Arsenal de herramientas de seguridad para AWS

Impresionante recopilatorio de Toni de la Fuente de Alfresco Software con un montón de recursos y herramientas para la seguridad de un entorno AWS (Amazon Web Service) en la nube. Os la pego también aquí pero si echas en falta algo no dudes en contactar con su autor para que actualice el repositorio:

https://github.com/toniblyx/my-arsenal-of-aws-security-tools

Defensivas (Fortificación, Auditoría de seguridad, Inventario)

• Scout2: https://github.com/nccgroup/Scout2 - Herramienta de auditoría de seguridad para entornos AWS (Python)
• Prowler: https://github.com/toniblyx/prowler - CIS benchmarks y comprobaciones adicionales para las mejores prácticas de seguridad en AWS (Shell Script)
• Scans: https://github.com/cloudsploit/scans - Escáner de seguridad de AWS (NodeJS)
• CloudMapper: https://github.com/duo-labs/cloudmapper - ayuda a analizar los entornos AWS (Python)
• CloudTracker: https://github.com/duo-labs/cloudtracker - ayuda a encontrar usuarios y roles IAM con demasiados privilegios comparando los logs de CloudTrail con las políticas IAM (Python)
• AWS Security Benchmarks: https://github.com/awslabs/aws-security-benchmark - scripts y plantillas para el framework de AWS CIS Foundation (Python)
• AWS Public IPs: https://github.com/arkadiyt/aws_public_ips - Obtiene todas las direcciones IP públicas relacionadas con una cuenta AWS. Funciona con IPv4/IPv6, redes Classic/VPC y todos los servicios AWS (Ruby)
• PMapper: https://github.com/nccgroup/PMapper - Evaluación automática y avanzada de AWS IAM (Python)
• AWS-Inventory: https://github.com/nccgroup/aws-inventory - Hace un inventario de recursos en todas las regiones (Python)
• Resource Counter: https://github.com/disruptops/resource-counter - Contabilidad el número de recursos por categoría

Ofensivas:

• weirdALL: https://github.com/carnal0wnage/weirdAAL - Librería de ataque AWS
• Pacu: https://github.com/RhinoSecurityLabs/pacu - toolkit de penetration testing para AWS
• Cred Scanner: https://github.com/disruptops/cred_scanner
• AWS PWN: https://github.com/dagrz/aws_pwn
• Cloudfrunt: https://github.com/MindPointGroup/cloudfrunt
• Cloudjack: https://github.com/prevade/cloudjack
• Nimbostratus: https://github.com/andresriancho/nimbostratus

Descubrimiento de rutas de una web mediante ficheros .DS_Store

Los archivos .DS_Store (Desktop Services Store) son archivos "ocultos" creados por Mac OS X que contienen preferencias para la visualización de cada carpeta del sistema. Básicamente le dicen a Finder como mostrar los iconos (su tamaño y posición), si una ventana de carpeta tiene algún color de fondo y otra información. El Finder crea un .DS_Store para cada carpeta que se abre en un Mac, incluidas carpetas o carpetas remotas en medios extraíbles.

Los archivos .DS_Store también pueden contener datos sobre otros archivos en sus carpetas. Por ejemplo, un archivo .DS_Store puede contener los nombres de los archivos que se encuentran en su carpeta y, por lo tanto, leer un archivo .DS_Store puede proporcionar información sobre el contenido de una carpeta.

Evidentemente esto no es un problema en Mac, pero podría ser un problema si estos ficheros están alojados y disponibles en un servidor web. De hecho, muchos archivos .DS_Store están indexados por Google, y al descargarlos y leer sus contenidos, es posible obtener una lista de algunos o todos los archivos contenidos en un directorio web. Otra forma de encontrarlos es mediante un fuzzing de directorios (diccionario) con alguna herramienta tipo wfuzz, dirb o similar. En cualquier caso, pueden resultarnos tremendamente útiles para descubrir la estructura de un sitio que estemos escaneando.

Así que si consigues descargarte uno, te recomiendo por ejemplo parsearlo con la herramienta ds_store_exp del chino lijiejie:

Uso: python ds_store_exp.py http://www.example.com/.DS_Store

$ git clone https://github.com/lijiejie/ds_store_exp.git && cd ds_store_exp

$ python ds_store_exp.py http://site_ejemplo/.DS_Store
[+] http://site_ejemplo/.DS_Store
[+] http://site_ejemplo/Widgets/.DS_Store
[Folder Found] http://site_ejemplo/Templates
[Folder Found] http://site_ejemplo/dev
[Folder Found] http://site_ejemplo/Widgets
[+] http://site_ejemplo/Themes/.DS_Store
[+] http://site_ejemplo/JS/.DS_Store
[+] http://site_ejemplo/Images/.DS_Store
[Folder Found] http://site_ejemplo/Themes
[Folder Found] http://site_ejemplo/JS
[Folder Found] http://site_ejemplo/Images
[+] http://site_ejemplo/Widgets/Framework/.DS_Store
[+] http://site_ejemplo/dev/.DS_Store
[Folder Found] http://site_ejemplo/Plugins
[Folder Found] http://site_ejemplo/Widgets/Menu
[Folder Found] http://site_ejemplo/Widgets/Framework
[Folder Found] http://site_ejemplo/Uploads
[+] http://site_ejemplo/iisstart.htm
[Folder Found] http://site_ejemplo/Themes/default
[Folder Found] http://site_ejemplo/JS/custom
[Folder Found] http://site_ejemplo/Images/buttons
[Folder Found] http://site_ejemplo/Images/icons
[+] http://site_ejemplo/Widgets/Framework/Layouts/.DS_Store
[Folder Found] http://site_ejemplo/Widgets/Framework/Layouts
[+] http://site_ejemplo/dev/oculto/.DS_Store
...

Fuentes:

- Possible Security Issue Involving .DS_Store Files on Web Servers
- Apache security "leak" noted with .DS_Store files
- Parsing the .DS_Store file format
- Removing DS_Store files on Linux Server

Inyecciones SQL como DIOS

El post de hoy no trata de inyecciones como si fueras del fuc**** master, si no que el acrónimo DIOS se refiere a Dump In One Shot, una técnica de inyección SQL que lleva existiendo ya desde hace años pero que sin embargo todavía hoy no es demasiado conocida. Como su nombre indica, DIOS es forma peculiar de construir inyecciones SQL que, con la ayuda del uso de ciertas sentencias, nos permite obtener el volcado completo para una consulta.

Con SQLis DIOS no necesitas herramientas como Sqlmap o Havij, sólo con el navegador puedes traerte todos los datos que necesitas y mediante una "única bala". Normalmente aplica en inyecciones de tipo union y también, aunque menos comunes y más difíciles de implementar, a las basadas en error. Para las inyecciones ciegas, esta técnica no se aplica.

Para entender como funciona vamos a ver la clásica inyección SQL 'Union Base' usando DIOS contra una base de datos MySQL. Para ello usaremos el laboratorio online SQLInjection Ninja de Security Idiots, que además son los mejores mesías de este tipo de inyecciones.

Primero identificaremos el recurso vulnerable a SQLi:

http://leettime.net/sqlninja.com/tasks/basic_ch1.php?id=.1%27%20union%20select%20111,222,333%20--%20-

La columna 222 es vulnerable: en ella insertaremos nuestra petición DIOS.

http://leettime.net/sqlninja.com/tasks/basic_ch1.php
?id=.1' union select 111,((select (@a) from (select(@a:=0x00),(select (@a) from (information_schema.schemata)where (@a)in (@a:=concat(@a,schema_name,'
'))))a)),333 -- -

Como podéis ver, con esa consulta devolvimos la lista de todas las bases de datos en ese sitio.

Solución al reto 26: Emma-ne-de-fur-fur?

Nuevo reto "especial verano" de la mano de @Hackers4Fun (#H4F) donde se ha interceptado un fragmento de código en un email remitido por Tim a Flint "Loco" (El prota de "Lluvia de albóndigas") y deberemos de encontrar lo que esconde.  

Manos a la obra

Descargamos y descomprimos con WinRAR el archivo "R3t0_12_H4f.gz" que contiene el siguiente enlace: https://drive.google.com/file/d/1iG_lNnMSU05-kjvbhk9Sk_GMCGnbO-Y1

Nos encontramos con lo que parece un archivo PDF, si lo ejecutamos nos encontraremos con el siguiente texto:
 

 
Observamos que es código HTML con una imagen codificada en base64, simplemente seleccionamos todo el código y lo colocamos en cualquier editor de texto (I love you sublime text) y guardamos en .html

Ejecutamos el archivo .html y vemos la siguiente imagen.bmp:
 

 
Nos la descargamos y la analizamos con diferentes herramientas (exiftool,binwalk y stegsolve) pero sin ninguna pista que me sirviera de ayuda.

Después de unos minutos de bloqueo, me cambié las gafas "3D" por las lentes graduadas (simplemente limpié los cristales xD) me tropecé con unos extraños pixels que no venían "a cuento" con la imagen. 

Hice zoom y encontré esto:
 

Es un mensaje en morse! Si tiramos de Photoshop (también sirve Gimp o Fireworks) y jugamos con los niveles podemos conseguir una imagen mas clara, mas o menos lo dejé así:
 

Dirhunt: encuentra directorios web sin fuerza bruta

 
Dirhunt es un web crawler optimizado para buscar y analizar directorios. Esta herramienta puede encontrar cosas interesantes si el servidor tiene habilitado el modo "index of", aunque también es útil si el listado de directorios no está habilitado. También detecta directorios con errores 404 "falsos", directorios donde se ha creado un archivo de índice vacío para ocultar cosas y mucho más.

$ dirhunt http://website.com/

Dirhunt no usa fuerza bruta. Pero tampoco es solo un crawler. Esta herramienta es más rápida que otras porque minimiza las solicitudes al servidor. En general, esta herramienta tarda entre 5-30 segundos, dependiendo del sitio web y del servidor.

Características

- Procesa uno o múltiples sitios a la vez.
- Procesa páginas de 'index of' y reporta archivos interesantes.
- Detecta redirecciones.
- Detecta index en blanco creados en directorios para ocultar cosas.
- Procesa algunos archivos html en busca de nuevos directorios.
- Páginas de error 404 y detectar errores 404 falsos.
- Filtrar resultados por flags.
- Analiza los resultados al final.

Instalación:

$ pip install dirhunt

o desde el repo:

$ git clone git://github.com/Nekmo/dirhunt
$ curl  -OL https://github.com/Nekmo/dirhunt/tarball/master
$ python setup.py install

Uso:

Usage: dirhunt [OPTIONS] [URLS]...

  :param int threads: :type exclude_flags: list

Options:
  -t, --threads INTEGER           Number of threads to use.
  -x, --exclude-flags TEXT        Exclude results with these flags. See
                                  documentation.
  -i, --include-flags TEXT        Only include results with these flags. See
                                  documentation.
  -e, --interesting-extensions TEXT
                                  The files found with these extensions are
                                  interesting
  -f, --interesting-files TEXT    The files with these names are interesting
  --stdout-flags TEXT             Return only in stdout the urls of these
                                  flags
  --progress-enabled / --progress-disabled
  --timeout INTEGER
  --version
  --help                          Show this message and exit.

Reto 26: Especial Verano: Emma-ne-de-fur-fur?

El grupo del IES Francico Umbral de Ciempozuelos (Madrid) Hackers4Fun CTF Team nos vuelve a traer otro entretenido reto para amenizar las calurosas jornadas de verano.

Categoria > Misc> Han interceptado un fragmento de código de un emaIl remitido por Tim a Flint "Loco". Puedes detectar el mensaje escondido en el archivo adjunto del email?> Download:

https://drive.google.com/file/d/1iG_lNnMSU05-kjvbhk9Sk_GMCGnbO-Y1/view

Una vez resuelto, mandar la flag por DM a la cuenta de Twitter https://www.twitter.com/Hackers4F. El formato es H4F{...}

Una vez que Hackers4F cierre el reto, publicaremos también el writeup y pondremos a los primeros acertantes en nuestra página. Así que animaros y a ver si sois capaces de descubrir el mensaje escondido.

Recopilatorio de formas de bypassear la Política de Ejecución (Execution Policy) en Powershell

PowerShell viene configurado por defecto para evitar la ejecución de scripts. Auqnue no debería, esto puede ser un obstáculo para los pentesters, administradores de sistemas y desarrolladores, ... y también para los atacantes. Sin embargo, se puede eludir esta política aún sin tener derechos de administrador local en el sistema. En un artículo en el blog de NetsPI de 2014 se mostraban numerosas formas de hacerlo que hoy en día siguen vigentes y por eso rescatamos.

¿Qué es la Política de Ejecución de Powershell o PowerShell Execution Policy?

La Política de Ejecución de Powershell es la configuración que determina qué tipo de scripts de PowerShell (si los hay) se pueden ejecutar en el sistema. Por defecto, está configurado como "Restringido" (en inglés "Restricted"), lo que básicamente significa ninguno. Sin embargo, es importante entender que esta política más que un control de seguridad estaba destinada a evitar que los administradores se peguen "un tiro en el pie". Es por eso que hay tantas opciones para cambiarla, incluyendo algunos que Microsoft ha proporcionado directamente.

Cómo ver la Política de Ejecución

Para ver la configuración actual se suele utilizar el comando de PowerShell "Get-ExectionPolicy". Si estás viendo la configuración por primera vez, es probable que esté configurada como "Restringida", como se muestra a continuación:

PS C:\> Get-ExecutionPolicy
Restricted

También vale la pena señalar que la política de ejecución se puede establecer en diferentes niveles en el sistema. Para ver una lista de ellos, usa el siguiente comando:

PS C:\> Get-ExecutionPolicy -List | Format-Table -AutoSize

        Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       Undefined
  CurrentUser       Restricted
 LocalMachine       Restricted

Notas de configuración de laboratorio

En los ejemplos que se verán a continuación se usará un script llamado runme.ps1 que contiene el siguiente comando de PowerShell para escribir un mensaje a la consola:

Write-Host "Prueba"

Cuando se intente ejecutar en un sistema configurado con la política de ejecución predeterminada, aparecerá el siguiente error:

Si tu política actual es demasiado abierta y deseas hacerla más restrictiva para probar las técnicas que se mostrarán a continuación, ejecuta el comando "Set-ExecutionPolicy Restricted" desde una consola PowerShell con privilegios administrador. A continuación veremos 15 maneras de eludir las restricciones de la política de ejecución de PowerShell.

Cherry* - IA Busqueda A* && la Heuristica de Manhattan

Hoy les comparto algunas implementaciones sobre búsqueda no informada en JAVA, usando un nuevo enfoque funcional, comentado todo en español, espero que les sea de ayuda a quien lo necesite Funciona con el JDK 10...

Terminología

    Node -> Una estructura de datos que tiene lugar en el árbol;
    Actions -> Estados alcanzables desde algún estado cualquiera;
    Root -> Nodo top u origen del árbol;
    Origin -> Estado origen de algún estado cualquiera;
    Final -> Estado sin acciones posibles;
    Level -> Nivel del estado por defecto root = 0;
    Tree -> Estructura que modela los estados del problema;
    Cost -> Costo para llegar a ese estado desde el inicio;
    Source -> Representación matricial de algún estado;
    State -> Estado a priori;

Concepto

Los arboles son estructuras de datos complejas que nos permiten modelar el mundo, siguiendo ciertas restricciones adaptadas de la propia naturaleza del problema.

Una simple representación de un árbol puede ser la siguiente:

Los arboles con los que trabajaremos contienen una raíz destacada la cual es el origen del estado, por lo cual solo hay un camino origen asociado a un estado viniendo desde otro.

Investiga inicios de sesión maliciosos en el DA con LogonTracer

LogonTracer es una herramienta para investigar inicios de sesión maliciosos al visualizar y analizar los registros de eventos del directorio activo de Windows.

Esta herramienta utiliza PageRank y ChangeFinder para detectar hosts y cuentas maliciosas en los logs de eventos de Windows, y visualiza los siguientes identificadores de eventos relacionados con el inicio de sesión de Windows basados en nuestra investigación previa.

- 4624: inicio de sesión exitoso
-  4625: error de inicio de sesión
- 4768: Autenticación de Kerberos (solicitud de TGT)
- 4769: Ticket de servicio de Kerberos (Solicitud de ST)
- 4776: Autenticación NTLM
- 4672: asignar privilegios especiales

Tenéis más detalle en los siguientes enlaces:   

• Visualise Event Logs to Identify Compromised Accounts - LogonTracer -
• イベントログを可視化して不正使用されたアカウントを調査 (Japanese)

En mi caso voy a instalarlo y usarlo en Linux, pero lo tenéis también funcional en OSX e incluso en un contenedor Docker.

Descubriendo el camino para llegar a domain admin con BloodHound

Hoy en día prácticamente todas las empresas utilizan el Directorio Activo de Microsoft para administrar los recursos, usuarios y políticas de sus redes corporativas. Por eso uno de los objetivos finales de una intrusión siempre suele ser conseguir los máximos privilegios sobre el DA. Pero también suele ser bastante común que, cuando comprometemos un servidor y nos "asomamos" a las redes internas para comenzar con los movimientos laterales, nos encontremos con una auténtica maraña de servidores, relaciones de confianza, grupos anidados, etc, etc., es decir, literalmente es fácil que nos perdamos en el bosque, nunca mejor dicho.

Para facilitarnos el entendimiento de la topología a la que nos enfrentamos y visualizar las posibles vulnerabilidades y fallos existe una herramienta que se llama BloodHound que utiliza gráficos para revelar las relaciones ocultas y, a menudo no intencionadas, dentro de un entorno de DA.

Por un lado un atacante puede usarla para identificar fácilmente rutas de ataque altamente complejas que de otro modo serían imposibles de identificar rápidamente y, por otro, un administrador podría usarla también para identificar y eliminar esos mismos caminos de ataque. En definitiva, tanto los miembros del Red Team como los del Blue Team pueden usar BloodHound para obtener una comprensión más profunda de las relaciones de privilegios en un entorno de Active Directory.

Bloodhound está desarrollado por @_wald0, @CptJesus, y @harmj0y. y básicamente es una aplicación web de JavaScript de una sola página, construida sobre Linkurious, compilada con Electron, con una base de datos Neo4j alimentada por un ingestor PowerShell. Tenéis las instrucciones de instalación en la Wiki del proyecto. En este post haremos una pequeña demo desde la perspectiva de un atacante...

Primero, para funcionar BloodHound requiere tres conjuntos de información de un entorno de Active Directory:

- ¿Quién ha iniciado sesión en dónde?
- ¿Quién tiene los derechos de administrador?
- ¿Qué usuarios y grupos pertenecen a qué grupos?
- (Opcionalmente) ¿Qué directores tienen control sobre otros objetos de usuario y grupo?

En la mayoría de los casos, la recopilación de esta información no requiere privilegios de administrador ni la ejecución de código en sistemas remotos. El primer ingestor de Bloodhound -que así es como se conoce- estaba basado en PowerView y hacía que la recopilación de datos fuera rápida y simple, e incluso teníamos la ventaja de que podíamos llamarlo directamente desde Empire (módulo Powershell/situation_awareness/network/bloodhound) o incluso desde Meterpreter importando el cmdlet (powershell_import BloodHound.ps1). Sin embargo el uso de Powershell v2 penalizaba algo la velocidad de la enumeración en grandes entornos y, sobretodo, elevaba bastante el uso de la memoria, por lo que se reescribió un nuevo ingestor en C#: SharpHound.