Descubrimiento y recopilación de activos con onyphe.io

Hola!

Tras un breve tiempo de vacaciones toca la vuelta al blog! Hace un tiempo descubrí el servicio onyphe.io a través de un post de los compañeros de FluProject . Onyphe es un buscador de dispositivos conectados a Internet similar a Shodan, Censys, ZoomEye o Fofa. De la misma manera a los servicios comentados cuenta con una portal web para realizar búsquedas, así como una API gratuita (con sus limitaciones claro).

 

La información que devuelve se agrupa en las siguientes categorías:

  • geoloc: Información sobre la IP: registrador, organización, ASN,…
  • pastries: Posibles leaks en pastebin.
  • inetnum: Información de la subred.
  • resolver: Identificación de los dominios localizados en la dirección IP mediante resolución DNS.
  • syscan: Puertos abiertos.
  • datascan: Información que devuelve la aplicación (banner, cabeceras de respuesta,…).
  • sniffer: Cuenta con una serie de honeypots en Internet sniffando tráfico que pudiera estar relacionado con la búsqueda realizada.
  • ctl: Información de la transparencia del certificado (si aplica).
  • Google Maps: Geolocalización mediante Google Maps.
  • threatlist: Resultados si la dirección IP se encuentra registrada en blacklists,

 

Para más información sobre categorías, os recomiendo consultar el blog: https://www.onyphe.io/blog/standard-information-categories/

A continuación, se muestra un simple ejemplo para una dirección IP:

  • Información sobre la IP

  • Puertos abiertos

  • Geolocalización y blacklists:

 

Del mismo modo, es posible realizar búsquedas por keywords usando el parámetro data. A continuación, se muestra un ejemplo para servidores SSH que usen libssh (acordaos de la vulnerabilidad que apareció):

 

Hasta aquí toda la información sobre el portal. Ahora vamos a lo que nos interesa, la API. Como se ha mencionado anteriormente, tiene una API gratuita, pero limitada (30 peticiones/mes y sin acceso a algunas categorías como resolver), así como una premium  un precio muy bajo (59 euros) considerando que es ilimitada y de por vida. Todo esto a nivel individual. Para más información, puede consultar: https://www.onyphe.io/pricing/

La información sobre el uso de la API la podéis encontrar aquí, que viene explicado en detalle: https://www.onyphe.io/documentation/api

Entonces, me puse a jugar con la API y me piqué un simple script en python3 (Ojo!) que interactua con la API obteniendo los puertos abiertos. Se puede obtener más información y quizás juegue con ella más tarde, pero sobre todo quería que fuera simple pues añadiré este script a mi framework de recopilación de información.

El script espera recibir en un archivo txt las direcciones IP una por cada línea mostrando en pantalla los resultados y exportando por defecto los resultados en Excel. Antes de empezar tienes que registrarte y obtener tu API gratuita y ponerla en el script, justo aquí:

 

A continuación un ejemplo de uso:

Si a alguien le es útil, puede encontrar el script en mi github: https://github.com/n4xh4ck5/pyonyphe

Esto es todo 😉

Nos vemos en el siguiente post

Saludos.

N4xh4ck5

La mejor defensa, es un buen ataque.

Un comentario en «Descubrimiento y recopilación de activos con onyphe.io»

Los comentarios están cerrados.