Usando Soap para testar os webservices do SharePoint

O SoapUI é uma ótima ferramenta de código aberto que permite que você execute seu próprio SOAP XML em um serviço da web e veja os resultados voltar da interface SoapUI. Eu uso o SoapUI em alguns projetos que envolveram sistemas de SharePoint para emitir dados a uma lista do sharepoint. Eu não sou um especialista em Soap, mas pensei em compartilhar minhas poucas aprendizagens.

Primeiro, faça o download SoapUI .

1)Vá ate a opção SOAP

sopa01

 

2)Adicione o Local do WSDL. Você pode acessar um serviço da Web do SharePoint através de: <site> / _ vti_bin / <web service>. No meu exemplo, estaremos usando o lists.asmx: <site> / _ vti_bin / lists.asmx. Para acessar o WSDL, basta adicionar “? Wsdl” ao final. Como resultado seu local WSDL deve ser <site> / _ vti_bin / lists.asmx? Wsdl

 

Vamos supor que seu site sharepoint se chame https://meusharepoint.com

Então você deverá colocar https://meusharepoint.com/_ vti_bin / lists.asmx? Wsdl

sopa02

3)SoapUI fornece um modelo para o POST, mas você precisará adicionar mais informações. Você pode obter um exemplo e uma explicação adicional de cada tag do site MSDN.

4)Após fazer o passo 2 corretamente, você deverá ver no menu do lado esquerdo várias funções.

Eu por exemplo , se quisesse pegar as informações dos usuários, usaria a função GetUserInfo:

POST /_vti_bin/UserGroup.asmx HTTP/1.1 Host: https://meusharepoint.com Content-Type: text/xml; charset=utf-8 Content-Length: length SOAPAction: “http://schemas.microsoft.com/sharepoint/soap/directory/GetUserInfo&#8221; <?xml version=”1.0″ encoding=”utf-8″?> <soap:Envelope xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance&#8221; xmlns:xsd=”http://www.w3.org/2001/XMLSchema&#8221; xmlns:soap=”http://schemas.xmlsoap.org/soap/envelope/”&gt; <soap:Body> <GetUserInfo xmlns=”http://schemas.microsoft.com/sharepoint/soap/directory/”&gt; <userLoginName>string</userLoginName> </GetUserInfo> </soap:Body> </soap:Envelope>

Onde no lugar de string eu informaria o login name. E no HOST, é o endereõ do seu seu Sharepoint.

Ao brincar com as diversas funções que ali existem talvez seja possível obter dados valiosos em um teste.

 

Anúncios

Pentest em Sharepoint – Listas de URLs interessantes

Algumas vezes você quer pular diretamente para uma lista de sistema específica, página ou ir para o modo de edição em um site do SharePoint 🙂 . Vou deixar uma lista de URLs que é obrigatória para quem avalia as implantações do Microsoft SharePoint, permitindo identificar rapidamente buracos nas permissões de acesso de usuários que permitem que usuários não autenticados acessem as páginas administrativas do SharePoint.

OBS: para o SharePoint 2013, 2016 você tem que adicionar “15”, “16”, respectivamente, após “/ _layouts /”. Alguns destes estão desligados No Office 365 (SharePoint on-line).

DICA: Configurar as URLs abaixo no Intruder do BURP e fazer um bruteforce para ver quais funcionam! (não vou entrar aqui no detalhe de como se configura!)

Recycle bin:

/_layouts/15/AdminRecycleBin.aspx

Recycle bin:

/_layouts/RecycleBin.aspx

Recriar o default site sp groups:

_layouts/15/permsetup.aspx

Carregar documentos da tab inicial

?InitialTabId=Ribbon.Document

Apagar um usuário do Site collection (on-premises):

/_layouts/15/people.aspx?MembershipGroupId=0

Mostrar a lista como grid view. ‘True’ em case sensitive:

?ShowInGrid=True

Configurações rápidas da página :

/_layouts/quiklnch.aspx

Configurações de navegação :

/_layouts/15/AreaNavigationSettings.aspx

Sandboxed Solution Gallery:

/_catalogs/solutions/Forms/AllItems.aspx

Histórico de Workflow:

/lists/Workflow History

Filtrar por listas :

?Filter=1

Dados de uso do site :

/_layouts/usage.aspx

Conteúdo e estrutura do site:

/_layouts/sitemanager.aspx

Configurações do site:

/_layouts/settings.aspx

Ver todo o conteúdo do site(Site content):

/_layouts/viewlsts.aspx

Gerenciar as features do site – CASE SENSITIVE:

/_layouts/ManageFeatures.aspx?Scope=Site

Gerenciar as features do site 2

/_layouts/ManageFeatures.aspx

Pegar a versão do SharePoint server (Patch level):

/_vti_pvt/Service.cnf

Web Part Página de manutenção :

?Contents=1

Mostrar a página no modo Dialog View:

?isdlg=1

Registrar apps no SharePoint:

/_layouts/15/appregnew.aspx

Salvar o site como template:

/_layouts/savetmpl.aspx

Se loggar com usuário diferente:

/_layouts/closeConnection.aspx?loginasanotheruser=true

Habilitar o modo designer no SharePoint:

/_layouts/SharePointDesignerSettings.aspx

Página de Boas Vindas (Default page settings):

/_layouts/AreaWelcomePage.aspx

Mudar a página Master:

/_layouts/ChangeSiteMasterPage.aspx

Layouts e Templates:

/_Layouts/AreaTemplateSettings.aspx

Biblioteca da página Master:

/_catalogs/masterpage/Forms/AllItems.aspx

Quick Deploy:

Quick%20Deploy%20Items/AllItems.aspx
Abrir a página no modo editável:

?ToolPaneView=2

Página de Taxonomia (MMS):

Lists/TaxonomyHiddenList/AllItems.aspx

Lista de informações dos usuários:

_catalogs/users

_catalogs/users/simple.aspx

Forçar a mostrar o user profile no site:

/_layouts/userdisp.aspx?id={UserID}&Force=True

Hierarquia do site (lists of sub sites):

/_layouts/vsubwebs.aspx

/_layouts/1033/vsubwebs.aspx

Ajuda:

/_layouts/help.aspx

Mobile:

/_layouts/mobile/mbllists.aspx

Documentos compartilhados:

/shared documents/forms/allitems.aspx

Estrutura do site e logs:

/_Layouts/SiteManager.aspx?lro=all

Usuarios e Grupos:

/_layouts/people.aspx
/_layouts/people.aspx?MembershipGroupId=0
/_layouts/groups.aspx
/_layouts/user.aspx
/_layouts/role.aspx

Adicionar usuário:

/_layouts/aclinv.aspx

Procurar no AD:

/_layouts/picker.aspx

Novo Grupo:

o /_layouts/newgrp.aspx

Create (General):

/_layouts/create.aspx

Create New SharePoint SubSite:

/_layouts/newsbweb.aspx

New basic page

/_layouts/bpcf.aspx

Site Directory Settings:

/_layouts/SiteDirectorySettings.aspx

Site Collection Policies

/_layouts/Policylist.aspx

 

Add/Remove Site Collection Administrators:

/_layouts/mngsiteadmin.aspx

Storage Space Allocation Management

/_layouts/storman.aspx

Web Services:

/_vti_bin/Admin.asmx
/_vti_bin/alerts.asmx
/_vti_bin/people.asmx
/_vti_bin/Permissions.asmx
/_vti_bin/Lists.asmx
/_vti_bin/dspsts.asmx
/_vti_bin/UserGroup.asmx
/_vti_bin/webpartpages.asmx
/_vti_bin/search.asmx
/_vti_bin/forms.asmx
/_vti_bin/versions.asmx
/_vti_bin/webs.asmx
/_vti_bin/Views.asmx

/_vti_bin/AreaService.asmx
/_vti_bin/BusinessDataCatalog.asmx
/_vti_bin/ExcelService.asmx
/_vti_bin/SharepointEmailWS.asmx
/_vti_bin/spscrawl.asmx
/_vti_bin/spsearch.asmx
/_vti_bin/UserProfileService.asmx
/_vti_bin/WebPartPages.asmx

SharePoint DISCO Web Services List

/_vti_bin/spsdisco.aspx

 

Se precisarem, criei um TXT com as URLS acima e uma lista com muitas outras URLs (mais de 100)

Sharepoint_URLS.txt

 

 

 

Morpheus – Automated Ettercap TCP/IP Hijacking Tool

Morpheus.png

O framework Morpheus automatiza as tarefas de manipulação de pacotes tcp / udp usando filtros do ettercap para manipular as solicitações / respostas de destino sob ataques MitM substituindo o conteúdo do pacote tcp / udp pelo nosso conteúdo antes de encaminhar o pacote para o host de destino …

workflow:
1º – attacker -> arp poison local lan (mitm)
2º – target   -> requests webpage from network (wan)
3º – attacker -> modifies webpage response (contents)
4º – attacker -> modified packet its forward back to target host
Morpheus vem com alguns filtros pré-configurados, mas permitirá aos usuários melhorá-los quando começar o ataque (morpheus scripting console). No final do ataque morpheus irá reverter o filtro de volta ao estágio padrão, isso permitirá aos usuários melhorar os filtros em tempo de execução sem o medo de mexer com a sintaxe do comando filtro e estragar o filtro.

“Perfeito para fãs de scripting testar com segurança novos conceitos” …

Morpheus vem com uma coleção de filtros para realizar várias tarefas: substituindo imagens em páginas da Web, substituir texto em páginas da web, injete cargas usando html <form> tag, ataques de negação de serviço, Ataques de downgrade https / ssh, redirecionar o tráfego do navegador de destino para outro domínio e lhe dá a capacidade de compilar seu filtro a partir do zero com o framework morpheus (opção W).

“Os filtros podem ser estendidos usando as línguas do navegador como: javascript, css, flash, etc” …

Download: https://github.com/r00t-3xp10it/morpheus
Fonte: Kitploit

Kautilya: Transformando seu Teensy (HID) em um hacking toolkit

Kautilya é um hacking toolkit para dispositivo de interface humano  que fornece várias cargas úteis para HIDs que podem ajudar durante os testes de penetração.

kautilya-human-interface-device-hacking-toolkit-640x436

As cargas e módulos do Windows são escritos principalmente em powershell (em combinação com comandos nativos) e foram testados no Windows 7 e Windows 8. Em principal, o Kautilya deve trabalhar com qualquer HID capaz de atuar como um teclado. Kautilya foi testado em Teensy ++ 2.0 e Teensy 3.0 de pjrc.com.

Payloads Available

Windows

  • Gather
    • Gather Information
    • Hashdump and Exfiltrate
    • Keylog and Exfiltrate
    • Sniffer
    • WLAN keys dump
    • Get Target Credentials
    • Dump LSA Secrets
    • Dump passwords in plain
    • Copy SAM
    • Dump Process Memory
    • Dump Windows Vault Credentials
  • Execute
    • Download and Execute
    • Connect to Hotspot and Execute code
    • Code Execution using Powershell
    • Code Execution using DNS TXT queries
    • Download and Execute PowerShell Script
    • Execute ShellCode
    • Reverse TCP Shell
  • Backdoor
    • Sethc and Utilman backdoor
    • Time based payload execution
    • HTTP backdoor
    • DNS TXT Backdoor
    • Wireless Rogue AP
    • Tracking Target Connectivity
    • Gupt Backdoor
  • Escalate
    • Remove Update
    • Forceful Browsing
  • Manage
    • Add an admin user
    • Change the default DNS server
    • Edit the hosts file
    • Add a user and Enable RDP
    • Add a user and Enable Telnet
    • Add a user and Enable Powershell Remoting
  • Drop Files
    • Drop a MS Word File
    • Drop a MS Excel File
    • Drop a CHM (Compiled HTML Help) file
    • Drop a Shortcut (.LNK) file
    • Drop a JAR file

Misc

  • Browse and Accept Java Signed Applet
  • Speak on Target

Linux

  • Download and Execute
  • Reverse Shells using built in tools
  • Code Execution
  • DNS TXT Code Execution
  • Perl reverse shell (MSF)

OSX

  • Download and Execute
  • DNS TXT Code Execution
  • Perl Reverse Shell (MSF)
  • Ruby Reverse Shell (MSF)

Usage

Execute kautilya.rb e siga os menus.

Kautilya pede suas entradas para várias opções. A carga gerada é copiada para o diretório de saída do Kautilya.

Você pode fazer o download do Kautilya aqui:

Kautilya-v0.5.5.zip

Or read more here.

Brincando com compartilhamentos – Parte 01

Aqui alguns comandos básicos mas que ajudam muito, e como eu ando com a memória ruim, roubei essa dica já meio pronta de outro blog, achei legal, e to compartilhando!

Testar compartilhamentos abertos/445

Liste os compartilhamentos com smbclient -L 1.2.3.4

root@localhost:~# smbclient -L 1.2.3.4
Enter root’s password:
Anonymous login successful
Domain=[MSHOME] OS=[VxWorks] Server=[NQ 4.32]
        Sharename       Type      Comment
        ———       —-      ——-
        IPC$            IPC
        MEMORY_CARD     Disk      FLASH MEMORY PHOTO
Anonymous login successful
Domain=[MSHOME] OS=[VxWorks] Server=[NQ 4.32]
        Server               Comment
        ———            ——-
        Workgroup            Master

 

        ———            ——-
Tente se conectar ao compartilhamento
root@localhost:~# smbclient \\\\1.2.3.4\\MEMORY_CARD
Enter root’s password:
Anonymous login successful
Domain=[MSHOME] OS=[VxWorks] Server=[NQ 4.32]
tree connect failed: NT_STATUS_ACCESS_DENIED
Boo
Quando funciona:
root@localhost:~# smbclient \\\\2.3.4.5\\MDMLOAD
Enter root’s password:
Anonymous login successful
Domain=[DEMO] OS=[Unix] Server=[Samba 3.6.23-20.el6]
smb: \> l
  .                                   D        0  Wed Nov  4 02:42:15 2015
  ..                                  D        0  Mon Oct 12 20:38:40 2015
  input.csv                           A     2024  Mon Nov  2 22:13:18 2015
59400 blocks of size 2097152. 19612 blocks available

enum4linuxajuda quando você tem uma quantidade boa de compartilhamentosou se você quiser fazer algo mais especifico e rápido. -S para verificar compartilhamentos, ou -a para varrer tudo.

root@localhost:~/enum4linux-0.8.9# perl enum4linux.pl -S 3.4.5.6
Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Tue Dec 15 22:34:52 2015
 ==========================
|    Target Information    |
 ==========================
Target ……….. 3.4.5.6
RID Range …….. 500-550,1000-1050
Username ……… ”
Password ……… ”
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none
 ==========================================
|    Share Enumeration on 3.4.5.6    |
 ==========================================
Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.12]
Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.12]
        Sharename       Type      Comment
        ———       —-      ——-
        www             Disk      Public Stuff
        IPC$            IPC       IPC Service (Samba Server Version 4.1.12)
        Server               Comment
        ———            ——-
        Workgroup            Master
        ———            ——-
[+] Attempting to map shares on 3.4.5.6
//3.4.5.6/www     Mapping: OK, Listing: OK
//3.4.5.6/IPC$    Mapping: OK     Listing: DENIED
enum4linux complete on Tue Dec 15 22:35:09 2015
root@localhost:~# smbclient \\\\3.4.5.6\\www
Enter root’s password:
Anonymous login successful
Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.12]
smb: \> ls
  .                            DR        0  Sat Dec 12 14:23:20 2015
  ..                            D        0  Thu Oct  8 11:53:20 2015

 oops                           D        0  Fri Nov 27 17:38:04 2015
—SNIP—

Quer fazer o download de uma pasta?

root@localhost:~# smbget -R smb://3.4.5.6/www/oops
Username for www at 3.4.5.6 [guest]
Password for www at 3.4.5.6:
Using workgroup WORKGROUP, guest user
smb://3.4.5.6/www/oops/images/defaultpic.gif  smb://3.4.5.6/www/oops/images/ad2.jpg
—SNIP—

enum4liux ajuda muito no teste interno, ele tenta enumerar os domain SID, se obtiver sucesso ele faz um brute force do SID para enumerar todos os SIDs/user accounts do dominio.

Abra paginas no computador de outra pessoa com extensão do Chrome

Shove é uma extensão do Google Chrome que permite abrir à força as abas do navegador no computador do seu amigo. Esta extensão certamente visa tornar a internet um mais horripilante, lugar ainda mais louco.

Mas, você não precisa se assustar, pois isso é uma coisa estritamente normal. Isto significa que você e seu amigo – ambos têm de concordar em instalar a extensão Chrome para lançar a fúria em computadores uns dos outros. Mas, instalá-lo no PC do seu amigo em seu / sua ausência é sempre uma opção  😉

Uma vez que os usuários concordam em usar a extensão Shove, eles podem abrir links em cada um dos outros navegadores Google Chrome qualquer hora e bombardear uns aos outros com videos bizarros do Youtube, ou até mesmo páginas falsas.

Na verdade, esta extensão do navegador é feito para compartilhar links rapidamente e iniciar uma conversa na forma de vídeos, músicas e GIFs em vez de chats.

Download aqui