Volvemos con las entradas en el blog, además de estar esta vez con una entrada de Hacking 101 aunque pensando un poco deberia de estar en una serie de Password Cracking 101 o algo así.

Esta entrada viene porque varias busquedas llegaron al blog, además de que el domingo pasado tuve la necesidad de realizar este proceso de fuerza bruta a un fichero zip y porque no armar la entrada respectiva, primero necesitamos tener frackzip instalado en nuestra distribución que estemos usando.

Basados en Debian es de la siguiente manera, en mi caso en Kali Linux procedo con la instalación

apt install fcrackzip

Si no esta disponible en los repositorios, puedes ir al github del proyecto para tener la referencia de la instalaciónm ahora si estas en windows tambien puedes usar la herramienta solo necesitas bajar el exe y a correr.

• Repositorio

Una vez se tiene debidamente instalado, para conocer sobre el uso de la herramienta tenemos que utilizar el comando  --help el cual nos da la siguiente pantalla

(root)-(~)
( 10:11 PM)-> fcrackzip --help

fcrackzip version 1.0, a fast/free zip password cracker
written by Marc Lehmann  You can find more info on
http://www.goof.com/pcg/marc/

USAGE: fcrackzip
          [-b|--brute-force]            use brute force algorithm
          [-D|--dictionary]             use a dictionary
          [-B|--benchmark]              execute a small benchmark
          [-c|--charset characterset]   use characters from charset
          [-h|--help]                   show this message
          [--version]                   show the version of this program
          [-V|--validate]               sanity-check the algortihm
          [-v|--verbose]                be more verbose
          [-p|--init-password string]   use string as initial password/file
          [-l|--length min-max]         check password with length min to max
          [-u|--use-unzip]              use unzip to weed out wrong passwords
          [-m|--method num]             use method number "num" (see below)
          [-2|--modulo r/m]             only calculcate 1/m of the password
          file...                    the zipfiles to crack

methods compiled in (* = default):

 0: cpmask
 1: zip1
*2: zip2, USE_MULT_TAB

Ahora veremos algunos ejemplos del uso tanto un ataque por diccionario, como fuerza bruta, considerando que para un ataque por diccionario la contraseña deberia de estar dentro de  nuestro diccionario que estemos utilizando,  y por fuerza bruta  minimamente tener la suerte de dar con la longitud, y caracteres especiales definidos previamente llegando a tomar pocos segundos o incluso dias, meses. 

Ataque por Diccionario

 Para realizar un ataque por diccionario solo tenemos que hacer uso de 3 banderas las cuales

• -D (–dictionary)
• -u (–use-unzip)
• -p (–init-password string)

(root)-(~)
( 10:11 PM)-> fcrackzip -D -u -p DICCIONARIO FICHERO.ZIP 

En la siguiente captura tenemos el resultado obtenido haciendo uso del diccionario rockyou.txt.

Ataque por Fuerza Bruta

 Para realizar un ataque por fuerza brutatenemos que tener en cuenta que depende de la longitud y los caracteres sean esos alfabeticos, numericos o especiales para obtener la contraseña del fichero,  en este caso fcrackzip nos brinda la opción.

(root)-(~)
( Sun Jul 08 10:11 PM)-> fcrackzip -b -c a -l 4-8 -u FICHERO.ZIP 

Cuando estaba realizando la entrada me tope con el siguiente escenario al darle a un fichero la contraseña "pass" me devolvio como válida las siguientes colisión? quizas porque llevaba un fichero vacio, despues de ello no pude darle mas atención pero lo dejo en la entrada como una referencia.

Mismo fichero con diferentes contraseñas que no es la original me da como válido verifico y evidentemente es visualizado con ellas. 😓 pic.twitter.com/5J2KgpO6AO

— Jose Moruno Cadima (@sniferl4bs) 11 de julio de 2018

Hey ya aprendiste con esta entrada como uno puede obtener el acceso a un fichero zip con contraseña por que no intentas con  con el siguiente fichero.

rockyou te ayudara!

• Micro File para aprender!

"No hay pasión más ilusa y fanática que el odio." -George Gordon.

Regards, 
Snifer

Leer Mas

Esta nueva serie de entradas que iniciamos estarán en un apartado para el blog,  con algunos tips, opciones ocultas que conozco o ire descubriendo ya sea en la parte de mi día a día.

Como lo dice el titulo Wireshark, nos brinda la opción de exportar objetos HTTP, SMB, TFTP y DICOM, desde una captura realizada, la razón de ello fue que hace un par de semanas atrás me facilitarón un fichero para analizarlo y mi primera opción fue Network Miner para no ir usando los filtros de wireshark (un poco vago estuve esos días) y tratar de hacerlo más rápido, 3 días despues me acorde que pude hacerlo con Wireshark y evidentemente hacerlo con un par de clicks.

1) Abrir el fichero del sniffing realizado
2) Nos dirigimos a File –> Export Objects –> HTTP.

3) Si tenemos ficheros nos muestra incluyendo toda solicitud o petición por HTTP.

4) Para terminar el proceso solo queda guardar los datos, exportandolos para una visualización directa de los objetos.


Vale la aclaración: Si esta entrada no te aporta nada nuevo o bien en su defecto es algo nulo, dejalo pasar e ignóralo seguro en los próximos días escribire algo que aporte.

“El poder está bien, y la estupidez es, por lo general, inofensiva. Pero el poder y la estupidez juntos son peligrosos.” - Patrick Rothfus

Regards,
Snifer

Leer Mas

Empezamos nuevamente con las entradas del blog, con una breve introducción sobre lo que son los equipos RED y BLUE en Pen-Testing, espero sea de su agrado.


Nos vemos en una próxima entrada, que estaremos con Nmap, Wireshark, Metasploit y Hardware Hacking con gadgets low cost ;).

"El día peor empleado es aquél en que no se ha reído" - Chamfort

Regards,
Snifer

Leer Mas

Continuamos con el análisis de malware, la semana pasada terminamos con la creación de laboratorio y con las muestras... Esta semana comenzamos con el análisis propiamente dicho, que comience el juego! 

Para este tutorial vamos a utilizar la siguiente muestra:

Muestra: Lab01-01.exe SHA1: 9dce39ac1bd36d877fdb0025ee88fdaff0627cdb

________________________________________________________________

ANÁLISIS DE MALWARE

________________________________________________________________

Episodio 01 - HASH

El hash es un método común utilizado para identificar malware. Una ves que se obtiene el hash, este puede ser usado de la siguiente forma:

• Usar el hash como etiqueta del malware
• Compartir el hash con otros analistas para ayudar a identificar malware
• Buscar el hash en internet para ver si el archivo ha sido realmente identificado.
• Para generar los strings utilizaremos el utilitario de sysinternals sigcheck.

sigcheck.exe -h nombredelarchivo

Con el MD5 o el SHA1 podemos hacer una búsqueda en VirusTotal y validar el si el archivo es malicioso.

En este caso la búsqueda nos informa que el archivo tiene una tasa de detección de 26 / 64, es decir 26 motores de antivirus indican que el archivo es malicioso.

Episodio 02 - Archivos PE

El formato de archivo PE (Portable Executable) es usado por ejecutables en entornos Windows, objetos y librerías (DLL’s). El archivo PE es una estructura de datos que contiene la información necesaria para que el sistema operativo Windows pueda administrar el código ejecutable.

En esta ocasion vamos a utilizar PEview, una herramienta que muestra el encabezado y las secciones de un archivo PE, por ejemplo en el encabezado de la imagen del archivo podemos visualizar la fecha de compilación de la muestra.

La herramienta PEiD detecta los packers, cryptors o compiladores en archivos PE.

La muestra nos indica que este fue compilado en Microsoft Visual C++

Ahora utilizaremos Dependency Walker, la cual nos permite ver las funciones de las cuales depende la muestra que estámos analizando, en la muestra analizada observamos funciones como CopyFileA y CreateFileA, si damos doble click sobre la función nos enviará a la base de conocimiento de Microsoft para entender que hace la función.

Episodio 03 - Strings

Un string o cadena en un programa es una secuencia de caracteres, son generalmente almacenados en formato ASCII o Unicode.

Desde la carpeta de sysinternals ejecutamos el comando strings.exe para analizar las cadenas de caracteres de la muestra, pasamos como parámetro adicional el comando more con el fin de ver la salida de forma paginada:

strings.exe "C:\Users\KALQ\Desktop\samples\Practical Malware Analysis Labs\BinaryCollection\Chapter_1L\Lab01-01.exe"  | more

con la barra espaciadora vamos cambiando de página hasta ver todo el contenido, al final veremos un texto que dice lo siguiente:

WARNING_THIS_WILL_DESTROY_YOUR_MACHINE

Podemos pasar parámetros de búsqueda de strings específicos utilizando el comando grep como parámetro. Por ejemplo buscar todas las cadenas relacionadas con dll’s

Bueno, con esto damos por concluida la parte 2 de analisis de Malware, espero les haya gustado! Nos vemos la proxima con mas tutoriales de Analisis de Malware!

La anterior entrada la tienen disponible:

• Análisis de Malware 101 - Parte I

Leer Mas

Hey! nos veremos la próxima semana en el OWASP Latam Tour, que se realizara en la ciudad de La Paz este año, ya que años anteriores si la memoria de 26kb no me falla se realizaba en Santa Cruz.

 

Fechas y paises donde se realizará

En esta oportunidad Snifer@L4b's estara presente con mi persona Snifer, presentando el tema Hacking Web Applications con Burp Suite - Top 10 OWASP,  en el cual estare compartiendo sobre como utilizar Burp Suite para realizar un análisis de seguridad a una página WEB, tomando como un Checklist el TOP 10 de OWASP, a la vez  posterior al evento irá saliendo el update de la serie en el blog con el anterior TOP 10 que por cierto lo tienen en el siguiente enlace. Guia de Burp Suite.

Se tiene a continuación los expositores y los temas que se tratarán son los dias 13 y 14 Viernes y Sabado.

 

 Además de ello se tendrán 3 talleres adicionales, que pueden ver los temas y el contenido  en las siguientes imágenes.

 

 

El horario de las charlas en las próximas horas actualizaran los organizadores y por mi parte hare lo mismo en el post. 

 Donde se realizara?

Aqui te dejo la ubicación que nos brindan para que se den cuenta si no llegan a dar con la Vicepresidencia. 

Si no eres de este lado del charco y te gustaria conocer mas sobre el evento y si habrá cerca de ti, se tiene en la página web OWASP LatamTour2018, si quieres verlo de manera rapida tienes a continuación las fechas y paises donde se realizará en el caso de Ecuador y  Uruguay en este momento ya se esta realizando. 

Agenda

• Abril, 5: Quito, Ecuador REGISTRARSE AQUÍ
• Abril, 5-6: Montevideo, Uruguay REGISTRARSE AQUI
• Abril, 13: Manizales, Colombia
• Abril, 13: Guatemala
• Abril, 13-14: La Paz, Bolivia REGISTRARSE AQUI
• Abril, 19-20-21: Cancún, Mexico
• Abril, 20: Patagonia, Argentina. REGISTRARSE AQUI
• Abril, 20: Asunción, Paraguay.
• Abril, 20: Coronel Oviedo, Paraguay.
• Abril, 22: São Paulo, Brazil
• Abril, 25: El Salvador
• Abril, 25-26: Santiago de Chile. Inscribete aquí
• Abril, 26: Córdoba, Argentina
• Abril, 27: Honduras.
• Abril, 27: Buenos Aires, Argentina REGISTRESE AQUÍ
• Abril, 27-28: Lima, Perú
• Abril, 28: República Dominicana. REGISTRARSE AQUI
• Abril, 29-30: Cusco, Perú
• Abril, 30: San José, Costa Rica
• Mayo, 4-5: Rio de Janeiro, Brasil REGISTRESE AQUÍ
• Mayo, 5: Sao Paulo, Brasil
• Mayo, 10-11: Bogotá, Colombia REGISTRESE AQUÍ
• Mayo, 12: Espírito Santo, Brasil
• Mayo, 23: Panamá City, Panamá
• Mayo, 25: Cali, Colombia

"No todas mis ideas son correctas, si lo fueran, sería inutil compartirlas o entrar en debate." - Anónimo

Regards,
Snifer

Leer Mas