Windows Vista - Login Bypass June 13, 2008
Posted by y2h4ck in Ethical Hacking, Fun Stuff, General Security.Tags: Ethical Hacking, General Hacking, General Security, Hacking, login bypass, pen-test, Pentesting, Windows Hacking, windows vista hacking, y2h4ck
add a comment
No Vídeo abaixo, o atacante com acesso físico à uma estação executando Windows Vista utiliza um Live-CD com a distribuição BackTrack-3. Montando a partição do sistema, ele acessa o c:\windows\system32\> e modifica o binário Utilman.exe pelo cmd.exe, assim quando o sistema iniciar e o Utilman.exe for solicitado, seja executado um shell para o atacante com privilégios de <SYSTEM>.
Good Hacking 4 All.
sqlninja - Blind SQL Injection Exploit Framework June 10, 2008
Posted by y2h4ck in Ethical Hacking, General Hacking, Pentesting, Web Hacking.Tags: Pentesting, Hacking, exploits, Ethical Hacking, General Hacking, Web Hacking, sql injection, penetration testing, sql, mssql hacking, pen-test, sqlninja
add a comment
Sqlninja é uma ferramenta criada para explorar vulnerabilidades de SQL injection em aplicações web que utilizam-se do Microsoft SQL Server em seu back-end.
Seu principal objetivo é prover acesso remoto no servidor Database vulnerável. Pode ser utilizado por penetration testers para ajudar automatizar o processo de intrusão em um servidor DB quando uma vulnerabilidade de SQL Injection é localizada.
A ferramenta é distribuida sob a GPLv2 e classificada no SecurityHacks’ Top 15 Free SQL Injection Scanners, e pode trazer bons resultados durante um pen-test
Features
A documentação completa pode ser encontrada no Tarball e também aqui. Abaixo segue uma pequena lista das principais funcionalidades do Sqlninja:
- Fingerprint of the remote SQL Server (version, user performing the queries, user privileges, xp_cmdshell availability, DB authentication mode)
- Bruteforce of ’sa’ password (in 2 flavors: dictionary-based and incremental)
- Privilege escalation to sysadmin group if ’sa’ password has been found
- Creation of a custom xp_cmdshell if the original one has been removed
- Upload of netcat (or any other executable) using only normal HTTP requests (no FTP/TFTP needed)
- TCP/UDP portscan from the target SQL Server to the attacking machine, in order to find a port that is allowed by the firewall of the target network and use it for a reverse shell
- Direct and reverse bindshell, both TCP and UDP
- DNS-tunneled pseudo-shell, when no TCP/UDP ports are available for a direct/reverse shell, but the DB server can resolve external hostnames (check the documentation for details about how this works)
- Evasion techniques to confuse a few IDS/IPS/WAF
- Integration with Metasploit3, to obtain a graphical access to the remote DB server through a VNC server injection
Sqlninja é escrito em perl e pode ser executado em qualquer Unix com o interpretador perl e foi testado com sucesso em:
- Linux
- FreeBSD
- Mac OS X
Segue abaixo um DEMO de um pen-test em uma aplicação vulnerável, usando o sqlninja para obter acesso ao DB Server.
http://sqlninja.sourceforge.net/sqlninjademo1.html
Good Hacking 4 All.
SSLDump: Dump SSL Traffic on Network May 1, 2008
Posted by y2h4ck in Ethical Hacking, General Hacking, General Security, Network Security, Pentesting.Tags: Ethical Hacking, General Hacking, General Security, Hacking, Network Security, penetration test, Pentest, ssldump
1 comment so far
SSLdump e um SSL/TLS network protocol analyzer. Ele analisa as conexões TCP na rede onde você está coletando o tráfego e tenta interpretar o tráfego SSL/TLS. Quando ele identifica o tráfego SSL/TLS, ele decodifica os pacotes gravados e depois mostra eles em forma de saída de texto no stdout.
Caso o atacante tenha uma copia dos certificados que estão sendo utilizados na comunicação, o ssldump consegue inclusive descriptografar as conexões e mostrar o data traffic da aplicação.
ssldump 0.9b3
A versão atual do ssldump é a 0.9b3
Download disponível aqui
Documentação Extra aqui.
Exemplos de utilização
|
|
Escuta o tráfego na interface le0 na porta 443 |
|
|
ssldump -i le0 port 443 |
|
|
Escuta o tráfego do server romeo na porta 443. |
|
|
ssldump -i le0 port 443 and host romeo
|
|
|
Descriptografar o tráfego do host romeo usando o certificado server.pm com senha foobar |
|
|
ssldump -Ad -k ~/server.pem -p foobar -i le0 host romeo
|
Exemplo de saída
Abaixo segue um exemplo do trace gerado pelo ssldump.
New TCP connection #3: localhost(363<-> localhost(4433) 3 1 0.0738 (0.073
C>S Handshake ClientHello 3 2 0.0743 (0.0004) S>C Handshake ServerHello 3 3 0.0743 (0.0000) S>C Handshake Certificate 3 4 0.0743 (0.0000) S>C Handshake ServerHelloDone 3 5 0.0866 (0.0123) C>S Handshake ClientKeyExchange 3 6 0.0866 (0.0000) C>S ChangeCipherSpec 3 7 0.0866 (0.0000) C>S Handshake Finished 3 8 0.0909 (0.0043) S>C ChangeCipherSpec 3 9 0.0909 (0.0000) S>C Handshake Finished 3 10 1.8652 (1.7742) C>S application_data 3 11 2.7539 (0.8887) C>S application_data 3 12 5.1861 (2.4321) C>S Alert warning close_notify 3 5.1868 (0.0007) C>S TCP FIN 3 5.1893 (0.0024) S>C TCP FIN
Este exemplo usa a flag para decodificação minima. SSLdump tem flags que permitem decodificar todas as mensagens, incluindo o application protocol data.
O SSLdump consegue descriptografar o tráfego entre 2 hosts se as seguintes condições ocorrem:
|
|
1. ssldump tem as chaves. 2. Static RSA foi usado. |
|
|
Em ambos os casos, quando a encriptação inicial, ssldump irá somente estar apto à determinar o tipo de record. Considere a seguinte sessão de um trace: |
|
|
1 5 0.4129 (0.1983) C>S Handshake ClientKeyExchange 1 6 0.4129 (0.0000) C>S ChangeCipherSpec 1 7 0.4129 (0.0000) C>S Handshake 1 8 0.5585 (0.1456) S>C ChangeCipherSpec 1 9 0.6135 (0.0550) S>C Handshake 1 10 2.3121 (1.6986) C>S application_data 1 11 2.5336 (0.2214) C>S application_data 1 12 2.5545 (0.0209) S>C application_data 1 13 2.5592 (0.0046) S>C application_data 1 14 2.5592 (0.0000) S>C Alert Perceba que o ClientKeyExchange mesage type é mostrado mas o resto do HandShake messages não tem os types mostrados. |
O SSLdump consegue trabalhar com SSLv1, SSLv2 e SSLv3 e TLS.
Espero que tenham gostado.
Good Hacking 4 All.
IRS: Ip Restrictions Scanner April 22, 2008
Posted by y2h4ck in Ethical Hacking, General Hacking, Pentesting.Tags: Arp Spoof, Extrusion, Hacking, Hal Scan, IP Spoof, IRS, network attacks, network impersonation, Pentesting
add a comment
Muitas vezes uma das principais necessidades dentro de um pentest é publicar uma porta da rede interna para a internet a fim de facilitar o acesso de algum console SSH ou Terminal Service. Porém nem sempre é uma tarefa fácil encontrar hosts que tenham acesso permissivo para a internet.
Firewalls, Proxies e Content filters estão cada vez mais presentes em diversos segmentos de rede dificultando o que é conhecido como “Extrusion Attacks”.
Muitos mecanismos de Extrusion Detection vêm sendo implantados em pontos estratégicos da rede, para impedir que trojans, vírus e outros tipos de ameaças consigam evadir-se da rede, muitas vezes copiando informações sensíveis para hosts na internet, assim como também impedindo que funcionários (Insiders), possam muitas vezes cometer Espionagem Industrial fornecendo dados sigilosos à terceiros.
A implantação bem sucedida de um Filtro na camada de aplicação (Proxy) pode causar muitas dores de cabeça para um pentester que necessita publicar o acesso da rede interna na internet. Em muitos casos um bypass em cima de um filtro de Aplicação pode tornar-se complicado e uma ferramenta que irá ajudar muito em um cenário como este é o IRS (Ip Restrictions Scanner).
Desenvolvido pelos mesmos criadores do conhecido Cain & Abel (ferramenta com múltiplas funcionalidades), o IRS utiliza-se de diversas técnicas entre elas:
- Mac Address Spoofing
- Ip Spoofing
- Arp Tables Spoofing
- Half Scan
Ele atua de acordo com uma pequena configuração que deve ser feita apenas direcionando qual a interface de rede o mesmo deve utilizar. O IRS irá verificar qual a netmask utilizado pelo seu host e assim varrer todos os hosts que estão disponíveis neste segmento. Fazendo o IP Spoof ele envia uma solicitação SYN para o host externo e a porta que você colocou e fica aguardando o retorno de um pacote SYN/ACK. Assim ele mostra para você que este host consegue efetuar a comunicação que você tanto precisa.
Agora basta acessar este host (Estação de Administrador ou servidor) e fazer a publicação do acesso da forma que lhe for mais conveniente.
O IRS pode ser baixado aqui.
Esta versão pode ser utilizada no Windows 2000,Xp e 2003.
Antes de instala-lo deve-se tomar o cuidado de instalar a versão mais recente do pacote Winpcap que será necessário para a execução do IRS.
Maiores informações em http://oxid.it
Good Hacking 4 All.
How to Add More Ciphers for John the Ripper? April 18, 2008
Posted by y2h4ck in Ethical Hacking, General Hacking, General Security, Pentesting.Tags: Pentesting, Hacking, password auditing, john, password cracking, cracking, wordlist, brute-force, john bitpatch, john mscash
add a comment
Como todos sabem, John the ripper é um dos mais conhecidos e funcionais frameworks para auditoria em hashes e senhas de sistemas, sejam eles Unix ou Windows.
Nativamente o mesmo possui diversas funcionalidades e suporta os Algoritmos de criptografia utilizados na maioria dos sistemas disponibilizados pelo mercado. O john encontra-se atualmente na versão 1.7.2 e pode ser baixado aqui.
John the Ripper é muito rápido e atualmente está disponível para ser utilizado em muitos sabores de Unix (11 são oficialmente suportados, sem contar as diferentes arquiteturas), Windows, DOS, BeOS e OpenVMS.
O Propósito básico do uso do John é detectar passwords fracas que podem causar diversos problemas de segurança à sua infra-estrutura de rede.
Existem diversos patches disponíveis na internet de desenvolvedores que guiados pela necessidade de auditar diversos tipos de hashes diferentes, adicionaram funcionalidades ao John, acrescentando o suporte a muitos outros Hashes de aplicações e sistemas como por exemplo:
* O john mscash patch adiciona suporte para Cached Windows 2000/XP Domain Password Hashes. (mscash).
Abaixo segue uma tabela dos Hashes adicionais que podem ser suportados pelo John the Ripper utilizando alguns Patches que estão disponíveis.
| Hash Adicional | Autor | Status | Vetores |
|---|---|---|---|
| Windows NTLM (MD4) | Alain Espinosa | OK | |
| Windows Cache (mscash) | bartavelle | OK | |
| Raw MD5 (hex-encoded) | bartavelle | OK | MMX/SSE |
| Raw SHA1 (hex-encoded) | bartavelle | OK (*) | MMX/SSE |
| MySQL passwords | Noah Williamsson | OK | |
| Eggdrop IRC bot userfiles | Sun-Zero | OK | |
| Apache MD5-based “apr1″ | Sun-Zero | OK | |
| Netscape LDAP SHA | Sun-Zero | OK | MMX/SSE |
| Netscape LDAP Salted SHA1 | bartavelle | OK (*) | MMX/SSE |
| Open LDAP Salted SHA1 | bartavelle | No clue (*) | MMX/SSE |
| Lotus Domino R4 | Jeff Fay | OK | 3 way implementation on x86 using GP registers in current tree. |
| Lotus Domino R5+ | Michal Luczaj | OK (*) | |
| PIX passwords | Bartavelle | OK (*) | MMX/SSE |
| MS-SQL | bartavelle | should work (*) | Buggy |
| MS-SQL05 | bartavelle | should work (*) | Buggy |
| Oracle | bartavelle | OK (*) | |
| Raw HMAC-MD5 | bartavelle | OK (*) | MMX/SSE |
| WPA PSK (Latest version of Aircrack works very well with this) |
bartavelle | Requires tweaking | Unfinished You should use aircrack here. |
(*) : Estes ciphers não foram testados e provavelmente não funcionam em arquitetura diferente da x86.
Abaixo estão as duas possibilidades de utilização dos patches para adicionar as funcionalidades, fica ao seu critério escolher qual é a forma mais interessante:
- O john bigpatch adiciona suporte para uma grande range de hashes ao John the Ripper. Este patch funciona com o John 1.6.38. Existem vários bugs conhecidos, é recomendado que se utilize a versão abaixo.
- O current tree, é a versão atual que funciona com todos os Hashes. Ele vem com o suporte de todos os Hashes acima e é so compilar e usar :).
Para quem não precisa utilizar nenhum Cipher diferente dos padrões, recomenda-se utilizar o John the Ripper diretamente do site do projeto Openwall.
Good Hacking 4 All.
Tactical Exploitations - The other Way to Pentest February 12, 2008
Posted by y2h4ck in Ethical Hacking, Pentesting.Tags: Pentesting, Hacking, hacking books, security books, exploiting, exploits
add a comment
Encontrei isto e estou lendo, é bem interessante e tem muitos tópicos bacanas, acredito que seja um Must Have para todos os que trabalham com Pentest/Security
Autores : H D Moore (hdm[at]metasploit.com) ; Valsmith valsmith[at]metasploit.com)
Último Update: 08/09/2007
Título : Tactical Exploitation OR “The Other Way to Pen-Test” OR “Random Pwning Fun Bag”
1.1 Abstract
Penetration testing often focuses on individual vulnerabilities and services. This
paper introduces a tactical approach that does not rely on exploiting known
flaws. The first section of this paper covers information gathering and discovery
techniques, with a concentration on third-party services and new tools. The
second section of this paper combines the information discovery techniques in
the first section with various protocol and implementation weaknesses, in order
to provide clear steps for gaining access to a target network.
Contents
1 Introduction 3
1.1 Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Author Bio - HD Moore . . . . . . . . . . . . . . . . . . . . . . . 4
1.4 Author Bio - Valsmith . . . . . . . . . . . . . . . . . . . . . . . . 4
1.5 Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2 The Tactical Approach 5
2.1 Vulnerabilties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 Competition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3 Information Discovery 6
3.1 Personnel Discovery . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.1.1 Search Engines . . . . . . . . . . . . . . . . . . . . . . . . 6
3.1.2 Paterva’s Evolution . . . . . . . . . . . . . . . . . . . . . 7
3.2 Network Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.2.1 Discovery Services . . . . . . . . . . . . . . . . . . . . . . 8
3.2.2 Bounce Messages . . . . . . . . . . . . . . . . . . . . . . . 9
3.2.3 Virtual Hosting . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2.4 Outbound DNS . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2.5 Direct Contact . . . . . . . . . . . . . . . . . . . . . . . . 11
3.3 Firewalls and IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.3.1 Firewall Identification . . . . . . . . . . . . . . . . . . . . 12
3.3.2 IPS Identification . . . . . . . . . . . . . . . . . . . . . . . 12
3.4 Application Discovery . . . . . . . . . . . . . . . . . . . . . . . . 12
3.4.1 Slow and Steady wins the Deface . . . . . . . . . . . . . . 12
3.4.2 Finding Web Apps with W3AF . . . . . . . . . . . . . . . 13
3.4.3 Metasploit 3 Discovery Modules . . . . . . . . . . . . . . 13
3.5 Client Application Discovery . . . . . . . . . . . . . . . . . . . . 14
3.5.1 Browser Fingerprinting . . . . . . . . . . . . . . . . . . . 14
3.5.2 Mail Client Fingerprinting . . . . . . . . . . . . . . . . . . 15
3.5.3 SMB Client Fingerprinting . . . . . . . . . . . . . . . . . 15
3.6 Process Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.6.1 Traffic Monitoring with IP IDs . . . . . . . . . . . . . . . 16
3.6.2 Web Site Monitoring with HTTP . . . . . . . . . . . . . . 17
3.6.3 Usage Monitoring with MS FTP . . . . . . . . . . . . . . 17
4 Information Exploitation 19
4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.2 External Networks . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.2.1 Attacking File Transfers . . . . . . . . . . . . . . . . . . . 19
4.2.2 Attacking Mail Services . . . . . . . . . . . . . . . . . . . 21
4.2.3 Attacking Web Servers . . . . . . . . . . . . . . . . . . . . 21
4.2.4 Attacking DNS Servers . . . . . . . . . . . . . . . . . . . 21
4.2.5 Attacking Database Servers . . . . . . . . . . . . . . . . . 22
4.2.6 Attacking NTLM Authentication . . . . . . . . . . . . . . 22
4.2.7 Free Hardware . . . . . . . . . . . . . . . . . . . . . . . . 23
4.3 Internal Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.3.1 Web Proxy Auto-Discovery Protocol . . . . . . . . . . . . 24
4.3.2 Microsoft DNS Servers . . . . . . . . . . . . . . . . . . . . 24
4.3.3 Microsoft WINS Servers . . . . . . . . . . . . . . . . . . . 25
4.3.4 Exploiting NTLM Relays . . . . . . . . . . . . . . . . . . 25
4.3.5 SMB and Samba . . . . . . . . . . . . . . . . . . . . . . . 26
4.4 Trust Relationships . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.4.1 NFS Home Directories . . . . . . . . . . . . . . . . . . . . 29
4.4.2 Hijacking SSH . . . . . . . . . . . . . . . . . . . . . . . . 30
4.4.3 Hijacking Kerberos . . . . . . . . . . . . . . . . . . . . . . 31
5 Conclusion 34
Aproveitem este livro maravilhoso escrito por quem realmente entende da coisa =]
http://packetstorm.offensive-security.com/papers/attack/tactical_paper.pdf
Session Hijacking January 15, 2008
Posted by y2h4ck in Ethical Hacking.add a comment
Introdução
O Termo “Session Hijacking” refere-se à exploração de uma sessão válida de um computador - as vezes também chamada de Session Key ou ID - para conseguir acesso não-autorizado a informações ou serviços em um sistema de computador.
Em particular, é usado para referir-se ao roubo do Magic Cookie, utilizado para autenticar um usuário em um servidor remoto. Isto é particularmente relevante para os desenvolvedores Web, já que os HTTP Cookies usados para manter uma sessão em diversos sites Web podem facilmente ser roubados por um atacante utilizando um computador que esteja no meio da comunicação ou então acessando os cookies salvos no computador da vítima.
Muitos web sites permitem que usuários criem e gerenciem suas próprias accounts, logando utilizando um username e password (que pode ou não ser criptografada durante o transito) ou outro método de autenticação. Para que o usuário não tenha que re-digitar seu usuário/senha em todas as página para manter sua sessão, muitos web sites utilizam-se de cookies: um token de informações solicitadas pelo server e retornada pelo user browser para confirmar sua identidade.
Se um atacante estiver habilitado a rouber este cookie, ele pode fazer requisições como se fosse o usuário legítimo, ganhando acesso à informações privilegiadas ou até modificando dados. Se o cookie for um Cookie Persistente, o roubo de identidade pode se estender por um tempo muito longo.
É claro que Session Hijacking não é limitada para a Web, qualquer protocolo cujo o estado é mantido através de uma key que é checada através de dois computadores é vulnerável, especialmente se não for criptografada.
Terminologia
Uma das grandes vantagens de utilizar o Mozilla Firefox é que você pode conseguir uma porção de plugins interessantes para explorar aplicações. Tamper Data, Cookie Culler, AEC Cookie Editor são alguns destes. Uma pequena introdução sobre estas tools.
- Tamper Data: É utilizado para rastrear a comunicação entre o browser e o servidor e esta funcionalidade permite interceptar e modificar os dados “on the Fly” e re-enviar para o servidor.
- Cookie Culler: É utilizado para visualizar os cookies e apaga-los caso seja necessário
- AEC Cookie Edito: Permite melhor controle sobre o Cookie que você modifica, e assim modificar seu conteúdo para testar vulnerabilidades em sua aplicação web.
Um Exemplo
Vamos verificar algumas tools mencionadas acima. Aqui, TamperData mostra a comunicação de outgoing onde eu fiz um search por “Session Hijacking” no google. Você pode ver ambos os Headers, tanto de request quanto de response assim como os parametros GET, POST e seus valores.

AEC Cookie Editar mostra informações a respeito dos Cookies no sistema e explica como um Web Server rastreia os clientes utilizando os cookies.

Exploitation Scenario
A maioria das aplicações web utilizam HTTP e HTTPS protocols juntos para suas comunicações dependendo da sensibilidade da informação que está sendo enviada através do canal de comunicação. Em geral o HTTPS é ativado para enviar username/password, informações financeiras e outras informações importantes. Uma vez que a informação é enviada a aplicação volta a utilizar HTTP novamente.
Normalmente se você observar uma aplicação web, ela joga seus cookies assim que você visita a página pela primeira vez e o cookie vai manter o seu Session ID. Este ID e uma importante peça de informação a qual poderá ser utilizada para rastrear a sessão toda vez que o usuário se logar. Muitas pessoas negligenciam a importancia deste ID. Todas as vezes antesde entrar num canal seguro, eles utilizam o mesmo Session ID. Aí é onde a vulnerabilidade existe. Sniffar uma rede é muito simples. Uma grande variedade de softwares estão disponiveis para sniffar informações de forma ativa e passiva.
Especialmente em redes wireless, sniffing é fácil como roubar doce de criança
A maioria das web applications vai dar acesso ao Sniffer se este conseguir o Session ID se um usuário que ainda está logado no sistema e poderá permitir que ele acesse importantes informações da vítima. Esta vulnerabilidade existe na maioria dos sites comerciais que provem vários serviços. Provedores de E-mail, Sites de Shopping, etc todos estão vulneráveis à este tipo de ataque se implementarem a autenticação desta forma.


















