Solución al reto 23 "Hacker War"

Un espectrograma es una representación visual del espectro de frecuencias de sonido u otra señal en un periodo de tiempo. Normalmente los espectrogramas de audio se suelen usar para identificar palabras habladas fonéticamente y para analizar las diversas llamadas de animales pero, ¿podrían usarse también para ocultar información en un fichero de audio?

Si hicisteis el reto 23 que planteaba _Stuxnet sabeis que la respuesta es afirmativa. Para resolverlo bastaba con descargar la pista de música modificada de "Hacker War" y analizar su espectrograma con un programa como Audacity. Si no lo tenéis instalado y queréis probarlo:

sudo add-apt-repository ppa:ubuntuhandbook1/audacity
sudo apt-get update

sudo apt-get install audacity


(si queréis borrarlo después de las pruebas: sudo apt-get remove --autoremove audacity audacity-data)

Ahora abrimos el fichero y en el desplegable de la izquierda seleccionamos 'Spectrogram':

Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS) 1.0 de OWASP en español

Ya tenemos disponible en español el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS, en inglés Mobile Application Security Verification Standard) de OWASP, un esfuerzo comunitario para establecer un marco de requisitos de seguridad necesarios para diseñar, desarrollar y probar aplicaciones móviles seguras en iOS y Android.

El MASVS se puede utilizar para establecer un nivel de confianza en la seguridad de las aplicaciones móviles. Los requerimientos fueron desarrollados con los siguientes objetivos en mente:

- Usar como una métrica - Para proporcionar un estándar de seguridad contra el cual las aplicaciones móviles existentes pueden ser comparadas por desarrolladores y los propietarios de las aplicaciones;
- Utilizar como guía - Proporcionar una guía durante todas las fases del desarrollo y prueba de las aplicaciones móviles;
- Usar durante la contratación - Proporcionar una línea de base para la verificación de seguridad de aplicaciones móviles.

Modelo de seguridad para una aplicación móvil

El MASVS define dos niveles estrictos de verificación de seguridad (L1 y L2), así como un conjunto de requisitos de resistencia a la ingeniería inversa (MASVS-R) flexible, es decir, adaptable a un modelo de amenaza específico de la aplicación.



Los niveles MASVS-L1 y MASVS-L2 contienen requerimientos genéricos de seguridad recomendados para todas las aplicaciones móviles (L1) y para aplicaciones que manejan datos altamente sensibles (L2).

MASVS-R cubre los controles de seguridad adicionales que se pueden aplicar si la prevención de las amenazas del lado del cliente son un objetivo de diseño.

Cumplir con los requerimientos de MASVS-L1 resulta en una aplicación segura que sigue las mejores prácticas de seguridad y no sufre de las vulnerabilidades más comunes. MASVS-L2 añade controles adicionales de defensa en profundidad, como la fijación de certificados SSL, lo
que resulta en una aplicación resistente a ataques más sofisticados, asumiendo que los controles de seguridad del sistema operativo móvil estén intactos y que el usuario final no sea visto como un adversario potencial.

El cumplimiento de todos o de un subconjunto de los requerimientos de protección del software en el nivel MASVS-R ayuda a impedir amenazas
específicas del lado del cliente cuando el usuario final es considerado malicioso y/o el sistema operativo móvil está comprometido.

Proyecto: https://github.com/OWASP/owasp-masvs/releases/tag/1.0-ES
DocumentoOWASP_Mobile_AppSec_Verification_Standard_v1.0-ES.pdf

PoT: saliendo a pescar en Twitter

PoT acrónimo de 'Phishing on Twitter' es una sencilla herramienta escrita en Python que genera automáticamente tweets de phishing y los envía a la víctima. Funciona en tres pasos:

1- Recopila datos de la cuenta de Twitter objetivo
2- Encuentra el amigo del objetivo y copia su cuenta
3- Generar el texto del tweet automáticamente con el algoritmo de cadena de markov y lo envía

Instalación

git clone https://github.com/omergunal/PoT
cd PoT
pip3 install -r requirements.txt


Actualiza tus API keys en "PoT.py" (para obtenerlas visita previamente https://apps.twitter.com/)

Uso

python3 PoT.py [nombre_cuenta_objetivo]

Demo


 Github: https://github.com/omergunal/PoT

Exploiting: A Love Story (by Antonio Pérez #hc0n2018)

El material que subimos a continuación es de la charla de nuestro compañero de SIA, el quillo Antonio Pérez, ducho ya en la docencia con CICE, sobretodo en temas de exploiting.

Lo tuvimos hace unos meses en Navaja impartiendo un taller de desbordamiento de pila y más recientemente estuvo en su tierra, en la SecAdmin, dando la charla “De 0 a exploiting” y en la h-c0n tuvimos la suerte de contar también con él con su ponencia "Exploiting: A Love Story" en la que dio un repaso global a toda la historia sobre el exploiting, desde como se desarrollan las diferentes técnicas, las contramedidas que surgieron para las mismas, su funcionamiento y como se han conseguido evitar.

Si quieres introducirte en el mundo del exploiting en Antonio tienes una gran referencia:



[HTB write-up] Shocker


En anteriores ocasiones les he dejado un par de retos muy entretenidos, en este caso os dejaré la solución de Shocker, un máquina muy entretenida de Hackthebox.

Como sabrán Hackthebox es un sitio donde hay todo tipo de máquinas virtuales vulnerables para practicar nuestras habilidades de pentesting, ya sin mucha palabrería vamos a ello.

Agenda

    • Enumeración con nmap
    • dirb - Bruteforce de directorios
    • Bruteforce file extencion .sh
    • Explotación vulnerabilidad shellshok
    • Privilege escalation.

* Enumeración con nmap


Tenemos un apache corriendo en el puerto 80 y un SSH en el puerto 2222

* Dirb

Cuando ingresamos a la dirección http://10.10.10.56 y vemos el código fuente no hay nada interesante, así que vamos a realizar un bruteforce de directorios utilizando la herramienta dirb, por default ya está instalada en kali.



FOFA.so, el nuevo Shodan chino

No solo de Shodan vive el hombre...
Aparte de otros motores de búsqueda con multitud de servicios escaneados, como Zoomeye.org u O'shadan, ha salido a la palestra recientemente uno nuevo llamado FOFA.so:
https://fofa.so/

Para las búsquedas ofrece una pequeñas ayuda predictiva con una mini-guía sobre Dorks y condiciones lógicas:
domain="" || ip="" || host="" || title="" || header=""


Los resultados los muestra por:
- Servicio
- Año
- Geolocalización
- Puertos
- Tecnología
- Protocolo
- Sistema Operativo

Introducción a la Post-Explotación con Empire (by @CyberVaca_ #hc0n2018)

El 4 de abril del año pasado Luis Vacas subió al Github de Hackplayers un mod de Empire al que añadió muchos módulos para elevar la funcionalidad al infinito del famoso agente y framework post-explotación.

Cuando veíamos cualquier nueva herramienta o exploit en Powershell que tuviera cabida a Empire en seguida llamábamos a la puerta del "tito Vacas" y con el paso del tiempo se sucedieron los commits y se fue llenando de nuevas funcionalidades. Por eso, cuando surgió la idea de la h-c0n allá por julio, la propuesta de que diera una charla sobre el mod de Empire estaba clarísima... y nuestro compi de L1k0rd3b3ll0t4 accedió a darla.

El resultado fue una de las ponencias que más ha gustado de nuestra conferencia: 'Introducción a la Post-Explotación con Empire' y es que, por mucho que Luis diga que es "sólo" un administrador de sistemas y que no tiene experiencia en seguridad que no os engañe... conoce como pocos las entrañas de Empire, domina a la perfección powershell y un montón técnicas de explotación y post-explotación, más no quiero contaros las horas que se pega en Hack the box... ;)

Así que aquí os dejo la presentación que dió, donde veréis varios módulos y stages que ha implementado en Hackplayers y varios videos de demos que seguro os gustarán (y que Melendi aprueba):



Grupos de Telegram sobre hacking y seguridad informática en español

Casi me atrevo a decir que el IRC de los hackers del siglo XXI, o si acaso de esta década, es Telegram. Evidentemente no es el único medio y quizás no tenga el mismo romanticismo de antaño (o quizás los años hayan diluido algo la magia), pero en Telegram se han vuelto a encontrar muchos grupos y canales como los de antes.


Vale que ha habido muchos cambios... el arte ASCII ha dejado paso a los stickers y los gifs, podemos deleitarnos con la estela multicolor del arcoiris del Nyan Cat y llevar las conversaciones en el móvil hasta la taza del váter. Pero la esencia sigue estando ahí... gente con un interés común que interactúa y comparte... llora, ríe, trollea, ...

Precisamente hace unas horas en nuestro grupo de Telegram uno de los miembros preguntaba acerca de otros grupos similares... ¿por qué no? surge una oportunidad para recopilar y conocer otros grupos y comunidades y hay que aprovecharla.

Así que para que no se pierda en el timeline del chat escribimos este post con un recopilatorio de grupos y comunidades de hacking y seguridad informática de habla hispana en Telegram (en otros idiomas se nos iría a una lista casi interminable):
¿Conoces alguno más a parte de los siguientes? si es así, comenta por favor!

DVHMA: una aplicación móvil híbrida vulnerable para practicar

Las aplicaciones móviles híbridas son aquellas que se crean a través de estándares web HTML5, CSS y JavaScript y luego se ejecutan en el smartphone dentro de un contenedor que les permite instalarse y funcionar de manera similar a una aplicación nativa. Normalmente ese contenedor es una aplicación nativa que utiliza WebView, por manejar un símil, como una ventana del navegador sin bordes que generalmente está configurada para ejecutar pantalla completa. Esto les permite acceder a las capacidades del dispositivo, como el acelerómetro, la cámara, los contactos, etc.

Damn Vulnerable Hybrid Mobile App (DVHMA) es una aplicación móvil híbrida (para Android) que contiene vulnerabilidades de forma intencionada. Su propósito es permitir a los profesionales de seguridad probar sus herramientas y técnicas legalmente, ayudar a los desarrolladores a comprender mejor los fallos más comunes en el desarrollo de aplicaciones móviles híbridas de forma segura.

Esta aplicación está desarrollada para estudiar las "trampas" en el desarrollo de aplicaciones híbridas, por ejemplo, utilizando Apache Cordova o SAP Kapsel de forma segura. Actualmente, el enfoque principal es desarrollar una comprensión más profunda de las vulnerabilidades de inyección que explotan el nexo de unión entre JavaScript a Java.

Instalación

Requisitos previos

- Android SDK (https://developer.android.com/sdk/index.html)
- Apache Cordova (https://cordova.apache.org/), versión 6.3.0

* Es conveniente familiarizarse con el sistema de compilación de Apache Cordova.

Construyendo DVHMA

Establecer variables de entorno:

export ANDROID_HOME=(Android SDK Installation Directory)
export PATH=$ANDROID_HOME/tools:$PATH
export PATH=$ANDROID_HOME/platform-tools:$PATH


Compilando DVHMA

cd DVHMA-Featherweight
cordova plugin add ../plugins/DVHMA-Storage
cordova plugin add ../plugins/DVHMA-WebIntent
cordova platform add android
cordova compile android


Ejecutando DVHMA en un emulador

cordova run android

Proyecto Github
: https://github.com/logicalhacking/DVHMA

¿Sabes qué pasa en tú nube? Forensic version (by @loriendr #hc0n2018)

Con el mensaje: "Nadie duda que el Cloud es seguro" que van predicando los grandes proveedores en la nube, se intenta dar una sensación de seguridad por defecto que los técnicos sabemos que no es real. A través de varios casos, se verán incidentes que pasan en la nube y el trabajo a nivel forense que se puede realizar.

Lórien Doménech es un apasionado de la seginfo en varios ámbitos y está especializado en entornos Cloud, y en la h-c0n nos regaló la ponencia '¿Sabes qué pasa en tú nube? Forensic version' que seguro será de gran utilidad para el público en general que opera en la nube y en particular a los profesionales del DFIR (Incident Response y Digital Forense) con un enfoque práctico y como una evolución del trabajo DFIR enfocado a la nube y denominado FAAS (forensic as a service).

En ella, pudimos ver algunos ejemplos y una demo de cómo paliar incidentes y cómo realizar una extracción de evidencias digitales con un software creado para dicho cometido, con todas la garantías asociadas al trabajo de forense, en un entorno cloud.