You are currently browsing the category archive for the ‘Tools’ category.

Wireshark are intre timp si un pluggin de GEOip. Ce inseamna asta? Se pot corela foarte usor informatiile de locatie cu adresele de IP pentru o mai buna vizibilitate asupra traficului.

Primul lucru care trebuie verificat este daca versiunea instalata a fost compilata cu suport de GeoIP. Informatia se poate afla daca se acceseaza meniul Help -> About Wireshark. La sectiune de compilare se afla pluggin-urile cu care a fost compilat.

Daca GeoIP-ul este unul dintre ele, pasul urmator este sa faci download la baza de date cu informatiile GeoIP de aici. Documentatia originala de instalare cat si cateva exemple de filtre bazate pe informatiile GeoIP se gasesc aici.

Pentru a putea vizualiza informatiile accesati meniul Statistics -> Endpoints -> IPv4 tab. O sa aveti o surpriza apasand obtiunea de Map. Dar mai bine va las pe voi sa o descoperiti.

BTW exista si pluggin de SNORT pentru Wireshark (WireShnork). Mai multe info aici

Have Fun

Ascultand un podcast, am auzit de o veche problema de securitate a unor Firewall-uri care permiteau access nelimitat setand portul sursa 0. Cum se poate verifica in practica?
Nmap:
nmap -sS -p80 –source-port 0 192.168.178.1
sau:
scapy:
>>ans,unans = sr(IP(dst=”192.168.178.1″)/TCP(sport=0,dport=80),n timeout=0.1)
>>ans.summary()

Si pentru ca scapy + python rock, se poate scana si asa :
>>ans,unans = sr(IP(dst=”192.168.178.1″)/TCP(sport=[0,53],dport=80), timeout=0.1)
>>ans.summary()

Have Fun.

Organizatorii conferintei BSides London au pus la cale 3 hacking challange-uri, a caror rezolvare ar duce la castigarea unor premii constand in carti. Unul dintre aceste challange-uri este creat de Didier Stevens, care este recunoscut si pentru efortul lui de a creea tool-uri care sa ajute la analiza atacurilor care folosesc ca vector de propagare documentele in format PDF/Office.

Pentru analiza acestui document am folosit PDFSteamdumper care este un tool foarte bun pentru aceste tipuri de analize. O vizualizare a documentului arata urmatorul code java cat si alte informatii necesare:

<<

/Title (BSidesLondon 2011 PDF Challenge)
/Author (Didier Stevens)
/CreationDate (20110421111705)
>>

var j=”;
j += String.fromCharCode(10);
j += String.fromCharCode(118);
j += String.fromCharCode(97);

…….

j += String.fromCharCode(41);
j += String.fromCharCode(59);
j += String.fromCharCode(10);
eval(j);

Tot PDFSteamDumper este in stare sa ruleze codul java „ascuns” si sa-l  extraga.

Versiunea finala arata cam asa:

var a = [2, 3, 1, 1];
var b = [2, 5, 131, 2347];
var c, d;
var e = Math.floor(this.info.CreationDate);
var f = e;
for (c = 0; c < a.length; c++)
for (d = 0; d < a[c]; d++)
f = f / b[c];
if (130817 == f)
app.alert({cMsg: ‘The provided code is correct, your answer is: ‘ + e / b[2] / b[3], cTitle: ‘BSidesLondon 2011 PDF Challenge’, nIcon: 3});
else
app.alert({cMsg: ‘The provided code is wrong!’, cTitle: ‘BSidesLondon 2011 PDF Challenge’, nIcon: 3});

Codul foloseste data creearii documentului pentru a determina daca esti sau nu castigator. Concurentiii trebuie sa modifice aceasta data pentru a putea sa rezolve challange-ul. Mai departe, folosind principiul de clasa a doua conform caruia inmultirea este operatia complementara impartirii, se poate afla data necesara pentru a putea rezolva challange-ul.

Frumos nu? Ce alte tool-uri ati fi folosit pentru a rezolva acest challange?

Cat de interesati sunteti de challange-uri de IT Security?

Codul malware-ului, care a fost folosit luna trecuta, pentru atacul impotriva a 33 de firme, printre care Google si Adobe a fost trimis spre analiza pe site-ul Wepawet. Acest exploit, foarte stabil,  are ca target IE6,7 si 8 rulind pe diferite platforme.  Problema este ca Microsoft ,cu toate ca a emis un Microsoft Security Advisory (979352), nu a facut public un patch in regim de urgenta. Exploit-ul este valabil chiar in platforma Metasploit.  (use windows/browser/it_aurora)

Informatie primita via NetworkWorld.

Deci:

Take care and have fun.

Mie mi se pare ca romanii au dezvoltat abilitati speciale in a folosi si exploata site-uri de web folosind SQL Code Injection. Pentru cei care doresc sa se perfectioneze recomand un post de pe blog-ul OWASP, care sumarieaza multe din resursele pentru a intelege acest tip de atac si totodata pentru a pune in practica cunostintele.

Eu recomand acest extra si acest document.

Have fun.

Acum ceva timp am incercat sa-mi construiesc o masina care sa stea in Internet si pe care sa o pot accesa remote si sa o pot folosi pentru diferite Penetration Teste. Singurele metode de access  pe care vreau sa le folosesc pentru acest sistem este este un serviciu de SSH si HTTPS, ambele bazate numai pe autentificare cu certificat. De aici apar si anumite inconveniente la care vreau sa gasesc solutii. De aceea m-am uitat mai mult la nessuscmd, command line tool care este oferit de nessus. Exemplul de mai jos este un exemplu real de folosire  in care am incercat sa aflu toate serverele SSH dintr-o retea si sa aflu cite dintre ele folosesc versiuni vechi si care pot fi atacate cum ar fi 1,3 sau 1,5 sau 1.99.

Cum se poate folosi nessuscmd?

./nessuscmd -help

Output-ul ne arata urmatoarele posibilitati:

Examples :
–––-
nessuscmd -p 1-1024 localhost
nessuscmd -O 10.0.1.2
nessuscmd -V -i 10884 172.16.1.1

Ceea ce mi-a atras atentia este „-i” care inseamna sa indici id-ul plugin-ului de Nessus, ce vor fi folosite. Pentru a afla toate id-urile plugin-urilor care se refera la SSH poti rula ceva de genul:

fgrep -i script_id /opt/nessus/lib/nessus/plugins/ssh* | cut -d „(” -f2 | cut -d „)” -f1 |  tr ‘\n’ ‘,’

Aceasta aduce la o lista care poate fi folosita de nessuscmd. Deci comanda va arata cam asa:

sudo ./nessuscmd -O -p 22 -i 10882,10708,10965,11341,10607,32320,32314,10267,11821,11343,12634,10268,10472,11340,11195,10269,10881,11339,11169,14273,31421,20927 172.16.22.0/24

Interesant a fost output-ul lui nessus care arata dupa 10 min cam asa:

+ Results found on SCAN-ERROR :
– Host information :
[!] Plugin ID 19506
| Too many live hosts scanned in a row while on a HomeFeed – please
| upgrade to a ProfessionalFeed

Asta a insemnat ca a trebuit sa folosesc nmap-ul prima data pentru a putea sa gasesc toate serverele de SSH si apoi sa le import in nessuscmd.

Si asa se pare ca functioneaza.

Un lucru care ma va ajuta este ca versiunea 5.0 a scanner-ului nessus nu va mai avea un client. Clientul va fi inlocuit de o interfata de web. O informatie interesanta care cred ca ma va ajuta in proiectul meu dar pina atunci sper ca kung-fu-ul meu in folosirea lui nessuscmd va fi atit de mare incit nu voi mai avea nevoie de interfata web.

Have Fun

Ca intotdeauna Fyodor se pregateste in felul lui sa serbeze DefConn-ul de anul asta. Si se pare ca anul acesta vine cu versiunea 5.0 pentru a sarbatori evenimentul. O noua facilitate care mie mi s-a parut foarte interesanta este utilitarul ndiff. Acest nou utilitar poate fi folosit pentru a compara rezultatul a doua scan-arii in format xml.

$ ndiff -h
Usage: /usr/local/bin/ndiff [option] FILE1 FILE2
Compare two Nmap XML files and display a list of their differences.
Differences include host state changes, port state changes, and changes to
service and OS detection.

-h, –help     display this help
-v, –verbose  also show hosts and ports that haven’t changed.
–text         display output in text format (default)
–xml          display output in XML format

Sint multe alte lucruri noi, deci go upgrade.

Luna trecuta a aparut versiunea 4 a scanner-ului de vulnerabilitati Nessus. M-am gindit mult daca sa scriu despre aceasta, mai ales ca instalarea a adus cu sine stergerea politicilor „Default scanning” si „Microsoft Vulnerabilities”.  Ceea ce m-a impresionat foarte mult este scaderea impresionanta a timpului de pornire a engine-ului.  Tot odata se spune ca a fost rescris motorul pentru a suporta Multi-Threading.  In interfata s-a introdus posibilitatea de a salva rapoartele in formal XSLT. Incercati si nessuscmd daca nu ati avut curajul pina acum. Un punct bun de inceput cum sa gasiti share-uri neprotejate aici. Release notes-ul este pe site-ul de discutii aici.

Deci have fun…:-))

Cu toate ca a fost prezentat deja la Blackhat DC in februarie anul asta, nu am auzit pina acum de tool-ul „SSLStrip” scris si prezentat de Moxie Marlinspike. Despre ce este vorba? Conceptul este simplu si genial in acelasi timp. Modul in care oamenii ajung sa acceseze linkurile de HTTPS este de obicei prin click-ul unor butone/linkuri din pagini normale HTTP, care apoi trimite informatia prin HTTPS serverului. Un exemplu este pagina http://www.raiffeisen.ro unde in pagina HTTP este introdusa username-ul si parola care sint apoi postate prin HTTPS catre https://www.raiffeisen.ro/ . A doua modalitate este scrierea numelui de domeniu (ex: paypal.com) in bara de URL a browserului. Acesta trimite o cerere prin HTTP serverului care la rindul lui genereaza un raspuns din parte serverului de genul 302. Redirectare catre pagina HTTPS.

Ce face SSLStrip. Se interpune intre user si server si in momentul in care userul incearca sa acceseze pagina HTTPS, el va face cererea in numele clientui catre server pe HTTPS, primeste raspunsul si il livreaza pe HTTP userului. Pentu a reusi sa pacaleasca userului soft-ul se foloseste si de un trick ingenios inlocuind „Favorit Icon” cu iconita de lacatel, dind impresia de conexiune securizata. Interesante sint si rezultatele pe care le-a obtinut in urma rularii soft-ului in unul din nodurile de iesire a retelei TOR. Numarul de parole, sau carduri de credit este destul de mare. Ma astept deci ca numarul de astfel de atacuri folosind reteaua TOR sau retele Wireless sa creasca.

Ce poate ajuta impotriva unui astfel de atac ? Phising  filter-ul de la IE  activat sau in Firefox 3 (about:config) browser.identity.ssl_domain_display este setat 1 ?Da ,atit timp cit userul chiar va face click pe iconita pentru a verifica ca acela nu este un Fake „Favotite Icon” ci ca este chiar modalitatea browser-ului de a indica ca este un certificat SSL.

Prezentarea si tool-ul pot fi gasite aici.

Have Fun.

Cu totii sintem constienti ca unul din componentele procesului de securitate este update-ul regulat al sistemului de operare si al aplicatiilor.  Este complicat sa incepi sa iei toate aplicatiile la mina la intervale de timp regulat si sa vezi care ar mai fi de updatat.  Marea majoritate a soft-urilor au posibilitatea de a verifica, la intervale regulate daca exista update-uri.  Acum ceva timp am descoperit o solutie interesanta a firmei Secunia numita „Secunia Personal Software Inspector (PSI)„.

Pro: Ceea ce face este o identificare a softurilor existente si pentru cele pe care le cunoaste, poate determina daca este ultima versiune existenta si ofera totodata posibilitate de update. O solutie de vulnerability management care pentru personal use este utila si merita mai ales instalata in solutiile de enterprise. Este free.

Contra: Solutia functioneaza prin trimiterea inventarului de softuri instlate pe calculatorul local prin SSL catre site-ul Secunia unde este analizata si este trimis inapoi raspunsul.

In privacy statement este scris:

„The Personal Software Inspector collects unique text strings and data about executable files and installed applications on your system, including hostname and langroup, and Microsoft KB numbers. This data is analysed by the Secunia File Signature engine (psi.secunia.com) to determine the exact applications installed on your system. No other data is collected from your system.”

Dar Microsoft update-ul nu face la fel??

Daca va place…merita folosita.

P.S.  Exista si o versiune comerciala pentru enterprise.

Have fun patching.

Astazi a fost facut publica versiunea beta 4 a celebrei platforme de penetration testing Backtrack. Pe linga versiunea ISO este posibil si download-ul unei versiuni vmware. Un mic review o sa urmeze. Dowload-ul se poate face de aici.

Have fun.

Incepind cu versiunea 4.21 celebrul port scanner pune la dispozitie (NSE = nmap scripting engine) care permite dezvoltarea unor plug-in-uri pentru nmap in incercarea de a automatiza anumite task-uri sau de a obtine mai multe informatii. Scripting engine-ul se bazeaza pe limbajul de probramare LUA. Specificatiile pot fi gasite aici.
Citeva exemple si optiuni:

nmap-4.53$ ./nmap -sC ip

foloseste toate categoriile de scripturi existente pentru a testa un host.Scripturile sint inmpartite in diferite categorii cum ar fii de exemplu: safe, intrusive, malware, version, discovery si vulnerability.
Verificarea daca site-ul suporta SSL versiunea 2, care poate fii destul de usor atacata.

nmap-4.53$ ./nmap -n -sT -PS53 -PN www.yahoo.com --script=scripts/SSLv2-support.nse -p 443

 Starting Nmap 4.53 ( http://insecure.org ) at 2008-02-06 08:49 CET

Interesting ports on 69.147.114.210:

PORT    STATE SERVICE

443/tcp open  https

|  SSLv2: server still supports SSLv2

|       SSL2_DES_192_EDE3_CBC_WITH_MD5

|       SSL2_IDEA_128_CBC_WITH_MD5

|       SSL2_RC2_CBC_128_CBC_WITH_MD5

|       SSL2_RC4_128_WITH_MD5

|       SSL2_RC4_64_WITH_MD5

|       SSL2_DES_64_CBC_WITH_MD5

|       SSL2_RC2_CBC_128_CBC_WITH_MD5

|_      SSL2_RC4_128_EXPORT40_WITH_MD5

Nmap-ul suporta operatiunea de update a bazei de date cu plug-in-uri:

nmap-4.53$ ./nmap --script-updatedb

Pagina de documentatie a NSE-ului este aici.

PS. Numeroase scripturi folosite la testarea functiilor de HTTP folosesc ca „User-Agent: Nmap NSE”. Va recomand sa-l schimbati pentru a evita masurile de protectie existente si care se bazeaza pe mod_security sau rewrite engine si recunosc anumite stringuri de caractere in User Agent.

sed 's/User-Agent: Nmap NSE\\r\\n/User-Agent: Mozilla\/4.75 (compatible; MSIE 7.0; Windows NT 5.1)\\r\\n/g' showHTTPVersion.nse

Have fun. :-))

Astazi ar trebui sa fie lansata versiunea 5.o a softului Open Source Truecrypt. Nu stiu cit de multi dintre voi folositi asa ceva, dar eu am fost convins de un anumit feature care m-a impresionat. Puteti crea intr-o partitie sau container 2 volumuri criptate. In functie de parola pe care o tastati se deschide volumul „oficial” sau cel ascuns. Nu exista pina acum nici o metode de a determina daca exista intr-un container sau partitie un volum ascunss. Cum sa o folositi, sta la latitudinea fiecaruia.

Inca nu am reusit sa fac rost de prea multe informatii despre noile optiuni oferite de Truecrypt 5.0 dar dupa ce o voi testa, sigur voi scrie despre soft. Mie mi se pare genial si mai ales …este free. Ceea ce nu poate versiunea 4.3 si astept de la versiunea 5.0 este full disk encryption.

Have fun.

Dupa congresul CCC FX s-a decis sa faca public tool-ul portbunny. Poate fi downloadat de aici. Un tool care merita toata atentia. Din pacate dupa cum am vazut in bild-ul actual nu este inca inclus in Backtrack. Deci astept pareri despre un concurent serioas al nmap-ului.

Am instalat la un moment dat pentru un prienten un firewall si un antivirus. M-a intrebat de ce sa nu cumpere o solutie completa cum ar fii cea de la Norton. Am raspuns ca nu este nevoie sa cheltuiesti bani pentru o solutie de genul „Home User”si se poate face inca la un nivel decent si cu surse FREE. Am ales pentru el firewall-ul Comodo care mie mi se pare descoperirea anului 2007 in domeniul windows-ului. De ce l-am ales este in primul rind rezultatele foarte bune care le-a obtinut si mai ales versibilitatea lui. Il poti folosi ca cunoscator si totodata ca simplu user fara ca securitatea sa devina o problema deranjanta. Si ca antivirus am ales Antivira. Sper sa va ajute si pe voi in cazul in care aveti sa instalati un calculator si v-ati saturat sa cautati crack-uri sau sa dati cautare pe google dupa serialz. Voi ce folositi? Daca preferati sa dati bani pentru solutii care le cunoasteti deja, care sint ele? Have fun.

Versiunea 3 a distributiei live, care este dedicata in primul rind auditurilor de securitate, va fii finalizata si prezentata la congresul Chaos Computer Club din Berlin care are loc intre 27 – 30 12.2007. Un tool care merita toata atentia este portbunny-ul lui FX, un port scanner care este conceput pentru scanneri de domenii mari de adrese de IP si este mult mai rapid decit celebrul nmap. Despre portbunny-ul lui Felix voi vorbi mai mult intr-un post urmator. Si ca intotdeauna: Have fun 🙂

Sourcefire, pentru cei care nu stiu este partea comerciala a celebrului IDS Snort. Dupa cum relatam acum ceva timp, Sourcefire se desprinde usor ca fiind una din cele mai inovative firme din domeniul securitatii IT, incercind sa ofere solutii la nivel de enterprise. Intr-un webcast vazut ieri despre noile feature-uri oferite de sistemul comercial 3D versiunea 4.7 aparea o informatie interesanta despre port scanner-ul NMAP. NMAP este integrat in versiunea 4.7 a produsului comercial 3D, oferind posibilitati de scanare direct din interfata de administrare. Dar totodata se spune ca nmap-ul va fii transformat impreuna cu Insecure.org intr-un vulnerability scanner, la fel ca si Nessus, ..si na ca argument au dat…pentru cei care sint obisnuiti cu interfata nmap. Hmmm……….Eu cel putin n-am folosit niciodata front-end-ul. Si daca ne gindim ca Sourcefire a cumparat anul acesta prin august proiectul Open Source ClamAV. Sper ca sourcefire sa suporte si o versiune Open Source a acestui NMAP „2.0” si sa nu se intimple ca si cu Nessus, care cu versiunea 3 a devenit closed source. Let’s hope for the best.

Ce este DEP? DEP (Data Execution Prevention) este un pachet de tehnologii Hardware si Software care au ca scop protejarea accesului la memorie a programelor executabile. Cel putin asa defineste Microsoft-ul in articolul sau in Technet. Dar citeodata pentru a putea sa faci analiza unui malware este important sa se poata fi oprit DEP-ul.

Cum se face? In boot.ini se scrie:

/noexecute=AlwaysOff

(Atentie, sintaxa este case sensitiv). Restul optiunilor sint explicate frumos si clar de Microsoft.

Have fun.

Pentru cei care nu vor sa asculte explicatie pina la capat raspunsul este 15 caractere. De ce? Initial in sistemele Windows parola era stocata in format de hash LM (Microsoft Lan Manager) sau in format de hash NTLM (versiune 1 sau 2). Algoritmul LanMan de criptare este slab in primul rind datorita faptului ca parola este sparta in blocuri de cite 7 caractere. Daca aveti o parola de 9 caractere ea va fii impartita in un bloc de 7 si unul de 2 care este usor de ghicit cu programe de brutforce de genul Cain & Abel sau algoritme de genul Rainbow Tables. Cind parola este mai mare de 14 caractere atunci ea nu mai poate fii salvata in format LanMan si este automat salvata in format NTLN ce foloseste un algoritm de criptare mult mai bun, iar in registrii la valoarea LanMan este salvat AAD3B435B51404EEAAD3B435B51404EE care este echivalent cu null password. Siguranta 100% nu exista pentru ca NTLM insusi ca protocol de autentificare este vulnerabil la atacuri de genul „Hash Replay”. In loc sa incerci sa afli parola…de ce sa nu folosesti hash-ul pentru autentificare care tocmai l-ai achizitonat cu ajutorul sniffer-ului.

Dar oricum 15 caractere ofera o siguranta aproape de 100%. Si asha esti sigur ca nici cel de la IT nu are cum sa-ti afle parola.

Ca administrator de IT aveti posibilitatea sa fortati sistemul sa nu stocheze hash-uri LM. (vezi Microsoft)

Acum exista si oficial. Poti cumpara propriul tau 0-day. Frima Wabisabilab ofera o platforma de licitatie pentru exploit-uri. Cu 500 de EUR poti cumpara un exploit pentru PhpMyAdmin sau daca te tine buzunarul dai 5000 de EUR pentru un exploit de SAP GUI. Hmmmm….cine o fii oare in spatele acestei firme care din intimplare are sediul in Elvetia? Voi ce parere aveti?

Mai 2017
L M M M V S D
« Mar    
1234567
891011121314
15161718192021
22232425262728
293031