HPM Tech News

Pentesting mit Metasploit, openvas und amap

admin — Sun, 14 Feb 2010 16:36:25 +0000

Metasploit besitzt interessante interne Module, die im Zusammenspiel mit Vulnerabiliy Scanner wie Nessus oder Openvas gefundene Schwachstellen direkt angreifen kann. Auch amap erzeugt ein Format, welches Metasploit mit seinem Autopwn Modul direkt in eine sqlite3, mysql oder postgres Datenbank ablegen kann und anschließend mit automatischen Angriffen zu exploiten versucht. Einen Artikel gibts im Linux Magazin 02/2010.

Worhshops vom Autor gibts hier.

kvm reicht Hardware an Gastsysteme durch

admin — Sun, 14 Feb 2010 16:27:57 +0000

Ab Version 0.8.5 ist kvm in der Lage, Hardware des PCI Bus im Hostsystem zu deaktivieren und an den virtuellen Gast durchzureichen. Dazu dient die Option pcidevice. Einen Artikel dazu gibts im Linux Magazin 03/2010. Dort wird gezeigt, wie eine Fritz PCI ISDN Karte und/oder eine DVB Karte an ein Gastsystem durchgereicht werden kann.

mac-robber, fls und mactime

admin — Sun, 14 Feb 2010 16:24:10 +0000

MAC steht in der Linux Forensik für Modified, Accessed und Changed. Im Windows Lager bedeutet gilt Modified, Accessed und Created. Das Sleuthkit beinhaltet wichtige Werkzeuge, die dem Forensiker Auskunft darüber gibt was die Zeit geschlagen hat. Nun gibt es einen neuen Vertreter: den mac-robber.

Die beiden Programme fls und mactime liefern eine gruppierten oder ungruppierte Timeline für Dateien in einem Image. mac-robber kann anstelle von fls benutzt werden um Datei Informationen zu gemounteten Partitionen zu erstellen. Anschließend werden sie mit mactime aufbereitet.
Das Programm gibt es hier.
Installation: auspacken und mit make eine Binary erstellen. Anschließen nach /usr/local/sbin kopieren.

Ein Howto für Kursteilnehmer gibts hier.

History Files sammeln

admin — Fri, 02 Jan 2009 17:37:13 +0000

Im Rahmen einer Durchsuchung von Root Servern bei ISPs sollten die eingegebenen Kommandozeilen Befehle gesucht und in einer Datei gesammelt werden. Zusätzlich sollte der Ort der gefundenen Dateien (.bash_history) ausgegeben werden:

find / -type f -iname “.bash_history” -print0 | xargs -0 ls -al | grep -i -H “.bash_history”
find / -type f -iname “.bash_history” -print0 | xargs -0 cat > all_hists

Encase Images und Live View

admin — Sat, 18 Oct 2008 12:34:37 +0000

Will man Encase Images (.e01) ohne teuren Third Party Tools mounten, so setzt man das Python Programm mount_ewf der niederländischen Strafverfolgungsbehörden ein. Das Programm benötigt python-fuse und libewf. Libewf kann entweder als .deb, .rmp Paket oder als Tarball von der Projektseite (https://www.uitwisselplatform.nl/projects/libewf/) bezogen werden. Eine Samba Freigabe auf das gemountete Image kann dann das Image Programmen wie Live View zur Verfügung stellen. Der gesamte Artikel als PDF: Encase Images mounten

Header Suche nach virtuellen Images

admin — Wed, 09 Jul 2008 05:14:26 +0000

Die Kombination aus find und file ermöglicht eine Suche nach Dateien über Header Analyse. In der Forensik besteht häufig der Wunsch, image Files von virtuellen Betriebssystemen zu finden. Während images von xen, kvm, qemu und Virtualbox (linux-version) problemlos gefunden werden, liefern Virtualbox unter Microsoft und Virtual PC lediglich den unbekannten Typ data. Legt man folgende Zeilen in die Datei /etc/magic (nicht /usr/share/file/magic!), so werden auch diese Header mit passenden Erkennungstexten gefunden:

# Sun VirtualBox unter Microsoft
4 string Sun\ xVM\ VirtualBox Sun VirtualBox Microsoft
#
# Microsoft Virtual PC
0 string conectix Microsoft Virtual PC
>28 string vpc

Ein geeigneter Suchbefehl um nach Images zu suchen:

Encase Images unter Linux Mounten (Update)

admin — Wed, 02 Jul 2008 17:42:29 +0000

Images die im Expert Witness Format (EWF) vorliegen können mit mount_ewf unter Linux gemountet werden. Dazu muss libewf und mount_ewf installiert werden. Diese Programme befinden sich nicht im Debian Repository und müssen manuell installiert werden.

Bezugsquelle: http://www.uitwisselplatform.nl/projects/libewf

libewf kann über mein Repository bezogen werden. Dazu ist folgender Eintrag in /etc/apt/sources.list notwendig:

deb http://www.hpmerkel.com/debian/ ./

mit aptitude install libewf libewf-tools können die Programme (i386) dann installiert werden.

Howto zum Download: mount_ewf.pdf

PTK und Sleuthkit anstelle von Autopsie

admin — Fri, 13 Jun 2008 10:30:43 +0000

Brian Carriers Sleuthkit arbeitet auf der Kommandozeile und findet bei “Maus-Schubsern” wenig Gegenliebe. Autopsie als GUI ist eher zäh zu bedienen. Seit Ende Mai 2008 ist nun das Open Source Projekt PTK verfügbar. Es baut auf Apache2, PHP5 und Mysql-Server 5 auf. PTK steht hier zum Download bereit.

Für Debian Anwender müssen noch Perl Module nachinstalliert werden:

aptitude install libdbd-mysql-perl libdbi-perl

Live Distribution per PXE booten

admin — Fri, 04 Apr 2008 16:38:35 +0000

Live Distributionen gibt es viele. Von Knoppix über Helix zu GRML, alle sind wertvolle Hilfsmittel im Bereich Administration, Backup, Recovery und Forensik. Nicht immer steht ein CD-ROM Laufwerk zur Verfügung, der Stick will auch nicht booten. Wie wäre ein Linux im Arbeitsspeicher, einfach über die Netzwerkkarte gestartet? PXE macht’s möglich. Dieser Artikel zeigt was zu tun ist: grml_pxe.pdf

Edubuntu 8.04

admin — Sat, 22 Mar 2008 07:42:55 +0000

Seit Version 8.04 liefert Edubuntu keinen “out-of-the-box” Terminalserver mehr aus. Die Serverfunktionen müssen manuell nachinstalliert werden. Am Beispiel unseres Projektes Linux4Afrika wird gezeigt, wie unsere Musterlösung aufgebaut ist. Hier die Dokumentation.