Yuzi download: Hacking web Camuflaje

Friday, December 16, 2016

Hacking web Camuflaje

¡Buenas de nuevo! Esta semana estoy pasando el rato con aplicaciones web. La idea, es poder ejecutar una sentencia SQL, -utilizando un método de inyección-, pero en el registro, no quede constancía de nuestra dirección ip. Ocultarnos utilizando múltiples servicios. Aquí pongo algunos que se me han ocurrido, en los comentarios, puedes dejar tu aportación.
La idea reside, queremos revisar un volcado de una base de datos, o quizá insertar un nuevo usuario administrador. Bueno, ya puedes imaginar por donde van los tiros. Para ello, podemos bien introducir la url en nuestro programa favorito, navegador, etc. O quizá… dejar que sea otro el que haga la operación por nosotros

El 31 de octubre, en el blog de Chema Alonso, se publicaba la siguiente información: Post. La gracia reside, en que fallos de este tipo existen en múltiples sitios. Pero si utilizamos una herramienta, o decidimos visitar la url, en el log de registro ¡Tacatá! Queda bien visible nuestra dirección ip.
Para comprobar si saldría nuestra dirección, o la del sistema que utilizamos a modo proxy, he utilizado este código PHP:

<?php
$borrar = $_GET["borrar"];
if ($borrar == "")
{
 $borrar = "Vacio";
}else{
 echo "¡Bien! ¡Me borraste la base de datos!<br><br>";
 echo $_SERVER[REMOTE_ADDR];
}
$fp = fopen("Registro.txt","a"); 
 fwrite($fp, $_SERVER[REMOTE_ADDR] . - . $borrar ." ");
fclose($fp); 
?>

El código es muy muy simplón. Recibe desde la variable “Borrar”, la información. Si está vacio, es decir la página en cuestión que utilizamos a modo “proxy”, elimina la “parte peligrosa”, nos muestra el campo como vacio. En cambio, si nos deja entrar hasta la cocina. Nos registra en el fichero, el texto recibido por la variable, y la dirección IP, para asegurar que nos deja hacer de proxy.
¡Ahora la parte divertida! ¡Las pruebas! (Y no son las 7 pruebas de Asterix)
La primera, “demostrando inteligencia“. Te dejo adivinar el motivo por el que no funciona. Me hizo gracia, y le plante la captura. No se puede ir con prisas.

Ahora sí, utilizando google translate:

Goo.gl (El acortador de url)

VirusTotal (La zona de análisis web)

Algunos de estos sitios, goo.gl, translate, muestran el resultado del “ataque”, en la propia pantalla, por lo que podremos saber de inmediato si ha funcionado. Tras todas estas pruebas, así es como me ha quedado el log. (Creo que virustotal, comprueba la página en google)

Como siempre, para continuar escondiendo la dirección ip origen de esta petición, se podría utilizar la red tor.

¿Y a tí, que sitios se te ocurren?

Update:
-Si te interesa a forma de anexo, y pruebas recomendables sobre variables de entorno y demás: RTM Essential 5. Página 22. “Anonymous caso práctico”. Extraído del blog: www.dragonjar.org

La contraseña es: www.dragonjar.org

via Mi equipo está loco

Available link for download