viernes, 14 de enero de 2022

Odoo hacking III

 Como hemos observado con anterioridad, para fijar la conexión xmlrpc a Odoo, son importantes 3 cosas, el usuario, la clave y la base de datos, en nuestro script de Odoo hacking, tenemos el método listar base de datos directamente, sin embargo en muchos de los casos esto no es posible, debido a problemas de acceso, esto se debe a que el archivo de configuración tiene el parámetro db_list como False.

Sin embargo hay otro mecanismo para obtener el nombre de la base de datos, el cual se basa en registro y recuperación de contraseña, desde luego, no todas las implementación de Odoo tiene habilitado esto, usualmente se tiene disponible al tener tienda en lineal o ecommerce.

Agregaremos esta funcionalidad al script, para detectar cuando permita el poder registrarse como usuario de portal, en Odoo y tenga habilitado la recuperación de contraseña. 

Imagen 1: Funcionalidad para detectar registro y restablecimiento.

Con esto ya tendremos habilitado, la detección de esta información, si realizamos una prueba de esto, veremos el siguiente resultado.

Imagen 2: Odoo hacking, reflejando disponibilidad en ambos métodos.


Imagen 3: Odoo hacking, reflejando que no permite el registro de usuarios de portal.

Imagen 4: Odoo hacking, refleja que ninguno de los métodos, registro y recuperación. 

La ultima imagen, si bien es cierto, nos retorna el listado de las bases de datos, nos refleja que no dispone de los métodos de registro de usuarios de portal, y tampoco permite recuperar la contraseña de los usuarios. En este tipo de casos, se puede optar por realizar ataques de fuerza bruta, a los usuarios y contraseñas. Pero esto lo incluiremos mas adelante en el script.

Saludos.
Lexerpars.



No hay comentarios:

Publicar un comentario