New to site?


Login

Lost password? (X)

Already have an account?


Signup

(X)

Rafael Rivera

Rafael Rivera

Rafael Rivera, CTO de ITCon, dará su ponencia en SecAdmin 2019 Cybersecurity Conference.
18
Oct 2019

0-Day en Flexygo Desarrollo y Pentesting

Flexygo es un framework para el desarrollo rápido de aplicaciones web, desarrollado por la empresa valenciana AHORA SOLUCIONES, el objetivo de esta charla es analizar paso a paso el bug encontrado en el controlador Upload. Este es utilizado por el webcomponent Upload para subir información relacionada con un objeto, pero este no es capaz de validar las extensiones de los archivos que se suben ni tampoco la ruta donde se almacena, pudiendo crear estos archivos en cualquier parte de la aplicación.

El desarrollo de esta investigación nos llevará a decompilar las librerías de Flexygo, regenerar la información de la dll para poder analizar el código fuente, crear una WebShell modificada para evadir el AV, generar una prueba de concepto con BurpSuite y posteriormente escribir en python un exploit funcional para poder obtener el control del servidor.

Finalmente puntuaremos nuestro exploit utilizando el Common Vulnerability Scoring System Calculator y de esta forma conocer el impacto del mismo.

Tags: