Archive for August 2018

Android Reversing 101: Instalación y Configuración de Herramientas

El mundo del reversing en android es muy interesante aunque la verdad no hay tanta información como en el reversing de software, en esta serie de entradas que estare realizando tiene como objetivo que lleguemos a conocer y aprender juntos desde lo básico e ir avanzando.

Requisitos básicos para comenzar en el reversing android:

  •    Conocimientos básicos sobre java.
  •    Creatividad y muchas ganas de aprender.
Antes de empezar yo tengo experiencia en la ingeniería inversa de binarios, pero una vez aprendido el reversing no es complicado a adaptarse a esto. Al final de cuentas reversing es reversing y no importa si es de binarios o apk, ya que para todo tenemos que investigar y practicar mucho. Digo todo esto pues he investigado sobre el tema pero sin embargo si sufro algún error indica cual es en los comentarios para editar este tutorial y tener una mejor referencia.

Preparando el entorno Windows

Primero necesitamos las herramientas para tener nuestro entorno listo y preparado:

  • Java JDK : Herramientas de desarrollo para java.
  • SDK Tool : Herramientas de desarrollo para android. 
  • ApkTool : nos servirá para descompilar y recompilar nuestro apk.
  • Dex2Jar : nos permitira convertir un archivo DEX a JAR.
  • JD-GUI : nos permitirá ver el código fuente de un archivo JAR.
  • Uber Apk Signer : nos permitirá firmar nuestra apk.

Instalando Java JDK

Procedemos a descargar de su web oficial, para instalar solo es dar siguiente siguiente.

Instalando SDK Tool

Descargamos desde su web click aqui 

En este proceso despues de instalar el sdk, tendremos que instalar los siguientes paquetes.

Instalando Apktool

En la pagina oficial click aqui explica el proceso de instalación, considerando que deseamos aprender se da los pasos a continuación.

  • Una vez que descargamos el script debemos renombrarlo como apktool.bat
  • Descargamos apktool desde el siguiente enlace 
  • Renombramos el archivo descargado a apktool.jar
  • Copiaremos los ficheros apktool.bat y apktool.jar a una carpeta “apktool y lo guardaremos en C:
  • Vamos a inicio de windows -> click derecho en equipo y con click derecho vamos a propiedades.

  • Ahora procedemos a configurar las variables de entorno, ingresando a configuración avanzada del sistema,  variables de entorno -> elegimos PATH -> Editar -> agremos el valor de variable con  punto y coma y la dirección de la carpeta apktoo, en la captura se muestra el proceso. 

  • Como último proceso validamos que esta bien configurado la variable de entorno y ejecutamos una CMD, escribiendo apktool

Si todo fue realizado correctamente tendremos la herramienta funcionando.

    Instalando Dex2jar

    Descargamos desde el siguiente enlace , la versión que usaremos en las próximas entradas  dex-tools-2.1-SNAPSHOT.zip  que descomprimiremos en un carpeta llamada dex2jar, repetimos el mismo proceso que realizamos con apktool y si marcha todo bien nuestro resultado final al ejecutarlo en la terminal  d2j-dex2jar


    JD – GUI

    Contamos igual con la página web oficial desde el siguiente enlace

    En este caso como estamos en un entorno Windows, procedemos a descargar el ejecutable para Windows, el mismo puede ser puesto en cualquier directorio, la recomendación sería que tengamos una carpeta Tools, Herramientas para estar mas organizados. 

    Uber Apk Signer

    La ultima herramienta que usaremos es Uber APK Signer desde el repositorio en GITHUB del siguiente enlace 
    Para mantener la configuración del entorno  se renombra igual con el siguiente nombre uber-apk-signer.jar, del mismo modo repetimos el proceso guardando en el disco C:, y configuramos el PATH respectivo.  despues abrimos nuestro editor de texto y copiamos este codigo

    @echo off
    if “%PATH_BASE%” == “” set PATH_BASE=%PATH%
    set PATH=%CD%;%PATH_BASE%;
    java -jar -Duser.language=en “%~dp0\uber-apk-signer.jar” %*

    y procedemos a guardar como uber-apk-signer.bat en el mismo directorio de uber-apk-signer

    Con todo esto seria suficiente para comenzar y seguir con la siguiente entrada nos vemos .

    Leer artículo original: Android Reversing 101: Instalación y Configuración de Herramientas

    Podcast: #47 Comprometen una red por medio de un Fax! con Faxploit

    Despues de mucho tiempo vuelvo a publicar el podcast en el blog, ya que solo lo realizaba directamenet en ivoox y subia a Youtube si me acordaba, pero debido a varios mensajes que recibí tratare de subir a Youtube del mismo modo, además de que ando preparando videos para la resolución de maquinas de HTB, Vulnhub, y además de algunas herramientas para que las personas que les guste dicho formato se sientan a gusto con ello.

    Si estan interesados en mas información suscribanse, si quieren algun tema que se trate en el Podcast haganlo en los comentarios del blog, o de los distintos medios de comunicación que contamos en el blog.

    Escuchalo en Youtube


    Escuchalo por Ivoox

    Divide las dificultades que examines en tantas partes como sea posible, para su mejor solución. – Rene Descartes

    Regards,
    Snifer

    Leer artículo original: Podcast: #47 Comprometen una red por medio de un Fax! con Faxploit

    Reto: DarkArmy ataca la 8.8 Bolivia, ayuda y gana un acceso al evento

    Hola estimado lector del blog! esta vez te pedimos tu ayuda para obtener los datos del infiltrado en el evento 8.8 Bolivia, si obtienes  el nombre del infiltrado la organización de 8.8 y Snifer@L4b’s te dará una entrada con la cual puedas acceder a los dos días del evento.

    Lo unico que se obtuvo fueron los siguientes datos que se encuentran en un fichero ZIP, el cual se encuentra con la siguiente contraseña www.sniferl4bs.com debido a que se obtuvieron de una memoria USB que se encontraba destrozada, y fue entregada a Snifer para restaurar los ficheros, estas dispuesto a colaborarnos y resolver quien es el infiltrado. 

    Al encontrar la flag tienes el nombre del infiltrado, como tambien por que medio mandarlo, por si quieres saber más del evento dejamos la información respectiva:

    • Sitio web: 8dot8.org.bo
    • Facebook: 8dot8Bolivia
    • Twitter: @8dot8bolivia
    • Teléfono: +591 22116838
      Email: contacto@8dot8.org (acerca del evento, si es sobre el reto en los comentarios o por el mail)

    NOTA: 
    • El premio (entrada) solo cubre el acceso al evento para los dos días si estas en otro departamento te toca invertir para asistir, como tambien tu alojamiento, hago esta nota ya que no faltara el gracioso.
    • Si no asistiras y quieres resolverlo adelante pero no hagas spoilers.
    • También considera que si puedes realizar el pago de la entrada deja a otra persona para que tenga la oportunidad de acceder, con este punto me refiero a que este desafio va mas para un estudiante, o que no este en La Paz y darle una ayuda a que asista al evento.
    Estaremos retornando con el Blog y el Podcast, y si ando medio traumado con la temática de Mr Robot, cada mes saldran diferentes retos así que esten listos para ir sumandose a cada rato que vaya saliendo y sugieran.

    “Cuando una persona se enfrenta a la adversidad o a un problema importante, lo soluciona si lo enfoca de manera creativa.” – Albert Ellis


    Regards,
    Snifer

    Leer artículo original: Reto: DarkArmy ataca la 8.8 Bolivia, ayuda y gana un acceso al evento

    ¿Espionaje informático en el Poder Judicial?

    Según una noticia publicada en Biobio, se estaría investigando un hecho de “espionaje informático” que afectó al Poder Judicial. El título suena llamativo y pareciera que hay hackers y mucha gente maligna detrás del hecho. La noticia hace referencia a la extracción masiva de información desde el portal público del poder judicial, sin embargo, tengo mis dudas sobre si realmente se trata de un tema de “espionaje” o simplemente análisis masivo de información.

    La palabra espionaje es llamativa, pero siempre es referente a información que no es de acceso público. La palabra se define como:

    Se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención encubierta de datos o información confidencial.

    La noticia indica que se detecto un software que extrae de forma masiva la información relacionada a las causas civiles, penales, laborales, etc. Esta información se puede acceder de forma anónima desde un navegador web. Entonces, que alguien automatice esta tarea podría ser considerado un delito o más bien, podría ser considerado un acto de espionaje? Desde mi punto de vista, todo va a depender para el fin que se utilice la información.

    ¿Hackers, usuarios maliciosos y espionaje informático?

    Para programar un crawler o un scrapper, no hace falta ser un experto programador o un hacker avanzado, simplemnte, se necesita entender como funciona un sistema web. Hoy en día automatizar una tarea de estas es tan sencillo como abrir las herramientas de desarrollador y presionar “copiar como cURL”, posteriormente, ejecutar muchas veces el comando e ir iterando los valores que se desean. Un desarollador que está acostumbrado a programar APIs, aplicaciones móviles o web, conoce perfectamente las herramientas que permiten analizar una petición y poder replicarla.

    Según wikipedia

    Web scraping es una técnica utilizada mediante programas de software para extraer información de sitios web. Usualmente, estos programas simulan la navegación de un humano en la World Wide Web ya sea utilizando el protocolo HTTP manualmente, o incrustando un navegador en una aplicación.

    Haciendo un recorrido rapido por Github, encontramos varias referencias al poder judical.

    Como pueden ver, existen “scrapers” o “crawlers” para extraer esta información, programados aparentemente por personas que no tienen un fin malicioso, sólo con el hecho de aportar a la comunidad.

    Al analizar estos crawlers, se puede verificar que no explotan ningun tipo de vulnerabilidad. Simplemente simulan el comportamiento de un usuario normal, automatizan dicha tarea y finalmente guardan el resultado.

    Estos scripts son de acceso publico.

    Se detectó que se estan realizando hasta 300 request por segundo y desde diferentes direcciones IP, lo que podría llevar a concluir que “alguien” está extrayendo la información de forma masiva con un fin distinto a la que está publicada. Esto podría considerar que se está abusando de la plataforma.

    Recordemos que los motores de busqueda como Google, Yahoo!, Bing, etc tambien hacen crawling. Muchas veces se indexa contenido confidencial.

    ¿Cómo prevenir este tipo de ‘ataques’?

    Existe un mecanismo que ya todos conocemos y se llama “Captcha”. El captcha no es un elemento para molestar a los usuarios, sino que previene este tipo de conductas. El Captcha es capaz de distinguir entre un bot o un humano.

    Como mencioné al comienzo, “espionaje” puede ser cuando alguien obtiene algun tipo de información de forma encubierta o bien cuando la información está catalogada como confidencial. Creo que la información que está en Poder Judicial no es privada y al parecer tampoco se está realizando de forma encubierta, entonces… Podría llamarse espionaje informático?

    Mi punto de vista es netamente técnico, puede ser que desde el punto de vista legal si pueda ser considerado. Por otro lado, me baso netamente en lo que aparece en los medios, no tengo ninguna fuente directa para poder determinar especificamente si la información que descargaron es confidencial o no.

    Finalmente, debo decir que este tipo de scripts publicados en Github, llevan mas de 3 años al alcance de cualquiera. Creo que es tiempo suficiente para haber aplicado medidas de mitigación antes que ocurriera esto.

     

    Leer artículo original: ¿Espionaje informático en el Poder Judicial?