WhatASh3ll

Introduccion al pentesting de aplicaciones Android

2023-12-18T00:00:00+00:00

Primero de todo, necesitaríamos un dispositivo móvil rooteado. El proceso de root/jailbreak se deja a libertad de cada uno, hay varias formas en función de la versión de Android/iOS que dispongáis. Para serie de artículos que vamos a ir publicando, nos apoyaremos en Genymotion, que para quien no lo conozca es un emulador de Android que monta las imágenes ya rooteadas, lo que nos ahorra mucho tiempo. Para la comunicación con nuestro dispositivo Android, necesitaremos una herramienta conocida como Android Debug Bridge (ADB), nos permitirá comunicarnos con el dispositivo mediante comandos. El comando ADB facilita una variedad de acciones en dispositivos, como instalar y depurar apps. ADB proporciona acceso a un shell Unix que puedes usar para ejecutar una variedad de comandos en un dispositivo. ADB no es compatible con iOS, por lo que, en este caso, para levantar una Shell lo haremos por medio de SSH.

En el laboratorio que os presentamos, dispondremos de dos terminales: una máquina atacante (Kali) y una víctima, un dispositivo móvil (emulado). Para simular la víctima, se va a hacer el uso de Genymotion, un emulador de Android multiplataforma. Esta aplicación simplificará considerablemente la tarea, especialmente si no se cuenta con un dispositivo móvil rooteado.

En primer lugar, procederemos a preparar la máquina atacante con las siguientes herramientas necesarias:

MobSF (Mobile Security Framework): un entorno completo que permite la evaluación de seguridad y el análisis de malware de aplicaciones móviles (Android/iOS/Windows), capaz de realizar análisis estáticos y dinámicos. MobSF admite ejecutables de tipo APK, XAPK, IPA & APPX.
ADB (Android Debug Bridge): una herramienta de comandos que permite comunicarte con el dispositivo Android para realizar múltiples tareas.
Frida: un set de herramientas de instrumentación dinámica que permite visualizar y manipular procesos en ejecución, permitiéndonos inspeccionar el estado de los objetos, las variables y los hilos. Frida está disponible en múltiples plataformas como Windows, macOS, GNU/Linux, iOS, Android y QNX.
APKTool: una herramienta que permite decodificar paquetes APK, modificar el código fuente y volver a reconstruir los recursos decodificados de nuevo a formato APK.
JADX Gui: una herramienta en línea de comandos que cuenta con su versión con interfaz gráfica. Permite, al igual que apktool, decompilar aplicaciones APK, modificar, compilar.
Objection: un conjunto de herramientas de exploración móvil en tiempo de ejecución, impulsado por Frida, creado para ayudarle a evaluar la seguridad de aplicaciones móviles, sin necesidad de jailbreak o root.
Burp Suite: funciona como un servidor proxy web entre el un cliente (navegador/aplicación móvil) y el servidor de destino. Permite interceptar, inspeccionar y modificar el tráfico que pasa en ambas direcciones. Para la configuración de Burp en el dispositivo Android os recomendamos acudir a la propia explicación de PortSwigger.
Drozer: un framework que permite la búsqueda automatizada de vulnerabiliades en aplicaciones.
Herramientas extras: En el framework de OWASP Mobile, más concretamente en la parte de Mobile Security Testing se encuentra disponible un listado de herramientas para Android que es bueno tener en cuenta.

… Continuamos en el blog de flu, ¡¡no os lo perdais!!

Explorando las Diversas Tecnicas de Phishing: Amenazas en el Mundo Digital

2023-08-07T00:00:00+00:00

En el vertiginoso mundo digital de hoy, donde la información fluye constantemente a través de las redes, el phishing se ha convertido en una de las amenazas cibernéticas más prominentes. Esta técnica insidiosa de engaño cibernético se ha perfeccionado a lo largo de los años y ha adoptado diversas formas, todas con el objetivo común de engañar a los usuarios para que revelen información confidencial, como contraseñas, datos bancarios o información personal sensible. En este artículo, exploraremos las diferentes técnicas de phishing que los ciberdelincuentes utilizan para comprometer la seguridad en línea.

Este es el enfoque clásico del phishing, que se basa en manipular las emociones y la confianza de las personas. Los ciberdelincuentes envían correos electrónicos o mensajes diseñados para parecer legítimos, como comunicaciones de bancos, servicios en línea o plataformas populares. Estos mensajes instan al destinatario a tomar medidas inmediatas, como cambiar una contraseña o actualizar la información de la cuenta, a menudo utilizando enlaces fraudulentos que conducen a sitios web falsos que capturan la información ingresada.

2. Spear Phishing

El spear phishing se dirige a un individuo o entidad específica, lo que lo hace mucho más personalizado y efectivo. Los atacantes investigan a fondo a su objetivo para crear mensajes creíbles y convincentes. Pueden recopilar información de las redes sociales u otras fuentes disponibles en línea para aumentar la verosimilitud de sus correos electrónicos o mensajes. Esta técnica suele ser utilizada contra empleados de empresas o figuras públicas.

3. Whaling

Una variante del spear phishing, el whaling se enfoca en atacar a individuos de alto perfil, como directores ejecutivos y líderes empresariales. Los correos electrónicos de whaling a menudo se hacen pasar por comunicaciones importantes de la alta dirección de una empresa. Los ciberdelincuentes buscan obtener información confidencial o acceso a sistemas cruciales mediante la explotación de la autoridad y el estatus de la víctima.

4. Smishing

Esta técnica lleva el phishing al ámbito de los mensajes de texto. Los atacantes envían mensajes SMS falsificados que parecen ser de fuentes confiables, como bancos o servicios en línea. Estos mensajes suelen contener enlaces maliciosos o números de teléfono a los que se supone que la víctima debe llamar, lo que puede resultar en la revelación de información personal.

5. Vishing

El vishing es una forma de phishing que opera a través de llamadas telefónicas. Los ciberdelincuentes se hacen pasar por representantes de instituciones financieras, agencias gubernamentales o empresas legítimas y engañan a las víctimas para que revelen información confidencial. Pueden utilizar técnicas de manipulación psicológica y falsificar el número de llamada para parecer auténticos.

6. Pharming

En lugar de depender de la interacción directa con las víctimas, el pharming manipula la configuración del sistema o los servidores DNS para redirigir a los usuarios a sitios web falsos sin su conocimiento. Esto puede llevar a los usuarios a ingresar sus datos en sitios falsificados sin siquiera hacer clic en enlaces de phishing.

7. Phishing a través de Redes Sociales

Los ciberdelincuentes también aprovechan las redes sociales para realizar ataques de phishing. Pueden crear perfiles falsos que se hacen pasar por amigos o contactos de confianza. Estos perfiles luego envían mensajes con enlaces maliciosos o contenido engañoso para robar información.

8. Phishing de Suplantación de Identidad (Spoofing)

En esta técnica, los atacantes falsifican la dirección de correo electrónico del remitente para que parezca que proviene de una fuente legítima. Pueden suplantar a colegas, jefes u otras personas de confianza para engañar a las víctimas y hacer que abran archivos adjuntos maliciosos o hagan clic en enlaces peligrosos.

9. Phishing en la Nube

Con el aumento del uso de servicios en la nube, los ciberdelincuentes han comenzado a dirigir sus ataques hacia plataformas como Google Drive o Dropbox. Envían enlaces que apuntan a documentos aparentemente inofensivos pero que en realidad contienen malware o solicitudes de inicio de sesión fraudulentas.

En resumen, el phishing se ha convertido en una amenaza cibernética multifacética que evoluciona constantemente. La educación y la concienciación son herramientas vitales para protegerse contra estas tácticas. Siempre es crucial verificar la autenticidad de los correos electrónicos, mensajes y enlaces antes de compartir cualquier información personal o sensible. Mantener el software actualizado, utilizar autenticación de dos factores y confiar en fuentes conocidas son pasos importantes para mantenerse seguro en un mundo digital cada vez más peligroso.

Mi experiencia con la certificación del CPPTv2

2023-08-07T00:00:00+00:00

Hoy os vengo hablar de unas de las certificaciones más extendidas y populares de eLearnSecurity, el eCPPTv2.

¡Tras 1 mes de espera a la resolución del examen, puedo decir que estoy certificado en el eCPPTv2!

¿Por qué eCPPT?

Tras aprobar el PNPT, decidí prepararme la nueva certificación de penetration tester (CPTS) que había sacado hack the box meses atrás. Puesto que esta certificación requiere completar una path de formación obligatorio de la academia de HTB, y veía que me llevaría algo de tiempo, decidí que era el momento de presentarme a alguna certificación durante este tiempo.

Esta certificación estuvo en mi radar en 2022 pero por falta de tiempo finalmente no me presente, lo que me dejo una espinita que pocos meses después había que atender.

Me habían hablado bastante bien de esta certificación en términos generales, personas y amigos de mi entorno que ya la había aprobado, por lo que vi la oportunidad de presentarme en Julio y así lo hice.

El eCPPTv2 es el siguiente paso al eJPT una certificación de “entry level” que recomiendo a todos aquellos que estén iniciándose en el mundillo de la seguridad ofensiva. Esta certificación es 100% practica y acudiendo a la web de eLearnSecurity podemos ver que abarca los siguientes temas:

Procesos y metodologías de pruebas de penetración, contra objetivos Windows y Linux**.
Evaluación de vulnerabilidad de redes
Evaluación de vulnerabilidad de aplicaciones Web.
Explotación Avanzada con Metasploit
Realización de Ataques en Pivoting
Explotación Manual de Aplicaciones Web
Recopilación de información y reconocimiento
Escaneo y perfilado del objetivo
Escalada de privilegios y persistencia
Desarrollo de exploits
Habilidades avanzadas de elaboración de informes y remediación.

¿Me recomiendas esta certificación?

Diría que sí. Considero que es una certificación bastante equilibrada y completa, que aunque no es ciertamente compleja técnicamente hablando, es algo “trabajosa”, ya que tendrás que ir salvando ciertas limitaciones y obstáculos que iras encontrado a lo largo del examen. Desde luego, esta certificación pondrá a prueba tu nivel de paciencia.

He de decir, que NO recomiendo dar el salto directo del eJPT a esta certificación si no se tiene una cierta soltura en técnicas de reconocimiento y enumeración, escalada de privilegios, exploting básico, pivoting y buffer overflow. Esta knowledge base es básica para poder enfrentarte y resolver el examen con solvencia.

Requisitos

Como ya hemos comentado, una base sólida para abordar con éxito esta certificación seria contar con los siguientes conocimientos:

Enumeración de activos
Ataques webs comunes
Pivoting/Port Forwarding
Ataques comunes en Windows
Escalada de Privilegios
Enumeración post-explotación
Persistencia
Buffer Overflow

Si tuviera que destacar algunos de ellos, hablaría de pivoting, enumeración post-explotacion y por buffer overflow. Estas tres cosas son indispensables para aprobar, si no has practicado previamente con ello te será muy difícil. Pero no te desanimes que más adelante te explicaré cómo prepararte esta certificación para que puedas presentarte con tranquilidad y afrontarla sin problemas.

Características del examen

Tómate tu tiempo: Nada más empezar el examen os recomiendo que os leáis la Letter of Commitment (o carta de compromiso) donde se explica cómo funciona el examen, el alcance que debes respetar, las normas a seguir, particularidades del laboratorio e información de como debes elaborar el reporte final. No lo olvides, tómate tu tiempo en entender bien lo que en ella se explica.
Duración del examen: 14 días máximo (7 días de laboratorio y otros 7 días para elaborar el reporte), pudiendo finalizar el examen antes si logras completar algunas tareas en menos tiempo (por ejemplo, en 4 días podrías terminar laboratorio y en 3 días el reporte). En mi caso me llevo 5 días el laboratorio y 3 días el informe, ya que, por mi horario laboral, solo disponía de las tardes para dedicarle tiempo. Si cumples los requisitos de conocimientos mencionados anteriormente y llevas muy bien preparado tanto el pivoting como el buffer overflow, lo normal es acabar el examen antes de los plazos marcados por eLearnSecurity.
Limitación de herramientas: ninguna
Reset: el laboratorio se puede resetear un máximo de 4 veces al día.
Reporte: yo utilice un generador de informes que te permite convertir un reporte escrito en markdown en pdf dando el estilo y estructura que tienen los clásicos reportes de pentesting (portada, índice, introducción, resumen ejecutivo, hallazgos, conclusiones…). Os dejo la herramienta en el siguiente enlace. No obstante, si no estas muy familiarizado con este tipo de informes o no te quieres complicar, te recomiendo que escojas cualquier plantilla de la que están disponibles en san Google, como puede ser la de TheMayor de TCM (recomendada) o las de Offensive security. Sigue la estructura que ellos te marcan y no te preocupes si anteriormente no has hecho ningún, ya que estas plantillas están preparadas para únicamente te centres en explicar lo que has encontrado olvidándote de toda la parte de enmaquetado, estilos y estructuras. Recuerda que es MUY importante, aportar una captura de pantalla de todo lo que vayas haciendo y encontrando, ya que de lo contrario tus palabras no estarán respaldas por una evidencia que pueda demostrar que lo que estas contando es real (esto aplica también para las auditorias en el ámbito laboral).

Preparación del examen

Practica CTFs te ayudara mucho a la hora de enumerar objetivos, explotar vulnerabilidades conocidas, escalar privilegios, etc. Por ejemplo, las maquinas nivel easy/medium de HTB serian buena opción para practicar.

Prepara muy bien la metodología y las técnicas de pivoting/port forwarding. Para ello te recomiendo que hagas el laboratorio que S4vitar ha preparado adhoc para esta certificación en donde machacarás hasta la saciedad el pivoting entre maquinas. Aunque el pivoting del examen no llega a ser tan complejo como el de este laboratorio, te vendrá muy bien a modo de aprendizaje para fijar una buena base.

Por último, el archiconocido BoF (Buffer overflow), el mismo que aparece en otras certificaciones, como el OSCP. Os daréis cuenta de que explotar un BOF como el que aparece en el examen no es para nada difícil, de hecho, puede llegar a ser algo trivial si logras entender bien la metodología, es por ello que te invito a que no tengas miedo y aprendas a explotar este tipo de vulnerabilidades que cada vez se ven menos. Para aprender bof te recomiendo la sala de Buffer Overflow Prep de Tryhackme, en donde lo explican fantásticamente bien y además te puedo asegurar que si entiendes y logras hacer este bof, sacaras el del examen a la primera (acuérdate de mí XD)

Nada más, esto es todo, espero que haya sido utilidad, y anime a mucha gente a presentarse a esta certificación.

Valoración final de la certificación: 7/10

Próximamente os compartiré mi experiencia con la certificación PNPT y cómo me preparé para lograr aprobarla, así como, la preparación que estoy siguiendo para presentarme (espero que no dentro de mucho) al OSCP. :-)