Los clientes suelen recurrir a Internet para obtener información y comprar productos y servicios. Con ese fin, la mayoría de las organizaciones tienen sitios web. La mayoría de los sitios web almacenan información valiosa, como números de tarjetas de crédito, dirección de correo electrónico y contraseñas, etc . Esto los ha convertido en objetivos de los atacantes. Los sitios web desfigurados también se pueden utilizar para comunicar ideologías religiosas o políticas, etc.
En este tutorial, le presentaremos las técnicas de pirateo de servidores web y cómo puede proteger los servidores de dichos ataques.
En este tutorial, aprenderá:
- Vulnerabilidades del servidor web
- Tipos de servidores web
- Tipos de ataques contra servidores web
- Efectos de ataques exitosos
- Herramientas de ataque al servidor web
- Cómo evitar ataques al servidor web
- Actividad de piratería: piratear un servidor web
Vulnerabilidades del servidor web
Un servidor web es un programa que almacena archivos (generalmente páginas web) y los hace accesibles a través de la red o Internet . Un servidor web requiere tanto hardware como software. Los atacantes suelen apuntar a las vulnerabilidades del software para obtener acceso autorizado al servidor. Veamos algunas de las vulnerabilidades comunes que aprovechan los atacantes.
- Configuración predeterminada : los atacantes pueden adivinar fácilmente estas configuraciones, como la identificación de usuario predeterminada y las contraseñas. La configuración predeterminada también puede permitir realizar ciertas tareas, como ejecutar comandos en el servidor, que pueden ser explotados.
- Configuración incorrecta de sistemas operativos y redes: ciertas configuraciones, como permitir que los usuarios ejecuten comandos en el servidor, pueden ser peligrosas si el usuario no tiene una buena contraseña.
- Errores en el sistema operativo y los servidores web : los errores descubiertos en el sistema operativo o en el software del servidor web también pueden aprovecharse para obtener acceso no autorizado al sistema.
Además de las vulnerabilidades del servidor web mencionadas anteriormente, lo siguiente también puede dar lugar a un acceso no autorizado
- Falta de políticas y procedimientos de seguridad: la falta de políticas y procedimientos de seguridad, como la actualización del software antivirus, la aplicación de parches al sistema operativo y el software del servidor web, puede crear lagunas de seguridad para los atacantes.
Tipos de servidores web
La siguiente es una lista de los servidores web comunes.
- Apache : este es el servidor web más utilizado en Internet. Es multiplataforma, pero generalmente se instala en Linux. La mayoría de los sitios web PHP están alojados en servidores Apache.
- Servicios de información de Internet (IIS) : es desarrollado por Microsoft. Se ejecuta en Windows y es el segundo servidor web más utilizado en Internet. La mayoría de los sitios web asp y aspx están alojados en servidores IIS.
- Apache Tomcat : la mayoría de los sitios web de páginas de servidor Java (JSP) están alojados en este tipo de servidor web.
- Otros servidores web : estos incluyen el servidor web de Novell y los servidores Lotus Domino de IBM.
Tipos de ataques contra servidores web
Ataques transversales de directorio : este tipo de ataques explota errores en el servidor web para obtener acceso no autorizado a archivos y carpetas que no están en el dominio público. Una vez que el atacante ha obtenido acceso, puede descargar información confidencial, ejecutar comandos en el servidor o instalar software malicioso.
- Ataques de denegación de servicio : con este tipo de ataque, el servidor web puede fallar o dejar de estar disponible para los usuarios legítimos.
- Secuestro del sistema de nombres de dominio: con este tipo de atacante, la configuración de DNS se cambia para apuntar al servidor web del atacante. Todo el tráfico que se suponía que debía enviarse al servidor web se redirige al incorrecto.
- Sniffing : los datos no cifrados enviados a través de la red pueden ser interceptados y utilizados para obtener acceso no autorizado al servidor web.
- Phishing : con este tipo de ataque, el ataque se hace pasar por los sitios web y dirige el tráfico al sitio web falso. Se puede engañar a los usuarios desprevenidos para que envíen datos confidenciales como datos de inicio de sesión, números de tarjetas de crédito, etc.
- Pharming : con este tipo de ataque, el atacante compromete los servidores del Sistema de nombres de dominio (DNS) o en la computadora del usuario para que el tráfico se dirija a un sitio malicioso.
- Defacement : con este tipo de ataque, el atacante reemplaza el sitio web de la organización con una página diferente que contiene el nombre del hacker, imágenes y puede incluir música de fondo y mensajes.
Efectos de ataques exitosos
- La reputación de una organización puede arruinarse si el atacante edita el contenido del sitio web e incluye información maliciosa o enlaces a un sitio web pornográfico.
- El servidor web se puede utilizar para instalar software malicioso en los usuarios que visitan el sitio web comprometido . El software malicioso descargado en la computadora del visitante puede ser un virus, software troyano o botnet, etc.
- Los datos de usuario comprometidos pueden usarse para actividades fraudulentas que pueden conducir a pérdidas comerciales o demandas de los usuarios que confiaron sus datos a la organización.
Herramientas de ataque al servidor web
Algunas de las herramientas comunes de ataque al servidor web incluyen;
- Metasploit : esta es una herramienta de código abierto para desarrollar, probar y usar código de explotación. Puede usarse para descubrir vulnerabilidades en servidores web y escribir exploits que pueden usarse para comprometer el servidor.
- MPack : esta es una herramienta de explotación web. Fue escrito en PHP y está respaldado por MySQL como motor de base de datos. Una vez que un servidor web se ha visto comprometido con MPack, todo el tráfico se redirige a sitios web de descarga maliciosos.
- Zeus : esta herramienta se puede utilizar para convertir una computadora comprometida en un bot o zombie. Un bot es una computadora comprometida que se utiliza para realizar ataques basados en Internet. Una botnet es una colección de computadoras comprometidas. La botnet se puede utilizar en un ataque de denegación de servicio o en el envío de correos electrónicos no deseados.
- Neosplit : esta herramienta se puede utilizar para instalar programas, eliminar programas, replicarlos, etc.
Cómo evitar ataques al servidor web
Una organización puede adoptar la siguiente política para protegerse contra ataques al servidor web.
- Administración de parches : esto implica la instalación de parches para ayudar a proteger el servidor. Un parche es una actualización que corrige un error en el software. Los parches se pueden aplicar al sistema operativo y al sistema del servidor web.
- Instalación y configuración seguras del sistema operativo
- Instalación y configuración seguras del software del servidor web
- Sistema de análisis de vulnerabilidades : se incluyen herramientas como Snort, NMap, Scanner Access Now Easy (SANE)
- Los cortafuegos se pueden utilizar para detener ataques DoS simples bloqueando todo el tráfico proveniente de las direcciones IP de origen identificadas del atacante.
- El software antivirus se puede utilizar para eliminar software malicioso en el servidor
- Desactivación de la administración remota
- Las cuentas predeterminadas y las cuentas no utilizadas deben eliminarse del sistema
- Los puertos y configuraciones predeterminados (como FTP en el puerto 21) deben cambiarse a puertos y configuraciones personalizados (puerto FTP en 5069)
Actividad de piratería: piratear un servidor web
En este escenario práctico, veremos la anatomía de un ataque a un servidor web. Asumiremos que estamos apuntando a www.techpanda.org. En realidad, no vamos a piratearlo, ya que es ilegal. Solo usaremos el dominio con fines educativos.
Lo que necesitaremos
- Un objetivo www.techpanda.org
- Motor de búsqueda de Bing
- Herramientas de inyección SQL
- PHP Shell, usaremos dk shell http://sourceforge.net/projects/icfdkshell/
Recopilación de información
Necesitaremos obtener la dirección IP de nuestro objetivo y encontrar otros sitios web que compartan la misma dirección IP.
Usaremos una herramienta en línea para encontrar la dirección IP del objetivo y otros sitios web que comparten la dirección IP.
- Ingrese la URL https://www.yougetsignal.com/tools/web-sites-on-web-server/ en su navegador web
- Ingrese www.techpanda.org como destino
- Haga clic en el botón Comprobar
- Obtendrás los siguientes resultados
Según los resultados anteriores, la dirección IP del objetivo es 69.195.124.112
También descubrimos que hay 403 dominios en el mismo servidor web.
Nuestro siguiente paso es escanear los otros sitios web en busca de vulnerabilidades de inyección de SQL. Nota: si podemos encontrar un SQL vulnerable en el objetivo, lo explotaremos directamente sin considerar otros sitios web.
- Ingrese la URL www.bing.com en su navegador web. Esto solo funcionará con Bing, así que no use otros motores de búsqueda como Google o Yahoo.
- Ingrese la siguiente consulta de búsqueda
ip: 69.195.124.112 .php? id =
AQUÍ,
- "Ip: 69.195.124.112" limita la búsqueda a todos los sitios web alojados en el servidor web con la dirección IP 69.195.124.112
- La búsqueda de ".php? Id =" para las variables GET de URL utilizaba parámetros para las sentencias SQL.
Obtendrás los siguientes resultados
Como puede ver en los resultados anteriores, se han enumerado todos los sitios web que utilizan variables GET como parámetros para la inyección de SQL.
El siguiente paso lógico sería escanear los sitios web enumerados en busca de vulnerabilidades de inyección SQL. Puede hacer esto usando la inyección SQL manual o usando las herramientas enumeradas en este artículo sobre Inyección SQL.
Subiendo el Shell PHP
No escanearemos ninguno de los sitios web enumerados, ya que es ilegal. Supongamos que hemos logrado iniciar sesión en uno de ellos. Deberá cargar el shell PHP que descargó de http://sourceforge.net/projects/icfdkshell/
- Abra la URL donde cargó el archivo dk.php.
- Obtendrá la siguiente ventana
- Hacer clic en la URL del enlace simbólico le dará acceso a los archivos en el dominio de destino.
Una vez que tenga acceso a los archivos, puede obtener credenciales de inicio de sesión en la base de datos y hacer lo que quiera, como desfigurar, descargar datos como correos electrónicos, etc.
Resumen
- El servidor web almacena información valiosa y es accesible para el dominio público. Esto los convierte en objetivos de los atacantes.
- Los servidores web más utilizados incluyen Apache e Internet Information Service IIS
- Los ataques contra los servidores web aprovechan los errores y la mala configuración en el sistema operativo, los servidores web y las redes.
- Las herramientas populares de pirateo de servidores web incluyen Neosploit, MPack y ZeuS.
- Una buena política de seguridad puede reducir las posibilidades de ser atacado
