Buenas a todos! , contribuyendo a la serie "Atacando al atacante" me parecio interesante escribir un articulo sobre los Remote Buffer Overflow en softwares de administración remota (RAT), de esta manera comentaremos como atraves de este tipo de vulnerabilidades damos la vuelta a la tortilla, pasando de ser la víctima a ser el atacante.

[+] Teoria

Antes de comenzar con el articulo explicaremos por encima un poco de teoria, ¿Qué es un remote buffer overflow?

Según wikipedia, un buffer overflow o desbordamiento de búfer es un ataque diseñado para activar la ejecución de código arbitrario en un software cuando enviamos a este mayor tamaño de datos del que puede recibir.

Aunque su definición parece muy sencilla su complejidad es mucho mayor, ya que se necesita un conocimiento exhaustivo de la arquitectura del programa y del procesador entre otras cosas.

Con el prefijo "remote" damos a entender que el ataque puede ser producido desde fuera de la red y sin necesidad de tener acceso previo al sistema vulnerable.De esta manera, podriamos usar este fallo para bloquear un servidor o ejecutar código arbitrario mediante el envío de paquetes TCP y así conseguir una sesión remota.

Cabe decir que existen 3 tipos de desbordamientos :
   · Desbordamiento de buffer en stack/en la pila
   · Desbordamiento de heap memory
   · Desbordamiento en segmento de datos

En esta situación nosotros explotaremos un desbordamiento en el heap memory, machacando el header de espacio libre.

[+] Entorno

Una vez hemos asentado un poco los conocimientos teóricos vamos a lo realmente interesante...

Voy a recrear un entorno en el que somos infectados por un troyano(Poison Ivy) y aprovechando una vulnerabilidad de desbordamiento de búfer remoto abrimos una sesión meterpreter en la PC de nuestro presunto atacante, de esta manera pasamos de ser la víctima a ser el atacante en cuestión de minutos.

El entorno será el siguiente :

- Mi maquina real (ArchLinux), desde donde crearé la sesión remota
- Maquina Virtual (Windows XP) que actuará tanto de víctima como de atacante


En mi virtual XP tengo descargada la última versión de Poison Ivy (2.3.2), como ando falto de recursos mi maquina virtual será tanto el atacante que tiene abierto el "Cliente" desde donde monitoriza las PC's infectadas, como la víctima que ejecutará el "server.exe" infectado.
 
[+] Prueba de Concepto

Desde el punto de vista del atacante:
(El atacante debe correr el cliente sobre un XP o un W7 32 bits, de lo contrario el desbordamiento se producirá pero no se ejecutaría el código albitrario y no conseguiriamos una sesión meterpreter en el sistema)

El atacante generaria el servidor que nos infectaría :


[+] Un pequeño detallito extra útil para la victima que más tarde se volverá atacante

Aprovecho para aclarar que el exploit que lanzaremos desde metaesploit, lanza la contraseña por defecto "admin" codificada en un shellcode :







Si el presunto atacante cambiará esa contraseña por otra, la victima podría abrir el server.exe con un editor hexadecimal y visualizarla, de esta manera la víctima solo tendria que cambiar el shellcode con valor "admin" por un shellcode con el valor de la contraseña para que el exploit fuese lanzado con éxito:


Desde el punto de vista de la víctima:
 (La víctima no podría lanzar el exploit para dar la vuelta a la tortilla hasta haberse infectado por el presunto atacante)

Nosotros, siendo conocedores de que el archivo que el presunto atacante nos ha pasado es bastante sospechoso, lo ejecutamos y confirmamos nuestra sospecha :


Una vez confirmamos que estamos infectados y que el atacante esta a la escucha, damos la vuelta a la tortilla antes de que se nos queme (como buenos cocineros), así que comenzamos la intercepción :


Empezamos a atacar al "atacante", abrimos metaesploit y usamos "exploit/windows/misc/poisonivy_bof" :



al escribir "check", metaesploit comprueba si el objetivo/target es vulnerable sin llegar a lanzar el exploit, ahora que sabemos que no ha saltado ningún error vamos a lanzar el exploit para conseguir nuestra sesión meterpreter :


Como podeis ver hemos obtenido una sesión meterpreter, por lo que hemos pasado de ser la "inofensiva" víctima sometida, a ser el atacante.

[+] Thanks to...

Agradecimientos a Himanen por darme la posibilidad de confirmar el PoC en un entorno real y probar así la eficacia del method.

Ya con esto quiero dar fin al articulo, nada más esperar que os halla resultado de ayuda.

Saludos, Sanko.
Leer Mas


El cubo de comandos para Debian
Después de 1 año volvemos con esta sección UnixFridayDay en donde traimos por solo dos cortas semanas un poco de gadgets en papel bueno  no gadgets pero la idea venia de ello si se van y buscan el tag de Unix Friday Day podran ver las anteriores entradas asi que esta vez, retomando ese rumbo venimos con este cubecraft de Debian el cual podemos bajarlo e imprimirlo para tener a mano los comandos mas usados en nuestra distribución.

Para poder descargarlo para imprimir pueden acceder al siguiente link de descarga.

Regards,
Snifer
Leer Mas
Hola a todos  la primera entrada del blog de esta segunda etapa por lo cual comenzamos con esta serie de artículos donde abordaremos temas de protección y creación de distracciones, securización, administración de logs, correcta activación de logs, y aun mas de ello iremos desde el comienzo teniendo unas buenas bases de teoría de los temas que trataremos, iremos sacando regularmente para hacer seguimiento.



Nos portaremos del lado bueno :), para luego iniciar ya con lo adquirido al otro lado el que nos gusta ser los atacantes y no caer en el ataque.


Conoceremos un poco de IDS, IPS, Honeypots, HoneyNets, montar nuestra propia red llegar a configurarla se que es algo ambicioso lo que quiero realizar pero vamos que de esto nacerá una buena referencia en la red.


Luego que les parece si realizamos la investigación del otro lado, como detectar o reconocer una HoneyNet un Honeypot y quizas nos metamos algo mas allá lo que venga así que dentro de un par de horas venimos con la primera entrega.

Regards,
Snifer
Leer Mas
Otro año mas que ando con este proyecto mi querido blog! :) si señores este es el 2 año que andamos por estos lares, este año las cosas cambiaron y mucho deje el trabajo en Jalasoft para unirme a Yanapti aprendiendo a diario mejorando deje a mi familia en Cochabamba, los extraño es cierto pero vale la pena por hacer lo que me gusta.


Un año con cambios que se vienen en el blog, trate de postear una entrada diaria lo cual no se pudo por problemas de fuerza mayor, la operación y demás trajes que se fueron enterando por este medio, pero con mucha alegría debo de dar las gracias a todos los que apoyan este pequeño rincón en internet aun mas con este pequeños proyectos que tenemos en marcha.
Ademas se implemento un listado de los artículos que se van actualizando lo cual pueden verlo aqui Lista de Artículos, y lo nuevo HackNigth que se viene con Statex ;) una renovación de la plantilla.


Solo me queda agradecer a todos por los comentarios y apoyo que recibo, via Twitter, Facebook nombrar a todos seria un infinito de no acabar, ademas de ello uno especial a Rizel, por ser la persona que me mantiene siempre con la mirada adelante.

Regards,
Snifer


Leer Mas
Como todos saben los chicos de HighSec lanzaron su HighCon un estilo de conferencias desconferencias por asi decirlo por lo cual en el primer video vemos solo a una persona xD esta bien no ando modo troll aqui les dejo los videos para que le den una ojeada aunque la calidad no me gusto! chicos vamos que podemos dar unos pesitos para unas mejores tomas ;).





Sin mas nos vemos mañana ;)

Regards,
Snifer
Leer Mas