sábado, febrero 20, 2010

Shodan & FOCA

La fría semana noruega y el EPIC FAIL de acabar en LONDON, uno de los dos únicos pub de ambiente Gay en Oslo - por culpa de una Honey Pot rubia que estaba en la puerta y que nos atrajo como corderitos - nos ha llevado a que Palako y yo hayamos pasado mucho tiempo dándole al tarro sobre cosas que se pueden hacer.

Así, aprovechando el tiempo, hemos estado revisando como ir añadiéndolo nuevos retoques a la FOCA, para que ella se haga más atractiva y no tenga que violar pingüinos. Desde hacía tiempo quería ver como usar FOCA con SHODAN, así que estuve probando a ver si la herramienta ofrecia la información de tal manera que nos pudiera ser útil... y vaya que si lo hace.

Tras hablar con John Matherly, responsable del proyecto SHODAN, estuvimos discutiendo lo que queríamos hacer con FOCA, como funcionaba SHODAN, y si podíamos unirlo, cómo y de qué manera.

Ahora mismo SHODAN, para la FOCA, ofrece buena información si estás logado ya que, con la versión 2 de FOCA obtenemos mucha informaciónd de servidores, y la idea es ofrecer un scaneo de software tanto de los servidores internos como externos.

Para reconocer el software de los servidores internos vamos a añadir un reconocimiento de software por el título de los documentos, las rutas de instalación y los própios metadatos. Para el software externo lo mejor es Google Hacking/Bing Hacking y SHODAN. Todo ello juntito para Digi-Mega-Evolucionar la FOCA.

Si te logas con una cuenta de usuario de Shodan.Surtri.com, puedes utilizar el comando net. Este comando te permite preguntar por los resultados que el buscador tiene cacheados de una IP. Así, por ejemplo, bastaría con descubrir una IP con la FOCA 2, como ésta:


Figura 1: IP descubierta

Y preguntarle a SHODAN por la información que tiene indexada de esa dirección IP. En este caso, como se puede ver, nos muestra la información de un Netcaché con IIS 6.


Figura 2: Resuldatos con SHODAN

Lo bueno es que permite el formato json, con lo que es perfecto para indexarlo de forma rápida con la FOCA.


Figura 3: Formato json

Y, además, añadiendo la máscara de red al comando net se puede buscar por todo un segmento, facilitando el descubrimiento de software mediante los banners de servicio.


Figura 4: Formato json en un segmento de red

John nos ha ofrecido liberarnos el login de la cuenta para usar el comando net en la FOCA, pero no tengo claro como hacerlo para no romper su sistema, ya que, al ofrecernos la ayuda para la FOCA tan amablemente, quiero hacerlo lo menos problemático para él. En fin, seguiremos alimentando a la FOCA.

Saludos Malignos!

5 comentarios:

Anónimo dijo...

La idea me parece genial, gran traajo (como la mayoria de las veces)

Por cierto, el primer link de SHODAN esta mal formado y el tercero tienes puesto el nombre de la URL mal aunque el link esta bien ;)

Miguel dijo...

en el primer enlace que haces a shodan te falta una "r" (vaya susto que me llevé que lo daba por muerto).

cada vez mejor esta FOCA, ¡enhorabuena!

Unknown dijo...

Llevaba unas semanas preguntandome que se podría hacer juntando el buscador y la aplicación. También porqué vosotros no habías implementado busqueda en shodan además de los hackings.

Parece ser que era por falta de tiempo, el cual habéis tenido en el ambiente.

Si hubieras preguntado por donde salir en Oslo os hubiera indicado algún lugar "famoso" para españoles con las vikingas noruegas. Para la próxima, :)

NaCl u2

ShadowChild dijo...

Pues debo ser sincero y lo que mas me ha gustado de esta publicacion fue la noticia de la foca violandose al pinguino ( exceso de risas ). Y que tu amigo escucha heavy metal me han dado ganas de compartir unas cervezas con el :D

agux dijo...

Tengo que mirar mejor de qué va eso de Shodan. Pero bueno. Si la FOCA va creciendo... Que así sea.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares