[Caso real] Relato de una intrusión, Un miserable FSD a medias

  • 1 Respuestas
  • 2432 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado yoyomismo

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
  • Cibergolen (CPH) yo-mismo (Otros)
    • Ver Perfil
    • Foro y Blog CodeSec
    • Email
Un relato relativamente viejo, publicado originalmente en CodeSec.org, autoría propia


Esto es un relato un tanto viejo, al cual dejé pasar un tiempo antes de publicar, hasta que el bug fué reparado.

Mientras mi "socio", 11sep navegábamos, topamos con un servidor vulnerable. Esta vez, un FSD.

Igual que el anterior relato, la llamaremos site.com.

Esta página, tenía un script absurdo, que descargaba "ficheros", en la ruta site.com/down.php?f=xxx

Recorrimos la página desde el index hasta topar con los datos de MySQL, al cual accedimos, bajo previa protección.

Llegamos al panel de administración, pero el problema estaba en que se trataba de un hash en SHA1 y MD5, el cual en lugar de brutalizar, cambiamos la clave durante 1 minuto para entrar.

Dentro nos topamos con un sinfín de vulnerabilidades, que si FSD, que si FPD, que si SQLi... Y un lindo uploader...

No hicimos nada, ya que la web podríamos clonarla, y teniamos la base de datos.

Como en el anterior relato, es mi único objetivo.

Dejamos pasar un tiempo, y volvimos a intentar entrar, para subir una shell. Resulta que habían migrado a un servidor MySQL que no permitía conexiones internas.

Sinceramente me resulta patético buscar scripts por Mr.Google y colgarlos, sin antes saber qué hace... Imaginen si hubieramos subido la shell y rooteado... ¿De qué habría servido migrar el servidor?

Pasamos por alto un sin fín de oportunidades, utilizar el FPD para subir una shell desde SQL, bypassear el uploader, incrustar un PHP en pleno index con la shell...

Nuestro objetivo no fué más que lograr una infiltración al área restringida (Panel de administración), sirva de ejemplo

Como siempre digo, Antes de correr, hay que saber andar.

Dedicado a CodeSec.Org

Un saludo.
CPH: Cibergolen
Otros: Yo-Mismo

Visitame en codesec.org

Desconectado yoyomismo

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
  • Cibergolen (CPH) yo-mismo (Otros)
    • Ver Perfil
    • Foro y Blog CodeSec
    • Email
Observaciones por parte de 11Sep, miembro de esta comunidad:



Citar
Te termino de completar ;)

Bueno, una vez con la aplicación en "nuestras manos" y luego de haber comprobado correctamente el FSD procedemos a buscar los archivos de conexión a la BD, luego de literalmente decenas de includes damos con los datos de la BD, al ver que el host era 127.0.0.1 procedemos a ver si el puerto de mysql de la web estaba abierto (no filtrado ni cerrado).

Código: Text
  1. nmap site.com -p 3306

Al ver que el pueto estaba abierto procedemos a buscar algo interesante en la BD, al encontrar nada interesante buscamos los datos del administrador y nos topamos con un MD5 que intentamos crackear sin exto, al ver esto descargamos el código del admin panel (site.com/admin/) haber con que sorpresa con encontrabamos y no fue nada mas ni nada menos que un salt algo particular.

Código: PHP
  1. ...
  2. $pass = sha1(md5($_POST["password"]));
  3. $pass = md5(($pass. $_POST["password"]))
  4. ...
  5.  

Al ver que nos sería algo difícil y tardado (mucho) crackear la pass decidimos ver que permisos tiene nuestro user en la BD.

Código: MySQL
  1. SHOW GRANTS FOR <user>

Notamos que tenemos permisos SELECT e INPUT, pero no los sificientes como para dumpear shell así que decidimos guardar la pass original y poner una nuestra, para eso pasamos el código que "genera" la pass a nuestra máquina local con un par de modificaciones para que nos de el hash de 123456. Una vez tenemos el hash hacemos un UPDATE a la BD

Código: MySQL
  1. UPDATE usr SET password = "hash";

Una vez tenemos éxito intentamos logearnos en el admin panel con la pass 123456 y ¡estamos dentro!, una vez logrado nuestro objetivo (entrar al admin panel) miramos por encima y nos topamos con un SQLi nada relevante teniendo la BD en nuestras manos y un uploader al que le prestamos muy poca antención ya que no se que pasaba por nuestras cabezas y decidimos volver a colocar la pass original en la DB y dar un vistazo a las otras webs alojadas en el mismo server (almenos unas 80) con la sorpresa que TODAS estaban en flash ¬¬

Saludos!
CPH: Cibergolen
Otros: Yo-Mismo

Visitame en codesec.org

 

Intrusión a un Servidor Por SQLi y Obtener shell

Iniciado por hdbreaker

Respuestas: 11
Vistas: 6983
Último mensaje Julio 15, 2012, 09:12:22 am
por عя ҜΔŁĬ
Offensive Security - Real Live Pentest

Iniciado por q3rv0

Respuestas: 7
Vistas: 5218
Último mensaje Octubre 15, 2012, 08:21:10 am
por BCKTR1X
Intrusión en Winbug con Backtrack

Iniciado por REC

Respuestas: 4
Vistas: 4015
Último mensaje Junio 15, 2012, 10:25:31 pm
por Cronos
Del Spam a La Intrusion

Iniciado por q3rv0

Respuestas: 8
Vistas: 6263
Último mensaje Abril 25, 2015, 09:41:50 am
por Nosferatu
[Caso real] Relato de una intrusión. Un miserable LFI

Iniciado por yoyomismo

Respuestas: 0
Vistas: 2401
Último mensaje Abril 10, 2013, 11:36:53 am
por yoyomismo