Mensajes

Impecable respuesta WHK!!! Te agradezco mucho por tu tiempo, y ya que te tengo te quería preguntar si las técnicas que mencionas en éste post:

http://foro.elhacker.net/nivel_web/tutotial_bypaseando_un_firewall_waf_mod_security_de_apache_y_filtros_de_iis-t449489.0.html

son todavía aplicables hoy en dia. En tal caso quedaría cubierto el salteo del firewall, del waf, y los filtros iis. Pero me gustaría también tener información sobre como saltear los filtros de Chrome por ejemplo, ya que lo último que había leído es un artículo de Elevenpaths del 2014:

http://blog.elevenpaths.com/2014/01/how-to-bypass-antixss-filter-in-chrome.html

Si tenés algún articulo que me pueda instruir sobre técnicas más actuales, estaría muy agradecido. ya me queda poco de la guía de prueba de OWASP, una vez que la termine me encataría leer en detalle tu post y también otra información sobre bypass a filtros de navegadores.

Muchas gracias nuevamente.

Saludos!

[Resumen sobre el desafío: (lo poco que avancé)]

Muy buenas a todos! Los últimos 3 días se celebró la Eko Party en Buenos Aires (Argentina). Fue mi primera Eko, y la gané en un sorteo que hizo un grupo de estudiantes de mi facultad. El jueves (dia del medio), fue mi cumple, asi que lo pase muy bien! El único problema es que dormí 2 horas casi todas las noches, xq tengo el sueño cambiado y problemas de insomnio hace mucho, y cuando me tengo que levantar temprano estoy todo el día re cansado y no rindo al 100.

Les quería comentar sobre un desafío que se hizo en el que tenías que asociarte a una red wifi para luego pwnear el router (avancé muy poco). Si alguno que me lee pudo avanzar más que yo, me gustaría que comentara que probó, que averiguó y que consiguió.

Resumen sobre el desafío: (lo poco que avancé)

Había que meterse a una red con SSID: EkospaceLab, con WPA PSK sin WPS.
Había un beacon flood que lanzaba muchos beacon con distintos SSID en el aire (más de 100). Algunos de los SSID estaban en base64, uno de los SSID en base64 decodeados era la clave de EkospaceLab. Una vez adentro te encontrás en una red con IPv4 desabilitado, teniendo la posibilidad de comunicarte solo a través de IPv6. Luego de escanear el router se observan 3 puertos evidentemente protegidos con tcpwrapper. Escaneo:

Código [Seleccionar] Expandir


Ethical@Sk$ nmap -6 fe80::fad1:11ff:fe9f:f9b2 -sV
Starting Nmap 7.50 ( https://nmap.org ) at 2017-09-29 14:31 -03
Nmap scan report for fe80::fad1:11ff:fe9f:f9b2
Host is up (0.0030s latency).
Not shown: 997 closed ports
PORT   STATE SERVICE    VERSION
22/tcp open  tcpwrapped
53/tcp open  tcpwrapped
80/tcp open  tcpwrapped
MAC Address: F8:D1:11:9F:F9:B2 (Tp-link Technologies)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 96.60 seconds

Llegué hasta ahí porque no me quería perder muchas charlas. Pero quedaba todo lo más pesado, bypassear tcpwrapped y ver como comunicarse con los puertos hasta encontrar el punto debil o lograr controlar el AP.


Mi experiencia con el desafío:

El primer día el organizador del desafío me había dicho que había una red oculta a la que me tenía que meter y que había otras redes que me podían dar la información para asociarme. Como el primer día no llevé la notebook, a la noche cuando volví a mi casa me puse a repasar sobre las redes con SSID oculto, y recordé que al mandar paquetes deauth para desasociar a un cliente lo obligás a mandar luego un PROBE request que incluye el SSID en texto plano. Pero como necesitaba un cliente activo yo pense que tal vez no iba a haber nadie conectado para deautenticar, asi que investigue un poco y vi que se puede hacer un ataque de diccioanrio/fuerza bruta mandando probes con SSID's distintos hasta dar con el correcto, cuando se manda un PROBE request con el SSID correcto se recibe un PROBE response. De lo contrario el AP ignora el paquete, de ésta forma podemos descubrir el SSID sin el cliente conectado. Fui al segundo día con la notebook con ésto en la cabeza, y al segundo dia la red había dejado de ser oculta y su SSID era EkospaceLab, con WPA/PSK. Supongo que para evitar conseguir el SSID tan facilmente si otro participante del desafío lograba meterse y desautenticandolo...

Lo primero que probé fue hacer un airodump de la red para ver las redes que había, luego un amigo se fijo las redes en su celular y había detectado otras que yo no. Entonces terminé llegando a la conclusión de que las redes que mi amigo podía ver eran parte de un beacon flood (posiblemente con mdk3), y también que el airodump no muestra las redes solo fijandose en los beacon frames, sino que tambien envía PROBE request a la red para verificar que exista antes de mostrarla. Le pedí a mi amigo que me fuera dictando los SSIDs que veia para agregarlos a un diccionario e intentar crackear el hash obtenido del wpa handshake. no hubo caso. Mi amigo me preguntó si había una forma para obtener todos los SSIDs con un comando desde linux. Le dije que investigara, y encontró una solución muy rápido usando iw acompañado de sed y grep hasta quedar solo la información que buscabamos (los SSIDs). Ésta vez, con todos los SSIDs y no solo los pocos que me había dictado antes, probamos crackearlos. Y nada... Después le cuento lo que intentamos a otro chico que estaba haciendo el desafío y me dice que la clave iba a estar codificada, que revisara bien los SSIDs. Con eso volví a mi notebook diciendome base64 para mis adentros. Y si, había usado al iw y guardado en un archivo todos los SSIDs para mandarlo directamente al aircrack sin haber observado todas las SSID con mis ojos. Algunos de los SSIDs estaban en base64, asi que las decodeamos y probamos las passwords decodeadas que eran ekoparty, ekolab007 creadpag548, y ekolab. Ninguna funciono, el aircrack no hayo la contraseña. El segundo día solo nos habíamos quedado un rato, asi que volvimos al tercer día. Dos amigos a la noche hicieron un script que detectara constantemente las redes con un '=' y decodearlas con la intención de poder captar algun SSID que apareciera una vez cada mucho tiempo. Luego chusmenado bien había otros SSID con el formato parecido pero sin el '=', asi que procedimos a decodearlas, y obtuvimos otras 3 palabras: martin, agente007 y ekoparty007. Con ésto aprendí que no es necesario que tenga '=' para estar en base64. Luego utilizamos el aircrack con éstas 3 palabras, y dimos con que agente007 era la clave. Luego trate de meterme con esa contraseña con el celular y al no conseguirlo, le hablé al organizador del desafío y me dijo que el AP no estaba conectado a internet, y que tenía que conectarme de una forma especial a través de linux. Probé conectandome simplemente desde la interfaz gráfica que te da los wifis y no pude conectarme. Antes de conectarme se me colgó el sistema un cachito, supongo que producto de haber tantos beacon frames en el aire. Luego intenté conectarme con la consola a través de iwconfig y no lo conseguí, me saltó un error (creo que por los drivers de la tarjeta wifi integrada). Pasó el tiempo y me puse a analizar el tráfico wifi tratando de encontrar algo, alguna ayuda... Me quede pensando "conectarme de una forma especial", y no se a que se refería el organizador... Despúes recordé que existian los servidores radius (nunca investigue como funcionan pero solo había oirdo hablar de ellos), pero al ver que era PSK, pense que sería imposible que hubiera un radius. Y asi paso el tiempo, y casi resignado, intento de vuelta con el celular, y me pongo a ver los paquetes de autenticacion, y pareciera haberse logrado autenticar perfectamente. Luego volví a insistir y tratar de conectarme a través de la interfaz gráfica de mi linux y lo logre... La verdad no entiendo por que antes no pude y después si. Perdí más de una hora, y no hubo ninguna forma especial ni nada de conectarme, y es un misterio que no pude resolver, porque habiendolo probado antes no pude y después si.

Luego de conectarme, hago un ifconfig wlan0 y noto que no había ninguna linea que dijera ipv4, pero si otras que decían ipv6. Solo podía conectarme a través de IPv6... Entonces me puse a repasar un poco sobre ésto, e intente escanear todo el link local con nmap, pero no encontré ningún host en toda la red, ni al router. Probé con el comando route y no me devolvía nada, terminé escaneando con wireshark, y vi unas consultas DNS, y yo de lo dormido que estaba no me di cuenta que la IP del router era el destino de la consulta DNS (pense que del router solo era la mac de la capa inferior y el servidor DNS estaría en otro lado, pero estaba muy equivocado, ya que el prefijo era de link local, esto tambien por jamas haber auditando en IPv6), y lo peor fue que si quería la IPv6 del router no haber hecho un man route y haber notado que el comando se usaba con el parámetro -6 en éste caso. Bueno, en fin luego escanié la IPv6 del router con nmap -sV y saltaron 3 puertos abiertos con tcpwrapped. Como en 10 minutos empezaba una charla muuy interesante sobre hackear con subtitulos, me fui y la deje hasta ahi. No pude avanzar prácticamente nada, entre lo dormido, incomodo y por los problemas técnicos que tuvimos, pero bueno, aprendí varias cosas por ser mi primer desafío. Ahrora en casa estaba leyendo sobre tcp wrapper, herramienta que jamás había utilizado. Hace poco aprendí sobre snort, iptables, y selinux, pero tcp wrapper es otra herramienta de hardening importante que no estaba teniendo en cuenta. Lástima que no tuve más tiempo para insistir, ya que la parte interesante recién empezaba, había que probar comunicarse con nc con cada puerto, ver como evitar las reglas de tcp wrapper, pero bueno, supongo que lo que quedaba del desafío era bastante complicado.

Buenas. Supongamos éste caso.

Jose 2 años atras se compra unos parlantes que el dia de hoy le empiezan a fallar y no tiene arreglo, entonces se compra el mismo modelo de parlantes de vuelta.

Qué pasa si Jose llama para reclamar que los parlantes nuevos vinieron defectuosos y devuelve los parlantes viejos que no andan bien limpios en la caja nueva? Tendría un equipo extra de forma gratuita?

Hay alguna forma en la que puedan reconocer éste tipo de fraude? Cada producto tiene un código único o algo por el estilo?

Saludos y gracias!

Excelente, muchas gracias por la respuesta, la última duda que me estaría quedando sería en que se diferencia un grey hat de un black hat. Recién leí éste artículo:

https://www.howtogeek.com/157460/hacker-hat-colors-explained-black-hats-white-hats-and-gray-hats/

Gray Hats

Very few things in life are clear black-and-white categories. In reality, there's often a gray area. A gray-hat hacker falls somewhere between a black hat and a white hat. A gray hat doesn't work for their own personal gain or to cause carnage, but they may technically commit crimes and do arguably unethical things.

For example, a black hat hacker would compromise a computer system without permission, stealing the data inside for their own personal gain or vandalizing the system. A white-hat hacker would ask for permission before testing the system's security and alert the organization after compromising it. A gray-hat hacker might attempt to compromise a computer system without permission, informing the organization after the fact and allowing them to fix the problem. While the gray-hat hacker didn't use their access for bad purposes, they compromised a security system without permission, which is illegal.

If a gray-hat hacker discovers a security flaw in a piece of software or on a website, they may disclose the flaw publically instead of privately disclosing the flaw to the organization and giving them time to fix it. They wouldn't take advantage of the flaw for their own personal gain — that would be black-hat behavior — but the public disclosure could cause carnage as black-hat hackers tried to take advantage of the flaw before it was fixed.

Según lo que leí y lo que entiendo un grey hat es más o menos como lo había descrito pero también había que tener en cuenta lo que remarqué en rojo, que publica la vulnerabilidad en lugar de hacerlo de forma privada...

Saludos!

Pero el escaneo de puertos/hosts, y técnicas activas e intentos de explotación sin autorización no son consiedaradas ilegales? O sea por ahí yo me estoy confundiendo entre ético y legal. Tal vez una persona ética igual esté quebrantando la ley, pero sin malas intenciones. En tal caso, que opinan de la gente que no respeta del todo la ley pero tiene buenas intenciones?

Buenas, quería saber su opinion respecto a los grey hat, es decir, aquellas personas que se ponen a realizar pruebas de penetración en un host o en una red, interactuando activamente con los servidores (fingerprint), y luego buscando vulnerabilidades y probando exploits, pero sin ser contratados ni haber pedido permiso al responsable de lo servidores (a diferencia de los white hat). Pero de todas formas un grey hat luego de descubrir y haber logrado explotar una vulnerabilidad, la reporta directamente al responsable del servidor para que la parchee, es decir, una vez que el grey hat se entretuvo y puso a prueba sus conocimientos en redes/hosts agenas, tiene una intención positiva y constructiva que es la de mejorar la segurida del servidor, en lugar de leer, escribir la información y controlar el servidor para un propósito poco ético que favoreciese al atacante ( a diferencia de los black hat).

Que opinan de las personas que se mueven asi? Son bien recibidas en ésta comunidad? Algunos de ustedes se mueven de ésta forma? Saludos!

[CUPS < 2.0.3 - Multiple Vulnerabilities]

Buenas, estuve buscando vulnerabilidades para el software CUPS que trabaja usualmente en el puerto 631 con el protocolo ipp para servir de servidor de impresion. Encontré una vulnerabilidad del 2015 en CVE catalogada como crítica de 10 puntos:

https://www.cvedetails.com/cve/CVE-2015-1158/

Según dice CVE:

The add_job function in scheduler/ipp.c in cupsd in CUPS before 2.0.3 performs incorrect free operations for multiple-value job-originating-host-name attributes, which allows remote attackers to trigger data corruption for reference-counted strings via a crafted (1) IPP_CREATE_JOB or (2) IPP_PRINT_JOB request, as demonstrated by replacing the configuration file and consequently executing arbitrary code.   

Incluso el equipo de seguridad de google subió un exploit y mucha información en:

https://www.exploit-db.com/exploits/37336/

El cuál se titula:

CUPS < 2.0.3 - Multiple Vulnerabilities

Mi duda es. Para ustedes ésta vulnerabilidad afectaría al producto CUPS desde su primera versión hasta la 2.0.3 o si la versión es demasiado vieja, ya no se vería afectada por el fallo? Como aquí no aclaran nada, yo supongo que es desde la primera versión hasta la 2.0.3. Si tengo por ejemplo un CUPS 1.7, se supone por lógica que debería ser vulnerable a dicha falla, no?

Muy buenas! Ésta es una duda que siempre tuve, ya que hay muchisimas vulnerabilidades conocidas pero la mayor parte de las veces no hay ejemplos públicos del código de una app vulnerable ni una PoC para explotar dicho fallo. Me imagino que si la vulnerabilidad está en un binario y en la página de CVE menciona la función que tiene la vulnerabilidad, habría que utilizar ingenieria inversa y enfocarse en dicha función... Quería saber si al terminar de leer las guias de exploit writing de corelan estaría capacitado para crear mis propios exploits en base a la información de las CVE, o si también sería necesario leer el manual de cracking de Ricardo Narvaja u otros documentos...

Por otra parte, cuando la vulnerabilidad está en un lenguaje de programación, como Ruby, quería saber como improvisar una aplicación vulnerable y su respectivo PoC. Hace pocos días salió la nueva versión 2.4.2 que corrije éstas vulnerabilidades:

CVE-2017-0898: Buffer underrun vulnerability in Kernel.sprintf
CVE-2017-10784: Escape sequence injection vulnerability in the Basic authentication of WEBrick
CVE-2017-14033: Buffer underrun vulnerability in OpenSSL ASN1 decode
CVE-2017-14064: Heap exposure in generating JSON
Multiple vulnerabilities in RubyGems

Tomemos como ejemplo la primera vulnerabilidad:

https://www.ruby-lang.org/en/news/2017/09/14/sprintf-buffer-underrun-cve-2017-0898/

en base a esa información, ustedes como harían para crear/explotar una app? Por donde empezarían o que consideraciones tomarían?

Muchas gracias desde ya por su tiempo! Saludos.

Muchas gracias MCKSys Argentina!

Saludos!

Buenas. Quería saber si era posible importar la clave para descifrar el tráfico HTTPS que conocen los navegadores para poder visualizar  las cabeceras en texto plano en el Wireshark como si de tráfico HTTP se tratase... Se que existen extensiones para los navegadores que sirven de sniffer y ahí si es posible observar en plano todo el tráfico HTTPS que llega al navegador, pero la verdad es que las extensiones que encontre no me resultan tan cómodas para trabajar como el Wireshark, asi que me gustaría saber si existe alguna forma de hacer lo que propongo...

Saludos y gracias!