lunes, septiembre 12, 2011

Más sobre FOCA 3

Sí, sabemos que muchos estáis ansiosos para probar la FOCA 3, pero aún estamos a la espera de que StartSSL solucione sus problemas con el hacker iraní para que podamos distribuirla. Mientras tanto, aprovecho para describir alguna de las funciones que trae la nueva FOCA 3, además de todo lo que ya os anticipé en la FOCA 2.7 (Parte I y Parte II) y el cambio de interfaz que os enseñé de la FOCA 3.

Respecto a la versión que está publicada actualmente, la 2.6, tiene añadido lo siguiente:

- Búsqueda de políticas anti-spam del dominio.
- Búsqueda de ficheros ICA y RDP: Usuarios, software en ellos y adición rol de RemoteApp.

Y algunas cosas más:

Escaneo de .DS_Store

Con el auge de los usuarios de Mac OS X, y que hay que hacer algunas cosas divertidas para desactivar la creación de los ficheros .DS_Store, nos hemos dado cuenta que es muy común encontrar estos ficheros .DS_Store en servidores web, para poder listar el contenido de los mismos. Tanto es así, que hemos puesto una opción para hacer una búsqueda directa en todos los directorios encontrados.

Figura 1: Ficheros .DS_Store descubiertos

El ratio de resultado es bastante bueno, mucho mejor incluso que la búsqueda de ficheros .listing, y sí, los hemos encontrado en dominios que "os podéis imaginar".

Fingerprinting de tecnologías y tipos de errores y robots.txt

Hemos ampliado el número de tecnologías a analizar, y se generan errores 403, 404 de JSP, 404 de TCL, 404 normales, además de los 404 de .aspx que ya analizaba. Además, hemos ampliado el número de extensiones a probar, así si aparece un .do, un .server, un .jsf o un .servlet aplicamos el mismo truco que con JSP que salen muchos errores 404 de servidores Java. Además, para generar más URLs, FOCA busca los ficheros robots.txt en cada dominio, genera las URLs y se pasan al motor.

Figura 2: Robots.txt, búsqueda .DS_Store, .listing, métodos inseguros
y múltiples patrones para listado de directorios abiertos

Además, como se puede ver en el panel, con el caracter | se pueden añadir múltiples patrones para reconocer el listado de directorios abiertos.

Análisis de Leaks 

Una de las funciones más chulas que le hemos metido a la FOCA es la de analizar el código fuente de las páginas solicitadas buscando las expresiones regulares de modsecurity_crs_50_outbound.conf, de tal manera que si aparece algún leak de MySQL, Oracle, Java, etc... marcará la página e irá al árbol de vulnerabilidades. Actualmente FOCA FREE solicita muy pocas páginas, luego la búsqueda de leaks se hará en la página principal de cada dominio, el fichero robots.txt, el .DS_Store, el .listing y las páginas de respuesta a las pruebas de errores 403, 400, etc...

Figura 3: Leaks descubiertos en un análisis

Escaneo de errores [Sólo en Pro version]

En la versión PRO, el número de páginas que se solicitan se puede disparar, con lo que el número de leaks que aparecen son mucho mayores. Para ello hemos metido, además de la búsqueda de backups que ya estaba en la versión PRO de la FOCA 2.6, dos escaneos en busca de la generación de errores.

Figura 4: Análisis de errores

El primero de ellos es un escaneo de errores de conversión en las URL parametrizadas, muy común en aplicaciones PHP, como ya os publicamos en el artículo de Data Type Conversion Attack en PHP. El segundo de ellos genera una serie de peticiones cambiando los valores en todos y cada uno de los parámetros descubiertos en las URL parametrizadas, así realizará:

- Una petición con el parámetro vacío.
- Una petición con una comilla simple.
- Una petición con comilla doble.
- Una petición con un número muy grande para generar un fallo de integer overflow 
    (como utilizamos en los ataques de Aritmethic Blind SQL Injection)
- Una petición con una cadena con saltos de línea y caracteres nulos %0d%0a%00.
- Una petición con un string en los valores numéricos del tipo F0C4F0C4.
- Por último una petición con ; y otra con ALT+126.

Vamos, que lo que se busca es comprobar si están bien controlados los errores de datos.

Añadir Shodan y Robtex al algoritmo

Para hacer un descubrimiento de más servidores de forma automática, se ha añadido la opción de lanzar el escaneo de segmentos con Shodan y Robtex como última parte del algoritmo principal, lo que permite descubrir más servidores y lanzar más tareas con solo un clic.

Y algún detalle más como el captcha de Exalead, y solución de los bugs que nos habéis ido pasando, así que espero que todos la podáis disfrutar pronto.

La versión PRO se entregará a todos los asistentes al training de la Ekoparty que voy a impartir el próximo día 20 de Septiembre en Buenos Aires, y en los seminarios online que impartiré los días 5 de Octubre en español y 6 de Octubre en inglés.

Saludos Malignos!

1 comentario:

JuAnKLiMoN dijo...

Muy bueno! Felicitaciones! Gutaaa! :) Saludos!

Entradas populares