Resultados 1 al 5 de 5

Tema: Hacking FOCA

  1. #1 Hacking FOCA 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    A parte de la forma pensada para trabajar con FOCA que está siendo descrita en el Manual de usuario de la FOCA 2.5, muchas de las nuevas funcionalidades de la FOCA van apareciendo a partir de usar la herramienta de una manera “tricky”, es decir, de “hackear” su funcionamiento para conseguir algunos resultados mejorados. En esta serie os voy a poner tres usos que hemos pensado y utilizado de la herramienta en su versión actual y que acabarán por convertirse en parte del funcionamiento normal de la misma en próximas versiones.

    FOCA & Evilgrade

    Evilgrade es un framework que creó inicialmente Francisco Amato, la herramienta está pensada para, una vez realizado un ataque de DNS Poisoing, suplantar a los servidores que son comprobados por los clientes para buscar actualizaciones y troyanizar la máquina mediante una actualización maliciosa.

    La idea es genial y, en la versión que liberará la próxima semana y que presentó en Defcon 18 y Black Hat 2010, tendrá 53 módulos distintos para hacer ataques de este tipo. En la mayoría de los módulos se consigue ejecución directa, en otros es necesaria una pequeña intervención del usuario haciendo clic en algún mensaje de alerta y en otros, como en el caso de Windows Update, es mediante la suplantación de la página web original para hacer un phishing.

    Como FOCA incorpora un módulo de DNS Caché Snooping, una de las ideas para sacarle más partido a la información extraída es generar un fichero con todos los servidores para los cuales Evilgrade tiene un módulo de ataque. De esta manera, FOCA puede descubrir cuáles son los módulos a preparar en un ataque con Evilgrade en un pentesting de una empresa.

    Francisco Amato nos ha pasado un fichero con los nombres de dominio, y éste es el resultado al pasarlo por algunas organizaciones con el módulo de DNS Caché Snooping de FOCA 2.5

    En la Renfe, como se puede ver, además de tener máquinas con Windows que visitan sitios con Google Analytics, para los cuales tiene un módulo de ataque preparado Evilgrade, tiene como curiosidad que los usuarios navegan a winscp.com, que es la página de un cliente FTP que tiene activada la búsqueda de actualizaciones y al menos alguno de ellos tiene instalado el Antimalware de ClamAV.



    Figura 1: DNS Caché Snooping de Evilgrade a Renfe.es

    En la UNED, además de Windows y Google Analytics, se podría hacer un ataque al sistema de actualizaciones de Cygwin.com.



    Figura 2: DNS Caché Snooping de Evilgrade a la UNED

    Por último, en el ayuntamiento de Getafe, que compite con nuestro Móstoles - en vano } - por ser la capital del sur, se podría hacer uso también de los módulos para el sistema de actualizaciones de autoitscript.com y vmware.com.



    Figura 3: DNS Caché Snooping de Evilgrade al ayuntamiento de Getafe

    El fichero de Evilgrade.txt se puede generar desde el framework con un simple show vhosts, pero para la próxima mini-release de la FOCA que saldrá a finales de la semana que viene con algunos arreglos a pequeños fallos, ya vendrá incorporado. Además, en el futuro incorporaremos esta búsqueda de forma automatizada en FOCA.
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2 Hacking FOCA (2ª parte) 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    Con la salida de la versión 2.5.1, vamos a continuar con esta serie para sacarle un poco más de partido a la FOCA de lo que se puede sacar con las opciones por defecto.

    Forzado de escaneo de PTR interno

    La segunda parte de este artículo va dedicada al uso de otra parte que necesita convertirse en un apartado de la FOCA en el futuro. El escaneo de PTR de un servidor DNS a rangos internos de la red, a pesar de que no se haya descubierto ninguna dirección IP interna.

    ¿Y esto que quier decir? Pues hasta el momento, el algoritmo de búsqueda DNS que aplica FOCA está pensado para escanear automáticamente, usando los registros PTR de un servidor DNS, todos los segmentos de red de los que se haya encontrado una dirección IP interna.

    Ahora bien, supongamos el caso de que estamos escaneando una organización, de la que sabemos, o suponemos, el rango de direcciones IP. Si FOCA no es capaz de encontrar ninguna IP interna no va a escanear el rango. ¿Solución?

    Pues forzar a que la FOCA la encuentre. Para hacer que FOCA encuentre alguna dirección del rango que queremos escanear, lo único que hay que hacer es crearse un documento OpenOffice o Microsoft Office que tenga hipervínculos a direcciones IPs de rangos internos.



    Figura 1: Fichero xlsx con un link a un rango interno

    Bastará después con añadir este fichero manualmente al proyecto. Teniendo en cuenta que FOCA busca la información de los links almacenados en documentos ofimáticos, FOCA descubrirá los rangos que nos interesa.



    Figura 2: IP encontrada tras analizar metadatos

    Por último, ya se podrá lanzar el algorítmo de búsqueda contra el sitio seleccionando sólo la opción de IP Range, que hará un escaneo de PTR sobre 1 o todos los DNS, según las opciones seleccionadas.



    Figura 3: Configuración de IP Range en el DNS Search Panel

    Y listo, basta a dar al botón de Start y FOCA analizará todo el rango.


    Figura 4: Resultados
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  3. #3 Hacking FOCA (3ª parte) 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    Spidering + FOCA

    Una de las características que tiene la FOCA es que busca información publicada en Internet. La pregunta que surge a colación es : ¿Cómo usamos FOCA con un servidor interno en una organización o como lanzamos FOCA para que analice links que no están en la base de datos de los buscadores?.

    La solución "fácil" sería que FOCA trajera un motor de Spidering que, dado un servidor web, fuera buscando todas los links en todas las páginas. Sin embargo, hacer un motor de Spidering no es trivial. Pero... si podemos usar uno externo y cargarle la información a la FOCA haciendo un pequeño truco.

    Generación de un fichero de Spidering

    Para conseguri las URLS del sitio que se quiere analizar se va a utilizar Burp Suite. Esta herramienta es... bueno, si te dedicas a seguridad web seguro que ya la conoces. Funciona como un proxy local, y entre otras de sus funciones tiene la posibilidad de hacer un spidering completo de un sitio que hayas visiado.



    Figura 1: Activación de spidering en un sitio

    Cuando se activa un spidering a un sitio, hay que definir el ámbito. Lo recomendable, a la hora de trabajar con FOCA, es realizar un spidering completo de todo el dominio, así que habría que marcar el ámbito para todo el dominio. No obstante, para este ejemplo, sólo está marcado el servidor como ámbito para la araña.



    Figura 2: Spidering del sitio

    Una vez que se ha generado la estructura del sitio, necesitamos exportar la lista de todas esas URLS a un fichero de tipo txt. Tal y como se puede ver en la Figura 2, hay una opción que es Copy URLs, así que nada, a copiar y pegar en la herramiente más poderosa jamás creada: El Bloc de Notas.



    Figura 3: URLs del sitio

    Carga de URLS en la FOCA

    El siguiente paso es darle de comer a la FOCA y para ello, desde el panel de documentos, hay que hacer uso a una opción muy chula que es: "Añadir links desde un fichero". Esta opción lleva hay desde las primeras versiones de la FOCA, pero pocos se dan cuenta de ella.



    Figura 4: Añadir links desde archivo

    Después de cargar esos links, aparecerán todos como si fueran URLS de documentos a descargar (puedes hacerlo y la FOCA se comportará como una herramienta de download), pero automáticamente comenzará el motor de análisis de URLS a trabajar.



    Figura 5: Análisis a partir de URLS cargadas

    Una vez dentro esta información, puedes completar el análisis con el resto de las opciones.

    Finalización

    En esta serie hay tres formas curisosas de utilizar la FOCA para detectar objetivos de Evilgrade, para realizar escaneos de PTR en dominios internos y para analizar sitios no publicados en los buscadores usando Burp Suite. Cualquier idéa, trick, o curiosidad de la FOCA que conozcaís... pasádnola please!

    Saludos Malignos!

    Publicado en Un informático en el lado del Mal.
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  4. #4  
    Iniciado
    Fecha de ingreso
    Oct 2010
    Mensajes
    1
    Descargas
    0
    Uploads
    0
    Laguien me puede indicar como bajar el programa.. intente bajarlo varias veces y me sale un mensaje que mi cuenta de correo es invalida.
    Citar  
     

  5. #5  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    A mi parecer, esta herramienta es un 3 en 1, que no incopora ninguna utilidad que no pudiese hacerse con otras herramientas que ya existieran mucho antes. La tercera opción por ejemplo es un web-crawler, y por cierto, aunque no he probado la herramienta para opinar con propiedad, por lo que dice la noticia, parece que es bastante fácil de implementar (sólo hay que parsear el código HTML de la página "raiz" y hacer un DFS en base a los enlaces, evitando la recursión infinita... y digo esto porque en este caso si puedo dar mi opinión personal bajo el punto de vista del diseñador de un web-crawler).

    PD: Lo que si hay que admitir es que la foca es graciosa.

    Un saludo.
    Última edición por hystd; 04-11-2010 a las 19:35
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

Temas similares

  1. Respuestas: 1
    Último mensaje: 28-06-2010, 13:44
  2. VPN Hacking
    Por newbie707 en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 03-10-2008, 13:51
  3. hacking
    Por tutitu en el foro GENERAL
    Respuestas: 3
    Último mensaje: 16-08-2006, 18:49
  4. Hacking????
    Por macc en el foro GENERAL
    Respuestas: 6
    Último mensaje: 02-10-2002, 19:40
  5. hacking
    Por arrow en el foro HACK HiSPANO
    Respuestas: 1
    Último mensaje: 05-05-2002, 09:18

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •