Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
POR: JESUS BARRAZA PAVA RICARDO BARRIOS GUERRERO LEONARDO DIAZ ALVAREZ DANNA DOLUGAR EMMANUEL GARCIA MAESTRE HCTOR TRIANA LPEZ
UNIVERSIDAD DE CARTAGENA FACULTAD DE INGENIERIA PROGRAMA DE INGENIERIA DE SISTEMAS CARTAGENA DE INDIAS D.T Y C 03/10/13
Contenido
1. RECOLECCION DE DATOS (FOOTPRINTING) PARA EL PORTAL DE LA UNIVERSIDAD DE CARTAGENA ................................................................................................. 3 1.1. 1.2. 1.3. INFORME NETCRAFT.COM.......................................................................................... 3 INFORME WHO.IS........................................................................................................... 4 ESCANEO DE PUERTOS PARA LA IP 178.33.117.119........................................... 6
2. RECOLECCION DE DATOS PARA LA PLATAFORMA VIRTUAL DE LA UNIVERSIDAD DE CARTAGENA ................................................................................................. 7 2.1. 2.2. 2.3. 2.4. INFORME DE NETCRAFT.COM ................................................................................... 7 INFORME DE WHO.IS .................................................................................................... 8 ESCANEO DE PUERTOS PARA LA IP 201.245.192.5 ............................................. 9 VULNERABILIDADES ................................................................................................... 11 WAPITI WEB SCANNER. .................................................................................. 11 W3AF WEB APLICATION ATTACK AND AUDIT FRAMEWORK............... 14
2.4.1. 2.4.2. 3.
CONCLUSIONES. .................................................................................................................. 17
1. RECOLECCION DE DATOS (FOOTPRINTING) PARA EL PORTAL DE LA UNIVERSIDAD DE CARTAGENA 1.1. INFORME NETCRAFT.COM
En la anterior imagen se puede apreciar que el portal de la Universidad de Cartagena est asociado a la ip 178.33.117.119, bajo la compaa de web hosting OVH Hispano, ubicada en Espaa.
Tambin podemos apreciar que la unicartagena.net est corriendo bajo el Nginx un servidor web/proxy inverso alojado en el sistema operativo Linux.
Segn netcraft.com, el portal de la Universidad de Cartagena no presenta ninguna vulnerabilidad, por ende mucho menos exploits a usar en contra de la misma.
La anterior imagen muestras los resultados arrojados por who.is para unicartagena.net, tales como Informacin del Registro, Datos de Importancia y Nombre de los Servidores.
WHATISMYIPADDRESS.COM
La anterior imagen muestra los datos geogrficos de la ip 178.33.117.119 bajo la cual funciona el servidor del portal de la Universidad de Cartagena.
Al realizar el escaneo de puertos bajo la opcin sV, nmap escanea los posibles puertos abiertos en la maquina con dicha IP. Podemos ver que el escaneo encontr dos puertos abiertos: 80, que tiene como servicio HTTP y 8089, donde est ejecutando HTTP-PROXY (Squid web proxy). Adems podemos observar tambin que nmap encontr, pero no mostr 998 puertos filtrados, lo que puede ser un indicio de que el escaneo en algn punto se top con algn dispositivo de firewall o router. En la siguiente imagen podemos apreciar mejor, la anterior teora (realizando un escaneo nmap con la opcin sO <ip_objetivo>)
2. RECOLECCION DE DATOS PARA LA PLATAFORMA VIRTUAL DE LA UNIVERSIDAD DE CARTAGENA 2.1. INFORME DE NETCRAFT.COM
En la anterior imagen podemos observar que netcraft no nos arroja muchos resultados, pero podemos ver que el dueo de ese rango de IPs es la misma Universidad de Cartagena, cuyo pas de hosting es Colombia.
Segn netcraft, dicha maquina con la ip 201.245.192.5 est sujeto a ciertas vulnerabilidades, aunque no las muestras.
2.2.
INFORME DE WHO.IS
En la anterior imagen se puede apreciar que la plataforma virtual de la Universidad de Cartagena est asociada a la ip 201.245.192.5, asociada a la red 201.245.192.0/29
Imagen 15. Escaneo de puertos (tcp) de 201.245.192.5 (portal sma de la Universidad de Cartagena)
Como podemos notar el nmap bajo la opcin sV arroj varios puertos abiertos en la maquina, mayora de ellos corren con el servicio HTTP-PROXY (EZProxy web proxy). Esto se debe a que EZProxy, por defecto, funciona como proxy por puerto; bajo este paradigma la aplicacin realiza varias tareas usando diferentes puertos (uno para autenticacin, para procesos de login). Pero tambin podemos ver que la misma maquina maneja otro servidor proxy (Squid web proxy). En la siguiente imagen podemos apreciar que al hacer un escaneo general puede que los paquetes enviados en algn punto se hayan topado con algn dispositivo de firewall o router; la anterior teora (realizando un escaneo nmap con la opcin sO <ip_objetivo> -D <ip_seuelo1>, <ip_seuelo2>, <ip_seuelo3>,).
Imagen 15. Escaneo de puertos general de 201.245.192.5 (portal sma de la Universidad de Cartagena
2.4.
VULNERABILIDADES
Wapit funciona lanzando diferentes mdulos para verificar que tipos de vulnerabilidades tiene una aplicacin web. 2.4.1.1. WAPITI: MODULO DE ESCANEO DE INYECCION SQL A CIEGAS (BLIND SQL) Se evidencia cuando en una pgina web, por una falla de seguridad, no se muestran mensajes de error al no producirse resultados correctos ante una consulta a la base de datos, mostrndose siempre el mismo contenido (es decir, solo hay respuesta si el resultado es correcto).
2.4.1.2.
WAPITI: MODULO DE ESCANER DE INYECCION SQL ESTANDAR (SQL) El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, cdigo SQL. Es, de hecho, un error de una clase ms general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programacin o script que est embebido dentro de otro.
2.4.1.3.
WAPITI: MODULO DE ESCANEO DE VULNERABILIDADES TIPO XSS (CROSS SITE SCRIPTING) Es un tipo de inseguridad informtica o agujero de seguridad tpico de las aplicaciones Web, que permite a una tercera parte inyectar en pginas web vistas por el usuario cdigo JavaScript o en otro lenguaje script similar
2.4.2. W3AF WEB APLICATION ATTACK AND AUDIT FRAMEWORK W3AF es un framework para hacer auditorias y ataques a aplicaciones web que posee 3 tipos diferentes de plugins: discovery, audit y attack. Plugins Discovery: Su objetivo es encontrar urls, formularios etc es decir, puntos donde podamos realizar inyecciones. Plugins Audit: Su objetivo es enviar datos para encontrar vulnerabilidades en los puntos descubiertos por los plugins discovery. Plugins Attack: Nos darn, en caso de fructificar, por ejemplo una Shell remota o las tablas de SQL de la aplicacin
En la anterior imagen se puede apreciar que w3af hallo puertas traseras en diferentes URL que la webSpider interna de la misma aplicacin detect: Security Issues Port Type Vulnerability tcp/80 81 Issue A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 294. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp
Vulnerability tcp/80 81
Severity : High A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 296. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp Severity : High A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx"; this could indicate that the server was hacked. This vulnerability was found in the request with id 302. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx Severity : High A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx "; this could indicate that the server was hacked. This vulnerability was found in the request with id 304. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx Severity : High A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 294. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 296. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx"; this could indicate that the server was hacked. This vulnerability was found in the request with id 302. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx
Vulnerability tcp/80 81
Vulnerability tcp/80 81
Information
tcp/80 81
Information
tcp/80 81
Information
tcp/80 81
Information
tcp/80 81
A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx "; this could indicate that the server was hacked. This vulnerability was found in the request with id 304. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx
Tabla 1. Tabla de Vulnerabilidades.
3. CONCLUSIONES. Existen muchas herramientas para la recoleccin de informacin, en este documentos usamos netcraft.com y who.is para ver los registro de cada sitio web analizado (www.unicartagena.net y http://201.245.192.5/smaix12/). En primera instancia cabe recalcar que el dominio unicartagena.edu.co, prueba de ello es el digitarlo en el browser y observar que se redirige al nuevo. Pudimos ver que el sitio web www.unicartagena.net no cuenta con tantas vulnerabilidades como http://201.245.192.5/smaix12/. Pero al hacer el escaneo en los dos sitios pudimos observar que existen ciertos puertos filtrados lo que da cabida a la suposicin de que hay algn firewall o router con reglas acl, que est filtrando paquetes enviados hacia el servidor.