Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Feltörték az Offensive-Security webszerverét

2009.11.10. 10:01 | buherator | 14 komment

A Metasploit Unleashed kurzust kiszolgáló wikimotor egyik hibáját kihasználva ismeretlen támadók PHP shellt töltöttek fel az Offensive Security egyik webszerverére. A hivatalos álláspont szerint kritikus kárt nem okoztak és személyes adatok sem szivárogtak ki. A támadás nagyjából 28 órán keresztül maradt észrevétlen.

 

Címkék: incidens offensive security

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2009.11.10. 11:12:04

Valaki kerlek magyarazza el az ertetlen !webes fejemnek hogy miert kellett irasjogot hagyni a webszervernek a sajat wwwrootjaba? Es ez most nem trollkodas, tenyleg baromira kivancsi vagyok.

BTW:
Kivancsi lennek, hogy mikor vettek volna eszre, ha nem dosoljak a gepet.

Security firms FTW \o/

synapse

buherator · http://buhera.blog.hu 2009.11.10. 11:32:37

@synapse: Pl. mert vannak appok, amik a wwwroot alá cache-elnek, vagy simán statikus tatalmat állítanak elő (vannak ilyen tartalomkezelők is). Ettől függetlenöl persze elképzelhető, hogy bénán volt konfigolva a cucc.

synapse · http://www.synsecblog.com 2009.11.10. 13:42:22

Azt en ertem, de igy by design el van cseszve mar maga a koncepcio. Illetve ha nem allit elo mast, csak statikus tartalmat akkor teljesen valid az, hogy kirakjuk wwwroot-on kivulre, vagy csak letiltjuk a .php-k kezeleset. Alapvetoen azzal nem ertek egyet, hogy meghivhato kodot lehessen barmilyen application-be injektalni.

synapse

buherator · http://buhera.blog.hu 2009.11.10. 13:56:59

@synapse:

Nem mondom, hogy 100%-ban átjött amit gondoltál, de azért megpróbálok reagálni:

"Azt en ertem, de igy by design el van cseszve mar maga a koncepcio" - Már látom magam előtt: SynapseHTTPD ... :D

"Illetve ha nem allit elo mast, csak statikus tartalmat akkor teljesen valid az, hogy kirakjuk wwwroot-on kivulre, vagy csak letiltjuk a .php-k kezeleset" - A gyakorlatban a tartalom jelentékeny része dinamikusan változik, nem érdemes cache-elni.

"Alapvetoen azzal nem ertek egyet, hogy meghivhato kodot lehessen barmilyen application-be injektalni." - Hát én se, de ha belegondolsz, egy buffer overflow is erről szól. Itt egyébként vszínű nem is injektáltak semmit sehova, csak sikerült átverni egy .php-t valamilyen szűrőn (vajon hogy csinálták ? ;)

synapse · http://www.synsecblog.com 2009.11.10. 16:57:01

"Már látom magam előtt: SynapseHTTPD ... :D"

Rohogni fogsz, szamtalan (igaz irtoprimitiv) http szervert irtam mar kulonbozo nyelveken, klienseket ugyszinten, szoval nempara hetvegere megvan ;)

"A gyakorlatban a tartalom jelentékeny része dinamikusan változik, nem érdemes cache-elni."

Itt nem a cache-elesrol beszeltem, hanem arrol, hogy az adat kovesse a W^X alapelveit. Oda, ahonnan dinamikus tartalmat szolgal ki (php scriptek), ne lehessen irni /vagy ezeket modositani/. Kovetkezeskeppen adat kerulhet a rendszerbe, futtathato kod nem :)

"Hát én se, de ha belegondolsz, egy buffer overflow is erről szól. Itt egyébként vszínű nem is injektáltak semmit sehova, csak sikerült átverni egy .php-t valamilyen szűrőn (vajon hogy csinálták ? ;)"

Injektalas alatt mondjuk fileup/downloadot ertettem a wwwrootba. A BoF az ennek ekes peldaja, de minden upload.php-s moka is errol szol es arrol, hogy gyokerek az oldal kitalaloi a unix permissionokhoz. Lenyegeben semmi igenye nem kene, hogy legyen egy webappnak a sajat kodjat modositani, esetleg ahhoz hozzarakni barmit is. Ezt kezeljuk is ugy, hogy www-data-tol elvesszuk a fileokat es a folos jogokat. Ezutan lehet probalkozni phpshell wget-elesevel, satobbivel.

Az openBSD security mehanizmusait erdemes lehet meg atnezni es/vagy a vsftpd security modelljet. Remek anyagok.

synapse

b3nsz4 (törölt) 2009.11.10. 17:22:51

Gyerekek nem unjátok?: )
Itt sok embernek ez kínai..
Szerintem meg felesleges..

RobbeR 2009.11.10. 19:29:46

alapból már egy jól megírt php scriptnek sem szabadna engednie a futtatható állományok feltöltését, és nem csak kiterjesztés, hanem mimetype alapján sem.

r@ek (törölt) 2009.11.10. 22:41:42

@synapse: Hallod, kezdesz atmenni b3nsz4-be..

Ne már.. :-(

matx 2009.11.10. 23:07:24

1. off: nem ertem, hogy synapse miert kezdene atmenni b3nsz4-be, aki nem erti mirol beszelnek, az magara vessen.

2: az ilyenek elkerulesere, remekul alkalmas, az adott webhoszt fbsd jailben valo futtatasa :) imho

synapse · http://www.synsecblog.com 2009.11.11. 09:29:49

"@synapse: Hallod, kezdesz atmenni b3nsz4-be.."

Na ezt kerlek fejtsd ki :)

synapse

b3nsz4 (törölt) 2009.11.11. 13:01:50

xD lol.
miért lenne olyan mint én?: )

az hogy nem tetszik a stílusom ahogy dolgozom : ) az szar ügy.. mégis van állásom : O és olyan dolgaim amiket te 17 évesen még csak álmodtál..

na hagyjuk itt a viaskodást : O me nem ide tartozik..

_2501 2009.11.11. 16:31:21

Nyomtattatok pólót a kovetkezo szoveggel:
"latod... mondtam hogy buta vagy."
Ott leszek a jó helyen, a jó időben, ebben a poloban.

synapse · http://www.synsecblog.com 2009.11.11. 16:33:26

"és olyan dolgaim amiket te 17 évesen még csak álmodtál.."

Na ki lesz tizennyolc jovore? ;)

synapse