martes, 26 de junio de 2018

Generación de diccionario de usuarios tipo jmolina@ gracias a linkedin scraping.

Estimados amigos de Inseguros !!!

Una de las opciones que tenemos a la hora de realizar un pentest o auditoria es la fuerza bruta.

Debemos detectar aquellos sistemas que no protegen de ataques de este tipo, pero debemos ir un paso más allá e intentar demostrarlo mediante la obtención de una clave válida.

Ahora vamos a imaginarnos un escenario de auditoria bastante común en las empresas, los nombres de usuario.

Conoces alguna empresa en la que la nomenclatura del usuario sea napellido@  o n.apellido@ ?

Contar con un diccionario de este tipo sin duda te ayudará para detectar usuarios.

Si a esto le sumas la capacidad de usar las redes sociales corporativas, como pueda ser Linkedin, para realizar un proceso de búsqueda de empleados que trabajan en la empresa objetivo, podemos crear un diccionario de usuarios más acercado a la realidad que uno descargado de internet con los ene mil nombres de usuario más comunes...



Para realizar la tarea de scrapping linkedin puedes usar esta herramienta muy cómoda.

https://github.com/test4a/linkScrape

No usa ni API ni nada sofisticado, te pide tu usuario y contraseña linkedin para poder acceder...



Ahora podemos usar la magia del lenguaje de programación que más te guste para combinar nombres y apellidos en una lista usable.

Durante varios procesos he creado una lista con nombre +apellido de los apellidos más habituales, creo que es útil para completar con tu proceso de scrapping de linkedin.

Si quieres descargar mi lista la tienes en mi github:

https://github.com/kinomakino/hackingtools/tree/master/diccionarios

Espero que te sirva !!!

Gracias por leerme !!


miércoles, 6 de junio de 2018

Usando DefectDojo para control de vulnerabilidades

Estimados amigos de Inseguros !!!

Cuando ofrecemos servicios de auditoría o pentesting, o incluso como cliente te planteas hacer un proyecto de este tipo, es indudable que aparezca el temor a que el resultado del trabajo sea un entregables, en papel, más o menos bonito, con un montón de hallazgos y soluciones, pero escasas herramientas de tracking de cambios.

En algunos clientes se acompaña el trabajo de auditoria con el trabajo de gestión del proyecto global, incluidos los resultados. Me eeeeeexplicoooooo.



Si en una auditoría se detecta la necesidad de hacer una actualización puntual, se crea un ticket en la plataforma de incidentes del cliente ( o nuestra) para poder establecer un control sobre la remediación. Qué persona se va a encargar, cuando, como, rellenar una KB, etc etc.

A las malas malas malas, estoy hablando de usar ese libro gordo de petete del resultado de la auditoría, e ir "tachando" qué se va a haciendo !!!

Una de las cosas que se mide en la mayoría de normativas de seguridad y certificaciones es el control de las auditorias. Bueno, en primer lugar es que la organización pase auditorías, pero lo segundo es que se vayan controlando los cambios y solucionando los hallazgos.

Para meternos más en este mundo, voy a comentar una aplicación que he visto por las redes sociales que me parece muy interesante para esta gestión. Quizás más interna por lo que veremos ahora, pero vamos paso a paso y vamos a instalarla. Me refiero a DEFECT DOJO.

Como en todo lo "moderno", podemos usar contenedores tanto en Docker como en vagrant, pero yo soy de montarme mi máquina virtual en Azure e instalar desde cero.

El proceso es sencillo, instala Mysql y corre el script de instalación. Nota mental, en las nuevas Debian 9 mysql es Mariadb, y hay alguna librería de desarrollo que cambia y da problemas, asegúrate de montar el aplicativo sobre Mysql.

También tendrás que permitir los allowed_host para la app en django y poco más...


Vamos a hacer uso de las integraciones que nos trae el framework de casa.



Vamos a crear un producto, vamos a establecerle unos test y vamos a subir un report de Burp con una Sql Injection.



Como se aprecia en la imagen, se adquiere la información de Burp y se pueden añadir imágenes.

El framework permite añadir una plantilla para cada tipo de elemento, lo típico de nuestro trabajo de tener el texto en castellano con nuestra explicación...

Sin duda es una herramienta con mucho potencial, gracias a su integración con JIRA y la gestión de tickets.

Voy a darle unas pocas vueltas y otro día vemos más cosas.

Un saludo, gracias por leerme !!!


Aquí te paso un video de una demo por si te interesa ampliar información:

https://youtu.be/3Voscdxg4FA