/2023 w Bezpieczeństwo
S
ystemy wieloużytkownikowe zaprojektowane są na udostępnianie dużej liczby informacji użytkownikom. Wiele z tych informacji jest “publiczna” i może być współdzielona pomiędzy różnymi użytkownikami. Nigdy nie można lekceważyć wpływu takich informacji na bezpieczeństwo. Poniżej znajduje się prosty skrypt, który umożliwia złośliwemu użytkownikowi podsłuchiwanie naciśnięć klawiszy innych użytkowników przy użyciu takich informacji. Atak wykorzystuje zwykłe nieuprzywilejowane konto i informacje o procesie ujawnione przez wirtualny system plików procfs (ang. process file system) obsługiwany przez m.in. system Linux. Zawiera on hierarchię plików wirtualnych, które opisują aktualny stan jądra, w tym dane statystyczne o pamięci procesów i niektórych ich wartościach rejestrów. Są one używane przez takie programy jak ps i top, aby zbierać i prezentować informacje o systemie oraz pomagać w debugowaniu oprogramowania. Domyślnie wiele z tych plików jest czytelnych dla wszystkich użytkowników systemu, co w naturalny sposób rodzi obawy, czy ich zawartość nie może ujawnić wrażliwych informacji innego użytkownika.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
11/02/2020 w Pen Test
N
a samym początku należy zaznaczyć, że stanowisko projektu WordPress jest jednoznaczne w tej sprawie: nie uznaje nazw użytkowników ani identyfikatorów użytkowników za prywatne lub bezpieczne informacje. Nazwa użytkownika jest częścią Twojej tożsamości online. Ma na celu identyfikację, a nie weryfikację tego, kim jesteś. Weryfikacja jest zadaniem hasła. Ogólnie rzecz biorąc, ludzie nie uważają nazw użytkowników za tajne, często udostępniając je otwarcie. Ponadto wiele dużych firm internetowych – takich jak Google i Facebook – zrezygnowało z nazw użytkowników na rzecz adresów e-mail, które są udostępniane w sposób ciągły i swobodny. WordPress również przeniósł się na ten sposób, umożliwiając użytkownikom logowanie się przy użyciu adresu e-mail lub nazwy użytkownika od wersji 4.5.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
05/02/2020 w Ataki Internetowe
P
ierwszy wariant tego ataku opierał się na systemie zgłaszania i śledzenia błędów (np. Zendesk). W drugim wariancie przewiduje on użycie Google Groups. Wstępny scenariusz ataku został odkryty już w 2018 roku przez Kenna Security we współpracy z KerbsOnSecurity. Otóż błędna konfiguracja grup dyskusyjnych Google powoduje ujawnienie poufnych wiadomości e-mail od tysięcy organizacji, w tym niektórych firm z listy Fortune 500. Wpłynęło to na wiele branż: od agencji rządowych USA, szpitali i instytucji akademickich po media znanych stacji telewizyjnych i gazet.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
16/01/2020 w Bezpieczeństwo
W
szystko zaczęło się od jednego tweeta, który uświadomił nagle wielu osobom, że mechanizm w dystrybucji Linuksa Ubuntu za pomocą skryptów odpowiedzialnych za generowanie zawartości pliku /etc/motd (ang. Message of the Day) pobiera informacje z serwerów firmy Ubuntu. Nic by nie było w tym dziwnego, gdyby nie fakt, że podczas tego procesu wysyła też sporo “osobistych” i możliwych do zidentyfikowania informacji z Twojej stacji roboczej lub serwera. Za każdym razem kiedy logujemy się na maszynę dowolnego Linuksa uruchamiamy logikę w “MOTD”. Jest to komunikat dnia, który może być ustawiony przez administratora w celu przekazania informacji użytkownikom lub różne skrypty w celu poinformowania administratora o roli i innych metadanych serwera:
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
26/10/2016 w Bezpieczeństwo
6 października napisał do mnie mejla Borys Lącki o temacie, który raczej przyciągnął od razu moją uwagę, ponieważ było w nim słowo: “ALAAAAAAAAAAAAAAAAAAAARM”. Gdzie się paliło? Otóż historia jest na tyle ciekawa, że bardziej przypomina dwie osoby patrzące na siebie poprzez dwa ustawione lustra pod kątem 90%. W treści wiadomości były też screenshoty zawierające pełną ścieżkę URL do systemu webalizer, który przelicza liczbę odwiedzin dla NF.sec. Skąd Borys wiedział o tym URL? Przecież adres był w głębokim ukryciu ;). Wyjaśnienie jest proste. Ja na swoim webalizerze zobaczyłem w refererach adres pochodzący z bothunters.pl. Nie otworzyłem nowej karty i wykonałem sekwencji Ctrl+C,Ctrl+V tylko odruchowo kliknąłem w link. W tym momencie mój adres webalizera pojawił się jako referer w systemie statystyk bothunters. Chwila zapomnienia i miejscówka spalona. Ale nie o tym – temat jest na tyle ciekawy w kontekście odkrycia, które udostępnił na Twitterze Kacper Rybczyński.
[ czytaj całość… ]
Ostatni komentarz :