Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
less no less en notepad no less
Okay, beetje cryptische titel maar 'k vond hem wel leuk ;)
less no less
Veel implementaties van de Linux/Unix/BSD etc. commandlinetool "less" blijken "remote code" uit te kunnen voeren als je deze gebruikt voor het bekijken van niet vertrouwde (tekst-) bestanden, zie https://isc.sans.edu/forums/diary/Less+is+umm+less/18995.
notepad no less
Op Windows gebruik ik vaak Notepad no less voor vergelijkbare taken. Ook notepad is niet bugvrij, en kan je flink op het verkeerde been zetten o.a. door het ondersteunen van unicode.
Enkele voorbeelden van Notepad "weirdness" (alles W7 Pro 64 Engelstalig, your mileage may vary and batteries nog included). PS wellicht niet allemaal direct security-related, maar deels worden deze trucs al in scams misbruikt; je kunt maar beter voorbereid zijn op de grappen die nog niet gebruikt worden...
Kopieer onderstaande regels met grijze achtergrond naar het clipboard (klembord), plak in notepad.exe (kladblok) en verbaas en huiver...
1) Uppercase in Notepad
bron: http://blog.cloudflare.com/a-relatively-easy-to-understand-primer-on-elliptic-curve-cryptography/:
2) Zoeken naar strings (geen onderbroekenlol svp;) in MSIE lukt niet altijd
Als je met INTERNET EXPLORER 11 de pagina https://ssl-tools.net/certificates/18tn156-google-com#0bb9ee841a opent, zie je linksbovenaan getal dat hieronder 3x getoond wordt.
Kopieer dat getal achter A: naar het klembord, ga terug naar de ssl-tools.net pagina, druk Ctrl-F om te zoeken, en plak het getal in het MSIE zoekveld: niets gevonden!
Okay, kopieer vervolgens het getal achter B: en zoek daar naar: nu heb je wel 1 hit!
Nog eentje doen? Kopieer het getal achter C: en zoek: opnieuw 1 hit, maar wel een andere...
Interessant is dat het Firefox allemaal niks uitmaakt, die vindt alle insanties.
Oorzaak: https://en.wikipedia.org/wiki/Soft_hyphen
Enkele testjes die ik gedaan heb (zie ook: http://www.fileformat.info/tip/microsoft/enter_unicode.htm):
MS Word (2007):
- laat soft hyphen /WEL/ zien in edit mode en OOK in print preview
- "testtest": zoeken naar "testtest" en "test-test" levert niks op
- Copy "testtest" en paste in zoekveld geeft: "testtest" (en vindt dus niks)
- Soft-Hyphen: cursor op plaats | in "test|test"en dan Alt-X drukken geeft: test00ADtest
- Gewoon minteken: cursor op plaats | in "test-|test"en dan Alt-X drukken geeft: test002Dtest
WordPad / Write.exe:
- laat soft hyphen /NIET/ zien (maar blijf wel bewaard)
- Als je met cursor over "testtest" heenloopt zie je dat deze 2 posities heeft tussen beide zichtbare test woorden
- Als je Alt-X drukt op direct achter de eerste test krijg je: testADtest
- Als je Alt-X drukt op direct voor de tweede test krijg je: tes74test (zichtbaar is dan: tes74test)
Happy scam analysis!
P.S. kent iemand bugs in notepad waardoor RCE (Remote Code Execution) mogelijk is?
less no less
Veel implementaties van de Linux/Unix/BSD etc. commandlinetool "less" blijken "remote code" uit te kunnen voeren als je deze gebruikt voor het bekijken van niet vertrouwde (tekst-) bestanden, zie https://isc.sans.edu/forums/diary/Less+is+umm+less/18995.
notepad no less
Op Windows gebruik ik vaak Notepad no less voor vergelijkbare taken. Ook notepad is niet bugvrij, en kan je flink op het verkeerde been zetten o.a. door het ondersteunen van unicode.
Enkele voorbeelden van Notepad "weirdness" (alles W7 Pro 64 Engelstalig, your mileage may vary and batteries nog included). PS wellicht niet allemaal direct security-related, maar deels worden deze trucs al in scams misbruikt; je kunt maar beter voorbereid zijn op de grappen die nog niet gebruikt worden...
AANVULLING 2014-011-26 15:05: onderstaande teksten worden mogelijk ANDERS getoond dan ik ze in Firefox zie. In elk geval in MSIE 11 ziet het er allemaal anders uit, sorry daarvoor. Ik ben benieuwd naar jullie ervaringen met andere browsers (Opera, Chrome, Chromium, Safari etc. onder Windows, maar ook browsers onder andere besturingssystemen).
Aanvulling 2014-011-26 15:07: en, na editen, zijn ze ook stuk in Firefox... Ik probeer het te fixen...
Aanvulling 2014-011-26 15:14: in de preview mode van security.nl pagina's ziet alles er in Firefox nog prima uit, maar vervolgens, bij opslaan van de pagina, gaan 4 van de 6 voorbeelden "stuk". Ik beperk me nu even tot de zaken die WEL werken, de rest haal ik weer weg. Sorry!
Aanvulling 2014-011-26 15:07: en, na editen, zijn ze ook stuk in Firefox... Ik probeer het te fixen...
Aanvulling 2014-011-26 15:14: in de preview mode van security.nl pagina's ziet alles er in Firefox nog prima uit, maar vervolgens, bij opslaan van de pagina, gaan 4 van de 6 voorbeelden "stuk". Ik beperk me nu even tot de zaken die WEL werken, de rest haal ik weer weg. Sorry!
Kopieer onderstaande regels met grijze achtergrond naar het clipboard (klembord), plak in notepad.exe (kladblok) en verbaas en huiver...
1) Uppercase in Notepad
bron: http://blog.cloudflare.com/a-relatively-easy-to-understand-primer-on-elliptic-curve-cryptography/:
curve: y² = x³ + ax + b
2) Zoeken naar strings (geen onderbroekenlol svp;) in MSIE lukt niet altijd
Als je met INTERNET EXPLORER 11 de pagina https://ssl-tools.net/certificates/18tn156-google-com#0bb9ee841a opent, zie je linksbovenaan getal dat hieronder 3x getoond wordt.
Kopieer dat getal achter A: naar het klembord, ga terug naar de ssl-tools.net pagina, druk Ctrl-F om te zoeken, en plak het getal in het MSIE zoekveld: niets gevonden!
Okay, kopieer vervolgens het getal achter B: en zoek daar naar: nu heb je wel 1 hit!
Nog eentje doen? Kopieer het getal achter C: en zoek: opnieuw 1 hit, maar wel een andere...
Interessant is dat het Firefox allemaal niks uitmaakt, die vindt alle insanties.
A: 5111119255061423184
B: 5111119255061423184
C: 5111119255061423184
B: 5111119255061423184
C: 5111119255061423184
Enkele testjes die ik gedaan heb (zie ook: http://www.fileformat.info/tip/microsoft/enter_unicode.htm):
MS Word (2007):
- laat soft hyphen /WEL/ zien in edit mode en OOK in print preview
- "testtest": zoeken naar "testtest" en "test-test" levert niks op
- Copy "testtest" en paste in zoekveld geeft: "testtest" (en vindt dus niks)
- Soft-Hyphen: cursor op plaats | in "test|test"en dan Alt-X drukken geeft: test00ADtest
- Gewoon minteken: cursor op plaats | in "test-|test"en dan Alt-X drukken geeft: test002Dtest
WordPad / Write.exe:
- laat soft hyphen /NIET/ zien (maar blijf wel bewaard)
- Als je met cursor over "testtest" heenloopt zie je dat deze 2 posities heeft tussen beide zichtbare test woorden
- Als je Alt-X drukt op direct achter de eerste test krijg je: testADtest
- Als je Alt-X drukt op direct voor de tweede test krijg je: tes74test (zichtbaar is dan: tes74test)
Happy scam analysis!
P.S. kent iemand bugs in notepad waardoor RCE (Remote Code Execution) mogelijk is?
Reacties (2)
Ad 1), ik zie niets gebeuren op mijn systeem en zie ook niets afwijkends
Door Anoniem: Ad 1), ik zie niets gebeuren op mijn systeem en zie ook niets afwijkends
Ad 1) is, toegegeven wat flauw (het gaat hierbij om tekens uit de ANSI karakterset). Notepad was ooit een plain ASCII editor, ik verwachtte geen support voor superscript (maar dat is het natuurlijk niet echt).Die Ad 1) was bedoeld als intro voor een aantal, vreemdere, effecten in notepad, waaronder RTLO (Right-To-Left-Override). Ik had net zo lang geprutst tot die er prachtig uit zagen in de preview pagina hier op security.nl, maar na drukken op "Reageren" zag het meeste er anders uit...
Voorbeeld: open https://plus.google.com/+FrancoisBeaufort/posts/47QpMszUg56, boven het plaatje staat:
Source: https://codereview.chromium.org/433213003
Open een leeg Notepad venster. Kopieer die string uit die plus.google.com pagina naar clipboard, en plak in notepad.
Plak daaronder de string die hierboven in deze security.nl pagina staat. Bij mij ziet dat er (ongeveer) uit als volgt: http://imgur.com/Rb8yC6C.
En dat vind ik vreemd, ik ging ervan uit dat Notepad alleen monospaced fonts liet zien... (en bovendien gaat het hier om URL's waarin "iets" met karakters mogelijk is, en dat is vaak eng).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
