Hackear Amazon para dar por culo en Twitter

Si si, como lo has leído. En este post te enseño cómo hackear Amazon para dar por culo en Twitter y sin necesidad de ser feminazi o una persona altamente susceptible a la ofensa.

Trolleos a parte, he de decir que he visto este método en un blog inglés y que de momento no he tenido oportunidad de probar aunque os lo voy a explicar paso a paso y dejaré todos los scripts disponibles para llevar a cabo el cometido.

Todo esto viene a raíz de otro artículo que se publicó en Cloudstitch en el que explicaban cómo utilizar los Amazon Dash Buttons para trackear información sobre tu bebe. Si eres un padre tecnólogo y friki puedes leerlo desde aquí.

Pero en este caso vamos a utilizar los Amazon Dash Buttons para dar por culo en Twitter.

A lo mejor no estás a la última con los desarrollos de Amazon y no sabes qué son estos Dash Buttons. Pues bien, estos botones de Amazon son un dispositivo físico que te permite hacer compras predeterminadas tan solo apretándolos.

Olvídate de acceder a la web, buscar el producto, añadirlo al carrito e introducir todos los datos para completar el proceso de comprar. Qué coñazo!

La idea que hay detrás de estos botones es que cuando lo aprietes se proceda automáticamente a la compra sin la necesidad de hacer nada mas. A continuación os dejo el vídeo promocional para que os hagáis una idea de que trata.

Actualmente en España los puedes adquirir por cinco pavos y si bien su uso está pensado para suplir deficiencias en productos de menaje y de hogar nosotros. Por ejemplo si cada dos por tres se te acaban los repuestos para tu máquina de afeitar siempre puedes hacer uso de este botón aunque nosotros los vamos a utilizar para dar por culo en Twitter.

Pero… ¿cómo? Te preguntarás….

Pues la idea es “hackear” estos botones para que cada vez que los pulsemos publiquemos un tweet en la red social de la ofensa generalizada.  Así que vamos a ello!

Hackear Amazon Dash Button para joder en Twitter

Según el artículo original, el del bebe, se necesita de un ordenador encendido las 24 horas del día.

En el ordenador tendremos un script escrito en python que haga de sniffer para trackear todo lo que haces con el botón. Siempre puedes utilizar una Raspberry para disminuir el consumo eléctrico pero al fin y al cabo necesita estar conectada permanentemente.

Tanto si se utiliza un ordenador como una Raspberry, si este está apagado no se va a registrar nada. Obvio ¿no?

Pero aquí hay un “truquito” que podemos hacer para mantener levantado el sniffer de python sin tener que tener un ordenador conectado constantemente. Se trata de hacer correr el script directamente en el router.

Además esto nos viene de perlas para el objetivo del artículo que no es otro mas que conseguir enviar un tweet al pulsar el Amazon Dash Button.

Tengo el router Linksys modelo E2000 con la última versión del firmware Tomato. El firmware DD-WRT  también nos serviría para el propósito.

Configuración del Amazon Dash Button

Una vez tengas la aplicación descargara en tu móvil y tengas ya el botón a mano tendrás que configurarlo como en las siguientes pantallas:

1- Ir al menu "Your account" de la aplicación de Amazon
1- Ir al menu “Your account” de la aplicación de Amazon
2- Dirigirse al menu "Administracion de Dispositivos"
2- Dirigirse al menu “Administracion de Dispositivos”
3- Sigue las instrucciones
3- Sigue las instrucciones

 

 

 

 

 

 

 

 

 

 

4- Sigue las instrucciones
4- Sigue las instrucciones
5- Busca tu red Wifi
5- Busca tu red Wifi
6- Pantalla principal de la aplicación de Amazon
6- Pantalla principal de la aplicación de Amazon

 

 

 

 

 

 

 

 

 

 

7- Fin de la configuración
7- Fin de la configuración
8- Dirígete al menu de notificaciones
8- Dirígete al menu de notificaciones
9- Desactiva las notificaciones del móvil
9- Desactiva las notificaciones del móvil

 

 

 

 

 

 

 

 

 

 

Encontrando la dirección Mac

Paso importantísimo, es necesario que conozcamos cual es la dirección Mac del Amazon Dash Button. El artículo del original del bebe sugiere utilizar un script de python para hacer esto pero soy un poco vago y no conozco mucho este lenguaje. Lo mas fácil es loguearse en el router, ir a la sección de Dispositivos, apretar el Amazon Dash Button y refrescar la página hasta que aparezca el nuevo dispositivo.

Configuración del router
Configuración del router

El poder de los scripts

Tal y como se comenta en el artículo original, el Amazon Dash Button solo se enciende durante unos segundos. Mientras lo pulsamos. Así que vamos a necesitar un script que esté sondeando los dispositivos conectados cada pocos segundos para ver si hay algo con la dirección MAC específica del chisme.

Una vez que encuentre la MAC, esperaremos 60 segundos y volveremos a sondear la red de nuevo.

Lo primero de todo necesitaremos una conexión SSH al router. Antes de intentar conectarte asegúrate que tienes SSH activado en las opciones del router no?

Si no de poco te va a servir….

Una vez que hayas entrado necesitarás crear el script bash. También lo puedes crear en tu máquina y subirlo mediante SFTP.

A continuación te dejo el script. Lo único que se necesita es introducir la dirección MAC del Amazon Dash Button en la línea 4.

Vamos a hacer una prueba. Lanza el script, espera unos segundos y aprieta el botón de Amazon.

Próximos pasos

Ya ha funcionado. Genial!

El script ya detecta cuando apretamos el botón de Amazon.

Lo siguiente que vamos a hacer es que publique un tweet cada que apretamos el botón y aquí es cuando la matan. Por desgracia los firmwares de los routers no suelen tener cURL instalado, de todo lo contrario sería pan comido.

Pero lo que si que podemos hacer es utilizar wget para crear el tweet aunque tendremos que configurarlo.

Fíjate en la línea 32 del shell script. Debido a que no existe una manera de autenticarse contra el servidor utilizando wget, vamos a usar el flag -U (de User-Agent) y parámetros GET para pasar el secret-key de twitter aunque posiblemente existan otras maneras mejor de hacer esto.

A parte del secret-key también le pasamos por GET los parámetros TYPE y MESSAGE.

El parámetro TYPE es para futuras mejoras del script y el parámetro MESSAGE indica el mensaje a twittear.

echo `wget -U "**MY-SECRET-USER-AGENT**" -O /dev/tty "http://example.com/test.php?SECRET=KEY&TYPE=TWITTER&MSG=I%20JUST%20PRESSED%20MY%20AMAZON%20DASH%20BUTTON"`

Lo único que queda es escribir un middleware que se encargue de hacer la llamada a Twitter. Esto lo he escrito en PHP.

Publicando un tweet desde Amazon Dash Button
Publicando un tweet desde Amazon Dash Button

 

Y esto es todo gente. Como habéis podido ver ha funcionado correctamente. Y si, se que el título del port es bastante sensacionalista pero es que esto tiene muchísimas aplicaciones.

Imagínate que pasas el usuario de twitter de un famosete y cada vez que aprietas el botón le citas, le puedes volver loco!

Una mejora sería tener un fichero csv con diferentes mensajes ya preconfigurados y que eligiera uno al azar cada vez que pulsas el botón. En fin, que a partir de aquí ya puedes hacer lo que quieras.

Aclaro que por falta de tiempo no he podido probar este hack y lo que he hecho es adaptar al blog el artículo original, si quieres leerlo aquí tienes el link en inglés.

Si tienes dudas no dudes en dejármelas en la sección de comentarios o en Twitter a través del siguiente banner.

[xyz-ips snippet=”FAQS-GORKAMU-TW-YELLOW”]

Hasta la vista chumachos!

Anuncios

Cómo hackear un foro público

[xyz-ips snippet=”ADSENSE-MOUSE-FOLLOWING”]

Creo que este va a ser el primer post que escriba sobre seguridad informática o mas bien inseguridad informática ya que cómo dice Chema Alonso…

El libro de la selva de Chema Alonso
El libro de la selva de Chema Alonso

Y es que en el mundo que vivimos estamos cada vez mas expuestos a posibles amenazas y por ello deberíamos de tomar conciencia y conocer cómo actúan los ciberdelicuentes para fortificar todos nuestros sistemas. Al fin y al cabo todos tenemos una cuenta de facebook, todos guardamos correos importantes en nuestra bandeja de Gmail y todos utilizamos ya la banca electrónica para realizar las funciones de nuestro día a día y todas estas identidades digitales contienen datos sensibles que cualquiera con los conocimientos necesarios y mucha leche puede comprometer.

A nivel de desarrollo debería ser imprescindible que todo pica teclas conozca los diferentes vectores de ataque para poder mitigarlos en futuros desarrollos, creo firmemente que un desarrollador tiene que ser antes hacker que desarrollador. Al fin y al cabo gran parte de la responsabilidad de la securización de los sistemas depende de nosotros ya que ello repercute en la calidad del producto que estamos desarrollando. Luego hay usuarios tontos que por muchas medidas de seguridad que pongamos van a seguir poniéndose en evidencia.

Para un atacante no resultaría dificil sacar el CCV a partir del PAN ID de la tarjeta
Para un atacante no resultaría dificil sacar el CCV a partir del PAN ID de la tarjeta

Pues bien, estaba el otro día revisando algunos blogs de seguridad informática y hacking cuando me encontré con una herramienta que podría hacer las delicias de cualquier script-kiddie y no hablo de suites completas de pentesting cómo Kali o Bugtraq no, hablo de un script escrito en perl y que nos ayuda en una primera fase de recogida de información sobre vulnerabilidades de foros basados en vBulletin.

Cómo hackear un foro

La herramienta en sí se llama VBScan y ha sido escrita por un tal Mohammad Reza Espargham. La podemos encontrar gratuitamente en su github y lo único que tendremos que hacer para descargárnosla es ejecutar el siguiente comando.

$ git clone https://github.com/rezasp/vbscan.git

Para hacerla correr lo primero que tendremos que hacer será darle permisos de ejecución, para ello…

$ chmod 775 vbscan.pl

El script en cuestión acepta un único parámetro y es el objetivo que queremos analizar. Una vez que está ejecutando el análisis iremos viendo on-the-fly las diferentes vulnerabilidades que tienen los foros basados en vBulletin y si son explotables o no.

Foro vulnerable a ataques basados en RFI
Foro vulnerable a ataques basados en RFI

Si siguiéramos el vector de ataque de la imagen superior podríamos llegar a ejecutar la ya famosa c99 php shell y tomar el control del servidor de la siguiente forma

Hipotético ataque RFI en un foro público
Hipotético ataque RFI en un foro público

Y con esto llegar a realizar un web defacement, conseguir el fichero de usuarios y contraseñas del servidor o comprometer datos sensibles que pudieran estar alojados en la base de datos.

Otra de las cosas chungas que he visto realizando estas pruebas de concepto son los ficheros de configuración del foro y su nula seguridad. Cuando uno de estos ficheros no han sido previamente securizados mediante htacces o no los excluimos de las fases de indexación de los buscadores con el robots.txt correctamente configurado, podemos ver las credenciales de conexión a la base de datos en texto plano junto a otra información valiosa. Que decir que las credenciales que me he encontrado en estas pruebas son una puta mierda…

Usuario root y password vacío, anonadado me hallo
Usuario root y password vacío, anonadado me hallo

Con todas esta información, un atacante con muy mala leche tardaría cero coma en hacer un ataque iSQL y comprometer la base de datos.

Bien, otra vulnerabilidad con las que me he encontrado es con el módulo uploader.swf de la liberría YUI en versiones 4.2.1. Este módulo basado en ActionScript, muy probablemente en su versión 3, nos permite subir ficheros al servidor y que si no ha sido correctamente configurado abre una brecha de seguridad ante ataques XSS.

Youve been pwned by Gorkamu
Youve been pwned by Gorkamu

Como veis en la imagen superior lo he probado mediante un simple e inofensivo alert pero ya me direís cuanto se tarda en hacer un script que robe las cookies de los usuarios…..nada.

Si seguimos analizando foros nos encontraremos con muchísimas brechas, durante todo este rato lo que mas he visto ha sido vulnerabilidades de Registration Bypass aunque y contra a todo pronóstico, mio, también me he encontrado con vulnerabilidades que mediante ataques LFI podemos sacar datos de los ficheros que ya están en el servidor en un bonito y majestuoso texto plano. Para uno de estos casos lo he probado con un fichero javascript de la configuración global del foro, pero si seguimos echando para atrás en el árbol de directorio podríamos llegar hasta el fichero /etc/passwd del servidor, siempre y cuando estuviera basado en entornos Linux, que todo apunta a ello…

POC de un ataque LFI
POC de un ataque LFI

En fin, no voy a seguir comprobando foros por que me podría salir un artículo de varios miles de palabras y tampoco es plan, el objetivo principal del artículo era enseñaros una herramienta para automatizar la recogida de información de vulnerabilidades en foros basados en vBulletin y cuales son los vectores de ataque mas comunes en dichos foros. Pero lo que creo que ha quedado bastante claro es que no estamos tan protegidos y seguros como nos creemos y que si en un rato que he echado en la tarde he conseguido sacar toda esta información imaginaos lo que se podría hacer si alguien se pone en serio a comprometer estos sistemas… Como recomendación final os diría que mantengáis todo actualizado a la última versión y desconfiad simpre de todo.

Hala, happy hacking! digo… a cascarla!!

5 Herramientas de seguridad informática (o inseguridad en malas manos)

Es veranito, época de salir a la calle y no para jugar a Pokemon GO T_T. Es tiempo de quedar con amigos, irte a una terracita y tomarse unas cervecitas bien fresquitas, ir a la piscina, a unas pozas o a la playa. Pero aquí hay un pequeño detalle que tal vez muchos no se hayan dado cuenta, semos informáticos y bloggers, lo mas cercano a quedar con amigos es hacer un guest posting con otros bloggers y  así alimentar el estereotipo de que somos unos pieles blancas xD

Hoy vengo con un artículo de un autor invitado. Descubrí el blog de https://luisiblogdeinformatica.com haciendo un poco de keyword research para cierta palabra clave que me interesaba. El blog de Luis, muy enfocado a nicho, está de puta madre, tiene un montón de posts útiles con miles de trucos para todos a los que nos gusta la informática aunque si bien es cierto que algunos de sus posts son bastante técnicos siempre vas a encontrar algo interesante.

En esta ocasión Luis viene con un listado de diferentes herramientas de seguridad informática, tema del que de momento no he tenido oportunidad de hablar en el blog así que… ¿qué mejor forma para iniciar una categoría nueva en el blog?

Si alguna vez te has preguntado qué es la informática y cuales son sus aplicaciones, te aseguro que en el blog de Luis saciarás toda tu curiosidad ténica 😉

Así que como dice Pablo: Vamos dale caña, deprisa deprisa!!

Hola!!

Mi nombre es Luis Diéguez y a mi amigo Gorka le gusta la informática así que le traigo esta nueva entrada recién echa para su blog:

Nota: Estas herramientas las suelen usar personas con cierto nivel de informática, si no lo tienes, deberás aprenderlo por que sino seras un script-kiddie osea un novato que no sabe nada y solo utiliza herramientas. Pero vamos a verlas ya que no me gusta hacer esperar:

DroidSheep

Es una aplicación para Android que sirve para robar o suplantar identidades mientras haces pruebas de seguridad informática.

¿Como funciona?

Sniffea la red Wi-Fi en busca de sesiones y de ID´s privados. Así que roba las cookies y podemos suplantar la sesión, por ejemplo de Facebook, y hacernos pasar por la persona a la que le hemos robado esas cookies. Pero si todavía no sabéis que es una cookie…

Una cookie es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.

Sus principales funciones son:

  • Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una galleta para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una galleta no identifica a una persona, sino a una combinación de computadora de la clase de computacion-navegador-usuario.
  • Conseguir información sobre los hábitos de navegación del usuario intentos de spyware (programas espía), por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

¿Como se usa esta herramienta?

Lo primero es descargarla e instalar el apk: http://droidsheep.de/

Lo iniciamos y seleccionamos “ARP spoofing” y “Generic mode”,pulsamos el botón “Start”, esperamos unos segundos y deberían salir los perfiles de sesión activos.

Ahora seleccionamos la sesión que queramos y nos salen unas opciones: “Open Site”, “Remove from List”, “Add host to blacklist”, “Export via eMail” y “Save Cookies”.

  • Open Site: Se puede usar la cuenta de la víctima como él /ella.
  • Remove from List: Elimina la sesión seleccionada de la lista.
  • Add host to blacklist: Evita que la captura de cookies del servidor seleccionado en el futuro.
  • Export via eMail: Le permite enviar los valores de las cookies a través de correo electrónico (Esto ayuda a utilizar la sesión en el ordenador).
  • Save Cookies: Le permite guardar las cookies para un uso posterior.

NetCut o Wifi Killer

Son dos app’s diferentes pero con la misma función. La diferencia fundamental es que NetCut se puede usar en Android con procesadores de arquitectura x86 que usan Intel, como es mi Asus Zenfone y WifiKiller tiene una versión de pago. Otra diferencia es que una se encuentra en el app store: NetCut y por lo contrario WifiKiller hay que descargar el apk desde su página oficial.

Lo que conseguiremos es desconectar a un dispositivo de nuestra red wifi que previamente tendremos acceso, perfecto si nos roban wifi o nos hackean o simplemente como pasatiempo.

¿Como funciona?

Tan sencillo como seleccionar los dispositivos que queremos que no tengan acceso a nuestra red wifi y cortales el aceso.

 

Zanti v.2.0

Cosas que puede hacer con Zanti:

  • Cambiar la dirección MAC del dispositivo.
  • Crear un punto de acceso WiFi malicioso.
  • Secuestrar las sesiones HTTP.
  • Capturar descargas
  • Modificar las peticiones y respuestas HTTP.
  • Explotar los routers.
  • Auditorar contraseñas
  • Comprobar en un dispositivo la vulnerabilidad shellshock y SSL “poodle”.

Todo esto esta muy bien pero hay que pedir la demo en la web oficial: zANTI (Pss…Lo puedes descargar también aquí sin pedir nada)

ProxyDroid

ProxyDroid es una aplicación que te permite configurar un proxy en los dispositivos Android. Es una aplicación fácil de usar que puede utilizar diferentes tipos de servidores proxy. Personalmente, me gusta esta aplicación mucho, debido a su facilidad de uso y gran poder.

Algunas de las cosas que puede hacer con la ayuda de ProxyDroid son:

  • Ocultar la dirección IP real.
  • Saltar la censura y filtrado.
  • Evitar que los programas de seguimiento web de espionaje de las actividades en línea.

Y está en el Play Store de forma gratuita!

 

Bueno chavales, esta ha sido una pequeña aproximación a diversas herramientas que utilizan los expertos en seguridad informática. Te recomiendo que le eches un vistazo y las pruebas y mas que acaban de estrenar la segunda temporada de Mr Robot y estamos todos con el hype in the body

Si te ha molado date una vuelta por el blog de Luis (enlace arriba del todo) que por lo menos tendrás horas de lectura interesante 😉

Hala a mamarla!!

Hackear un ordenador con la radio del móvil

Hola hamijos, como más de uno sabrá me dedico profesionalmente a la informática. No soy experto en redes ni en sistemas, en realidad trabajo en desarrollo y para afinar más, la especialidad que más me gusta es el desarrollo de aplicaciones web, pero eso no quita para que me dejen de gustar otras áreas como la seguridad o más bien la contraseguridad. Desde siempre he tenido una relación amor-odio con el hacking y he coqueteado con algunas técnicas a lo largo de los años.

Creo que mi pasión por la informática y mis encuentros con el hacking vienen de cuando era un crio. Recuerdo que cuando tenía unos 9 años vi la película de ‘Hackers, piratas informáticos‘, esa película totalmente surrealista protagonizada por Angelina Jolie y Jonny Lee Miller que interpretaban a unos adolescentes que eran unos fieras pirateando sistemas en los 90 y tenían que luchar contra el dueño de una megacorporación.

Ayy que mofleticos me tenía la Jolie...!!
Ayy que mofleticos me tenía la Jolie…!!

Vale que los guionistas de la película se lo fliparon demasiado con los detalles técnicos y todos los que hayamos visto la película nos reiremos de las interfaces de los ordenadores tan de los 90 pero no podemos negar que la película generaba un sentimiento de libertad y una sensación de que si eras informático no había dios que te parara los pies. Una de los razones que ayudaba a generar esta sensación era la banda sonora, que entre otros, Prodigy tenía un hueco con su temazo ‘Voodoo People‘, pero vaya, que al terminar de ver la película te quedabas como… Wow, esto mola un huevo.

Pues bien, de vez en cuando reviso mis RSS sobre seguridad y a veces encuentro noticias que son la leche y nunca dejan de asombrarme como por ejemplo aquella aplicación que presentaron en la conferencia Hack In The Box Conference y que aseguraban que se podía romper los sistemas y controlar un avión comercial desde un smartphone o aquella otra noticia que aseguraba que se podía hackear un marcapasos (implicaciones éticas aparte). Pues hoy, he leido una noticia sobre cómo hackear un ordenador con la radio del móvil, si si, como lo oyes, desde la radio… xD

Cómo creo que es lógico, todos sabemos que para hackear un ordenador es necesario que se tenga acceso al mismo, ya sea físico o a través de la red. Un ordenador que este desconectado de internet y aislado en un bunker hermético es imposible de vulnerar o eso nos parecía hasta ahora, porque se ha presentado una aplicación que es capaz de captar las ondas de radio que emiten los monitores y que nuestro móvil y desde la radio podremos leer.

Al final del pasillo hay un ordenador en el que sólo se puede jugar el Minecraft
Al final del pasillo hay un ordenador en el que sólo se puede jugar el Minecraft

La aplicación hace uso de una técnica de la que ya se hablaba por los años 60 y tiene por nombre TEMPEST (Transient ElectroMagnetic Pulse Emanation STandard) y que permite trucar las ondas electromagnéticas de un monitor haciendo que éste actúe como una antena.

Para poder obtener información de las emisiones electromagnéticas de la pantalla es necesario que previamente el ordenador tenga un malware instalado que traduzca en información útil las ondas de radio que detecta el receptor FM del smartphone, que también tendrá instalado el mismo malware. La clave de todo este asunto es utilizar la tarjeta de vídeo del ordenador para generar una señal de radio que luego se pueda captar.

La mayor brecha de seguridad se encuentra entre la pantalla y la silla

Según he leído, la técnica sería prácticamente inviable ya que hay que tener el receptor a una distancia de 7 metros como mucho del emisor porque la cantidad de aparatos electrónicos que hay a nuestro al rededor emitirían corrientes parasitarias que distorsionarían la señal a capturar. Se habla de que en los laboratorios han conseguido capturar una contraseña en 8 segundos y esto da mucho que pensar sobre si es la mejor técnica a llevar a cabo en un ataque pero por otro lado, el The New York Times ya informó de la existencia de un transceptor utilizado por la NSA que permitía acceder a ordenadores no conectados a internet a través de ondas de radio, así que no se yo…

Esto de momento se queda en una curiosidad sobre como gracias a la investigación somos capaces darle una vuelta de tuerca a tecnologías que parecían inamovibles y así poder aprovechar nuevas funcionalidades.

Ah y por si alguno quiere seguir investigando acerca de todo esto, la aplicación en cuestión se llama AirHopper y para más inri, esta circulando por internet un vídeo en el que dicen que si lo reproduces a pantalla completa y a 1080p puedes oír el tema Para Elisa de Beethoven desde la radio AM de tu smatphone, no se yo… yo no lo he probado… así que si lo probáis me gustaría saber vuestra opinión a través de la sección de comentarios.

http://smartywidget-1736116251.eu-west-1.elb.amazonaws.com/webservice/embed/9170/659794/510/280/0/0/0

¡Hasta que volvamos a vernos!