Skip to content
Tags

, , , , ,

Auch die NN-Crew macht Fehler

by Beni on Juli 8th, 2011

Nachdem durch Indymedia und nicht zuletzt Felix von Leitner (fefe) die Welt über den Hack einiger Bundespolizei-Server durch die “No-Name-Crew” aufgeklärt wurde, ist mir die URL der Veröffentlichung auf dl.nn-crew.cc sehr typisch für Angriffsziele von Cross-Site Sripting (XSS) – Attacken vorgekommen:

http://dl.nn-crew.cc/index.php?dir=2-NN-Crew+-+Leaks%2FBundespolizei%2F

Und siehe da, der GET-Parameter dir kann nicht nur den kompletten Pfad zu einem Ordner enthalten, sondern auch einen netten XSS-Vektor. Die Tatsache, dass der für dieses PHP-Script zuständige Programmierer aus Reihen der “No-Name-Crew” vollständige HTML-Tags löscht – also <, > und alle Zeichen dazwischen – zeugt von keinem wirklichen Überblick über das Zustandekommen von XSS-Lücken.

Aufbau einer erfolgreichen Attacke:

  1. durch ein " wird das HREF-Attribut des <a>-Tags beendet. Nun können wir beliebige weitere Attribute des Link-Tags definieren.
  2. Ein Leerzeichen gefolgt von onmouseover=alert('XSS') verpasst dem Link ein Event, das beim “Mit-der-Maus-drüberfahren” einen von mir bestimmten Javascript-Code ausführt.
  3. Durch style=position:absolute;top:0;left:0;right:0;bottom:0 sagen wir dem Browser, dass der Link das gesamte Browserfenster ausfüllen soll. Somit wird der Benutzer das onmouseover-Event ausführen, sobald er seine Maus über irgendeinen Bereich der Homepage bewegt.
  4. Und zuletzt wird der Angriffsvektor durch ein alt= abgeschlossen. Dieses Attribut wird benötigt, weil der Browser sonst beim Rendern eine Fehlermeldung melden würde.

Wenn alle oben genannten Punkte zusammenbaut werden, so kommt man auf folgenden Angriff (Selbst Ausprobieren):

http://dl.nn-crew.cc/index.php?dir=2-NN-Crew+-+Leaks%2FBundespolizei%2FBP_PACK_No-Name-Crew%2FGPSTracker%2FGPSTracker+PAIP+OpenLayers%2FVollstaendige+Setups%2F%27%22%20onmouseover=alert%28String.fromCharCode%2888,83,83%29%29;%20style=position:absolute;top:0;left:0;bottom:0;right:0;%20alt=

In diesem Quelltext-Screenshot sieht man, wie der Quirks Mode von Mozilla Firefox den Angriff ausführt.

Angriff geht nicht immer

Durch den einen eingebauten Schutz vor reflexivem XSS sind Benutzer von Chrome/Chromium oder der Firefox-Extension “NoScript” von dem in diesem Post genannten Angriff nicht betroffen. Ich persönlich habe den Angriff unter Mozilla Firefox getestet.

Gedanken zum Bundespolizei-Hack

Es ist sehr peinlich, dass die Bundespolizei wahrscheinlich auf Grund einer alten PHPMyAdmin-Version gehackt wurde und eine so schlecht gesicherte Trackingsoftware verwendet, dass sogar Angreifer mit rudimentärem Know-How sie erfolgreich ownen können.

Update – 08. Juli 2011, Mittag:

Der Autor des Scripts hat nun offensichtlich die Sicherheitslücke bemerkt und behoben, mein ursprüngliches Proof of Concept-Exploit funktioniert nicht mehr. Leider kann man aber nur bedingt von “behoben” sprechen, die Maßnahme gegen XSS ist nun das Wort "alert" aus dem String zu löschen.

Wird die XSS-Payload nun durch eval(String.fromCharCode(....)) ersetzt, kann man wie vorher auch die Seite der “No-Name-Crew” exploiten. Sehr peinlich.

Update 2 – 08. Juli 2011, später Abend:

Nun wurde die Sicherheitslücke wie von mir vorgeschlagen durch ein URL-Encoding der Parameter behoben :-)

Das wird dich vielleicht auch interessieren:

From → Politisches, Sicherheit und Sonnenschein, root

18 Comments
  1. copk!lla permalink

    habe geschmunzelt. danke.

  2. Coopi permalink

    Und was willst du Hengst mit einer XSS Lücke bei der NN Crew? Logindaten ausspähen? – Von wem? Von den ganzen Usern die sich nicht einloggen müssen.
    zzZzZZ fühlst dich toll wa ^^

  3. eXec permalink

    Hallo Beni,

    Lese dein Blog ja schon seit langem, finde es Lustig wie du gleich nen XSS bei dennen gefunden hast. War heute auch bei dennen im IRC, und finde es Lustig was die da so Reden.

    Zum Beispiel hat ein User gefragt, warum die NN-Crew Spenden braucht, wenn sie auf einem Windows VPS von WaHome (20€) hosten, die Antwort war das dies nur der Reverse Engine Server ist, wusste garnicht das sowas mit IIS6 Möglich ist. Naja dannach nurnoch Lustige Versuche sich rauszureden.

    Desweiteren behauptet ein User, mit Beweisen von Screenshots, dass der Server schon seit Ende Mai (25.05.2011) geknackt worden sei. Dieser sagt das er einen HomePC von einem Beamten geknackt hatte, wo die Logins zu den Servern standen, auch zum DocumentRoot wodurch er den Server dann geshellt hat.

    Also meine Vermutung ist ja, dass diese NN-Crew sich nur mit Federn anderer Schmückt. Die ganzen User die aktiv an der Diskussion teilgenommen haben, wurden nach kürzester Zeit aus dem #talk Channel der NN-Crew gebannt. Also müssen die Jungs von NN ja was zu verheimlichen haben.

    Euer eXec

  4. hoohead permalink

    Mit ner C99 Shell rumspielen aber kein htmlentities kennen xD – Klasse Beitrag, Deinen Blog habe ich gleich mal in meinen Feedreader gehauen

  5. bitmuncher permalink

    Viel peinlicher finde ich allerdings bei der Bundespolizei, dass die tatsächlich XAMPP auf einem Server einsetzen, der vom Internet aus erreichbar ist. Für PHPMyAdmin sind erst gestern bei PSS neue Remote-Code-Execution-Lücken veröffentlich worden, für die es noch kein Update gibt. PHPMyAdmin sollte allgemein nicht auf Servern eingesetzt werden, die vom Web aus erreichbar sind, unabhängig davon ob man eine aktuelle oder alte Version nutzt.

  6. EinAnonymerSchlingel permalink

    Wie gut das, dass Netzwerk wie eine Cloud aufgebaut ist und deshalb die ganzen xss exploits etc. ja wunderbar sind aber niemals der eigentlich Server gefährdet ist. Darki(Darkhammer) ist das alles durchaus bewusst. Nur ist immoment anderes zu tun als sich um “irgendwelche” xss exploits etc. zu kümmern ;) .

    Werde es mal weiterleiten :3

    Gute Arbeit und Respekt für die saubere Durchführung trotzallem

  7. Anon permalink

    So ist das, wenn man sich auf Drittsoftware verlässt.
    Das eingesetzt Script von NN ist offensichtlich von hier:

    http://www.evoluted.net/thinktank/web-development/php-directory-listing-script (Dafür gilt auch dein Exploit)

    “dass der für dieses PHP-Script zuständige Programmierer aus Reihen der “No-Name-Crew”” -> Den gibt es vermutlich nicht…

  8. Anon permalink

    “die Maßnahme gegen XSS ist nun das Wort “alert” aus dem String zu löschen.”

    *facepalm*

  9. Beni permalink

    Stimmt, das hast du recht. Vielen Dank für diesen Tipp! Ich habe den wirklichen Autor des Scriptes nun verständigt und einen Patch bereitgestellt, siehe mein nächster Post: http://blog.bf-itservice.de/471/evoluted-net-php-directory-listing-xss-vulnerability

  10. Beni permalink

    Hallo, ein Angriff auf den Server ist mit XSS auch nicht wirklich möglich. Ein Problem für NN-Crew wären aber eventuell gestohlene Sessions für das Forum oder auch Phishing. Das alles hängt davon ab wie die Policy für Cookies in den dort verwendeten Webapplikationen gestaltet ist. Wie ich sehe, sind jetzt ja auch alle Sicherheitslücken geschlossen, also bedanke ich mich mal für das weiterleiten ;-)

  11. Beni permalink

    Das mit den PHPMyAdmin-Lücken habe ich auch schon gesehen. Es ist wirklich schlimm, dass erneut der Konfigurationsgenerator von Code Execution betroffen ist – ein ähnliches Problem an der gleichen Stelle hatten wir doch erst vor einem Jahr.

    Ich verwende schon länger in einigen Projekten PMA und als Sysadmin ist es eines meiner ständigen Sorgenkinder. Dass unsere Bundespolizei von einem externen Dienstleister eine Trackingsoftware aus Kombination von PHP, MySQL und XAMPP erhält ist einfach nur grausig. Vor allem wenn man bedenkt, dass es in Deutschland auch einige fähige Programmierer gibt.

  12. Beni permalink

    Vielen Dank für das Lob, es hat sich ja nun leider rausgestellt dass die NN-Crew das Script nicht selbst geschrieben hat sondern als erstes Google-Ergebnis für “PHP Directory Listing” gefunden hat. Da offensichtlich das Branding und die Backlinks auf den originalen Autor gelöscht wurden (sogar der img-Ordner wurde umbenannt) konnte ich das leider nicht direkt erkennen. “Anon” (ein paar Kommentare unter dir) hat mir das gesteckt.

  13. Beni permalink

    Hallo exec,

    das ist natürlich nicht wirklich souverän. Ich kenne mich zu wenig über die Hintergründe der “No-Name-Crew” aus um das bewerten zu können/wollen, aber wenn der ganze Hack wie von dir berichtet über ein RAT auf dem PC eines Polizisten abgelaufen ist, dann ist es vielleicht ganz nützlich, dass die entsprechenden Stellen auf diese Weise und nicht durch Schlimmeres auf die reale Lage ihrer IT-Sicherheit hingewiesen wurden.

    IMHO ist der “Leak” an sich nicht wirklich nötig gewesen, da die Daten für einen Großteil der Bevölkerung nicht relevant sind und es sich um einen direkten Angriff gegen die entsprechende Behörde handelt. Dies wird Darkhammer nur Ärger einbringen, denn er hat sich auf diese Weise als hervorragendes Probeszenario für alle neu aus der Taufe gehobenen Sicherheitsinitiativen der Bundesrepublik angeboten. Ein Versuch, sich durch den Leak als “Lulzsec made in Germany” (verzeihe mir den Ausdruck) darzustellen wird an der fehlenden Anonymität der NN-Crew scheitern. Die Akteure sind zu jung / unreif und die Admins der Community haben ein zu breites Profil. Es ist möglich die Herkunft aller Teilnehmer über Raid-Rush, Hacksector, u.v.w. zurückzuverfolgen.

  14. Beni permalink

    Coopi, es ist einfach interessant zu sehen, dass *jeder* irgendwo irgendwelche Sicherheitslücken hat. Um das Ausnutzen einer Lücke geht es mir erst, wenn ich vorhabe diese auch wirklich gegen jemanden einzusetzen. Kombiniert mit weiteren Informationen über das Zielobjekt kann man dann einen Angriff entwerfen :-)

  15. IchMalWieder permalink

    Hallo eXec und all die anderen hier,

    Das mit dem Windows Server ist aber leider Schwachsinn.
    Und das der User den du meintest gebannt wurde hängt damit zusammen das er schon vorher gerne mal ein bisschen Blödsinn geredet hat. Und zu dem Inhalt seiner Aussage kann ich nur sagen:

    Er hat Recht :D

    Das liegt aber nicht daran das “wir” uns mit den Federn von fremden Leuten schmücken sondern das wir schon seit dem benannten Datum Zugriff auf den Server haben. Nur war unser lieber “Darkhammer” etwas länger mit dem Filtern der DB beschäftigt als ein paar Stunden. Verständlich bei der Datenmenge.

    PS: Die Sache mit dem kopierten Forumscript wird in den nächsten Wochen erledigt. Nach 3 Jahren offline Zeit braucht es seine Zeit bis sich alles wieder vernünftig regelt.

    Ich möchte hier aber auch keine Diskussion vom Zaun brechen. Es ist wie es ist, die Sachen wurden geleakt und die Bürger kriegen es mit. Das ist es was am Ende zählt.

    Nochmals Respekt für diesen wunderbaren Blog.
    Wird auf jeden fall abonniert und weiterempfohlen.
    Geniale Arbeit die du hier machst.

    Nun gut ich empfehle mich ;)

  16. UndSchonWieder permalink

    Das die Sache Darkhammer nur Ärger einhandeln wird stimmt leider… Die meisten User interessieren sich ja auch gar nicht für den Leak sondern nur für das Board.
    Aber wie ich von Darkhammer weiß ist es ihm zum Glück egal ob er eingebuchtet wird oder nicht.

    Auch mit der Anonymitätssache muss ich dich leider unterstützen… unnex und Darkhammer etc. sind nur wirklich keine unbeschriebenen Blätter mehr. Der Großteil der Community aber schon. Auch ich bin nur im Board angemeldet um meine Fähigkeiten zu verbessern und mich nicht in irgendeiner nicht vorhandenen “deutschen-kiddie-szene” zu etablieren.

    Ich hoffe einfach mal das die Sache für die Akteure, besonders Darkhammer glimpflich ausgeht. Denn man kann sagen was man will. Ein netter Mensch ist er auf jeden Fall ;)

Trackbacks & Pingbacks

  1. Evoluted.net PHP Directory Listing XSS Vulnerability ~>
  2. Bundespolizei Leak (n0 n4m3 cr3w) «

Leave a Reply

Note: XHTML is allowed. Your email address will never be published.

Subscribe to this comment feed via RSS