miércoles, 27 de marzo de 2013

Se cierra el ciclo !!

Hola amigos !!! como estáis?!!!!

Llevo varios días sin escribir !!! llevo varias semanas con un ritmo lento de publicaciones !!!!

Quería comentaros, lectores,amigos !!! que he causado baja en la empresa en la que estaba desarrollando mi actividad desde hace 10 años.
Todo el 2013 ha sido muy duro, porque empezó en navidad con la muerte repentina del dueño de la empresa, del Hospital, del mejor Hospital privado de Murcia, Hospital Mesa del Castillo. Desde ese momento, la nueva dirección tomó un rumbo el cual no comparto, y han/hemos decidido que sea el parado numero 6.123.123 ... o el número que me toque.

Espero poder seguir estudiando, preparándome para la III World War, o para crearla !!! ajajajaaj. y seguir con vosotros mediante este humilde blog.

Si alguien necesita, se "hacer paginas wee" xD. Soy de Murcia, Spain.

Seguimos en línea amigos !!!.

lunes, 18 de marzo de 2013

Encuesta anónima sobre INSEGUROS

Estimados lectores.
Seguro que todos estaís cansados de las políticas de calidad en vuestras empresas, en las que se informa y valora cada proceso que llevamos a cabo.
Pués INSEGUROS no iba a ser menos.
Me preocupa lo que pensais del blog, los fallos que veis, y estoy interesado en mejorar en todo lo que me sea posible, por lo que os pido ayuda.
Rellenar esta encuesta, alojada en Google Drive, totalmente anónima, en no más de 1 minuto.
Para mi sería un FeedBack increible, que prometo tener en cuenta para mejorar.
Son 6 preguntas para valorar ciertos aspectos, del 1 al 10.
Gracias de antemano por vuestras respuestas.
Al ser anónima, os sugiero que seais lo más críticos posibles con los respuestas, ya que no me creo que todo sea guay del Paraguay.
Muchas gracias como siempre, y recordar que trabajo para vosotros !!!
La encuesta: https://docs.google.com/forms/d/1RdD8Yh8H7WmYVKxCLZeGvqYxjsfEGHG-13M4DR4fgGI/viewform

viernes, 15 de marzo de 2013

Nessus Hardening. En casa de herrero...


Nessus, software para el análisis de vulnerabilidades más que conocidos por todos. Por muchos odiado. ¿Por qué?. Yo tengo mis razones, ciertas o no:
Nessus empezó en el mundo de la seguridad informática con una licencia abierta, convirtiéndose con el paso del tiempo en un producto de pago. Nessus es de pago señores !!! La licencia de uso que nos otorgan con la descarga de la versión Free es para uso domestico. Señores, seguro que en casa tenemos servidores AIX, Oracle y demás, para nuestra aplicación de colección de cd´s? supongo que no, por lo que creo que Nessus si bien es de pago, permite usar todos sus plugins en "nuestras redes", un guiño a su pasado de software libre?.


Nessus es un muy buen sistema de análisis de vulnerabilidades en cuanto a variedad de plugins, frecuencia de actualización de los mismos, facilidad para el seguimiento de resultados, gran comunidad de usuarios. Quizás la velocidad no sea su punto fuerte, al menos en sistemas Windows, pero imagino que será por cuestiones mías de desconocimiento.
El problema de Nessus, de cara a la comunidad, es que es una herramienta sencilla de usar, de poner en marcha y de obtener sencillamente resultados, y encima gráficos !!!Desde cuando que una herramienta te haga la vida más sencilla es un problema? ( Idem para muchos sistemas Windows) Pues que es usada de manera incorrecta por los denominados Lammers, Newbies, Script Kiddies y demás.
Nessus no es la Mega Tool para la seguridad, es simplemente una muy buena. Entregar un report de Nessus a un cliente, no es una auditoría de seguridad. Pero usar Nessus para una auditoría de seguridad, es una decisión de lo más inteligente. Otra cosa es que haya que detectar falsos positivos, así como descubrir otros. Que debas configurarlo para hacer el menos "ruido" posible en los sistemas víctima... Pero todo esto es como en todo, con Nmap pasa lo mismo, y no recibe las mismas críticas...

Dicho esto, talibanes del software os libre, recordar que os quiero :-)
 Si tenemos una instalación de Nessus en nuestra casa, o vamos a decirlo, en nuestra empresa con 20 puestos para jugar un poco, debemos saber que estamos exponiendo un activo muy importante en nuestra red, los informes de nuestros scans internos !!! en el mejor de los casos, no vayas a usar Nessus contra víctimas y lo guardes todo...
Sería interesante realizar un mínimo proceso de hardening, aunque sea cambio de puertos.
Vamos a ello. Los servicios de Nessus usaban en versiones antiguas un protocolo propio llamado NTP corriendo en el puerto 1241. En la actual versión de Nessus no se usa este protocolo, por lo qué no tiene mucho sentido dejarlo abierto, como se hace por defecto en las instalaciones. Para modificarlo solo tenemos que entrar enconfiguración, avanzado... y habilitar un YES. Es curioso que no esté por defecto YES o ENABLED, nos dice Disable NTP...


Lo mismos pasa para el puerto del servicio web, que se modifica en XMLrpc corriendo en el puerto 8834.
Podemos hacerlo en linux directamente con /opt/nessus/sbin/nessus-fix --set xmlrpc_listen_port=443
Para estos cambios es necesario reiniciar el servicio nessusd.
Aparte de nuestra constante preocupación por esconder nuestros activos, o al menos disimular, tenemos que entender que hay módulos de brute force contra nuestros Nessus en otra plataforma para "el mal" como es Metasploit.
Vamos a probarlo.
Las opciones están en la imagen, muy sencillas. Lo único que informo es del usuario que quiero probar para auto-hackearme, y como por defecto está habilitado que pruebe user=pass, pues sencillo. Si queremos meter nuestra lista de usuarios y claves...


No he encontrado forma de configurar una política de bloqueo de contraseñas para evitar la fuerza bruta contra Nessus.
Fijaros el favor que le podemos hacer a un atacante enseñándole nuestro Nessus, y dejándole probarse contra nuestra clave.


Cambiando la configuración del NTP...
Una cosa que me parece curiosa es que Nmap no detecte la firma del servidor web haciéndole un -sV.

He mandado la firma...

Gracias por leerme !!!

Actualiza Metasploit en BT5 r3...Marzo


Si has intentado actualizar tu instalación de Metasploit en Backtrack a partir de mediados de mes, habrás recibido un mensaje simpático diciéndote que dicen bye bye a SVN y se pasan al archipresente Github.

Para ahorrarte la búsqueda en google xD comentarte que para desinstalar completamente debes hacer un apt-get remove framework2, y borrar las trazas que te hayan quedado en /opt/metasploit/.
Es curioso pero debes reiniciar el sistema para poder re-instalarlo.
La instalación es de lo más sencilla, te bajas el fichero .run de la web de metasploit le das permisos de ejecución y lanzas el script.

Sencillo, fácil, pero la tontería de tener que reiniciar te puede costar un rato, como a mi xD ( eterno newbie).
Gracias por leerme en este mini-fast-post xD.

miércoles, 13 de marzo de 2013

Looking for Oracle´s Account. NSE script´s

Ya hemos hablado varias veces en este blog sobre los NSE scripts para NMAP.
Hoy vamos a jugar contra un gigante de la informática, el "señor Oracle".
No vamos a encontrar en el espacio internauta muchos servidores Oracles accesibles, ya que requiere cierta complejidad su instalación y mantenimiento, y por pocos skills que tengas en esta materia, tendrás los suficientes como para montar las cosas bien, y realizar un mínimo de anti-fingerprinting, anti brute-forcing, camdio de puertos, cuentas, etc...pero siempre hay de todo.
Para localizar servidores Oracle un buen punto de partida sería buscar servidores con el puerto 1521. Prueba a buscar en Shodan si te aparece alguno...
En redes locales, generalmente consejerias, ministerios, educación si es mucho más fácil encontrar servidores Oracle.

Vamos a usar un script denominado oracle-sid-brute.
nmap --script oracle-sid-brute ip  sería lo básico, pero hay que tener en cuenta que el script va a buscar, mediante el TNS-listener, SID (identificadores de base de datos) contenidos en la lista ubicada en /nselib/data/oracle-sids. Es recomendable pegarle un vistazo, e incluso meter algunos "clásicos" como puedan ser: producción, produc, erp, core, la imaginación al poder.
Si quieres pasarle un lista de posibles sid, para "bruteforcear" con un poco más de sentido, deberíamos pasarle como argumento al script: --script-args=oraclesids=ruta al fichero de sids...

Tiene pinta de ser un servidor con la instancia XE, un express !!!.
Bueno, seguimos indagando un poco con estas máquinas del demonio :-).
Esta vez usamos el script oracle-brute.
nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=XE ip
La lista de usuarios/claves por defecto de oracle la tenemos en la misma dirección que la lista de SID anterior, salvo que el fichero se llama oracle-default-accounts.lst.


Si lo que queremos es pasarle una lista de usuarios específica, podemos usar el script oracle-enum-user indicando en --script-args oracle-enum-users.sid=el sid ,userdb=el fichero de usuarios.

Bueno, parece que tiene las cuentas por defecto bloqueadas.
Vamos a ver si es vulnerable a 2012-3137 ya que tenemos un exploit muy simpático y sencillo de usar, o simplemente queremos sacar ciertos hashes...
nmap --script oracle-brute-stealth -p 1521 --script-args oracle-brute-stealth.sid=sid ip.


Laraaaaaaaaaaaalaaaalaaaaaaaa ya tenemos información de hashes, solo con haber intentado la conexión... estos chicos de Oracle...Aunque se que habéis estudiado el CVE de arriba, os dejo un poco mas información sobre este protocolo de autenticación tan chulo.

Si queréis profundizar un poco más en las vulnerabilidades de Oracle, os recomiendo el blog del señor Joxean Koret que tiene una cantidad importante, y de calidad, de artículos e investigaciones al respecto.
También debéis empaparos del Real Pentesting con Oracle.
Me voy que he visto a la policía en la puerta de mi casa y de repente quiero ir a comprar el pan...por la puerta de atrás... corriendooooooooo. xD
Como siempre, gracias por leerme, espero que os guste esta pequeña reseña sobre la identificación de máquinas Oracle.

lunes, 11 de marzo de 2013

Looking for SCADA Siemens...NSE

Te suena la protección de infraestructuras críticas y los sistema SCADA.?

La seguridad informática es algo que como todos sabemos no esta suficientemente desarrollada en relación a la conectividad diaria de nuestra vida, con todo tipo de aparatos "con internet". Es lógico pensar que los sistemas SCADA, piezas de software para control de procesos, integradas en sistemas hardware sencillos, o en muchos casos antiguos, pueden tener fallos de seguridad que permitan su manipulación o denegación de servicio, pues así es xD.
Hay módulos en metasploit específicos para los fabricantes más conocidos, así como un montón de informacion en la red...

Sistemas de control que nos hacen la vida mas sencilla, en teoría, pueden ser desde semáforos, electricidad, agua, hasta equipos médicos, sistemas de extinción...
Yo he visto en el sector de la madera, PLC para máquinas de corte conectados a un win95, y a su vez publicados en Internet para que el Ingeniero pueda diseñar cortes... Y se da el caso que si llegas e instalas una máquina nueva con toda su "seguridad" estás que cortas madera !!! FAIL !!


Si te metes en este mundo no esperes encontrar las pantallas gráficas del tráfico de New York al estilo de las películas americanas, pero quizás si puedas controlarlo...
Vamos con lo nuestro.
Gracias al señor Jose Ramon Polanco por publicar esta fabulosa serie de script´s para encontrar equipos SCADA Siemens de varios tipos.

Nos descargamos los scripts en nuestra carpeta NSE de nmap, o en nuestra ubicación favorita. El uso es sencillo,

Por ejemplo para encontrar un autómata de control de procesos (^*!"·^*"!) tipo PCS7


nmap --script ./Siemens-PCS7.nse -p 80


Realmente el script en este caso lo que hace es que busca unos dorks de las hojas de estilo y un "inurl:" pero es interesante usarlo, por si algún administrador ha usado robots.txt para no indexar los ficheros..
Vamos con otro aparatito de la firma Siemens. Simantic.


nmap --script ./Siemens-Simatic-S7.nse -p 80


Máquinas del demonio !!! Lo gracioso de esto es que es la mayoría no tienen implementada ninguna política anti brute-forcing...
Es muy curioso jugar con estos scripts para Nmap para detectar equipos de este tipo.
Hay muchas formas de encontrar sistemas por la red, pero en el caso de realizar una auditoría a un cliente de una industria susceptible de usar tecnologías de este tipo, es muy sencillo indagar en la documentación de los fabricantes o incluso descargar appliance virtuales para "aprender" de ellos y buscar. Ojo, como siempre, google ayuda mucho en estas tareas y hay muchos dorks para encontrar todo tipo de sistemas SCADA.


Como siempre, gracias por leerme y espero que os sirva alguna vez esta información y os anime a introduciros en el mundo del Hacking SCADA.

Security Onion Parte 3. Snorby.

Hace ya un tiempo hablamos de la distro Security Onion para monitorizar nuestra actividad de red.
Hicimos una configuración básica para empezar a jugar.
Seguimos jugando.
Vamos a actualizar la ditro. sudo apt-get update && sudo apt-get dist-upgrade. por costumbre :-)

Como vimos en anteriores post, para entrar en Snorby para repasar las alertas tenemos que acceder, siempre mediante https://ip:444
Vamos a entrar en uno de los eventos que me ha monitorizado.


Como podéis ver, nos muestra vierta información sobre el evento, como por ejemplo la Policy o política que lo ha detectado, ip origen, destino, puertos. Interesante ver la opción del payload, en donde podemos ver el broadcast tanto en Hexadecimal como en ASCII.
Si ampliamos la información sobre el equipo "atacante" nos engancha con un Whois externo y con una resolución de nombres DNS, incluida resolución DNS inversa.


Otra opción interesante es la de búsqueda, permitiéndonos realizar todo el "juego" o combinaciones para estudiar o hacer un seguimiento a los eventos que nos interesan.


Podemos ampliar la información de Snorby añadiéndole clasificaciones para los eventos. Voy a crear una para identificar eventos que generan tráfico de red multidifusión, para estudiar posteriormente.


Entramos en un evento, y pinchamos sobre Perform Mass Classification, para atribuir a este tipo de eventos la categoría anteriormente creada.


Seleccionamos la categoría, y esta vez en vez de hacer la típica clasificación de ip origen para detectar un atacante, ponemos la dirección de multidifusión como destino de nuestra clasificación.
Aquí podemos ver los eventos atribuidos.


En las opciones de administración también podemos configurar nuestro servidor de whois favorito.
También podemos crear nuestros usuarios, para grupos de trabajo de más de uno :-).

Como siempre, espero que os guste este mini-post sobre Snorby, continuando la saga de Security Onion. Durante los próximos días seguiremos destripando esta distro.
Un saludo amigos !!! Google +

lunes, 4 de marzo de 2013

Estudiando seguridad Wordpress? Use NSE

Seguro que estas acostumbrado a leer por las distintas webs del sector numerosos fallos en gestores de contenido, como por ejemplo WordPress.
Hay muchas herramientas que auditan dicha aplicación, con todo tipo de perrerías, como puede ser WPScan. Pero, suele pasar que hay que pasarle como argumento, por muy sencilla que sea la herramientaaaaaaaaaaa, la url. Buscar fallos para una determinada url es sencillo, pero buscar url´s con fallos... Claro !! me direis que para eso están los google dorks !! claro, pero si quieres comprobar la seguridad de 100 sitios por ejemplo, de tu competencia? o de tu ciudad? O se me ocurre pasarle una lista de equipos *.dyndns.org ( equipos personales con routers personales con páginas personales)

NMAP http-wordpress-plugins

Vamos a modificar un poco las opciones, en negrita. Por ejemplo, vamos a limitar el puerto de búsqueda a 80... que no haga ping, y que me muestre solo las búsquedas con el puerto open...

nmap -Pn -p80 --script=http-wordpress-plugins --script-args http-wordpress-plugins.root="/wp-content/plugins/",http-wordpress-plugins.search=500 "ip-s" --open

Fijaros en los argumentos del script, en los que podemos indicar una ruta concreta, o usar por defecto wp-content. También hay que fijarse en la cantidad de plugins (500) que va a buscar.
Sería recomendable empezar de menos a mas.
Si te inquieta saber como sabe nmap los plugins más populares... o quieres ir añadiendo tu alguno que haya salido vulnerable últimamente, no dudes en consultar nselib/data/wp-plugins.lst
Yo he probado en un rango de ip cortito, en teoria de mi barrio, de mis vecinos, y he encontrado algunas sorpresas con mis vecinos informáticos.
Este procedimiento es INTRUSIVO, porque estás preguntando por url´s directamente al servidor, no contra la información de google. No es ilegal, o eso creo, pero deja huella.
Vamos a ver dos salidas típicas que te vas a encontrar:
El primer caso os dice que no ha encontrado nada, que actives más plugins, pero esto no quiere decir que sea un wordpress... por lo que no me sirve de nada.OJO, si estás estudiando seguridad Wordpress, lo mismo no te vale, pero si estudias seguridad web en general xD, vamos, que es domingo y estas buscando hacer el bien con tus vecinos xD es interesante chequear estos servidores web "personales".
Las otras opciones suelen ser servidores web, modems de adsl, que no permiten "escarbar" site-crawler.
Un vecino marchoso xD


**perdonar pero estoy juackeroso**

Solo con el primero que he encontrado, he probado a entrar con el user/pass por defecto, y bingo. Solo uno.
Imagino que todo el mundo sabe lo que tiene que hacer para "romper" algún sistema mediante usuarios por defecto en modems-routers adsl, pero lo típico suele ser:
Consultar la tabla arp, clientes conectados, concesiones dhcp, etc. según el modem.
En las opciones de mantenimiento, diagnostico, etc suele haber una opción para PING ( que a su vez he visto owneadas  en algun congreso xD)
Probamos si hay algún equipo activo, si es de noche será un servidor, o un trabajador ocupado...
Vamos a las opciones de firewall, nat, nat-p, server, port redirector, port forwarding ( según el módem) y habilitamos la redirección desde fuera hacia ese equipo(puertos windowseros/linuxeros típicos vulnerables). OJO si haces eso, y rediriges el puerto 80 también, porque perderás acceso al módem...
Con esto ya estás "enfrente" del equipo.

**fin del modo juackeroso**

Como siempre, espero que os guste y gracias por leerme.