jueves, abril 12, 2012

Hacking de aplicaciones Lasso (II de IV)

**************************************************************************************************
- Hacking de aplicaciones Lasso (I de IV)
- Hacking de aplicaciones Lasso (II de IV)
- Hacking de aplicaciones Lasso (III de IV)
- Hacking de aplicaciones Lasso (IV de IV)
**************************************************************************************************

En la primera parte vimos cómo descubrir bases de datos, tablas/layouts, y zonas de administración en sitios corriendo con Lasso. En la sección de hoy toca hacer un poco de thrahsing y mirar qué cosas aparecen por ahí que puedan ser de utilidad para preparar el ataque posterior.

Usuarios y Passwords

En las bases de datos conectadas puede suceder que sea necesario establecer un proceso de autenticación antes de acceder al layout o la tabla. Es por eso que dentro de los parámetros que pueden aparecer en la URL pueden estar los fácilmente reconocibles username y password.

Figura 7: Parámetros username y password en URL

En muchos casos serán usuarios que darán acceso a bases de datos públicas, pero no viene mal crear una lista con todos ellos para posteriormente poder intentar una conexión a la zona de administración, a una de las bases de datos internas del servidor o a cualquier otra base de datos descubierta por los métodos descritos en la primera parte del artículo.

Por POST

En muchos sitios los parámetros de las aplicaciones lasso descritos hasta el momento, es decir, database, layout, table, username o password no aparecen en la URL, pero están en campos hidden del código fuente de la página web. Eso es porque se permite el paso de los mismos por POST, así que siempre merece la pena revisar el código fuente de cualquier fichero .lasso para descubrir todos y cada uno de los parámetros de la llamada.

Figura 8: Parámetros de llamadas a aplicaciones Lasso por POST en campos hidden

En cualquier caso, la mayoría de las aplicaciones permiten el envío por POST o por GET, así que si te es más cómodo se puede hacer una construcción de la llamada por GET a partir de esos parámetros.

En comentarios

Una de los cosas más curiosos es que hay bastantes aplicaciones que aparecen con los parámetros de las llamadas en comentarios. Es como si hubieran actualizado la versión del servidor Lasso y ya no hiciera falta autenticarse con un usuario o tal vez hubiera cambiado el modelo de seguridad y no fuera necesario usar más la autenticación. En cualquier caso, en varios sitios aparecen los parámetros de username y password en los comentarios de la aplicación, por lo que como buena costumbre de pentester, aparecerán en la fase de footprinting del análisis.

Figura 9: Usuarios y contraseñas en comentarios de la página 

Por supuesto, que estén comentados en la web no indican que no estén funcionando en otras bases de datos descubiertas.


Los envíos por e-mail, el campo host, el usuario y la password

Si se buscan aplicaciones Lasso con gestión de usuarios aparecen muchas, y los esquemas de autenticación y validación de cuentas, como veremos en las partes siguientes de este artículo, dejan bastante que desear en muchos casos.

Sin embargo, en el post de hoy, dedicado a la fase de footprinting, os hablaré de otra cosa. En varios sitios busqué la parte de la aplicación que se encargaba del sistema de recuperación de contraseñas por correo electrónico, para ver cómo funcionaba la lógica.

En varias de ellas me sorprendió ver cómo Lasso viene preparado para el envío de correos electrónicos, y existen componentes especialmente creados para hacer el envío de correo. Para ello existen todos los modificadores necesarios para hacer el envío de un mensaje de e-mail, como son host, from, cc, BCC, etcétera.

Figura 10: Configuración de cuentas de correo en parámetros de aplicaciones Lasso

Por supuesto, información muy jugosa que además, como os podeis imaginar, son el paraíso del spammer. En la figura 10, para más diversión se puede ver toda la información en los comentarios de un sitio.

Inyección de comandos

Supongo que llegado este punto muchos os estaréis preguntando - y más después de haberos fijado que en la Figura 9 aparece comentada una bonita consulta SQL - si estas aplicaciones son inyectables en los parámetros para conseguir que el layout "escupa" más datos de los pensados originalmente por el desarrollador.

Supongo que ya sabréis la respuesta, pero tendréis que esperar hasta la próxima parte del artículo.

Saludos Malignos!

**************************************************************************************************
- Hacking de aplicaciones Lasso (I de IV)
- Hacking de aplicaciones Lasso (II de IV)
- Hacking de aplicaciones Lasso (III de IV)
- Hacking de aplicaciones Lasso (IV de IV)
**************************************************************************************************

2 comentarios:

TheSur dijo...

Que chulo :)

Anónimo dijo...

Interesante!

No sé si podría dar a lugar, pero creo que podríamos juguetear con SQLi en la figura 8, en el input hidden "-database" podríamos jugar con su valor y explotar un SQLi, ¿no?

No lo he probado, estaría bien saberlo!!

Eleven Paths Blog

Seguridad Apple

Entradas populares