domingo, 21 de abril de 2013

ParameterFuzz v1.5


Bonita tarde de domingo. El Lorenzo entra por el ventanal de mi salón como si de un allanamiento se tratase, invadiendo mi intimidad y obligándome a dejar la pantalla de lado para salir a disfrutar. Lo que el Lorenzo no sabe, es de cómo se encuentra mi estado físico, pues no hay nada más complaciente para mi hoy, que calentar el sofá de casa como lo hice el resto de mi vida en aquellos pupitres, que fríos hoy, dejé en mi paso por la escuela. Es cierto, estar tirado a la bartola en algunos momentos es grato, y más aún cuando pasas un sábado con grados etílicos en sangre, superiores a las salidas nocturnas de Pipi Estrada.

Como me considero una persona de palabra, aparte de estar “tirándome a la bartola”, como avisé en Twitter que este fin de semana, haría publica la nueva versión de ParameterFuzz, ¡no me habéis dejado elección!. Ya vamos por la versión 1.5, aunque la repartí en el pasado RootedLab de seguridad web, esa versión no contaba aún con todas estas nuevas ideas… ¡Así que anímense a descargarla!

En esta versión he querido dar mayores niveles de interacción de las herramientas secundarias sobre los formularios principales, de manera que sea más sencillo utilizar todo el “potencial” de la aplicación en una auditoría. He realizado una reordenación de todos los menús para separar las auténticas opciones, de las herramientas, además de intentar hacer más fácil la usabilidad.

La siguiente imagen muestra el menú de opciones en el que aparecen las posibilidades de guardar/borrar estados, ver los logs de ataques automáticos y accesos rápidos a la carpeta de diccionarios. La captura de la derecha, simplemente muestra la ubicación de todas las herramientas.


Add HTTP Header es una de las dos nuevas herramientas, la cual permite configurar una cabecera para realizar su envío en todas las peticiones que realice ParameterFuzz. Es posible incluir un nuevo User-Agent o inclusive, realizar la modificación de nuestra IP de procedencia, utilizando la cabecera X-Forwarded-For. Esta cabecera viene escrita por defecto, aunque no activada incluyendo nuestra IP local.


Otro de los cambios el cual se puede apreciar, es la inclusión de la cabecera en el formulario principal, para ver de forma sencilla que este se está utilizando.
En la siguiente imagen, se muestra cómo es posible explotar un HTML Injection desde una cabecera X-Forwarded-For, visitando una página que muestra nuestra IP.


Se me ocurrió realizar modificaciones al Spider, con el objetivo de poder visitar las páginas sobre el propio navegador de ParameterFuzz. Realizando un doble clic sobre cualquiera de las páginas que la araña extraiga, estas serán enviadas al browser. Además se incluyeron botones de navegación, “<” atrás. “>” adelante y “()” actualización, con el objetivo de poder visitar páginas que más tarde serán tratadas con las herramientas o el nuevo botón URLSpider, el cual enviará automáticamente la URL actual al Spider para seguir con la búsqueda.


La otra idea que se me ocurrió fue Input’s Parameters , la cual se encarga de “parsear” el código fuente de las páginas, con el objetivo de extraer el campo “name” de todos los “inputs”. De esta forma tener parámetros fiables con los que realizar los ataques. La siguiente imagen muestra, como tan solo realizando la extracción de los “inputs”, encontré un XSS reflejado en el panel de administración de una página.


En el caso de que la página contenga un número de “inputs” lo suficientemente grande como para tener que automatizar el proceso, la caja de texto de la aplicación permite el copiado de las palabras, con lo que realizar el cambio de diccionarios es tan sencillo como ir al menú de accesos directos y modificar “Parametros.txt”.


Espero que les hayan gustado los cambios, que la prueben… y no sean malos.


Saludos 4n4les! ;P

4 comentarios: