Bonita tarde de domingo. El Lorenzo entra por el ventanal de
mi salón como si de un allanamiento se tratase, invadiendo mi intimidad y
obligándome a dejar la pantalla de lado para salir a disfrutar. Lo que el
Lorenzo no sabe, es de cómo se encuentra mi estado físico, pues no hay nada más
complaciente para mi hoy, que calentar el sofá de casa como lo hice el resto de
mi vida en aquellos pupitres, que fríos hoy, dejé en mi paso por la escuela. Es
cierto, estar tirado a la bartola en algunos momentos es grato, y más aún
cuando pasas un sábado con grados etílicos en sangre, superiores a las salidas
nocturnas de Pipi Estrada.
Como me considero una persona de palabra, aparte de estar “tirándome
a la bartola”, como avisé en Twitter que este fin de semana, haría publica la
nueva versión de ParameterFuzz, ¡no me habéis dejado elección!. Ya vamos
por la versión 1.5, aunque la
repartí en el pasado RootedLab de
seguridad web, esa versión no contaba aún con todas estas nuevas ideas… ¡Así que anímense a descargarla!
En esta versión he querido dar mayores niveles de interacción
de las herramientas secundarias sobre los formularios principales, de manera
que sea más sencillo utilizar todo el “potencial” de la aplicación en una
auditoría. He realizado una reordenación de todos los menús para separar las
auténticas opciones, de las herramientas, además de intentar hacer más fácil la
usabilidad.
La siguiente imagen muestra el menú de opciones en el que
aparecen las posibilidades de guardar/borrar estados, ver los logs de ataques
automáticos y accesos rápidos a la carpeta de diccionarios. La captura de la derecha,
simplemente muestra la ubicación de todas las herramientas.
Add HTTP Header
es una de las dos nuevas herramientas, la cual permite configurar una cabecera
para realizar su envío en todas las peticiones que realice ParameterFuzz. Es
posible incluir un nuevo User-Agent
o inclusive, realizar la modificación de nuestra IP de procedencia, utilizando la cabecera X-Forwarded-For. Esta cabecera viene escrita por defecto, aunque no
activada incluyendo nuestra IP local.
Otro de los cambios el cual se puede apreciar, es la
inclusión de la cabecera en el formulario principal, para ver de forma sencilla
que este se está utilizando.
En la siguiente imagen, se muestra cómo es posible explotar
un HTML Injection desde una cabecera
X-Forwarded-For, visitando una página que muestra nuestra IP.
Se me ocurrió realizar modificaciones al Spider, con el objetivo de poder
visitar las páginas sobre el propio navegador de ParameterFuzz. Realizando un
doble clic sobre cualquiera de las páginas que la araña extraiga, estas serán enviadas
al browser. Además se incluyeron botones de navegación, “<” atrás. “>”
adelante y “()” actualización, con el objetivo de poder visitar páginas que más
tarde serán tratadas con las herramientas o el nuevo botón URLSpider, el cual enviará automáticamente la URL actual al Spider
para seguir con la búsqueda.
La otra idea que se me ocurrió fue Input’s Parameters , la cual se encarga de “parsear” el código
fuente de las páginas, con el objetivo de extraer el campo “name” de todos los “inputs”.
De esta forma tener parámetros fiables con los que realizar los ataques. La
siguiente imagen muestra, como tan solo realizando la extracción de los “inputs”,
encontré un XSS reflejado en el panel de administración de una página.
En el caso de que la página contenga un número de “inputs”
lo suficientemente grande como para tener que automatizar el proceso, la caja
de texto de la aplicación permite el copiado de las palabras, con lo que
realizar el cambio de diccionarios es tan sencillo como ir al menú de accesos
directos y modificar “Parametros.txt”.
Espero que les hayan
gustado los cambios, que la prueben… y no sean malos.
Saludos 4n4les! ;P
Y si es un virus? ;-P
ResponderEliminarPues lo 4n4lizamos! ;P
EliminarIllo baja la persiana, consejo!!
ResponderEliminarDescargado y analizando por sia caso :p jijiji
Jejej avísame si pillas el Zeus que he bindeado ;)
Eliminar