martes, 22 de noviembre de 2011

Owasp Training Portal

Increíble la iniciativa de OWASP en la que se nos presenta un Hackgame diferente. Para ello debemos seguir las instrucciones para conectarnos a un laboratorio virtual utilizando una Live CD ya preparada que implementa OpenVPN. Esto nos dará acceso a diferentes retos en modo de aplicaciones vulnerables.
Os dejo la URL que os dará acceso al portal, suerte con las pruebas:
https://www.hacking-lab.com/sh/u0FMT4D

martes, 20 de septiembre de 2011

¿HTTPS en peligro?

En la Ekoparty que comenzará mañana 21 de Septiembre, llama especialmente la atención una conferencia que lleva por nombre 'Surprising crypto attack against HTTPS' . Juliana Rizzo (creador de Netifera) y Thai Dong (researcher de vulnerabilidad de 'padding oracle'), dos investigadores con gran renombre en el mundo de la seguridad, presentan una prueba de concepto de ataque a implementaciones SSL/TLS.
En esta prueba de concepto haciendo uso de un sniffer de red y una porción de código javascript descifrarán una cookie de paypal... De funcionar correctamente, y de liberar la técnica/herramienta (Beast) supone un serio peligro para muchos usuarios de miles de sitios web.

+info en: Theregister , hackplayers,

viernes, 16 de septiembre de 2011

Y dale con el Phising!!

Esta mañana recibo en mi correo personal un e-mail del banco Halyfax UK, solicitando actualización de mi cuenta bancaria. Mi proveedor de correo que es muy listo lo ha catalogado como correo no deseado y el adjunto originalmente un .html lo ha comprimido en un .zip para protegerme. Aún así como me pica la curiosidad hecho un vistazo al 'souce code' del adjunto, basicamente lo que hace es cutre de narices por que ni siquiera hace uso de un dominio propio adjunto un .html que se ejecuta en local y adquiere todas las imagenes y referencia con rutas absolutas de la web original salvo el destino del form que es enviado a:
http://www.thesaltydoghotel.com/images/submitdetails.php (ver imagen)


Donde mediante RFI (en directorio images) les han colado un .php que enviará los datos del 'form' a otro 'site' y posteriormente tras la travesura hace un redirect al sitio original de halyfax UK.
Lo que se llama un phising cutre,cutre.......

martes, 3 de mayo de 2011

Herramientas SQLi

Existen múltiples herramientas que nos pueden facilitar y de alguna manera automatizar la busqueda de vulnerabilidades del tipo 'sql injection' y posterior extracción de datos de la base de datos (en el caso de inyecciones blind se pueden tardar horas). De todas las que he probado quiero destacar tres:
- Havij: Sin duda alguna mi favorita por su rapidez y funcionalidad (de forma visual seleccionas la tabla y columnas que quieres extraer, incorpora la posibilidad de leer archivos de disco...)
http://www.itsecteam.com/en/projects/project1_page2.htm



- Pangolin: Herramienta comercial(dispone de free edition version 3.2.3, limitada en el estudio de ciertos DBMS). Se referencia su uso en la guía de pruebas de OWASP (https://www.owasp.org/index.php/SQL_Injection#References). Su uso es muy intuitivo, es fiable y rápida. Se puede descargar de:
http://www.nosec-inc.com/en/products/pangolin/20100804/38.html



- SQLmap: La más completa y eficaz. Se puede integrar con Metasploit pudiendo automatizar la ejecución de comandos, modificación de registro, inyectar VNC y otros payloads en la base de datos vía 'meterpreter'. Resulta especialmente para páginas páginas vulnerables a blind sql injections. También incluye web shells predeterminadas para la inclusión de ficheros en el servidor. No dispone de GUI, un ejemplo de uso sería:


sqlmap.exe -u http://URL/pagina.php?parameter=1 --proxy=http://127.0.0
.1:8118 --dump -T CLIENTES -C id, password,nombre,apellido,dni -D BASEDEDATOS


Mediante los parámetros le decimos que utilice un proxy local, y extraiga los datos de la tabla Clientes, las columnas que le facilitamos y la base de datos que queremos.La podéis descargar en: http://downloads.sourceforge.net/sqlmap/sqlmap-0.9.tar.gz

martes, 26 de abril de 2011

Buscando exploits...

El otro día buscando en repositorios de exploits para aprovechar una vulnerabilidad (durante la realización de un Test de intrusión no por hacer el mal... :D ) presente en versiones de AdobeLivecycle (CVE-2009-3960), me encontré casualmente con una fuente interesante de exploits: 1337DAY y que quiero compartir con vosotros. Ya hace tiempo que no contamos con las actualizaciones de Milw0rm (finales de 2009 falleció su creador Str0ke) pero han surgido iniciativas interesantes como:
http://www.1337day.com (mencionada anteriormente)
http://exploit-db.com (muy parecida a la anterior)
http://www.hack0wn.com/
http://packetstormsecurity.org/files/

Existen muchas más pero estas son las que más útiles he encontrado y espero que a vosotros os resulten igual de útiles.

lunes, 25 de abril de 2011

PenTest - Guía PTES

Interesante iniciativa que nos ofrece en fase pre-alfa una guía que se une a las metodologías y guías de pruebas ya existentes, por mencionar las más conocidas OSSTMM, ISSAF, OWASP (centrado en servicios web). PTES divide la ejecución de un test de intrusión en 7 fases, estas son:
  • Pre-engagement Interactions: En este apartado básicamente se define el ámbito y alcance del test de intrusión. Se llega a un acuerdo con el cliente acotando la profundidad de las pruebas a realizar, permisividad de ataques (ataques DOS, fuerza bruta....), enfoque del test (caja negra, gris o blanca) presentación de evidencias (goals)....etc
  • Intelligence Gathering: Recopilación de información de inteligencia competitiva publicada en motores de busqueda que nos dará una idea del objetivo que estamos estudiando y personas trabajan dentro de la empresa
  • Threat Modeling: Con la información proporcionada por las dos fases anteriores, se definen lineas de negocios existentes, importancia de los activos IT (accesibles) visibles en nuestro estudio para definir vectores de ataques posteriores.
  • Vulnerability Analysis: Como su propio nombre indica entramos en materia. De forma activa y ya 'tocando' el objetivo, se identificas puertos y servicios existentes en busca, de forma manual y automática vulnerabilidades existentes.
  • Exploitation: La fase de verificación y explotación de vulnerabilidades. Se contempla forma de evasión de NIDS, HIPS, Antivirus y otras contramedidas existentes a nivel de red o EndPoint.
  • Post Exploitation: Esta fase se centra en la recopilación de evidencias y en cómo valorar el impacto real de la intrusión y hasta donde podemos llegar desde el sistema comprometido. Se contempla borrado de huellas y hacer persistente el ataque (puertas traseras, conexión inversa o rootkits).
  • Reporting: Explica qué deben contener los reportes (ejecutivo y técnico) que entreguemos como conclusión de nuestro estudio.
Espero que os resulte interesante.