domingo, 11 de febrero de 2018

[Netbiter][ICS/OT] API_KEY INDEXADA

Otro post dedicado a OT, (aunque sin hablar de vulnerabilidades en el sentido estricto de la palabra), dedicado al vendor NETBITER.

Netbiter cuenta con una API (rest/soap), que nos permite recolectar los datos del equipo (netbiter) que tengamos instalado (y previamente asociado/registrado al server ). 



api.netbiter.net

https://api.netbiter.net/operation/v1/soap?wsdl


Documentacion para trabajar con la API: http://apidocs.netbiter.net/

https://api.netbiter.net/operation/v1/rest/{xml|json}/project?accesskey={accesskey}

Operaciones permitidas:




El desafió esta en conseguir esa API_KEY, con la que ademas de leer podremos escribir:


La documentación oficial nos enseña que su longitud es de 32 caracteres y para un atacante bruteforcear sus posibilidades seguramente es algo que se descarta instantáneamente.

Probando un una apiKey incorrecta:




Hasta aca todo lindo. hasta que damos con una: 😈
API INDEXADA



NOOOOOOOOOOOOOOOOOOOOO


--------



Estos equipos cuentan con GPS y se me antoja saber en donde estan:






Ubiquemos estos puntos:











Saludos,
@capitan_alfa





No hay comentarios.:

Publicar un comentario