Cómo hackear un foro público

[xyz-ips snippet=”ADSENSE-MOUSE-FOLLOWING”]

Creo que este va a ser el primer post que escriba sobre seguridad informática o mas bien inseguridad informática ya que cómo dice Chema Alonso…

El libro de la selva de Chema Alonso
El libro de la selva de Chema Alonso

Y es que en el mundo que vivimos estamos cada vez mas expuestos a posibles amenazas y por ello deberíamos de tomar conciencia y conocer cómo actúan los ciberdelicuentes para fortificar todos nuestros sistemas. Al fin y al cabo todos tenemos una cuenta de facebook, todos guardamos correos importantes en nuestra bandeja de Gmail y todos utilizamos ya la banca electrónica para realizar las funciones de nuestro día a día y todas estas identidades digitales contienen datos sensibles que cualquiera con los conocimientos necesarios y mucha leche puede comprometer.

A nivel de desarrollo debería ser imprescindible que todo pica teclas conozca los diferentes vectores de ataque para poder mitigarlos en futuros desarrollos, creo firmemente que un desarrollador tiene que ser antes hacker que desarrollador. Al fin y al cabo gran parte de la responsabilidad de la securización de los sistemas depende de nosotros ya que ello repercute en la calidad del producto que estamos desarrollando. Luego hay usuarios tontos que por muchas medidas de seguridad que pongamos van a seguir poniéndose en evidencia.

Para un atacante no resultaría dificil sacar el CCV a partir del PAN ID de la tarjeta
Para un atacante no resultaría dificil sacar el CCV a partir del PAN ID de la tarjeta

Pues bien, estaba el otro día revisando algunos blogs de seguridad informática y hacking cuando me encontré con una herramienta que podría hacer las delicias de cualquier script-kiddie y no hablo de suites completas de pentesting cómo Kali o Bugtraq no, hablo de un script escrito en perl y que nos ayuda en una primera fase de recogida de información sobre vulnerabilidades de foros basados en vBulletin.

Cómo hackear un foro

La herramienta en sí se llama VBScan y ha sido escrita por un tal Mohammad Reza Espargham. La podemos encontrar gratuitamente en su github y lo único que tendremos que hacer para descargárnosla es ejecutar el siguiente comando.

$ git clone https://github.com/rezasp/vbscan.git

Para hacerla correr lo primero que tendremos que hacer será darle permisos de ejecución, para ello…

$ chmod 775 vbscan.pl

El script en cuestión acepta un único parámetro y es el objetivo que queremos analizar. Una vez que está ejecutando el análisis iremos viendo on-the-fly las diferentes vulnerabilidades que tienen los foros basados en vBulletin y si son explotables o no.

Foro vulnerable a ataques basados en RFI
Foro vulnerable a ataques basados en RFI

Si siguiéramos el vector de ataque de la imagen superior podríamos llegar a ejecutar la ya famosa c99 php shell y tomar el control del servidor de la siguiente forma

Hipotético ataque RFI en un foro público
Hipotético ataque RFI en un foro público

Y con esto llegar a realizar un web defacement, conseguir el fichero de usuarios y contraseñas del servidor o comprometer datos sensibles que pudieran estar alojados en la base de datos.

Otra de las cosas chungas que he visto realizando estas pruebas de concepto son los ficheros de configuración del foro y su nula seguridad. Cuando uno de estos ficheros no han sido previamente securizados mediante htacces o no los excluimos de las fases de indexación de los buscadores con el robots.txt correctamente configurado, podemos ver las credenciales de conexión a la base de datos en texto plano junto a otra información valiosa. Que decir que las credenciales que me he encontrado en estas pruebas son una puta mierda…

Usuario root y password vacío, anonadado me hallo
Usuario root y password vacío, anonadado me hallo

Con todas esta información, un atacante con muy mala leche tardaría cero coma en hacer un ataque iSQL y comprometer la base de datos.

Bien, otra vulnerabilidad con las que me he encontrado es con el módulo uploader.swf de la liberría YUI en versiones 4.2.1. Este módulo basado en ActionScript, muy probablemente en su versión 3, nos permite subir ficheros al servidor y que si no ha sido correctamente configurado abre una brecha de seguridad ante ataques XSS.

Youve been pwned by Gorkamu
Youve been pwned by Gorkamu

Como veis en la imagen superior lo he probado mediante un simple e inofensivo alert pero ya me direís cuanto se tarda en hacer un script que robe las cookies de los usuarios…..nada.

Si seguimos analizando foros nos encontraremos con muchísimas brechas, durante todo este rato lo que mas he visto ha sido vulnerabilidades de Registration Bypass aunque y contra a todo pronóstico, mio, también me he encontrado con vulnerabilidades que mediante ataques LFI podemos sacar datos de los ficheros que ya están en el servidor en un bonito y majestuoso texto plano. Para uno de estos casos lo he probado con un fichero javascript de la configuración global del foro, pero si seguimos echando para atrás en el árbol de directorio podríamos llegar hasta el fichero /etc/passwd del servidor, siempre y cuando estuviera basado en entornos Linux, que todo apunta a ello…

POC de un ataque LFI
POC de un ataque LFI

En fin, no voy a seguir comprobando foros por que me podría salir un artículo de varios miles de palabras y tampoco es plan, el objetivo principal del artículo era enseñaros una herramienta para automatizar la recogida de información de vulnerabilidades en foros basados en vBulletin y cuales son los vectores de ataque mas comunes en dichos foros. Pero lo que creo que ha quedado bastante claro es que no estamos tan protegidos y seguros como nos creemos y que si en un rato que he echado en la tarde he conseguido sacar toda esta información imaginaos lo que se podría hacer si alguien se pone en serio a comprometer estos sistemas… Como recomendación final os diría que mantengáis todo actualizado a la última versión y desconfiad simpre de todo.

Hala, happy hacking! digo… a cascarla!!

Anuncios

5 Herramientas de seguridad informática (o inseguridad en malas manos)

Es veranito, época de salir a la calle y no para jugar a Pokemon GO T_T. Es tiempo de quedar con amigos, irte a una terracita y tomarse unas cervecitas bien fresquitas, ir a la piscina, a unas pozas o a la playa. Pero aquí hay un pequeño detalle que tal vez muchos no se hayan dado cuenta, semos informáticos y bloggers, lo mas cercano a quedar con amigos es hacer un guest posting con otros bloggers y  así alimentar el estereotipo de que somos unos pieles blancas xD

Hoy vengo con un artículo de un autor invitado. Descubrí el blog de https://luisiblogdeinformatica.com haciendo un poco de keyword research para cierta palabra clave que me interesaba. El blog de Luis, muy enfocado a nicho, está de puta madre, tiene un montón de posts útiles con miles de trucos para todos a los que nos gusta la informática aunque si bien es cierto que algunos de sus posts son bastante técnicos siempre vas a encontrar algo interesante.

En esta ocasión Luis viene con un listado de diferentes herramientas de seguridad informática, tema del que de momento no he tenido oportunidad de hablar en el blog así que… ¿qué mejor forma para iniciar una categoría nueva en el blog?

Si alguna vez te has preguntado qué es la informática y cuales son sus aplicaciones, te aseguro que en el blog de Luis saciarás toda tu curiosidad ténica 😉

Así que como dice Pablo: Vamos dale caña, deprisa deprisa!!

Hola!!

Mi nombre es Luis Diéguez y a mi amigo Gorka le gusta la informática así que le traigo esta nueva entrada recién echa para su blog:

Nota: Estas herramientas las suelen usar personas con cierto nivel de informática, si no lo tienes, deberás aprenderlo por que sino seras un script-kiddie osea un novato que no sabe nada y solo utiliza herramientas. Pero vamos a verlas ya que no me gusta hacer esperar:

DroidSheep

Es una aplicación para Android que sirve para robar o suplantar identidades mientras haces pruebas de seguridad informática.

¿Como funciona?

Sniffea la red Wi-Fi en busca de sesiones y de ID´s privados. Así que roba las cookies y podemos suplantar la sesión, por ejemplo de Facebook, y hacernos pasar por la persona a la que le hemos robado esas cookies. Pero si todavía no sabéis que es una cookie…

Una cookie es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.

Sus principales funciones son:

  • Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una galleta para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una galleta no identifica a una persona, sino a una combinación de computadora de la clase de computacion-navegador-usuario.
  • Conseguir información sobre los hábitos de navegación del usuario intentos de spyware (programas espía), por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

¿Como se usa esta herramienta?

Lo primero es descargarla e instalar el apk: http://droidsheep.de/

Lo iniciamos y seleccionamos “ARP spoofing” y “Generic mode”,pulsamos el botón “Start”, esperamos unos segundos y deberían salir los perfiles de sesión activos.

Ahora seleccionamos la sesión que queramos y nos salen unas opciones: “Open Site”, “Remove from List”, “Add host to blacklist”, “Export via eMail” y “Save Cookies”.

  • Open Site: Se puede usar la cuenta de la víctima como él /ella.
  • Remove from List: Elimina la sesión seleccionada de la lista.
  • Add host to blacklist: Evita que la captura de cookies del servidor seleccionado en el futuro.
  • Export via eMail: Le permite enviar los valores de las cookies a través de correo electrónico (Esto ayuda a utilizar la sesión en el ordenador).
  • Save Cookies: Le permite guardar las cookies para un uso posterior.

NetCut o Wifi Killer

Son dos app’s diferentes pero con la misma función. La diferencia fundamental es que NetCut se puede usar en Android con procesadores de arquitectura x86 que usan Intel, como es mi Asus Zenfone y WifiKiller tiene una versión de pago. Otra diferencia es que una se encuentra en el app store: NetCut y por lo contrario WifiKiller hay que descargar el apk desde su página oficial.

Lo que conseguiremos es desconectar a un dispositivo de nuestra red wifi que previamente tendremos acceso, perfecto si nos roban wifi o nos hackean o simplemente como pasatiempo.

¿Como funciona?

Tan sencillo como seleccionar los dispositivos que queremos que no tengan acceso a nuestra red wifi y cortales el aceso.

 

Zanti v.2.0

Cosas que puede hacer con Zanti:

  • Cambiar la dirección MAC del dispositivo.
  • Crear un punto de acceso WiFi malicioso.
  • Secuestrar las sesiones HTTP.
  • Capturar descargas
  • Modificar las peticiones y respuestas HTTP.
  • Explotar los routers.
  • Auditorar contraseñas
  • Comprobar en un dispositivo la vulnerabilidad shellshock y SSL “poodle”.

Todo esto esta muy bien pero hay que pedir la demo en la web oficial: zANTI (Pss…Lo puedes descargar también aquí sin pedir nada)

ProxyDroid

ProxyDroid es una aplicación que te permite configurar un proxy en los dispositivos Android. Es una aplicación fácil de usar que puede utilizar diferentes tipos de servidores proxy. Personalmente, me gusta esta aplicación mucho, debido a su facilidad de uso y gran poder.

Algunas de las cosas que puede hacer con la ayuda de ProxyDroid son:

  • Ocultar la dirección IP real.
  • Saltar la censura y filtrado.
  • Evitar que los programas de seguimiento web de espionaje de las actividades en línea.

Y está en el Play Store de forma gratuita!

 

Bueno chavales, esta ha sido una pequeña aproximación a diversas herramientas que utilizan los expertos en seguridad informática. Te recomiendo que le eches un vistazo y las pruebas y mas que acaban de estrenar la segunda temporada de Mr Robot y estamos todos con el hype in the body

Si te ha molado date una vuelta por el blog de Luis (enlace arriba del todo) que por lo menos tendrás horas de lectura interesante 😉

Hala a mamarla!!

Hackear un ordenador con la radio del móvil

Hola hamijos, como más de uno sabrá me dedico profesionalmente a la informática. No soy experto en redes ni en sistemas, en realidad trabajo en desarrollo y para afinar más, la especialidad que más me gusta es el desarrollo de aplicaciones web, pero eso no quita para que me dejen de gustar otras áreas como la seguridad o más bien la contraseguridad. Desde siempre he tenido una relación amor-odio con el hacking y he coqueteado con algunas técnicas a lo largo de los años.

Creo que mi pasión por la informática y mis encuentros con el hacking vienen de cuando era un crio. Recuerdo que cuando tenía unos 9 años vi la película de ‘Hackers, piratas informáticos‘, esa película totalmente surrealista protagonizada por Angelina Jolie y Jonny Lee Miller que interpretaban a unos adolescentes que eran unos fieras pirateando sistemas en los 90 y tenían que luchar contra el dueño de una megacorporación.

Ayy que mofleticos me tenía la Jolie...!!
Ayy que mofleticos me tenía la Jolie…!!

Vale que los guionistas de la película se lo fliparon demasiado con los detalles técnicos y todos los que hayamos visto la película nos reiremos de las interfaces de los ordenadores tan de los 90 pero no podemos negar que la película generaba un sentimiento de libertad y una sensación de que si eras informático no había dios que te parara los pies. Una de los razones que ayudaba a generar esta sensación era la banda sonora, que entre otros, Prodigy tenía un hueco con su temazo ‘Voodoo People‘, pero vaya, que al terminar de ver la película te quedabas como… Wow, esto mola un huevo.

Pues bien, de vez en cuando reviso mis RSS sobre seguridad y a veces encuentro noticias que son la leche y nunca dejan de asombrarme como por ejemplo aquella aplicación que presentaron en la conferencia Hack In The Box Conference y que aseguraban que se podía romper los sistemas y controlar un avión comercial desde un smartphone o aquella otra noticia que aseguraba que se podía hackear un marcapasos (implicaciones éticas aparte). Pues hoy, he leido una noticia sobre cómo hackear un ordenador con la radio del móvil, si si, como lo oyes, desde la radio… xD

Cómo creo que es lógico, todos sabemos que para hackear un ordenador es necesario que se tenga acceso al mismo, ya sea físico o a través de la red. Un ordenador que este desconectado de internet y aislado en un bunker hermético es imposible de vulnerar o eso nos parecía hasta ahora, porque se ha presentado una aplicación que es capaz de captar las ondas de radio que emiten los monitores y que nuestro móvil y desde la radio podremos leer.

Al final del pasillo hay un ordenador en el que sólo se puede jugar el Minecraft
Al final del pasillo hay un ordenador en el que sólo se puede jugar el Minecraft

La aplicación hace uso de una técnica de la que ya se hablaba por los años 60 y tiene por nombre TEMPEST (Transient ElectroMagnetic Pulse Emanation STandard) y que permite trucar las ondas electromagnéticas de un monitor haciendo que éste actúe como una antena.

Para poder obtener información de las emisiones electromagnéticas de la pantalla es necesario que previamente el ordenador tenga un malware instalado que traduzca en información útil las ondas de radio que detecta el receptor FM del smartphone, que también tendrá instalado el mismo malware. La clave de todo este asunto es utilizar la tarjeta de vídeo del ordenador para generar una señal de radio que luego se pueda captar.

La mayor brecha de seguridad se encuentra entre la pantalla y la silla

Según he leído, la técnica sería prácticamente inviable ya que hay que tener el receptor a una distancia de 7 metros como mucho del emisor porque la cantidad de aparatos electrónicos que hay a nuestro al rededor emitirían corrientes parasitarias que distorsionarían la señal a capturar. Se habla de que en los laboratorios han conseguido capturar una contraseña en 8 segundos y esto da mucho que pensar sobre si es la mejor técnica a llevar a cabo en un ataque pero por otro lado, el The New York Times ya informó de la existencia de un transceptor utilizado por la NSA que permitía acceder a ordenadores no conectados a internet a través de ondas de radio, así que no se yo…

Esto de momento se queda en una curiosidad sobre como gracias a la investigación somos capaces darle una vuelta de tuerca a tecnologías que parecían inamovibles y así poder aprovechar nuevas funcionalidades.

Ah y por si alguno quiere seguir investigando acerca de todo esto, la aplicación en cuestión se llama AirHopper y para más inri, esta circulando por internet un vídeo en el que dicen que si lo reproduces a pantalla completa y a 1080p puedes oír el tema Para Elisa de Beethoven desde la radio AM de tu smatphone, no se yo… yo no lo he probado… así que si lo probáis me gustaría saber vuestra opinión a través de la sección de comentarios.

http://smartywidget-1736116251.eu-west-1.elb.amazonaws.com/webservice/embed/9170/659794/510/280/0/0/0

¡Hasta que volvamos a vernos!