Pentest SAP via webservices

Hoje estive vendo e vi que por acaso do destino, um brother que palestrou comigo na OWASP 2010, o AdityaKSood, postou um artigo no blog dele, 30% de um pentest que eu estava fazendo em um cliente há 3 semanas, mas não posso revelar a fonte por NDA.

O que quero dizer que tanto eu e tanto ele, chegamos em parte na mesma conclusão, mas ao longo post, explico que toma caminhos diferentes.

Inclusive, fui na BSides/H2HC 2012 e pensei porque não fazer um paper sobre “Pentest em SAP por scripts e na mão” e tentar um CFP em 2013, mas sem tools ou scanners de SAP, seria na “unha mesmo”…

No meu caso a parte do cenário  era em SAP Business Object XI 3.1 for linux e cheguei depois de muito tentar manualmente e sozinho, a postar no linkedin:

http://www.linkedin.com/groups/Pentest-SAP-Business-Object-XI-3177624.S.178039431?view=&gid=3177624&type=member&item=178039431&trk=hb_ntf_LIKED_GROUP_DISCUSSION_YOU_CREATED

Vai o texto:

Has anyone managed to successfully make Pentest manually in an SAP Business Object XI 3.1 for linux?

I end up getting a Google Hacking:

http://www.google.com.br
inurl: “InfoViewApp / logon.jsp”

I have sent to the GHB http://www.exploit-db.com

I’m trying for SOAP or XML Injection Injection because I think the following WSDL URLs PoC (Proof of Concept):

Web Services List
==============
http://localhost:9080/dswsbobje/services/listServices

Web Services
===========
http://localhost:9080/dswsbobje/services/BICatalog?wsdl
http://localhost:9080/dswsbobje/services/Session?wsdl
http://localhost:9080/dswsbobje/services/ReportEngine?wsdl
http://localhost:9080/dswsbobje/services/SaveService?wsdl
http://localhost:9080/dswsbobje/services/Federator?wsdl
http://localhost:9080/dswsbobje/services/LiveOffice?wsdl
http://localhost:9080/dswsbobje/services/managequeryasaservice?wsdl
http://localhost:9080/dswsbobje/services/BIPlatform?wsdl
http://localhost:9080/dswsbobje/services/QueryService?wsdl
http://localhost:9080/dswsbobje/services/Publish?wsdl

I’ve looked at http://www.exploit-db.com and already tested with soapUI, sapyto, erpscan, w3af and other tools.

I have also created an environment for simulating receive information from webservices without success.

Has anyone experienced this or have any idea.

I can also make or brute-force DDoS.

I’ve read this paper, very well done:

http://spl0it.org/files/talks/source_barcelona10/Hacking%% 20SAP 20BusinessObjects.pdf

8 dias atrás (24-10-2012)
eu usei o conhecimento e citei a fonte que foi a Equipe do Rapid7 que palestrou na spl0it.org http://spl0it.org/files/talks/source_barcelona10/Hacking%% 20SAP 20BusinessObjects.pdf
mas aprofundei mais ainda em coisas que eles não viram  e eu acabei vendo.
Por se tratar de NDA e já entrei o pentest na segunda-feira 29/10/2012 (por sinal meu aniversário) e não produzi o artigo.
Ainda não falei com , temos um contato bom e comunicação legal e é lógico ele manja mais do que eu, mas já tive poucas oportunidades, devido o meu conhecimento perto do conhecimento dele, de falar algumas idéias e ele achar legal. Nada mais natural.
O que acho legal é que o cara manja muito e PhD e tal e é extremamente humilde.
Mas o que o artigo http://zeroknock.blogspot.in/2012/10/exposed-apache-axis-soap-objects.html tem haver com o pentest em SAP que terminei dia 29/10/2012? Simples, o SAP BO 3.1 XI for Linux (legado por sinal 2003/2004) usa o Apache com AXIS SOAP Objects para o consumo dos webservices.
Eu estava só esperando ter um tempo para criar um post e ele postou uma parte apenas do Apache, mas tem um post meu lá no linkedin e vou fazer novamente o ambiente e detalhar mais isso.
Vou avisá-lo logo que puder pois creio que nem ele e nem queríamos criar posts iguais ou parcialmente iguais um do outros, foi apenas uma coincidência de verdade.
Mas como pode-se ver, num dos foruns do linkedin postei perguntas de coisas que levam a isso, inclusive no proximo post nos proximos dias, vão ver que algumas coisas são iguais por usar o mesmo Apache AXIS, mas que tomam caminhos diferentes e como comecei a pesquisar a 3 semanas atrás, inclusive comentei superficialmente com c00ler o Maycon o que eu estava fazendo.
É uma pena não poder revelar o contéudo de um pentest coberto por NDA, mas consigo criar um ambiente similar e compartilhar as ideias aqui de como fiz.
@firebitsbr

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s