martes, 31 de diciembre de 2013

Feliz 2014

Hoy es el ultimo post de 2013 en el que gracias al blog he podido aprender mucho, en Septiembre decidía a dar el paso a crear y obligarme a postear cada día un manual o guía que fuera de utilidad simplemente para tener apuntes en linea pero poco a poco vi que esto me gustaba y la gente cercana veía que tenia potencial y que aprendían mucho con mi blog.

Se que no me he centrado en un publico especifico, mezclando noticias técnicas orientadas a profesionales o informáticos avanzados con manuales para usuarios para ayudar a mejorar su privacidad.


Empece en la seguridad gracias a un profesor que nos nombro a un tal Chema Alonso en clase que daba charlas sobre seguridad informática, cuando llegue a casa  vi una conferencia y me pico la curiosidad mas y mas, lo que me ha convertido en un devorador de artículos y fiel seguidor de blogs como:
Elladodelmal, SecurityBydefault, comunidad Backtrack Academy y DragonJar

También he aprendido mucho de conferencias como Ekoparty, Rootecon, Campus Party y Defcon.


El blog lleva 5400 visitas desde septiembre, desde mi punto de vista un exito siendo que empezó como una biblioteca y un juego siendo el top 3 de visitas en Diciembre, 



Para el 2014 empieza una etapa con muchos retos, espero poder escribir muchos días y siempre cosas útiles y que el blog sea un sitio como una biblioteca de guías de alta calidad.

En 2014 empezare con: Metasploit, Foca y sobre todo quiero escribir mucho sobre Android 


Mucho Happy Hacking para 2014.



Saludos, guerreros!


lunes, 30 de diciembre de 2013

Montaje de un RAT Poison Ivy

Cada vez se oye mas hablar de botnets y de infecciones a gran escala, pues hoy vamos a aprender como se monta una de estas pero de juguete. Rat son las siglas de Remote Administration Tool y es una herramienta con la que infectar y controlar de manera gráfica a todas nuestras victimas.

Descripción: Vamos a tener un RAT (atacante) y una victima en una red. El objetivo es infectarlo y ver las posibilidades que ofrece el RAT para una post-explotación.

Montaje y configuración de Maquinas.
Atacante: 192.168.1.128 (Roja)
Victima: 192.168.1.129 (Azul)
Descargar Poison Ivy en la pagina del autor.

Atacante:
Vamos a extraer el comprimido con el que lo extraeremos al escritorio y después configuramos un servidor en file > New Server 


Creamos un perfil


Configuramos el DNS/port con el Lhost (atacante): 192.168.1.128


Activaremos "Start on system startup" para que se ejecute cuando se inicie el sistema y generamos una key ActiveX Random.

Señalamos "Copy file" y escribimos el nombre del archivo de como queremos llamarlo y seleccionamos que se guarde en el sistema de archivos de Windows.

Inject server into the default browser y persistence, es para que todo la comunicación vaya por el navegador, lo que quiere decir que lo mandaremos por el puerto 80, lo que hara saltarse los firewalls de entrada y no necesitaremos abrir puertos.


El keylogger captura todas las pulsaciones de teclado de la victima.


Y le damos a generar! El nombre que pongamos es importante en el caso de que no lo queramos bindear (fusionar) en otro archivo.
Usando un poco de ingeniería social buscaremos un nombre para el archivo que lo haga delicioso y que no se resista
a clickar. Yo usare crack_mega_premium.exe




Y ahora configuramos el cliente, es decir, nosotros. Con el fin de escuchar las peticiones que hacen los servidores (infectados) 



Una vez que la victima intente abrir el archivo, activara en segundo plano la conexión hasta nuestro sistema y ya tendremos acceso hasta que el proceso termine, el usuario cierre sesión o apague/reinicie el equipo.


Como vemos en el log. Hemos conseguido establecer conexión.



Ejecutaremos una Shell remota para movernos por el sistema de archivos de la victima.



Realizamos una captura de pantalla, en la captura se observa el resultado del comando netstat (que permite ver que conexiones tiene el sistema al exterior, y se ve la que vincula al atacante con la victima. 



Componentes hardware del sistema.



Ahora solo teneis que ir probando la herramienta y jugando con sus posibilidades.

Para mejorar el envió de este troyano se hubiera podido ofuscar el código, hay encoders que su función es empaquetar en muchos archivos parte del troyano y otro tipo que dificulta la lectura de código del troyano a los antimalware.

Y como no como bindearlo con otro archivo para que sea un verdadero troyano! Consulta aqui para bindearlo.


Saludos guerreros!


domingo, 29 de diciembre de 2013

ipcams en Shodan

Mi espíritu de la Navidad es romper la rutina de estudio de redes y envolverme en la seguridad que un día espero poder proteger profesionalmente.

Shodan se ha vuelto en un juguete muy divertido para mi, que ya escribí en Hacking con buscadores:Shodan pero hoy vengo con ganas del mundo ipcams y ver su facilidad de acceso.

Vamos  al buscador shodan y nos logueamos para poder realizar filtros.


Hoy vamos a buscar productos avtech, empresa internacional en cámaras de vigilancia.



El dork que usaremos es linux upnp avtech country:<pais>

Universal Plug and Play (UPnP) es un conjunto de protocolos de comunicación que permite a periféricos en red, como ordenadores personales, impresoras, pasarelas de Internet, puntos de accesoWi-Fi y dispositivos móviles, descubrir de manera transparente la presencia de otros dispositivos en la red y establecer servicios de red de comunicación, compartición de datos y entretenimiento. UPnP está diseñado principalmente para redes de hogar sin dispositivos del ámbito empresarial. Wikipedia



Una vez seleccionada una, tendremos un bonito login delante, que si miramos el manual vemos que el username y password es: admin-admin por defecto.

Y estaremos en el panel de control desde la aplicación en la que podemos visualizar a donde apunta la ipcam. 

*Deberemos tener el plugin de java, VLC o Quicktime para poder visualizar este player.

Pone los pelos de punta la facilidad con la que podemos acceder a estas aplicaciones que pueden estar en viviendas, empresas, negocios...

En este caso puse el filtro por España y probé haber si también en España pasa esto... y por desgracia fue un SI, y viendo que en este caso parece apuntar a una peluquería, que podríamos ver personas cuando el negocio este abierto.

Aquí si que encaja la frase: "Nos espían" y la verdad que no es para menos. Así que cuidado con los servicios que tienen entrada a tu red y cambia las passwords por defecto.

Saludos guerreros!!

Internet Explorer y su index.dat

Microsof Internet Explorer es el navegador preinstalado en sistemas Windows, como navegador aparte de guardar las cookies y un historial por donde has navegado lo guarda en un fichero llamado index.dat

Hay varios index.dat en el sistema , todos ellos ocultos y con permisos de system por lo que por regla general no podemos visualizarlos ni modificarlos para ver su contenido. Esto es una falta de privacidad de windows que oculta al usuario como ahora veremos.

En internet explorer, podemos borrar una serie de elementos desde las opciones de Internet Explorer pero no nos dice nada sobre el fichero index.dat


Para leer estos ficheros index.dat que se guardan en nuestro equipo podemos hacerlo por linea de comandos

Y podemos buscar aquellas urls que se han guardado en el index.dat


O por herramientas de terceros como WFA (Windows File Analizer) o Index.dat Analizer que nos busca estos ficheros y nos lo muestra de una manera ordenada.


Podemos eliminar estas entradas seleccionándolas y pulsando la X con lo que borrara nuestro rastro.

Una cosa que puede ser jugosa en un analisis forense y que también interesa a usuarios que buscan máxima privacidad en sistemas Windows.

Saludos guerreros!!

miércoles, 25 de diciembre de 2013

Ataque WPA WPA2 por WPS v2

En periodos navideños es periodo de comidas familiares y como no largas horas de sobremesa, nuestras redes wifis domesticas pueden ser objetivo para estos adictos de internet que necesitan estar comunicados y tu red puede ser el objetivo.


Pues vamos a crackear redes WPA con WPS activado mas rápido y con mas probabilidad de exito que en el tutorial basico de WPS.

WPS es un numero de 8 digitos asi que mucho mas facil que sacar que una clave wifi, vamos a ello.

Herramientas para el laboratorio:
Equipo: 1 equipo
Herramientas: Wifislax 4.6 Live,antena con inyección de paquetes y un router con cifrado WPA/WPA2 WPS.
Nivel de laboratorio: Fácil.
Conocimientos previos: Conceptos sobre redes wifi.

Desarrollo: Vamos a atacar un router que tenga cifrado WPA/WPA2 con WPS activado, primero probara unos pin por defecto y si no fuerza bruta sobre pins hasta que salga.

Practica:
1º Abrimos nuestro Wifislax, yo prefiero usarlo con un DVD Live para poder aprovechar todos los recursos del ordenador pero puedes usar maquina virtual.

2º Abrimos el programa así que la ruta es: Wifislax > Wpa wps > Goyscript WPS.


Una vez abierta necesitaremos poner la tarjeta en modo monitor, en mi caso un Alfa AWUS036H.

Ahora empezaremos a escanear las redes wifi que tenemos alrededor, las que tenemos # es exito seguro y * probable.

 Yo como ya las crackee previamente a las fotografías me las marca en violeta, seleccionamos la red que necesitamos auditar.


Empezara a probar pines, primero probara los pines por defecto asignados si con estos no funciona empezara a generar pines y probarlos hasta que lo salga y este proceso puede alargarse a 12 horas o mas en caso que tenga que generar y probar suerte hasta que lo encuentre.

Y nos mostrara la clave, con el pin que era y su contraseña asociada. 

Como veis tenemos un gran problema de seguridad, y que en periodos navideños debemos cuidar mas nuestra seguridad y no dejar la puerta abierta.

**Esta práctica no tiene intenciones maliciosas, se ha desarrollado para aprender sobre las tecnologías, concienciar de los peligros de sus usos y evitar ser victima de una intrusión.
Feliz Navidad!

SQL Injection con Havij

El ataque SQL Injection suele estar automatizado por aplicaciones aunque esto genera mucho ruido al probar cantidades ingentes de combinaciones o inyecciones lo que puede hacer  saltar alarmas y que en los logs quedaran reflejado siendo raro ese comportamiento raro por una persona.


El ejemplo que traigo hoy es Havij, una aplicacion bastante usada pero que un mal uso puede ser peligroso por lo mencionado anteriormente, pero podemos ver el potencial de la herramienta. Su version Free esta muy capada pero para probarla nos ira bien. Descarga

En el target ponemos la pagina que sabemos que es vulnerable, como vimos en el SQL Injection basico y pulsamos "Analyze" y empezara a buscar.

Busca la longitud de la DB y luego va probando carácter por carácter si es acertado y pasa al siguiente. Una vez tenemos la DB pasaremos a buscar las tablas.  

Pulsamos la DB que queremos y pulsamos "Get Tables" esto ira realizando ataques por blind sql injection y van saliendo








Ahora sacaremos los campos para esa tabla, seleccionamos la tabla y pulsamos "Get columns".

 Y calcula una longitud de cambio y va comprobando que el caracter para ese campo es correcto, por eso es bueno tener esto automatizado.







Por ultimo sacaremos los datos, asi que seleccionamos los campos que nos interesan y pulsamos "Get Data".

Es importante seleccionar solo los campos necesarios para no hacer infinito la extracción.

* Este manual no tiene intención malintencionada , si no con intención de aprender y jugar con la tecnología y ver los peligros de una base de datos mal programada y administrada.


Saludos guerreros.

lunes, 23 de diciembre de 2013

SQL Injection desde 0

Como buen pentester por cada pagina que navego me gusta saber si es un sitio seguro y siempre hago alguna pruebecilla.


Pues hoy os traigo una vulnerabilidad que existe desde que se crearon el lenguaje SQL y es Injection SQL.

¿Y que es eso? 
SQL injection trata de inyectar en la aplicación en su mayoría web codigo SQL a través de la url o por formularios.


Para esta vulnerabilidad hay que saber de lenguaje SQL, si no es tu caso puedes consultar informacion sobre el lenguaje sql AQUI.

Imaginamos que estamos delante de un login parecido a este:
Internamente al enviar este formulario sera:

select *
from users
where usuario = '$usuario' and password = '$password' ; 


Y si coincide con lo que hay en la base de datos como por ejemplo user, user entraríamos.


¿Entonces si no coincide no podemos entrar?
No, vamos a ver la inyección que se usa para aprender y es: para la consulta que hemos visto ahora asi:

'or'1'='1

Quedando la consulta:
select *
from users
where usuario = 'userand password = ''or'1'='1'

Expresandose: Selecciona todo de la tabla users donde usuario es igual a user y password es igual a (vacio) o 1=1. 

1=1 asi que podemos entrar ;)

Hay veces donde nos puede sacar errores que prohíbe ha detectado and o or en la consulta en ese caso podemos hacer:

select *
from users
where usuario = 'userand password = ''||'1'='1' ; 

Podria ser que saltara un error como que hay mas de un usuario en ese caso podemos limitar la inyeccion para que solo coja el primer user.

select *
from users
where usuario = 'userand password = ''||'1'='1' limit 0,1;-- a ; 


¿Como detecto que paginas son vulnerables?
Si introducimos una comilla a la url, podemos observar como falla por un error no controlado por el administrador en MYSQL por culpa del array que no tiene ese argumento.



Con una consulta similar a:

select *
from users
where sec= '1and temp= '1'' ; 

Prefiero dejar estas 3 cosas básicas por el momento y dejarlo bien claro. Esto se puede impedir comprobando las variables pero muchos sitios no son conscientes del peligro que puede tener esta grave vulnerabilidad que.

Habrá mas entregas pronto: creando consultasautomatización.

Saludos guerreros!

Anonymous contra la ley del aborto

Anonymous España se encuentra al ataque en la operación Op⊕PPu$D€† en contra del gobierno y la iglesia por la nueva ley del aborto. Que se puede seguir en twitter con el hastag #OpOpusDei

El 
nuevo proyecto de ley sobre el aborto presentado por el Gobierno ha hecho empezar a cobrarse sus primeros enemigos, Anonymous ha montado sus propias manifestaciones expresando sus opiniones en la red y numerosa gente ha salido a protestar en las calles.
Las manifestaciones en la calle siguen generando detenciones y miedo a los participantes por parte de los antidisturbios.

Según Anonymous: "La secta Opus ha tenido que ver con esta nueva ley y que muchos de los altos cargos del PP inscritos a ella tienen el poder de decisión sobre el Gobierno."

Para saber mas sobre la nueva Ley del aborto.

Las manifestaciones de Anonymous fueron primero la pagina del PP de la localidad de Alpedrete y que aprovecharon vulnerabilidades para entrar y realizar cambios en su portada.


Luego atacaron defaceando(cambio de la apariencia de la web) a PP de Chiclana


Y ahora cayo el Arzobispo de granada, autor del libro "Casate y se sumisa" y famoso comentario "Si la mujer aborta, el varón puede abusar de ella".


También se ha filtrado en pastebin los suscriptores a romana.org,Boletín de la Prelatura de la Santa Cruz y Opus Dei en los idiomas: ingles, francés y 
español.

Publicación del grupo Anonymous referente a una factura que hace referencia a un supuesto aborto por parte de Doña Letizia.


Esta claro que estos ataques van a poner en Jaque tanto al Gobierno como al Opus Dei y que no van a ser las únicas paginas atacadas por lo que sé aun no ha habido ataques DDOS, como viene siendo habitual como modus operandi de Anonymous para inutilizar o tumbar servicios web.

Veremos como acaba esto...

Saludos guerreros!

viernes, 20 de diciembre de 2013

En las profundidades de Android: BBDD

Android esconde en la memoria interna del teléfono las bases de datos donde se guarda contactos, correos, cuentas de usuario, conversaciones, info de aplicaciones.

¿Pero están protegidas estas BBDD? Pues la respuesta es NO en la mayoria de los casos, simplemente necesitamos acceder al terminal rooteado o con permisos de root.

Yo por seguridad no tengo el terminal rooteado (aparte que se anula la garantia al rootearlo) sino con permisos de root cuando yo se lo doy.

¿Que necesitaremos? Un terminal rooteado y una app como root explorer y sqlite3 para visualizar (recomendado).

Vamos a ir recorriendo BBDD y archivos en texto plano importantes que hay que saber:

Archivo  Wifis
/data/misc/wifi/wpa_supplicant.conf
Android tiene un fichero .conf que guarda todas las wifis que se asocian, guardando todos estos en una especie de xml con los datos de cada una de ellas.

En el ejemplo se ve el SSID (nombre de la wifi)
PSK (Contraseña)
KEY_MGMT (Metodo de Cifrado) entre los mas importantes.











Registro Llamadas 
/data/data/com.android.phone/databases/phone.db > Tabla calls
Esta Base de datos guarda todas las llamadas que se han realizado desde el terminal.

Entre los campos que guardan el ID, numero, fecha, pais destino, Area y si se recibio.



Contactos del teléfono
/data/data/com.android.providenrs.contacts2.db
tabla: data
Almacena los registros de la agenda telefónica y agenda whatsapp: id, data 1-15 y mas.



Contactos Whatsapp
/data/data/com.whatsapp/databases/wa.db
Guarda todos los contactos de whatsapp detalladamente entre sus campos id, numero /grupo, estado, nombre...



Conversaciones Whatsapp
/data/data/com.whatsapp/databases/msgstore.db > Tabla:messages
Guarda las conversaciones a usuarios y por grupos.
Ya explicamos como conseguirla en la SD.



Notas 
/data/data/com.mediatek.todos
/data/data/com.sec.android.app.memo/databases.Memo.db
Guarda todas las notas del telefono.




Skype contactos
/data/data/com.skype.raider/files/<user>/main.db 
Guarda todos los contactos, conversaciones, participantes...
Foto: Tabla :Participants    Campo: identity



También podemos acceder a menús introduciendo en el teléfono un código alfanumérico
:
*#*#4636#*#* Lleva a un menú prueba en el que muestra:

Información sobre el teléfono
Información sobre la batería
Estadísticas de uso
Wi-Fi information

*Mas codigos aqui.




Información a través de Google Chrome
Google Chrome muestra información que chrome guarda en el smartphone en formato html, a través de unas url definidas para ello en google chrome poner: chrome://chrome-urls

Y mostrara todas los accesos a diferentes secciones. Mas info aquí.


Saludos guerreros!!


miércoles, 18 de diciembre de 2013

Aprendiendo Hacking con Candy Crush

Candy Crush es el juego de moda (mas de 100 Millones de usuarios), con una misión muy simple: hacer combinaciones de caramelos para ir superando niveles contra el sistema entre los 500 niveles de dificultad.

¿Jugar con un navegador? ¿Y si pudiéramos alterar las vidas y puntos?

Vamos a hacer nuestro juego contra el sistema pero a nuestra manera, simplemente usaremos un programa llamado Cheat Engine para ver patrones de numeros y cuales son los que cambian, fijándonos para ver cual es el contador de movimientos en primer lugar.

Vamos al ataque!!

Titulo: Aprendiendo Hacking con Candy Crush.
Nivel: Fácil.
¿Que necesitamos? Un navegador web, cuenta de facebook y Cheat Engine

Instalar Cheat Engine
Cheat Engine es un programa usado para alterar valores, un gran inicio para pequeños curiosos usado en juegos.

Descargaremos el Cheat Engine 6.3 de AQUI y lo instalamos


No queremos barras  y aun así se instalo el Tune Up así que lo borramos si se instala, para que veamos la mierda de softonic.





**Yo usare una cuenta  de Facebook llamada "Jose" que tenia por hay simplemente como experimento, el objetivo no es pasarme el juego sino jugar con la tecnología.



Modificando vidas

¿Que vamos ha hacer? Tenemos que localizar cual es el "address" de nuestro valor de vidas, y cuando la tengamos modificaremos su valor al nuevo numero de vidas.

¿Fácil no? Pues vamos a por ello!

Abrimos el Candy Crush en Facebook y ponemos el nivel, entonces abrimos el Cheat Engine.

Después abrimos el icono "ordenador con lupa", y elegimos el proceso donde se esta ejecutando el Candy Crush, así que abrimos el Google Chrome.

**Consejo: Cuantas menos pestañas en el Chrome mas rápido conseguiremos cual es el proceso que buscamos.


Ahora vamos a localizar si es este proceso el que lo esta ejecutando... para ello vamos a buscar el valor.

Ponemos en value (El numero de vidas que tenemos, ej 50), y hacemos un new Scan y first scan, y nos saldra una serie de valores.

Ahora hacemos un movimiento con el candy crush, con lo que tendremos 49 movimientos. Pues vamos a Cheat Engine y ponemos en value 49 y presionamos "Next Scan". 

Si conseguimos un valor "Ya lo tenemos" sino.... tendremos que cambiar el proceso como en la foto anterior y realizar este proceso hasta encontrar el valor. 





En la foto vemos señalado en amarillo la cifra de 47 a 48, que coincide con los 2 movimientos hechos. Ahora doble click y nos lo pondrá en la parte inferior y botón derecho





Y justo al cambiarlo ya tenemos las vidas añadidas



De ahora en adelante ya no tendremos que cambiar de proceso sabiendo que el chrome.exe en el que estamos es el bueno.

** Apartir de aqui podéis investigar vosotros como cambiar la puntuación, yo pongo la solución por el que quiera mirarla.


Cambiando la puntuación


Introducimos nuestros puntos actuales y hacemos un "New Scan" y "First Scan". 

Realizamos un movimiento para que aumenten nuestros puntos  y vamos al Cheat Engine y ponemos los puntos actuales y "Next Scan" y ya tendremos 3 valores. De esos es probar cual es el bueno.


Ahora seria terminar el nivel y comprobaremos como es real todo lo que hemos hecho y que no hay trampa ni cartón.

Muchísimos juegos tienen este tipo de fallo de seguridad al no ofuscar o cifrar los valores, podéis hacer vuestras pruebas e ir jugando... Muchos juegos de facebook, en las web y juegos no muy pesados tienen esta vulnerabilidad de una manera tan fácil, así que ir probando y si alguno quiere compartir alguna hazaña que escriba por correo a mznlabsec@gmail.com, con una breve descripción y unas fotos para compartirlo.

Posiblemente haga un vídeo por si hay dudas, y cualquier duda comentad.

Si la cosa gusta, seguiremos con mas juegos.




Saludos!!