UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

MAESTRIA EN SEGURIDAD INFORMATICA

ANALISIS FORENSE
ING. DEONEL ROBERTO RABANALES CARREDANO

CICLO 2 TRIMESTRE 3 AÑO 2022

PRACTICA 4

GRUPO 2

OSCAR IVAN MAZARIEGOS GARCÍA 1793 15 13875

LUIS ALBERTO ECHEVEVERRIA SANTOS 1793 04 6590
FREDDY JOSE CABRERA PALENCIA 1793 12 5053
OSCAR VENCESLAO RODRIGUEZ MENDEZ 1793 13 7597
JOSE ROMEO PAZ VAZQUEZ 1793 15 5771

RETALHULEU, AGOSTO DE 2022

 INCISO 1

¿Por qué el sitio https://www.hackmageddon.com/ sería un blanco atractivo para

fines Maliciosos.

Porque su contenido es muy gratificante la cual ayuda a muchos hackers, a conocer

sobre ataques y herramientas, también existe una sección de donación de dinero la
cual hace el sitio más interesante e importante, entonces sería un blanco atractivo
para realizar una pagina igual y que las personas se registren a esta haciendo
donaciones no a la pagina original sino a la réplica, que está suplantando su imagen.
INCISO 2

Se instalo foca para realizar una exploración de metadatos del siguiente sitio web
https://www.hackmageddon.com/

Y SE CREO EL PROYECTO

MD5: b3b0a3f9b64eaf910e83253735ed771d

Se procede a explorar los metadatos por medio del buscador Google y Duck
DuckGo con las siguientes extensiones de archivos

MD5: 9bac22b129f1c527b238ec4a9f9bae95
Se exploraron metadatos del sitio de la Univerdidad obteniendo como resultado Se
vulnerabilidades relevantes como archivos con extensión .pdf .xls .docs

MD5: ec7a2e626a833aaf079a31f1ecb3dd69

Procedimos a descargar todos los archivos para examinar que contienen

MD5: 06f6ca5ac1f55e304070078116f6b967
Encontramos varios archivos algunos relevantes como las fichas de inscribcion pdf
con ofertas de trabajos, temarios comunicados, y pensum de carreras entre otros

MD5: 4fffe26a5b7fa0342d9edbe59028e540

Ahora pasamos a extraer la metadata para luego examinar los mismos

MD5: db3ba9137ebfb220b9a05a5c93812582
Con la extracción de Metadatos obtenemos todos los archivos y datos que al final
pueden servir para hacer un ataque a la empresa

MD5: 72188dd8c0e3c729f9735fbd5f9021da

Tenemos datos relevantes como correos electrónicos, nombres de usuarios

Carpetas de archivos, sistema operativo.

Nombres de usuarios

MD5: dcbc9c4aa778382e3620dc99ee0ded7a
Sitios a los que ingresan los usuarios

MD5: d1ba2c97c6a785a609ea1bc471e7f5d2

Al analizar los metadatos podemos ver que encontramos datos muy interesantes
como lo son los SO que utilizan los clientes en la imagen podemos ver que la
mayoría utiliza Windows y una persona utiliza Mac OS

MD5: 5b21fe208d0afb3f4dafd546f629dc45
Software que utilizan

MD5: dd94901cb69e79f2020ad64afb59cc38

Algunos datos importantes son los Correos electrónicos, ya que se podría pensar
por realizar un ataque de tipo pishing y hasta robar credenciales con las cookies
mandando un archivo para el que usuario lo descargue y agrege sus credenciales

MD5: 2c6ad3b305499ab39ff6ad26c40ed7ae
INCISO 3

Se abre Owasp ZAP y se ingresa la url para analizar

MD5: 4d9163adc476d36c90d3dabb1fb78fd7

MD5: ec42e39efda804640cdd5d87a064db97
MD5: bee2dc4cc51e70cc7379e1822090fe45

Se le da generar reporte HTML

MD5: b32e1cccb845c2db5dc75c8afc80ff05
MD5: 95af6b7671f25de7b7181a7af726c59b

Se generó el reporte en HTML

MD5: 84b23025aec9dde253be3d206447395d
Se verifica en el reporte de alertas, el detalle de cada una de ellas

MD5: 2bdaac37e4c382c4d7dfc88afda4a093

Primera alerta

MD5: 56025fb43e51900faacd53aec9621d28
MD5: d8878771c5d99cd9974091d38a879a26

MD5: 65f166097e010556ebc721791abd622a
MD5: d1abe9e9df7aec23f3e1b2f992be556d

MD5: 30ce33cad1f0ea79b50d386760cc5521
SOLUCIÓN revisa el código fuente de esta página. Implementar páginas de error
personalizadas. Considere implementar un mecanismo para proporcionar una
referencia/identificador de error único al cliente (navegador) mientras registra los
detalles en el lado del servidor y no los expone al usuario.

Nota: Esta página contiene un error/mensaje de advertencia que puede revelar

información confidencial como la ubicación del archivo que produjo la excepción
no controlada. Esta información se puede utilizar para lanzar más ataques contra
la aplicación web. La alerta podría ser un falso positivo si el mensaje de error se
encuentra dentro de una página de Documentación

Alerta 2

MD5: f9905e6312c3c5fdb99958e65d0f1d2d
MD5: be930a23d723ac3649f10086be37e82c

MD5: 74d315279c15fbe2b94e4f80094252ef
MD5: 7cae6dedee1f6dce24547001ba088dd8

MD5: a598f72d285b024437e1e2fb924d16eb
Evidencia: Access – Control – Allow – Origin

Solución: Asegúrese que los datos sensibles no están disponibles de manera no

autenticada (usando dirección IP listado blanco, por ejemplo). Configurar el
encabezado HTTP “Access Control-Allow-Origin a un conjunto de dominios más
restrictive, o remover completamente todos los encabezados CORS, para permitir
que el navegador web refuerce la política de mismo origen (SOP) en una manera
mas restrictive.

Nota: Descargas de datos del navegador web podría ser possible, debido a una
desconfiguración del intercambio de recursos cruzados de origen (CORS) en el
servidor web

Alerta 3

MD5: e293a67c5445c54bbf0da2d16088dcc2
MD5: 6dba6390cf8520a7673ff8491fd1bafa

MD5: dee7b5e073cc29f8a522df51281402a2
MD5: 7988d248e33c2a7b6a046055664b600b

MD5: 868cb96583d4a6c90f243c0077e95dc1
MD5: b3dd03fe04f6a2ac196f6955b7e959c0

MD5: 06b74167b86bd371574fb151cf9537b4
MD5: aa1f693963101f09932e2347516c4987

Solución: Frase: Arquitectura y Diseño

Utilice una biblioteca o marco comprobado que no acepte que ocurra esta
debilidad o que proporcione construiones que permitan que esta debilidad sea
mas sencilla de evitar.

Por ejemplo, utilice el paquete anti-CSRG como el CSRGuard de OWASP.

Fase: Implementación

Asegurese de que su aplicación esté libre de fallas de secuencias de commandos

entre sitios, ya que la mayoría de las defensas de CSRF pueden detenerse por
alto por medio del uso de secuencias de commandos manejadas por el atacate.

Fase: Arquitectura y Diseño

Origina un nonce único para cada uno de los formularios, coloque el nonce en el
formulario y confirme la independencia al obtener el formulario. Asegúrese de que
el nonce no sea predecible.

Nota: No se encontraron fichas (tokens) Anti-CSRF en un formulario HTML

Una solicitud falsa entre sitios en un ataque que compromete y obliga a una
víctima a enviar su solicitud HTTP a un destino objetivo sin su conocimiento o
intención para poder realizar una acción como víctima.

INCISO 4

4. Utilizando la herramienta HTTrack Website Copier procedimos a realizar una copia del
sitio https://www.hackmageddon.com/ a traves de dicha copia se analizo el codigo fuente
en busca de vulnerabilidades que puedan ser aprovechadas por los atacantes.

Con el fin de preservar la evidencia, se procedio de primera mano a realizar la copia del
sitio.

MD5: 5ee767caf36a3a7e64b0761362a1a44d
Finalizado el procedimiento a traves de HTTrack Website Copier se procedió al análisis
del código fuente del sitio en busca de datos de interes que ayuden a determinar si el sitio
tiene alguna vulnerabilidad que pueda ser explotada.

MD5: d78fbaf95adb26c3b9607281e7c74363

Según el analisis al codigo fuente del sitio pudo observar que cuenta con
crossorigin=”anonymous” lo cual indica que no habrá intercambio de credenciales de
usuario a través de las cookies.

MD5: 5b6f73e513ca8f27b6170c4fde519d44
Dentro del analisis al codigo fuente del equipo se encontro que hace uso de 2 web

MD5: 8d5c498b3646d17cbac8de2aa0bc003e

services

también se encontraron peticiones por medio API el cual cuenta con el uso de Token para
la validación de autenticación.

<script id='wpp-json'
type="application/json">{"sampling_active":0,"sampling_rate":100,"ajax_url":"https
:\/\/www.hackmageddon.com\/wp-json\/wordpress-popular-posts\/v1\/popular-
posts","api_url":"https:\/\/www.hackmageddon.com\/wp-json\/wordpress-popular-
posts","ID":0,"token":"8d38d4203e","lang":0,"debug":0}</script>
INCISO 5

Se utiliza Maltego para realizar una exploracion al dominio miumg.edu.gt

MD5 09404ed52d89e01c32e51af6dce1dc9b

Como resultado se obtuvieron 5 subdominios y una web lo cual la web se analizó y

relocaliza algunos servidores sobre lo que trabaja este dominio

MD5: 5ab495845aede31c82bf0224a283f782
También se localiza una ip por lo que fue analizada para encontrar algo mas sobre
el dominio

MD5: 89040e679bc7da34724cefff801892cf

A lo que arrojo como resultado un lugar de trabajo un nombre de una persona y

unas ubicaciones a las que se localizó geográficamente obteniendo una dirección
en la ciudad de Guatemala

MD5: b7c7321d68b154f7bf469123d1c69939

En esta imagen se encuentran algunos servidores

INCISO 6

Según el análisis realizado a través de https://web.archive.org/ al dominio

https://www.zaproxy.org/download/ da como resultado que el mismo fue guardado
36 veces en las fechas del 11 de febrero de 2020 al 8 de junio de 2022, se adjunta
la evidencia como respaldo.

MD5: 1ad39a85e9cb2d907bed2319424c120c