UPDATE servers SET

Natknęłam sie ostatnio przy pewnych poszukiwaiach na rzecz miłą, nie nową, przypominającą jednak o pewnych ogólnych zasadach zachowania w tajemnicy tego co nasze.

clip_image001

Rysunek1. Pozostałości kodu.

Nazwa, nazwa szablonu i hasło z oczywistych powodów zostały zaciemnione.

Chwilę potem natchnęło mnie, aby zobaczyć co na podobne tematy mówią nowego google (intitle:index.of inurl:backup i takie tam) – trochę się pozmieniało, ale… Mało odkrywczym wnioskiem zakończę: ciągle można parę ciekawych rzeczy znaleźć i ciągle będzie można, oby “nie-trwardzieli” było jak najwięcej.

Posted in Uncategorized | Leave a comment

Artykuły w Xploit

Zapraszam do zapoznania się z napisanym przeze mnie artykułem w magazynie Xploit:

  • Po nitce do kłębka, czyli podstawy fingerprintingu”w numerze 2/2008

Wszelkie komentarze mile widziane!

Posted in Uncategorized | Leave a comment

Artykuły w Hakin9

Zapraszam do zapoznania się z napisanymi przeze mnie artykułami w magazynie Hakin9:

Wszelkie komentarze mile widziane!

Posted in Uncategorized | Leave a comment

Symlink, czyli Mklink w Windows Server 2008

System Windows Server 2008 Core budzi wiele kontrowersji, ale i zainteresowania wśród administratorów różnych typów systemów operacyjnych. Z racji tego, że z serwerem Core mam przyjemność pracować już trochę czasu, zastanawiałam się jak ułatwić sobie pracę i jakie mechanizmy mi w tym pomogą. Narzędziem, bez którego nie wyobrażam sobie administracji serwerem Core jest mklink, umożliwiające tworzenie dowiązań symbolicznych (symlink) do obiektów w systemie plików NTFS.

Narzędzie to jest znane użytkownikom Windows Vista i Windows Server 2008, tak naprawdę jednak jego zalety odkrywa się przy pracy z konsolą. Niestety, administratorzy Unix nadal ze swoim zestawem narzędzi wiodą prym, nie zmienia to jednak faktu, że jest to duży krok naprzód rozwiązujący niektóre problemy w pracy z konsolą, przynajmniej dla mnie.

Narzędzie mklink jest również poleceniem systemowym, wystarczy wpisać jego nazwę w konsoli i otrzymuje się listę dostępnych parametrów:

clip_image001
Rysunek 1. Parametry polecenia mklink.

Znaczenie poszczególnych opcji:

– link – alias dla tworzonego dowiązania
– target – miejsce docelowe, do którego ma zostać utworzone dowiązanie
– mklink link target – polecenie bez parametrów tworzy dowiązanie miękkie (soft link) do pliku
– /D – tworzy dowiązanie symboliczne lub miękkie. Działa podobnie do skrótów do folderów.
– /H – tworzy dowiązanie twarde (hard link) wskazujące bezpośrednio na plik. Opcja ta nie może być bezpośrednio wykorzystana do folderów, należy wykorzystać do tego opcję /J.
– /J – tworzy punkt połączenia do folderu (Directory Junction). Spełnia funkcję dowiązania twardego do folderu, funkcją punktów połączenia jest proste przekierowanie do wybranego miejsca.

Różnica pomiędzy dowiązaniami twardymi (hard links) a miękkimi (soft links)

Dowiązanie twarde – wskazuje bezpośrednio na plik, względem systemu operacyjnego samo jest plikiem. Chcąc oszukać folder, w którym znajduje się oryginalny plik, jest to idealna do tego celu opcja. Nadaje etykietę dla dowiązania w postaci pliku widocznego przez system operacyjny.

Dowiązanie miękkie – jest skrótem do pliku lub folderu, dwukrotne kliknięcie w dowiązanie miękkie powoduje automatyczne przekierowanie do folderu docelowego. Nadaje etykietę dla dowiązania w postaci skrótu wskazującego na folder lub plik.

Przykłady użycia mklink w systemie Windows Server 2008 Core:

1. mklink /J DoTestowego C:\Users\Paula\Testowy – utworzenie punktu połączenia o nazwie DoTestowego wskazującego na wcześniej utworzony folder C:\Users\Paula\Testowy

clip_image002
Rysunek 2. Utworzenie punktu połączenia.

W punkcie połączenia DoTestowego wcześniej utworzony plik „plik.txt” w folderze Tesotwy, również jest widoczny.

2. mklink Notatnik.exe C:\Windows\System32\notepad.exe – utworzenie symbolicznego dowiązania miękkiego do pliku notepad.exe. Od tej pory wpisując Notatnik.exe w systemie będzie otwierał się Notatnik.

clip_image003
Rysunek 3. Utworzenie symbolicznego dowiązania miękkiego.

3. mklink /H DoTestowegoHard C:\Users\Paula\Testowy – próba utworzenia dowiązania twardego do folderu. Aby polecenie zadziałało należy dodatkowo skorzystać z opcji /J. W efekcie powstaje punkt połączenia.

clip_image004
Rysunek 4. Utworzenie punktu połączenia.

4. mklink /D DoTestowegoSoft C:\Users\Paula\Testowy – utworzenie symbolicznego dowiązania do folderu Testowy.

clip_image005
Rysunek 5. Utworzenie symbolicznego dowiązania miękkiego.

5. mklink /D /J DoTestowegoSoftJuction C:\Paula\Testowy – utworzenie punktu połączenia do folderu Testowy.

clip_image006
Rysunek 6. Utworzenie punktu połączenia.

6. mklink /H hardTest.exe C:\test.exe – utworzenie dowiązania twardego do wczesniej utworzonego pliku test.exe. Plik hardTest.exe jest rozpoznawalny przez system operacyjny jako plik.

clip_image007
Rysunek 7. Utworzenie symbolicznego dowiązania twardego.

7. Na poniższym zrzucie znajdują się wyniki działania powyższych poleceń:

clip_image008
Rysunek 8. Wynik wykorzystania narzędzia mklink.

Usuwanie dowiązań symbolicznych wykonuje się przy wykorzystaniu poleceń:
– del – dla dowiązań dla plików
– rd – dla dowiązań dla folderów

Usunięcie pliku nie powoduje usunięcia dowiązań twardych, miękkich oraz punktów połączenia.

Podsumowanie

W systemach typu Unix i Linux symlink jest wykorzystywany już od dłuższego czasu. W systemach Windows Server 2008 i Windows Vista, oprócz poprzednich narzędzi tj. linkd, czy junction, narzędzie mklink umożliwia tworzenie dowiązań symbolicznych wykorzystując przy tym możliwości systemu plików NTFS. Uprawnienia do tworzenia dowiązań mają tylko członkowie grupy administratorów, chyba, ze polityka wskazuje inaczej (secpol.msc). Punkty połączenia znane z poprzednich systemów mogły być tworzone jedynie dla folderów i wolumenów, symlinki dodatkowo można tworzyć dla plików, czy UNC. Korzyści z używania mklink są oczywiste, narzędzie to jest pomocne, w sytuacji, gdy mamy rozproszoną strukturę katalogową i chcemy mieć możliwość zarządzania nią z jednego miejsca, lub w sytuacji, gdy ścieżka do często wykorzystywanego pliku/folderu jest zbyt skomplikowana, aby wpisywać ją za każdym razem, kiedy istnieje potrzeba dostania się w wybrane miejsce. Punkty dowiązania są wykorzystywane w systemach Windows Server 2008 i Windows Vista jedynie w celu zapewnienia kompatybilności ze starszymi wersjami systemów operacyjnych dla profili użytkownika (np. Documents and Settings), aby wskazywały na nowe foldery systemowe w katalogu Users.

Posted in Uncategorized | Leave a comment

SSTP – ulepszony dostęp zdalny

Protokół Secure Socket Tunneling Protocol (SSTP), dostępny w systemie Windows Server 2008, umożliwia tunelowanie ruchu VPN w miejscach, w których zapory ogniowe blokują ruch typu PPTP oraz L2TP/IPsec. SSTP umożliwia enkapsulację ruchu PPP w kanale SSL poprzez protokół HTTPS. Protokół PPP wykorzystywany jest to takich metod uwierzytelniania jak EAP-TLS, w SSTP ruch z protokołu PPP będzie odbywał się na porcie 443/TCP (HTTPS). Dzięki temu możliwe stało się ominięcie wielu problemów związanych z połączeniami VPN.

Przepływ danych w połączeniu VPN opartym o SSTP wygląda następująco:

  1. Klient SSTP nawiazuje połączenie TCP z serwerem SSTP na porcie 443/TCP.
  2. Klient SSTP wysyła komunikat SSL Client-Hello.
  3. Serwer SSTP wysyła swój certyfikat do klienta SSTP.
  4. Klient SSTP sprawdza poprawność certyfikatu, określa metodę szyfrowania dla połączenia SSL, tworzy klucz sesji SSL i szyfruje go przy wykorzystaniu klucza publicznego serwera SSTP, a nastęnie wysyła zaszyfrowany klucz sesji do serwera SSTP.
  5. Serwer SSTP deszyfruje klucz sesji SSL przy wykorzystaniu swojego klucza prywatnego. Komunikacja pomiędzy serwerem SSTP i klientem SSL jest szyfrowana przy wykorzystaniu wcześniej uzgodnionej metody szyfrowania i klucza sesji SSL.
  6. Klient SSTP wysyła komunikat do serwera przy wykorzystaniu protokołu HTTPS.
  7. Klient SSTP negocjuje tunel SSTP z serwerem SSTP.
  8. Klient SSTP negocjuje połączenie PPP z serwerem SSTP. Negocjacja obejmuje uwierzytelnienie się użytkownika ustaloną metodą uwierzytelniania PPP oraz podstawową konfigurację sieciową dla ruchu IPv4 lub IPv6.
  9. Klient SSTP rozpoczyna transmisję poprzez łącze PPP.

Środowisko umożliwiające połączenia SSTP, w oparciu o Windows Server 2008, wymaga zainstalowanych następujących ról serwera:
– Network Policy and Access Services => Routing and Remote Access Services
– Active Directory Domain Services
– Active Directory Certificate Services
– Web Server (IIS)

Posted in Uncategorized | Leave a comment

PowerShell – ExecutionPolicy

Zachęcam do przeczytania mojego artykułu na Technecie o politykach uruchamiania skryptów w konsoli PowerShell.

Artykuł o PowerShell

Posted in Uncategorized | Leave a comment

Thread Modeling Tool

W ramach swoich ostatnich prac związanych z modelowaniem zagrożeń, chciałabym Wam zaproponować ciekawe narzędzie Microsoft: Threat Analysis and Modeling Tool.

Bardzo przydatne do podsumowania działań audytorskich oraz do tworzenia raportów, które przy dużej ilości zagrożeń/podatności pozwalają na obiektywne spojrzenie na całe środowisko IT.

Posted in Uncategorized | Leave a comment

raPORT

Co poniektórzy ciekawscy wiedzą, że Microsoft poza aplikacjami znanymi ogółowi, na swojej stronie internetowej udostępnia wiele ciekawych narzędzi. Narzędzia znane są głównie tym, którzy ich po prostu potrzebują. Począwszy od narzędzi Sysinternals Marka Russinovich’a, po całkiem zaawansowane narzędzia pomocne np. przy wykonywaniu audytów bezpieczeństwa. Jedym z ciekawszych narzędzi jest Port Reporter, który służy do tego, na co wskazuje nazwa.

Przy pomocy konsoli można skonfigurować Port Reporter, aby w zadanym przez nas czasie wykonywał raport, które porty na serwerze, czy stacji roboczej były wykorzystywane i jak bardzo intesywnie. Raporty zapisywane są w ścieżce:

%systemroot%\System32\LogFiles\PortReporter

Dodatkowo narzędzie to, po zainstalowaniu, dodaje do podręcznego menu plików wykonywalnych wpis: View Dependencies. Po kliknięciu otworzy się mała aplikacja Dependency Walker, która pokazuje powiązania danego pliku z innymi.

Polecam poszukiwaczom ukrytych ciekawostek.

Więcej informacji: TUTAJ

Posted in Uncategorized | Leave a comment

Uśmiechu Państwu na Nowy!

Prawie noworocznie, szukając dziwnych informacji na dziwnych stronach nagle wyskoczyło mi takie okienko:

clip_image001[4]

Problem w tym, że mam trochę inny Theme systemu i jakoś czyste intencje oknotwórcy do mnie nie przemówiły. Stawiam na Chiny lub środkowy rejon Afryki clip_image002

Korzystając z okazji, ja chcieć Wam życzyć wszystkiego co najlepsze w Nowy Rok!

Posted in Uncategorized | Leave a comment

Walcz albo giń!

Zastanawialiście się kiedyś co przesyłane jest w pakietach, które docelowo mają nam zaszkodzić? Pomijając zupełnie techniczne aspekty, w pakietach tych zawarte jest czasem przesłanie od atakującego. Niestety nie są to życzenia w stylu Merry Christmas:

clip_image001
Rysunek 1. Z najlepszymi życzeniami.

Posted in Uncategorized | Leave a comment