XSS y SQL insectos de la inyección fija con WordPress 4.7.2 Actualización

Los desarrolladores que trabajan con WordPress ha fijado tres principales problemas de seguridad la semana pasada. Estos incluyen una vulnerabilidad de inyección SQL y un script de páginas web, con la última versión de los CMS más populares.

Esta última actualización, 4.7.2, fue empujado el pasado jueves, apenas dos semanas después de que los desarrolladores de lanzar una versión anterior.

Uno de los contribuidores fundamentales, Aaron Campbell hizo el anuncio acerca de la actualización - una versión de seguridad - en el  blog de WordPress ' .

Uno de los principales problemas, la inyección de SQL, ha afectado WP_Query de WordPress, una clase que se utiliza para acceder a las variables, cheques y funciona entonces codificados en WordPress núcleo. Un desarrollador web en el Automattic empresa matriz de WordPress '- llamado Mohammad Jangda ha descubierto que la clase es vulnerable al pasar insegura ningún dato. Si bien este problema no afectó el núcleo de WordPress, Él worte que WordPress añadido endurecimiento sólo para evitar que estos plugins y temas luego de causar nuevas vulnerabilidades en el futuro.

Otro gran problema con el cross-site scripting insecto, existía en la tabla de lista de mensajes, una clase principal que se utiliza por WordPress para poner en práctica los mensajes que muestran en una tabla de la lista. Muy poco se sabe acerca de la vulnerabilidad externa del hecho de que Ian Dunn, un miembro del equipo de seguridad de WordPress ', informó.

La vulnerabilidad restante estaba en la Prensa Esta función, que permite a los usuarios publicar entradas de blog con un bookmarklet navegador web. De acuerdo con David Herrera, un desarrollador de software interactivo en el callejón que encontró el insecto, la interfaz de usuario para la asignación de términos de la taxonomía en la función fue mostrado a los usuarios que no tienen permiso para poder verla.

Es la segunda vez este año que WordPress ha recibido una actualización. A principios de este mes de WordPress se dirigió a ocho problemas de seguridad en el sistema de gestión de contenidos, incluyendo un puñado de XSS y CSRF insectos, con la versión 4.7.1.

Tener en cuenta Este técnica de phishing que consiste en archivos PDF

Investigadores de seguridad han descubierto que los hackers están utilizando una nueva técnica en lugar de phishing que implica el uso de archivos adjuntos PDF para robar sus credenciales de correo electrónico.

En una reciente Microsoft el blog , chicos de equipo de prevención de malware señalaron que la actividad de phishing antes mencionado que normalmente se produce durante la temporada de vacaciones no ha ir por este invierno. Sin embargo, esta vez con la nueva campaña de spam todas ellas con archivos PDF, hay un poco menos de un código de explotación o malware.

En lugar de utilizar técnicas más "tradicionales", los hackers ahora están confiando en la ingeniería social para llevar a las víctimas a sus páginas de phishing donde serán atacados por ellos y pedir la divulgación de la información sensible. No se sabe cuántas personas normales son víctimas de estos ataques, pero Microsoft quiere que todos cautelosa de cómo podrían verse afectados.

¿En qué medida, hay muchos ejemplos de cómo usted puede ser víctima de una estafa de phishing sin tener idea de qué se está encendiendo.

Un método identificado por el Microsoft es cuando estos archivos PDF adjuntos, se han enviado que se hacen para parecer como si vienen de buena y legítima empresa. En ese caso, el PDF es una cita para un producto o un servicio, por ejemplo. Por lo tanto, se debe prestar una atención especial al recibir este tipo de mensajes, porque incluso si se ven reales, podrían ser falseadas, así que compruebe la dirección que vienen. Cuando se abre, el correo muestra un mensaje que necesitará para abrir con Excel, pero en su lugar se envía a una nueva página en la que tendrá que introducir sus credenciales para obtener acceso a ella.

Por supuesto, todo esto es un engaño, y lo demuestra por qué es importante tener las últimas versiones de navegadores instalados. Firefox y Chrome, por ejemplo, han comenzado a vigilar por tanto conexiones no seguras donde se requiere su información.

iptodomain: Extrae dominios de IPs publicas mediante Virustotal

Les quiero presentar una herramienta llamada iptodomain, la cual puede ser utilizada en la fase de reconocimiento de un penetration testing, este script escrito en python permite automatizar la extracción de dominios, utilizando la información histórica, recolectada y archivada en Virustotal.
iptodomain es útil, cuando quieres conocer que dominios hay detrás de una IP pública.

iptodomain interactúa directamente con la API de Virustotal, a través de HTTP POST request con respuestas JSON para extraer los dominios que hay detrás de una IP pública. Al registrarte en Virustotal, este te provee una API key publica (free) con la cual puedes realizar un máximo de 4 peticiones por minuto, eso quiere decir que podrás escanear un máximo de 4 IPs por minuto. Si se quiere tener una mayor tasa de solicitudes por minuto se debe consultar por la API privada de Virustotal.

La herramienta viene pre configurada con una API key, pero recomiendo que se registren en Virus total y obtengan su propia API key publica, con el fin de evitar errores ya que, si dos personas utilizan la misma API key al mismo tiempo, se tendrán errores, debido a que superara la tasa permitida por Virus Total.

iptodomain fue testeada en Kali Linux 2.0, en esta distribución no necesitas instalar ningún modulo adicional y funciona perfectamente.

Lo primero es descarga el script de mi repositorio en Github:

git clone https://github.com/jevalenciap/iptodomain.git

Seguidamente con el parámetro -h podemos ver el help:

En el siguiente ejemplo vemos como con el parámetro -i le especificamos la IP inicial del rango que deseamos escanear y con -f especificamos la IP final del rango, el parámetro -w nos permitirá guardar en un archivo todos los dominios encontrados con su respectiva IP, el parámetro -r creara un segundo archivo con los dominios encontrados eliminando dominios duplicados y finalmente -v nos mostrara en tiempo de ejecución los dominios que va encontrando.

Al finalizar podemos ver como sobre la misma carpeta quedan los almacenados los dos reportes.

Esto es todo... espero este script les sea útil.

Saludos desde Colombia,

Exfiltración de datos por DNS con Dnsteal

Dnsteal es una herramienta de exfiltración de datos de DNS, esencialmente un servidor DNS falso que permite extraer de forma furtiva archivos de la máquina de una víctima a través de peticiones DNS.

Está programado en Python y está disponible en Github:

https://github.com/m57/dnsteal

Sus características principales son:

 - Soporte para varios archivos
 - Compresión Gzip soportada
 - Soporta la personalización de subdominios
 - Permite personalizar bytes por subdominio y la longitud del nombre de archivo

Uso:

# cd dnsteal/
# ./dnsteal.py -h
 
      ___  _  _ ___ _            _ 
     |   \| \| / __| |_ ___ __ _| |
     | |) | .` \__ \  _/ -_) _` | |
     |___/|_|\_|___/\__\___\__,_|_|v2.0
 
-- https://github.com/m57/dnsteal.git --
 
Stealthy file extraction via DNS requests
 
Usage: python ./dnsteal.py [listen_address] [options]
 
Options:
        -z      Unzip incoming files.
        -v      Verbose output.
        -h      This help menu
 
Advanced:
        -b      Bytes to send per subdomain                 (default = 57, max=63)
        -s      Number of data subdomains per request       (default =  4, ie. $data.$data.$data.$data.$filename)
        -f      Length reserved for filename per request    (default = 17)
 
$ python ./dnsteal.py -z 127.0.0.1
 
-------- Do not change the parameters unless you understand! --------
 
The query length cannot exceed 253 bytes. This is including the filename.
The subdomains lengths cannot exceed 63 bytes.
 
Advanced: 
        ./dnsteal.py 127.0.0.1 -z -s 4 -b 57 -f 17      4 subdomains, 57 bytes => (57 * 4 = 232 bytes) + (4 * '.' = 236). Filename => 17 byte(s)
        ./dnsteal.py 127.0.0.1 -z -s 4 -b 55 -f 29      4 subdomains, 55 bytes => (55 * 4 = 220 bytes) + (4 * '.' = 224). Filename => 29 byte(s)
        ./dnsteal.py 127.0.0.1 -z -s 4 -b 63 -f  1      4 subdomains, 63 bytes => (62 * 4 = 248 bytes) + (4 * '.' = 252). Filename =>  1 byte(s)
 
 
# 

Descarga: dnsteal.py

Herramientas para evadir el antivirus sin necesidad de ser un mago

Hoy leía una entrada de Jordan Potti en el que hacía mención a algunas de las herramientas más conocidas para conseguir que nuestros payloads evadan la detección de los antivirus, concretamente Hyperion, Veil-Evasion y Shellter. Cada una de ellas fueron tratadas también en mayor o menor medida en nuestro blog, así no quería dejar pasar la oportunidad de recogerlas en esta entrada junto con otras que hemos ido viendo a lo largo de los años y que, todavía, siguen siendo efectivas contra la mayoría de los motores AV. 
Al fin y al cabo estas herramientas y técnicas consiguen precisamente eso, que se pueda saltar el antivirus sin ser un auténtico "mago" del malware...

WinPayloads: de NCCGroup es una herramienta de generación de payloads escrita en Python 2.7 que utiliza el shellcode de meterpreter, inyecta la IP y el puerto del usuario en el shellcode y escribe un archivo de Python que ejecuta dicho shellcode usando ctypes. Posteriormente es cifrado con AES y compilado a un ejecutable de Windows usando PyInstaller.
  

Más en: http://www.hackplayers.com/2016/09/winpayloads-generacion-de-payloads-indetectables.html

Shellter: es una herramienta de inyección dinámica de shellcodes o PE infector. Por lo tanto puede usarse para inyectar shellcodes, tanto propios como los generados con Metasploit, en las aplicaciones nativas de Windows (repetimos: de momento sólo aplicaciones de 32 bits).

Shellter aprovecha la estructura original del archivo PE y no aplica modificaciones fácilmente detectables por los AV, tales como cambiar el permiso de acceso a la memoria en las secciones (a menos que el usuario lo especifique) o la adición de una sección con acceso de RWE. Tampoco es el típico infector que trata de encontrar un lugar para insertar instrucciones para redirigir la ejecución del payload. A diferencia de muchos, el motor de infección avanzado de Shellter nunca transfiere el flujo de ejecución a un code cave o añade una sección en el archivo PE infectado. Entonces, ¿cuál es la magia de Shellter?

Shellter utiliza un enfoque dinámico único que se basa en el flujo de ejecución de la aplicación objetivo. Esto significa que no se utilizan ubicaciones predefinidas o estáticas para la inyección de código shell. Shellter ejecutará y trazará el objetivo, mientras que al mismo tiempo registrará el flujo de ejecución de la aplicación en espacio de usuario. Esto incluye el código dentro de la aplicación en sí misma (imagen PE), y el código fuera de ella que podría ser en un archivo DLL del sistema o sobre un heap, etc ... Esto se hace para asegurar que las funciones realmente pertenecen al ejecutable, pero se usan solamente como funciones de callback para que el API de Windows no las pierda.

Durante el trace, Shellter no registrará o tendrá en cuenta cualquier instrucción que no esté en el rango de memoria de la imagen PE de la aplicación de destino, ya que estos no pueden ser utilizado como una referencia para inyectar de forma permanente el shellcode.

Más en: http://www.hackplayers.com/2016/09/shellter-inyeccion-de-shellcodes-en-ejecutables.html 

TheFatRat: son un par de scripts en bash para facilitar la generación de backdoors con msfvenom (parte de Metasploit Framework). Básicamente muestra un menú para armar los backdoors, crear listeners, lanzar la msfconsole o buscar exploits en exploit-db con searchsploit. 

Especialmente interesante es la segunda opción que llama al segundo script powerfull.sh que crea y compila un programa en C con un payload reverse_tcp de meterpreter *casi* indetectable o FuD:

Más en: http://www.hackplayers.com/2016/08/thefatrat-genera-facil-backdoors-con-msfvenom.html

SideStep: es un script en python que podemos usar para que nuestros payloads de Metasploit no sean detectados por los antivirus. Las técnicas fundamentales que utiliza son:

- Cifra el shellcode de Meterpreter generado con msfvenom mediante AES de 128 bits (utilizando la biblioteca de C++ CryptoPP) con una clave generada aleatoriamente. El payload se descifra justo antes de la ejecución.
- Cambia aleatoriamente todos los nombres de variables y funciones. El tamaño de los nombres y las funciones se puede configurar.
- Crea una función que comprueba la hora local del host, luego hace un bucle durante una suma configurable de segundos al principio del programa para evadir sandboxes de AV. También se añade como parámetro un generador DH que suma tiempo extra al inicio.
- Mete el ejecutable con un número configurable de variables que tienen valores aleatorios de tamaño configurable. Estas variables están antes de la llamada a la función main().
- Si Cygwin está presente, utiliza strip para eliminar símbolos de depuración y otra información útil para el reversing.
- Si se usa peCloak, se codificarán las instrucciones de ensamblado en el último paso.

Más en: http://www.hackplayers.com/2015/07/evita-que-el-av-detecte-tu-payload-con-sidestep.html

Unicorn: un script en Python escrito precisamente por David Kennedy (Trustedsec) y que se basa en una técnica que presentó junto con Josh Kelley en la Defcon 18: un downgrade en Powershell para inyectar un shellcode en memoria.

En la última release 2.0 de la herramienta se incluyen distintos tipos de ataque (macro, html/hta, crt, ps1)  

Más en: http://www.hackplayers.com/2015/07/unicorn-powershell-para-evadir-antivirus.html

Veil: es una herramienta escrita en Python por Christopher Truncer para crear payloads de Metasploit capaces de evadir la mayoría de los antivirus. Utiliza 7 métodos distintos para generar hasta 21 payloads diferentes y permite al usuario usar Pyinstaller o Py2Exe para convertir los payloads de Python a ejecutables.

Con PyInstaller, tendremos el archivo convertido en un ejecutable directamente en Kali sin necesidad del uso de una segunda máquina virtual.
Si por el contrario usamos py2exe, se generarán tres archivos necesarios para crear el ejecutable final: un payload (en Python), un archivo con las instrucciones de tiempo de ejecución para py2exe y un archivo por lotes .bat para convertir el archivo del payload en un archivo ejecutable. Todas las bibliotecas requeridas quedarán almacenadas en el archivo exe para que el callback de la sesión de meterpreter se ejecute en cualquier sistema.

Más en: http://www.hackplayers.com/2013/05/veil-un-generador-de-payloads-bypass-av.html

Hyperion: Este crypter desarrollado por NullSecurity actua como un packer pero, en lugar de ofuscar el payload (scrambling) y encapsularlo con las instrucciones necesarias para desofuscarlo, Hyperion cifra el payload y lo encapsula con una clave AES débil la cual simplemente se rompe por fuerza bruta en tiempo de ejecución. 

Más en: http://www.hackplayers.com/2012/11/metasploit-hyperion-pe-crypter-av-bypass.html

SET (Social Engineering Toolkit): tiene una interesante característica que nos permitirá obtener fácilmente un shell remoto evadiendo completamente el antivirus mediante un ataque con Windows PowerShell.

La ventaja de Powershell es que podemos añadir clases personalizadas al framework .NET. Mediante el cmdlet 'Add-Type' podemos compilar código CSharp al vuelo y por lo tanto importar funciones desde cualquier DLL. ¿Y para qué?, pues como el framework .NET no permite referenciar directamente la memoria, podemos importar funciones que si lo hagan, copiar un shellcode y ejecutarlo.
 

Más en: http://www.hackplayers.com/2012/11/evasion-de-antivirus-con-set-y-powershell.html

osslsigncode (OpenSSL-based signcode utility project): es una herramienta multiplataforma basada en OpenSSL y libcurl capaz de firmar ficheros EXE/CAB. No es una herramienta destinada a bypassear el AV, pero la simple firma digital de un fichero ejecutable malicioso puede provocar su indetección.

¿Cómo? Pues las políticas de algunos motores de antivirus pueden excluir el análisis de un fichero simplemente por estar firmado para mejorar el rendimiento... si bien es más probable que, al añadir código al fichero durante este proceso, se vean afectadas las (frágiles) detecciones mediante firmas.

Más en: http://www.hackplayers.com/2012/11/evasion-de-antivirus-con-ejecutables-firmados.html
 

Metasploit + metasm: mediante ambas herramientas se puede modificar un binario malicioso reescribiendo el código ensamblador del payload del exploit generado con Metasploit.

El resultado es un fichero FUD (completamente indetectable), o al menos con un ratio bajo de detección, por medio del cual un atacante podría obtener una sesión en la máquina de la víctima de forma silenciosa.

Más en: http://www.hackplayers.com/2012/11/metasploit-metasm-ghost-writing-asm.html

Si conoces más herramientas o técnicas no lo dudes y ¡comenta! 

 

 

Ataques Man in the middle utilizando CAÍN

 

 

En esta práctica vamos a simular un ataque MitM (Man in the middle), es un ataque en el que se adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.

Utilizaremos la herramienta Caín (de Caín y Abel) una herramienta de recuperación de contraseñas para Windows. Es capaz de recuperarla de diferentes maneras, utilizando el sniffing, crackeando hashes de contraseñas o con ataques de fuerza bruta, como diccionarios.

El organigrama de esta práctica va a contar con tres máquinas:

-Windows server 2012 R2 - 10.0.0.100/8 - FTP + Telnet

-Linux Ubuntu 14.04 - 10.0.0.20/8 - Cliente

-Windows 7 Ultimate - 10.0.0.30/8 - Malote

Comprobamos que todas las máquinas tengan conexión entre sí

Windows 7 

Una vez que está todo conectado, procedemos a instalar Caín en nuestra máquina de Windows 7, que será la que se meterá entre las otras dos máquinas a sacar datos personales ;)

Seguimos las siguientes capturas para instalar el programa (todo por defecto)

Instalamos el Wincap para poder usar Caín en modo gráfico

Una vez instalado todo, iniciamos la aplicación

Antes de nada, ¡vamos a configure y en la pestaña sniffer activamos la casilla Start sniffer on startup si no está ya activada. 



Una vez hecho, vamos al apartado de network, y abrimos el dominio RAUL, en la que se puede apreciar los dos hosts que tenemos (Windows2012 y Windows7)

Y en el apartado sniffer también nos salen

Windows 2012

La primera prueba, sencilla, vamos a poner un Wireshark rastreando las redes en nuestro Windows 7. 
En nuestro Windows 2012 crearemos un servidor FTP con Filezilla Server 



y le añadiremos un usuario con el que identificarnos cuando iniciemos sesión desde otra máquina

Pondremos el Wireshark a rastrear, filtrando los paquetes en FTP

E iniciamos sesión desde el cmd

Vemos como nos captura los paquetes del FTP, los cuales están sin cifrar y nos muestra en texto plano el usuario y contraseña que hemos utilizado



Windows 7

Con esta pequeña demostración anterior, capturando el tráfico desde la misma máquina, vamos a hacer una práctica un poco más compleja.
Capturamos el tráfico desde una máquina externa a los dos host que están conectándose (servidor-cliente). Un verdadero ataque Man-in-the-middle ;)

Volvemos a Caín y en la pestaña sniffer le damos al "+"

Nos saldrá un menú en el que estableceremos el rango de las máquinas a rastrear, en nuestro caso, como es una 10.0.0.100 y una 10.0.0.30 le ponemos el siguiente

Y nos salen los dos hosts que queremos rastrear

Ahora vamos a la pestaña ARP y le volvemos a dar a "+"

Y seleccionamos los dos hosts que vamos a usar



Nos saldrá como Iddle

Le damos al círculo amarillo y se nos cambiará a Poisoning, ya está rastreando esos dos hosts y los movimientos en red que haga (lo referido a ARP)

Iniciamos sesión desde la máquina Ubuntu(10.0.0.30) al servidor FTP

Volvemos a Caín, vamos a la pestaña passwords y nos saldrá un (1) en el apartado de FTP, pinchamos en él, y nos saldrán todos los datos  usuario y contraseña

Para no dejar la práctica muy sosa, vamos a probar también con un servidor Telnet, el cual no viene preinstalado y hay que instalarlo en la máquina de Windows Server 2012 (Vamos a Agregar roles y características)

Abrimos los servicios (ejecutar services.msc) y comprobamos que el servicio Telnet está ejecutándose (si no lo está, lo iniciamos)

Vamos al Windows 7, e iniciamos sesión en telnet desde el CMD







Vamos a Caín y vemos que nos sale otro (1) en el apartado Telnet,

 

Le damos botón derecho al registro, y a View

Y nos salen los datos del registro (Usuario y contraseña)



Y ya hemos acabado con nuestras pruebas con Caín ;)

ETTERCAP

Kali Linux

La última prueba la vamos a realizar con Kali Linux, con un programa llamado Ettercap, el cual es un programa muy completo de sniffing

Le ponemos una dirección IP dentro del rango de los otros hosts

Y probamos la conexión con los otros hosts

Abrimos el programa, y le damos a Sniff y a Unified sniffing... , en la cual le indicaremos que rastree a partir de nuestro adaptador de red eth0

Una vez seleccionado, vamos a incluir los hosts

En mi caso, como tengo direcciones de tipo A, tiene que analizar muchos hosts y tardaría mucho rato. Para amenizarlo, lo que he hecho ha sido meter los hosts manualmente en la pestaña de Targets



Una vez puestos, volvemos a la pestaña Hosts y le damos a Hosts list para comprobar que tenemos los dos registrados




Con los targets puestos, vamos a la pestaña Mitm y le damos a ARP posinoning... y marcamos la casilla de Sniff remote connections

Una vez todo configurado, vamos a la máquina de Windows 7, que es la que va a hacer de cliente. Aprovecharemos los servidores FTP y Telnet utilizados para las pruebas anteriores

E iniciamos sesión en FTP

También iniciamos sesión con Telnet

Vamos a Ettercap, y vemos que ha capturado los dos login utilizados, tanto como FTP como para Telnet



Y eso es todo, vemos como fácilmente se puede obtener usuarios y sus respectivas claves sin que el usuario se de cuenta.

Es recomendable que añadas siempre seguridad a tus servidores, y que seas consciente de los sitios en los que te registras, puede que no sean tan seguros como te crees. ;)