Detección de WebDAV, verificación de la vulnerabilidad y explotación

En SkullSecurity han publicado un interesante artículo (creado por Andrew) en el que muestran como llevar a cabo el proceso de explotación de la tan renombrada vulnerabilidad de WebDAV en los servidores IIS 6.0/5.0 descubierta el mes pasado, la cual permite acceder a directorios protegidos con contraseña debido al mal filtrado que se hace del caracter unicode %c0%a. El artículo se encuentra en Inglés pero he decidido realizar la traducción para que nuestro público hispano también pueda tener acceso a este buen contenido. Se hace uso de la herramienta Nmap para detectar si el servidor es vulnerable y luego por medio de una versión de cadaver parcheada se realiza la explotación. Detección de WebDAV, verificación de la vulnerabilidad y explotación La primera cosa que deberías saber al jugar con esta vulnerabilidad es que el servidor IIS no es explotable sí el directorio raiz está protegido. También si el directorio raiz está protegido, no hay manera de determinar ni siquiera si WebDAV está activado. Siendo dicho eso, si el directorio raiz _no_ está protegido entonces es hora de divertirnos un poco. Detectando sí WebDAV está activado Las pruebas han sido realizadas en: IIS 6.0/Windows 2003 Enterprise SP2 IIS 5.1/Windows XP Pro SP2 IIS 5.0/Windows 2000 SP4 En IIS 6-.0, WebDAV está desactivado por defecto. En IIS 5.0 y 5.1, WebDAV está activado por defecto y se debe editar el registro para desactivarlo. Mi método de detección simplista requiere de ejecutar una petición PROPFIND en el servidor. Básicamente es la misma petición PROPFIND usada en el script http-iis-webdav-vuln.nse: PROPFIND / HTTP/1.1 Host: xxx.xxx.xxx.xxx Content-Type: application/xml Content-Length: 298 <?xml version=”1.0″ encoding=”utf-8″?> <propfind xmlns=”DAV:”> <prop> <getcontentlength xmlns=”DAV:”/> <getlastmodified xmlns=”DAV:”/> <executable xmlns=”http://apache.org/dav/props/”/> <resourcetype xmlns=”DAV:”/> <checked-in xmlns=”DAV:”/> <checked-out xmlns=”DAV:”/> </prop> </propfind> Cuando WebDAV está activado, debería devolver “HTTP/1.1 207 Multi-Status”. Cuando WebDAV ha sido desactivado, debería retornar “HTTP/1.1 501 Not Supported”. Éste es el método que he implementado en el script http-iis-webdav-vuln.nse. Funciona muy bien en el laboratorio con los servidores IIS. Si recibimos alguna otra cosa diferente a 207 o 501 entonces abordamos el barco diciendo que el servidor no está soportado. Por otrolado, un servidor Aparche corriendo sobre Ubuntu devolvería un 405 Method Not Allowed. Verificando si un servidor es vulnerable Las pruebas han sido realizadas en: IIS 6.0/Windows 2003 Enterprise SP2 IIS 5.1/Windows XP Pro SP2 No funciona en: IIS 5.0/Windows 2000 SP4 El script original sólo usaba un forma para verificar; primero encontraría un directorio protegido (/secret/) y luego probaría intentando el caracter %c0%af después del primer /. Entonces /secret/ se convertiría en /%c0%afsecret/. Funcionó muy bien en IIS 6.0 pero no funcionó del todo en IIS 5.0/5.1. Después jugar un...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES