A finales del año del ciclo superior, reporté una vulnerabilidad de escalada de privilegios en nuestro http://fpinnova.ieselrincon.org al parecer la versión del joomla era vulnerable permitía a un atacante registrarse como administrador y acceder al panel de administración con dichos privilegios.
La vulnerabilidad residia en:
http://fpinnova.ieselrincon.org/index.php/component/users/?view=registration
Y como en todas sus versiones el panel de administracion estaba alojado en:
http://fpinnova.ieselrincon.org/administrator/
El panel de administración lo más que dejaba hacer era añadir noticias, modificarlas y eliminarlas, la configuración de este estaba por defecto con lo cual no se podia subir ninguna webshell y asi controlar el servidor.
Al final les recomendé que dieran de baja el registro, y se dio de baja el login ... ¬¬ y ahora se produce al intentar loggearse un error 500:
http://fpinnova.ieselrincon.org/index.php/component/users/?task=user.login
pero esta solución se ha quedado corta ya que se puede seguir atacanto de otra forma.
Lo que han dado de baja es la aplicación para loggeo a usuarios. No la aplicación vulnerable en sí, que es donde se registran.
Pero bueno no les importaran que se siga llenando la base de datos de administradores, algo que escapa a mi entender.
jueves, 25 de octubre de 2012
Un dia cualquiera
Hace un tiempo detallaba un fallo que daba como resultado el reinicio de los routers Zyxel P-870HW-51A.
http://code-disaster.blogspot.com.es/2011/12/reiniciando-routers-ultimo-modelo-de.html
Hoy estando en clase me dio por hacer un tracert hacia google para ver por donde se paseaba tan solo hasta llegar hasta la ultima subred antes de salir al exterior y quedaba así.
192.168.13.1 <- en esta subred estoy yo y esta es la ip del router, puerto 80 capado.
192.168.3.1 <- y esta es la ip de otro router puerto 80 abierto.
192.168.153.1 <- este es otro router puerto 80 capado.
bien pues pruebo a conectarme al router con el puerto abierto y veo que me solicita user y pass
probé unas cuantas por defecto aunque ya de un principio descartaba
que fuese tan facil así que vi que el modelo de router era este
'comtrend gigabit 802.11n' diferente del que dispongo en mi casa.
Bien pues probé con el mismo método para el router Zyxel P-870HW-51A que había descubierto y que sin necesidad ni de usuario ni contraseña permitía reiniciarlos y que casualidad que se encontraba el mismo archivo en la misma ubicación que lo reiniciaba, probé 'http://192.168.3.1/rebootinfo.cgi' y al hacerle la petición me redireccionó a otra pagina que me detallaba que ( pasado 2 minutos estaría levanto otra vez el router )
, jaja y que, pues hice un ping al router y no me devolvió ninguna
respuesta, hice un tracert y tampoco. El caso es que me hubiese encantado
contarles que dejé a varias aulas sin red pero resultó que aunque
haciéndole el tracert a google y no pasando de la 14.1 seguía teniendo
mediante el navegador internet tardó algo mas de lo normal en conectar
con google pero recibí la web antes de esos 2 minutos, algo que no me
explico.
Le pregunte a mi profesor de red, y al final parece ser que una vez caido este router se busca otra salida através de otro que no me aperecia en el tracert quedando algo asi:
1 192.168.13.1
2 *****
3 *****
4 192.168.153.1 (192.168.153.1) 25.834 ms 26.526 ms 26.210 ms
5 2.red-80-58-122.staticip.rima-tde.net (80.58.122.2) 27.254 ms 26.217 ms 25.968 ms
6 et4-0-0-0-grtmadad1.red.telefonica-wholesale.net (213.140.51.13) 54.982 ms 53.849 ms 53.726 ms
Al final Tibu y yo le dimos una solución denegamos el acceso con el firewall por el puerto 80 a la 3.1 y se terminó ya que ninguna de estas marcas de router me dio solución:
Zyxel:
Comtrend:
llevo 4 semanas esperando su contestación....
Conclusión:
siendo este de otra marca, me ha dado que pensar, cuantas otras marcas utilizan esta misma arquitectura de directorios
, comtrend y Zyxel por ahora..., si alguien más lo pudiese probar con sus routers se lo agradecería que me lo dijera.
Salu2!
* Comtrend 96348GW-11 también son vulnerables
* La vulnerabilidad ya se habia dado en otras marcas Huawei HG510 Multiple Vulnerabilities
(pero en este caso necesitabas usuario y contraseña)
http://code-disaster.blogspot.com.es/2011/12/reiniciando-routers-ultimo-modelo-de.html
Hoy estando en clase me dio por hacer un tracert hacia google para ver por donde se paseaba tan solo hasta llegar hasta la ultima subred antes de salir al exterior y quedaba así.
192.168.13.1 <- en esta subred estoy yo y esta es la ip del router, puerto 80 capado.
192.168.3.1 <- y esta es la ip de otro router puerto 80 abierto.
192.168.153.1 <- este es otro router puerto 80 capado.
bien pues pruebo a conectarme al router con el puerto abierto y veo que me solicita user y pass
probé unas cuantas por defecto aunque ya de un principio descartaba
que fuese tan facil así que vi que el modelo de router era este
'comtrend gigabit 802.11n' diferente del que dispongo en mi casa.Bien pues probé con el mismo método para el router Zyxel P-870HW-51A que había descubierto y que sin necesidad ni de usuario ni contraseña permitía reiniciarlos y que casualidad que se encontraba el mismo archivo en la misma ubicación que lo reiniciaba, probé 'http://192.168.3.1/rebootinfo.cgi' y al hacerle la petición me redireccionó a otra pagina que me detallaba que ( pasado 2 minutos estaría levanto otra vez el router )
, jaja y que, pues hice un ping al router y no me devolvió ninguna
respuesta, hice un tracert y tampoco. El caso es que me hubiese encantado
contarles que dejé a varias aulas sin red pero resultó que aunque
haciéndole el tracert a google y no pasando de la 14.1 seguía teniendo
mediante el navegador internet tardó algo mas de lo normal en conectar
con google pero recibí la web antes de esos 2 minutos, algo que no me
explico.Le pregunte a mi profesor de red, y al final parece ser que una vez caido este router se busca otra salida através de otro que no me aperecia en el tracert quedando algo asi:
1 192.168.13.1
2 *****
3 *****
4 192.168.153.1 (192.168.153.1) 25.834 ms 26.526 ms 26.210 ms
5 2.red-80-58-122.staticip.rima-tde.net (80.58.122.2) 27.254 ms 26.217 ms 25.968 ms
6 et4-0-0-0-grtmadad1.red.telefonica-wholesale.net (213.140.51.13) 54.982 ms 53.849 ms 53.726 ms
Al final Tibu y yo le dimos una solución denegamos el acceso con el firewall por el puerto 80 a la 3.1 y se terminó ya que ninguna de estas marcas de router me dio solución:
Zyxel:
Mensaje:
Buenos dias,
Muchas gracias por su colaboracion. Vamos a pasar la informacion a nuestro departamento de firmware.
un salqudo
Comtrend:
llevo 4 semanas esperando su contestación....
Conclusión:
siendo este de otra marca, me ha dado que pensar, cuantas otras marcas utilizan esta misma arquitectura de directorios
, comtrend y Zyxel por ahora..., si alguien más lo pudiese probar con sus routers se lo agradecería que me lo dijera.Salu2!
* Comtrend 96348GW-11 también son vulnerables
* La vulnerabilidad ya se habia dado en otras marcas Huawei HG510 Multiple Vulnerabilities
(pero en este caso necesitabas usuario y contraseña)
martes, 9 de octubre de 2012
JCat Conexión Inversa y Directa
JCat es una aplicación que la cree hace mucho, pero por no tener tiempo no he podido hacer el tutorial del manejo.
Mas que nada les va a servir para aprender a utilizar Thread y Sockets que es lo mas importante en el. basicamente ejecuta comandos en las maquinas víctimas y devuelven el resultado en el atacante.
Aqui les dejo un tutorial con el manejo del mismo http://www.multi-upload.me/c7ciux2h77bt/JCat%20Tutorial_multiupload-download-.pdf.html
es necesario tener la maquina virtual de Java evidentemente. luego lo compilan en linux con: javac JCat.java. y para iniciarlo tanto en win como el linux: java JCat. Y aqui el code.
Aqui les dejo un tutorial con el manejo del mismo http://www.multi-upload.me/c7ciux2h77bt/JCat%20Tutorial_multiupload-download-.pdf.html
es necesario tener la maquina virtual de Java evidentemente. luego lo compilan en linux con: javac JCat.java. y para iniciarlo tanto en win como el linux: java JCat. Y aqui el code.
Suscribirse a:
Entradas (Atom)