Al explotar una vulnerabilidad webapp llega y se presenta un problema: Los privilegios. Así cómo nosotros sabemos que al hacer pentesting quizá necesitemos rootear, en algunas ocasiones. Sucede lo mismo cuando uno está con webapps. Lo interesante aparece cuando estamos explotando un Remote Command Execution en una Webapp, primeramente tiene bastante nivel algún RCE, peculiarmente en los paneles de control, por ello he hecho un escenario fingido de un ataque RCE y luego la elevación de privilegios.
Kernel Exploits
Cómo ya mencioné en mi antiguo topic es poco divertido explotar el kernel, simplemente averiguamos el kernel, buscamos un exploit y listo. Tomando en cuenta que
- No tenemos tiempo de codificar un exploit
- Ni mucho menos de encontrar una vuln. en el Kernel
- Y/o nuestros conocimientos son limitados
App Exploits
Estos son muy frecuentes en los sistemas, cómo ya mencioné en mi topic anterior platicamos sobre una explotación a nivel software de algún Heap Overflow en el sistema que nos permitía escribir en el fichero /etc/passwd pero esto es poco peculiar aunque... en fin.
HTTP Tunneling
Interesante tema Donny (Sí ese es mi "nombre real"), pero ¿cómo? El HTTP Tunneling no es nada más ni nada menos que la hacer un túnel HTTP para que pasen encapsulados los paquetes TCP. En pocas palabras utilizamos la conexión HTTP para otros fines. Esto nos lo facilita reDuh, pero también podríamos pogramar una herramienta nosotros mismos. Nos apoyaremos con solo la teoría; esta es un poco más sencilla.
Existe una conexión HTTP entre la víctima y el atacante, pero este vivo consigue subir un servidor al servidor (httpshell en jsp/asp/php) así con el cliente nos conectamos ya que el servidor está en la escucha y empezamos con nuestras cosas.
Safe-Mode & Webshells
Siempre tengo la costumbre de meterme 3 churros antes de escribir un topic, claro, para divagar. Pero es impredecible mencionar las webshells y el safe_mode. Está claro que con un LFI podemos subir una webshell, y aquí es donde yo meto mi magia y hago una escenario bastante básico:
Aquí está el fichero rce.php, más o menos así son las webshells, pero algo muy curioso es el "Safe-Mode", esto significa que está en modo seguro o no, el safe-mode OFF nos ayuda a podernos saltar de directorios y hacer nuestro desmadre.
DLL injection
La DLL injection es una práctica muy divertida y emocionante que podemos emplear tanto en los sistemas linux y los sistemas windows, me parece que casi nadie la utiliza, ya está claro que es por algo: Pocas aplicaciones se exponen tan fácilmente. Consta en inyectar una DLL por medio de una vulnerabilidad de requerimiento de DLL's (En Linux llamadas Shared Object) que nos permite inyectar una DLL porque primero el programa se basa en una búsqueda directa de DLL's, la vulnerabilidad consta en que primero se busque en el directorio desde el que ejecutas el programa y después los paths determinados y/o declarados.
La explotación de este mismo es sencilla, simplemente hacemos esto
# /etc/directory/vuln.sh
Barroqo, aun no has conseguido discenir tus propias sádicas intenciones
# cd /tmp/.Barroqo/
# /etc/directory/vuln.sh
PWNED
Y así logramos una inyección exitosa, propio para el rooteo jeje.
Inyectando Backdoors en los procesos
Este es el último método que voy a publicar, consiste en la inyección de backdoors en los procesos, una eficaz herramienta es cymothoa la cual nos trae Backtrack 5 quizá la versión 4 también. Es bastante simple, no me gusta explicar como utilizar un programa así que nos vemos.
No hay comentarios:
Publicar un comentario