martes, febrero 21, 2017

Think Different: Un Hostname sin Domain en los inversores de Apple

Si has entrado a leer este artículo por el título, tienes mi más sincero respeto y admiración, porque la verdad es que no sabía bien qué título poner a este artículo donde trato de contaros una pequeña anécdota que me ha llamado la atención y de la que nos ha alertado nuestro queridísimo sistema de Pentesting Persistente Faast.

Figura 1: Think different

Como sabéis, periódicamente le reportamos vulnerabilidades a Apple o Microsoft porque probamos con nuestro motor los nuevos plugins que vamos introduciendo. Escanear un dominio completo como el de Apple.com o Microsoft.com es un reto, pero gracias a la potencia de tenerlo en cloud el sistema se porta como un campeón y los chic@s de Microsoft y Apple nos lo agradecen periódicamente.

Figura 2: Agradecimiento de Apple al equipo de Faast

Entre las cosas que miramos, se encuentra el descubrimiento de servicios web, y para ello probamos muchos trucos. Esta es la historia de uno de ellos.

El dominio investor.apple.com 

En el dominio de apple.com hay un servidor web con información para los inversores que ya ha sufrido en el pasado algún que otro problemilla de seguridad. En este caso no se trata de nada similar, simplemente de una curiosidad en la gestión del hosting. Si entramos en la web vemos que hay una web normal y corriente.

Figura 3: Web de Investor.apple.com

Cuando el motor de Faast encuentra un hostname en formato FQDN, lo que intenta es averiguar si hay más hostnames en el mismo servidor, así que haciendo una sencilla consulta al servicio DNS se puede dar con otros nombres de host en la misma dirección IP.

Figura 4: nslookup a investor.apple.com

Por supuesto, como todo buen pentester, el servicio Faast prueba a localizar todas las webs en esos hostnames, obteniendo resultados diversos, como la misma web accesible por otro nombre de dominio.

Figura 5: La misma web accesible por otro hostname

O un servidor web que no atiende por ese nombre de dominio. Hasta aquí todo dentro de lo normal, como es de suponer.

Figura 6: Not Found en ese dominio

Eso sí, ya se puede ver que hay un servidor que no es de Apple, que tiene alojada una web de Apple.com, lo que abre muchas posibilidades.

El hostname sin FQDN

Como en muchas ocasiones se montan servicios en local, lo que hace nuestro querido Faast es ejecutar un plugin que busca el servicio web en ese servidor, pero utilizando el hostname local, sin utilizar el FQDN, tal y como se puede ver en la captura siguiente hecha con Burp Proxy (un poco de hacking de tecnologías web).

Figura 7: Cambiando el host a solo "investor" la web cambia
(Se ve a la izquierda en la captura)

El resultado es que aparece la web de otra empresa que está en el mismo servidor. Si utilizamos un plugin de tampering en el navegador, podemos ver la renderización completa de la web manipulando el host de la misma forma.

Figura 8: Faast alerta de una web en investor diferente a la que hay en investor.apple.com

Al final, lo que ha sucedido es que se ha extendido la superficie de exposición del dominio Apple.com, ya que, ahora hay otra web que podría tener más vulnerabilidades para conseguir llegar a un servidor del dominio Apple.com. Un truco de "discovery" que tenemos en nuestro Faast, y que nos ha dado un resultado curioso.

Saludos Malignos! 

3 comentarios:

ElMag0 dijo...

Lo primero, el título es un buen gancho. Un poco WTF!!

Y lo segundo... Maltego hace eso mismo y es una norma básica ( "o eso me han contao" ) Si vas a por un server muy securizado ( empresa "seria" ) busca sites ubicados en el mismo configurados con menos "cariño".

Henry A. Fernandez dijo...

Interesante aunque su título despista

Henry A. Fernandez dijo...

Interesante aunque su título despista

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares