resultados de "el quiz 1"

28 de marzo de 2009

Felicidades a todos los participantes de "el quiz 1"!!!

Os paso la lista de los 8 concursante que se atrevieron a entregar sus respuestas. A los tres ganadores pronto les enviaré un mail para que se puedan descargar su premio.

En total habian 15 personas inscritas... espero en el próximo "quiz 2" sea más numeroso.

Puntos Concursante                Envío Quiz
------------------------------------------------------------
29     o.navarro.san...@gmail.com 2009-03-23 14:05:00 GANADOR 1
29     ignacio.p...@gmail.com     2009-03-26 18:32:00 GANADOR 2
24     guevat..@gmail.com         2009-03-15 02:17:00 GANADOR 3
20     bacanchil..@gmail.com      2009-03-17 21:00:00 
16     artemic...@gmail.com       2009-03-16 11:03:00 
13     richze...@gmail.com        2009-03-16 15:43:00 
7      cool.ron...@gmail.com      2009-03-26 00:41:00 
2      cejodr...@gmail.com        2009-03-23 15:10:00
Aquí tenéis las respuestas para descargar y espero que todo el mundo las entienda y no haya ninguna confusión:
elquiz1_conrespuestas.pdf

Estás son las consultas SQL de las tablas para que veáis que no hay ni trampa ni cartón :).




Hasta la próxima pequeños spammers.

w00tw00t.at.ISC.SANS.DFind

23 de marzo de 2009

Hace unas semanas en SecurityByDefault se discutía de la presencia de unas peticiones raras en los servidores Web.

Peticiones del estilo: GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1

Varias y varias de estas peticiones se pueden encontrar continuamente en los logs de los servidores web. Aparentemente peticiones que no acaban en ningún ataque concreto. Aun teniendo la posibilidad de analizar la tool DFind se apresuran a decir que no puede ser este escaner el que genera ese tráfico.

Pues bien, Dfind es un escaner de puertos que al generar sus peticiones coloca "w00tw00t.at.ISC.SANS.DFind". Este escaner se puede bajar de heapoverflow.

Aquí tenéis unas cuantas capturas de la aplicación y de la captura del tráfico:









whitelist y blacklist en amavis

20 de marzo de 2009

Una de las maneras más fáciles de crear una whitelist/blacklist para Zimbra es utilizar un parámetro de configuración de Amavis llamado read_hash(). No he encontrado mucha documentación sobre esta función pero básicamente es para leer ficheros de texto.

Supongamos que tenemos un conjunto de direcciones a las que no queremos aplicarles ninguna comprobación de spamassessin (whitelist) y otro conjunto que directamente queremos bloquear (blacklist).
Para ello creamos dos archivos llamados /etc/zimbra/whitelist y /etc/zimbra/blacklist:

# cat /etc/zimbra/whitelist
amYYY@gmail.com
# cat /etc/zimbra/blacklist
amZZZ@gmail.com
Con el siguiente ejemplo siempre denegaremos cualquier correo de amperisblog@gmail.com y siempre aceptaremos correos de amperis@gmail.com. A las direcciones dentro de la whitelist no se le aplicará ningún test de antispam.

Ahora solo tenemos que decirle al Amavis donde están estos dos archivos. Para ello editamos el /opt/zimbra/conf/amavisd.conf.in y añadimos las siguiente lineas:
read_hash(\%whitelist_sender, '/etc/zimbra/whitelist');
read_hash(\%blacklist_sender, '/etc/zimbra/blacklist');

Por último reiniciamos Amavis o Zimbra:
# su - zimbra
# zmamavisdctl stop
 Killing amavisd with pid 2000 done.
# zmamavisdctl start
 Started amavisd: pid 4957

Si intentamos enviar un correo desde amperisblog@gmail.com (que está dentro de la blacklist) a test@miempresa.com veremos como dentro del Log de Zimbra se denegará el correo:
# cat /var/log/zimbra.log | grep amperisblog
...
Mar 20 23:20:45 srv amavis[2092]: (02092-01) Blocked SPAM, [219.85.216.175] 
amperisblog@gmail.com -> test@miempresa.com, Message-ID: 
<220528c0903201520o6d42864et8445ed29abebaac6@mail.gmail.com>, mail_id: 
Me6GVPFvH3Um, Hits: -, size: 2490, 13055 ms

Lo contrario, si enviamos un mail desde amperis@gmail.com este llegará y si observamos las cabeceras del correo veremos como no se le aplica ninguna comprobación antispam:
X-Spam-Flag: NO
X-Spam-Score: 0
X-Spam-Level: 
X-Spam-Status: No, score=x tagged_above=-10 required=5 WHITELISTED tests=[]


en tú casa con 24Gb de ram

11 de marzo de 2009

Resulta que Kingston tiene ya memorias DDR3 de 4Gb ($173 unidad). Por tanto si utilizamos la nueva Gigabyte GA-EX58 UD5 (unos $300 sin CPU) podemos tener hasta 24Gb de RAM para nuestro VMWare. 9 maquinas virtuales (más la física) corriendo en tú casa.





reinicio masivo de polycoms

10 de marzo de 2009

Existen varias maneras de reiniciar los teléfonos Polycom desde Asterisk, pero todas se basan en el comando de consola "sip notify polycom-check-cfg [num_extension]". Este comando se puede lanzar desde un dialplan, desde la propia consola o desde un script. También hay algún loco que se atreve a construir el paquete UDP de SIP y lanzarlo a la red.

Para que los Polycom acepten este tipo de eventos externos tenemos que cambiar en sip.cfg de los teléfonos el parámetro voIpProt.SIP.specialEvent.checkSync.alwaysReboot y cambiar el 0 por un 1. Una vez reiniciado el teléfono este ya es capaz de aceptar paquetes especiales, como por ejemplo los de reinicio.


El siguiente script en Perl hace una consulta a la base de datos MySql de Asterisk, lee todas las extensiones SIP existentes y va una por una reiniciando los teléfonos.

#!/usr/bin/perl

use Mysql;

$dbhost = "localhost";
$dbname = "asterisk";
$dbuser = "asteriskuser";
$dbpsw  = "pswastx";

$connect = Mysql->connect($dbhost, $dbname, $dbuser, $dbpsw);
$connect->selectdb($dbname);

$myquery = "
   SELECT extension 
   FROM users
   ORDER BY extension";

$execute = $connect->query($myquery);

print "Reboot All Polycom v0.1b, por amperis <amperis\@gmail.com>\n";
while ( @results = $execute->fetchrow() ) {
   print " -> Reiniciando extension $results[0]...\n";
   sleep 1;
   system("/usr/sbin/asterisk -rx \"sip notify polycom-check-cfg $results[0]\"");
}

print "Fin. Todos los telefonos estan reiniciados.\n\n";


secuestrando sesión del admin de zimbra

8 de marzo de 2009

El peligro de que Zimbra no redirecciona por defecto a SSL es que si el admin de Zimbra lee su correo vía webmail es posible secuestrar su sesión y utilizarla desde un atacante para entrar en su correo. Posteriormente puede cambiar la contraseña una vez dentro y por tanto entrar en el panel de administración.

La idea es sniffar la red en buscar de la cadena de autentificación. Lo que buscamos es ZM_AUTH_TOKEN (o tambien authToken) que se utiliza por ejemplo para la cokkie que genera Zimbra cuando le decimos recordar contraseña y de esta forma no tenemos que escribir la password cada vez.

Arrancamos un sniffer y con paciencia capturamos el authToken del admin o de cualquier otro usuario de Zimbra que despistado de el no utiliza SSL. Capturamos tráfico del 80/TCP y buscamos dentro de los paquetes la dirección de correo del admin (en mi caso busco admin@amperisblog.com).


Si el admin utiliza SSL tendremos que inventarnos otros sistemas para entrar. Por ejemplo si tenemos acceso a sus carpetas de su disco podríamos robarle el archivo físico de la cookie y buscar dentro de ella ZM_AUTH_TOKEN. Otra posibilidad es hacer una ataque XSS que al visitar cierta Web nos envíe su cookie.

Ya tenemos la cookie:

authToken =
0_573b037a47ee191358f4172bdc5acf5c23ff6cb6_69643d33363a34353462313238662d326538662d3430
65382d622236612d6627356432666331643864303b6578703d31333a313233363731323638393232343b747
270653d363a7a696d6272613b

Ahora solo nos queda utilizar esta autentificación para validarnos como admin. Abrimos Firefox e instalamos un complemento como "Cookie Editor". Lo que vamos hacer es coger nuestra cookie de validación de Zimbra que nos permite entrar como alejandro@amperisblog.com sin necesidad de estar poniendo la password cada vez y vamos a sustituir el ZM_AUTH_TOKEN.


Buscamos nuestra cookie:


La editamos y ponemos el authToken que hemos encontrado anteriormente:


Finalmente refrescamos nuestro webmail y deberíamos entrar automáticamente como administrador:


Intentamos ahora cambiar la contraseña del admin, hacemos "Preferencias -> General -> Cambiar contraseña"... opsss me pide la contraseña antigua... :(

fiberparty 2009

7 de marzo de 2009

Hoy he estado en la fiber party que cada año se celebra en la UPC. La idea era ir a ver la cantidad de gente que se reune allí a jugar y beber redbull, y al terminar pasarme por dos charlas que me interesaban. Una de Drupal y la otra de virtualización sobre Linux con KVM.

No se si el destino lo quería pero he visto un tio leyendo su correo por Zimbra que luego resultaba ser el ponente de la charla de KVM. Resulta que tiene un servidor de Zimbra virtualizado con Ubuntu+KVM... corriendo en total 7 servidores virtuales, con un Quad Core y 8 Gb de RAM.

Bueno estas son algunas fotos. Fijaos como una de las chicas está toda maquillada y arreglada para jugar al campeonato de Call Of Duty.










Todas las fotos en flicker.

el quiz 1 de zimbra-grupo

6 de marzo de 2009


Hace casi un año que está funcionando el zimbra-grupo y ya hay 106 miembros y casi 1000 mensajes.
Para celebrarlo he creado un juego en forma de test... para saber quien es el más listo de todos... Están invitados todos los miembros del grupo. La idea es ir haciendo más pruebas (no necesariamente tests) e ir sumando puntos.

Aquí encontrareis las normas del juego.

En un futuro habrán más novedades. Se está trabajando en migrar el grupo a algo más potente como un foro en phpbb... siguiente objetivo: Zimbra Community.

Un saludo pequeños spammers.