Cinta Infinita's Blog - www.cintainfinita.com.ar

Hashdump de la SAM cuando hay un antivirus

cintainfinita — Tue, 12 Jan 2010 18:21:52 +0000

Si hay un antivirus que impide la ejecución de herramientas como PWDump, PWdumpX o similares, lo que resta es hacer lo siguiente:

* Hacer un Meterpreter reverso con el msfpayload

* Escuchar con el Generic Handler

* Subir en el DC el Bichito recién creado y correrlo con el comando AT para que se ejecute como System

* En el prompt del meterpreter ya andando cargar el modulo priv “use priv” y ahora si se puede hacer hashdump!

( leer http://www.offensive-security.com/metasploit-unleashed/Binary-Payloads para una ayuda)

That’s all! Salute!

Comando login en CISCO

cintainfinita — Tue, 12 Jan 2010 18:03:01 +0000

Hay casos que, al ingregar por telnet a un dispositivo (tipo router, por ejemplo) de la firma CISCO, sólo pide una password y ,tras el acceso satisfactorio, es posible que los privilegios no sean de administración.

Si por algún motivo, se poseen nombres de usuario y contraseña de dicho dispositivo, uno se podría preguntar, ¿como los uso? ya que sólo me pide una password al ingreso.

Para eso existe el comando “login”. Una vez dentro con mínimos privilegios, se puede escribir “login” y de esa manera, el dispositivo pedirá nombre de usuario y contraseña y así se podrán probar las distintas credenciales que se tengan.

Saludos!

Decompilando Clases JAVA

cintainfinita — Sun, 29 Nov 2009 23:12:58 +0000

Existen muchas herramientas para hacer una decompilación de clases Java, pero les quiero presentar una que es bastante interesante debido a que es Gráfica, Multiplataforma y Gratuita!

Se trata de JD-GUI | Java Decompiler, la pueden encontrar en: http://java.decompiler.free.fr/?q=jdgui

Pueden abrir clases individuales o un WAR completo, y la herramienta generará el árbol decompilado de todas las clases.

Muy bueno para conocer a fondo el comportamiento de algunas aplicaciones a analizar cuando “no nos quieren dar el código fuente”

Salute!

Sitedossier / profiles for millions of sites on the web

cintainfinita — Fri, 20 Nov 2009 12:52:58 +0000

Cuando se intenta atacar un sitio Web, se buscan vulnerabilidades conocidas en el mismo. Si este sitio tiene 4 enlaces estáticos HTML y 3 fotos de la suegra del diseñador, es probable que no se pueda hacer mucho. Es ahi cuando “los costados” son útiles.

El sitio objetivo podría estar compartiendo el servidor Web con cientas de otras páginas posiblemente vulnerables. Como encontrar cuales son esas otras páginas? Con SiteDossier!

Les dejo el enlace: http://www.sitedossier.com/

También hay otros, como http://onsamehost.com/ o el Dork “IP:” en la búsqueda en MSN.com pero SiteDossier parece tener una base mucho mayor que éstos últimos.

Por ejemplo, podrían hacer: http://www.sitedossier.com/ip/190.3.109.212 para ver todos los sitios que comparten IP con buenosaires.gov.ar

Por último, hay que tener cuidado con creer que realmente se encuentran en el mismo servidor ya que podrían estar haciendo uso de NAT.

Enjoy!

The Exploit Database

cintainfinita — Tue, 17 Nov 2009 13:34:57 +0000

Si bien, todos conocemos a Milw0rm, también sabemos que no se ha estado actualizando y hasta se dijo que Str0ke había muerto. Bueno, en fin, les dejo un nuevo repositorio de Exploits Públicos para el deleite de todos!

http://exploits.offensive-security.com/

Salud! And Happy Exploting!

Google Dorks interesantes

cintainfinita — Sun, 15 Nov 2009 03:19:49 +0000

Con este post, voy a abrir la categoría “Google Hacking“, en donde voy a subir Dorks para Google y demás cosas que, si no fuese por este potente motor de búsqueda, no serían posibles de encontrar.

Hay muchísimos lugares donde se publican estos famosos Dorks o expresiones de búsqueda que dan con cientos o hasta miles de sitios vulnerables. Uno de ellos y, el más famoso, es http://johnny.ihackstuff.com/.

En mis comienzos, hace algunos años, me divertía con:

“index of” ws_ftp.ini

archivo que contenía sitios con las claves para acceso por FTP a los mismos. Las claves estaban “hasheadas”, pero si ese archivo se lo abría con el programa WSFTP no hacía falta ni intentar obtener el texto claro de las mismas. Más adelante, Hispasec liberó un javascript que rompía ese “hash”. Usé comillas porque terminó siendo un algoritmo de encriptación totalmente fácil de romper, similar al Password7 de Cisco.

Durante un Pentest, se podrían usar algunos como:

site: [sitio] –> para obtener todas las entradas sobre ese sitio
site: [sitio] inurl:admin –> se filtró por alguna URL que contenga la palabra admin

Ahora bien, si lo que se quiere es buscar “al azar” sitios con expuestos graves, se puede buscar:

inurl:”jmx-console”
inurl:”web-console”
inurl:”descargar.php” –> Podría ser vulnerable a “Force File Downloading” y a “Directory Traversal”
inurl:”download.php”
inurl:”bajar.php”
inurl:”download.php” filetype:pdf –> Le especificamos que sea un PDF, entonces es posible que el script “download.php” esté realmente usándose para forzar la bajada de un archivo

Para ejemplificar los Dorks anteriores y para terminar este post, dejo dos entradas vulnerables que encontré:

http://www.imastec.com/descargar.php?seccion=cursos&archivo=ResúmenCursoMediciones.pdf –> Tal vez cambiando el Archivo PDF especificado por algo de la especie “../../../../../../../../../etc/passwd” uno podría forzar la bajada del famoso archivo.
http://200.49.224.118/web-console/ –> Usando el Deployment.Scanner y si la DMZ está mal configurada, se podrían obtener privilegios de Administración.

Salud!

http://cintainfinita.files.wordpress.com/2009/11/whitepaper-hacking-jboss-using-a-browser.pdf

Encontrando la Configuración del Apache

cintainfinita — Sun, 15 Nov 2009 02:52:18 +0000

Muchas veces, durante un Pentest, se poseen privilegios de lectura de archivos en el servidor objetivo gracias a algún script de la página analizada. A través de un “Local File Read” y dado a que la mayoría de los servidores no regulan el acceso a archivos de su sistema, se pueden algunos que proveen de ayuda al ataque.

Uno de los archivos buscados es aquel que tiene la configuración del Apache (nos metemos de lleno en un servidor GNU/Linux), en donde tenemos todas las entradas de Virtual Hosts y demás data valiosa.

En algunos casos, no es fácil encontrar la ubicación exacta del archivo en cuestión, porque no se tiene acceso directo al File System, la distribución de GNU/Linux es poco común o el Administrador cambió el destino de la instalacion del Apache. Que se hace entonces? Se tienen que buscar rutas por defecto e ir probando una a una hasta dar con el archivo de configuración, generalmente, httpd.conf.

El otro día, se me ocurrió una manera que podría ser útil en casos como el de ejemplo. Lo que hay que hacer es, ayudados con el Local File Read, leer el archivo “/etc/init.d/apache2” (por ejemplo) y, si se presta atención, allí se podrán encontrar varias de las rutas buscadas.

Espero sirva!