sábado, 31 de julio de 2010

Leviathan wargame level1 y level2

Hace un par de meses leyendo otro blog, leí sobre la existencia de intruder.net así como de los wargames que tiene.
Empecé por el primero, también el más sencillo. Y aunque estuve unos diez minutillos, no llegué a pasarlo entero, pero bueno, vamos paso a paso. Éste es "Leviathan":

Access:
ssh:leviathan.intruded.net
port:10101
username:level1
password:leviathan

Consiste en que dado un usuario, tenemos que ir escalando privilegios hasta el usuario level8, así que una vez nos conectamos, podemos ver un mensaje de bienvenida. En éste, se nos comenta que la mayoría de los niveles, los podemos encontrar en /wargame, así como que /tmp es "writeable". Pero si probamos, vemos que no es "readable", al menos no por nosotros.

Si se accede a /wargame podemos observar que existen unos cuantos archivos con el bit de SUID actio, por lo que pueden ejecutarse con permisos de otros usuarios "mayores".


Level 1:
En el caso de level1, no existe archivo en /wargame, así que hay que mirar en su propio home. Se puede ver que hay un archivo .password que contiene el password del nivel 1, pero esta no nos sirve, puesto que ya la tenemos.
Observamos que existe un directorio .backup, que dentro tiene un archivo bookmarks.html. Podemos abrirlo y mirar dentro a ver si nos puede dar alguna pista de la contraseña para el nivel 2, aunque haciendo una simple búsqueda de palabras podemos evitar leerlo entero (1400 lineas no es para menos!):P


grep intruded bookmarks.html
o
grep pass bookmarks.html


El resultado es una url donde si accedemos podemos ver la contraseña para el siguiente nivel.

El siguiente paso:
level1@leviathan:~/.backup$ su level2
Password:
level2@leviathan:/home/level1/.backup$

Level 2:
Como vemos, estamos como usuario "level2", en el home de level1. En este caso si que existe ejecutable en /wargame, así que.. vamos para allí.

Podemos ver, que el archivo que podemos ejecutar, y que nos dará privilegios de "level3" es el ejecutable "check".

level2@leviathan:/wargame$ ./check
password: prueba
Wrong password, Good Bye ...

Por lo que parece, está comparando la contraseña que nosotros le proporcionamos de alguna manera, y en caso de que sea válida nos dará acceso al siguiente nivel.
Así que, utilizaremos "ltrace" para ver las llamadas que hace y ver si podemos extraer algo de información que nos llegue a mostrar como obtener la contraseña.

Como se puede observar la imagen, hemos introducido como contraseña "prueba", y vemos que luego realiza una comparación con strcmp, para ver si las 3 primeras letras de nuestra contraseña, son "sex".

Así que en caso de introducir alguna palabra que empiece por sex, ya ejecutamos el /bin/sh que nos proporciona acceso a level3:

level2@leviathan:/wargame$ ./check
password: sex
sh-3.1$ id
uid=1001(level2) gid=1001(level2) euid=1002(level3) groups=1001(level2)
sh-3.1$

Actualización:

Faltaba una cosa, acceder al home de level3 y ver su contraseña para poder hacer el "su" ;)

sh-3.1$ cd /home/level3
sh-3.1$ ls
sh-3.1$ ls -lah
total 24K
drwx------ 2 level3 level3 4.0K 2008-03-26 02:08 .
drwxr-xr-x 10 root root 4.0K 2008-03-26 01:55 ..
-rw-r--r-- 1 root root 0 2008-03-26 02:08 .bash_history
-rw-r--r-- 1 root root 220 2008-03-26 01:53 .bash_logout
-rw-r--r-- 1 root root 414 2008-03-26 01:53 .bash_profile
-rw-r--r-- 1 root root 2.2K 2008-03-26 01:53 .bashrc
-rw-r--r-- 1 root root 9 2008-03-26 01:54 .passwd
sh-3.1$ cat .passwd

Eso sí, la contraseña no la pongo!

lunes, 28 de junio de 2010

Mobile Tools

Tengo varios temas sobre los que escribir.. pero llevo unos días recibiendo varios feeds sobre temas relacionados con los móviles, y bueno, aunque no haya trasteado yo demasiado con ellos, voy a poner un par de cosas de las que me han parecido más interesantes.

En primer lugar, como realizar un análisis forense de un dispositivo móvil mediante la tool: http://www.oxygen-forensic.com/en/

Y aquí los enlaces:

En segundo lugar, una herramienta para realizar test de intrusión mediante bluetooth:

Y por último, una versión de Metasploit para dispositivos móviles..

En cuanto pueda probar como funcionan ya lo explicaré :D... aunque no tengo demasiado tiempo ahora..

sábado, 19 de junio de 2010

varios temas de clickjacking


Ya que llevo varios días sin escribir, voy a hacer referencia a un post que he escribí hace unos días..

El caso es modificar la funcionalidad que hasta ahora le habíamos dado a un cross-site scripting, para convertirlo en un ataque de clickjacking.

clickjacking:

xss to clickjacking:


jueves, 22 de abril de 2010

McAfee rules!

En los dos últimos días han aparecido una serie de problemas por causa de McAfee. Sí, por causa de McAfee, no por un virus y que McAfee haya solucionado.. sinó porque al actualizar sus antivirus, uno de los archivos de firmas contiene un falso positivo, el qual comienza a eliminar servicios de la máquina hasta que la deja prácticamente frita.
El archivo de firmas es el que se refiere al 5958.dat dándo un falso positivo para w32/wecorl.a y afectando al archivo svchost.exe dejándolo en blanco o bien borrándolo, por lo que no se puede ejecutar ningún servicio en la máquina.

A continuación dejo un enlace de como solucionar el problema:

http://vil.nai.com/vil/5958_false.htm

sábado, 27 de marzo de 2010

Path traversal an other issues

Hoy voy a hablar, de saltarse ciertas restricciones mediante la codificiación de caracteres, mediante la manipulación de la entrada así como de la própia vulnerabilidad en sí: "Path traversal".

En primer lugar, comentar que en algunas aplicaciones (sean web o no), disponen de una vulnerabilidad que permite acceder a recursos en los que en un principio no se les permite el acceso. Esto se debe a que se hace una referencia hacía un objeto:

http://unawebcualquiera.com/index.php?file=info.txt

En esta petición, se está haciendo referencia al archivo info.txt incluyendo su contenido en la aplicación. Ahora bien, que es lo que pasaría si en lugar del archivo "info.txt" quisiesemos que nos incluyese el archivo "/etc/passwd". Para ello, deberíamos hacer referencia a este archivo, por lo que debemos utilizar los "../" para escalar directorios:


En esta imagen se puede ver el contenido del archivo "etc/passwd" y como hacemos referencia a él mediante los ../.

Para solucionar este problema, deberíamos evitar que se pudiese introducir esa cadena. Si tan solo se elimina "../" es posible saltarse esta restricción, ya que si se realiza una cadena que al eliminar los "../" quede de la misma forma.

"..././..././..././"

Otra de las formas, de evitar esta posible restricción, es mediante el uso de la codificación de carácteres, en algunos casos, según como se trate los carácteres se puede realizar mediante: "%2e%2e/"

sábado, 13 de febrero de 2010

Primeras vulnerabilidades en Buzz





Hace un par de días, se me activó una nueva pestaña en gmail, en el texto de ésta, aparece la palabra "Buzz". Al parecer, es un nuevo servicio de google, que intenta emular una especie twitter que sea utilizado desde gmail, donde tus contactos puedan ver que públicas, y hacer comentarios al respetcto.

Por lo que he visto, me gusta algo más que twitter por el hecho de que es más fácil seguir el hilo de una conversación.... pero el caso.. es que al ser un servicio nuevo integrado a Gmail, puede aportar nuevas vulnerabilidades al conocido gestor de correo.

He leído esta mañana, que es posible realizar un ataque de CSRF (Cross-site request forgery) a gmail. Este ataque se basa en que un usuario realice una petición hacia un sitio web (en este caso, gmail) sin que éste tenga conocimiento de ello.

Una prueba es que al cargar la siguiente imagen, si teníais el gmail abierto, se os habrá cerrado la sessión.

El siguiente test.. va a ser utilizar este tipo de ataques para publicar algún texto en Buzz. Si lo consigo, ya os enteraréis!!!


Fuente: