5.08.2020

Hacking Mobile 101: Visualizacion de Log's en Android con Pidcat mejora de Logcat

Cuando realizamos una auditoria de una app en android, es necesario ver si se cuenta con la generación de logs no "controlada", lo mencionamos entre comillas debido a que es decir que a los desarrolladores se les olvido quitar los queridos console.log("Funciona! wiii: User:Snifer Password:123456789#S")  vale aclarar que esto puede variar entre las diferentes tecnologías de desarrollo pero esta mas que claro lo que sucede cuando se expone información sensible por este medio.



Seremos "optimistas" por medio de los logs, jamas podremos obtener acceso a información sensible, pero nunca esta demás realizar esta prueba e identificar fallas, esta visualización de los logs es posible realizarlo con el propio adb ya que cuenta con logcat, a continuación veremos el uso de la herramienta con la aplicación  DIVA que la misma esta pensada para la realización de pruebas con las vulnerabilidades en Android.

Vulnerabilidades en DIVA

El que usaremos en esta entrada sera el primero 1. Insecure Logging que nosotros ponemos el numero de nuestra tarjeta de crédito y el mismo se ve reflejado en los log's del dispositivo móvil.


Entonces empezamos con logcat iniciando con el siguiente comando, el cual nos brindara todos los logs que sean generados en el dispositivo.
Snifer@L4b's$ adb logcat 
Visualización de logs


Al ejecutar el comando tenemos todos los logs del dispositivo para llegar a identificar, si vemos serán de todas las apps que se encuentren ejecutándose en el dispositivo móvil, entonces para evitar ver todos los logs e ir viendo uno por uno podemos utilizar podemos utilizar el siguiente comando primero para identificar el nombre del paquete.

Obtenemos con el siguiente comando los nombres de los paquetes de las aplicaciones instaladas en el dispositivo esto de manera general.
Snifer@L4b's$ adb shell pm list packages

Listado de apps instaladas

Al ejecutar el siguiente comando podremos identificar el nombre del paquete, con el fin de utilizar logcat e identificar unicamente de nuestro paquete objetivo, basta con hacer un grep del listado de los paquetes obtenidos.
Snifer@L4b's$ adb shell pm list packages | grep -i "nombre_APP"
Identificando el package
Snifer@L4b's$  adb logcat -B "jakhar.aseen.div"
Identificando el nombre del paquete ejecutamos con la bandera respectiva teniendo como resultado lo que se muestra en la siguiente captura.

Visualización de los logs

Como muchos dicen para gustos colores, y en mi caso por mi simpatía para atender a algunas cosas prefiero que este debidamente categorizado, en ese proceso llegue a Pidcat la cual permite obtener de una manera mas agradable el log de logcat. Después de realizar la instalación de Pidcat, debemos de conocer el uso de la misma ejecutando la flag -h tenemos el siguiente resultado.
Snifer@L4b's$ pidcat -h                                                                                                           
usage: pidcat [-h] [-w N] [-l {V,D,I,W,E,F,v,d,i,w,e,f}] [--color-gc]
              [--always-display-tags] [--current] [-s DEVICE_SERIAL] [-d] [-e]
              [-c] [-t TAG] [-i IGNORED_TAG] [-v] [-a]
              [package [package ...]]

Filter logcat by package name

positional arguments:
  package               Application package name(s)

optional arguments:
  -h, --help            show this help message and exit
  -w N, --tag-width N   Width of log tag
  -l {V,D,I,W,E,F,v,d,i,w,e,f}, --min-level {V,D,I,W,E,F,v,d,i,w,e,f}
                        Minimum level to be displayed
  --color-gc            Color garbage collection
  --always-display-tags
                        Always display the tag name
  --current             Filter logcat by current running app
  -s DEVICE_SERIAL, --serial DEVICE_SERIAL
                        Device serial number (adb -s option)
  -d, --device          Use first device for log input (adb -d option)
  -e, --emulator        Use first emulator for log input (adb -e option)
  -c, --clear           Clear the entire log before running
  -t TAG, --tag TAG     Filter output by specified tag(s)
  -i IGNORED_TAG, --ignore-tag IGNORED_TAG
                        Filter output by ignoring specified tag(s)
  -v, --version         Print the version number and exit
  -a, --all             Print all log messages

Para realizarlo directamente con pidcat hacemos uso de la siguiente manera

Snifer@L4b's$ pidcat jakhar.aseen.div

Una vez que ejecutamos tenemos el resultado especifico de la aplicación que estemos analizando,y al ejecutar vemos el log especifico que mandamos 37113 y el primer dato que enviamos desde el dispositivo.
Ejecución de Pidcat

Se llega a ver en el mismo pidcat la opción de filtrar por algún tag en especifico o ignorarlo completamente con las flags -t y -i ya depende de cada uno como lleguemos a usar la herramienta y mejoremos en el análisis y detección de vulnerabilidades en aplicaciones móviles. 
La mente es como un paracaídas: sólo funciona si se abre. - Albert Einstein.

Regards,
Snifer



Compartir:

4.28.2020

Podcast #50 Hablemos de mi experiencia con el OSCP


El podcast de hoy llega a ser especial por que llegamos con este, al numero 50 ademas de contar la travesía y experiencia que tuve durante la certificación OSCP de Offensive Security, aclarando que el mismo fue realizado antes de la actualización que tuvo el material.




Como siempre lo tenemos disponible en Youtube.


Ivoox 


En Spotify, Google Podcast, tienes que buscarnos como Dame una Shell para tener el podcast.

Entrada del blog donde cuento mi experiencia de la certificación OSCP.

Boletín de noticias - del Blog Suscribete!

Tienes alguna duda o comentario sobre la certificación hazlo en los comentarios y en una próxima edición estaremos respondiendo.

Twitter: https://www.twitter.com/sniferl4bs
Ivoox: http://tiny.cc/IvooxDameunaShell
Youtube: http://tiny.cc/YoutubeSniferL4bs

Música: Kabbalistic Village - Underground

Todos nuestros sueños se pueden hacen realidad si tenemos el coraje de perseguirlos.-Walt Disney.

Regards,
Snifer
Compartir:

4.14.2020

Burp Suite XXXIII - Plugin Exporter generador de solicitudes HTTP

Volvemos con otra entrada de Burp Suite en el cual explicamos el uso de un nuevo plugin que fue realizado por el equipo de ArtsSec el cual se encuentra realizado en Python.



Que es  Exporter

Exporter es un plugin que tiene como objetivo generar solicitudes HTTP en otros formatos para que estos sean tratados desde afuera, para la generación de algunas Pruebas de concepto.

Burp Suite Professional cuenta con la opción de exportar un comando pero unicamente en Curl.


Esta extensión brinda otras opciones para trabajarlas cuales son:
  • cURL
  • Wget
  • Python Request
  • Perl LWP
  • PHP HTTP_Request2
  • Go Native
  • NodeJS Request
  • jQuery AJAX
  • PowerShell

Algo a destacar es que el plugin se encuentra disponible para la versión Community por lo cual es posible trabajar sin ningún inconveniente.

Instalación

El proceso de instalación del plugin es bastante sencillo, por el cual si contamos con la configuración previa de jython en el path de Burp Suite debe de funcionar sin problema, el mismo se explica en BurpSuite XXV - Configuración de Plugins en BurpSuite

  1. Lo que necesitamos es descargar el plugin del repositorio oficial de los creadores. Burp Exporter
  2. Nos dirigimos a Extender > Extensions > “Add > Extension Type Python Seleccionamos el fichero Exporter.py
El proceso se explica a continuación.


Una vez que lo tenemos instalado contamos con la nueva opción en el menu de Burp Suite Exporter to  en los siguientes Menus/funciones de Burp Suite.
  • Intercept
  • HTTP history
  • Site map
  • Repeater



En los plugins que se tienen previamente en Burp se tiene un plugin que vendra en una próxima entrada, ya que aun falta armar el proceso completo y los gifs, que estamos volviendo a utilizar después de mucho tiempo, espero les agrade el mismo.

Quieres aprender mas sobre Burp Suite en el blog contamos con la Guia de uso de Burp Suite.

No soy producto de mis circunstancias, soy producto de mis decisiones.-Steven Covey.

Regards,
Snifer
Compartir:

4.07.2020

c0r0n4con 2020 Evento Online - 9, 10 , 11 y 12 de Abril

Sabemos muy bien que estamos pasando por malos momentos, en todo el mundo por el Covid-19 y por el otro lado del charco salio la iniciativa de tener una conferencia Online con el fin de recaudar fondos para la CRUZ ROJA, de España, con el fin de apoyar de esta manera a los que se encuentran en primera linea.



Es por eso que desde Snifer@L4bs estamos compartiendo este proyecto, en el cual puedes colaborar realizando una donación a pesar de que no lo hagas podrás estar viéndolo de igual manera, las donaciones podrán realizarlas de manera directa en la página de la Cruz Roja, o realizando un la transacción cualquier de las siguientes cuentas corrientes Cruz Roja Responde frente al COVID-19:
  • BBVA: ES92 0182 2370 4600 1002 2227
  • Caixabank: ES28 2100 0600 8502 0196 0066
  • Bankia: ES77 2038 1063 6560 0061 9773
  • Sabadell: ES31 0081 5232 2800 0108 4716
  • Bankinter: ES75 0128 0010 9701 0012 1395
  • Triodos: ES86 0198 0500 8020 2205 3421
  • Banco Cooperativo: ES18 1491 0001 2130 0008 9598

Cuando se celebra el c0r0n4con

El congreso se celebrará los días 9, 10, 11 y 12 de abril de 2020. Constará de charlas técnicas y talleres técnicos totalmente abiertos a todos contando con 4 salas de streaming con diversidad de eventos. Las charlas que se darán no tienen ningún desperdicio lo mejor es acceder a la página web.


CTF

Los conejos del rincón de FWHIBBIT se pusieron a realizar un CTF (Capture the Flag), con el apoyo de otros cracks como son Jorge (@jorgectf ) y Javier (@javierprtd ).

Como lo indicaron los conejos, el CTF iniciara el 9 de abril, a las 12:00 AM , estando disponible durante el tiempo que dure la cuarentena, como todo reto estaran disponibles algunos premios los cuales seran entregados el ultimo dia del evento que es el 12 de abril de 2020, en la clausura del c0r0n4c0n.
  1. Primer puesto: Curso de Seguridad Informática ofensiva, cedido por Hack by Security, que incluye el libro Pentesting con Kali Linux de 0xWord.
  2. Segund puesto: Curso de Seguridad Informática ofensiva, cedido por Hack by Security, que incluye el libro Pentesting con Kali Linux de 0xWord.
  3. Tercer puesto: Pack degustación de productos Fitness Power Food, cedido por los mismos, un mes de Hack The Box VIP cedido por @SniferL4bs y libro a elegir de 0xWord.

Desde este proyecto el granito de arena que daremos sera con ese mes Premium en HTB, se que no es mucho pero de a poco se suma, y mas en esta situación que estamos pasando actualmente en todo el mundo, uniéndonos y colaborando en lo que podamos, como dice el lema de Bolivia La unión es la fuerza.




El esconder tus sentimientos cuando estás a punto de llorar, es el secreto de la dignidad. - Dejan Sonjanovic

Regards,
Snifer
Compartir:

3.23.2020

Desafio #6 - Encuentra la flag #QuedateEnCasa

Desde Snifer@L4b's queremos dar una pequeña serie de retos los cuales estarán disponibles durante los próximos días, debido a que estamos pasando por un nuevo reto en el cual debemos de cuidarnos y permanecer en casa. Ya que la situación actual afecta a todos nuestros seres queridos.




Este primer reto esta orientado para que se realice una interacción directa con Telegram, ya que deberán de iniciar una conversación con el bot @sniferbot e iniciar el mismo, teniendo consigo la primera pista, que es la descripción del bot.


El objetivo es obtener la flag, el bot tiene una pequena IA le diremos que es vulnerable if if if if if  :), según el comando que le envies ira soltando información, para llegar a la flag se tiene diferentes caminos por lo menos tenemos 3 formas de llegar al mismo, algunas son directas y otras demoras para el mismo.

Estuvo el bot funcionando un par de días en el cual recibió un fuzzing de datos, por ello realice un par de modificaciones para que este conversando sin caídas, el uso del mismo para que vaya funcionando es de la siguiente manera.


/comando

El mismo soltara algun tipo de informacion pistas o datos de manera publica en el grupo del blog, HackySec.


Espero que les guste este pequeño reto inicial, el viernes sacaremos la primera maquina virtual vulnerable, tenemos otros retos en el blog por si te interesa quizas algunos esten offline y no recuerdo donde andan los originales. Retos & Desafios

“Uno a uno, todos somos mortales. Juntos, somos eternos.” - Apuleyo

Regards,
Snifer
Compartir: