Cómo eludir la autenticación de Microsoft SQL Server en un servidor ya comprometido (post-explotación)

Durante una post-explotación, pudiera darse el caso en el que te encuentres con un entorno donde lo administradores de una máquina, incluso administradores de dominio, no tienen derechos de autenticación en una base de datos Microsoft SQL Server.

Ante esto, podrías dedicarle tiempo a intentar determinar que grupos o cuentas tenían acceso y añadir un nuevo usuario o suplantar uno existente. O incluso buscar las credenciales en claro en algún script en algún recurso compartido.

Pero si realmente quieres ahorrar tiempo existe un método para SQL Server 2008 R2 y anteriores que te permitirá acceso total a la base de datos instantáneamente, mediante la cuenta NT-AUTHORITY\SYSTEM:

1. Descarga el binario psexec.exe en el servidor.
2. Inicia una consola con privilegios (botón derecho en el acceso directo y ejecutar como administrador).
3. Ejecuta psexec con la siguiente opción:

psexec -s -I “C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\VSShell\Common7\IDE\Ssms.exe”
 
(La -s significa arrancar como SYSTEM y -l iniciará la aplicación de forma interactiva)

 

 

http://www.hackplayers.com

Bloqueo de servidores DHCP falsos

Seguro que ya os ha pasado en alguna ocasión. De repente, la gente empieza a decir que ha perdido la conexión en la red local, miras tu icono en la barra de tareas y parece que está todo levantado. Luego ejecutas ipconfig/ifconfig y observas que tienes una IP que no es la que sueles tener. "Ya está, algún listillo ha conectado a la red un Linksys u otro cacharro con un servidor DHCP..."
 Aunque parezca mentira, esta situación hoy en día es bastante frecuente en cualquier empresa y es que los administradores muchas veces insisten en no poner las medidas necesarias para evitar este tipo de situaciones. Lo malo es que no siempre se trata de un incauto consultor que conecta sin querer algo que no sabe exactamente lo que hace e impiden que los demás puedan funcionar correctamente. Algunas veces un atacante puede instalar un falso DHCP (rogue DHCP) para, por ejemplo, falsificar el gateway y/o los servidores DNS de los confiados clientes de la red, de tal forma que podría esnifar su tráfico (MiTM) o redirigirlos a sitios falsos con no muy buenas intenciones...

La solución siempre pasa por configurar la electrónica de red para evitarlo. En este caso hablaremos de Cisco por ser lo más ampliamente utilizado, pero otros fabricantes como HP, Juniper u otros tienen medidas similares (si es tu caso, te invitamos a compartir con nosotros tu experiencia ;)).

Una forma sería utilizar ACLs para bloquear UDP 68, que es el puerto destino que utiliza un servidor DHCP para hablar con el cliente (RFC 1531). Así que simplemente si quieres que un servidor DHCP no envíe paquetes offer o acks puedes crear una lista de acceso y aplicarla en los interfaces correspondientes:

ip access-list 100 deny udp any any eq 68
ip access-list 100 permit ip any any
int [interface facing the would-be rogue]
ip access-group 100 in

Esto no sería necesario si tenemos configurado el ip helper-address y el switch está actuando como un reenviador de broadcasts hacia el servidor DHCP adecuado. También podríamos bloquear el acceso al puerto 68 si queremos detener un DHCP falso detrás de una pasarela o firewall.

La otra forma de luchar contra un DHCP rogue y la más adecuada es utilizar DHCP Snooping. Básicamente, se basa en definir en el switch los puertos sobre los que el tráfico del DHCP server confiable puede transitar. Es decir, definimos como “trust” los puertos donde tenemos servidores dhcp, relays dhcp y los trunks entre los switches.

Configuramos a nivel global en el switch y lo activamos:

ip dhcp snooping vlan 100,101
no ip dhcp snooping information option
ip dhcp snooping

Autorizamos los puertos del servidor dhcp y los trunks:

interface FastEthernet0/3
 description SERVER DHCP
 switchport mode access
 switchport access vlan 100
 switchport nonegotiate
 spanning-tree portfast
 ip dhcp snooping trust

interface GigabitEthernet0/1
 description FIREWALL
 switchport mode trunk
 spanning-tree portfast
 ip dhcp snooping trust

interface GigabitEthernet0/2
 description UPLINK A SWITCH
 switchport mode trunk
 ip dhcp snooping trust

El comando “no ip dhcp snooping information option” lo añadiremos si no queremos la opción 82, es decir, no queremos que el switch añada información adicional para que el servidor DHCP destino pueda identificar el origen del cliente en entornos distribuidos (campo “giaddr”) y asignarle una IP dentro del pool o rango correspondiente.

Por último, si queremos verificar la configuración del DHCP snooping:

switch#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
100,101
DHCP snooping is configured on the following Interfaces:

Insertion of option 82 is disabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is not allowed
Interface Trusted Rate limit (pps)
———————— ——- —————-
FastEthernet0/3 yes unlimited
GigabitEthernet0/1 yes unlimited
GigabitEthernet0/2 yes unlimited

switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
—————— ————— ———- ————- —- ——————–
00:0C:AA:CC:AA:BB 10.66.0.113 64701 dhcp-snooping 100 FastEthernet0/16
00:0C:BB:CC:AA:AA 10.1.0.110 65827 dhcp-snooping 101 FastEthernet0/4
84:2B:AA:AA:AA:AA 10.1.0.104 50058 dhcp-snooping 101 FastEthernet0/6

Si deseamos desactivarlo temporalmente no hay que reconfigurarlo todo:

no ip dhcp snooping
Fuentes:
Understanding and Configuring DHCP Snooping
dhcp snooping – prevención de ataques DHCP
Blocking rogue DHCP servers
How to Block Rogue DHCP Server's on Cisco Equipment Using ACL's? 
http://www.hackplayers.com

Cómo crear un certificado SSL auto-firmado

Todos sabemos que, en una comunicación SSL cifrada, el certificado firmado por una Entidad Certificadora Autorizada (CA) nos asegura que el otro extremo es realmente quien dice ser. No obstante, muchas veces nos interesa generar un certificado auto-firmado para pruebas o uso interno. 

Con openssl y un Unix/Linux es realmente fácil y, aunque existe muchísima documentación al respecto, siempre viene bien tener a mano una pequeña guía. A propósito de una reciente entrada de Akadia podemos ver cómo hacerlo paso a paso:

Paso 1: Generar una Clave Privada

El kit de herramientas de OpenSSL se utiliza para generar una clave RSA privada y un CSR (solicitud de firma de certificado). Pero, como comentamos, también se puede utilizar para generar certificados auto-firmados que pueden ser utilizados para propósitos de prueba o de uso interno.

El primer paso es crear tu clave privada RSA. Esta clave es una clave de 1024 bits RSA que se cifra usando Triple-DES y se almacena en formato PEM de modo que sea legible como texto ASCII.

openssl genrsa -des3 -out server.key 1024

Generating RSA private key, 1024 bit long modulus
.........................................................++++++
........++++++
e is 65537 (0x10001)
Enter PEM pass phrase:
Verifying password - Enter PEM pass phrase:

Paso 2: Generar un CSR (solicitud de firma de certificado)

Una vez que hemos creado la clave privada, se puede generar una solicitud de firma de certificado. El CSR se puede utilizar entonces de dos maneras. Idealmente, el CSR se enviará a una autoridad de certificación, tal como Thawte o Verisign, quien verificará la identidad del solicitante y expedirá un certificado firmado. La segunda opción es la de auto-firmar el CSR, que se demostrará a continuación.

Durante la generación del CSR, se pedirá varia información. Estos son los atributos X.509 del certificado. Uno de los mensajes nos pedirá el Common Name. Es importante que este campo se rellene con el nombre de dominio completo del servidor que va a estar protegido por SSL. Es decir, si el sitio web será https://publico.prueba.com, introduce publico.prueba.com. El comando para generar el CSR es el siguiente:

openssl req -new -key server.key -out server.csr

Country Name (2 letter code) [GB] :SP
State or Province Name (full name) [Berkshire] :Madrid
Locality Name (eg, city) [Newbury] :Madrid
Organization Name (eg, company) [My Company Ltd] :Hackplayers
Organizational Unit Name (eg, section) [] :Information Technology
Common Name (eg, your name or your server's hostname) [] :publico.prueba.com
Email Address [] :hackplayers at ymail dot com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Paso 3: Borrar la contraseña de la clave

Un desafortunado efecto secundario de la transmisión de una clave privada con contraseña (passphrase) es que Apache o el servidor web en cuestión te pedirá la frase de paso cada vez que se inicie el servidor web. Obviamente, esto no siempre es conveniente, sobretodo si el servidor se reinicia automáticamente. mod_ssl incluye la capacidad de utilizar un programa externo en lugar de escribir la frase a mano, sin embargo, esto no es necesariamente la opción más segura tampoco. Es posible eliminar el cifrado triple-DES de la clave para que no sea necesario escribir una clave. Eso sí, si la clave privada ha dejado de estar cifradas, ¡es fundamental que este archivo sólo pueda ser leído por el usuario root!. Si un tercero obtuviera la clave privada sin cifrar, el certificado correspondiente deberá ser revocado. Para quitar la frase de paso de la clave, utiliza el siguiente comando: 

cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
 
El nuevo fichero creado server.keyya no tiene contraseña. 

-rw-r--r-- 1 root root 745 Jun 29 12:19 server.csr
-rw-r--r-- 1 root root 891 Jun 29 13:22 server.key
-rw-r--r-- 1 root root 963 Jun 29 13:22 server.key.org

 

Paso 4: Crear un certificado auto-firmado

En este punto ya podemos generar el certificado auto-firmado. Hay que decir que, evidentemente, este certificado generará un error en el navegador del cliente en el sentido de que la autoridad de certificado de firma es desconocida y no confiable.

Para generar un certificado válido para 365 días, ejecutaremos el siguiente comando:

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=SP/ST=Madrid/L=Madrid/O=Hackplayers/OU=Information
Technology/CN=publico.prueba.com/Email=hackplayers at ymail dot com
Getting Private key

Paso 5: Instalar la clave privada y el certificado en Apache

Cuando se instala Apache con mod_ssl, se crean varios subdirectorios en el directorio de configuración de Apache. La ubicación de este directorio será diferente en función de cómo se compiló Apache.

cp server.crt /usr/local/apache/conf/ssl.crt
cp server.key /usr/local/apache/conf/ssl.key
 
Paso 6: Configurar host virtuales con SSL activado
 
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
CustomLog logs/ssl_request_log \
   "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

Paso 7: Reiniciar Apache y probar 

/etc/init.d/httpd stop
/etc/init.d/httpd stop

 https://publico.hackplayers.com

 

FUENTE: http://www.hackplayers.com 

glTail.rb. Visualización gráfica en tiempo real de ficheros logs en servidores.

Hemos visto muchas herramientas para visualización gráfica de capturas de red, logs, etc. Tenéis mucha más información y artículos en la serie creada al respecto: Visualización gráfica tráfico de red.

En esta ocasión vamos a estudiar una heramienta desarrollada en ruby que, conectando a un servidor local o remoto mediante SSH, es capaz de mostrar en tiempo real una serie de datos que toma de los ficheros logs. De esta forma es capaz de mostrar datos de logs de herramientas como Apache, Rails, IIS, Postfix/spamd/clamd, Nginx, Squid, PostgreSQL, PureFTPD, MySQL, Tshark, qmail/vmpop3d. Además es capaz de mostrarlos de forma simultánea. Esta herramiente es glTail.rb.

Muestra, en tiempo real, datos como: dirección de orígen/destino, protocolos usados, peticiones por minuto, ancho de banda, etc.

Instalando glTail.rb.

Para instalar glTail.rb he seguido la siguiente secuencia:
sudo apt-get install rubygems rake ruby1.8-dev libgl1-mesa-dev libglu1-mesa-dev libglut3-dev build-essential
sudo gem install net-ssh ruby-opengl -r
sudo gem install -y file-tail -r
Ahora descargamos glTail.rb:
wget http://rubyforge.org/frs/download.php/39787/gltail-0.1.8.tgz
tar -zxf gltail-0.1.8.tgz
cd gltail-0.1.8
Ahora tenemos que modificar / personalizar el archivo config.yaml que se ubica en gltail-0.1.8/dist/config.yaml para incluir lo servidores y comentar lo que no proceda. En mi caso y para este primer ejemplo:

servers:
    site1:
        host: 192.168.1.96
        user: preludeids
        password: tatachintatachan
        command: tail -f -n0
        #files: /var/log/apache/access_log
        files: /var/log/apache2/other_vhosts_access.log
        parser: apache
        color: 0.2, 1.0, 0.2, 1.0
#    rails:
#        host: anotherfunsite.com
#        user: anotherfunuser
#        port: 222
#        command: tail -f -n0
#        files: /var/www/apps/funapp/current/log/production.log
#        parser: rails
#        color: 0.2, 0.2, 1.0, 1.0
#    dev:
#        host: clockingit.com
#        source: local
#        files: /var/www/clockingit/logs/production.log
#        parser: rails
#        color: 0.2, 0.2, 1.0, 1.0

¿ Qué hemos hecho ?.
Hemos indicado para el site1 la IP del host remoto, usuario y contraseña para conectar mediante SSH y en files la ubicación del archivo log de apache.
Este sería una configuración de los más simple. Podríamos configurar dos fuentes de datos. Por ejemplo logs de Apache y Tshark:

Observad como he sustutuido el por defecto site1 por algo más personalizado para mi server donde se ubica prewikka (SIEM Prelude IDS / IPS) y otro para la ubicación de un log de Tshark donde estoy ejecutando esta herramienta en tiempo real.
La línea de comandos simple para volcar la salida de tshark en un fichero log sería:
tshark -ieth0 > tshark.log
También podemos, en el tag config, modificar dimensiones, tamaño de nodos, etc.

Ejecutando glTail.rb.

Ejemplo.1

En este primer ejemplo voy a usar un solo site. Un servidor HTTP Apache:

    prewikka_1:
        host: 192.168.1.96
        user: preludeids
        password: tatachintatachan
        command: tail -f -n0
        #files: /var/log/apache/access_log
        files: /var/log/apache2/other_vhosts_access.log
        parser: apache
        color: 0.2, 1.0, 0.2, 1.0

Una vez salvado el archivo y dentro de la carpeta bin donde se encuentra gl_tail, ejecutamos de la forma:
alfon@alfonubuntu:~/gltail-0.1.8/bin$ ./gl_tail ../dist/config.yaml
El resultado es:

Tenemos 3 columnas:

• Columna izquierda. Tenemos información del site o sites. En este caso el site (prewikka_1).  Vemos un resúmen del contenido de las peticiones (imagenes, hojas de estilo, javascript..). Status HTTP y usuarios, en este aso dos IP que realizan peticiones al servidorHTTP  Apache junto a las peticiones o requests por minuto (r/m).
• Columna central. Representa la información grafica, en tiempo real de los request o peticiones (de izquierda a derecha)  y las respuestas del servidor mediante nodos en 3D. El tamaño corresponde al “volumen” de la petición. Como respuesta del servidor, tendremos otros nodos que irán de derecha a izquierda.
• Columna derecha. Información sobre las URLs requeridas por el origen de las peticiones junto a requests/minuto. Información de User Agent usado por el user o usuario que realiza las peticiones.

La información de las columnas varian dependiendo del parser usado. En este caso se trata del parse apache. Para Tshark, Poxfix, etc sería distinta la información.
Sobre visualización gráfica de logs de apache tenéis también:

Representación gráfica Apache access.log con apache2dot y Graphviz

Ejemplo.2

Bien, ahora vamos a usar Inguma-0.4 y nikto para realizar una auditoría del sitio web y vamos a observar el tráfico. El resultado es:

Observad la cantidad de requerst / minuto que genera nikto y en la columna de la derecha aparece una nueva columna: WARNINGS. código 404.
El User Agent, que no se aprecia bien en la captura, es Python urllib/2.6. GlTail ha detectado que se trata de un script de python.
Si realizáis esta prueba veréis en movimiento (tiempo real) todas estas “transacciones” y los nodos más pequeños de respuestas del servidor (de derecha a izquierda).

Ejemplo.3

Ahora voy a desactivar le site prewikka_1 y activar el site y parser Tshark. Ponemos en marcha Tshark.
sudo tshark -ieth0 > tshark.log
Ahora para probar realizo un scan con nmap.
En este caso solo tendremos información en columna izquierda y central:

Aquí vemos un nuevo tag de información que es TYPE. Referidos a los protocolos. En este caso TCP con 293.04  r/m.
==========
Hasta aqui por hoy. Hasta la próxima.

Fuente:https://seguridadyredes.wordpress.com/2011/09/16/gltail-rb-visualizacion-grafica-en-tiempo-real-de-ficheros-logs-en-servidores/

instalar nagios en fedora 11(parte 1 de 2)

Que es Nagios?

Es un sistema de monitoreo de red el cual usa los protocolos icmp y snmp por defecto para tener control sobre la red a adminsitrar.

Que hace?

Los sistemas de monitoreo proporciona la admnistracion de todos los host y servicios de la red para saber que estan en perfecto funcionamiento.

Que ventajas tengo?

La principal ventaja es la pro-actividad proporcionada por el sistema de monitoreo el cual avisara al administrador cuando algun suceso acontese.

Hay que pagar?

Nagios es un software open source el cual es libre y no tendremos que pagar costosas licencias.

Bueno esos son algunos tips que debemos saber antes de llevar a cabo el montaja de este servicio.

Instalacion:

1.Prerequisitos


Code:
yum install httpd php

yum install gcc glibc glibc-common

yum install gd gd-devel2.Creamos cuenta nagios y grupo para apache


Code:
/usr/sbin/useradd -m nagios

passwd nagiosNOTA: aqui nos pedira el nuevo password para el usuario nagios

Creamos un grupo llamado nagcmd y agregamos el usuario nagios para tener acceso al servicio apache


Code:
/usr/sbin/groupadd nagcmd

/usr/sbin/usermod -a -G nagcmd nagios

/usr/sbin/usermod -a -G nagcmd apache3.Descargamos nagios y plugins

Personalmente para las personas que son nuevos en la administracion les recomiendo descargarlo desde la pagina oficial, pero el resto de personas sabemos que los servidores son en modo consola asi mismo procedemos a la descarga
Tambien es recomendable organizar las descargas en la misma carpeta asi que vamos a crear una carpeta en la cuenta root

mkdir ~/downloads

cd ~/downloads

Ahora procedemos a la descarga


Code:
wget http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-3.2.0.tar.gz

wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-plugins-1.4.14.tar.gzNOTA: al momento de realizar el tutorial se uso fedora 11 y nagios 3.2.0 y plugins 1.4.14

4.Compilando e instalando

Code:
cd ~/downloads

tar xzf nagios-3.2.0.tar.gz
cd nagios-3.2.0

./configure --with-command-group=nagcmd
make all

make install
make install-init
make install-config
make install-commandmode
make install-webconf
5.Cremos el login para la interfaz web de nagios



Code:
htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin service httpd restart6.Compilamos e instalamos los plugins


Code:
cd ~/downloads
tar xzf nagios-plugins-1.4.14.tar.gz
cd nagios-plugins-1.4.14
./configure --with-nagios-user=nagios --with-nagios-group=nagios
make
make install7.Iniciamos nagioschkconfig --add nagios
chkconfig nagios on/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
service nagios start

Ahora ya esta nuestro servicio funcionando ahora solo queda entrar:

http://localhost/nagios/

El usuario es nagiosadmin y el pass el que le dieron en la instalacion.

Bueno esto es todo por hoy , el proximo post sera la configuracion de equipos windows y profundizacion en la configuracion del servicio

Bibliografias:

http://www.nagios.org/ proyecto nagios
http://www.nagios.org/download/core/thanks/ nagios
http://www.nagios.org/download/plugins plugins
http://nagios.sourceforge.net/docs/3...rt-fedora.html documentacion de instalacion


Hasta aqui la parte 1 , la segunda parte explicare como configurar lo basico para tenerlo monitoreando la red ademas de mostrarles el sistema que ofrece nagios ya instalado en fedora core 5.

Tambien evaluaremos distintos sistemas de gestion de red , usare mas que todo Zenoss como evolucion de ellos.

hasta la proxima.

saludos roboticos

Administrar los programas que se inician junto con Windows

Admito ser un maniático de la personalización de Windows. Me gusta mucho mantener a mi antojo todo lo que tenga que ver con mi sistema operativo, desde el más mínimo detalle hasta el que no muchos quisieran tocar. ¿Por qué no difundir todos mis pensamientos?

La gestión del inicio de Windows es una importante tarea. Por si aún no saben, Windows inicia junto con otros programas (muchas veces son servicios y librerías necesarias para su correcto funcionamiento), y esto, como casi todo, se puede personalizar fácilmente.

En nuestro caso usaremos un programa de código abierto llamado Startup Manager, que reúne todas las características necesarias para convertirse en el software definitivo para gestionar todos los programas que se inician junto a Windows de una forma fácil y rápida.

El programa está absolutamente en español, y nos permite gestionar (eliminar, desactivar, agregar, etc.) todo lo que se inicia junto con Windows. Si bien, ésto se puede hacer desde msconfig, pero, Startup Manager nos ofrece un entorno más amigable y fácil para utilizar.

Sitio oficial | Startup Manager
Descargar Startup Manager

Fuente:http://www.bloginformatico.com/page/3