LAN-blog

LAN-blog

Hack din TG788vn !

HakkeriPosted by Harleyman Tue, July 22, 2014 09:54:18
Jeg har her i min sommerferie rodet lidt med min nye Technicolor TG788vn v2 DSL router fra Telenor.
Spørgsmålet var primært :
Hvor sikker er den? (kan det gøres bedre?)
Kommer senere.... tænker Nessus/Nitro og Kali-linux smiley

Kan man ændre de skjulte funktionerne ? (hvad med VOIP?)

Det viser sig at man kan ændre config filen (hente -> ændre -> oploade)
Man finder config filen : Home > MediaAccess Gateway > Configuration > Backup & Restore
Start med : Backup current configuration

Du modtager en : user.ini - Man kan søge efter disable og enable og dermed styre hvad din router kan smiley Når du nu er færdig med at ændre dit setup : Restore saved configuration
Man man også ændre alle service porte og dermed lukke/ændre services...

Jeg fandt sjove ting som:

server config url=https://acs.telenor.dk:8443/tacs/TACSService

server config username=tacsuser1

server config password=_DEV3_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Det er desværre ikke lykkes at cracke passwordet smiley
En af de mere mystiske settings jeg faldt over i user.ini-filen var under "webfilter.ini"

standard category create id=0 name=Pornography type=category

Det er i skrivende stund uvist hvordan den bruges.... Opdateres når jeg ved mere !

Update :
*Et eksempel på user.ini filen(ikke telenor) : http://pastebin.com/raw.php?i=bKXA2QgK
*Ved at kigge i log-filen kan man se der er 2 brugere der ikke står andre steder i systemet. Brugerne : TR69 og support. som man kan se under "Home > MediaAccess Gateway > Event Logs"
"CONFIGURATION saved by TR69"
"LOGIN User support logged in on TELNET (212.242.47.140)"

  • Comments(16)//blog.deadmeat.dk/#post284

Før hakkeri job-samtalen

HakkeriPosted by Harleyman Fri, May 03, 2013 07:43:02

Var til jobsamtale inden for staten omkring et IT-sikkerhedsjob...

Da jeg IKKE har skrevet under på noget om jeg ikke må offentliggøre svarende til prøven er de her... Syntes ikke før-spørgsmålene var så "svære" smiley

Kilde : https://www.surveymonkey.com/s/VSXZ2DQ

Opgave 1:

1. Skriv dit navn
2. Kan du nævne noget malware? Uddyb gerne én
3. Hvordan virker passiv OS fingerprinting?
4. Hvis vi siger SYN, hvad siger du så?
5. Hvis vi siger SYN/ACK ud af det blå, hvad siger du så?
6. Hvad er forskellen på symmetrisk og asymmetrisk kryptering? Hvilke fordele og ulemper er der?
7. Kan du forklare, hvad der er nødvendigt for at kunne brute-force WPA-PSK?
8. Hvordan ville du vælge at gemme et password i en database?
9. Ville du anbefale MD5 som en hash algoritme? Uddyb dit svar.
10. Hvad ville være en bedre hash algoritme end MD5?
11. Kan du forklare hvad et buffer-overflow er?
12. Kan du forklare hvad en ”NOP sled” er?
13. Hvad er en ”race condition”?
14. Hvorfor ville en virksomhed vælge at bruge en proxy server til deres internettrafik? Beskriv fordele og ulemper.
15. Hvordan ville du lægge internettet ned? Alt er tilladt, lige fra at klippe kabler til DoS eller botnets.
16. Hvorfor er der ikke samme niveau af botnet infektioner på Linux og Mac OSX i forhold til Windows-baserede operativsystemer? Er Linux og Mac OSX mere sikre? Uddyb gerne din besvarelse.
17. Hvordan holder du dig opdateret om it-sikkerhed?
18. En kunde nægter at installere en opdatering, der lukker et kritisk sikkerhedshul, fordi der ikke findes en offentlig udnyttelse af hullet. Hvilke argumenter ville du bruge for at overbevise kunden om det modsatte?
19. Kan du sige hvad følgende er? %53%61%79%20%48%65%6c%6c%6f%20%74%6f%20%4d%79%20%4c%69%74%74%6c%65%20%46%72%69%65%6e%64
Svar: Say Hello to My Little Friend
20. Kan du sige hvad følgende er? 541c57960bb997942655d14e3b9607f9
541c57960bb997942655d14e3b9607f9 er: hej
21. Kan du sige hvad følgende er? ZGV0dGUgZXIga29ycmVrdA==
ZGV0dGUgZXIga29ycmVrdA== (BASE64) : dette er korrekt

Opgaver 2: Hvilke IP'er kan du finde i netflow filen? (ud fra BAD_IP og MYN_IP )

Min Løsning:

#!/bin/bash
rm Sort-list.txt
fgrep -f MYN_IP.txt NETFLOW.txt >> tmp.txt; fgrep -f BAD_IP.txt tmp.txt > unsort.txt;
rm tmp.txt
echo "=======FTP :" >> Sort-list.txt
grep ' 21 ' unsort.txt >> Sort-list.txt
echo "=======SSH :" >> Sort-list.txt
grep ' 22 ' unsort.txt >> Sort-list.txt
echo "=======HTTP :" >> Sort-list.txt
grep ' 80 ' unsort.txt >> Sort-list.txt
echo "=======LDAP :" >> Sort-list.txt
grep ' 389 ' unsort.txt >> Sort-list.txt
echo "=======HTTPS :" >> Sort-list.txt
grep ' 443 ' unsort.txt >> Sort-list.txt
rm unsort.txt
cat Sort-list.txt |more

Opgave 3:

I et firma som udvikler udstyr til medicinalindustrien, har man fået den mistanke at pc'en hos en
medarbejder, som hedder Hr. Bob, sender fortrolige oplysninger til en dropserver via e-mail.
Det har været muligt at lave en optage netværkstrafikken på Hr. Bobs pc.

Virksomheden vil gerne vide følgende:

1 - Hvad hedder den fil som blev vedhæftet i e-mailen ? Aftale.docx (word 2010 file)

2 - Hvornår blev det sendt ? Date: Sun, 19 Aug 2012 21:52:55 +0200

3 - Hvem blev e-mailen sendt til ? x@sofucals.com

4 - Hvilken ip adresse blev brugt som afsender IP adresser: 192.168.10.42

5 - Hvad er brugernavn på afsender (base64: Ym9iQGZ5bnNvdXMuY29t )? bob@fynsous.com

6 - Hvad er password på afsender (base64: MTIzNDU2Nzg5cCs=)? 123456789p+

7 - Hvad er filnavnet på den fil som har SHA1: dfb8499dfa41cdef77bd13aeda9e6ca0da178095
Aftale.txt

8 - Hvad står der i indholdet på det der blev sendt ?
Vi mødes på københavns hovedbanegård under uret. - 24 Dec 2012 kl 13.00
Jeg vil være iført Gul jakke med en blå pareply.
Medbring 150.000kr i 100 krone sedler.
Jeg vil medbringe de seneste tegninger på prototyperne som vi aftalte.

-------------------------------------------------------------
Svaret ligger på (fundet med google!)(offline nu!) : http://netcowboy.dk/txt/Svar-puzzle-1.txt

jf. http://www.diffnow.com/
er network_forensics.pcap
filen fra netcowboy : bevis.cap
samme file... så det er nok samme svar ;-)
------------------------------ Flere sjove online på : http://netcowboy.dk/

  • Comments(0)//blog.deadmeat.dk/#post257

The leaked AMI-Bios code

HakkeriPosted by Harleyman Sun, April 14, 2013 00:43:39

Efter jeg på threadpost havde læst om at souce koden til AMI-bios'en har ligget online på et ftp site i .tw tænker man... Det må jeg bare se...

info: https://threatpost.com/en_us/blogs/ami-firmware-source-code-private-key-leaked-040513

På et forum for virus udviklere fandt jeg et link til koden "leaked_biosCODE.rar" : MEGA

Here is the AMI-soucecode : leaked_biosCODE.rar - mirror -Enjoy!

  • Comments(0)//blog.deadmeat.dk/#post255

SQL-haxor Prosa og QXL?

HakkeriPosted by Harleyman Sat, April 13, 2013 21:24:28

Ved at bruge siden : http://punkspider.hyperiongray.com/ fandt jeg et par "sjove" .dk domaines...bemærk : SQL-hullerne er IKKE testede...

Et kig på Prosa.dk og der var et par sikkerhedshuller...

Scanned: Tue Apr 02 14:41:01 GMT 2013 - BSQLI:2 | SQLI:1 | XSS:0| Overall Risk:4

Et kig på QXL.dk og der var et par sikkerhedshuller...

Scanned: Tue Feb 19 23:17:31 GMT 2013 - BSQLI:1 | SQLI:0 | XSS:2| Overall Risk:3

  • Comments(1)//blog.deadmeat.dk/#post254

Min citibank konto?

HakkeriPosted by Harleyman Sat, December 15, 2012 12:16:47

Det ser ud til jeg har overtræk på min citibank konto...Men jeg har jo slet ikke en citibank konto! Ser man på kilde koden kan man se at ingen af de links der er i mailen peger på citibank.

Jeg giver dette forsøg 2 uf af 10 med solbriller... Phishing-meter : smileysmiley

De skal have point fordi designet er det rigtige citibank... med logo og det hele..

Dog er det lidt tyndt mailen henter logo'er fra citibank selv og bfi0.com

Reply er godt skjult og peger rigtig på citybank@australux.com.au (med en "name" i html koden). Det trækker ned at URL-Links peger på en tandlæge i tyskland (i html koden) og links ikke virker efter 24 timer... Come on!

Fik denne mail fra citibank:

Dear CitiVisitor,

Your message to our Internet Security Specialist team has been received
and will be thoroughly investigated. Thank you for being alert to
possible Internet fraud. We work with law enforcement to shut down
fraudulent operators who threaten our customers. You can help protect
yourself by reviewing our email safety information at http://citi.com/domain/spoof/learn.htm.

This email box is solely for the purpose of reporting suspicious email
messages claiming to be from Citi. You will not receive a personal
response. If you have responded to an email you suspect is fraudulent,
or if you have specific questions about any online security issues,
please contact one of our Internet Security Specialists at
1-888-285-9696.

  • Comments(0)//blog.deadmeat.dk/#post248

Tyskland kalder efter jul..

HakkeriPosted by Harleyman Fri, December 14, 2012 10:08:45

Så blev det endelig december og det er inde-computer-vejr.

I år er det 10 år siden TheParty lukkede... 10 år med så mange minder om noget der var så fedt! Desværre vil de fleste TheParty-org. helst bare holde fast i minderne og nekrologen(theparty.dk)...hvilke igen betyder at Danmark ikke har et Nørd-møde sted mellem jul og nytår smiley Måske i 2013/2014 eller aldrig?(video fra TheParty kan findes på: http://www.youtube.com/harleymandk )

Men Jul og sne betyder også forskellige spændende partys i Tyskland.

Ligenu står valget mellem hakkeri vs. demoscene vs. sofa'en.(remote 29c3+vpn?)

29c3 i Hamburg (eller et remote partys)

Med DSB(ca. 800kr t/r):

http://www.dsb.dk/find-og-kob/rejser-udlandet/rejser-til-udlandet/kob-togrejser-i-europa/kob-togrejse-til-hamborg/

Eller TUM : http://2012.tum-party.net/

the Ultimate Meeting 2012
Hegelsberghalle
Sterngasse 75
64347 Griesheim

Eller Maximum Overdose X : http://weltordnung.com/mo/

Dorfkrug
Anschuetzstrasse 11
23562 Luebeck

Lige en meddelelse til Demoscene:

Today(d.14 dec), Bùi Tường Phong, who heavily influenced modern computer graphics by developing several algorhithms, the most well known beeing Phong Shading, would have become 70 years old. He envisioned methods and tricks to make digital generated images look more realistic then they actually were. He died from Leukemia in 1975, shortly after becoming professor at Stanford University. So let's remember a great man, who -- in my eyes -- was a bright example for what one might nowadays call the "demoscene spirit".

  • Comments(0)//blog.deadmeat.dk/#post247

Halv Dårligt phishing forsøg..

HakkeriPosted by Harleyman Tue, September 18, 2012 10:42:50
Flere på DTU modtager for tiden mails med nogle halv dårlige forsøg på Phishing.
Kigger man på mailen kan man se linket er en google doc konto.
Alle med bare 4 hjerneceller ved man nok ikke burde skrive sin adgangskode ind i
et ark på en tilfældig konto på google.

Det ser ud til de fleste mails kommer fra @admin.net og konto'er fra dem der falder i.



Update:
Har modtaget en version hvor der bruges et andet link,som føre til en sikkerhedsfejl i IE.

Mere info:
http://www.version2.dk/artikel/pas-paa-hackere-misbruger-gabende-sikkerhedshul-i-internet-explorer-47781


  • Comments(0)//blog.deadmeat.dk/#post235

Uindbudte gæster hos GoDaddy?

HakkeriPosted by Harleyman Tue, September 11, 2012 14:38:29

GoDaddy skulle være online igen.... "Now it looks like the sites are coming back up, but GoDaddy has yet to confirm whether the outage was due to a distributed denial of service attack " http://techcrunch.com/2012/09/10/godaddy-looks-like-its-back-up-company-yet-to-confirm-why-it-went-down/

Fik denne mail :

Today, GoDaddy (our domain registrar) suffered from a service outage which resulted in millions of sites going down. Unfortunately, www.coursera.org was one of those.

GoDaddy's servers are still recovering, but we've since switched to using Amazon's domain name services instead. Our site was down for a few hours in the transition period but everything should be back to normal now, though you might encounter a few residual issues as our domain name changes propagate through the internet.

You can read more about the GoDaddy...We apologize for the inconvenience. Thank you for bearing with us as we were working to restore access!

Techcrunch:

http://techcrunch.com/2012/09/10/godaddy-outage-takes-down-millions-of-sites/

"A member of Anonymous known as AnonymousOwn3r is claiming responsibility, and makes it clear this is not an Anonymous collective action. I’ve been adding more information below as details emerge. A tipster tells us that the technical reason for the failure is being caused by the inaccessibility of GoDaddy’s DNS servers — specifically CNS1.SECURESERVER.NET, CNS2.SECURESERVER.NET, and CNS3.SECURESERVER.NET are failing to resolve."

Fra V2:

Stort nedbrud rammer kunder hos amerikanske Godaddy.com, der hoster omkring fem millioner hjemmesider.

Kilde : http://www.version2.dk/artikel/nedbrud-hos-hostingfirma-rammer-5-millioner-hjemmesider-47640

  • Comments(0)//blog.deadmeat.dk/#post234

OHM2013 any1?

HakkeriPosted by Harleyman Mon, September 10, 2012 11:21:03

Jeg har sendt et par invite til OHM2013-gruppen på facebook til dem jeg har som venner og kunne tænkes at de gider nørde i telt i holland..Gruppen er mest for at finde ud af hvem skal kører med os og hvad skal vi have med...

Regner lidt med samme setup som CCC2011 turen... Stor bil(2 biler?) + Stor(e) telt(e)...

p.t. ved jeg kun hvad der står her : https://ohm2013.org/site/

July 31st – August 4th 201 - Geestmerambacht - The Netherlands

Deres Twitter profil : http://twitter.com/ohm2013

kort over kørerturen (Googlemaps) - den siger 785 km...

Blog / Billeder fra vores Tysklandstur i 2011 : http://blog.deadmeat.dk/#category11

Skal vi have en plads på deres wiki?? https://ohm2013.org/wiki/Category:Village

  • Comments(1)//blog.deadmeat.dk/#post233
« PreviousNext »