miércoles, 29 de agosto de 2012

FPD & Cross-site Scripting en Sitio E-Sign .




Como muchos deben saber la Empresa E-sign es a representante de Verisign en chile, esta empresa dentro de los variados servicio que ofrece es bastante conocida por ofrecer servicio de seguridad informatica, seguridad de la informacion, certificados digitales , nivel web, consultorias y mas.


En este caso se trata de un XSS dentro de su sitio, que ademas podriamos aprovechar su confianza al estar con SSL .



Ademas existe la posibilidad de insertar un iframe y con un poco de imaginacion e ingeria social podriamos encontrar una forma efectiva efectiva de explotarlo.

SS del XSS:






La gracia de este XSS, es abusar de la confianza que nos ofrece estar en presencia de un certificado, y la tranquilidad con la que una posible victima podria ser objeto de engaño.

Finalmente al generar el erro, nos emite además el full path con la ruta: D:\www\www\www.e-sign.cl\Enrolamiento\lib/xml/CSC

# En casa de herrero, cuchillo de palo.

IDs.secureless:  #2311  #2312

Esto fue reportado a e-sign obteniendo una buena respuesta, pero jamás fue hecho el fix.

jueves, 9 de agosto de 2012

Phishing Banco de Chile / Email spoofing + phishing site







Hoy al revisar mi correo, me percate que me llego un email al inbox de mi cuenta en hotmail, con el remitente:
Banco de Chile (serviciodetransferencias@bancochile.cl), 
algo extraño para mi ya que no poseo cuenta en dicho banco. Veamos la apariencia del contenido del mensaje.






































La verdad a simple vista es bastante realista, el motivo del correo es por "razones de seguridad", donde dice que es necesario confirmar un ceular y observamos que todas las imagenes y links apuntan al sitio:

http://trendities.com/wp-includes/js/jcrop/ , sitio que nos redirecciona automaticamente a donde se encuentra el sitio fraudulento : 
http://tslpdx.org/Dir/ww3.bancochile.cl

---------------------------------------------------------------

Volviendo al tema del remitente: serviciodetransferencias@bancochile.cl
es bastante extraño y podriamos suponer un email spoofing veamos el source del correo:

---------------------------------------------------------------------------------------

x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensxNRGNyaWNye2KGQMBL0mDAyfsLk47KxnCeC5gevrzet+jPjTzcwCjyfOYkAjKVEfGj8orz6lRlSAnMquNhlXj4NLjCu9QX9DkyOZnFRQbMQ=
Authentication-Results: hotmail.com; sender-id=temperror 
(sender IP is 85.114.133.90) 
header.from=serviciodetransferencias@bancochile.cl; dkim=none header.d=bancochile.cl; x-hmca=none
X-SID-PRA: serviciodetransferencias@bancochile.cl
X-SID-Result: TempError
X-DKIM-Result: None
X-Message-Status: n:0:n
X-AUTH-Result: NONE
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtHRD0xO1NDTD0y
X-Message-Info: aKlYzGSc+Lm+Zf+AatNrv8l3z1l4w8fZKNzDhsgC15ic+xR7MztIHsgQfBDGgfWr6t9Etwmz7OYhYMm3BZb5XCESBUj0UlSMi5y0cKI633RYJDiUPSH4Cc4y5F/T3xNZGT4ftS+wlAFUgf/kypZJvA==
Received: from rotzleffl.de ([85.114.133.90]) by COL0-MC4-F45.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
  Thu, 9 Aug 2012 08:11:36 -0700
Received: by rotzleffl.de (Postfix, from userid 65534)
 id 5BE6E72A1CD; Thu,  9 Aug 2012 17:07:04 +0200 (CEST)
To: MICORREO@hotmail.com
Subject: Ingrese a su Cuenta Nuevos servicios
From: Banco de Chile <serviciodetransferencias@bancochile.cl>
Reply-To: 
MIME-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
X-Priority: 1
X-MSMail-Priority: High
Content-Transfer-Encoding: 8bit
X-Mailer: My mailer
Message-Id: <20120809150709.5BE6E72A1CD@rotzleffl.de>
Date: Thu,  9 Aug 2012 17:07:04 +0200 (CEST)
Return-Path: nobody@de
X-OriginalArrivalTime: 09 Aug 2012 15:11:37.0320 (UTC) FILETIME=[456AEE80:01CD7641
 
----------------------------------------------------------------------------------
Email Spoofing:
 
La Sender IP (85.114.133.90): resuelve  el sitio  rotzleffl.de
que corresponde al siguiente sitio

Otra parte del contenido que me llamo la atencion fue el 
"by COL0-MC4-F45.Col0.hotmail.com" , y con la ayuda de San Google
nos damos cuenta que cada resultado de la busqueda tiene relaciones 
con phishing scams spam y sitios fraudulentos.
----------------------------------------------------------- 
 
Siguiendo con el sitio al cual fuimos direccionados:
http://tslpdx.org/Dir/ww3.bancochile.cl 
 
Nos encontramos con el sitio fraudulento:
 
 


El sitio fraudulento nos redirecciona nuevamente al pasar un par 
de segundos a:
 
http://tslpdx.org/Dir/BancoChile/enter.php
http://tslpdx.org/Dir/BancoChile/contact.php
http://tslpdx.org/Dir/BancoChile/Process.php
http://tslpdx.org/Dir/BancoChile/login.php
http://tslpdx.org/Dir/BancoChile/entrar.php
http://tslpdx.org/Dir/BancoChile/user.php
http://tslpdx.org/Dir/BancoChile/actualizar.php 
 
Aleatoriamente cada vez que somos redireccionados nuevamente 
desde http://tslpdx.org/Dir/ww3.bancochile.cl 
al realizar otro request al mismo sitio.
 
 
 
Saludos. 
 
 

lunes, 6 de agosto de 2012

Transferencia de Zona Abierta (AXFR) - Universidad Antofagasta



AXFR:
Def: Las siglas AXFR hace referencia a la transferencia por zonas de un DNS primario a un DNS secundario o de un DNS primario a un server maestro y de un server maestro a un DNS secundario, si llegara a existir algún problema de configuración o actualización del software de cualquiera de estos servidores se podrían explotar una serie de vulnerabilidades como por ejemplo un DoS y la integridad y confidencialidad de la base de datos del DNS primario se verían comprometidas, se estima que alrededor de un 60% de los servidores DNS en internet son vulnerables.
(http://es.wikipedia.org/wiki/AXFR)

Buscando en los sitios locales, pude dar con un AXFR que afecta a la Universidad De Antofagasta.

Dominio: http://www.uantof.cl
DNS Asociados: ns.uantof.cl 
               secundario.nic.cl
++

Afectado: @ns.uantof.cl
---------------------------------------------------------------

; <<>> DiG 9.7.0-P1 <<>> AXFR uantof.cl @ns.uantof.cl
;; global options: +cmd
uantof.cl.              3600    IN      SOA     ns.uantof.cl. admin.uantof.cl. 2006062147 900 600 86400 3600
uantof.cl.              3600    IN      NS      ns.uantof.cl.
uantof.cl.              3600    IN      NS      secundario.nic.cl.
uantof.cl.              3600    IN      MX      10 mx.tie.cl.
uantof.cl.              3600    IN      TXT     "google-site-verification=m6e__NzmUPTP14OWlfcoG5Fh3kARbB3WEKwJmf2kfnY"
adecca.uantof.cl.       3600    IN      A       200.54.114.231
ftp.adecca.uantof.cl.   3600    IN      CNAME   adecca.uantof.cl.
www.adecca.uantof.cl.   3600    IN      CNAME   adecca.uantof.cl.
archivos.uantof.cl.     3600    IN      A       64.76.162.206
archivos1.uantof.cl.    3600    IN      A       200.91.27.74
archivos2.uantof.cl.    3600    IN      A       200.91.27.75
archivos3.uantof.cl.    3600    IN      A       200.91.27.233
astro.uantof.cl.        3600    IN      A       200.54.114.142
www.astro.uantof.cl.    3600    IN      CNAME   astro.uantof.cl.
aulavirtual.uantof.cl.  3600    IN      A       200.54.114.104
www.aulavirtual.uantof.cl. 3600 IN      CNAME   aulavirtual.uantof.cl.
biblionline.uantof.cl.  3600    IN      A       200.54.114.56
biblioteca.uantof.cl.   3600    IN      CNAME   hornitos.uantof.cl.
boreas.uantof.cl.       3600    IN      A       200.54.114.109
www.boreas.uantof.cl.   3600    IN      CNAME   boreas.uantof.cl.
cienciasbasicas.uantof.cl. 3600 IN      A       200.54.114.132
www.cienciasbasicas.uantof.cl. 3600 IN  CNAME   cienciasbasicas.uantof.cl.
dirinv.uantof.cl.       3600    IN      A       200.54.114.134
edelfos.uantof.cl.      3600    IN      CNAME   hornitos.uantof.cl.
www.edelfos.uantof.cl.  3600    IN      CNAME   edelfos.uantof.cl.
egresadosmedicina.uantof.cl. 3600 IN    A       200.54.114.88
www.empleos.uantof.cl.  3600    IN      A       200.29.145.50
enlaces.uantof.cl.      3600    IN      A       200.54.114.231
www.enlaces.uantof.cl.  3600    IN      CNAME   enlaces.uantof.cl.
faciba.uantof.cl.       3600    IN      A       200.54.114.77
ftp.uantof.cl.          3600    IN      A       200.54.114.87
gis.uantof.cl.          3600    IN      CNAME   boreas.uantof.cl.
hornitos.uantof.cl.     3600    IN      A       200.54.114.52
ictiologia.uantof.cl.   3600    IN      A       200.27.127.209
idelfos.uantof.cl.      3600    IN      A       200.54.114.82
www.idelfos.uantof.cl.  3600    IN      CNAME   idelfos.uantof.cl.
imagenes.uantof.cl.     3600    IN      A       200.54.114.52
imap.uantof.cl.         3600    IN      A       200.91.27.67
ingen.uantof.cl.        3600    IN      A       200.27.127.205
siafi.ingen.uantof.cl.  3600    IN      A       200.27.127.60
www.ingen.uantof.cl.    3600    IN      CNAME   ingen.uantof.cl.
intranet.uantof.cl.     3600    IN      A       146.83.113.8
www.intranet.uantof.cl. 3600    IN      CNAME   intranet.uantof.cl.
inventarioictiologico.uantof.cl. 3600 IN A      200.54.114.95
www.inventarioictiologico.uantof.cl. 3600 IN CNAME inventarioictiologico.uantof.cl.
investigacion.uantof.cl. 3600   IN      A       200.54.114.134
www.investigacion.uantof.cl. 3600 IN    CNAME   investigacion.uantof.cl.
labmatem.uantof.cl.     3600    IN      A       200.54.114.61
ftp.labmatem.uantof.cl. 3600    IN      CNAME   labmatem.uantof.cl.
www.labmatem.uantof.cl. 3600    IN      CNAME   labmatem.uantof.cl.
laboratorioremoto.uantof.cl. 3600 IN    A       200.54.114.59
mail.uantof.cl.         3600    IN      CNAME   mta.uantof.cl.
mas.uantof.cl.          3600    IN      CNAME   ns.uantof.cl.
moodle.uantof.cl.       3600    IN      A       200.54.114.89
www.moodle.uantof.cl.   3600    IN      CNAME   moodle.uantof.cl.
mta.uantof.cl.          3600    IN      A       200.91.27.31
ns.uantof.cl.           3600    IN      A       200.54.114.229
pop3.uantof.cl.         3600    IN      A       200.91.27.67
portafolio.uantof.cl.   3600    IN      A       200.54.114.235
www.portafolio.uantof.cl. 3600  IN      CNAME   portafolio.uantof.cl.
prensa.uantof.cl.       3600    IN      CNAME   www.uantof.cl.
radio.uantof.cl.        3600    IN      A       200.54.114.230
www.radio.uantof.cl.    3600    IN      CNAME   radio.uantof.cl.
reportes.uantof.cl.     3600    IN      A       200.54.114.83
www.reportes.uantof.cl. 3600    IN      CNAME   reportes.uantof.cl.
simbad2.uantof.cl.      3600    IN      A       200.54.114.226
ftp.simbad2.uantof.cl.  3600    IN      CNAME   simbad2.uantof.cl.
www.simbad2.uantof.cl.  3600    IN      CNAME   simbad2.uantof.cl.
smtp.uantof.cl.         3600    IN      A       200.91.27.66
soporte.uantof.cl.      3600    IN      A       146.83.139.241
tvreuna.uantof.cl.      3600    IN      A       200.27.127.254
angamos.vista.uantof.cl. 3600   IN      A       200.27.127.100
webmail.uantof.cl.      3600    IN      A       200.91.27.70
www.webmail.uantof.cl.  3600    IN      CNAME   webmail.uantof.cl.
webpay.uantof.cl.       3600    IN      CNAME   ns.uantof.cl.
www.uantof.cl.          3600    IN      CNAME   simbad2.uantof.cl.
-------------------------------------------------------------------------------------------------------------------------------

AXFR con exito: Quedando en evidencia subdominios asociados.
Reporte en tramite?