jueves, 20 de abril de 2017

De lo pequeño, a lo grande

Fue ayer mismo cuando ya os hablé de cómo pueden estra expuestos los reportes realizados desde Havij. Hoy os voy a comentar cómo se puede aprovechar la motivación que sentimos al ver que hay una gran base de datos expuesta para realizar ataques mayores.



Lo primero que tendremos es la base de datos expuesta, lo cuál nos motivará para estudiar su seguridad algo más en profundidad.


En la parte de host_name tenemos que casi todo es localhost excepto un resultado que es el de una web externa. Aquí nos puede interesar atacar.


Haciendo una comprobación sencilla, vemos que la política spf que usan es "No lo tires a la basura aunque el mail que recibas pueda ser falso". Lo siguiente que deberemos de hacer es intentar obtener el número máximo de direcciones de correos electrónicos de esta empresa, ya que si fuésemos unos atacantes, nos podría interesar para temas de Phishing, una vez vista su política spf.


Con una máquina Kali Linux y usando whatweb, podemos obtener una mayor información de la web.


Con TheHarvester podemos obtener ya algunas direcciones de correo electrónico, que podemos usarlas para crear un Phshing sencillo enviándole por ejemplo, un PDF infectado. Hasta aquí solamente es una parte de la recogida de información, pero con esta información y usándola correctamente, se puede meter en un gran problema a esta web y por tanto, a la web que ha sufrido la fuga de información de la base de datos.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...