Fingerprinting con wireshark y FOCA

0
comentarios
Hoy vamos a ver como obtener documentos e imágenes y escanearlos con FOCA para obtener los metadatos, como por ejemplo el EXIF en caso de imagenes (que pueden haber sido alteradas).

Los pasos serán:
  1. Hacer un MitM en el segmento de red, para poder hacer sniff con Wireshark.
  2. Poner Wireshark a capturar datos que circulen por la red.
  3. Encontrar documentos de varios tipos y descargarlos.
  4. Usar la FOCA para extraer metadatos de los documentos.

MITM


Para poder capturar con Wireshark, tenemos primero que hacer un mitm en la red con Ettercap:

ettercap -T -q -i eth0 -P dns_spoof -M arp // //


Con esto ya está el MitM activo.

Recuperando documentos con Wireshark


Iniciamos Wireshark con sudo wireshark y vamos a Capture > Interfaces:


Seleccionamos la interfaz que sea y ya estamos capturando, ya podemos ver los paquetes que mandan los ordenadores de la red:
Ahora dependiendo de lo que busquemos, podemos aplicar los siguientes filtros a la captura:
  • png
  • image-gif
  • jpg
Además podemos ir a File > Export > Objects > HTML y ver todos los archivos e imagenes implicados en esa captura. Por ejemplo un pdf, tiene esta pinta:

Podemos ver que el campo Media Type, nos indica que el Content-Type es application/pdf. Además abajo, si observamos los datos en bruto, se puede ver que tiene la típica cabecera PDF: %PDF. Ahora solamente queda descargar el archivo, para ello hacemos click derecho en Media Type: application/pdf, seleccionamos Export Selected Packet Bytes y le ponemos el titulo que queramos y la extensión pdf.

Si queremos hacer un filtrado segun el Content-Type del paquete, solo tenemos que poner este filtro en Wireshark:

http.content_type == "application/msword"
Una pequeña lista con distintos Content-Types:
  • application/pdf
  • application/msword
  • application/vnd.ms-excel
  • image/png
  • image/jpg
  • image/gif
  • image/tiff

Ahora que ya hemos descargado los archivos, vamos a utilizar la herramienta FOCA de Informática64 para escanearlos en busca de metadatos.

Abrimos la FOCA y arrastramos los archivos a la pantalla principal, luego hacemos click derecho y seleccionamos Extract All Metadata.
Una vez haya terminado de extraer los metadatos en el panel lateral veremos algo como esto:
Si consultamos las distintas categorías, obtendremos información del sistema, tal como nombres de usuario (que se pueden usar más tarde para un ataque de fuerza bruta, para hacer ataques LDAP o simplemente ingeniería social), impresoras, el SO de cada sistema, e incluso el software con el que fue creado el archivo (podemos buscar exploits para la versión de cada aplicación). Aquí una muestra de los datos obtenidos:


Office 97 O_o
, , , , ,
Posteado por sshMan el 13.8.11