Diferència entre revisions de la pàgina «Auditoria a un Prestashop»

De Wiket
Salta a la navegació Salta a la cerca
 
(108 revisions intermèdies per 2 usuaris que no es mostren)
Línia 1: Línia 1:
Proyecto realizado por Luis Andres Ascoy Ramirez y Eric Repullo Baget
+
==¿Quiénes somos?==
==Introducción==
+
Este proyecto ha sido realizado por Luis Andres Ascoy Ramirez y Eric Repullo Baget, estudiantes de SIS2 del Institut Esteve Terradas i Illa.
Este proyecto consiste en hacer una auditoria a Puchito.ml (Prestashop) que hemos instalado y configurado para recrear una tienda virtual. Para ello, hemos realizado diferentes ataques al Prestashop, a la base de datos y al Apache2 para ver la vulnerabilidades que tiene cada uno de ellos para poder evaluarlas y, posteriormente, entrar y extraer la mayor información posible. Para realizar este proyecto, nos hemos basado en ataques para las siguientes versiones:
 
<ul>
 
<li type="circle">Prestashop: 1.7.1.0</li>
 
<li type="circle">PHP: 5.6</li>
 
<li type="circle">Apache2: 2.4.29</li>
 
<li type="circle">MySQL: 5.7.26</li>
 
</ul>
 
==Ataques realizados==
 
===Ingeniería Social===
 
La <b>ingeniería social</b> es una de las prácticas más comunes a la hora de querer realizar un ataque a una página web. El objetivo principal es recoger toda la información posible expuesta a través de búsquedas por Internet o en la propia página para, posteriormente, realizar ataques y obtener las credenciales de usuarios legítimos. Por lo tanto, podemos clasificar la ingeniería social como un ataque pasivo, ya que recopila información expuesta, por la propia empresa, al público y no sale fuera del margen de la legalidad.
 
  
En primer lugar, hemos accedido a la página del servidor, en este caso puchito.ml, para recopilar toda la información posible. Con esto hemos conseguido:
+
==¿De que trata nuestro proyecto?==
<ul>
+
Nuestro proyecto se basa en realizar diferentes ataques a un Prestashop, a la base de datos y al Apache2 y ver que tipo de información podemos sacar. En este proyecto, lo que hemos hecho es recrear una tienda virtual, como si existiera realmente; realizar todo tipo de ataques y ver que podemos sacar de estos ataques, como credenciales de usuarios, entrar en el administrador tanto del Prestashop como de la base de datos, etc.  
<li>E-mail del posible administrador de puchito.ml: [email protected]</li>
 
<li>Nombre de la empresa: Pucho S.A</li>
 
<li>Tipo de página utilizada: http</li>
 
</ul>
 
  
[[Fitxer:Ingenieria_social.png|200px|center]]
+
==¿Que hemos utilizado para realizar el proyecto?==
 
 
En segundo lugar, hemos creado una cuenta en la tienda para ver qué tipos de credenciales utiliza y que filtros tiene la contraseña (nivel de dificultad). Además, ver el entorno por donde se mueve el usuario y que privilegios tiene.
 
 
 
Gracias a esto hemos obtenido que no pida ningún carácter especial a la hora de introducir la contraseña. Con estos datos, posteriormente podremos generar un diccionario para obtener credenciales.
 
 
 
===Scanning===
 
===Ataque de directorios===
 
====Dirbuster====
 
<b>DirBuster</b> es una herramienta de ataque de fuerza bruta que utiliza un diccionario por defecto, llamado <b>common.txt</b>, que contiene los directorios más comunes en las páginas web.
 
 
 
[[Fitxer:dirb.png|700px|center]]
 
 
 
Lo primero que haremos para realizar este ataque, será lanzarlo. Como podemos observar en la captura, ha detectado un directorio bastante importante: <b>phpmyadmin</b> con sus subdirectorios.
 
 
 
[[Fitxer:dirb2.png|550px|center]]
 
 
 
====Nikto====
 
<b>Nikto</b> es otra herramienta de ataque de fuerza bruta bastante completa, ya que también se encarga de buscar malas configuraciones, vulnerabilidades, fechas de actualización…
 
 
 
<p align="center"> '''Nikto –h [IP/Dominio] –p [puerto]''' </p>
 
<ul>
 
<li>h: parámetro obligatorio para definir el Target.</li>
 
<li>p: especificar puerto en el que queremos lanza el ataque.</li>
 
</ul>
 
 
 
Los directorios más importantes: phpmyadmin, robots.txt, install.txt, /icons/readme. Además, hemos obtenido otra información:
 
 
<ul>
 
<ul>
<li type="circle">Cookie PHPSSID protegida únicamente con el flag de http</li>
+
<li>Prestashop</li>
<li type="circle">Anti-clickjacking X-Frame-Options desactivada o inexistente</li>
+
<li>Apache2</li>
 +
<li>MySQL</li>
 +
<li>PHP</li>
 +
<li>Ubuntu 18.04</li>
 +
<li>Kali</li>
 +
<li>Windows 10</li>
 +
<li>Router</li>
 
</ul>
 
</ul>
  
[[Fitxer:Nikto.png|500px|center]]
+
==Problemas que hemos tenido==
 
+
El principal problema que hemos tenido nosotros es el cambio de proyecto en la primera semana. Nosotros teníamos la idea de realizar una auditoria al departamento de informática pero a nivel de routers y switches. Pero, el problema que tuvimos es que si realizábamos algún ataque o hacíamos algo podríamos provocar algún problema y dejar al instituto sin Internet. Por eso cambiamos de tema en el proyecto.   
===MITM (Man In The Middle)===
 
El ataque <b>Man-in-the-middle</b> es uno de los más comunes, el principal objetivo es introducirse como intermediario entre la víctima y la página en la que navega de una manera sigilosa, ya que el usuario no tiene idea de lo que sucede.
 
 
 
====MITM (ETTERCAP)====
 
Para realizar este ataque, en primer lugar, hemos configuramos el programa ettercap para que investigue todo el tráfico que pasa por la tarjeta de red principal, en este caso, es eth0.
 
 
 
[[Fitxer:MITM_1.png|600px|center]]
 
 
 
En segundo lugar, nos vamos a Hosts y realizamos un escaneo a la red para ver que hosts están conectados.
 
 
 
[[Fitxer:MITM_2.png|600px|center]]
 
 
 
En tercer lugar, escogemos la IP de nuestra víctima, en este caso la IP 192.168.0.66, y la añadimos en la Target1.
 
 
 
[[Fitxer:MITM_3.png|600px|center]]
 
 
 
Por último, especificamos el tipo de MITM, nosotros lo haremos por ARP. Después, seleccionamos la opción de <b>sniff</b> y esperamos a que el usuario introduzca sus credenciales para entrar a su cuenta.
 
 
 
[[Fitxer:sniff.png|600px|center]]
 
 
 
*Recordemos que la tienda virtual, está por el puerto HTTP, por lo tanto su tráfico no va encriptado.
 
 
 
[[Fitxer:MITM_5.png|500px|center]]
 
 
 
====DNS spoofing====
 
====Driftnet====
 
<b>Driftnet</b> es una herramienta incluida dentro de la suite dsniff diseñada para testar la seguridad de la red. Esta, incluye varias aplicaciones para monitorizar la red de formas muy diversas y puede llegar a comprometer la privacidad de las personas conectadas a la red, si realizamos un ataque MITM. Pero esta, nos permite observar las imágenes que esta visualizando la victima a partir de un trafico TCP.
 
 
 
Nosotros, para realizar este ataque hemos utilizado la herramienta del websploit.
 
 
 
===Ataque de diccionarios===
 
===OWASP===
 
Es un proyecto abierto de seguridad en aplicaciones web con código abierto, siendo una de las herramientas más completas y perfectas a la hora de realizar pruebas de vulnerabilidades a una página, gracias a la gran variedad de recursos que nos ofrece.
 
====Cross Site Scripting (XSS)====
 
====Ataque de diccionarios(2)====
 
Para demostrar este tipo de ataque hemos realizado un ataque al login de phpmyadmin.
 
 
 
1) Cambiar la configuración de nuestro proxy con la dirección localhost y con el puerto 8080
 
 
 
2) Activar el proxy que nos ofrece el propio owasp e introducir la misma dirección y puerto del paso anterior.
 
 
 
[[Fitxer:Pas2.png|500px|center]]
 
 
 
3) Accedemos a la página de puchito.ml/phpmyadmin desde nuestro navegador y rellenamos los campos de login y password.
 
 
 
4) Ir al OWASP y localizar la petición que hemos realizado desde nuestro navegador.
 
 
 
5) Una vez localizada observamos el nombre del campo donde se introduce el usuario y password.
 
 
 
[[Fitxer:Pas4.png|500px|center]]
 
 
 
6) Realizamos el ataque con Fuzz y seleccionamos el valor de login y password para sustituirlo por nuestro diccionario hecho anteriormente.
 
 
 
[[Fitxer:Pas6.png|500px|center]]
 
 
 
 
 
[[Fitxer:Pas7.png|500px|center]]
 
 
 
 
 
[[Fitxer:Pas8.png|500px|center]]
 
 
 
7) Activar el ataque y esperar a que OWASP arroje algún resultado.
 
 
 
[[Fitxer:Pas9.png|500px|center]]
 
 
 
Como observamos fuzzer nos muestra todas las combinaciones que ha hecho a partir de nuestro diccionario. Si nos fijamos bien podemos ver que hay una coincidencia con el valor de 0 bytes, esto nos indica que hay una combinación que es correcta.
 
 
 
Por lo tanto, obtenemos, como con hydra, un usuario en la base de datos con las siguientes credenciales:
 
 
 
Usuario: lascoyramirez
 
 
 
Password: Puch0.S.A.
 
 
 
===Nessus===
 
<b>Nessus</b> es un programa de escaneo de vulnerabilidades para diferentes sistemas operativos. Este, consiste en un demonio (<b>nessusd</b>) que realiza el escaneo del sistema objetivo. A partir de aquí, Nessus <b>informa sobre el estado de los escaneos</b>.
 
 
 
Esto no seria un ataque como tal, porque como hemos explicado anteriormente, Nessus es un programa que escanea el sistema que nosotros queremos para saber las vulnerabilidades que pueda tener y, a partir del informa que nos da, atacar al sistema y ver como poder entrar para atacar a nuestra tienda virtual, base de datos o apache2.
 
 
 
[[Fitxer:rango.png|700px|center]]
 
 
 
En este caso, Nessus nos informa que el sistema donde tenemos tanto el Prestashop como la base de datos no tiene <b>ninguna vulnerabilidad</b>. Podemos decir, que el sistema donde esta montado la tienda no tiene ninguna vulnerabilidad para entrar.
 
 
 
[[Fitxer:nessus.png|700px|center]]
 
 
 
===Foca===
 
===Ataque DDoS===
 
====Metasploit Framework====
 
====Slowloris====
 
===Phishing===
 
El <b>phishing</b> es un método de ciberataque que sirve para engañar a los usuarios y conseguir información personal, como contraseñas, correos, datos personales, tarjetas de crédito, cuentas bancarias y demás. Esto se hace mediante el envió de un correo fraudulento. Este, le envía hacia un sitio web falso que suplanta una parte de la web principal, donde el usuario tiene que loguearse o poner otro tipo de datos. Entonces, cuando acaba de poner sus datos, la web se recarga y redirecciona al usuario a la web principal, pero en ese mismo momento el atacante ya ha recogido los datos que ha introducido la victima haciéndose, de esta manera, con los datos personales para hacer con ellos lo que el atacante quiera.  
 
 
Nosotros, para realizar este ataque, como anteriormente, ya hemos obtenido las credenciales de la victima, le enviamos un correo, en el cual le haremos creer que hay un descuento en la tienda y para obtener dicho descuento tendría que entrar el momento si quiere disfrutar de él.
 
 
 
Antes de enviar el correo a la victima, crearemos un dominio falso en el cual el usuario tenga que poner su correo y su contraseña para obtenerlas y poder entrar con su usuario. Para hacer este paso, en nuestro caso en la Kali que es donde vamos a capturar los datos del usuario, tendremos que crear un archivo dentro de la carpeta <b>/etc/apache2/sites-available</b> en el cual le tendremos que poner como administrador (<b>ServerAdmin</b>) nosotros mismos, configurar la web falsa la cual entrará la victima (<b>ServerName</b>), un alias (<b>ServerAlias</b>) aunque en el navegador saldrá el nombre puesto en ServerName y la ruta donde tenemos el apache2 para recrear la web falsa.
 
 
 
[[Fitxer:puchiito.png|700px|center]]
 
 
 
Ahora iniciamos el <b>setoolkit</b>, que es la herramienta que vamos a utilizar para hacer el phishing. Una vez en el menú del setoolkit, primero ponemos 1 que es <b>Social-Engineering Attacks</b>. Luego, ponemos 2 que es <b>Website Attack Vectors</b>. Después, 3 que es <b>Credential Harvester Attack Method</b> para coger las credenciales. Y por último, 2 que es <b>Site Cloner</b> que es para clonar la página que le pasamos a continuación. Hecho estos pasos, pondremos la IP desde donde queremos capturar el ataque, en nuestro caso desde nuestra Kali y, luego, nos pedirá que pongamos la web que queremos clonar.
 
 
 
[[Fitxer:clonar.png|700px|center]]
 
 
 
Una vez hecho este paso y creado ya nuestro dominio falso, le enviamos el correo a la victima donde le diremos que hay un descuento en la tienda y le pondremos la URL de nuestra web falsa para que entre y loguearse con sus credenciales.
 
 
 
[[Fitxer:correo.png|700px|center]]
 
 
 
Como podemos ver en la siguiente captura, el usuario ha entrada en nuestra web falsa, una web ya creada anteriormente para hacer creer ha la victima que esta entrando en la web oficial de la tienda. Como podemos comprobar la URL tiene un nombre distinto pero parecido.
 
 
 
[[Fitxer:webfalsa.png|700px|center]]
 
 
 
Ahora, una vez que la victima ha metido sus credenciales, le redirige a la web oficial, haciéndole creer que se ha equivocado al poner alguno de sus datos. Entonces, él volverá a poner su correo y contraseña y, al entrar en la web, no verá que no hay ningún tipo de descuento.
 
 
 
[[Fitxer:Weboficial.png|700px|center]]
 
 
 
Como el usuario ya ha metido sus credenciales en la web falsa y ha sido redirigido a la web oficial, en ese momento, desde nuestra Kali, hemos capturado sus datos como podemos ver en la captura siguiente.
 
  
[[Fitxer:phishing.png|700px|center]]
+
==Conclusión==
 +
Con este proyecto, hemos aprendido ha realizar ataques que hemos hecho durante el curso en diferentes módulos, además de conocer otros recursos u otras herramientas nuevas que nos han servido para ver algunas de las partes del Prestashop, BBDD o Apache2 que no conocíamos. Otra cosa que hemos aprendido es que la parte más vulnerable para realizar un ataque es la parte humana (<b>ingeniería social</b>) que con tan solo un click puedes sacar mucha información. A parte, nos hubiera gustado hacer el ataque Remote Code Execution. Este ataque consiste en la capacidad que tiene un atacante para acceder al dispositivo informático de otra persona y realizar cambios, sin importar dónde esté ubicado geográficamente el dispositivo. Pero, por falta de tiempo no hemos podido realizar.
  
Como podemos ver, hemos capturado las credenciales de las victimas. Con esto, podemos entrar en la página de la tienda como si fuéramos el usuario y, si este, tiene  la tarjeta de crédito guardada en su cuenta de la página, podríamos comprar cosas con su tarjeta.
+
==Documentación del proyecto==
 +
*[[Auditoria a un Prestashop - Manual técnico]]
 +
*[https://drive.google.com/file/d/1glwA38Y6hn1ftTqat8HnzxEYyIlNQSHj/view?usp=sharing Descargar Power Point de la presentación del proyecto final.]

Revisió de 21:29, 26 maig 2019

¿Quiénes somos?

Este proyecto ha sido realizado por Luis Andres Ascoy Ramirez y Eric Repullo Baget, estudiantes de SIS2 del Institut Esteve Terradas i Illa.

¿De que trata nuestro proyecto?

Nuestro proyecto se basa en realizar diferentes ataques a un Prestashop, a la base de datos y al Apache2 y ver que tipo de información podemos sacar. En este proyecto, lo que hemos hecho es recrear una tienda virtual, como si existiera realmente; realizar todo tipo de ataques y ver que podemos sacar de estos ataques, como credenciales de usuarios, entrar en el administrador tanto del Prestashop como de la base de datos, etc.

¿Que hemos utilizado para realizar el proyecto?

  • Prestashop
  • Apache2
  • MySQL
  • PHP
  • Ubuntu 18.04
  • Kali
  • Windows 10
  • Router

Problemas que hemos tenido

El principal problema que hemos tenido nosotros es el cambio de proyecto en la primera semana. Nosotros teníamos la idea de realizar una auditoria al departamento de informática pero a nivel de routers y switches. Pero, el problema que tuvimos es que si realizábamos algún ataque o hacíamos algo podríamos provocar algún problema y dejar al instituto sin Internet. Por eso cambiamos de tema en el proyecto.

Conclusión

Con este proyecto, hemos aprendido ha realizar ataques que hemos hecho durante el curso en diferentes módulos, además de conocer otros recursos u otras herramientas nuevas que nos han servido para ver algunas de las partes del Prestashop, BBDD o Apache2 que no conocíamos. Otra cosa que hemos aprendido es que la parte más vulnerable para realizar un ataque es la parte humana (ingeniería social) que con tan solo un click puedes sacar mucha información. A parte, nos hubiera gustado hacer el ataque Remote Code Execution. Este ataque consiste en la capacidad que tiene un atacante para acceder al dispositivo informático de otra persona y realizar cambios, sin importar dónde esté ubicado geográficamente el dispositivo. Pero, por falta de tiempo no hemos podido realizar.

Documentación del proyecto