Como se hackeo la pagina del peje

abril 19, 2007

Pues bueno para poner algo interesante en este Blog(al menos para algunas personas) y enfocarme un poco al tema original del Blog que es la Seguridad Informática, me gustaría hacer una especie de guia de como es que se hackeo la pagina de Andres Manuel López Obrador http://www.amlo.org.mx (actualmente http://www.lopezobrador.org.mx/) , sus vulnerabilidades y como fue explotado.

Descubrí estas vulnerabilidades algunas semanas despúes de que fue anunciado que un hacker había puesto una carta de la que no voy a hablar ya que no es el tema, por lo que no me atribuyo el haber sido quien la encontró primero ni el único, y aclaro que no hice ningún mal uso de esta vulnerabilidad. Se le avisó al webmaster sobre las vulnerabilidades varias veces e hizo caso omiso, apenas fue reparado hace unos semanas. varios meses después de que paso la elección y de que fue hackeada varias veces, razón por la que creo es el momento justo para describir la vulnerabilidad.

El objetivo de esta guia no es enseñar a destruir, sino al contrario es por un lado mostrar como es que un hacker trabaja y como es que explotan este tipo de vulnerabilidad, para aprender a defenderse (para vencer al enemigo hay que conocerlo). Y por otro lado quiero mostrar el daño que pueda causar a una institución si no se le da importancia a la seguridad

Antes de empezar unas aclaraciones, los errores que muestro no son exactamente como lo mostraba la página ya que como les dije antes ya no es vulnerable y no tome ninguna captura, todo lo voy a sacar de mi memoria y por otro lado cambiare algunos datos para proteger la confidencialidad del sitio.

Empezemos.

Para entender mejor este guía es necesario tener conocimientos sobre lenguaje sql, html, php, algo de conocimientos sobre programación, como se reciben y pasan parámetros con html.

Primero voy a hablar de la vulnerabilidad principal de la página, mi intención no es hacer un manual muy extenso sobre esta vulnerabilidad sino una pequeña introducción, quizá en otro post haré algo mas especializado y extenso.

Su nombre es sql injection:

Gran parte de las páginas de Internet tienen un contenido “dinámico”, es decir se lee e inserta contenido en una base de datos, como por ejemplo un sistema de usuarios que contiene nombre, usuario, contraseña, etc. o muestra algún tipo de información como un sistema de noticias, y según el contenido de la base de datos es lo que tu puedes ver en la página. Entonces, sabiendo esto, ¿que pasa si tu pudieras en ves de ver por ejemplo una noticia “engañar” al sitio y decirle que mejor te muestre la contraseña del administrador o cualquier tipo de dato que te puede interesar?, o pero aun que puedas borrar, editar o agregar datos a tu antojo, pues esto si se puede llegar a hacer en algunos sitios que no tienen la seguridad adecuada y se logra por medio de inyección de sql.

Sql es el lenguje utilizado por la mayorìa de las bases de datos(al menos en las que yo conozco), y a grandes rasgos son una serie de sentencias para lectura, modificación y escritura, por ejemplo, para decirle a una base de datos que te regrese la noticia, fecha, titulo con el id 0001, si fuera una persona simplemente le dirías: dame la noticia, titulo y la fecha de la base de datos de noticia, esto traducido a sql seria:ç

SELECT titulo,noticia,fecha FROM noticias WHERE id_noticias =0001

En un sistema de usuarios si tu quisieras saber todos los usuarios que nacieron en febrero sería de la siguiente forma

SELECT * FROM usuarios WHERE mes_nacimiento=febrero

Que tal si este ultimo ejemplo la palabra febrero fuera recibida de un formulario, y en ves de enviar un mes enviaras “febrero o que 1=1 “, la sentencia quedaría así

SELECT * FROM usuarios WHERE mes_nacimiento=febrero o que 1=1

¿Que va a suceder?, pues muy facil que va a leer la base de datos y va a encontrar uno que nació en marzo por ejemplo y se va a preguntar: ¿nació en febrero?,no, entonces ¿1 es igual a 1?, si, y por lo tanto la condición es cierta y va pasar lo mismo con los demás datos y por lo tanto a regresar todos los usuarios y si por ejemplo enviamos “febrero y ademas selecciona las contraseña donde el usuario sea cualquiera”, va a mostrar además sus contraseñas y por ultimo les dejo de tarea que creen que pasaría si enviara: “febrero y ademàs actualiza la contraseña de fulano cambiándola por hola”, interesante, ¿no creen?.

Esto claro es una explicación muy simple, con el objetivo de llegar a todas las personas, en la práctica es mucho mas complicado.

¿En que consistía la vulnerabilidad de la pagina de amlo?, pues en lo dicho arriba, esta página tiene un sistema de noticias, comunicados, etc. que permitía, saltándose algunos filtros de seguridad, mostrar el dato que tu quieras, modificar datos(esto fue lo primero que arreglaron), o incluso con un poco de ingenio mostrar el código fuente de la página(para los que saben programar en algún lenguaje web dinámico saben que hay están contraseñas como la de la base de datos, y además como esta hecha la página), y explotando otra vulnerabilidad de la que hablaré despúes ejecutar cualquier código que tu quieras, no puedo describir los alcances de esto.

Bueno, para hacerlo un poco de emoción y no hacer el cuento muy largo hasta aquí voy a dejar la primera parte de esta guía, la siguiente parte en algunos días(terminada ve aquí) ya explicará a detalle y de manera ahora si técnica como se explotaron las vulnerabilidades y que se podía lograr.

Cualquier sugerencia, aclaración, duda o cualquier comentario no duden en escribir, si notan algun error también por favor haganmelo saber.

Saludos!

2da Parte
3ra Parte

6 comentarios to “Como se hackeo la pagina del peje”


  1. […] Como se hackeó la pagina del peje(3) final 9 07 2007 1ra Parte […]

  2. Blexter Says:

    mira loco, yo no se lo que leiste o que, pero cualquiera lo tuy, para entrar a una base de datos nesecital los usuarios, y su no los tenes nada de eso te va a servir, igual la sentencia sql esta bien,

  3. Alfonso Says:

    Creo que no leiste el articulo completo, en este caso yo podia leer cualquier archivo de la pagina, entre ellos el archivo donde estaba guardado el usuario y contraseña

    Saludos

  4. redpoint Says:

    yo fui el autor del deface al sitio de lopez obrador lo pueden comprobar en la noticia del universal o en zone-h y nada mas te digo algo deja de anar robando guias y decir ke tu las explicas pendejo

  5. Alfonso Says:

    jaja, si guey eres un chingon y la gente te roba,
    1 yo no fui el que hackeo la pagina eso lo dejo muy claro(si leyeras la guia lo sabrias) yo solo descubri como hacerlo pero no modifique nada
    2. De donde voy a robarte una guia, de tu mente? ni siquiera te conozoco, dudo que sepas si quiera prender una computadora
    3. No puedo creer que estes buscando como hackear la pagina del peje despues de tanto tiempo eso demuestra que no eres mas que un lammer

    Saludos


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: