OWASP Vicnum Project

Vicnum es una colección de aplicaciones Web intencionalmente vulnerables.
OWASP brinda este conjunto de aplicaciones Web que pretenden ser flexibles, realistas y quizá un poco divertidas con el fin de afilar las skills en seguridad y estimular el interés de estudiantes, gerentes, usuarios, desarrolladores y auditores.
Las aplicaciones de Vicnum son usadas frecuentemente en ejercicios de CTF en conferencias de seguridad y suelen ejercitar problemas de seguridad comunes como el cross-scripting, las inyecciones sql y los problemas en el manejo de las sesiones.
La idea es probar escáneres, técnicas de ataque, herramientas de análisis de código, firewalls y examinar la evidencia dejada por los ataques.

Descargas

De sourceforge pueden descargarse VMs vulnerables con algunas aplicaciones de Vicnum pero, dado que las aplicaciones son actualizadas individualmente, es mejor idea descargarlos por separado de sourceforge o github.
  • http://vicnum.sourceforge.net/
  • https://github.com/fridaygoldsmith/bwa_cyclone_transfers
  • http://xxe.sourceforge.net/
Líderes del proyecto

Mordecai Kraushar y Nicole Becher

Licencia

Aplicaciones Online (para impacientes)

El proyecto es sponsoreado por CipherTechs y en su sitio se encuentran algunas de las aplicaciones. Una de ellas es Guessnum, les comento brevemente de que se trata para que vean si les interesa:
La app Guessnum genera un número de 3 digitos únicos que tenés que tratar de adivinar. Después de tu intento, probablemente fallido, la app te dirá cuántos de tus digitos están en la posición correcta. La idea es seguir mandando soluciones hasta que adivines el número o hackees la app de alguna forma. Veamos de que se trata:

  • El sitio no tiene más JavaScript que la validación del campo de entrada.
  • La lógica de la app está en el lado del servidor, en scripts de perl llamados guessnum1.pl y guessnum2.pl.
guessnum1.pl y guessnum2.pl no son buenos nombres para un script ¿qué pasa si invocas un script llamado guessnum3.pl? Redirige a guessnum4.php, quien devuelve un error en una inserción SQL:

ERROR in INSERT INTO guessnumresults(name,guess,count) VALUES("",,) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 1.

Bien, seguro que la cuestión va por el lado de inyección sql, pero ¿qué pasa si llamás a guessnum4.pl o a guessnum2.php?¿Qué más hay en el server?¿Cómo podés verlo?¿Tenpes que usar ese campo de 3 digitos para ingresar la inyección?¿Tenés que ir construyendo la consulta de a 3 caracteres o tenés que encontrar la manera de ingresar una cantidad arbitraria de caracteres allí?

guessnum2.pl invoca el script de PHP pasándole los parámetros de name, guess y count. ¿Acaso podés pasarle esos parámetros por $_POST?

curl -d "guess=666" -X POST http://vicnum.ciphertechs.com/guessnum4.php

O, viendo el source de guessnum2.pl ¿podés enviar caracteres que no sean números?¿Qué son todos esos input hidden?.
Lo que quizá puedas controlar es el nombre con el que te registrás a la aplicación, deberías ver si puedo hacer inyección desde allí.

Comentarios

Publicar un comentario

Entradas populares de este blog

Introduccion a x86 ASM - Registros

Imagen
Assembler no es un lenguaje. Es una familia de lenguajes dependientes de la arquitectura de los procesadores. Esta familia de lenguajes es fundamental en ingeniería inversa. Me fascina el concepto de ingeniería inversa aunque aún soy un lego casi total en la materia: esta guía también me sirve a mi. Por otra parte, demasiados desarrolladores no saben lo que es la ingeniería inversa y demasiados desarrolladores piensan en Assembler como si fuera un lenguaje de programación obsoleto. Esta serie de entradas, inspirada en esta otra Guía de la Universidad de Virginia pretende ser una guía introductoria al lenguaje assembler usado en los procesadores Intel x86. Como guía introductoria cubre solamente una pequeña porción (pero útil) de las directivas e instrucciones disponibles. Así como existen un lenguaje ensamblador para cada arquitectura, existen varios lenguajes para generar código máquina para procesadores x86. Esta guía utiliza el assembler de Microsoft Macro Assembler (MASM) , q...
Leer más

JS: Triángulo de Pascal

Hoy, un pequeño problema de código Javascript. El siguiente snippet pretende crear un triángulo de Pascal . Al constructor Triangle se le pasa el número de filas que se quiere generar para la solución. La función fillRows() llama a fillRow(numRow) una vez por cada fila que se quiere generar. La función fillRow(numRow) se encarga de poner los números que van en cada posición de cada fila. Para ello usa un Array llamado row donde pone auxiliarmente los valores antes de agregarlos a this.rows . Estarán de acuerdo conmigo si les digo que el console.log() comentado como log "B" debería devolver lo mismo que el de la línea 5 -log "A"-. Pero no. Los resultados de cada console.log para new Triangle(2).rows son: Log "B": [[1], [1, 1]]. Log "A": [[1], undefined]. Es decir, this.rows tiene los valores correctos dentro de la función fillRow(numRow) pero no fuera de ella. ¿Cuál es el problema?¿Es una cuestión de scopes?¿Debería cambiar la...
Leer más

Legacy Trash (II)

Segunda entrega de este paseo por una aplicación PHP sangrienta. Después de pasar los ojos sobre un montón de líneas de código cuya complejidad solo es justificable en caso de que el programador estuviera realmente preocupado por su estabilidad laboral y después de encontrar: -Una simpática variable llamada $cúmulo. -Un script cuyo título era el nombre y apellido del autor. -Un comentario /***SEGUIMOS***/ , que me tranquilizó porque pensé que ya no estábamos siguiendo... Encontré un par de cosas más interesantes. Dialecto simplificado function quitarAcentos($cad) { //40 lineas de código que no quiero discutir $arr['z']='s'; $arr['ce']='se'; $arr['ci']='si'; $arr['ge']='je'; $arr['gi']='ji'; $arr['v']='b'; $arr['ll']='y'; $arr[' h']=' '; $arr['x']=''; foreach ($arr as $i => $v) { $cad=str_replace($i,$v,$cad); } } ¿Vieron eso? a...
Leer más