Hacking con WiFi HID Injector y Empire

Facebooktwittergoogle_pluslinkedinmail

En esta entrada vamos a explicar como usar de forma simple un USB WiFi HID Injector para obtener acceso a un equipo. Para esto nos ayudaremos del framework de post-explotacion Empire.

En primer lugar, ¿qué es un USB WiFi HID Injector? y ¿Dónde lo conseguimos?

Un USB WiFi HID Injector es un USB que consta principalmente de un Atmega32u4 y un módulo ESP-12-F para añadir capacidad Wifi. Este USB al conectarse a un equipo es reconocido como un teclado y un raton. Por lo tanto, permite a un atacante conectarse vía WiFi a este y pulsar teclas o mover el ratón.

Este proyecto fue presentado en el Black Hat arsenal 2017 y está documentado en el GitHub del diseñador, donde podemos encontrar dónde adquirirlo.

En nuestro caso lo compramos en Aliexpress.

USB Wifi HID injector USB Wifi HID injector

Tal y como se indica en el GitHub estos USB ya llevan precargado ESPloitV2 por lo que podemos conectarlo y comenzar a jugar.

Leer más

Securizando – Fail2Ban como IDS

Facebooktwittergoogle_pluslinkedinmail

Securización de sistemas Linux con Fail2Ban

Hola  a todos, en este Post veremos como  implementar un sistema básico de IDS para protegernos de los ataques comunes y ataques de fuerza bruta. Como herramienta hemos escogido fail2ban. Un software maduro que nos permite monitorizar los logs de las aplicaciones en busca de marcadores que disparen acciones que, generalmente, se traducen en el filtrado de una IP sospechosa en el firewall del sistema.

En este post hacemos una configuración rápida para proteger:

* SSH: Filtrar ataques de fuerza bruta en SSH

* Apache: Filtrar ataques crawlers maliciosos, ataques a formularios y otros ataques comunes.

* Postfix: Filtrar servidores que han devuelto algun error de verificación de dominio o de opciones en los diálogos con Postfix.

Nuestro equipo de pruebas es una Centos 7.3 personalizada, así que algunos pasos pueden ser distintos a una instalación limpia original.

Leer más

Ingeniería social: Phishing con Gophish

Facebooktwittergoogle_pluslinkedinmail

El phishing, dentro de los ataques de ingeniería social, es uno de los ataques más utilizados a día de hoy cuando se intenta comprometer la seguridad de una empresa. De nada sirve tener todos los sistemas actualizados, un gran equipo de seguridad y gastar miles de euros en seguridad si los empleados de una empresa no están concienciados y son capaces de facilitar sus datos de acceso a un atacante.

La concienciación en seguridad es un aspecto fundamental y es por esto que existen herramientas para ayudar a los equipos de seguridad a concienciar a los empleados, una de estas es Gophish.

Gophish es una herramienta para lanzar campañas de phishing de forma sencilla. Nos permite crear un correo de phishing y una página web dónde pedir credenciales. Tras la campaña se obtienen resultados detallados de los usuarios que:

  • Abren el correo
  • Hacen clic en el enlace
  • Introducen sus datos

Para que el correo no sea marcado como spam y la campaña de phishing sea lo más parecida posible a un ataque de phishing avanzado, será importante realizar una correcta configuración del servidor de correo activando SPF, DKIM y DMARC además de una correcta configuración de la web activando SSL y añadiendo los certificados correctos.

Así que desde Donttouchmy.net recomendamos utilizar una máquina Ubuntu recién instalada y el script Postfix-Server-Setup, en el cual hemos colaborado, para realizar la instalación de forma rápida y fácil.

Leer más

Writeup – Bloody Feedback (VolgaCTF 2017 Quals) – Injección SQL

Facebooktwittergoogle_pluslinkedinmail

El reto que se detalla en esta entrada es un reto web de 100 puntos del CTF VolgaCTF 2017 Quals, celebrado desde el viernes día 24 de marzo hasta el domingo 26 de marzo. Este se resuelve mendiante una injección SQL.

Al entrar en la web podíamos ver un formulario para enviar feedback en la Home y un apartado Top messages donde aparecían los mensajes de feedback introducidos por los usuarios.

Leer más

Introducción a los ataques Cross-Site Scripting XSS ( I )

Facebooktwittergoogle_pluslinkedinmail

En esta serie de artículos vamos a realizar una introducción a los ataques Cross-Site Scripting (XSS) con el objetivo de entender como funcionan, que peligros comportan y como aplicar las medidas necesarias para evitarlos.

Los ataques de tipo Cross-Site Scripting son un tipo de inyección. En esta el atacante utiliza las entradas de datos de un sitio web para inyectar scripts maliciosos (normalmente JavaScript) que después se ejecutarán en el navegador de otros usuarios, es decir, en las víctimas de este ataque.

Tipos de XSS

Podemos diferenciar los ataques XSS según si son o no persistentes y según donde se utilizan los datos no confiables. A continuación vemos un cuadro resumen ofrecido por OWASP de los tipos de XSS:

Cuadro resumen tipos de ataques XSS

Tras esto pasamos a detallar como funcionan los ataques en los cuales los datos no confiables se utilizan en el servidor:

Leer más

Configurando HTTPS en servidores Apache en CentOS

Facebooktwittergoogle_pluslinkedinmail

El cifrado de las comunicaciones es imprescindible para evitar que nadie pueda ver los datos que se envían entre cliente y servidor, especialmente si entre estos datos se envía información sensible como contraseñas.  Por esto, en este post se explica de forma breve como configurar HTTPS en un servidor Apache de forma gratuita gracias a Let’s Encrypt.

En primer lugar vamos a ver que es una autoridad de certificación(Certification Authority o CA) y un certificado digital. Una autoridad de certificación es un entidad de confianza que emite y revoca certificados digitales, estos certificados son reconocidos por los navegadores web u otros clientes/servicios y se usan para verificar la identidad del servicio o del recurso consultado.  Estas son un elemento básico en una infraestructura de clave pública o  PKI ya que aseguran que la clave pública de un usuario es realmente suya.

Tras esta introducción vamos a pasar a generar los certificados digitales que después configuraremos en el servidor. Para esto usaremos el cliente recomendado por Let’s Encrypt certbot.

Para CentOS , debido a que algunas dependencias de certbot no están disponibles en los repositorios estándar, deberemos habilitar el repositorio EPEL:

yum install epel-release

Descargamos certbot-auto:

wget https://dl.eff.org/certbot-auto

Damos permisos de ejecución:

chmod a+x certbot-auto

Leer más

Honeypot, aprendiendo de los ataques

Facebooktwittergoogle_pluslinkedinmail

Esta entrada del blog será la primera de una serie de entradas dedicadas a HoneyPy. Un honeypot de baja interacción escrito en Python y mantenido por foospidy que es fácil de poner en funcionamiento, nos permite extender sus funcionalidades mediante el uso de plugins y también aplicar configuraciones personalizadas.

En primer lugar describiremos que es un honeypot. Un honeypot  es un sistema que tiene como objetivo recibir ataques para aprender de estos. Este simulará servicios que parecerán legítimos de cara al atacante pero que no tienen una utilidad real.

Esquema funcionamiento honeypot

Leer más