lunes, octubre 10, 2011

Buscando backups en Apache con mod_negotiation

Todas las ayudas extras al usuario pueden terminar en siendo útiles para un posible atacante. Así, en las aplicaciones web, yo pruebo un truco tiempo ha en las Auditorías de Seguridad Web cuando el servidor es un Apache. La verdad es que no suele dar demasiados resultados, pero el otro día me lo encontré por casualidad en la web de un amigo - al que tendré que avisar esta semana - y pensé en probarlo un poco más "industrializado".

La historia es que en Apache Web Server hay un módulo llamado mod_negotiation que permite generar, con la opción MultiViews, una lista de ficheros similares cuando el nombre del archivo solicitado no se encuentra en el servidor. Así, si buscamos por ejemplo robots. , el módulo mod_negotiation hace un ls robots.* en el directorio y muestra todas las posibles opciones.

Figura 1: Módulo mod_negotiation activado en este servidor Apache

Haciendo esa sencilla prueba es posible encontrar que servidores tienen activo ese modulo. Lo bueno es que esto funciona para todos los ficheros, así que se pueden buscar archivos de copia de seguridad de aplicativos. La idea es sencilla, buscar un programa, y pedir ese mismo fichero pero sin la extensión. 

Figura 2: Fichero radar_tab.php accedido mediante mod_negotiation

Cuando esto se ha encontrado en un servidor, como en este caso de arriba del gobierno de los USA, el siguiente paso es listar todos los ficheros de los que nos interese encontrar un backup, como por ejemplo los PHP.

Figura 3: Buscando todos los PHP del servidor que tiene el módulo mod_negotiation activado

Una vez encontrados, lo que hacemos es pedir todos los archivos, uno a uno, pero sin poner la extensión, hasta que se obtenga el premio del backup.

Figura 4: Backup descubierto mediante mod_negotiation

La verdad es que no hay demasiados servidores que lo tengan activado, pero la prueba es muy sencillita de realizar, así que la meteremos en la versión de la FOCA Free 3 que vamos a poner en libertad, si todo va bien, esta misma semana - que ya tenemos el certificado de firma de código casi listo -. Tú, por si acaso, pruébalo en tu sitio, a ver que sale...

Saludos Malignos!

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares