Bloqueo selectivo de webs - UltraSurf no funciona

Iniciado por AsimoJMSR, 11 Febrero 2010, 11:15 AM

0 Miembros y 1 Visitante están viendo este tema.

toxeek


Bueno no lei todo lo que ponias.

Citar..He comprobado si el navegador se conecta a Internet a través de un proxy que es el que bloquea las conexiones, pero no es así, es decir, que el navegador se conecta directamente a Internet."

Como lo has comprobado?? Con tracert ??

Si vas con IE ve a las opciones de configuracion de Red. Si ves que hay casillas "shadowed" (que por algun motivo estan ahi, pero estan si poder ser cambiadas) seguramente este aplicada alguna Group Policy para el Content Filter..

Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

AsimoJMSR

CitarNo me creo que la Red en tu facultad no este Centralizada, o sea con DOminios (NT).
O es un aula para acceder a Inet simplemente??

Si esta centralizada la administracion me temo que la seguridad no sera como la de un cyber barato.
Estaran administrandote el Proxy via DOmain Policies.
De esto no entiendo prácticamente nada. Los ordenadores están en la biblioteca. Cualquiera puede tener acceso a ellos.
CitarBueno no lei todo lo que ponias.


Citar
..He comprobado si el navegador se conecta a Internet a través de un proxy que es el que bloquea las conexiones, pero no es así, es decir, que el navegador se conecta directamente a Internet."

Como lo has comprobado?? Con tracert ??

Si vas con IE ve a las opciones de configuracion de Red. Si ves que hay casillas "shadowed" (que por algun motivo estan ahi, pero estan si poder ser cambiadas) seguramente este aplicada alguna Group Policy para el Content Filter..

Saludos.
El navegador que utilizo en estos ordenadores con acceso a Internet restringido es Firefox. He comprobado que el navegador se conecta directamente a Internet porque así estaban configuradas las opciones de conexión. Otra cosa es que haya un filtro que haga que todas las peticiones HTTP salientes vayan a parar a un proxy local, lo cual todavía no lo descarto.
¿Alguna idea?

toxeek


Bueno, pues como idea se me viene a la cabeza alguna tecnica de transparent proxy.

Si has atado procesos y aun asi sigues siendo filtrado y la conexion es directa (asegurada), puede que se haya seteado un transparent proxy.

Intenta usar algun tracert que pueda usar tcp (tcptraceroute Linux..). Intenta determinar si las conexiones a puertos como 22, 110, 25 .. etc, difieren de la ruta que toman las conexiones hacia puerto destino 80.
Mira los 2 primeros hops que seran los mas interesantes.

Si toman paths distintos puede ser que estes tras un transparent proxy.

De todas maneras prueba a ver si puedes hacer una esacalada a SYSTEM (cuenta Local) con "at" o similar. Es solo para ver si se han seteado los filtros por user.

Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

toxeek

Actualmente no hagas las pruebas con puertos relacionados con emails (smtp. pop3. imap ..) ya que como veo en la pagina de Trend Micro sus paquetes tambien estan orientados a filtrados de emails.

Al parecer suena a procesos locales, asi que la idea de matarlos creo que no era tan mala. Al parecer Trend Micro hace URL Filtering pero noada no creo que en la biblioteca se hayan puesto a hacer tecnicas de transparent proxy ademas del Tren Micro :D

Asi pues matando los procesos correctos creo que deberia de irte. De todas maneras por que no pruebas con tunneling? Puedes instalar Linux en tu casa y hacer tunnel ssh con Putty por ejemplo, Tor y Privoxy ?? Prueba a llevarte/ejecutar Putty a ver si Trend Micro no lo bloquea. Despues echa un vistazo a este link:

http://foro.elhacker.net/hacking_linuxunix/agujereando_firewalls-t259046.0.html

Con un poco de sentido comun podras ver como hacerlo tambien con putty. Yo lo he hecho con Putty y si quieres podria explicar los pasos a seguir para hacer el tunnel, pero no tiene mucho misterio. Usa tambien ese sentido comun para quitar las moscas de la comida :D; o sea, el metodo funciona pero mira lo que se dice/digo finalmente.

Saludos.


P.D: asimismo mira que tu firewall en tu modem-router, firewall local en casa e ISP no bloqueen los puertos necesarios. Si no usa otros (ISP) y haz bien los port forwardings (modem) y siempre mira las reglas del Firewall (PC casa).


"La envidia es una declaración de inferioridad"
Napoleón.

toxeek

#14
Bueno recordando esto:

https://foro.elhacker.net/hacking_avanzado/piratear_control_parental-t263689.0.html

he visto esto: (2010 ..):
http://secunia.com/advisories/38396/

Mira a ver como va el DoS si puedes. Yo DoSeando a control parental pude evitar todo filtrado (localmente).


Mas ideas ...

:)



/*** MOD ***/

Bueno si la version no es OfficeScan pues prueba un D.o.S fortuito.. nunca se sabe!

/*** MOD2 ***/

+ info tecnica, nunca viene mal el saber algo mas como funciona el target:
http://www.westcoastlabs.com/downloads/productTestReport_0032/InterScan_Web_Security_Suite.pdf
"La envidia es una declaración de inferioridad"
Napoleón.

AsimoJMSR

#15
CitarDe todas maneras prueba a ver si puedes hacer una esacalada a SYSTEM (cuenta Local) con "at" o similar. Es solo para ver si se han seteado los filtros por user.

Saludos.
La verdad es que no tengo conocimientos tan avanzados como los tuyos, de manera que todo esto que he citado arriba no lo entiendo para nada. ¿Qué es hacer una escalada a System? ¿Qué es setear los filtros por user?

Lo del tunneling lo veo demasiado complicado, aunque supongo que viable, fuera aparte de que tendría que dejar en mi casa mi ordenador encendido.

Me has dejado dos enlaces que conducen a información relativa a productos Trend Micro, pero ninguno de ellos contiene información de Trend Micro Internet Security, que es el firewall-antivirus que se ejecuta en los ordenadores con acceso restringido a la web. ¿Me explico? De manera que gracias, pero no creo que siguiendo ese camino vaya a dar con la solución.

El SO de estos ordenadores es Güindous XP, de manera que haciéndome con privilegios de administrador y matando el proceso correcto lo más probable es que el problema haya quedado solucionado, aunque la verdad es que es bastante engorroso, por no decir que los admins de las máquinas pueden cambiar la contraseña de administrador y el proceso habría que repetirlo de nuevo.

¿Hay alguna otra manera de matar procesos de sistema sin tener privilegios de administrador?

Otra cosa que se me ocurre es borrar el proceso que restringe el acceso a la web (que lo más probable es que sea el tal *proxy*) del disco duro y reiniciar el equipo, de manera que cuando Güindows cargue ya no podrá ejecutarlo...

También se me ocurre utilizar uno de estos programas que sirven para gestionar los programas que se inician automáticamente con Güindows. Habría que desactivar el inicio del proceso *proxy* y reiniciar el equipo.

Pero hasta el lunes no puedo probar nada, así que toca esperar...

Gracias por vuestras respuestas.

toxeek

Que tal?

Bueno primero ante todo, no hace falta tener muchos conocimientos para poder escalar hacia la cuenta Local System. Recientemente salio un ejecutable (esta por Hacking Avanzado creo...) que hace eso mismo con tan solo ejecutarlo (si el sistema no esta parcheado que no lo creo).

Lo de los filtros por user es que a veces, con productos Tren Micro (creo) puedes hacer filtros basados en hostnames, usernames.. por ello que si escalas a System podras, en teoria, tener todo lo necesario si ese fuera el contexto.

Los links que te pase no son para Tren Micro Internet Security, pero mucho me temo, por lo poco que lei, que todos los productos de Tren Micro usen el mismo modulo de Url Filtering: Google
intitle:trend micro url filtering

Al ser un "modulo" es lo que supongo, asi que esos links te hubieran servido igualmente.

Como te han dicho los procesos que no pertenezcan a tu mismo user id, no los vas a poder matar a priori. Los procesos son entidades activas que se activan, valga la redundancia bajo un user id, aparte de otros atributos, por defecto.
Por seguridad solo el usuario o grupo de usuarios con el mismo user id O con mas privilegios puede matar procesos que conciernan a determinado user id. De ello lo que se te explica.

Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

AsimoJMSR

¿Qué  significa escalar hacia la cuenta Local System?
¿Qué es un módulo de URL filtering?
Gracias.

AsimoJMSR

Ya está, el proceso se llama TmProxy.exe y su archivo asociado es TmProxy.exe también.
He intentado eliminar el archivo TmProxy.exe para que al reiniciar el equipo no se cargue, pero no me deja, me dice "acceso denegado".
He googleado un poco y la solución más certera que encontrado pasa por utilizar un programa llamado FreeFile, que sirve para eliminar ficheros que están bloqueados. Pero este programa te da, de un fichero, todos los procesos que lo están bloqueando para que así puedas matar esos procesos.
Evidentemente esta no es la solución, ya que no puedo matar el proceso TmProxy.exe, puesto que si pudiera el problema ya estaría solucionado.
¿Hay alguna forma de eliminar, bajo Windows, un archivo bloqueado por un proceso sin matar el proceso que lo está bloqueando?
Otra posible solución es limitar el inicio de TmProxy.exe. ¿Qué utilidad/es de gestión de los programas de inicio automático conoceis?

toxeek


Bueno,

te dira que esta bloqueado entre otras cosas porque esta siendo utilizado mientras windows esta encendido (mejor dicho, mientras el proceso este activo).
Asi pues no podras borrarlo, piensa en el arhivo SAM y por que no puedes borrarlo mientras windows corre. El S.O lo esta usando y por ende no se puede borrar.

Primero intentemos escalar a la cuenta System. Bajate este zip:
http://downloads.securityfocus.com/vulnerabilities/exploits/37864.zip

descomprimelo y ejecuta el .exe.

Una vez hecho eso te deberia de salir una ventana de cmd con privilegios de System (de eso se trata). Tras ello, ejecuta en esa ventana tasklist y despues usa taskkill para matar al/a los proceso(s) relevantes.
Si quieres, desde esa misma ventana de cmd, pues ejecuta "taskmgr" para asi tener un taskmgr con privilegios de Local System. Si, todo proceso que ejecutes desde esa ventana va a tener privilegios de System.

Prueba y cuenta.

Saludos y Suerte.
"La envidia es una declaración de inferioridad"
Napoleón.