Scanner RouterhunterBR 1.0 - explorando roteadores

 

 

Hoje iremos apresentar o RouterhuntertBR 1.0!

Mas oque é o RouterhunterBR? Como funciona? Qual finalidade ?

  Inicialmente o RouterhunterBR foi desenvolvido para explorar vulnerabilidades DNSChanger em routers caseiros que possuem falhas em paginas  sem autenticação dentro do roteador, 

Assim modificando o DNS padrão dentro do roteador.

 Uma vez modificado o DNS padrão para o DNS Malicioso, você pode realizar o redirecionamento do trafego para paginas maliciosas.

  Como funciona o DNS?

O DNS (Domain Name System) é o serviço responsável por traduzir nomes em IP’s e vice-versa, isto é, quando escrevemos www.xxware.com, há uma consulta ao DNS para saber qual o IP correspondente.

O que é o DNSChanger?

O DNSChanger é um trojan capaz de redirecionar pedidos do utilizador para sites ilícitos. Na prática, este malware tem a capacidade de alterar as configurações do DNS da nossa máquina redirecionando o utilizador para sites com fins maliciosos. Imagine por exemplo que o seu sistema está infectado por este malware, aquilo que poderá acontecer é que o utilizador ao aceder a um determinado site (ex. facebook.com) poderá ser reencaminhado para um site não solicitado e potencialmente ilegal.

O RouterhunterBR funciona da seguinte maneira, ele roda pela internet procurando por faixas de ips pre-definidas ou aleatórias com intuito de explorar vulnerabilidade DNSChanger em routers(roteadores) caseiros. Por inicio está e a principal função do RouterHunter!, mas em breve novas atualizações estão por vir.

* Description:*
  The script explores two vulnerabilities in routers
  01 - Shuttle Tech ADSL Modem-Router 915 WM / Unauthenticated Remote DNS Change Exploit
  reference: http://www.exploit-db.com/exploits/35995/

  02 - D-Link DSL-2740R / Unauthenticated Remote DNS Change Exploit
  reference: http://www.exploit-db.com/exploits/35917/

  03 - LG DVR LE6016D / Unauthenticated users/passwords disclosure exploitit
  reference: http://www.exploit-db.com/exploits/36014/

  ----------------------------------------------------------

 * Execute*
  Simple search:   php RouterHunterBR.php --range '177.100.255.1-20' -- dns1  8.8.8.8 --dns2 8.8.4.4 --output result.txt

Set IPS random:
php RouterHunterBR.php --rand --limit-ip 200 --dns1  8.8.8.8 --dns2 8.8.4.4 --output result.txt

Set source file:
php RouterHunterBR.php --file ips.txt --dns1  8.8.8.8 --dns2 8.8.4.4 --output result.txt

Set proxy:      
php RouterHunterBR.php --range '177.100.255.1-20' --dns1  8.8.8.8 --dns2 8.8.4.4 --output result.txt --proxy 'localhost:8118'
  Proxy format:

•   --proxy 'localhost:8118'
•  --proxy 'socks5://googleinurl@localhost:9050'
•  --proxy 'http://admin:[email protected]:8080'

  ----------------------------------------------------------

 * Dependencies*
sudo apt-get install curl libcurl3 libcurl3-dev php5 php5-cli php5-curl033

VÍDEO

DOWNLOAD
https://github.com/googleinurl/RouterHunterBR

Site responsavel por registros de dominios no Tajiquistão Hackiado; Google, Yahoo, Twitter, Amazon sofrem deface.

Domínio de pesquisa principal do Google para o Tajiquistão tinha sido aparentemente hackeado ontem 05-01-2014, junto com outros domínios  de grande porte , incluindo Yahoo, Twitter , Amazon - redirecionado para uma página de deface.

Na verdade, nem o Google , nem os servidores do Twitter foram danificados, O ataque foi feito  a autoridade de domínio do Tajiquistão ( domain.tj )  foi hackeado , Que permite o hacker  acessar o painel de controle do domínio.

Kernel do servidor: Linux 2.4.21- mx.takemail.com 27.ELsmp # 1 SMP Wed 01 de dezembro 21:59:02 EST 2004 i686

Hackers iraniano Mr.XHat ' alteram com sucesso os registros DNS dos sites.
O Hacker disse ao 'The Hacker News "que ele usou Directory Traversal vulnerability  para hackear o site e ainda tem o acesso ao painel de controle.

Directory Traversal vulnerability é um tipo de HTTP explorar que é usado por crackers para obter acesso não autorizado aos diretórios de acesso restrito e arquivos.

REF[1] http://www.acunetix.com/websitesecurity/directory-traversal/
REF[2] https://www.owasp.org/index.php/Path_Traversal


Após a captura de tela do Painel de Controle:

O hacker afirmou ter o acesso root ao banco de dados MySQL do site, onde as senhas dos clientes "são armazenados em um formato de hash / criptografados. Para obter um acesso do painel de domínio do cliente do Twitter / Google, ele inteligentemente mudou o endereço de email administrativa das respectivas contas para o seu próprio endereço de e-mail e continuar com a opção de recuperação de senha .

Na imagem acima (fornecido pelo hacker) , mostrando o e-mail de recuperação de senha recebida com a nova senha em texto simples que lhe permitiu finalmente acessar o painel de domínio do cliente. Domínio Hacked são:

google.com.tj
yahoo.com.tj
 twitter.com.tj
amazon.com.tj

Os domínios invadidos são recuperados de volta ao DNS original, mas a espelhos defacement disponível:

http://zone-h.org/mirror/id/21452417
http://zone-h.org/mirror/id/21452420
http://zone-h.org/mirror/id/21452426
http://zone-h.org/mirror/id/21452428

Fonte:http://thehackernews.com/2014/01/Tajikistan-Google-Twitter-hacked-Domain-Registrar.html

0x Dns hijacking + Google hacking e engenaria social 0x

0x Dns hijacking + Google hacking e engenaria social 0x

Como todos sabemos o elo mais fraco de qualquer sistema e o humano que facilmente pode ser enganado nos últimos dias vimos grandes ataques da kdms palestine team o exemplo que usarei nesse paper e a metasploit um grande icone haha
0x Entenda o ataque 0x
Uma brincadeira que chego a fazer e se os nego da palestina vim pro br desligo ate minha geladeira
Bom o ataque ao metasploit aconteceu da seguinte forma provavelmente um funcionário estava de resaca e receber um lindo fax com os nego da kdms se passando por um dos diretores pedindo acesso é o bom funcionário passou o acesso facil ne ?
como seria útil coloca um firewall ou um ant virus no humano rs.
Por um bom tempo uma prática conhecida como pentester físico foi utilizada (atividade ilustrada no filme hackers piratas)
bom mas por que o pentest físico ?
Bom meu caro sempre e bom da aqueka stalkeada basica rs tenta conquista a confiança e tenta suga alguma info por isso temos muitas meninas no meio do hacking altas E.S hahaha'

O que conseguiremos com o stalker bom muitas pessoas ainda escrevem senhas em papeis dados para lembra etc quando obter informações do tipo facilitará o diagnóstico de personalidade ou ate mesmo terá as senhas em mãos rs
0x DNS hijacking 0x
O ataque o ataque em si não prejudicar de nenhuma forma o conteúdo do site ele apenas alterá o dns.
muitas vezes o ataque para ser completo demora 48 horas tempo máximo para o dns fixá mas apos sofrê esse ataque se for comprovado a empresa e obrigada a recolocá o dns original na mesma hora por isso apos a avg o whatsapp e ate mesmo a metasploit sofre o sequestro de seu domínio o ficou off ate a regularização de dns
0x Google Hacking 0x
bom na parte relacionada a google hacking estarei citando a parte de d0xing que não e nada mais que uma busca voltada para empresa ou pessoa antes de tenta engenharia social e sempre bom saber amigos do alvo gostos etc.

Feito por :0x C0rPs3 0x
https://twitter.com/elC0rPs3

Acelere a sua velocidade de navegação com o Google

O DNS Público do Google é gratuito e oferece uma ótima alternativa aos fornecidos pelos provedores de internet. Utilizando-o você irá agilizar a velocidade de navegação na internet, melhorar sua segurança e obter os resultados que você espera sem nenhum redirecionamento. 

Para quem não sabe DNS (Domain Name System – Sistema de Nomes de Domínios) são servidores que traduzem nomes para os endereços IP e endereços IP para os respectivos nomes, permitindo a localização de hosts em um domínio determinado. Por exemplo, um site da Web, pode ser identificado de duas maneiras: pelo seu nome de domínio, por exemplo, “www.wikipedia.org” ou pelo endereço de IP dos equipamento que o hospedam (por exemplo, 208.80.152.130 é o IP associado ao domínio www.wikipedia.org).

O protocolo DNS é uma importante parte da infraestrutura da internet, servindo como uma agenda telefônica: toda vez que você visita um site, seu computador realiza uma busca de DNS. Páginas complexas necessitam de múltiplas buscas de DNS antes de começar a carregar, então seu computador pode realizar milhares de buscas por dia.

Os sites da internet estão se tornando cada dia mais complexos e incluindo mais recursos de diversas domínios de origem, fazendo com que os computadores precisem fazer múltiplas buscas de DNS para carregar apenas uma página. O usuário de internet médio realiza milhares de buscas de DNS diariamente, tornando mais lenta a experiência de navegação.

O DNS Público do Google é hospedado em data centers espalhados pelo mundo e utiliza as rotas mais curtas para mandar as requisições do usuário aos servidores mais próximos geograficamente, tornando as buscas de DNS bem mais rápidas.

Para utilizar o DNS do Google:

* Configure sua rede de internet para usar os endereços de IP8.8.8.8 e 8.8.4.4 como servidores de DNS

Usando DNS Público do Google você pode:

* Agilizar a velocidade de navegação na internet
* Melhorar sua segurança
* Obter os resultados que você espera sem nenhum redirecionamento

Site oficial do Google Public DND (em inglês)