tag:blogger.com,1999:blog-26846014444163544322024-03-05T05:46:18.475+01:00Neo System ForensicsAnálisis forense de sistemas informáticos y respuesta ante incidentesneofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.comBlogger80125tag:blogger.com,1999:blog-2684601444416354432.post-14670005117359521502016-07-18T21:38:00.002+02:002016-07-18T21:38:17.281+02:00Curso de introducción al hacking éticoSe trata de un documento que escribí yo mismo hará ahora algo menos de 2 años y que pretendía dar unas pinceladas básicas acerca del mundo del pentesting y del hacking ético. El documento no está acabado del todo, pero prefiero publicarlo tal como está, antes que dejarlo aparcado por falta de tiempo.
El "curso" tiene una licencia Creative Commons y espero a alguien pueda serle útil y disfrute neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com4tag:blogger.com,1999:blog-2684601444416354432.post-45689289319915852242015-08-24T22:41:00.001+02:002015-08-25T07:48:08.647+02:00Jugando con un Web Service, WS-Security y OWASP ZAP scriptingHace algunas semanas y durante el proceso de análisis de la seguridad de un Web Service solo quedaba probar si este era vulnerable a un ataque de inyección SQL y, como no podía ser de otra forma, lo mejor era "tirarle a dar" con sqlmap. El problema era que al ejecutarlo devolvía un error:
<?xml version='1.0' encoding='UTF-8'?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-81254470999832205392015-01-21T14:22:00.000+01:002015-01-21T20:36:41.867+01:00Skeleton key via MimikatzSi todavía no sabes de que va esto de "Skeleton Key" básicamente se trata de un malware identificado por la gente del CTU (Counter Threat Unit) de Dell en uno de sus clientes. El bichito en cuestión se distribuye como una DLL que, una vez lanzada, se encarga de parchear determinadas funciones en el proceso LSASS de un Controlador de dominio con la finalidad de establecer una "contraseña maestra".neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-52358392427475310952015-01-19T13:51:00.000+01:002015-01-21T14:09:27.570+01:00Conexión mediante frootvpn en UbuntuFrootvpn es un servicio, gratuito al menos de momento, que nos ofrece una conexión vpn previo registro mediante usuario y contraseña. Una vez registrados, para configurar la conexión en Ubuntu seguiremos los siguientes pasos.
Nos hacemos root e instalamos el cliente de openvpn:
$ sudo -i
# apt-get update && apt-get -y install openvpn
Descargamos el fichero de configuración para la conexión a losneofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-77827315327344841352014-10-07T21:24:00.004+02:002014-10-07T21:39:20.018+02:00Solución (casi completa) al CTF de #nn4edLa semana pasada publicaron las pruebas del CTF de Navaja Negra 4 Edición, y como a mi estas cosas cada vez me van gustando más pues allá que me puse con ello. Aunque está incompleto creo que puede serle útil a alguien, al menos para aquellos que lo hayan intentado como yo y se hayan quedado atascados en alguna de las pruebas.
El documento puedes verlo aquí incrustado, leerlo directamente en neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com4tag:blogger.com,1999:blog-2684601444416354432.post-45566000458826947272013-06-11T23:11:00.001+02:002013-06-11T23:18:57.958+02:00Analizando un trozito de memoriaEl contenido de este artículo se corresponde con mi propuesta de solución a la prueba de análisis forense planteada por el inteco. Los ficheros correspondientes a cada una de las pruebas, incluyendo el volcado de la memoria ram utilizado en este análisis, estan disponibles gracias a un compañero de la lista de correo de la rooted desde el siguiente enlace.
Importante recalcar que he tenido que neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-1786152103263236372013-02-25T10:51:00.000+01:002013-02-25T10:52:11.388+01:00Un poco más de exploitingDespués de estrujarme la cabeza, máxime dado mi nivel en estos temas, conseguí superar todos los niveles del wargame Narnia, alojado en los servidores de overthewire. Lo que sigue es un documento resumiendo los pasos que dí para ello. Está subido a scribd y es público, por lo que puedes leerlo aquí como un documento incrustado, leerlo directamente en scribd, imprimirlo o descargarlo, aunque me neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-59727788328447038682013-02-12T10:55:00.001+01:002013-02-25T10:52:27.630+01:00HES2010 Level #3: mi primer buffer overflowTantas veces como había intentado ponerme con el tema del exploiting empezando, como no, por los famosos buffer overflow, había acabado desistiendo con la cabeza hecha un lío, sin haber logrado encajar todas las piezas y con la sensación de ser justo lo que viene después de inútil. Así que esta vez tiene que ser la definitiva, o al menos esa es la intención.
Como estoy en el principio, mis neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-56880392343207752982013-01-21T09:42:00.000+01:002013-02-25T10:52:47.532+01:00Jugando sí se aprende (advierto, nivel básico)Andaba un poco perdido tras haber terminado el Holiday Hack cuando un tweet de Daniel Garcia (a.k.a. @danigargu) dirigió mi atención hacia la web de overthewire y la lista de wargames que tienen publicados. De todos los disponibles el primero que llamó mi atención por su temática relacionada con la seguridad de las aplicaciones web en la parte del servidor fué Natas, y como "mente ociosa solo neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com9tag:blogger.com,1999:blog-2684601444416354432.post-30504031713448540672013-01-09T18:12:00.001+01:002013-03-01T09:25:58.209+01:00Mi solución al Holiday Challenge 2012, parte 2Seguimos en nuestro empeño de ayudar a salvar la Navidad, y tal como antes nos saltamos los diferentes controles que impedían el acceso al "SCADA" de Heat Miser esta vez le toca el turno a su gélido hermano: Snow Miser. La cosa no pinta fácil así que toca arremangarse y poner a funcionar todos los sentidos.
¡A por el SCADA de Snow Miser!
El interfaz del sistema de control del tiempo sigue neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-82024215685090567542013-01-08T13:11:00.000+01:002013-03-01T09:26:13.422+01:00Mi solución al Holiday Challenge 2012, parte 1Nuestro objetivo es superar los distintos niveles de acceso a las máquinas de control del tiempo de los hermanos Snow Miser, señor de las nieves, y Heat Miser, señor del calor, para apagarlas, de forma que las condiciones ambientales de sus feudos se intercambien. La historia precedente y que nos convierte en abanderados de Santa Claus obstinados en salvar la Navidad puede disfrutarse en la neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-27722427098016747402012-11-22T12:31:00.000+01:002012-11-22T12:31:01.417+01:00VMware ESXi, máquinas virtuales y obtención de evidenciasDebido al auge de la virtualización es altamente probable que tarde o temprano una investigación forense tenga como sujeto objeto de análisis un sistema virtualizado. Y dado que actualmente VMware se lleva la palma en cuanto a implantación en el mercado empresarial es más que posible que el sistema virtualizado se ejecute sobre un hipervisor de dicha compañía. Pues bién, lo que viene a neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com6tag:blogger.com,1999:blog-2684601444416354432.post-49735245600149493942012-09-06T19:21:00.003+02:002012-09-06T19:30:58.650+02:00Creando volcados de memoria en android con LiMELos que me sigáis en twitter (y los que no también) sabréis (u os enteraréis ahora) que he conseguido recuperar un HTC Google Nexus One que tenía en el cajón del olvido ya que no paraba de reiniciarse. Armado de paciencia conseguí desbloquear el arranque, rootearlo y, utilizando ROM Manager, instalar Cyanogenmod 7.2 tras lo que hasta el momento, y ya van algunos días, no ha vuelto a dar problemasneofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com6tag:blogger.com,1999:blog-2684601444416354432.post-89928721294366788082012-08-31T18:53:00.001+02:002012-08-31T18:55:11.806+02:00Linux, volatility y sus perfilesSi hay una herramienta en el campo del análisis forense que ha crecido exponencialmente en los últimos años esta es sin duda volatility, permitiendo actualmente el análisis de la memoria de prácticamente cualquier sistema Windows (ya sea de 32 o de 64 bits) y con soporte en las ramas de desarrollo para MacOS y Linux, tal como se indica en las FAQ.
En esta ocasión vamos a seguir los pasos neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-3784465790053378482012-06-05T11:49:00.000+02:002012-06-05T11:57:36.474+02:00La SSDT vista desde cercaLa SSDT es sin lugar a dudas una de las estructuras internas manejadas por Windows sobre la que, posiblemente, más literatura exista, por lo que éste artículo no es ninguna novedad. No obstante me la he encontrado en mi camino y como dijo Albert Einstein: "No entiendes realmente algo a menos que seas capaz de explicárselo a tu abuela".
En concreto, y para simplificar el proceso, he analizado el neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-63721186379764509192012-04-29T22:37:00.000+02:002012-04-29T22:37:34.540+02:00Aprendiendo pythonPues ahora que recién estrené mi condición de parado, y por tanto con algo más de tiempo al menos hasta que decida que ponerme a estudiar, cualquier excusa es buena para pasar un rato entretenido. Y en este caso la excusa la encontré en el siguiente enlace: "From ZeroAccess to 256 IPs in 0.2 Seconds".
El investigador describe en dicho artículo como traza de una infección del rootkit ZeroAccessneofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-48116596922593654802011-07-31T21:53:00.004+02:002011-08-14T19:07:51.958+02:00Jugando con python-registryNada mejor para una tranquila tarde de domingo después de ver la Formula 1 y conseguir que se duerma la niña que jugar un poco con el registro de Windows y python. Sí, he dicho bién, con python y los ficheros que componen el registro de Windows.
Hasta el momento, o al menos hasta donde yo conocía, era posible trabajar con el registro de Windows de un sistema online, ya fuera local o remoto, neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-246311260419215302011-07-07T22:44:00.003+02:002011-08-14T19:07:35.729+02:00Windows, python y los ficheros pcapDespués de acabar de resolver las cuestiones planteadas en el Network Forensic Contest #8 de SANS y como todavía me quedaban ganas decidí intentar programar algo, por eso de seguir dándole a python y ver si salía algo decente. El resultado no es una maravilla, pero al menos hace lo que pretendía y me ha servido para aprender un poco más. Si quieres descargarlo directamente puedes hacerlo desde neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-82322711565790344482011-07-05T20:39:00.024+02:002012-11-22T12:06:50.962+01:00Análisis forense de capturas de redPara entretenerme un rato se me ocurrió ponerme con el último de los puzzles publicados en la web de SANS y hete que el entretenimiento me ha tenido liado varios dias e incluso algunas noches; como diría mi mujer - si es que tienes unos gustos mas raros.
Sirva como introducción el texto del contest: tenemos al muy malo rodeado de muchos policías, pero con la imperiosa necesidad de comunicarse neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com4tag:blogger.com,1999:blog-2684601444416354432.post-64648252842397603742011-02-15T23:28:00.011+01:002012-07-02T20:24:18.830+02:00The Walking Dead (OS Version)Aprovechando el tirón que tuvo la serie en España me he decidido por este título ya que, a fín de cuentas, es lo que pretendo hacer: conseguir reanimar una imagen post mortem de un sistema Windows para iniciarla utilizando VMware.Seguro que muchos estais pensando que esto es muy fácil desde que existe Live View, pero para lo que yo quiero, simplemente no me sirve. Y os diré porqué.Resulta que no neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-77420016865390188382011-01-17T20:50:00.006+01:002012-07-02T20:21:10.866+02:00Un paseo por la memoriaResulta obvio que la frecuencia de publicación ha bajado, por no decir cesado completamente, de unos meses hasta ahora; y es que mucho ha cambiado mi vida en este tiempo. El nacimiendo de mi hija Claudia, primer y principal condicionante, siendo el segundo haber superado mi obsesión maniaco/compulsiva por tener que publicar algo de forma periódica en el blog, perdiendo totalmente de vista el neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-51986508451317478182010-08-04T14:10:00.007+02:002012-07-02T20:14:15.180+02:00Usando la estructura KPCR en nuestro beneficioEn la búsqueda de procesos o drivers maliciosos ocultos cargados en memoria resultan de vital interés determinadas variables que contienen información relevante respecto al estado del kernel en el sistema en que Windows se está ejecutando. En este artículo y probablemente otro venidero descubriremos como acceder al contenido de estas variables, las estructuras que las contienen y algunas cosas neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-84886911324015834782010-05-30T20:23:00.003+02:002012-07-02T20:06:25.249+02:00Adquisición de evidenciasYa hemos hablado aquí de WinFE, una distribución live de Windows Vista orientada principalmente al campo del computer forensics. Vamos a sacarle partido en estas líneas y desarrollar la forma de utilizarla para la adquisición de evidencias, clonado del sistema objetivo de análisis o imaging, que queda como más mejor.No estoy diciendo que sea mejor utilizar WinFE en lugar de los clásicos live-CD neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-85659598861835759272010-05-13T20:37:00.005+02:002011-08-14T19:06:40.425+02:00Resultados del Honeynet Forensic Challenge 2010/3Hoy se han publicado los resultados y podemos descargar tanto una solución de ejemplo como los informes enviados por los finalistas:
Mario Pascucci (Italy)Tyler Hudak (USA)Carl Pulley (UK)En primer lugar felicitar a los ganadores. Por otra parte no estoy del todo descontento con mi puntuación personal ya que he conseguido el puesto 13 de entre 22 informes enviados y la satisfacción de haber neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com4tag:blogger.com,1999:blog-2684601444416354432.post-5210423211912422182010-05-10T21:37:00.008+02:002012-07-02T20:03:32.670+02:00Otro análisis más (y van 4) - Parte IIIEn la entrada anterior conseguimos extraer varios ficheros PDF desde el espacio de memoria del proceso AcroRd32. Uno de los documentos estaba cifrado y el otro contenía código javascript configurado para lanzarse de forma automática al abrir el fichero; y todo esto lo descubrimos gracias a Didier Stevens y su herramienta pdfid.Para que resulte más fácil seguir el relato, al final del mismo he neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0