Hace poco más de un mes publiqué el reto conocido como Hackademic.RTB2 y hace algunos días publiqué el gran solucionario propuesto por el investigador y consultor experto en seguridad de la información Fernando Quintero (@nonroot). Ahora, como si fuera poco @crodallega nos comparte otro solucionario con base al presentado por nonroot al que de nombre le da Hackademic.rtb2 un solucionario with nails. Esto debido a que las técnicas presentadas en la etapa intermedia se realizan de un modo más manual y explicativo.

Sin más, el solucionario de Carlos Rodallega

@crodallega says:

Una vez ha iniciado los entonos target y atacante iniciamos realizando un típico barrido de pings root@bt:~/hackademic2# nmap -sP 192.168.209.1-255

Donde se identifican 3 host activos (pueden haber mas) de los cuales descartamos los 2 últimos debido a que el de IP .131 es nuestra maquina atacante y el .254 es la interface que configura vmware cuando usamos el modo solo host, haciendo uso de la misma herramienta (nmap) y con base en la información recolectada realizamos un escaneo de puertos a partir del cual tenemos 2 puertos activos 1 abierto y 1 filtrado.

Continua leyendo el solucionario desde el blog de @crodallega >>

Saludos a todos,

Sí, esa es la razón de ser de este escrito,  “Como CAIN& ABEL no hay otro igual” y no estoy haciendo referencia a “Holy Bible” y la Narración del chicho Bueno y el chico Malo con su sacrificio ante Dios.

Como leerán y verán a continuación Cain es un chico tan bueno como Abel.

En realidad estoy haciendo referencia al excelente software creado por el Señor Massimiliano Montoro y su grandioso Web Site .

Rondaba en mi cabeza la intención de escribir desde hace mucho rato sobre este maravilloso aplicativo, puesto que se convirtió en uno más de las armas de mi arsenal para Análisis de Seguridad, el cual no puede faltar en ningún de mis Test de Intrusión Interno, apelando a sus excelentes métodos para la recuperación y desciframiento de contraseñas, contribuyendo así  en la consecución de hallazgos que nos fortalezcan nuestras evidencias de auditoría de seguridad.

Antes de pasar a las imágenes de evidencia, una breve descripción de lo que es CAIN&ABEL  para quien no conozca de esta maravillosa herramienta Multiuso.

“Caín y Abel es una herramienta de recuperación de contraseña para sistemas operativos de Microsoft.  Permite la recuperación fácil de diversos tipo de contraseñas por métodos de sinfín de la red (olfateo de red), craqueo contraseñas cifradas utilizando ataques de  diccionario, fuerza bruta y ataques de criptoanálisis, permite grabar conversaciones de VoIP, descodificar contraseñas, recuperar claves de la red inalámbrica, revelar  contraseñas en Text Box, caché las contraseñas en Windows y el análisis de protocolos de enrutamiento.

La última versión es más rápida y contiene muchas características nuevas como APR (Arp Poison Routing) que permite el rastreo en cambió de LANs y ataques Man-in-the-Middle.

El sniffer en esta versión también puede analizar los protocolos cifrados como SSH-1 y HTTPS y contiene los filtros para capturar las credenciales de una amplia gama de mecanismos de autenticación. “

Bien y si no me crees, échale un vistazo a las siguientes evidencias. El orden de los factores no altera el producto  xDDD

No pretendo entregar un manual del producto, el cual puedes descargar de aquí View Cain & Abel on-line User Manual Así que iré detallando cada evidencia sin establecer un nivel o criterio de importancia.

Corresponden a diversos proyectos ejecutados de los cuales tratare de incluir lo que considere más relevante, ya que si me doy a la tarea de subir todo, creo que este Artículo no me alcanzaría para su inclusión.

Enumeración de Equipos o Sondeo de Red.

Si hacemos uso de Su pestaña de Host y Network tenemos la posibilidad de Sondear o enumerar la Red de la cual pertenecemos al segmento de Red o tenemos enrutamiento alguno.  De igual forma tratar de acceder a recursos compartidos, Bases de Datos, o registros de Windows en los equipos.

Recursos Compartidos, acceso por clave o usuario Anonymous

Llaves de Registro y Recursos Compartidos.

Enumeración de usuarios, registro y recursos compartidos

Enumeración de Servicios.

Registro del sistema

En algunas ocasiones nuestra estación de trabajo es controlada o nos aplican restricciones con medidas como Vlans o Acls (Listas de Control de Accesos), etc.  Algunas formas de tratar de evadirlas es montando una Maquina virtual y estableciendo una configuración estática o dinámica, un Ip spoofing,  mac spoofing,  con una mac diferente para saltar el control de Acls por MAC, como se muestra a continuación capturando credenciales de autenticación (login y password) en  tramas de HTTP una vez se ha iniciado un ARP Poisoning.

Captura de tramas HTTP con credenciales y comportamientos de navegación, si tienes algún sitio prohibido de navegación, aquí te darás cuenta que te están saltando el proxy o el Web Content.

Captura de credenciales de autenticación servicio FTP, en conexiones FTP

Explotando el servicio  ;P

O lo prefieres visualizar así 

Captura de tramas del protocolo SIP (Session Initiation Protocol) en un sistema Asterisk (VoiP).

Captura de tramas protocolo POP3 (servicio de correo interno)

Captura de tramas protocolo SMB. Indicio excelente para aplicar un SMB Relay 

Captura credenciales Oracle (TNS) ciframiento tipo DES !!

Captura  tramas de VoIP

Volcado de la SAM en una estación de trabajo vulnerada por su baja seguridad a nivel de LOCALHOST.

Proceso de ARP poisong y MITM (Man In The Middle) con Cain

Captura de tramas http de archivos, aplicativos que pueden ser modificados On line.

Credenciales de autenticación conexión es Wirelles tomadas de los Cache Passwords de un equipo vulnerado a nivel de Localhost,  en donde se ha instalado Cain&Abel.

Creo que no te gustaría que te encontraran visitando sitios de tu preferencia xDD.

Aclaro que no tengo nada contra la definición de Género o estilos de Vida. Pero con esta sociedad de doble moral, no creo que te guste que encuentren que visitas estos sitios. El problema es que este es un equipo corporativo de trabajo.

Información de los Windows Mail Passwords del Cached Passwords del equipo.

Información de los Credential Manager del Cached Passwords del equipo.

Información del Protected Storage del Cached Passwords del equipo.

Información del Dialup Password del Cached Passwords del equipo

Captura de Credential Manager en Cached Passwords, credencial de controlador de Dominio Maestro.

Captura de Certificados

Función Cracker de Cain&Abel en donde puedes utilizar varios métodos para descifrar los hash de las contraseñas por medio de ataques por diccionario, fuera bruta, intentos, etc. Adicionalmente puedes subir diccionarios personalizados o las tablas de Rainbow Tables.

Capturas de sesión de Telnet

Descifrado de Hash de VNC levantadas del registro de Windows

Esto es una belleza como un Santo Grial, un LDAP abierto de Patitas       Esperando ser coronado

Capturas de tramas protocolo  SMNP

O si tu intención es una Denegación de Servicios (DoS)

Huyyyyy  

La verdad dejemos hasta aquí porque me canse y se me atrasaron algunas vainas de trabajo y académicas……..

He probado algunas otras opciones como el Cracking de Wirelles, Accesos por RDP, desciframiento de BD, Conexión a BD, Desciframiento de CCDU, Traceroute, RSA Token Security ID, Siskey Decoder, DecoderBase64, Cisco VPN Password y Cisco Decode Password. Algunas me han funcionado otras no!!.  A lo mejor por falta de conocimiento o ser mas diestro con la herramienta. Creo que no conozco más del 50% de la misma pero ya puedes medir su potencial con los hallazgos de las evidencias anteriores.

Como puedes ver Cain también es un chico bueno como Abel!!! 

Y como su título lo dice no he encontrado herramienta alguna similar para Linux, razón por la cual mantengo mi partición dual Win/BT algunas vainas sobre Windows como algunas herramientas forenses  y de seguridad.

Ahora, no vamos a volver con el mismo cuento que siempre me tomo que usa Dsniff, Ettercap, Wireshark  que combínalo con scripts o con otras herramientas. Ni de esta forma alcanza el gran potencial de esta maravillosa herramienta. Eso si recomiendo,  si encuentras algo similar por favor no dudes en contactarme que es de mi especial interés!!

Con gratitud  se escribió este artículo especialmente para el proyecto Sec-Track por permitirme participar de él. Congratulations mi gran amigo 4v4t4r por tan excelente iniciativa de seguridad.

Espero que sean de su agrado estas líneas, que como cosa rara me extendí más de lo que esperaba, aunque como lo dije desde el principio tratare de ser breve, tratando de mostrar el potencial de la herramienta.

No me queda más que despedirme, agradecerles a todos por invertir su tiempo en leer un poco estas líneas de conocimiento.

Bytes

Dino

PD: Agradecimientos al Señor Massimiliano Montoro y su grandioso Web Site

PD2: Se publica también en mi Blog

———–

Nota de 4v4t4r:

@d7n0

• Administrador de Empresas
• Gerencia en Consultoría Empresarial
• Profesional en Sistemas de Información
• Especialización Administración de la Información
• Veinte (20) años de experiencia en Sistemas e Informática
• Diez (10) años de experiencia en Seguridad Informática
• Miembro activo de La Comunidad DragonJAR.
• Miembro activo de la Comunidad Team SecurityIT
• Coordinador del grupo SWAT de Hacking Etico
• Columnista de diversos articulos de seguridad Informatica, Hardening, Análisis Forense, Hacking Etico en revistas Electrónicas, como Hackerss.com, Dragonjar.org.
• Analista en Seguridad Informática (Freelance)
• Investigador Informática Forense (Freelance)
• Vinculación con la Empresa P@ssword S.A. Desde hace tres años desarrollando proyectos de Seguridad Informática (Aseguramiento, Análisis de Seguridad, Análisis Forense) a Organizaciones Gubernamentales, Estatales, Sector Público y Privado.
• Asesor y Consultor de TICS
• Capacitador Diplomados de Seguridad Informatica en Universidades (Universidad Cooperativa, Universidad Libre de Colombia, Universidad Antonio Nariño, Universidad del Pacifico)
• Capacitador cursos de Ethical Hacking en Centros de Entrenamiento de Alta Tecnologia CETEC, Itech Learning
• Ponente Nacional en temas de Seguridad Informática en diversos eventos, seminarios y Universidades (Universidad Javeriana, Universidad Santiago de Cali, Universidad Libre, Universidad Autonoma de Popayan, UNAD de Neiva).

Daniel Compton, Information Security Consultant of 7Safe, took the audience through a demonstration of common risks found that he sees whilst carrying out penetration tests for clients. This covered two main areas which were “client side attacks” and “pivot attacks”. The demonstrations were all based on fully patched Windows operating systems with anti-virus protection, firewall protection and the latest patches for 3rd party products. Once the client victim computer was exploited from the Internet, Daniel demonstrated how it was possible to pivot and dive deep into the internal corporate network and extracting passwords and credit card data. You can watch the video demonstration here.

Este post muestra los procedimientos necesarios para implementar el entorno de entrenamiento DVWA (Damn Vulnerable Web Application) sobre diferentes soluciones de virtualización (VMWare, Qemu y VirtualBox). Veamos primero, los pasos para llevarlo a cabo en VMWare WorkStation.

Menu – File – New Virtual Machine

Continuamos el paso a paso del wizard de creación de máquinas virtuales ilustado en las siguientes imágenes.

Finalmente ejecutamos la nueva máquina creada, desde allí podemos seleccionar el sistema de inicio o instalación (si preferimos hacerlo):

Automaticamente inicia DVWA

Si verificamos nuestra configuración de red, podremos identificar la dirección IP en la cual ya se encuentra disponible el entorno.

Si escribimos dicha dirección IP en nuestro navegador, nos encontraremos con la página de login de DVWA.

Además si deseamos podemos trabajar desde el propio LiveCD, para ello simplemente ejecutamos el entorno gráfico de DVWA y el navegador web. Este automáticamente abrirá la página de login del Framework.

Iniciamos sesión en DVWA (user: admin pass: password) y nos encontraremos con todos los módulos de entrenamiento.

Veamos ahora el mismo proceso de configuración y puesta en marcha en el software para virtualziación Virtual Box.

Creación de nueva máquina y configuración de acceso a red (en mi caso NAT)

Si ejecutamos el browser desde la misma máquina en virtual box, nos encontraremos igualmente con la página de inicio del DVWA.

Finalmente veamos el proceso de implementación de DVWA en QEMU

Desde el Qemu Manager

Seleccionamos la mejor opción que se acomode a nuestras caracteristicas de red. En mi caso decidí utilizar una interfaz virtual (tap qemu).

Continuamos con la configuración normal, seleccionado la imagen ISO de DVWA

Verificamos el acceso

En próximos post veremos como realizar uno a uno cada módulo de entrenamiento…

DVWA (Damn Vulnerable Web Application) es un reconocido entorno de entrenamiento en explotación de  seguridad Web, que permite estudiar e investigar sobre las diferentes temáticas involucradas en dicho campo.

Ahora se encuentra disponible la versión número 1.0.7, y desde hace algún tiempo se distribuye, además de los archivos , un LiveCD (iso) para facilitar aun más la implementación del entorno de entrenamiento.

Entre las mejoras de esta nueva versión, se destaca la página de ayuda del entorno, la implementación de las prácticas de Blind SQL Injection y la documentación oficial del proyecto.

Las temáticas cubiertas en el Framework, son las siguientes:

Login Brute Force
XSS (Cross-Site Scripting)
LFI (Local File Inclusion)
RFI (Remote File Inclusion)
Command Execution
Upload Script
CSRF (Cross-Site Remote Forgery)
SQL Injection
Blind SQL Injection

Para más información sobre el proyecto Blog >>

Web Oficial del Proyecto >>

Descargar DVWA (ISO)(480Mb) >>

Pronto estaré publicando algunos tutoriales y video tutoriales de la implementación y desarrollo de cada uno de los niveles propuestos en el Framework, obviamente estos recursos serán generados a través de la lista de correo y de los comentarios en el Blog.

Muy pocas veces hablo sobre mis certificaciones o preparación formal realizada. Esto sobre todo, por el hecho de que no soy  amante de los altos egos de algunos con respecto a estos temas. Otra razón muy importante es debido a que el hecho de tener una certificación o carrera profesional no garantiza en su totalidad que una persona tenga o no, los conocimientos necesarios para ejercer una labor. Soy de los que piensan que nada mejor que la práctica pura y dura para evaluar la experticia de las personas. Como decimos por ahí, “la práctica hace al maestro”.

Toco este tema, debido a que a lo largo de mi carrera profesional e investigaciones relacionadas en la seguridad de la información, he realizado diferentes certificaciones y preparaciones formales en estos campos. Una de estas corresponde al título de este post.

Esta prestigiosa certificación y que muchos se atreven a nombrar como “Penetration Testing Pro: the CEH killer” es ofrecida por el equipo de eLearnSecurity en un completo paquete de entrenamiento + certificación. El objetivo a lo largo de esta exigente preparación es aprender trabajando de manera práctica en cada uno de sus módulos propuestos.

SECTION 1 WEB APPLICATION SECURITY TESTING
OVERVIEW

• Module 1: Introduction
• Module 2: Information Gathering
• Module 3: Vulnerability assessment
• Module 4: Cross site scripting
• Module 5: SQL Injection
• Module 6: Advanced Web Attacks

SECTION 2 NETWORK SECURITY TESTING
OVERVIEW

• Module 1: Information Gathering
• Module 2: Scanning
• Module 3: Enumeration
• Module 4: Sniffing and MITM attacks
• Module 5: The Exploitation show
• Module 6: Anonymity

SECTION 3 SYSTEM SECURITY
OVERVIEW

• Module 1: Introduction
• Module 2: Cryptography and Password Cracking
• Module 3: Buffer Overflow
• Module 4: Shellcoding
• Module 5: Malware
• Module 6: Rootkit coding

Los detalles del curso son:

• Online course—learn at your own pace
• 1000+ interactive slides
• Learn methodology, be a professional
• 4 hours of videos
• 3 authors—3 sections
• DVD Backtrack4 + Labs
• Silver Certification
• Qualifies you for 40 CPE

Un completo listado de las temáticas puede encontrarse en el documento Syllabus oficial.

Además de esto, en el web site The Ethical Network y en DarkNet han realizado unos completos reviews sobre el entrenamiento y la certificación, que puede ser de utilidad para quienes estén interesados en realizar este training.

Por este mismo medio estaré publicando mis experiencias, alguna parte del material de entrenamiento (videos, ppts, entornos, sources) y algunos de los ejercicios propuestos, con el objetivo de encontrar otras opiniones, sugerencias y compartir con quienes quieran parte de este valioso recurso y estén proyectando realizarlo de manera oficial.

Web oficial (Entrenamiento + Certificación) eLearnSecurity

Demo Training

Review (DarkNet)

Review (The Ethical Hacker Network)

Continúa desde: Desarrollo del entorno De-Ice III – Pruebas de Autenticación y Escaneo de Vulnerabilidades

Veamos ahora que podemos hacer con la información encontrada:

Index of /~pirrip//.ssh

 Name                    Last modified      Size  Description
 Parent Directory                             -
 id_rsa                  05-Jan-2008 20:29  1.6K
 id_rsa.pub              05-Jan-2008 20:29  393

Apache/2.0.55 (Unix) PHP/5.1.2 Server at 192.168.2.101 Port 80

Read the rest of this entry »

Hace varios años tuve el placer de conocer este magnífico FAQ sobre Seguridad en Aplicaciones Web desarrollado por OWASP. Recientemente volví a encontar el documento (pdf) y un website habilitado por OWASP para consultarlo On-Line.

Read the rest of this entry »

Continúa desde: Desarrollo del entorno De-Ice III – Enumeración de usuarios

Una vez hemos identificado los usarios válidos en el sistema, pasemos a realizar algunas pruebas de autenticación  a través de los servicios ofrecidos por el host. Veamos:

FTP

Hydra:

root@bt:~# hydra 192.168.2.100 ftp -s 21 -L usuarios.txt -P /pentest/passwords/wordlists/dicc.lst -t 36

SSH

Hydra:

root@bt:~# hydra 192.168.2.100 ftp -s 21 -L usuarios.txt -P /pentest/passwords/wordlists/dicc.lst -t 36

Ncrack:

root@bt:/usr/local/share/ncrack# ncrack 192.168.1.100:22 -P /pentest/passwords/wordlists/pass.txt

Después de mucho esperar mientras se llevaba a cabo los intentos de inicio de sesión con un usuario y password válido llegamos a la conclusión de que este no es un camino viable para acceder al sistema, pues las pruebas fueron realizadas con diccionarios en un comienzo básicos y compuestos por palabras comunes hasta diccionarios bastante robustos de millones de palabras, por lo tanto podemos afirmar que las contraseñas son complejas o los mecanismos de autenticación están medianamente asegurados.

Hagamos uso de varios identificadores de vulnerabilidades, configuraciones por defecto o archivos y directorios sensibles. Para ello primero usemos OWASP Dirbuster para identificar directorios y archivos.

Host 192.168.2.100

root@bt:/pentest/web/dirbuster# java -jar DirBuster-0.12.jar -H -u http://192.168.2.100/ -r
DirBuster: option requires an argument — r
Starting OWASP DirBuster 0.12 in headless mode
Starting dir/file list based brute forcing
Dir found: / – 200
Dir found: /cgi-bin/ – 403
Dir found: /icons/ – 200
File found: /level.html – 200
File found: /copyright.txt – 200
File found: /index2.html – 200

Host 192.168.2.101

root@bt:/pentest/web/dirbuster# java -jar DirBuster-0.12.jar -H -u http://192.168.2.101/ -r
DirBuster: option requires an argument — r
Starting OWASP DirBuster 0.12 in headless mode
Starting dir/file list based brute forcing
Dir found: / – 200
Dir found: /cgi-bin/ – 403
Dir found: /home/ – 403
Dir found: /icons/ – 200
File found: /200711_002.pdf – 200
File found: /200611_001.pdf – 200
File found: /200711_004.pdf – 200
File found: /Acceptable_Use_Policy.pdf – 200
File found: /Audit_Policy.pdf – 200
File found: /Email_Policy.pdf – 200

Ahora con Nikto en modo default

Host 192.168.2.100

root@bt:/pentest/web/nikto# perl nikto.pl -h 192.168.2.100
- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.2.100
+ Target Hostname:    slax.example.net
+ Target Port:        80
+ Start Time:         2010-03-13 17:14:41
—————————————————————————
+ Server: Apache/2.0.55 (Unix) PHP/5.1.2
+ OSVDB-0: Apache/2.0.55 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: PHP/5.1.2 appears to be outdated (current is at least 5.2.8)
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-0: DEBUG HTTP verb may show server debugging information
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3233: /icons/README: Apache default file found.
+ 3588 items checked: 8 item(s) reported on remote host
+ End Time:           2010-03-13 17:15:08 (27 seconds)
—————————————————————————
+ 1 host(s) tested

Host 192.168.2.101

root@bt:/pentest/web/nikto# perl nikto.pl -h 192.168.2.101
- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.2.101
+ Target Hostname:    192.168.2.101
+ Target Port:        80
+ Start Time:         2010-03-13 17:16:25
—————————————————————————
+ Server: Apache/2.0.55 (Unix) PHP/5.1.2
+ OSVDB-0: Apache/2.0.55 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: PHP/5.1.2 appears to be outdated (current is at least 5.2.8)
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-637: /~root/: Allowed to browse root’s home directory.
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3233: /icons/README: Apache default file found.
+ 3588 items checked: 7 item(s) reported on remote host
+ End Time:           2010-03-13 17:16:54 (29 seconds)
—————————————————————————
+ 1 host(s) tested

Además de las alertas sobre las versiones desactualizadas de software, podemos destacar la identificación del directorio de usuario root. (~root). Esto nos permite deducir que posiblemente existan diferentes directorios para los usuarios identificados. Veamos:

Con netcat

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~root/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:36:11 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 557
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~pirrip/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:38:13 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 561
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~magwitch/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:40:13 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 565
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~havisham/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:42:27 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 565
Connection: close
Content-Type: text/html

Otra herramienta que nos permite identificar posibles usuarios, archivos, directorios en un host, es la herramienta de Fuzzing JBroFuzz

Veamos:

Tenemos los posibles usuarios válidos del sistema:

pickwick
winkle
snodgrass
tupman
weller
tweller
havisham
magwitch
pirrip
nickleby
rnickleby
noggs
squeers
pinch
tapley
gamp
marley
scrooge
cratchit
sikes
dawkins
claypole
root

Los cuales a su vez pueden tener un directorio como el identificado para root

Basta entonces con agregarle el símbolo virgulilla (~) al comienzo de cada uno y anexarlo a las listas de fuzzing de  JBroFuzz.

0,http://192.168.2.101/~pickwick,404,Not Found,No,No
1,http://192.168.2.101/~winkle,404,Not Found,No,No
2,http://192.168.2.101/~snodgrass,404,Not Found,No,No
3,http://192.168.2.101/~tupman,404,Not Found,No,No
4,http://192.168.2.101/~weller,404,Not Found,No,No
5,http://192.168.2.101/~tweller,404,Not Found,No,No
6,http://192.168.2.101/~havisham,200,OK,No,No
7,http://192.168.2.101/~magwitch,200,OK,No,No
8,http://192.168.2.101/~pirrip,200,OK,No,No
9,http://192.168.2.101/~nickleby,404,Not Found,No,No
10,http://192.168.2.101/~rnickleby,404,Not Found,No,No
11,http://192.168.2.101/~noggs,404,Not Found,No,No
12,http://192.168.2.101/~squeers,404,Not Found,No,No
13,http://192.168.2.101/~pinch,404,Not Found,No,No
14,http://192.168.2.101/~tapley,404,Not Found,No,No
15,http://192.168.2.101/~gamp,404,Not Found,No,No
16,http://192.168.2.101/~marley,404,Not Found,No,No
17,http://192.168.2.101/~scrooge,404,Not Found,No,No
18,http://192.168.2.101/~cratchit,404,Not Found,No,No
19,http://192.168.2.101/~sikes,404,Not Found,No,No
20,http://192.168.2.101/~dawkins,404,Not Found,No,No
21,http://192.168.2.101/~claypole,404,Not Found,No,No
22,http://192.168.2.101/~root,200,OK,No,No

Las líneas que están en negrita corresponden a ubicaciones reales y activas en el servidor objetivo

~havisham
~magwitch
~pirrip
~root

Hagamos ahora una exploración de directorios y archivos mediante JBroFuzz a los directorios raíz del server y de los usuarios identificados.

Al host 192.168.2.100

4,http://192.168.2.100//icons/,200,OK,No,No
784,http://192.168.2.100//index.php/123,200,OK,No,No
802,http://192.168.2.100//info.php,200,OK,No,No (Y)

Al host 192.1682.101

4,http://192.168.2.101//icons/,200,OK,No,No

Ahora a los directorios identificados para los usuarios:

Usuario havisham:

Ningún resultado de interés

Usuario magwitch:

Ningún resultado de interés

Usuario pirrip:

385,http://192.168.2.101/~pirrip//.ssh,200,OK,No,No

Usuario root:

Ningún resultado de interés

Vemos entonces como pudimos identificar la existencia del directorio .ssh para el usuario pirrip

http://192.168.2.101/~pirrip//.ssh/

Index of /~pirrip//.ssh

 Name                    Last modified      Size  Description
 Parent Directory                             -
 id_rsa                  05-Jan-2008 20:29  1.6K
 id_rsa.pub              05-Jan-2008 20:29  393

Apache/2.0.55 (Unix) PHP/5.1.2 Server at 192.168.2.101 Port 80

En el próximo post veremos como podemos utilizar la información obtenida para penetrar el sistema.

Turnkey Linux es un proyecto Open Source de desarrollo de appliances libres para la implementación de plataformas tecnológicas . Estas appliances también pueden ser utilizadas para la implementación y puesta en marcha de  Laboratorios de entrenamiento en Seguridad Informática.

Read the rest of this entry »