shadow

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von raV, 4. August 2006 .

Schlagworte:
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 4. August 2006
    Angenommen jemand kommt durch ein Exploit auf dem Linux System an die shadow file.... ist es möglich die pws im Klartext rauszulesen?
     

  2. Anzeige
  3. #2 4. August 2006
    Jup, z.B. mit John the Ripper;
     
  4. #3 4. August 2006
    ist das nicht ein bruter? sofern das pw eine bestimmte länge hat und kein gewöhnliches pw ist, dürfte das mit john the ripper nicht möglich sein oder?

    eine andere möglichkeit gibt es also nicht das pw rauszulesen?
     
  5. #4 4. August 2006
    John ist schon etwas mehr als "nur" ein Bruter,
    shadow Passwörter könnte man auch mit z.B. crack 5.0
    decrypten - das dauert immer und liefert (meistens) mehr als
    ein mögliches Passwort.

    Einfach so auf die schnelle mal ein Unix Passwort
    zu cracken geht nicht. (sofern es ausreichend stark ist)
     
  6. #5 4. August 2006
    Hmm,

    kommt drauf an wie die Shadow gecryptet ist. Die Shadow kann man "unshadown" und dann sieht man den Hash.

    Den zu knacken dauert bei einem starken Passwort (12 Zeichen, Gross und Kleinschreibung, Zahlen drin und Sonderzeichen, Eigenkreation) Ewigkeiten und man kann es im Prinzip als "unknackbar" einstufen.

    Jedoch benutzt Unix meines Wissens nach (korrigiert mich) MD5.

    Das wurde von einem chinesischen Professor gebrochen. (Sich den Kryptovortrag spart).

    Man kann nur (angeblich) zu einem Hash innerhalb von einer Stunde ein funktionierendes Passwort (Kollision) mit einem P4 1,6 Ghz finden.

    Nunja so schnell ist in der Realtität nicht, aber so innerhalb eines Tages sollte man, mit einem guten Rechner, ein Passwort haben.

    PS: Ich hab schon einige Erfahrungen mit Linux (Debian) Servern gemacht. Es ist WIRKLICH nicht einfach an die Shadow dranzukommen. Glaub mir mal, ich habs selber noch kein einziges mal geschafft... (natürlich gehörten die Server mir und es war nur ein Test *hüstel*)
     
  7. #6 4. August 2006
    Moved to H&S
     
  8. #7 4. August 2006
    Anscheinend wurde es doch geschafft... da heute früh alle logs in /var gelöscht wurden und das geht nur mit root rechten. Das root pw war ein 9 stelliges random Passwort. Den Server hab ich bereits vom Netz genommen, allerdings ist mir das schleicherhaft wie der "Hacker" innerhalb weniger Stunden (3-4) das root pw "knacken" konnte.
     
  9. #8 4. August 2006
    muss er doch garnicht... verwendest du einen apache mit php? wenn ja: zu 99% liegt da das problem.
    wiklich saubere phpscripts gibts verdammt wenig, da ist fast immer was zu machen (grad wenn register_globals an sind)

    darüber isses ein leichtes, sich zugang zum benutzer wwwrun zu verschaffen, dan noch eine kleine local privilege escalation duchgeführt und zack is er drin
     
  10. #9 4. August 2006
    nein

    schwachsinn => in der shadow ist der hash !!!

    nö, das kann man zwar bei distros wie Suse auswählen (neben blowfish) standartmäßig ist es aber DES.

    woran kann das liegen `? unfähigkeit ? klar geht das, man braucht root rechte, dann passwd&shadow speichern, cracken => thats it

    quatsch, s.o. und kommt auf das passwort an

    mfg moep
     
  11. #10 5. August 2006
    Also der apache lief ohne php.... das exploit welches benutzt wurde war in webmin (administrationssoftware für linux). Durch eine spezielle url hatte man auf alle dateien im system lese zugriff -> somit auch auf shadow. erstaunlich ist dass der "hacker" über einen bereits gehackten server auf den root zugegriffen hat, und es ist erschreckend wie viele root server mit der alten version von webadmin laufen (ohne ip-zugriffskontrolle und mit standardport)... ein wahres freudenfest für alle skript kiddies da draußen.

    Jedenfalls ist der server bereits neu installiert, bestimmte sicherheitsvorkehrungen wurden getroffen um sowas in zukunft zu vermeiden und alles ist wieder in ordnung :)
     
  12. #11 5. August 2006
    falsch...der apache account (nobody normal oder sonstwas) hat KEINE leserechte auf die shadow !!! es sei den man ist root oder es wurden die rechte so gesetzt (so doof kann keiner sein)

    würde sagen der hat ein local root exploit genutzt.. die methode mit accounts zu cracken mag bei win aufgrund der LM verschlüsselung funmktionieren, aber unter linux ne zeitaufwenidige und nicht immer durch erfolg geprägte sache

    mit dem webmin exploit kann man zwar beliebige dateien anschauen jedoch wird das mit der shadow nur bei 0,01 % der server anschauen...

    mfg moep
     
  13. #12 5. August 2006
    es war das webmin exploit.... zwar hat der "hacker" alle logs in var gelöscht, aber nicht die von webmin und dort konnte man rauslesen dass er über das webmin exploit auf die shadow zugegriffen hat.

    ps: webmin hat mit apache nichts zu tun und läuft auch ohne apache. Ich könnte hier eine ganze reihe von servern auflisten die dieses exploit haben, damit du siehst wie das im endeffekt dann aussieht. Aber ich glaube das ist nicht im sinne der moderatoren :)
     
  14. #13 5. August 2006
    ähm... ohne scheiss... kollega kam mal zu mir und meinte blabla server verhält sich komisch bla...
    ich fand raus: er hat "chmod -R 777 /etc/" gesetzt damit er sich nich immer als root einloggen musste......

    das is dann sowas wie das hier oft gelesene "ich hab keine ahnung von linux, aber mir grad nen rootserver bestellt, wie geht das?"

    ist echt grausam was es alles an serverbesitzern gibt
     
  15. #14 5. August 2006
    okay mit solcher dummheit kann man nicht rechnen
    da steht vlt was von schreibrechte auf ne webmin config aber sicher nicht auf /etc/ 777'er setzen

    mfg moep
     
  16. #15 5. August 2006
    das exploit war gerademal 3 std. bekannt und danach kam sofort der fix und wurde aktuallisiert (innerhalb der 3 std. wurde der server gehackt)... "chmod -R 777 /etc/" no comment dazu...

    eventuell solltest du mal auf die webmin seite gehen und dir das prog mal anschaun bevor du solche behauptungen aufstellst.
     
  17. #16 5. August 2006
    okay^^ den auszug will ich sehen wo steht das ich 777er auf /etc/ setzen soll^^ sodumm sind die nun auch wieder nicht
    !

    mfg moep
     
  18. #17 5. August 2006
    ne, da steht sowas nicht, aber etc auf 777 zu setzen (ist auf dem server auch nicht der fall gewesen, frage mich wie man auf sowas bescheuertes kommen sollte) hat nichts damit zu tun ob man durch das exploit an die shadow kommt.... ist eh egal, meine frage war eine andere, somit ist das thema für mich erledigt.
     

  19. Videos zum Thema
Die Seite wird geladen...
Similar Threads - shadow
  1. Antworten:
    1
    Aufrufe:
    563
  2. Antworten:
    4
    Aufrufe:
    848
  3. Antworten:
    5
    Aufrufe:
    1.430
  4. Nvidia Shadowplay

    firef0kz , 28. Oktober 2013 , im Forum: Gamer Support
    Antworten:
    6
    Aufrufe:
    1.178
  5. Antworten:
    10
    Aufrufe:
    1.123