Ingeniería social: Phishing con Gophish

Facebooktwitterlinkedinmail

17 noviembre, 2017

El phishing, dentro de los ataques de ingeniería social, es uno de los ataques más utilizados a día de hoy cuando se intenta comprometer la seguridad de una empresa. De nada sirve tener todos los sistemas actualizados, un gran equipo de seguridad y gastar miles de euros en seguridad si los empleados de una empresa no están concienciados y son capaces de facilitar sus datos de acceso a un atacante.

La concienciación en seguridad es un aspecto fundamental y es por esto que existen herramientas para ayudar a los equipos de seguridad a concienciar a los empleados, una de estas es Gophish.

Gophish es una herramienta para lanzar campañas de phishing de forma sencilla. Nos permite crear un correo de phishing y una página web dónde pedir credenciales. Tras la campaña se obtienen resultados detallados de los usuarios que:

  • Abren el correo
  • Hacen clic en el enlace
  • Introducen sus datos

Para que el correo no sea marcado como spam y la campaña de phishing sea lo más parecida posible a un ataque de phishing avanzado, será importante realizar una correcta configuración del servidor de correo activando SPF, DKIM y DMARC además de una correcta configuración de la web activando SSL y añadiendo los certificados correctos.

Así que desde Donttouchmy.net recomendamos utilizar una máquina Ubuntu recién instalada y el script Postfix-Server-Setup, en el cual hemos colaborado, para realizar la instalación de forma rápida y fácil.

Leer más

Writeup – Bloody Feedback (VolgaCTF 2017 Quals) – Injección SQL

Facebooktwitterlinkedinmail

26 marzo, 2017

El reto que se detalla en esta entrada es un reto web de 100 puntos del CTF VolgaCTF 2017 Quals, celebrado desde el viernes día 24 de marzo hasta el domingo 26 de marzo. Este se resuelve mendiante una injección SQL.

Al entrar en la web podíamos ver un formulario para enviar feedback en la Home y un apartado Top messages donde aparecían los mensajes de feedback introducidos por los usuarios.

Leer más

Introducción a los ataques Cross-Site Scripting XSS ( I )

Facebooktwitterlinkedinmail

19 marzo, 2017

En esta serie de artículos vamos a realizar una introducción a los ataques Cross-Site Scripting (XSS) con el objetivo de entender como funcionan, que peligros comportan y como aplicar las medidas necesarias para evitarlos.

Los ataques de tipo Cross-Site Scripting son un tipo de inyección. En esta el atacante utiliza las entradas de datos de un sitio web para inyectar scripts maliciosos (normalmente JavaScript) que después se ejecutarán en el navegador de otros usuarios, es decir, en las víctimas de este ataque.

Tipos de XSS

Podemos diferenciar los ataques XSS según si son o no persistentes y según donde se utilizan los datos no confiables. A continuación vemos un cuadro resumen ofrecido por OWASP de los tipos de XSS:

Cuadro resumen tipos de ataques XSS

Tras esto pasamos a detallar como funcionan los ataques en los cuales los datos no confiables se utilizan en el servidor:

Leer más

Configurando HTTPS en servidores Apache en CentOS

Facebooktwitterlinkedinmail

26 enero, 2017

El cifrado de las comunicaciones es imprescindible para evitar que nadie pueda ver los datos que se envían entre cliente y servidor, especialmente si entre estos datos se envía información sensible como contraseñas.  Por esto, en este post se explica de forma breve como configurar HTTPS en un servidor Apache de forma gratuita gracias a Let’s Encrypt.

En primer lugar vamos a ver que es una autoridad de certificación(Certification Authority o CA) y un certificado digital. Una autoridad de certificación es un entidad de confianza que emite y revoca certificados digitales, estos certificados son reconocidos por los navegadores web u otros clientes/servicios y se usan para verificar la identidad del servicio o del recurso consultado.  Estas son un elemento básico en una infraestructura de clave pública o  PKI ya que aseguran que la clave pública de un usuario es realmente suya.

Tras esta introducción vamos a pasar a generar los certificados digitales que después configuraremos en el servidor. Para esto usaremos el cliente recomendado por Let’s Encrypt certbot.

Para CentOS , debido a que algunas dependencias de certbot no están disponibles en los repositorios estándar, deberemos habilitar el repositorio EPEL:

yum install epel-release

Descargamos certbot-auto:

wget https://dl.eff.org/certbot-auto

Damos permisos de ejecución:

chmod a+x certbot-auto

Leer más

Honeypot, aprendiendo de los ataques

Facebooktwitterlinkedinmail

24 enero, 2017

Esta entrada del blog será la primera de una serie de entradas dedicadas a HoneyPy. Un honeypot de baja interacción escrito en Python y mantenido por foospidy que es fácil de poner en funcionamiento, nos permite extender sus funcionalidades mediante el uso de plugins y también aplicar configuraciones personalizadas.

En primer lugar describiremos que es un honeypot. Un honeypot  es un sistema que tiene como objetivo recibir ataques para aprender de estos. Este simulará servicios que parecerán legítimos de cara al atacante pero que no tienen una utilidad real.

Esquema funcionamiento honeypot

Leer más

Obteniendo una sesión meterpreter a través de la interfaz web de Cacti

Facebooktwitterlinkedinmail

13 septiembre, 2016

En la siguiente entrada se detalla como un usuario con permisos para gestionar gráficas en Cacti podría obtener acceso al servidor mediante una sesión meterpreter a través de una funcionalidad que ofrece Cacti.

En primer lugar creamos nuestro payload utilizando msfpayload:

msfpayload

Donde IP será la IP a la cual se conectará de forma reversa el payload.

Una vez creado el payload, deberemos dejar este en un lugar accesible para ser descargado desde Internet.

Después de esto accedemos a la interfaz web de cacti y vamos al apartado Data Input Methods. En este, añadimos un nuevo método del tipo Script/Command y como Input Script introducimos un wget para descargar el payload a la carpeta rra de cacti, introduciendo como IP la ip donde está alojado el fichero, un chmod para dar permisos de ejecución y por último indicamos que se ejecute el payload.

Leer más

Bienvenidos a DontTouchMyNet

Facebooktwitterlinkedinmail

13 septiembre, 2016

Somos Adan A. y Josep M. G., dos administradores de sistemas amantes de la seguridad informática y de la informática en general. En nuestro trabajo como administradores de sistemas no nos dedicamos exclusivamente a la seguridad informática y por esto iniciamos este blog, con la esperanza de seguir creciendo en este campo e intentando aportar nuestro granito de arena a la gran comunidad de la seguridad.

Entre los objetivos y temas que pretendemos cubrir en este blog se encuentran:

  • La investigación de fallos de seguridad en aplicaciones y sistemas y medidas para subsanarlos.
  • El análisis de herramientas de seguridad.
  • La creación de guías y consejos para securizar nuestros sistemas.
  • La creación de entradas relacionados con la administración de sistemas.
  • La explicación de soluciones de retos de CTFs
  • La actualización del blog dando a conocer las últimas novedades en el mundo de la seguridad informática. Así como comentar noticias, charlas, vulnerabilidades recientes y en resumen cualquier cosa que nos parezca interesante.

Nuestra intención es poder actualizar el blog tan a menudo como sea posible según nuestro trabajo y nuestras cargas personales. Además, pretendemos que en las entradas sobre explotación de vulnerabilidades siempre se den consejos y no solo se centren en la explotación de una vulnerabilidad, ya que los objetivos del blog son educativos y de concienciación. Cabe destacar que la principal motivación en nuestras entradas será encontrar la manera de mitigar los ataques.

Este blog va dirigido a cualquier persona que le interese la seguridad informática y la administración de sistemas independientemente de su nivel de conocimientos, nuestra intención es tener entradas de todo tipo, desde básicas hasta a algo más complejas.

Por último, en el apartado de contacto localizaréis una dirección de correo a la cual podéis enviar cualquier duda, crítica, observación o colaboración, estamos abiertos a escuchar a todo el mundo.

Esperamos que disfrutéis de este blog, al menos tanto, como nosotros esperamos disfrutar.