Auditoria a un Prestashop - Manual técnico
Introducción
Este proyecto consiste en hacer una auditoria a Puchito.ml (Prestashop) que hemos instalado y configurado para recrear una tienda virtual. Para ello, hemos realizado diferentes ataques al Prestashop, a la base de datos y al Apache2 para ver la vulnerabilidades que tiene cada uno de ellos para poder evaluarlas y, posteriormente, entrar y extraer la mayor información posible. Para realizar este proyecto, nos hemos basado en ataques para las siguientes versiones:
- Prestashop: 1.7.1.0
- PHP: 5.6
- Apache2: 2.4.29
- MySQL: 5.7.26
Ataques realizados
Ingeniería Social
La ingeniería social es una de las prácticas más comunes a la hora de querer realizar un ataque a una página web. El objetivo principal es recoger toda la información posible expuesta a través de búsquedas por Internet o en la propia página para, posteriormente, realizar ataques y obtener las credenciales de usuarios legítimos. Por lo tanto, podemos clasificar la ingeniería social como un ataque pasivo, ya que recopila información expuesta, por la propia empresa, al público y no sale fuera del margen de la legalidad.
En primer lugar, hemos accedido a la página del servidor, en este caso puchito.ml, para recopilar toda la información posible. Con esto hemos conseguido:
- E-mail del posible administrador de puchito.ml: [email protected]
- Nombre de la empresa: Pucho S.A
- Tipo de página utilizada: http
En segundo lugar, hemos creado una cuenta en la tienda para ver qué tipos de credenciales utiliza y que filtros tiene la contraseña (nivel de dificultad). Además de ver el entorno por donde se mueve el usuario y que privilegios tiene. Gracias a esto hemos obtenido la información de que no pide ningún carácter especial a la hora de introducir la contraseña.
Con estos datos, posteriormente podremos generar un diccionario para obtener credenciales mediante ataques de fuerza bruta.
Scanning
El ataque sanning, como su propio nombre indica, se encarga de lanzar un escaneo a la red de manera local o bien un target especifico. Gracias a esto, conseguimos recolectar información de puertos o servicios expuesta, de una manera más violenta a la ingeniería social, pero no menos útil a la hora de realizar ataques.
Nmap
Nmap es una herramienta que realiza escaneos a la red local o dominios publicados en la red con una infinidad de funciones para personalizar nuestra búsqueda incluyendo la detección de puertos abiertos, versiones, sistema operativos...
En nuestro caso, para realizar un escaneo a puchito.ml hemos lanzado:
nmap -sT -sV -O [dominio asocioado]
- -sT: Realiza un escaneo a los puertos TCP del dominio o IP
- -Sv: Realiza un escaneo de las versiones a los puertos abiertos del dominio o IP
- -O: Nos muestra el sistema operativo del domino o IP
Esto nos muestra los siguientes resultados:
WhatWeb
Whatweb es un software instalado en Kali, incluye los sistemas de gestión de contenidos (CMS) más comunes arrojando un total de 900 plugins con el que ayuda a identificar más información sobre la página. Para iniciar esta herramienta, tenemos que poner en el terminal el siguiente comando:
whatweb [dominio asociado]
Utilizando esta herramienta, hemos recogido la siguiente información:
- Servidor: http con apache 2.4.29
- Título de la página Pucho S.A
- Sistema operativo del servidor: Ubuntu
- IP asociada: 192.168.0.62
- Cookies: PHPSESSID, Prestashop
- Email: [email protected]
- Lenguaje de código: javascript
Ataques de fuerza bruta
Ataque de fuerza bruta es un ataque que tiene como objetivo conseguir una clave a base de ir probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Dirbuster
DirBuster es una herramienta de ataque de fuerza bruta que utiliza un diccionario por defecto, llamado common.txt, que contiene los directorios y archivos expuestos y más comunes que utilizan las paginas web.
Para ejecutar esta herramienta desde la terminal, tenemos que introducir:
dirb [URL_BASE]
Una vez ejecutado DirBuster podemos observar en la captura, que ha detectado un directorio bastante importante: phpmyadmin con sus subdirectorios.
Nikto
Nikto es otra herramienta automatizada de ataque de fuerza bruta bastante completa, ya que también se encarga de buscar malas configuraciones, vulnerabilidades, fechas de actualización…
Para ejecutar dichar herramienta desde consola utilizamos la siguiente comanda:
Nikto –h [IP/Dominio] –p [puerto]
- -h: parámetro obligatorio para definir el Target.
- -p: especificar puerto en el que queremos lanza el ataque.
Los directorios más importantes: phpmyadmin, robots.txt, install.txt, /icons/readme. Además, hemos obtenido otra información:
- Cookie PHPSSID protegida únicamente con el flag de http
- Anti-clickjacking X-Frame-Options desactivada o inexistente
Como podemos observar en los dos casos el directorio más importante es el login de phpmyadmin directorio en el cual se centrara los futuros ataques de diccionario.
HYDRA (Ataques de diccionario)
Los ataques de diccionario son otro de los ataques más comunes que se realiza en diferentes paginas o puertos en el que existe un campo para introducir credenciales. Dicho ataque, y como su propio nombre indica, a partir de un diccionario con palabras creadas por nosotros mismos de una manera personalizada o directamente uno encontrado en la web podemos realizar un ataque y obtener nombres de cuentas y contraseñas. Obviamente un diccionario personalizado es mucho más efectivo, y mucho más, si utilizamos combinaciones con nombres encontrados anteriormente (ingeniería social).
En nuestro caso, lo utilizaremos para el login de phpmyadmin basándonos en un diccionario, ya creado con credenciales típicas y otra con un diccionario generado por nosotros.
- Diccionario ya creado: Hemos hecho uso de rockyou.txt, un archivo con las palabras más utilizadas por los usuarios a la hora de crearse una cuenta, pero no tuvimos exito.
- Diccionario personalizado: A partir de toda la información recolectada anteriormente, hemos generado un diccionario con las posibles combinaciones de usuario y contraseña. En esta ocasión fue todo un éxito, ya que recopilado la siguiente información:
Usuario: lascoyramirez Contraseña: Puch0.S.A
Para obtener estas credenciales utilizamos la herramienta hydra, pero al realizarlo al login de una pagina necesitamos pasarle parámetros extras, como, el código del campo donde se se realiza la petición de usuario y contraseña.
- Inspeccionar el elemento de la pagina y localizar el codigo del campo
- El tipo de trafico de envío que utiliza la pagina http: GET|POST
- Parámetro para añadir al diccionario el usuario y contraseña
- -L: diccionario usuario
- -P: diccionario contraseña
- Otros parámetros:
- -t: numero de conectores en paralelo
- -f: Una vez encontrado las credenciales salir
- -vV: Que nos muestre lo se va ejecutando
- Resultado final:
hydra -t 1 -L [diccionario] -f -P [diccionario] -vV 192.168.0.2 http-post-form "/phpmyadmin/index.php:pma_username=^USER^&pma_password=^PASS^&server=1:denied"
MITM (Man In The Middle)
El ataque Man-in-the-middle es uno de los más comunes, el principal objetivo es introducirse como intermediario entre la víctima y la página en la que navega de una manera sigilosa durante el intercambio de peticiones. El MITM abarca numerosos ataques, nosotros en esta ocasión hemos realizado ARP poisoning, DNS spoofing y driftnet.
MITM (ARP poisoning)
El ARP poisoning se basa en el envenenamiento de las tablas ARP del router y cliente, de esta manera logramos confundir a los dos durante el intercambio de peticiones, haciendo que cada petición sea enviada a nuestra maquina Kali.
- Configuramos el programa ettercap para que investigue todo el tráfico que pasa por la tarjeta de red principal, en este caso, es eth0.
- Nos vamos a la pestaña Hosts para realizar un escaneo a la red y ver que hosts están conectados.
- Con la lista de todos los dispositivos conectados en red, escogemos la IP de nuestra víctima, en este caso la IP 192.168.0.66, y la añadimos a Target1.
- Por último, especificamos el tipo de MITM, nosotros lo haremos por ARP poisoning. Después, seleccionamos la opción de sniff y esperamos a que el usuario introduzca sus credenciales para entrar a su cuenta.
- Recordemos que la tienda virtual utiliza el puerto 80 HTTP, por lo tanto su tráfico no va encriptado.
- Cambiar la configuración de nuestro proxy con la dirección localhost y con el puerto 8080.
- Activar el proxy en las opciones que nos ofrece el propio owasp e introducir la misma dirección y puerto del paso anterior.
- Accedemos a la página de puchito.ml/phpmyadmin desde nuestro navegador y rellenamos los campos de login y password.
- Ir al OWASP y localizar la petición que hemos realizado desde nuestro navegador al introducir las credenciales para acceder.
- Una vez localizada observamos el nombre del campo donde se introduce el usuario y password y hacemos click derecho para atacar con Fuzzer. Para realizar esto seleccionamos el valor de login y password y lo sustituimos por nuestro diccionario personalizado generado anteriormente.
- Activar el ataque y esperar a que OWASP arroje algún resultado. (Si hay alguno veremos que el valor es de 0 bytes)
- Imagen realizada desde una maquina cliente Windows
- Generamos un nuevo proyecto
- Introducimos un nombre de proyecto, el dominio y dominios alternativos
- Le damos a crear y acto seguido pulsamos en search all
DNS spoofing
DNS spoofing se produce cuando los registros de un servidor DNS son modificados maliciosamente para redirigir el tráfico al atacante. Esta redirección del tráfico le permite al atacante distribuir malware, robar datos, etc.
Antes de realizar el DNS spoofing, tenemos que configurar dos archivos: etter.conf, etter.dns. En el primer archivo, tendremos que poner poner los valores de UID y GID en 0.
Y en el segundo archivo, editamos el nombre del dominio que esperamos que la victima utilice y la IP de nuestro host que es desde donde veremos las credenciales una vez el usuario entre en la web.
Una vez ya hemos configurado estos archivos, ejecutamos ettercap. Lo primero que nos pedirá, será poner la interficie que queremos ver el tráfico. Luego, nos vamos a Hosts y hacemos un escaneo de las redes que hay conectadas. Como podemos ver, la victima está conectada en este momento, entonces la seleccionamos y la añadimos en la Target1.
Ahora, nos vamos a Plugins y añadimos el dns_spoofing.
Hecho esto, iniciamos el ettercap. Como podemos comprobar, desde el ettercap, vemos que el usuario ha metido sus credenciales y las hemos capturado. Ahora con su correo y contraseña podemos entrar como si fuéramos él y hacer diversas cosas desde su cuenta. Además, vemos desde que página se esta registrando.
También, como hemos dicho anteriormente, vemos que la victima ha entrado en el servidor del Prestashop. Ahora, como hemos capturado sus credenciales, podemos entrar con su cuenta y poder hacer diferentes cosas para que la página vaya mal o, por ejemplo, cambiar sus datos de cuenta y que todo lo que se compre en la web vaya a nuestra cuenta bancaria.
Driftnet
Driftnet es una herramienta incluida dentro de la suite dsniff diseñada para testar la seguridad de la red. Esta, incluye varias aplicaciones para monitorizar la red de formas muy diversas y puede llegar a comprometer la privacidad de las personas conectadas a la red, si realizamos un ataque MITM. Pero esta, nos permite observar las imágenes que esta visualizando la victima a partir de un trafico TCP.
Nosotros, para realizar este ataque hemos utilizado la herramienta del websploit. Para iniciarla, nos vamos al terminal y ponemos el nombre de la herramienta. Una vez hecho esto, usaremos MITM (use network/mitn) para efectuar el ataque. Ahora, pondremos la interficie que queremos capturar, poner la IP del Router (set Router IP) y la IP de la victima (set Target IP). Configurado esto, iniciamos el ataque.
Como podemos comprobar en el siguiente captura, vemos que ha capturado alguna imagen que esta visualizando la victima. Pero, en este ataque, también hemos comprobado que no captura todas las imágenes visualizadas, sólo captura algunas de las imágenes.
OWASP
OWASP es un proyecto abierto de seguridad en aplicaciones web con código abierto, siendo una de las herramientas más completas y perfectas a la hora de realizar pruebas de vulnerabilidades a una página, gracias a la gran variedad de recursos que nos ofrece.
Ataque de diccionarios (2)
Para demostrar este tipo de ataque hemos realizado un ataque al login de phpmyadmin.
Como observamos fuzzer nos muestra todas las combinaciones que ha hecho a partir de nuestro diccionario. Si nos fijamos bien podemos ver que hay una coincidencia con el valor de 0 bytes, esto nos indica que hay una combinación que es correcta. Por lo tanto, obtenemos, como con hydra, un usuario en la base de datos con las siguientes credenciales:
Usuario: lascoyramirez Contraseña: Puch0.S.A
XSS
El ataque XSS o Cross-Site Scripting es otro vector de ataque para robar información, guardar sesiones de usuario, irrumpir el uso normal del navegador y poder modificar parámetros existentes en el código de cualquier pagina web.
Su funcionamiento es modificar los parámetros que envía el cliente al servidor con el uso de scripts y, mediante el uso de herramientas como OWASP o BurpSuite se interponen entre la conexión y subvierten la comunicación. Un claro ejemplo, es captar el document.cookie que genera cada servidor al recibir una petición de entrada de usuario. Con esto podríamos apoderarnos de la sesión de dicho usuario y robarle las credenciales.
Esta ocasión, OWASP nos ha resultado útil a la hora de ejecutar dicho ataque, ya que por defecto viene un diccionario por defecto de XSS con los fallos más comunes encontrados en una pagina web.(Para introducir este diccionario hay que realizar los pasos explicados en el Ataque de diccionarios(2)). Este ataque lo hemos realizado en todos los campos de búsqueda de prestashop, a continuación se puede ver un ejemplo:
Por desgracia, dicho ataque, solo ha arrojado resultados negativos o falsos positivos, ya que a la hora de realizarlo phpmyadmin no arrojaba ningún resultado.
SQL Injection
SQL Injection es un método de infiltración de código que se basa de una vulnerabilidad que se encuentra en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos. Es decir, es el método de infiltración de incrustar código SQL intruso a una base de datos y poder entrar en ella.
Nosotros utilizaremos el OWASP para realizar este ataque. Realizaremos los primeros 5 pasos que hemos hecho en el ataque de diccionarios, pero en el quinto paso utilizaremos el diccionario que viene por defecto en el OWASP de SQL Injection y le damos añadir.
Hecho esto, realizamos el ataque. Una vez acabado, como vemos en la captura siguiente, nos dan diferentes resultados. Ahora los veremos más detenidamente.
Pero, lamentablemente, todos los resultados que nos ha dado, son falsos positivos, entonces no ha salido con éxito el ataque.
Ataque DoS
El ataque DDos o Ataque de denegación de servicios realiza peticiones o conexiones a una pagina a gran escala para poder saturarla y dejarla sin funcionamiento.
Dicho ataque se divide en dos: si es DDoS las peticiones se realizan de diferentes puntos y de manera masiva haciendo más dificil su deteccion, y en caso de DoS dichas peticiones se realizan desde una misma máquina o dirección IP siendo más fácil de detectar.
Slowloris
Slowloris es una herramienta automatizada en lenguaje perl con la función de realizar ataque de DoS nada más ejecutarlo. Dicho código se encarga de lanzar peticiones de manera continuada sin parar. Lo que la hace perfecta para saturar directamente a la pagina sin ninguna dificultad.
Esta herramienta no viene instalada por defecto en el sistema Kali, por lo tanto para poder hacer un uso de ella tenemos que descargarla desde la github.
git clone https://github.com/llaera/slowloris.pl. git
Una vez instalada nos situamos dentro del directorio y lo ejecutamos de la siguiente manera:
perl slowloris.pl -dns puchito.ml
Phishing
El phishing es un método de ciberataque que sirve para engañar a los usuarios y conseguir información personal, como contraseñas, correos, datos personales, tarjetas de crédito, cuentas bancarias y demás. Esto se hace mediante el envió de un correo fraudulento. Este, le envía hacia un sitio web falso que suplanta una parte de la web principal, donde el usuario tiene que loguearse o poner otro tipo de datos. Entonces, cuando acaba de poner sus datos, la web se recarga y redirecciona al usuario a la web principal, pero en ese mismo momento el atacante ya ha recogido los datos que ha introducido la victima haciéndose, de esta manera, con los datos personales para hacer con ellos lo que el atacante quiera.
Nosotros, para realizar este ataque, como anteriormente, ya hemos obtenido las credenciales de la victima, le enviamos un correo, en el cual le haremos creer que hay un descuento en la tienda y para obtener dicho descuento tendría que entrar el momento si quiere disfrutar de él.
Antes de enviar el correo a la victima, crearemos un dominio falso en el cual el usuario tenga que poner su correo y su contraseña para obtenerlas y poder entrar con su usuario. Para hacer este paso, en nuestro caso en la Kali que es donde vamos a capturar los datos del usuario, tendremos que crear un archivo dentro de la carpeta /etc/apache2/sites-available en el cual le tendremos que poner como administrador (ServerAdmin) nosotros mismos, configurar la web falsa la cual entrará la victima (ServerName), un alias (ServerAlias) aunque en el navegador saldrá el nombre puesto en ServerName y la ruta donde tenemos el apache2 para recrear la web falsa.
Ahora iniciamos el setoolkit, que es la herramienta que vamos a utilizar para hacer el phishing. Una vez en el menú del setoolkit, primero ponemos 1 que es Social-Engineering Attacks. Luego, ponemos 2 que es Website Attack Vectors. Después, 3 que es Credential Harvester Attack Method para coger las credenciales. Y por último, 2 que es Site Cloner que es para clonar la página que le pasamos a continuación. Hecho estos pasos, pondremos la IP desde donde queremos capturar el ataque, en nuestro caso desde nuestra Kali y, luego, nos pedirá que pongamos la web que queremos clonar.
Una vez hecho este paso y creado ya nuestro dominio falso, le enviamos el correo a la victima donde le diremos que hay un descuento en la tienda y le pondremos la URL de nuestra web falsa para que entre y loguearse con sus credenciales.
Como podemos ver en la siguiente captura, el usuario ha entrada en nuestra web falsa, una web ya creada anteriormente para hacer creer ha la victima que esta entrando en la web oficial de la tienda. Como podemos comprobar la URL tiene un nombre distinto pero parecido.
Ahora, una vez que la victima ha metido sus credenciales, le redirige a la web oficial, haciéndole creer que se ha equivocado al poner alguno de sus datos. Entonces, él volverá a poner su correo y contraseña y, al entrar en la web, no verá que no hay ningún tipo de descuento.
Como el usuario ya ha metido sus credenciales en la web falsa y ha sido redirigido a la web oficial, en ese momento, desde nuestra Kali, hemos capturado sus datos como podemos ver en la captura siguiente.
Como podemos ver, hemos capturado las credenciales de las victimas. Con esto, podemos entrar en la página de la tienda como si fuéramos el usuario y, si este, tiene la tarjeta de crédito guardada en su cuenta de la página, podríamos comprar cosas con su tarjeta.
Nessus
Nessus es un programa de escaneo de vulnerabilidades para diferentes sistemas operativos. Este, consiste en un demonio (nessusd) que realiza el escaneo del sistema objetivo. A partir de aquí, Nessus informa sobre el estado de los escaneos.
Esto no seria un ataque como tal, porque como hemos explicado anteriormente, Nessus es un programa que escanea el sistema que nosotros queremos para saber las vulnerabilidades que pueda tener y, a partir del informa que nos da, atacar al sistema y ver como poder entrar para atacar a nuestra tienda virtual, base de datos o apache2.
En este caso, Nessus nos informa que el sistema donde tenemos tanto el Prestashop como la base de datos no tiene ninguna vulnerabilidad. Podemos decir, que el sistema donde esta montado la tienda no tiene ninguna vulnerabilidad para entrar.
FOCA
FOCA o Fingerprinting Organizations with Collected Archives es una herramienta para windows focalizada en la búsqueda de metadatos e información oculta en diferentes archivos. Por otro lado, también nos ofrece búsquedas automatizadas de directorios y archivos vulnerables de páginas mediante el uso de dorks.
Este ataque no dio resultado, ya que nuestro prestashop es en localhost y al no estar publicado en internet no puede generar una lista con vulnerabilidades en directorios o ficheros, porque utiliza los motores de búsqueda más comunes (google, bing, yahoo...) para realizar un escaneo. La herramienta FOCA se ejecuta de una manera muy sencilla:
Como hemos dicho anteriormente, FOCA no ha encontrado ningún resultado: