Google & Indexación = Malware & Defacement

Hace un tiempo, mirando las fuentes de tráfico de mi blog, me di cuenta que muchos de los enlaces procedían como es lógico desde Google, curioso de mí, hice clic sobre estos para ver a donde me llevaban. En algunos casos, terminaba viendo imágenes indexadas de mi propio blog, sin embargo en otros automáticamente se redireccionaba a un tema en cuestión que anteriormente había publicado.

Con lo que me di cuenta que Google a diferencia de otros buscadores, utilizaba un enlace de redireccionamiento a todas las páginas que se encontraban indexadas en este. Si recuerdan mi anterior entrada sobre la distribución de malware mediante “redirects”, el principio de esta es sencillamente idéntica, pero utilizando nada más ni nada menos que el dominio principal de Google para este fin.

Se me ocurrió que sería una buena idea indexar ejecutables en el gigante de Google, utilizando páginas conocidas por el mismo, las toolbars o simplemente llevando a cabo un buen trabajo SEO, para dar salida a nuevos enlaces que corriesen bajo la redirección de Google.

Para ver si Google protegía a sus usuarios contra descargas de ejecutables de terceros desde su propia URL, se me ocurrió hacer búsquedas de extensiones ejecutables conocidas como “SCR” o instaladores “MSI”. La siguiente imagen no solo demuestra que Google indexa este tipo de archivos, sino que también permite leer su interior ya que este lo toma como texto.

No contento con esto, gracias a las fabulosas descargas automáticas de Google Chrome, se descarga el ejecutable en nuestro equipo al hacer clic sobre el enlace, pudiéndose tratar perfectamente de un malware disfrazado de salvapantallas.

Para ver de manera detallada el enlace, se observa como el campo de URL transporta la dirección de la página a resolver, junto al fichero y extensión en texto claro.

Para agitar más la entrada, ya que hablamos de SEO, o más bien Black Hat SEO, el cual nos ayudará a indexar estos ejecutables en Google, podemos saltar del malware al defacement. La verdad no vi nada al respecto por internet sobre el tema, pero podría ser lo más parecido a lo que un IFRAME INJECTION o quizás un HTML INJECTION, podría llegar a explotar.

Ciertas aplicaciones Flash dedicadas a la visualización de contenido multimedia, utilizan rutas relativas para hacer llamadas a videos, imágenes o archivos, en caso de videos normalmente FLV, para proceder a su visualización. En otros casos, se requieren llamadas por HTTP/S al mismo servidor o externos, que por ende son modificables desde la propia barra de direcciones, permitiendo llamar a videos de terceros.

El problema de utilizar estas aplicaciones, ocurre cuando una página conocida… me refiero a páginas gubernamentales, militares, estatales… las utilizan con el fin de publicar sus propios contenidos multimedia.

Valiéndonos de lo comentado anteriormente, podríamos utilizar diferentes métodos para indexar contenidos maliciosos o fraudulentos, con el objetivo de engañar a los usuarios que encontrasen la página mediante los buscadores. Realizando la siguiente búsqueda avanzada, encontraremos multitud de ejemplos:

inurl:"player.swf?video=http://"

Entre los afectados… la página oficial de Radio Televisión Española, hoy parece que le toca mostrar contenido erótico escondido detrás de un acortador de URL.

Los Tumbnails externos, también pueden jugar malas pasadas a páginas como Telefónica, además de la suplantación de los videos.

Y considerándome fan del Club de la Comedia, páginas militares, hoy dejaron las armas para teñirse del humor de Nacho García.

“La gente valora mucho tener estudios, pero tan importante como tener estudios es tener veranos, y… ¿la gente que tiene estudios y le falta un verano? ¿A dónde van?”

Saludos 4n4les! ;)

Hack Streaming Servers

Tenía pensado salir a que me diera el aire, o quizás a disfrutar del caluroso domingo, ¡pero que cojones!, si se ha nublado el día me quedo en casa, además en esta época de crisis no solo de apretarnos la cartera se vive, también hay que cuidarse, que afuera hoy aprieta el frío. Ya a mediados de Octubre se nos olvidó la terracita, la cervecita, hasta las mozas tostadas por el sol que tanto alegraban junto al mojito, aunque al mal tiempo buena cara, o eso dicen… al menos podremos estar seguros de que la única pesadilla que se fue del verano, han sido los mosquitos.

Hoy me toca hablaros de los servidores de streaming, y siendo pícaros, nada menos que tener acceso al directorio de grabaciones o vídeos emitidos en directo, mediante un descuido del administrador de sistemas como caso típico.

La optativa gratuita más conocida para montarnos un servidor dedicado de streaming de vídeo, es sin duda la de Red5 Media Server. La cual nos permite mediante un panel de administración bastante cómodo, gestionar el tipo de aplicaciones que correrán en nuestro servidor.

En este momento entramos en acción, gracias a Google Hacking y una búsqueda simple que me he montado.

inurl:"5080/installer/"

Llegaremos a multitud de paneles de administración, utilizando el puerto por defecto 5080, donde podremos modificar a nuestro antojo sin necesidad de “bypassear” ninguna autenticación, las aplicaciones instaladas en el servidor.

Pero sin duda la parte más divertida, viene cuando la aplicación oflaDemo, se encuentra instalada en algún servidor de los que encontraremos con la siguiente búsqueda avanzada.

ext:swf inurl:ofla_demo

¿Qué hace exactamente oflaDemo? ¡Muy simple! Es un navegador que ofrece gratuitamente Red5, para acceder al contenido de directorios utilizados en el streaming de vídeo.

Si presionamos en cualquiera de los enlaces que aparecen haciendo la anterior búsqueda, encontraremos la siguiente aplicación.

Como se observa arriba a la derecha, podemos incluir de forma manual, la url bajo protocolo RTMP (Real Time Messaging Protocol), apuntando a la carpeta de streaming por defecto, “oflaDemo”. Encontraremos casos como el siguiente.

 

 

¡Parece que no aprendió el truco del esparadrapo!

 

Una forma más que entretenida para dar con este tipo de servicios, es la de montarse un script con Nmap para hacer barridos de IPs, en busca del puerto 1935, el utilizado por defecto para conexiones RTMP.

 

 

Dando un buen paseo, encontraremos sitios como el siguiente, el cual nos permiten hacer un testeo de las aplicaciones de Red5, yo diría un testeo más que completo, ya que además dejan acceso para administrar el sitio sin esconder directorios como "/installer/".

 

 

Imagínense la cantidad de archivos interesantes, que se encuentran detrás del 1935 ;)

 

Saludos 4n4les!

Redirects y hasta la cocina

Encontrar aquello de gran simpleza y que funcione, en esto de la seguridad informática es todo un reto y la entrada de hoy ¡no iba a ser menos!. Lo que vengo a mostraros viene cargado de ingeniería social, aprovechando la URL de sitios confiables, totalmente libre de vulnerabilidades y que a usuarios más despistados puede jugarles una mala pasada.

Recientemente recibí el siguiente correo electrónico.

Dos de las tres rutas expuestas en este correo fraudulento, se utiliza como técnica de infección una redirreción.

http://www.nba.com/jm.jsp?dest=http://enelpc.com

http://altfarm.mediaplex.com/ad/ck/5156-86744-2357-56?kw=BB&mpro=http://enelpc.com

Enlaces directos a ejecutables que serían bloqueados por cualquier cliente de correo, son bypasseados en algunos casos, gracias a la utilización de dominios confiables que redireccionan a otros defaceados con anterioridad, utilizados por terceros para incluir malware.

A estos dominios con funciones de redirección, podemos llegar fácilmente utilizando a Google y sus búsquedas avanzadas de la siguiente forma.

inurl:"redirect.php?url="

inurl:"redirect.php?u="

inurl:"redir.php?url="

inurl:"redir.php?u="

Otras incluso embeben el contenido de la web en un iframe, y por un lado podremos ser buenos estas Navidades y gastarle una broma a los usuarios que visitan la web, o ser unos malvados Phishers y crearnos una página que simule un acceso junto URL Shortener, por ejemplo... =P

http://www.brimat.com/cat/product/redir.php?url=http://enelpc.com

http://www.delta-xray.net/redir.php?URL=http://enelpc.com

¡No sean malos! ¡Si no el carbón se adueñará de sus calcetines!

Saludos 4n4les! ;)

EL Gran Botón Azul

Sufro de una angustiosa curiosidad de enseñanza, aquello de mostrar lo que aprendo enelpc, pues disfruto explicando algo que realmente sé, que no se me da mal del todo. Pienso que debe de ser algún problema que tuve en mis años escolares, donde odiaba a muerte las formas de explicar de mis profesores, o simplemente aquello de estudiar temas que ni me van ni me vienen, era algo que realmente me frustró en mi infancia. Siempre me agarré fuerte a la frase “Si no somos todos iguales… ¿Por qué se empeñan a educarnos a todos de la misma manera?”. Supongo que tengo la necesidad de demostrarme que puedo ser mejor que otros en algo, sin tener que seguir el camino “obligado” que otros eligieron y justo a tiempo llegó a mis manos una conexión a internet. Me salvó de hundirme en mi propia miseria intelectual y en la de ser juzgado como un analfabeto más, para darme la oportunidad de ser un cabrón con “suerte”.

Sin alejarme demasiado de las aulas como ya vieron en anteriores entradas, esta se la dedico a las conocidas salas de videoconferencias, donde el software libre nos brinda una aplicación que a mi parecer está genial, aunque si en algo estamos de acuerdo en la red, es que todo tiene fallos.

Como muchos saben, paso bastante tiempo cerca de Moodle y en este caso BigBlueButton nos presta una integración completa con dicha plataforma, para generar salas de videoconferencias.

Una vez instalado BigBlueButton, como muchos otros softwares, disponemos de una versión Demo para hacer pruebas dentro de las salas, lo que sus administradores terminan dejando el acceso de creación de las mismas, completamente abiertas.

inurl:"/bigbluebutton/demo/create.jsp"

También nos facilita bastante encontrar estas instalaciones, haciendo otra búsqueda para acceder directamente al módulo instalado desde los gestores de Moodle.

 

inurl:"/mod/bigbluebutton/"

Por otro lado, no podía faltar algún que otro Cross Site Scripting en el gran botón azul, así que me armé una búsqueda avanzada, con una variable vulnerable que encontré en el camino.

inurl:"/bigbluebutton/demo/create.jsp" + MeetingID

Al igual que la variable MeetingID, “Username” y “Username1” que son escritas sobre create.jsp, también son vulnerables a inyecciones. Así que todos los Moodle que tengan dicho módulo integrado y BigBlueButton en el propio servidor, podemos decir que el ataque es pan comido.

Espero no roben muchas cookies, no sin antes buscarlas en Google…

Saludos 4n4les! ;)

Admin generosos, Sessions, Hash Cracking y Moodle

Vuelvo a la carga de nuevo con mi querido Moodle... ¿qué decir si piensan que le cogí manía? Pues parece que me tocó ser el Risto Mejide de la red, en realidad se me da un toque en las "entradas", en las que a mi parecer, todo es una farsa que se han montado y Martin Dougiamas no podía librarse de ser criticado.

Resulta que mientras administraba uno de los servidores donde lo tengo instalado, me dio la curiosidad de acceder al famoso directorio de Moodledata, en mi sistema la tengo con otro nombre por eso de la seguridad, ya saben cada loco con su tema. Al acceder a la carpeta, encontramos cosas bastante interesantes, como pueden ser ficheros multimedia del interior de los cursos, datos de la cache o temporales. Entre ellos, llama la atención una carpeta llamada sessions, pues en dicha carpeta, se registran archivos con un patrón de serie en el inicio del nombre sess_ junto con una extensión aleatoria.

Si adentramos en estos ficheros, se almacenan en texto legible datos de suma importancia rescatados directamente de la base de datos, en el momento en que un usuario accede a la plataforma, se genera un lazo de unión entre estas sesiones y las Cookies. Indagando en las ristras, podemos llegar a visualizar información personal de los perfiles de usuario, como nombre, apellidos, lugar de residencia, fechas... el username y el password cifrado. El plato más apetecible son los dos últimos nombrados, pero para rematar la faena, los hashes no son más que un MD5 sin ninguna otra complicación, siendo un algoritmo másque vulnerado, que actualmente no dudan en incorporar incluso hasta en las nuevas versiones de Moodle.

Por otro lado Moodledata, en manos de una administrador poco generoso, no debería de ser pública, pero en el caso de que lo sea, al menos, no debería de haber dejado habilitado en Apache la capacidad de poder navegar entre directorios, pero en el remoto y no tan remoto caso de que se cumpliesen todos estos graves fallos de administración del servidor, que mínimo que ejecutar las tareas de cron para que limpie las sesiones de cuando Jesucristo perdió la gorra.

Se me ocurrió una estúpida idea de las mías, pues no todos los Moodle tienen porqué llamarse Moodle... pero ¿Y sessions? ¿alguien cambia el nombre? Hagamos una búsqueda avanzada entonces.

inurl:/sessions/ intext:"8:password"

¡Vaya una sorpresa! No era tan estúpida la idea como yo pensaba, pues la verdad 10.700 resultados, ya son unos pocos.

Si vamos eliminando probabilidades de despiste del administrador que lleva todo el tinglado, pongamos que es un hombre aplicado que ejecuta su cron como un desesperado, igualmente podemos esperar presionando F5 en la carpeta “Sessions”, hasta que dé la casualidad en la que un Admin, genere una Cookie y el archivo de sesión aparezca durante el tiempo que tarde en cerrarla para intentar robarle los hashes muajaja

Perdonen la risa malévola, pero me emocioné, pues no tardé en empezar a volcar archivos de sesiones a mi disco duro en busca de MD5 vulnerados.

Entre tantos, encontré hashes super-seguros compuestos por solo dígitos.

Otros tan ilógicos, como que alguien ponga de password su propio username.

Aprovechando la entrada, le envío un saludo a Zion3r, pues fue la persona que tubo el tiempo de codearse en python, un script para averiguar que tipo de algoritmo cifran los hashes con Hash ID.

Entre que busco con mi Notepad++ y coloreo, por otro lado Havij me muestra la password en texto plano, me daba tiempo a estudiar a ver si de la E.S.O conseguía una prueba de acceso para ser Ingeniero.

Por otro lado, me quedé con las ganas de acceder a otros sitios y aprender cosas nuevas, así como tengo un PC con apenas 8 Cores, se me ocurrió tirar de fuerza bruta con BarSF, especialmente diseñado para hashes MD5.

Sinceramente lo tube arrancado no más de cinco minutos y claro... estas cosas tardan pero merecen la pena.

Si aun son de los que no tienen Moodle, no se preocupen... ¡pueden instalarse el suyo en cualquier servidor ajeno!

inurl:"/admin/index.php" intitle:installation

Son realmente despistados estos administradores que dejan todo a medias.

¡Espero que les haya resultado entretenida la entrada! Y no porque yo lo diga, ya piensen que Moodle puede llegar a ser un poco inseguro...

Saludos 4n4les! ;)

Espionaje, cuerpos sexys y datos robados Parte 2

##################################################################################

- Espionaje,cuerpos sexys y datos robados Parte 1

- Espionaje,cuerpos sexys y datos robados Parte 2

##################################################################################

Si la anterior entrada no sabía como empezarla, era porque estaba dándole vueltas en como culminar la siguiente. El novato, nos dio un respiro al publicar una pista “el código fuente de los estilos”, que encontramos en los logs capturados por Ardamax. Ahora solo nos quedaba encontrar al “hackabrón” que hizo públicos sin saberlos, todos esos archivos robados del servidor.

Se me ocurrió una estúpida idea de las mías... bajarme TODA la página web, a uno de mis discos duros ¡Claro! ¡No tengo permiso para entrar a ningún sitio privado! ¿Pero y si todos los datos importantes son públicos?

El principal problema, es que el hostin baneó mi IP. Supongo que no les haría tanta gracia como a mí, que un desconocido cree tantas conexiones a su servidor, pero no le dan tanta importancia a lo que otros albergan en él.

No tuve que moverme demasiado, para dar con algo que llamó mi atención.

(Recorté las fotografías... a ellas le gustan grandes pero a nosotros no)

Es irónico encontrarse a una de las personas infectadas por el keylogger, con una sesión de FTP abierta en el servidor donde se alojan los archivos robados y en otra ventana el hostin. Pero sin duda lo más gracioso, es encontrarse el servidor donde estaba colgado el ejecutable con extensión COM y la dirección de dicha persona enviándose el correo así mismo.

Bueno, supongo que son cosas que pasan, uno juega con fuego, hasta que se infecta de su propio troyano y se termina robando a uno mismo ¡miren el lado bueno! ¡la ley no castiga los auto-robos!

El tema es que dando vueltas por las imágenes, vi que era un tipo que más o menos sabía lo que se hacía, pues para no dejar rastros en muchos de sus movimientos, se le ocurrió una idea más fantástica aun que la mía, instalar Deep Freeze, pues esperemos que congelase el estado del sistema antes de instalar el sever del Keylogger, sino estamos apañados.

Hablo asegurando que esta siguiente fotografía, aun ser de un sitema diferente, era consciente del servidor robado, pues también existe una imagen, donde se visita dicho dominio desde este.

intext:"negociosprisma@hotmail.com"

Casi asusta, pero cada uno es libre de dedicarse a lo que quiera, unos venden Ford Scorts otros mujeres Escorts...

Decidí pasar de las fotos obscenas, a los ficheros HTML en busca de más porno, aunque para suerte de esta entrada, también encontré su propia contraseña de Hotmail, donde el presunto “hackabrón” se reenvió el ejecutable infectado “hackeandose” de nuevo.

 

El decimal 64 en Assci, pasó hace mucho tiempo a ser la @, aunque el 6464, puede ser debido al parkison informático.

Si seguimos jugando, seguro encontraremos más cosas divertidas...

Pero seguro que nada importante ya ven.

PD: ¡No quiero que ahora se pongan todos como locos a borrar los ficheros de sus Ardamax! ¡No sin antes pasarme las capturas de pantalla!

Saludos 4n4les! ;)

Espionaje, cuerpos sexys y datos robados Parte 1

##################################################################################

- Espionaje,cuerpos sexys y datos robados Parte 1

- Espionaje,cuerpos sexys y datos robados Parte 2

##################################################################################

La verdad, no sé por donde coger esta entrada, tengo tanto de lo que hablar y más pensando en lo acostumbrados que están mis lectores a marearse entre los floripondios tan agitados, casi vomitivos con los que estoy familiarizado a utilizar enelpc, que bueno... en fin, bienvenidos a mi montaña rusa.

No sé si alguno de vosotros tuvo ese turbio y obsceno pensamiento, de hacerse fotos sexys, poniendo su mejor cara, ante una cámara y subirlas a una página, para que las chicas guarr... digo guapas que viven detrás de tu bloque, te firmen o puntúen, para más tarde tener una cita, y bueno ya saben... eso que hace todo el mundo, pero que todo el mundo está empeñado en esconder ¡no piensen mal! ¡no son nuestras IP!

¿Por qué por “internete” los feos también ligamos?

Pues sí, tenía la ilusión de encontrar algún bug en la famosa web de Sexyono.com ¡no me digan que no la conocen! ¡Si todos tenemos una foto subida seguro! El tema es que cuando se me terminaron las variables y las jeringuillas SQL, empecé a buscar en Google. Primero pensé en acceder a alguna cuenta que no fuese mía, (wooh) pensé demasiado... pues ya saben lo generoso que llega a ser Google cuando se empeña, ahora pensemos todos juntos mejor chicos.

¿Qué vé un usuario registrado a diferencia de uno sin registro?

¡Claro! Un panel con “Mis Coincidencias”, “Mis Mensajes”... ¿Cerrar sesión?

Pues nada, a buscar como loco con búsquedas avanzadas.

site:sexyono.com intext:"Cerrar Sesión"

Escandalosamente, me encontré con nombres de usuario accesibles, o más bien perfiles indexados por Google, mediante una URL con un par de variables interesantes, “u=” la de usuario cifrada y “key=” que trasporta la clave de acceso.

Aunque aveces, no me gusta meterme en donde no me llaman y terminé asustado por la brutalidad de pede*a*t*s que se aprovechan de chicos menores a mi parecer, sin el más mínimo miedo.

La duda me traía loco, así que no podía faltar una pequeña investigación para intentar llegar a alguna lógica en todo esto.

¿Qué hacían dichos enlaces indexados? ¡pues de algún sitio tuvieron que salir digo yo!

Se me ocurrió buscar uno de los enlaces (“acortándolo un poco, pues ya saben que aveces el buscador es un poco (“tikismikis”)”), junto a la variable que lleva el nombre de uno de los usuarios cifrado, con lo que llegué a un subdominio que lo albergaba, como muestra la siguiente imagen.

"sexyono.com/conoceme/r/?u=1bdb9.18323.1c16a."

Al acceder al subdominio, pude ver que se trataba de un hostin free, que “alguien” utiliza para alojar en este, miles de archivos como capturas de pantalla, conversaciones, claves de acceso a sitios... ¿ya saben por donde va la cosa?

http://riber5.freeiz.com/

Indagando entre fotos, conversaciones, páginas pornográficas, facebUks y mil guarrerías robadas, me llamó la atención saber el nombre de la aplicación utilizada por el supuesto “hackabrón” que se había montado todo este embolado. Así que me tocó buscar un patrón, para dar con alguna pista... ¡pero si solo son capturas y conversaciones! ¿Donde encuentro algo?

Algo estaba cerca, pues los estilos que le daban ese recuadro grisáceo a las fechas de las capturas de teclas, es posible que fuera “único” del supuesto “SpyWare”.

Este tal “Ricks”, estaba infectado hasta la médula...

Así que en busca del patrón, “Ctrl+U” y a inspeccionar el código fuente.

Sin dar muchas vueltas se pudo ver incluso el hostin al que pertenecía.

Copiamos el patrón y a buscar en Google de nuevo, que para mi que de algo me va a servir.

#DFDFE5; }H2 { COLOR: black; BACKGROUND-COLOR: #FFFFF; FONT-SIZE: 12pt

Casi me caí de la silla, pues la suerte me la brindó un pequeño novato de un foro que ya apareció enelpc, junto una larga historia de Google Hacking.

No sé si la recordarán, pero para entrar dentro de tal foro, bastaba con hacerse pasar por Google a base de User-Agent Cloaking, utilizando a GoogleBot 2.1, junto con su traductor o caché y podrán navegar sin registro.

http://translate.google.es/translate?sl=es&tl=en&js=n&prev=_t&hl=es&ie=UTF-8&layout=2&eotf=1&u=http%3A%2F%2Fwww.hackforums.net%2Fshowthread.php%3Ftid%3D64166

Un pequeño iluso, que intentaba leer sus logs guardados en HTML con un notepad, el Ardamax Keylogger que él mismo configuró, descargados desde un FTP similar al de aquí, nuestro amigo “hackabrón” que hizo enlazar Sexyono robados sin saberlo... Aunque bueno, realmente la culpa es de Sexyono, ¡a quien se le ocurre utilizar esos métodos de “supercifrado” de acceso!

Así que bueno... ¡esto es tooo! ¡esto es tooo! ¡esto es tooo amigos!

Saludos 4n4les! ;)