Llegados a esta publicación, habremos obtenido un listado de usuarios en el sistema de Odoo. Con este listado de usuarios prepararemos un vector de ataque. Ya que disponemos de un método de autenticación, podremos intentar hacer un ataque de fuerza bruta, para adivinar la clave de los usuarios en el sistema. Regularmente los usuarios utilizan claves simples de recordar, y los administradores de sistemas, en su mayoría, no fijan políticas de seguridad, para fijar contraseñas, de tal forma, que cumplan con un nivel de complejidad aceptado y no sean fáciles de adivinar, así como fijar una caducidad a las claves y no permitir usar contraseñas históricas.
Imagen 1: Obtención de clave para usuario interno.
Cabe mencionar, que el ataque de fuerza bruta, tardara en base a la complejidad de la clave fijada por el usuario, así mismo de la potencia del equipo. Una obtenido el usuario, procedemos a autenticarnos al sistema con el usuario interno, para verificar a que tenemos acceso con el nuevo usuario.
Imagen 2: Accediendo al sistema.
Imagen 3: Aplicaciones de Odoo, usuario interno.
Los modelos y vistas, así como los controladores, pueden limitarse por reglas de acceso, sin embargo, en muchas ocasiones muchos recursos están sin protección de lectura, incluso de escritura y en su mayoría, Odoo no te mostrada la información. Si embargo, para podemos jugar un poco el numero de acción. Las url están compuestas en su mayoría de esta forma: https://www.dominio.net/web#view_type=kanban&model=res.partner&action=814&menu_id=613 , action=814, es el numero de acción, cambiando numero podremos encontrar muchas cosas a las que visualmente seguramente no tendremos acceso.
Imagen 4: Contactos de Odoo - formato url action.
Si encuentras algo a lo que no tienes acceso, recibirás un error similar a este:
Imagen 5: Regla de seguridad, no permite acceder a recurso.
Odoo ofrece una manera fácil de localizar recursos, el cual se le conoce como buscador global, el cual lo localizas desde la vista principal de aplicación, buscas lo que necesitas, y te evitas algunos clicks, o te permite ubicar un recurso que no recordabas donde estaba ubicado, sin embargo, este no es útil al momento de ubicar recursos a los que no debes tener acceso, pero, si los tienes. Un ejemplo de esto, son los métodos de pago, si realizamos la búsqueda global, ocurrirá esto.
Imagen 6 : Búsqueda de métodos de pago por búsqueda global sin resultados.
Sin embargo al momento de realizar la búsqueda por medio de numero de acción, el resultado será completamente diferente.
Imagen 7: Búsqueda de métodos de pago por medio de action.
Imagen 8: Credenciales credomatic visibles y con permiso de escritura.
Continuando con la búsqueda de recursos, no protegidos, encontramos los parámetros del sistema, de estos, caben resaltar a mi criterio, usuario de base de datos, password de base de datos (estos se especifican en un archivo de configuración) que son usados por un modulo para hacer conexiones directas a la base de datos, el código enterprise de la empresa, ya que si este ultimo es utilizado en otra base de datos, pueden tener problemas, debido a que bloquean la base de datos, y esto no les permitirá operar con normalidad.
Imagen 9: Parámetros del sistema.
Imagen 10: Listado de usuarios.
Imagen 11: Cambiar clave de usuarios.
Dentro de las opciones disponibles, tenemos el poder cambiar las contraseñas de los clientes, así como exportar la información disponible.
Saludos,
LexerPars.
Atacando ERP Odoo I
Atacando ERP Odoo II
Atacando ERP Odoo III
Atacando ERP Odoo IV
Atacando ERP Odoo - Conclusión
No hay comentarios:
Publicar un comentario