Por lo tanto una tarea importante es encontrar u obtener una lista de usuarios válidos en esos sistemas, para poder realizar ataques de fuerza bruta sobre los servicios disponibles (FTP,
VPN, Aplicaciones Web, POP3).
Esta tarea no siempre es fácil, y es por ello que Christian Martorella del departamento de Auditorias ha creado diversas herramientas para ayudar en esta etapa; en esta ocasión
hablaremos de Metagoofil.
Metagoofil es una herramienta que se encarga de extraer Meta-Data (Datos sobre los Datos), de ciertos ficheros accesibles en los websites de nuestro "objetivo".
Los ficheros que utiliza son los clásicos utilizados en ofimática PDF,PPT,DOC,XLS y MDB; del Meta-Data obtenido nos interesa sólo ciertos campos como pueden ser:
- "Author"
- "Last Saved by"
Una vez obtenidos estos nombres, es cuestión de generar un diccionario de posibles nombres de usuarios, alimentar nuestra herramienta preferida de fuerza bruta y esperar que haya suerte.
La manera de operar de la herramienta se basa en realizar busquedas en Google (Google-Hacking) dentro del dominio del objetivo, y sólo de los ficheros con los formatos comentados anteriormente.
Una vez identificados los ficheros, se bajan de la web a nuestra máquina donde Metagoofil, extraerá la información interesante, y por último se generará un HTML con los
resultados.
De esta forma tenemos una fuente más de donde extraer usuarios potenciales de los sistemas objetivos, y otro punto más que proteger por parte de los responsables de seguridad.
Descarga: metagoofil-1.2.tar
0 comentarios:
Publicar un comentario en la entrada