GyoiThon identifica el software instalado en el servidor web como SO, Middleware, Framework, CMS, etc. Después, ejecuta exploits válidos para el software identificado utilizando Metasploit. Finalmente, genera informes de resultados de escaneo. GyoiThon ejecuta el procesamiento anterior automáticamente.
GyoiThon ejecuta los pasos 1 y 4 de forma automática. La única operación del usuario es ingresar la URL superior del servidor web objetivo en GyoiThon. Puede identificar vulnerabilidades de los servidores web sin tanto tiempo y esfuerzo.
Paso 1. Recopilar respuestas HTTP. GyoiThon reúne varias respuestas HTTP del sitio web objetivo mientras revisa el sitio.
Paso 2. Identifica el nombre del producto. El experto comenta que GyoiThon identifica el nombre del producto instalado en el servidor web utilizando los siguientes dos métodos.
- Basado en Machine Learning: al usar (Naive Bayes) Machine Learning, GyoiThon identifica el software basado en una combinación de características diferentes; valor Etag, valor de Cookie, etiqueta HTML específica y otros. A diferencia de la base de firmas, Naive Bayes se identifica estocásticamente en función de varias características incluidas en la respuesta HTTP cuando no se puede identificar el software en una característica.
Ejemplo: Etag: “409ed-183-53c5f732641c0”
GyoiThon puede identificar el software del servidor web Apache. Esto ya que GyoiThon aprende las características de Apache, como “valor del encabezado Etag (409ed-183-53c5f732641c0). Apache utiliza una combinación de letras en minúsculas y números como valor de Etag. Y, el valor de Etag está separado entre 4-5 dígitos y 3-4 dígitos y 12 dígitos, el dígito final es 0 en muchos casos.
Ejemplo 2: Set-Cookie: f00e68432b68050dee9abe33c389831e=0eba9cd0f75ca0912b4849777677f587;
GyoiThon puede identificar el CMS Joomla!. Esto se debe a que GyoiThon aprende las características de Joomla! como “Nombre de cookie (f00e6 … 9831e)” y “Valor de cookie (0eba9 … 7f587).
- Basado en la coincidencia de string: GyoiThon puede identificar el software mediante la coincidencia de string también utilizado en las herramientas de prueba de penetración tradicionales.
Ejemplo: /core/misc/drupal.js?v=8.3.1
Paso 3. Exploit usando Metasploit. En este paso GyoiThon ejecuta el exploit correspondiente al software identificado utilizando Metasploit y comprueba si el software se ve afectado por la vulnerabilidad.
Paso 4. Generar informe de escaneo. GyoiThon genera un informe que resume las vulnerabilidades. El estilo del informe es html.
Entorno de verificación de la operación:
- Kali Linux 2017.3 (para Metasploit)
- Memoria: 8.0GB
- Metasploit Framework 4.16.15-dev
- ubuntu 16.04 LTS (sistema operativo host)
- CPU: Intel (R) Core (TM) i5-5200U 2.20GHz
- Memoria: 8.0GB
- Python 3.6.1 (Anaconda3)
- docopt 0.6.2
- jinja2 2.10
- msgpack-python 0.4.8
- pandas 0.20.3
Te esperamos en los próximos artículos en donde hablaremos mas acerca de estos temas que hoy en día son de importancia e interés en el mundo de la tecnología.
