Hi Andreas,
On Tue, Jun 15, 2010 at 03:06:31 +0000, Grimnin Fridyson wrote:
das man auch bekannte Gesichter sieht finde ich ja mal toll
Der Hacking Contest war wieder sehr witzig. Trotz meiner dieses Jahr eher kurzen Vorbereitung hat es fuer den zweiten Platz gereicht. Ich bin ausserdem allein angetreten, nicht als Teil des bewaehrten Teams "GSQ".
Das Gewinnerteam "legofun" hatte eine sehr nette Idee auf Lager. Sie verwendeten ein kleines Skript, um damit in /var/log/auth.log nach dem Muster
sshd[...]: Failed password for invalid user USER from
zu suchen. Gab es nun einen Login-Fehlversuch via ssh, wurde der (entsprechend lang gewaehlte) Username USER zu einer Shell-Kommandozeile decodiert, welche das Logwatcher-Skript dann mit root-Rechten via "sh -c ..." ausfuehrte.
Um etwa das root-Passwort auf "nix" zu setzen, mussten sie sich nur so versuchen einzuloggen:
ssh uu6563686f20726f6f743a6e69787c6368706173737764@hostname ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ wird zu: echo root:nix|chpasswd
Gruss, Chris