– root@injetionsec:~#

Coleta de Informações passivas

28.07.2014 (2:41 pm) – Filed under: Pentest ::

Bem nesse post vamos ver alguns princípios de “coleta de informações”, que é sempre o primeiro passo durante um teste de penetração,é de fato que quanto mais informações você coletar, mais bem sucedido você será,vamos lá então.

1o – passo é a começar com a coleta de informações a partir de seus servidores DNSs,esta é provavelmente a maneira mais rápida de encontrar um ponto de entrada na coleta de mais informações,eu mesmo por questões de costume começo por consultas no whois,você pode ver isso no tópico que fiz de enumeração de dns,veja a saída na imagem abaixo

390fujr

nessa consulta whois podemos ver os números de endereço e telefone da empresa, juntamente com algumas informações do servidor (alguns infos não podemos ver isso varia),mas agora vamos continuar ainda com duas ferramentas simples que vêm com linux, e esses são nslookup e DIG. Estas ferramentas permitem que você faz consultar aos servidores DNS para obter os nomes de domínio, endereços IP e outros registros para basicamente mapeá-lo para fora,vamos usar o nslookup para consultas ao servidores:

A (endereço) – serie de nomes de endereços IP.
SOA (Start the Autority) – identifica o servidores de DNS responsáveis pela informação do domínio.
MX (troca de correio) – Identifica o correio de um servidor para o domínio.
NS (nome do servidor) – identifica outros servidores de nome.

Veja a saída abaixo,vemos que levantamos muita informações de vários ativos que posteriormente podem ser suscetíveis a exploração

4erfuerf

Mas um ferramenta mais interessante e que simplifica esse trabalho que você pode adotar e o DIG para essa coleta de informações,veja abaixo

2390ru3

Podemos fazer um brute-force no servidor do alvo,primeiro vamos criar uma lista de palavras de todos os sub-domínios que você acha que pode ter nos alvo,para isso eu tenho essa lista hosts.txt que você pode ver,vamos criar o seguinte script para facilitar:

#!/bin/bash

for name in $(cat hosts.txt);do
host $name.(alvo.com.br) |grep “has address”
done

for name in $(cat hosts.txt);do
host $name.(alvo.com.br) |grep “has address”|cut -d” ” -f4

done

Criamos um script com o nome “script.sh” e colocamos o seguinte conteúdo acima,lembrando que onde esta com (alvo.com.br)  você deve trocar pelo seu host alvo e em (cat hosts.txt) você deve colocar o nome do arquivo com os possíveis nomes,no caso forneci acima,depois faça da seguinte maneira :

chmod +x script.sh
./script.sh > log.txt
cat log.txt

Veja a saída abaixo

4ri0

É claro que tem maneiras mais rápidas de fazer isso com ferramentas “DNSrecon”,”DNSwalk”,”DNSmap” mas dessa maneira é bom que aprendemos o que esta por trás dessas ferramentas

Vamos fazer o reconhecimento do DNS vamos ir direto a empresa ao site da www.alvo.edu.br,com isso o site pode revelar funcionários, portais de login, barras de busca, informações de contato e muito mais.

Podemos usar o google dorks para pesquisar mais coisa com algumas falhas e também,podemos usar o TheHarvester para coletar alguns e-mails ,veja o post que fiz ferramenta theharvester , essa ferramenta e muito usada por spamers para envio de phising e outras coisas.

Com isso podemos ter alguns e-mail é assim ter informações sensíveis de funcionários,outra ferramenta interessante é o goofile com ele podemos procurar qualquer extensão de arquivos postados no alvo,veja a saída.

rt09438

Você pode usar o metagoofil que é uma ferramenta de coleta de informações projetado para extrair metadados de documentos públicos (pdf, doc, xls, ppt, docx, pptx, xlsx) que pertencem a uma empresa-alvo.

 

Bom galera termino por aqui,espero que tenham gostado =]

ferramenta theharvester

25.07.2014 (3:29 pm) – Filed under: Pentest ::

TheHarvester é uma ferramenta, escrita por Christian Martorella, que pode ser usada para coletar as contas de e-mail,nomes de subdomínio a partir de diferentes fontes públicas (motores de busca, servidores de chaves PGP). É uma ferramenta muito simples galera,você pode baixa-la aqui veja a saída abaixo

f0ef90e

Para saber mais opções dessa ferramenta é só usar o seguinte comando  

./theHarvester.py – -help

As opções você pode ver abaixo também

[WARNING] Dependency lxml not found. Download and install from – http://lxml.de/
usage: theHarvester.py [-h] [-d WORD] [-b ENGINE] [-s START] [-v] [-n] [-c]
[-t] [-e DNS_SERVER] [-l LIMIT] [-q] [-o [X|H]
<filename>]

optional arguments:
-h, –help show this help message and exit
-d WORD, –domain WORD
Domain or company name to search for
-b ENGINE, –engine ENGINE
Data source (google,people123,pgp,google-profiles,dogpile,bing,jigsaw,bingapi,linkedin,all) (default google)
-s START, –start START
Start in result number X (default 0)
-v, –virtual Verify host name via dns resolution and search for
virtual hosts
-n, –dns-lookup Perform a DNS reverse query on all ranges discovered
-c, –dns-brute Perform a DNS brute force for the domain name (slow)
-t, –dns-tld Perform a DNS TLD expansion discovery
-e DNS_SERVER, –dns-server DNS_SERVER
Use this DNS server
-l LIMIT, –limit LIMIT
Limit the number of results to work with
(bing goes from 50 to 50 result
-q, –shodan-lookup Use SHODAN database to query discovered hosts
-o [X|H] <filename>, –output [X|H] <filename>
-o H <html_filename> Output to HTML file
-o X <xml_filename> Output to XML file

Examples:
./theharvester.py -d microsoft.com -l 500 -b google
./theharvester.py -d microsoft.com -b pgp
./theharvester.py -d microsoft -l 200 -b linkedin -qvnct

E isso ai galera =]

Comando, IP externo pelo terminal

25.07.2014 (2:06 pm) – Filed under: Dicas ::

dica de como pegar seu IP externo através do terminal,só digitar isso no seu terminal é da ENTER

nslookup myip.opendns.com resolver1.opendns.com

simples galera =]

Listar os módulos carregados no apache

24.07.2014 (11:02 pm) – Filed under: Redes ::

Para listar os módulos carregados no Apache você pode usar o  seguintes comandos
apache2ctl -t -D DUMP_MODULES

A saída do comando é a seguinte :

apache2: Could not reliably determine the server’s fully qualified domain name, using 127.0.1.1 for ServerName
Loaded Modules:
core_module (static)
log_config_module (static)
logio_module (static)
version_module (static)
mpm_worker_module (static)
http_module (static)
so_module (static)
alias_module (shared)
auth_basic_module (shared)
authn_file_module (shared)
authz_default_module (shared)
authz_groupfile_module (shared)
authz_host_module (shared)
authz_user_module (shared)
autoindex_module (shared)
cgid_module (shared)
deflate_module (shared)
dir_module (shared)
env_module (shared)
mime_module (shared)
negotiation_module (shared)
reqtimeout_module (shared)
setenvif_module (shared)
status_module (shared)
Syntax OK

Limitações do Penetration Testing

22.07.2014 (2:08 pm) – Filed under: Segurança da Informação ::

Bem galera irei falar um pouquinho de algumas limitações que os pentesters tem durante alguns projetos ou ate mesmo na equipe,realização do próprio teste e afim,

Os testes de penetração são práticas úteis que podem ajudar a tornar a segurança de uma organização muito melhor,mas esses testes de penetração têm suas limitações tais como:

– Base do projeto
– As próprias habilidades dos profissionais.
– Limitações dos Teste de Invasão
– Limitações dos Testes de Penetração

Os testes de penetração não são possível encontrar todas as vulnerabilidades em um ambiente de destino,podemos ter algumas limitações com base nos recursos e restrições desses testes:

– Limitações de escopo
– Limitações de tempo
– Limitações de acesso dos profissionais que vão realizar o teste
– Limitações relativas quanto aos métodos que os profissionais iram realizar
– Limitações de habilidades dos profissionais como já falamos
– Limitações como exploits que ainda não são conhecidos

Varias dessas limitações estão associadas com a natureza do projeto em si, com recursos finitos e um âmbito específico. Primeiro, os testes feitos nos projetos, por sua própria natureza, têm um alcance limitado. A maioria das organizações não faz e não pode testar tudo, por causa de limitações de recursos.

Os profissionais testam os elementos da infra-estrutura do cliente que são considerados mais vital. Mas, um atacante do mundo real pode encontrar falhas em outras áreas que simplesmente não faziam parte do escopo do projeto de teste de penetração,outra limitação relacionada é tempo,os profissionais  atribuí uma certa quantidade de tempo no projeto para um teste,em consequencia os atacantes costumam ter muito mais tempo para trabalhar em seu ataque, planejá-lo ao longo de meses ou anos, quando a maioria dos processos de teste de penetração apenas duram alguns dias, semanas ou, no máximo, alguns meses.

Alem disso os pentesters , muitas vezes têm acessos restrito aos ambientes de destino, mas não todos, os bandidos em contra-partida tem, por causa da possibilidade de deixar de funcionar um sistema de destino durante um teste de penetração, alguns métodos de ataque em particular será provavelmente fora do ambiente em si para não causar prejuízo nos ativos

Também  às limitações dos testes com foco no projeto,  os testadores de penetração têm limitações associadas com a própria equipe,conjunto finito de habilidades.Além disso, a realização do teste tem algumas  limitações pela imaginação dos próprios profissionais. A maioria dos profissionais não escrevem suas próprias façanhas, mas sim contam com exploits escritos por outras pessoas.

Essas limitações podem ser superadas com um conjunto altamente qualificada de profissionais de segurança

BTGuard é um serviço de anonimato para torrents

21.07.2014 (3:10 pm) – Filed under: Dicas ::

Bem galera com os crescentes esforços de espionagem de usuários de BitTorrent, muitos downloaders estão buscando maneiras de esconder seu tráfego dos olhos do público,é um serviço de anonimato independente de plataforma otimizada para usuários de BitTorrent,com serviço de proxy que esconde os endereços IP de seus usuários do público,mas tudo isso tem uma taxa,veja mais informações em btguard.com.

O que é isso due diligence e due care

21.07.2014 (2:10 pm) – Filed under: Segurança da Informação ::

O que são essas palavras em segurança  da informação !!!???

* Due diligence  é o ato de investigar e compreender os riscos que a empresa enfrenta,bem uma empresa de desenvolvimento e implementação tem políticas de segurança, procedimentos e padrões,ter esse cuidado mostra que uma empresa tomou a responsabilidade pelas atividades que acontecem dentro da corporação e tomou as medidas necessárias para ajudar a proteger esse meio como recursos,funcionários e etc das ameaças,ou seja  due diligence é a compreensão das ameaças e riscos atuais e os devidos cuidados  para implementar as contra medidas para fornecer proteção contra essas ameaças,caso a empresa não pratica o devido cuidado e diligência com a  segurança de seus ativos ela pode ser legalmente acusada ​​de negligência e responsabilizados por quaisquer implicações dessa negligência.

Se o proprietário não expor o fundamento da protecção de dados (fazer algo sobre isso) e assegurar que as directivas estão a ser aplicadas (na verdade, a ser feito e mantido a um nível aceitável), isso violaria o conceito devido cuidado.

* Due care são medidas necessárias para ajudar a proteger a empresa e os seus recursos de possíveis riscos que foram identificados,é um esforço contínuo de assegurar que a coisa certa estão acontecendo.

Simplificando galera, due diligence está investigando os riscos e os due care está realizando as medidas necessárias para mitigar esses riscos.

Privar consultas whois de domínios (.com.br)

16.07.2014 (6:45 pm) – Filed under: Segurança da Informação ::

Se você desejá registra um domínio nacional (.com.br) e ocultar seu dados  infelizmente não sera possível que uma brincadeira isso galera vai entender.

Segundo a própria registro.br, órgão responsável por distribuir domínios nacionais e de extrema importância um nome de domínio ficar ligado a um nome e um CPF ou CNPJ isso para garantir que ninguém fique impuni por usar de má forma a internet, mas você deve esta se perguntando mas vejo domínios como (.com|.net|.org) todos com consultas whois privadas e possível mais não e recomendado pela própria ICAN (órgão responsável por organizar e distribuir os domínios no mundo),veja alguns e-mails da própria registro.br,agora fica a pergunta sera mesmo que essas informações não são relevantes.

 

Dicas de metodologias OSSTMM, parte 1

16.07.2014 (5:11 pm) – Filed under: Pentest ::

Bem galera estou dando uma lida agora em algumas metodologias não só OSSTMM mas um geralzão que são abordadas em pentest de suma importância para organizar de seu trabalho para qualquer cliente,tomar algumas perguntas do cliente,tipos de penstest realizado e outros aspectos legais que até então estou achando muito interessante,as dicas que vou estudando postarei por aqui em partes,espero que gostem 🙂

Algumas diretrizes que devemos seguir no OSSTMM

1- O teste foi realizado cuidadosamente.
2- O teste incluiu todos as etapas necessárias.
3- O teste cumpriu com a lei.
4- Os resultados são mensuráveis ​​em um caminho quantificável.
5- Os resultados são consistentes e reproduzíveis.
6- Os resultados contêm somente fatos como derivado dos testes próprios.

Os projetos relacionados,para testar a segurança de qualquer coisa,você precisa primeiro entender o funcionamento,o que é composto,como o ambiente existe,compreender melhor de fato o que vai fazer.

O que preciso saber ?

OPSEC é uma combinação de separação e controles,para uma ameaça ser eficaz, ele deve interagir diretamente ou indiretamente com o recurso. Para separar a ameaça de o recurso é para evitar um possível interação,se a ameaça e os ativos são completamente separada de cada um dos outros. Caso contrário o que você tem é a segurança de o ativo que é fornecida por os controles que você colocou em o ativo ou o grau de que você diminuir o impacto da ameaça,um exemplo,para estar seguro de relâmpagos, você deve ficar dentro de casa durante tempestades, evitar janelas ou outras aberturas, e ter para-raios na região ou no seu proprio telhado.

Portanto, sob o contexto da operação de segurança, nós chamamos a segurança da separação de um ativo e uma ameaça e segurança do controlo de uma ameaça.

Para ter verdadeira segurança de os ativos diferentes devemos ter varios controles que são necessários. No entanto, esses controles também pode aumentar o número de interações dentro do âmbito que significa mais controlos não necessariamente são os melhores,portanto ele é recomendado para usar diferentes tipos de controles operacionais em vez de apenas mais controles,mais controles de um mesmo tipo de operação não fornecer uma defesa em profundidade
Para melhor entender como OPSEC pode trabalhar dentro de um ambiente operacional,deve ser reduzido seus elementos,estes elementos permitem quantificar o “ATAQUE DE SUPERFICIE”,que é a falta de específica de separações e controles funcionais que existem para que “VETOR” tem umaa interação.
A redução resolve a necessidade de ver a segurança como um novo caminho, um que permite existir independente do risco e totalmente capaz de criar uma segurança apropriada.

Confidencialidade,privacidade,autenticidade,resiliência.
Integridade,não-repudio,subjugação
Disponibilidade,continuidade,indenização,alarme

Dentro da metodologia do OSSTMM as limitações são classificações em:

– Vulnerabilidade: erro ou falha que , não dando acesso a bens autorizados a processos e pessoas em si,podem permitir o acesso privilégiado a bens não autorizados de pessoas ou processo que não são permitidos,permite também esconder algo de pessoas ou processos que não estão permitidos no sistemas em si.

– Fraqueza: falha,erro,abuso que anula assim os efeitos de interatividade dos controles:autenticação,indenização,resiliência,subjugação e continuidade

– Preocupação: e uma falha ou erro que pertuba,reduz ou anula os efeitos do processo que controla: não-repudio,confidencialidade,privacidade,integridade e alarme

– Exposição: ação ou falha que fornece diretamente ou indiretamente a visibilidade dos alvos ou dos ativos dentro daquele meio,essa parte pode ajudar um atacante explorar o controle de algum sistema

– Anomalia: qualquer identificação não desconhecida que não tem um controle devido

O quadro abaixo mostra o mapa das limitações juntamente com seus efeitos e valores que são determinados

03ru3

Gerenciando de Limitações

Um outro conceito que temos que ter em mente e que deve ser levado em consideração e o gerenciamento de falhas e erros em uma auditoria,as maneiras simples são: remover o problema da área fornecida ,fixar-lhe ou aceitar os riscos como parte do negocio

Uma auditoria muitas das vezes vamos descobrir mais coisas que devia-mos saber, o analista e para denunciar as limitações dos alvos não apenas os pontos fracos.
Essas limitações podem ser proteção de medicas,controle, e etc,cada limitação pode ser classificada para restringir os danos reais,cada limitação deve ser examinada e calculada em termos específicos dos componentes básicos,devemos estar certo de nunca denunciar uma falha dentro de outra falha

Algumas dicas de Pentester

15.07.2014 (10:44 pm) – Filed under: Pentest ::

Bem galera para os empregados cujo trabalho é a realização o pentest na empresa que te contratou ou que você trabalha,tem que ter um pouco mais de de flexibilidade é de certos cuidados , vou tentar descrever abaixo algumas desses detalhes que devemos ter.

* Acordo de Confidencialidade

Essa parte e muito importante quando esta fechando o contrato com cliente em si,este se destina a proteger a confidencialidade
e privacidade de qualquer informação que você recolhe durante o projeto,você então deve assinar é prometer que vai manter os dados do seu cliente confidenciais durante todo o processo do pentester realizado,basicamente esse acordo deve estar mais ou menos explicito:

Este acordo inclui imagens, captura de teclas, documentação(incluindo todos os rascunhos, bem como a liberação final), os arquivos que gravou,qualquer e-mail que você possa ter trocado com o seu cliente,manuais,planos de negócios, planos de marketing, informações financeiras, e qualquer outra coisa que remotamente tem a ver com o projeto,isso tudo  não é simplesmente um acordo de sua parte não falar sobre os ativos do seu cliente e sim um acordo para manter todos os dados relacionados ao seu cliente a sete chaves.

 

* Obrigações da Empresa

Uma vez que o contrato é assinado por ambas as partes, a empresa é obrigada a respeitar pelo contrato de forma igual,no entanto, é importante certificar-se  que o contratante é dado apenas o direito do acesso para completar o trabalho que você perguntar a eles, mas nada mais. Um salvaguardar possíveis é você  inclui na rede e nos sistema de monitoramento e registro,no caso de falhas no sistema ou destruição inadvertida de dados, você pode determinar se o contratantes  violaram ou não o  acordo contratual.

Outra garantia é ter um acompanhante enquanto nas dependências da empresa. Isto não é na intenção de prejudicar o profissional durante suas atividades, mas para reduzir a chance de uma divulgação de informações inadvertida não relevantes para o projeto,não seria desagradável se o contratante ouviu informações  relacionadas a estratégia de negócios da empresa, simplesmente porque ele estava no corredor errado e na hora errada.

Outro benefício para a escolta é que se o contratante encontra um problema há alguém disponível imediatamente para começar a resolver o problema,economizando tempo para ambas as partes.

Em alguns dos ambientes mais sensíveis, não é incomum para controlar as atividades do contratante,em caso de pentests realizados em interior de instalações militares , governo onde os dados classificados e redes existem precisam de medidas extremas são tomadas para restringir os dados saiam do estabelecimento.

Normalmente, todos os testes de penetração que ocorrem dentro das instalações  nenhuma documentação ou computadores têm a permissão para entrar ou sair da instalação (na verdade, se entrar nas instalações,muitas vezes não são autorizados a sair.)

 

* Obrigações dos contratante

Além da estipulação de que o contratante deverá manter todos os dados confidenciais, deve ter uma cláusula detalhando como o contratante pode usar qualquer informação que se reúnem.

Tipicamente, o contratante só vai divulgar as informações para funcionários, diretores, ou empregados com “Necessidade de saber,a única exceção seria se não houver um acordo por escrito autorizando á divulgação a terceiros,mas isso certamente não é um pedido incomum,

Certifique-se que antes de enviar qualquer coisa para sua lista de destinatários autorizados  não mudou

Outra obrigação, muitas vezes incluído no seu contrato será mais detalhes sobre a entrega e destruição de dados. Isso geralmente inclui um limite de tempo da rapidez com que você terá todas as informações confidenciais (mesmo no caso de prematuros contrato terminação) e como você vai destruir qualquer outros meios relacionados a seu cliente(incluindo todas as notas, screenshots, e assim por diante, você tem feito ao longo do caminho).

Muitas vezes você vai precisar apresentar para o seu cliente um certificado de destruição em um determinado número de dias depois de destruído o material.

Para aqueles não familiarizados com um certificado de destruição, esse documento geralmente contém uma lista detalhada, contendo uma descrição das informações eliminados, data da destruição  que autorizou a destruição, o método de destruição (substituindo, retalhamento, reformatação, e assim por diante), e as testemunhas que viram essa destruição,o método de destruição pode ser ditada pelo cliente.

Há quase certamente será colocado restrições adicionais sobre o contratante, como o uso de login usuario/ senhas (que pode proibir você de adicionar novos usuários aos sistemas ou a rede), quando e como você pode acessar seus próprios  sistemas, quais os dados que você tem permissão de acesso, ferramentas de software que você pode usar (eles vão provavelmente proibir o uso de backdoors, vírus e assim por diante), e que tipo de  ataques deve ser usado (ataques de negação de serviço são freqüentemente proibidos.)
Como um empregador, se você não colocar essas  questões no contrato, você pode estar em risco,estas obrigações proteger não só a empresa que contratou, mas também protegê-lo -o contratante,é muito melhor obter cada detalhe, por escrito, do que ter que recorrer a ações judiciais para resolver as diferenças.