Ejemplo de código ofuscado con ROT13

Mediante tr podemos pasar del alfabeto normal al alfabeto rotado:

echo "tmhapbzcerff" | tr a-z n-za-m
gzuncompress

En el caso que tengamos que aplicarlo a un fichero lo podemos hacer mediante la opción ! del vi para ejecutar comandos externos:

:%!tr a-z n-za-m

En el caso de PHP existe la función str_rot13() para hacerlo directamente:

$ php -r 'echo str_rot13('hola');'
ubyn

Relacionados

• Seguridad en PHP: deshabilitar funciones
• PHP: configure: error: utf8_mime2text() has new signature, but U8T_CANONICAL is missing
• Ofuscación de puertos mediante overflow de shorts
• Intrusión mediante PHP Shell
• Instalar nginx con php 5.3 mediante php-fpm y eAccelerator

Para ello deberemos indicar al fichero de configuración de OpenVPN (normalmente openvpn.conf) que deseamos mandar una ruta a los clientes que se conecten mediante la opción push.

Con la opción route indicaríamos la ruta que queremos definir a través de nuestro túnel mediante IP y máscara. Por ejemplo para una única IP (por ejemplo, la 192.168.1.7) haríamos:

push "route 192.168.1.7 255.255.255.255"

O para una red /24 entera:

push "route 192.168.1.7 255.255.255.0"

En el caso que el cliente no haga rutado simplemente afectaremos las decisiones de rutado de ese equipo.

Relacionados

• Usar chroot en OpenVPN
• Seguridad en redes wireless mediante OpenVPN (II)
• Seguridad en redes wireless mediante OpenVPN (I)
• Instalar un cliente OpenVPN en Windows
• Instalar un cliente OpenVPN en Linux

Para montar el sistema de fichero tmpfs deberemos indicar el tamaño mediante la opción size:

mount -t tmpfs -o size=100M tmpfs /tmp2

A continuación ya lo tendremos disponible para su uso:

df -hP
Filesystem            Size  Used Avail Use% Mounted on
(...)
tmpfs                 100M     0  100M   0% /tmpshared

Evidentemente, al ser un disco en memoria si lo desmontamos (o reiniciamos el equipo) perderemos los datos:

# mount -t tmpfs -o size=100M tmpfs /mnt/tmp/
# touch /mnt/tmp/aaa
# ls -l /mnt/tmp/
total 0
-rw-r--r-- 1 root root 0 Jan 31 21:06 aaa
# umount /mnt/tmp/
# mount -t tmpfs -o size=100M tmpfs /mnt/tmp/
# ls -l /mnt/tmp/
total 0

Relacionados

• No hay posts relacionados.

En el advisory nos indican la siguiente de función:

void
sudo_debug(int level, const char *fmt, ...)
{
    va_list ap;
    char *fmt2;

    if (level > debug_level)
        return;

    /* Backet fmt with program name and a newline to make it a single
    write */
    easprintf(&fmt2, "%s: %s\n", getprogname(), fmt);
    va_start(ap, fmt);
    vfprintf(stderr, fmt2, ap);
    va_end(ap);
    efree(fmt2);
}

Por partes, en la función:

easprintf(&fmt2, "%s: %s\n", getprogname(), fmt);

Se pasa getprogname(), que se trata de argv[0] al buffer temporal fmt2 y luego se pasa a la función vfprintf directamente:

vfprintf(stderr, fmt2, ap);

Por lo que el vfprintf acaba siendo controlado por el usuario que puede modificar una posiciones de memoria con %n (un format string attack). Podemos ver cómo se explotan en los niveles 6 y 8 del wargame narnia.

En el caso se sudo, al ser un binario con el setuid bit podemos conseguir root explotando dicha vulnerabilidad.

Al ser bastante evidente es normal que en el advisory diga que el programador estaba avergonzado:

2012-01-24 Send vulnerability details to sudo maintainer
2012-01-24 Maintainer is embarrased

En el caso de CentOS/RHEL estamos libres de este fallo ya que se usan versiones anteriores:

• CentOS 5: 1.7.2
• CentOS 6: 1.7.4

Relacionados

• sudo: auth could not identify password for
• sudo te insulta si te equivocas de contraseña
• Evitando el paso a una shell con sudo
• Editando el fichero /etc/sudoers para delegar operaciones mediante el comando sudo
• Como ejecutar comandos como root sin password

Dentro del CATALINA_BASE/bin y el CATALINA_HOME/bin podemos crear un fichero que se llame setenv.sh que se ejecutará desde el catalina.sh:

if [ -r "$CATALINA_BASE/bin/setenv.sh" ]; then
  . "$CATALINA_BASE/bin/setenv.sh"
elif [ -r "$CATALINA_HOME/bin/setenv.sh" ]; then
  . "$CATALINA_HOME/bin/setenv.sh"
fi

Tal y como podemos apreciar, si tenemos en el CATALINA_BASE un setenv.sh no se ejecuta el del CATALINA_HOME (que se supone más genérico). Dicho fichero puede ser cualquier ejecutable, por ejemplo:

#!/bin/bash

export JAVA_OPTS="$JAVA_OPTS -Dcatalina.base=$CATALINA_BASE -Xms256M -Xmx2048M -XX:MaxPermSize=128m -server -XX:+UseConcMarkSweepGC"

Relacionados

• Instalación de un certificado SSL en tomcat (keystore)
• Instalación de tomcat 7 en Linux
• INFO: The APR based Apache Tomcat Native library which allows optimal performance in production environments was not found on the java.library.path
• Conector mod_jk para Apache/Tomcat

Jan 20 16:26:56 picamoixons sudo: pam_unix(sudo:auth): conversation failed
Jan 20 16:26:56 picamoixons sudo: pam_unix(sudo:auth): auth could not identify password for [test]

La línea en el sudoers era:

test ALL =(ALL) NOPASSWD: /usr/local/bin/restart_tomcat

El error resulta poco claro y hace pensar que el usuario este mal creado o que exista algún problema con la autenticación (los modulos pam o el fichero de passwd o shadow.

En realidad simplemente el comando a ejecutar no tenia permisos de ejecución, por lo que simplemente con añadir los permisos se soluciona el problema:

chmod +x /usr/local/bin/restart_tomcat

Relacionados

• sudo te insulta si te equivocas de contraseña
• Local root con las versiones 1.8.0-1.8.3p1 de sudo
• Evitando el paso a una shell con sudo
• Editando el fichero /etc/sudoers para delegar operaciones mediante el comando sudo
• Como ejecutar comandos como root sin password

Suponiendo que tenemos los siguientes ficheros:

• Petición de firmado, generada también con OpenSSL: cert.csr
• Clave privada: privkey.pem

A continuación mediante openssl podemos generar el certificado autofirmado indicando el número de días que será válido con -days:

$ openssl x509 -req -days 10000 -in cert.csr -signkey privkey.pem -out cert.crt
Signature ok
subject=/C=ES/ST=Barcelona/L=Barcelona/O=systemadmin.es/CN=systemadmin.es
Getting Private key

El certificado autofirmado generado se encuentra en el fichero cert.crt que ya podremos usar para instalarlo, por ejemplo en tomcat o bien en nginx.

Al ser autofirmado al acceder con el navegador nos dará un error conforme no se confía en la autoridad certificadora (nosotros mismos):

Error Firefox certificado autofirmado

Si miramos los detalles del certificado podemos ver como el certificado esta firmado por el emisor:

Certificado autofirmado

Relacionados

• Instalación de un certificado SSL en tomcat (keystore)
• Instalación de certificado SSL de servidor en nginx
• Generar un fichero CSR (petición de firmado)

Dentro del directorio que hayamos instalado nessus podemos encontrar los plugins (/opt/nessus/lib/nessus/plugins) con extensión nasl que son simples scripts:

(...)
include("compat.inc");

if(description)
{
 script_id(10926);
 script_version("$Revision: 1.33 $");

 script_cve_id("CVE-2002-0052");
 script_bugtraq_id(4158);
 script_osvdb_id(763);
(...)

En algunos casos me he encontrado con la desagradable sorpresa que hacen lo siguiente:

if(get_port_state(port))
{
banner = get_http_banner(port: port);
if(!banner)exit(0);

Por lo tanto, si tenemos por ejemplo el banner de Apache en Prod algunos plugins pueden no indicar si es o no vulnerable un servidor ya que se basan en la versión que obtienen de los headers.

Entiendo que para ciertos casos puede ser la única manera de comprobar si un servidor es vulnerable, por ejemplo, pero lo he visto en el caso del CVE-2011-3192 por lo que no me parece muy justificado.

Así que deberemos tener presente que hacen los plugins antes de dar el resultado por válido,

Relacionados

• Nessus – Escaner de vulnerabilidades
• Comparativa OpenVAS vs Nessus

120123 19:06:01 [Warning] Unsafe statement written to the binary log using statement format since BINLOG_FORMAT = STATEMENT. The statement is unsafe because it uses a LIMIT clause. This is unsafe because the set of rows included cannot be predicted. Statement: DELETE FROM casas
		WHERE DATEDIFF(NOW(), casa_date) > 31 limit 1000

Esto se debe a que aunque existan los mismos registros:

master> select * from fib;
+------+-------+
| id   | valor |
+------+-------+
|    6 |     8 |
|    7 |    13 |
|    8 |    21 |
|    9 |    34 |
+------+-------+
4 rows in set (0.00 sec)

Si no indicamos ningún ORDER BY los registros no tiene porque seguir ningún orden por lo que en un slave nos podrían aparecer los datos en otro orden (siendo igualmente consistentes con el master):

slave> select * from fib;
+------+-------+
| id   | valor |
+------+-------+
|    8 |    21 |
|    9 |    34 |
|    7 |    13 |
|    6 |     8 |
+------+-------+
4 rows in set (0.00 sec)

Por lo que las queries que borran registros no podemos saber cuales han borrado y cuales no. Por ejemplo, si en los casos anteriores ejecutamos:

DELETE FROM fib LIMIT 1;

En el master borraríamos el registro con ID 6 pero en el slave borrariamos el de ID 8. La misma query en el master y en el slave produce resultados diferentes (no es determinista).

Es por esto que debemos evitar este tipo de queries ya que podemos causar inconsistencias entre el master y el slave.

Aún así, también nos puede resultar útil dicha característica. Suponiendo que se ejecuta la siguiente query sobre una tabla MyISAM:

DELETE FROM fib WHERE ID > 4;

Si se cancela la query (porque esta bloquenado la tabla) a medio ejecutar con un KILL de MySQL habremos borrado algunos registros en el master (pero ninguno en el slave), parandose la replicación con los slaves con el error:

Query partially completed on the master

Por lo que deberemos rehabilitar la replicación con:

SET GLOBAL SQL_SLAVE_SKIP_COUNTER=1; START SLAVE;

En este punto tendremos la tabla en el master diferente del slave, para igualarlas podemos usar precisamente la característica insegura de LIMIT. Si ejecutamos repetidamente con un pequeño sleep entre las queries:

DELETE FROM fib WHERE ID > 4 LIMIT 10;

Conseguiremos:

1. Borrar poco a poco de la tabla sin bloquearla durante el tiempo que tarde el borrado de todos los registros, sino que únicamente mientras esta borrando una parte y dejando entrar más queries mientras dejamos el proceso en sleep.
2. Igualar las tablas entre el master y los slaves: La deberemos ejecutar en el master aunque ya no tenga registros a borrar allí para que se transmita a los slaves y borre los registros que se borraron de la query cancelada.

Evidentemente podemos ir slave por slave a hacer lo mismo manualmente, pero si tenemos varios slaves puede resultar mucho más cómodo usar el LIMIT e ir igualando los slaves desde un único punto.

Relacionados

• Vistas (views) en MySQL
• Ver el usuario con el que estamos conectados en Oracle y MySQL
• Ver el estado de un MySQL
• Uso de mk-find para realizar analyze y optimize de las tablas MySQL
• Uso de Maatkit para detectar índices duplicados en MySQL

Primero deberemos instalar Apache, lo descargamos y descomprimimos:

cd /usr/local/src
yum install zlib-devel -y
wget http://apache.rediris.es//httpd/httpd-2.2.21.tar.gz
tar xzf httpd-2.2.*.tar.gz
cd httpd-2.2.*

A continuación lo compilamos con las opciones más comunes y deshabilitando algunos módulos como autoindex:

./configure --prefix=/usr/local/apache22 --exec-prefix=/usr/local/apache22 --enable-so --disable-autoindex --enable-rewrite --enable-deflate --enable-expires --disable-asis --disable-userdir
make && make install
useradd apache
sed -i 's%^#Include conf/extra/httpd-default.conf%Include conf/extra/httpd-default.conf%' /usr/local/apache22/conf/httpd.conf
sed -i 's%^#Include conf/extra/httpd-vhosts.conf%Include conf/extra/httpd-vhosts.conf%' /usr/local/apache22/conf/httpd.conf
sed -i 's/^User daemon/User apache/' /usr/local/apache22/conf/httpd.conf
sed -i 's/^Group daemon/Group apache/' /usr/local/apache22/conf/httpd.conf
sed -i 's%^#Include conf/extra/httpd-mpm.conf%Include conf/extra/httpd-mpm.conf%' /usr/local/apache22/conf/httpd.conf
sed -i 's%^#Include conf/extra/httpd-info.conf%Include conf/extra/httpd-info.conf%' /usr/local/apache22/conf/httpd.conf
sed -i 's/^ServerSignature On/ServerSignature Off/' /usr/local/apache22/conf/extra/httpd-default.conf
sed -i 's/^ServerTokens Full/ServerTokens Prod/' /usr/local/apache22/conf/extra/httpd-default.conf
sed -i 's/^KeepAliveTimeout 5/KeepAliveTimeout 2/' /usr/local/apache22/conf/extra/httpd-default.conf
sed -i 's/^MaxKeepAliveRequests 100/MaxKeepAliveRequests 512/' /usr/local/apache22/conf/extra/httpd-default.conf
echo "TraceEnable off" >> /usr/local/apache22/conf/httpd.conf
echo "AddOutputFilterByType DEFLATE text/html text/plain text/css text/javascript application/x-javascript text/xml" >> /usr/local/apache22/conf/httpd.conf
cat > /usr/local/apache22/conf/extra/httpd-vhosts.conf <<EOF
#
# Use name-based virtual hosting.
#
NameVirtualHost *:80

# HERE BE DRAGONS
<VirtualHost *:80>

 DocumentRoot /var/www/void

 <Directory /var/www/void>
  Options FollowSymLinks
  AllowOverride None
  Order deny,allow
  Allow from all
 </Directory>

 Include conf/extra/httpd-info.conf

</VirtualHost>

Include conf/extra/vhosts/*.conf
EOF
cat > /usr/local/apache22/conf/extra/httpd-info.conf <<EOF

<Location /server-status>
    SetHandler server-status
    Order deny,allow
    Deny from all
    Allow from 127.0.0.1
</Location>

EOF
echo "ExtendedStatus On" >> /usr/local/apache22/conf/httpd.conf
mkdir -p /usr/local/apache22/conf/extra/vhosts
mkdir -p /var/www/void

Para la gestión de los logs podemos usar cronolog para que se roten automáticamente:

cd /usr/local/src
wget http://cronolog.org/download/cronolog-1.6.2.tar.gz
tar xzf cronolog-1.6.2.tar.gz
svn export http://nagios-systemadmin.googlecode.com/svn/trunk/patchs/cronosyslog.patch /usr/local/src/cronosyslog.patch
cd cronolog-1.6.2
patch -p1 < ../cronosyslog.patch
./configure && make && make install

A continuación instalamos PHP 5.3, actualmente PHP 5.2 ya se encuentra sin soporte:

yum install libxml2-devel -y
yum install openssl-devel -y
yum install libxslt-devel -y
yum install curl-devel -y
yum install libjpeg-devel -y
yum install libmcrypt-devel -y
yum install libjpeg-devel -y
yum install libpng-devel -y
yum install libtool-ltdl-devel -y
yum install libc-client-devel -y
cd /usr/local/src
wget http://fr.php.net/get/php-5.3.8.tar.gz/from/this/mirror
tar xzf php-5.3.8.tar.gz
cd php-5.3.8
./configure --with-apxs2=/usr/local/apache22/bin/apxs --with-mysql=/usr/local/mysql/ \
            --with-config-file-path=/usr/local/apache22/conf/ --with-zlib --with-gd \
            --with-jpeg-dir=/usr/ --with-gettext --with-mcrypt --with-iconv \
            --enable-mbstring=all --enable-mbregex --with-png-dir=/usr \
            --with-libdir=lib64
make && make install
cp php.ini-production /usr/local/apache22/conf/php.ini
mkdir /var/www/php/sessions -p
mkdir /var/www/php/tmp -p
chown -R apache. /var/www/php
sed -i 's%^;session.save_path = \"/tmp\"%session.save_path = \"/var/www/php/sessions\"%' /usr/local/apache22/conf/php.ini
sed -i 's%^;upload_tmp_dir =%upload_tmp_dir = /var/www/php/tmp%' /usr/local/apache22/conf/php.ini
sed -i 's#libphp5.so$#libphp5.so\n<FilesMatch \\.php\$>\nSetHandler application/x-httpd-php\n</FilesMatch>\n#' /usr/local/apache22/conf/httpd.conf
sed 's#expose_php = On#expose_php = Off#g' -i /usr/local/apache22/conf/php.ini
sed 's/;\(date.timezone =\)/\1"Europe\/Andorra"/g' -i /usr/local/apache22/conf/php.ini

Finalmente instalamos XCache de una forma muy similar a la que se hacía con eAccelerator:

cd /usr/local/src/
wget http://xcache.lighttpd.net/pub/Releases/1.3.2/xcache-1.3.2.tar.gz
tar xzf xcache-1.3.2.tar.gz
phpize
./configure --enable-xcache
make && make install

Para terminar la instalación de XCache definimos algunas variables

export XCACHETMP=$(mktemp /tmp/xcache.XXXXXXXXXXXXXXXXXXX)
pwgen 20 > $XCACHETMP
/usr/local/apache22/conf/
cat <<EOF >> /usr/local/apache22/conf/php.ini
[xcache-common]
;; install as zend extension (recommended), normally "$extension_dir/xcache.so"
zend_extension = /usr/local/lib/php/extensions/no-debug-non-zts-20090626/xcache.so

[xcache.admin]
xcache.admin.enable_auth = On
xcache.admin.user = "xcacheadmin"
; xcache.admin.pass = md5($your_password)
xcache.admin.pass = "$(echo -n "$(cat $XCACHETMP)" | md5sum | awk '{ print $1 }')" ;password: $(echo -n "$(cat $XCACHETMP)")

[xcache]
; ini only settings, all the values here is default unless explained

; select low level shm/allocator scheme implemenation
xcache.shm_scheme =        "mmap"
; to disable: xcache.size=0
; to enable : xcache.size=64M etc (any size > 0) and your system mmap allows
xcache.size  =               128M
; set to cpu count (cat /proc/cpuinfo |grep -c processor)
xcache.count =                 $(cat /proc/cpuinfo |grep -c processor)
; just a hash hints, you can always store count(items) > slots
xcache.slots =                16K
; ttl of the cache item, 0=forever
xcache.ttl   =                 0
; interval of gc scanning expired items, 0=no scan, other values is in seconds
xcache.gc_interval =           0

; same as aboves but for variable cache
xcache.var_size  =            4M
xcache.var_count =             $(cat /proc/cpuinfo |grep -c processor)
xcache.var_slots =            8K
; default ttl
xcache.var_ttl   =             0
xcache.var_maxttl   =          0
xcache.var_gc_interval =     300

xcache.test =                Off
; N/A for /dev/zero
xcache.readonly_protection = Off
; for *nix, xcache.mmap_path is a file path, not directory.
; Use something like "/tmp/xcache" if you want to turn on ReadonlyProtection
; 2 group of php won't share the same /tmp/xcache
; for win32, xcache.mmap_path=anonymous map name, not file path
xcache.mmap_path =    "/dev/zero"

; leave it blank(disabled) or "/tmp/phpcore/"
; make sure it's writable by php (without checking open_basedir)
xcache.coredump_directory =   ""

; per request settings
xcache.cacher =               On
xcache.stat   =               On
xcache.optimizer =           Off

[xcache.coverager]
; per request settings
; enable coverage data collecting for xcache.coveragedump_directory and xcache_coverager_start/stop/get/clean() functions (will hurt executing performance)
xcache.coverager =          Off

; ini only settings
; make sure it's readable (care open_basedir) by coverage viewer script
; requires xcache.coverager=On
xcache.coveragedump_directory = ""
EOF
rm $XCACHETMP
unset XCACHETMP

A continuación podemos arrancar el apache con upstart:

cat <<EOF > /etc/init/apache22.conf
author      "systemadmin.es"
start on runlevel 3

respawn

exec /usr/local/apache22/bin/httpd -DNO_DETACH -f /usr/local/apache22/conf/httpd.conf
EOF

Y lo arrancamos con initctl:

initctl start apache22

Podemos comprobar que se ha instalado el XCache con php -v:

# php -v
PHP 5.3.9 (cli) (built: Jan 22 2012 12:30:35)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies
    with XCache v1.3.2, Copyright (c) 2005-2011, by mOo

Relacionados

• w00tw00t.at.ISC.SANS.DFind:)
• VirtualHost por defecto de Apache
• Uso de memcached como cache de contendio de Apache para soportar el efecto Barrapunto
• Uso de htcacheclean
• Solución del DoS de Apache mediante el header Range