[Caso real] Relato de una intrusión, Un miserable FSD a medias

Un relato relativamente viejo, publicado originalmente en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, autoría propia


Esto es un relato un tanto viejo, al cual dejé pasar un tiempo antes de publicar, hasta que el bug fué reparado.

Mientras mi "socio", 11sep navegábamos, topamos con un servidor vulnerable. Esta vez, un FSD.

Igual que el anterior relato, la llamaremos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Esta página, tenía un script absurdo, que descargaba "ficheros", en la ruta No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Recorrimos la página desde el index hasta topar con los datos de MySQL, al cual accedimos, bajo previa protección.

Llegamos al panel de administración, pero el problema estaba en que se trataba de un hash en SHA1 y MD5, el cual en lugar de brutalizar, cambiamos la clave durante 1 minuto para entrar.

Dentro nos topamos con un sinfín de vulnerabilidades, que si FSD, que si FPD, que si SQLi... Y un lindo uploader...

No hicimos nada, ya que la web podríamos clonarla, y teniamos la base de datos.

Como en el anterior relato, es mi único objetivo.

Dejamos pasar un tiempo, y volvimos a intentar entrar, para subir una shell. Resulta que habían migrado a un servidor MySQL que no permitía conexiones internas.

Sinceramente me resulta patético buscar scripts por No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y colgarlos, sin antes saber qué hace... Imaginen si hubieramos subido la shell y rooteado... ¿De qué habría servido migrar el servidor?

Pasamos por alto un sin fín de oportunidades, utilizar el FPD para subir una shell desde SQL, bypassear el uploader, incrustar un PHP en pleno index con la shell...

Nuestro objetivo no fué más que lograr una infiltración al área restringida (Panel de administración), sirva de ejemplo

Como siempre digo, Antes de correr, hay que saber andar.

Dedicado a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un saludo.

Observaciones por parte de 11Sep, miembro de esta comunidad:

CitarTe termino de completar

Bueno, una vez con la aplicación en "nuestras manos" y luego de haber comprobado correctamente el FSD procedemos a buscar los archivos de conexión a la BD, luego de literalmente decenas de includes damos con los datos de la BD, al ver que el host era 127.0.0.1 procedemos a ver si el puerto de mysql de la web estaba abierto (no filtrado ni cerrado).

nmap site.com -p 3306

Al ver que el pueto estaba abierto procedemos a buscar algo interesante en la BD, al encontrar nada interesante buscamos los datos del administrador y nos topamos con un MD5 que intentamos crackear sin exto, al ver esto descargamos el código del admin panel (site.com/admin/) haber con que sorpresa con encontrabamos y no fue nada mas ni nada menos que un salt algo particular.

...
$pass = sha1(md5($_POST["password"]));
$pass = md5(($pass. $_POST["password"]))
...

Al ver que nos sería algo difícil y tardado (mucho) crackear la pass decidimos ver que permisos tiene nuestro user en la BD.

SHOW GRANTS FOR <user>

Notamos que tenemos permisos SELECT e INPUT, pero no los sificientes como para dumpear shell así que decidimos guardar la pass original y poner una nuestra, para eso pasamos el código que "genera" la pass a nuestra máquina local con un par de modificaciones para que nos de el hash de 123456. Una vez tenemos el hash hacemos un UPDATE a la BD

UPDATE usr SET password = "hash"; 

Una vez tenemos éxito intentamos logearnos en el admin panel con la pass 123456 y ¡estamos dentro!, una vez logrado nuestro objetivo (entrar al admin panel) miramos por encima y nos topamos con un SQLi nada relevante teniendo la BD en nuestras manos y un uploader al que le prestamos muy poca antención ya que no se que pasaba por nuestras cabezas y decidimos volver a colocar la pass original en la DB y dar un vistazo a las otras webs alojadas en el mismo server (almenos unas 80) con la sorpresa que TODAS estaban en flash ¬¬

Saludos!