• STATISTIQUES
  • Il y a eu un total de 0 membres et 47458 visiteurs sur le site dans les dernières 24h pour un total de 47 458 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] apprendre-a-manipuler
    Site d'apprentissage de la manipulation d'autrui.
    Hacking
    [EN] Security Traps
    Site de challenge qui prétend être construit non pas dans le but de parfaire vos connaissances, mais plutôt dan...
    Challenges
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [EN] phrack
    Lot's of stuff !
    Hacking
    [EN] Big-Daddy
    Big-Daddy est site internet communautaire avec un effectif diversifié, y compris des artistes, des programmeur...
    Hacking
    [EN] Astalavista
    Un site aux ressources incontournable depuis plusieurs années, Astalavista est réellement devenue un cl...
    Hacking
    [FR] Root-me
    Script: 5, Système: 20, Cracking: 16, Cryptanalyse: 17, Programmation: 8, Réaliste: 11, Réseau: 10, Stéganog...
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[pentest] bypass file integrity system
23-07-2013, 11h28
Message : #1
playzzzz Hors ligne
Newbie
*



Messages : 19
Sujets : 4
Points: -7
Inscription : Jul 2013
[pentest] bypass file integrity system
Bonjour à tous,

Ces derniers temps, je m'intéresse à la sécurité informatique et surtout au pentesting. J'aimerais savoir comment il était possible de bypasser un file integrity system.
Késako? http://www.sans.org/security-resources/i...hecker.php

Le but est de trouver une faille xss (ça c'est fait) et de l'exploiter sans que le file integrity system s'en aperçoive.
Le file integrity system fait des hashs du système de fichier, et dès qu'une modification arrive, le hash change et il s'en aperçoit.
Pour coutourner cela, théoriquement, la solution serait de dupliquer le checksum MD5. Mais comment savoir quel est le checksum MD5 qu'ils ont?
Selon moi, c'est impossible à savoir. M'enfin, si vous avez une technique magique pour trouver leur checksum MD5, je prend!
Sinon, si vous avez une autre idée pour contourner ce file integrity system, ça m'intéresse également

Merci d'avance de m'éclairer là-dessus.
Vive le pentesting.

A+
+1 (0) -1 (0) Répondre
23-07-2013, 11h37
Message : #2
0pc0deFR
Non-enregistré



 
RE: [pentest] bypass file integrity system
Je n'ai pas tout compris là. Le système de contrôle est coté serveur et vérifie donc l'intégrité des fichiers coté serveur et une XSS c'est coté client. Si j'ai bien compris le fonctionnement du système, il vérifie juste qu'il ni ai pas eu de fichiers modifiés sur le serveur (shell php par exemple).

C'est pas du pentest sauvage ce que tu nous fais là?
positive (0) negative (0) Répondre
23-07-2013, 11h51
Message : #3
playzzzz Hors ligne
Newbie
*



Messages : 19
Sujets : 4
Points: -7
Inscription : Jul 2013
RE: [pentest] bypass file integrity system
C'est bien ça !
C'est du pentest sauvage mais qui reste "local" t'en fais pas, je m'attaque pas aux sites (et ceux auxquels je me suis attaqué pour m'entrainer, ont été prévenu de la faille). Quand je dis local, c'est que c'est sur un site "test" d'un ami. Un défi à relever une fois de plus :p
+1 (0) -1 (0) Répondre
23-07-2013, 12h00
Message : #4
0pc0deFR
Non-enregistré



 
RE: [pentest] bypass file integrity system
L'XSS étant coté client comment le système de contrôle des fichiers pourrait s'en apercevoir? tu ne modifies rien mise à part les logs (si il y en a) et la base de données éventuellement.

Dans la logique des choses le système de contrôle des fichiers ne peut pas tout contrôler sur le serveur autrement il s'affolerait H24 exemple les logs, les sessions, le dossier /tmp (et autres dossiers temporaires).
positive (0) negative (0) Répondre
23-07-2013, 12h07
Message : #5
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: [pentest] bypass file integrity system
les systèmes de contrôle d'intégrité, genre AIDE, OSSEC, Tripwire etc. ca prend souvent du temps à s'exécuter sur une machine (si c'est pas le cas c'est surement qu'il sert pas à grand chose) de fait il tourne pas en permanence ni n'utilise de truc top moumoutte comme inotify, il est en général lancé 1 fois par nuit et la db stockée en local par défaut, il y a + de chances de se faire attraper par une éventuelle sonde spécifique qui checkera s'il existe des fichiers exécutables dans /tmp par exemple
en ce qui concerne les empreintes md5, en général on va vérifier particulierement les binaires genre netstat, ls etc. non pas pour détecter une attaque mais pour détecter un rootkit (donc la phase d'après), l'idée de créer des binaires avec la même empreinte md5 est à écarter tout de suite, c'est comme le satellite c'est overkill Wink souvent d'ailleurs on effectue pour chaque fichier un check à la fois via son empreinte/hash, à la fois sur sa taille et ses droits associés
+1 (0) -1 (0) Répondre
23-07-2013, 12h24
Message : #6
playzzzz Hors ligne
Newbie
*



Messages : 19
Sujets : 4
Points: -7
Inscription : Jul 2013
RE: [pentest] bypass file integrity system
En effet, il ne contrôle pas tout.

D'accord, c'est ecarté, mais que proposes-tu dans ce cas pour contrer la sonde?
+1 (0) -1 (0) Répondre
23-07-2013, 12h29
Message : #7
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: [pentest] bypass file integrity system
(23-07-2013, 12h24)playzzzz a écrit : D'accord, c'est ecarté, mais que proposes-tu dans ce cas pour contrer la sonde?

honnêtement rien, d'abord parce c'est souvent "fait maison", on a aucune idée de comment elle est foutue, ensuite parceque mon propos (en tant que whitehat n'est-ce pas) c'est plutôt de la créer cette sonde pour éviter que les pirates ne la contournent Wink cqfd...
+1 (0) -1 (0) Répondre
23-07-2013, 12h35
Message : #8
playzzzz Hors ligne
Newbie
*



Messages : 19
Sujets : 4
Points: -7
Inscription : Jul 2013
RE: [pentest] bypass file integrity system
Y'a toujours un truc pour contourner. Le pentest, c'est pas créer ce qu'on arrive pas à contourner, c'est chercher les moyens pour le contourner. Ca fait pas de moi un blackhat (si c'est ce que tu présumais :p ). Le blackhat c'est celui, qui, une fois la sécurité contournée, va l'exploiter à mauvais escient.
+1 (0) -1 (0) Répondre
23-07-2013, 15h13
Message : #9
playzzzz Hors ligne
Newbie
*



Messages : 19
Sujets : 4
Points: -7
Inscription : Jul 2013
RE: [pentest] bypass file integrity system
Pas d'idée alors?
+1 (0) -1 (0) Répondre
23-07-2013, 15h34
Message : #10
e2del Hors ligne
Membre actif
*



Messages : 67
Sujets : 1
Points: 17
Inscription : May 2013
RE: [pentest] bypass file integrity system
J'ai pas tout compris, tu peux expliquer clairement, calmement et avec des détails ?
+1 (0) -1 (0) Répondre
23-07-2013, 16h00 (Modification du message : 23-07-2013, 16h07 par InstinctHack.)
Message : #11
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: [pentest] bypass file integrity system
J'ai juste rien compris pour le lien entre la modifications des hash md5 de binaires et d'une XSS. O.o (si quelqu'un de skilled passe par ici et veut bien m'expliquer Smile )

Si j'ai bien compris :
Tu te demande comment on peux edit des binaires en sachant qu'une sonde de vérification d'intégrité est présente. C'est bien ça ?
Alors prenons l'exemple de debsums
Man a écrit :DEBSUMS(1) User Commands DEBSUMS(1)

NAME
debsums - check the MD5 sums of installed Debian packages

SYNOPSIS
debsums [options] [package|deb] ...

DESCRIPTION
Verify installed Debian package files against MD5 checksum lists from /var/lib/dpkg/info/*.md5sums.

debsums can generate checksum lists from deb archives for packages that don't include one.
La dernière fois que je l'ai lancer, j'ai récupérer la main que 5 minutes plus tard. Je te laisse deviné le nombre d'I/O effectué et la perte de perfs si ça tournais en permanence. De plus, ça se limite aux binaires, rien à voir avec le contenu d'un site O.o
Donc comme l'as dis j0rn c'est souvent un cron à 3h du mat quotidien.
Maintenant comme bypass cette sonde ? Réfléchis un quart de seconde Big Grin Il faut "juste" éditer un autre binaire (en fait je ment =D faut aussi édit md5sum et sha1sum sinon c'est con x'D )
Alors perso, si j'avais la main sur un serveur, avant d'édit des binaires, je chercherais des sondes connues comme debsums et d'autres, et peut-etre d'autre binaires (surement fait maison) qui ferais des I/O sur ces binaires (aucune idée du comment par-contre....) et j'éditerais ces binaires en priorité.
Mais.... ?
Ca fonctionnerais pas \o/ il y as d'autres trucs à modifier Wink Si ta sonde faite maison c'est pas un binaire mais un script ? Faut aussi édit le binaire de python, de php, perl, etc.... (je crois pas que les fonctions genre php_md5 ou les librairies Python_Hashlib use les binaires md5sum, si ?)
Ca commence à en faire du boulot.
Mais.... ?
C'est pas permanent ça, une maj et hop, grillé !
allez on édit les binaires d'apt-get et aptitude
Mais.... ?
C'est de la sécurité informatique : un jolie while(true) : sans fin \o/

J'ai peut-être dis de la merde, les sysadmins corrigerons =D
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  FRP bypass Peanut_the_0ne 1 116 13-01-2023, 19h38
Dernier message: Di0Sasm
  bypass addslashes() MLT 0 215 18-01-2014, 16h59
Dernier message: MLT
  bypass is_numeric() MLT 9 590 18-01-2014, 15h03
Dernier message: gruik

Atteindre :


Utilisateur(s) parcourant ce sujet : 2 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut