sábado, enero 07, 2012

Averiguar el nombre interno del servidor IIS usando una carpeta protegida con NTLM generando un error 401

La gracia de averiguar el nombre interno del servidor SQL Server mediante una cadena de conexión con autenticación integrada se puede replicar con cualquier servicio Microsoft Windows que haga uso de NTLM Session, ya que es el funcionamiento por defecto. De hecho, esto es algo que ya habíamos visto en alguna auditoría de seguridad web cuando te encuentras con un servidor Microsoft Internet Information Services en el que se ha protegido una carpeta con NTLM.

En ese caso, cuando te conectas al recurso compartido con NTLM, sin conocer las credenciales, puedes ver como en el paquete de respuesta con el error 401 llega un parámetro www-authenticate con un valor codificado en Base64.

Figura 1: www-authenticate en un paquete de respuesta 401 desde IIS 

Es suficiente con decodificar ese valor, con cualquier decoder, en este caso el que viene integrado directamente con Burp, y obtener la cabecera del protocolo NTLM Session donde se puede leer el nombre interno del servidor en el que está corriendo el Internet Information Services.

Figura 2: Decodificación del valor de www-authenticate

En este caso, como se pude ver, el nombre del servidor donde hicimos las pruebas comienza por O. Un sencillo truco que en una auditoría de seguridad te puede dar algo más de información y, a la postre, ser crucial para conseguir o no el éxito en la intrusión, así que, si puedes, evita este tipo de protecciones por carpetas en servidores Microsoft IIS.

Saludos Malignos!

6 comentarios:

  1. Hola ¿con que programa decodificaste?

    Gracias.

    ResponderEliminar
  2. El colectivo de protesta Anonymous publica una parte de la base de clientes de Terra como critica a la poca seguridad de Telefonica, incitando denunciar a la operadora:

    ------------------------
    WIKILEAKS TELEFONICA
    ------------------------

    http://pastebin.com/YALD5Mgg

    ResponderEliminar
  3. Me pregunto (sin dobles intenciones ni intentanto insinuar nada) porqué han cogido tu blog de "anunciador" de anonymous y sus cosas...

    ResponderEliminar
  4. Para anonimo con doble intencion8/1/12 3:34 a. m.

    Creo que no visitas mucho este blog, en un sitio de seguridad informatica, por lo tanto se habla de seguridad y de fallos de seguridad.

    No de recetas de comidas...

    Espero que le metan un buen puro a telefonica por ese fallo de seguridad que se menciona, para ser una de las empresas mas importantes de europa no cuida mucho los datos, a saber que datos hay mas por hay por internet o que estan vendiendo tipico de telefonica

    ResponderEliminar
  5. Venga ya, fallos de telefónica como el de la página de la regata, que me gustaría saber cuántas visitas tiene al mes... servidor aislado para hacerle un XSS... grandioso.

    Este último puede ser más importante, pero la mayoría... DoS y XSS... pues fale, me alegro.

    Bueno, y si los de anonymous necesitan tanto tener una página donde expresarse que se hagan una en blogger.com, son gratis.

    Y sí que se de que va el sitio. Va de lo que quiera el autor, no de poner en comentarios chorradas.

    Deberías irte a zone-h, ya existe para eso.

    ResponderEliminar
  6. Lindo título para un post xDD

    ResponderEliminar