Login: user
Password: 123456
$
$ salir de la crisis
Command not found
$ bajar IVA
abort: requeriment ‘bajar IVA’ not supported!
$ aumentar presupuestos 2013
Couldn’t schedule timer
$ Sacar dinero de fondos reservados
Too many connections
$ Revisar cuentas administración
Access denied
$ Elevar protesta
Resource temporarily unavailable
$ Ejecutar rescate
Packet too large. Aborted connections
Login: user
Password: 123456
Wrong username/password. Access denied.
Login: user2
Password: 111111
$
$ help Papa Noel
Edita /etc/sudoers y modifica con estos valores:
user2 ALL=(ALL) NOPASSWD: ALL
Luego sálvalo y desde tu usuario user2 ejecuta:
$ sudo bash
y obtendrás un login de root sin solicitarte el password.
Luego ejecuta con los máximos privilegios
# join ciudadano1 ciudadano2 … ciudadanon
# fsck –y /dev/Spain
# rm –r ./corrupción
# ifdown gobierno
# ifup gobierno
# /etc/init.d/network restart
# shutdown –h 0
Y disfruta de una FELIZ NAVIDAD Y UN PROSPERO AÑO 2013
© SIT1 (2012)
lunes, 24 de diciembre de 2012
miércoles, 29 de agosto de 2012
HACKING DE HDD DE UN TOSHIBA SATELLITE PRO T110-11M PROTEGIDO MEDIANTE PASSWORD DE BIOS Y DE DISCO DURO NO CONOCIDOS CON EL FIN DE REALIZAR "COMPUTER FORENSICS"
HARDWARE:
• Notebook Toshiba Satellite Pro T110-11M
• HDD: Toshiba MK3263GSX (HDD2H23 V UL01 T) 320GB
CLONADO:
• El disco es inaccesible a través de la herramienta para la copia y adquisición de imágenes "Image Masster Solo III Forensic"
• El intento de realizar la clonación a través de distintas herramientas de adquisición lógica forensics dan el mismo resultado de imposibilidad de acceder al sistema de particiones del disco y ni siquiera al disco físicamente.
• La tecnología del equipo como la del disco duro así como el resultado de las pruebas de adquisición es compatible con protección de Password de HDD.
PRUEBAS NEGATIVAS ANULACIÓN DE LA SEGURIDAD:
• El intento de acceder a la BIOS Phoenix SecureCore del equipo para ver las opciones de seguridad es infructuoso por tener el equipo activado protección de acceso a la BIOS por password tanto como usuario como administrador.
• La prueba de las distintas contraseñas por defecto de la marca Toshiba así como las de la BIOS Phoenix es infructuosa.
• Se adquiere un disco similar a la evidencia Toshiba MK3263GSX (HDD2H23 V UL01 T) 320GB si bien aunque el PBC es a simple vista idéntico presenta en la placa base alguna diferencias de referencias impresas:
- en la evidencia
(G002439-0A) (FKN79A A002439-0 A) (MDK339V-0W)
- en el adquirido
(G002439-0A) (FKN79A A002439-0 A) (HannStar JMV-6 96V-0)
• El intercambio de PBC entre los dos HDD hacen ambos inaccesibles al intentar el montaje con sonidos propios de no acceso correctamente a los platos del disco.
HACKING:
• Se resetea el password de la BIOS del equipo a través de cortocircuitear el jumper G1 20 segundos (accesible al despegar la pegatina detrás de la RAM) con el equipo conectado a corriente y el otro extremo del cable al punto de soldadura lateral.
• Una vez eliminado el password de administración de la BIOS del equipo se debe proceder a eliminar la contraseña del disco duro.
• Se examina el disco a analizar el cual tiene activada la protección HDD/SSD Password Select: "User Only" no siendo posible acceder a la opción HDD/SSD Password Select.
• Se cambia el disco analizar por el adquirido, el cual evidentemente no está protegido, y ahora ya es posible acceder a esa opción activando en HDD/SSD Password Select: "User+Master".
• Después se accede a Master Password y en este status que nos pide que entremos la contraseña, desconectamos el HDD en caliente del equipo y conectamos el disco evidencia.
• Activamos un Master Password cualquiera contestándonos que los cambios han sido guardados.
• Accedemos de nuevo Master Password y cambiamos la contraseña dando a ENTER sin introducir ningún valor en los tres campos contestándonos que los cambios han sido guardados.
• Ahora se accede a HDD/SSD Password Select seleccionando: "User Only".
• Y ahora en User Password nos presentará la posibilidad de entrar el password que queramos, damos al ENTER sin introducir ningún valor y nos dará cambio realizado y ya tenemos el disco duro sin protección.
• En este punto desconectamos el disco y ya lo tenemos preparado para poder realizar con el clonado con la herramienta que queramos, dado que las particiones del mismo ya serán visibles y accesibles.
• Notebook Toshiba Satellite Pro T110-11M
• HDD: Toshiba MK3263GSX (HDD2H23 V UL01 T) 320GB
CLONADO:
• El disco es inaccesible a través de la herramienta para la copia y adquisición de imágenes "Image Masster Solo III Forensic"
• El intento de realizar la clonación a través de distintas herramientas de adquisición lógica forensics dan el mismo resultado de imposibilidad de acceder al sistema de particiones del disco y ni siquiera al disco físicamente.
• La tecnología del equipo como la del disco duro así como el resultado de las pruebas de adquisición es compatible con protección de Password de HDD.
PRUEBAS NEGATIVAS ANULACIÓN DE LA SEGURIDAD:
• El intento de acceder a la BIOS Phoenix SecureCore del equipo para ver las opciones de seguridad es infructuoso por tener el equipo activado protección de acceso a la BIOS por password tanto como usuario como administrador.
• La prueba de las distintas contraseñas por defecto de la marca Toshiba así como las de la BIOS Phoenix es infructuosa.
• Se adquiere un disco similar a la evidencia Toshiba MK3263GSX (HDD2H23 V UL01 T) 320GB si bien aunque el PBC es a simple vista idéntico presenta en la placa base alguna diferencias de referencias impresas:
- en la evidencia
(G002439-0A) (FKN79A A002439-0 A) (MDK339V-0W)
- en el adquirido
(G002439-0A) (FKN79A A002439-0 A) (HannStar JMV-6 96V-0)
• El intercambio de PBC entre los dos HDD hacen ambos inaccesibles al intentar el montaje con sonidos propios de no acceso correctamente a los platos del disco.
HACKING:
• Se resetea el password de la BIOS del equipo a través de cortocircuitear el jumper G1 20 segundos (accesible al despegar la pegatina detrás de la RAM) con el equipo conectado a corriente y el otro extremo del cable al punto de soldadura lateral.
• Una vez eliminado el password de administración de la BIOS del equipo se debe proceder a eliminar la contraseña del disco duro.
• Se examina el disco a analizar el cual tiene activada la protección HDD/SSD Password Select: "User Only" no siendo posible acceder a la opción HDD/SSD Password Select.
• Se cambia el disco analizar por el adquirido, el cual evidentemente no está protegido, y ahora ya es posible acceder a esa opción activando en HDD/SSD Password Select: "User+Master".
• Después se accede a Master Password y en este status que nos pide que entremos la contraseña, desconectamos el HDD en caliente del equipo y conectamos el disco evidencia.
• Activamos un Master Password cualquiera contestándonos que los cambios han sido guardados.
• Accedemos de nuevo Master Password y cambiamos la contraseña dando a ENTER sin introducir ningún valor en los tres campos contestándonos que los cambios han sido guardados.
• Ahora se accede a HDD/SSD Password Select seleccionando: "User Only".
• Y ahora en User Password nos presentará la posibilidad de entrar el password que queramos, damos al ENTER sin introducir ningún valor y nos dará cambio realizado y ya tenemos el disco duro sin protección.
• En este punto desconectamos el disco y ya lo tenemos preparado para poder realizar con el clonado con la herramienta que queramos, dado que las particiones del mismo ya serán visibles y accesibles.
domingo, 19 de febrero de 2012
Malware DNSChanger
Win32.DNSChanger VJ.Trj es un troyano que modifica en equipos infectados el servidor de nombres de dominios (DNS) en equipos con SO Windows para poder redirigir el tráfico a sitios web no deseados con código malicioso. Este tipo de Malware circula desde hace tiempo por la Red.
Cuando el malware infecta el sistema, cambia las direcciones IP de los servidores DNS de forma que cuando queremos ir a un recurso se resolverá el dominio a través del "rogue DNS Server" es decir el servidor DNS controlado por el atacante.
También intenta desactivar los antivirus y las actualizaciones del Sistema Operativo.
De esta forma estaremos expuestos a Web Spoofing, Webs de descarga de malware y cualquier destino ideado por el atacante.
El malware puede intentar acceder al dispositivo que ofrece la el DHCP como son routers o puntos de acceso intentando a través de comprobaciones de constraseñas por defecto de los dispositivo el acceso para modificar los DNS.
Algunos de los rangos del "Rogue DNS Servers" son:
85.255.112.0 a 85.255.127.255
67.210.0.0 a 67.210.15.255
93.188.160.0 a 93.188.167.255
77.67.83.0 a 77.67.83.255
213.109.64.0 a 213.109.79.255
64.28.176.0 a 64.28.191.255
Para hacer más fácil la comparación entre los DNS del computador y estos rangos es comparando el primer número de la dirección IP (formato punto decimal). Si los servidores DNS empiezan por 85, 67, 93, 77, 213 ó 64 siga comparando por el segundo número sino continúe la comparación en los dispositivos como Routers o Puntos de Acceso.
Si estamos infectados:
Podemos comprobar nuestro Servidores DNS a través de abrir una sesión de Símbolo de Sistema:
- ejecutar el comando "ipconfig -all"
- buscar en la sección de la tarjeta de conexión a Internet "Servidores DNS . . . . . " o "DNS Servers . . . "
- comprobar dichas direcciones a través de los rangos antes indicados o mediante el formulario que el FBI puso a disposición del usuario:
Chequear si estamos infectados con rogue DNS Server:
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
Enlace para recuperarnos de un troyano:
https://www.us-cert.gov/reading_room/trojan-recovery.pdf
Cuando el malware infecta el sistema, cambia las direcciones IP de los servidores DNS de forma que cuando queremos ir a un recurso se resolverá el dominio a través del "rogue DNS Server" es decir el servidor DNS controlado por el atacante.
También intenta desactivar los antivirus y las actualizaciones del Sistema Operativo.
De esta forma estaremos expuestos a Web Spoofing, Webs de descarga de malware y cualquier destino ideado por el atacante.
El malware puede intentar acceder al dispositivo que ofrece la el DHCP como son routers o puntos de acceso intentando a través de comprobaciones de constraseñas por defecto de los dispositivo el acceso para modificar los DNS.
Algunos de los rangos del "Rogue DNS Servers" son:
85.255.112.0 a 85.255.127.255
67.210.0.0 a 67.210.15.255
93.188.160.0 a 93.188.167.255
77.67.83.0 a 77.67.83.255
213.109.64.0 a 213.109.79.255
64.28.176.0 a 64.28.191.255
Para hacer más fácil la comparación entre los DNS del computador y estos rangos es comparando el primer número de la dirección IP (formato punto decimal). Si los servidores DNS empiezan por 85, 67, 93, 77, 213 ó 64 siga comparando por el segundo número sino continúe la comparación en los dispositivos como Routers o Puntos de Acceso.
Si estamos infectados:
Podemos comprobar nuestro Servidores DNS a través de abrir una sesión de Símbolo de Sistema:
- ejecutar el comando "ipconfig -all"
- buscar en la sección de la tarjeta de conexión a Internet "Servidores DNS . . . . . " o "DNS Servers . . . "
- comprobar dichas direcciones a través de los rangos antes indicados o mediante el formulario que el FBI puso a disposición del usuario:
Chequear si estamos infectados con rogue DNS Server:
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
Enlace para recuperarnos de un troyano:
https://www.us-cert.gov/reading_room/trojan-recovery.pdf
Suscribirse a:
Entradas (Atom)
