Home

Comandos de Ditraexto: https://sourceforge.net/p/ditraexto/wiki/Comandos/

Ditraexto es un proyecto creado con la finalidad de facilitar la explotación de sitios con la falla de Directory Path Traversal. La cual es una falla un tanto difícil de detectar pero que sin embargo cuando es detectado representa un peligro para el sitio o servidor afectado.

Esta falla de seguridad tiene muchísimas variantes desde niveles fáciles en su detección hasta fallas en el seteo de cookies o sesiones. La finalidad en todo caso de Ditraexto es la automatización de la obtención/ extracción de los archivos del servidor que nosotros le especifiquemos o de manera automatizada (siempre y cuando le digamos que lenguaje o patrón usar) busque en los archivos afectados.

Por ahora ha sido probado con sitios que utilizan paginas programadas en PHP sin embargo es posible extraer otros tipos de códigos siempre y cuando sean especificados desde consola o desde los archivos de configuración, los cuales son manejados para controlar las limitantes de detección del programa.

DITRAEXTO utiliza una pequeña técnica de crawling para la búsqueda iterativa y automatizada de archivos. Quiere decir que en un archivo que incluya sitios incrustados los analizara recursivamente, sin embargo si ese archivo no tiene incrustaciones entonces Ditraexto dará por finalizada la tarea y solo funcionara de manera manual. Deberás de especificar otro archivo a analizar.

Inspiración
La inspiración para desarrollar Ditraexto fue a mediados de noviembre de 2012 cuando se descubrió una falla peligrosa en una importante empresa de software que era la responsable a nivel mundial de lanzar una App para teléfonos móviles. Dicha falla me permitía acceder a todos sus archivos en el sistema, desde S.O (UNIX), hasta bases de datos. Fue demasiado divertido pero también fue demasiado arriesgado el descubrirlo.

Desde ese momento tenía la misión de reportar la falla a la empresa pero iba a ser demasiado tedioso extraer ficheros uno a uno, así que mi misión fue programar un software que me permita extraer los archivos de manera automatizada sin que yo intervenga para indicarle que ficheros bajar. Claro que tiene sus limitaciones. Además el software podría modificarse para admitir nuevos lenguajes o nuevas características. El crawler no debería parar a menos que no encontrara includes o que no existiera código importante para el atacante.

Limitations
There are some points that we need to keep in mind when we are going to use this tool for the first time:

• Ditraexto May be could not exploit a website because the method is not supported.

• Ditraexto was made for exploiting in a specific way.

• It cannot extract all the files in the vulnerable site.

• For new programming languages accepted you'll need to adapt the source code.

• For GNU/LINUX users, they have to modify the code, It is designed for Windows OS.

• Ditraexto was programmed by one developer.

• Back then that one developer was learning python

• May be the source code could be styled like other programming language.

• Actually I am improving the code for making more clear and suppressing redundant code.

Project Admins:

• Daniel Vera Morales

[Daniel Vera Morales]

Check: Directory Traversal Vulnerability (spanish) - using Ditraexto

http://www.youtube.com/watch?v=c_DD5kUtU6Q&feature=youtu.be

[Daniel Vera Morales]

Checa videos informacionales sobre DITRAEXTO:

http://www.codedevelopers.hol.es/item.php?id=31