domingo, 29 de enero de 2012

Solicitud de plantilla web

Para un men me solicito una plantilla de una web y para ahorrar el tiempo de rediseñar la rueda emplee algunos conocimientos de la red. xD

asi que como obtener esa plantilla si ya existe...
a darle una examinada a la web


decoder lo que esta codeado en base64 ahi encontramos un hora en unix un ip un tiempo de session y un passwd provisional en md5

descargas.php,1327863684,190.81.46.78,3,1,LL_0,,7f5d85ee83a8af3d3464365a69c2da897

bueno seguimos revisando por otros lados, pude observar como se descarga los ficheros se me ocurrio un RFI pero segui revisando mejor consigo usuarios haber por aqui y por halla encontre una manera de poder obtener informacion de la misma base de datos :)

les dejo parte del contenido, no pude sacar pantallasos por que fue algo rapido.

Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-09-20 11:17:28
Data Found: EXPIREDATEDATE=2011-10-20 11:17:28
Data Found: REFERRAL=PayPal
Data Found: ID=2269
Data Found: USERNAME=heidylucely@yahoo.com.mx
Data Found: PASSWORD=15n77b
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-09-23 08:36:27
Data Found: EXPIREDATEDATE=2011-10-23 08:36:27
Data Found: REFERRAL=PayPal
Data Found: ID=2270
Data Found: USERNAME=marian@lotusmallorca.com
Data Found: PASSWORD=6zfi1
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-09-23 10:25:00
Data Found: EXPIREDATEDATE=2011-10-23 10:25:00
Data Found: REFERRAL=PayPal
Data Found: ID=2271
Data Found: USERNAME=aivansb92@hotmail.com
Data Found: PASSWORD=yvv5h8
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-10-08 04:14:14
Data Found: EXPIREDATEDATE=2011-11-07 03:14:14
Data Found: REFERRAL=PayPal
Data Found: ID=2272
Data Found: USERNAME=abertinomoure@hotmail.com
Data Found: PASSWORD=ttxkdv
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-10-13 06:22:51
Data Found: EXPIREDATEDATE=2011-11-12 05:22:51
Data Found: REFERRAL=PayPal
Data Found: ID=2273
Data Found: USERNAME=carlesteule@skioptions.com
Data Found: PASSWORD=lk6mji
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-10-19 16:20:25
Data Found: EXPIREDATEDATE=2011-11-18 15:20:25
Data Found: REFERRAL=PayPal
Data Found: ID=2274
Data Found: USERNAME=rjblanco@hotmail.es
Data Found: PASSWORD=ox36t1
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-10-28 08:19:59
Data Found: EXPIREDATEDATE=2011-11-27 07:19:59
Data Found: REFERRAL=PayPal
Data Found: ID=2275
Data Found: USERNAME=acrentas@acrs.es
Data Found: PASSWORD=pxfr8
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-11-02 13:08:17
Data Found: EXPIREDATEDATE=2011-12-02 13:08:17
Data Found: REFERRAL=PayPal
Data Found: ID=2276
Data Found: USERNAME=me_garciam@hotmail.com
Data Found: PASSWORD=jni3mz
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-11-11 01:34:41
Data Found: EXPIREDATEDATE=2011-12-11 01:34:41
Data Found: REFERRAL=PayPal
Data Found: ID=2277
Data Found: USERNAME=lm.romero76@hotmail.com
Data Found: PASSWORD=jc8z7g
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-11-11 02:44:31
Data Found: EXPIREDATEDATE=2011-12-11 02:44:31
Data Found: REFERRAL=PayPal
Data Found: ID=2278
Data Found: USERNAME=jose_elchati@msn.com
Data Found: PASSWORD=670jjl
Data Found: STATUS=Activo
Data Found: SUBSCRIPTION=Registro en Plantilandia.com
Data Found: DATE=2011-11-11 20:28:43
Data Found: EXPIREDATEDATE=2011-12-11 20:28:43
Data Found: REFERRAL=PayPal

espero que les sirva Saludos.

Ya volvi al laburo no puedo publicar muy frecuente :(
Publicado por en No hay comentarios:
Etiquetas: , , , ,

martes, 3 de enero de 2012

Deteccion de Shell Webs

Bueno este post va... por que empiezo mis vagaciones.
y e estado googleando para ver si siguen los errores de programar algunos servicios en la web...
pero bueno buscando shell php o webs donde se puedan subir una shell y encontre muchas...
haciendo las busquedas simples.

site:pe + inurl:subir.php
site:pe + inurl:up.php
site:pe + inurl:upload.php
site:pe + inurl:archivo.php
site:pe + inurl:cargar.php
site:pe + inurl:modificar.php ..... etc etc etc lo que se les ocurra o imaginen que un programador podria colocar para poder hacer un upload.

en fin pero como nuestro lio no es hacer provecho de los errores de los demas, encontre un articulo sobre como detectar si tenemos una shell o algun script para ejecucion de comandos via url.

Detección de web shells con NeoPI y técnicas de evasión

PUBLICADO POR VICENTE MOTOS
Hoy en día, muchas aplicaciones web se desarrollan utilizando lenguajes de scripting como PHP, Python, Ruby, Perl, etc. Estos lenguajes pueden ser lo suficientemente complicados para que un pequeño fallo pueda llegar a permitir la ejecución de código arbitrario en el servidor.

Cuando una de estas condiciones es identificada por un atacante, casi con total seguridad intentará subir un web shell para mantener el acceso al servidor comprometido, permitiendo normalmente la ejecución de comandos del sistema y el acceso a archivos.

Pero, ¿cómo detectar el código de estosbackdoors en un servidor con cientos o quizás miles de páginas?

Si la shell no está ofuscada, podremos realizar una búsqueda rápida en base a una serie de patrones aunque, eso sí, obtendremos numerosos falsos positivos. Por ejemplo encontraríamos la mítica C99 con:

grep -RPn "(system|phpinfo|pcntl_exec|python_eval|base64_decode|gzip|mkdir|fopen|fclose|readfile|passthru)" /pathto/webdir/

Otra opción sería utilizar herramientas basadas en firmas como Linux Malware Detect (LMD), que encontrará algunas de las más típicas web shells. Sin embargo, ¿cómo detectaríamos aquellas shells que hayan sido modificadas/ofuscadas para ocultarse?

Para ello podemos utilizar NeoPI, un script en Python que utiliza varios métodos estadísticos para descubrir este tipo de contenido ofuscado o cifrado dentro de scripts y ficheros de texto.

Esta herramienta escaneará recursivamente los ficheros del directorio indicado y los puntuará en base a los resultados de las pruebas. Este ranking nos ayudará a identificar con una alta probabilidad de acierto qué ficheros podrían tener web shells ofuscadas:

root@testbed:~# ./neopi.py -z -e -l -i -s /var/www/ \.php$

[[ Total files scanned: 10235 ]]
[[ Total files ignored: 0 ]]
[[ Scan Time: 48.170000 seconds ]]

[[ Top 10 entropic files for a given search ]]
6.1817        /var/www/gallery/lang/chinese_gb.php
6.1784        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/zh-cn.php
6.1710        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/zh-tw.php
5.8753        /var/www/blog/wp-admin/js/revisions-js.php
5.7846        /var/www/gallery/lang/japanese.php
5.7306        /var/www/webacoo.php
5.6484        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/cs.php
5.6296        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/sk.php
5.6203        /var/www/plugins/system/nonumberelements/helper.php
5.6133        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/pl.php

[[ Top 10 longest word files ]]
 745        /var/www/gallery/include/exif_php.inc.php
 745        /var/www/gallery/exifmgr.php
 741        /var/www/gallery/lang/japanese.php
 728        /var/www/blog/wp-admin/js/revisions-js.php
 522        /var/www/blog/wp-includes/functions.php
 516        /var/www/libraries/tcpdf/tcpdf.php
 474        /var/www/plugins/content/jw_allvideos/includes/sources.php
 456        /var/www/blog/wp-content/plugins/sexybookmarks/includes/html-helpers.php
 436        /var/www/gallery/lang/chinese_gb.php
 354        /var/www/blog/wp-includes/class-simplepie.php

[[ Average IC for Search ]]
0.0372679517799

[[ Top 10 lowest IC files ]]
0.0198        /var/www/webacoo.php
0.0206        /var/www/gallery/lang/chinese_gb.php
0.0217        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/zh-tw.php
0.0217        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/zh-cn.php
0.0217        /var/www/templates/system/index.php
0.0217        /var/www/administrator/templates/system/index.php
0.0222        /var/www/blog/wp-content/themes/lightword/alternatives/404.php
0.0226        /var/www/blog/wp-admin/js/revisions-js.php
0.0270        /var/www/includes/HTML_toolbar.php
0.0272        /var/www/templates/beez/html/com_user/reset/complete.php

[[ Top 10 signature match counts ]]
  43        /var/www/gallery/include/themes.inc.php
  43        /var/www/gallery/themes/sample/theme.php
  26        /var/www/blog/wp-admin/includes/class-ftp.php
  19        /var/www/blog/wp-content/plugins/nextgen-gallery/lib/imagemagick.inc.php
  14        /var/www/libraries/geshi/geshi/php.php
  13        /var/www/blog/wp-includes/Text/Diff/Engine/native.php
  10        /var/www/blog/wp-includes/js/tinymce/plugins/spellchecker/classes/PSpellShell.php
   9        /var/www/gallery/include/functions.inc.php
   8        /var/www/blog/wp-includes/js/tinymce/plugins/spellchecker/config.php
   8        /var/www/blog/wp-admin/includes/class-wp-filesystem-ssh2.php

[[ Top 10 compression match counts ]]
1.0704        /var/www/administrator/templates/system/index.php
1.0704        /var/www/templates/system/index.php
1.0000        /var/www/blog/wp-content/plugins/sexybookmarks/includes/index.php
1.0000        /var/www/blog/wp-content/plugins/sexybookmarks/js/index.php
0.9663        /var/www/blog/wp-content/themes/lightword/alternatives/404.php
0.8958        /var/www/includes/mambo.php
0.8860        /var/www/includes/joomla.php
0.8821        /var/www/includes/vcard.class.php
0.8818        /var/www/includes/PEAR/PEAR.php
0.8796        /var/www/includes/HTML_toolbar.php

[[ Top cumulative ranked files ]]
 122        /var/www/webacoo.php
 202        /var/www/blog/wp-admin/js/revisions-js.php
 528        /var/www/plugins/content/jw_allvideos/includes/elements/header.php
 912        /var/www/plugins/content/jw_allvideos/includes/helper.php
 984        /var/www/modules/mod_archive/helper.php
1100        /var/www/libraries/bitfolge/vcard.php
1210        /var/www/administrator/components/com_content/elements/article.php
1240        /var/www/gallery/addfav.php
1246        /var/www/administrator/components/com_installer/admin.installer.php
1258        /var/www/administrator/components/com_config/views/component/view.php

Encontraremos emelco, una shell osfuscada y una wso metida al final de una imagen, pero también hay que decir que esta herramienta no es infalible y que, si el atacante pone un poco de empeño, se pueden evavir sus métodos de detección:

- Strings largas: NeoPI identifica las cadenas largas que normalmente representan código ofuscado. Se podrían añadir espacios para separar el string (base64_decode los va a ignorar).

- Entropía: NeoPI calcula la entropía de Shannon de los datos y devuelve un valor float entre 0 y 8. Si metemos espacios despues de cada caracter del string en base64 aumentamos el largo del archivo y la entropia va a ser menor. Tambien se puede agregar un comentario con los caracteres suficientes para que la entropia baje lo suficiente.

- Índice de coincidencia (I.C.): esta técnica se basa en el cálculo de las coincidencias de combinaciones de caracteres comparadas con las de un texto de ejemplo con la misma distribución. Un bajo IC indicará una posible ofuscación o cifrado. Teóricamente se podría intentar modificar el índice añadiendo caracteres basura o junk.

- Firmas: la típica búsqueda de patrones. Evitando el uso de eval(), system() y demás funciones comunes de las webshells. Se pueden usar funciones globales o 'strrev' ($b=strrev("edoced_4"."6esab")).

Bueno espero que les sea de utilidad.
Seguire navegando y mirando.
Saludos.
Publicado por en 1 comentario:
Etiquetas: ,

miércoles, 14 de diciembre de 2011

Terminando el 2011

Bueno despues de algunos años desde mi primer post.
Me e dado cuenta que son varios años y tuve q privarme de escribir cosas o sacar cosas al internet =) pero bueno ahora ya mas centrado y metido en otros lios.
Quiero escribir como hobby solo espero que no me priven de la libertad de expresion o de mostrar los errores del resto, en cuanto a seguridad espero tener claro lo ethico =)

A tocar temas de hardware opensource, comunicacion casera.
Pero mas relacionado con hardware y juguetitos

por ahi se me ocurrira postear algo en mis tiempos de vacios.



Saludos y sea bienvenido el 2012 sera un año maravilloso
Publicado por en 1 comentario:

sábado, 28 de agosto de 2010

Huellas del Pasado...

En Busca de nuevos retos y propuestas
:=)

Encontre nuevos retos y algunas propuestas
Publicado por en No hay comentarios:

martes, 27 de octubre de 2009

y pasaron los años

hace mucho tiempo atras se escondian las aplicaciones en webs raras en otros idiomas cualquier web que se tuviera acceso y se modificaba insertando un pequeño link en una letra, y con esto se lograba pasar los links a todos los usuarios que se deseaba, lo curioso era que en esos tiempos la seguridad pareciera que no existia pues quien menos con pocos conocimientos, podia hacerse de un espacio ajeno, hoy en dia la cosa cambio y sigue cambiando con muchos enfermos de la seguridad, que asu ves crean inseguridad para crear mas seguridad.

antes apreciaba los virus informaticos a nivel escritorio ahora veo los mismos a nivel web, todo esto es un mundo nuevo con nuevas visiones y emociones que asu ves me crea la insertidumbre de saber que mas se viene y que tan preparados estaremos para los cambios.

Me Gusta saber que dia a dia aperecen nuevos personajes en la red y asu ves desaperecen, frecuentemente cambian de nick y cambian de etica y todo eso es fascinante saber que hoy en dia todos somos iguales en las calles pero una ves que estamos detras de un monitor somos personas distintas cada uno con una peculiar habilidad.....

.................. Me despido jOSEzOFT. sin especialidad, no soy experto en ningun tema ni el mejor en algo.

Pero sigo sigo vivo al igual que todos, tras un monitor observando y conociendo.... Solo se que no hay imposibles.
El ser curioso no es pecado pero si te pueden condenar por serlo.

Aprender aprender aprender todos los dias mientras puedas pensar y hacer explotar tus ideas.
Publicado por en No hay comentarios:

martes, 3 de febrero de 2009

Bloqueo de SMS Y MMS de Nokias - Remotamente

Dañar teléfono celular

En l último congreso CCC (Chaos Computer Club) se ha publicado una vulnerabilidad que afecta Teléfonos Móviles de la empresa finlandesa Nokia que permite dejar un teléfono celular sin poder recibir o enviar SMS (mensajes de texto) o MMS (mensajes multimedia).

El bug consiste en enviar un mensaje de texto con un formato específico a un celular que utilice el Sistema Operativo Symbian S60, usado por la mayoría de móviles Nokia, algunos Panasonic y Samsung.

Lista de Modelos NOKIA Afectados:

S60 3rd Edition, Feature Pack 1 (S60 3.1):

  • Nokia E90 Communicator
  • Nokia E71
  • Nokia E66
  • Nokia E51
  • Nokia N95 8GB
  • Nokia N95
  • Nokia N82
  • Nokia N81 8GB
  • Nokia N81
  • Nokia N76
  • Nokia 6290
  • Nokia 6124 classic
  • Nokia 6121 classic
  • Nokia 6120 classic
  • Nokia 6110 Navigator
  • Nokia 5700 XpressMusic

S60 3rd Edition, initial release (S60 3.0):

  • Nokia E70
  • Nokia E65
  • Nokia E62
  • Nokia E61i
  • Nokia E61
  • Nokia E60
  • Nokia E50
  • Nokia N93i
  • Nokia N93
  • Nokia N92
  • Nokia N91 8GB
  • Nokia N91
  • Nokia N80
  • Nokia N77
  • Nokia N73
  • Nokia N71
  • Nokia 5500
  • Nokia 3250

S60 2nd Edition, Feature Pack 3 (S60 2.8):

  • Nokia N90
  • Nokia N72
  • Nokia N70

S60 2nd Edition, Feature Pack 2 (S60 2.6):

  • Nokia 6682
  • Nokia 6681
  • Nokia 6680
  • Nokia 6630

Para ver la lista completa de los dispositivos afectados click aquí.

Leer más »
Publicado por en No hay comentarios:

jueves, 29 de noviembre de 2007

http://solodeportes.cl/


Una mas de tRoyanito©jOSE









Bueno algunas fotos de mi travesura de hoy todo lo q ocasiona el aburrimiento

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)