debugging – b0sh.net

Categoria: debugging Pagina 1 di 10

Dagli all’untore

il 22 Marzo 2020

Alla primavera non frega nulla dei nostri problemi.

Probabilmente mi ha fatto male rileggere i Promessi Sposi di recente, e constatare che a distanza di 2 secoli dalla scrittura, e 4 dai supposti eventi narrati poco è cambiato. L’unica cosa che vedo di differente è che la Medicina è una scienza un po più matura e che ha dei dati oggettivi da produrre e capacita analitica sul male.

La peste prima è stata sottovalutata e sminuita dalla autorità, poi chi assisteva i malati è stato lasciato a se stesso, poi in tutta fretta si sono individuati luoghi in cui mettere i malati e alla fine molti di quelli che assistevano i malati si sono ammalati a loro volta. Alla fine si è salvato chi è stato isolato e chi fortunatamente ne è uscito con le sue forze. Gran parte degli sforzi tardivi delle autorità hanno fatto più male che bene.

Ma il punto è che la ggente (con due g) ancora cerca l’untore. Per semplicità: avere un nemico visibile ti mette in pace con i tuoi pochi neuroni. Prima il cinese, poi il passeggiatore di cani, ultimamente si è eletto a categoria untrice il runner. Probabilmente non sarà l’ultima categoria. E perché non il corriere o la cassiera? Vedremo. Non sono tempi noiosi.

Solo non affidatevi all’astrologia, e tenete acceso il cervello. Le soluzioni semplici non esistono. Le soluzioni estreme sono sempre un estremo sbaglio.

Hacking YI Dome / YI Home Ip camera – 4° Puntata

Di bosh

il 9 Marzo 2019

in debugging

Diversamente da quanto detto nella puntata precedente mi sono concentrato sul verificare l’algoritmo di codifica della password, realizzando un programmino allo scopo:

package net.b0sh.yiCameraClient.test;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.security.InvalidKeyException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;

public class EncryptionTest {

    public static void main(String[] params) {

        String toBoFound = "OMESSO";
        String cleanPassword = "OMESSO";
        byte[] secret = "secret".getBytes();

        if (digest(cleanPassword, "SHA-256").equals(toBoFound)) {
            System.out.println("success");
        }
        if (digest(cleanPassword, "SHA-1").equals(toBoFound)) {
            System.out.println("success");
        }
        if (digest(cleanPassword, "MD5").equals(toBoFound)) {
            System.out.println("success");
        }
        if (hmac(cleanPassword,"HmacSHA256",secret).equals(toBoFound)) {
            System.out.println("success");
        }
    }

    private static String digest(String password, String alg) {
        try {
            MessageDigest md = MessageDigest.getInstance(alg);
            byte[] bytes = md.digest(password.getBytes());

            System.out.println(alg + " Bytes " + new String(bytes));

            System.out.println(alg + " Base64 " + new String(Base64.getEncoder().encode(bytes)));

            return new String(Base64.getEncoder().encode(bytes));

        } catch (NoSuchAlgorithmException e) {
            System.out.println("NoSuchAlgorithmException");
            return "";
        }
    }

    private static String hmac(String password, String alg, byte[] secret) {

        try {
            SecretKeySpec keySpec = new SecretKeySpec(secret, alg);
            Mac mac = Mac.getInstance(alg);
            mac.init(keySpec);
            mac.update(password.getBytes());

            byte[] bytes = mac.doFinal();


            System.out.println(alg + " Bytes " + new String(bytes));

            System.out.println(alg + " Base64 " + new String(Base64.getEncoder().encode(bytes)));

            return new String(Base64.getEncoder().encode(bytes));

        } catch (NoSuchAlgorithmException e) {
            return "";
        } catch (InvalidKeyException i) {
            return "";
        }

    }

}

Avendo definitiva conferma che l’algoritmo utilizzato è HMAC SHA256, quindi un hash “salato” con un segreto. Il problema quindi resta individuare il segreto. HashCat pare supportare il bruteforce del sale dell’HmacSHA256. Qualcuno ha qualche PetaFLOP da prestarmi?

Hacking YI Dome / YI Home Ip camera – Terza puntata

Di bosh

il 3 Marzo 2019

in debugging

Premessa: dopo 2 mesi di totale mancanza di notifiche push sull’applicazione per cellulare, motivazione principale per la quale ho iniziato questo progettino, dal primo marzo sono tornate a funzionare. Ovvio. Ma comunque ho iniziato, vediamo dove si riesce ad arrivare.

L’applicazione, durante tutto il dialogo col server setta i seguenti headers

x-xiaoyi-appVersion:    windows;10;0
User-Agent:        YIHomePCClient/1.0.0.0_201811201000 (Windows 10.0)
Connection:        Keep-Alive
Accept-Encoding:    gzip
Accept-Language:    it-IT,en,*

E per prima cosa fa una chiamata GET all’endpont: https://api.eu.xiaoyi.com/v4/users/login con parametri :

seq = 1
account= <nome account>
password= <la password codificata con algoritmo sconosciuto>
dev_id= <null>
dev_name=windows
dev_type=10.0
dev_os_version=Windows

Il primo obbiettivo è quindi capire come viene codificata la password. A prima vista serve un URL decode ( https://www.urldecoder.org/ ) e si ottiene quella che sembra essere una stringa in base64. Piccolo problema: decodificando il base64 non ottengo la password che mi aspetto. Anzi si ottiene una stringa più lunga, forte indizio di una effettiva codifica o hashing.

La lunghezza, di 16 byte, sembra compatibile con l’hash in MD5 ed esclude algoritmi di hashing più recenti (SHA*), ma il risultato dell’hash della mia password non è uguale al dato che mi ritrovo. Che ci abbiano aggiunto del sale?

Purtroppo anche una ricerca nell’archivio di MD5Online non ha dato risultato.

Il risultato della chiamata (al momento comunque inutile) è un JSON:

{
   “code”:”20000″,
   “data”:{
      “birthday”:””,
     “token_secret”:”<token1>”,
      “img”:””,
      “flag”:true,
      “name”:”simoneb0sh”,
      “mobile”:””,
      “last_name”:””,
     “userid”:<useridnumerico>,
      “first_name”:””,
     “account”:”<nomeaccount>”,
     “email”:”<emailaccount>”,
     “token”:”<token2>”
   }
}

Nella prossima puntata qualche prova per vedere come diverse password vengono codificate e se la codifica cambia nel tempo, indice di una “salatura” variabile in funzione di data e ora.

Se la codifica invece rimanesse stabile, pur non sapendo come funziona si potrebbe ignorare il problema e andare avanti comunque, anche se l’utilizzo del client che si andrebbe a realizzare sarebbe molto più complesso.

Hacking YI Dome / YI Home Ip camera – Seconda puntata

Di bosh

il 24 Febbraio 2019

in debugging

Per intercettare e decodificare al volo il traffico HTTPS servono una serie di strumenti un pò più border-line per realizzare quello che si chiama attacco Man In The Middle, ovvero il più grosso buco nel sistema che dovrebbe farvi sentire sicuri su internet. Il problema è noto da anni, si è fatto molto per mitigarlo, ma avendo accesso da amministratore al computer della vittima (che in questo caso è me stesso) è ancora possibile decifrare tutto in tempo reale.

Il principio di base è che una comunicazione cifrata dal client A al server B non è comprensibile da nessun altro al di fuori di A e B, ma se inseriamo l’attaccante M e al client A facciamo credere che M sia il server e al server B facciamo credere che M sia il client il canale sicuro si interrompe e M è in grado di leggere in chiaro sia le interrogazioni di A che le risposte di B.

MITMProxy svolge il ruolo di M alla perfezione, ma è un proxy con un certificato crittografico selfsigned, che quindi l’applicazione che dobbiamo analizzare dovrebbe usare di sua spontanea volontà e permettere di ignorare l’evidente problema del certificato selfsigned. Ovviamente non è cosi (oggi, nel 2019, qualche anno fà c’era molta meno attenzione).

Per quest’ultimo problema c’è nella documentazione del progetto la strategia di risoluzione. In buona sostanza bisogna installare nel truststore del computer il certificato finto ponendolo alla stesso livello di affidabilità di una certification authority nota. L’operatività cambia per browser e sistema operativo ma è tutto spiegato sul sito.

Poi per “costringere” l’applicazione ad usare il proxy, ora ritenuto affidabile, bisogna trasformalo in un transparent-proxy, cosa abbastanza facile in sistemi linux, ma non prevista su windows. Si risolve con Proxifier che permette di scegliere quale traffico debba passare attraverso il proxy e quale no.

Hacking YI Dome / YI Home Ip camera – Prima puntata

Di bosh

il 23 Febbraio 2019

in debugging

Premessa: YI, spinoff di XIAOMI, fa delle belle telecamere IP, le vende ad un prezzo accettabile e le app sono (erano?) meglio di molte cinesate più anonime.

Il problema è che è un sistema chiuso. Per salvare i filmati in un posto diverso dalla microsd bisogna usare il cloud loro, non è prevista nessuna connettività a sistemi esterni non loro.

Mi sono detto… che problema c’è… l’applicazione di controllo userà una manciata di API rest, le studio, ci faccio un piccolo client e ci faccio quello che voglio.

Per prima cosa ho verificato la cosa facesse l’applicazione, usando Wireshark. E’ stato facile identificare il principale candidato per una analisi più approfondita: l’host api.eu.xiaoyi.com riceve un pò di chiamate https.

Solo che intercettare e decodificare il traffico httpS non è propriamente banale. La S starebbe li ad indicare che non potresti farlo.

DNS delivered SQL-Injection

Di bosh

il 30 Ottobre 2017

in debugging

Carissima Ispirer vorrei segnalarti che la sanificazione dell’input va fatta anche quando questo non viene direttamente dall’utente ma da anche da servizi esterni come un whois.

Qualcuno potrebbe voler temporaneamente rinominare l’ente che mi offre al momento la connessione in Universita’); Drop table aisp_locations;

Riconoscimento facciale bypassato

Di bosh

il 8 Settembre 2017

in debugging

Il problema dell’autenticazione biometrica è che è come dire la tua password a tutti quelli che incontri… Non stupiamoci poi se…

Basta una foto in alta definizione per sbloccare Samsung Galaxy Note 8

Sorgente: Note 8: riconoscimento facciale bypassato (come su Galaxy S8) – VIDEO

Per arricchire la statistica

Di bosh

il 8 Giugno 2010

in debugging

Ho fatto il test del nytimes, dopo aver letto il post su Il Post.

Pare che la mia abilità di filtrare distrazioni sia buona. Nonostate il mio odio verso le distrazioni e il mio sentirmi particolarmente vulnerabile ad esse. Probabilmente c’è di peggio.

Quanto al multitasking soffro un pò di context switching ma tuttosommato i risultati non sono male. Anche se questo secondo test mi ha richiesto decisamente maggiore concentrazione. Forse perche io associo pari a vocale mentre nel test un solo pulsante descriveva sia vocale che dispari mentre l’altro stava per consonante e pari.

In definitiva comunque pare che io non sia un multitasker. Anche se IMHO le performance personali possono essere molto influenzate dalla condizione mentale del momento. Ovvero la mattina potrei essere ancora meno multitasker (o con più capacità di concentrazione…) di quanto sono alle 20:51 di sera.
E questo sembra voler dire che non ho riprogrammato il mio cervello per gestire più stimoli contemporaneamente (e di gerstirli tutti male IMHO), come qualcuno sospetta che stia avvenendo in una parte della popolazione sovraesposta alla rete e alla multimedialità. Nonostante la mia indiscutibile sovraesposizione alla rete.

Comunque se è vero che si allena il multitasking è vero anche che si allena la capacità di concentrazione, e che non sono due cose in contrapposizione. Esistono situazioni in cui è richiesta capacità di focalizzazione e situazioni dove è premiante il multitasking, mentre in questi test il multitasking è trattato come il “prodotto di scarto” della condizione di non avere capacità di concentrazione. Che con tutto il rispetto per i ricercatori di Stanford, mi pare una semplificazione non trascurabile.

E se i motori di ricerca fossero alberi, che forma avrebbero ?

Di bosh

il 20 Aprile 2010

in debugging

Ce lo dice questa simpatica applicazione, che da una forma al percorso fatto dei 3 principali bot del web :

http://www.drunkmenworkhere.org/218

Al momento in cui ho scritto questa pagina, la forma era questa :

Petrolio a Milano

Di bosh

il 24 Febbraio 2010

in debugging

La notizia è drammatica, una considerevole quantita di gasolio è stata riversata nel Lambro. Ma quello che mi ha stupito è il solito pressapochismo giornalistico italiano. Quanto petrolio/gasolio (ancora non si è capito) è finito in questo sfortunato fiume:

15 mila litri ( 15 metri cubi ) segnalti qua
600 mila litri ( 600 metri cubi ) segnalati qua , qua , qua
1 milione di litri ( 1000 metri cubi ) segnalati qua
2,5 milioni di litri ( 2500 metri cubi ) segnalati qua
15 milioni di litri ( 15 mila metri cubi ) segnalati qua
10 milioni di litri ( 10 mila metri cubi ) segnalati qua , qua

Senza nessuna pretesa di completezza … ma quando dalla cifra più bassa quella più alta passano 3 ( dicasi TRE ) ordini di grandezza mi sà che c’è qualcosa che non và. Nella professionalità di chi dà le notizie.

P.S. : La cifra ultima citata dalla maggior parte degli articolisti è quella dei 10 mila metri cubi, o poco più di 60 mila barili. Un quarto della famigerata Exxon Valdez. “Diluita” in un fiumiciattolo, invece che nel mare.

UPDATE 15 Aprile 2010 :

I litri sono diventati 2600 qui, portando la differenza tra la quantita minima e la quantita massima a ben 4 ordini di grandezza, comunque interessanti le ipotesi sul perchè ci fosse (in una quantita grande a piacere) dei derivati del petrolio in quella raffineria. Qualcuno vuole ancora difendere il giornalismo ?

b0sh.net

Proudly debugging the system since 1981

Categoria: debugging Pagina 1 di 10

Dagli all’untore

Hacking YI Dome / YI Home Ip camera – 4° Puntata

Hacking YI Dome / YI Home Ip camera – Seconda puntata

Hacking YI Dome / YI Home Ip camera – Prima puntata

DNS delivered SQL-Injection

Riconoscimento facciale bypassato

Per arricchire la statistica

E se i motori di ricerca fossero alberi, che forma avrebbero ?

Petrolio a Milano

Articoli recenti

Categorie

Archivi