Sí, como esperabas este post no va a tener nada que ver con la mitología nórdica, ni tan siquiera con los comics de Marvel. Sí, como tal vez imaginas tiene que ver con metadatos y con nuestra participación en la HackCon 5 y la presentación de la FOCA aquí.
El caso es un caso curioso que demuestra el impacto de los metadatos en las fases de pentesting. Esta es la historia de Odin.dep.no, un nombre de un servidor y que espero que os gusten los matices de la historia.
Vaya por delante el final de la historia. Odin.dep.no es un nombre de domino que apunta a una dirección IP por el que se está ofreciendo algún tipo de servicio, del que desconocemos todo. Viendo la ficha de Robtex del servidor es fácil saber todo, pero… para ello tienes que saber previamente que Odin.dep.no es un nombre de un servidor que existe, la pregunta es… ¿cómo lo encuentras? Supongamos que tienes que hacer un análisis del dominio dep.no y que tienes que descubrir el máximo de información… ¿Cómo encuentras ese nombre de servicio?
Figura 1: Información de Odin.dep.no en Robtex
Aproximación 1: FOCA
El dominio dep.no redirige a regjeringen.no (signifique esto lo que quiera que signfique) así que nos bajamos los documentos con la FOCA.
Figura 2:Configurando el proyecto con la FOCA 3.0.1
De un Excel, justo el que se puede ver en la imagen siguiente, extraemos los metadatos para ver que existe un servidor que se llama Balder.
Figura 3: Metadatos, información oculta y datos perdidos extraídos con FOCA
Le damos a Analizar Metadata y vemos como resuelve el nombre de Balder en el dominio.
Figura 4: Balder.dep.no está en el rango de red 148.122.210.x.
Como el nombre es muy significativo, hay que probar una búsqueda por Google Sets, a ver que sale, y … ahí tenemos a Odín.
Figura 5: Odin.dep. no descubierto a través de Balder
Aproximación 2: Google, Bing y DNS
En este caso, utilizando el algoritmo que va a ser añadido a la FOCA 2 alpha, en el que se hace una búsqueda intensiva de servidores en Google, Bing, y después se aplica escaneo de DNS con su PTR Scanning y todo, resulta que el algoritmo, tras comenzar a las 14:25.
Figura 6: Hora de incio
Y terminar casi 2 horas después.
Figura 7: Hora de finalización
Es capaz de sacar más de 200 equipos del dominio dep.no, pero no salen ni Balder, ni Odin.
Figura 8: Más de 200 dominios, pero ni Balder ni Odin
Este caso, es un ejemplo más, de la importancia de los metadatos a la hora de realizar un mapa de red en un proceso de pentesting. ¿Será útil conocer a Balder o a Odin en una explotación posterior?
Saludos Malignos!
PD: Bájate la versión 3.0.1 publicada ayer si quieres usar la función de Google Sets, que habían cambiado un parámetro y hubo que parchearla de urgencia
El caso es un caso curioso que demuestra el impacto de los metadatos en las fases de pentesting. Esta es la historia de Odin.dep.no, un nombre de un servidor y que espero que os gusten los matices de la historia.
Vaya por delante el final de la historia. Odin.dep.no es un nombre de domino que apunta a una dirección IP por el que se está ofreciendo algún tipo de servicio, del que desconocemos todo. Viendo la ficha de Robtex del servidor es fácil saber todo, pero… para ello tienes que saber previamente que Odin.dep.no es un nombre de un servidor que existe, la pregunta es… ¿cómo lo encuentras? Supongamos que tienes que hacer un análisis del dominio dep.no y que tienes que descubrir el máximo de información… ¿Cómo encuentras ese nombre de servicio?
Figura 1: Información de Odin.dep.no en Robtex
Aproximación 1: FOCA
El dominio dep.no redirige a regjeringen.no (signifique esto lo que quiera que signfique) así que nos bajamos los documentos con la FOCA.
Figura 2:Configurando el proyecto con la FOCA 3.0.1
De un Excel, justo el que se puede ver en la imagen siguiente, extraemos los metadatos para ver que existe un servidor que se llama Balder.
Figura 3: Metadatos, información oculta y datos perdidos extraídos con FOCA
Le damos a Analizar Metadata y vemos como resuelve el nombre de Balder en el dominio.
Figura 4: Balder.dep.no está en el rango de red 148.122.210.x.
Como el nombre es muy significativo, hay que probar una búsqueda por Google Sets, a ver que sale, y … ahí tenemos a Odín.
Figura 5: Odin.dep. no descubierto a través de Balder
Aproximación 2: Google, Bing y DNS
En este caso, utilizando el algoritmo que va a ser añadido a la FOCA 2 alpha, en el que se hace una búsqueda intensiva de servidores en Google, Bing, y después se aplica escaneo de DNS con su PTR Scanning y todo, resulta que el algoritmo, tras comenzar a las 14:25.
Figura 6: Hora de incio
Y terminar casi 2 horas después.
Figura 7: Hora de finalización
Es capaz de sacar más de 200 equipos del dominio dep.no, pero no salen ni Balder, ni Odin.
Figura 8: Más de 200 dominios, pero ni Balder ni Odin
Este caso, es un ejemplo más, de la importancia de los metadatos a la hora de realizar un mapa de red en un proceso de pentesting. ¿Será útil conocer a Balder o a Odin en una explotación posterior?
Saludos Malignos!
PD: Bájate la versión 3.0.1 publicada ayer si quieres usar la función de Google Sets, que habían cambiado un parámetro y hubo que parchearla de urgencia
Sin animo de que esto parezca más peloteo de lo normal, lo cierto es q la FOCA, después de probarla, es una herramienta interesante y de muy fácil uso q proporciona mucha información!
ResponderEliminarGracias a todo el equipo por proporcionarla!
Yo se que el post trata de ensalzar la FOCA (y hay que hacerlo, que vaya cositas chulas que saca por ahi!!) pero aqui hay un metodo mas rudimentario para sacar el dominio odin.dep.no:
ResponderEliminarhttp://www.google.com/search?q=-gjeldsordningsbasen+-jobbifinans+-design+-slf+-jobbifin+-sph+-auksjon2+-statsbudsjettet+-publikasjoner+-eass+-www+-krdnytt+site:dep.no&hl=en&filter=0&cad=h
Google sigue sabiendolo todo! De todas maneras reconozco que mejor que una FOCA te haga el trabajo sucio mientras tu vas al Mercadona a comprarte algo para el desayuno...
@Pedro Laguna, esas búsquedas las hace la FOCA 2, pero si el número de resultados es más grande que lo que te permite meter google en el -inurl no sale, y, como puedes ver, sale Odin pero no Balder.
ResponderEliminarSaludos!
@Maligno me vas a hacer buscar a Balder? :P
ResponderEliminarMirando por ahi esta tambien odin2.dep.no, odinsok.dep.no y xodin.dep.no pero site:balder.dep.no no devuelve nada... Parece que hace unos cuantos años que dejo de ser servidor web: http://web.archive.org/web/*/http://balder.dep.no/
Te imaginas que desde entonces no lo actualizan? ;)
@Pedro Laguna, según la FOCA 2.0 alpha hay también unos 200 más. Muchos de ellos sin servicios web. Balder sigue existiendo, porque responde a balder.dep.no.
ResponderEliminar¿Quién sabe si serán útiles o no esos datos?
¿Te paso la lista y los buscas todos en Google? };)
Naaahhhh, que ando enrredando con PHP y Firefox, ya me buscare la FOCA 2 en el emule :P
ResponderEliminarBalder responder responde, pero yo me referia que no existia como servidor web desde hacia tiempo.
Lo que yo me pregunto es si despues de parar el servidor web no podria haberles dado por hacer un upgrade... Lo mismo intentan batir algun estupido record de uptime :)
Saludos y suerte con la charla!!
Barne- significa "Niños pequeños" en noruego...
ResponderEliminar¿Qué cojones estabas buscando Chema?
:D
[OffTopic]
ResponderEliminarOye estoy pensando que un NoLusers sobre el Ipad no estaría mal; esperamos con impaciencia tu malvada ironía.
Hmm, si hacemos en una busqueda clasica en google por el tag "dep.no" (sin site:) y nos recorremos los tropecientosmil enlaces que veremos, odin.dep.no aparece no como enlace, pero si en las descripciones breves que se hace de algunos de ellos.
ResponderEliminar(Evidentemente para no verlos todos, se puede hacer trampa y hacer "q=dep.no odin"), supongo que rastreando no solo los enlaces, sino sus contenidos tambien encontrariamos nuevos dominios asociados.
Me da a mi que el proceso seria algo más lento que el utilizado por la foca.
En cuando a balder, pues lo unico que te puedo decir es que es el hijo de odin xDDD
Y en cuando a dep.no (no se onde has preguntao si alguien sabie que era) supongo que sabes que es relativo al gobierno noruego, pero por los contenidos y lugares donde podemos encontrarlo, supongo que es algo asi como ministerios.no pero vamos, que es un suponer ...