Hoy en DragonJAR os enseñamos otra herramienta que nos sirve para identificar que tecnologías usa un servidor web.

Esto nos será muy útil ya que nos permitirá poder enfocar un ataque/análisis mas concreto.

Con los ataques de denegación de servicio los administradores optan por usar servicios de protección para que sus sitios web no caigan ante un ataque.

Uno de esos servicios es Cloudfare, veamos un gráfico para saber mejor como funciona:

Protect-CloudFlare

Servicios como Cloudfare o Akamai tendrán ciertas partes del sitio web protegido pero rara vez tendrán todo el sitio akamaizado o en la red de Cloudfare.

Podemos tratar de identificar un punto de entrada que no pase por este sitio web.

Vamos a ver unos ejemplos de uso con WhatWeb:

Bajamos WhatWeb y escaneamos el primer sitio web:

darkmac:WhatWeb marc$ ./whatweb www.ub.edu
http://www.ub.edu [302] Apache, Country[EUROPEAN UNION][EU], HTTPServer[Apache], IP[161.116.100.2], RedirectLocation[http://www.ub.edu/web/ub/ca/], Title[302 Found]
http://www.ub.edu/web/ub/ca/ [200] Apache, Country[EUROPEAN UNION][EU], DublinCore, Google-Maps, HTTPServer[Apache], IP[161.116.100.2], Script, Title[Universitat de Barcelona – Home]

Podemos ver la información que ha extraído WhatWeb, vamos a ver otro caso.

darkmac:WhatWeb marc$ ./whatweb http://www.whitehouse.gov
http://www.whitehouse.gov [200] AddThis, Country[EUROPEAN UNION][EU], Drupal, Frame, IP[195.59.150.147], OpenGraphProtocol[100000095507875], Script, Title[The White House], UncommonHeaders[x-drupal-cache,x-varnish,x-ah-environment,x-pf-uncompressing], Varnish, X-UA-Compatible[IE=9]

Podemos ver que no ha podido identificar que se trata de un Drupal pero vemos cosas como:

x-drupal-cache

Por lo que sabemos que hay un Drupal detrás.

Si lo lanzamos encima de otra web:

darkmac:WhatWeb marc$ ./whatweb https://www.bicing.cat
https://www.bicing.cat [200] Apache[2.2.16], Country[UNITED KINGDOM][GB], Drupal, Frame, HTTPServer[Debian Linux][Apache/2.2.16 (Debian)], IP[62.97.112.138], JQuery[1.9.1], MetaGenerator[Drupal 7 (http://drupal.org)], PHP[5.3.3-7+squeeze15], PasswordField[pass], Script, Title[Bicing | Mou-te en Bicing, cuida de tu i de Barcelona], UncommonHeaders[x-generator], X-Powered-By[PHP/5.3.3-7+squeeze15]

Podemos ver que ha identificado que es un Drupal pero que también ha extraído que es una distribución Debian y la versión.

Habrá sitios webs de los que casi no podremos obtener información.

darkmac:WhatWeb marc$ ./whatweb http://www.mossad.gov.il
http://www.mossad.gov.il [200] Country[ISRAEL][IL], IP[147.237.72.71], Script

Otro caso:

darkmac:WhatWeb marc$ ./whatweb http://www.wikipedia.org
http://www.wikipedia.org [200] Apache, Country[NETHERLANDS][NL], HTML5, HTTPServer[Apache], IP[91.198.174.225], probably MediaWiki, Script, Title[Wikipedia], UncommonHeaders[x-content-type-options], X-Cache[sq63.wikimedia.org, MISS from amssq38.esams.wikimedia.org, HIT from amssq43.esams.wikimedia.org,sq63.wikimedia.org:3128, HIT from amssq38.esams.wikimedia.org:3128, HIT from amssq43.esams.wikimedia.org:80]

Aquí podemos ver que dice cosas como que probablemente se trata de MediaWiki.

¿Como sabemos que versiones detecta?

Pues podemos saberlo preguntandole a WhatWeb sobre un CMS en concreto por ejemplo

darkmac:WhatWeb marc$ ./whatweb -I joomla
WhatWeb Plugin Information
Searching for joomla
——————————————————————————–
Plugin Name Details
FreeJoomlas_com
Author: Brendan Coles <[email protected]>
Version: 0.1
Examples: 9
Matches: 1
Passive function: No
Aggressive function: No
Version detection: No
Description:
FreeJoomlas.com – We provide free hosting for your Joomla portals. It
is absolutely FREE. Moreover, we provide FREE subdomains
(YOURNAME.FreeJoomlas.com) and UNLIMITED data transfer. – homepage:

The Best Free Joomla Hosting Since 2005

——————————————————————————–
Joomla
Author: Andrew Horton
Version: 0.7
Examples: 18
Matches: 4
Dorks: 1
Passive function: Yes
Aggressive function: Yes
Version detection: Yes
Description:
Opensource CMS written in PHP. Aggressive version detection compares
just 5 files, valid for versions 1.5.0-1.5.22 and 1.6.0-1.6.1.
Homepage: http://joomla.org.

Como veis WhatWeb nos es muy útil y nos puede dar gran información sobre un sitio web en concreto.

Podéis descargar WhatWeb desde aquí

http://www.morningstarsecurity.com/research/whatweb

Congreso Hacker Colombia