Hola, siento no haber podido tener este capitulo ayer, espero que lo disfruten y aprendan.

Capítulo 1: Introducción a Cross Site Scripting.

Hoy voy a explicar la vulnerabilidad XSS. Las herramientas y conocimientos necesarios son:


- Conocimientos sobre HTML
- Saber lo mínimo sobre javascript.
- Estría bien saber php, pero no es tan necesario.
- También seria útil disponer de un servidor web con php instalado.
- Algo también muy importante es tener una cabeza bien equipada, aunque con un ojo y algo de cerebro sobra.
- Y por supuesto también es necesario tener ganas de aprender.

Empecemos!


XSS significa Cross Site Scripting, no lo abreviaron en CSS para no confundirlo con las hojas de estilo en cascada. Aveces también se le llama HTML injection pero esto no es correcto, lo correcto es llamarle XSS o Corss Site Scripting.

Esta vulnerabilidad es un fallo en el sistema de validacion de HTML incrustrado y consiste en inyectar código HTML y javascript donde no debería haberlo y así conseguir algún provecho, normalmente esta vulnerabilidad se usa para el robo de cookies,  para hacer phishing y desfaces en los foros. Se suele encontrar en los buscadores de la web.

Hay dos clases de XSS, la indirecta y la directa. La indirecta es la menos censurada y la menos explotada, y la directa es mas difícil de encontrar ya que se suele filtrar mas. Haré una definición mas exacta:

-Directa: Esta es muy divertida! pero es muy difícil de encontrar una vulnerabilidad de este tipo. Se encuentra en los foros, libros de visita y webs que se puedan modificar por medio de formularios. Con una vulnerabilidad como esta siempre que alguien entre a la parte del foro donde se ha inyectado el código, se ejecutara en su navegador y hara lo que tenga que hacer, mucha gente usa esta vulnerabilidad para hacer un deface usando una etiqueta <div> que cubra toda la web o con un script que la redireccione a tu sitio.

-Indirecta: Este tipo de XSS es muy fácil de encontrar en motores de búsqueda sobre todo, en esta el código se inyecta a través de formularios, URL, cookies, programas en Flash o incluso en vídeos. Esta vulnerabilidad es mas dificil sacarle provecho ya que tenemos que conseguir que alguien entre en el enlace malicioso, mas adelante se vera lo que es un enlace malicioso.


Ahora imaginemos un buscador de texto dentro de una web, podemos poner cualquier cosa y la web nos respondería: "Lo que hayas puesto no se ha encontrado, repita su búsqueda", donde pone "lo que hayas puesto" podríamos poner otra cosa como <h1>Hola</h1> y si es vulnerable el navegador lo interpreta como parte del código HTML y saldría hola en letras grandes, pero envés de poner "<h1>hola</h1>" podemos insertar un código que hiciese que cuando alguien entre le robe las cookies y las almacene en otro servidor.

Si la web pasa la variable del buscador mediante GET (es lo mas común) podemos generar una URL maliciosa y hacer que alguien entrase y así le robaríamos las cookies, la URL seria algo como esto:

No os asustéis si no ha quedado muy claro porque vamos con un ejemplo:

Código de la web desde donde se envía el formulario:

<HTML>
<HEAD>
<TITLE>Vulnerabilidad XSS</TITLE>
</HEAD>
 
<BODY>
<BR>
<FORM METHOD="get" ACTION="xss.php">
 
<INPUT TYPE="text" NAME="vuln">
<BR><BR>
<INPUT TYPE="submit" VALUE="enviar">
 
</FORM>
</BODY>
</HTML>
 

Ahora el código que recibe las variables de este formulario (xss.php):

<?php
 
$var = $_GET["vuln"];
echo "Has escrito: ".$var;
 
?>
 

Si no tenéis servidor con php instalado para poder hacer la prueba he subido el formulario a una web: http://tallervulneravilidades.iespana.es/xss, podéis hacer todas las pruebas que quieras con esta web.

Supongo que si sabéis php entiendes los códigos, si no saben los explicaré.

En el primer código hay que fijarse en la etiqueta <FORM>:

El método GET significa que envía los datos a través de la URL, supongo que ya os abareis dado cuanta de eso, y el método POST los envía sin usar la URL, action dice que le envía los datos a "xss.php", que es el código que analizaremos ahora.
El segundo código recoge los datos enviados y los escribe en la pantalla.


Esta función recoge los del cuadro de texto con nombre "vuln" y los almacena en $var.

Este código escribe en la pantalla "Has escrito: " seguido de la variable $var. Supongo que ahora si habrá quedado bien claro.

Ahora os dejo una tarea, tenéis que explotar la siguiente vulnerabilidad de XSS, si no lo consegis pondré la respuesta en el siguiente capitulo.
Este es el código de la vulnerabilidad:

<!--
Codigo de "index.html"
//-->
 
<HTML>
<HEAD>
<TITLE>Ejercicio 1: Vulnerabilidad XSS</TITLE>
</HEAD>
 
<BODY>
<BR>
<H2>Ejercicio 1: Vulnerabilidad XSS</H2>
<BR>
<BR>
<H4>Aquí lo que escribes sale dentro de una caja de texto, así que no se ejecuta el código, lo que hay que hacer para que el código se ejecute es romper la caja de texto para que el código quede fuera de ella.</H4>
<BR>
<BR>
<FORM ACTION="xss.php" METHOD="get">
 
   <INPUT TYPE="text" NAME="vuln">
<BR><BR>
   <INPUT TYPE="submit" VALUE="Enviar">
 
</FORM>
</BODY>
</HTML>
 

Ahora pongo el codigo del programa que recibe las variables (xss.php):

<?php
 
$var = $_GET["vuln"];
 
?>
<FORM>
<BR>
Has escrito: <INPUT TYPE="text" VALUE="<?php echo $var; ?>">
</FORM>
 

( En la URL "buscar" es la variable a la que le asignamos "codigo_insertado", que es el que escribe al decir que no encuntra lo que buscamos. Ej: "Su busqueda: codigo_insertado no ha sido encontrasa, repita la busqueda")

Si no tenéis server web con php podéis hacer el ejercicio aquí: http://tallervulneravilidades.iespana.es/ejerxss

Bueno aquí acaba por hoy, en dos o tres días seguiré con el taller con la continuación de XSS.


Saludos!

PORFAVOR NO ESCRIBAN MENASAGES EN ESTE POST HASTA QUE ACABE EL TALER, GRACIAS!.

Capítulo 3: Introduccion a Remote File Inclusion.


Hola, hoy vais a aprender a explotar la vulnerabilidad Remote File Inclusion (RFI), esta vulnerabilidad no afecta solamente a la seguridad de los usuarios sino también la del servidor ya que nos permite modificar archivos de la pagina, pero antes pondré la solución al ejercicio del capítulo anterior, se que era demasiado fácil pero tengo muy poca imanación xD.


Como ya he dicho antes no tenia ninguna dificultad. La web decía que el código que habías escrito era invisible, es cierto, el código estaba dentro de una caja de texto de tipo hidden, así:

<form>
Lo que has escrito no se puede ver... <input type="hidden" value="texto escrito">
</form>
 

Ahora solo tenemos que cerrar la caja de texto "invisible" y el texto quedara fuera de ella. Antes de pasar al RFI quiero decir una cosa sobre el XSS que se me olvido decir en el anterior capitulo.

En algunas webs, sobretodo en foros y libros de visitas, no se permite usar la etiqueta <script></script> pero podemos hacer el uso de otras etiquetas para incluir código, como la etiqueta <iframe> que permite contener otra web dentro de ella. Podemos hacer un código como este:

<iframe src="http://www.miweb.com/codigomalicioso.html"></iframe>
 

Ahora que ya sabemos lo mas básico sobre XSS pasaremos a aprender a explotar la vulnerabilidad RFI. Estos son los materiales y conocimientos necesarios:


1- Esta vez si necesitaremos un servidor web con php.
2- Es lógico que también es necesario saber php.
3- Y por supuesto también hay que tener ganas de aprender.


Esto es todo, empecemos!   Esta vulnerabilidad como su nombre indica se trata de incluir archivos remotos en documentos hechos en php. La función "include();" de php permite incluir archivos dentro del mismo documento como si fuesen parte del texto, esta función se puede usar de dos formas:


Esta vulnerabilidad se suele encontrar en webs que usan esta función en los enlaces. Por ejemplo imaginemos una web que muestra un la publicidad, el logo, la parte donde se muestra el contenido principal y un menú. En el menú hay enlaces para moverse por el interior de la web, pero estos enlaces no llevan a otra web lo que hacen es que cambian el valor de la variable de "include($var);", nosotros podemos modificar ese valor como queramos y incluir dentro un documento con el código que queramos.

Si tenéis server web con php instalado usar este código para hacer pruebas (no puedo subir el codigo a la web de pruebas porque mediante esta vulnerabilidad podríais borrar los demás ejemplos o incluir algún código malicioso)

Código de index.html

<HTML>
<HEAD>
<TITLE> Prueva de RFI </TITLE>
</HEAD>
<BODY>
 
<A HREF="rfi.php?cont=hola.html">Hola!</A>
<BR><BR>
<A HREF="rfi.php?cont=adios.html">Adios!</A>
 
</BODY>
</HTML>
 

No pondre el codigo de "hola.html" ni el de "adios.html" porque puede ser cualquier tonteria sin inportancia.

Codigo de rfi.php

<?php
 
$var = $_GET["cont"];
include($var);
 
?>
 

Ahora si queremos incluir un archivo solo tenemos que hacer:

Tehabras dado cuenta que hemos incluido un archivo .txt, eso es porque si incluimos un archivo .php se ejecutaria en el server onde esta el archivo y no en el de la web vulnerable, así que podríamos incluir un archivo de esta formaí:

code.txt:

<?php
echo "<h1>Vulnerable a RFI</h1>";
?>
 

Aquí acabamos por hoy, en el próximo capitulo veremos como crear una shell remota con esta vulnerabilidad. Ejercicio:

Ya he dicho antes que no podía subir las pruebas de RFI, así que como ejercicio les dejo que intenten modificar el index de la prueba que hemos hecho antes aprovechandose del la Vulnerabilidad. En el siguiente capitulo os dire la respuesta.


Saludos y hasta la proxima!

Hola de nuevo, siento haber tardado tanto, he tendido unos "problemas" con el Internet... bueno pero ya me va bien otra vez y puedo seguir escribiendo. Hoy nos iniciaremos al tema del SQL injection.




Capitulo 5: Empezando con SQL inyection


El SQL injection o la inyección SQL (en español) es una vulnerabilidad muy común y peligrosa. Se basa en inyectar códigos en sentencias SQL, eso me recuerda mucho a BATCH injection no por el nombre sino por en que consiste, ¿os interesa el BATCH injection? pues pongo el manual de SirDarckat http://foro.elhacker.net/index.php/topic,167714.0.html , bueno vamos a lo que íbamos xD

Para aprender a explotar esta vulnerabilidad se necesitan algunos conocimientos:


- Se necesita conocer el lenguaje SQL.
- Es conveniente saber php y HTML (No es imprescindible pero muy conveniente).
- Vendría bien tener un servidor web con mySQL y php instalado para hacer pruebas.
- Ganas de aprender!


SQL injection es un fallo en la valuación de entradas para realizar peticiones a las bases de datos, si habéis creado alguna web o cualquier otro programa que use una base de datos sabréis como se realiza una petición, en php seria una cosa así:


Esta consulta no seria vulnerable porque el usuario no puede introducir datos en ella, pero en las consultas donde el usuario puede introducir datos (normalmente son para verificar si coincide el user y pass) suelen ser vulnerables. Veamos un ejemplo de una consulta donde el usuario introduce su pass y su user:

(Esta es la consulta en SQL, se usara la función mysql_query(); de php para que devuelva los datos)

Si devuelve algún dato es que el user y pass son correctos, si no devuelve ninguno es que no son correctos, y si los datos son correctos nos puede dar acceso a una zona solo para usuarios registrados o a cualquier otro sitio. Lógicamente la forma de acceder a ese sitio sin saber ni el user ni el pass es hacer que la función devuelva un valor, pero... ¿como lo conseguimos? No es nada difícil, supongo que os acordareis de que hacíamos para explotar un XSS dentro de un <input>, pues esto es parecido.

En SQL los valores se ponen dentro de comillas simples, pues para modificar la consulta SQL debemos poner una comilla seguido del código, en el caso de que la consulta (sin modificar) solo compruebe que el user yu pass son correctos y si lo son nos de acceso a un sitio podemos usar OR (sirve para decir que se cumpla una condición u otra), la sentencia con el código inyectado quedaría algo así:

(el color verde es el original y el rojo el inyectado)

En el valor del usuario he puesto lo primero que se me ha pasado por la cabeza y en el valor de la contraseña he puesto una comilla simple para salir del campo del valor y después el código a inyectar, con el código que hemos inyectado conseguimos que la función siempre devuelva un valor y así poder entrar a la zona donde solo pueden entrar los usuarios registrados.

Ahora haremos las pruebas con un ejemplo real:

Codigo de index.html:

<form action="sqlinj.php" method="post">
<br><br><br>
Usuario: <input type=text name=user><br>
Contraseña: <input type=pasword name=pass><br><br>
<input type=submit>
</form>
 

Codigo de sqlinj.php:

<?php
 
$user = $_POST["user"];
$pass = $_POST["pass"];
 
$dir = "direccion_de_la_base_de_datos";
$use = "usuario";
$pas = "contraseña";
 
$conn = mysql_pconnect($dir,$use,$pas);
mysql_select_db($use,$conn);
$resp = mysql_query("SELECT * FROM usuarios WHERE user='$user' AND pass='$pass' ",$conn);
 
if (mysql_fetch_array($resp)) {     //Si la consulta devuelve algun valor...
	echo "<h1>Inicio de sesion correcto</h1>";
} else {
	echo "<h1>ERROR usuario o contraseña no validos</h1>";
}
 
?>
 

Aquí tenéis el enlace con la prueba: http://tallervulneravilidades.iespana.es/sqlinj/index.html

ADVERTENCIA: Parece que los de iespana usan un filtro para que no se pueden inyectar otras instrucciones, podéis                          hacer solo la prueba de ' or 1='1 y la de los comentarios.


Como podemos comprobar esta web funciona como he descrito antes, de modo que podemos usar ' OR '1'='1 para "acceder", hay otras formas de conseguir entrar como por ejemplo inyectar un código que registre un usuario nuevo. Antes de ver esto veremos como hacer comentarios:

Si en un código nos molesta una parte del código la "eliminamos" con un comentario ya que estos hacen que no se interprete la parte del código que le indicamos, por ejemplo podemos eliminar la molesta comilla que se queda siempre al final xD. Las formas de hacer comentarios son así:

/* comentario */ ----> El comentario se pone entre una barra y otra, si no cerramos con la otra barra el código que continúe sera ignorado.
# comentario  ------> Todo lo que sigue de # sera ignorado.
// cometario ---------> Igual que el anterior.
-- comentario -------> Igual que los dos anteriores.

Se que hay mas pero ahora mismo no los recuerdo, según la base de datos admite uno u otro. Una forma de eliminar la molesta comilla es así:


También podemos hacer un comentario a mitad de la consulta usando /* y */, aquí pongo un ejemplo (la parte gris es lo comentado y el rojo el código inyectado):


de este modo revolvería un valor si en usuario luís existe y no tendremos que poner su contraseña ni usar el truco de ' or 1='1. Ahora veamos como registrar usuarios nuevos y realizar cambios en una base de datos. En SQL podemos separar una consulta de otra mediante el ; creo que eso les habrá dado ya una idea, pero sin no os ha dado ninguna os la diré yo...

Podemos inyectar otra consulta que cree un usuario nuevo y así podríamos acceder, al inyectar el código quedaría una cosa así:


Como podemos observar hemos cerrado el campo pass con una comilla, después hemos puesto un ; para separar una instrucción de otra y después hemos inyectado nuestra instrucción "maligna" y con un comentario nos hemos librado de nuestra molesta comilla. Igual que hemos inyectado esa instrucción podemos inyectar cualquier otra. Con esto acabo este capitulo, en el próximo hablaré sobre Blind SQL inyection.

De ejercicio tenéis que hacer un exploit básico usando un lenguaje de programacion web que permita registrar usuarios con el nombre que le indiquéis, también puede contener mas funciones.


Saludos a todos!!!

No existe la pagina rfi.php en ese servidor.