Nmap 6: Network Exploration and Security Auditing Cookbook  (A complete guide to mastering Nmap 6 and its scripting angine, covering practical tasks for penetration testers and systems administrators) de Paulino Calderón Pale es un excelente y específico libro sobre el uso de Nmap como herramienta indispensable en proyectos de Test de Penetración.

Magnífico libro, claro y directo… Al estilo de la serie de libros “Cookbook” que he reseñado ya en el blog (BackTrack 5 Cookbook, Metasploit Penetration Testing Cookbook). Un libro que sin lugar a dudas cumple con su objetivo: llevar a otro nivel el uso de Nmap. Y es precisamente este su factor diferenciador frente a otros libros y publicaciones comunes sobre Nmap, pues en este caso Paulino con su amplia experiencia en el desarrollo con NSE pretende llevarnos y enseñarnos como con el uso de esta tecnología podremos llevar a cabo una amplia serie de actividades en un proyecto de Test de Penetración.

Muy al inicio del libro Paulino Calderón nos comparte un interesante video desarrollado por Luis Martín García sobre toda la evolución de Nmap en relación a su desarrollo, funcionalidades y por supuesto a las personas que han estado involucradas en el proceso.

Como es de esperarse el capítulo 1 nos habla sobre las funcionalidades core de Nmap (Puertos abiertos, Fingerprinting, host vivos, rangos de puertos y NSE), y por supuesto de las actividades comunes que podemos realizar con la herramienta. Asimismo nos introduce a Npin, Zenmap y Ndiff. Todo esto luego de enseñarnos como podemos descargar y compilar nosotros mismos la herramienta, obviamente desde las fuentes oficiales.

El capítulo 2 comienza a involucrarnos en las tareas más específicas de exploración de redes. Allí veremos algunas de las técnicas que podemos realizar con Nmap y los métodos de escaneo de descubrimiento TCP SYN & ACK, UDP, ICMP, IP, ARP,  resolución de DNS y descubrimiento por medio broadcast haciéndolo más interesantes con el uso de NSE.

Recolección de información adicional en hosts es el tema principal del capítulo 3, esto gracias al práctico enfoque del libro dedicado al uso de NSE. Allí veremos geolocalización de IP’s, consultas Whois, listas negras, recolección de cuentas de  correos electrónicos, hostnames en una misma IP, fuerza bruta a registros DNS hasta suplantación de IP’s en una escaneo.

El capítulo 4 está dedicado a las técnicas de auditorías de servidores web. Entre ellas la identificación de métodos soportados por el servidor, chequeo de proxy’s HTTP, descubrimiento de archivos y directorios en el servidor web, fuerza bruta a la autenticación HTTP, testeo de cuentas por defecto y fuerza bruta en aplicaciones Web, detección de XSS, XST & SQLi.

El quinto capítulo se enfoca a la auditoría de Bases de Datos, específicamente en los motores MongoDB, MySQL, MS-SQL y CouchDB. Todo esto dedicado a la identificación de los propios motores y la enumeración de dichos servicios. Sumado a pruebas de fuerza bruta, configuraciones por defecto y dump de hashes.

El capítulo 6 se enfoca en la auditoría a servidores de correo electrónico y los protocolos que se relacionan con los mismos. Este procedimiento va desde el descubrimiento de cuentas válidas por medio de google hacking, hasta la identificación de vulnerabilidades específicas de aplicaciones de gestión de correos, pasando por auditorías de fuerza bruta, enumeración y detección.

El capítulo 7 abarca una problemática moderna, y son la redes de gran tamaño. En este capítulo veremos como de fácil manera podemos llevar a cabo técnicas de optimización de procesos y tiempos en los proyectos de PenTest en los cuales nuestros objetivos son a gran escala. Estos pueden ser: escaneo de rangos de IP’s, lectura de una archivo de objetivos, selección de tiempos y rendimiento. Además aprenderemos sobre el uso de Dnmap (Distributing).

El octavo capítulo nos habla sobre la generación automática y las diferentes salidas de reportes en Nmap (XML, SQLite, grep, Zenmap, HTML).

Y creo que el mejor capítulo de todos es el que está dedicado a enseñarnos de una manera práctica como podemos escribir nuestros propios scripts en NSE. Los ejemplos van sobre peticiones HTTP, UDP, fuerza bruta y muchos más…

Sobre el autor mucho por decir… Paulino es un reconocido investigador Mexicano, con quien afortunadamente he tenido el honor de compartir espacios en diferentes eventos, dedicado a su propia empresa (WebSec) junto a otros grandes profesionales, con una amplia trayectoria y una admirable experiencia no solo en el desarrollo de NSE sino también en PenTesting, desarrollo de software y Seguridad Informática en general.

Le doy una calificación de 5 estrellas, pues el autor cumple perfectamente con un libro de “cocina” para Nmap, sobre todo NSE. Claro, preciso y conciso… Lo que muchas veces necesitamos para herramientas específicas

El libro: Nmap 6: Network exploration and security auditing Cookbook, puede ser adquirido en Amazon a tan solo $14.57 USD en su versión Kindle (kindle device, kindle PC, kindle mobile) formato que recomiendo por economía y por la protección que ofrece al medio ambiente…

Igualmente Nmap 6: Network Exploration and Security Auditing Cookbook, pude ser adquirido en formato digital desde la propia editorial (packtpub) a $22.94 USD

Contenido Temático:

Chapter 1: Nmap Fundamentals

• Introduction
• Downloading Nmap from the official source code repository
• Compiling Nmap from source code
• Listing open ports on a remote host
• Fingerprinting services of a remote host
• Finding live hosts in your network
• Scanning using specific port ranges
• Running NSE scripts
• Scanning using a specified network interface
• Comparing scan results with Ndiff
• Managing multiple scanning profiles with Zenmap
• Detecting NAT with Nping
• Monitoring servers remotely with Nmap and Ndiff

Chapter 2: Network Exploration

• Introduction
• Discovering hosts with TCP SYN ping scans
• Discovering hosts with TCP ACK ping scans
• Discovering hosts with UDP ping scans
• Discovering hosts with ICMP ping scans
• Discovering hosts with IP protocol ping scans
• Discovering hosts with ARP ping scans
• Discovering hosts using broadcast pings
• Hiding our traffic with additional random data
• Forcing DNS resolution
• Excluding hosts from your scans
• Scanning IPv6 addresses
• Gathering network information with broadcast scripts

Chapter 3: Gathering Additional Host Information

• Introduction
• Geolocating an IP address
• Getting information from WHOIS records
• Checking if a host is known for malicious activities
• Collecting valid e-mail accounts
• Discovering hostnames pointing to the same IP address
• Brute forcing DNS records
• Fingerprinting the operating system of a host
• Discovering UDP services
• Listing protocols supported by a remote host
• Discovering stateful firewalls by using a TCP ACK scan
• Matching services with known security vulnerabilities
• Spoofing the origin IP of a port scan

Chapter 4: Auditing Web Servers

• Introduction
• Listing supported HTTP methods
• Checking if an HTTP proxy is open
• Discovering interesting files and directories in various web servers
• Brute forcing HTTP authentication
• Abusing mod_userdir to enumerate user accounts
• Testing default credentials in web applications
• Brute-force password auditing WordPress installations
• Brute-force password auditing Joomla! installations
• Detecting web application firewalls
• Detecting possible XST vulnerabilities
• Detecting Cross Site Scripting vulnerabilities in web applications
• Finding SQL injection vulnerabilities in web applications
• Detecting web servers vulnerable to slowloris denial of service attacks

Chapter 5: Auditing Databases

• Introduction
• Listing MySQL databases
• Listing MySQL users
• Listing MySQL variables
• Finding root accounts with empty passwords in MySQL servers
• Brute forcing MySQL passwords
• Detecting insecure configurations in MySQL servers
• Brute forcing Oracle passwords
• Brute forcing Oracle SID names
• Retrieving MS SQL server information
• Brute forcing MS SQL passwords
• Dumping the password hashes of an MS SQL server
• Running commands through the command shell on MS SQL servers
• Finding sysadmin accounts with empty passwords on MS SQL servers
• Listing MongoDB databases
• Retrieving MongoDB server information
• Listing CouchDB databases
• Retrieving CouchDB database statistics

Chapter 6: Auditing Mail Servers

• Introduction
• Discovering valid e-mail accounts using Google Search
• Detecting open relays
• Brute forcing SMTP passwords
• Enumerating users in an SMTP server
• Detecting backdoor SMTP servers
• Brute forcing IMAP passwords
• Retrieving the capabilities of an IMAP mail server
• Brute forcing POP3 passwords
• Retrieving the capabilities of a POP3 mail server
• Detecting vulnerable Exim SMTP servers version 4.70 through 4.75

Chapter 7: Scanning Large Networks

• Introduction
• Scanning an IP address range
• Reading targets from a text file
• Scanning random targets
• Skipping tests to speed up long scans
• Selecting the correct timing template
• Adjusting timing parameters
• Adjusting performance parameters
• Collecting signatures of web servers
• Distributing a scan among several clients using Dnmap

Chapter 8: Generating Scan Reports

• Introduction
• Saving scan results in normal format
• Saving scan results in an XML format
• Saving scan results to a SQLite database
• Saving scan results in a grepable format
• Generating a network topology graph with Zenmap
• Generating an HTML scan report
• Reporting vulnerability checks performed during a scan

Chapter 9: Writing Your Own NSE Scripts

• Introduction
• Making HTTP requests to identify vulnerable Trendnet webcams
• Sending UDP payloads by using NSE sockets
• Exploiting a path traversal vulnerability with NSE
• Writing a brute force script
• Working with the web crawling library
• Reporting vulnerabilities correctly in NSE scripts
• Writing your own NSE library
• Working with NSE threads, condition variables, and mutexes in NSE

Antes de comenzar con el desarrollo de este entorno virtualizado de intrusión creo que es necesario recordar sobre algunos de los objetivos generales en esta primera serie de entornos enfocados a los Test de Penetración.

Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

También es necesario describir nuevamente el escenario propuesto para este Test de Penetración:

De-ICE PenTest LiveCDs (Nivel III)

El procedimiento de implementación de este entorno no varía mucho con respecto a los anteriores. Tan solo cambia la red objetivo, que para esta ocasión será la 192.168.2.*

Identifiquemos los host vivos (conectados) en la red (Tool: Netdiscover incluída en BackTrack):

root@bt:~# netdiscover eth0

3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180
 _____________________________________________________________________________
   IP            At MAC Address      Count  Len   MAC Vendor
 -----------------------------------------------------------------------------
 192.168.2.1     00:50:56:c0:00:07    01    060   Unknown vendor
 192.168.2.100   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 192.168.2.101   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 Currently scanning: 192.168.9.0/16   |   Our Mac is: 00:0c:29:ac:c4:e0 - 0

Una vez hemos identificados los posibles host’s objetivos pasemos a escanearlos en detalle para obtener más información sobre estos.

Veamos este proceso con Nmap.

Escaneo y explicación enviada por Roguer (jollyroguer [at] gmail.com):

root@bt: ~#nmap -sP 192.168.2.1-255
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:35 UTC
Host 192.168.2.10 is up.
Host 192.168.2.100 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Host 192.168.2.101 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Nmap done: 255 IP addresses (3 hosts up) scanned in 2.06 seconds

En donde obtengo que hay 3 equipos arriba, de los cuales el .10 es mi máquina y los 100 y 101 objetivos enseguida nos centraremos en el equipo .100

Arranco haciendo un escaneo de puertos, como es un entorno seguro no hay necesidad de ocultar la ip de origen

root@bt: ~#nmap -sV -T Aggressive -O 192.168.2.100
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:36 UTC
Interesting ports on 192.168.2.100:
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd 2.0.4
22/tcp  open   ssh      OpenSSH 4.3 (protocol 1.99)
25/tcp  open   smtp     Sendmail 8.13.7/8.13.7
80/tcp  open   http     Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open   pop3     Openwall popa3d
143/tcp open   imap     UW imapd 2004.357
443/tcp closed https
MAC Address: 00:0C:29:78:57:AE (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 – 2.6.24
Network Distance: 1 hop
Service Info: Host: slax.example.net; OS: Unix
OS and Service detection performed. Please report any incorrect
results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.10 seconds

Como podemos ver hay varios servicios corriendo en este equipo, así que vamos a tratar de obternet información como en los entornos anteriores.

——————————————————————————————–

Realicemos un escaneo para identificar servicios y versiones en el host 192.168.2.101

root@bt:~# nmap -PT80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:09 COT
Interesting ports on 192.168.2.101:
Not shown: 999 filtered ports
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

root@bt:~# nmap -sV -p 80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:12 COT
Interesting ports on 192.168.2.101:
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.28 seconds

Perfecto el proceso de mapeo de red e identificación de aplicaciones y servicios en los host objetivos. En el próximo post centraremos nuestra atención a las actvidades relacionadas con la enumeración del objetivo e identificación de posibles puntos de intrusión.

Antes de comenzar con el desarrollo de este entorno virtualizado de intrusión creo que es necesario recordar sobre algunos de los objetivos generales en esta primera serie de entornos enfocados a los Test de Penetración.

Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

Ahora bien, comencemos con el mapeo de red y el escanéo de puertos. Para ello nada mejor que el archiconocido Network Mapper (Nmap) (Incluída en BackTrack).

Read the rest of this entry »

Ahora que hemos conseguido elevar privilegios y acceder a la información crítica contenida en el sistema objetivo, veamos algunos métodos para mantener el acceso al sistema. Sobra aclarar que toda la información publicada es de carácter educativo, y solo busca recrear de la mejor manera los ataques a los que están expuestos los sistemas y sus administradores y oficiales de seguridad. Todo ello con la finalidad de adquirir destrezas y habilidades en los temas relacionados con los Test de Penetración.

Read the rest of this entry »

Una vez realizada la introducción sobre la herramienta Nmap en el video anterior, podemos comenzar a interactuar con esta. Nada mejor que comenzar por la etapa de identificación y reconocimiento del/los sistemas, tanto desde su conectividad como automatización del proceso, además de los puertos abiertos en el sistema.

Video Tutorial Nmap from Sec-Track on Vimeo.

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.

Características

• Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden ping.
• Identifica puertos abiertos en una computadora objetivo.
• Determina qué servicios está ejecutando la misma.
• Determinar qué sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting).
• Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

• Más información sobre Nmap
• Descargar Nmap (Windows – Linux – MacOSX – *BSD)
• Guía de referencia en español de Namp
• Página Oficial de Namp

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática. (Más información>>)

Página oficial de Nmap >>

Video tutorial de desarrollo del entorno De-Ice nivel I, Network Mapping, Port Scanning.

En este corto video tutorial presento varios métodos para llevar a cabo un mapeo de red y escaneo de puertos básicos desde BackTrack con la finalidad de que las personas que recién inician en el desarrollo de estos entornos tengan unas bases para comenzar con el cumplimiento de los objetivos propuestos.

La idea es que una vez visualizado este video tutorial, los interesados continuen y propongan nuevas maneras de cumplir con los objetivos del mismo.

En este video tutorial veremos:

• Identificación de la dirección IP de nuestro sistema (ifconfig)
• Identificación de hosts “vivos” o conectados en nuestra red con netdiscover.
• Verificación del estado de conectividad con el comando ping (ping 192.168.1.100)
• Barrido de Pings con Nmap (nmap -sP 192.168.1.*)
• Port Scanning e identificación de servicios y Sistema Operativo con Nmap y método Decoy (nmap -sV -D 192.168.1.100 -p 21,22,25,80,3306,1521 192.168.1.100)

Video tutorial: Desarrollo De-Ice nivel I – Network Mapping, Port Scanning from Sec-Track on Vimeo.

Escenario: Un empresa dedicada al servicio de Webhosting te contrata para realizar un Test de Penetración en uno de sus servidores dedicados a la administración de sus sistemas.
Dicho servidor se encuentra en una de sus redes xxx.xxx.xxx.xxx.

El objetivo consiste en identificar dicho servidor, descubrir y analizar las vulnerabilidades existentes en el mismo y penetrar el sistema.

Categoría: Fundamentación, Test de Penetración, Explotación de vulnerabilidades.

Nivel de Dificultad: Medio / Alto

Formato: Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Informacion Confidencial.

Herramientas/Recursos: OSSTMM

Configuracion: El router/tarjeta de red virtual/fisica debe tener DHCP activo.

Descargar (Imágen VMWare)

MD5:

Autor / Página Oficial / Más Información: www.0dayclub.com

Escenario: Un CEO de una pequeña empresa que ha sido presionado por el Comité Administrativo para ser objeto de un Test de Penetración a realizarse desde la empresa. El Director General afirma que su empresa es segura, cree además de que este Test de Penetración será un enorme desperdicio de dinero, sobre todo porque ya tiene una solución de exploración (escaneo) de vulnerabilidades (Nessus).
Para hacer “felices” a los del Comité Administrativo, él decide contratarlo a usted y le da un plazo de 5 días para realizar el trabajo, pues como se mencionó él no cree que la empresa sea vulnerable a cualquier intento de acceso no autorizado.
Su tarea es analizar solo un servidor en el cual se aloja una página Web que ofrece información de contacto de la misma.

El Director General espera que usted intente con todos los tipos de ataques que estén a su disposición, pues está seguro de que usted no podrá vulnerar el sistema y obtener acceso.

Categoría: Fundamentación, Test de Penetración

Nivel de Dificultad: Bajo

Formato: .ISO / Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Información Confidencial.

Herramientas/Recursos: OSSTMM / Nmap / Xhydra / Netcat / Medusa / NetDiscover / Nessus

Configuracion: Este entorno esta configurado para que de manera automática obtenga la dirección IP  192.168.1.100. El router/tarjeta de red virtual/física debe tener DHCP activo, la dirección de inicio debe ser 192.168.1.2 y la máscara de subred 255.255.255.0

Descargar (ISO)

MD5: a3341316ca9860b3a0acb06bdc58bbc1

Autor / Página Oficial / Mas Información: www.Heorot.net