Enumeración transversal de servicios Web en tests de intrusión

Hola, A la hora de ejecutar un test de intrusión lo más normal, una vez planificado adecuadamente, es comenzar enumerando servicios. Hecha la enumeración podremos ver qué servicios están disponibles en la IP o rango de IPs a analizar, y a partir de ahí podremos decidir el orden de las pruebas para completar el test. Lo usual es realizar enumeraciones completas por máquina, es decir, completar la enumeración para cada una de las IPs antes de analizar la siguiente dirección.

Aunque esto es lo más habitual, de una manera puntual puede interesarnos plantear un análisis cross o transversal, en el que se analiza un único tipo de servicio a lo largo de múltiples direcciones, como por ejemplo, el análisis de servicios Web a lo largo de una clase C completa. La experiencia nos dice que cada día el número de servicios Web a la escucha se incrementa, ya que casi todas las tecnologías tienden a ofrecer interfaces Web para la gestión. Pero la experiencia también nos dice que es muy frecuente encontrarse servicios Web cuyas credenciales por defecto no han sido sustituidas: routers, switches, backoffices ... y en los que lograr la intrusión es trivial.

Para realizar sondeos transversales de servicios Web podemos emplear una aplicación llamada httsquash, que es parte del juego de herramientas Complemento, que además de httsquash incluye un flooder TCP (LetDown) y un escáner de dominios (ReverseRaider). La principal ventaja de httsquash es que es extremadamente sencilla de utilizar, con lo que la enumeración Web se facilita en extremo.

En el ejemplo anterior hemos identificado dos servicios Web. El primero, aunque arroja un 404, es un servidor vivo a la escucha que podemos analizar posteriormente. El segundo es un interfaz administrativo de un router donde un error 401 nos advierte de la presencia de autenticación HTTP básica. Una vez conocido el modelo (WRT54G), sólo nos basta ir a una lista de credenciales por defecto y verificar si podemos lograr la intrusión.

Otra manera de enfocar el análisis cross de servicios en un rango de IPs es emplear nmap sobre un rango y para un único puerto o conjunto de puertos, lo que nos proporcionaría una información similar:

Para este escenario, así como para el uso de httsquash, conviene tener en cuenta que un servicio Web podría escuchar en infinidad de puertos, no sólo en los tradicionales 80 y 443. Es precisamente esta variabilidad lo que hace aconsejable barrer servicios IP a IP, dejando los métodos transversales únicamente para obtener una primera aproximación.
Un saludo,

Autor: Sergio Hernando
Fuente: Seguridad de la Información y Auditoría de Sistemas