[Owasp-cuiaba] [off-topic ]Fwd: Security By Default

Kembolle Amilkar haxorcoding em gmail.com
Quarta Julho 18 00:34:58 UTC 2012


encaminhando....

*Att. Kembolle Amilkar *
#/[ kembolle.com.br <http://www.kembolle.com.br> ] - Consultoria Segurança
da Informação.
#/ [ samurayconsultoria.com.br ] - Chief Security Officer - Samuray
Consultoria.
#/ Systems Analyst | Esp. Information Security | Computer Forensic Expert |
#/ Owasp Chapter Lider Cuiabá - https://www.owasp.org/index.php/Cuiaba
#/ Mobile: [65] 9979-2925  && contato[at]kembolle.com.br.
**
---------- Forwarded message ----------

**
   Security By Default <http://www.securitybydefault.com/>
 <http://fusion.google.com/add?source=atgs&feedurl=http://feeds.feedburner.com/SecurityByDefault>
------------------------------

Backdooring Apache<http://feedproxy.google.com/~r/SecurityByDefault/~3/s3SCNggNoos/backdooring-apache.html?utm_source=feedburner&utm_medium=email>

Posted: 16 Jul 2012 11:17 PM PDT

<http://4.bp.blogspot.com/-nbgXHWtlMLI/UASvaJTR2LI/AAAAAAAABdg/v6ajyzQ-_Qg/s1600/backdoor.jpg>
 A la hora de pensar en cómo fortificar activos informáticos, diseñar
políticas de seguridad o manejar información de un IDS, resulta importante
tener todo el 'background' posible de las amenazas que te acechan.

 El mundo de las 'backdoors' o herramientas destinadas a mantener un acceso
ilegítimo, es muy amplio, rico y sofisticado, en el caso de Apache, parece
que lo que más abunda son las típicas webshells, ficheros (normalmente en
PHP) que se instalan como un CGI más pero con intención de poder ejecutar
comandos a través del servidor web.

 Este tipo de webshells tienen varios hándicaps:

   - Supone añadir un fichero en el directorio 'caliente' donde están las
   aplicaciones web.


   - Si se opta por modificar un fichero legítimo (troyanizarlo) se corre
   el riesgo de que en una actualización sea eliminado

 En el post de hoy vamos a explicar una *alternativa a las típicas webshells
*, vamos a crear una *backdoor en forma de módulo Apache*.

 Crear un módulo Apache es relativamente sencillo ya que está bastante bien
documentado como hacerlo, especialmente en C y Perl, optaremos por Perl
para hacer un ejemplo sencillo de módulo 'backdoor' que funcione en
cualquier instalación de Apache2 ahorrándonos tener que compilar nada.

 El código fuente del módulo es este:


 Como se puede observar, bastante simple y sencillo, básicamente toma como
parámetro (n) el comando a ejecutar, este comando es ejecutado, y se envía
el resultado.

 Para instalarlo, debemos copiar el fichero Auxiliar.pm (con el código
anterior) en /usr/lib64/perl5/Apache2/ (ruta de una CentOS 6, otras
distribuciones puede variar, especialmente si la arquitectura es 32bits)

 Una vez copiado, necesitamos añadir las siguientes líneas en httpd.conf

**<Location /auxiliar>
 SetHandler  perl-script
 PerlHandler Apache2::Auxiliar
</Location>**

 Reiniciamos el servidor, y si todo ha ido bien, ya tenemos disponible
nuestra backdoor en forma de módulo.

 La probamos:

$ curl -d "n=ls" http://192.168.4.66/auxiliar

<HTML>
<HEAD>
<TITLE>Backdoring Shell</TITLE>
</HEAD>
<BODY>
<H1>Command: </H1>

bin
boot
cgroup
dev
etc
home
lib
lib64
lost+found
media
mnt
opt
proc
root
sbin
selinux
srv
sys
tmp
usr
var


</BODY>

$ curl -d "n=whoami" http://192.168.4.66/auxiliar

<HTML>
<HEAD>
<TITLE>Backdoring Shell</TITLE>
</HEAD>
<BODY>
<H1>Command: </H1>

apache


</BODY>
</HTML>

 Funciona perfectamente. Es *muy importante *usar siempre peticiones de
tipo POST, para evitar que quede logeado más de la cuenta:
Petición tipo GET almacenada en fichero de log:
GET /auxiliar?n=ls HTTP/1.1
Petición tipo POST almacenada en fichero de log:
POST /auxiliar HTTP/1.1
   You are subscribed to email updates from Security By
Default<http://www.securitybydefault.com/>
To stop receiving these emails, you may unsubscribe
now<http://feedburner.google.com/fb/a/mailunsubscribe?k=ZC2dp8oThy7HDX66C628MhuTW4w>
. Email delivery powered by Google  Google Inc., 20 West Kinzie, Chicago IL
USA 60610
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://lists.owasp.org/pipermail/owasp-cuiaba/attachments/20120717/0cf061c8/attachment.html>


More information about the Owasp-cuiaba mailing list