Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Extracción de metadata con metagoofil

Mié Abr 23, 2008 1:32 pm

Antes de nada, por si no lo sabéis, pondré unos enlaces para saber que son los metadata o metadatos.
http://es.wikipedia.org/wiki/Metadato
http://biblioteca.udea.edu.co/~hlopera/metadata.html

Nosotros nos centraremos en los metadatos de los ficheros de office y pdf, esto quiere decir, que extraeremos información sobre el autor del fichero, modificaciones efectuadas, fechas, etc.

¿Para que nos puede servir? Pues a partir de estos datos podemos localizar nombres de usuario, nombres de PC o directorios de instalación.

Para la búsqueda de ficheros y extracción de los metadatos utilizaremos metegoofil.

Podemos descargarla y obtener información en estas páginas:
http://www.s21sec.com/metagoofil/metagoofil.html
http://www.edge-security.com/metagoofil.php

Haciendo un breve resumen de funcionamiento de esta herramienta lo que realiza es una búsqueda en google de los ficheros pdf,doc,xls,ppt,odp,ods del dominio indicado, los descarga a nuestro pc y extrae la información útil para presentarla en un fichero html.

El script esta desarrollado en python asi que los que tengáis Linux simplemente tendréis que descargar e instalar el paquete extract para hacerlo funcionar (apt-get install extract).

Los que tenemos Windows el tema se nos complica, necesitaremos los siguiente:
- Python 2.5.2 para Windows http://www.python.org/ftp/python/2.5.2/python-2.5.2.msi
- El script metagoofil, en los enlaces anteriores se indica cómo se descarga
- GNU libextractor para Windows http://gnunet.org/libextractor/download ... 0.5.18.zip
- Librerías iconv.dll y intl.dll esto lo podemos localizar en http://www.dll-files.com/ y las copiamos a c:\windows\system
- Una vez todo instalado debemos modificar el script metagoofil.py y modificar la línea 25 para quitar el # y colocar la ruta del libextractor en mi caso: extcommand='c:\extractor\\bin\extract.exe -l libextractor_ole2' (he copiado el fichero libextractor_ole2 situado en C:\extractor\lib\libextractor en el mismo directorio donde está el ejecutable) y por ultimo modificar la línea 27 para añadir un # y comentarla.

Ya lo tenemos todo instalado y configurado llega la prueba de fuego.

Intentaremos bajar documentos de la aeat que seguro que tienen muchos.
python.exe c:\metagoofil\metagoofil.py -d aeat.es -f all -l 20 -o aeat.html -t aeat

Lo que acabo de indicarle es:
- d aeat.es : El dominio de donde quiero sacar los documentos
- f all : Todo tipo de documentos antes comentados, si solo queremos los Excel indicaríamos xls
-l 20 : Un máximo de 20 documentos por extensión, a no ser que queramos un mirror de la aeat, jejejeje
-o aeat.html : La salida de la información la genera en el fichero aeat.html
-t aeat : Esto crea un directorio con el nombre aeat donde descargara los documentos.

Esto lanzara un proceso, que no tarda mucho, y nos genera un fichero html. Si consultamos el fichero html veremos la información de los metadatos

Mié Abr 23, 2008 1:45 pm

Hola:

Muchas gracias por la información, Bebbop.

Me queda pendiente de probarlo ;)
Última edición por NeTTinG el Jue Abr 24, 2008 1:12 am, editado 1 vez en total

Mié Abr 23, 2008 4:22 pm

Probado y comprobado.

En los doc, xls y ppt, mucha info, sí señor. :badgrin: :badgrin: :badgrin:

Gracias!

Mié Abr 23, 2008 5:21 pm

Tened en cuenta que el script no busca en el servidor web los documentos con la extension que le indicamos. Simplemente obtiene la indexacion de google.

Es como si buscaramos:
site:aeat.es filetype:xls

Mié Abr 23, 2008 7:10 pm

Yorkshire escribió:Probado y comprobado.

En los doc, xls y ppt, mucha info, sí señor. :badgrin: :badgrin: :badgrin:

Gracias!


Pues espérate a que llegue el logging de Windows del Taller Forense... vas a flipar con la cantidad de información que arrojan los metadatos y demás... hasta hay información que se le oculta al administrador :D

Muy bueno Bebbop ;)

Mié Abr 23, 2008 10:19 pm

Probado, pero no he obtenido mucha info, quizás algo mas en algunos PDF y en algunos doc, pero no mucha info.
El caso es que es bastante útil y abre un nuevo vector de ataque... ;)

Jue Abr 24, 2008 8:00 am

Bebbop, lo de google lo sabía. Me miré el script antes. Además, tuve que cambiar la ruta al extract.

Vic, estoy deseando verlo, ;-)

Salu2

Jue Abr 24, 2008 3:40 pm

Y yo... y yo... :badgrin: :badgrin:
Publicar una respuesta