PDA

Ver la versión completa : Scanners de servicios,usuarios, shares y demas



fandelkaox
16-08-2003, 21:05
Hola a todos.
No puedo sacarme de la cabeza el "¿como scanearan los servicios y usuarios de windows esos programas tipo shadow Security scanner".
Usan alguna API?
Alguien sabria decirme algo que me aclara?

Gracias por todo

eXcalibur
18-08-2003, 13:22
Buenas,
Yo creo que utilizan diferentes técnicas, Por ejemplo:
Para saber si tiene puertos abiertos, sencillamente con el winsock (el OCX) puedes saberlo. Además de saber si un puerto está abierto, puedes probar varias cosas con este ocx.
Para saber si un servidor es vulnerable a UNICODE/DECODE, podría utilizar el Microsoft Web Browser, y extraer la información utilizando los correspondientes exploits.
También se utilizarán APIS, seguro, pero vete a saber cuales.
Para rastrear los servicios, yo diría que se puede hacer mediante WinSock, ya que lo que tenemos que saber es que servicio corre bajo que puerto, sabiendo esto y teniendolo en una base de datos, sabemos que servicios estan funcionando.
Lo que te he explicado no es mas que un ejemplo. No se si lo harán así los scanners, pero al menos espero haberte orientado Fandel

|RooT|
18-08-2003, 14:41
Sencillamente creo que los escaners como el SSS, hace tal y lo que dice eXcalibur, comprueba haber que puertos tiene abiertos, asta aquí todo normal como cualquier escaner. Después si tiene algun puerto FTP o HTTP abierto, pues puedes saber que server estas usando y así especular que Sistema Operativo se esta usando. Si por ejemplo esta usando un ISS, pues el SSS tiene una lista de vulnerabilidades que las va provando por ejemplo como las del Unicode, si prueba por ejemplo un http://server/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
y devolviera un error (404,etc) , entonces es que no seria vulnerable al unicode. Esta es mi idea de como funciona algunos de los escaners para detectar bulneravilidades, o almenos es lo que pienso o el como lo aria.

Saludos.

eXcalibur
18-08-2003, 16:12
Hablando por correo con Fandelcaox (resulta que es un viejo compañero de clase y un buen colega) me ha comentado algo a tener en cuenta.
Por ejemplo, él tiene el FTP por el puerto 135, por lo que no serviría el sistema de puerto-servicio.
Si saca la manera, ya nos lo comentará.
Saludos.

|RooT|
28-08-2003, 21:59
Hombre otra de las maneras es que si detecta el puerto 135 abierto y se le añade un parse al Scanner para que detecte palabras clave que miren si es un ftp o no ?
por ejemplo :
220 drftp.digitalriver.com NcFTPd Server (licensed copy) ready.

Tan solo con parsear un poco esto podemos ver que el 220 nos indica que que es un ftp, el drftp.digitalriver.com el nombre de host y el NcFTPd el tipo de servidor que tamos usando. Ahora si en vez de un FTP fuera un servidor telnet :

BSDI BSD/OS 4.1 (leretrele.com) (ttyp5)
login:

Podriamos saber que facilmente que esto no es un FTP si no un telnet tan solo seguir una nomenclatura que se suele usar generalmente en los servicios.
No?