miércoles, 29 de mayo de 2013

¿Necesitas listas de *?

Seguro que si haces auditorías de seguridad una de las colecciones más preciadas de tu arsenal es la lista de dorks, RFIs, localizaciones del panel de administración, o esos chorizos para hacer escalado de directorios o la de inyecciones SQL. También no faltan listas de combinaciones usuario/password que como dijo Ken Thompson: Cuando dudes, ¡usa la fuerza bruta!

Estas listas son muy útiles para pasarlas a herramientas tipo Burp, Cansina o WFuzz. Incluso un simple (muy simple) script ad-hoc nos puede ayudar para lanzar peticiones y comprobar su resultado:


import sys
import requests

site, payload = (sys.argv[1], sys.argv[2])

slap = ''
try:
    slap = sys.argv[3]
except:
    pass

with open(payload, 'r') as payload:
    for i in payload.readlines():
        req = requests.get(site + i + slap)
        print "%s %s %s" % (req.status_code, len(req.text), req.url)



Una fuente bastante nutrida de este tipo de listas es la base de datos de dorks de exploit-db o las listas del proyecto fuzzdb, aunque este último lleva tiempo sin ser actualizado. Otra fuente de conocimiento son los sitios tipo pastebin. Nunca dejará de sorprender la cantidad de información curiosa (a veces rozando lo bizarro) que la gente deja colgada.


Por ejemplo, sin salirnos de pastebin, una lista para comprobar posibles scripts que pudieran contener una SQLi. Otra por aquí para el mismo cometido. RFIs en formato dorks para Googleo como no, "etc/passwd" que continen nombres de usuario para nuestro diccionario de usernames. Como no, tampoco faltan las lista de passwords procedentes de los ataques, algunos ya históricos.



Es evidente que se trata de información bastante heterogénea y tendríamos que hacerla pasar por un filtro para acoplarla a nuestras listas, el más básico es que las entradas no estén repetidas o que estén ordenadas por porcentaje de éxito encontrado en sucesivos usos. De esta forma no machacamos un objetivo y optimizamos el tiempo de auditoría.

No hay comentarios:

Publicar un comentario en la entrada