martes, 4 de enero de 2022

Atacando ERP Odoo III

Anteriormente observamos como autenticarnos mediante xmlrpc, con un usuario de portal de Odoo, ahora procederemos a obtener información, concretamente trataremos de listar todos los usuarios internos del sistema.

Odoo se basa en la arquitectura MVC, por lo tanto, necesitamos obtener la información del modelo res.users, el cual contiene toda la información de los usuarios, realizaremos una llamada al procedimiento remoto fields_get, para obtener todos los campos y tratar de obtener la información que nos sea de utilidad.

Imagen 1: Obteniendo campos del modelo

Listamos todos los campos y concretamente, trataremos de obtener el campo login de los usuarios, esto es concretamente el correo electrónico con el cual se autentican.


Imagen 2: Listando usuarios de Odoo.

Al tratar de listar todos los usuarios, observamos que solo nos retorna 1 registro, en este caso, es nuestro usuario, ya que existe una regla de acceso que únicamente nos permite leer el registro que corresponde a nuestro usuario, en este caso, dejaremos este modelo y buscaremos en otro.

Un modelo importante, es mail,mail, este modelo registra todas las comunicaciones por correo electrónico realizadas automáticamente por el sistema, realizaremos una consulta, de todos los registros, para confirmar si tenemos acceso a lectura de todos los registros o únicamente donde este relacionado nuestro usuario.

Imagen 3: Búsqueda en modelo mail.mail

El resultado es una lectura de 48,618 registros, por lo tanto, en este caso, podremos leer todos los registros sin restricción. Nuevamente listamos los campos, para saber que información nos interesa obtener, en este caso, únicamente el campo email_to, la razón es fácil, obtendremos un listado de correos, tanto de clientes, proveedores, usuarios, etc. El objetivo es obtener los usuarios o correos de usuarios.


Imagen 4: Listado de campos de mail.mail.

Después de haber realizado la consulta, obtenemos un listado de usuarios internos, como se muestra a continuación.


Imagen 5: Listado de correo de usuarios internos.

En la próxima entrada prepararemos un vector de ataque, para acceder al sistema.

Saludos.
Lexer Pars.

Atacando ERP Odoo I

Atacando ERP Odoo II

Atacando ERP Odoo III

Atacando ERP Odoo IV

Atacando ERP Odoo - Conclusión 

No hay comentarios:

Publicar un comentario