– root@injetionsec:~#

Curso de Segurança em Sistemas Informáticos – MIT

18.04.2015 (6:20 pm) – Filed under: Dicas ::

O  MIT (Massachusetts Institute of Technology) esta oferecendo cursos onlines, e um deles e de sec, veja abaixo

6.858 Fall 2014 Lecture 1: Introduction
6.858 Fall 2014 Lecture 2: Control hijacking attacks
6.858 Fall 2014 Lecture 3: Buffer overflow exploits and defenses
6.858 Fall 2014 Lecture 4: Privilege separation
6.858 Fall 2014 Lecture 5: Guest lecture by Paul Youn from iSEC Partners
6.858 Fall 2014 Lecture 6: Capabilities
6.858 Fall 2014 Lecture 7: Native Client
6.858 Fall 2014 Lecture 8: Web security
6.858 Fall 2014 Lecture 9: Securing web applications
6.858 Fall 2014 Lecture 10: Symbolic execution
6.858 Fall 2014 Lecture 11: Ur/Web
6.858 Fall 2014 Lecture 12: Network security
6.858 Fall 2014 Lecture 13: Kerberos
6.858 Fall 2014 Lecture 14: HTTPS
6.858 Fall 2014 Lecture 15: Medical software
6.858 Fall 2014 Lecture 16: Side-channel attacks
6.858 Fall 2014 Lecture 17: User authentication
6.858 Fall 2014 Lecture 18: Private browsing
6.858 Fall 2014 Lecture 19: Tor
6.858 Fall 2014 Lecture 21: Data tracking
6.858 Fall 2014 Lecture 22: Guest lecture by Mark Silis and David LaPorte from MIT IS&T
6.858 Fall 2014 Lecture 23: Security economics
6.858 Fall 2014 Lecture 24: Final project presentations
6.858 Fall 2014 Lecture 20: Mobile phone security

Você pode ver mais nessa página, as práticas (1 2 3 4 5 6 7), material de referência,exercícios, etc.

Comandos em linux

18.04.2015 (5:44 pm) – Filed under: Dicas ::

A algum tempo venho acompanhando alguns sites, principalmente o commandlinefu um site muito interessante para aprender novos comandos (e revisar alguns comandos antigos ).

O site mostra de forma direta como passar os parâmetros tudo de forma correta e organizada, segue os sites que acompanho e o commandlinefu que mencionei acima.

http://archive.oreilly.com/linux/cmd/
http://cb.vu/unixtoolbox_pt.xhtml
http://www.commandlinefu.com/

=)

Acordo Dilma e Mark Zuckerberg concentra o tráfego da rede e pode violar Marco Civil

15.04.2015 (2:05 pm) – Filed under: Noticias ::

oijl

Quem acompanha as notícias já esta ligado nessa , o acordo, firmado diretamente entre a presidente Dilma Rousseff e Mark Zuckerberg, dono do Facebook, na Cúpula das Américas.

Tem poucas informações sobre o plano firmado, mas sabemos que ele passará a vigorar em Junho de 2015 e que há um projeto piloto em Heliópolis, São Paulo. Por outro lado sabemos que a empresa em questão vive da violação da privacidade das pessoas.

Você sabia que o botão de “curtir” monitora sua navegação na internet mesmo não estando logado? E posteriormente envia todos os sites que você acessou para o Facebook? Que quando você apaga uma atualização do status antes de torná-la pública, o Facebook faz automaticamente uma cópia (isso eles chamam de evitar a “auto-censura”)? Ou ainda que ele não deleta as imagens e mensagens que ele diz deletar? Ou mesmo você, que não possui uma conta no Facebook, tem seus dados coletados para produção de perfis sombras?

Razões não faltam para deletar a sua conta de Facebook. Quando o ativista e desenvolvedor do Projeto Tor, Jacob Applebaum certa vez chamou o Facebook de Stasibook, numa referência à polícia secreta da Alemanha Oriental, era pela razão de que a mesma ideia aqui se aplica: o Facebook é uma plataforma de vigilância onde uma pessoa vigia a outra e o Zuckerberg, vigia à todos/todas. Diante disso, imagine ceder os históricos de navegação de milhões de pessoas para o Facebook. Uma situação castastrófica para a privacidade no Brasil.

Fonte: cryptorave

Dump de memória & tools password cracker

04.04.2015 (6:53 pm) – Filed under: Forense ::

————————-[ – ]
1 – Explicando ferramentas de dump de memoria
____ 1.1 – Volatitity
____ 1.2 – DumpIt
____ 1.3 – LiME
2 – Volatitity e alguns comandos
____ 2.1 – imageinfo
____ 2.2 – hivelist
____ 2.3 – hashdump
____ 2.4 – psscan
3 – Dicas ferramentas crack password
____ 3.1 – john the ripper
____ 3.2 – hashcat
____ 3.3 – ophcrack
————————-[ – ]

____ ____

› › › 1 – Explicando ferramentas de dump de memoria

1.1 – Volatitity[1]: ferramenta escrita em python para extrair imagens voláteis dos discos em memoria RAM

1.2 – DumpIt[2] : também age da mesma forma extraindo o dump completo da memoria RAM,o despejo de memória será um pouco maior do que o tamanho de sua memória RAM instalada, se sua máquina te 4 GB de RAM irá produzir cerca de um arquivo de 5 GB.

C:\Program Files\dump_men> Dumplt.exe

1.3 – LiME[3]: também tem esse mesmo principio utilizado em GNU/Linux e Android

Os analistas de malware usam dump de memória em suas engenharia reversa de softwares maliciosos com isso podem analisar depois como os processos foram executados na maquina, quais redes teve acesso ao host, senhas e outras informações triviais.

› › › 2 – Volatitity E Alguns Comandos

2.1 – imageinfo

Usando o voltatitity para determinar algumas infos do sistema, mais comandos[0][6] :

volatility imageinfo -f nome_arquivo.raw

O volatitity nos informa que o SO rodando ali é o Win7SP1x86 , podemos tomar como prova executando o “systeminfo”

2.2 – hivelist

Nós agora vamos listar onde esta os itens mais importantes localizados no dump de memória. Em seguida, vamos extrair os hashes da com esse mesmo dump senha do despejo de memória. Para fazer isso, precisamos saber alguns locais de memória é onde estão as chaves de SAM.

volatility hivelist -f nome_arquivo.raw –profile=Win7SP1x86
** dois traços antes profile

2.3 – hashdump

Olhamos no despejo acima e anote os números da primeira coluna que correspondem a SYSTEM e ao SAM . Em seguida, a depois redirecionamos a saída do hashes da senhas em um arquivo .txt

volatility.exe hashdump -f nome_arquivo.raw –profile=Win7SP1x86 -y 0x8781a250 -s 0x8ca0089d0 > saida.txt
** dois traços antes profile

2.4 – psscan

Enumera os processos

volatility.exe psscan -f nome_arquivo.raw –profile=Win7SP1x86
** dois traços antes profile

› › › 3 – Dicas ferramentas crack password

Se você estiver usando senhas de 14 caracteres (senhas LM), você pode executá-los através de um cracker de senha como John the Ripper, Ophcrack, hashcat, pwdump7,caim, ophcrack, ou ainda pode usar cracking onlines, podemos usar Rainbow tables do Ophcrack de 7,5 GB[4]

3.1- John the Ripper: pode ser baixado[5]
john ./saida.txt –format=nt –wordlist=/Downloads/passwords/wordlists/packwordlist.txt
** dois traços antes de format e wordlist

3.2 – Hashcat : Se encontra no diretório pentest/passwords/hashcat

–hash-mode=NUM number of hash-mode
0 = MD5 200 = MySQL
1 = md5($pass.$salt) 300 = MySQL4.1/MySQL5
2 = md5($salt.$pass) 400 = MD5(WordPress)
3 = md5(md5($pass)) 400 = MD5(phpBB3)
4 = md5(md5(md5($pass))) 500 = MD5(Unix)
5 = vBulletin v3.8.5
30 = md5($username.0.$pass)
31 = md5(strtoupper(md5($pass)))
100 = SHA1 1400 = SHA256
101 = sha1($pass.$salt) 1600 = MD5(APR)
102 = sha1($salt.$pass) 1700 = SHA512
103 = sha1(sha1($pass)) 1800 = SHA-512(Unix)
104 = sha1(sha1(sha1($pass)))
105 = sha1(strtolower($username).$pass)

root@bt:# ./hashcat-cli32.bin –hash-mode 105 /root/hash
/Downloads/passwords/wordlists/packwordlist.txt
** dois traços antes de hash

3.3- Ophcrack:

-g = disable gui
-d = the directory with the rainbow tables
-t = the tables to use
-f = the file with the hashes

root@bt:# ophcrack -g -d ./download/ rainbow/tables/ -t ./download/tables/ -f /admin/ hashes /test-list.txt

 

ate o próximo tópico =)

 

Referências:

[0] Comandos volatility
[1] https://code.google.com/p/volatility/
[2] http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/
[3] https://github.com/504ensicsLabs/LiME
[4] http://ophcrack.sourceforge.net/tables.php
[5] http://www.backtrack-linux.org/wiki/index.php/JTR_cluster
[6] https://code.google.com/p/volatility/wiki/CommandReference23

 

Capturando webcam e microfone com meterpreter

04.04.2015 (1:44 pm) – Filed under: Pentest ::

Galera 2 comandos muito interessante do meterpreter são : webcam_list, webcam_snap, record_mic , em primeiro lugar, é necessário ter uma sessão ativa do meterpreter no host windows.

meterpreter >  webcam_list
Este comando permite que você tenha uma lista de webcams presente no sistema de destino é cada câmera será identificada por um número único.

meterpreter > webcam_snap
Este comando captura uma web cam especificando o numero padrão listado no comando “webcam_list”  por default webcam 1 será usado se nenhum argumento for especificado.

O comando webcam_snap pode ter os seguintes argumentos:
-h:  ajuda.
-i :  identificador exclusivo da webcam para você usar.
-p : O caminho para a captura de imagem .jpeg ,  o padrão é $HOME / [numeroaleatorio] .jpeg
-q : captura JPEG, por default ’50’.
-v : Abrir automaticamente a captura jpeg, por default ‘true’.

meterpreter >  record_mic
Este comando salva o ambiente de som integrado microfone,por padrão apenas um segundo será gravado assim que a gravação acabar ele para automaticamente

O comando record_mic pode ter os seguintes argumentos:
-h: ajuda.
-d : O número em segundos para gravação, o default é 1 segundo.
-f : O caminho de gravação para o arquivo .wav ,  o padrão é $HOME / [numeroaleatorio] .wav
-p :  o arquivo e capturado automaticamente, por default ‘true’.

➦ Se quisermos ver ao vivo o que esta passando na máquina alvo, para isso temos que iniciar o script webcam da shell sem o metasploit e então setar-lo diretamente na sessão:

sessions -i 1 -s webcam -f -p /root/arquivos/

➦ É  possível executar o script diretamente no shell do metasploit o “sound_recorder sem setar diretamente a sessão.

sessions -i 1 -s sound_recorder /arquivos/

Usando find em arquivos e diretórios

03.04.2015 (2:23 pm) – Filed under: Linux ::

› Pesquisando arquivos com permissão octal 0666
root@debian:~# find . -perm 0666 -type f -exec ls -l {} \;

› Pesquisando arquivos executáveis no diretorio Download/programas:
root@debian:~# find /Download/programas -executable -type f -exec ls –color {} \;

› Pesquisar os 10 maiores arquivos no diretório /usr/bin, incluindo seus subdiretórios
root@debian:~# find /usr/bin/ -type f -exec ls -s {} \; | sort -n -r | head -10

› Vamos acrescentar o bit SGID aos diretórios embaixo do diretorio /home
root@debian:~# find /home/* -type d -exec chmod g+s ‘{}’ \;

› Remover todos os arquivos em /home que terminem com .tmp
root@debian:~# find /home -type f -name ‘*.tmp’ -exec rm -f ‘{}’ \;

› Pesquisando no diretorio atual
root@debian:~# find . -name new_file.txt

› Pesquisando no diretorio atual letras maiuscula e minusculas
root@debian:~# find . -iname new_file.txt

› Pesquisando no diretório raiz
root@debian:~# find / -iname new_file.txt

› Pesquisando arquivos com modificações feitas nos últimos 3 dias
root@debian:~# find /home/ -mtime -3

› Pesquisando arquivos e executando comandos simultaniamente com “-exec” , vamos procura arquivos com tamanho igual a 3M (na pasta /home/imagens) e copiar o resultado encontrado para pasta /home/Download/ simultaneamente:
root@debian:~# find /home/imagens/ -size 3M -exec cp {} /home/Download/ \;

› Pesquisando o arquivo “new_file.txt”, ignorando letras minúsculas ou maiúsculas, e ainda executa o programa md5sum em cada um deles.
root@debian:~# find -iname “new_file.txt” -exec md5sum {} \;

› Pesquisando arquivos com permissão de leitura para um grupo
root@debian:~# find . -perm -g=r -type f -exec ls -l {} \;

› Pesquisando diretórios pelo nome
root@debian:~# find / -type d -name /Download/filmes

› Pesquisando arquivos com todas extensões .jpge
root@debian:~# find / -type f -name “*.jpge”

› Pesquisando arquivos com tamanho superior a 1GB
root@debian:~# find /opt/ -size +1G

› Pesquisando arquivos de tamanho inferior a 500MB
root@debian:~# find /opt/ -size -500M

Para mais informações você pode consultar o manual do fin (man find) para saber mais comandos.

T+ galera

Posts de Wireshark

02.04.2015 (4:58 pm) – Filed under: Redes ::

wireshark_logo09ui0o

Galera estou lançando uma série de post estilo um mini-curso sobre Wireshark no EOF Community, tentarei postar de semana em semana ; segue os links:

Wireshark ~ Part 1 (23-03-2015)
Wireshark ~ Part 2 (02-04-2015)

Erros inesperados na execução dos módulos – metasploit

01.04.2015 (7:23 pm) – Filed under: Pentest ::

Algumas vezes estamos realizando alguma analise ou ate mesmo simulando algum pentest em nossos lab controlados, percebemos alguns erros no metasploit ao levantar privilégios na maquina alvo, e algumas saídas desses possíveis erros iremos mencionar segue :

[-] Exploit failed: Rex::AddressInUse The address is already in use (0.0.0.0:4444).
Motivo do erro: O endereço não pode ser usado por que ele já esta sendo usado

[-] Exploit failed [unreachable]: Rex::ConnectionTimeout The connection timed out (192.168.28.86:445).
Motivo do erro: firewall no computador de destino bloqueando o ataque.

[-] Exploit failed [unreachable]: Rex::HostUnreachable The host (192.168.28.86:445) was unreachable.
Motivo do erro: A máquina de destino não está acessível, esse erro e ocasionado quando o host esta fora da rede ou ate mesmo sendo bloqueado pela rede por um firewall

[-] Exploit failed [unreachable]: Rex::ConnectionRefused The connection was refused by the remote host (192.168.28.86:445).
Motivo do erro: arquivo e compartilhamento de impressora está desligado.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: execution expired
Motivo do erro: Ocorreu um erro durante a autenticação,pode ser que a conta  do computador de destino não tem acesso à máquina ocorrendo esse erro.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_LOGON_FAILURE (Command=115 WordCount=0)
Motivo do erro: nome de usuário ou senha estão incorreta.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_NETLOGON_NOT_STARTED (Command=115 WordCount=0)
Motivo do erro: serviço netlogon (ou grupo de trabalho/browser) está desativado.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_ACCOUNT_DISABLED (Command=115 WordCount=0)
Motivo do erro:  A conta esta desativada.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_PASSWORD_MUST_CHANGE (Command=115 WordCount=0)
Motivo do erro: para alterar a senha da conta é necessário tem que esperar um determinado tempo,devido a politicas de senhas.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: Connection reset by peer
Motivo do erro: O pedido de conexão do serviço enviado (RST) esta fechado.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_ACCOUNT_RESTRICTION (Command=115 WordCount=0)
Motivo do erro: as credenciais da conta estão bloqueadas (nome de usuário/senha) as senhas das contas dos computadores na rede não podem ser vazias para liberar o acesso, essas contas são somente em branco em login feito em console.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_ACCOUNT_LOCKED_OUT (Command=115 WordCount=0)
Motivo do erro: Conta bloqueada

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_LOGON_TYPE_NOT_GRANTED (Command=115 WordCount=0)
Motivo do erro:   As credenciais da conta (usuário/senha) são necessarias, o acesso ao computador através da rede não pode ser alcançado por essa conta, nesse caso em politica de grupo devem negar acesso a esse computador pela rede.

[-] Exploit failed: Rex::Proto::SMB::Exceptions::ErrorCode The server responded with error: STATUS_BAD_NETWORK_NAME (Command=117 WordCount=0)
Motivo do erro:   compartilhamento administrativo (ADMIN$) estão fechados. Ou, um diretório de compartilhamento incorreto (C$\Users joão) são indicados.

[-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::ErrorCode The server responded with error: STATUS_ACCESS_DENIED (Command=117 WordCount=0)
Motivo do erro:  Autorização é insuficiente. UAC(User Account Control) pode ser uma conta de administrador local ou ser ativo.

[-] Exploit failed: Rex::Proto::SMB::Exceptions::ErrorCode The server responded with error: STATUS_OBJECT_PATH_SYNTAX_BAD (Command=45 WordCount=0)
Motivo do erro: diretório incorreto

[-] Exploit failed: Rex::Proto::SMB::Exceptions::ErrorCode The server responded with error: STATUS_OBJECT_NAME_NOT_FOUND (Command=6 WordCount=0)
Motivo do erro:  O antivírus não está funcionando corretamente de modo á ser prejudicial.

[-] Exploit failed: Rex::Proto::SMB::Exceptions::ErrorCode The server responded with error: STATUS_SHARING_VIOLATION (Command=6 WordCount=0)
Motivo do erro:  um programa ao ser aberto, pode não funcionar corretamente, apesar de recebemos esse erro a sessão do  Meterpret pode ser obtida.

Referencia (tradução/adaptação) : http://ertugrulbasaranoglu.blogspot.com.br/