Un cliente acaba de enviarnos un archivo comprimido con clave y nos dice que las pistas para encontrar dicha contraseña de 9 caracteres se encuentra oculto de alguna forma en este otro par de archivos (MD5: 159aa63c90c0a2692562d3414a39eaca).

Se debe determinar cual es la contraseña buscada sin realizar ataques de fuerza bruta sobre ningún archivo y dejarla en los comentarios de este post. La primera persona en describir la forma de llevar a cabo el proceso para obtener dicha clave, se llevará una Licencia del Antivirus de ESET.

Las ideas, comentarios y sugerencias para resolver este reto pueden ser tratadas en la lista de Sec-Track o por medio de los comentarios de nuestro Blog.

]]> http://www.sec-track.com/desafio-10-de-eset-criptoanalisis/feed 0 http://www.sec-track.com/tool-list-urls-py-identifica-los-enlaces-de-una-pagina-web http://www.sec-track.com/tool-list-urls-py-identifica-los-enlaces-de-una-pagina-web#comments Wed, 03 Mar 2010 21:20:03 +0000 S3cTr4ck http://www.sec-track.com/?p=478 List-Urls.py es un script desarrollado en Python por muts [at] whitehat.co.il que nos permitirá extraer los enlaces de una determinada página web, con el objetivo de recolectar información sobre un sistema.

Aunque existen otras herramientas para este mismo objetivo ( y addons-firefox), este script puede ser  útil en algunos casos en que se necesite editar o analizar en detalle los resultados obtenidos .

Veamos:

Descargamos List-Urls.py (ya incluída en BackTrack).

Ejecutamos (puede utilizarse desde cualquier S.O que tenga Python, en este caso desde Windows):

C:\Python26>python.exe list-urls.py http://www.informatica64.com

Resultados:

##########################################################
#                                                       #
#            Extract URLS from a web page               #
#               muts@whitehat.co.il                     #
#                                                       #
##########################################################

/Default.aspx
/formacion.aspx
/consultoria.aspx
/seguridad.aspx
/herramientas.aspx
/disenoSistemas.aspx#partner
/libros.aspx

http://www.rootedcon.es/rooted-con-2010/rootedlabs.html

/libros.aspx
#ctl00_Menu1_SkipLink
Formacion.aspx
seguridad.aspx
Consultoria.aspx
herramientas.aspx
publicaciones.aspx
contacta/contacta.aspx
noticias.aspx
MainHols.aspx
dlinkacademy
asegurait7
ftsai.aspx
VHandsOnLab.aspx
uptosecure/
Formacion.aspx
EventosOnline.aspx
calendariodetalle.aspx
vclassrooms.aspx
DocumentacionHols.aspx
AplicacionesWeb.aspx
AuditoriaInterna.aspx
AnalisisForense.aspx
DisenoSistemas.aspx
ImplServidores.aspx
Migraciones.aspx
lopd.aspx
sat
foca

http://www.metashieldprotector.com

I64POP3Connector.aspx
csppScanner.aspx
herramientas.aspx
herramientas.aspx
webcasts.aspx
blogs.aspx
libros.aspx
ManualesTecnicos.aspx
RetosHacking.aspx
technews.aspx
ubicacion.aspx
contacta/contacta.aspx
trabaja.aspx
javascript:__doPostBack(‘ctl00$CalendarioEventos’,'V3684′)
javascript:__doPostBack(‘ctl00$CalendarioEventos’,'V3743′)
Noticias.ashx
/Noticias.aspx?id=46
/Noticias.aspx?id=45
/Noticias.aspx?id=44
/Noticias.aspx?id=43

http://twitter.com/statuses/user_timeline/101166742.rss

http://twitter.com/Informatica64/statuses/9917561536

http://www.informatica64.com/certificado/Certificadoi64.zip

VHandsOnLab.aspx
uptosecure
dlinkacademy
Eventos.ashx
Detalle.aspx?id=0
Detalle.aspx?id=1
Detalle.aspx?id=2
Detalle.aspx?id=3
Detalle.aspx?id=4
http://www.puntocompartido.com/BlogShare/Lists/Entradas de blog/ViewPost.aspx?ID
=32

http://feedproxy.google.com/~r/ElLadoDelMal/~3/tdD9uAlmk_A/posteo-luego-existo.h

tml

http://feedproxy.google.com/~r/WindowsTecnico/~3/QQUcZrQHRBM/programador-de-tare

as-parte-i.aspx

http://feedproxy.google.com/~r/SegurosConForefront/~3/DEYi2sPZD_s/post.aspx

http://windowstips.wordpress.com/2010/02/23/owned-memorable/

http://el-blog-de-thor.blogspot.com/2010/02/regalo-de-la-rooted-con.html

http://feedproxy.google.com/~r/saenzguijarro/vhPW/~3/qzJ4FJ8fOVc/post.aspx

ubicacion.aspx

Sobre Sec-Track

• ¿Qué es Sec-Track?

• Security Track

• FAQ

Entornos de Entrenamiento

• Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

• Video tutorial de configuración de los entornos De-Ice sobre GNU/Linux BackTrack

• De-ICE PenTest LiveCDs (Nivel I)

  • Configuración De-ICE PenTest LiveCDs (Nivel I) en Qemu

  • Configuración De-ICE PenTest LiveCDs (Nivel I) en VMWare

  • Video tutorial: Desarrollo del Entorno De-Ice nivel I – Network Mapping, Port Scanning

  • Desarrollo del Entorno De-Ice nivel I – Recolección de Información / Enumeración de usuarios

  • Desarrollo del Entorno De-Ice nivel I – Escalada de Privilegios y Revelación de Información Crítica

  • Desarrollo del Entorno De-Ice nivel I – Backdoors, Manteniendo el Acceso

  • Desarrollo del Entorno De-Ice nivel I – Conclusiones y Recomendaciones

• De-ICE PenTest LiveCDs (Nivel II)

  • Configuración De-ICE PenTest LiveCDs (Nivel II) en VMWare

  • Configuración De-ICE PenTest LiveCDs (Nivel II) en Qemu

  • Desarollo del Entorno De-Ice II – Network Mapping, Port Scanning

  • Desarrollo del Entorno De-Ice nivel II – Recolección de Información / Escaneo de Vulnerabilidades

  • Desarrollo del Entorno De-Ice nivel II – Acceso al Sistema y Elevación de Privilegios

  • Desarrollo del Entorno De-Ice nivel II – Información Confidencial y Backdoors

• De-ICE PenTest LiveCDs (Nivel III)  Próximo a realizar (Y)
  

• PwnOS

• Reto de Análisis Forense Digital de la Comunidad DragonJAR – Escenario e implementación

  • Reto de Análisis Forense Digital de la Comunidad DragonJAR – Live Response: Recolección de Datos Volátiles

• Reto 1: Esteganografía by HackPlayers

  • Solucionario del Reto 1 de Esteganografía by HackPlayers and Juanma Merino

• Criptología + Criptograma I

  • Solución al Criptograma I por Servant

• Nuevo Reto de HackPlayers: Llega el Carnaval

• Criptología + Introducción al Criptoanálisis I

• Serie de Criptogramas Clásicos

Metodologías / Frameworks / Docs

• OSSTMM – Open Source Security Testing Methodology Manual

• ISSAF – Information System Security Assessment Framework

• Penetration Testing Framework

• Metodología: NIST SP 800-42

• Comandos Esenciales en GNU/Linux para Análisis Forense Digital

Tools

• Colección de Add-ons Firefox para Test de Penetración

• Tool: Nmap

• Video tutorial: Identificación / Conectividad de Sistemas con Nmap

• Recopilación de Diccionarios para Auditorías a Contraseñas (Brute Force)

• Recopilación de Exploits desde Offensive Security

• Plugin Firefox para búsqueda de Exploits en la Base de Datos de Offensive Security

• Identificación de dominios alojados en una misma IP/Hostname con Finddomains

• NeXpose, Escaner de Vulnerabilidades de Rapid7

• Tool: Netstat

• Tool: UserAssist

• Tool: Hostmap, Host Name Discovery Tool

• Tool: Nikto, Escaneo de directorios y archivos sensibles en servidores Web

• Tool: Httprint, Web Server Fingerprinting

• Tool: Maltego, Herramienta de Inteligencia, Análisis Forense y Recolección de Información

• Tool: Subdomainer, Búsqueda de subdominios de un dominio objetivo

• Tool: Geoedge, Ubicación Geográfica de una IP / Hostname

• Tool: theHarvester, recolección de correos electrónicos y nombres de usuarios

Videos / Audios

• Video Tutorial Netcat en BackTrack

• Video tutorial: Introducción a Nmap

• PodCast by nonr00t

Vuelvo y repito que la intención de esta serie de post no es ofrecer el solucionario según los requerimientos exigidos por los desarrolladores del Reto. El objetivo de estos post es simplemente generar un espacio de discusión sobre los aportes que se realicen en pro de realizar de la mejor manera el análisis forense digital de dicho esceneario propuesto.

Por lo tanto vamos entonces a realizar la recolección de datos volátiles y la preservación de la evidencia (Procesos más importantes en todo Análisis Forense Digital)

La idea es que yo proponga un método o técnica y los lectores sugieran otras o aprueben las aquí nombradas

Como primera medida y según el escenario propuesto, tenemos que meternos en el papel de analistas forenses, y que recién hemos llegado a la escena del crimen… En esta escena nos encontramos frente a un computador desde el cual se sospecha que se realizan actividades ilícitas relacionadas con ciber acoso y pedofília.

Apagar o no apagar?… Por mi parte sugiero se realice un volcado de memoria, con el objetivo de recolectar información volátil y alojada en memoria, la cual nos permitirá obtener datos de alta importancia y que son altamente volátiles si no se realiza el proceso de volcado antes de reiniciar o apagar el equipo… Veamos:

Conectaré un dispositivo de almacenamiento USB con el objetivo de ejecutar la herramienta FTK Imager y realizar un volcado de memoria.

Sistema en el momento que llegamos:

Conexión del dispositivo de almacenamiento por USB

FTK Imager (Versión Portable)

Instrucción para el volcado de memoria

Información de los datos a exportar

Proceso de volcado de memoria en ejecución

Extracción finalizada

Una vez recolectado el volcado de memoria procedemos a generar las firmas digitales de este archivo (El proceso de generación de firmas se realizó desde otro equipo, una vez se realizaron todas las copias.

Comprimido con 7zip:

Nombre: memdump.7z
CRC-32: e75fc430
MD4: 0e94aaef831bdd5759e02367c9721d6d
MD5: f5eba1d486d14fd2251056d6621b651e
SHA-1: 292009c29d81787e756fa08e4c4ecef129b69d40

Descomprimido:

Nombre: memdump.txt
CRC-32: f4700625
MD4: c8b6b8a606c4f838e62962da3a9c6fa7
MD5: 0f3c8134fa401585cc7b74373013b9be
SHA-1: 2d15c79cfdac52bf96e860555ed3b6f452c5acd0

He subido una copia del volcado de memoria para quienes por diferentes motivos no puedan realizar el proceso anterior. (+/- 121Mb comprimido | +/-523Mb descomprimido)

Ahora nos corresponde realizar varias copias completas del sistema (Preservación de la evidencia – procedimiento obligatorio en peritajes informáticos)… Veamos:

En este caso para el disco C:\ – [NTFS]

Para este primer caso (Drive Lógico)

Drive fuente

Exportar imagen de disco

Tipo de imagen a el cual se desea exportar (en mi caso seleccioné DD)

Información referente al caso

Creando la imagen

Verificación automática de la integridad de los datos copiados

Si quisiéramos realizar un copiado de disco físico sería de igual manera, solo modificariamos el primer paso (por seguridad yo realicé ambos copiados)

Firmas digitales de integridad de los datos copiados

Nombre: disco_C_logico.001

CRC-32: 4c98664d
MD4: 9330d4583254e8a4d2a57e6a41c39adf
MD5: 249f5c1b47ad84862e35665b947a56d1
SHA-1: 890b17397a6c28362747bc310c42d4eeb4c38bae

En el próximo post mostraré como podemos recolectar información de interés y adicional sobre el sistema en ejecución.

Recuerden que este post solo tiene  como finalidad generar discusión y aportes relacionados a este tema… así que bienvenidos los comentarios.

Una vez recolectemos toda la información necesaria, podremos comenzar con el análisis de estos…

Nos logueamos en el sistema:

login as: bbanter
bbanter@192.168.1.110’s password:
Linux 2.6.16.
bbanter@slax:~$ su
Password: **********
root@slax:/home/bbanter#

Exploremos los diferentes directorios en busca de información confidencial

root@slax:/home/aadams# ls -la
total 4
drwxr-xr-x 2 aadams users   80 Mar 15  2007 .
drwxr-xr-x 8 root   root   140 Mar 15  2007 ..
-rw-r–r– 1 aadams users 3729 Feb  4  2007 .screenrc
root@slax:/home/aadams# ls /home/bbanter/ -la
total 4
drwxr-xr-x 2 bbanter users   80 Mar 15  2007 .
drwxr-xr-x 8 root    root   140 Mar 15  2007 ..
-rw-r–r– 1 bbanter users 3729 Feb  4  2007 .screenrc
root@slax:/home/aadams# ls /home/ccoffee/ -la
total 4
drwxr-xr-x 2 ccoffee users   80 Mar 15  2007 .
drwxr-xr-x 8 root    root   140 Mar 15  2007 ..
-rw-r–r– 1 ccoffee users 3729 Feb  4  2007 .screenrc
root@slax:/home/aadams# ls /home/ftp/ -la
total 0
drwxr-xr-x 4 root   root  80 Mar 15  2007 .
drwxr-xr-x 8 root   root 140 Mar 15  2007 ..
drwxr-xr-x 7 aadams  513 160 Mar 15  2007 download
drwxrwxrwx 2 root   root  60 Feb 26  2007 incoming
root@slax:/home/aadams# ls /home/root/ -la
total 4
drwxr-xr-x 3 aadams  513  100 Mar 15  2007 .
drwxr-xr-x 8 root   root  140 Mar 15  2007 ..
drwx—— 2 root   root  100 Mar 15  2007 .save
-rw-r–r– 1 aadams  513 3729 Feb 27  2007 .screenrc

Nos encontramos con dos archivos de interés:

root@slax:/home/aadams# cd ..
root@slax:/home# cd root/.save/
root@slax:/home/root/.save# ls -la
total 8
drwx—— 2 root   root 100 Mar 15  2007 .
drwxr-xr-x 3 aadams  513 100 Mar 15  2007 ..
-r-x—— 1 root   root 198 Mar 13  2007 copy.sh
-rw-r–r– 1 aadams  513 560 Mar 13  2007 customer_account.csv.enc

Exploremos el contenido de estos:

COPY.SH

root@slax:/home/root/.save# cat copy.sh
#!/bin/sh
#encrypt files in ftp/incoming
openssl enc -aes-256-cbc -salt -in /home/ftp/incoming/$1 -out /home/root/.save/$1.enc -pass file:/etc/ssl/certs/pw
#remove old file
rm /home/ftp/incoming/$1

Este archivo parecía ser utilizado para cifrar los archivos contenidos en el directorio incoming del FTP con cifrado aes-256-cbc luego realiza una copia del archivo cifrado al directorio /home/root/.save haciendo uso de los certificados en /etc/ssl/certs/pw y eliminando copias anteriores.

Por lo tanto por este mismo medio podemos descifrar el contenido de este archivo…

root@slax:/home/root/.save# openssl enc -d -aes-256-cbc -salt -in customer_account.csv.enc -out clientes.csv -pass file:/etc/ssl/certs/pw
root@slax:/home/root/.save# ls
clientes.csv  copy.sh  customer_account.csv.enc

Visualicemos el archivo:

root@slax:/home/root/.save# cat clientes.csv
“CustomerID”,”CustomerName”,”CCType”,”AccountNo”,”ExpDate”,”DelMethod”
1002,”Mozart Exercise Balls Corp.”,”VISA”,”2412225132153211″,”11/09″,”SHIP”
1003,”Brahms 4-Hands Pianos”,”MC”,”3513151542522415″,”07/08″,”SHIP”
1004,”Strauss Blue River Drinks”,”MC”,”2514351522413214″,”02/08″,”PICKUP”
1005,”Beethoven Hearing-Aid Corp.”,”VISA”,”5126391235199246″,”09/09″,”SHIP”
1006,”Mendelssohn Wedding Dresses”,”MC”,”6147032541326464″,”01/10″,”PICKUP”
1007,”Tchaikovsky Nut Importer and Supplies”,”VISA”,”4123214145321524″,”05/08″,”SHIP”

Hemos obtenido acceso a las tarjetas de crédito de los clientes de dicho sistema objetivo…

Veamos ahora como podemos implementar un backdoor en el sistema:

Tema ya tratado en el anterior entorno

Ingresemos entonces al sistema, exploremos y recolectemos información.

root@bt:~/De-Ice_II# ftp 192.168.1.110
Connected to 192.168.1.110.
220 (vsFTPd 2.0.4)
Name (192.168.1.110:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.

————

ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    7 1000     513           160 Mar 15  2007 download
drwxrwxrwx    2 0        0              60 Feb 26  2007 incoming
226 Directory send OK.

———–

Exploremos lo que parece ser el directorio de descargas de copias de seguridad o migraciones descrito en el escenario del entorno.

ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    6 1000     513           340 Mar 15  2007 etc
drwxr-xr-x    4 1000     513           100 Mar 15  2007 opt
drwxr-xr-x   10 1000     513           400 Mar 15  2007 root
drwxr-xr-x    5 1000     513           120 Mar 15  2007 usr
drwxr-xr-x    3 1000     513            80 Mar 15  2007 var
226 Directory send OK.

Acá debemos explorar en detalle el contenido de cada uno de estos directorios con la finalidad de encontrar información relevante que permita elevar privilegios en el sistema. Cada persona será libre de elegir el directorio por el cual comenzar, pero recomiendo hacerlo con los directorios que revelan más información del sistema. Para este caso el directorio /etc.

ftp> cd etc
250 Directory successfully changed.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    4 1000     513           160 Mar 15  2007 X11
-rw-r–r–    1 1000     513        362436 Mar 03  2007 core
drwxr-xr-x    2 1000     513           100 Mar 15  2007 fonts
-rw-r–r–    1 1000     513           780 Apr 30  2005 hosts
-rw-r–r–    1 1000     513           718 Jul 03  2005 inputrc
-rw-r–r–    1 1000     513          1296 Jun 10  2006 issue
-rw-r–r–    1 1000     513           183 Jun 23  2005 lisarc
-rw-r–r–    1 1000     513            56 Oct 21  2004 localtime
lrwxrwxrwx    1 1000     513            23 Feb 18 06:16 localtime-copied-from -> /usr/share/zoneinfo/GMT
-rw-r–r–    1 1000     513         10289 Dec 31  2003 login.defs
-rw-r–r–    1 1000     513             1 Dec 31  2003 motd-slax
drwxr-xr-x    2 1000     513           100 Mar 15  2007 profile.d
drwxr-xr-x    2 1000     513           220 Mar 15  2007 rc.d
-rw-r–r–    1 1000     513           440 Jul 18  2006 shadow
226 Directory send OK.

Recomiendo además ir realizando la descarga de los archivos y directorios que consideremos de interés para el Test de Penetración. Para ello basta ejecutar la siguiente instrucción:

get name_file

En este caso quedaría así:

ftp> get shadow
local: shadow remote: shadow
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for shadow (440 bytes).
226 File send OK.
440 bytes received in 0.00 secs (1761.0 kB/s)

Una vez descargados y analizados los archivos procedemos a utilizar los resultados obtenidos en dicho análisis.

Entre los archivos descargados y analizados podemos encontrar varios de mucho interés que deben ser tenidos en cuenta.

Uno de ellos es el archivo shadow almacenado en el directorio /etc

root@bt:~/De-Ice_II# cat shadow
root:$1$3OF/pWTC$lvhdyl86pAEQcrvepWqpu.:12859:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::

Podríamos intentar un ataque de fuerza bruta para descifrar la contraseña de root, pero si observamos en detalle el mismo, podemos deducir que este no corresponde al sistema objetivo, pues no presenta los posibles usuarios administradores del sistema identificados en la primera fase del Test de Penetración.

Contact information for admins is as follows:
Sr. System Admin: Adam Adams – adamsa@herot.net
System Admin (Intern): Bob Banter – banterb@herot.net
System Admin: Chad Coffee – coffeec@herot.net

De otro lado fue decisivo encontrar un archivo conocido como CORE

root@bt:~/De-Ice_II# ls
core rc.FireWall  rc.S    rc.inet1  rc.slaxconfig  shadow
rc.6  rc.M         rc.gpm  rc.slax   root

Los archivos core son generados (volcados de memoria) a raiz de fallos o crash del sistema. Estos contienen información referente al estado de memoría y del sistema, además de contener información relacionada al aplicativo que generó dicho crash. (Más información>>)

Veamos los strings de dicho archivo:

… (Final del archivo core)

Una vez identificados los usuarios válidos del sistema procedamos a descifrar sus contraseñas.

Hagamos uso de john the ripper

root@bt:~/Sec-Track/info/john-1.7.4.2/run# ./john
John the Ripper password cracker, version 1.7.4.2
Copyright (c) 1996-2010 by Solar Designer and others
Homepage: http://www.openwall.com/john/

Usage: john [OPTIONS] [PASSWORD-FILES]
–single                   “single crack” mode
–wordlist=FILE –stdin    wordlist mode, read words from FILE or stdin
–rules                    enable word mangling rules for wordlist mode
–incremental[=MODE]       “incremental” mode [using section MODE]
–external=MODE            external mode or word filter
–stdout[=LENGTH]          just output candidate passwords [cut at LENGTH]
–restore[=NAME]           restore an interrupted session [called NAME]
–session=NAME             give a new session the NAME
–status[=NAME]            print status of a session [called NAME]
–make-charset=FILE        make a charset, FILE will be overwritten
–show                     show cracked passwords
–test[=TIME]              run tests and benchmarks for TIME seconds each
–users=[-]LOGIN|UID[,..]  [do not] load this (these) user(s) only
–groups=[-]GID[,..]       load users [not] of this (these) group(s) only
–shells=[-]SHELL[,..]     load users with[out] this (these) shell(s) only
–salts=[-]COUNT           load salts with[out] at least COUNT passwords only
–format=NAME              force hash type NAME: DES/BSDI/MD5/BF/AFS/LM
–save-memory=LEVEL        enable memory saving, at LEVEL 1..3

Comenzaré utilizando el diccionario básico que incluye el mismo john the ripper, según los resultados obtenidos aumentaré la complejidad de los diccionarios.

…

Con diccionarios básicos no he tenido buenos resultados… Por ello utilicé un diccionario más complejo que me va arrojando los siguientes resultados:

C:\Users\4v4t4r\Downloads\john171w\john1701\run>john-386.exe users.txt –wordlist=dic.lst

Loaded 4 password hashes with 4 different salts (FreeBSD MD5 [32/32])
guesses: 0  time: 0:00:00:33 1%  c/s: 5559  trying: Jagdgesetze
guesses: 0  time: 0:00:00:54 1%  c/s: 5561  trying: Unberechenbarke
guesses: 0  time: 0:00:01:36 3%  c/s: 5508  trying: pingelige
guesses: 0  time: 0:00:02:38 5%  c/s: 5528  trying: de’mante`lerai
guesses: 0  time: 0:00:03:27 6%  c/s: 5534  trying: radioreportages
guesses: 0  time: 0:00:06:14 10%  c/s: 5528  trying: seccature
guesses: 0  time: 0:00:07:06 12%  c/s: 5527  trying: ik{iseni
guesses: 0  time: 0:00:13:50 25%  c/s: 5502  trying: cvakaly
guesses: 0  time: 0:00:14:21 26%  c/s: 5503  trying: nejnevycvicenej
guesses: 0  time: 0:00:19:14 33%  c/s: 5483  trying: myjv
guesses: 0  time: 0:00:21:18 36%  c/s: 5483  trying: villaje
Complexity       (root)
guesses: 1  time: 0:00:21:39 37%  c/s: 5483  trying: Beintema
guesses: 1  time: 0:00:24:09 42%  c/s: 5474  trying: walesa

Encontrado el password de root (Y) de todas maneras la dejo seguir, con el objetivo de descifrar los demás passwords.

Finalmente y luego de 40 minutos obtuvimos lo siguiente:

C:\Users\4v4t4r\Downloads\john171w\john1701\run>john-386.exe users.txt –wordlis
t=dic.lst
Loaded 4 password hashes with 4 different salts (FreeBSD MD5 [32/32])
guesses: 0  time: 0:00:00:33 1%  c/s: 5559  trying: Jagdgesetze
guesses: 0  time: 0:00:00:54 1%  c/s: 5561  trying: Unberechenbarke
guesses: 0  time: 0:00:01:36 3%  c/s: 5508  trying: pingelige
guesses: 0  time: 0:00:02:38 5%  c/s: 5528  trying: de’mante`lerai
guesses: 0  time: 0:00:03:27 6%  c/s: 5534  trying: radioreportages
guesses: 0  time: 0:00:06:14 10%  c/s: 5528  trying: seccature
guesses: 0  time: 0:00:07:06 12%  c/s: 5527  trying: ik{iseni
guesses: 0  time: 0:00:13:50 25%  c/s: 5502  trying: cvakaly
guesses: 0  time: 0:00:14:21 26%  c/s: 5503  trying: nejnevycvicenej
guesses: 0  time: 0:00:19:14 33%  c/s: 5483  trying: myjv
guesses: 0  time: 0:00:21:18 36%  c/s: 5483  trying: villaje
Complexity       (root)
guesses: 1  time: 0:00:21:39 37%  c/s: 5483  trying: Beintema
guesses: 1  time: 0:00:24:09 42%  c/s: 5474  trying: walesa
Zymurgy          (bbanter)
guesses: 2  time: 0:00:35:35 76%  c/s: 5446  trying: Nachkriegspolit
guesses: 2  time: 0:00:38:15 85%  c/s: 5444  trying: ritornato
guesses: 2  time: 0:00:39:13 88%  c/s: 5442  trying: skrigen
guesses: 2  time: 0:00:41:43 97%  c/s: 5448  trying: vozidlech
guesses: 2  time: 0:00:42:30 100%  c/s: 5449  trying: ovrigt

Confirmemos entonces el acceso al sistema con los usuarios encontrados:

login as: root
root@192.168.1.110’s password:
Access denied
root@192.168.1.110’s password:

Acceso denegado para login remoto como root en el sistema… Probemos entonces a iniciar con bbanter y elevar privilegios como root (su):

login as: bbanter
bbanter@192.168.1.110’s password:
Linux 2.6.16.
bbanter@slax:~$ su
Password: **********
root@slax:/home/bbanter#

Hemos conseguido ingresar al sistema con todos los privilegios… En el próximo post exploraremos el sistema en busca de información confidencial que comprometa la seguridad de la empresa objetivo…

Estas son:

Google (e-mails), Bing search (e-mails), PgP servers (e-mails) y Linkedin (user names)

El objetivo de este proceso será el de recolectar información  (correos electrónicos / nombres de usuarios) referente a un determinado objetivo (dominio) en tareas relacionadas con los test de penetración o ethical hacking. Ya que dicha información permitirá realizar ataques más sofisticados y relacionados directamente con la ingeniería social.

Veamos:

Primero descargamos la herramienta theHarvester (script desarrollado en Python)

root@bt:~/Sec-Track/Tools/Information Gathering/theHarvester# ls
COPYING  LICENSES  README  theHarvester.py

Modo de uso:

root@bt:~/Sec-Track/Tools/Information Gathering/theHarvester# ./theHarvester.py
*************************************
*TheHarvester Ver. 1.5              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*cmartorella@edge-security.com      *
*************************************
Usage: theharvester options

-d: domain to search or company name
-b: data source (google,bing,pgp,linkedin)
-l: limit the number of results to work with(bing goes from 50 to 50 results,
google 100 to 100, and pgp does’nt use this option)

Examples:./theharvester.py -d microsoft.com -l 500 -b google
./theharvester.py -d microsoft.com -b pgp
./theharvester.py -d microsoft -l 200 -b linkedin

Ahora relicemos una consulta con google como fuente pública:

root@bt:~/Sec-Track/Tools/Information Gathering/theHarvester# ./theHarvester.py -d informatica64.com -l 500 -b google

*************************************
*TheHarvester Ver. 1.5              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*cmartorella@edge-security.com      *
*************************************
Searching for informatica64.com in google :
======================================

Total results:  26900
Limit:  500
Searching results: 0
Searching results: 100
Searching results: 200
Searching results: 300
Searching results: 400

Accounts found:
====================

@informatica64.com
amartin@informatica64.com
chema@informatica64.com
rodol@informatica64.com
calendariotorrido@informatica64.com
[registro@informatica64.com
registro@informatica64.com
jsaenz@informatica64.com
jlrambla@informatica64.com
i64@informatica64.com
ralonso@informatica64.com
plaguna@informatica64.com
igor@informatica64.com
Chema@informatica64.com
technews@informatica64.com
gema@informatica64.com
amigosdelafoca@informatica64.com
sbordon@informatica64.com
[chema@informatica64.com
====================

Total results:  19

Ahora relicemos una consulta con bing como fuente pública:

root@bt:~/Sec-Track/Tools/Information Gathering/theHarvester# ./theHarvester.py -d informatica64.com -l 500 -b bing

*************************************
*TheHarvester Ver. 1.5              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*cmartorella@edge-security.com      *
*************************************
Searching for informatica64.com in bing :
======================================

Total results:  489
Limit:  489
Searching results: 0
Searching results: 50
Searching results: 100
Searching results: 150
Searching results: 200
Searching results: 250
Searching results: 300
Searching results: 350
Searching results: 400
Searching results: 450

Accounts found:
====================

@informatica64.com
chema@informatica64.com
amartin@informatica64.com
i64@informatica64.com
jsaenz@informatica64.com
[registro@informatica64.com
registro@informatica64.com
mfernandez@informatica64.com
calendariotorrido@informatica64.com
jalonso@informatica64.com
rodol@informatica64.com
jmalonso@informatica64.com
sbordon@informatica64.com
====================

Total results:  13

Más información y descarga de la herramienta theHarvester >>

Su modo de uso es bastante simple, pues solo necesitamos descargar el script desarrollado en Python y desde la línea de comandos ejecutar la consulta. Para que esta sea reflejada en GoogleMaps y MapQuest.

Veamos:

C:\Python26>python.exe geoedge.py
*************************************
*Geoedge         v0.2               *
*Coded by Christian Martorella      *
*cmartorella@edge-security.com      *
*************************************
Usage:
python geoedge.py host/ip

Ahora hagamos una consulta:

C:\Python26>python.exe geoedge.py www.informatica64.com
*************************************
*Geoedge         v0.2               *
*Coded by Christian Martorella      *
*cmartorella@edge-security.com      *
*************************************
Searching in Maxmind….

Information for www.informatica64.com by Maxmind
===========================================

IP/Host: www.informatica64.com
Country: ES,Spain
City: Madrid,Madrid
Coordinates: 40.4000,-3.6833
Provider: SPAIN,SPAIN
Google Maps Link: http://maps.google.com/maps?q=40.4000, -3.6833
Mapquest Link: http://www.mapquest.es/mq/maps/latlong.do?pageId=latlong&latLongT
ype=decimal&txtLatitude=40.4000&txtLongitude=-3.6833

Searching in Geoiptool….

Information by Geoiptool
========================

IP/Host: 80.81.106.148
Country:  Spain ,ES (ESP)
City: Madrid,Madrid
Coordinates: 40.4,-3.6833

En imágenes:

GoogleMaps:

MapQuest:

Obviamente los resultados pueden no ser completamente precisos, pues existen muchas variables que inciden sobre estos.

Más información y descarga >>

Veamos la herramienta en ejecución:

Primero descargamos la herramienta Subdomainer desde la web oficial del proyecto.

La herramienta ha sido desarrollada en Python, por lo tanto necesitarás de este para ejecutarla. (Python ya viene incluído en BackTrack).

Una vez descargada, nos dirigimos al directorio, extraemos los archivos y ejecutamos la herramienta.

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# ls
COPYING  LICENSES  README  subdomainer.py

Veamos la opciones:

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# python subdomainer.py
*************************************
*Subdomainer Ver. 1.3b              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*laramies2k@yahoo.com.ar            *
*************************************
usage: subdomainer.py  options
-d: domain to search
-l: limit of results to work with. (msn and yahoo goes in 10 to 10
google in 100’s, and pgp does not need this option)
-m: data source (msn, yahoo, google, pgp-veridis, all)
-o: output to html file. (optional, good for long lists.)
Example:
subdomainer.py -d microsoft.com -l 200 -m google

subdomainer.py -d microsoft.com -l 100 -m all -o microsoft.html

Ahora hagamos una búsqueda nosotros mismos:

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# python subdomainer.py -d twitter.com -l 100 -m google
*************************************
*Subdomainer Ver. 1.3b              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*laramies2k@yahoo.com.ar            *
*************************************
Searching for twitter.com in google
=======================================
Total results:  434000000
Limit:  100
Searching results: 0
Subdomains founded:
====================
search.twitter.com
blog.twitter.com
status.twitter.com
apiwiki.twitter.com
help.twitter.com
blog.es.twitter.com
chirp.twitter.com
engineering.twitter.com

Total results:  8
Going for extra check:

search.twitter.com ====> 128.121.146.107
blog.twitter.com ====> 74.125.47.121
status.twitter.com ====> 72.32.231.8
apiwiki.twitter.com ====> 208.96.32.3
help.twitter.com ====> 67.219.156.130
blog.es.twitter.com ====> 74.125.47.121
chirp.twitter.com ====> 209.207.239.72
engineering.twitter.com ====> 74.125.47.121

Como vemos, una vez identifica los posibles nombres de subdominios basados en consultas a los motores que hayamos seleccionado, procede a verficar la validez de estos.

Maltego hace uso de varias librerías gráficas que permiten identificar las relaciones entre la información que se está consultando en los diferentes motores de búsqueda que implementa, permitiendo de esta manera organizar todo un mapa de relaciones entre resultados.

Maltego puede ser descargada de manera gratuita (Community Edition) para sistemas Windows y Linux, además ofrece una versión comercial, (Comercial Edition) la cual entre otras bondades, permite realizar búsquedas aun más profundas y exportar y/o salvar los resultados obtenidos.

Maltego viene incluía en BackTrack y nos permitirá entonces enumerar la información referente a redes, dominios, personas, emails y datos personales. Algunos de estos datos son:

• Nombres de dominio
• Información WHOIS
• Nombres DNS
• Bloques de red
• Direcciones IP
• Dirección de correo electrónico asociada con un nombre de persona
• Sitios web asociados con un nombre de persona
• Números telefónicos asociados con un nombre de persona
• Grupos sociales que están asociados con un nombre de persona
• Compañías y organizaciones asociadas con un nombre de persona
• Hacer una verificación simple de las direcciones de correo electrónico
• Búsqueda de blogs y referencias por frases
• Identificar vínculos entrantes para sitios web
• Extraer metadatos desde archivos y fuentes de dominios

Veamos un ejemplo de consulta a la web del proyecto Sec-Track:

En la imagen se puede observar como realicé una consulta por el sitio Web Sec-Track, a partir de allí obtenemos datos como el dominio de la web, la dirección IP, Correos electrónicos publicados, enlaces, etc…

Para más información y descarga de la herramienta, visita la página oficial del proyecto Maltego.

Pronto seguiré con varios post relacionados al uso específico de esta genial herramienta.