shadow

raV · 4. August 2006

Angenommen jemand kommt durch ein Exploit auf dem Linux System an die shadow file.... ist es möglich die pws im Klartext rauszulesen?

Anzeige

kharn · 4. August 2006

Jup, z.B. mit John the Ripper;

raV · 4. August 2006

ist das nicht ein bruter? sofern das pw eine bestimmte länge hat und kein gewöhnliches pw ist, dürfte das mit john the ripper nicht möglich sein oder?

eine andere möglichkeit gibt es also nicht das pw rauszulesen?

kharn · 4. August 2006

John ist schon etwas mehr als "nur" ein Bruter,
shadow Passwörter könnte man auch mit z.B. crack 5.0
decrypten - das dauert immer und liefert (meistens) mehr als
ein mögliches Passwort.

Einfach so auf die schnelle mal ein Unix Passwort
zu cracken geht nicht. (sofern es ausreichend stark ist)

helios · 4. August 2006

Hmm,

kommt drauf an wie die Shadow gecryptet ist. Die Shadow kann man "unshadown" und dann sieht man den Hash.

Den zu knacken dauert bei einem starken Passwort (12 Zeichen, Gross und Kleinschreibung, Zahlen drin und Sonderzeichen, Eigenkreation) Ewigkeiten und man kann es im Prinzip als "unknackbar" einstufen.

Jedoch benutzt Unix meines Wissens nach (korrigiert mich) MD5.

Das wurde von einem chinesischen Professor gebrochen. (Sich den Kryptovortrag spart).

Man kann nur (angeblich) zu einem Hash innerhalb von einer Stunde ein funktionierendes Passwort (Kollision) mit einem P4 1,6 Ghz finden.

Nunja so schnell ist in der Realtität nicht, aber so innerhalb eines Tages sollte man, mit einem guten Rechner, ein Passwort haben.

PS: Ich hab schon einige Erfahrungen mit Linux (Debian) Servern gemacht. Es ist WIRKLICH nicht einfach an die Shadow dranzukommen. Glaub mir mal, ich habs selber noch kein einziges mal geschafft... (natürlich gehörten die Server mir und es war nur ein Test *hüstel*)

as05 · 4. August 2006

Moved to H&S

raV · 4. August 2006

Anscheinend wurde es doch geschafft... da heute früh alle logs in /var gelöscht wurden und das geht nur mit root rechten. Das root pw war ein 9 stelliges random Passwort. Den Server hab ich bereits vom Netz genommen, allerdings ist mir das schleicherhaft wie der "Hacker" innerhalb weniger Stunden (3-4) das root pw "knacken" konnte.

beatsix · 4. August 2006

muss er doch garnicht... verwendest du einen apache mit php? wenn ja: zu 99% liegt da das problem.
wiklich saubere phpscripts gibts verdammt wenig, da ist fast immer was zu machen (grad wenn register_globals an sind)

darüber isses ein leichtes, sich zugang zum benutzer wwwrun zu verschaffen, dan noch eine kleine local privilege escalation duchgeführt und zack is er drin

moep_rush · 4. August 2006

nein

schwachsinn => in der shadow ist der hash !!!

nö, das kann man zwar bei distros wie Suse auswählen (neben blowfish) standartmäßig ist es aber DES.

woran kann das liegen `? unfähigkeit ? klar geht das, man braucht root rechte, dann passwd&shadow speichern, cracken => thats it

quatsch, s.o. und kommt auf das passwort an

mfg moep

raV · 5. August 2006

Also der apache lief ohne php.... das exploit welches benutzt wurde war in webmin (administrationssoftware für linux). Durch eine spezielle url hatte man auf alle dateien im system lese zugriff -> somit auch auf shadow. erstaunlich ist dass der "hacker" über einen bereits gehackten server auf den root zugegriffen hat, und es ist erschreckend wie viele root server mit der alten version von webadmin laufen (ohne ip-zugriffskontrolle und mit standardport)... ein wahres freudenfest für alle skript kiddies da draußen.

Jedenfalls ist der server bereits neu installiert, bestimmte sicherheitsvorkehrungen wurden getroffen um sowas in zukunft zu vermeiden und alles ist wieder in ordnung

moep_rush · 5. August 2006

falsch...der apache account (nobody normal oder sonstwas) hat KEINE leserechte auf die shadow !!! es sei den man ist root oder es wurden die rechte so gesetzt (so doof kann keiner sein)

würde sagen der hat ein local root exploit genutzt.. die methode mit accounts zu cracken mag bei win aufgrund der LM verschlüsselung funmktionieren, aber unter linux ne zeitaufwenidige und nicht immer durch erfolg geprägte sache

mit dem webmin exploit kann man zwar beliebige dateien anschauen jedoch wird das mit der shadow nur bei 0,01 % der server anschauen...

mfg moep

raV · 5. August 2006

es war das webmin exploit.... zwar hat der "hacker" alle logs in var gelöscht, aber nicht die von webmin und dort konnte man rauslesen dass er über das webmin exploit auf die shadow zugegriffen hat.

ps: webmin hat mit apache nichts zu tun und läuft auch ohne apache. Ich könnte hier eine ganze reihe von servern auflisten die dieses exploit haben, damit du siehst wie das im endeffekt dann aussieht. Aber ich glaube das ist nicht im sinne der moderatoren

beatsix · 5. August 2006

ähm... ohne scheiss... kollega kam mal zu mir und meinte blabla server verhält sich komisch bla...
ich fand raus: er hat "chmod -R 777 /etc/" gesetzt damit er sich nich immer als root einloggen musste......

das is dann sowas wie das hier oft gelesene "ich hab keine ahnung von linux, aber mir grad nen rootserver bestellt, wie geht das?"

ist echt grausam was es alles an serverbesitzern gibt

moep_rush · 5. August 2006

okay mit solcher dummheit kann man nicht rechnen
da steht vlt was von schreibrechte auf ne webmin config aber sicher nicht auf /etc/ 777'er setzen

mfg moep

raV · 5. August 2006

das exploit war gerademal 3 std. bekannt und danach kam sofort der fix und wurde aktuallisiert (innerhalb der 3 std. wurde der server gehackt)... "chmod -R 777 /etc/" no comment dazu...

eventuell solltest du mal auf die webmin seite gehen und dir das prog mal anschaun bevor du solche behauptungen aufstellst.

moep_rush · 5. August 2006

Original von raV

das is dann sowas wie das hier oft gelesene "ich hab keine ahnung von linux, aber mir grad nen rootserver bestellt, wie geht das?"

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

das exploit war gerademal 3 std. bekannt und danach kam sofort der fix und wurde aktuallisiert (innerhalb der 3 std. wurde der server gehackt)... "chmod -R 777 /etc/" no comment dazu...

okay mit solcher dummheit kann man nicht rechnen
da steht vlt was von schreibrechte auf ne webmin config aber sicher nicht auf /etc/ 777'er setzen

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

eventuell solltest du mal auf die webmin seite gehen und dir das prog mal anschaun bevor du solche behauptungen aufstellst.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

okay^^ den auszug will ich sehen wo steht das ich 777er auf /etc/ setzen soll^^ sodumm sind die nun auch wieder nicht
!

mfg moep

raV · 5. August 2006

ne, da steht sowas nicht, aber etc auf 777 zu setzen (ist auf dem server auch nicht der fall gewesen, frage mich wie man auf sowas bescheuertes kommen sollte) hat nichts damit zu tun ob man durch das exploit an die shadow kommt.... ist eh egal, meine frage war eine andere, somit ist das thema für mich erledigt.

Nützliche Suchen

shadow

Videos zum Themenbereich