Otro Tip para Shells (Safe_Mode y Mod_Security) By Zero Bits

Muchos ya conoceran el tutorial sobre las shells de mi amigo _84kur10_, pueden verlo desde su fuente original desde AQUI.




Solo queria agregar a su excelente tutorial, otro tip.,

"Bypassear safe_mode y Mod_security" para movernos mucho mejor en una shell y asi evitar problema. Dense cuenta que es un mini-tutorial que solo muestra los codes necesarios.



Muchos tienen problemas con las Shells, porque no pueden hacer varias cosas que nos interesan, ya sabemis por que (Safe_Mode y Mod_Security), ¿Como se yo que el servidor los tiene activado?, pueden notar (dependiendo de la shell) arriba de la shell, que puede decir:



Safe_Mode = ON

Mod_Security = ON



Desactivar Mod_Securirty




Buscamos por la shell, el fichero .htaccess y añadimos el siguiente code:

<IfModule mod_security.c>
SecFilterEngine OFF
SecFilterScanPort OFF
SecFilterCheckURLEncoding OFF
SecFilterCheckUnicodeEncoding OFF
</IfModule>

Actualiza y ve xD...



Desactivar Safe_Mode




Ahi varios modos, pero el mas facil es modificar Php.ini:

register_globals = On
engine = On
safe_mode = Off
safe_mode_exec_dir = On
Safe_mode_include_dir = On

Para conocer un poco mas podemos leer:



* Tips (PhpShells) que son y como subirlas by _84kur10_ (Aunque ya lo puse arriba)




* Leer sobre Safe_Mode y Mod_Security en servers.


Autor: Zero Bits


Mail: Zero_Bits@GobiernoFederal.com



PD: En los ultimos tutos no eh dejado mi email pero aqui esta ^^

Partial Function Disclosure --> New Term

El PFD consiste en que tras introducir valores malformados podamos obtener errores de los cuales extraer la ruta y parcialmente algunas funciones usadas por la web. Cómo podemos observar el concepto es parecido al del FPD (Full Path Disclosure) y su explotación será casi la misma que el FPD pero la diferencia radica en que a la hora de explotar el bug se mostraran algunas de las funciones que son usadas por la aplicación web como se muestra a continuación en la figura.




Como vemos el bug lo estamos explotando asiendo a la variable query= en un array como se muestra en la imagen (query[]= ) lo cual aparte de mostrarnos la ruta con lo cual vendría a ser un FPD (Full Path Disclosure). Aparte se mostrarían algunas de las funciones que usa la web y la línea de código en la cual están siendo usadas lo cual vendría a ser el PFD (Partial Function Disclosure) que es el tema de este paper.


Algunos tendrán la pregunta diciendo de que sirve poder ver algunas de la funciones usadas en la aplicación web pues bueno todo nos podría ser útil para saber a que tipo de filtros pro ejemplo nos estamos enfrenta y a la vez nos vamos asiendo una idea de cómo esta programa la aplicación web y que tipo de seguridad se esta empleando.


Bueno con esto termino esta explicación de PFD (Partial Function Disclosure)
PFD (Partial Function Disclosure) escrito y Termino inventado por Jordan Alexander Diaz Diaz (jdiaz@aqpgrid.com)


---------------------------------


Bueno he decidido compartir esta entrada para que den su opinion de este tema, mi opinion humilde y personal es:


me es una idea original el buscar nuevos nombres pero es según yo es lo mismo que un FPD, yo no soy un experto asi que les dejo a su análisis...

además si alguien me puede mostrar una web con FPD que no me muestre función me gustaría verla...



Saludos
Dr.White

Programando: MySql y PHP

ya que xianur0 me ha mostrado un bonito sistema de resaltado de código hoy he dedicido hacer un pequeño tuto de programación en PHP.

MYSQL y PHP...

La primera parte es declarar 4 variables... el USUARIO, PASS, HOST y BASE de DATOS


$dbhost = 'localhost'; //host normalmente localhost
$dbuser = 'root'; //usuario
$dbpass = 'password'; //contraseña
$dbname = 'users'; //nombre de la base de datos



Bueno como ven ahí hemos asignado a variables mediante las cuales haremos la conexion a la base de datos...

usando la función mysql_connect() haremos la conexión..

de la siguiente manera:


$conexion = mysql_connect($dbhost, $dbuser, $dbpass) or die ('No hay Conexion con el host');



Ahí hemos hecho la conexión y a la vez hemos dicho or die que quiere decir o si muere (si no conecte) mostramos el mensaje que dice ahí...

Ahora les voy a decir como seleccionar una Base de Datos a usar...


mysql_select_db($dbname) or die(mysql_error());



En el anterior code se ve que hacemos conexion o en el caso que no se pueda hacer la conexion entonces nos mostrará el error exacto... ahora les voy a decir como hacer una consulta...


$codigo = "123";
$column = "name";
$query="select $column from usuarios WHERE codigo=$codigo";
$recep = mysql_query($query);


bueno pues con eso ya hemos hecho la consulta, ahora solo haría falta hacerle un echo y pues nos mostraría el nombre de la persona que tenga el code 123... ahora entonces concatenemos todo el code y hagamos que muestre...




$dbhost = 'localhost'; //host normalmente localhost
$dbuser = 'root'; //usuario
$dbpass = 'password'; //contraseña
$dbname = 'users'; //nombre de la base de datos

$conexion = mysql_connect($dbhost, $dbuser, $dbpass) or die ('No hay Conexion con el host');
mysql_select_db($dbname) or die(mysql_error());

$codigo = "123";
$column = "name";
$query="select $column from usuarios WHERE codigo=$codigo";
$recep = mysql_query($query);

echo $recep;





Espero les haya gustado este mini tuto de conexiones MySql, despues avanzaremos con otro tuto de CURL() como lo prometí antes...

PD: El sistema comenzará a servir despues...

Saludos
Dr.White

Inteto de Hackeo de MSN

Bueno debo admitir que es una "buena" técnica de phishing la que han usado pero que mejor que ustedes mismos la vean, debo disculparme a su vez por estar escribiendo tan poco en el blog lo que pasa es que ando con muchos trámites por mi colegio, pero bueno ahora si primero una previa...


Bueno el Phishing Trata de que han intentado usar muchas veces mi pregunta secreta y para atacar por el lado psicológico el mail me lo envian con Advertencia 1, advertencia 2 y asi cosa que te confunden :p mm bueno algo asi se veia el mail:





mmm bueno luego si entramos vemos algo como:





Bueno la cosa es que ustedes si lo ven o por lo menos una persona que ve el mail lo puede creer ya que es recibido de:

Windows Live Hotmail (member-services@live.es)


y como ven en la anterior imagen pues dice algo creible y el link se ve bastante creible pero vamos a ver algo:





Eso es lo que muestra la barra del mozilla firefox cuando pongo mi mouse sobre el link... (es la barra donde dice: Esperando, Terminado, Cargando, etc, la barra inferior).


Bueno la cosa es que ahora si ya sabemos que no es del dominio de MSN que nos llega... asi que vamos a verle el código fuente al mensaje a ver que podemos ver...


Bueno como yo no marque como seguro el mensaje no se podía ver la imagen en donde muestro el mensaje pero igual les muestro la URL de la Imagen:



<p><img src="http://img46.imageshack.us/img46/2883/windowslivet.png" width="175" height="23" /></p>



Miren eso... como se dan cuenta dudo mucho que hotmail use las imagenes en imageshack... quien quiera que haya hecho esto ya cometió su primer error... ahora mas código "extraño"


<a href="http://mailive.es/default/am9zZW56dEBob3RtYWlsLmNvbQ.html">http://mail.live.com/ppsecure/?u=am9zZW56dEBob3RtYWlsLmNvbQ==&p=aHR0cDovL3d3dy5hcHBsZS5jb20vZXMvaXBob25lLw==&id=MTcxNjQ4&lng=es&n=amFqYSBwYXJlY2Uga2Ugc29zIHZpdm8gZWg/IDpQIGJ1ZW5vIHNhbHVkb3MgYSB0dSBzZfFvcmEgOlA=&x=aXBob25l</a>



ahí está la parte clave... nos muestran un link y nos lleva a otro... y que si damos click veamos que hace nuestro navegador:





Bueno he intentado acceder al sitio pero ni con proxy puedo acceder al parecer se los han bajado o algo por el estilo, igual que mejor ejemplo que este para que vean como son algunos que te atacan no solo con el phishing sino también por el lado psicológico dandote algunas cosas como Advertencia 1 y usar contadores para saber cuantas te van enviando...


Creo que esto también les puede servir de ayuda para sus presentaciones aquellos que quieren mostrar temas como este... espero les sirva la entrada ;)


Saludos
Dr.White

Superando el 3er Reto de Perverths0 - Http Hacking

Bueno el Perverths0 hizo los retos de DragonJAR mi team fue el team negro y fue el ganador, la próxima semana los retos serán hechos por nosotros, los pondré aquí también por si alguno de ustedes lo quería resolver...


Básicamente los retos fueron http hacking... Cambiar una cabecera cambiar el method y bueno los dos últimos eran Saber Programar y algo de Ingeniería Inversa...


La tool que usé fue BurpSuite V1.3 pero ustedes pueden usar una variante que prefieran, vean el Video y comprenderán...

Resolver reto Número 3 de DragonJAR V1 from SeguridadBlanca on Vimeo.

Bueno espero les sirva ;)


PD: Como se que si ven solo el Tercero se Perderan les dejo el link de los retos igual...

http://96.31.90.70/retodragonjar/retodragonjar/

esos son los retos ;) diviertanse si lo quieren pasar y la web no es peligrosa osea es parte de los retos...


Saludos
Dr.White

X25 Ethical Hacking Conferences

"X.25 Ethical Hacking Conferences"

Uno de los principales eventos en Latinoamérica relacionado con la seguridad informática.

El "X.25 Ethical Hacking Conferences" permitirá reunir a investigadores reconocidos a nivel nacional y mundial quienes compartirán las nuevas tendencias de la seguridad informática a un nivel totalmente técnico quienes son provenientes de una gran variedad de universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores que por su propia cuenta han hecho descubrimientos en cuestión de seguridad informática se refiere.

Este evento se dividirá en dos etapas: los talleres de Especialización enfocados a capacitar en las principales áreas de Seguridad Informática, y el ciclo de Conferencias impartidas por reconocidos expertos que serán invitados a este magno evento para compartir sus últimas investigaciones y experiencias en el área.

Las Conferencias y los talleres de Seguridad Informática se llevarán a cabo del

23 y 24 de Octubre del 2010

Sede: Xalapa, Ver. México

Si quieres mas información entra directamente a la web dando click aquí


Saludos
Dedalo

MK-Portal Bugged FPD

Bueno la comunidad hispabyte, excelente comunidad tenía como portal MkPortal, haciendo unos tests pude sacarle un FPD, ya está reparado pero de todas maneras les dejo el video de como muchas veces hay software conocido con el que podemos sacar rutas locales del servidor, esto puede servir a la hora de una auditoría en el caso que a nivel web no encontremos errores críticos, no se olviden siempre de poner los display errors en off y pues filtren este tipo de bugs...


aca les dejo un videito que hice...

Full Path Disclosure from SeguridadBlanca on Vimeo.

[Pentesting] Full Path Disclosure By Zero Bits

.



0x01. Introducción

Bueno, me les presento, algunos ya me deben conocer, pero igual a los que no. Estoy en la RED bajo el seudónimo de Zero Bits, pero mi nombre real es DAVID, tengo 15 años, recién cumplidos el 21 de este MES XD (Octubre), soy Venezolano y ahorita ando sin team jejeje.



En este mini-tutorial, MEJORADO de la versión anterior, les hablare un poco sobre una vulnerabilidad muy vista, pero no muy peligrosa, llamada: Full Path Disclosure.



Continuemos…




0x02. ¿Qué es Full Path Disclosure o FPD? – ¿Por que se produce? – ¿Como saber si es vulnerable?



Como dije arriba, esta vulnerabilidad muy vista, pero no muy peligrosa, sirve más que todo para ingeniar otros ataques como LFI. ya que por eso mismo (no es muy peligrosa), muchos administradores no le hacen caso y no las tapan.



Esta vulnerabilidad, se produce más que todo por la mala programación de variables, agregándole cualquier cosa innecesaria y por eso no tiene ningún tipo validación de protección.



Para saber si un servidor es vulnerable, tendríamos que agregar en cualquier link con una estructura como esta; http://localhost/fpd.php?var=test cualquier arreglo que se nos ocurra: http://localhost/fpd.php?var=aaaaaaaaahggg. Sabemos que es vulnerable, si el servidor nos tira algo como esto (ejemplo real):




[QUOTE]

Fatal error: Call to undefined function sql_query() in E:\www\webvulnerable\includes\cargar_config.php on line 15[/QUOTE]



Esta era una web que andaba testeando (no les diré el link, para que no nos regañen, pero los bugs ya fueron reportados) junto con un amigo, y pude notar que tenia los directorios abiertos y podía viajar por los archivos del servidor, al estar en el directorio “/includes/” pude ver el archivo llamado “cargar_config.php”, me metí y no era necesario agregar un arreglo, ya que estaba el error hay.



Otra cosa, al poner un ARREGLO cualquiera, no solo nos tirara, un “FATAL ERROR”, también nos podría tirar otros error como los de SQL Injection como los “warnings”. Muchos han podido notar que al agregar un ' en un servidor vulnerable, nos tira un ERROR SQL y un directorio completo donde se encuentra el fichero vulnerable, eso es también es FULL PATH DISCLOSURE.



0x04. Alguna forma de aprovecharse



Podemos notar, un directorio completo:




[QUOTE]

E:\www\webvulnerable\includes\cargar_config.php[/QUOTE]



Imaginemos que la estructura del archivo vulnerable era de este tipo, y se encontraba en la parte física de la pagina: “http://localhost/fpd.php?var=”. Como dije arriba, FPD (Full Path Disclosure) es una vulnerabilidad, que muestra el PATH (Directorio), completo a donde se encuentra el error, y esta nos sirve nada mas como una HERRAMIENTA de AYUDA para construir otros ataques.



Por ejemplo, podemos (claro, si la web es vulnerable), realizar un ataque LFI:



http://localhost/fpd.php?var=../




Ya que tendríamos todo un path, ya tendríamos una mejor idea, de cómo realizar un ataque LFI claro.

Una forma buena, es realizar un LOAD_FILE, con el método SQL Injection.



Otros métodos buenos, son que a la hora de mostrar un PATH, nos tire directorios buenos como (admin, PANEL DE ADMINISTRACION, includes, scripts, entre otros peligrosos), y ver si están abierto, para sacar mucha mas info.

Este método, es muy fácil, no tiene mucha ciencia, pero puede que en algunos casos nos sirva.





0x05. Parchando.



Este bug, es fácil de reparar, ya que en la mayoría de los casos, se debe a la flojera de un administrador, si no es un “sistema web” y es un servidor web normal, podríamos tener un código vulnerable diferente a los otros, por eso podemos analizarlo y ver donde esta nuestro error.




Una forma fácil, es modificando el archivo “.htaccess” y poner los códigos “display_errors” en OFF para que no nos muestre error webs:



display_errors = Off



0x05. Conclusion



Al llegar al final de este tutorial, podemos ver como un simple bug, puede llegar a ser una buena herramienta para crear otro tipo de ataques, por eso es mejor mantenerte al tanto de nuevos bugs y taparlos hay mismo, ya que por la flojera o la confianza tuya, podemos tener intruso en nuestros servidores. Ten en cuenta esto:



No existe código 100% seguro





Autor: Zero Bits


Fecha: 23/10/09

Cuando Nos ataca un Rogue Software

Hace un Tiempo Un Amigo mio me dijo que su Anti Virus no le detectaba ningun Virus pero a cada rato le saltaban ventanas de un antivirus como de Windows que decía que tenía muchos troyanos...


Pues Decidí hacer un pequeño análisis de lo que era y pues di con esto...


Era Rogue Software, Aquí les dejo unas capturas de pantalla del Software que infectó la PC de mi amigo...











Como pueden observar se ven como advertencias reales sin embargo no lo sen si prestamos atención a la primera imagen en el título del programa dice PC Live Guard, ahora con ayuda de nuestro queridísimo google busquemos:

PC Live Guard


Primer Resultado


Ahora como se dan cuenta en el primer resultado encontramos un breve resumen de que es el PC Live Guard y un tutorial de Eliminación.


El tutorial que yo vi para la eliminación y seguí fue este


Espero les sirva esta anecdota para cuando les pase algo parecido en la PC, esto le pasó a el por hacer una busqueda como esta asi que tengan cuidado que google también puede ser un arma letal de aquellos que quieren infectar internautas...


Victima de la infección y agradecimientos por las imagenes: Maurizio Spechel.


Saludos
Dr.White