CodeTalk for Devs de Joomla! in Paranoid Mode ya en vídeo #joomla

Como sabéis, hace no mucho tiempo Mateo González Fernández nos habló del proyecto de Jomla! in Paranoid Mode que había realizado como Trabajo de Fin de Grado en colaboración con nuestros compañeros de ElevenPaths y el equipo de Ideas Locas de nuestra unidad CDO en Telefónica. Dicho proyecto aplica los mismos conceptos que explicamos para WordPress in Paranoid Mode hace un tiempo, pero migrados al popular framework de Joomla!

Figura 1: CodeTalk for Devs de Joomla! in Paranoid Mode ya en vídeo #joomla

Para explicar el trabajo que había realizado, Mateo se animó a participar en una de nuestras sesiones de CodeTalks for Devs, donde explicamos a los "doers", es decir, a los ingenieros y programadores, cómo funcionan las entrañas de las tecnologías. El objetivo es que puedan aprender a hacerlo ellos mismos o modificar lo existente para adaptarlo a sus necesidades.

Figura 2: CodeTalk for Developers de Joomla! in Paranoid Mode

Con ese objetivo, Mateo hizo este CodeTalk for Developers de Joomla! in Paranoid Mode que ya puedes ver en Youtube. Así que, además del artículo donde explicaba cuáles eran las referencias y los conceptos fundamentales del proyecto de Joomla! in Paranoid Mode, ahora puedes acompañarlo con esta sesión en vídeo de 20 minutos.

Saludos Malignos!

Joomla! in Paranoid Mode

Hace ya un par de años de que se convirtiera en realidad la idea inicial que tuvieron Chema Alonso y Pablo González de utilizar los triggers a nivel de tabla en la base de datos que utiliza WordPress para fortificar la plataforma. Aquella idea se convirtió en lo que se conoce como WordPress in Paranoid Mode, y hoy es utilizado por muchos administradores de WordPress que quieren tener listo su plataforma contra la oleada continua de ataques que sufre.

Figura 1: Joomla! in Paranoid Mode

Basado en la misma idea, yo realicé mi Proyecto de Fin de Grado como punto final de los estudios de Ingeniero en Tecnologías de Telecomunicación por la Universidad de Castilla La Mancha. Pero en lugar de aplicar esos conceptos a la fortificación de un WordPress, lo hice para una plataforma Joomla!, por lo que el proyecto se llama "Joomla! in Paranoid Mode".


Figura 2: Primera presentación de My WordPress in Paranoid Mode
Este proyecto responde a la necesidad de proveer una capa más de seguridad a los millones de sitios web desarrollados mediante el CMS Joomla!, aprovechando el uso de los triggers de la base de datos sobre la que se soporta la plataforma. Su funcionamiento es sencillo, ya que sobre la base de datos MySQL, crearemos una serie de triggers que se ejecutaran cuando se produzca una acción sobre las tablas seleccionadas, para consultar el estado de Latch, el gran protagonista en este proyecto. En función del estado, se podrá - o no - acceder a insertar, modificar o eliminar registros de la BBDD de dicho CMS.


Figura 3: Cómo poner Latch a las cuentas de usuario de Joomla!
El alcance de este desarrollo va mucho más allá que proteger nuestro sistema Joomla! a nivel de usuario con el plugin de Latch para Joomla! disponible en GitHub que permite poner un 2nd Factor Authorization, y que se explica en la Guía de Instalación de Latch para Joomla!.

Figura 4: Latch Joomla español

En este proyecto de Joomla! in Paranoid Mode se trata de proteger el acceso a ciertas tablas de la BBDD del sistema a las cuales llamaremos Tablas Críticas aprovechando los triggers de MySQL. En base a estas Tablas Críticas configuraremos tres modos distintos de funcionamiento de la plataforma Joomla!, que serán Read-Only, Edition y Administration. Así pues este sería el esquema de las tablas de la BBDD asociadas a cada modo de funcionamiento:

- Modo Read-Only: Cuando el usuario marque que la plataforma Joomla! que tiene en producción está en modo Read-Only, quiere decir que los triggers de las Tablas Críticas de MySQL no permitirán la Inserción, Modificación o Borrado de ninguno de los registros del sistema, evitando que una vulnerabilidad de un plugin de la plataforma, o un fallo cualquiera a nivel de código de aplicación, pueda ser utilizado por un atacante para alterar el contenido del sistema. 

Solo con esta protección, el 90% de los ataques a plataformas Joomla! se ve eliminado. No se puede modificar, insertar o borrar ningún registro de las tablas que permiten la edición, como son: joomla_content, joomla_content_frontpage, joomla_redirect_links,  ni las necesarias para las tareas de administración, como joomla_users o joomla_extensions.

- Modo Edition: Este modo permitirá a los usuarios con permisos de edición cambiar el contenido y aspecto del sitio, pero no permitirá la gestión de usuarios o los cambios de extensiones en todo el sitio Joomla!, limitando el impacto que podría tener un ataque que requiriese un usuario con privilegios de edición, ya que las Tablas Críticas de usuarios o extensiones seguirían bloqueadas. No se permite acceso a las tablas de administración joomla_users o joomla_extensions.

- Modo Administration: Por último, el modo de administración se abriría solo cuando el administrador del sitio tuviera la necesidad de dar de alta nuevas cuentas o cambiar las extensiones de la plataforma, evitando así que esto esté disponible constantemente disponible para cualquiera que pueda ejecutar una inyección de comandos SQL Injection o una elevación de privilegios por un bug de código.

Cada vez que una consultad de Inserción Modificación o Borrado afecte a una de las Tablas Críticas, se consultará el estado de Latch con un trigger, y si está activado alguno de los modos que prohibe el nivel de acceso que requiere la operación, se bloqueará la operación aprovechando el nivel privilegiado que tienen los tiggers dentro de la BBDD. La estructura de los triggers es la siguiente.

Figura 5: Estructura los tiggers en Joomla! in Paranoid Mode

Los triggers se ejecutan tanto en las operaciones de Insert, como en Update y en Delete. Se puede observar cómo se llama al script desde Python que hace la consulta mediante las MySQL UDF, unas funciones creadas para extender las funcionalidades de MySQL y que nos sirve en este caso para invocar al código externo. Este script tendría la siguiente estructura:

Figura 6: Consulta de Latch desde script de Python

Los códigos APP_ID (Application ID) y SECRET se obtienen de la web de Latch al crear la aplicación que regirá el funcionamiento de ese Latch. El userid se obtiene en la respuesta de la API al realizar el pareado de la cuenta de usuario que va a manejar Joomla! in Paranoid Mode con el APP_ID de Latch que se va a utilizar para tal función. Como podemos ver hay dos tipos de respuesta, que como en cualquier otra aplicación o proceso "latcheado" tiene dos tipos de respuesta:

Figura 7: Intento de acceso a tabla bloqueada por el Modo de Joomla! in Paranoid Mode

Mediante este desarrollo podemos controlar de una manera más efectiva ataques de fuerza bruta a las contraseñas de los usuarios (con las opciones de 2nd Factor Authentication de Latch a nivel de usuario, y por la configuración del modo Read-Only), así como por ejemplo ataques de SQL Injection, que siguen siendo - año tras año - los ataques más usados por los atacantes, como se ve en el TOP 10 OWASP.

Figura 8: Ataques de inyección de comandos nº 1 en OWASP Top Ten

Una vez entregado el proyecto, este código será liberado para que cualquiera pueda aportar sus ideas para un mayor rendimiento y efectividad del mismo, pero para que entiendas todos los detalles, este miércoles 21 de Noviembre tienes la CodeTalk for Developer de Joomla! in Paranoid Mode donde cuento el proyecto completo.

Figura 9: 21 de Noviembre "Code Talk For Devs: Joomla! in Paranoid Mode"

No quisiera finalizar este artículo sin dar las gracias a mis tutores, Pablo González por parte de ElevenPaths y Marcos Fernández en la UCLM, por su interminable paciencia y apoyo. Gran parte de este proyecto les corresponde a ellos. Dar las gracias también a todo el equipo de ElevenPaths por confiar en mí para su realización.

Figura 10: Joomla! in Paranoid Mode

Actualización: Aquí os dejo un pequeño vídeo donde se puede ver cómo funciona lo explicado en este proyecto.

Autor: Mateo González Fernández

Referencias Joomla! & Latch

[GitHub] Plugin de Latch para Joomla!
[Paper] Guía de Instalación de Latch para Joomla!
[Vídeo] Cómo Proteger Joomla! con Latch en 10 minutos
[Vídeo] Cómo instalar Latch en Joomla! por WebEmpresa

Referencias WordPress in Paranoid Mode

[Libro] Máxima Seguridad en WordPress
[Libro] Hardening GNU/Linux
[GitHub] Plugin de Latch paraWordPress
[Paper] Guía de Instalación de Latch en WordPress
[Paper] WordPress in Paranoid Mode (Parte 1)
[Paper] WordPress in Paranoid Mode (Parte 2)
[Vídeo] Proteger WordPress con Latch
[Vídeo] Proteger WordPress con Latch Cloud TOTP
[Vídeo] My WordPress in Paranoid Mode (conferencia Chema Alonso)
[Vídeo] My WordPress in Paranoid Mode (ElevenPaths Talks de Pablo González)
[Vídeo] My WordPress in Paranoid Mode for Developers (CodeTalk for Devs)
[Vídeo] Ejemplo de uso de Latch en WordPress
[Vídeo] Hardening WordPress like a hacker
[Vídeo] WordPress Demo XSS en WP-UserAgent
[BlogPost] My WordPress in Paranoid Mode
[BlogPost] Máxima Seguridad en WordPress
[BlogPost] Hackear un WordPress con Network Packet Manipulation
[BlogPost] Fortificar comunicación entre WordPress y MySQL
[BlogPost] WordPress Latch Enforcement
[BlogPost] WordPress aún más seguro con Latch Lock After Request
[BlogPost] Fortificar WordPress frente a ataques de fuerza bruta
[BlogPost] Ataques (al corazón) de tu WordPress
[BlogPost] Cómo robarle las contraseñas a los administradores de WordPress
[BlogPost] Agrupar el control de varios WordPress con un solo Latch
[BlogPost] WordPress: Time-Based XSPA (Cross-Site Port Attack)
[BlogPost] Cómo debería ser un WordPress un poco más seguro
[BlogPost] WPHardening: Automatizar fortificación de WordPress
[BlogPost] Protege los borradores de los artículos de tu WordPress
[BlogPost] Registro de cuentas en WordPress públicos
[BlogPost] Riesgos en la ejecución de tareas de Cron
[BlogPost] WordPres: XSS en plugin WP-UserAgent
[BlogPost] Listar los plugins de WordPress en un pentest
[BlogPost] WordPress: SQL Injection en Scarcity Builder Plugin
[BlogPost] Docker WordPress in Paranoid Mode
[BlogPost] Faast for WordPress

Eventos para la próxima semana: Del 19 al 24 de Noviembre

Como todos los fines de semana, os dejo la lista de eventos, cursos y charlas donde vamos a participar, además de alguna cita curiosa con alguna conferencia. Yo esta semana no voy a estar de ponente en ninguna charla, que ya llevo muchos evento seguidos. Toca descansar para mí.

Figura 1: Eventos para la próxima semana: Del 19 al 24 de Noviembre

Como siempre, os dejo información de dónde se realiza el evento, y os marco con [G] aquellos que son gratuitos, para que tengáis la información a primera vista.

Lunes, 19 de Noviembre: Curso Profesional de Hacking Ético Experto [Online]

El miso lunes por la tarde da comienzo una nueva edición del Curso Online Profesional de Hacking Ético Experto de nuestros compañeros de The Security Sentinel. Dicha formación tiene una duración lectiva de 180 horas con prácticas y clases teóricas, y es una formación ideal para engancharse al mundo laboral trabajando de pentester o a auditor de seguridad.

Figura 2: Curso Online Profesional de Hacking Ético Experto

El contenido completo del curso lo tenéis en la web de dicha formación. Todos los asistentes, además, recibirán como material de apoyo el libro de 0xWord dedicado a "Pentesting con Powershell" que escribió nuestro compañero Pablo González.

Figura 3: Pentesting con Powershell de 0xWord

Miércoles, 21 de Noviembre: Joomla! en Paranoid Mode [Online]

El próximo 21 de noviembre se impartirá un nuevo CodeTalk de la segunda temporada. En esta ocasión, será el último de la segunda temporada y ya estamos preparando una tercera y algún especial que os iremos contando. El webinar lo impartirá un invitado muy especial, Mateo González, que ha estado realizando su TFG con nosotros. El seminario estará presentado y moderado por nuestro compañero Fran Ramírez, investigador de seguridad en el departamento de Ideas Locas en el área CDO.

Figura 4: Code Talk For Devs "Joomla! en Paranoid Mode"

El proyecto Joomla! in Paranoid Mode da un paso adelante en la defensa de la base de datos de un sistema Joomla!, ya que Latch nos permite la portabilidad de una cuenta entre dispositivos, que es más difícil conseguir mediante la doble autenticación por SMS. En este talk se mostrará cómo Mateo ha ido investigando y trabajando para lograr una solución que proteja la base de datos de los sistemas Joomla! con la tecnología Latch. En el pasado hablamos del Wordpress in Paranoid Mode.

Miércoles, 21 de Noviembre: LibreCON [Bilbao]

Los días 21 y 22 de Noviembre, en el Palacio Euskalduna, tendrá lugar el evento LibreCON, en el que se dan cita ponentes, expositores y asistentes del mundo Open. La cita tiene varios tracks durante los dos, días así que debes revisar la agenda para planificar bien tu asistencia. Tienes toda la información en su web.

Figura 5: LibreCon en Palacio Euskalduna

Entre los ponentes estarán Luis Jiménez del Centro Criptológico Nacional, o nuestro compañero Pablo San Emeterio de ElevenPaths, que darán charlas junto a Richard Stallman  - que como sabéis estuvo por la Fundación Telefónica en Madrid esta semana y aproveché para hacerme una foto con él.

Comida más que interesante hoy con Richard Stallman }:) Muchos detalles para mi memoria ha tenido el día de hoy }:) pic.twitter.com/gYER24xqZJ

— Chema Alonso (@chemaalonso) 12 de noviembre de 2018

Jueves, 22 de Noviembre: 3er Data Science Awards [Madrid] [G]

El jueves 22, en el Distrito C de Telefónica, tendrá lugar el acto de entrega de los premios del 3er Data Science Awards que organizan nuestros compañeros de Synergic Partners, como sabéis, dentro de la unidad LUCA Data-Driven Decisions de Telefónica.

Figura 7: Data Science Awards en Madrid

Además de estos eventos, hay un par de citas interesantes en el Espacio de la Fundación Telefónica de Madrid que os dejo por aquí,

- 21 de Noviembre 19:00:  Elvira Lindo - 30 maneras de quitarse el sombrero

- 22 de Noviembre 19:00:  Tech & Society: Beth Noveck "Inteligencia colectiva y Democracia"

- 23 de Noviembre 10:00: Uso de Internet "Seguridad y Buenas Prácticas"

Nuestro compañero Pablo San Emeterio de ElevenPaths, junto con Borja Adsuara y Natalia Orenés, darán una jornada sobre el uso de Internet de forma segura y responsable. Puedes reservar tu plaza en la web del evento. 

Figura 8: Seguridad y Buenas Prácticas

23 de Noviembre 19:00: Fuera de Series "Arde Madrid"

24 de Noviembre 11:30: Booktubers 

Y esto es todo lo que tenemos para la semana que viene, que como podéis ver es variado. Cosas en Internet, en Madrid y en Bilbao. Ahora a disfrutar el fin de semana.

Saludos Malignos!

Hoy #Díadelamadre es para las #mujereshacker y los eventos para la semana que viene

Hoy domingo Día de la Madre, aprovecho y os dejo un post con la agenda de actividades de esta semana. Hay conferencias y cursos Online, charlas presenciales en Uruguay, Madrid, Valladolid, Barcelona, Londres y algún sitio más. Ésta es la lista con la selección que os he hecho para hoy.

Figura 1: Hoy #mujereshacker y #eventos para la semana que viene

Pero antes de nada, recuerda que hoy es el día de la madre, y para celebrarlo, hemos hecho un vídeo especial para felicitar desde nuestros equipos a todas las madres que nos dieron grandes #mujereshacker y a las mujeres que son referentes para sus hijas siendo grandes apasionadas de la tecnología. Aquí el vídeo que hemos hecho para felicitarles el día de la madre.

Figura 2: #MujeresHacker Especial día de la madre

Y ahora sí, ya que has felicitado a tu mamá y te has acordado de ella, toca meterse en harina y repasar la lista de actividades.

El día 8 de Mayo, mañana mismo, comienza el Curso Online de Análisis Forense Informático en The Security Sentinel. Esta es una formación esencial si quieres comenzar una carrera en el mundo del peritaje informático, pero además es útil para mejorar las habilidades en la administración de sistemas y, por supuesto, en las disciplinas de pentesting, donde podrás reutilizar muchos de estos conocimientos. El curso duro 11 semanas y en él recibirás como material de apoyo el libro de Esteganografía y Estegoanálisis de 0xWord.

Figura 3: Curso Online de Análisis Informático Forense

El día 9 de Mayo, en Granollers tendrás la ocasión de estar en una sesión gratuita de Seguridad en WordPress para principiantes que impartirá nuestro amigo GNUMax a las 18:30 horas de la tarde. Si quieres comenzar a aprender más de WordPress y te pilla cerca, pásate por esta comunidad de interés. Este tipo de iniciativas, que intentan acompañar a los principiantes en sus primeros pasos, deberían ser más populares, que muchas veces se hace complicado para los menos experimentados comenzar en este mundo.

Figura 4: Seguridad en WordPress para Principiantes

Yo estaré el día 10 de Mayo en The AI Summit London 2017, dando una charla en la que hablaré de cómo estamos utilizando las herramientas de Inteligencia Artificial en Telefónica y contaré algunos detalles internos de cómo estamos construyendo AURA dentro de nuestros sistemas. Una charla que pretende compartir experiencias con los interesados en este sector tan importante para la competitividad de las empresas hoy en día. Esta será mi única participación en un evento público esta semana, pero hay otras actividades de interés.

Figura 5: The AI Summit en Londres

Y por Internet, ese mismo día 10 de Mayo en un Webinar, nuestros amigos de CARTO darán un seminario gratuito de cómo crear Location Intelligence Apps. De ese tipo de soluciones hemos hablado mucho en nuestro blog Data-Speaks en la unidad de LUCA-D3, donde hemos creado muchos casos de uso con CARTO.

Figura 6: Webinar Gratutio sobre cómo crear Location Intelligence Apps con CARTO

El día 11 de Mayo, mis compañeros del programa Talentum Startups estarán haciendo una prueba de selección en la Universidad Miguel de Cervantes de Valladolid a partir de las 16:00, una oportunidad única si eres estudiante universitario para comenzar tu experiencia profesional con nosotros.

Figura 7: Selección de becas Talentum en Valladolid para el día 11 de Mayo

A esa misma hora, pero online, podrás apuntarte el 11 de Mayo a nuestra siguiente sesión de ElevenPaths Talks, en este caso para ver una sesión de cómo "Asegurar Hosts en Modo Paranoico", impartida por nuestros CSA de ElevenPaths Arsene Laurent y Diego Espitia. Puedes apuntarte gratis desde cualquier rincón del mundo.

Figura 8: Asegurando los hosts en modo paranoico

Ese mismo día, en Uruguay, da comienzo la CharruaCON, que tendrá dos días de duración - 11 y 12 de Mayo - y en la que hablarán nuestros compañeros de ElevenPaths, Gabriel Bergel, Cristian Borghello y Sheila Berta sobre algo de lo que hemos trabajado bastante en la casa, Certificate Transparency y nuestro Certificate Transparency Checker. 

Figura 9: CharruaCON Security Conference en Uruguay

Además, el día 12 tienes el curso online vía Webex de Pentesting a sistemas com Metasploit impartido en Hackers Club, en el que además tendrás como material del curso nuestro libro de 0xWord de "Metasploit para Pentesters [3ª Edición]". Más información en la web del seminario.

Figura 10: Pentesting a sistemas con Metasploit

Y para terminar, el sábado día 13 de Mayo tiene lugar en Madrid el JoomlaDay 2017. Además de tocar todo tipo de temáticas, habrá una charla de seguridad impartida por José Antonio Luque Brenés, que es el creador de la Security Check Extensions para Joomla y que hablará sobre cómo securizar la plataforma. Este es un tema de interés para nosotros y, como sabéis, nosotros creamos el plugin gratuito para fortificar las cuentas de usuarios en Joomla con Latch.

Figura 11: JoomlaDay Madrid 2017

Y esta es la selección que os he hecho para el día de hoy. Selecciona lo que más te interese, y disfruta del resto del domingo.

Saludos Malignos!

El ataque del CUCO: Cómo un enemigo se puede hacer con tu WordPress, Joomla!, Drupal, Magento y cPanel

Hola gente de este blog maravilloso, si bien he aportado varias veces en artículos, nunca se me ocurrió hacer uno de mi autoría, así que le doy las gracias y es un honor que Chema Alonso me deje redactar uno completamente. Aquí va y espero no defraudarlos. Como sabéis mi especialidad es el "Hacking con buscadores" y les mostrare lo fácil que puede ser para un atacante hacerse con un hosting completamente gratis. Cómo conseguir el mejor CMS o eCommerce o cualquier otra plataforma solo con usar Shodan y Google.

Figura 1: El ataque del CUCO. Cómo un enemigo se puede
hacer con tu... WordPress, Joomla!, Drupal, Magento y cPanel

La idea es tan sencilla como estar atentos a cuándo quedan indexados sistemas CMS a medio instalar, por descuido o por desconocimiento. Un atacante los puede usar para distribuir exploits, hacer campañas de phishing, alojar malware o simplemente meterlos en campañas de BlackSEO. Un hosting gratis es un hosting gratis, y siempre se le puede sacar valor. Como si fuera un Cuco poniendo los huevos en el nido ajeno.

Figura 2: Descubriendo scripts de instalación de WordPress en Shodan

Para seguir los pasos de este artículo, como primera medida hay que registrarse en Shodan.io con una cuenta gratuita ya que haremos uso del operador "title" y eso no es posible si no estás con una sesión iniciada. Una vez registrados, veremos lo fácil que es localizar los paneles de instalación de WordPress, Joomla!, Magento y Drupal indexados a Shodan.io. Como se puede ver en la imagen superior, podemos localizar scripts por título, como en el caso de WordPress, pero en la Figura 4 lo vamos a hacer con el modificador title.

Figura 3: Script de instalación de un WordPress

Comenzaremos por el CMS de WordPress, que lo que vamos a explotar en Shodan es el gestor de instalación de esta plataforma. El script de instalación de WordPress se puede localizar accediendo a wp-admin/install.php y veremos cuántos de estos están indexados en Shodan.io por descuido de sus administradores, que no han hecho los deberes.

Figura 4: Buscando en Shodan los scripts de configuración de WordPress

Deberían leer el libro de Máxima Seguridad en WordPress para no tener estos problemas, que luego pasa lo que pasa.  ;). Estos scripts de WordPress, aunque no tengan un motor de bases de datos al que conectarse, pueden ser utilizados para hacer ataques Time-Based Blind XSPA (Cross-Site Port Attack) en WordPress, como ya se explicó en otro artículo anteriormente.

Figura 5: Script inicial de Setup en WordPress

El segundo de los panel CMS que podemos localizar es Joomla! que también tiene su script de instalación para configurar las bases de datos, los usuarios privilegiados, etcétera.  Lo que haremos nosotros en Shodan es encontrar gestor de instalación que esta generalmente en la ruta installation/index.php.

Figura 6: Buscando scrips de instalación de Joomla! en Shodan

En los scripts encontramos los parámetros de configuración de acceso a la base de datos, que en el caso de que no estuviera presente el motor de bases de datos MySQL siempre podríamos usar para escanear la DMZ con un ataque XPBA como el de WordPress de antes.

Figura 7: Script de instalación de Joomla!

Y si está la base de datos, pues te la configuras y ya tienes tu sitio web completo para hacer lo que quieras. Y si quieres, le pones hasta el Latch para Joomla!, que también se puede hacer una vez termines de ejecutar el script.

Figura 8: Búsqueda de scripts de instalación de Drupal

El siguiente en la lista de objetivos populares sería Drupal. Su script de instalación se encuentra indexado como ya podéis suponer en Shodan.io, y es un fichero install.php.

Figura 9: Script de instalación de un Drupal

Como es demasiado común el nombre de install.php, lo podemos filtrar como se ha hecho en la búsqueda de la Figura 8 por el campo title, usando el que tiene el paso 1 del script.

Figura 10: Búsqueda de scripts de Magento en Shodan

Magento es una plataforma de código abierto para eCommerce escrita en PHP. Es una de las más comunes y tiene versión community (para la que se hizo una versión de Latch para Magento). Su fichero de instalación se encuentra en: index.php/install/

Figura 11: Versión de Magento Community disponible para instalar

Como se puede ver, no solo aparecen versiones Community en las búsquedas, e incluso las versiones Enterprise están a disposición de cualquier atacante.

Figura 12: Versión de Magento Enterprise disponible para instalar

Esta es una fuga importante de información en la plataforma de Magento. También hay otras como la de Magento Repair Tool que tiene un XSPA o la de Magento Check. Con ellas se puede sacar información de la base de datos, del servidor en que está instalado y de la DMZ.

Figura 13: Magento Enterprise. Configuración de la base de datos

Quise, para completar este artículo, si ya directamente era posible localizar paneles de hosting completos, como cPanel. Con este dork es posible localizarlos en Google, pero de momento solo versiones "demo". Eso sí, si alguno alguna vez se lo deja indexado... tendrá problemas.

Figura 14: Cpanel google dork: inurl:login -intext:login inurl:user= 
inurl:pass= - intext:user -intext:pass inurl:2082 OR inurl:2083

Al final, son leyes muy sencillas. No poner en los servidores nada que no esté en uso. No poner servidores a medio configurar en Internet, y revisar periódicamente la configuración de la seguridad de tus sistemas. Espero que les haya gustado.

Saludos,

Autor: Rootkit, Pentester independiente.

BlackBox: Ataques para Joomla, WordPress, Magento o PrestaShop

Esta herramienta llamada BlackBox y escrita en Python permite a un pentester disponer de una suite interesante en su día a día en la oficina. BlackBox, que se encuentra en su versión 2.0 para desarrolladores, proporcionan distintas funcionalidades para los procesos de pentesting. Desde funcionalidades para hacer ataques de fuerza bruta, hasta recopilación de información, exploits, comandos para hacer algo dorking en tareas de hacking con buscadores e incluso cracking. Mucho potencial en la caja negra.

Figura 1: BlackBox. Ataques para CMSs Joomla, WordPress, Magento o PrestaShop

Para instalar BlackBox sobre nuestra máquina podemos descargarlo desde su Github. Después, simplemente, hay que ejecutar el script install. Como se puede ver en la imagen tenemos elementos orientados a auditorias web, en su mayor parte.

Figura 2: BlackBox en GitHub

Disponemos también de una serie de funcionalidades orientadas a realizar ataques de fuerza bruta en entornos web, además de para localizar la página de login en cada sitio, con las opciones de:

• Wordpress Bruteforce
• FTP Bruteforce
• SSH Bruteforce
• Admin Page Finder

Figura 3: Funciones disponibles en BlackBox

La categoría de exploits orientados a entornos web tenemos algunos para diferentes frameworks, como Joomla!, Magento o PrestaShop:

• Joomla RCE (Remote Code Execution)
• Magento RCE (Remote Code Execution)
• PrestaShop Exploit

Aunque no tengamos gran cantidad de exploits, pueden ser útiles en algunos escenarios. Además, para complementar entornos como exploit-db, tenemos la categoría de dorking dónde podemos encontrar:

• Google Dorker
• Bing Dorker
• Scan list

Por último, tenemos la posibilidad de utilizar una herramienta para crackear hashes en formato MD5, SHA1, etcétera, generalmente algoritmos utilizados en muchos de estos frameworks para aplicaciones web. Vamos a probarlo un poco.

PoC: Carga y configuración del módulo de fuerza bruta SSH

En esta prueba de concepto vamos a configurar el módulo de fuerza bruta de SSH con BlackBox, para replicar cómo podría funcionar el proceso de capturar dispositivos para una botnet mediante un proceso tan sencillo como crackear por diccionario un servicio SSH mal fortificado. Si ejecutamos la opción blackbox ssh_brute -h podemos ver las diferentes opciones del módulo. Esto sirve para todos los módulos que tenemos disponible en BlackBox.

Para configurar el módulo hay que indicar la dirección IP dónde se lanzará la fuerza bruta a SSH, el usuario de SSH que se quiere atacar y la ruta del fichero de contraseñas. Existen muchas herramientas que permiten realizar este tipo de acciones, pero BlackBox permite tener estas funcionalidades centralizadas por módulos. Esto es interesante, ya que es fácilmente escalable en número de módulos, es decir, en otras funcionalidades.

Figura 4: Prueba de diccionario contra servidor SSH

Si ejecutamos la opción blackbox google_dorker -h podemos ver las opciones para la búsqueda en Google. El ejemplo que el propio BlackBox propone es blackbox google_dorker –dork=”php?id” –level 10. Es interesante ir probando esto, también probando sobre Bing. Esto permite automatizar el descubrimiento de determinados objetivos y generar scripts automatizados para probar exploits, por ejemplo, de los que acompañan a la herramienta.

El módulo hash_killer permite generar hashes en el algoritmo que se quiere y realizar la comparación los hashes que se encuentran en dicho algoritmo. Por ejemplo, tenemos la opción -w dónde situamos las palabras de diccionario que queremos hashear y comparar con los hashes que se encuentran en el fichero asociado al parámetro –md5, por ejemplo.

Figura 5: Opciones para Hash_Killer

Como se puede ver, la herramienta tiene opciones especiales para crackear los hashes de los motores de bases de datos más populares en los CMS para los que incorpora exploits.

Reflexión final

Este proyecto es una caja de herramientas sencilla, que debemos llevar encima por si acaso nos es útil. Si miras el proyecto en su estructura, tal vez su creador no lo tiene tan enfocado al mundo del pentesting como al mundo de exploiting masivo en Internet automatizado - a la vista de las opciones de dorking y los objetivos tan populares en la red -, pero para nosotros lo más interesante es que el proyecto se encuentra bastante activo y se van añadiendo diferentes módulos con cada nueva versión, por lo que os proponemos que estéis atentos a las diferentes opciones y posibilidades que BlackBox ofrece con cada release.

Figura 6: Actualizaciones en cada versión

Por el otro lado, vistas la existencia de muchas herramientas automatizadas como estas, no me queda más que recomendar la actualización constante del software de las plataformas CMS, además de que hagas un esfuerzo por proteger WordPress contra ataques de fuerza bruta - y si lo ponéis en Paranoid Mode mejor -, y que pongáis un Latch en vuestros servicios SSH, en vuestros servidores e-commerce con Magento o en vuestra tienda con Prestashop... por si las moscas, que ahí suele haber datos de clientes y no te gustaría que aparecieran en la Dark Web.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”

Haz tu Proyecto de Fin de Grado/Máster con Eleven Paths #Universidad #PFC #PFM

Como sabéis yo soy un amante del mundo de la educación, así que desde hace unos meses he estado pinchando a mis compañeros del laboratorio de Eleven Paths para que abriéramos una campaña de ayuda a los que jóvenes que están acabando sus estudios y tienen que elegir un Proyecto de Fin de Máster o Proyecto de Fin de Grado, y por fin este viernes se publicó la primera fase de esta iniciativa.

Figura 1: Haz tu Proyecto de Fin de Grado/Máster con Eleven Paths

Hemos abierto 10 Proyectos de Fin de Grado o Máster, para 10 estudiantes que estén en esa fase de sus estudios. Lo que intentamos es ayudarte a realizarlo, al tiempo que colaboramos con material, libros, licencias de software y apoyo de uno de nuestros compañeros, para que lo lleves a buen término.

Figura 2: Página de los diez proyectos publicados en Eleven Paths

Algunos de estos proyectos tienen que ver con nuestras tecnologías, otros no y simplemente son ideas nuestras que nos parecen interesantes para estudiar. Seguro que casi todas, si eres un seguidor atento de este blog o de nuestro trabajo en Eleven Paths, te sonaran. Esto son los 10 proyectos que hemos elegido, por ahora, solo para estudiantes de Universidades Españolas. Tienes más información de cada uno de ellos en la web de los proyectos.

Figura 3: Primeros cuatro Proyectos disponibles

Figura 4: Segundos cuatro proyectos disponibles

Figura 5: Proyectos 9 y 10 publicados

Si la iniciativa funciona bien, habrá una segunda tanda de selección y seguramente lo extenderemos a otros países de latinoamérica. De momento, si quieres participar en esta campaña debes enviarnos un correo electrónico a university@11paths.com con la información siguiente:

- Nombre
- Universidad en la que estás cursando los estudios
- Titulación
- Nombre del profesor/tutor (si lo tienes ya asignado)
- Proyectos en los que estarías interesado

Con estos datos, nos pondremos en contacto contigo y te informaremos de los siguientes pasos. Y cuando lo acabes, directamente estarás en un proceso de selección de Eleven Paths para ver si acabas haciendo prácticas o trabajando con nosotros.

Saludos Malignos!

Nipper Toolkit for Android: Una revisión rápida de tu CMS #CMS #WordPress #Joomla #Drupal

Nipper Toolkit Web Scan para Android es una herramienta que permite comprobar vulnerabilidades en los CMS (Content Management System) comúnmente utilizados, es decir, plataformas como Wordpress, Drupal, Joomla!, etcétera, que te puedes encontrar en cualquier sitio de Internet o en la Intranet. Nipper Toolkit Web Scan es una herramienta que dispone de 15 módulos distintos para la recopilación de información de una determinada dirección URL proporcionada por un usuario y que explota algunos de los bugs más comunes, y que puede completar la colección de herramientas que puedes llevar en un terminal Android, como DSploit, Intercepter-ng o WiFiKill, junto con tu Metasploit de base.

Figura 1: Nipper Toolkit for Android: Una revisión rápida de tu CMS

Este tipo de herramientas están creadas para aquellos auditores de seguridad que quieren realizar pruebas de seguridad desde un terminal móvil sin llamar la atención. ¿Cuántas veces has visto a alguien sentado en la sala de espera de tu empresa usando su teléfono? Pues ese podría ser un auditor haciendo una prueba de seguridad, o un atacante que está en tu WiFi en medio de un APT. Aunque tengas el WordPress o el Joomla! en tu Intranet, no pienses que un atacante no puede estar rondando por ella.

Funcionamiento de Nipper Toolkit

Nipper Toolkit es una herramienta que busca bugs y explota fallos en servidores web, por lo no necesitaremos permisos de root para que funcione, con tener conexión de red será suficiente. Podemos adquirirla directamente en el Google Play Store y es completamente gratuita pero solo funcionará si nuestra versión de Android es la 3.0 o superior.

Figura 2: Introducción de una URL del CMS a auditar

Una vez hayamos descargado la app la abriremos y aparecerá el menú principal. En la parte superior encontraremos un icono con tres putos donde pulsando podremos ver la versión del programa e información sobre el desarrollador.

En la parte central de la pantalla encontraremos una ventana para introducir la URL sobre la que queramos lanzar las pruebas y sobre ésta un botón con el símbolo “Play”. Una vez introducida la URL pulsaremos sobre él y tras unos segundos nos mostrara en pantalla la plataforma utilizada por la web, su dirección IP, el tipo de servidor y nos permitirá ver su código fuente. También mostrara algunos módulos.

Figura 3: Información básica del CMS auditado

Si miramos en la parte superior encontraremos tres botones, el botón de la izquierda es el botón de retroceso, a su derecha encontraremos el botón –“Share”- que nos permitirá compartir la aplicación y la información conseguida sobre la URL, el ultimo botón -“3 puntos”- nos dará la opción de buscar en Exploit-DB y la opción ButeForceWP en su versión beta, esta opción nos permitiría iniciar un ataque de fuerza bruta con un CMS de tipo Wordpress, como los que se explican en este artículo "Cómo fortificar tu Wordpress frente a ataques de fuerza bruta"

Figura 4: Módulos para analizar un WordPress con Nipper Toolkit

A continuación explicare lo que hacen algunos de los módulos que nos podemos encontrar tras realizar un análisis. Estos serán distintos en función del dominio y la plataforma que estemos analizando. Algunos de sus módulos son:

DNS Lookup: este módulo se utiliza para identificar los servidores del dominio seleccionado, nos mostrará también el nombre del servidor en formato TXT. 

Nmap: Nmap nos permite realizar un escaneo de puertos a nuestro objetivo, una vez tengamos el listado de estos podremos observar cuales están abiertos, esta información nos sería muy útil a la hora de realizar algunos ataques.

Figura 5: Ejecutando Nmap

Enumeración de usuarios: Este módulo realiza un escaneo en búsqueda de usuarios, en este caso usuarios de Wordpress, realizando un listado de los usuarios encontrados, tal y como se hace con WPScan. 

Enumeración de Plugins: Con este módulo podremos extraer los detalles de los plugins utilizados, este escaneo tardara un poco, pero nos proporcionara un listado de plugins y nos dará la opción de buscar exploits, introduciremos los plugins de los que queramos obtener exploits y realizaremos una búsqueda en ExploitDB, también podemos realizar una búsqueda sin introducir el plugin del que queremos conseguir exploits y obtendremos todos los exploits al mismo tiempo. Lo que hay por detrás son los trucos explicados en este artículo: Cómo listar plugins de WordPress. 

Figura 6: Listado de plugins

Theme identify: nos mostrara los detalles sobre el tema utilizado en la web. Algunos de ellos tienen bugs conocidos. 

Core Analysis: Este módulo nos mostrara la versión de la web CMS objetivo utilizando un fingerprinting basado en el reconocimiento de ficheros utilizados en la plataforma.

Figura 7: Información del Core

En caso de que la web CMS se tratase de una plataforma Drupal encontraremos otro modulo llamado “Drupal Modules”, personalizada con otro tipo de ataques.

Nipper es una herramienta sencilla e intuitiva con la que podremos realizar mini-auditorías de seguridad a una web de forma rápida desde nuestra mano, en cualquier sala de espera de una empresa, de una forma fácil y rápida automatizando algunos de los ataques conocidos para estos CMS. Tal vez no hagas una auditoría completa, pero a lo mejor en unos minutos, aprovechando el tiempo en la salita, seas capaz de llevarte la lista de usuarios o info de cómo está administrado ese WordPress que has encontrado en la Intranet accesible por la web.

Autor: Sergio Sancho Azcoitia