martes, 5 de marzo de 2019

Troyanizar Android con Evil-droid


Buenas tod@s:

Hoy os traigo una herramienta muy fácil de usar y que con ella, podremos comprobar la seguridad de nuestro dispositivo Android.

La herramienta se llama Evil-Droid y la podeis descargar desde aquí.

Lo podeis descargar en vuestra distribución Linux de forma muy sencilla.
En este caso yo uso git clone y posteriormente entro en la carpeta que me crea.



Le damos permisos de ejecución al archivo evil-droid.


...y ejecutamos.


 Chequeará las dependencias necesarias y las que no teneis , las instalará automáticamente.


 Seleccionamos la opcion 1 por ejemplo.


Nos saldrá por defecto nuestra ip y posteriormente el puerto (4444 por defecto), para realizar la APK maliciosa.


Seleccionaremos el tipo de Payload a usar. Yo seleccioné Meterpreter...


Y nos creará   la APK. Tendreis antes que seleccionar el nombre o dejarlo por defecto. Yo no lo cambié...


Posteriomente nos pedirá el tipo de exploit a usar. Yo selecciono multi-handler.


Y nos crea a través de Metasploit el ataque que estará a la escucha...


Después tendremos que infectar el dispositivo de alguna forma (por mail, por conexion usb, descarga de algun tipo...)
Y se ejecutará en nuestra distribución Linux, nuestro meterpreter (en este caso).
De ahí, múltiples opciones...





La utilidad es ver si nuestro equipo nos bloquea el main activity y lo reconoce como peligroso. 
Teneis practica fácil y rápida y con instalación muy sencilla.

A practicar...

@fsanz_moya

lunes, 4 de febrero de 2019

Mi Iphone, mi nube y yo...


Buenos días a tod@s:

Hoy vamos a seguir con estos pequeños y fáciles tutoriales de cómo convertir tu móvil en un dispositivo de ataque...perdón...de pentest...

Hoy toca el turno al Iphone. Haremos un snecillo tutorial de cómo conseguir que tu móvil pueda hacer lo que quieras, sin tener que rootearlo.

Comnzamos...lo primero, es disponer de herramientas para conseguirlo.

1 - Debemos tener un Iphone...
2- Disponer de una maquina linux en la nube (por ejemplo Digital Ocean, Ovh...)
3- y aquí empezamos...En la Appstore, nos descargamos una herramienta llamada Termius.



4- Abrimos la herramienta y nos encontramos con lo siguiente:


5- Clicamos en Hosts y la damos al simbolo + para crear una conexion (New Host)


6- Rellenamos con ls datos de nuestra nube:


7- Nos vamos a hosts de nuevo y debe aparecer en la pantalla:


8- Ahora clicamos , en este caso en la conexion creada como pentesting y...


9- Posteriormente podremos usar todas las herramientas que tengamos instaladas en nuestra nube...via ssh en este caso.



Sencillo y muy interesante!!!!

Hasta la próxima!!!


@fsanz_moya

martes, 15 de enero de 2019

hacking con Android (II)


Buenos días de nuevo!

Seguimos con esta pequeña saga de cómo tener herramientas de pentest en nuestro Android, sin necesidad de rootearlo. En posteriores post, lo haremos rooteado también.

Hoy vamos a instalar Sqlmap y nuestro framework preferido, Metasploit.

Para empezar, debemos tener en nuestro Android, TERMUX (que ya lo vimos en la semana pasada) y sqlmap. Esta ultima herramienta la podemos descargar desde aquí.

Bien, comenzamos.

Lo primero os muestro como el movil no está rooteado. Lo hacemos con un chequeador cualquiera.



Posteriormente, actualizamos TERMUX.


Posteriormente , si teneis un sistema superior a 6.0 de Android, os recomiendo que useis este comando para tener más permisos sin rootear el dispositivo.


Debeis buscar donde habeis descargado sqlmap. Podeis usar un buscador de archivos o bien, podeis buscarlo con el propio buscador del movil y posteriormente  seleccionar el archivo y darle a compartir. Ahí podeis elegir la carpeta a compatrtir para poder usarla. Evidentemente debes descomprimir el archivo.

Una vez hecho esto, entramos en el directorio y listamos. Vemos que tenemos nuestro archivo sqlmap.py; debeis arrancarlo con python2, porque si usais ./sqlmap.py, os puede dar problemas.
Y ya lo teneis.



Y listo...ya lo teneis instalado!!


Ahora vamos a instalar metasploit.
Antes de nada, instalemos curl en TERMUX.


Después debemos usarlo sobre la direccion https://raw.githubusercontent.com/Hax4us/Metasploit_termux/master/metasploit.sh


Se nos descarga un archivo llamado metasploit.sh; hay que darle permisos.


Posteriromente lo ejecutamos.


Una vez ejecutado, tenemos la carpeta llamada metasploit-framework. Entramos en ella.
 

Una vez dentro, directamente ejecutamos nuestro querido msfconsole y listo!!


 Hoy lo dejamos aquí!!!
Para la semana que viene, veremos como usar nuestro Iphone sin Jailbreak, para usarlo como herramienta de pentesting.

Saludos!!!!

@fsanz_moya

jueves, 3 de enero de 2019

Hacking con Android (I)


Práctica de nivel básico.

Buenos días y feliz año a tod@s:

Este año vamos a empezar con una serie de herramientas a usar en nuestro Android, sin necesidad de rootearlo. Posteriormente, haremos lo mismo, con dispositivos ya rooteados.

En primer lugar, trabajaremos con un Samsung S9, y version de Android 8.0. Para mostraros los pantallazos, usaré Airdroid.

Comencemos. Hoy instalaremos una tool que nos viene en el Play Store, llamada TERMUX, que será nuestra terminal para instalar las demás herramientas. Hoy ademas, instalaremos nuestro querido nmap.

Comenzamos.

Lo primero, descargamos la aplicacion TERMUX de Play Store.


Yo ya la tengo instalada y a mi me aparece abrir. A vosotros os debe aparecer Instalar.



Una vez instalada, la abrís y os debe aparecer algo así:


Después actualizamos.


 Os saldrá algo parecido a esto:


Bien...ahora vamos a ver si tenemos python instalado. Yo lo tengo instalado.



Si no lo teneis instalado, lo instalamos de la siguiente forma:


Perfecto!!! una vez instalado, vamos a instalar nuestra herramienta preferida!

 
Ok!!!!  Ya está instalada. ahora, la probamos!!!! y aquí está!!!!


Perfecto!!!! para la semana que viene, instalaremos sqlmap sin necesidad de rootear el móvil y la siguiente, instalaremos metasploit.

Un saludo y este año a estudiar!!!

@fsanz_moya






sábado, 15 de diciembre de 2018

SpiderFoot, herramienta OSINT

Buenas a tod@s:

Hoy os vengo a presentar una herramienta muy útil en la parte de recolección de informacion.
La herramienta se llama SpiderFoot, y la podeis descargar desde aquí.

Esta herramienta la podemos usar en el momento de recolectar información en una auditoría.
Podemos hacer escaneos sobre un dominio, una web, una ip, un mail o una red.

En la pantalla principal podremos ver varias opciones, desde comenzar un nuevo escaneo, ver escaneos realizados o configurarlo en settings como nosotros queramos.

Una vez que configuremos o dejemos por defecto la configuración de la herrramienta, podremos hacer nuestro primer escaneo.

Nos aparece la descripción, el objetivo y podemos configurar lo que queramos. Si dejamos ALL por defecto, nos sacará toda la información que recolecte, pero el escaneo será más lento.



Una vez comenzado el escaneo, veremos una pantalla similar a esta:



Aquí nos indica el estado del escaneo. En este caso, podemos observar que está en modo comienzo, donde nos lo indica con el status: starting.

Una vez que el escaneo comienza, aparecerá el estado Scanning y una vez finalice, aparacerá el indicador Finished.

Los resultados aparecerán de la siguiente forma:


Si pasamos el cursos por encima de cualquier barra, nos dará información de lo recolectado.



En la pestaña de SCANS, podremos ver los ecaneos realizados, así como sus resultados y poder exportarlos.

Desde mi punto de vista es una herramienta interesante, aunque con una gran cantidad de falsos positivos, que tendremos que filtrar, pero eso es lo bueno de este mundo..el día que tengamos algo 100% automatizado y perfecto, nosotros desapareceremos...recemos para que esto no ocurra ;)

Un saludo a tod@s y feliz semana!!!!

@fsanz_moya

domingo, 14 de octubre de 2018

TSSpentestweb. Auditoría Automatizada.


Buenos días a tod@s:

Hoy os traigo una herramienta desarrollada por mi (espero seais compasivos), pero que a los que empezais, os puede ayudar bastante a la hora de realizar una auditoria de pentesting sobre un dominio o una web.

Se trata de una herramienta creada en Bash, con varias herramientas que son llamadas desde el menu principal, pero siguiendo la estructura de un pentest (sería un pentest simple, pero es una tool de codigo abierto y modificable, que es lo mas interesante, como siempre)

 La podeis descargar desde aqui.

Es muy sencilla de utilizar y muy intuitiva. Perfecta para los que estais empezando.
Empezamos...una vez que la descargamos, le damos permisos al fichero:


Posteriormente, lanzamos la herramienta:


Nos aparecerá la pantalla de inicio, donde tendremos que meter el dominio a auditar:
 

Nos mandará al menu principal. Sencillo y repito..muy intuitivo:
 

Los primero es iniciar el análisis completo, donde lo que hará será un spidering, posteriormente , cuando lo termine, guardará todo en una carpeta con el nombre del dominio y donde podremos ver los resultados obtenidos, para posteriormente realizar mas pruebas.


Una vez termina la primar fase, te pide que pulses una tecla para continuar...de nuevo, todo muy facil y sencillo. Después analizará los subdominios, servidores de correo, ip's, transferencia de zona etc.



Después nos dará info de su estructura:


Después busca correos en la red y mas subdominios, si los hubiera.


Analiza también si existe un WAF protegiendo la web.


Pasamos despues a un escaneo intenso sobre el objetivo:


Y se finaliza con el menu de analisis de vulnerabilidades. Aquí debeis tener instaladsas todas las herramientas en Kali. Solo está Nikto por defecto. Ni que decir tiene, que desde el codigo de la tool, podeis modificar lo que querais...es lo bueno...


También tenemos el menú de ataques, donde tenemos metasploit, sqlmap, hydra...pero siempre que en las fases anteriores, nos arrojen la información necesaria. Ya sabeis..antes del ataque, hay que recoger y analizar toda la información.


Una vez terminado todo, antes de ir a los ataques, teneis un directorio que se ha creado en vuestro equipo, en el directorio de la aplicación, donde recoge toda la información anterior.
Hay que estudiarla antes de pasar a la explotación!!



Bueno..espero que os guste esta herramienta y le saqueis partido haciendo modificaciones!!!
En proximos post, os enviare la otra herramienta llamada tsspentestred, para analizar redes internas.

Saludos!!!!
@fsanz_moya