Arquivo da categoria ‘ataques’

Neste artigo vamos demonstrar o uso do Beef, um framework para exploits em browsers (Firefox, Opera, IE e outros navegadores), veja na sequência.

1° passo

Executar o instalador do Beef. Há duas opções (menu K—> Services —> BEFF —> Setup BeFF) ou, como usaremos aqui, via shell bash (para isso, você deve ter privilégios com root ou autenticar como root):

beff

2° passo

Digite uma senha para acessar futuramente o painel administrativo via Web do BeFF.

tutorial beff

3° passo

Como estamos testando, por sugestão usamos a palavra “teste” como senha, mas lembre-se das regras para obter uma senha forte. Em ambiente real e de produção, ao instalar este framework, verifique se não há ninguém por perto, pois a senha é exibida, não ofuscada por ******, tome cuidado.

befff

4° passo

Agora o BeFF nos orienta a abrir um browser (pode ser o Firefox ou IE) e digitarmos o IP que ele demonstra nesta tela (no meu caso foi http://192.168.1.4/beff), no seu computador pode estar um pouco diferente.

O BeFF avisa sobre um exemplo de página de Internet para testar um exploits XSS, que você pode

acessar em http://192.168.1.4/beff/example.html.

explicaçao beff

5° passo

Usando o BeFF em um browser você pode ver um painel de controle que só tem acesso quem tiver a senha administrativa, que foi configurada na instalação do BeFF.

5

O painel de controle do BeFF é dividido em três partes básicas:

  1. Menu
  2. Status
  3. Geral

6

Para testarmos a eficiência do BeFF sobre exploits de browsers, já há um exemplo criado (apenas para testes mesmo), na própria página.

7

Esta é a página contendo uma simulação de ataque XSS Cross-posting, que por sinal, sendo em ambiente real de produção, dentro de uma empresa é bastante perigoso.

8

Repare agora (onde? ZOMBIES) que foi gerado um alerta no status do BeFF, demonstrando quem está atacando através do IP de origem, sistema operacional (que o atacante está usando) e até mesmo o gerenciador de janelas (no caso KDE).

9

Basicamente o BeFF lhe oferece isso, detecção sobre ataques por exploits em browsers (navegadores de Internet). Aqui vemos um módulo sobre exploit para IMAP4 (protocolo para emails). Para verificar os módulos você deve criar o menu “Standard Modules” e escolher o módulo que você deseja.

10

Este módulo é para configurar detecção de exploit para Asterisk via browser navegador.

11

Módulo para detecção de exploit XSS (acho que testei isso num site “bem conhecido esses dias”, humm…não vou falar quem é não. Tenho ética profissional).

12

Este módulo detecta informações sobre Steal Clipboard (roubo de dados do Clipboard – Copiar/Colar ou Recortar/Colar) via Browsers (navegadores) – só funciona em Internet Explorer.

13

Módulo para teste de exploits em plugins Flash

14

Módulo para teste de exploits em plugins Java Applet.

15

Módulo para teste de exploits em Javascripts

16

Módulo para teste de exploits por URL Request (geralmente os atacantes anexam algum executável Win32).

17

Módulo para teste de exploits em URLs visitadas.

18

Módulo para detecção de exploit para Service Pack 2 do Microsoft Windows XP.

19

Módulo para detecção de exploit para Safari do Mac OS.

20

Módulo para detecção de Distributed Port Scanner (Scanner de Portas Distribuídos pela Internet).

21

Módulo para detecção de Distributed Port Scanner (Scanner de Portas Distribuídos pela Internet).

transflash

Configuração do BeFF, no caso em qual caminho, para você acessar via IP.

tutorial beff

End if

//Créditos: firebits

~juancarloscunha~

Anúncios

Clique aqui e veja nosso novo site

 

SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service – DoS) em sistemas computadorizados, na qual o atacante envia uma seqüência de requisições SYN para um sistema-alvo.

Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:

  • O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.
  • O servidor confirma esta requisição mandando um SYN-ACK(acknowledge) de volta ao cliente.
  • O cliente por sua vez responde com um ACK, e a conexão está estabelecida.

Isto é o chamado aperto de mão em três etapas (Three-Way Handshake).

Um cliente malicioso pode não mandar esta última mensagem ACK. O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK faltante, Ou seja. O servidor ficará esperando varias respostas deixando de responder as outras requisições que são feitas por outros clientes.

Esta chamada conexão semi-aberta pode ocupar recursos no servidor ou causar prejuízos para empresas usando softwares licenciados por conexão. Pode ser possível ocupar todos os recursos da máquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.

Algumas contra-medidas para este ataque são os SYN cookies. Apenas máquinas Sun e Linux usam SYN cookies.

Ao contrário do que muitos pensam, não se resolve negação de serviço por Syn flood limitando conexões por minuto (como usar o módulo limit ou recent do iptables), pois as conexões excedentes seriam descartadas pelo firewall, sendo que desta forma o próprio firewall tiraria o serviço do ar. Se eu, por exemplo, limito as conecões SYN a 10/seg, um atacante precisa apenas manter uma taxa de SYNs superior a 10/s para que conexões legítimas sejam descartadas pelo firewall. O firewall tornou a tarefa do atacante ainda mais fácil. Em “Iptables protege contra SYN Flood?” tem uma boa descrição dos motivos pelos quais uma configuração de firewall não resolve.

Um ataque de Syn Flood é feito com os ips forjados (spoof), para que o atacante não receba os ACKs de suas falsas solicitações.

~juancarloscunha.wordpress.com~