Tabla de contenido - HH-Server .com€¦ · 3. Intercept Proxy 4. Escaneos Pasivos y Activos 5. Zap...

1. AcercadelLibroi. Licenciaii. Garantíaiii. Agradecimientosiv. Sobreelautor

2. IntroducciónaZaproxy3. InterceptProxy4. EscaneosPasivosyActivos5. ZapWebCrawling6. FuzzingconZap7. ZapForcedBrowse8. ZestScriptsobreZap9. ActualizaciónyPluginsenZap10. Cuestionesquenosolvidamos11. Reporting

Tabladecontenido

OWASPZedAttackProxyGuide

2

Autor:BalderramaEric

Twitter:@EricBalderrama

Editadopor:JoseMorunoCadima@sniferl4bs

SitioWeb:www.sniferl4bs.com

OwaspZedAttackProxyGuide


3AcercadelLibro

OWASPZedAttackProxyGuide.

EstaobraestásujetaalalicenciaReconocimiento-CompartirIgual4.0InternacionaldeCreativeCommons.Paraverunacopiadeestalicencia,visitehttp://creativecommons.org/licenses/by-sa/4.0/.

Puedehallarpermisosmásalládelosconcedidosconestalicenciaenhttp://www.sniferl4bs.com

Todaslasmarcassonpropiedaddesusrespectivosdueños.

Imagendelaportadarealizadapor@GONZALOCABRERA

[email protected]

Licencia


4Licencia

http://creativecommons.org/licenses/by-sa/4.0/

http://www.sniferl4bs.com

EsteEbooksedistribuyeconlaesperanzadequeseaútilysirvacomounareferenciaparaelusodelaherramientaZAPdeOWASP.Elautornoasumeningunaresponsabilidadsiellectorhaceunmalusodelmismo.

Garantía


5Garantía

Darlasgraciasatodoslosquevisitanelblog,comotambienalosquecompartencontenidoygeneran

Agradecimientos


6Agradecimientos

Sobreelautor


7Sobreelautor

LaherramientaqueconoceremosenesteEbookesutilizadaparaelanálisisweblacualtieneunaasombrosaversatilidadycaracterísticasquepuedenresultardegranayudaalmomentoderealizarunaauditoría.

HablaremosdeZedAttackProxy(ZAP),unproyectodesarrolladoporlacomunidaddeOWASPycuyoliderdeproyectoesSimonBennetts.

Laurldelproyectoes:OWASPZedAttackProxyProject

TodaslaspruebasqueharemosconZapalolargodellibroseránllevadasacabosobreKaliLinux,noesrequisitoindispensablequevirtualicenoinstalenunKaliyaqueZapestádesarroladoenjavayporendeesmultiplataforma.

Ladescargapuedeserrealizadadesde Github,allíseencuentranlasversionesparalosdistintosSistemasOperativos(Linux,WindowsyMac)yelcorequecontienefuncionesmínimas.Detodosmodos,laversiónparaLinuxescrossplataform,recomiendobajaresa.

Elúnicorequisitoquetieneestenerlaversión7dejavaosuperior.

Comencemosaverdequésetrata(utilizaremoslaversión2.4.0paraLinuxdesdeunKali),ingresemosa/usr/share/zaproxyyluegolistemosparaverlosarchivosquetienedentro:

Aquípodemosencontrarlasbasededatosqueutiliza,filtros.lenguajes,librerías,scripts,etc.Esinteresanteanalizarelcontenidodecadadirectorio,peroesoquedaensusmanos.

Loquenosinteresasondosarchivos,elzap.shparacorrerdesdeplataformasLinuxyzap-2.4.0.jarparapodercorrerdesdecualquierSO.

Parainicializardesdeeljar:

Sepuedeutilizarelmismocomandoparainicializarlodesdewindows.

IntroducciónaZaproxy


8IntroducciónaZaproxy

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

https://github.com/zaproxy/zaproxy/wiki/Downloads

Parainicializardesdeelscript:

Parainicializardesdeelmenú:

CualquieradelasformasqueiniciemoselZapestábien,unavezlevanteelGUI,nosencontraremosconunaaplicaciónmuyintuitivaysencilladeusar:

Enelcampo“URLtoattack”ingresamoseltargetaanalizar,enésteprimercasoanalizaremos“http://scanme.nmap.org”.

Cabeaclararquesiempredebemosingresarelprotocolo,esdecirsielsitioquequeremosanalizarsecomunicaporhttpoporhttps,siingresamossoloenombrededominionomostraráelsiguienteerror:



http://scanme.nmap.org/

Enlapróximasecciónanalizaremoslosoutputquenosentregacomoresultadodelanálisisycomenzaremosconalgunaspruebas.



EnestecapítulodeZAPnosenfocaremosensusfuncionalidadesdeintercepciónporproxy.

Comoyavimosenelcapituloanterior,ZAPesunatooldepentestingdewebapplicationsycomotaltienelafuncionalidaddeserutilizadocomowebproxyentreotrastantasqueyairemosviendo.

AntesdequelevantenZAP,vamosatenerquehacerunasconfiguracionesennuestronavegador,loharemosenFirefox,peropuedenutilizareldesueleccion,entodosesbastantesimilarlaconfiguracion.

Preferences->advanced->network->Settings

Siquierenacortarcamino,abranunapestañaypeguen:about:preferences#advancedluegosoloirasettingsoconfiguraciónyveránelpanelde‘configuracióndeconexiones’.

Enéstepanel,debemosseleccionar‘Manualproxyconfiguration’yenloscamposdeHTTP,SSLyFTPProxydebemoscolocarnuestradireccióndelocalhost127.0.0.1ypuerto8080.Enelcampo‘NoProxyfor’debemosdeclararlocalhosty127.0.0.1:8080separadosporunacoma(,)comoseveenlaimagen.

TambiénsepuedeusarlaconfiguraciónqueserealizaconFoxyProxycomoserealizoenBurpSuiteesaplicableconZap.

Ahora,sólobastaconingresaraunwebsiteparaqueZapcomienceatrabajar.

Trasinicializarlaherramienta,accederemosa“GoogleGruyere”desdeelnavegadorqueestaconfigurado,volvemosazapyobservamosenelpanel“Sites”queyaempezóaguardarlossitiosquevisitamos.

InterceptProxy

Panelesyprincipalescaracterísticas


11InterceptProxy

http://google-gruyere.appspot.com/

Enlapartederecha,seobservalos“Request”ylos“Response”delsitioenelmomentoquesehaaccedido.

SiqueremosverendetallelosRequestyResponseentrenuestronavegadoryelnodo,podemosiralaspestañasindicadas,desdelapestañaResponseporejemplo,logramosvisualizarlosvaluesquesolicitaellogin.


12InterceptProxy

Sidadoelcaso,hemosrecorridovariossitiosysenoshallenadoelpaneldeSitesdenodos,podemosireliminandolosquenonosinteresanparatenerunambientedetrabajomásorganizadoylimpio.Solobastaconseleccionarlasurl/nodosquenonosinteresan,clickderechoy“delete”.

Desdeelbrowseraccedemosa“google-gruyere.appspot.com/875680738020/login”,unpaneldelogincomún:


13InterceptProxy

DesdeZAPnosmovemosporlosdirectoriosquefuerelevandoconsussolicitudesyrespuestasenelpanelde“Sites”,abajo,en“History”tambiénsevisualizalapeticiónporGETquesehizoalpathdelogin,tiempoderespuestayquédevolvió.Allípodemosfiltrarpormétodosdepeticiones,codes,tagsyalertas.Aquívemosun302.

Siaplicamoslosfiltros“GET+200”quesevenenlaimagen

SóloveremoslosGETquenoshayanrespondidoun200OK:

Usandobreakpoints


14InterceptProxy

Hastaaquíutilizamoszapparaqueinterceptetodositioporelquenosmovamos,ahorabien,alutilizarbreakpointstendremoselcontroldestopearofowardearlaspeticionesentrebrowseryserver.

SihacemosclickderechosobreeltargetyluegoseleccionamosBreak

Seabriráunaventanaenlacualdefinimoslaurlyagregamoselbreak.

Paracomprobarsihemoscolocadobienelbreakpointvamosalapestañaqueseencuentraabajoconelmismonombre:

AlingresaralsitiodesdeelbrowserycolocarlascredencialesdeautenticaciónveremosquequedacargandoynoresolveráhastaqueforwardemoslapeticióndesdeelZap.


15InterceptProxy

Alirazap,vemosquehainterceptadoelenvíodelascredenciales

Paraquelapeticiónsigasucaminodebemosdebemoshacerclickeneliconodeplay.

Lapantallaquenosmuestralapestaña“Break”sepondráenblancoylapeticiónseráenviada.


16InterceptProxy

Zap,ademásdefuncionarcomoproxy,tambiéntienelacapacidaddeservirnosdescanner.Poseedosmodalidadesdescanning,lapasivaylaactiva,enestasecciónprofundizaremosenpassivescanning.

Elescaneopasivosólointerceptalasrespuestasdelserverynoesintrusivo.Susreglasestándisponibleen:tools-options-passivescan

Desdeaquípodemoselegirlasreglasautilizar,editarlas,crearnuevasoeliminarlasquenoutilizamos.

Sideseamosagregarunanuevareglavamosaadd.Esrecomendableanalizarlasreglasyaexistentesparaentenderlalógicadesuestructura.

Hagamosunejemploparaidentificarlaexistenciadegoogleanalitycsenlossitiosqueanalizaremos:

Name:loquequierasType:TAGvienepordefectoConfiguration:loquedeseesResponseBodyRegax:aquiesdondedebemoscolocarqueencuentrenuestrostring“google-analitycs”,yaqueenelfuentesevedelasiguientemanera:

Nuestraconfiguraciónentoncesquedaríaalgoasí:

EscaneosPasivosyActivos


17EscaneosPasivosyActivos

Anteponerconun“\”antesdel“*”implicalacapacidaddepodercitarcaracteresespecialesyel“*”enexpresionesregularessignificacorresponderloprecedentecualquiernúmeroveces.

Trasestablecerlasreglasqueutilizaremosenelescaneo,procedemosaponerelzapcomoproxyinterceptercomolovimosenelcapítuloanterior.

Unavezquetengamossuficientesrequestpodemosusarlosfiltro(quetambiénvimos)parafocalizarnuestroanálisis.

LasreglaspordefectoincluidasenelescanerpasivodeZAPincluyenlacapacidaddedetectarcomentarios,direccionesdecorreoselectrónicos,cookies,formularios,objetos,contraseñas,scripts,camposocultos,entreotras.

Parallevaracabounscanningtenemosdosmaneras,peroantesdeadentrarnosenellasveamossusreglasyparámetros.

Sivamosatools-options-activescanesposibleconfigurarcantidaddehostconcurrentes,hilosconcurrentesporhost,tiempodeesperaenmilisegundosduranteelscanning,etc.

EscaneoActivoconZap



Parainicializarelscanningactivosobretodalaurlquehemosvisitadoduranteelescaneopasivo,sólodebemosseleccionarla,hacerclicksecundarioyluegoelegirattack-activescansite

Podemosmanejardemaneramásgranulareltargetaescaner,paraestodebemosseleccionarelsubdirectoriooparámetroyelegiractivescansubtree.



Porúltimo,sinoestamosinteresadosenidentificareltarguetconunescaneopasivofocalizandoenloquenosinteresaconunescaneoactivoyqueremostirarleatododemaneracavernícola,tenemosunapestañallamadaQuickstart,ponemoslaurlyAttack.

deéstamaneranosólocorremosunscanningactivo,sinotambiénquecorreelspider,fuzzeaytirabruteforce(locualveremosdetalladoenlaspróximassecciones).



ContinuandoconlasfuncionalidadesdelatoolZedAttackProxy,queporciertorecienliberadolaversión2.4.1ypuedenactualizarconctrl+uo“ayuda-comprobaractualizaciones”siesquealabrirlonoleshaofrecidoactualizar,veremoscomohacerloenelacápiterespectivoporsiquierentenerlaultimaversiónqueesperanparaverprimeroello?.

Enestecapítuloveremoslascaracterísticasdespideringquepresentaysusdiferencias.

Uncrawlingospideringesunaherramienta,oenéstecasounafuncionalidaddeZap,quesirveparaidentificarlosenlacesexistentesenuntarget,deéstamanerallegamosatenerunaideadelamaneraenlaqueestácompuestaelsitioaanalizareidentificarposiblesdirectoriosoarchivossensiblesquenospuedenserútilesalahoradenuestraauditoría.

LaformaenlaqueZaptrabajaesrecursiva,esdecirqueamedidaqueencuentranuevosenlaceslosvasiguiendo,identificandoasíhref,src,http-equivolocationentreotrosatributosdehtml,getypostenlenguajesdinámicoseinclusolosvínculosqueestánescondidosdelosbotsdeindexaciónenelrobots.txt.Estonosdalaposibilidaddehacerelcrawlingbastantegranular,yaquetodoesseteabledesdelasopcionesdeconfiguración.

Sivamosa“herramientas-Opciones-Spider”,observamoslascaracterísticasconfigurablescomolacantidaddeprocesosconcurrentes,habilitar/deshabilitarelcrawlenlametadatadearchivosoenloscomentariosdelsitio,entreotrasopciones.

Ademásdetenerlaposibilidaddeconfigurarcómovaaserelspidering,tambiénpodemosconfigurardóndequeremoshacerlo.PartiendodesdeunaUrltarget,tenemoscincométodosparasetearelalcance:

SpiderContext:Analizarálosenlacesseleccionadosdentrodelcontextoseleccionado,enéstecaso,laúnicaopciónes1.

ZapWebCrawling

QueesCrawlingoSpidering


21ZapWebCrawling

SpiderallinScope:Analizaráloquelehayamosdefinidocomoalcance,enéstecasoelalcanceeslaurlprincipal.

SpiderSite:Haráuncrawlingportodaslosenlacesyadescubiertosenelsitio

SpiderSubtree:Identificarádirectoriosysubdirectoriosdentrodelnodoseleccionado.

SpiderURL:Analizatodaslasurlsidentificadasylasquesegeneranapartirdeésta.

Paracomprendermejorlasdiferenciasentremétodosdecrawling,lesrecomiendoingresaraunsitioconZapcomo


22ZapWebCrawling

scannerpasivo(comovimosenelcapítuloanterior)ylanzarloscincométodosdiferentesidentificandoquenosdevuelvelaventanadeSpiderenelpanelinferior.


23ZapWebCrawling

Zap,poseeunagrancantidaddefuncionalidades,enestasecciónveremoslaformaderealizarunfuzzingsobreunaaplicaciónwebparaidentificarinyeccionesdetiposql.

Elfuzzing,esunatécnicamediantelacualsepuedecomprobarlaformaenlaqueresponde,enéstecasounawebapplication,anteelingresodedatosaleatoriososecuencialesparaparaidentificardirectoriosoarchivos,detectarvulnerabilidadesdeinyeccióndecódigoeinclusopararealizarvalidacionesporfuerzabruta.

Enelsiguienteejemplo,veremoslamaneradeidentificarunainyecciónsqlatravésdeunfuzzingaunaaplicaciónweb.

Paraelsiguienteejemploutilizaremoseltargethttp://webscantest.com,enéstecaso,heaccedidomedianteproxyinterceptor,unavezquetenemoslaurldentrode‘Sites’clickderecho‘Attack’yluego‘Spider’.

Unavezlistoelspidering,vamosabuscareldirectorio‘shutterdb’,éstecontieneunarchivophpllamado‘search_by_name.php’.

Aquíempiezalodivertido,yaqueesdondepodemosconfigurarnuestrofuzzeragusto.Seabriráunaventanadondeveremoselheaderdelsitioenlapartesuperioryenlaparteinferiortendremosquesetearnuestratool.

FuzzingconZap

¿QueeselFuzzing?


24FuzzingconZap

http://webscantest.com

Trasclickearenlazonainferiorvamosa‘add’,aquiesdondeconfiguraremoslospayloadsocargasaprobarsobreelsitio.Debemosseleccionarnuevamente‘add’ytendremoslostiposdecargasparalanzarnuestrofuzzer.

Vamosa‘FileFuzzers’seleccionamos‘jbrofuzz’queesotratooldeOWASPydentrodesusopcioneselegimos‘Injection’.


25FuzzingconZap

Ahoraaceptamos,damosokydemáshastaqueencontramosel‘StartFuzzing’.

Comenzaráacomprobarunoaunolospayloadsimprimiendoenpantallalarespuestadecadaunodeellossobreeltarget.

Comoseobserva,lacarga‘or’1’=’1arespondidounok.Sivamosalsitiowebycolocamosesasecuenciadecaracterespodremosverquenosdevuelvetodoelcontenidodeladb.

Megustaríaaclararqueelejemploquehemosvistoeselpasoapasodesólounaexplotaciónmediantefuzzing,eldescubrimientodedirectoriosporejemplosepuederealizarcasidelamismamanera,solobastaconconfigurarlas


26FuzzingconZap

opcionesdelfuzzer.

LaintencióndeéstecapítuloesmostrarlagranularidadconlacualsepuedeconfigurarZap,ahorabien,sicolocaslaelnombredelsitioen‘URLtoAttack’ydasen‘Attack’tambiénharáunfuzzing,ladiferenciaestáenlaprolijidad,unacosaesatacartodoparaquesaltentodaslasalarmasyotramuydiferenteessóloatacaralpuntodébil.


27FuzzingconZap

ElForcedBrowseesuntipodeataqueparaforzarlanavegacióndentrodeundominioconelfindeidentificarrecursosquenosonaccesiblesdesdeunareferencia(esolohaceuncrawling)peroaunestánenalgundirectoriodentrodelwebserver.

Yaquetenemosclaroelconcepto,analicemossupuestaenmarcha,veremosquebruteforcingsobrelanavegaciónvienedelamanoconelcapítuloanterioryelmecanismoesbastantesimilar.

LasopcionesdeForcedBrowsequenosfacilitalaherramientasonlassiguientes:

ForcedBrowseSite:esutilizadoparalaidentificacióndecontenidonovinculadoseneldirectoriodeldominio,seejecutapordefectooseteandonuestropropiodiccionario.

ForcedBrowseDirectory:cumplelamismafunciónqueelanterior,ladiferenciaesqueidentificasobreundirectorioynosobretodoeldominio.

ForcedBrowseDirectory(andchildren):Igualalanterior,sóloqueademástambiénidentificaelcontenidodelossubdirectorios.

ParadefinirlasopcionesdeconfiguraciónysetearnuestropropiodiccionariodeFuerzaBrutaenlaherramientadebemosiralasopciones,parallegarpodemosirpordoscaminos“Ctrl+Alt+o”oenelmenúsuperior“Tools->Options”

ZapForcedBrowse


28ZapForcedBrowse

DentrodelasOpcionesconfigurablesdelasquedisponemosestán:

Cantidaddethreadsconcurrentesporhostquepuedenirde0a20.Esposibledefinirquesearecursivoono.Archivopordefectoconelcualrealizaráelforcedbrowse.Agregardiccionariospersonalizadosparaelataque.Incluirextensionesabuscardemaneramanual.

Cuandolancemoselataque,esviableelegirsiqueremoscontinuarutilizandolalistaquehemosdefinidopordefectoobuscaryseleccionarlaquedeseamosemplear.


29ZapForcedBrowse

Veamosunejemploprácticodeloquevenimosviendo.ParaInicializarelForcedBrowse,debemospararnossobreeltarget,clickderechoyseleccionamoseltipodebruteforcingquedeseamos.Enéstecasoejecutaremos“ForcedBrowseDirectory”coneldiccionarioquetraepordefectolaherramienta

Enelpanelinferior,veremoscomocomienzaadesplegarselaspeticionesquehacesobreeldirectorioseleccionadoylarespuestadecadarequest.

Deéstamaneraidentificamosporejemplo,informaciónsensible,backdoorsshellenphpconnombrescomunescomoc99.phpoDAws.php,etcquegeneralmentenotienenningunareferenciaohipervínculodesdeeldominioperosiestánpresentesdentrodelwebserver.


30ZapForcedBrowse

AntesdecomenzaraverlaformaderealizarscriptsenZap,veremosdequésetrataZest,yaquesinoentendemosbienlabase,escomplicadoconstruirhaciaarriba.

Zest,esunlenguajedeprogramaciónespecializadoenelscriptingcreadoporelequipodedesarrolladoresdeseguridaddeMozillaorientadaatoolsdeseguridad.Siquieresinvestigarunpocomás,acáestáelsitiooficial:(MozillaProjectsZest).

Estelenguajedescriptingestáescritoenjson,sinembargo,laideaesquelaprogramaciónseavisualyqueestédefinidaporlaherramientaqueintegreZest.

Porelmomento,Zapeslaúnicaherramienta(porloquediceelsitiodedevelopersdemozilla(ZestTools)queintegraéstaformadescriptear.

ValeaclararqueZestescompletamentedecódigoabiertogratuitoysepuedeincluirencualquierherramientadecódigoabiertoocerrado,libreocomercial.

Paraencontrarelbotónquepermitegrabarunnuevoscript,debemosbuscarenlapartesuperior,muycercadedondeseencuentraeliconoparacustomizarbreakpointhttpquevimosencapítulosanteriores.

Encasodequenofigureahíhayqueimportarlodelasiguientemanera:

1. Ctrl+u(Atajopara‘Checkforupdate’quetambiénsepuedeencontrarenlapestaña‘Help’),éstoabreel‘ManageAdd-ons’.

2. Seleccionarlapestaña‘Marketplace’ybuscar‘Zest-GraphicalSecurity’.

3. Unavezseleccionadovamosabajoa‘InstallSelected’.

4. Paracomprobar,elegimoslapestaña‘Installed’ydebeaparecer‘Zest-GraphicalSecurity’,comovemosenlaimagen:

ZestScriptsobreZap

¿QueesZest?

PasosPreliminares:


31ZestScriptsobreZap

https://developer.mozilla.org/en-US/docs/Mozilla/Projects/Zest

https://developer.mozilla.org/en-US/docs/Mozilla/Projects/Zest/Zest_tools

EsrecomendablereiniciarZapunavezrealizadalainstalacióndelAdd-onparaevitarposiblesinconvenientes.

Pararealizarlaspruebasquellevaremosacabo,hayqueteneraZapcomoproxydeintercepción(lohemosvistoencapítulosanteriores).

Ejemplo1:AlhacerclickenelbotónparainiciarlagrabacióndelZestscriptsenosabriráunaventanacondospestañas,laprimera,‘Summary’nospermite:

Setearelnombredelscript.Tipo(standaloneoauthentication)Tipodegrabación.Urlinicial.Prefijo,esdecirsobrequepathraiz.OpciónparacargarelscriptalinicializarlaherramientaDescripción

Paraesteejemplohemoselegidoelnombre‘Ejemplo1’,elscriptseráde‘Authentication’,grabarádelladodelservidor,laurlsobrelacualcorreráesladelogindegooglegruyereyel‘Prefix’eselindexdegruyere.NodefinimosdescripciónytampocoquesecarguealiniciarZap.Asínosquedó:

GrabacióndeScriptsmodovisual:



Laotrapestaña,‘DefaultAssertions’traeconfiguraciónpordefectoquenoconvienemodificarlas

Unavezseteadoslosparámetrosquedeseamos,hacemosclicken‘StartRecording’,vamosalpaneldelogueodegruyere,iniciamossesiónointroducimoscredencialesinválidasyvolvemosaZapparadetenerlagrabacióndelscript.



AlvolveraZap,podemosverenlaventana‘Scripts’quetenemoselqueacabamosdegrabaryaguardado.

Siseleccionamoselscriptquehemosterminadodegrabar,podemosvisualizarlarepresentacióngráficadeloquehemosgrabado.



Enelpanelsuperiordeladerecha,sepuedevisualizarlarepresentacióncodificadadeloquehemosgrabado,enlapestaña‘ScriptConsole'.

Tambiénnosaparecióelbotón‘Run’,silopresionamoselscriptquehemosterminadodegrabarvuelveacorrer.

Hastaaquí,lametodologíaquehemosutilizadoparagrabarnuestroscriptenZest,esmuysimilaraladelasmacrosenprogramasofimáticosdeprocesamientodetextooplanillasdecálculo.Pararesumirydejarenclaro:

1. Vamosalbotónparainiciarlagrabación.2. Realizamoselprocesoquequeremosdejarguardado.Aquípodemos,porejemplo,explotarunvulnerabilidadcomo

unxssounbypassalloginqueluegopodemosreproducirloparagenerarnuestroreporte.3. Finalizamoslagrabaciónparatenernuestroscriptcodificadoyrepresentadográficamente.Podemosvolveracorrerlo

quehemosgrabadosimplementedandoclicken‘Run’.

Pararealizaréstamodalidaddegeneracióndescripts,debemosutilizarunpluginllamado‘Plug-n-Hack’queseencuentraenlapestaña‘QuickStart’debajodel‘UrltoAttack’.

GrabacióndeScriptsmodoconsola:



Sihacemosclickenelbotón‘Plug-n-Hack’senosabriráunapestañaenelbrowserFirefoxconlaurl:http://localhost:8080/pnhconunbotónparaconfigurarelplugin.

Unavezquefinalizalaconfiguración,podemosverlasmodificacionesquerealizóelplugindirigiéndonosa‘Preferencias->Avanzadas->Configuración’.



http://localhost:8080/pnh

Paragenerarnuestrosscripts,debemos,desdenuestrobrowserpresionar‘Shift+F2’.SisóloponemoszapveremostodaslasopcionesquetenemosdisponiblesparainteractuardesdeFirefoxconZap.

Parainicializarlagrabacióndelscript,debemosescribir‘zaprecordonglobal’,realizamoslaacciónquequeremosdedejarguardadaennuestroscriptyparafinalizarescribimosenlaconsoladeFirefox‘zaprecordoffglobal’.AlvovleralZap,nosencontraremosconlosmismospanelesyvisualizacionesquesigrabamosunscriptdemaneravisual.

Alseleccionarunscriptquehemosgrabadopodemosrealizarunagranvariedaddeaccionesentrelascualespodemosver:

Agregarrequest.Agregaraccionescomoscanear,imprimirodormirelscript.Agregarafirmaciónlengthyregex.

Edicióndescripts:



Agregarasignacionesenvariablesporejemplo.Agregarcondiciones.

Cadaunadelasopcionesdeediciónnosabriráunaventanaparaeditarnuestroscriptdemaneravisual.

Otraformadeeditar,esirdirectamentealcódigojsonseleccionarelstring,elegir‘Redacttext’ymodificaragustoloquedeseamos.Porejemplo,siobtenemoscookiesdesesióndeunaaplicaciónwebyhemosgeneradonuestroscriptdeloginconunacookie,esposiblemodificarlaporotrayhacerclicken‘Run’paraquevalideellogueoconotracookie.Tambiénpodemoshacerloconlascredencialesdeacceso,modificarheader,variables,etc.



Existenmuchasmásopcionesdemodificaciónypersonalizacióndelosscripts,podemosagregarcondicionesbooleanas,iteraciones,etc,paraajustarloanuestrasnecesidadesal100%.Esapartequedaráparasuinvestigación.

Siquiereninteriorizarsemás,engithubtienenelcódigodeZestyenmozillazesttienenungrupopararealizarlasconsultasoaportessobreéstelenguajedescripting.



https://github.com/mozilla/zest

http://groups.google.com/group/mozilla-zest

Aprovechandoquerecienseliberólaversión2.4.2deZap,enestecapítuloveremoslamaneradeactualizar,ademásdelainstalaciónyusodelosplugins.

Paraactualizarlaherramienta,tenemosqueiralapestaña‘Help’yseleccionar‘CheckforUpdates’.

Seabriráel‘ManageAdd-ons’ysinotenemoslaúltimaversión,nosapareceráunmensajeindicándonosqueexisteunaversiónmásreciente.

Damosclicken‘DownloadZAP’ycomenzaráladescargaensegundoplano,comoloindicaeltextoenlaparteinferiordelaventana.

Unavez,hechoésto,levantamosunaconsolaylistamoscon‘ls’sobre~.

ActualizaciónyPluginsenZap


40ActualizaciónyPluginsenZap

Nosmovemosaldirectorio‘.ZAP/plugin’yallistarvemosqueyatenemoslaversiónnueva.

Encasodenoestarel‘.tar.gz’conlaversiónnueva,podemosdescargarladirectamentedesdeGITHUBohaciendoun‘wget’.

Cuandolotengamos,debemosdescomprimirelarchivocompresodelasiguientemanera.

YporúltimomovemostodaeldirectoriodeZAPnuevoparapisarelviejosobre‘/usr/share/zaproxy’.

IniciamosZAPparacorroborar:

ConlaúltimaversióndeZAP,vienenvariosadd-onsinteresantesyvariosupdates.Paravisualizarlospluginsdebemosiral‘Manageadd-ons’comovimosmásarribaosimplementecon‘Ctrl+u’.Sideseamosverdequeésetrataunplugin,bastaconhacerleclickparaquenosmuestremásinformación.



https://github.com/zaproxy/zaproxy/wiki/Downloads

Paraelsiguienteejemplo,instalaremosyveremoselfuncionamientodeunpluginllamado‘CallGraph’.Loseleccionamosyclickleamosen‘InstallSelected’.

Unavezfinalizado,vamossobrenuestroyaconocido‘google-grouyere.appspot.com’yhaciendoclicksecundarioyatendremoslaopcióndelpluginqueacabamosdeinstalardisponible.

Siseleccionamoslaopciónde‘AllSite’,veremosundiagramadetodoslosdirectorios,subdirectoriosyarchivosquesehaidentificadoelscanner.



Losinvitoaquerevisenelrestodelosplugins,haymuchísimosmuyinteresantescomo‘LogFileImporter,BrowserView,fuzzdbfiles,PythonScripting’entreotros.

Parafinalizar,quisieraagradeceraSimonBennetts(@psiinon)yaCristianBorghello(@SeguInfo)porelagradecimientoydifusióndelasentradasdelblog.



EnestepenultimocapítuloveremosalgunosrecursospequeñosperosumamenteútilesdeZapquenoshanquedadopendientesperoquenosonloslosuficientementeextensoscomoparadedicarlestodaunasección.

Ctrl+i:Mediantelacombinacióndeéstasteclas,Zapabreunaventanadesdelacualpodemoselegirunalistadeurlsparapoderrealizarunanálisis.Tambiénpodemosencontrarlaopciónsivamosalapestaña‘Tools’yseleccionamos‘ImportafilecontainingURLs’.

Laventanaquesenosabrenospermiteseleccionarellistadoquetengamosarmado.

Paraésteejemplo,arméunpequeñotxtcontresurlsquelopuedencopiarparasusprácticas.

Alimportarydarleaceptar,veremosqueenlapestaña‘Output’delpanelinferiorcomenzarárealizarpeticionesalossitiosdenuestralistaymostrarlasrespuestas.

Unavezfinalizadoelscanning,enlapestaña‘Sites’veremoslostarguetsanalizadosyenlaparteinferior,sivamosa‘Alerts’tendremoslasvulnerabilidadesidentificadasencadaunadelasurls.

Cuestionesquenosolvidamos


44Cuestionesquenosolvidamos

ZapestádesarrolladoenJava,perocuentaconapisparapoderintegrarloaotroslenguajesdeprogramacióncomoRuby,Python,PHP,entreotros.EnelsiguienteejemploveremoslaformadeintegrarPythonalaherramienta.

Existendosopcionesparainstalarlaapidepythonenzap:

LaprimeraesdesdePyPI.

paraluegodesdeeldirectoriodepython.

Lasegundaopción(queeslarecomendada),esbajandolaapidesdeSourceforgeparaluegoseguirconlosmismospasosdelprocedimientodescritoarriba.

Unavezejecutadoelinstall,tenemosqueinicializareldaemondezap.

Hastaaquíyatenemosinstaladalaapiylistaparautilizarla.Ejemplosdescriptsqueusanlaapidepythonpuedenencontraraquioaqui.

He,peroesolohagoconnmap.Perfecto,perotambiénpodéshacerloconZappapu!

LasApisdeZap

PortDiscovery



https://github.com/zaproxy/zaproxy/wiki/ApiDetails

http://sourceforge.net/projects/zaproxy/files/client-api/

https://github.com/zaproxy/zaproxy/wiki/ApiPython

https://github.com/0verl0ad/pyJuanker/blob/master/scripts/pyZap.py

Porsialguienaúnnosabequéesunportscanner,setratadeidentificarlospuertosabiertosdeunservidor.Generalmentelospuertosabiertos(siestánbienconfigurados)tienenunserviciocorriendo,comosmtpenel25,httpsenel443,opop3enel110porejemplo.

ConZap,podemosverlospuertosyserviciosasociadossinlanecesidaddeabrirunnmapolatoolsqueusenparaéstepropósito.Elconocerlospuertosyserviciosdeunservidor,nospuedenorientarparasaberdequésistemaoperativo(SO)setratayvalidarenunaanálisisdevulnerabilidadesopentestsialgunoscríticoscomoftposshsonbypasseablesfácilmenteosicuentanconlasmedidasdeseguridadcorrespondientes.

Paraelsiguienteejemplo,llamemosnuevamentealistadodeurlsquevimosmásarribacon‘Ctrl+i’.Ahora,vamosalapestaña‘View’yelegimos‘Showalltabs’.

Simiramoslaspestañasdelpanelinferior,notaremosquehaymuchasmásdelasquetraepordefectocuandoseinicializalaherramienta.

Elegimoslapestaña‘PortScan’yen‘Host’eltargetautilizarparalaidentificacióndepuertosabiertos.

Luego,sóloclicken‘Play’yaesperar.

Al37%yaencontródospuestosabiertosconsusrespectivosserviciosasociados

Elgeneradordetokennossirveparavalidarunacookie,probarsipodemosloguearnosaunsitioconunacookieinventadaoutilizaralgunacookiecapturadapararealizarlaauditoriadesdeadentro.

Paraésteejemplo,seleccionaremoslaprimeralertaquenosdióZapalimportarellistado.Nosparamossobre‘Insecure

GeneradordeCookies



Componnent’yveremoslaversióndelIISdeMicrosoft,perodebajoencontramosel‘PHPSESSIONID’

Alhacerclicksecundario,abajotenemoslaopciónde‘Generatetokens’.

Aquípodremossetearlacantidad,eltipoyelnombre.

Vamosa‘generar’yvisualizamoslosresultados.



Sivamosaliconodelacarpetita,podemosincorporarlascookiesquetengamospararealizarlaspruebas.



Nosencontramosyaenlaúltimocapítuloalmenosporahora,veremospuntualmentelamanerademanejarlosreportesquenospermiteexportarlatool.

Unavezqueterminamosdeanalizarelsitio,podemosiralapestaña‘Reporte’paraelegireltipodereportequequeremosexportar.

Losformatosmásútilessonxmlyhtml,ambossonpersonalizablesyluegofácilmenteselospuedeconvertirenpdf,comoveremosenlasiguientepráctica.

Asíescomoseveelreporteexportadoenhtml:

Sieditamoselcódigofuentepodríaquedarnosmuchomáspresentable,yaqueeshtmlpuroypodemosmoldearlatipografía,tamañoycolordeletras,ubicacióndelcontenidoytodoloquedeseemos.

Enelejemplosóloleagregamosunaimagenycentramosel‘ScanningReport’.

Reporting

Generarunreporte.


49Reporting

Loconvertimosapdf,enalgúnsitioonlinesinotenemosganasdeprogramarunconversoryconmuypoquitolomejoramosbastante.

Exactamentelomismosepuedehacerconelformatoxml.

Enrealidad,másquelosreportes,loquecomparamossonlassesionesproductodenuestroanálisis.Unavezqueterminamosderealizarlaauditoría,esrecomendableguardarelreporte,enhtmlporejemplo,ylasesiónsobrelaquehemostrabajado.Deéstamanera,siidentificamosvulnerabilidadesquedebenserremediadas,cuandoauditamosnuevamentepodemoscorroborarconlasesiónyconelreportesilolosresponsableshansolucionadolasvulnerabilidadesreportadasosisiguenpresentesalaesperadeunatacanteexterno.

Compararreportes


50Reporting

Enlapestaña‘Reporte’tenemoslaopciónde‘Compararconotrasesión’,senosabreunaventanaparapoderelegirlasesiónacomparar

ConestofinalizamosesteEbookdeZap,esperoquelohayandisfrutadoyleshayansidoútilesalmenosparainteriorizarseunpococonlaherramienta,enloposibletrataremosdemejorareiractualizandotantoencontenidocomoalgunerrorortográficoodecontenido.

Porúltimo,muchasgraciasJoséporbrindarmeesteespacioparacompartirsobreéstatoolyfelicitacionesporlos4añosdeSniferL4bs!

Autor:EricBalderrama

Twitter:@BalderramaEric

Ocupateviviendoomuriendo.

Cierre


51Reporting

https://twitter.com/BalderramaEric

Tabla de contenido - HH-Server .com€¦ · 3. Intercept Proxy 4. Escaneos Pasivos y Activos 5. Zap...

Documents

Transcript of Tabla de contenido - HH-Server .com€¦ · 3. Intercept Proxy 4. Escaneos Pasivos y Activos 5. Zap...