../../../DotDotFUA !!!!!!!!!!FUAzzer… La Pesadilla de los DirectoriosAlejandro Hernández H. (nitrØus), CISSP, GPEN, ITIL, ...
../../../DotDotPwn !fuzzer… La Pesadilla de los DirectoriosAlejandro Hernández H. (nitrØus), CISSP, GPEN, ITIL, CobiThttp:...
../../ AGENDAIntroducción      Directory Traversal Vulnerability      Fuzz TestingInformación General      Origen / Evoluc...
../../ DotDotPwnDotDotPwn es un fuzzer inteligente y bastante flexible para descubrirvulnerabilidades de tipo Directory Tr...
../../ DotDotPwn @ BackTrack 4 R2                    +                    =           http://www.backtrack-linux.org
../../ IntroducciónDirectory Traversal Vulnerability Vulnerabilidad informática que ocurre cuando no existe suficiente seg...
../../ IntroducciónDirectory Traversal VulnerabilityFuente: http://es.wikipedia.org/wiki/Directory_traversal
../../ IntroducciónDirectory Traversal Vulnerability   Algunas aplicaciones realizan escaneos sobre las cadenas introducid...
../../ IntroducciónFuzz Testing Fuzz testing or fuzzing is a software testing technique that provides (in)valid, unexpecte...
../../ IntroducciónIntelligent Fuzz TestingFuente:DeMott, J. (2006). The evolving art of fuzzing.
../../ IntroducciónIntelligent Fuzz TestingFuente:DeMott, J. (2006). The evolving art of fuzzing.
../../ IntroducciónIntelligent Fuzz TestingFuente:DeMott, J. (2006). The evolving art of fuzzing.
../../ Información GeneralOrigen / EvoluciónCHANGELOG.txtDotDotPwn v1.0Release date: 21/Aug/2010      Checker Script      ...
../../ Información General Diseño / Arquitectura       INPUTS                     FUZZ PATTERNS                          O...
../../ Información GeneralAlgoritmo de Bisección Detección     exacta     de                profundidad             de   u...
../../ Información GeneralOpciones de usoUSAGE.txt
../../ Información GeneralOpciones de usoEXAMPLES.txt
../../ Información GeneralSitio y contacto oficialREADME.txtOfficial Website: http://dotdotpwn.blogspot.comOfficial Email:...
../../ Información GeneralDescargaDotDotPwn v2.1:PacketStormSecurity:http://packetstormsecurity.org/files/view/95399/dotdo...
../../ Información GeneralContribucionesAUTHORS.txtFeature/Idea:Implementation of the Bisection Algorithm once a vulnerabi...
../../ Información GeneralVulnerabilidades descubiertas                     Servidores probados                          H...
../../ Información GeneralVulnerabilidades descubiertas Ejemplos del registro de hallazgos
../../ Información GeneralVulnerabilidades descubiertasAdvisories / Exploits publicados (a la fecha) MultiThreaded HTTP Se...
../../ Información GeneralVulnerabilidades descubiertas Ejemplo de respuesta [chr1x]                                      ...
../../ Traversal EngineDescripción                           Traversal Engine                          ../../             ...
../../ Traversal EngineRecursos
../../ Traversal EngineRecursos
../../ Traversal EngineGeneración de patrones
../../ Traversal EngineFuzzing Inteligente Al inicio de la presentación (Introducción) … Entonces …
../../ Traversal EngineFuzzing Inteligente   Obtención de archivos de acuerdo al Sistema Operativo detectado ../../../boot...
../../ Traversal EngineFuzzing Inteligente
../../ Traversal EngineFuzzing Inteligente  Encoding de diagonales (/) para que una correcta semántica en cada patrón de f...
../../ Traversal EngineFuzzing Inteligente
../../ MódulosHTTP #DotDowPwn #snort-2.8.4 - snort-2.9.x, and suricata alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORT...
../../ MódulosHTTPVerificación adicional para evitar falsos positivos
../../ MódulosHTTP                 DEMO
../../ MódulosHTTP URL
../../ MódulosHTTP URL                 DEMO
../../ MódulosFTP
../../ MódulosFTPCumplimiento con RFC 959 - File Transfer Protocol y doble enfoque depruebas     CD <directorio> & GET <ar...
../../ MódulosFTP                 DEMO
../../ MódulosTFTP
../../ MódulosTFTPHack en el constructor del módulo TFTP.pm para mejorar la velocidad yadaptarse a los requerimientos de t...
../../ MódulosTFTP                 DEMO
../../ MódulosPAYLOAD
../../ MódulosPAYLOAD                 DEMO
../../ MódulosSTDOUT
../../ MódulosSTDOUT                 DEMO
../../ Agradecimientos Al público !nitrØus: Cubil Felino Crew (chr1x, r1l0, b0rr3x, l1l1th) BugCon Crew CRAc, hkm, crypkey...
../../ Gracias !!!                chr1x & nitrØus @ Solar Vision 3Alejandro Hernández H. (nitrØus), CISSP, GPEN   Christia...
../../ Gracias !!!    ¡¡¡ FUAAAAAAAAAAA !!!!!!!!!!!
Upcoming SlideShare
Loading in …5
×

Dot dotpwn v3.0beta campus party méxico 2011

1,398 views

Published on

Published in: Technology
  • Be the first to comment

Dot dotpwn v3.0beta campus party méxico 2011

  1. 1. ../../../DotDotFUA !!!!!!!!!!FUAzzer… La Pesadilla de los DirectoriosAlejandro Hernández H. (nitrØus), CISSP, GPEN, ITIL, CobiThttp://twitter.com/nitr0usmx<nitrousenador@gmail.com>http://chatsubo-labs.blogspot.com || http://www.brainoverflow.org
  2. 2. ../../../DotDotPwn !fuzzer… La Pesadilla de los DirectoriosAlejandro Hernández H. (nitrØus), CISSP, GPEN, ITIL, CobiThttp://twitter.com/nitr0usmx<nitrousenador@gmail.com>http://chatsubo-labs.blogspot.com || http://www.brainoverflow.org
  3. 3. ../../ AGENDAIntroducción Directory Traversal Vulnerability Fuzz TestingInformación General Origen / Evolución Diseño / Arquitectura Algoritmo de Bisección Opciones de uso Sitio y contacto oficial Descarga Contribuciones Vulnerabilidades descubiertasTraversal Engine Descripción Recursos Generación de patrones Fuzzing InteligenteMódulos Descripción Demostración de diferentes módulosAgradecimientos
  4. 4. ../../ DotDotPwnDotDotPwn es un fuzzer inteligente y bastante flexible para descubrirvulnerabilidades de tipo Directory Traversal en software, a través de protocoloscomo HTTP, FTP, TFTP, entre otros. Además, tiene un módulo independiente deprotocolo que permite enviar las pruebas al host y puerto especificado. Estáescrito en el lenguaje de programación Perl y funciona en plataformas *NIX yWindows. Esta es la primer herramienta Mexicana incluida en la distribución deLinux orientada a Penetration Testing (BackTrack Linux).
  5. 5. ../../ DotDotPwn @ BackTrack 4 R2 + = http://www.backtrack-linux.org
  6. 6. ../../ IntroducciónDirectory Traversal Vulnerability Vulnerabilidad informática que ocurre cuando no existe suficiente seguridad en cuanto a la validación de un usuario, permitiéndole acceder a cualquier tipo de directorio superior.Fuente: http://es.wikipedia.org/wiki/Directory_traversal
  7. 7. ../../ IntroducciónDirectory Traversal VulnerabilityFuente: http://es.wikipedia.org/wiki/Directory_traversal
  8. 8. ../../ IntroducciónDirectory Traversal Vulnerability Algunas aplicaciones realizan escaneos sobre las cadenas introducidas (para prevenir el Directory Traversal) buscando caracteres peligrosos como: .. .. ../ Sin embargo, la cadena es usualmente decodificada en URI antes de ser utilizada. Es por ello que estas aplicaciones son vulnerables a percent encoded como: %2e%2e%2f que se traduce a ../ %2e%2e/ que se traduce a ../ ..%2f que se traduce a ../ %2e%2e%5c que se traduce a .. etc.Fuente: http://es.wikipedia.org/wiki/Directory_traversal
  9. 9. ../../ IntroducciónFuzz Testing Fuzz testing or fuzzing is a software testing technique that provides (in)valid, unexpected, or random data to the inputs of a program. If the program fails (for example, by crashing or failing built-in code assertions), the defects can be noted. Fuzz testing enhances software security and software safety because it often finds odd oversights and defects which human testers would fail to find, and even careful human test designers would fail to create tests for.Fuente: http://en.wikipedia.org/wiki/Fuzz_testing
  10. 10. ../../ IntroducciónIntelligent Fuzz TestingFuente:DeMott, J. (2006). The evolving art of fuzzing.
  11. 11. ../../ IntroducciónIntelligent Fuzz TestingFuente:DeMott, J. (2006). The evolving art of fuzzing.
  12. 12. ../../ IntroducciónIntelligent Fuzz TestingFuente:DeMott, J. (2006). The evolving art of fuzzing.
  13. 13. ../../ Información GeneralOrigen / EvoluciónCHANGELOG.txtDotDotPwn v1.0Release date: 21/Aug/2010 Checker Script Core component: Traversal database (external .txt files) with 881 payloads Based on Shlomi Narkolayev’s Directory Traversal Cheat Sheet http://narkolayev-shlomi.blogspot.com/2010/04/directory-traversal-fuzz-list.htmlDotDotPwn v2.0Release date: 2/Sept/2010 (NON-PUBLIC Version) From Checker to Fuzzer Rewritten from the scratch Modular architechture (DotDotPwn packages) Core component: Traversal Engine A cool banner was included ;)DotDotPwn v2.1Release date: 29/Oct/2010 (PUBLIC Release at BugCon Security Conferences 2010)Release date: 14/Oct/2010 (NON-PUBLIC Version) False positives detection More modules includedDotDotPwn v3.0Release date: ¿?/2011 PRÓXIMAMENTE
  14. 14. ../../ Información General Diseño / Arquitectura INPUTS FUZZ PATTERNS OUTPUTS CREATION Modules manual OS type HTTP Traversal EngineOS detection HTTP URL ../../ .... ..%2f..%2f Deepness FTP ..%255c..%255c ..%c0%2f..%c0%2f ..%u2215..%u2215 TFTP ..%uF025..%uF025 ..%25c1%259c..%25c1%259c Filenames %252e%252e%c0%5c%252e%252e%c0%5c PAYLOAD STDOUT Dots & Slashes Encodings Bisection Algorithm
  15. 15. ../../ Información GeneralAlgoritmo de Bisección Detección exacta de profundidad de unavulnerabilidad identificadaEn matemáticas, el método de bisección es un algoritmo debúsqueda de raíces que trabaja dividiendo el intervalo a la mitad yseleccionando el subintervalo que tiene la raíz.http://es.wikipedia.org/wiki/Método_de_bisección../../../../../../../../../../../../../../../../etc/passwd (16)../../../../../../../../etc/passwd (16/2 = 8)../../../../../../../../../../../../etc/passwd ((8+16) / 2 = 12)../../../../../../../../../../etc/passwd ((8+12) / 2 = 10)../../../../../../../../../../../etc/passwd ((10+12) / 2 = 11) 5 requests en vez de 11 !
  16. 16. ../../ Información GeneralOpciones de usoUSAGE.txt
  17. 17. ../../ Información GeneralOpciones de usoEXAMPLES.txt
  18. 18. ../../ Información GeneralSitio y contacto oficialREADME.txtOfficial Website: http://dotdotpwn.blogspot.comOfficial Email: dotdotpwn@sectester.netBugs / Contributions / Improvements: dotdotpwn@sectester.net
  19. 19. ../../ Información GeneralDescargaDotDotPwn v2.1:PacketStormSecurity:http://packetstormsecurity.org/files/view/95399/dotdotpwn-v2.1.tar.gzBackTrack Linux 4 R2:# apt-get update# apt-get install dotdotpwn# cd /pentest/fuzzers/dotdotpwn/# ./dotdotpwn.plMirror:http://www.brainoverflow.org/code/dotdotpwn-v2.1.tar.gz
  20. 20. ../../ Información GeneralContribucionesAUTHORS.txtFeature/Idea:Implementation of the Bisection Algorithm once a vulnerability has been found in order to determine the exact deepness ofthe directory traversal. Origin of -X switch.http://en.wikipedia.org/wiki/Bisection_methodBy: Roberto Salgado aka LightOS http://twitter.com/LightOS http://www.websec.ca-------------------------------------Feature/Idea:Not always include the @Extra_files (e.g. web.config, httpd.conf, etc.). Origin of -e switch.Specify the Operating System type if known ("windows" or "unix"). Origin of -o switch.By: Eduardo Ruiz Duarte aka Beck http://twitter.com/toorandom http://math.co.ro http://b3ck.blogspot.com-------------------------------------Feature/Idea:Random User-Agent in HTTP requests for IDS/IPS detection avoidance.By: Diego Boy & Cristian Urrutia aka Gashnarkhttp://twitter.com/Diego_Boy http://twitter.com/blion_tec
  21. 21. ../../ Información GeneralVulnerabilidades descubiertas Servidores probados HTTP: 72 Plataformas HTTP: 2 (CMS’s) FTP: 25 TFTP: 11
  22. 22. ../../ Información GeneralVulnerabilidades descubiertas Ejemplos del registro de hallazgos
  23. 23. ../../ Información GeneralVulnerabilidades descubiertasAdvisories / Exploits publicados (a la fecha) MultiThreaded HTTP Server [chr1x] – http://www.exploit-db.com/exploits/12304 Wing FTP Server v3.4.3 [chr1x] - http://packetstormsecurity.org/1005-exploits/wingftp-traversal.txt VicFTPS v5.0 [chr1x] – http://www.exploit-db.com/exploits/12498 TFTP Desktop 2.5 [chr1x] - http://www.exploit-db.com/exploits/14857 TFTPDWIN v0.4.2 [chr1x] - http://www.exploit-db.com/exploits/14856 Femitter FTP Server 1.04 [chr1x] - http://www.exploit-db.com/exploits/154450-days publicados en un congreso de seguridad (octubre de 2010) Yaws 1.89 HTTP Server [nitrØus] Mongoose 2.11 HTTP Server (Win32) [nitrØus] Home FTP Server <= r1.11.1 (build 149) [chr1x]0-day(s) próximo(s) (¿? 2011) ¿?
  24. 24. ../../ Información GeneralVulnerabilidades descubiertas Ejemplo de respuesta [chr1x] 3.4.0 - 1st Traversal found ! 3.4.1 3.4.2 3.4.3 3.4.5 – 2nd Traversal found ! ================= 56 days of exposure!! DotDotPwn Breaking Patches! ☺
  25. 25. ../../ Traversal EngineDescripción Traversal Engine ../../ .... ..%2f..%2f ..%255c..%255c ..%c0%2f..%c0%2f ..%u2215..%u2215 ..%uF025..%uF025 ..%25c1%259c..%25c1%259c %252e%252e%c0%5c%252e%252e%c0%5c
  26. 26. ../../ Traversal EngineRecursos
  27. 27. ../../ Traversal EngineRecursos
  28. 28. ../../ Traversal EngineGeneración de patrones
  29. 29. ../../ Traversal EngineFuzzing Inteligente Al inicio de la presentación (Introducción) … Entonces …
  30. 30. ../../ Traversal EngineFuzzing Inteligente Obtención de archivos de acuerdo al Sistema Operativo detectado ../../../boot.ini en *NIX-like ../../../boot.ini en Windows ../../../etc/passwd en Windows ../../../etc/passwd en *NIX-like
  31. 31. ../../ Traversal EngineFuzzing Inteligente
  32. 32. ../../ Traversal EngineFuzzing Inteligente Encoding de diagonales (/) para que una correcta semántica en cada patrón de fuzzing ..%2f..%2fetc/passwd ..%2f..%2fetc%2fpasswd %2e%2e%c0%af%2e%2e%c0%afwindowssystem32driversetchosts %2e%2e%c0%af%2e%2e%c0%afwindows%c0%afsystem32%c0%afdrivers%c0%a fetc%c0%afhosts
  33. 33. ../../ Traversal EngineFuzzing Inteligente
  34. 34. ../../ MódulosHTTP #DotDowPwn #snort-2.8.4 - snort-2.9.x, and suricata alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET SCAN DotDotPwn User-Agent"; flow: established,to_server; content:"User-Agent|3A| DotDotPwn"; nocase; http_header; threshold: type limit, track by_src,count 1, seconds 60; classtype: attempted-recon; reference:url,dotdotpwn.sectester.net; sid:yyyyyy; rev:1;)
  35. 35. ../../ MódulosHTTPVerificación adicional para evitar falsos positivos
  36. 36. ../../ MódulosHTTP DEMO
  37. 37. ../../ MódulosHTTP URL
  38. 38. ../../ MódulosHTTP URL DEMO
  39. 39. ../../ MódulosFTP
  40. 40. ../../ MódulosFTPCumplimiento con RFC 959 - File Transfer Protocol y doble enfoque depruebas CD <directorio> & GET <archivo> GET <directorio><archivo>
  41. 41. ../../ MódulosFTP DEMO
  42. 42. ../../ MódulosTFTP
  43. 43. ../../ MódulosTFTPHack en el constructor del módulo TFTP.pm para mejorar la velocidad yadaptarse a los requerimientos de tiempo de DotDotPwn (opción -t )
  44. 44. ../../ MódulosTFTP DEMO
  45. 45. ../../ MódulosPAYLOAD
  46. 46. ../../ MódulosPAYLOAD DEMO
  47. 47. ../../ MódulosSTDOUT
  48. 48. ../../ MódulosSTDOUT DEMO
  49. 49. ../../ Agradecimientos Al público !nitrØus: Cubil Felino Crew (chr1x, r1l0, b0rr3x, l1l1th) BugCon Crew CRAc, hkm, crypkey, tr3w, beck, nediam, beavis, alt3kx, Héctor López, dex, Cj,SirDarckCat, xScPx, sunLevy, zeus, ran, Federico L. Bossi Bonin www.underground.org.mx #mendozaaaachr1x: l1l1th r1l0 b0rr3x <------------------ hkm alt3kx cHiPx0r corelanc0d3r
  50. 50. ../../ Gracias !!! chr1x & nitrØus @ Solar Vision 3Alejandro Hernández H. (nitrØus), CISSP, GPEN Christian Navarrete (chr1x)http://twitter.com/nitr0usmx http://twitter.com/chr1x<nitrousenador@gmail.com> <chr1x@sectester.net>http://chatsubo-labs.blogspot.com http://chr1x.sectester.nethttp://www.brainoverflow.org
  51. 51. ../../ Gracias !!! ¡¡¡ FUAAAAAAAAAAA !!!!!!!!!!!

×