martes, junio 30, 2015

PHP Web Stat: Disfruta de mis estadísticas ¡sin password!

Ya hace tiempo le dediqué unas entradas a los paneles de monitorización de servicios web y a los paneles de gestión de estadísticas. De ellos se puede sacar mucha información útil para realizar un ataque y por tanto deben ser controlados en cualquier instalación en producción. Hoy os quiero hablar de uno de esos paneles de estadísticas que me pasó un amigo - gracias rootkit - y que como todos los sistemas de estadísticas web puede llegar a muestra toda la estructura de ficheros de un sitio web con solo localizar un fichero de información del sistema en el servidor web.

Figura 1: PHP Web Stats - Disfruta de mis estadísticas ¡sin password!

El software de gestión de estadísticas desarrollado en Alemania se llama PHP Web Stat y se ofrece un completo y funcional panel para gestionar las estadísticas de un servidor web de forma muy sencilla, pero al mismo tiempo cuenta con otras opciones útiles, como la gestión de versiones de los ficheros o la monitorización de permisos de los mismos o el control del estado del servidor.

Un Directory Listing y Data Leakage by Design

Entre las opciones, como se puede ver en la imagen superior, existe un "feature by design" que permite ver las estadísticas de los ficheros del servidor a cualquier usuario sin tener que utilizar la "molesta password".

Figura 2: SysInfo permite acceso sin contraseña. Todo mucho más cómodo

A toda esta información se accede a través del fichero SysInfo.php, y basta con hacer un poco de hacking con buscadores para encontrarlo en Internet usando un pequeño dork. Con el se pueden localizar miles de servidores web con este software publicado e indexado en Google.

Figura 3: Dork para localizar estos paneles de estadísticas abiertos usado por rootkit

Nada más entrar en el archivo de SysInfo.php se puede acceder a muchos datos jugosos, siendo un "Data Leakage" perfecto ya que no solo muestra datos de estadísticas, sino que también hay listas de ficheros del servidor. En el panel de la izquierda hay información de las propias estadísticas y debajo datos del servidor en sí con las versiones de software que se ejecutan.

Figura 4: Fichero de estadísticas SysInfo.php de un servidor, accesible sin password

A la derecha se cuenta con una lista con las versiones de los archivos que hay en el directorio, siendo un perfecto Directory Listing del sitio, aunque no es completo.

Figura 5: Archivos de datos en formato .dta

En la parte de más abajo hay más información, relativa a las versiones y estado de permisos de cada uno de esos ficheros con acceso a todos los archivos de datos en formato .dta, con lo que para un atacante hay cosas más que suficientes para comenzar a jugar.

El panel de administración y la password de acceso

Para acceder al panel de gestión de estadísticas es necesario conocer la contraseña de administración o de usuario, tal y como se ve en la imagen siguiente. Si se introduce la password de administración, se podrán modificar archivos del sitio, si se introduce la de usuario solo se podrá ver la configuración del panel de control.

Figura 6: Acceso al panel de adminsitración

Estas contraseñas, así como el resto de parámetros relativos a la seguridad de este gestor de estadísticas, se configura en un fichero que se almacena en misma ubicación del servidor llamado config.php.

Figura 7: Mala copia de seguridad del archivo de configuración

En estos entornos, a veces se puede tener suerte y encontrar algún servidor en el que el administrador del sitio haya tenido la mala idea de hacer un "mal backup" de la configuración, permitiendo que la configuración sea descargable.

Figura 8: Acceso a la configuración de seguridad en el backup

Dentro del panel, se puede acceder a todas las opciones que ofrece el software, así como a toda la información que se pueda extraer de las estadísticas, como por ejemplo todas las URLs visitadas, los valores de Http-Referer, las direcciones IP de clientes, etcétera.

Figura 9: Acceso al panel de administración de un gestor de estadísticas 

Toda esta información siempre es jugosa en un proceso de auditoría de seguridad, y se debe mirar con detenimiento para ver cuáles podrían ser los siguientes pasos a realizar.

El backup de los datos en el panel

Entre las cosas que se pueden hacer está la posibilidad de hacer backup, que por defecto se hace en la carpeta backup con un nombre de fichero que es backup_YYYY-MM-DD.zip, tal y como se explica en el panel de control. Para un atacante localizar la lista completa de backups de los últimos 3 años no es tan complicado, basta con hacer unas 1.000 peticiones, lo que tan poco es que sea un protección muy alta de los datos.

Figura 10: Gestor de copias de seguridad de datos de un panel de estadísticas

En definitiva, es un pequeño software de estadísticas que si se localiza en una auditoría tal vez te facilite todas las tareas, y que si lo utilizas, tal vez debas ver la forma de fortificarlo un poco, que puede ser demasiado "verbose".

Saludos Malignos!

No hay comentarios:

Publicar un comentario