sábado, 30 de junio de 2018

Y finalmente, la web de la UCO no aguantó

Hace ya unas semanas comenté que las notas de Selectividad en Córdoba iban a salir y que su web posiblemente no lo aguantase.Pues llegó el día 21 de junio, las notas salían a partir de las 12:00 horas. Yo no tenía que mirar nada ya que yo ya hice Selectividad, pero quería ver si aguantaban la carga de trabajo que les iba a suponer tener que recibir más de 4000 alumnos y alumnas accediendo casi a la vez. Concretamente, y según datos de la propia Universidad de Córdoba, se han matriculado para esta prueba 4122 estudiantes.



Recuerdo que los días previos eran de mucha emoción, se acercaba el día y yo ya quedé con algunos amigos para ver cómo se caía la web de la Universidad de Córdoba. 


Yo estaba seguro que no aguantaba ni 10 minutos la web una vez que fuesen más de las 12:00.


Nosotros éramos unos capullos y cuando quedaban 10 segundos, hicimos la cuenta atrás. Yo conocía a una persona que se había matriculado este año y le pedí los datos de acceso para poder entrar yo también y ver cuándo se caía.


Una vez que pasaron los 10 segundos, en la derecha te salía un formulario para introducir tus datos. Una vez que pasaron de las 12, uno de mis amigos pusieron un crono para ver cuánto tiempo tardaba en caerse la web de la Universidad.


Esperé 05:46 minutos, entré con los datos del conocido que he dicho y...¡ya no funcionaba la web de la Universidad! Por si me equivoqué en los datos, los escribé en un archivo de texto y los copie y pegué, pero nada, la web de la Universidad no permitía acceder a tu consulta. Lo más seguro es que la Base de datos haya sido la que cayó.


Cuando la web de la Universidad no respondía, nos levantamos y lo celebramos como si hubiese sido un gol de final de Champions o del Mundial. Pero podría ser que nosotros estuviésemos equivocados, así que sacamos el VAR y comprobamos que a otrxs usuarixs también les pasaba lo mismo. No había duda, la web se cayó en algo más de 5 minutos. No llegó ni a 10 minutos.


La Universidad de Cádiz sí hizo las cosas mejor, ya que ellos aplicaron una solución que yo di-no sé si la publiqué aquí en el blog, pero dar la di-. La solución consiste en que algunas personas vayan a un servidor y otras a otro para así dividir la carga de trabajo. Es cierto que dependes del azar, yo hubiese puesto más opciones, pero esta solución ya es algo mejor.

Yo aposté que la web de la UCO no aguantaría ni 10 minutos dando servicio y así fue. No era difícil de adivinar y eso que yo no he tenido acceso al servidor de la Universidad, pero por su compartimiento, más o menos me olía lo que podía pasar. En el post de mañana, casi con total seguridad os escirba sobre qué ha podido ocurrir con la web de la Universidad y el por qué de que no aguante a más de 4000 usuarios.

¿Hackeamos el Mundo?

viernes, 29 de junio de 2018

Cómo empezar en seguridad

Esta es una pregunta que se me suele hacer con relativa frecuencia. La suelo responder siempre, pero muchas veces no tengo tiempo para contestar a todas las personas que me escriben, por lo que he decidido escribir un post donde me explique.



Lo primero es saber que la seguridad informática no es sacar contraseñas o entrar a sistemas. La seguridad informática es investigar, practicar y diseñar. Esto ya nos hace ver que la formación para gente que quiere dedicarse a seguridad informática sea algo constante.

El camino hacia la seguridad es algo que le toca recorrer a cada uno por su cuenta mayoritariamente. Esto normalmente ocurre porque incluso en centros donde se enseña seguridad, no saben de seguridad. Otras veces lo que ocurre es que a lo mejor solamente le dedican un año, y en un año académico no basta.

Yo lo que recomiendo es aprender informática en general primero. Aprender de redes, de bases de datos, de sistemas,etc. y después ir mirando qué cosas se pueden ir haciendo para mejorar la seguridad.

El siguiente paso es leer mucho. Compra libros y hazte una lista de blogs donde hablen de seguridad informática. Algunos de los blogs que sigo son:

Estos son algunos, después hay muchos otros en inglés, pero en castellano tenéis esos y este blog. No obstante, después os tendréis que leer muchos docs como los de Apache o de PHP . Otras referencias es el IETF.

Después hay otra cuestión que es ir a CONs, y si no puedes ir, las puedes buscar por Youtube, muchas están online. Un ejemplo son las CONs de la RootedCon o INCIBE.

Como veis, para la seguridad hay que formarse mucho, hay que leer mucho, que mirar y escuchar mucho. Por esta razón entender "Hacker" como cibercriminal es algo simplista. Los que nos dedicamos a seguridad investigamos todos los días, leemos todos los días y practicamos todos los días.

En cuanto al tema universitario, yo ya digo que no te hace falta ir a la Universidad para ser mejor hacker. Muchas veces un grado superior te da toda la base informática que necesitas para comenzar.

Siendo autodidacta se puede llegar lejos en la seguridad, yo todo lo que he aprendido de seguridad ha sido de autodidacta y algunos detalles que se me enseñó en el grado superior. Hay mucha información pública en Internet. Hay mucha información y de calidad, es la ventaja de nuestros días.

Otra cosa que recomiendo, es que recomiendo es que miréis cosas de otras ramas como por ejemplo la música, ya que nunca sabes si se te puede ocurrir una idea de ocultar información en una canción por ejemplo.

La seguridad es un mundo muy amplio que lo une todo, por lo que no podemos quedarnos encasillados. También decir que así es como yo me he ido formando. No quiere decir que esta sea la mejor forma ni mucho menos, pero es la que a mí me ha servido. Por supuesto con mucho esfuerzo, sobre todo si eres autodidacta, ya que muchas cosas no las entenderás y tendrás que dedicarle un esfuerzo extra, pero merece la pena sin duda.

¿Hackeamos el Mundo?

jueves, 28 de junio de 2018

Una forma de reducir posibles números que no sean los de tu víctima

Hace más de un mes publiqué un post sobre cómo obtener el número de teléfono de nuestra víctima utilizando OSINT. El problema es que puedes encontrate con más de 3000 contactos, y revisarlos todos puede ser costoso. No obstante hay pequeños hacks que te permitirán reducir el número de contactos.


En esto caí cuando por la noche estaba en Instagram y de repente en reconmendaciones me sugería una gente que no conocía de nada.


Lo que más me llamó la atención era que Instagram me decía que estaban en mis contactos, por loo que automáticamente se demostraba que tenían que ser uno de los contactos de el anterior post, por lo que podría probar con cada número de teléfono en Instagram o ir mirando la foto de Whatsapp en caso de que tengan habilitada su fotografía para cualquier contacto y así añadir sus nombres y reducir el número de contactos.
 
¿Hackeamos el Mundo?

miércoles, 27 de junio de 2018

MOMO: Herramienta para evitar ataques como HiitA

Hace algo más de un mes os terminaba de contar mi proyecto al que llamé HiitA, un proyecto destinado a entrar en redes wifi mediante ataques de fuerza bruta, análisis de la red y entrar al router para modificar la IP del servidor DNS, pero en seguridad informática no te puedes quedar solamente en cómo romper los sistemas, también tienes que proponer una solución. Y eso es lo que os traigo en este post.


Lo que he diseñado ha sido una herramienta que pide al usuario que introduzca un dominio, realiza una consulta DNS a dicho dominio y lo comprueba con una base de datos que se ha realizado con las direcciones IP y nombres de dominio asociados a cada IP.

Tras la comprobación, abre Firefox con un mensaje indicando si es el dominio real o no. En este caso de esta captura veis que sí, pero podríamos irnos a un entorno de ataque como el de HiitA donde el atacante quiera conocer nuesra password de Twitter.


El usuario introduciría la dirección e Twitter y comenzaría la comprobación. Al finalizar, abre Firefox.


Aquí ya vemos que nos dice que el sitio que queremos visitar-Twitter en este caso- no es realmente Twitter. Así de sencillo.

Aún estoy mejorándolo, pero la idea es esta. Este es mi trabajo número 11 de este año, y a mucha gente le sorprende que haya elaborado este trabajo que básicamente es para romper con otro anterior y que es mío como es el caso de HiitA. Pero así es la Seguridad, no basta con romper, también hay que reparar.

El proyecto quiero que sea más amplio y desarrollar un nuevo protocolo, pero lleva su tiempo, así que me tendréis trabajando en eso además de otros proyectos que os iré contando por aquí.

¿Hackeamos el Mundo?

martes, 26 de junio de 2018

ABC afronta una avalancha de fuga de información por el efecto misconfiguration

Reconozco que el post de hoy es hacktivismo puro y duro. No obstante, esto es una prueba de que no todo hacktivismo es ilegal, puedes sacar los colores a una organización utilizando el navegador cuando una organización está utilizando mecanismos poco éticos; así que menos rollos.


Todo el mundo sabe el tipo de periódico que es el diario ABC. Un diario con portadas tan "curiosas" como la de Sevilla el 20 de abril del 1937.No descubro nada que sea nuevo, pero bueno, cualquiera podría decir que han evolucionado.




El principal destino vemos que es Alemania, y claro, esto le tiene que suponer una gran pérdida de PIB y una crisis enorme a Alemania. Estos datos son del 2016, así que comparemos un poco los datos de Alemania, que tienen que ser catastróficos en ese año tal y como apuntan muchos "expertos" ¿no?


Pero bueno, a lo mejor me podéis decir que todo esto no sirve, pues esto no es un valor absoluto, que debo compararlo, por ejemplo, con el año anterior. Venga, vamos al informe del 2015.


En 2015 el número de refugiados e inmigrantes fue bastante menor que en 2016. Comparemos entnces PIB de 2016 frente al de 2015 por ejemplo.  En 2016 ya veis que fue de 3,467 billones de USD, y en 2015 fue de 3,364 billones de USD, por lo que vemos que aceptar casi 3 veces más de refugiados o inmigrantes no afecta negativamente al PIB. 

Pero si nos vamos a una cuestión de mera lógica, vemos que es algo estúpido. Utilicemos de base, el trailer de la película documental Astral de Jordi Évole.






Lo del "Efecto Llamada" es algo que por supuesto se han inventado. Como informático ya os digo que en mitad del Océano es complicado llamar a tu familia, y en caso de llegar a un país y poder llamar a sus familias, sus familias tendrían que realizar el mismo viaje, en las mismas condiciones o peores, y todos sabemos, en un entorno controlado y de simulación con mejores condiciones, lo peligroso que es.



Ya es suponer que van a llegar. Yo a esa gente la invito a que se pongan en frente del país y lo gestionen, las condiciones serán mucho mejores, no es vida o muerte durante un tiempo indeterminado. Son 4 años para mejorar el país con más dinero que el que tienen los refugiados. La lógica nos dice que si saben pronosticar que todas las familias de todos los refugiados van a llegar, también sabrán gestionar un país. Suerte, porque el PP también pronosticó lo mismo y ha dejado bastante tocado y hundido el país.

Después está el tema de si realmente es malo para el país acoger refugiados e inmigrantes. Al fin y al cabo, un inmigrante puedo ser yo, que no consiga satisfacer mis necesidades económicas en mi país por el paro por ejemplo, e irme a trabajar a Reino Unido, Alemania, EEUU,etc. Eso sí, yo me iré en avión, no en barca, que eso se nos olvida comentarlo. Cuando somos nosotros los que queremos labrarnos un futuro, eso ya no lo vemos mal. Pues con los que llegan aquí sería lo mismo, aunque claro, que no consigan satisfacer sus necesidades en países del tercer mundo, eso ya es grave.

Después está el típico que dice "Pero no es lo mismo, nosotros cuando vamos a Alemania estamos mejor cualificados". Eso es mucho suponer, aún así, si somos egoístas...¿y? Si están peor cualificados, accederan a puestos de trabajo peor remunerados, quedando puestos de trabajo mejor remunerados para nosotros. Es ser egoísta, pero es lo que puede ocurrir.

Claro, que si aún así hay gente que les teme, a lo mejor es que no están tan mal cualificados.

Pero bueno, el tema del post es que tras toda esta desinformación y poca lógica, si te vas al gestor documental del ABC, te encuentras con un login.


Si escribimos cualquier usuario y cuaalquier contraseñas y le damos a "Aceptar", veremos que la URL envía el usuario por GET junto al código de error.


El código de error es 1, y además envía el usuario introducido. Esto pasa si escribes cualquier usuario. Bueno, cualquier usuario menos uno.

Ese usuario es el usuario "administrador". Si le damos a "Aceptar", la URL cambia.


Ahora el código de error es el 4 y el login no refleja el usuario introducido. Parece que deja claro que el usuario es "Administrador", por lo que esta fuga de información nos permite que podamos realizar un ataque de fuerza bruta basado en diccionario de la contraseña solamente y facilitar el trabajo.

Esto es un information leak que facilita el ataque al atacante. Ellos verán si lo solucionan, y aquí no valen manipulaciones.

¿Hackeamos el Mundo?

lunes, 25 de junio de 2018

Manu Alén en el "Salón de la fama" del Lope de Vega

Quería buscar información sobre determinados asuntos en la web de mi Instituto que ya es ex-instituto y de casualidad me encontré con que el 27 de abril publicaron en la web del centro que quedé 4º en los campeonatos de Andalucía Skills.



Para futuros proyectos, estaba buscando información, y me acordé que en el Aula Virtual de mi centro tenía lo que necesitaba. Pero de estas cosas que te equivocas al escribir y vas al portal de noticias del centro en lugar de al Aula Virtual.

Fui bajando porque sabía que en la web de mi centro en unos de los laterales salía el enlace para ir al Aula Virtual y de repente veo una foto mía, y yo "WTF?!".


Cuando me paré a verlo, ya vi que era una noticia donde anunciaron que quedé 4º en Andalucia Skills. Claro, esto para mi es muy raro, ya que cada vez que voy al Instituto me encuentro con algún profesor o incluso alumnos que ni conozco que me dicen "Tú eres Manuel Alén ¿no? ¿El crack de la Informática verdad?"

Qué quieres que te diga, para mí todo eso es muy raro, no estoy acostumbrado. A mí lo que me gusta es pasar horas delante del ordenador, no escuchando elogios.

Para mí es raro porque tampoco soy nadie del otro mundo, sólo un chaval normal que disfruta de la Informática, pero aún así, gracias a todas y todos los que me habéis parado y creéis que "soy un crack"-estáis muy ciegxs xD-. Y por su puesto gracias también a mi Instituto por ponerme en ese "Hall of Fame" del centro, mi careto va a permanecer ahí para siempre. Gracias.

¿Hackeamos el Mundo?

P.D: Ya podríais haber puesto otra foto en la que saliese mejor, cabrones :P

domingo, 24 de junio de 2018

Disparando Pan de Higo a la Universidad de Córdoba

El día 13 de junio de este año terminé mis prácticas en la Universidad de Córdoba. Han sido 3 meses donde la verdad es que mi compañero de prácticas y yo no hemos hecho nada y donde tampoco hemos aprendido nada. Todo el trabajo que nos dieron fue realizar la web del grupo de investigación del grupo de Informática. Lo peor no es eso, lo peor es que se nos mintió diciendo que íbamos a entrar tras la 1ª o 2ª semana con el grupo de investigación y trabajar con ellos en los proyectos y papers en los que estaban trabajando. En estos 3 meses no entramos con ningún grupo de investigación por supuesto, tan sólo hacer una web que teníamos terminada y subida al servidor a los 3 días.


87 días sin hacer nada. 87 días casi sin ver a nuestros tutores. 87 días de perder el tiempo. Pero eso podría parecer poco.


Estuvimos 2 meses que llegábamos a las 9:30 y al intentar entrar por esa puerta, no podíamos porque estaba cerrada. Como véis en el cristal de arriba, las luces están apagadas. No teníamos llave porque no nos la dieron hasta que ya faltaba un mes.


Como al menos nosotros queríamos seguir trabajando, investigamos un poco hasta que dimos con esta habitación que parecía un almacen donde metían lo que les sobraba. En esta habitación es donde encontré las fotocopias de los pasaportes y DNIs de trabajadores o alumnos de la UCO, algo que os conté en este post. Dichas fotocopias son las que os he remarcado.



El problema era que ahí había mucho polvo y yo soy alérgico, por lo que tampoco podía estar mucho tiempo ahí. Cuando ya me empezaba a notar incómodo, nos salimos y nos pusimos a currar en el suelo de uno de los pasillos. Esto no fue solamente un día ni dos.


Nuestra "oficina" era esta. Estaba bien para lo que teníamos que hacer-nada-. Como trabajo no teníamos, cada uno investigaba lo suyo y al menos sí que hemos podido avanzar en proyectos que estábamos desarrollando.


Mi compañero y yo muchas veces bromeábamos diciendo que "Podemos hackear el reloj y adelantarlo para que sea ya la hora de irnos". El momento más feliz era cuando nos íbamos por esa puerta que estaba todo el día abierta.


Y claro, esa puerta abierta y en ese mismo pasillo un armario rack con los servidores de la Universidad. El armario estaba protegido por un cristal, pero que con 2 patadas lo quitabas y podrías desconectar todos los cables y provocar un buen desastre. Por si os lo preguntáis, no, no había ninguna cámara tampoco.


Esto lo vives un día tras otro y al final te preguntabas "La seguridad de esta gente seguro que es una mierda". Así fue, el último día de prácticas, tomé esta foto como señal de la "victoria", pues he estado unos 3 meses analizando y esperando para ver cómo actúa la Universidad de Córdoba.

Pues todo esto sumó y poco a poco mi cabreo fue aumentando entre que no venía nadie, no nos daban nada para hacer y a veces trabajar en el suelo fui poco a poco recordando una canción de Leño que decía algo como "Puñado de cucarachas van recorriendo las calles, invadiendo nuestras casas y contaminando el aire".



Pero resulta que entre que Rosendo está gira de despedida y yo soy otro Enemigo disparando Pan de Higo, me he pasado todas las prácticas buscando posibles fallos y esperando para ver qué hacían una vez que ya no estuviésemos en las prácticas.



A continuación iré enunciando algunos de los fallos que yo me he ido encontrando que me parecen más destacables.

1. Almacena las contraseñas de la Base de datos y correo como te salga de los cojones.

Esto fue una de las cuestiones que más me tocó. Como sabréis, para subir y migrar una web desde el localhost a un dominio, tenemos que pasar la base de datos y subir, en nuestro caso, la carpeta de Wordpress al servidor, pero claro, no teníamos las credenciales ni de la base de datos ni del servidor.

Lo normal es pedirlo y decir que las apuntes a muy malas en un post-it o almacenarlas en KeePass X. Pero en la Universidad de Córdoba no, en la Universidad de Córdoba, 2 doctores de Informática nos dijeron:

"Hacedle una foto a estos folios. Aquí tenéis las contraseñas que necesitáis". España y olé


Este es el folio con ls credenciales de la Base de Datos de la Universidad.


Y este el del correo.

Esto es un desastre, porque a cualquiera de los 2 nos puede dar por pasar la foto queriendo o sin querer y provocar un gran problema en la Universidad.


En el correo teníamos un mensaje con información sobre cómo estaba montada la web anterior. Nos decían la URL de la web del sitio, de la base de datos y mucha más información adicional que puede ser utilizada.


¿Esto de almacenar la foto por qué es un problema? Bueno, inicialmente porque si tenemos malas intenciones y pasamos la foto se puede liar una buena. Después está el tema de que puede que nos equivoquemos al pasar la foto o que simplemente suframos un ataque por el cual un atacante tenga acceso a nuestro terminal móvil con un meterpretrer. El atacante podría acceder a la Galeria y obtener la foto.

Tengo que decir que es cierto que ese usuario y esa base de datos solamente contenian los datos del Wordpress que habíamos creado, no todo es tan malo, pero la lógica nos quiere decir que si nos han dejado echar una foto a nosotros, que íbamos de prácticas e íbamos a estar 3 meses, qué no permitiran a gente que lleve trabajando allí años.

2. Pásame las credenciales en texto plano.

Esto también fua algo que me sorprendió bastante. Teníamos 2 profesores que eran nuestros tutores de prácticas, ambos doctores en Informática. Pues con todo su arte van y nos dicen "Creadnos un usuario y pasadnos la contraseña". Mi cara era un poema, pero pregunté "Vale, pero...¿Por dónde os la pasamos?". Hice esta pregunta porque a lo mejor utilizaban un mecanismo interesante para pasarse las credenciales en casos como estos. La respuesta de ambos aún me trae dolores de cabeza.

"Por correo mismo, da igual". Doctores de Universidad. Investigadores. Catedráticos. Lo más de lo más para un "Por correo mismo, da igual". Bravo.


Por si alguno no se lo cree, aquí dejo el correo donde uno de nuestros tutores de prácticas me pidieron la contraseña de su usuario. Yo me frotaba las manos diciendo "Tengo buena mierda para el blog".


Con este correo me reí mucho, ya que lo de "con permisos de administrador" lo hice aposta nada más que para dejar constancia en el blog del problema que sería que accediesen a su correo y viesen esta contraseña.


Igual ocurrió con el otro tutor. Aquí además le puse las cosas fáciles a un atacante diciendo a qué URL tendrían que entrar e introducir esas credenciales.

"Pero Manu, tú eres muy dramático. Vale que han hecho mal pidiéndote las credenciales por correo, pero ellos tienen sus direcciones de correo bien fortificadas".

Bueno...


Este es uno de los tutores


Vemos que reutiliza la misma dirección de correo y probablemente la misma password para sitios tan importantes como DropBox o Linkedin, por lo que podríamos suponer que para su cuenta de correo de la Universidad puede estar utilizando la misma password, por lo que un atacante podría intentar acceder a su correo, ver que se le ha enviado un usuario y contraseña y entrar.


Y nuestro otro tutor igual. Esto es un problema lo mires por donde lo mires. Ya tenemos 2 posibles usuarios a los que podríamos acceder.

"Vale, es un problema...pero seguro que han cambiado la contraseña de la cuenta que le has creado"

Bueno...


Como habéis visto en el correo, el mensaje que les envié tiene 2 meses y aún no han cambiado la contraseña ninguno de los 2. Si os lo preguntáis quién es este, arriba a la derecha tenéis el nombre del profesor y nuestro tutor de prácticas. 2 meses después sigue sin cambiar la contraseña, algo que se puede hacer en 5 minutos que tengas libres. A lo mejor, en esos 5 minutos que te estas tomando un café.

3. Gente que ya no está en la Universidad...y aún con cuenta de administrador.

Esto es posiblemente lo peor de todo. Como he dicho, nosotros terminamos las prácticas el pasado 13 de junio. Yo estoy escribiendo este post el día 15, es decir, 2 días después. Pues adivinad qué.


Sigo teniendo cuenta y encima de administrador. Esto es a lo que estaba esperando. Estaba esperando para ver si una vez que hubiese acabado las prácticas, eliminaban mi usuario, ya que el usuario de ambos tenían todos los privilegios posibles. Pero no, no lo han hecho.

Yo lo hubiese entendido, es más, es lo que se debe hacer. Si ya no hay un trabajador en tu empresa, vas y le eliminas el usuario porque ya no tiene nada más que ver de la empresa. Dejarle su usuario podría ser muy peligroso por posibles casos de pasar información a la competencia.

Creedme que esto pasa mucho, que me he visto muchas empresas con usuarios aún existentes de gente que ya no trabajaba allí.

Podría tener malicia y cuando cree los usuarios de mis tutores, podría asignarle el rol de colaboradores en lugar de administradores y así me aseguro de permanecer en el sistema hasta que yo quiera, pero no, fui bueno y los dejé como administradores.

Pero claro, esto da origen a un escenario bastante gracioso...que es el de realizar un posible "XSS" en la web del grupo.

4. Con todos los permisos fuera de la Universidad

Ocurrió algo gracioso. Al crear la web, yo puse una política en los permisos para que solamente fuese posible editar algo de la web desde la red wifi del grupo de investigación. Esto provocaba que en casa no podíamos editar nada.

Pues un día llegó uno de nuestros tutores y la conversación fue la siguiente:

"-Buenas, oye, que la web va mal a la hora de editar algo desde casa.
YO: Ya, es por seguridad, para que nadie fuera de esta red pueda modificar nada de la web.
-Ah, eso está genial, pero cámbialo para que pueda editar cosas desde casa.
-Bueno ¿Qué permisos quieres que le de?
-Todos, tú se los das todos y no te compliques."

Pues ale, un chmod 777 -R y a tomar por culo todo.

Y por supuesto, hoy desde casa ya podía añadir esta línea que he señalado. Al igual que podía añadir esta línea podría añadir cualquier cosa, hasta un usuario.


Le daba a guardar...and that's all.


Y conforme cree el usuario se me ocurrió una idea..."hacer un XSS" a la Universidad.

5. XSS a la Universidad durante 8 horas...y nadie se ha dado cuenta.

Planteé un XSS peculiar. Vale que no aproveché ningún fallo de seguridad, pero igualmente, con los otros 4 fallos anteriores mencionados se podrían aprovechar. Es más, voy a utilizar los fallos anteriores para hacer el XSS.


Para el ataque utilicé una Raspberry con una tarjeta SD con Raspbian en el que metí Tor y una VPN. El siguiente paso era irme a la Biblioteca que tengo justo en frente de casa con la Raspberry.

La Raspberry es pequeña, por lo que pensé que si me iba a la biblioteca y colocaba y conectaba la Raspberry a uno de los monitores y a la corriente de la Biblioteca podría controlarla como si fuese un equipo de la biblioteca.


Otra ventaja es que tenía este mando inalámbrico, por lo que podría dejar conectada la raspberry sin que se viese-recuerdo que al ser pequeña tiene una gran ventaja de que se puede camuflar fáclmente-. Con este mando me podría sentar lejos de donde deje la Raspberry para que así nadie me ve interactuar con el ordenador de la Biblio y pasar desapercibido.

Otra opción sería llevarme un portatil y acceder a la Raspberry mediante Escritorio Remoto y así no tenemos una pantalla en mitad de la Biblio con su escritorio cambiándose sin tener a nadie delante. El problema de esto es que ahí ya si nos ve la gente interactuando con nuestro portatil.

Sería interesante también imprimir con una impresora 3D un tipo de funda para que así parezca que estamos usando un móvil en lugar de un mando para controlar un PC.

Yo hice esto, me fui con ese mando y me puse en unas de las silla que hay en la biblioteca pero lejos de la plaz del ordenador en el que dejé la Raspberry. Cuando veía que alguien se iba a acercar a la Raspberry, paraba. Me fui a una hora a la que había poca gente, por lo que lo puede hacer todo bastante rápido, así que lo preparé todo y en la parte de presentación de la web puse...bueno, esto.


Esto estuvo 8 horas, después, a la mañana siguiente, restauré la portada original. Todo esto con la Raspberry con una VPN y entrando con Tor y en la red wifi de la Biblioteca. Cuando terminé, destrocé la tarjeta SD.


Lo mejor de todo sería que cuando comprobasen los logs, se iban a ir al mapa de visitas que implantamos en la web, ya que los mismos tutores nos dijeron que querian este mapa de visitas para saber quién accedía a la web. Yo al estar con una VPN, podría simular mi ubicación. Esta captura es de cuando aún estaba en las prácticas, y ahí me conecté desde una VPN que me ubicama en Reino Unido, y ahí vemos la banderita de UK.

Si se fijan en eso, pues se equivocarán. Además me sorprendió que pasaron más de 8 horas y nadie se dio cuenta. Nadie se conectó a la web, de lo contrario a lo mejor otro gallo cantaría.

¿Hackeamos el Mundo?

P.D: Todo esto lo he hecho desde uno de los usuario de mis tutores, ya que usar el mio podría ser cantoso. Desde uno de los usuarios de uno de mis tutores cree otro usuario con privilegios de administrador y lo hice todo.
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...