Sí, teme la FOCA.
¿Qué es la FOCA?
FOCA es una herramienta para encontrar Metadatos e información oculta en documentos de Microsoft Office, Open Office y documentos PDF/PS/EPS, extraer todos los datos de ellos exprimiendo los ficheros al máximo y una vez extraídos cruzar toda esta información para obtener datos relevantes de una empresa.
¿Qué podemos hacer con esta herramienta?
La FOCA hace Google y Bing Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información:
* Nombres de usuarios del sistema
* Rutas de archivos
* Versión del Software utilizado
* Correos electrónicos encontrados
* Fechas de Creación, Modificación e Impresión de los documentos.
* Sistema operativo desde donde crearon el documento
* Nombre de las impresoras utilizadas
* Permite descubrir subdominios y mapear la red de la organización
* Nombres e IPs descubiertos en Metadatos
* Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o API]
* Búsqueda de nombres comunes en servidor DNS
* Búsqueda de IPs con resolución DNS
* Transferencia de Zonas
Bueno ya sabemos más o menos que podemos hacer con esta pequeña aplicación creada en .NET para Windows (y GNU/Linux con WINE); pero quizás no todos vean realmente que podemos sacar de esta herramienta, os haré un pequeño ejemplo de su uso con una web conocida: vatican.va
Bien lo primero abrimos FOCA y le damos a File > New Project
Le pones el nombre que desees y en Domain Website pones el dominio que prefieras en mi caso: vatican.va.
Accedemos al Panel de búsqueda a la derecha verás un botón que será EL botón con el cual podemos reunir todos los pasos que debiamos hacer para conseguir algo en un solo click, sin enrollarme le damos a Search All.
Y tendremos toda la lista de archivos ofimáticos, huellas y metadatos que podremos utilizar a nuestro favor en un posible ataque.
Como podeis comprobar en mi imagen yo solo me he descargado 60 documentos, aunque se han analizado 1234 documentos con datos que no han sabido borrar.
Bien, es hora de empezar a mostraros que puede hacer FOCA por nosotros.
Se observa en la imagen que he conseguido 21 usuarios, para que me sirve esto, pues es sencillo para realizar ataques de Ingeniera Social, sabiendo el nombre y un par de datos más podemos engañar una mediana empresa con mala seguridad.
Ahora vamos a sacar algo mucho más importante como pueden ser las rutas internas.
Que como vamos a observar en la siguiente toma de pantalla, son las rutas donde se ubican los documentos descargados del dominio analizado.
Tenemos hasta un español, sino observad el circulo rojo y fijaos que la ruta está en Español.
Vamos a ponernos serios y empezar a ver realmente que podemos conseguir con FOCA nos vamos de los archivos METADATA a Network Data.
Ahí tendremos todos los servidores, con lo que podremos hallar el servidor web HTTP que use, el SO que usa, Ips, dominios, etc..
Pero yo me voy a centrar en algo mucho mejor. Primero de todo si ya estamos en Network Data, vamos a Domains. Ahí encontraremos el dominio que hemos estado analizando todo este rato y los dominios relacionados (estos son muy interesantes y son una gran fuente para los ataques de Ingeniería Social).
Y dentro todos sus subdominios cogemos uno donde hallamos encontrado muchos documentos, en mi caso me voy a asv.vatican.va(que irónicamente son los Archivos Secretos del Vaticano) y apretamos Search Open Folders y Search Methods.
Nos vamos a la pestaña Methods on Folders en caso de que haya encontrado y debemos buscar, el método PUT y DELETE es lo que nos permitirá jugar un rato.
Os enseño como se puede llegar hasta ahí.
Creo que por hoy es más que suficiente...tenemos solo 58 documentos y mirad hasta donde hemos llegado..el límite lo poneis vosotros.
Esta herramienta da para muchísimo más, solo teneis que experimentar un poco para conocer todas las opciones que hay.
Y ya sabeís, no hagais nada de lo que podais arrepentiros.
DESCARGAR FOCA 2.5:
Descargar FOCA 2.5
Gran post google
ResponderEliminarNo necesariamente si en los encabezados HTTP obtenes un PUT eso significa que vas a poder subir archivos...
ResponderEliminarLo podes usar como una recomendación a deshabilitar en la auditoría pero no siempre podes subir archivos directamente.
Saludos..........8)
me gusta esta herramienta. Aquí hay un video de una charla que dieron Chema Alonso y Palako sobre ella en defcon:
ResponderEliminarhttp://www.youtube.com/watch?v=Ou4TRvzYpVk
Yo vi un video en español de lo mismo, te lo dejo por si te interesa. Lo hizo también Chema Alonso.
ResponderEliminarhttp://vimeo.com/16506099