Algunas Tecnicas HACK

Técnicas de Intrusión

- Intrusión en Windows NT4 (paso a paso)
- Intrusión mediante NetBIOS: Vunerabilidad de NULL session
- Intrusión mediante una web 1.- Bug ActiveX de Guninski
- Intrusión mediante una web 2.- Infección con virus
- Intrusión mediante una web 3.- Método del webfolder
- Intrusión mediante una web 4.- Método "Object data"
- Intrusión mediante una web 5.- Método "media sidebar"
- Intrusión mediante un e-mail (vulnerabilidad x-wav del Outlook)
- Robo de contraseñas de web, falseando la barra de direcciones (ejemplo: robo de cuentas de Hotmail)
- Robo de contraseñas en webs construidas mediante marcos (baja seguridad en el tratamiento de los frames del Internet Explorer)
- Induciendo a la vícitima a ejecutar un archivo peligroso (falseando el entorno)
- Intrusión mediante intercambio de archivos directo 1.- "Contaminando" un PC ajeno para poder introducir troyanos/virus mediante cualquier tipo de archivos (jpg, txt, doc, bmp... etc)
- Intrusión mediante intercambio de archivos directo 2.- Carpetas manipuladas e infectadas con ejecutables (troyanos)
- Intrusión mediante intercambio de archivos directo 3.- -Engaños en el IRC
- Intrusión en servidores IIS 4/5: Unicode
- Intrusión en servidores IIS5: Doble-decode
- Intrusión en servidores IIS5: Vulnerbilidad Webdav
- Robo de contraseñas en redes locales (Introducción al ettercap)
- Intrusión en Windows NT4/2K/XP/2K3 explotando la vulnerabilidad RPC DCOM


Intrusión en Windows NT4 (paso a paso)
Tipo: Remoto
Objetivo: Windows NT4
Explicación completa, paso a paso, sobre como acceder a un servidor NT4, es sólo una de las posibles maneras de acceder a uno de estos servidores, desde el escaneo inicial de puertos, para acabar con un cotrol total sobre el servidor "víctima".
Aunque el NT4 es cada vez menos utilizado (lógicamente) el interés de este articulo se debe a que con pequeñas variantes, lo aquí explicado se puede aplicar a las versiones mas recientes de Windows.

Leer el articulo: http://cyruxnet.org/hacknt4.htm

Intrusión mediante NetBIOS: Vunerabilidad de NULL session
Tipo: Remoto
Objetivo: Windows
Es una de las técnicas de intrusión mas conocidas, y una de las mas utilizadas, basta con escanear unos cuantos rangos de ip´s para darse cuenta de que son muchos los ordenadores que, por desconocimiento o por descuido tienen compartidas partes sensibles de us disco duro, creyendo que no son accesibles desde internet.
Son muchos más los usuarios de Windows 9x que piensan que poniendo un password a sus carpetas compartidas, ya no tienen nada de que preocuparse, pero nada mas lejos de la realidad, ese tipo de passwords se pueden averiguar en MENOS DE UN MINUTO !!! independientemente de su longitud y complegidad.

Leer el articulo: http://cyruxnet.org/netbios.htm

Intrusión mediante una web 1.- Bug ActiveX de Guninski
Tipo: Remoto (via web)
Objetivo: Internet Explorer 5.5, Outlook, Outlook Express en los sistemas Microsoft Windows 9x/ME/NT4/2000
Seguramente habrás oido que existen páginas/troyanos que te pueden infectar con sólo visitar una página web, sin necesidad de que hagas click en ninguna parte. Pues si, no sólo es cierto sino que es muy fácil y bastante habitual, esto es posible gracias a un fallo de segurdad de algunas versiones del Internet Explorer.
Aquí puedes encontrar una explicación detallada de la primera de las técnicas de este tipo explicadas aquí, basada en una vulnerabilidad en lo controles ActiveX encontrada por Guninski.

Leer el articulo: http://cyruxnet.org/webinfectada.htm

Intrusión mediante una web 2.- Infección con virus
Tipo: Remoto (via web)
Objetivo: Internet Explorer
Las nuevas generaciones de virus ya no buscan destrozar el mayor número de ordenadores posibles, sino que tratan de desproteger y "abrir" todos los ordenadores por los cuales pasa. Generalmente para ello combinan las técnicas clásicas de infección, con exploits de vulnerabilidades.
Aquí por ahora puedes leer un análisis del gusano "nimda" que fue uno de los mas difundidos, aunque después se vió superado por otros como el "Klez", el proposito de este artículo es demostrar lo fácil que estos virus llegan a nuestros ordenadores, en ocasiones sin necesidad de nuestra intervención y utilizando las técnicas hack

Leer el articulo: http://cyruxnet.org/websinfectadasconvirus.htm

Intrusión mediante una web 3.- Método del webfolder
Tipo: Remoto (via web)
Objetivo: Windows 98 con Internet Explorer 5 o superior (aplicable a WIndows 2k/XP)
Una debilidad en la seguridad de Windows permite utilizar una antigua función llamada "web folder" (carpetas web) para que un atacante cree una web capaz de descargar y ejecutar silenciosamente un archivo en la máquina de la víctima que visite esa web. Hace uso también de alguna vulnerabilidad del Internet Explorer.

Leer el articulo: http://cyruxnet.org/webfolder.htm

Intrusión mediante una web 4.- Método "Object data"
Tipo: Remoto (via web)
Objetivo: Internet Explorer v 5.01/5.5/6.0
La vulnerabilidad del "object data" que permite a un atacante ejecutar código o descargar y ejecutar archivos en el sistema de la víctima simplemente viendo un archivo html (una web) con el IE.
El fallo está en el mal tratamiento del parámetro "Data" en la etiqueta "Object".
Por ejemplo: <object data="archivo_peligroso.php">
El "Data" no admite extensiones "peligrosas" (".exe", ".bat", etc) pero si la extensión es inofensiva (".php", ".html", etc), el contenido (Content-Type) del archivo hacia el que apunta el "Data" no es analizado, pudiendo contener código peligroso

Ver demostracion: http://cyruxnet.org/object_data.htm

Intrusión mediante una web 5.- Método "media sidebar"
Tipo: Remoto (via web)
Objetivo: Internet Explorer v 6.0
El 10 de Septiembre del 2003 Liu Die Yu publicaba en Bugtraq varias vulnerabilidades que afectaban al Internet Explorer.
Combinando una de esas vulnerabilidades con otra publicada el 26 de Agosto del 2003 por jelmer, se puede contruir una web que descargue y ejecute cualquier archivo en el sistema de quien visite esa web, entre otras cosas.


Leer articulo: http://cyruxnet.org/media_sidebar.htm

Intrusión mediante un e-mail (vulnerabilidad x-wav del Outlook)
Tipo: Remoto (via mail)
Objetivo: Internet Explorer 5 y Outlook Express
Los mayores peligros de la red suelen venir en e-mails infectados con troyanos o virus.
Mucha gente no lo sabe, pero existe una técnica que, sacando provecho de una vulnerabilidad de algunas versiones del Outlook Express, pueden descargar, y ejecutar (infectar) tu ordenador, simplemente por ver el contenido del correo, sin tener que abrirlo, pueto que basta con que aparezca su contenido en el preview (activado por defecto) que utiliza el Outlook
Aquí puedes econtrar cómo funcionan estos correos, con una detallada explicación paso a paso sobre cómo son y cómo se crean estos troyanos.
Recuerda que si sabes reconocerlos, podrás evitar ser infectado por ellos.

Leer articulo: http://cyruxnet.org/intrusionmail.htm

Robo de contraseñas de web, falseando la barra de direcciones (ejemplo: robo de cuentas de Hotmail) Tipo: Remoto (via web-webmail)
Objetivo: Internet Explorer
Aquí se explica un sencillo truco mediante el cual un atacante puede engañar a la víctima, haciendole creer que se le solicita que introduzca el password en la página oficial de su correo de web, sin embargo la página en la que la víctima se autentifica es una réplica, perteneciente al atacante.
La novedad es que usando un código javascript similar al de la técnica indicada mas abajo:"Induciendo a la vícitima a ejecutar un archivo peligroso", es muy probable que la víctima no se percate del engaño.
Aquí sólo se explica uno de muchos métodos similares que son actualmente muy utilizados.

Leer articulo: http://cyruxnet.org/javaspoof.htm

Robo de contraseñas en webs construidas mediante marcos (baja seguridad en el tratamiento de los frames del Internet Explorer)
Tipo: Remoto (via web-webmail)
Objetivo: Internet Explorer
Debido a un error, o política de baja seguridad, en el tratamiento de las etiquetas "frame", es posible abrir una web (atacante) dentro de otra, de distinto dominio, y sin variar el contenído de la "barra de dirección" (URL), de manera que la víctima crea estar viendo la página real, cuando en realidad esta viendo una web puesta por el atacante.
Un ataque de este tipo permite a un atacante, en determinados casos, robar el user y pass de determinadas cuentas de correo web, de algunas compañías, mediante un engaño a la víctima.

Leer articulo: http://cyruxnet.org/frame_bug.htm

Induciendo a la víctima a ejecutar un archivo peligroso usando Ingenieria Social (falseando el entorno)
Tipo: Remoto (via web)
Objetivo: Internet Explorer
No se trata de una infección en el sentido puro, este método demuestra como mediante unos simples scripts, es posible crear un "entorno falseado", es decir hacer creer a quien visita una página, que está tomando una decisión y en realidad está llevando a cabo lo contrario de lo que quería hacer.
Lo aquí explicado se centra en como se puede hacer creer a un visitante que está dandole a cancelar al "download de un archivo" cuando en realidad está pulsando en ejecutar, con la gravedad que ello conlleva.

Leer articulo: http://cyruxnet.org/iespoofscreen.htm

Intrusión mediante intercambio de archivos directo 1.- "Contaminando" un PC ajeno para poder introducir troyanos/virus mediante cualquier tipo de archivos (jpg, txt, doc, bmp... etc) Tipo: Local
Objetivo: Windows 98/Me/NT/2K/XP
Lo aquí explicado es un método exclusivo de CyruxNET sobre cómo, de una manera fácil, sin excesivos conocimientos de progarmación, es posible "pervertir" un sistema remóto de manera que la víctima sea vulnerable a que cualquier extensión, o lo que es lo mismo, cualquier tipo de archivo pueda ocultar un ejecutable (seguramente un troyano).

Leer articulo: http://cyruxnet.org/extensiones.htm

Intrusión mediante intercambio de archivos directo 2.- Carpetas manipuladas e infectadas con ejecutables (troyanos) Tipo: Directo
Objetivo: Windows 98/2K/XP
Si si como lo oyes, este método es exclusivo de CyruxNET ( y está basado en una vulnerabilidad del Windows que en su dia pasó casi desapercibida) , y demuestra que es posible crear carpetas preparadas para que al ser abiertas ejecuten un archivo que esté en su interior (generalmente un troyano), incluso pueden aparentar estar totalmente vacías.
La gavedad de este sistema es que nadie duda al abrir una carpeta, pero si al ejecutar un .exe, por eso, si se envía (comprimida) una carpeta modificada de esta manera, al ser abierta, la "vítima" quedaría infectada.

Leer articulo: http://cyruxnet.org/carpeta.htm

Intrusión mediante intercambio de archivos directo 3.- Engaños en el IRC
Tipo: Directo
Objetivo: Mirc (IRC)
Mucha gente sabe de los peligros de intercambiar archivos el el IRC, pero, casi todo el mundo se limita a no ejecutar archivos .exe, o a dejar que su script tome las medidas de seguridad por él.
Existe un método, aquí explicado detalladamente, mediante el cual un atacante puede engañar a la vícima, enviandole un archivo con una extensión no ejecutable, pero que se ejecutaría mediante un comando que la víctima ejecutará engañada por el atacante.

Leer articulo: http://cyruxnet.org/irc.htm

Intrusión en servidores IIS 4/5: Unicode
Tipo: Remoto
Objetivo: Windows+Servidor web IIS 4/5
Texto de www.hispasec.com
"Todos los servidores web con Internet Information Server pueden estar afectados por una grave vulnerabilidad que permite a un atacante la ejecución de programas en la máquina.
El problema afecta a las versiones de Internet Information Server 4.0 y 5.0 y la gravedad del problema es tal que la propia Microsoft recomienda la actualización inmediata de todos los servidores IIS. El problema se basa en una vulnerabilidad típica y conocida de los lectores habituales, como es la escalada de directorios mediante el uso de "../". Esta cadena introducida en peticiones web especialmente construidas, como es el caso que nos ocupa, permite subir directorios y escapar del árbol del web. Este tipo de ataques son habituales, si bien en esta ocasión para evitar la protección impuesta por IIS ante estas peticiones se logra reproducir el problema mediante la sustitución de los caracteres "/" y "\" por su representación mediante caracteres UNICODE."

Bajate el texto publicado por CyRaNo: "UNICODEX v3.0 " : http://cyruxnet.org/download/unicodex3.zip

Intrusión en servidores IIS 4/5: Doble-decode
Tipo: Remoto
Objetivo: Windows + Servidor web IIS 4/5
Existe un fallo en el Internet Information Server (IIS) de Microsoft que permite a un atacante remoto ver todos los directorios del PC servidor, ver y borrar archivos, ejecutar comandos e incluso parar el servicio de web.
Es posible para el atacante crear URLs que permitan aprovechar el fallo del IIS en la decodificación de rutinas. Los mecanismos de seguridad de esas rutinas pueden ser saltados fácilmente. Este fallo se encuentra en las versiones 4 y 5 del IIS


Leer articulo: http://cyruxnet.org/iiscgi.htm

Intrusión en servidores IIS5: Vulnerbilidad Webdav
Tipo: Remoto
Objetivo: Windows + Servidor web IIS 5
El 17-03-2003 salía a la luz un fallo en el archivo ntdll.dll del WebDAV que afectaba al IIS5, este fallo permite abrir una shell remota con permisos de system en el sistema afectado.

Leer articulo: http://cyruxnet.org/webdav.htm

Robo de contraseñas en redes locales (Introducción al ettercap)
Tipo: Remoto
Objetivo: Redes locales
Cada día son mas populares las técnicas de sniffing, arp-spoof, dns-spoof, man in the middle, etc, pero son muchos los que creen que están reservadas para los gurú de la red, y hasta hace poco era así, pero en esto como en todo, con el tiempo, internet ha hecho posible que se desarrollen rápidamente herramientas que hacen que lo que antes resultaba muy compicado, ahora sea cosa de niños (no estoy seguro de si eso es bueno o malo).
En este texto voy a tratar de explicar (por encima) cómo utilizar el programa "Ettercap", uno de los mejores programas para interceptar tráfico de red.

Leer articulo: http://cyruxnet.org/ettercap.htm

Intrusión en Windows NT4/2K/XP/2K3 explotando la vulnerabilidad RPC DCOM (ms03-026) Tipo: Remoto
Objetivo: Windows NT4/2k(SP0, SP1, SP2, SP3, SP4)/XP(SP0, SP1)/2k3
El 16 de Julio el grupo "The Last Stage of Delirium Research Group" descubrió un fallo en el servicio RPC (Remote Procedure Call) que afecta a los sistemas Windows de la familia NT mediante el cual, mandando un mensaje especialmente formado al servico RPC (puerto 135), un atacante remoto puede causar un buffer overflow y ejecutar código arbitrario en el sistema remoto con permisos de "System".
Aquí puedes leer en primer lugar un texto sobre como se realiza este ataque.
También tienes una completa colección de exploits, textos, scanners... relacionados con esta vulnerabilidad

Vulnerabilidad del RPC DCOM
http://cyruxnet.org/rpcxploit.htm

Todo para la vulnerabilidad del RPC DCOM (ms03-026)
http://cyruxnet.org/rpcxploit2.htm

Agradecimientos a cyruxnet.org y a DjävulVänner™

__________________

UnderGround Security Team

Te juro que me hubiera encantado leer el articulo, pero no me deja, me tira error en la pagina :S si a alguno le apso igual avise :P saludos

__________________
(¯º--=J_o_B=--º¯)

Gracias Por El Aporte.

__________________

El articulo esta muy copado, lastima que el sitio cyruxnet.org ya no funciona mas.