Descargas: Fast HTTP Auth Scanner

Nuestra experiencia en tests de intrusión nos ha demostrado que un porcentaje realmente elevado de administradores y usuarios, disponen de contraseñas por defecto en sus routers, y estos son fácilmente accesibles desde Internet o desde redes internas.

La presencia de este fallo común de configuración posibilita que cualquier usuario pueda utilizar estos sistemas como pasarela anónima a Internet o a otras subredes, creando reglas de rutado de tráfico, NATs, VPNs, o realizar ataques mas elaborados como envío de spam, suplantación de servidores DNS (pharming), redirección de tráfico,.. .


Fast HTTP Auth Scanner, es un nuevo scanner Web multiplataforma que permite la automatización de tareas de pen-test contra routers y otros dispositivos Web a través de protocolos HTTP y HTTPS, permite comprometer o auditar rápidamente múltiples dispositivos Web.

Esta herramienta soporta las siguientes funcionalidades:

• - Escaneo: realiza un barrido rápido sobre un amplio número de sistemas, identificando las versiones de los servidores web.
• - protocolos: establece conexiones contra sistemas a través HTTP y HTTPS.
• - autenticación: realiza un ataque de fuerza bruta contra los sistemas que requieren autenticacion basic en la página principal.
• - Busqueda de recursos: En el caso de que la página principal no requiera autenticación, en base al fingerprint del sistema, se intentan localizar recursos que si la requieran para lanzar un ataque de fuerza bruta.
• - Identificación de versión del servidor: Si no se encuentra la cabecera Server del servidor Web en la petición inicial (GET) se probará adicionalmente el método HEAD.
• - Identificación de Webforms: Muchos routers y servicios HTTP fuerzan a que la autenticación se realice en formularios. En base a firmas se puede ampliar el esquema de autenticación a estos dispositivos.
• - Multithreading: Soporte multihilo .

Ejemplo de funcionamiento del motor de análisis




Para facilitar el desarrollo y la implementación de diferentes ataques, parte de la lógica de autenticación se almacena en ficheros de configuracion externos.

* IgnoreList.ini
Algunos sistemas identificados a lo largo de un escaneo, no deben ser procesados por no ser susceptibles a ataques de fuerza bruta, o simplemente porque sabemos de antemano que los resultados que generen serán superfluos.
El formato de este fichero es el siguiente CODE SERVER, siendo CODE el codigo de error de la petición HTTP devuelto ante una petición "GET / HTTP/1.0". Se utilizará el valor 0 para ignorar el código de respuesta del servidor web. SERVER es el banner HTTP "Server: " devuelto. Si la aplicación no devuelve una cabecera Server, se utilizará por defecto el valor "HTTP/1.0"

Ejemplo:
400 micro_httpd
400 HTTP/1.0
403 HTTP/1.0
0 Microsoft
0 Apache
0 Netscape
0 Lotus-Domino
0 GWS/2.1
0 Sun
0 Oracle

* UserList.ini
Combinación de usuarios y contraseñas para la autenticación Basic. Esta lista contiene las contraseñas por defecto de la mayoría de routers conocidos.

Código:

Ejemplo:
admin:admin
admin:1234
admin:smallbusiness
1234:1234
admin:password
root:root
:admin
operator:
operator:operator
:1234

* UserListSingle.ini
Lista de usuarios utilizada para autenticación con formularios que solo requieren un nombre de usuario y/o contraseña.
admin
user
password..


* RouterAuth.ini
Este fichero es utilizado para modificar como se comporta el motor de fuerza bruta por autenticación Basic cuando el servidor web no devuelve un codigo de error 401 en la web principal. En base al codigo de error y al banner del servidor, se le indica a la aplicación que pruebe a acceder a otros recursos y verificar si estos si requieren autenticación. De ser así, el ataque de fuerza bruta se realizará contra dicho recurso. Todos los campos van separados por un pipe "|"

Código:

Ejemplo:
200|Nucleus/4.3 UPnP/1.0 Virata-EmWeb/R6_2_0|/MainPage?id=6
200|Unknown/0.0 UPnP/1.0 GlobespanVirata-EmWeb/R6_1_0|/welcome.html
200|Unknown/0.0 UPnP/1.0 GlobespanVirata-EmWeb/R6_1_0|/dlink/hwiz.html
200|Foundry Networks|/Home
200|HTTP/1.0|/setup
404|EksosM/0.1|/cgi/login?uri=/cgi_u/main
302|go1984|/tkrasvqs/Default/index.htm

* webforms.ini
Proporciona a la aplicación, en base a firmas, la información necesaria para autenticarse contra un formulario.
Los siguientes campos son necesarios

;Model=My ISP router //add router/webserver model description
;status=200 //HTTP status code returned when requesting GET / HTTP/1.0
;server=testrouter v0.1 //server banner returned in the "GET / HTTP/1.0" request. add HTTP/1.0 if no server header is returned
;matchstring=Welcome to testrouter v0.1. //text to match the router model
;authurl=/bin/login.html //url where we will try authentication
;authmethod=POST //authentication method (GET or POST)
;authform=username=!!!RAWUSER!!!&password=!!!MD5PA SS!!!&login=submit //form authentication scheme.
;requireloginandpass=1 // Boolean value. if only is needed a login or password, set this value to 0
;validauthstring= //text to validate a successful authentication request. (can be null if invalidauthstring specified)
;invalidauthstring="Invalid Username or password" //text to validate an unsuccessful auth (can be null if validauthstring specified)

Para construir correctamente el esquema de autenticación, el campo authform soporta los siguientes TAGS, que serán reemplazados dinamicamente mientras se realiza el ataque: !!!RAWUSER!!! !!!RAWPASS!!!, !!!B64USER!!! , !!!B64PASS!!!, !!!MD5USER!!! , !!!MD5PASS!!!
Para que las firmas puedan ser mas exaustivas, se pueden incluir los tags '\r' , '\n' y '\t'

Código:

Ejemplo de autenticación por webform contra un router modelo Zyxel o Prestige:

Model=Zyxel/Prestige
status=200
server=RomPager/4.51 UPnP/1.0
Matchstring=form method="post" action="/Forms/rpAuth_1"
authurl=/Forms/rpAuth_1
authmethod=POST
authform=LoginPassword=ZyXEL+ZyWALL+Series&hiddenPassword=!!!MD5PASS!!!&Prestige_Login=Login
requireloginandpass=0
validauthstring=/rpSys.html
invalidauthstring=/rpAuth.html

Mas info: www.514.es