Startseite > Allgemein > Oldschool-Crime.com Statement zum Hack

Oldschool-Crime.com Statement zum Hack


Vor kurzem postete SklavenTrieb ein kleines Statement zu den Vorfaellen:

UPDATE: Ich muss mich bei Epiohost entschuldigen. Meine Anschuldigungen waren verfrüht und in jetziger Hinsicht falsch. Ich sprach mit Steffan Mayer, er gebat mir Einblick. Nach einer langen Diskussion, meldete sich aufeinmal der Hacker per ICQ: Der Hacker hate zugang auf L1ghts Adminaccount und konnte so mit Hilfe des AdminCP über Ajax file get contents eine Shell hochgeladen und so schließlich defacen. Daran dachte ich natürlich nicht, so war mir das Angriffsmuster auch nicht schlüssig und da in den Logs nix zu finden war, blieb mir nix anderes übrig als den Hoster zu verdächtigen. Da ich auch 1 Tag vorher höhrte Luppa sei im Spiel. LUPPA IST NICHT BEI EPIOHOST IM TEAM!
Wie der Hacker L1ghts AdminPW missbrauchte ist nun auch geklärt: Er benutzt eine Lücke in vBulletin, die das Plain PW ausgibt. Veröffentlichen wollte er Sie nicht, da sonst zu viele Szeneboards geowned werden. Das Motiv war eindeutig, ihm gefiel die Szene PW+Liste nicht, die sich bei uns im 3rd befand und später leaked wurde.
Hier noch ein kleiner Hinweis: Stoppt den DDoS gegen Epiohost und hört auf Emails zu schreiben mit Inhalt: „Luppa, du kleiner Bastard!“

Ich entschuldige mich hier Public bei Epiohost und den Usern denen ich Schaden zugefügt habe. Außerdem soll jedem Bewusst werden wie sich der anonymbleibende Hacker zugriff verschaffte.

Dankeschön!

(Quelle)

Sein Motiv kann ich nicht wirklich verstehen, da solch eine Liste auf mehreren Boards existieren.

Der Satz „Wie der Hacker L1ghts AdminPW missbrauchte ist nun auch geklärt: Er benutzt eine Lücke in vBulletin, die das Plain PW ausgibt.“ macht mich sehr stutzig.

Nun, nach etwas Recherche habe ich erfahren, dass der „Hacker“ S3RBE1 ist, ehemaliger Moderator auf HBA-Crew, nun Teamie auf Rebirth.

Fuer mich persoenlich ist solch eine Luecke unvorstellbar, auch wenn vBulletin sich in letzter Zeit so einige Fails erlaubt hat. Das ist rein technisch gesehen m.E. nicht moeglich.

Also die Login-Form sieht wie folgt aus:

<form id="navbar_loginform" action="login.php?{vb:raw session.sessionurl}do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5passwordvb_login_md5password_utf, {vb:raw show.nopasswordempty})"></form>

Der Post-Inhalt wuerde dementsprechen so aussehen:
(Username: Cyber Tjak; Passwort: 123456; Passwort in MD5 kodiert:  e10adc3949ba59abbe56e057f20f883e)

vb_login_username=Cyber+Tjak&vb_login_password=&vb_login_password_hint=Kennwort&s=&securitytoken=guest&do=login&vb_login_md5password=e10adc3949ba59abbe56e057f20f883e&vb_login_md5password_utf=e10adc3949ba59abbe56e057f20f883e

Die wichtigen Ausschnitte wurden dunkelrot + fett markiert.
Wie man sieht wird das Passwort MD5 encrypted uebertragen.

Man muesste das Passwort schon also waehrend dem Eintippen auslesen, dafuer kommt fuer mich kein Exploit in Frage, hoechstens irgendeine Art von Malware (bespielsweise ein Keylogger oder ein Stealer, fuer letzteres muesste jedoch das Passwort im Browser unverschluesselt gespeichert werden, wovon ich bei L1ght nicht ausgehe).

Natuerlich koennte es sich auch um eine Luecke handeln, dass das Passwort von der Datenbank ausliest, doch auch hierfuer hat vBulletin seine Sicherheitsmaßnahmen getroffen.
Ein Eintrag in der Tabelle „user“ sieht folgendermaßen aus:

Das Passwort ist auch in diesem Bild 123456, doch durch den 30-stelligen Salt aendert sich der Hash, der Wert bleibt allerdings der gleiche. Wie man an dem Bild erkennen kann, werden die Passwoerter im Format 32-Stelliger-MD5-Hash:30-Stelliger-Salt gespeichert.
Die Dauer des Brutens kann stark variieren, je nach der Staerke des Passworts.
Sprich das Auslesen der Tabelle „user“ per SQLi waere theoretisch wahrscheinlicher als das Finden einer Vuln in der Login-Form doch das Bruten koennte praktisch Jahre dauern.

Was bleibt uns sonst noch uebrig?
Eine Shell auf den Server bekommen, beispielsweise mit RFI.
Anschließend mit der Shell einen Passwort-Logger basten & das Template der Login-Form in der so manipulieren, dass die Passwoerter im Plain auf eine Datei gespeichert werden.

Natuerlich gibt es noch viele weiterer Moeglichkeiten, das Passwort von L1ght zu bekommen doch weitere Methoden wuerden den Rahmen dieses Artikels sprengen.

Ich hoffe ich konnte euch etwas wissen vermitteln & euch wenigstens ein Stueckchen beweisen, dass mein Misstrauen gerechtfertigt ist.

LG Cyber Tjak

Kategorien:Allgemein
  1. 0xed
    Juli 14, 2011 um 2:28 pm

    Von vBulletin kann man sich jedenfalls kein Plain-Passwort ausgeben lassen, ob mit Lücke oder nicht. Auch nicht mit Vollzugriff. Passwörter werden nur verschlüsselt gespeichert. Das sollte wohl jedem klar sein.

    Hätte jemand an dem Loginscript rumgefummeln können, hätte man Lights Account nicht gebraucht. Macht also kein Sinn, sehe ich das richtig?

    RFI sollte es seit der PHP Einstellung allow_url_fopen / allow_url_include sowieso nur noch stark begrenzt vorkommen – in vBulletin schon mal gar nicht. Zudem wurde ja die Shell über das AdminCP hochgeladen.

    Wie siehts mit Cross-Site-Scripting aus?

  2. Juli 14, 2011 um 5:12 pm

    Mit Vollzugriff bzw. Zugang zum FTP/SFTP + MySQL-Server kann man die Login.php und das Login-Template so manipulieren, dass die Eingaben der Passwoerter in einer Datei gespeichert werden (muessen halt die Rechte dazu gesetzt werden etc. etc.) & anschließend der normale Vorgang zum Login ablaeuft. (;

    • 0xed
      Juli 15, 2011 um 1:55 pm

      Du, das ist mir bekannt. Die Passwörter werden dann aber nicht von vBulletin selbst ausgegeben, sondern man manipuliert den Loginvorgang um die gesendeten Daten gleichzeitig einem anderen Script zu übergeben.

      Und wie bereits gesagt: Gab es Zugriff auf die Loginscripte bräuchte man doch Lights Account nicht mehr?

  3. Juli 15, 2011 um 3:49 pm

    Yes, sir.🙂

  1. No trackbacks yet.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: