These days it is very cheap and easy to to build your own “evil” USB-dongle that emulates a USB HID (Human Interface Device) and sends keystrokes. You could use the very easy to program “USB Rubber Ducky” or the cheaper “Teensy USB Development Board“. So you now have a very nice “Phantom Keystroker” that you can use for pen testing.

You could find many payloads for the “Ducky” and also for the “Teensy” on the internet. For me, the most interesting payload was the “Utilman exploit” for Windows 7, but I was not comfortable with the way it worked.

• take ownership fo utilman.exe
• change permissons of utilman.exe
• replace utilman.exe with something else (cmd.exe)

A sample payload, that does exactly this can be found here: Utilman Exploiter by Xcellerator for the “Ducky”

This is a huge change to the operating system and you leave your marks on the target system. So how could we do the same without going to deep into the target system? ….. I remembered a registry key that could exactly do that!!!

If you want to run CMD.EXE everytime the system tries to execute UTILMAN.EXE just add the following registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe
REG_SZ: Debugger VALUE: cmd.exe

Now every try to execute UTILMAN.EXE will result in opening CMD.EXE instead. It even works if you type UTILMAN (without the extension).

Based on this knowledge, it is now very easy to write a payload for our “Phantom Keystroker”, that:

• Press WIN key
• Enter “cmd.exe”
• Press “APP” key
• press “a” (will do Run as Administrator)
• press “LEFT” (brings cursor on YES on UAC prompt)
• press “ENTER” (to open the administrative CMD.EXE)
• enter a command that sets the registry key
• enter EXIT to close the command prompt

This was very easy to accomplish by using the Teensy 2.0.

Here you can download the working exploit for Teensy 2.0 here: Most_Sophisticated_Utilman_Exploit.zip

Here a post in the hak5-Forum with a working exploit for the USB Ruberducky.

The following video will show you how to run CMD.EXE instead of UTILMAN.EXE just by adding a registry key!

Video of a possible attack.

Links
Inside ‘Image File Execution Options’ debugging
Launching the debugger automatically

Heute habe ich ein altes Lex Board, welches einmal als Firewall diente reaktivieren wollen. Leider war das Netzteil (12V/2A) abhanden gekommen. Ich machte mich also auf die Suche nach einem passenden Netzteil in meiner “Rumpelkammer” und tatsächlich fand ich ein sehr kleines Netzteil (12V/4,16A). Leider passte der Stecker nicht ganz in die Stromanschlussbuchse des Lex Boards. Ich musste unbedingt die Kiste ans Laufen bringen, darum überlegte ich andauernd, wie ich dieses Netzteil verwenden könnte, ohne irgendetwas umlöten zu müssen.

Plötzlich kam mir die Idee! – Ich holte mir die Heißluftpistole und heizte damit den ausgangsseitigen Stecker des Netzteils

an, vor allem den Bereich vorne, da der Innendurchmesser ein klein wenig zu gering war.
Als der Stecker schön warm war, habe ich ihn am Lex Board angesteck und während des Abkühlens leicht hin- und hergedreht.

Der Stecker passt nun einwandfrei und ich habe wieder ein Spitzennetzteil für das Board. Natürlich ist das ein ganz schmutziger Workarround, aber er funktioniert. Bitte beim Nachmachen nicht vergessen, die Polung des Netzteils zu checken.

Kürzlich wurde mir ein USB-Stick übergeben und ich sollte, wenn irgendwie möglich, die Daten “irgendwie” wiederherstellen, da sie für die entsprechende Person sehr wichtig wären. Die Analyse des Sticks ergab leider, dass die Hardware defekt war, der Stick machte keinerlei Anstalten von einem Betriebssystem erkannt zu werden und es leuchtete nicht einmal die LED.

Ich dachte mir aber so für mich, was soll an so einem Stick denn schon kaputt gehen? Und, hätte man einen zweiten Stick, könnte man dann nicht z.B. den Speicherchip umlöten um an die Daten zu kommen.

Heute habe ich die Idee in die Tat umgesetzt. Ich habe zunächst aber nur den Schwinquarz,

der für die Taktung des USB-Sticks zuständig ist getauscht, da ich aus meiner elektrotechnischen Vorgeschichte wusste, dass diese sehr stoßempfindlich sind.

Kurz umgelötet und probiert – sofort ging der Stick wieder. – Ehrlich gesagt, war ich froh, denn das Umlöten des Speicherchips wäre doch eine etwas langwierige Aktion gewesen.

Also immer 2 Sticks von der gleichen Sorte kaufen – nur zur Sicherheit!

My girlfriend has a Geeksphone Zero (and it runs stable since I put SuperOSR on it…). Now she got a new notebook, a Lenvo S205 and I wanted to pre-install the Geeksphone drivers before the Geeksphone has ever been connected to the machine. As I found out, there is a way and here is how:

First of all get the drivers from the Geeksphone Forum: http://forum.geeksphone.com/index.php?topic=1830.0
The links are:

ZERO DRIVERS NT
  http://www.geeksphone.com/zerohome/ZERO_DRIVERS_NT.rar
  http://www.megaupload.com/?d=V0W1DLM9

Unzip the drivers, then open a CMD.EXE as Administrator, jump the the folder with the extracted files.
Please make sure, that you are in the correct folder when executing the following command (modify with your extraction path):

 CD “E:\geeksphone-zero\ZERO_DRIVERS_NT\DRIVERS_NT\usb_driver_2.67_free”
 FOR /F “usebackq delims=*” %a in (`DIR /a-d /b *.inf`) do pnputil.exe -i -a “%a”

For each driver staging into the windows device database you will get a popup asking you for confirmation to install the drivers, since they are not signed as shown in this screen:

Select “Install this driver software anyway” for all the drivers you install at this point.

After installation if you plugin a Geeksphone Zero all drivers needed will already present and all devices will be detected without further questions. Good! – If your girlfriend has a geeksphone, like mine does.

On Windows XP you should just be able to right-click the *.inf files and select “install” to copy them to your system.

This article is in English to support a larger community. Use Google Translate to translate to your language

In dieser Anleitung möchte ich kurz beschreiben, wie ich auf einem Lenovo S205 (279,00 Euro), welcher mit DOS ausgeliefert wurde, ein Windows 7 Home Premium 32Bit installiert und sämtliche Funktionalitäten (inkl. OneKey Recovery) wie beim gleichen Modell mit Windows 7 (S205 M63D8GE) aktiviert habe.

Die wichtigste Vorbereitung ist bevor man Änderungen vornimmt, die komplette Festplatte mit einem Imaging-Tool (in meinem Fall Acronis TrueImage) zu sichern. Ich empfehle auf ein Netzlaufwerk zu sichern, dann dauert das ganze nicht länger als 10 Minuten. Dieses Image heben wir uns gut auf! Ich habe vom S205 auf ein Samba-Share gesichert und eine Datei mit einer Größe von 3.5GByte erhalten. Wichtig für uns ist später die im Backup enthaltene OneKey Recovery Partition (Partitionstyp 12).

Als Nächstes habe ich ein USB-CD-ROM-Laufwerk angesteckt und per F12-Bootmenü von diesem eine Windows 7 Home Premium Deutsch DVD angebootet. Ich habe das Setup bis zur Auswahl der Partition auf die installiert werden soll durchgeführt und bin dann mit Shift+F10 in eine CMD-Shell gewechselt. Dort habe ich dann das Partitionslayout verändert. (Pech, dass ich mich nicht mehr erinnern kann, deshalb versuche ich hier eine Lösung zu beschreiben die immer funktionieren sollte).

Es sollte klappen, wenn man alle Partitionen löscht und dann die gesamte Festplatte für die Installation von Windows 7 bereitstellt. Dann erst mal Standardsetup von Windows 7 durchführen und die gesamten Treiber und so weiter installieren.

Wenn das System sauber läuft, müssen wir die Partitionierung so verändern, dass das Partitionslayout wie folgt aussieht.

  System-reserviert 100 MB NTFS
  C: 252,91 GB NTFS
  D: 29,00 GB NTFS
  REST FREI

Ich habe also einfach die Systempartition um ca. 45GByte verkleinert und dann dahinter aus diesen 45GByte das Laufwerk D: erzeugt und mit NTFS formatiert. Das Label “LENOVO” habe ich manuell gesetzt.

Nun müssen wir den restlichen Platz (ca. 16,08 GByte) nocht als OEM-Partition einrichten. Dazu booten wir wieder in unser Disk-Imaging-Tool (z.B. Acronis) und stellen manuell nur die OEM-Partition wieder her und zwar so, dass sie den kompletten Platz von 16,08 GByte also den restlichen freien Festplattenplatz am Ende der Festplatte einnimmt. Das ist mit Acronis Disk Image im manuellen Modus problemlos möglich.

Als Ergebnis sollten wir nun folgendes Partitionslayout erhalten:

Wichtig ist der Type der 16Gbyte Partition, dieser muss als “OEM-Partition = Type 0×12″ angezeigt werden.

Nun machen wir einen Test. Wenn wir das Gerät ausschalten und anstatt dem Einschalter (links) mit einem spitzen Gegenstand den Recovery-Button (rechts) drücken, sollte das Gerät in die Recovery-Partition booten und uns die Möglichkeit für eine Systemwiederherstellung geben. Diese funktioniert jedoch noch nicht, da wir noch keine Systemsicherung durchgeführt haben, also beenden wir das Programm zunächst einmal hier.

Jetzt starten wir wieder Windows und installieren (falls noch nicht geschehen) “Lenovo OneKey Recovery”. Danach erstellen wir mit OneKey Recovery eine Systemsicherung (diese wird dann im versteckten Ordner “D:\Lenovo\OneKey App\OneKey Recovery” erstellt und steht dann eben auch zur Verfügung, wenn wir in die System-Recovery-Partition booten.

Ich empfehle nun noch unter Windows mit OneKey Recovery 7.0 Wiederherstellungsdiscs zu erstellen. Mit diesen Discs kann man später das System (inklusive aller Partitionen) wieder auf den jetzt erzeugten Zustand zurücksetzen. – Voila!

Was man nicht hinbekommt ist der EFI-Boot und die Systemoptimierung für schnelleres Booten, da Lenovo hierfür ein speziell modifiziertes Windows mit EFI-Boot und ein geändertes BIOS verwendet, aber ganz ehrlich, das kann ich verschmerzen.

Im Internet liest man immer wieder von Benutzern, die Probleme haben das WebBIOS der baugleichen Controller

• IBM ServeRAID M1015
• LSI SAS 9240-8i

durch die Tastenkombination <CTRL>+<H> zu öffnen. Immer wieder liest man von Firmware-Updates die notwendig wären, damit man ins WebBIOS kommt.
Natürlich ist es grundsätzlich gut, die aktuellste Version der Firmware für Mainboard, Controller und Festplatten eingespielt zu haben, jedoch brachte das in meinem Fall (HP Microserver N36L mit IBM ServeRAID 1015 Controller) keine Abhilfe.

Im konkreten Fall war das Erreichen des WebBIOS des Controllers nur möglich, wenn genau dieser Controller im Mainboard BIOS als erster Controller und Boot-Controller definiert war.

Wenn man also schnell mal ins BIOS des M1015/9240-8i muss und dieser nicht der Boot-Controller ist, einfach temporär umstellen und schon gelangt man problemlos ins WebBIOS.

P.S.
Festplatten sollten natürlich auch am Controller angesteckt sein!

I recently had to flash my Seagate Barracuda drive’s firmware to the latest version. On the Seagate site I found this page to download a windows executable that will do the job. The only problem was, that the drive sits in my HP Microserver and I have no windows operating system there to boot and to run the windows executable to flash the drive.

As I found out, the updater will create some kind of boot loader (powered by Acronis) to flash the drive during the next (initiated by the installer) reboot.

I needed to flash a harddrive on a different machine, that is not able to execute the windows binary Barracuda12-ALL-CC49.EXE.

I extracted Barracuda12-ALL-CC49.EXE with Universal Extractor to the folder “Barracuda12-ALL-CC49″, where I found a lot of files.

The interesting one was config.xml. In it I found the following lines:

  <executable parameters=”7″>WAIT.COM</executable>
  <executable parameters=”">STXLOGO.RUN</executable>
  <executable parameters=”3″>WAIT.COM</executable>
  <executable parameters=”">SEAENUMA.EXE</executable>
  <executable parameters=”5″>WAIT.COM</executable>
  <executable parameters=”>nul”>CADEL.COM</executable>
  <executable parameters=”-s -x -b -v -a 20 -h PH-CC49.CFS”>FDL497A.EXE</executable>
  <executable parameters=”5″>WAIT.COM</executable>

so I created a batch file “flash.bat” with the following content from the above lines putting together the correct commands with the right parameters:

  CLS
  WAIT.COM 3
  SEAENUMA.EXE
  WAIT.COM 5
  CADEL.COM >NUL
  FDL497A.EXE -s -x -b -v -a 20 -h PH-CC49.CFS
  WAIT.COM 5

and saved it in the same folder as the extracted files. If you have a different drive model or firmware version you have to change the lines a little bit according to your needs.

After that I created a FreeDOS Boot-USB-Stick with UNetbootin and copied all the files to a folder “seagate” onto the USB stick.

I booted from the stick and selected the option “2. FreeDOS Safe Mode (don’t load any drivers)” which emulates a clean FreeDOS boot floppy emulation. At the prompt then I jumped to the C-Drive (which is the root of the USB stick) and executed the flash.bat.

  A:> C:
  CD seagate
  FLASH.BAT

The firmware update went fine. After that I powered off (do not reset) my machine and re powered it. Voila the firmware has been flashed successfully.

Wie immer: “If anything can go wrong, it will…”

Da hat man also (zum Glück) ein fast 20 Jahre altes Sicherungsband und ein paar Ersatzfestplatten für eine sicherlich noch ältere MicroVAX 3100, deren Festplatten hinüber sind und was passiert? – Genau, das Laufwerk gibt den Geist auf und das Band hängt im Laufwerk fest.

Was tun?
Schraubenzieher und Akkuschrauber frei und schon wird das Band “relativ bequem” wieder sauber zurück in die Bandkassette gespult, siehe Video:

digital TZ30 manuelles Ausspulen des Bandes mit Akkuschrauber.

Man muss nur ein paar Komponenten des Laufwerks abschrauben, den Zahnkranz des Motors irgendwie am Akkuschrauber befestigen und schon kann man (gegen den Uhrzeigersinn) das Band wieder aufspulen.
Hier noch ein Foto der offenen MicroVAX:

Und die Moral von der Geschichte:

Keine Festplatte ist so gut wie ihr Backup!

Es ist ja bekannt, dass UPnP (Universal Plug & Play) schon auf dem privaten Interface eines Routers eine Sicherheitslücke darstellt und deswegen standardmäßig ausgeschaltet sein sollte. Bei der Fritz!Box ist das z.B. dieses Häkchen:

Ausgeschaltetes UPnP ist natürlich unbequem. Hat man z.B. eine XBox 360, so beschwert sich diese gleich massiv darüber, dass man nun nicht mit anderen Personen (aus dem Internet) spielen kann usw. und man muss die entsprechenden Ports dann manuell öffnen.

Der Sicherheitsanalyst Daniel Garcia hat nun herausgefunden, dass einige Router der Firmen Edimax, Linksys, Sitecom und Thomson auf UPnP Anfragen am öffentlichen Interface des Routers reagieren.

An diesen Geräten können von außen Ports geöffnet werden und zwar ohne Passwort oder Rückfrage (das ist bei UPnP so). Auf der Seite http://www.toor.do/ gibt es einen Scanner, mit dem man angreifbare Router finden kann. Man kann mit diesem Programm auch mal testen, ob der eigene Router angreifbar ist.

Bei angreifbaren Routern können folgende Konfigurationsparameter verändert werden:

  SetConnectionType
  GetConnectionTypeInfo
  ConfigureConnection
  RequestConnection
  RequestTermination
  ForceTermination
  SetAutoDisconnectTime
  SetIdleDisconnectTime
  SetWarnDisconnectDelay
  GetStatusInfo
  GetLinkLayerMaxBitRates
  GetPPPEncryptionProtocol
  GetPPPCompressionProtocol
  GetPPPAuthenticationProtocol
  GetUserName
  GetPassword
  GetAutoDisconnectTime
  GetIdleDisconnectTime
  GetWarnDisconnectDelay
  GetNATRSIPStatus
  GetGenericPortMappingEntry
  GetSpecificPortMappingEntry
  AddPortMapping
  DeletePortMapping
  GetExternalIPAddress

Deshalb sollte grundsätzlich UPnP ausgeschaltet werden. Nutzer von betroffenen Routern, die auf UPnP angewiesen sind, sollten unbedingt nach Firmware-Updates bei den entsprechenden Herstellern nachfragen. – Immer nur das Einschalten, was man wirklich braucht!

Als Geek wird man ja das eine oder andere Mal zu einem total mit Viren infizierten PC-Notfall gerufen. Immer gut, wenn man die wichtigsten Tools auf einer CD oder einem USB-Stick dabei hat. Ich persönlich bin eher ein Fan des USB-Sticks, da er einfach handlicher ist und auch leichter zu befüllen. Manchmal fragt man sich aber: “Was, wenn der infizierte Rechner nun meinen USB-Stick infiziert?”

Ein kleiner Trick schafft Abhilfe. Man schreibt einfach mit dem Program “dd” (die Windows-Version gibt es bei chrysocome.net) ein ISO-File auf einen USB-Stick. Da das ISO9660-Dateisystem per Definition nur lesend ist, wird kein normales Betriebssystem auf diesen USB-Stick schreibend zugreifen können. Theoretisch wäre dies zwar möglich, aber mir sind keine Computerviren bekannt, die so intelligent sind, ein ISO9660-Dateisystem auf einem USB-Stick zur Laufzeit zu modifizieren. Die Methode mit dem ISO9660-Dateisystem ist meiner Meinung nach sicherer als so mancher Schalter an bestimmten USB-Sticks, da diese gelegentlich auch per Software ausgehebelt werden können.

Das ISO-File kann man sich ganz einfach mit seinem Lieblings-CD-Brennprogramm erstellen oder für die Liebhaber der Kommandozeile mit dem Programm “mkisofs” (Windows Version gibt es in den cdrtools).

Natürlich kann man auch DVD-Images (und somit noch größere Kapazitäten) nutzen und diese mit “dd” auf Stick schreiben. Möglicherweise auch eine gute Art, “nur lesende” Sicherungskopien seiner Fotos zu machen? – Jedes Jahr ein Stick und ab damit in den Schrank, fragt sich nur, was hält länger, ein USB-Stick oder eine DVD. Ihr könnt mir ja mal Eure Meinung in den Kommentaren hinterlassen.