Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Kolekcjonowanie dowodów: recon a zrzuty ekranowe stron w sieci [OSINT hints]

06 lutego 2021, 10:32 | W biegu | komentarze 2

Popularne stwierdzenie zawarte w tytule staje się jeszcze bardziej adekwatne w momencie, kiedy zdamy sobie sprawę, że strona, którą kiedyś odwiedziliśmy już nie istnieje, w archiwum typu  Wayback Machine nie została zarchiwizowana, my akurat zapomnieliśmy zrobić zrzutu ekranu lub już nie jesteśmy w stanie przypomnieć sobie, jak doszliśmy do aktualnie otwartej jednej z kilkudziesięciu zakładek w przeglądarce. Sam proces tworzenia screenshotów potrafi także zajmować dużą porcję cennego czasu i uwagi. Więc czemu tego nie zautomatyzować?

WMN_screenshooter

Jakiś czas temu pisałem o narzędziu, które służy do wyszukiwania profili o konkretnym loginie na ponad 280 serwisach: w mediach społecznościowych, na popularnych forach internetowych czy innych stronach – WhatsMyName (autorstwa WebBreachera). Jeśli chcecie dodatkowo mieć widoki wszystkich stron, na których znaleziono użytkownika o poszukiwanej nazwie, możecie skorzystać z bazującego na WhatsMyName skryptu autorstwa swedishmike’a – WMN_screenshooter. Instalacja sprowadza się standardowo do ściągnięcia repozytorium z GitHuba i zainstalowaniu zależności. Dodatkowo należy wskazać bazę stron do przeszukiwania z narzędzia WhatsMyName (w pliku .json), przy czym potrzebny jest nam tylko ten jeden plik, a nie całe narzędzie.

Po znalezieniu stron, na których konto poszukiwanego użytkownika istnieje, skrypt robi zrzuty ekranów i wrzuca je do indywidualnego katalogu dla danego wyszukiwania. Minusem tego rozwiązania jest jego stabilność, bo niestety w przypadku pewnej liczby przeszukiwanych serwisów pojawiają się błędy, które często uniemożliwiają przeprowadzenie pełnego skanowania. Ratunkiem w moim przypadku była jedynie ręczna modyfikacja pliku json i usuwanie wpisów powodujących błędne działanie.

Eyewitness

Drugim z narzędzi, które można „zaprzęgnąć” do robienia zrzutów ekranu podczas rekonesansu jest Eyewitness, przy czym jego możliwości wykraczają znacznie poza screenshoty. Zasilony danymi z pliku tekstowego z listą adresów (po jednym na linię) lub pliku xml wygenerowanego z nmap-a czy nessusa, wykonuje weryfikację możliwości połączenia, zrzuca aktualny wygląd strony i podstawowe informacje o hoście, przy czym bada nie tylko strony (http/https), ale i dostęp po RDP czy VNC (w tym drugim przypadku tylko w ustawieniu bez uwierzytelnienia).

Dodatkowo może to robić poprzez proxy, zmieniać rodzaj urządzenia/oprogramowania, które próbuje się łączyć (manipulacja polem User-Agent), a także wykonywać próby logowania w celu wykrycia danych logowania. Żeby było jeszcze przyjemniej, należy dodać, że narzędzie jest dostępne nie tylko na systemy linuksowe (Kali/Debian 7+), ale także w wersji do samodzielnej kompilacji pod Windows – otrzymujemy wtedy ten sam program w formie pliku .exe.

Fragment raportu z Eyewitness ze zrzutem strony i danymi o hoście

Dodatki

Jeśli już jesteśmy przy archiwizacji stanu przeglądanych stron internetowych, warto wspomnieć też o wtyczkach do przeglądarek. Jednym z lepiej działających dodatków / wtyczek / rozszerzeń, jest moim zdaniem FireShot (jest wersja dla Firefox, dla Chrome, Edge i innych przeglądarek), który nawet w darmowej wersji pozwala na przechwycenie całej strony jednym skrótem klawiszowym (przy okazji – pamiętajcie, żeby nie ufać dodatkom do przeglądarek i weryfikować ich pochodzenie przed instalacją). Dużo opcji oferuje także dodatek Nimbus (dla Firefox i Chrome).

Co ciekawe, funkcje zapisu całych stron do obrazka czy PDF-a powoli stają się częścią samych przeglądarek – Firefox ma od jakiegoś czasu opcję „Wykonaj zrzut ekranu” w menu kontekstowym, a w Edge pod skrótem Ctrl+Shift+S mamy opcję (dostępną także z menu) „Przechwycenie sieci Web”, która wbrew nazwie służy jedynie do wykonywania zrzutu ekranu i umożliwia dodawanie późniejszych adnotacji i zapisywanie go jako obrazka, podobnie do funkcji „Wycinek i szkic” w Windowsie.

Przeglądarkowe, darmowe narzędzia wymagają niestety interakcji użytkownika – jeśli chcemy mieć narzędzie, które będzie podążało za naszymi działaniami w sieci, to warto pomyśleć o opcjach płatnych, jak na przykład Hunchly, które jest jednym z najpopularniejszych narzędzi do wspomagania i archiwizacji śledztw OSINT-owych (chociaż trzeba zaznaczyć, że nie współpracuje z Firefoksem).

Na koniec jeszcze kilka słów o zapisywaniu ekranu w formie nieco bardziej dynamicznej – do tworzenia filmików ze swoich działań, sprawdźcie Screenity – rozszerzenie do Chrome, które nagrywa ekran, pozwala wprowadzać dodatkowe opisy i rysować na ekranie, wskazywać kliknięcia, dodawać dźwięk i eksportować filmy.

Krzysztof Wosiński (@SEINT_pl), prowadzi szkolenia OSINT master #1 oraz OSINT master #2

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jak weryf. dodatki?

    Fajne mini-kompendium – dzieki!

    Mam pytanie do zdania: „przy okazji – pamiętajcie, żeby nie ufać dodatkom do przeglądarek i weryfikować ich pochodzenie przed instalacją”.

    Wiadomo, ze jesli instaluję dodatek spoza serwisu przegladarki, to na wlasna odpowiedzialnosc… Jak mozna probowac zweryfikowac samemu? Czy jest szansa, ze virustotal.com bedzie mial wiedze o „wrogim” dodatku? (Nie wiem, czy programy AV sprawdzaja tez dodatki).

    A jesli instaluję dodatek z serwisu przegladarki, to czy rozsadnie mozna zalozyc, ze producent przegladarki sprawdzil ten dodatek?

    Odpowiedz
  2. SEINT

    Było coś takiego jak Chrome Extension Source Viewer, który pozwala zajrzeć do kodu dodatku. Ogólnie chodzi o zweryfikowanie czy nie ma w manifeście polityki 'unsafe-eval’, co oznacza, że dodatek będzie chciał uruchamiać kod na naszym komputerze. Mozilla nie dopuszcza w ogóle dodatków próbujących uruchamiać zdalny kod.

    Warto oczywiście też sprawdzić komentarze i oceny + informacje o tym dodatku w sieci, to zawsze jakiś poziom oceny bezpieczeństwa.

    Czasami pomaga też sama świadomość, że np. zapis „instant upload” w funkcjonalnościach dodatku wskazuje na funkcjonalność, której nie chcielibyśmy pozwolić działać w naszej przeglądarce.

    Odpowiedz

Odpowiedz