Upload
ricardo-barrios-guerrero
View
54
Download
0
Tags:
Embed Size (px)
Citation preview
INFORME DE FOOTPRINTING, SCANNING Y VULNERABILIDADES DE LA PÁGINA DE LA UNIVERSIDAD DE CARTAGENA Y SU
RESPECTIVA PLATAFORMA VIRTUAL
PRESENTADO A:
CARLOS ANDRES CUESTA YEPES
POR:
JESUS BARRAZA PAVA
RICARDO BARRIOS GUERRERO
LEONARDO DIAZ ALVAREZ
DANNA DOLUGAR
EMMANUEL GARCIA MAESTRE
HÉCTOR TRIANA LÓPEZ
UNIVERSIDAD DE CARTAGENA
FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS
CARTAGENA DE INDIAS D.T Y C
03/10/13
Contenido1. RECOLECCION DE DATOS (FOOTPRINTING) PARA EL PORTAL DE LA UNIVERSIDAD DE CARTAGENA................................................................................................3
1.1. INFORME NETCRAFT.COM.........................................................................................3
1.2. INFORME WHO.IS..........................................................................................................4
1.3. ESCANEO DE PUERTOS PARA LA IP 178.33.117.119...........................................6
2. RECOLECCION DE DATOS PARA LA PLATAFORMA VIRTUAL DE LA UNIVERSIDAD DE CARTAGENA................................................................................................7
2.1. INFORME DE NETCRAFT.COM..................................................................................7
2.2. INFORME DE WHO.IS...................................................................................................8
2.3. ESCANEO DE PUERTOS PARA LA IP 201.245.192.5.............................................9
2.4. VULNERABILIDADES..................................................................................................11
2.4.1. WAPITI – WEB SCANNER..................................................................................11
2.4.2. W3AF – WEB APLICATION ATTACK AND AUDIT FRAMEWORK...............14
3. CONCLUSIONES..................................................................................................................17
1. RECOLECCION DE DATOS (FOOTPRINTING) PARA EL PORTAL DE LA UNIVERSIDAD DE CARTAGENA
1.1. INFORME NETCRAFT.COM
Imagen 1. Información de unicartagena.net
En la anterior imagen se puede apreciar que el portal de la Universidad de Cartagena está asociado a la ip 178.33.117.119, bajo la compañía de web hosting OVH Hispano, ubicada en España.
Imagen 2. Información del proveedor OVH.
También podemos apreciar que la unicartagena.net está corriendo bajo el Nginx un servidor web/proxy inverso alojado en el sistema operativo Linux.
Imagen 3. Información de seguridad de unicartagena.net
Según netcraft.com, el portal de la Universidad de Cartagena no presenta ninguna vulnerabilidad, por ende mucho menos exploits a usar en contra de la misma.
1.2. INFORME WHO.IS
Imagen 4. Información de unicartagena.net
La anterior imagen muestras los resultados arrojados por who.is para unicartagena.net, tales como Información del Registro, Datos de Importancia y Nombre de los Servidores.
Imagen 5. Información de unicartagena.net
Imagen 6. Información de unicartagena.net
WHATISMYIPADDRESS.COM
La anterior imagen muestra los datos geográficos de la ip 178.33.117.119 bajo la cual funciona el servidor del portal de la Universidad de Cartagena.
1.3. ESCANEO DE PUERTOS PARA LA IP 178.33.117.119Para escanear los puertos de servidor donde se aloja el portal de la Universidad de Cartagena (178.3.117.119) usamos la herramienta Nmap del sistema operativo Backtrack.
Imagen 7. Escaneo de puertos (tcp) de unicartagena.net
Al realizar el escaneo de puertos bajo la opción –sV, nmap escanea los posibles puertos abiertos en la maquina con dicha IP. Podemos ver que el escaneo encontró dos puertos abiertos: 80, que tiene como servicio HTTP y 8089, donde está ejecutando HTTP-PROXY (Squid web proxy).
Además podemos observar también que nmap encontró, pero no mostró 998 puertos filtrados, lo que puede ser un indicio de que el escaneo en algún punto se topó con algún dispositivo de firewall o router.
En la siguiente imagen podemos apreciar mejor, la anterior teoría (realizando un escaneo nmap con la opción –sO <ip_objetivo>)
Imagen 8. Escaneo de puertos general de unicartagena.net
2. RECOLECCION DE DATOS PARA LA PLATAFORMA VIRTUAL DE LA UNIVERSIDAD DE CARTAGENA
2.1. INFORME DE NETCRAFT.COM
Imagen 9. Información de la IP 201.245.192.5 (portal sma de la Universidad de Cartagena)
En la anterior imagen podemos observar que netcraft no nos arroja muchos resultados, pero podemos ver que el dueño de ese rango de IP’s es la misma Universidad de Cartagena, cuyo país de hosting es Colombia.
Imagen 10. Información de la seguridad la IP 201.245.192.5 (portal sma de la Universidad de Cartagena)
Según netcraft, dicha maquina con la ip 201.245.192.5 está sujeto a ciertas vulnerabilidades, aunque no las muestras.
2.2. INFORME DE WHO.IS
Imagen 11. Información de 201.245.192.5 (portal sma de la Universidad de Cartagena)
En la anterior imagen se puede apreciar que la plataforma virtual de la Universidad de Cartagena está asociada a la ip 201.245.192.5, asociada a la red 201.245.192.0/29
2.3. ESCANEO DE PUERTOS PARA LA IP 201.245.192.5Para escanear los puertos de servidor donde se aloja la plataforma virtual de la Universidad de Cartagena (201.245.192.5) usamos la herramienta Nmap del sistema operativo Backtrack.
Imagen 12. Escaneo de puertos de 201.245.192.5 (portal sma de la Universidad de Cartagena)
Imagen 13. Escaneo de puertos de 201.245.192.5 (portal sma de la Universidad de Cartagena)
Imagen 14. Escaneo de puertos de 201.245.192.5 (portal sma de la Universidad de
Cartagena)
Imagen 15. Escaneo de puertos (tcp) de 201.245.192.5 (portal sma de la Universidad de Cartagena)
Como podemos notar el nmap bajo la opción –sV arrojó varios puertos abiertos en la maquina, mayoría de ellos corren con el servicio HTTP-PROXY (EZProxy web proxy). Esto se debe a que EZProxy, por defecto, funciona como “proxy por puerto”; bajo este paradigma la aplicación realiza varias tareas usando diferentes puertos (uno para autenticación, para procesos de login). Pero también podemos ver que la misma maquina maneja otro servidor proxy (Squid web proxy).
En la siguiente imagen podemos apreciar que al hacer un escaneo general puede que los paquetes enviados en algún punto se hayan topado con algún dispositivo
de firewall o router; la anterior teoría (realizando un escaneo nmap con la opción –sO <ip_objetivo> -D <ip_señuelo1>, <ip_señuelo2>, <ip_señuelo3>,…).
Imagen 15. Escaneo de puertos general de 201.245.192.5 (portal sma de la Universidad de Cartagena
2.4. VULNERABILIDADES
2.4.1.WAPITI – WEB SCANNER.Para el escaneo de vulnerabilidades de la plataforma virtual de la Universidad de Cartagena (http://201.245.192.5:8081/smaix12/), usaremos la herramienta desarrollada en python wapití, para examinar vulnerabilidades en aplicaciones web, la cual viene por defecto instalada en la distro de Backtrack. Para ello entramos en la consola y digitaremos cd /pentest/web/wapití y luego python wapití.py <website> en esta caso la plataforma de la universidad de Cartagena.
Imagen 16. Escaneo de vulnerabilidades de 201.245.192.5 con wapiti
Wapití funciona lanzando diferentes módulos para verificar que tipos de vulnerabilidades tiene una aplicación web.
2.4.1.1. WAPITI: MODULO DE ESCANEO DE INYECCION SQL A CIEGAS (BLIND SQL)
Se evidencia cuando en una página web, por una falla de seguridad, no se muestran mensajes de error al no producirse resultados correctos ante una consulta a la base de datos, mostrándose siempre el mismo contenido (es decir, solo hay respuesta si el resultado es correcto).
Imagen 17. Módulo blindSQLi
2.4.1.2. WAPITI: MODULO DE ESCANER DE INYECCION SQL ESTANDAR (SQL)
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.
Imagen 18. Módulo SQLi
2.4.1.3. WAPITI: MODULO DE ESCANEO DE VULNERABILIDADES TIPO XSS (CROSS SITE SCRIPTING)
Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar
Imagen 19. Módulo XSS (Cross Site Scripting)
2.4.2. W3AF – WEB APLICATION ATTACK AND AUDIT FRAMEWORKW3AF es un framework para hacer auditorias y ataques a aplicaciones web que posee 3 tipos diferentes de plugins: discovery, audit y attack.
Plugins Discovery: Su objetivo es encontrar urls, formularios etc… es decir, puntos donde podamos realizar inyecciones.
Plugins Audit: Su objetivo es enviar datos para encontrar vulnerabilidades en los puntos descubiertos por los plugins discovery.
Plugins Attack: Nos darán, en caso de fructificar, por ejemplo una Shell remota o las tablas de SQL de la aplicación…
Imagen 16. Escaneo de vulnerabilidades de 201.245.192.5 con wapiti
En la anterior imagen se puede apreciar que w3af hallo puertas traseras en diferentes URL que la webSpider interna de la misma aplicación detectó:
Security IssuesType Port IssueVulnerability
tcp/8081
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 294.
URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp
Severity : HighVulnerability
tcp/8081
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 296.
URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspSeverity : High
Vulnerability
tcp/8081
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx"; this could indicate that the server was hacked. This vulnerability was found in the request with id 302.
URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspxSeverity : High
Vulnerability
tcp/8081
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx"; this could indicate that the server was hacked. This vulnerability was found in the request with id 304.
URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspxSeverity : High
Information tcp/8081
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 294.
URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp
Information tcp/8081
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 296.
URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp
Information tcp/8081
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx"; this could indicate that the server was hacked. This vulnerability was found in the request with id 302.
URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx
Information tcp/8081
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx"; this could indicate that the server was hacked. This vulnerability was found in the request with id 304.
URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx
Tabla 1. Tabla de Vulnerabilidades.
3. CONCLUSIONES.Existen muchas herramientas para la recolección de información, en este documentos usamos netcraft.com y who.is para ver los registro de cada sitio web analizado (www.unicartagena.net y http://201.245.192.5/smaix12/). En primera instancia cabe recalcar que el dominio unicartagena.edu.co, prueba de ello es el digitarlo en el browser y observar que se redirige al nuevo. Pudimos ver que el sitio web www.unicartagena.net no cuenta con tantas vulnerabilidades como http://201.245.192.5/smaix12/. Pero al hacer el escaneo en los dos sitios pudimos observar que existen ciertos puertos filtrados lo que da cabida a la suposición de que hay algún firewall o router con reglas acl, que está filtrando paquetes enviados hacia el servidor.