martes, 29 de noviembre de 2011

Megaupload y los DNS

  Parece que algunos que usamos ciertos DNS tenemos problemas con megaupload como vemos en noticias como:
->  http://www.fayerwayer.com/2011/11/confiscacion-de-dominio-vuelve-inaccesible-a-megaupload


 Una solución para esto es cambiar nuestros DNS por los de openDNS (por poner un ejemplo) con los que si que funciona:

208.67.222.222   /  208.67.220.220

La otra forma de acceder es no utilizar un servidor dns y acceder mediante IP. Veamos mediante que ips podemos acceder a megaupload:
[alpha@alpha-pc ~]$ nslookup www.megaupload.com
Server:        208.67.222.222
Address:    208.67.222.222#53

Non-authoritative answer:
Name:    www.megaupload.com
Address: 174.140.154.20
Name:    www.megaupload.com
Address: 174.140.154.21
Name:    www.megaupload.com
Address: 174.140.154.22
Name:    www.megaupload.com
Address: 174.140.154.23
Name:    www.megaupload.com
Address: 174.140.154.24
Name:    www.megaupload.com
Address: 174.140.154.12
Name:    www.megaupload.com
Address: 174.140.154.13
Name:    www.megaupload.com
Address: 174.140.154.14
Name:    www.megaupload.com
Address: 174.140.154.15
 Cualquiera de las ips mostradas con nslookup nos llevará a www.megaupload.com.

  Si ahora queremos acceder a un archivo, podemos hacerlo concatenando una de las IPs obtenidas antes junto con la url de megaupload quitando la parte de "www.megaupload.com".

  Con ejemplos se ve más claro:
Si tenemos la url -> http://www.megaupload.com/?d=ES4KXK52    
su equivalente seria -> http://174.140.154.15/?d=ES4KXK52
es decir ->  174.140.154.15 + http://www.megaupload.com/?d=ES4KXK52   
es
174.140.154.15/?d=ES4KXK52


  Con una de estas dos posibilidades podemos salir al paso y continuar teniendo acceder a megaupload mientras se soluciona este contratiempo.


Actualización:
  Como ha comentado un usuario en otro blog donde había publicado el post al pulsar el botón de descarga nos daba un error de que la pagina no existía. Esto sucede porque megaupload utiliza otra url para descargar los archivo, ahora veremos como lo solucionamos:

  Una vez nos aparezca el botón de descargar si ponemos el cursor sobre el veremos que la url cambia a www122.megaupload.com con lo al realizar un nslookup sobre la dirección vemos una ip distinta a las anteriores:

[alpha@alpha-pc ~]$ nslookup www122.megaupload.com
Server:        208.67.222.222
Address:    208.67.222.222#53

Non-authoritative answer:
Name:    www122.megaupload.com
Address: 95.211.95.67

  Con esta información pulsamos sobre el botón de descarga y nos saldrá un error, que siguiendo con el ejemplo anterior sería:

http://www122.megaupload.com/files/e8e9df0dca648bb1fca293c6af45b675/%23breaking80211.pdf

entonces realizaremos el mismo proceso que antes:
Si tenemos la url -> http://www122.megaupload.com/files/e8e9df0dca648bb1fca293c6af45b675/%23breaking80211.pdf  

su equivalente seria -> http://95.211.95.67/files/e8e9df0dca648bb1fca293c6af45b675/%23breaking80211.pdf  

es decir ->  95.211.95.67 +   http://www122.megaupload.com/files/e8e9df0dca648bb1fca293c6af45b675/%23breaking80211.pdf

es

http://95.211.95.67/files/e8e9df0dca648bb1fca293c6af45b675/%23breaking80211.pdf


  Con todo esto ya deberíamos poder descargar sin problemas ;)


Un saludo
Aetsu
5 0verl0ad Labs: noviembre 2011   Parece que algunos que usamos ciertos DNS tenemos problemas con megaupload como vemos en noticias como: ->  http://www.fayerwayer.com/...

miércoles, 23 de noviembre de 2011

Paper #breaking80211

  Buenas, soy Aetsu y a partir de ahora escribiré, si mi tiempo me lo permite, algunos post sobre temas de seguridad, redes, GNU/Linux o programación.

  Solo queda agradecer a The X-C3LL que me permita participar en el blog y aquí os dejo mi último paper, #breaking80211:

#breaking80211

by Aetsu

 

--- Contenido ---
[+] Introducción

[+] Materiales/Herramientas utilizados

[+] Conceptos básicos
[-] Cambiar dirección MAC
[-] Modo monitor

[+] Cifrado WEP
[-] Ataque 1+3

[-] Ataque Chop Chop

[-] Ataque fragmentación

[-] Hirte Attack

[-] Caffe Late Attack

[+] Cifrado WPA
[-] Obteniendo el handshake

[-] Obteniendo la contraseña: Aircrack-ng

[-] Obteniendo la contraseña: coWPAtty

[-] Obteniendo la contraseña: Pyrit

[-] Obteniendo la contraseña: Rainbow Tables

[-] Rainbow Tables -> coWPAtty

[-] Rainbow Tables -> Pyrit

[+] Otras defensas
[-] Filtrado MAC

[-] Ataque de desasociación

[-] ESSID oculto

[+] Descifrar capturas
[-] Airdecap-ng + WEP

[-] Airdecap-ng + WPA

[+] Ataques sociales -- Creación de puntos de acceso
[-] Airbase-ng + brctl

[-] Airbase-ng + iptables

[+] Ataque sociales -- Ataques en LAN
[-] DNS-spoofing con Ettercap y Metasploit

[-] S.E.T.

[+] Ataques sociales -- Todo en uno
[-] Karmetasploit

[+] Documentación

  

[+]  Enlace a exploit-db:          -- DESCARGAR --

[+]  Enlace scribd:         -- LEER ON-LINE --

[+]  Enlace PacketStorm:         -- DESCARGAR --

   

 

Un saludo y hasta la próxima ;)

5 0verl0ad Labs: noviembre 2011   Buenas, soy Aetsu y a partir de ahora escribiré, si mi tiempo me lo permite, algunos post sobre temas de seguridad, redes, GNU/Linux o pr...

martes, 22 de noviembre de 2011

Indetectando webshells y backdoors


¡Saludos!

En los últimos años la cantidad de "defaces" se ha incrementado bastante, por lo que no es de extrañar que estén apareciendo cada vez más herramientas dedicadas a la detección de webshells y backdoors -como NeoPI-, que junto a los AVs, intentan limpiar los servidores.


La primera línea de detección de los AVs y las herramientas orientadas a WSD (WebShell Detection) está basada en firmas. Un método de detección bastante simple y extendido es el de uso de checksums a modo de firma, que consiste en comparar los hashes de los archivos del servidor con los existentes en una lista negra. En dicha lista se encuentran los checksums de backdoors y webshells de los que ya tienen constancia las compañías de AVs. Esta técnica de detección es fácilmente evadible, puesto que añadiendo un comentario en el source se modificaría radicalmente su checksum y ya no sería detectado.

La detección de firmas suele ir más allá, tratando de encontrar nombres de funciones declaradas dentro de la propia webshell, o incluso trozos de código que sean típico. Este método puede surtir efecto en aquellas shells "clásicas" (como la C99, por ejemplo) a partir de las cuales se han ido distribuyendo distintas versiones con pequeñas modificaciones del código, pero que en esencia las funciones propias siguen manteniendo los mismos nombres, o incluso grandes porciones del código, por lo que la detección es inmediata.


En estos casos lo más fácil para que pase desapercibida es modificar los nombres de todas las funciones, reordenar el código y alterar la sección del HTML que "maquetará" a la shell.

Por supuesto que el uso de listas negras de funciones sospechosas (como system, o base64_decode) es otro método clásico para detectar archivos maliciosos. Para utilizar estas funciones y pasar desapercibido podemos hacer uso de las funciones variables -cuando una variable tenga "()" al final, PHP buscará una función con el mismo nombre- :


$a = 'sys'.'tem';
$a('rm -rf /');


Incluso podemos ir más allá y tomar la función desde variables de tipo GET (u otras variables como user-agent y similares):


<?php
echo $_GET[2]($_GET[1]);
?>



Pero las herramientas de WSD no se quedan aquí, sino que también implementan otros conceptos curiosos para detectar shells ofuscadas. Un claro ejemplo es NeoPI, que busca dentro de los archivos cadenas largas de caracteres, puesto que son típicas de los códigos ofuscados. La idea en inicio es buena, pero yerra porque son varias las funciones que al pasarle un string eliminan los espacios que contenga. Un ejemplo es base64_decode: si le metemos una cadena en base64 donde cada pocos caracteres aparece un espacio, ésta va a ser leída perfectamente.


Además NeoPI también detecta archivos con una entropía muy alta, por lo que si añadimos espacios entre cada carácter de la cadena ofuscada con base64, la entropía descenderá y pasará desapercibido.


PD: el bypassing a NeoPI estan sacadas de este post de Seth donde podreis encontrar un ejemplo de una shell 100% invisible para esta herramienta.
5 0verl0ad Labs: noviembre 2011 ¡Saludos! En los últimos años la cantidad de "defaces" se ha incrementado bastante, por lo que no es de extrañar que estén a...
< >