TIPS VERANIEGOS (o cómo yo también tengo un cuñado)

 ¡Muy buenas amigos míos! Ya lo siento, pero hoy me toca a mi dar un poco la lata, de modo que como hace muuuucho calor, vamos a ir a uno de mis ya clásicos “Tips Veraniegos” (imaginaos la música de Verano Azul de fondo…), bueno no, mejor no… 😉

Podríamos hablar de la implementación de la LOPD con miras al Reglamento Europeo de Proteción de Datos (RGPD) pero como que paso bastante.

Así que una cosa ligerita, cómoda para leer mientras tomas una cañita y poco más. ¿Y qué os puedo contar? A ver, os contaré la última que me pasó ayer… Continuar leyendo “TIPS VERANIEGOS (o cómo yo también tengo un cuñado)”

Análisis de Software ¿qué puede hacer por ti?

¡Muy buenas a todos amigos! Vengo recién llegado de una implementar un sistema de seguridad perimetral y después de unos días sumamente intensos, necesito desconectar un poco y se me ha ocurrido hablar de un tema que aunque conocido, es poco tratado en muchos entornos, cuando, en mi opinión puede llegar a ser extremadamente útil en más de una ocasión.

Voy a realizar una introducción acerca del uso de herramientas de Análisis de Código Fuente. ¿Genial! ¿Y qué es eso? Continuar leyendo “Análisis de Software ¿qué puede hacer por ti?”

Shadow copy, pequeña herramienta para la lucha contra el gran mal

Shadow Copy, la ayuda oculta eternamente desconocida

Muy buenas a todos, mil perdones por la tardanza, pero el tema del curro es lo que tiene, que le limita a uno la vida ¡qué le vamos a hacer!

A lo que vamos, es obvio que todos los que me vais a leer sabéis perfectamente lo que ha pasado con “Wannacry” y todo ese rollo mesiánico que parecía que se iba a acabar el mundo y tal y cual. Veo que seguimos por aquí ¿no? A ver, que levante la manita aquel que haya tenido que formatear algún equipito esta semana…

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Perfecto, yo aunque tengo algún conocimiento de malware, no soy experto en ello ni mucho menos, de modo que ni intentaré hablar sobre este tema, aparte de que creo que sería llover sobre mojado. Lo que sí puedo hacer y a ello voy es comentar el uso de una herramienta que tiene Windows que puede ayudarnos a mitigar su incidencia, en esa, nuestra amada red llena de usuarios malignos que nos odian y nos quieren estropear el día. Os voy a hablar de Shadow Copy.

¿Qué es eso? Este servicio, que Windows tiene activado por defecto desde Windows XP, es el servicio responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder realizar una restauración del sistema o de algún archivo en concreto, es lo que normalmente conocemos como “punto de restauración del sistema” (VSS).

Este servicio crea copias ocultas (shadow copy) de cada uno de los bloques que recibe una variación y/o cambio de estado en la partición NTFS del disco duro. En principio realiza las copias de seguridad ocultas cada vez que ocurre una variación en el sistema como, por poner un ejemplo, una modificación de cualquier archivo, por ejemplo un .docx o en el caso de la instalación y/o actualización de un programa. Se puede decir que la frecuencia de realización de estas copias sucede, al menos, con la periodicidad de las actualizaciones del sistema en Windows, para que os hagáis una idea acerca de su actividad (que es mayor de la que parece), aunque también este punto es configurable.

Si hacemos caso de lo que nos indica Microsoft:

“Applies To: Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Backing up and restoring critical business data can be very complex due to the following issues:

The data usually needs to be backed up while the applications that produce the data are still running. This means that some of the data files might be open or they might be in an inconsistent state.

If the data set is large, it can be difficult to back up all of it at one time.

Correctly performing backup and restore operations requires close coordination between the backup applications, the line-of-business applications that are being backed up, and the storage management hardware and software. The Volume Shadow Copy Service (VSS), which was introduced in Windows Server® 2003, facilitates the conversation between these components to allow them to work better together. When all the components support VSS, you can use them to back up your application data without taking the applications offline.

VSS coordinates the actions that are required to create a consistent shadow copy (also known as a snapshot or a point-in-time copy) of the data that is to be backed up. The shadow copy can be used as-is, or it can be used in scenarios such as the following:

You want to back up application data and system state information, including archiving data to another hard disk drive, to tape, or to other removable media.

You are data mining.

You are performing disk-to-disk backups.

Y esta es la opción que me interesa mostrar ahora…

You need a fast recovery from data loss by restoring data to the original LUN or to an entirely new LUN that replaces an original LUN that failed.”

Ya estamos entrando en calor ¿no? Muy bien, ahora vamos con la siguiente duda que a todo buen sysadmin que se precie le vendrá inmediatamente a la cabeza: “Esto esta genial, pero ¿cuánto espacio ocupa esto en mi disco duro? Porque voy un poco escaso ya…”

La utilización del disco duro suele variar de un sistema operativo a otro, por usar un ejemplo, en windows vista (¿alguien se acuerda de Windows vista?) se reservaba entre el 15% de la capacidad y un máximo del 30% del espacio libre en el disco duro (incluso en algunos casos no había o hay mejor dicho límite alguno), sin embargo en Windows 7/8 este tamaño es de aproximadamente 5%. Esto por supuesto, también depende de la actividad (cambios) que se detecten en el disco duro del Sistema, asimismo es de justicia remarcar que desde windows 7, se nos permite modificar de forma muy sencilla el espacio en disco duro que ocupará el servicio de VSS. Seguro que ya respiramos ahora más tranquilos, que ya nos vamos conociendo.

¿Queréis aprender cómo trabajar con esta herramienta? Al lio…

Usaremos para ello el comando “vssadmin” desde un cmd o una powershell, ejecutando cualquiera de ellas, eso sí, como administrador, usaré una cmd en honor a @fpalenzuela que es un  nostálgico y le mola el rollo retro 😉

Ejemplo 1:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Aquí se muestran algunos ejemplos de su uso, no parece muy difícil ¿verdad?

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Esta es la lista de proveedores de instantáneas de volumen.

Ahora listaremos las copias:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

 

Podemos ver la lista de copias, fecha en que se realizaron, nombre del equuipo, podemos borrar para liberar espacio, podemos listar los volúmenes válidos para las instantáneas…

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Tenemos un montón de opciones con las que jugar, eso sí, usando la sensatez y la cordura. Cuidado con lo que se hace ¿vale? Pensad antes de actuar, consejo de amigo.

Dicho esto, os voy a dar una explicación más de esta herramienta que es lo que más de uno desea averiguar, como trabajar con el espacio asignado a esta magnífica herramienta. Hay interfaces gráficas para ello, pero a nosotros no nos gustan ¿verdad que no?

Se usa el siguiente comando:

“vssadmin List ShadowStorage” para ver cuánto espacio está asignado actualmente y a que volumen:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Se auto explica ¿verdad? Vemos es espacio asignado, el espacio usado y el espacio máximo de almacenamiento. ¿Podemos modificarlo? ¡Claro que sí!

Mirad, es muy sencillo…

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Ahora lo comprobamos a ver si los cambios se han guardado, ¿os acordáis cómo? ¡Si! Muy bien con “vssadmin list shadowstorage”:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

¡Aquí se aprecia modificado!

Como podéis ver, no es muy difícil, es bastante sencillo de hecho, incluso se puede inhabilitar si queréis vivir en el riesgo. Podemos configurar incluso donde se guardan las copias, un montonazo de parámetros y opciones que os animo a investigar…

Pero bueno, ya me he vuelto a ir por las nubes, volvamos a lo nuestro, como podemos usar esta herramienta para un caso de emergencia:

Usaremos MKLINK para crear un enlace simbólico a un volumen VSC:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Ejemplo de uso:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

La ruta C:\Users\Diego\Desktop\monta es donde se montará y \\\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\ es el volumen que quiero “montar”.

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Esta es la carpeta, hacemos doble click en ella y ya estamos dentro y podemos movernos por todo ese sistema de archivos, hemos “viajado en el tiempo”.

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

¡Y ya podemos trabajar! No tiene más misterio esto.

¿Queréis más? ¿Queréis una interfaz gráfica que es más molona? Sin problemas, usad esta VSC TOOLSET

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Más fácil ya no puede ser ¿verdad que no?

¡Pues sí! Para recuperar archivos puntuales, ese Word modificado y que no te gusta cómo queda después y lo quieres dejar como estaba antes, mira click derecho sobre el archivo => Propiedades => Versiones anteriores y una vez allí, eliges la que quieres y la restauras, así de sencillo.

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Bueno, con esta “pequeña” introducción creo que tenéis ya una más buena base para explorar y ampliar, solo me resta añadir unos puntos que considero también debéis tener en cuenta:

  1. El malware se puede esconder ahí en el sistema, lejos del control rutinario del Administrador del Sistema, ha pasado ya antes y sigue pasando, mucho cuidado con ese tema, lo Antivirus no tienen acceso a esos almacenamientos.
  2. Un insider malicioso ,un pentester o un Analista Forense  conocedor de tu trabajo podría encontrar ahí información de archivo borrados por el Administrador del Sistema o los malos, no lo olvidéis, yo lo he usado en alguna ocasión y he encontrado cosas MUY jugosas. Ahí lo dejo
  3. Desde ahí, se puede acceder a zonas protegidas del ordenador que en la máquina en vivo no podemos acceder (SAM, SISTEM…etc). Mucho cuidado tanto en el bastionado del equipo en sí como en la custodia de esos volúmenes VSC, que están guardados en otro lugar que no sea el propio equipo por aquello de la seguridad. A ver si quien no puede acceder a nuestro equipo tiene acceso al disco donde se guardan esos discos, me ha tocado en algún análisis forense y muchas veces no se tiene en cuenta. Por favor no lo olvidéis.
  4. Debéis tener en cuenta que los malos malotes también saben que esta funcionalidad existe, por tanto el ransonware o malware que se precie de estar medianamente “bien diseñado”, se lanzará a por ello de cabeza, tanto para impedir recuperar la información ahí guardada y extorsionar más a gusto, como para robar información dejando menos huellas que si accede a un archivo “normal” del sistema. ¿Vale?

Y con esto creo que por hoy ya podemos descansar. Podéis usar esta poderosa herramienta en su contexto, NO ES una herramienta de backup y no debe plantearse como tal, pero en muchas ocasiones (bien usada eso sí) os salvará el pellejo.

Un fuerte abrazo y hasta la próxima

Reset del password de root en CentOS

Sin usar ninguna herramienta extra…

¡Muy buenas amigos/as!

Gracias por vuestra paciencia, en este sencillo post os voy a mostrar un pequeño “hack” (aunque tengo mis reparos a llamarlo así) o truco para resetear ese password de root que hemos perdido, que nos han cambiado o como me pasó a mi hace un tiempo, que un resentido sysadmin cambió ,antes de que lo despidieran de la empresa . Posteriormente no le dió la gana revelar a quien le sucedió en el puesto esa clave (acción un poco estúpida en mi opinión ya que el compañero que entró después no tenía la culpa de nada, pero bueno, allá cada cual…).

Obviamente hay muchas mas opciones, escribo sobre esta en concreto ya que me da pie para incidir en otro punto importante de nuestras amadas máquinas: el acceso físico a ellas y la más que escasa seguridad que hay en muchos centros de trabajo, que nos sirvan también estas palabras para concienciarnos de que la seguridad del software está muy bien, pero no hacemos nada si esas medidas de hardening no van acompañadas de un sistema de seguridad física correcto. Ahí lo dejo.

Al lío…

No tenemos ese password y debemos entrar al sistema y empezar a realizar nuestras funciones, ¿qué hacemos?

Arrancamos o reiniciamos la máquina y al llegar a este punto…

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.05.32.png

Presionamos la tecla “e”…

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.06.32.png

Y pasamos a buscar la línea de inicio del kernel (una pista, comienza por  linux16 vmlinuz-3.10.0-514, como el kernel, ya sabes ) … 😉

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.09.06.png

Una vez hallada la línea de inicio, se busca la palabra “ro” se substituye por “rw init=/sysroot/bin/sh”. Quedando algo asi…

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.15.28.png

Una vez modificado, cerramos el editor con “control +x” para arrancar en modo de usuario único.

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.18.44.png

Saldría algo como esto, ahora en el prompt escribimos  “chroot /sysroot” y después le cambiamos el password a root, así tal cual, ¿qué te parece?

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.22.22.png

Ahora actualizamos los parámetros de selinux con “touch /.autorelabel

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.23.43.png

Y reiniciamos, el primer reinicio le cuesta un poquito mas ya que tiene que actualizar los parámetros, no pasa nada, esperas un poco…

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.26.24.png

Se reiniciará una vez mas, no pasa nada es normal, cuando arranque ya será un arranque normal…

Nos logueamos con la nueva password y…

Macintosh SSD:Users:DiegoADMIN:Desktop:Captura de pantalla 2017-04-20 a las 14.29.18.png

Ahí lo tienes password cambiado y lo único que se ha perdido es la autoestima del individuo maligno que la cambió a mala leche.

Aquí abajo os pongo un vídeo que realizado para ayudar a facilitar su comprensión.

Espero que os sea útil o al menos espero que os lo hayáis pasado tan bien leyendo como yo escribiéndolo.

¡Hasta la próxima!

 

 

Hack Windows Login

¡Muy buenas amigos! Otra vez estoy por aquí para martirizaros con uno de mis tips rápidos, en este caso para sistemas Windows.

Vamos a cambiar la contraseña de un usuario de un pc con Windows 10 sin conocer la anterior y sin herramientas de hackers superpros, ni herramientas malignas diseñadas por algún ente estatal empeñado en dominar el mundo libre. ¿Es eso posible? Pues si amigo mío, lo es y además, es mucho más fácil de lo que te parece. Lo vas a ver en breve. Recuerda, nadie es un gurú, esto es tan simple como estudiar, prepararte y volver a estudiar hasta conocer como tu propia mano, el entorno de trabajo, ese es el único secreto, estudio y afán de superación..

Un par de cosas más, la primera es que este truco se puede usar desde fines forenses, a fines de hacking ético o también puede ser realizado simplemente por un sufrido y nunca suficientemente reconocido sysadmin porque un usuario la ha liado tocando lo que no debe, o como me tocó a mi no hace mucho un exempleado que no le hizo muchas gracia su despido y bloqueó el pc de los proyectos con un password a mala leche…

Sea por el motivo que sea (y esto nos lleva a la segunda cosilla) yo os voy a enseñar un truco con intención didáctica, constructiva y para ayudar a la gente en sus quehaceres diarios previniendo usos indebidos e ilícitos, cualquier otra intención o uso, escapa a las intenciones de este vuestro humilde servidor y será asumido por quien las realice. Os recomiendo asimismo que, al menos al inicio, lo practiquéis en entornos controlados, virtualizados y nunca en equipos en producción hasta que se controle completamente su realización.

Dicho todo esto, pongámonos manos a la obra.

PLANTEAMIENTO:

Debemos cambiar la contraseña de un usuario de un equipo con Windows instalado cuyo usuario ha olvidado la contraseña, o la ha cambiado queriendo o estáis realizando un test de penetración y en su desarrollo podéis tener acceso a un equipo o varios, sin conocer eso si, su contraseña.

¿Cómo se realiza? Muy sencillo con un USB o un DVD de instalación de Windows. Así de simple.

Estos son los pasos del Kung-fu:

1.- Podrás apreciar que a la hora de loguearte en la cuenta de un pc con Windows, tienes la opción de lanzar un teclado en pantalla.

2.- Vamos a decirle al ordenador que cuando le des a la opción de teclado en pantalla, en realidad te lance un cmd con funciones de admin. Desde ahí listaremos los usuarios y podremos modificar su contraseña sin conocer la anterior y una vez cambiada, podremos loguearnos tranquilamente. Y ya está, no hay más. ¿No me creéis? Seguid leyendo…

Intentamos entrar con password al azar y, obviamente no nos va a dejar…

Lo vamos a reiniciar y antes de que arranque, le vamos a indicar que arranque desde el USB o el DVD…

Una vez arrancado, ya sabéis es Windows, siguiente -> siguiente…..

En la segunda página, le damos a reparar…

Solucionar problemas

Seleccionamos símbolo del sistema

Y ya tenemos un cmd

Desde aquí nos movemos a /Windows/System32 y procedemos a renombrar un par de archivos. En concreto al ejecutable osk.exe (teclado en pantalla) lo renombraremos con osk.old (así lo hago yo por hábito, si tu lo quieres llamar pepito_grillo.old,  sin problemas, el tema esta en luego recordar el nombre que se lo puso, para poderlo deshacer una vez logueado) . Una vez realizado este cambio, cambiaremos el nombre a cmd.exe por osk.exe con el comando rename.

.

Ya podemos cerrar el cmd y reiniciar el equipo.

Ya vamos viendo por donde va esto ¿verdad?

¡Exacto! Al arrancar de nuevo y seleccionar teclado en pantalla, nos lanzará un bonito y apañado cmd. Veámoslo, ¿os parece?

Seleccionamos teclado y…

¡Tenemos un cmd! Ahora listaremos los usuarios-víctimas-objetivo y a aquel que nos interese, le cambiaremos la contraseña.

¡Espera! ¿Tan sencillo es?

Pues si, no tiene mÁs misterio… Mira con tus propios ojos.

Listado de usuarios…

Elegimos el usuario y le cambiamos la contraseña, así de simple, no hay mas…

¿No me crees? Veamos si me acepta la nueva contraseña.

Pues si, la ha aceptado y ya se está cargando la cuenta de ese usuario. Mientras tanto, aprovecho para recordar la necesidad de proteger todos los posibles vectores de entrada, BIOS, USB, lector de DVD… etc. Se ha podido realizar este pequeño “hack” (por llamarlo de alguna manera) es porque la BIOS estaba desprotegida, por ejemplo y se pudo manipular el orden de arranque por ejemplo, lo mismo con los USB y el lector de DVD.

Ahí está, el flamante escritorio de Windows 10.

Espero que esto os sirva, os ayude a securizar vuestros entornos de trabajo y el mundo será un lugar mejor (a pesar de Windows). Deseo que os guste el vídeo y no haber aburrido demasiado. Un saludo…

ENLACE AL VÍDEO EN NUESTRO CANAL DE YOUTUBE

Video:

¡Ups! Se me olvidaba decir dos cosas más:

1.- Recordad volver a poner el nombre de antes a los ejecutables que antes habéis cambiado.

2.- Ningún PC sufrió daño alguno durante el proceso de escritura y grabación de vídeo.