miércoles, mayo 22, 2019

Metasploit "Wayback Machine" y los grupos de WhatsApp y Telegram #privacidad #WhatsApp #Telegram

Hace ya tiempo Chema Alonso publicó un artículo en el que explicaba cómo tu privacidad podía verse afectada por pertenecer a un grupo de WhatsApp en el cuál el administrador hubiera publicado la URL de suscripción al grupo en cualquier sitio, por ejemplo una página web. Hoy vamos a ver cómo se puede utilizar Metasploit "Wayback Machine" para automatizar aquella idea, no solo con WhatsApp, sino también con Telegram.

Figura 1: Metasploit "Wayback Machine" y los grupos de WhatsApp y Telegram

La idea, como se puede leer en el artículo citado, es que si tienes la URL del grupo de WhatsApp, puedes ver todos los miembros sin necesidad de pertenecer al mismo, con lo que obtienes números de teléfono y fotografías de los miembros del mismo. No voy a entretenerme mucho en esto, porque está la información en el artículo.

Figura 2: Números de teléfno y fotos de miembros de un grupo de WhatsApp

En ese mismo artículo se explicaba cómo, haciendo un poco de Hacking con Buscadores y Hacking con the Wayback Machine, se podían obtener URLs de grupos de WhatsApp desde Google, Bing o desde Archive.org para ver qué personas se habían visto afectadas por este "leak" de información por pertenecer a un grupo de WhatsApp.

Figura 3: URLs de grupos de WhatsApp indexadas en Arvhive.org

Ahora, gracias al módulo para hacer Pentesting con Metasploit de "The Wayback Machine" en la herramienta, es posible automatizar esta enumeración de grupos de WhatsApp indexadas en Archive.org y buscar luego todas las personas pertenecientes a ellos. Para hacerlo, abrimos  primeramente Metasploit y buscamos el módulo haciendo uso del comando "search".

msfconsole
msf > search wayback

Matching Modules
================

   #  Name                                 Disclosure Date  Rank    Check  
   -  ----                                 ---------------  ----    ----- 
   1  auxiliary/scanner/http/enum_wayback                   normal  No     


En la descripción de ese módulo ya podemos ver que nos va a servir para este propósito ya que nos da "Archive.org Stored Domain URLs". Si miramos las opciones de configuración para utilizarlo, vemos que debemos indicar el dominio que nos interesa y el nombre del fichero en el que queremos que nos deje las URLs - de grupos de WhatsApp en este caso - que localice.

Figura 4: Configuración del módulo enum_wayback

Ahora para utilizar el módulo y sacar las URLs de grupos de WhatsApp indexadas en Archive.org ejecutamos los siguientes comandos y obtenemos nuestro resultado en el fichero de salida que configuramos.

msf auxiliary(scanner/http/enum_wayback) > set DOMAIN chat.whatsapp.com
DOMAIN => chat.whatsapp.com
msf auxiliary(scanner/http/enum_wayback) > set OUTFILE /home/chat.txt
OUTFILE => /home/chat.txt
msf auxiliary(scanner/http/enum_wayback) > run

[*] Pulling urls from Archive.org
[*] Located 51370 addresses for chat.whatsapp.com
[*] Writing URLs list to /home/chat.txt...
[*] OUTFILE did not exist, creating..

Para conseguir el mismo resultado, pero ahora con Telegram, lo único que tenemos que hacer es cambiar la configuración de DOMAIN, usando ahora el popular t.me. Como vemos, en Archive.org hay más de 5.000 URLs de grupos de Telegram indexadas.

Figura 5: Un total de 5.525 URLs de t.me guardadas

Y, como resultado, obtendremos un  nuevo fichero de URLs, en este caso de grupos de Telegram que podemos utilizar después.

msf auxiliary(scanner/http/enum_wayback) > set DOMAIN t.me
DOMAIN => t.me
msf auxiliary(scanner/http/enum_wayback) > set OUTFILE /home/chat2.txt
OUTFILE => /home/chat2.txt
msf auxiliary(scanner/http/enum_wayback) > run

[*] Pulling urls from Archive.org
[*] Located 5525 addresses for t.me
[*] Writing URLs list to /home/chat2.txt...
[*] OUTFILE did not exist, creating..

Si ya tienes los ficheros con las URLs, ahora lo que hay que hacer es automatizar el proceso de ir a las webs de registro de los grupos de WhatsApp y Telegram para comprobar si siguen vivos, y hacer un poco de WebScrapping para recoger la información, pero esa ya es otra automatización. A ver si alguien se anima y nos hace el script.

Autor: Gustavo a.k.a Rootkit Pentester freelance (rootkit.redbird@gmail.com)

4 comentarios:

  1. Estuve haciendo un poco de investigación y desde la web ahora solo se puede ver el nombre y la foto del grupo, ya no está publicado el listado de participantes.

    Por otro lado, desde whatsapp web podés ver en un popup el nombre del grupo, la foto, el número (o nombre si lo tenés agendado) del creador del grupo, la descripción y aunque aparece la cantidad de participantes, siempre aparece en 0 aunque ese no sea el número real. Desde la app de whatsapp para android si te dice la cantidad de participantes/contactos, pero no tenés acceso a la información de los miembros hasta que no te unas. De todas formas si se puede hacer un crawler desde whatsapp web entrando y saliendo de los grupos, aunque solo podrás acceder a información pública de cada número (aunque ya es bastante!). Si tengo tiempo hago una poc!

    ResponderEliminar
  2. Dale la espero con gusto Nelson!. Un placer, si a lo mejor puede ser un ataque con intruder con Burp con diccionario o una combinación concreta, a lo mejor te ahorras el scripting. Un saludo grande!!!. Rootkit. Email: rootkit.redbird@gmail.com

    ResponderEliminar
  3. No entiendo... a que viene el anterior comentario???.

    ResponderEliminar
  4. Seguramente a un tripi que le sentó mal en su juventud tonteando con las drogas.

    ResponderEliminar