Queridos lectores, ésta será la anteúltima cápsula, como bien mencionó Snifer. Por lo tanto veremos algunos recursos pequeños pero sumamente útiles de Zap que nos han quedado pendientes pero que no son los lo suficientemente extensos como para dedicarles toda una cápsula.


Ctrl+i:
Mediante la combinación de éstas teclas, Zap abre una ventana desde la cual podemos elegir una lista de urls para poder realizar un análisis. También podemos encontrar la opción si vamos a la pestaña ‘Tools’ y seleccionamos ‘Import a file containing URLs



La ventana que se nos abre nos permite seleccionar el listado que tengamos armado.

Para éste ejemplo, armé un pequeño txt con tres urls que lo pueden copiar para sus prácticas.



Al importar y darle aceptar, veremos que en la pestaña ‘Output’ del panel inferior comenzará realizar peticiones a los sitios de nuestra lista y mostrar las respuestas.



Una vez finalizado el scanning, en la pestaña Sites veremos los targuets analizados y en la parte inferior, si vamos a Alerts tendremos las vulnerabilidades identificadas en cada una de las urls.

Las Apis de Zap


Zap está desarrollado en Java, pero cuenta con apis para poder integrarlo a otros lenguajes de programación como Ruby, Python, PHP, entre otros.
En el siguiente ejemplo veremos la forma de integrar Python a la herramienta.


Existen dos opciones para instalar la api de python en zap:


La primera es desde PyPI


para luego desde el directorio de python
La segunda opción (que es la recomendada), es bajando la api desde sourceforge para luego seguir con los mismos pasos del procedimiento descrito arriba.

Una vez ejecutado el install, tenemos que inicializar el daemon de zap.


Hasta aquí ya tenemos instalada la api y lista para utilizarla. Ejemplos de scripts que usan la api de python pueden encontrar aqui o aqui


Port Discovery

  • He, pero eso lo hago con nmap.
  • Perfecto, pero también podés hacerlo con Zap papu!

Por si alguien aún no sabe qué es un port scanner, se trata de identificar los puertos abiertos de un server. Generalmente los puertos abiertos (si están bien configurados) tienen un servicio corriendo, como smtp en el 25, https en el 443, o pop3 en el 110 por ejemplo.
Con Zap, podemos ver los puertos y servicios asociados sin la necesidad de abrir un nmap o la tools que usen para éste propósito.
El conocer los puertos y servicios de un servidor, nos pueden orientar para saber de qué sistema operativo (SO) se trata y validar en una análisis de vulnerabilidades o pentest si algunos críticos como ftp o ssh son bypasseables fácilmente o si cuentan con las medidas de seguridad correspondientes.

Para el siguiente ejemplo, llamemos nuevamente a listado de urls que vimos más arriba con ‘Ctrl+i’. Ahora, vamos a la pestaña ‘View’ y elegimos ‘Show all tabs


Si miramos las pestañas del panel inferior, notaremos que hay muchas más de las que trae por defecto cuando se inicializa la herramienta.


Elegimos la pestaña ‘Port Scan’ y en ‘Host’ el target a utilizar para la identificación de puertos abiertos.


Luego, sólo click en ‘Play’ y a esperar.

Al 37% ya encontró dos puestos abiertos con sus respectivos servicios asociados


Generador de Cookies

El generador de token nos sirve para validar una cookie, probar si podemos loguearnos a un sitio con una cookie inventada o utilizar alguna cookie capturada para realizar la auditoria desde adentro.

Para éste ejemplo, seleccionaremos la primer alerta que nos dió Zap al importar el listado.
Nos paramos sobre ‘Insecure Componnent’  y veremos la versión del IIS de Microsoft, pero debajo encontramos el ‘PHPSESSIONID


Al hacer click secundario, abajo tenemos la opción de ‘Generate tokens

Aquí podremos setear la cantidad, el tipo y el nombre.

Vamos a ‘generar’ y visualizamos los resultados.


Si vamos al icono de la carpetita, podemos incorporar las cookies que tengamos para realizar las pruebas.


Como siempre, cualquier duda o consulta, estamos por aqui.

Regard {~}


Contribución enviada por: {~}
Leer Mas
Este punto que esta considerado el número 9 del Top 10 de OWASP debido a que al realizar la identificación de vulnerabilidades en los componentes es posible lograr desde un escalamiento de privilegios hasta una denegación de servicio según la necesidad este reconocimiento viene a darse comenzando por el CMS, identificación de tecnología de desarrollo y los componentes del servidor.

Por lo tanto con BurpSuite es posible identificar dicha tecnología y valores mencionados con anterioridad para identificarlo nos dirigimos a las cabeceras, de la respuesta que nos brindan como se ve a continuación. 


Identificando el servidor CMS  y demas detalles toca realizar la busqueda manual de las debilidades es cierto que necesitamos revisar cada una pero aqui saltan tus mejores tecnicas y herramientas adicionales para revisar e identificar, por ejemplo.

  • Metasploit.
  • ExploitDB.
  • CVE y NVD.
  • y lo que se te ocurra ;).
Como era de esperarse BurpSuite tiene un nuevo plus por así decirlo respecto a este punto y les hablo de una extensión la cual nos permitirá identificar de manera casi automática las versiones, sin necesidad de realizar la revisión manual para realizar la instalación nos dirigimos a Extender el Bapp Store buscamos Software Version Reporter e Install.


Después de ello ya lo tendrán listo e instalado en BurpSuite para que la extensión trabaje basta que se ponga el escanning en modo pasivo y por su cuenta ira identificando, en el área de reporte respectiva.



Regards,
Snifer
Leer Mas
Snifer@L4b's
Hola a todos este mes fue un mes de locos como se dice despedí a muchas personas, esta semana fue mi cumpleaños un año mas de vida que por cierto fue muy ameno compartir con la familia. 


Domingo 20 de Septiembre - Vinimos con el post numero 20 de la serie de BurpSuite en el cual presentamos un video con el que nos guia como crear nuestras extensiones y automatizar las tareas. 

BurpSuite XX - Wielding BurpSuite quick start your extensions and automation rules


Lunes 21 de Septiembre - La colaboración de {~} nos presento el penúltimo post de Zap el proxy OWASP en el cual nos explico como actualizar la suite ademas de proceder con el uso de los plugins un regalo especial para el cumpleaños ademas de dar las gracias al autor de la herramienta por el comentario que nos hizo llegar por la sección de contacto.


Martes 22 y Miércoles 23 de Septiembre - Estos días el blog estuvo apagado un shutdown total,sin realizar ni mover un dedo lo siento!!! 


Jueves 24 de Septiembre - El jueves vinimos con una entrada relacionada a GAME OVER un entorno vulnerable listo y preparado para jugar con el, nada que envidiar a los demás. 

Live Wargame - GAME OVER (Colección de wargames)



Viernes 25 de Septiembre - Vinimos con la entrada de BurpSuite en el cual explicamos otro punto del TOP 10 Owasp la perdida de funciones en el nivel de acceso, mas que todo fue una breve recopilación de las entradas anteriores y como darle el uso no diria entradas mas bien las bondades de la herramienta ;). 
Sábado 26 de Septiembre - El sábado continuamos con la serie de Burp viendo como realizar un ataque de CSRF con la herramienta y como explotarlo.

                     BurpSuite XXII - Análisis Web OWASP, Cross-Site Request Forgery (CSRF)

Les comento que esta semana terminamos con la serie de Burp ;) y luego veremos por donde nos vamos ya sea por Faraday o bien con Kali para ir aprendiendo mas... 

Regards,
Snifer
Leer Mas
Un CSRF o XSRF no se encuentra en la categoria de un XSS aunque muchas veces es conocido con el segundo acrónimo XSRF, pero se encuentra estandarizado en CSRF por OWASP y MITRE  para comentarles de groso modo y para que se comprenda, es una debilidad que tiene como objetivo el cliente, forzando a que ejecute una tarea sin su consentimiento esta debilidad puede ser desde un simple cierre de sesión hasta el envio de dinero en el caso de darse en alguna aplicación que cumpla con este objetivo. 

BurpSuite nos brinda la opción de identificar esta debilidad para posteriormente explotarla de una manera totalmente automática como recordaran una vez que se ejecuta el escaner ya sea de modo pasivo o activo va identificando las debilidades como se ve a continuación se identifico un CSRF. 


Si identificamos en el panel inferior de las debilidades se tiene el detalle de la debilidad y al lado las pruebas que realiza la herramienta para lograr validar si es un falso positivo o si puede este ser explotado a mayor escala, atentos que esto llega a ser una ayuda y depende de tus propios conocimientos para llevarlo mas allá.


Posterior a la identificación de la debilidad nos dirigimos en donde se encuentra la debilidad por ejemplo si esta en el fichero index.php nos vamos a el y seleccionamos click derecho, engagement Tools y Generate CSRF Poc con el cual generaremos una prueba de concepto que nos permitira realizar el ataque.


Una vez presionado tendremos lo siguiente como se ve se identifico el destino de la petición ademas de generar el código HTML como su nombre lo indica este es solo una prueba de concepto, un atacante llega a realizar un ataque dirigido clonando en su totalidad la aplicación




En la parte inferior contamos con lo siguiente:

1.- En el caso de confundirnos o bien borrar algo que no deberiamos ya sea por error, hasta simplemente dejarlo por defecto tenemos el Regenerate.
2.- Nos brinda la opción de generarlo de forma local es decir en un servidor local http://burp/show/(Valor numérico segun la cantidad de PoC), este es el que veremos.
3.- Como su nombre lo indica realizamos una copia del código generado.
Una vez que se tiene todo listo seleccionamos test in Browser y nos aparecera la ventana como se ve a continuación.









Cuando se ingresa por el navegador se tiene el boton que envia la petición en este ejemplo que esta siendo usado para esta entrada solo realiza un petición de inicio de sesión. 

Muchas veces esto puede llevar a un atacante a corromper una base de datos si permite la creación de usuarios de manera irrestricta aun mas sin contar con las medidas respectivas, para evitar estos ataques.

Espero sea de su agrado esta entrada y nos vemos en la siguiente entrada que abordaremos Componentes con vulnerabilidades difundidas.

Regards,
Snifer
Leer Mas
En este punto lo que nos ayuda bastante es el crawler, ya que con el es posible validar y corroborar accesos o directorios que no deberian de estar disponibles para un usuario sin privilegios, o bien simplemente nos dan acceso a información sensible, como es el caso de la  anterior debilidad en la cual era posible identificar el fichero LOG,  en este punto cedemos el trabajo duro a la herramienta para que posterior a ello realizar la validación de forma manual o desde la misma herramienta con la opción de render.

Manipulación de parametros

La manipulación de parametros actualmente se ve  en muchas aplicaciones, ya sea por las malas practicas o bien por un simple error de desarrollo, porque no vemos un ejemplo de una url que en el mejor de los casos se accederia con otro perfil el valor a ir jugando seria el ultimo user=1 si cambiamos por el 2 se logra acceder.


http://137.0.0.1/system/panel.php?user=1

Acceso irrestricto por el mapa del Sitio

Esta segunda técnica por decirlo así, es gracias al acceso irrestricto de funcionalidades previo reconocimiento del crawler, el cual basta acceder a un fichero por ejemplo el de administración index.php y se logra acceder por la falta de control de acceso que tiene el desarrollador con la aplicación. 

Aqui se puede lanzar el discover como el crawler recordarles que discover llega  a tardar un poco mas, ya que realiza las peticiones por fuerza bruta para ir realizando el reconocimiento de directorios y ficheros.

Otra posible forma de identificar es usando el intruder en base a un listado de directorios comunes, esto se vio en las entradas anteriores.

Como saben se encuentra en proceso el ebook con las entradas en el cual se realizara la implementación de un entorno vulnerable para realizar la prueba cada uno de los puntos. 

Regards,
Snifer
Leer Mas

Hoy estaba poniendo algo de orden en el disco duro y tropecé con esta ISO Live que conjuga, en una sola imagen, varios wargames de los más populares con los que se pueden hacer miles y miles de prácticas y pruebas. 400MB de lo más útiles para nuestro Hacklab.


Al arrancarlo y acceder a su servidor web (Busca configuración DHCP, por lo que no necesitamos credenciales para añadirlo a nuestra red) nos encontramos con dos categorías: "Teach yourself" y "Practice".


Y entre las dos categorías reúnen los siguientes recursos, que no me parecen pocos:


En la categoría "Teach yourself":

  • DAMN VULNERABLE WEB APP
  • WebGoat
  • Ghost
  • Mutillidae
  • Zap-Wave

En la categoría "Practice":

  • Hackademic
  • Vicnum
  • WackoPicko
  • Insecure Web App
  • BodgeIT
  • PuzzleMall
  • WAVSEP

La ISO puede correr en modo Live, podemos instalarla en algún equipo que tengamos o podemos correrla Live en una máquina virtual. Por no sé qué razón (No lo intenté ni me informé al respecto) no es posible instalarlo en una máquina virtual. Al menos eso indican en la página principal.

Son un montón de puzzles muy útiles para probar nuestros scripts, para intentar técnicas de ataque que no solemos usar, para poder ver las huellas que vamos dejando...
Un paraíso para el que quiera empezar a meter las manos en materia.

Como dijo Confucio"Me lo contaron y lo olvidé; lo vi y lo entendí; lo hice y lo aprendí".


Fuente: Underc0de
Autor: Rand0m
Leer Mas


Aprovechando que hace unos días se liberó la versión 2.4.2 de Zap, en ésta entrada veremos la manera de actualizar, además de la instalación y uso de los plugins.

Para actualizar nuestra tool, tenemos que ir a la pestaña ‘Help’ y seleccionar ‘Check for Updates


Se abrirá el ‘Manage Add-ons’ y si no tenemos la última versión, nos aparecerá un mensaje indicándonos que existe una versión más reciente.
Damos click en ‘Download ZAP’ y comenzará la descarga en segundo plano, como lo indica el texto en la parte inferior de la ventana.
Una vez, hecho ésto, levantamos una consola y listamos con ‘ls’ sobre ~
Nos movemos al directorio ‘.ZAP/plugin’ y al listar vemos que ya tenemos la versión nueva.

En caso de no estar el ‘.tar.gz’ con la versión nueva, podemos descargarla directamente del sitio https://github.com/zaproxy/zaproxy/wiki/Downloads o haciendo un ‘wget’.



Cuando lo tengamos, debemos descomprimir el archivo tareado de la siguiente manera.


Y por último movemos toda el directorio de ZAP nuevo para pisar el viejo sobre ‘/usr/share/zaproxy


Iniciamos ZAP para corroborar:


Con la última versión de ZAP, vienen varios add-ons interesantes y varios updates. Para visualizar los plugins debemos ir al ‘Manage add-ons’ como vimos más arriba o simplemente con ‘Ctrl+u’. Si deseamos ver de queé se trata un plugin, basta con hacerle click para que nos muestre más información.


Para el siguiente ejemplo, instalaremos y veremos el funcionamiento de un plugin llamado ‘Call Graph’. Lo seleccionamos y clickleamos en ‘Install Selected


Una vez finalizado, vamos sobre nuestro ya conocido ‘google-grouyere.appspot.com’ y haciendo click secundario ya tendremos la opción del plugin que acabamos de instalar disponible.

Si seleccionamos la opción de ‘All Site’, veremos un diagrama de todos los directorios, subdirectorios y archivos que se ha identificado el scanner.


Los invito a que revisen el resto de los plugins, hay muchísimos muy interesantes como ‘Log File Importer, Browser View, fuzzdb files, Python Scripting’ entre otros.


Para finalizar, quisiera agradecer a Simon Bennetts (@psiinon) y a Cristian Borghello (@SeguInfo) por el agradecimiento y difusión de las cápsulas.


Y un feliz cumple a Jose Moruno (@sniferl4bs)

Regard {~}

Contribución enviada por: {~}
Leer Mas