domingo, 30 de marzo de 2014

Averiguar el nombre interno del servidor IIS usando una carpeta protegida con NTLM generando un error 401

La gracia de averiguar el nombre interno del servidor SQL Server mediante una cadena de conexión con autenticación integrada se puede replicar con cualquier servicio Microsoft Windows que haga uso de NTLM Session, ya que es el funcionamiento por defecto. De hecho, esto es algo que ya habíamos visto en alguna auditoría de seguridad web cuando te encuentras con un servidor Microsoft Internet Information Services en el que se ha protegido una carpeta con NTLM.


En ese caso, cuando te conectas al recurso compartido con NTLM, sin conocer las credenciales, puedes ver como en el paquete de respuesta con el error 401 llega un parámetro www-authenticate con un valor codificado en Base64.


Es suficiente con decodificar ese valor, con cualquier decoder, en este caso el que viene integrado directamente con Burp, y obtener la cabecera del protocolo NTLM Session donde se puede leer el nombre interno del servidor en el que está corriendo el Internet Information Services.



En este caso, como se pude ver, el nombre del servidor donde hicimos las pruebas comienza por O. Un sencillo truco que en una auditoría de seguridad te puede dar algo más de información y, a la postre, ser crucial para conseguir o no el éxito en la intrusión, así que, si puedes, evita este tipo de protecciones por carpetas en servidores Microsoft IIS.

Autor: Chema Alonso en http://www.elladodelmal.com/

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...