Guatewares: Odoo hacking IV

sábado, 15 de enero de 2022

Odoo hacking IV

Continuando con nuestro script, ahora, agregamos una función que nos permita recuperar las aplicaciones instaladas en la instancia de Odoo, esto aun sin autenticarnos en el sistema. Cabe mencionar que no todas las instancias poseen esta información, como carácter publico.

Para ello, accederemos al recurso website/info, esta pagina es muy importante al momento de auditar una instancia de Odoo, puesto que ofrece un listado de aplicaciones instaladas, con nombre y url del autor, esto ofrece un repertorio de código que puede analizarse para determinar si existen aplicaciones inseguras, desde luego, siempre y cuando estas aplicaciones estén disponibles para descargar en internet.

El recurso anterior esta disponible, siempre y cuando exista una sola base de datos en el servidor, o bien, exista un filtrado de base de datos y el administrador tenga publico este recurso, o no permita listar las bases de datos, en caso contrario, no podrá ser accedido.

Para lograr esto, utilizaremos una función, que nos retorne esta información, apoyándonos de técnicas como web scraping.

Imagen 1: Función que obtiene aplicaciones instaladas.

Tras ejecutar el script, con un servidor alojando múltiples bases de datos, no obtendremos nada adicional, como vemos a continuación.

Imagen 2: Múltiples base de datos, no permite listar aplicaciones.

Y si no esta el recursos disponible, tendremos como resultado un 404, como se muestra a continuación.

Imagen 3: Not found, website/info.

Imagen 4: Listando aplicaciones instancia Odoo.

Como notamos, en los casos correctos, obtendremos el listado de aplicaciones instaladas en la instancia del servidor, con el cual ya tendremos información para verificar la seguridad de las aplicaciones. En las próximas entradas estaremos agregando mas funcionalidad al script, el cual puedes clonar, para testear.

Saludos.

Lexer Pars.