domingo, 31 de diciembre de 2017

Vodafone Castor - ¿Qué es? ¿Para qué sirve? ¿Cómo me lo "salto"?

No podía terminar el año sin antes despedirme con un post en mi blog, por falta de tiempo, no puedo investigar y escribir tanto como querría, por lo que hoy y en plenas vacaciones me he puesto a "jugar" un rato.

Hoy os quiero hablar de un filtro que implantó Vodafone en el año 2015 para evitar accesos a sitios webs de contenido ilegal (ej. webs de torrents).

¿Qué es Vodafone Castor?

Es una herramienta implantada por Vodafone el día 24 de Diciembre del 2015 que afecta a conexiones móviles (3G/4G), fibra y ADSL.

¿Pero qué hace?

Es un filtro que "evita" que accedas a paginas webs prohibidas por el ministerio de cultura (u otros organismos), normalmente estas paginas son de contenido ilegal, como por ejemplo, descargas por torrent (Ejemplo The Pirate Bay).



¿Se puede desactivar esta herramienta?

No, ya que no está en tu PC, ni en tu móvil, ni en tu router, está controlada desde el servidor DNS de tu ISP (en este caso, Vodafone).

¿Se puede evadir?

Si, hay varias formas bastantes sencillas (aunque yo me he complicado jejeje):

1. Usar una conexión bajo VPN.
2. Instalar TOR Browser y navegar por él.
3. Mi método, mas sencillo y barato, simplemente con WWW.

Explico mi método o investigación.

Acceso a un sitio web de descarga de torrents y pulso en el botón de "Descarga tu archivo torrent!".

He "tapado" el nombre de la url del sitio, pero si os fijáis en el enlace, NO tiene puesto las 3 WWW.

Nos aparece el Castor de Vodafone y nos dice que no tenemos acceso al sitio web.

Vamos a ver las peticiones del sitio y veamos lo que hace.

Está usando el método GET y vemos claramente que enlaca al "http://sitio.com/etc..." PERO NO LLEVA LAS WWW.

Si nos fijamos en el Referer si que las lleva, pero el método GET coge el enlace SIN LAS WWW.

Pulsamos en enviar y....

Nos aparece nuevamente el Castor de Vodafone.

Vale, ahora vamos hacer una petición "falsa" pero con la dirección IP del sitio web. ¿Estará también bloqueado?

Cómo podéis ver, en el "Referer" sigue estando la url con su nombre de dominio, pero en el Host y en el GET está la IP del sitio.

Hago el envío de la petición y....

Si! Funciona! Por lo que hemos visto, el filtro sólo bloquea los nombres de dominio (miweb.com, otraweb.net, etc...).

Eso quiere decir, que si cambio en la url del torrent y pongo la dirección IP funcionará.

Pero...¿Y si sólo han capado los nombres de dominio? ¿Nos podríamos saltar el filtro poniendo simplemente las WWW.miweb.com?


Método con las WWW.
En la primera línea vemos que accedemos al sitio SIN PONER WWW. y nos bloquea el Castor de Vodafone.

En la segunda línea haremos lo mismo, pero ponemos las WWW. y vemos como nos abre la web perfectamente. ¡Nos hemos saltado el filtro!


Espero que os haya parecido interesante. ¡Os deseo un Feliz año para todos!

martes, 19 de diciembre de 2017

Writeup - HackThis - Real 4


Real Level 4


Descripción del reto

Tenemos a una persona que ha vendido un artículo de segunda mano a muy buen precio, el problema es que él ha enviado el artículo y el cliente se niega a pagar y a devolverle el artículo enviado.

Dicha persona nos facilita esta información:

- email* beta (Gestor de correo eléctronico)
- Planet Bid (Plataforma de compra/venta donde ha vendido el artículo)
- Safe Transfer (Plataforma sistema de pago "seguro")
- Top 10 (Un listado de las 10 contraseñas mas usadas)

La víctima sólo quiere recuperar su dinero (ni mas, ni menos). Por lo que el reto consiste en entrar el sistema de manera "ilegítima" y devolverle el dinero.

Datos que tenemos:

1. Nombre usuario de la víctima: Revoked.Mayhem
2. Nº de cuenta para transferir el dinero: 64957746


Comienza el reto:

Lo primero (como cualquier pentesting) será recopilar toda la información necesaria para poder ir "investigando" y usando técnicas que nos ayuden a vulnerar el sistema web de alguna manera.

Empezamos con Planet Bid, accedemos a la web y nos dirigimos a la sección de "Account" donde nos encontramos con este formulario.

Abajo, existe un enlace bastante "sospechoso" que pone "admin" y al hacer clic nos coloca el usuario en el campo "Username:", por lo que sólo necesitaremos saber la contraseña.


Recordemos, que disponemos de un TOP 10 de las contraseñas mas utilizadas, vamos a probar con cada una de ellas. (No hace falta usar ningún script, ya que sólo son 10 contraseñas)


Una vez dentro, tenemos dos interesantes apartados, "Members db" que nos muestra un listado de los miembros (id, nombre y correo) y "Bids_db" que podemos visualizar las transacciones por el ID del usuario e importe.


Ahora deberemos de descubrir, quien ha sido el usuario que se niega a devolver el producto y/o a pagar.

Listado de los usuarios de DB


Listado de las últimas transacciones.


Con el ID 31 tenemos a "Revoked.Mayhem" y vemos en el listado de transacciones, que en la columna Seller sólo tenemos uno con el ID 31 y que el comprado tiene ID 11.

Con el ID del comprador, ya podemos ver en el listado de usuarios que nombre tiene y su correo electrónico.

Datos del comprador:

ID = 31
Nombre = nemisis
Email = jfelliot@mail.com

Sólo nos hace falta saber la contraseña, analizando la web, vemos que en la barra de dirección se encarga de imprimir las variables view.php?members&1=user&2=email. ¿Pero que ocurriría si cambio email por "pass"?


Efectivamente, nos imprimiría en la tabla las contraseñas "cifradas", ahora necesitamos descifrar el hash para obtener la contraseña.


He usado la web https://md5hashing.net/hash para descodificar la contraseña, la contraseña es "chicken".

ID = 31
Nombre = nemisis
Email = jfelliot@mail.com
Contraseña = chicken

Ahora necesitamos la credenciales de acceso para acceder a nuestra meta, que sería lograr entrar al sistema web de "Safe Transfer" y devolver el dinero.


Nos dirigimos al correo y vemos que existe un correo enviado desde "Safe Transfers", entramos en él y vemos el usuario y contraseña para poder acceder al sistema.

Usuario: nemisis
Password: i.am.awesome

Ahora si, ya podemos acceder a la cuenta y devolvernos el dinero.

Ya estamos dentro, identificados como "nemesis" y con £257,64 procedemos a devolver el dinero.


Pulsamos en "Transactions" y cumplimentamos los dos campos del formulario, recordemos que en el panel de Planet Bid vimos la cantidad "estafada" y en el principio del reto, nos indicaba el número de cuenta de nuestro amigo.


 Pulsamos en "Credit" y......

Vaya.... Nos han pillado! ¿Que ha podido pasar?

Por lo que nos dice el mensaje, ambas plataformas (Planet Bid y Safe Transfers) están comunicadas, por lo que han debido de registrar nuestra IP y no es la misma que la del usuario legítimo.

Entramos como "admin" (acordaros que la clave era "asdfg") y vemos que por razones de seguridad se guarda nuestra IP. Pulsamos en "view".

Hacemos clic en "Clear log" y borramos el registro de IPs.

Volvemos a realizar la transferencia y ahora....¡Si!




domingo, 17 de diciembre de 2017

Writeup - HackThis - Basic+

Basic - Level 4



Nos encontramos con el siguiente formulario donde nos pide unas credenciales de usuario y contraseña.

Arriba, nos dejan una pista "Look  at my awesome picture" y una fotografía.

b4.jpg


Hacemos clic y nos descargamos la foto a nuestro disco duro.


Examinamos los metadatos de la fotografía y nos encontramos con pistas bastante interesante.

Artist: james (ya sabemos su nombre, posiblemente sea su usuario).
User Comment: I like chocolate. (Le gusta el chocolate. ¿Podría ser esta la contraseña?


Introducimos "james" en el usuario y como contraseña usamos "chocolate". Misión completada!


miércoles, 1 de noviembre de 2017

Instalar Maltego en Ubuntu 16.04 LTS

Hoy os mostraré como instalar la herramienta Maltego en Ubuntu y demás sabores.

¿Que es Maltego?

Es una herramienta programada en Java (multiplataforma) que tiene el potencial de encontrar información sobre personas y empresas en Internet, permitiendo cruzar datos para obtener perfiles en redes sociales, servidores de correo, etc.

Instrucciones para su instalación en Ubuntu:

1. Nos descargamos el archivo .deb de la siguiente web: https://www.paterva.com/web7/downloads.php
2. Abrimos nuestra terminal y ejecutamos: "sudo apt-get install default-jdk" (sin las comillas)
3. Una vez terminada la instalación del Java Development Kit pasaremos a instalar Maltego con el siguiente comando "sudo dpkg -i Maltegoxxxx.deb"
4. Finalmente, tendremos Maltego listo para funcionar.

Maltego ejecutándose en Ubuntu 16.04 LTS

sábado, 7 de octubre de 2017

Hacking con códigos de barras

Buenas chic@s! Hoy os traigo un ejemplo de un ataque de ingeniería social con códigos de barras.

No somos conscientes del peligro que tiene compartir cierta información como: tarjetas de débito/crédito, números de cuenta bancaria, DNI, hojas del libro de familia, nº bastidor de nuestro coche, alguna factura de tu ISP (Proveedor de servicios de Internet) o quizás una entrada en algún lugar de ocio.

Hoy os enseñaré como podrían "clonar" nuestra entrada y usarla antes que nosotros.

Antes de explicar el procedimiento, me gustaría contaros básicamente que tipos de códigos de barras existen (los mas conocidos) y que tipo de información pueden contener en esas "barritas".

Tipos de códigos de barras:

1. Códigos de barras lineales (Más usados: EAN, Code-128, Code-39, Code-93)

Ej. EAN-128
2. PDF417


3. DataMatrix



4. QR


Ahora que conocemos los códigos de barras mas utilizados, es hora de ponernos en marcha con un ejemplo.

No tenemos que rompernos mucho la cabeza, si buscas en "San Google" y pones "Entrada QR" tenemos ejemplos "rico, rico y con fundamento" (como diría Karlos Arguiñano).



Ya tenemos en nuestro poder el código QR de una entrada, vamos analizar el contenido del QR.


Hemos sido capaces de obtener el resultado del QR, por lo que si quisiéramos clonar una entrada sólo tendríamos que generar el código QR con ese resultado.


Ejemplo del código QR clonado.

¿Que ocurriría si en este museo permitieran ejecutar códigos QR desde el móvil como en otros establecimientos?

Podríamos entrar simulando ser otra persona, el sistema registraría nuestra entrada y cuando intentara entrar su legítimo dueño, no podría.

¿Os parece buena idea que los establecimientos permitan el escaneo de códigos QR? ¿Os parece una buena idea este sistema?

Que pasaría, si el dispositivo (PC, tablet, smartphone...) en vez de leer un código numérico leyera otro tipo de información, como podría ser una dirección web.


Ej. Generando una dirección web directa a un archivo PDF

¡Vaya! Nos ejecuta automáticamente la lectura de un archivo PDF!!! De maravilla, ¿no?

¿Y si en vez de un archivo PDF le diera la URL de un archivo infectado? O si supiera de que en ese establecimiento siguen usando un sistema operativo vulnerable?

En vuestras manos os lo dejo....

viernes, 18 de agosto de 2017

Conseguir el código PUK sin tener la tarjeta SIM y sin llamar a tu operadora.
Os voy a explicar una de las diferentes formas de conseguir el código PUK para desbloquear la SIM de vuestro teléfono por si os ha pillado en plenas vacaciones como a mí.


¿Qué es el código PUK?

El PUK es un código de 8 caracteres numéricos con el que puedes desbloquear la tarjeta SIM en el caso de que hayas introducido de manera errónea el PIN tres veces. Si introduces el PUK más de 10 veces mal, la tarjeta SIM quedará inutilizada.
 
Ejemplo de una tarjeta de la operadora Vodafone.


 
 
¿Cómo conseguir el código PUK SIN la tarjeta con el código y SIN llamar a la operadora?
 
Voy hacer la operación con una tarjeta de ONO (Vodafone), mas abajo, pondré los enlaces a cada panel de acceso cliente de cada operadora, los pasos deberían de ser "mas o menos" similares.

Conseguir el código PUK de una tarjeta SIM de ONO/Vodafone.

1. Nos dirigimos al panel de control haciendo clic aquí
 
 
2. Nos identificamos como clientes y hacemos clic en "Móvil".


3. Nos aparecerá una nueva ventana donde elegiremos el número de móvil que queramos conocer su código PUK.


4. Ahora nos encontraremos con una ficha que contiene las especificaciones que tenemos contratado, informando del tipo de tarifa, megas, roaming y otros datos de interés. Nos centraremos en la parte de abajo, donde nos especifica el PIN por defecto (mi recomendación es que lo cambies por otro) y el código PUK

Ejemplo de la ficha con la información de Vodafone/ONO.

Estos datos también pueden ser consultado de la misma forma desde la aplicación móvil de la operadora (Android y iOS).


¿Que hago si soy de otra operadora?

Los pasos deberían de ser similares, únicamente deberemos de entrar al panel de cliente de nuestra operadora:


¿Estás en otra operadora? ¿Puedes comprobar que dispongan del mismo servicio de recuperación de PUK? 

Si eres de otra operadora diferente a la mencionada anteriormente, deja un comentario para ir actualizando el "post", gracias.