Kategorie: IT-Security
RSS

Linux – information gathering (part 2)

2017-07-27 von admin

This is the secound part of Linux – information gathering.

Peripheral Devices

With the following commands, you get information about peripheral devices. The command „lsusb“ lists all USB devices.

The command „lspci“ lists all PCI devices.

The command „lpstat“ lists all printer devices.

Users Information

To find out who you are, you can use „id“. That command prints real and effective user and group IDs.

The „who“ command shows who is logged on.

Indicates who is logged on the system and what he is doing.

With „last“ you can get a list of the last logged-in users.

Take a look in the home directories, if you have access to them.

In this home folders can more user information be found.

Some interesting mail information can be found in the following folders:

Information about user rights can be found in the following configuration files.

Private Key Information

The private keys can be found in the following folders:

Previous parts

Linux – information gathering (part 1)

Linux – information gathering (part 2)

Linux – information gathering (part 3)

 

Thx @Programming Wolf

Kategorie: IT-Security Schlagwörter:

Linux – information gathering (part 1)

2017-04-03 von admin

Sometimes you need a very fast overview over a current Linux system. In this case, the next commands can be very helpful.

System

With the following commands, you get information about the kernel.

Under Redhat you can use this command.

Distribution

Find release information on Debian systems

and under Redhat systems use

Environmental Variables

In the following config files, you can read system wide environmental variables about the user’s shells.

In your home directory, environmental variables are set as well.

In the file „bashrc“ contains commands, aliases and functions from user’s bash.

This file is read and executed every time a login shell exits.

env is a shell command for Unix and Unix-like operating systems. The command „env“ is used to print a list of environment variables.

The command „set“ shows the system variables with the corresponding contents.

Services

Print all processes with the owner’s user name.

The command „top“ display Linux processes.

Applications

The following commands list all installed applications.

Job Scheduler

Lists all jobs form the current user’s scheduler.

This command gives a detailed view for all defined jobs.

Previous parts

Linux – information gathering (part 1)

Linux – information gathering (part 2)

Linux – information gathering (part 3)

 

Thx @Programming Wolf

Kategorie: IT-Security Schlagwörter:

Linux Log Files – Spuren nach einem Hack verwischen

2017-02-08 von admin

Wenn ein Linux-System gehackt wird, entstehen zahlreiche Spuren in Log-Files. Im folgenden wird erläutert, wie als Angreifer Spuren auf einem kompromittiertem System vermieden werden können.

 

Histsize

Nachdem es gelungen ist, eine Shell zu erlangen, werden normalerweise alle eingegeben Befehle im jeweiligen Homeverzeichnis in der Historie der Bash gespeichert.

Eine Möglichkeit, die Spuren zu verwischen, ist die manuelle Löschung der eingegebenen Befehle. Eine elegantere Methode ist, die Umgebungsvariable „Histsize“ zu begrenzen. Mit dem Befehl „echo“ kann angezeigt werden, wie viele der letzten eingegebenen Befehle in der Historie (bash_history) gespeichert werden.

Setzt man den Wert mit dem Kommando „export“ auf Null, so speichert die Shell keine Eingaben in die Historie.

Falls schon mehrere Befehle eingeben wurden, dann einfach Ab- und Anmelden, um den Verlauf zu löschen, nachdem die HISTSIZE auf Null gesetzt wurde.

Shred

Falls die Zeit knapp sein sollte, kann der Befehl „shred“ verwendet werden, um die History-Datei zu löschen. Mit diesem Kommando können Dateien überschrieben werden.

Der Parameter „z“ überschreibt die Datei mit Nullen und der Parameter „u“ löscht die Datei, nachdem diese überschrieben ist.

Kategorie: IT, IT-Security Schlagwörter: , , , ,

Hack-IT: Reverse Engineering – Geheimzahl

2016-11-12 von admin

Bei diesem Hack-IT liegt eine Binärdatei vor, welche unter Linux ausführbar ist und mit der Programmiersprache C erstellt wurde.

Nach der Ausführung soll eine Geheimzahl eingegeben werden. Wird die falsche Zahl eingegeben, so erscheint die Meldung „Falsch!“.

re01

Eine Möglichkeit, die richtige Zahl herauszufinden, wäre es, einfach ein Skript zu erstellen, welches alle Möglichkeiten durchprobiert. An dieser Stelle soll ein anderer eleganterer Weg dargestellt werden.

Mit dem GNU Debugger (GDB) kann das Programm in Maschinencode umgewandelt bzw. angezeigt werden. Dafür in der Konsole folgenden Befehl verwenden:

Als nächstes im gdb folgende Einstellung setzen:

Dadurch wird eine bessere „Lesbarkeit“ der Speicheradressen gewährleistet.

re02

Als nächstes mit dem Befehl

die Main Methode des Programms disassemblieren. Daraufhin erscheint der Inhalt der Methode in Maschinencode.

re03

In C werden Eingaben durch den User klassisch durch die Funktion „scanf“ realisiert. Die Verwendung der Funktion

ist unter „call 0x4004f0 <__isoc99_scanf@plt>“ zu finden.

re04

Nach der Eingabe muss der eingegebene Wert in einen Speicherbereich verschoben werden (die nachfolgende Zeile). An dieser Stelle wird es spannend, da als nächstes ein Vergleich folgt. Ist der Vergleich richtig, erhalten wir eine Erfolgs- oder Fehlermeldung.

Es wird die Speicheradresse mit dem Wert „0x539“ verglichen. Dabei handelt es sich um einen Hexadezimalwert. Einfach mit einem Taschenrechner umwandeln und die Lösung ist gefunden.

re05

 

Download: Geheimzahl.zip

Kategorie: IT-Security Schlagwörter: , , ,

Hack-IT: DTMF

2016-08-24 von admin

Ein weiteres spannendes Steganographie Hack-IT in dem eine MP3 File bereitgestellt wurde.

 

Während des Anhörens können „Piep“ Töne wahrgenommen werden. Diese erinnern spontan an das Wählen eines analogen Telefons. Für eine weitere Analyse der Frequenzen kann das Tool Audacity verwendet werden.

1. Umwandeln der MP3-Datei in eine WAV-Datei.

2. Die WAV-Datei mit Audacity öffnen (Datei | Datei Öffnen…) und analysieren.

dtmf01

Hier sind die einzelnen Töne zu erkennen. Für eine genauere Analyse den ersten Bereich (gedrückte linke Maustaste) markieren.

dtmf02

Daraufhin in der Software Audacity den Menüpunkt „Analyse“ und „Frequenzanalyse“ wählen.

3. Durchführen der Frequenzanalyse

Die Maus zum ersten Peak bewegen. Unter dem Diagramm wird der Wert „Spitze“ mit 701 Hz angezeigt.

dtmf03

Danach die Maus zum zweiten Peak bewegen. Der Wert „Spitze“ zeigt hier 1216 Hz an.

dtmf04

4. Identifizierung der eingegebenen Nummern

Bei dem Mehrfrequenzwahlverfahren (MFV) bzw. dem Dual-tone multi-frequency signaling (DTMF) wird die Rufnummer an die Vermittlungsstelle oder eine Telefonanlage übermittelt. Dabei werden folgende Frequenzen verwendet:

 

MFV-Tastenbelegung
1209 Hz 1336 Hz 1477 Hz 1633 Hz
697 Hz 1 2 3 A
770 Hz 4 5 6 B
852 Hz 7 8 9 C
941 Hz * 0 # D

 

Jede Zeile repräsentiert einen tiefen und jede Spalte einen hohen Ton. Wenn eine Taste gedrückt wird, ergibt sich ein Ton aus der Überlagerung der Tonfrequenzen.

Der erste ermittelte Ton 701 Hz kann in der ersten Zeile verortet werden. Der zweite Ton 1216 Hz ist in der ersten Spalte zu finden. Daraus ergibt sich die erste Zahl „1“. Die Schritte zwei, drei und vier müssen jeweils wiederholt werden.

 

Das gesuchte Passwort lautet: 1337.

 

5. Automatische Erkennung der Frequenzen

Eine alternative Möglichkeit ist die automatische Erkennung der Frequenzen und die Auflösung der damit verbundenen Zahlen mit der Software multimon.

Wenn es funktioniert, sollte sich die Ausgabe wie folgt darstellen:

dtmf05

 

XSS game area

2015-12-25 von admin

XSS steht für Cross-Site-Scripting und bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen. Auf der Seite xss-game.appspot.com befindet sich ein Spiel, welches verschiedene reale Szenarien abbildet, die anfällig für XSS sind.

Die Aufgabe besteht darin, die Sicherheitslücken zu finden und die jeweilige Anwendung anzugreifen.

xssgame01

Es warten sechs Level, die es zu lösen gilt.

  • Level 1: Hello, world of XSS
  • Level 2: Persistence is key
  • Level 3: That sinking feeling…
  • Level 4: Context matters
  • Level 5: Breaking protocol
  • Level 6: Follow the rabbit

Nach Bestehen der Aufgaben erhält der Spieler die Möglichkeit, sein Feedback abzugeben.

xssgame02

Ein sehr unterhaltsames Spiel und lehrreich zugleich. :)

Kategorie: IT-Security Schlagwörter: , , ,

Hack-IT: Steganographie – bebe iloron

2015-11-11 von admin

Ein „Hack-IT“ ist eine Hacking Challenge bzw. ein Hacking Contest, zu Deutsch eine „Herausforderung zum Hacken“. Dabei wird eine Aufgabe oder eine Abfolge von Aufgaben definiert. Die Aufgaben befassen sich thematisch mit verschiedenen Bereichen, z.B. Steganographie, Kryptographie, JavaScript, Reverse Engineering, Logik, Mathematik, Programmierung, Security und vieles mehr.

Bei der folgenden Aufgabe handelt es sich um ein Steganographie Hack-IT. In der Steganographie wird eine verborgene Speicherung oder Übermittlung von Informationen in einem Trägermedium (Container) durchgeführt. Die hier abgebildete Grafik beinhaltet mehr Informationen als auf Anhieb ersichtlich ist.

bebe_lloron3

Auf den ersten Blick ist nichts Auffälliges zu erkennen. Deshalb wird das Bild nach enthaltenen Textbausteinen mit dem Befehl „strings“ durchsucht.

Nach genauerer Betrachtung aller ausgegeben Texte fallen zwei Informationen auf.

strings

  1. P4ssw0rd: nO pArA dE lLoRar!
  2. lupa5.gif^^?

Mit diesen Informationen kommen wir allerdings noch nicht ans Ziel. Also wird das Bild mit einem Hex-Editor untersucht.

hex1

Im Hex-Editor ist das Dateiformat JFIF erkennbar. Wird nach dem Text „P4ssw0rd“ gesucht, wird dieser ebenfalls gefunden.

hex2

Da an das Bild etwas hinzugefügt wurde, muss das Ende der Bilddatei gefunden werden. Dafür können Datei-Signatur-Datenbanken verwendet werden. Mögliche Quellen sind die Seiten www.filesignatures.net oder wikipedia.

SOI (Start of Image): FF D8 FF E0

EOI (End of Image): FF D9

Suchen wir jetzt nach dem Dateiende „FF D9“, dann wird ersichtlich, dass eine Datei an das Bild angefügt wurde.

hex3

Die Buchstaben „Rar“ aus dem gefunden Text lassen darauf schließen, dass es sich bei der angehängten Datei um eine RAR-Datei handelt. Das Spiel mit der Filesiganture wird wiederholt und im HEX-Editor danach gesucht.

Start of RAR File: 52 61 72 21 1A 07 00

hex4

Jetzt gilt es, die RAR-Datei und die Grafik voneinander zu trennen. Mit dem Hex-Editor (Bless) einfach alle Zeilen ab dem Wert markieren, kopieren und danach eine neue Datei mit Bless anlegen, einfügen und speichern (archive.rar).

Mit dem Befehl „unrar“ kann die RAR-Datei entpackt werden.

unrar

Dabei wird die Eingabe eines Passworts erwartet, welches wir glücklicherweise schon gefunden haben. Das Passwort zum extrahieren lautet „nO pArA dE lLo“. Daraufhin wird eine weitere Grafik entpackt, die folgenden Inhalt besitzt.

lupe1

Da die Lupe schon auf die Pixel hinweist, schauen wir uns diese etwas genauer an. Um die Kanten klarer abzugrenzen, werden ein paar Hilfslinien eingezeichnet.

lupe2

Die Darstellung erinnert an einen QR-Code, wobei irgend etwas fehlt. Nach kurzer Recherche auf Wikipedia wird ersichtlich, dass die speziellen Markierungen fehlen. Nach etwas „Malen nach Zahlen“ sieht die Grafik wie folgt aus:

lupe3

Irgendetwas stimmt noch nicht, wird die Grafik aber horizontal gedreht passt alles.

lupe4

Die Grafik kann dann auf der Seite www.onlinebarcodereader.com hochgeladen werden und der Lösungstext wird angezeigt.

final

 

Das Hack-IT ist somit gelöst. :)

Filezilla FTP Passwort

2009-07-19 von admin

Vor einiger Zeit habe ich ein FTP-Account in Filezilla eingerichtet. Heute wollte ich mich von einem anderen PC aus auf diesen Account anmelden. Nur leider wusste ich das Passwort nicht mehr. :(

Nunja, die Lösung ist trivial.

Filezilla speichert die FTP-Passwörter in zwei XML Dateien.

Die Dateien befinden sich bei der default Installation unter folgendem Ordner:
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\FileZilla\

In der Datei recentservers.xml stehen alle direkt eingegebenen FTP Verbindungen.

Filezilla01

In der Datei sitemanager.xml stehen alle FTP Verbindungen die im Servermanager abgespeichert wurden.

Filezilla02

Kategorie: IT-Security Schlagwörter: ,