Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

También es necesario describir nuevamente el escenario propuesto para este Test de Penetración:

De-ICE PenTest LiveCDs (Nivel III)

El procedimiento de implementación de este entorno no varía mucho con respecto a los anteriores. Tan solo cambia la red objetivo, que para esta ocasión será la 192.168.2.*

Identifiquemos los host vivos (conectados) en la red (Tool: Netdiscover incluída en BackTrack):

root@bt:~# netdiscover eth0

3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180
 _____________________________________________________________________________
   IP            At MAC Address      Count  Len   MAC Vendor
 -----------------------------------------------------------------------------
 192.168.2.1     00:50:56:c0:00:07    01    060   Unknown vendor
 192.168.2.100   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 192.168.2.101   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 Currently scanning: 192.168.9.0/16   |   Our Mac is: 00:0c:29:ac:c4:e0 - 0

Una vez hemos identificados los posibles host’s objetivos pasemos a escanearlos en detalle para obtener más información sobre estos.

Veamos este proceso con Nmap.

Escaneo y explicación enviada por Roguer (jollyroguer [at] gmail.com):

root@bt: ~#nmap -sP 192.168.2.1-255
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:35 UTC
Host 192.168.2.10 is up.
Host 192.168.2.100 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Host 192.168.2.101 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Nmap done: 255 IP addresses (3 hosts up) scanned in 2.06 seconds

En donde obtengo que hay 3 equipos arriba, de los cuales el .10 es mi máquina y los 100 y 101 objetivos enseguida nos centraremos en el equipo .100

Arranco haciendo un escaneo de puertos, como es un entorno seguro no hay necesidad de ocultar la ip de origen

root@bt: ~#nmap -sV -T Aggressive -O 192.168.2.100
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:36 UTC
Interesting ports on 192.168.2.100:
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd 2.0.4
22/tcp  open   ssh      OpenSSH 4.3 (protocol 1.99)
25/tcp  open   smtp     Sendmail 8.13.7/8.13.7
80/tcp  open   http     Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open   pop3     Openwall popa3d
143/tcp open   imap     UW imapd 2004.357
443/tcp closed https
MAC Address: 00:0C:29:78:57:AE (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 – 2.6.24
Network Distance: 1 hop
Service Info: Host: slax.example.net; OS: Unix
OS and Service detection performed. Please report any incorrect
results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.10 seconds

Como podemos ver hay varios servicios corriendo en este equipo, así que vamos a tratar de obternet información como en los entornos anteriores.

——————————————————————————————–

Realicemos un escaneo para identificar servicios y versiones en el host 192.168.2.101

root@bt:~# nmap -PT80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:09 COT
Interesting ports on 192.168.2.101:
Not shown: 999 filtered ports
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

root@bt:~# nmap -sV -p 80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:12 COT
Interesting ports on 192.168.2.101:
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.28 seconds

Perfecto el proceso de mapeo de red e identificación de aplicaciones y servicios en los host objetivos. En el próximo post centraremos nuestra atención a las actvidades relacionadas con la enumeración del objetivo e identificación de posibles puntos de intrusión.

Realiza un cálculo con determinados tests para crear una huella (fingerprint) del servidor y compararla con una base de datos de los mismos. (Más información desde la página oficial).

Aunque no representa mayor dificultad, veamos una captura de pantalla de ejecución de la herramienta

Descargar Httprint (Disponible para Windows, Linux, Mac OS X, FreeBSD) (Ya incluída en BackTrack)

La herramienta Hostmap es una utilidad diseñada para descubrir los nombres de host asociados o relacionados con una determinada dirección IP. Esta herramienta es usada por profesionales de la seguridad de la información en trabajos relacionados con el Análisis y Evaluación de Vulnerabilidades y Test de Penetración.

Para hacer uso de la herramienta Hostmap, es necesario tener Ruby en nuestro sistema operativo (ya incluído en BackTrack o de fácil descarga para cualquier otro sistema opetarativo ). Es por ello que puede ser utilizado en GNU/Linux, Apple OSX y Microsoft Windows.

Veamos ahora un rápido recorrido de uso de la herramienta

Primero es necesario comprender como funciona el Sistema de Nombres de Dominios (DNS) A grandes rasgos su función más importante será la de traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente. De esto se concluye que una dirección IP puede ser registrada en un Servidor de Nombres de Dominio (DNS) con múltiples host names. (Para obtener más información acerca de Domain Name System >> )

Procedemos entonces a descargar la herramienta Hostmap desde la página oficial del proyecto. (Download)

Documentación oficial de Hostmap (PDF)>>

Una vez descargada y extraída la herramienta nos encontraremos con la carpeta contenedora de hostmap.rb

root@bt:~/Sec-Track/Tools/hostmap-0.2.1# ls
README.pdf  dictionaries  doc     extra         hostmap.rb
Rakefile    discovery     extlib  hostmap.conf  lib

El modo de uso es bastante simple (opciones por defecto/Brute Force)

ruby hostmap.rb -t <Dirección IP>

Veamos:

root@bt:~/Sec-Track/Tools/hostmap-0.2.1# ruby hostmap.rb -t 64.76.179.2
hostmap 0.2.1 codename fissatina
Coded by Alessandro `jekil` Tanasi <alessandro@tanasi.it>

…..

Results for 64.76.179.2
Served by name server (probably)
ns18.worldnic.com
ns22.worldnic.com
ns27.worldnic.com
dns1.serverquality.com
ns17.worldnic.com
dns2.name-services.com
ns25.worldnic.com
ns37.worldnic.com
ns26.worldnic.com
ns38.worldnic.com
dns3.name-services.com
dns1.name-services.com
ns1.impsat.net.co
juno.impsat.net.co
server2i.elcolombiano.com.co
dns4.name-services.com
dns5.name-services.com
ns28.worldnic.com
dns2.serverquality.com
ns21.worldnic.com

Served by mail exchange (probably)
aspmx.l.google.com
server3i.elcolombiano.com.co
server2i.elcolombiano.com
server3i.elcolombiano.com
server2i.elcolombiano.com.co

Hostnames:
www.gentedelpoblado.com
www.elcolombianito.biz
elcolombiano.tv
tips.elcolombiano.com
www.elcolombianoejemplar.org
elcolombianito.info
micolombiano.com
elpoblado.biz
www.salomon.com.co
elcolombiano.elcolombiano.com
www.elcolombiano.com
www.lachiva.com
lachiva.com
lachiva.info
gentedelpoblado.com
www.micolombiano.com
www.lachiva.info
elcolombiano.com
www.colombianoejemplar.org
gentedelaureles.com
www.gentedelaureles.com
gente.com.co
www.gente.com.co
www.qhubo.com
www.elpoblado.biz
elcolombianito.biz

Método Rápido y Furioso (–without-bruteforce)

root@bt:~/Sec-Track/Tools/hostmap-0.2.1# ruby hostmap.rb -t 200.41.9.39 –without-bruteforce
hostmap 0.2.1 codename fissatina
Coded by Alessandro `jekil` Tanasi <alessandro@tanasi.it

…

Results for 200.41.9.39
Served by name server (probably)
dns.eltiempo.com.co
ns1.impsat.net.co
juno.impsat.net.co
Served by mail exchange (probably)
emusrv.eltiempo.com.co

Hostnames:
beta.eltiempo.com
api.eltiempo.com
eltiempo.com
z.eltiempo.com
postales.eltiempo.com
www.eltiempo.com.co
www.eltiempo.com
eltiempo.com.com

Sin lugar a dudas bastante efectiva la herramienta…

Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

Ahora bien, comencemos con el mapeo de red y el escanéo de puertos. Para ello nada mejor que el archiconocido Network Mapper (Nmap) (Incluída en BackTrack).

Probemos con un barrido de pings con Nmap.

root@bt:~# nmap -sP 192.168.1.*

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-19 02:23 COT
Host desktop.lan (192.168.1.2) is up.
Host 192.168.1.110 is up (0.00059s latency).
MAC Address: 08:00:27:FE:36:B6 (Cadmus Computer Systems)
Nmap done: 256 IP addresses (2 hosts up) scanned in 2.21 seconds

Comprobemos estos resultados utilizando la herramienta lanmap (Incluída en BackTrack)

root@bt:~# lanmap -i wlan0 -T png -o /tmp/
cmd:twopi -Tpng -o /tmp/tmp.lanmap lanmap.dot && mv /tmp/tmp.lanmap /tmp/lanmap.png && rm lanmap.dot

Una vez identificados los host conectados en ese segmento de red comprobemos y listemos cual de ellos es nuestro sistema objetivo. Para ello identifiquemos el estado de sus puertos y los servicios que se ejecutan sobre ellos.

Volvamos a Nmap:

root@bt:~# nmap 192.168.1.110

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-20 10:36 EST
Interesting ports on 192.168.1.110:
Not shown: 996 closed ports
PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
80/tcp  open  http
631/tcp open  ipp
MAC Address: 00:0C:29:58:68:0D (VMware)

Nmap done: 1 IP address (1 host up) scanned in 1.25 seconds

Según estos resultados este host tiene altas posibilidades de ser el sistema objetivo por los puertos ofrecidos (Y nos lo dicen en las instrucciones… pero como la idea es aprender más entonces hice el escaneo para mostrar como podemos identificar este tipo de información).

Ahora profundicemos sobre las versiones de dichos puertos:

root@bt:~# nmap -sV -O -p 21,22,80,631 -D 10.1.1.1 192.168.1.110

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-20 10:40 EST
Interesting ports on 192.168.1.110:
PORT    STATE SERVICE VERSION
21/tcp  open  ftp     vsftpd 2.0.4
22/tcp  open  ssh?
80/tcp  open  http    Apache httpd 2.2.4 ((Unix) mod_ssl/2.2.4 OpenSSL/0.9.8b DAV/2)
631/tcp open  ipp     CUPS 1.1
MAC Address: 00:0C:29:58:68:0D (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 – 2.6.24
Network Distance: 1 hop
Service Info: OS: Unix

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.57 seconds

La idea es que para el próximo post se investigue sobre la funcionalidad de cada uno de esos puertos y consultemos además si existen vulnerabilidades para dichas versiones… Además vendría bien realizar intentos de conexión a dicho puertos para analizar las respuestas obtenidas.

]]> http://www.sec-track.com/desarollo-del-entorno-de-ice-ii-%e2%80%93-network-mapping-port-scanning/feed 0 http://www.sec-track.com/objetivos-generales-para-los-entornos-de-ice-i-ii-iii-y-pwnos http://www.sec-track.com/objetivos-generales-para-los-entornos-de-ice-i-ii-iii-y-pwnos#comments Mon, 26 Oct 2009 23:09:26 +0000 4v4t4r http://www.sec-track.com/?p=201 Estos son algunos de los objetivos generales a alcanzar mediante el desarrollo de los entornos De-Ice I, II, III y PwnOS.

• Realizar un mapeo de red e identificar la dirección IP del sistema objetivo.
• Identificar el estado de los puertos (abietos/filtrados).
• Identificar  los servicios / aplicaciones / versiones / Sistema Operativo.
• Identificar la estructura de directorios.
• Identificar los posibles usuarios del sistema.
• Listar las técnicas de obtención de dichos datos.
• Listar los resultados obtenidos.
• Búsqueda y verificación de vulnerabilidades y errores de configuración por aplicación o servicio.
• Listar las posibles vulnerabilidades y puntos de intrusión.
• Testear las aplicaciones (autenticación, firewalls, exploits, etc)
• Penetración del sistema, descifrado de passwords, escalada de privilegios, recuperación de información crítica, etc.
• Backdoors y cubrimiento de huellas.
• Reporte básico.

Recursos: ISSAF / OSSTMM

El objetivo consiste en identificar dicho servidor, descubrir y analizar las vulnerabilidades existentes en el mismo y penetrar el sistema.

Categoría: Fundamentación, Test de Penetración, Explotación de vulnerabilidades.

Nivel de Dificultad: Medio / Alto

Formato: Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Informacion Confidencial.

Herramientas/Recursos: OSSTMM

Configuracion: El router/tarjeta de red virtual/fisica debe tener DHCP activo.

Descargar (Imágen VMWare)

MD5:

Autor / Página Oficial / Más Información: www.0dayclub.com

La organización ha tenido multiples administradores encargados de la red en los últimos dos años, y están inseguros de las capacidades del anterior (o actual) personal.

Categoría: Fundamentación, Test de Penetración

Nivel de Dificultad: Bajo/Medio

Formato: .ISO / Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Información Confidencial.

Herramientas/Recursos: OSSTMM

Configuracion: El router/tarjeta de red virtual/física debe tener DHCP activo, la dirección de inicio debe ser 192.168.2.2 y la máscara de subred 255.255.255.0

Descargar (ISO)

MD5:

Autor / Página Oficial / Más Información: www.Heorot.net

El Director General espera que usted intente con todos los tipos de ataques que estén a su disposición, pues está seguro de que usted no podrá vulnerar el sistema y obtener acceso.

Categoría: Fundamentación, Test de Penetración

Nivel de Dificultad: Bajo

Formato: .ISO / Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Información Confidencial.

Herramientas/Recursos: OSSTMM / Nmap / Xhydra / Netcat / Medusa / NetDiscover / Nessus

Configuracion: Este entorno esta configurado para que de manera automática obtenga la dirección IP  192.168.1.100. El router/tarjeta de red virtual/física debe tener DHCP activo, la dirección de inicio debe ser 192.168.1.2 y la máscara de subred 255.255.255.0

Descargar (ISO)

MD5: a3341316ca9860b3a0acb06bdc58bbc1

Autor / Página Oficial / Mas Información: www.Heorot.net