FOCA: Manual de Usuario [I de IV]

*************************************************************************
************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************
************************
FOCA es una herramienta para ayudar en la recoleccin de ficheros publicados en websites,
la extraccin de metadatos y el anlisis de los mismos. A lo largo de este artculo se va a ir
viendo cmo funciona esta herramienta para ayudar en las labores de Footprinting y
Fingerprinting a los auditores de seguridad.
Proyectos
FOCA trabaja en modo proyecto que implica que todos los documentos han sido o van a ser
extrados de una misma organizacin, con lo que se supone que la informacin que se
obtenga podr ser cruzada en un proceso de anlisis. Para ello, la herramienta permite
trabajar con una base de datos SQL Server para almacenar la informacin del proyecto.
Esta informacin permitir volver a trabajar con ese proyecto. No se almacena ningn
fichero en el servidor de base de datos, simplemente se mantienen opciones de informacin
del proyecto, como los dominios, la fecha de creacin y el estado. La conexin a la base de
datos se configura desde el men Opciones, dnde adems, como puede verse en la imagen,
se pueden configurar el nmero de hilos concurrentes para los procesos de descarga.

Creacin de un proyecto

La herramienta permite trabajar tambin si almacenamiento en base de datos, la nica

diferencia ser que cuando se analicen los ficheros descargados no se podr saber cul es el
dominio al que pertenecen.
Una vez decidido si se quiere trabajar con o sin base de datos, se puede crear un nuevo
proyecto. Para ello hay que establecer el nombre del proyecto, el nombre del dominio base
y la carpeta dnde se van a almacenar todos los documentos que se descarguen.
Proyecto Rpido
Si se desea realizar un anlisis rpido de documentos ya existentes en el sistema, se puede
crear un proyecto sin nombre, sin dominio y sin carpeta. Se crear un proyecto vaco que
puede ser utilizado para analizar documentos sueltos o carpetas pre existenes.
Bsquedas
Una vez creado el proyecto, FOCA puede buscar todos los links de los ficheros
simplemente marcando las opciones de buscadores [Google o Live] y los tipos de ficheros a
buscar. Adems, por comodidad se han aadido opciones de parada de la bsqueda.
Si se quisiera crear un proyecto multidominio se pueden realizar mltiples bsquedas, es
decir, una vez terminada la primera bsqueda se puede personalizar la cadena de bsqueda
para que la herramienta aada una nueva lista de ficheros al servidor. Esto puede ser muy
til tambin para aquellos casos en los que se alcance el lmite de resultados devuelto por
un buscador y haya que segmentar la bsqueda.

Bsqueda de ficheros
Descargas

Una vez decididos todos los ficheros que se desean descargar se puede dar a la opcin de
descargar uno o todos. Esto arrancar la ejecucin en paralelo de varios hilos de proceso,
uno por cada fichero, y crear un fichero vaco en la carpeta por cada fichero que se va a
descargar.
En el caso de que todos los hilos de ejecucin se quedaran bloqueados por el servidor, se
pueden aadir dinmicamente nuevos hilos de proceso desde el men de opciones, esto
liberar la herramienta y permitir seguir descargando ficheros.
Si se han descargado otros archivos que formaran parte del mismo proyecto y se encuentran
ya en el sistema se pueden aadir con la opcin del men contextual de aadir un fichero o
simplemente arrastrndolos al proyecto.

FOCA descargando ficheros

Al final de esta parte, el sistema estar listo para empezar a analizar los ficheros.
Anlisis de Metadatos de un fichero
Una vez que tenemos todos los documentos descargados podemos analizar los metadatos de
uno, varios ficheros o todos a la vez. De cada fichero va buscar, en la ltima versin
disponible, por la siguiente lista de caractersticas:
Ficheros DOC, XLS, PPT, PPS
Los ficheros antiguos de Microsoft Office suelen ofrecer bastante informacin, sobre todo
sin han sido creados con versiones antiguas y editados con las nuevas versiones. De estos
documentos se extrae:
- Datos de usuarios de creador, editor
- Historia de uso del documento

- Impresoras
- Plantillas
- Versiones de software
- PID
- Datos personalizados

Informacin en un DOC de David Litchield publicado en Blackhat.com

Ficheros PDF:
Los ficheros PDF no suelen tener informaicn sobre impresoras o plantillas, sin embargo
suelen ofrecer mucha informacin de software. Adems, muchos documentos tienen datos
XMP borrados que smplemente han sido eliminados del rbol PDF pero que siguen
persistiendo en el documento. Se extrae:
- URLs y rutas en el texto del documento
- URLS en los links
- Datos XMP del documento:
o Autor
o Email
o Software creador
o Aplicacin
o Datos personalizados
- Datos XMP borrados en el documento

Informacin extraida de un PDF publicado

Ficheros OOXML, SWX y ODF
De los ficheros basados en XML se estrae la informacin del fichero, pero tambin de todas
las versiones antiguas embebidas y los datos EXIF de las imgenes embebidas. Se extrae:
- Metadatos personalizados
- URLs en Links
- Historial de uso
- Rutas a impresoras
- Rutas a versiones
- Datos EXIF en imgenes

Informacin EXIF embebida en ODF

En este ejemplo se puede extraer informacin de una foto bajo copyright en una
presentacin de Novell.
Ficheros WPD
De los ficheros WordPerfect aun no se extre toda la informacin que estos documentos
tienen, pero de momento se extrae lo siguiente:
- Usuarios

- URLS en documentos
- Rutas a impresoras

Metadatos en fichero WPD

Una vez analizados todos los metadatos de todos los ficheros que conforman un proyecto es
posible acceder a cinco listas de datos que se crean dinmicamente durante el anlisis.
Lista de Usuarios
Estos usuarios son extrados de los campos creator, editor, autor, etc de los metadatos y la
informacin oculta pero adems tambin son extrados de las rutas encontradas. En este
caso sera informacin perdida que se va a encontrar en las rutas del tipo
c:\users\chema\mis documentos, c:\Documents and settings\chema\desktop o
/home/chema/docs. Todos estos usuarios aparecern en la lsita.
Lista de Software
Este software aparece tanto en los metadatos como en la informacin EXIF de documentos
grficos. En los metadatos XMP de los ficheros PDF aparecer en dos sitios, como
aplicacin creadora del pdf y como aplicacin productora del programa. Tambin se busca
software en datos XMP borrados pero no eliminados del fichero.

Software utilizado
Podra descubrir software pirata en una empresa? y tambin descubrir tecnologas
utilizadas y software vulnerable
Lista de Rutas
Estas rutas se sacan de todas las referencias a ficheros por ejemplo en rutas a plantillas,
rutas en links a archivos locales o imgenes incrustadas. Adems, se realiza una bsqueda
desestructurada, es decir, con una bsqueda de strings que cumplan patrones, por lo que
aparecern rutas tambin contenidas en el texto, en links, en ttulos, etc

Lista de rutas
Puede servir para descubrir: Usuarios, servidores internos, direccionamiento, recursos
compartidos, ACLs, etc...
Lista de impresoras
La informacin de las impresoras suele ser de gran utilidad pues permite descubrir
direccionamiento interno, rutas a servidores y listas de control de acceso. Se sacan de los
documentos ofimticos que almacenan info de la impresora. No suelen aparecer en
documentos PDF.

Lista de impresoras
Puede permitir descubir servidores internos, direccionamiento, recursos compartidos y
ACLs.
Lista de mails
Al igual que en el caso de las rutas se realiza una bsqueda en campos de metadatos
personalizados y una bsqueda desestructurada, es decir, que busca mails que aparezcan
dentro del contenido de los ficheros.

Mails encontrados
Seguimiento de datos
Al final, toda esa informacin va a permitir hacer un mejor seguimiento de la historia y uso
de los ficheros. Si se desea, se puede averiguar de qu ficheros proceden los datos haciendo
botn derecho sobre el dato. Aparecer una ventana contextual con todos los ficheros en
que ha aparecido ese dato y se podr ir directamente a cada uno de ellos.

tracking de datos
Exportacin a fichero de texto
Por ltimo, en el caso de querer hacer uso de esos datos en otras herramientas o para crear
un diccionario que pueda ser utilizado como base de otro ataque, se puede realizar una
exportacin de la lista completa a un fichero de texto.

Exportacin de usuarios a fichero

Anlisis cruzado de datos

Una vez analizados todos los ficheros, se puede proceder a crear una imagen de la red de la
organizacin a partir de la informacin extrada.

Mapa de red generado

En la imagen se puede ver que todos los documentos creados por el mismo autor en la
misma mquina se agrupan para poder reconocer la mxima informacin de cada una de las
mquinas.
Falsos positivos
Hay que tener en cuenta, que en una web se pueden dar varias situaciones:
1) Datos de terceros: Puede ser que se est publicando documentos que no tengan nada que
ver con la organizacin pues sea un fichero de otra organizacin que se publica en la web.
2) Datos muy antiguos: Puede que un fichero tenga informacin muy antigua y que ya no
sea relevante para la construccin de la imagen de la red.
Para mitigar esos dos problemas en el caso de querer tener un dibujo lo ms real posible de
la web se recomienda:
1) Hacer tracking de los datos externos para marcar los ficheros que no han sido creados en
la organizacin. Esto se puede hacer mediante un rpido anlisis a las listas creadas
buscando mails que no tienen nada que ver con la organizacin o usuarios que aparecen en

otras empresas.
2) Una vez analizados los ficheros se pueden observar las fechas de creacin con lo que es
posible detectar aquellos ms antiguos.

Ordenacin por fechas de modificacin

Si se considera oportuno, todos esos ficheros se pueden eliminar del proyecto para crear un
anlisis ms acertado y con menos falsos positivos.
Descubrimiento de nuevos nombres
Si la aplicacin est trabajando con el almacenamiento del proyecto en una base de datos,
entonces utiliza el mtodo descrito por Jhonny Long en DNS Name prediction with
Google de utilizar Google Sets. La idea es que si se descubre un nombre de equipo y se
conocen uno o varios dominios, entonces la herramienta intenta buscar palabras
relacionadas utilizando Google Sets e intenta descubrir nuevos nombres de servidores
mediante consultas al DNS.

Prediccin de nombres en sun.com

Consideraciones finales
La herramienta soporta el uso de proxy, pero este es tomado de las opciones de

configuracin de Internet Explorer, as que hay que configurar all la conexin a Internet si
se desea utilizar.
La carpeta de creacin del proyecto, donde se van a almacenar los documentos, debe existir
previamente, la herramienta, de momento, no crea la carpeta.
Se est trabajando en mejorar la herramienta, as que todos los comentarios, errores o
sugerencias de mejora que se reciban sern tomados en cuenta. El mail para enviarlos es
amigosdelafoca@informatica64.com.
La herramienta se encuentra disponible para descarga en la siguiente URL:
http://www.informatica64.com/FOCA.

Enumeracin de dominios, subdominios y anlisis de

metadatos con FOCA.

Historia
FOCA es una herramienta creada por informatica64 que ayuda en el proceso
del fingerprint e information gathering entre sus cualidades destaca el anlisis
de metadatos de las cuales se puede obtener nombres de usuario, sistemas
operativos, contraseas, software que usan entre otras cosas. FOCA tambin
posee la cualidad de poder enumerar los dominios, subdominios,
vulnerabilidades y tambin enumerar directorios de la pgina.
Todo buen Pentester conoce de la herramienta FOCA y sabe del poder de esta
herramienta y la cantidad de informacin que es posible extraer y enumerar
con esta herramienta.
Foca ha sido tan famoso que los creadores han sacado otras versiones
similares a FOCA pero con un entorno diferente como lo son:

Evil Foca: Dedicada a realizar ataques en redes IPv4 / IPv6

Forensic FOCA: Una versin de FOCA dedicada al anlisis forense

El siguiente blog es con fines de ejemplo mostrando un poco de la herramienta.

Si quieren conocer ms informacin de cmo usar esta herramienta podrn
adquirir el libro Pentesting con FOCA donde se ensea de manera ms
detallada cmo funciona la herramienta.
Instalacin
En este caso usaremos FOCA desde Windows pero tambin es posible usarla
desde Linux solo necesitan descargar las dll que necesita FOCA y ejecutarlo
con Wine.
Link de descarga: https://www.elevenpaths.com/es/labstools/foca-2/index.html
Instalar FOCA
linux.html

en

Linux:

http://www.elladodelmal.com/2010/09/la-foca-en-

Practica
Podemos analizar los metadatos de imgenes, documentos, hojas de clculo
solo arrastrndolas a FOCA, nosotros lo haremos creando un proyecto donde
listaremos un dominio con sus subdominios para generar un completo informe
de la pgina y al mismo tiempo analizar los metadatos que contenga el
dominio.
FOCA tiene la cualidad de buscar en base al dominio todos los elementos que
pueden ser imgenes, archivos de Excel, svg, etc.
Paso 1
Iniciamos el archivo /bin/FOCA.exe del archivo que hemos descargado y
descomprimido.

Paso 2
FOCA ha empezado literalmente a comerse toda la red en bsqueda de
informacin.

FOCA nos ha enumerado el dominio y los servidores que utiliza la pgina.

Paso 3
FOCA nos muestra algunas vulnerabilidades en las url

Pas 4
Ahora pasaremos al anlisis de metadatos. Estos son los archivos que ha
encontrado FOCA

Para analizar los metadatos necesitaremos descargar los archivos.

Luego de eso le daremos a la opcin de Analyze Metadata

Ahora ya podemos extraer los metadatos.

Ahora FOCA nos mostrara todos los datos que encontrado en los archivos

Esto nos da buena informacin para generar un vector de ataque. Ya que

hemos podido enumerar varios usuarios y detectar en que plataforma esta
creada as como poder listar sus subdominios y saber que programas utiliza.
FOCA tambin tiene la posibilidad de ser integrada con varios plugins y generar
reportes.
Tambin posee su versin en lnea que es
https://metashieldanalyzer.elevenpaths.com/
Esta versin es restringida ya que no permite anlisis de metadatos de varios
archivos entre los ms relevantes l .png.