September 19, 2006

Mounting CD/DVD ISO images in Windows XP

Have you ever wished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a (free) Windows equivalent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 linux "mount -o loop" command to mount CD/DVD ISO images?

Well, I just found out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a tiny free tool from Microsoft (though unsupported) that does just that: it is called "Virtual CD-ROM Control Panel for Windows XP" and it allows you to browse a CD/DVD iso image (.iso file) as if it was a real CD/DVD connected to your Windows XP system. The tool will assign a drive letter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual CD (e.g. Z:) and from that moment on you will be able to access it, read-only, using all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal utilities like Windows Explorer and from any program (e.g. File->Open).

Direct link cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool:

http://download.microsoft.com/download/7/b/6/7b6abd84-7841-4978-96f5-bd58df02efa2/winxpvirtualcdcontrolpanel_21.exe

This is where I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool:

Go to:
http://msdn.microsoft.com/subscriptions/faq/
Click on:
What are ISO image files and how do I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m?
Click on:
Mounting ISO files virtually:
See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text:
---
The following tool for Windows XP allows image files to be mounted
virtually as CD-ROM/DVD-ROM devices. This tool is provided here for
your convenience, and is unsupported by Microsoft Product Support
Services.
* Virtual CD-ROM Control Panel for Windows XP
---
The last line of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text above (Virtual CD-ROM Control Panel for Windows XP) contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link mentioned before.

David.

September 15, 2006

Do you Pen-Test? (Updated: 20060926)

I have always thought that penetration testing is a very important part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continous improvement of security and also an effective way to make clear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of being hacked isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical.

We have been doing penetration testing for some time, now. Every time we get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right combination of fun and challenge, creativity and technical knowledge. However, not every company has its basic security needs covered and for such companies isn't worth to have to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems tested periodically or even ocasionally.

Fortunately security awareness is improving and companies like Microsoft, that did not have security as one of its strengths, has now its own internal penetration testing team, has formalized and systematized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and is even conducting internal confences about hacking (named Bluehat sessions as a reminder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blackhat sessions).

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own penetration testing teams for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own use or to deliver that service for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Many of those teams use different sets of programs that gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pieces of information or test specific vulnerabilities (both home developed and downloaded from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet). Some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are using free tools, like Metasploit, that only cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploitation of vulnerabilities, or comercial tools that integrate most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 required functionality, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wonderful Core Impact. What I haven't found yet is a FREE tool (GPL) that integrates all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionalities that are required for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different stages of a penetration test (maybe using existing tools as modules) and that can also be extended if needed.

Is it posible to find such utility? Do you know of any such wonder? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free software business model appliable in this case? Can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source be available and still have people/companies interested in paying for support/update? I would love to read your opinions and learn from your experience on this subject.

Begin UPDATE by Raul on 20060926

During our penetration testing activities over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last years we have always dreamt with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free tool that would integrate all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open-source pen-testing tools mentioned by Jorge. Even we started a prototype of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mentioned framework to complement our customized pen-testing Linux-based Live CD, but it never saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 light...

Prior to Jorge publishing this post, I didn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to talk about this with Jorge and David and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m know that, perhaps, in a near future, such a tool will be released...

The Security Tools Integration Framework (STIF), developed by Fyodor and Meder, promises to automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pen-testing process (specially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most basic and boring tasks) by integrating commonly used tools and sharing data between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m using STIF messages (XML-based).

The framework consists of two components:
  • Unified output format for security tools (unified language)
  • Inference engine based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 STIF format (real time data analysis, data proccessing and data exchange)
You can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest README file, tool version and source code from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official Web page (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project Web page has being recently updated). The tool was initially presented during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HackIncá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365Box 2004 conference and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation is available from a big Bit Torrent pack of 1.9GB.

End UPDATE by Raul on 20060926

September 10, 2006

Hacking Challenges: A Training Tool

I'm a big fan of security challenges, mainly because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y help to improve your security skills without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk and presure of being involved in a real incident. They are a marvelous training tool!

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 begining of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 summer, Ethical Hacker started to promote a series of bi-monthly security challenges, called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Skillz H@ck1ng Challenge. The second one, developed by Mike Poor, was called "Hack Bill!". This challenge was focused on Unix, specifically, on how to use sudo properly, common file hidding and sniffing techniques in Linux, and introduced an evil usage of Bill Stearns' apptrace tool to capture SSH and GnuPG credentials on Linux.

You can find my submission in this veeeerrryy loooong post. Before reading it, I encourage you to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge and try to solve it. Having participated and judged several security challenges, I'm aware that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scores are subjective and directly conditioned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jury preferences... so, I didn't win this time, and sincerely, I don't know why

P.S. Judge it by yourself and contact Mike to change his mind and, specially, properly evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countermeasures section! Perhaps, he got fascinated about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winner mentioning Sebek in his answer

BTW, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 September challenge, Netcat in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hat, has been published. Unfortunately, I won't be able to participate this time.



Security Challenge: "Hack Bill" (July 2006) by Raul Siles (www.raulsiles.com)

ACKS: Thanks to Eric and Monica for being as you are! Life is terrific with you!

1. How can you restrict sudo to specific commands for specific users?

Sudo (superuser do) [1] allows a system administrator to give specific users (or groups of users) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to run some (or all) commands as root or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r user while logging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands and arguments. Sudo restrictions to specific commands for specific users can be applied through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "/etc/sudoers" configuration file. Each line specifies:
Username    Hostname = (Run_as) Commands

Where "Username" can run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of "Commands" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users in "Run_as" in all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "Hostnames". For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Sudo specification only allows "cottonmouth" to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "/usr/bin/passwd" command as "operator" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "snakepit" host.
cottonmouth    snakepit = (operator) /usr/bin/passwd

Sudo management and setup tasks can be simplified defining aliases to group multiple users (User_Alias), run as users (Runas_Alias), hosts (Host_Alias) and commands (Cmnd_Alias). The file also can contain default settings and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specifications reflecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system Sudo policy. More details are available at [2].

The Squad's shell server has a very permisive configuration, allowing 7 different users to run anything on any machine as any user, "ALL=(ALL) ALL".


2. What does O-ren do immediately after starting her sniffer? Why? How can a sysadmin find that file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box? How can O-ren recover her sniffer file?

After running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sniffer with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump -nnw " " &" command (PID 4371), O-ren executed:
root@snakepit:/home/cottonmouth # ls -i “ “
97314

This command lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inode number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 " " sniffer output file. The inode is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unique numeric representation of any object (file, directory...) in a Unix filesystem, in this case 97314.
root@snakepit:/home/cottonmouth # unlink “ “

This command deletes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 " " file *name* (directory entry) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem. Due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 " " name was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump" PCAP output file but, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump" process is still running and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file open, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file (including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk space it is using) will remain in existence. It will be available until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last file descriptor referring to it is closed, that is, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump" process finishes.

NOTE: Please, see "Appendix A" for additional comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge output.

O-ren run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2nd command in order to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard Unix tools perspective, such as "ls, find...", so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator cannot find this potentially suspicious file used to save all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic captured. The 1st command will let him to recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file contents through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inode number.

A sysadmin can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unix "lsof" tool [3]. The command "lsof +L1" lists all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system unlinked files, that is files with a link count less than 1 (+L1) or "NLINK" equal to zero. This would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output obtained by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator when running this tool on "snakepit":
# lsof +L1
COMMAND PID USER FD TYPE DEVICE SIZE NLINK NODE NAME
tcpdump 4371 root 4w REG 0,12 0 0 97314 /home/cottomouth/ / (deleted)

O-ren can recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sniffer file using Unix standard commands:
# kill -STOP 4371

First, O-ren needs to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump" process from writting more data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 " " output file, trying to avoid recovering a corrupted PCAP file.
# ll /proc/4371/fd
total 5
lrwx------ 1 root root 64 Jul 25 13:20 0 -> /dev/pts/1
lrwx------ 1 root root 64 Jul 25 13:20 1 -> /dev/pts/1
lrwx------ 1 root root 64 Jul 25 13:20 2 -> /dev/pts/1
lrwx------ 1 root root 64 Jul 25 13:20 3 -> socket:[19747]
l-wx------ 1 root root 64 Jul 25 13:20 4 -> /home/cottomouth/ / (deleted)

Second, O-ren needs to know what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file descriptor (fd) pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump" process perspective. This information is available through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unix "/proc" pseudo-filesystem. In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is using fd 4 to point to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 " " file.
# cp /proc/4371/fd/4 /tmp/snakepit.pcap

Finally, O-ren simply copies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file contents indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file descriptor (fd) used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump" process to reference cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, to a new file, called "/tmp/snakepit.pcap".


3. How did O-ren get Bill’s passwords for ssh and gpg? What can Bill do to safeguard his gpg-protected information from such attacks?

First, O-ren transferred Bill Stearn's "apptrace" [4] Unix script to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system using "netcat" [5]. It set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution permission bits on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transferred file and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool to get details (see bellow) associated to any SSH client invocation, "/usr/sbin/ssh":
root@snakepit:~/  # nc -lp 5050 > apptrace
root@snakepit:~/ # chmod +x apptrace
root@snakepit:~/ # ./apptrace /usr/sbin/ssh

The "apptrace" tool records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application specified as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first argument ran ("$APPNAME-last-run" file), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command-line switches involved ("$APPNAME-parameters" file) and it uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "strace" Unix tool to monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel system calls invoked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running application. The information is stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output directory, called "$HOME/apptrace" (or "/tmp/apptrace" if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no $HOME variable defined).

NOTE: $APPNAME (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output filenames) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first argument, in this case, "ssh".

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "apptrace" script is executed it replaces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary file of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command specified as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first argument by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "apptrace" script itself, and saves a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original binary as ".orig", in this case "/usr/sbin/ssh.orig".

The new "binary" file ("/usr/sbin/ssh", now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "apptrace" script) simply calls "strace" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "-f -o" options (follow process forks and output to a file) and traces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original binary, now called "ssh.orig":
strace -f -o  /usr/sbin/ssh.orig $*

The next time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "binary" (ssh) runs, "strace" collects all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system calls performed by it, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reads syscalls associated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password input, called after showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSH "Password:" prompt.

The same kind of attack was used to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Bill's GPG passphrase. O-ren run a command like:
[root@localhost snakechamer]# ./apptrace /usr/sbin/gpg

When Bill invoked "gpg", all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system calls used by this binary were collected, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reads syscalls associated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase input, called after showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPG "Enter passphrase:" prompt.

Bill can safeguard his gpg-protected information from such attacks following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following countermeasures:

First of all, not allowing any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r user (local or remote) to obtain root privileges. The passwords were obtained through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "strace" tool, and in order to run it you need to be root. In this scenario O-ren got root access due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unsecure configuration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sudo tool in both systems (that specifically allowed him to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "su -" command):
  • In snakepit this let him to run "strace" to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSH password to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 192.168.159.133 box.
  • In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 192.168.159.133 system this let him to run "strace" to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPG passphrase required to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "okunote" secret file.

Therefore, it is recommended to restrict Sudo usage following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of question 1. However, this is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to become root in a Unix system, so it is recommended to harden cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box as much as possible so that it's not possible to take advantage of any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploit (local or remote) to scalate privileges.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second place, O-ren got access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second system by gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring Bill's SSH password. If Bill would have used digital certificates to aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticate via SSH to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second system (instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 username and password aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication mechanism), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack would have been more difficult to achieve (although still feasible capturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel system calls).

Additionally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "apptrace" tool works by replacing critical system binary files. Having some kind of host or file integrity checker, such as Tripwire [6] or AIDE [7], would have help to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forgery prior to invoking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 replaced commands, "ssh" and "gpg". Besides, having some kind of host-based intrusion detection capabilities, even a home-made one running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "lsof" command of question 2 periodically, would have helped to detect anomalous behaviours, such as unlinked files, that could have alerted Bill about O-ren's actions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise.

In order to decrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PGP armored "okunote" file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user private key is required (togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase protecting this key). If Bill would have kept this file out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box, such as in a USB stick, O-ren wouldn't had be able to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file contents. This method is known as two-factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, something you know (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase) and something you have, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB thumbdrive containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private key. The only vulnerable timeframe is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB drive is plugged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, but this drastically reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of exposure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack presented. The same idea applies if digital certificates are used to aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticate via SSH.

Lastly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "gpg: Warning: using insecure memory!" warning message displayed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "gpg" program [8] means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary is running without setuid, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore, it is not locking memory pages. In this scenario, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS can write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "gpg" memory pages containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secret keys to disk during its memory management tasks. This secret information on disk could be potentially accessed by an intruder (this method was not used by O-ren).


4. For extra credit: what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meaning behind snakecharmer’s passwords?

Snakecharmer’s passwords are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hexadecimal ASCII representation [9] of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 letters of two different words:

  • Password to 192.168.159.133 is: "6f74616b75".
Hex equivalence: 6f=o, 74=t, 61=a, 6b=k, 75=u.
ASCII translation: "otaku".

Otaku refers to a variety of geek obsessed with anime and manga. In Japanese this term has negative connotations, although in English can have positive or negative connotations (specially in Internet forums) [10].

  • GPG passphrase in clear text: “42696c6c”.
Hex equivalence: 42=B, 69=i, 6c=l, 6c=l.
ASCII translation: "Bill".

"Hack Bill!" ;-)


- REFERENCES:

[1] Sudo:
http://www.courtesan.com/sudo/ (Unix)
http://sudowin.sourceforge.net (Windows)

[2] Sudo manual page:
# man sudoers

[3] Lsof:
http://freshmeat.net/projects/lsof/

[4] Apptrace:
http://www.stearns.org/apptrace/
http://www.stearns.org/doc/apptrace.v0.1.html

[5] Netcat:
http://www.vulnwatch.org/netcat/

[6] Tripwire:
http://www.tripwire.com
http://sourceforge.net/projects/tripwire/

[7] AIDE:
http://sourceforge.net/projects/aide

[8] GPG memory warning message:
http://www.gnupg.org/documentation/faqs.html#q6.1

[9] ASCII table:
http://www.lookuptables.com

[10] Wikipedia:
http://en.wikipedia.org/wiki/Otaku


- Appendix A:

The challenge output shows how O-ren run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sniffer:
root@snakepit: # cd /home/cottonmouth/
root@snakepit:/home/cottonmouth # mkdir " "
root@snakepit:/home/cottonmouth # cd
root@snakepit:/home/cottonmouth/ # tcpdump -nnw " " &
[1] 4371
tcpdump: listening on eth0, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet), capture size 96 bytes
root@snakepit:/home/cottonmouth # ls -i “ “
97314
root@snakepit:/home/cottonmouth # unlink “ “

O-ren created a " " directory and inside it a " " file (inode: 97314) where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sniffer output was saved. However, after running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump" command he didn't change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory location although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt seems to indicate that he did, because he is at "/home/cottonmouth" instead of at "/home/cottonmouth/ ".

If I'm not wrong, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt should contain a final "/ " for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 2 commands, or a "cd .." should have been executed after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tcpdump" command:
root@snakepit: # cd /home/cottonmouth/
root@snakepit:/home/cottonmouth # mkdir " "
root@snakepit:/home/cottonmouth # cd
root@snakepit:/home/cottonmouth/ # tcpdump -nnw " " &
[1] 4371
tcpdump: listening on eth0, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet), capture size 96 bytes
root@snakepit:/home/cottonmouth/ # ls -i “ “
97314
root@snakepit:/home/cottonmouth/ # unlink “ “

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge answers I have considered that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "/ " was missing and only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCAP file was unlinked.

September 01, 2006

Malicious web pages are all around

I bet everybody knows somebody who thinks you are kidding when you tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that a malicious web page could take full control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computers just by browsing to it if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't take some precautions. I thought I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r share a small example from a real-world incident I investigated recently hoping someone finds it useful to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 non-believers.

The PC of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim had been completely taken over by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker(s). Among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, a trojan program had been installed that would monitor all web connections established by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim and report to a certain web site all kinds of information. Bad.

The forensic analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection vector: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user had browsed to a particular web page and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active content of that page had managed to download and install a program into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This program, in turn, was a downloader itself that downloaded and installed ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r programs, but that's beyond our current interest.

So, what did this active content looked like? Well, you can see for yourself. Inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZIP file that accompanies this article (see below) you will find an HTML file containing a slightly modified version of that code. Actually, you will find two versions: demo.html and demo_verbose.html. They are basically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 verbose version incorporates pop-up messages so you can follow its execution step by step.

You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zip file from:


(ZIP password: "radajo")

In summary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page instantiates an object (RDS.DataSpace) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, using javascript to manipulate that object, it tries to download a file from a particular URL (http://10.10.10.10/somefile.exe), copy it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive (c:\tempfile.exe) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n execute it.

The good news is that this particular attack will not work if you have a security level of "Medium" or higher, which, of course, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendation for your Internet Zone. Nor will it work if you click "No" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popup warning messages, which of course, is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r good thing to do.

Sadly, however, most users don't follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations, just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim in this case. :-(

If you want to see it running, do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: copy both html files to a directory served by your favourite web server (e.g. wwwroot in IIS). Also, copy some inocuous executable file (e.g. calc.exe) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same directory so that it is also served by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server. Then, edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 html files using your favourite text editor to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP of your web server and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct URL to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable file. Finally, launch Internet Explorer (it might work with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web browsers, but I have only tested IE and only in XP SP1 and SP2) in a different system and type in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demo.hml or demo_verbose.html files. You will probably get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following warning message from IE three times:

Click "Yes" every time and you should get your downloaded program running (e.g. calc.exe).

Please note that this may not work depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security settings of your IE (Tools-> Internet Options -> Security). If you definitely want it to work you can include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 url of your web server in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Trusted Sites". Effectively, you are enabling every feature for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. Alternatively, you can set a security level of "Medium" for you Internet Zone and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n customize it to enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following two options:
  • Access data sources across domains
  • Initialize and script ActiveX controls not marked as safe
That is: "Medium" security level plus those two settings will enable all this malicious web page needs.

If this example helps in opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eyes of even just one person, I'll be happy. :-)