Noviembre 20, 2016

Ejército Nacional Bolivariano SQL Injection Full Disclosure

Emails y Contraseñas del Ejército Nacional Bolivariano

Siguiendo la misma línea del artículo acerca de la Fuerza Aérea de Venezuela, el trasfondo de todo es cuestionar la seguridad o las políticas de seguridad que una institución militar tiene. En el caso del Ejército Nacional Bolivariano, el contexto es muy especial, ya que se trata de la fuerza armada de uno de los Gobiernos socialistas más controversiales de la historia.

Por lo general, se muestran al mundo como gobiernos libertarios, humanistas, y militarmente fuertes, intrépidos, tecnológicos y vanguardistas pero, la realidad nos enseña otra cosa. ¿Qué tipo de ciberguerra la República Bolivariana de Venezuela es capaz de responder? ¿Cuál es el nivel de sus equipos humanos para publicar y mantener de manera segura, bajo líneas militares obvias, algo tan sencillo como el sitio web y el servidor oficial de su intitución?

Ejército Nacional Bolivariano

En este caso particular, vemos una gran cantidad de aplicaciones web en desuso:

Ejército Nacional Bolivariano

Ejército Nacional Bolivariano

Ejército Nacional Bolivariano

Ejército Nacional Bolivariano

Ejército Nacional Bolivariano

A esto debemos agregar un listado completo de directorios, el cual permite navegar y revisar en detalle cada uno de los archivos y aplicaciones web para lograr encontrar alguna vulnerabilidad:

Ejército Nacional Bolivariano

SQL Injection Método Post Ejército Nacional Bolivariano

Finalmente, tras revisar algunas de las aplicaciones web en desuso, es posible encontrar variadas formas de inyección SQL. En nuestro caso, realizamos una prueba, la cual nos permite obtener todas las bases de datos del servidor, incluyendo, los usuarios, emails, y contraseñas del Ejército Nacional Bolivariano y el Ministerio de Defensa de Venezuela:

Ejército Nacional Bolivariano

Para mayor detalle, vemos a grosso modo, cómo de manera muy sencilla, es posible penetrar en el servidor web del ejército:

Estas vulnerabilidades fueron reportadas el CERT del Gobierno de Venezuela, así como al Ejército Nacional Bolivariano.

Skin Color
Layout Options
Layout patterns
Boxed layout images
header topbar
header color
header position
CONTACTO
×
Hola, soy Joshua. ¿Cómo estás? Haz click en el botón verde de abajo si deseas hablar conmigo directamente en WhatsApp Web... :)