Conferencia: Errores tipicos de configuracion que pueden causar accesos no autorizados

ah a [Música] y nada más ah creo que te algunas noches la noche o sea el hermano país de bolivia avisáis bolivia por la oportunidad de la de la charla pequeña pero les va a gustar con unas cuantas técnicas que vamos a explotar en este en esta noche el tema de hoy es errores típicos de configuración que pueden causar accesos no autorizados en entorno a puerto esto quiere decir el panel de administración internet cualquier cosa que esté en la web con estos errores que son bien bien comunes ya este año a puertas de 2022 sigue existiendo me presento mi nombre es llevar darles plaza tengo 34 años soy de peru tengo 11 años como programador de software inicié

en el mundo del hacking desde los 15 algunas de las de los reportes de vulgaridades que he hecho que puedo decir son toyota a tuve ocho tuve ocho no voy a entrar si están con gente porque es una página para todos el proyecto durante de eeuu el gobierno en hawai a casa libertad de argentina a box red a la empresas a palos del software de sap de finanzas y todo eso pies viva que es un software parecido o como para tener tu propio youtube a la universidad stanford la biblioteca municipal de la concepción de chile y más cool de chile que es un software de la educación a distancia queremos o tratar hoy el sql injection pero visto en de forma

para vaciar los los leggings de autentificación el usuario pago para entrar al panel de administración la internet o cualquier otra cosa que esté oculta para cualquier usuario de internet arbitral facebook loud que básicamente es cuando tiene un archivo php o aspx o el lenguaje que quieran que descarga archivos del mismo servidor pero al no controlarlo te puedes descargar archivos de configuración lts password y todo lo que se te venga en gana y el information disc lo que básicamente es cuando tienen por ejemplo el apache mal configurado y hay un listado de directorios por ejemplo si yo entro junto con la css y veo todos los css eso es más o menos lo que trata este

este error y también es otra parte al no concluir las sesiones en el archivo de login por ejemplo si yo encuentro un punto con estas admin y me pide login o sea hay un login punto php pero yo confuso con cualquier otra herramienta que esté en cálidos del parrot o simplemente cambio en vez de logic php le pongo das word o menú y me carga esa página es un informe su discur también y es que no ha configurado la sesión de login previamente para que valide que si este usuario está autentificados pueda accederse a ese archivo php vamos a empezar con este con el de hecho vamos a empezar primero con la teoría unos 10 por ciento de teoría de la

persona van a ser práctico y al final tengo un jefe y un local file inclusión que lo vamos a convertir la rc al ritmo tico de ese chico es para cerrar con broche de oro una seguridad extra para mí para ser el clásico query es un ser gástrico fronius earl weaver usuario es igual a la variable usuario y password es igual a la variedad es el típico que usan en los logic nosotros en las cajitas de texto vamos a usar esta inyección que es lo que están viendo el sprint y son de la vieja escuela ésta era la llave maestra para ingresar a cualquier login qué es lo que hace esto entonces esto lo ponemos en la cajita de usuario y

contraseña va a reemplazar todo lo que está aquí en desde el dólar usuario el doble usuario lo estoy usando como referencia a las variables en php entonces si reemplazamos esto por eso que vamos a tener en el cuello vamos a tener un select asterisco fueron juces o el usuario es igual a vacío o vacío es igual a vacío en computación si vacíos evaluativos un trump verdadero y a la vez para decir sí y password es vacío o vacíos igual a vacío qué quiere decir esto que es estas dos variables son true y teníamos el anda kings esto hacer tú también entonces vamos a vaciar la consulta query sin necesidad de tener el usuario y la contraseña y nos vamos a

arrojar uno o más registros que estuvieran bueno hay diferentes tipos de cuero hay otros que van a llamar primero al usuario para lakers y a veces un largo e igual para ver si está el amigo no hay n cantidad de colores que pueden usarse para un login y para fortuna de nosotros hay n cantidad de inyecciones como nos haría esta es una pequeña lista de la que he podido sacar hay org uno igual a uno con comentarios al final para pasear lo que se encuentre después que está del usuario eso ya les voy a enseñar cómo lo haremos el caso práctico aquí hay como usuarios con admin admira miami con uniones para el unión que nos sirve para el resultado

de acuerdo unir la otra línea más para para esto este ataque de forma rápida la manera más rápida en php asustando esta función del skate es la manera fácil hay otras maneras más complejas hay formas de pasear esto también pero ese no es el caso de solución si lo estoy estamos viendo qué errores se cometen luego tenemos lo que es el árbitro phil dowd que en este caso es un un php que está llamando la clase de descargar este código es de un bus que vamos a ver ahorita que he tomado su código para referencia lo que está haciendo acá es la variable nombre se pierde lo que le mandemos por rayet mediante la url la ruta es la de también

por la url y que nos dice en un documento va a ser igual a todo esto aquí está es una carpeta de archivos del mismo servidor y esta es la ruta que le estamos mandando que arriba entonces esto lo que hace es forzar un una de escape con el nombre que le estaba poniendo sin ninguna variación validar esto y que no nos están descargando cosas como tu compu php vts password lo que esto no se debería usar si se debería usar ya con conexiones a base de datos no paradas mediante la consulta ya sacar la ruta de qué es lo que queremos descargar porque aquí si vemos esta parte es a esta ruta que las mandamos por ricketts la podemos

habitación no ponemos dos puntos es la estos puntos el largo como un rayo y vamos recorriendo todo y nos va a descargar porque ni siquiera tiene restricción de extensión tenemos la otra que es el information this club como le dije es la clásica que no tienen la configuración de del listado de directorios por ejemplo esta de aquí a la izquierda no tiene el listado directorios en cambio está de la derecha si uno deja ver lo que hay en la carpeta email y esta nos muestra todo el contenido incluso si entramos a cada uno de ellos podemos ver vamos a ir a un caso práctico vamos a ver primero cómo es que funciona lo del sql injection para by pasear es

lo que yo estoy en un entorno web para base de datos crear el esquema vamos a hacer la tabla que tengo aquí y como ven no se está votando dos líneas una vez de la admiraba gmail.com y otra de m com entonces cómo es que funciona un login al que le van a agregar en web donde email o sea igual a algo así para sur por ejemplo el email de las niñas admin advi y el password que está encriptado ya en el medio 5 supongamos que en este caso el mismo php lo está inyectando y pasando directamente así si lo corremos comer si lo corremos nos va a botar que hay un solo registro que coincide con lo que

hemos puesto en la cajita de texto de admin el admin y el paso 1 voy a usar la primera inyección para que vean qué pasaría en vez de admin ponemos la inyección en vez de paso ponemos elección se ejecuta esto me salen los dos registros como si no hubiera puesto el mail de paso porque la inyección lo que hace es decirle se le extrajo form usuario o el email sea igual a vacío o vacío será igual de vacío y password sea igual al vacío o vacíos ahí bueno si no entonces todo esto me da verdadero y el cual iba a correr esa inyección puede que funcione si es que el php para auténtica autentificación está tomando cualquiera

de estos y todo sea este amigo puedan ingresar no pero también existe otro tipo de inyección que por ejemplo esta de aquí esta de aquí sólo con ponerla en el campo de email si es que el email está delante de lo de password está haciendo un comentario al final si notan esto ya cambió de color y ya me lo está comentando aquí me está diciendo en qué inversa de igualdad vacío o 1 sea igual a 1 con un límite 1 que es para que me muestra sólo un registro si yo lo corro no sale el único registro de admin y con eso ya me hubiera saltado la la vulnerabilidad está de los paneles de administración

usando google hacking tengo dos doctores aquí publicados en spray data más uno para internet y otro para admite los paneles de administración hemos conseguido por ejemplo estas dos páginas al azar vamos a inyectarles la primera inyección a ver qué pasa

esperemos que cargue un ratón para empezar aquí no sale un check pérez se encontraba un usuario con by paseándola la qualy del vela sql llegando un ratito

por mientras vamos a ir en esta de aquí está aquí si es un poco diferente vamos a poner la de aquí la primera no me va a votar es un lugar favorable pero si a esto yo le aplicó admin adelante y la inyección atrás por arte de magia ingresamos al panel de administración

ver lo que tiene en el contenido hasta ahora bueno vamos a tocar nada podemos bueno estamos en para la administración y la de aquí ya cargo también tenemos el plan en habitación tenemos la lista de pacientes la gestión de usuarios los doctores podemos evitarlos podemos ver los pasos bajo no están llenas pero le podemos cambiar abajo somos aliens qué es lo que pasó solo aquí no necesitamos un usuario ni una clave simplemente con error al formar la query en él php hemos podido acceder mediante la inyección a los dos paneles distintos ok cómo se puede prevenir esto muchas formas con la función que les puse en la diapositiva reemplazando caracteres haciendo queries estáticos con pedo sql

y y más que todo es eso esa convicción lo crean esta vulnerabilidad existe hoy en día ya puertas de 2022 muchas muchas muchas páginas web y la gente se pregunta que es como que los mismos administradores de las páginas siempre voy a hacer su culpa por la mala configuración o por los errores que cometen en las cuerdas en este caso son las huellas aquí tengo una página que es para lo del file download es esta página también w php tiene una cuestión llamada file le pone el nombre del documento y el tipo de documento si yo le doy antes me descargué un este blog pero qué pasaría si yo le pongo que descargue el mismo de una php

vamos a ponerle nos descarga un archivo v correcto porque quieren que descargo nos dice que no encontró el archivo de la php entonces lo que vamos a hacer es correr una posición más como ustedes saben en linux es dos puntos más corremos una producción más descarga y nos sigue saliendo no existe supongamos que tiene dos carpetas más no las ponemos 12 descargamos y nada entonces vamos a ponerle 3

y aquí ya nos bajo el propio download php usamos para descargar el ttp como ven aquí la la ruta era recursos archivos y lo que le pongamos no entonces más el tipo entonces eran tres carpetas las que hemos retrocedido con 2.6 clases qué seguridad tiene nada yo ser alguien no y una seguridad simplemente lo descarga entonces qué pasaría si en vez de el download nos vamos tres atrás y bajamos el index

vemos que el index sólo tiene un killer que nos va a redireccionar a intro punto de php que también lo podemos bajar porque una vez tengamos este bug podemos dejar prácticamente todo lo que está en este producto claro que no sabemos qué archivos hay pero indagando así como estamos haciendo ahora podemos encontrar ya lo que tiene por las carreras por ejemplo el intro tiene único tejido de punto php está siendo un switch para hacer para que sea modular la página si en caso sea y se inició de presentación cetera no iba a ser micro de la página tiene su menú lateral footer y es que si hubiese un archivo de un conflicto php relacionado aquí trabajar y así podrías

ver las claves que tienen persona al maíz y por otro lado no vamos a ver está aquí pese a que también tiene un descargar compro php tiene directorio publicaciones y el archivo libro de cuentos mujeres punto que efe si yo lo diría antes lo va a descargar y vamos a intentar descargar el mismo descarga al punto php para ver qué es

abrimos el blanco quiere decir que no hay nada en esa ruta el descargar debe estar un directorio más atrás tampoco hay nada vamos a darle un par de directores más atrás con los puntos descargar y aquí está como esta en cuenta este es el que use justo para la app de igual manera no tiene ninguna seguridad y te descarga todo lo que encuentra a su paso lo que le pongamos en ruta no vamos a ver que si es que tiene un index

y ya por ejemplo este tiene esto es un árabe el signo equívoco tiene una aplicación público el comprador un autor aquí si seguimos indagando por estas carpetas si vamos a encontrar un archivo conflicto las credenciales fáciles de sql del maíz chico en méxico debe estar usando esfuerzo del psp y también [Música] bueno esto es un poco d vengo aquí por ejemplo es el hacking estoy haciendo que todos los sitios que terminen en punto veo de bolivia con la extensión txt y que en el texto tengan password - lista de google y si vemos aquí hay uno que es de la aduana con credenciales por defecto el manager welcome el developer welcome y el anonymous con paso vamos a

una para probar

y pudimos acceder bueno son son cosas son errores que al tener incluso el archivo ritmo txt colgado en su servidor y si no has configurado bien el robot punto txt igual te va a alistar todo lo que encuentre en su paso pero que el mismo la misma araña de google no te lo indexar pero uno como atacante sabe que lo primero que tiene que hacer es verificar si es que hay un robot punto txt y toda la cosa y no es recomendable subir estos tipos de de ritmo o archivos entre estos planos como aquí hay uno que tiene el pp y hoy todo no les quería mostrar lo que era la parte de el informe choclo

[Música] que lo tenía por aquí

la información del club la información del club vamos a ver aquí es un error muy muy común también casi 90% de hackeo se hace por este error porque miren ahorita soy en una carpeta admin y me está alistando todo lo que tiene ese admin en esa carpeta advi este es uno de los errores que le mencioné en la diapositiva de lista de activos y como ven acá hay un banner bayern y banner edit beefeater un 'top ten' se lo pongo banner list me sale la lista de estos son alcaldes y me da la opción de editar y eliminar porque porque no hay un login o no hay una sesión de hoy y diciéndome que no

puede haber este archivo php entonces él editar una familia el editor también está igual esas son las tres principales niveles que hemos visto como los errores típicos que cometen los programadores o webmasters y el último que les quiero mostrar es el f y el fbi es una técnica que se veía mucho mucho en los años 2000 2001 por ahí hoy en día es muy raro encontrar esas ese tipo de páginas con el f como ven este php es un index.php con el cual este impact y me está alistando o le está igualando mejor dicho a un servicio php si yo cambio en el menú me da un a un producto punto php pero yo no les voy a poder mostrar la él el

f10 forma lasarte se ha caído la página del lp que tenía este lp y lo vamos a convertir en un hereje que es un ritmo como tics activision que básicamente es ejecutar comandos en el servidor podemos hacer un vídeo juanma podemos tener un únete a la escucha y conectarnos desde ahí pero lamentablemente justo hoy salió la gana de se puede ver la página una vez que ya los había reportado de repente es por eso y bueno si tienen preguntas dígame les eso fue todo conmigo espero que os haya gustado la pequeña exposición pero es muy interesante conocer este tipo de errores para para saber este tipo como de gentes han hackeado

mi tocayo el administrador podría encontrar el origen del atacante de vélez p si es que no usa un próximo podrían identificarse pero generalmente en latinoamérica las ip son compartidas es muy raro que te ubiquen por ip

estamos encima de los productos no estoy viendo en la pantalla por favor

a ver qué falla más tradicional se obtiene en sql bueno en ese cuál sería los hace col injection una es el bypass de autentificación y otra es el mismo ya les echo la inyección que es para listar las las base de datos que tiene el nombre de servidor las tablas las columnas y hacer un conteo de toda la información que tienen las bases de castra iniciales hay muchas muchos webmasters que usan credenciales el texto plano entonces si tú te ubicas le vas a obtener la tabla de usuarios con las creencias en texto plano ya te puedes hacer un logro normal

conoces que envolver ningún muro de la fama donde reportan los seis minutos pero como son económicamente bolivia no sabía que había los programas de puntín bueno aqui en peru les comento yo he reportado a varios sitios problemas graves empresas grandes una una empresa de celulares aquí tiene una sección donde puedes ver todos los clientes puedes sacar a todos los clientes que están en esa operadora pero no les mandó el correo pero ni siquiera han leído ahora último justo con un césar comentando baje una tienda de zapatos de julio x css y no lo dijeron gracias a los más infelices vidas pero si aqui en peru no no no yo ya me rendía no voy a reportar en perú más más

reporte en el extranjero en el extranjero si hay programas de hbo pont y de la nada te manda en cosas de la misma empresa me han mandado por los me pago por paypal así que es constante la empresa pasa de todo pero aquí en mi país no lamentablemente no

alguna otra pregunta qué países recomendó más estados unidos por ejemplo lago de hawai qué les reporte a ellos reporte 21 x ccs y únase con la inyección ellos me mandaron polos y me mandaron pagos por paypal y hay hay programas como hacker one que las mismas empresas van poner que están listas para qué los 20 hacer comienzan a hacer pruebas y te ponen ahí el monto que puedes ganar dependiendo de si es un área baja media o alta o crítica la crítica está a la mínima que vista enfocar banza d siete mil dólares la mínima y si es buena recompensa en tu opinión un hacker nace un hacker se hace yo creo bueno en lo personal

que nace pero de que se puede aprender se puede aprender solo que toma más tiempo para uno que se quiere iniciar y no ha estado al tanto en toda su vida uno yo he estado obligado a la computadora tercero los diez años como que tienes que que tener esa chispa para estar curioseando y verla a las universidades como parchada cómo explotarlos y todo eso alguna certificación adecuada previsión de la dejo tapete es la es una de las últimas o la ch esas dos yo no tengo ni una yo que yo recibo ya puedes sacar la la última la ssh

encontrar fallos en año 2000 eran más sencillos en el año 2000 había cualquier cantidad de fallos había en empresas grandes había de nivel el mismo twitter en facebook en gmail han habido varios 2x ccs y era recontra sencillo sabiendo y viendo las técnicas de ahora que es más fácil de explotar las vulnerabilidades en el año 2000 no eran tan fáciles como ahora que tenemos tanto esta herramientas y hasta sistemas operativos especiales como el cali en ese entonces en los minerales el k lideraba ctac del backtracks 5 que el concello por ejemplo para hacer las las inyecciones de secuelas habría que hacerlos por la misma o reilly ahora el sql te lo hacen todo automático pero si de hecho en el 2000 los fallos

eran bastante si bien fáciles de encontrar

otra pregunta listo solo en la cima que esta página no fijos cargaré será para la próxima oportunidad les voy a voy a tratar de buscar otra lo que pasa es que el l face bien bien difícil y sólo encontrar alguna pero espero les haya gustado y nos vemos en la próxima muchas gracias