viernes, mayo 03, 2013

Shodan y los títulos en HTML: phpinfo() y WAMP Servers

El otro día, cuando os conté cómo había hecho para localizar Applets Java usando Shodan que pudiera probar con el decompilador online de Java, Flash y QR Codes, me quedé con las ganas de jugar más. Si has leído el libro de Hacking con Buscadores ya sabrás la forma peculiar en la que funciona este buscador, pero lo mínimo que debes saber es que es muy similar a un nmap lanzado a todas las direcciones IP de Internet por algunos puertos seleccionados, y guardada la respuesta recibida.

Este comportamiento de Shodan hace que el uso de robots.txt en los servidores web no sirva para nada con la página principal del servidor web que responda por cada dirección IP. Por otro lado, también hay que tener presente que Shodan no indexa sitios webs, ni contenido completo en ellos, solo el resultado de hacer un GET en el servidor web que atiende por cada dirección IP.

Las búsquedas en Shodan, que tan buenos resultados dan en ejemplos como los de servicios SNMP de todo tipo (Windows CE, Windows Server o Windows Mobile, Linux & UNIX, Novel NetWare o dispositivos de red de una empresa), servicios de VoIP o teléfonos concretos (tal y como se usa para en el libro de hacking y seguridad VoIP), e incluso paneles de control de sistemas industriales, aumentaron su potencia desde que el bueno de John Matherly - el alma y el cerebro detrás de Shodan - decidió meter los comandos html y title para poder hacer búsquedas de cadenas de texto dentro los resultados que se obtienen al hacer el GET de la dirección IP.

Así que, con el objetivo de ampliar el número de formas de localizar URLs de ficheros en un servidor web pensé en añadir el parseo de los ficheros phpinfo(), que tantas y buenas direcciones a ficheros locales ofrece.

Figura 1: Rutas locales a ficheros en archivo phpinfo()


Para ello decidi tirar de Shodan usando el comando title y la verdad es que es una pasada el número de ellos que hay disponibles y localizados dentro del servidor, repletos de información jugosa.

Figura 2: Buscando sitios con phpinfo() usando Shodan

Perdiendo un poco el tiempo con ellos, llegué a uno de los servicios que más generar archivos phpinfo() en Shodan, los servidores WAMP, tan comunes en entornos Windows para hacer pruebas con Windows, Apache, MySQL y PHP. Para localizar miles de ellos solo es necesario usar el comando title:WAMPSERVER.

Figura 3: Buscando servidores WAMP con Shodan

Una vez dentro de estos paneles de gestión salen las versiones y opciones habilitadas en la configuración de cada panel, tal y como se puede ver en este ejemplo.

Figura 4: Versiones y extensiones de WAMP

Dentro de él aparecen las herramientas habilitadas, entre las que están los PHPMyAdmin, WebGrind, SQLBuddy o phpinfo(). Como muchos de ellos están configurados para entornos de pruebas, lo que tendremos son muchas contraseñas por defecto, débiles o vacías, lo que deja entornos inseguros al alcance de cualquiera.

Figura 5: SQLBuddy con usuarios y contraseñas de una BBDD

Además, es posible ver todos los proyectos que hay en cada uno de los servidores WAMP, que como no suelen estar en producción, es común encontrarlos con el listado de directorios abiertos.

Figura 6: Proyectos y Herramientas de un WAMP Server

Vamos, que con un poco de hacking con buscadores se puede exprimir Shodan para sacar datos jugosos de las redes de las empresas que se estén auditando. No hay que olvidar que Shodan tiene el comando country para restringir las cadenas por países y el modificar net que permite filtrar los resultados por las direcciones públicas de las empresas a auditar.

Saludos Malignos!

4 comentarios:

quemasda dijo...
Este comentario ha sido eliminado por un administrador del blog.
Chema Alonso dijo...

@Kepa,

he quitado el comentario, porque me parecía un poco "hardcore"... Sorry!

F4l53-19 dijo...

Como no nos cansamos de advertir l@s "malign@s" y, advertir no es nada malo... tod@s pecamos de excesos. Los buscadores no blindan sus servicios de búsqueda adecuadamente, una solución sería, quizá, requerir usuario y clave para acceder desde a según que búsquedas, hasta poder ver el propio código de las webs buscadas.

Con intenciones malignas, el más simple de los actos en la red (buscar) puede convertirse en el comienzo de toda una gama de futuros delitos.

(Sigo intentando leer tu blog entero)

Anónimo dijo...

Hasta ahora no he encontrado una nueva herramienta genial para trabajar con MySQL en win - Valentina Studio. Es la edición gratuita puede hacer las cosas más de las muchas herramientas comerciales!
¡Muy recomendable comprobarlo. http://www.valentina-db.com/en/valentina-studio-overview

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares