Automatizando Búsquedas: Integrando dos Herramientas para ver WebCams Expuestas

Recibimos muchas consultas de parte de nuestros suscriptores, tanto a través del sitio, como también desde Linkedin sobre herramientas o cosas interesantes que podemos probar desde nuestro Kali Linux.

Para esto, integraremos dos herramientas con el objetivo de visualizar cámaras webs expuestas a sin ningún tipo de seguridad.

Antes de continuar, esta publicación se realiza de forma educativa, no fomentamos actividades ilícitas y no nos responsabilizamos del uso que puedan realizar.

Una vez mencionado esto, las herramientas que utilizaremos serán Shodan y Msfconsole, lo realizaremos desde Kali Linux.

Msfconsole es una interfaz de línea de comandos para Metasploit Framework, una herramienta de prueba de penetración.

Shodan es un motor de búsqueda para dispositivos conectados a Internet y servicios.

Recomendamos que lean el siguiente post donde presentamos algunas alternativas a Shodan.

Lo primero que haremos en en una terminal escribir msfconsole y presionar enter:

Una vez iniciada la herramienta, escribiremos el siguiente auxiliar “use auxiliary/gather/shodan_search” como está indicado en la imagen de abajo.

Con “options” podemos ver los parámetros que tiene la herramienta.

Las que utilizaremos para realizar esta prueba son “SHODAN_APIKEY” y “QUERY”, que la encontraremos en el sitio de Shodan, para esto debemos autenticarnos en Shodan e ir a “Account” donde encontrarán algo similar a la imagen de abajo.

Es importante mencionar que estamos utilizando una cuenta paga de Shodan. Aprovechamos para contarles que Shodan lanza a muy bajo precio licencias de Shodan, en nuestro caso abonamos 5 dólares, hay que estar atento a estas ofertas en el sitio oficial de Shodan.

Una vez que tengamos la Api Key, escribiremos primero “set query webcamxp”. Posteriormente ingresaremos la Api Key que nos brindará shodan.

Podemos verificar si los datos se cargaron correctamente escribiendo “options”, pero en nuestro caso obviaremos este paso para no exponer información relacionada con la Api Key.

Para ejecutarlos, escribiremos “run”:

Y nos devolverá un listado de IPs y puertos en los cuales lo que debemos hacer es pegarlo en un navegador y ver el resultado:

Podremos ver por Ciudad, por País, etc.

Elegimos una cámara al azar para ver al menos un resultado:

Volvemos a mencionar que es con fines educativos y con el objetivo de protegernos.