Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Fox News könyvtár listázás

2007.07.24. 09:07 | buherator | Szólj hozzá!

Gordon Lowrey (egy 19 éves fotográfus hallgató) észrevette, hogy a Fox News oldalán engedélyezve van a könyvtár listázás. Elkezdett hát böngészni a könyvtárstruktúrában, és hamarosan ráakadt egy shell scriptre a védtelen admin könyvtárban:

http://www.foxnews.com/admin/xml_parser/zdnet/grab_zd_files.sh:
#!/usr/local/bin/bash

filedir="/data/fnc01_docs/admin/xml_parser/zdnet"

workdir="/in"

importdir="f93kl"


ftpoptions="-vn"

logname="foxnews_\%1"

logpasswd="T1me\ 0ut"

hostip="ftp.g.ziffdavis.com"

date_string=`date +%y%m%d`


echo "start ftp..."

ftp $ftpoptions $hostip
user $logname $logpasswd

asc

prompt

cd $importdir

mget *$date_string*
close
-EOF-

mv Fox*.xml $filedir$workdir

echo "end ftp..."


Az FTP hozzáférés persze működött. Az eredeti blogbejegyzést sajnos eltávolították, a hibát javították.

FRISSÍTVE: Ronald nem rég írt egy posztot, mely szerint van még pár XSS és SQL Injection lehetőség a Fox oldalán, de részleteket nem árult el sem a nyilvánosságnak, sem a Fox-nak. A wargame előállt ;)

Címkék: incidens fox news

SQL Server csonkolásos támadás

2007.07.22. 08:49 | buherator | Szólj hozzá!

Néhányan úgy gondolják, hogy a tárolt eljárások használata egyúttal biztonságot is jelent az adatbázist használó alkalmazások számára. Ezt a tévhitet eloszlatandó, lássuk hogyan lehet kihasználni az SQL Server automatikus adatcsonkolási tulajdonságát egy rosszul megírt tárolt eljárás esetében!

Tegyük fel, hogy a programozó a QUOTENAME vagy a REPLACE T-SQL függvényt használja az aposztrófok/idézőjelek kicserélésére (ezzel próbálva megakadályozni egy SQL Injection támadást) mielőtt a felhasználótól érkező fix (pontosabban maximalizált) szélességű adatokat beszúrná a megfelelő táblába.

A használt eljárás nézzen ki mondjuk így:

ALTER PROCEDURE sp_setPassword

@username varchar(25),
@old varchar(25),
@new varchar(25)

AS

DECLARE @quoted_username varchar(25)
DECLARE @quoted_oldpw varchar(25)
DECLARE @quoted_newpw varchar(25)
DECLARE @command varchar(250)

-- a változók csak 25 karaktert képesek tárolni
-- megj.: a quotename() 52 karaktert ad vissza
-- ha az összes karakter aposztróf!

SET @quoted_username = QUOTENAME(@username, '''')
SET @quoted_oldpw = QUOTENAME(@old, '''')
SET @quoted_newpw = QUOTENAME(@new, '''')


SET @command= 'update Users set password=' + @quoted_newpw +
' where username=' + @quoted_username +
' AND password = ' + @quoted_oldpw
EXEC (@command)
GO


Mi van akkor, ha a felhasználó által megadott jelszó éppen 24 karakter hoszzú: ajelszo24karakterhosszuu ?

Mivel az SQL Server 2004 SP1 és 2005 SP4 csendben levágja az adat végét, ha az már nem fér be a megfelelő bufferbe, a @quoted_username vátozo értéke 'ajelszo24karakterhosszuu lesz!

Ezek után a lefuttatott kérés így fog kinézni:

update users set password='ajleszo24karakterhosszuu where username=' <Ide jöhet az SQL Injection>


Készült Ronald posztja alapján, az eredeti cikket Bala Neerumalla írta.

Címkék: sql injection sql server sql truncation

Internet Explorer szoftver listázás

2007.07.22. 08:01 | buherator | 6 komment

Billy Rios egy olyan módszert kísérletezett ki, melynek segítségével egy távoli oldal részben felderítheti a látogatók számítógépének tartalmát. A módszer valószínűleg az Internet Explorer 4.0-val kezdődő verzióival használható, beleértve a legmagasabb biztonsági szintre állított IE7-et is, és az SP2 sem akadály. BK rögtön össze is rakott egy proof-of-concept (erre kitaláltak már jó magyarítást?) oldalt, melyben a lényeg valahogy így néz ki:

var acrobat7 =new Image();
acrobat7.src ="res://c:\\program%20files\\adobe\\acrobat%207.0\\acrobat\\acrobat.dll/#2/#210"

if (acrobat7.height != 30)
{
document.write("Adobe acrobat 7 <br>");
}

Látható, hogy a script a res:// protokollt használja, ennek pedig még IE7 alatt sincs megtiltva a távoli hozzáférés a helyi fájlokhoz (mint pl. a file:// vagy a telnet:// esetében). RSnake szerint a legjobb megoldás az lenne, ha a protokoll egyszerűen nem lenne elérhető web alól, ezt ugyanis az exploit kitek gyártóin kívül gyakorlatilag senki más nem használja.

A trükk segítségével az exploit packek kideríthetik, hogy mely exploitokat érdemes bevetni a felhasználó ellen, de a módszer alkalmas lehet arra is, hogy pl. egy gyártó feltérképezze, hogy az oldalára látogató felhasználó rendelkezik-e a konkurencia szoftverével.

Címkék: privacy internet explorer malware

Az FBI spyware-rel gyűjt bizonyítékot

2007.07.19. 12:10 | buherator | Szólj hozzá!

Erről csak az jut eszembe, hogy "Ne fogadj el idegentől édességet!":

Egy 15 éves amerikai srácot 90 napos elzárásra ítéltek, mert négy alkalommal bombariadót csinált az iskolájában. Hogy mi ebben az érdekes? Hát az, hogy a kis csibész a fenyegető üzenetekat olyan Gmail-es címekről küldte, amiket egy olaszországi gépről generált minden alkalommal frissen. Az FBI alapjáraton ezzel persze nem nagyon tudott mit kezdeni, úgyhogy egy kis trükkhöz folyamodtak:

Egy CIPAV nevű kis trójai programot küldek az egyik címre, ami összegyűjtötte az alapvető rendszeradatokat és 60 napon át figyelte, hogy milyen más gépekkel lép kapcsolatba a megfigyelt PC. A kis gazfickót ezen információk birtokában persze már nem volt nehéz lefülelni. A jog - a sokat emlegetett Patriot Actnek köszönhetően - lehetőséget ad az ilyen jellegű lehallgatásra, mivel a kommunikációk tartalmába nem nyer betekintést a hatóság, a megfigyelt személy tehát csak akkor kerül bajba, ha tényleg takargat valamit (legalábbis az amerikai törvényhozók szerint....). Bomba persze nem volt, de legalább a nyomozók meg tudták mutatni, hogy ők bizony kezükben tartják még az internetet is!

Néhány gondolat:
  • Egy 15 éves gyerek simán fejtörést tud okozni a Nemzeti Nyomozóirodának
  • Zombi e-mail címekre érkező csatolmányokat ne nyiss meg, főleg a .gov-os domainről jönnek :)
  • Ha anonim akarsz maradni, nem elég egy proxy mögé bebújni, használj inkább Tor-t!
  • Vajon a CIPAV alternatív operációs rendszereken is fut? A vírusírtók ugyanúgy kiszúrják mint mondjuk a BO2K-t (ami ugyebár csak egy távoli adminisztrációs eszköz :)?
Készül a SecurityFocus és a Ninja Strike Force cikkei alapján

Címkék: privacy fbi spyware

Webkamera hack Csehországból

2007.07.18. 16:40 | buherator | Szólj hozzá!

A felvételen a csah Panoráma műsor vasárnapi adásának egy részlete látható, melyben webkamerás képekkel színesített időjárásjelentést láthatnak az arra kíváncsiak.
Forrás: 0x000000.com

Címkék: incidens móka

Hogyan kerüljünk be a Go0gle Top 10-be?

2007.07.16. 16:37 | buherator | Szólj hozzá!

Bár nem vagyok nagy híve a spammelésnek, ezt muszáj megosztanom veletek. (Azért néhány helyen kicsit elrondítottam a kulcsszavakat, hogy ne ide csődüljön ezután az összes marketinges idióta). Ronald véletlenül akadt rá erre a lehetőségre egyébként, pontos technikai információk még nincsenek, de szvsz. nem kell sok fantázia a dolog kihasználásához. A következő történt:

Címkék: google spam

Amerikai katonai dokumentumok a neten

2007.07.14. 10:36 | buherator | Szólj hozzá!

Az AP hírügynökség munkatársainak sikerült hozzáférniük az Egyesült Államok hadseregének rosszul védett szerverein tárolt katonai dokumentumokhoz.

A file-ok hozzáférési információkat tartalmaztak a Védelmi Minisztréium egyes számítógépeihez, térképeket valamint biztonsági információkat iraki katonai létesítményekhez, ezen kívül szó volt bennük néhány közel-keleti bázis infrastruktúrális fejlesztéséről is. Az érzékeny adatokat anonymous FTP szerveren tárolták, illetve egy esetben a hozzáféréshez szükséges jelszó egy másik, elérhető file-ban volt tárolva.

Egy belső munkatárs szerint azonban az adatok biztonágban voltak, mivel nem indexelték azokat a keresők :)

Az AP egyébként állítja, hogy letörölték a megszerzett fájlokat...

A SecurityFocus cikke itt.

Címkék: hírek

DNS Pinning

2007.07.12. 10:41 | buherator | Szólj hozzá!

Íme az első bejegyzés, melyet christ1an blogja alapján készítettem. A téma bár elég régi, úgy tűnik nagy hype van körülötte mostanában, én azonban nem emiatt, hanem a módszer szépsége és agyafúrtsága miatt választottam ezt a trükköt az első rendes bejegyzés témájának.

Vágjunk bele:

Címkék: dns dns pinning csrf

Bevezető

2007.07.10. 22:14 | buherator | 1 komment

Hirtelen ötlettől vezérelve belevágtam a buherálással (hackeléssel vagy mi a szösz) kapcsolatos blogolásba, mivel úgy látom hogy bár külföldön az ilyen jellegű oldalak nagy érdeklődésre tartanak számot, kis hazánkban viszont ha jól láttam ez (lesz) az első tisztán biztonságtechnikával foglalkozó blog (talán nem véletlenül...). Szóval egyrészt hiányt szeretnék pótolni, másrészt pedig szívesen látnám, hogy hogyan buherálunk mi, magyarok.

Úgy tervezem első körben hogy össze fogom gyűjteni az idegen nyelvű anyagokat, és a lehető legrészletesebben lefordítva - de legalábbis magyarul összefoglalva - fogom őket ide közzé tenni, de persze ha egy alföldi bitbetyár küld valami szaftosat, annak csak örülni fogok :)

Jelenleg persze elég kevés időm lesz a blog tutujgatására, de igyekszem minél előbb életet lehelni belé. Addig is ha már így megtaláltál, íratkozz fel az RSS feed-re, hogy első körben értesülj a változásokról!

Címkék: bevezető első readme

süti beállítások módosítása