jueves, 29 de marzo de 2012

Reporta fallos y serás denunciado...

Lo que me ha pasado esta semana, me tiene tan cabreado, que no puedo resistirme a no publicarlo y no poner nombres.

Detecto desde hace unos días, un escaneo de puertos un tanto "raro", ya que todo sale desde una Ip del "aspecto" española, y siempre desde el puerto 53. No soy tan loco de investigar todas las ip´s que me atacan ( empresa) pero si las que creo que son humanos o españolas.
Me sorprende que el servidor es un dns server de una empresa española, fuerte, gorda, importante, que no se si decir: que os den por saco MUNDIVIA.es.

Llamo a un "amigo", ya que yo no hago estas cosas, y desde su casa en filipinas ( torificada) hace un test y ve que es un Bing abierto de patas. Coincido con mi "amigo" en que es un servidor mal parcheado, que ha sido hackeado, y está haciendo de zombie.
Bien, me meto en la web, busco un teléfono, y sorpresa, no solo no hacen bien la parte de servidores, sino de telefonía también. De unos 10 teléfonos que aparecen en internet de Mundivia, ninguno me atienden en horario comercial normal de mañanas. En algunos, se deriva hacia la empresa "madre" de Mundivia, Atos, pero allí no saben nada, ni me dan un teléfono ni nada.
Esta mañana he conseguido hablar con una operadora, que en vez de interesarse, solo defiende de que no puede ser, pero chica, si no te he contado nada !!! solo quería comunicaros que me estáis atacando !!!!!
bueno, después de varias llamadas, la chica acepta ( gracias mujer) a que le envie un correo con los datos de mi firewall, para estudiarlo. estoy esperando que me digan algo aun.
Es gracioso, porque no es el típico caso de que adviertes de un fallo de seguridad, sino que les estoy advirtiendo de que me están atacando, y no quiero ir a la guardia civil con el asunto !!!!!.
INCREIBLE.

Añado que he comunicado fallos de seguridad de los de sentarse en el server, a 5 proveedores mios y los resultados han sido:
A uno no le importa que tenga publicado entero el ERP, y yo vea las facturas/albaranes etc de TODOS sus clientes, incluidos nosotros. Perdón, si le importa, pero no lo corrige.
Dos de ellos me dieron las gracias, pero no aceptaron que indagara un poco mas para ayudarles.
Dos de ellos niegan de la importancia de esos fallos. Repito... fallos de los de sentarse delante del server.

Nadie, ningún profesional quiere verse en la tesitura de aceptar fallos de gente externa, recomendaciones, y todos somos los mejores. LO ENTIENDO. Cuando yo intento comunicar estas cosas, no lo hago en plan medalla. Ni siquiera pretendo hablar con el responsable. Con que un técnico plano, lo retome, y se lleve la gloria de haber descubierto el fallo, a mi me da igual !!! Pero bueno, el mundo es así. Hay empresas que pagan  a la gente que les ayuda con esto, y hay otras empresas que no entienden que esto es feedback al igual que hacen en marketing/ventas o lo que sea.

Cosas así me animan cada vez mas a ser malo, irme a mi casa torificada en Filipinas, y empezar la guerra.
Gracias por escucharme...escrito desde Filipinas... :-)

lunes, 26 de marzo de 2012

me están robando la wi fi?

No conozco a nadie que tenga wi-fi en casa, y que alguna vez no haya pensado que va lento, que el vecino le está robando la señal y demás. Pero como podéis pensar eso !!! bueno, aquí tenéis una pequeña aplicación que no requiere instalación que será vuestra salvación xD. wireless_network_watcher sencillo, fácil, efectivo. Recomendable para amigos y familiares.

domingo, 25 de marzo de 2012

Bye Bye administrador hash... MIMIKATZ

Sacar el hash de la contraseña del administrador de un pc, era relativamente facil. Buscar en internet el hash, también, pero lento. con mimikatz es sencillo, asusta !! . A fecha de hoy, no conozco ninguna manera de solucionar esto. alguna sugerencia?
el piano es sencillo.
privilege::debug
inject::process lsass.exe sekurlsa.dll
@getLogonPasswords

suerte.

jueves, 22 de marzo de 2012

Tor, anonimato y cintas de video?

Qué es tor ? es un superheroe? es la clave por defecto de los hackers que dejáis vuestras backtrack "trabajando" toda la noche, o dos noches !!! y no cambiáis por pereza?.

Aparte de la mega broma... voy a hablaros de tor. Sin entrar en tecnicismos, como es costumbre en este blog xD, tor es una red dentro de internet, de nodos conectados entre si (circuito virtual), lo cual hace que un cliente/víctima reciba las comunicaciones desde un nodo tor, en el pacifico, América del sur, o
Valladolid, ya que nosotros enviaremos el tráfico a un nodo tor, y este se encargará de retransmitir a otro nodo tor (suele pasar por 3 nodos), hasta llegar al cliente/víctima "estandard". He leído que solo admite protocolo tcp ( no icmp, no udp) así que estaros atentos con las configuraciones por defecto del openvas y nessus, por decir algo, porque romperéis el encanto de tor...

Se instala siguiente, siguiente siguiente. cabe destacar que no se debe usar el usuario "potente" del sistema, ya que exponer este servicio es sumamente
peligroso, y mucho mas en una red tan "segura y anónima".

Como saber versión distribución: lsb_release -c
agregar repositorio a /etc/apt/sources.list :deb     http://deb.torproject.org/torproject.org <DISTRIBUTION> main
añadir la clave pgp:
gpg --keyserver keys.gnupg.net --recv 886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
actualizar repositorios:apt-get update
Apt-get install vidalia
apt-get install tor
apt-get install privoxy

configuramos Privoxy con los miles de manuales que hay, pero aconsejo una cosa: no usar localhost en nigun sitio, usar siempre la ip de loopback, para evitar revolución de nombres.
No olvidéis configurar para iniciar Privoxy con Vidalia.







































Una vez configurado el proxy en nuestro navegador web favorito...o disponible, tenemos que probar algo así, en definitiva, que estamos saliendo por la red Tor.


y para mas pruebas, pues la de la propia web de Tor.

No se por qué aun, imagino que tendrá que ver con los init level, pero cada vez que reinicio la máquina, tengo que hacer sudo service tor and privoxy stop y start. investigaremos.

Se puede realizar un tunnel directo con uno de los nodos de salida, para agilizar la velocidad, pero siempre en detrimento del anonimato. No es lo mismo
pasar por 3 nodos que por uno. Para ello solo debemos instalarlo:


 
para salir por tor en los programas de línea de comandos, usamos proxychains, configurando su fichero con socks5 127.0.0.1 5060.
lanzamos un nmap: proxychains nmap -sT -PN -n -sV direccion ip.
-PN:  Treat all hosts as online -- skip host discovery---
-n/-R: Never do DNS resolution/Always resolve [default: sometimes]
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sV: Probe open ports to determine service/version info
Continuará el asunto del anonimato...

martes, 20 de marzo de 2012

windows que te quiero windows...8...

Por fin esta mañana me he animado a probar la última versión Server de nuestros amigos de Seatle. La estoy probando en una máquina virtual, y en cuestión de rendimiento parace que anda bien, comparandolo con otros SO´s. Buscando iconos, programitas me he encontrado con UN ICONO, SERVER MANAGER y desde ahí, a añadir roles y configurar funciones. Lo primero que he hecho es crearme un dominio Active Directory, y ha empezado a darme notificaciones de la configuración ip no estática, que instale el Role de DNS, versiones de .net framework necesarias, etc.  Todo lo demás, hacer mas sencillo aún si cabe que en Win2008 r2. Seguiré informando cuando encuentre alguna interesante, o hackeable :-)






viernes, 16 de marzo de 2012

Seat

Information Gathering pasivo.
Cuando empezamos a "olisquear" que hay detrás de un dominio,es recomendable no empezar por la parte mas agresiva, testeando servicios, exploit pre.configurados y demás, ya que el no disponer de una información precisa puede hacer que el sysadmin/idp/ids o similar nos banne de por vida en su firewall, o llame a su primo de zumu*sol, vestido de policía.
Lo más práctico es usar nuestros amigos los buscadores, para pedir toda la información posible, de manera legal y anónima, ya que no buscamos en el dominio.
Search Engine Assessment Tool, Seat, cumple a la perfección nuestro propósito, y no es la única !!! quizas ni la mejor, pero es muy buena, sencilla, y no tenemos por qué despreciarla.
He leido muchos manuales sobre ella, todos ellos en Backtrack 4, pero para empezar desde cero ( y porque mi Backtrack 5r2 recién actualizada no lo lleva).
El piano es sencillo, descargamos de la web el tar.bz2
http://midnightresearch.com/projects/search-engine-assessment-tool/#downloads
descomprimimos en un directorio (carpeta? ) y vamos a lo siguiente, librerías ( como me gusta linuz...).
cpan XML::Smart
cpan Glib
cpan Gtk2
como buen manual de linuz, no funciona a la primera, y tienes que recurrir al plan b:
aptitude install libgtk2-perl
no se si aptitude es algo bueno, malo, el modelo de mi portátil, pero de momento no sale humo del mismo xD elegimos objetivo
consultas, no meter todas, de golpe, o nos aburriremos. con ejecutar las de ghdb tienes para ver algo interesante seguro,o bueno, no me hagas caso, clickealo todo y a esperar...

ejecutamos, use mined results, es interesante y peligroso. almacenar como futuros dominios Target, no hacer nada, o directamente enlazar otra ejecución puede ser casi infinito.
Me subscribo a la de guardar, para repasar humanamente los resultados ( ejecutar el análisis sobre un link encontrado de... facebook? o peor aun, hotmail?... )
del resto de parámetros, sencillos, pero cabe decir una cosa, se pueden modificar sobre la marcha. para que?imaginación al poder.

sábado, 10 de marzo de 2012

DNSenum

   Ando buscando y no me encuentro, por eso me ayudo de scripts perl como este: DNSENUM. disponible en Backtrack, y tan sencillo de usar como esto. Es muy sencillo, nos dice todos los registros de servidor, intercambiador de correo, y nos hace un dns-transfer, si es posible. Con toda esta información, ya tenemos nuevos vectores de ataque para un dominio original. Por cierto, otro proveedor que tiene dos dns´s, y uno de ellos permite transferencia. Seguro que así solvento sus problemas de replicación, xD.

miércoles, 7 de marzo de 2012

World Wide Hack

Es curioso como cuando no tienes un buen firewall, IDP o similar, no te enteras de la cantidad de amenazas que las empresas tenemos todos los días. Aquí os pego unos segundos del log de mi firewall. He ido borrando cosas del dibujo, para no comprometer la seguridad de mi empresa, hasta dejar algo tan feo como la de la izquierda. Como veis, tengo varias ip´s saliendo por el mismo puerto, y atacando mi ip pública en varios puertos, tan bonitos como el 445, el 22, el 3389 y todos los demás. Esto creo que justifica ante un gerente la necesidad de comprar alguna maquinica de seguridad. Mas cosas... es curiosa la ubicación de las máquinas o bot´s que se tiran todo el día comprobando rangos de ip´s, buscando puertos/servicios. Mas cosas curiosas, que no quiero pegar, es los ataques en páginas web "legítimas" que aprovechan los fallos de seguridad de los "guindows" no actualizados. Uno de los que mas detecto, y que está presente en muchas páginas, ( que no podemos censurar, porque son las que ve el jefe) es este:
www.frsirt.com/english/advisories/2005/3086

 China y Rusia se llevan la palma. Muchas veces me entretengo en ver las direcciones españolas o cercanas, y suelen ser organizaciones infectadas con algún bichejo. Lo curioso es que cuando lo comunicas, no hacen nada. Pensándolo bien, lo harán a propósito?...





martes, 6 de marzo de 2012

WebShag, un fuzzer sencillo.

Como todos sabeis, dentro de la fase de recopilación de información, en los entornos web, existen numerosos programas llamadas "fuzzer" que lo que hacen es mandar solicitudes get/post a una url, en busca de directorios típicos, como "docs" "private" y cosas así. Muy útil para buscar metodo inseguros, o carpetas con poca o ninguna seguridad. Dentro de la suite Backtrack 5, y sin tocar teclas, tenemos WebShag. Es muy sencillo, y tiene un buen diccionario de directorios en los que buscar.
Aquí os pego una imagen. Disfrutar.

lunes, 5 de marzo de 2012

WhatWeb

Sencillo script publicado en Backtrack 5 ( debes reinstalarlo para solventar dependencias de Ruby) para obtener información útil de objetivos web. Hay muchos script´s como este, y muchas herramientas de auditoría que lo integran, o hacen algo similar, pero soy de los que piensa que cuantas mas fuentes de información distintas, mas completa puede ser la información obtenida.
Os dejo un ejemplo, que aproveche :-)