Tuesday, April 21, 2020

Low Hanging Fruit Con Google Dorks: Open Redirects

Si algo me enseña esta comunidad día a día es que lo que todo compartes se te devuelve multiplicado, por ello, en el artículo de hoy quiero compartir una técnica personal dentro de Google Dorks, para encontrar fácilmente Open Redirects, y a ver si convenzo a los compañeros de que añadan un plugin de estas vulnerabilidades en FOCA.

Figura 1: Low Hanging Fruit con Google Dorks: Open Redirects

Os aviso de que, por petición expresa del sitio afectado, ocultaré los dominios ya que se ha decidido que esta vulnerabilidad no se solucionará. ¿Tal vez sea una "feature" y no "bug"? El caso es que vamos a tapar todos los dominios en las imágenes. Eso sí, para que te pongas las pilas, si no estás familiarizado con el Hacking en Buscadores, te recomiendo para esta cuarentena que  te bebas el libro de Enrique Rando.

Figura 2: Hacking con Buscadores 3ª Edición
de Enrique Rando

La idea es conseguir detectar vulnerabilidades simplemente a través de búsquedas en diferentes motores web (Google, Bing, Shodan, Censys, Robtex, etcétera) que revelen información sensible, documentos con metadatos, información cacheada, endpoints, backups, juicy files, y cualquier otro dato que pueda ayudar en un Ethical Hacking.


Figura 3: Buscando Low Hanging Fruit

Os dejo esta charla de Chema Alonso de "Buscando Low Hanging Fruit"del año 2016 donde habla de estas técnicas y hace algunos ejemplos muy clarificadores, que como es fin de semana y en periodo de confinamiento puedes aprovecha para no saltarte nada.

Google Dorks versión "Pablo García"

Como fan absoluto de los ataques de Subdomain Takeover, decidí probar a encontrar subdominios vulnerables buscando Blueprints en Google: Aquí podréis encontrar los errores que nos pueden indicar que el subdominio es vulnerable:

Figura 4: Listado de proveedores afectados por Subdomain Takeover

Pero como siempre hay que seguir dándole vueltas a los detalles, el fin de semana pasado se me encendió la bombilla y probé con una consulta como esta, que pensaba que podía darme alguna sorpresa.

Figura 5: Dominios de Wikipedia sin páginas de Wikipedia

El problema que nos surge es que Google sólo tiene en cuenta las palabras comprendidas dentro de la página web, y no las de los encabezados y no parece que haya solución, ya que Google no tiene un comando que filtre esto y Bing tampoco.

Figura 6: Sigue siendo una página de Wikipedia

Lanzo el guante para quién lo quiera recoger. A mí se me ocurre ir "talando" ese primer resultando quitando keywords para que nos quede nuestro preciado tesoro: "Gacelas Heridas".

Figura 7: Un dominio XXXX que acaba en Amazon.com (redirect)

De entrada estas direcciones URL son ideales, ya que sin tener que adivinar por fuerza bruta el parámetro Redirect de turno, nos están diciendo que el link  indexado en Google del sitio que estamos buscando en site:XXXX nos va a dirigir automáticamente a otra web, en este caso Amazon. Y aquí se nos abren dos posibilidades

1.- Bug de Open Redirect en URL

En este caso de ejemplo algo como:
https://www.XXXX.com/r/PARÁMETROVULNERABLE/XXXXXX
Simplemente se trata de encontrar el hueco vulnerable en la cadena de caracteres, sustituir el parámetro con la dirección URL "maligna" y…. ¡premio!

Figura 8: Link a nuestra página de "Phishing"

Con eso, como se ve en la imagen,  se consigue que si se hace clic en el un enlace HTTPS, verificado, el usuario sufra una redirección automática a mi web personal:

2- Link a dominio libre

Añadiendo a nuestra consulta del buscador el Blueprint de los principales gestores de dominios - que sería genial que nos lo añadieran los compañeros a nuestra querida FOCA -, también podemos encontrar fácilmente regalos como:

Figura 9: Buscando "dominios en venta del gobierno"

Aquí tenemos un Open Redirect "gratis", simplemente tendríamos que comprar en el proveedor de turno ese dominio y tendríamos un redirect directo a nuestra web y un peligroso link ya indexado y todo.

Tunnel Vision

Muchas veces -con Burp en mano- nos ponemos a buscar Open Redirects, o XSS en request que son realmente improbables y nos olvidamos que Google nos sirve en bandeja muchos "Quick Wins" como explicaba Chema Alonso en el año 2010 - ya tiene diez años esta charla - cómo funcionan los XSS Google Persistentes.


Figura 10: Chema Alonso hablando de ataques XSS Google Persistentes

Hackathon #EUvsVirus

Como comentaba al principio, si algo bueno tiene esta comunidad son las sinergias que se crean y la gran cantidad de conocimientos que la gente comparte, y que permite que los demás crezcan y compartan estos conocimientos a su vez. El COVID-19 nos está afectando a todos nosotros y creo que esta comunidad tiene mucho que aportar y mucho que decir al respecto. Por ello, os invito a participar individualmente, o por equipos, el próximo fin de semana en el 1er #EUvsVirus Hackathon de la Comisión Europea, apoyado por Telefónica y por Wayra, para buscar soluciones innovadoras frente a los desafíos del coronavirus.
Consiste en proponer una solución para alguno de los 6 grandes retos que proponen. Yo participaré como mentor, por lo que podremos hablar y comentar las ideas que os surjan. Tened en cuenta que nuestros "scouters" estarán siguiendo el evento y puede ser la oportunidad de plantear esa solución en la que llevas tiempo pensando, y que ofrece coas necesarias en el día D+1. Queda poco tiempo, así que apúntate antes del 21 de abril.

Un saludo,

Autor: Pablo García Pérez

Contactar con Pablo García

Related links

No comments: