blog

WHOIS es un protocolo de petición /respuesta orientado a transacciones basado en TCP, el cual se utiliza ampliamente para proporcionar servicios de información a los usuarios de Internet. Aunque originalmente se utilizó para proporcionar servicios de "páginas blancas" e información sobre nombres de dominio registrados, las implementaciones actuales abarcan una rango más amplio de servicios de información. El protocolo entrega su contenido en un formato legible para los seres humanos.

Dominios reversos asociados

Se puede utilizar la opción “-d” para visualizar los dominios reversos asociados con bloques de direcciones IP devueltos por una consulta sobre una dirección IP o rango de direcciones IP.

$ whois -d 194.55. 26.46

Esta opción debe ser utilizada cuando se consulta, una dirección IP, un rango de direcciones IP, o un prefijo de dirección IP.

Esta opción devuelve: una coincidencia exacta o el rango de direcciones IP más pequeño incluyendo la dirección IP, o el rango especificado en la consulta. También devuelve el dominio reverso más pequeño abarcando ese rango de direcciones IP.

Esta opción resulta importante para visualizar el dominio reverso asociado con una dirección IP o rango de direcciones IP, y verificar si dominios reversos han sido creados para todo el espacio de direcciones IP asignada.

En la demostración realizada los resultados muestran el texto “Reverse delegation for customer Deutsche Welle” en el campo de nombre “descr”. Así mismo tres servidores de nombres en los campos de nombre “nserver”. Entre otra información mi relevante.

Fuentes:

https://datatracker.ietf.org/doc/html/rfc3912
https://www.ripe.net/publications/docs/ripe-401/
https://linux.die.net/man/1/whois
https://www.apnic.net/manage-ip/using-whois/searching/query-options/

Fuentes:

https://belkasoft.com/ram-capturer

Fuentes:

https://www.magnetforensics.com/resources/magnet-ram-capture/

Fuentes:

https://www.exterro.com/ftk-product-downloads/ftk-imager-version-4-5
https://d1kpmuwb7gvu1i.cloudfront.net/Imager/4_3_0/FTKImager_UG.pdf

VBoxManage es la interfaz en línea de comandos de Oracle VM VirtualBox. Con esto se puede controlar completamente Oracle VM VirtualBox desde la línea de comandos del sistema operativo anfitrión. VBoxManage soporta todas las funciones a las cuales brinda acceso la interfaz gráfica de usuario, pero soporta mucho más a sólo esto. Expone todas las funcionalidades del motor de virtualización, incluso aquellas a las cuales no se puede acceder desde la GUI.

Archivos de Imágenes de Disco (VDI, VMDK, VHD, HDD)

Los archivos de imagen de disco residen en el sistema anfitrión, y son vistos por los sistemas invitados como discos duros de una geometría determinada. Cuando un sistema operativo invitado lee o escribe hacia un un disco duro, Oracle VM VirtualBox redirige la solicitud hacia el archivo de imagen.

Como un disco físico, un disco virtual tiene un tamaño o capacidad la cual se debe especificar cuando se crea el archivo de imagen. A diferencia de un disco físico, Oracle VM VirtualBox permite expandir un archivo de imagen después de su creación, incluso si ya contiene datos.

Oracle VM VirtualBox admite los siguientes tipos de archivos de imagen de disco:

VDI. Normalmente Oracle VM VirtualBox utiliza su propio formato de contenedor para los discos duros invitados. Esto es denominado como archivo de imagen de disco virtual (VDI). Este formato se utiliza cuando se crea una nueva máquina virtual con un nuevo disco.

VMDK. Oracle VM VirtualBox también soporta completamente el formato contenedor VMDK, el cual utilizan muchos otros productos para virtualización, como VMware.

VHD. Oracle VM VirtualBox también es soporta totalmente el formato VHD utilizado por Microsoft.

HDD. También se admiten los archivos de imagen para la versión 2 de Parallels (formato HDD).

Debido a la falta de documentación del formato, las versiones más nuevas, como la 3 y la 4, no son soportada. Se puede convertir tales archivos de imagen hacia la versión 2 del formato utilizando las herramientas proporcionadas por Parallels.

Se ejecuta el comando VBoxManage utilizando la opción clonehd. Esta opción crear un clon de un medio.

$ VBoxManage clonehd Win10-disk001.vdi Windows_10_For.dd -format raw

La opción “-format” especifica el formato del archivo del medio de destino, si es diferente del formato del medio de origen. Los valores válidos son VDI, VMDK, VHD, RAW y otros.

Por compatibilidad con versiones anteriores de Oracle VM VirtualBox, se puede utilizar los comandos clonevdi y clonehd, en lugar del comando clonemedium

Con el archivo en formato RAW (dd) o en crudo, se puede proceder a realizar un proceso de análisis forense, previa verificación de sus respectivos hashes.

Fuentes:

https://www.virtualbox.org/manual/ch08.html
https://docs.oracle.com/en/virtualization/virtualbox/6.0/user/vdidetail…

El buscador Google es un motor de búsqueda completamente automatizado, el cual utiliza software conocido como rastreadores web (Web Crawlers), los cuales exploran la web regularmente para encontrar páginas y añadirlas a su índice. De hecho la gran mayoría de páginas listadas en los resultados no son manualmente enviadas para su inclusión, sino son encontradas y añadidas automáticamente cuando los rastreadores web exploran la web.

La manera más simple de buscar una dirección de correo electrónico en Google es colocando la dirección de correo electrónico en el recuadro de búsqueda.

usuario @ example. org

El número de resultados obtenidos por Google es de 155.

Se realiza una nueva búsqueda, pero ahora se delimita la dirección de correo electrónico utilizando dobles comillas. Esto permite realizar la búsqueda exactamente de aquello delimitado entre las comillas simples, en lugar de sean interpretadas como palabras individuales.

"usuario @ example. org"

Ahora el número de resultados obtenidos por Google es de 42. Siendo notoria la diferencia, esto permite encontrar todo lo indexado por Google conteniendo exactamente la dirección de correo electrónico buscada.

Este mismo criterio puede ser aplicado a otros motores de búsqueda como Bing y Yandex.

Tener siempre en consideración Google no lo indexa todo, ni tampoco presenta los resultados con la relevancia la cual podemos requerir. Consecuentemente resulta importante también buscar en otros motores de búsqueda.

El siguiente procedimiento será buscar en todos los resultados donde se encontró la correo electrónico buscada, expandiendo así el proceso, hacia sitios web, archivos diversos formatos, como PDF, redes sociales, blogs, etc.

Fuentes:

https://developers.google.com/search/docs/fundamentals/how-search-works…
https://www.googleguide.com/select_terms.html

El sistema para nombres de dominio (DNS) es fundamental para todo lo cual se realiza en Internet. Al funcionar como un directorio de búsqueda para Internet, facilita la navegación por Internet y permite los servicios en línea sean altamente resilientes.

DNS significa los humanos y las máquinas pueden utilizar el tipo de formato de dirección de Internet más conveniente. Por ejemplo se puede escribir example. org en el navegador web en lugar de la dirección IP (Protocolo de Internet) del sitio, el cual se ve así: “10.11.12.13” (su dirección IPv4) o 2600:4000::600:1000 (su dirección IPv6).

Primero se requiere obtener los servidores de nombres (DNS) gestionando la zona para un dominio. Esto para tener un punto base de comparación.

Se procede a utilizar un servicio en linea de nombre “SecurityTrails”, el cual permite bucear dentro de sus datos, definiendo dominios, palabras clave, o nombres de host. Proporciona también una API robusta y servicios de datos para equipos de ciberseguridad. Resulta especialmente importante para realizar rápida y fácilmente ciber forense, evitar ataque de marcas y ciber fraudes, para así la investigación al siguiente nivel.

Se sugiere registrarse con una cuenta gratuita para acceder a diversas funcionalidades como Datos Históricos (Historical Data), y realizar la búsqueda en base a un dominio.

Los primeros resultados obtenidos no muestran diferencias significativas en lo referente a los servidores de nombres (DNS) obtenidos inicialmente. Sí resulta relevante la información obtenida en otras columnas, como Organización (Organization), la primera vez en la cual se vio (First Seen), la última vez en la cual se vio (Last Seen), y la duración de su visualización (Duration Seen).

El dominio correspondiente a los servidores de nombres (DNS) resuelve hacia un sitio web. Pudiendo en base a esto seguir buscando información sobre la empresa y su personal.

En la parte final de los resultados sí se obtiene información sobre otros servidores de nombres (DNS) los cuales datan de hace seis años.

Al realizar una consulta whois para el dominio correspondiente a estos dos servidores de nombres se obtiene entre otra información relevante el registrador, dominio el cual redirecciona hacia otro dominio.

La información histórica para un dominio también puede ser obtenida sobre registros A, AAAA, MX, NS, SOA y TXT. Lo cual permite obtener información la cual en la actualidad “no existe”, pero si es factible de ser obtenida desde repositorios históricos como el mencionado.

Fuentes:

https://www.internetsociety.org/resources/doc/2023/fact-sheet-encrypted…
https://securitytrails.com

Al momento de realizar la presente publicación, la página web desde la cual es factible realizar consultas Whois a dominios .PE indica lo siguiente:

La información de esta página se provee exclusivamente para fines relacionados con la delegación de nombres de dominios, su publicidad y la operación del DNS administrado por el NIC .Pe.

Queda absolutamente prohibido el uso de los datos proporcionados para cualquier otra finalidad distinta a la indicada, incluyendo el envío de correo electrónico comercial no solicitado, de acuerdo a lo dispuesto en la Ley Nº 28493 Ley Peruana Antispam.

La base de datos generada a partir del sistema de delegación de nombres de dominio peruanos está protegida por las leyes nacionales de Propiedad Intelectual y los tratados internacionales que sobre la materia ha suscrito el Perú. En ese sentido, su autorización es exclusivamente para visualizar y conocer el contenido de la misma, por lo que queda expresamente prohibida su reproducción, comunicación, distribución, transformación y cualquier otro uso distinto al autorizado.

Se procede a ingresar un dominio, luego resolver el captcha, y finalmente hacer clic en el botón “Buscar”.

La información obtenida incluye, el estado del dominio, nombre del titular, contacto administrativo, incluyendo dirección de correo electrónico, la empresa comercializadora, y los registros DNS activos.

En base a la información sobre la delegación de registro para .PE de la IANA, es factible utilizar el servidor whois de nombre kero. yachay. pe

Se procede a utilizar el comando whois con la opción “-h” para definir el servidor whois hacia el cual enviar la consulta.

$ whois -h kero.yachay.pe xyz .pe

La información presentada es idéntica a la obtenida a través de la página web de whois.

Cada uno de estos elementos de información obtenida puede ser utilizado para tratar expandir la búsqueda, tanto de personas, como tecnologías asociadas.

Fuentes:

https://punto.pe/whois.php
https://www.gob.pe/institucion/congreso-de-la-republica/normas-legales/…

Google Hacking involucra utilizar los operadores y directivas del motor de búsqueda Google, para localizar secciones específicas de texto en sitios web.

Se procede a explicar el siguiente Google Dork

site:gob.pe mail/u/0 filetype:pdf password

La directiva site indica a Google restringir los resultados de búsqueda hacia un sitio o dominio especificado. En este caso son los dominios gob.pe

El texto mail/u/0 es el texto incluido en las URLs correspondientes a Gmail web. El propósito de utilizar este criterio es encontrar potenciales mensajes de correo electrónico de Gmail.

La directiva filetype indica a Google restringir los resultados hacia páginas cuyos nombres finalicen con el sufijo definido. En este caso pdf para encontrar archivos en este formato.

El texto password se utiliza con el propósito de encontrar potenciales referencias a contraseñas o contraseñas ya sea encriptadas o en texto plano.

Se realiza la búsqueda indicada. Al momento de realizar la presente publicación se encuentran 126 resultados.

El siguiente documento no incluye una contraseña, pero sí un nombre de usuario. Adicionalmente se puede verificar como se cumple el criterio de la URL correspondiente a Gmail.

El siguiente documento muestra contraseñas encriptadas o codificadas, relacionadas con la configuración de un router. Entre otra información sobre este dispositivo.

En el caso de contraseñas encriptadas de Cisco Tipo 7 pueden ser obtenidas utilizando un script creado en Perl. Así mismo existen servicios en linea para obtener estas contraseñas.

El siguiente documento muestra una contraseña en texto plano. Esta contraseña permitiría inferir la longitud mínima utilizada en la organización, como también la estructura de las mismas, como el reemplazar ciertas letras por número, como también la inclusión de símbolos especiales.

Así mismo muestra la URL en la cual debe ser utilizada esta contraseña.

Es importante mencionar estos son documentos públicamente factibles de ser accedidos, pues han sido indexados previamente por el motor de búsqueda Google.

Fuentes:

https://en.wikipedia.org/wiki/Google_hacking
https://infra.newerasec.com/infrastructure-testing/password-cracking/ci…

Presento y comento uno de los textos con los cuales me inicié en el mundo del Hacking. Su nombre "Guía del hacking mayormente inofensivo", cuya autora es Carolyn P. Meinel. Considero importante mencionar estas guías son una parte fundamental de la historia del Hacking. El idioma original de estas guías es el inglés, aunque de hecho cuando yo las encontré y leí, fueron las versiones traducidas al idioma español. Estas guías me resultaron extremadamente interesantes, dado el hecho son muy didácticas, enseñando paso a paso técnicas de Hacking. Lo cual cuando inicié me pareció algo muy llamativo, atractivo y apasionante.

Fuentes:

https://youtube.com/live/jiVPabUgDBo