Remember: ICMP

Tenia un compañero de trabajo -ahora amigo-, que siempre me decía: “Niño, no todos los días son domingo.” ¡Y tenía razón!. No sabía si publicar esta información o no, debido a que siempre uno prefiere hacer públicos los logros, y no así con las derrotas. Esta vez podría serle de utilidad a alguien o al menos meterle el gusanillo a todo aquel que quiera hacer sus pruebas. Y que me quiten lo aprendido.

Todo empezó gracias a un mensaje vía twitter, en el que hablaban sobre una publicación del genio Romansoft, “Técnicas de guerra en el irc“, fechado en el 97. Ya conocía sobre ICMP, y en su día estuve utilizando los programas que comenta -sin tener mucha idea de que hacían los mismos-. Me extraño no conocer a día de hoy ninguna herramienta que funcionase utilizando icmp. ¿Podría yo resucitarlas? ¿Quizá ya no servían?

Empecé estudiando ICMP Redirect ¿Suena bien verdad? Y si encima digo, que ¡permite un ataque MITM! La idea reside en indicar al host victima, que existe una nueva ruta disponible mejor que la que utiliza, y se le facilita una nueva “puerta de enlace”. En las pruebas realizadas tanto windows xp (SP3) actualizado, como windows 7 actualizado. Recibe los paquetes correctamente, pero los ignora de forma vil y cruel. :x

Tras más de 2 días haciendo pruebas, un paquete icmp desde 0 (un paquete RAW), con scapy -adoro esta utilidad-. Finalmente pude hacerle, y quedó el paquete formateado correctamente, pero… no funcionaba :(. Sigue leyendo

Hacking web. Camuflaje

¡Buenas de nuevo! Esta semana estoy pasando el rato con aplicaciones web. La idea, es poder ejecutar una sentencia SQL, -utilizando un método de inyección-, pero en el registro, no quede constancía de nuestra dirección ip. Ocultarnos utilizando múltiples servicios. Aquí pongo algunos que se me han ocurrido, en los comentarios, puedes dejar tu aportación.

La idea reside, queremos revisar un volcado de una base de datos, o quizá insertar un nuevo usuario administrador. Bueno, ya puedes imaginar por donde van los tiros. Para ello, podemos bien introducir la url en nuestro programa favorito, navegador, etc. O quizá… dejar que sea otro el que haga la operación por nosotros :D

El 31 de octubre, en el blog de Chema Alonso, se publicaba la siguiente información: Post. La gracia reside, en que fallos de este tipo existen en múltiples sitios. Pero si utilizamos una herramienta, o decidimos visitar la url, en el log de registro ¡Tacatá! Queda  bien visible nuestra dirección ip.

Para comprobar si saldría nuestra dirección, o la del sistema que utilizamos a modo proxy, he utilizado este código PHP:

<?php
$borrar = $_GET["borrar"];
if ($borrar == "")
{
 $borrar = "Vacio";
}else{
 echo "¡Bien! ¡Me borraste la base de datos!<br><br>";
 echo $_SERVER['REMOTE_ADDR'];
}
$fp = fopen("Registro.txt","a"); 
  fwrite($fp, $_SERVER['REMOTE_ADDR'] . ' - ' . $borrar ."\r");
fclose($fp); 
?>

El código es muy muy simplón. Recibe desde la variable “Borrar”, la información. Si está vacio, es decir la página en cuestión que utilizamos a modo “proxy”, elimina la “parte peligrosa”, nos muestra el campo como vacio. En cambio, si nos deja entrar hasta la cocina. Nos registra en el fichero, el texto recibido por la variable, y la dirección IP, para asegurar que nos deja hacer de proxy.

¡Ahora la parte divertida! ¡Las pruebas! (Y no son las 7 pruebas de Asterix)

La primera, “demostrando inteligencia“. Te dejo adivinar el motivo por el que no funciona. Me hizo gracia, y le plante la captura. No se puede ir con prisas.

Ahora sí, utilizando google translate:

Goo.gl (El acortador de url)

VirusTotal (La zona de análisis web)

Algunos de estos sitios, goo.gl, translate, muestran el resultado del “ataque”, en la propia pantalla, por lo que podremos saber de inmediato si ha funcionado. Tras todas estas pruebas, así es como me ha quedado el log. (Creo que virustotal, comprueba la página en google)

Como siempre, para continuar escondiendo la dirección ip origen de esta petición, se podría utilizar la red tor.

¿Y a tí, que sitios se te ocurren?

Update:
-Si te interesa a forma de anexo, y pruebas recomendables sobre variables de entorno y demás: RTM Essential 5. Página 22. “Anonymous caso práctico”. Extraído del blog: www.dragonjar.org

La contraseña es: www.dragonjar.org