Тотальная Доминация - Ломаем Lotus Domino

Тема в разделе "Lotus - Администрирование", создана пользователем VladSh, 5 ноя 2010.

  1. VladSh

    VladSh начинающий
    Lotus team

    Регистрация:
    11 дек 2009
    Сообщения:
    1.251
    Симпатии:
    2
    Коллеги, прошу высказываться.
     

    Вложения:

  2. Klido

    Klido Гость

    что тут высказывать-то? в статье 98% расчет на лопоухость админов домины...
    единственно не понял про тему как получить id файл, зная пароль - с сервака? хм...
     
  3. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    А можно выложить лучшее качество?
     
  4. VladSh

    VladSh начинающий
    Lotus team

    Регистрация:
    11 дек 2009
    Сообщения:
    1.251
    Симпатии:
    2
    у меня, почти сразу, в начале статьи, возникло желание переименовать homepage.nsf и изменить путь к нему ))
    Комментировать? Просто расскажи, чтобы Ты сделал, чтобы обойти таких-вот, "журнальных", хакеров.

    У меня есть pdf-ник чисто с имиждами (почти 3 Mb), я не скажу, что они сильно лучшего качества.. но да, чуть лучше.
    Если интересует - скиньте мне в личку своё мыло, я вышлю; может сможете распознать и пересобрать файл лучше, чем у меня получилось...
     
  5. vital

    vital Больной Компом Детектед
    Команда форума Web Team

    Регистрация:
    29 янв 2006
    Сообщения:
    2.474
    Симпатии:
    27
    Увеличил до 5ти.
    пс.
    На самом деле, профильным группам больше стоит. А вот то, что на Достойный Программист- тоже 1мб - я как-то упустил. Исправлено.
     
  6. NetWood

    NetWood Lotus team
    Lotus team

    Регистрация:
    17 апр 2008
    Сообщения:
    308
    Симпатии:
    0
    Ну так кардинально не надо ;)
    Первое что делаем - создать файлик, текстовый, в корне domino/html/ Называем его, например, fuk.htm
    В него пишем "Любопытной Варваре на базаре нос оторвали".

    Далее во вьюхе дока сервера жмем кнопочку WEB - Создать переадресацию URL. Там делаем правило URL to URL /homepage.nsf to /fuk.htm
    Такое же правило делаем для /webadmin.nsf to /fuk.htm и прочих базах, которые надо позакрыть - та же names.nsf. Не забываем протирать - te http restart.

    Для ленивых можно просто ставить галочку на базе - Требовать SSL, а SSL не поднимать. Эффект неубиенный. Вроде с 7-й версии можно ставить галочку не разрешать URL... Хелповые базы можно погасить если трафик жалко.

    Особенное внимание к базе - domcfg.nsf - в ней должен быть доступ Анонимусу на чтение, но как закрыть ее на просмотр? По SSL ее закрывать нельзя, иначе авторизация работать не будет. По URL тоже нельзя гасить. Для нее ОБЯЗАТЕЛЬНО делается /domcfg.nsf to /fuk.htm, поскольку Если анонимуса закрыть по ACL - авторизация также работать не будет, а переадресацией он доступ то имеет, но смотреть не может ее. Переадресация внутри базы на форму логина и пароля в другую базу происходить будет.

    Естественно не забываем про юзера Anonymous в "работающих базах". На активных формах разрешаем создание ролями или тока админу - ставим галочку. А по тексту топикостатьи - на лошковых админов расчитано. Имхо. Чтоб id стырить надо иметь квалификацию на 10000USD, а оно надо...
     
  7. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    админить домину через веб интерфейс... - ну не знаю как это назвать :lovecodeby:
    есть протоколы терминального взаимодействия, есть просто доступ по 1352
    и эти способы не требуют хранения пароля админа в базе
    юзера, для доступа через веб, должны храниться в отдельной базе + DA
    самая большая дыра, для домины - ОС, и часто - это виндовз, т.к. уровень одминов, данной ОС, низкий (средний), дыр больше (из-за большего кол-ва общего софта и сервисов)
    разумеется - анонимусу должны быть закрыты все АК, как и -Default- (тоже есть смысл закрыть)
    все "вектора атак", рассмотренные в статье, расчитаны на веб доступ анонимуса (но какие-то слабенькие)...
    есть другие "ошибки", типа:
    http://www.codestore.net/store.nsf/unid/BLOG-20060517
    http://www.codestore.net/store.nsf/unid/BLOG-20080606
     
  8. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.047
    Симпатии:
    18
    VladSh
    тю
    не знаю, мне удобнее взять идихи и работать лотусиным клиентом паралельно стирая все логи - так концов вы вжизни не наёдете :lovecodeby:
     
  9. VladSh

    VladSh начинающий
    Lotus team

    Регистрация:
    11 дек 2009
    Сообщения:
    1.251
    Симпатии:
    2
    Перевложил файл.
     
  10. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    добавил "ошибки", кот. не упомянуты в статье, но актуальны (особенно - паблик райт-аксес)
     
  11. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    кстати - вот его статья на англицком ;) http://dsecrg.com/pages/pub/show.php?id=24

    команда для поиска домины (http), в локальной сетке, типа: nmap -sV 192.168.0.0/24 -p 80
    высветит слова Lotus Domino (помимо др., наденых, серверов ;) )
     
  12. NetWood

    NetWood Lotus team
    Lotus team

    Регистрация:
    17 апр 2008
    Сообщения:
    308
    Симпатии:
    0
    Недавно еще один таракан пофиксил. Для базы mail.box тоже надо делать редирект URL to URL, или править управление доступом. Она из под веба по умолчанию открывается корреспондентом :)
     
  13. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    в "новом" хацкепе описана куда более интересная атака...
    на контроллер сервера, причем - там ошибка в коде jar административной джава консоли (серверной части)
    это куда как более серьёзно, выход - не открывать порт контроллера наружу
     
  14. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
  15. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
  16. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
  17. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
  18. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.047
    Симпатии:
    18
    читал, вникал, долго не мог понять откуда тут вообще порт 2050
    потом долго вникал что есть домино контролёр
    это что альтернативная консолька сервера? - но ведь она по умолчанию отключена и я не припомню что бы ей вообще кто-то пользовался

    статья больше похоже на то, что сервер изначально настраивают на уязвимость а потом типа ломают...
     
  19. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    я уже не вспомню как стартует в винде сервис, но контроллер запускается ключиком (отдельным), а учитывая что интегрэшн с десктопом консоли домины - это полный идиотизм, то получить консоль сервера возможно тока из клиента администратора (если контроллер не включён)
    и это неудобно для удалённого администрирования (таскать админклиент нотусни)
    опять же - эта ситуация верна только для винды, потому как для никсов есть обычные скрипты перенаправления вывода/ввода консоли

    Добавлено: http://www-12.lotus.com/ldd/doc/domino_not...aa?OpenDocument

    Добавлено: http://www-01.ibm.com/support/docview.wss?uid=swg21449200
     
  20. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.047
    Симпатии:
    18
    lmike
    млин, как только увидел -jc сразу вспомнил, это не домино контролёр, это Java Controller или тупо ява консоль :(

    теперь сразу всё становится на свои места
    и естественно что те, кому неудобно для удалённого администрирования (таскать админклиент нотусни) будут открывать и создавать дырки в системе....

    вы бы еще удалённый доступ с парой admin:1 открыли а потом возмущались, что в системе дырка ;)

    подумать только, из такой мухи такого слона слепили, и как инфу завёрнуто подали, сразу и не вдуплишься - попахивает заказухой!!!

    а ленивый админ да, дырок наделает куда пострашнее чем банальная не установка патчей
     

Поделиться этой страницей