KilltrØ Forensics & InfoSec.

Esta publicación se me ocurrió debido a que esta semana leí la noticia PSA: LastPass Does Not Encrypt Everything In Your Vault básicamente LastPass no está cifrando todos los datos del usuario. LastPass es una de las plataformas más utilizadas para almacenar nuestras cuentas de usuario y contraseñas y poder acceder a ellas siempre que lo necesitemos.  LastPass guarda con un cifrado AES de 256 bits toda la información más sensible de sus usuarios, como sus nombres, el usuario y la contraseña de una página web, la dirección URL de la página web asociada a dichos datos no se guarda de forma cifrada. En la imagen anterior se puede visualizar que el parámetro URL está cifrado de forma diferente que los parámetros anteriores a él, esto es debido a que esta pasado por hexadecimal si se utiliza un conversor se podrá ver en texto plano la URL. Básicamente de esto se trata la investigación …  Para lograr obtener algo “hacer hack” no necesariamente debes ir en cont

En esta ocasión para extraer información de un android mobile device como CallLog , Contacts , MMS , MMSParts y SMS utilice AFLogical OSE , este al ser una apk si vamos a su AndroidManifest.xml AndroidManifest AFLogical OSE Apk Veremos como Android permission. READ_PHONE_STATE : Permite el acceso de sólo lectura del estado del mobile, incluyendo el número de teléfono del dispositivo, la información actual de la red, el estado de las llamadas en curso, y una lista de cualquier PhoneAccounts registrados en el dispositivo, en esta apk al estar el minSdkVersion=”3” el sistema otorga implícitamente su aplicación para este permiso. READ_CONTACTS : Permite que la aplicación pueda leer los datos de los contactos del usuario. READ_SMS : Permite que la aplicación pueda leer los mensajes SMS. Básicamente estos permisos más la aplicación en si permitirán la extracción de datos una vez que la apk este ya en el device, por otra parte, utilice Android Debug Bridge que tiene d

Obtener datos y pruebas que te ayuden en una investigación no es tarea fácil, hace unas noches atrás (Si de aquellas que te sientas a investigar y terminas viendo el reloj a las 4:45 AM) me preguntaba por las formas de obtener las imágenes que el usuario estaba visualizando en el momento in situ en el que estaba cometiendo algún tipo de delito, ilícito, etc. Las posibilidades son muchas no voy ahondar que hecho preciso pudo realizar, es por eso que prepare una VM arme el escenario y me puse a realizar las pruebas imaginando que este computador no fue apagado y esto nos permitió hacer rápidamente volcado de memoria y posteriormente hacer análisis forense a dicho volcado. Lo primero que hice fue listar los procesos para ver cuáles serían mis objetivos a analizar. volatility pslist -f '/media/sf_Desktop/Gagonotes/Win7SP1x64-20161031-015650.raw' --profile=Win7SP1x64 Lista de Procesos extraidos del volcado de memoria. Esta vez había que obtener el dump de cada proceso por

Contexto En este caso no soy un administrador de sistemas y tampoco un administrador de red, por lo tanto mi solución va enfocada desde el último eslabón el usuario, en esta situación la red Minsal es administrada por un proveedor ISP el cual le concede ciertos trabajos y administración al Servicio de Salud, entre estos dos resuelven los trabajos de sistemas y redes, las redes hospitalarias estaban y aún están siendo burladas por los usuario saltándose las restricciones con el uso de VPNs a nosotros como unidad nos llegó información de lo sucedido con la explicación que el proveedor ISP y el SS no habían podido bloquear estos saltos de restricciones porque desconocían las VPNs con que se hacían fue ahí donde no me hacía sentido la respuesta por parte del ISP y el SS, por lo que pensé que si desarmaba la extensión miraba su código podía tener la lista de VPNs además de generar una herramienta para bloquear el salto de restricción de los usuarios , resultado de este cuestionamiento

Ya había estado trabajando con framework y otras herramientas que permiten la lectura de procesos y dump de memoria , hace unos días atrás leí sobre una herramienta de hacking que podía obtener datos del usuario en tiempo de ejecución, esto lo hace a través de la WinAPI y específicamente con la Windows function ReadProcessMemory() , me gusta bastante C y sus derivados como C# porque me permiten poder escarbar en el sistema en sus registro, procesos, files, red(sniffer), etc. Considero que es especial para programar mis propias ideas y descubrimientos hacking/forensic interactuando directamente con el sistema. Para leer lo que un proceso tiene en memoria he programado las siguientes líneas en C#. Primero obtengo la lista de procesos para luego identificar el name y ID del proceso que quiero leer en memoria: /* # Title: GetProcessId (POC) # Date: 19/07/2016 # Author: José Alejandro Gago # Tested on: Windows 7 x64 SP1 */ using System; using System.Diagnostics; using System.Compo

Para escribir esta proof of concept (Poc) utilice mecanismos sencillos, cero tools y métodos con el fin de demostrar que no se necesita tener conocimientos avanzados sobre la materia o como poder utilizar un sitio a favor del atacante. Tomo como referencia el site de una Universidad específicamente la siguiente Url: http://periodismo.userena.cl/escuela-2-0/galerias.html  Al pasar por las imágenes de la galería cada una le asigna un valor entero a la variable vsig88_0=   http://www.periodismo.userena.cl/escuela-2-0/galerias.html?vsig88_0= (valor entero) Pero no filtra los parámetros que se le pueden pasar, si bien la url no está disponible al usuario de forma directa se puede modificar y realizar las pruebas correspondientes. Y obtenemos como resultado nuestra Proof of concept de Cross-site scripting. Entonces es aquí sin usar algún servidor propio y solo para mostrar el POC utilizo un Dork bien sencillo para encontrar algún server que disponga de un