jueves, 21 de junio de 2018

Adivina quién sabe que tienes una default password

Son muchos los sitios webs y son muchos los administradores que no configuran debidamente sus sistemas y/o su web. Un fallo muy común son las misconfigurations, que ocupan el puesto 6 en el Top 10 de OWASP. Estos fallos son muy fáciles de encontrar, muchas veces basta con que hagas una búsqueda en Google para que dejes a ese sistema Goowned.



Cuando me encuentro un sitio web con una default password, siempre recuerdo esta escena de los Simpsons donde Nelson pega a Milhouse por una nota que le pasa diciéndole "Adivina a quién le gustas". Yo veo que es una situación similar, pues es una cosa muy tonta pero que si la reportas puedes acabar como Milhouse.



Pero al fin y al cabo, muchas veces te basta con realizar una consulta en Google, una consulta apropiada y te encontrarás sitios que en el mismo banner te dan su usuario y contraseña de administrador.


Con esta query lo que buscaba eran enlaces con un archivo login.php y en que cualquier parte de la web tenga la palabra username:admin, y tanto que lo encontré.


Como se puede apreciar contiene un <div> con las distintas contraseñas de los distintos usuarios del sistema. El trabajo ya está hecho.


Entraba como administrador y tenía todo un panel de control para mi y podía mirar cualquier cosa y editar cualquier apartado. Son muy interesantes los apartados de "Permission", "Settings" y "Users", al menos para mi.


En esta foto hay algunos usuarios con su correo electrónico. Ahora podría buscar cada correo en Have I Been Pwned y ver si ese correo ha sido hackeado en otro sitio web.


También puedes revisar a los trabajadores y conocer sus números de teléfono. Es muy interesante también que en uno de los laterales, aparezca una pestalla de Finanzas.


Busqué en otros resultados y di con el panel de control de un profesor o director de colegio que tiene dados de alta a alumnos de su centro. Aquí ya se pueden hacer cosas muy interesantes.


Incluso puedes conocer los nombres de los profesores que dan en cada clase y sus firmas. Con todo esto y lo que no he enseñado se puede jugar bastante, y todo por una configuración por defecto que nos permite la entrada a paneles de configuración de sitios webs donde se tienen dados de alta a usuarios con información que no debe ser tan fácil de conocer. Toca hacer los deberes.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...