Como meter un exploit en una web con ingenio

No, no es una lección de defacements, ni como crear un fichero en una ruta del servidor utilizando técnicas de SQL Injection o un Shell colada por LFI o RFI. Este artículo sólo es para contaros una historia de un asistente en la Black Hat USA 2010 Arsenal y cómo él utilizaba la FOCA.
Allí, mientras estaba enseñando la FOCA a los visitantes que se acercaban a ver como funcionaba, uno de ellos me dijo que la usaba y que le gustaba mucho, que era un "FOCA Lover".
Mientras yo explicaba las funciones y lo que se podía hacer con FOCA, él escuchaba atento, hasta que un momento se arrancó y nos comentó una forma más sencilla de utilizarla. Su idea era bastante imaginativa.

"Si conoces quién edita un documento, es decir, el autor del mismo, y conoces quien lo publica en la web, es decir, el webmaster, entonces sólo tienes que modificar el documento publicado, supongamos un PDF, y meter un exploit. Después, enviar un e-mail al webmaster suplantando al autor y solicitando que actualice el documento, que había una errata en la versión anterior. Con FOCA puedes averigura fácilmente quiénes son los autores de los documentos y luego buscar en la própia página web al webmaster."
Esta idea es curiosa, y nos comentó que lo usaban para colarse en los equipos en las intranets por medio de reverse shells en procesos de pentesting para descubrir si el proceso de publicación de documentos en la web estaba fortificado. Hay que reconocerles el ingenio.
Yo he ido a ver por ahí esos sitios que tienen publicados en sus webs ficheros tomados de otras y ver si costaría mucho construir un ataque así. Por ejemplo, en esta web se puede ver que están publicando un manual de Guadalinex que puede ser descargado desde la URL de publicación original o del propio repositorio que tiene esta web.

BD

Éste es un sitio perfecto para hacer el ataque ya que hay una desconexión entre el documento original, el autor, el documento que ellos publican y el webmaster.
Si miramos los metadatos del documento, se puede ver quién es el autor del mismo.

Con estos datos habría que crear una historia y montar un correo diciendo algo como lo que siguiente:
"Hola, soy XXXX, el autor del documento que estáis publicando en esta URL… Hemos actualizado el documento porque el que estáis publicando contiene un par de erratas gordas. Os paso el documento para que por favor actualicéis el fichero en vuestro servidor.
Un saludo cordial…."

¿Funcionará el engaño? Quién sabe… no vamos a ser tan malos de probarlo si no es en un pentesting contratado, pero os aseguro que lo probaremos allí. Imaginación al poder.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s