tag:blogger.com,1999:blog-85941600668748907612024-03-13T19:55:56.401-07:00SystemExposedBlog de Seguridad Informática.systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.comBlogger49125tag:blogger.com,1999:blog-8594160066874890761.post-10778162889103188402018-06-15T03:31:00.000-07:002018-06-15T08:14:15.780-07:00Phishing Apple ID<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-GHMoJDrJfJaLILIaBKvD-ruz4v17vfV7dWw07Pege4o3j2jfuq8S6IX_qAmk7kOW8u8GNpcVqqzm-IvenYSIMH7_Ltmcu2PmeVTZ_n2Sxtv8NBi3PFrvuZWEg3AzxYsMIEqSEpbmbBWK/s1600/phishing_1114453.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="379" data-original-width="700" height="173" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-GHMoJDrJfJaLILIaBKvD-ruz4v17vfV7dWw07Pege4o3j2jfuq8S6IX_qAmk7kOW8u8GNpcVqqzm-IvenYSIMH7_Ltmcu2PmeVTZ_n2Sxtv8NBi3PFrvuZWEg3AzxYsMIEqSEpbmbBWK/s320/phishing_1114453.jpg" width="320" /></a></div>
<br />
<br />
<br />
<br />
Hola a tod@s! Hoy vengo a hablaros sobre un correo Phishing que se está lanzando con el objetivo de obtener las claves de acceso de Apple ID además de los datos de tarjetas bancarias. En esta entrada no voy a realizar un análisis a fondo, simplemente os vengo a enseñar este caso para que lo conozcáis y estéis alerta.<br />
<br />
<br />
<span style="font-size: large;"><b>Introducción</b></span><br />
<br />
Todo comenzó con un aviso por parte de mi mujer. Ella no tiene grandes conocimientos en informática y menos en ciberseguridad, pero la verdad es que siempre ha sido muy consciente a la hora de saber que no se debe confiar en los correos que se reciben y mucho menos de pinchar en enlaces de dudosa procedencia, incluso tiene sus batallitas con sus padres para hacerles entender que no se deben fiar de nada (Mode Paranoid xD).<br />
<br />
<br />
Pues bien, tanto es así que cada vez que mi suegra recibe un correo sospechoso o de gran importancia, antes nos consulta para saber si debe hacer caso al aviso o no. Por si lo estáis pensando: Si, estoy con el babero de allá para acá, no lo puedo remediar, las adoro.<br />
<br />
De esto vengo precisamente a hablaros hoy. Ayer mi suegra recibió un bonito correo a su cuenta de gmail que le resultó bastante extraño, ya que según nos comentaba le informaban desde Apple que su cuenta había sido bloqueada y para desbloquearla debía pinchar en un enlace y ella dudaba si debía pinchar sobre él o no. Mi mujer, lo primero que la dijo al ver el correo fue: "Apple nunca se pondría en contacto contigo en inglés ya que ellos ya saben que eres de España, así que olvídate que es un fake". Acto seguido me miró como buscando aprobación, pero yo ya estaba en otro mundo...<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjh4polMgppywGB3Ww2zU2o0un-evB6IBR6ncIJCOjr7VsdWRJ_dyMZTt65enwwKu2NjSstDzy2Sa8Ry26ffHmuW7xscriEPQYGhI8d2zuosVSyfSQALLWsan2BZq4FXR9Y0thvvkTO9qsK/s1600/homero_simpson_babeando_.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="320" data-original-width="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjh4polMgppywGB3Ww2zU2o0un-evB6IBR6ncIJCOjr7VsdWRJ_dyMZTt65enwwKu2NjSstDzy2Sa8Ry26ffHmuW7xscriEPQYGhI8d2zuosVSyfSQALLWsan2BZq4FXR9Y0thvvkTO9qsK/s1600/homero_simpson_babeando_.jpg" /></a></div>
<br />
<br />
<br />
<b><span style="font-size: large;">Primer vistazo</span></b><br />
<br />
Aprovechando la coyuntura, la pedí que me reenviase el correo para trastear un poco con él solo por ver como lo tenían montado, así que allá vamos.<br />
<br />
<br />
El correo recibido tiene el siguiente aspecto:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJnmNetA4rT3vKmGDTl1plPM1yXh6Zpq6ykSEhhoC6ufFF14y5HKmVOHCc9XZCzt4WqT9lyrk_U0GOlIZpsS68OHYtT_zUFzFoohPfPvpk53XzCtZ0y2U21BpqOZcGbKVp6Oe7afYSsI6F/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="726" data-original-width="1552" height="149" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJnmNetA4rT3vKmGDTl1plPM1yXh6Zpq6ykSEhhoC6ufFF14y5HKmVOHCc9XZCzt4WqT9lyrk_U0GOlIZpsS68OHYtT_zUFzFoohPfPvpk53XzCtZ0y2U21BpqOZcGbKVp6Oe7afYSsI6F/s320/1.png" width="320" /> </a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Si os fijáis, lo primero que canta aparte de que está escrito en inglés, es la dirección de correo (dwhovkmicloud@me.dwhovkmib.icloud.com). La verdad es que ya se la podrían haber currado un poquito...</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Otra cosa que llama la atención es que al enlace le falta un espacio "hereand", error que no es que se suela cometer en un comunicado oficial...</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Si ponemos el cursor sobre el enlace vemos que han utilizado un acortador de URL lógicamente para ocultar el enlace final y darle más credibilidad.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhK5PA_KjcJjWot2QjI2Ix8ZGnm642o0vA4T-7zLNFL7LNStKcNr-tHpGShcYYmgQoWpgynNlsJR9FN0A8m1K8wFWmkv6orkpxEgpVSGGEa-Ljm8lvg3WD5avlQ25i9jzVXtlJNCOQsQWAa/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="33" data-original-width="168" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhK5PA_KjcJjWot2QjI2Ix8ZGnm642o0vA4T-7zLNFL7LNStKcNr-tHpGShcYYmgQoWpgynNlsJR9FN0A8m1K8wFWmkv6orkpxEgpVSGGEa-Ljm8lvg3WD5avlQ25i9jzVXtlJNCOQsQWAa/s1600/2.png" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: left;">
</div>
<br />
<br />
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Bien, pues veamos que nos dicen los servicios online unshorten. El primero de ellos se queda bloqueado, directamente no puede mostrar la siguiente redirección.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXwINuTLJdbAReGluUDY6FoM906R-kX_DUTHaLPS2ntjWkXHgheIO-YajEKmmKBLmyTyoA8_uk96ofIOr1pRbMFSku8XIvBm2AzPnO7oZHk7bdDHO9NieOHJ72NYE9GtbD18NvDlz2lDh7/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="750" data-original-width="1600" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXwINuTLJdbAReGluUDY6FoM906R-kX_DUTHaLPS2ntjWkXHgheIO-YajEKmmKBLmyTyoA8_uk96ofIOr1pRbMFSku8XIvBm2AzPnO7oZHk7bdDHO9NieOHJ72NYE9GtbD18NvDlz2lDh7/s320/3.png" width="320" /> </a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
No pasa nada, probemos otro.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhARBavImhEZufrd0rPQA9pxXBfx-KSsYz1dhF4lh_C9_7o55xx6Qb2AlVJBxmHH7Yp3DEbtucKA-6r0AnjVte7HFmGwpyw-EFJvXvWtPafCZVrNfMqs57R0GqLR-HNpKOELEb66oFj_yZF/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="687" data-original-width="1600" height="137" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhARBavImhEZufrd0rPQA9pxXBfx-KSsYz1dhF4lh_C9_7o55xx6Qb2AlVJBxmHH7Yp3DEbtucKA-6r0AnjVte7HFmGwpyw-EFJvXvWtPafCZVrNfMqs57R0GqLR-HNpKOELEb66oFj_yZF/s320/4.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Bien! Este parece que sí logra identificar la redirección la cual contiene un aspecto de lo más "curioso". Bueno, pues ahora vamos a hacer uso de otros 2 servicios, el primero URLQUERY para identificar el aspecto y el contenido de la web entre otras cosas. El segundo, virustotal por si alguien ya lo ha escaneado anteriormente.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
En cuanto al primer servicio, vemos por la captura de pantalla que parece una web que suplanta la página de login de Apple ID ¿no?. Además ya están saltando alertas indicando que pasa a través de un servicio DynDNS y contiene código javascript ofuscado.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJ4-OxR3hyUgyBe5HipeLiJX9EOCBQcLgAafhNnYMDW-ZRE9RwvU-AVQVbwV7-A6kvjfPMHB_tpru2ioqj021DuFyIGGkjbkV1WUXD8ZLoDccABG1hv95ulnAMlmGYlJLB0VbwCz2OJTlf/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="758" data-original-width="1600" height="151" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJ4-OxR3hyUgyBe5HipeLiJX9EOCBQcLgAafhNnYMDW-ZRE9RwvU-AVQVbwV7-A6kvjfPMHB_tpru2ioqj021DuFyIGGkjbkV1WUXD8ZLoDccABG1hv95ulnAMlmGYlJLB0VbwCz2OJTlf/s320/7.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Aparte, podemos ver que desde este servidor se sirven o se han servido otras webs maliciosas desde las que se podía descargar malware y también han existido otras páginas phishing.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgcsBEAQc1L96z18Y78clWWh7cHNxBUI7_a4wls9lyU8CnqY8m1ZJL19CO_p5Jy8s1W7X8dXGvMTDGeddObGbH-Kcf2-uSQ45cZXIbGlTIGK_LdSi8i8yoqmoxnpSK0gOVpGBjJtkyuxXBO/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="758" data-original-width="1600" height="151" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgcsBEAQc1L96z18Y78clWWh7cHNxBUI7_a4wls9lyU8CnqY8m1ZJL19CO_p5Jy8s1W7X8dXGvMTDGeddObGbH-Kcf2-uSQ45cZXIbGlTIGK_LdSi8i8yoqmoxnpSK0gOVpGBjJtkyuxXBO/s320/7.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjg7sKwaT0fmbkq6dQGCcpbEwJiIUooKlNp9OLxXHM3cwkxNsGNWFNLEUWt2a71XxybwsoqVJhZyTpxNiVmTAABHuBJzBVdXkMdC96S3e6waIcevfRJnIwmL7zR7MEYQSLcaVGxyanugt9a/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="686" data-original-width="1600" height="137" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjg7sKwaT0fmbkq6dQGCcpbEwJiIUooKlNp9OLxXHM3cwkxNsGNWFNLEUWt2a71XxybwsoqVJhZyTpxNiVmTAABHuBJzBVdXkMdC96S3e6waIcevfRJnIwmL7zR7MEYQSLcaVGxyanugt9a/s320/8.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYWjdDMvjDK1iBLDCvf_k1ThfWd8rid-iwz1VlI6ajg6FKqfV-aqFl_WvJf_aENvGL0F_Zuva58VSJQga5Ox8RteOmlu5e94u0EZN_JadD3SicVcIZmDwlYknwwDl7iZpM4SaAYUXHHli8/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="684" data-original-width="1600" height="136" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYWjdDMvjDK1iBLDCvf_k1ThfWd8rid-iwz1VlI6ajg6FKqfV-aqFl_WvJf_aENvGL0F_Zuva58VSJQga5Ox8RteOmlu5e94u0EZN_JadD3SicVcIZmDwlYknwwDl7iZpM4SaAYUXHHli8/s320/9.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZpTHeZng-OYn62OrGP8Rv9yS8bcAW1XxMG4b8S8xwFX6Ptsc3NNDHBRueLdhhNbZQoDsJ1YKfaLVssW4u-N8PE1eswufkx97NRLTXPMZFYhOy7dcgYaLdQkaAoZuJGnX7UKgOvK6yRVDC/s1600/10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="687" data-original-width="1600" height="137" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZpTHeZng-OYn62OrGP8Rv9yS8bcAW1XxMG4b8S8xwFX6Ptsc3NNDHBRueLdhhNbZQoDsJ1YKfaLVssW4u-N8PE1eswufkx97NRLTXPMZFYhOy7dcgYaLdQkaAoZuJGnX7UKgOvK6yRVDC/s320/10.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhGjij5iwkdKzblhMIfEnEgwbd-9ucIf1spvsmpSfyC-eU-VBId6Kd-SA-W4JrfDYuXim3VUaCWe6-yRGmCOmNGtYRZ92yS_sJfsAl3DS326mCvS9LpDhshAvDJY0mwlvg97f-LEnHaFQ2j/s1600/11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="757" data-original-width="1600" height="151" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhGjij5iwkdKzblhMIfEnEgwbd-9ucIf1spvsmpSfyC-eU-VBId6Kd-SA-W4JrfDYuXim3VUaCWe6-yRGmCOmNGtYRZ92yS_sJfsAl3DS326mCvS9LpDhshAvDJY0mwlvg97f-LEnHaFQ2j/s320/11.png" width="320" /></a></div>
<br />
<br />
<div style="text-align: center;">
<span style="font-size: x-small;"><span style="color: lime;">https://urlquery.net/report/ae94a7d8-e2c3-4118-8f43-721b2af45e25</span></span></div>
<br />
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br />
<div class="separator" style="clear: both; text-align: left;">
Parece que VirusTotal lo ve todo correcto...</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjaOmEX0GAs1kFjoIJlJLMFyNpjbPzDE9BeBqjbvUD0qxP5kzOKaCkGVYtn21rjo5VwICU_1ekVAYsabnpAatVHCCxdZwME41J2xdkNOA2NcykxKf3LmNUWddV20QUSjX2nNFGFYkiCqTSS/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="760" data-original-width="1600" height="151" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjaOmEX0GAs1kFjoIJlJLMFyNpjbPzDE9BeBqjbvUD0qxP5kzOKaCkGVYtn21rjo5VwICU_1ekVAYsabnpAatVHCCxdZwME41J2xdkNOA2NcykxKf3LmNUWddV20QUSjX2nNFGFYkiCqTSS/s320/6.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
</div>
<div style="text-align: center;">
<span style="color: lime;"><span style="font-size: x-small;">https://www.virustotal.com/es/url/405a0b5866c50a7afc227368320f9a1a570ac91cf23b107727a3296e92caba47/analysis/1529009164/</span></span></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
También podemos realizar una consulta Whois para saber que se está sirviendo esta web desde un servicio DynDNS, en este caso el servicio es No-IP.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh48sF0ox0sR8gERxidnR_ZPnzld2EJI9aumoW-_pt_WEmlOOPqBpT32j0d2LNebAqPtFJzo_dBDv2xcF9S1pXn9CAWSkuGjNBO4RMaUurHKrHi-mgaRBEPyStvH8twOX3EIiXFWimiyH2K/s1600/35.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="867" data-original-width="1600" height="173" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh48sF0ox0sR8gERxidnR_ZPnzld2EJI9aumoW-_pt_WEmlOOPqBpT32j0d2LNebAqPtFJzo_dBDv2xcF9S1pXn9CAWSkuGjNBO4RMaUurHKrHi-mgaRBEPyStvH8twOX3EIiXFWimiyH2K/s320/35.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: large;"><b><br /></b></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: large;"><b>Cómo funciona</b></span></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Bien, llegados a este punto toca ver qué es lo que hace. Lo primero es navegar a la URL a la que nos redirige el acortador (https://ecror-challegae.servequake.com/?unc). Lo primero que realiza es asignarnos un ID de sesión.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvAaR0YsYG19QOHW60kvLX4OCozO0dbg0D9QO4K6gP51mad9RI9Uu-TZHezzsvb1azWlwyF8j-hUROhtj0_aZncQd8CIK8fqDDbj6Cz9jh5FWKMUCB7q5IVzc17zt2VAu5ddVQHIV1Ht-y/s1600/12.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="458" data-original-width="1009" height="145" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvAaR0YsYG19QOHW60kvLX4OCozO0dbg0D9QO4K6gP51mad9RI9Uu-TZHezzsvb1azWlwyF8j-hUROhtj0_aZncQd8CIK8fqDDbj6Cz9jh5FWKMUCB7q5IVzc17zt2VAu5ddVQHIV1Ht-y/s320/12.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjoDbR6ER106oLaiclsI4euzHWDNZs-_eUaRPaGjDnSkP01srdE0Z81rqE0PvPuUgjpOf7MqJDPVjBZhH7WbBEkFvlIxfGmLYpyRENxfL-gEgFvAr4QvyU_ne-XihTun53UZ6RLZwhmuL_r/s1600/13.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="368" data-original-width="1050" height="112" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjoDbR6ER106oLaiclsI4euzHWDNZs-_eUaRPaGjDnSkP01srdE0Z81rqE0PvPuUgjpOf7MqJDPVjBZhH7WbBEkFvlIxfGmLYpyRENxfL-gEgFvAr4QvyU_ne-XihTun53UZ6RLZwhmuL_r/s320/13.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLSLgTykl_HXTaL3bPRXtUvA2GrrvDSarnvi70mruPOeYOqx3WQMSYyyNY15F4sX9QYjxBKLBmnRO6guMj12UBmEmfNwtck0DKSFVpP9XyPHO7Axyf7g5l0SS55CXdLzmQqB6-c5CNDYvL/s1600/14.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="403" data-original-width="1204" height="107" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLSLgTykl_HXTaL3bPRXtUvA2GrrvDSarnvi70mruPOeYOqx3WQMSYyyNY15F4sX9QYjxBKLBmnRO6guMj12UBmEmfNwtck0DKSFVpP9XyPHO7Axyf7g5l0SS55CXdLzmQqB6-c5CNDYvL/s320/14.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjta7NepYQaspOz6l_cjEWb0dCDXUYzelX-gQTTs2yAUb9Aotc0IaOsPwRvtLAUc4jBa8IXlzFFDn92gaSIjAkv9A69fB3VU9Vh8DqdUuSvd660iLX4-F_fv7lTd8SrGVofUKgWq1HyWnae/s1600/15.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="715" data-original-width="1600" height="142" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjta7NepYQaspOz6l_cjEWb0dCDXUYzelX-gQTTs2yAUb9Aotc0IaOsPwRvtLAUc4jBa8IXlzFFDn92gaSIjAkv9A69fB3VU9Vh8DqdUuSvd660iLX4-F_fv7lTd8SrGVofUKgWq1HyWnae/s320/15.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjEHckfixLVjE5a7UyQmKP9COFZRGGoWFPPlFwS8QHUWMzTpgw4Hbcr4sMT8umvBhRKLAtDj-6tnByKFPH9wQCyFAsnaduMSfD86wd7lkCGjjeXuzkEjRU-0efzYvr1oryRRm4PPXhuw4a/s1600/16.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="750" data-original-width="1600" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjEHckfixLVjE5a7UyQmKP9COFZRGGoWFPPlFwS8QHUWMzTpgw4Hbcr4sMT8umvBhRKLAtDj-6tnByKFPH9wQCyFAsnaduMSfD86wd7lkCGjjeXuzkEjRU-0efzYvr1oryRRm4PPXhuw4a/s320/16.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<br />
Pasado un tiempo, ese ID caduca, por lo que si queremos entrar de nuevo debemos hacerlo desde el enlace anterior para que nos asigne un nuevo identificador.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMr4gCCsN5GHHk1nHK-W-AI5zB4lRzt0TSmasPtXuRH6oNtULYgAEi5dsFD832yC21ZJok9EJ9MtdVaOQ5bWTzlaAZBbpTost5UQw7wUu389dBoEU2DZtNPYbwpxAC9pcIIK3pnEQdQYGJ/s1600/18.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="682" data-original-width="1600" height="136" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMr4gCCsN5GHHk1nHK-W-AI5zB4lRzt0TSmasPtXuRH6oNtULYgAEi5dsFD832yC21ZJok9EJ9MtdVaOQ5bWTzlaAZBbpTost5UQw7wUu389dBoEU2DZtNPYbwpxAC9pcIIK3pnEQdQYGJ/s320/18.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Muy bien, supongamos que somos un usuario despistado y hemos picado, veamos qué datos se nos solicita. Como podéis ver, mediante javascript va comprobando en cada uno de los campos si el dato introducido se corresponde con el que debería ser, es decir, si debe ir en ese campo una dirección de correo, debe tener el formato de correo electrónico o nos saldrá un aviso y no nos permitirá seguir. </div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2Ll9A-WpIgtO_HoFAKEYWFrVNmEYoRjaWfyee-CoJhWlVSSKJsSD-BCOzymBcvRjs4jKlOoa0baTzira-Fgt1LQglIvp8hjA3jYLghDv_93Rt-4bmSZZVL90-2ZAbpsFLSWJKQwkcVtam/s1600/19.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="700" data-original-width="1600" height="139" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2Ll9A-WpIgtO_HoFAKEYWFrVNmEYoRjaWfyee-CoJhWlVSSKJsSD-BCOzymBcvRjs4jKlOoa0baTzira-Fgt1LQglIvp8hjA3jYLghDv_93Rt-4bmSZZVL90-2ZAbpsFLSWJKQwkcVtam/s320/19.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZ4JSwk9J0qeQ-dI9CwFQ_mUxMILoGCcnaLkeUtYkocDEl7eQqBBVsjdays7RMuy-EbJUmdu-QksipMvoLY81NUm2AzFVVbYpBacNTFckja9mIc7_XTc9czltL2dC98cnui3VkwpB8HqS2/s1600/20.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="412" data-original-width="640" height="206" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZ4JSwk9J0qeQ-dI9CwFQ_mUxMILoGCcnaLkeUtYkocDEl7eQqBBVsjdays7RMuy-EbJUmdu-QksipMvoLY81NUm2AzFVVbYpBacNTFckja9mIc7_XTc9czltL2dC98cnui3VkwpB8HqS2/s320/20.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgThb20A-QcGjZHBgdi6m2eLy5CxQjNCWPHER0o1g240Qn9rVdVq1psegVegRSHaiMHeLOpXfWNynX_MaI4ayD5LW3vDsPtFdtt4pS4TarrG-w5Mg7NNVea7PfLtXBYQ0UMXHfo1tt9WVO5/s1600/21.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="449" data-original-width="1535" height="93" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgThb20A-QcGjZHBgdi6m2eLy5CxQjNCWPHER0o1g240Qn9rVdVq1psegVegRSHaiMHeLOpXfWNynX_MaI4ayD5LW3vDsPtFdtt4pS4TarrG-w5Mg7NNVea7PfLtXBYQ0UMXHfo1tt9WVO5/s320/21.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhl2Y1Oznq2suyTCeq4qVi-UnQCeI56zmnDJEZv0OeHzXm6CDtEmwPhfhi1uYy3ozaKiBEo4GHhWC5mz29rkNomAAbkFkc6xnCHAB-PA8XS4Pt5_55knSHLQIzWZ5bBszH5i1bmynhjR1_a/s1600/22.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="349" data-original-width="605" height="184" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhl2Y1Oznq2suyTCeq4qVi-UnQCeI56zmnDJEZv0OeHzXm6CDtEmwPhfhi1uYy3ozaKiBEo4GHhWC5mz29rkNomAAbkFkc6xnCHAB-PA8XS4Pt5_55knSHLQIzWZ5bBszH5i1bmynhjR1_a/s320/22.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4GE2CyoW5gLwI7K24QGJUZCItqCNIRHoFfXELfrbbnjQzif1kBJrC4-2ncI-EBWder-HTRZOfLEHMsbUzMNAnbpILtwn_kwXoBJSoNloW4TvQP8E7JtHqjdWVrlvLBl7hsFlWbRnEaAE-/s1600/23.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="703" data-original-width="1600" height="140" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4GE2CyoW5gLwI7K24QGJUZCItqCNIRHoFfXELfrbbnjQzif1kBJrC4-2ncI-EBWder-HTRZOfLEHMsbUzMNAnbpILtwn_kwXoBJSoNloW4TvQP8E7JtHqjdWVrlvLBl7hsFlWbRnEaAE-/s320/23.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
Vaya, parece que nuestra cuenta ha sido bloqueada por una transacción sospechosa, aquí tiene pinta de que lo que buscan es dinerito... veamos que pasa al pinchar sobre "Desbloquear Cuenta".<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhom6_WWC71Geai0bwBEPzgH-vpGIUS_XQvp8cZdKhrJX4617H5ICTDncheceCJ3DOl-8bnqnra03VoYzfXV9Jl_LvI-o6fu6kFuJYlWUb4tRJRtKyK4r1uWUeAsxkY-BvF2khAT8id4gGM/s1600/24.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="325" data-original-width="1600" height="65" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhom6_WWC71Geai0bwBEPzgH-vpGIUS_XQvp8cZdKhrJX4617H5ICTDncheceCJ3DOl-8bnqnra03VoYzfXV9Jl_LvI-o6fu6kFuJYlWUb4tRJRtKyK4r1uWUeAsxkY-BvF2khAT8id4gGM/s320/24.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj2GW-qV2iaJwcK1zy0kLZyWiDQ_2TqpOhwkel7PLjuvQXRvLdmIm-Sq-mMLipckAzODY6IHdhyphenhyphenef3zmR0b23IptEtyuyBonM0YeJpkWp51fh_0jxdUoELQNhZOeoLTM-Ky9V3yyUU3bx9/s1600/25.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="749" data-original-width="1600" height="149" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj2GW-qV2iaJwcK1zy0kLZyWiDQ_2TqpOhwkel7PLjuvQXRvLdmIm-Sq-mMLipckAzODY6IHdhyphenhyphenef3zmR0b23IptEtyuyBonM0YeJpkWp51fh_0jxdUoELQNhZOeoLTM-Ky9V3yyUU3bx9/s320/25.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMFOdPKfPSjCM4-y2edoVAam92ADaEBCbwBWSWT3-5AL7Mvt4mlaoVLv1Crz1lwUvWF6xnqMeN52Pn8SPVg_20L7utB0v8CC9lnlSpd6y1sqDrp0hvIqaWPVIjkatH7eXIGNralsH32Xjj/s1600/26.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="729" data-original-width="1600" height="145" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMFOdPKfPSjCM4-y2edoVAam92ADaEBCbwBWSWT3-5AL7Mvt4mlaoVLv1Crz1lwUvWF6xnqMeN52Pn8SPVg_20L7utB0v8CC9lnlSpd6y1sqDrp0hvIqaWPVIjkatH7eXIGNralsH32Xjj/s320/26.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br />
Guau! estabamos en lo cierto!. Solicitan todo tipo de información para <span data-dobid="hdw">desvalijar</span> tu tarjeta, desde nombre completo y número de teléfono hasta los datos de tu tarjeta con la pregunta de seguridad.<br />
<br />
Ojo! que no se nos olvide poner bien el número de tarjeta de crédito que también nos saltará el aviso de que el formato de número introducido no es correcto. Sin duda "Apple" está haciendo bien su trabajo xD.<br />
<br />
Veamos si conseguimos desbloquear nuestra cuenta.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHFKQnQJyWcf2pqiaRcshm_WexZjBLTE9OqnHgBCCCS1qr3d87e0tRyLj_Gr8pUNEwpPdPfwSbIDkBIjX9zah_9eS14jET7KKxvQt4BkllVv_q8YYkReSj2Bcbt9LulW0t59tvoigJvZpb/s1600/27.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="365" data-original-width="1600" height="72" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHFKQnQJyWcf2pqiaRcshm_WexZjBLTE9OqnHgBCCCS1qr3d87e0tRyLj_Gr8pUNEwpPdPfwSbIDkBIjX9zah_9eS14jET7KKxvQt4BkllVv_q8YYkReSj2Bcbt9LulW0t59tvoigJvZpb/s320/27.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLEAiN9rDhFSEWUBjqX3sKnMT9wgRY4FNt0MGJkgJLiKVkJx4j71Gs46gldNkaFcrcqm2PGGNdO8Dq1pxTtSDXCWatw9blCwCqxu3zMcBfqZNZHA0VHOUQPWuB398ttgiACFBWJCUI68Ee/s1600/28.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="754" data-original-width="1600" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLEAiN9rDhFSEWUBjqX3sKnMT9wgRY4FNt0MGJkgJLiKVkJx4j71Gs46gldNkaFcrcqm2PGGNdO8Dq1pxTtSDXCWatw9blCwCqxu3zMcBfqZNZHA0VHOUQPWuB398ttgiACFBWJCUI68Ee/s320/28.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWBdXTUtcyEvC1KiD2KLI42Sv20jaG8mL3ZOPOThyir70rhUluY4HtVZRhpD3ddo_8sYmMv9EtObAIF461IGdjS1vccndeDzlaHdhFRiflKPGniETGgwkWJ6YTC530X-hSyUv7Y45RhbpP/s1600/29.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="335" data-original-width="1383" height="77" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWBdXTUtcyEvC1KiD2KLI42Sv20jaG8mL3ZOPOThyir70rhUluY4HtVZRhpD3ddo_8sYmMv9EtObAIF461IGdjS1vccndeDzlaHdhFRiflKPGniETGgwkWJ6YTC530X-hSyUv7Y45RhbpP/s320/29.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhohbYWU0tITbruGrbVN7SFp80EFANZ9VP7LakfErqJ2eZdsYouZju7mKesfs3LwRo1uc2tqB4W1jDKXyaWi3hEr4A5vy0VIgGAcFDd7Q-oc7476JPcO0uxuzr6OktUIS7M_WSw6mnssoOS/s1600/30.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="370" data-original-width="1600" height="74" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhohbYWU0tITbruGrbVN7SFp80EFANZ9VP7LakfErqJ2eZdsYouZju7mKesfs3LwRo1uc2tqB4W1jDKXyaWi3hEr4A5vy0VIgGAcFDd7Q-oc7476JPcO0uxuzr6OktUIS7M_WSw6mnssoOS/s320/30.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPIKqrku3GwNWfXiQIULFHpcKat-cvpH6fUFmAc_BlMW9kf8IFi3bwwF-NsNZEOmn7Jm-7Qx1xv3Mj6AVBsNnKuaAQQ5zmSiiQb93vAPpj4Cef3_X6CDwmr9gxlMSSicciMXyTTj-hmB0Q/s1600/31.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="375" data-original-width="1600" height="74" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPIKqrku3GwNWfXiQIULFHpcKat-cvpH6fUFmAc_BlMW9kf8IFi3bwwF-NsNZEOmn7Jm-7Qx1xv3Mj6AVBsNnKuaAQQ5zmSiiQb93vAPpj4Cef3_X6CDwmr9gxlMSSicciMXyTTj-hmB0Q/s320/31.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEis9HdmbqwiKj_vPIfns0yERvLzoG7bi2ndMWGWIhOTXmNG6XT_HPrvnr-pjcCyHeBkE34O3qvB_vzoJlZqVNykFrzoKcbLNM9DTSxIL9opVhiqZS_3ACRjNsSyr6gqE2iggC_T809MuY7Q/s1600/32.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="351" data-original-width="1600" height="70" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEis9HdmbqwiKj_vPIfns0yERvLzoG7bi2ndMWGWIhOTXmNG6XT_HPrvnr-pjcCyHeBkE34O3qvB_vzoJlZqVNykFrzoKcbLNM9DTSxIL9opVhiqZS_3ACRjNsSyr6gqE2iggC_T809MuY7Q/s320/32.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijEHwW0fF8KoIRQQqpjjiwYP_5hZ0eF6KEwqz_hgWMmGwTFc9DTO_9FTtyW8NGImRqQAW9ztnZoSf4hR4Y9bjxNUUh0JdChL9iSiM2k08uZuPbUJzVVMsezuCaa4m6Mz9T68VMMslZNkIc/s1600/33.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="360" data-original-width="1600" height="71" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijEHwW0fF8KoIRQQqpjjiwYP_5hZ0eF6KEwqz_hgWMmGwTFc9DTO_9FTtyW8NGImRqQAW9ztnZoSf4hR4Y9bjxNUUh0JdChL9iSiM2k08uZuPbUJzVVMsezuCaa4m6Mz9T68VMMslZNkIc/s320/33.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLuGI8O0rZjQrYEixzXbpKXA-g5bZCCjUQk88a8IvMBhwmznhvJSwCp4woSZVAGg4XJ5pK6W9-ndR60l5I2-63hz9wbxUfjXWmIdYzTaLpu9foaa-5N1IXnA1HrEhamCr6Qe1iN4eNRNwe/s1600/34.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="686" data-original-width="1600" height="137" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLuGI8O0rZjQrYEixzXbpKXA-g5bZCCjUQk88a8IvMBhwmznhvJSwCp4woSZVAGg4XJ5pK6W9-ndR60l5I2-63hz9wbxUfjXWmIdYzTaLpu9foaa-5N1IXnA1HrEhamCr6Qe1iN4eNRNwe/s320/34.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br />
Bien! ahora ya podemos entrar en nuestra cuenta con total seguridad, qué majos.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUh94W2vHbW6Qht3X58kDqU2IC3Fru4xtiJ6H9ktNhhufIqPZXyOlZT-arFr1mf7vJABm2RfwQb_bv5NpA-1UkiUVna1P-eAD0lD9obX8ILwGw41XVhrxSl_G2BcABCKDd7pACqau9eoGv/s1600/1267-facepalm-d.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="392" data-original-width="500" height="250" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUh94W2vHbW6Qht3X58kDqU2IC3Fru4xtiJ6H9ktNhhufIqPZXyOlZT-arFr1mf7vJABm2RfwQb_bv5NpA-1UkiUVna1P-eAD0lD9obX8ILwGw41XVhrxSl_G2BcABCKDd7pACqau9eoGv/s320/1267-facepalm-d.jpg" width="320" /></a></div>
<br />
<br />
Como podéis ver, en este punto ya estamos <strike>j*did*s</strike> vendidos, y para hacerlo más creible, como de costumbre, te redirigen a la página oficial para que puedas acceder con normalidad.<br />
<br />
Y esto ha sido todo, recordar concienciar bien a las personas y utilizar el sentido común. Ni Apple ni cualquier otro servicio te va a solicitar nunca que introduzcas tu tarjeta de crédito para desbloquear tu cuenta.<br />
<br />
Buen fin de semana!<br />
<br />
<br />
<br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-6723871957857563112017-05-31T03:24:00.003-07:002017-05-31T03:24:59.454-07:00PRET - The Printer Exploitation Toolkit<br />
<br />
A finales de Enero de este año, unos estudiantes de la universidad Ruhr de Bochum<i> (</i>Jens Müller, Juraj Somorovsky y Vladislav Mladenov) publicaron su tésis en la que describían ataques basados en impresoras de red (<a href="https://www.nds.rub.de/media/ei/veroeffentlichungen/2017/01/30/printer-security.pdf" target="_blank"><i>SoK: Exploiting Network Printers</i></a>)<i>, </i>además, publicaron una herramienta llamada <a href="https://github.com/RUB-NDS/PRET" target="_blank">PRET</a> con la que se realiza la explotación del lenguaje que utilizado por la mayoría de impresoras láser: PostScript, PJL y PCL.<br />
<br />
Hoy vamos a probar esta herramienta y veremos qué podemos hacer con ella.<br />
<br />
<br />
<span style="font-size: medium;"><b>¿Qué es y cómo funciona?</b></span><br />
<span style="font-size: medium;"><b> </b></span><br />
<a href="https://github.com/RUB-NDS/PRET" target="_blank">The Printer Exploitation Toolkit (PRET)</a> es una herramienta desarrollada en python que sirve para automatizar ataques a impresoras que utilizan los siguientes lenguajes: PostScript, PJL y PCL.<br />
<br />
¿Cómo funciona? Después de introducir los comandos disponibles (similares a UNIX), <span class="" id="result_box" lang="es"><span class="">PRET lo traduce a
PostScript, PJL o PCL, lo envía a la impresora, evalúa el resultado y
lo traduce de nuevo a un formato fácil de usar.</span></span><br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1jtYpBJhIgxZzKkpwBPwbL0YmiBHI_7hpB4RACtTk2ugAUJhTq7SxkHT1qHpJUyzMa_kvgcIGH_MBLUXb942Mli0_uaw7-ADLWa-1hfL12tD_hU9-6iqfNfuor9IUkdggUDKwbmPYpjin/s1600/architecture.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="533" data-original-width="1600" height="132" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1jtYpBJhIgxZzKkpwBPwbL0YmiBHI_7hpB4RACtTk2ugAUJhTq7SxkHT1qHpJUyzMa_kvgcIGH_MBLUXb942Mli0_uaw7-ADLWa-1hfL12tD_hU9-6iqfNfuor9IUkdggUDKwbmPYpjin/s400/architecture.png" width="400" /></a></div>
<br />
<br />
<span class="" id="result_box" lang="es"><span class=""></span></span><br />
<span class="" id="result_box" lang="es"><span class=""> <span class="" id="result_box" lang="es"><span class="">¿Qué ataques nos permite realizar? </span></span></span></span><br />
<br />
<span class="" id="result_box" lang="es"><span class=""><span class="" id="result_box" lang="es"><span class="">- Ataques de
denegación de servicio temporales y físicos</span></span></span></span><br />
<span class="" id="result_box" lang="es"><span class=""><span class="" id="result_box" lang="es"><span class="">- Restablecimiento del
dispositivo a los valores predeterminados de fábrica</span></span></span></span><br />
<span class="" id="result_box" lang="es"><span class=""><span class="" id="result_box" lang="es"><span class="">- Manipulación y retención de
trabajos de impresión</span><span class=""> </span></span></span></span><br />
<span class="" id="result_box" lang="es"><span class=""><span class="" id="result_box" lang="es"><span class="">- Acceso a la memoria de una impresora y el sistema de archivos </span></span></span></span><br />
<span class="" id="result_box" lang="es"><span class=""><span class="" id="result_box" lang="es"><span class="">- Cracking de contraseñas.</span></span></span></span><br />
<br />
<span class="" id="result_box" lang="es"><span class=""><span class="" id="result_box" lang="es"><span class=""> </span></span></span></span><br />
<br />
<span class="" id="result_box" lang="es"><span class=""><span class="" id="result_box" lang="es"><span class=""><span style="font-size: medium;"><b>Instalación</b></span></span></span></span></span><br />
<span class="" id="result_box" lang="es"><span class=""><span class="" id="result_box" lang="es"><span class=""><span style="font-size: medium;"></span></span></span></span></span><br />
Uno de los requisitos para su uso, es tener instalado el interprete <a href="https://www.python.org/downloads/" target="_blank">Python2</a>. Una vez instalado, procedemos a instalar PRET:<br />
<div style="text-align: left;">
</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
<div>
<pre><code>pip install colorama pysnmp</code></pre>
</div>
<pre><code><code>pip install win_unicode_console</code></code></pre>
<pre><code><code><code>apt-get install imagemagick ghostscript</code></code></code></pre>
<pre><code><code><code>git clone https://github.com/RUB-NDS/PRET</code></code></code></pre>
</div>
<pre><code><code><code> </code></code></code></pre>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggDEo9dgTaiobBJHVBRZwmNNeLKqIVkX2YIUW6YD43fEnmX6rfNI1jFZ4SJ2VwdUFObKxHo0Dj_0IOOVxouSxIPdVFT__fvK_KqB8nAXitJuNpO7tpMXwRnVmT1tHZ9L8_rIkkobUzE_Pp/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="92" data-original-width="1006" height="36" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggDEo9dgTaiobBJHVBRZwmNNeLKqIVkX2YIUW6YD43fEnmX6rfNI1jFZ4SJ2VwdUFObKxHo0Dj_0IOOVxouSxIPdVFT__fvK_KqB8nAXitJuNpO7tpMXwRnVmT1tHZ9L8_rIkkobUzE_Pp/s400/1.png" width="400" /></a></div>
<pre><code><code><code> </code></code></code></pre>
<pre><code><code><code> </code></code></code></pre>
<span style="font-size: medium;"><b>Uso</b></span><br />
<br />
<div class="separator" style="clear: both; text-align: left;">
Como es habitual podemos obtener todos los comandos disponibles de la herramienta con el argumento -h.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUeLMYWu6qlFLKoZ1lm5edolOUgdFHnfFuvZ7unrredfDwN-cteJ7OnPursGdWe3le-m0L7QS-UHj0HVcAoMXtTq5fN4pUv9-jT1NiKvGwcrU4Vfr4effvMSy2tyhMqZkwZkON3gAKS3oJ/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="331" data-original-width="694" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUeLMYWu6qlFLKoZ1lm5edolOUgdFHnfFuvZ7unrredfDwN-cteJ7OnPursGdWe3le-m0L7QS-UHj0HVcAoMXtTq5fN4pUv9-jT1NiKvGwcrU4Vfr4effvMSy2tyhMqZkwZkON3gAKS3oJ/s400/3.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Según se puede observar, los ejemplos de uso serían los siguientes:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div style="text-align: center;">
<pre><code>./pret.py laserjet.lan ps
./pret.py /dev/usb/lp0 pjl</code></pre>
</div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: small;"><br /></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: small;">También podemos ejecutar ./pret.py y realizará una búsqueda rápida de todas las impresoras de red en nuestra subred util</span>izando la transmisión SNMP:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5UMZh1wMe5mHYaulnUpYRHLVjFjymwwxibqtlcO8frZGDlyHOzZ1_BsBvfzKr36DNaJaHX8mcmmvjtTDU1rG4GBsTNuV-ITb9UmMrkVUpxqF1ay32kwjTLrEBbjJwHFMaArqiIt1JDKP3/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="280" data-original-width="740" height="151" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5UMZh1wMe5mHYaulnUpYRHLVjFjymwwxibqtlcO8frZGDlyHOzZ1_BsBvfzKr36DNaJaHX8mcmmvjtTDU1rG4GBsTNuV-ITb9UmMrkVUpxqF1ay32kwjTLrEBbjJwHFMaArqiIt1JDKP3/s400/2.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><b>PoC</b></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><b> </b></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><span style="font-size: small;"><b> </b>Veamos un ejemplo de ataque mediante PJL en el que subiremos un inocente archivo (esta vez sí) a la unidad de disco de la impresora:</span></span></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6nfz79afxfuapLs7PpxR85sbbNINWCc-fkkF6mtpsUs5hd9fOCKuA_skFa_5GhdiE1EGnVcKuwfZ360dWDpGdWf94UtoVlqHsAr4_MClXFKNrMNgZRs1wRRpfnNjge3e6oZ25W0CXp0BV/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="473" data-original-width="644" height="293" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6nfz79afxfuapLs7PpxR85sbbNINWCc-fkkF6mtpsUs5hd9fOCKuA_skFa_5GhdiE1EGnVcKuwfZ360dWDpGdWf94UtoVlqHsAr4_MClXFKNrMNgZRs1wRRpfnNjge3e6oZ25W0CXp0BV/s400/4.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><span style="font-size: small;">Ahora veamos como enviar un documento a la impresora para que lo imprima directamente saltando así cualquier filtro, es decir, aun estando configurada la impresora mediante tarjeta de identificación o usuario y contraseña para poder imprimir. </span></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><span style="font-size: small;"> </span></span></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: small;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiICtWGQ-6NSqtvSEsDe_gEXAFxrmqVFSACp8c94CbCmxUpLLZlokHgWD_zSMafDwJD6HLPyGVk7kXM52ET15aHpMCFx6TQF1csQoDVlRNA4-raHjuFIq9enuu5i1shdH_l_Tqhvc_rM8at/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="455" data-original-width="656" height="276" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiICtWGQ-6NSqtvSEsDe_gEXAFxrmqVFSACp8c94CbCmxUpLLZlokHgWD_zSMafDwJD6HLPyGVk7kXM52ET15aHpMCFx6TQF1csQoDVlRNA4-raHjuFIq9enuu5i1shdH_l_Tqhvc_rM8at/s400/5.png" width="400" /></a></span></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<span style="font-size: small;"><br /></span><br />
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><span style="font-size: small;"> </span><b> </b></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><b> </b><span style="font-size: small;">Evidentemente sobra decir que a partir de aquí cada uno debe dejarse llevar por su imaginación ya que las posibilidades que permite esta herramienta son bastante amplias. Además, teniendo en cuenta que las impresoras de un entorno empresarial suelen pasar desapercibidas en cuanto a seguridad se refiere, éstas acaban siendo el foco de infección de muchos ataques como ya alertó </span></span><span style="font-size: medium;"><span style="font-size: small;"><a href="http://blog.elhacker.net/2016/04/hacker-imprime-cartel-neo-nazi-a-impresoras-abiertas-en-todo-el-mundo-para-demostrar-vulnerabilidad.html" target="_blank">Andrew Auernheimer</a> enviando un flyer con mensaje neo-nazi a cerca de 20.000 impresoras que estaban disponibles desde internet.</span></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><span style="font-size: small;"><br /></span></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><br /></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><br /></span></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><b><span style="font-size: xx-small;">Referencias:</span><br />
<span style="font-size: xx-small;"><a href="http://www.hackplayers.com/2017/02/pret-reventando-impresoras-al-vuelo.html" target="_blank">http://www.hackplayers.com/2017/02/pret-reventando-impresoras-al-vuelo.html</a></span><br />
<span style="font-size: xx-small;"><a href="https://github.com/RUB-NDS/PRET" target="_blank">https://github.com/RUB-NDS/PRET</a></span><br />
<span style="font-size: xx-small;"><a href="http://seclist.us/pret-printer-exploitation-toolkit.html" target="_blank">http://seclist.us/pret-printer-exploitation-toolkit.html</a></span></b></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><b><span style="font-size: xx-small;"><span style="font-size: medium;"><b><span style="font-size: xx-small;"><a href="http://blog.elhacker.net/2016/04/hacker-imprime-cartel-neo-nazi-a-impresoras-abiertas-en-todo-el-mundo-para-demostrar-vulnerabilidad.html" target="_blank">http://blog.elhacker.net/2016/04/hacker-imprime-cartel-neo-nazi-a-impresoras-abiertas-en-todo-el-mundo-para-demostrar-vulnerabilidad.html</a></span></b></span></span></b></span></div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-size: medium;"><b><span style="font-size: xx-small;"><a href="http://web-in-security.blogspot.com.es/2017/01/printer-security.html" target="_blank"><span style="font-size: medium;"><b><span style="font-size: xx-small;">http://web-in-security.blogspot.com.es/2017/01/printer-security.html </span></b></span></a> </span><br />
<br />
<span style="font-size: xx-small;"><br /></span>
<span style="font-size: xx-small;"><span style="font-size: xx-small;"> <span class="" id="result_box" lang="es"><span class="hps"><span style="font-family: inherit;"><span style="color: black;"><span style="color: white;"><span style="color: lime;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></b></span></div>
<br />
<br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-68578667396478182922015-10-24T01:29:00.001-07:002015-10-24T01:30:47.507-07:00Ingeniería Social aplicada a la búsqueda de talentos<br />
<br />
Al igual que <a href="http://computerhoy.com/noticias/internet/metodo-secreto-google-contratar-programadores-33399" target="_blank">los retos que utiliza google</a>, agencias y empresas de todos los paises utilizan videos enigmáticos con mensajes ocultos para que la gente los descifre y así poder encontrar nuevos talentos.<br />
<br />
Como este video viral que os pongo como ejemplo, básicamente buscan personas que no se dejen llevar por el miedo, y que aunque lo sientan, no se bloqueen y puedan centrarse en su objetivo (en este caso resolver el/los mensajes).<br />
<br />
La informática se puede aprender, la inteligencia y el empeño no.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/UDSfMmwNU2w/0.jpg" frameborder="0" height="266" src="https://www.youtube.com/embed/UDSfMmwNU2w?feature=player_embedded" width="320"></iframe></div>
<br />
<div style="text-align: center;">
<a href="https://youtu.be/UDSfMmwNU2w">https://youtu.be/UDSfMmwNU2w</a></div>
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-14771627709739601942015-06-14T05:17:00.000-07:002015-10-05T06:45:31.062-07:00TekDefense - Automater v2.0 (OSINT)<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEik999Jp31enAoRC7sF590kh9ldzu11UBxnu4Pl7fq5ott4f15We5o1LHJgXKj-ZzBZae4e5wgyPF4Q0dUD1dmgBOLpZ4eH18YyINPXu97muS1ffAyzfmsxV0trYueY1EaHBQBW6OpCCRwx/s1600/investigador.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEik999Jp31enAoRC7sF590kh9ldzu11UBxnu4Pl7fq5ott4f15We5o1LHJgXKj-ZzBZae4e5wgyPF4Q0dUD1dmgBOLpZ4eH18YyINPXu97muS1ffAyzfmsxV0trYueY1EaHBQBW6OpCCRwx/s1600/investigador.jpg" /></a></div>
<br />
<br />
<br />
Que Internet es una fuente de información imprescindible a día de hoy es algo que sabemos todos, aunque no todo el mundo sepa utilizar dicha información con responsabilidad.<br />
<br />
Debido a la proliferación de redes sociales, blogs, foros, wikis, medios de comunicación, papers, etc, podemos encontrar una inmensa cantidad de información de cualquier tipo, y gracias a que están disponibles de manera pública, podemos obtener información de gran valor y utilidad mediante técnicas OSINT.<br />
<br />
Pero, ¿qué es OSINT?<br />
<br />
OSINT (Open Source Intelligence), o inteligencia de fuentes abiertas, es un termino acuñado y muy empleado entre militares, fuerzas del orden y personal de inteligencia de las agencias gubernamentales que hace referencia al conocimiento recopilado a partir de fuentes de acceso público.<br />
<br />
Toda esta información puede ser utilizada para auditorías, identificación y prevención de amenazas, ataques APT, ataques Spear Phishing, etc.<br />
<br />
Hoy vamos a ver una de las herramientas que hacen uso de las técnicas OSINT llamada <a href="http://www.tekdefense.com/automater/" target="_blank">Automater</a>, de TekDefense. <br />
<br />
<br />
<span style="font-size: large;"><b>¿Qué es y para qué sirve?</b></span><br />
<br />
Automater es una herramienta OSINT destinada a hacer más fácil el proceso de ánalisis de instrusión.<br />
<br />
Dado un objetivo (URL, IP o HASH) o un archivo, Automater proporcionará resultados relevantes a partir de fuentes como las siguientes:<br />
<br />
-IPvoid.com<br />
-Robtex.com<br />
-Fortiguard.com<br />
-unshorten.me<br />
-Urlvoid.com<br />
-Labs. alienvault.com<br />
-ThreatExpert<br />
-VxVault<br />
-VirusTotal<br />
<br />
<br />
<span style="font-size: large;"><b>Instalación</b></span><br />
<br />
Lo primero que debemos hacer es clonar el repositorio:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5P58z3y03ryFJBnFLs6UHhUT0d5HDWC7VciF7eGUYbqC64eP37_RPROIMip_QFlBH305VwZPkygblFZS6WYWFa1TZfP7gXJf5_TfwYIPhZTVX6fl1M4wL-xxr-so12UO9UfNKz3AzjDGV/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="70" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5P58z3y03ryFJBnFLs6UHhUT0d5HDWC7VciF7eGUYbqC64eP37_RPROIMip_QFlBH305VwZPkygblFZS6WYWFa1TZfP7gXJf5_TfwYIPhZTVX6fl1M4wL-xxr-so12UO9UfNKz3AzjDGV/s320/1.png" width="320" /></a></div>
<br />
Ahora entraremos en la siguiente carpeta y daremos los permisos necesarios:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgB_jF0dZgTw4VbUrpx81rqGWwJ0n20RKfVpBkUiUie1bEQHSv3M3JAxgRS418VF3PqbXpVFOqWAsdIFwq9AnJoZCQKi3OSyiBx7cV9qX8Kmh0MddqUPWFn-1slky_Ww8sf9Bqqo1P2Pfq7/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="33" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgB_jF0dZgTw4VbUrpx81rqGWwJ0n20RKfVpBkUiUie1bEQHSv3M3JAxgRS418VF3PqbXpVFOqWAsdIFwq9AnJoZCQKi3OSyiBx7cV9qX8Kmh0MddqUPWFn-1slky_Ww8sf9Bqqo1P2Pfq7/s320/2.png" width="320" /></a></div>
<br />
<br />
<br />
<div style="text-align: center;">
<i>*Automater viene instalado en HoneyDrive y Kali por defecto*</i></div>
<br />
<br />
<span style="font-size: large;"><b>Uso</b></span><br />
<br />
Ahora que ya lo tenemos preparado, lo primero que deberíamos hacer es ver las opciones de las que dispone la herramienta:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2K65w_YYnQZxN7o99ilwTMFpbjTzaX29UPQavDSI8E2-QExgRtpr2gjtwFE2psl1uzH-rMyZKilF32MoC36Hh7L4-8hJqe_Ec8Cvnkg9f1VpsYAQp2YDc1JldV5aFKDk4cnpZ6WS6N6bY/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="198" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2K65w_YYnQZxN7o99ilwTMFpbjTzaX29UPQavDSI8E2-QExgRtpr2gjtwFE2psl1uzH-rMyZKilF32MoC36Hh7L4-8hJqe_Ec8Cvnkg9f1VpsYAQp2YDc1JldV5aFKDk4cnpZ6WS6N6bY/s320/3.png" width="320" /></a></div>
<br />
<br />
<br />
<span style="font-size: large;"><b>PoC</b></span><br />
<br />
Busqueda por IP:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrmrZU7ulV6n4a5VJ9Om9A-rdWLrgJ_WP6utATZbirOve25VSoLhH3JixkI4pz3It8EpavBfY8hpio6sOTMqLNP2VapoQ3CRy2rFz6ZrjelUjHVRuiLFZYYRHu9JPdZuEes074kI9_wNuQ/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="44" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrmrZU7ulV6n4a5VJ9Om9A-rdWLrgJ_WP6utATZbirOve25VSoLhH3JixkI4pz3It8EpavBfY8hpio6sOTMqLNP2VapoQ3CRy2rFz6ZrjelUjHVRuiLFZYYRHu9JPdZuEes074kI9_wNuQ/s320/5.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgijKZOYGsmjLkNpV979WMMy18eUDQNkxaEFghKSkjsIl81hSrOgjCzRYzgU5hGOiy8qEm0NbxH7M2Oin1-HWUA2WS7jP_R4QEq6B1LTmXcN_6b4yKhiIXZi1qeI3OHLbWdztChGKsbI3Ho/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="188" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgijKZOYGsmjLkNpV979WMMy18eUDQNkxaEFghKSkjsIl81hSrOgjCzRYzgU5hGOiy8qEm0NbxH7M2Oin1-HWUA2WS7jP_R4QEq6B1LTmXcN_6b4yKhiIXZi1qeI3OHLbWdztChGKsbI3Ho/s320/6.png" width="320" /></a></div>
<br />
<br />
<br />
<br />
Búsqueda por Hash:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEOM0Zx3hmEdmejICHvR9gwzWlySGpY-udJRyRdoSuS1mE0NMn5SFz9VYipVGfRoh2GDEZOUVEDVHZSKHOm86nNNaxyIFut7wVrhO3J8S-kkdgP15kuhvzGaNLuNgxfQx6Tz804KYxdswJ/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="136" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEOM0Zx3hmEdmejICHvR9gwzWlySGpY-udJRyRdoSuS1mE0NMn5SFz9VYipVGfRoh2GDEZOUVEDVHZSKHOm86nNNaxyIFut7wVrhO3J8S-kkdgP15kuhvzGaNLuNgxfQx6Tz804KYxdswJ/s320/7.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMk5Dpzvt5axfGa7nArdryF74VYE5_jXy24ptUQyxS42_j_vt7kkalkoPUkR8RH5_astFlroXHQyKugxeSLXUYYYG4JwvshicCDnHEh3jPdwGs1mxiL31raAggR8exd6qT2yxLKGhn6kQg/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="191" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMk5Dpzvt5axfGa7nArdryF74VYE5_jXy24ptUQyxS42_j_vt7kkalkoPUkR8RH5_astFlroXHQyKugxeSLXUYYYG4JwvshicCDnHEh3jPdwGs1mxiL31raAggR8exd6qT2yxLKGhn6kQg/s320/8.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKAiyQ6AeQuZ_C107SL1buouy7y0xo5mLcyeve0rp0EVgYqhZNlRiKy8FRFXzSyDPcBSFkviMw0_njx-pmytPJ9bjuPrAYBjYsDY1xLHV3NuO9lUjLbGuHsLW3hzTE8LjFoyjqVjCH073J/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="78" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKAiyQ6AeQuZ_C107SL1buouy7y0xo5mLcyeve0rp0EVgYqhZNlRiKy8FRFXzSyDPcBSFkviMw0_njx-pmytPJ9bjuPrAYBjYsDY1xLHV3NuO9lUjLbGuHsLW3hzTE8LjFoyjqVjCH073J/s320/9.png" width="320" /></a></div>
<br />
<br />
<br />
<br />
<br />
Como se puede observar, esta herramienta nos puede ayudar bastante a la hora de realizar un análisis de intrusión y saber ante qué nos enfrentamos.<br />
<br />
<br />
Saludos.<br />
<br />
<br />
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<span style="font-size: x-small;"><a href="http://papelesdeinteligencia.com/que-son-fuentes-de-informacion-osint/">http://papelesdeinteligencia.com/que-son-fuentes-de-informacion-osint/</a></span><br />
<span style="font-size: x-small;"><a href="https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/osint_la_informacion_es_poder">https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/osint_la_informacion_es_poder</a></span><br />
<span style="font-size: x-small;"><a href="http://www.tekdefense.com/automater/" target="_blank">http://www.tekdefense.com/automater/ </a></span><br />
<br />
<span style="font-size: x-small;"><br /></span>
<span style="font-size: xx-small;"><span style="font-size: x-small;"> <span class="" id="result_box" lang="es"><span class="hps"><span style="font-family: inherit;"><span style="color: black;"><span style="color: white;"><span style="color: lime;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span> </span><br />
<br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-14642663574673810532015-04-15T11:56:00.000-07:002015-04-20T12:50:35.308-07:000-Day SMB Redirect (PoC)<br />
Se ha publicado una nueva <a href="http://www.kb.cert.org/vuls/id/672268">vulnerabilidad</a> en el protocolo SMB que afecta a todas las versiones de Windows.<br />
<br />
Dicha vulnerabilidad permite el robo de credenciales mediante un ataque ARP Poisoning.<br />
<br />
Como bien indican desde <a href="http://www.estacion-informatica.com/2015/04/nueva-vulnerabilidad-smb-afecta-todas.html">estacion-informatica</a>, la solución que hay disponible en este momento es bloquear el tráfico saliente por los puertos TCP 139 & 445.<br />
<br />
Sin más, os dejo con la prueba de concepto (<a href="http://es.wikipedia.org/wiki/Prueba_de_concepto">PoC</a>):<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/QNE6T91XZfk/0.jpg" frameborder="0" height="566" src="http://www.youtube.com/embed/QNE6T91XZfk?feature=player_embedded" width="620"></iframe></div>
<div style="text-align: center;">
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span></div>
systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-33716550275308707952015-03-30T09:29:00.001-07:002015-03-30T09:30:28.252-07:00Cyber Security - Evolved<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/_1ni_tjjVDQ/0.jpg" frameborder="0" height="566" src="http://www.youtube.com/embed/_1ni_tjjVDQ?feature=player_embedded" width="620"></iframe></div>
systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-35593215824212031682014-09-15T13:26:00.001-07:002014-09-15T13:26:26.338-07:00Evasion de Antivirus - SignTool<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhOddY4jMKMPufBWZbcGyO7XMk3X7Y13eZBb9pJ7hO9Svo8Jk1YYyYklqggp_M_9ab0QSOmuVJEn5voFb_95f2n2g5TrlQsy-0BHHyXRLQm3hSLqzZi0FvL5gKkw_xkEcBNvD1UZLZeAraS/s1600/candado.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhOddY4jMKMPufBWZbcGyO7XMk3X7Y13eZBb9pJ7hO9Svo8Jk1YYyYklqggp_M_9ab0QSOmuVJEn5voFb_95f2n2g5TrlQsy-0BHHyXRLQm3hSLqzZi0FvL5gKkw_xkEcBNvD1UZLZeAraS/s1600/candado.jpg" /></a></div>
<br />
Tal y como les prometí en <a href="http://systemexposed.blogspot.com.es/2014/08/evasion-de-antivirus-osslsigncode.html">la entrada anterior</a>, hoy vamos a ver una herramienta con la que podamos firmar ejecutables desde Windows.<br />
<br />
Dicha herramienta se llama <i><a href="http://msdn.microsoft.com/es-es/library/8s9b9yaz%28v=vs.110%29.aspx">SignTool</a></i> y viene incorporada en la <a href="http://www.microsoft.com/en-us/download/details.aspx?id=8279">SDK</a> de Windows.<br />
<br />
La podremos descargar desde MSDN, pero para obtenerla debemos descargar todo el paquete SDK.<br />
<br />
<div style="text-align: center;">
<span style="color: lime;"><span style="background-color: black;">http://www.microsoft.com/en-us/download/details.aspx?id=8279</span></span></div>
<br />
<br />
<br />
<b><span style="font-size: x-large;">Instalación</span></b><br />
<br />
Lo primero que haremos será descargar el paquete SDK desde el enlace anterior.<br />
<br />
Una vez descargado y ejecutado deberemos seguir el Wizard para dejarlo instalado:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiynSLqnydg4GhPyjVjKLN0p3H1ov4x74aUYhk3GO_tEm50JD1XKzfizgg_nPx-afClgM1JEgW3Dpi_cVtS00SXe2aD-Gqv6Cky9BhnSMiv9T2DDZpaLco0TP7WUKTE_hhtvK1wsDddDvQ/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiynSLqnydg4GhPyjVjKLN0p3H1ov4x74aUYhk3GO_tEm50JD1XKzfizgg_nPx-afClgM1JEgW3Dpi_cVtS00SXe2aD-Gqv6Cky9BhnSMiv9T2DDZpaLco0TP7WUKTE_hhtvK1wsDddDvQ/s1600/1.png" height="224" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9JBzjVc23khNCMZCSG16gjS_M1_PLv1qRQPGaauh1itXWtt2jHF8ge8OOcx5J1iyeWCItY1DL4zCJ_M7FyzfPTaL3nLSPNs1gyFCC3M4i1l7cJi3qHtzd1W2LFrimUjYfIReET79WBx2l/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9JBzjVc23khNCMZCSG16gjS_M1_PLv1qRQPGaauh1itXWtt2jHF8ge8OOcx5J1iyeWCItY1DL4zCJ_M7FyzfPTaL3nLSPNs1gyFCC3M4i1l7cJi3qHtzd1W2LFrimUjYfIReET79WBx2l/s1600/2.png" height="224" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgcRPEOE03opq2KTYhmGqrNRTL8wojNTVtFDx9ZP9wHGESLby5ZAFeDgXSbj-i9iVdohFPThTQVOOhSOuv4HU9xk8giswlMljpHeRk2D6Fg1V8qsdRjEpKxO8eXzgVrZwgvBnBItub4HrUD/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgcRPEOE03opq2KTYhmGqrNRTL8wojNTVtFDx9ZP9wHGESLby5ZAFeDgXSbj-i9iVdohFPThTQVOOhSOuv4HU9xk8giswlMljpHeRk2D6Fg1V8qsdRjEpKxO8eXzgVrZwgvBnBItub4HrUD/s1600/3.png" height="224" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWbtRq5j0h2tUrQrEjVgi9NQFFRY147zhs7mE6g1eQDG9EOXpNMbR-NDvs5oFZ-WTipOa-Cn2KkXT534NkGzVMH2tkP9pp9-GdTdU61-plk5lG7Bj4OvetEH0RJRpNmvwvCBZ7NDkTW3sg/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWbtRq5j0h2tUrQrEjVgi9NQFFRY147zhs7mE6g1eQDG9EOXpNMbR-NDvs5oFZ-WTipOa-Cn2KkXT534NkGzVMH2tkP9pp9-GdTdU61-plk5lG7Bj4OvetEH0RJRpNmvwvCBZ7NDkTW3sg/s1600/4.png" height="224" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEieEmDopGYBF8pIf3adiU9zp-uTZCjN4Oi6kkyDMk2x1t8EQ-8W35vVbRUOcrelDoXe909KPvti7FPXbgYJMuH6buur4QqOc0AjjEfbfU8J5tELanV2D0n8YdyfErX07Bx3axPAAbjlIdn_/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEieEmDopGYBF8pIf3adiU9zp-uTZCjN4Oi6kkyDMk2x1t8EQ-8W35vVbRUOcrelDoXe909KPvti7FPXbgYJMuH6buur4QqOc0AjjEfbfU8J5tELanV2D0n8YdyfErX07Bx3axPAAbjlIdn_/s1600/5.png" height="224" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9mW1cxaqX9PNIRBgAVgqjMgCICrY5qlAtTDHBVuce477t5sB1fmhVI3VrnbrkkXZTJwAVqUlT6vNVDvpe4r1YoPsUZr7wuSgr5nnkP1deHhPj3xVS9KSffEcrLWd_W5VhYI7NlmDa31ou/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9mW1cxaqX9PNIRBgAVgqjMgCICrY5qlAtTDHBVuce477t5sB1fmhVI3VrnbrkkXZTJwAVqUlT6vNVDvpe4r1YoPsUZr7wuSgr5nnkP1deHhPj3xVS9KSffEcrLWd_W5VhYI7NlmDa31ou/s1600/6.png" height="224" width="320" /></a></div>
<br />
Listo, ya tenemos instalado el paquete SDK, así que nos dirigimos al directorio de instalación para verificar que tenemos la herramienta deseada:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgrN_gGJS_lrZY0UZn67JLYKAzUDZohdneF3p6Zv6FZQiqdH2EJ6cZLwltRFwVI7ivGb4H9JguMohS9Gd3jzi-3QXvuhjTWQ2L0-CHxFjTl7G_-tIo7pjkiSHYfmIaLIy7MvgWDKR-DuQsx/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgrN_gGJS_lrZY0UZn67JLYKAzUDZohdneF3p6Zv6FZQiqdH2EJ6cZLwltRFwVI7ivGb4H9JguMohS9Gd3jzi-3QXvuhjTWQ2L0-CHxFjTl7G_-tIo7pjkiSHYfmIaLIy7MvgWDKR-DuQsx/s1600/7.png" height="166" width="320" /></a></div>
<br />
<br />
<br />
<b><span style="font-family: inherit;"><span style="font-size: x-large;">Uso</span></span></b><br />
<br />
Para poder ver los comandos de los que dispone la herramienta, abriremos una consola en dicho directorio y ejecutaremos el siguiente comando:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLyw-jVxM5qpua0hDezW0UL4UspCW9h6fZBFMZrRpFAjXOWaXmd0-S2sChNecrPA3QTR59JMfTsu8VAatyvyn-A-oYncm-CSpNUsfPb69ESxIaxIjomlWXZrtPHUoYkJ4GDy1c2CE8-jmj/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLyw-jVxM5qpua0hDezW0UL4UspCW9h6fZBFMZrRpFAjXOWaXmd0-S2sChNecrPA3QTR59JMfTsu8VAatyvyn-A-oYncm-CSpNUsfPb69ESxIaxIjomlWXZrtPHUoYkJ4GDy1c2CE8-jmj/s1600/8.png" height="160" width="320" /></a></div>
<br />
O si lo preferís, podéis echarle un vistazo a la página de MSDN:<br />
<br />
<div style="text-align: center;">
<a href="http://msdn.microsoft.com/es-es/library/8s9b9yaz%28v=vs.110%29.aspx">http://msdn.microsoft.com/es-es/library/8s9b9yaz%28v=vs.110%29.aspx</a></div>
<br />
Una vez ya tenemos todo preparado, vamos a empezar a jugar con esta herramienta.<br />
<br />
Si recordamos bien, en la entrada anterior utilizamos el troyano educativo <a href="http://www.flu-project.com/">Flu</a>, por lo que para esta entrada lo volveremos a utilizar y así podréis comparar resultados.<br />
<br />
Para crear nuestro certificado utilizaremos dos herramientas que vienen en la SDK que hemos descargado.<br />
<br />
Estas son:<br />
<br />
<ul>
<li>makecert</li>
<li>pvk2pfx </li>
</ul>
<br />Procedemos a crear el certificado:<br />
<br />
<div style="text-align: center;">
<span style="color: lime;"><span style="background-color: black;">makecert -sv MiCertificado.pvk -n "CN=Microsoft Corporation" MiCertificado.cer -b 09/15/2014 -e 12/30/2105 -r</span></span> </div>
<br />
<div style="text-align: center;">
<span style="color: lime;"><span style="background-color: black;">pvk2pfx -pvk MiCertificado.pvk -spc MiCertificado.cer -pfx MiCertificado.pfx -po [MiContraseña]</span></span></div>
<br />
<div style="text-align: center;">
<span style="color: lime;"><span style="background-color: black;">dir MiCertifi*.* </span></span></div>
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhm5pd8rxnb83g7VgUNDklDM7mds4GkeNadH7Nawc9-ihW1e_G0l4HWnTrS68weNl6nVBdNzyX54oaKP4uxFtK1OAO00Ukfkx2NdiYXYtAFbCzXAaqWK9Tcop323LXDmV3CYOD4BHu1Y-FZ/s1600/11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhm5pd8rxnb83g7VgUNDklDM7mds4GkeNadH7Nawc9-ihW1e_G0l4HWnTrS68weNl6nVBdNzyX54oaKP4uxFtK1OAO00Ukfkx2NdiYXYtAFbCzXAaqWK9Tcop323LXDmV3CYOD4BHu1Y-FZ/s1600/11.png" height="161" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhP4sayh0qKBvMeQdiy5mfPrn05mEG0XLgB-id4qFH9ODUbS5qb06SAifEp8FI2RcsIbJNXdAFnSNBc6sqgncIc5rdtPgF9vlK8cky-1B1O_jBgs_djdbqhymUEhlMDj0Ej3z9YW13dwqdt/s1600/12.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhP4sayh0qKBvMeQdiy5mfPrn05mEG0XLgB-id4qFH9ODUbS5qb06SAifEp8FI2RcsIbJNXdAFnSNBc6sqgncIc5rdtPgF9vlK8cky-1B1O_jBgs_djdbqhymUEhlMDj0Ej3z9YW13dwqdt/s1600/12.png" height="160" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiu18T-EVVnx8dr2EteFd_V-yA2lApL2xjRea6B8s3QL3enX5ZxuwBG8tX9gwUYE9goYFTVQ9qqL5QLg6X4-pp3FBVUR8BOKX2ofbHwlLWZOYvRUGJT4somJ4Tovt4HuPUKUOqzgZRkpVdT/s1600/13.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiu18T-EVVnx8dr2EteFd_V-yA2lApL2xjRea6B8s3QL3enX5ZxuwBG8tX9gwUYE9goYFTVQ9qqL5QLg6X4-pp3FBVUR8BOKX2ofbHwlLWZOYvRUGJT4somJ4Tovt4HuPUKUOqzgZRkpVdT/s1600/13.png" height="160" width="320" /></a></div>
<br />
Listo, ya tenemos nuestro certificado, ahora deberemos instalarlo antes de firmar el ejecutable con <i>SingTool</i>.<br />
Para eso, simplemente debemos hacer click sobre nuestro archivo "MiCertificado.pfx" y seguir el asistente de importación de certificados:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcx16dLX8EhBi9zl5Igu9jl4g65I8aNEBo8rCaXr1YMoZrWWDh9jy-EQ-usC4xh-Es9VTv266fnjVHkhHlqaHSTlaZb2aAx0DpWddt9qQC6QGi9LbClaVv44iy1B8Z07i4l60Yrkum9pBm/s1600/14.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcx16dLX8EhBi9zl5Igu9jl4g65I8aNEBo8rCaXr1YMoZrWWDh9jy-EQ-usC4xh-Es9VTv266fnjVHkhHlqaHSTlaZb2aAx0DpWddt9qQC6QGi9LbClaVv44iy1B8Z07i4l60Yrkum9pBm/s1600/14.png" height="166" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgb4e_R3VLS6_X2W7jVQHOo2tKiyIhJL8xMekoQgravFIr6YV7RcTyR5QX1YfbRGfMEi6mwhmEoDe53yOntLS0PwFKpCjDncAYTmQ0bL10MWvTDIdCWY6Yw61ggWkD6is3OYbXs2-Jsw6CN/s1600/15.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgb4e_R3VLS6_X2W7jVQHOo2tKiyIhJL8xMekoQgravFIr6YV7RcTyR5QX1YfbRGfMEi6mwhmEoDe53yOntLS0PwFKpCjDncAYTmQ0bL10MWvTDIdCWY6Yw61ggWkD6is3OYbXs2-Jsw6CN/s1600/15.png" height="166" width="320" /></a></div>
<br />
<br />
<br />
<br />
Ahora comprobaremos que se ha realizado la instalación del certificado accediendo al almacén de certificados de Windows:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirqpk2PF0IfEfXnLdZ5z5rkm91ym12V9qhBf8YPIfpyTAuqtU7DUKKVkucMvYaiO9n6wRjglWxEHiCRCeQNEAMlu9KscUZpUDRvNZ_XQjlu6OkigNYPDHUVgnkO7Q-zzCFQRY0KnkDq0Bp/s1600/16.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirqpk2PF0IfEfXnLdZ5z5rkm91ym12V9qhBf8YPIfpyTAuqtU7DUKKVkucMvYaiO9n6wRjglWxEHiCRCeQNEAMlu9KscUZpUDRvNZ_XQjlu6OkigNYPDHUVgnkO7Q-zzCFQRY0KnkDq0Bp/s1600/16.png" height="161" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_Ylrcb83qTh_mhYMYX6QPrvbW-4hl_i41FL4mXhfQU-GbKvK-kG6uWlTUP4O8jAPaeWAZr8L6p9VsXDtjmJmI437hxex1M4M_x1-KcRtbyAO0lOlIZAdEb7-9qPtrGB3QA7tX_py0OHSo/s1600/17.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_Ylrcb83qTh_mhYMYX6QPrvbW-4hl_i41FL4mXhfQU-GbKvK-kG6uWlTUP4O8jAPaeWAZr8L6p9VsXDtjmJmI437hxex1M4M_x1-KcRtbyAO0lOlIZAdEb7-9qPtrGB3QA7tX_py0OHSo/s1600/17.png" height="184" width="320" /></a></div>
<br />
<br />
<br />
Como podemos ver se ha instalado correctamente, ya podemos firmar nuestro troyano educativo con dicho certificado:<br />
<br />
<div style="text-align: center;">
<span style="color: lime;"><span style="background-color: black;">signtool sign /t http://timestamp.digicert.com /n "nombre del sujeto" "C:\ruta\al\ArchivoParaFirmar.exe"</span></span></div>
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg52mY9fYGmheBVm4Bhq72J_2t7K83uNWjQHmF8lZoK-eHoGH24evH2pNc_c39RrgZ9vXWj_oR6i36H-vFcqV7AD6JUI1UlqJ-HDcpmzf-4Eb2SR1RMDtlx4A3Rw9G1oenX-rdAyJj4JQ15/s1600/18.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg52mY9fYGmheBVm4Bhq72J_2t7K83uNWjQHmF8lZoK-eHoGH24evH2pNc_c39RrgZ9vXWj_oR6i36H-vFcqV7AD6JUI1UlqJ-HDcpmzf-4Eb2SR1RMDtlx4A3Rw9G1oenX-rdAyJj4JQ15/s1600/18.png" height="27" width="320" /></a></div>
<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkCrLTFhWuQEH2fw6WDfVxpH5A64Rc09ZUtTuHwr38VFyAvhIIw9eIKuol5-XYQWu_vxqcsWuWB8Tj6KZPrYV8NTOGQcukLTZ7nn1gOMLxLFx2anDgXxLQ1_9g43iqF1jcbULK2YP_7W4D/s1600/19.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkCrLTFhWuQEH2fw6WDfVxpH5A64Rc09ZUtTuHwr38VFyAvhIIw9eIKuol5-XYQWu_vxqcsWuWB8Tj6KZPrYV8NTOGQcukLTZ7nn1gOMLxLFx2anDgXxLQ1_9g43iqF1jcbULK2YP_7W4D/s1600/19.png" height="165" width="320" /></a></div>
<br />
<br />
<br />
Perfecto!!! Ya hemos firmado nuestro pequeño... ahora toca el veredicto de los antivirus.<br />
<br />
Si recordamos la entrada anterior, el mismo ejecutable firmado con <i>OSSLSingcode</i>, lograba bajar el ratio de detecciones a 17 / 53:<br />
<br />
<div style="text-align: center;">
<a href="https://www.virustotal.com/es/file/80d1037f5fdcbe64b82525092e229d3bf4d814ad9ee0f336e6ba987aff1c0b2d/analysis/1409474856/">https://www.virustotal.com/es/file/80d1037f5fdcbe64b82525092e229d3bf4d814ad9ee0f336e6ba987aff1c0b2d/analysis/1409474856/</a></div>
<br />
<br />
<br />
<br />
¿Pensáis que cambiará mucho el resultado?<br />
<br />
Pues aquí lo tenéis:<br />
<br />
<a href="https://www.virustotal.com/es/file/0c76925b7d47e962e5c468dc430968c3d8193ad6500560e3417015e812faaab7/analysis/1410811815/">https://www.virustotal.com/es/file/0c76925b7d47e962e5c468dc430968c3d8193ad6500560e3417015e812faaab7/analysis/1410811815/</a><br />
<br />¿Pensábais que por ser una herramienta de Microsoft ofrecería mejores resultados? xD<br />
<br />
Os invito a que probéis con distintos algoritmos de cifrado con estas herramientas y comprobéis por vosotros mismos si cambian los resultados. <br />
<br />
Saludos.<br />
<br />
<span style="font-size: x-small;">Referencias</span><br />
<a href="http://msdn.microsoft.com/en-us/library/windows/desktop/aa387764%28v=vs.85%29.aspx"><span style="font-size: x-small;">http://msdn.microsoft.com/en-us/library/windows/desktop/aa387764%28v=vs.85%29.aspx</span></a><br />
<a href="http://msdn.microsoft.com/es-es/library/8s9b9yaz%28v=vs.110%29.aspx"><span style="font-size: x-small;">http://msdn.microsoft.com/es-es/library/8s9b9yaz%28v=vs.110%29.aspx</span></a><br />
<a href="http://msdn.microsoft.com/es-es/library/bfsktky3%28v=vs.110%29.aspx"><span style="font-size: x-small;">http://msdn.microsoft.com/es-es/library/bfsktky3%28v=vs.110%29.aspx</span></a><br />
<a href="https://www.digicert.com/es/codigo/certificados-ev-authenticode.htm"><span style="font-size: x-small;">https://www.digicert.com/es/codigo/certificados-ev-authenticode.htm</span></a><br />
<a href="http://msdn.microsoft.com/en-us/library/ff699202.aspx"><span style="font-size: x-small;">http://msdn.microsoft.com/en-us/library/ff699202.aspx</span></a><br />
<br />
<br />
<br />
<span style="font-size: x-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span></span><br />
<br />
<br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-44001008815711106782014-08-31T03:30:00.003-07:002014-08-31T03:34:22.903-07:00Evasion de Antivirus - OSSLSigncode<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEje-MyHAxtPyQRbKNYPkrXbyCu62olgefHvrObA-uNFPYZEYI9QBnK0JF1B9bQYZLOwHtPWrc21PkQeisT1-dgPADVgiwARJv9j8FvvWCDaYZMIoh92tGQJMJxCupRc19mAm-nZ_nBBdC4s/s1600/candado.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEje-MyHAxtPyQRbKNYPkrXbyCu62olgefHvrObA-uNFPYZEYI9QBnK0JF1B9bQYZLOwHtPWrc21PkQeisT1-dgPADVgiwARJv9j8FvvWCDaYZMIoh92tGQJMJxCupRc19mAm-nZ_nBBdC4s/s1600/candado.jpg" /></a></div>
<br />
<br />
Antes de empezar quiero disculparme por haber estado tanto tiempo ausente, espero poder sacar tiempo como lo hacía antes para seguir con este blog...<br />
<br />
<br />
Hoy vamos a ver cómo podemos evadir una protección Antivirus con tan sólo firmar digitalmente nuestro ejecutable.<br />
<br />
Existen multitud de herramientas gratuitas que nos permiten firmar digitalmente archivos PE, incluso hay <a href="http://es.wikipedia.org/wiki/Autoridad_de_certificaci%C3%B3n">Entidades Certificadoras (CA)</a> que emiten certificados gratuitos, pero como son bastantes las opciones, en esta entrada nos centraremos solo en una herramienta con la podremos crear nosotros mismos el certificado.<br />
Dicha herramienta se llama <a href="http://sourceforge.net/projects/osslsigncode/"><b><i>OSSLSigncode</i></b></a>.<br />
<br />
Esta herramienta (<i>OpenSSL-based signcode utility</i>) es multiplataforma y utiliza <a href="https://www.openssl.org/"><i>OpenSSL</i></a> y <a href="http://curl.haxx.se/libcurl/"><i>libcurl</i></a> para firmar archivos EXE/CAB.<br />
<br />
<br />
<span style="font-size: large;"><b>Instalación</b></span><br />
<br />
<br />
Bien, lo primero que haremos será descargar OSSLSigncode desde la página del proyecto:<br />
<a href="https://www.blogger.com/goog_582795027"><br /></a>
<div style="text-align: center;">
<a href="http://sourceforge.net/projects/osslsigncode/"><span style="color: lime;">http://sourceforge.net/projects/osslsigncode/</span></a></div>
<br />
<br />
Una vez descargado el archivo lo descomprimimos:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVilcxQyEgx9Fw_93NLFqWPlVW0Akku_eiNugY06jesFnASl9oCOcvklmF3aLsXLGat6utaKEDA0k42W8B6-Wq6YCDSJoqTccy2f5oiYaVC4duieX5UNurxDa8eVl8kWSCVRAFGW0nav7f/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVilcxQyEgx9Fw_93NLFqWPlVW0Akku_eiNugY06jesFnASl9oCOcvklmF3aLsXLGat6utaKEDA0k42W8B6-Wq6YCDSJoqTccy2f5oiYaVC4duieX5UNurxDa8eVl8kWSCVRAFGW0nav7f/s1600/4.png" height="198" width="320" /></a></div>
<br />
Y finalmente para instalarlo debemos escribir los siguientes comandos:<br />
<br />
<span style="background-color: black;"><i><b><span style="color: lime;">./configure</span></b></i></span><br />
<span style="background-color: black;"><i><b><span style="color: lime;">make</span></b></i></span><br />
<span style="background-color: black;"><i><b><span style="color: lime;">make install</span></b></i></span><br />
<br />
<br />
Listo! ya tenemos instalada la herramienta, ahora toca jugar con ella...<br />
<br />
<br />
<span style="font-size: large;"><b>Uso</b></span><br />
<br />
Lo primero que haremos será generar una <a href="http://es.wikipedia.org/wiki/RSA">clave privada RSA</a> que en este caso será de 512 bits (se puede indicar de 2048 bits si se desea) y con un algoritmo de cifrado <a href="http://es.wikipedia.org/wiki/Triple_DES">Triple-DES</a>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjikCFCoWE5-Qau-g0O7dLxdLc59wVEKOp9rSYcOLs8XVdlWJGd-YCHxfzDE3xGekOxmWfqA4UpP096Un97b9lXYtYfTsZ8P5ZxdCo7IEoVfuADLQ-cXtw1WeJabDXY9CVwCtDMI-vPeJMN/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjikCFCoWE5-Qau-g0O7dLxdLc59wVEKOp9rSYcOLs8XVdlWJGd-YCHxfzDE3xGekOxmWfqA4UpP096Un97b9lXYtYfTsZ8P5ZxdCo7IEoVfuADLQ-cXtw1WeJabDXY9CVwCtDMI-vPeJMN/s1600/5.png" height="71" width="320" /></a></div>
<br />
Para comprobar que efectivamente se ha creado la clave como queríamos, podemos escribir los siguientes comandos.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrGiwILAOX53-6HPndxbymdmR-upa8uAWo3WqlKgKhTfXOxl7YLTGXP1I4NMme1iQ6GMEgTIMMpraHWMV_HZg_wfRUia7hQxJQR6P7j8h3FYs7qfkNDb6zwOyuGBaRwbJdlgRDCelrK1n1/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrGiwILAOX53-6HPndxbymdmR-upa8uAWo3WqlKgKhTfXOxl7YLTGXP1I4NMme1iQ6GMEgTIMMpraHWMV_HZg_wfRUia7hQxJQR6P7j8h3FYs7qfkNDb6zwOyuGBaRwbJdlgRDCelrK1n1/s1600/6.png" /></a></div>
<br />
De momento todo perfecto. Seguimos.<br />
<br />
Ahora convertiremos la clave en formato binario (.der)<br />
<br />
<div style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLDWg8POLnS_KlRLcqin_ltK33gProFeFm7DjmviOBA_sbbht3MpVml7-oJJHbPMgwYfRBJb4umU1SSxDOqVBMmjaJsx9eieJVmKWTdX-4XMzA8AtX9k4fgfPT9IBXjr2UwZ936m5OJfcP/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLDWg8POLnS_KlRLcqin_ltK33gProFeFm7DjmviOBA_sbbht3MpVml7-oJJHbPMgwYfRBJb4umU1SSxDOqVBMmjaJsx9eieJVmKWTdX-4XMzA8AtX9k4fgfPT9IBXjr2UwZ936m5OJfcP/s1600/7.png" height="39" width="320" /></a> </div>
<br />
Listo, ya tenemos creada nuestra clave privada. Turno para crear el certificado autofirmado.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgU3J0akIBXncoCa7P_TtJa16lKRI843dKEifkmVg3iMn1Xz1yFsKXWh5fyMYx1doxn3lKfKD-S-YTGd-OB4X3naDxGgj7y_TyLiKtV7z_kRHC0aTE_gfD0Z94P88pjo3YRU-8cYQukC2pj/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgU3J0akIBXncoCa7P_TtJa16lKRI843dKEifkmVg3iMn1Xz1yFsKXWh5fyMYx1doxn3lKfKD-S-YTGd-OB4X3naDxGgj7y_TyLiKtV7z_kRHC0aTE_gfD0Z94P88pjo3YRU-8cYQukC2pj/s1600/8.png" height="123" width="320" /></a></div>
<br />
Por último y antes de poder firmar nuestro ejecutable, debemos convertir el certificado autofirmado al formato <a href="http://en.wikipedia.org/wiki/Microsoft_CryptoAPI">CryptoAPI de Microsoft</a> (.spc).<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiq-eRtbPWbCoihe1-VCeiPILMFJOqRisPmmx7hes9PzrM1_f3uz1bkTIv-SwcgLipYnhDPlYQoJoX-kCEv7V7P6qJA2uRmaHrw9XlA3hmiTyvJSm3yWGviBhH_wytjafBpZvRXM0Jw6vy-/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiq-eRtbPWbCoihe1-VCeiPILMFJOqRisPmmx7hes9PzrM1_f3uz1bkTIv-SwcgLipYnhDPlYQoJoX-kCEv7V7P6qJA2uRmaHrw9XlA3hmiTyvJSm3yWGviBhH_wytjafBpZvRXM0Jw6vy-/s1600/9.png" height="18" width="320" /></a></div>
<br />
Perfecto!!! Ya tenemos todo listo para poder firmar nuestro ejecutable.<br />
<br />
En mi caso utilizaré el troyano educativo Flu, de <a href="http://www.flu-project.com/">Flu-Project</a>.<br />
<br />
Dicho troyano tiene un nivel de deteccion bastante alto, ya que al haber sido publicado hace bastante tiempo se ha analizado bastantes veces por lo que es detectado por la mayor parte de los motores antivirus.<br />
<br />
Bien, os dejo el reporte de dicho troyano educativo sin haberlo modificado, para que veáis cuantos motores de antivirus lo detectan:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtYvsj-jjh_lwOWt-6nT-0iyJnKFU-vJCMHY4Pf1LarwIzj2FheFBw5C1j2o9db2enotkCJVDjIjbI8XXEcDrkqNLbSpVCZNI_nkbcJPGzdFFNwj5EHKWdqG5C93RWLwbMroyqd7W3qmIa/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtYvsj-jjh_lwOWt-6nT-0iyJnKFU-vJCMHY4Pf1LarwIzj2FheFBw5C1j2o9db2enotkCJVDjIjbI8XXEcDrkqNLbSpVCZNI_nkbcJPGzdFFNwj5EHKWdqG5C93RWLwbMroyqd7W3qmIa/s1600/2.png" height="194" width="320" /></a></div>
<br />
<br />
<br />
<div style="text-align: center;">
<a href="https://www.virustotal.com/es/file/5dee050f7cee1813f9a55c19fdb2bdc9941ff8695b07ffad10f81472f8433109/analysis/1409474741/"><span style="color: lime;">https://www.virustotal.com/es/file/5dee050f7cee1813f9a55c19fdb2bdc9941ff8695b07ffad10f81472f8433109/analysis/1409474741/</span></a></div>
<br />
<br />
<br />
32 motores de 54 detectan el ejecutable como malicioso, es decir, bastantes...<br />
<br />
Veámos ahora el resultado subiendo la misma muestra pero habiendo firmado previamente el ejecutable con el certificado que hemos creado.<br />
<br />
Para ello procedemos a firmarlo:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj26b-rI51zXl_92Gh661JqPNdX9kTzmkLGwNAdnUmdmBmmSeqPH0DMZtRpsAX0KpWAyhAD7aAUGPDkZmS6d7VGNHIAlwGQjWj377R1fOBNkhGnwUO63Yp-KqVVUF6GMejjNJQNqStWJF_e/s1600/10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj26b-rI51zXl_92Gh661JqPNdX9kTzmkLGwNAdnUmdmBmmSeqPH0DMZtRpsAX0KpWAyhAD7aAUGPDkZmS6d7VGNHIAlwGQjWj377R1fOBNkhGnwUO63Yp-KqVVUF6GMejjNJQNqStWJF_e/s1600/10.png" height="8" width="320" /></a></div>
<br />
Subimos la muestra del troyano educativo firmado con nuestro certificado:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhliJF1qLCf_NBohqRSRzff0x4jMPENdEYFgs1M8yZLXJGe0GGKWMN9Xc5gNyg-zj9RiaSgTjDS8xCu3lZrKt4KpOTb0PxczCvp02MpUNqeiTcJUZ2OFGP3cYLk1Vh8y7ZVabEC6IYjnLpT/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhliJF1qLCf_NBohqRSRzff0x4jMPENdEYFgs1M8yZLXJGe0GGKWMN9Xc5gNyg-zj9RiaSgTjDS8xCu3lZrKt4KpOTb0PxczCvp02MpUNqeiTcJUZ2OFGP3cYLk1Vh8y7ZVabEC6IYjnLpT/s1600/3.png" height="190" width="320" /></a></div>
<br />
<div style="text-align: center;">
<a href="https://www.virustotal.com/es/file/80d1037f5fdcbe64b82525092e229d3bf4d814ad9ee0f336e6ba987aff1c0b2d/analysis/1409474856/"><span style="color: lime;">https://www.virustotal.com/es/file/80d1037f5fdcbe64b82525092e229d3bf4d814ad9ee0f336e6ba987aff1c0b2d/analysis/1409474856/</span></a></div>
<br />
<br />
Pero qué co****es!!! Hemos bajado el numero de detecciones a 17 de 53, pero no sólo eso, si no que si nos fijamos en el reporte, podremos ver que antivirus como Kaspersky, McAfee, Symantec, TrendMicro y una larga lista dan el ejecutable como bueno...<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUgJTqjkuPgj1CCMQlaVkZ8PJJAwW_z-HxJP81TaUNn41eY8CGkabA6BBRmf-d6pZ_TpLsDDDRoNLQ6X1RIDqZaQvw4hPxjEdRvo5QrWIMIbTBZq2myA6SWQzbbN0Zu-qfQdBRtBbqVUx5/s1600/gru.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUgJTqjkuPgj1CCMQlaVkZ8PJJAwW_z-HxJP81TaUNn41eY8CGkabA6BBRmf-d6pZ_TpLsDDDRoNLQ6X1RIDqZaQvw4hPxjEdRvo5QrWIMIbTBZq2myA6SWQzbbN0Zu-qfQdBRtBbqVUx5/s1600/gru.png" height="266" width="320" /></a></div>
<br />
<br />
Pero ¿cúal es el motivo de este resultado?.<br />
<br />
Pues bien, el motivo es que ciertos antivirus contienen algunas politicas que excluyen del analisis el archivo cuando está firmado digitalmente, para así, aumentar el rendimiento.<br />
Así algunos pueden competir por ser el antivirus que menos recursos consume. ;)<br />
<br />
Esta es una de las cientas de formas con las que se puede evadir la proteccion de un antivirus, el proximo día veremos otra herramienta de firmado pero que valga para Windows.<br />
<br />
Saludos!!!<br />
<br />
<br />
<br />
<b><span style="font-size: x-small;">Referencias</span></b><br />
<a href="http://www.hackplayers.com/2012/11/evasion-de-antivirus-con-ejecutables-firmados.html"><span style="color: lime;"><span style="font-size: x-small;">http://www.hackplayers.com/2012/11/evasion-de-antivirus-con-ejecutables-firmados.html</span></span></a><br />
<a href="http://sourceforge.net/projects/osslsigncode"><span style="color: lime;"><span style="font-size: x-small;">http://sourceforge.net/projects/osslsigncode</span></span></a><br />
<a href="https://code.google.com/p/flu-project/"><span style="color: lime;"><span style="font-size: x-small;">https://code.google.com/p/flu-project/</span></span></a><br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-58035028507088677772014-05-24T01:54:00.003-07:002014-05-25T00:58:13.475-07:00SSLstrip - Descifrando tráfico HTTPS<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_oAbKWV63v27YDOHOWpDQjCPaJp8yniNbhLm5aA7RiD85J49a1hlovhzMnk2hCQDlbbgXoiVt6tPmDLfW5q3zzOooiiMj6YjvPJf_7DcaGANozpnanPvAEpb5ja8YGOhyA-RKoETXRMAu/s1600/https-ssl.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_oAbKWV63v27YDOHOWpDQjCPaJp8yniNbhLm5aA7RiD85J49a1hlovhzMnk2hCQDlbbgXoiVt6tPmDLfW5q3zzOooiiMj6YjvPJf_7DcaGANozpnanPvAEpb5ja8YGOhyA-RKoETXRMAu/s1600/https-ssl.png" height="230" width="320" /></a></div>
<br />
<br />
<br />
Hace ya una semana que en genbeta publicaron una entrada en la que comentaban la publicación que publicó Sandvine, en la que hablaban sobre que el tráfico cifrado (SSL) aumentaba considerablemente en Europa y Latinoamérica.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4IkTjlmAQtvex5aiwAN-V4FBEJQEvAdO4BstNb5MoIXWLZPV2jyfk1AkJV_1XT6qyI2_XhXjr1zK-3pDxGRUppdXQv_DMRlsx-l29rm_VOLifyecU82pvJIsKdT7YJjEZDeHOCmz9ZvMI/s1600/sandvine-2014.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4IkTjlmAQtvex5aiwAN-V4FBEJQEvAdO4BstNb5MoIXWLZPV2jyfk1AkJV_1XT6qyI2_XhXjr1zK-3pDxGRUppdXQv_DMRlsx-l29rm_VOLifyecU82pvJIsKdT7YJjEZDeHOCmz9ZvMI/s1600/sandvine-2014.png" height="175" width="320" /></a></div>
<br />
Esto no es algo que coja de sorpresa, ya que navegando se puede ver perfectamente cómo cada día aumenta la cifra de paginas web con cifrado web SSL.<br />
<br />
Pero la pregunta es ¿realmente viajan seguras nuestras contraseñas porque implementen cifrado SSL servicios como google, facebook, twitter, etc...?<br />
<br />
La respuesta dependerá como siempre de nuestro conocimiento, es decir, del factor humano.<br />
<br />
Para entender mejor lo que quiero decir, pasemos a ver la herramienta de la que hoy os vengo a hablar, SSLstrip.<br />
<br />
<br />
<span style="font-size: x-large;"><b>¿Qué es SSLstrip?</b></span><br />
<br />
SSLstrip es una herramienta desarrollada en python que fué presentaba por <a href="http://en.wikipedia.org/wiki/Moxie_Marlinspike">Moxie Marlinspike</a> allá en el 2009, en la conferencia de seguridad <a href="https://www.youtube.com/watch?v=MFol6IMbZ7Y">Black Hat</a>.<br />
<br />
Dicha herramienta se encarga básicamente de descifrar todo el tráfico HTTPS.<br />
<br />
La página oficial es <a href="http://www.thoughtcrime.org/software/sslstrip/">http://www.thoughtcrime.org/software/sslstrip/ </a><br />
<br />
<br />
<span style="font-size: x-large;"><b>¿Cómo funciona?</b></span><br />
<br />
Para poder descifrar dicho tráfico es necesario que la víctima visite un enlace o realizar un ataque <span class="st"><a href="http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle">MitM</a>, así SSLstrip se encargará de reemplazar todas las peticiones HTTPS por HTTP pudiendo sniffar todo el tráfico en texto plano.</span><br />
<br />
No es que el protocolo SSL lo hayan roto criptográficamente (que se sepa públicamente), si no que simplemente se modifican las peticiones.<br />
<br />
Para resultar efectivo este ataque, se requiere ser atacado mediante un enlace o una redirección, es decir, si la víctima escribe directamente la dirección <span style="color: lime;">https://www.pagina_web.com</span> en la barra de direcciones no será vulnerable, siempre y cuando la redirección no sea mediante un ataque MitM ya que ahí si se podrían modificar las peticiones porque estaría pasando todo su tráfico por nuestra tarjeta de red.<br />
<br />
<br />
<span style="font-size: x-large;"><b>Instalación</b></span><br />
<br />
Su instalación es bastante simple.<br />
<br />
Lo primero será descargarnos la herramienta:<br />
<br />
<div style="text-align: center;">
<a href="http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.9.tar.gz">http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.9.tar.gz</a></div>
<br />
Una vez descargado el archivo, lo descomprimimos:<br />
<br />
<div style="text-align: center;">
<span style="color: lime;">tar zxvf sslstrip-0.9.tar.gz</span></div>
<br />
Ahora lo instalamos con el siguiente comando:<br />
<br />
<div style="text-align: center;">
<span style="color: lime;">sudo python ./setup.py install</span></div>
<br />
Listo!!! ya tenemos instalada nuestra herramienta, veámos como funciona.<br />
<br />
<br />
<br />
<b><span style="font-size: x-large;">PoC </span></b><br />
<br />
Lo primero que debemos hacer es preparar el enrutamiento, ya que si realizasemos directamente el ataque MitM dejaríamos a la víctima sin acceso a Internet y por lo tanto sería un desastre...<br />
<br />
<div style="text-align: center;">
<span style="color: lime;">echo "1" > /proc/sys/net/ipv4/ip_forward</span></div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
<span style="color: lime;"><span style="color: white;">Después configuramos una IPTABLE para redirigir el tráfico del puerto 80 a otro puerto:</span></span></div>
<br />
<div class="code" style="text-align: center;">
<span style="color: lime;">iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000</span></div>
<div class="code">
<br /></div>
<div class="code">
<br /></div>
Ahora empezamos a realizar el ataque MitM:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsWpY8stg-Db3xzLPraCojMdEh-gNV52Pg2YBcs94amL0SOQtE7di8kCo3tLbWs8eakKLkeJOiUChOTVVzlXG8hSVRfCvtByn1AZ-d0V11_m2piRjkYMQIq7O_AbgMO0HoTLcTRtqsJzzV/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsWpY8stg-Db3xzLPraCojMdEh-gNV52Pg2YBcs94amL0SOQtE7di8kCo3tLbWs8eakKLkeJOiUChOTVVzlXG8hSVRfCvtByn1AZ-d0V11_m2piRjkYMQIq7O_AbgMO0HoTLcTRtqsJzzV/s1600/1.png" height="145" width="320" /></a></div>
<br />
<br />
Por último, lanzamos SSLstrip a la espera de que nuestra víctima se conecte a algún servicio con cifrado SSL.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqq0J-1lbB1zdQqHTF-NI8tsSO1YTiDBEmbWSGXQ0ebV-0d0pjYNllJeRk70bbP96KV_reD51W-UV9_DmuevKGZXEZywUqsEBhDWp7Mgu6aQmXy9cJBu3EieP0A4s3tkB2gcny00xS7GEh/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqq0J-1lbB1zdQqHTF-NI8tsSO1YTiDBEmbWSGXQ0ebV-0d0pjYNllJeRk70bbP96KV_reD51W-UV9_DmuevKGZXEZywUqsEBhDWp7Mgu6aQmXy9cJBu3EieP0A4s3tkB2gcny00xS7GEh/s1600/2.png" height="53" width="320" /></a></div>
<br />
<br />
<br />
Ahora veámos que ocurre cuando la máquina víctima intenta acceder, por ejemplo, a paypal.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqS5SjVrbc6USuNqsF0aTue6S8F5e4bqDnO4maU64be3bnmyaDH_s4fWwsuFK5HXiQNg8VQSHFSTLaHrIFBkFtSkY_7ng6ATbmJJdykOPxJTFn9FPqkLNkxnxCh5LX6ozShljAyesGtsqm/s1600/paypal.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqS5SjVrbc6USuNqsF0aTue6S8F5e4bqDnO4maU64be3bnmyaDH_s4fWwsuFK5HXiQNg8VQSHFSTLaHrIFBkFtSkY_7ng6ATbmJJdykOPxJTFn9FPqkLNkxnxCh5LX6ozShljAyesGtsqm/s1600/paypal.png" height="194" width="320" /></a></div>
<br />
Como se puede ver, se captura sin problemas las contraseñas, y esto mientras la víctima piensa estar segura por entrar con HTTPS.<br />
<br />
<b>¿El problema?</b> Damos por sentado todo sin querer entender el por qué o el cómo, otro ejemplo que demuestra claramente que si seguimos dando por sentada la seguridad, seguiremos estando expuestos por mucho que se implementen protocolos seguros, ya que la seguridad depende mayormente de nosotros mismos.<br />
<br />
<br />
Saludos.<br />
<br />
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<iframe allowfullscreen="" frameborder="0" height="315" src="//www.youtube.com/embed/b3ZdP0TnsXo" width="560"></iframe>
</div>
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<a href="http://www.redeszone.net/seguridad-informatica/sslstrip/"><span style="font-size: x-small;">http://www.redeszone.net/seguridad-informatica/sslstrip/</span></a><br />
<a href="http://www.thoughtcrime.org/software/sslstrip/"><span style="font-size: x-small;">http://www.thoughtcrime.org/software/sslstrip/</span></a><br />
<span style="font-size: x-small;"><a href="https://www.youtube.com/watch?v=MFol6IMbZ7Y">https://www.youtube.com/watch?v=MFol6IMbZ7Y</a> </span><br />
<a href="http://www.genbeta.com/actualidad/el-trafico-cifrado-ssl-aumenta-considerablemente-en-europa-y-latinoamerica-segun-sandvine"><span style="font-size: x-small;">http://www.genbeta.com/actualidad/el-trafico-cifrado-ssl-aumenta-considerablemente-en-europa-y-latinoamerica-segun-sandvine</span></a><br />
<a href="http://unaaldia.hispasec.com/2009/02/el-ssl-no-esta-roto-o-si-i.html"><span style="font-size: x-small;">http://unaaldia.hispasec.com/2009/02/el-ssl-no-esta-roto-o-si-i.html</span></a><br />
<a href="http://unaaldia.hispasec.com/2009/02/el-ssl-no-esta-roto-o-si-y-ii.html"><span style="font-size: x-small;">http://unaaldia.hispasec.com/2009/02/el-ssl-no-esta-roto-o-si-y-ii.html</span></a><br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-87335991688567799792014-05-14T02:58:00.000-07:002014-05-22T12:09:02.660-07:00Xplico - Análisis gráfico de red.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgck4Sswn1hhLoQbL04NG2YxL-i7Wzz66uZIHLeISbltA2v8XhOXofxCf6Kkn8LVUlsxdj0w-_tRKOWoqOSO5hz7VLE6ADXr8ahg_73c0lNJgPnBUb0EFNId-uIsgg4wf8Uycpo9qxXF7RC/s1600/xplico.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgck4Sswn1hhLoQbL04NG2YxL-i7Wzz66uZIHLeISbltA2v8XhOXofxCf6Kkn8LVUlsxdj0w-_tRKOWoqOSO5hz7VLE6ADXr8ahg_73c0lNJgPnBUb0EFNId-uIsgg4wf8Uycpo9qxXF7RC/s1600/xplico.png" /></a></div>
<br />
<br />
Buenas a tod@s!<br />
<br />
<br />
Hoy vamos a hablar de otra magnífica herramienta que hará de nuestros tediosos trabajos analizando una red, una tarea sencilla y cómoda.<br />
<br />
Dicha herramienta se llama <i>Xplico</i>, y con ella podremos analizar la red gráficamente pasándole previamente una captura de red (Archivos .pcap).<br />
<br />
Esta herramienta trabaja tanto por interfaz web como por consola, por lo que aparte de su buen diseño resulta ser bastante cómoda e intuitiva si elegimos utilizar la interfaz.<br />
<br />
Además permite acceder con distintos usuarios, y dentro de cada usuario, podemos crear los distintos casos que necesitemos.<br />
<br />
<br />
<span style="font-size: x-large;"><b>Instalación</b></span><br />
<br />
Bien, para su instalación tenemos 2 opciones:<br />
<ol>
<li>Descargarse directamente una imagen de máquina virtual con Xplico ya instalado.</li>
<li>Instalarlo manualmente en el sistema que queramos tenerlo.</li>
</ol>
<br />
Si optáis por la primera opción, ya sea por vaguería, o para simplemente probar la tool, podéis hacerlo desde <a href="http://sourceforge.net/projects/xplico/files/VirtualBox%20images/">aquí</a>.<br />
<br />
Si por el contrario optáis por la segunda opción, tan solo debemos realizar los siguientes pasos:<br />
<br />
<b><u>Ubuntu 32/64bit from 13.10 to 11.04:</u></b><br />
<br />
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'<br />
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE<br />
sudo apt-get update<br />
sudo apt-get install xplico<br />
/etc/init.d/apache2 restart<br />
/etc/init.d/xplico start <br />
<br />
<b><u>Kali Linux:</u></b><br />
<br />
apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-dev libmysqlclient15-dev<br />
apt-get install xplico<br />
/etc/init.d/apache2 restart<br />
/etc/init.d/xplico start<br />
<br />
<br />
Por si tenéis algún tipo de problema al instalarla, echarle un vistazo a la <a href="http://wiki.xplico.org/doku.php">wiki</a>.<br />
<br />
Ahora para empezar a trabajar con la tool abriremos nuestro navegador y entraremos en la siguiente dirección: "<i>127.0.1.1:9876</i>".<br />
<br />
<br />
<b><span style="font-size: x-large;">Uso</span></b><br />
<br />
Bueno, vamos a ver como funciona la herramienta subiendo un archivo pcap ya creado, yo ejecutaré una muestra de un Fake Antivirus que infectaba con ZeroAccess.<br />
<br />
Lo primero que tenemos que hacer es loguearnos en el panel, las claves que vienen por defecto las encontraréis <a href="http://www.xplico.org/download">aquí</a>.<br />
<br />
Una vez entremos procederemos a crear un nuevo caso:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9kjsDSLELOdCPcNJ-q2LmwbRkmeN_sWpxqa1Sg6AHXDIu6cJknyQM7jkp5TQSjy0oFjZZQJ5VPoIf84iTb3bt1K7phIfgP6yMtg_0hdRH7cRLB5lKCQfbj9aTuMbYokEd3zFjm4RbYIVJ/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9kjsDSLELOdCPcNJ-q2LmwbRkmeN_sWpxqa1Sg6AHXDIu6cJknyQM7jkp5TQSjy0oFjZZQJ5VPoIf84iTb3bt1K7phIfgP6yMtg_0hdRH7cRLB5lKCQfbj9aTuMbYokEd3zFjm4RbYIVJ/s1600/2.png" height="68" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBxOVHBOlU3pgGKf9S-DukE5BdYdjC3UeTy5RbU-jIQ2Pwc2ayO7pBAdZPl44lTzw0iMlo6yp_j44JIv5i1sIbKjXS5mSPt0zAH4oVKdKktjVZp-nOf3Ikt7_ZBbp0xXzb0cCoh5pD-M8Z/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBxOVHBOlU3pgGKf9S-DukE5BdYdjC3UeTy5RbU-jIQ2Pwc2ayO7pBAdZPl44lTzw0iMlo6yp_j44JIv5i1sIbKjXS5mSPt0zAH4oVKdKktjVZp-nOf3Ikt7_ZBbp0xXzb0cCoh5pD-M8Z/s1600/3.png" height="70" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitX1stEQxnqyShdPLiB4WsFy9VjiTrF2Ns8Fwc8ZD7tujK1TiT2H62AcTMel6eOY5MUCE1KyMq0NQkiBkDE4f5wYVZxOJXaT491YIwHzkz-a-UHhVAum-EBCq99YLNBPFpMRN8bHepIUr-/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitX1stEQxnqyShdPLiB4WsFy9VjiTrF2Ns8Fwc8ZD7tujK1TiT2H62AcTMel6eOY5MUCE1KyMq0NQkiBkDE4f5wYVZxOJXaT491YIwHzkz-a-UHhVAum-EBCq99YLNBPFpMRN8bHepIUr-/s1600/4.png" height="68" width="320" /></a></div>
<br />
<br />
Ya tenemos nuestro primer caso abierto, ahora procederemos a crear la primera sesión para nuestro caso y subiremos el pcap a analizar.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsxuI1gCWtYCy0j3KEVVYbiEvCgzzVHynCqLlYyUM1HLWlevH0m-hbu1piwRuZ86UCao2BbQYLEPHb4Rck1181UiYX_NNhr9aPF8tqnXyxbITf9g3v4vBcjaj-32Nnz_Q_ExOLqB76hIP3/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsxuI1gCWtYCy0j3KEVVYbiEvCgzzVHynCqLlYyUM1HLWlevH0m-hbu1piwRuZ86UCao2BbQYLEPHb4Rck1181UiYX_NNhr9aPF8tqnXyxbITf9g3v4vBcjaj-32Nnz_Q_ExOLqB76hIP3/s1600/5.png" height="112" width="320" /></a></div>
<br />
Para saber que nuestra caputra se ha subido, tendremos que fijarnos en la parte superior izquierda, donde pone "<i>estado</i>", que pasará de "<i>EMPTY</i>" a "<i>DECODING COMPLETED</i>" cuando finalice.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMaYT9foPv5aW28QK6mlc0cI338yt3biLH6s8zbJcIoi-eHYCTUP3vjCzxfYKfr0VdyVh0fuKi50fDYx2GMNwTewuUWRvnUGa5W5in23yBG_B5UPDtSRZHGqbOBEBZ9vvLsrO2_wrese1s/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMaYT9foPv5aW28QK6mlc0cI338yt3biLH6s8zbJcIoi-eHYCTUP3vjCzxfYKfr0VdyVh0fuKi50fDYx2GMNwTewuUWRvnUGa5W5in23yBG_B5UPDtSRZHGqbOBEBZ9vvLsrO2_wrese1s/s1600/6.png" height="112" width="320" /></a></div>
<br />
Ahora sólo nos queda ir viendo en cada apartado (cuadro lateral izquierdo) los datos capturados:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQZsD277elYeVFaYVNJaqttGwU8xSRQock4x1fApWlDrsE2MoWv3KgJcRpgTfE-ZlfCIn-1Q26Vmy9c9j7JX641phNZaFFQC9df0I3aLDq8fMHQoc8bxyVy7OhJh6VSF0XK66WwLReX3vG/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQZsD277elYeVFaYVNJaqttGwU8xSRQock4x1fApWlDrsE2MoWv3KgJcRpgTfE-ZlfCIn-1Q26Vmy9c9j7JX641phNZaFFQC9df0I3aLDq8fMHQoc8bxyVy7OhJh6VSF0XK66WwLReX3vG/s1600/7.png" height="124" width="320" /></a></div>
<br />
<br />
Os dejo con un link de una demo online de esta fantástica herramienta por si decidís echarla un vistazo.<br />
<br />
Xplico Online: <a href="http://demo.xplico.org/users/login">http://demo.xplico.org/users/login</a><br />
<br />
Y por si queréis descargaros pcap´s de muestras de malware o exploit kit´s para probar la herramienta o simplemente juguetear como queráis, os dejo el siguiente link:<br />
<br />
<div style="text-align: center;">
<a href="http://malware-traffic-analysis.net/index.html">http://malware-traffic-analysis.net/index.html </a></div>
<br />
<br />
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<iframe allowfullscreen="" frameborder="0" height="315" src="//www.youtube.com/embed/CZ9jFw7HURw" width="420"></iframe>
</div>
<br />
<br />
<br />
Saludos!!!<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<span style="font-size: x-small;"><a href="http://www.xplico.org/">http://www.xplico.org/</a><br /><a href="http://highsec.es/2013/09/como-analizar-el-trafico-capturado-xplico/">http://highsec.es/2013/09/como-analizar-el-trafico-capturado-xplico/</a><br /><a href="http://seguridadyredes.wordpress.com/2011/05/17/analisis-de-trafico-de-red-usando-xplico-en-modo-consola/">http://seguridadyredes.wordpress.com/2011/05/17/analisis-de-trafico-de-red-usando-xplico-en-modo-consola/</a><br /><a href="http://seguridadyredes.wordpress.com/2010/06/09/xplico-analizando-e-interpretando-nuestras-capturas-pcap/">http://seguridadyredes.wordpress.com/2010/06/09/xplico-analizando-e-interpretando-nuestras-capturas-pcap/</a><br /><a href="http://seguridadyredes.wordpress.com/2010/06/11/xplico-analizando-e-interpretando-nuestras-capturas-pcap-algunas-consideraciones/">http://seguridadyredes.wordpress.com/2010/06/11/xplico-analizando-e-interpretando-nuestras-capturas-pcap-algunas-consideraciones/ </a></span><a href="http://seguridadyredes.wordpress.com/2010/06/11/xplico-analizando-e-interpretando-nuestras-capturas-pcap-algunas-consideraciones/"> </a><br />
<span id="goog_1782051819"></span><span id="goog_1782051820"></span><br />
<span id="goog_1782051819"></span><span id="goog_1782051820"></span><br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />
<br />
<br />
<br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-65239224377873851282014-05-04T05:02:00.000-07:002014-05-04T05:02:06.771-07:00Cryptcat - Creando un chat simple, pero cifrado.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFRbiKesRxj8D9-baoCNc939Ib3YzUAgWB1hF93ymOiCkpqeKGHZ6FRlgo22ui3QliTOXtrQyA8g3e2MjTyn2lVKFWTznZ5IHC6nyUOl6hqqIxAJSbMHt10tOJUrIwRZ3sGCol9sgBDLBL/s1600/crypt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFRbiKesRxj8D9-baoCNc939Ib3YzUAgWB1hF93ymOiCkpqeKGHZ6FRlgo22ui3QliTOXtrQyA8g3e2MjTyn2lVKFWTznZ5IHC6nyUOl6hqqIxAJSbMHt10tOJUrIwRZ3sGCol9sgBDLBL/s1600/crypt.png" height="200" width="200" /></a></div>
<br />
<br />
Después de que se diese a conocer el espionaje masivo que se esta haciendo en todo el mundo, la gente se ha echado las manos a la cabeza y ahora se siente todo el mundo inseguro.<br />
<br />
Aunque profesionales de TI ya avisaban desde mucho antes que la seguridad no era ningún juego y había que tomarsela bien en serio, es a raíz de las filtraciones como las de Edward Snowden es cuando la gente ha empezado ha reaccionar y empezar a tomar medidas seguras en Internet.<br />
<br />
Ya que está el panorama un poco revuelto... hoy os voy a hablar de Cryptcat.<br />
<br />
<br />
<b><span style="font-size: large;">¿Qué es Cryptcat?</span></b><br />
<br />
Cryptcat es básicamente un Netcat pero encriptado, así de simple.<br />
<br />
Algunos diréis: vale muy bien, ¿y que c*****s es Netcat?<br />
<br />
"Netcat es una herramienta de red que permite a través de intérprete de comandos y con una sintaxis sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP." (<a href="http://es.wikipedia.org/wiki/Netcat">Véase Wikipedia</a>)<br />
<br />
Con Netcat toda la información viaja en texto plano, es decir, que si ponemos un sniffer en medio de la comunicación entre ambas partes podremos ver toda la información transmitida.<br />
<br />
Para solucionar este problema, se creó Cryptcat, que aumenta la seguridad encriptando la comunicación.<br />
<br />
Cryptcat utiliza el <a href="http://es.wikipedia.org/wiki/Twofish">cifrado Twofish</a>, el cual es un algoritmo de clave simétrica cuyo tamaño de bloque es de 128 bits y el tamaño de clave es de 256 bits (2 elevado a la 256 es el número de claves posibles), por lo que utiliza la misma clave para cifrar y descifrar la comunicación, que si bien actualmente es considerado bastante robusto, sufre del mismo inconveniente que todos los algoritmos de este tipo, que la clave debe de ser conocida tanto por el emisor y el receptor y muchas veces el intercambio de esta clave se lleva a cabo en entornos “no seguros”.<br />
<br />
La página oficial de Cryptcat es <a href="http://cryptcat.sourceforge.net/">http://cryptcat.sourceforge.net/</a>.<br />
<br />
<br />
<b><span style="font-size: large;">PoC</span></b><br />
<br />
Bueno, ya sabemos un poquito más sobre esta magnífica herramienta, así que ahora pasemos a crearnos nuestro chat.<br />
<br />
Este chat no tiene dibujitos, una interfaz gráfica, emoticonos ni nada por el estilo, ya que al ser por linea de comandos básicamente va a cumplir su función de chat encriptado y nada más, bueno sí, podremos transferir archivos.<br />
<br />
Lo primero que haremos será ver las opciones que contiene con el parámetro "-h".<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-gjFIdy6qMCer6GzjOTS-_soNVS1TVmz1StHbgZAlO_CkdAZloZoMjl4LKVnxwF6NApGrnrHHBK8z0qPpWcLn1NVddrF52SmzkmY0JtU-9cQ5kOu28baRtW9eidfTfxidv9KIUfvn7gWH/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-gjFIdy6qMCer6GzjOTS-_soNVS1TVmz1StHbgZAlO_CkdAZloZoMjl4LKVnxwF6NApGrnrHHBK8z0qPpWcLn1NVddrF52SmzkmY0JtU-9cQ5kOu28baRtW9eidfTfxidv9KIUfvn7gWH/s1600/1.png" height="189" width="320" /></a></div>
<br />
Sabiendo las opciones de las que disponemos, empezaremos poniendo en el "equipo 1" cryptcat a la escucha:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSeUNZxoJJcXRTwrTKGLp4xTF7sxqJ_Wy1CHYo6oKtmtD50RqXMh16Qy5t3yznulWawiEHrzqieJw0Z4u3rzQ0t6Ge23aMcExUYSbbKmHcF847MLRp0I6s44jmDkqoysISOaa7Y3voDFwj/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSeUNZxoJJcXRTwrTKGLp4xTF7sxqJ_Wy1CHYo6oKtmtD50RqXMh16Qy5t3yznulWawiEHrzqieJw0Z4u3rzQ0t6Ge23aMcExUYSbbKmHcF847MLRp0I6s44jmDkqoysISOaa7Y3voDFwj/s1600/2.png" height="160" width="320" /></a></div>
<br />
Con el parámetro "-l" indicamos que se ponga a la escucha, y con "-p 4444" indicamos que sea en el puerto 4444.<br />
<br />
Ahora con el "equipo 2" conectaremos al "equipo 1" para establecer la comunicación y empezar a conversar.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2DHrchlfZW5A7AIByRaCGW_9MMUhln6LeEgXOZd9YqmHxUzn2BmQ3ob7ocxBh1RpqYtnJ5n8C9n4GKzw6kRnsVUNcmli52DavQC1HKVTdbcBpdrfegatDB-URNyKiz4bpqrPfyl1ix1FZ/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2DHrchlfZW5A7AIByRaCGW_9MMUhln6LeEgXOZd9YqmHxUzn2BmQ3ob7ocxBh1RpqYtnJ5n8C9n4GKzw6kRnsVUNcmli52DavQC1HKVTdbcBpdrfegatDB-URNyKiz4bpqrPfyl1ix1FZ/s1600/3.png" height="188" width="320" /></a></div>
<div style="text-align: center;">
<span style="font-size: x-small;">Equipo 2 manda primer mensaje</span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHjhm4Es6JCILSgcRY_4j1G-OF0oHXIBZYUm4d0xtDvmFFxkJm3ikg5RXjLqwmWXJiUmL8viUP13oqdI750mqzum9i7Wzuy37nKLNjvsDwBByIKa2TnG_rnYInqIi2E7FvTFAG_4YqCKW5/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHjhm4Es6JCILSgcRY_4j1G-OF0oHXIBZYUm4d0xtDvmFFxkJm3ikg5RXjLqwmWXJiUmL8viUP13oqdI750mqzum9i7Wzuy37nKLNjvsDwBByIKa2TnG_rnYInqIi2E7FvTFAG_4YqCKW5/s1600/4.png" height="160" width="320" /></a></div>
<div style="text-align: center;">
<span style="font-size: x-small;">Equipo 1 recibe mensaje y responde.</span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_VRKU1Fb16CN8aJJPeOpCJ9rMW9ZpCCgFAj5Lwq9TvD6O-f3-9D4xFVAFLQYNqW2nYUx_e1AsBNWHf6zZCfNgPIBPfnQu-jo4CytPZHpexFznCdda4R7k1UYIxPqlS3cJGbt7T07QAYGB/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_VRKU1Fb16CN8aJJPeOpCJ9rMW9ZpCCgFAj5Lwq9TvD6O-f3-9D4xFVAFLQYNqW2nYUx_e1AsBNWHf6zZCfNgPIBPfnQu-jo4CytPZHpexFznCdda4R7k1UYIxPqlS3cJGbt7T07QAYGB/s1600/5.png" height="189" width="320" /></a></div>
<div style="text-align: center;">
<span style="font-size: x-small;">Equipo2 recibe la respuesta.</span></div>
<br />
Ahora, vamos a ver como podríamos enviar un archivo:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUwVXvY_P1xd3TbgXrQjkdleZb8qE_pFQWUdyUgr-TO1v0XXkCVIc4jTL9x8QhBQtloX58ujn52j4MsddbeJjjdMSb0JGMf14aOmiPC4LXkczC8OnFMvDWKu2l_rkCK5dYjCzyZpK9VHpf/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUwVXvY_P1xd3TbgXrQjkdleZb8qE_pFQWUdyUgr-TO1v0XXkCVIc4jTL9x8QhBQtloX58ujn52j4MsddbeJjjdMSb0JGMf14aOmiPC4LXkczC8OnFMvDWKu2l_rkCK5dYjCzyZpK9VHpf/s1600/6.png" height="160" width="320" /></a></div>
<div style="text-align: center;">
<span style="font-size: x-small;">Equipo 1 a la espera del archivo.</span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHqacvPhiuaymDDnOcPbsmRgwL4LQjKbe9Y7C8kS-TwUdt0VjkE9pYGBqcFGIZZ5scqNhD-Nu69OingICT2jHuEHmY9DETi8YtrtMJwjNth_v5UEuBq_kRtsDWv3CBCQ_QAWdLodoJFctW/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHqacvPhiuaymDDnOcPbsmRgwL4LQjKbe9Y7C8kS-TwUdt0VjkE9pYGBqcFGIZZ5scqNhD-Nu69OingICT2jHuEHmY9DETi8YtrtMJwjNth_v5UEuBq_kRtsDWv3CBCQ_QAWdLodoJFctW/s1600/7.png" height="160" width="320" /></a></div>
<div style="text-align: center;">
<span style="font-size: x-small;">Equipo 2 envía el archivo.</span></div>
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWISztLWATIQ5ppt905rnliEjYrJ7gzKC9RlTKPcB9o98GrzRxeJ4d2qrDiz9SWm-DdctlntZRKsS8FvO5H2q_kpl5U4sl5ALRNXD8wsQ7Ka7Gk0MslCWmPRghb0L2bExlKvCbmXxOvcWj/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWISztLWATIQ5ppt905rnliEjYrJ7gzKC9RlTKPcB9o98GrzRxeJ4d2qrDiz9SWm-DdctlntZRKsS8FvO5H2q_kpl5U4sl5ALRNXD8wsQ7Ka7Gk0MslCWmPRghb0L2bExlKvCbmXxOvcWj/s1600/8.png" height="99" width="320" /></a></div>
<div style="text-align: center;">
<span style="font-size: x-small;">Archivo recibido.</span></div>
<br />
¿Habrá capturado algún tipo de información nuestro sniffer mientras se hacía la transferencia?<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBxSGda1Fhr1yMr0X5VcsWnbGwSkbbID9NGHR1rGtEH2CGtXhpGE0u4T6dkehFVgr3Vc2DX2m9Nk3ZG1Dx2SuVDsF-lqrWP9MpkSxorBpEraf5AYEYnlyjKBmy6rHeMkelps45r6TdT5JG/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBxSGda1Fhr1yMr0X5VcsWnbGwSkbbID9NGHR1rGtEH2CGtXhpGE0u4T6dkehFVgr3Vc2DX2m9Nk3ZG1Dx2SuVDsF-lqrWP9MpkSxorBpEraf5AYEYnlyjKBmy6rHeMkelps45r6TdT5JG/s1600/9.png" height="208" width="320" /></a></div>
<br />
Visto lo visto podemos decir que no... xD<br />
<br />
Espero que les haya gustado.<br />
<br />
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<iframe width="560" height="315" src="//www.youtube.com/embed/z04YgdWx4_Y" frameborder="0" allowfullscreen></iframe>
</div>
<br />
Saludos.<br />
<br />
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<a href="http://sourceforge.net/projects/cryptcat/files/cryptcat-win-1.2/1.0.0/"><span style="font-size: x-small;">http://sourceforge.net/projects/cryptcat/files/cryptcat-win-1.2/1.0.0/</span></a><br />
<a href="http://cryptcat.sourceforge.net/"><span style="font-size: x-small;">http://cryptcat.sourceforge.net/</span></a><br />
<a href="http://thehackerway.com/2013/04/24/pasando-de-netcat-a-cryptcat/"><span style="font-size: x-small;">http://thehackerway.com/2013/04/24/pasando-de-netcat-a-cryptcat/</span></a><br />
<a href="http://www.g-loaded.eu/2006/11/06/netcat-a-couple-of-useful-examples/"><span style="font-size: x-small;">http://www.g-loaded.eu/2006/11/06/netcat-a-couple-of-useful-examples/ </span></a><br />
<br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-17593426138023423582014-05-03T00:57:00.003-07:002014-05-03T00:58:24.816-07:00Fuzzing - Directory Brute Forcing<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheGrD_EqNA-d8ZJqAfUdpacs-QKRT-41ZemLAe4PnimMnqwxBEslalXXOzRvJE6FXneXP4_tNJtdZ9ZhkYoSvnUV86kHqAmXP1wbOsFd9htCUj1lWx3CMNDdNGDu8r_6EL4Hj8L3V3gAXS/s1600/Fuzzing.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheGrD_EqNA-d8ZJqAfUdpacs-QKRT-41ZemLAe4PnimMnqwxBEslalXXOzRvJE6FXneXP4_tNJtdZ9ZhkYoSvnUV86kHqAmXP1wbOsFd9htCUj1lWx3CMNDdNGDu8r_6EL4Hj8L3V3gAXS/s1600/Fuzzing.png" height="113" width="320" /></a></div>
<br />
Cada día nos encontramos con noticias sobre nuevas vulnerabilidades encontradas o algún ataque que aprovecha algún 0day que compromete miles de sistemas.<br />
<br />
Hoy vamos a ver una técnica que se utiliza para infinitas tareas, como por ejemplo descubrir directorios en un sitio web, encontrar vulnerabilidades en algún software, etc.<br />
<br />
Dicha técnica es la denominada Fuzzing (Test Fuzz). <br />
<br />
<br />
<span style="font-size: large;"><b>¿Qué es el Fuzzing?</b></span><br />
<br />
Se llama fuzzing a las diferentes técnicas de testeo de software capaces de generar y enviar datos secuenciales o aleatorios a una o varias áreas o puntos de una aplicación, con el objetivo de detectar defectos o vulnerabilidades existentes en el software auditado.<br />
Es utilizado como complemento a las prácticas habituales de chequeo de software, ya que proporcionan cobertura a fallos de datos y regiones de código no testados.<br />
<br />
<br />
Para la prueba de concepto de hoy, vamos a utilizar esta técnica para descubrir directorios "ocultos" mediante fuerza bruta (Directory Brute Forcing), es decir, que no aparezcan a simple vista en la web, como pueden ser archivos de configuración, archivos de instalación, paneles de administración, etc.<br />
<br />
<br />
Lo primero que haremos será descargarnos un Fuzzer:<br />
<br />
<i>Powefuzzer</i>: <a href="http://www.powerfuzzer.com/">http://www.powerfuzzer.com/</a><br />
<br />
<i>Wfuzz</i>: <a href="http://www.edge-security.com/wfuzz.php">http://www.edge-security.com/wfuzz.php</a><br />
<br />
<i>DirBuster</i>: <a href="http://sourceforge.net/projects/dirbuster/">http://sourceforge.net/projects/dirbuster/</a><br />
<br />
<br />
Yo utilizaré <i>DirBuster </i>por su interfaz gráfica y su comodidad.<br />
<br />
<br />
<b><span style="font-size: large;">¿Cómo funciona? </span></b><br />
<br />
Para poder encontrar los directorios, ficheros o archivos que no podemos ver a simple vista en la web, el fuzzer realizará fuerza bruta mediante los métodos GET / HEAD.<br />
<br />
Imaginemos que nuestra web es la siguiente: hxxp://www.webdepruebas.com/, y queremos encontrar su panel de administración.<br />
<br />
Pues bien, si el panel está en la dirección hxxp://www.webdepruebas.com/panel/ y en el diccionario que le pasemos (si el ataque los hacemos por diccionario) al fuzzer tenemos la palabra "panel", al realizar el ataque de fuerza bruta obtendrá la respuesta del servidor con el <a href="http://es.wikipedia.org/wiki/Anexo:C%C3%B3digos_de_estado_HTTP">código de estado</a> que corresponda. (<a href="https://support.google.com/webmasters/answer/40132?hl=es">Ver significado de los códigos</a>)<br />
<br />
El código 200, significa que el directorio es correcto y es accesible, por lo que podremos acceder a él sin problemas.<br />
Si recibimos un status 401, significa que el directorio es correcto, pero no es accesible por la configuración de seguridad.<br />
Por el contrario, si recibimos un 404, significará que el directorio no ha sido encontrado.<br />
<br />
Recomiendo leerse primero los significados de cada status antes de lanzarse a probar estas herramientas.<br />
<br />
<br />
<b><span style="font-size: large;">PoC</span></b><br />
<br />
Bien, vamos a la prueba de concepto.<br />
<br />
Según arrancamos <i>DirBuster</i> nos encontramos con la siguiente interfaz, en las que os voy a explicar brevemente para que sirve cada campo:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZMe7iGylOrfrUL4hAWlWD-ii2d8jB5jloM_xKjH3cZu-W5xL2hjBqGXHqPvSAOu3pXfRoGVpaFzt4MVd83Y_89pEdkAJO5DjqCNq8rZoE28yPNu-UPdMHhFJ-b-4EtFVXkj3nyvAjppgF/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZMe7iGylOrfrUL4hAWlWD-ii2d8jB5jloM_xKjH3cZu-W5xL2hjBqGXHqPvSAOu3pXfRoGVpaFzt4MVd83Y_89pEdkAJO5DjqCNq8rZoE28yPNu-UPdMHhFJ-b-4EtFVXkj3nyvAjppgF/s1600/1.png" height="173" width="320" /></a></div>
<ol>
<li>Aquí escribiremos la dirección url del target, en el que podremos indicar el número de puerto al que atacar.</li>
<li>Especificamos si queremos utilizar el ataque solamente mediante el metodo GET, o que pruebe mediante HEAD / GET.</li>
<li>Elegimos la velocidad con la que realizará las peticiones. Si elegimos "<i>Go Faster</i>" subirá a 200.</li>
<li>Aquí podremos elegir si realizar el ataque por fuerza bruta, o mediante diccionario.</li>
<li>Seleccionamos donde queremos realizar el fuzzing, a partir de la raíz ( / ) o si queremos buscar un archivo (/test.html?url={dir}.asp).</li>
<li>Una vez configurado todo, pulsaremos <i>"Start"</i> para empezar con el ataque.</li>
</ol>
<br />
En la siguiente ventana se nos mostrarán las peticiones realizadas con su correspondiente status.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGw1orkyma0FsqygwB4dNxa9rtmihoDnGLvscrqUuM7Sh1uvWtxP8D-rZbOOJR3xunD9PNy_q6lQdESK7vMOP6Uyh0tFLyuAq-u2X5waWlL80ZqSsQW5rp2sa8eisIPjnGgTGZregxvobY/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGw1orkyma0FsqygwB4dNxa9rtmihoDnGLvscrqUuM7Sh1uvWtxP8D-rZbOOJR3xunD9PNy_q6lQdESK7vMOP6Uyh0tFLyuAq-u2X5waWlL80ZqSsQW5rp2sa8eisIPjnGgTGZregxvobY/s1600/2.png" height="173" width="320" /></a></div>
<br />
También podemos visualizarlo en modo árbol de directorios:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzuP8GMVSZjor1bxkSR14DENmtYWSARFjR3lnjhtKUX7doeIbZYuhp7W1TyTUWSbCV0nZM3RgMEDKkY9Xr9jO39yzi_Ee9kZfo-WbS5BHxx6s32vCvi5AGFtG-5ktQtE2wUUSRovM1_M30/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzuP8GMVSZjor1bxkSR14DENmtYWSARFjR3lnjhtKUX7doeIbZYuhp7W1TyTUWSbCV0nZM3RgMEDKkY9Xr9jO39yzi_Ee9kZfo-WbS5BHxx6s32vCvi5AGFtG-5ktQtE2wUUSRovM1_M30/s1600/3.png" height="173" width="320" /></a></div>
<br />
Una vez finalizado, podremos generar el reporte:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiP1YCxwPQAUVzqH8IBmQeJr_6VeD1c1hPJshRTDO6SNg3Nh6_q0Xt6u5fmAaYDv_hFlYDZKVKd7EFI8iM8FPcEeDPWe57kuE4yU_-xoeesM4OTVs_MI0z8y5R2zCVKjPW7hMDZFo5V6POm/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiP1YCxwPQAUVzqH8IBmQeJr_6VeD1c1hPJshRTDO6SNg3Nh6_q0Xt6u5fmAaYDv_hFlYDZKVKd7EFI8iM8FPcEeDPWe57kuE4yU_-xoeesM4OTVs_MI0z8y5R2zCVKjPW7hMDZFo5V6POm/s1600/4.png" height="173" width="320" /></a></div>
<br />
Como hemos podido ver, hay un fichero llamado "<i>login.asp</i>" con status 200, veámos que contiene...<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAKvdrDGm9fJhyoUgF6CYI1Kx5e9nTjaJMKf1uAxjemMNj5hd4MFbNGCHwVQTQCA7FlWQHucgHa3GMYmfL22PlU4avLK966p4bqfPdY2Gn1FIZUAiW5hl-CR_tvp8t5XFzltSuFinHxnAk/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAKvdrDGm9fJhyoUgF6CYI1Kx5e9nTjaJMKf1uAxjemMNj5hd4MFbNGCHwVQTQCA7FlWQHucgHa3GMYmfL22PlU4avLK966p4bqfPdY2Gn1FIZUAiW5hl-CR_tvp8t5XFzltSuFinHxnAk/s1600/5.png" height="104" width="320" /></a></div>
<br />
Al parecer no ha sido un falso positivo y sí que se puede acceder a él, en este caso se trata de un panel de login como su nombre indica, pero podríamos encontrar todo tipo de archivos o directorios según cuán en serio se hayan tomado la seguridad del sitio web.<br />
<br />
Os dejo con un video para que veáis el funcionamiento de otro gran fuzzer: Wfuzz.<br />
<br />
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<iframe allowfullscreen="" frameborder="0" height="315" src="//www.youtube-nocookie.com/embed/ASMW_oLbyIg" width="420"></iframe>
</div>
<br />
<br />
Saludos.<br />
<br />
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<a href="http://blog.s21sec.com/2007/07/nuevo-artculo-fuzzing-y-seguridad.html"><span style="font-size: x-small;">http://blog.s21sec.com/2007/07/nuevo-artculo-fuzzing-y-seguridad.html</span></a><br />
<a href="http://eternal-todo.com/files/articles/fuzzing.pdf"><span style="font-size: x-small;">http://eternal-todo.com/files/articles/fuzzing.pdf</span></a><br />
<a href="https://www.owasp.org/index.php/Fuzzing"><span style="font-size: x-small;">https://www.owasp.org/index.php/Fuzzing</span></a><br />
<a href="http://www.aqualab.cs.northwestern.edu/conferences/HotWeb08/papers/Hammersland-FTW.pdf"><span style="font-size: x-small;">http://www.aqualab.cs.northwestern.edu/conferences/HotWeb08/papers/Hammersland-FTW.pdf</span></a><br />
<a href="http://hack2sec.wordpress.com/2009/04/08/fuzzing/"><span style="font-size: x-small;">http://hack2sec.wordpress.com/2009/04/08/fuzzing/</span></a><br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-57086286217569313392014-04-27T14:15:00.000-07:002014-04-27T14:15:53.708-07:00SQLmap - Herramienta para explotar vulnerabilidades SQLInjection<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoOBlC-YF3ap5G46h3Fg1rfgCr22IaBB3w4sWJUYn7nkzYYrnd2GOfVBxSVXlCeL3Z4M_r9zw81IaLw7iMXkYEa1v7-0CtEJPiEa9yDlX3BPTFnpLO6DRkv4lSxowk1AXV7Ts44fGHit-P/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoOBlC-YF3ap5G46h3Fg1rfgCr22IaBB3w4sWJUYn7nkzYYrnd2GOfVBxSVXlCeL3Z4M_r9zw81IaLw7iMXkYEa1v7-0CtEJPiEa9yDlX3BPTFnpLO6DRkv4lSxowk1AXV7Ts44fGHit-P/s1600/1.png" /></a></div>
<br />
<br />
SQLmap es <span class="" id="result_box" lang="es"><span class="hps">una herramienta de</span> <span class="hps">pruebas de penetración</span> <span class="hps">de código abierto, que automatiza </span></span><span class="" id="result_box" lang="es"><span class="hps">el proceso de detectar</span> <span class="hps">y explotar</span> <span class="hps">los errores de inyección</span> <span class="hps">SQL.</span></span><br />
<br />
<span class="" id="result_box" lang="es"><span class="hps">Esta herramienta realiza </span></span>peticiones a los parámetros de una URL que se le indique, ya sea mediante una petición GET, POST, en las cookies, etc. <span style="font-size: small;">E</span>s capaz de explotar todo tipo de inyeccion sql.<br />
<br />
La herramienta dispone de un wizard para ayudar a los principiantes, aunque recomiendo que no se utilice para acostumbrarse a todas sus funciones, así sabremos bien lo que hacemos en cada momento.<br />
<br />
SQLmap es una herramienta que está escrita en python y se puede descargar desde su página oficial:<br />
<br />
<div style="text-align: center;">
<a href="http://sqlmap.org/">http://sqlmap.org/ </a></div>
<br />
<br />
<b><span style="font-size: large;">PoC </span></b><br />
<br />
Para la prueba de concepto vamos a utilizar una web de Acunetix destinada a pruebas online, así vosotros mismos podréis seguir los ejemplos mientras leéis.<br />
<br />
La url es la siguiente: <a href="http://testasp.vulnweb.com/showthread.asp?id=1">http://testasp.vulnweb.com/showthread.asp?id=1</a><br />
<br />
Para ver las opciones de las que disponemos con esta tool ejecutaremos el siguiente comando:<br />
<div style="text-align: center;">
<span style="color: lime;">python sqlmap.py -h</span></div>
<div style="text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8PFKK_1ngGXx-voGgT76C1X1kjOUVDWi7f_Ga-bt21TUIjapUkIeaYOnMhE7sPaVIUH4iWtFQji7buSm06mof45Fegb-AJu5JAo9m-jvDh210BWPqeY-hQhEJHm-_ZU_eQe9aQGh-t6Tn/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8PFKK_1ngGXx-voGgT76C1X1kjOUVDWi7f_Ga-bt21TUIjapUkIeaYOnMhE7sPaVIUH4iWtFQji7buSm06mof45Fegb-AJu5JAo9m-jvDh210BWPqeY-hQhEJHm-_ZU_eQe9aQGh-t6Tn/s1600/2.png" height="164" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEix1LPq8UgP79J2pQOO70J16M4avtfAG2rKJRKdsNOo4GYGrhE8sQxD_UUPLzaS0LbJr3EGw96RI6Zrc3SWy89bUyGIe5v2jDr4ARtWcuYJeT5cVyDA9gJavi3_jbDQUSxXH1dDBLIQEBGO/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEix1LPq8UgP79J2pQOO70J16M4avtfAG2rKJRKdsNOo4GYGrhE8sQxD_UUPLzaS0LbJr3EGw96RI6Zrc3SWy89bUyGIe5v2jDr4ARtWcuYJeT5cVyDA9gJavi3_jbDQUSxXH1dDBLIQEBGO/s1600/3.png" height="160" width="320" /></a></div>
<br />
<br />
Como podéis ver tiene bastantes opciones...<br />
<br />
Bien, vamos a realizar una prueba con la web que os comentaba.<br />
<br />
<div style="text-align: center;">
<span style="color: lime;">python sqlmap.py -v 2 --url=http://testasp.vulnweb.com/showthread.asp?id=1 --dbs</span></div>
<br />
<ul>
<li>-v 2: Elegimos el nivel 2 en Verbose, es decir, cuán detallado queremos que sea.</li>
<li>--url: Escribimos el Target.</li>
<li>--dbs: Indicamos que nos muestre las bases de datos.</li>
</ul>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjF8r-Q11SA6gEyrmAGs1WT4LRz5lCBIO9Qx-tFq18wCQ2Sisw-mkehR6bMX8apdQ2Xdy6Uq0eDZKfZnKL9FJWGH4w8Pgb5UQxo8LFt70M9wLKnIqyoNY5fOYOrxPxfC22qXQpsdEpv684h/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjF8r-Q11SA6gEyrmAGs1WT4LRz5lCBIO9Qx-tFq18wCQ2Sisw-mkehR6bMX8apdQ2Xdy6Uq0eDZKfZnKL9FJWGH4w8Pgb5UQxo8LFt70M9wLKnIqyoNY5fOYOrxPxfC22qXQpsdEpv684h/s1600/4.png" height="121" width="320" /></a></div>
<br />
<br />
<br />
Ahí las tenemos!!! ahora con el parámetro "--tables", le indicaremos que nos muestre las tablas de la base de datos que seleccionemos con el parámetro "-D database".<br />
<br />
<div style="text-align: center;">
<span style="color: lime;">python sqlmap.py -v 2 --url=http://testasp.vulnweb.com/showthread.asp?id=1 -D master --tables</span></div>
<div style="text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0mBSTEadPbgOJUX3nNmqU0WF6GsnVnzXM0xUDf4Se9oCfpGZYHUbsBqJl38Oxv52emAYcyTZ8PH068HFWh1k0LJ-B_ttYhPVL33upglW9mKHQIP9o62CFPa6PLyLVN5wx56_uvQYASUnn/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0mBSTEadPbgOJUX3nNmqU0WF6GsnVnzXM0xUDf4Se9oCfpGZYHUbsBqJl38Oxv52emAYcyTZ8PH068HFWh1k0LJ-B_ttYhPVL33upglW9mKHQIP9o62CFPa6PLyLVN5wx56_uvQYASUnn/s1600/5.png" height="163" width="320" /></a></div>
<div style="text-align: left;">
<br /></div>
Perfecto, ahora nos toca enumerar las columnas de la tabla que seleccionemos.<br />
<br />
<div style="text-align: center;">
<span style="color: lime;">python sqlmap.py -v 2 --url=http://testasp.vulnweb.com/showthread.asp?id=1 -D master -T sys.syslogins --columns password --dump</span></div>
<div style="text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmAhNNsEBoxmqTC9bvEcPn5IQeefbl98yvTbSw_F_pX8Le-0093T8wcbgqhSr2C8gnzu_MKrIhdkMX4atlTDFgMbtigN5-hxLcTUc7LH0q3k6yMdX9-2MANC9SZfk2kE_EIEDaI8aPslCe/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmAhNNsEBoxmqTC9bvEcPn5IQeefbl98yvTbSw_F_pX8Le-0093T8wcbgqhSr2C8gnzu_MKrIhdkMX4atlTDFgMbtigN5-hxLcTUc7LH0q3k6yMdX9-2MANC9SZfk2kE_EIEDaI8aPslCe/s1600/6.png" height="145" width="320" /></a></div>
<div style="text-align: left;">
<br />
Por último, queda por volcar los datos de la siguiente manera.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: center;">
<span style="color: lime;">python sqlmap.py -v 2 --url=http://testasp.vulnweb.com/showthread.asp?id=1 -D master -T sys.syslogins -C loginname --dump</span></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhS8mDio7S7-rapLvsnzobTlHdvhWX6MUvnonpOoYdHJsa2yiUwfdGL_O5lSVhYqGQyDUQoxMg21qJThRMiRj96kT0_ZaAFvMnkxp4RFP_BOLimYIunP8oiQvDPdh1KgmNJLuANADCICWBb/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhS8mDio7S7-rapLvsnzobTlHdvhWX6MUvnonpOoYdHJsa2yiUwfdGL_O5lSVhYqGQyDUQoxMg21qJThRMiRj96kT0_ZaAFvMnkxp4RFP_BOLimYIunP8oiQvDPdh1KgmNJLuANADCICWBb/s1600/7.png" height="53" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8Jc9-2TjqKJEAMLARFTbhaX9Gs4SVUJwpNEzL09tqs0Nb9Qz84Mkskg7VMSMekc13WZlkMRKu0HoN6S0IpfAAyaKdC6gjtVZxGX617PXN5dooG4j8kSLyY86DcEENEY2_9Fb5c4rfDr0e/s1600/1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8Jc9-2TjqKJEAMLARFTbhaX9Gs4SVUJwpNEzL09tqs0Nb9Qz84Mkskg7VMSMekc13WZlkMRKu0HoN6S0IpfAAyaKdC6gjtVZxGX617PXN5dooG4j8kSLyY86DcEENEY2_9Fb5c4rfDr0e/s1600/1.jpg" /></a></div>
<div style="text-align: center;">
<br /></div>
Listo!!! ya tenemos los datos que buscabamos, ahora podríais intentar conseguir una shell mediante el parámetro "--os-shell", pero os dejo que os divirtáis investigando por vuestra cuenta xD<br />
<br />
Os dejo con un video sobre SQLmap.<br />
<br />
<br />
Saludos.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='420' height='366' src='https://www.youtube.com/embed/22697UylT34?feature=player_embedded' frameborder='0'></iframe></div>
<br />
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<span style="font-size: x-small;"><a href="http://sqlmap.org/">http://sqlmap.org/</a> </span><br />
<a href="https://www.owasp.org/index.php/Automated_Audit_using_SQLMap"><span style="font-size: x-small;">https://www.owasp.org/index.php/Automated_Audit_using_SQLMap</span></a><br />
<a href="http://highsec.es/2013/08/sqlmap-explotando-una-sql-injection/"><span style="font-size: x-small;">http://highsec.es/2013/08/sqlmap-explotando-una-sql-injection/</span></a><br />
<span style="font-size: x-small;"><br /></span>
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-12112091906480763002014-04-26T03:48:00.000-07:002014-04-26T03:48:19.785-07:00ProcDot - herramienta para visualización gráfica de malware<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgvZAMCO4Y6SBTkHlfCxgsMDWtc7KVAoUb-1rWaqHgT__MyGlda4ADzqOMDu9xF8idezTuP6XguzYI6aG37Afn3zLS3_LyVjTIe5DU8r58Yjmu47HK3ut8ha9dk1nKS4ePvKZud8fXIosKr/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgvZAMCO4Y6SBTkHlfCxgsMDWtc7KVAoUb-1rWaqHgT__MyGlda4ADzqOMDu9xF8idezTuP6XguzYI6aG37Afn3zLS3_LyVjTIe5DU8r58Yjmu47HK3ut8ha9dk1nKS4ePvKZud8fXIosKr/s1600/1.png" height="119" width="320" /></a></div>
<br />
<br />
ProcDot es una herramienta diseñada para ayudar al analista de malware a visualizar gráficamente la actividad de la muestra.<br />
<br />
Para poder mostrar dicho gráfico utiliza <a href="http://technet.microsoft.com/es-es/sysinternals/bb896645.aspx">Process Monitor (Procmon)</a>, <a href="http://www.winpcap.org/windump/">Windump</a> y <a href="http://www.graphviz.org/Download..php">Graphviz</a>.<br />
<br />
<br />
<b><span style="font-size: large;">¿Cómo funciona? </span></b><br />
<br />
Una vez capturamos todas las conexiones de red con Windump, debemos guardarlo en un archivo ".pcap".<br />
<br />
Luego en Procmon guardaremos los eventos en un fichero con extensión ".CSV".<br />
<br />
Con estos dos ficheros ProcDot generará un gráfico en función del tiempo, donde podremos ver las actividades que se han realizado en la máquina infectada.<br />
<br />
En dicho gráfico podremos observar como se reproduce la muestra en el equipo (cambios en el registro, creación de archivos y ejecución de procesos entre otros datos).<br />
<br />
<br />
<b><span style="font-size: large;">Configuración</span></b><br />
<br />
Para que funcione correctamente esta herramienta, aparte de instalar los 3 programas ya mencionados al principio de la entrada, debemos configurarlos.<br />
<br />
Lo primero que haremos será agregar el filtro "Thread ID" en Procmon, para eso iremos a la siguiente ruta: <span style="color: lime;"><i>Options->Select Columns</i></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGZYDODJ3zn_2UN9iAER_TXs63WYf7ErOYFK_bGlq08RUNoxz7xhnA4g_zryIW_h_JGKiVzTH_YsTEF0XydxvoBsDDaZXVtcbYyQE83cMIrouE1lkzDFn9OgBcW24IeLo2VPg6i3rPFe6z/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGZYDODJ3zn_2UN9iAER_TXs63WYf7ErOYFK_bGlq08RUNoxz7xhnA4g_zryIW_h_JGKiVzTH_YsTEF0XydxvoBsDDaZXVtcbYyQE83cMIrouE1lkzDFn9OgBcW24IeLo2VPg6i3rPFe6z/s1600/2.png" height="305" width="320" /></a></div>
<br />
Ahora si sabemos el nombre del ejecutable malicioso, podríamos añadir un filtro para mostrar sólo el proceso que vamos a analizar, así el tamaño de nuestro <i>CSV</i> será menor al guardarlo y analizarlo.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7OrMJ2KDz1xgB10xvE-GydRHoawCltUy7uLreqzaZgUsW6QflmxmWbV073rHywaxVMILQrNIBtztfR20xzRGeLM20u0LB3Ux_UvlLViZofw0_QFfxPSOaXr2G1k9zLr1QNaLi0cA7ArDp/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7OrMJ2KDz1xgB10xvE-GydRHoawCltUy7uLreqzaZgUsW6QflmxmWbV073rHywaxVMILQrNIBtztfR20xzRGeLM20u0LB3Ux_UvlLViZofw0_QFfxPSOaXr2G1k9zLr1QNaLi0cA7ArDp/s1600/3.png" height="205" width="320" /></a></div>
<br />
Ya tenemos todo preparado, así que abriremos ProcDot para que nos genere un gráfico de la muestra.<br />
<br />
<div style="text-align: center;">
<span style="font-size: x-small;">**Yo pondré el análisis de una variante del <i>Win32/Dorkbot.B</i> que fué analizada por ESET.**</span></div>
<div style="text-align: center;">
<br /></div>
<br />
En la parte superior tendremos que buscar la ruta de los logs que hemos creado anteriormente con Procmon y Windump.<br />
<br />
Una vez seleccionados, pinchamos en "<i>Launcher</i>" para que muestre el gráfico del proceso que deseamos analizar.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXtbBqugi-sp8t-4p7ep5G9N_glo2kbk1HQEWAUJ_LeDAFyY5UCAxU35eylo_G9e9b3GUdyB-Y3a7E2WzZLidYx1zmTgk2xZoNJap2OxomVV1WIU-BzGnAwNuZg2EusAH9NyOIkPhng5LD/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXtbBqugi-sp8t-4p7ep5G9N_glo2kbk1HQEWAUJ_LeDAFyY5UCAxU35eylo_G9e9b3GUdyB-Y3a7E2WzZLidYx1zmTgk2xZoNJap2OxomVV1WIU-BzGnAwNuZg2EusAH9NyOIkPhng5LD/s1600/4.png" height="248" width="320" /></a></div>
<br />
En la parte inferior de ProcDot se nos mostrará el gráfico y podremos ir reproduciendo la actividad de la muestra del malware a medida que se va ejecutando en un sistema.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQwU5udYCMiKMl0NJOhNgYBQTOUaUylJ85eYv3PaPjZRDe0v8zGPpNcwTCtXO6W7ZRxtUoJfMSXJ-dQCIhHXp2NRtdDuVeztp8a-KUdCW8Ge4xCnOKO3eOGEIPvv0Vq6q0mHZj9KyaROo4/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQwU5udYCMiKMl0NJOhNgYBQTOUaUylJ85eYv3PaPjZRDe0v8zGPpNcwTCtXO6W7ZRxtUoJfMSXJ-dQCIhHXp2NRtdDuVeztp8a-KUdCW8Ge4xCnOKO3eOGEIPvv0Vq6q0mHZj9KyaROo4/s1600/5.png" height="134" width="320" /></a></div>
<br />
Como podéis ver, no es necesario ejecutar la muestra de malware en el mismo sistema donde se encuentre instalado ProcDot, por lo que podemos ejecutar dicha muestra en un sistema preparado para dicha función y luego pasar las capturas a un sistema seguro en el que tengamos instalado el programa.<br />
<br />
<br />
<br />
Saludos.<br />
<br />
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<a href="http://www.welivesecurity.com/la-es/2013/04/22/visualizacion-analisis-malware-procdo/"><span style="font-size: x-small;">http://www.welivesecurity.com/la-es/2013/04/22/visualizacion-analisis-malware-procdo/</span></a><br />
<span style="font-size: x-small;"><a href="http://www.procdot.com/">http://www.procdot.com/ </a></span><br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-59169525144148286752014-04-17T13:45:00.001-07:002014-04-17T13:45:38.464-07:00Fase I del proyecto '#IsTrueCryptAuditedYet' concluida<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHdv_A6lBDuAEg7Rker-vlpmlkFUbvA8LFxMVjBPvkehzCkPeoqh15bFlrzl8gHbJ21L_oO1Kkcw0CcY_ng84DFhAjbKJdxskMKJitJaVGmKg2tE3i-oKJ3lR6YK_vRParrLy_QJV51MpB/s1600/newspaper.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHdv_A6lBDuAEg7Rker-vlpmlkFUbvA8LFxMVjBPvkehzCkPeoqh15bFlrzl8gHbJ21L_oO1Kkcw0CcY_ng84DFhAjbKJdxskMKJitJaVGmKg2tE3i-oKJ3lR6YK_vRParrLy_QJV51MpB/s1600/newspaper.jpg" height="320" width="249" /></a></div>
<br />
La Fase I del proyecto '<a href="http://istruecryptauditedyet.com/">#IsTrueCryptAuditedYet</a>' ha sido concluida.<br /><br />Dicho proyecto fué organizado para realizar un análisis exhaustivo del código fuente de <a href="http://www.truecrypt.org/">Truecrypt</a>, el famoso programa de cifrado.<br /><br />El proyecto se comenzó a raíz de que se filtrasen datos de las agencias NSA y compañía y sobre su espionaje masivo.<br /><br /><b>El objetivo: </b>averiguar si Truecrypt es fiable, o por el contrario contiene alguna puerta trasera (backdoor) o código malicioso.<br /><br />La empresa detrás de dicho análisis (<a href="http://www.iseclab.org/">iSEC</a>) ha terminado su primera fase y ha publicado un informe detallado de 32 páginas. (<a href="https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf">Informe</a>)<br />En dicho informe se asegura que no se han encontrado evidencias de que exista código malicioso o alguna puerta trasera.<br />
<br />
De momento, toca esperar a la Fase II del análisis para saber si se puede confiar en dicho software.<br />
<br />
<br />
<br />
Saludos.<br />
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<a href="https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf"><span style="font-size: x-small;">https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf</span></a><br />
<a href="http://www.hackplayers.com/2013/11/podria-truecrypt-esconder-un-backdoor.html"><span style="font-size: x-small;">http://www.hackplayers.com/2013/11/podria-truecrypt-esconder-un-backdoor.html</span></a><br />
<a href="http://www.hackplayers.com/2014/04/truecrypt-es-entonces-seguro-o-no.html"><span style="font-size: x-small;">http://www.hackplayers.com/2014/04/truecrypt-es-entonces-seguro-o-no.html</span></a><br />
<span style="font-size: x-small;"> </span>systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-44189202838551534402014-04-17T08:29:00.000-07:002014-04-17T08:29:27.442-07:00Vulscan.nse - Script de análisis de vulnerabilidades para Nmap<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWEPlTxktWbNS1_jV2vocmFew98OQgBhFBa6kdP2FZb12XgjKsQnzR7ttG9Q40UbSOdugTllq7lujcyC-12BJK5pvehafy-C_N11CUp289TpFJJbsLVYkGDNx8l5QSuajsFZ85FXPkAYAc/s1600/1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWEPlTxktWbNS1_jV2vocmFew98OQgBhFBa6kdP2FZb12XgjKsQnzR7ttG9Q40UbSOdugTllq7lujcyC-12BJK5pvehafy-C_N11CUp289TpFJJbsLVYkGDNx8l5QSuajsFZ85FXPkAYAc/s1600/1.jpg" height="213" width="320" /></a></div>
<br />
<br />
<br />
Como bien sabéis, hace ya tiempo que Nmap dejó de ser sólamente un escaner de puertos.<br />
Mediante NSE (Nmap Scripting Engine) también pasó a ser un buen escaner de vulnerabilidades.<br />
<br />
Pues bien, hoy voy a hablaros de Vulscan, un modulo para Nmap que permite realizar escaneos de vulnerabilidades.<br />
<br />
<br />
<span style="font-size: large;"><b>Descarga</b></span> <br />
<br />
Dicho modulo lo podemos descargar desde su página oficial:<br />
<div style="text-align: center;">
<a href="http://www.computec.ch/projekte/vulscan/">http://www.computec.ch/projekte/vulscan/ </a></div>
<br />
<br />
<span style="font-size: large;"><b>¿Cómo funciona?</b></span><br />
<br />
Vulscan hace uso de varias bases de datos que vienen integradas en su instalación, es decir, cuando lanzamos dicho modulo con Nmap analiza el resultado que nos muestra el escaner para identificar las posibles vulnerabilidades del objetivo escaneado.<br />
<br />
Las bases de datos que contiene son las siguientes:<br />
<ul>
<li><a href="http://www.computec.ch/projekte/vulscan/download/cve.csv">cve.csv</a></li>
<li><a href="http://www.computec.ch/projekte/vulscan/download/exploitdb.csv">exploitdb.csv</a> </li>
<li><a href="http://www.computec.ch/projekte/vulscan/download/openvas.csv">openvas.csv</a> </li>
<li><a href="http://www.computec.ch/projekte/vulscan/download/osvdb.csv">osvdb.csv</a> </li>
<li><a href="http://www.computec.ch/projekte/vulscan/download/scipvuldb.csv">scipvuldb.csv</a> </li>
<li><a href="http://www.computec.ch/projekte/vulscan/download/securityfocus.csv">securityfocus.csv</a> </li>
<li><a href="http://www.computec.ch/projekte/vulscan/download/securitytracker.csv">securitytracker.csv</a> </li>
<li><a href="http://www.computec.ch/projekte/vulscan/download/xforce.csv">xforce.csv</a> </li>
</ul>
En el apartado "Download" de la página del proyecto se pueden ver dichas bases de datos.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbUUhpDre-lJ2Njp5r0SLN1TsiAbC51i30WRbgw7pFSzHKiNJPmqXkxOVjifBiB-Sv8L6hCxwjxeipx8eg_HnS3yeHdw7aquUG79CMZzh0oXS1UHD8IZbWdrIlYcvHdI9f0Z5rVqCOKPCd/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbUUhpDre-lJ2Njp5r0SLN1TsiAbC51i30WRbgw7pFSzHKiNJPmqXkxOVjifBiB-Sv8L6hCxwjxeipx8eg_HnS3yeHdw7aquUG79CMZzh0oXS1UHD8IZbWdrIlYcvHdI9f0Z5rVqCOKPCd/s1600/2.png" height="99" width="320" /></a></div>
<br />
<br />
<span style="font-size: large;"><b>Instalación</b></span><br />
<br />
Su instalación es muy simple.<br />
<ol>
<li>Nos descargamos el módulo. (<a href="http://www.computec.ch/projekte/vulscan/?s=download">http://www.computec.ch/projekte/vulscan/?s=download</a>)</li>
<li>Descomprimimos el archivo descargado.</li>
<span style="color: lime;"><span style="background-color: black;">tar -xzvf nmap_nse_vulscan-2.0.tar.gz</span></span>
<li>Movemos la carpeta extraida a la ruta donde tengamos instalado nuestro Nmap.</li>
<span style="color: lime;"><span style="background-color: black;">mv vulscan /opt/metasploit/common/share/nmap/scripts/</span></span>
</ol>
Listo!! con esto ya tendríamos nuestro módulo preparado para utilizar en Nmap.<br />
<br />
<br />
<span style="font-size: large;"><b>Uso</b></span><br />
<br />
Bien, ahora toca lo divertido, vamos a probarlo.<br />
Para ello voy a levantar una máquina virtual con <a href="http://information.rapid7.com/download-metasploitable.html?LS=1631875&CS=web">Metasploitable2</a>.<br />
<br />
Como siempre, podemos jugar con los parámetros de los que dispone Nmap. tipo de scan, numero de puertos, etc.<br />
<br />
Para lanzar un escaneo de vulnerabilidades completo, tan sólo debemos indicar a Nmap que cargue el modulo:<br />
<br />
<div style="text-align: center;">
<span style="color: lime;"><span style="background-color: black;">nmap -sV --script=/usr/local/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.199</span></span></div>
<br />
Mediante ese comando vulscan buscará en todas las bases de datos las posibles vulnerabilidades del objetivo.<br />
<br />
Si queremos que busque en una sola base de datos debemos indicarselo mediante la bandera:<br />
"--script-args vulscandb=NOMBRE_BASE_DE_DATOS"<br />
<br />
<div style="text-align: center;">
<span style="background-color: black;"><span style="color: lime;">nmap -sV --script-args vulscandb=exploitdb.csv --script=/usr/local/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.199</span></span></div>
<br />
Ahora probaremos filtrando el escaneo por un solo puerto:<br />
<br />
<div style="text-align: center;">
<span style="background-color: black;"><span style="color: lime;">nmap -sV --script-args vulscandb=exploitdb.csv --script=/usr/local/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.199 -p 25</span></span></div>
<br />
Resultado:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZXPJmZnqBxc0XxwMTkXWdjP9tURZ0VeAdd6eJnAqB1GEvSPvigtLPCYGxc0Ay8PIVprcPsAqL84fqvmNVlBqlmGclT8cnzO6B9q34pQRcmY3YDciha_tBsn6WCPELhkIzw6JhjCIp9wwU/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZXPJmZnqBxc0XxwMTkXWdjP9tURZ0VeAdd6eJnAqB1GEvSPvigtLPCYGxc0Ay8PIVprcPsAqL84fqvmNVlBqlmGclT8cnzO6B9q34pQRcmY3YDciha_tBsn6WCPELhkIzw6JhjCIp9wwU/s1600/3.png" height="151" width="320" /></a></div>
<br />
<br />
<br />
<br />
<span style="font-size: small;">También podemos exportar los resultados mediante la bandera "-oX Archivo.html" </span><br />
<br />
<div style="text-align: center;">
<span style="background-color: black;"><span style="color: lime;">nmap -sV --script-args vulscandb=exploitdb.csv --script=/usr/local/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.199 -p 25 -oX /root/Desktop/Archivo.html</span></span></div>
<br />
Potente ¿no? xD<br />
<br />
Sin duda una herramienta más que no puede faltar en nuestro arsenal.<br />
<br />
<br />
Saludos.<br />
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<a href="http://www.sniferl4bs.com/2014/04/fortificando-nmap-con-vulscan.html"><span style="font-size: x-small;">http://www.sniferl4bs.com/2014/04/fortificando-nmap-con-vulscan.html</span></a><br />
<a href="http://www.hackplayers.com/2013/08/vulscan-nmap-escaner-vulnerabilidades.html"><span style="font-size: x-small;">http://www.hackplayers.com/2013/08/vulscan-nmap-escaner-vulnerabilidades.html</span></a><br />
<a href="http://www.securityartwork.es/2013/07/10/vulscan/"><span style="font-size: x-small;">http://www.securityartwork.es/2013/07/10/vulscan/</span></a><br />
<a href="http://hacknode.blogspot.com.es/2012/06/guia-de-explotabilidad-de.html"><span style="font-size: x-small;">http://hacknode.blogspot.com.es/2012/06/guia-de-explotabilidad-de.html</span></a><br />
<a href="http://information.rapid7.com/download-metasploitable"><span style="font-size: x-small;">http://information.rapid7.com/download-metasploitable</span></a><br />
<span style="font-size: x-small;"><a href="http://www.computec.ch/projekte/vulscan/">http://www.computec.ch/projekte/vulscan/ </a></span><br />
<span style="font-size: x-small;"> </span> <br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"> </span><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span>systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-86205485822675015942014-04-13T11:59:00.000-07:002014-04-13T11:59:24.556-07:00APT´s - Deloitte<br />
Hoy os traigo un video que me ha enseñado un gran amigo y quiero compartirlo con vosotr@s.<br />
<br />
Dicho video trata sobre los ciber-ataques de los que se están hablado mucho hoy en dia, es decir, los ataques dirigidos (<a href="https://blog.kaspersky.es/que-es-una-apt/">APT</a>).<br />
<br />
La empresa que ha realizado este video es <a href="https://www.deloitte.com/">Deloitte</a>.<br />
<br />
Espero que lo disfrutéis.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='420' height='366' src='https://www.youtube.com/embed/WkrPlJcr8w0?feature=player_embedded' frameborder='0'></iframe></div>
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-24031034692408583492014-04-05T07:54:00.000-07:002018-06-17T02:02:06.085-07:00Analizando página web sospechosa<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikHYDIkTNyl9d-nJ6sEq_s3h_KBi5UofdZphP0Dr8VmIGdISxqph8pqhshyphenhyphenDW6LRYHTPUoYBMs5NUvovUYFSJ8JnNwitLH06tpXEiYiBv7BIEJL8zC_fWahc06niAvEXrHZdISzK9dLd47/s1600/URL-Scanner.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikHYDIkTNyl9d-nJ6sEq_s3h_KBi5UofdZphP0Dr8VmIGdISxqph8pqhshyphenhyphenDW6LRYHTPUoYBMs5NUvovUYFSJ8JnNwitLH06tpXEiYiBv7BIEJL8zC_fWahc06niAvEXrHZdISzK9dLd47/s1600/URL-Scanner.jpg" width="400" /></a></div>
<br />
Navegando por la web, me encontré con una de esas páginas que sirven diferentes tipos de anuncios publicitarios y demás porquerías... (no, no hablo de las porno...).<br />
<br />
Por cada click que hacía en la página, me abría otra que publicitaba alguna página o servicio. Lo típico.<br />
<br />
De repente, una de aquellas páginas me entró rapidamente a los ojos. Tánto como los sobres a rajoy...<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9AVMDCxyo2hxnOPi4oauaOfR-ZfRI5xqfdABU-0WX0g0WPzgVPAtvwFIt-bHXiI0jmHhAfhnbSFIlS8oZZyiXWPHqweqC24bpknpiHuhP1mTStG6ckKkHEAenhx4YX5bnzcOtKNRII6_c/s1600/rajoy-sorpresa.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9AVMDCxyo2hxnOPi4oauaOfR-ZfRI5xqfdABU-0WX0g0WPzgVPAtvwFIt-bHXiI0jmHhAfhnbSFIlS8oZZyiXWPHqweqC24bpknpiHuhP1mTStG6ckKkHEAenhx4YX5bnzcOtKNRII6_c/s1600/rajoy-sorpresa.jpg" width="151" /></a></div>
<br />
Dicha página, lucía el siguiente aspecto:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKZdfRa055Tb2qMZayJ4ATvXri4PVkNz1XgIGmcZGkedRUZXNqFsYvL3X-Eo18F3-Szk3Xy9T-tf4VGKioSdfqcfeyoePf_C-ex-9Lxx57TFeiBCVGBacQwBd3PwOyqWg-P6OXOP5-7WRq/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="152" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKZdfRa055Tb2qMZayJ4ATvXri4PVkNz1XgIGmcZGkedRUZXNqFsYvL3X-Eo18F3-Szk3Xy9T-tf4VGKioSdfqcfeyoePf_C-ex-9Lxx57TFeiBCVGBacQwBd3PwOyqWg-P6OXOP5-7WRq/s1600/1.png" width="320" /></a></div>
<br />
<a href="http://static.bestusefuldownloads.com/lp/flv-player_adbr4_adc_es.html?chnl=s_adbr4_flv_es_260725&cid=31598789081396700493">http://static.bestusefuldownloads.com/lp/flv-player_adbr4_adc_es.html?chnl=s_adbr4_flv_es_260725&cid=31598789081396700493</a><br />
<br />
Inmediatamente detuve todo lo que estaba haciendo para centrarme exclusivamente en dicha página, estaba claro que era un fake...<br />
<br />
Lo primero que hice fué analizar la url pasándola por VirusTotal y UrlQuery.<br />
<br />
Virustotal indicaba que sólo se reportaba como url maliciosa por CRDF y Dr.Web.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitcUylFji_ZhCEC2lL5DpyafXbr6Z0cgwaRGC4D4ONk-qxC_3lwfkumic367ounBLTPJgUc5ydpo4tuHOsLxjbtZ75jJxpYfnK3ajDQHF0CgzadggwG9lfVUVr9nAYG0E0sIKLeOgtYQ2A/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="185" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitcUylFji_ZhCEC2lL5DpyafXbr6Z0cgwaRGC4D4ONk-qxC_3lwfkumic367ounBLTPJgUc5ydpo4tuHOsLxjbtZ75jJxpYfnK3ajDQHF0CgzadggwG9lfVUVr9nAYG0E0sIKLeOgtYQ2A/s1600/2.png" width="320" /></a></div>
<br />
<a href="https://www.virustotal.com/es/url/046f9b5c6a4991ae7589c456cb4c97898014b7f046a6f9c2af85dcfee16633b4/analysis/">https://www.virustotal.com/es/url/046f9b5c6a4991ae7589c456cb4c97898014b7f046a6f9c2af85dcfee16633b4/analysis/</a><br />
<br />
Después probé con UrlQuery e indicaba que no había nada fuera de lo normal, aunque se puede ver que desde esa misma IP se sirven diferentes ejecutables como mínimo sospechosos...<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQzHrnRn4idwUdd9QeKFeyHz0EyGAoGBcGSQgkJr0xfXJnPS3PO9_CG-oHVbWFmOF0GK9P1Bewecm53oEZTHkRAG66FdyvGT_2GBApcGPHzgtrTkj_cLbqw1VicS4Ati2nBJ6Em2VvRy13/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="108" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQzHrnRn4idwUdd9QeKFeyHz0EyGAoGBcGSQgkJr0xfXJnPS3PO9_CG-oHVbWFmOF0GK9P1Bewecm53oEZTHkRAG66FdyvGT_2GBApcGPHzgtrTkj_cLbqw1VicS4Ati2nBJ6Em2VvRy13/s1600/3.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjaRkfj2518JUkyAcdJkoU948VoEEvyK4X8QNm21d5iZni7zIUvtZcLnXA1ltMElQxE5nT3cOHX3zQt3FPF7h-Z9C_mox2TpUM4b5YURvkt_lQlhG5oqa3fLumXUsTKEAy6pwyO479pnYd3/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="46" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjaRkfj2518JUkyAcdJkoU948VoEEvyK4X8QNm21d5iZni7zIUvtZcLnXA1ltMElQxE5nT3cOHX3zQt3FPF7h-Z9C_mox2TpUM4b5YURvkt_lQlhG5oqa3fLumXUsTKEAy6pwyO479pnYd3/s1600/4.png" width="320" /></a></div>
<br />
<a href="http://urlquery.net/report.php?id=1396701233044">http://urlquery.net/report.php?id=1396701233044</a><br />
<br />
Lo siguiente que hice fué descargar el supuesto ejecutable de FLV-Player y subirlo a Virustotal para ver si era detectado.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiG-mO5-2YgQNhvKpJe_cv33Lkok1tNptLWZJ_FCSTDJ73IZ5qC9iBRpDPuEGOcrzXTqjlhsJV7kpN_4gyiEmYaWDPDKSW65TQNRsJDZ_sVhiJh2SOxmN3XohiC-NaWzjlUrcGc2pOKs5PT/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiG-mO5-2YgQNhvKpJe_cv33Lkok1tNptLWZJ_FCSTDJ73IZ5qC9iBRpDPuEGOcrzXTqjlhsJV7kpN_4gyiEmYaWDPDKSW65TQNRsJDZ_sVhiJh2SOxmN3XohiC-NaWzjlUrcGc2pOKs5PT/s1600/5.png" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7q7VFN0PUY1COixNvsnLTwH1kuQnw437JD2JDhxMgVigdiD-Ru44eRijMm7NrdHsQyCgpQE-5qJoy3rz1-7Vi7mi1UAmWtKCWG767194FSblxPvhyphenhyphenuUJXRp1BMrGFwHkJMDOnbJTFtppU/s1600/propiedades.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7q7VFN0PUY1COixNvsnLTwH1kuQnw437JD2JDhxMgVigdiD-Ru44eRijMm7NrdHsQyCgpQE-5qJoy3rz1-7Vi7mi1UAmWtKCWG767194FSblxPvhyphenhyphenuUJXRp1BMrGFwHkJMDOnbJTFtppU/s1600/propiedades.png" width="257" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-6WTk1GiO3FoPvXSQAFb53QKMIdT1nlQdGLQXhSguIYf77ooO5qWY72Rh_-muF_FW0vD-xo3Mp3oV8VuO8U-cwjbzqEBdtFNyc9wW5qEStEqinCuCTe6VpNmPddFqe6o77DKJyBnCddUv/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="90" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-6WTk1GiO3FoPvXSQAFb53QKMIdT1nlQdGLQXhSguIYf77ooO5qWY72Rh_-muF_FW0vD-xo3Mp3oV8VuO8U-cwjbzqEBdtFNyc9wW5qEStEqinCuCTe6VpNmPddFqe6o77DKJyBnCddUv/s1600/6.png" width="320" /></a></div>
<br />
Para mi sorpresa, sólo es detectado por 7 de los 51 motores, y la mayoría de los principales antivirus no lo detectan... De hecho incluso está firmado por UserTrust (Comodo).<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6bBQhH5oQvGGOmSVxsJA3UJxTPdloSWpe69oyUaP_BhFONealpCqEUSO7sYLHqlujEOO-VH2yB1fYx9yKrzJpIGQkSXZ80ZO71-FXHIAu0QhmrymB541YoDV0_NLgyMWxWKN39CZPBelG/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="143" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6bBQhH5oQvGGOmSVxsJA3UJxTPdloSWpe69oyUaP_BhFONealpCqEUSO7sYLHqlujEOO-VH2yB1fYx9yKrzJpIGQkSXZ80ZO71-FXHIAu0QhmrymB541YoDV0_NLgyMWxWKN39CZPBelG/s1600/7.png" width="320" /></a></div>
<br />
<a href="https://www.virustotal.com/es/file/6d2e992bed4c33024c8265dee109ce37d23198d9685459fd3a27f2302e8978f7/analysis/1396702035/">https://www.virustotal.com/es/file/6d2e992bed4c33024c8265dee109ce37d23198d9685459fd3a27f2302e8978f7/analysis/1396702035/</a><br />
<br />
<a href="http://www.tbs-certificates.co.uk/FAQ/en/intermed_USERTrust_Legacy_2048.html">http://www.tbs-certificates.co.uk/FAQ/en/intermed_USERTrust_Legacy_2048.html</a><br />
<br />
<br />
Dicho ejecutable es una variante del Win32/InstallCore, que se encarga de tomar el control del pc (principalmente los navegadores) para conectar con otros servidores y descargar e instalar add-ons y toolbars entre otros... <br />
<br />
Dichos programas recogen toda la información de los navegadores infectados, aunque esta variante aparte de mutaciones también dispone de un modulo que registra las pulsaciones del teclado.<br />
<br />
Esta variante, conecta con las siguientes direcciones:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZkC2imLOD95IM2mojU5gEaAlC65DtKlYg3XWOYhx6SUEbTa-zVJXnbIQgt6TZFWxYKHTmWNY7rFyNlBeTd1A07BGvCN404zMjCEJDkhJH7sgEkKKxjpnjUb4nhq_yZEl7gadqWs5LPyvS/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="143" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZkC2imLOD95IM2mojU5gEaAlC65DtKlYg3XWOYhx6SUEbTa-zVJXnbIQgt6TZFWxYKHTmWNY7rFyNlBeTd1A07BGvCN404zMjCEJDkhJH7sgEkKKxjpnjUb4nhq_yZEl7gadqWs5LPyvS/s1600/8.png" width="320" /></a></div>
Por lo que se puede ver, descarga otros archivos que infectan el ordenador haciendose pasar por algun conversor de video.<br />
<br />
Además, si nos fijamos conecta con el servidor <a href="http://www.wajam.com/">www.wajam.com</a>.<br />
<br />
Dicha página ofrece una extensión que permite obtener resultados de búsquedas de contenidos compartidos por amigos en redes sociales.<br />
<br />
<br />
<br />
<br />
Os dejo todos los enlaces de los reportes por si queréis trastear:<br />
<br />
<div style="text-align: center;">
<b><u><span style="font-size: large;">Análisis URL</span></u></b></div>
<br />
<a href="http://urlquery.net/report.php?id=1396701233044">http://urlquery.net/report.php?id=1396701233044</a><br />
<br />
<a href="https://www.virustotal.com/es/url/046f9b5c6a4991ae7589c456cb4c97898014b7f046a6f9c2af85dcfee16633b4/analysis/">https://www.virustotal.com/es/url/046f9b5c6a4991ae7589c456cb4c97898014b7f046a6f9c2af85dcfee16633b4/analysis/</a><br />
<br />
<a href="https://anubis.iseclab.org/?action=result&task_id=1aab15d4e83940fa481ca5cc062c100ab&format=html">https://anubis.iseclab.org/?action=result&task_id=1aab15d4e83940fa481ca5cc062c100ab&format=html</a><br />
<br />
<br />
<div style="text-align: center;">
<span style="font-size: large;"><b><u>Análisis PE/Win32 (Ejecutable)</u></b></span></div>
<br />
<a href="https://www.virustotal.com/es/file/6d2e992bed4c33024c8265dee109ce37d23198d9685459fd3a27f2302e8978f7/analysis/1396702035/">https://www.virustotal.com/es/file/6d2e992bed4c33024c8265dee109ce37d23198d9685459fd3a27f2302e8978f7/analysis/1396702035/</a><br />
<br />
<a href="https://malwr.com/analysis/YzQ5ZTc4YjcyNTQ1NDNlN2I0ZTNmMmJhYWYyZTcwYzg/">https://malwr.com/analysis/YzQ5ZTc4YjcyNTQ1NDNlN2I0ZTNmMmJhYWYyZTcwYzg/</a><br />
<br />
<a href="https://anubis.iseclab.org/?action=result&task_id=13546b64a8a0c5c1441fef5231cc0059b&format=html">https://anubis.iseclab.org/?action=result&task_id=13546b64a8a0c5c1441fef5231cc0059b&format=html</a><br />
<br />
<br />
Como véis, los servicios online para análisis de url/malware nos pueden ayudar bastante.<br />
<br />
Cuidadín con lo que os descargáis... <br />
<br />
<br />
Saludos.<br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"> </span><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com3tag:blogger.com,1999:blog-8594160066874890761.post-70084403481717743612014-04-01T11:25:00.000-07:002014-04-01T11:25:37.939-07:00JPG File InclusionBuenas a tod@s!!!<br />
<br />
Hoy vamos a ver un tipo de ataque que está enfocado en aplicaciones web.<br />
<br />
Este tipo de ataque se le denomina <b><u>JPG File Inclusion</u></b>, y permite subir imágenes inyectadas con cógido a una página web saltando los filtros de protección para después poder ejecutar dicho código en el servidor remoto (donde está alojada dicha web) por medio de una inclusión a la imagen. <br />
<br />
Bien, lo primero que se debe hacer es localizar una web que permita subir imagenes al servidor, y que dicha web trabaje con PHP, como por ejemplo los foros...<br />
<br />
En mi caso utilizaré mi propio laboratorio como servidor web.<br />
<br />
Las herramientas que necesitaremos son:<br />
<br />
- Imagen con formato .jpg para subir al servidor víctima.<br />
- <a href="http://www.chapelhill.homeip.net/horton/copies/edjpgcom/edjpgcom.zip">edjpgcom</a>: Programa para inyectar codigo dentro de un JPG.<br />
- <a href="https://addons.mozilla.org/es/firefox/addon/tamper-data/">TamperData</a>: Extensión de Firefox para ver y modificar cabeceras HTTP/HTTPS.<br />
- <a href="http://www.mozilla.org/es-ES/firefox/new/">Firefox</a>.<br />
- Servidor que permita subir imágenes JPG (Será nuestra víctima).<br />
<br />
<br />
Lo primero que haremos será descargar edjpgcom para poder inyectar el codigo que queramos en nuestra imagen, yo utilizaré una imagen como si fuese mi foto de perfil.<br />
<br />
Para ejecutar dicho programa tendremos que colocar nuestra imagen en la carpeta donde está ubicado el programa, después abrirmos la consola y ejecutamos la siguiente instrucción:<br />
<div style="text-align: center;">
<i>edjpgcom.exe "Filename.jpg"</i></div>
<br />
Una vez ejecutemos dicha instrucción, se nos abrirá la siguiente ventana, que nos permitirá inyectar codigo dentro de la imagen:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj5fHvcj5f1e5NAUgtbZkux-E8Me3R858eQbSBS4lvuvsQ8YL0lR490Dr9E6S4CpbNtE_i9dqMBMsCfori6NwqXYgkEkPtvXS5hVcGm9nacG8J5JUOESnqryvzO1e9r12wrhs9ENOKboVYb/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj5fHvcj5f1e5NAUgtbZkux-E8Me3R858eQbSBS4lvuvsQ8YL0lR490Dr9E6S4CpbNtE_i9dqMBMsCfori6NwqXYgkEkPtvXS5hVcGm9nacG8J5JUOESnqryvzO1e9r12wrhs9ENOKboVYb/s1600/2.png" height="172" width="320" /></a></div>
<br />
Ahora debemos introducir el código que deseamos que se ejecute en el servidor víctima.<br />
En este caso inyectaré un simple <?php phpinfo()?> que nos mostrará información sobre la configuración PHP en el servidor víctima.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGD5qyKMjb7ml025TY0MUJwAxkSV1thKvkPWWAlJeeE9PmsKJzlvuN8YjSOdcp49iuuLmj48dGHlxzkD_iv4782zW5a6gcbq58-ovUuHp1IvoR_XWCuY2wHNzrRGJINRdhH4FtEU47V1oh/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGD5qyKMjb7ml025TY0MUJwAxkSV1thKvkPWWAlJeeE9PmsKJzlvuN8YjSOdcp49iuuLmj48dGHlxzkD_iv4782zW5a6gcbq58-ovUuHp1IvoR_XWCuY2wHNzrRGJINRdhH4FtEU47V1oh/s1600/3.png" height="172" width="320" /></a></div>
<br />
Vale, ahora damos a OK y nuestra imagen contendrá dicho código en su interior.<br />
Para eso abrimos la imagen con un editor de texto y veremos que tiene el siguiente aspecto:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZXfkh-qg8JXtKyXgQpW3nKNP8fvNZT6euEcNiOVRHdRcmMfh_C16ltA7DTYFXrl0Xw_eb0CuevB3BkHm6KGjz9AXz_yyBThUuRZYP4QdhMmIlXkPnweYqEXUo84sYuK5LxCKFffVlBs0o/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZXfkh-qg8JXtKyXgQpW3nKNP8fvNZT6euEcNiOVRHdRcmMfh_C16ltA7DTYFXrl0Xw_eb0CuevB3BkHm6KGjz9AXz_yyBThUuRZYP4QdhMmIlXkPnweYqEXUo84sYuK5LxCKFffVlBs0o/s1600/4.png" height="105" width="320" /></a></div>
<br />
<u>Tenemos que cambiar el nombre de nuestra imagen y añadir ".php" antes de la extensión ".jpg".</u><br />
<br />
<div style="text-align: center;">
Ejemplo: "<i>Filename.php.jpg</i>" </div>
<br />
Una vez tenemos nuestra imagen preparada, nos vamos al servidor víctima donde esté alojado el Upload y ejecutamos la extensión TamperData para empezar a modificar las peticiones:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXDdG-H8IGrAXXQbLseP6oTqerNEYatB6N3gu4sh0q_ImjYBRGHX6hAbu1sjq_pFZ7Dp_MEsUuyYHWoUDxurqwOAN5yvSJ-Q6pNRPq8NpsRxKW2vxygv2rxU53Aqk-G0Z7ddHZC2HemqaN/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXDdG-H8IGrAXXQbLseP6oTqerNEYatB6N3gu4sh0q_ImjYBRGHX6hAbu1sjq_pFZ7Dp_MEsUuyYHWoUDxurqwOAN5yvSJ-Q6pNRPq8NpsRxKW2vxygv2rxU53Aqk-G0Z7ddHZC2HemqaN/s1600/5.png" height="118" width="320" /></a></div>
<br />
Subimos la imagen y modificamos la cabecera para indicarle que lo suba como <i>perfil.php</i>, y no como <i>perfil.php.jpg</i>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEicXzwmFni4hAgUm8AAp-WazjHN9k8oATbLxQwHPFVZNQo1IJgZ18uaFFBj0LCznYftFtMNkdnRFRkLPtAIM__w4qLGpzDNUsMDDD4b6CPkHOnrSxM7zNJ9luDMZ509QaWKXmvMEcNj2REb/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEicXzwmFni4hAgUm8AAp-WazjHN9k8oATbLxQwHPFVZNQo1IJgZ18uaFFBj0LCznYftFtMNkdnRFRkLPtAIM__w4qLGpzDNUsMDDD4b6CPkHOnrSxM7zNJ9luDMZ509QaWKXmvMEcNj2REb/s1600/6.png" height="116" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPeY_TMZ5PRQmDm6wVSEUppkUQyn6VHmww3dKbxVVvVO6Tt376my4u0JyZ8LArapeW3RRgefvRRrGER52DXuJgLYqdqwbTyd6w9TNvD_aqfg2iNvLhrJW4AHQzWeYz462FZKpVyR6VpmRW/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPeY_TMZ5PRQmDm6wVSEUppkUQyn6VHmww3dKbxVVvVO6Tt376my4u0JyZ8LArapeW3RRgefvRRrGER52DXuJgLYqdqwbTyd6w9TNvD_aqfg2iNvLhrJW4AHQzWeYz462FZKpVyR6VpmRW/s1600/7.png" height="125" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQkkd-a7IVeqAlfbxkrk5XDXyNM2q0ZDa8jDip1ffAAyNeyQr63ZguRZ8TbHDhYvrIqwzSImlfO1xXX-vWa3tmOw2cnuHWKsxIhGAxifxLfISFKA83F0SuHNvA3qP70gl-0yvZak7ijXNB/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQkkd-a7IVeqAlfbxkrk5XDXyNM2q0ZDa8jDip1ffAAyNeyQr63ZguRZ8TbHDhYvrIqwzSImlfO1xXX-vWa3tmOw2cnuHWKsxIhGAxifxLfISFKA83F0SuHNvA3qP70gl-0yvZak7ijXNB/s1600/8.png" height="152" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfIEzWWfNmpUKiPPA0n5t5pyhpNPTvT2xGj0RM4FdawzJmycbOISRosiUzxyyZn8hTMem87bfuApccchk7YX3MGXwG1RiTbMW_coSDCpESvGf-1oenafYv6wObWEczO9-kC0eI3BpYVEAc/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfIEzWWfNmpUKiPPA0n5t5pyhpNPTvT2xGj0RM4FdawzJmycbOISRosiUzxyyZn8hTMem87bfuApccchk7YX3MGXwG1RiTbMW_coSDCpESvGf-1oenafYv6wObWEczO9-kC0eI3BpYVEAc/s1600/9.png" height="33" width="320" /></a></div>
<br />
Aceptamos la modificación y en la siguiente ventana damos a enviar para que envíe dicha modificación:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghhIjOs912Kv6YodsOfbVwcD5OOm1HO8qrTMQ8fhJVja9p6Vhz5AlrfDcimpmvO0lj1VipD4qrwviITgW3w8WhJHcis_rYO6LPfmdg_ZdEzDoqJyRu6NwD7SsgN6ww4dSyfroWv6MX1MeN/s1600/10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghhIjOs912Kv6YodsOfbVwcD5OOm1HO8qrTMQ8fhJVja9p6Vhz5AlrfDcimpmvO0lj1VipD4qrwviITgW3w8WhJHcis_rYO6LPfmdg_ZdEzDoqJyRu6NwD7SsgN6ww4dSyfroWv6MX1MeN/s1600/10.png" height="117" width="320" /></a></div>
<br />
<br />
Ya tenemos subida nuestra imagen:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjw2bbmcKqk7hih02heItxOSUx0waYUl8jCpcM4BPETFLdhZacCuyhjCUgkTiRqo4jG8CHQVrPmAMmFe3LeyPH6rFavCZxTNd7ScFA4YouJc-4E59575g-K1SHPnZYFArPDM_8qK2VQWzI/s1600/11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjw2bbmcKqk7hih02heItxOSUx0waYUl8jCpcM4BPETFLdhZacCuyhjCUgkTiRqo4jG8CHQVrPmAMmFe3LeyPH6rFavCZxTNd7ScFA4YouJc-4E59575g-K1SHPnZYFArPDM_8qK2VQWzI/s1600/11.png" height="256" width="320" /></a></div>
<br />
<br />
<br />
<br />
<br />
Pero esperar un segundo... ¿No hemos cambiado su extensión ".jpg" por ".php"?<br />
<br />
Veámos que nos ha subido al servidor víctima:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJ1jjzg7Ls6bry-SA5obNY5xFsfvpDfirpvRsV065i3hUrJTf4_5WFQv4qbKOAmtT5udEEX5qt2GZXLVmr1MnEOx9TkpsAE5rR31acY4iVSWk1a3JPW-s9vpdFNQ-wUh_uJIss8WJsOrlP/s1600/12.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJ1jjzg7Ls6bry-SA5obNY5xFsfvpDfirpvRsV065i3hUrJTf4_5WFQv4qbKOAmtT5udEEX5qt2GZXLVmr1MnEOx9TkpsAE5rR31acY4iVSWk1a3JPW-s9vpdFNQ-wUh_uJIss8WJsOrlP/s1600/12.png" height="320" width="284" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<br />
<br />
<br />
Si nos hemos fijado bien, la ruta donde se ha alojado nuestro fichero es: archivos/perfil.php, así que vamos a acceder a dicha ruta para ver si se ejecuta correctamente nuestro codigo php...<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMeqmJoBStT_ZxA_GtGfvSr0XL_bXbrSQ2kOo7p8zB432mQVNSXf3QKHChoz_QofR-cwD3641dBTDXxVEkYNPlqU-b6SiBjddxeL8OH0m2WkHcYpH1aAqLnFr4JNjGBHZEmIv-oo6N_T3n/s1600/13.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMeqmJoBStT_ZxA_GtGfvSr0XL_bXbrSQ2kOo7p8zB432mQVNSXf3QKHChoz_QofR-cwD3641dBTDXxVEkYNPlqU-b6SiBjddxeL8OH0m2WkHcYpH1aAqLnFr4JNjGBHZEmIv-oo6N_T3n/s1600/13.png" height="114" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEBMU6hcDXv2AvNhFvQ2t2077e53rhD-s4Pv3Wo6qj7XYtfRZ01auXHq371i5NqYIXFKRHq4_YbcJkR3FasLrqogV-61ERVyW_Gk5ambeO5i_ypR8xiEFkwOf0Ui6ap9_LZryyhZYk04dE/s1600/joker.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEBMU6hcDXv2AvNhFvQ2t2077e53rhD-s4Pv3Wo6qj7XYtfRZ01auXHq371i5NqYIXFKRHq4_YbcJkR3FasLrqogV-61ERVyW_Gk5ambeO5i_ypR8xiEFkwOf0Ui6ap9_LZryyhZYk04dE/s1600/joker.gif" /></a></div>
<br />
<br />
<br />
Perfecto!!!<br />
<br />
¿Qué pasaría si en vez de un simple phpinfo inyectásemos una pequeña shell? xD<br />
<br />
Espero que les haya gustado, les dejo con un video-tutorial.<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.youtube.com/embed/4sx-P2X-e1U?feature=player_embedded' frameborder='0'></iframe></div>
<br />
<br />
<br />
Saludos.<br />
<br />
<br />
<span style="font-size: x-small;">Referencias</span><br />
<a href="http://pwnakil.blogspot.com.es/2012/09/backdorea-con-las-shell-web-mas-pequenas.html"><span style="font-size: x-small;">http://pwnakil.blogspot.com.es/2012/09/backdorea-con-las-shell-web-mas-pequenas.html</span></a><br />
<span style="font-size: x-small;"><a href="http://websecuritydev.com/blog/creando-una-mini-shell-en-php/">http://websecuritydev.com/blog/creando-una-mini-shell-en-php/</a><br /><a href="http://calebbucker.blogspot.com.es/2012/07/subiendo-shell-explotando-lfi-via.html">http://calebbucker.blogspot.com.es/2012/07/subiendo-shell-explotando-lfi-via.html</a><br /><a href="http://antisec-security.blogspot.com.es/2012/10/vulnerabilidad-rfi-y-lfi-rfi-remote.html">http://antisec-security.blogspot.com.es/2012/10/vulnerabilidad-rfi-y-lfi-rfi-remote.html</a></span><br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"> </span><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com4tag:blogger.com,1999:blog-8594160066874890761.post-42839230877953287492014-03-29T12:08:00.000-07:002014-03-29T12:08:28.721-07:00Alternate Data Streams + WinRAR<br />
Hoy vamos a ver cómo los compresores pueden ser más peligrosos de lo que solemos pensar.<br />
<br />
En este caso nos aprovechamos de una opción en WinRAR que nos permite mantener los flujos de datos al comprimir un archivo.<br />
¿Ya sabemos que son los <a href="http://systemexposed.blogspot.com.es/2014/01/alternate-data-streams-ads-malware.html">flujos de datos</a>, verdad?<br />
<br />
Bien, para el ejemplo de hoy, crearemos con WinRAR un ejecutable que contendrá una imagen, a su vez esa imagen contendrá como flujo de datos otro ejecutable, y dicho ejecutable tan solo lanzará un pop-up con un mensajito...<br />
<br />
Lo primero que hacemos es crear el flujo de datos:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEicfuJRkykVBs3lonG_UryOoqwHK0azs6nNlWPVTt7uJg-qUMbqP3450kcbUDD5i71nEOx1PskIpMs9QCi5jrTwS-_eLp4wZRBwxGwQ172teRY6SZV4xI7hms6uafSry996cC6-kB5u1LFP/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEicfuJRkykVBs3lonG_UryOoqwHK0azs6nNlWPVTt7uJg-qUMbqP3450kcbUDD5i71nEOx1PskIpMs9QCi5jrTwS-_eLp4wZRBwxGwQ172teRY6SZV4xI7hms6uafSry996cC6-kB5u1LFP/s1600/1.png" height="15" width="320" /></a></div>
<br />
Ahora añadiremos esa imagen a un archivo WinRAR:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg0gZl1ohK76CHWWAEXl937MO7hmLAMdV_TXoD-VZ8urDplIKPGP2Yt69ce0N-2_SpHPIlw7_EVL04iVw5Yom-zxxqqft-2Dam4240EtBs1R4EzLdCs-vkAbBbfg5RmiheaH8DkQL7fvnFR/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg0gZl1ohK76CHWWAEXl937MO7hmLAMdV_TXoD-VZ8urDplIKPGP2Yt69ce0N-2_SpHPIlw7_EVL04iVw5Yom-zxxqqft-2Dam4240EtBs1R4EzLdCs-vkAbBbfg5RmiheaH8DkQL7fvnFR/s1600/2.png" height="320" width="243" /></a></div>
<br />
Una vez abierto el compresor, seleccionamos la opción "Crear un archivo autoextraible" y configuramos las siguientes opciones:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPFOSdz3P8gbAz1YK_6cv_KaiB_52OU3U-JcgtFQ3Z6D75SFtUpkNufRNRuFzEHy3ER_3H3VUiqGKK2kNYEw11dEZLUzqCWdJaS0uEVmq1mX-uCfVXYdpnGsK3u7-4x4XAI6eMJGwIRCeh/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPFOSdz3P8gbAz1YK_6cv_KaiB_52OU3U-JcgtFQ3Z6D75SFtUpkNufRNRuFzEHy3ER_3H3VUiqGKK2kNYEw11dEZLUzqCWdJaS0uEVmq1mX-uCfVXYdpnGsK3u7-4x4XAI6eMJGwIRCeh/s1600/3.png" height="320" width="237" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBc_PICEhdIPSIxTBMHXGwFRcaAxCDPYMq2q-NIqCGrUwF1uTLSjNvGtkNDMCYT_WPdF_u4-KhoN5YeUUtQW8IaE8_fNOHv5oxbLf2kRiNxO88lRMpzO0Mt-CKO2YnFu8zYmmSB-Bv8Wjw/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBc_PICEhdIPSIxTBMHXGwFRcaAxCDPYMq2q-NIqCGrUwF1uTLSjNvGtkNDMCYT_WPdF_u4-KhoN5YeUUtQW8IaE8_fNOHv5oxbLf2kRiNxO88lRMpzO0Mt-CKO2YnFu8zYmmSB-Bv8Wjw/s1600/4.png" height="320" width="237" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVOTJN_aqsT4XvWjYyDIq0c2EWSy2t-UaLg7r_dusn-vldiU4B4awFc0Z0VpDcUihAyvn7PCah87ZXyXChHCLFXN6FDIyqAjDUeH5qsyIEopz3YbMKmWglVTowLAVbi9gAmtJssrq3ajUE/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVOTJN_aqsT4XvWjYyDIq0c2EWSy2t-UaLg7r_dusn-vldiU4B4awFc0Z0VpDcUihAyvn7PCah87ZXyXChHCLFXN6FDIyqAjDUeH5qsyIEopz3YbMKmWglVTowLAVbi9gAmtJssrq3ajUE/s1600/5.png" height="320" width="237" /></a></div>
Listo!, ahora lo guardamos con el nombre que nos plazca, y tan sólo con ejecutar ese archivo se ejecutará nuestra imagen "perfil.jpg" y el flujo de datos "mensaje.exe".<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivXoVtYkVJyB17D03St3P28mKPy1x_tMpD_n3SrG-HbuJ9Oo8lgTekO8o-wTjg02xHuCL75aUZsS7s4p49hLhGyC9swPU_Vd32cEMJDGvl8t4NDxGpJxVgqXNjUASB9hI7qdkXJmf7hlGn/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivXoVtYkVJyB17D03St3P28mKPy1x_tMpD_n3SrG-HbuJ9Oo8lgTekO8o-wTjg02xHuCL75aUZsS7s4p49hLhGyC9swPU_Vd32cEMJDGvl8t4NDxGpJxVgqXNjUASB9hI7qdkXJmf7hlGn/s1600/6.png" height="202" width="320" /></a></div>
<br />
Con este simple ejemplo quería demostraros la potencia y peligrosidad que tiene un simple compresor.<br />
<br />
También os recomiendo la lectura de la entrada "<a href="http://www.hackplayers.com/2014/03/falsificacion-de-extensiones-winrar.html">Falsificación de extensiones de ficheros en WinRAR (0-day)</a>" que nuestros queridos amigos de Hackplayers publicaron hace unos dias.<br />
<br />
<br />
<br />
Saludos.<br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"> </span><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-71151426066971791452014-03-03T12:44:00.000-08:002014-03-03T12:45:03.303-08:00Pentesting - Post-Explotación<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgECWhutLINbe_bpjR1JInbDyp3O8IJ0fS_UA9s9xY0X7gOnkR3_VsSl-3QtvbTz9kIn1He9lD_3xReB0I0ZpCSGQMLTcOkj2K4A-zZLJW3582756tdh1tPxu7c5uT294CuJULQcuhXCz_H/s1600/post.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgECWhutLINbe_bpjR1JInbDyp3O8IJ0fS_UA9s9xY0X7gOnkR3_VsSl-3QtvbTz9kIn1He9lD_3xReB0I0ZpCSGQMLTcOkj2K4A-zZLJW3582756tdh1tPxu7c5uT294CuJULQcuhXCz_H/s1600/post.png" height="320" width="202" /></a></div>
<br />
<br />
Hoy hablaremos del proceso de Post-Explotación, que como bien indica su nombre, es la siguiente fase a la explotación de un sistema.<br />
<br />
Una vez hemos conseguido acceso al objetivo, debemos realizar los siguientes pasos que componen esta fase:<br />
<br />
<ul>
<li><u>Entender el entorno y a quien esté detrás (Information Gathering)</u>.</li>
</ul>
Como en procesos anteriores, se necesita recolectar la mayor información posible para garantizar nuestro objetivo y planificar nuestro ataque, por lo que una vez dentro del sistema necesitaremos conseguir toda la información posible sobre el software que se utiliza, los parches aplicados, protecciones (Antivirus, Firewall, IDS...), si estamos en una máquina virtual o no, procesos y servicios activos, tiempo de actividad/inactividad, segmentos de red, etc...<br />
Para todos esto hay muchos comandos en una sesión meterpreter, así que mostraré solo algunos:<br />
<br />
<div style="text-align: center;">
<b><u>Information Gathering</u></b> </div>
<div style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh6orArvHQG1EP1HtNNZRjtCgWSuYXRqaeg8KHWNoyn3AUX1G7Chqf7rrW7FZGhHlYdRkI3tTxBROAuEQjcPdVuR27Mdk_OX7N7Ovs6KCKk2Hx0OGViFgWnG0HeTX4iKHdWl8_m-8GGx-IV/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh6orArvHQG1EP1HtNNZRjtCgWSuYXRqaeg8KHWNoyn3AUX1G7Chqf7rrW7FZGhHlYdRkI3tTxBROAuEQjcPdVuR27Mdk_OX7N7Ovs6KCKk2Hx0OGViFgWnG0HeTX4iKHdWl8_m-8GGx-IV/s1600/2.png" height="70" width="320" /></a> </div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfg34Zz7WZ3T4Co9iz84SvQVQBIXyFR8Jwg3fucBnBHu5sREGweVTELGkfXaqoy3qE9GfrVBiGhbEa1AlnQXlBx_sMlSOdg-rUGLzI37ctWfqE7oi6vkCkxr6HPC-kwlA_yCkQPPDVLxf7/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfg34Zz7WZ3T4Co9iz84SvQVQBIXyFR8Jwg3fucBnBHu5sREGweVTELGkfXaqoy3qE9GfrVBiGhbEa1AlnQXlBx_sMlSOdg-rUGLzI37ctWfqE7oi6vkCkxr6HPC-kwlA_yCkQPPDVLxf7/s1600/3.png" height="300" width="320" /></a></div>
<br />
<br />
<ul>
<li> <u>Escalar privilegios (Privilege Escalation)</u></li>
</ul>
Cuantos más permisos tengamos sobre la máquina objetivo más podremos hacer.<br />
<br />
<div style="text-align: center;">
<b><u>Escalando privilegios</u></b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3D0SdplDMCPOUnKKgc5yWT42G20pto3PJZyR_TUJbg38BgWOAYdTfYqMnWGdbe4hN-LSvtXlYDju5vproR6w-e3PeSBHp19cgHcGXucas8T1pGzOgNlGDPIfrEUP0rogwsmdxv1l0nnsP/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3D0SdplDMCPOUnKKgc5yWT42G20pto3PJZyR_TUJbg38BgWOAYdTfYqMnWGdbe4hN-LSvtXlYDju5vproR6w-e3PeSBHp19cgHcGXucas8T1pGzOgNlGDPIfrEUP0rogwsmdxv1l0nnsP/s1600/1.png" /></a></div>
<div style="text-align: center;">
<br /></div>
<ul>
<li> <u>Eliminar/bloquear/anular software de protección (AV, Firewall, IDS...)</u> </li>
</ul>
Evidentemente necesitaremos bloquear/anular estos sistemas para no ser detectados a la hora de realizar cualquier tarea dentro del sistema.<br />
<br />
<div style="text-align: center;">
<b><u>Anulando protecciones</u></b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmBgufOj7strOcVKl7mDCMeoDMSdpb-gNWuJm3FQIsVLAA-io6WDUUwnF85-mSSpWaZqGQ4NxTWKGaAedG5oBKXaJmHLyqbl0SAeKSk-wA9GgJyPrB3Xkr_PPdjuYAo8grLrbpKB87tk9F/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmBgufOj7strOcVKl7mDCMeoDMSdpb-gNWuJm3FQIsVLAA-io6WDUUwnF85-mSSpWaZqGQ4NxTWKGaAedG5oBKXaJmHLyqbl0SAeKSk-wA9GgJyPrB3Xkr_PPdjuYAo8grLrbpKB87tk9F/s1600/4.png" height="29" width="320" /></a></div>
<div style="text-align: center;">
<br /></div>
Espera!!! No corras!!!<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcn_4-IQ1kjlWJR8l_oJR_H4fxbquFzUj8Hvsj0KXmcKsyyfochg6UV90trhNQgeoGZy8wrPHyAO5h5TsGvtAQ981F_LpC_ve6NHIv6n54IS7-eCbLKKoqjZUBNjHbz9vcutjg3nuz2IwA/s1600/no.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcn_4-IQ1kjlWJR8l_oJR_H4fxbquFzUj8Hvsj0KXmcKsyyfochg6UV90trhNQgeoGZy8wrPHyAO5h5TsGvtAQ981F_LpC_ve6NHIv6n54IS7-eCbLKKoqjZUBNjHbz9vcutjg3nuz2IwA/s1600/no.png" height="257" width="320" /></a></div>
<br />
Antes de realizar ninguna acción piensa antes si vas a hacer saltar alguna alarma...<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjp57SwtepCGEvsOiFD2b46wvm_WWGfLBTx0A-K64rzAE_skRfJ0AdmHD3nLWESIRNqofOQ_GNrmO0o3cAl-zJU4HEgM3ZK5C4lwRB2CvZhLDgzbLMVNbmiQuvER5ZI_GicUgqM1Y_6Q3P1/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjp57SwtepCGEvsOiFD2b46wvm_WWGfLBTx0A-K64rzAE_skRfJ0AdmHD3nLWESIRNqofOQ_GNrmO0o3cAl-zJU4HEgM3ZK5C4lwRB2CvZhLDgzbLMVNbmiQuvER5ZI_GicUgqM1Y_6Q3P1/s1600/5.png" /></a></div>
<span id="goog_529216798"></span><span id="goog_529216799"></span><div style="text-align: center;">
<br /></div>
Aquí si el usuario/administrador viese el antivirus y el firewall desactivado evidentemente como mínimo se sentiría preocupado.<br />
Pero para este ejemplo, podríamos realizar una pequeña modificación en el registro para ocultar el centro de actividades antes de desactivar nada, y que así, pase desapercibida dicha acción.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggclGxAqP5nb_SAdOp4RJnywKjW77JatEN9Vp-ItE7gnPv2xTLX0xg-THMxHU9UFgEzZsvTg9avnZ8dVfZ8m-Kk4aCJE9fEupCMEDD6KBssfp8L9PlPMdqTEQ4-w6Grq7F8d_4u7YPb5gX/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggclGxAqP5nb_SAdOp4RJnywKjW77JatEN9Vp-ItE7gnPv2xTLX0xg-THMxHU9UFgEzZsvTg9avnZ8dVfZ8m-Kk4aCJE9fEupCMEDD6KBssfp8L9PlPMdqTEQ4-w6Grq7F8d_4u7YPb5gX/s1600/6.png" height="10" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkQfz9gwzzwcUtqK9sMmhw8E28y-pJxXxtt6mL0QoA4bQiHxgqkHOccqmltxdi8ukQiGLjr2GAPhFE4PxV99I8fCpKJrmx8bZuq54IiWUrkGbBAcV8tbDkvnChcLnSCbyhpgb8bSbj3-Ce/s1600/7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkQfz9gwzzwcUtqK9sMmhw8E28y-pJxXxtt6mL0QoA4bQiHxgqkHOccqmltxdi8ukQiGLjr2GAPhFE4PxV99I8fCpKJrmx8bZuq54IiWUrkGbBAcV8tbDkvnChcLnSCbyhpgb8bSbj3-Ce/s1600/7.png" /></a></div>
<br />
<br />
<ul>
<li><u>Crear puertas traseras (Rootkits)</u></li>
</ul>
Llegados a este punto, necesitaremos mantener nuestro acceso a dicha máquina aunque sea reiniciada o apagada o nosotros mismos seamos quienes nos desconectemos.<br />
<br />
<div style="text-align: center;">
<b><u>Manteniendo el acceso</u></b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji4KG9HyN4iC9Jn0GkOTMC-mNk_wB-hTaWdVFP8ZFao2wWpKGOCsYgL3Yu46T1dL63uCeffFnkKDRjb8DTA_qvKIe97ZH6gAr_WmYrFQf3QaW9Y9jvU213Ra5NMwTwicLNU4BzcQG_4PyP/s1600/8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji4KG9HyN4iC9Jn0GkOTMC-mNk_wB-hTaWdVFP8ZFao2wWpKGOCsYgL3Yu46T1dL63uCeffFnkKDRjb8DTA_qvKIe97ZH6gAr_WmYrFQf3QaW9Y9jvU213Ra5NMwTwicLNU4BzcQG_4PyP/s1600/8.png" height="26" width="320" /></a></div>
<div style="text-align: center;">
<br /></div>
También podríamos subir un netcat para que se ejecute al inicio y lance la conexión a nuestra máquina, cambiar accesos directos para que además de ejecutar el programa habitual lance una meterpreter, shell o lo que deseemos. Aquí es cuestión de gustos e imaginación.<br />
<br />
<br />
<ul>
<li><u>Borrar huellas digitales.</u></li>
</ul>
Por último, debemos borrar toda evidencia de nuestra presencia.<br />
<br />
<div style="text-align: center;">
<b><u>Borrado de huellas</u></b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwuvwbVNbC511Sn-1XDvnnhsNZ57vW0N8yycPuykTfxxbxQWc00JUvAFCIt6xpwrEMs8qLV2zNvxFJpvPiAI0gxSjB-KzYCMT9bwqywD6szG0rWuAsHkZMk6g7ZcXnvX-lHf9Szb8WI-Ij/s1600/9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwuvwbVNbC511Sn-1XDvnnhsNZ57vW0N8yycPuykTfxxbxQWc00JUvAFCIt6xpwrEMs8qLV2zNvxFJpvPiAI0gxSjB-KzYCMT9bwqywD6szG0rWuAsHkZMk6g7ZcXnvX-lHf9Szb8WI-Ij/s1600/9.png" height="223" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwLtdio9r6K-JuhsLD9mqHHO-8u9ZynTGG69rh25HCYIOchb9_m62_H26tUpUVSjMnyg8NV-X2VWiFWPU99bXPCCD4i6twqpqdMibdvjxc9by7krMKoZvkzvlHbApcYjjVqcAXtGjh0PcX/s1600/10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwLtdio9r6K-JuhsLD9mqHHO-8u9ZynTGG69rh25HCYIOchb9_m62_H26tUpUVSjMnyg8NV-X2VWiFWPU99bXPCCD4i6twqpqdMibdvjxc9by7krMKoZvkzvlHbApcYjjVqcAXtGjh0PcX/s1600/10.png" height="42" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjn9vxrQhiJ6bLFX0a1edogej6GmR8P_jB9IDljfLndTtQWg9ODUS_vQOBqmjFjob0Tqs8yhMXW-XpQXGPEkV5_ATntfgV8oFq8RfOOWNSFayfrnE9aI5MF0qxML1Ym7a0r_Ke_mJJ0G3HQ/s1600/11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjn9vxrQhiJ6bLFX0a1edogej6GmR8P_jB9IDljfLndTtQWg9ODUS_vQOBqmjFjob0Tqs8yhMXW-XpQXGPEkV5_ATntfgV8oFq8RfOOWNSFayfrnE9aI5MF0qxML1Ym7a0r_Ke_mJJ0G3HQ/s1600/11.png" height="131" width="320" /></a></div>
<div style="text-align: center;">
<br /></div>
Temporales, eventos del sistema, registros, conexiones... debemos ser bastante minuciosos si queremos no dejar rastro alguno.<br />
<br />
<br />
Esto ha sido todo por hoy, espero que les haya gustado.<br />
<br />
Saludos.<br />
<br />
<br />
<span style="font-size: x-small;">Referencias</span><br />
<span style="font-size: x-small;"><a href="http://thehackerway.com/2011/03/18/pasos-de-post-explotacion-de-sistemas/">http://thehackerway.com/2011/03/18/pasos-de-post-explotacion-de-sistemas/ </a></span><br />
<span style="font-size: x-small;"><a href="http://thehackerway.com/2011/06/04/meterpreter-scripts-post-explotacion-de-sistemas/">http://thehackerway.com/2011/06/04/meterpreter-scripts-post-explotacion-de-sistemas/</a></span><br />
<a href="http://www.fermu.com/es/articulos/guia-regedit/19-resolucion-de-problemas/790-quitar-el-icono-del-centro-de-actividades-del-%C3%A1rea-de-notificaci%C3%B3n"><span style="font-size: x-small;">http://www.fermu.com/es/articulos/guia-regedit/19-resolucion-de-problemas/790-quitar-el-icono-del-centro-de-actividades-del-%C3%A1rea-de-notificaci%C3%B3n</span></a><br />
<a href="http://foro.elhacker.net/hacking_avanzado/guia_de_post_explotacion_borrado_de_huellas_digitales-t405677.0.html"><span style="font-size: x-small;">http://foro.elhacker.net/hacking_avanzado/guia_de_post_explotacion_borrado_de_huellas_digitales-t405677.0.html</span></a><br />
<span style="font-size: x-small;"><br /></span>
<br />
<br />
<span style="font-size: x-small;"><span style="font-size: xx-small;"> </span><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span> </span><br />
<br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com1tag:blogger.com,1999:blog-8594160066874890761.post-26017934129571696022014-02-26T12:24:00.003-08:002014-02-26T12:25:08.342-08:00Infectando mediante Autorun<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmoIyBHh7GDDu-jFCQ8uhlZrLMP3aOyayny7nMK4rXsQmKrEcGxfguTMc3hs4S6cbpqBB2ltwTK-0U-CNwCPpbWLxxPwfiYs9qp1yCU6DMKcdrvRJrteVpM4gdUCT9Ka5VA1lPsynO3E00/s1600/autorun.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmoIyBHh7GDDu-jFCQ8uhlZrLMP3aOyayny7nMK4rXsQmKrEcGxfguTMc3hs4S6cbpqBB2ltwTK-0U-CNwCPpbWLxxPwfiYs9qp1yCU6DMKcdrvRJrteVpM4gdUCT9Ka5VA1lPsynO3E00/s1600/autorun.jpg" /></a></div>
<br />
<br />
Hoy vamos a ver como se puede distribuir malware a través de medios extraíbles mediante los ficheros Autorun.<br />
<br />
Antes de nada vamos a explicar un poco que son estos Autorun.<br />
<br />
Tal y como bien define la <a href="http://es.wikipedia.org/wiki/Autorun">Wikipedia</a>, "<i>se denomina Autorun a la capacidad de varios sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o Memoria flash.</i>"<br />
<br />
En los sistemas Windows los Autorun se realizan mediante un fichero en texto plano llamado autorun.inf y debe estar dentro del dispositivo.<br />
<br />
La estructura de dicho fichero es la siguiente:<br />
<br />
[AutoRun]<br />
Open=nombre_fichero_a_ejecutar<br />
Label=Etiqueta_Unidad<br />
icon=nombre_icono_unidad<br />
UseAutoPlay=1 <br />
<br />
[Content]<br />
MusicFiles=Y<br />
PictureFiles=N<br />
VideoFiles=N<br />
<br />
[ExclusiveContentPaths]<br />
carpeta1<br />
carpeta2<br />
carpeta3subcarpeta<br />
<br />
[IgnoreContentPaths]<br />
carpeta4<br />
carpeta2subcarpeta5<br />
<br />
[DeviceInstall]<br />
DriverPath=carpeta_drivers_controladores<br />
<br />
Cuando se introduzca un medio extraible con dicho fichero, el sistema operativo leerá el autorun.inf y mostrará la siguiente pantalla:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiicpO8t6CpFtfI9z6o-JNZ1UPJtZKaClINLnABPgQKZg1xB2dJmbkWJrSdR4pjjs6eMnpPWXmGU4VsBjdoN4kXjW4FTYnKaYpUek8s9pyfXXEwKEHaFP5jjxrv7v3XwbynVIt7fff79QE5/s1600/AutoPlay.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiicpO8t6CpFtfI9z6o-JNZ1UPJtZKaClINLnABPgQKZg1xB2dJmbkWJrSdR4pjjs6eMnpPWXmGU4VsBjdoN4kXjW4FTYnKaYpUek8s9pyfXXEwKEHaFP5jjxrv7v3XwbynVIt7fff79QE5/s1600/AutoPlay.png" /></a></div>
Una vez la victima pinche sobre el icono que hayamos preparado, ejecutará los parámetros que mande el fichero autorun.inf.<br />
<br />
Bien, ya sabemos como funciona, asi que vamos al lío.<br />
<br />
Esta vez utilizaremos SET para crear nuestro autorun, aunque podemos hacerlo manualmente si queremos.<br />
<br />
Seleccionamos la opción 1. <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQi5qXflyYodl1fAMY5T5A0ADX_FUwI5_ZEF1-0WOetQBd75haGdIAXqvR9rZvIa7JF_5Q44cm0DRari-G5iSV9OBUDvIl76J0V2XtSDTSdLgnbAhyj2gLvGA1Vnr7u5FKtyf7GLtIduTi/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQi5qXflyYodl1fAMY5T5A0ADX_FUwI5_ZEF1-0WOetQBd75haGdIAXqvR9rZvIa7JF_5Q44cm0DRari-G5iSV9OBUDvIl76J0V2XtSDTSdLgnbAhyj2gLvGA1Vnr7u5FKtyf7GLtIduTi/s1600/1.png" height="163" width="320" /></a></div>
<br />
Ahora la opción 3 (Infectious Media Generator).<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJh80yA8ueB8VO836UQlDssseMK8NaVCNBVJtVA1qpqallJr9TbVt7zYPEG1VtepW5eEq1TUuLX3XtpoVPp2_hk-yZESGdoqKZG8FdmxLh_nFfm2DxNGrb3yhjpeuZBOo_aAdDNern1xud/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJh80yA8ueB8VO836UQlDssseMK8NaVCNBVJtVA1qpqallJr9TbVt7zYPEG1VtepW5eEq1TUuLX3XtpoVPp2_hk-yZESGdoqKZG8FdmxLh_nFfm2DxNGrb3yhjpeuZBOo_aAdDNern1xud/s1600/2.png" height="163" width="320" /></a></div>
<br />
Elegimos la opción 2.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhB0le6gcmlxRPBeC3l17SY6WGlDsWDVO9HTSyX_xE6OrAF-hb-DDXYEwLyspN41BW57moQiUXxPU785JYQxKZthoIMfKZvGgEEzLu7j3UJE7kOn954XDmQ2kvDRkgH4_xrsCsZWHIKAoaR/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhB0le6gcmlxRPBeC3l17SY6WGlDsWDVO9HTSyX_xE6OrAF-hb-DDXYEwLyspN41BW57moQiUXxPU785JYQxKZthoIMfKZvGgEEzLu7j3UJE7kOn954XDmQ2kvDRkgH4_xrsCsZWHIKAoaR/s1600/3.png" height="102" width="320" /></a></div>
<br />
Ahora se nos pedirá la IP a la que tiene que conectar el payload, es decir nuestra IP, y el tipo de payload que deseamos elegir.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbmzSrVQth8QfVWA6Qkx1YkKvPaq00laNzre6SNfIaSbPbkNrNQsAmGIoe4jstXtDxhNP154BopRb7pEocrI8ZppDYeOW0U_CnpQhMR5D4DZwYsY-nKe-HSB2KuC6G93FLRsqbSym4dk8J/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbmzSrVQth8QfVWA6Qkx1YkKvPaq00laNzre6SNfIaSbPbkNrNQsAmGIoe4jstXtDxhNP154BopRb7pEocrI8ZppDYeOW0U_CnpQhMR5D4DZwYsY-nKe-HSB2KuC6G93FLRsqbSym4dk8J/s1600/4.png" height="139" width="320" /></a></div>
<br />
Por último, elegiremos como queremos que encodee nuestro "pequeñin", y pondremos el puerto al que queremos que se conecte.<br />
Una vez pulsemos enter empezará a crearnos los archivos.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTDdTv2jurXT44IEXsZ0GWET3eoEhspoLLna-vw4L9s3p-HkxpkpgkEOtVTn7zFpcrLsX0I7rE9TpVZWReAx9XJnoog95_e9yswg6K0NOrpZDiki-Q8bdyvDrvnXoulGznXgm0fup1C7br/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTDdTv2jurXT44IEXsZ0GWET3eoEhspoLLna-vw4L9s3p-HkxpkpgkEOtVTn7zFpcrLsX0I7rE9TpVZWReAx9XJnoog95_e9yswg6K0NOrpZDiki-Q8bdyvDrvnXoulGznXgm0fup1C7br/s1600/5.png" height="182" width="320" /></a></div>
<br />
Ahora copiaremos los 2 archivos creados a nuestro USB y se lo pasamos a nuestra victima para que lo abra.<br />
Una vez pinche sobre nuestro programa mediante la opcion de reproduccion automatica, nos brindará nuestra querida sesión xD<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjSefR3HJB9N287PjgXfJHa0Msc5r2zKh30pBii1pT3sQwaV3-MeOAn3azynuCLITHeX2H9LrcuVPl_bjYZyD91JQCqLeDUmTiPCvuMCwk4ALW0He7vCyF7zFU91Bvj3DCyVMwVCGvAeZmd/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjSefR3HJB9N287PjgXfJHa0Msc5r2zKh30pBii1pT3sQwaV3-MeOAn3azynuCLITHeX2H9LrcuVPl_bjYZyD91JQCqLeDUmTiPCvuMCwk4ALW0He7vCyF7zFU91Bvj3DCyVMwVCGvAeZmd/s1600/6.png" height="74" width="320" /></a></div>
<br />
<br />
<br />
<b><span style="font-size: large;">¿Cómo protegernos?</span></b><br />
<br />
Para eso debemos ir a: <i>Panel de control\Hardware y sonido\Reproducción automática</i><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGdrPD5a_ODD5oyebP8E3KBpV1lN0oMwMS2VybhCuc4TIpXkl8g1BDLiIqb09xCqXUHeI8v9Z28WHkURMsqrJ7pjhLSUT5GWkAf4yfLORGD7cLHY52aAQApjsdJEtvu2bdxtwSLu3Emq4E/s1600/reproduccion_automatica.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGdrPD5a_ODD5oyebP8E3KBpV1lN0oMwMS2VybhCuc4TIpXkl8g1BDLiIqb09xCqXUHeI8v9Z28WHkURMsqrJ7pjhLSUT5GWkAf4yfLORGD7cLHY52aAQApjsdJEtvu2bdxtwSLu3Emq4E/s1600/reproduccion_automatica.png" height="197" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
Una vez ahí, desmarcamos la opción de usar la reproducción automática.<br />
<br />
Como viene siendo habitual, os dejo un video en el que podeis ver como hacer todo esto.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.youtube.com/embed/Vx75nrhPhH8?feature=player_embedded' frameborder='0'></iframe></div>
<br />
<br />
Saludos!!!<br />
<br />
<br />
<span style="font-size: x-small;">Referencias</span><br />
<span style="font-size: x-small;"><a href="http://es.wikipedia.org/wiki/Autorun">http://es.wikipedia.org/wiki/Autorun</a><br /><a href="http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=498#autorun">http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=498#autorun</a></span><br />
<br />
<br />
<span style="font-size: x-small;"> </span><span style="font-size: xx-small;"><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span><br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-30228216033547409492014-02-22T10:03:00.000-08:002014-02-22T10:07:15.774-08:00Antivirus - Métodos de detección de Malware<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgACdYZDzlisMtUxcUT3hCdcNnE5zV0qQ_x2tPwytXDLEAoTlAC0u7ieZmUFviSlwhSiymXJk2kgETSM1dsWnyNuoyWI0evMwrheXYmbgIV5X6nLfbUfHWwwkhhQcL9Raquci5mY8oRWVaP/s1600/deteccion-malware.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgACdYZDzlisMtUxcUT3hCdcNnE5zV0qQ_x2tPwytXDLEAoTlAC0u7ieZmUFviSlwhSiymXJk2kgETSM1dsWnyNuoyWI0evMwrheXYmbgIV5X6nLfbUfHWwwkhhQcL9Raquci5mY8oRWVaP/s1600/deteccion-malware.jpg" height="171" width="320" /></a></div>
<br />
Hoy vamos a hablar de los métodos que utilizan los Antivirus para detectar malware.<br />
<br />
Básicamente se utilizan tres métodos para detectar malware:<br />
<ul>
<li>Detección mediante firmas.</li>
<li>Detección mediante Heurística.</li>
<li>Detección mediante string signatures.</li>
</ul>
<br />
La <u>detección mediante firmas</u> es la más extendida. Este método calcula el hash del fichero y contrasta dicho hash con una base de datos para ver si coincide con otro que ya haya sido detectado como malware.<br />
Evidentemente este método no es muy efectivo, ya que con sólo modificar 1 bit del fichero cambiará su hash y por tanto ya no será detectado.<br />
<br />
El siguiente método, el <u>método de heurística</u>, es bastante más efectivo y se basa en el comportamiento del ejecutable.<br />
Es decir, según las acciones que realice en el sistema se identificará como malware o no.<br />
Pero ¿que pasaría si modificamos el binario y por ejemplo le añadimos unos cuantos saltos (<a href="http://moisesrbb.tripod.com/unidad5.htm#u511">JMP</a>) en el código?<br />
Obviamente estaríamos cambiando su comportamiento...<br />
<br />
El último método, <u>string signatures</u>, se basa en identificar cadenas de texto o cadenas binarias de un fichero para identificarlo como malware.<br />
Es decir, si por ejemplo el codigo de un virus contiene la palabra "3st@m0s_Pr0b@nd0", se utilizará dicha cadena de texto como firma para su detección.<br />
Pero claro, también podríamos probar a encodear (ofuscar) dicho código para que el Antivirus no pueda reconocer la cadena. Para esto se suelen utilizar los <a href="http://www.securitybydefault.com/2013/07/funcionamiento-de-los-crypters.html">crypters</a>.<br />
<br />
Como podéis ver todo tiene su vuelta de hoja... aunque en la práctica es bastante más complejo de lo que parece.<br />
<br />
Para realizar estas tareas necesitaremos editores en hexadecimal, depuradores de codigo y desensambladores, así que os dejo algunos para que os vayáis familiarizando:<br />
<br />
- <a href="http://www.ollydbg.de/">Ollydbg</a> (Depurador)<br />
- <a href="https://www.hex-rays.com/products/ida/support/download_freeware.shtml">IDA Pro</a> (Desensamblador) <br />
- <a href="http://mh-nexus.de/en/hxd/">HxD</a> (Editor Hexadecimal)<br />
<br />
Para terminar os dejo con un video, disfrutarlo!!!<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='520' height='466' src='https://www.youtube.com/embed/49x0QSpVB3k?feature=player_embedded' frameborder='0'></iframe></div>
<br />
<br />
Saludos.<br />
<br />
<br />
<span style="font-size: x-small;">Referencias</span><br />
<span style="font-size: x-small;">http://moisesrbb.tripod.com/unidad5.htm#u511 </span><br />
<span style="font-size: x-small;">http://www.mkit.com.ar/blog/bypassing-av/</span><br />
<span style="font-size: x-small;">http://www.securitybydefault.com/2013/07/funcionamiento-de-los-crypters.html </span><br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"> </span><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span>systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-10969785511587097932014-02-20T09:37:00.000-08:002014-02-20T09:37:22.286-08:00Google Hacking<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7t1DqO95oxyJ98XgHYlLh2fBNSlCUXSiXXKttdQCSIZPG0DN3sH4q_kl2rDHKXOPefCTNwRlpAh7J1EfNcZ_9nOVF4mZUj9hwT06I98jXKr9jPJO5Dvzdy4eWHysgXrNqT1q_6QC267rr/s1600/google.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7t1DqO95oxyJ98XgHYlLh2fBNSlCUXSiXXKttdQCSIZPG0DN3sH4q_kl2rDHKXOPefCTNwRlpAh7J1EfNcZ_9nOVF4mZUj9hwT06I98jXKr9jPJO5Dvzdy4eWHysgXrNqT1q_6QC267rr/s1600/google.png" height="98" width="320" /></a></div>
<br />
Hoy vamos a ver una técnica ampliamente usada que nos servirá para obtener información sobre nuestros objetivos, esta se llama <i>Google Hacking</i>.<br />
<br />
<b>¿En qué consiste?</b><br />
<br />
Consiste en realizar búsquedas a través del buscador google que permiten detectar fugas de información, vulnerabilidades en sistemas informáticos, obtener información sobre personas o entidades tales como DNI, fechas de nacimiento, salario, domicilio, telefono, etc...<br />
<br />
Esta técnica debe utilizarse a la hora de realizar un test de intrusión, ya que obtendremos muchísima información valiosa que nos ayudará durante todo el proceso.<br />
<br />
Los parámetros utilizados para realizar dichas consultas en google se llaman "<i>operadores</i>". <br />
<br />
En la red se pueden encontrar multitud de consultas ya preparadas con dichos operadores, estas se llaman "<i>Google Dorks</i>".<br />
<br />
Pasemos a ver algunos de los operadores que tiene google:<br />
<br />
<b>Intitle</b>: sirve para buscar palabras en el titulo de una página.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjh9bTzegzpr7acFeTxckYV0uRgr6pS2SyW6E7aVPHlV14NSuTEFK_muVdR5JNNkHg12f-S1YPaPDrCQ1l-M7OZbvKxlxP83xvBevoJnA7RnOVbGGtZBqgpFyC7FGQTZkGKmSzdy1LprVgE/s1600/intitle.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjh9bTzegzpr7acFeTxckYV0uRgr6pS2SyW6E7aVPHlV14NSuTEFK_muVdR5JNNkHg12f-S1YPaPDrCQ1l-M7OZbvKxlxP83xvBevoJnA7RnOVbGGtZBqgpFyC7FGQTZkGKmSzdy1LprVgE/s1600/intitle.png" height="148" width="320" /></a></div>
<br />
<br />
<b> Inurl</b>: sirve para buscar palabras que las contenga una url.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUs09DwI5F0osAiSUOK7qBFx9qsTQgMeMCBsG-begYMOeFQp-m8T7rYAZSzhyeNLnjab2EHwDa0uNJNhz92Y6WOKwzc5kepgqHITcoXU3QLSvBoMCQJBKMgZbVzaAHt45YJdHurrftEhYz/s1600/inurl.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUs09DwI5F0osAiSUOK7qBFx9qsTQgMeMCBsG-begYMOeFQp-m8T7rYAZSzhyeNLnjab2EHwDa0uNJNhz92Y6WOKwzc5kepgqHITcoXU3QLSvBoMCQJBKMgZbVzaAHt45YJdHurrftEhYz/s1600/inurl.png" height="172" width="320" /></a></div>
<br />
<b>Allinurl</b>: La misma que la anterior pero con más palabras.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhD70Yut6ZlxrZYGreAIYLChUGUwz3bKVduD79ccIAR9QTf9Lak1qS3d4KLlCVPCci67u7N_pSpAz0WYwAv5m4f268_CY-3c-MkN47TS_UFajaajZiPVQXaA29G_cjjwT6PYLvjoJ-au2_3/s1600/allinurl.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhD70Yut6ZlxrZYGreAIYLChUGUwz3bKVduD79ccIAR9QTf9Lak1qS3d4KLlCVPCci67u7N_pSpAz0WYwAv5m4f268_CY-3c-MkN47TS_UFajaajZiPVQXaA29G_cjjwT6PYLvjoJ-au2_3/s1600/allinurl.png" height="162" width="320" /></a></div>
<br />
<b>Intext</b>: sirve para buscar en el texto de una página.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4eyGWJqvZRtbpHoUgrJ3g50mYmFFnF0VUEGz9vo2HVlhXtNA5Ds9wzOHEB4ZWTMsfz5O0VyWz37s-fkPw1gs0xrbyqBrH_D4RyNt3sD4vx1cZgm9HHrQdhfPTpLsKu-6DUwlauHb4RFuS/s1600/intext.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4eyGWJqvZRtbpHoUgrJ3g50mYmFFnF0VUEGz9vo2HVlhXtNA5Ds9wzOHEB4ZWTMsfz5O0VyWz37s-fkPw1gs0xrbyqBrH_D4RyNt3sD4vx1cZgm9HHrQdhfPTpLsKu-6DUwlauHb4RFuS/s1600/intext.png" height="191" width="320" /></a></div>
<br />
<b>Filetype</b>: sirve para buscar por el tipo de archivo: PDF, XLS, MP3, DOC, JPG, etc. <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8njpxwZ7yzgisAvYv9GsQyQFlXj1X-pTsSRonu6gf-aHK4Zzuld39BM-dh-u5NI9K2J21OLQlo6ACmZZmMYC2hHucEbDk2DjKJhNNgvLioFKGNzzZ2nFMTJ5VesFv9EMRTlJqp3NbZ3E-/s1600/filetype.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8njpxwZ7yzgisAvYv9GsQyQFlXj1X-pTsSRonu6gf-aHK4Zzuld39BM-dh-u5NI9K2J21OLQlo6ACmZZmMYC2hHucEbDk2DjKJhNNgvLioFKGNzzZ2nFMTJ5VesFv9EMRTlJqp3NbZ3E-/s1600/filetype.png" height="267" width="320" /></a></div>
<br />
<b>Site</b>: sirve para filtrar la búsqueda a un dominio (.com, .ru, .es, etc...)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiD_FUtZ0WPyI43Kg73Ff44OKcv8RIxDAehruxiz0MFNusqh7eZZ0iIuS9yeyxWv0t6Zkvqf0urE7MrYnFxodME2tpSo78wHLoj8LkAECUieN9QjSfwsYSC_GGr5nZUILNFOG0tqR2n1C42/s1600/site.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiD_FUtZ0WPyI43Kg73Ff44OKcv8RIxDAehruxiz0MFNusqh7eZZ0iIuS9yeyxWv0t6Zkvqf0urE7MrYnFxodME2tpSo78wHLoj8LkAECUieN9QjSfwsYSC_GGr5nZUILNFOG0tqR2n1C42/s1600/site.png" height="235" width="320" /></a></div>
<br />
Estos son solo unos pocos operadores de todos los que se disponen, suficientes para empezar a investigar por vosotr@s mism@s.<br />
Además podemos utilizar todos los que necesitemos en una misma consulta, es decir, que hay bastante con los que jugar xD.<br />
<br />
<br />
<b>¿Cómo se puede evitar esta técnica?</b><br />
<ul>
<li> <u>Configurar correctamente el archivo robots.txt</u>: Este archivo permite indicarle a los crawlers que carpetas dentro del servidor no debe indexar y cuales sí.</li>
<li><u>Utilizar meta-etiquetas (meta-tag)</u>: Con estas etiquetas también podemos indicarle a los crawlers que no indexen dicha página. Ejemplo:</li>
</ul>
<div style="text-align: center;">
<META NAME=”ROBOTS” CONTENT=”NOINDEX, NOFOLLOW”> </div>
<ul>
<li><u>Deshabilitar listado de directorios</u>: Mediante esta opción el atacante tiene una completa noción de los archivos
disponibles dentro del servidor. La funcionalidad debe deshabilitarse a
través de los archivos de configuración.</li>
<li> <u>Configurar correctamente fichero .htaccess</u>: Este archivo permite, entre otras funcionalidades, restringir el acceso a directorios críticos, por lo que, aunque Google indexe un directorio crítico, el atacante no podrá acceder al directorio o fichero.</li>
</ul>
<br />
Os dejo a vosotros mismos que descubráis todos los operadores disponibles y también que veáis el poder que tiene esta técnica, seguro que os gustará.<br />
<br />
Saludos!!!<br />
<br />
<br />
<span style="font-size: x-small;">Referencias:</span><br />
<a href="http://www.exploit-db.com/google-dorks/"><span style="font-size: x-small;">http://www.exploit-db.com/google-dorks/</span></a><br />
<span style="font-size: x-small;"><a href="http://0xword.com/es/libros/20-libro-hacking-buscadores-google-bing-sodan-robtex.html">http://0xword.com/es/libros/20-libro-hacking-buscadores-google-bing-sodan-robtex.html</a> </span><br />
<a href="http://www.galinus.com/es/articulos/operadores-y-comandos-google.html"><span style="font-size: x-small;">http://www.galinus.com/es/articulos/operadores-y-comandos-google.html</span></a><br />
<a href="https://sites.google.com/site/recursosdweb20idiomas/google"><span style="font-size: x-small;">https://sites.google.com/site/recursosdweb20idiomas/google</span></a><br />
<a href="http://antoniogonzalezm.es/tag/google-dorks/"><span style="font-size: x-small;">http://antoniogonzalezm.es/tag/google-dorks/</span></a><br />
<a href="http://www.welivesecurity.com/la-es/2012/06/21/google-dorks-ocultar-informacion-critica-servidores/"><span style="font-size: x-small;">http://www.welivesecurity.com/la-es/2012/06/21/google-dorks-ocultar-informacion-critica-servidores/</span></a><br />
<a href="http://www.omarbv.com/google-dorks-buscando-identidades/"><span style="font-size: x-small;">http://www.omarbv.com/google-dorks-buscando-identidades/</span></a><br />
<a href="http://hacknode.blogspot.com.es/2012/06/como-defendernos-de-los-google-hackers.html"><span style="font-size: x-small;">http://hacknode.blogspot.com.es/2012/06/como-defendernos-de-los-google-hackers.html</span></a><br />
<br />
<br />
<span style="font-size: xx-small;"><span style="font-size: xx-small;"> </span><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span></span><br />
<br />systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0tag:blogger.com,1999:blog-8594160066874890761.post-5502172232295266622014-02-16T04:32:00.002-08:002014-02-16T04:32:39.686-08:00Crackeando Hashes<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTtrvfNURKFf_HKFzVvuOKLSfFR5Yk9AHPfdYb2ZVx7D9h-GWIH8BWte5y4PVQRAWZJNx9vI3Z_aHxqHeE3StqZ-FSLJJtI188rO0mKF4lBoaDQsg0jdYTbDZvMxBiaA9WYqjI_X13FTq6/s1600/pass.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTtrvfNURKFf_HKFzVvuOKLSfFR5Yk9AHPfdYb2ZVx7D9h-GWIH8BWte5y4PVQRAWZJNx9vI3Z_aHxqHeE3StqZ-FSLJJtI188rO0mKF4lBoaDQsg0jdYTbDZvMxBiaA9WYqjI_X13FTq6/s1600/pass.jpg" height="150" width="320" /></a></div>
<br />
Como ya dije en la <a href="http://systemexposed.blogspot.com.es/2014/02/identificando-el-tipo-de-algoritmo-de.html">entrada anterior</a>, vamos a ver como podemos conseguir la contraseña cifrada a partir de su hash.<br />
<br />
Para conseguir dicha clave utilizaremos dos programas, <a href="http://hashcat.net/oclhashcat/">OclHashcat</a> y <a href="http://sourceforge.net/projects/crunch-wordlist/">Crunch</a>.<br />
<br />
<br />
<u><b><span style="font-size: large;">Atacando SHA-1 - Diccionario</span><span style="font-size: large;"><br /></span></b></u><br />
Lo primero que haremos será generar nuestro diccionario con Crunch.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj37blOZx1C1RqRFtjQJ7UH6nTnyl77Wpl_ndOFvYGch2dn89XK0bleJg6CCszMvVQdjK8INxsnEyodn7kh7nY47TGVzPHG3xykYUHdKp08kOa4VDrXCacmesxCnQz2EyTQDU23VEolfWUM/s1600/crunch.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj37blOZx1C1RqRFtjQJ7UH6nTnyl77Wpl_ndOFvYGch2dn89XK0bleJg6CCszMvVQdjK8INxsnEyodn7kh7nY47TGVzPHG3xykYUHdKp08kOa4VDrXCacmesxCnQz2EyTQDU23VEolfWUM/s1600/crunch.png" height="72" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_RFpwz63Kr-68CSS6Bi8PEqlwSOSxhYRp-ashGoI0hPMxRRhGFGm_y9J3xq54uGT85z5HRzBVhHF7R1Cv7dxT8wRF1GCy8dMEFSer0PgIgbOyiYiAmNQSBE2WfNmWdg31gxzq6enhfKtp/s1600/dic.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_RFpwz63Kr-68CSS6Bi8PEqlwSOSxhYRp-ashGoI0hPMxRRhGFGm_y9J3xq54uGT85z5HRzBVhHF7R1Cv7dxT8wRF1GCy8dMEFSer0PgIgbOyiYiAmNQSBE2WfNmWdg31gxzq6enhfKtp/s1600/dic.png" height="320" width="84" /></a></div>
<br />
Una vez generado, utilizaremos OclHashcat para realizar el ataque por diccionario.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYPn4oPyAshcH_WE6sS5qoupqVOznemzlMraoXEqvzeKyDrOAXcyEkE6syh1is-q_PjrSOAiwG_AxCY7s8cRriyu0Q8PrCD84hOuF-kcePrYAjXduvoUNaRvGWEB6ERp-agfaRurbCLq5n/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYPn4oPyAshcH_WE6sS5qoupqVOznemzlMraoXEqvzeKyDrOAXcyEkE6syh1is-q_PjrSOAiwG_AxCY7s8cRriyu0Q8PrCD84hOuF-kcePrYAjXduvoUNaRvGWEB6ERp-agfaRurbCLq5n/s1600/5.png" height="136" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0Nl8J-U2P4ND8_PQWWgEpMZSVjS8MoCZvm9ReSHIH9oCKiADY7dkZk7Epi24SZM_zbHhyaaCayZ0DgYmexa7sWqokJjBgsyAqNzb5seCG686uet8j-NiIhozes2kYU6gEkPSpCZT_tjIX/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0Nl8J-U2P4ND8_PQWWgEpMZSVjS8MoCZvm9ReSHIH9oCKiADY7dkZk7Epi24SZM_zbHhyaaCayZ0DgYmexa7sWqokJjBgsyAqNzb5seCG686uet8j-NiIhozes2kYU6gEkPSpCZT_tjIX/s1600/6.png" height="289" width="320" /></a></div>
<br />
Ahí tenemos la contraseña ;) <br />
<br />
<br />
<u><b><span style="font-size: large;">Crackeando MD5</span></b></u><br />
<br />
Ahora vamos a crackear un hash MD5.<br />
Para esto tenemos que introducir el siguiente comando en OclHashcat:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6JCVCTGAKw-0Kwej2h8vpwB-b31G3c6U0ijcodn5NH9J2ZOl_u1vL5F80dxZ4MdYMPPYkqoZg_ppTBWsIP4ZA5T_VzbCpcLUDmVWWFUy02Pj9offAxScTkbjHyKLVxcpTr0Yytzu2Urb-/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6JCVCTGAKw-0Kwej2h8vpwB-b31G3c6U0ijcodn5NH9J2ZOl_u1vL5F80dxZ4MdYMPPYkqoZg_ppTBWsIP4ZA5T_VzbCpcLUDmVWWFUy02Pj9offAxScTkbjHyKLVxcpTr0Yytzu2Urb-/s1600/3.png" height="133" width="320" /></a></div>
<br />
Dependiendo de la potencia de nuestra GPU tardará más o menos...<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEip26Q-biRQsU8wvfsIhKhO9eGGmpNB1MAngnx45ND7EUFwnxI-fJ06wBL3VzSONje7PcLsOcB0k4LIGZYhVpKSlFhmozRHzshCfFT1qmPJf5TAR7eDUOrHmfCQHynYjIjLmKxZ7C02p5G_/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEip26Q-biRQsU8wvfsIhKhO9eGGmpNB1MAngnx45ND7EUFwnxI-fJ06wBL3VzSONje7PcLsOcB0k4LIGZYhVpKSlFhmozRHzshCfFT1qmPJf5TAR7eDUOrHmfCQHynYjIjLmKxZ7C02p5G_/s1600/4.png" height="216" width="320" /></a></div>
<br />
<br />
Listo! ya tenemos crackeado el md5! La contraseña como podéis ver es <b>11vpwc2</b>.<br />
<br />
Os dejo con un par de video-tutoriales, disfrutarlos.<br />
<br />
<b>Generar diccionarios (Crunch)</b> - <a href="http://www.youtube.com/watch?v=Ev6DVENGOhI">http://www.youtube.com/watch?v=Ev6DVENGOhI</a><br />
<b>Cracking MD5 HashCat</b> - <a href="http://www.youtube.com/watch?v=6W7P2CQZAKc">http://www.youtube.com/watch?v=6W7P2CQZAKc</a><br />
<br />
<br />
Espero que les haya gustado.<br />
<br />
Saludos.<br />
<br />
<br />
<span style="font-size: x-small;">Referencias</span><br />
<a href="http://hashcat.net/oclhashcat/"><span style="font-size: x-small;">http://hashcat.net/oclhashcat/</span></a><br />
<span style="font-size: x-small;"><a href="http://www.oxid.it/projects.html">http://www.oxid.it/projects.html </a></span><br />
<br />
<br />
<span style="font-size: xx-small;"> </span><span style="font-size: xx-small;"><span class="" id="result_box" lang="es"><span class="hps"><span style="font-size: xx-small;"><span style="font-family: inherit;"><span style="font-size: xx-small;"><span style="color: black;"><span style="color: white;"><span style="color: lime;"><span style="font-size: xx-small;">**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**</span></span></span></span></span></span></span></span></span></span>systemexposedhttp://www.blogger.com/profile/09783957076078239329noreply@blogger.com0