Avec le WEB 2.0, les applications WEB se sont largement multipliées, augmentant dans le même temps les failles de sécurité. Parmi ces applis, nous trouvons JOnAS. Le post suivant propose un scénario d'attaque dans le cas où vous trouveriez cette solution.
NB : Comme tous les posts de ce blog, la démonstration qui suit n'a de vocation que de sensibiliser et prévenir et non de porter atteinte à quiconque, ce qui serait illégal !
Supposons que nous avons repéré JOnAS - une application WEB téléchargeable sur *NIX et WIN* - sur un serveur cible, tournant par défaut sur le port 9000. Il suffit d'utiliser notre navigateur pour nous retrouver sur la page de la cible (ici, à l'adresse 192.168.123.123 pour notre démonstration, reposant sur une plateforme Windows mais les tests peuvent aussi être lancer sous *NIX) : http://192.168.123.123:9000/jonasAdmin. Vous arrivez sur la page suivante :
Par défaut, les credentials sont jonas/jonas, tentez votre chance ! Sinon, il existe de nombreuses méthodes pour trouver le mot de passe s'il a été changé :
2 - Ajouter le module malicieux
Une fois loggé, nous pouvons déployer un nouveau module sur le serveur. Celui-ci, nommé mission-security.war, contiendra les pages malicieuses ... Pour cela, sur la page d'admin de JOnAS :
Une fois cette opération réussie, il faut :
Sur la page suivante, cliquez sur "Confirm" :
3 - Exécuter des commandes arbitraires
Dans votre navigateur, entrer l'URL : http://192.168.123.123:9000/mission-security/
Plus exactement, le code de cette page est le suivant :
Et maintenant, Have fun !
Par défaut, les credentials sont jonas/jonas, tentez votre chance ! Sinon, il existe de nombreuses méthodes pour trouver le mot de passe s'il a été changé :
- Avec Brutus (cf. la fin du post "Is your money safe?") ;
- Avec Hydra. Ce deuxième cas fera l'objet du prochain post.
2 - Ajouter le module malicieux
Une fois loggé, nous pouvons déployer un nouveau module sur le serveur. Celui-ci, nommé mission-security.war, contiendra les pages malicieuses ... Pour cela, sur la page d'admin de JOnAS :
- Etendez "Deployment" (colonne de gauche) ;
- Cliquez sur "Web Modules (WAR)" ;
- Cliquez sur le deuxième onglet "Upload" (page principale) ;
- Cliquez sur "Parcourir" pour sélectionner le module ;
- Retrouvez le module sur votre machine ;
- Il ne vous restera plus qu'à cliquer sur le bouton "Upload".
Une fois cette opération réussie, il faut :
- Revenir sur le premier onglet, nommé "Deployment" ;
- Le module uploadé devrait apparaître dans la colonne de gauche de la page principale. Cliquez dessus pour le sélectionné ;
- Cliquez sur le bouton ">>>" pour le déployer (partie droite) ;
- Cliquez sur le bouton "Apply" pour finaliser cette étape.
Sur la page suivante, cliquez sur "Confirm" :
3 - Exécuter des commandes arbitraires
Dans votre navigateur, entrer l'URL : http://192.168.123.123:9000/mission-security/
Maintenant, c'est à votre imagination de jouer mais voici certainement l'exemple le plus convaincant :
- Cliquer sur le répertoire "win32/" (toujours en admettant que la cible est sous WIN*) ;
- puis sur la page "cmd_win32.jsp" (ou accessible directement en tapant l'URL http://192.168.123.123:9000/mission-security/win32/cmd_win32.jsp) ;
- Tapez la commande de votre choix. Ici, la commande dir en tant qu'exemple.
Plus exactement, le code de cette page est le suivant :
Et maintenant, Have fun !
Aucun commentaire:
Enregistrer un commentaire