28 nov 2016

¿Son útiles los servicios online de cracking de passwords?

Buenas a todos, en el post de hoy quería hablaros de los servicios de cracking de passwords. Esos servicios que pueden salvarnos en un pentest, cuando no tenemos a mano un equipo con unas buenas rainbowtables, ni una buena GPU, ni nada con lo que definitivamente intentar crackear esos hashes que con tanto esfuerzo hemos logrado conseguir, y que de poco servirían sin un crackeo a tiempo.

En Internet existen centenares de servicios gratuitos (en parte), que nos pueden ser de utilidad. Con una sencilla búsqueda en Google encontraréis muchas opciones igualmente válidas. La gran mayoría suelen ser gratuitos de forma parcial, es decir, si la contraseña es sencilla (aproximadamente menos de 8 caracteres), no cobran por el servicio. Pero si es mayor solicitan abonar de 3€ en adelante. Personalmente no lo veo caro, ya que por el precio de una caña te pueden resolver una papeleta, pero cómo la contraseña sea compleja... raro es que en el tiempo que solemos requerir nos den la resolución. Por ello lo más recomendable siempre es contar una o varias máquinas dedicadas en un laboratorio de pruebas, a las que poder acceder de forma remota (y segura), siempre y en todo lugar, y de las que poder tirar en un pentest, allá donde estemos.

Por ver un ejemplo de servicio online que nos podría sacar de un apuro, probaré el de onlinehashcrack.com.

Se lo pondremos sencillo, y para comenzar calcularemos el hash md5 de la palabra word:


Los hashes de un md5 de una pass de 4 letras son instantáneos, por lo que no debería tener problemas para resolverlos y enviarnos una respuesta.


Efectivamente, en menos de 1 minuto nos indica que ha resuelto el reto:


Y nos envía un email:


A continuación se lo pondremos algo más difícil, y le subiremos el nº de caracteres a 8 (sin meter símbolos):


Y pasan las horas... sin obtener un resultado:



Ya no digamos si intentamos probar con contraseñas con símbolos, o mayores a 10 caracteres. Cierto es que en muchos de estos servicios, con un usuario de pago nos añadirían a colas prioritarias de procesamiento, con las que el procedimiento sería más ágil. También podría darse la casualidad de que el hash localizado sea una palabra común, que estos servicios podrían identificar en poco tiempo (por ello siempre recomiendo probar), aunque sin duda nada como tener nuestro sistema de cracking en casa ;)

Saludos!

27 nov 2016

Informe Flu - 274



Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana :)
    Lunes 21 de Noviembre
    • El lunes iniciamos la semana hablando de la seguridad en Jira, con el post: Una feature de #Jira que puede filtrar nuestros bugs y desarrollos. Ha dado bastante que hablar esta característica que descubrimos, y de la que ya hemos hablado en 2 eventos en los que hemos participado desde Flu Project esta semana. Ya hay varias empresas que han resuelto el problema, a los que felicitamos por la rápida respuesta, y les damos las gracias por seguirnos.
    Miércoles 23 de Noviembre

        23 nov 2016

        Del corazón de las empresas a los confines de Internet

        Buenas a todos, en el post de hoy quería hablaros del nº especial 122 que han publicado en revista SIC, titulado "QUÉ ESTÁ CAMBIANDO EN LA CIBERSEGURIDAD":


        El mundo está cambiando, y en un tiempo razonable llegará el súbito momento en el que prácticamente todo se digitalice y se conecte con una capacidad de compartición y un grado de autonomía determinados: países, ciudades, edificios, casas, coches, carreteras, administraciones públicas, dispensación de medicamentos, ingeniería social, diagnósticos, votaciones, finanzas, empresas, nanodispositivos, investigaciones policiales, transportes, registros de datos, personas, cosas pequeñas… en una suerte de encadenamiento flexible de multiprocesos automatizados “inteligentes”. La seguridad y privacidad de los seres humanos –y, en ocasiones, su vida, ya individualmente o en grupo– dependerá de que el entramado sea resistente a los ciberataques. Y esa ciberseguridad del futuro se está empezando a construir, al tiempo que se va manteniendo y evolucionando la demandada en el presente. Falta todavía un largo camino por recorrer, pero la cuenta atrás ya ha empezado.
        En este nº he tenido la oportunidad de colaborar con el artículo "Del corazón de las empresas a los confines de Internet", sobre defensa activa y vigilancia digital, el cual podéis leer tanto en la edición impresa de la revista, si estáis suscritos, como en la edición digital, la cual podéis solicitar desde el siguiente enlace:
        Disfrutadlo, saludos!

        21 nov 2016

        Una feature de #Jira que puede filtrar nuestros bugs y desarrollos

        Buenas a todos, hace un par de semanas, mientras preparaba la charla que mañana impartiremos mi compañero Álvaro García y un servidor en las II Jornadas de Informática sobre Ciberseguridad de Palomatica, descubrí lo que parecía ser un bug de bypass de permisos en el apartado de ManageFilters de la aplicación Jira. Por resumir brevemente el avistamiento, con una sencilla query en Google como la que os muestro en la siguiente imagen, encontramos más de 500 páginas filtradas (de importantes empresas, entre ellas varias factorías de software), en las que podíamos acceder sin necesidad de autenticarnos a sus "tareas" pendientes registradas en Jira.




        Este problema, expone miles de códigos fuentes de aplicaciones en desarrollo, fallos de seguridad, calidad, integración, etc. e incluso el listado de clientes, que se puede recopilar haciendo análisis de los códigos fuente publicados, y que los developers tienen asignados como tareas para corregir durante los proyectos.

        Nada más descubrirlo, me puse en contacto con el equipo de Atlassian (fabricantes de Jira), para ver si de verdad era un bug, o es que simplemente todas estas empresas no tenían bien configurado el sistema de permisos de sus Jira. Tras analizar el caso (un 10 a Atlassian por su rapidez y amabilidad), me confirmaron que es una "feature" del software, ya que bajo configuración, permite el acceso con usuario anónimo, tal y como se explica en el siguiente enlace:


        En resumen, desde Flu Project os aconsejamos que reviséis hoy al llegar a vuestras oficinas si vuestros permisos están bien configurados, y si se puede acceder de forma externa y libre, sin requerir autenticación, ni barreras de seguridad, a vuestras tareas pendientes... ;)

        Saludos!

        20 nov 2016

        Informe Flu - 273



        Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana :)
          Lunes 14 de Noviembre
            Martes 15 de Noviembre
            • El martes os hablamos de las II Jornadas de Informática sobre Ciberseguridad del IES Virgen de la Paloma de Madrid. Este año tenemos el placer de participar tanto Pablo, como un servidor, con dos conferencias sobre Fuentes abiertas, que tendrán lugar mañana, día 21 a las 10:00h y el martes, día 22 a las 19:30h. Así como una mesa redonda en la que estarán Mónica Valle, Pablo y Enrique Serrano. ¿Os las vais a perder?
            Jueves 17 de Noviembre
            • El pasado jueves compartimos con vosotros el artículo: A MySQL también le daban 2: Vulnerabilidades MySQL para ser Root en GNU/Linux. Hace 3 semanas se publicó una vulnerabilidad de las denominadas como críticas y que además venía en formato doble. El producto afectado, en esta ocasión, era MySQL, uno de los motores de base de datos más utilizados en Internet. No hace mucho, teníamos una grave vulnerabilidad que afectaba al kernel de Linux y que provocaba la escalada de privilegios en un sistema, como fue DirtyCOW. En esta ocasión, el problema radica en el motor de base de datos MySQL. Hace más o menos un mes, el investigador Dawid Golunski, reportó dos vulnerabilidades críticas sobre el popular motor de base de datos MySQL. La primera vulnerabilidad era la CVE-2016-6663 y la segunda la CVE-2016-6664. El investigador documentó una prueba de concepto, en el que se puede ver como se aprovecha de la segunda vulnerabilidad para lograr la escalada de privilegios [...]

                17 nov 2016

                A MySQL también le daban 2: Vulnerabilidades MySQL para ser Root en GNU/Linux

                Hace 3 semanas se publicó una vulnerabilidad de las denominadas como críticas y que además venía en formato doble. El producto afectado, en esta ocasión, era MySQL, uno de los motores de base de datos más utilizados en Internet. No hace mucho, teníamos una grave vulnerabilidad que afectaba al kernel de Linux y que provocaba la escalada de privilegios en un sistema, como fue DirtyCOW. En esta ocasión, el problema radica en el motor de base de datos MySQL.

                Hace más o menos un mes, el investigador Dawid Golunski, reportó dos vulnerabilidades críticas sobre el popular motor de base de datos MySQL. La primera vulnerabilidad era la CVE-2016-6663 y la segunda la CVE-2016-6664. El investigador documentó una prueba de concepto, en el que se puede ver como se aprovecha de la segunda vulnerabilidad para lograr la escalada de privilegios. 

                La primera vulnerabilidad es un fallo de condición de carrera que provoca la escalada de privilegios, por lo que un atacante con acceso a la máquina podría ejecutar código arbitrario en un contexto superior al suyo. El investigador polaco indicó que esta vulnerabilidad puede permitir que un usuario local con acceso a la base de datos afectada pueda elevar su privilegio en el contexto de la base de datos, pudiendo ejecutar comandos como usuario mysql. La explotación permitiría a un atacante acceder a todas las bases de datos que se encontrasen creadas o almacenadas en la plataforma. 

                El investigador Golunski descubrió que un potencial atacante podría llegar a comprometer la seguridad global del servidor con la otra vulnerabilidad, la CVE-2016-6664. La segunda vulnerabilidad permite la escalada de privilegios a root. El fallo reside en que los usuarios que tienen acceso al usuario mysql dentro del sistema, éste se consigue con la vulnerabilidad tratada anteriormente, pueden lograr el máximo privilegio en el sistema gracias a la forma en la que se administran los registros de errores, ya que estos realizan operaciones de forma insegura, pudiéndose añadir un archivo con código “arbitrario”.

                PoC: Jugando con ambos y logrando mysql user & root user

                El paso inicial de llegar al equipo, a través por ejemplo de una vulnerabilidad web que permita ejecutar código en una máquina, nos lo saltamos. Incluso, puede que la vulnerabilidad fuera explotada por un auditor con acceso físico a dicha máquina. Sea como sea, comenzamos con una shell en el equipo. El primer paso es comprobar, mediante la ejecución del comando mysql –version, la versión del sistema instalado. Para MySQL son las siguientes:
                • Menor que 5.5.51
                • Menor que 5.6.32
                • Menor que 5.7.14

                Compilando el exploit, que se puede encontrar en exploit-db, de la primera vulnerabilidad, tenemos que tener en cuenta que el sistema tenga instalado libmysqlclient-dev. Una vez compilado obtenemos el binario.


                En este punto necesitaremos disponer de información de un usuario de la base de datos, contraseña, su cadena de conexión. Cuando el usuario se encuentra dentro del sistema puede buscar dicha información, a través, por ejemplo, de la aplicación web vulnerada, si ésta tuviera una base de datos detrás, por ejemplo, Wordpress.


                Al final obtenemos un mensaje en el que nos indica que todo ha ido bien, que tenemos el rol de mysql user y que desde aquí podemos llevar a cabo la escalada total y final de privilegios, a través de la explotación de la vulnerabilidad CVE-2016-6664.


                Una vez nos encontramos en este punto, vamos a lograr la shell de root. Ahora, aprovechándonos del exploit desarrollado por Dawid Golinski, vamos a aprovecharnos de la mala gestión de los ficheros de error que hace el sistema. 

                Ahora, desde la consola conseguida anteriormente, debemos ejecutar el fichero bash script que se puede obtener desde exploit-db. 


                Dicha ejecución nos proporciona una consola como root, teniendo acceso global al sistema gracias a encadenar dichas vulnerabilidades. A día de hoy, estas dos vulnerabilidades son críticas, pero existe solución para ellas, por lo que se recomienda a los equipos de IT que actualicen lo antes posible sus sistemas de producción.

                15 nov 2016

                II Jornadas de Informática sobre Ciberseguridad

                Buenas a todos, al igual que el año pasado, el IES Virgen de la Paloma de Madrid organizará las que son ya sus II Jornadas de Informática sobre Ciberseguridad.

                Este año tenemos el placer de participar tanto Pablo, como un servidor, con dos conferencias sobre Fuentes abiertas, que tendrán lugar el día 21 a las 10:00h y el día 22 a las 19:30h. Así como una mesa redonda en la que estarán Mónica Valle, Pablo y Enrique Serrano.

                En el evento estarán también grandes amigos y profesionales del mundo de la ciberseguridad. Os compartimos la agenda completa a continuación:

                Agenda

                Día 21 de Noviembre de 9 a 14.30

                9.00-10.00.- ¿Tapas también la cámara de tu móvil? Enrique Serrano
                10.00-11.00.- Repositorios abiertos de código: ¿Fuente de potenciales vulnerabilidad? Pablo Gonzalez
                11.00-12.00.- ¿Cómo empezar a ser un profesional en el mundo de la seguridad informática? orientado a alumnos de FP. Con la presencia de Monica Valle, Pablo González y Enrique Serrano
                12.00-12.30 DESCANSO
                12.30-13.30.- Seguridad en medios de pago. Juan Martínez
                13.30-14.30.- Antivirus. ¿Cómo luchamos contra los malos? Fernando de la Cuadra

                Día 22 de Noviembre de 16 a 20.30

                16.00-17.00.- Please, hack my company. Ivan Sanz de Castro y Roberto Vargas Barranco
                17.00-18.00.- Mi vida ya no es mía. Yago F. Hansen
                18.00-18.30.- DESCANSO
                18.30-19.30.- Seguridad en medios extraibles y PortKnocking. Miguel Angel Romero y Fernando Acero
                19.30-20.30.- OSINT. Juan Antonio Calles y Álvaro García



                14 nov 2016

                Ataques a sistemas Windows: TAES - Valencia 19 Noviembre

                Los sistemas Windows son los sistemas más utilizados en el mundo. Conocer sus puntos débiles permite al pentester disponer de ventajas frente a otros. En el curso conocerá diversas debilidades, vulnerabilidades y técnicas que pueden llevarnos al éxito en una auditoria contra estos sistemas.

                El próximo Sábado 19 de Noviembre se celebra el curso de Ataques a sistemas Windows en el centro de formación de Valencia TAES. El precio de la formación es de 140 €, comida incluida. La formación es de 8 horas (10.30 a 20) y para estudiantes el precio será 80 €, comida incluida. Más detalles en el sitio web de TAES. A continuación, os dejamos el temario del curso: 

                Ataques con acceso físico
                • Obtención de privilegio
                • Cracking

                Ataques NTLM
                • Credenciales
                • Hashes LM y NT
                • Ataques de replay
                • Pass the Has
                • Cracking NTLM

                Ataques a Kerberos
                • Introducción a Kerberos
                • Pass the key
                • Pass the ticket
                • Golden Ticket

                Ataques a Active Directory
                • Movimiento Horizontal
                • Movimiento Vertical

                Elevación de privilegio
                • GetSystem
                • Bypass UAC
                • Escalada total

                Ataques Client-Side en Windows (IE)

                El profesor de la formación es Valentín Martín (@valemarman): Formación académica: Técnico en Sistemas de Telecomunicación e informáticos (IES Alonso Machado). Ingeniero Técnico en Informática de Gestión (UAH). Finalizando Máster Universitario en Ingeniería del Software para la Web (UAH).

                Experiencia docente: Profesor responsable del Curso Básico de Seguridad Informática y del Curso de auditoría de Seguridad informática de la Universidad de Alcalá (2006-2014). Máster de Seguridad Informática de la UNIR de las Asignaturas de “Análisis de Vulnerabilidades” y de “Seguridad en Sistemas Operativos”. (2012-2014). Profesor del curso de “Auditoría Informática” y del curso de “Seguridad Web” impartido a miembros de la Guardia Civil(2012).

                Experiencia investigadora: Investigador de la Cátedra de Amaranto de Seguridad Digital e Internet del Futuro dirigiendo proyectos relacionados con el pentesting y seguridad en sistemas operativos.(2012-2014). Grupo de Investigación Information Engineering researchunit colaborando en formación e investigación sobre el malware, software libre y el hacking ético.(2006-2014).

                Experiencia profesional: DysoftComputer. Servicio Técnico TVE y mantenimiento para efecto 2000. (1999-2000). Time/System S.A. Técnico y administrador de la Red. Apoyo en la página Web, Soporte técnico de Task Timer.(2000-2001). Centro de Iniciativas y Cooperación al Desarrollo (CICODE). Programador VB, Mantenimiento de la red y de la base de datos.(2001-2002). Departamento Ciencias de la Computación Soporte técnico y Administrador de Sistemas. (2004-2005). Dirección de la Escuela Informática de la UAH. Administrador web (2005-2007). Departamento Ciencias de la Computación Beca de Investigación (2007-2008). Indra. Destinado a la administración de sistemas, certificación de seguridad en Sistemas de la Información.(2008-2014).

                Para cualquier información contacta con rfuentes@taesformacion.es o al teléfono 963413537.

                4 nov 2016

                Winpayloads: Automatizando la generación y el uso de payloads

                Winpayloads es una herramienta que nos indica en su descripción que es capaz de generar payloads indetectables para el sistema operativo Windows. La herramienta se encuentra escrita en Python y proporciona una pequeña navaja suiza de automatizaciones útiles en la ejecución del payload y la post-explotación. 

                La herramienta tiene diversas posibilidades para la generación de payloads. Como se puede ver en la imagen tenemos la posibilidad de generar varios tipos de Meterpreter y una shell de tipo inversa. Lo curioso, y potente, es que durante el proceso de creación de los payload se puede añadir funciones secundarias en forma de post-explotación. Como se ve en la imagen, una Meterpreter puede ejecutar a posteriori, y de forma automática, un script que permita intentar el bypass del UAC, ejecutar persistencia en el equipo y ejecutar una serie de checks sobre la máquina y devuelvan los resultados.


                Para obtener Winpayloads podemos descargarlo desde su Github. Una vez descargado, debemos ejecutar el fichero setup.sh, el cual llevará a cabo la instalación de las dependencias de la herramienta, por si hubiera alguna que no estuviera instalada. 

                PoC: Meterpreter con automatización de acciones I

                En este ejemplo generamos un binario siguiendo los sencillos pasos de WinPayloads. Al llegar a la opción bypassuac indicamos que sí. Esto genera un script de Powershell y un script de instrucciones de Metasploit. Este último fichero tiene la extensión “rc” y permite configurar de forma automática el binario msfconsole del framework de Metasploit.


                Si observamos el fichero bypassuac.ps1 generado, podemos ver como hay un Invoke-Expression de lo obtenido mediante un objeto Net.WebClient que descarga el script de Invoke-BypassUAC desde el repositorio de PowershellEmpire. Es una forma interesante de ejecutar en memoria directamente el script en Powershell y evitar mecanismos de protección en una auditoría. 


                En el caso del fichero uacbypass.rc se puede ver el contenido que WinPayloads ejecutará a través de msfconsole -r [nombre fichero RC]. Cargaremos el módulo de post-explotación windows/manage/priv_migrate SESSION=1 y ejecutaremos el módulo de post-explotación denominado windows/manage/exec_powershell SCRIPT=bypassuac.ps1 SESSION=1, siendo el atributo session el adecuado, por lo que quizá hubiera que cambiarlo. 


                Como se puede ver a continuación obtenemos una primera sesión con el EXE generado con WinPayloads. Una vez se consigue la sesión, automáticamente, vemos como se ejecuta el script de Powershell y ejecuta el proceso del bypass UAC. Esto consigue devolvernos una nueva sesión, la cual está identificada como segunda sesión, en este caso, ya con privilegios.


                En el caso de no utilizar el bypass UAC, se permite utilizar otros scripts como el de persistencia y el de allChecks. 

                PoC: Powershell Actions!

                WinPayloads dispone de un menú para Powershell y posibles acciones. En la imagen se puede ver cómo se pueden obtener una serie de Payloads inversos: ScreenWatch, Asks Creds o Invoke Mimikatz. Solo por el nombre, podemos ver que son muy ilustrativos. 


                En el caso de seleccionar la opción ScreenWatch, se solicita al usuario el puerto en el que nos quedaremos a la escucha, por defecto el 4444. Una vez generado el código codificado en base64, se puede copiar y pegar sobre una máquina con acceso físico, o a través de la explotación de alguna vulnerabilidad a través de, por ejemplo, Metasploit. 


                Otras opciones generan scripts preparados para ser lanzados, como Asks Creds que permite realizar un phishing sobre la máquina víctima, en el que se solicita a un usuario que introduzca sus credenciales del sistema. Otra opción es ejecutar un Mimikatz y que los resultados se nos envíen al puerto abierto. WinPayloads es una herramienta interesante que debemos llevar en nuestra mochila de pentesting. Las posibilidades son mucho más amplias, por lo que recomendamos que juegues con la herramienta y veas el potencial de ésta. 

                1 nov 2016

                Resultados: ¿Qué quieres para tu futuro? ¿Seguridad?

                Hace una semana publicábamos una encuesta para ver qué quieres para tu futuro. Por supuesto, queremos que los datos estén al alcance de todos, y os dejamos un resumen de vuestros comentarios. En primer lugar, seguridad ofensiva versus seguridad defensiva. El resultado es que, ligeramente, preferís la ofensiva. Esto es un dato esperado, pero quizás con menos margen del esperado. 


                Por otro lado, se preguntó sobre el camino y en el punto en el que te encuentras. Se proporcionaban distintas respuestas, y más de 100 personas respondieron a esto. El autodidacta resalta y las personas formadas en Universidades y FP, casi iguales. Por otro lado, gente que se ha formado en empresas privadas o que tiene intención de comenzar a hacerlo completan los datos con más de un 26%. 


                Por último, si echamos un ojo a dónde esperas estar en un año o cómo prefieres aprender vemos resultados interesantes. Por un lado, seguir en el trabajo, pero profundizar en seguridad es lo más votado, mientras que cambiar de trabajo y conseguir entrar en el mundo de la seguridad es el deseo de más del 30% de los encuestados. Los estudiantes casi alcanzan el 20% y quieren entrar pisando fuerte. 

                El aprendizaje es un elemento fundamental para los informáticos, y en especial para la gente de seguridad. La formación a través de empresas cualificadas gana en esta pregunta, mientras que el autodidacta se queda en un 32% y las titulaciones oficiales se quedan cerca del 20%. 



                ¿Te ves reflejado? ¿Qué opinas? Gracias a las más de 100 personas que han votado. Resultados muy interesantes los que hemos podido ver.