Ahora fiene que crear y configurar una maquina virtual para ejecutar BadStore. 1. Iniciando BadStore con VirtualBox Las instrucciones detalladas para instalar una VM con hipervisor tipo 2 estan en el siguiente enlace: htlos://www vitualbox.org/manual/ch0! himi#quicteatevm En resumen: Inicie VirtualBox, haga clic en el icono "Nuevo" para crear una nueva maquina virlual. Asigne un nombre a la VM (BadStore-WebSec-EPN por ejemplo]: especifique el tipo de sistema operative como Linux; y ela Ubuntu de 32 bits. Puede asignar 512 MB (o més] de RAM a su VM y especificar que deberia crear el disco duro virtual ahora Se le preguntara cémo debe almacenarse Ia imagen; Seleccione VDI [VirtualBox isk Image, Esta parte es importante: asegurese de que el botén de seleccién "Asignacién dinémica ~ Dynamically Allocated” esté configurado, de modo que VirtualBox no reserve los 10 GB en su disco duro (valor predeterminado}, sino que lo asigne dinamicamente. De hecho, no se usaré nada de este espacio, por lo que no tiene sentido reservarlo por adelantado; finalmente, termine Io creacién general de la VM. om = ‘cmt nage (06s) SR Se amen: ms ot ——— Bn =o a — ren a ome Ane nBane Di 7) 2 we Dé clic secundario sobre Ia VM creada y seleccione Configuracién. Dts snc Corin 7 crew Genera LH see ee Pane 1 recor we 2 we Una vez ahi, seleccione Almacenamiento y ubicara el ISO de BadStore en donde se indica Controlador Vacio, tal como la imagen siguiente:= Cece ee os Que oe a or si Sonar me Se I ate Seemenoncen || me = 1 racote je I concen Al dar clic en el disco, indique el path del lugar donde descargé el ISO de BadStore. Alhacer ello la maquina tiene ya un disco de arranaue asignado, 2. Arranque del Servidor Web BadStore es una VM que tiene un servicio Web vulnerable. Con el fin de interactuar con dicho servicio desde su maquina huésped, tendra que configurar una red HostOnly para la maquina virtual Los detalles para crear una red solo de host se encuentran en el manual de VirtualBox: https://www.virlualbox,ora/manval/chOé.htmi#nelwork hostonh Primero, debe ira la configuracién de red. Para Linux o Windows, esto estard en "Clic secundario en la VM"-> "Configuracién’ - >"Red’ Para Mac OS, la configuracién se encuentra en "VirtualBox’ -> 'Preferencia: Se le mostraré una lista de posibles redes, incluidas redes NAT, adaptador puente, enire olfos. Seleccione Host-Only Adapter o Adaptador sdlo de anfitrién para el host. Agregaré una entrada con un nombre come vboxnet0, o similar y amanque la YM. (El arrangue en el momento que indica 1000: eth0 NIC Link is Up 1000Mbps Full duplex, demorard un par de minutos hasta que el server DHCP entregue una dir. IP valida a la VM) |B bedsione Wetec FPN Conan > x S wren! Red [Hi sans sede Aagadr2 Majeed — Adar Sy rovate Bir sya ret ieee | Pres Una vez la maquina arrancé sin problema, vera una imagen similar a esta: (B Ainscenanienoee ec eee) Tana ee ey premeieye preeeere reer En caso que no arranque, apague la VM y wuelva a prenderla, Recuerde que el arranque completo demoraré entre 2.4 3 minutos 3. Asignacién de Dir. IP ala VM (Realizar en cada inicio de la VM) La méquina virtual necesita de una direccién IP para brindar el servicio Web. Vetificamos si DHCP logré asignar una direccién a eth0, en caso que no, habré que configurarla manualmente. Ponga el comando ifconfig GBSe puede ver aue no se ha asignadoe ninguna direccién a eth0, por lo que para configurarla debemos usar el siguiente comand: config eth0 192.168.56.110 netmask 255.255.255.0 up [dé enter dos veces para que el comand sea aceptado} Para verificar que todo esta corecto, ponga ifconfig eth0 Desde Ia maquina huésped de la VM deberia hacer ping a la direccién 192,168.56.110 (Cabe decir que al crear la VM, se creé también una NIC virtual con 7 192.168.56.10, Ia misma que es la diteccién que puede verse con ipconfig desde cmd en Windows)4, Cambio del archivo HOSTS en Windows Con el fin de acceder al servicio Web de BadStore en nuestra maquina principal, es necesario ingresar desde un navegador Firefoxta url: www.badstore.net Para que el sistema no busque esa direccién en Intemet, sino se direccione hacia la VM que estd corriendo, hay que modificar el archivo hosts de Windows y aue no use el servicio DNS. El archivo hosts se encuentra en el siguiente path: CAWindows\System32\Drivers\etc = iso | 4 pe connie oe a " 2B Gi ce Bross err cate 2 ecanet 1 eosssom : sc se 1 ema aches ome a a 1 Feros ‘mond 7 ne iawee Pimeee tei © | Bearenete Copie el archivo hosts al escritorio y abralo con Notepad. Una vez abierto incluya la relacion 192.168.56.110 www.badstore.net ino oe ce ten Frat byt fF Copyright (c) 1993-2009 Microsoft Corp. This is @ sample HOSTS File used by Microsoft TCP/IP for Windows. This file contains the mappings of IP addresses to host names. Each entry should be kept on an individual line. The IP address should be placed in the first column followed by the corresponding host name The IP address and the host nane should be separated by at least one Ps Additionally, comments (such as these) may be inserted on individual Lines or following the machine nene denoted by a '#" synbol. For example: 1e2.54.94.97 3825.63.10 * * * * * * * * . . * * rhino.acne.com # source server * xacne.com # x client host localhost nane resolution iz handled within OWS itself. 127.0.0.2, localhost 1 localhost 192,168.56.110 waw.badstore.netGuarde el archive y cépielo al path C:\Windows\System32\Drivers\ete para sobreescribir el anterior archivo. 5. Servicio Web BadStore Al realizar todos los pasos anteriores, esta listo para observar la pagina Web de BadStore en su maquina principal, pagina que se creé para comprar diversos dispositivos (on-line store], Ia cual utiliza SQL para intercambior datos con su base de datos (DB) Abra el navegador Mozilla Firefox en su m&quina huésped e ingrese Ia url: www.badstore.net Vera una pagina similar a Ia siguiente: a r7 = eoce ) ler ast ea ae no a ay Welcome to BadStore.net! 6. Tools de Monitoreo y Andlisis Web Deberd usar varias herramientas para interactuar con BadStore para inspeccionar y modificar el contenido de sus paginas y comunicaciones. Se recomienda algunas herramientas: Herramientas de desarrollador de Firefox Las heramientas para desarrolladores de Firefox le permite inspeccionar y modificar los contenides de una pagina web y sus comunicaciones (desde la pagina Herramientas para Desarrolladores (Developer Tools bttps://developer mozilla org/en-US/dacs/Tools J, haga clic en el elemento de meni DEBUGGING para mostrar las herramientas que le podtian interesar) Las herramientas de desarrollo vienen preinstaladas con versiones recientes de Firefox: solo dirjase al mené Desarrollador web para ver las posibles heramientas. Aqui se enumeran algunas caracteristicas utiles, junto con enlaces a la documentacién relevante.a ms Bone no ooee . Ser] _h Boson tas ts = Migrating from Firebug eres omen a At mu pietrte menausel@ Developer] Migrating from Firebug sntae Frebug i coming tothe end of ts Mespan ste Firebug ves onin Freon] Somer etal of why and we appreciate hat some people wil find migrating to familar set of DevTools tobe chatenging, To ease atranstion ftom Frebug developer tools, we havewektena handy guide — wigrating fom rebue- | cere ea mcr + View Source (Cédigo fuente de lo pagina! Ver fuente. Esta es una caracteristica normal de Firefox. Haga clic derecho en la pagina que esta viendo y luego seleccione "Ver fuente” en el ment que aparece. Se observaré una ventana que ofrece una vista completa de la sintaxis resaltada de la pagina. Esta vista es Util para hacer bisquedas rapidas. Por ejemplo, use Ia Vista para buscar campos de formulario ocultos (aquellos campos con el attibuto hidden’)* Page Inspector (Inspector de Pagina! Puede usar el inspector de pagina pore examinar y modificar Ia estructura de una pagina, Utilice el inspector de origen para buscar paginas de interés y luego use el inspector de paginas para ver cémo los diferentes elementos de origen se correlacionan con lo que se muestra y / © para modificar el contenido de esas paginas (https://developer mozilia.ora/en-US/docs/Tools/Paae Inspector) * Developer Toolbar (Caja de Herramientas del desarrolador|: La barra de herramienias del desarroliador es un mensaje de Ia consola que le permitiré inspeccionar y/o establecer cookies asociadas con la pagina actual, entre otras cosas (htips://developer. mozilla ora/en-US/docs/Tools/GCU) + Network Traffic Inspector (Red Mientras visualize una pagina en el inspector de pagina, puede hacer clic en la pestafia Network para ver el rafico de red enviado o recibido como resultado de Ia interaccién con Ia pagina. Use esto para ver las cookies enviadas / recibidos, encabezades HTP, formatos de solicitud, ete. Otras Utilidades Existen otras utilidades que puede ser necesarias: Y Use esta utilidad en linea para decosificar o codificer baseé4 y otros formatos: hitps://ostermiller.org/colc/encode,html ¥ Utlice esta utiidad en linea para generar hashes criptogréficos, incluidos MDS, SHAI y més: htto://wwwshal-online,com/ 7. Explotando Ia vulnerabilidad - Actividades a desarrollar Realice exploits a la pagina Web de BadStore para encontrar respuestas a las siguientes preguntas (Incluya impresiones de pantalla de las herramientas usadas para comprobar la ejecucién correcta de la actividad) Una de las paginas de BadStore tiene un campo de formulario oculto (hidden) que establece el nivel de privilegio de un nuevo usuario. gCudl es el nombre de este campo? 4 2Cudntos articulos hay en a base de datos de BadStore? Use Inyeccién SQL en el campo de formulario de busqueda rdpida [quick search form field) para averiguarlo. 2QUE operaciones pueden hacer los proveedores una vez que han iniciado sesién en el drea de "solo proveedores - Suppliers Only"? Use Ia inyeccién SQL para eludir la autenticacién o encuentre una forma de crear una cuenta como proveedor. Inicie sesién como joe@supplier.com —- esto es posible en una variedad de formas, incluyendo inyeccién SQL. Luego mire sus pedidos anteriores y fesponda Ia pregunta: gQué nimero de tarjeta de crédito us6 para hacer una compra de $ 46.95? Varias resouestas son posibles. Obtenga privilegios de administrador (admin) y Uselos para ver Ia base de datos de usuarios. Hay dos usuarios cuyos coreos electrénices tienen el © *formato XXx@whole.biz; sQué representa la porcién XXX de cualaviera de los dos usuarios? Por ejemplo, si uno de los usuarios es jackie@whole..biz, la respuesta correcta es jackie. (La respuesta es sensible a maydsculas y mindsculas} BadStore utiliza cookies para implementar una clave de sesién, una vez que se haya autenticado y para rastrear el contenido del carrito de compras una vez que haya agregado algo. Puede averiguar las cookies en uso por BadStore de varias maneras, Una forma es hacer un ataque XS§ en el ibro de. visitas (guest book). Obtenga ¢! libro de visitas para ejecutar el cédigo con el cual obtenaré las cookies actuales. (Asegtrese de tener ventanas emergentes habiitadas en su navegader 0 esto no funcionard). Altemativamente, puede examinar las cookies directamente usando las herramientas de desarrollador de Firefox. Recuerde que las cookies son pares de key=value. ¢Cusl es Ia clave de la cookie de sesion? 2Cudl @s Ia clave de Ia cookie utilzada por el carrito de compras on-line? El formato de cookie de sesién de BadStore esté mal disefiado porque usa una estructura predecible. En parficular, es una cadena codificada (con una nueva [inea codificada en URL al final) de la forma XXX: YYY: ZZZ: U. sCudles son las porciones XXX, YYY y ZZZ de esta cadena? La cookie de carrito de BadStore también es una cadena codificada con una estructura predecible XXX:YYY:... elc., y probablemente contenga informacién que no deberia contener. 2@ué campo de la cadena decodificada podria un atacante cambiar para darse un descuento en el precio de un articulo? * oe Consejos y Sugerencias Y El manuol de BadStore contiene muchos consejos sobre cémo aprovechar las vulnerabiidades de este sistema. ¥ Recuerde que los comentarios de MySQL son dos guiones seguidos de un espacio (no solo dos guiones) ¥ BadStore genera HTML dindmico usando CGI. Por ejemplo, Ia URL httos://www.badstore.net/cai-bin/badstore.caizaction=whatsnew presenta una pagina de "Novedades - What's new" en BadStore, mientras que Ia URL hilosi//www.badstore.net/cai-bin/badstore.caizaction=viewprevious genera una pagina que muestra las cuentas anteriores. La Gnica diferencia entre estos es Io que hay en el pardmetro de accién. Pruebe los parametros hechos a mano en las diversas URL CGI, por ejemplo: ?action=test y 2action=admin ¥ Hacer un pedido en la tienda deberia funcionar simplemente haciendo clic en “Agregar al carro - Add fo Cart" desde Ia pagina "sQué hay de nuevo? — What's new’. Pero esto no funciona si liega a la pagina a través de https en lugar de http; parece que Firefox bloquea el javascript que actualiza el carito. Cuando vaya al area de “Acceso de Proveedor - Supplier Login’, lo cambiard a https y luego seguiré siendo asi. Puede volver a hitp simplemente cambiando la URL manualmente. Y Algunas de las preguntas requieren que obtenga privilegios de administrador. Puede obtener privilegios de administrador de varias maneras, incluida inyeceién SQL (si puede adivinar la ID de usuario del administrador), suplantando la cookie (segin Ia estructura que recopile) 0 creando un usuario con derechos administratives (utlizando la pagina con el formulariode campo oculto Hidden}. Mientras que los usuarios normales tienen roles U. los administradores tienen él rol A. Visite htlo://www,badstore,net/cai-binfinitdbs.cai para restablecer los directorios y las bases de datos. Esto es mds facil que reiniciar BadStore, si quiere un nuevo comienzo. Sin embargo, no restablece sus cookies.