INFORME DE FOOTPRINTING, SCANNING Y VULNERABILIDADES DE LA PGINA DE LA UNIVERSIDAD DE CARTAGENA Y SU RESPECTIVA PLATAFORMA VIRTUAL

PRESENTADO A: CARLOS ANDRES CUESTA YEPES

POR: JESUS BARRAZA PAVA RICARDO BARRIOS GUERRERO LEONARDO DIAZ ALVAREZ DANNA DOLUGAR EMMANUEL GARCIA MAESTRE HCTOR TRIANA LPEZ

UNIVERSIDAD DE CARTAGENA FACULTAD DE INGENIERIA PROGRAMA DE INGENIERIA DE SISTEMAS CARTAGENA DE INDIAS D.T Y C 03/10/13

Contenido
1. RECOLECCION DE DATOS (FOOTPRINTING) PARA EL PORTAL DE LA UNIVERSIDAD DE CARTAGENA ................................................................................................. 3 1.1. 1.2. 1.3. INFORME NETCRAFT.COM.......................................................................................... 3 INFORME WHO.IS........................................................................................................... 4 ESCANEO DE PUERTOS PARA LA IP 178.33.117.119........................................... 6

2. RECOLECCION DE DATOS PARA LA PLATAFORMA VIRTUAL DE LA UNIVERSIDAD DE CARTAGENA ................................................................................................. 7 2.1. 2.2. 2.3. 2.4. INFORME DE NETCRAFT.COM ................................................................................... 7 INFORME DE WHO.IS .................................................................................................... 8 ESCANEO DE PUERTOS PARA LA IP 201.245.192.5 ............................................. 9 VULNERABILIDADES ................................................................................................... 11 WAPITI WEB SCANNER. .................................................................................. 11 W3AF WEB APLICATION ATTACK AND AUDIT FRAMEWORK............... 14

2.4.1. 2.4.2. 3.

CONCLUSIONES. .................................................................................................................. 17

1. RECOLECCION DE DATOS (FOOTPRINTING) PARA EL PORTAL DE LA UNIVERSIDAD DE CARTAGENA 1.1. INFORME NETCRAFT.COM

Imagen 1. Informacin de unicartagena.net

En la anterior imagen se puede apreciar que el portal de la Universidad de Cartagena est asociado a la ip 178.33.117.119, bajo la compaa de web hosting OVH Hispano, ubicada en Espaa.

Imagen 2. Informacin del proveedor OVH.

Tambin podemos apreciar que la unicartagena.net est corriendo bajo el Nginx un servidor web/proxy inverso alojado en el sistema operativo Linux.

Imagen 3. Informacin de seguridad de unicartagena.net

Segn netcraft.com, el portal de la Universidad de Cartagena no presenta ninguna vulnerabilidad, por ende mucho menos exploits a usar en contra de la misma.

1.2. INFORME WHO.IS

Imagen 4. Informacin de unicartagena.net

La anterior imagen muestras los resultados arrojados por who.is para unicartagena.net, tales como Informacin del Registro, Datos de Importancia y Nombre de los Servidores.

Imagen 5. Informacin de unicartagena.net

Imagen 6. Informacin de unicartagena.net

WHATISMYIPADDRESS.COM

La anterior imagen muestra los datos geogrficos de la ip 178.33.117.119 bajo la cual funciona el servidor del portal de la Universidad de Cartagena.

1.3. ESCANEO DE PUERTOS PARA LA IP 178.33.117.119

Para escanear los puertos de servidor donde se aloja el portal de la Universidad de Cartagena (178.3.117.119) usamos la herramienta Nmap del sistema operativo Backtrack.

Imagen 7. Escaneo de puertos (tcp) de unicartagena.net

Al realizar el escaneo de puertos bajo la opcin sV, nmap escanea los posibles puertos abiertos en la maquina con dicha IP. Podemos ver que el escaneo encontr dos puertos abiertos: 80, que tiene como servicio HTTP y 8089, donde est ejecutando HTTP-PROXY (Squid web proxy). Adems podemos observar tambin que nmap encontr, pero no mostr 998 puertos filtrados, lo que puede ser un indicio de que el escaneo en algn punto se top con algn dispositivo de firewall o router. En la siguiente imagen podemos apreciar mejor, la anterior teora (realizando un escaneo nmap con la opcin sO <ip_objetivo>)

Imagen 8. Escaneo de puertos general de unicartagena.net

2. RECOLECCION DE DATOS PARA LA PLATAFORMA VIRTUAL DE LA UNIVERSIDAD DE CARTAGENA 2.1. INFORME DE NETCRAFT.COM

Imagen 9. Informacin de la IP 201.245.192.5 (portal sma de la Universidad de Cartagena)

En la anterior imagen podemos observar que netcraft no nos arroja muchos resultados, pero podemos ver que el dueo de ese rango de IPs es la misma Universidad de Cartagena, cuyo pas de hosting es Colombia.

Imagen 10. Informacin de la seguridad la IP 201.245.192.5 (portal sma de la Universidad de Cartagena)

Segn netcraft, dicha maquina con la ip 201.245.192.5 est sujeto a ciertas vulnerabilidades, aunque no las muestras.

2.2.

INFORME DE WHO.IS

Imagen 11. Informacin de 201.245.192.5 (portal sma de la Universidad de Cartagena)

En la anterior imagen se puede apreciar que la plataforma virtual de la Universidad de Cartagena est asociada a la ip 201.245.192.5, asociada a la red 201.245.192.0/29

2.3. ESCANEO DE PUERTOS PARA LA IP 201.245.192.5

Para escanear los puertos de servidor donde se aloja la plataforma virtual de la Universidad de Cartagena (201.245.192.5) usamos la herramienta Nmap del sistema operativo Backtrack.

Imagen 12. Escaneo de puertos de 201.245.192.5 (portal sma de la Universidad de Cartagena)

Imagen 13. Escaneo de puertos de 201.245.192.5 (portal sma de la Universidad de Cartagena)

Imagen 14. Escaneo de puertos de 201.245.192.5 (portal sma de la Universidad de Cartagena)

Imagen 15. Escaneo de puertos (tcp) de 201.245.192.5 (portal sma de la Universidad de Cartagena)

Como podemos notar el nmap bajo la opcin sV arroj varios puertos abiertos en la maquina, mayora de ellos corren con el servicio HTTP-PROXY (EZProxy web proxy). Esto se debe a que EZProxy, por defecto, funciona como proxy por puerto; bajo este paradigma la aplicacin realiza varias tareas usando diferentes puertos (uno para autenticacin, para procesos de login). Pero tambin podemos ver que la misma maquina maneja otro servidor proxy (Squid web proxy). En la siguiente imagen podemos apreciar que al hacer un escaneo general puede que los paquetes enviados en algn punto se hayan topado con algn dispositivo de firewall o router; la anterior teora (realizando un escaneo nmap con la opcin sO <ip_objetivo> -D <ip_seuelo1>, <ip_seuelo2>, <ip_seuelo3>,).

Imagen 15. Escaneo de puertos general de 201.245.192.5 (portal sma de la Universidad de Cartagena

2.4.

VULNERABILIDADES

2.4.1. WAPITI WEB SCANNER.

Para el escaneo de vulnerabilidades de la plataforma virtual de la Universidad de Cartagena (http://201.245.192.5:8081/smaix12/), usaremos la herramienta desarrollada en python wapit, para examinar vulnerabilidades en aplicaciones web, la cual viene por defecto instalada en la distro de Backtrack. Para ello entramos en la consola y digitaremos cd /pentest/web/wapit y luego python wapit.py <website> en esta caso la plataforma de la universidad de Cartagena.

Imagen 16. Escaneo de vulnerabilidades de 201.245.192.5 con wapiti

Wapit funciona lanzando diferentes mdulos para verificar que tipos de vulnerabilidades tiene una aplicacin web. 2.4.1.1. WAPITI: MODULO DE ESCANEO DE INYECCION SQL A CIEGAS (BLIND SQL) Se evidencia cuando en una pgina web, por una falla de seguridad, no se muestran mensajes de error al no producirse resultados correctos ante una consulta a la base de datos, mostrndose siempre el mismo contenido (es decir, solo hay respuesta si el resultado es correcto).

Imagen 17. Mdulo blindSQLi

2.4.1.2.

WAPITI: MODULO DE ESCANER DE INYECCION SQL ESTANDAR (SQL) El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, cdigo SQL. Es, de hecho, un error de una clase ms general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programacin o script que est embebido dentro de otro.

Imagen 18. Mdulo SQLi

2.4.1.3.

WAPITI: MODULO DE ESCANEO DE VULNERABILIDADES TIPO XSS (CROSS SITE SCRIPTING) Es un tipo de inseguridad informtica o agujero de seguridad tpico de las aplicaciones Web, que permite a una tercera parte inyectar en pginas web vistas por el usuario cdigo JavaScript o en otro lenguaje script similar

Imagen 19. Mdulo XSS (Cross Site Scripting)

2.4.2. W3AF WEB APLICATION ATTACK AND AUDIT FRAMEWORK W3AF es un framework para hacer auditorias y ataques a aplicaciones web que posee 3 tipos diferentes de plugins: discovery, audit y attack. Plugins Discovery: Su objetivo es encontrar urls, formularios etc es decir, puntos donde podamos realizar inyecciones. Plugins Audit: Su objetivo es enviar datos para encontrar vulnerabilidades en los puntos descubiertos por los plugins discovery. Plugins Attack: Nos darn, en caso de fructificar, por ejemplo una Shell remota o las tablas de SQL de la aplicacin

Imagen 16. Escaneo de vulnerabilidades de 201.245.192.5 con wapiti

En la anterior imagen se puede apreciar que w3af hallo puertas traseras en diferentes URL que la webSpider interna de la misma aplicacin detect: Security Issues Port Type Vulnerability tcp/80 81 Issue A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 294. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp

Vulnerability tcp/80 81

Severity : High A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 296. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp Severity : High A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx"; this could indicate that the server was hacked. This vulnerability was found in the request with id 302. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx Severity : High A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx "; this could indicate that the server was hacked. This vulnerability was found in the request with id 304. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx Severity : High A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 294. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jsp A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp"; this could indicate that the server was hacked. This vulnerability was found in the request with id 296. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jsp A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx"; this could indicate that the server was hacked. This vulnerability was found in the request with id 302. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell.jspx

Vulnerability tcp/80 81

Vulnerability tcp/80 81

Information

tcp/80 81

Information

tcp/80 81

Information

tcp/80 81

Information

tcp/80 81

A web backdoor was found at: "http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx "; this could indicate that the server was hacked. This vulnerability was found in the request with id 304. URL : http://201.245.192.5:8081/smaix12/servlet/Valid/JspWebshell1.2.jspx
Tabla 1. Tabla de Vulnerabilidades.

3. CONCLUSIONES. Existen muchas herramientas para la recoleccin de informacin, en este documentos usamos netcraft.com y who.is para ver los registro de cada sitio web analizado (www.unicartagena.net y http://201.245.192.5/smaix12/). En primera instancia cabe recalcar que el dominio unicartagena.edu.co, prueba de ello es el digitarlo en el browser y observar que se redirige al nuevo. Pudimos ver que el sitio web www.unicartagena.net no cuenta con tantas vulnerabilidades como http://201.245.192.5/smaix12/. Pero al hacer el escaneo en los dos sitios pudimos observar que existen ciertos puertos filtrados lo que da cabida a la suposicin de que hay algn firewall o router con reglas acl, que est filtrando paquetes enviados hacia el servidor.