martes, 27 de noviembre de 2012

Mini-introducción al Network Forensics

Bienvenidos una vez más mis queridos lectores a este pequeño espacio!!!

En esta ocasión vamos a tocar un tema que a pesar de su impacto, desde mi punto de vista es muy poco explotado, y como el titulo de esta entrada lo dice se trata de “Network Forensics”

No siendo mas al grano, aunque mas que introduccion es un relato de como me la cruce en el camino!!!

Muchas veces encontramos en diversos lugares personas haciendo uso de herramientas como wireshark, ettercap, Cain&Abel, etc

y cuando a modo de un usuario normal nos acercamos y les preguntamos ¿qué están haciendo? o ¿qué es eso? algunos sacan pecho y dicen “Sniffeando”; bueno para los que no lo saben así se le llama al hecho de capturar el trafico que pasa por la red o como aparecería en textos en español olfateando en la red.


Ah, antes de que alguno brinque aclaro que wireshark más que un sniffer, es un analizador de protocolos excelente!!!

Pero bueno muchos dirán ¿Y esto para qué?

Sencillo haciendo referencia al Mag. Francisco Javier Terán les comento que “muchas veces es más fácil atacar la información cuando esta sale de los servidores (cuando esta está en la red o en el cable) que atacar los servidores mismos” o porque no, muchos al sniffear se centran en capturar credenciales de autenticación y/o chismosear las conversaciones de los demás,  ahí cada quien con su gusto, pero bueno como pueden ver hay un sin número de motivos para interesarnos en el trafico!!
De manera personal mientras preparaba el Taller con el que debute en Campus Party Colombia en el año 2010 y habiendo jodido lo suficiente con el laboratorio que era para mí ese segmento de red de la Universidad, dije lo siguiente:

“de seguro que al tráfico se le puede sacar más el jugo”
y de esa manera llegue a la siguiente reflexión:


"Bueno si se está capturando el trafico de la red, se debería en este tráfico encontrar evidencia de los ataques que  se  hacen a través de esta"

Ohh el agua moja, dirán, pero la verdad es que a partir de eso comencé buscar información al respecto y llegue al tema que estamos tratando (para que vean que no estaba tan mal).

Bueno realizando pruebas y metiéndole el hombro al asunto, logre con base en esto plantear y realizar la charla que presente en Campus Party 2011 Analisis de trafico... (Ese de la foto no soy yo, si alguien lo conoce denuncie xDDD, saludos @luiscano) y también en el evento SATI del mismo año, sin embargo para que fuese un poco mas entendible se lo entregue a los asistentes como un análisis de trafico con enfoque forense.



Para los que asistieron excelente, para los que no, se realizo una introducción sobre el tema de captura de tráfico y se presentaron algunas de las herramientas que nos permiten analizar el tráfico con un enfoque diferente y de una manera más agradable.

Ahora dirán pero que tanto se puede sacar del trafico, la verdad es que se puede sacar desde las conversaciones entre equipos (en los slides se ve un diagrama de nido de pájaro) ya sean IP o MAC (mmm recuerdan lo bueno que es esto para en los casos que se usan técnicas de evasión), estadísticas de consumo de ancho de banda por servicios, recuperación de los archivos que pasaron por la red, recuperación de llamadas telefónicas, etc. etc. etc. (como dirían las abuelitas)
 
¿Sera que con eso no se animan? Ok y para no hacer esto más largo y aburridor los invito a que vean los slides de la  presentación y se introduzcan en esto!!

 


 No siendo mas, espero les haya gustado y hasta una proxima entrada!!!


Carlos Andrés Rodallega Obando
@crodallega

PD1: Si pueden aprovechen y hagan el taller de @nonroot en @seczone que va a estar de    lujo http://securityzone.co/fernandoquintero_es.html

PD2: Recuerden que al que gano la entrada al security zone le dije que agregaria su introduccion aquí, no es un super blog pero me gusta nutrir de vez en cuando este espacio,  de modo que si así lo deseas enviamelo por correo
Publicado por en No hay comentarios:

jueves, 18 de octubre de 2012

Metasploitable2 - un escenario mas por completar

Bienvenidos una vez más a este espacio!!!

En esta ocasión les presento para los que no conocen la 2da versión de este divertido entorno de entrenamiento, el cual es publicado por los mismos desarrolladores de metasploit.

La idea de esta publicación es simplemente invitarlos a realizar sus pruebas sobre este entorno, y como dicen por ahí dejarlos picados con el tema… 

...no siendo mas como dijo el constructor manos a la obra






En este caso se tiene la dirección del objetivo y alguna información pero como siempre iniciaremos realizando el correspondiente barrido de ping.

root@bt: ~/metasploitable2#nmap -sP 192.168.56.1-255
Starting Nmap 6.01 ( http://nmap.org ) at 2012-10-09 22:25 COT
Nmap scan report for 192.168.56.1
Host is up (0.00013s latency).
MAC Address: 00:00:00:00:00:00
Nmap scan report for 192.168.56.100
Host is up (0.00021s latency).
MAC Address: 00:00:00:00:00:00
Nmap scan report for 192.168.56.101
Host is up.
Nmap scan report for 192.168.56.102
Host is up (0.00033s latency).
MAC Address: 00:00:00:00:00:00
Nmap done: 255 IP addresses (4 hosts up) scanned in 45.14 seconds
También podemos hacer uso de autoscan Network,

sin embargo como es visible en la imagen este puede ser mucho más invasivo aun (así que traten de usarlo solo en entornos seguros o autorizados)

Con nuestro objetivo identificado y siguiendo a la etapa de escaneo realizamos el escaneo de puertos

nmap -sV 192.168.56.102

Starting Nmap 6.01 ( http://nmap.org ) at 2012-10-09 22:26 COT
Nmap scan report for 192.168.56.102
Host is up (0.00063s latency).
Not shown: 977 closed ports
PORT     STATE SERVICE              VERSION
21/tcp   open  ftp                  vsftpd 2.3.4
22/tcp   open  ssh                  OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
23/tcp   open  telnet               Linux telnetd
25/tcp   open  smtp                 Postfix smtpd
53/tcp   open  domain               ISC BIND 9.4.2
80/tcp   open  http                 Apache httpd 2.2.8 ((Ubuntu) DAV/2)
111/tcp  open  rpcbind (rpcbind V2) 2 (rpc #100000)
139/tcp  open  netbios-ssn          Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn          Samba smbd 3.X (workgroup: WORKGROUP)
512/tcp  open  exec                 netkit-rsh rexecd
513/tcp  open  login
514/tcp  open  shell?
1099/tcp open  rmiregistry          GNU Classpath grmiregistry
1524/tcp open  ingreslock?
2049/tcp open  nfs (nfs V2-4)       2-4 (rpc #100003)
2121/tcp open  ftp                  ProFTPD 1.3.1
3306/tcp open  mysql                MySQL 5.0.51a-3ubuntu5
5432/tcp open  postgresql           PostgreSQL DB 8.3.0 - 8.3.7
5900/tcp open  vnc                  VNC (protocol 3.3)
6000/tcp open  X11                  (access denied)
6667/tcp open  irc                  Unreal ircd
8009/tcp open  ajp13                Apache Jserv (Protocol v1.3)
8180/tcp open  http                 Apache Tomcat/Coyote JSP engine 1.1
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi 
El cual una vez ha finalizado nos muestra los diversos servicios que este entorno trae para nuestra diversión!!!

Para los que no le han puesto cuidado al texto al final del listado de puertos y servicios en el que hace referencia a 2 servicios de los cuales los fingerprints son impresos después del escaneo. Estos son muy importantes ya que muchas veces nos pueden dar más información de la que se cree, si no es así que me diga mentiroso @eljeffto o miren ustedes mismos
Con base en esta información nos hacemos nuestro intento de conexión a este puerto y …


he aquí el primer acceso, miremos como ingresamos y también algo de información 




En este entorno hay muchos ítems por abordar pero también con la intensión de que ustedes jueguen con estos me oriente por el tomcat, así que nos fuimos a la herramienta de juaking mas distribuida “el navegador web” e intentamos el acceso web al tomcat donde tenemos…


Ahora buscamos la pagina de administración


intentando un acceso por defecto y…


…aunque no lo crean pasa en la vida real y en empresas importantes o ke me dice mi amigo @d7n0 con el que en uno de sus tantos casos nos encontramos este en particular xD

Con esta información nos vamos al administrador de aplicaciones del tomcat


Donde subimos la una webshell en este caso mi webshell que ya es famosa ya que se ve en los pantallazos de El mundo de dinosaurio

 

Uich le falto un salto de línea después de la detección del sistema!!! :| 
Algo más de información de la conexión y el sistema…





Pero bueno si es metasploitable, pues por ultimo me paso pa la herramienta del caso o sea metasploit
Ahí sí como dicen agáchense que van a volar cabezas!!!

pero no, en este caso y haciendo referencia a lo reciente del backdoor recientemente descubierto de phpmyadmin voy a hacer uso del buscador del mismo escogiendo un servicio al “azar” ;P

en esta caso consultamos e ingresamos la información que es necesario configurar para la ejecución y lo lanzamos…


…con la sesión creada comenzamos a interactuar con nuestro objetivo con el fin de verificar y recolectar algo de información.

Y  como la idea es que cada uno de ustedes le saque algo de time y le  cacharree un rato, hasta ahí los dejo, solo puedo decirles que hay muchas cosas para la diversión, entre estas algunos entornos web de los cuales les muestro el listado que presenta el servicio web del entorno.


Saludos y hasta una próxima entrada!!


Carlos Andrés Rodallega Obando
@crodallega
Publicado por en 4 comentarios:
Etiquetas: , , ,

jueves, 13 de septiembre de 2012

LockPicking - no esta llave, pero se puede abrir

Bienvenidos apreciados lectores!!!

En esta ocasión les traigo más que una publicación un manual de un tema que ya hace varios días me viene rondando la cabeza,  para los que no lo saben LockPicking hace referencia al arte de abrir cerraduras sin hacer uso de la llave original, lo cual es un tema controversial debido a que se podría ver desde el lado luminoso como el arte del cerrajero o desde el lado oscuro como el arte del ladronzuelo.

ahí si depende de cual te gusta más; y la verdad quien sabe cuando pueda ser necesario, ¿o quien lo recuerda la escena a la que pertenecen las siguientes imágenes?


para los que no la han visualizado aun


la verdad de pequeño al ver esto lo intente pero desafortunadamente no resulto para nada exitoso, al punto que un trozo del alambre que usé se quedo dentro de la cerradura y ni para que les cuento lo dificil que fue sacarlo.

Volviendo un poco más al presente comencé a escuchar de nuevo al respecto en el campus party del 2011 cuando @falcon_lownoise  toco el tema llamándolo “Principios Básicos de LockPicking”, pero como no pude asistir lo deje una vez más en stand by.  Hace unas semanas de nuevo @falcon_lownoise en twitter volvió a mencionar el tema en broma con alguien (me imagino que trabaja con ella) y la verdad me volvió a maquinar así que  hoy 12/09/12 que de nuevo tuve algo de tiempo libre, me dedique al tema!!!

En el proceso encontré un manual bastante bueno el cual les comparto a continuación

Guia MIT Del Lock Picking en Espanol Por Ludibrio

En verdad lo leí muy detenidamente; de modo que aplicando los conceptos y las practicas que mencionan logre mi primer escalón, bueno no con las herramientas que especifican (excelente sería conseguirse un kit de esos) pero si lo hice al estilo de Sarah Connor con dos alambres que tuviesen la rigidez suficiente y modificándolos para hacer el papel de ganzúa  y el tensor!!!



De modo que ya no queda sino seguir practicando con el actual y tratar de afrontar nuevos retos, eso sí sin salirnos del marco legal (creo que es bastante claro de cual lado estoy)

Espero que esta entrada haya sido de su agrado y hasta una próxima!!!!

Saludos

Carlos Andrés Rodallega Obando
@crodallega

PD: si alguien tiene documentación al respecto y lo desea  la comparte para agregarla aquí

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Y he aquí el primer aporte por parte de @falcon_lownoise quien nos envio la presentacion de la charla que dio en Campus Party que como les dije fue llamada "Principios Basicos de LockPicking" (gracias por permitirme enriquecer mi blog con tu aporte)
Publicado por en 1 comentario:
Etiquetas: ,

miércoles, 15 de agosto de 2012

Mi banco o yo, quien es mas culpable???


Bienvenidos a esta entrada!!!

La verdad tengo un poco abandonado el blog y eso lo sé, así que de antemano les pido disculpas porque la verdad casi no he tenido tiempo!!!

Esta entrada es algo diferente a las demás, debido a que no vamos a hablar de herramientas ni de computadoras...


...sino que me decidí enfocarme en algo que nos afecta a todos, esto a partir de una publicación que vi en el twitter de @pvirtualcom la cual la cito a continuación:

“fleteros robaron a un hombre en el centro de popayan goo.gl/eBN9A

La verdad es algo de lo que nadie está libre, pero lo ideal cuando se hacen retiros es tomar las medidas respectivas, pero ¿qué pasa cuando el error no lo comete uno? 

Apuesto a que muchos nos hemos aguantado las interminables filas en las sucursales de las entidades dueñas de estos logos


Apuesto a que muchos han visto esa campaña de “Los pillos” de cierto banco, no doy nombres porque no quiero hacer publicidad, además el problema en cuestión pasa en la mayoría y cuando pasa a veces simplemente se queda con la incertidumbre de no saber cómo pudieron enterarse, que se hizo mal o hay casos en los que culpan  de cómplices a los mismos policías que sirven de escoltas, si estos lo son o no, ahí si vetu (el que ha visto el chavo sabrá). 

Pero si se hiciera lo que nos nombra aquel presentador en las propagandas de inteligencia vial 



Pero en este caso en el área de los bancos

ohhh algunos dirán:  la de ASOBANCARIA que muestra a los papas como unos cabezas huecas por no decir otra cosa

 
bueno en este caso todo le cae a los usuarios pero...
  • ¿Y los bancos?  
  • ¿Y si el que dice ser mi amigo subconscientemente pasa a convertirse en mi verdugo?
Hace una semana que me encontraba en una entidad bancaria en la parte trasera de la fila (no eran menos de 20 personas), pude darme cuenta que un joven retiro 15’000’000 quince millones de pesos pero ¿cómo, si el chico estaba en el otro extremo y yo casi en la puerta?


La respuesta es simple (lástima que no dejan tomar fotos), la cajera puso en la máquina de contar billetes, tres fajos de billetes y como el contador está de cara al público…

… sencillo cada una de las veces conto hasta 100 y si los billetes eran de los morados que nos gustan a todos, les pregunto ¿cuánto son 300 billetes de 50.000 pesos?

Mmmmmmmm….


 …lo más chévere es cada fajo que contó lo puso en una bolsa y sin más ni menos se la paso al joven.

Vaya que buen fletero sería, ya que ni siquiera necesitaba de un muérgano que lo marcara porque la cajera lo hizo para mí, ahora vayan a sus recuerdos y díganme (en los comentarios) ¿no se les ha presentado esa situación? ¿No has visto cuando le cuentan el dinero que va retirar otra persona?



Sé que la mayoría comentará, así que estaré pendiente, quizá en otra ocasión les cuente la ocasión en la que la cajera me estaba pasando el cheque del cliente que ella misma mando a llenar el formulario de nuevo, ahi si como dicen por ahí FAIL!!!

En mi ignorancia le pregunto a todos a ver quien me saca de la duda

¿que se puede hacer en estos casos?


Espero que esta entrada haya sido de su agrado y no siendo más hasta una próxima entrada


Saludos 
Quien les escribe
Carlos Andrés Rodallega Obando
@crodallega




Publicado por en No hay comentarios:
Etiquetas: ,

miércoles, 18 de julio de 2012

Solucionario LAMPSecurity CTF6

Bienvenidos una vez más a mi blog

La verdad me siento apenado por mis lectores pero en realidad he estado corto de tiempo, ustedes saben cómo es todo cuando se están finalizando los proyectos (reuniones, presentaciones, actas, etc). Pero bueno la idea no es aburrirlos sino compartir algo y que más que mi propuesta de solucionario a uno de los tantos retos que se han dejado en el sitio del proyecto sec-track

¿saben que es lo mejor de todo?
-> Que se está premiando con dinero el mejor solucionario así que si buscan un incentivo ahí lo tienen.

No siendo más manos a la obra, sin embargo vale la pena aclarar que por falta de tiempo este solucionario no va a ser tan detallado como los otros.

Como ya estamos acostumbrados lo ideal, en estos casos que el entorno tiene activada la configuración de dirección IP dinámica simplemente verificamos en nuestra maquina atacante cual es la configuración de red.

 
Con base en esta información podemos realizar el barrido de ping que siempre usamos con nmap, solo que en esta ocasión me incline por usar otra herramienta muy conocida para esta tarea llamada netdiscover


Con nuestro objetivo identificado, pasamos  a realizar el escaneo de puertos y la respectiva identificación de servicios


Como se puede apreciar tenemos 10 servicios en esta máquina, entre ellos el servidor web, que personalmente siempre lo tengo muy encuentra para la parte de recolección de información, en esta ocasión no hice uso de nikto ni de nuestra gran herramienta dirbuster que en múltiples ocasiones nos ha dado la mano, sino que de una me fui al navegador a ver que podía recolectar...


Como se puede ver se tiene una aplicación web que brinda bastante información entre ella información de posibles usuarios del sistema


De modo que desde este punto ya podemos ir creando nuestro diccionario de usuarios del sistema…

…pero bueno navegando a través de la aplicación encontramos diversas paginas como la principal que al dar click sobre cualquiera de los post nos lo presenta de forma completa, pero observando la URL a la que fuimos direccionados podemos apreciar ese parámetro id=4


De inmediato se me vino a la mente como a la mayoría de ustedes, ¿que pasaría si en lugar de ese 4 se fuera una ‘ (comilla) ?


 Y la respuesta de la aplicación fue como esperaba, no mostro error pero tampoco mostro información, así que por aquí ya tenemos algo interesante

Probemos con algunas cosas lógicas como and 1=1


Y a la vez con algo contrario and 1=0


pero no quise complicarme más, así que ordenando encontramos la cantidad de campos que se está consultando


y posteriormente construimos una consulta que nos de resultados visibles de la inyección sql



Con estos resultados ya podemos comenzar a sacar información de la base de datos…

…vamos con el usuario que se está usando para conectarse a la base de datos


…con la base de datos que se está usando


… la versión del motor


y veamos si existe o no una tabla users


…pero al parecer se llama es user
(espero y vean mas o menos como es la metodologia with nails jajaja)


bueno pero como el hecho es mostrar algunas cosas diferentes vamos a automatizar este proceso usando sqlmap



Haciendo uso del parámetro –dump


saca la información de las tablas de la base de datos (a ver si aquel personaje que me dijo en una ocasión “ahh pero solo es una inyección sql” sigue pensando lo mismo!!!)

¿Si ven lo chévere que de forma automática ataca los hash?, si no lo observó,  mire de nuevo la imagen anterior con mucha atención

Antes que nada veamos com quedaria la inyección en el navegador!!!


No siendo más nos vamos a la app web e iniciamos sesión con el usuario admin y creamos un evento nuevo


 Creamos un archivo php de prueba


 Lo intentamos subir…


vemos que se creó la noticia


 buscamos la ubicación de las imágenes


llamamos nuestra prueba.php


 de la misma forma subimos una webshell


 
y ejecutamos algunos comandos del sistema



 
 




Al final con la intensión de obtener una conexión mas interactiva usamos nuestro cargador de archivos :P para subir una Shell inversa en php


de modo que no preparamos para aceptar la conexión entrante!!!


Lograda la conexión simplemente vamos a explorar un poco el sistema!!!
(¿ven como la etapa de recolección de información esta presente en todo el proceso?)








Por ultimo y para finalizar el entorno probé con mis exploits favoritos pero como dijo Relis tuki


así que después de tanto probar y probar exploits 



no quedo de otra más que usar el que ya habían usado los demás en la solución de este entorno (fue el único que me funcionó)



una vez elevados los privilegios solo miramos el directorio de root del sistema y una que otra cosilla mas para terminar con el entorno



no siendo más espero que esta publicación haya sido de su agrado...

saludos a todos  y hasta una próxima entrada!!!

 
Carlos Andrés Rodallega Obando
@crodallega

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)