Diccionarios para el descubrimiento de rutas (URL paths) en aplicaciones web

Cuando nos enfrentamos por primera vez a una aplicación web, ya sea en una máquina de laboratorio o en un entorno real, es imprescindible lanzar un escaneo o fuzzing de directorios para encontrar posibles rutas que nos descubran productos presentes y/o fallos de configuración como ficheros accesibles de respaldo, listado de directorios, paneles de administración, etc.

Para ello, tenemos varias herramientas como DirBuster, Dirb, WFuzz, dirsearch, Cansina, Gobuster... y muchas veces su uso casi depende de los gustos de cada uno. Pero sin duda, lo verdaderamente importante para el descubrimiento de rutas en una aplicación web es el uso de un buen diccionario, tanto para los nombres de directorios como para los nombres de archivo con su extensión correspondiente.

Si hacéis CTFs ya sabéis que lo normal es usar common.txt de dirb, o el big.txt de wfuzz, o si detectamos previamente el producto lanzar un diccionario más dirigido. En esta entrada recopilamos los diccionarios presentes en Kali Linux junto con el número de palabras de cada uno (find . -type f -exec wc -l {} + | sort -rn),  además de los de SecList y fuzzdb, bajo mi punto de vista imprescindibles:

root@kali:/usr/share/wordlists/wfuzz/general# find . -type f -exec wc -l {} + | sort -rn
51800 total
45463 ./megabeast.txt
3036 ./big.txt
1660 ./medium.txt
950 ./common.txt
257 ./spanish.txt
143 ./catala.txt
136 ./admin-panels.txt
49 ./mutations_common.txt
35 ./euskera.txt
32 ./http_methods.txt
28 ./extensions_common.txt
11 ./test.txt

root@kali:/usr/share/wordlists/dirb# find . -type f -exec wc -l {} + | sort -rn
133549 total
65536 ./stress/unicode.txt
20469 ./big.txt
17576 ./stress/test_ext.txt
8607 ./others/names.txt
4614 ./common.txt
3494 ./vulns/cgis.txt
2711 ./vulns/fatwire_pagenames.txt
1708 ./vulns/sharepoint.txt
1111 ./vulns/sap.txt
1075 ./vulns/oracle.txt
1049 ./others/best1050.txt
959 ./small.txt
579 ./vulns/hyperion.txt
560 ./vulns/websphere.txt
449 ./spanish.txt
361 ./vulns/weblogic.txt
291 ./vulns/domino.txt
256 ./stress/uri_hex.txt
256 ./stress/doble_uri_hex.txt
238 ./vulns/hpsmh.txt
197 ./euskera.txt
161 ./catala.txt
129 ./vulns/jersey.txt
121 ./vulns/ror.txt
110 ./others/best110.txt
101 ./vulns/fatwire.txt
...

Ganadores del I CTF de #hc0n2018 e @ihacklabs y... primeros writeups!

Una semana, 4 máquinas que explotar y 4 retos de 4 categorías distintas que superar... Este ha sido el resumen del divertido CTF que nos ha brindado iHackLabs con motivo de la h-c0n, nuestra primera conferencia... y estos han sido los ganadores:

Enhorabuena a gibdeon, borjmz y PatatasFritas! Los tres del podio han sido también los únicos que han conseguido todas las flags y sólo la FB han determinado el primer puesto.

Durante la clausura de la conferencia h-c0n (sábado 3 feb a las 19:30 aprox.) se volverá a anunciar a los ganadores del CTF y se hará entrega de los premios correspondientes, de forma presencial si están entre los asistentes o posteriormente en caso contrario:

  -  Primer Premio: Licencia gratuita de un curso ICPP+
  -  Segundo Premio: Licencia gratuita de un curso ICPWAP
  -  Tercer Premio: 30 días de acceso a los laboratorios de ihacklabs

Además, pasaron apenas 30 segundos desde que se cerró automáticamente el CTF y tanto Jesús como Borja publicaron rápidamente sus writeups, ¡no os los perdáis!:

- Cisco: https://jesux.es/ctf-writeup/ctf-hackplayers-2018-cisco/
- Josie: https://jesux.es/ctf-writeup/ctf-hackplayers-2018-josie/
- Sammy: https://jesux.es/ctf-writeup/ctf-hackplayers-2018-sammy/
- Jax: http://jax.borjmz.com/

Clasificación general final: http://www.h-c0n.com/p/ctf.html#final

Writeup oficial de iHackLabs: https://www.ihacklabs.com/es/ctf-2018-hackplayers-write-up/

Clases de seguridad web de Hacker101

Recientemente Hacker101 ha subido también a un repositorio en Github todos sus contenidos. Para que no los conozcáis Hacker101 de HackerOne es básicamente una serie de vídeos gratuitos con clases de seguridad web. Tanto si eres un programador interesado en bug bounty o un experimentado profesional de seguridad, Hacker101 siempre tiene algo que enseñarte.

Hacker101 está estructurado como un conjunto de lecciones en video, algunas cubren múltiples temas, algunas cubren uno solo, y se pueden ver de dos maneras diferentes. Puedes verlos en orden como si fuera una clase normal (Sesiones), o puedes verlos de forma individual (Vulnerabilidades). Si eres nuevo en seguridad, te recomendamos lo primero; eso te proporcionará una ruta guiada a través del contenido y cubre más cosas. Además, hay distintos niveles de Cursos donde puedes buscar errores y experimentar con la explotación de una manera práctica.

Ya tenemos tarea para el fin de semana ;):

Sesiones

• Introduction
• The Web In Depth
• XSS and Authorization
• SQL Injection and Friends
• Session Fixation
• Clickjacking
• File Inclusion Bugs
• File Upload Bugs
• Null Termination Bugs
• Unchecked Redirects
• Password Storage
• Crypto series
  • Crypto Crash Course
  • Crypto Attacks
  • Crypto Wrap-Up

Vulnerabilidades

• Clickjacking
• Command Injection
• Cross-Site Request Forgery (CSRF)
• Directory Traversal
• Local/Remote File Inclusion
• Improper Authorization
• Insecure Password Storage
• Improper Handling of Null Termination
• Padding Oracle
• Reflected Cross-Site Scripting (XSS)
• Session Fixation
• SQL Injection
• Stored Cross-Site Scripting (XSS)
• Stream Cipher Key Reuse
• Unchecked Redirect

Cursos

• Level 0: Breakerbank
• Level 1: Breakbook
• Level 2: Breaker Profile
• Level 3: Breaker CMS
• Level 4: Breaker News
• Level 5: Document Repository
• Level 6: Student Center
• Level 7: Guardian
• Level 8: Document Exchange

Fuente: https://www.hackerone.com/hacker101 

MalQR, testeando la seguridad de los escáneres

Después de tanto tiempo me decido a escribir algo porque entre clases y exámenes no he tenido tiempo ni de pensar en un post. Volviendo al tema que nos concierne, la inseguridad informática, seguramente todos hemos paseado por un centro comercial, por poner un ejemplo, y hemos escaneado en cajas de autoservicio o mismamente, hemos escaneado el producto que nos interesaba para ver sus precio y no llevarnos la sorpresa cuando vayamos a pagar.

Todos estos escáneres de los que estamos hablando deben estar vinculados a un clase de base de datos donde se pueda contrastar el nombre de dicho producto, su precio e incluso algunas de sus características. Esto te para pensar... ¿puede un escáner ser un vector de ataque? Resolveré tu cuestión, pero antes vamos a ver como nos podemos "comunicar" con ellos.

Los escáneres más comunes en comercios, los de código de barras de toda la vida, usan un código especifico llamado "Code 128", este código es capaz de codificar caracteres alfanuméricos o solo numéricos. Con este código es posible representar todos los caracteres de la tabla ASCII, incluyendo los caracteres de control, teniendo en cuenta que cada ASCII se codifica mediante 11 barras. Algunos facilitan una numeración cerca de ellos pero es algo relevante que simplemente sirve cuando no se puede leer correctamente el código.

Otro de los métodos de codificación más utilizados es la matriz de datos, comúnmente llamado "Data Matrix", compuesto de módulos de celdas cuadradas definidas dentro de un perímetro marcado en la que es posible codificar hasta 3116 caracteres ASCII.

También cabe recordar la codificación azteca, también llamada "Aztec codes", en la que se pueden codificar todos los valores de 8 bits, la codificación del 0 al 127 es interpretada por este método siguiendo el ASCII y del 128 al 255 es intepretado siguiendo el ISO 8859-1.
 

IRCP: la primera certificación de ciberseguridad práctica especializada en Respuesta ante Incidentes y Análisis Forense Digital

Ha sido desarrollada por una empresa de seguridad española y mide conocimientos reales de respuesta ante incidentes de seguridad, aplicados en un entorno 100% práctico. Así es la primera certificación publicada por Securízame, compañía fundada por nuestro amigo Lorenzo Martínez, ingeniero informático de profesión reconocido en el sector de la ciberseguridad por sus conferencias especializadas en peritaje informático forense y respuesta ante incidentes de seguridad y que podréis ver en la h-c0n impartiendo la ponencia 'Memorias de un Perito Informático Forense Vol IV+I'.

IRCP está dirigida a profesionales del sector de ciberseguridad que presten servicios de respuesta ante incidentes, personal de departamentos de seguridad y sistemas de cualquier organización, peritos informáticos, miembros de CSIRTs, CERTs y Cuerpos y Fuerzas de Seguridad del Estado entre otros colectivos, IRCP irrumpe con fuerza desde principios de 2018.

Sobre las certificaciones de seguridad actuales

La mayoría de las certificaciones de ciberseguridad actuales obligan en su preparación a memorizar toneladas de información, devorando libros y manuales, para culminar con un test que decidirá, mediante la evaluación de conocimientos sobre papel, si quien se presenta es o no merecedor de dicho título. Inevitablemente, una vez el candidato termina el examen olvidará los detalles de la información memorizada.

Cierto es que hay certificaciones, generalmente relacionadas con hacking ético, que sí son 100% prácticas y prueban conocimientos reales de quien se presenta al examen. El problema es que al hacerse de manera online, y sin vigilancia alguna, tampoco permiten garantizar la certeza de que quien ha superado las pruebas, sea el titular final del certificado.

IRCP: Incident Response Certified Professional

Con la finalidad de poder cubrir las carencias anteriores, así como mejorar los sistemas de certificación actuales, Securízame ha implementado su propia metodología práctica de evaluación. Para poder medir conocimientos y habilidades reales del candidato, éste se enfrentará durante 8 horas ininterrumpidas a un entorno de red típico en una empresa, en el que se ha producido un incidente de seguridad. El objetivo es que, en el tiempo disponible, el alumno analice y resuelva el caso, culminando con la redacción de dos informes, uno técnico y otro ejecutivo, que aporten suficiente luz sobre qué sucedió, quién o quiénes lo hicieron, y cómo se sucedieron los hechos.

El contenido de dicho informe, así como la metodología y razonamiento desarrollados por el alumno, y la limpieza de las acciones efectuadas para la investigación sobre el entorno utilizado, serán los factores principales que tres evaluadores puntuarán independientemente. Así, Securízame certificará que el candidato es un profesional técnicamente solvente a la hora de enfrentarse al esfuerzo técnico y presión de un incidente de seguridad real.

La ejecución de la prueba se lleva a cabo presencialmente en las instalaciones de Securízame en Madrid, garantizando la identidad de cada candidato, bajo condiciones de vigilancia y silencio que permitan al candidato la concentración necesaria.

Para llevar a cabo la preparación del examen de certificación, Securízame ofrece un plan de formación presencial, tanto mediante cursos teórico-prácticos como a través de entrenamientos tutelados 100% prácticos. En estos últimos el candidato puede comprobar, aprender y mejorar sus conocimientos de Respuesta ante Incidentes y Análisis Forense en un entorno empresarial comprometido.

Se puede consultar más información sobre la certificación, convocatorias y plan de formación recomendado en https://certificaciones.securizame.com/ircp o a través del correo electronico contacto_at_securizame.com.

One-Lin3r: herramienta para generar comandos de una sóla línea para pentesting

One-Lin3r es un framework simple y liviano inspirado en el módulo web-delivery de Metasploit. Genera varios comandos en una única línea o one-liners que ayudan en las operaciones de pentesting:

- Reverser: dale una IP y puerto y te devolverá un comando para una shell inversa listo para copiar y pegar.
- Dropper: dale una URL donde tengas un backdoor y te devolverá un comando de descarga y ejecución listo para copiar y pegar.
- Otro: tiene one-liners de propósito general para ayudar en tests de intrusión (por ejemplo: Mimikatz, Powerup, etc.) en los sistemas operativos más comunes (Windows, Linux y macOS) "También se pueden agregar más sistemas operativos".

Además permite añadir tus propios comandos siguiendo estos sencillos pasos: https://github.com/D4Vinci/One-Lin3r/wiki

Instalación 

 Para windows:

cd One-Lin3r-master
python -m pip install -r win_requirements.txt
python One-Lin3r.py -h

Para Linux:

git clone https://github.com/D4Vinci/One-Lin3r.git
chmod 777 -R One-Lin3r
cd One-Lin3r
pip install -r requirements.txt
python One-Lin3r.py -h

Uso

Argumentos:

usage: One-Lin3r.py [-h] [-r R] [-x X] [-q]

optional arguments:
  -h, --help  show this help message and exit
  -r          Execute a resource file (history file).
  -x          Execute a specific command (use ; for multiples).
  -q          Quit mode (no banner).

Comandos posibles:

Command             Description
--------            -------------
help/?              Show this help menu
list/show           List payloads you can use in the attack.
search  <Keyword>   Search payloads for a specific one
use     <payload>   Use an available payload
info    <payload>   Get information about an available payload
banner              Display banner
reload/refresh      Reload the payloads database
check               Prints the core version and database version then check for them online.
history             Display command line most important history from the beginning
save_history        Save command line history to a file
exit/quit           Exit the framework

Dotless IP: Otra forma más de llamar a un host en red

Hoy leía sobre el funcionamiento del malware Zyklon (https://thehackernews.com/2018/01/microsoft-office-malware.html) y me llamó la atención que el malware se descarga el payload final conectándose a una dirección IP “dotless” (por ejemplo http://3627732942).

Las direcciones dotless o direcciones decimales son los valores decimales de las direcciones ipv4 representadas con notación de octetos, pero sin separar en octetos. Suena confuso, pero es que me explico fatal, así que siguiendo las palabras de Confucio: “Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí”, vamos a hacer un ejemplo sencillo para que quede claro convirtiendo la IP más famosa del mundo: 127.0.0.1.

Teniendo en cuenta que son octetos debemos tener en cuenta 8 bits por cada número, así que siendo los valores 127=1111111, 0=0 y 1=1 rellenamos con ceros el resto del octeto para completarlo, quedando así: 01111111.00000000.00000000.00000001

Ya no nos queda casi nada. Eliminamos los puntos, juntamos todo en una cadena larga y lo convertimos a decimal.

01111111000000000000000000000001 = 2130706433

Así que, si lo hemos hecho bien, para acceder a 127.0.0.1 tendríamos que llamar a http://2130706433. Pongámoslo a prueba.

Como se ve, al llamar a la dirección dotless se resolvió como 127.0.0.1, así que nuestra conversión es correcta.

¡Si tienes alguna duda deja tu comentario!

Contribución gracias a 'elvecinodeabajo'

openconnect + vpn-slice o cómo seguir navegando directamente por Internet al conectar la VPN de empresa (split tunneling)

Normalmente, los administradores de seguridad perimetral de una empresa configurarán sus concentradores VPN para forzar una ruta predeterminada a los usuarios, de tal manera que todo el tráfico se enrute a través de la conexión vpn. Esto se traduce en que los usuarios deberán salir también a Internet a través de la infraestructura y filtrado corporativos.

Sin embargo, aunque el administrador de VPN de turno puede enviar rutas al cliente, éstas pueden ser ignoradas y establecer un enrutamiento de modo que solo la red A.B.C.D/E requerida se enrute a través de la VPN. El resto del tráfico seguirá utilizando las rutas y la conexión a Internet saliente que se tenían antes de conectar a la VPN.

Esto se denomina enrutamiento VPN de túnel dividido (split-tunneling) y en esta entrada veremos cómo hacerlo mediante:
- openconnect: un cliente VPN de código abierto concebido para ser una alternativa al cliente propietario Cisco Anyconnect y compatible con su servidor
- vpn-slice: un script en bash que reemplaza al que te viene por defecto con openconnect y que facilita añadir y eliminar rutas para realizar el split tunnel

Instalación OpenConnect

$ sudo apt-get install openconnect lib32ncurses5 lib32tinfo5 lib32z1 libc6-i386 libpkcs11-helper1 openvpn vpnc-scripts

El binario openconnect no podrá crear el túnel tun0 sin que se le otorgue alguna capacidad o capability root para administrar redes; consulta las capabilities de Linux (man 7 capabilities) para obtener más detalle.

sudo setcap cap_net_admin+ep /usr/bin/openconnect

Para comprobar que la capacidad se ha añadido correctamente:

getcap -rv /usr/sbin/openconnect
/usr/sbin/openconnect = cap_net_admin+ep

Instalación vpn-slice

Como os comentaba vpn-slice es un reemplazo para OpenConnect o VPNC que facilita la creación de un split túnel:

- Solo enruta el tráfico de hosts o subredes específicos a través de la VPN
- Busca automáticamente nombres de hosts utilizando los servidores DNS de la VPN, y agrega entradas para ellos en /etc/hosts (que limpia después de la desconexión de VPN), sin embargo, no altera /etc/resolv.conf.

Necesitaremos Python 3.3+, dig, iproute2 e iptables:

apt-get install -y python3-pip
pip3 install https://github.com/dlenski/vpn-slice/archive/master.zip

Estableciendo una conexión VPN

Al establecer una conexión VPN contra la red corporativa debemos enrutar la subred requerida a través del túnel. El comando tipo sería:

sudo openconnect <corporate-vpn-endpoint> \
     -m 1290 \
     -u <your-vpn-user> \
     --servercert sha256:<0446a7EXAMPLE8901278394> \
     -s 'vpn-slice <10.10.0.0/14>'

- La primera vez que te conectas, openconnect mostrará el shasum del servercert, en las conexiones siguientes se puede usar ese shasum como el valor para --servercert
- Hay que reemplazar <10.10.0.0/14> con la subred que desea enrutar sobre el vpn corporativo.

Estas son las rutas antes de establecer la vpn:

default via 10.1.1.1 dev wlp4s0 proto static metric 600
10.1.1.0/24 dev wlp4s0 proto kernel scope link src 10.1.1.50 metric 600
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1

Estas son las rutas después de conectarse a la vpn. vpn-slice solo creará rutas para la subred VPN y los servidores DNS de la VPN. Como veis, la ruta predeterminada que no ha cambiado después de conectarse la VPN.

default via 10.1.1.1 dev wlp4s0 proto static metric 600
10.1.1.0/24 dev wlp4s0 proto kernel scope link src 10.1.1.50 metric 600
10.10.0.0/14 dev tun0 scope link
10.10.0.0/14 dev tun0 scope link metric 6
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
180.10.34.165 dev tun0 scope link
180.10.34.165 dev tun0 scope link metric 6

Fuentes:
- Split tunneling with openconnect
- vpnc-script replacement for easy and secure split-tunnel VPN setup

Hershell, una shell reversa escrita en Go

Hershell de Ronan Kervella es una sencilla shell reversa TCP escrita en Go que utiliza TLS para proteger las comunicaciones y certificate pinning para evitar la interceptación de tráfico.

Se presenta como una interesante alternativa a los payloads de meterpreter que muchas veces son detectados por los AV y, al estar escrito en Go, puede compilarse para la arquitectura deseada. Soporta Windows, Linux, Mac OS, FreeBSD y derivados.

Construyendo el payload

Para simplificar las cosas, se puede usar el archivo Makefile proporcionado pudiendo establecer las siguientes variables de entorno:

- GOOS: el sistema operativo objetivo
- GOARCH: la arquitectura de destino
- LHOST: la IP o nombre de dominio del atacante
- LPORT: el puerto de escucha

Para las variables GOOS y GOARCH, puedes obtener los valores permitidos aquí.

Sin embargo, algunos objetivos auxiliares ya están disponibles en el archivo Makefile:

- depends: genera el certificado del servidor (requerido para la shell reversa)
- windows32: crea un ejecutable de Windows de 32 bits (PE 32 bits)
- windows64: crea un ejecutable de Windows de 64 bits (PE 64 bits)
- linux32: crea un ejecutable de 32 bits de Linux (ELF 32 bits)
- linux64: crea un ejecutable Linux de 64 bits (ELF 64 bits)
- macos: construye un ejecutable Mac OS de 64 bits (Mach-O)

Para esos objetivos, solo se necesita establecer las variables de entorno LHOST y LPORT.

Usando la shell

Una vez ejecutado, se obtendrá una shell remota. Esta shell interactiva personalizada permitirá ejecutar comandos del sistema a través de cmd.exe en Windows o /bin/sh en máquinas UNIX.

También se soportan los siguientes comandos especiales:

- run_shell: te deja una shell del sistema (permitiéndote, por ejemplo, cambiar directorios)
- Inject : inyecta un shellcode (codificado en base64) en la misma memoria de proceso y lo ejecuta (Windows solo por el momento)
- meterpreter IP:PORT: se conecta a un multi/handler para obtener un segundo stage de metasploit (reverse tcp meterpreter), y ejecuta el shellcode en la memoria (Windows solo en este momento)
- exit: salir

Solución al reto 22 clasificatorio para el CTF de #hc0n2018 (h-c0n prequals)

Como os decía cuando presentamos este reto 22, era realmente un clasificatorio para el CTF de la h-c0n que dará comienzo el próximo día 20 de enero a las 0:00 horas.

Cuando decidimos organizar una CON teníamos claro que no podía faltar el CTF y cuando iHackLabs, una empresa que se dedica a eso, nos propuso organizarlo y usar su plataforma pronto supimos que nos íbamos a algo realmente interesante y pro.

Pero evidentemente el acceso a la plataforma es limitado y para la h-c0n ese ha dimensionado una concurrencia de 45 usuarios, así que también íbamos a tener la oportunidad de realizar un par de pruebas para establecer ese corte y clasificar a los más hábiles y rápidos.

Y cómo últimamente andábamos muy enganchados a explotar máquinas, me pareció una buena idea preparar una propia para esta ocasión. Y la verdad lo tuve muy fácil, porque Héctor (riesc0) y Dani (adon90), dos compis de trabajo recién certificados con el OSCP, aceptaron a prepararla. Yo sólo la probé e hice un sencillo binario para generar las flags, y bueno, una pequeña imagen con esteganografía como paso previo a su descarga. Así que todo el mérito a estos dos cracks.

Evidentemente, tuvimos algunas limitaciones al tratarse de una máquina offline y también algunos fallos de primerizos como cierta inestabilidad con el servicio knockd y, sobretodo, no haberla preparado para VirtualBox (el interfaz de red). Pero dejamos Grub sin contraseña y muchos fueron capaces incluso de adaptarla a su entorno de forma autónoma.

Al final el resultado ha sido muy bueno y han podido clasificarse 44 valientes que han resuelto el prequal de varias (y algunas increíbles) maneras, muchos enviándonos solucionarios o writeup realmente completos y que merecen ser publicados. Pero como deferencia y tras comentarlo con riesc0, uno de los autores de la máquina, pegamos su writeup original.

Así que no me enrollo más y os dejo el susodicho solucionario, no sin antes daros las gracias a todos los que habéis intentado resolver el reto independientemente del resultado y deseando mucha suerte a todos los clasificados para el CTF que comenzará el día 20:

# 1.0 ESTEGANOGRAFÍA

Lo primero que tenemos es una imagen, la cual ya nos dicen que contiene algo oculto. Cuando se trata de algún reto de esteganografía siempre suelo usar Stegsolver para ver si hay algún mensaje oculto en alguno de los canales rgba de la imágen.

Vemos que está la palabra “rockyou.txt” oculta en la imagen, por lo que deducimos que para sacar el contenido adjunto de la foto hay que usar fuerza bruta con el diccionario rockyou.txt.

Cómo recibir una alerta en Telegram cada vez que se conecte un dispositivo USB a nuestro equipo (USB Canary)

Casi desde que empecé a trabajar en informática, los recuerdos más jocosos que guardo, incluso con añoranza, son los ataques David Hasselhoff, ya sabéis, aquellos que consisten en cambiar el fondo de pantalla del equipo de un descuidado compañero que dejó sin bloquear su sesión.

Cierto es que pocas veces los fondos evocaban la figura del actor de Mitch Buchannon y con el paso de los años las imágenes aumentaban su índole pertubadora… pero nada comparable a cuando empecé a trabajar en equipos de hackers éticos...

En un grupo acostumbrado a la seguridad ofensiva, llamarle Red Team, Tiger Team o como gustéis,  ya casi da igual que olvides bloquear el ordenador, ahora cualquier ausencia incluso breve, que permita el acceso físico, puede suponer una oportunidad para alguien conecte un Rubber Ducky o cualquier otro dispositivo y no sólo de un tono más “rosa” a tu escritorio: troyanizar el equipo, cambiar la password, modificar tu muro de Facebook, … los caminos del troll son incontables.

Para evitar ésto, y en un tono más serio protegerte también contra atacantes que no sean de tu propio equipo, lo más lógico será controlar el acceso a todos los puertos de tu ordenador que permitan conectar periféricos.

Si partimos de que no nos van a desarmar el hardware destornillador en mano y el lector de CDROM (hablaremos de éste último véctor más adelante), hoy en día los principales interfaces de entrada son los puertos USB por lo que es capital controlarlos.

A propósito de ésto, no hace mucho vi un proyecto en GitHub bastante interesante llamado USB Canary que permite en Linux y mediante pyudev monitorizar los dispositivos USB del equipo, mientras está bloqueado o continuamente. Además se puede configurar para enviar un SMS a través de la API Twilio, o notificar a un canal Slack mediante el bot correspondiente.

La herramienta está escrita en Python y es bastante sencillo añadir una tercera opción para las notificaciones, así que en seguida pensé en añadir la opción de Telegram. No sé vosotros pero yo la uso continuamente, por lo que me pareció una buena idea recibir un mensaje de un bot de Telegram cada vez que se conecte un dispositivo USB en mi portátil y de forma totalmente gratuita. De esta manera estaremos bajo aviso si alguien conecta algo a nuestro equipo en nuestra ausencia...

Lo primero que necesitaremos será precisamente crear un bot en Telegram y para ello llamaremos a papá @BotFather y le “diremos” que queremos crear un nuevo bot (opción /newbot):

SpookFlare: generador de loaders de Meterpreter para bypassear las contramedidas en el endpoint y en la red

SpookFlare es un generador de loaders para los stages de Meterpreter Reverse HTTP y HTTPS que añade una perspectiva diferente para eludir las medidas de seguridad del lado del cliente (endpoints) y la detección del lado de la red. Provee un cifrado personalizado con ofuscación de cadenas y compilación en tiempo de ejecución para eludir las contramedidas de los sistemas atacados, al menos hasta que "aprendan" la técnica y el comportamiento de los payloads de SpookFlare.

- Ofuscación
- Compilación de código en tiempo de ejecución
- Cifrado de código fuente
- Soporta parcheado de stages de Meterpreter

Url del video: https://youtu.be/p_eKKVoEl0o

Proyecto: https://github.com/hlldz/SpookFlare
Detalle técnico: https://artofpwn.com/spookflare.html

[VulnHub write-up] The Wall by Zaiuss (2 de 2)

Ya estoy en la casa de Waters. Aparte de su diario (es una parodia), encuentro una foto suya echándose un pitillo y su biografía, pero nada más interesante. Voy a echar un ojo por los alrededores.

Mirando el /etc/passwd veo que hay un usuario por cada miembro del grupo:

    SydBarrett:*:1000:1000:Syd Barrett:/home/SydBarrett:/sbin/nologin
    NickMason:*:1001:1001:Nick Mason:/home/NickMason:/bin/ksh
    RogerWaters:*:1002:1002:Roger Waters:/home/RogerWaters:/bin/ksh
    RichardWright:*:1003:1003:Richard Wright:/home/RichardWright:/bin/ksh
    DavidGilmour:*:1004:1004:David Gilmour:/home/DavidGilmour:/bin/ksh

No puedo entrar en las casas de los otros usuarios, pero esto no me impide buscar alguna llave debajo de la alfombra. Con find -user tengo más que suficiente.

Woow, dos binarios “setuideados” (maldita palabra fea), de los cuales solo puedo ejecutar brick, el otro tan solo lo podrá ejecutar DavidGulmour o RichardWrigth (y root obviamente). La siguiente prueba es fácil:

Mason has been the drummer on every Pink Floyd album (but not on every song; some feature session drummers, drum machines, or no drumming at all).

NICK MASON

Al acertar la pregunta salto de usuario y ahora soy Nick Manson, (pero sin un ferrari). En su home tengo más o menos lo mismo que en los demás, una foto y su biografía. ¿Una foto suya? A ver ese bigote…

[VulnHub write-up] The Wall by Zaiuss (1 de 2)

Buenos días mis queridos pacientes. Desde Hackplayers me han informado sobre un creciente numero de drogodependientes que a diario van a buscar su dosis a HTB y como soy un doctor preocupado y responsable con mis pacientes… ¡os traigo buena medicina!

He seleccionado una mercancía especial para empezar este 2018 bien dopados: The Wall, de el gran Xerubus. https://www.vulnhub.com/entry/the-wall-1,130/  , está dedicada a Pink Floyd y al igual que discos como Animals, o The Dark Side of the Moon, me parece una jodida obra maestra.

*Si estas leyendo esto y no te gusta escuchar Pink Floyd, un consejo: escúchalos.

Lo más normal seria empezar con un escaneo de nmap, pero en este caso voy a empezar poniendo música 8)

“Another brick in the wall” - https://www.youtube.com/watch?v=5IpYOF4Hi6Q

Ahora sí, localizo la dirección de la máquina y busco algún servicio expuesto:

Ups, ¿nada? Parece que no, con ningún “combo” de nmap… pero la máquina está ahí. Quizás wireshark tenga algo que decir:

 
Anda, mira! Si parece que quiere decirme algo por el puerto 1337. Pongo un netcat a la escucha a ver que pasa…. estoy nervioso.

Buaaaaah! Yo con estas tonterías me emociono, joder. Y fíjate, parece que quieren saludarme.

- Welcome to the machine. https://www.youtube.com/watch?v=lt-udg9zQSE

Ha sido emocionante, ¿pero y ahora que pasa? No tengo muy claro si ha pasado algo o no,  así que voy a seguir dándole al nmap.

Si hombre!, eso antes no estaba ahí. Un http que se acaba de abrir ahora mismo. Pues venga, además voy a entrar como las personas normales.

Detección de micrófonos ocultos con Salamandra

Poco a poco vamos a ir paladeando y digiriendo todas las charlas de la Chaos Communication Congress que tuvo lugar recientemente en Leipzig (34C3) y empezamos con la presentación de Veronica Valeros y Sebastián García: Spy vs. Spy: A modern study of microphone bugs operation and detection.

Inspirados en el artista y activista chino Ai Weiwei que descubrió micrófonos ocultos en su casa tras regresar de un viaje de más de dos meses por Alemania y el Reino Unido, enfocaron su investigación principalmente en dispositivos transmisores de radio FM y crearon una herramienta llamada Salamandra capaz de detectar micrófonos espía.
Con sólo un dispositivo SDR (Software Define Radio) como éste (sólo 8€), esta herramienta escrita en python es capaz de encontrar micrófonos basándose en la fuerza de la señal enviada por el micrófono y la cantidad de ruido y frecuencias superpuestas. En función del ruido generado, puede calcular qué tan cerca o lejos está del micrófono.

Instalación

Salamandra necesita tener instalado previamente el software rtl_power:

- MacOS: sudo port install rtl-sdr
- Linux (basados en Debian): apt-get install rtl-sdr
- Windows: Ver http://www.rtl-sdr.com/getting-the-rtl-sdr-to-work-on-windows-10/

Si rtl_power se ha instalado correctamente, deberíamos ser capaces de ejecutar este comando en la consola:

rtl_test

y al menos debe aparecer un dispositivo detectado.

Uso

Uso básico para detectar micrófonos

./salamandra.py

Este comando usará un umbral predeterminado de 10.8, una frecuencia mínima de 100Mhz, una frecuencia máxima de 400Mhz y sonido. Se pueden cambiar los valores predeterminados con parámetros.

Reto 22: #h-c0n2018 prequals

El reto 22 es especial y distinto a los demás nuestros porque realmente se trata de una ronda clasificatoria para acceder al CTF de la h-c0n de 2018 que ha creado Ihacklabs.

Hasta el 14 de enero a las 0:00 horas tendréis disponible la imagen que se muestra abajo, que contiene oculto un enlace para la descarga de una máquina de laboratorio vulnerable que hay que comprometer, primero obteniendo una shell para la ejecución remota de comandos y segundo escalando privilegios hasta conseguir root y poder obtener la flag.

Ojo que la máquina sólo funciona en VMWare. En VirtualBox no reconoce correctamente el interfaz de red.

Esta flag debe remitirse a la dirección de correo electrónico hackplayerscon@gmail.com para su validación. Posteriormente se solicitará un pequeño writeup o solucionario que muestre esquemáticamente los pasos seguidos para conseguirlo.

Los primeros 45 que lo consigan obtendrán un código para acceder al CTF de iHackLabs. Y atentos porque los 5 primeros además conseguirán una entrada gratuita a la conferencia h-c0n. Si ya habían abonado la entrada con anterioridad, se les devolverá el dinero íntegramente por Paypal.

Así que ánimo y al lío:

Gracias a Dani (adon90) y Héctor (riesc0) por la máquina. Al final nos pilló un pelín el toro pero lo sorteamos ;) 

Cualquier duda podéis comentarla directamente en este post o a través de nuestras RRSS pero eso sí... sin spoilers... ;)

Meltdown y Spectre: vulnerabilidades críticas en CPUs

Se han confirmado dos fallos críticos de diseño en la inmensa mayoría de los procesadores integrados del mundo que dejarían vulnerables áreas protegidas de la memoria del núcleo o Kernel del sistema operativo.

Estas vulnerabilidades se han catalogado con los siguientes nombres y CVEs:

- Meltdown: CVE-2017-5754
- Spectre: CVE-2017-5753 y CVE-2017-5715 

Descripción

Una característica de la arquitectura integrada en las CPUs para mejorar el rendimiento del sistema conocida como Ejecución Especulativa (Speculative Execution) es la raíz del problema, ya que es vulnerable a distintos ataques de tipo canal lateral (side-channel attack). 

Explotando estos fallos de seguridad descubiertos se podría ejecutar código malicioso de forma no privilegiada y leer zonas de memoria reservada del Kernel del sistema eludiendo el mecanismo de protección KASLR (Kernel Address Space Layout Randomization) implementado en diversos sistemas operativos para colocar partes del núcleo en sitios aleatorios de memoria y así evitar accesos no autorizados.

"Explotación de la Ejecución Especulativa vía Javascript" es probablemente una de las frases terroríficas que se ha leído ultimamente, porque implica hacer un Dump de memoria del Kernel desde JAVASCRIPT.

Poder leer memoria del Kernel implica la posibilidad de leer la memoria de todo el sistema en la mayoría de Sistema Operativos de 64 bits, en otras palabras, memoria de espacios de direcciones de otros procesos que podría contener información sensible como contraseñas, claves criptográficas, etc. 

Casi todas las implementaciones de CPU de Intel, y otras de AMD y ARM son vulnerables, y por tanto todos los sistemas operativos y dispositivos que hacen uso de estos microprocesadores se ven afectados igualmente.

Buscando Bitcoins en GitHub con Google BigQuery

La gente se deja continuamente cosas confidenciales en Github: claves privadas ssh, documentos de identificación escaneados, contraseñas. etc. Pero, ¿podríamos llegar a encontrar claves privadas de bitcoin y hacernos ricos?

La gente de LiveOverflow ha dejado un video acojonante impresionante, en el que muestran como a través de Google BigQuery se puede lanzar una consulta SQL con un regexp capaz de encontrar millones de claves privadas de monederos de Bitcoin...

Recordar que habéis de empezar el año con buenos propósitos, ver el vídeo pero no seais malos...

Url del video: https://youtu.be/Xml4Gx3huag

La query para buscar BTC en GitHub a través de Google BigQuery

GitHub BigQuery Dataset: https://cloud.google.com/bigquery/public-data/github