915 792 426 - 689 888 537

Blog

ACTUALIDAD
Uso de Gitrob
13 Jun 2018

Instalación y uso de Gitrob para recolectar información para una auditoría

Hoy vamos a abordar la instalación y el uso de Gitrob, una herramienta muy útil para recolectar información en una auditoría. Esta recolección se centra en el servicio público Github.

La herramienta, configurada con API de Github (necesitáis tener cuenta activada), consigue información como usuarios, posibles contraseñas e información múltiple de una organización o de usuarios de esa organización.

Aquí vamos a mostraros cómo instalarlo y cómo usarlo, en este caso, contra la NASA. Ni que decir tiene que, al ser una recolección de información no intrusiva, es totalmente legal.

¡Comenzamos!

Instalación

Actualizamos nuestro Kali. Es posible que nos arroje el siguiente error de expiración de nuestra Key.

 

Uso de Gitrob

 

Si esto ocurre, lo podemos solucionar de la siguiente manera y volvemos a actualizar:

 

Uso de Gitrob

 

Una vez tengamos actualizado correctamente nuestro Kali, procedemos a instalar nuestro Ruby completamente. Si ya lo tenemos, nos lo dirá el sistema.

 

Uso de Gitrob

 

Una vez instalado, procedemos a instalar dependencias necesarias:

 

Uso de Gitrob

 

Posteriormente, instalaremos rails, si no lo tenemos.

 

Uso de Gitrob

 

Ahora crearemos nuestra base de datos. Antes de nada, arrancar el servicio postrgresql:

 

Uso de Gitrob

 

Instalamos libpq-dev, necesario para el funcionamiento de Gitrob.

 

Uso de Gitrob

 

Posteriomente, crearemos usuario y base de datos de postgresql, que se usará para Gitrob.

 

Uso de Gitrob

 

Uso de Gitrob

 

Ahora, iremos a este enlace y generaremos un token para usarlo en Gitrob.

¡Ojo!, debéis estar dados de alta en Github.

 

Uso de Gitrob

 

El siguiente paso será configurar el token creado, en la parte de configuración:

 

Uso de Gitrob

 

Copiamos el token para usarlo en la configuración posterior de Gitrob.

Instalamos Gitrob:

 

Uso de Gitrob

 

Después instalamos la gema para usar la api de Githuib:

 

Uso de Gitrob

Configuración

Bien, seguimos ahora con la configuración de Gitrob:

 

Uso de Gitrob

 

Tendremos que introducir los datos que hemos dado de alta, como usuario, password y el token. El hostname dejadlo como está. El puerto lo podéis cambiar si queréis.

Uso de Gitrob

Una vez instalado todo, vamos a usar Gitrob. Lo usaremos con la NASA.

 

Uso de Gitrob

 

Usamos el comando analyze y el objetivo.

 

Uso de Gitrob

 

Hemos conseguido mucha información y nos da un enlace donde podremos ver los resultados.

Abrimos el enlace y…

 

Uso de Gitrob

 

… Clicamos sobre cualquier imagen y seleccionamos USERS

 

Uso de Gitrob

 

Clicamos sobre alguno de ellos:

 

Uso de Gitrob

 

Y podemos comprobar nombre de usuario, mail, país, web, etcétera.

Este es un pequeño ejemplo, pero en los scripts que aparecen podremos buscar más usuarios, posibles contraseñas e información no securizada y que ¡puede ser de interés para nuestra auditoría!

Pues espero que os sirva de algo esta pequeña y potente herramienta, que además yo utilizo a la hora de auditar empresas tecnológicas, que son las que más usan los servicios de Github.

 

Autor: Francisco Sanz Moya

@fsanz_moya