Other Notable Applications
Aunque este módulo se centra en nueve aplicaciones específicas, aún hay muchas otras que podemos encontrar en el entorno. He realizado pruebas de penetración extensas donde terminé con un informe de EyeWitness de más de 500 páginas para revisar.
El módulo fue diseñado para enseñar una metodología que se puede aplicar a todas las demás aplicaciones que podamos encontrar. La lista de aplicaciones que cubrimos en este módulo abarca las funciones principales y la mayoría de los objetivos de una gran cantidad de aplicaciones individuales para aumentar la efectividad de tus evaluaciones internas y externas durante tus pruebas de penetración.
Cubrimos la enumeración de la red y la creación de una representación visual de las aplicaciones dentro de una red para garantizar la máxima cobertura. También cubrimos una variedad de formas en las que podemos atacar aplicaciones comunes, desde el fingerprinting y el discovery hasta el abuso de la funcionalidad incorporada y exploits públicos conocidos. El objetivo de las secciones sobre osTicket y GitLab no solo fue enseñarte cómo enumerar y atacar estas aplicaciones específicas, sino también mostrar cómo los sistemas de tickets de soporte y las aplicaciones de repositorio Git pueden ofrecer información útil que puede ser valiosa en otras partes durante un engagement.
Una gran parte de las pruebas de penetración es adaptarse a lo desconocido. Algunos testers pueden ejecutar algunos escaneos y desanimarse cuando no ven nada directamente explotable. Si podemos examinar nuestros datos de escaneo y filtrar todo el ruido, a menudo encontraremos cosas que los escáneres pasan por alto, como una instancia de Tomcat con credenciales débiles o predeterminadas, o un repositorio Git abierto que nos da una llave SSH o contraseña que podemos usar en otro lugar para obtener acceso. Tener una comprensión profunda de la metodología y mentalidad necesarias te hará exitoso, sin importar si la red objetivo tiene WordPress y Tomcat o un sistema de tickets de soporte personalizado y un sistema de monitoreo de red como Nagios. Asegúrate de entender las diversas técnicas enseñadas para el footprinting de estas aplicaciones y la curiosidad para explorar una aplicación desconocida. Te encontrarás con aplicaciones no listadas en este módulo. Similar a lo que hice con la aplicación Nexus Repository OSS en la sección de introducción, puedes aplicar estos principios para encontrar problemas como credenciales predeterminadas y funcionalidad incorporada que conduce a la ejecución remota de código.
Honorable Mentions
Dicho esto, aquí hay algunas otras aplicaciones que hemos encontrado durante las evaluaciones y que vale la pena tener en cuenta:
| Application | Abuse Info |
|---|---|
| Axis2 | Esto se puede abusar de manera similar a Tomcat. A menudo lo veremos sentado sobre una instalación de Tomcat. Si no podemos obtener RCE (remote code execution) a través de Tomcat, vale la pena verificar las credenciales de administrador débiles/predeterminadas en Axis2. Luego podemos cargar un webshell en forma de un archivo AAR (archivo de servicio de Axis2). También hay un módulo de Metasploit que puede ayudar con esto. |
| Websphere | Websphere ha sufrido muchas vulnerabilidades diferentes a lo largo de los años. Además, si podemos iniciar sesión en la consola administrativa con credenciales predeterminadas como system:manager, podemos desplegar un archivo WAR (similar a Tomcat) y obtener RCE a través de un web shell o reverse shell. |
| Elasticsearch | Elasticsearch también ha tenido su cuota de vulnerabilidades. Aunque es antiguo, hemos visto esto en instalaciones olvidadas de Elasticsearch durante una evaluación para una gran empresa (e identificado dentro de cientos de páginas del informe de EyeWitness). Aunque no es realista, la máquina de Hack The Box Haystack presenta Elasticsearch. |
| Zabbix | Zabbix es una solución de monitoreo de red y sistemas de código abierto que ha tenido bastantes vulnerabilidades descubiertas como inyección SQL, bypass de autenticación, XSS almacenado, divulgación de contraseñas LDAP y ejecución remota de código. Zabbix también tiene funcionalidad incorporada que puede ser abusada para obtener RCE. La caja HTB Zipper muestra cómo usar la API de Zabbix para obtener RCE. |
| Nagios | Nagios es otro producto de monitoreo de red y sistemas. Nagios ha tenido una amplia variedad de problemas a lo largo de los años, incluyendo ejecución remota de código, escalada de privilegios a root, inyección SQL, inyección de código y XSS almacenado. Si te encuentras con una instancia de Nagios, vale la pena verificar las credenciales predeterminadas nagiosadmin:PASSW0RD y fingerprinting de la versión. |
| WebLogic | WebLogic es un servidor de aplicaciones Java EE. Al momento de escribir esto, tiene 190 CVEs reportados. Hay muchos exploits RCE no autenticados desde 2007 hasta 2021, muchos de los cuales son vulnerabilidades de deserialización de Java. |
| Wikis/Intranets | Podemos encontrarnos con wikis internos (como MediaWiki), páginas intranet personalizadas, SharePoint, etc. Vale la pena evaluarlos por vulnerabilidades conocidas, pero también buscar si hay un repositorio de documentos. Nos hemos encontrado con muchas páginas intranet (tanto personalizadas como SharePoint) que tenían una funcionalidad de búsqueda que llevó al descubrimiento de credenciales válidas. |
| DotNetNuke | DotNetNuke (DNN) es un CMS de código abierto escrito en C# que utiliza el framework .NET. Ha tenido algunos problemas graves a lo largo del tiempo, como bypass de autenticación, traversal de directorios, XSS almacenado, bypass de carga de archivos y descarga arbitraria de archivos. |
| vCenter | vCenter suele estar presente en grandes organizaciones para gestionar múltiples instancias de ESXi. Vale la pena verificar credenciales débiles y vulnerabilidades como este RCE de Apache Struts 2 que los escáneres como Nessus no detectan. Esta vulnerabilidad de carga de archivo OVA no autenticada se divulgó a principios de 2021, y un PoC para CVE-2021-22005 se lanzó durante el desarrollo de este módulo. vCenter viene como un appliance tanto para Windows como para Linux. Si obtenemos un shell en el appliance de Windows, la escalada de privilegios es relativamente simple usando JuicyPotato o similar. También hemos visto vCenter ya ejecutándose como SYSTEM e incluso como un administrador de dominio. Puede ser un gran punto de apoyo en el entorno o ser una única fuente de compromiso. |
Una vez más, esta no es una lista exhaustiva, sino solo más ejemplos de las muchas cosas que podemos encontrar en una red corporativa. Como se muestra aquí, a menudo, una contraseña predeterminada y funcionalidad incorporada es todo lo que necesitamos.