Hoje vamos falar de uma tool que estou devendo a um bom tempo, vamos falar do Maltego. O Maltego é uma ferramenta para obtenção de informação e organização dessa informação obtida. Com essa ferramenta podemos poupar bastante tempo de um pentest e obter coisas que você nem imaginava conseguir.
O Maltego é bem simples de usar e tem várias categorias específicas para você levantar informações. Para usá-lo você precisa criar uma conta no site do desenvolvedor. O programa está disponível para Windows, Linux e Mac e tem tanto uma versão limitada gratuita quanto a versão paga para uso comercial.
No scan acima rodei em nome do domínio do blog e encontrei algumas coisas interessantes, como por exemplo onde está registrado o domínio, quais url's apontam para o site, quais subdomínios o site tem, tudo isso a um clique.
Um exemplo do meu uso do programa, em um pentest a um tempo atras, apenas com as informações que o Maltego me conseguiu eu pelo domínio obtive informações sobre o servidor de email, informações pessoais de um funcionário (telefone, nome, etc), liguei para ele com uma desculpa bem básica sobre ter que resetar a conta de email dele e com isso consegui a senha do webmail dele. A partir daí eu poderia mandar um email para outro funcionário com um malware que por ser de uma fonte confiável abriria sem problemas.
Recomendo a todos que instale e teste o Maltego e veja toda a informação que você pode obter.
O Maltego é bem simples de usar e tem várias categorias específicas para você levantar informações. Para usá-lo você precisa criar uma conta no site do desenvolvedor. O programa está disponível para Windows, Linux e Mac e tem tanto uma versão limitada gratuita quanto a versão paga para uso comercial.
No scan acima rodei em nome do domínio do blog e encontrei algumas coisas interessantes, como por exemplo onde está registrado o domínio, quais url's apontam para o site, quais subdomínios o site tem, tudo isso a um clique.
Um exemplo do meu uso do programa, em um pentest a um tempo atras, apenas com as informações que o Maltego me conseguiu eu pelo domínio obtive informações sobre o servidor de email, informações pessoais de um funcionário (telefone, nome, etc), liguei para ele com uma desculpa bem básica sobre ter que resetar a conta de email dele e com isso consegui a senha do webmail dele. A partir daí eu poderia mandar um email para outro funcionário com um malware que por ser de uma fonte confiável abriria sem problemas.
Recomendo a todos que instale e teste o Maltego e veja toda a informação que você pode obter.
0 comentários:
Postar um comentário