Video-tutorial para explotar la vulnerabilidad MS12-020 de RDP mediante Metasploit
Mercury: auditoría de aplicaciones Android

Se llama Mercury de MWR Labs y es un framework gratuito que ayudará a los "cazadores" de bugs a encontrar vulnerabilidades, escribir exploits PoC y, en definitiva, a jugar con Android.
Se trata de una herramienta que nos permitirá examinar de forma dinámica y a explotar las posibilidades de ataque de las aplicaciones que residen en un dispositivo Android. Se divide en dos partes: una aplicación servidor que requiere pocos privilegios y se instala en el teléfono y un cliente escrito en Python para interactuar con el servidor desde la línea de comandos.
Características
El principal objetivo de Mercury es ser una herramienta de auditoría que pueda utilizarse con muchos propósitos. Algunas de sus características nos permitirán:
- Encontrar más fácilmente información relevante acerca de los vectores de ataque de una aplicación
- Interactuar con los 4 endpoints IPC (actividades, broadcast receivers, proveedores de contenido y servicios) de una aplicación desde la línea de comandos con el fin de encontrar vulnerabilidades
- Jugar con el sistema operativo Linux desde el punto de vista de una aplicación sin privilegios (sorprende lo mucho que se pueden ver)
- Encontrar información sobre los paquetes instalados con filtros de búsqueda opcionales que permiten un mejor control
- Subir y bajar ficheros sin usar ADB (¡esto incluye poder hacerlo a través de Internet también!)
- Escribir nuevos módulos con exploits para las vulnerabilidades encontradas por medio de una rango de comandos predefinidos, y utilizar los módulos que otros hayan creado
Seminario web "Navega a través del interior del DNIe"

Su objetivo es que el alumno sea capaz de interaccionar con el DNIe, directamente, sin hacer uso de ninguna de sus librerías criptográficas existentes PKCS#11 y CSP. Esto permitirá poder utilizarlo independientemente de la plataforma.
Este seminario web está especialmente ideado para desarrolladores relacionados con DNIe y será realmente interesante por el nivel técnico alto que plantea.
Se pretende que con este curso los alumnos adquieran las siguientes competencias:
- Conocimiento del estándar PKCS#15 base de la estructura interna del DNIe.
- Conocimiento del API de Java necesario para acceder a esa estructura y comprender mejor la seguridad que implementa una tarjeta inteligente como es el caso del DNIe.
- La creación y utilización del canal seguro aporta conocimientos básicos de criptografía, como puede ser el algoritmo TDES para el cifrado de datos con clave simétrica.
- Repaso conocimiento verificación y extracción de información de un certificado.
- Experiencia real en un entorno Java con el propio DNIe del alumno.
Write-ups prequals Nuid du Hack 2012

En esta ronda clasificatoria sólo 15 equipos obtendrán el billete para Disneyland Resort Paris. El ranking todavía no se ha actualizado y sorprende que, en el momento de escribir esta entrada, equipos como PPP o sutegoma2 no estaban todavía entre los primeros.
Mientras esperamos el resultado final y gracias a las contribuciones y al nivel de los participantes, encontramos ya recopilatorios como el de Deva donde podemos aprender y ver el nivel de los retos:
Briefing
http://blog.w3challs.com/index.php?post/2012/03/25/NDH2k12-Prequals-
We are looking for a real hacker - Unknown zip archive
http://blog.w3challs.com/index.php?post/2012/03/25/NDH2k12-Prequals-We-are-looking-for-a-real-hacker-Wallpaper-image2
We are looking for a real hacker - Wallpaper image
http://blog.w3challs.com/index.php?post/2012/03/25/NDH2k12-Prequals-We-are-looking-for-a-real-hacker-Wallpaper-image
Lista de precios de 0-days ... ¡para gobiernos!

- Informar al desarrollador del software original acerca de la vulnerabilidad, a veces mediante programas de recompensas o bug bounty programs o (raramente) a través de las fuerzas de seguridad del estado.
- Participar en competiciones organizadas por fabricantes de software u otras entidades intermediarias (recordemos que empresas como Adobe o Microsoft no están a favor de los programas de recompensas).
HackPlayers comienza la campaña de fraternización de blogs de Informática 64

La campaña tiene una fecha de duración de 3 días por blog, empezando aquí en HackPlayers desde el próximo lunes 26 de Marzo a las 0:00 hasta el miércoles 28 a las 23:59.
A partir del lunes publicaremos un banner que incluye un código con el que se podrá adquirir el 25% de descuento en algunos libros, a descubrir el próximo lunes. Aunque podemos adelantar que serán 4 libros y aparecerán en el banner.
En esta misma fecha, habrá otros blogs que llevarán a cabo promociones similares con otros libros de Informática 64, por lo que si quieres obtener un descuento en alguno de ellos puedes encontrarlo en HackPlayers o en otros blogs amigos.
¿Cómo ejecuto el descuento?
Durante las fechas que dure la campaña puedes ponerte en contacto con Informática 64 vía teléfono, correo o formulario de contacto. Eso sí, no se te olvide indicar el código de la promoción y recuerda que sólo será válido del lunes a el miércoles próximos. Cualquier cuestión no dudéis en contactar con HackPlayers o Informática64. ¿Qué libro quieres?
Inyección de parámetros en Google Talk

Recientemente se ha publicado una vulnerabilidad que podría permitir a un atacante obtener las credenciales del usuario mediante una dirección maliciosa.
En la primera versión 1.0.0.104 el cliente podría manejar direcciones "gtalk://" que podían lanzar el programa con una serie de parámetros especiales:
- /nomutex: permite abrir más de un Gtalk.
- /autostart: comprueba el registro para ver si Gtalk necesita ser iniciado. Si la opción "Iniciar automáticamente con Windows" no esta marcada, no lo arrancará.
- /forcestart: Similar a /autostart, pero fuera el inicio de Gtalk.
- /S upgrade: actualización de Google Talk.
- /register: añade Google Talk en el registro, incluyendo el método 'GMail Compose'.
- /checkupdate: comprueba nuevas versiones.
- /plaintextauth: utiliza un mecanismo de autenticación plano en luega de GAIA de Google.
- /nogaiaauth: desactiva el método de autenticación GAIA, igual que el anterior.
- /factoryreset: resetea la configuración y la pone por defecto.
- /gaiaserver servername.com: utiliza un servidor GAIA distinto para conectar Google Talk. Se creó para propósitos de depuración.
- /mailto email@host.com: envía un correo con Gmail.
- /diag: inicia Google Talk en modo diagnóstico.
- /log: activa el log.
ShellDetect: herramienta de detección de shellcodes

ShellDetect es una herramienta escrita en Python por Amit Malik (DouBle_Zer0) de SecurityXploded que nos permitirá detectar la presencia de shellcodes en un binario raw, en código unicode (por ej. %u4141%u4242) o en un stream de red.
El uso es muy simple, si bien es recomendable ejecutarlo en una máquina virtual ya que el shellcode a analizar podría afectar al sistema.
Uso: ShellDetect.py fichero
dnmap: framework para escaneos nmap distribuidos

Está escrito en Python y se compone de un script para el servidor 'dnmap_server.py', un certificado codificado en base 64 'server.pem' para las comunicaciones cifradas cliente-servidor y un script para clientes 'dnmap_client.py'.
El servidor lee un fichero con comandos nmap y los envía a cada cliente por TLS, controlando la lógica y las estadísticas y prácticamente actuando en conjunto como una botnet.
El funcionamiento básico es el siguiente:
- Creamos el fichero de comandos 'commands.txt':
nmap -sS -p22 192.168.1.0/24 -v -n -oA 192.168.1.0
nmap -sS -p22 192.168.2.0/24 -v -n -oA 192.168.3.0
Recomendaciones: Seguridad del Mal...

Si echáis un vistazo veréis que, aunque su blog lleva vivo apenas dos meses, podréis encontrar un montón de entradas interesantes acerca de, por ejemplo, un sencillo zapper, sniffers para WhatsApp y el chat de Tuenti, el generador de payloads XSS XCampo, búsqueda de vulnerabilidades en Moddle con flunym0us, inyecciones SQL con Havij y mucho, mucho más.
Sin duda, un exponente más de la calidad de los nuevos blogs que están surgiendo recientemente, de gente con ganas de aprender y compartir conocimientos y que nos garantizan un futuro de gran nivel en la seguridad informática en castellano.
Y si tú también tienes un sitio que quieres que conozcamos o deseas publicar aquí tu post no lo dudes y participa :)
Publican exploits para la vulnerabilidad en RDP de Microsoft (MS12-020)

Microsoft ya publicó en marzo el boletín MS12-020 que soluciona los errores en RDP que habían sido puestos en su conocimiento a través de fuentes privadas. Si bien disponer de estos parches facilitó también el análisis para encontrar el 'agujero', disparando un carrera en la que incluso se ofrecieron recompensas para el primero que escribiera un exploit funcional. También existen serias sospechas de que los datos de explotación facilitados por Luigi Auriemma a ZDI hayan sido filtrados, ya que el paquete de la PoC china coincide según el propio investigador.
Inyectando código en procesos de Python con Pyrasite

Seleccionando el payload adecuado, o creándonos el nuestro propio, podremos listar módulos, dumpear la memoria, crear una shell inversa y mucho más. Imaginaros las posibilidades de análisis y post-explotación en un servidor Linux...
Para empezar, en mi caso y como esto no lo va a leer el señor Linus Torvalds, tengo que decir que lo he probado en OpenSUSE y funciona perfectamente.
La instalación como siempre, gracias a los gestores de paquetes, es muy sencilla:
# zypper install python-devel python-pip
# pip install Jinja2 python-pygments
# easy_install Cython meliae
# easy_install pyrasite
# git clone git://git.fedorahosted.org/git/pyrasite
Una vez que lo tenemos, vamos a ejecutar un pequeño servidor web para empezar a jugar:
# python -m SimpleHTTPServer
Serving HTTP on 0.0.0.0 port 8000 ...
El 51% del tráfico web en Internet no es humano, y la mayoría es malicioso

La compañía dice que, por lo general, sólo el 49% de los visitantes de un sitio web son humanos reales y que el tráfico no-humano es casi invisible al no ser reconocido por software de análisis.
Esto significa que los sitios web están llevando una gran carga de coste oculto en términos de ancho de banda y tienen mayores riesgos de interrupción del negocio o de sufrir otros ataques.
He aquí un desglose del promedio de tráfico de un sitio web:
- El 5% son herramientas de hacking en busca vulnerabilidades no corregidas o nuevas en un sitio web.
- El 5% son scrappers.
- El 2% son mensajes de spam automatizados.
- El 19% son "espías", recogiendo la inteligencia competitiva.
- El 20% corresponde a tráfico automático de los motores de búsqueda, si bien este tráfico es benigno.
- El 49% restante es de gente navegando por Internet.
Fuente: ZDNet
ClubHACK Magazine nº26

Como siempre, recomendamos su lectura:
0x00 Tech Gyan - Network Security
0x01 Tool Gyan - Who wants to be a Millionaire
0x02 Mom's Guide - Protect your privacy online with ’TOR’
0x03 Legal Gyan - Section 66A - Sending offensive or false messages
0x04 Matriux Vibhag - EtherApe – Graphical Network Monitoring
0x05 Poster
La versión PDF puede descargarse desde: http://chmag.in/issue/mar2012.pdf
Escaneando con nmap a través de Tor

La técnica consiste en usar tortunnel via proxychains, ya que nos permite usar directamente el nodo de salida y por lo tanto nos provee mayor velocidad. Aún así, el escaneo será mucho más lento que uno normal por lo tendremos que asumir un pequeño sacrificio a cambio de "privacidad".
Esta técnica se puede utilizar en un test de intrusión, aunque evidentemente se prodiga más en atacantes malintencionados. Si se quiere conservar el anonimato hay que ser especialmente cuidadoso con las opciones especificadas en Nmap, y como veréis más adelante, se puede añadir una regla de iptables para bloquear tráfico saliente en un análisis determinado y proteger más la IP origen del tráfico.
1. Instalar tor y proxychains
- apt-get install tor tor-geoipdb proxychains
- vi /etc/tor/torrc
añade la línea "SocksPolicy accept 10.1.1.0/24"
Crónicas gráficas de la Rooted CON 2012

Recomendaciones: Under Terminal

Entre sus primeras entradas, técnicas y muy didácticas, aprenderemos a hacer un reverse tethering para que nuestro smartphone Android utilice la conexión a Internet de nuestro equipo, o veremos el uso detallado de DotDotpwn para buscar vulnerabilidades de tipo Path traversal.
También tenéis disponible el canal IRC #uterminal en la red Freenode.
La verdad es que estamos encantados de la aparición de este tipo de blogs que demuestran día a día la calidad de la comunidad hispano-hablante. Así que si tienes el tuyo y quieres darlo también a conocer, no lo dudes y contacta con nosotros. O si prefieres, también puedes mandarnos tus contribuciones y llegar a convertirte en un autor más de Hackplayers.
Mobile-sandbox: análisis de malware en Android

En este caso Mobile-Sandbox es el primero que viene a cubrir esta necesidad, permitiendo el análisis estático y dinámico de aplicaciones para Android.
Es parte del proyecto MobWorm, acaba de empezar a funcionar recientemente (de hecho el análisis dinámico todavía no está disponible) e incluye también el análisis de los apk con VirusTotal.
Para concluir, os o dejo a modo de ejemplo un informe de una aplicación infectada con Geinimi:
http://131.188.31.187/report/?q=366
http://131.188.31.187/xml_report/?q=346
'Sabu' traiciona a sus compañeros de Lulzsec

“Sabu” fue detenido el 7 de junio de 2011 por dos agentes del FBI en su departamento en Nueva York, después de que cometiera un error al no esconder su IP en una de sus conexiones al IRC. Poco después se declaró culpable de tres cargos de conspiración en piratería informática: un cargo de conspiración por cometer fraude de acceso a dispositivos, otro por cometer fraude bancario y un cargo de robo de identidad agravado. Por la suma de estos delitos se enfrentaba a una pena máxima de 124 años y seis meses de prisión y, con el fin de evadir la pena, accedió a colaborar con el FBI.
Diez infografías sobre ciber-seguridad
Del blog de Q1 Labs nos llega un TOP 10 de infografías de seguridad informática que también queríamos compartir con vosotros. De igual forma os animo a que comentéis esta entrada si conocéis alguna más (sobretodo si es en español).
Sin más, os dejo con la mencionada lista:
1) La evolución del SIEM moderno
Representación del cambio al que se ha visto sometido la tecnología SIEM para evolucionar a una Seguridad Inteligente.
2) 8 nivels de Seguridad TI
En un mundo de virus, malware y hackers, la seguridad de la información es vital. Un único método de seguridad TI no puede asegurar la protección de los datos críticos.
Recomendaciones: CONpiler

El proyecto es del mismísimo Ruben Santamarta (aka @reversemode) y, aunque nació apenas 3 meses (1-dic-2011), ya posee un número importante de eventos.
En el portal podréis observar todas las conferencias que van a celebrarse cronológicamente y un mapa mundi global con todas las localizaciones de cada congreso. Si pinchamos en cualquiera de ellos, accederemos a información básica como los idiomas que usarán sus ponentes, el aforo, los precios, si tienen CTFs y labs, etc., e incluso opiniones y una galería de fotos y vídeos.
Una web sencilla pero tremendamente útil que ha de crecer con el aporte de todos:
http://www.conpiler.com/contact/
email: events (at) conpiler (dot) com
@conpiler
pd. Gracias a
Comienza la #Rooted2012

Y si se cumplen la mitad de las expectativas que me he generado leyendo los tweets y comentarios de un montón de gente, ¡seguro que será una congreso increíble!.
¡Nos vemos en la Rooted!
pd. si queréis reconocerme llevaré camiseta negra y vaqueros, xddd