Parablan

Hector Alejandro Parada Blanco


URL Manipulation Secretaria General Alcaldía Mayor de Bogotá

Categoria: Hacking
Hector Alejandro Parada Blanco
2020-02-14

Este es un fallo clásico y muy simple de solventar, nada del otro mundo. El bug ocurre por un error cometido durante la programación de una página web (Por el ingeniero encargado de la programación), en la que simplemente se omite o no se tienen en cuenta algunas validaciones que protejan información de un usuario en particular.

El bug lo encontré en el sub dominio soy10aprende que está ligado al dominio principal secretariageneral.gov.co de la Secretaria General de la Alcaldía Mayor de Bogotá.

soy10aprende.secretariageneral.gov.co

En este sub dominio se ejecuta una herramienta llamada soy10aprende, la cual busca el fortalecimiento de la cultura del servicio a la ciudadanía (Programas que inventa la secretaría). La herramienta en cuestion fue creada usando el motor Unity WebGL.

unity.png

inicio.png

Pero parece que los ingenieros se enfocaron tanto en Unity WebGL que olvidaron factores esenciales, como por ejemplo la protección de los directorios donde se almacena la página web, siendo posible el ingreso al directorio enmascarado con el hash 15305b88b0e5661d5ced334ac50f4335 (tal vez pensaron que si enmascaraban el directorio, nadie lo encontraria).

archivos.png

Como se puede aprecias en la captura anterior, el directorio cuenta con 4 archivos, dos de ellos corresponden a una imagen de fondo (base.jpg y base.png), otro a fuentes de tipo True Type Font (Font.ttf) y uno más llamado image.php, este último hace uso de los otros archivos ya mencionados y genera un certificado de participación en el programa E-Cualificación de Servicio a la Ciudadanía.

carga.png

El certificado generado carece de algunos datos importantes ¿no les parece?, pues efectivamente no aparece el nombre de la persona a la cual están certificando ni tampoco el número de cedula correspondiente, esto nos sugiere que el archivo image.php se conecta a una base de datos para obtener la información faltante.

Despues de varios intentos, logre encontrar que image.php hace uso de las variables name y cc. Ya con esta información, realizamos un ataque de tipo URL Manipulation, proporcionando valores a las variables ya mencionadas y cargándolas al archivo image.php de la siguiente forma.

soy10aprende.secretariageneral.gov.co/ 15305b88b0e5661d5ced334ac50f4335 /image.php?name=Hector Alejandro Parada Blanco&cc=1013589538

url_manipulation.png

Y así de fácil logramos un certificado de soy10aprende. La vulnerabilidad se puede explotar con éxito debido a que image.php no valida el inicio de sesión de la aplicación ni mucho menos los datos que reciben las variables name y cc.

Con el fin de ayudar en la solución del problema, me comunique a la línea 195 y registre el caso como es debido ante la Alcaldía Mayor de Bogotá (Número de radicado 210732020).

caso.png

radicado.png

A la fecha en que este artículo es publicado, la falla aún persiste.

 




cO@sA
2020-03-13

La falla fue solucionada (ni las gracias dieron, dejando en evidencia que los ingenieros que trabajan en la Alcaldía Mayor de Bogota son unos ineptos).



Deja un comentario
Tu correo electrónico no será publicado. Tu nombre, comentario y código
captcha son obligatorios.


Comentario *
Nombre *
Correo electrónico

Captcha *