11/7/15

Abusando del Android Debug Bridge (ADB)




El ADB es una herramienta versatil, tipo linea de comandos que nos permite comunicarnos con dispositivos android conectados.
Podemos encontrar la tool adb en el SDK de android en <sdk>/platform-tools/
Esta herramienta permite un acceso sin autenticacion* y sin obstrucciones, ya que corre como root. Como unico obstaculo el dispositivo debe tener el USB Debugging habilitado.
Podemos acceder por via de usb, conectandolo a la pc por el cable, y en la consola:
adb [-d|-e|-s] comando 

-d -e y -s son para conexiones directas a dipositivo, emulador o mediante numero de serie, en la web oficil se explica cada parametro.

Tambien se puede conectar por medio de la red, algunos dispositivos tienen el usb debugging habilitado por default, al igual que el servidor adb habilitado en el puerto 5555, si no, para habilitar el adb por red, debemos conectar el dispositivo mediante usb y en la consola
"adb tcpip 5555"
despues, una vez desconectado el usb, desde la consola
adb connect ip-del-dispositivo:5555

y ya podemos enviar comandos.

Podemos encontrar los comandos en la web oficial de desarrolladores de android:
developer.android.com/tools/help/shell.html
developer.android.com/tools/help/adb.html

Algunas de las acciones mas peligrosas que podemos realizar mediante adb son:
- Instalar aplicaciones .apk.
- Copiar archivos desde y hacia el dispositivo.
- Abrir una shell interactiva.

Para habilitar el USB Debugging en los dipositivos, tenemos que hacerlo desde opciones de desarrollador, si no tenemos la opcion de developer o desarrollador, vamos a Settings > About Phone > Build Number y tocamos 7 veces, de esa forma aparece la opcion.

Los ataques mas conocidos sobre adb son el juicejacking y el drive-by fisico (hice un post antes sobre esta tecnica, p2p-adb kos), el juicejacking consiste en armar una estacion para cargar baterias y, cuando la victima conecta su dispositivo a la estacion de carga, se le sube un malware.

Podemos, abusando del adb, mediante el exploit RageAgainstTheCage rootear nuestro dispositivo que tenga el bootloader bloqueado o locked.

*Aclaracion: algunas versiones mas recientes agregaron autenticacion para ADB.

Android Hacker's Handbook.

6/7/15

Hacker Team Leak #HackedTeam

El polemico Team de hacking italiano, tan controversial por sus practicas de espionaje tanto industrial como gubernamental, sufrio hoy un ataque que dejo su base de datos para la descarga de todos, mas de 500gb de herramientas, emails, datos de compañias, rootkits, malware, hasta inclusive pornografica, todo hecho publico y al servicio de la comunidad, abajo los links.




Links:
http://ht.musalbas.com/
https://mega.co.nz/#!Xx1lhChT!rbB-LQQyRypxd5bcQnqu-IMZN20ygW_lWfdHdqpKH3E
Mirrors en onion:





27/6/15

Cheat - CheatSheets en la Consola

Cheat nos permite crear y ver cheatsheets interactivas desde la linea de comandos. Me parece interesante porque soy malisimo para acordarme los comandos para la consola y esto es bastante util.

para instalarlo podemos usar:



o descargarlo desde hithub:

https://github.com/chrisallenlane/cheat

el uso es bastante simple, damos cheat y el nombre de la cheatlist, por ejemplo:




ademas podemos agregar cheatsheets de herramientas de seguridad, agregando los archivos al directorio de cheat.

https://github.com/Snifer/security-cheatsheets

Lo encontre en:
http://www.kitploit.com/

19/5/15

GPS Spoofing Movil - Android y iOs

Mediante estas apps, para iOs y android, somos capaces de dar una localizacion falsa desde nuestros dispositivos moviles. Sirve para evitar ser rastreados o simplemente para "mentir" acerca del lugar donde nos encontramos (amor donde estas? en casa, tu facebook dice que no.) o para saltear restricciones de acuerdo a nuestra ubicacion, por ejemplo el AppStore de apple solo permite bajar ciertas aplicaciones dependiendo del pais.

Para iOs necesitamos tener el dispositivo liberado mediante jailbreak, agregar el repositorio BigBoss a Cydia y tiene un valor de 3 dolares. Existen alternativas como LocationHolic, LocationSpoofer y Fake GPS pro o lite. (No probe hacerlo en iOs, si alguno lo prueba avisa)



Para android, primero tenemos que activar el "Developer Mode", vamos a Ajustes - Informacion del tablet - y tocamos 7 veces "Numero de compilacion" (build number en ingles), ahi nos deberia saltar un aviso que dice que somos desarolladores. Volvemos a Ajustes, y ahora existe una nueva opcion que se llama "Opciones de desarrollo", entramos a esta seccion y entre las muchas opciones permitimos las "Ubicaciones simuladas". con esto vamos a permiter a distintas apps, cambiar la ubicacion gps a nuestro antojo, pero para que realmente funcionen bien, tenemos que ir nuevamente a "Ajustes - Ubicacion - Modo" y cambiar a "Solo GPS", por lo menos asi es en mi tablet Nexus 7, la idea es dejar solo al gps para determinar la ubicacion, no wifi, no redes moviles, solo gps. Ademas muy importante, es correr la aplicacion que falsea la ubicacion, antes que las demas aplicaciones, asi tomaran la ubicacion "spoofeada"

Aca algunas apps, para hacerlos, algunas solo nos permiten ser usadas por 24 hs.

https://play.google.com/store/apps/details?id=com.blogspot.newapphorizons.fakegps
https://play.google.com/store/apps/details?id=ru.gavrikov.mocklocations
https://play.google.com/store/apps/details?id=com.lexa.fakegps <-- Recomendada!


De todas formas tenemos montones de opciones en GooglePlay
https://play.google.com/store/search?q=fake%20gps&c=apps

Informacion desarrollo para ubicacion

15/5/15

Firmware Reverse Engineering - Bypass WifiPineapple Verification






Esta  era la pantalla que nos estaba causando problemas, como no tenemos el hardware original de la WifiPineapple, pero si el software (firmware), no podíamos ver que leds eran los que estaban “On”, “Off” o “Blink”.

Mirando un poco, buscando, si alguien ya lo había hecho, y discutiendo con gente de la comunidad RemoteExecution, se plantearon algunas opciones como el bruteforcing del patrón de 4x3, sugerido por gonza_cabrera, pero como no tenia idea si el TL-MR3020 podia llegar a bloquearse o si había algúna medida de seguridad que saltara después de X cantidad de intentos, por miedo a que esto pase volvi a la idea original de encontrar una solución dentro del firmware.

Habia visto algunos videos de la BlackHat o de la DefCon donde realizaban un reverse a los firmwares de Camaras ips y de routers, asi que el principio tiene que ser el mismo, la verificación no se hace online asi que tiene que estar dentro del código.

Entonces con el Firmware-mod-toolkit extramos los archivos del firmare y los vamos revisando.
./extract-firmware.sh upgrade-2.3.0.bin

extrae todos los archivos de binario en la carpeta “rootfs”, lo que nos permite analizarlos carpeta por carpeta, archivo por archivo (parece como mucho quilombo).

Como yo ya había hecho este proceso y había pasado todos los archivos al pendrive, simplemente apague el mr3020, luego lo retire y pase a analizar desde mi pc. Voy a aclarar, que antes hice una prueba “online”, es decir con el router conectado a internet e ingresando a la dirección ip para el setup, y lo revise con el Live HTTP headers, para ver si me llevaba a algún lugar interesante, y esto adelanto mucho el trabajo como vamos a ver mas adelante.

La realidad, es que primero, me enfoque en un archivo js que era llamado en cada una de las paginas, pero la verdad me estaba confundiendo. Y voy a hacer otra aclaración, para programar soy un desastre y mis conocimientos son mas que básicos.



Como se puede ver, siempre va a la misma carpeta o directorio /includes/welcome y estas se encuentran dentro de la carpeta pineapple.
Si vemos dentro de la carpeta includes, se encuentra el header.php además de otras carpetas como la /welcome/ que básicamente el archivo header establece que va a estar en todas las paginas del sitio y muestra que funciones va a llamar, y que archivos va a incluir, entre ellas el archivo welcome.inc.php, que es donde la magia pasa.


Cuando revisamos este archivo, nos encontramos con la función que realiza la verificación entre otras. Una vez que me encontré con esa función function verifyPineapple($post) me comunique con Daniel Godoy, ya que no se una goma de PHP. A lo que me respondio, una papita, y después de pelear un rato encontró la manera de bypassear la verificación. El texto seleccionado en la imagen de abajo, hace la verificación, es el que hay que reemplazar.


El codigo que verifica es un condicionador IF, que de darse las condiciones que solicita, verifica el wifipineapple. Por lo que Daniel, me envio el parche, o bypass donde establece que como la condicion es correcta es decir TRUE, se debe verificar. Como se muestra en el texto seleccionado abajo.



Asique una vez completado esto, por si no se ve en la imagen el codigo es el siguiente:

/////Nulled #RemoteExecution
if (true)
{
    $_SESSION['verified'] = true;
    return passwordForm();
}
///////////////

Guardamos los cambios, insertamos el pendrive nuevamente en el MR3020 y navegamos a la configuracion, marcamos cualquier opcion, pero si o si todos los colores, le damos a Continue, y ahora a setear nuestra contraseña de root, despues de configurar todo lo que nos piden ya tenemos nuestro WifiPineapple Clone funcionando. Y como ven pwned!











14/5/15

WifiPineapple Casero - TL-MR3020



Vamos a reactivar un poco el blog, primero algunas aclaraciones, el tutorial a continuacion no es de mi autoria, simplemente traduje algunos manuales, recopile fuentes, etc, que las voy a nombrar al final del texto.

Que es WifiPineapple?

Es un "gadget" creado por Hak5, bastante caro, algo asi como u$d 100 o mas, tambien conocido como Jasager, que funciona como un Rogue AP que acepta todas las conexiones wifi, un cliente busca conectarse a una red, sin importar el SSID, este aparato responde "si soy yo, conectate" a todos.

Nosotros vamos a crearlo por un costo mucho menor, y relativamente facil (digo relativamente, porque para quienes esten acostumbrados a manejar linux les va a resultar muy facil, yo soy literalmente nuevo, asique por ahi se me complicaba)

Lista de materiales:

Hardware:
(1) TP-Link TL-MR3020 ver. 1.x (segun algunas fuentes, no funciona si no es 1.7, pero toda la info que lei nunca mencionaron esto)
(2) SanDisk Cruzer Fit USB Flash Drive (8GB) (en algunos manuales dice cualquier pendrive de 8gb, yo por las dudas compre esta que la especificaban en un tutorial)




Todo esto lo encontramos en digamos... WallMart.

Software:
(1) OpenWrt
(2) Wifi Pineapple firmware (con esto hay un temita que vamos a ver mas adelante)
(3) Kali Linux (mi caso) y por momentos Windows.

Paso 1 :

Descargamos OpenWRT (particularmente descargue la ver. 12.09 pero pueden probar una mas reciente) :



Configuramos nuestra IP como estatica y nuestro gateway asi:

IP : 192.168.0.10
Gateway : 192.168.0.1

Conectamos el TL-MR3020 a la computadora mediante el cable ethernet. Por default la IP para acceder al modem es 192.168.0.254. Asi que navegamos a esa direccion.

El usuario y contraseña por default es "admin".

Vamos a "System Tools" -- "Firmware Upgrade" y elegimos el archivo .bin con el firmware que acabamos de descargar.

Paso 2 :

Una vez que instalamos OpenWRT, la IP de nuestro mr3020 (el aparatito) cambia a 192.168.1.1.

Configuramos nuevamente nuestra IP como estatica y el gateway a :

IP : 192.168.1.10
Gateway : 192.168.1.1

En nuestro navegador vamos a 192.168.1.1, nos vamos a encontrar con el administrador web LuCi, ahi tenemos que configurar nuestra contraseña, que la vamos a utilizar para accerder via SSH, para eso vamos a la pestaña "System" -- "Administration".

Despues vamos a "System" -- "System" para setear el horario.

ahora tenemos que habilitar el wireless, vamos a la pestaña "Network" -- "Wifi" y le damos a enable.

Ahora tenemos que habilitar el DHCP, vamos a la pestaña "Network" - "Interfaces" - nos deberia aparecer una sola Interfaz, le damos a "Edit" - seleccionamos "DHCP Client" y despues "OpenWrt" clickeando en "Switch Protocol". (Si compro otro MR3020 subo imagenes de esta parte del proceso) Puede que tarde mucho tiempo en actualizarse el sitio, eso es normal. Es porque no puede asignarse una IP. Si tarda mucho continuamos.

Conectamos nuestro TL-MR3020 con el cable ethernet a nuestro modem de internet. y via wifi nos conectamos al TL-MR3020, el SSID es "OpenWrt". Asegurense de tener conexion a internet.

Una vez que tenga la IP, en mi caso 192.168.1.113, nos vamos a poder conectar al TL-MR3020 via ssh.




Ingresamos el password que habiamos colocado anteriormente cuando configuramos todo en LuCi.


Instalamos los siguientes paquetes :



Paso 3 :

Formateamos nuestro pendrive (8GB) haciendo una particion ext4 y otra swap, por ejemplo 2GB para swap (hacemos primero esta particion - sda1) y 6GB para ext4 (este formato lo hacemos despues para que sea sda2) yo lo hice con Gparted.

Insertamos el pendrive en el TL-MR3020. Y ejecutamos en la consola donde estabamos conectados via ssh los siguientes comandos (linea por linea, cualquier error puede brickear (dejar como ladrillo) nuestro aparato. Yo aca tuve algunos problemas por tener la particion ext4 como sda1.



Paso 4 : En la consola



Editamos el contenido con vi:

Cambiandolo por esto :



Comandos para vi si no estan familiarizados :
i - modo insertar editar
Esc - salimos del modo editar
:w - escribe y guarda los cambios
:q - salir de vi

y luego reiniciamos con :



Una vez que se reinicia nos conectamos nuevamente via ssh. Y chequeamos si el usb esta como "/" o no :

 

Paso 5 :

Apagamos el TL-MR3020 retiramos el Pendrive y lo colocamos en nuestra computadora.

Hacemos un backup del pendrive, haganlo asi porque despues vamos a necesitar las carpetas.



***Aclaracion /media/NOMBREDELPENDRIVE/ donde dice NOMBREDELPENDRIVE va a ser una serie alfanumerica aleatoria.

Hagan tambien un backup del directorio /lib.

No retiren el pendrive porque lo vamos a seguir usando.

Paso 6 : IMPORTANTE - Aca hay un temita como mencionaba mas arriba, yo instale la ultima version del firmware del Pineaple (2.3.0), el cual se descarga de la web oficial como todos los demas, pero me di cuenta una vez que tenia todo instalado, que tiene una verificacion cuando hacemos el setup, que todavia no pudimos bypassear con d0t, por lo tanto si tienen ganas de tener su gadget funcionando YA! descarguen la version 2.0.4 o la 2.2.0 (segun un manual mas reciente, desconozco si tiene la misma verificacion) y no la 2.3.0 que es la ultima y que es la que estamos intentando bypassear/crackear.

Descargamos entonces el firmware del Pineapple que queremos, en este caso el 2.0.4 para los ansiosos :



Instalamos el firmware-mod-kit, esto tambien me trajo problemas, hay que agregar repositorios que dejo la lista al final del post, e instalar unas librerias previas para que funcione, por lo tanto primero :


la libreria liblzma-dev me trajo problemas, https://code.google.com/p/firmware-mod-kit/wiki/Documentation?tm=6 https://code.google.com/p/firmware-mod-kit/wiki/Documentation?tm=6 instalen squashfs-tools tambien por las dudas


Una vez que tenemos todo instalado y los repositorios corregidos, instalamos el firmware-mod-kit (excelente software para hacer ingenieria inversa)

 
Y extraemos todas las carpetas, librerias y archivos del firmware del Pineapple asi:



Nos colocamos en la carpeta donde extrajimos los archivos y copiamos las siguientes a nuestro pendrive.

 

Paso 6a :

Para que nuestra "victima" pueda navegar por internet mediante el Pineapple, necesitamos cambiar el DNS y el Gateway en /etc/config/network (dentro del pendrive) de 172.16.42.1 a 172.16.42.42. Y, el DNS a 8.8.8.8

Paso 7 :

Colocamos el pendrive en el TL-MR3020.

Lo conectamos a nuestro router o modem de internet, prendemos el TL-MR3020 y esperamos a que se bootee (todos los leds verdes). Corremos el script "wp5.sh" (Vea el Paso 8) en nuestra computadora. Aca nos van apareciendo opciones que podemos modificar para setear el Pineapple, una vez que terminamos de darle Enter a todo, navegamos a la IP que nos muestra en pantalla. Nos pide la password que habiamos configurado anteriormente.



Paso 8 (Conectividad) :

Esta es una de las maneras de conectar el Pineapple (TL-MR3020), via tethering :

Conectamos nuestra computadora a internet via wireless o 3G.

Y conectamos con un cable ethernet el Pineapple a nuestra computadora (todavia hasta donde lei, no se puede conectarle otra tarjeta wifi al mr3020).

Decargamos el script que mencionamos en el Paso 7 a nuestra computadora.



o armamos el archivo wp5.sh si no funciona la descarga:



Ahora si todo va bien, deberiamos poder navegar por internet y deberiamos poder conectarnos al Pineapple, ademas las "victimas" que se conecten al Pineapple deberian poder navegar sin problemas.

Una vez que queremos terminar con el "ataque", corremos el siguiente script creado por Samiux.
antes lo hacemos ejecutable y damos permisos.



 Script killwp5.sh:




Para tener acceso nuevamente, tenemos que correr ./wp5.sh

Algunos videos interesantes, que fueron tambien fuente:


Videos:
https://www.youtube.com/watch?v=GVmRsXGimag
https://www.youtube.com/watch?v=ttDQQqyVaIA
https://www.youtube.com/watch?v=BiPUryMLn2g

 Notas: no todos los ataques (infusiones) van a funcionar, pero es un lindo proyecto para armar, es importante seguir paso a paso todo, para no "brickear" nuestro mr3020.

Fuentes:
http://samiux.blogspot.com.ar/2014/11/blueberry-wifi-pineapple-mark-v.html LA MAS IMPORTANTE
https://forums.hak5.org/index.php
http://wiki.khairulazam.net/index.php?title=Wifi_Pineapple_Mark_V_on_TP-Link_MR3020
https://code.google.com/p/firmware-mod-kit/
http://semaraks.blogspot.com.ar/
http://wiki.wifipineapple.com/index.php/Main_Page
http://www.symbyote.info/?page_id=291
https://penturalabs.wordpress.com/2013/04/25/blue-for-the-pineapple/

 Repositorios:
 

---------------------------------------------------------------------

Aca esta lo que mencionaba en el paso 6 con el nuevo firmware:




Se aparece un cristo detras de la pantalla que no permite cometer maldades, no mentira, como metodo de seguridad para evitar robos (y lo mas seguro, tambien falsificaciones), hak5 añadio un metodo fisico de seguridad. El tl-mr3020 no tiene los 4 leds de colores que trae el WifiPineapple original, por lo tanto no sabemos que leds estan prendidos, ni cuales parpadean, ni cuales estan apagados, por lo tanto no podemos ingresar el patron que nos solicita para continuar. Se supone que en las versiones anteriores de firmware no lo pide. Por eso con d0t estamos mirando como hacer una ingenieria inversa para bypassear este patron, para hacerlo hay que revisar todos los archivos del firmware luego de que los extraemos con el Firmware-mod-toolkit. Si alguno sabe como hacerlo bienvenido sea.


Extras:
- Estoy pensando en colocar un cargador portatil, o battery pack, para no tener necesidad de enchufarlo.
- Que pasa si lo colocamos en un drone? En mi caso un Phantom 2 vision plus, con hasta 2 kilos de carga
- Se puede extender el rango de la antena?
- https://github.com/PenturaLabs/web-interface (No probe aun)
- https://github.com/PenturaLabs/Pineapple-Confs (Tampoco probe esto)

23/4/15

Damn Vulnerable iOS Application (DVIA): aprende seguridad en iOS

Damn Vulnerable iOS Application (DVIA) es una aplicación de iOS vulnerable. Su principal objetivo es proporcionar una plataforma de seguridad móvil a entusiastas, profesionales y estudiantes para poner a prueba las habilidades en Penetration Test de iOS 8.1.

Esta aplicación cubre todas las vulnerabilidades comunes encontradas en las aplicaciones de iOS, cubiertos por OWASP Mobile Security y contiene varios desafíos que el usuario puede probar.

Esta aplicación también contiene una sección donde el usuario puede leer varios artículos sobre seguridad en aplicaciones iOS. Este proyecto es desarrollado y mantenido por @prateekg147, es gratuito y de código abierto y puede ser descargado aca y las soluciones pueden ser descargadas de  aca.






Los tutoriales los encontramos aca.


El unico problema es que la informacion es en ingles, pero bueno, habia que activar el blog.

Fuente: Segu-Info - Cristian de la Redacción de Segu-Info & http://damnvulnerableiosapp.com

24/3/15

MeterSSH - Meterpreter via SSH

MeterSSH es una manera relativamente sencilla de inyectar un shellcode nativo en la memoria y enviar todo al atacante a travez de un tunel ssh y todo con un solo archivo python. Python puede ser convertido a ejecutable a travez de pyinstaller o py2exe.

MeterSSH es sencillo – simplemente editamos el archivo meterssh.py y agregamos la ip, puerto, usuario y contraseña de nuestro servidor SSH y corremos el script. Lanzara un meterpreter mediante inyeccion de memoria (en este caso windows/meterpreter/bind_tcp) asociado al puerto 8021. El modulo Paramiko (python SSH module) es utilizado para tunelizar meterpreter a travez del puerto 8021 a la maquina atacante.

Lanzamos el payload meterssh:

Luego corremos monitor.py el cual monitorea la conexion ssh y lanza automaticamente Metasploit una vez que detecta la conexion.


Luego,  Metasploit es lanzado y tenemos una sesion meterpreter en la maquina victima a travez de un tunel ssh.


Descargar MeterSSH desde Github

Hay dos archivos, monitor.py and meterssh.py.

monitor.py – corremos este script para monitorear o escuchar conexiones SSH, una vez detectada lanza metasploit automaticamente.

meterssh.py – esto es lo que necesitamos correr en la maquina victima – como no todas las maquinas tienen Python instalado debemos compilarlo para que sea ejecutable con py2exe o pyinstaller.

Los campos que debemos editar en meterssh.py:

user = “USUARIO”
# password for SSH
password = “CONTRASEÑA”
# this is where your SSH server is running
rhost = “IP”
# remote SSH port – this is the attackers SSH server
port = “PUERTO"

Fuente: www.trustedsec.com

23/3/15

MDK3 Atacando Access Points

MDK3 es una herramienta para testear puntos de acceso o routers inalambricos, realizando ataques de denegacion de servicio. Tiene algunas opciones y posibilidades interesantes como realizar fuerza bruta a filtros mac, o a ssids ocultos, inundar el espectro con ap's falsos, desconectar a alguien de la red, etc.

Modo de uso:

mdk3 <interfaz> <modo de testeo> [opciones]

para mas información mdk3 --fullhelp

Algunos ejemplos de ataques y modos de testeo.


Hacer visible un SSIDs mediante ataque de diccionario o fuerza bruta.


Diccionario:



Fuerza Bruta:


Los caracteres pueden ser:
a: todos los caracteres
l: solo minusculas
u: solo mayusculas
n: solo números
c: mayusculas y minusculas
m: mayusculas, minusculas y numeros

Para los siguientes ataques se necesita colocar el interfaz en modo promiscuo/modo monitor.

Ataque Beacon Flood.

Este ataque envía beacons y llena el espectro de “aps falsos”
primero establecemos el modo de ataque b, y luego las diferentes opciones:
-n establece un ssid
-f <nombredearchivo> obtiene los ssid desde archivo
-v <nombredearchivo> obtiene los ssid y macs de archivo
-w encripcion wep
-g muestra la estación como 54mb
-d muestra a la estación como ad-hoc
-t muestra la estacion usando una encriptacion  WPA TKIP
-a muestra la estación usando una encriptacion WPA AES
-m utiliza una MAC valida
-h salta al canal del ap spoofeado
-c canal
-s velocidad de paquetes por segundo




Ataque de DoS de Autenticacion.

Se realizan tantas peticiones de autenticación a un AP que podría reiniciarlo o crashearlo.
Establecemos modo de ataque a y las opciones:
-a mac del ap a testear
-m utiliza una MAC valida
-s velocidad de paquetes por segundo



Ataque para echar o kickear clientes de un AP.

Necesitamos crear un archivo de texto con las MAC a atacar
Establecemos modo de ataque d y las opciones:
-w <nombredearchivo> archivo que contiene macs a ignorar (whitelist)
-b <nombredearchivo> archivo con las macs a sestear (blacklist)
-s paquetes por segundo
-c canal



Ataque Michael (TKIP).
Establecemos el modo de ataque m y las opciones:
-t <bssid victima>
-w <segundos> segundos entre “rafagas” de ataque por default 10
-n <paquetes por rafagas> por default 70
-j utiliza el QoS-exploit, se requieren menos paquetes para hacer caer el AP
-s velocidad de paquetes por segundo

 

Ataque de fuerza bruta a un filtro MAC.
Este ataque utiliza una lista de direcciones mac conocidas y trata de autenticarlas con el ap objetivo. Actualmente solo funciona en AP's que deniegan una autenticacion abierta de manera correcta.

Establecemos modo f y las opciones:
-t <bssid> el bssid victima.
-m <mac> establece un rango de direcciones mac a utilizar (3 bytes, por ejemplo 00:12:34) sin la opcion -m, se utiliza la base de datos interna.
-f <mac> establece por que direccion mac empezar el testeo.
No se puede utilizar -f y -m al mismo tiempo.



Me olvidaba, la idea en algunos de estos ataques es por ejemplo que se reinicie el ap para obtener el wps, u obligar a que se haga un reseteo y asi tener las configuraciones por default, pero tambien sirve por ejemplo para atacar Drones.

[Python] WhatsApp Remote Reboot/Crash App Android Yowsup

Nuevamente desde #RemoteExecution un ataque que permite "crashear" un telefono mediante whatsapp, fue probado en android, insertar el mensaje que aparece en http://pastebin.com/raw.php?i=CZChGAnG luego de " message = message = " al final del codigo.

 

19/3/15

Vane - WPScaner version GPL




Como muchos saben WPScan se volvio comercial, asi que los ex miembros del equipo hicieron una version gratuita del escaner de vulnerabilidades de WordPress que ahora se llama Vane.

Descargarlo > https://github.com/delvelabs/vane

Pre-requisitos para instalarlo

    Windows no soporta.
    Ruby => 1.9
    RubyGems
    Git


Argumentos en Vane

   


Ejemplos


Checkeo no intrusivo.

Ataque de fuerza bruta de contraseña en los usuarios enumerados usando 50 threads.

Ataque de fuerza bruta de contraseña solo en el admin

Enumerar plugins instalados

Fuente: https://github.com/delvelabs/vane & n0where.net

9/3/15

[PHP] Crashear WhatsApp usando WhatsAPI

PoC WhatsApp Crash

Como siempre, en la comunidad Remote Execution, se hacen excelentes aportes, el autor de esta herramienta o exploit y de la prueba de concepto es el_rodrix, que utiliza la api WhatsAPI + un codigo en php para Crashear el whatsapp de nuestra victima. Fue probado en un telefono con android.


         


Modo de uso, en la consola:

php wacrash.php 549XXXXXXXXXX

Recuerden que el numerp de contacto que van a crashear debe ser de 13 dígitos.

En la variable $msg deben copiar y pegar el contenido del pastebin siguiente

http://pastebin.com/bStYBbpd





Veil Evasion

Leyendo un poco el blog de Christopher Truncer encontre el Veil-Evasion que es una herramienta para generar payloads ejecutables compatibles con Metasploit para evadir los antivirus, en python.
El codigo para descargar se encuentra en https://www.github.com/Veil-Framework/Veil-Evasion/ y es parte de un proyecto mas grande "Veil Framework" que se encuentra en https://github.com/Veil-Framework/Veil el cual los autores recomiendan tambien descargar e instalar.

Como se puede ver el uso es bastante sencillo, es cuestion de ir eligiendo que tipo de encriptacion queremos darle al payload. Para mas informacion del autor y sobre la tool pueden visitar su blog https://www.christophertruncer.com/veil-a-payload-generator-to-bypass-antivirus/

Segun lei la ultima actualizacion fue el 15 de septiembre, pero tambien pueden ver sobre actualizaciones, cambios, informacion etc en https://www.veil-framework.com/

NetHunter

La gente de Offensive Security, creadores de los ya conocidos Backtracks y Kali Linux,  nos sorprenden con un proyecto en el que vienen trabajando, segun ellos, hace ya un tiempo y ahora actualizado, el Kali NetHunter, se trata de una plataforma de testeos de penetracion sobre ARM basado en Kali para Android, particularmente para los Nexus.
 Ademas de las ya conocidas herramientas de Kali, agregaron algunas caracteristicas unicas y especiales como la posibilidad de tener una session full de VNC desde el telefono. Pero esto no termina ahi.
 Tambien tiene pre-programados ataques HID Keyboard, BadUSB Man In The Middle (Presentado en la conferencia BlackHat 2014), Evil Access Points, Rogue AP, etc.



Actualmente y por el momento, segun sus creadores, es solo compatible con los siguientes dispositivos:

    Nexus 5 (GSM/LTE) - “hammerhead”
    Nexus 7 [2012] (Wi-Fi) - “nakasi”
    Nexus 7 [2012] (Mobile) - “nakasig”
    Nexus 7 [2013] (Wi-Fi) - “razor”
    Nexus 7 [2013] (Mobile) - “razorg”
    Nexus 10 - “mantaray”

Lo pueden descargar de aca, http://nethunter.com/, y tambien en la misma web, nos dan una explicacion paso a paso de como instalar.

El dispositivo tiene que estar Rooteado y debe tener habilitado el Modo Desarollador (Developer Mode).

Yo lo tengo instalado en mi Nexus 7, y la verdad que va como piña, justamente lo actualize ayer, y ahora tiene un monton de herramientas nuevas, y la posibilidad de agregar hardware como el HackRF con el Rf Analyzer. Otro ataque es el del post anterior de Bypass con DriveDroid y Kon-boot. Como les decia, cargado con un monton de herramientas, muy estable, y lo importante, nadie sospecha de una tablet o un telefono.

ImageJs: Inyectado javascript a una imagen

ImageJs

Pequeña herramienta para incluir un javascript en un archivo de imagen valido.
Actualmente soporta gif y bmp.

Uso:

Correr 'make' para compilar y luego run 'imagejs option jsfile.js' el archivo imagen de salida tendra el nombre del archivo de entrada + extension de imagen .. Las opciones son .bmp y .gif

Example:

$ ./imagejs gif code.js
crea el archivo code.js.gif

se pueden descargar los binarios compilados de jklmnn.de.

Los archivos soportados: gif, bmp, webp, pnm

Background:

Esta herramienta permite crear una imagen que corre un codigo Javascript. Un archivo como este tiene la capacidad de extender las posibilidades de una explotacion via XSS. Por ejemplo, desde imagenes de perfil.

Autores: Ajin Abraham (Concepto) Jklmnn (Codigo)

Descarga: https://github.com/jklmnn/imagejs

Traducido desde https://github.com/jklmnn/imagejs

+ info: http://jklmnn.de/imagejs/

y el aporte de gonza_cabrera

Un enlace para profundizar su uso utilizando algun Framework de explotacion de XSS como BeeF.
http://iamajin.blogspot.in/2014/11/when-gifs-serve-javascript.html 

Xposed SMS class 0

Por si no se nota, cambie de ios a android, para hacking con dispositivos moviles (tablets y telefonos).

Investigando un poco, mas que nada la localizacion de dispositivos, porque una amiga recibio un mensaje, de los que se dice son de una trata de blancas o de reclusos para intentar secuestros virtuales, me encontre con algunas cosas interesantes, entre esas: SMS Invisibles, Class 0 SMS, Silent Messages, etc.
Que son un tipo de ataque, tengo entendido que usa la policia en alemania, para localizar dispositivos. Se envia un sms, el cual el destinatario no puede verlo (no hay mensaje, notificacion, sonido, es como si no pasara nada), y el telefono solo devuelve una respuesta con las coordenadas, supongo que la localizacion se hace mediante las torres de comunicacion, tambien se pueden realizar ataques tipo Ddos para gastar la bateria, etc.

La verdad no tenia idea de como hacerlo, asique pedi ayuda a la gente del foro, y zorrokin trajo la solucion.
Se utiliza el framework Xposed, y el modulo Hushsms


Lo bajan de http://repo.xposed.info/module/de.robv.android.xposed.installer
Los que tienen lollipop de http://forum.xda-developers.com/showthread.php?t=3034811
En lollipop instalan la app y despues por recovery (twrp, cwm) flashean el zip que contiene el framework.
Y despues instalan la app que envía los sms

Una vez que la instalen abren xposed se van a módulos y activan hushsms, reinician el teléfono y listo ya pueden usar hushsms y enviar mensajes de tipo class 0.
(cita Zorrokin)
- Los mensajes Class 0 llegan tipo push, es decir aparecen en la pantalla como notificacion, pero no se pueden guardar, hay paises u operadoras donde aparecen Anonimos y otros en que no.
- La opcion Sms Ping, sirve para localizar telefonos (en teoria), tambien en algunos paises esta prohibido, alemania usaba este tipo de sms para localizar gente, devuelve las coordenadas al remitente y no avisa al destinatario. (tambien se hacia como un ddos con sms ping para descargar la bateria del destinatario)
- Wap push es tambien un mensaje push pero al que se puede incorporarle un link.
- MWI Message, esta opcion permite activar y desactivar el icono que nos avisa que tenemos un mensaje en el buzon de voz, se coloca el numero de la "victima", y podemos activar o desactivar el icono a nuestro gusto, la victima llama al buzon de voz y aparece somo si no tuviera nada, pero la notificacion va a seguir apareciendo hasta que desactivemos. En teoria la unica forma que tienen de hacerlo desaparecer es hacer un wipe.
- MMS Notification, se utiliza para promociones (puede que funcione de forma anonima) y si no me equivoco tambien se puede agregar un link para descarga.
- Replace SMS, sirve para reemplazar mensajes que ya hemos enviado.



Nota. No todas las opciones funcionan para "atacar" un Iphone.


App SMS Ping Flood

https://mega.co.nz/#!YMMxTaDK!T6NDwfJkMNlKMOg1vQ0XBojxhMLCFb3VB4D1nhG4PKI

Volvi! DriveDroid + Kon-Boot = Login Bypass

Disculpen, de tanto posponer posteos, se me pasaron dos años (?) no siempre tenemos tiempo, pero prometo actualizar el blog mas de seguido, y traer posteos que hago en el foro aca.
 -----------------

DriveDroid + Kon-Boot = Login Bypass 

Drive Droid es una aplicacion para android, que la podemos encontrar en Google Play, que nos permite bootear una imagen .iso o .img desde nuestro dispositivo android actuando como un usb o cd. Esto nos sirve para correr una distro linux o un inicio seguro de windows sin necesidad de ir quemando distintos cds o grabandolos en un usb.
Desde la aplicacion podemos descargar imagenes (iso o img) y agregar distintas desde archivo.






Ahora bien, la parte interesante. Jugando con NetHunter, la version ARM de Kali Linux, encontre un tutorial de offensive security donde utilizando esta aplicacion y una img de Kon-Boot 2.4 bypassean el login de windows hasta 8.1 inclusive, y de OSx Yosemite. El procedimiento es bastante sencillo:

- Se conecta el dispositivo mediante usb a la pc o mac.
- Abrimos DriveDroid y elegimos la imagen de KonBoot 2.4 y dejamos que cargue.
- Al prender o reinciar la pc o mac, entramos al menu de booteo BIOS.
- Elegimos que bootee desde USB (o cd, algunas pcs lo toman como cd, la aplicacion nos avisa)
- Una vez que vuelva a arrancar windows, nos aparecera el menu de login, pero vamos a poder entrar sin usar contraseña, solo dando enter.

Hasta aca todo muy lindo, pero de mi parte es solo teoria, porque no pude conseguir el Kon-Boot ya que ahora se volvio comercial, si alguien lo consigue bienvenido sea, peeero podemos cargar otras distros como Ophcrack, o alguna para hacer analisis forense o inclusive el mismo kali.

Aca un video de como lo hace la gente de Offensive Security.

Video: https://vimeo.com/113732824

DriveDroid: https://play.google.com/store/apps/details?id=com.softwarebakery.drivedroid&hl=es
------

Ya me enviaron un link del Kon-boot :)

https://mega.co.nz/#!NYNm3QJQ!mUjG1bi-4gwAj9ZahCbqtZdyJF8Wo2T7rnLP1ZzawPM (No se que version sera).