Try to Hack

Aus Labor für Echtzeitsysteme

Wechseln zu: Navigation, Suche

SAHNE wird am 16. Februar an dem Wettbewerb „Try to Hack“ teilnehmen. Im Vordergrund sollen das Kennenlernen im Team, der Einsatz von Erfahrung und die Dokumentation des Vorgangs stehen.

Im Vorfeld wurden mögliche Angriffs-Szenarien herausgesucht.

Inhaltsverzeichnis

[bearbeiten] Allgemeines

[bearbeiten] Teilnehmer

  • Nachnamen und EMail-Adressen für die Abschluss-Dokumentation entfernen
  • Ist die Liste korrekt? Sind alle aufgenommen?


Annika Kremer annika.kremer(at)gmail.com
Markus Pachali markuspachali(at)web.de
Stefan Deling dest0001(at)hsnr.de
Lars Weiler lars(at)wh-og.hs-niederrhein.de
Alexander Sosna alexander(at)made-in-mg.net
Martin Mönks martin.moenks(at)gmx.net
Andreas Rütten AndreasRuetten(at)gmx.de

[bearbeiten] Angriffsziele

  • MD5-Hash des Administrators
  • Upload einer Textdatei mit dem Inhalt "Hack the planet" auf den Webserver.
  • Modifikation des PHP-Forum-Codes, so dass beim Login eines Users die Nutzerdaten separat in eine Textdatei gespeichert werden. Diese soll dann über das Internet erreichbar sein.
  • Rekonstruktion des Admin-Passwortes mit Hilfe von MD5-Hash-Tables.
  • Ermittlung des Datenbanknamens und des dazugehörigen Passwortes.




[bearbeiten] Zeitpunkt der Durchführung

Mittwoch, 28.02.2007, abermals ausgefallen

Freitag, 16.02.2007, 14:00-16:00 Uhr, ausgefallen

[bearbeiten] Vorbereitung

  • Aufbau eines Referenzsystems auf Basis einer VMWare
  • Hashtables:
    • Rainbowtables (1-6 Zeichen, mixalpha-numeric-all-space, 10 GByte)
    • Rainbowtables (7 Zeichen, alpha-numeric-all)
    • Rainbowtables (6-8 Zeichen, numeric)
    • MD5-Hashes aus Wortliste der Website http://www.bit-fighter.de
    • Standardwortlisten
    • Wortliste aus einem Artikel des Website-Betreibers
  • Erstellung eines PHP-Codes zur Abspeicherung der Nutzerdaten in eine Textdatei.


[bearbeiten] Durchführung

  1. Versionen
    • Tamper data (Server=Apache/1.3.37 (Win32) PHP/4.4.4)
  2. Verzeichnisstruktur
    • Installationsverzeichnis ermitteln
    • phpBB2 Verzeichnisse install und contrib vorhanden?
  3. Adminrechte?
    • php Scripte uploaden

[bearbeiten] Nachbereitung

[bearbeiten] Links


Persönliche Werkzeuge