Los números de 2013

Publicado: enero 2, 2014 en Uncategorized

Los duendes de las estadísticas de WordPress.com prepararon un informe sobre el año 2013 de este blog.

Aquí hay un extracto:

Un teleférico de San Francisco puede contener 60 personas. Este blog fue visto por 1.700 veces en 2013. Si el blog fue un teleférico, se necesitarían alrededor de 28 viajes para llevar tantas personas.

Haz click para ver el reporte completo.

Mimikatz Contraseñas de Windows

Publicado: febrero 7, 2012 en mimikatz
Etiquetas:, ,

Luego de estar varios meses sin tener una publicación, encontre la herramienta mimikatz del francés “Gentil Kiwi” para  sacar las contraseñas de windows sin utilizar los hashes de un usuario o correr rainbow tables para reventar por fuerza bruta las contraseñas.

Dentro del LSA (Local Security Authority) de Windows existen dos proveedores de autenticación por defecto (Tspkg y Wdigest) que almacenan las credenciales de los usuarios de forma reversible. Realmente no por un fallo inadvertido, si no porque estos módulos proveen autenticación a otros esquemas que necesitan conocer la contraseña, no sólo el hash.

Sin embargo, esto facitita a un atacante la posibilidad de recuperar las contraseñas en texto claro si dispone de permisos de debug sobre el proceso del LSASS (grupo de adminitradores), algo que podría haber conseguido previamente, por ejemplo, mediante la explotación previa de una vulnerabilidad de escalado privilegios (accediendo como SYSTEM).

Asi.

Descargamos el mimikatz y lo ejecutamos, luego damos privilegios sobre el proceso LSASS

Injectamos el proceso lsass.exe y la dll maliciosa sekurlsa.dll

Por ultimo obtenemos la contraseña de inicio de sesion

Espero les sea de utilidad 😀

Publicado: octubre 11, 2010 en Uncategorized

Cheat Sheets Hardening Solaris

Publicado: octubre 11, 2010 en Uncategorized

OpenVPN Linux

Qcow y Qcow2

Publicado: septiembre 30, 2010 en Uncategorized

El Formato de la imagen qcow2

El formato de imagen qcow (QEMU Copy-On-Write) es uno de los formatos de imagen de disco apoyado por el emulador QEMU. Es una representación de un dispositivo del tamaño de bloque fijo en un archivo. Beneficios:

  1. Archivo de menor tamaño, incluso en sistemas de archivos que no son compatibles con los agujeros (es decir, archivos dispersos).
  2. Copia en soporte de escritura (Copy-on-write support), donde es la única imagen que representa los cambios realizados en una imagen de disco.
  3. Snapshot support, donde la imagen puede contener varios snapshots del historial de imágenes.
  4. Compresión opcional  basada en zlib.
  5. Cifrado opcional AES.

El comando qemu-img es la forma mas comun de la manipulacion de estas imagenes ejemplo:

$> qemu-img create -f qcow2 test.qcow2 4G
Formating 'test.qcow2', fmt=qcow2, size=4194304 kB
$> qemu-img convert test.qcow2 -O raw test.img



Compresión

El formato de compresión qcow permite que cada grupo de forma independiente comprima con zlib.

Esto está representado en el cluster obtienido de la tabla L2 de la siguiente manera:

  • Si el segundo bit más significativo del cluster se desplaza una vez, se trata de un clúster comprimido.
  • El cluster_bits siguiente - 8 de la agrupación de desplazamiento es el tamaño del clúster comprimido, en sectores de 512 bytes.
  • Los bits restantes del clúster de desplazamiento es la dirección real del clúster comprimido dentro de la imagen.

El formato qcow

La versión 2 del formato qcow difiere de la versión original de la siguiente manera:

  1. Es compatible con los conceptos de snapshots, la versión 1 sólo tenía el concepto de copia en escritura de imágenes.
  2. Los clusters son un contador de referencias en la versión 2, el recuento de referencias se ha añadido para soportar snapshots.
  3. Las tablas L2 siempre ocupan un solo grupo en la versión 2, previamente a su tamaño fue dada por un campo de cabecera l2_bits.
  4. El tamaño de los clusters comprimidos, ahora se da en los sectores en lugar de byte.

Snapshots

Las snapshots son un concepto similar al de la copia por escritura(Copy on write), excepto que es la imagen original se puede escribir, no el snapshots.

Para explicar con más detalle – una copia por escritura imagen confusión que se podría llamar una “snapshot”, ya que en efecto, representan una snapshot del estado de las imágenes originales. Usted puede hacer varias de estas “snapshots” de la imagen original mediante la creación de múltiples copias en subir las imágenes, cada una se refiere a la imagen original misma. El cuál es digno de mención aquí, sin embargo, es que la imagen original debe ser considerada de sólo lectura y es la copia por escritura de snapshots que son modificables.

Snapshots – “real snapshots” – Cada snapshot es una de sólo registro de lectura de la imagen de un instante pasado. La imagen original permanece escrita y como se introducen modificaciones a la misma, una copia de los datos originales que se haga de las snapshots se refiere a ella.

Cada snapshot es descrita por un encabezado:

  typedef struct QCowSnapshotHeader { typedef struct (QCowSnapshotHeader
      /* header is 8 byte aligned */ / * Cabecera es de 8 bytes alineados * /
      uint64_t l1_table_offset; l1_table_offset uint64_t;

      uint32_t l1_size; uint32_t l1_size;
      uint16_t id_str_size; uint16_t id_str_size;
      uint16_t name_size; uint16_t name_size;

      uint32_t date_sec; uint32_t date_sec;
      uint32_t date_nsec; uint32_t date_nsec;

      uint64_t vm_clock_nsec; uint64_t vm_clock_nsec;

      uint32_t vm_state_size; uint32_t vm_state_size;
      uint32_t extra_data_size; /* for extension */ uint32_t extra_data_size; / * para * / extensión
      /* extra data follows */ / * Los datos adicionales siguientes * /
      /* id_str follows */ / Id_str * siguiente * /
      /* name follows  */ / * El nombre siguiente * /
  } QCowSnapshotHeader; QCowSnapshotHeader);

Los detalles son los siguientes

  • Una snapshot tiene un nombre y el ID, representada por cadenas (no terminada en cero) que siguen la cabecera.
  • Una snapshot también tiene una copia, por lo menos, de la L1 tabla original propuesta por l1_table_offset y l1_size.
  • date_sec and date_nsec da la gettimeofday del host () cuando se creó la snapshot.
  • vm_clock_nsec da el estado actual del reloj VM.
  • vm_state_size da el tamaño del estado de la máquina virtual que se ha guardado como parte de esta instantánea. El estado se guarda en la ubicación de la tabla original, L1, directamente después de la cabecera de la imagen.
  • extra_data_size especifica el número de bytes de datos que siguen a la cabecera, antes de la Identificación y el nombre de cuerdas. Esto está previsto para una futura expansión.

Un snapshot es creado por la adición de uno de estos encabezados, haciendo un repaso del cuadro de L1 y el incremento de la cuenta de referencia de todas las tablas L2 y grupos de datos que hace referencia la tabla de L1. Más tarde, en su caso la tabla L2 o racimos de los datos de la imagen subyacente deben ser modificados – es decir, si la cuenta de referencia del grupo es mayor que 1 y / o “copiar” la bandera está fijada para ese cluster por primera ves se copiara. De esta forma, todas las snapshots no se han modificado.


PHP My Admin

Publicado: septiembre 6, 2010 en Uncategorized

Conocimientos Previos

Publicado: septiembre 6, 2010 en Uncategorized