[HaBo]

stone.dr

Anzeige

Als ich neulich diesen "Werbe-Thread" im Habo gelsen habe (wurde mit Recht deleted), musste ich auch schmuneln.
Besonders eine Frage in dem Forum war sehr witzig:

Doch irgend wie wollte mir diese Frage nicht aus dem Kopf gehen.
Ich fragte mich also, ist es möglich mit Hilfe von google in einen fremden PC einzudringen.
Grundsätzlich nein, da sind wir uns alle sicher, aber wir wissen auch, google ist einer der meistbesuchten Seiten im Internet.
Also überlegte ich mir, wie ein "theoretischer Angriff" aussehen könnte.

Mit nur 4 Zeilen Code (batch), ist es möglich folgende Systemänderung vorzunehmen.
1. Umleitung der Seite google.de auf eine andere Seite, ohne dass das Opfer etwas davon merkt -sprich jedesmal wenn das Opfer die Seite google.de aufruft, wird scheinbar die Seite www.google.de aufgerufen.
2. Den Ordner c: (z.bsp.) freigeben. Dabei wird auch das verändern der Daten erlaubt.

-> die Verbreitung von diesem code, der von allen von mir getesteten Virenscannern nicht entdeckt wird (Antivir, Norton, Bitdefender, GData Inetnetsec.),ist dem Einfallsreichtum des Angreifers und der Unwissenheit der User überlassen.
(geiletussi.jpg.bat)

-> Die Firewalls Zonealarm, GData Internetsec. sowie die XP Firewall haben eine Netzwerkverbindung nicht verhindert.

Doch wie kommt der Angreifer an die IP und wie sieht das dann beim Opfer aus?

Also, das Opfer schreibt www.google.de in den Browser, wird aber auf eine Seite im Internet umgeleitet (ich zum Bsp. habe eine Topleveldomain mit eigener IP).
Auf der Index befindet sich eine Weiterleitung zu einem dyndns (da sich die IP des Angreifers ja spätestens nach 24h ändert).
Beim Angreifer ist ein IP-stealer, der die IP des Opfers abfängt und dann mittels Browserweiche auf eine andere Seite umleitet (msn-search z.bsp)
Google geht nicht (habs getestet), weil ja der host google auf die seite mit der Umleitung führt -> es würde eine Endlosschleife geben.
Mit der IP kann sich der Angreifer in den Rechner einloggen.

Das erschreckenste am ganzen, die getesteten Firewalls lassen den Angreifer durch, da (ich mutmaße jetzt mal), das System über der Firewall steht.

Leider darf ich den batch Code nicht posten, aber ich werde demnächst ein kleines Video machen und zeigen, dass die Sache funktioniert (mit 2 PCs). :D

2Bios

entweder ist es noch früh am morgen oder ich verstehs nicht... ?(
ich bin auf's video gespannt

Bogus

Ok hört sich schon nen bissel logisch an , aber wie willst du die abgeänderte google version in den bowser start bekommen dazu musst du ja ersmal auf dem rechner sein !
oder ein user müsste sich in 200000 jahren mal vertippen um auf deine URL zukommen

ja toll das würde gehen aber dann auch nur wenn du der man in der mitte bist oder ihn schon steuern kannst aber so nix ;D aber ich werde den thread nicht weiter unterstützen weil das hört sich schon skript kiddy an sorry ...

naked_chef

Dazu müsstest du es wie schon erwähnt erst einmal dazu bringen, das sich leute auf die manipulierte seite verirren. die könnte man eventuell über Pharming oder Phishing realisieren.

warum sollten sie auch, laut deiner theorie, baust du doch lediglich eine umgeleitet http-anfrage auf.

okay, du hast es bis hier vielleicht geschafft firewall & co auszutricksen, aber bis jetzt handelt es sich auch nur um ausgehenden verkehr über den browser.

dies würde heissen, du versuchst eine verbindung aus dem internet zu diesen rechner her aufzubauen ... spätestens hier werden dir die firewalls ein dorn im auge werden.
es sei denn dein 4 Zeilen Code beinhalten auch eine regel um die firewalls zu manipulieren oder gar zu deaktivieren.

ich lasse mich auch gern eines besseren belehren.
das video wird bestimmt interessant, aber wird wohl dennoch ehr etwas für kleiner netze sein...

Gnome

Naja, er leitet ja die Anfrage nach www.google.de (die die meisten ja täglich aufrufen) auf "seine" site um.

naked_chef

ja, aber wie will er das schaffen?
wenn er es mit einem batch- code machen will, würde das ja heissen, er müsse erst einmal den user dazu bringen seinen code auszuführen oder den rechner selber infiltrieren.

Utzk

Darum ja der Hinweis mit dem .jpg.bat . Sicher, die Batch auf den PC zu kriegen ist noch der "schwierigste" Teil, aber Virenscanner werden diese sicherlich nicht erkennen (Tut ja zum Umleiten nichts weiter als <irgendwo> Daten reinzuschreiben )

Gnome

hast du mal probiert, wie schnell leute irgendwelche dateien ausführen? Starte am ende der batch nen kleines spiel, mach das ganze mit so nem cnverter zu ner exe und nenn es happy.exe

oder du benennst es in aquarium.scr um. 9/10 leuten führen die datei aus...

naked_chef

nagut aus dieser sicht ...

aber da gilt halt wieder der spruch:
öffne nix was du nicht kennst und wo wie quellen unseriös sind.

Gnome

Den gibts, aber wieviele Menschen ignorieren ihn?

Wenn ihm mehr Beachtung geschenkt würde wären 50% der IT-Dienstleister arbeitslos

Utzk

Darum funktioniert sowas ^^

Die Frage bezüglich des eigentlichen Threads bleibt allerdings, wozu es noch nötig ist, die Leute über Google zum eigenen Server umzuleiten, wenn man doch schon mitten drin in Ihrem Rechner sitzt. Aber ich warte trotzdem mal gespannt auf das Video

sheepd

Weil du besagte Batch-Datei dann einfach _irgendwie_ verbreiten kannst.
Dadurch, dass z.B. ein Eintrag von google.de auf $meine_domain in der hosts-Datei angelegt wird, kriegt deine Domain die IP des Aufrufers (und damit die Möglichkeit überhaupt erst auf ihn zuzugreifen) und muss ihm dann lediglich vorgaukeln, dass er tatsächlich google.de aufruft... das ist nicht allzu schwer.
Ich versteh schon, was du meinst. Man könnte einfach in diese anfängliche kleine Datei ein Programm verpacken, welches automatisch und im Hintergrund die eigene Seite aufruft und Freigaben schaltet.
Allerdings würde dann die Firewall (je nach Warnstufe) meckern und einen Zugriff von dem Programm melden (es sei denn, man wartet bis der User den Browser startet und übernimmt diesen Prozess, um seine Anfrage zu verschicken, was allerdings schon deutlich mehr Programmierarbeit wäre).
Also landest du im Endeffekt bei genau der gleichen Vorgehensweise, nur eben dass die Batchdatei wesentlich einfacher ist, und die dazugehörige "Google-Spiegelung" lässt sich wahrscheinlich schon mit einem Iframe realisieren.
E: Hab mal n bissl damit rumgespielt, mehr als
braucht man an HTML nicht dazu.
Um Leute zu täuschen, denen evtl. der leere GET-Teil der URL auffallen könnte, bräuchte man nur unwesentlich mehr Code im PHP-Teil der Seite.

CraHack

Sheepd du kannst keinen Iframe mit dem Ziel "www.google.de" einbinden, weil das ja auf deine Seite zeigt. Auch wenn der Effekt recht interesannt sein könnte...

Edit:
Oder kann man da unterschiede zwischen "http://www.google.de" und "http://google.de" machen? Also in der Umleitung meine ich.

Zero_X

Sorry wenn das jetzt ein wenig OFFTOPIC ist aber ich glaube mit "Google Hacking" ist eher sowas gemeint:

http://neworder.box.sk/newsread.php?newsid=8203

Also zum Beispiel Namen von serverseitigen Skripten (PHPs, CGIs, usw...) in Google als Suchbegriff eingeben und auf bekannte Bugs absuchen.

Xalon

Oder vielleicht die IP statt google.de

Xalon