Bonjour,
La société pour laquelle je travaille a eu un audit de sécurité (pour la messagerie lotus) la semaine dernière.
D'après le rapport fournit par la société qui a effectué l'audit il est possible de récupérer les hash des mots de passe de utilisateur
État constaté
Nous avons été en mesure de récupérer un très grand nombre de hashs de mots de passe sur le domaine audité.
names.nsf
N'étant pas la le jour de l'audit je n'ai donc pas pu voir comment il ont récupérer les hash des mots de passe. Pouvez-vous m'expliquer comment faire, pour voir si la solution qu'il me propose pour réglé cette faille fonctionne correctement.
Hash mot de passe base names.nsf
16 messages
• Page 1 sur 2 • 1, 2
Hash mot de passe base names.nsf
par molbento » 16 Fév 2010 à 16:40
-
molbento - Posteur habitué
- Message(s) : 212
- Inscrit(e) le : 20 Jan 2009 à 20:15
par Michael DELIQUE » 19 Fév 2010 à 11:48
salut
je serais curieux de savoir comment ils ont fait !
normalement le Hash ne permet pas de retrouver le mot de passe internet (c'est bien celui-là ?)
je n'ai jamais entendu parler de cette faille...
je serais curieux de savoir comment ils ont fait !
normalement le Hash ne permet pas de retrouver le mot de passe internet (c'est bien celui-là ?)
je n'ai jamais entendu parler de cette faille...
Cordialement
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
-
Michael DELIQUE - Administrateur
- Message(s) : 12183
- Inscrit(e) le : 16 Déc 2004 à 10:36
- Localisation : Paris/Cergy
par molbento » 19 Fév 2010 à 13:32
Salut ERU,
Moi aussi pour résoudre le problème de sécurité je dois mettre en place les XACLs. Mais j'aurais bien aimé savoir comment ils ont fait pour récupérer le hash des mots de passe. Je sais juste qu'il ont réussit en se connectant à la base names.nsf par le web. et que pour obtenir les informations caché il faut regarder le code source de la page web, et c'est la ou l'on trouve le mot de passe hash. La variable contenant le mot de passe se nomme :
HTTPPassword ou dspHTTPPassword
Moi aussi pour résoudre le problème de sécurité je dois mettre en place les XACLs. Mais j'aurais bien aimé savoir comment ils ont fait pour récupérer le hash des mots de passe. Je sais juste qu'il ont réussit en se connectant à la base names.nsf par le web. et que pour obtenir les informations caché il faut regarder le code source de la page web, et c'est la ou l'on trouve le mot de passe hash. La variable contenant le mot de passe se nomme :
HTTPPassword ou dspHTTPPassword
-
molbento - Posteur habitué
- Message(s) : 212
- Inscrit(e) le : 20 Jan 2009 à 20:15
par eru » 19 Fév 2010 à 13:40
Je ne sais pas comment ils ont fait, mais cela a été fait par des professionnels très pointus de la sécurité.
Je n'ai pas eu accès au rapport d'audit
Mais ils l'ont fait, et bien d'autre chose encore
Pour la mise en place des Xacl,
Bon courage, je l'ai pas fait, mais j'en ai entendu parlé, cela n'a pas l'air simple
Je vais essayez d'avoir des infos en interne.
Voila, je l'ai ai, j'ai bien sur viré tout ce qui était confidentiel
Il est marqué
---------------------
Test en Interne
---------------------
La base names.nsf contient les hashes de
mots de passe de tous les utilisateurs ; il est
possible de les récupérer en accédant aux
champs cachés.
La base « names.nsf » correspond au carnet d’adresses de l’entreprise. Elle possède à minima des
droits en lecture pour tous les utilisateurs authentifiés.
Malheureusement, cette base stocke par défaut un grand nombre d’informations superflues, voire
confidentielles, qui ne sont pas directement visibles. En effet, la consultation de la fiche contact
d’un utilisateur ne laisse pas apparaître d’élément sensible. Cependant, à condition d’afficher le
code source de la page, il est possible de consulter un grand nombre de balises cachées de type
« INPUT » ; dont le champ appelé « HTTPPassword » qui contient le hash du mot de passe Web
de l’utilisateur. Celui-ci sert aux connexions HTTP aux serveurs Domino, comme pour les accès
Webmail par exemple.
D'autres données confidentielles peuvent être accédées (la date de dernière modification du mot
de passe (champ « HTTPPasswordChangeDate »), la plate-forme (champ « ClntPltfrm »), le nom
de machine (champ « ClntMachine »), etc.
Une personne malveillante, disposant d’un accès, a alors la possibilité de se procurer les hashes
de mots de passes de tous les utilisateurs pour ensuite tenter une attaque par dictionnaire, ou par
force brute, afin de retrouver les mots de passe en clair.
Un attaquant pouvant accéder à la base names.nsf est en mesure de récupérer rapidement tous
les hashes contenus dans la base. Il peut ensuite réaliser une attaque par dictionnaire ou par
force brute sur une machine qu’il contrôle. Le but étant de retrouver les mots de passe des
utilisateurs, voire des administrateurs. Une fois les informations de connexion retrouvées, il peut
usurper l’identité des utilisateurs pour accéder à leurs services (webmail, intranet, etc.).
A l’aide d’un compte valide, communiqué dans le cadre de l’audit par les équipes d’administration,
nous nous sommes connectés sur la base names.nsf du serveur Domino . Un script en
partie développé sur place a été utilisé pour récupérer l’ensemble des hashes des utilisateurs
disponibles.
Une fois ces hashes récupérés, nous avons utilisé un cracker de mots de passe afin d’identifier les
mots de passe faibles (basés sur un dictionnaire, sur le nom du compte etc.)
Sur les 4500 comptes disposant d’un mot de passe HTTP, 2500 utilisent un mot de passe
suffisamment « faible » pour être trouvé par notre cracker.
En particulier, un administrateur du serveur faisait partie des comptes trouvés. Nous verrons par
la suite que ce compte a pu être utilisé pour accéder à la base « webadmin.nsf ».
Je n'ai pas eu accès au rapport d'audit
Mais ils l'ont fait, et bien d'autre chose encore
Pour la mise en place des Xacl,
Bon courage, je l'ai pas fait, mais j'en ai entendu parlé, cela n'a pas l'air simple
Je vais essayez d'avoir des infos en interne.
Voila, je l'ai ai, j'ai bien sur viré tout ce qui était confidentiel
Il est marqué
---------------------
Test en Interne
---------------------
La base names.nsf contient les hashes de
mots de passe de tous les utilisateurs ; il est
possible de les récupérer en accédant aux
champs cachés.
La base « names.nsf » correspond au carnet d’adresses de l’entreprise. Elle possède à minima des
droits en lecture pour tous les utilisateurs authentifiés.
Malheureusement, cette base stocke par défaut un grand nombre d’informations superflues, voire
confidentielles, qui ne sont pas directement visibles. En effet, la consultation de la fiche contact
d’un utilisateur ne laisse pas apparaître d’élément sensible. Cependant, à condition d’afficher le
code source de la page, il est possible de consulter un grand nombre de balises cachées de type
« INPUT » ; dont le champ appelé « HTTPPassword » qui contient le hash du mot de passe Web
de l’utilisateur. Celui-ci sert aux connexions HTTP aux serveurs Domino, comme pour les accès
Webmail par exemple.
D'autres données confidentielles peuvent être accédées (la date de dernière modification du mot
de passe (champ « HTTPPasswordChangeDate »), la plate-forme (champ « ClntPltfrm »), le nom
de machine (champ « ClntMachine »), etc.
Une personne malveillante, disposant d’un accès, a alors la possibilité de se procurer les hashes
de mots de passes de tous les utilisateurs pour ensuite tenter une attaque par dictionnaire, ou par
force brute, afin de retrouver les mots de passe en clair.
Un attaquant pouvant accéder à la base names.nsf est en mesure de récupérer rapidement tous
les hashes contenus dans la base. Il peut ensuite réaliser une attaque par dictionnaire ou par
force brute sur une machine qu’il contrôle. Le but étant de retrouver les mots de passe des
utilisateurs, voire des administrateurs. Une fois les informations de connexion retrouvées, il peut
usurper l’identité des utilisateurs pour accéder à leurs services (webmail, intranet, etc.).
A l’aide d’un compte valide, communiqué dans le cadre de l’audit par les équipes d’administration,
nous nous sommes connectés sur la base names.nsf du serveur Domino . Un script en
partie développé sur place a été utilisé pour récupérer l’ensemble des hashes des utilisateurs
disponibles.
Une fois ces hashes récupérés, nous avons utilisé un cracker de mots de passe afin d’identifier les
mots de passe faibles (basés sur un dictionnaire, sur le nom du compte etc.)
Sur les 4500 comptes disposant d’un mot de passe HTTP, 2500 utilisent un mot de passe
suffisamment « faible » pour être trouvé par notre cracker.
En particulier, un administrateur du serveur faisait partie des comptes trouvés. Nous verrons par
la suite que ce compte a pu être utilisé pour accéder à la base « webadmin.nsf ».
Dernière édition par eru le 19 Fév 2010 à 14:09, édité 1 fois.
-
eru - Posteur expérimenté
- Message(s) : 310
- Inscrit(e) le : 05 Nov 2009 à 15:13
par amahi » 19 Fév 2010 à 14:05
Ce n'est pas parcequ'il on eu acces au Hash du mot de passe qu'il on accès au mot de passe. L'information est effectivement stocké dans le HTTPPassword, de la à ce qu'elle soit exploitable...
Le plus simple serait que tu leur donne ton mot de passe hashé et que tu leur demande de le decrypter. Tu verra de suite comme ça s'il sont si doué.
Le plus simple serait que tu leur donne ton mot de passe hashé et que tu leur demande de le decrypter. Tu verra de suite comme ça s'il sont si doué.
- amahi
- Empereur des posts
- Message(s) : 1032
- Inscrit(e) le : 08 Jan 2007 à 16:57
- Localisation : Region parisienne
par Michael DELIQUE » 19 Fév 2010 à 14:14
ok, comme ça je comprend mieux
XACl = ACL étendu c'est bien ça ?
XACl = ACL étendu c'est bien ça ?
Cordialement
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
-
Michael DELIQUE - Administrateur
- Message(s) : 12183
- Inscrit(e) le : 16 Déc 2004 à 10:36
- Localisation : Paris/Cergy
par Michael DELIQUE » 19 Fév 2010 à 14:42
un lien interresant sur XACL => http://domino.stergann.org/Web/domspher ... MOY-7BYTJU
Cordialement
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
-
Michael DELIQUE - Administrateur
- Message(s) : 12183
- Inscrit(e) le : 16 Déc 2004 à 10:36
- Localisation : Paris/Cergy
par Dominux » 19 Fév 2010 à 15:17
Pour info, il n'est pas utile d'accéder directement au names.nsf en http. Le Formsx.nsf (boite à outil pour iNotes) permet d'accéder au names.nsf et donc quasiment à n'importe quelle donnée.
A savoir que le xACL fonctionne uniquement pour les protocoles internet, donc un simple Propriété du document du names.nsf via un client Notes suffit à accéder au mot de passe hashé!
Pour décrypter un mot de passe, le principe reste simple : faire tourner une moulinette qui va créer des mots de passe (bien souvent suivant un dictionnaire), les hasher et voir si ca correspond, c'est de la Brute Force!
A savoir que le xACL fonctionne uniquement pour les protocoles internet, donc un simple Propriété du document du names.nsf via un client Notes suffit à accéder au mot de passe hashé!
Pour décrypter un mot de passe, le principe reste simple : faire tourner une moulinette qui va créer des mots de passe (bien souvent suivant un dictionnaire), les hasher et voir si ca correspond, c'est de la Brute Force!
-
Dominux - Administrateur
- Message(s) : 1201
- Inscrit(e) le : 16 Déc 2004 à 10:56
- Localisation : Nantes
par molbento » 19 Fév 2010 à 16:08
Exactement Dominux c'est exactement ce qu'ils ont fait pour trouver les mot de passe internet des utilisateurs. A ma grande surprise ils ont réussi a décoder 80% des mot de passe des utilisateurs qui utilises des mot de passe simple. Par contre mon mot de passe 15 caractères avec des caractères alphanumériques et spéciaux n'a pas été découvert.
-
molbento - Posteur habitué
- Message(s) : 212
- Inscrit(e) le : 20 Jan 2009 à 20:15
par Michael DELIQUE » 20 Fév 2010 à 12:57
ce qui confirme que la sécurité est aussi une affaire de formation !
Cordialement
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
-
Michael DELIQUE - Administrateur
- Message(s) : 12183
- Inscrit(e) le : 16 Déc 2004 à 10:36
- Localisation : Paris/Cergy
16 messages
• Page 1 sur 2 • 1, 2
