Durante las dos últimas semanas del MOOC se nos ha propuesto un reto a resolver por equipos de 8 alumnos. A cada grupo se le ha asignado un servidor (todos iguales) en el que estaban “escondidos” tres ficheros encriptados. El servidor corría como sistema operativo Debian GNU/Linux.
La tarea se ha dividido en dos partes. Durante la primera semana los miembros del grupo debíamos analizar nuestro servidor para descubrir sus vulnerabilidades e intentar protegerlas. Durante la segunda semana teníamos que atacar los servidores de los demás grupos para obtener los tres ficheros escondidos en su servidor.
Yo he participado en el grupo “El despertar de la fuerza“. En este grupo hemos participado ocho personas y nuestro funcionamiento ha sido un tanto “anárquico” para mi gusto. Quizás los grupos de ocho personas han resultado demasiado grandes. Yo me he coordinado principalmente con Antonio José Cantillo y he participado inicialmente en tareas de análisis y defensa aunque finalmente hemos hecho “un poco de todo”.
Como hemos comentado, la primera semana la hemos dedicado a analizar nuestro servidor e intentar protegerlo. En este sentido, en primer lugar, para identificar los servicios que se estaban ejecutando en el servidor, hemos realizado un escaneo de puertos con nmap observando que teníamos abiertos los puertos 21, 22, 80 y filtrados 25, 139, 445 y 1720.
Como vemos tenemos un servidor web , un servidor ftp y acceso por terminal remoto encriptado. Mediante el navegador hemos accedido a la web donde hemos visto que tenemos instalado también Cacti y Gitlist. En el reto se nos propone modificar esa página inicial. Procedo accediendo al servidor mediante ssh y editando el fichero /var/ww/index.html obtenemos como resultado:
Accediendo mediante ftp descubrimos que uno de los tres ficheros (level-02) está accesible ya que el servidor ftp permite acceso anónimo. Julián Bolaños procede a securizarlo.
Por otra parte mediante el comando find hemos localizado dónde estaban los tres ficheros objetivo del reto. Para ello hemos usado la siguiente sintaxis:
$ find / –name *.gpg
Nos dispusimos asi mismo a actualizar el sistema para evitar posibles vulnerabilidades mediante..
$ sudo apt-get update
S sudo apt-get upgrade
Este paso quizás lo debereríamos haber hecho al final puesto que al haber actualizado quizás hayamos resuelto alguna vulnerabilidad y esto supondría no poder probar vulnerabilidades de sistemas que no se hubieran actualizado.
En este sentido hemos descubierto que tanto Cacti como Gitlist sufrían vulnerabilidades de inyección de SQL o de inyección de comandos que hemos intentado explotar. Hemos sido capaces de llegar hasta ver el contenido de los ficheros encriptados.
Después del trabajo realizado durante estas dos semanas he aprendido de manera práctica…
- Qué es una SQL injection y una Command Injection y he visto hasta donde se puede llegar en unos servidores vulnerables.
- He tomado conciencia de la importancia de mantener los sistemas actualizados y corretamente protegidos.
- He tomado conciencia de la relativa sencillez con la que un usuario “que sabe qué y dónde buscar” puede acceder a sistemas vulnerables.
Finalmente puedes obtener evidencias de las tareas relativas al Mooc de Hacking Ético en la categoría #moocHackingMU.
Se da la circunstancia de que es el primer Mooc que consigo terminar mucha culpa creo que ha tenido el Consejo JEDI en general y Miguel en particular. De todas formas creo que el reto final se ha desconectado un poco de lo trabajado durante las dos primeras semanas y me ha generado un poco de frustración en algunos momentos.
Leave a Reply