domingo, 31 de diciembre de 2017

Vodafone Castor - ¿Qué es? ¿Para qué sirve? ¿Cómo me lo "salto"?

No podía terminar el año sin antes despedirme con un post en mi blog, por falta de tiempo, no puedo investigar y escribir tanto como querría, por lo que hoy y en plenas vacaciones me he puesto a "jugar" un rato.

Hoy os quiero hablar de un filtro que implantó Vodafone en el año 2015 para evitar accesos a sitios webs de contenido ilegal (ej. webs de torrents).

¿Qué es Vodafone Castor?

Es una herramienta implantada por Vodafone el día 24 de Diciembre del 2015 que afecta a conexiones móviles (3G/4G), fibra y ADSL.

¿Pero qué hace?

Es un filtro que "evita" que accedas a paginas webs prohibidas por el ministerio de cultura (u otros organismos), normalmente estas paginas son de contenido ilegal, como por ejemplo, descargas por torrent (Ejemplo The Pirate Bay).



¿Se puede desactivar esta herramienta?

No, ya que no está en tu PC, ni en tu móvil, ni en tu router, está controlada desde el servidor DNS de tu ISP (en este caso, Vodafone).

¿Se puede evadir?

Si, hay varias formas bastantes sencillas (aunque yo me he complicado jejeje):

1. Usar una conexión bajo VPN.
2. Instalar TOR Browser y navegar por él.
3. Mi método, mas sencillo y barato, simplemente con WWW.

Explico mi método o investigación.

Acceso a un sitio web de descarga de torrents y pulso en el botón de "Descarga tu archivo torrent!".

He "tapado" el nombre de la url del sitio, pero si os fijáis en el enlace, NO tiene puesto las 3 WWW.

Nos aparece el Castor de Vodafone y nos dice que no tenemos acceso al sitio web.

Vamos a ver las peticiones del sitio y veamos lo que hace.

Está usando el método GET y vemos claramente que enlaca al "http://sitio.com/etc..." PERO NO LLEVA LAS WWW.

Si nos fijamos en el Referer si que las lleva, pero el método GET coge el enlace SIN LAS WWW.

Pulsamos en enviar y....

Nos aparece nuevamente el Castor de Vodafone.

Vale, ahora vamos hacer una petición "falsa" pero con la dirección IP del sitio web. ¿Estará también bloqueado?

Cómo podéis ver, en el "Referer" sigue estando la url con su nombre de dominio, pero en el Host y en el GET está la IP del sitio.

Hago el envío de la petición y....

Si! Funciona! Por lo que hemos visto, el filtro sólo bloquea los nombres de dominio (miweb.com, otraweb.net, etc...).

Eso quiere decir, que si cambio en la url del torrent y pongo la dirección IP funcionará.

Pero...¿Y si sólo han capado los nombres de dominio? ¿Nos podríamos saltar el filtro poniendo simplemente las WWW.miweb.com?


Método con las WWW.
En la primera línea vemos que accedemos al sitio SIN PONER WWW. y nos bloquea el Castor de Vodafone.

En la segunda línea haremos lo mismo, pero ponemos las WWW. y vemos como nos abre la web perfectamente. ¡Nos hemos saltado el filtro!


Espero que os haya parecido interesante. ¡Os deseo un Feliz año para todos!

martes, 19 de diciembre de 2017

Writeup - HackThis - Real 4


Real Level 4


Descripción del reto

Tenemos a una persona que ha vendido un artículo de segunda mano a muy buen precio, el problema es que él ha enviado el artículo y el cliente se niega a pagar y a devolverle el artículo enviado.

Dicha persona nos facilita esta información:

- email* beta (Gestor de correo eléctronico)
- Planet Bid (Plataforma de compra/venta donde ha vendido el artículo)
- Safe Transfer (Plataforma sistema de pago "seguro")
- Top 10 (Un listado de las 10 contraseñas mas usadas)

La víctima sólo quiere recuperar su dinero (ni mas, ni menos). Por lo que el reto consiste en entrar el sistema de manera "ilegítima" y devolverle el dinero.

Datos que tenemos:

1. Nombre usuario de la víctima: Revoked.Mayhem
2. Nº de cuenta para transferir el dinero: 64957746


Comienza el reto:

Lo primero (como cualquier pentesting) será recopilar toda la información necesaria para poder ir "investigando" y usando técnicas que nos ayuden a vulnerar el sistema web de alguna manera.

Empezamos con Planet Bid, accedemos a la web y nos dirigimos a la sección de "Account" donde nos encontramos con este formulario.

Abajo, existe un enlace bastante "sospechoso" que pone "admin" y al hacer clic nos coloca el usuario en el campo "Username:", por lo que sólo necesitaremos saber la contraseña.


Recordemos, que disponemos de un TOP 10 de las contraseñas mas utilizadas, vamos a probar con cada una de ellas. (No hace falta usar ningún script, ya que sólo son 10 contraseñas)


Una vez dentro, tenemos dos interesantes apartados, "Members db" que nos muestra un listado de los miembros (id, nombre y correo) y "Bids_db" que podemos visualizar las transacciones por el ID del usuario e importe.


Ahora deberemos de descubrir, quien ha sido el usuario que se niega a devolver el producto y/o a pagar.

Listado de los usuarios de DB


Listado de las últimas transacciones.


Con el ID 31 tenemos a "Revoked.Mayhem" y vemos en el listado de transacciones, que en la columna Seller sólo tenemos uno con el ID 31 y que el comprado tiene ID 11.

Con el ID del comprador, ya podemos ver en el listado de usuarios que nombre tiene y su correo electrónico.

Datos del comprador:

ID = 31
Nombre = nemisis
Email = jfelliot@mail.com

Sólo nos hace falta saber la contraseña, analizando la web, vemos que en la barra de dirección se encarga de imprimir las variables view.php?members&1=user&2=email. ¿Pero que ocurriría si cambio email por "pass"?


Efectivamente, nos imprimiría en la tabla las contraseñas "cifradas", ahora necesitamos descifrar el hash para obtener la contraseña.


He usado la web https://md5hashing.net/hash para descodificar la contraseña, la contraseña es "chicken".

ID = 31
Nombre = nemisis
Email = jfelliot@mail.com
Contraseña = chicken

Ahora necesitamos la credenciales de acceso para acceder a nuestra meta, que sería lograr entrar al sistema web de "Safe Transfer" y devolver el dinero.


Nos dirigimos al correo y vemos que existe un correo enviado desde "Safe Transfers", entramos en él y vemos el usuario y contraseña para poder acceder al sistema.

Usuario: nemisis
Password: i.am.awesome

Ahora si, ya podemos acceder a la cuenta y devolvernos el dinero.

Ya estamos dentro, identificados como "nemesis" y con £257,64 procedemos a devolver el dinero.


Pulsamos en "Transactions" y cumplimentamos los dos campos del formulario, recordemos que en el panel de Planet Bid vimos la cantidad "estafada" y en el principio del reto, nos indicaba el número de cuenta de nuestro amigo.


 Pulsamos en "Credit" y......

Vaya.... Nos han pillado! ¿Que ha podido pasar?

Por lo que nos dice el mensaje, ambas plataformas (Planet Bid y Safe Transfers) están comunicadas, por lo que han debido de registrar nuestra IP y no es la misma que la del usuario legítimo.

Entramos como "admin" (acordaros que la clave era "asdfg") y vemos que por razones de seguridad se guarda nuestra IP. Pulsamos en "view".

Hacemos clic en "Clear log" y borramos el registro de IPs.

Volvemos a realizar la transferencia y ahora....¡Si!




domingo, 17 de diciembre de 2017

Writeup - HackThis - Basic+

Basic - Level 4



Nos encontramos con el siguiente formulario donde nos pide unas credenciales de usuario y contraseña.

Arriba, nos dejan una pista "Look  at my awesome picture" y una fotografía.

b4.jpg


Hacemos clic y nos descargamos la foto a nuestro disco duro.


Examinamos los metadatos de la fotografía y nos encontramos con pistas bastante interesante.

Artist: james (ya sabemos su nombre, posiblemente sea su usuario).
User Comment: I like chocolate. (Le gusta el chocolate. ¿Podría ser esta la contraseña?


Introducimos "james" en el usuario y como contraseña usamos "chocolate". Misión completada!