domingo, 10 de junio de 2018

Gitrob. Herramienta OSINT (instalación y uso)


Buenos días de Domingo a tod@s:

Hoy os voy a mostrar una herramienta muy útil, para recolectar información en una auditoría. Esta recolección se centra en el servicipúblico Github.
La herramienta se llama Gitrob, y se encuentra tmabién en Github. 
La herramienta, configurada con API de github (necesitais tener cuenta activada), consigue informacion como usuarios, posibles contraseñas e información múltiple de una organización o de usuarios de esa organización.
Aquí vamos a mostraros cómo instalarlo y cómo usarlo, en este caso, contra la NASA. Ni que decir tiene, que al ser una recolección de información no ointrusiva, es totalmente legal.

Comenzamos!!!


 Actualizamos nuestro Kali. Es posible que nos arroje el siguiente error de expiracion de nuestra Key.


Si esto ocurre, lo podemos solucionar de la siguiente manera y volvemos a actualizar:
 

Una vez tengamos actualizado correctamente nuestro Kali, procedemos ainstalar nuestro ruby completamente. Si ya lo tenemos, nos lo dirá el sistema.


Una vez instalado, procedemos a instalar dependencias necesarias:


Posteriormente instalaremos rails, si no lo tenemos.


Ahora crearemos nuestra base de datos. Antes de nada, arrancar el servicio postrgresql:


 Instalamos libpq-dev, necesario para el funcionamiento de Gitrob.


Posteriomente, crearemos usuario y base de datos de postgresql, que se usará para Gitrob.



Ahora, iremos a https://github.com/settings/tokens , y generaremos un token para usarlo en gitrob.
Ojo!!  debeis estar dados de alta en Github.


El siguiente paso, será configurar el token creado, en la parte de configuración:


Copiamos el token para usarlo en la configuración posterior de Gitrob.

Instalamos Gitrob:


Despues instalamos la gema para usar la api de githuib:


Bien..seguimos ahora con la configuracion de Gitrob:


Tendremos que introducir los datos que hemos dado de alta, como usuario, password y el token. El hostname dejarlo como esta. El puerto, lo podeis cambiar, si quereis.

Una vez instalado todo, vamos a usar Gitrob. Lo usaremos con la NASA.


Usamos el comando analyze y el objetivo.


Hemos conseguido mucha informacion y nos da un enlace donde podremos ver los resultados.
Abrimos el enlace y...


Clicamos sobre cualquier imagen y seleccionamos USERS


Clicamos sobre alguno de ellos:


y podemos comprobar nombre de usuario, mail , pais , web...

Este es un pequeño ejemplo..pero en los scripts que aparecen, podremos buscar mas usuarios, posibles contraseñas e información no securizada y que puede ser de interés para nuestra auditoría!

Bien!! pues espero que os sirva de algo esta pequeña y potente herramienta, que además yo utilizo a la hora de auditar empresas tecnológicas, que son las que más usan los servicios de Github.

A por la semana y feliz Domingo!!!!

Autor: Francisco Sanz Moya
@fsanz_moya