फाइलों में छिपे डेटा – कैसे मेटाडाटा पेनिट्रेशन टेस्टिंग में सहायक हो सकते हैं

कई फाइल फॉर्मेट, जैसे JPEG जो खींची गई तस्वीर दिखाता है, में कंटेंट के अलावा मेटाडाटा भी हो सकते हैं। ये छिपी हुई जानकारी OSINT जांच और पेनिट्रेशन टेस्टिंग के दौरान अमूल्य हो सकती है। आइए कुछ मामलों और उपकरणों को देखें जो इस दिखने वाली छिपी हुई जानकारी को निकालने में सहायक हैं।

फोटो से मेटाडाटा को साफ़ न करना

वो दिन गए जब प्रसिद्ध सोशल मीडिया प्लेटफॉर्म उपयोगकर्ताओं की प्रोफाइल पर प्रकाशित तस्वीरों से मेटाडाटा साफ़ नहीं करते थे। बिना हटाई गई GPS कोऑर्डिनेट्स निकालना गोपनीयता का गंभीर उल्लंघन हो सकता था, जैसे उपयोगकर्ता के घर का पता उजागर करना। हालांकि अब सोशल मीडिया प्लेटफॉर्म तस्वीरों से मेटाडाटा हटाते हैं, लेकिन कई अन्य प्रकार के एप्लिकेशन अक्सर ऐसा नहीं करते। इस पहलू पर ध्यान देना महत्वपूर्ण है ताकि परीक्षण के दौरान उपयोगकर्ताओं को उस स्थिति से बचाया जा सके जो एक जर्मन टीवी पत्रकार के साथ हुई थी। उसने इस तरह की एक तस्वीर इंटरनेट पर पोस्ट की:

मिनीएचर मेटाडाटा

जिज्ञासु इंटरनेट उपयोगकर्ताओं ने इस तस्वीर को डाउनलोड किया और इसके मेटाडाटा की जांच की। क्लासिक जानकारी के अलावा, इसमें कुछ और भी था। उपरोक्त फ्रेम को काटने के दौरान, ग्राफिक्स प्रोग्राम ने मूल तस्वीर को मिनीएचर के रूप में सुरक्षित रखा जो विस्तारित फ्रेम दिखा रही थी – जो बहुत अधिक खुलासा कर रही थी।


FOCA – दस्तावेज़ों में बड़े पैमाने पर मेटाडाटा का पता लगाना

फोटो से GPS कोऑर्डिनेट्स या छिपे हुए मिनीएचर को निकालना “सिर्फ” एक गोपनीयता उल्लंघन है। हालांकि, दस्तावेजों में मेटाडाटा की जांच करते समय, हमें ऐसी जानकारी मिल सकती है जो पेनिट्रेशन टेस्टिंग के दौरान हमें महत्वपूर्ण रूप से मदद कर सकती है। ऐसी फाइलों को मैन्युअल रूप से खोजना और उनकी जांच करना काफी समय ले सकता है। FOCA (Fingerprinting Organizations with Collected Archives) उपकरण इस प्रक्रिया को स्वचालित करता है। दिए गए डोमेन के लिए, FOCA Microsoft Office, Open Office या PDF जैसे दस्तावेजों की खोज करता है और फिर उनसे मेटाडाटा निकालता है।

दस्तावेजों के मेटाडाटा में उन उपयोगकर्ताओं के लॉगिन हो सकते हैं जिन्होंने दस्तावेज़ बनाया है। इस जानकारी का उपयोग उस उपयोगकर्ता के खाते से परीक्षण किए जा रहे एप्लिकेशन में लॉग इन करने के प्रयास के लिए किया जा सकता है।

वहां पाई जाने वाली अन्य महत्वपूर्ण जानकारी में फ़ाइल बनाने के लिए उपयोग किए गए सॉफ़्टवेयर की जानकारी और उसका संस्करण शामिल है। यह पता चल सकता है कि उजागर किया गया सॉफ़्टवेयर किसी प्रकार के हमले के लिए असुरक्षित है और सिस्टम में और अधिक घुसपैठ करने के लिए एक तैयार एक्सप्लॉइट का उपयोग करना पर्याप्त है।

सॉफ़्टवेयर जानकारी के अलावा, कभी-कभी दस्तावेजों में ऑपरेटिंग सिस्टम के संस्करण के बारे में भी टिप्पणी छोड़ दी जाती है। इस तरह का उल्लेख पेनिट्रेशन टेस्टिंग को भी काफी हद तक सरल बनाता है। आखिरकार, अब हम जानते हैं कि हमारे मैलवेयर कोड के टुकड़े को किस सिस्टम के लिए संकलित करना है।

दस्तावेजों के मेटाडाटा में पाई जाने वाली एक और दिलचस्प बात प्रिंटर के नेटवर्क स्थान के बारे में जानकारी है। यह हमलावर को नेटवर्क बुनियादी ढांचे की मैपिंग में मदद कर सकता है और प्रिंटर पर हमला कर सकता है।

टूल GitHub पर उपलब्ध है – https://github.com/ElevenPaths/FOCA


ExifTool Scanner – पेनिट्रेशन टेस्टिंग में स्वचालन

जहां पहले चर्चा किए गए टूल के रूप में एक स्टैंडअलोन दस्तावेज़ स्कैनर के रूप में कार्य करता है, जो पहले से खोज इंजन द्वारा अनुक्रमित की गई सामग्री की खोज करता है, यह मैनुअल रिकोनिसेंस में हमारी मदद नहीं करेगा। आखिरकार, दस्तावेज़ अक्सर अनुरोध पर एकल उपयोग डाउनलोड एक्सेस के रूप में उत्पन्न होते हैं। यहां Burp Suite का एक प्लगइन, जिसे ExifTool Scanner कहा जाता है, बचाव में आता है। यह मेटाडाटा वाले फाइलों के लिए ट्रैफ़िक को निष्क्रिय रूप से मॉनिटर करेगा और हमारे लिए उपयोगी जानकारी निकालेगा। एक ऑडिट में, परीक्षण किए गए एप्लिकेशन ने डायनामिक रूप से PDF उत्पन्न करने वाले टूल और उस सिस्टम के संस्करण के बारे में जानकारी छोड़ दी थी जिस पर यह चल रहा था।

ExifTool मेटाडाटा

टूल BApp Store और GitHub पर उपलब्ध है – https://github.com/portswigger/exiftool-scanner


दिलचस्प – मेटाडाटा हटाना खतरनाक हो सकता है

2021 में, GitLab ने एक बग की खोज के लिए 20,000 डॉलर का भुगतान किया, जिसने मेटाडाटा को हटाने के परिणामस्वरूप सर्वर पर रिमोट कोड एक्ज़ीक्यूशन की अनुमति दी। यह कोड को छवि के मेटाडाटा में डालना पर्याप्त था:

(metadata
	(Copyright "\
" . qx{echo vakzz >/tmp/vakzz} . \
" b ") )

ExifTool के असुरक्षित संस्करण में, exiftool/lib/Image/ExifTool/DjVu.pm की लाइन 31 में एक सत्यापन किया जाता है, जो $ (Perl वेरिएबल्स) या @ (Perl एरे) का उपयोग करके एट्रिब्यूट्स को हटाने के लिए जिम्मेदार है ताकि सुरक्षा सुनिश्चित की जा सके। यह इसलिए किया जाता है क्योंकि यह सामग्री फिर लाइन 34 में eval [9] फ़ंक्शन में उपयोग की जाती है, जो सामग्री को कोड के रूप में निष्पादित करता है। असुरक्षित फ़ंक्शन को कॉल करने के लिए, एक वैध DjVu फ़ाइल बनाई जानी चाहिए जिसमें एट्रिब्यूट्स वाली एक टिप्पणी हो, जिसे eval फ़ंक्शन द्वारा Perl कोड के रूप में निष्पादित किया जाएगा।

ExifTool असुरक्षित कोड

इस बग के बारे में अधिक पढ़ने के लिए: A Case Study on CVE-2021-22204: ExifTool RCE.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Tagged , , , , , , , , , , , , , , , . Bookmark the permalink.

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *