Muchas veces nos preguntamos que hacer cuando tenemos ala mano archivos que no son de nuestro conocimiento como por ejemplo los archivos .ODT del word del mundo libre como lo es open-office.
ahora podemos proceder a buscar lineas de texto para nuestra investigacion con el bintext o descomprimiendo con 7z y buscar entre los distintos archivos de reporting XML que se nos presenten.
podemos buscar con un editor hexadecimal de nuestra preferencia y segun el formato del archivo que estemos investigando ir guiandonos por su estructura en bytes y offsets hasta encontrar algo realmente interesante dentro de sus entrañas del mismo.
este tipo de tecnicas puede ser realmente peligrosas,  ya que tanto desde el lado del pentesting como de la informatica forense tienen sus ventajas y desventajas,  por ejemplo en el lado del pentesting, un atacante puede investigar con que sistema operativo se creo tal documento o que rutas de red compartidas se encuentran dentro de la organizacion si este es el caso.
en el otro lado de la moneda, osease, en la informatica forense ,  tiene la ventaja de descubrir desde donde se creo ese documento e incluso sacar direcciones IP privadas.
un caso muy famoso de los noticieros de informatica forense y metadatos fue el del asesino serial BTK quien envio ala policia un CD burlandose de los asesinatos cometidos decadas atras sin haber sido atrapado, el caso fue que la policia con recursos tecnologicos pudo indagar en los metadatos del CD y se dio cuenta de el nombre del usuario y el nombre de una iglesia del que pertenecia tal asesino, despues una busqueda en google, dio al fbi la informacion que necesitaban para que el sospechoso coincidiera con el asesino y asi fue...
despues el fbi consigui muestras de ADN en algunas pruebas de las victimas y encontraron las verdaderas coincidencias.
pero el verdadero foco de la investigacion fueron los metadatos de aquel viejo CD de windows XP.

Disco del asesino BTK

los metadatos son peligrosos, dependiendo del caso del que nos encontremos.
podemos desempaquetar los archivos de documentos generados con algun descompresor, una buena utilidad podria ser 7z.
al descomprimirlo nos genera estos archivos.
cada archiv xml corresponde a informacion variada o meta-informacion dentro del archivo comprimido.
el significado de cada meta-archivo es el siguiente como nos lo muestra la imagen:
ahora vamos a investigar el archivo Manifest.XML con un buscador de cadenas de texto como lo es bintext para poder trabajar de una manera mas comoda.
como podemos ver no nos resulta nada importante, por lo que intuimos que la victima ha borrado exitosamente los metadatos o la herramienta no los ha encontrado.
ahora usaremos la herramienta mundialmente conocida como foca.
solo basta con arrastrar el documento hacia la herramienta previamente abierta.
con foca podemos extraer los metadatos, dependiendo de los mismos datos que el usuario haya colocado sin darse cuenta ni el mismo.
en algunas ocasiones los modelos de impresoras son logeados en  formato UNC por ejemplo
//Recurso_Red//Impresora por ejemplo un metadato extradido de un documento y que seria el siguiente en un documento.

\\NombreHost\CarpetaCompartida\Recurso.
todo depende de las configuraciones donde este el entorno de impresion y como guarde los distintos datos dentro del documento.
 
como podemos observar claramente vemos unos correos dentro del documento.
vemos que el documento no tiene mucha informacion al respecto, solo unos cuantos correos electronicos, el sistema operativo es windows de 32 bits y un usuario llamado user,  el programa de impresion es pdf995 de lo cual segun mi intuicion es el programa por defecto que incluye windows o algunas versiones desde el windows xp en adelante.
 un ejemplo de una impresora en red descrita en los metadatos si es que el documento lo incluyera por defecto es el siguiente ejemplo de la imagen:
 conociendo de antemano las impresoras que estan en red o el servidor que tiene ejecutandose los servicios de impresion, un atacante puede ir moldeando como es la infraestructura de red de x organizacion y comenzar a estudiar al objetivo y perfilar un ataque.
por ejemplo la impresora de la anterior imagen extraida de algunos metadatos de open-office seria la siguiente:

impresora HP2000C

a partir de aqui, las cosas se pueden poner muy interesantes ya que podemos buscar en google la impresora y empezar a documentarnos sobre este equipo,  si tiene alguna funcionalidad que nos pueda servir como vector de ataque, si por el contrario el equipo es viejo y no cuenta con ninguna conexion solo la cableada, podemos investigar mediante algun escaneador qur direccion ip esta utilizando para spofear su direccion ip y crear un nuevo ataque mas sofisticado.
podemos hacernos pasar por la impresora en las reglas ACL para bypassear al router y engañar ya sea aun cortafuegos o alas reglas de control de acces previamente configuradas por el administrador.
 con los correos que tenemos podemos perfilar un ataque de ingenieria social para engañar alas victimas y enviarlos algun payload dentro de algun documento.
la amplia gama de posibilidades es infinita,  todo queda a merced de la imaginacion del atacante o del investigador forense que en este tipo de casos debe ser mucho mas habil que los propios atacantes.
ahora vamos a investigar los correos electronicos que nos aparecen en los metadatos.
podemos darnos cuenta que el correo janartstudio@janbrett.com pertenece ala siguiente persona.
aunque en nuestro caso los metadatos del archivo no nos proporciono ninguna informacion importante como direcciones de red privadas o publicas,  ni tampoco nos proporciono alguna version en especifico de software, si que con una minima informacion como la descrita aqui se puede realizar un vector de ataque por medio  de la ingenieria social para que sea la misma victima por medio del arte del engaño nos proporcione un nuevo abanico de posibilidades de vulneracion.

 
 

REFERENCIAS Y ENLACES TECNICOS:
Conceptos Ruta
https://en.wikipedia.org/wiki/OpenDocument_technical_specification

analisis forense archivos xml compresion zip foca google hacking. hexadecimal-editor investigacion metadatos odt open-office