Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Flu Project
2011
CONTENIDO
Prlogo ......................................................................................................................................................... 3
7. Metadatos ......................................................................................................................................... 38
2
PRLOGO
Hemos intentado describir mediante una serie de pasos una posible manera de
realizar la bsqueda de informacin necesaria para las posteriores fases de la
auditora, analizando algunas de las principales herramientas disponibles en el
mercado.
3
LA FASE DE FOOTPRINTING
1. Footprinting.
2. Fingerprinting.
3. Anlisis de vulnerabilidades.
4. Explotacin de vulnerabilidades.
5. Generacin de informes.
Pongamos como ejemplo que tenemos que auditar a la organizacin Flu Project
que tiene en el dominio flu-project.com su sitio Web y desde el que se pueden
conectar a distintos servicios que ofrece su organizacin.
El primer paso ser evidentemente entrar en el sitio Web que vamos a auditar.
Deberemos navegar por todas sus pginas y aplicaciones, ya que nunca sabemos
que nos vamos a encontrar. Es habitual, sobretodo en sitios Web muy grandes,
que se dejen olvidados enlaces a sitios que no deberan estar, o algn error en una
llamada a BBDD (algo ms comn de lo que se piensa). Tras hacernos una idea del
estado de la web continuaremos con el siguiente paso.
4
ocasiones ciertas pginas que no deberan haberse publicado pero que han estado
cierto tiempo visibles desde Internet mientras se estaban probando, y han
quedado cacheadas en Google. Por tanto, podramos verlas mirando la cach o con
algn servicio como archive.org.
5
filetype o ext: para buscar archivos de un formato determinado, por
ejemplo pdfs, rdp (de escritorio remoto), imgenes png, jpg, etc. para
obtener informacin EXIF y un largo etctera.
intitle: para buscar pginas con ciertas palabras en el campo title.
inurl: para buscar pginas con ciertas palabras en la URL.
O buscar por ejemplo por la frase index of para encontrar listados de
archivos de ftps, etc.
6
En esta herramienta tambin tenis la posibilidad de indicar los verbos en las
casillas en blanco para facilitaros ms la tarea:
Una vez que hayamos realizado algunas bsquedas especficas ser interesante
listar todas las pginas que pendan del dominio raz. Para ello podemos ayudarnos
de la bsqueda:
site:flu-project.com
7
<!Comentario del Diseador al Programador, el usuario para conectarse a la
BBDD es PEPITO y la clave MENGANITO-->
Otro dato interesante ser listar los subdominios que pendan del dominio
principal con sus correspondientes direcciones IP y, por tanto, mquinas y
servidores. De esta manera, nos podremos dar cuenta rpidamente del tamao de
la organizacin. Para ello, nos podremos ayudar de nuevo de la herramienta
Anubis que automatiza bsquedas de Google Hacking con los verbos site e
inurl. Con estos datos posteriormente en la fase de Fingerprinting (activo), con
Nmap por ejemplo, podremos intentar obtener ms datos y en fases posteriores
realizar otro tipo de ataques:
8
Anubis lleva integrada tambin esta bsqueda y, como veis, se obtienen los
mismos resultados, solo que ya filtrados, eliminando los resultados repetidos :
9
Para esta tarea podis utilizar tambin algn servicio Web como los
siguientes:
http://serversniff.net/content.php?do=hostonip
http://www.myipneighbors.com/
10
Todos estos datos deberamos irlos enumerando de una manera adecuada y
permitiendo cierta trazabilidad entre los distintos elementos que vayamos
encontrando, esta tarea es todo un arte, y es algo que han tenido presente los
desarrolladores de algunas herramientas como Maltego, OPTOS, Foca, y Anubis.
De esta ltima podis ver una captura a continuacin:
Netcraft (http://searchdns.netcraft.com)
11
12
Cuwhois (http://www.cuwhois.com/)
Entre los datos ms interesantes que nos podr aportar se encuentran la IP,
Servidores DNS, Registrador del dominio, Pas, Idioma, Lenguaje de programacin
del sitio Web, codificacin, modelo del Servidor Web, la posicin en distintos
rankings, feeds, incluso si comparte servidor Web con otras pginas nos
proporcionar un listado con sus vecinos:
Chatox (http://www.chatox.com/whois/whois.html)
13
IPTools (http://www.iptools.com/)
Robtex (http://www.robtex.com/)
14
Otro servicio parecido a Cuwhois, muy completo, que cuenta tambin con
una gran cantidad de herramientas:
Yougetsignal (http://www.yougetsignal.com/)
Intodns (http://www.intodns.com/)
15
Freednsinfo (http://www.freednsinfo.com/)
16
Dnsstuff (http://www.dnsstuff.com)
DnsQuirty (http://www.dnsenquiry.com/)
Otro servicio que nos permitir analizar el whois, dns lookup y ping.
Visualware
Servicio Web que nos permitir seguir visualmente el camino que se recorre
hasta llegar a la IP del servidor objetivo. Requiere Java:
17
123people (http://www.123people.es/)
18
4. BSQUEDA DE LOS SISTEMAS OPERATIVOS Y MODELOS DE SERVIDOR WEB
19
En la herramienta Anubis podis encontrar una automatizacin de esta
tcnica:
20
IIS6 una pgina de error falsa de Apache, por lo que ser necesario contrastar la
informacin, por ejemplo, consultando el banner del servidor Web.
21
Para facilitar las cosas, en la herramienta Anubis, de la que ya hemos
hablado, hemos automatizado esta operacin, por lo que para visualizar el banner
nos bastar con colocar el dominio y pulsar el botn Blind Scan:
Para automatizar ms an las cosas, una vez que hayis encontrado varios
subdominios/IPs, etc., por ejemplo por los mtodos de bsqueda con buscadores
que vimos en el primer artculo de la cadena (pestaa Scan with Google de
Anubis), si pulsamos el botn send, nos almacenar toda esta informacin en
una tabla resumen que podis ver en la pestaa summary:
22
Si ahora pulsamos sobre el botn Operative System Scan, Anubis
intentar visualizar el sistema operativo y modelo del servidor Web mediante la
consulta del banner de todas las mquinas que haya en la lista resumen
actualmente:
23
Y si analizamos el correo completo:
Podemos utilizar otras herramientas, como por ejemplo Nmap, para intentar
averiguar el sistema operativo de una mquina, pero sera Fingerprinting (activo)
24
ya que hay que forzar al servidor a que nos muestre la informacin, y eso se sale
de la temtica de este libro.
Para obtener informacin de los DNS vamos a utilizar cuatro tcnicas diferentes:
Todos ellos los haremos a la vez con la herramienta Anubis y con la herramienta
Nslookup, que tenis disponible para Windows y Linux. Nosotros utilizaremos la
versin para Windows, que cambian los comandos mnimamente con respecto a la
versin de Linux.
25
Para que una zona nueva delegada de la principal, por ejemplo la zona prueba,
funcione, es necesario configurar algunos recursos, para que tenga informacin sobre
la delegacin a los otros servidores de DNS autorizados. Es de extrema importancia
que las zonas estn disponibles desde varios servidores de DNS por temas de
disponibilidad.
Para que otros servidores adems del principal puedan alojar zonas, se crearon las
transferencias de zona, que se encargan de hacer la replicacin de todas ellas y de
sincronizarlas.
Vamos a iniciar Nslookup en modo interactivo, para ello basta con abrir un CMD y
escribir el comando nslookup:
Ahora vamos utilizar la instruccin SET TYPE para consultar datos de tipo DNS (NS),
para ver otros tipos de consultas podis utilizar la ayuda poniendo una interrogacin?:
26
Ahora buscaremos los servidores de DNS de nuestro objetivo:
Ahora ya nos queda tan solo para realizar la transferencia de zona ejecutar el
comando LS contra el dominio que queramos (ls dominio.com). Y disfrutar de todo el
listado de mquinas que contienen las zonas:
27
La transferencia de zona la hemos realizado desde fuera de la red interna debido a
una mala configuracin por parte de la organizacin. Esto no debera ocurrir, por
motivos de seguridad obvios, y es que cualquiera desde su casa puede hacerse con
todas las IP y dominios internos de una organizacin.
Para que estuviese bien configurado, nos debera haber respondido al comando LS
con algo como lo siguiente:
28
Para facilitar la tarea, en Anubis se ha incorporado un mdulo que es capaz de
realizar una transferencia de zona con un solo clic:
Lo ms habitual es utilizar los DNS para obtener una IP, pero habr ocasiones en la
que nos interese lo contrario, dada una IP averiguar el DNS. A este hecho se le conoce
como resolucin inversa, y es utilizado normalmente para comprobar la identidad de
un cliente.
La idea es hacer lo siguiente, sabemos una direccin IP, que hemos encontrado
mediante alguna de las bsquedas que aprendimos a realizar en los artculos 1 y 2 de
esta cadena, pero no sabemos el nombre del dominio DNS, por tanto buscaramos la
query:
29
Z.Y.X.193.in-addr.arpa -> pericoeldelospalotes.com
Y verificaramos que:
Como veis una no se ha resuelto, por lo que no existe, pero la otra s que ha
tenido xito. Imaginaros el caso de organizaciones grandes, en las que tengis que
30
hacer ste proceso para unas 1000 IPs qu hartura no? Para ste caso hemos
implementado un mdulo en Anubis que permite hacer la resolucin inversa de DNS
por rangos de IP de manera automatizada, simplemente habiendo encontrado
previamente una direccin IP:
31
Ataques de fuerza bruta mediante fuzzers o por diccionario.
Anubis lleva incorporado un mdulo de fuerza bruta que nos permitir hacer
fuerza bruta de esta manera contra el DNS, bien preguntando por palabras que ir
generando mediante permutaciones de smbolos, letras y nmeros, o bien
preguntando por las palabras contenidas en un diccionario:
32
Ataques de fuerza bruta mediante identificacin de relaciones
Como habis visto, con el ataque anterior hemos obtenido algunas mquinas con
nombres curiosos y relacionados entre s, como por ejemplo nombres de planetas y
dioses.
33
Como vemos, Google Sets ha encontrado varios trminos relacionados con la
palabra neptuno:
34
Y premio, tenemos un listado de subdominios reales.
6. FUZZEANDO WEBS
Por ejemplo, puede ocurrir que en la misma carpeta de una mquina donde se
encuentra la pgina web (www, ) haya otro tipo de archivos que el webmaster utilice
para sus quehaceres, pero que no tenga enlazados en el sitio Web, porque no es algo
que los usuarios deberan ver. Por ejemplo, puede utilizar el servidor para compartir
fotos suyas con un amigo, lo tpico que las cuelga en un Zip, y les pasa el enlace directo
a sus amigos para que las descarguen, o por poner otro ejemplo, un script de
mantenimiento, o un panel de control, que no protege con contrasea porque piensa
que si no est enlazado al sitio web nadie lo encontrar, o los tpicos phpinfo.php,
paneles de contol de joomla (/administrator) de wordpress (/wp-admin), etc.
Son bastante interesantes ya que dan mucha informacin del servidor Web:
35
Otro fichero interesante que podemos buscar es el phpmyadmin. Para buscarlo
por Google podis utilizar la siguiente bsqueda-truco:
inurl:phpMyAdmin/Documentation ext:html
Y una vez que hayis encontrado alguna pgina, quitis de la URL la parte
/Documentation.html y deberais acceder al panel phpMyAdmin.
36
Ahora marcaremos Recursion level, si queremos que cada vez que encuentre
una nueva ruta, vuelva a realizar un escaneo entero sobre ella. Podremos marcarle el
nmero de recursiones que queremos realizar. Pero tened en cuenta que a ms
recursiones, ms tiempo tardar en finalizar:
37
Como veis han aparecido algunos ficheros que empiezan por a y por b ya
que hemos realizado un escaneo con el diccionario big.
7. METADATOS
Como sabris, los metadatos son una serie de datos que son almacenados junto
con los documentos para ayudar en su identificacin. Su intencin es representar el
contenido del documento, por lo que suelen almacenar bastantes datos, en ocasiones
ms de la que nos gustara, lo que conlleva a que sea ms fcil, por ejemplo, identificar
al usuario que ha creado cierto documento, las herramientas con las que lo ha hecho,
la situacin fsica donde se encontraba, un path que puede darnos informacin del
sistema operativo, etc. Este hecho trae repercusiones que pueden llegar a ser muy
graves, pongamos por ejemplo que a travs de un metadato se averigua que se ha
generado un documento con una versin de cierto programa para generar ficheros
PDF que tiene un exploit conocido; entonces se estara poniendo en peligro un
sistema. Otro ejemplo que ha trado una gran repercusin hace unos meses fue el de la
caza de unos pederastas a travs de la informacin de los metadatos del
posicionamiento por GPS de las fotos realizadas con un iPhone y que compartan por
foros de Internet. Por lo que parece que los metadatos pueden ser ms peligrosos de
lo que inicialmente parece.
Como no poda ser menos, nosotros tambin hemos querido hacer una pequea
aportacin a la fase de Footprinting con Anubis, y aadmos en la versin 1.1 el primer
mdulo de anlisis de metadatos, que es capaz de analizar los metadatos de los
ficheros PDF y realizar listados de usuarios y de software encontrado, para ayudaros en
la bsqueda de posibles exploits.
38
El funcionamiento es tan sencillo como poner un dominio y pulsar el botn
Metadata. Cuando la barra de progreso llegue al final ya podris ver los metadatos
de los ficheros PDF mostrados en el rbol de la ventana izquierda:
39
Ahora si pulsis sobre el botn SEND, se enviar la informacin a la pestaa
SUMMARY, donde se listarn todos los usuarios y software encontrados:
40
REFLEXIONES FINALES
Con este libro habris podido analizar algunas tcnicas con las que realizar la
bsqueda inicial de los datos necesarios para realizar un Test de Intrusin o una
auditora de Caja Negra.
41