Feliz dia a todos los BoFH desde SniferL4bs, no se olviden de visitar el blog de scripting Geekscripting.com 


Por cierto se anda cocinando ya la próxima entrada de BurpSuite y de Zap sale en un par de horas mas.. 


Regards,
Snifer
Leer Mas
Este video lo vi recientemente en el aeropuerto mientras esperaba el vuelo  para iniciar otra consultoria, ni comentarle el retraso que tuvo el vuelo que fue por una carismática nevada que cayo en La Paz, solo de recordar y ver el manto que caía me trae una nostalgia especial.

El video presentando por David Perez y José Picó abordan el desarrollo de pequeños scripts que necesitaron para la implementación de una intrusión externa los comentarios y la forma que dan la charla es bastante amena  e interesante no se pierdan la presentación que es totalmente imperdible. 



Espero ya retomar las entradas diarias en el blog, como era de costumbre ya con menos trabajo y el tiempo restaurado ademas de que estamos a menos de 25 días para dar el examen de OSWP.

La nevada que cayo!

Regards, 
Snifer
Leer Mas
Esta debilidad o falencia viene nuevamente de la mala practica que se tiene o exposición  de ficheros, directorios hasta base de datos un ejemplo seria el siguiente si no se cuenta con las medidas necesaria no mostraría este mensaje, de Inicie su Sesion, accediendo de manera directa al panel de administración.


En el siguiente ejemplo veremos el acceso irrestricto a información o exposición  de ficheros, directorios hasta base de datos un ejemplo seria el siguiente si no se cuenta con las medidas necesaria no mostraria este mensaje, de Inicie su Sesion, accederiamos de manera directa al panel de administración.

Otro ejemplo trabajando con un sitio web, el cual permite obtener información relacionada a los usuarios realizando un recorrido incremental del valor numérico  que se tiene por URL lo veremos a continuación a que nos referimos. 


Notaron que al realizar el cambio de 2 a 100 obtenemos otro nombre o valor como respuesta


Ahora el siguiente paso es identificar la petición en el historial de BurpSuite para realizar el envió al Intruder.

ALERTA: Esta debilidad de visualizar los datos, de manera incremental se encuentra en gran parte de los sitios muchas veces obtienes hasta documentos por lo tanto lo que veamos ahora es usado según la necesidad.







Despues de identificar el varlo que manipularemos para realizar las peticiones le asignamos el valor $$ al primer número, del mismo modo es lo mismo que ingresemos unicamente los comodines. 

Vamos a Payloads y en el Tipo seleccionamos Numbers (Numeros), nos vamos a las opciones del Payload y seleccionamos el rango que se realizara la iteración como también la secuencia que seguirá en este caso es de a 1.

Antes de mandar al intruder y configurar el Payload realize la validación del Mínimo y el Máximo fui dando reduciendo de 2000, 1900,1800 y de ahí fui jugando hasta dar con el último valor. 


Ahora este ultimo punto es importante ya que se debe considerar el tiempo que se dará entre petición, ya que algunos sitios pueden llegar a bloquear las peticiones cuando son recurrentes.




Una vez lanzado el ataque nos devuelve una respuesta en este caso vemos el status y es de 200 peticiones aceptadas nos dirigimos a la respuesta y en ello podemos ver que nos interesa el nombre ademas del correo que se encuentra en la petición que nos devuelve el servidor. 


Pensando como un atacante, sacando los nombres y correos pueden ser usados para realizar un ataque dirigido de Phishing según el servicio que use el sitio web y que se quiere obtener.

Entonces nos vamos a la pestaña de Opciones que se encuentra en el ataque realizado con anterioridad en esto usaremos el Grep - Extract adicionamos uno nuevo en este ejemplo obtendremos el nombre para ello marcamos el Define start and end y marcamos el correo electrónico de manera automática se hablitaran los dos campos de inicio y limitante el mismo proceso lo realice para el nombre teniendo ya con ello dos campos para obtener.


Una vez que aceptamos los datos son cotejados de manera automática y nos habilita dos campos adicionales los cuales vemos a continuación. 

Ahora estos datos si desean los pueden exportar en un excel para tenerlo listo para realizar alguna estadística de ser necesario. 


A partir de esto notamos que muchas veces depende de nosotros para identificar alguna debilidad y saber como aprovecharla y explotarla con ayuda de la herramienta, recuerden la herramienta no hace a la persona es lo contrario nosotros hacemos a la herramienta porque necesita de nuestro análisis y conocimiento previo. 

Ahora por ultimo, la herramienta al contar con el escaner de vulnerabilidades integrado identifico en el sitio que estamos usando para las pruebas un Path Transversal que nos permite acceder al fichero passwd que jugando con la vulnerabilidad puede ser posible acceder a algún fichero de configuración adicional de algún servicio. 


Espero les agrade la entrada y lo que vimos en el, por cierto comentarles que ya inicie con el Ebook de Burpsuite realizando cambios de forma, y reordenando el contenido del mismo. 

Entradas anteriores de la serie



  • BurpSuite - La pequeña navaja Alemana
  • BurpSuite I - Primeros Pasos   
  • BurpSuite II - Intercepted, Tampering request! conociendo al proxy
  • Burpsuite III - Sitemap, Crawling, Vulnerability Scanning
  • BurpSuite IV - Configuración de Certificado digital, ProxyTOR?, guardando y recuperando



  • BurpSuite V - Engagement Tools
  • BurpSuite VI - Burp Suite Pro Real life tips and tricks 
  • BurpSuite VII - Match and Replace, Modificaciones HTML, Encoding and decoding
  • BurpSuite VIII - Historia de peticiones, Comparando Sitemaps, Reporte de Vulnerabilidades
  • BurpSuite IX - Cookie Jar,  Extensiones, guardado automático y estabilidad. 
  • BurpSuite X - Metodología de Análisis Web con Owasp



  • Burpsuite XI - BurpSuite XI - Análisis Web OWASP, Conociendo la aplicación
  • BurpSuite XII - Análisis Web OWASP, Ataques de Inyeccion SQL
  • BurpSuite XIII - Análisis Web OWASP - Descubriendo directorios y ficheros ocultos
  • BurpSuite XIV - Análisis Web OWASP, Perdida de autenticación y Gestion de sesiones
  • BurpSuite XV - Análisis Web OWASP, Cross Site Scripting XSS


  • Regards,
    Snifer
    Leer Mas
    SecTalkDevHola! estos dias estuvimos entablando mas ITTALKS conjuntamente con Jason Soto aka Jsitech y mi persona, y en ese trajin convocamos a @eugeniabahit y en ese proceso acepto formar parte del proyecto el dia Viernes 14 de Agosto donde se abordará el tema de Seguridad en Aplicaciones por comentario de Eugenia se realizará los ejemplos y demas enpeachepe que por cierto me costo comprender que se referia a PHP, por mi parte estaré totalmente atento ya que la información que correra en este Hangout me servirá en mis pocos skills que tengo en desarrollo bajo este lenguaje pero siempre considerando que las medidas que se mencionaran en el Hangout llegan a ser considerados en cualquier lenguaje siendo estos con leves cambios por decirlo así al menos lo veo de esta manera espero les agrade y puedan estar presentes en este Hangout. 

    La cita es el Viernes 14 de Agosto 2015, a las 8:00PM (GMT-04)
    Pueden Visitar la Página del Evento




    Regards,
    Snifer
    Leer Mas
    En ésta segunda entrega de las cápsulas dedicadas a ZAP nos enfocaremos en sus funcionalidades de intercepción por proxy.


    Como ya vimos en la cápsula anterior, ZAP es una tool de pentesting de web applications y como tal tiene la funcionalidad de ser utilizado como web proxy entre otras tantas que ya iremos viendo.

    Antes de que levanten ZAP, vamos a tener que hacer unas configuraciones en nuestro browser, lo haremos en Firefox, pero pueden utilizar su browser favorito, en todos es bastante similar de hacer.

    Preferences -> advanced -> network -> Settings

    Si quieren acortar camino, abran una pestaña y peguen: about:preferences#advanced luego solo ir a settings o configuración y verán el panel de ‘configuración de conexiones’.

    En éste panel, debemos seleccionar ‘Manual proxy configuration’ y en los campos de HTTP, SSL y FTP Proxy debemos colocar nuestra dirección de localhost 127.0.0.1 y puerto 8080. En el campo ‘No Proxy for’ debemos declarar localhost y 127.0.0.1:8080 separados por una coma (,) como podemos ver en la imagen.


    También se puede usar la configuración que se realiza con FoxyProxy como se realizo en la entrada de BurpSuite es aplicable con Zap.

    Ahora, sólo basta con ingresar a un website para que Zap comience a trabajar.

    Paneles y principales características

    Tras inicializar la herramienta, accederemos a “Google Gruyere” desde el browser que hemos configurado, volvemos a zap y podemos observar en el panel “Sites” que ya empezó a guardar los sitios que visitamos.


    Si vemos a nuestra derecha, podemos observar los “Request” y los “Response” del sitio en el momento que hemos accedido.


    Si queremos ver en detalle los Request y Response entre nuestro browser y el nodo, podemos ir a las pestañas indicadas, desde la pestaña Response por ejemplo, logramos visualizar los values que solicita el login.



    Si dado el caso, hemos recorrido varios sitios y se nos ha llenado el panel de Sites de nodos, podemos ir eliminando los que no nos interesan para tener un ambiente de trabajo más organizado y limpio. Solo basta con seleccionar las url/nodos que no nos interesan, click derecho y “delete”.


    Desde el browser accedemos a “google-gruyere.appspot.com/875680738020/login”, un panel de login común:


    Desde ZAP nos movemos por los directorios que fue relevando con sus solicitudes y respuestas en el panel de “Sites”, abajo, en “History” también podemos visualizar la petición por GET que se le hizo al path de login, tiempo de respuesta y qué devolvió. Allí podemos filtrar por métodos de peticiones, codes, tags y alertas. Aquí vemos un 302.


    Si aplicamos los filtros “GET + 200” que se ven en la imagen


    Sólo veremos los GET que nos hayan respondido un 200 OK:



    Usando break points

    Hasta aquí utilizamos zap para que intercepte todo sitio por el que nos movamos, ahora bien, al utilizar break points tendremos el control de stopear o fowardear las peticiones entre browser y server.

    Si hacemos click derecho sobre el target y luego seleccionamos Break




    se nos abrirá una ventana en la cual definimos la url y agregamos el break.


    Para comprobar si hemos colocado bien el break point podemos ir a la pestaña que se encuentra abajo con el mismo nombre:




    Al ingresar al sitio desde el browser y colocar las credenciales de autenticación veremos que queda cargando y no resolverá hasta que forwardemos la petición desde el Zap.


    Al ir a zap, vemos que ha interceptado el envío de las credenciales



    Para que la petición siga su camino debemos debemos hacer click en el icono de play.


    La pantalla que nos muestra la pestaña “Break” se pondrá en blanco y la petición será enviada.

    Regards {~}

    Contribución enviada por: {~}
    Leer Mas

    Hoy toca abordar lo que es ataques de Cross Site Scripting los XSS cuidado con confundir con CSS que muchas veces escuche y leí que abrevian como CSS, este tipo de ataque es conocido desde el 2002 y a pesar del tiempo que paso y hasta la fecha se sigue identificando estas debilidades, este ataque tiene teniendo como objetivo el cliente tratando de realizar los ataques a el por medio de código JavaScript engañando al usuario redirigiendo, obteniendo información del mismo variables de sesión el ámbito para un ataque de estos es como limite la imaginación, tanto que tenemos para considerar una muestra el gusano Samy que infecto por medio de MySpace les recomiendo que revisen mas de el y vean como fue su foco de infección, teniendo esta información procederemos a describir estos dos puntos siendo este mas que todo informativo y como hacer uso de BurpSuite ya que para realizar estos ataques y explicar nos tomaría mucho tiempo
    • Clasificaciones y Tipos XSS.
    • Búsqueda y explotación de XSS.
    Clasificaciones y Tipos de XSS

    Se clasifican en estos 4 en algunos lugar identifique que solo en dos que llegan a ser los primeros por lo tanto son los siguientes:
    • Reflected.
    • Stored.
    • Dom.
    • Mutated.

    En este punto no quiero ser muy tedioso ni mucho menos el objetivo de la serie es dar el uso adecuado a BurpSuite y conocer sus bondades que nos sirva para identificar un XSS el como realizarlo tecnicas de Bypass se encuentran disponibles en la red, pero comentarles que al realizar el Ebook se incluirá enlaces referentes a los XSS y material del mismo modo.

    Búsqueda y explotación de XSS

    Para realizar la busqueda de XSS se debe de realizar buscando e identificando vectores de ataque muchas veces un buscador abre puertas para ataques, como también variables que no están sanitizadas debidamente cuando uno tiene experiencia empieza a visualizar variables al momento de realizar el reconocimiento respectivo. 

    Contando con estos valroes y descripciones previas que se realizan realizaremos un barrido a la aplicación de prueba que estamos usando y algo que sobresalta a simple vista es al ingresar una contraseña erronea no manda por URL el siguiente resultado.


    Bueno que pasa si cambiamos los datos que estan despues de ?reg= veremos los resultados enviando a REPEATER, en el cual podemos realizar modificacion y probar que respuesta tenemos por parte del servidor. 




    Entonces probaremos automatizando el ataque y lo haremos con nuestro viejo conocido Intruder y ademas usaremos los payloads que vienen por defecto en Burpsuite.



    Como vamos avanzando en la carga de Payloads en este punto es innecesario explicar el proceso ademas que la imagen habla por si sola, veremos el resultado del Intruder posterior a la prueba.



    Seleccionando el primer payload que ejecuto por la respuesta que se tiene entonces realizamos la copia del mismo y lo mandamos al navegador, si alguien se pregunta como realizarlo nos vamos en el request en la parte inferior y seleccionamos click derecho copy url. 


    Realizando algunas pruebas de los 20 Payloads 12 respondieron de manera correcta, cabe resaltar que estos son bastante básicos se puede realizar una mejora al incrementar los payloads con mas variantes o adicionar alguna modificación en el programa como veremos a continuación.



    Cabe aclarar que este es un ejemplo para identificar, cada sitio actua de manera diferente y con grados de dificultad mayores o menores.

    Del mismo modo anteriormente realizamos el escaneo de vulnerabilidades mientras realizamos el reconocimiento del sitio en esta oportunidad nos muestra Burpsuite que identifico 6 XSS (Cross Site Scripting)ya es cuestion de validar si son positivos o falsos positivos.





    Con esto terminamos esta entrada, que ultimamente por razones del trabajo y de salud no ando posteando a diario como es de costumbre pero vamos que se retomará el ritmo, no duden en dar sugerencias, recomendaciones, errores que tenga que todo es bienvenido. 

    Material sobre XSS en el blog.

    Entradas anteriores de la serie


  • BurpSuite - La pequeña navaja Alemana
  • BurpSuite I - Primeros Pasos   
  • BurpSuite II - Intercepted, Tampering request! conociendo al proxy
  • Burpsuite III - Sitemap, Crawling, Vulnerability Scanning
  • BurpSuite IV - Configuración de Certificado digital, ProxyTOR?, guardando y recuperando


  • BurpSuite V - Engagement Tools
  • BurpSuite VI - Burp Suite Pro Real life tips and tricks 
  • BurpSuite VII - Match and Replace, Modificaciones HTML, Encoding and decoding
  • BurpSuite VIII - Historia de peticiones, Comparando Sitemaps, Reporte de Vulnerabilidades
  • BurpSuite IX - Cookie Jar,  Extensiones, guardado automático y estabilidad. 
  • BurpSuite X - Metodología de Análisis Web con Owasp


  • Burpsuite XI - BurpSuite XI - Análisis Web OWASP, Conociendo la aplicación
  • BurpSuite XII - Análisis Web OWASP, Ataques de Inyeccion SQL
  • BurpSuite XIII - Análisis Web OWASP - Descubriendo directorios y ficheros ocultos
  • BurpSuite XIV - Análisis Web OWASP, Perdida de autenticación y Gestion de sesiones


  • Regards,
    Snifer
    Leer Mas
    Quieres compartir alguna entrada que desarrollaste, quieres tener algun lugar donde compartir, piensa en este blog en SniferL4bs nuevamente les recuerdo que el blog lo inicie con el fin de tener un rincon en internet que al principio era totalmente personal ya despues lo abrí a nuevos autores comenzando por Sanko StateX, Gabriel, Gabriela y RizelTane que se unieron a este proyecto secuencialmente cada uno aportando y realizando entradas donde compartian su conocimiento ellos son redactores regulares del blog, contando con mi persona Snifer que realizo o trato de hacer un post diario. 

    Por lo tanto si deseas compartir tu conocimiento, aportar a la comunidad, te invito a que mandes un correo a:


    En el cual puedes mandar tu documento, tu aporte, sugerencia o lo que se te ocurra, y tenlo por seguro que la entrada sera publicada en el blog. Actualmente recibimos ya de una persona 2 colaboraciones, y empezo una serie de entradas de ZAP. 




    Espero que se animen a compartir su conocimiento... recuerden lo siguiente:

    "El conocimiento no se regala, 
    se comparte"


    Regards,
    Snifer

    Leer Mas