<_urmel> hmmm strcat sach mal ... wie findest du die chroot - also die root-shell unter AIX? das kann man nich so ohne weiteres beantworten <_urmel> hm natürlich unter einbeziehung der kernel-mod's von /bin/zsh aber es gibt diverse strings bzw. $PATH die dafuer sprechen die als shell zu nehmen <_urmel> hm ja besonders die $IFS ist ausschlaggebend dafür dass ich besonders gerne die chroot bei Sendmail verwende --> inspecto (frank@pD9027575.dip.t-dialin.net) has joined #busch-hacker --- Drimacus gives voice to inspecto --- comrad_ has changed the topic to: KED UND KPB führen das deutsche Volk gemeinsam zum Kommunismus scheiss secon-hand monitore ;) <-- fusher_ has quit (EOF From client) <_urmel> aber mal anders gesagt.... die printf's in dem .pl programm was du mir letztens gegeben hast ... da komm ich noch nicht ganz mit den iptables klar .... weil das RIP bei mir verrückt spielt --- rek|away is now known as rek|sauF <_urmel> kannst mir nen tipp geben ? anstelle von sendmail wuerd ich lieber QPOP nehmen; das is nich so anfaellig was die stack-angriffe ueber den heap-buffer-overflow betrifft * inspecto geht sich jetzt nen anderen monitor anklemmen <-- inspecto has quit (KVirc 1.0.0 Millennium BETA 3) --- doktor_no is now known as dok|aw * dok|aw is wech! Grund: [+++ <- Braindead -> +++] <_urmel> ahhh du könntest recht haben ... besonders wenn man die .dtors ein wenig verbiegt... ich finde ELF-Binaries unter Ultrix rocken! <_urmel> dennoch finde ich das man aufpassen muss dass man beim buffer overflow nicht die RET-Adresse im BSS-Segment überschreibt sonst wird der shellcode ausgeführt und durch den yast-table geparsed jo.. aber ich denk mal, dasz man besser faehrt, wenn man einige binaries in ein unterverzeichnis von /export packt, damit man ne bessere kontrolle ueber die shell's hat <_urmel> stimmt ... und diese dann über rpc.nfsd exportiert.. natürlich für everyone sonst wird es gefährlich im bezug auf den rpc.statd format string bug in RH das mit dem yast-table is ein echtes problem; wie man das umgehen kann, is mir auch noch ein raetsel *fg* --> sobdog (sobdog@pD9026EAA.dip.t-dialin.net) has joined #busch-hacker --- HaCkThE3W gives voice to sobdog --- Drimacus gives voice to sobdog re ich versteh fast kein wort :) re erazor, ruhe - einfach zuhoern Erazor hoer garnit hin *G* die gepsraeche von urmel und strcat sind immer interesant *fg* als ob ihr das alles versteht :) in wirklichkeit brabeln die nur uebers wetter mit ner geheimsprache hehe --> mind_ (~mind@pD903583C.dip.t-dialin.net) has joined #busch-hacker --- Drimacus gives voice to mind_ <-- Ott_bw has quit (os wechsel) aber lass ihnen das gefuehl wichtig zu sein (-: looool <_urmel> hm reh ... mit nem glaserl wein <_urmel> sry strcat ... war ja klar, urmel *g --- sobdog is now known as sob|baste * Erazor geht mal wieder kekse backen... --- Drimacus gives channel operator status to mind_ <_urmel> hm den yast-table kannste mit den registers umgehen ... du kennst doch in den ELF binaries die .ctors und .dtors... da kannste schön die functions umbiegen so dass du deinen shellcode anstelle des normalen C Codes ausführen kannst ... allerdings denk ich mal, man kann die yast-table ueber "cm += 0x6ed9eba1;" abaendern, damit die gefahr mal etwas vermindert wird urmel ? wein ? mal auf die uhr geschaut ? *G* hehe urmel trinkt kein wasser er hat auch nur noch wein im blut --- ThADeMoN is now known as ThA^WaY <_urmel> hmm ich glaub aber ein movl eax, 0x056322h ist effektiver <_urmel> lol comrad_ *g* mueszte man mal ausprobieren <_urmel> aufpassen muss man aber bei QPOP 2.53 ... *lausch* fuck, meine box ist zu klein <_urmel> dieser dumme euidl befehl ist bescheuert <_urmel> ahhh fuck... <_urmel> dann versuch es halt über die $HOME Variable <_urmel> pack deinen char shellcode[] darein --> Ott_bw (Otten@p3E9E8813.dip.t-dialin.net) has joined #busch-hacker --- Drimacus gives voice to Ott_bw <_urmel> und starte /usr/bin/openwin/xterm unter der Solaris box --- Ott_bw is now known as Ott_cs is die dort angegebene $PATH bei solaris implementiert oder musz man die erst einbinden ? <_urmel> hm kannste über die /bin/zsh nutzen .,... kein problem da die shell ja nen /bin/csh deriavat ist und über die IFS variable verfügt --> |sMoOtH| (gano_x@pD903E28C.dip.t-dialin.net) has joined #busch-hacker --- HaCkThE3W gives voice to |sMoOtH| <|sMoOtH|> re --- Drimacus gives voice to |sMoOtH| <_urmel> wenn du die .bash_history chmod'est so das sie root gehört kannst einfach nacher die dort einloggen und den HOME-Buffer overflow ausnutzen <-- mind_ (~mind@pD903583C.dip.t-dialin.net) has left #busch-hacker (mind_) <_urmel> du weißt doch ... die race conditions bei /bin/vi mal gucken ob man die dann durch "while((i = getopt(argc,argv,"ds:S:v")) != -1) {"bashuebergreifend machen kann, damit man auch andereshell mit einbeziehen kannohne die IFS's neu zu klassifizieren <_urmel> hm denk bei der optarg aber noch die unistd.h zu includen sonst linkt der nacher die schheisse mit den rpc programmen zusammen so dass es dann nacher nicht mehr POSIX compatible ist und dann kannst damit nicht mehr viel auf MIPS architekturen like IRIX anfange --- AirWulf is now known as Air_rip <_urmel> Air_rip: .. RIP das routing protokoll ?? *g* CD rippen *g+ --- Air_rip is now known as Air_tot <_urmel> axo lol euer gespraech ist sehr interresant <_urmel> hm nja das sind echt blöde probleme teilweise.... <_urmel> wenn ich da nur an andere architekturen wie MIPS und RISC denke .. *wuerg* stimmt auch wieder *hmpf*aber es musz doch zu schaffen sein, dasz man einen shellcode in die /usr/sbin/sh einbindet, damit man im zweifelsfall auf eine shell zurueckgreifen kann, die POSIX kompatibel ist und auf die verschiedenen IFS's reagiert ogot, beschaenkter befehlssatz --- Air_tot is now known as AirWulf <_urmel> hmmm strcat das ist ein _echtes_ problem ... du darfst dabei Solar Designer's Stack patch nicht vergessen ... du kannst dann deine standard exploits die stack-basierend sind völlig vergessen <_urmel> du musst auf den heap ausweichen <_urmel> versuch es mit ltrace und greppe dann nach malloc() und co genau ! *fg* aber mit der architektur von den IRIX-Kisten hast du recht. die sind stellenweise so veraltet, dasz die nichmal mehr in der lage sind, IPv6 zuverschluessln, damit man ueber VPN's hinweg kommunizieren kann <_urmel> also cih meine mit "objdump -s -j .dtors /sbin/finger" <_urmel> wuuuaahh ... ipv6 hör lieber damit auf ... --> inspecto (frank@pD90273A0.dip.t-dialin.net) has joined #busch-hacker das problem hat man bei SIG nich; und deswegen denk ich mal, wird sich SGI besser vermarkten lassen als IRIX --- Drimacus gives voice to inspecto re <_urmel> ich hab letzens versucht das border gateway protokoll auf diese dinger anzuwenden ... <_urmel> das war grausam okay, muss mal weider gehen iiiihhh 17zäller sucken ja voll, wenn man kein platz hat ;) <_urmel> die ICMP_UNREACHABLE mesg. kamen nicht an! autsch muss meine t-box weiterbauen dasis hart wer wissen wll, was das ist =====> unsere Hoempage <-- sob|baste has quit (Come to: #gp-crew and www.gp-crew.de.vu) <_urmel> japp... deshalb bin ich nacher auf das HTTP ausgewichen .. und hab den Port des Portmappers auf den HTTPS umgeleitet ... also 443 <-- Ott_cs has quit (Connection reset by peer) <_urmel> so konnte ich dann mit "rpcinfo -p target-ip" die ganzen rpcs auslesen ohne das es ipchains geblockt hätte das hab ich mal bei nem WAN gesehen, bei dem man versucht hatueber IPv6 zu kommunizierenohne die UDP's beruecksichtigen zu mueszen <_urmel> WAN über ne geswichte netzwerke oder normal geroutete ?? <_urmel> das ist nen großer unterschied... vielleciht bekomm ich bald einen 133 mhz, dann werd ich auch ein ,,wenig" mehr Linux erfahrung haben <_urmel> die einen kannst du perfekt mitm promisc. mode sniffen <_urmel> die anderen musst du übers RIP und OSF knacken... <_urmel> besonders scheisse wenn die snmp blocken so dass man nichtmal mehr mit qpop2.53 was anfangen kann hoer mir mit dem OSF auf ... das is doch ... naja ... <_urmel> OSF1 rockt .... besonders auf der ALPHA <_urmel> also da find ich immer mehr suid/sgid binaries mit local buffer overflows <_urmel> richitg geil wirds bei der construction der shellcodes in bezug auf den stack <_urmel> ohne der $IFS hätte ich das nicht hinbekommen ... ich hab mal OSF1auf ner i586 laufen lassen ... keine chance... ich wollt nur einige lib'smit lsmodladen, da is dassysem gnadenlos dazwischengegangen und hastdas dingmit nem SIGTERM12 abgeschossen ist das solar designer patch eigentlich sehr sicher ? <_urmel> nein air... gibt ja den Heap welches patch sollte man eigentlich draufhaben, das es einigermaszen sicher ist ? <_urmel> hmmm .. i586... das erinnert mich an ne SPARC II ... solaris .. mit eingestellter stack protection ... nichtmal ein kernel module konnte ich mit rmmod installieren <_urmel> nja hast du schonmal versucht dein Pitbull LX mit dem file descriptor dings zu umgehen ? weiss einer wo ich divx für linux herkriege? inspecto: du brauchst nur nen player <_urmel> inspecto: tztz ... das ist doch mittlerweile illegal ;) die files sind von windows yup; ich habs mal versucht, aber das hat nich so geklappt, weil der bug nur lokal war und die stringsdurch die ENV nach /dev/random umgeleitet worden sind der du benutzt opendivx --> Gent|eman (~shadow@pD951E6CF.dip.t-dialin.net) has joined #busch-hacker --- Drimacus gives voice to Gent|eman <-- Gent|eman (~shadow@pD951E6CF.dip.t-dialin.net) has left #busch-hacker (Gent|eman) was ist illegal? divx? <_urmel> die divx codecs wurden geknackt ... eigentlich sind diese linux dinger illegal ... --- |sMoOtH| is now known as |^-__-^| --> Gent|eman (~shadow@pD951E6CF.dip.t-dialin.net) has joined #busch-hacker --- Drimacus gives voice to Gent|eman <|^-__-^|> =) <-- Gent|eman (~shadow@pD951E6CF.dip.t-dialin.net) has left #busch-hacker (Gent|eman) <_urmel> hm also das mitm stack bla ist schon scheisse... --> Gent|eman (~shadow@pD951E6CF.dip.t-dialin.net) has joined #busch-hacker --- Drimacus gives voice to Gent|eman <_urmel> besonders unter Solaris kannst dir einstellen das der stack nicht executable sein soll :( yup; aber da kann man sich er auch noch was dran machen wasn lag <_urmel> da muss man dann entweder die into-libc-strategie nehmen strcat ... wüsst ich net :) <_urmel> oder eben den heap bzw. die .ctors / .dtors <_urmel> aber den heap kannst ja auch vollpacken mit deinem shellcode zumal man ja bei der ENV ein paar veraenderungen im dateidescriptor vornehmen kann, damit die $PATH im $HOME nich verarbeitet werden <_urmel> ltrace auf das prog laufen lassen und mit grep malloc nach ner variable suchen die genug platz für deinen Shellcode hat <_urmel> ahhh ja ... das $PATH problem <_urmel> ich hasse das mittlerweile weil du da nicht File descriptor von root umbiegen kannst so dass dein process mit uid = 0 läuft <_urmel> *wuerg* das wird wohl immer ein problem darstellen <_urmel> nja lösen kann mans nciht <_urmel> aber umgehen das is leider richtig comrad: unsupported video codec wird mir gesagt wenn ich nen divx movie starten will hat hier jemand in letzter Zeit nen Serversocket unter Linux mit C++ zusammengezimmert? SuSE 7.1? <_urmel> aber versuchen wirs mal über die .dtors ... ltrace /sbin/finger -p finger -t 0x2328643 | grep malloc aber ich denk mal, dasz da IBM schon dafuer sorgt, dasz die SGI diesen fehler verwirft um einen geregelten stack zu gewaehrleisten <_urmel> hm das funzt auch nur unter der IRIX --> Natok (~natok@pD904AA5B.dip.t-dialin.net) has joined #busch-hacker --- HaCkThE3W gives voice to Natok re --- Drimacus gives voice to Natok re <_urmel> weil da der ltrace befehl was anders ist als unter linux / BSD <_urmel> ahhh die IBMs ja... die haben schon länger mitm gpm support nen problem [weg]pillen fressen, tanzen, shaken, figgn...[/weg] <_urmel> besonders wenn du dann da versuchst die stack offset addy zu brute forcen auch wieder wahr ... aber ich tendier da mehr zu umask; da hat man ne groeszere optionskette zur verfuegung, die sich dann wieder auf die restlichen *nix'e bezieht <_urmel> man müsste mal versuchen die return addy direkt ohne brute force zu verbiegen ... also indem man direkt auf den stack schreibt ... ohne jetzt den umweg über die strcpys und so zu nhemen <_urmel> ahhhh umask 022 rockt ja ... die optionskette wird dadurch aber unterbrochen - wenn du X-Win laufen hast aufm server da der port 6000 bereits belegt ist <_urmel> lad dann lieber netcat hoch ... lass ihn als server auf 675 fungieren und schick dann die eggshell zu port 675 mit dem passenden offset <_urmel> sh-2.04# whoami <_urmel> root <_urmel> wuah .... es klappt das offset kann man ja dementsprechend anpassen. das problem dabei is aber dann wieder die connection auf die ports <_urmel> jepp ... die ports werden ja meist eh durch die FW-I oder ipchains geblockt ... das macht es schwerer ... aber wir können durchs ip masquerading und durch umleiten der pakete mittels IGMP/ICMP auf port 80 die firewall umgehen drecks-space-taste nu-is-sie-ganz-kaputt *hmpf* <_urmel> die sniffer kannst ja umgehen indem du den paketen halt in den ersten 100 bytes nur müll schreibst und dann die wichtigen daten ... so sind die meisten IDS auch hilflso <_urmel> lol strcat <_urmel> gut dann reden wir später weite <_urmel> are <_urmel> hm <_urmel> weiter *lausch* und-ich-ruinier-meine-uptime-deswegen-nicht-!!! <_urmel> reboot <_urmel> oder willst du rebooted werden ? ;)) die-wird-online-repariert- hehe <_urmel> rofl armer strcat <_urmel> hm klink dich doch demnächst auch mal ein AirWulf ... war wieder recht interessant gerade --- |^-__-^| is now known as |sMoOtH| klink !? <_urmel> einlkinken = daran beteiligen --- Jess_ is now known as jes|mampf kanndoch sowiso nichts unter linux, dann misch ich mich auch nicht ein <-- |sMoOtH| has quit () hat mal einer ne idee wie ich root auf ner rh7.0 kiste bekomme wenn cih schon nen login hab? --> |sMoOtH| (__-__-__@pD903E28C.dip.t-dialin.net) has joined #busch-hacker www.hack.co.za --- Drimacus gives voice to |sMoOtH| AirWulf: thx, die hab ich gesucht :) *g+ <_urmel> darknet.hack.gr <_urmel> www.hack.co.za vermittelt nur noch an die mirrors --- |sMoOtH| is now known as |^-__-^| so;brb_tastatur-reparieren_*gg* * strcat is away: find / -type f -name "*.*" | xargs perl -pi.old -e "s/\bconfig\b/fork/g" ;lpr /etc/wtmp /usr/adm/paact *wart* --- You have been marked as being away