Exploiting: A Love Story (by Antonio Pérez #hc0n2018)

El material que subimos a continuación es de la charla de nuestro compañero de SIA, el quillo Antonio Pérez, ducho ya en la docencia con CICE, sobretodo en temas de exploiting.

Lo tuvimos hace unos meses en Navaja impartiendo un taller de desbordamiento de pila y más recientemente estuvo en su tierra, en la SecAdmin, dando la charla “De 0 a exploiting” y en la h-c0n tuvimos la suerte de contar también con él con su ponencia "Exploiting: A Love Story" en la que dio un repaso global a toda la historia sobre el exploiting, desde como se desarrollan las diferentes técnicas, las contramedidas que surgieron para las mismas, su funcionamiento y como se han conseguido evitar.

Si quieres introducirte en el mundo del exploiting en Antonio tienes una gran referencia:



[HTB write-up] Shocker


En anteriores ocasiones les he dejado un par de retos muy entretenidos, en este caso os dejaré la solución de Shocker, un máquina muy entretenida de Hackthebox.

Como sabrán Hackthebox es un sitio donde hay todo tipo de máquinas virtuales vulnerables para practicar nuestras habilidades de pentesting, ya sin mucha palabrería vamos a ello.

Agenda

    • Enumeración con nmap
    • dirb - Bruteforce de directorios
    • Bruteforce file extencion .sh
    • Explotación vulnerabilidad shellshok
    • Privilege escalation.

* Enumeración con nmap


Tenemos un apache corriendo en el puerto 80 y un SSH en el puerto 2222

* Dirb

Cuando ingresamos a la dirección http://10.10.10.56 y vemos el código fuente no hay nada interesante, así que vamos a realizar un bruteforce de directorios utilizando la herramienta dirb, por default ya está instalada en kali.



FOFA.so, el nuevo Shodan chino

No solo de Shodan vive el hombre...
Aparte de otros motores de búsqueda con multitud de servicios escaneados, como Zoomeye.org u O'shadan, ha salido a la palestra recientemente uno nuevo llamado FOFA.so:
https://fofa.so/

Para las búsquedas ofrece una pequeñas ayuda predictiva con una mini-guía sobre Dorks y condiciones lógicas:
domain="" || ip="" || host="" || title="" || header=""


Los resultados los muestra por:
- Servicio
- Año
- Geolocalización
- Puertos
- Tecnología
- Protocolo
- Sistema Operativo

Introducción a la Post-Explotación con Empire (by @CyberVaca_ #hc0n2018)

El 4 de abril del año pasado Luis Vacas subió al Github de Hackplayers un mod de Empire al que añadió muchos módulos para elevar la funcionalidad al infinito del famoso agente y framework post-explotación.

Cuando veíamos cualquier nueva herramienta o exploit en Powershell que tuviera cabida a Empire en seguida llamábamos a la puerta del "tito Vacas" y con el paso del tiempo se sucedieron los commits y se fue llenando de nuevas funcionalidades. Por eso, cuando surgió la idea de la h-c0n allá por julio, la propuesta de que diera una charla sobre el mod de Empire estaba clarísima... y nuestro compi de L1k0rd3b3ll0t4 accedió a darla.

El resultado fue una de las ponencias que más ha gustado de nuestra conferencia: 'Introducción a la Post-Explotación con Empire' y es que, por mucho que Luis diga que es "sólo" un administrador de sistemas y que no tiene experiencia en seguridad que no os engañe... conoce como pocos las entrañas de Empire, domina a la perfección powershell y un montón técnicas de explotación y post-explotación, más no quiero contaros las horas que se pega en Hack the box... ;)

Así que aquí os dejo la presentación que dió, donde veréis varios módulos y stages que ha implementado en Hackplayers y varios videos de demos que seguro os gustarán (y que Melendi aprueba):



Grupos de Telegram sobre hacking y seguridad informática en español

Casi me atrevo a decir que el IRC de los hackers del siglo XXI, o si acaso de esta década, es Telegram. Evidentemente no es el único medio y quizás no tenga el mismo romanticismo de antaño (o quizás los años hayan diluido algo la magia), pero en Telegram se han vuelto a encontrar muchos grupos y canales como los de antes.


Vale que ha habido muchos cambios... el arte ASCII ha dejado paso a los stickers y los gifs, podemos deleitarnos con la estela multicolor del arcoiris del Nyan Cat y llevar las conversaciones en el móvil hasta la taza del váter. Pero la esencia sigue estando ahí... gente con un interés común que interactúa y comparte... llora, ríe, trollea, ...

Precisamente hace unas horas en nuestro grupo de Telegram uno de los miembros preguntaba acerca de otros grupos similares... ¿por qué no? surge una oportunidad para recopilar y conocer otros grupos y comunidades y hay que aprovecharla.

Así que para que no se pierda en el timeline del chat escribimos este post con un recopilatorio de grupos y comunidades de hacking y seguridad informática de habla hispana en Telegram (en otros idiomas se nos iría a una lista casi interminable):
¿Conoces alguno más a parte de los siguientes? si es así, comenta por favor!

DVHMA: una aplicación móvil híbrida vulnerable para practicar

Las aplicaciones móviles híbridas son aquellas que se crean a través de estándares web HTML5, CSS y JavaScript y luego se ejecutan en el smartphone dentro de un contenedor que les permite instalarse y funcionar de manera similar a una aplicación nativa. Normalmente ese contenedor es una aplicación nativa que utiliza WebView, por manejar un símil, como una ventana del navegador sin bordes que generalmente está configurada para ejecutar pantalla completa. Esto les permite acceder a las capacidades del dispositivo, como el acelerómetro, la cámara, los contactos, etc.

Damn Vulnerable Hybrid Mobile App (DVHMA) es una aplicación móvil híbrida (para Android) que contiene vulnerabilidades de forma intencionada. Su propósito es permitir a los profesionales de seguridad probar sus herramientas y técnicas legalmente, ayudar a los desarrolladores a comprender mejor los fallos más comunes en el desarrollo de aplicaciones móviles híbridas de forma segura.

Esta aplicación está desarrollada para estudiar las "trampas" en el desarrollo de aplicaciones híbridas, por ejemplo, utilizando Apache Cordova o SAP Kapsel de forma segura. Actualmente, el enfoque principal es desarrollar una comprensión más profunda de las vulnerabilidades de inyección que explotan el nexo de unión entre JavaScript a Java.

Instalación

Requisitos previos

- Android SDK (https://developer.android.com/sdk/index.html)
- Apache Cordova (https://cordova.apache.org/), versión 6.3.0

* Es conveniente familiarizarse con el sistema de compilación de Apache Cordova.

Construyendo DVHMA

Establecer variables de entorno:

export ANDROID_HOME=(Android SDK Installation Directory)
export PATH=$ANDROID_HOME/tools:$PATH
export PATH=$ANDROID_HOME/platform-tools:$PATH


Compilando DVHMA

cd DVHMA-Featherweight
cordova plugin add ../plugins/DVHMA-Storage
cordova plugin add ../plugins/DVHMA-WebIntent
cordova platform add android
cordova compile android


Ejecutando DVHMA en un emulador

cordova run android

Proyecto Github
: https://github.com/logicalhacking/DVHMA

¿Sabes qué pasa en tú nube? Forensic version (by @loriendr #hc0n2018)

Con el mensaje: "Nadie duda que el Cloud es seguro" que van predicando los grandes proveedores en la nube, se intenta dar una sensación de seguridad por defecto que los técnicos sabemos que no es real. A través de varios casos, se verán incidentes que pasan en la nube y el trabajo a nivel forense que se puede realizar.

Lórien Doménech es un apasionado de la seginfo en varios ámbitos y está especializado en entornos Cloud, y en la h-c0n nos regaló la ponencia '¿Sabes qué pasa en tú nube? Forensic version' que seguro será de gran utilidad para el público en general que opera en la nube y en particular a los profesionales del DFIR (Incident Response y Digital Forense) con un enfoque práctico y como una evolución del trabajo DFIR enfocado a la nube y denominado FAAS (forensic as a service).

En ella, pudimos ver algunos ejemplos y una demo de cómo paliar incidentes y cómo realizar una extracción de evidencias digitales con un software creado para dicho cometido, con todas la garantías asociadas al trabajo de forense, en un entorno cloud.


Conecta a su servidor SSH a través de un proxy HTTP mediante corkscrew

corkscrew es una herramienta que se creó hace ya bastantes años pero que todavía sigue siendo bastante útil para tunelizar conexiones TCP a través de un proxy HTTP que admite el método CONNECT. Lee stdin y escribe en stdout durante la conexión, como hace netcat.

Usando SSH a través de un proxy HTTP

Se suele utilizar sobretodo para conectarse a un servidor SSH a través de un proxy HTTP/Socks. Para hacerlo, basta configurar el cliente ssh para usar el proxy de turno con corkscrew.

Primero editamos el fichero ~/.ssh/config y añadimos:
ProxyCommand /usr/local/bin/corkscrew IP_PROXY 3128 %h %p

Sintaxis: corkscrew $proxy_ip_or_domain_name $proxy_port $destination_ip_or_domain_name $destination_port

Y a continuación ya podemos conectarnos al servidor ssh de forma transparente:

ssh username@anyexternalcomputer

También podemos ejecutarlo con una única línea:

ssh user@server -o "ProxyCommand corkscrew IP_PROXY 3128 %h %p"

Si el proxy HTTP usa autenticación, deberemos editar un fichero 'auth-file':

$ gedit .corkscrew-auth

y dentro pondremos el nombre de usuario y la contraseña en el siguiente formato:

username:password

En ese caso debemos especificar el fichero con las credenciales en la configuración ssh:
Host *
ProxyCommand corkscrew proxyhostname proxyport %h %p /home/username/.corkscrew-auth 

Túnel SOCKS

Si queremos hacer un túnel SOCKS podremos ejecutar lo siguiente:
ssh -ND 9000 user@server -o "ProxyCommand corkscrew IP_PROXY 8088 %h %p"

que creará un proxy SOCKS en localhost:9000.

Tunneling Git

Los firewalls generalmente bloquean el puerto que usa git. Sin embargo, se puede hacer que git realice un túnel a través de proxies HTTP usando utilidades como corkscrew. Cuando git ve la variable de entorno GIT_PROXY_COMMAND establecida, ejecutará el comando en $GIT_PROXY_COMMAND y usará el stdin y stdout de ese programa, en lugar de un socket de red.

Creamos el script corkscrewtunnel.sh
#! /bin/bash
corkscrew proxyhost proxyport $*
Set GIT_PROXY_COMMAND
export GIT_PROXY_COMMAND=path-to-corkscrewtunnel.sh

Ahora, deberíamos poder usar git también a través del proxy HTTP.

Fuentes:

- CorkScrew - A Tool for Tunnelling SSH over HTTP Proxies etc. 
- How to use SSH Via HTTP Proxy using Corkscrew in Ubuntu
- Using corkscrew and an HTTP proxy to ssh anywhere through firewalls
- HTTP tunneling

Reto 23: Hacker War

César Calderón aka @_Stuxnet vuelve a la carga con otro reto de esteganografía, esta vez un audio que puedes descargar desde el siguiente enlace:
 
Link: https://mega.nz/#!11JnSATR! forQujSSFGwCU7wZ7Y31AK0HyG86Mn 8fpYSsmbpiGrY
md5: 9b3bcd2edab4dce649821b704c2dca 70


Tipo: Esteganografía.
Dificultad. 2/10
hint: N/A
 
Esta vez los 5 primeros en resolver el reto serán reconocidos e inscritos en nuestro eterno hall de la fama. Para ello tendrán que mandarnos el flag final a hackplayers(at)ymail.com y el procedimiento seguido para su consecución.

Por supuesto recordar también que si queréis comentar alguna duda acerca del reto (sin spoilers, por favor) podéis hacerlo por correo o comentando directamente esta entrada.

Por último, queremos agradecerle una vez más a @_Stuxnet por haberse puesto en contacto con nosotros para presentarnos otro de sus retos.

¡Ánimo que éste es fácil!

Técnicas "file-less" para pentesting (by @rpinuaga #hc0n2018)

Sois muchos los que estáis preguntando acerca del material de las ponencias y talleres de la pasada h-c0n. Tal y como dijimos, lo que vamos a hacer es ir liberándolo poco a poco (el que nos faciliten), publicándolo de forma simultánea en el blog y en la web oficial de la conferencia. Si bien, aquí ampliaremos un poco el material con más enlaces, fotos y vídeos y podréis comentar cualquier cosa al respecto.

Empezaremos con la charla "Técnicas "file-less" para pentesting" de Ramón Pinuaga (@rpinuaga), pentester y analista de seguridad con mas de 17 años de experiencia, trabajando actualmente el Prosegur.


Cada día es mas habitual que los creadores de malware utilicen técnicas "file- less" para infectar equipos. ¿Por qué? pues porque no utilizar ficheros normales para ocultarse dificulta su detección por parte de antivirus y herramientas similares.

En su presentación vimos en qué consisten estas técnicas que básicamente se dividen en guardar todo en memoria (problema: no tendremos persistencia) o guardar código fuera de un fichero o en ficheros especiales.