Blog

Utilizando FOCA, desde un enfoque diferente..comiéndonos la web!!

“Toda la información vertida en este artículo es únicamente con motivos de aprendizaje, estudio e investigación. El autor NO se hace responsable del mal uso de la herramienta que va a ser expuesta así como de las técnicas explicadas aquí”

La herramienta FOCA es muy conocida por todos en el campo de la seguridad informática y para quien no la conozca os dejó la descripción que hay en informatica64.

Captura de pantalla 2013-06-20 a la(s) 12.02.12

FOCA 3.2 Free es una herramienta para la realización de procesos de fingerprinting e information gathering en trabajos de auditoría web. La versión Free realiza búsqueda de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extracción de metadatos en documentos públicos, pero hoy en día es mucho más que eso.

En internet he buscado muchos tutoriales y guías de foca pero en ninguno de esos tutoriales le dan el uso que yo generalmente le doy a esta gran herramienta, por eso e decidido realizar este post. Normalmente se utiliza foca contra un dominio y subdominios o un objetivo en concreto, yo cuando utilizo foca trato de que esta herramienta le haga honor a su nombre y se coma literalmente toda la web, entonces empecemos el post.

Comenzamos abriendo FOCA y creamos un nuevo proyecto, le damos un nombre y por obligación nos pide que le demos un dominio, realmente no nos interesa darle un nombre de dominio por ahora así que colocamos solo “.com” luego seleccionamos la carpeta donde se guardara el proyecto, le damos a guardar y nos debería quedar algo así.

Captura de pantalla 2013-06-20 a la(s) 17.49.24

Luego nos dirigimos a la parte de metadatos y deseleccionamos todos los archivos ya que para esta práctica no analizaremos metadatos, luego pinchamos donde dice “Custom search” y ahora como si del google se tratase, realizamos una búsqueda especializada en esta ocasión será “site:gov.et” y le damos solo a  “Search” no al otro, con esto foca recorrerá todas las páginas web del gobierno de Etiopía en busca de vulnerabilidades , esto tardara un buen rato así que podéis ir a tomar un café.

Cuando foca haya terminado podemos realizar otra búsqueda si deseamos, yo busque “site:gf” para buscar todas las páginas web de Guyana Francesa.

Captura de pantalla 2013-06-20 a la(s) 12.01.51

Cuando ya hemos terminado la parte más importante es la inferior donde están los log, así que pinchamos donde dice “Save log to file” y seleccionamos un directorio para guardar los log.

Captura de pantalla 2013-06-20 a la(s) 12.03.13

Ahora para analizar con un poco más de detalle lo que ha encontrado foca nos vamos al apartado del lado izquierdo donde pone “Vulnerabilites” y lo expandimos, allí de vería haber información de las páginas web con vulnerabilidades encontradas con sus versiones del servidor que están corriendo (si encuentras versiones antiguas ya sabes lo que pasa), insecure Methods, Juicy file, etc.

Captura de pantalla 2013-06-20 a la(s) 13.08.13 Captura de pantalla 2013-06-20 a la(s) 13.08.47 Captura de pantalla 2013-06-20 a la(s) 13.09.13

Si se desea conseguir más información sobre una web que se vea vulnerable, se puede repetir el proceso pero ahora  solo con un objetivo.

Lo más interesante que encontré fue que la página del banco nacional  tenía unas cuantas grietas, con casi toda su web mal indexada.

Captura de pantalla 2013-06-20 a la(s) 13.10.22 Captura de pantalla 2013-06-20 a la(s) 13.11.03

Captura de pantalla 2013-06-20 a la(s) 13.19.05 Captura de pantalla 2013-06-20 a la(s) 13.20.49 Captura de pantalla 2013-06-20 a la(s) 13.21.44

Bueno dejando de lado el pobre banco lo que ahora hay que hacer es copiar todas las url que logro capturar foca ya que las utilizaremos más tarde.

Captura de pantalla 2013-06-20 a la(s) 13.15.43

Las seleccionamos todas y las copiamos como indica en la imagen y las guardamos con un nombre que nos indique que son las url y las metemos en el mismo directorio que el archivo anterior.

Ahora yo he vuelto a crear un nuevo proyecto repitiendo lo mismo de antes pero cambiamos el tipo de búsqueda ahora  yo buscare servidores que corran bajo Windows haber que encontramos.

Captura de pantalla 2013-06-20 a la(s) 15.21.04

Repetimos el proceso de antes guardamos los log que genero foca y listo.

Ahora copiamos los archivos conseguidos una maquina Linux en esta ocasión backtrack 5, abrimos una terminal y comenzamos a tratar los datos conseguidos con los comandos habituales de linux.

Captura de pantalla 2013-06-20 a la(s) 13.33.06

Consultamos si hay servidores con el método PUT habilitado.

Captura de pantalla 2013-06-20 a la(s) 18.57.03

Consultamos por otros métodos distintos del típico tracer

Captura de pantalla 2013-06-20 a la(s) 19.02.02

Páginas web mal indexadas

Captura de pantalla 2013-06-20 a la(s) 19.05.37

Ahora analizamos la captura de las páginas web que utilizaban servidores IIS

Webs vulnerables con el método PUT

Captura de pantalla 2013-06-20 a la(s) 19.10.42

Como se ve la lista es muy grande y esas no son ni la mitad jejejeje.

Ahora recordar el archivo el cual copiamos con las url, tememos que filtrarlo para que nos queden solo url que contenga “php?”

Captura de pantalla 2013-06-20 a la(s) 19.34.52

Y con esto ya nos queda un fichero para poder pasárselo al sqlmap y ver si hay inyección sql.

Como bono especial le dejo una búsqueda que realice con los siguientes parámetros “site:gob.es” y para mi sorpresa encontré 5 páginas del distintos ministerios que tienen activo  el método PUT y otras que estaban mal indexadas.

Captura de pantalla 2013-06-20 a la(s) 19.45.23

Como se ve omití los resultados de una url porque eran demasiados los directorios afectados.

Espero que les allá gustado y que veáis que foca es una herramienta muy potente y estas pruebas fueron realizadas con la versión gratuita ya que si se realizarán con la versión PRO se encontrarían muchas más las vulnerabilidades y recordar que las vulnerabilidades fueron encontradas de forma pasiva, graben cada cierto tiempo los log que genera foca porque hay ocasiones en las que se peta el programa al procesar demasiada información.

“Administradores cuidado con foca que puede comerse las webs de todo un pais”

Un saludo.

Sebastian Cornejo highsec@outlook.com

  1. CorreCaminos
    CorreCaminos06-20-2013

    Sin palabraS, simplemente GENIAL,

    • Sebastian Cornejo
      Sebastian Cornejo06-21-2013

      Se agradece el apollo

  2. JVill
    JVill06-21-2013

    Otro punto adicional a este proceso es que si tienes un antivirus que chequea tus consultas online te permitira conocer que sitios ya han sido troyanizados, algo muy útil verdad?

    Saludos

    • Sebastian Cornejo
      Sebastian Cornejo06-21-2013

      Si eso es verdad, gracias por el aporte

  3. Juan
    Juan06-21-2013

    Pelotudo, esto es enorme!

    • Sebastian Cornejo
      Sebastian Cornejo06-21-2013

      Gracias

  4. BTshell
    BTshell06-21-2013

    Para no variar, EXCELENTE POST 😉

    • Sebastian Cornejo
      Sebastian Cornejo06-21-2013

      gracias

Leave a Reply

*

    No Twitter Messages