DSi USB Write-Blocker

USB Write blocker is an application that will use the windows registry to write block USB devices.  It is a useful tool for those who wish to view the contents of USB drives without making changes to the files metadata or timestamps.  This is a critial feature in the fields of digital and computer forensics as well as electronic discovery (eDiscovery) where time stamps play a crucial role in the validity of evidence.

An added feature is the ability to see the application status in your task bar when you hover over its icon with your mouse (as seen in the screenshot below).

*NEW*: The DSi USB Write-Blocker Utility status is now shown in the OS system tray. This Allows you to see the current status of the DSi USB Write-Blocker tool with a quick glance.

Download

Windows Registry Recovery

Windows Registry Recovery permite trabajar con el registro de Windows 9x, NT, 2K, XP, 2K3, 2k8.

Algunos de sus Features:

• File Information
  In this explorer you can see basic file properties and checksums.
• Security Record Explorer
  Displays all security records used in registry. Usage counter, owner SID, group SID, list of affected keys and list of SACL and DACL is displayed for every record with flags and permissions enumerated. This explorer is available only for NT based system registry hives.
• SAM
  Displays Machine SID and part of SYSKEY. Enumerates local user and group accounts and some of their properties. This explorer is available only for NT based system registry SAM hive.
• Windows Instalation
  Displays Windows name, ID and key, install date and user registration info. Enumerates installed software with descriptions and install date and list of installed hotfixes wih description. This explorer is available only SOFTWARE registry hive (Product ID and key are extracted in SYSTEM hive too).
• Hardware
  Displays quick overview (CPU, Monitors, Video and Sound card and Network cards) and full device map of configured devices that worked on host machine. They are displayed in "like Device Manager" tree with some properties. This explorer is available for SYSTEM registry hive.
• User Data
  Displays user and machine name and tree based Start menu for selected USER hive. This explorer is available for USER registry hive.
• Startup Applications
  Enumerates applications that are registered to be run after startup. This explorer is available for SOFTWARE registry hive.
• Services and Drivers
  Enumerates all installed services and drivers with properties. This explorer is available only for NT based system registry SYSTEM hive.
• Network Configuration
  Displays all installed network clients, protocols and services. Enumerates all defined network connections with its TCP/IP configuration. This explorer is available only for NT based system registry SYSTEM hive.
• Windows Firewall Settings
  Displays settings (rules) for Windows Firewall. This explorer is available only for NT based system registry SYSTEM hive.
• Environment
  Displays all environment variables. This explorer is available only for NT based system registry SYSTEM hive.
• Shell Folders
  Displays shell folders (folders known to system). This explorer is available only for NT based system registry SYSTEM hive.
• Outlook Express
  Digs out all Outlook Express accounts and their settings. This explorer is available only for NT based system registry USER hive.
• Raw Data
  This explorer displays whole registry in known tree format. Contains powerful searching and data interpreter.

 Download: WRR.zip

SQLPing v3

SQLPing 3.0 es una simple herramienta cuya funcionalidad es escanear la red en busca de servidores SQL y a su vez detectar inconsistencias en sus configuraciones, lo que da una mano a la hora de securizar algunos puntos básicos. 

Descripción oficial:

SQLPing 3.0 performs both active and passive scans of your network in order to identify all of the SQL Server/MSDE installations in your enterprise. Due to the proliferation of personal firewalls, inconsistent network library configurations, and multiple-instance support, SQL Server installations are becoming increasingly difficult to discover, assess, and maintain. SQLPing 3.0 is designed to remedy this problem by combining all known means of SQL Server/MSDE discovery into a single tool which can be used to ferret-out servers you never knew existed on your network so you can properly secure them. .NET Framework v2.0 Required. (Note: Due to .NET policy restrictions on most computers, you'll need to execute the SQLPing 3.0.exe program from a local drive in order to get the full functionality). SQLPing 3.0 adds brute-force password capabilities and the ability to brute-force multiple instances.

Donwload: link

Regreso..

Después de una increíble luna de miel por el viejo continente vuelvo a retomar.
En unas semanas cuando me acomode con mi nuevo trabajo comenzaré a postear nuevamente...

BeEf (Browser Exploitation Framework)

BeEF es un framework de ataque para browsers, que hace que el Browser de un cliente se convierta en zombie para luego utilizarlo en otros ataques, como por ejemplo escanear puertos, hacer keylogging del usuario, robar el contenido clipboard, etc. Y todo desde el browser.

Descarga Oficial:
http://code.google.com/p/beef/

.

Mantra Toolkit

Mantra es una simple Toolkit de seguridad, la cual podríamos describir como Firefox + addons de pentest.
Su simple uso y fácil mantenimiento la hacen una Toolbox de gran ayuda a la hora de realizar análisis en distintas fases, pero no la catalogaría como una de las "indispensables".

Algunos de los Addons que trae son:

# Access Me
# Add N Edit Cookies+
# Chickenfoot
# CookieSwap
# DOM inspector
# Domain Details
# Firebug
# Firebug Autocompleter
# Firecookie
# FireFTP
# Firesheep
# FormBug
# FoxyProxy
# Google Site Indexer
# Greasemonkey
# Groundspeed
# HackBar

  entre otros...


Descarga Oficial:
http://www.getmantra.com/download/

.

Blackbuntu

Si hay algo que me gusta, son las Distro de Seguridad Linux LiveCD, podría pasarme todo el día jugando con ellas. Dentro de este tipo de herramientas, encontramos Blackbuntu el cual esta basado en Ubuntu 10.10.  Este LiveCD esta pensado para propósitos educativos en lo que respecta a Seguridad informática, con lo cual es una buena opción para autoaprendizaje.

Requerimientos a la versión actual 10.10:

1GHz x86 processor
768 MB of system memory (RAM)
10 GB of disk space for installation
Graphics card capable of 800×600 resolution
DVD-ROM drive or USB port


Descarga Oficial:
http://sourceforge.net/projects/blackbuntu/

.

Error inesperado

En unos días más haré un Upgrade de estado Civil, por lo cual no estaré posteando tan seguido.
Pido las disculpas del caso, y más que lamentos y felicitaciones se aceptan tranquilizantes del tipo Valium y Alplax!  ;)

Maltego (Paterva)

Maltego es una aplicación de minería y recolección de datos, utilizada durante la fase de 'Data Gathering que permite identificar el tipo de relaciones de la información que se está consultando, haciendo uso de diferentes motores de búsqueda.
Existen dos versiones de esta herramienta, la gratuita (Community Edition) bastante limitada pero muy útil, y su versión Comercial que con más features ya tiene un coste.

Referencias con las cuales puede trabajar:

• Nombres de dominio
• Información WHOIS
• Nombres DNS
• Bloques de red
• Direcciones IP
• Dirección de correo electrónico asociada con un nombre de persona
• Sitios web asociados con un nombre de persona
• Números telefónicos asociados con un nombre de persona
• Grupos sociales que están asociados con un nombre de persona
• Compañías y organizaciones asociadas con un nombre de persona
• Hacer una verificación simple de las direcciones de correo electrónico
• Búsqueda de blogs y referencias por frases
• Identificar vínculos entrantes para sitios web
• Extraer metadatos desde archivos y fuentes de dominios

 

Links útiles:
Manual del Usuario
Minería de Datos con Maltego

Descarga Oficial:
www.paterva.com/web5/client/download.php



.

Metasploit 3.6.0

La nueva versión de Metasploit (3.6.0) ha sido liberada. 

Descarga Oficial: www.metasploit.com

.

XSSER

XSSER es un framework que permite detectar y explotar vulnerabilidades del tipo XSS.

Esta herramienta de PenTest, permite automatizar el proceso de detección y explotación de inyecciones XSS contra diferentes aplicaciones.

Funcionalidades:

• Added attack payloads to fuzzer (26 new injections).
• Added POST connections. Now you can inject on webforms.
• Added Statistics reports with data about efficiency, connections, vectors, etc..
• Added URL Shorteners. Now is possible to have valid results in short links. for the moment support tinyurl and is.gd. your "malicious" code ready to share!!
• Added IP Octal spoofing for fuzzing vectors. Your remote/local IPs encoded in Octal.
• Added Post-processing payloading. When you see have a valid "hole/payload", you can say to XSSer to prepare the real code that you want to inject. this options is perfect for real attacks.
• Added DOM Shadows. For this version, this implementation is a server side anti-logging feature. You can inject code using Document Objet Model eval function, to evade some possible server IDS's.
• Added Cookie injector: Now is possible to inject code on HTTP Cookie parameters automatically.
• Added Browser DoS (Denegation of Service).

Download Oficial:
http://xsser.sourceforge.net/

.

WireShark - Analizador de paquetes.

 Wireshark, es una de las herramientas más utilizadas en este rubro.  Muchos ya la conocen y no creo poder dar una mejor definición de la misma, que la de Wikipedia, la cual cito "...antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos.

La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo..."

 

Links útiles:
Interpretando Datos con Wireshark
Análisis de Red con WireShark


Download Oficial:
http://www.wireshark.org

.

aidSQL SQL Injection

Otra interesante herramienta para SQLi, Open Source!  Esta aplicación PhP permite detectar agujeros de seguridad en sitios webs.  Lo más interesante de esta herramienta es la posibilidad de escribir y anexarle pluggins según nuestra necesidad.

Download oficial: http://code.google.com/p/aidsql/

.

Armitage

Armitage es una herramienta gráfica que simplifica el uso de Metasploit.  Si se nos complicaba a la hora de usar la consola, es tiempo de ir mirando con cariño esta sencilla interfaz gráfica.  Esta permite armar un entorno visual de nuestros objetivos y a su vez nos hace saber que exploits pueden estar afectando a cada uno de ellos.

 Para quienes tienen la nueva versión Backtrack R2, ya habrán notado su presencia.

Les recomiendo el artículo de Ethical.Hacker.Net para que vean como trabaja en forma detallada.


Fuentes consultadas:

Armitage
Ethical.Hacker.Net
HackPlayers


Descarga: http://www.fastandeasyhacking.com/download o en su repositorio amigo ;)
Manual: Aquí

.

ZAP Proxy

Para lograr visualizar que información es la que esta enviando una aplicación hacia un servidor y lograr interceptarla antes de que salga de la pc, existen diversos aplicativos del tipo PROXY.
 

Una de estas aplicaciones es ZAP Proxy. Esta herramienta acogida por el proyecto OWASP, nos permite interceptar tráfico para su análisis antes de que salga de la máquina como bien ya mencione. 

Son herramientas sencillas de utilizar por lo general, y resultan una muy buena opción, en situaciones tales como analizar un ataque del tipo XSS o cualquier otro caso que requiera ir pausando y viendo que es lo que ocurre en tiempo real.

Entre sus features podemos destacar:

• Intercepting Proxy
• Automated scanner
• Passive scanner
• Brute Force scanner
• Port scanner
• Spider

Download Oficial: http://code.google.com/p/zaproxy/downloads/list

.

Eraser - Eliminación segura de Datos

Eraser es una muy buena herramienta (GNU) para la eliminación segura de información, ya que lo que hace es sobrescribir varias veces según el algoritmo que escojamos.
Como sabemos, cuando uno elimina un archivo de la manera tradicional, lo que esta haciendo el SO es simplemente quitarle la referencia que tiene del mismo, dejando la posibilidad de recuperar la información eliminada, por describir la técnica a groso modo.

Algunos de los algoritmos que tiene este aplicativo entre otros son:

 
Gutmann (35 pasadas)
Método Gutmann: está basado en el método de Peter Gutmann de 27 pasadas, al que Eraser añade algunas mejoras, como usar el generador ISAAC del cuarto método para pasadas adicionales con datos aleatorios antes y después de escribir las propias del método del Dr. Gutmann, lo que concluye con un total de 35 pasadas. Se advierte que este método no es apropiado para deshacernos de datos en unidades comprimidas, porque algunos de sus pases contienen datos altamente comprimibles.

Pseudorandom Data:
emplea el algoritmo ISAAC (Indirection, Shift, Accumulate, Add and Count) de Bob Jenkins, que da el nombre al generador ISAAC.


US DoD 5220-22.M:
Este método está basado en el NISPOM (National Industrial Security Program Operating Manual) del Departamento de Defensa de EE.UU.; los datos aleatorios son creados con el generador ISAAC ya mencionado y aunque son métodos más rápidos que el basado en Gutmann, no alcanzan la seguridad de éste. Desaconsejables si sospechamos que alguien pueda querer emplear métodos de recuperación para rescatar nuestros datos, pero no descartemos su uso para el usuario casero. Tampoco son apropiados para emplearlos con datos ubicados en unidades comprimidas, porque algunos de sus pases contienen datos comprimibles.

Download Oficial: http://eraser.heidi.ie/


Links consultados para este artículo:
Wikilearning 
Teknoplof

DNSMap

Una útil herramienta que nos permite mediante fuerza bruta, obtener vía DNS los subdominios de un determinado dominio. 
Utilizada para realizar footprinting, es una de las herramientas más sencillas de manejar como podran ver a continuación,

./dnsmap dominio.com

./dnsmap -w diccionario.txt -r /reportes/lista-subdom-encontrados.txt

 
Download Oficial: https://code.google.com/p/dnsmap/downloads/list
Diccionarios: Aquí

Nueva Versión de la FOCA!

Hoy al hacer mi recorrido diario de Blogs a los que s uelo seguir, dí con la noticia de la nueva versión de la FOCA! de Chema Alonso. La espera ha terminado, esperamos conseguir una versión PRO para hacer el Review que se merece, hasta entonces les dejo el link para descargar la versión Free.

Download: http://www.informatica64.com/DownloadFoca/

"Skipfish" Tester de Vulnerabilidades Web de Google!"

Hace un tiempo que google ha sacado su propia herramienta de scanneo de vulnerabilidades web, la cual es gratuita y de código abierto.
Si bien puede decirse que cumple en algo con la promesa con la cual salió a la luz (reportar menos casos de falsos positivos y mayor rapidez), continúa siendo una más de las tantas que deberíamos de utilizar dentro de nuestro trabajo/investigación/educación.

Skipfish está escrito intégramente en “C”, se distribuye gratuitamente bajo una Licencia Apache versión 2.0 y está disponible para sistemas GNU/Linux, FreeBSD 7.0+, MacOS X y Windows (Cygwin).
A su vez dispone de una capacidad para procesar aproximadamente 2000 peticiones HTTP por segundo y hasta 7000 si son en máquinas locales, sin elevar demasiado el consumo de uso de CPU y de memoria en los servidores.

Llama la atención el diccionario que utiliza para escanear directorios o archivos ubicados en el servidor, ya que al parecer ha sido creado utilizando la misma técnica/conocimiento del crawler de Google, lo que brinda una mayor posibilidad de encontrar archivos no indexados.

Hay que tener cuidado en el momento de utilizar esta herramienta ya que podría llegar a causar un DoS.


Alertas:                                                                                                                                                 

* Alertas de riesgo alto:

o Server-side SQL injection (including blind vectors, numerical parameters).
o Explicit SQL-like syntax in GET or POST parameters.
o Server-side shell command injection (including blind vectors).
o Server-side XML / XPath injection (including blind vectors).
o Format string vulnerabilities.
o Integer overflow vulnerabilities.

* Alertas de riesgo medio:

o Stored and reflected XSS vectors in document body (minimal JS XSS support present).
o Stored and reflected XSS vectors via HTTP redirects.
o Stored and reflected XSS vectors via HTTP header splitting.
o Directory traversal (including constrained vectors).
o Assorted file POIs (server-side sources, configs, etc).
o Attacker-supplied script and CSS inclusion vectors (stored and reflected).
o External untrusted script and CSS inclusion vectors.
o Mixed content problems on script and CSS resources (optional).
o Incorrect or missing MIME types on renderables.
o Generic MIME types on renderables.
o Incorrect or missing charsets on renderables.
o Conflicting MIME / charset info on renderables.
o Bad caching directives on cookie setting responses.

* Alertas de bajo riesgo:

o Directory listing bypass vectors.
o Redirection to attacker-supplied URLs (stored and reflected).
o Attacker-supplied embedded content (stored and reflected).
o External untrusted embedded content.
o Mixed content on non-scriptable subresources (optional).
o HTTP credentials in URLs.
o Expired or not-yet-valid SSL certificates.
o HTML forms with no XSRF protection.
o Self-signed SSL certificates.
o SSL certificate host name mismatches.
o Bad caching directives on less sensitive content.

* Alertas internas:

o Failed resource fetch attempts.
o Exceeded crawl limits.
o Failed 404 behavior checks.
o IPS filtering detected.
o Unexpected response variations.
o Seemingly misclassified crawl nodes.

* Otros datos de interés:

o General SSL certificate information.
o Significantly changing HTTP cookies.
o Changing Server, Via, or X-… headers.
o New 404 signatures.
o Resources that cannot be accessed.
o Resources requiring HTTP authentication.
o Broken links.
o Server errors.
o All external links not classified otherwise (optional).
o All external e-mails (optional).
o All external URL redirectors (optional).
o Links to unknown protocols.
o Form fields that could not be autocompleted.
o All HTML forms detected.
o Password entry forms (for external brute-force).
o Numerical file names (for external brute-force).
o User-supplied links otherwise rendered on a page.
o Incorrect or missing MIME type on less significant content.
o Generic MIME type on less significant content.
o Incorrect or missing charset on less significant content.
o Conflicting MIME / charset information on less significant content.
o OGNL-like parameter passing conventions.

 Instalación:                                                                                                                                     
Descargar la última versión desde:    http://code.google.com/p/skipfish

● tar xzvf skipfish-1.55b.tgz
● cd skipfish-1.55b
● Make

● Listo!


Uso:
Antes de utilizar la herramienta por primera vez, hay que generar el diccionario, o mejor dicho copiar/renombrar uno que ya trae de muestra:

cp /skipfishDIR/dictionaries/default.wl /skipfishDIR/skipfish.wl

Ahora si:

./skipfish -o output http://www.misitioweb.com

Luego solo nos resta esperar y ver los resultados para su posterior análisis.



Fuentes consultadas para la creación de este artículo:

Syswoody
Cool2k’s Weblog
DaboWeb
InfoMalwares

Windows 7 SP1

Microsoft ha liberado el primer Service Pack 1 (SP1) de Windows 7. 

El Service Pack 1 de Windows 7 es una actualización que contiene las revisiones publicadas anteriormente para problemas específicos de confiabilidad, rendimiento y compatibilidad. 

Microsoft recomienda utilizar Windows Update para la instalación del mismo:

Link: http://support.microsoft.com/kb/2505743

Extensiones Firefox para Seguridad y Pentest

Dejo a continuación un mini listado con las tools más utilizadas.  Pueden no ser todas, pueden no ser las mejores, pero son de gran ayuda en muchos casos.

Passive REcon
https://addons.mozilla.org/mn/firefox/addon/passiverecon/

FoxyProxy
http://support.microsoft.com/kb/2505743

Https Everywhere
https://www.eff.org/https-everywhere

SQL Inject Me
https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/

Access Me
https://addons.mozilla.org/mn/firefox/addon/access-me/

Xss Me
https://addons.mozilla.org/en-us/firefox/addon/xss-me/

Add N Edit Cookies
https://addons.mozilla.org/en-us/firefox/addon/add-n-edit-cookies-13793/

Add & Edit Cookies +
https://addons.mozilla.org/en-us/firefox/addon/add-n-edit-cookies-92079/

Live Http Headers
https://addons.mozilla.org/en-us/firefox/addon/live-http-headers/

Network toosl (Router Status)
http://www.brothersoft.com/router-status-216375.html

Wot
https://addons.mozilla.org/es-ES/firefox/addon/wot-safe-browsing-tool/

Active Whois
https://addons.mozilla.org/es-ES/firefox/addon/active-whois-plugin-for-firefo/

WebDeveloper
https://addons.mozilla.org/es-ES/firefox/addon/web-developer/

User Agent Switcher
https://addons.mozilla.org/mn/firefox/addon/user-agent-switcher/

HackBar
https://addons.mozilla.org/mn/firefox/addon/hackbar/

FireCookie
https://addons.mozilla.org/mn/firefox/addon/firecookie

Tamper Data
https://addons.mozilla.org/mn/firefox/addon/tamper-data/

TorButton
https://addons.mozilla.org/mn/firefox/addon/torbutton

NoScript
https://addons.mozilla.org/en-us/firefox/addon/noscript/

HoneyPot para Windows

Hace unos días dí con un Honeypot llamado KFSensor de la firma KeyFocus, el cual incluso figura hasta en los libros de C|EH y yo ni enterado. Un producto bastante sencillo de instalar, configurar e interpretar, para entornos Ms. Windows.
Quizás no más sensillo que la instalación de un simple script en linux, pero para aquellos que quieran testear un HoneyPot bajo plataformas Ms de manera rápida, he aquí uno de ellos.

La instalación, como bien mencioné antes, es más que sensilla al igual que su puesta en marcha.

 Consola de Administración

Funciones:

- Monitoreo de Puertos
- Adm remota
- Motor de firmas
- Sistema anti-DoS

 

 Configuración de Escenarios

Emulación:

Permite la creación y configuración de diversos escenarios, lo que permite obtener información puntual según nuestros requerimientos del momento.
Port Listening, Banner, Command Console, http, smtp, Netbios, SMB, CIFs, Ms.Sql, MySql, ftp, telnet, pop3, vnc, entre otros.

Dice de tener un registro detallado de la actividad capturada pero no he tenido tiempo de ver que tan profundo es el nivel de LOGS.

Configuración de Servicios

Una herramienta interesante para evaluar mientras jugamos en esto que tanto nos gusta.

Requerimientos mínimos:

    * Windows XP, Windows 2003 Server
    * Processor 1.5Ghz
    * 80mb hard disk space
    * 256mb RAM
    * 1 LAN card


Download: http://www.keyfocus.net/kfsensor/download/kfdownload.php

VirusTotal Extensión "Enviar a"

Esto no se si llegar a considerarlo una herramienta en si mismo, pero si puedo decir que resulta útil a la hora de querer enviar una muestra a VirusTotal.com para su análisis en tiempo real, simplificando el proceso.

Desconocía esta opción/extensión para poder trabajar sin necesidad de un browser de por medio.

De lo que estoy hablando es de una simple aplicación que se instala en Windows y nos permite o bien hacer clic derecho sobre un archivo para enviar directamente a VirusTotal para su posterior análisis, o ya sea a través del aplicativo en si, el cual tiene varias opciones que mejor comento con imágenes. <Una imagen vale más...  >

Permite subir un Proceso sospechoso que tengamos en ejecución

Permite el envío de cualquier archivo desde la web misma, sin tener que descargarlo a nuestro Hdd

 Se puede configurar que hacer con el muestreo Web a analizar.

Más información y DESCARGA en la web oficial: http://www.virustotal.com/advanced.html