03 septiembre 2015

30 Segundos Pwn - Jboss 4, 5 y 6.

Hace ya unos 7 años que existen herramientas automáticas para la explotación de servidores JBoss, incluso  metasploit tiene un módulo para la detección y explotación.

Pero siguen apareciendo scripts que automatizan el proceso de: acceder al /jmx-console (versión 4, 5 y 6), /web-console/Invoker (v4) o /invoker/JMXInvokerServle (v4 y v5) y desplegar un war que permita ejecutar comandos.

... Y pese a que es sencillo hacerlo manualmente, más sencillo es con una sola línea de comandos.

Incluso tras los gusanos e incidentes que han ocurrido en todo este tiempo, las probabilidades de encontrar un servidor con Jboss en una una red local es muy alta.

Para mi gusto la forma más sencilla  de buscar Jboss es el uso del parámetro -sV de Nmap e identificar aquellos que respondan con "Apache Tomcat/Coyote". Para vulnerabilidades concretas siempre se puede usar el correspondiente script, por ejemplo: http-vuln-cve2010-0738.nse, aunque no es el único CVE que existe y solo mostrará parte de la foto. Por supuesto, hay mil alternativas más, como cualquier herramienta de análisis de vulnerabilidades, metasploit, etc.

nmap en busca de jbosses perdidos.
Para explotarlas, una opción actualizada recientemente es "jexboss" que he probado en una CentOS 6 con Jboss 6 y ha funcionado tal y como se esperaba. Esta utilidad también es una de las muchas que hay como son jboss autopwn, los módulos del "hasta en la sopa" Metasploit o los scripts de redteam pentesting.

Dejo un par de capturas para ver su aspecto, que por cierto, no tiene paquete en Kali.

Jexboss explotando un jmx-console en Jboss 6

Comando "ps" ejecutado en la consola interactiva de jexboss

Referencias:

Leer más...

02 septiembre 2015

Cifrado de archivos en la nube

Hace ya algunos añitos que Yago comentaba en este mismo blog los mecanismos para cifrar archivos en tiempo real para posteriormente sincronizarlos con la nube.  Como el panorama ha cambiado un poco, me tomo la libertad de actualizar ese artículo con las últimas novedades y otros métodos alternativos.

Siempre teniendo en cuenta que la nube no existe, solo son los ordenadores de otras personas tal y como muestra la pegatina que acompaña la entrada. Así que si realmente no quieres que alguien obtenga tus ficheros, no uses nubes públicas y monta un owncloud, seafileSparkleShare o similares en tu propio servidor, lejos de las largas manos de los curiosos. Por supuesto, en el caso de estos productos, también se puede cifrar tal y como se describe a continuación. Si por pereza, coste, o porque realmente "las fotos del gato no son tan importantes" (y al final la clasificación del dato es lo realmente relevante), puedes asumir el riesgo utilizando servicios públicos como Dropbox, Google Drive, OneDrive o cualquier otro, y una de estas herramientas.

Boxcryptor: versión gratuita y comercial (36€/año), requiere crear una cuenta en su portal. En la versión gratuita solo permite usar dos dispositivos; un PC y un móvil por ejemplo. Tampoco permite el uso de distintos servicios simultáneamente. Es multiplataforma como casi todas las demás. La aplicación crea una unidad virtual, que permite acceder en tiempo real a los ficheros de las carpetas de la nube y cifrarlos o descifrarlos según nuestra necesidad. Los nombres de los ficheros no se ocultan. Soporta cifrar ficheros para grupos de usuario. La aplicación móvil solo permite acceder a los ficheros en modo lectura. También existe acceso a la versión classic, que si cifra los nombres de fichero, pero no permite seleccionar que se cifra y que no, simplemente, cifra todo.

Gestión de permisos de Boxcryptor
Cloudfogger: actualmente esta aplicación es gratuita y no tiene sistema de licenciamiento, aunque muy posiblemente lo implanten pronto. Limitan el uso de dispositivos a 5. Multiplataforma, con clientes para dispositivos móviles, Su principal problema es que no cifra el nombre del fichero y la aplicación móvil tampoco permite escribir. Requiere cuenta en su portal.

Panel principal de cloudfogger.

viivo:  creado por Pkware tiene una licencia de 5$ al mes y otra gratuita. Para Windows, Mac y IOS/Android. No cifra los nombres de ficheros. También permite compartir entre múltiples usuarios documentos cifrados. La versión comercial dispone de cifrado para móviles y dos factores de autenticación. Funciona de forma muy similar a cloudfogger, usando una carpeta directamente en el directorio sincronizado y de forma transparente para el cliente.

Viivo, configuración de carpetas.
Sookasa: licencia gratuita y profesional de 10$/mes, permite solo el uso de dropbox y google drive. Similar a las anteriores, no cifra los nombres de los ficheros. Para el usuario es transparente que se cifra. Soporte para Windows, OSX, Android e IOS. No limita el número de dispositivos en su versión gratuita, ni tampoco limita el de ficheros. Dispone de capacidades de auditoria en su versión comercial. La aplicación es muy (demasiado) sencilla.. Como en todas las demás, la app móvil no permite escribir en los directorios cifrados.

Sookasa: panel de preferencias.
SharedSafeno sé cómo se las han apañado para hacer algo que han mostrado tan sencillo todos los demás de una forma tan compleja que es necesario dedicarle 20 minutos a la aplicación para entenderla. Concepto completamente distinto al anterior, no es multiplataforma, no dispone de aplicaciones móviles... Bueno, en definitiva, tiene mucho margen para mejorar...

SharedSafe: configuración
EncFS MP: posiblemente una de las mejores alternativas. Es gratuita y multiplataforma. Se basa en lo mismo que las anteriores: referenciando una carpeta (que debe estar dentro de la carpeta sincronizada con la nube), cifra los archivos y sus nombres. Con el software y la contraseña se accede al contenido "montando" el directorio sobre una unidad virtual. Realmente es la actualización de EncFS. En Linux funciona perfectamente, otra cosa muy distinta es en Windows. Aunque existe compatibilidad, cuando se maneja un número muy alto de ficheros el rendimiento cae a niveles que deja de ser funcional. También tenemos que olvidarnos de plataformas móviles. No requiere darse de alta en ningún tercero.

EncFS MP
Truecrypt/LibreCrypt/VeraCrypt: Otra de las opciones más usadas y conocidas. No se basa en cifrar carpetas, lo hace mediante un único fichero (almacenado en el directorio sincronizado) que luego es montado en una unidad virtual. El inconveniente de esto es que dependiendo del software de almacenamiento hará una subida completa o parcial de este fichero cifrado cada vez que se añada contenido a él y y este fichero suele tener un tamaño muy elevado. Al fin y al cabo debe ocupar todo el espacio que deseemos tener libre en la unidad virtual una vez es montada.

Después de probarlas, no obtengo conclusiones claras ni un claro vencedor. En mi experiencia y durante el proceso me quedé con encfsmp, pero teniendo muy claro que tengo un límite de ficheros y que más de ese número, empezarán los problemas. Seguiremos viendo como evolucionan.


Leer más...

30 agosto 2015

Enlaces de la SECmana - 291


Leer más...

29 agosto 2015

Sorteamos dos entradas para el evento de seguridad #Dragonjarcon


Como ya anuncié hace meses, durante la semana del 14 al 18 de Septiembre de 2015, se celebrará en la colombiana ciudad de Manizales, la segunda edición del evento DragonjarCON, en el que tendré el honor y placer de participar con una charla y un taller de dos días.  

Por lo que nos transmite la gente de Dragonjar, se están dejando los dientes en cuidar cada detalle, y hacer que este sea uno de los eventos de seguridad de referencia en Colombia. 

Me consta que han tirado la casa por la ventana y que será una bomba. El plantel de ponentes, tanto internacionales como colombianos es excelente





En esta ocasión tendré la oportunidad de no viajar solo, sino que compartiré horas y horas y horas y horas de avión y aeropuertos con Daniel Echeverry, que ha prometido que cuando llegue allí, preferiré Python antes que Perl :D  

Lo mejor, como siempre en todas las CONs, será el ambiente de camaradería que se respirará en Manizales (junto con el excelente sabor del café de allí) en la primera ciudad de Latinoamérica en la que dí una conferencia.

Para los que tengáis pensado asistir al evento, la organización nos ha dado dos entradas que sortearemos entre nuestros lectores.

Bases del sorteo

Es requisito indispensable que los participantes en el concurso sean de Colombia o que tengan disposición de viajar allí.

Daremos dos entradas entre todos aquellos que dejen un comentario diciendo por qué se merecen una entrada para el DragonjarCON y hagan RT de este post desde twitter.

Tenéis desde hoy hasta el viernes 4 de Septiembre a las 23:59 hora peninsular española. Importante es que indiquéis en el comentario vuestro twitter.

Entre todos los comentarios que haya, elegiré personalmente los 5 que más creativos me hayan parecido y se los enviaré a la gente de DragonjarCON, que harán un segundo sorteo de entre esos 5, usando random.org

Nos vemos en Colombia!!!
Leer más...

28 agosto 2015

VIDEO: Así creaban los operadores de ashley madison perfiles falsos


El siguiente video está obtenido del correo del CEO del conocido portal.

Actualización: como era de esperar y teniendo en cuenta que el enlace era el original ya lo han borrado. Dejo una copia del SWF aquí.

Leer más...

24 agosto 2015

Navaja Negra & ConectaCon #NNC5ED

Ya esta aquí!

Uno de los congresos de seguridad informática en España más esperados por todos/as!


Este año, se celebra la quinta edición del congreso Navaja Negra y deciden celebrarlo conjuntamente con la ConectaCon, otro congreso bien conocido por los lectores de Security by Default!

Por si alguien todavía no se ha decidido a comprar la entrada para la Navaja negra, os pego los objetivos a los que se mantienen fieles desde la primera edición:

Realizar el Congreso de Seguridad Informática #nnc5ed aprovechando el V aniversario de “NAVAJA NEGRA” junto con "ConectaCON" de Jaén, donde unimos esfuerzos y objetivos comunes que celebraría su cuarta edición.

Nos permitirá difundir, compartir y transmitir el conocimiento de los investigadores de seguridad o “hackers” a la comunidad, empresas del sector privado y público y a la propia Universidad, los avances, investigación e innovación que se han producido en el panorama español e internacional.

Impulsar el espíritu de “comunidad técnica de seguridad” fomentando la colaboración entre el público asistente, ponentes, empresas de los sectores privados y públicos y a la propia Universidad.

Consolidar y posicionar el evento dentro del panorama público nacional de Conferencias, Jornadas y Congresos de Seguridad como uno de los eventos “técnicos” más importantes.

Tenemos ya algunas de las sorpresas que nos pondremos encontrar si asistimos al congreso:

Ponentes Internacionales:

La primera de las novedades de las que disfrutaremos los asistentes será una charla de Marc Heuse (Van Hauser). Fundador del proyecto The Hacker's Choice (http://www.thc.org ) @hackerschoice

Reputado profesional de la seguridad informática a nivel internacional y del que tendremos la suerte de contar en esta quinta edición del congreso.







Otra de las celebridades de la que podremos disfrutar es Miroslav Stampar. Archiconocido por una de sus creaciones SQLMap, utilizada por todos/as en nuestras auditorias.
Nos enteramos de la noticia gracias al Twitter de la organización


Ponentes nacionales

Como no, en Navaja Negra & ConectaCon, se promociona el talento nacional y es por eso que la organización ya anunciado que contaremos con talentazo local con nombres como

thPoPe



SkUaTeR



Selvi




Pepelux



Barroso



Talleres de la mano de Jaime Peñalba Y Sergi Álvarez (pancake)



Algunos de los talleres anunciados por parte de la organización vendrán de la mano de estos dos cracks Jaime y Sergi.
Sobre los talleres de Jaime y Sergi, como os imaginaréis, podremos ver alto contenido técnico relacionado con Radare, desarrollo, reversing etc..
No os lo podéis perder tampoco



¿Que precios hay este año?

En la web de Navaja Negra podemos encontrar los precios para poder asistir, pero si todavía no lo has visto, aquí los tienes:


LEGAL HACK DAY

En paralelo a tendremos el "LEGAL HACK DAY" (30/09) y X1RedMasSegura (02-03/10) completamente gratuitas. No tenemos mas noticias todavía, pero en breve podrán ofrecernos mas información al respecto:


Estaremos atentos a estas novedades!

Descuento en Camisetas Frikis

Otra de las cosas de las que nos podemos aprovechar es de un descuento en camisetas frikis


En el proceso de compra, podremos introducir el código proporcionado por el STAFF de Navaja Negra y ConectaCon


¿Que cómo podéis venir?

Fácil!!! Sólo has de adquirir tu entrada aquí: https://nnc5ed.palbin.com/

Si necesitáis mas información sobre alojamiento y transporte, lo podéis encontrar en la web de Navaja Negra



No hay excusa, espero veros y saludaros en el congreso!!

Manteneos informados en los twitter de Navaja Negra y ConectaCon

Leer más...

23 agosto 2015

Enlaces de la SECmana - 290

Leer más...