WAppEx suite para auditar aplicaciones web, de los creadores de Havij

DragonJAR 336x280 WAppEx suite para auditar aplicaciones web, de los creadores de Havij

es una suite para realizar pentesting de aplicaciones web automatizadas que corre en entornos Microsoft Windows, Mac OS X y GNU Linux (con WINE o WinOnX), fue desarrollado por itsecteam, la misma empresa que sacó al mercado , catalogado por muchos como la herramienta automática mas simple y efectiva para realizar ataques de SQL Injection.

WAppEx WAppEx suite para auditar aplicaciones web, de los creadores de Havij

Pero WAppEx no se queda solo en las inyecciones SQL, sino que explota diferentes fallos de seguridad que encontramos comúnmente en las aplicaciones web, tiene una gran base de datos con diferentes payloads para los múltiples ataques que soporta, podemos explotar los siguientes fallos de seguridad, con la facilidad de uso y efectividad a la que estamos acostumbrados en Havij.

WAppEx 1 WAppEx suite para auditar aplicaciones web, de los creadores de Havij

  • SQL Injection: Utilizando Havij dentro de su suite, podemos explotar fácilmente fallos de SQL Injection, una de las vulnerabilidades mas delicadas cuando hablamos de aplicaciones web.
  • Remote File Inclusión: WAppEx incluye una herramienta para verificar si un sitio es vulnerable a RFI y trae consigo diferentes payloads para poder incluir archivos y ejecutar comandos en el servidor web.
  • Local File Inclusión: Similar al Remote File Inclusión, solo que permite incluir archivos locales en el servidor web.
  • OS Commanding: WAppEx incluye un modulo para testear la aplicación web y explorar la posibilidad de ejecutar comandos del sistema operativo en ella, incluye un buen listado de comandos que nos pueden arrojar una shell reversa del servidor web a nuestro equipo.
  • Script injection: WAppEx testea automáticamente si a la aplicación web se le puede inyectar o ejecutar scripts y nos ayuda a escalar privilegios hasta conseguir una shell reversa.
  • Local File Disclosure: Modulo que permite descubrir el contenido de archivos locales en servidores web mal configurados o desprotegidos.
  • Auto Detect: Buscara automáticamente si la url que le pasaste tiene alguno de los fallos de seguridad antes mencionados.

Además de los módulos antes comentados, WAppEx también incluye:

WAppEx 2 WAppEx suite para auditar aplicaciones web, de los creadores de Havij

  • Crackeador de hash online: Una herramienta que nos facilita la tarea de buscar en diferentes bases de datos gratuitas en busca del texto que corresponda al hash que le pasemos
  • Encoder/Decoder: Un codificador / decodificador con diferentes algoritmos de cifrado.
  • Find Login Page: Una herramienta que nos ayuda a buscar el panel de administración o pagina de login de la aplicación web.
  • Browser: Un pequeño navegador para revisar los resultados.
  • WAppEx script engine: Cuenta con un motor de scripting que nos permite escribir nuestros propios payloads o scripts para explotar vulnerabilidades en aplicaciones web.

WAppEx es una nueva herramienta a tener en cuenta para nuestros test de penetración en aplicaciones web, esta bastante completa, además incluye cientos de exploits y payloads que nos facilitaran mucho el trabajo; Los creadores afirman que esta base de datos se estará actualizando constantemente y pretenden incluir vulnerabilidades zero day en ella a futuro.

Todavía no se sabe el precio de venta de WAppEx, pero podemos disfrutarla un tiempo gracias a que en esta primera versión publica, los desarrolladores han publicado una licencia de pruebas validad hasta noviembre (aunque siempre encontraremos formas de extenderla…) para que probemos la herramienta.

Para activar la licencia solo debes descarga WAppEx 1.0 y el archivo de licenciamiento (click derecho guardar como…) y cuando la aplicación lo solicite, le ingresamos como nombre ITSecTeam y el archivo .lic que descargamos.

WAppEx 3 WAppEx suite para auditar aplicaciones web, de los creadores de Havij

Como es muy probable que después de noviembre necesitemos de nuevo estos archivos para “testear el periodo de prueba” de WAppEx, he subido el archivo WAppEx1.0.exe y itsecteam.lic a un hosting online por si algún día algún miembro de nuestra comunidad lo necesita.

Actualizado para Wappex v2.0 20/02/2013

WAppEx1 WAppEx suite para auditar aplicaciones web, de los creadores de Havij

Como vimos anteriormente WAppEx puede llegar a ser una herramienta muy completa y bastante útil a la hora de enfrentarnos a una auditoria web, pero en su versión 2.0 ha mejorado en varios aspectos como veremos a continuación.

  • Base de datos de exploits: La nueva versión 2.0 de WAppEx incluye una base de datos con exploits que cubren una gran cantidad de vulnerabilidades, los mismos pueden ser actualizados con la base de datos centralizada de ITsecteam o incluso podremos añadir nuestros propios exploits, con el editor incluido también en esta nueva versión, además de poder realizar testeos masivos a múltiples sitios con diferentes exploits.
  • Añadidos 24 payloads: Nuevos payloads para fallos como LFI, RFI, PHP Code Execution, que incluyen tareas pre establecidas para realizar cuando se encuentra una de estas vulnerabilidades en un test de auditoria web.
  • Se añadieron nuevas herramientas: como el editor de exploits antes mencionado, una herramienta para realizar peticiones manualmente y manipular el resultado, otra herramienta para buscar archivos ocultos que nos puedan ser útiles, una herramienta para usar dorks de google en genera o a un dominio, también incluyeron una herramienta para buscar sitios alojados en el mismo servidor, por si no se puede acceder al sitio mencionado directamente, tratar de hacerlo por medio de un vecino.

En fin la herramienta mejoró bastante y de nuevo incluyen un periodo de prueba que va hasta abril, por lo que tienes tiempo suficiente para probarlo “en la vida real”.

De nuevo guardo un backup de esta version junto a su archivo de licencia, por si alguien lo llega a necesitar en un futuro, igual puedes descargarlos tambien de la pagina oficial.

Si te ha parecido interesante, espero que me lo cuentes en los comentarios icon wink WAppEx suite para auditar aplicaciones web, de los creadores de Havij


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • Pingback: Bitacoras.com

  • p7pre

    Le puse la lic y no hace nada???

  • http://csharpalextremo.blogspot.com/ jairo

    Hola, estoy tratando de probar la aplicacion y me sale el siguiente error:
    uncaught exception at line 35 : RangeError: Maximum call stack size exceeded.

    Como puedo solucionarlo?
    Gracias. ;)

    • luispani

      Jairo…. Pudiste solucionarlo?

  • http://www.blackploit.com/ Zion3R

    Nunca está demás una herramienta más para realizar una auditoria.

    Habrá que probarla. Gracias.

    [+] Salu2

  • infecetd.mx.hack

    exelente herramienta, ya la probe en linux con wine y funciona de maravilla….

  • Frankarg

    Excelente, a probar esta herramienta.

  • http://www.facebook.com/estiven.almeciga ezthiven

    no he podido descargar la licensia si alguien la tiene porfa me la podrían pasar ?
    http://www.facebook / estiven.almeciga .com

    se los agradecería mucho

  • David

    Se instala el software, cuando se inicia pide licencia, se le da la ruta del archivo de licencia, pide también un nombre le puse cualquiera y le doy registrar y ahí queda

  • DLV

    Me salio un erro al buscar las paginas de admin deberian enseñar como usarlo creo que un gran avance

  • Pipe

    Si, no se si por estar en “desarrollo” está todavía a medias… pero varias cosas de las que he intentado sacan algún error en la consola, o cierran el programa inesperadamente :(
    Una lástima.

  • http://pseudor00t.net pseudor00t

    que buena herramienta solo un poco de Google dorks y suerte en Havij y ya esta.

  • caramelos

    Son tan piojosos que lesdan erramientas y todavia no llegan a nada. pero aprendan hacer grande BUSCA HACERLO MANUAL HAY MENOS ERRORES EN CUANTO A INYECCION!!!

  • Pingback: Lo mejor del 2012

  • HSSH

    please connect to interne SIEMPRE ME DICE ESO

  • http://pachosantos.com/ pacho santos

    Toca probar lo nuevo.. para auditar :)

  • fantasma

    aquí podrás descargar el archivo que si funciona https://mega.co.nz/#!fpYRwL4R!Em27Wy7lxIGtLSpXe1xX5HhiJfEc6bck2bqOozT-CwQ

  • Pingback: WAppEx suite para auditar aplicaciones web

  • H17s

    Yo le doy a register habiendo metido la licencia (.lic) y nombre y es como el que tiene tos y se arrasca los co***es
    :/
    En la version 2.0 al menos

  • H17s

    Vale , retiro lo dicho….
    Si es que no hay cosa mejor que leer la documentación.
    Para los que tengan el problema:
    El usuario es ITSecTeam y la licencia (.lic) y a register
    Con eso vale.

    • cirrus1

      Yo no consigo que funcione le pongo ITSecTeam
      como usuario y el fichero .lic que viene, luego le doy a register, y nada de nada como si no hubiera echo click, alguna idea? Ha caducado la licencia? alguien tiene otra?

      Gracias

  • Pingback: Lo mejor del 2013