martes, febrero 05, 2013

Multiple Choices con muchas opciones para un atacante

La semana pasada un compañero me preguntó para qué servía exactamente le módulo de búsqueda de Multiple Choices en FOCA. Entonces le conté que la idea de buscar si un servidor Apache tenía Mod_negotiation era tan sencilla como que una vez detectado que está activado ese módulo ir luego buscando backups de todos los archivos que se descubran en el servidor - algo que ya os he contado varias veces en los últimos años -.

Como quién cuenta con la suerte del principiante, se puso a buscar algún ejemplo sencillo para probar, pero el destino le "regaló" este Multiple Choices con ese pedazo de backup que puede verse ahí, y que por supuesto salta todas las alertas en los juicy files, y con un fichero de usuarios de Apache.

Figura 1: Multiple choices activado muestra backup y fichero de usuarios

Por supuesto, el fichero de backup contaba con una buena lista de usuarios de la que solo os pongo una parte de la misma, por si alguno de ellos aún funciona.

Figura 2: Fichero de usuarios de Apache sin proteger

Por supuesto, la siguiente fase del juego consisten crackear las passwords con nuestro amigo Jhon the ripper para terminar el juego, y el resultado fue bastante positivo.

Figura 3: Cracking de Passwords con John the ripper

Dejar un fichero de backup de usuarios en el servidor es una nefasta idea, pero dejarlo junto con un directory listing abierto, un .listing o un Multiple Choices es una autentica temeridad que no puede terminar nada más que mal. Esta es una de las 10 cosas que se pueden revisar de seguridad en un Apache Web Server cuando se está en un proceso de Fortificación de Apache y aquí queda totalmente escenificada. Y si no lo haces... Fear the FOCA!  y os recuerdo que hay miles de FOCAs sueltas por Internet....

Saludos Malignos!

3 comentarios:

  1. Entre tanto SEO, ¿algún día escribirás algo nuevo?

    ResponderEliminar
  2. Dentro de la línea editorail que lleva este blog en los últimos tiempos no es mal artículo. Pero vamos, que el site ha pegado un bajón de calidad tremendo: la mayoría de los ppst son de publicidad y/o autobombo y cada vez se explican peor las cosas técnicas (claro, tal vez porque es mejor explicarlo con detalle en I64 cobrando un pastizal por un cursillo).

    ResponderEliminar
  3. "Bajón editorial"? XD que este es mi blog personal chaval ...

    ResponderEliminar