11 Enero, 2012 a las 22:12

Siguiendo la racha que llevamos sobre seguridad informática y para continuar el último post de pentesting hoy vamos a descubrir una nueva forma para obtener información acerca de la estructura interna de una corporación.

Si no habéis leído la entrada de DNSCacheSnooping os recomiendo hacerlo ahora pues en el se explica una de las técnicas para obtener el software usado y sitios Web visitados desde una corporación.

Usaremos una técnica que está muy de moda últimamente y es el análisis de metadatos, es una técnica simple pero muy efectiva que nos proporcionará muchísima información.

Obtener usuarios de active y servidores de Exchange de la NASA

En este caso he elegido la NASA ya que es una empresa internacional y conocida en en cada lugar de la tierra, todo un ejemplo de gran corporación y un caso que tenemos todos bien cercano, no quiero poner a nadie en evidencia pues su seguridad es muy buena y simplemente se explica una técnica usada en el pentesting.

Cómo muchos sabéis los metadatos son información almacenada en los ficheros que no es visible a simple vista pero los programas la utilizan para realizar acciones como organizar documentos, guardar un historial de cambios, etc. Estos datos no suelen ser visibles por el usuario y debido a ello suele ser información obviada por ellos.

Generalmente cualquier corporación de un determinado tamaño pone a disposición del público documentos (.doc, .pdf, .xls..) que contienen este tipo de información a no ser que el usuario o el administrador del sistema se haya encargado de limpiarlos, esta información es pública para consulta y examen de cualquier persona puesto que está colgada intencionadamente en la Web.

Obtener un listado de este tipo de archivos es muy facil gracias a herramientas de como Google o Bing con una búsqueda de este tipo:

Como veis en este caso hemos encontrado mas de seiscientos mil ficheros pdf publicados, podéis usar otros motores como bing u otros tipos de archivo.

Para descargar todos estos ficheros vamos a utilizar la herramienta metagoofil, es muy sencilla y está basada en python aunque podéis usar muchísimas otras:

Una vez el proceso ha terminado abrimos el fichero de resultados y entre toda la información que contamos podemos ver un listado de usuarios que se han detectado en los metadatos, aquí os dejo un pequeño extracto:

No hace falta ser un genio para ver que el formato de los mismos es generalmente es iniciales seguidas de un apellido (cfjones, rbmedina, etc..) por lo que imaginar otros usuarios por ingeniería inversa es muy posible (y mas si desde la corporación se empeñan en hacer las cosas fáciles), aunque seguramente con el enorme listado de usuarios que se obtienen mediante el analisis de metadatos sea mas que suficiente

Esta información es mas sensible de lo que uno puede pensar a simple vista, puesto que a pesar de que en teoría el secreto de una cuenta debe ser la contraseña el saber una cantidad significativa de usuarios nos facilita un trabajo reverso de fuerza bruta, es decir:

Generalmente los servidores están preparados contra ataques de fuerza bruta en los que si un usuario mete su password mal un determinado número de veces se bloquea la cuenta por un tiempo determinado o de forma indefinida, pero no al revés: Podemos probar cuatro o cinco contraseñas típicas (lease bigbang3, orion5…) o intentar con la contraseña inicial con cada uno de los usuarios con lo cual dar con una combinación válida es solo cuestión de tiempo.

Otro tipo de ataques son igualmente posibles como bloquear todos los usuarios realizando intentos de login erroneo de forma intencionada, etc.

Todo esto está muy bien, pero no disponemos de ningún servidor dónde realizar estos intentos de login, así que ¿Dónde probamos el usuario?

Caso práctico: Obtener los servidores de Exchange de la NASA o Telefónica

Tenemos una inmensa cantidad de estrategias para descubrir servidores o intranets de una corporación, como por ejemplo buscar subdominios “tipicos” o usando el buscador de Google para buscar subdominios:

En este caso hemos obtenido muchísimos resultados y la mayoría no nos interesan, en empresas mas pequeñas o con menos servicios públicos la cosa se torna mas sencilla, pero para estos casos eso es bueno saber un pequeño truco que suele ser útil la mayoría de las veces.

Cuando configuramos un programa como Outlook con una cuenta exchange este es capaz de autodetectar el servidor al que conectarse, para obtener estos datos el cliente. Para ello se conecta a una de las siguientes URL, https://dominio.com/autodiscover/autodiscover.xml o hacia https://autodiscover.dominio.com/autodiscover/autodiscover.xml, lo mejor de todo es que pese a que exista una un OWA tipo email.nasa.gov accediendo a https://autodiscover.nasa.gov/exchange nos suele mostrar o bien el propio OWA o el vinculo desde el cual acceder.

Podemos probar en el de la NASA y otra empresa como Telefónica entre otros muchos.

Acerca de Miguel Díaz

Informático, enamorado de la programación, diseño Web y el deporte.
Categorías: Pentesting, Privacidad, Seguridad, Servidores. Etiquetas: , , , , .

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *