Instalación y uso de Gitrob para recolectar información para una auditoría
Hoy vamos a abordar la instalación y el uso de Gitrob, una herramienta muy útil para recolectar información en una auditoría. Esta recolección se centra en el servicio público Github.
La herramienta, configurada con API de Github (necesitáis tener cuenta activada), consigue información como usuarios, posibles contraseñas e información múltiple de una organización o de usuarios de esa organización.
Aquí vamos a mostraros cómo instalarlo y cómo usarlo, en este caso, contra la NASA. Ni que decir tiene que, al ser una recolección de información no intrusiva, es totalmente legal.
¡Comenzamos!
Instalación
Actualizamos nuestro Kali. Es posible que nos arroje el siguiente error de expiración de nuestra Key.
Si esto ocurre, lo podemos solucionar de la siguiente manera y volvemos a actualizar:
Una vez tengamos actualizado correctamente nuestro Kali, procedemos a instalar nuestro Ruby completamente. Si ya lo tenemos, nos lo dirá el sistema.
Una vez instalado, procedemos a instalar dependencias necesarias:
Posteriormente, instalaremos rails, si no lo tenemos.
Ahora crearemos nuestra base de datos. Antes de nada, arrancar el servicio postrgresql:
Instalamos libpq-dev, necesario para el funcionamiento de Gitrob.
Posteriomente, crearemos usuario y base de datos de postgresql, que se usará para Gitrob.
Ahora, iremos a este enlace y generaremos un token para usarlo en Gitrob.
¡Ojo!, debéis estar dados de alta en Github.
El siguiente paso será configurar el token creado, en la parte de configuración:
Copiamos el token para usarlo en la configuración posterior de Gitrob.
Instalamos Gitrob:
Después instalamos la gema para usar la api de Githuib:
Configuración
Bien, seguimos ahora con la configuración de Gitrob:
Tendremos que introducir los datos que hemos dado de alta, como usuario, password y el token. El hostname dejadlo como está. El puerto lo podéis cambiar si queréis.
Uso de Gitrob
Una vez instalado todo, vamos a usar Gitrob. Lo usaremos con la NASA.
Usamos el comando analyze y el objetivo.
Hemos conseguido mucha información y nos da un enlace donde podremos ver los resultados.
Abrimos el enlace y…
… Clicamos sobre cualquier imagen y seleccionamos USERS
Clicamos sobre alguno de ellos:
Y podemos comprobar nombre de usuario, mail, país, web, etcétera.
Este es un pequeño ejemplo, pero en los scripts que aparecen podremos buscar más usuarios, posibles contraseñas e información no securizada y que ¡puede ser de interés para nuestra auditoría!
Pues espero que os sirva de algo esta pequeña y potente herramienta, que además yo utilizo a la hora de auditar empresas tecnológicas, que son las que más usan los servicios de Github.
Autor: Francisco Sanz Moya
@fsanz_moya