Depois do killapache codado pelo kingcope, saiu publicamente hoje a nova versão modificada por “S4(uR4″. Postado no pastebin, segue link abaixo:
[]‘s
Sergito
Tag Archive: tool
Lançada nova versão do Exploit kit CrimePack (3.1.3), desta vez com algumas brincadeiras novas, dentre elas a exploração da vulnerabilidade do JRE na vítima e ofuscação do código bypassando possíveis AV’s.
Outro recurso novo é a criação de pdf’s maliciosos com diversas opções de conexões reversas e mutações evitando a detecção.
Vale a pena testar… antes de tudo, lembre-se!! vc irá precisar: Apache, PHP5, MySQL, libcurl, ioncube
No .zip contém instruções…
Download: Crimepack-3.1.3
[]‘s
Sergito
Em algumas versões do Windows, há uma dificuldade em instalar alguns drivers que não estão assinados pela microsoft, ou pior, vc tem um servidor de impressão com arquitetura X86 e algumas estações x64, tem a necessidade de adicionar os drivers para 64bits e o servidor te impede de concluir, pois o mesmo é x86.
Para isso há um comando que desabilita checagem da integridade nessas situações, pois bem, use com cuidado e após alterar algo desta maneira será necessário a reinicialização do sistema.
bcdedit /set loadoptions DISABLE_INTEGRITY_CHECKS
[]'s
Sergito
httpry é um packet sniffer especializado e projetado para exibir e registrar o tráfego HTTP, não se destina a realizar análise propriamente dita, mas para capturar, analisar e registrar o tráfego para uma análise posterior.
Pode ser executado em tempo real, mostrando o tráfego em que é analisado, ou como um daemon que registra em um arquivo de saída.
O que você pode fazer com ele? Aqui algumas idéias:
Veja o que os usuários da rede estão solicitando online
Veja arquivos que estão sendo baixados de caráter malicioso
Extrair estatísticas HTTP de arquivos salvos
Verificar se suas regras de packet filter para HTTP estão funcionando corretamente.
Um exemplo da captura….
httpry -r file ‘host 192.168.5.25′ | grep “\.js”
07/28/2010 10:57:08 192.168.5.25 69.192.143.238 > GET www.quickquote.lincoln.com /static/com/forddirect/presentation/constants/SkinConstants_lincoln.js HTTP/1.1 – -
07/28/2010 10:57:08 192.168.5.25 69.192.143.238 > GET www.quickquote.lincoln.com /yui/yahoo-dom-event/yahoo-dom-event.js HTTP/1.1 – -
07/28/2010 10:57:08 192.168.5.25 69.192.143.238 > GET www.quickquote.lincoln.com /static/com/forddirect/application/bp20/metrics/s_code.js HTTP/1.1 – -
Esse é a captura dos pacotes javascript que foram solicitados pelo host 192.168.5.25….
Ele é capaz de capturar pacotes nas portas 80, 443 e 8080 e utiliza a famosa libpcap para capturar os pacotes.. É uma alternativa ao tcpdump quando se quer extrair algo mais simples do protocolo HTTP
Site do projeto: http://dumpsterventures.com/jason/httpry/
Download: http://dumpsterventures.com/jason/httpry/httpry-0.1.5.tar.gz
[]‘s
Sergito
Uma ferramenta muito bem desenvolvida em perl, capaz de capturar os pacotes entre dois hosts by-passando senhas. Funcional somente em conexões sem criptografia, o programa consegue interceptar a negociação entre os 2 hosts e capturar os comandos enviados e o retorno do mesmo em um acesso remoto via telnet por exemplo.
+--------+ +--------+
| SERVER | <.......T..E..L..N..E..T......> | CLIENT |
|10.0.0.1| --------------+ +--------------|10.0.0.2|
+--------+ | | +--------+
| |
+------+
|SWITCH|
+------+
|
|
+--------+
|ATTACKER|
|10.0.0.3|
+--------+
Download: http://packetstormsecurity.org/sniffers/shijack.tgzPaper Completo: http://packetstormsecurity.org/papers/attack/tcp-session-hijacking_en.txt[]'sSergito
Hoje em dia tornou-se popular as distribuições que ajudam em tarefas específicas, pois é, recentemente foi lançada pelo Lenny Zeltser o REMnux, uma distribuição Linux e leve para auxiliar os analistas de malware em fazer engenharia reversa em malwares. A distribuição é baseada no Ubuntu e muito útil para a análise de malware baseado na web, tais como JavaScript malicioso, malware codado em java e arquivos Flash. Também possui ferramentas para analisar os documentos maliciosos, como
Microsoft Office e Adobe PDF, contém também utilitários para análise de malware alojados na memória. Nestes casos, o malware pode ser carregados no REMnux e analisadas diretamente no sistema sem a necessidade de outros OS.
Onde Fazer download: https://sourceforge.net/downloads/remnux/version1/
Por enquanto esta disponível somente a versão para vmware e o gerenciador gráfico utilizado é o Enlightenment.
Para logar no REMnux: Usuário “remnux” e senha “malware”.
Mais Infos sobre as novas versões: http://zeltser.com/remnux/
Um distribuição semelhante criada pelo Rob lee chamado SANS Investigative Forensic Toolkit (SIFT), que também foi criada para auxiliar nos cursos de Engenharia Reversa de Malware da SANS: https://computer-forensics2.sans.org/community/siftkit
[]‘s
Sergito
Se vc é daqueles que usa o windows somente para testar exploits, essa é uma boa dica! As vezes temos que compilar algum exploit no windows para realizar testes pois os mesmos pedem a biblioteca windows.h, porém há uma maneira de compilar esses fontes no linux gerando da mesma maneira um executável para os seus testes. Veremos abaixo como fazer isso de uma maneira muito simples com o MinGW e um fazer um teste com o famoso hello world.
Para as distribuições derivadas do debian, instale os pacotes: mingw32-binutils , mingw32-runtime e mingw32 . Os pacotes RPM até onde eu pesquisei, foram descontinuados. =(
Ou se quiser instalar via fontes vc precisa baixar: binutils (Source) e gcc (Source) e baixar o source do MinGW: http://sourceforge.net/projects/mingw/
Após a instalação ele criará no /usr uma pasta de acordo com a sua arquitetura com os binários e as bibliotecas, ex:
debian:/usr/i586-mingw32msvc# ls -la
total 28
drwxr-xr-x 5 root root 4096 Jul 13 23:34 .
drwxr-xr-x 13 root root 4096 Jul 13 23:34 ..
drwxr-xr-x 2 root root 4096 Jul 13 23:34 bin
drwxr-xr-x 5 root root 12288 Jul 13 23:34 include
drwxr-xr-x 3 root root 4096 Jul 13 23:34 lib
Pronto!! Agora iremos testar!! Vamos pegar o nosso famoso Hello World para teste….
debian:~# vi hello.c
/*
* Hello, World for Win32 in Linux
*/
#include <windows.h>
int main(int argc, char *argv[])
{
MessageBox(NULL, "Hello world!!", "Hello world!!", MB_OK);
return 0;
}
Salvamos o hello.c e iremos compilar…
debian:~# i586-mingw32msvc-gcc hello.c -o hello.exe
Agora é só executar o seus exploits no windows sem problemas!! Simples assim!!
Referências podem ser encontradas no site do projeto: http://www.mingw.org/
[]‘s
Sergito
Diversas vezes vc se deparou na situação que deseja capturar pacotes de um determinado protocolo para criar assinaturas de IDS ou até mesmo por questão de estudo, as vezes se torna cansativo instalar um software somente para sniffar o abraço da conexão ou as vezes não tem disponível a estrutura para a tal captura. Para isso, o wiki do wireshark disponibiliza exemplos de capturas de pacotes de diversos protocolos, são diversos arquivos .pcap para estudo.
Link: http://wiki.wireshark.org/SampleCaptures
[]‘s
Sergito
Um artigo antigo mas interessante, é o tunelamento do protocolo smb via ssh, recomendo a leitura..
http://www.blisstonia.com/eolson/notes/smboverssh.php
[]‘s
Sergito
Ncrack é uma ferramenta open source para crackear autenticação em redes, desenvolvido pelo famoso fyodor e o ithilgore a ferramenta trabalha muito rapidamente!! realmente é incrível msm, atualmente na sua versão ALPHA 0.01 é capaz de auditar somente alguns protocolos (SSH, HTTPS, TELNET, FTP), mas como dito pelo fyodor no seu blog, ele foi desenvolvido em módulos sendo possível fácil alteração para suportar outros protocolos.
É uma ferramenta ideal para auditar senhas fracas em grandes redes de uma forma confiável e rápida, ou pensando do outro lado, um brute force em serviços individuais.
Disponível para Windows, *nix e Mac OS X : http://nmap.org/ncrack/
Exemplo na Vm Debian:
debian:~# ncrack 192.168.48.10:21
Starting Ncrack 0.01ALPHA ( http://ncrack.org ) at 2010-01-29 23:35 Horário Brasileiro de Verão
Discovered credentials for ftp on 192.168.48.10 21/tcp:
192.168.48.10 21/tcp ftp: ftp password
Ncrack done: 1 services scanned in 6.03 seconds.
Ncrack finished.
[]‘s Sergito