Secpronet

Hacking Ético, Seguridad Informática, RedTeam, Pentesting.

lunes, 2 de mayo de 2022

PENTESTING WEB PARTE 1

5/02/2022 09:21:00 p. m. Posted by Secpronet , , , , , , , , , , , , , , No hay comentarios

 

PENTESTING WEB PARTE 1 - DEFINICIONES Y CONFIGURACIÓN DEL LABORATORI DE PRUEBAS


¿QUE ES EL PENTESTING WEB?

Consiste en revisar los sistemas o aplicativos WEB con el objetivo de detectar vulnerabilidades y prevenirlas.

 

¿Qué es Owasp Top 10?

Es un documento de concienciación estándar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web.


 Owasp Top 10 2017 y 2021 que cambios tuvo.


¿Qué son las Pruebas SAST y DAST?

Son metodologías de pruebas de seguridad de aplicaciones que se utilizan para encontrar vulnerabilidades o deficiencias de seguridad.

SAST: Son pruebas de seguridad de aplicaciones estáticas es decir revisar el código fuente de la aplicación.

DAST:  Son pruebas de seguridad de aplicaciones dinámico es decir que se auditara la aplicación en funcionamiento (interfaces o entradas de esta).

 

¿Qué herramientas necesitamos?

Para realizar las pruebas de penetración web necesitamos de varias herramientas como lo son: BurpSuite, ZapProxy, SonarQube, Acunetix, entre otras. Tenemos que tener en cuentas que tipo de prueba realizaremos, en el transcurso de estas entradas en el blog aremos pruebas DAST.

 

¿Cómo configurar mi laboratorio de pruebas?

Para realizar esto necesitamos de un entorno controlado, para ello usaremos este repositorio: https://github.com/snoopysecurity/dvws-node, usaremos Mozilla Firefox y BurpSuite.


Instalando DVWS

DVWS es un servicio web/api vulnerable para pruebas.

Clonamos o descargamos el repositorio, luego mediante Docker iniciaremos el servidor de pruebas. Esperamos que termine el proceso y luego lo iniciamos, en mi caso uso Docker en Windows.

  • cd dvws-node
  • docker-compose up



Instalando certificado de BurpSuite en Mozilla Firefox.

Hay dos formas una desde una url y otra generando el certificado desde burp.


Generando certificado desde Burp:

Para ello vamos a Proxy-Options-Proxy Listeners y configuramos la ip y el puerto. Luego vamos a Import/Export CA Certificates, marcamos la opción certificate in DER format le colocamos a un nombre y le colocamos la extensión .Der.



Ahora vamos a firefox y vamos a la opción ajustes, privacidad & seguridad – certificados – ver certificados – importar – y abrimos el certificado y presionamos aceptar.


Luego vamos a configurar el proxy en Mozilla, seleccionamos configuración manual del proxy y agregamos la ip y el puerto que colocamos en burp anteriormente, marcamos la opción de socks v5 y aceptamos.




Generando certificado desde url:

Vamos a la siguiente url: http://burpsuite/ y descargamos el certificado donde dice “CA Certificate”, y seguimos los siguientes pasos: Ahora vamos a firefox y vamos a la opción ajustes, privacidad & seguridad – certificados – ver certificados – importar – y abrimos el certificado y presionamos aceptar.







Luego vamos a configurar el proxy en Mozilla, seleccionamos configuración manual del proxy y agregamos la ip y el puerto que colocamos en burp anteriormente, marcamos la opción de socks v5 y aceptamos.


Una vez teniendo todo listo, iniciamos DVWS y con la ip de nuestra máquina entramos a la parte web, procedemos a realizar una prueba y vemos que si capturamos tráfico.

Espero les sea de utilidad, nos vemos en la siguiente entrada.
Happy-Hacking 😊

miércoles, 13 de abril de 2022

Pentesting Móvil Parte 4

4/13/2022 06:52:00 p. m. Posted by Secpronet , , , , , , , , , , , , , , , , , No hay comentarios
 Pentesting Móvil Parte 4


Como en las entras anteriores ya vimos como crear nuestro laboratorio de pruebas, las herramientas que estamos usando y como capturar trafico.

En esta entrada veremos que podemos hacer cuando ya podemos capturar tráfico, o interactuar con la aplicación de forma dinámica.


¿Qué podemos hacer?

Lo que podemos realizar cuando estemos testeando una Aplicación de forma dinámica, es:
  • Hacer fuzzing en los parámetros de nos muestra la aplicación 
  • Realizar prueba de lógica de negocios.
  • Idors
  • Etc.

¿Como lo realizo?

Al momento de capturar tráfico, podemos modificar los parámetros de la misma, mostraremos unos ejemplos de cómo hacerlo.

Idors (Insecure Direct Object Reference).

Es un tipo de vulnerabilidad que ocurre cuando una aplicación permite a un usuario acceder directamente a recursos, sin realizar el debido control de acceso.

Para realizar idors debemos tener en cuenta un par de cosas: el rol de la aplicación es decir el tipo de negocio, como lo son: los ids, roles, números de cuenta, números de tarjetas, entre otros datos.

 Ejemplo:

Ahora veremos como podemos hacer un IDOR, como ya mencionamos cambiaremos los datos para ver información de otro usuario, los datos de los demás usuarios están acá: https://github.com/WaTF-Team/WaTF-Bank/tree/master/Backend










Espero les sea de utilidad, nos vemos en la quinta parte.

Happy-Hacking 😊


sábado, 19 de febrero de 2022

Pentesting Móvil Parte 3

2/19/2022 09:34:00 p. m. Posted by Secpronet , , , , , , , , , , , , , , , , , No hay comentarios
 Pentesting Móvil Parte 3

Luego de un merecido descanso volvemos con las entradas.
 
En esta entrada veremos cómo interceptar tráfico, esto lo haremos con la herramienta de Burpsuite.
 
¿Qué es BurpSuite?
Es una herramienta fundamental dentro de la seguridad informática, creada por la empresa PortSwigger permite realizar pruebas de seguridad de aplicaciones web, cuenta con una versión gratuita (Burp Free) y una versión de pago (Burp Professional).
 
¿Cómo configurar mi ambiente de trabajo?
Para poder realizar este paso, tenemos que configurar el proxy en nuestro teléfono ya sea virtual o físico, para ello podemos usar Nox o GenyMotion, y desde luego BurpSuite.
 
¿Cómo Generar el certificado en BurpSuite?
Para modo Sistema: Nos vamos al menú de options, luego configuramos la ip y el puerto, una vez configurado esto vamos a   import/export CA certificates, y  seleccionamos la opción “Export” –  “Certificate in DER format”, colocamos un nombre con la extensión “.der” para instalar en modo usuario lo haremos con la extencion “.cer”.





Luego de esto procedemos a usar alguna disto de Linux y hacemos lo siguiente: convertiremos el archivo con openssl.


Para ello usaremos estos comandos:


sudo openssl x509 -inform DER -in prueba.der -out prueba.pem
sudo openssl x509 -inform PEM -subject_hash_old -in prueba.pem |head -1
sudo mv prueba.pem <hash>.0

 

Ahora procedemos a instalarlo en el dispositivo en este ejemplo usaremos Nox, abrimos ADB y hacemos lo siguiente.

 
Adb devices
Adb connect
Adb root
Adb remount
adb push 9a5ba575.0 /sdcard/
mv /sdcard/9a5ba575.0 /system/etc/security/cacerts/
chmod 644 /system/etc/security/cacerts/9a5ba575.0





Con esto ya tendríamos instalado nuestro certificado a nivel de sistema.

ahora procederemos hacerlo a nivel de usuario, Para instalarlo a nivel de usuario lo hacemos de la siguiente forma: procedemos a pasar el archivo .cer al dispositivo, vamos a configuración, seguridad e instalar desde la tarjeta sd, buscamos el archivo y lo seleccionamos, colocamos un patrón o pin, conjuntamente con un nombre y procedemos a instalarlo.

 







Otra forma es ir a configuraciones, wifi, ajustes avanzados, instalar certificados, los buscamos, le colocamos un nombre, el pin o el patrón, instalamos y por ultimo reiniciamos el dispositivo y listo.









Por ultimo configuramos el proxy en nuestro teléfono:

vamos a ajustes, wifi, dejamos presionado y escogemos las opciones avanzadas, luego proxy y seleccionamos manual, colocamos la ip y el puerto que configuramos previamente y con ellos ya podemos capturar trafico.


Espero les sea de utilidad, nos vemos en la cuarta parte.

Happy-Hacking 😊

domingo, 19 de septiembre de 2021

Pentesting Móvil Parte 2

9/19/2021 01:01:00 p. m. Posted by Secpronet , , , , , , , , , , , , , , , , , No hay comentarios

 

Pentesting Móvil Parte 2

En la entrada de hoy veremos como hacer el bypass de Root para poder iniciar sesión y así poder usar la aplicación correctamente.

la instalación y configuración de  Frida y WaTF-Bank, se las dejo en los enlaces al final del post.


¿Cómo hacer el ByPass?

Iniciamos la aplicación y vemos que nos dice que no se puede usar en dispositivos rooteados, procedemos a usar Frida y los scripts que la app de prueba trae.

 




Ejecutamos dos cosas. 1. el server de la aplicación. 2. iniciamos el servidor de frida lo hacemos desde en el teléfono e iniciamos desde otra consola la aplicación de la siguiente forma como se ve en la imagen.

 


 de esta forma procedemos a hacer el bypass  ya solo nos queda iniciar sesión.


Otro método de hacer el Bypass, si se usa nox, podemos desmarcar la opción de arrancar en modo root, y con ello ya nos saltaríamos la pantalla del login.



Espero les sea de utilidad, nos vemos en la tercer parte.

Happy-Hacking 😊

Como instalar y usar Frida

Como instalar WaTF-Bank