Hack on Karpoke - Just Another Blog

CVE 2012-2122, saltándose la autenticación para acceder a MySQL y MariaDB

Tue, 12 Jun 2012 14:37:00 +0100

Un fallo descubierto en MariaDB, y que también afecta a MySQL, permite saltarse la autenticación para acceder a la base de datos utilizando cualquier usuario válido, incluido el root, sin importar la contraseña. Cada vez que un usuario se conecta se genera un token SHA aleatorio y se compara con el valor esperado, pero bajo ciertas condiciones el resultado de esta comparación se considera válido aunque realmente no lo sea. Dado que el protocolo utiliza cadenas aleatorias, hay una probabilidad de 1/256 de que esto ocurra.

Saltándonos el portal cautivo de una biblioteca

Tue, 15 May 2012 14:06:00 +0100

El portal cautivo es el sistema que utilizan algunos establecimientos como bibliotecas u hoteles en el que la conexión inalámbrica está abierta (sin cifrar) pero para conectarse a Internet es necesario aceptar las condiciones de uso, o introducir una contraseña, en la página de pasarela que aparece cuando intentamos navegar.

Este no es un artículo exhaustivo que muestre como saltarse cualquier portal cautivo sino más bien aquél que permite el paso de tráfico TCP por el puerto 53 (DNS). Lo que veremos aquí NO es un túnel DNS, que permite encapsular el tráfico TCP en paquetes de DNS.

La contraseña del presidente Obama

Thu, 01 Dec 2011 22:28:00 +0100

En un tweet de @AnonNewsSource han publicado el usuario y el hash de la contraseña de Obama:

Obama WEB http://whitehouse.gov barack.obama@whitehouse.gov / PASS: 6289c5975815012768aefbf9a8d2fd3e / LOGIN: bobama PHONE +1 202-456-1111

Podemos utilizar el script findmyhash.py para ver si encuentra la contraseña asociada a ese hash:

$ python findmyhash.py md5 -h "6289c5975815012768aefbf9a8d2fd3e" -g

Cracking hash: 6289c5975815012768aefbf9a8d2fd3e

Analyzing with joomlaaa (http://joomlaaa.com)...
... hash not found in joomlaaa

Analyzing with md5-lookup (http://md5-lookup.com)...
... hash not found in md5-lookup

Analyzing with md5.com.cn (http://md5.com.cn)...

__*** HASH CRACKED!! ***__
The original string is: 80412999

The following hashes were cracked:
----------------------------------

6289c5975815012768aefbf9a8d2fd3e -> 80412999

Via segu-info.com.ar

Obtención remota de ficheros en Android < 2.3.4

Mon, 28 Nov 2011 14:54:00 +0100

Hoy se ha hecho pública la prueba de concepto de Thomas Cannon que permite obtener ficheros de los dispositivos con Android con versiones anteriores a la 2.3.4.

En la demostración se ha utilizado un HTC Desire (UK version) con Android 2.2. Yo lo he probado con un HTC Wildfire con Android 2.2.1 y también funciona.

La vulnerabilidad permite que un sitio malicioso obtenga cualquier fichero guardado en la tarjeta SD, e incluso algunos ficheros e información guardados en el teléfono. No se puede acceder a ficheros del sistema, ya que se ejecuta dentro de la sandbox.

Facebook y el RSS de las páginas

Mon, 10 Oct 2011 17:05:00 +0100

Si queremos seguir las actualizaciones de una página de Facebook, no tenemos más que copiar el ID de la página y sustituirlo en la siguiente URL, en este caso en formato Atom 1.0:

http://www.facebook.com/feeds/page.php?format=atom10&id=xxxxxxxxxxxx

O la siguiente, para usar el formato RSS 2.0:

http://www.facebook.com/feeds/page.php?format=rss20&id=xxxxxxxxxxxx

Por ejemplo, para añadir el RSS de la página de Amstrad ESP, http://www.facebook.com/pages/Amstrad-ESP/72227918057, no tenemos más que utilizar la siguiente URL:

[http://www.facebook.com/feeds/page.php?format=rss20&id=72227918057][]

[http://www.facebook.com/feeds/page.php?format=rss20&id=72227918057]:

http://www.facebook.com/feeds/page.php?format=rss20&id=72227918057
"Amstrad ESP. Facebook Page RSS"

Encuentra el hash

Fri, 30 Sep 2011 00:27:00 +0100

Existen herramientas que permiten romper un hash, aunque a veces puede ahorrar tiempo y recursos buscar si el hash ya ha sido encontrado. Ni siquiera hace falta una rainbow table.

findmyhash es un script escrito en Python que puede buscar diferentes tipos de hash en diferentes servicios de cracking online. Los algoritmos soportados son los siguientes:

MD4
MD5
SHA1
SHA256
RMD160
MYSQL
CISCO7
LM
NTLM

Un ejemplo sencillo. Si no encuentra el hash, también lo buscará en Google:

Twitter y el RSS de las cuentas de usuario

Fri, 30 Sep 2011 00:17:00 +0100

Desde hace un tiempo, parece que Twitter ha ido ocultando la posibilidad de seguir una cuenta a través de RSS. Han aparecido algunos servicios que intentan corregir este comportamiento, aunque realmente no son necesarios.

Para seguir a un usuario a través del RSS lo único que tenemos que hacer es eliminar el shebang de la URL, es decir, el #!. Por ejemplo, para seguir a DragonJAR, muy recomendable, deberíamos usar la URL: http://twitter.com/DragonJAR, en lugar de http://twitter.com/#!/DragonJAR.

Obtener la contraseña a partir de los asteriscos de un formulario web

Sun, 11 Sep 2011 17:48:00 +0100

Si nos encontramos un formulario web lleno de asteriscos, podemos obtener lo que hay realmente escrito pegando lo siguiente en la barra de direcciones:

javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j < f.length; ++j) { f = F[j]; for (i=0; i < f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + " "; } } if (s) alert("Passwords in forms on this page: " + s); else alert("There are no passwords in forms on this page.");})();

Denegación de servicio en Apache utilizando la cabecera Range

Wed, 31 Aug 2011 14:19:00 +0100

Una vulnerabilidad descubierta por kingcope permite que los servidores Apache vulnerables sean susceptibles de sufrir una denegación de servicio.

La vulnerabilidad se encuentra en el uso de la cabecera Range. Esta cabecera se utiliza para obtener sólo una parte de la página. Si se solicitan varias partes además de pedir que la respuesta se comprima, mediante la cabecera Accept-Encoding: gzip, se dispara el consumo de procesador y memoria.

Existe un script que permite comprobar si el servidor es vulnerable y, si es el caso, explotar dicha vulnerabilidad.

¿Un keylogger en Ubuntu?

Fri, 22 Jul 2011 04:35:00 +0100

El comando xinput permite configurar y probar dispositivos de entrada para las XWindow. Podemos obtener un listado de los dispositivos de entrada:

$ xinput list
⎡ Virtual core pointer id=2 [master pointer (3)]
⎜ ↳ Virtual core XTEST pointer id=4 [slave pointer (2)]
⎜ ↳ SynPS/2 Synaptics TouchPad id=15 [slave pointer (2)]
⎣ Virtual core keyboard id=3 [master keyboard (2)]
↳ Virtual core XTEST keyboard id=5 [slave keyboard (3)]
↳ Power Button id=6 [slave keyboard (3)]
↳ Video Bus id=7 [slave keyboard (3)]
↳ Power Button id=8 [slave keyboard (3)]
↳ Sleep Button id=9 [slave keyboard (3)]
↳ Laptop_Integrated_Webcam_2M id=10 [slave keyboard (3)]
↳ AT Translated Set 2 keyboard id=11 [slave keyboard (3)]
↳ Dell WMI hotkeys id=13 [slave keyboard (3)]

También podemos obtener más información de algún dispositivo en concreto, por ejemplo, del teclado, cuyo identificador, en mi caso, es el 11:

Recuperando los vídeos Flash borrados por el plugin de Adobe

Fri, 04 Mar 2011 18:58:00 +0100

La nueva versión del plugin de Adobe borra los archivos termporales de vídeo justo después de abrirlos para evitar que tengamos la tentación de copiar el vídeo simplemente copiando el archivo /tmp/FlashXXXX. hons, un usuario de commandlinefu.com ha publicado un comando que crea un enlace simbólico al controlador del archivo con el nombre del archivo borrado:

$ for h in $(find /proc/_/fd -ilname "/tmp/Flash_" 2>/dev/null); do
> ln -s "$h" $(readlink "$h" | cut -d' ' -f1);
> done

Abusando del código de estado HTTP

Tue, 22 Feb 2011 17:02:00 +0100

function logged_in(id, txt) {
 document.getElementById(id).innerHTML = txt;
}

En el artículo original, de [Mark Cardwell][], se muestra como podemos
saber si un visitante de nuestra página está conectado a diferentes
servicios, como GMail, Facebook, Twitter, etc, aprovechando las
diferencias de comportamiento que muestran estos servicios al acceder a
enlaces concretos si el usuario está conectado o no.


GMail
-----

Conectado a GMail? __**...**__

Para comprobar si el visitante está conectado a GMail se intenta cargar
una imagen de la siguiente manera:

El src de la imagen hace referencia a la imagen del perfil de Mark, si no hemos iniciado sesión en GMail, la dirección del src no devolverá una imagen, sino que redireccionará a una página HTML. Con los atributos onload y onerror podremos distinguir si la imagen ha cargado o no, por lo que podremos saber si el usuario ha iniciado sesión o no. Esto parece que funciona en Firefox, Chrome, Opera, Safari y varias versiones de Internet Explorer.

CSRF en el panel de administración del router Arcadyan de ya.com

Sat, 01 Jan 2011 18:46:00 +0100

El router es un Arcadyan, modelo Astoria AVR4518PW. Y parece que es vulnerable a ataques CSRF.

Si tienes este router y has iniciado sesión en el panel de administración, pulsando en el siguiente enlace se cerrará la sesión de usuario. Si has cambiado la IP por defecto, 192.168.2.1, no funcionará, pero lo puedes probar escribiendo en la barra de direcciones del navegador:

javascript:document.location.href='http://192.168.2.1/cgi-bin/logout.exe'

**INCLUSO si lo haces desde un navegador distinto al que tengas abierta la página de administración del router, o desde la consola!!!__ Por lo que supongo que el router, una vez autenticado el usuario desde una IP, autoriza cualquier petición que provenga desde esa IP.

Robando la identidad del vecino

Sat, 18 Dec 2010 21:22:00 +0100

Firesheep es un complemento para Firefox que permite robar la identidad de los usuarios de diferentes redes sociales (Dropbox, Facebook, Flickr, Google, Twitter, Windows Live, Wordpress…) que se encuentren conectados a la misma red que el ladrón. La mejor manera de evitarlo es cifrar el tráfico, por ejemplo utilizando HTTPS-everywhere, otro complemento para Firefox.

Poco después surgió Blacksheep, otro complemento más, que nos alerta si un usuario de la misma red está utilizando FireSheep.

CSRF en las búsquedas de Google

Mon, 13 Dec 2010 14:31:00 +0100

No se ha encontrado ningún resultado

Si ahora mismo tienes una sesión de Google iniciada, puedes ir al histórico de búsquedas de Google y verás que aparece una búsqueda que no has realizado… conscientemente.

El truco, un ataque CSRF comentado por Jeremiah Grossman, consiste en añadir en el código HTML de la página una imagen cuyo src sea la URL de la búsqueda que queramos que realice el que visite la página. Por ejemplo:

USB Dumping

Wed, 27 Oct 2010 19:44:00 +0100

El USB Dumping consiste en copiar el contenido de un USB introducido en un ordenador, sin que la víctima se entere.

En Ubuntu, podemos conseguir que se ejecute el script que llevará a cabo el robo de información, cuando se conecte un dispositivo USB. Para ello, deberemos crear alguna regla de udev.

`udev` y `sysfs`

udev se encarga de crear los nodos en /dev para los dispositivos presentes en el sistema. Para ello, se basa en la información prorcionada por sysfs y una serie de reglas proporcionadas por el usuario. sysfs devuelve información de los dispositivos conectados al sistema, y udev lo utiliza para crear los nodos /dev.

Señoras que se ponen un nombre falso en Facebook pero usan su dirección de correo personal

Sat, 23 Oct 2010 13:30:00 +0100

Facebook permite buscar usuarios por su dirección de correo. De hecho, es así como encuentra amigos en GMail o en el Messenger.

Si usamos GMail, podemos seguir usando nuestro correo personal pero evitando que nos puedan localizar usando éste.

Podemos añadir un sufijo a nuestro nick en la dirección de correo, precedido por el signo +, y los correos enviados a esa dirección nos seguirán llegando a nuestra cuenta. Por ejemplo, los correos enviados a spamme+please@gmail.com, seguirán llegando a la cuenta spamme@gmail.com.

De pantallas bloqueadas, capturas de pantalla y David Hasselhoff

Wed, 06 Oct 2010 18:36:00 +0100

El ataque David Hasselhof es una de las técnicas de guerrilla de oficina con la mejor relación coste/humillación ^[cita\ requerida]^, basta encontrarse una sesión de usuario abierta (y no protegida contra este “ataque”) y, ¡zas!, en toda la boca.

No sé si un aviso disuasorio como medida de prevención contra este tipo de ataque será efectivo, pero me ha hecho preguntarme cómo podríamos incluirlo en Gnome.

Capturas de pantalla

Curiosamente, lo primero que he encontrado sobre la ventana de desbloquear la pantalla es que no se puede realizar una captura de pantalla de la misma pulsando la tecla Impr Pant; pruébalo!

Bash DNS Cache Snooping

Sat, 25 Sep 2010 04:21:00 +0100

DNS Cache Snooping consiste en realizar una serie de peticiones de resolución de nombres de dominio a la caché de un servidor DNS, con la finalidad de conocer si los usuarios de ese servidor han visitado esos dominios. Hay que tener en cuenta que las entradas en la caché tienen un tiempo de caducidad, y si durante ese tiempo no ha habido una petición a un dominio, éste es eliminado.