Underc0de - Hacking y seguridad informática

[In]Seguridad Informática => Seguridad web y en servidores => Mensaje iniciado por: BrowserNet en Mayo 23, 2016, 10:42:26 am

Título: ZAPROXY - ZED ATTACK PROXY: herramienta de auditoría activa
Publicado por: BrowserNet en Mayo 23, 2016, 10:42:26 am
(http://2.bp.blogspot.com/-eoVjRYHTcUQ/Vkgg7CM4mjI/AAAAAAAAC14/sWhURsu5cy8/s320/1.jpg)
(http://1.bp.blogspot.com/-jKQ9ik-CxSo/VkggebhlewI/AAAAAAAAC1w/d4zshHqYguQ/s1600/1.png)

Saludos hermanos de underc0de en esta oportunidad les traigo la herramienta llamada "Zaproxy" (Zed Attack Proxy), esta programada en Java la cual el año 2013 gano el top de la mejor herramienta de auditorias difundida por la grande organización de seguridad a nivel mundial OWASP.
Algunos la han llamado la hermana menor de BurpSuite : )

En esta oportunidad haré este POST en Windows, antes de aclarar zaproxy se encuentra en Kali Linux para los que deseen probarla.


Características:

Interceptacion Proxy 
Spiders tradicionales y AJAX
Escáner automatizado
Escáner pasivo
Navegación forzada
Fuzzer
Certificados SSL dinámicos
Soporte de tarjetas inteligentes y certificados digitales de clientes
Apoyo tomas Web
Soporte para una amplia gama de lenguajes de script
Plug-n-Hack apoyo
El soporte de autenticación y la sesión
Potente API basada en REST
Opción Automático actualización
Integrado y creciente mercado de los complementos

DESCARGA:
https://github.com/zaproxy/zaproxy/wiki/Downloads


La instalación la vamos a omitir porque es demasiado fácil, por ende cualquiera puede hacerlo sin ningún problema, deben tener Java instalado en su equipo para poder correr la herramienta.

Interactuando con la plataforma:

(http://3.bp.blogspot.com/-_jHBYtuPi9g/VkgjlB4i6EI/AAAAAAAAC2E/0t81qjbVC2I/s1600/1.png)

como vemos la estructura es muy detallada y va de la mano con las personas que son nuevas en experimentar la herramienta, que de por si es demasiada sencilla para todos.
como observamos en una pequeña pantalla donde nos da un mensaje de bienvenida a la herramienta nos aparece el formulario "URL a atacar", con la cual añadiremos nuestro servidor para hacer la prueba de auditoria.

(http://1.bp.blogspot.com/-xH7KSgWdrlA/Vkgnrs20w2I/AAAAAAAAC2Q/2pPBWK63z4w/s1600/1.png)

Es demasiado sencillo como se los explique al momento de añadir la url le darán en atacar y automáticamente empezara el escaneo primario con el "Spider", el capturar de módulos y archivos.

(http://1.bp.blogspot.com/-06tNrVIqwFM/Vkgpaz1nJiI/AAAAAAAAC2k/X_ndPh9JBTw/s640/1.png)

Algo bueno del primer escaneo es que nos dará la lista en general del servidor con la cual nosotros mismos podemos analizar y obtener datos que quizás un escaner no pueda capturar porque a todos nos a pasado en algunas de nuestras auditorias.

Pasaremos al segundo escaneo, la cual es 100% ofensivo porque ejecutara payloads en todos los parámetros para comprobar  si son vulnerables y empezara a capturarlos en la pestaña "Alertas", cabe aclarar que el escaneo se ejecuta automáticamente cuando termina por si solo es escaneo primario de igual manera si lo cancelas.

(http://4.bp.blogspot.com/-UpBFqjhhmGs/Vkg4SPQxrHI/AAAAAAAAC28/ZnjLaR4hTnw/s1600/2.png)

 Como bien lo dije hace momentos este segundo escaneo activo, lo que hace es añadir payloads en cada sector del servidor web en busca de un análisis positivo con un vector de ataque que lo confirmara si es vulnerable o no, con la cual nuestros resultados se irán generando en la sesión "Alertas". la cual se van a definir en una lista por categorías de Errores, en mi caso el primero en la lista son los conocidos XSS

(http://4.bp.blogspot.com/-v7y4wSGmBD4/Vkg5Scp1xvI/AAAAAAAAC3I/xjOvGebegVo/s1600/1.png)

Ahora encontramos algo mas que un simple escaneo, la cual al darle 2 clicks a nuestro enlace vulnerable en la sesión de las alertas nos parecen la ventada con la información detallada de dicha vulnerabilidad con su respectivo payload probado, de igual manera pueden añadir el suyo sin ningún problema pero haré esta prueba con el payload que ofrece zaproxy para comprobar su eficacia.

(http://2.bp.blogspot.com/-q4eUDdLJCMc/Vkg6ERF0b5I/AAAAAAAAC3Q/BDph-yUhva0/s1600/1.png)

Comprobando el payload en mi caso lo haré con el navegador Mantra

(http://1.bp.blogspot.com/-mmM_s9WkKo0/Vkg7_LqlK_I/AAAAAAAAC3c/gfmu6oQDUv8/s1600/1.png)

Nuestro objetivo es vulnerable a un XSS, pero vamos a ver las otras vulnerabilidades que hemos encontrado, como la vulnerabilidad de  inyección SQL

(http://4.bp.blogspot.com/-UedphNXtnR8/VkhAWV7ZpkI/AAAAAAAAC3w/rsHlJzNNxiY/s1600/1.png)

De igual manera vamos a comprobar la vulnerabilidad en el navegador

Código: You are not allowed to view links. Register or Login
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' ORDER BY sort' at line 1SELECT * FROM biblioteca WHERE id='17'' AND estado='1'  ORDER BY sort
Código: You are not allowed to view links. Register or Login
sqlmap.py -u http://www.ejemplodepagina.com.pe/portal/index.php?id=17 --tamper="space2comment,charencode.py" -v 3 --random-agent --dbs --timeout=10 --no-cast

En mi caso tuve que utilizar tamper para que mi objetivo sea testeado sin ser bloqueado por el Firewall, si deseas aprender como bypassearlo lo invito al siguiente POST:

http://backtrack-omar.blogspot.pe/2015/10/bypasseando-waf-con-sqlmap-tamper.html

de igual manera podemos interactuar con las demás listas.

(http://3.bp.blogspot.com/-7HjkBo6WxAk/VkhDOBFI6cI/AAAAAAAAC4U/6Z2E4asQous/s1600/4.png)

Pero bueno espero les haya gustado el articulo, agradecer no cuesta nada.
Saludos!
Título: Re:ZAPROXY- ZED ATTACK PROXY: herramienta de auditoría activa
Publicado por: Snifer en Mayo 23, 2016, 11:38:50 am
Acotando se tiene este Ebook en base a una serie de entradas realizadas, para el que quiera ir mas alla de esta herramienta que es la hermana por decirlo asi de BurpSuite entre las dos con Licencia BurpSuite herramienta sin licencia ZAP.


(http://3.bp.blogspot.com/-Ceou1aL0N3I/Vib-OhzJ1iI/AAAAAAAAF0w/DdYjwWluZh8/s320/cover_small.jpg)
Ebook Owasp Zed Attack Proxy Guide PDF,EPUB, MOBI (http://www.sniferl4bs.com/2015/10/ebook-owasp-zed-attack-proxy-guide.html)

Buena entrada he!

Regards,
Snifer
Título: Re:ZAPROXY- ZED ATTACK PROXY: herramienta de auditoría activa
Publicado por: BrowserNet en Mayo 23, 2016, 11:42:23 am
Buen aporte compañero, saludos y éxitos hermano  8)
Título: Re:ZAPROXY - ZED ATTACK PROXY: herramienta de auditoría activa
Publicado por: ceroMee en Octubre 08, 2016, 02:16:34 am
 Snifer esta genial tu libro :)