Fuzzing, encontrando cosas olvidadas

Hace unos días en DragonJAR publicábamos un artículo sobre Dirb, para hacer fuzzing sobre servidores web. En el artículo explicábamos que con el fuzzing llegábamos a descubrir directorios ocultos entre otros cosas.

Vamos a ver un ejemplo práctico, pero hoy no usaremos Dirb, pasaremos a usar Wfuzz.

Página de acceso.

Tenemos la típica pagina de acceso a un recurso interno de una corporación.

La página de acceso es algo así como:

https://paginadeacceso.acceso.dragonjar.org

Cuando los clientes o proveedores externos entran a esa páginas son redireccionados hacia otra página donde han de introducir su usuario y password para acceder al recurso interno.

La URL a donde redireccionaba era algo así como:

https://acceso.dragonjar.org/acceso_1/index.php

El usuario era redirigido con un código 302.

Lo primero que haremos con curl, es ver como se comporta, así que lo hacemos.

darkmac:~ marc$ curl -I https://paginadeacceso.acceso.dragonjar.org
HTTP/1.1 302 Found
Location: https://acceso.dragonjar.org/acceso_1/index.php

Vi que siempre hacía el mismo 302 a el mismo sitio, así que lo más sencillo es lanzar un fuzzer para ver si hay más páginas.

¿Donde colocar el Fuzzer?

Pues el fuzzer lo podemos colocar en múltiples sitios, pero en este caso en concreto, lo colocaremos donde tenemos marcado el texto con negrita.

https://acceso.dragonjar.org/acceso_1/index.php

Vamos a generar un diccionario para que el fuzzer  pruebe distintas posibilidades.

Para generar el diccionario podemos tirar de bash, algo tan sencillo como:

for (( i=0; i<1000; i++ ))
do
echo $i
done

Una vez generada la lista que vamos a probar la lanzamos con Wfuzz, algo así como:

python wfuzz.py -c -z file,lista.txt –hc 404 -o html https://acceso.dragonjar.org/acceso_FUZZ/index.php 2> report.html

Ya hemos lanzado el fuzzer, una vez acabe guardará los resultados en un report que tendrá el siguiente aspecto:

fuzz_-D

A la izquierda tendremos el código de respuesta, como veis hemos encontrado varios códigos 200, por oq ue hay mas de una página de acceso.

Estarán securizadas?


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • Pingback: Bitacoras.com()

  • Genial! los fuzzing de directorios los uso mucho, son de realmente de ayuda 😉

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES