martes, agosto 28, 2007

Los Esquiroles - Getafe
Joomla - XSS en com_joomleague

El día de ayer lo dedique a cosas productivas, así que estuve todo él haciendo maldades, y una de ellas, consistía en cumplir la penitencia que me autoimpuse. Así que, manos a la obra.

Getafe

La web del Getafe usa Joomla, se saca rápido, basta ver cualquier URL de la web con esta estructura:

http://www.getafecf.com/index.php?option=com_contact&task=view&contact_id=1&Itemid=34

El siguiente paso fuer buscar los directorios ocultos del Getafe en el ficherito Robots.txt


El siguietne paso, sencillo, prueba de "¿se habrán dejado algún listado de directorios abierto en el Apache?"

Respuesta: Muchos, pero el que más llama la atención es el de los componentes que carga Joomla, así que basta con saberte el nombre del componente y pedirlo.

- Com_joomleague
- Com_rsgallery2
- ...

Probando todo lo que te encuentras, se confirma que es Apache sobre Win32:


Com_Joomleague

Este es el componente que se utiliza para llevar los partidos, plantilla, etc... y la lista de todas las funciones del componente que se pueden utilizar está en esta URL: http://www.getafecf.com/components/com_joomleague/frontend/default/


Revisando la web se ve que algunas, como user_tips, tips_saved, etc... no están siendo usadas en la web, así que las cargamos a ver que sucede. Al cargar la función ShowTips con:

http://www.getafecf.com/index.php?option=com_joomleague&func=showTipResults&p=1&u=75&r=1

Aparecen nuevos parámetros para jugar y al mover el valor de r se puede observar que está siendo pintado en la pantalla, así que nada, un poco de Javascript... y un Cross-Site Scripting para este componente de Joomla.


Al mirar la empresa que ha programado la web, que se ve en el pie de la página del Getafe, llama la atención que dicha empresa usa ASP, pero al ver como está su web podemos saber porqué se han pasado a Apache, Joomla y PHP. Ha sido por Seguridad.


Lo curioso de la empresa es que se llama monteJAVA, su web está en ASP y le montan la web en PHP.

Saludos malignos!

34 comentarios:

  1. Hola holita

    Bueno, añado a la ya ta reluciente ficha de esta empresa un dato más:

    http://www.montejava.com/noticia.asp?id=90 and 1=1

    Un poco de SQL Injection y podeis cambiar la equipación del Getafe.

    No sed malos ...

    ResponderEliminar
  2. Me encanta levantarme por las mañanas y leer tu blog. Siempre hay un buen post esperando.

    Ya has rezado los 20 San Ubuntus??

    ResponderEliminar
  3. Hola Chema. Esta es la primera vez que mencionas Joomla en tu blog, y quería pedirte que me dieras tu opinión, somera, escueta y tecnicofull acerca de este CMS. Me lo estoy empollando para desarrollar una página para una ONG con la colaboro, y tu opinión me ayudaría a valorar este sistema. Gracias y a seguir así. Me he pasado un buen verano leyendo tus artículos. Saludos.

    ResponderEliminar
  4. Has seguido el mismo procedimiento y razonamiento que yo, solo que yo en vez de ponerme a probar parametros me baje el codigo fuente del com_joomleague y me puse a leermelo :P

    ResponderEliminar
  5. nada si quereis ser mas malos aun...mirar si el server no es un dedicado y a lo mejor hasta consigues el acceso total al server por otra web abergada en el mismo...

    ResponderEliminar
  6. Joder no seais tan cabrones con el pobre Getafe hombre, que son humildes, si encima los han estafado ya tienen bastante los pobrecicos...

    Por cierto, nos vemos en Vigo entonces...

    Saludiños! :-P

    ResponderEliminar
  7. ¡¡Ay, Ay!! que vas a tener que autoimponerte otra penitencia por estos actos delictivos que cometes contra el getafe y su proveedor... ¿Qué pasa con esa ética? ¿tienes permiso de esa gente para hacer pruebas de intrusión sobre sus aplicaciones? Solo espero que esa compañía no pierda clientes porque te indexe google y alguien busque información y encuentre esta entrada. Imagínate, ¡podrian hasta denunciarte! (con toda la razón del mundo)...

    Abrazos benignos.

    ResponderEliminar
  8. Os aseguro que estoy siendo bueno, mañana, creo que voy a ser un poco más malo.

    Yo no he hackeado nada, todo es info pública, los directorios están en le path público, etc...

    ¿No habréis hecho nada malo vosotros, no?

    ResponderEliminar
  9. ¿¿Los del Getafe humildes?? Seguro que el último reserva del Getafe cobra 100 veces más que yo por hacer 100 veces menos. Pero si se considera muy humilde yo le cambio el puesto encantado, vamos...

    Chema, enhorabuena por la rectificación de ayer, dice mucho de ti ;)

    ResponderEliminar
  10. "Solo espero que esa compañía no pierda clientes porque te indexe google y alguien busque información y encuentre esta entrada. Imagínate, ¡podrian hasta denunciarte! (con toda la razón del mundo)..."

    No lo entiendo yo, partiendo de que esos saludos benignos me hacen pensar que eres Benigno y por tanto partidario del software libre, ¿es criticable que alguien muestre al mundo las malas prácticas de seguridad de una empresa? ¿no se defienden los intereses de los consumidores al no mantener "ocultas" estas malas prácticas? ¿Dirías lo mismo si lo relatado en este post se hubiera hecho contra, por ejemplo, microsoft.com? ¿Te preocuparía la buena fama de Spectra o si fuera a perder clientes por una intrusión de estas características?

    ResponderEliminar
  11. aramosf no es benigno.

    Tampoco estamos diciendo como entrar. ;)

    ResponderEliminar
  12. Tal y como dijiste hace dos días, no estás hablando mal de Apache... sino de los que hacen la instalación.

    ¿Para cuándo el informe original actualizado? Convendrás conmigo que, sabiendo que está mal, dejarlo tal cual con ese gráfico de tarta en el que IIS parece que tiene más instalaciones que Apache... es cuanto menos discutible.

    ResponderEliminar
  13. Dame tiempo David, ya he puesto una alerta en el post. Se me acumula el trabajo y para mi salud mental no quiero poner más de un post al día....

    ResponderEliminar
  14. Como decia una tia mia:
    "Debe saber mucho el hombre, pues no le he entendido nada de lo que ha dicho". :)

    Como desarrollador puedo dar fe, que la seguridad es una "feature" que siempre queda relegada a la terminacion de los componentes funcionales de la app, y muchas de esas veces, queda fuera del presupuesto. A la gente sencillamente no le interesa... HASTA QUE PASA, y entonces tenemos que parchear con paraguas y cacerolas para contener las goteras que se hubieran solucionado con un buen techo durante el desarrollo. Obviamente hay excepciones.

    Como he dicho anteriormente, yo de seguridad en web apps poco y nada, pero todos los dias aprendo algo aqui. Excelente blog.

    saludos.

    ResponderEliminar
  15. Oye Chema por que no te sacas un libro de bajo de la manga y a todos los programadoruchos como yo nos haces un favor eh... yo procuro pegarle a todos los palos pero...'no puedo no puedo no puedorrr'; he leido alguno que otro pero me falta muuuuuuuucho para llegar a la 'decencia'.

    Venga venga caña caña que es lo único que nos hace correr!!!

    ResponderEliminar
  16. Hola maligno, quiero saber como coño has puesto elementos a la parte izquierda del blog.
    Es por la plantilla?
    Yo no veo forma humana de poner en mi blog algunas secciones a la izquierda.

    Gracias y perdona el off topic ;)

    ResponderEliminar
  17. Ponme un mail y te mando la plantilla. Me la hicieron amigos ;)

    ResponderEliminar
  18. Ya estamos, tengo tantos marrones encima que ni tiempo tengo para incordiar por aquí.

    Y mira que me han dao ganas de decir cosas como "y que tal van las ventas del Vista", o como cuando sacasteis lo de los equipos con Ubuntu, que no os acordáis que también por clamor popular se sigue vendiendo XP.

    En aras del buenrrollismo propongo la creación de una Asociación de Visteros y Linuxeros así to junto, asi no nos sentiremos tan solos (pero como diría Torrente sin mariconadas eh).

    Hasta la vista babies ;-)

    ResponderEliminar
  19. Benigno!!

    que alegría leerte!!. Deja de currar hombre, que estamos en Agosto.

    Yo me apunto a lo de tu asociación.

    ;)

    ResponderEliminar
  20. Donde te puedo mandar mi direccion de correo?

    Gracias!

    ResponderEliminar
  21. ¿es criticable que alguien muestre al mundo las malas prácticas de seguridad de una empresa?

    Si, lo es.

    ¿no se defienden los intereses de los consumidores al no mantener "ocultas" estas malas prácticas?

    No, si quieres vete a un banco y atracalo para ver si es seguro y luego haces la misma pregunta en comisaria.

    ¿Dirías lo mismo si lo relatado en este post se hubiera hecho contra, por ejemplo, microsoft.com?

    Por supuesto

    ¿Te preocuparía la buena fama de Spectra o si fuera a perder clientes por una intrusión de estas características?

    No, basicamente porque Microsoft ya tiene mala fama en seguridad, se la ha ganado a base de su historia y a pesar de ello, sigue vendiendo, no le supone un problema, como le puede suponer a la PYME de antes.

    En cuanto al software que uso, a veces es libre y a veces tiene esposa. No creo que eso importe.

    PD: meter una comilla en una URL y mostrar un error de SQL seguramente cualquier juez lo vea como un delito, ¿lo es?, no lo sé, pero si yo veo que alguien anda "jugando" con mi web solo por diversión, trataria de crujirmelo legalmente por diversión y mientras a mi me saldría gratis, a la otra parte le buscaria un problema :D

    Saludos benignos. Como el sirope de chocolate

    ResponderEliminar
  22. slayer, descubrir mi correo es sencillo.... ;)

    aramosf, creo que intrusión quiere decir que entras en el sistema. En este caso no hemos accedido a ninguna información interna del sitio. Es fase de fingerprinting y footprinting, es decir, lo que es público.

    Poner una comilla es tan tonto que, te lo creas o no, a mi, en este caso me pasó sin querer, se me fue el muestrario pollas que tengo por mano por el teclado y me dio un error. De hecho no se ni porque ha pasado. A estos señores les he avisado, y también a los de com_joomleague, y a los de joomla lo he intentado y penyasquito ha avisado a gente de joomla, pero hasta el momento sin noticias de Gurb en todos los campos.

    Las listas de full disclousure... ¿has posteado alguna vez allí tú?

    Esto es una chorrada, tranquilidad.

    Saludos!

    ResponderEliminar
  23. Halou,

    Os recomiendo la lectura de la definición de la wikipedia de "dolo", puede que hayas metido una ' sin querer, pero además tendrías que explicar como acabó todo este post aquí. A mi, como comprenderás, me da igual que no muestres lo que yo considero ética moral en tu blog personal, puedes poner como 'cuasi' petas cualquier cosa que te aseguro que yo me rio más que nadie. Solo añado un nota en la sección de "comentarios" con mi opinión, que para eso están. Y si me preguntas, te podría contar más de 3 pericias de defensa que hemos hecho por gente que ha hecho mucho menos que eso y ha acabado teniendo que dar explicaciones ante una vieja de 60 años a la que llaman juez.

    Os reto que hagais lo mismo en la web del FBI y saques una entrada con un sql injection que encontraste "por error" :D

    En cuanto a FD, si, claro que escribo, como he comentado en otras ocasiones, creo en el disclosure -DE LAS APLICACIONES- (y no de los sitios web, lo que me conviritira en un scriptkiddie), aunque como todos, tengo mis 0days.

    Esta vez, besos con sabor a huevos fritos con patatas.

    ResponderEliminar
  24. Gracias por tu opinión aramosf. Tomo nota. Creo que petar una aplicación y una aplicación web tienen poco de distinto, pero tu opinión es tan buena como cualquiera.

    Además, como dices tú, solo son cosas de script kiddies. ;)

    Creo que en este caso no se ha accedido a ninguna información en ningún sitio con lo que no se ha incumplido ningún delito. Creo que podría explicarselo a la señora jueza.

    Y publica tus cero days perro!

    Saludos!

    ResponderEliminar
  25. Ahora entiendo la razón por la que el fútbol mueve tanta pasta. Se nota que a la gente le encanta el tema. Ni que fuera la primera vez que se expone alguna web vulnerable en este blog. Creo que se pueden contar por decenas... ;-)

    En cuanto a la legalidad o no, personalmente no creo que suponga ningún tipo de delito, aunque desde el punto de vista ético cada cual tendrá su opinión y ahí no entro a discutir.

    Supongo que existirá algún precedente legal de alguna empresa o particular que haya decidido denunciar un acto similar. Si alguien conoce alguna sentencia al respecto (a favor o en contra, da igual), que la cite por aquí con referencias, que tengo curiosidad...

    Saludos!

    ResponderEliminar
  26. No creo que este tipo de pruebas estén consideradas delitivas. Claro que la ley respecto al tema está poco clara, por lo que hay que andar con cuidado. De todas formas y como bien dice "Dani K." ya se expusieron casos en otras Webs y nunca pasó nada. De echo el bueno de Chema avisa a los responsables del sitio, con lo que la mala intención no existe.

    Muy bueno el post Maligno

    Un saludo

    ResponderEliminar
  27. Dudo mucho que poner una comilla sea un delito, aunque sea en el FBI o en la página web de la CIA. Eso es una tontada como una casa, si tu no accedes a datos personales ni te metes dentro del sistema no estás haciendo nada malo, estás haciendo todo desde la parte del cliente sin atacar al servidor. Sacar un XSS pon pantalla es todo cliente, además si avisas de los problemas que una web puede tener todavía con menos razón para que sea delito.

    ResponderEliminar
  28. Benignos y Malignos, ya hablaron, ahora es tiempo de los sofistas:
    (Click sobre el nick)
    Pido disculpas por mi escaso conocimiento del refranero ...
    ¿Como era eso de la paja, el ojo, y lo ajeno?

    ResponderEliminar
  29. yj, que quieres mostrar? Qué blogspot va sobre Linux????

    Wow!

    ResponderEliminar
  30. Si las brigadas tecnológicas tuvieran que luchar contra los que publicar mensajes de error de webs tendríamos que cerrar Google.

    ResponderEliminar
  31. @daniel_gen, Joomla no lo he probado mucho, de hecho, la primera vez que lo vi un poco fue con el pete del componente de los mapas y ahora un poco más en profundidad. Supongo que tendrá virtudes y defectos. La alternativa en Spectra para este tipo de cosas suele ser WSS, que además viene de gratis con Windows Server.

    Siento no poder darte más info.

    ResponderEliminar
  32. Muchas gracias Chema por tu opinión, y gracias por la sugerencia maligna, investigaré sobre el WSS y ya te diré algo. Si al final vas a la carcel te mandaré el número 1 de Thor para que pases el trago. Un saludo y gracias de nuevo.

    ResponderEliminar
  33. No, no pretendia demostrar eso, tal vez eleve demasiado el nivel ironico y no me entendiste; el matiz en el comentario o para que me entiendas, en lenguaje MS "el hint", era "sofista". Pese a que te recomiendo el extenso articulo de la wikipedia sobre el sofismo, te lo voy a resumir ejecutivamente: el sofismo en terminos pragmaticos viene a ser el uso de argumentos espurios, banales, tendenciosos, con exceso de simplismo para demostrar o razonar algo, y mi ejemplo pretendia ser una critica al "rigor" del "estudio" que habias hecho y lo que subyace de las conclusiones. Tal vez me resulto engañoso tu aparente dominio de los signos de puntuacion (,.) y pense que era extensivo al lenguaje en general ;)

    ResponderEliminar