Integrando A2 (A2softwaay) con PHP para hacer consultas desde un servidor Web

El siguiente articulo lo hago ya que he notado que existe muy poca información en la red al respecto, y muchas personas tienen la necesidad de integrar su sistema administrativo a cualquier modulo o desarrollo externo y no saben por donde empezar. 

Inicialmente, debemos tomar en cuenta que el sistema administrativo utiliza como "motor de base de datos" el DBISAM de Elevatesoft, "motor" no muy conocido para mi y que honestamente me pareció bastante primitivo, pero bueno, no es mi problema criticar las decisiones de sus desarrolladores. Como es el caso de todo motor nuevo que vayamos a implementar, debemos descargar los drivers ODBC. En el siguiente archivo dejaré todo lo necesario para que puedan iniciar con la instalación, adicionalmente incluyo el sistema de gestión para el DBISAM llamado DBSYS, con el mismo se pueden visualizar por interfaz y no por consola las tablas y realizar modificaciones de forma demasiado sencilla (en serio, demasiado).  

DRIVER Y DBSYS 

Una vez descargado el paquete, debemos descomprimir (obviamente) e instalar el driver. Una vez instalado, debemos ejecutar el administrador de orígenes de datos de ODBC (pulsando windows + R Y odbcad32) claro, esto depende de tu sistema operativo y de su arquitectura. 

La ventana que debes ver es la siguiente:

Una vez allí, debes darle click en agregar, y como previamente ya instalaste el driver ODBC este ya debe aparecer en tu lista, al seleccionarlo debes hacer click en finalizar.

 En la siguiente ventana, deberás asignar un nombre a la conexión

 Lo que sigue es bastante importante, debes seleccionar si las operaciones (CRUD) se harán de forma local o a un servidor especifico. 

 Lo que sigue es configurar la ruta en donde se encuentran las tablas de nuestra instalación de a2 (las tablas que queremos trabajar). Generalmente, dependiendo de en donde esté la instalación, la ruta deberá ser algo así: C:\a2Softway\Empre001\Data

 Las siguientes ventas son configuraciones adicionales un poco más especificas, puedes dejarlas por defecto siempre y cuando no tengas un requerimiento muy grande. En cualquier caso, si tienes alguna duda puedes dejarla en los comentarios.

 Al final del proceso verás el nombre que le asignaste a tu conexión y listo, teóricamente ya puedes hacer operaciones sobre la base de datos.

Realizando las consultas

El siguiente paso obviamente será verificar si tu conexión está funcionando realizando las consultas desde el lenguaje de tu preferencia. En este momento, asumiré que poseer conocimientos decentes en informática (ya que intentas realizar operaciones sobre una base de datos con un lenguaje y un modulo externo) las ventajas de realizar operaciones sobre estas tablas son infinitas, va de acuerdo a los requerimientos de tu desarrollo las tablas que quieras tocar. En este ejemplo específicamente realizaré una consulta utilizando PHP, en mi caso. Sin embargo, la estructura es muy similar en cualquier lenguaje que necesites emplear, lo que necesitas es:

1.- Un conector: en el caso de php es la variable $db igualada al método de conexión odbc_connect. Los parámetros iniciales del método deben permanecer, el resto representa la ruta, el usuario y la contraseña. En mi caso, estoy utilizando un servidor local xampp, por ello la ruta se dirige al servidor. Adicionalmente, mi conexión DBISAM no tiene clave. Esto es muy importante, ya que puede generar errores, por ello ese campo está en blanco.

$db = odbc_connect("DRIVER={DBISAM 4 ODBC Driver};ConnectionType=Local;CatalogName=c:/xampp/Data/;","admin","");

2.- Una consulta: La consulta ejemplo apunta a la tabla Sclientes del A2. Pide los campos FC_CODIGO, FC_DESCRIPCION, FC_TIPO, Que representan la cedula, el nombre del cliente y el tipo. Cabe destacar, que la variable "$cedula" se obtiene de un metodo _POST HTML, la misma puede ser modificada por el campo requerido para la consulta a gusto de cada quien. 


$res = odbc_exec($db,"SELECT FC_CODIGO, FC_DESCRIPCION, FC_TIPO, FROM Sclientes WHERE FC_CODIGO = '$CEDULA';");


3.- Un resulset: Es básicamente el arreglo que contiene los resultados de la consulta. En el caso de esta consulta, debe traer la lista de todos los clientes en la base de datos, con su nombre, cedula y tipo.


echo odbc_num_rows($res)." rows found"; while($row = odbc_fetch_array($res)) { print_r($row); }


Como ya he dicho, estos son los ingredientes básicos para poder realizar operaciones sobre tablas de A2 y cualquier sistema que utilice como motor el DBISAM, y en términos generales con cualquier motor sigue el mismo esquema. Los fragmentos del código utilizado están totalmente verificados y operativos, ya queda por parte del programador su correcta implementación. 

Finalmente, les dejo el código completo del proyecto, estoy seguro que como inicio será de mucha utilidad para los que intenten integrar A2 con cualquier otro tipo de sistema. Recuerden que lo actual, es una consulta web, por lo tanto el codigo contiene fragmentos de HTML, PHP e invocaciones a CSS externos que le dan estilo, las validaciones y el resto queda de su parte desarrollarlas. 

DESCARGAR PROYECTO

Leer completo..

CocodriloChat: Chat en JAVA old school empleado Sockets e Hilos

El siguiente es un proyecto que realicé hace unos cuantos años en la universidad. Básicamente la idea era desarrollar un chat estable y multiplataforma, que permitiese múltiples conexiones a través de un servidor que estaba (en ese momento) hospedado en mi casa con un DNS dinámico. 

El proyecto todavía se puede mejorar, de hecho las últimas modificaciones tenían como objetivo la inclusión de emoticonos y ya los paquetes están creados. Creo que le puede ser de mucha utilidad a estudiantes y a personas que estén iniciando (o bueno, ya esto es un nivel medio-avanzado) en el mundo de la programación. De igual forma, les dejo la descripción del proyecto y como siempre, cualquier duda al momento de compilar o modificar pueden dejarla en los comentarios. 

CocodriloChat: Idea del Proyecto

La motivación para la realización de este proyecto es aumentar nuestros conocimientos en el manejo del lenguaje de programación, además de implementar el manejo de nuevos métodos y clases que no se han dado en el contenido de la carrera tales como Los Sockets e Hilos dentro de JAVA.

La implementación del programa servidor sigue las siguientes ideas:

1. Se inicia el servidor
2. El servidor se mantiene escuchando cualquier petición de un cliente para conectarse.
3. El servidor acepta al cliente.
4. El servidor lanza un hilo de comunicación con el cliente.
5. Por el hilo se envían y reciben mensajes a través del servidor entre todos los clientes.
6. Si el cliente cierra la comunicación el hilo se rompe y se corta la comunicación con ese cliente.

Para esto se ha empleado objetos de la clase ServerSocket y Socket para el servidor y cliente respectivamente que permiten la conexion entre cliente y servidor mientras que los Hilos sirven para hacer que el servidor se mantenga escuchando y no interrumpa su proceso mientras los clientes se comunican a través de mensajes.

A continuación unas definiciones:

Sockets: Los sockets no son más que puntos o mecanismos de comunicación entre procesos que permiten que un proceso hable ( emita o reciba información ) con otro proceso incluso estando estos procesos en distintas máquinas. Esta característica de interconectividad entre máquinas hace que el concepto de socket nos sirva de gran utilidad.

 
Hilos: Un hilo es un flujo de ejecución de código, y mediante hilos, podemos hacer que nuestros programas aparentemente realicen varias tareas al mismo tiempo.Por ejemplo, un código podría interaccionar con el usuario mientras realiza tareas de segundo plano de gran consumo de tiempo.Los hilos separados realmente no se ejecutan al mismo tiempo(a menos que se tenga una maquina multiprocesador); en realidad cada hilo obtiene secuencias de tiempo del mismo procesador.

Capturas: 

Pantalla de conexión 

Interfaz del chat

Selección de Avatares

Consola del servidor

 Descargar proyecto para netbeans 

Leer completo..

Explotando Vulnerabilidades en los laboratorios de URBE

Lo siguiente que voy a describir en las próximas lineas, es la forma de explotar vulnerabilidades para la ejecución de comandos a través de la RED. Específicamente, éste caso practico se aplicó en los laboratorio de la Universidad Dr. Rafael Belloso Chacín (URBE). Es algo bastante básico, sin embargo demuestra la posibilidad de atacar diferentes entidades si no existe una correcta auditoria de seguridad dentro del esquema de red.

Aspectos iniciales: 

Para la ejecución de comandos en red es necesario poseer privilegios administrativos, algo que realmente no es difícil de obtener si el atacante sabe utilizar bien sus recursos. Para la obtención de las contraseñas administrativas existen varios métodos, uno de ellos es la ingeniería social, pero si tienes acceso a un computador dentro del dominio de red, todo será mucho más sencillo, utilizando un rubber ducky con los comandos adecuados o como mi caso, con una distro especifica para crackear contraseñas booteada desde un disco USB. 

En esta ocasión utilicé una imagen de Ophcrack en un pendrive y durante una clase obtuve acceso a todas las contraseñas registradas en el sistema. 

NOTA: En muchos casos prácticos, no será tan fácil ya que bajo entornos bien administrados, el BIOS no estará habilitado para bootear desde USB o simplemente estará bloqueado (pulsando F12 se va a forzar a las opciones de booteo), pero ya será cuestión de intentar con otras herramientas, si el sitio en particular posee una red WIFI abierta, ya tendríamos que ejecutar un ataque Man in the middle desde un equipo nuestro, empleando DNS spoofing con cualquier otra herramienta como Kali linux o WifiSlax. 

NOTA 2: Si el BIOS se encuentra bloqueado, con abrir el case del computador y quitarle la pila ya solucionas (hombre, existen soluciones para todo).

Ya con privilegios administrativos

Tener privilegios administrativos dentro de la red de una organización te genera un amplio abanico de posibilidades. En mi caso, mi intención era totalmente ética y a modo de broma solo me interesaba apagar ordenadores (especialmente a ciertos profesores) o colapsar un poco la red. El formato el comando para apagado en red es el siguiente: 


shutdown -s -f -m \\192.168.0.2 -t 0



¿Algo bastante sencillo no? Puedes hacer la prueba desde CMD. Pero ten en cuenta, que si la cuenta no posee privilegios obtendrás el siguiente mensaje: 

Muy bien, ahora que sabemos que nuestra cuenta tiene la opcion de apagar equipos en red, vamos a automatizarlo. 

Ejecutar comandos desde la consola quita mucho tiempo, además, si intentas hacer alguna fechoría, en general tendrás poco tiempo. Lo que hice fue una aplicación en java para poder realizar una ejecución masiva o especifica de un computador. Los laboratorios en URBE tienen máximo 32 computadoras, el método pide al usuario el nombre del laboratorio y el rango de donde a donde desea apagar. Acá dejo el método para que tengan una idea: 

public static void apagar(){ //exec("shutdown -s -t 3600"); String lab = JOptionPane.showInputDialog("Ingrese el laboratorio"); String dato; int num; dato = JOptionPane.showInputDialog("Ingrese a partir de que maquina"); num = Integer.parseInt(dato); JOptionPane.showConfirmDialog(null, "¿Seguro deseas apagar los equipos seleccionados?"); String barra= "\\\\"; while (num < 32) { exec("shutdown -s -f -m "+barra+""+lab+"-"+num+++" -t 0"); System.out.println("shutdown -s -f -m "+barra+""+lab+"-
"+num+++" -t 0"); }

Interfaz:  

4 opciones, y una interfaz bastante sencilla

Únicamente con ingresar la IP o el nombre del equipo se logra apagar

Comentarios finales: 

Muchos de ustedes se preguntarán: ¿Ajá apago computadoras y qué? 

Bueno, todas las maquinas dentro del dominio poseen una IP interna con la que podemos jugar, haciendo un escaneo extenso, podremos determinar que hay subneting y posteriormente atacar todo. ¿Sabes que pasa si apagas un servidor? ¿O si apagas todas las maquinas de una caja? COLAPSA TODO. En cualquier empresa si bien no es un ataque para robar información, representa una perdida de tiempo, dinero y seriedad.

El hecho de que éstos fallos existan no quiere decir que deben ser explotados. No hagan, cualquier logro obtenido debe ser un merito personal y debe ser debidamente informado (o hasta vendido si es el caso) a la empresa, pero siempre con ética. Ser hacker no es ser un pirata, los medios nos han llenado con esa definición absurda, un hacker es una persona con hambre de conocimientos, que siempre intenta llevar al limite cualquier sistema o tecnología.

Ah otra cosa. Recuerden siempre borrar toda huella. Si ejecutan algo parecido es probable que lleguen al computador en donde ejecutó, ergo no seas subnormal y si lo haces que sea de forma remota o desde una estación diferente.

Les dejo como siempre el proyecto en Netbeans: 

DESCARGAR NETBOMBER 

Leer completo..