Re: Also probieren wir das mal (SPOILER) - Die Herausforderung: Hack Bill
hack>>> cottonmouth ALL=(ALL) /usr/bforum.in/bsnl-broadband/34045-exorbitant-bills/”>in/*
>
> damit dürften Dinge wie su und anderes Zeug in /sbin unmöglich
> werden.
Aber nicht
# sudo /usr/bin/vi /etc/sudoers
(bzw. “:r /etc/sudoers” in vi)
was das Ganze etwas ad absurdum fuehrt.
> Widerherstellen kann man die datei durch unmounten und manuelles
> Widerherstellen mit einem filesystem-recovery-tool anhand der Inode
# debugfs
: open_filesys /dev/hda1
: dump_inode <1234> tcpd.out
: quit
> > 3. How did O-ren get Bill’s passwords for ssh and gpg? What can Bill do to safeguard his gpg-protected information from such attacks?
>
> Sie hat grob gesagt die Systembibliothek mit dem read-befehl
> überladen mit einer Version, die die Ein-Ausgabe Mitschnüffelt.
Nicht ganz. Sie hat via netcat das Skript apptrace hochgeladen und
dann gestartet. apptrace schaut ob ein Prozess mit dem angegebenen
Namen laeuft und wenn ja haengt es sich mt strace dran. Das gibt alle
Systemaufrufe aus.
Ganz grob:
–
while [ true ]; do
target=`ps aux | grep $1`
if [$target]
target_pid=`echo target | awk ‘{print $2}’`
strace -p $target_pid
fi
done
–
Ich bin kein geuebter Shell-Coder, da stecken also garantiert noch
Fehler drin.
Vermeiden? Das bedeutet eigentlich Smartcards.
Wenn man es hart sieht: Um das zu vermeiden, haette er statt GPG eine
(X.509-basierte) Verschluesselungsloesung mit
Smartcard-Unterstuetzung benutzen sollen - am besten einen
Class-2-Leser, mit separater Eingabeeinheit.
Denn: Welche Smartcard-Reader unterstuetzt GPG? Sowas will ich
eigentlich schon seit vielen Jahren — habs aber noch nicht gefunden.
bye, ju