12.22.2019

Review: Mi experiencia honesta con el OSCP - Snifer@L4b's

Como algunos lo saben en el mes de Mayo me certifique como OSCP para no olvidarme y dejar ese pequeño  hito en mi vida lo compartí en el blog OSCP Certified - Se logro la meta y estaba en el tintero esta entrada durante todo este tiempo, dejándola en el olvido no quise terminar el año sin escribir esta entrada.


Como dice el titulo esta es una experiencia sincera y honesta ya que no  mencionare que fue a la primera el logro, como muchas veces solo se llega a mencionar en los reviews y análisis solo los éxitos y no las caídas. Primero tendremos las preguntas frecuentes sobre la certificación y después se tendrá la experiencia honesta.


Que es el OSCP

Es una de las certificaciones mas conocidas en el ámbito de seguridad informática, como todas las demás tiene un fin demostrar que tienes conocimiento del tema  mediante un examen practico no teórico por lo cual permite evaluar tu capacidad  y no solo responder preguntas, el costo de la certificación lo tienes a continuación cuando rendí el retake costaba 70 Dolares. 



Que recomiendas que siga antes del OSCP. 

Sumérgete en el mundo de los CTF's (Capture the flag) retos cuyo fin es obtener alguna bandera, ya que estos te ayudaran a cambiar la mentalidad y salir fuera de la caja.


Otra  muy buena manera de practicar y aprender, es que vayas por plataformas como HacktheBox o PentestIT.


HacktheBox cuenta con maquinas parecidas al laboratorio, te recomiendo que le des una vuelta y practiques previamente y después de que realices los laboratorios, si alguien esta iniciando el primer desafió es obtener tu código de invitación por lo tanto animate a realizarlo sin revisar soluciones que hay varias de ellas en la red.

A continuación se tiene un listado de máquinas que encontraras para entrenarte en el OSCP eso sí necesitas la cuenta VIP que son máquinas retiradas.


Que material entregan en la certificación 

Después de realizar el pago por 30, 60 o 90 días tienes a tu disposición material audiovisual, y un fichero PDF en el cual tienes todos los ejercicios e información que necesitas para empezar el viaje en el OSCP.

Yo como don contreras solo vi el PDF dos veces durante las pruebas y fue para hacer un pivoting, y a ultima hora para terminar los ejercicios lo cuales no me llegaron a servir porque con ellos reprobe. 

El día que inicias tu laboratorio te entregan el material, antes no te dan ningún documento, asi que mejor atento cuando tengas el acceso, días previos te envían una prueba para verificar tu conectividad a la VPN.


Image result for beast read gif


Aquí algo a tomar en cuenta es que no tienes lo necesario solo con el PDF y los videos ya que necesitaras lectura adicional, si no entiendes algo  debes de profundizar por tu cuenta.


El foro de Offensive Security tienes referencia tips de cada maquina, tienes las referencias exactas para iniciar e incluso en el IRC que brindan las pistas para ir avanzando.




NOTA: No empieces a pwnear la red como loco con la prueba de conectividad sigue las reglas.

Cuanto tiempo me recomiendas tomar el OSCP. 

Te recomiendo 60 días para tomar la certificación ya que este tiempo es necesario para ir evaluando y analizando cada una de las cosas, considerando previamente que tengas un conocimiento en seguridad informatica.

En el caso de que sea tu primera toma de contacto y tengas bases iniciales puedas considerar dedicarle 3 meses, e incluso si no tendrás tiempo pero esto depende de cada uno se de algunos conocidos que lo hicieron en 1 mes dedicando solo  al laboratorio.


Cuanto tiempo diario recomiendas dedicar

Durante las primeras 3 semanas que inicie el curso estuve casi de manera diaria de 8 a 12 horas en el laboratorio quizás algún día mas horas, después de ello volví a trabajar  y cambio un poco el ritmo.

Mi rutina laboral correspondía a comenzar a las 9:00 hasta 12:30, después de 14:00 hasta las 18:30.

Entonces viendo esto me despertaba a las 6 de la mañana e iniciaba la jornada del OSCP hasta las 8 para después dirigirme al trabajo a medio día trataba de aprovechar 1 hora y ponerme a leer sobre los temas que me faltaba conocer e incluso algunos días logre romper maquinas que me detuvieron unas horas cuando encontraba la inspiración.

Related image

Al llegar del trabajo descansaba hasta las 20:00 o incluso 22:00 dependiendo si me encontraba cansado, o con algún pendiente que hacer para dedicarme al laboratorio hasta las 2 o 3 de la madrugada y de nuevo a dormir, a veces llegaba del trabajo y descansaba hasta las 3 o 4 y de ahi para darle de corrido con lo que correspondía, en este tiempo hubieron días que no toque el laboratorio por el cansancio o estrés que me llevo pero siempre trate de descansar  y estar con la mente tranquila.

Los fines de semana era donde me metía a fondo comenzando por los viernes hubo mas de una noche que amanecí en el laboratorio me metia tanto que perdia la nocion del tiempo siempre tratando de vulnerar mas maquinas y romper el récord anterior de maquinas.


Como es el Laboratorio 


En el laboratorio debes de acceder a todas las maquinas que te sea posible como usuario regular y posteriormente escalar privilegios con el fin de obtener dos ficheros. 
  • Obtener flag.txt (Usuario Regular)
  • Obtener root.txt (Usuario Administrador/System o root)

Entre los principales no hagas esto en el laboratorio tenemos los siguiente:

Image result for dont  gif
  • NO debes de realizar defacement. 
  • NO debes de ejecutar MS17 solo 1 maquina es vulnerable y te daras cuenta por el nombre de la misma. 
  • NO escales privilegios por RDP considera que es una vulnerabilidad reciente y el laboratorio no tiene como fin ejecutar vulnerabilidades de boton gordo. 
  • NO ejecutes DirtyCow, toda las maquinas tienen una forma de escalamiento.
  • NO uses herramientas de explotacion automatizadas. 
Si usas herramientas automaticas o vulneras el lab a boton gordo no te servira de nada, puesto que no aprovecharias aprender y serias del monton recuerda que es tu inversion de tiempo y monetaria.

Cuantas maquinas realizaste del Laboratorio

Termine toda la Public, IT me falto las de administración mas que todo por cuestión de tiempo ya que tuve un par de las complicadas de las maquinas que se mencionan que lo saque al final los últimos días, la que no termine fue Humble :( me dejo con ganas de sacarla a la hdp.

Puedo usar Metasploit?

Puedes usar en todas las maquinas que desees pero lo mejor es que no lo uses ya que así aprendes y mejoras tus conocimientos es posible realizar la explotación de los equipos sin Metasploit, incluso el examen y te lo digo por experiencia logre sacar 4.5 de 5 maquinas y no hubo necesidad de levantar MSF y utilizar algún exploit.

Durante el examen solo puedes usar en una maquin, este debe ser tu ultimo recurso para lograr la meta no lo quemes a la primera.

Es fácil el OSCP?

Depende algunas maquinas me fueron sencillas en el laboratorio por ejemplo al realizar el movimiento lateral y comprometer el "AD" me fue sumamente fácil como también algunos servicios, en cambio otros me estanque e incluso tuve dos a tres maquinas que las logre termine los últimos dos días.

Cuánto tiempo tienes para el exámen? 

El examen es 24 horas exactamente 23 horas con 45 minutos después de ello te informan que tu tiempo a expirado y debes de realizar el informe en otras 24 horas, si sacaste todas tus capturas y documentaste durante el proceso sera cuestión de tiempo.

Cuántos intentos te dan ? 

Al iniciar el laboratorio sea por 30, 60 o 90 días te dan una chance para dar el examen,  cada retake tiene un coste adicional de 150$ Dolares actualmente cuando lo rendí el precio era de 70 dólares, también por ello me dio la idea de sacar la certificación sin invertir mayor monto.

Es necesario  saber ingles?

Si debes de manejarte mínimamente y comprender el material que te brindan es en ingles, el examen igual tu informe debe estar redactado en ingles.

Mi experiencia con la certificación 


Antes de todo, el primer intento lo di en Carnavales en el mes de Febrero, lastimosamente mi salud me jugo una malisima pasada por lo cual me levante del equipo a las primeras 3 horas que estuve en el reto, no avise al revisor  y volví al día siguiente faltando 2 horas, logrando sacar lo justo para aprobar o eso pensé, después de realizar  la documentación y entregar me respondieron que falle.



Así es tienes una persona que se encuentra controlando todo el tiempo, y debes de notificar cuando alguien ingresa, si te levantaras del equipo o realizaras algún movimiento extraño o raro.

Aquí se tiene un punto a mejorar el pésimo JAVA APPLET  que se necesita, ya que en el primer examen tuve que hacer un downgrade e instalación nueva en mí PC, porque no funcionaba, ademas de tener arriba mi máquina virtual.

Tus capturas de pantalla tienen que ser detalladas aun más en el examen para que tengas todo lo necesario mejor que este demás y mientras más preciso te ira mejor.

Documenta los ejercicios del laboratorio, no seas vago como lo fui ya que falle en el segundo intento, esos 5 puntos extras me hubiesen dado la victoria, y sé de varios que con ellos lograron pasar la certificación.
Días después recibí el correo que falle en el segundo intento :(, ese correo no deseado lo tuve en mí buzón de entrada.


Image result for dinosaur cry gif

Mas allá tenia en mente sacar la certificación sin utilizar Metasploit, ni con los 5 puntos extras.
Puse como meta hacerlo en el tercer intento pero tocaba esperar, así que en el tiempo que espere para la fecha definitiva, me puse con HTB a romper la mayor cantidad de maquinas posibles y aumentar el conocimiento ademas de ir realizando maquinas de vulnhub que antes las resolví solo que esta vez sin usar metasploit o buscar otro camino para llegar al exito, y estaba listo para realizar el tercer intento.

Image result for try again gif

Para el tercer intento mande al diablo la maquina que nos da Offensive Security que por cierto es un Kali de 32 bits con todo configurado y listo para utilizarlo en el laboratorio como también en el examen, al tirarlo use mi maquina principal que esta con Arch.

El examen tercer intento


El dia del examen comence a las 5 de la tarde, iniciando en mente primero realizar el BoF para tener 25 puntos, el cual demore como 45 minutos, me estanque porque copie mal una dirección de memoria, problemas en la capa de batman.
La segunda maquina fue de 20 puntos la cual obtuve el acceso inicial 2 horas después y escale privilegios en la misma maquina ya contaba con 45 puntos.

Me puse con la otra maquina de 20 puntos a la cual  le dedique otras 2 horas y algo mas y tuve mi resultado esperado un low shell  y posteriormente escale privilegios,  llevando con esto 65 puntos.

Image result for dancing  dinosaur gif

Ya casi era media noche después de estar casi 6 horas continuas sin descansar me dispuse con la maquina de 10 puntos y la faltante de 25 puntos estuve aproximadamente 1 hora, preferí tomar un descanso y continuar al dia siguiente.

Inicie la jornada temprano a las 6, dedicando nuevamente tiempo a la enumeración, probando servicio tras servicio, viendo si algo no se me escapo hasta que di con el blanco, me toco modificar el exploit y hacer el proceso de explotación manual de la maquina de 10 puntos, en este punto me frustre puesto que la maquina no llegaba a darme la shell esperada, no se si era un problema del servidor o que rayos me toco reiniciar la maquina como 3 a 4 veces, primero obtuve el low shell, ahí ya fue para festejar y alegrarme me prepara una taza de café para pensar el escalamiento. 

Despues de 10 a 15 minutos a a aproximadamente a las 10 de la mañana del 26 de Mayo obtuve la shell como root escalando privilegios al  terminar de lograr senti una alegria enorme, logre el puntaje minimo.

Image result for dinosaur happy gif

Aun me quedaba como 8 horas para continuar con el examen y lo logre en un tiempo minimo para estar tranquilo ya con mayor comodidad me puse a revisar todas las capturas de las maquinas que logre comprometer viendo si no me olvide algo de por medio y me dedique a full a la ultima maquina de 25 en esta logre low shell sin llegar a escalar, aun tengo la duda que debi de hacer para lograr terminarla.


Esta evaluacion lo sabian pocas personas en el trabajo no mencione, ni a la familia solo mi esposa lo sabia y comente cuando ya logre escalar el resultado final a mis padres.

Despues del examen y esperar casi una semana me llego el correo esperado, no saben la alegria, dicha que senti al ver el resultado de mi esfuerzo el tiempo que dedique para lograrlo.


 




Failed! Try Harder!!!

Si fallas como  me paso a mi, vuelve a intentarlo ahora mas fuerte y con mas seguridad, te aseguro que el aprendizaje que tendras sera unico y aun mas reconfortante cuando obtienes.

Recuerda que cada examen es totalmente diferente entre cada uno, es muy probable que te toque alguno idéntico o parecido, pero sera diferente.

El Buffer Overflow BoF 

El BoF, que es puntaje regalado como muchos lo dicen y es verdad porque el nivel de dificultad va en la presión de tiempo y que debe de funcionar, a mi me dio mucho miedo para ese entonces realizar el ejercicio en especial identificar los badchars por ello me puse a armar un script el cual me ayuda a detectar los badchars Find Badchars (Si lo se para algunos expertos, no aporta nada pero bueh si te sirve tomalo, si no dejalo pasar).


Tienes que conocer como se realiza la explotación y lograrlo practicando se aprende como se dice, en el blog estamos dedicando algunas entradas para el BOF por si deseas seguirlas. Serie de entradas OSCP

Una referencia adicional para el BoF es de Justin Steven  dostackbufferoverflowgood.

Que maquinas primero realizar en el examen.

Desde mi experiencia es iniciar con el BoF, para que tengas 25 puntos ganados te ayudara a subir la moral y tener mas seguridad de lo que realizas, mientras estas realizándolo deja corriendo NMAP para identificar servicios concentrate en la de 10 puntos  teniendo en mente KISS, luego ve por las de 20 puntos y al ultimo la de 25 esto es desde mi punto de vista puede que a ti te resulte de otra manera.

 Tips para el examen.
  • Ten en cuenta que debes de rotar despues de 1 hora o 2 horas entre maquinas.
  • Descansa antes del examen, es algo complicado pero debes de tenerlo en cuenta asi vas fresco a la guerra. 
  • Considera cual es tu horario de trabajo en el cual eres mas productivo, en mi caso fue desde las 5 de la tarde para adelante. 
  • Prepara todo tu entorno, ten una copia de tu maquina virtual, ordenada todos tus cheats ten a mano cada uno de tus apuntes. 
  • Ten disponible algún snack, o jugo esto depende mucho de como la lleves.
  • Enumera adecuadamente, cada servicio y toda la información que puedas obtener de los mismos.
  • KISS
  • Hay servicios que pueden ser trampa analiza bien tus resultados. 
Software adicional

En este apartado mencionare algunas herramienta o utilidades que llegue a usar.

Se ordenado lo mas posible, aprende a ser metódico en todo, y veras que lograras obtener la meta final. 

CherryTree
 
Como lo mencione previamente use CherryTree para la documentación tanto del lab como durante el examen, teniendo la siguiente estructura para cada maquina.


En el mismo Cherry estan algunas URL de referencia respecto al escalamiento de privilegios principalmente sobre Windows, adicionalmente en Linux y se tiene en el mismo en la parte de Escalamiento de Privilegios y Post Explotacion los scripts que pueden ser utilizados para enumerar software Vulnerable o servicios en el equipo.


En el Cherry adicione LinPeas en la etapa de post explotacion para el escalamiento de privilegios me agrada el nivel de colorines que tiene y se que puede servirles como una opcion, recien tuve el gusto de conocerlo.
TMUX + Oh Myzsh

Utilice tmux  ya que me permite tener mutilples terminales y andar con un control total al menos a mi me agrada actualmente la tengo de la siguiente manera tanto en el trabajo como en casa. 


 A continuacion algunas herramientas para que las tengas en cuenta:

  • Bashert Es el script que inicie hace un par de anos atras 
  • Find Badchar El script para identificar los badchars.
  • Sparta
  • Nmap 
  • Nikto
  • Cansina
  • Gobuster
  • Metasploit (Listener)
  • Netcat
  • PowerShell
  • Impacket 
En el blog tenemos varias entradas referentes al OSCP que puedes seguir ya que iremos actualizando.


Oficialmente soy OSCP desde el mes de Mayo después de luchar por esta certificacion es la que mas carino he llegado a tener por el conocimiento que me brindo y el esfuerzo que realice para lograrlo.



Aprendí a no rendirme y el Try Harder! ya es un lema de vida constante. Gracias por leer y acompañarme en esta aventura, cual es el siguiente desafio? CTP Crack The Perimeter, me falta aun mucho por avanzar  y aprender iniciemos este nuevo viaje juntos.


Si tienes alguna duda respecto a la certificacion hazla en los comentarios y con gusto actualizo la entrada.

El hombre nunca sabe de lo que es capaz hasta que lo intenta. Charles Dickens

Regards,
Snifer

Compartir:

12.19.2019

Burp Suite II.1 - Cambio de fuente y Esquema de Colores

En esta entrada veremos como configurar el esquema de colores y la fuente en Burp Suite algo que dejamos fuera de lado en las entradas anteriores de esta serie.


La interfaz de la herramienta viene por defecto de la siguiente manera, considerando que la fuente utilizada es Mono regular si la memoria no me falla.


En mi caso llego a realizar algunos cambios que vienen de cajón principalmente por la vista entre ellos esta el esquema de colores que por suerte tiene un black el que esta por defecto es Nimbus por si desean volver en algún momento, a continuación se listan los temas.
  • Metal
  • Nimbus
  • GTK +
  • Darcula
El tema black es Darcula, pero como llegamos a esta opción o modificación de la parte visual? Para ello nos dirigimos a User Options -> Display. 

En este tenemos User Display en el cual nos lista los temas disponibles como también cambiar el tamaño de la fuente de la interfaz en general.

El segundo campo marcado HTTP Message Display  nos permite modificar la respuesta que tenemos al enviar una solicitud esto depende del tipo de fuente que nos guste visualizar.




Los cambios referentes al esquema de colores son aplicados cuando se reinicia Burp Suite teniendo finalmente este resultado.




Todo el material de la serie se mantiene   para el uso de Burp en la versión 2.x que es la rama actual, con algunos pequeños cambios en la interfaz que iremos viendo próximamente para seguir enriqueciendo la serie, por lo tanto si tienes alguna duda u observación dala en los comentarios y con gusto aprendemos entre todos.

Serie de Burp Suite - Guía No Oficial en Español


"Recordar es sencillo. Olvidar es duro." - Brodi Ashton.

Regards,
Snifer
Compartir:

11.17.2019

8 años del viaje con el Blog Snifer@L4b's

El 2011 fue cuando decidí abrir este espacio, se que paso bastante tiempo en el cual aprendí mucho ver las primeras entradas y las ultimas que son bastante pocas, pero la mentalidad e idea de compartir lo que se va aprendiendo nunca cambiará.



Hoy Domingo me di cuenta cuando por Telegram preguntaron cuando es el aniversario y podemos decir que es el pasado 2 de octubre cuando se hizo el reboot. 


Soy consciente que este año bajaron  las entradas, no fue por intención mía, si no por cambios que tuve en mi día a día, la salud que últimamente no me permite dedicarle el tiempo que desearía y solo me permite estar concentrado con el trabajo ya que al llegar a casa lo que hago directo es dormir, de a poco voy retomando fuerza y aprovechando los pequeños momentos.

El otro cambio que afecto bastante es la perdida de un ser querido, el cual no creí que me movería tanto el mundo, que tenia ya un ritmo continuo diario, aun ahora ando pensando en hacer otro cambio en mi parte laboral, porque no puedo estar tan lejos y dejar con los pendientes que aun están presentes, veremos como van los próximos días.  

Lo que si puedo asegurarles, es que vendrán entradas en el blog, continuaremos con este espacio en las vacaciones le daremos algo de amor al blog y crear nuevas series de entradas.
  • Análisis de aplicaciones Android. 
    • Frida
    • Mobsf y Genymotion. 
    • y más... 
  • Password Cracking 101.
  • Web pentesting. 
  • Bup Suite 2.0
  • Crackmap.
  • PowerShell.
  • Dame una Shell .
  • Se viene un nuevo evento en Bolivia.
  • y más..
Teniendo aun como pendiente las entradas del OSCP, el viaje a Argentina a la Ekoparty que tuve el gusto de desvirtuar a muchas personas, e incluso saludar a algunas que no sabia quien eran, pero al felicitar o indicar el blog me dieron el animo para continuar.

Solo queda dar las gracias a ti, que ingresas a leer este pequeño espacio, a pesar de que no se realizaron publicaciones tan seguido, gracias por estos 8 años de estar juntos en este camino que nos apasiona a ambos.


El tiempo es el mejor autor; siempre encuentra un final perfecto - Charles Chaplin

Regards,
Snifer
Compartir:

8.16.2019

UnderDocs Digital Magazine #1 - Edición de Agosto 2019

El Staff de Underc0de a generado la primera edición de Underd0c una revista digital que tendrá como fin aportar temas sobre Software Libre, Hacking Web, Mobile, infraestructura,  Programación y otros temas que nos irán sorprendiendo cada mes.



Los temas que se tratan en esta primera entrega son los siguientes:
  • INTELIGENCIA ARTIFICAL: REDES SOCIALES Y REALIDAD
  • BYPASS CSRF MEDIANTE XSS
  • BYPASS SPF
  • GENERACIÓN DE UN EXPLOIT
  • PYTORCH – REDES NEURONALES EN PYTHON DE FORMA FÁCIL 20
  • INTRODUCCIÓN AL INTERPRETE DE COMANDOS LINUX
  • ¿CÓMO INICIARSE EN LA PROGRAMACIÓN?
  • JUPYTER NOTEBOOK PARA PRINCIPIANTES
  • NODEJS EN PEQUEÑAS DOSIS
  • PYTHON FOR KIDS PARA LOS MÁS Y NO TAN PEQUEÑOS
  • WEB SCRAPING CON PYTHON Y BEATIFULSOAP
  • REVIRTIENDO CUALQUIER CONTROLADOR
  • DISQUETE: ICONO UNIVERSAL DE GUARDADO
  • OFF TOPIC
  • UNDERTOOLS DIY
La descarga la tenemos en el siguiente enlace:

"Leer es equivalente a pensar con la cabeza de otra persona en lugar de con la propia." Arthur Schopenhauer.

Regards,
Snifer
Compartir:

8.06.2019

Sliver Framework C2 - Ataque fuera de Lan y primeros pasos


El día de hoy empezamos con una nueva serie de entradas de framework pensados para una post explotación y tener un Command Center, el que veremos en esta entrada es Sliver realizando un ataque fuera de LAN con ayuda de Serveo. 



El motivo principal de esta nueva serie es conocer otras alternativas a Empire ya que @xorrior dio a conocer la semana pasada que Empire Framework no tendrá mas soporte.
Esta sonando por la parroquia que Luis  Cybervaca reanimará Empire con algunos cambios, ya que el es el creador del Mod de Hackplayers.

Que es Sliver


Un framework C2 que puede ejecutar tanto el servidor, cliente y los implantes en Mac, Windows y Linux, esta desarrollado en Golang. Los implantes son conocidos como Slivers que son los que permiten tener la conexión desde el servidor.

Instalación de Sliver


Para el proceso de instalación basta con seguir el proceso en la Wiki propia del proyecto o utilizar directamente el binario compilado.

Repositorio de Github <Sliver>

¿Que es Serveo?


Serveo nos brinda un servidor SSH que tiene el objetivo el reenvío de puertos remotos, permitiendo conectarnos y generar una URL pública que cualquiera puede conectarse a un servidor local siendo este un resumen de lo que nos permite hacer serveo si quieren conocer mas de el mismo pueden acceder al sitio serveo.net a continuación un ejemplo.

snifer@Kvothe$ ssh -R loquesea:80:localhost:80 serveo.net                                                                                       
Forwarding HTTP traffic from https://loquesea.serveo.net                                                                                                              
Press g to start a GUI session and ctrl-c to quit.  

El resultado es el siguiente cualquier solicitud al sitio la veremos y los recursos que son consumidos.


¿Serveo es una alternativa a ngrok?

Ya con todo esto podemos iniciar con Sliver y explicar un poco la funcionalidad de Sliver.


Al ejecutar un help tenemos las siguientes opciones como siempre help [comando] nos dara un mejor detalle de cada una de ellas.

Commands:                                                                                                                                                      
=========                                                                                                                                                               
  clear  clear the screen                                                                                                                                               
  exit   exit the shell                                                                                                                                                 
  help   use 'help [command]' for command help                                                                                                                          
                                                                                                                                                                        
Generic:                                                                                                                                                                
========                                                                                                                                                                
  background        Background an active session                                                                                                                        
  canaries          List previously generated canaries                                                                                                                  
  dns               Start a DNS listener                                                                                                                                
  generate          Generate a sliver binary                                                                                                                            
  generate-egg      Generate an egg shellcode (sliver stager)                                                                                                           
  generate-profile  Generate Sliver from a profile                                                                                                                      
  http              Start an HTTP listener                                                                                                                              
  https             Start an HTTPS listener                                                                                                                             
  jobs              Job control                                                                                                                                         
  mtls              Start an mTLS listener                                                                                                                              
  new-profile       Save a new sliver profile                                                                                                                           
  profiles          List existing profiles                                                                                                                              
  regenerate        Regenerate target sliver                                                                                                                            
  sessions          Session management                                                                                                                                  
  slivers           List old Sliver builds                                                                                                                              
  use               Switch the active sliver                                                                                                                            
  websites          Host a static file on a website (used with HTTP C2)        

La opción de Multiplayer nos permite contar con "Agentes" que llegan a interactuar con los Slivers directamente a traves desde nuestro Servidor, esta configuración la veremos proximamente.

Multiplayer:                                                                                                                                                            
============
  kick-player  Kick a player from the server
  multiplayer  Enable multiplayer mode
  new-player   Create a new player config file
  players      List players

Las opciones que tenemos con el Sliver (equipo infectado) en esta entrada veremos lo principal.

Sliver:
=======
  cat                Dump file to stdout
  cd                 Change directory
  download           Download a file
  execute-shellcode  Executes the given shellcode in the sliver process
  getgid             Get Sliver process GID
  getpid             Get Sliver pid
  getuid             Get Sliver process UID
  info               Get info about sliver
  kill               Kill a remote sliver process
  ls                 List current directory
  mkdir              Make a directory
  msf                Execute an MSF payload in the current process
  msf-inject         Inject an MSF payload into a process
  ping               Test connection to Sliver (does not use ICMP)
  procdump           Dump process memory
  ps                 List remote processes
  pwd                Print working directory
  rm                 Remove a file or directory
  shell              Start an interactive shell
  upload             Upload a file
  whoami             Get Sliver user execution context

Contamos con opciones únicas para Windows las cuales son las siguientes.

Sliver - Windows:                                                                                                                                                       
=================                                                                                                                                                       
  elevate           Spawns a new sliver session as an elevated process (UAC bypass/Windows Only)                                                                        
  execute-assembly  Loads and executes a .NET assembly in a child process (Windows Only)                                                                                
  getsystem         Spawns a new sliver session as the NT AUTHORITY\SYSTEM user (Windows Only)                                                                          
  impersonate       Run a new process in the context of the designated user (Windows Only)                                                                              
  migrate           Migrate into a remote process     

Listeners


Con Sliver tenemos la opcion de ejecutar 4 diferentes listeners DNS, HTTP, HTTPS y MTLS que son los que se ponen en la escucha en los puertos respectivos.

La ejecución de cada uno basta con el nombre como se muestra a continuación iniciamos un listener por http puerto 80.


Generando un Sliver


La generación de un sliver es el binario que debemos de hacer que se ejecute en nuestros objetivos para conocer un detalle de las diferentes opciones debemos de ejecutar help generate. 

En este caso generamos algunos binarios para Windows de 32 y 64 bits para Linux y MAC.





Como vemos en la captura anterior le indicamos que no realice ningun proceso de ofuscación sobre el binario que es la flag --skip-symbols.

--http: El listener para el cual generaremos.
--save: Donde se generara el binario.
-a: La arquitectura por defecto este genere para 64 bits.
--os: El ultimo parámetro determinamos el sistema operativo.

Si ejecutamos slivers visualizamos los sliver generados.


Basta con mandar los binarios generados y esperar que llegue la Shell.

Configuración del dominio personalizado con Serveo

El ataque fuera de LAN sera posible generando el dominio que indicamos anteriormente en Serveo en este caso la levanto con sniferl4bs, el resultado cuando empezamos a recibir las conexiones de nuestros slivers. 


Para visualizar los Slivers con sessions listamos los que se encuentren. 


Cuando llega un nuevo Sliver el mensaje que recibimos es el siguiente. 


Si deseamos interactuar con alguno basta con use <numero del Slive> para salir del Slive que estemos interactuando tenemos que ejecutar background


Es posible visualizar información del Sliver con info.



Con PS vemos todos los procesos relacionados al sliver que estamos interactuando en este caso vemos el nombre del Sliver como tambien un antivirus?


A todo esto mas de uno se debe de preguntar si los antivirus detectan, se hicieron pruebas con Avast, AVG, TrendMicro y Windows Defender y ninguno de estos salto ya que la generación de los binarios se realizo sin ofuscación, en próximas entradas veremos con otros antivirus. 




Recuerden que antes de probar con algun antivirus deben de quitar la opción que envie muestras.


Estas llegan a ser algunas opciones que tenemos dentro de Sliver, como primera toma de contacto sirve para realizar nuestras propias pruebas e ir conociendo en la siguiente entrada veremos el uso de MSF, los multiplayers, utilizar esta shell inicial para obtener otros accesos.

"La libertad y el poder conllevan responsabilidad." - Sri Pandit Jawaharlal Nehru

Regards,
Snifer
Compartir:

8.02.2019

Pentesting Active Directory & Pentesting Active Directory Forests

Es viernes y el blog vuelve con una entrada? algo raro pasa aquí. Si estas del otro lado del charco es Sabado por la mañana.


Como dice el titulo, traemos dos videos de la Rooted del 2018 y 2019 ambos pertenecen a Carlos Garcia aka @Ciyinet en el cual expuso Pentesting en Active Directory una charla donde explica como empezar un 101 para los que recién empiezan o quieren conocer como tomar el control de un AD.

  1. Enumeración Local
  2. Enumeración de Dominio

Nos menciona sobre vectores de explotación para tomar el control de un AD mencionando cuales son los mas comunes o pocos vistos actualmente, durante este ultimo año vi que aun se tiene el SYSVOL y últimamente un SilverTicket y CVE-2019-1040.

  • SYSVOL
  • MS14-068
  • Kerberoast 
  • SMB
  • Mimikatz

Ademas de ver un poco y conocer PowerView y el perro aka BloodHound.


La presentación la tienen disponible en: Pentesting Active Directory - Rooted 2018.

La de este año nos habla sobre dominios de confianza como las charlas que brinda explicando para que cada uno entienda y comprenda desde el momento 0 que escuchar su charla.



La charla llegue a verla un poco, mañana con cuaderno en mano tomo noto del resto de la ponencia, la  presentación por si alguno quiere ver las herramientas que utiliza e información adicional del siguiente enlace. Pentesting Active Directory Forests


Como cada semana trataremos de volver con videos los viernes, el podcast en el blog día Lunes y si sale otro entre semana estaremos centralizandolo en una sola entrada, el review del OSCP, Stack BoF, una entrada con las opciones que se tiene a Empire que recién dieron a conocer que dejaran de dar soporte. Como siempre el blog esta abierto para cualquier persona que desee compartir conocimiento.



"Lo que nunca empieza, nunca termina " - Patricio Osorio

Regards,
Snifer
Compartir:

6.15.2019

Script en Python para detectar Badchars - Find Badchars (Buffer Overflow)

Este script fue realizado junto a @RizelTane, debido a que en mi momento de locura quise automatizar el proceso de detección de badchars, con el fin de estar seguro que la identificación era correcta, considerando ello se tuvo este pequeño, el cual fue adicionado a #Bashert para automatizar un poco el trabajo de la certificación.


Evidentemente esto es posible hacerlo desde Inmmunity Debugger con apoyo de Mona, pero quise tener algo a mano y estar seguro que funcione, ya que para ese entonces en el primer intento que tuve andaba nervioso, por que nunca antes toque un BoF como el de la certificación (aprendí a realizarlo), después de andar practicando todo el flujo es sumamente sencillo y entendible que por cierto en el blog contamos con una serie de entradas en proceso donde se explica un Stack Buffer Overflow, la cual si te animas a dar el OSCP puedes tomarlo como referencia.

Archivo.in y badchars_all

El script hace uso de dos ficheros los cuales son archivo.in y badchars_all realizando una comparativa para determinar cuales son los caracteres malos.


Fichero archivo.in

Es el resultado que tenemos de Immunity cuando enviamos el payload con el listado de los badchars y tenemos el output, el cual lo debemos de pasar al fichero para realizar la detección de los caracteres malos.

Este fichero es el output que obtenemos cuando se envía al servicio vulnerable, tenemos que ir iterando y verificando la salida, con el script continuamente.

Fichero badchars_all



El fichero badchars_all es el segundo que es usado por el script, este no es necesario realizar ninguna modificación, como veran lleva los badchars que realizaremos la comparación para determinar cuales no deben de ingresar en nuestra shellcode.


Ejecución de find_badchars.py

Para la ejecución del script necesitamos contar con Python3 y coloroma tenemos el resultado de la comparativa que realiza el script.


Vale aclarar que necesitamos realizar las corridas necesarias para identificar todos los badchars, ya que el script tiene puntos a mejorar y realizar la tarea mas limpia, pero por ahora esto fue lo que utilice para la certificación  en próximas entradas veremos, la detección de Badchars desde el mismo Inmmunity y avanzaremos con la serie de entradas.
Sigo trabajando para intentar aprender, para intentar hacer lo que no sé. Detesto repetir cosas que ya he hecho. - Eduardo Chillida.

Regards,
Snifer
Compartir: