Hoy vamos a ver como obtener documentos e imágenes y escanearlos con FOCA para obtener los metadatos, como por ejemplo el EXIF en caso de imagenes (que pueden haber sido alteradas).
Los pasos serán:
- Hacer un MitM en el segmento de red, para poder hacer sniff con Wireshark.
- Poner Wireshark a capturar datos que circulen por la red.
- Encontrar documentos de varios tipos y descargarlos.
- Usar la FOCA para extraer metadatos de los documentos.
MITM
Para poder capturar con Wireshark, tenemos primero que hacer un mitm en la red con Ettercap:
ettercap -T -q -i eth0 -M arp // //
Image may be NSFW.
Clik here to view.
Con esto ya está el MitM activo.
Recuperando documentos con Wireshark
Iniciamos Wireshark con sudo wireshark y vamos a Capture > Interfaces:
Image may be NSFW.
Clik here to view.
Seleccionamos la interfaz que sea y ya estamos capturando, ya podemos ver los paquetes que mandan los ordenadores de la red:
Image may be NSFW.
Clik here to view.
Ahora dependiendo de lo que busquemos, podemos aplicar los siguientes filtros a la captura:
- png
- image-gif
- jpg
Además podemos ir a File > Export > Objects > HTML y ver todos los archivos e imagenes implicados en esa captura. Por ejemplo un pdf, tiene esta pinta:
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Podemos ver que el campo Media Type, nos indica que el Content-Type es application/pdf. Además abajo, si observamos los datos en bruto, se puede ver que tiene la típica cabecera PDF: %PDF. Ahora solamente queda descargar el archivo, para ello hacemos click derecho en Media Type: application/pdf, seleccionamos Export Selected Packet Bytes y le ponemos el titulo que queramos y la extensión pdf.
Si queremos hacer un filtrado segun el Content-Type del paquete, solo tenemos que poner este filtro en Wireshark:
http.content_type == "application/msword"
Una pequeña lista con distintos Content-Types:
- application/pdf
- application/msword
- application/vnd.ms-excel
- image/png
- image/jpg
- image/gif
- image/tiff
Ahora que ya hemos descargado los archivos, vamos a utilizar la herramienta FOCA de Informática64 para escanearlos en busca de metadatos.
Image may be NSFW.
Clik here to view.
Abrimos la FOCA y arrastramos los archivos a la pantalla principal, luego hacemos click derecho y seleccionamos Extract All Metadata.
Una vez haya terminado de extraer los metadatos en el panel lateral veremos algo como esto:
Image may be NSFW.
Clik here to view.
Si consultamos las distintas categorías, obtendremos información del sistema, tal como nombres de usuario (que se pueden usar más tarde para un ataque de fuerza bruta, para hacer ataques LDAP o simplemente ingeniería social), impresoras, el SO de cada sistema, e incluso el software con el que fue creado el archivo (podemos buscar exploits para la versión de cada aplicación). Aquí una muestra de los datos obtenidos:
Image may be NSFW.
Clik here to view.
Office 97 O_o