El Blog del Dr.White - Seguridad Informática Perú

lunes 15 de febrero de 2010

Técnicas de Infección con Malware y Procedimiento I

Después de un tiempo de inactividad del blog he decidido empezar con un tema que calculo les va a servir a ustedes...

El tema de infecciones es algo que está afectando en la actualidad y pues les quiero mostrar el primer ejemplo, es del cual hablaremos hoy...

Infección Vía MSN, cuantas veces no les ha pasado que alguien le dice algo como:

Hubo un Accidente en la puerta de mi casa mira las fotos

y a continuación nos mandan un archivo .zip o .rar con las supuestas fotos o sino

Mira las fotos de la fiesta :s no te ves tan bien...

y a continuación nos mandan un .zip o un .rar

Ahora les voy a explicar como funcionan estas técnicas... y como yo las usaría masomenos.

Bueno para empezar nosotros debemos saber algo básico... las Apis de MSN para hacer el malware...

Explicación de Apis de MSN click aquí y aquí

Bueno ahora si miren lo que pasa es que normalmente estos malwares no son muy creíbles entonces debemos usar algo que convenza a la gente en especial si son hombres...

un ejemplo:

Mira las fotos que me conseguí de la mamasita de megan fox

y a continuación el envio del RAR o ZIP que contenga esto...

otro punto clave que tenemos que tener claro es que el RAR debe tener siertas cosas claves en la configuración según con que los queremos infectar...

En el caso de que fuese un virus de pharming hay técnicas de como ocultar archivos en los .rar de tal manera que al descomprimir automáticamente se sobreescriba el archivo hosts y otras cosas que es algo de lo que voy a hablar pronto pero por ahora vamos a ver otra cosa que haremos con la infección...

Bueno hemos creado nuestro malware que se reproduce por MSN y ahora solo falta que poner en el .rar bueno miren, hay grupos de ciber delincuentes que se dedícan a la amenaza y extorción de web sites por ejemplo:

Encontramos un RFI en una web subimos una Shell y leugo le decimos al dueño que nos de dinero o la defaceamos, esto lógico causa una malestar en el webmaster y se niega, horas despues, la página cae, algo asi es para lo que se usa este tipo de malware...

Se los conoce como BOTNETS, digamos que es una RED de Computadoras que estan a la disposición de un mismo "master", entonces como funciona esto... el Master le mando a 500 personas su malware, luegos estas 500 se la mandaron a dos cada uno osea dos cayeron por que se ve como el anterior ejemplo, lo de megan fox, ahora asi va creciendo la botnet, una vez que se tiene un número prudente de computadoras zombies se procede a extorcionar a la gente... La siguiente conversación es Real solo sustituyo los nombres para no afectar a nadie...

Extorcionador dice:
* Eres el Admin de XXXXXXXXXXXXX.XXX?

Admin dice:
* Si por?

Extorcionador dice:
* Resulta que necesito dinero y tu me lo vas a dar
* en el caso que te reuses cago tu site

Admin dice:
* de qe me hablas????

Extorcionador dice:
* Puedo sacar tu sitio de internet en cuanto se me de la gana pero si quieres que siga en internet entonces necesito 40€

Admin dice:
* jajaja quisiera ver eso

Extorcionador dice:
* Mira tu sitio ahora mismo -.-

Admin dice:
* como mierda hiciste eso, dejame en pax yo no he hecho nada como para que me cagues mi sitio webon que te pasa

Extorcionador dice:
* no es personal necesito dinero y me lo vas a dar o no

Admin dice:
* no

Después de dos días el Admin le pagó los 40 Euros que le pidió, lo que hacía era usar el ancho de banda de todas sus computadoras zombies para hacerle un ataque de D.d.o.S (Distributed Denial Of Service) a su víctima...

Bajo un procedimiento como este muchos delincuentes hacen de las suyas, pronto pondré medidas que se deben tomar para no sufrir de este tipo de ataques y como evitar ser infectado y formar parte de una BOTNET...

PD: Pido disculpas por no poner nada pero he andado ocupado, pronto comenzaré a poner posts de calidad nuevamente :)

Saludos
Dr.White

lunes 1 de febrero de 2010

Otro Tip para Shells (Safe_Mode y Mod_Security) By Zero Bits

Muchos ya conoceran el tutorial sobre las shells de mi amigo _84kur10_, pueden verlo desde su fuente original desde AQUI.

Solo queria agregar a su excelente tutorial, otro tip.,

"Bypassear safe_mode y Mod_security" para movernos mucho mejor en una shell y asi evitar problema. Dense cuenta que es un mini-tutorial que solo muestra los codes necesarios.

Muchos tienen problemas con las Shells, porque no pueden hacer varias cosas que nos interesan, ya sabemis por que (Safe_Mode y Mod_Security), ¿Como se yo que el servidor los tiene activado?, pueden notar (dependiendo de la shell) arriba de la shell, que puede decir:

Safe_Mode = ON

Mod_Security = ON

Desactivar Mod_Securirty

Buscamos por la shell, el fichero .htaccess y añadimos el siguiente code:

<IfModule mod_security.c>
SecFilterEngine OFF
SecFilterScanPort OFF
SecFilterCheckURLEncoding OFF
SecFilterCheckUnicodeEncoding OFF
</IfModule>

Actualiza y ve xD...

Desactivar Safe_Mode

Ahi varios modos, pero el mas facil es modificar Php.ini:

register_globals = On
engine = On
safe_mode = Off
safe_mode_exec_dir = On
Safe_mode_include_dir = On

Para conocer un poco mas podemos leer:

* Tips (PhpShells) que son y como subirlas by _84kur10_ (Aunque ya lo puse arriba)

* Leer sobre Safe_Mode y Mod_Security en servers.

Autor: Zero Bits

Mail: Zero_Bits@GobiernoFederal.com

PD: En los ultimos tutos no eh dejado mi email pero aqui esta ^^

domingo 31 de enero de 2010

Partial Function Disclosure --> New Term

El PFD consiste en que tras introducir valores malformados podamos obtener errores de los cuales extraer la ruta y parcialmente algunas funciones usadas por la web. Cómo podemos observar el concepto es parecido al del FPD (Full Path Disclosure) y su explotación será casi la misma que el FPD pero la diferencia radica en que a la hora de explotar el bug se mostraran algunas de las funciones que son usadas por la aplicación web como se muestra a continuación en la figura.

Como vemos el bug lo estamos explotando asiendo a la variable query= en un array como se muestra en la imagen (query[]= ) lo cual aparte de mostrarnos la ruta con lo cual vendría a ser un FPD (Full Path Disclosure). Aparte se mostrarían algunas de las funciones que usa la web y la línea de código en la cual están siendo usadas lo cual vendría a ser el PFD (Partial Function Disclosure) que es el tema de este paper.

Algunos tendrán la pregunta diciendo de que sirve poder ver algunas de la funciones usadas en la aplicación web pues bueno todo nos podría ser útil para saber a que tipo de filtros pro ejemplo nos estamos enfrenta y a la vez nos vamos asiendo una idea de cómo esta programa la aplicación web y que tipo de seguridad se esta empleando.

Bueno con esto termino esta explicación de PFD (Partial Function Disclosure)
PFD (Partial Function Disclosure) escrito y Termino inventado por Jordan Alexander Diaz Diaz (jdiaz@aqpgrid.com)

---------------------------------

Bueno he decidido compartir esta entrada para que den su opinion de este tema, mi opinion humilde y personal es:

me es una idea original el buscar nuevos nombres pero es según yo es lo mismo que un FPD, yo no soy un experto asi que les dejo a su análisis...

además si alguien me puede mostrar una web con FPD que no me muestre función me gustaría verla...

Saludos
Dr.White

sábado 30 de enero de 2010

Programando: MySql y PHP

ya que xianur0 me ha mostrado un bonito sistema de resaltado de código hoy he dedicido hacer un pequeño tuto de programación en PHP.

MYSQL y PHP...

La primera parte es declarar 4 variables... el USUARIO, PASS, HOST y BASE de DATOS

$dbhost = 'localhost'; //host normalmente localhost
$dbuser = 'root'; //usuario
$dbpass = 'password'; //contraseña
$dbname = 'users'; //nombre de la base de datos

Bueno como ven ahí hemos asignado a variables mediante las cuales haremos la conexion a la base de datos...

usando la función mysql_connect() haremos la conexión..

de la siguiente manera:

$conexion = mysql_connect($dbhost, $dbuser, $dbpass) or die ('No hay Conexion con el host');

Ahí hemos hecho la conexión y a la vez hemos dicho or die que quiere decir o si muere (si no conecte) mostramos el mensaje que dice ahí...

Ahora les voy a decir como seleccionar una Base de Datos a usar...

mysql_select_db($dbname) or die(mysql_error());

En el anterior code se ve que hacemos conexion o en el caso que no se pueda hacer la conexion entonces nos mostrará el error exacto... ahora les voy a decir como hacer una consulta...

$codigo = "123"; $column = "name"; $query="select $column from usuarios WHERE codigo=$codigo"; $recep = mysql_query($query);

bueno pues con eso ya hemos hecho la consulta, ahora solo haría falta hacerle un echo y pues nos mostraría el nombre de la persona que tenga el code 123... ahora entonces concatenemos todo el code y hagamos que muestre...

$dbhost = 'localhost'; //host normalmente localhost $dbuser = 'root'; //usuario $dbpass = 'password'; //contraseña $dbname = 'users'; //nombre de la base de datos $conexion = mysql_connect($dbhost, $dbuser, $dbpass) or die ('No hay Conexion con el host'); mysql_select_db($dbname) or die(mysql_error()); $codigo = "123"; $column = "name"; $query="select $column from usuarios WHERE codigo=$codigo"; $recep = mysql_query($query); echo $recep;

Espero les haya gustado este mini tuto de conexiones MySql, despues avanzaremos con otro tuto de CURL() como lo prometí antes...

PD: El sistema comenzará a servir despues...

Saludos
Dr.White

Inteto de Hackeo de MSN

Bueno debo admitir que es una "buena" técnica de phishing la que han usado pero que mejor que ustedes mismos la vean, debo disculparme a su vez por estar escribiendo tan poco en el blog lo que pasa es que ando con muchos trámites por mi colegio, pero bueno ahora si primero una previa...

Bueno el Phishing Trata de que han intentado usar muchas veces mi pregunta secreta y para atacar por el lado psicológico el mail me lo envian con Advertencia 1, advertencia 2 y asi cosa que te confunden :p mm bueno algo asi se veia el mail:

mmm bueno luego si entramos vemos algo como:

Bueno la cosa es que ustedes si lo ven o por lo menos una persona que ve el mail lo puede creer ya que es recibido de:

Windows Live Hotmail (member-services@live.es)

y como ven en la anterior imagen pues dice algo creible y el link se ve bastante creible pero vamos a ver algo:

Eso es lo que muestra la barra del mozilla firefox cuando pongo mi mouse sobre el link... (es la barra donde dice: Esperando, Terminado, Cargando, etc, la barra inferior).

Bueno la cosa es que ahora si ya sabemos que no es del dominio de MSN que nos llega... asi que vamos a verle el código fuente al mensaje a ver que podemos ver...

Bueno como yo no marque como seguro el mensaje no se podía ver la imagen en donde muestro el mensaje pero igual les muestro la URL de la Imagen:

<p><img src="http://img46.imageshack.us/img46/2883/windowslivet.png" width="175" height="23" /></p>

Miren eso... como se dan cuenta dudo mucho que hotmail use las imagenes en imageshack... quien quiera que haya hecho esto ya cometió su primer error... ahora mas código "extraño"

<a href="http://mailive.es/default/am9zZW56dEBob3RtYWlsLmNvbQ.html">http://mail.live.com/ppsecure/?u=am9zZW56dEBob3RtYWlsLmNvbQ==&p=aHR0cDovL3d3dy5hcHBsZS5jb20vZXMvaXBob25lLw==&id=MTcxNjQ4&lng=es&n=amFqYSBwYXJlY2Uga2Ugc29zIHZpdm8gZWg/IDpQIGJ1ZW5vIHNhbHVkb3MgYSB0dSBzZfFvcmEgOlA=&x=aXBob25l</a>

ahí está la parte clave... nos muestran un link y nos lleva a otro... y que si damos click veamos que hace nuestro navegador:

Bueno he intentado acceder al sitio pero ni con proxy puedo acceder al parecer se los han bajado o algo por el estilo, igual que mejor ejemplo que este para que vean como son algunos que te atacan no solo con el phishing sino también por el lado psicológico dandote algunas cosas como Advertencia 1 y usar contadores para saber cuantas te van enviando...

Creo que esto también les puede servir de ayuda para sus presentaciones aquellos que quieren mostrar temas como este... espero les sirva la entrada ;)

Saludos
Dr.White

jueves 28 de enero de 2010

Superando el 3er Reto de Perverths0 - Http Hacking

Bueno el Perverths0 hizo los retos de DragonJAR mi team fue el team negro y fue el ganador, la próxima semana los retos serán hechos por nosotros, los pondré aquí también por si alguno de ustedes lo quería resolver...

Básicamente los retos fueron http hacking... Cambiar una cabecera cambiar el method y bueno los dos últimos eran Saber Programar y algo de Ingeniería Inversa...

La tool que usé fue BurpSuite V1.3 pero ustedes pueden usar una variante que prefieran, vean el Video y comprenderán...

Resolver reto Número 3 de DragonJAR V1 from SeguridadBlanca on Vimeo.

Bueno espero les sirva ;)

PD: Como se que si ven solo el Tercero se Perderan les dejo el link de los retos igual...

http://96.31.90.70/retodragonjar/retodragonjar/

esos son los retos ;) diviertanse si lo quieren pasar y la web no es peligrosa osea es parte de los retos...

Saludos
Dr.White

lunes 25 de enero de 2010

X25 Ethical Hacking Conferences

"X.25 Ethical Hacking Conferences"

Uno de los principales eventos en Latinoamérica relacionado con la seguridad informática.

El "X.25 Ethical Hacking Conferences" permitirá reunir a investigadores reconocidos a nivel nacional y mundial quienes compartirán las nuevas tendencias de la seguridad informática a un nivel totalmente técnico quienes son provenientes de una gran variedad de universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores que por su propia cuenta han hecho descubrimientos en cuestión de seguridad informática se refiere.

Este evento se dividirá en dos etapas: los talleres de Especialización enfocados a capacitar en las principales áreas de Seguridad Informática, y el ciclo de Conferencias impartidas por reconocidos expertos que serán invitados a este magno evento para compartir sus últimas investigaciones y experiencias en el área.

Las Conferencias y los talleres de Seguridad Informática se llevarán a cabo del

23 y 24 de Octubre del 2010

Sede: Xalapa, Ver. México

Si quieres mas información entra directamente a la web dando click aquí

Saludos
Dedalo

domingo 24 de enero de 2010

MK-Portal Bugged FPD

Bueno la comunidad hispabyte, excelente comunidad tenía como portal MkPortal, haciendo unos tests pude sacarle un FPD, ya está reparado pero de todas maneras les dejo el video de como muchas veces hay software conocido con el que podemos sacar rutas locales del servidor, esto puede servir a la hora de una auditoría en el caso que a nivel web no encontremos errores críticos, no se olviden siempre de poner los display errors en off y pues filtren este tipo de bugs...

aca les dejo un videito que hice...

Full Path Disclosure from SeguridadBlanca on Vimeo.

[Pentesting] Full Path Disclosure By Zero Bits

.

0x01. Introducción

Bueno, me les presento, algunos ya me deben conocer, pero igual a los que no. Estoy en la RED bajo el seudónimo de Zero Bits, pero mi nombre real es DAVID, tengo 15 años, recién cumplidos el 21 de este MES XD (Octubre), soy Venezolano y ahorita ando sin team jejeje.

En este mini-tutorial, MEJORADO de la versión anterior, les hablare un poco sobre una vulnerabilidad muy vista, pero no muy peligrosa, llamada: Full Path Disclosure.

Continuemos…

0x02. ¿Qué es Full Path Disclosure o FPD? – ¿Por que se produce? – ¿Como saber si es vulnerable?

Como dije arriba, esta vulnerabilidad muy vista, pero no muy peligrosa, sirve más que todo para ingeniar otros ataques como LFI. ya que por eso mismo (no es muy peligrosa), muchos administradores no le hacen caso y no las tapan.

Esta vulnerabilidad, se produce más que todo por la mala programación de variables, agregándole cualquier cosa innecesaria y por eso no tiene ningún tipo validación de protección.

Para saber si un servidor es vulnerable, tendríamos que agregar en cualquier link con una estructura como esta; http://localhost/fpd.php?var=test cualquier arreglo que se nos ocurra: http://localhost/fpd.php?var=aaaaaaaaahggg. Sabemos que es vulnerable, si el servidor nos tira algo como esto (ejemplo real):

[QUOTE]

Fatal error: Call to undefined function sql_query() in E:\www\webvulnerable\includes\cargar_config.php on line 15[/QUOTE]

Esta era una web que andaba testeando (no les diré el link, para que no nos regañen, pero los bugs ya fueron reportados) junto con un amigo, y pude notar que tenia los directorios abiertos y podía viajar por los archivos del servidor, al estar en el directorio “/includes/” pude ver el archivo llamado “cargar_config.php”, me metí y no era necesario agregar un arreglo, ya que estaba el error hay.

Otra cosa, al poner un ARREGLO cualquiera, no solo nos tirara, un “FATAL ERROR”, también nos podría tirar otros error como los de SQL Injection como los “warnings”. Muchos han podido notar que al agregar un ' en un servidor vulnerable, nos tira un ERROR SQL y un directorio completo donde se encuentra el fichero vulnerable, eso es también es FULL PATH DISCLOSURE.

0x04. Alguna forma de aprovecharse

Podemos notar, un directorio completo:

[QUOTE]

E:\www\webvulnerable\includes\cargar_config.php[/QUOTE]

Imaginemos que la estructura del archivo vulnerable era de este tipo, y se encontraba en la parte física de la pagina: “http://localhost/fpd.php?var=”. Como dije arriba, FPD (Full Path Disclosure) es una vulnerabilidad, que muestra el PATH (Directorio), completo a donde se encuentra el error, y esta nos sirve nada mas como una HERRAMIENTA de AYUDA para construir otros ataques.

Por ejemplo, podemos (claro, si la web es vulnerable), realizar un ataque LFI:

http://localhost/fpd.php?var=../

Ya que tendríamos todo un path, ya tendríamos una mejor idea, de cómo realizar un ataque LFI claro.

Una forma buena, es realizar un LOAD_FILE, con el método SQL Injection.

Otros métodos buenos, son que a la hora de mostrar un PATH, nos tire directorios buenos como (admin, PANEL DE ADMINISTRACION, includes, scripts, entre otros peligrosos), y ver si están abierto, para sacar mucha mas info.

Este método, es muy fácil, no tiene mucha ciencia, pero puede que en algunos casos nos sirva.

0x05. Parchando.

Este bug, es fácil de reparar, ya que en la mayoría de los casos, se debe a la flojera de un administrador, si no es un “sistema web” y es un servidor web normal, podríamos tener un código vulnerable diferente a los otros, por eso podemos analizarlo y ver donde esta nuestro error.

Una forma fácil, es modificando el archivo “.htaccess” y poner los códigos “display_errors” en OFF para que no nos muestre error webs:

display_errors = Off

0x05. Conclusion

Al llegar al final de este tutorial, podemos ver como un simple bug, puede llegar a ser una buena herramienta para crear otro tipo de ataques, por eso es mejor mantenerte al tanto de nuevos bugs y taparlos hay mismo, ya que por la flojera o la confianza tuya, podemos tener intruso en nuestros servidores. Ten en cuenta esto:

No existe código 100% seguro

Autor: Zero Bits

Fecha: 23/10/09