RT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09RT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16Хроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21RT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21RT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22RT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55RT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36RT @DarkReading: Meeet the 'ad hijacking' attack: http://tinyurl.com/44rfnhk - на 07/06/2011 в 17:39:03RT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34RT @lennyzeltser: TDL rootkit implements its own file system to store files on the hard drive: http://bit.ly/jNriDd by @ESETLLC - на 07/06/2011 в 03:34:08RT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12RT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33RT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02RT @Reuters: Sony hacked again http://t.co/RI14jsL - на 20/05/2011 в 17:53:37RT @lordparody: My new security slogan. "Better Safe Than Sony" - на 20/05/2011 в 17:51:57
February 11th, 2011 от singu
Демонстрационно видео на MITM атака срещу Windows XP SP2 от g0tmi1k, като се използва Линукс дистрибуцията backtrack и metasploit. Модула browser_AutoPWN инжектира iframe в http трафика, който от своя страна стартира meterpreter. След компрометирането на XP-то, то се използва за по-нататъшна атака на мрежата.
Tweet
|
|
 Изпрати по email
|
|
January 29th, 2011 от singu
От време на време ми се налага да монтирам дъмпнати с dd дискове – основно при анализ на компрометирани системи, когато не е желателно системата да бъде стартирана, за да не може да бъде увредено доказателство.
Под Линукс проблема е тривиален – намираме си offset-а на дяла1, който искаме да монтираме например с командата:
1: # fdisk -lu samsung.dd
2: You must set cylinders.
3: You can do this from the extra functions menu.
4:
5: Disk samsung.dd: 0 MB, 0 bytes
6: 255 heads, 63 sectors/track, 0 cylinders, total 0 sectors
7: Units = sectors of 1 * 512 = 512 bytes
8: Disk identifier: 0x2dae2dad
9:
10: Device Boot Start End Blocks Id System
11: samsung.dd1 * 63 81915434 40957686 7 HPFS/NTFS
12: Partition 1 has different physical/logical endings:
13: phys=(1023, 254, 63) logical=(5098, 254, 63)
14: samsung.dd2 81915435 390700799 154392682+ f W95 Ext'd (LBA)
15: Partition 2 has different physical/logical beginnings (non-Linux?):
16: phys=(1023, 254, 63) logical=(5099, 0, 1)
17: Partition 2 has different physical/logical endings:
18: phys=(1023, 254, 63) logical=(24319, 254, 63)
19: samsung.dd5 81915498 390700799 154392651 7 HPFS/NTFS
Ако в конкретният случай искаме да монтираме първият дял, то офсетът ни е 63*512=32256 байта. Оттук нататък с командата:
sudo mount -o loop,offset=32256 -t auto /mnt/ samsung.dd
монтираме дяла в /mnt и voila.
Под Windows нещата изглеждат малко по-гърбаво, основно поради нуждата от допълнителен софтуер. Тук имате следните варианти:
|
|
|
Изпрати по email
|
|
February 24th, 2010 от singu
Разбира се в този случай става въпрос за Microsoft Computer Online Forensic Evidence Extractor (COFEE) инструмента, който бе разработен по молба на няколко от трибуквените агенции в САЩ. COFEE се предоставя безплатно на полицейските служби в цял свят ( чрез Интерпол ) и служи за извличане на информация от компютрите, анализирани като веществени доказателства ( computer forensics ). Според публикуваните прес-релийзи използването му изисква минимални компютърни познания, което е добра новина за повечето полицейски експерти – с негова помощ може да се прехване още при първоначалният оглед информация, която би се загубила при евентуално изключване на компютъра и пренасянето му за изследване в лаборатория ( нали сте гледали CSI ? E, няма нищо общо ). В общи линии, единственото, което се иска е, да се включи USB флаш памет към компютъра и оттам нататък автоматично се стартират предварително настроени тестове и скриптове за колекциониране на данни.
Разработен през 2008-ма, с помоща на бивш Хонг-Конгски полицай, дълго време въпросния инструмент или по-скоро набор инструменти имаше широка слава в хакерските общества, основно поради факта, че беше недостъпен за широката публика и съответно не беше преминал през анализа, на който обикновенно се подлагат инструментите за информационна сигурност или анализ на доказателства.
В последствие през ноември 2009-та най-накрая COFEE изтече в публичното пространство и както обикновенно – резултатите са разочароващи – повечето прилежащи инструменти са инсталирани в Windows още от времето на Win 2000. В последствие Microsoft леко промениха начина, по който описват COFEE – вече е инструмент за ускоряване работата на експертите, който позволява анализа да се извърши за 20 минути, а не за обичайните 3-4 часа. Всъщност представлява обвивка, стартираща стандартните at, autorunsc, getmac, handle, hostname, ipconfig,
msinfo32, nbstat, net, netdom, netstat, openfiles, psfile, pslist,
psloggedon, psservice, pstat, psuptime, quser, route, sc, sclist,
showgrps, systeminfo, tasklist, whoami.
В следствие на теча се появи инструмента DECAF или Detect and Eliminate Computer Assisted Forensics, който цели именно блокиране на работата на COFEE. За отбелязване е, че този инструмент само възпрепятства точно изпълнението на MS продукта ( триене на лога на COFEE, размонтиране на USB устройствата и генериране на фалшиви MAC адреси ), без да унищожава или да влияе по някакъв начин на същинските данни – те са безпрепятствено достъпни, ако използвате друг похват за анализ. В последствие групата, разработила DECAF се опита да го използва за повече или по-малко политически цели. DECAF беше деактивиран отдалечено, като в последствие групата SОLDIERX успя да разработи пач за реактивация.
Както COFEE, така и DECAF са достъпни от thepiratebay.org, като специално за първият ще ви трябва компютър с Windows XP за първоначална инсталация и стандартна флаш памет, с размер поне 1 Gb.
Алтернативи на COFEE, и то доста мощни могат да са специализираната за forensic дистрибуция Helix или Windows Forensic Toolchest. Всъщност дори и любимият ми Backtrack има вграден инструментариум за поне 90% от функционалността на COFEE. Разбира се ,всички тези инструменти изискват рестарт на системата, но в общия случай, ако системата има FireWire порт, то той може да се използва за пълен дъмп на паметта ( това не е бъг, фийчър е ).
Tweet
|
|
|
Изпрати по email
|
|
October 20th, 2009 от singu
И то според създателя на видеото – без използване на zero-day или пачнати уязвимости, без социално инженерство и подслушване на пароли.
Видеото е ускорено доста, поне на мен ми се наложи да го спирам на един-два пъти, за да разбера какво става. Ето и текста в началото:
I had to cut this video to a short one, so please use the pause button if something is too quick 
The mission is to create a new Windows domain administrator – in case we do not have any user in the domain or any local user at the workstation. Prerequisites:
1. Physical access to one of the domain member workstations for ~20 minutes.
2. Every local administrator user on the workstations have the same password. Strong or weak, it does not matter. NO social engineering, NO password stealer, NO password cracker, NO malicious code, NO exploiting zero-day or already patched vulnerabilities.
Tools used for the attack:
1. ophcrack (to get the local admin LM&NTLM hashes)
2. Offline NT Password & Registry Editor, Bootdisk / CD from Petter Nordahl-Hagen (to login as local admin)
3. pass-the-hash toolkit from Hernan Ochoa – Core Security (to authenticate with the hashes, so we do not have to crack them)
4. psexec from Mark Russinovich (to run remote commands)
Demo architecture: We have at least 3 computers: the workstation (WKS) for which we have physical access, the domain controller, and a workstation (ADMIN-WKS) with a logged in domain administrator (DomainAdmin).
Steps:
1. Boot the workstation with ophcrack. Stop the cracking process, and save the hashes. View the hashes, and write the local administrator hashes down with pencil&paper (or copy it on a USB stick, etc.).
2. Boot in with the Offline NT Password & Registry Editor. Reset the local administrator password to blank, and reboot. 3. Login with administrator to the workstation with blank password.
4. Use iam.exe or iam-alt.exe to change the LM&NTLM hashes in the memory.
5. Copy the pass-the-hash toolkit to the admin-wks via an administrator share.
6. Run the whosthere.exe or whosthere-alt.exe to get the DomainAdmin LM&NTLM hashes.
7. Create a local user called DomainAdmin, and login into that profile.
8. Use iam.exe or iam-alt.exe with the DomainAdmin hashes to change the LM & NTLM hashes in the memory.
9. Right now we have the same privileges as the DomainAdmin, so we can create a domain admin for ourself. Or anything else we want in the domain (reset anyone elses password, read someone elses e-mail, etc.).
Known limitations:
1. Some Windows versions / service packs are not compatible with the pass-the-hash toolkit, feel free to modify the source or debug the libraries to get the correct memory addresses.
2. Some AV engines detect pass-the-hash toolkit as malicious code, use AV evasion techniques against them.
What is cool?
1. It does not matter how complex the local admin and domain admin passwords are.
2. It works even if the domain admins are forced to use smart cards for interactive login.
3. We have not used any of the attacks mentioned above, so it works on fully patched networks with security paranoid admins.
Powered by Zoundry Raven
Tweet
|
|
|
Изпрати по email
|
|
September 15th, 2009 от singu
Интересно приложение се е появило за Android1 – с него можете да “тествате” дали определен сървър е уязвим към SMB дупката, за която дупка споменах преди няколко дни. При “теста”, ако машината е уязвима, ще забие на BSoD, което си е прекрасно решение за DDoS атака в джоба ви. Повече информация и QR code – на сайта на приложението ( което също така вече има спонсорирана от реклами версия ).
Powered by Zoundry Raven
_________ September 9th, 2009 от singu
Новото отроче на Редмънт е уязвимо към атака, която позволява отдалечено да се причини BSOD. Атаката е открита от Laurent Gaffi и се причинява от погрешно формирана SMB заявка ( повече за атаката – тук ). Засегнат е само Windows 7, версии Vista, 2003, XP и т.н. не са уязвими, защото за версия 7, Майкрософт напълно са пренаписали голяма част от мрежовата субсистема.
На няколко места се споменава Teardrop, но това е напълно различна атака – Teardrop използва погрешно формирани TCP пакети и освен Windows 3.11, 95 и NT мори и някои Linux ядра.
Powered by Zoundry Raven
Tweet
|
|
|
Изпрати по email
|
|
Материалите, публикувани на "Често Задавани Въпроси" ползват условията на Криейтив Комънс 2.5 лиценз.