outubro | 2012 | VSLA - Virtual Security Labs Anywhere

Hoje estive vendo e vi que por acaso do destino, um brother que palestrou comigo na OWASP 2010, o AdityaKSood, postou um artigo no blog dele, 30% de um pentest que eu estava fazendo em um cliente há 3 semanas, mas não posso revelar a fonte por NDA.

O que quero dizer que tanto eu e tanto ele, chegamos em parte na mesma conclusão, mas ao longo post, explico que toma caminhos diferentes.

Inclusive, fui na BSides/H2HC 2012 e pensei porque não fazer um paper sobre “Pentest em SAP por scripts e na mão” e tentar um CFP em 2013, mas sem tools ou scanners de SAP, seria na “unha mesmo”…

No meu caso a parte do cenário era em SAP Business Object XI 3.1 for linux e cheguei depois de muito tentar manualmente e sozinho, a postar no linkedin:

http://www.linkedin.com/groups/Pentest-SAP-Business-Object-XI-3177624.S.178039431?view=&gid=3177624&type=member&item=178039431&trk=hb_ntf_LIKED_GROUP_DISCUSSION_YOU_CREATED

Vai o texto:

Has anyone managed to successfully make Pentest manually in an SAP Business Object XI 3.1 for linux?

I end up getting a Google Hacking:

http://www.google.com.br
inurl: “InfoViewApp / logon.jsp”

I have sent to the GHB http://www.exploit-db.com

I’m trying for SOAP or XML Injection Injection because I think the following WSDL URLs PoC (Proof of Concept):

Web Services List
==============
http://localhost:9080/dswsbobje/services/listServices

I’ve looked at http://www.exploit-db.com and already tested with soapUI, sapyto, erpscan, w3af and other tools.

I have also created an environment for simulating receive information from webservices without success.

Has anyone experienced this or have any idea.

I can also make or brute-force DDoS.

I’ve read this paper, very well done:

http://spl0it.org/files/talks/source_barcelona10/Hacking%% 20SAP 20BusinessObjects.pdf

8 dias atrás (24-10-2012)

eu usei o conhecimento e citei a fonte que foi a Equipe do Rapid7 que palestrou na spl0it.org http://spl0it.org/files/talks/source_barcelona10/Hacking%% 20SAP 20BusinessObjects.pdf
mas aprofundei mais ainda em coisas que eles não viram e eu acabei vendo.

Por se tratar de NDA e já entrei o pentest na segunda-feira 29/10/2012 (por sinal meu aniversário) e não produzi o artigo.

Ainda não falei com , temos um contato bom e comunicação legal e é lógico ele manja mais do que eu, mas já tive poucas oportunidades, devido o meu conhecimento perto do conhecimento dele, de falar algumas idéias e ele achar legal. Nada mais natural.

O que acho legal é que o cara manja muito e PhD e tal e é extremamente humilde.

Mas o que o artigo http://zeroknock.blogspot.in/2012/10/exposed-apache-axis-soap-objects.html tem haver com o pentest em SAP que terminei dia 29/10/2012? Simples, o SAP BO 3.1 XI for Linux (legado por sinal 2003/2004) usa o Apache com AXIS SOAP Objects para o consumo dos webservices.

Eu estava só esperando ter um tempo para criar um post e ele postou uma parte apenas do Apache, mas tem um post meu lá no linkedin e vou fazer novamente o ambiente e detalhar mais isso.

Vou avisá-lo logo que puder pois creio que nem ele e nem queríamos criar posts iguais ou parcialmente iguais um do outros, foi apenas uma coincidência de verdade.

Mas como pode-se ver, num dos foruns do linkedin postei perguntas de coisas que levam a isso, inclusive no proximo post nos proximos dias, vão ver que algumas coisas são iguais por usar o mesmo Apache AXIS, mas que tomam caminhos diferentes e como comecei a pesquisar a 3 semanas atrás, inclusive comentei superficialmente com c00ler o Maycon o que eu estava fazendo.

É uma pena não poder revelar o contéudo de um pentest coberto por NDA, mas consigo criar um ambiente similar e compartilhar as ideias aqui de como fiz.

@firebitsbr

VSLA – Virtual Security Labs Anywhere

Just another security.com site

Arquivo mensal: outubro 2012

Pentest SAP via webservices