miércoles, 31 de julio de 2013

BackBox 3 - Iniciación al Pentesting TEMA 1 (PDF)

Hasta aquí damos por concluido el Tema 1. No queremos extender mucho más su contenido. Recordamos que esto solo es una primera toma de contacto al mundo del pentesting junto con Backbox.

Os dejo colgado en PDF el Tema 1. En la siguiente entrada ya empezaremos con el Tema 2: Buscando vulnerabilidades


lunes, 29 de julio de 2013

BackBox 3 - Iniciación al Pentesting (Parte 4)

Los webmaster suelen pensar que cuanto más contenido indexen los buscadores más visible estará su web en internet, por tanto más visitas, y un mayor número de cliente. Esto que a simple vista parace no ser malo, es un arma de doble filo. Viendo la imagen anterior nos encontramos con montón de subdominios que Google (y demás buscadores) han conseguido indexar.

Con la información que hemos sacado de nmap y de Theharvester, podemos tener una ligera idea de los servicios y servidores que tiene nuestro objetivo.

Ya sabemos que la web que queríamos atacar en un primer momento no tiene sólo un servidor expuesto a internet, si no que tiene numerosos puertos abiertos, y que dispone de varios subdominios. Sólo es cuestión de tiempo que alguno de estos servidores sea vulnerable a nuestro ataque.

Centrémonos en el servidor que queríamos atacar en un primer momento y sigamos buscando información.

Es aquí donde nuestra búsqueda ya no es algo generaliza, está más enfocada a una sólo maquina, una sola ip y un solo puerto. Aunque después también nos centraremos en otras máquinas y otros servidores, lo que nos interesa es sacar la mayor información posible de la web a la que estamos atacando.

Después de haber utilizado nmap y theharvester, le llega el turno a whatweb.

Whatweb nos permitirá saber información más específica sobre el dominio que estamos atacando.

Lo que hará whatweb es, escanear un ip/dominio en busca de toda información útil para nuestro ataque. Como puede ser, tipo de servidor, sistema operativo, tecnología en la que está basada la web, etc.

Img : Escaneo web con whatweb
El objetivo de este tipo de información es tan valiosa como la anterior. Gracias a éste podremos determinar las versiones de las aplicaciones con las que está construida la web. Por tanto, si la web disponle de versiones no actualizadas es muy posible que sea vulnerable.

Recordad que los webmaster suelen ser bastante cuidadoso con la parte visible de su web, pero no con la que no se ve. Es muy fácil de encontrar servidores web con una versión de php o mysql desactualizada.

Whatweb al tratarse de un escaner web tiene distintos grados de agresión a la hora de hacer sus búsquedas. Siendo capaz de determinar la versión de sistemas de BBDD (como ya hemos dicho antes), la versión de servidor web de apache (por ejemplo) o la versión del gestor de contenidos con la que está montada, como puede ser Wordpress.


Además también utiliza un vector de ataque basado en Google Dork, por lo que también se basa en posibles servidores o información sensible expuesta a Google.

domingo, 28 de julio de 2013

BackBox 3 - Iniciación al Pentesting (Parte 3)


Como podemos ver, el resultado es muy bueno, no solo hemos obtenido puerto además del 80, si no que de un primer vistazo podemos ver algunos servicios de los que seguramente componen la web, o alguno de los subdominio.

Por Ejemplo:
Vemos el puerto 3306 el cual pertenece a Mysql. Si hacemos la prueba de intentar ver si el acceso está habilitado de forma abierta, posiblemente el resultado sea que no. Es habitual ver cosas como estas, donde existe un servicio, pero sólo se peude acceder a él si te encuentras en la misma red local. De hecho es una medida de seguridad que implanta Mysql para evitar ataques desde el exterior.


Ilustración : Error típico al intentar acceder al Back-end de Mysql desde fuera de la red Local
 
Pasemos al siguiente punto de nuestra recolección de información, que es ver la cantidad de subdominios y servicios que puede tener nuestro objetivo. Para esto utilizaremos Theharvester. Resumídamente, en lo que consiste Theharvester es en buscar información en los motores de búsqueda (Google, Bing, Shodan...) para encontrar subdominios e emails que se hayan hecho públicos. El comando a lanzar sería bastante sencillo: ~$ sudo theharvester -d objetivo.es -l 50 -b all

Indicando el dominio la cantidad de resultados que queremos que nos devuelva, y los motores de búsqueda en los que queremos que busque.


Ilustración : Resultado obtenido con Theharvester.

sábado, 27 de julio de 2013

BackBox 3 - Iniciación al Pentesting (Parte 2)

También hay que tener en cuenta que un ataque o una auditoría de seguridad variará en función del tipo de ataque. Es decir, nosotros podemos realizar un ataque desde fuera de la red interna de nuestro objetivo, o bien, podemos realizar un ataque desde la LAN desde la que queremos encontrar vulnerabilidades.
Un claro ejemplo de esto: podemos utilizar nmap para hacer un escaneo de puertos a una IP pública para determinar los servicios que corren sobre esta máquina, o bien, si no encontramos dentro de la propia red interna, podemos lanzar nmap para ver los equipo y la relación de puertos abiertos o cerrados que tiene cada máquina dentro del mismo segmento de red.

Por donde empezar

Es posible que que nosotros tengamos claro que queremos atacar a una determinada máquina, pero no sabemos como hacer ni por donde empezar. La clave de esto es que, conforme se vaya obteniendo información el resto irá saliendo solo, por lo que no te preocupes. En la gran mayoría de las ocasiones cuando nos ponemos a buscar información del objetivo encontramos la puerta de acceso a otra información, y así sucesivamente hasta que llegamos a un punto que sin darnos cuenta estamos casi dentro del ordenador, o el servidor.

El escenario típico sería el de atacar a un objetivo desde fuera de la red, y una vez vulnerado el sistema intentar acceder a la red interna y explotar los sistemas que allí se encuentren.


Objetivo 1: Atacando un servidor web

Aquí nos puede surgir la primera duda, y es ¿Qué herramienta es la adecuada para obtener información?. La respuesta es sencilla: existen muchas herramientas para tal propósito, pero ¿cuál debo utilizar? Y en el caso de utilizar más de una ¿qué orden he de seguir?. No tenemos que volvernos locos con las herramientas, algunas nos servirán para unas determinadas cosas y otras para otras, y en el caso de obtener información como es el de ahora, es posible que unas herramientas nos den más información que otras, o que simplemente aporten información distinta.

Para que os hagáis una idea, nmap nos sirve para (entre otras muchas cosas) los puertos y servicios que corren en una o varias máquinas. Si nosotros tenemos un servidor web como objetivo, podemos lanzar nmap y ver que peurtos tiene abierto. Sin embargo esto es posible que no nos devuelva muchos datos ya que por lo general los servidores web, y que están expuestos a Internet sólo tiene abierto el tráfico por el puerto 80. No veremos más allá de esto.

Ahora bien, podemos ayudarnos de la herramienta TheHarvester para ver que otros dominios y subdominios pueden componer el servidor principal al que atacamos, un blog, un FTP, un subdominio para desarrollo, etc.

Por tanto haciendo uso de ambas herramientas tendremos mejor resultado, y nunca hay que dejar de lado ninguna herramienta por innecesaria que parezca. Por ejemplo Maltego también es una herramienta para localizar subdominios al igual que TheHarvester, sólo que ésta nos muestra en un organigrama la posición de cada función y la jerarquía que puede tener la infraestructura de servidores de nuestro objetivo.

Casi sin darnos cuenta, y con tan solo 3 aplicaciones hemos tenido un gran número de información. Pero para verlo mejor, llevémoslo acabo.

Poc (Prueba de Concepto)

Escenario:

  • Objetivo: Servidor web
  • Tipo de ataque: obtener información
  • Herramientas utilizadas: nmap, TheHarvester y Maltego

Lo primero que vamos hacer va a ser lanza un nmap con el fin de encontrar algún otro puerto que no sea el 80. Manos a la obra, la configuración nmap para lanzar un primer escaneo de puertos va a ser 'Regular Scan' es decir, un simple ~#nmap www.objetivo.com.


Ilustración : Escaneo de puertos con nmap

viernes, 26 de julio de 2013

BackBox 3 - Iniciación al Pentesting (Parte I)

Tema 1: Primeros pasos con Backbox

Introducción

Backbox, para todo aquel que no lo sepa es una distribución Linux basada en Ubuntu para realizar auditorías de seguridad y pentesting. En estos primeros pasos que vamos a ver lo largo de esta entrada, omitiremos la instalación, ya que se realiza de la misma manera que cualquier otra distribución de Linux, es decir, descargas una imagen .iso la cual contiene el Live CD para poder trabajar, y desde ahí tu mismo eliges la opción de instalar físicamente o trabajar directamente sobre el Live.
Para explicar esta serie de entradas sobre Backbox la instalación se ha hecho sobre una máquina virtual. Se ha decidido así para poder almacenar los archivos y configuraciones sin tener que estar volviendo a configurar los programas de nuevo, tal y como pasaría si trabajáramos sobre el formato Live. Esto no quiere decir que no debamos usar un Live CD, en muchas ocasiones podemos utilizar un Live CD sobre una máquina que ya tenga instalado otro SO y no queramos compartir el HD o simplemente vamos a utilizarlo de manera puntal.

Hablando de las herramientas y su uso

Una de las cosas que menos me gusta de las distribuciones de seguridad es la manera en la que engloban las herramientas. Por lo general el orden en el que están los programas intenta ser parecido a como se realiza una auditoría de seguridad. Sin embargo esto es muy indeterminado.

Una auditorio de seguridad se realiza de siguiendo el siguiente orden:

  1. Recolección/recopilación de información.
  2. Búsqueda de vulnerabilidades.
  3. Explotación de los sistemas.
  4. Post explotación.
  5. Informe ejecutivo y técnico.

Nota: En el caso de no realizar una auditoría de seguridad sino un ataque desde el punto de vista de un hacker , habría que añadir dos puntos más, Anonimato y eliminación de pruebas:


  1. Recolección/recopilación de información.
  2. Anonimato.
  3. Búsqueda de vulnerabilidades.
  4. Explotación de los sistemas.
  5. Post explotación.
  6. Eliminación de pruebas.
  7. Informe ejecutivo y técnico.

Que nadie se asuste con el informe que hay que realizar en el último paso. No es más que una manera de tener organizada la información que me hemos obtenido junto con los ataques realizados. En cualquiera de los dos casos, tanto en una auditoría de seguridad como en un ataque propio de hacker, hay que tener bien estructurada toda la información.

Las distribuciones de seguridad como ya he comentado antes intentan asemejarse al orden en que se haría una auditoría. Bien, este dato es muy relativo, hay herramientas que están en la categoría de Explotación de Vulnerabilidades, pero que perfectamente nosotros podemos utilizarla para hacer una búsqueda de vulnerabilidades, un escaneo de puerto, etc. Como por ejemplo w3af, que en este caso está en la sección de Explotación, pero que nosotros podremos utilizar para más cosas además de para lanzar un ataque.

ilustración : Escritorio Backbox 3

lunes, 22 de julio de 2013

Iniciación y formación a Backbox

Hace ya tiempo se proyectó la idea de poder hacer un Libro de hacking ético donde se explicara paso a paso las técnicas y la realización de un pentesting con Backbox. Explicando por completo la distribución de seguridad Backbox Linux.
Al final se tomó la decisión de no cerrarnos en banda en enseñar una sola distribución, así es, que el proyecto se está llevando a cabo sobre varias distribuciones como, Kali Linux, Backbox y Bugtraq.

Esta semana he recibido el mail de un lector el cual nos solicitaba ayuda sobre como aprender Backbox desde cero. Cito el mail:
---------
Hola, buscando información sobre Backbox he encontrado tu blog y me ha parecido muy interesante, desde ahora lo visitaré a menudo ;)

Quería hacerte una consulta, si me lo permites claro, a ver si pudieras ayudarme.

Tengo bastante experiencia en el mundo de la informática, ya que me dedico profesionalmente a ella, pero ninguna en lo que se refiere a seguridad informática: hacking ético, pentesting... La cosa es que desde hace un tiempo me resulta muy interesante este mundillo, ya que puede ayudarme a mejorar profesionalmente, y me gustaría aprender.

El problema que me encuentro es que no tengo suficiente tiempo ni dinero como para hacer buenos cursos, como certificaciones, masters, o cosas por el estilo. Así que empecé hace un tiempo a leer todo el material gratuito que me iba encontrando por internet y, al igual que tú, me decidí por probar con Backbox para realizar pruebas e intentar aprender un poco más haciendo alguna práctica.

Pero lo malo de todo esto es que no encuentro información sobre las herramientas que se incluyen en Backbox, en la página oficial hay mucha información sobre como realizar la instalación o sobre problemas puntuales, pero no encuentro documentación sobre como utilizar estas herramientas para alguien que empieza desde cero. Despliego el menú, veo muchas aplicaciones, pero no sé qué hacer con cada una de ellas.

Mi pregunta es ¿existe alguna manera de aprender a utilizarlas sin hacer una certificación o curso similar?, ¿hay alguna información sobre cómo utilizar estas herramientas, ya sean manuales de internet, libros...?

Es que cada vez que inicio Backbox para intentar aprender algo me deprimo, ya que no se utilizar las aplicaciones y pierdo la ilusión de querer avanzar más en este mundo.

Muchas gracias por tu tiempo, un saludo.

------

Con las mismas decidí tomar de nuevo el proyecto de enseñar a utilizar la distro de Bacbox, pero esta vez sin la intención de hacer un libro. Simplemente dando una formación a través de las entadas que vaya publicando en el Blog, así también de esta manera quien tenga dudas puede dejar un comentario e iremos resolviendola entre todos
Creo que es una buena idea, y que todos podremos sacar provecho de esto. Por eso, a partir de esta entrada se irán publicando una serie de post explicando el funcionamiento de backbox y su utilización como herramienta para hacer pentesting.
Además esperamos tener la colaboración de Cacería de spammer, ya que es el 50% de los componente s que escribirían el libro sobre Backbox (y que aun escribiendo estas entradas, no descartamos que un futuro se lleve acabo).

Sin más esperamos que esta serie de artículos les sea de gran ayuda.

lunes, 15 de julio de 2013

Las cuentas del PP desde 1999 hasta el 2008, públicas.

La noticia saltó a la luz hace unos días dando a conocer todos los gastos (excesivos) del PP desde 1999 hasta 2008. Aunque esta noticia ya la conocemos todos, he decidido comentarla ya que raras veces se tiene tanta información sobre un hack.

La gente de La 9 de Anon se han encargado personalmente de hacer públicos estos documentos y contarnos con detalle cual fue (y sigue siendo) el fallo de seguridad en la web para poder obtener los datos.

Resumido

Ni tan siquiera hizo falta un ataque a la base de datos, ya que la mala programación de la página permitía descargarse un pdf con toda la información de las cuentas del PP.

Desde la web del Tribunal de Cuentas, y en concreto desde la zona de RELACIONES ENTRE EL TRIBUNAL DE CUENTAS Y EL SECTOR PÚBLICO.
Hay una serie de enlaces para acceder a los documentos donde se detallan los gastos, sin embargo para descargar los PDF se requería una contraseña.

Con tan sólo ver el  código fuente de la página se puede observar la ruta hacia tal fichero, que se puede descargar libremente...

En fin amigos, a veces parece que las cosas son demasiado fáciles.

El pastel lo ha puesto sobre la mesa La 9 de Anon que ha publicado en detalle como ha sido todo en Pastebin.

Luego por otro lado, tenemos más info de los metadatos gracias a la auditoría que ha hecho Chema Alonso.

Enlace al documento con todas las cuentas.

miércoles, 10 de julio de 2013

Pentesterlab + sqlmap en modo --wizzard


Vas a hacer la prueba de ver lo potente que puede llegar a ser SQLmap en una web con vulnerabilidades SQLi, y con tan sólo un par de parámetros.
Lo que hemos hecho ha sido coger y montar una máquina virtual con la .iso de pentesterlab.com, una .iso con debian 6 y preparada para hacer un montons de pruebas de penetración. Entre las que estaban las de SQLi.

En un principio queríamos ver cuantas de las herramientas que consisten en búsqueda de vulnerabilidades daban una información correcta o incorrecta. Es decir, ver realmente los falsos positivos que hacían. Utilizamos herramientas como OWASP-ZAP, W3AF, nikto, skipfish , etc. que de un primer vistazo viéramos que vulnerabilidades encontraban y si éstas tenían relación con las que se presentan en dicha .iso.
El resultado variaba dependiendo de la herramienta y del grado de ataque. En la gran mayoría de estas herramientas no encontraba un gran número de vulnerabilidades hasta que no se aplicaba un alto grado de ataque. Y ninguna de ellas mostró vulnerabilidades de SQLi, sin embargo si que todas encontraron fácilmente vulnerabilidades XXS.




Img 1: Parámetros de configuración del asistente de sqlmap

Después de ver el resultado decidimos hacer la prueba basandonos sólo en SQLi ya que hasta ahora no había encontrado nada. Pensamos en hacerlo con SQLmap, pero partiendo desde el asistente de igual forma que lo hicimos con el resto de escaner de vulnerabildiades.
Eso sí, utilizando un nivel bastante alto de ataque.


Img 2: Usuarios y password obtenidos con sqlmap


Esta vez el resultado si que fue muy bueno, mucho más de lo que esperamos.A pesar de que SQLmap se puede configurar a gusto de cada uno eligiendo los parámetros que más nos gusten y teniendo más versatilidad, con tan solo lanzar y asistente, vemos como obtenemos todos los datos de la Base de Datos.
Es en este punto donde queda claro que SQLmap es una de las herramientas más potentes para inyencciones de SQL.

Img 3: Gran cantidad de datos sacados con sqlmap
La imagen anterior solo es una muestra de ejemplo de los nombre de usuarios y contraseña que hemos sacado gracias al asistente, peor más adelante (imagen 3) vemos que nos devuelve un gran número de datos.

martes, 9 de julio de 2013

PsExec para hacer Pivoting

PsExec es una de las herramientas de PsTools de Microsoft para Administradores. Estas herramientas ayudan a administrar los equipos de una red de una manera mucho más avanzada. Algunas de ellas nos permiten ejecutar programas propios de la máquina remota, matar procesos, configurar el registro, administrar los servicios, etc.

En concreto PsExec sirve para conectarnos a una máquina y administrarla desde línea de comandos. Por ello seremos capaces de ejecutar un cmd en remoto, es decir, nos conectaremos a una máquina, ejecutaremos un cmd y todo cuanto veamos y hagamos será ejecutado en la consola del equipo remoto.

Existen algunos entornos en que esto nos podría servir de gran ayuda, como ejemplo, imaginemos una infraestructura donde las VLAN están segmentadas por departamentos, y cada departamento tiene unos permisos concretos respecto a los otros. Desde unos rangos de equipos se pueden acceder a otros, pero no a todos, y distintos segmentos de red tiene más permisos para unos cosas que el resto.
En un caso hipotético (pero real) sabemos que desde nuestra máquina no llegamos a la red de Finanzas, ya que esta red está aislada. Sin embargo si que tenemos acceso a un equipo que hace de intermediario entre un segmento de red y otro. Es el equipo de RRHH. Ahora bien, nuestra red está basada en Firewall, es decir, que nosotros no llegamos al segmento de la red de Finanzas porque está capado por tráfico.

Para llegar a un equipo del otro segmento utilizamos PsExec y a través de ahí podríamos empezar a llevar unos cuentos programas, (como nmap), ejecutar un cmd en remoto y lanzar un escaneo de la red de Finanzas para obtener más información.

Para empezar comentar que PsTools son un paquete de herramientas para administradores , como ya he dicho antes, diseñado  desarrollado por www.sysinternals.com. Y que además tan solo son 2,4Mb. Por lo tanto son ligeras y muy potentes.

Vamos a centrarnos en PsExec, con la que lanzaremos un cmd en remoto con la siguiente sintaxis:

psexec \\máquina -u usuario -p contraseña cmd

Esto automáticamente nos conectará a la máquina remota a excepción de que los administradores hayan capado los permisos de acceso al disco duro... (esto no suele ser así, la gran mayoría de los administradores suelen dejar los permisos de el disco duro con acceso para todas las personas autenticadas).

Ahora que ya estamos conectados podemos empezar a husmear en la red que no pertenece a nuestro segmento.

Esto es un caso visto desde el punto de vista de un administrador, sin embargo es uno de los puntos fuertes a la hora de realizar una auditoría. Un hacker ético siempre intentará colarse en los sistemas de una manera u otra, y esta técnica de pivotar suele ser muy dañina, y en la que los administradores suelen pensar muy poco para subsanar esto.

lunes, 8 de julio de 2013

Maltego Vs TheHarvester para recolectar información

En otras ocasiones ya os hemos hablado de estas dos herramientas por separado. Ahora vamos a comparar ya que ambas sirven para hacer una búsqueda de información sobre un Dominio o mail. 
Para saber más en detalles sobre que características tiene cada una, pasados por estos artículos:


La comparación ha sido sencilla, hemos cogido un Dominio, en este caso el de Tuenti.com y hemos realizado una búsqueda simple para ver los resultados que obteníamos.
Primero pasaremos a detallar los parámetros en Maltego. Los cuales hemos decidido utilizar el asistente con la opción Footprinting L1 (Nivel 1). El decidir utilizar el Level 1 ha sido apea que no nos devolviera millones de resultados y no volvernos locos entre servidores.

Luego hemos configurado los parámetros de Theharvester, de tal manera que hiciera también una recolección de información del dominio de Tuenti.com, limitando la búsqueda a 100 resultados.

Ambos han dado un resultado muy parecidos. La diferencia radica en que el Nivel 1 de Maltego para Footprintig muestra más datos sobre las conexiones entre dominós, así como la relación entre ellos.

Sin embargo Theharvester se limita a devolver los resultados obtenido.
Hay que destacar que Maltego es una herramienta con entorno gráfico y se puede permitir mostrar y dibujar mucha más información que Theharvester.

Conclusión:

Ambas herramientas nos pueden servir para obtener el mismo resultado. Pero nosotros hemos de decidir en qué momento utilizar una u otra. Desde mi punto de vista  Maltego está más enfocado a saber la infraestructura de la empresa, mostrando un diagrama con los dominios, mails etc, encontrados. Podríamos utilizar Maltego para hacer un informe detallado en una auditoria de Seguridad. 
Mientras que TheHarvester (en mi opinión) está más enfocado a la simple u pura recolección de datos.  Siendo más práctico y rápido. Devolviendo datos concretos sin necesidad de ver un mapa de una infraestructura de red. Es decir, que podría utilizarse como una buena herramienta para hacking ético en el que no haga falta detallar un informe sobre los dominios. Simplemente lo  que queremos en saber que cantidad de servidores tiene ese dominio o servidor y a cual se podría atacar.

viernes, 5 de julio de 2013

La importancia de un pequeño fallo de seguridad y el mundo en internet

Parece mentira lo importante que puede resultar un fallo de seguridad por pequeño que sea. Es  importantísimo el cuidado que nosotros hemos de tener para que nadie, indevidamente se cuele en nuestros sistemas.
Hoy en día tenemos un gran número de herramientas que permiten ayudar a un atacante que su cometido sea mucho más fácil, sencillo y rápido. Por lo tanto el nivel de conocimiento que pueda llegar a tener esa persona, ya no es tan necesario que sean tan elevado.

A esto hay que añadirle que todo lo que se nos pase por la cabeza podemos encontrarlo en Internet. O bien en un Internet Indexado por los famosos buscadores donde se pueden encontrar todo tipo de detalles y manuales explicativos sobre como hacer cualquier “cosa", hasta  realizar búsquedas en la Deep Web sobre algo más específico y por lo general ilegal o fraudulento.

Cuento esto, porque hace apenas unos días hice la prueba... Un amigo me comentó que para poder romper la seguridad de una web había que ser un experto en seguridad, un “hacker”. Eso no es así del todo. 
El tener todos lo conocimientos de un experto en seguridad informática no quita que cualquier persona con la menos idea de informática pueda realizar un ataque. Esto precisamente es lo que le hice ver a mi amigo.

Hicimos la prueba, cogimos una web al hazas y con un par de herramientas y de búsquedas en Google, encontramos la manera de colarnos hasta la cocina...

Lo primero fue analizar la web con un escáner de vulnerabilidades, y esto nos devolvió un posible fallo de seguridad explotable de SQLi.
Como para esta prueba “no teníamos ni idea” de lo que era eso del SQLi, decidimos hacer una búsqueda en internet, encontrando un manual sobre inyecciones de SQL. 
Algo que supuestamente no habíamos oído hablar nunca de loo y que no sabíamos que era.
La buena gente de Hack x Crack había publicado una guía para saber que es una BBDD y como funciona. Y lo más importante, como realizar ataques de inyección de SQL.
Todo esto explicado de tal manera que pudiéramos entenderlo si saber nada.

Cuando terminamos con el manual lo pusimos en práctica, pudimos ver con nuestros propios ojos que  el fallo de seguridad existía. Intentamos lanzar un par de consultas a la BBDD para ver si respondía y ... así fue.

En este manual también nos hablaron de una herramienta que nos ayudaría a realizar este tipo de ataques, SQLmap. Que además por lo que comentaban estos chicos, era una herramienta por línea de comandos pero tenía un asistente muy fácil de usar.

Cuando nos quisimos dar cuenta teníamos toda la BBDD en pantalla.

La gente debería conciencias de lo importante que es la seguridad hoy en día, ya que a menudo es muy fácil penetrar en un sistema con pocos conocimientos.

Esto que cuento es una pequeña historia real, de la cual podamos obtener la BBDD de la página web, y numerosos documentos personales a un pequeño fallo de seguridad que nos permitió evadir la seguridad de autenticación a la zona restringida y así hacernos con estos documentos confidenciales.

Evidentemente los fallos de seguridad fueron reportados. Pero como en la gran mayoría de la ocasiones lo administradores no suelen hacer mucho caso a este tipo de mensajes, y se puede ver como tiempo después (en ocasiones meses, incluso llegando al año) estos fallos siguen estando expuestos.

lunes, 1 de julio de 2013

Descubriendo vulnerabilidades XSS con nmap y NSE vulnscan 1.0

La semana pasada publiqué un articulo con las primeras impresiones del script NSE vulnscan 1.0 para nmap, dejándome un buen sabor de boca. Después de ver aquel día que la herramienta podía ser bastante potente, he lanzado un par de escaneos al azar para ver de qué pasta está hecho este script.

El resultado: Por encima del 8
Img 1: Resulta del XSS con NSE Vulnscan 1.0

El primer día que lo probé me fijé en, que no solo encuentra vulnerabilidades, si no que además te dice donde está el fallo, como puedes explotarlo, y qué probar para ver si es vulnerable o se trata de un falso positivo. A parte de esto  también ofrece referencias sobre esa tipo de fallo de seguridad.

En mi caso me topé con un fallo de XSS, y este script fue tan amable de darme un ejemplo para explotar la vulnerabilidad. Dicho y hecho… vulnerabilidad explotable 100%. 

Por el momento los pocos escaneos que he podido lanzar con Vulnscan 1.0 han dado muy pocos falsos positivos gracias a que se basa en unas bases de datos que tu mismo puedes actualizar y así tener las vulnerabilidades siempre al día.

Cuando se lanza un escaneo lo hace sobre una sola base de datos en concreto que tu especificas, me falta por probar si se podría lanzar sobre varias a la vez con el fin de ahorrar tiempo. Pero no estoy seguro de que se pueda hacer y de que me vaya a ser útil, ya que muchas de estas BBDD tienen las mismas vulnerabilidades registradas con distinta información. Sería un poco jaleo leer lo mismo 4 o 5 veces con distinta info.
Img 2: Fallo XSS explotado.
En la imagen que os muestro se puede ver claramente como el fallo de seguridad que ha encontrado nmap es vulnerable. Comentar que en este caso ha encontrado un fallo típico de XSS en un buscador basado en php. Pero no sólo encuentra vulnerabilidades típicas, también encuentra otro tipo de vulnerabilidades... eso depende de nuestra imaginación para poner unos u otros parámetros en nmap.