martes, 17 de septiembre de 2013

#CPQuito3 Ahí vamos



Esta vez... nos vamos para el extranjero... junto con @wcu35745 y @MauricioUrizar Nos vamos para el campus-party de quito, nos vamos para Ecuador para exponer sobre el arte del scripting, esta ves hablaremos sobre un poco de todo en cuanto a scripting, hablaremos sobre scripting en windows, scripting en linux y como plato fuerte, como scriptear con python para llegar a realizar labores complejas teniendo como base código simple... al mero estilo de #TumiTool

Ya había dedicado todo un post anteriormente a lo que es scripting y al porque de aprenderlo por ende no tengo mucho mas que decir... solo que aquellas personas que tengan lo oportunidad de ir no se pierdan este taller...

Originalmente el taller se llama Desarrollo de Herramientas de Hacking sin embargo en la agenda aparece como Scripting para Pentesters, el taller se dictará el 21 de setiembre de 2013 a las 21:00 así que aquellos ecuatorianos que lean el blog o a las personas que vayan a ir a este evento les recomiendo asistan al taller además obsequiaremos unos llaveros bien cheveres de #TumiTool para aquellos que aporten en el taller.


Saludos,
Dedalo.

sábado, 31 de agosto de 2013

¿Por que aprender el arte del Scripting?



Estimados... resulta que el otro día en una reunión en mi trabajo, estábamos hablando de la importancia de aprender scripting, python, perl, bash, powershell y demás, entonces el Big Boss dijo que lanzaría un taller de scripting en el se enseñaría a scriptear para poder pentestear mejor... ¿en que sentido?

¿Cuantos saben para que es el archivo .gnmap?

Les comento tiene la g de grepable traducido al espanglish grepeable, es decir usar el comando grep de linux... Imaginemos el Administrador dice porfavor Dedalo has un reporte y muestrame los hosts activos del rango en el que estás:

hacemos un nmap para ver los hosts "UP"

nmap -v -sP 192.168.137.0/24 -oA seguridadblancahosts

Luego hacemos un ls nos devuelve algo asi:

seguridadblancahosts.gnmap
seguridadblancahosts.nmap
seguridadblancahosts.xml

entonces luego tenemos los archivos con bastante basura tienen textos de nmap y para limpiar tenemos que abrir un gedit y estar limpiando arriesgandonos a errores... entonces que hacemos algo bien chevere...

cat seguridadblacahosts.gnmap | grep "Up"

:O Dios!!!! me mostró toda la lista bien ordenadita... lo que hice fue poner que solo se mostraran las lineas que tuviesen la palabra Up...

Host: 192.168.137.1 () Status: Up

Interesante no? ahora imaginemos que pues no queremos que diga Host: le agregamos algo mas a nuestro script...

 cat seguridadblacahosts.gnmap | grep "Up" | cut -d ":" -f 2

Lo que hago con el cut es cortar la linea donde hay ":" y cojo la segunda división... es decir...

Esta línea: Host: 192.168.137.1 () Status: Up

se divide en:

Host
192.168.137.1 () Status
Up

Esos tres campos yo dije que se escoja el segundo... es decir ahora tenemos

192.168.137.1 () Status

Ahora eso que dice () Status como que no se ve muy bien no?

 cat seguridadblacahosts.gnmap | grep "Up" | cut -d ":" -f 2 | cut -d "(" -f 1

Ya deben imaginarse masomenos lo que hice... y nuestro nuevo output es...

192.168.137.1

Genial ahora esta lista la pidio mi jefe y como no quiero estar copiando de la consola abrir un gedit o hacer nano o lo que prefieran y estar abriendo mas cosas pues hago esto...

 cat seguridadblacahosts.gnmap | grep "Up" | cut -d ":" -f 2 | cut -d "(" -f 1 > reporte1.txt

y listo tenemos algo interesante hecho con bash y el resultado de nuestro NMAP... así como esto lo podemos hacer con los resultados de todo... Nessus, Nikto, SQLMAP, ETC, además lo podemos usar para ejecutar acciones en cierto momento... nos ayuda a hacer todo automático y todo desde la consola...

En el Campus Party se ha abierto un curso de Scripting excelente dictado por @wcu35745 y @MauricioUrizar Les recomiendo que asistan yo no sabía casi nada de scripting con bash ahora me ayudo bastante con mis reportes y en el momento de lanzar mis scaneos, gracias a ellos 2, me enseñaron bastante lo que puse arriba es sólo un ejemplo de lo útil que es hacer un par de comandos en tu consola... Walter publicó un artículo en su blog en el cual mostraba este script...

#!/bin/bash
#Uso : xtracthosts.sh dominio wget|directorio archivo_urls
#dominio como acme.com (sin nombre de host ni cname)
#la palabra wget o el nombre del directorio de una descarga previa
#archivo de texto con urls como http://www.acme.com y https://www.acme.com
#Si, en mi desorden, publique primero una version que no es la ultima
if [ $2 = "wget" ]; then
    wget -r --no-check-certificate -i $3
fi
if [ $2 != "wget" ]; then
    cd $2
else
    cd www.$1
fi
url="http|https://*.$1"
grep -R -E "$url" * | cut -d "/" -f 4 | cut -d '"' -f 1 | grep $1 | cut -d "'" -f 1 | sort -u > ../hosts-$1.txt
cat ../hosts-$1.txt
cd ..


Lo que hace el script básicamente es sacar links de un site que tu le des con profundidad infinita usando full bash... como les comentaba esto es bastante útil.. 12 líneas de código sin bajar nada y puedes sacar links que posterior mente te pueden ayudar para ataques...

http://sched.co/13iGAv6

les invito a que se registren para ir al entrenamiento... Está excelente... Aquí pueden consultar los precios...

lunes, 26 de agosto de 2013

[PHP] Funciones de hashing de contraseñas

¿Por que usar Hash?
Todos sabemos que es importante tener contraseñas seguras en nuestra base de datos de forma de que si algún "hacker" logra entrar en ella le sea muy difícil o imposible descifrar la contraseña usando saltos, php ha implementado una función password_hash a partir de PHP 5.5. Pero para los que no tienen PHP 5.5 se puede usar una implementacion password_compat  la cual solo funciona en PHP >=5.3.7.


Constantes predefinidas

Las usamos para crear el hash de la contraseña. Existen dos:

PASSWORD_BCRYPT - se utiliza para crear un hash de la contraseña con el algoritmo CRYPT_BLOWFISH.


if(CRYPT_BLOWFISH == 1){
    echo '<br />Blowfish: '.crypt('rasmuslerdorf','$2a$07$usesomesillystringforsalt$')."\n";
    }
PASSWORD_DEFAULT - si no se especifica otro algoritmo se utiliza este por defecto.

Password Hashing

Aqui ahora si vamos al tema! :D





En este caso como mi version no es la requerida para usar esta funcion utilizare la libreria que podemos descargas solo es necesario el archivo password.php


Funcion password_hash()

Esta funcion  lo que hace es crear un hash de contraseña. Tiene los siguientes parametros:


password_hash($acalacontraseña,$acaloquegeneralacontraseña,
$acaopcionesdelquegeneralascontraseñas)

$acalacontraseña - Es la contraseña que se utilizara
$acaloquegeneralacontraseña - Es el algoritmo que se utilizara
$acaopcionesdelquegeneralascontraseñas - Son opciones para el algoritmo que cifra cada algoritmo tiene sus opciones.


Un ejemplo:









El resultado es el siguiente:



Funcion password_verify()

En otro caso supongamos que si insertamos esos datos, en una db con un salto mas seguro, podemos empezar a verificar esos datos usando de manera rapida esta funcion, la cual comprueba que la contraseña coincida con el hash, su sintaxis es:

password_verify($contraseña,$hash)

$contraseña - La contraseña, si suponemos que es un login podria ser la entrada del usuario
$hash - El hash que generamos con la funcion password_hash()

Un ejemplo:

En este caso podriamos usar un select para seleccionar los datos como es la contraseña si estuviera guardada en una base de datos y asi verificarla, pero como es un ejemplo, entonces aqui esta:



Si ingresamos algo que no sea micontrasena en el campo de password entonces nos devolvera un mensaje de error:


Pero en caso de que ingreses micontrasena devolvera un mensaje de que te has logeado correctamente.




Y bueno eso seria todo hay otras dos funciones que son:

password_need_rehash()
password_get_info()
No menos importantes pero no van a ser explicadas aqui.

Espero que este apartado les haya sido de utilidad y lo usen en sus proyectos. :)
 

jueves, 22 de agosto de 2013

Pentesting a JustCloud. Un servicio de espacio en la nube

Hola!  a Todos.. pensando en que iba a publicar.. para hoy.
decidí pensar en mis antiguos mails. y revisándolos encontre un reporte de Fallo de seguridad sin respuesta. Si, el 10 de Abril realize un reporte al equipo de JustCloud. y hasta el sol de hoy no me han respondido. pero tranquilos que ellos ven el post y en unas semanas estará todo fixed.




Bueno empezemos.
Url Target: justcloud.com
                  my.justcloud.com


Vulnerabilidad Encontrada:
  • Paraiso Cross Site Scripting ( Reflected - Persistente - DOM)
  • CSRF - XSRF
Okey. Bueno os cuento como llegue allí. hace un tiempo testeado algunos servicios de espacio en la nube me tope con este servicio. pero lo que se me hace "chistoso" es que no contaba con una auditoría de seguridad adecuada. En ese tiempo testé unos 5 Portales de Almancenamiento en la nube. acá otro post "Anécdota de un XSS".
Bueno empezemos con Cross Site Scripting Refleted:
https://my.justcloud.com/devices/%22%3E%22%3E%3Cimg%20src=x%20onerror=alert%28document.write%29;%3E
en esa y en 10 mil lugares mas !!.. okey como en 8 o 9 ubicaciones mas..

Bueno Pasamos a Cross Site Scripting Persistente: 
Esta esta localizada en la parte del perfil en donde al cambiar el numero del telefono por un vector Cross site scripting este Automaticamente. queda interno en la cuenta.
Ahora Pasamos a DOM! Unos de mis favoritos! jejej.
este se encuentra en dominio principal. y se debe al mal implementacion de "location" del Js.
revisando un poco del codigo:

y como era de esperarse todo script puesto junto "#" ejecutaba!
http://www.justcloud.com/terms#%22%3E%3Cimg%20src=x%20onerror=prompt%28%22xss%22%29;%3E

Tambien realize un PoC para cambiar la contraseña por medio de html pero Dejare esto hasta aqui. yo creo que ya quedo claro que la platforma es vulnerable a 100!
Arriba habia dicho que no contaba con auditoria de seguridad y esto lo digo ps muy facil hoy le pase el escaner de seguridad Acunetix. aunque no me confio en sus resultados ( Es Seguro Acunetix? ) Pero Decidi hacerlo y fue lo que me esperaba..

  • 44 Cross Site Scripting
  • Fomularios sin Proteccion de CSRF.
  • y El escaner apenas estaba en 11% si lo dejo que corra al hasta 100 creo que encontrara un SQL.
Bueno antes de terminar tambien les dejo el login a la plataforma que tambien es vulnerable
Login: https://login.justcloud.com/
Demo: https://partner.justcloud.com/login?demo=true


Bueno, ya para concluir, la verdad es inaceptable que una plataforma web de almacenamiento en la nube tenga tantas falencias de seguridad, ademas de que el servicio es pago! (Gratis solo por 15 Dias ) por que no realizaron las auditorias de seguridad :| bueno. con esto los dejo pensando.

Happy Hacking!!

Dylan Irzi. 
WebSucurityDev.com

lunes, 19 de agosto de 2013

Presentacion Dylan Irzi.

Hola a Todos! :)

Bueno queridos lectores de SeguridadBlanca, desde hoy estaré acompañando los a ustedes y presentándoles mis investigaciones, noticias, o hallasgos en la red que quiera compartir con ustedes.

Alguno de ustedes no me conocen y aqui mi presentacion.

Seudonimo: Dylan Irzi
Twitter: @Dylan_Irzi11
Soy un Security Researcher, Apasionado por la seguridad informatica, tengo 17 años actualmente. De nacionalidad Colombiana. Tengo bastante conocimiento en SEO ( Search Engine Optimization ), y Programo en Php, Html, Javascript, y ando aprendiendo algo de python & perl.
Publico mis investigaciones en sitios tales como ExploitDB, inj3ct0r y Packet Storm.
Tengo un sitio web llamado WebSecurityDev
Tengo reconocimiento En Hall of Fame de:

Microsoft / Adobe / Eset/ Mixlr / Risk IO / Vizify

Bueno yo creo que eso es mi tarjeta de presentacion, espero que mis futuros post les agraden. Eso es todo.

Pd: Gracias a Dedalo (SeguridadBlanca) por permitirme este espacio para publicar en su blog.
Feliz Noche y Happy Hacking

sábado, 17 de agosto de 2013

Tumi ~ Pentest Tool Peruana



La mayoría de pentesters suele escribir scripts para poder facilitar cierto trabajo que tengan que hacer, por decir mi nlas que era un pequeño script para poder auditar redes lan con NMAP sin necesidad de estar escribiendo los parámetros solamente tenías que poner la IP que querías auditar, este tipo de scripts se hacen para hacer mas rápido cierto procedimiento o por decir otro script para sacar URLS de un sitio web, hay varios tipos de Scripts.

TUMI es exactamente eso, los de Open-Sec, hemos desarrollado scripts para poder realizar muchas partes del pentest desde una misma plataforma y de forma mas rápida y ordenada.

Al principio programe un script que solamente era de fingerprint por lo que se me designo para empezar a programar TUMI, esto realmente ha sido una aventura de las mas interesantes y difíciles que he vivido, TUMI está escrito en python, yo no sabía mucho python cuando empezé a escribir TUMI, lo cual me fue una complicación pero al mismo tiempo un reto que con ayuda de gente como Walter Cuestas, Mauricio Urizar, entre otros, se logró vencer las barreras y con su experiencia + mis ganas de aprender se logró desarrollar algo súper útil... Walter Cuestas CEO de Open-Sec la consultora donde actualmente trabajo, presentó a su hijo en CSI Colombia, se hizo pública la versión BETA de Tumi la cual cuenta con un total de 26 módulos:

10 Módulos de FingerPrint
10 Módulos de Vulnerability Assesment
6 Módulos de Attack

La herramienta tiene diferentes módulos para poder cumplir diferentes funciones de búsqueda y explotación de vulnerabilidades. Cuenta con diferentes módulos de Fingerprint mediante los cuales se puede hacer busquedas de información de IPs y Dominios, también cuenta con un sistema de reportes mediante el cual se ponen en ejecución varios de los módulos de fingerprint. Por el lado de Vulnerability Assesment, se cuenta con búsquedas y validación de diferentes tipos de vulnerabilidades web, así como vulnerabilidades a nivel de servidores. En cuanto a Attack, se pueden ver módulos de algunas vulnerabilidades web, validación de vulnerabilidades a nivel browser y un módulo que se añadió casi al final pero es bastante útil, ejecución de comandos via MSSql inseguro...

Lo excelente de tumi es que se ha hecho de una manera tan interesante que cualquier persona lo puede mejorar, es completamente OPEN SOURCE, es modificable al gusto de cualquier persona, es facilito hacer módulos para tumi que son completamente adaptables, solo debes saber python y copiar el modelo de código del inicio de los otros módulos, haré un tutorial de esto aunque en el código fuente de tumi viene incluido un tumitemplate.py que tiene un ejemplo de como programar los módulos... De hecho yo ya estoy escribiendo mi módulo de Xss Vuln Assesment para TUMI que publicaré pronto.


TUMI Es un proyecto hecho por Peruanos, Hagan sus módulos, twitteen mencionando #TumiTool y yo los Retwittearé :)

Descargar la Version BETA de Tumi clickeando Aquí


Saludos,
Dedalo

miércoles, 7 de agosto de 2013

Mi Blog de Researching

Debido a que en estos último dias tuve un poco de tiempo para hacer algunas cosillas decidí armarme un pequeño espacio dentro de mi querida seguridadblanca para publicar mis pequeño scripts, alguno que otro paper que haga o quizás una vulnerabilidad por ahí que encuentre.

la URL es: http://dedalo.seguridadblanca.in/

Visítenlo que pondré cosas bien interesantes :)


Saludo,
Dedalo

martes, 6 de agosto de 2013

#LimaHack2013 ~ ¿Que pasó?



Como en lo últimos años, este año el LimaHack vuelve a invitarnos a participar?...


Después de un mensaje enviado por un colega diciendo: "Oe abrirán CFP del LimaHack 2013" me enteré de que estaban por abrir cfp para el limahack 2013, me pareció interesante mandar paper para este año con algo un poco diferente a expl0tación como tal... surgió el tema "Destripando Bug Bounty Programs", Describí la presentación como una presentación en la cual compartiría como sacar dinero extra mensual de los Bug Bounty Programs, que vulnerabilidades bucar, como hacer un reporte que califique, pasarle la posta a otros peruanos para ser más peruanos en las listas de lo Acknowledgements de empresas conocidas.

El limahack siempre se ha caracterizado por darle la oportunidad a todo aquel que quiera impartir una idea relacionada al hacking. Podemos recordar entre las charlas impartidas en años pasados las de Busqueda de Xss, Hackeo de Cajeros Automáticos (ATM), Sql Injection 101, Cracking 101, PowerShell, Botnets, entre muchas otras en la lista hay muchas charlas básicas pues muchas de las personas que asisten a este evento no son gente que va con intensión de escuchar historias de hackers sino gente que va con intensión de aprender. Este año parece que el LimaHack quiere darle una vuelta al evento y alucinarse DefCon por un día.

Este post si va con una molestia pues de texto escrito por uno de lo organizadores salieron estas palabras:

Cita:
este año esta mas jodido el tema de papers por dos razones, el filtro es innovación

Cita:
mmm se va a enviar un mail pronto, pero deberias vender mas a detalle tus temas 
y quizas darle un enfoque mas masivo 
y subiendole el nivel de complejidad 
este año seran 6 charlas 
no habra dos salones 
un solo track 
un solo nivel de conocimiento 
una sola exigencia

No citaré mas pero luego de conversar un rato le conté de un pequeño bug en chrome que tengo, un Memory Corruption en el cual al acceder a un .html se te jode no solo el tab de chrome sino todos los tabs y pues este si le pareció interesante... El segundo tema que mandé al LH es una t00l de pentest muy buena que se ha estado programado con otros peruanos, la tool es peruana y de pentest eso me parece bastante innovador, tan innovador que la herramienta fue aceptada como exposición y será expuesta en colombia en 2 semanas... sin embargo la reacción fue la misma, al parecer este año el limahack a pasado a ser un evento en el cual se pretende mostrar 0days, Técnicas de sniffing de comunicaciones a nivel CIA, entre otros temas así pues no entiendo lo que buscan...

En la web del evento dice lo siguiente:

10 de Junio: Inicio del Call for Papers
1 de Agosto: Primera Selección
1 de Setiembre: Cierre y selección final


Hasta ahora siendo 6 de Agosto no se han pronunciado mandando un mail a ninguno de los que hemos mandado paper para siquiera tener la decencia de decirnos lo siento muchachos su paper no es lo suficientemente bueno para estar en el LimaHack.

De verdad me apena pensar de que este tan hermoso evento donde me encontraba con hermanos de otras partes del Perú, en el cual todos visitabamos las charlas de todos, socializábamos y nos divertíamos, este año se vaya a tornar un evento burocrático de un círculo cerrado de personas al mero estilo del Club de la Pelea.

Aunque muchos se atrevan a pensar de que este post es en mala onda, todo lo contrario, lo escribo para ver de que recapaciten y el LimaHack no pierda su escencia y le sigan dando oportunidad a todos como se ha venido haciendo desde el 2009, Realmente espero haya sido una mala interpretación mia...

Es muy probable también que después de esto se me censure para el LimaHack y por las referencias para el Owasp y AppSec, de ser así entenderé como han funcionado las cosas desde siempre en el mundo de la administración en el hacking peruano, en caso no, pues estaré contento de compartir mi conocimiento en cualquier evento incluyendo el LimaHack siempre y cuando no pierda su escencia.


Saludos,
Dedalo.

martes, 12 de marzo de 2013

Owasp Latam Tour 2013



Bueno y empezando el 2013 les traigo la noticia de que se realizará el Owasp Latam Tour, a diferencia de los años pasados esta vez hay varios expositores internacionales entre ellos DragoN (Colombia); Pablo Ramos (Argentina), A quien tuve la oportunidad de conoces en el LimaHack2012; Fabio Cerullo (Argentina) y Simon Bennetts (UK). Entre los Peruanos estamos Carlos Ganoza AkA Dr.Neox y Yo Camilo Galdos AkA Dedalo...


En las charlas internacionales tenemos las charlas:


  • Del USB a la web: cómo tu sitio propaga malware
  • Desarrollo Seguro usando OWASP
  • Zed Attack Proxy (ZAP)
  • Pentesting en la era POST-PC
Y en las peruanas se presentarán 2 "nuevas" t00ls, El watiqay de Dr.Neox que ya la había presentado el año pasado y que fue adoptado como una herramienta mas de owasp, pero que ahora va a presentar una nueva versión de esta t00l con nuevas características o al menos eso es lo que me ha comentado Carlos en nuestras charlas post oficina. En mi caso he desarrollado una herramienta que nos va a ayudar a encontrar Xss Reflejados y Dom solo proporsionando una URL.


Espero verlos ese día porque el evento promete.

Mas Información del Evento y los Talleres que habrán... Click aquí

Para registrarse en el evento click Aquí

Saludos,
Dedalo.