Blog

Obteniendo Información Confidencial

El otro día salió a la luz un documento sobre como buscar y espiar a objetivos en la red de la NSA, que hasta entonces era confidencial. Tras echar un vistazo a dicho documento (ya que no he tenido casi tiempo y aun me queda mucho por leerme ;)) me llamo mucho la atención algunos dorks de google, que aunque sencillos me hicieron ir probando y probando algunas cosillas que podéis encontrar en la pagina de Juan Carlos (@secnighthttps://www.facebook.com/pages/ETHICAL-HACKING-Y-OL%C3%89-by-the-Face-WhiteHat/172393869485449?fref=ts.

Lo que os traigo aquí es uno de esos ejemplos que probé, sin duda el que más me llamo la atención, porque en menos de 10 búsquedas por google llegue a sacar muuuucha información…

Todo comenzó con un dork como “filetype:xls password” y que tras ir evolucionando con mis búsquedas llegue a “site:gob.* filetype:xls password” que nos permite buscar en google archivos .xls de gobiernos que contengan la palabra password.

Este fue el comienzo de este curioso… caso…

google_hacking_1

 

Por no comerme mucho la cabeza fui directo al primero, y tras abrirlo encontré lo siguiente…

google_hacking_2

 

Que no era ni más ni menos que un archivo con más de 4500 usuarios y contraseñas, el problema que no tenía muy claro de donde eran, aparte de la web del ministerio de educación y cultura de México…

google_hacking_web

 

Una vez vi de donde era… Busque si los usuarios se encontrarían en algunos sitios más en google, por lo que cogí un usuario aleatorio y lo busque en google…

google_hacking_3

 

Para mi sorpresa no es que apareciera poco así que eche un ojo a ver que era realmente ese usuario/identificador por lo que decidí meterme en alguna pagina como por ejemplo esta que me llamo realmente la atención por el titulo xD!

google_hacking_4

 

Y a abrirlo… Tachaaaaan!

google_hacking_5

 

Esto fue lo que ya se llevo la palma, pues el identificador pertenecía a los colegios/institutos/universidades de México, y en este documento aparecían los presupuestos que tenían, municipio… Y CUENTA BANCARIA! Me quede alucinado al ver que volvieron a aparecer los 4500 usuarios pero ahora con sus cuentas bancarias y sus depósitos de dinero, por ello, decidí mirar algún enlace de google mas, concretamente este donde aparecía un correo junto al identificador que había buscado…

google_hacking_6

 

Pues bien, en este otro documento como se muestra a continuación aparecía el identificador/usuario, junto a un correo de la persona encargada, así como su número de teléfono…

google_hacking_7

 

google_hacking_8

 

Por ultimo decidí mirar un último documento cuyo título era depósitos…

google_hacking_9

 

Y que había dentro… Pues más información sobre depósitos, alumnos, lo que cobraban, etc…

google_hacking_10

 

Para terminar entre en una web donde también aparecía el identificador y algo me llamo la atención ;)…

google_hacking_11

 

Lo que me llamo la atención fue ese TIPIQUISIMO parámetro “id=” que muchas veces e vulnerable a SQLi y…

google_hacking_12

google_hacking_13

 

Efectivamente vulnerable, así que tras poner el bugtraq este fue el resultado…

google_hacking_14

 

google_hacking_15

 

Como se puede observar aunque la base de datos es un poco antigua podemos sacar algunas tablas que serian sin duda alguna interesantes como “cost”, “personal” y sin duda alguna “usuarios” (Aunque ya los tenemos xD)!

Una vez obtenida toda esta información es el momento de pararnos a pensar que es lo que abríamos sacado con unas cuantas búsquedas en google y un par de segundo con alguna herramienta como sqlmap… Tendríamos acceso a los usuarios y contraseñas de cada colegio e instituto de todo México, con lo que podríamos acceder a la pagina del ministerio de cultura y realizar los cambios que creyéramos convenientes en nombre de esa institución. Por otro lado hemos conseguido asociar cada colegio con una persona de la que hemos sacado su nombre y apellidos, dirección de correo y teléfono de contacto. Pero además de esto hemos conseguido sacar los presupuestos de todos y cada uno de esos colegios, así como la cuenta bancaria donde realizan el ingreso el estado… Y por ultimo acceso a la base de datos donde podríamos encontrar el personal del ministerio, usuarios… No hay que tener mucha imaginación para ver la inmensa cantidad de ataques que podrían ser llevado a cabo, como por ejemplo hablar con el responsable de algún colegio haciéndonos pasar por un empleado del ministerio (Al haber obtenido su información de la SQLi) para que hiciera X cosas, o… Muchas más cosas peores.

 

En fin espero que os haya gustado y sin duda os recomiendo la guía de la NSA para “espiar” en Internet (http://www.nsa.gov/public_info/_files/Untangling_the_Web.pdf).

Un saludo!

Eduardo Arriols – eduardo@highsec.es

@_Hykeos

 

 

  1. Alan
    Alan05-31-2013

    Interesantisimo articulo, google, un aliado o un enemigo? jeje

Leave a Reply to Alan Click here to cancel reply.

*

    No Twitter Messages