Fórum Root.cz
Hlavní témata => Server => Téma založeno: chladic01 16. 08. 2012, 10:56:42
-
Zdravim,
dostal som do ruk server u ktoreho je potreba sklonovat disk. Ked sa disk naklonuje napr. pomocou dd, tak pri boote nemoze mountnut root FS. Ak nabootuje na vlastnom HW s original diskom, nabehnu Xka a aplikacia. Pozor neda sa dostat do shellu, takze neviem sa pozriet na disk.
Ak dam disk do druheho systemu, tak vidim: sda1,sda2,sda3
sda1: 8MB partition kde je initrc, kernel a lilo.conf s heslom
sda2: 100MB asi root FS
sda3: logy, aplikacne blbosti
zvlastne je, ze fdisk sda2 vidi, ale "blkid" ho uz nezobrazi. Nejde ani mountnut, neviem ani zistit co je to za filesystem.
Uvazoval som nad cryptovanym FS, ale ten je cez blkid vidiet. Mozno niejaky HW crypt modul na zakladnej doske ?
Kedze mam dostupny initrc, tak mozno by ho slo upravit a zaviest modul, co by mi umoznil pristup na tuto nedostupnu partition ?
Nenapada Vas nieco ? Robila to niejaka firma pred par rokmi a uz po nej neni ani chyru ani slychu, takze som na to sam.
Dakujem za kazdy napad
-
pokusit sa vojst do shellu pri bootovani.
ak viete zistit heslo zavadzaca (asi lilo), tak dat za parametre kernelu init=/bin/bash a potom skumat dalej
-
nasdilejte image disku at se muzem taky podivat ;)
-
> Pozor neda sa dostat do shellu
Co?! Pokud máš klávesnici, myš a běžící prostředí, tak snad není problém.
Máš usera/roota? Pak přepni konzolu pomocí Ctrl-Alt-F1 nebo ssh a fdisk/dd...
-
Do lila sa neda skocit, je tam asi timeout 0. Nemam usera ani root, ani konzolu neprepnem.
Pravdepodobne init spusta iba Xka a v nich aplikaciu, ktora sa respawnuje.
-
Najvacsi kamarat Magic SysRq :)
-
Do lila sa neda skocit, je tam asi timeout 0. Nemam usera ani root, ani konzolu neprepnem.
Pravdepodobne init spusta iba Xka a v nich aplikaciu, ktora sa respawnuje.
když podržíš Shift, tak se timeout ignoruje
jinak boot z CD/USB/whatever => plnej přístup
-
ten sda2 bude velmi pravdepodobne zasifrovanej a otevira se klicem/heslem nekde v tom initrd. Do initrd se muzes podivat, nebo ho nekde vystavit (jak zde uz zaznelo)? Mozna maji v tom starym serveru nejakej malinkej usb-flash nebo CF s tokenem, kterej sda2 rozsifruje?
kdyz nabootujes neco jinyho, treba rescuecd, tak se da zkusit trebas:
cryptsetup isLuks /dev/sdb2
jestli nepouzivaji luks, ale jenom holej starej cryptsetup nebo loop-aes, tak to se neda zjistit, jedine ze bys nasel klic a znal i sifru
-
1. magic sysrq ma nenapadlo, skusim ... asi to ale v kerneli zapnute nebude.
2. luks nepouzivaju, uz som to skusil, je to stary stroj.
3. drzanie shiftu tiez nefunguje
4. ten token neviem nikde najst
5. skusim rozbalit initrd a pozriet sa do neho, napisem ak nieco najdem
zatial dik za rady
-
Tak initrd neviem otvorit. Neni to ani cpio archive, ani gzip, ani ram disk.
Inac do lila som sa dostal, heslo som vycital s lilo.conf, ale akekolvek parametre mu dam (single, init=/bin/sh) neberie.
hmmm
-
co to je za hw? cpu architektura atd?
-
Tak initrd neviem otvorit. Neni to ani cpio archive, ani gzip, ani ram disk.
Co rika file?
-
Tak initrd neviem otvorit. Neni to ani cpio archive, ani gzip, ani ram disk.
Eh...
xzcat <soubor> | cpio -i -d -H newc --no-absolute-filenames
Jak to je zkomprimováno (gzip|bzip2|lzma|xz) ti řekne file...
-
Je srandovni videt jak se snazi novacci v oboru :)
PS. cpio ma nekolik verzi a ty soucasne uz nejsou pouzitelne na stare archivy. Nektere veci proste musite delat "po staru" :)
-
Je srandovni videt jak se snazi novacci v oboru :)
PS. cpio ma nekolik verzi a ty soucasne uz nejsou pouzitelne na stare archivy. Nektere veci proste musite delat "po staru" :)
Eh...
`-H FORMAT'
`--format=FORMAT'
Use archive format FORMAT. The valid formats are listed below
with file size limits for individual files in parentheses; the same
names are also recognized in all-caps. The default in copy-in
mode is to automatically detect the archive format, and in
copy-out mode is `bin'.
`bin'
The obsolete binary format. (2147483647 bytes)
`odc'
The old (POSIX.1) portable format. (8589934591 bytes)
`newc'
The new (SVR4) portable format, which supports file systems
having more than 65536 i-nodes. (4294967295 bytes)
`crc'
The new (SVR4) portable format with a checksum added.
`tar'
The old tar format. (8589934591 bytes)
`ustar'
The POSIX.1 tar format. Also recognizes GNU tar archives,
which are similar but not identical. (8589934591 bytes)
`hpbin'
The obsolete binary format used by HPUX's cpio (which stores
device files differently).
`hpodc'
The portable format used by HPUX's cpio (which stores device
files differently).
-
Je to x86. Kernel ma ale 2.6.7, takze tak stare to neni.
podle "file" ten subor skomprimovany neni
initrd: data
este skusim ten cpio s roznymi formatmi
-
Nejjednodussi modifikace jadra na ochranu zde je vlastni sifra pred dekompresi initrd pripadne premapovani adres (je to jeden xor aplikovany na offset).
Dostat se do takto uzavreneho systemu je ale mozne, napr. muzes prepsat parametry lila a mit tam init=/bin/bash ... v image disku.
Dalsi moznosti dnes poskytuje virtualizace - to nekdy lepsi (pokud mas shell tak provedes autentifikaci byt se spatnym root heslem a pak pauznes VM, pak upravis nacachovanu stranku s passwd a provedes autentifikaci znova - system by mel cist hesla z ram).
Samozrejme pokud existuji startup skripty v image jako cleartext, muzes tam prepsat kousek na /bin/bash a dostanes pristup (nejlepsi to udelat pred startx).
Ver mi, ze pokud to funguje, byt na specialnim hw, tak vse zjistit pujde.
-
Je to x86. Kernel ma ale 2.6.7, takze tak stare to neni.
Dnes je stare cokoliv za pul roku az rok. Tvuj release kernelu je z leta 2004 :)
-
Tiez si myslim, ze s ten initrd neni len tak lahko dostupny.
Ked lilu zadavam parametry tak ich uspesne ignoruje. Tvorca toho teda nebol uplny idiot.
-
Tvorca toho teda nebol uplny idiot.
Byl. Nedodal zadnou dokumentaci.
-
Byl. Nedodal zadnou dokumentaci.
Asi ho zaměstnavatel nasral... :D
-
A co zkusit najít nějakou osobu z té společnosti (bývalý majitel...), třeba bude mít pořád ještě kontakt na nějaké další zaměstnance a půjde zkontaktovat toho, kdo to dělal.
-
A co zkusit najít nějakou osobu z té společnosti (bývalý majitel...), třeba bude mít pořád ještě kontakt na nějaké další zaměstnance a půjde zkontaktovat toho, kdo to dělal.
to je ale nuda, ne? ;)
-
to je ale nuda, ne? ;)
Podle původního dotazu tato cesta nikam nevedla, tak nevím. Jinak radši nekomentuju, ten, kdo zaplatil dodavateli za dodání systému, kde se údajně nedá dostat do shellu, se asi v mládí pořádně praštil do hlavy.
-
Ono sa to robi bezne ak pripravis masinu s niejakou aplikaciou a tu potom poziciavas zakaznikom. Samozrejme nechces aby ti to naklonovali a vykaslali sa na teba, alebo aby sa k tomu dostala konkurencia.
Tuto hadzem do plena ponuku. Je to v Prahe a mam na to vyhradeny budget, takze ak sa najde clovek co to prijde a vyriesi moze si slusne prilepsit.
email: chladic01@gmail.com
-
Tuto hadzem do plena ponuku. Je to v Prahe a mam na to vyhradeny budget, takze ak sa najde clovek co to prijde a vyriesi moze si slusne prilepsit.
Uploadni někam image toho disku a možná se na to někdo z nudy podívá. ;)
-
Tak tuto je ten initrd. Skusal som cpio dat rozne typy formatov, ale bezuspesne.
http://windsport.sk/initrd
-
pardon, http://windsports.sk/initrd
-
pardon, http://windsports.sk/initrd
Slo by sem hodit i kernel?
-
v ideálním případě chtěl říct image disku, ne ?:)
na druhou stranu, jsem již několikrát setkal s tím, že některé embeded systémy zvlášť na windows obsahují právě nějaké zvláštní zařízení, nebo tokeny, které se kontrolují při startu... a i když naběhnou, tak stejně nefungují...
-
Asi je to ramfs. Prikaz mount ./initrd /nejaky_adresar -o loop -t ramfs neprotestuje. Ale nic v tom pak neni videt.
-
Hm, asi neni. On se takle da vlastne namontovat uplne kazdy soubor. :-(
-
v ideálním případě chtěl říct image disku, ne ?:)
Asi tak nějak. Nevím, proč je uploadnuté jen údajné initrd.
-
Asi je to ramfs. Prikaz mount ./initrd /nejaky_adresar -o loop -t ramfs neprotestuje. Ale nic v tom pak neni videt.
Ono to bude neco zagzipovaneho, na starsich kernelech se jina komprese nepouzivala a ten soubor je urcite zkomprimovany protoze se neda uz vic zkomprimovat.
v ideálním případě chtěl říct image disku, ne ?:)
Asi tak nějak. Nevím, proč je uploadnuté jen údajné initrd.
Treba na tom disku je neco co by se nemelo dostat ven, nebo se mu to nechtelo uploadovat. :)
-
Jenže gzip to není, file to jako gzip nepozná a nezačíná to hexem co má. Jedině by to byl gzip ještě něčím zašifrovanej a měl v jádře nějakou vychytávku na rozšifrování.
-
Legracni je, ze kdyz se tomu prida hlavicka 1F 8B 08, aby to byl gzip, tak to hlasi: gzip: qqq.gz is encrypted -- not supported .
-
Ahoj,
Velikost je presne 4MB (4*1024*1024) - kdyby to bylo komprimovane, divil bych se, ze by se to trefilo presne na 4MB.
Proto nemyslim, ze by to bylo necim komprimovane, spis jenom zasifrovane.
Vzhledem k tomu ze to ma velmi vysokou entropii a data vypadaji temer jako dokonaly random (testovano pomici ent http://www.fourmilab.ch/random/), bude to nejaka kvalitni sifra (AES, twofish ...). Rozhodne to neni nejakej hloupej XOR.
Bez kernelu a lila bohuzel nedokazu rict vice.
Michal
-
No niesu to ziadne doverne data, takze davam image 2 partition ak je niekdo zvedavy
1. 8MB tam je kernel, initrd a lilo (to namountovat lze)
2. To je ten FS, do ktoreho sa neviem dostat
server: mia.leris.cz
user: ftp_hostujemeweby_cz
pass: rasto
-
zdravim, priznam sa, ze som necital celu diskusiu, len som videl ze je to pomerne stary system a ze dokaze nabehnut. Pamatam sa,ze v tom case bol na ssh nejaky exploit, mozno tadial povedie rychlejsia cesta.
-
Velikost je presne 4MB (4*1024*1024) - kdyby to bylo komprimovane, divil bych se, ze by se to trefilo presne na 4MB.
Proto nemyslim, ze by to bylo necim komprimovane, spis jenom zasifrovane.
Vzhledem k tomu ze to ma velmi vysokou entropii a data vypadaji temer jako dokonaly random (testovano pomici ent http://www.fourmilab.ch/random/), bude to nejaka kvalitni sifra (AES, twofish ...). Rozhodne to neni nejakej hloupej XOR.
jj zasifrovano kodem sysfs ;D ;D ;D 8) :o je to tady koukam jeden hacker vedle druhyho....
-
jj zasifrovano kodem sysfs ;D ;D ;D 8) :o je to tady koukam jeden hacker vedle druhyho....
Sakra, vy jste chytrej! Ale jak to ma clovek vedet, kdyz o sysfs nemluvi ani man mount.
-
ty si mi hacker - vedle jak ta jedle! ::)
-
Tak sa to podarilo. Initrd bolo zasirovane a klucom bolo najst v jadre ako, pretoze to pouzivalo k tomu este seriove cislo MB a disku.
Tymto dakujem uzivatelovi RDa, ktory na to cele prisiel a vyskumal. Je to ozajstny hacker :)
-
Neděkuj a pošli mu ty prachy.
-
Neděkuj a pošli mu ty prachy.
Stve ta, ze si to nebol ty ze ? :)
-
Poklona!
Mohl bych pozadat o strucny navod jak docilit rozsirovani initrd respektive jak si takhle zabezpecit instalaci?
Jak byla zasifrovana ta systemova partition?
-
Takhle "zabezpecit" instalaci nema smysl, popravde nema smysl zabezpecovat instalaci vubec - protoze vsechno jde obejit.
Je to uplne stejny problem jako v pripade zabezpeceni audiovizualnich del - to co jde prehrat pujde vzdy i zkopirovat :)
-
Mohl bych pozadat o strucny navod jak docilit rozsirovani initrd respektive jak si takhle zabezpecit instalaci?
Pokud to chcete rozsirovat, tak nevim. Zalezi na tom, v jakem slova smyslu mate na mysli. Pokud to chcete rozsifrovat, zkuste prikaz mount.
Jak byla zasifrovana ta systemova partition?
Nebyla.
-
myslel jsem "jak rozsifrovat initrd" v tomto pripade - thx
-
Taky se přidávám k pokloně. Říkal jsem si, že se do toho ani nemá smysl pouštět, že to může být libovolné custom šifrování v jádře... Jak jsi to objevil? To's se páral s reverse engineeringem nebo to je něco známýho, co se běžně používá? Můžeš popsat aspoň ve zkratce, jak jsi to rozlouskl?
-
Porovnaval zmeny oproti normalnemu jadru a hladal rozdiely v disassebleri.
-
Porovnaval zmeny oproti normalnemu jadru a hladal rozdiely v disassebleri.
Jo, to mě taky napadlo jako nejzchůdnější cesta. Akorát člověk musí vědět, z jaké distribuce to jádro je, nebo doufat, že je vanilla.
Každopádně teda ale dobrá práce :)