-Vicio-

aclaro, esto paso en el 2009 aproximadamente, ya pasaron 4 años... ya tengo mas de 8 años de experiencia en seguridad informatica, y todavia se sigue aprendiendo, y esto fue una de las cosas mas "grosas" por asi decirlo que hice. eran alla cerca del 2009, cuando todos amigos y familiares, me contaban que habian unos pibitos del otro barrio, que eran re "hackers", gente que ya conocia de renombre, del grupito de amigos del hermano de pamela david aclaro que nunca lo conoci ni hable con el. muchos de ellos que se hacian los grosos por phishing, que no es mas que robar tarjetas de credito engañando a la gente.. hacian chips "bomba" para claro, que eran chips con 500 pesos de credito a 100, que eran cargados con tarjeta de credito robadas.. bajaban troyanos de internet (la epoca del subseven), se armaban una botnetsita con gente que troyanizaban por msn, y cobraban por hacer ataques de denegacion de servicio, eso no es hacking etico, es un delito y es asqueroso, por que es todo engaño a base de cero conocimientos. El arte del hacking despues de varios años, lo defino mas como el arte de intrusion en una red de servidores, y ver hasta que punto llegas, me refiero a tener acceso a toda la red, a solo una parte, y en los mejores de los casos hasta los administradores que manejan esos servidores. Victim: Claro Objective: intrusion obviamente, y en lo posible, poder cargarse credito 4 free y ya nos sentiremos mas que realizados!. antes que nada las imagenes son de modo ilustrativas, no pensaba hacer este post, y generalmente no dejo evidencia alguna de lo que hago Los conocimientos que use, tecnicas, etc. fueron: - Arbitrary Upload File - Local Privilege Escalation - SQL Injection - numeros negativos - un poco de PHP. - Nociones en programacion basica para leer un codigo en Java. Accediendo a los Servidores. Tecnica 1: Arbitrary File Upload. Como veran en la foto, la website de los blogs de claro consiste en poder subir fotos o videos, enviandolo como mensaje multimedia a un numero, obviamente sacandote credito. Despues de mandar el sms de confirmacion y demas, empece primero intentando subir una Foto. Como funciona el script de la web para subir fotos? es sencillo, el script funciona algo asi y puede ser de muchas formas: 1. Verificar el titulo, descripcion etc. (ya sea longitud caracteres especiales etc) 2. Verificar sobre el archivo, que sea realmente una foto. 3. Mover el archivo de un directorio temporal al directorio real o una base de datos 4. insertar los datos en una base de datos (el id, la descripcion quien la subio y a donde esta la foto para despues mostrarla) en el paso 2 y 3 es donde fallan la mayoria de las webs. esta verificacion se puede hacer de 3 formas. - Verificar la extension del nombre (la mas utilizada) - Verificar el header del HTTP request (la segunda mas utilizada) - Verificar el contenido del archivo (muy poco utilizada, por ej los gif empiezan con Gif89 en su contenido) cuando utilizan la segunda, es cuando se puede subir un archivo de cualquier extension y se puede comprometer el servidor. como funciona esto? para entender hay que saber un poco del protocolo HTTP, les explico rapidamente, cada vez que se recibe una foto de un servidor o se envia. cuando tu cliente web quiere una foto le dice al servidor: GET /directorio/foto.gif; Host: taringa.net y el servidor te contesta OK 201, Content-Type: Jpeg. ahi ya le dice al navegador, como tiene que tratar el archivo que te esta enviando, en este caso como una imagen con encoding jpeg. cuando uno envia una foto por formulario, le dice al servidor el nombre en tu computadora (foto en la costa.jpg, y le envia tambien el Content-Type jpeg). aca es donde esta el error, utilizando un simple plugin para firefox como el Tamper Data. se puede modificar estos headers. entonces, como ven envian 2 partes, el nombre del archivo y el content-type, puede ser que el servidor, te acepte cualquier nombre de archivo, siempre y cuando el content-type sea jpeg, grave error. esta tecnica se llama Arbitrary File Upload. probamos subir una foto, y no funciona. fuck, 4 pesos off de mi credito probamos subir un video, verifica extensiones FLV, y no me acuerdo cuales mas, y OH success! ahora la pregunta es, que se sube? facil una Shell, el servidor de claro usaba apache con el en modulo java, tomcat. por ende teniamos que subir una shell en JSP. una vez adentro, habia que conseguirse una reverse shell para tirar comandos mas comodos, y ver de elevar privilegios para hacer mas comoda la cosa. Tecnica 2: Local Privilege Escalation. los servidores en LINUX, son mas dificiles de explotar por el echo de que hay que elevar privilegios, el servidor web corre sobre un usuario limitado. entonces tiramos un uname -a y nos devuelve: Linux DTO-BLOG 2.6.9-34.ELSMP ok, buscamos un par de exploits para este kernel, un kernel bastante viejo para estar en el 2009, los de claro definitivamente no actualizaban sus servidores. buscamos exploits para este kernel... probamos con el r00t y el h0lyshit, y boala!! uid=0 root .. vamos perfecto hasta ahora. ahora chusmeamos la lan, tiramos un netstat y vemos mas de 200 ips en lan!! hacemos un escaneo de ips por el puerto 80 para ver si hay algo interno como para empezar a "chusmear" y ver que hay. empezamos a probar, vemos que hay una IP Lan, que logramos acceder a traves de cualquier herramienta para hacer reverse tunneling, ya sea por scripts jsp/php, herramientas mas avanzadas como metasploit, o plink con SSH . si nosotros estamos del lugar del INTERNET, y unicamente LAN 1 esta con un puerto abierto al internet (en este caso el 80 que son las webs), no podemos acceder a las ips que estan en LAN 2 y 3, directamente desde internet, para eso se usa el reverse tunneling. basicamente como su nombre lo indica es hacer un "puente", entre ambas pcs, asi logramos que la pc a la que queremos llegar tenga internet. Tecnica 3: SQL Injection despues de verificar todas las IPs internas, me llamo la atencion una que tenia una pantalla de login: alguien que tiene conocimientos de seguridad informatica lo primero que prueba en una pantalla de login es asd'"asd, lo que puede provocar o no, un error en el sistema. por que? generalmente la consulta a la base de datos es esta en un login: select * from user where username='$variable' and password='$variable2' la comilla puede ser simple o doble, el punto es que si las variables no filtran las comillas provocan un error, y este servidor al ser un servidor interno no tenia mucha seguridad atras... viendo el error sql, que generalmente es "incorrect syntax near " si tiene la opcion de mostrar los errores. probamos la clasica 1' or 1='1, o bien 1' or 1=1-- y adentro! que vi adentro? una larguisima lista, llena de nombres, que adentro tenian un numero de telefono de 4 digitos, y 3 campos numericos. algo asi como: nombre de aplicacion: Costo de mensaje: Comision: Numero: les doy un ejemplo, aplicacion futbol, numero 8899, costo 5 pesos, comision 3 pesos. en sintesis, era el sistema de claro, en el que determinaba cuanta guita iba para la empresa que tenia esa aplicacion, y cuanta comision iba para ellos aca un poco de ingenio criollo, no es una tecnica de hacking pero si algo muy sencillo de matematicas. agarre una aplicacion prueba, con el numero 1234. tenia un costo de 5 pesos, le puse un costo de -25 pesos. (negativo) entonces: saldo - (- 25). creo que todos fuimos al colegio y nos enseñaron que menos por menos es mas.. y el resultado cuando mande el SMS y luego consultar el saldo fue tal y como lo esperaba.. habia conseguido mi objetivo, credito gratis luego de mandar 4 sms, y tener un saldo de 100 pesos, al otro dia me lo quitaron, no abuse del sistema, ni tampoco me aproveche, porque la verdad todos saben que los geeks no tenemos tanta vida social por lo que no usamos mucho el telefono al otro dia mandaba prueba al 1234 y no recibia ningun mensaje, pero en la pagina seguia estando, y no queria modificar el mensajito de tinelli para que todos tengan saldo gratis, queria usar un numero oculto o algo para no ir en cana y divertirme un rato mas en el sentido del desafio. aca comienza mi reto numero 2. la misma pagina de los blogs, de alguna forma te tenia que cobrar cuando subias una foto, despues de investigar el script, llamaban a una aplicacion en java, osea un archivo jar, despues de bajarlo y descompilarlo (el jar es un archivo winzip, y adentro las clases se pueden decompilar), utilizaba el protocolo SOAP, para conectarse al servidor principal, que tenia unicamente un puerto HTTP abierto y le pasabas por SOAP un id de aplicacion y el numero de telefono. (nunca montos positivos o negativos para la mala suerte mia) de todas formas, probe con el id de aplicacion de la aplicacion prueba, y entro como piña tambien el panel ese de administracion tenia un modulo para ver los logs, no tienen IDEA la cantidad de mensajes que entran por SEGUNDO y la GUITA q levantan . en fin, ahora faltaba reportarlo, intente llamar a un par de personas de claro y no me dieron mucha bola, asi que cambie la pagina principal por unas horas, para que lo arreglaran, dejando un mail que cree para que si querian asesoramiento les de una mano hay una pagina zone-h, que guarda mirrors de tus "hackeos" por asi decirlo. es la forma de que vean que es veridico lo que digo http://zone-h.org/mirror/id/8869772 nunca se contactaron de claro, y a los meses cerraron el servicio de blogs. no es la unica web a la que tuve acceso, a la web de la muni y gobierno de mi ciudad, a la web de la universidad a la que iba, la mayor problematica en la argentina es la falta de capacitación en las universidades en lo que es seguridad informatica.. espero que hayan aprendido algo, y se interesen en el tema, argentina tiene un muy buen nivel de hackers a nivel mundial. y no me pueteen por los acentos, mi notebook tiene teclado yanki . the knowledge is power.