Qué es XORpass, Xorpresa tu WAF me da risa, charla de Daniel Púa

¿Para qué sirve la herramienta XORpass? XORpresa, tu WAF me da risa.

XORpass surge de esas pruebas de concepto (PoC), de ese tirar del hilo sobre algo que lanza alguien para un propósito pero se intenta ir más allá planteándose muchos ‘y si probara…‘ sin ni siquiera haber pensado ni explorado del todo las posibilidades que puede dar de sí por estar en contínua mejora. Vamos lo que pasa en el nacimiento de la mayoría de herramientas, que surgen de ideas que se llevan a la prueba-error en busca de vulnerabilidades y luego se comparten con la comunidad de manera abierta en busca de mejora.

La herramienta XORpass es un codificador para omitir filtros WAF mediante operaciones XOR que surge intentando hacer un bypass de WAF. Su creador es Daniel Púa y toda la información y la misma herramienta está disponible en este enlace de su repositorio en Git Hub.

Daniel Púa (@devploit) es investigador de ciberseguridad. Cuenta con varias certificaciones en materia de seguridad ofensiva (CEH, OSCE, …) y participa habitualmente en competiciones CTF tanto a nivel individual como con su equipo ripp3rs. Daniel explicó brevemente cómo había surgido la idea, su desarrollo primero en PHP y posteriormente en Python y dió algunos ejemplos de explotación de XORpass en una charla que compartió con la comunidad Hack&Beers en Valencia y que ya está disponible tanto en vídeo como en podcast al final de este artículo.

¿Por qué XORpass? ¿Qué es WAF? ¿Qué es una puerta lógica? ¿Qué es XOR?

Tras tomar el planteamiento de uno de los retos que formaban parte del CTF de las pasadas Jornadas de ciberseguridad BitUp surgió la idea de crear XORpass para hacer creer al WAF que le están pasando unos strings sin sentido para engañarle, que pase la barrera y así luego poder ejecutar funciones maliciosas en lenguaje PHP.

Tal y como hace Daniel en su charla en la que muestra brevemente algunos ejemplos de explotación de la herramienta, explico brevemente algunos conceptos que utiliza para romper esa XORpresa que viene en el título de su ponencia.

  • Un WAF (Web Application Firewall) es un dispositivo hardware/software que permite proteger los servidores de aplicaciones web de determinados ataques específicos en Internet. Es decir actúa de barrera, cuando llega un ataque esa petición se queda bloqueada por el WAF y las peticiones normales llegan al servidor destino.
  • Por string se entiende una cadena de caracteres en una secuencia ordenada de elementos en un determinado lenguaje de programación a modo de fórmula u oración.
  • Una puerta lógica es un circuito lógico de conmutación que a partir de interruptores booleanos proporcionan un resultado que es True o False. Entre los más habituales se encuentran los siguientes:
    • NOT: modifica el True a un False y a la inversa.
    • AND: da True cuando ambos valores son True.
    • NAND: lo contrario que la anterior.
    • XOR: Únicamente da True cuando los dos valores son diferentes dando igual el orden en el que estén y da False cuando los valores son iguales. En XORpass se centra tan solo en XOR.
    • OR: da True cuando uno de los valores da True.
    • NOR: lo contrario que la anterior.

En Palabra de hacker tienes una lista de reproducción con las charlas Hack&Beers que están disponible y para complementar esta charla recomiendo los vídeos ‘Desarrollo de código seguro‘, ‘¿Qué es OWASP? y ‘Herramientas en Python & OSINT para proyectos de seguridad‘.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «¿Qué es XORpass? XORpresa, tu WAF me da risa», «@id»: «https://www.yolandacorral.com/herramienta-xorpass/#videoobject», «datePublished»: «2020-08-23», «description»: «Probando cómo hacer un bypass de WAF surge XORpass un codificador para omitir filtros WAF mediante operaciones XOR de la mano de Daniel Púa en Hack&Beers.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/HackandBeers-herramienta_XORpass-WAP-canal-Palabra-de-hacker.jpg», «uploadDate»: «2020-08-23», «duration»: «PT11M0S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/tYNecCrAeKE» }

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.