Buscar nombres de ficheros y de directorios ocultos presentes en una página Web es muy útil para identificar de qué tipo de aplicación se trata, es decir, si es una aplicación basada en Wordpress, Joomla, o Drupal, por ejemplo y, también es útil para encontrar posibles vulnerabilidades y/o errores de configuración de la propia página. SWAT es el acrónimo de la herramienta de la gente de Netprotect (http://www.netprotect.ch/tools.html), Swiss Web Attack Tool que, además de proporcionar módulos para buscar ficheros y directorios en una determinada página Web, incluye también un enumerador de posibles nombres de usuario y un analizador para VPNs de Juniper SSL.

Recientemente, durante este mes de noviembre de 2012, se ha publicado la versión 2 de esta curiosa e interesante herramienta que aún sólo funciona en equipos con Sistema Operativo Windows. Tiene licencia GNU y ni siquiera presenta publicidad ni anuncios tras su sencilla instalación. El archivo de instalación, swat_setup.msi, ocupa apenas 7 Mb y una vez instalado, el espacio en disco pasa a ser de casi 13 Mb en total.

Fig 1. Captura de la pantalla principal de SWAT

Para la parte de búsqueda de archivos presenta una larga y detallada lista con vulnerabilidades y ficheros de buena parte de los CMS (Content Management System) actuales como Joomla, Typo3 o Simfony, así como para los diferentes servidores Web existentes como, por ejemplo, Apache, Tomcat, IIS (Microsoft Internet Information Server) y para sistemas como SAP, Lotus Domino, Citrix, Checkpoint, etc.

Fig 2. Captura con el contenido del archivo de búsquedas y comprobaciones para checkpoint

SWAT busca archivos específicos como, por ejemplo, /admin, /exchange, /iisamples/sdk/asp/docs/CodeBrws.asp, etc. en función del fichero de búsqueda seleccionado (en este caso Iis_Web_Server.txt). Por defecto, sólo se muestran las respuestas 200 OK por parte del servidor Web analizado, el tamaño de la página, el título y el cuerpo de la misma. Adicionalmente se pueden obtener las cookies de sesión detectadas, las páginas de error personalizadas que se hayan configurado en el servidor Web y aquellos directorios que den un error 403 de forbidden (prohibido) al no disponer de permisos para acceder pero que denotan su existencia.

A modo de ejemplo, lanzamos SWAT contra el servidor Web demo de Hacktimes para analizar una página Web de muestra alojada en él y ver qué nos encontramos. Seleccionamos el fichero de búsquedas de Lotus Domino ya que la página de muestra a analizar está desarrollada y hospedada en este sistema de IBM.

La búsqueda, debido a lo completo de los archivos que contiene SWAT, puede demorarse hasta más de dos horas para aquellos archivos más grandes como pueden ser el de Wordpress que incluye casi 20.000 posibles variaciones de ficheros propios de este CMS. En nuestro caso, pasados apenas cinco minutos ya tenemos los resultados de lo que SWAT ha encontrado en nuestra página de prueba desarrollada con Lotus Notes:

Fig 3. Resultados del análisis de un servidor de prueba Lotus Domino

Con los resultados se identifica perfectamente que el servidor y la página están bajo Lotus Domino/Notes y que ha encontrado varias bases de datos .nsf pero autenticadas la mayoría y sin acceso público como, por ejemplo, archivos tan importantes dentro de un servidor Lotus como dmin4.nsf o catalog.nsf.

El resto de funcionalidades de SWAT como la enumeración de usuarios o el análisis de VPNs basadas en Juniper SSL no se han probado en detalle en el transcurso del presente artículo. Por otro lado, existen otras herramientas similares como pueden ser el conocido Dirbuster o la aplicación Dirb del compañero Ramón Pinuaga o, incluso Webslayer pero el listado de archivos con los que realizar una búsqueda de ficheros y directorios ocultos en una aplicación Web no es tan completo como el de SWAT.