– root@injetionsec:~#

Privilégios de admin em Windows (NT/2000/XP/2003/7/2008/8)

05.07.2015 (2:18 pm) – Filed under: Hacking,Pentest,Windows ::

windowsss

Galera iniciarei uma série de post retratando como remover senhas para ter acesso a sistemas windows (NT/2000/XP/2003/7/2008/2012/8), visto que esse ataques você terá que ter acesso físico a máquina.

» Reset à senha de administrator – Windows 7/2008/2012
» Reset à senha de administrator – Windows XP
» Reset à senha de administrator – Windows 2003
» Reset à senha de administrator – Windows NT/2000

0/

Encapsulamento e tunelamento

11.02.2014 (6:23 pm) – Filed under: Hacking ::

Vamos falar um pouco dessas formas usadas pelos atacantes, para bay passar os IDS/IPS ,firewall e outros tipos de dispositivos de interceptação de trafego

COVERT CHANEL E ADMINISTRAÇÃO CLANDESTINA

Para combater com eficacia e contornar o acesso a rede , tem-se criado tunelamento e metodos de encapsulamento de protocolo em outro,alguns protocolos e utilitarios usados:

• Tunelamento no protocolo TCP : Stunnel, TCP Tunnel, Tor, SSH, WinTunnel, Sixtynine, Zebedee
• Tunelamento no protocolo UDP : SSH, NetCallback, CIPE, Tunnel, Zebedee
• Tunelamento no protocolo TCP : ICMP: Ptunnel, Itun, Itunnel, Skeeve, icmpt

Todos os três métodos podem ser utsado para encapsular as formas de comunicação para encobertar a tranferencia de arquivos, comunicação secreta e assim por diante,são geralmente usado para passar trafego atraves de firewall para não serem bloqueados ou detectados,um exemplo que as portas bloqueam por um politica de segurança e tudo mais,como protocolos web(HTTP,HTTPS e FTP).

DETECÇÃO E PREVENÇÃO DE TUNNELING

A detecção abrange vários metodos de metodologias e robustez e confiabilidade,vejamos as metodoligias:
– Baseado em assinatura de detecção: Se algun tipo de trafego esta sendo conhecido usamos a seguinte assinatura de detecção que pode ser util, muitos IPSs ajudam na identificação desses tuneis proporcionando a nçao incriptação
– Baseado em detecção de protocolo: usando um protocolo de detecção, implicando assim na busca de anomalias
– Comportamento baseado em detecção: envolve a criação de perfis de usuarios e maquinas que podem ser utilizados como referencia e comparação e execução de fluxo de analise.

Buffer Overflow, o que e isso?

16.01.2014 (9:29 pm) – Filed under: Hacking ::

Buffer Overflow : são áreas de memória criadas pelos programas para armazenar dados que estão sendo processados de maneira análoga,podemos referenciar buffer como pilha,e cada pilha tem um determinado tamanho que depende do tipo de dados que ele irá armazenar,se o programa não for adequadamente escrito este esses dados podem acabar sendo armazenado ocorrendo assim travando do programa e a execução de código remoto, escalação de previlégios.

buffer overflow consiste em estourar o buffer e ao sobrescrever parte da pilha altera os valores das variáveis locais, parâmetros e/ou o endereço de retorno (return address). Ao alterar esse  endereço de retorno ele faz com que o endereço aponte para uma área em que o código encontra-se armazenado,normalmente o novo endereço apontado é um código malicioso dentro do próprio buffer estourado. Com isso a uma execução de códigos arbitrários com os privilégios do usuário que executa o programa vulnerável,os alvos são serviços de sistema ou aplicações que executam com privilégios de superusuário no mesmo,veja a figura abaixo

0hnjb

 

Na Figura é possível verificar a existência de dois registradores utilizados para controle de uma pilha,que são: EBP e ESP, o primeiro EBP – base pointer é utilizado para indicar a base de uma pilha. Já o segundo, o registrador ESP – stack pointer é
utilizado para indicar o topo de uma pilha. Uma pilha pode conter além do endereço de retorno, algumas variáveis, parâmetros e outros dados para controle da pilha, como os registradores acima citados,toda essa estrutura uma vez que é possível alterar o valor do endereço de retorno do programa e redirecioná-lo para um código malicioso.Assim, os ponteiros de instruções como do processo ESP, que é o registrador que guarda o topo da lista, passam a ser controlados pelo atacante que pode fazer chamadas a
funções disponíveis no sistema. Devido ao fato da alteração do endereço de retorno poder ser feita pelo “estouro” de uma variável local alocada na pilha é que originou o nome buffer overflow.