El documento presenta un análisis sobre la vulnerabilidad de enlaces simbólicos (symlink) en servidores web, utilizando ejemplos y técnicas de hacking. Se discuten los problemas y limitaciones en un sitio WordPress específico, además de estrategias para identificar y comprometer nuevas víctimas mediante la búsqueda invertida de IP. Finalmente, se ofrecen consejos sobre cómo mitigar esta vulnerabilidad a nivel de servidor.

1. Hacking de Servidores

2. Agradecimientos

3. WHO AM I
@alvarodh5

4. Advertencia
El contenido y la información que se expone en esta presentación
son con objetivos demostrativos, no me hago responsable del mal
uso y de los posibles daños ocasionados a terceras personas como
consecuencia de esta información, cada persona es dueño de sus
actos y de seguir su propia ética.

5. Información Inicial

6. ¿Objetivo?

7. Objetivo

8. ¿Problema?

9. Problema Detected!
 Nuestro WordPress a auditar no posee plugins, ni ninguna vulnerabilidad
(sin contar 0days).
 Tampoco tiene ninguna vulnerabilidad a nivel de infraestructura (servidor
FTP, DDBB etc…).
 Destacar que el administrador de la web tiene conocimientos en hacking y
no es viable realizar un ataque dirigido.
 El sitio está alojado en un hosting compartido.

10. Problema Detected!
¿Alguna idea?

11. ¡Habemus Solución!
SYMLINK

12. Empecemos de 0…
 ¿Qué es Symlink?
 ¿Para qué se utiliza?
 Ejemplos

13. ¿Qué es Symlink? ¿Para qué se utiliza?
 Symlink proviene de Symbolic Link (enlace simbólico),que sirve para hacer referencia a
un directorio o fichero que se encuentra en un lugar distinto.
 Modificar el symlink significará reflejarlo en el original, pero, si lo eliminamos, el
auténtico permanecerá intacto. Esto último, no ocurre con el hardlink, eliminándose
ambos.
 En resumen, los enlaces simbólicos indican un acceso a un directorio o fichero que se
encuentra en un lugar diferente (“Acceso Directo”).

14. Ejemplos
ln –s RUTA_ORIGINAL RUTA_SYMLINK

15. El 6 de febrero, un hacker cerró el 20% de la Dark Web, siguiendo esta técnica

16. ¿Qué necesitamos?
NUEVA
VÍCTIMA

17. ¿Para qué?

18. ¿Cómo buscamos la victima?
No nos sirve cualquier objetivo, simplemente hemos aumentado
considerablemente el scope, pero necesitamos una web en su propio
servidor.
Para descubrir nuevos objetivos usaremos Reverse IP LOOKUP que se
encarga de revisar los registros A de los DNS de muchos dominios
(obviamente ya analizados) encontrando webs con las que comparte servidor.
Cabe mencionar, que el servidor debe ser Apache

19. ¿Cómo buscamos la victima?

20. Practice Time!

22. Buscando nueva víctima

23. Buscando nueva víctima

24. Nueva víctima

25. Hacking Time

26. Access Granted!

27. Access Granted!

28. Profundizando I

29. Profundizando II

30. ¿Y ahora…?
 Puesto a que tenemos el contenido del /etc/passwd tenemos las rutas
completas de nuestros “vecinos”, ahora vamos a intentar acceder, pues ya
tenemos acceso a nuestro a una reverse shell.

31. Ya queda menos…

32. Ya queda menos…

33. Symlink Time

34. Symlink Time

35. Symlink Time

36. Symlink Time

37. ¿Demasiados directorios?

38. Opciones

39. Symlink Time
 Opción A  Hay scripts automatizados para dumpear todos los configs
de CMS conocidos sabiendo las rutas (/etc/passwd), puesto a que
sitio es un WordPress, esta opción nos valdría.

40. Symlink Time
 Opción B Buscar en el servidor nuestro sitio y sólo acceder a ese, para
ello, antes debemos sacar el nombre del directorio.

41. Symlink Time

42. Symlink Time

43. TIPS
 En los casos de que de forbidden, puedes subir un .htaccess con las siguientes
instrucciones:
 Options Indexes  Listado de directorios
 FollowSymlinks  Seguir Symlink
 AddType txt .php AddHandler txt .php  Le dice al navegador
como debe tratar el fichero.

44. Defendiéndonos del Symlink
 Esta vulnerabilidad se soluciona deshabilitando la función del servidor:
 FollowSymlink
 Open_BaseDir

45. CTF

46. The End