BackBox 3 - Iniciación al Pentesting

7/14/2019 BackBox 3 - Iniciación al Pentesting

http://slidepdf.com/reader/full/backbox-3-iniciacion-al-pentesting 1/37

Documento: LibroLibroNivel: IniciaciónIniciaciónAutor: Ismael González D.Ismael González D.Versión: 2.12.1

Lugar:Lugar: Kontrol ! "#e $n%er&a' (ecurit'Kontrol ! "#e $n%er&a' (ecurit'Localización: &&&.)ontrol.com&&&.)ontrol.com

1*+%ición

,ac)bo- Linu-

Iniciación al /entesting

0ac)ing tico en alicacones &eb



Backbox Linux 3 – Iniciación al Pentesting

/or Ismael Gonzzles D.

+ste libro se %istribu'e ba3o una licencia Reconocimiento-NoComercial-CompartirIgual4.0 Internacional

Usted es libre de:

4oiar ' re%istribuir el material en cual5uier me%io o 6ormato

Bajo las condiciones siguientes:

Attribution 7 Debe reconocer a%ecua%amente la autor8a9 roorcionar unenlace a la licencia e in%icar si se #an realiza%o cambios. /ue%e #acerlo %e

cual5uier manera razonable9 ero no %e una manera 5ue sugiera 5ue tiene el ao'o%el licencia%or o lo recibe or el uso 5ue #ace.

NonCommercial — No puede utilizar el material para una finalidadcomercial.

ShareAlike — Si remezcla, transforma o crea a partir del material,deberá difundir sus contribuciones bao la misma licencia !ue el

original.

http://creativecommons.org/licenses/by-nc-sa/4.0/deed.es_ES



http://creativecommons.org/licenses/by-nc-sa/4.0/deed.es_ES#





















Índice de contenido9Introducción................................................................................................................5

Pentesting y Blackhat........................................................................................513Capítulo 1 Primeros Pasos Con Backbo.................................................................!

"erramientas y su uso.......................................................................................!Por donde empe#ar............................................................................................$

%b&eti'o 1( )tacar ser'idor *eb.......................................................................$

+scaneo de puertos con ,map..........................................................................915Capítulo - Bs/ueda de 'ulnerabilidades...............................................................10

Introducción....................................................................................................10,map como escner de 'ulnerabilidades 2,+ 4ulnscan............................15

PoC( Prueba de concepto ,map 4ulnscan '1.6..............................................15

7urno de %8)P............................................................................................1!anos a la obra( Primera prueba de concepto con %8)P.....................19

!-Capítulo 3 +plotación...........................................................................................-1

Introducción....................................................................................................-1Identi:icando 'ulnerabilidades........................................................................--

4ulnerando la BB;; y etrayendo in:ormación......................................-3<=map( Prueba de concepto...................................................................-0

%bteniendo las tablas de la base de datos.................................................->Capítulo 0 Post?eplotación........................................................................................-$

Introducción....................................................................................................-$

=ectura de archi'os con <= .........................................................................-9)cceso al ser'idor...........................................................................................36

+scalada de pri'ilegios..............................................................................36)cceso indirecto al ser'idor( Base de datos..............................................36

Penetrando en 8ordpress................................................................................31Creando un nue'o usuario en 8ordpress a tra'@s de mys/l.....................318p?users...................................................................................................3-

8p?usermetada.........................................................................................3-=ocal Aile Inclusion( un paso ms cerca del control.......................................30

=AI a 8ordpress........................................................................................35



Índice de ilustracionesIlustración 1( +scritorio Backbo =inu 3...........................................................................................$

Ilustración -( esultado obtenido tras un escner de puertos con nmap............................................16

Ilustración 3( Intento de acceso al panel de administración de y<= desde :uera de la red interna............................................................................................................................................................11

Ilustración 0( In:ormación de los hosts y subdominios etraída con 7he"ar'ester...........................1-

Ilustración 5( In:ormación de un ser'idor *eb a tra'@s de *hat*eb.................................................13Ilustración >( Buscando 'ulnerabilidades con ,map 4ulnscan......................................................1>

Ilustración !( +&emplo de DD 2Cross ite cripting.........................................................................1>Ilustración $( Con:iguración Proy de %8)P E)P.........................................................................1$

Ilustración 9( )ta/ue automtico a una F= con %8)P E)P........................................................19Ilustración 16( =eyenda de iconos......................................................................................................19

Ilustración 11( Panel de resultados de las 'ulnerabilidades encontradas. %8)P E)P............ .......-6

Ilustración 1-( In:orme de 'ulnerabilidades locali#adas. %8)P E)P............................................--Ilustración 13( Aor#ando un error de sintais en <=........................................................................-3

Ilustración 10( %pciones bsicas de s/lmap.......................................................................................-0Ilustración 15( %bteniendo Bases de datos con s/lmap.....................................................................-5

Ilustración 1>( +numeración de tablas. s/lmap..................................................................................->

Ilustración 1!( +numeración de columnas. /lmap...........................................................................-!Ilustración 1$( %pciones para leer o descargar archi'os con s/lmap.................................................-9

Ilustración 19( )rchi'o de con:iguración de 8ordpress obtenido con s/lmap..................................36Ilustración -6( Cliente ;Bea'er. )ccediendo al seri'dor de Base de datos.......................................31

Ilustración -1( 7abla *pGusers. Contiene los datos del usuario.........................................................3-

Ilustración --( 7abla *pGusermetada. Contiene los datos /ue otorgan permisos al usuario.......... ...33Ilustración -3( =ogin del backend de 8ordpress...............................................................................33

Ilustración -0( Panel de administración de 8ordpress.......................................................................30Ilustración -5( =ocal Aile Inclusion....................................................................................................35

Ilustración ->( hell copiada en archi'o author.php del theme 7*enty 7*el'e de 8ordpress..........3>Ilustración -!( Código :uente de la pgina principal de 8ordpress...................................................3>Ilustración -$( hell c99( Panel de administración ...........................................................................3!



Introducción

+n el mun%o %e la seguri%a% in6ormática e-isten una serie %e #erramientas eseci6icas 5ue a'u%an arealizar las tareas lleva%as acabo tanto or arte %e un /entester en su au%itor8a %e seguri%a% como un0ac)er en el la%o %el ,lac)#at.+valuar los riesgos %e una emresa tal ' como se #ace en una au%itor8a %e seguri%a% ser8a rácticamenteimosible sin estas #erramientas. /uesto 5ue %entro %e la seguri%a% in6ormática e-isten numerosasramas9 e-isten %istribuciones Linu- recon6igura%as con to%as las #erramientas necesarias ara larealización %e una au%itor8a %e seguri%a%.

Backbox, es una %istribución Linu- basa%a en $buntu ara realizar %ic#as au%itor8as. +sta %istribucióntiene #erramientas esec86icas ara ca%a un a %e las ramas %e seguri%a%9 como: ,s5ue%a %e %ein6ormación9 ,s5ue%a %e vulnerabili%a%es9 Análisis 6orense9 esteganogra68a9 Ata5ues ;i<=i9 soo6ing9 etc.Algunas %e estas #erramientas se ue%en utilizar ara %istintas 6unciones %een%ien%o %el uso 5ue5ueramos %arle. /or ello es %i68cil clasi6icar ca%a #erramienta %entro %e un ámbito9 'a 5ue en algunos casoso%remos utilizar9 or e3.: nma ara realizar un escaneo %e uertos9 ' en otras ocasiones9 o%remosutilizar esta misma #erramienta ara #acer una bs5ue%a %e vulnerabili%a%es9 enumeración %e DN(9 etc9>%een%ien%o %el scrit 5ue carguemos?.+ste Libro está en6oca%o a una au%itor8a &eb9 or ello se #an %escarta%o to%as a5uellas #erramientas 'utili%a%es 5ue no se ue%an alicar a esta rama %e la seguri%a%.A%emás %e rogramas en6oca%os a la automatización %e ruebas %e seguri%a% in6ormática9 e-isten otrotio rogramas 5ue tambin nos a'u%an a realizar tareas más a%ministrativas como son or una arte larecolección %e in6ormación9 como or otra el in6orme 6inal 5ue se %ebe %e #acer in%ican%o en %etalle

to%as las ruebas realiza%as.La recogi%a %e in6ormación es una %e las artes más imortantes ara un #ac)er. A artir %e sta se o%rá6ocalizar un ata5ue. /or ello el tener to%o bien %ocumenta%o será rimor%ial.

$na %e la caracter8sticas 5ue trae esta %istribución es el anonimato &eb 5ue se ue%e realizar %e manerasimle ' sencilla. "o%o 0ac)er 5ue 5ue no 5uiera %e3ar localiza%o su rastro se a'u%ará %e #erramientascomo Vidalia9 T!9 Poli"o9 Pri#ox$9 etc. +stas #erramientas ermiten ocultar las cone-iones %elor%ena%or. ,ac)bo- Linu- viene reara%o ara o%er anonimizar to%as las cone-iones %el or%ena%or. A lolargo %e los ca8tulos %e este libro se verá en ro6un%i%a% las tcnicas %el Anonimato.+n el caso %e una au%itor8a %e seguri%a% se o%rá %eterminar si los sistemas %e la emresa 5ue estamosau%itan%o9 serán caaz %e %etectar una @cone-ión real %e una 5ue est utilizan%o tcnicas %e anonimato.

"o%as las ruebas %e conceto9 as8 como el conteni%o mostra%o en este libro se #an #ec#o con el 6in %e

enseBar la 6orma en la 5ue acta un 0ac)er a la #ora %e eretrar en un servi%or9 o en to%a unain6raestructura %e servi%ores ' sistemas in6ormáticos.

Pentesting $ Black%at

Cu es el /entestingE /entesting es el traba3o 5ue realiza un 0ac)er ara %eterminar to%as lasvulnerabili%a%es %e un sistema9 rograma9 servi%or9 o emresa. +l entester or su arte es a5uellaersona 5ue se encarga %e realizar una bater8a %e ruebas ara %esus resentar un in6orme %etalla%o ala emresa o servicio or el 5ue 6ue contrata%o. +ste traba3o se %enomina 0ac)er tico.

$n contrato %e 0ac)er tico comromete al entester o au%itor a ceBirse a las con%iciones %e su contrato.+sto ermite evaluar to%os los riesgos %e una emresa sin 5ue sta se vea a6ecta%a or los %atosobteni%os



&a"'tulo ( /rimeros /asos 4on ,ac)bo-

)erra*ientas $ su uso

"o%as las #erramientas ' rogramas 5ue se encuentran en cual5uier %istribución %e seguri%a% intentanagruar sus rogramas ' utili%a%es en 6unción %e su uso ' %el or%en en el 5ue se #ar8a una au%itor8a %e

seguri%a%. (in embargo9 al e-istir rogramas con varias 6unciones es %i68cil catalogar ca%a uno %e losrogramas en una categor8a re%etermina%a.

$na au%itor8a %e seguri%a% se realiza siguien%o el siguiente or%en:

1. Fecolecciónrecoilación %e in6ormación.2. ,s5ue%a %e vulnerabili%a%es.. +-lotación %e los sistemas.H. /ost e-lotación.. In6orme e3ecutivo ' tcnico.

Las mismas tcnicas son utiliza%as or un ,lac)#at cuan%o se 5uiere atacar a un servi%or. (in embargo el,lac)#at se asegura %e 5ue su sus cone-iones no %e3an rastro9 ' ara ello aBa%e %os 6ases más en surecorri%oJ el anonimato ' la osterior eliminación %e las osibles ruebas 5ue #a'an o%i%o 5ue%ar.

1. Fecolecciónrecoilación %e in6ormación.2. Anonimato.. ,s5ue%a %e vulnerabili%a%es.H. +-lotación %e los sistemas.. /ost e-lotación.. +liminación %e ruebas.. In6orme e3ecutivo ' tcnico.

Las %istribuciones %e seguri%a% como 'a se #a comenta%o antes9 intentan aseme3arse al or%en en 5ue se

#ar8a una au%itor8a. ,ien9 este %ato es mu' relativo9 #a' #erramientas 5ue están en la categor8a %e+x"lotación de Vulnerabilidades9 ero 5ue er6ectamente nosotros o%emos utilizarla ara #acer unabs5ue%a %e vulnerabili%a%es. 4omo or e3emlo 3a- 9 5ue en este caso está en la sección %e+x"lotación %entro %e ,ac)bo-9 ero 5ue nosotros o%remos utilizar ara otras 6unciones9 a%emás %eara lanzar un ata5ue.



Capitulo 1 - Primeros pasos con Backbox

0a' 5ue tener en cuenta 5ue un ata5ue o una au%itor8a %e seguri%a% variará en 6unción %eltio %e ata5ue. +s %ecir9 nosotros o%emos realizar un ata5ue %es%e 6uera %e la re% interna%e nuestro ob3etivo9 o bien9 o%emos realizar un ata5ue %es%e la LAN %es%e la 5ue 5ueremosencontrar vulnerabili%a%es.

$n claro e3emlo %e esto es utilizar n*a" ara #acer un escaneo %e uertos a una I/ blicaara %eterminar los servicios 5ue corren sobre la má5uina 5ue está %an%o algn tio %eservicio. M bien9 si nos encontramos %entro %e la roia re% LAN9 o%emos lanzar n*a" araver los e5uios ' la relación %e uertos abiertos o cerra%os 5ue tiene ca%a má5uina %entro %elmismo segmento %e re%.

Por donde e*"e.ar

+s osible 5ue 5ue nosotros tengamos claro 5ue 5ueremos atacar a una %etermina%amá5uina9 ero no sabemos como #acerlo9 ni or %on%e emezar. La clave %e esto es9 5uecon6orme se va'a obtenien%o in6ormación el resto %e acontecimientos irán salien%o solos9 orlo 5ue no %ebes reocuarte. "ar%e o temrano tal vez aarezca alguna vulnerabili%a% %e la5ue arovec#arse. +n la gran ma'or8a %e las ocasiones cuan%o nos onemos a buscarin6ormación %el ob3etivo nos encontramos con %iversas 6uentes9 unas llevan a otras9 ' as8sucesivamente #asta 5ue llegamos a un unto en 5ue sin %arnos cuenta estamos casi %entro%el or%ena%or9 o el servi%or.

$n escenario t8ico ser8a el %e atacar a un ob3etivo %es%e 6uera %e la re%9 ' una vez vulnera%oel sistema intentar acce%er a la re% interna ' e-lotar los sistemas 5ue all8 se encuentren.

bjeti#o (: Atacar ser#idor eb

A5u8 nos ue%e surgir la rimera %u%a9 ' es Cu #erramienta es la a%ecua%a ara obtenerin6ormaciónE. La resuesta ue%e ser mu' amlia: e-isten muc#as #erramientas ara tal

8

Ilustración 1: Escritorio Backbox Linux 3




roósito9 ero Ccuál %ebo utilizarE en el caso %e utilizar más %e una C5u or%en #e %eseguirE. No tenemos 5ue volvernos locos con las #erramientas9 algunas nos servirán ara unas%etermina%as cosas ' otras ara otras9 ' en el caso %e 5uerer obtener in-or*ación9 como esel %e a#ora9 es osible 5ue unas #erramientas nos %en más in6ormación 5ue otras9 o 5ue

simlemente aorten in6ormación %istinta.

/ara 5ue os #agáis una i%ea9 n*a" nos sirve ara >entre otras muc#as cosas? %etectar losuertos ' servicios 5ue corren en una o varias má5uinas. (i nosotros tenemos un servi%or &ebcomo ob3etivo9 o%emos lanzar nma ' ver 5ue uertos tiene abierto. (in embargo esto esosible 5ue no nos %evuelva muc#os %atos 'a 5ue or lo general los servi%ores &eb >' 5ueestán e-uestos a internet? sólo tiene abierto el trá6ico or el uerto O. No veremos más allá%e esto.

A#ora bien9 o%emos a'u%arnos %e la #erramienta T%e)ar#ester ara ver 5ue otros %ominios' sub%ominios ue%en comoner el servi%or rincial al 5ue atacamosJ un blog9 un ="/9 unsub%ominio ara %esarrollo9 etc.

/or tanto #acien%o uso %e ambas #erramientas ten%remos me3or resulta%o9 ' nunca #a' 5ue%e3ar %e la%o ninguna #erramienta or innecesaria 5ue arezca. /or e3emlo /altego tambin es una #erramienta ara localizar sub%ominios al igual 5ue T%e)ar#ester9 sólo 5uesta nos muestra en un organigrama la osición ' 6unción %e ca%a servi%or9 en 6ormato

3erár5uico9 sobre como está organiza%a la in6raestructura %e servi%ores %e nuestro ob3etivo.

4asi sin %arnos cuenta9 ' con tan solo alicaciones #emos obteni%o un gran nmero %ein6ormación. /ero ara verlo me3or9 llevmoslo acabo.

+scaneo de "uertos con 0*a"

+scenario:

• Mb3etivo: (ervi%or &eb

• "io %e ata5ue: obtener in6ormación

• 0erramientas utiliza%as: n*a"9 T%e)ar#ester ' %ateb

Lo rimero 5ue vamos #acer va a ser lanza un n*a" con el 6in %e encontrar algn 5ue otrouerto 5ue no sea el O. Panos a la obra9 la con6iguración n*a" ara lanzar un rimerescaneo %e uertos va a ser QFegular (canQ es %ecir9 un simle R1n*a" 2objeti#o2co*2

9




"al ' como observamos el resulta%o es mu' bueno9 no solo #emos obteni%o más uertosa%emás %el O9 si no 5ue %e un rimer vistazo o%emos ver algunos servicios %e los 5ueseguramente comonen la &eb9 o alguno %e los sub%ominio.

Por +je*"lo:Vemos el uerto 334 el cual "ertenece a /$s5l. (i #acemos la rueba %e intentar ver si elacceso está #abilita%o %e 6orma abierta9 osiblemente el resulta%o sea 5ue no. +s #abitual vercosas como estas9 %on%e e-iste un servicio9 ero sólo se ue%e acce%er a l si te encuentrasen la misma re% local. De #ec#o es una me%i%a %e seguri%a% 5ue imlanta P's5l ara evitar

ata5ues %es%e el e-terior.

10

Ilustración : !esulta"o obteni"o tras un esc#ner "e puertos con nmap




/asemos al siguiente unto %e nuestra recolección %e in6ormación9 5ue es ver la canti%a% %esub%ominios ' servicios 5ue ue%e tener nuestro ob3etivo. /ara esto utilizaremos"#e0arvester. Fesumi%amente9 en lo 5ue consiste "#e0arvester es en buscar in6ormación enlos motores %e bs5ue%a >Google9 ,ing9 (#o%an ...? ara encontrar sub%ominios e e<mails 5uese #a'an #ec#o blicos. +l coman%o a lanzar ser8a bastante sencillo9 in%ican%o el %ominio lacanti%a% %e resulta%os 5ue 5ueremos 5ue nos %evuelva9 ' los motores %e bs5ue%a en los5ue 5ueremos 5ue bus5ue: 67 sudo T%e)ar#ester 8d objeti#o2es 8l 9 8b all

11

Ilustración 3: Intento "e acceso al panel "e a"ministración "e $%&'L "es"e (uera "e la re" interna




Los &ebmaster suelen ensar 5ue cuanto más conteni%o in%e-en los busca%ores más visible

estará su &eb en internet9 or tanto más visitas9 ' un ma'or nmero %e cliente. +sto 5ue asimle vista arece no ser malo9 es un arma %e %oble 6ilo. Vien%o la imagen anterior nosencontramos con montón %e sub%ominios 5ue Google >' %emás busca%ores? #an consegui%oin%e-ar.

4on la in6ormación 5ue #emos saca%o %e nma ' %e "#e0arvester9 o%emos tener una ligerai%ea %e los servicios ' servi%ores 5ue tiene nuestro ob3etivo.

a sabemos 5ue la &eb 5ue 5uer8amos atacar en un rimer momento no tiene sólo unservi%or e-uesto a internet9 si no 5ue tiene numerosos uertos abiertos9 ' 5ue %isone %evarios sub%ominios. (ólo es cuestión %e tiemo 5ue alguno %e estos servi%ores sea vulnerablea nuestro ata5ue.

4entrmonos en el servi%or 5ue 5uer8amos atacar ' sigamos buscan%o in6ormación.

1

Ilustración ): In(ormación "e los *osts % sub"ominios extra+"a con ,*ear.ester




+s a5u8 %on%e nuestra bs5ue%a 'a no es algo generaliza9 está más en6oca%a a una solama5uina9 una sola i ' un solo uerto. Aun5ue %esus tambin nos centraremos en otrasmá5uinas ' otros servi%ores9 lo 5ue nos interesa es sacar la ma'or in6ormación osible %e la

&eb a la 5ue estamos atacan%o.

Desus %e #aber utiliza%o n*a" ' T%e)ar#ester9 le llega el turno a %ateb2

%ateb nos ermitirá saber in6ormación más esec86ica sobre el %ominio 5ue estamosatacan%o.Lo 5ue #ará &#at&eb es9 escanear un i%ominio en busca %e to%a in6ormación til aranuestro ata5ue. 4omo ue%e ser9 tio %e servi%or9 sistema oerativo9 tecnolog8a en la 5ueestá basa%a la &eb9 etc.

+ste tio %e in6ormación es tan valiosa como la anterior. Gracias a ;#at&eb o%remos%eterminar las versiones %e las alicaciones con las 5ue está construi%a la &eb. /or tanto9 si la&eb %isone %e versiones no actualiza%as es mu' osible 5ue sea vulnerable.

Fecor%a% 5ue los &ebmaster suelen ser bastante cui%a%oso con la arte visible %e su &eb9ero no con la 5ue no se ve9 el bac)en%. +s mu' 6ácil %e encontrar servi%ores &eb con unaversión %e # o m's5l %es<actualiza%a.

%ateb al tratarse %e un escáner &eb tiene %istintos gra%os %e agresión a la #ora %e #acersus bs5ue%as. (ien%o caaz %e %eterminar la versión %e sistemas %e ,,DD >como 'a #emos%ic#o antes?9 la versión %e servi%or &eb %e aac#e >or e3emlo? o la versión %el gestor %econteni%os con la 5ue está monta%a9 como ue%e ser ;or%ress.

A%emás tambin utiliza un vector %e ata5ue basa%o en Google Dor)9 or lo 5ue tambin sebasa en osibles servi%ores o in6ormación sensible e-uesta a Google.

13

Ilustración /: In(ormación "e un ser.i"or eb a tra.s "e *ateb



&a"'tulo ; ,s5ue%a %e

vulnerabili%a%es

Introducción

$na vez 5ue 'a tenemos bastante in6ormación %el ob3etivo al 5ue 5ueremos atacar es #ora %e%ar un aso más e intentar buscar algn tio %e vulnerabili%a% 5ue nos %e acceso al sistema.4omo 'a #emos comenta%o antes9 no siemre las categor8as 5ue nos o6recen las Distros %eseguri%a% se correson%en con el roceso %e un +t%ical )ack9 'a 5ue muc#as %e las#erramientas sirven ara #acer más %e una 6unción.+n este tema utilizaremos alguna 5ue otra #erramienta 5ue no se encuentra %entro %e lasección %e ,s5ue%a %e Vulnerabili%a%es9 ero 5ue sin embargo nos servirá %e igual manera.Las #erramientas 5ue utilizaremos ara buscar vulnerabili%a%es no son más 5ue escáneres %evulnerabili%a%es. /rogramas 5ue están %iseBa%os ara automatizar una serie %e 6unciones '5ue están ensa%as ara a'u%arnos a no tener 5ue #acer bs5ue%as manuales %e ca%a tio %evulnerabili%a%. De un %etermina%o servicio.+l rincial inconveniente %e este tio %e bs5ue%a es 5ue9 la gran ma'or8a %e las alicaciones#acen 6alsos ositivos. +so signi6ica9 5ue aun5ue el rograma encuentre una vulnerabili%a% nosiemre a %e ser e-lotable.



Capitulo 2 Bs4ue"a "e .ulnerabili"a"es

0*a" co*o esc<ner de #ulnerabilidades =0>+

Vulnscan?4asi se o%r8a %ecir 5ue nma es la #erramienta in%isensable ara cual5uier #ac)er gracias ala canti%a% %e scrit 5ue están %esarrolla%os ara ello9 ' 5ue son con6igurables a nuestrogusto. De igual manera 5ue utilizamos nma ara recolectar in6ormación lo #aremos esta vezero ara buscar vulnerabili%a%es.

+sto es osible a un scrit %esarrolla%o esec86icamente ara realizar esta 6unción. +l scritconsiste en #acer una bs5ue%a %e las vulnerabili%a%es 'a encontra%as en un reositorio %e%ic#as vulnerabili%a%es. >+ste reositorio es actualizable %es%e ca%a una %e las áginaso6iciales %es%e las 5ue se reortan las vulnerabili%a%es?.

Las bases de datos son:• cve.csv

• osv%b.csv

• scivul%b.csv

• secunia.csv

• securit'6ocus.csv

• securit'trac)er.csv

+l scrit 5ue está basa%o en nma N(+ >nma scritting engine? %ebemos %e ba3arlo e instalarlo. /or %e6ecto no viene instala%o con nma.

La manera %e instalar es coian%o la careta comleta %e N(+ Vulnscan en la ruta %on%e seencuentran el resto %e scrit ara nma. /or %e6ecto: @usr@s%are@n*a"@scri"ts

/ágina o6icial %e %escarga: &&&.sci.c#enElabs.212

Po&: Prueba de conce"to 0*a" Vulnscan #(2

+l arámetro es bastante sencillo una vez 5ue se tiene instala%o el scrit.

,asta con oner los arámetros 5ue solemos oner #abitualmente #acien%o re6erencia alscrit:

nmap -T4 -v -v -F --script vuln --script-args vulnscandb=securityfocus.csv &&&.sitio&eb.com

Lo 5ue estamos consiguien%o con estos arámetros es %ecir a nma 5ue 5ueremos 5ue lanceun escaneo básico9 mostrán%onos los errores ' los resulta%os. In%icán%ole a%emás 5ue5ueremos 5ue utilice un scrit >vuln? ' aBa%ien%o la base %e %atos %one 5ueremos 5ue #agasus bs5ue%as.

+l resulta%o como comrobamos es bastante bueno9 #emos obteni%o un 6allo %e S(( >4ross(ite (criting?

1/

http://www.scip.ch/en/?labs.20130625

http://www.sitioweb.com/

http://www.scip.ch/en/?labs.20130625

http://www.sitioweb.com/




Nma nos está sirvien%o ara buscar vulnerabili%a%es9 sin embargo eso no 5uiere %ecir 5uea'a a realizar el ata5ue or nosotros. +so s89 nos %ará to%a la in6ormación necesaria. "anto esas89 5ue nos muestra la url comleta a la 5ue %ebemos atacar ara e-lotar %ic#avulnerabili%a%.

Aun5ue la e-lotación %e vulnerabili%a%es las veremos en el siguiente tema9 5uiero mostrarcomo la vulnerabili%a% %e nma es comletamente e-lotable ' no nos #a %a%o un 6alsoositivo.

15

Ilustración 5: Buscan"o .ulnerabili"a"es con 6map 7 ulnscan

Ilustración : Eemplo "e ;; <Cross &ite &criptin=>




Algo 5ue %ebemos tener en cuenta es saber 5ue9 or muc#o 5ue ca%a #erramientas está unoco más en6oca%a ara un tio %e 6unción es bueno combinarlas entre ellas. De na%a sirvetener muc#as in6ormación %e nuestro ob3etivo si luego no sabemos como buscarvulnerabili%a%es. lo mismo asa a la #ora %e buscar vulnerabili%a%es9 %e na%a sirve

encontrar vulnerabili%a%es si luego no sabemos e-lotarlas. 4omento esto or 5ue a lo largo%e este tema iremos vien%o como encontrar vulnerabili%a%es ' como saber encontrar lamanera %e e-lotarlas.

/osteriormente en el tema %e e-lotación %e vulnerabili%a%es nos centraremos más en comoconseguir escalar rivilegios9 #acernos con el control %e la má5uina9 etc. /ero %e una maneramuc#o más concreta ' sabien%o casi a un 1T 5ue nuestro ob3etivo es vulnerable a eseata5ue.

/uesto 5ue esto es una rimera toma %e contacto con el entesting ' más concretamente con,ac)bo-9 no vamos a ararnos a e-licar ca%a una %e las #erramientas 5ue trae el (M. +so s89nos centraremos en las 5ue me3ores resulta%os #emos obteni%o a la #ora %e realizar unaau%itor8a.

+l siguiente turno le toca a M;A(/.

Turno de A>P

M;A(/ o%r8amos %ecir 5ue es una #erramienta 5ue traba3a como ro-'. Cesto 5ue 5uiere%ecirE Nosotros o%emos utilizar M;A(/ ara 5ue intercete to%o el tra6ico %e nuestronavega%or9 ' ara ello sólo #emos %e con6igurar el navega%or ara 5ue salga or un ro-'.

+ste ro-' será la %irección local %e tu má5uina 12...19 ' el uerto será el 5ue se le #a'aasigna%o a M;A(/9 5ue or %e6ecto es el OO1.

"ambin o%emos utilizar M;A(/ como cual5uier otro escáner. (imlemente metien%o la%irección a la 5ue reten%emos atacar. M;A(/ se encargará %e #acer un bs5ue%a %e to%aslas vulnerabili%a%es osibles.

1




/ero esto lo veremos %esus...

La %i6erencia ra%ica en nuestro roio criterio9 es %ecir9 el ata5ue va a ser el mismo9 sinembargo o%remos utilizarlo %e la manera 5ue nos sea más cómo%a. (i utilizamos M;A(/como ro-'9 estaremos obligan%o al navega%or a 5ue to%as las %irecciones asenreviamente or M;A(/. +sto ue%e ser un oco caótico si a la misma vez 5ue estamosatacan%o una &eb9 tambin estamos visitan%o otras 5ue no tienen na%a 5ue ver con elata5ue. M;A(/ las recogerá ' las analizará %e igual manera.

+so s89 si sabemos esto reviamente9 ten%remos el ata5ue muc#o más controla%o. a 5ueo%remos en6ocar o centrar en a5uella arte %on%e 5ueremos o creemos 5ue o%emosencontrar una vulnerabil%ia%.

+l otro mto%o %e ata5ue es más %irecto aun5ue tambin es un arma %e %oble 6ilo. 0ablamos%e un ata5ue 5ue se realiza %irectamente sobre la &eb 5ue nosotros le in%i5uemos. +stoinclu'e to%o tio %e bs5ue%a %e vulnerabili%a%es9 recorri%o %e url9 etc. /or tanto es un ocomás llamativo ara los =;9 ID(I/(9 etc.

18

Ilustración 8: Con(i=uración Prox% "e ?@A&P AP




La manera %e traba3ar %e M;A(/9 ara este caso será recorrer to%as las $FL %el %ominio 5uenosotros le #emos in%ica%o ' en ca%a una %e ellas intentará #acer alguna comrobación araver si es e-lotable o no. +ste tio %e ata5ue es 6ácilmente %etectable or los =; o los ID(. a5ue se estar8a realizan%o ruebas malintenciona%as %es%e nuestra I/.

/anos a la obra: Pri*era "rueba de conce"to con A>P

/ara ver el gran otencial %e la #erramienta lo 5ue #emos #ec#o #a si%o lanzar un ata5ue%irecto #acia una ágina. +seran%o 5ue nos reortara alguna vulnerabili%a%9 ' 5ue sta no6uera un 6also ositivo.

4uan%o se lanza un ata5ue %irecto %es%e M;A(/9 ' rácticamente %es%e cual5uier escáner %evulnerabili%a%es9 el roceso es lento ' re5uiere %e bastantes recursos %el rocesa%or ' lamemoria. (olo es cuestión9 %e eserar a 5ue el ata5ue 6inalice ' luego ir vien%o 5ue reorte %evulnerabili%a%es #a obteni%o.

+n el caso %e M;A(/ e-isten cuatro iconos con los 5ue o%remos %i6erenciar los tio %ealertas 5ue #a i%o encontran%o. M me3or %ic#o el gra%o %e vulnerabili%a%.

Ti"os de alerta segn el color:

!ojo: Vulnerabili%a% cr8tica.

0aranja: 4ritici%a% me%ia

A*arilla: Vulnerabili%a% ba3a.

A.ul: Alertas in6ormativas

Na%a me3or 5ue ver el resulta%o obteni%o %el ata5ue ara enten%erlo bien.

4on tan solo un ar %e @clic conseguimos algunas 5ue otras vulnerabili%a%es9 %e las cueles 2

%e ellas son cr8ticas ' encontra%as en más %e un lugar %e la ágina9 tal ' como muestra la

19

Ilustración 9: Ata4ue autom#tico a una !L con ?@A&P AP

Ilustración 10: Le%en"a "e iconos




imagen:

&ross >ite >cri"ting =>>? 6ue encontra%o en 1 lugares %e la ágina.

>CL injection 6ue encontra%a en otros lugares %e la ágina.

(abien%o esto ' con las #erramientas a%ecua%as9 'a casi estamos listo ara realizar un ata5ueen to%a regla ' emezar a obtener %atos riva%os %el ob3etivo al 5ue estamos atacan%o ara%esus reortarlo en nuestra au%itor8a %e et%ical %ack2

0

Ilustración 11: Panel "e resulta"os "e las .ulnerabili"a"es encontra"asD

?@A&P AP



&a"'tulo 3 +-lotación

Introducción

+ste tema será osiblemente uno %e los más atractivos. +n l vamos a ver como %arle uso ato%a la in6ormación 5ue #emos recoila%o anteriormente ' 5ue nos será %e gran a'u%a.

(i #acemos un breve resumen 'a tenemosJ los uertos abiertos a los 5ue vamos a atacar9 eltio %e tecnolog8a9 ' alguna 5ue otra vulnerabili%a%.

(abien%o esto sólo es cuestión %e centrarnos en la vulnerabili%a% 5ue 5ueremos e-lotar9elegir la #erramienta ' llevarlo acabo.

Algunas ruebas básicas 5ue se %eben #acer antes %e intentar vulnerar un sistema es%escartar si las vulnerabili%a%es 5ue %evolvió A>P DAP son 6alsos ositivos o realmenteson vulnerabili%a%es e-lotables.

+n algunas ocasiones el saber si una &eb es vulnerable a una %e estas 6allas es mu' sencillo.

Por eje*"lo: en el caso %e una vulnerabili%a% >CL injection ser8a cuestión %e intro%ucir unacomilla simle >Q? ara ver si se ro%uce el error. (i e-iste error or arte %el servi%or esaltamente robable 5ue o%amos realizar un ata5ue sobre la ,,DD.

Mtro 6allo %e seguri%a% 5ue se suele encontrar a menu%o son los llama%os >> (Cross SiteScripting) 5ue ara reconocerlos solo #ará 6alta intro%ucir un e5ueBo @scrit al 6inal %e la urlcon el ob3etivo %e alterar la in6ormación %e la ágina &eb.

,asán%onos en la>s? vulnerabili%a%>es? 5ue 'a encontramos o%emos emezar a %escartar6alsos ositivos.



Cap+tulo 3 2 Explotación

Identi-icando #ulnerabilidades2

+l rimer aso %e to%os es revisar to%as las vulnerabili%a%es e i%enti6icar %e 5ue tio %evulnerabili%a% se trata >(L9 S((9 DoD(9...?

+-aminan%o el in6orme %e vulnerabili%a%es %e M;A(/ UA/ tomaremos como e3emlo una %elas alertas con ma'or critici%a%.

(e trata %e una vulnerabili%a% >CL injection U0I0 sobre /$>CL2

(i esta vulnerabili%a% 6uera e-lotable estar8amos comrometien%o el sistema %e la ,,DD 'osiblemente ser8amos caaces %e alterar el conteni%o tanto %e la ,,DD como %e la ágina&eb a la 5ue atacamos. Lo iremos vien%o oco a oco.

/ara comrobar si e-iste un 6allo %e seguri%a% >CL injection vamos a coger la $FL ' amo%i6icarla ara ver 5ue nos %evuelve el servi%or.

$FL original:

http://sitioweb.com/actualidad/evento.php?id=110

$FL mo%i6ica%a con una comilla al 6inal >Q?

http://sitioweb.com/actualidad/evento.php?id=110'

+l resulta%o es un claro error %e sinta-is9 esto es básicamente9 en la gran ma'or8a %e los casos9nos ermitirá e-traer in6ormación %e la ,,DD. gracias a esta e5ueBa comrobacióno%emos emezar a lanzar nuestro ata5ue.

Ilustración 1: In(orme "e .ulnerabili"a"es localia"asD ?@A&P AP




Vulnerando la BBEE $ extra$endo in-or*ación2

+-isten numerosas #erramientas 5ue nos a'u%arán a lanzar un ata5ue sobre la ,,DD. Al igual5ue suce%8a con la bs5ue%a %e vulnerabili%a%es9 ara e-lotar un 6allo %e (L in3ectionutilizaremos alguna #erramienta 5ue nos ermita automatizar el ata5ue.

/ara ello utilizamos >CL*a"9 5ue es sin %u%a una %e las #erramientas más otentes 5uee-iste ara realizar ata5ues %e >CLinjection9 ' 5ue a%emás viene or %e6ecto instala%a enBackbox.

+sta #erramienta contiene numerosos scrit9 con la con6iguración necesaria ara o%er lanzarun ata5ue sobre cual5uier ,,DD 5ue sea vulnerable.

Al acce%er or rimera a (Lma ' aBa%ien%o el arámetro 8% (#sqlmap -h)9 se mostraráalguna %e las con6iguraciones más básicas ' utiliza%as.

3

Ilustración 13: Foran"o un error "e sintaxis en &'L




Algunas arámetros 5ue %ebemos tener en cuenta son (por ejemplo) Level y Risk.

+-isten ocasiones 5ue al intentar e-traer in6ormación no obten%remos na%a or arte %elservi%or9 e iremos aumentan%o el gra%o %e Level ' Risk.

/or otra arte9 gracias a la gran caaci%a% %e s5lma9 con el coman%o EU/P se "uede llegara reali.ar un #olcado de la BBEE a tu *<5uina2

(e o%r8as %ecir 5ue utilizar (Lma es 6ácil9 o al menos intuitivo9 'a 5ue si se intro%uce algnarámetro mal la #erramienta nos %irá 5ue es lo 5ue estamos #acien%o mal9 ' nos %ará algntio %e solución.

>CL*a": Prueba de conce"to

Lo rimero 5ue intentaremos será ver 5ue ,ases %e %atos almacena el servi%or. /ara ello

)

Ilustración 1): ?pciones b#sicas "e s4lmap




aBa%imos el arámetro !%bs. +sto %eber8a mostrar to%as las ,,DD.

1s5l*a" 8u %tt":@@sitioeb2co*@actualidad/evento.php?id=110 –dbs

El resultado es precisamente el esperado, hemos conseguido obtener todas las bases de datosa través del allo !ue encontramos. " partir de a!u# ser$ cuesti%n de ir viendo la a&uda de()map para saber !ue podemos utili*ar en nuestro beneicio. )o m$s l%gico ser#a, partiendode la bases de datos a la !ue !ueremos atacar, hacer un volcado de la inormaci%n de algunade las tablas, columnas, o de la ++ entera.

-odas las +ases de datos est$n compuestas de -ablas, olumnas & egistros. or tanto una+ase de datos almacena numerosas -ablas, !ue estas a su ve* almacenan numerosascolumnas. )as columnas por su parte son las !ue almacenan los registros, es decir, lainormaci%n inal. on estos datos los !ue pueden contener ombres de usuarios, contrase2as,etc.

,ase %e Datos 1

"abla 1

4olumna1 4olumna 2

Fegistro 1 Fegistro 2

/

Ilustración 1/: ?btenien"o Bases "e "atos con s4lmap









Esto ha& !ue tenerlo en cuenta &a !ue a la hora de lan*ar el ata!ue con ()map lo haremospaso a paso e intentando provocar las menos sospechas posibles.

uando hablamos de hacerlo paso a paso nos reerimos a ir obteniendo inormaci%n desde lom$s b$sico hasta proundi*ar en cada una de las bases de datos. Es decir, primero veremoslas bases de datos !ue almacena el servidor, después veremos las tablas de alguna base dedatos, luego las columnas dentro de esa tabla, & as# sucesivamente.

bteniendo las tablas de la base de datos

/ara obtener la in6ormación %e las tablas 5ue almacena la base %e %atos9 #emos %e in%icar a(Lma la $FL ' la base %e %atos %e la 5ue 5ueremos la in6ormación.

4omo el lista%o %e las bases %e %atos 'a lo #emos obteni%o anteriormente será cuestión %ever si e-iste alguna ,D 5ue or su nombre arezca más relevante.

4on el siguiente coman%o enumeraremos9 nos mostrará9 las tablas %e la base %e %atos%b21:

1s5l*a" 8u %tt":@@sitioeb2co*@actualidad@e#ento2"%"FidG(( 88le#elG9 88-lus%8session88tables 8E bd;34(4

+l resulta%o es una gran lista %e tablas. Algunas %e ellas9 or su nombre9 bastantesigni6icativas9 como es el caso %e los %atos %e Fecursos 0umanos.

0TA: +s imortante saber 5ue (Lma en ca%a ata5ue 5ue lanza guar%a los resulta%os enuna careta >9 5ue %esus utiliza ara buscar en ella en caso %e realizarse un nuevo ata5uesobre la misma $FL. 4on esto s5lma reten%e a#orrar tiemo en nuestra busca%a. (inembargo en muc#as ocasiones nos ue%e er3u%icar 'a 5ue s5lma trata esta in6ormación %ela misma manera 5ue lo #ace un navega%or &eb con los temorales. +s osible 5ue en algunasocasiones no se estn mostran%o los resulta%os @reales acor%e con lo 5ue lanzamos9 el

motivo es 5ue s5lma siemre 5ue se #a'a realiza%o una consulta reviamente sobre esa&eb9 antes %e volver a lanzar un nuevo ata5ue9 mostrará los resulta%os 'a obteni%os conanteriori%a%. +sto se soluciona aBa%ien%o el arámetro –-lus%8session el cual nos ermitirásaltarnos esta esecie %e cac#.

(i continuamos buscan%o in6ormación sensible en las tablas ' en las D,9 o%remos ver comocolarnos en el servi%or es muc#o más 6ácil %e lo 5ue se iensa en un rimer momento.

4omo 'a comentamos al rinciio %e este "ema9 una vez vulnera%o el servi%or me%iante unain'ección (L9 o%r8amos %ecir 5ue tenemos @control total sobre la má5uina.

+n este e3emlo vamos a ver como una %e las tablas %e %e una D, contiene las contraseBas9 en

te-to claro9 %e unos usuarios.

5

Ilustración 15: Enumeración "e tablasDs4lmap




+stas cuentas %e usuario 5ue se almacenan en te-to claro9 se trata %e cuentas9 5ue or algnmotivo9 el a%ministra%or a %eci%i%o guar%ar sin ci6rar. +ste gran 6allo %e seguri%a% nos va aermitir seguir intro%ucin%onos un o5uito más en la má5uina.

Ilustración 1:

Enumeración "e columnasD&4lmap



&a"'tulo H /ost<e-lotación

Introducción

La ost<e-lotación %e los sistemas en una au%itor8a %e #ac)ing tico no es más 5ue a5uello5ue o%emos realizar una vez vulnera%o los sistemas. +s %ecir9 una vez 5ue 'a tenemoscontrol sobre un e5uio intentar vulnerar otros e5uios %e la re%.

Durante to%o el libro se está realizan%o el ata5ue sobre una misma má5uina9 or lo tanto9 'ara 5ue to%os enten%amos bien el conceto %e ost<e-lotación seguiremos #acin%olo %eigual 6orma9 sobre la misma má5uina.

4omo 'a #emos visto9 tenemos acceso sobre la ,D9 ' a%emás tenemos unas ass&or%s 5ue seue%en ver sin necesi%a% %e 4rac)earlas.

Al rinciio %el "ema 19 se vio 5ue la recogi%a %e in6ormación era mu' imortante ara%esus o%er realizar un ata5ue. +sto nos va a ermitir vulnerar an más la ,D.

(i recor%amos9 la má5uina 5ue estamos atacan%o9 5ue no es más 5ue un servi%or &eb9 uno %esus aarta%os era un blog basa%o en ;or%ress. Vamos a arovec#arnos %e la brec#a %eseguri%a% %el P'(5l ara #acernos con el control total %e la base %e %atos a travs %el arc#ivo%e con6iguración %el roio ;or%ress.

+sto lo o%remos #acer con (Lma %escargán%onos o mostran%o >como re6iramos? elarc#ivo "8con-ig2"%" el cual contiene el nombre %e usuario ' la contraseBa con la 5ue;or%ress se conecta a la ,D.



Cap+tulo ) 2 Post-explotación

Lectura de arc%i#os con >CL

Mtras %e las caracter8sticas %e (Lma %e la 5ue sacaremos gran arti%o es la osibili%a% %eleer 6ic#eros %el servi%or o má5uina remota. Mbservan%o la a'u%a 5ue nos o6rece (Lmavemos 5ue sus usos ' 6unciones son casi in6initos. A#ora bien9 6i3monos en el arámetro –8-ile8readG

+ste arámetro nos ermite leer un arc#ivo al lanzar el coman%o sudo s5l*a" 8u%tt":@@ebsite2es@actualidad@e#ento2"%"FidG –8-ile8readG@etc@"assd

+s lo mismo 5ue si #iciramos un nano ruta%elWarc#ivo.t-t

+sto nos ermitirá visualizar el arc#ivo en nuestra má5uina. 4omo 'a #e comenta%o9 sabien%o5ue nuestro ob3etivo tiene un ;or%ress monta%o9 ' 5ue ste guara la in6ormación %elnombre %e usuario ' las ass&or% %e la base %e %atos a la 5ue se conecta9 o%remos enetraren este servi%or. /ara ello sólo %ebemos %e leer el arc#ivo "8con-ig2"%"

1sudo s5l*a" 8u %tt":@@ebsite2es@actualidad@e#ento2"%"FidG –8-ile8readG@o"t@la**"@sitio@blogs@;(3@"8con-ig2"%"

9

Ilustración 18: ?pciones para leer o "escar=ar arc*i.os con s4lmap




Acceso al ser#idor

+-isten muc#as 6ormas %e o%er acce%er al servi%or una vez 5ue se encuentra una brec#a %eseguri%a% en el sistema. +n la gran ma'or8a %e las ocasiones el acceso al servi%or será %emanera in%irecta ara ir escalan%o rivilegios.

+s mu' comn en un ata5ue la escala%a %e rivilegios.

+scalada de "ri#ilegios

(e conoce como escala%a %e rivilegios la tcnica 5ue ermite ir a%5uirien%o más ermisossobre un sistema in6ormático. Algunos casos t8icos es cuan%o un atacante obtiene la cuenta

%e usuario %e un sistema sin aenas rivilegios9 ' a artir %e ste ir acce%ien%o a otrossistemas #asta #acerse con algn otro usuario A%ministra%or 5ue le otorgue más ermisossobre su roio sistema o sobre otro.

+sto se emlea normalmente ara conseguir un control total sobre la má5uina 5ue se 5uiereatacar.

Acceso indirecto al ser#idor: Base de datos

+n base a la in6ormación e-tra8%a %el arc#ivo %e con6iguración %e ;or%ress o%emosacce%er ' #acer un recorri%o or servi%or 5ue almacena la ,ase %atos9 con el 6in %e ver 5ueotras ,ases %e %atos9 tablas9 ' usuarios e-isten en l.

Aun5ue esto mismo se o%r8a #aber #ec#o anteriormente con (Lma9 la navegación en un

entorno grá6ico me%iante un cliente %e s5l es muc#o más amigable e intuitiva a la #ora %eseguir buscan%o in6ormación sensible 5ue nos ermita ir escalan%o rivilegios.

30

Ilustración 19: Arc*i.o "e con(i=uración "e @or"pressobteni"o con s4lmap




+l arc#ivo %e con6iguración &<con6ig.# %e ;or%ress ermite conectar la ágina &ebmonta%a sobre &or%ress con la ,ase %e %atos. /ara ello este arc#ivo guar%a las cre%enciales%el servi%or contra el 5ue se autenticará9 as8 como la ,ase %e %atos a la 5ue %ebe %e atacar.

/ara realizar la cone-ión contra el servi%or %e ,ase %e %atos se #a utiliza%o el cliente Ebea#er

( http://dbeaver.jiss.org/ ) multilata6orma ' oerativo ara to%os los gestores %e base %e%atos conoci%os.

Penetrando en ord"ress

+-isten escáner %e vulnerabili%a%es &eb caaces %e encontrar vulnerabili%a%es en Gestores%e 4onteni%o tio 4P( como ;or%ress9 Xoomla9 etc9 ero a%emás9 or otra arte tambine-isten #erramientas esecializa%as9 ensa%as ara analizar ' encontrar to%o tio %evulnerabili%a%es en Xoomla ' ;or%ress9 como es el caso %e "scan ara ;or%ress9 o joo*scan ara Xoomla.

+stas #erramientas son caaces %e analizar to%o tio %e lugin9 comonentes9 mó%ulos9&i%gets... con el 6in %e %eterminan cuales %e ellos están instala%os9 cual es su versión ' si esvulnerable o no.

+sta vez no vamos a mostrar ninguna %e estas #erramientas 'a 5ue anteriormente #emosobteni%o acceso a la ,ase %e %atos %el servi%or %on%e se alo3a tambin la ,ase %e %atos %elroio ;or%ress9 ero está bien saber 5ue e-isten ara en un 6uturo o%er utilizarlas ennuestras au%itor8as %e seguri%a%.

&reando un nue#o usuario en ord"ress a tra#s de *$s5l

A#ora 5ue tenemos acceso a la ,ase %e %atos robaremos a crear un usuario con ermisosA%min %entro %el anel %e a%ministración %e Xoomla.

+l motivo %e #acer esto ' no e-trae %irectamente la contraseBa %e alguno %e los usuarios 5ue

31

Ilustración 0: Cliente GBea.erD Acce"ien"o al seri."or "e Base "e "atos

http://dbeaver.jkiss.org/

http://dbeaver.jkiss.org/




'a e-ista en ;or%ress9 es or5ue el ci6ra%o %e la contraseBa %e ;or%ress es mu' 6uerte9 'tar%ar8amos meses en o%er 4rac)ear el 0as#.

/ara o%er crear un nuevo usuario %e ;or%ress a travs %e la ,ase %e %atos9 %ebemos %einsertar una ser8a %e 6ilas ' camos %entro %e la tabla &<usermeta%a ' &<users. +stas %os

tablas son las 5ue contienen la in6ormación %e los usuarios ' sus ermisos.

"8users

+sta tabla contiene los camos %e to%a la in6ormación %el usuario:

◦ Nombre

◦ 4ontraseBa

◦ Nic)name

◦ +mail %e usuario

◦ +sta%o

◦ +tc.

"8user*etada

(in embargo esta otra tabla contiene los %atos necesarios 5ue otorga al usuario ciertosermisos ' rivilegios9 como son:

◦ +%itor

◦ Autor

◦ A%ministra%or

◦

Invita%o◦ +tc

uizás una %e las cosas más imortantes a tener en cuenta es el nombre 5ue eli3amos ara elnuevo usuario 5ue crearemos. 0a' 5ue rocurar asar lo más %esaercibi%o osible.

Inventarse nombres %el tio9 userWtm9 1Wtm9 a%mins9 usr... ue%en ser una buena i%eaara 5ue el a%ministra%or %el sitio aenas se %e cuenta %e 5ue e-iste un nuevo usuario. +lnombre 5ue se one es %e esta 8n%ole ara 5ue en caso %e 5ue alguien lo vea tien%a a ensar5ue es un usuario %el roio sistema9 o 5ue 6ue crea%o 3unto con la instalación %e algncomonente o lugin.

/ara la arte 5ue contiene los rivilegios %e los usuarios9 tan solo vamos a 6i3arnos en cual %elos usuarios 5ue 'a e-iste es a%ministra%or ara coiar los mismos valores en una nueva 6ila '

3

Ilustración 1: ,abla pHusersD Contiene los "atos "el usuario




asociarlos al ID %el usuario 5ue #emos crea%o.

+s %ecir9 el rimer aso es aBa%ir una nueva 6ila en la tabla &Wusuers9 tal ' como muestra lailustración 21. +l segun%o aso es insertar %os 6ilas más en la tabla &Wusermeta%a9 las cualesasociaremos al ID %el usuario 5ue creamos anteriormente en la tabla &Wuser.

4on esto 'a o%r8amos ir a la arte %e a%ministración %e ;or%ress e intentar ingresar con elnuevo usuario 5ue #emos crea%o.

/or %e6ecto en la ruta con la 5ue acce%eremos a ;or%ress se ubica en &&&.sitio.com "8ad*in2

(i to%o #a i%o bien 'a o%emos emezar a navegar or to%o el sitio en busca %e másin6ormación relevante9 o en busca %e nuevas roezas 5ue nos a'u%en a a%entrarnos un ocomás en la in6raestructura %e la emresa.

33

Ilustración : ,abla pHusermeta"aD Contiene los "atos 4ue otor=an permisos alusuario

Ilustración 3: Lo=in "el backen" "e @or"press




Local Jile Inclusion: un "aso *<s cerca del control

Local 6ile inclusion >L=I ? se trata %e una vulnerabili%a% 5ue ermite al atacante subir una s#ellal servi%or.

+sta s#ell no es más 5ue un arc#ivo 5ue ue%e estar rograma%o en %istintos lengua3es comoson /0/ o A(/. +l atacante buscará la manera %e o%er subir el arc#ivos#ell a travs %e la&eb.

Normalmente este 6allo %e seguri%a% es %ebi%o a 5ue los 6ormularios %e subi%a %e arc#ivos>%ocumentos9 imágenes9 msica... ? no #acen bien el 6iltra%o %el tio %e arc#ivo o e-tensión5ue se sube. +sto se %ebe a un 6allo %e rogramación en el roio /0/ o or una malacon6iguración en Aac#e.

Al %isoner %e una s#ell en la má5uina %e manera local o%remos enviar casi cual5uiercoman%o como si estuviramos %elante %el or%ena%or. 4omentar 5ue9 a esar %e 5ue seue%en lanzar coman%os9 no to%os los coman%os se o%rán e3ecutar9 'a 5ue ara abrir%etermina%os rogramas o acce%er a algunos %irectorios ' caretas9 se re5uieren ermisosmás eleva%os o %e Foot9 sin embargo estos ocos ermisos serán su6iciente como ara

intentar una escala%a %e rivilegios ' as8 o%er tener control total sobre el usuario ' lamá5uina.

3)

Ilustración ): Panel "e a"ministración "e @or"press




(i bien es cierto 5ue en la ma'or8a %e los casos este 6allo se e-lota a travs %e 6ormularios %esubi%a9 ca%a #ac)er se las ingenia ara al 6inal %isoner %e una s#ell en el servi%or &ebin%een%ientemente el me%io 5ue #a'a utiliza%o.

LJI a ord"ress

Llega%os a este unto o%8amos #aber vuelto a buscar vulnerabili%a%es9 esta vez en;or%ress9 con el 6in %e encontrar algn lugin 5ue nos 6acilitara la subi%a %e una s#ell. (in

embargo9 uesto 5ue 'a tenemos un usuario A%min9 nos arovec#aremos %e ste araintro%ucir as8 nuestra s#ell.

+l roceso es sencillo 'a 5ue tan sólo nos va a #acer 6alta mo%i6icar algn arc#ivo /0/ %e los5ue comone ;or%ress. Al tratarse %e uno %e los arc#ivos %el roio ;or%ress9 el usuarioA%min %e ;or%ress ten%rá ermisos su6icientes ara mo%i6icar %ic#o arc#ivo ' 5ue ste se5ue%e guar%a%o en el servi%or.

/ara lograr nuestro roósito vamos a acce%er al anel %e a%ministración con el usuarioA%min >el cual 'a creamos anteriormente a travs %e la ,D? ' vamos a buscar9 entre to%a lacon6iguración %el /anel A%min9 la manera %e mo%i6icar un arc#ivo %e los 5ue comone;or%ress.

$na buena i%ea ser8a e%itar la lantilla"#eme 5ue está instala%o en ese ;or%ress. Puc#os%e los arc#ivos 5ue comonen el "#eme están rograma%os en /0/ ' se ue%en e%itar.

(iemre 5ue se #agan este tio %e mo%i6icaciones #a' 5ue tener cui%a%o con el arc#ivo 5ue semo%i6ica9 'a 5ue si e%itamos un arc#ivo 5ue no %ebemos o%emos %e3ar sin servicio la &eb.

A#ora 5ue 'a sabemos cual va a ser la 6orma %e actuar ' el roceso 5ue se va a seguir9necesitamos %escargar una s#ell ara incrustarla en uno %e estos arc#ivos. +n la &ebhttp://!!!.oco.cc/ o%emos encontrar numerosas s#ell 5ue nos servirán ara #acer estomismo. 4ual5uiera %e ellas es váli%a.

4omo e3emlo utilizamos la s#ell cYY.# los asos a seguir son:

◦ Descargamos la s#ell >cYY9 r9 c1...?

◦ 4on algn e%itor %e te-to9 abrimos la s#ell ' coiamos su conteni%o.

◦

,uscamos un arc#ivo # 5ue se ue%e e%itar %entro %el anel A%min %e;or%res.

3/

Ilustración /: Local File Inclusion

http://www.oco.cc/

http://www.oco.cc/




◦ /egamos el conteni%o %e la (#ell en el arc#ivo %e ;or%ress.

Desus %e colocar la (#ell en uno %e los arc#ivos sin 5ue na%ie note na%a9 nos 6alta saber laruta e-acta %on%e está alo3a%a. +n ;or%ress9 como en to%os lo 4P(9 los arc#ivos9 %irectorios' rutas9 son estáticos9 or lo 5ue o%emos #acer %os cosas9 1<,a3arnos ;or%ress ' ver %on%ese encuentra la ruta9 o 2<,uscar la ruta %entro %el có%igo 6uente.

uizás si #ubiramos mo%i6ica%o cual5uier otro arc#ivo %e ;or%ress nos #ubiera #ec#o 6altaba3ar una coia %e ;or%ress a nuestro e5uio ara ver la ruta9 o utilizar un s"ider ararecorrer to%as las $FL ' ver as8 to%os sus %irectorios >algo 5ue ue%e estar caa%o si ela%ministra%or se #a reocua%o %e la seguri%a% %e su sitio?. +n nuestro caso no va ser

necesario to%o esto9 si vemos el có%igo 6uente %e la ágina rincial %e ;or%ress9 o%remoslocalizar 6ácilmente la ruta %on%e esta el "#eme.

Lo siguiente será ver 5ue comrobar 5ue to%o #a sali%o como eseramos ' 5ue al intro%ucir laruta %on%e #emos guar%a%o la (#ell realmente se muestra el anel %e con6iguración %e la(#ell cYY.

La ruta entera 5ue%ar8a %e la siguiente manera:

http://"$."%&.$''.$""/!ordpress/!p-content/themes/t!entyt!elve/athor.php

35

Ilustración 5: &*ell copia"a en arc*i.o aut*orDp*p "el t*eme ,ent% ,el.e "e @or"press

Ilustración : Có"i=o (uente "e la p#=ina principal "e @or"press




Ilustración 8: &*ell c99: Panel "e a"ministración

BackBox 3 - Iniciación al Pentesting

Documents

Transcript of BackBox 3 - Iniciación al Pentesting