Sec-Track

Saludos a todos,

Sí, esa es la razón de ser de este escrito,  “Como CAIN& ABEL no hay otro igual” y no estoy haciendo referencia a “Holy Bible” y la Narración del chicho Bueno y el chico Malo con su sacrificio ante Dios.

Como leerán y verán a continuación Cain es un chico tan bueno como Abel.

En realidad estoy haciendo referencia al excelente software creado por el Señor Massimiliano Montoro y su grandioso Web Site .

Rondaba en mi cabeza la intención de escribir desde hace mucho rato sobre este maravilloso aplicativo, puesto que se convirtió en uno más de las armas de mi arsenal para Análisis de Seguridad, el cual no puede faltar en ningún de mis Test de Intrusión Interno, apelando a sus excelentes métodos para la recuperación y desciframiento de contraseñas, contribuyendo así  en la consecución de hallazgos que nos fortalezcan nuestras evidencias de auditoría de seguridad.

Antes de pasar a las imágenes de evidencia, una breve descripción de lo que es CAIN&ABEL  para quien no conozca de esta maravillosa herramienta Multiuso.

“Caín y Abel es una herramienta de recuperación de contraseña para sistemas operativos de Microsoft.  Permite la recuperación fácil de diversos tipo de contraseñas por métodos de sinfín de la red (olfateo de red), craqueo contraseñas cifradas utilizando ataques de  diccionario, fuerza bruta y ataques de criptoanálisis, permite grabar conversaciones de VoIP, descodificar contraseñas, recuperar claves de la red inalámbrica, revelar  contraseñas en Text Box, caché las contraseñas en Windows y el análisis de protocolos de enrutamiento.

La última versión es más rápida y contiene muchas características nuevas como APR (Arp Poison Routing) que permite el rastreo en cambió de LANs y ataques Man-in-the-Middle.

El sniffer en esta versión también puede analizar los protocolos cifrados como SSH-1 y HTTPS y contiene los filtros para capturar las credenciales de una amplia gama de mecanismos de autenticación. “

Bien y si no me crees, échale un vistazo a las siguientes evidencias. El orden de los factores no altera el producto  xDDD

No pretendo entregar un manual del producto, el cual puedes descargar de aquí View Cain & Abel on-line User Manual Así que iré detallando cada evidencia sin establecer un nivel o criterio de importancia.

Corresponden a diversos proyectos ejecutados de los cuales tratare de incluir lo que considere más relevante, ya que si me doy a la tarea de subir todo, creo que este Artículo no me alcanzaría para su inclusión.

Enumeración de Equipos o Sondeo de Red.

Si hacemos uso de Su pestaña de Host y Network tenemos la posibilidad de Sondear o enumerar la Red de la cual pertenecemos al segmento de Red o tenemos enrutamiento alguno.  De igual forma tratar de acceder a recursos compartidos, Bases de Datos, o registros de Windows en los equipos.

Recursos Compartidos, acceso por clave o usuario Anonymous

Llaves de Registro y Recursos Compartidos.

Enumeración de usuarios, registro y recursos compartidos

Enumeración de Servicios.

Registro del sistema

En algunas ocasiones nuestra estación de trabajo es controlada o nos aplican restricciones con medidas como Vlans o Acls (Listas de Control de Accesos), etc.  Algunas formas de tratar de evadirlas es montando una Maquina virtual y estableciendo una configuración estática o dinámica, un Ip spoofing,  mac spoofing,  con una mac diferente para saltar el control de Acls por MAC, como se muestra a continuación capturando credenciales de autenticación (login y password) en  tramas de HTTP una vez se ha iniciado un ARP Poisoning.

Captura de tramas HTTP con credenciales y comportamientos de navegación, si tienes algún sitio prohibido de navegación, aquí te darás cuenta que te están saltando el proxy o el Web Content.

Captura de credenciales de autenticación servicio FTP, en conexiones FTP

Explotando el servicio  ;P

O lo prefieres visualizar así 

Captura de tramas del protocolo SIP (Session Initiation Protocol) en un sistema Asterisk (VoiP).

Captura de tramas protocolo POP3 (servicio de correo interno)

Captura de tramas protocolo SMB. Indicio excelente para aplicar un SMB Relay 

Captura credenciales Oracle (TNS) ciframiento tipo DES !!

Captura  tramas de VoIP

Volcado de la SAM en una estación de trabajo vulnerada por su baja seguridad a nivel de LOCALHOST.

Proceso de ARP poisong y MITM (Man In The Middle) con Cain

Captura de tramas http de archivos, aplicativos que pueden ser modificados On line.

Credenciales de autenticación conexión es Wirelles tomadas de los Cache Passwords de un equipo vulnerado a nivel de Localhost,  en donde se ha instalado Cain&Abel.

Creo que no te gustaría que te encontraran visitando sitios de tu preferencia xDD.

Aclaro que no tengo nada contra la definición de Género o estilos de Vida. Pero con esta sociedad de doble moral, no creo que te guste que encuentren que visitas estos sitios. El problema es que este es un equipo corporativo de trabajo.

Información de los Windows Mail Passwords del Cached Passwords del equipo.

Información de los Credential Manager del Cached Passwords del equipo.

Información del Protected Storage del Cached Passwords del equipo.

Información del Dialup Password del Cached Passwords del equipo

Captura de Credential Manager en Cached Passwords, credencial de controlador de Dominio Maestro.

Captura de Certificados

Función Cracker de Cain&Abel en donde puedes utilizar varios métodos para descifrar los hash de las contraseñas por medio de ataques por diccionario, fuera bruta, intentos, etc. Adicionalmente puedes subir diccionarios personalizados o las tablas de Rainbow Tables.

Capturas de sesión de Telnet

Descifrado de Hash de VNC levantadas del registro de Windows

Esto es una belleza como un Santo Grial, un LDAP abierto de Patitas       Esperando ser coronado

Capturas de tramas protocolo  SMNP

O si tu intención es una Denegación de Servicios (DoS)

Huyyyyy  

La verdad dejemos hasta aquí porque me canse y se me atrasaron algunas vainas de trabajo y académicas……..

He probado algunas otras opciones como el Cracking de Wirelles, Accesos por RDP, desciframiento de BD, Conexión a BD, Desciframiento de CCDU, Traceroute, RSA Token Security ID, Siskey Decoder, DecoderBase64, Cisco VPN Password y Cisco Decode Password. Algunas me han funcionado otras no!!.  A lo mejor por falta de conocimiento o ser mas diestro con la herramienta. Creo que no conozco más del 50% de la misma pero ya puedes medir su potencial con los hallazgos de las evidencias anteriores.

Como puedes ver Cain también es un chico bueno como Abel!!! 

Y como su título lo dice no he encontrado herramienta alguna similar para Linux, razón por la cual mantengo mi partición dual Win/BT algunas vainas sobre Windows como algunas herramientas forenses  y de seguridad.

Ahora, no vamos a volver con el mismo cuento que siempre me tomo que usa Dsniff, Ettercap, Wireshark  que combínalo con scripts o con otras herramientas. Ni de esta forma alcanza el gran potencial de esta maravillosa herramienta. Eso si recomiendo,  si encuentras algo similar por favor no dudes en contactarme que es de mi especial interés!!

Con gratitud  se escribió este artículo especialmente para el proyecto Sec-Track por permitirme participar de él. Congratulations mi gran amigo 4v4t4r por tan excelente iniciativa de seguridad.

Espero que sean de su agrado estas líneas, que como cosa rara me extendí más de lo que esperaba, aunque como lo dije desde el principio tratare de ser breve, tratando de mostrar el potencial de la herramienta.

No me queda más que despedirme, agradecerles a todos por invertir su tiempo en leer un poco estas líneas de conocimiento.

Bytes

Dino

PD: Agradecimientos al Señor Massimiliano Montoro y su grandioso Web Site

PD2: Se publica también en mi Blog

———–

Nota de 4v4t4r:

@d7n0

• Administrador de Empresas
• Gerencia en Consultoría Empresarial
• Profesional en Sistemas de Información
• Especialización Administración de la Información
• Veinte (20) años de experiencia en Sistemas e Informática
• Diez (10) años de experiencia en Seguridad Informática
• Miembro activo de La Comunidad DragonJAR.
• Miembro activo de la Comunidad Team SecurityIT
• Coordinador del grupo SWAT de Hacking Etico
• Columnista de diversos articulos de seguridad Informatica, Hardening, Análisis Forense, Hacking Etico en revistas Electrónicas, como Hackerss.com, Dragonjar.org.
• Analista en Seguridad Informática (Freelance)
• Investigador Informática Forense (Freelance)
• Vinculación con la Empresa P@ssword S.A. Desde hace tres años desarrollando proyectos de Seguridad Informática (Aseguramiento, Análisis de Seguridad, Análisis Forense) a Organizaciones Gubernamentales, Estatales, Sector Público y Privado.
• Asesor y Consultor de TICS
• Capacitador Diplomados de Seguridad Informatica en Universidades (Universidad Cooperativa, Universidad Libre de Colombia, Universidad Antonio Nariño, Universidad del Pacifico)
• Capacitador cursos de Ethical Hacking en Centros de Entrenamiento de Alta Tecnologia CETEC, Itech Learning
• Ponente Nacional en temas de Seguridad Informática en diversos eventos, seminarios y Universidades (Universidad Javeriana, Universidad Santiago de Cali, Universidad Libre, Universidad Autonoma de Popayan, UNAD de Neiva).

El siguiente listado no trata de organizar en modo de mayor importancia o sobre cual sea mejor que otra (por eso las organicé alfabéticamente).  Tan solo pone a disposición un completo compendio de eventos que no debemos pasar por alto, no solo por los papers que se liberan, sino por todos los demás materiales que quedan luego de este tipo de eventos (CTF, PPTS, Audios, Videos, Tools, Fotografías, etc). Y ni que decir de la posibilidad de conocer y reunir toda esa calidad humana que trabaja en estas áreas.

Por ahora comienzo con estos, sé que me faltan muchos más, por ello si conoces de otros eventos que estén relacionados con la seguridad de la información, no dudes en enviarlos por medio de los comentarios, para ir sumando a la lista!!

• Blackhat www.blackhat.com
• bruCON www.brucon.org
• BugCon www.bugcon.org
• DEFCON www.defcon.org
• CanSecWest cansecwest.com
• Chaos Communication Congress events.ccc.de/congress
• ChicagoCon www.chicagocon.com
• ConFidence www.confidence.org.pl
• Congreso Hacking Etico en Colombia http://congresohackingetico.com
  
• Dnscon www.dnscon.org
• EISI eisi.umanizales.edu.co
• ekoparty www.ekoparty.org
• H2HC www.h2hc.org.br
• HackerHalted www.hackerhalted.com
• Hacking At Random www.har2009.org
• Hackinthebox http://conference.hackinthebox.org
• HOPE www.thenexthope.org
• Notacon www.notacon.org
• Nullcon www.nullcon.net
• Phreaknic www.phreaknic.info
• /Rooted CON www.rootedcon.es
• SeCurInF securinf.com
• RSA Conference www.rsaconference.com
• SEC-T www.sec-t.org
• Shakacon www.shakacon.org
• ShmooCon www.shmoocon.org
• Summercon www.summercon.org
• thotcon www.thotcon.org
• Toorcon www.toorcon.org
• Virus Bulletin Conference www.virusbtn.com
• x25sec http://x25sec.ccat.edu.mx
• You Sh0t the Sheriff http://ysts.org

GeoIPGen es una herramienta de red para la generación de IP’s Geo-Objetivos o de identificación de origen.

La herramienta funciona con base al hecho de que los ISP tienen determinadas IP’s a su control en cada país. La base de datos utilizada por la herramienta corresponde a la de Maxmind. La base de datos corresponde a un simple archivo CSV que es leído por la herramienta.

Veamos el proceso de configuración y uso:

root@bt:~/CHK/tools/geoipgen-0.4# ls
CHANGELOG  INSTALL  README  TODO  geoipgen  geoipgen.lsm
root@bt:~/CHK/tools/geoipgen-0.4# less INSTALL

root@bt:~/CHK/tools/geoipgen-0.4# wget http://www.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
–2010-05-17 18:58:52–  http://www.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
Resolving www.maxmind.com… 67.15.94.80
Connecting to www.maxmind.com|67.15.94.80|:80… connected.
HTTP request sent, awaiting response… 301 Moved Permanently
Location: http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip [following]
–2010-05-17 18:58:52–  http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
Resolving geolite.maxmind.com… 64.246.48.99
Connecting to geolite.maxmind.com|64.246.48.99|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 1777882 (1.7M) [application/zip]
Saving to: `GeoIPCountryCSV.zip’

100%[======================================>] 1,777,882    310K/s   in 6.0s

2010-05-17 18:58:59 (289 KB/s) – `GeoIPCountryCSV.zip’ saved [1777882/1777882]

root@bt:~/CHK/tools/geoipgen-0.4# unzip GeoIPCountryCSV.zip
Archive:  GeoIPCountryCSV.zip
inflating: GeoIPCountryWhois.csv
root@bt:~/CHK/tools/geoipgen-0.4# mv GeoIPCountryWhois.csv /usr/local/share/ || ( mkdir $HOME/.geoipgen ; mv GeoIPCountryWhois.csv “$HOME/.geoipgen/”)

root@bt:~/CHK/tools/geoipgen-0.4# ./geoipgen -l |grep Colombia
CO      Colombia
root@bt:~/CHK/tools/geoipgen-0.4# ./geoipgen -n 10 CO
190.249.132.75
200.71.67.20
201.232.212.13
190.126.199.90
190.251.122.20
190.182.50.124
190.250.163.7
190.125.192.131
186.114.221.105
186.80.204.45

root@bt:~/CHK/tools/geoipgen-0.4# ./geoipgen -n 10 ES
85.49.39.104
88.3.33.50
83.46.243.85
83.59.59.181
81.32.128.146
95.39.198.21
81.43.162.41
79.156.155.124
77.208.3.231
95.60.138.155

Bastante efectiva la información… Podríamos complementar el uso de esta herramienta con la resolución de nombres de dominios de la herramienta DNSRecon.

Más información (Web oficial del proyecto-MorningStartSecurity)

DNSRecon es una herramienta desarrollada en Ruby por Carlo Perez (DarkOperator) para la enumeración de DNS. La herramienta permite enumerar por medio de rango de IP’s, y consultas directas y de resolución para la identificación de host y subdominios, zonas de transferencia, reverse lookup, etc.

Veamos algunos ejemplos:

Enumeración por medio de rango de IP’s

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -r 72.232.197.100 72.232.197.130
Reverse Lookup for IP Renge from 72.232.197.100 to 72.232.197.200
100.197.232.72.static.reverse.ltdomains.com,72.232.197.100
101.197.232.72.static.reverse.ltdomains.com,72.232.197.101
102.197.232.72.static.reverse.ltdomains.com,72.232.197.102
103.197.232.72.static.reverse.ltdomains.com,72.232.197.103
104.197.232.72.static.reverse.ltdomains.com,72.232.197.104
105.197.232.72.static.reverse.ltdomains.com,72.232.197.105
dbservidores2.com,72.232.197.106
ns1.dbservidores2.com,72.232.197.107
ns2.dbservidores2.com,72.232.197.108
dimdim.dedicatedplace.com,72.232.197.109
111.197.232.72.static.reverse.ltdomains.com,72.232.197.111
112.197.232.72.static.reverse.ltdomains.com,72.232.197.112
113.197.232.72.static.reverse.ltdomains.com,72.232.197.113
server.suganoissei.info,72.232.197.114
ns1.suganoissei.info,72.232.197.115
ns2.suganoissei.info,72.232.197.116
ns3.suganoissei.info,72.232.197.117
ns4.suganoissei.info,72.232.197.118
119.197.232.72.static.reverse.ltdomains.com,72.232.197.119
120.197.232.72.static.reverse.ltdomains.com,72.232.197.120
ocean.roteador.info,72.232.197.122
ocean.roteador.info,72.232.197.123
ocean.roteador.info,72.232.197.124
ocean.roteador.info,72.232.197.125
ocean.roteador.info,72.232.197.126
127.197.232.72.static.reverse.ltdomains.com,72.232.197.127
128.197.232.72.static.reverse.ltdomains.com,72.232.197.128
129.197.232.72.static.reverse.ltdomains.com,72.232.197.129
us1.goobix.com,72.232.197.130

Enumeración por Top Level Domain Expanssion

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -tld informatica64
informatica64.com,80.81.106.148,A
informatica64.kr,222.231.8.226,A
informatica64.pw,70.87.29.179,A
informatica64.pw,70.87.29.150,A
informatica64.mp,75.101.130.205,A
informatica64.ph,203.119.6.249,A
informatica64.ws,64.70.19.33,A
informatica64.st,195.178.160.40,A
informatica64.tk,94.103.151.195,A
informatica64.tk,193.33.61.2,A
informatica64.tk,209.172.59.196,A
informatica64.tk,217.119.57.22,A
informatica64.vn,203.162.57.28,A

DNS Host y Fuerza Bruta a Dominios

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -b medellin.gov.co hosts.txt
av.medellin.gov.co,200.13.232.107
beta.medellin.gov.co,200.13.232.182
correo.medellin.gov.co,200.13.232.182
live.medellin.gov.co,200.13.232.100
mail.medellin.gov.co,200.13.232.115
omega.medellin.gov.co,200.13.232.101
portal.medellin.gov.co,200.13.232.182

Consulta general de DNS por NS, SOA y Registros MX

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -s telemedellin.tv
telemedellin.tv,67.43.6.235,A
dns1.nettica.com,64.94.136.11,SOA
dns1.nettica.com,64.94.136.11,NS
dns5.nettica.com,212.100.247.15,NS
dns4.nettica.com,69.41.170.223,NS
dns2.nettica.com,64.237.45.34,NS
dns3.nettica.com,64.94.136.13,NS
alt2.aspmx.l.google.com,74.125.113.27,MX,20
aspmx2.googlemail.com,209.85.135.27,MX,30
aspmx3.googlemail.com,72.14.213.27,MX,30
aspmx4.googlemail.com,209.85.229.27,MX,30
aspmx5.googlemail.com,74.125.157.27,MX,30
aspmx.l.google.com,74.125.67.27,MX,10
alt1.aspmx.l.google.com,209.85.211.91,MX,20

Zonas de transferencias

root@bt:/pentest/enumeration/dnsrecon# ruby dnsrecon.rb -axfr elcolombiano.com
Zone transfer failed for redglobal.net
Zone transfer failed for server2i.elcolombiano.com.co
Zone transfer failed for dns1.redelectrica.com

Wfuzz es una herramienta destinada para la enumeración de archivos y directorios alojados en una aplicación Web.

Esta herramienta desarrollada por Edge-Security realiza ataques de fuerza bruta para la enumeración de directorios, servlets, scripts y archivos en el webserver.

Read the rest of this entry »

Anubis es una aplicación desarrollada por Juan Antonio Calles para anexionar todas las herramientas necesarias para los procesos de las Auditorías de Seguridad dedicados a la búsqueda de información, denominados Footprinting y Fingerprinting, en una única herramienta.

Read the rest of this entry »

theHarvester (Desarrollada por Edge-Security) es una herramienta que permite recolectar direcciones electrónicas (e-mails) y nombres de usuarios desde fuentes públicas.

Read the rest of this entry »

Subdomainer (desarrollada por edge-security)es una herramienta de recolección de información diseñada para obtener nombres de subdominios de un dominio objetivo, desde diferentes fuentes públicas como Google, Msn Search, Yahoo, Servidores PgP, etc.

Veamos la herramienta en ejecución:

Primero descargamos la herramienta Subdomainer desde la web oficial del proyecto.

La herramienta ha sido desarrollada en Python, por lo tanto necesitarás de este para ejecutarla. (Python ya viene incluído en BackTrack).

Una vez descargada, nos dirigimos al directorio, extraemos los archivos y ejecutamos la herramienta.

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# ls
COPYING  LICENSES  README  subdomainer.py

Veamos la opciones:

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# python subdomainer.py
*************************************
*Subdomainer Ver. 1.3b              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*laramies2k@yahoo.com.ar            *
*************************************
usage: subdomainer.py  options
-d: domain to search
-l: limit of results to work with. (msn and yahoo goes in 10 to 10
google in 100′s, and pgp does not need this option)
-m: data source (msn, yahoo, google, pgp-veridis, all)
-o: output to html file. (optional, good for long lists.)
Example:
subdomainer.py -d microsoft.com -l 200 -m google

subdomainer.py -d microsoft.com -l 100 -m all -o microsoft.html

Ahora hagamos una búsqueda nosotros mismos:

root@bt:~/Sec-Track/Tools/Information Gathering/subdomainer# python subdomainer.py -d twitter.com -l 100 -m google
*************************************
*Subdomainer Ver. 1.3b              *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*laramies2k@yahoo.com.ar            *
*************************************
Searching for twitter.com in google
=======================================
Total results:  434000000
Limit:  100
Searching results: 0
Subdomains founded:
====================
search.twitter.com
blog.twitter.com
status.twitter.com
apiwiki.twitter.com
help.twitter.com
blog.es.twitter.com
chirp.twitter.com
engineering.twitter.com

Total results:  8
Going for extra check:

search.twitter.com ====> 128.121.146.107
blog.twitter.com ====> 74.125.47.121
status.twitter.com ====> 72.32.231.8
apiwiki.twitter.com ====> 208.96.32.3
help.twitter.com ====> 67.219.156.130
blog.es.twitter.com ====> 74.125.47.121
chirp.twitter.com ====> 209.207.239.72
engineering.twitter.com ====> 74.125.47.121

Como vemos, una vez identifica los posibles nombres de subdominios basados en consultas a los motores que hayamos seleccionado, procede a verficar la validez de estos.

Httprint, de Net-Square, es un programa gratuito (no GPL) que utiliza técnicas de fuzzing para dar una estimación de la versión de servidor web que se ejecuta en un puerto.

Read the rest of this entry »

Nikto es un escáner de directorios y archivos potencialmente sensibles en servidores Web. La base de datos de estos archivos y directorios contenida en la herramienta Nikto supera las 6100 entradas. Incluye además métodos y firmas de varios servidores y versiones de aplicativos web, con el fin de determinar el grado de desactualización de estos.

Read the rest of this entry »