RTFM! Veni, Vidi, VISA

< Tip #115 - comparing file dates | c*mus 2.0 released >

Wieso xhost + definitiv poehse ist!

Submitted by Christian Schneider on Thu, 2006-02-23 22:03

Hier habe ich geschrieben, das xhost + scheisse ist. Das war vor vier Tagen; bis jetzt hab ich zu dem Thema 16 Mails bekommen, wo mir erklaert wird, dass "xhost +" nichts schlimmes ist. Soso.. "xhost +" ist also nicht boese.. na gut.. dann gehen wir doch mal logisch vor.
Damit man xhost(1) funktionierend verwenden kann, muss der Xserver auf einem Port lauschen. Sobald startx die Option -nolisten tcp uebergeben wird, bringt die Benutzung von xhost(1) gar nichts. Bei den meisten Distributionen wird der Xserver aber mit -nolisten tcp gestartet; ergo muss man das zuerst unterbinden. Dazu reicht es in die /etc/X11/xinit/xserverrc zu sehen und das "-nolisten tcp" zu entfernen. Anschliessend starten wir den Xserver neu und ueberpruefen ob Verbindungen auf Port 6000 zugelassen werden (ein Verbindungsversuch mit telnet reicht dazu). Wenn das funktioniert, geben wir das ach so ungefaehrliche Kommando xhost + ein und bekommen dann ein
access control disabled, clients can connect from any host
zu lesen.
So.. und genau ab jetzt hat man eine Sicherheitsluecke, so gross wie ein Scheunentor. Wieso? Ganz einfach. Ab jetzt hat JEDER Host auf den Xserver Zugriff. Der Zugriff darauf ist denkbar einfach. Zuerst holen wir uns mal einen Screenshot von der Kiste, auf der xhost + eingegeben wurde. Dazu starten wir selber erstmal unseren Windowmanager, oeffnen ein Xterm und geben da dann
xwd -root -display 192.168.1.2:0 > ~/screenshot
ein. Anstelle von "192.168.1.2" wird logischerweise die IP oder der Hostname des entfernten Hosts angegeben. Das dauert jetzt ein bisschen, weil die Daten erstmal uebertragen werden muessen. Sobald die Daten geholt worden sind, bekommt man wieder dem Prompt zu sehen. Wenn dass der Fall ist, gucken wir uns den Screenshot mit
xwud -in ~/screenshot
an und siehe da. Ein sauberer Screenshot des entfernten Hosts. Einige User denken sich jetzt wahrscheinlich "Er hat einen Screenshot von meiner GUI. Na und?!", aber hey.. das mit dem Screenshot is ja nur eine Spielerei. Jetzt fangen wir mal just for fun alle Tastatureingaben ab. Also "alle" im Sinne von "ALLE!". Und zwar im Klartext; also auch die Passwoerter die ggf. eingegeben werden. Dazu laden brauchen wir nichts weiter als dieses Programm, welches wir herunterladen und abspeichern. Anschliessend wird es kompiliert und dann starten wir es mit
./fun-with-x 192.168.1.2:0
und siehe da.. alle Tastatureingaben werden im Klartext uebertragen. Man kann auch Programme mit den Rechten des Users auf dem entfernten Host starten oder bereits laufende Programme benutzen, sofern der User die Rechte dazu hat.
Was lernen wir daraus? Richtig! xhost + ist boehse und wird nur von unfaehigen Pfuschern empfohlen. Eine sichere Alternative ist die Benutzung von "ssh -X".

Note: Der Quelltext von "fun-with-x.c" kann nicht ohne weiteres kompiliert werden, da ich alle notwendigen ``#include'' und zwei zusaetzliche Zeilen entfernt habe. Das habe ich aus dem Grund gemacht, damit nicht jeder dahergelaufene Vollpfuscher mit Linux 10.0 das Teil kompilieren und auf Ueberh4x0r machen kann. Ich werde in meinem Blog auch jede Hilfestellung in Bezug auf das Kompilieren kommentarlos loeschen. Wer etwas programmieren kann, sollte kein Problem damit haben den Quelltext zu vervollstaendigen und wer das nicht kann, braucht das Programm nicht.
in Security | 15 Kommentare | 1 Trackback

↑ TOP

Tags für diesen Artikel:
Artikel mit ähnlichen Themen:

Trackbacks
Trackback-URL für diesen Eintrag

Wieso xhost + definitiv poehse ist!
Sehr schoener beitrag auf strcat.org Hier habe ich geschrieben, das xhost + scheisse ist. Das war vor vier Tagen; bis jetzt hab ich zu dem Thema 16 Mails bekommen, wo mir erklaert wird, dass "xhost +" nichts schlimmes ist. Soso.. "xhost +" ist also nic
Weblog: linuxBlog
Aufgenommen: Mar 06, 10:13
PingBack
Weblog: blog.derschwarz.de
Aufgenommen: Apr 18, 12:33

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

*Nettes Tool :-D
<<Control_L>><<Alt_L>>
Funktioniert auch auf $localhost ;-)
#1 Doomshammer (Homepage) am 24.02.2006 00:09 (Antwort)
*Das Ding is nich von mir; ich hab es lediglich "unbrauchbar" gemacht. Funktioniert aber tadellos :->
#1.1 strcat (Homepage) am 24.02.2006 00:25 (Antwort)
*Ich meine, daß das einfach ist, sich auf diese Art und Weise zugriff auf einen host zu verschaffen war mir klar - nur nicht das es _so_ einfach ist!
Wenn man das ganze script jetzt noch ein bischen verfeinert, kann man - ohne das ich das jetzt getetstet habe - sauber Passworteingaben herausfiltern. Wenn man das schon gemacht hat kann man sich bei der Eingabe des Passwortes noch eben schnell einen Screenshot holen und schon weiß man _genau_ wofür das Passwort gebraucht wird.
Und noch mal weitergesponnen: Wer sagt denn, daß man nur lesend auf den xhost zugreifen kann. Schon irre wie leicht man so an PIN und TAN fürs Onlinebanking rankommt und sich so das Taschengeld aufbessern kann...
#2 Renegade am 24.02.2006 08:45 (Antwort)
*An Passwoerter zu kommen ist einfach. Man muss lediglich nach einem einzelnem Wort Ausschau halten, dass kein Kommando ist. Die Tastatureingaben werden im Klartext uebertragen und Passwoerter sind nichts anderes als Tastatureingaben.
Man kann auch Programme mit den Rechten des Users ausfuehren; das is 'ne Kleinigkeit.
#2.1 strcat (Homepage) am 24.02.2006 14:59 (Antwort)
*Also was lernen wir daraus?

xhost + == http://de.wikipedia.org/wiki/Keylogger

;-)
#2.1.1 Renegade am 24.02.2006 15:55 (Antwort)
*Nein. "xhost +" hat weit mehr Funktionen als ein Keylogger. *Jeder* User hat die gleichen Rechte wie der User, der den Xserver gestartet hat. Wenn das als root geschehen ist, kann man ohne Probleme einen neuen User anlegen, Verzeichnisse loeschen, Passwoerter aendern, ..
#2.1.1.1 strcat (Homepage) am 24.02.2006 16:13 (Antwort)
*Mein letzter Kommentar war nicht ganz ernst gemeint - mir ist die Funktionsweise bekannt. Was ich damit eigentlich nur andeuten wollte ist, wie leicht man, bei falscher "Konfiguration" aus einem "guten" Programm ein "böses" macht.
Ich meine damit, daß man dem host es so nicht ansieht was er gerade macht (der Bildschirm wird ja nicht rot oder ähnliches). Somit lassen sich Leute die unwissentlich einen "xhost +" laufen haben leicht ärgener / ausspieonieren/ what ever. Daher der vergleich mit dem Keylogger - auch wenn der zugegebener maßen ein wenig hinkt ;-)
#2.1.1.1.1 Renegade am 24.02.2006 21:04 (Antwort)
*Du kannst ja mal (natuerlich anonymisiert) ein paar E-Mail-Zitate bringen, die Du zum Thema bekommen hast.
#3 toni am 24.02.2006 10:04 (Antwort)
*Man kann xhost auch mit "--no-listen tcp" sinnvoll verwenden und dann ist es auch nicht ganz so problematisch, weil sich dann nach "xhost +" nur Nutzer mit lokalen Zugriff mit dem X-Server verbinden können.

Also genaugenommen ist xhost nur ohne "--no-listen tcp" pöhse...
#4 Vikar von Avignon am 24.02.2006 18:47 (Antwort)
*``--no-listen tcp'' gibt es nicht. Wenn dann `-nolisten tcp'. Wenn der Xserver mit der Option `-nolisten tcp' gestartet wird, funktioniert xhost(1) nicht, da es eine funktionierende Verbindung zum Xserver braucht.
Wieso redest Du von Sachen, von denen Du keine Ahnung hast?
#4.1 strcat (Homepage) am 24.02.2006 19:21 (Antwort)
*Nö, du bist hier der einzige der keine Ahnung hat und unverbesserlich bist du obendrein.

[vikar@mama:~]% ps aux | grep X
root 5446 1.7 3.2 18936 16888 tty7 Ss+ 10:54 0:22 /usr/X11R6/bin/X -br -nolisten tcp :0 vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-Ju12Xk
[vikar@mama:~]% xhost +
access control disabled, clients can connect from any host
#4.1.1 Vikar von Avignon am 26.02.2006 11:18 (Antwort)
*Du hast xhost(1) ausgefuehrt. Faszinierend. Und jetzt bau mal eine Verbindung zum Xserver auf.
#4.1.1.1 strcat (Homepage) am 26.02.2006 12:46 (Antwort)
*xhost ist sehr wohl ohne einen lauschenden Xserver machbar.
$xhost +local:username
non-network local connections being added to access control list

Was glaubst du wohl was non-network bedeutet?

Bei deinem Halbwissen und deiner Panikmache könntest du leicht einen Job bei einem Personal Firewall Hersteller bekommen. ^^
#5 Papa am 19.04.2006 15:03 (Antwort)
*Red ich eigentlich arabisch rueckwaerts oder was?
Damit xhost genutzt werden kann, benoetigt man einen laufenden X-Server. Wenn der X-Server dort mit "-no-listen tcp"/whatever gestartet wird, laesst sich das Kommando xhost zwar ausfuehren, aber nicht nutzen. Wuerdest Du Dir _etwas_ Clue aneignen bevor Du mit mir zu reden versuchst?
#5.1 strcat (Homepage) am 19.04.2006 16:04 (Antwort)
*Was willst du der Welt beweisen?
In meinem lokalen Netzwerk kann niemand meinen Xserver belauschen!
#6 lalala am 15.08.2009 15:51 (Antwort)

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar/Pavatar/Favatar/MyBlogLog/Pavatar Autoren Bilder werden unterstützt.
 
 
 
 

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!


Startseite - Ursprung

Suche

Kategorien


Alle Kategorien

Blog abonnieren

Last ten comments:

Peter zu "Neues Apple-Patent könnte bald das Ende des Jailbreaks bedeuten"
Thu, 02.09.2010 22:20
Dann oute ich mich mal als Speerspitze eines neuen Trends: Ich hab ein DUMBPHONE! :-D (Simvalley [...]
strcat zu "Tut und leid..."
Fri, 27.08.2010 18:11
Den lass ich mal als Kollateralschaden durchgehen ('ne andere Ausrede hab ich grad nicht parat :p).
CuleX zu "Tut und leid..."
Fri, 27.08.2010 17:52
"Tut und leid..." Schöner Schreibfehler im Titel.
Jens Kubieziel zu "Tut und leid..."
Fri, 27.08.2010 12:12
Gib einen zufälligen Buchstaben ein und eine neue Grafik wird geladen. Du kannst auch die aktuelle [...]
strcat zu "Tut und leid..."
Fri, 27.08.2010 02:35
Bin ich immer. Rein aus Prinzip schon.

Getaggte Artikel