Clonar un Sitio Web con HTTrack
HTTrack es un programa de software libre, y una utilidad fácil de usar para realizar una navegación fuera de linea (off-line). Este programa permite descargar un sitio web desde Internet a un directorio local, construyendo recursivamente todos los directorios, obteniendo HTML, imágenes y otros archivos desde el servidor hacía una computadora. HTTrack arregla la estructura de enlaces relativa al sitio original. Simplemente abrir una página del sitio web "replicado" en el navegador, y se puede navegar el sitio web de enlace a enlace, como si se estuviese visualizándolo en línea (on-line). HTTrack también actualiza un sitio existente replicado, y reanuda una descarga interrumpida. HTTrack es completamente configurable, y tiene un sistema de ayuda integrado.
Para la siguiente práctica se utilizará una máquina virtual ejecutando BadStore.
Utilizar HTTrack para clonar un sitio web. La opción “--mirror” permite realizar la réplica de un sitio web. Se han incluido dos opciones de Spidering, la opción “bN” acepta las cookies en cookies.txt, y la opción “sN” sigue al archivo robots.txt y etiquetas meta de robots. La opción “-O” define un directorio donde se almacenarán los archivos y carpetas del sitio web objetivo.
$ httrack --mirror -bN -sN http://192.168.0.31/ -O /tmp/sitioweb/
Listar los archivos y directorios que han sido creados y descargados desde el sitio web objetivo.
Abrir un navegador web como Firefox, y escribir en la barra de direcciones la carpeta indicada en el comando HTTrack, donde se han descargado todos los archivos del sitio web.
En una Prueba de Penetración, el clonar o hacer una réplica de un sitio web permite analizar el contenido completo de un sitio web, todas sus páginas y archivos fuera de linea (off-line). Con esta información se pueden buscar y extraer cadenas o palabras claves, crear listas de palabras que podrán ser luego utilizadas como posibles contraseñas contra algún mecanismo de autenticación. También se puede utilizar estas réplicas de un sitio web para desplegar sitios web de phishing, o en ataques de Ingeniería Social.
Fuentes:
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero
