Buenas a todos, hoy he escrito un artículo en el que explico como realizar un ataque aprovechándonos de la archi-conocida CVE-2014-0160.

Para el que no lo sepa, el pasado 1 de Abril, fue descubierta esta vulnerabilidad de carácter crítico y es que muchos servidores muy importantes se han visto directamente afectados por esta, como Facebook, Google, Instagram, Tumblr... así como otras muchas muy importantes.

Esta vulnerabilidad permite al atacante mal-intencionado, revelar credenciales que hayan sido procesados por la capa del SSL vulnerable, permitiendo así que los datos sean revelados sin necesidad de asaltar el sistema.

Hoy te vamos a enseñar como funciona, demostrando la falla de seguridad en openSSL con Heartbleed, para que veas con tus propios ojos, lo importante de este fallo de seguridad.

En primer lugar, establezcamos el "scenario" de nuestro "ataque". Nos encontramos contra un servidor que hace uso de openSSL versión 1.0.1f, que para los mas curiosos puede ser descargado desde su web oficial para experimentar, con el siguiente comando:

Una vez tenemos claro el escenario, vamos a ver que clase de fingerprint debemos encontrar, para obtener un vector potencial de ataque, pues los chicos de nmap ya se han currado un script para hacerle un fingerprint y detectar si el servidor posee una versión vulnerable. Para instalarlos vamos a proceder con los siguientes comandos:

Una vez instalado, procedemos a lanzar el escaneo correspondiente, con el siguiente comando:

Para nosotros, esto es una victoria!

Vamos a usar ahora alguno de los famosos PoC (Proof of concept para los lusers ), que podemos encontrar en alguno de nuestros amados repositorios de vulnerabilidades como exploitDB. Para descargarlo, tan solo tenemos que acudir al siguiente enlace y descargar el script o copiar el código en un fichero con extensión .py y darle permisos de ejecución para lanzarlo con el intérprete. Sin más, el enlace:

http://www.exploit-db.com/exploits/32764/

Para ejecutar el código, vamos a lanzar el siguiente comando:

Qué acaba de hacer este exploit? Vamos a explicarlo, puesto que es muy importante saber por qué falla.

Vamos a considerar la conexión a la layer del SSL como un diálogo entre cliente y servidor con SSL, que podría ejemplificarse así:

-Servidor, estás ahí? Si es así, devuélveme la palabra "Undersecured" cifrada, de 12 letras.

-Andoni quiere "Undersecured". Toma Undersecured.

Sencillo verdad? Le pedimos contenido "seguro" al servidor que supuestamente no podrá ser esnifado, puesto que viene cifrado. Nuestro fallo viene dado por hacerle creer al servidor que unos credenciales son nuestros pidiendo más información de la que nos corresponde:

-Servidor, estás ahí? Si es así devuélveme la palabra "membrillo" cifrada, de 520 letras.

-Andoni quiere "membrillo". Toma "membrillo pepe contraseña123 loko94 contraseñachulikah morenika92 adoroelmembrillo..."

Obteniendo así del servidor, credenciales que fueron securizados con anterioridad permitiéndonos verlos en plain-text disponibles para ser usado con el consiguiente robo de información y credenciales.

Como ampliación, y tal como presume el genial Chema Alonso en su blog, este ataque podría automatizarse de forma muy sencilla haciendo uso de Python o Bash Script,haciendo que dicho exploit se vaya lanzando, por ejemplo cada 10 segundos y así atrapar toda la información que los usuarios descuidados vayan introduciendo, creyendo que una layer SSL les hace inmunes.

Recordad que este ataque, no es mas que una simulación realizada con mis propios servidor y que ni yo ni nadie se hace responsable del mal uso o el uso mal intencionado que se le pueda dar a esta información.

Sed responsables and keep on hacking!

Si os ha gustado, sería genial que compartieseis el enlace a mi página web y por supuesto, que me mandéis todas vuestras peticiones/críticas/sugerencias/agradecimientos.

http://www.undersecured.com/blog/demostrando-la-falla-de-seguridad-en-openssl-con-heartbleed/

Un saludo!

Buenas a todos, compañeros foreros, estoy trabajando este programa, al cual intento inyectar una shellcode:

#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>
 
void premio() {
	printf("El flujo de código ha sido modificado.\n");
}
 
int main(int argc, char **argv) {
	char buffer[64];
	gets(buffer);
}
 

Y genero shellcode con el siguiente comando:


Y usando el pattern match de msf, me dice que la return address está en un offset de 76 a partir del buffer. Por tanto hago lo siguiente:

[28 NOPS] + [48 PAYLOAD] + [4 RTN ADDRESS]

Para calcular la RTN address, he hecho lo siguiente (la dirección de mi buffer):

Por tanto me queda así el buffer que mando, sabiendo que la address del buffer es 0xbffff490:

Pero solamente obtengo un "Violación del segmento".

Para asegurarme que el buffer está bien calculado en tamaño, hago lo siguiente:

Sabiendo que la dirección de premio() es 0x0804844c, que he conseguido gracias a objdump.

Qué estoy haciendo mal? Abordando el problema usando la ADDR de premio(), llego a la conclusión de que la dirección de salto es incorrecta o que el payload está mal generado?

Estoy cómo loco y no sé que diablos me pasa...

El tema ha sido movido a Programación General.

http://foro.elhacker.net/index.php?topic=407586.0

Buenas a todos!
Alguien tiene algo de información sobre como está cifrado el fichero de contraseñas de firefox, el famoso signons.sqlite?

Leo y leo pero no hay nada explícito y habiendo probado ya varias cosas, no logro descifrar ninguna contraseña.

Se supone que hay una masterkey en key3.db, pero yo no la fijé. Alguien puede arrojar luz al asunto?

Saludos

El tema ha sido movido a Windows.

http://foro.elhacker.net/index.php?topic=394348.0

Hola amigos foreros!

Alguien tiene para pasarme el source de luxur 0.0.7? La página web está caída y el que mantiene el proyecto, me ha dicho que lo pida por aquí porque él no conserva nada...

Sería posible que algún alma caritativa me lo pasase?

Un saludo y gracias de antemano.

Buenas noches foreros!
Hoy vengo a plantearos unas cuantas dudas y unos cuantos comentarios sobre ciertos métodos y herramientas como el DNS Spoofing y el ARP Poisoning, a su vez también sobre Ettercap o la suite dsniff.

Debci's Tertulia

En primer lugar, unas cuantas dudas básicas que me rondan la cabeza (las enumero para facilitar su respuesta ):

1-En ocasiones tengo problema para hacer un ataque Mitm, porque por algún motivo, no logro por ejemplo redireccionar mediante DNS Spoofing a la víctima a mi web maliciosa. Con ettercap, una vez todo el proceso esta funcionando, ejecuto el plugin chk_poison y este me dice que el envenenamiento ARP está funcionando y además, en mi própia wlan, me he permitido el lujo de comprobar las tablas mediante:
Y puedo observar como mi dirección física se asocia a la del enrutador, es decir que en principio esta funcionando.
Sin embargo al ejecutar el plugin de dns spoof (modificando previamente el fichero etter.dns para hacer las correspondientes redireciones), observo que el equipo víctima se queda sin conexión a internet, es decir, sigue autentificado, pero su navegador no carga ninguna página (cabe mencionar, que mediante el dns spoof estoy redirecionando todas las páginas, marcadas mediante el caracter '*' a mi própio webserver).El webserver malicioso funciona correctamente puesto, que he comprobado que se puede acceder a él desde la máquina víctima y logra infectar como es debido. Que puede estar ocurriendo? Me pasa en muchas redes, pero en concreto en la mía, es quizás por ettercap? Es quizás por el modelo de mi tarjeta de red (creo que soporta modo monitor)?

2-Tras trabajar un poco con otras suite's para sniffing y ataques Mitm diferentes a Ettercap, como por ejemplo dsniff y Wireshark, se me aparecen dos dudas:
2.1-Si consigo hacer funcionar el ARP poison de ettercap, puedo sniffar o hacer el dns spoof con otra suite? supongo que sí no?
2.2-Cuando analizo las trazas de paquetes con wireshark, es dificil distinguir tanta información, se que tiene un completo sistema de filtros, que ya   he tenido el placer de usar en várias ocasiones. Que se supone que debería observar ante un envenenamiento ARP? Que protocolo me lo muestra? ARP? Cuando? Veo muchos paquetes ARP durante el ataque.

3-Exactamente, cuando seleciono en Ettercap o Dsniff las IP's de la gateway y del cliente al que quiero atacar, a que Target (Target 1 o Target 2 según la nomenclatura del programa), corresponde cada una? Lo digo porque en la mayoría de guías, veo que hace seleccionar todos los clientes/IP's de la lan en ambas Targets y quería aclararme al respecto, ya sea que de igual o que de una manera u otra se consigan resultados distintos.

4-Tengo varios filtros para Ettercap preprogramados o sacados de alguna guía tutorial, en concreto uno, que me trae de cabeza, el cual me dispongo a mostraros:
Hace un par de días, en mi casa, me puse a probarlo, como ya he comentado, suponiendo que el ARP Poisoning funcionaba a la perfección y el resto de historias, correctas. Para mi sorpresa, el filtro arrojaba muchos "zapped Accept-Encoding", por lo que entiendo que había sustituido en la cabecera por "Accept-Rubbish!", pero esto me resultaba de poca utilidad, puesto que lo que yo quería era modificar las imagenes o tan solo algo visible. En algunas ocasiones, salía "Filter ran", pero supuestamente afectaba a otro dispositivo de la red (digo supuestamente porque en mi casa somos 5, con móbiles, tablets, mas pc's, consolas), pero no pude determinar dónde. Supongo que funcionó a medias.
La cosa es que yo cargaba alguna página y saltaban los zap's del primer filtro, y por mas imágenes que había no las sustituia y me aseguré de que en las páginas que visitaba existiesen las tags que han de ser substituidas. Debo suponer entonces que es cuestión de equipos? De páginas? De navegadores? O simplemente el ataque no funcionó como debiere?
Intenté buscar también con Wireshark, pero no sabía ni por donde empezar. Puedo ver en los paquetes el código html que me remite el servidor? Yo no lo consigo, por ignorante, por supuesto.

5-Configuración requerida:
Puse el ip_forwading a 1, se necesita algo mas?

6-Tendré mas posibilidades de que mi ataque sea mas certero, si me conecto mediante un enlace físico (el cable de toda la vida) envezde mediante la wlan?

7-He pensado que quizás los filtros que no funcionaban fuesen porque visitase páginas de tráfico seguro (ssl-https), pero visité muchas (o todas) sin ninguna protección. Ssltrip, parece muy sencillo de usar, tanto que no se si lo estoy haciendo correctamente :O
Y una vez en este, en principio el tráfico ssl ya será legible, pero... como busco entre tanta morralla información de valor, como credenciales?

Eso es todo por esta noche, se que es mucho para contestar, pero yo agradezco de ante mano que me hayáis leído.

Un saludo y un abrazo para todos!

Hola amigos. Estoy auditando mi servidor, donde tenía instalado un wordpress, que para mi sorpresa ha sido vulnerable a 2 explots distintos, que os listo aquí y os comento el problema:

1-http://packetstormsecurity.com/files/113254
Simplemente, intento recrear la petición que sugieren en el paper con la burpsuite y algo no funciona como debiere. No estoy seguro de si se puede hacer sin tener permisos de administración (vaya cosa no?).Obtengo la siguiente respuesta:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
Request header field is missing ':' separator.<br />
<pre>
wp-settings-time-1=1335371272; wordpress_test_cookie=WP+Cookie+check;</pre>
</p>
</body></html>

SI debo poseer una cookie de admin para hacerlo... que utilidad tiene?

2-http://www.exploit-db.com/exploits/18791/
Tengo que secuestrar un token? No se exactamente como funciona, he estado leyendo y creo que necesito igual permisos de admin sobre el blog.

Alguien puede arrojarme luz sobre el asunto?

Saludos

Hola amigos

Os traigo una duda que tengo con la librería regexp de Java, mas en concreto, con las expresiones que esta debe buscar a partir del patrón de la cadena.

Tengo varias strings del tipo:

<div class="plist-manufacturer">
 <a href="http:\\linkcualquiera">Nombre</a>
</div>

Y lo que necesito es extraer el dato que ocupa el lugar de "Nombre".
Para ello he empezado a trabajar con regexp, pero no logro dar con la expresión que me permita obtener dicho dato:

        Pattern patronAutores = Pattern.compile("<a\\b[^>]*href=\"[^>]*>(.*?)</a>");
        Matcher encontrado = patronAutores.matcher(stringToParse);
        return encontrado.group(1); 
 

Me devuelve que no ha sido encontrado nada...
Alguien tiene idea de cómo podría hacerlo?

Saludos

Hola amigos del foro!

Estoy investigando alguna forma de obtener las contraseñas guardadas por nuestros navegadores.
He estado investigando y aparentemente Mozilla Firefox y Google Chrome guardan sus contraseñas en un supuesto archivo base de datos del tipo SQLite.
He intentado abrir dicho archivo de chrome y no hay manera de leer nada.
Alguien tiene información al respecto? No encuentro nada por ningún lado, ni siquiera se si es correcto que se guarden en dichos archivos.

Alguien puede arrojar luz sobre el asunto?