domingo, enero 23, 2011

El listín de teléfonos 2

Hubo un tiempo en que le dediqué muchas horas a los árboles LDAP, incluso con obsesión. Despúes, dejé de lado los árboles LDAP para dedicarme a cosas más mundanas, pero aún, a día de hoy, sigo impartiendo en las clases de los masters las charlas de LDAP Injection & Blind LDAP Injection.

Con respecto a los árboles LDAP, una de las cosas que más me maravillaba, y lo sigue haciendo, es lo sencillo que resulta obtener un montón de información de de ellos sin ningún esfuerzo especial. Por eso escribí un artículo que se llamaba El listín de teléfonos, ya que muchos administradores tratan los directorios LDAP como si fueran eso, solo listines de teléfonos.

En esos árboles el acceso anónimo está permitido, con lo que no se vulnera ningún servidor y únicamente accedes a información que el administrador ha querido dejar pública.

Si buscamos por los intefaces web de acceso a los árboles LDAP de phpLDAPadmin podemos encontrar una buena cantidad de ellos indexados en los buscadores. Basta con ir cambiando el número de versión y saldrá un buen centenar de árboles.


Figura 1: Buscando phpLDAPadmin en Google

En la parte de acceso, como podéis ver, casi todos permiten el acceso anónimo al servidor con lo que hay que suponer que el administrador ha querido hacer esa información pública.


Figura 2: Acceso anónimo habilitado

Una vez conectado al sistema, aparece un buen montón de información allí. Listas de usuarios, estructuras de red, etc... Una de las cosas interesantes es ver si el servidor Apache ha habilitado el módulo mod_ldap_userdir para publiar los directorios home de los usuarios en el servidor web. Esto permitiría acceder a información del $HOME del usuario mediante la ruta ~usurario y si hay suerte, pescar alguna cosa chula.

Sin embargo, una de las plantillas de visualización que más me ha llamado la atención en los paneles phpLDAPadmin es la que permite "Revisar la contraseña". En este caso, el sistema te permite que pongas una password, la hashea y comprueba si es la buena o no. Lo curioso es que, como se supone que es solo para usuarios autorizados no hay ningún límite de intentos, ni capthas, ni nada de nada..


Figura 3: Revisar la contraseña

Todo esto, público, público, público... ¿debería estar así?

Saludos Malignos!

3 comentarios:

malicious-mind dijo...

vaya tela...

Dr. NeoX dijo...

:o , muy interesante articulo y muy interesante blog.

Anónimo dijo...

Pero eso es en el login? Cambio de password? Porque dice algo de comparar, pero con que? :P

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares