Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 3 Web Sesion2

    Cargado por

    carlos sanchez
    15 vistas36 páginas
    El documento describe varias vulnerabilidades relacionadas con la explotación de servicios web, incluyendo SSRF, XXE, XSS, inyección de comandos, LFI y traversal de ruta. Explica cómo un atacante podría leer archivos de sistema o ejecutar comandos a través de estas vulnerabilidades.

    Descripción original:

    Título original

    3_web_sesion2

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento describe varias vulnerabilidades relacionadas con la explotación de servicios web, incluyendo SSRF, XXE, XSS, inyección de comandos, LFI y traversal de ruta. Explica cómo un atacante podría leer archivos de sistema o ejecutar comandos a través de estas vulnerabilidades.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    15 vistas36 páginas

    3 Web Sesion2

    Cargado por

    carlos sanchez
    El documento describe varias vulnerabilidades relacionadas con la explotación de servicios web, incluyendo SSRF, XXE, XSS, inyección de comandos, LFI y traversal de ruta. Explica cómo un atacante podría leer archivos de sistema o ejecutar comandos a través de estas vulnerabilidades.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 36

    III.

    Explotación de servicios web (II)


    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos
    Índice
    1. ¿Qué estoy haciendo?
    2. SSRF
    3. XXE
    2

    4. XSS y HTML Injection


    5. Command injection
    6. LFI y Path Traversal
    7. La BIBLIA otra vez

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    ¿QUÉ ESTOY HACIENDO?
    ¿Qué puedo hacer?

    RREAD
    W WRITE
    X
    EXECUTE
    4

    • Cookie de alguien • Valor de la base de datos • Comandos en el sistema


    • Código fuente de alguna página • Fichero de configuración • Ciertas funciones de algunas
    • Valor de la base de datos aplicaciones
    • Fichero /flag
    • Fichero /etc/passwd
    • Fichero /home/user/.ssh/id_rsa

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    ¿Quién soy?

    • www-data
    • juanito
    • root
    5
    • admin

    ¿Qué permisos tiene juanito?


    ¿Y www-data?
    ¿Y si soy root y no lo sabía?

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    SSRF:
    Server Side Request Forgery
    ¿En qué consiste?

    Ejemplo: FancyDevs, BitUp 2021

    Fuente: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/server-side-request-forgery-takes-advantage-vulnerable-app-servers/
    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos
    ¿En qué consiste?
    El servidor hace una petición HTTP a nuestra URL

    Ejemplo: FancyDevs, BitUp 2021


    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos
    ¿En qué consiste?
    El servidor hace una petición HTTP a nuestra URL

    Ejemplo: FancyDevs, BitUp 2021

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    URL: Uniform Resource Locator
    Todos sabemos que es una URL de forma intuitiva, ¿pero qué formato siguen?

    Fuente imagen: https://developer.mozilla.org/en-US/docs/Learn/Common_questions/What_is_a_URL

    Ejemplos: 10
    Partes más comunes:

    • Scheme (protocolo) • https://google.es/search?q=como+ganar+dinero

    • Authority (userinfo@host:port) • ftp://ftp.funet.fi/pub/doc/rfc/rfc1738.txt

    • Path: ruta al recurso • file:///etc/passwd

    • Parameters: pares clave-valor • gopher://172.0.0.1:6379/_%2A3%0D

    • mailto:raul.martin@urjc.es?subject=Que+aula+es

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Lectura arbitraria de ficheros

    11

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Conectándonos a servicios privados

    Detrás de la página web


    suelen existir otros
    servicios a los que no
    solemos poder acceder
    directamente: 12

    • Bases de datos
    • Endpoints de
    configuración
    • …

    Fuente imagen: https://portswigger.net/web-security/images/server-side%20request%20forgery.svg

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Conectándonos a servicios privados

    Protocolo Gopher:
    Nos permite
    establecer
    conexiones TCP en
    cualquier puerto 13

    Ejemplos de servicios que


    podrían existir:
    • Redis
    • MySQL
    • PostgreSQL
    • Etc.

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    XXE:
    Xml eXternal Entity
    Xml eXternal Entity

    Es una vulnerabilidad que ocurre cuando un parser de XML acepta


    entidades externas. Un atacante puede intervenir su contenido para leer
    archivos del file system o efectuar ataques como un SSRF, entre otros.

    15

    Fuente imagen: https://www.cronup.com/que-son-y-como-prevenir-los-ataques-xxe/

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Xml eXternal Entity

    16

    LAB: https://portswigger.net/web-security/xxe/lab-exploiting-xxe-to-perform-ssrf

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    XSS y HTML INJECTION
    ¿En qué consiste?

    paco

    18

    Reto propuesto: https://xss-game.appspot.com/level1


    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos
    ¿En qué consiste?
    Insertamos contenido adicional

    19

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    ¿En qué consiste?
    Cuando podemos ejecutar código Javascript,
    hablamos de XSS (Cross Site Scripting)
    paco<img src/onerror=alert()>
    20

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    COMMAND INJECTION
    ¿Qué es?

    • Vulnerabilidad web que permite al atacante ejecutar comandos en


    el sistema

    • Si podemos ejecutar (X) ➜ posiblemente podamos leer y escribir


    22
    • Hay que saber manejarse con los comandos (bash o powershell).
    Sorry not sorry

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    B**ch please

    23

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    B**ch please

    Petará → No hay ningún archivo


    llamado “medaigual; rm –rf /” 24

    Espero que tengas Backups…

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Ejemplos para listar un directorio

    pepe; ls
    pepe | ls
    pepe || ls 25

    pepe && ls
    $(ls)
    `ls`

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    LOCAL FILE INCLUSION Y
    PATH TRAVERSAL
    Creamos archivo vulnerable

    http://localhost:80 → para
    ver si Apache está corriendo
    correctamente (en mi caso
    es la IP del servidor)
    27

    Creamos un fichero
    de ejemplo para
    ilustrar la
    vulnerabilidad

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Picamos un poco de código
    $filename va a ser la
    variable que introduzcamos
    para visualizar un archivo

    La función include es la más


    clásica para poder realizar LFI 28
    (en este caso se mostraría el
    archivo de $filename

    Lo que se establecería como


    $filename sería a lo que
    igualemos ?file

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Mostramos la función de include

    Creamos el archivo en la ruta


    de Apache y probamos a
    visualizarlo
    29

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    ¿Qué podríamos mostrar que nos interese?
    Como atacantes nos puede interesar el fichero
    /etc/passwd. Si queremos verlo de mejor forma se
    puede hacer uso de ctrl+u

    30

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Contramedidas puestas por el desarrollador
    El desarrollador establece que solo
    se pueda acceder a los archivos
    dentro de /var/www/html. Podemos
    seguir visualizando el
    fichero visualizar.txt, pero no
    /etc/passwd
    31

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    Directory Path Traversal

    cat → Comando para visualizar un


    archivo
    ../ → Directorio anterior

    cat + ../ (6 veces) → Para poder


    mostrar el fichero /etc/passwd 32

    Imitamos este comportamiento


    en la página web de tal manera
    que ahora sí se puede
    visualizar /etc/passwd

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    ¿Donde suelen estar las flags?
    Normalmente si estamos ante un LFI, lo que se suele buscar son las
    claves privadas de ssh poder acceder a la máquina sin proporcionar
    contraseña.
    Ruta ~/.ssh

    33

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    LA BIBLIA OTRA VEZ
    Con todos ustedes...
    LA BIBLIA

    35

    swisskyrepo/PayloadsAllTheThings: A list of useful payloads and


    bypass for Web Application Security and Pentest/CTF (github.com)

    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos


    III. Explotación de servicios web (II)
    Alejandro Cruz, Raúl Martín, Andrea Oliva y Rubén Santos

    También podría gustarte