MurdeR

Security Blog - By Lisandro Lezaeta

Tagboard

MAZTOR: jajaja El proximo XD..Murdersito :P

MurdeR: Ala cereal... que cosas dices xD

cereal: el proximo en escribir es puto ^^

cereal: 0 3 0 3 4 5 6 paraparapaaaaaaaaaaaaaa el telefono suena y no me acuerdo mass paraparapapaaaaaaaaaaaaaaaaaaaaaaaaaaa(8)

pato: murder respondeme el MP che ¿?

MAZTOR: XD ¬¬

cereal: Q` tiene sancor de beebeeeeeeeeee(8)

MAZTOR: Murder te mande un MP sobre algo q encontre...Espero la respuesta

unknown: :D buen blog

l0ve: >:-)

Para dejar un mensaje debes iniciar Iniciar sesión o registrarte.

Historico

Video ¿Semanal?



Interesante perspectiva...

Sobre este blog:

Autor: Lisandro Lezaeta, de la ciudad de Rosario (Argentina).

Edad: 24 años.

Profesión: Programador de oficio y "apasionado" en seguridad informática.

Una frase: Creo en la formación autodidacta y no soporto que me quieran enseñar las pocas cosas que ya sé.

Otros datos: Administrador de Diosdelared.com y programador de todo el sistema nuevo.

Sacate una foto!


Sacate una foto!

Blogroll: 59

[x] Agregar a murder

maztor maztor
sab0take sab0take
diosdelared diosdelared
l0ve l0ve
1410 1410
rash rash
yojota yojota
animacco animacco
ponymagic ponymagic
lan lan
geoxx geoxx

... Ver todos

Perfil de murder

[x]Nick: murder
Rango: Master
País: ar
Visitas: 85770
Votos: 188
En Blogrolls: 153
Status: PM

Patrocinadores:



Anuncia aquí

[x] MurdeR`s Mail Extractor 1.0

Publicado el 31/01/2010 12:01:00 en Hacking Tools. Total de votos: 8  Votar


  _   _   _   _   _   _   _     _   _   _   _  
 / \ / \ / \ / \ / \ / \ / \   / \ / \ / \ / \ 
( M | u | r | d | e | R | s ) ( M | a | i | l )
 \_/ \_/ \_/ \_/ \_/ \_/ \_/   \_/ \_/ \_/ \_/ 
  _   _   _   _   _   _   _   _   _  
 / \ / \ / \ / \ / \ / \ / \ / \ / \ 
( E | x | t | r | a | c | t | o | r )
 \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/


Bueno gente, hoy recuperé (había perdido) el "MurdeR's Mail Extractor" con depuración de emails. Está bastante bueno y sigue funcionando bien al menos con google (lo demás no probé). Lo publico por si a alguien le resulta útil.

Funciona con google.com, bing.com (not tested), ya.com, mamma.com, ask.com y alltheweb.
Tiene opciones para depurar y filtrar emails por dominios, les paso el code en mediafire pq es mucho para postearlo en el blog y les dejo algunos screens:

DOWNLOAD MEGAUPLOAD
DOWNLOAD MEDIAFIRE





COMENZANDO! Esto puede tardar unos minutos...


Buscando amigo + web en ya.com

Cadena de busqueda:
/search?q=amigo+%40hotmail.com+web&start=0&origen=box&rbpref=advanced&destino=web&as_dt=i&as_ft=i&as_occt=any&as_qdr=all&as_sitesearch=.MX&gl=%3F%3F&hl=es
Total mails: 4

Cadena de busqueda:
/search?q=amigo+%40hotmail.com+web&start=10&origen=box&rbpref=advanced&destino=web&as_dt=i&as_ft=i&as_occt=any&as_qdr=all&as_sitesearch=.MX&gl=%3F%3F&hl=es
Total mails: 9

Cadena de busqueda:
/search?q=amigo+%40hotmail.com+web&start=20&origen=box&rbpref=advanced&destino=web&as_dt=i&as_ft=i&as_occt=any&as_qdr=all&as_sitesearch=.MX&gl=%3F%3F&hl=es
Total mails: 16

Cadena de busqueda:
/search?q=amigo+%40hotmail.com+web&start=30&origen=box&rbpref=advanced&destino=web&as_dt=i&as_ft=i&as_occt=any&as_qdr=all&as_sitesearch=.MX&gl=%3F%3F&hl=es
Total mails: 21
...
...
Total de mails obtenidos en google.com: 1992 (NO ESTA MAL!)
Lista agregada a lista_mails.txt
Continua la busqueda...


Comentarios: 16 | Leer comentarios

[x] Curiosidad de ICMP

Publicado el 28/01/2010 12:01:00 en Redes. Total de votos: 0  Votar

Aburrido esperando a que cargue una peli me puse a tontear en la consola, de lo que resultó lo siguiente:


murder@murder-laptop:~$ ping 133.7.0.0
PING 133.7.0.0 (133.7.0.0) 56(84) bytes of data.
From 150.99.198.134 icmp_seq=1 Time to live exceeded
^C
--- 133.7.0.0 ping statistics ---
2 packets transmitted, 0 received, +1 errors, 100% packet loss, time 1001ms


Lo que me hace preguntarme cual será ese supuesto "Time to live" maximo que se ha superado? Podría ir al protocolo pero acerté al cuarto intento:

murder@murder-laptop:~$ ping 133.7.0.0 -t 255
PING 133.7.0.0 (133.7.0.0) 56(84) bytes of data.
From 150.99.198.133 icmp_seq=1 Time to live exceeded
From 150.99.198.133 icmp_seq=2 Time to live exceeded
From 150.99.198.133 icmp_seq=3 Time to live exceeded
From 150.99.198.133 icmp_seq=4 Time to live exceeded
From 150.99.198.133 icmp_seq=5 Time to live exceeded
From 150.99.198.133 icmp_seq=6 Time to live exceeded
From 150.99.198.133 icmp_seq=7 Time to live exceeded
From 150.99.198.133 icmp_seq=8 Time to live exceeded
From 150.99.198.133 icmp_seq=9 Time to live exceeded
From 150.99.198.133 icmp_seq=10 Time to live exceeded
From 150.99.198.133 icmp_seq=11 Time to live exceeded
From 150.99.198.133 icmp_seq=12 Time to live exceeded
From 150.99.198.133 icmp_seq=13 Time to live exceeded
From 150.99.198.133 icmp_seq=14 Time to live exceeded
From 150.99.198.133 icmp_seq=15 Time to live exceeded
From 150.99.198.133 icmp_seq=16 Time to live exceeded
From 150.99.198.133 icmp_seq=17 Time to live exceeded
^C
--- 133.7.0.0 ping statistics ---
17 packets transmitted, 0 received, +17 errors, 100% packet loss, time 16004ms


Si son curiosos y se ponen a jugar con esa ip van a estar como media hora traceando intentando entender que coño pasa... a ver quien me lo dice? xD

Prometo alguna actualización seria pronto...

PD: Admin, si no va indexado me disculpo T_T


Comentarios: 11 | Leer comentarios

Sobre los Bugs encontrados en DDLR.

Publicado el 15/01/2010 12:01:00 en Diosdelared.

Hola a todos, después de bastante tiempo sin actualizar Diosdelared, me he visto forzado a hacerlo en dos ocaciones (ayer y hoy) para solucionar algunos errores que surgieron de la actualización del foro y el blog.
Primero que nada quiero pedir a la gente ¡que me avisen! si encuentran un bug, por favor no lo publiquen directamente porque las consecuencias pueden no ser pocas. Es que algunos bugs, aunque considerados de dificil explotación o de poco daño, siguen siendo bugs y sobre todo en una comunidad en la que hay muchos usuarios y muchos sitios donde atacar. Por ejemplo, un XSS consistente (osea inyectado en la db, permanentemente) posibilita la creación de Worms que podrían llenar de basura toda la base de datos y pasar de un blog a otro. Además tengan en cuenta que yo no vivo de esto y que tengo obligaciones que cumplir, en consecuencia actualizo cuando puedo y no cuando quiero.

BUG N1
Algunos quizas recuerden que hace algo así como un mes anuncié un update menor en el sistema de blogs, que agregaba el "pop-up" al hacer click en una imagen para poder verla en su tamaño natural. En este update, que hice a los apurones en los ratos libres, cometí el fallo de no respetar mi propio Framework. Así utilicé comillas simples en lugar de las dobles, cosa que convirtió en vulnerable el tag IMG.
Para que se hagan una idea concreta el código vulnerable es algo similar a esto:

$noticia=str_replace("[ img]$1[ /img]","<img href='$1'>");


Y el framework de seguridad lo que haces es remplazar todas las comillas simples por un caracter especial y cuando sale de la db lo devuelve a su estado natural. El problema es que si escribian [ img](caracter especial)[ /img] ese mismo framework convertiría en ' al caracter, cerrando el href y dejando lugar a escribir dentro del tag img lo que le diera la gana a un supuesto atacante.
El fix es muy sencillo, simplemente (respetando el framework) utilizo comillas dobles para abrir y cerrar todos los tags html que necesiten parametros. Con lo que al poder pasar la comilla a &quote; no hay ningún riesgo de vulnerabilidad.

$noticia=str_replace("[ img]$1[ /img]","<img href=\"$1\">");


Aquí pueden ver el reporte "oficial" por el descubridor del Bug.


BUG N2

Este bug es el que me resultó más curioso y es que subsistió oculto en DDLR desde el período de prueba o beta.. El fallo en cuestión se encontraba en el editor de plantilla css, el cual había tenido durante la beta l...

Continúa aquí...

Comentarios: 4 | Leer comentarios

[x] Local Session Hijacking + Tool

Publicado el 06/12/2009 12:12:00 en Hack Avanzado. Total de votos: 10  Votar

     ___       ________    ___    ___    
    /::/      /:::::::/   /::/   /::/    
   /::/      /::/ession  /::/___/::/     
  /::/      /::::::::/  /:::::::::/      
 /::/ocal   _____/::/  /::/   /::/       
/:::::::/  /:::::::/  /::/   /::/ijacking
|~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~|
|~ Local Session Hijacking Tool ~|
|~       Coded by MurdeR        ~|
|~      www.diosdelared.com     ~|
|~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~|
Secuestro de sesiones local



1- Introducción:

Voy a explicar brevemente en qué consiste el Secuestro de sesiones locales y posteriormente voy a presentar una tool que desarrollé para "brutear" todas las sessions en determinado panel.
Cabe mencionar que esta "pseudo-técnica", en realidad no es más que aprovechar una configuración insegura del servidor remoto para poder atacar a determinada web que se aloje en el mismo. En realidad es un error bastante común de parte de los administradores, por lo cual considero que el LSHijacking es una AS bajo la manga que se debería tener en cuenta.

2- Localización y formato:

Todas las sesiones son almacenadas localmente en el servidor. Por lo general se suelen almacenar en /tmp, pero de no ser así en el php.ini (que suele tener lectura) podriamos encontrar el path. En algunos casos son almacenadas en directorios personalizados para cada usuario, en estos casos es poco probable que se puede efectuar este tipo de ataques.

El formato con el que se crean los archivos es "sess_"+"hash_identificatorio". Siendo el hash de 32 caracteres alfanumericos.
En su intenrior, en caso de tener permisos de lectura, nos encontraremos con todos los datos que sean almacenados para esa sessión. Ya sea usuario, contraseña, ultima visita, etc.
Un ejemplo más claro es el siguiente:

[root@diosdela /tmp] # cat sess_7599492eccf2065508a89060f72128f4 
antiddos|s:1:"1";first_time|s:2:"ON";datex|s:19:"2009-12-06 21:01:50";


Esa session pertenece a un visitante REAL de diosdelarded, vemos que no está registrado pq no aparece la variable usuario ni contraseña, pero en caso de registrarse, seguramente con ese hash podriamos tomar su sesión.

3- Ejemplo de un robo de sesión:

Imaginemos un supuesto en el que un atacante determinado logra acceso al servidor de Diosdelared.com. Supongamos que dicho atacante consiguió subir una PHP-Shell mediante un error de SQL Injection en otra web distinta a su objetivo. Supongamos también que los permisos de lectura de todos los directorios de Diosdelared están correctamente seteados, que el servidor no es rooteable, supongamos que el atacante no sabe que hacer.

Ese es el escenario ideal para intentar robar la session y así poder acceder al panel de adminis...

Continúa aquí...

Comentarios: 17 | Leer comentarios

[x] Firewallking by MurdeR

Publicado el 03/12/2009 12:12:00 en Hacking General. Total de votos: 20  Votar

~=### FiReWalking by MurdeR^^ - Disidents Journal ###=~
Año 2002



-+-| DisidentS Hack Journal # |-+-



 _______________________________________________________________
| -+- Titulo_____: FireWalking                                  |
| -+- Autor______: MurdeR^^                                     |
| -+- E-Mail_____: x3m_murder@hotmail.com                       |
| -+- Team_______: DisidentS españa                             |
|_______________________________________________________________|
 




"la potencia sin control..no sirve de nada"
>>------------------------------------------------------------------------<<
 
 
 
----------------------------------------------------------------------------
----------------------------------------------------------------------------


.==========================================================================.
|===========~ INDICE ~======================================================
|===========================================================================
|=~ 1- Presentacion                                                        |
|=~ 2- TCP: Que es?                                                        |
|=~ 3- SYN-ACK                                                             |
|=~ 4- Configurando un Firewall                                            |
|=~ 5- Clases de FW                                                        |
|=~ 6- FireWalking                                                         |
|=~ 7- Despedida                                                           |
|=~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~=.
======================================================~ INDICE ~============
============================================================================



.==========================================================================.
|===========~ 1- Presentación. ~|===========================================
|===========================================================================


En este texto vamos a analizar brevemente el protocolo TCP, vamos a analizar
la configuración y el comportamiento de un FireWall, y por ultimo vamos a
realizar la tecnica FireWallking descubierta por Mike D. Schiffman y David
E. Goldsmit. Esta tecnica consiste en testear mediante paquetes TCP al fire-
wall para comprobar su efectividad, tracear los hosts de la network y por
ultimo localizar los filtros para poder realizar un esquema de la network
completa.
Es mi primer texto para Disidents y espero que les guste, probablemente
contenga errores en algunas explicaciones, agradecería cualquier comentario
productivo. Disculpad los errores ortográficos...

----------------------------------------------------------------------...


Continúa aquí...

Comentarios: 20 | Leer comentarios
Ver: Siguientes 5



Powered by Diosdelared.com CMS Blogs
© Diosdelared 2009