Presentación en exclusiva para RootedCON de una extensión para el navegador Chrome que lo transformará en un navegador de ataque. Consiguiendo altas velocidades de ataque sin hacer caer el web-server puesto que se adapta a el. Permite estadísticas de ataque, es multiproceso y multi thread con un bus de comunicación interno entre los componentes, muy ergonómico y sencillo de usar. Algunas características: Fuzzea, craquea, ejecuta los eventos javascript, audit pasivo mientras navegas, IA de aprendizaje, tanteador de paramestros, logger, notificador de inicio/fin, gestor de wordlists y simbiosis con apps externas. El web hacking no es nada nuevo, y es un tema mas que explotado, sin embargo una app free revolucionaria que va a ser usada en todo el planeta, por su potencia y facilidad de uso. Según la evolución de las herramientas de web hacking, cada vez se han ido unificando mas en tools que lo hacen todo y cada vez mas cercanas al navegador (proxies) pero ahora la tool de ataque es el propio navegador, el cual realizara el hack manual y también el hack automatico combiando. Las páginas web con contenido dinamico, hacen que muchas tools queden obsoletas al no emular el javascript, y aunque se emule el javascript nunca se hará mejor que desde el propio navegador. Esta tool dispara los eventos javascript de la página para atacar desde un estado de normalidad y adaptandose a la velocidad que absorva el servidor. A su vez, aprovecha la sandbox de protección mas potente que existe, para evitar vulnerabildiades de contra-ataque (ataque a traves del ataque) La ponencia, combinará detalles técinos sobre comunicación entre componentes chrome y la sandbox de protección, con evolución del web-hacking y un poco de inteligencia artificial. La IA consiste en: - aprendizaje simple: retroalimentar las wordlist según se navega - sistema experto: tantear parámetros de la forma mas efectiva - aprendizaje complejo: aprender los ataques manuales elaborados por el auditor.

2. Nombre: Jesús Olmos
Nick: sha0
Twitter: @sha0coder
Mail: sha0@badchecksum.net
Empesa: blueliv
Rol: pentest, reversing, xploiting, app movil, i+d
Consultora i+d: 6 años.
Isec pentest: 4 años.
Ecija/Telefónica: 2 años.
Blueliv: pentest 1.5 años.

3. ChromeHack

4. Evolución de las herramientas
de web-hacking
● Potencia / Efectividad.
● Usabilidad.
● Seguridad.
● Multiplataforma.
● cpu /ram.
● Renderización.
● Emulación JS.
● Emulación de eventos.

5. vs

6. Ventajas de ser plugin chrome
- Seguridad / Sandbox
- Renderers
- Javascript
- Subsistema (multi proc, ipc, task, html/css gui, )
- input directo de la web
- fusión Manual / Automatico
- Consola js de visualización de logs e interacción cmd
- Dns prefetch, predictors
- Async coding
- Net-internals
- debugger / profiling

7. ● Filosofía diferente.
?
● Seguridad.
● Usuarios.
● Dieño API.

8. Chrome API + HTML5
- Worker Script
- Content Script
- Background Script
- Persistent Background Script
- Tab Injected Script
- Window Script
- Popup Script
- Notification Script
- Website Script

9. settings.js wordlists.js
(window) (window)
menuHook.js formCrack.js urlFuzz.js
(context) (tab injected) (tab injected)
storageAPI
.js
(windows &
backgroun
d)
comm.js
(background)
attackPlan.js menu.js
(background) (background)

14. Engine Profiling
Recorridos: Peticiones HTTP:
forEach() XMLHttpRequest sync
async XMLHttpRequest async
reverse for Image()
for WebSockets()
while + pop()

15. Engine Profiling
superGet hyperGet FG HyperGet BG

16. Engine Profiling
superGet ngSuperGet pop() version

17. Conclusiones sobre los motores
● Recorrido pop() libera ram, pero consume cpu el GC.
● setTimeout() y setInterval() dan control pero son lentas en BG
● arr.forEach() muy lento debido a excesivos checks.
● Recorrido for() inverso es más lento que el no reverso
● Overhead → parseResponse()
● Hace rendering.
● Recorre el array de resultados.
● Lanzar el callback de parseResponse() con baja prioridad.

18. False Positive Reductor
Normal repsonses: 68%
Interesting responses: 32%

20. Aprendizaje Automático kNN
Clave:
Representación Numérica

21. Sistema Experto
● Firmas de Errores conocidos.
● Comentarios html/js interesantes.
● Revisión activa según se navega.
● Revisión de respuestas HTTP bajo demanda.

22. Limitación / Solución
- Botón Derecho Chrome → menuHook
- Botón File Load → ajax + file://
- OOP + async callbacks → bind()
- Cross-domain / Cross-origin no domain
brute!
- Pwd en el bruteforce??
- Post Logger

27. Threads vs Async
20 Threads → 20 conexiones simultaneas
iniciales && 20 sleep/futex
- Problema de bloqueos?
- Problema de DoS?
- Control
Async → chrome va lanzando peticiones
según ve que la web las va asimilando.

28. Anti-DDoS HTTP Throttling
delay = initial_backoff *
multiply_factor^(effective_failure_count - 1)
* Uniform(1 - jitter_factor, 1]
Evita hacer DDoS en el sistema analizado
chrome://net-internals/#httpThrottling

32. Funcionalidades
- Session Lock
- Detección de expiración de sesión
- Cookie editor
- Url Fuzz
- Directory Scan
- Form Crack
- Logger
- Click all links
- Decoder
- Reductor de falsos positivos
- Identificador de errores.

33. DEMO

34. Agradecimientos
Manu Quintans
Alex Novella
Blueliv

35. Preguntas?
https://bitbucket.org/sha0coder/