This Site owned by :

Udv az osszes nagyfeju ISP rendszergazda/security gurunak (aka: GRIN, GUSKAHAX0R, MAG, CYD, MicMac, Bivanbi, KalverKocsog, Atya-Bazsa es az osszes LME geci).

Ez a deface azert keszult, hogy bebizonyitsuk magyarorszagon nem csak obotakgeci, dc1geci, madmindgeci szintu scriptkiddie like "allitolagos hackerek" leteznek. Kicsit nevetseges az ami a mediaban manapsag csinal a hozza nemerto lamer alatokbol.  Ezert itt egy prezentacios hack ! =)

A tamadas az INTERWARE egyik "kisegito" szervere ellen iranyult.

Mi is tortent itt. (Aki nem hiszi el az jarjon utanna, bar mi az igazat irjuk le) :
 

• Adott volt egy sniffelt account (switchelt halorol szereztunk, erdekes erre mondjak azt hogy nem sniffelheto ? Lenyegtelen, csak okoskodnak :)
• Az account mogott egy szerver volt: amstel.interware.hu. A szerveren ssh service. A sniffelt accountnak volt SSH elerese. shellje a pine nevu levelezokliens...
• A pine nem okozott komolyabb problemat, egy /bin/bash -c /bin/bash; alternativ editor gyorsan dobta a shell-t.
• Ezutan ismerkedtunk meg a rendszerrel:
• 2.2.17-es linux kernel
• A kernelben ott vigyorgott a cryptopatch
• Egy darab C fordito sincs kozel 's tavolban...
• Nagyon jol felkonfigolt packetfilter (ipchains). A pop3 port pl kernel/ipchains-bol filterezve,stb. (ha netan a daemonban bug lenne ? :)))
• Jol belott syncookies,rpfilter vedelem
• tripewire, portsentry vedelem
• Debian 2.2 distribucio, a legfrissebb fixekkel.
• Uj Glibc
• Uj traceroute
• hostconf-os trukk nem megy, kernel tul regi hozza (szerencsejukre)
• szeparalt filerendszer, nosuid, noexec, stb. (hardlink attack eleve kizarva)
 
 

bash-2.03$ mount /dev/sda5 on / type ext2 (rw,errors=remount-ro,errors=remount-ro) proc on /proc type proc (rw) devpts on /dev/pts type devpts (rw,gid=5,mode=620) /dev/sda1 on /boot type ext2 (ro) /dev/sda6 on /home type ext2 (rw,noexec,nosuid,nodev) /dev/sda7 on /var type ext2 (rw,nosuid,nodev) /dev/sda8 on /var/mail type ext2 (rw,noexec,nosuid,nodev) /dev/sda9 on /var/lib/mysql type ext2 (rw,noexec,nosuid,nodev)

• szeparalt web groupok (kb 50 darab kulonbozo group a www-data alatt, amelyekhez kulon auth tartozik.)
• semmilyen folosleges daemon, csak ami a mukodeshez kell
• Erosen leredukalt setuid allomany, amin nem kell hogy feltetlenul setuid legyen, azon itt tuti nincs :)
• a /etc/apache csak root szamara OLVASHATO!!! Nem is lathattuk, hogy mi van benne.
• Localis security magas szintu.
• Userek konyvtarai abszolut szeparaltak, egyetlen user sem kepes olvasni mas user adatait.
• Szeparalt administrator reteg. (csak par usernek van rendes shellje)
• A mi userunk veletlenul kiemelten powerfull volt, a legtobb usernek /bin/false a shellje
• Szoval meg a MAG koma sem mondhatja azt, hogy ez egy tipikus "szar" gep. MERT TENYLEG NEM AZ.
• Tisztelet a rendszergazdaknak, ennyire szeparalt rendszert karban tartani meg szerintunk is komoly munka :) Vagy nagyon megfizetik ezert oket, vagy mazochista allatok.  (UGYE MAG ? Vannak olyanok akik nem predikaljak, hanem csinaljak ???)

• Ugyebar mint azt leirtuk, ./-es local exploitot el lehet felejteni, a szokasos mokakat is lehet elrakni. Ami itt jon az tenyleg a "FEELING"
• Nonpublic PHP exploiton keresztul sikerult krealnunk egy shell-t amelynek euid-ja, egid-je www-data volt.
 

bash-2.03$ id uid=33(www-data) gid=1001(uzlethaz) groups=1001(uzlethaz)

• Ezzel mar minimalisan hozzafertunk par filehoz, de ezutan szembesultunk vele, hogy a www-data group nem tud olvasni szinte semmit, mivel a webgroupok kulon szeparaltak.
• Egy ujabb rogtonzott megoldassal a phpn keresztul csinaltunk egy bash_on_port-ot, melyet teljes jogulag az apach futtatott, igy hozzafertunk a szeparalt groupokhoz.
• Innentol mar mindenhez hozzafertunk amihez az apach hozzafert. Kezdve az osszes hostolt oldal osszes adatahoz.
 

bash-2.03$ telnet 0 1111 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Gimme pass: ************ sh: no job control in this shell sh-2.03$ id id uid=33(www-data) gid=33(www-data) groups=33(www-data),1005(planetweb),1006(web), 1007(agility),1008(foldnapja),1009(grafo),1010(e-start),1011(pitvar),1012(danubi anadesign),1013(szinyei),1014(bignet),1015(fizetesinfo),1016(thr),104(loggers),1 017(canderel),1018(portar),1019(windrivers),1020(trax),1022(gfkdorelipms),1023(k ioszk),1024(regiszter),1025(pityer),1026(telepito),1027(e-contact),1028(tutynet) ,1029(afilmsite),1030(loyolacollege),1031(webkom)

• Egy kis lokalis hiba (rosszul beallitott UMASK), hogy a webgroup-ok nagy resze mar eleve tudta irni a html-eleket, tehat mar a rendszer nagy reszet itt tudtuk volna defacelni.
• Mivel a legtobb host hasznalt mysql-t igy azokok teljes adatbazisat dumpolni tudtuk (nemhiaba, szuper ottlet a database.conf-ban tarolni a mysql usert, passwdt)
• A rendszer elonyere legyen irva: a mysql total szeparalt meg localhostrol is, a mysql adatbazist nem tudtuk elerni egyetlen user jogosultsagaval sem.)
• az /etc/mysql/my.cmf nem tartalmazott semmilyen jelszot. Ez ergo problema is lehet, mert a logrotate nem tudja ujrainditani a mysql-t es jelen gepen mar 2000-09 ota nem volt logrotate eppen ezert, de ennel ellenere security szempontjabol jo huzas volt ez az adminok reszerol.
• talaltunk egy filet /etc/webpasswd melyben vegyesen DES/MD5 jelszavak, melyekbol amiket visszafejtettunk azok mind mukodtek local accountra. (ezt nevezhetjuk a rendszer gyenge pontjanak ? :) Mondjuk a filet addig eleve nem tudtuk olvasni amig nem szereztuk meg az apachtol a www-root euid,egid-et..

- Ebben a pillanatban mar minden lehetosegunk megvolt arra, hogy barmelyik honlapot defaceljuk, vagy barmelyik honlaphoz tartozo adatbazist lehuzzunk.

- Kivallogattuk a webpasswd filebol a bash shellel rendelkezo usereket, es azokra engedtuk ra a jo oreg JOHN-t!
- 15 usert tortunk meg par perc alatt, ezeknek su-val probaltuk es mindnek ez volt a shelles jelszava mint a webpasswd adatbazisban levo jelszaval. (Szinten a rendszer elonyere legyen irva, hogy ez a 15 user kozul egyetlennek sem volt /bin/bash shellje, foleg false es nehany pine jutott ide.)
 

Ebben a deface-ben a kovetkezo hostok szerepeltek : (minimum :) volt egy kis kavarodas a gepen a webrootok teren :)
 
 
 

afilmsite.com  e-contact.hu       loyolacollege.org  agility.hu     e-start.hu         pityer.hu          tundehullareszegen.hu amstel         foldnapja.hu       planetclub.org     tutynet.com canderel.hu    gandi.hu           portar.hu          webkom.hu bignet         gfk-dorel-ipms.hu  szinyei.hu         windrivers.hu

autolista.hu  posterprint.hu      trax.hu geodezia.hu   plakatgyar.hu       profitinfo.hu       uzlethaz.com goldfish      poster-display.net  regiszterplakat.hu

Na legyetek jok,
mi meg csak figyelunk titeket

- Haxor Nation Crew -