[pentest] bypass file integrity system
|
23-07-2013, 11h28
Message : #1
|
|
playzzzz
Newbie Messages : 19 Sujets : 4 Points: -7 Inscription : Jul 2013 |
[pentest] bypass file integrity system
Bonjour à tous,
Ces derniers temps, je m'intéresse à la sécurité informatique et surtout au pentesting. J'aimerais savoir comment il était possible de bypasser un file integrity system. Késako? http://www.sans.org/security-resources/i...hecker.php Le but est de trouver une faille xss (ça c'est fait) et de l'exploiter sans que le file integrity system s'en aperçoive. Le file integrity system fait des hashs du système de fichier, et dès qu'une modification arrive, le hash change et il s'en aperçoit. Pour coutourner cela, théoriquement, la solution serait de dupliquer le checksum MD5. Mais comment savoir quel est le checksum MD5 qu'ils ont? Selon moi, c'est impossible à savoir. M'enfin, si vous avez une technique magique pour trouver leur checksum MD5, je prend! Sinon, si vous avez une autre idée pour contourner ce file integrity system, ça m'intéresse également Merci d'avance de m'éclairer là-dessus. Vive le pentesting. A+ |
|
23-07-2013, 11h37
Message : #2
|
|
0pc0deFR Non-enregistré |
RE: [pentest] bypass file integrity system
Je n'ai pas tout compris là. Le système de contrôle est coté serveur et vérifie donc l'intégrité des fichiers coté serveur et une XSS c'est coté client. Si j'ai bien compris le fonctionnement du système, il vérifie juste qu'il ni ai pas eu de fichiers modifiés sur le serveur (shell php par exemple).
C'est pas du pentest sauvage ce que tu nous fais là? |
|
23-07-2013, 11h51
Message : #3
|
|
playzzzz
Newbie Messages : 19 Sujets : 4 Points: -7 Inscription : Jul 2013 |
RE: [pentest] bypass file integrity system
C'est bien ça !
C'est du pentest sauvage mais qui reste "local" t'en fais pas, je m'attaque pas aux sites (et ceux auxquels je me suis attaqué pour m'entrainer, ont été prévenu de la faille). Quand je dis local, c'est que c'est sur un site "test" d'un ami. Un défi à relever une fois de plus :p |
|
23-07-2013, 12h00
Message : #4
|
|
0pc0deFR Non-enregistré |
RE: [pentest] bypass file integrity system
L'XSS étant coté client comment le système de contrôle des fichiers pourrait s'en apercevoir? tu ne modifies rien mise à part les logs (si il y en a) et la base de données éventuellement.
Dans la logique des choses le système de contrôle des fichiers ne peut pas tout contrôler sur le serveur autrement il s'affolerait H24 exemple les logs, les sessions, le dossier /tmp (et autres dossiers temporaires). |
|
23-07-2013, 12h07
Message : #5
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: [pentest] bypass file integrity system
les systèmes de contrôle d'intégrité, genre AIDE, OSSEC, Tripwire etc. ca prend souvent du temps à s'exécuter sur une machine (si c'est pas le cas c'est surement qu'il sert pas à grand chose) de fait il tourne pas en permanence ni n'utilise de truc top moumoutte comme inotify, il est en général lancé 1 fois par nuit et la db stockée en local par défaut, il y a + de chances de se faire attraper par une éventuelle sonde spécifique qui checkera s'il existe des fichiers exécutables dans /tmp par exemple
en ce qui concerne les empreintes md5, en général on va vérifier particulierement les binaires genre netstat, ls etc. non pas pour détecter une attaque mais pour détecter un rootkit (donc la phase d'après), l'idée de créer des binaires avec la même empreinte md5 est à écarter tout de suite, c'est comme le satellite c'est overkill souvent d'ailleurs on effectue pour chaque fichier un check à la fois via son empreinte/hash, à la fois sur sa taille et ses droits associés |
|
23-07-2013, 12h24
Message : #6
|
|
playzzzz
Newbie Messages : 19 Sujets : 4 Points: -7 Inscription : Jul 2013 |
RE: [pentest] bypass file integrity system
En effet, il ne contrôle pas tout.
D'accord, c'est ecarté, mais que proposes-tu dans ce cas pour contrer la sonde? |
|
23-07-2013, 12h29
Message : #7
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: [pentest] bypass file integrity system
(23-07-2013, 12h24)playzzzz a écrit : D'accord, c'est ecarté, mais que proposes-tu dans ce cas pour contrer la sonde? honnêtement rien, d'abord parce c'est souvent "fait maison", on a aucune idée de comment elle est foutue, ensuite parceque mon propos (en tant que whitehat n'est-ce pas) c'est plutôt de la créer cette sonde pour éviter que les pirates ne la contournent cqfd... |
|
23-07-2013, 12h35
Message : #8
|
|
playzzzz
Newbie Messages : 19 Sujets : 4 Points: -7 Inscription : Jul 2013 |
RE: [pentest] bypass file integrity system
Y'a toujours un truc pour contourner. Le pentest, c'est pas créer ce qu'on arrive pas à contourner, c'est chercher les moyens pour le contourner. Ca fait pas de moi un blackhat (si c'est ce que tu présumais :p ). Le blackhat c'est celui, qui, une fois la sécurité contournée, va l'exploiter à mauvais escient.
|
|
23-07-2013, 15h13
Message : #9
|
|
playzzzz
Newbie Messages : 19 Sujets : 4 Points: -7 Inscription : Jul 2013 |
RE: [pentest] bypass file integrity system
Pas d'idée alors?
|
|
23-07-2013, 15h34
Message : #10
|
|
e2del
Membre actif Messages : 67 Sujets : 1 Points: 17 Inscription : May 2013 |
RE: [pentest] bypass file integrity system
J'ai pas tout compris, tu peux expliquer clairement, calmement et avec des détails ?
|
|
23-07-2013, 16h00
(Modification du message : 23-07-2013, 16h07 par InstinctHack.)
Message : #11
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: [pentest] bypass file integrity system
J'ai juste rien compris pour le lien entre la modifications des hash md5 de binaires et d'une XSS. O.o (si quelqu'un de skilled passe par ici et veut bien m'expliquer )
Si j'ai bien compris : Tu te demande comment on peux edit des binaires en sachant qu'une sonde de vérification d'intégrité est présente. C'est bien ça ? Alors prenons l'exemple de debsums Man a écrit :DEBSUMS(1) User Commands DEBSUMS(1)La dernière fois que je l'ai lancer, j'ai récupérer la main que 5 minutes plus tard. Je te laisse deviné le nombre d'I/O effectué et la perte de perfs si ça tournais en permanence. De plus, ça se limite aux binaires, rien à voir avec le contenu d'un site O.o Donc comme l'as dis j0rn c'est souvent un cron à 3h du mat quotidien. Maintenant comme bypass cette sonde ? Réfléchis un quart de seconde Il faut "juste" éditer un autre binaire (en fait je ment =D faut aussi édit md5sum et sha1sum sinon c'est con x'D ) Alors perso, si j'avais la main sur un serveur, avant d'édit des binaires, je chercherais des sondes connues comme debsums et d'autres, et peut-etre d'autre binaires (surement fait maison) qui ferais des I/O sur ces binaires (aucune idée du comment par-contre....) et j'éditerais ces binaires en priorité. Mais.... ? Ca fonctionnerais pas \o/ il y as d'autres trucs à modifier Si ta sonde faite maison c'est pas un binaire mais un script ? Faut aussi édit le binaire de python, de php, perl, etc.... (je crois pas que les fonctions genre php_md5 ou les librairies Python_Hashlib use les binaires md5sum, si ?) Ca commence à en faire du boulot. Mais.... ? C'est pas permanent ça, une maj et hop, grillé ! allez on édit les binaires d'apt-get et aptitude Mais.... ? C'est de la sécurité informatique : un jolie while(true) : sans fin \o/ J'ai peut-être dis de la merde, les sysadmins corrigerons =D Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
FRP bypass | Peanut_the_0ne | 1 | 1,104 |
13-01-2023, 19h38 Dernier message: Di0Sasm |
|
bypass addslashes() | MLT | 0 | 1,061 |
18-01-2014, 16h59 Dernier message: MLT |
|
bypass is_numeric() | MLT | 9 | 2,804 |
18-01-2014, 15h03 Dernier message: gruik |
Utilisateur(s) parcourant ce sujet : 11 visiteur(s)