Server a hackersky oriesok

Server a hackersky oriesok
« kdy: 16. 08. 2012, 10:56:42 »
Zdravim,

dostal som do ruk server u ktoreho je potreba sklonovat disk. Ked sa disk naklonuje napr. pomocou dd, tak pri boote nemoze mountnut root FS. Ak nabootuje na vlastnom HW s original diskom, nabehnu Xka a aplikacia. Pozor neda sa dostat do shellu, takze neviem sa pozriet na disk.
Ak dam disk do druheho systemu, tak vidim: sda1,sda2,sda3
sda1: 8MB partition kde je initrc, kernel a lilo.conf s heslom
sda2: 100MB asi root FS
sda3: logy, aplikacne blbosti

zvlastne je, ze fdisk sda2 vidi, ale "blkid" ho uz nezobrazi. Nejde ani mountnut, neviem ani zistit co je to za filesystem.
Uvazoval som nad cryptovanym FS, ale ten je cez blkid vidiet. Mozno niejaky HW crypt modul na zakladnej doske ?

Kedze mam dostupny initrc, tak mozno by ho slo upravit a zaviest modul, co by mi umoznil pristup na tuto nedostupnu partition ?

Nenapada Vas nieco ? Robila to niejaka firma pred par rokmi a uz po nej neni ani chyru ani slychu, takze som na to sam.
Dakujem za kazdy napad


Re:Server a hackersky oriesok
« Odpověď #1 kdy: 16. 08. 2012, 12:37:50 »
pokusit sa vojst do shellu pri bootovani.

ak viete zistit heslo zavadzaca (asi lilo), tak dat za parametre kernelu init=/bin/bash a potom skumat dalej

RDa

Re:Server a hackersky oriesok
« Odpověď #2 kdy: 16. 08. 2012, 13:31:36 »
nasdilejte image disku at se muzem taky podivat ;)

Diskobolos

Re:Server a hackersky oriesok
« Odpověď #3 kdy: 16. 08. 2012, 14:21:19 »
> Pozor neda sa dostat do shellu

Co?! Pokud máš klávesnici, myš a běžící prostředí, tak snad není problém.
Máš usera/roota? Pak přepni konzolu pomocí Ctrl-Alt-F1 nebo ssh a fdisk/dd...

Re:Server a hackersky oriesok
« Odpověď #4 kdy: 16. 08. 2012, 15:05:11 »
Do lila sa neda skocit, je tam asi timeout 0. Nemam usera ani root, ani konzolu neprepnem.
Pravdepodobne init spusta iba Xka a v nich aplikaciu, ktora sa respawnuje.


PCnity

  • *****
  • 692
    • Zobrazit profil
    • E-mail
Re:Server a hackersky oriesok
« Odpověď #5 kdy: 16. 08. 2012, 15:16:55 »
Najvacsi kamarat Magic SysRq :)

lmb

Re:Server a hackersky oriesok
« Odpověď #6 kdy: 16. 08. 2012, 15:29:31 »
Do lila sa neda skocit, je tam asi timeout 0. Nemam usera ani root, ani konzolu neprepnem.
Pravdepodobne init spusta iba Xka a v nich aplikaciu, ktora sa respawnuje.
když podržíš Shift, tak se timeout ignoruje
jinak boot z CD/USB/whatever => plnej přístup

trubicoid2

Re:Server a hackersky oriesok
« Odpověď #7 kdy: 16. 08. 2012, 15:49:46 »
ten sda2 bude velmi pravdepodobne zasifrovanej a otevira se klicem/heslem nekde v tom initrd. Do initrd se muzes podivat, nebo ho nekde vystavit (jak zde uz zaznelo)? Mozna maji v tom starym serveru nejakej malinkej usb-flash nebo CF s tokenem, kterej sda2 rozsifruje?

kdyz nabootujes neco jinyho, treba rescuecd, tak se da zkusit trebas:

Kód: [Vybrat]
cryptsetup isLuks /dev/sdb2
jestli nepouzivaji luks, ale jenom holej starej cryptsetup nebo loop-aes, tak to se neda zjistit, jedine ze bys nasel klic a znal i sifru

Re:Server a hackersky oriesok
« Odpověď #8 kdy: 16. 08. 2012, 16:17:19 »
1. magic sysrq ma nenapadlo, skusim ... asi to ale v kerneli zapnute nebude.
2. luks nepouzivaju, uz som to skusil, je to stary stroj.
3. drzanie shiftu tiez nefunguje
4. ten token neviem nikde najst
5. skusim rozbalit initrd a pozriet sa do neho, napisem ak nieco najdem

zatial dik za rady

Re:Server a hackersky oriesok
« Odpověď #9 kdy: 16. 08. 2012, 22:42:40 »
Tak initrd neviem otvorit. Neni to ani cpio archive, ani gzip, ani ram disk.
Inac do lila som sa dostal, heslo som vycital s lilo.conf, ale akekolvek parametre mu dam (single, init=/bin/sh) neberie.

hmmm

hyza

Re:Server a hackersky oriesok
« Odpověď #10 kdy: 16. 08. 2012, 23:07:26 »
co to je za hw? cpu architektura atd?

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Server a hackersky oriesok
« Odpověď #11 kdy: 16. 08. 2012, 23:23:03 »
Tak initrd neviem otvorit. Neni to ani cpio archive, ani gzip, ani ram disk.

Co rika file?

Lol Phirae

Re:Server a hackersky oriesok
« Odpověď #12 kdy: 16. 08. 2012, 23:35:43 »
Tak initrd neviem otvorit. Neni to ani cpio archive, ani gzip, ani ram disk.

Eh...

Kód: [Vybrat]
xzcat <soubor> | cpio -i -d -H newc --no-absolute-filenames
Jak to je zkomprimováno (gzip|bzip2|lzma|xz) ti řekne file...

RDa

Re:Server a hackersky oriesok
« Odpověď #13 kdy: 16. 08. 2012, 23:59:03 »
Je srandovni videt jak se snazi novacci v oboru :)

PS. cpio ma nekolik verzi a ty soucasne uz nejsou pouzitelne na stare archivy. Nektere veci proste musite delat "po staru" :)

Lol Phirae

Re:Server a hackersky oriesok
« Odpověď #14 kdy: 17. 08. 2012, 00:39:51 »
Je srandovni videt jak se snazi novacci v oboru :)

PS. cpio ma nekolik verzi a ty soucasne uz nejsou pouzitelne na stare archivy. Nektere veci proste musite delat "po staru" :)

Eh...

Kód: [Vybrat]
`-H FORMAT'
`--format=FORMAT'
     Use archive format FORMAT.  The valid formats are listed below
     with file size limits for individual files in parentheses; the same
     names are also recognized in all-caps.  The default in copy-in
     mode is to automatically detect the archive format, and in
     copy-out mode is `bin'.

    `bin'
          The obsolete binary format. (2147483647 bytes)

    `odc'
          The old (POSIX.1) portable format. (8589934591 bytes)

    `newc'
          The new (SVR4) portable format, which supports file systems
          having more than 65536 i-nodes. (4294967295 bytes)

    `crc'
          The new (SVR4) portable format with a checksum added.

    `tar'
          The old tar format. (8589934591 bytes)

    `ustar'
          The POSIX.1 tar format.  Also recognizes GNU tar archives,
          which are similar but not identical. (8589934591 bytes)

    `hpbin'
          The obsolete binary format used by HPUX's cpio (which stores
          device files differently).

    `hpodc'
          The portable format used by HPUX's cpio (which stores device
          files differently).