Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  20 2601
Hei,

I samarebeid med IT-Administrator på en skole har jeg tatt på meg et frivillig oppdrag med å bevise en skoleledelse hvor dumt det er å passordbeskytte alt av filer og bilder med et delt passord. DETTE VIL SI: JEG HAR FULL TILLATELSE TIL Å GJØRE FORSØK PÅ Å ANGRIPE/BRUTE FORCE DENNE NETTSIDEN. MANGLER DU TILLATELSE KAN DU RISIKERE STRAFF.

Greia er:
Denne IT-Administratoren tok nylig over administrasjon for nettsiden da den gamle pensjonerte seg. Her har de i lengre tid brukt et felles passord for hele skolen for å beskytte bilder etc. Denne administratoren har forsøkt med mer fredfulle midler å overtale ledelsen til å få utviklet en ny løsning med unike brukernavn og passord for alle brukere, men blitt avvist. Vi har derfor blitt ufordret av ledelsen til å faktisk vise at dette er usikkert i etterkant.

Her er det jeg vet:
-Passordet består bare av bokstaver
-Passordet er et lengre ord i norsk ordbok (over 5 bokstaver)
-Det begynner med en stor bokstav
-HTML-Formen som tar imot passordet ser slik ut:

HTML-kode

███████
-Når det er feil passord får jeg HTTP 302 ifølge chrome network inspector

Det jeg trenger hjelp til her er råd. Jeg er helt usikker på hvordan jeg bør gå frem. Serveren ratelimiter ingenting (men må ha en gyldig user-agent). Jeg har lastet ned en VM av både parrot linux og kali linux for å ha det jeg har lest er de populære toolsene for brute forcing etc.

Kunne jeg fått litt hjelp vær så snill.
Sist endret av Jonta; 3. april 2019 kl. 21:00. Grunn: Informasjon fjernet for å hindre identifisering
Det er en wordpress-side, korrekt? Kali har noen innebygde verktøy for dette. Mener ett av de heter wpscan eller noe lignende. Du kan da laste inn en norsk ordliste.
Sitat av Arcadia Vis innlegg
Det er en wordpress-side, korrekt? Kali har noen innebygde verktøy for dette. Mener ett av de heter wpscan eller noe lignende. Du kan da laste inn en norsk ordliste.
Vis hele sitatet...
Helt korrekt at det er en wordpress side ja. Brukte wordpress rest apiet og fikk vite at den eneste brukeren på sida heter admin, men standard pålogginssiden som befinner seg vanligvis på wp-admin eller login eller lignende redirecter bare til en ikke funnet side.

Så eneste fielded jeg kan inpute i er dette. Har lett litt etter en norsk ordliste, men finner ingen som passer mitt bruk. De er enten veldig mangelfulle eller i et helt merkelig format.

Har også tenkt litt på om muligens inputen kan være sårbar for SQL injection da dette er en funksjonalitet som ifølge administratoren var utviklet tilbake i 2012/13
Ikke bare et dyr
Dyret's Avatar
Post-passord er en innebygd greie i Wordpress nå i dag. Så med mindre de har en utdatert versjon av Wordpress så er ikke dette spesielt hårreisende. En negativ ting med denne funksjonaliteten, er at passordet blir hashet og satt i en cookie, og det gjør at man ikke kan "logge seg ut" fra en Wordpress-post man har gitt passordet til. Dette krever i så fall at man sletter cookies selv, eller at webadmin har lagt inn en funksjon for å slette cookies etter man har rendret ferdig siden.

Når det er sagt så vil du nok alltid få 302 som respons. Det som skjer er at du sender inn passordet, det hashes, og så får du en cookie med hashen av passordet. Så blir du redirectet til å laste inn siden på nytt igjen, og hvis hashen i cookie matcher, så får du se det beskyttede innholdet. Om ikke så vises den samme passord-boksen igjen. Du må derfor gjøre dette i to operasjoner for hvert passord du ønsker å sjekke.
Sitat av Dyret Vis innlegg
Post-passord er en innebygd greie i Wordpress nå i dag. Så med mindre de har en utdatert versjon av Wordpress så er ikke dette spesielt hårreisende. En negativ ting med denne funksjonaliteten, er at passordet blir hashet og satt i en cookie, og det gjør at man ikke kan "logge seg ut" fra en Wordpress-post man har gitt passordet til. Dette krever i så fall at man sletter cookies selv, eller at webadmin har lagt inn en funksjon for å slette cookies etter man har rendret ferdig siden.

Når det er sagt så vil du nok alltid få 302 som respons. Det som skjer er at du sender inn passordet, det hashes, og så får du en cookie med hashen av passordet. Så blir du redirectet til å laste inn siden på nytt igjen, og hvis hashen i cookie matcher, så får du se det beskyttede innholdet. Om ikke så vises den samme passord-boksen igjen. Du må derfor gjøre dette i to operasjoner for hvert passord du ønsker å sjekke.
Vis hele sitatet...

Okey, det gir litt sens. Men hadde det ikke vært mulig å bare sjekke i scriptet som skal gjøre brute forcingen om det fortsatt er et input field der?

Fielded ser forresten slik ut som man egt. kan se for seg. Er ikke noe brukernavn involvert.
███████

Her er cookiesene som blir satt/sendt:
███████

Litt mer info:
███████
Sist endret av Jonta; 3. april 2019 kl. 20:57. Grunn: Informasjon fjernet for å hindre identifisering
Drit i å demonstrere det.

Ettersom det er wordpress bør det ta 2-3 timer å sette opp LDAP-autentisering, sånn at du kan hente brukere frå AD.

https://wordpress.org/plugins/ldap-l...ntranet-sites/

Sitat av Dyret Vis innlegg
Du må derfor gjøre dette i to operasjoner for hvert passord du ønsker å sjekke.
Vis hele sitatet...
Kan du ikkje strengt tatt generere hash klientside og sende cookie, og sjå om du får form field som svar?
Sist endret av vidarlo; 2. april 2019 kl. 06:26. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Last ned kali, der er det verktøy som lar deg bruteforce passordet ved å sende postforespørsler og kontrollere responskoden.
Du kan da velge å benytte en ordbok hvor du har alle passordene du vil teste.

Dette kan ta lang tid avhengig av sikringstiltak på serveren (max antall forespørsler osv) , responstid, passord kompleksitet og er ett veldig støyende angrep som lett kan oppdages.

Det er også mulig å bruteforce admin login via xml-rpc dersom dette er aktivert (eller ikke deaktivert blir vel mer korrekt), denne metoden er vesentlig raskere.

Dersom dette er en WordPress side så bør du bruke wpscan til å søke etter svakheter, den siste tiden har det blitt publisert mange alvorlige sårbarheter selv i versjon 5.
Sitat av vidarlo Vis innlegg
Drit i å demonstrere det.

Ettersom det er wordpress bør det ta 2-3 timer å sette opp LDAP-autentisering, sånn at du kan hente brukere frå AD.

https://wordpress.org/plugins/ldap-l...ntranet-sites/



Kan du ikkje strengt tatt generere hash klientside og sende cookie, og sjå om du får form field som svar?
Vis hele sitatet...
Er det jeg ønsker å gjøre. Planen er å ha unik autentisering via f.ex Auth0.

Problemet er at skoleledelsen mener det de har idag er "sikkert" og ikke kan hackes og de tror på det sprøytet utvikleren i 2013 proppa de med.

Sitat av Rosander Vis innlegg
Last ned kali, der er det verktøy som lar deg bruteforce passordet ved å sende postforespørsler og kontrollere responskoden.
Du kan da velge å benytte en ordbok hvor du har alle passordene du vil teste.

Dette kan ta lang tid avhengig av sikringstiltak på serveren (max antall forespørsler osv) , responstid, passord kompleksitet og er ett veldig støyende angrep som lett kan oppdages.

Det er også mulig å bruteforce admin login via xml-rpc dersom dette er aktivert (eller ikke deaktivert blir vel mer korrekt), denne metoden er vesentlig raskere.

Dersom dette er en WordPress side så bør du bruke wpscan til å søke etter svakheter, den siste tiden har det blitt publisert mange alvorlige sårbarheter selv i versjon 5.
Vis hele sitatet...
Er det hydra du tenker på?
Isåfall er problemet, finnes det noen gode komplette norske ordlister tilgjengelig for nedlastning. Og hvordan formaterer jeg disse til å alltid begynne med stor forbokstav?

Stemmer at det er en wordpress side ja. xml-rpc er disablet og gir bare en 403 Forbidden, mens APIet er åpent for all slags forespørsler, men krever autentisering.

Her er resultatet av en kjøring fra WPScan: ██████
Viser bla at WP versjon er: 5.1.1

Jeg vet at wordpress har hatt mye sårbarheter, men vet ikke hvor jeg skal finne en database eller lignende over de. Kunne du pekt meg i en rettere retning
Sist endret av Jonta; 3. april 2019 kl. 20:58. Grunn: Informasjon fjernet for å hindre identifisering
Sitat av FreeMyKiwi Vis innlegg
Er det jeg ønsker å gjøre. Planen er å ha unik autentisering via f.ex Auth0.

Problemet er at skoleledelsen mener det de har idag er "sikkert" og ikke kan hackes og de tror på det sprøytet utvikleren i 2013 proppa de med.



Er det hydra du tenker på?
Isåfall er problemet, finnes det noen gode komplette norske ordlister tilgjengelig for nedlastning. Og hvordan formaterer jeg disse til å alltid begynne med stor forbokstav?

Stemmer at det er en wordpress side ja. xml-rpc er disablet og gir bare en 403 Forbidden, mens APIet er åpent for all slags forespørsler, men krever autentisering.

Her er resultatet av en kjøring fra WPScan: https://pastebin.com/5gty14uv
Viser bla at WP versjon er: 5.1.1

Jeg vet at wordpress har hatt mye sårbarheter, men vet ikke hvor jeg skal finne en database eller lignende over de. Kunne du pekt meg i en rettere retning
Vis hele sitatet...

Enig med vidarlo, drit i å demonstrere. Det har ikke så mye å si at denne "2013 pensjonisten" med sine forhistoriske utviklergener har snekret sammen siden, det du sloss mot her er wordpress. Ikke nok med det, den kjører også med nyeste sikkerhetsoppdatering.

Det er helt rett at et fellespassord ikke er optimalt, skjønner at du er interessert i sikkerhet, men at du spør om noe så basic som å formatere en liste med stor forbokstav gir meg inntrykket av at du er rimelig ny i gamet. Hackere er eksperter i de største programmeringsspråkene, så før du går videre med kali linux anbefaler jeg at du plukker opp det grunnleggende av programmering før du går videre som sikkerhetsanalytiker.

Sjekk feks. en svakhet i <= v5 av WP, med litt php kode her, på en noe utdatert wordpress side, kunne du veldig enkelt fått hele backend tjenesten til å knele for deg og kjøre *DIN* php kode. Sånn fungerer hacking. Brute force er som oftest siste utvei.
Sitat av Patrick Vis innlegg
Enig med vidarlo, drit i å demonstrere. Det har ikke så mye å si at denne "2013 pensjonisten" med sine forhistoriske utviklergener har snekret sammen siden, det du sloss mot her er wordpress. Ikke nok med det, den kjører også med nyeste sikkerhetsoppdatering.

Det er helt rett at et fellespassord ikke er optimalt, skjønner at du er interessert i sikkerhet, men at du spør om noe så basic som å formatere en liste med stor forbokstav gir meg inntrykket av at du er rimelig ny i gamet. Hackere er eksperter i de største programmeringsspråkene, så før du går videre med kali linux anbefaler jeg at du plukker opp det grunnleggende av programmering før du går videre som sikkerhetsanalytiker.

Sjekk feks. en svakhet i <= v5 av WP, med litt php kode her, på en noe utdatert wordpress side, kunne du veldig enkelt fått hele backend tjenesten til å knele for deg og kjøre *DIN* php kode. Sånn fungerer hacking. Brute force er som oftest siste utvei.
Vis hele sitatet...
Veldig klar over dette. Jeg er helt ny i gamet. Vanligvis er det jeg som lager en applikasjon som skal forsøke å være trygg, og ikke jeg som forsøker å komme meg inn et sted.

Jeg driver for det meste med rene webapplikasjoner basert på PHP samt html, js og css.
Bruker vanligvis python til strengmanipulasjon, men js fungerer det og:

Kode

 
let rawcsv = "tekst1,tekst2,tekst3"
let upperCased = rawcsv.split(',').map(c => c[0].toUpperCase() + c.substr(1, c.length).toLowerCase()).join(',') 

// rawcsv => "tekst1,tekst2,tekst3"
// upperCased => "Tekst1,Tekst2,Tekst3"
Eksempelet gjelder dersom det er kommaseparerte verdier å jobbe med, så andre format krever nok andre tegn å jobbe med, men fremgangsmåten er lik.
Du bør kjøre WP scan med plugin enumeration.

Men du beveger deg uansett langt forbi det opprinnelige målet, å bevise at selve passordløsningen er svak.
For selve svakheten med ett felles passord er jo ikke at det kan bruteforces (alt kan brute forces) men at det kan deles.
Den største sikkerhetsrisikoen her er menneskelig svikt og ikke systemsvikt.

Hva slags data som beskyttes er også ett poeng her, generisk data som "alle" har tilgang til behøver kanskje kun å beskyttes mot script kiddies.
For innse det, du har sikkert brukt mange timer allerede uten å knekke dette "dårlige" systemet.

Det du beveger deg mot nå er å angripe hele plattformen, og jeg vil tro at det er enklere å bryte seg inn via andre innganger enn å bruteforce passordet som ofte er aller siste utvei pga støyen ett slikt angrep skaper.
Og dersom du faktisk får gjennomført det så kan administrasjonen enkelt peke på at de oppdaget aktiviteten.

Jeg mener ikke å være frekk men jobber du virkelig med php/js uten at du klarer å manipulere en tekststreng?
Sitat av Rosander Vis innlegg
Du bør kjøre WP scan med plugin enumeration.

Men du beveger deg uansett langt forbi det opprinnelige målet, å bevise at selve passordløsningen er svak.
For selve svakheten med ett felles passord er jo ikke at det kan bruteforces (alt kan brute forces) men at det kan deles.
Den største sikkerhetsrisikoen her er menneskelig svikt og ikke systemsvikt.

Hva slags data som beskyttes er også ett poeng her, generisk data som "alle" har tilgang til behøver kanskje kun å beskyttes mot script kiddies.
For innse det, du har sikkert brukt mange timer allerede uten å knekke dette "dårlige" systemet.

Det du beveger deg mot nå er å angripe hele plattformen, og jeg vil tro at det er enklere å bryte seg inn via andre innganger enn å bruteforce passordet som ofte er aller siste utvei pga støyen ett slikt angrep skaper.
Og dersom du faktisk får gjennomført det så kan administrasjonen enkelt peke på at de oppdaget aktiviteten.

Jeg mener ikke å være frekk men jobber du virkelig med php/js uten at du klarer å manipulere en tekststreng?
Vis hele sitatet...
Tenkt litt samme tanke med at menneskelig svakhet og deling egentlig er greia. Det som er beskyttet bak dette passordet er bilder innad i denne skolen og delvis sensitive dokumenter.

Skjønner det med at du tviler siden jeg skrev hvordan manipulere teksten. Hadde helt fint klart det i JS og PHP, men ikke i Python som er et språk jeg nettopp har begynt å se på.
Disse ordlistene (det finnes få norske lett tilgjengelig i riktig format) er vanlige tekstfiler som regel med ett ord på hver linje.

Så denne kan du endre på hvilken som helst måte du måtte ønske før du starter.

Her er forresten en god en, så kan du bruke den og lage en ny fil hvor du putter ord over 5 bokstaver osv.
http://www2.scrabbleforbundet.no/?attachment_id=1588

Ett annet aspekt du bør utforske er osint og det sosiale/personlige aspektet.

Man prøver alltid å snevre inn ordlistene, så dersom han som laget passordet var sykelig opptatt av fotball vil det være naturlig å vektlegge den type ord og faguttrykk.

Finnes det flere lignende passord løsninger så kan du lete etter mønster.

Iom at nettsidene er såpass oppdaterte så tyder det hvertfall på at det finnes ett snev av sikkerhetsrutiner.
Sist endret av Rosander; 2. april 2019 kl. 16:49. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Queen of Blades
Jonta's Avatar
Crew
Så de har ikke kontroll på hvem som går inn og ut av kåken, tror det ikke er et problem, og testen som skal motbevise dette lyder «er denne pappdøra innbruddssikker?»

Du viser at pappdør er dritt, de installerer ståldør, og den kan du ikke slå, så problemet vedvarer, i tillegg til at en bunke av dem nå har skrevet passordet på lapper, som elever fotograferer eller rapper.

Nice.

De gir altså faen i sikkerhet på arbeidsplassen. Og det gjør jo de fleste. Visstnok er elever mer viktige på skoler enn det meste annet.

Folk flest vet ikke hvordan de kan sikre seg selv engang, så jeg synes dere bør starte der. Inn med passord-manager og diceware for de som fortsatt skal tastes inn. De bryr seg mye mer om personlige konti enn skolegreier. Haveibeenpwned kan nok også kastes oppi der, som en demo på «dere er ikke så trygge som dere tror dere er»

Spørsmål å drøfte med IT-Administratoren:

- Ser de verdien i å ha forskjellige konti i andre øyemed på jobb? Epost, fronter/Blackboard/whatever, PC-er?
- Er dette et kostnadsspørsmål for dem?
- Om ja: Har dere lagt frem hva det vil koste? (Både deres tid, penger for den tida, og tid/penger for de ansatte)
- Har de tenkt på kostnaden (aka «konsekvensene») for dem om de blir hækket?
- OK, antagelig ingenting. Men hva om folk oppdager at det skjer? Eller kan skje?
- Media
- Foreldre
- Folk høyere opp i systemet
- Er det en fordel for skolen å vite hvem som skaffet seg tilgang til systemet til hvilket tidspunkt?
- Hva skjer når noen slutter i jobben? Alle må huske et nytt passord? Eller driter de i å bytte, og bare håper på at ingen finner på noe snusk?
- Startet denne plassen som noe for å dele bilder, men etterhvert så har de sneket inn sensitive dokumenter fordi plassen er så grei å ha, og etterhvert blir det kanskje (lol, «kanskje») brukt til flere og flere ting?

Heldigvis er det en skole. Da kan man enkelt bruke fraser som «må være villige til å lære» når de stritter imot. Og barna. Tenk på barna!
Ikke bare et dyr
Dyret's Avatar
Sitat av vidarlo Vis innlegg
Kan du ikkje strengt tatt generere hash klientside og sende cookie, og sjå om du får form field som svar?
Vis hele sitatet...
Litt usikker på om wordpress sine hasher er saltet server-side med en secret eller ei. Mistenker uansett at dette er tilfelle.
Du trenger vel litt djevelens advokat her.

Hva er målet her?
Avslutte praksisen med fellespassord eller bytte ut wordpress?

Dersom hensikten kun er å hindre søkemotorer å indeksere filene, kan dette være tilstrekkelig.
Dersom det er mulig å laste opp filer og dele med andre, eller sensitivt innhold, er det naturligvis ikke lurt.

Men å drive med brute force på wordpress for å vise svakheter med fellespassord mener jeg er feil fremgangsmåte.
Sitat av Twofish Vis innlegg
Du trenger vel litt djevelens advokat her.

Hva er målet her?
Avslutte praksisen med fellespassord eller bytte ut wordpress?

Dersom hensikten kun er å hindre søkemotorer å indeksere filene, kan dette være tilstrekkelig.
Dersom det er mulig å laste opp filer og dele med andre, eller sensitivt innhold, er det naturligvis ikke lurt.

Men å drive med brute force på wordpress for å vise svakheter med fellespassord mener jeg er feil fremgangsmåte.
Vis hele sitatet...
Meningen med dette lille prosjektet er å vise hvor dumt det er å beskytte skolenes sensitive dokumenter samt bilder av alle eleven (her må jeg legge til at det er svært viktig at disse ikke kan vises av utenforstående) med et felles passord for alle på skolen.
Da synes jeg du heller bør fokusere på akkurat det. Alle nettløsninger har uansett svakheter.
Skolen har et budsjett, de ser bare utgifter med dette.

Fellespassord er ikke hemmelig, det er sannsynligvis mange uvedkommende som kan logge inn her og hente informasjonen.
Hva er konsekvensene for den enkelte elev pga dette, hva med skolen som ikke tar dette alvorlig nok. Personvern er i vinden i disse tider.
Hva slags rutiner har de ved bytte av dette passordet. Hvem skal ha tilgang på passordet? Hva gjør det når noen ikke trenger passordet lengre?
Det er mange ting å ta tak i her.
Brute force er ikke veien å gå her, selv om det er gøy.
Til FreeMyKiwi
med informasjonen du ga tok det ikke lang tid for å finne ut hvilken nettside dette gjelder.
og jeg må si jeg er meget sjokkert over at sikkerheten er så pass dårlig, når det angår denne menneske gruppen.
blir nesten fristet til å ringe administrasjonen.
Sitat av handalen Vis innlegg
Til FreeMyKiwi
med informasjonen du ga tok det ikke lang tid for å finne ut hvilken nettside dette gjelder.
og jeg må si jeg er meget sjokkert over at sikkerheten er så pass dårlig, når det angår denne menneske gruppen.
blir nesten fristet til å ringe administrasjonen.
Vis hele sitatet...
Er litt tragisk egentlig hele greia ja, du trenger ikke ringe administrasjonen på denne skolen (om du har funnet rett) da jeg allerede er i dialog med de og de etter en god del argumentering og endelig en som fikk litt fornuft har delvis innsett at et delt passord er en dårlig ide. Spesielt når det er snakk om mennesker i denne menneske gruppen