RootSecurity

No Vídeo abaixo, o atacante com acesso físico à uma estação executando Windows Vista utiliza um Live-CD com a distribuição BackTrack-3. Montando a partição do sistema, ele acessa o c:\windows\system32\> e modifica o binário Utilman.exe pelo cmd.exe, assim quando o sistema iniciar e o Utilman.exe for solicitado, seja executado um shell para o atacante com privilégios de <SYSTEM>.

Good Hacking 4 All.

Sqlninja é uma ferramenta criada para explorar vulnerabilidades de SQL injection em aplicações web que utilizam-se do Microsoft SQL Server em seu back-end.

Seu principal objetivo é prover acesso remoto no servidor Database vulnerável. Pode ser utilizado por penetration testers para ajudar automatizar o processo de intrusão em um servidor DB quando uma vulnerabilidade de SQL Injection é localizada.

A ferramenta é distribuida sob a GPLv2 e classificada no SecurityHacks’ Top 15 Free SQL Injection Scanners, e pode trazer bons resultados durante um pen-test

Features

A documentação completa pode ser encontrada no Tarball e também aqui. Abaixo segue uma pequena lista das principais funcionalidades do Sqlninja:

• Fingerprint of the remote SQL Server (version, user performing the queries, user privileges, xp_cmdshell availability, DB authentication mode)
• Bruteforce of ’sa’ password (in 2 flavors: dictionary-based and incremental)
• Privilege escalation to sysadmin group if ’sa’ password has been found
• Creation of a custom xp_cmdshell if the original one has been removed
• Upload of netcat (or any other executable) using only normal HTTP requests (no FTP/TFTP needed)
• TCP/UDP portscan from the target SQL Server to the attacking machine, in order to find a port that is allowed by the firewall of the target network and use it for a reverse shell
• Direct and reverse bindshell, both TCP and UDP
• DNS-tunneled pseudo-shell, when no TCP/UDP ports are available for a direct/reverse shell, but the DB server can resolve external hostnames (check the documentation for details about how this works)
• Evasion techniques to confuse a few IDS/IPS/WAF
• Integration with Metasploit3, to obtain a graphical access to the remote DB server through a VNC server injection

Sqlninja é escrito em perl e pode ser executado em qualquer Unix com o interpretador perl e foi testado com sucesso em:

• Linux
• FreeBSD
• Mac OS X

Segue abaixo um DEMO de um pen-test em uma aplicação vulnerável, usando o sqlninja para obter acesso ao DB Server.

http://sqlninja.sourceforge.net/sqlninjademo1.html

Good Hacking 4 All.

SSLdump e um SSL/TLS network protocol analyzer. Ele analisa as conexões TCP na rede onde você está coletando o tráfego e tenta interpretar o tráfego SSL/TLS. Quando ele identifica o tráfego SSL/TLS, ele decodifica os pacotes gravados e depois mostra eles em forma de saída de texto no stdout.

Caso o atacante tenha uma copia dos certificados que estão sendo utilizados na comunicação, o ssldump consegue inclusive descriptografar as conexões e mostrar o data traffic da aplicação.

ssldump 0.9b3

A versão atual do ssldump é a 0.9b3

Download disponível aqui

Documentação Extra aqui.

Exemplos de utilização

ssldump -i le0 port 443

ssldump -i le0 port 443 and host romeo

ssldump -Ad -k ~/server.pem -p foobar -i le0 host romeo

Exemplo de saída

Abaixo segue um exemplo do trace gerado pelo ssldump.

New TCP connection #3: localhost(363  <-> localhost(4433)
3 1  0.0738 (0.073    C>S  Handshake      ClientHello
3 2  0.0743 (0.0004)  S>C  Handshake      ServerHello
3 3  0.0743 (0.0000)  S>C  Handshake      Certificate
3 4  0.0743 (0.0000)  S>C  Handshake      ServerHelloDone
3 5  0.0866 (0.0123)  C>S  Handshake      ClientKeyExchange
3 6  0.0866 (0.0000)  C>S  ChangeCipherSpec
3 7  0.0866 (0.0000)  C>S  Handshake      Finished
3 8  0.0909 (0.0043)  S>C  ChangeCipherSpec
3 9  0.0909 (0.0000)  S>C  Handshake      Finished
3 10 1.8652 (1.7742)  C>S  application_data
3 11 2.7539 (0.8887)  C>S  application_data
3 12 5.1861 (2.4321)  C>S  Alert          warning          close_notify
3    5.1868 (0.0007)  C>S  TCP FIN
 
3    5.1893 (0.0024)  S>C  TCP FIN

Este exemplo usa a flag para decodificação minima. SSLdump tem flags que permitem decodificar todas as mensagens, incluindo o application protocol data.

O SSLdump consegue descriptografar o tráfego entre 2 hosts se as seguintes condições ocorrem:

1. ssldump tem as chaves.
2. Static RSA foi usado.

1 5  0.4129 (0.1983)  C>S  Handshake      ClientKeyExchange
1 6  0.4129 (0.0000)  C>S  ChangeCipherSpec
1 7  0.4129 (0.0000)  C>S  Handshake
1 8  0.5585 (0.1456)  S>C  ChangeCipherSpec
1 9  0.6135 (0.0550)  S>C  Handshake
1 10 2.3121 (1.6986)  C>S  application_data
1 11 2.5336 (0.2214)  C>S  application_data
1 12 2.5545 (0.0209)  S>C  application_data
1 13 2.5592 (0.0046)  S>C  application_data
1 14 2.5592 (0.0000)  S>C  Alert

O SSLdump consegue trabalhar com SSLv1, SSLv2 e SSLv3 e TLS.

Espero que tenham gostado.

Good Hacking 4 All.

Muitas vezes uma das principais necessidades dentro de um pentest é publicar uma porta da rede interna para a internet a fim de facilitar o acesso de algum console SSH ou Terminal Service. Porém nem sempre é uma tarefa fácil encontrar hosts que tenham acesso permissivo para a internet.

Firewalls, Proxies e Content filters estão cada vez mais presentes em diversos segmentos de rede dificultando o que é conhecido como “Extrusion Attacks”.

Muitos mecanismos de Extrusion Detection vêm sendo implantados em pontos estratégicos da rede, para impedir que trojans, vírus e outros tipos de ameaças consigam evadir-se da rede, muitas vezes copiando informações sensíveis para hosts na internet, assim como também impedindo que funcionários (Insiders), possam muitas vezes cometer Espionagem Industrial fornecendo dados sigilosos à terceiros.

A implantação bem sucedida de um Filtro na camada de aplicação (Proxy) pode causar muitas dores de cabeça para um pentester que necessita publicar o acesso da rede interna na internet. Em muitos casos um bypass em cima de um filtro de Aplicação pode tornar-se complicado e uma ferramenta que irá ajudar muito em um cenário como este é o IRS (Ip Restrictions Scanner).

Desenvolvido pelos mesmos criadores do conhecido Cain & Abel (ferramenta com múltiplas funcionalidades), o IRS utiliza-se de diversas técnicas entre elas:

- Mac Address Spoofing

- Ip Spoofing

- Arp Tables Spoofing

- Half Scan

Ele atua de acordo com uma pequena configuração que deve ser feita apenas direcionando qual a interface de rede o mesmo deve utilizar. O IRS irá verificar qual a netmask utilizado pelo seu host e assim varrer todos os hosts que estão disponíveis neste segmento. Fazendo o IP Spoof ele envia uma solicitação SYN para o host externo e a porta que você colocou e fica aguardando o retorno de um pacote SYN/ACK. Assim ele mostra para você que este host consegue efetuar a comunicação que você tanto precisa.

Agora basta acessar este host (Estação de Administrador ou servidor) e fazer a publicação do acesso da forma que lhe for mais conveniente.

O IRS pode ser baixado aqui.

Esta versão pode ser utilizada no Windows 2000,Xp e 2003.

Antes de instala-lo deve-se tomar o cuidado de instalar a versão mais recente do pacote Winpcap que será necessário para a execução do IRS.

Maiores informações em http://oxid.it

Good Hacking 4 All.

Como todos sabem, John the ripper é um dos mais conhecidos e funcionais frameworks para auditoria em hashes e senhas de sistemas, sejam eles Unix ou Windows.

Nativamente o mesmo possui diversas funcionalidades e suporta os Algoritmos de criptografia utilizados na maioria dos sistemas disponibilizados pelo mercado. O john encontra-se atualmente na versão 1.7.2 e pode ser baixado aqui.

John the Ripper é muito rápido e atualmente está disponível para ser utilizado em muitos sabores de Unix (11 são oficialmente suportados, sem contar as diferentes arquiteturas), Windows, DOS, BeOS e OpenVMS.

O Propósito básico do uso do John é detectar passwords fracas que podem causar diversos problemas de segurança à sua infra-estrutura de rede.

Existem diversos patches disponíveis na internet de desenvolvedores que guiados pela necessidade de auditar diversos tipos de hashes diferentes, adicionaram funcionalidades ao John, acrescentando o suporte a muitos outros Hashes de aplicações e sistemas como por exemplo:

* O john mscash patch adiciona suporte para Cached Windows 2000/XP Domain Password Hashes. (mscash).

Abaixo segue uma tabela dos Hashes adicionais que podem ser suportados pelo John the Ripper utilizando alguns Patches que estão disponíveis.

(*) : Estes ciphers não foram testados e provavelmente não funcionam em arquitetura diferente da x86.

Abaixo estão as duas possibilidades de utilização dos patches para adicionar as funcionalidades, fica ao seu critério escolher qual é a forma mais interessante:

• O john bigpatch adiciona suporte para uma grande range de hashes ao John the Ripper. Este patch funciona com o John 1.6.38. Existem vários bugs conhecidos, é recomendado que se utilize a versão abaixo.
• O current tree, é a versão atual que funciona com todos os Hashes. Ele vem com o suporte de todos os Hashes acima e é so compilar e usar :).

Para quem não precisa utilizar nenhum Cipher diferente dos padrões, recomenda-se utilizar o John the Ripper diretamente do site do projeto Openwall.

Good Hacking 4 All.

Encontrei isto e estou lendo, é bem interessante e tem muitos tópicos bacanas, acredito que seja um Must Have para todos os que trabalham com Pentest/Security

Autores : H D Moore (hdm[at]metasploit.com) ; Valsmith valsmith[at]metasploit.com)
Último Update: 08/09/2007

Título : Tactical Exploitation OR “The Other Way to Pen-Test” OR “Random Pwning Fun Bag”

1.1 Abstract
Penetration testing often focuses on individual vulnerabilities and services. This
paper introduces a tactical approach that does not rely on exploiting known
flaws. The first section of this paper covers information gathering and discovery
techniques, with a concentration on third-party services and new tools. The
second section of this paper combines the information discovery techniques in
the first section with various protocol and implementation weaknesses, in order
to provide clear steps for gaining access to a target network.

Contents
1 Introduction 3
1.1 Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Author Bio - HD Moore . . . . . . . . . . . . . . . . . . . . . . . 4
1.4 Author Bio - Valsmith . . . . . . . . . . . . . . . . . . . . . . . . 4
1.5 Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2 The Tactical Approach 5
2.1 Vulnerabilties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 Competition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3 Information Discovery 6
3.1 Personnel Discovery . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.1.1 Search Engines . . . . . . . . . . . . . . . . . . . . . . . . 6
3.1.2 Paterva’s Evolution . . . . . . . . . . . . . . . . . . . . . 7
3.2 Network Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.2.1 Discovery Services . . . . . . . . . . . . . . . . . . . . . . 8
3.2.2 Bounce Messages . . . . . . . . . . . . . . . . . . . . . . . 9
3.2.3 Virtual Hosting . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2.4 Outbound DNS . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2.5 Direct Contact . . . . . . . . . . . . . . . . . . . . . . . . 11
3.3 Firewalls and IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.3.1 Firewall Identification . . . . . . . . . . . . . . . . . . . . 12
3.3.2 IPS Identification . . . . . . . . . . . . . . . . . . . . . . . 12
3.4 Application Discovery . . . . . . . . . . . . . . . . . . . . . . . . 12
3.4.1 Slow and Steady wins the Deface . . . . . . . . . . . . . . 12
3.4.2 Finding Web Apps with W3AF . . . . . . . . . . . . . . . 13
3.4.3 Metasploit 3 Discovery Modules . . . . . . . . . . . . . . 13
3.5 Client Application Discovery . . . . . . . . . . . . . . . . . . . . 14
3.5.1 Browser Fingerprinting . . . . . . . . . . . . . . . . . . . 14
3.5.2 Mail Client Fingerprinting . . . . . . . . . . . . . . . . . . 15
3.5.3 SMB Client Fingerprinting . . . . . . . . . . . . . . . . . 15
3.6 Process Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.6.1 Traffic Monitoring with IP IDs . . . . . . . . . . . . . . . 16
3.6.2 Web Site Monitoring with HTTP . . . . . . . . . . . . . . 17
3.6.3 Usage Monitoring with MS FTP . . . . . . . . . . . . . . 17
4 Information Exploitation 19
4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.2 External Networks . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.2.1 Attacking File Transfers . . . . . . . . . . . . . . . . . . . 19
4.2.2 Attacking Mail Services . . . . . . . . . . . . . . . . . . . 21
4.2.3 Attacking Web Servers . . . . . . . . . . . . . . . . . . . . 21
4.2.4 Attacking DNS Servers . . . . . . . . . . . . . . . . . . . 21
4.2.5 Attacking Database Servers . . . . . . . . . . . . . . . . . 22
4.2.6 Attacking NTLM Authentication . . . . . . . . . . . . . . 22
4.2.7 Free Hardware . . . . . . . . . . . . . . . . . . . . . . . . 23
4.3 Internal Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.3.1 Web Proxy Auto-Discovery Protocol . . . . . . . . . . . . 24
4.3.2 Microsoft DNS Servers . . . . . . . . . . . . . . . . . . . . 24
4.3.3 Microsoft WINS Servers . . . . . . . . . . . . . . . . . . . 25
4.3.4 Exploiting NTLM Relays . . . . . . . . . . . . . . . . . . 25
4.3.5 SMB and Samba . . . . . . . . . . . . . . . . . . . . . . . 26
4.4 Trust Relationships . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.4.1 NFS Home Directories . . . . . . . . . . . . . . . . . . . . 29
4.4.2 Hijacking SSH . . . . . . . . . . . . . . . . . . . . . . . . 30
4.4.3 Hijacking Kerberos . . . . . . . . . . . . . . . . . . . . . . 31
5 Conclusion 34

Aproveitem este livro maravilhoso escrito por quem realmente entende da coisa =]
http://packetstorm.offensive-security.com/papers/attack/tactical_paper.pdf

Introdução

O Termo “Session Hijacking” refere-se à exploração de uma sessão válida de um computador - as vezes também chamada de Session Key ou ID - para conseguir acesso não-autorizado a informações ou serviços em um sistema de computador.

Em particular, é usado para referir-se ao roubo do Magic Cookie, utilizado para autenticar um usuário em um servidor remoto. Isto é particularmente relevante para os desenvolvedores Web, já que os HTTP Cookies usados para manter uma sessão em diversos sites Web podem facilmente ser roubados por um atacante utilizando um computador que esteja no meio da comunicação ou então acessando os cookies salvos no computador da vítima.

Muitos web sites permitem que usuários criem e gerenciem suas próprias accounts, logando utilizando um username e password (que pode ou não ser criptografada durante o transito) ou outro método de autenticação. Para que o usuário não tenha que re-digitar seu usuário/senha em todas as página para manter sua sessão, muitos web sites utilizam-se de cookies: um token de informações solicitadas pelo server e retornada pelo user browser para confirmar sua identidade.

Se um atacante estiver habilitado a rouber este cookie, ele pode fazer requisições como se fosse o usuário legítimo, ganhando acesso à informações privilegiadas ou até modificando dados. Se o cookie for um Cookie Persistente, o roubo de identidade pode se estender por um tempo muito longo.

É claro que Session Hijacking não é limitada para a Web, qualquer protocolo cujo o estado é mantido através de uma key que é checada através de dois computadores é vulnerável, especialmente se não for criptografada.

Terminologia

Uma das grandes vantagens de utilizar o Mozilla Firefox é que você pode conseguir uma porção de plugins interessantes para explorar aplicações. Tamper Data, Cookie Culler, AEC Cookie Editor são alguns destes. Uma pequena introdução sobre estas tools.

- Tamper Data: É utilizado para rastrear a comunicação entre o browser e o servidor e esta funcionalidade permite interceptar e modificar os dados “on the Fly” e re-enviar para o servidor.

- Cookie Culler: É utilizado para visualizar os cookies e apaga-los caso seja necessário

- AEC Cookie Edito: Permite melhor controle sobre o Cookie que você modifica, e assim modificar seu conteúdo para testar vulnerabilidades em sua aplicação web.

Um Exemplo

Vamos verificar algumas tools mencionadas acima. Aqui, TamperData mostra a comunicação de outgoing onde eu fiz um search por “Session Hijacking” no google. Você pode ver ambos os Headers, tanto de request quanto de response assim como os parametros GET, POST e seus valores.

AEC Cookie Editar mostra informações a respeito dos Cookies no sistema e explica como um Web Server rastreia os clientes utilizando os cookies.

Exploitation Scenario

A maioria das aplicações web utilizam HTTP e HTTPS protocols juntos para suas comunicações dependendo da sensibilidade da informação que está sendo enviada através do canal de comunicação. Em geral o HTTPS é ativado para enviar username/password, informações financeiras e outras informações importantes. Uma vez que a informação é enviada a aplicação volta a utilizar HTTP novamente.

Normalmente se você observar uma aplicação web, ela joga seus cookies assim que você visita a página pela primeira vez e o cookie vai manter o seu Session ID. Este ID e uma importante peça de informação a qual poderá ser utilizada para rastrear a sessão toda vez que o usuário se logar. Muitas pessoas negligenciam a importancia deste ID. Todas as vezes antesde entrar num canal seguro, eles utilizam o mesmo Session ID. Aí é onde a vulnerabilidade existe. Sniffar uma rede é muito simples. Uma grande variedade de softwares estão disponiveis para sniffar informações de forma ativa e passiva.

Especialmente em redes wireless, sniffing é fácil como roubar doce de criança

A maioria das web applications vai dar acesso ao Sniffer se este conseguir o Session ID se um usuário que ainda está logado no sistema e poderá permitir que ele acesse importantes informações da vítima. Esta vulnerabilidade existe na maioria dos sites comerciais que provem vários serviços. Provedores de E-mail, Sites de Shopping, etc todos estão vulneráveis à este tipo de ataque se implementarem a autenticação desta forma.