Cheatsheet
  • Introducción
    • 👾Ethical Hacking Cheatsheet
      • 📕Metodología OSSTMM
      • 📘MITRE ATT&CK
      • 🔢Proceso de Pentesting
      • 💻Instalación del entorno
        • 💻Instalación de VMWare
        • 💻Virtualizar Kali Linux
        • 🎨Personalización del entorno
        • 🕷️Máquinas Vulnerables
          • 💣Metasploitable 3
          • 🖖VPLE
      • 📔Organización y Notas
      • 👜Documentos básicos
      • 📊Informes de hacking ético
  • Sistemas básicos
    • 🐧Linux
    • 🪟Windows
    • 🔓Puertos y comprobaciones
    • Modos de Red
  • Recopilación de información
    • 🌐Google Hacking
      • 🌐Google Dorks
    • 💻Enumeración
      • 💻Metodología
      • 💻FTP
      • 💻SMB
      • 💻NFS
      • 💻DNS
      • 💻SMTP
      • 💻IMAP/POP3
      • 💻SNMP
      • 💻MySQL
      • 💻MSSQL
      • 💻Oracle TNS
      • 💻IPMI
      • 💻Protocolos de Administración Remota - Linux
      • 💻Protocolos de Administración Remota - Windows
      • 💻Footprinting Lab - Easy
      • 💻Footprinting Lab - Medium
      • 💻Footprinting Lab - Hard
    • 🔎Recopilación de información
      • 🔎Recopilación Pasiva
        • 🔎Subdominios - Pasiva
        • 🔎Identificar Tecnologías
        • 🔎Infraestructura - Pasiva
        • 🔎Fingerprinting
        • 🦭FOCA
        • 🧠OSINT
      • 💻Recopilación Activa
        • 💻Reconocimiento automatizado
        • 💻Nmap
        • 💻Nmap Scripting Engine
        • 💻Subdominios - Activa
        • 💻Infraestructura - Activa
        • 💻Virtual Hosts
        • 💻Evasión de IDS
        • 💻Escaneo Avanzado
        • 💻Lab - Recopilación
    • 🕸️Fuzzing
      • 🕸️Crawling
        • 🕸️Scrapy y ReconSpider
        • 🕸️Herramientas de Crawling
      • 🕸️Gobuster
      • 🕸️Ffuf
    • ☁️Hacking en CMS
    • 🍏Hacking en MacOS
  • Análisis de vulnerabilidades
    • 👾Análisis con Nmap
    • 👽Herramientas de Análisis
      • ⚙️Nessus
      • ⚙️OpenVAS
  • Explotación de vulnerabilidades
    • 💣Explotación en Hosts
      • 🔥Acceso básico
      • 🐚Shells y Payloads
        • 🐚Bind Shells
        • 🐚Reverse Shells
        • 🐚Payloads
        • 💣Metasploit Payloads
        • 🐚TTY Shells
        • 🐚Webshells
          • 🐚Laudanum
          • 🐚PHP Webshell
        • 💣Lab de explotación
      • 🔎Buscador de exploits
      • 🔑Password Attacks
        • 🔑Cracking de Contraseñas
        • 🔑Bruteforce de Servicios
        • 🔑Password Mutations
        • 🔑Contraseñas por defecto
        • 🔑Windows Attacks
          • 🔑Atacando a SAM
          • 🔑Atacando a LSASS
          • 🔑Atacando Active Directory
          • 🔑Credential Hunting - Windows
        • 🔑Linux Attacks
          • 🔑Credential Hunting - Linux
          • 🔑Passwd, Shadow y Opasswd
        • 🔑Archivos Protegidos
        • 🔑Archivos Comprimidos
        • 🔑Políticas de Contraseñas
        • 🔑Administradores de Contraseñas
        • 🔑Labs de contraseñas
          • 🔑Lab de contraseñas - Easy
          • 🔑Lab de contraseñas - Medium
          • 🔑Lab de contraseñas - Hard
      • 👾Atacando Servicios Comunes
        • 👾Ataques a FTP
        • 👾Ataques a SMB
        • 👾Ataques a Bases de Datos
        • 👾Ataques a RDP
        • 👾Ataques a DNS
        • 👾Ataques a Emails
        • 👾Labs - Common Services
          • 👾Lab - Easy
          • 👾Lab - Medium
          • 👾Lab - Hard
      • 🔁Pivoting, Tunelling y Port Forwarding
        • 🔁Redes en Pivoting
        • 🔁Port Forwarding
        • 🔁Remote/Reverse Port Forwarding con SSH
        • 🔁Meterpreter Tunneling & Port Forwarding
        • 🔁Pivoting con Socat
        • 🔁SSH para Windows: plink.exe
        • 🔁Pivoting SSH con Sshuttle
        • 🔁Web Server Pivoting con Rpivot
        • 🔁Port Forwarding con Windows Netsh
        • 🔁Túnel DNS con Dnscat2
        • 🔁SOCKS5 Tunneling con Chisel
        • 🔁ICMP Tunneling con SOCKS
        • 🔁RDP y SOCKS Tunneling con SocksOverRDP
        • 🔁Pivoting: Skills Assessment
        • 🔁Port Forwarding dinámico
      • 🧨MetaSploit
      • 💊MsfVenom
      • 🐍Hydra
      • ❌BruteX
      • 🔄File Transfers
      • 💿Buffer Overflow en Linux
    • 💣Explotación en Web
      • 💡Web Proxies
        • 💡Configuración
        • 💡Interceptando solicitudes
        • 💡Interceptar respuestas
        • 💡Modificación automática
        • 💡Solicitudes repetidas
        • 💡Encoding / Decoding
        • 💡Herramientas de Proxy
        • 💡Burp Intruder
        • 💡Zap Fuzzer
        • 💡Burp Scanner
        • 💡Zap Scanner
        • 💡Extensiones
        • 💡Proxy: Skills Assestment
      • 🕸️Ataques Web
        • 🕸️HTTP Verb Tampering
          • 🕸️Bypass de autenticación
          • 🕸️Bypass de Filtros
          • 🕸️Prevención de HTML Verb Tampering
        • 🕸️IDOR
          • 🕸️Identificación de IDOR
          • 🕸️Enumeración de IDOR
          • 🕸️Bypass de referencias codificadas
          • 🕸️IDOR en APIs Inseguras
          • 🕸️Encadenar vulnerabilidades IDOR
          • 🕸️Prevención de IDOR
        • 🕸️XML External Entity (XXE)
          • 🕸️Local File Disclosure
          • 🕸️Advanced File Disclosure
      • 💉SQL Injection
      • 💉SQLMap
        • 💉Introducción a SQLMap
        • 💉SQLMap - HTTP Request
        • 💉SQLMap - Manejo de errores
        • 💉SQLMap - Ajuste del ataque
        • 💉SQLMap - Enumeración Básica
        • 💉SQLMap - Enumeración Avanzada
        • 💉SQLMap - Bypass de protección web
        • 💉SQLMap - Explotación de S.O.
        • 💉SQLMap - Skills Assessment
      • 💉Command Injection
        • 💉Detección
        • 💉Inyectando comandos
        • 💉Otros operadores de inyección
        • 💉Identificación de filtros
        • 💉Bypass de filtros de espacios
        • 💉Bypass de otros caracteres en Blacklist
        • 💉Bypass de comandos en Blacklist
        • 💉Ofuscación de comandos avanzada
        • 💉Herramientas de Ofuscación de comandos
        • 💉Prevención de Command Injection
        • 💉Command Injection - Skills Assesment
      • 💿Cross Site Scripting (XSS)
        • 💿XSS Stored
        • 💿XSS Reflected
        • 💿XSS DOM-Based
        • 💿XSS Discovery
        • 💿XSS Payloads
        • 💿Defacing con XSS
        • 💿Phising con XSS
        • 💿Session Hijacking
        • 💿Prevención de XSS
        • 💿XSS - Skills Assessment
      • ⬆️File Uploads
        • ⬆️Ausencia de validación
        • ⬆️Explotación de subida
        • ⬆️Client-Side Validation
        • ⬆️Filtros de Blacklist
        • ⬆️Filtros de Whitelist
        • ⬆️Filtros de tipo
        • ⬆️Cargas de archivos limitadas
        • ⬆️Otros ataques de carga
        • ⬆️Prevención en carga de archivos
        • ⬆️File Uploads - Skills Assessment
      • 💣DDoS Attack
      • 📁Local File Inclusion
      • 👨‍🍳Cyberchef
    • 💣Explotación en Redes
      • 😎Man in the middle
      • 🎣Phising
      • 🤼Ingeniería Social
      • 🔐Bruteforce a RRSS
      • 🌐Hacking WiFi
        • 🌐Conceptos básicos
        • 🌐Redes Básicas
        • 🌐Sniffing
        • 🌐Deauth
        • 🌐Redes ocultas
        • 🌐WEP Cracking
          • 🌐Ataque a WEP
          • 🌐Fake Autentication
          • 🌐Packet Injection
            • 🌐ARP Request Replay
            • 🌐Chop Chop
            • 🌐Fragmentation
          • 🌐Redes SKA
        • 🌐WPS Cracking
        • 🌐WPA/WPA2 Cracking
        • 🌐Rainbow Table
        • 🌐WPA/WPA2 Enterprise
    • 📕Diccionarios Custom
      • 📕Crunch
      • 📕CeWL
      • 📕Cupp
      • 📕DyMerge
  • Post Explotación
    • 💻Post Explotación
      • 👾Meterpreter
      • 🐈Mimikatz
      • 🔐LaZagne
      • 📩Procdump y lsass.exe
      • ↔️Movimientos Laterales
        • ↔️Pass the Hash (PtH)
        • ↔️Pass the Ticket (PtT) - Windows
        • ↔️Pass the Ticket (PtT) - Linux
      • 🚪Backdoor en binarios
      • 🦅Covenant
      • ⚔️Koadic
      • 💾Bases de datos
        • 💾MySQL
        • 💾PostgreSQL
      • ⚙️P.E. Avanzada
      • 🧼Borrado de evidencias
    • 🌋Escalada de Privilegios
      • 🐧Escalada de privilegios en Linux
        • 🐧Linux - Enumeración del entorno
        • 🐧Linux - Enumeración de servicios y componentes internos
        • 🐧Linux - Búsqueda de credenciales
        • 🐧Linux - Abuso de PATH
        • 🐧Linux - Abuso de comodines
        • 🐧Linux - Shells restringidos
        • 🐧Linux - Permisos especiales
        • 🐧Linux - Abuso de permisos Sudo
        • 🐧Linux - Grupos privilegiados
        • 🐧Linux - Capabilities
        • 🐧Linux - Servicios vulnerables
        • 🐧Linux - Abuso de Cron
        • 🐧Linux - Contenedores
        • 🐧Linux - Docker
        • 🐧Linux - Kubernetes
        • 🐧Linux - Logrotate
        • 🐧Linux - Técnicas varias
        • 🐧Linux - Exploits del kernel
        • 🐧Linux - Bibliotecas compartidas
        • 🐧Linux - Secuestro de objetos compartidos
        • 🐧Linux - Secuestro de librería de Python
        • 🐧Linux - Sudo Zeroday
        • 🐧Linux - Polkit Zeroday
        • 🐧Linux - Dirty Pipe
        • 🐧Linux - Netfilter
        • 🐧Hardening en Linux - Privesc
        • 🐧Linux P.E. - Skills Assesment
        • ⬆️Linpeas
      • 🔴GTFOBins
  • Evasión de defensas
    • 🛡️Detección y evasión de defensas
      • 🛡️Load Balancing Detector
      • 🛡️Evasión de WAFs
      • 🛡️Evasión de Antivirus
      • 🛡️Herramientas de Evasión
  • Active Directory
    • ☁️Active Directory
      • ☁️Enumeración en AD
        • ☁️AD: Enumeración inicial del dominio
        • ☁️AD: Enumeración de controles de seguridad
        • ☁️AD: Enumeración con credenciales: desde Linux
        • 👁️PowerView
        • ☁️AD: Enumeración con credenciales: desde Windows
        • ☁️AD: Enumeración nativa en Windows
      • ☄️Sniffing desde el Foothold
        • ☄️LLMNR/NBT-NS Poisoning - Desde Linux
        • ☄️LLMNR/NBT-NS Poisoning - Desde Windows
      • 🔫Password Spraying
        • 🔫AD: Políticas de contraseñas
        • 🔫AD: Crear lista de usuarios
        • 🔫Password Spraying Interno - Desde Linux
        • 🔫Password Spraying Interno - Desde Windows
      • 🐺Kerberos
        • ⚔️Hacking en Kerberos
        • ⚔️Kerberoasting desde Linux
        • ⚔️Kerberoasting desde Windows
        • 🗝️Acceso a Credenciales
        • 🗝️Volcado de LSASS y SAM
        • 🗝️Credenciales cacheadas
        • 🗝️Pass the Hash
        • 🪙Token Impersonation
        • 🎟️ASK-TGT
        • 🎫Golden y Silver Tickets
        • 🐺Kerberos "Double Hop"
      • 🦸‍♂️ACLs - Access Control Lists
        • 🦸‍♂️ACLs Vulnerables
        • 🦸‍♂️Enumeración de ACLs
        • 🦸‍♂️Tácticas de abuso de ACLs
      • 🔄DCSync
      • ⬆️Acceso Privilegiado
      • ❤️‍🩹Vulnerabilidades en AD
      • ⚙️Malas configuraciones en AD
      • 🤝Relaciones de confianza
        • 🤝Ataque de confianza de dominio - Desde Windows
        • 🤝Ataque de confianza de dominio - Desde Linux
        • 🤝Abuso de confianza entre bosques - Desde Windows
        • 🤝Abuso de confianza entre bosques - Desde Linux
      • ☁️Vulnerable AD
      • ⬇️SAM
      • 🔐LDAP
      • 🔐NTDS
      • 🔐NTLM/SMB Relay
      • 🩸BloodHound
      • 🛡️Hardening en AD
      • 💻Técnicas adicionales de auditoría en AD
      • 💻AD - Skills Assestment I
      • 💻AD - Skills Assestment II
  • Hacking en entornos reales
    • ☁️AWS - Amazon Web Services
    • ⚔️Hacking en AWS
  • Anonimato y privacidad
    • 👹Anonimato y Privacidad
      • 🔒VPN
      • 🔒Proxy
      • 🔒Red TOR
      • 🔒Zero Knowledge Services
  • Machine Learning en Hacking
    • 🧠Machine Learning
      • 🧠Batea
      • 💀Pesidious
  • Writeups
    • 🟢Hack the Box
      • 🔴Freelancer (WIP)
      • 🟠Blurry
      • 🟠Zipping
      • 🟠Hospital
      • 🟢Chemistry
      • 🟢GreenHorn
      • 🟢Sea (WIP)
      • 🟢PermX
      • 🟢Boardlight
      • 🟢Bizness
      • 🟢Broker
      • 🟢Devvortex
      • 🟢CozyHosting
      • 🟢Codify
      • 🟢Analytics
      • ⚫Report Model
    • 🌐Over The Wire
      • 🌐Bandit
      • 🌐Natas
    • 🐋Dockerlabs
      • 🟢Move
      • 🟠Inclusion
      • ⚫Big Pivoting (WIP)
Con tecnología de GitBook
En esta página
  • Webshells en PHP
  • Página de Login PHP
  • Práctica con un webshell en PHP
  • Pestaña Vendors
  • PHP Webshell
  • Configuración de proxy
  • Omitir la restricción del tipo de archivo
  • Solicitud POST
  • Proveedor agregado
  • Éxito del webshell
  • P0wny-Shell
  • Consideraciones al trabajar con webshells

¿Te fue útil?

🐚PHP Webshell

Nota: Este tipo de técnicas son muy invasivas, ya que vamos a ganar acceso a distintos sistemas, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo

Webshells en PHP

PHP es un lenguaje de programación de código abierto y de propósito general que normalmente se utiliza como parte de un web stack que impulsa un sitio web. En el momento de escribir este artículo (octubre de 2021), PHP es el archivo server-side programming language. Según una encuesta reciente realizada por W3Techs, "PHP es utilizado por 78.6%todos los sitios web cuyo lenguaje de programación del lado del servidor conocemos".

Consideremos un ejemplo práctico de cómo completar los campos de cuenta de usuario y contraseña en un formulario web de inicio de sesión.

Página de Login PHP

imagen

¿Recuerda el servidor rConfig de antes en este módulo? Utiliza PHP. Podemos ver un archivo login.php. Entonces, cuando seleccionamos el botón de inicio de sesión después de completar el campo Nombre de usuario y Contraseña, esa información se procesa en el lado del servidor usando PHP. Saber que un servidor web utiliza PHP nos da a los pentesters una pista de que podemos obtener un shell web basado en PHP en este sistema. Analicemos este concepto de forma práctica.

Práctica con un webshell en PHP

Dado que PHP procesa código y comandos en el lado del servidor, podemos usar cargas útiles preescritas para obtener un shell a través del navegador o iniciar una sesión de shell inversa con nuestro cuadro de ataque. En este caso, aprovecharemos la vulnerabilidad en rConfig 3.9.6 para cargar manualmente un shell web PHP e interactuar con el host Linux subyacente. Además de todas las funciones mencionadas anteriormente, rConfig permite a los administradores agregar dispositivos de red y clasificarlos por proveedor. Continua e inicie sesión en rConfig con las credenciales predeterminadas (admin:admin), luego navegue hasta Devices> Vendorsy haz clic en Add Vendor.

Pestaña Vendors

imagen

PHP Webshell

LogoGitHub - WhiteWinterWolf/wwwolf-php-webshell: WhiteWinterWolf's PHP web shellGitHub

Podemos descargar esto o copiar y pegar el código fuente en un archivo .php. Tenga en cuenta que el tipo de archivo es importante, como pronto veremos. Nuestro objetivo es cargar el webshell en PHP a través del botón browse. Intentar hacer esto inicialmente fallará ya que rConfig está verificando el tipo de archivo. Sólo permitirá cargar tipos de archivos de imagen (.png,.jpg,.gif, etc.). Sin embargo, podemos evitar esto utilizando Burp Suite.

Inicie Burp Suite, navegue hasta el menú de configuración de red del navegador y complete la configuración del proxy. 127.0.0.1irá al campo de dirección IP y 8080al campo de puerto para garantizar que todas las solicitudes pasen a través de Burp (recuerde que Burp actúa como proxy web).

Configuración de proxy

Nuestro objetivo es cambiar content-type para evitar la restricción del tipo de archivo al cargar archivos para que se "presenten" como el logotipo del proveedor para que podamos navegar hasta ese archivo y tener nuestro shell web.

Omitir la restricción del tipo de archivo

Con Burp abierto y la configuración del proxy de nuestro navegador web configurada correctamente, ahora podemos cargar el webshell PHP. Haga clic en el botón Examinar, navegue hasta donde esté almacenado nuestro archivo .php en nuestro equipo de atacante y seleccione abrir y Save(es posible que debamos aceptar el certificado PortSwigger). Parecerá que la página web está colgada, pero eso es sólo porque necesitamos decirle a Burp que reenvíe las solicitudes HTTP. Reenvíe las solicitudes hasta que vea la solicitud POST que contiene nuestra carga de archivos. Se verá así:

Solicitud POST

Eructar

Como se mencionó en una sección anterior, notará que algunos payloads tienen comentarios del autor que explican su uso y enlaces a blogs personales. Esto puede delatarnos, por lo que no siempre es mejor dejar los comentarios en su lugar. Cambiaremos el tipo de contenido de application/x-phpa image/gif. Básicamente, esto "engañará" al servidor y nos permitirá cargar el archivo .php, evitando la restricción del tipo de archivo. Una vez que hagamos esto, podemos seleccionar Forward dos veces y se enviará el archivo. Podemos apagar el interceptor Burp ahora y volver al navegador para ver los resultados.

Proveedor agregado

El mensaje: "Se agregó un nuevo proveedor NetVen a la base de datos" nos informa que la carga de nuestro archivo se realizó correctamente. También podemos ver la entrada del proveedor de NetVen con el logotipo que muestra un trozo de papel rasgado. Esto significa que rConfig no reconoció el tipo de archivo como una imagen, por lo que utilizó esa imagen de forma predeterminada. Ahora podemos intentar utilizar nuestro shell web. Usando el navegador, navegue hasta este directorio en el servidor rConfig:

/images/vendor/connect.php

Esto ejecuta el payload y nos proporciona una sesión de shell no interactiva completamente en el navegador, lo que nos permite ejecutar comandos en el sistema operativo subyacente.

Éxito del webshell

P0wny-Shell

LogoGitHub - flozz/p0wny-shell: Single-file PHP shellGitHub

Es un shell PHP muy básico de un solo archivo. Se puede utilizar para ejecutar rápidamente comandos en un servidor al realizar pruebas de una aplicación PHP. Úsalo con precaución: este script representa un riesgo de seguridad para el servidor.

Características:

  • Historial de comandos (usando las teclas de flecha ↑ ↓)

  • Autocompletar de comandos y nombres de archivos (usando Tab)

  • Navegar en el sistema de archivos remoto (usando el comando cd)

  • Cargar un archivo al servidor (usando el comando upload <destination_file_name>)

  • Descargar un archivo del servidor (usando el comando download <file_name>)

Consideraciones al trabajar con webshells

Al utilizar web shells, considere los siguientes problemas potenciales que pueden surgir durante su proceso de prueba de penetración:

  • Las aplicaciones web a veces eliminan archivos automáticamente después de un período predefinido

  • La interactividad limitada con el sistema operativo en términos de navegación por el sistema de archivos, descarga y carga de archivos, encadenamiento de comandos puede no funcionar (por ejemplo whoami && hostname), lo que ralentiza el progreso, especialmente al realizar la enumeración. -Posible inestabilidad a través de un shell web no interactivo.

  • Mayores posibilidades de dejar pruebas de que tuvimos éxito en nuestro ataque.

Dependiendo del tipo de interacción (es decir, un pentesting de caja negra), es posible que debamos intentar pasar desapercibidos y camuflar nuestros pasos. A menudo ayudamos a nuestros clientes a probar sus capacidades para detectar una amenaza real, por lo que debemos emular en la medida de lo posible los métodos que un atacante malintencionado puede intentar, incluido el intento de operar de forma sigilosa.

Esto ayudará a nuestro cliente y nos evitará, a largo plazo, que se descubran archivos una vez finalizado el período de participación. En la mayoría de los casos, al intentar obtener una sesión de shell con un objetivo, sería prudente establecer un shell inverso y luego eliminar el payload ejecutado. Además, debemos documentar cada método que intentamos, qué funcionó y qué no funcionó, e incluso los nombres de las cargas útiles y los archivos que intentamos utilizar. Podríamos incluir un hash sha1sum o MD5 del nombre del archivo, cargar ubicaciones en nuestros informes como prueba y proporcionar atribución.

AnteriorLaudanumSiguienteLab de explotación

Última actualización hace 7 meses

imagen
Eructar
imagen
Page cover image