Archivo

Archivo para la Categoría "FileSystem"

Intentando evadir mecanismos y restricciones de Seguridad – Creando una puerta trasera y accediendo a información de usuarios usando un DEB malicioso – Parte IV

febrero 17, 2012 Deja un comentario

En la entrada anterior se ha indicado como crear un instalador DEB malicioso utilizando msfpayload, lo que ha permitido obtener una consola en la mÁquina remota que se deseaba atacar.

Partiendo de la publicación anterior, se intentará crear un programa simple que acceda a la información de todos los usuarios del sistema y dicha información se intentará enviar a una máquina remota por medio de un socket. A continuación se indica paso a paso, el uso de algunas librerías propias en C/C++ (en concreto, contenidas en el paquete libc y build-essencial) y como se ha codificado esta pequeña puerta trasera. El objetivo de lo que se indica a continuación, es solamente para fines ilustrativos, no se tienen en cuenta factores de seguridad vitales en la máquina atacada tales como firewalls, AV y/o IDS, de esta forma, un hacker con conocimientos medios en programación puede darse una idea de la cantidad de operaciones que puede llevar a cabo en una máquina objetivo con un vector de ataque como este.

Leer más…

Bind a puertos reservados utilizando usuarios sin privilegios de Root

octubre 7, 2011 14 comentarios

Una de las tareas mas comunes de un administrador de sistemas consiste principalmente en la correcta configuración y arranque de diversos servicios tales como servidores web, servidores de correo, servidores DNS, etc. En todos los casos, alguien consciente de que la seguridad en los servicios expuestos al publico tendrá como referencia determinadas políticas de seguridad entre las cuales, sin lugar a dudas, se debe incluir la ejecución de dichos servicios con un usuario con privilegios limitados, es decir, el usuario ROOT no debería iniciar servicios como Apache o SendMail, ya que si existe algún problema con dichos servicios, como por ejemplo una vulnerabilidad que le permita al atacante acceder de forma remota (como por ejemplo el aprovechamiento de una vulnerabilidad de Buffer Overflow) este automáticamente tendrá privilegios de ROOT sobre el sistema, no hace falta indicar las nefastas consecuencias que conllevan incidencias como estas.

Leer más…

Conceptos Básicos de Rootkits en Procesos de Post-Explotación de Sistemas – Hacker Defender

julio 29, 2011 Deja un comentario

Un rootkit es un sistema que oculta la presencia de un atacante sobre un sistema comprometido, facilitando enormemente las actividades del hacker sobre dicho sistema. Para conseguir esto un rootkit permite esconder archivos, procesos y claves del registro en un sistema previamente comprometido por un atacante, el potencial de este tipo de enfoque tiene connotaciones muy importantes desde la perspectiva del atacante, principalmente porque le permite establecer backdoors no detectables por AV’s (en la mayoría de los casos) dado que los procesos se asocian con procesos que en principio son “confiables” y que procesos son confiables? Aquellos que se encuentran asociados a binarios importantes del sistema operativo, procesos o claves del registro, un rootkit se encarga de crear copias modificadas de estos binarios, procesos y claves del registro para que su posterior ejecución parezca legitima y permita a un atacante realizar operaciones administrativas.

Leer más…

Recuperar Ficheros Borrados y Reparar sistemas de archivos

marzo 30, 2011 Deja un comentario

Para recuperar ficheros o reparar sistemas de archivos basados en Ext, es necesario utilizar la herramienta e2fsck, la cual espera como parámetro el dispositivo que se desea chequear, es necesario que este se encuentre desmontado:

e2fsck /path/filesystemExt

Recuperando ficheros borrados:

En primer lugar, un fichero es una relación de disco y enlace, de esta forma el sistema operativo puede acceder al fichero por medio del enlace que apunta a la ubicación física en el disco duro, (llamado inode) cuando se emplea el comando rm para eliminar un fichero, solamente se elimina el enlace al que apunta, sin embargo el fichero permanece en el disco duro por un periodo de tiempo, vamos a ver una practica habitual cuando un fichero es eliminado y un proceso hace uso de el (un proceso zoombie)

Leer más…

Categorías:FileSystem Etiquetas:
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 773 seguidores

%d personas les gusta esto: