Continúa desde: Desarrollo del entorno De-Ice III – Network Mapping, Port Scanning
Una vez hemos escaneado e identificados los servicios disponibles en los sistemas objetivos vamos a enumerar los posibles usuarios de estos.
Tenemos entonces dos host objetivos con los siguientes servicios y versiones disponibles:
Antes de comenzar con el desarrollo de este entorno virtualizado de intrusión creo que es necesario recordar sobre algunos de los objetivos generales en esta primera serie de entornos enfocados a los Test de Penetración.
También es necesario describir nuevamente el escenario propuesto para este Test de Penetración:
El procedimiento de implementación de este entorno no varía mucho con respecto a los anteriores. Tan solo cambia la red objetivo, que para esta ocasión será la 192.168.2.*
Identifiquemos los host vivos (conectados) en la red (Tool: Netdiscover incluída en BackTrack):
root@bt:~# netdiscover eth0
3 Captured ARP Req/Rep packets, from 3 hosts. Total size: 180 _____________________________________________________________________________ IP At MAC Address Count Len MAC Vendor ----------------------------------------------------------------------------- 192.168.2.1 00:50:56:c0:00:07 01 060 Unknown vendor 192.168.2.100 00:0c:29:0c:b9:e5 01 060 Unknown vendor 192.168.2.101 00:0c:29:0c:b9:e5 01 060 Unknown vendor Currently scanning: 192.168.9.0/16 | Our Mac is: 00:0c:29:ac:c4:e0 - 0
Una vez hemos identificados los posibles host’s objetivos pasemos a escanearlos en detalle para obtener más información sobre estos.
Veamos este proceso con Nmap.
Escaneo y explicación enviada por Roguer (jollyroguer [at] gmail.com):
root@bt: ~#nmap -sP 192.168.2.1-255
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:35 UTC
Host 192.168.2.10 is up.
Host 192.168.2.100 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Host 192.168.2.101 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Nmap done: 255 IP addresses (3 hosts up) scanned in 2.06 seconds
En donde obtengo que hay 3 equipos arriba, de los cuales el .10 es mi máquina y los 100 y 101 objetivos enseguida nos centraremos en el equipo .100
Arranco haciendo un escaneo de puertos, como es un entorno seguro no hay necesidad de ocultar la ip de origen
root@bt: ~#nmap -sV -T Aggressive -O 192.168.2.100
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:36 UTC
Interesting ports on 192.168.2.100:
Not shown: 992 filtered ports
PORT STATE SERVICE VERSION
20/tcp closed ftp-data
21/tcp open ftp vsftpd 2.0.4
22/tcp open ssh OpenSSH 4.3 (protocol 1.99)
25/tcp open smtp Sendmail 8.13.7/8.13.7
80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open pop3 Openwall popa3d
143/tcp open imap UW imapd 2004.357
443/tcp closed https
MAC Address: 00:0C:29:78:57:AE (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 – 2.6.24
Network Distance: 1 hop
Service Info: Host: slax.example.net; OS: Unix
OS and Service detection performed. Please report any incorrect
results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.10 seconds
Como podemos ver hay varios servicios corriendo en este equipo, así que vamos a tratar de obternet información como en los entornos anteriores.
——————————————————————————————–
Realicemos un escaneo para identificar servicios y versiones en el host 192.168.2.101
root@bt:~# nmap -PT80 192.168.2.101
Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:09 COT
Interesting ports on 192.168.2.101:
Not shown: 999 filtered ports
PORT STATE SERVICE
80/tcp open http
MAC Address: 00:0C:29:0C:B9:E5 (VMware)
root@bt:~# nmap -sV -p 80 192.168.2.101
Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:12 COT
Interesting ports on 192.168.2.101:
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
MAC Address: 00:0C:29:0C:B9:E5 (VMware)
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.28 seconds
Perfecto el proceso de mapeo de red e identificación de aplicaciones y servicios en los host objetivos. En el próximo post centraremos nuestra atención a las actvidades relacionadas con la enumeración del objetivo e identificación de posibles puntos de intrusión.
Anubis es una aplicación desarrollada por Juan Antonio Calles para anexionar todas las herramientas necesarias para los procesos de las Auditorías de Seguridad dedicados a la búsqueda de información, denominados Footprinting y Fingerprinting, en una única herramienta.
Ahora que tenemos acceso al sistema como usuarios privilegiados, procedemos a recolectar y extraer la información confidencial que exista en el sistema.
Una vez hemos conseguido ingresar al sistema por medio del servidor FTP con acceso anónimo trataremos de elevar u obtener información sensible que nos permita cumplir con nuestro objetivo como PenTesters.
theHarvester (Desarrollada por Edge-Security) es una herramienta que permite recolectar direcciones electrónicas (e-mails) y nombres de usuarios desde fuentes públicas.
Geoedge (Desarrollada por Edge-security) es una herramienta que nos permite ubicar geográficamente una dirección IP o Hostname objetivo, a través de los servicios MaxMind y GeoIPTool.
Subdomainer (desarrollada por edge-security)es una herramienta de recolección de información diseñada para obtener nombres de subdominios de un dominio objetivo, desde diferentes fuentes públicas como Google, Msn Search, Yahoo, Servidores PgP, etc.
Veamos la herramienta en ejecución:
Primero descargamos la herramienta Subdomainer desde la web oficial del proyecto.
La herramienta ha sido desarrollada en Python, por lo tanto necesitarás de este para ejecutarla. (Python ya viene incluído en BackTrack).
Una vez descargada, nos dirigimos al directorio, extraemos los archivos y ejecutamos la herramienta.
root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# ls
COPYING LICENSES README subdomainer.py
Veamos la opciones:
root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# python subdomainer.py
*************************************
*Subdomainer Ver. 1.3b *
*Coded by Christian Martorella *
*Edge-Security Research *
*laramies2k@yahoo.com.ar *
*************************************
usage: subdomainer.py options
-d: domain to search
-l: limit of results to work with. (msn and yahoo goes in 10 to 10
google in 100′s, and pgp does not need this option)
-m: data source (msn, yahoo, google, pgp-veridis, all)
-o: output to html file. (optional, good for long lists.)
Example:
subdomainer.py -d microsoft.com -l 200 -m google
subdomainer.py -d microsoft.com -l 100 -m all -o microsoft.html
root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# python subdomainer.py -d twitter.com -l 100 -m google
*************************************
*Subdomainer Ver. 1.3b *
*Coded by Christian Martorella *
*Edge-Security Research *
*laramies2k@yahoo.com.ar *
*************************************
Searching for twitter.com in google
=======================================
Total results: 434000000
Limit: 100
Searching results: 0
Subdomains founded:
====================
search.twitter.com
blog.twitter.com
status.twitter.com
apiwiki.twitter.com
help.twitter.com
blog.es.twitter.com
chirp.twitter.com
engineering.twitter.com
Total results: 8
Going for extra check:
search.twitter.com ====> 128.121.146.107
blog.twitter.com ====> 74.125.47.121
status.twitter.com ====> 72.32.231.8
apiwiki.twitter.com ====> 208.96.32.3
help.twitter.com ====> 67.219.156.130
blog.es.twitter.com ====> 74.125.47.121
chirp.twitter.com ====> 209.207.239.72
engineering.twitter.com ====> 74.125.47.121
Como vemos, una vez identifica los posibles nombres de subdominios basados en consultas a los motores que hayamos seleccionado, procede a verficar la validez de estos.
Httprint, de Net-Square, es un programa gratuito (no GPL) que utiliza técnicas de fuzzing para dar una estimación de la versión de servidor web que se ejecuta en un puerto.
