[nepenthes] vncmoo

Monday, March 24. 2008

Posted by katsumi in nepenthes at 16:12 | Comments (0) | Trackbacks (0)

Wer einmal google nach FOOBAR-MUTTER ausschau halten lässt,
wird sehen, wie einfach es ist, das vuln-realvnc modul und damit nepenthes auf einem rechner nachzuweisen.
Es ist leicht möglich dieses zB. in einen rbot einzubauen.
Das auf ryan gepostete material wird den bot crashen, es war nur eine idee
und es war nicht geplant irgendwelchen skiddies damit etwas brauchbares in die finger zu geben.
Wer jedoch wirklich ausprobieren will, ob sein nepenthes honeypot dadurch entdeckt werden kann,
der kann sich auf offensivecomputing.net den rbotsource runterladen,
diesen compilen und ein vncmoo modul hinzufügen.
Ich werde bestimmt nicht hier erzählen, wie man das im einzelnen macht.
Ich möchte nur darauf hinweisen, dass es funktioniert.
...und jeder, der nicht entdeckt werden möchte, sollte sich einmal gedanken darum machen,
ob er dieses (vuln-realvnc) modul wirklich braucht oder ob es jemals einen wurm bekommen hat.

...um wenigstens den hostnamen zu ändern greppen wir einfachmal nach "FOOBAR-MUTTER" im source code.
Leider werden wir so nicht fündig!
Wir müssen nach dem code in hex suchen. Suchen wir nach "FOO":
grep -rn '0x46, 0x4f, 0x4f' vuln-realvnc
wenn wir im modules folder sind und erhalten:
vuln-realvnc/vuln-realvnc.cpp:292: 0x46, 0x4f, 0x4f, 0x42, 0x41, 0x52, 0x2d, 0x4d,
Der abschnitt sieht so aus: 288 static const char vnc_isupport[] = { 289 0x04, 0x3a, 0x02, 0xff, 0x20, 0x18, 0x00, 0x01, 290 0x00, 0xff, 0x00, 0xff, 0x00, 0xff, 0x10, 0x08, 291 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x0d, 292 0x46, 0x4f, 0x4f, 0x42, 0x41, 0x52, 0x2d, 0x4d, 293 0x55, 0x54, 0x54, 0x45, 0x52};
Ab zeile 292 können wir nun unseren hostnamen ersetzen.
Mit ein wenig Hilfe von C bekommen wir zB. für "KATSUMIS-SERVER":


                       static const char vnc_isupport[] = {
                                0x04, 0x3a, 0x02, 0xff, 0x20, 0x18, 0x00, 0x01,
                                0x00, 0xff, 0x00, 0xff, 0x00, 0xff, 0x10, 0x08,
                                0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x0d,
                                0x4b, 0x41, 0x54, 0x53, 0x55, 0x4d, 0x49, 0x53,
                                0x2d, 0x53, 0x45, 0x52, 0x56, 0x45, 0x52};

Den hostnamen in hex kann man sich durch ein einfaches C programm ausgeben lassen: #include "stdio.h" int i; char foobar[]="KATSUMIS-SERVER"; int main(void) { for (i=0; i<(sizeof(foobar)-1); i++) { printf(" 0x%x,", foobar[i]); } printf("\n"); }
Danach kompilieren wir das modul neu und hoffen nun unseren neuen hostnamen zu sehen.
Ich habe soeben das modul kompiliert und hoffe nun, dass "KATSUMIS-SERVER" bald nachfragen erhält ;)

Trackbacks

Trackback specific URI for this entry

No Trackbacks

Comments

Display comments as (Linear | Threaded)

No comments

Add Comment

Name
Email
Homepage
In reply to
Comment	To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly. Enter the string from the spam-prevention image above: BBCode format allowed
	Remember Information? Subscribe to this entry

[nepenthes] vncmoo

blog.grospolina.net

Monday, March 24. 2008

[nepenthes] vncmoo

Pages

Links

Quicksearch

Categories

Archives

Top Referrers

Letzte Goggele Suche

Syndicate This Blog

Exploit-db, feed me!

Glasfeed