Difference between revisions of "U23 2006/Hinweise Team Red"

From C4 Wiki
Jump to: navigation, search
m (Subkategorie)
 
(10 intermediate revisions by 4 users not shown)
Line 1: Line 1:
[http://img150.imageshack.us/img150/1645/cmswa6.png|CMS 0wned by team red]
+
= 3. Termin, 09. Spetember =
 +
 
 +
== Zu beantwortende Fragen I (WLAN-Hacking-Teil) ==
 +
 
 +
=== Allgemeine Vorgehensweise ===
 +
# Wir haben mit airodump-ng Pakete, in denen Initialization Vectoren enthalten sind, gesnifft. (Aufruf: "airodump-ng --ivs -c 5 -w kryptochef_dump wlan0")
 +
# Danach haben wir versucht mit aircrack-ng den WEP-Key zu cracken. (Aufruf: "aircrack-ng kryptochef_dump.ivs")
 +
 
 +
=== Wie lautet die MAC-Adresse des Access-Points? ===
 +
"00:14:BF:29:AF:9E" in airdump-ng abzulesen in der Spalte "BSSID"
 +
 
 +
=== Welcher Client ist auf dem Access-Point angemeldet? ===
 +
"00:90:4B:65:23:0B" ebenfalls in airodump-ng abzulesen in der Spalte "Station MAC"
 +
 
 +
=== Wie lautet der WEP-Key? ===
 +
Leider hat keiner von uns es geschafft den WEP-Key zu cracken. (Wir hatten 220000-800000 Pakete und aircrack-ng hatte in 1-2 Std. ca. 0,5 - 2 Milliarden Keys versucht...)
 +
 
 +
== Zu beantwortende Fragen II (Website-Hacking-Teil) ==
 +
 
 +
=== Wie lautet das MYSQL-Passwort? ===
 +
Zuerst haben wir den Quellcode des CMS von der Website des Herstellers heruntergeladen (im Zweifelsfall Link auf der Startseite klicken ;) ). Nachdem wir den Quelltext von "admin/index.php" angesehen hatten, kam uns die Idee ein "?loggedin=1" an die URL dranzuhängen. Dadurch fiel uns dann, da wir auf der Startseite eingeloggt waren, eine Message an den "Chef" auf, dass irgendein neues halbfertiges Template zur Vorschau bereit liegt. In diesem halbfertigen Template wurden achtlos Dateien included. Es wurde lediglich ein ".php" beim include angehangen. Dadurch konnten wir eine r57 shell auf dem Server ausführen, die auf einem externen Server abgelegt war. Mit Hilfe der Shell konnten wir dann die Datei "/config.php" auslesen, in der schliesslich der Login für die MYSQL-Datenbank stand.
 +
 
 +
CMS:
 +
* test : 1234
 +
MYSQL-Datenbank:
 +
* root : microsoft
 +
 
 +
=== Welche User gibt es auf dem Server? ===
 +
Wir konnten mit der Shell die Datei "/etc/passwd" auslesen und hier sind die User:
 +
 
 +
* root
 +
* admin
 +
 
 +
=== Welche Sicherheitslücken hat die Konfiguration? ===
 +
Es waren anscheinend/wenige PHP-Funktionen deaktiviert. Wir hatten außerdem Zugriff auf Verzeichnisse außerhalb des Web-Verzeichnisses. Wir konnten Dateien von anderen Servern includen, der include war nicht gesichert.
 +
 
 +
=== Welche Spuren wurden hinterlassen? ===
 +
 
 +
=== Finde die "anderen" Passwörter? ===
 +
In "/etc/security/otherpasswords" war ein Passwort zu finden, dass wie sich herrausstellte das root-Passwort war. Lustigerweise hatten wir uns vorher schon über ssh einloggen können, da das admin-Passwort sehr schwach war, s.u. .
 +
 
 +
* admin : admin
 +
* root : steckdosenflasche
 +
 
 +
 
 +
∆t durch tcpdump und grep errechnet <-- was heißt das?? --[[User:Mfa|Mfa]] 23:29, 09 September 2006 (CEST)
 +
 
 +
=== Nachher ;) ===
 +
 
 +
http://img150.imageshack.us/img150/1645/cmswa6.png
 +
 
 +
[[Category:U23 2006]]

Latest revision as of 14:31, 28 May 2007

3. Termin, 09. Spetember

Zu beantwortende Fragen I (WLAN-Hacking-Teil)

Allgemeine Vorgehensweise

  1. Wir haben mit airodump-ng Pakete, in denen Initialization Vectoren enthalten sind, gesnifft. (Aufruf: "airodump-ng --ivs -c 5 -w kryptochef_dump wlan0")
  2. Danach haben wir versucht mit aircrack-ng den WEP-Key zu cracken. (Aufruf: "aircrack-ng kryptochef_dump.ivs")

Wie lautet die MAC-Adresse des Access-Points?

"00:14:BF:29:AF:9E" in airdump-ng abzulesen in der Spalte "BSSID"

Welcher Client ist auf dem Access-Point angemeldet?

"00:90:4B:65:23:0B" ebenfalls in airodump-ng abzulesen in der Spalte "Station MAC"

Wie lautet der WEP-Key?

Leider hat keiner von uns es geschafft den WEP-Key zu cracken. (Wir hatten 220000-800000 Pakete und aircrack-ng hatte in 1-2 Std. ca. 0,5 - 2 Milliarden Keys versucht...)

Zu beantwortende Fragen II (Website-Hacking-Teil)

Wie lautet das MYSQL-Passwort?

Zuerst haben wir den Quellcode des CMS von der Website des Herstellers heruntergeladen (im Zweifelsfall Link auf der Startseite klicken ;) ). Nachdem wir den Quelltext von "admin/index.php" angesehen hatten, kam uns die Idee ein "?loggedin=1" an die URL dranzuhängen. Dadurch fiel uns dann, da wir auf der Startseite eingeloggt waren, eine Message an den "Chef" auf, dass irgendein neues halbfertiges Template zur Vorschau bereit liegt. In diesem halbfertigen Template wurden achtlos Dateien included. Es wurde lediglich ein ".php" beim include angehangen. Dadurch konnten wir eine r57 shell auf dem Server ausführen, die auf einem externen Server abgelegt war. Mit Hilfe der Shell konnten wir dann die Datei "/config.php" auslesen, in der schliesslich der Login für die MYSQL-Datenbank stand.

CMS:

  • test : 1234

MYSQL-Datenbank:

  • root : microsoft

Welche User gibt es auf dem Server?

Wir konnten mit der Shell die Datei "/etc/passwd" auslesen und hier sind die User:

  • root
  • admin

Welche Sicherheitslücken hat die Konfiguration?

Es waren anscheinend/wenige PHP-Funktionen deaktiviert. Wir hatten außerdem Zugriff auf Verzeichnisse außerhalb des Web-Verzeichnisses. Wir konnten Dateien von anderen Servern includen, der include war nicht gesichert.

Welche Spuren wurden hinterlassen?

Finde die "anderen" Passwörter?

In "/etc/security/otherpasswords" war ein Passwort zu finden, dass wie sich herrausstellte das root-Passwort war. Lustigerweise hatten wir uns vorher schon über ssh einloggen können, da das admin-Passwort sehr schwach war, s.u. .

  • admin : admin
  • root : steckdosenflasche


∆t durch tcpdump und grep errechnet <-- was heißt das?? --Mfa 23:29, 09 September 2006 (CEST)

Nachher ;)

http://img150.imageshack.us/img150/1645/cmswa6.png