» »

Za vse ki se hvalijo da lahko vdrejo v WinXP

Za vse ki se hvalijo da lahko vdrejo v WinXP

1
2
3

Spock ::

Če znaš kaj narediti naredi, drugače pa bodi raje tiho. Nič ne Sniffam, samo čakam, da nekdo končno vdre.
Res je popatchan, vendar so še vedno določeni porti odprti, saj drugače ne bi delal remote desktop, web server, file sharing, itd...
Men je bilo rečeno, da če na računalniku laufa web server ali je omogočen remote desktop, da je potem čisto lahko vdreti v računalnik.
Zdaj pa naj že nekdo vdre, pa ne si več zmišljevat kake vse lukne moram pustit odprte, a bote prišli not.

poweroff ::

Prvič. Kako naj vemo, da je server res tvoj? Kaj če si dal kar en IP od nekoga, ki bi se mu rad maščeval?

Drugič. Vdiranje je kaznivo dejanje. Preganja ga policija. Kako lahko pričakuješ, da se bodo ljudje ogrozili? Kot da bi napisal na forum kdo si upa ukrasti to in to..., kraja pa je kazniva. Saj bo vsak, ki prizna da je ukradel lahko kaznovan.

Tretjič. Kako veš, da ti že niso vdrli? Lahko imaš en pameten rootkit namontiran...
sudo poweroff

Spock ::

Najprej so mi tole temo 3x zaklenili pobrisali in na koncu ko so se prepričali da pišem iz istega IP-ja kot je nameščen server so jo nazaj odklenili. Lahko pa prideš v Velenje, pa ti osebno pokažem zadevo.

Če bi kdo že vdrl ali je že vdrl, naj to tudi dokaže drugače pa je lahko samo lepo tiho.

krho ::

root@ubuntu:/home/ubuntu/SPIKE/SPIKE/src # nmap -sS -p 1-65532 213.157.229.46

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-09-20 09:48 UTC
Interesting ports on cpe-213-157-229-46.dynamic.amis.net (213.157.229.46):
(The 65530 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
80/tcp open http
113/tcp closed auth
3389/tcp open ms-term-serv
64951/tcp open unknown
65460/tcp closed unknown
65461/tcp closed unknown
65462/tcp closed unknown
65463/tcp closed unknown
65464/tcp closed unknown
65465/tcp closed unknown
65466/tcp closed unknown
65467/tcp closed unknown
65468/tcp closed unknown
65469/tcp closed unknown
65470/tcp closed unknown
65471/tcp closed unknown
65472/tcp closed unknown
65473/tcp closed unknown
65474/tcp closed unknown
65475/tcp closed unknown
65476/tcp closed unknown
65477/tcp closed unknown
65478/tcp closed unknown
65479/tcp closed unknown
65480/tcp closed unknown
65481/tcp closed unknown
65482/tcp closed unknown
65483/tcp closed unknown
65484/tcp closed unknown
65485/tcp closed unknown
65486/tcp closed unknown
65487/tcp closed unknown
65488/tcp closed unknown
65489/tcp closed unknown
65490/tcp closed unknown
65491/tcp closed unknown
65492/tcp closed unknown
65493/tcp closed unknown
65494/tcp closed unknown
65495/tcp closed unknown
65496/tcp closed unknown
65497/tcp closed unknown
65498/tcp closed unknown
65499/tcp closed unknown
65500/tcp closed unknown
65501/tcp closed unknown
65502/tcp closed unknown
65503/tcp closed unknown
65504/tcp closed unknown
65505/tcp closed unknown
65506/tcp closed unknown
65507/tcp closed unknown
65508/tcp closed unknown
65509/tcp closed unknown
65510/tcp closed unknown
65511/tcp closed unknown
65512/tcp closed unknown
65513/tcp closed unknown
65514/tcp closed unknown
65515/tcp closed unknown
65516/tcp closed unknown
65517/tcp closed unknown
65518/tcp closed unknown
65519/tcp closed unknown
65520/tcp closed unknown
65521/tcp closed unknown
65522/tcp closed unknown
65523/tcp closed unknown
65524/tcp closed unknown
65525/tcp closed unknown
65526/tcp closed unknown
65527/tcp closed unknown
65528/tcp closed unknown
65529/tcp closed unknown
65530/tcp closed unknown
65531/tcp closed unknown
65532/tcp closed unknown

Nmap run completed -- 1 IP address (1 host up) scanned in 1125.317 seconds

Odprti so clo trije porti.
web server je v.2.0.6 exploitov ni
za Remote desktop obstaja firšen exploit, vendar samo za DDOS.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

Zgodovina sprememb…

  • spremenil: krho ()

Spock ::

Nekaj mora biti odprto za vabo, da ne bote rekli, da se ne da nikjer noter prit....

veteran ::

Pravzaprav jaz trdim, da so Windowsi z vsemu update-i ravno tako varni kot vsak Linux, Unix itd...

Zakaj imaš pa potem vklopljen firewall na routerju? Resno, če bi rad delal takšne teste, daj na sveže inštalirane Windows XP samo tisti serverček in nič drugega in pusti vse nastavitve v windows pri miru, stvar pa priklopi direktno na modem! To bi bil nek realen test varnosti, takšna je namreč večina XP inštalacij.

Skratka, odloči se, ali trdiš:

a) Windowsi z vsemu update-i ravno tako varni kot vsak Linux

ali

b) Windowsi z vsemi update-i, antivirusom, požarnim zidom na routerju, spremenjenimi nastavitvami, odklopljenimi servisi in zaprtimi porti so tako varni kot vsak Linux

Razlika je bistvena!

alum ::

veteran ne klobasaj!

pol pa postavi linux masino, brez updejtov pa pusti odprte vse porte na kerih kaj laufa! pa me zanima, ce za noben servis ne bo obstajal exploit!

Spock ::

Moji Windowsi nimajo nobenih odklopljenih servisov, Nastavljeni so po defaultu. Vse kar je nameščeno je Service pack2 in vse posodobitve do danes. Jaz bi zadevo že priklopil direktno sploh ni problema, samo potem sem jaz doma brez interneta.
Danes so po večini vsi računalniki, ki so priključeni na broadband za routerjem. Ni noben poseben router, navaden levelone za 10 jurjev.
Če imaš željo poskusiti brez routerja povej, pa bom reskiral kakšen dan in bom doma pač brez neta takrat.

krho ::

Zakaj se mi dozdeva, da imaš narejeno tako kot jaz po serverjih.:\

Router ima kompleten FW, na mašino, ki je server se forwardirajo porti,.... Potem pa je še sama mašina zaščitena s FW...

Čeprav za funkcionalen sistem, če ga seveda nimaš doma rabiš vsaj še SSH:\
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

Zgodovina sprememb…

  • spremenil: krho ()

Spock ::

In zakaj ne bi imel tako narejeno?????

Pravzaprav bi mi bilo čudno, da kdo nima tako narejeno.

Zgodovina sprememb…

  • spremenilo: Spock ()

fiction ::

Spock, res ne vem kaj hoces s to tvojo masino sploh doseci.
Varnosti se ne da dokazati (tako kot se tudi ne da dokazati
pravilnosti kompleksnih racunalniskih programov).
Edini kar bos imel od tega bodo razni kiddiji, ki te bodo DoS-ali.

Da ti ni se nihce vdrl ti sklepas samo po tem da web server se zmeraj dela? :)
Kaj ce je nekdo ze namestil kaksen rootkit in je masina kljub temu ze kompromitirana? Lepo bi bilo, ce bi imel kje checksume datotek na disku
od prej in podobno.
Ocitno si prevec gledal filme in mislis, da je prva stvar, ki jo naredi hacker
ko vdre na tvoj sistem, to da spremeni domaco stran.
Ponavadi je realnost ravno drugacna, saj je veliko bolje za vdiralca, ce
ostane vdor dolgo casa neodkrit.

OK, tudi ce izhajamo iz tega, da se tvoje masine trenutno ne da
"shekati". Kaj ti bo to? Imel bos lazen obcutek varnosti in potem
nekega dne bo nekdo nasel kaksno kriticno napako v
tem Abyss 2.0.6-X1 webserverju, ki ga ti seveda "zato
ker ti ne more nihce vdreti" seveda ne bos upgradal in tvoj racunalnik
bo "shekan" brez da bi se tega sploh zavedal.

Tudi ce trenutno kdo pozna kaksno varnostno pomankljivost,
se verjetno ne bo trudil z vdorom, saj
tako kot je ze nekdo omenil lahko sklepa, da ti nadzorujes
mrezni promet in ti bo tako dejansko razkril
luknjo, ki bi jo ti potem seveda lahko uporabil naprej za
"exploitanje" drugih streznikov na katerih tece Abyss.
To bi pomenilo, da bi ljudje zaznali napade in prej ali slej
tudi pogruntali kaj je bilo krivo ter izdali popravek.

Zalostno, da se je vse skupaj spet spremenilo v neko
"sveto vojno" v stilu moj OS je bolj secure / kul / <something>.
Ta stvar ne pove nicesar, ampak res nicesar o varnosti in dejansko
je lahko vsak sistem varen, ce skrbi zanj izkusen administrator.

Le-ta mora izhajati iz dejstva, da je teoreticno vdor na streznik mozen
ter omejiti (chroot / jail / laufati servise s cimmanjsimi privilegiji..)
posledice, ki jih vdor lahko nosi za sabo (in ne obratno, tako kot ti).

Zgodovina sprememb…

  • spremenil: fiction ()

Alec999 ::

Ubistvu ma dost portov odprtih sploh s portom 3389 bi se dal kj nardit.

1. Lahko mu prestrezes paketke, ki grejo preko tega porta in s tem pridobis user pa pass (mors bit na ustrezni lokaciji)
2. Lahko uporabs brute force preko Windows RD Terminala in uporabnikom Administrator (prevec cajta)
3. Lahko pa nardis social inziniring pa mu gledas cez okn v sobo ;) "gay" al pa k ga ni doma mu prklops med racunalnik in tipkovnico prestreznik mogoce celo trojanca instaliras (to je ponavad najbl uporablan)

Samo za tocko 2 bi mogu met mal dl cajta przgan racunalnik kokr samo dons :\

Vsekakor udrl bi ti ksni Poljaki al pa ksn k se bl spozna na to, mozno vsekakor je. Tko da ne bit prevec zavarovan v svojo varnost, ker ti Slo-tehovci neznamo shekat :D

Lp,
Alec999

Zgodovina sprememb…

  • spremenilo: Alec999 ()

Brilko ::

Spock: ne poznam te, ampak

http://www.moj-ip.com/?ip=213.157.229.46

64202 ::

> 2. Lahko uporabs brute force preko Windows RD Terminala in uporabnikom Administrator (prevec cajta)

RD omogoca man in the middle napad. Ce imas sredstva (gospodaris na vmesnem ruterju), se zelo verjetno da not priti:
- preprosto, ce najdes ze narjen "exploit"
- se da sprogramirat, verjamem da je kar nekaj programerjev na tem forumu, ki so to sposobni, take stvari seveda lahko vzamejo kar nekaj casa

Seveda, ta server mora biti v uporabi, takle javen, ki je za test, ne mores z mitm vdret.
I am NaN, I am a free man!

denial ::

analiza:

- nessus vuln scan ni pokazal nobenih kriticnih ranljivosti (dos in unsafe checks so bili onemogočeni)
- odprta sta dva porta 80/HTTP in 3389/MS-TERM-SERV
- omogocen je remote registry dostop (password required)

v nasprotju s trditvami administratorja je netBIOS (simple file sharing) enumeration onemogočen.
ocitno je SFS omogocen le na lokalnem segmentu...

po mojem skromnem mnenju obstajata dve možnosti:
realna: brute force RDP (zahteva veliko časa) = tscrack/tsgrinder
hipotetična: buffer overflow web server (zahteva veliko znanja)

teoretično se lahko kaj izvede tudi z DNS spoofingom/MITM,... v praksi pa zadeva ni tako preprosta.

za spodbudo:
http://www.oxid.it/downloads/rdp-gbu.pdf

poweroff ::

Najprej so mi tole temo 3x zaklenili pobrisali in na koncu ko so se prepričali da pišem iz istega IP-ja kot je nameščen server so jo nazaj odklenili.

OK, recimo da nekam vdreš, ali dobiš guest account. Potem pač pišeš iz tistega IPja.

Za pen testing je treba dati pisno izjavo in cel kup potrdil.
sudo poweroff

64202 ::

> hipotetična: buffer overflow web server (zahteva veliko znanja)
> teoretično se lahko kaj izvede tudi z DNS spoofingom/MITM,... v praksi pa zadeva ni tako preprosta.

Sem ziher, da so ljudje na slo-techu to sposobni. Vprasanje pa je, ali si bodo dali na stran recimo mesec casa...

(vecina bi verjetno raje kak OSS program napisala)
I am NaN, I am a free man!

Zgodovina sprememb…

  • spremenilo: 64202 ()

Spock ::

Jaz vem, da pravi maherji lahko vdrejo, ampak meni se velikokrat hvalijo razni kvazi stručkoti kako vdirajo v siolove strežnike pa bančne itd....

Jaz pa pravi, da v Sloveniji ni takega strokovnjaka. Seveda lahko tukaj dokažete nasprotno.

File sharing je omogočen seveda pa s firewallom od SP2 omejen na localNetwork.
A je mogoče kdo pričakoval, da bo odprt za internet???

Za vdiranje preko znanih varnostnih lukenj pa res ne rabiš bit nek strokovnjak.

Alec999 ::

denial je lepo povzel celo napisal vam je imana dveh najbol uporablenih BF programov sam uprasanje ce Slo-tech pravila dovolijo pisat tok podrobno :D

Spock >> ce ves da pravi maherji lahko vdrejo pol je cool ... v Slo je pa res bl mal folx-a sploh pa ne taki k se hvaljo :D

Zgodovina sprememb…

  • spremenilo: Alec999 ()

Dami ::

Zarad mene lahk še četrtič zaklenete to temo. Pa naslov je napačn in bi mogu bit: kdo lahk vdre v winxp ki so za linux/FW/ruterom/zaprtimi porti.
Don't worry about me. The bleeding is just the begining of a healing process.

poweroff ::

V Sloveniji smo imeli skupino PLS.

Njihova spletna stran je pa zaprta, ker so objavili številke kreditnih kartic.
sudo poweroff

Vanquish ::

Spock, ti zgleda:

ali
1) si < 15
ali
2) težko dojemaš da te noben, ki bi ti lakho to dokazal resno ne jemlje


bi še kaj več napisal, ampak itak nima smisla.

Spock ::

ali
3.) mogoče nihče ne zna.

Zgodovina sprememb…

  • spremenilo: Spock ()

Spock ::

MITM je sigurno varijanta, ki bi uspela pri RDP, vendar je treba vedeti, da moraš biti glavni na vmesnem routerju. Praktično to pomeni, da me bi hackal moj ISP.
Ali sem prav razumel.

denial ::

- (če) kdo(r) zna nima nobenega interesa tebi oz. nam dokazovat...
- vem, da ima XP SP2 firewall netbios omejen na LAN segment. zanimalo me je ce ti to veš...

Tarzan ::

Spock, tisti, ki to znajo se ji absolutno zdi pod častjo, da bi se tu v tej temi sploh oglasili. Pomisli no malo. :\

Spock ::

Bodi brez skrbi, da vem kako deluje windowsov firewll v SP2.

Kaj jim bo čast, za katero nihče ne ve???

Vanquish ::

Spock, vidim da če bi napisal majnšo cifro od 15 se tudi nebi zmotil, saj zgleda nisi sposoben razmišljanja vsaj kako potezo naprej.

Pa ne misliš ki resno, da ti bo nekdo šel vdret naprimer v tvoj web server, da bo priculrljajo na dan, da je pa ta verzije ranljiva? Ljudje, ki takšne zadeve imajo vejo za kaj jih imajo in to vsekakor ni dokazovanje:8)

Če pa še vedno ne štekaš tega, bi pa te vprašal, če si kdaj močneje padel?

veteran ::

Če imaš željo poskusiti brez routerja povej, pa bom reskiral kakšen dan in bom doma pač brez neta takrat.

Ne, ne. Jaz tega ne počnem, ker je takšno početje kaznivo, nimam znanja, časa in volje za kaj takega...

Trdim le, da WindowsXP/SP2 sam po sebi še zdaleč ni varen, se je treba ukvarjati z njim, da postane varen. ;)

Varen bo takrat, ko bo lahko navaden, neuki uporabnik, ki nima pojma o antivirusu, firewallu, portih.., brez strahu normalno surfal z vgrajenim brskalnikom, bral pošto z vgrajenim mail klientom in klepetal z vgrajenim chat programom.

CaqKa ::

sej je blo vse lepo in prav, pa še navijal sem zato, ker sem tak vedel da se nebo nihče zraven spravil, samo tole pa me spravlja iz tira:
Moji Windowsi nimajo nobenih odklopljenih servisov, Nastavljeni so po defaultu. Vse kar je nameščeno je Service pack2 in vse posodobitve do danes. Jaz bi zadevo že priklopil direktno sploh ni problema, samo potem sem jaz doma brez interneta.

za hardwerski ruter ti postaviš mašino pa rečeš naj ti v njo vdirajo? halo????
če že nič drugega ne, potem vsaj idi pa v ruterju to mašino naštelaj na DMZ.

Spock ::

Ali mogoče obstajajo na netu serverji, ki niso za hardware-skim firewall-om?

CaqKa ::

ma gre se za domače mašine ne pa za namenske servere

Spock ::

Ne, gre se za namenske serverje in za domače mašine. Če imaš izrecno željo, ga priklopim tudi direktno. Le da sem potem doma brez interneta.

Če kdo meni, da je potem sposoben zrušit sistem se lahko zmenimo, čez vikend ga prikličim direkt.

Poldi112 ::

>Ali mogoče obstajajo na netu serverji, ki niso za hardware-skim firewall-om?

Seveda. Moj tece za software-skim.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Vanquish ::

@Spock

na močno padel ni potrebno odgovarjat, ker mam že odgovor kam:\ torej če tud več ni vprašljivo:D

darkolord ::

Mimogrede, RDP se tudi enkriptira, za tiste ki mislijo, da se enostavno v sredo vštekaš pa se ti user/pass kar na ekranu pokaže

Spock ::

Kdo je padel, pa kam???
Če misliš server, potem vprašaj prijatelje, če njim deluje!

Spock ::

Vanquish
Ljudje, ki vejo za kakšno luknjo, jo lahko prodajo Microsoftu za takšen denar, da ne rabijo več razmišljati kako bodo preživeli. Tako, da tista, da eni vejo za luknje za katere še Microsoft ne ve je malo tk, tk.

Zgodovina sprememb…

  • spremenilo: Spock ()

Vanquish ::

Spock - daj že 1x razumi, da niso vsi tak kot ti in ne razmišljajo tak kot ti (hvala bogu)

Zakaj bi prodali luknjo MS, če pa lahko mogoče vdrejo v kak internet casino, drapnejo celotni db in prodajo target maile dalje po visokih cenah, ali pa celo sami izkoriščajo in spamajo z njimi? To je samo en primer.

Še 1x ponavljam - če ti iz svoje perspektive nečesa ne vidiš, vsaj ne bodi toliko naivno prepričan, da je to absolutno res.

darkolord ::

Jaz pa mislim da ga nekako razumem... hoče pokazat, da "varnost" ni (več) argument za kreganje 8-)

64202 ::

Ja, ko bi vsaj kaj dokazal s tem...
I am NaN, I am a free man!

BigWhale ::

Caqka & Spock,

Ilogical zato, ker, ti, Spock in se marsikdo najbrz ne ve, da je tak namenski cracking long term zadeva, ne pa nekaj kar se pocne tako cez dan/noc. Ce je ze tako pogumen, potem naj da default instalacijo masine na net in jo pusti tam. :) Tega si tudi jaz z mojo Gentoo kisto ne upam, pa se mi zdi, da je precej bolj secure v default instalaciji, kot Win masina.

Na net postavit eno kisto in na njej zapret vse kar se da zapret in pustiti nek generic installation web serverja je pa debilno.

Potem je pa tukaj se legalnost pocetja, ki ga je Matthai omenil.

Da bi se pa nekdo spravil sprobavat vse mozne 'sploite', ki jih na netu lahko najde za Win server je pa za pricakovati od nekega script kiddija, ki jim pa tukaj na Slo-Techu precej hitro sprasimo hlace in jih spodimo, ce ze ne spreobrnemo. Mogoce bomo tudi Spocka, da bo doumel, da ni vse v tem, da kar eno masino na net postavis in reces crack me.

Ce povzamem,... You crack me up! ;)

Spock ::

Pa dej no, ne se jezit, če ne moreš.

64202 ::

> MITM je sigurno varijanta, ki bi uspela pri RDP, vendar je treba vedeti, da moraš biti glavni na vmesnem routerju. Praktično to pomeni, da me bi hackal moj ISP. Ali sem prav razumel.

Ja. Vprasaj se, koliko zaupas zaposlenim pri ISP-ju, sploh ce se repencis po forumih.
I am NaN, I am a free man!

Spock ::

Priliko imajo, nihče jih ne bo preganjal, pa naj prosim.

64202 ::

No, zdaj vejo kdo si. Bolj svinsko je, da pocakajo da taprav server postavis in te potem usujejo.

Nima pa to repencenje veliko smisla, dokazal ne bos nic, karkoli se ze zgodi. MITM napad na RDP je splosno znan.
I am NaN, I am a free man!

Spock ::

S tem da moraš biti zaposlen pri tistem ISP-ju kjer poteka promet, pa poleg rabiš met še kr en kup znanja itd... Verjetno preveč če- ev.

BigWhale ::

> Pa dej no, ne se jezit, če ne moreš.

Eh? A si iz lune padel? A mislis, da sem sploh kaj probaval?

Bah, ze odpiranje tega threada je waste of time...

Roadkill ::

Stvar je taka: Petnajst folka pošlje pritožbo, ki vključuje tvoj IP, na abuse@amis.net, da limaš kiddie pron po kulinaričnih forumih.
Me zanima, kako dolgo bi trajalo, da bi te odklopil, in kako bi jih prepričal, da si nedolžen. Sploh, če bi izbrisali tole temo. :)

Reality hacking.
Ü

Zgodovina sprememb…

  • spremenil: Roadkill ()

Spock ::

In AMIS bi potem vdru v moj računalnik al kaj?
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkrita ranljivost v usmerjevalnikih Linksys, Netgear in nekaj drugih

Oddelek: Novice / Varnost
3714155 (3174) wungad
»

Povezava zmrzne? Prosim za pomoč

Oddelek: Omrežja in internet
151378 (1205) Neven
»

OMG, my box is r00ted? :-)

Oddelek: Informacijska varnost
142274 (1723) poweroff
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema
252057 (1879) SasoS
»

XP Čistijo disk..

Oddelek: Operacijski sistemi
302635 (1940) CaqKa

Več podobnih tem