martes, 4 de octubre de 2011

Admin generosos, Sessions, Hash Cracking y Moodle

Vuelvo a la carga de nuevo con mi querido Moodle... ¿qué decir si piensan que le cogí manía? Pues parece que me tocó ser el Risto Mejide de la red, en realidad se me da un toque en las "entradas", en las que a mi parecer, todo es una farsa que se han montado y Martin Dougiamas no podía librarse de ser criticado.

Resulta que mientras administraba uno de los servidores donde lo tengo instalado, me dio la curiosidad de acceder al famoso directorio de Moodledata, en mi sistema la tengo con otro nombre por eso de la seguridad, ya saben cada loco con su tema. Al acceder a la carpeta, encontramos cosas bastante interesantes, como pueden ser ficheros multimedia del interior de los cursos, datos de la cache o temporales. Entre ellos, llama la atención una carpeta llamada sessions, pues en dicha carpeta, se registran archivos con un patrón de serie en el inicio del nombre sess_ junto con una extensión aleatoria.

Si adentramos en estos ficheros, se almacenan en texto legible datos de suma importancia rescatados directamente de la base de datos, en el momento en que un usuario accede a la plataforma, se genera un lazo de unión entre estas sesiones y las Cookies. Indagando en las ristras, podemos llegar a visualizar información personal de los perfiles de usuario, como nombre, apellidos, lugar de residencia, fechas... el username y el password cifrado. El plato más apetecible son los dos últimos nombrados, pero para rematar la faena, los hashes no son más que un MD5 sin ninguna otra complicación, siendo un algoritmo másque vulnerado, que actualmente no dudan en incorporar incluso hasta en las nuevas versiones de Moodle.

Por otro lado Moodledata, en manos de una administrador poco generoso, no debería de ser pública, pero en el caso de que lo sea, al menos, no debería de haber dejado habilitado en Apache la capacidad de poder navegar entre directorios, pero en el remoto y no tan remoto caso de que se cumpliesen todos estos graves fallos de administración del servidor, que mínimo que ejecutar las tareas de cron para que limpie las sesiones de cuando Jesucristo perdió la gorra.

Se me ocurrió una estúpida idea de las mías, pues no todos los Moodle tienen porqué llamarse Moodle... pero ¿Y sessions? ¿alguien cambia el nombre? Hagamos una búsqueda avanzada entonces.




¡Vaya una sorpresa! No era tan estúpida la idea como yo pensaba, pues la verdad 10.700 resultados, ya son unos pocos.

Si vamos eliminando probabilidades de despiste del administrador que lleva todo el tinglado, pongamos que es un hombre aplicado que ejecuta su cron como un desesperado, igualmente podemos esperar presionando F5 en la carpeta “Sessions”, hasta que dé la casualidad en la que un Admin, genere una Cookie y el archivo de sesión aparezca durante el tiempo que tarde en cerrarla para intentar robarle los hashes muajaja

Perdonen la risa malévola, pero me emocioné, pues no tardé en empezar a volcar archivos de sesiones a mi disco duro en busca de MD5 vulnerados.

Entre tantos, encontré hashes super-seguros compuestos por solo dígitos.




Otros tan ilógicos, como que alguien ponga de password su propio username.




Aprovechando la entrada, le envío un saludo a Zion3r, pues fue la persona que tubo el tiempo de codearse en python, un script para averiguar que tipo de algoritmo cifran los hashes con Hash ID.




Entre que busco con mi Notepad++ y coloreo, por otro lado Havij me muestra la password en texto plano, me daba tiempo a estudiar a ver si de la E.S.O conseguía una prueba de acceso para ser Ingeniero.




Por otro lado, me quedé con las ganas de acceder a otros sitios y aprender cosas nuevas, así como tengo un PC con apenas 8 Cores, se me ocurrió tirar de fuerza bruta con BarSF, especialmente diseñado para hashes MD5.



Sinceramente lo tube arrancado no más de cinco minutos y claro... estas cosas tardan pero merecen la pena.

Si aun son de los que no tienen Moodle, no se preocupen... ¡pueden instalarse el suyo en cualquier servidor ajeno!


Son realmente despistados estos administradores que dejan todo a medias.

¡Espero que les haya resultado entretenida la entrada! Y no porque yo lo diga, ya piensen que Moodle puede llegar a ser un poco inseguro...

Saludos 4n4les! ;)

12 comentarios:

  1. Joder tío... y pensar que en mi centro todo va por esta plataforma. Menos mal que el usuario y contraseña que utilizo no las utilizo en ninguna otra cosa. Y además el login va sin cifrado!!! De echo una practica del módulo de redes mio del año pasado consistía en ver como podíamos ver el usuario y contraseña cuando capturábamos paquetes con Wireshark introduciendo el login en nuestra plataforma. Y esto sin ponerlo en modo promiscuo.

    En fin, lo dije en la entrada anterior que le dedicaste a Moodle; Moodle es de lo peor programado que he visto nunca y viendo esto, un Admin lo puede incluso mejorar... jajaja

    En fin, está entrada me ha encantado, por lo que me afecta. jeje. Saludos... 4n4les!!! XD

    ResponderEliminar
  2. @byhanzo

    Vaya! está genial la práctica! recuerdo que para cuando yo empecé el módulo utilizábamos Ethereal, pero para nada serio jeje

    A ver si consigo instalarme Ati Catalyst sin que me mande a un pantallazo azul y muestro algo serio de cracking hashes con GPU.

    Saludos!

    PD: Te haré un ping de la muerte si me robas los 4n4les! jeje

    ResponderEliminar
  3. Yo estoy deseando tirar a la basura mi portátil HP que se pone calentorro cada dos por tres y terminar el PC que estoy montando (posiblemente para este fin de semana esté listo) para empezar a quemar mi GTX 580 overclockeada con el CUDA, los 16Gb de RAM, i7 2600k overclockeado y demás morralla XD "Lo voy a plipah, palabra!!!" como diría el gitano de callejeros...

    http://www.youtube.com/watch?v=ky2rwSXZ3CA

    Lo de 4n4les tiene hasta Copyright by Germán!!! No te preocupes!!! solo lo puse porque me hace gracia!!! jajajaja

    Yo siempre termino con: Saludos!!!

    Además no me quiero ni imaginar por donde harás los pings de la muerte si pones 4n4les como saludo!!! OoO ¿por un agujero de seguridad?, ¿por una puerta trasera?.

    Vulnerabilidades, vulnerabilidades everywhere!!!

    ResponderEliminar
  4. El i7 no tiene 8 nucleos xD , http://es.wikipedia.org/wiki/HyperThreading . Por lo demas perfecto espero nuevas entradas, te llevo leyendo desde hace mucho ^^

    ResponderEliminar
  5. #Medallón

    A mi me chocó eso que dijo de 8 núcleos... no se si lo dice en broma o en serio...

    En i7 lo máximo son 6 núcleos, que son los 970, 980 y 990... Todos los demás, hasta los de segunda generación, tienen 4 núcleos.

    Aunque eso sí, se puede referir a los Xeon E7 que tienen hasta 10 núcleos... y se usan además de para servidores, para estaciones de trabajo, por lo que podría ser... Aunque sería raro...

    O también puede que sea una granja de ordenadores... O_O

    Saludos!!!

    ResponderEliminar
  6. @Medallón
    @byhanzo

    Es cierto que no pueden ser 8 cores... ¿me pueden resolver esta duda?

    Saludos!

    ResponderEliminar
  7. http://img812.imageshack.us/img812/1254/8cores.png

    ResponderEliminar
  8. Ya te lo dije ( medallon, soy word xD ) http://es.wikipedia.org/wiki/HyperThreading . Se trata de la tecnologia hyperthreading , es decir software no hardware. Tienes 4 cores ... luego esa tecnologia los divide como si fueran 8 y los reparte. Como puedes ver los pentium 4 tambien lo tiene y como sabras no tienen 2 cores. Saludos

    ResponderEliminar
  9. @word93

    Ahora sí! me preguntaba quien sería ese tal Medallón! jaja Pues realmente no estoy nada puesto en HyperThreading! la primera vez que lo escucho, está bien... le echaré un vistazo al tema para ver como funciona y que sistemas aprovechan esto.

    Saludos!

    ResponderEliminar
  10. #word93

    También es verdad, no había caído en que podían ser núcleos "virtuales"...

    ResponderEliminar
  11. Tambien podeis probar a sacar el hash md5 con la potencia de la tarjeta grafica, nunca lo he probado porque no tengo una buena pero al parecer es mas rapido que un procesador.

    http://www.elcomsoft.com/lhc.html

    http://www.golubev.com/files/ighashgpu/readme.htm

    Una imagen con la comparacion para sacar por fuerza bruta las wpa-psk
    http://www.adslnet.es/imag/ewsa_benchmark_hh.jpg
    Mas info:
    http://www.antronio.com/topic/1068852-una-tarjeta-de-video-gpu-actual-y-barata-puede-crackear-tu-contrasena-en-segundos/

    ResponderEliminar
  12. @word93

    Publiqué tu respuesta ya que blogger la movió automáticamente a Spam, digamos que tiene demasiadas URL jeje pero bueno, viniendo de ti no hay problema.

    En este enlace también expliqué algo relativo a las GPU y contraseñas.

    http://www.enelpc.com/2011/01/reventar-contrasenas.html

    Saludos y gracias!

    ResponderEliminar