Colaborador: Vasco
Continuamos con la segunda parte de la guía de Metasploitable 2. En esta entrega vamos a explotar el puerto 80, en el que vamos a encontrar varias aplicaciones web vulnerables. Esto es lo que nos aparece al entrar.
TWIKI
La primera aplicación que aparece es Twiki. Se trata de un gestor de contenidos tipo wiki, escrito en Perl y con licencia GPL. Soporta extensiones para acceso a base de datos, diagramas, hojas de calculo, seguimiento de proyectos y muchas otras posibilidades.
Éste tiene una vulnerabilidad que podemos explotar con Metasploit.
Obtendremos una shell sin privilegios. Para escalar privilegios utilizaremos el mismo exploit que usamos en el puerto 22 (SSH), en la primera parte de ésta guía.
DVWA
Esta aplicación web dispone de varios fallos de seguridad como pueden ser SQL Injection, ejecucion de comandos, File Inclusion, etc.
Al entrar vemos un login, el user es «admin» y la pass «password».
Una vez dentro, lo primero que haremos es pinchar en Setup y Create/Reset Database, para crear la base de datos.
Lo siguiente es cambiar el nivel de seguridad, entramos en DVWA Security y lo cambiamos a Low, pinchamos en Submit.
Ya estamos listos para empezar a probar las vulnerabilidades.
Command Execution
Nos aparece una pantalla en la que podemos hacer un ping a la IP indicada. Pero además podemos ejecutar mas comandos con la siguiente sintaxis: IP&&COMANDO.
En la captura vemos como responde al ping y al comando pwd. Ahora ya depende de nuestra imaginación y los permisos que tengamos.
Cross Site Request Forgery (CSRF)
Esto es un ejemplo de una mala implementación del cambio de contraseña en una aplicación web.
- Utiliza http en vez de https, por lo que va en texto plano.
- Un atacante puede usar la URL para cambiar la contraseña-
Al entrar nos encontramos con esta pantalla.
Escribimos una contraseña y pulsamos Change.
Si nos fijamos en la URL, vemos como aparece la nueva contraseña.
Ahora vamos a cambiar la contraseña desde la URL y actualizamos la página.
Nos aparece el mensaje Password Changed y en la URL la nueva contraseña establecida. Si salimos de DVWA y nos logueamos otra vez con la nueva contraseña, comprobareis que efectivamente funciona.
File Inclusion
Mediante esta vulnerabilidad podemos ver ciertos archivos del sistema como puede ser passwd, phpinfo, ftpusers, etc. Incluso podemos ejecutar un archivo que hayamos subido previamente como un backdoor.
En la web nos dice que modifiquemos una parte de la url para explotar la vulnerabilidad.