Ubuntu: Server Schwachstellen aufzeigen

Firez · 2. Mai 2011

Hallo, in Bezug auf meinen Infromatik - Kurs hat mir der Kursleiter die
Aufgabe gegeben, Schwachstellen eines Systems (Server) aufzuzeigen.
Halt in der Art von Spielerein. Brauche jedoch Ideen.

Installiert ist:
- Mailserver
- FTP-Server
- Activdirectory
- PHP (Webserver)

Könnt ihr mir eventuell Beispiele geben, wie man das System angreifen könnte ?
Die Topoligie besteht aus einem Server, 4 Clients, Switch, Router ...

mfg. Firez

Anzeige

°EraZoR° · 2. Mai 2011

AW: Ubuntu Server

Installier Ubuntu Server mit Kernel Version 2.6.37 als Beispiel (oder ne andere Kernel-Version wo es nen Root Exploit für gibt)
Oder lad dir die Kernel-Source runter, compile sie und installier den Kernel..
Und denn installierst du auf deinem Webserver ein CMS, was eine Lücke hat durch die man im Document_Root schreiben kann...
Dann nimmste das Exploit hier (http://www.exploit-db.com/exploits/15704/) und weitest damit deine Rechte aus..

Dann haste ne Root-Shell, änderst demonstrativ das Passwort auf dem Rechner und hast aufgezeigt wie du in den Server kommst..
Und das nur, weil zB ein "Angestellter" seinen Rechner nicht gesperrt hat und dadurch ein unbefugter Zugang zum System hatte..
Und durch deine nicht aktuelle Software war dann ein Eindringen ins System möglich..

MfG

Firez · 2. Mai 2011

AW: Ubuntu Server

Zitat von °EraZoR°: ↑

Installier Ubuntu Server mit Kernel Version 2.6.37 als Beispiel (oder ne andere Kernel-Version wo es nen Root Exploit für gibt)
Oder lad dir die Kernel-Source runter, compile sie und installier den Kernel..
Und denn installierst du auf deinem Webserver ein CMS, was eine Lücke hat durch die man im Document_Root schreiben kann...
Dann nimmste das Exploit hier (http://www.exploit-db.com/exploits/15704/) und weitest damit deine Rechte aus..

Dann haste ne Root-Shell, änderst demonstrativ das Passwort auf dem Rechner und hast aufgezeigt wie du in den Server kommst..
Und das nur, weil zB ein "Angestellter" seinen Rechner nicht gesperrt hat und dadurch ein unbefugter Zugang zum System hatte..
Und durch deine nicht aktuelle Software war dann ein Eindringen ins System möglich..

MfG

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Vielen Dank, das ist schonmal viel Wert ... werd ich versuchen, kann ich mich bei
Fragen an dich wenden ?

mfg. Firez

Alex² · 2. Mai 2011

AW: Ubuntu Server

Such dir hier (http://www.exploit-db.com/) (oder in irgendeiner Security Mailing Liste) verwundbare Software. Diese packst du dann auf System (es sollte in der Zusammenstellung noch Sinn machen) und konfigurierst es so, dass du durch eine Kette von Angriffen zum Ziel kommst. Du wirst ein bisschen basteln und nachdenken müssen. Ein verwundbares System so zu konfigurieren, dass es nicht offensichtlich verwundbar wirkt es schwieriger als man denkt.

Es gibt auch schon Leute, welche das selbe machen mussten wie du und es dokumentiert haben. Leider finde ich gerade kein einziges dieser Dokumente wieder (obgleich ich viele gelesen habe).

Am besten du suchst einfach mal (am besten in Englisch).

dreamax · 3. Mai 2011

AW: Ubuntu Server

Allerdings sollte man dazu wissen wie man seine Pakete selber kompiliert, dann ist es aber auch ziemlich leicht. (Verwundbare Version Dowloaden -> Kompilieren -> Ausführen -> Unsicheres System).

Wobei das ziemlich unrealistisch ist, sogar die meisten noobs sollten es hinkriegen ein debian basiertes system uptodate zu halten. Warscheinlich ist ein schlecht konfiguriertes System, z.B. schlechte passwörter / minderwertige sicherheitseinstellungen)

coach · 14. Mai 2011

AW: Ubuntu Server

Damn_Vulnerable_Linux könnte interessant für dich sein...mfg coach

Kirill · 17. Mai 2011

AW: Ubuntu: Server Schwachstellen aufzeigen

Hallo Firez,
da du ja die Tests selber durchführen sollst und dazu ja einen freien Spielraum hast, dann versuche es mal mit OpenVAS.

OpenVAS: DefinitionLINK

Grüße
Kirill

Nützliche Suchen

Ubuntu: Server Schwachstellen aufzeigen

Videos zum Themenbereich