miércoles, 23 de marzo de 2016

Institutos que no se preocupan por la seguridad |Parte 10| La UCO

*********************************************************************************
Trinitarios NO se preocupe-lo que encontré en 5 minutos-
Instituto Blas Infante Tampoco se preocupa
Maristas no se preocupa tanto como parece
Góngora no es muy seguro tampoco
Lope de Vega de los más seguros pero aún así inseguro
Salesianos no quiere mucha seguridad
Trinitarios ha sido hackeado por el "diablo"
En Londres muestran el nombre de sus profesores
Las fugas de Información de la Universidad de Valencia
La Universidad de Córdoba despide esta Temporada con unos cuantos fallos
*********************************************************************************


Con este artículo, el décimo, pongo fin a la primera temporada de Institutos que no se preocupan por la seguridad, y es que todo tiene su final, y hoy, con esta entrada, paro en el camino, en lo que dura un cigarrito-como dirían los Plateros-, así que voy a tomar una bocanada de aire para escribir este último artículo sobre los Institutos...por ahora.

Como bien todos sabéis, he redactado esta serie de artículos para hacer ver, si me leen, a los Institutos, que también deben tener en cuenta la seguridad en sus proyectos educativos, ya que a día de hoy, es una cosa bien importante en la vida de cada persona que estén conectada a este mundo cada vez más y más globalizado y que muchos de sus datos, pasan por esas redes que si no están bien fortificadas, supondría perder parte de tu vida, perder parte de ti.

Así que lo primero era mirar si la Universidad de Córdoba, víctima de hoy, tenía algún lugar en que se diesen de alta y que vaya bajo HTTP, para eso siempre es mejor consultar los robots para ver qué es lo que "no quieren que se vea" pero que se acaba viendo.


Así que efectivamente, tienen una zona de login y que va en HTTP, con lo que si un profesor se conecta desde la red wifi de la universidad y desde la cafetería, un alumno solamente tendría que conectarse a la misma red y analizar el tráfico de red para encontrar el post del login y robar su usuario y contraseña.


Así de sencillo sería, además, si os fijáis donde os he resaltado lo de max-age, veis que es igual a 0, ya que no usa HSTS y no tendríamos que hacer uso del Delorean o explotar un reloj atómico en base a la fórmula de Albert Einstein para romper la seguridad. Así de sencillo.

Posteriormente, lo siguiente es buscar la fuga de información a través de los metadatos en los documentos ofimáticos, y como era de esperar, la parte de limpiar los documentos, se la saltan.

Y vemos que nos aparecen 2 mails, bastante útil para lanzar un Phishing pidiendo que restablezca la contraseña en cualquiera de las muchas redes sociales que hay, o directamente que la restablezca en el sitio de login de su universidad.

O sino, también podemos simplemente seguir usando la FOCA y encontrar un porrón y medio de usuarios que podríamos probar.


Y si la seguimos usando, podemos encontrar unos Insecure Methods en la web de la Universidad de Córdoba, más en concreto métodos TRACE, bastante útil por si queremos hacer un Cross Site Tracing.



Ya hemos calentado, ahora toca ver si podemos seguir haciendo algún roto más gordo a la Universidad de Córdoba, así que mejor buscamos si ya la han roto con el truco de la viagra .


Una vez que ya hemos visto que a la UCO le están haciendo Cloacking, podríamos apuntar nuestro ataques ahí y hacer otra gran diversidad de ataques, pero aquí voy a comentar solamente los fallos más básicos que he encontrado, y los más gordos, me los he callado y los he unido el informe que he pasado a todos los institutos pero que ninguno a llegado a contestar y mucho menos, corregir.

Ahora tendríamos que pasar a jugar con los Juicy files que tanto me entretienen últimamente, y jugando siempre ocurren cosas, en este caso, que te encuentras un archivo .ica, que corresponde a un escritorio remoto usando Citrix, con lo que nos lo debemos descargar y ver cómo nos dejan el acceso sin introducir usuario ni contraseña.


Poco a poco vamos subiendo el nivel, así que ahora nos toca jugar con los códigos de error, pero como no me mostró mucho, simulé realizar un ataque de LFI a la web de la Universidad de Córdoba.


Hasta aquí, tenemos esto sin modificar, pero vamos a inyectar algo como ./



Sería ir inyectando comandos hasta que nos mande a la clase padre y desde ahí, podamos hacer otras mil posibilidades de ataque. Esto lo he probado después también en el Instituto Blas Infante y tienen el mismo fallo de seguridad, no sé por qué no me sorprende que ellos tengan aún más fallos, desde luego, como funcionan todos los que están allí.

Pero como jugar es gratis, vamos a seguir jugando y enredando con lo que nos salga, y un resultado que me chocó bastante en un primer momento, fue encontrarme un archivo index.php y que debía descargarme, pero después vi otro, y otro, y otro, y bueno, me los descargué para ver si se podría atacar a la conexión sql, y me encontré analizando el código con Notepad++ cosas muy interesantes y que os dejo en las dos siguientes capturas.



Y con esto, doy por terminado este artículo y esta primera temporada de Institutos que no se preocupan por la Seguridad, no sé cuándo volveré a subir algo sobre más Institutos, pero si algo habéis podido aprender de esta serie de 10 artículos, es que debéis preocuparos por la seguridad sí o sí, es necesario y más cuando tienes datos de más gente, por favor, preocuparos por la seguridad.



Hasta La Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...