Categoría: SysAdmin

Nota: llevaba bastante tiempo sin actualizar DiarioLinux.com preparando mis clases y peleándome con un proyecto en el que estoy metido. Así que, entre ayer y hoy me he dedicado a escribir un extenso artículo sobre seguridad informática, exploits, SQL Injection y protección (incluyendo un parche para un exploit recién publicado). Espero que os guste.

No sé si el CMS Mambo sigue existiendo como tal tras el fork que dió origen a Joomla en el 2005. De hecho, si entramos en la web principal de Mambo y pulsamos en «Download Mambo» nos encontramos con este mensaje de error al ser redirigidos a http://mamboxchange.com/frs/?group_id=5:»MamboXchange Could Not Connect to Database:»

En cualquier caso, el exploit al que me voy a referir y que acaba de publicar Milw0rm podría funcionar tranquilamente en una instalación Joomla sin actualizar, dado que afecta al módulo SimpleFAQ 2.11 y este módulo funciona tanto en Mambo como en Joomla. Sólo hay que analizar cómo funciona para hacerlo compatible 🙁 Lógicamente este exploit no debería de tener demasiado impacto dado que SimpleFAQ va ya por la versión 2.40 según la web de sus desarrolladores (aunque la primera corrección SQL Injection que se nombra en el ChangeLog corresponde a esta última versión…) y cualquier administrador que se precie debería de tener actualizado su sistema. Lo que es interesante es el proceso que se sigue para poner en marcha el ataque y las connotaciones que ésto tiene. En concreto, el hecho de que el exploit contenga una sóla línea, que se introduce en la URL del servicio a explotar, puede hacerlo devastador:


http://localhost/mambo/index.php?option=com_simplefaq&task=answer&Itemid=9999&
catid=9999&aid=-1/**/union/**/select/**/0,username,password,
0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0/**/from/**/mos_users/*


El vector de ataque es un SQL Injection típico en dicha versión 2.11 de ese módulo (podría ser que en alguna versión superior también). Cuando se ejecuta con éxito, el servidor nos devuelve una lista de logins y passwords en formato MD5. Un ataque de fuerza bruta o mejor aún, una consulta con suerte a las Rainbow Tables y el password se desvelará ante nuestros ojos.

¿Cómo nos hemos enterado del exploit?
Estoy suscrito a varios feeds RSS con exploits de publicación diaria (sigue leyendo…)

Sigue leyendo Diario de un exploit contra Joomla/Mambo

Un día después del HackIt! 2007 (Euskal Encounter) hacemos balance: excelente concurso, como siempre, por parte de Txipi de capitán general y Hey_Neken de coronel. 13 pruebas de cracking, criptografía e ingenio. Por nuestra parte «sólo» conseguimos llegar hasta la 10 cuando terminó el concurso, pero creemos que es una buena marca, máxime teniendo en cuenta el atasco general que todos los grupos salvo uno tuvimos en la 5ª. El concurso comenzó hacia las 11 de la noche del viernes. La primera prueba, facilita, pero divertida, pues inicialmente no veíamos el truco Javascript 😉 La segunda, crackeo de un md5, rapidito si sabes el procedimiento (al rico arco iris, arco iris…). Con la 3ª , a desempolvar los desensambladores de Java. La 4ª nos hizo descubrir que también existen para Flash. Y llegó el plato fuerte del HackIt, la china en el zapato, la fatídica Roma clásica (un saludo a todos los sufridores colegas de este año 😉 En nuestro caso, llegamos a eso de las 2 ó 3 de la mañana. Era claro que alguna dificultad extra entrañaría una prueba que desde el principio, intuíamos que se trataba de un cifrado César. Sabíamos que dado que en la 5ª se enviaba el primer email a la organización dando cuenta del progreso, no sería tan facil. A las 6 de la mañana ya empezamos a mosquearnos, porque la hoja de cálculo de nuestro gurú Excel (sí, no hay manera de que se pase a OpenOffice) empezaba a echar humo de tantas posibilidades probadas. Los alfabetos los pusimos de adelante hacia atrás, de lado, boca arriba, en latín y hasta en Euskera, pero nada. No había manera. César con todos los desplazamientos, sustituciones, análisis de frecuencia, análisis de distancia entre las letras de posibles palabras, nada. No había manera…. 7 de la mañana del sábado, primeras bajas, desfilamos hacia los sacos de dormir. 11 de la mañana, vuelvo de la ducha y las primeras conversaciones en torno a soluciones alternativas, jeje… cuánto masoca. Alguno no ha podido ni dormir dándole vueltas. Café, café… bendito café. Vamos allá, no podemos clavarnos así en la 5ª. Mediodía y hora de comer. Nothing de nothing. No hay manera. El gurú Excel empieza a cabrearse de verdad. Discusiones internas sobre criptogramas de la roma clásica y posibilidad de cifrar un mensaje sólo con las letras de los números romanos. Más café. Una vuelta por la Euskal para ver si somos los únicos empantanados en el 5º y sin ver ninguna vía de escape tras más de 10 horas con lo mismo. ¡Oh sorpresa! Salvo 1 grupo todos los demás estamos pegándonos con la misma prueba (y algunos con anteriores 😉

Reunión de urgencia con bandera blanca y otros dos grupos. Se pacta una alianza temporal para pasar la 5ª (txipi: perdona nuestros pecados, ha sido por causa mayor X-) … 5 de la tarde . Cuando ya estábamos sacando las cuchillas para cortarnos las venas (alguno quería «hablar» con txipi antes, jejeje…) llegan dos mensajeros de uno de los grupos aliados con cara de o haberse metido un chute o haber pasado la prueba. B . Nos dan alguna pista, pero no nos cuentan el procedimiento, lógico, para poder sacarnos ventaja previamente. 17:30. El Excel vuelve a echar humo. «Comienza por C». «La habéis visto, sólo que no la habéis entendido». … pampi… pamplon…. verbum… est. Aaaargghhhhh…. 18:00, un 4º grupo, del que sólo queda 1 miembro despierto con los ojos ensangrentados nos solicita ayuda. Cuando voy a su puesto se me ilumina la cara: «¡pero si lo tienes delante!» Un bug arrastrado desde la HackIt 2006 que impide darle a intro para probar el texto introducido en el formulario ha hecho que no la diera por válida («hay que pulsar el botón de enviar, no vale darle a intro!»). Más de 14 horas después, conseguimos superar la 5ª prueba. Pequeño rifi-rafe en el el chat. «Elegir otro algoritmo de cifrado sería apócrifo» son las primeras palabras de txipi. Creo que en esos primeros instantes no se daba cuenta del nivel de dificultad extra que entrañaba el alfabeto elegido (mucho más allá del algoritmo usado, que efectivamente era trivial) . Nos llueven los privados en el chat («ha llegado a mis oídos que habéis pasado la 5ª. Ayudadnos o nos suicidamos!!!!!!!!!!!!!!!!!!!!!») Jejeje… angelitos. Unas horas después ayudamos a varios grupos (y conocimos de paso a algunos miembros de la ORG de la NavarParty).

La 6ª resuelta en 15 minutos (gracias al entrenamiento con ELF+UPX+GDB del que ya hablamos en DiarioLinux) . La 7ª nos enfrentó con un .exe, del que salimos airosos en 1 hora con la ayuda de OllyDBG. De la 8ª nos salvó AirCrack, tras varias horas de ataque de todos los colores (diccionario – en castellano,inglés – + brute-force) con WepLab . La 9ª, en mi opinión, una obra maestra, una joya que me encantó: ataque contra unas tramas SIP, oír las pistas del organizador, búsqueda del .zip y crackeo con Advanced Zip Password Recovery (otra joyita de la gente de Elcomsoft).

Y llegamos a la 10 (4 o 5 de la madrugada del sábado al domingo), donde nos volvimos a atascar. ¿Cómo poner un watch a una dirección de memoria con GDB? Cabeceras ELF volatilizadas. Can’t access memory address. Memory address out of bounds. «¿Alguien sabe cómo buscar la dirección de una cadena de texto en GDB?». «¡Bájate el IDA para Linux!». oooppps… pero si es de pago. Probemos con LiDA. Buah! no sabe abrir el ejecutable … «Pues prefiero el GDB»… «Si hubiera un Olly para Linux». O sea: «What I really want is a debugger which is as functional and useable as OllyDbg but for Linux». Y lo encontramos, se llama EDB (Evan’s Debugger), y aunque todavía le queda camino, le da mil vueltas a GDB o a sus interfaces (DDD y compañía). Pero demasiado tarde. ¡Gong! 4 de la tarde del domingo 22 de Julio. Fin de la fiesta. Hasta el año que viene.

Nota: esperaré a que txipi publique las pruebas en su blog para comentarlas. También nos gustaría saber cuál fue la clasificación final. No puedo finalizar este pequeño resumen de la prueba sin enviar de nuevo mis agradecimientos y respetos por el excelente concurso que una vez más ha vuelto a organizar el señor Pablo G. para la HackIt . Esperamos ansiosos, desde ya, la edición del 2008; eso sí, a ser posible, sin pruebas killer nº 5 como la de este año 😉 Greetings for all the hacking teams.