Si no es un JSON al uso ni con PHP ni otros lenguajes podrás parsearlo de manera automática, así que... se me ocurre que te hagas tú un parser siempre y cuando el estilo (formato) nunca cambie.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Es extraño, porque justo en CVE había visto esto

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Samba since version 3.5.0 and before 4.6.4, 4.5.10 and 4.4.14 is vulnerable to remote code execution vulnerability, allowing a malicious client to upload a shared library to a writable share, and then cause the server to load and execute it. 

¿Cuando le ponen un 10.0 no es que es completamente violable?

Muchas gracias!

Prueba con este exploit: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo.

El resto de los caracteres que te quedan parecen caracteres unicode.

Entre 300 o 500 euros algo justo y más si quieres G-Sync y no Free-Sync, qué tipo de tecnología buscas en ese sentido? Que gráfica tienes?

Un saludo.

Hay cosas que no me han quedado claro.

Dónde está alojado OpenVAS? En tu máquina o en otra? El ping llega correctamente desde esa máquina?

Dependiendo de la respuesta a esa pregunta podría recomendarte una cosa u otra... Aunque a priori se me ocurre que tunelices dicha máquina o bien, vayas descartando errores de red usando NMAP, Wireshark etc.. para verificar si el fallo es de OpenVAS o porque realmente no llegas.

Este tipo de tools (Nessus, OpenVAS etc..) suelen fallar cuando tunelizas la herramienta, pero no tanto para que ni identifique las máquinas.

Por mi parte, aprovecho para mencionarte que personalmente me gusta más Nessus y podrías utilizar su versión trial para dicha auditoría, quizás te funcione mejor.

Un saludo.

Suponiendo que el sistema operativo está actualizado y no tiene ninguna vulnerabilidad de escalación de privilegios se me ocurre que si puedes conseguir que se logueen aunque sea una vez como administrador puedas tener un keylogger o bien, lanzar Mimikatz.

Un saludo.

Podría ser, leer el código fuente de cualquier aplicación permite encontrar vulnerabilidades (por ejemplo de como bypassear el login), otra opción que se me ocurre (aunque lo dudo al ser un router), es que las credenciales estén hardcodeadas en el código.

De siempre realizar una auditoría de caja blanca ha sido más eficaz que una caja negra, aunque claro, la primera suele ser más tediosa y aburrida

Un saludo.

Mmmm no que yo conozca, tu única alternativa es recurrir a páginas que cachean esas webs y te las muestran (como la que has mencionado de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), el problema es que en redes sociales muchas veces restringen el acceso y/o el usuario en cuestión tiene el perfil cerrado.

Un saludo.

Hola a todos!

En el día de hoy os traigo junto a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[/b]]@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[/url] un post sobre el análisis de la versión NO oficial de MSN Messenger para Android disponible desde hace pocos días en la Play Store.

Antes de empezar, si acabas de enterarte del lanzamiento de MSN Messenger para Android, recomendamos la siguiente lectura: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


La idea de este post no es más que concienciar a todos de la importancia de nuestros datos y de que una mala práctica de implementación puede poner en peligro nuestra privacidad.

Sin nada más que añadir... ¡Comencemos!

A través de Twitter llegó a mí una aplicación que se hacía llamar "CLM - Chat Live Messenger" que decía reproducir aquella sensación nostalgia que nos hacía tener Messenger (MSN) de una manera muy similar a la aplicación del 2005.

No soy muy dado a instalar aplicaciones en mi dispositivo actual, sin antes echar un ojo... (Creo que todos aquí tenemos ese tipo de curiosidad con las cosas de vez en cuando )

Empecé por algo sencillo: ¿Qué me proporciona Play Store?


¿Versao Beta? ¿500k descargas? Algo no me cuadraba mucho, pero cuando visité el sitio web que proporcionaba me quedó más claro...

A partir de este punto me decidí a descargarme la apk en mi ordenador y proceder a analizarla.

Una buena fuente de APKs sería Apkpure (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), así que la usaremos en este post.

En este punto una vez identificada nuestra aplicación a analizar podemos partir hacia muchas ramas, dos de ellas comunes podrían ser o centrarnos en la lógica que hay detrás de esta aplicación o simplemente observar como realiza las conexiones nuestro dispositivo con su servidor.

En este post vamos a tratar ambas, para la primera utilizaremos JADX (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) que nos echará una mano en decompilar el archivo .dex de la apk para así poder leer un poco la lógica de la misma. Y para la segunda usaremos algunas aplicaciones tanto en Android como en escritorio, que serán Packet Capture, Postman y cURL.

Pero procedamos primero a analizar la aplicación decompilando sus clases con JADX y leyendolas para ver que encontramos. Para esto me gusta iniciar la decompilación en consola e ir abriendo tranquilarmente en un editor como podría ser Sublime Text o VS Code dichas clases según se van decompilando.

Si recibimos algunos errores durante el proceso de decompilación, no les prestemos atención de momento, mientras no notemos nada extraño durante nuestra investigación, estos errores quedarán reflejados en los archivos que hayan sucedido. (Podéis echarle un ojo al README de Jadx para haceros una idea de como funciona.)


Una vez decompilé la aplicación miré los permisos que requería, no noté nada en especial que no se requeriera en una aplicación de mensajería. Hasta aquí, todo normal. Pero realmente sentía curiosidad de como era la lógica que usaba para conectarse con ese posible "servidor" que habíamos encontrado en Play Store.


Así que realicemos una búsqueda rápida del dominio "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login"


Nos encontramos con lo que podrían ser los endpoint de nuestra aplicación, un directorio /app/ y dos puertos, 3000 y 4000. De momento centrémonos en /app/, donde podemos ver nuestro querido "Index of" que deja poco a la imaginación enseñandonos archivos PHP y directorios de "images", curioso de mi cliqué en "images", ni si quiera cargó, olvidé por completo la cantidad de descargas que había obtenido esa aplicación, así que preferí utilizar cURL y cargar toda la web en un fichero para más tarde hacerme una idea de la cantidad de información con la que estaba trabajando.

curl http://msnmessenger.xyz/app/pictures/ > clmdump.html

Tras filtrar solo el nombre de los archivos que se encontraban en ese directorio obtuve un archivo de en torno a 11MB, unos 421365 archivos de imagen a día de 7/06/18, en mi opinión, bastante crítico para tratarse solo de nombres de archivos y su extensión.
No contento con esto, decidí observar un poco más esa "TelaPrincipal" de nuestro análisis, observé que utilizaba uno de los puertos que descubrimos antes para comunicarse con la API de nuestra APK. Más tarde, en una actualización que realizó el desarrollador cambió este puerto por otra dirección IP distinta al dominio que utilizaba, debido a la alta demanda de este.
Sobre este puerto o IP, lanzaba distintas peticiones a su servidor, algunas de ellas podemos encontrarlas definidas en la lógica de la APK haciendo una búsqueda tras analizar como añadía el desarrollador su endpoint en el resto de clases.


En este punto tras ver lo tedioso que sería analizar todas las llamadas a la API y al observar que su servidor no disponía de un certificado, procedí a usar Packet Capture (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) en uno de mis dispositivos para analizar los paquetes enviados al servidor, esta aplicación muestra los paquetes a través de un proxy creado en una VPN que se crea en nuestro dispositivo, este método es muy útil ya que nos permite visualizar directamente el tráfico de paquetes sin necesidad de ser root.


Una vez llegados a este punto, observé que solo era necesario un id de usuario para obtener los mensajes que tenía en espera y que no habían sido almacenados en dispositivo, procedí a divulgarlo así como a avisar a su desarrollador para que lo arreglara lo antes posible tal y como me sugirió Marcos. Además de ello, podíamos obtener el MD5 de la contraseña de los usuarios si estos nos enviaban una petición de amistad...

Pensé que viendo el estado de la aplicación el correo que mostraba el desarrollador en Play Store no sería muy útil si quería que actuase rápidamente. Así que procedí a analizar como agregar un contacto en la aplicación.
Descubrí que se mandaba una petición de amistad y una vez aceptada, nuestra aplicación agregaba al contacto a nuestra lista de amigos con una llamada a la API teniendo en el body el "from" y el "to"; esto me hizo pensar que si mi id de usuario era tan elevada, la del administrador sería una baja. Efectivamente, la id número 2 era la del desarrollador, así que me agregué a su lista de contactos para hablarle y explicarle lo sucedido.


Os dejo una pequeña muestra de lo que pasó.



Llegados a este punto, me gustaría mencionar algunas "features" que tenía esta aplicación (aparte de sacar las contraseñas de los usuarios).


Obteniendo conversaciones a través del ID único de la conversación:


Obtención de todos los emails de los usuarios registrados a través del campo "busca":


Y la mejor, spamear a base de zumbidos, si, podrías replicar esta petición todas las veces que quisieras, provocando que el móvil de la víctima no dejase de vibrar. Para ello simplemente necesitabas ser su amigo (recordamos que podías aceptar la petición de otro) y tener su ID y Token, estos valores eran de fácil acceso a través del buscador o al acceder a una conversación con dicha persona.


Llegados a este punto, ¿Qué creéis que hizo el autor? Pues borrar la aplicación hasta ahí todo bien... Hasta que después de borrarla la subió con otro nombre apuntando a otro dominio y si, añadiendo más funcionalidades y aunque ésta ya no está disponible en la Play Store es 100% funcional si instaláis la APK.


Concretamente la nueva aplicación es la siguiente (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login)


Decompilamos rápidamente el código para visualizar los cambios y el nuevo endpoint, en el propio MainActivity podemos observar las primeras llamadas.


En este caso, el nuevo dominio es: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login además, al acceder a éste nos aparece el siguiente index.


De hecho, obtenemos lo mismo si accedemos a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



A simple vista parece que la cosa mejoraba, pero realmente no era así, ya que en lugar de desactivar el Directory Listing simplemente se limitó a subir el index a esos dos directorios, por lo que, las imágenes (entre otros datos) seguían siendo accesibles.

Además, con las nuevas funcionalidades, tenemos más directorios de imágenes, a las imágenes de perfil se suman las imágenes que se envían de forma privada vía conversación y vía grupos.


Por último, pese a que se nos negase el acceso a dichos directorios, seguría siendo viable el acceso a dichas imágenes, ya que el nombre de éstas es simplemente el ID de la imagen (con autoincrement) seguido de un guión bajo y el timestamp de subida, por lo que con una fuerza bruta sencilla deberíamos ser capaces de obtenerlas.


Además, todo esto sin contar que seguían disponibles una gran cantidad de ficheros PHP a nuestra disposición, algunos de ellos subían archivos, otros realizaban consultas a la BBDD, etc... No revisamos la seguridad de éstos en la nueva aplicación, pero no creo que haya mejorado mucho.


Mencionar que algunas vulnerabilidades como un posible File Upload y un SQLi fueron descubiertas durante el análisis de la aplicación, sin embargo,  y como es lógico éstas no fueron explotadas y obviamente, fueron reportadas. Dicho objetivo no es otro que informar de la importancia de nuestra privacidad y de los riegos que corremos en instalar aplicaciones de desconocidos y/o inseguras.


Por último, si habéis llegado hasta aquí, es buen momento para escuchar este audio que la propia aplicación nos facilita: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Esperamos que os haya parecido interesante, y cualquier duda que tengáis no dudéis en preguntarla!

Un saludo.

Hola @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No, el info.php no tiene nada que ver y el fallo no se debe a eso.

Tal y como te comentó @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el error se debe a que recibes los correos en base64, de hecho, si te fijas, en la cabecera puedes ver lo siguiente: "Content-Transfer-Encoding: base64".

Aparentemente con cambiar ese encoding debería quedar funcionando, sin ver el código PHP no puedo decirte la causa exacta del error.

Un saludo.

Como siempre no fallas! @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Muchísimas gracias chicos, año tras año siempre os acordáis! <3

Thx! @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace unas semanas un servicio de sandbox de análisis de malware interactivo llamado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login anunció que por fin estaba abierto al público. Actualmente, cualquier persona puede registrar una cuenta y analizar interactivamente un archivo (ejecutable) en particular en tiempo real.

Any.Run tiene su base en Rusia y fue fundado en 2016 por el investigador de seguridad Alexey Lapshin. Su equipo ahora consta de cinco desarrolladores que trabajan en la mejora de la plataforma.

Lo que hace que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login sea diferente a otras herramientas de análisis (sandbox) es que es completamente interactivo. Eso significa que en lugar de cargar un archivo y esperar a que la aplicación te devuelva el análisis, con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login puedes analizar un archivo y en tiempo real interactuar con la máquina (sandbox) mientras esta analiza el archivo.

Esto permite cargar programas que requieren interacción con el usuario, como por ejemplo documentos maliciosos que requieren que habilite contenido o macros.

Además, puede analizar una gran cantidad de tipos de archivos (todos los archivos ejecutables, archivos Java, documentos de Microsoft Office, archivos PDF, scripts, correos electrónicos, etc.) y los archivos sospechosos se pueden ejecutar en 3 tipos de entornos invitados preinstalados:

Clean – Sin software pre-instalado
Office – Software Instalado Microsoft Office
Complete – Software común(Microsoft Office, browsers, Skype, etc.)


Personalmente, la he probado y es una gran sandbox, proporciona mucha información, con una gran interfaz y manejo de ésta. Además, pronto introducirán planes de pago que la hacen aún más potente, sin duda una gran herramienta para los que analizamos malware.

Planes de Pago:


Web oficial: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
URL para Scannear: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo.

MobSF es un entorno completo de análisis que incluye funcionalidad para la realización de pruebas tanto estáticas como dinámicas

La herramienta puede ser utilizada para analizar ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX), como también código fuente empaquetado en archivos ZIP. Dentro del alcance de esta publicación, nos centraremos en el análisis estático de un archivo APK.

Bastará con dejar corriendo el servicio, y acceder a él desde su aplicación web, a continuación, subir el fichero y automáticamente empezará a extraerlo y a analizarlo.


MobSF os dará gran cantidad de información, desde información general de la aplicación, pasando por permisos no necesarios/extraños hasta vulnerabilidades.



Además, permite realizar análisis dinámico a la propia aplicación:


Podéis descargarlo y obtener más información desde el repositorio oficial: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo.

Échale un vistazo a este post: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y a estas URL

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo.

Si tienes más dudas puedes echarle un vistazo a este post: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login aunque @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login lo explicó muy bien.

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Hola segui todos los pasos ya tengo la copia se seguridad de la primera base de datos pero necesito la key y no la encuentro en la simulacion del android tampoco la carpeta FILE adjunto la imagen alguien me podria decir como encontrarla o que paso estoy haciendo mal.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo

Hola @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login,

En tu imagen buscas en sdcard, sin embargo la key está en la ruta "/data/data/com.whatsapp/files"

Un saludo.

Lo más fácil es desactivar los puertos USB o utilizar Shielducky..

Un saludo.

Algo en tiempo real que esté continuamente analizando (comercialmente hablando) no existe (o no lo conozco), aunque como todo, siempre puedes programarlo (he visto cosas parecidas a lo que comentas).

Lo más parecido a lo que comentas sería programar dichos escaneos y hacer que se repitan cada día por ejemplo, aunque a mi parecer es algo abusivo, basta con lanzarlos periódicamente, conocer tu infraestructura y servicios y obviamente, estar atento a nuevas vulnerabilidades.

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Oye pero sirve solo para IPs publicas o también privadas?

Obviamente para IPs públicas.

Échale un vistazo a esta TOOL, a ver si te sirve: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo.