[HaBo]

blobbo

Anzeige

Hallo,
ich will für einen Vortrag ein kleines Szenario vorbereiten, wie es aussehen könnte, wenn jemand sich Zugriff auf den Server einer Firma verschafft.
Jetzt dachte ich, es wäre schön möglichst viele Sicherheitslücken einzubauen.
Meine Grundidee ist folgende:
- Der Webserver der Firma befindet sich im Intranet der Firma.
- Die Webseite hat eine Lücke (Remote File Inclusion? / SQL Injection? / ...)
- Der Webserver kann also irgendwie übernommen werden.
- Von dort müsste es dann irgendwie noch halbwegs "schwer" sein, wirklich ins Intranet zu kommen.
- Dann müsste es noch irgendwie nötig sein, einen Account (ich würd mal sagen Windows) mit Adminrechten zu bekommen, um dann an die Daten der Firma zu gelangen.

Ich wollte (für den Effekt ) Backtrack benutzen, wodrauf der Server läuft ist mir eigentlich egal. Windows könnte dann ja per remote Desktop angesteurt werden.

Wo ich nun Hilfe bräuchte ist, dass ich gerne ohne zu viel Aufwand ein Szenario installieren würde, was die obigen Stichpunkte zulässt.
Ich bräuchte also irgendwie ältere Versionen von irgendwelchen Programmen oder so.
Welche Lücken/Programme würden sich denn anbieten, um den obigen Ablauf ungefähr vorführen zu können?
Ich hoffe es wird ungefähr klar was ich meine

bitmuncher

Setze eine alte PHPMyAdmin-Version (z.B. 2.6.4-pl1) auf den Intranet-Server, die z.B. verwendet wird um eine Benutzer-Datenbank für einen Fileserver zu verwalten. PHPMyAdmin bietet in älteren Versionen diverse Lücken um Dateien einzuschleusen.

Nutze als Grundlage des Servers eine alte Debian-Version, die für das wunderbar_emporium-Exploit anfällig ist um darüber Root-Rechte zu erlangen, dann einfach ein entsprechendes Skript über PHPMyAdmin in den /tmp-Ordner laden, das eine Remote-Shell öffnet (z.B. ein One-Binary-SSH-Daemon) und einen Bot, der die sich bei einem IRC-Server anmeldet und dort seine Systemdaten (Port, IP etc.) bekanntgibt. Alternativ einen Bot, der eine Shell mitbringt. Das wunderbar_emporium-Exploit um an Root-Rechte zu kommen bekommst du unter http://packetstormsecurity.org/files...r_emporium.tgz Ein passender Bot ist schnell in Perl geschrieben. Beispiele finden sich via Google u.a. http://www.infernet.ws/printthread.php?tid=1287 Musst du natürlich auf deine Anforderungen anpassen.

Mit Windows-Kosten hab ich mich nie groß auseinandergesetzt. Da muss dir jemand anders helfen. Auf jeden Fall kannst du mittels apt-get und Root-Rechten dir ganz einfach auch einen Remote-Desktop-Client auf dem Server nachinstallieren, den du dann mittels VNC, X-Forwarding o.ä. nach außen weiterleitest. Das Ganze lässt sich z.B. auf einen Server des Angreifers tunneln, der seinen SSH-Zugang auf Port 80 oder 443 hat, wohin die meisten Firmen-Firewalls Verbindungen zulassen.

Alternativ tauschst du eine Website des Intranet-Servers aus, so dass ein Aufruf der Seite ein Lücke im IE nutzt und z.B. systemrelevante Dateien beim aufrufenden Rechner austauscht und mit einem Trojaner "verziert". Ein Aufruf der Seite führt dann zu einer Infektion des Windows-Rechners. Voraussetzung ist natürlich eine entsprechend angreifbare Windows-Version.

__________________

blobbo

Hey danke, das hört sich doch super an
Eine Verständnisfrage hätt ich noch.. soweit ich das gerade gelesen habe, braucht man ja für den wunderbar_emporium-Exploit schon einen normalen Useraccount. Wenn ich nun das Script in den /tmp-Ordner schreibe muss es ja noch ausgeführt werden. Wie mache ich das denn?
Die Idee mit dem IE find ich super, wo der ja gerade in Firmen noch massig im Einsatz ist. Mal gucken was ich da finde

bitmuncher

Das geht relativ einfach indem du im DocumentRoot des Webservers ein Skript einschleust, das du über den Webserver aufrufst und das das entsprechende Exploit/Bot/whatever mittels system() o.ä. aufruft, so dass dein eingeschleustes Tool dir eine Remote-Shell öffnen kann, die dann mit den Rechten des Webservers läuft.

Edit: Alternativ lädst du halt eine Webshell in's DocumentRoot und verschaffst dir dadurch Zugriff. Es gibt ja diverse Möglichkeiten an eine Shell zu kommen, die mit den Rechten des Webservers läuft. Mit der Webshell lassen sich dann auch beliebige Befehle ausführen, sofern das PHP nicht entsprechend eingeschränkt wurde, was meiner Erfahrung nach bei den wenigsten Webservern der Fall ist und schon gar nicht bei Default-Konfigurationen der bekannten Linux-Distros.

__________________

blobbo

Ah super, danke!
Ich denk ich muss das einfach mal Schritt für Schritt durchtesten
(wenns nicht klappt meld ich mich nochmal )

blobbo

Hi!
Ich hab mir jetzt Debian mit VMWare installiert und es auch geschafft, einen "wunderbar"-anfälligen 2.6er Kernel zu kompilieren.
Jetzt hab ich gerade lampp mit PHPMyAdmin 2.6.4-pl1 installiert und nun ist mir aufgefallen, dass PHPMyAdmin ja gar kein Passwort-Schutz hat.
Entweder müsste ich es also z.B. mit htaccess schützen oder es ist wirklich nur aus dem Intranet erreichbar, was mir eigentlich am besten gefallen würde.
Dann fehlt mir aber jetzt noch der Weg ins Intranet (oder hinter den htaccess-Schutz).
Hast du (hat jemand) da noch eine Idee oder hab ich etwas falsch verstanden? Danke!

[Edit]
Mh ok, ich könnte ja auf der Website ein Link "Intranet" einfügen, der per htaccess geschützt ist. Jetzt hat aber ein Programmierer "ausversehn" eine Remote File Inclusion Lücke eingebaut, sodass die htaccess ausgelesen werden kann
Oder gibt es schönere Ideen?

[Edit2]
Ich seh gerade, dass hatte ich ja auch oben schon geschrieben

bitmuncher

Schau dir mal die PHPMyAdmin-Konfiguration an. Dort kannst du z.B. einen Passwort-Schutz einstellen. Und schon reicht auch eine veraltete PHPMyAdmin-Version, was wesentlich näher an der Realität ist.

__________________

blobbo

Alles klar, danke. Man musste nur den auth_type auf http setzen...