PDF-Parser, tratando documentos PDF
ene26

PDF-Parser, tratando documentos PDF

Para revisar rápidamente un documento PDF, por ejemplo por si quieres saber si es malicioso o no, no hace falta que lancemos el documento a una sandbox, esperar los resultados.. o Usar herramientas como PeePDF para analizar el archivo a fondo. Hay herramientas con 5,6 u 7 opciones que cumplen perfectamente su propósito. La herramienta se llama PDF-Parser y está desarrollada por Didier Stevens. La descargamos y la ejecutamos: Usage: pdf-parser.py [options] pdf-file|zip-file|url pdf-parser, use it to parse a PDF document &nbsp; Options: --version             show program's version number and exit -h, --help            show this help message and exit -s SEARCH, --search=SEARCH string to search in indirect objects (except streams) -f, --filter          pass stream object through filters (FlateDecode, ASCIIHexDecode, ASCII85Decode, LZWDecode and RunLengthDecode only) -o OBJECT, --object=OBJECT id of indirect object to select (version independent) -r REFERENCE, --reference=REFERENCE id of indirect object being referenced (version independent) -e ELEMENTS, --elements=ELEMENTS type of elements to select (cxtsi) -w, --raw             raw output for data and filters -a, --stats           display stats for pdf document -t TYPE, --type=TYPE  type of indirect object to select -v, --verbose         display malformed PDF elements -x EXTRACT, --extract=EXTRACT filename to extract malformed content to -H, --hash            display hash of objects -n, --nocanonicalizedoutput do not canonicalize the output -d DUMP, --dump=DUMP  filename to dump stream content to -D, --debug           display debug info -c, --content         display the content for objects without streams or with streams without filters --searchstream=SEARCHSTREAM string to search in streams --unfiltered          search in unfiltered streams --casesensitive       case sensitive search in streams --regex               use regex to search in streams &nbsp; pdf-parser, use it to parse a PDF document Source code put in the public domain by Didier Stevens, no Copyright Use at your own risk https://DidierStevens.com Como veis no tiene tantas opciones como podría tener una herramienta como PeePDF, pero nos servirá perfectamente para nuestro propósito. Una de las cosas útiles es la búsqueda de strings dentro del PDF obj 1 0 Type: /Page Referencing: 3 0 R, 5 0 R &nbsp; << /MediaBox [0 0 1 1] /Type /Page /Contents 3 0 R /Parent 5 0 R >> &nbsp; &nbsp; obj 21 0 Type: Referencing: 20 0 R, 8 0 R &nbsp; << /DA ( /Helv 0 Tf 0 g ) /Fields [20 0 R] /XFA 8 0 R >> &nbsp;...

Leer Más

Ejemplo Reporte de PenTest

Ejemplo Reporte de PenTest, gracias a Daniel Rodríguez (@dvirus), me entero que Ofensive Security (los creadores de BackTrack), han liberado un ejemplo de reporte que utilizan en sus test de penetración, a mi parecer esta bien estructurado y contiene los elementos justos que se deben mostrar en un reporte de este tipo. Es muy común escuchar entre los profesionales de la seguridad informática, las quejas a la hora de hacer el reporte de un pentest, la verdad es que no conozco el primero que disfrute haciendo este tipo de informes, pero siempre que escucho este tipo de quejas les recuerdo a estos profesionales que el informe es el producto que el cliente puede ver, es por lo que la empresa ha pagado y se espera mucho de él, por tanto debemos realizarlo lo mejor que podamos, explicar detalladamente (la parte técnica) para que el área de sistemas puedan entender los problemas encontrados y también lo suficientemente claro como para que un gerente entienda que es lo que esta pasando en la empresa. El reporte o informe cobra especial importancia para aquellos profesionales que trabajamos independientes, ya que con él, nuestro cliente sacará una conclusión del trabajo realizado, asumiendo que si el reporte esta bien hecho, el trabajo estará igual, por lo que muchas veces del reporte entregado depende el que nos vuelvan a contratar en dicha empresa o nos recomienden con otra. Personalmente me gusta leer reportes de otras personas/empresas ya que normalmente se suele aprender mucho de ellos, alguna nueva forma de extraer información o ingresar a un equipo, pero también se aprende mucho de como se presenta dicha información, extrayendo lo que me parece interesante para hacerlo igual en mi próximo informe. Por eso les dejo hoy este ejemplo reporte de PenTest, que seguramente a muchos les será de utilidad a la hora de presentar los resultados de un test de penetración en una empresa. (Click aquí para descargar el Ejemplo Reporte de PenTest en PDF) Espero que les sea de...

Leer Más

FOCA – Herramienta para análisis de Meta Datos

FOCA, Es increíble pensar que llevo bastante tiempo utilizando la FOCA y nunca le había dedicado un artículo a este animal, a pesar de haber publicado varias charlas de Chema Alonso donde daba a conocer su mascota. ¿Que es la FOCA? FOCA (Llamado así en honor a Francisco OCA, aunque luego buscaran las siglas “Fingerprinting Organizations with Collected Archives”) es una herramienta para encontrar Metadatos e información oculta en documentos de Microsoft Office, Open Office y documentos PDF/PS/EPS, extraer todos los datos de ellos exprimiendo los ficheros al máximo y una vez extraídos cruzar toda esta información para obtener datos relevantes de una empresa. ¿Que funciones tiene la FOCA? La foca hace Google y Bing Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información: Nombres de usuarios del sistema Rutas de archivos Versión del Software utilizado Correos electrónicos encontrados Fechas de Creación, Modificación e Impresión de los documentos. Sistema operativo desde donde crearon el documento Nombre de las impresoras utilizadas Permite descubrir subdominios y mapear la red de la organización Nombres e IPs descubiertos en Metadatos Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o API] Búsqueda de registros Well-Known en servidor DNS Búsqueda de nombres comunes en servidor DNS Búsqueda de IPs con resolución DNS Búsqueda de nombres de dominio con BingSearch ip Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno Transferencia de Zonas Detección automática de DNS Cache Vista de Roles Filtro de criticidad en el log Entre otras muchas cosas… Ahora en la versión 3.0 los chicos de Informatica64 han dado un nuevo aire a la herramienta, cambiando completamente su interface, añadiendo nuevas funcionalidades, en fin… les dejo el listado de cambios, con los respectivos enlaces para que analices cada uno en profundidad: Re-styling del interfaz. Panel de tareas multi-hilo. Búsqueda de puertos de squid proxy. Búsqueda de registros de servicio en DNS. Búsqueda de políticas anti-spam del dominio [SPF, DKIM, Domainkey] Búsqueda de ficheros ICA y RDP: Usuarios, software en ellos y adición rol de RemoteApp. Análisis de .DS_Store Análisis de Robots.txt Integración de Shodan y Robtex en el algoritmo Análisis de Leaks [Solo en versión PRO] Análisis de errores de aplicación Ampliación de tecnologías La foca es especialmente útil, en la tarea previa a un pen-test, donde debemos recolectar toda la información posible sobre el objetivo para que nuestra tarea se realice de la mejor forma. Aquí podemos ver a Chema mostrando su FOCA, durante su charla en el VI Congreso Latinoamericano de Respuesta a Incidentes de Seguridad...

Leer Más

eBook sobre Analisis de PDF’s Maliciosos

En la pasada BruCon, Didier Stevens realizo un workshop donde enseñaba a los asistentes de este evento, los fundamentos del análisis de documentos PDF maliciosos, en este taller practico, los asistentes dotados de sus portátiles, maquinas virtuales y una copia del eBook escrito por Didier, debían analizar diferentes amenazas contenidas dentro de los archivos PDF. Hoy Stevens ha publicado en su blog una copia del eBook que entregaron en su WorkShop de la BruCon, el cual comparto con todos ustedes. Descargar eBook sobre Análisis de PDF’s Maliciosos Mas Información: Información del WorkShop en la BruCon Anuncio de Didier Stevens en su...

Leer Más

Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad

Hace poco vimos como un miembro del Dev-Team mas conocido como @comex nos presentaba un nuevo método de Jailbreak que permitía realizar este procedimiento en cualquier iPhone, iPod Touch e iPad el procedimiento es bastante simple, basta con navegar desde nuestro Safari en una pagina especialmente diseñada, deslizar nuestro dedo y en poco tiempo tendremos el “Jailbrekeado” nuestro dispositivo. En realidad lo que hace el JailbreakMe es explotar una vulnerabilidad en la forma como maneja  los archivos PDF el navegador Safari Mobile, utilizado en los dispositivos móviles de Apple (iPhone, iPod Touch, iPad) para ejecutar código arbitrario, en este caso ejecutar el instalador del Jailbreak. En esta ocasión han explotado una vulnerabilidad en nuestro sistema, para realizar algo que deseábamos (liberar nuestro dispositivo), pero.. ¿que pasaría si una persona mal intencionada aprovecha esta vulnerabilidad?… la respuesta es que podría tomar total control de tu gadget favorito para hacer con el lo que quiera. De momento Apple no ha publicado un parche oficial para solucionar este problema de seguridad, pero afortunadamente Will Strafach un colaborador del proyecto Cydia, ha publicado una solución no oficial para resolver este fallo de seguridad, para instalarlo irónicamente tendrías que tener “Jailbreakeado” tu dispositivo y desde Cydia instalar el hack “PDF Loading Warner“, lo que hace este parche es pedirnos una confirmación en el Safari, cada vez que queramos abrir un archivo PDF (en vez de abrirlo sin pedir permiso como lo hace por defecto). Algunas Recomendaciones: Utilizar un navegador alternativo a Safari Mobile (recomiendo Opera Mini) No abrir ningún archivo PDF desde tu dispositivo móvil. Instalar el hack “PDF Loading Warner” desde Cydia (necesitas realizar el jailbreak en tu equipo) Actualizar a la ultima versión del iOS (al parecer pronto llegara la versión 4.1 del iOS, donde se soluciona este problema) Espero que estés pendientes de las nuevas actualizaciones al iOS y de los archivos que abres en el navegador de tu iPhone, iPod Touch o...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES