La Comunidad DragonJAR » Vulnera

Video: Explotando WM Downloader

Epsilon — Fri, 29 Jan 2010 19:07:26 +0000

WM Downloader es un reproductor de Windows y un MP3 Stream Rippe/grabber (No graba directamente los sonidos desde el programa), el cual hace mas fácil descargar streaming de Windows y SHOUTcast Streams. Con este programa puedes descargar de manera muy sencilla todos tus podcast o videopodcast favoritos.

Sin embargo WM Downloader en su versión 3.0.0.9 presenta algunos fallos de seguridad considerables, así lo demuestra DouBle Zer0 Zer0, en un vídeo donde nos muestra como se puede explotar una vulnerabilidad de tipo “stack overflow” creando archivos m3u corruptos. A continuación el vídeo, y el exploit lo pueden visualizar desde acá.

Mas Información:
WM Downloader (.M3U File) Local Stack Overflow POC
Pagina Oficial del WM Downloader

También puede interesarte...

Todos los Vídeos de AntiChat – Parte I

DragoN — Sun, 08 Feb 2009 08:39:11 +0000

AntiChat es un proyecto ruso que lleva varios años recopilando información en vídeo sobre vulnerabilidades, fallos y seguridad informática en general, hace algunos meses esta un poco inactivo pero no deja de ser una buena fuente de información y en formato multimedia.

Estoy realizando un listado de todos los vídeos de este portal y esta es la primera parte de la entrega:

1. Installation of soks of proxy of server on vulnerable the system

2. XSS- vulnerability in forums SMF 1.05

3. XSS on Wapbbs. Forum vbulletin. Obtaining the password of the privileged user.

4. XSS on mail Yandex.Ru

5. Sql injection in cursor php_.fusion

6. XSS in forums FastBB

7. XSS in forums XMB

8. Interception of session on server pochta.ru

9. Seizure IRC of the channel

10. We rock mp3 free of charge

11. COSMO chat. admin it did not advance the right

12. Breaking of cursor new sploytom (ZENER)

13. ExBB 1.9.1. PHP-inklhding into adminke and other vulnerabilities

14. zmail.ru: Sniffer and session. We read strange letters.

15. Service of the virtual postcards Vcard Lite. Part of 2.

16. Service of the virtual postcards Vcard Lite. Part 1.

17. [ FLASH ] rues on IBM AIX

18. [ FLASH ] sequential of rues ispravlenym eksploytom

19. Is utilized short hyphen. We make no invisible.

20. Vulnerability www.chatmoscow.ru

21. IRC. Mockery above Slader-Non

22. Vulnerabilities SetccMS (XSS)

23. Installation Apache, Php, Perl, Mysql to localhost

24. Php- injection in the script of news CuteNews v1.3.1

25. Method of the interpretation of khesha IPB 2..x and breaking the forum

26. Breaking Invision Power Board sploytom

27. New vulnerability PunBB

28. cuz uze google?n’yandex before askin ? stupid questions %)

29. WWWThreads Bug

30. Breaking phpBB 2.0.15 new sploytom

31. Active XSS in LiveJournal.com

32. Installation of proxy to unix the machine

33. XSS in phpBB with use phpNuke

34. Idea of defeysa of the site through the search demands!

35. Defeys of the site through the vulnerability in PunBB (php include)

36. Breaking OF LARGE BROTHER – tntbrat.ru. SQL – injection.

37. Breaking hack-info.net through PHP injection and GIF the file

38. Breaking of the mailbox through the holes on the server

39. SQL- Eng. in IPB 1. *, 2. *. Obtaining khesha of admina

40. History of the breaking of one site

41. XSS in MercuryBoard. New.

42. Vulnerability IkonBoard. Reading it is file

43. Error of khostera in tuning of system.

44. Obtaining administrative privelegiy in paBugs

45. Vulnerability phpBB in module downloads.php

46. XSS in many search with- swing. It is in detail.

47. Breaking phpBB new sploytom

48. XSS in PunBB 1..x

49. XSS in MercuryBoard 1..x

50. Vulnerability in SR Guestbook

51. Breaking of box on e-mail.ru (part of 2)

52. Breaking of box on nm.ru (part 1)

53. Seizure of the site through the injection in Zorum

54. SQL injection in forums Minibb 1.6

55. XSS in forums phorum

56. XSS in forums He11.net and LedForums

57. XSS in vBulletin 2..kh.kh

58. XSS in forums zorum

59. Bases of work with John The Ripper

60. Analysis vzlomanoy BD

61. Registration KeySpy Generator

62. Vulnerability in phpBB 2.0.12 (KEZ)

63. Vulnerability in phpBB 2.0.12 (max_.pain89)

64. We obtain seriynik for progi through ArtMoney

65. We read strange letters on mail.ru through the sessions

66. SQL injection in LedForums

67. Example Post- Flood through DenyoLaunch III

68. SQL injection in search.php in phpBB 2.0.6

69. SQL injection in MercuryBoard 1.1.0

70. Study of protection WinRAR 3..0b =)

71. Second method of the theft of nikov in the chat room

72. CHAT ROOM. Seizure of nikov.

73. Presence s/n for WinZIP 8..0b

74. We make patch for BlueFace (CodeFusion)

75. We make patch for WinZIP 8..0b (CodeFusion)

76. We penetrate in strange comp. through Remote Administrator

77. Pincha no longer catches the antivirus

78. Survey of bagov in cgi scripts.

79. Idea of brutoforsa amperesecond through HTTP demands.

80. As to drive away as?ku. One of the methods.

También puede interesarte...

Todos los Vídeos de AntiChat – Parte II

DragoN — Sat, 07 Feb 2009 08:49:22 +0000

Estoy realizando un listado de todos los vídeos de este portal y esta es la segunda parte de la entrega (primera aquí):

81. By vlom with the aid of rAdmin Of brutforsera!

82. one additional method to skachat? paid mp3 c of site mp3search.ru.

83. Defeys on the rapid. Bagi on the server. Admin did not advance right on the folders.

84. Vulnerability of site on cursor runcms

85. Story about troyane pinch 1.0

86. The new vulnerability Mybb. XSS works in all browsers.

87. Breaking IcrediBB (SQL-injection)

88. Baga in the the guest MPM Guesbook Pro

89. As to rock mp3 for free from site mp3search.ru

90. Sql-injection on cursor Php-Nuke

91. SQL-injection in forum Zorum

92. XSS and SQL-injection MyBB the forum

93. Seizure Flesch chat room (part of 2)

94. Seizure Flesch chat room (part 1)

95. XSS in the forums in sparenykh BB tags VBulletin 3.0. *

96. As to become adminom of forum ITA V1.49.

97. Vulnerabilities in Zeroboard.

98. Video about the the new XSS in the forums in sparenykh BB the tags

99. UNION in SQL demands. Example of work.

100. Vozmozhye vulnerabilities in scripts Manlix.

101. As to become adminom on the site made in Flat-nuke.

102. Error of adminov with installation Guestbook v1.1. Defeys on the rapid.

103. Defeys for the small. Defeys on the rapid.:

104. Again PHPBB. if the provider of dull.

105. XSS vulnerability in forum forum.antichat.ru (vbulletin 3.0.3)

106. To the article about mail.ru. We steal Cooks in the chat room. More detailed video.

107. To the article about mail.ru. We steal Cooks in the chat room. We become moderators chat.mail.ru.

108. php inklyuding KorWeblog

109. Breaking e-mail?ov 2. Sorting of passwords. Is utilized Brutus (under Windows).

110. Breaking e-mail?ov. Is utilized THC – Hydra.

111. Vulnerability Ultimate PHP Board (UPB) v1.9

112. Forum Russian Board Or as it is not necessary to write authorization system. (found Max_.pain)

113. As to obtain strange letters on ramblere

114. LiteForum 2 (SQL-injection)

115. We look passwords on forum Powered by Web Wiz Forums.

116. Overcrowding of buffer. Theory.

117. We steal UIN, having a base of the users

118. As to steal the Internet on 445 port

119. Baga ConfYmi 2.1

120. We obtain root, I use sploita.

121. Practitioner Flood

122. VIDEO SQL Injection IPB 2.0. *

123. Bagi of white resist- site mag.su

124. Real breaking PHPBB

125. SQL injection in forum IbProArcade

126. Breaking PHPBB

127. Fraud Online of games.

128. Breaking of forum MiniBB

129. SQL injection in the forum * He11.net Forums v1.0 *

130. Seizure of the site through through cosmo-chat. Continuation?

131. XSS in forum ExBB 1.9.1 THE II rocking shell- A

132. XSS in forum ExBB 1.9.1

133. SQL-injection in forum phpBB 2.0.6

134. XSS in forum Web Wiz Forums v7.7 on securitylab.ru

135. SQL-injection in the popular forum UBB threads 6.2.3

136. Fulfillment shell- commands through curved perl- script (sendmail)

137. We obtain seriynik for progi (php-injection)

138. XSS in the chat room on kc-camapa.ru

139. Breaking of the site through cgi- error: paypy

140. Seizure of the site through cosmo-chat

141. We drive away paid script free of charge (ezUpload pro 2.2)

142. Yuzayem random cgi-telnet =)

143. XSS in the chat room on muz-tv.ru

144. Breaking of the site through cgi- error: %00 of the byte

145. Breaking of the site through php-injection and knowledge SQL

146. We penetrate adminku of the news script Absolute Engine

147. Breaking of site on cursor shad0wed portal 5

148. Difeys through the injection in Advanced Guestbook 2.2

149. Breaking of the school site through the vulnerability on home page of teacher.

150. Breaking of the site through standard PHP- injection.

151. Obtaining root rights on server yargsm.ru

152. 6 video recordings about the recent attack on the living periodical.

153. The fulfillment of the arbitrary code in Microsoft Windows with working WMF it is file.

154. Demonstartsiya of the filling of shela to forums IPB of version 2.0.4 when the password of administrator is present.

155. Breaking of program XoftSpy.

156. Vparivaniye of troyana. Operation of vulnerability ?not complete way to the processor? Windows (total) commander.

157. Obtaining adminki and the filling of shela in cursor e107

158. Installation IRC of boat under Windows.

159. Registration of program Advanced Security Level.

160. interesnya idea about how it is possible to flood Shell to forums phpBB of any versions, if there is access to the administratorskoy panel.

161. Breaking of paid hosting- provider with the use of old vulnerability in phpBB on one of the sites of hosting and the curvedly disposed server under control FreeBSD.

162. ?Admin Password Exploit? (author)

163. Breaking e107 with use ImageManager/manager.php – the built-in file is manager.
XSS is not used!

164. Khalyavnyy Internet in the local network.

165. Seizure of the IRK- boat, which repeats phrases =)

166. Video about the breaking of server under control Windows 3.1

167. Theft of the 6- marking icq through that attached to it e-mail.

168. Use wwwhack based on example vBulletin.

169. One additional hole in cursor e107.

170. Theft it is no in the chat room through breaking e-mail?a (by brutoforsom).

También puede interesarte...

Hacking de Redes UPnP – Parte III

DragoN — Thu, 05 Feb 2009 00:23:53 +0000

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Continúa desde “Hacking de Redes UPnP – Parte II“

Una Introducción a Miranda

Miranda es una herramienta de administración de UPnP escrita en Python. Lleva consigo una línea de comandos que soporta autocompletado e historial de comandos, y provee la habilidad de guardar tu trabajo en un archivo que puede ser recargado para su posterior análisis. También puedes alterar las configuraciones del programa sobre la marcha, y registrar todos tus comandos en un archivo log, de manera que puedas saber exactamente lo que ejecutaste y cuando lo ejecutaste.

Miranda puede descubrir hosts UPnP tanto activamente como pasivamente, y con un simple comando pueden ser enumerados todos los tipos de dispositivos, servicios, acciones y variables. Las variables de estado del servicio pueden ser automáticamente correlacionadas con sus acciones asociadas, e identificadas tanto sus variables de salida y/o entrada para cada acción. Miranda almacena la información de todos los hosts en una estructura única de datos y te permite desplegar directamente toda la información y ver su contenido.

Finalmente, puedes ejecutar cualquier acción soportada por el host UPnP; si la acción requiere algún valor de entrada, se te informará su nombre y su tipo (string, 4 byte entero, 2 byte entero, etc), así como los valores permitidos o rangos de valores que el host UPnP ha suplido, y se le pedirá que ingrese el valor.

Descubriendo hosts UPnP con Miranda

Cuando inicias Miranda por primer vez, te llevará a una shell interactiva con un prompt ‘upnp>’ a la espera de ejecución de comandos. La primera cosa que probablemente quieras hacer es descubrir si hay algún host UPnP en tu red; esto puede ser realizado con los comandos ‘pcap’ o ‘msearch’. Cuando es ejecutado el comando ‘pcap’, Miranda se pondrá en escucha (modo pasivo) buscando mensajes SSDP NOTIFY, mientras que el comando ‘msearch’ consultará los dispositivos UPnP usando un mensaje M-SEARCH. Por defecto, ‘msearch’ buscará todos los dispositivos UPnP, pero también se le puede especificar que busque un determinado tipo de dispositivo o servicio si así se desea. En este ejemplo, simplemente buscaremos algún dispositivo:

Código:

upnp> msearch

Entering discovery mode for 'upnp:rootdevice', Ctl+C to stop...

****************************************************************
SSDP reply message from 192.168.0.1:5678
XML file is located at http://192.168.0.1:5678/igd.xml
Device is running Embedded UPnP/1.0
***************************************************************

Discover mode halted...

Aquí podemos ver que hay un host UPnP en la red, el cual resulta ser un router DI-524. También podemos ver que es reportado el tipo de servidor UPnP (‘Embedded UPnP/1.0¿), y la ubicación del archivo XML raíz.

Ejecutando el comando ‘host list’ nos muestra la lista de todos los hosts UPnP descubiertos y el número índice de cada uno (el número índice es usado en comandos subsecuentes para hacer referencia a un host específico):

Código:

upnp> host list

       [0] 192.168.0.1:5678

Hemos descubierto un host UPnP, ahora necesitamos enumerar sus capacidades. Ejecutando el comando ‘host get 0′ obtendremos toda la información UPnP del host con el índice 0:

Código:

upnp> host get 0

Requesting device and service info for 192.168.0.1:5678 (this could take a few seconds)...

Host data enumeration complete!

Ahora buscamos en todos los datos que hemos recogido de este host usando el comando ‘host info’. Este comando nos permite desplegar los datos del host interno de Miranda y ver la información que este almacena. Observa también que todos estos comandos se autocompletaran automáticamente, de manera que no tendrás que escribirlos por completo:

Código:

upnp> host info 0

xmlFile : http://192.168.0.1:5678/igd.xml
name : 192.168.0.1:5678
proto : http://
serverType : Embedded HTTP Server 3.23
upnpServer : Embedded UPnP/1.0
dataComplete : True
deviceList : {}

Código:

upnp> host info 0 deviceList

InternetGatewayDevice : {}
WANDevice : {}
WANConnectionDevice : {}

Código:

upnp> host info 0 deviceList WANConnectionDevice services WANIPConnection actions

AddPortMapping : {}
GetNATRSIPStatus : {}
GetGenericPortMappingEntry : {}
GetSpecificPortMappingEntry : {}
ForceTermination : {}
GetExternalIPAddress : {}
GetConnectionTypeInfo : {}
GetStatusInfo : {}
SetConnectionType : {}
DeletePortMapping : {}
RequestConnection : {}

Dependiendo del host, puede haber muchos datos en esta estructura, así que si quieres ver el resumen de los datos para un host particular, ejecuta el comando ‘host summary’:

Código:

upnp> host summary 0

Host: 192.168.0.1:5678
XML File: http://192.168.0.1:5678/igd.xml
InternetGatewayDevice
     manufacturerURL: http://www.dlink.com
     modelName: D-Link Router
     UPC: 123456789001
     modelNumber: None
     presentationURL: http://192.168.0.1:80
     friendlyName: D-Link Router
     fullName: urn:schemas-upnp-org:device:InternetGatewayDevice:1
     modelDescription: Internet Access Router
     UDN: uuid:upnp-InternetGatewayDevice-1_0-12345678900001
     modelURL: None
     manufacturer: D-Link
WANDevice
     manufacturerURL: http://www.dlink.com
     modelName: D-Link Router
     UPC: 123456789001
     modelNumber: 1
     presentationURL: None
     friendlyName: WANDevice
     fullName: urn:schemas-upnp-org:device:WANDevice:1
     modelDescription: Internet Access Router
     UDN: uuid:upnp-WANDevice-1_0-12345678900001
     modelURL: http://support.dlink.com
     manufacturer: D-Link
WANConnectionDevice
     manufacturerURL: http://www.dlink.com
     modelName: D-Link Router
     UPC: 123456789001
     modelNumber: 1
     presentationURL: None
     friendlyName: WAN Connection Device
     fullName: urn:schemas-upnp-org:device:WANConnectionDevice:1
     modelDescription: Internet Access Router
     UDN: uuid:upnp-WANConnectionDevice-1_0-12345678900001
     modelURL: http://support.dlink.com
     manufacturer: D-Link

El comando de resumen nos muestra todos los tipos de dispositivos que este host reporta, así como algún dato adicional relacionado con cada tipo de dispositivo. Si quieres ver toda la información que miranda almacena sobre un host en particular, lo puedes hacer con el comando ‘host details 0′. Sin embargo, la información arrojada por este comando es por lo general bastante larga, probablemente quieras guardarla en un archivo y verla en un editor de texto; esto puede ser hecho con el comando ‘save info 0′:

Código:

upnp> save info 0 dl524

Host info for '192.168.0.1:5678' saved to 'info_dl524.mir'

El argumento ‘dl524′ es opcional; si ninguna cadena es pasada como argumento, se usará entonces el número índice en su lugar. Mientras que estemos en la sesión, también podemos guardar los datos que Miranda ha almacenado sobre todos los hosts que han sido descubiertos, de modo que después podamos cargarlos de nuevo e iniciar una nueva sesión:

Código:

upnp> save data session1

Host data saved to 'struct_session1.mir'

Enviado comandos UPnP con Miranda

Ahora vamos a explorar algunas de las acciones que podemos ejecutar en este dispositivo. Anteriormente cuando ejecutamos el comando ‘host info’, listamos todas las acciones disponibles para el servicio WANIPConnection que está asociado con el dispositivo WANConnectionDevice; veámoslas de nuevo:

Código:

upnp> host info 0 deviceList WANConnectionDevice services WANIPConnection actions

AddPortMapping : {}
GetNATRSIPStatus : {}
GetGenericPortMappingEntry : {}
GetSpecificPortMappingEntry : {}
ForceTermination : {}
GetExternalIPAddress : {}
GetConnectionTypeInfo : {}
GetStatusInfo : {}
SetConnectionType : {}
DeletePortMapping : {}
RequestConnection : {}

Como puedes ver, este servicio es el que soporta las acciones AddPortMapping y DeletePortMapping, así como algunas otras que parecen interesantes. Primero intentaremos ejecutar la acción GetExternalIPAddress; esto se puede hacer con el comando ‘host send’. Para ejecutar un comando, debes indicar el número índice del host, el nombre del tipo de dispositivo que soporta el servicio, el nombre del servicio que soporta la acción, y el nombre de la acción que quieras ejecutar (de nuevo, todos estos campos se autocompletan, no es mas que escribir mientras se va mirando)

Código:

upnp> host send 0 WANConnectionDevice WANIPConnection GetExternalIPAddress

NewExternalIPAddress : 68.12.34.56

‘NewExternalIPAddres’ es el nombre de la variable asociada con esta acción, y ’68.12.34.56′ es el valor devuelto para esa variable por el IGD. Algunas acciónes tienen varias variables asociadas con ellas; estas variables pueden ser tanto de entrada (valores que le pasamos al IGS) o de salida (valores devueltos por el IGD). En el caso de la acción GetExternalIPAddress, solo hay una variable de salida. Sin embargo, si hay alguna variable de entrada disponible para una acción, Mirando nos pedirá que introduzcamos estos valores antes de enviar la acción. Toda la información de la variable puede ser enumerada/vista usando los comandos ‘host info’ o ‘host details. No tenemos que tener ningún conocimiento sobre estas variables antes de ejecutar las acciones UPnP.

Intentemos mapeando el puerto 8080 en la WAN para abrir la interfaz administrativa que está en el puerto 80 del IGD (192.168.0.1):

Código:

upnp> host send 0 WANConnectionDevice WANIPConnection AddPortMapping

Required argument:
     Argument Name:  NewPortMappingDescription
     Data Type:      string
     Allowed Values: []
     Set NewPortMappingDescription value to: All your ports are belong to us

Required argument:
     Argument Name:  NewLeaseDuration
     Data Type:      ui4
     Allowed Values: []
     Set NewLeaseDuration value to: 0

Required argument:
     Argument Name:  NewInternalClient
     Data Type:      string
     Allowed Values: []
     Set NewInternalClient value to: 192.168.0.1

Required argument:
     Argument Name:  NewEnabled
     Data Type:      boolean
     Allowed Values: []
     Set NewEnabled value to: 1

Required argument:
     Argument Name:  NewExternalPort
     Data Type:      ui2
     Allowed Values: []
     Set NewExternalPort value to: 8080

Required argument:
     Argument Name:  NewRemoteHost
     Data Type:      string
     Allowed Values: []
     Set NewRemoteHost value to:

Required argument:
     Argument Name:  NewProtocol
     Data Type:      string
     Allowed Values: ['TCP', 'UDP']
     Set NewProtocol value to: TCP

Required argument:
     Argument Name:  NewInternalPort
     Data Type:      ui2
     Allowed Values: []
     Set NewInternalPort value to: 80

La acción AddPortMapping recibe varios valores, pero hay unos puntos importantes que deben ser mencionados:

1. Los valores Booleanos son ’1′ (verdadero) o ’0′ (falso)
2. El argumento NewProtocol solo permite dos valores, ‘TCP’ o ‘UDP’
3. No especificamos ningún valor para la variable NewRemoteHost, la cual permite que todos los hosts remotos coincidan con esta asignación de puertos.

No recibimos ningún dato porque la acción AddPortMapping no tiene ninguna variable de salida definida (de nuevo, toda esta información es almacenada en la estructura de datos, si tienes curiosidad). Sin embargo, podemos verificar que la acción fue ejecutada exitosamente lanzando la acción GetSpecificPortMappingEntry:

Código:

upnp> host send 0 WANConnectionDevice WANIPConnection GetSpecificPortMappingEntry

Required argument:
     Argument Name:  NewExternalPort
     Data Type:      ui2
     Allowed Values: []
      Set NewExternalPort value to: 8080

Required argument:
     Argument Name:  NewRemoteHost
     Data Type:      string
     Allowed Values: []
     Set NewRemoteHost value to:

Required argument:
     Argument Name:  NewProtocol
     Data Type:      string
     Allowed Values: ['TCP', 'UDP']
     Set NewProtocol value to: TCP

NewPortMappingDescription : All your ports are belong to us
NewLeaseDuration : 0
NewInternalClient : 192.168.0.1
NewEnabled : 1
NewInternalPort : 80

AHora podemos borrar el puerto mapeado con la acción DeletePortMapping. Igual que AddPortMapping, la acción DeletePortMapping no devuelve ningún dato a menos que haya ocurrido un error:

Código:

upnp> host send 0 WANConnectionDevice WANIPConnection DeletePortMapping

Required argument:
     Argument Name:  NewProtocol
     Data Type:      string
     Allowed Values: ['TCP', 'UDP']
     Set NewProtocol value to: TCP

Required argument:
     Argument Name:  NewExternalPort
     Data Type:      ui2
     Allowed Values: []
     Set NewExternalPort value to: 8080

Required argument:
     Argument Name:  NewRemoteHost
     Data Type:      string
     Allowed Values: []
     Set NewRemoteHost value to:

Hay una gran multitud de otras acciones interesantes, como por ejemplo ForceTermination, la cual provoca la caída de la conexión WAN del router. Vale la pena explorar los varios servicios y acciones para cada dispositivo que estés auditando.

Conclusión

Si bien, UPnP es un protocolo que pocos entienden, está activo en una vasta mayoría de redes caseras, e incluso también en algunas redes corporativas. Muchos dispositivos soportan UPnP en orden de facilitar el uso para los consumidores, sin embargo, a menudo soportan acciones que ningún servicio debería de estar posibilitado de ejecutar automáticamente, y especialmente sin ninguna autorización. Peor aún, la implementación del protocolo en sí rara vez es construido con una mentalidad prioritaria en la seguridad, dejándolo abierto a futuros ataques.

La mejor defensa contra los ataques UPnP tanto locales como remotos es simplemente deshabilitarlo en algunos/todos los dispositivos de la red. Sin embargo, considerando que este protocolo y otros protocolos “auto-magicos” son diseñados para ayudar a Joe, quien probablemente esté inadvertido de los peligros de tales protocolos, la única verdadera solución es que los vendedores sean mas atentos en sus diseños, y sus implementaciones, mas seguras.

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Tercera y Ultima parte del articulo Plug-N-Play Network Hacking traducido por Cortex en nuestra seccion Traducción de Artículos de La Comunidad.

También puede interesarte...

Hacking de Redes UPnP – Parte II

DragoN — Tue, 27 Jan 2009 19:40:41 +0000

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Continúa desde “Hacking de Redes UPnP – Parte I“

Una vista general sobre el protocolo UPnP

EL protocolo UPnP usa la dirección mulicast (multidifusión) 239.255.255.250 y el puerto TCP 1900. Los dispositivos que ofrecen servicios UPnP periódicamente enviarán mensajes SSDP NOTIFIY a 239:255:255:250:1900, anunciándose a cualquier cliente UPnP que en este en escucha. Si observas el tráfico en tu LAN que use un router con los servicios UPnP activos, notarás que éste envía una ráfaga de mensajes SSDP NOTIFY cada pocos segundos; esto ocurre porque la mayoría de los routers en realidad se anuncian como multiples dispositivos UPnP, y envían una notificación por cada tipo de dispositivo.

Asimismo, los clientes UPnP pueden enviar peticiones SSDP M-SEARCH a 239:255:255:250:1900 para ver si algún dispositivo UPnP responde. Los clientes pueden enviar una petición M-SEARCH buscando algún dispositivo UPnP, o pueden especificar que están buscando algún dispositivo en particular, o pueden consultar solo por algún dispositivo que soporte un servicio UPnP específico. Los hosts UPnP que concuerden con los dispositivos/servicios pedidos responderán con un mensaje SSDP RESPONSE, el cual contiene la misma información que la enviada en un mensaje SSDP NOTIFIY.

Un mensaje SSDP NOTIFY enviado por un host UPnP contiene una cabecera ‘Location’ la cual especifica la ubicación de un archivo XML. Este archivo XML contiene datos indicando, entre otras cosas, el tipo de dispositivo y los servicios soportados por el host, así como las rutas a otros documentos XML adicionales que describen los servicios detalladamente. Para descubrir las capacidades UPnP completas de un IGD, se debe analizar todos los archivos XML para extraer los tipos de dispositivos, servicios, y acciones ofrecidas por el IGD.

Los servicios UPnP soportan varios servicios que a su vez anuncian las acciones que soportan. Un cliente UPnP puede enviarle alguna petición al dispositivo UPnP en cualquier momento, esta podría ser una petición para abrir un puerto, cambiar el servidor DNS por defecto, o cualquier otra que el dispositivo soporte. Los datos enviados/devueltos en cualquier petición o respuesta son enviados usando SOAP, el cual usa XML para estructurar la información enviada entre las dos partes. Las peticiones SOAP son esencialmente peticiones HTTP POST con alguna cabecera SOAP adicional incluida en las cabeceras HTTP.

Auditando dispositivos UPnP manualmente

Para descubrir si algún router soporta UPnP, puedes ir a la interfaz administrativa de este y verificar si hay alguna opción para habilitar/deshabilitar UPnP, mientras que la mayoría de los routers tienen UPnP habilitado por defecto, algunos no.

Para realmente auditar la configuración de algún dispositivo UPnP, puedes encender Wireshark y buscar paquetes SSDP NOTIFIY siendo enviados a la dirección multicast 239.255.255.250 al puerto 1900; estas notificaciones serán dispositivos UPnP anunciándose a la red. Una vez los mensajes SSDP NOTIFIY son capturados, puedes examinar las cabeceras SSDP de los datos arrojados para obtener la ubicación del archivo XML raíz. Una vez tengas ese archivo (simplemente haciendo una petición HTTP GET), puedes examinarlo para ver que dispositivos y servicios soporta el host UPnP. Luego, puedes solicitar los archivos XML adicionales al host (uno por cada servicio) y analizar esos archivos XML para determinar que acciones soporta cada servicio, y luego correlacionar las posibles variables de estado (variables de entrada/salida) usada para cada acción, así como identificar cuales variables son usadas como “entrada”, y cuales como “salida” (una acción puede usar una variables como parametro de entrada, mientras que otras usan la misma variable como parametro de salida).

Obviamente, auditar hosts UPnP manualmente puede consumir extremadamente mucho tiempo y nos forza a generar manualmente peticiones a los dispositivos UPnP para lanzar ataques contra ellos. Usar una herramienta para automatizar el proceso haría nuestra vida mucho más fácil… Esto será lo que trataremos en la parte III del artículo.

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Segunda parte del articulo Plug-N-Play Network Hacking traducido por Cortex en nuestra seccion Traducción de Artículos de La Comunidad.

También puede interesarte...

Hacking de Redes UPnP – Parte I

DragoN — Thu, 22 Jan 2009 18:15:25 +0000

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

UPnP (Universal Plug-N-Play) es un protocolo que permite que varios dispositivos de red se autoconfiguren por si mismos. Uno de los usos mas comunes de este protocolo es permitir que dispositivos o programas abran puertos en tu router casero con el objetivo de comunicarse apropiadamente con el mundo exterior (El Xbox, por ejemplo, lo hace). El protocolo UPnP está basado en protocolos y especificaciones pre-existentes, más precisamente en UDP, SSDP, SOAP y XML.

Este artículo tratará sobre algunos problemas de seguridad relacionados con UPnP, brevemente describe el funcionamiento interior del protocolo, y muestra como identificar y analizar los dispositivos UPnP en una red usando herramientas open source. En el artículo nos enfocaremos en IGDs (Internet Gateway Devices ó Dispositivos de pasarela a Internet, por ejemplo, routers), pero es importante recordar que hay muchos otros dispositivos y sistemas que soportan UPnP también, y pueden ser vulnerables a ataques similares.

El problema con UPnP

Permitir que programas legítimos alteren la configuración del router a medida que lo vayan necesito hace la vida de los usuarios de Joe mucho más fácil – desafortunadamente, también hace la vida de los hackers de Joe más fácil. Con el fin de que UPnP sea verdaderamente “plug-n-play”, no hay ninguna autenticación en este protocolo; es decir, cualquier programa puede usar UPnP para alterar la configuración del router (o de cualquier otro dispositivo UPnP).

A principios de este año, PDP (de GNUCITIZEN) publicó una investigación que había realizado sobre la seguridad de UPnP. Si bien los problemas de seguridad de UPnP no son nuevos, es un protocolo que normalmente solo funciona dentro de una red local, forzando al atacante a infiltrarse en la red antes de explotar cualquier vulnerabilidad de UPnP. Sin embargo, PDP mostró que era posible usar Flash para enviar peticiones UPnP desde dentro del navegador de un cliente a un router con UPnP habilitado y cambiar la configuración del firewall de este. Dado que el archivo Flash puede ser embebido dentro de una página maliciosa, o inyectada dentro de una página confiable via XSS o SQL Injection, un atacante podría usar esto para remotamente alterar la configuración del router. Lo que es peor es que en la mayoría de los casos, estos cambios en la configuración no son reflejados en la interfaz administrativa del router, dejando la víctima completamente sin conocimiento de lo que ha ocurrido.

Por supuesto, para las redes inalámbricas UPnP es peligroso incluso sin el ataque Flash, tanto que un atacante puede mantener distancia física de la red mientras gana acceso a la red interna. Una vez dentro, puede empezar a alterar la configuración del router vía UPnP.

¿Qué tan serio es esto?

La seriedad de este ataque depende en la implementación de UPnP usada por el router, como también de la configuración del router. Por ejemplo, el ataque de la alteración de la configuración vía Flash descrita anteriormente debe de adivinar cual es la dirección IP del router; esta es usualmente fácil de predecir, pero algunos router también se asignan sus propios hostnames lo cual hace que cualquier intento de adivinación de la dirección IP no funcione. Sin embargo, incluso si un router no se resuelve a un hostname, la seguridad a través de la oscuridad no es una buena práctica, y simplemente cambiar la dirección IP no debe considerarse como suficiente defensa contra un ataque de este tipo.

Además, algunas implementaciones UPnP son mas riesgosas que otras; varios IGDs con UPnP activado permiten que la configuración DNS sea directamente alterada vía UPnP, lo cual sería solo el comienzo de un ataque MiTM/Phishing. Otros, particularmente esos dispositivos que usan algún tipo de Linux embebido, de hecho, usan los valores que reciben a través de las peticiones UPnP sin filtrarlos, como parte de comandos shell ejecutados, dejándolos abiertos a ataques de inyección de comandos. Una lista de algunos router vulnerables puede ser encontrada aquí.

OK, digamos que ningún hostname es asignado a la IP del router, y su implementación UPnP no es vulnerable a DNS-Hijacking o inyección de comandos. Desafornatudamente, todavía no estamos fuera de peligros; recuerda que el uso mas común de UPnP es abrir puertos en un router. Debido a esto, casi todos los router que soportan UPnP también soportan la acción AddPortMapping; esta esencialmente permite a algun dispositivo o software decirle al router “redirige todo el tráfico proveniente del puerto X al host interno Y de la WAN el cual está en escucha en el puerto Z”. Bueno, ¿Y qué si redirigimos todo el tráfico proveniente de la WAN por el puerto 8080 a yahoo.com por el puerto 80? Ya sé, ya sé, yahoo.com no es un host interno! Pero algunas configuraciones UPnP no verifican lo que estan redirigiendo a los hosts internos, y en consecuencia se permite al atacante rebotar su tráfico por medio del router. Además, si el atacante conoce la dirección IP interna del router o su hostname, puede ser capaz de redirigir algun puerto del lado WAN del router al puerto 80 del lado LAN del router, abriendo efectivamente la interfaz administrativa del router al mundo.

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Primera parte del articulo Plug-N-Play Network Hacking traducido por Cortex en nuestra sección Traducción de Artículos de La Comunidad.

También puede interesarte...

Seria vulnerabilidad de DNS corregida en Silencio

DragoN — Thu, 24 Jul 2008 01:52:04 +0000

CERT ha anunciado un parche para múltiples implementaciones de DNS hoy, de manera masiva para muchas implementaciones diferentes. A principios de este año, el investigador Dan Kaminsky descubrió una vulnerabilidad básica en el protocolo DNS que ayudaría a los atacantes a comprometer cualquier servidor de nombres, incluyendo también a los clientes. Kaminsky ha venido trabajando en secreto con un grupo largo de vendedores en un parche coordinado. 81 vendedores han sido listados en la advisory de la CERT.

Esta disponible un podcast entrevistando a Dan Kaminsky y su sitio web contiene una herramienta de verificacion de DNS.

Se dice que esta es la más grande actualización sincronizada referente a seguridad en la historia de la Internet. La mayoría de personas se actualizaran automáticamente y hay parches para las diferentes implementaciones de DNS. El problema esta en el diseño de DNS y no esta limitado a ningún producto en particular y como DNS es usado en toda computadora conectada a Internet para localizar otras computadoras. Aprovechándose de esta vulnerabilidad, un atacante podría fácilmente tomar control de porciones de la Internet y redirigir a los usuarios a sitios arbitrarios y/o maliciosos. Se podría inclusive reemplazar sitios web completos con otros falsos, operar sobre los falsos con contenido malicioso, capturar dominios completos de e-mail, redirigir el trafico a otros sitios, etc.

Segun el advisory, los sistemas vulnerables son aquellos donde el ID de transacción de 16-bits en el DNS y el numero de puerto para la transacción (tambien 16-bits) no son escogidos de manera aleatoria. El reporte tambien nos dice que el atacante debe ser capaz de falsificar su direccion IP y no deben estar detraz de algun IPS que filtre trafico de salida. El resultado de dicha vulnerabilidad: ataque de envenenamiento al DNS. Este ataque ya habia sido documentado de cierta forma en el 2003 (Cache Poisoning using DNS Transaction ID Prediction), sin embargo se necesitaban de un gran numero de paquetes para hacer funcionar el ataque, y no era confiable. Podemos ahora decir que tenemos una estrategia más efectiva ya que podemos saber como el servidor DNS asigna los números de transacción y el puerto.

El problema radica en que las direcciones IP de origen pueden ser manufacturadas y que el ID de transacción de DNS es de 16 bits, lo cual es un poco corto para ser considerado una llave randomica usable. Ese ID, como cualquier llave que tenga implicaciones den la seguridad, debería ser de por lo menos 64 bits y ser generada por un generador de números aleatorios de grado criptografico. Otra solución elegante podría ser reemplazar la infraestructura actual de DNS por DNSSEC, solo que actualmente DNSSEC es muy complicado para popularizarlo.

Los detalles tecnicos de esta vulnerabilidad seran presentados por Dan en Black Hat, sin embargo los parches de randomizacion del puerto hacen de este ataque impractico (más no imposible ni menos divertido)