File upload sin validación permite defacement

Aprende, paso a paso, cómo un defacement puede ejecutarse explotando una vulnerabilidad de file upload en DWA de Metasploitable 2. Verás cómo una web shell en PHP otorga control del servidor web y permite alterar el contenido de una página mediante la opción Deface It.

¿Qué es el defacement y cómo se relaciona con file upload?

Un defacement es la modificación no autorizada de la interfaz de un sitio. Suele afectar el archivo principal, como un index. Cuando una aplicación ofrece file upload para cargar imágenes pero no valida el tipo de archivo, subir un PHP ejecutable es posible. Si ese archivo puede localizarse y abrirse, se ejecuta en el servidor. La medida esencial: limitar estrictamente que el file upload acepte solo imágenes y reforzar filtros. Aun así, los filtros pueden bypassearse si no están bien implementados.

• Riesgo principal: ejecución de código en el servidor web.
• Vía de ataque: subir un PHP en lugar de una imagen.
• Objetivo típico: alterar el index y mostrar un deface personalizado.

¿Cómo se explota DWA en Metasploitable 2 con una web shell?

Se trabaja con Metasploitable 2 y su IP en el navegador. En DWA, tras iniciar sesión con usuario admin y contraseña password, se abre la sección de file upload. Aquí se carga una web shell en PHP llamada Danush y el sistema la acepta sin protección.

• Carga sin validación: el servidor confirma la ruta de subida.
• Localización del archivo: se navega por directorios hasta var/www/dwa/hackable/uploads/danush.php.
• Acceso a la web shell: interfaz con login por defecto (usuario y contraseña danush) editable en el código.

Dentro de Danush, se observa el contexto de trabajo: el current directory indica var/www/dwa/hackable/uploads. La interfaz lista archivos, permisos, owner, grupo y fecha de modificación, además de permitir renombrar o descargar.

• Navegación por el sistema: hackable, dwa, www, var, home.
• Herramientas disponibles: crackear panel, enviar email, realizar ataques de denegación de servicio, descargar y ejecutar un exploit para escalar privilegios, conectarse a una shell con NetCat.
• Impacto: la web shell permite control operativo del servidor web y facilita acciones posteriores.

¿Cómo realizar el defacement del index con Danush?

Desde Danush se entra a hackable y luego a la sección de vulnerabilidades. En upload se identifica el archivo index.php. Danush resalta automáticamente los index y habilita el enlace Deface It. Al activarlo, el sistema confirma que el deface fue exitoso y, al recargar la página de DWA en file upload, se visualiza el deface personalizado: ejemplo con Nyan Cat y el mensaje “Pwned by Red Tech”.

• Identificación automática: index.php se presenta con la opción Deface It.
• Ejecución inmediata: el deface se aplica al recargar la página.
• Resultado visible: reemplazo del contenido del index por el diseño malicioso.

Este flujo evidencia por qué la vulnerabilidad es crítica: subir una web shell habilita desde un defacement hasta la toma de control completa del sistema. Con Danush se podría conectar a Metasploit o a NetCat, cargar un exploit local y elevar privilegios más allá del servidor web. Aunque aquí fue sencillo por la falta de filtros, incluso sistemas con protección parcial pueden ser saltados si la validación es débil.

¿Te gustaría profundizar en técnicas para bypassear filtros de file upload y llevarlo a un entorno más real? Deja tu comentario. Próximamente: técnicas de file inclusion local y remota.