[pentest] bypass file integrity system

[playzzzz]

Bonjour à tous,

Ces derniers temps, je m'intéresse à la sécurité informatique et surtout au pentesting. J'aimerais savoir comment il était possible de bypasser un file integrity system.
Késako? http://www.sans.org/security-resources/i...hecker.php

Le but est de trouver une faille xss (ça c'est fait) et de l'exploiter sans que le file integrity system s'en aperçoive.
Le file integrity system fait des hashs du système de fichier, et dès qu'une modification arrive, le hash change et il s'en aperçoit.
Pour coutourner cela, théoriquement, la solution serait de dupliquer le checksum MD5. Mais comment savoir quel est le checksum MD5 qu'ils ont?
Selon moi, c'est impossible à savoir. M'enfin, si vous avez une technique magique pour trouver leur checksum MD5, je prend!
Sinon, si vous avez une autre idée pour contourner ce file integrity system, ça m'intéresse également

Merci d'avance de m'éclairer là-dessus.
Vive le pentesting.

A+

[0pc0deFR]

Je n'ai pas tout compris là. Le système de contrôle est coté serveur et vérifie donc l'intégrité des fichiers coté serveur et une XSS c'est coté client. Si j'ai bien compris le fonctionnement du système, il vérifie juste qu'il ni ai pas eu de fichiers modifiés sur le serveur (shell php par exemple).

C'est pas du pentest sauvage ce que tu nous fais là?

[playzzzz]

C'est bien ça !
C'est du pentest sauvage mais qui reste "local" t'en fais pas, je m'attaque pas aux sites (et ceux auxquels je me suis attaqué pour m'entrainer, ont été prévenu de la faille). Quand je dis local, c'est que c'est sur un site "test" d'un ami. Un défi à relever une fois de plus :p

[0pc0deFR]

L'XSS étant coté client comment le système de contrôle des fichiers pourrait s'en apercevoir? tu ne modifies rien mise à part les logs (si il y en a) et la base de données éventuellement.

Dans la logique des choses le système de contrôle des fichiers ne peut pas tout contrôler sur le serveur autrement il s'affolerait H24 exemple les logs, les sessions, le dossier /tmp (et autres dossiers temporaires).

[gruik]

les systèmes de contrôle d'intégrité, genre AIDE, OSSEC, Tripwire etc. ca prend souvent du temps à s'exécuter sur une machine (si c'est pas le cas c'est surement qu'il sert pas à grand chose) de fait il tourne pas en permanence ni n'utilise de truc top moumoutte comme inotify, il est en général lancé 1 fois par nuit et la db stockée en local par défaut, il y a + de chances de se faire attraper par une éventuelle sonde spécifique qui checkera s'il existe des fichiers exécutables dans /tmp par exemple
en ce qui concerne les empreintes md5, en général on va vérifier particulierement les binaires genre netstat, ls etc. non pas pour détecter une attaque mais pour détecter un rootkit (donc la phase d'après), l'idée de créer des binaires avec la même empreinte md5 est à écarter tout de suite, c'est comme le satellite c'est overkill souvent d'ailleurs on effectue pour chaque fichier un check à la fois via son empreinte/hash, à la fois sur sa taille et ses droits associés

[playzzzz]

En effet, il ne contrôle pas tout.

D'accord, c'est ecarté, mais que proposes-tu dans ce cas pour contrer la sonde?

[gruik]

D'accord, c'est ecarté, mais que proposes-tu dans ce cas pour contrer la sonde?

honnêtement rien, d'abord parce c'est souvent "fait maison", on a aucune idée de comment elle est foutue, ensuite parceque mon propos (en tant que whitehat n'est-ce pas) c'est plutôt de la créer cette sonde pour éviter que les pirates ne la contournent cqfd...

[playzzzz]

Y'a toujours un truc pour contourner. Le pentest, c'est pas créer ce qu'on arrive pas à contourner, c'est chercher les moyens pour le contourner. Ca fait pas de moi un blackhat (si c'est ce que tu présumais :p ). Le blackhat c'est celui, qui, une fois la sécurité contournée, va l'exploiter à mauvais escient.

[playzzzz]

Pas d'idée alors?

[e2del]

J'ai pas tout compris, tu peux expliquer clairement, calmement et avec des détails ?

[InstinctHack]

J'ai juste rien compris pour le lien entre la modifications des hash md5 de binaires et d'une XSS. O.o (si quelqu'un de skilled passe par ici et veut bien m'expliquer )

Si j'ai bien compris :
Tu te demande comment on peux edit des binaires en sachant qu'une sonde de vérification d'intégrité est présente. C'est bien ça ?
Alors prenons l'exemple de debsums

DEBSUMS(1) User Commands DEBSUMS(1)

NAME
debsums - check the MD5 sums of installed Debian packages

SYNOPSIS
debsums [options] [package|deb] ...

DESCRIPTION
Verify installed Debian package files against MD5 checksum lists from /var/lib/dpkg/info/*.md5sums.

debsums can generate checksum lists from deb archives for packages that don't include one.

La dernière fois que je l'ai lancer, j'ai récupérer la main que 5 minutes plus tard. Je te laisse deviné le nombre d'I/O effectué et la perte de perfs si ça tournais en permanence. De plus, ça se limite aux binaires, rien à voir avec le contenu d'un site O.o
Donc comme l'as dis j0rn c'est souvent un cron à 3h du mat quotidien.
Maintenant comme bypass cette sonde ? Réfléchis un quart de seconde Il faut "juste" éditer un autre binaire (en fait je ment =D faut aussi édit md5sum et sha1sum sinon c'est con x'D )
Alors perso, si j'avais la main sur un serveur, avant d'édit des binaires, je chercherais des sondes connues comme debsums et d'autres, et peut-etre d'autre binaires (surement fait maison) qui ferais des I/O sur ces binaires (aucune idée du comment par-contre....) et j'éditerais ces binaires en priorité.
Mais.... ?
Ca fonctionnerais pas \o/ il y as d'autres trucs à modifier Si ta sonde faite maison c'est pas un binaire mais un script ? Faut aussi édit le binaire de python, de php, perl, etc.... (je crois pas que les fonctions genre php_md5 ou les librairies Python_Hashlib use les binaires md5sum, si ?)
Ca commence à en faire du boulot.
Mais.... ?
C'est pas permanent ça, une maj et hop, grillé !
allez on édit les binaires d'apt-get et aptitude
Mais.... ?
C'est de la sécurité informatique : un jolie while(true) : sans fin \o/

J'ai peut-être dis de la merde, les sysadmins corrigerons =D