Ataques DoS "Slow HTTP" mediante SlowHTTPTest

pégeme despasito..
Los ataques "Slow HTTP" en aplicaciones web se basan en que el protocolo HTTP, por diseño, requiere que las peticiones que le llegan sean completas antes de que puedan ser procesadas. Si una petición HTTP no es completa o si el ratio de transferencia es muy bajo el servidor mantiene sus recursos ocupados esperando a que lleguen el resto de datos. Si el servidor mantiene muchos recursos en uso podría producirse una denegación de servicio (DoS).

Estos tipos de ataque son fáciles de ejecutar debido a que una sola máquina es capaz de establecer miles de conexiones a un servidor y generar miles de peticiones HTTP sin terminar en un período muy corto de tiempo utilizando un ancho de banda mínimo. 


Podemos dividirlos en cuatro tipos distintos según la técnica utilizada y lo bueno es que desde hace años podemos probarlos todos mediante la herramienta open-source SlowHTTPTest que podemos instalar fácilmente en nuestro Kali Linux (apt-get install slowhttptest) y también en otras distros de Linux, OSX y en Windows con Cygwin. 

Veamos entonces estos cuatro tipos de técnicas/ataques y un ejemplo del uso de SlowHTTPTest para probarlos:

- slow headers (Slowloris): consiste en enviar las cabeceras HTTP incompletas (sin el CRLF final que indica el final del header) de tal forma que el servidor no considera las sesiones establecidas y las deja abiertas afectando al número de conexiones máximas configuradas o maxclients.
slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://myseceureserver/resources/index.html -x 24 -p 3

Actualizando cookies "al vuelo" con Repeater e Intruder (Burp Cookie JAR)

Cada vez es menos extraño encontrarse con aplicaciones web que modifican y validan un valor de cookie distinto en cada petición, de forma que normalmente cada nueva petición deberá contener la cookie enviada en la respuesta anterior. De esta manera se evitan vulnerabilidades de condiciones de carrera sin tener que modificar el código de la aplicación, ya que si se reciben varias peticiones simultáneas con el mismo valor de cookie sólo una tendrá éxito y las demás serán rechazadas.

Por ejemplo, una aplicación que funcione así enviará en la cabecera de la respuesta HTTP: "set cookies: uniqueID=Xyzabc123mnq" y si en la siguiente petición no se incluye ese uniqueID no tendrá el mismo comportamiento.

Esta implementación no afecta a los navegadores web ya que los valores de las cookies actualizadas se incluyen por defecto en la solicitud posterior. Sin embargo, si estamos auditando la aplicación web con Burp proxy, Intruder y Repeater no tienen esta propiedad por defecto y para poder lanzar ataques y realizar fuzzing respectivamente es necesario manejar sesiones y usar cookie-jar.

Ayer lo escenifican perfectamente
en el blog de McAfee:

Petición 1
Análisis de una aplicación de demo usando Repeater.



PROTEIN, un script en powershell contra el ransomware

Ya hemos visto en el blog varias contramedidas para detener el ransomware cuando empieza con el proceso de cifrado de los archivos de la víctima, pero nunca está de más ver más herramientas y hoy les vamos a mostrar un script en powershell publicado directamente en Microsoft.

Se trata de PROTEIN ("PROTEcting your INformation - AntiRansomware") de Amador Pérez Trujillo alias @c0p3rnic0 que monitoriza activamente los archivos de un repositorio en busca de la actividad de ransomwares. Sus características principales (algunas todavía por implementar y/o mejorar) son:

- captura la acción de la creación de nuevos archivos, analizándolos y determina si son válidos o no para la empresa.
- identifica archivos conocidos (lista blanca), amenazas potenciales (lista negra) así como archivos desconocidos para su posterior procesamiento.
- registra cada acción de creación de archivos en el servidor.
- permite enviar alertas por correo electrónico a un administrador cuando se detecta un nuevo ransomware.
- también permite alertar directamente en pantalla a un usuario cuando se detecta un nuevo ransomware.
- desactiva el usuario de dominio afectado por ransomware, impidiendo el acceso al repositorio por el ransomware o a otros objetos críticos del sistema.
- desactiva la NIC del usuario afectado por el ransomware para bloquear el acceso a la red.

Instalación:

    ./protein.ps1 --install (selecciona el directorio a monitorizar, la ruta y el nombre de fichero de log y el email del administrador para alertas)
    ./protein.ps1 --configure(reconfigura las rutas o los directorios para monitorizar y para almacenar los logs, cambia el email)
   
Parámetros:

--monitor : empieza a monitorizar los directorios
--path: muestra en consola las rutas configuradas
--logs: muestra en consola los logs

Mujeres de #InfoSec a las que seguir en Twitter

Por supuesto que el mundo de la ciberseguridad no es exclusivo del género masculino. Si bien todavía son mayoría los hombres, cada vez hay más y más mujeres profesionales y entusiastas de la seguridad TI, yo ya he tenido muchas y muy buenas compañeras a lo largo de todos estos, faltaría más.

En TechBeacon han recopilado una interesante lista de cuentas de Twitter de mujeres hackers, pensadoras estratégicas y expertas en seguridad informática que no debéis perderos. Como veréis la mayoría son anglosajonas (de EE.UU. o UK), así que si conoces más perfiles interesantes a los que seguir, de habla hispana o incluso de esos o de otros países, no lo dudes y comparte!

  1. Window Snyder (@window): es la CSO de Fastly y co-autora de Threat Modeling, una guía práctica para la seguridad de aplicaciones.
  2. Lesley Carhart (@hacks4pancakes): trabaja para respuesta de incidentes en Motorola Solutions y se define como una princesa ciber-guerrera de amplio espectro. Su sitio web es tisiphone.net. 
  3. Sandra Toms (@sandra001): una geek del big data y también (nada más y nada menos) la vicepresidenta y comisaria de la Conferencia RSA.
  4. Jen Ellis (@Infosecjen):  vicepresidenta de la comunidad y asuntos públicos de Rapid7. Se centra en que todos trabajen juntos y en avanzar en el diálogo en la industria.
  5. Shannon Leitz (@devsecops): ingeniera de seguridad de la información y en la nube en Intuit. En 2014, Shannon recibió el Premio Scott Cook por desarrollar un innovador Programa de Seguridad en la Nube que permite proteger los datos sensibles en AWS.
  6. Kasha Gauthier (@kashagauthier): Kasha es directora de estrategia y marketing de RSA. También está en el comité de la Iniciativa Nacional para la Ciber Educación (NICE).
  7. Wendy Nather (@RCISCwendy): es la directora de investigación de Retail Cyber Intelligence Sharing Center. Su blog es http://idoneous-security.blogspot.com/
  8. Juliette Kayyem (@juliettekayyem): es la autora y anfitriona del podcast WGBH Security Mom. Recientemente, trabajaba como secretaria asistente del presidente Obama para asuntos intergubernamentales en el Departamento de Seguridad Nacional.
  9. Ann Barron-DiCamillo (@annie_bdc): es la directora de tecnología de Strategic Cyber Ventures. Tiene 18 años de experiencia en seguridad y en 2015 SC Magazine la nombró como una de las mujeres más influyentes en Seguridad de TI.
  10. Emili Evripidou (@Emil_i): es la gerente de seguridad de la información en Deloitte. También es fundadora y directora de Women in Security group, una organización sin ánimo de lucro destinada a elevar el perfil de las mujeres en el campo de seguridad de la información.
  11. Cecily Joseph (@cecilyjosephcr): es la vicepresidenta de la responsabilidad corporativa de Symantec. En la Comisión de San Francisco recibió el Premio de Derechos Humanos sobre la Condición de la Mujer por su trabajo en la promoción de la igualdad de género.
  12. Christina Ayiotis (@christinayiotis): es una abogada especialista en ciberseguridad reconocida internacionalmente. Actualmente es consultora de Cyber Sabbatical.
  13. Runa A. Sandvik (@runasand): es director de seguridad de la información en The New York Times. Echa un vistazo a este impresionante vídeo hackeando un rifle de francotirador "inteligente".
  14. Katie Moussouris (@k8em0): es la jefa de política de HackerOne. En un esfuerzo por hacer que Internet sea más seguro, Katie aconseja a los legisladores, investigadores y clientes sobre seguridad.
  15. Eleanor Dallaway (@InfosecEditor): es editora de Infosecurity Magazine. Ha sido reconocida por su genialidad y fue ganadora del premio One to Watch en los Premios de las mujeres influyentes en Tecnología (EWT) de 2013.
  16. Bev Robb (@teksquisite): está trabajando actualmente como editora de tecnología de seguridad en Fortscale. Ella es una blogger de seguridad e investigadora de Darknet. Su blog es: https://teksecurityblog.com.
  17. Elinor Mills (@elinormills): es una entusiasta de la seguridad/hacker y vicepresidenta de contenidos y estrategia de medios en Bateman Group. 
  18. Masha Sedova (@modMasha): es directora senior de compromiso y confianza de Salesforce. Se puede extraer una de sus fantásticas presentaciones en la transformación de la conciencia de seguridad aquí.
  19. Parisa Tabriz (@laparisa): es la directora de ingeniería de seguridad de Chrome en Google. Es conocida por explotar los navegadores web antes de que los malos sean capaces de hacerlo.
  20. SecuriTay (@SwiftOnSecurity): añade un poco de humor de seguridad a tu día a día.
Actualizaciones
*(venga vamos entre todos añadiendo algunas cuentas más, no seáis timid@s y comentar para ir aumentando la lista ;) ):

Nueva versión fortificada de Tor Browser con Selfrando para mejorar ASLR

Ya sabemos que, a parte de aprovechar ciertas debilidades en los protocolos de red, la principal alternativa para desanonimizar a los usuarios de Tor es intentar explotar las vulnerabilidades del software utilizado para acceder a la red de Tor. Como la forma más habitual para acceder a la red de Tor es usar el Tor Browser que se basa en Firefox, muchos de los ataques se basan en explotar las vulnerabilidades de este navegador. Por ejemplo el FBI ya lo hizo en 2013 y actualmente es sabido que sigue monitorizando la red de Tor mediante un ataque ideado por investigadores de la Universidad de Carnegie Mellon.
 
Hace unas semanas un grupo de investigadores de la Universidad de California, Irvine (UCI), publicaron un interesante paper llamado “Selfrando: Securing the Tor Browser against De-anonymization Exploits”. En dicho paper se presentaba Selfrando,  una técnica mejorada de randomización en tiempo de carga que puede implementarse en Tor Browser para defender a los usuarios de Tor contra ataques que permitan desanonimizarlos.

Básicamente consiste en variar la superficie de ataque, es decir el diseño de código, mediante la aleatorización de cada función por separado. Esto hace que escribir en memoria sea más difícil y aumenta la resistencia a la fuga de información de técnicas tradicionales de ASLR (Address Space Layout Randomization).



reGeorg: compromete un servidor web y crea proxy SOCKS a través de la DMZ (túnel TCP sobre HTTP)

Si durante un test de intrusión conseguimos comprometer un servidor web y subir archivos o una shell, siempre es interesante (además) usarlo para pivotar e intentar llegar a otros servicios y servidores de la red interna. Para ello se suele realizar un túnel para reenviar tráfico TCP sobre HTTP.
Hace años os hablamos de una herramienta para realizar estos túneles llamada Tunna y hoy os traemos otra que debéis tener también en vuestro arsenal: reGeorg.



ReGeorg de Sensepost (llamada reDuh hasta 2014) nos permitirá pivotar a la red interna creando un túnel TCP sobre HTTP mediante un servidor web que previamente hemos comprometido y levantando un proxy SOCKS4/5. Requiere python 2.7 y el módulo urllib3. Los pasos para usarlo son bastante sencillos:

1) Sube un fichero aspx/ashx/jsp/php al servidor web

2) Configura reGeorg ejecutando: python reGeorgSocksProxy.py -p 1337 -u http://web.example.com/uploads/tunnel.php

3) Actualizar tu fichero /etc/proxychain.conf para usar ese puerto y, por ejemplo, iniciar nmap y escaner puertos.

Puedes descargar reGeorg desde este enlace: https://github.com/sensepost/reGeorg

Pivot and pwn!

BadTunnel o el bug que permite secuestrar todo el tráfico de red y que afecta a todos los PCs con Microsoft Windows de los últimos 20 años

El pasado martes entre todas las actualizaciones y parches que publicó Microsoft se corregía por fin una que ha estado oculta y latente en las últimas décadas y que afecta a todos los sistemas operativos Microsoft Windows, desde Windows 95 hasta Windows 10. Concretamente el boletín MS16-077 que incluye el parche para la vulnerabilidad bautizada como BadTunnel que, básicamente, puede permitir a un atacante redireccionar todo el tráfico de la víctima mediante un NetBIOS-spoofing a través de red.

Su descubridor, el chino Yang Yu del lab Xuanwu de Tencent en Pekín que recibió 50.000$ de Microsoft, afirma que "esta vulnerabilidad tiene un impacto masivo en la seguridad - probablemente el mayor impacto en la historia de Windows [...] No sólo se puede aprovechar a través de muchos canales diferentes, si no que también existe en todas las versiones de Windows liberadas durante los últimos 20 años. Puede ser explotada en silencio con una tasa de éxito casi perfecta".

BadTunnel no es el error típico de programación: es una combinación de aspectos que en conjunto permiten la explotación de una vulnerabilidad. "Esta vulnerabilidad se debe a una serie de implementaciones aparentemente correctas, que incluyen un protocolo de capa de transporte, un protocolo de capa de aplicación, el uso un poco específico del protocolo de aplicación por el sistema operativo y varias implementaciones de protocolo utilizadas por firewalls y dispositivos NAT" explica Yu.

Puede ser explotado a través de todas las versiones de Microsoft Office, Edge, Internet Explorer y a través de varias aplicaciones de terceros en Windows. A diferencia de la mayoría de los ataques ni siquiera requiere de malware, aunque un atacante podría instalar programas maliciosos. Eso hace que sea aún más difícil de detectar. Además, un atacante también podría ejecutar el ataque a través de servidores IIS y Apache Web, así como a través de una unidad de disco USB.

Mediante un spoofing de netbios "en remoto", el atacante puede obtener acceso al tráfico de red sin estar en la red de la víctima, y también pasar por alto los firewalls y gateways (NAT) entre medias. El típico escenario sería el siguiente:

1.  Alice y Bob pueden estar ubicados en redes distintas y separadas por firewalls y pasarelas que hagan NAT, siempre y cuando el puerto 137/UDP de Bob sea alcanzable por Alice.

2.  Bob cierra los puertos 139 y 445 pero escucha en el 137/UDP.

3. Alice intenta acceder a una URI o ruta UNC para acceder a un archivo de Bob, y a otro hostname como "http://WPAD/x.jpg" o "http://FileServer/x.jpg". Alice envía una consulta NBNS NBSTAT a Bob, y también envía una consulta NBNS NB a la dirección de difusión de LAN.

4. Si Bob bloquea el acceso a los puertos 139 y 445 utilizando un firewall, Alice envía una consulta NBNS NBSTAT después de aproximadamente 22 segundos. Si en vez de eso Bob bloquea ambos puertos mediante la desactivación del Servicio de servidor de Windows o NetBIOS sobre protocolo TCP/IP, Alice no necesita esperar al timeout de conexión antes de enviar la consulta.

5. Cuando Bob recibe la consulta NBNS NBSTAT enviada por Alice, Bob crea una respuesta NBNS NB mediante la predicción de la identificación de la transacción, y la envía a Alice. Si un paquete de heartbeat se envía cada pocos segundos, y la mayoría de cortafuegos y pasarelas mantendrán el túnel 137/UDP <-> 137/UDP abierto.

6. Alice añadirá la dirección resuelta enviada por Bob a la caché NBT. El TTL predeterminado para la entrada de la caché NBT es de 600 segundos.

De esta manera Bob puede secuestrar el tráfico de red de Alice haciéndose pasar por un servidor WPAD (Web Proxy Auto-Discovery Protocol) o ISATAP (Intra-Site Automatic Tunnel Addressing Protocol (ISATAP). Elaborado y muy impresionante, ¿Verdad?

La solución: bloquear el puerto 137/UDP de cara a Internet e inmediatamente después parchear con MS16-077 y, si se tiene un sistema no soportado como XP pues desactivar Netbios sobre TCP.

Fuentes:
- BadTunnel: a vulnerability all Windows users need to patch
- Windows 'BadTunnel' Attack Hijacks Network Traffic
- 'BadTunnel' Bugs Left Every Microsoft Windows PC Vulnerable For 20 Years 
- Windows ‘BadTunnel’ Attack Hijacks Network Traffic 

- BadTunnel: a vulnerability all Windows users need to patch

PowerOps: haciendo más fácil el pentesting con PowerShell

"PowerShell Runspace Portable Post Exploitation Tool" aka PowerOps es una aplicación escrita en C# que no se basa en powershell.exe sino que ejecuta los comandos y funciones de PowerShell en un entorno de espacio de ejecución de PowerShell (.NET). Intenta incluir varios módulos PowerShell ofensivos para hacer el proceso de post explotación más fácil.

Se trata de seguir el principio KISS, siendo lo más simple posible. El objetivo principal es hacer que sea fácil usar PowerShell ofensivamente y ayudar a evitar las soluciones antivirus y otras de mitigación. Esto se hace principalmente de dos formas:

- No basándose en powershell.exe, llamando a PowerShell directamente a través del marco .NET, lo que podría ayudar a pasar por controles de seguridad como GPO, SRP y App Locker.
- Los payloads se ejecutan desde la memoria (cadenas codificadas en base64) y nunca tocan el disco, evadiendo la mayoría de los antivirus.

PowerOps se inspira en Cn33liz/p0wnedShell. PowerOps ofrece básicamente un símbolo del sistema PowerShell interactivo con las herramientas PowerShell que incluye y, además, permite ejecutar cualquier comando válido PowerShell.

Herramientas/funciones que incluye:

Lalin, un hackpack y herramientas de Kali para vagos

Lalin es un remake de Lazykali de bradfreda que corrige algunos bugs, añade nuevas características y actualiza las herramientas. Se trata de un simple script en bash muy útil para tener un recopilatorio a mano e instalar y tener actualizadas un buen número de herramientas para nuestro arsenal en Kali Linux. Es compatible con la última release de Kali (Rolling) y su funcionamiento es trivial:

- Extrae lalin-master a tu home o a otro directorio
- $ sudo chmod +x Lalin.sh
- $ sudo ./Lalin.sh

- Y selecciona lo que quieres hacer simplemente indicando el número



[...]

Proyecto: https://github.com/Screetsec/LaLin

¿Dónde está la bolita? Jugando con las pestañas del navegador para engañar al usuario (phishing avanzado)

El phishing tradicional funciona principalmente enviando a los usuarios un correo con un enlace que, si pinchan, les redireccionará a un sitio malicioso, normalmente una web falsa que se hace pasar por otra legítima. Pero, ¿y si la redirección al sitio falso se produce de forma inadvertida en una de las múltiples pestañas abiertas en el navegador?


Hoy vamos a ver dos formas ingeniosas para conseguirlo. La primera denominada 'Windows hijacking' que establecerá un contador al abrir una pestaña que una vez llegue a 0 cambiará la localización a la página fraudulenta. La segunda llamada 'tap nabbing' hará se cambie el contenido igualmente pero en otra pestaña que el usuario no está viendo en ese momento. De esa forma cuando el usuario vuelva a la pestaña creerá que la dejó abierta (por ej. Gmail) y se volverá a loggear.

Window hijacking

Es sabido que configurar un tag con un atributo como _blank tiene ciertos riesgos de seguridad:

https://mathiasbynens.github.io/rel-noopener/

Esto es debido a que una nueva página abierta tiene la capacidad de cambiar la ubicación de la ventana (windows location) con lo siguiente:

window.opener.location = "https://google.com"

Además es posible también crear una página web con la capacidad de crear una nueva página en una nueva pestaña, y luego cambiar la ubicación de la página recién creada después de un periodo arbitrario de tiempo. Esto se puede lograr de la siguiente manera:
<script>
    var windowHijack = function(){
        window.open('https://legitloginpage.xyz', 'test');
        setTimeout(function(){window.open('https://notlegitloginpage.xyz', 'test');}, 300000);
    }
</script>
<button onclick="windowHijack()">Open Window!</button>

En el ejemplo anterior, una nueva ventana se abre cuando se pulsa el botón y, 5 minutos más tarde, la nueva ventana cambiará de sitio. Incluso si en la nueva pestaña se navega a otro sitio web o se actualiza, el sitio original todavía podría cambiar la ubicación.

Ruby in the middle (RITM)

Ruby in the middle (RITM) es un proxy HTTP y HTTPS para interceptar tráfico con el que es posible firmar y generar certificados y firmas al vuelo, lo que deja al usuario con toda la potencia del lenguaje Ruby para interceptar e incluso modificar peticiones y respuestas como quiera.

El cliente intenta conectarse a cada nombre de servidor diferente. RITM genera un certificado sobre la marcha y lo firma con una autoridad de certificación preconfigurada (CA). Por lo tanto, con el fin de ser capaz de establecer una conexión segura se tendrá que configurar el cliente (por ejemplo, el navegador) para confiar en la CA de RITM. Por razones de seguridad, cada vez que se inicia el proxy de RITM con la configuración predeterminada se crea una nueva autoridad de certificación interna. Aunque si lo prefieres, también se puede utilizar una entidad emisora propia.

Instalación

gem install ritm

Uso básico

1.- Escribe tus "interception handlers":

require 'ritm'  
 # A single answer for all your google searches  
 Ritm.on_request do |req|  
  if req.request_uri.host.start_with? 'www.google.'  
   new_query_string = req.request_uri.query.gsub(/(?&lt;=^q=|&amp;q=)(((?!&amp;|$).)*)(?=&amp;|$)/, 'RubyInTheMiddle')  
   req.request_uri.query = new_query_string  
  end  
 end  
 my_picture = File.read('i_am_famous.jpg')  
 # Replaces every picture on the web with my pretty face  
 Ritm.on_response do |_req, res|  
  if res.header['content-type'] &amp;&amp; res.header['content-type'].start_with?('image/')  
   res.header['content-type'] = 'image/jpeg'  
   res.body = my_picture  
  end  
 end  

2.- Inicia el servidor proxy
 proxy = Ritm::Proxy::Launcher.new  
 proxy.start  
 puts 'Hit enter to finish'  
 gets  
 proxy.shutdown  

3.- Configura el navegador o el cliente HTTP del que quieras interceptar tráfico con el proxy

4.- Navega por Internet: por ejemplo busca cualquier cosa en Google o visita tu periódico favorito

Fuente: https://github.com/argos83/ritm

Firefox Security Toolkit, una herramienta que transformará tu Firefox en una suite completa de pentesting

Firefox Security Toolkit es un shell script que descargará e instalará las extensiones más importantes (las más votadas por la comunidad) para hacer pentesting. Además opcionalmente permite descargar el certificado de Burp Suite y una lista bastante extensa de agentes de usuario para User-Agent Switcher.   

A diferencia de OWASP Mantra y Hcon STF, Firefox Security Toolkit no necesita tanto desarrollo y mantenimiento. Las extensiones utilizadas se descargan directamente desde Mozilla Addons Store disponiendo por tanto de la última versión estable de cada una de ellas.

Uso:

bash ./firefox_security_toolkit.sh

Demo:

Addons:
  •     Cookie Export/Import
  •     Cookie Manager
  •     Copy as Plain Text
  •     Crypto Fox
  •     CSRF-Finder
  •     Disable WebRTC
  •     FireBug
  •     Fireforce
  •     FlagFox
  •     Foxy Proxy
  •     HackBar
  •     Live HTTP Headers
  •     Multi Fox
  •     PassiveRecon
  •     Right-Click XSS
  •     Tamper Data
  •     User Agent Switcher
  •     Wappalyzer
  •     Web Developer
Fuente: https://github.com/mazen160/Firefox-Security-Toolkit

Hackean el Mitsubishi Outlander PHEV mediante un fallo en la app Wi-Fi

El Mitsubishi Outlander PHEV es en la actualidad unos de los vehículos híbridos enchufables más vendidos en toda Europa, si no el que más. Imaginaros un SUV capaz de recorrer en eléctrico hasta 52 kilómetros con un consumo homologado de 1,8 l/100 km y todo con una buena relación calidad-precio. Una joya tecnológica que sin embargo puede hackearse fácilmente vía Wi-Fi.


Esta vez el aviso es cortesía de Pen Test Partners que señalan su particular forma de control remoto. Cuando lo normal es que para gestionar un vehículo remotamente (localizarlo, bloquearlo remotamente, encender las luces, etc.) se haga a través de un módulo GSM que se conecta a un webservice alojado en la infraestructura del fabricante u otro proveedor, en el caso de Outlander PHEV decidieron ahorrarse todo esto y que el propio coche montara un punto de acceso Wi-Fi. El usuario sólo puede conectarse dentro del rango Wi-Fi del AP del coche pero a cambio se evitan pagar la suscripción GSM y el hosting de turno.

El problema es que este sistema no lo implementaron de forma segura...

Truco para evadir el firewall de Windows mediante SendInput() (botón 'permitir acceso' en alerta de Windows)

Si desarrollas malware una parte de tu artefacto estará siempre destinada a evadir ese molesto firewall personal que controla la ejecución y el acceso a red de las aplicaciones del sistema de la víctima. Por simple economía de escala una gran parte (por no decir la mayoría) suele ser el propio firewall de Windows para lo cual se suele intentar hookear o directamente detener mediante una función como execl(), system() con el argumento:

netsh advfirewall set currentprofile state off

o añadir directamente nuestro binario a la lista blanca atacando al registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
SYSTEM\ControlSet%03d\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List


si bien el antivirus esta ya ducho en estas técnicas hoy leía otra forma bastante interesante usando la *todopoderosa* API de Windows para simular un oportuno clic en el botón correspondiente de la alerta de turno, abriendo las puertas a nuestra "bestia del averno":



Windows tiene la función SendInput() para simular una pulsación de tecla. Esta función acepta como argumento un array de estructuras INPUT. Las estructuras de INPUT pueden ser un clic del ratón o un evento del teclado. La estructura de eventos del teclado tiene un miembro denominado wVk que puede ser cualquier tecla del teclado.

En primer lugar, se encuentra una ventana con el título "Alerta de seguridad de Windows" utilizando la función GetWindowText(). En segundo lugar, se llama a SendInput() con TAB y ENTER para elegir el botón "permitir el acceso'. Tan sencillo como eso.

Echa un vistazo al siguiente vídeo:


Fuente: http://funguscodes.blogspot.com.es/2016/05/uncommon-trick-to-bypass-windows.html
Código: https://github.com/CoolerVoid/X_files/blob/master/docs/PoCs/bypass_firewall_windows.cpp

Secuestrar cuentas de WhatsApp o Telegram aprovechando un *conocido* fallo de telecomunicaciones (SS7)

WhatsApp y Telegram son principalmente las dos alternativas seguras para las llamadas, los mensajes de texto o el correo electrónico en los teléfonos móviles. Y decimos "seguras" porque ambas incluyen por defecto el cifrado extremo a extremo (E2E) y por ello sus conversaciones son mucho más difíciles de "monitorizar" por terceros.

Sin embargo a veces no es la aplicación la que lleva a las vulnerabilidades de seguridad, sino algo completamente distinto. En este caso, ese "algo más" es el Sistema de Señalización por canal común n.º 7 (SS7), un conjunto de protocolos de señalización telefónica empleado en la mayor parte de redes telefónicas mundiales.

Desde hace tiempo las vulnerabilidades en SS7 no son un secreto y son conocidas por todos, incluyendo los ISPs, los Gobiernos y... también los hackers por supuesto. El problema es que la vulnerabilidad no es sencilla de solucionar como veremos más adelante.

Por ahora, echa un vistazo a cómo es posible hackear tanto Whatsapp:


 
como Telegram:

KaliBrowser o cómo usar Kali Linux desde el navegador

Imagina una manera fácil y sencilla de usar Kali Linux remotamente desde cualquier navegador. Pues Jerry Gamblin nos lo pone a huevo en bandeja con KaliBrowser, un contenedor Docker que nos permitirá usar nuestra distribución de pentesting favorita simplemente:

- ejecutando docker run -d -t -i -p 6080:6080 jgamblin/kalibrowser
- accediendo a http://ip:6080



Al lanzarlo se ejecutarán los siguiente paquetes:

Kali Docker
OpenBox
NoVNC  


La imagen por defecto está pensada para se lo más pequeña posible (unos 841MB) aunque también tienes disponible otra versión gamblin/kalibrowser-top10 (2GB) que tiene preinstalado Kali Top 10 metapackage. Para usarla en su lugar ejecuta:

docker run -d -t -i -p 6080:6080 jgamblin/kalibrowser-top10 


Y si quieres construir la imagen tú mismo, aquí tienes el dockerfile:
FROM kalilinux/kali-linux-docker

ENV DEBIAN_FRONTEND noninteractive

RUN apt-get update -y && \
apt-get install -y \
net-tools \
openbox \
git \
x11vnc \
xvfb \
wget \
python \
python-numpy \
unzip \
geany \
iceweasel
menu && \
cd /root && git clone https://github.com/kanaka/noVNC.git && \
cd noVNC/utils && git clone https://github.com/kanaka/websockify websockify && \
cd /root
ADD startup.sh /startup.sh

RUN chmod 0755 /startup.sh && \
apt-get autoremove && \
rm -rf /var/lib/apt/lists/*

#The Kali Docker Image Is Out Of Date. : (
RUN apt-get update -y && apt-get dist-upgrade -y

CMD /startup.sh

Y el startup.sh:
#!/bin/bash

export DISPLAY=:1
Xvfb :1 -screen 0 1600x900x16 &
sleep 5
openbox-session&
x11vnc -display :1 -nopw -listen localhost -xkb -ncache 10 -ncache_cr -forever &
cd /root/noVNC && ln -s vnc_auto.html index.html && ./utils/launch.sh --vnc localhost:5900

Fuente: http://jerrygamblin.com/2016/05/31/kalibrowser/