samedi 11 décembre 2010

501337 Magasine

Je profite d'être là pour vous faire découvrir, si ca n'est pas déjà fait, le nouveau magasine de sécurité informatique "501337".
Ce magasine est né sur EuropaSecurity.org, le projet a été fait par p3lo, membre d'EuropaSecurity. En plus de P3lo, s'ajoute diffèrent rédacteurs :

• [Techniques d'exploitation des LFI] Rioru
• [Etude d'un crypteur] Xash
• [Exploitations des failles WEB] K3vin Mitnick
• [Protection contre le vol de session] Rootix
• [JAVA Remote Download and execute] t0fx
• [Balade avec la mémoire virtuelle] Homeostasie
• [Etude sur l'indetectabilité du serveur Bifrost] tr00ps
• [Visite guidée du kernel land] KPCR
• [Exploration in the cross territory] Xylitol
• [Remote desktop phishing] 599eme Man
• [RTLO can be used into multiples spoofing cases] Jordi Chancel
• [Man Of the WiFi] Sh0ck
• [Firefox Maxlength patching] p3Lo
• [protocols exploration] p3Lo
• [mobile software phreaking] p3Lo
• [BT4 for fun and freedom] p3Lo

Vous pouvez remarquer la participation du papier du Remote desktop phishing par moi même et jordi chancel (Article).

Je vous laisse donc découvrir par vous même ce premier opus du 501337 zine :
Mirroir non-officiel

Remote Internal Phishing And Location Bar SSL Indicator Falsification

Le papier "Remote Internal Phishing And Location Bar SSL Indicator Falsification" que je vais présenter, est un papier ecrit par 599eme Man c'est à dire moi même et Jordi Chancel mon collegue.

Ce papier décrit, explique et démontre ce qu'est le "Remote Internal Phishing" et le "Location Bar SSL Indicator Falsification".
Ces deux méthodes ont été trouvé par nous mêmes et par ce papier nous les faisons découvrir.

Lien officiel :
Mirroir
PacketStormSecurity

dimanche 26 septembre 2010

Zero-day BlackBerry Browser Cross Origin Bypass

Le PoC :
PacketStormSecurity

Lors d'une recherche sur Blackberry j'ai essayé quelques bidouilles coté navigateur et j'ai trouvé une vulnérabilité plutôt critique ! Celle ci est un Cross Origin Bypass.
Kezako Kross origine baillepasse ?
Et bien c'est la possibilité de contourner ici la sécurité du navigateur et pouvoir utiliser du javascript sur un domaine autre que le notre.

Ici le C.O.B (Cross Origin Bypass) fonctionne via iframe. Nous installons une iframe pointant sur le site visé et une alerte javascript pointant vers l'id de l'iframe, alors cette alerte va contenir soit les cookies, soit ce que vous avez défini, du site visé.

Cross Origin Bypass BlackBerry Schema

Voici une vidéo démo :

mercredi 30 juin 2010

IframeInj SHELL est un shell que j'ai codé dans le but d'exploiter les injections d'iframe avancées, vous pouvez le comparer à l'utilité des Shell XSS.

Ce Shell permet donc d'interagir avec les connectés en temps réel en utilisant des fonctions tels que :
- L'attaques par HTTP
- Exécuter du code dans l'iframe (il est donc possible de beaucoup de choses par l'utilisateur, le choix est totalement libre...)
- Modifier le temps de rafraichissement et les tailles de l'iframe injectée
- Faire crasher le navigateur

A partir des fonctions pré-définis vous pouvez déjà faire pas mal de choses mais l'avantages est de pouvoir exécuter votre propre code ce qui rend la vision de fonction beaucoup plus large.

Comme dis ci-dessus ce Shell est utilisé pour les injections avancées (injection permanente avec possibilité d'utiliser PHP, injection via un shell...) si le PHP n'est pas utilisé dans le code d'iframe, la taille de celle-ci ainsi que le temps de rafraichissement ne peuvent se faire à distance et devront donc être changé à la main...

Code exemple d'iframe compatible avec le shell :



Pour une démonstration, une video (mettre en FullScreen) :


Telecharment :
IframeInj Shell 1.0 : http://www.megaupload.com/?d=UG72ME4C
Vidéo démonstration : http://www.megaupload.com/?d=GMVDD4S0

mercredi 3 mars 2010

NanoCast 0.2 BÊTA.
/By 599eme Man.

Blog consacré à NanoCast :
http://NanoCast-RAT.blogspot.com/


Je présente sur mon blog mon nouveau R.A.T (Remote Administration Tool) fonctionnant évidemment en reverse connection (serveur au client). Celui-ci est codé en AutoIt et sort donc du lot. J'ai mis beaucoup de temps, je me suis énormément investi dans celui-ci et j'espère donc que cela va ce ressentir dans le logiciel.

dimanche 7 février 2010

Navigators VulnTesting.
/By 599eme Man.

De fin Décembre à début Janvier j'avais trouvé 3 vulnérabilités sous :

- Mozilla Firefox, SeeMonkey, Safari (Remote DoS With Possible Memory Corruption With OOM)
- Google Chrome (Status Bar Obfuscation)
- Opera (Status Bar Obfuscation)

J'ai voulu en partie attendre pour signaler les vulnérabilités je partage maintenant celle-ci (Google Chrome et Opera ont déjà été publiés) :

- Opera Status Bar Obfuscation :
http://www.packetstormsecurity.com/0912-exploits/opera-obfuscate.tgz

- Google Chrome Status Bar Obfuscation :
http://packetstormsecurity.org/0912-exploits/chrome-obfuscate.txt

- Safari v4.0.4, Firefox v3.5.6, SeaMonkey v2.0.1 Remote Denial of Service (With Possible Memory Corruption With OOM) :
http://www.exploit-db.com/exploits/11347

mardi 22 décembre 2009

Expérience sur la non-information des contrefaçons web.
/By 599eme Man.

Cet article est une étude traitant sur la non-information des contrefaçons web (phishing et autres) servant ainsi à savoir en partie où en est l'information sur la contrefaçon. Celui-ci est basé sur une expérience réalisé cet l'après-midi (22/12/2009, a environ durée 4 heures).

Comme vous le savez, le web est truffé de contrefaçons, que ce soit des imitations de sites (tel que Facebook, Messenger, Myspace, etc...) ainsi que de malwares se faisant passer pour des applications saines.

Ce que je vais démontrer par l'expérience qui va suivre est le manque d'informations que possèdent les utilisateurs de divers sites.

Expérience :

Milieu de l'après-midi, mise en place d'un client botnet http tout frais codé sur un serveur ainsi qu'une page de phishing incitant à télécharger le fichier malveillant

À partir de ça, les utilisateurs visés allaient se connecter et télécharger le serveur.



Il est environ 16h00 : je récupère un compte Messenger dans le fin fond des fichiers de mon DDE et à partir de ça j'envoie le même message à tout le monde : "Salut, regarde le nouveau Facebook hxxp://serveurmalvaillant/page.php". Les personnes se connectent et téléchargent le malware et je me retrouve ainsi moins d'une dizaine de comptes Facebook ainsi que la même somme d'infectés sur mon panel.
Je renouvelle donc l'opération via les comptes Facebook phishés et en renvoyant le même message. Au final, il est environ 20h30, je me retrouve avec de plus en plus de compte (1 compte résultait vers environ 10 comptes) jusqu'à en avoir plus de 500 en fin d'après-midi et environ 200 infectés.



Grâce aux nombres des résultats de l'expérience, on voit que les victimes ne sont aucunement informé sur les contrefaçons. On peut donc en conclure qu'il y a une très faible mise en information des utilisateurs, qui est cachée dans les textes en petits caractères ou alors ces informations sont données (dans la plupart des cas) quand une connexion échoue plusieurs fois, lors de changement de mot de passe répétitif : c'est à dire quand il est trop tard...
Pour réduire ces nombres, il faudrait alors proposer des avertissements "en gros caractères" avant et après l'inscription. Ce travail est en partie fait par certains navigateurs et anti-virus, mais ceux-ci ne peuvent pas protéger de tous les sites et fonctionnements contrefaits. Ce serait donc aux sites potentiellement ciblés de mieux informer les utilisateurs même s'il est impossible de protéger ceux-ci à 100%.



599eme Man.

dimanche 22 novembre 2009

FaceBook Doublé.
/By 599eme Man.



FaceBook a depuis corrigé la vulnérabilité d'injection de code html cependant une nouvelle négligence au sein de la meme variable est alors exploitable .


Video du "Facebook Redirection" : Ici.

Advisorie : Ici.



Comme tout utilisateurs de Facebook, vous avez déjà dû essayer de faire un quizz. Mais saviez-vous qu''une variable commune à tous les quizzs est vulnérable à une attaque XSS de type URL String Evasion ?


Dans la nuit du 27/09/2009, je m''ennuyais tellement que j''enchaînais
les quizzs stupides de facebook , jusqu'à apercevoir un lien contenant
une variable nommé "next" dont le but était de redirigé l''utilisateur
sur une prochaine page lié au quizz . Intuitivement j''ai donc soumis
ce lien au test XSS jusqu'à trouver quelque chose. Et Bingo ! La
vulnérabilité XSS de type URL String Evasion fonctionne parfaitement.

Mais à quoi les vulnérabilité d''URL String Evasion pourraient bien servir ?
Et
bien des possibilités de phishing via le lien posé sur la page. Mais
encore de créer un formulaire (ne fonctionnant pas) où le bouton de
validation serait remplacé par un lien hypertexte menant à notre page
demandant une reconnexion ou divers autres informations .
Bien
sûr, ce n''est que quelques exemples liés à la faille, il y a d''autres
scénarios de possibilité de phishing à partir de cette vulnérabilité,
liberté à votre imagination.

Pour de plus amples informations sur cette faille cliquez sur "Advisorie".



Et pour des informations globales à propos des XSS vectors suivez le lien ci-dessous :

XSS Vectors attack list : http://ha.ckers.org/xss2.html






599eme Man.

SFR NeufBox SSID Persistant XSS & General CSRF
/By 599eme Man.



Les failles persistantes de type XSS sont les vulnérabilités côté
client parmi les plus dangereuses et les plus recherchés. En effet,
elles permettent d''incruster du code javascript|Html sur une page
cible, vous en devinerez vite les enjeux :


vols de cookies en masses (donc vols de login/password en masses), redirection, etc.


De même pour les attaques CSRF qui peuvent selon les cas permettre la modification de paramètres bien préçis
permettant ainsi l''accès au compte piégé. Grâce à ces failles, il
serait possible de garder la main sur l''utilisateur, voler ses cookies et agir avec l''interface.


Utilisez vous une SFR NeufBox ? Si oui, attention il y a danger.




Ici les enjeux sont importants, récupérer la source d''une page pour en
tirer des informations, jouer avec l''interface (ouverture de port,
récupérations des informations wifi etc...), modifier l''identifiant et le mot de passe d''accès à la box et encore bien d''autres possibilités.


 Bien
que l''attaque peut avoir un très lourd succès, le seul problème
rencontré reste que l''utilisateur doit s''être préalablement connecté
et dans le cas contraire, l''injection de code javascript
et le lancement des requêtes CSRF échoueront. Il faudra donc jouer avec
celui-ci pour le convaincre de se connecter puis par la suite lui faire
visiter un lien malicieux qui piégera instantanément la box concernée,
du Social Engineering est donc nécessaire.


Toutes les pages de l''interface sont vulnérables au CSRF, car aucune vérification des requêtes reçues n''est effectué, par conséquent il est tout à fait envisageable de faire visiter un lien pointant sur plusieurs formulaires cachés s''auto-validant pour pouvoir modifier la totalité des configurations de la box concernée.


Quant au Cross Site Scripting, il provient de la configuration wifi
et plus précisément de l''input de l'SSID dont le contenu va être
écrit puis affiché dans l''onglet général de la configuration wifi ; c''est donc dans cet onglet que le code injecté s''exécutera.


 En
résumé, les internautes possédant une NeufBox SFR ne sont pas
réellement en sécurités, car s''ils ont été préalablement connectés sur
leur box et parallèlement naviguent sur le net (page de l''interface
fermée ou non) il n''est pas improbable de les voir tomber sous le
contrôle d''hôtes malveillants.






599eme Man.