LATEST ARTICLES

Abril 4th 2017

BlackBox: Una caja de pentest para llevar encima

Número de lecturas: 1160
{lang: 'es-419'}

La herramienta escrita en Python BlackBox, permite al pentester disponer de una suite interesante en su día a día en la oficina. BlackBox, la cual se encuentra en su versión 2.0 para desarrolladores, proporcionan distintas funcionalidades para el pentesting. Desde funcionalidades para fuerza bruta, recopilación de información, exploits, dorking o cracking. Mucho potencial en la caja negra.

Para instalar BlackBox sobre nuestra máquina podemos descargarlo desde Github. Después, simplemente, hay que ejecutar el script install. Como se puede ver en la imagen tenemos elementos orientados al pentesting web, en su mayor parte. Disponemos de una serie de funcionalidades orientadas a la fuerza bruta en entornos web como, por ejemplo:

  • WordPress Bruteforce
  • FTP Bruteforce
  • SSH Bruteforce

Admin Page Finder

La categoría de exploits orientados a entornos web tenemos diferentes exploits:

  • Joomla RCE
  • Magento RCE
  • PrestaShop Exploit

Aunque no tengamos gran cantidad de exploits, pueden ser útiles en algunos escenarios. Además, para complementar entornos como exploit-db, tenemos la categoría de dorking dónde podemos encontrar:

  • Google Dorker
  • Bing Dorker
  • Scan list

Por último, tenemos la posibilidad de utilizar una herramienta para crackear hashes en MD5, SHA1, etcétera, generalmente algoritmos utilizados en entornos web.

PoC: Carga y configuración del módulo de fuerza bruta SSH

En esta prueba de concepto vamos a configurar el módulo de fuerza bruta de SSH con BlackBox. Si ejecutamos la opción blackbox ssh_brute -h podemos ver las diferentes opciones del módulo. Esto sirve para todos los módulos que tenemos disponible en BlackBox.

Para configurar el módulo hay que indicar la dirección IP dónde se lanzará la fuerza bruta a SSH, el usuario de SSH que se quiere atacar y la ruta del fichero de contraseñas. Existen muchas herramientas que permiten realizar este tipo de acciones, pero BlackBox permite tener estas funcionalidades centralizadas por módulos. Esto es interesante, ya que es fácilmente escalable en número de módulos, es decir, en otras funcionalidades.

Si ejecutamos la opción blackbox google_dorker -h podemos ver las opciones para la búsqueda en Google. El ejemplo que el propio BlackBox propone es blackbox google_dorker –dork=”php?id” –level 10. Es interesante ir probando esto, también probando sobre Bing.

El módulo hash_killer permite generar hashes en el algoritmo que se quiere y realizar la comparación los hashes que se encuentran en dicho algoritmo. Por ejemplo, tenemos la opción -w  dónde situamos las palabras de diccionario que queremos hashear y comparar con los hashes que se encuentran en el fichero asociado al parámetro –md5, por ejemplo.

Una caja de herramientas sencilla, que debemos llevar encima. Lo interesante es que el proyecto se encuentra bastante activo, por lo que se van añadiendo diferentes módulos con cada release, por lo que proponemos que esten atentos a las diferentes opciones y posibilidades que BlackBox ofrece con cada release.

Como dije anteriormente, una herramienta para llevar en la mochila. Opciones interesantes y útiles para un pentesting web. El crecimiento de la herramienta, posiblemente, irá por la implementación de nuevos exploits en la herramienta, lo cual la enriquece y hace que sea una tool aún más a tener en cuenta para el pentesting.

Fuente:

flu-project.com

 

Proyecto en github:

https://darkeye@bitbucket.org/darkeye/blackbox.git

Marzo 30th 2017

SAVE: libro gratuito sobre Ingeniería Social

Número de lecturas: 1532
{lang: 'es-419'}

Si hay una técnica de hacking que no tiene antídoto, esa es la Ingeniería Social. Por ello, ésta es seguramente la técnica más efectiva actualmente. El exponencial uso de las redes sociales y sobre todo el uso de internet como plataforma para buscar nuestro minuto de gloria, los usuarios descuidan la cantidad de información que publican. Esta información, aunque parezca inofensiva y “poco” personal, es crucial a la hora de ser usada para que alguien pueda impersonar nuestra identidad, o inlcuso sea usa en contra nuestra para ganar nuestra confianza y por consiguiente ser victima de un ataque de ingeniería social.

SAVE, Social Vulnerability & Assessment Framework (PDF, EPUB, iTunes, Google Play), es un libro (193 páginas) dedicado a estudiar el uso de la ingeniería social usando la inteligencia abierta (OSINT) en ciberataques.

El libro está basado en el resultado recogido del uso de 185 ataques de ingeniería social reales contra tres empresas danesas. Como resultado de dicho estudio, se desarrolló un entorno de trabajo de evaluación de vulnerabilidades (Social Vulnerability Assessment Framework, SVA), documentado en el propio libro.

Download (PDF, 6.35MB)

Fuente:

blog.segu-info.com.ar

Marzo 27th 2017

Hacker revela la manera más fácil de secuestrar la sesión de usuarios con privilegios de Windows sin contraseña

Número de lecturas: 1324
{lang: 'es-419'}

Alexander Korznikov, un investigador de seguridad israelí, recientemente ha demostrado que un usuario privilegiado local, aún puede secuestrar la sesión de cualquier usuario registrado de Windows con privilegios elevados sin conocer la contraseña de ese usuario, utilizando una función de herramientas de línea de comandos.
Este truco funciona en casi todas las versiones del sistema operativo Windows y no requiere ningún privilegio especial. Korznikov es incapaz de averiguar si se trata de una característica de Windows o una falla de seguridad.

El problema descubierto por Korznikov no es completamente nuevo, como un investigador de seguridad francesa, a saber, Benjamin Delpy, se detalla una técnica de secuestro de sesión de usuario similares en su blog de hace unos seis años.

Korznikov llama al ataque de una “escalada de privilegios y el secuestro de sesión”, lo que podría permitir a un atacante secuestrar la sesión de los usuarios privilegiados de alta y obtener acceso no autorizado a las aplicaciones y otros datos sensibles.

Para explotar con éxito, un atacante requiere acceso físico a la máquina objetivo, pero utilizando la sesión de Remote Desktop Protocol (RDP) en una máquina de cortado; el ataque se puede realizar a distancia también.

Las demostraciones de vídeo muestran como se hace:

Korznikov también ha proporcionado un par de demostraciones de vídeo de un exitoso secuestro de sesión (utilizando el Gestor de tareas, creación de servicios, así como la línea de comandos), junto con la prueba de concepto (PoC) explotar.
Korznikov probado con éxito la falla en el más reciente de Windows 10, Windows 7, Windows Server 2008 y Windows Server 2012 R2, aunque otro investigador confirmó en Twitter que la falla funciona en todas las versiones de Windows, incluso si la estación de trabajo está bloqueada.

Fuente:

http://thehackernews.com/2017/03/hack-windows-user-account.html

Marzo 22nd 2017

¿Qué sabe de mí Facebook? – Doxing

Número de lecturas: 1504
{lang: 'es-419'}

Todos algún día nos hemos preguntado sobre qué información nuestra podría circular por las redes sociales sin que nosotros lo supiéramos.

Pues hoy vas aprender un método que seguramente no sepas pero que puede ayudar no solo a descubrir más sobre alguien, algo que puede llegar a ser poco ético aunque legal ya que proviene de fuentes abiertas y accesibles a todo el mundo.

Esto lo voy a enseñar para que aprendás a protegerte y empezar a borrar datos personales que no quieres que se sepan. Aunque siempre hay que seguir la premisa de que si no quieres que algo no se sepa no lo publiques.

Aquí nace el término Doxing, el Doxing es un conjunto de técnicas que usamos para recopilar información sobre un objetivo (puede ser persona, empresa o institución).

Hoy solo hablaré de Doxing aplicado a la red social Facebook, y solo hablaremos de Doxing legal por razones obvias.

Pasando a la acción, lo primero que tenemos que hacer es poner nuestro perfil de Facebook en inglés estadounidense. Esto se hace en la configuración del lenguaje como se puede ver en la foto.

Cuando ya estemos en la página objetivo pulsamos las teclas CTRL y U, esto nos desplegará el código de la página en un nivel inferior. Y posteriormente pulsamos las teclas CTRL y F lo cual nos desplegará un buscador en el código.

La secuencia que buscamos es algo así:

Como ves buscamos un identificador de un usuario que es único y que corresponde con el número que aparece entre comillas. Esto quiere decir que aunque el usuario llegara a cambiar de nombre podría hacerlo pero nunca podrá cambiar su id de usuario.

Terminado esto y con el id en nuestro poder, solo tenemos que ir a la barra superior del navegador y poner lo siguiente:

www.facebook.com/search/NUESTRO ID DE USUARIO/photos-by

-Esto nos muestra las fotos del usuario.

www.facebook.com/search/NUESTRO ID DE USUARIO/photos-tagged

-Esto nos saca las fotos en las que está etiquetado.

www.facebook.com/search/NUESTRO ID DE USUARIO/photos-liked

Aquí las fotos en las que ha dado like.

www.facebook.com/search/NUESTRO ID DE USUARIO/photos-commented

Fotos que ha comentado.

www.facebook.com/search/NUESTRO ID DE USUARIO/pages-liked

Páginas que le gustan.

www.facebook.com/search/NUESTRO ID DE USUARIO/groups

Grupos a los que pertenece.

Con todos estos datos recopilados, y muchos más que se podrían añadir simplemente con fuentes abiertas y disponibles a cualquier usuario, podríamos crear un perfil muy completo de cualquiera. Lo que nos podría llevar a ser objetivo de ciberataques, ciberextorsiones, robos o incluso la pérdida de algún empleo como ya ha sucedido.

Es muy importante hacernos una reflexión sobre los datos que vamos dejando en la red e intentar borrar lo que no nos interesa.

Fuente:

versionmilitar.com