Hola a todos,

En esta entrada quiero hablar un poco sobre la recopilación de información.

Para que nos sirve empezar a juntar información de nuestro objetivo? Es una respuesta sencilla, al realizar un reconocimiento de nuestra víctima nuestro objetivo empezamos a conocer que servidor es, que servicios tiene ejecutando, que versiones tiene instaladas, etc. pero con esta entrada lo más importante es conocer un poco mas allá de la infraestructura, es por eso que quiero adentrarme un poco en la herramienta TheHarvester.

Como ya les comentaba el primer paso de un pentest o prueba de penetración es recopilar información sobre nuestro objetivo servicio o servidor a evaluar.

Existen diversas herramientas que nos ayudan a reconocer un servidor, pero en esta ocasión les vengo a hablar de una herramienta bastante útil y que nos facilita esta tarea, pues la información que recopila viene desde subdominios, nombres de usuario, nombres de hosts, hasta cuentas de correo electrónico.

TheHarvester es una herramienta desarrollada en python que se encuentra ya instalada en Backtrack bajo el directorio /pentest/enumeration/theharvesterPara ejecutarla simplemente nos dirigimos al directorio ya mencionado y ejecutamos el siguiente comando:

python theharvester.py

Con este sencillo comando nos muestra la ayuda y algunos ejemplos de las diferentes opciones con las que cuenta.

Algunos de los ejemplos son los siguientes:

./theharvester.py -d microsoft.com -l 500 -b google

./theharvester.py -d microsoft.com -b pgp

./theharvester.py -d microsoft -l 200 -b linkedin

Para este ejemplo usaré el dominio alestra.com.mx

theharvester

Como se puede apreciar en la imagen anterior, la herramienta muestra cierta información que puede ser considerada como sensible, que, buscando un poco mas por Internet podría ir realizando un diagrama con los nombres, puestos, teléfonos, etc de las direcciones de correo electrónico encontradas.

En la siguiente imagen se puede apreciar que el correo pertenece  Sergio Prado y el número telefónico

theharvester2

Espero que les sea de ayuda esta breve introducción a la herramienta.

Como siempre, muchas gracias por leernos y no olviden dejar sus comentarios.