Brute Forcer [Schul Projekt]

[Nerospeed]

Hallo,

ich stehe vor einen Problem. Ich halte am Montag ein Referat über Angriffe auf ein Netzwerk. Da gehe ich im Praktischen Teil auf einen Brute Force Attake ein. Der zweite Teil besteht dann darin dieses durch verschiedene Verfahren zu verhinden (SSH Port ändern, Fail2Ban, SSH Einstellungen)

Nun würde ich gerne ein Script haben welches mir den Angriff übernimmt. Dachte an sowas wie eine Datei mit Passwörten auslesen und dann versuchen als root sich an ein System in der VM anzumelden.

Leider finde ich dazu nicht recht viel. Könnt Ihr mir da helfen?
Was ich nicht wollte ist es manuell zu machen ssh IP ..... root und dann a "enter" ab "enter". Es soll ja der Klasse zeigen wie sowas oft abläuft.

Vielen dank

Nero

[neuss]

Hallo,

verstehe deine Frage nicht.
Kann es sein, daß du dich bei deinem Referat im Thema vergriffen hast?
Um Wissen zu vermitteln, ist es durchaus hilfreich Wissen zu besitzen.
Beschreibe dein Anliegen bitte genau, wenn ich "SSH Port ändern, Fail2Ban, SSH Einstellungen" lese, denke ich an Kinderkacke.

gruss neuss

[Milbret]

Was er am liebsten haben will, was dann unser Teil sein soll, ist ein Skript mit dem er sowas machen kann :/
Ich persönliche halte nichts von sowas.
Selbst als Demoskript würde ich sowas auch Prinzipien nicht machen.
Ist so ähnlich wie Hacker zu sein. Man hat zwar das Wissen wie, aber zeigt es nicht jedem da es auch andere ausnutzen könnten

Martin

[mragucci]

Hallo,
Um Wissen zu vermitteln, ist es durchaus hilfreich Wissen zu besitzen.
Beschreibe dein Anliegen bitte genau, wenn ich "SSH Port ändern, Fail2Ban, SSH Einstellungen" lese, denke ich an Kinderkacke.
gruss neuss

Ja, jetzt hat er sicherlich das nötige Wissen erhalten. Besonders deine Einschätzung, das sei alles "Kinderkacke" hat ihn sicherlich weitergebracht.

Ist so ähnlich wie Hacker zu sein. Man hat zwar das Wissen wie, aber zeigt es nicht jedem da es auch andere ausnutzen könnten
Martin

Selten so einen Schwachsinn gelesen

Hallo,

ich stehe vor einen Problem. Ich halte am Montag ein Referat über Angriffe auf ein Netzwerk. Da gehe ich im Praktischen Teil auf einen Brute Force Attake ein. Der zweite Teil besteht dann darin dieses durch verschiedene Verfahren zu verhinden (SSH Port ändern, Fail2Ban, SSH Einstellungen)

Nero

Mit SSH hast Du Dir das falsche Programm ausgesucht, da es kein Passwort auf der Kommandozeile akzeptiert. Also brauchst Du ein Programm das speziell Angriffe auf SSH durchführt. Ausserdem soll es doch um Sicherheit im Netzwerk gehen, warum gehst Du dann explizit auf SSH ein? Das gibt Punktabzug!

Nimm ein anderes Programm, dann funktioniert das in etwa so

Code: Alles auswählen

for i in /PFAD/ZUR/DATEI; do DASCLIENTPOGRAMM -PASSWORDSWITCH $i; done

Oder Du schneidest mit nem Sniffer den FTP Datentransfer mit und zeigst allen stolz, wie das Passwort im Klartext übertragen wird, und verweise dann auf sichere Alternativen. In dem Bereich hast Du doch extrem viele Möglichkeiten einen Lehrer zu beeindrucken...

[Nerospeed]

Hallo,

naja die Reaktionen habe ich zum teil erwartet. Da ich mich über diese "Kinderkacke" nicht aufregen will übergehe ich das mal ganz dezent.

Nun zum Thema. Einige die einen Root Server besitzen kennen doch solche Probleme. Das Log quilt über vor versuchen das root Passwort raus zubekommen oder es wird ein DoS Angriff gestartet. Nun in meinen Referat gehe ich genau auf solche sachen ein. Ich Erkläre wie eine DoS, DDoS, Smurf, IP Spoofing, Portscan abläuft und was es "anrichten' kann.
Im Praktischen Teil will ich (alles auf VM´s) eine BruteForce attake ausübern. Mein Client soll den Brute Force starten. In der Datei habe ich mein Passwort vom Server hinterlegt (soll ja nicht ewig dauern). Der Login findet statt und ich habe die Kontrolle.

Dann ändere ich den Port in der sshd_config auf zB 123. Nun zeige ich den Portscan und beweise das diese änderung nur eine Verlagerung des Problems ist.
Als gute Methode nehme ich nun Fail2Ban, welches mir ja die Logs untersucht und einen CLient dann via IP Tables bannt.

Dann gebe ich noch ein paar vor und nachteile zu der Key sache in SSH und bin dann am ende.
Natürlcih ist ein Server nicht direkt ein Netzwerk nur man kann einen gekarperten ja auch für einen Angriff auf ein Netzwerk benutzen.

Aber auch das SNiffen wäre eine überlegung wert. Wie zb mit Cain wo man ohne weiteres zB Proxy anmeldungen mitloggen kann da diese ja unverschlüsselt stattfinden.

Mhh jetzt bin ich mir nicht mehr schlüssig.

HILFE
*EDIT*
Das genau Thema heißt Theorie und Praxis der Angriffsarten auf Netzwerke
Gruß Nero

[Danielx]

Mit SSH hast Du Dir das falsche Programm ausgesucht, da es kein Passwort auf der Kommandozeile akzeptiert.

Man kann das Passwort auch anders übergeben!

Code: Alles auswählen

#!/usr/bin/expect -f
# Expect script to supply root/admin password for remote ssh server
# and execute command.
# This script needs three argument to(s) connect to remote server:
# password = Password of remote UNIX server, for root user.
# ipaddr = IP Addreess of remote UNIX server, no hostname
# scriptname = Path to remote script which will execute on remote server
# For example:
#  ./sshlogin.exp password 192.168.1.11 who
# ------------------------------------------------------------------------
# Copyright (c) 2004 nixCraft project <http://cyberciti.biz/fb/>
# This script is licensed under GNU GPL version 2.0 or above
# -------------------------------------------------------------------------
# This script is part of nixCraft shell script collection (NSSC)
# Visit http://bash.cyberciti.biz/ for more information.
# ----------------------------------------------------------------------
# set Variables
set password [lrange $argv 0 0]
set ipaddr [lrange $argv 1 1]
set scriptname [lrange $argv 2 2]
set arg1 [lrange $argv 3 3]
set timeout -1
# now connect to remote UNIX box (ipaddr) with given script to execute
spawn ssh root@$ipaddr $scriptname $arg1
match_max 100000
# Look for passwod prompt
expect "*?assword:*"
# Send password aka $password
send -- "$password\r"
# send blank line (\r) to make sure we get back to gui
send -- "\r"
expect eof

Gruß,
Daniel

[Danielx]

Das genau Thema heißt Theorie und Praxis der Angriffsarten auf Netzwerke

Sind damit nur Angriffe von außen gemeint oder auch so etwas wie ARP-Spoofing u.s.w.?

Gruß,
Daniel

[habakug]

Hallo!

Naja, @mragucci ist mit Sicherheit kein "Hacker". Eher eine Art päpstlicher Gesandter

Du könntest dir eine BackTrack-CD [1] herunterladen, da ist alles für solche Spielchen schon vorbereitet.
Aber ob das bis Montag alles hinhaut....

Gruß, habakug

[1] http://en.wikipedia.org/wiki/BackTrack

[mragucci]

Man kann das Passwort auch anders übergeben!

Ja, indem Du den Client in einen Wrapper steckst der mit expect arbeitet - Ist das jetzt kein programmatischer Weg?

[Danielx]

Ist das jetzt kein programmatischer Weg?

Ja und?
Für Bruteforce braucht man immer ein Programm, es sei denn man gibt die Passwörter manuell ein.
Das bezog sich auf deine Aussage, dass er sich mit SSH das falsche Programm ausgesucht hätte, da es keine Passwörter auf der Kommandozeile akzeptiert.
Und die Begründung ist schwachsinnig, da es andere Möglichkeiten gibt, SSH die Daten zu übergeben.
Das ist so als würde ich jemandem sagen, er hätte sich die falsche Türe ausgesucht, um in ein Gebäude zu gehen, da die Türe leider nicht akzeptiert nach innen geöffnet zu werden, wenn die Türe sich nach außen öffnen lässt.

Gruß,
Daniel

[123456]

sollte dann jemand aus der Klasse auf die Idee kommen als Nachahmungstäter zu agieren und das neu erworbene Wissen auszuprobieren ... Menschen sind ja neugierig und zur Imitation fähig und Gut und Böse auseinanderzuhalten ist ja auch oft nicht so einfach - erzähl ihnen auch vom STGB §202c:
http://de.wikipedia.org/wiki/Hackerparagraf

da kriegen sie die Nasen langgezogen und kommen in den Schulkerker - mit Wasser und Brot natürlich.

[catdog2]

da kriegen sie die Nasen langgezogen und kommen in den Schulkerker - mit Wasser und Brot natürlich.

Da rollt der Schäuble dann persönlich an und führt den finalen rettungsschuss aus.


Um ssh ein Passwort zu übergeben reicht es schon ein bisschen in den debian repos zu wühlen:

Code: Alles auswählen

Package: sshpass
Description: Non-interactive ssh password authentication
 SSH's (secure shell) most common authentication mode is called "interactive
 keyboard password authentication", so called both because it is typically
 done via keyboard, and because openssh takes active measures to make sure
 that the password is, indeed, typed interactively by the keyboard. Sometimes,
 however, it is necessary to fool ssh into accepting an interactive password
 non-interactively. This is where sshpass comes in.
 .
 SECURITY NOTE: There is a reason openssh insists that passwords be typed
 interactively. Passwords are harder to store securely and to pass around
 securely between programs. If you have not looked into solving your needs
 using SSH's "public key authentication", perhaps in conjunction with the ssh
 agent (RTFM ssh-add), please do so before being tempted into using this
 package.
Homepage: http://sourceforge.net/projects/sshpass
Tag: implemented-in::c, protocol::ssh, role::program, scope::utility, security::authentication, use::login

wenn ich "SSH Port ändern, Fail2Ban, SSH Einstellungen" lese, denke ich an Kinderkacke.

Hoffentlich ersparst du uns, an was du sonst noch so den ganzen Tag denkst.

[mragucci]

Ist das jetzt kein programmatischer Weg?

Ja und?
Für Bruteforce braucht man immer ein Programm, es sei denn man gibt die Passwörter manuell ein.
Das bezog sich auf deine Aussage, dass er sich mit SSH das falsche Programm ausgesucht hätte, da es keine Passwörter auf der Kommandozeile akzeptiert.
Und die Begründung ist schwachsinnig, da es andere Möglichkeiten gibt, SSH die Daten zu übergeben.
Das ist so als würde ich jemandem sagen, er hätte sich die falsche Türe ausgesucht, um in ein Gebäude zu gehen, da die Türe leider nicht akzeptiert nach innen geöffnet zu werden, wenn die Türe sich nach außen öffnen lässt.

Gruß,
Daniel

Man braucht eben NICHT für jeden Bruteforce Angriff ein eigenes Programm, manchmal reicht einfach auch eine for Schleife, das war auch schon meine einzige Aussage. Dein script mag ja ganz toll sein, es bringt ihm aber nen Rotz, da er das Passwort noch immer manuell eingeben muss.

[gms]

Man braucht eben NICHT für jeden Bruteforce Angriff ein eigenes Programm, manchmal reicht einfach auch eine for Schleife, das war auch schon meine einzige Aussage. Dein script mag ja ganz toll sein, es bringt ihm aber nen Rotz, da er das Passwort noch immer manuell eingeben muss.

naja, mit deiner einfachen leeren for-Schleife wurde auch noch kein erfolgreicher Angriff duchgeführt
warum nicht sein Script in deiner for Schleife aufrufen ?

Gruß
gms

[Danielx]

Dein script mag ja ganz toll sein, es bringt ihm aber nen Rotz, da er das Passwort noch immer manuell eingeben muss.

Ich habe ja auch nie behauptet, dass man damit (ohne Modifikation oder ohne weiteres Skript/Programm) einen Bruteforce-Angriff realisieren kann.
Aber so eine "for Schleife" lässt sich ja schnell um das genannte expect-Skript herum bauen.

Gruß,
Daniel

[Nerospeed]

Das genau Thema heißt Theorie und Praxis der Angriffsarten auf Netzwerke

Sind damit nur Angriffe von außen gemeint oder auch so etwas wie ARP-Spoofing u.s.w.?

Gruß,
Daniel

Von außen eigendlich

[ckoepp]

Ich sags nicht gerne, aber neuss hat in dem Punkt schon etwas Recht: wirklich fundamentiert ist die Sache nicht. Wenn ich schon Portänderungen und fail2ban als Gegenmaßnahmen höre schalte ich beim fachlichen Teil ab. Aber gut...ist ja eine Schule, da darf der Anspruch an die Professionalität wohl auch mal geringer sein. Daher nur der Hinweis: solche Dinge unterscheiden gute Admins von Stümpern

BruteForce? Warum dann so kompiliziert? In SSH funktioniert das genauso wie mit der /etc/shadow und letzteres ist durch John eigentlich sogar Gang und Gebe in größeren Benutzerumgebungen um schwache Passwörter vor den bösen Jungs zu entdecken. Hat John innerhalb einer Zeitspanne das Passwort, dann wird der Account deaktiviert und eine böse eMail wird versendet

[gms]

Ich sags nicht gerne, aber neuss hat in dem Punkt schon etwas Recht: wirklich fundamentiert ist die Sache nicht.

ich gebe neuss sogar sehr gerne Recht
Die Frage war dürftig formuliert und wie sich nachher herausgestellt hat, wird das weitreichende Themengebiet "Theorie und Praxis der Angriffsarten auf Netzwerke" auf eine Angriffsart, die "Brute Force Attacke" reduziert. Dabei ist das nicht einmal eine reine Netzwerk Attacke, weil diese genauso gut ( eigentlich besser ) lokal funktioniert.
Die Bitte um mehr Information war daher absolut berechtigt, die genannten "Abwehrmechanismen": "SSH Port ändern, Fail2Ban, SSH Einstellungen", könnten zusammen mit "unnötige Dienste" abschalten, im Mini-HOWTO "wie mache ich mein System sicherer" Erwähnung finden.
Für ein Referat in einer Unterstufe ( heißt das bei euch anders ? ), mag das ja ausreichen, aber kennen wir schon die tatsächlichen Qualitätsansprüche ?

Gruß
gms

[123456]

...eigentlich sogar Gang und Gebe in größeren Benutzerumgebungen um schwache Passwörter vor den bösen Jungs zu entdecken.

"gang und gäbe" bitte - wir wollen ja den jungen Menschen aus der SMS Generation nicht auch noch bei der Rechtschreibung schlechtes Vorbild sein.
http://www.korrekturen.de/beliebte_fehl ... gebe.shtml

Hat John innerhalb einer Zeitspanne das Passwort, dann wird der Account deaktiviert und eine böse eMail wird versendet

Das das sinnvoll ist sei ubenommen, aber in welchen grossen Installationen macht man das denn? In normalen Firmennetzwerken gibts schon Gekreische wenn man regelmässig sein Passwort ändern muss.

[123456]

@OP
vielleicht solltest du auch erstmal über den Begriff Brute Force Attacke nachdenken:
http://de.wikipedia.org/wiki/Brute-Force-Methode
das bedeutet schlicht und einfach "ausprobieren aller Möglichkeiten".

[habakug]

Hallo!

Da ist sie wieder, die Forums-Elite, mit erhobenen Händen, an denen nur Zeigefinger sind
Zunächst einmal laufen 65% der Rechner, in die eingebrochen wird, mit dem Betriebssystem Linux [1]. Windows steht mit 25% noch ganz gut da, am "sichersten" sind BSD und OSX mit 4%. Der gebräuchlichste Angriff etwa auf SSH-Server ist jedoch nicht "brute force" sondern eine "dictionary attack" [2]. Ein "Wörterbuch" sieht dann etwa so aus:

Code: Alles auswählen

test:test
guest:guest
admin:admins
user:user
root:passwort
root:root
root:123456
test:123456

Das ist in 20 Sekunden erledigt und geht beim nächsten Rechner weiter. Die meisten werden jetzt lächeln und sich auf die Schulter klopfen, wie sicher sie doch ihre Passworte gewählt haben. Doch bei so einer Liste

Code: Alles auswählen

root:p@ssw0rd
root:p@sswort
root:passw0rt
root:pa$$wort
root:pa55wort
root:pa55w0rt

sieht man die ersten "Admins" zusammenzucken. "Leets" sind eine ungeeignete Methode ungeeignete Passworte zu verschleiern. Hier [3] ist nochmal zusammengefasst, wie man bei der Wahl eines Passwortes vorgehen sollte.
Man kann sich auch einfach ein Passwort generieren lassen, Tools dazu gibt es reichlich. Eine Zeile in der Konsole tut es aber z.B. auch:

Code: Alles auswählen

perl -e 'print map{("a".."z","A".."Z",0..9)[int(rand(62))]}(1..16)'

Ein nicht zu unterschätzendes Problem bleibt dabei jedoch der Umstand, das User und auch Administratoren dazu neigen ein komplexes Passwort aufzuschreiben und eine Angriffsfläche für Attacken ganz anderer Art liefern.
"John" ist nicht geeignet einen SSH-Server anzugreifen. Solche Software kommt erst zum Einsatz wenn man schon "drin" ist und etwa über eine shadow-Datei verfügt oder Zugriff darauf erhält (Live-CD). Für einen solchen Angriff gibt es Software wie Medusa [4], wenn denn schon Software genannt wird.
Jetzt bin ich mit meiner Kinderkacke fertig, ein hübsches kleines Häufchen ist es geworden. Diese Informationen stehen jedoch jedem zu, sei er Kind, Schüler oder gar Ausländer.
"fundamentiert" ist übrigens ein herrlicher Fachbegriff. Wenn der Betonwagenfahrer abends nach Hause kommt hat er wohl den ganzen Tag wieder fundamentiert. Oder?

Gruß, habakug

[1] http://www.linuxworld.com.au/article/72 ... p=2&fpid=1
[2] http://people.clarkson.edu/~owensjp/pubs/leet08.pdf
[3] http://www.usewisdom.com/computer/passwords.html
[4] http://www.foofus.net/jmk/medusa/medusa.html

[ckoepp]

"John" ist nicht geeignet einen SSH-Server anzugreifen. Solche Software kommt erst zum Einsatz wenn man schon "drin" ist und etwa über eine shadow-Datei verfügt oder Zugriff darauf erhält (Live-CD). Für einen solchen Angriff gibt es Software wie Medusa [4], wenn denn schon Software genannt wird.

...was hab ich denn oben geschrieben?

Dictionary ist nichts anderes als BruteForce unter Annahme von sinnvollen Passwörtern. Da brauchen wir nun keine Haarspalterei anfangen. Mir ging es um das Ganze

"fundamentiert" ist übrigens ein herrlicher Fachbegriff. Wenn der Betonwagenfahrer abends nach Hause kommt hat er wohl den ganzen Tag wieder fundamentiert.

Ja, ich mag den Begriff auch sehr gerne

[123456]

Da ist sie wieder, die Forums-Elite, mit erhobenen Händen, an denen nur Zeigefinger sind

Na besser als der Mittelfinger der in der Kinderkacke steckt ist der doch allemal oder?

Zunächst einmal laufen 65% der Rechner, in die eingebrochen wird, mit dem Betriebssystem Linux [1].

Das ist aus 2004?! Das kannst du sicher besser. Wtf is mi2g?
Das Linux nicht so sicher ist ist klar, aber wer behauptet denn hier das Gegenteil bisher?

"John" ist nicht geeignet einen SSH-Server anzugreifen. Solche Software kommt erst zum Einsatz wenn man schon "drin" ist und etwa über eine shadow-Datei verfügt oder Zugriff darauf erhält (Live-CD).

Wenn ich das richtig sehe hat auch das keiner behauptet bisher, auch wenn in einem Satz etwas unglücklich ausgedrückt.

Jetzt bin ich mit meiner Kinderkacke fertig, ein hübsches kleines Häufchen ist es geworden.

Allerdings.
ich habe noch ein Häufchen dazu gemacht. Was soll die junge Generation jetzt nur denken. Scheiss Fäkal Opis wahrscheinlich...

"fundamentiert" ist übrigens ein herrlicher Fachbegriff. Wenn der Betonwagenfahrer abends nach Hause kommt hat er wohl den ganzen Tag wieder fundamentiert. Oder?

Der war mir ja ganz entgangen.
Ich dachte eher an IT Fundamentalismus.

[habakug]

Hallo!

@ckoepp
Freut mich, das du es nicht persönlich nimmst. Ich konnte es mir einfach nicht verkneifen.
Du hattest es oben so formuliert:

BruteForce? Warum dann so kompiliziert? In SSH funktioniert das genauso wie mit der /etc/shadow[...]

In der default-Einstellung nutzt SSH die passwd- und shadow-Datei [1]. Es funktioniert also nicht "genauso wie" sondern das root-Passwort für das System ist eben das Passwort für den User "root" in SSH.

@ub13
Nett von dir. In Gesellschaft kackt es sich nochmal so gut. Ich wollte dem Threadersteller lediglich einige Informationen an die Hand geben und nicht nur mit endlos wiederholten Allgemeinplätzen glänzen.
Da die Anzahl der Linux-Rechner seit 2004 noch erheblich angewachsen ist, halte ich die Zahlen immer noch für aktuell. Das Paper der Clarkson University (2007) bestätigt das ja auch.

Gruß, habakug

[1] https://www.ssh.com/support/documentati ... ion-5.html

[neuss]

Hallo,

das schwache Passwörter die größte Sicherheitslücke darstellen ist doch bekannt. Hier ein Beispiel für ein unsicheres Passwort,

Code: Alles auswählen

$ makepasswd --chars=32
6Qcu0TSY6YYFnFCNTY9AQs94X32PT4bI

Jetzt bin ich mit meiner Kinderkacke fertig, ein hübsches kleines Häufchen ist es geworden.

Da verwechselt du ähnliche Begriffe mit grundlegend unterschiedlicher Bedeutung. Nennen wir es Klugscheiße

ins Klo greifend, neuss