intrusion y defensa

[soco]

Hola, es la primera vez q me conecto a este foro y tengo dudas que me gustaria saber si me las podeis resolver.
Trabajo en una LAN donde en principio tengo privilegios de usuario normal y corriente. Usamos windows 2000 todos, incluso los servidores.

1. Me podeis decir de algun programa que me diga en todo momento si hay algun usuario de la red conectado a mi maquina y que ademas me permita desconectarle o bloquearle?.
2. cuando me conecto a alguna maquina de la red via C$, a veces se queda colgando la conexion. Alguna vez me he conectado a una maquina cuyo usuario al apagar la maquina ha preguntado si alguien esta conectado porque le ha dicho la maquina "1 usuario conectado". Podria conectarme a traves del C$ y luego, tras salirme, verificar si sigue la conexion abierta, y como puedo cerrarla?
3. es una pregunta quizas muy basica, pero.... para usar un sniffer necesito privilegios de administrador de la red? o con ser un usuario de a pie me sirve?. Si es asi..me recomendais alguno para cazar passwords?. Un tiempo use el LC4 (creo) y me cazaba todo, pero en Windows 2000 creo que no funciona, y ademas en aquella epoca trabajaba con usuario con privilegios de administrador y ahora trabajo con usuario corriente.

Gracias

[etirini17]

mmm bueno...tratare de responder....
Pregunta 1: un sniffer de red o un programa como LANGuard te puede decir esos datos, supongo q si todos tienen los mismos privilegios la unica conexion q pueden tener con vos es la de la ICS (Internet Sharing Conection)
2: Sinceramente no entiendo......osea....tienes o no a alguien conectado...
3: no conozco taaanto de win2k, pero supongo q para hacer instalaciones debes tener privilegios de admin. en caso q puedas instalarlo ya tienes la via libre. Si quieres sacar la contraseña para ingresar como admin hay bastante de eso en otros posts de intrusion en este foro..
Espero haberte ayudado en algo
mucha suerte
Esteban Tirini

[juanma.m.d]

1.- el propio win2k tiene ese servicio, ves al panel de control>herramientas administrativas>administracion de ekipos y ahi t vas a carpetas compartidas y en sesiones veras la gente q hay accediendo y la podras cortar, en archivos abiertos tendras la opcion de ver q estan abriendo los qtan conectados a tu makina. Si t refieres a otro tipo de conexiones (q no fueran a tus carpetas compartidas) haciendo netstat lo verias y haciendo netstat -n t daria la ip directamente (del otro modo t resuelve los nombres).

2.- Haciendo netstat tambien verias si tu estas conectado a otra makina y podrias ver si sigues conectado. De todos modos si kieres asegurarte de q desconectas deshabilitas la conexion y la habilitas de nuevo o haces un ipconfig /release y un ipconfig /renew seguidos si tienes server DHCP.

3.- Los sniffer solo te valdran (creo) en una red q use hubs ya q los switchs usan otro metodo para enviar la informacion y no creo q puedas hacer nada, pero respecto a tu pregunta , no, no necesitas privilegios de administrador.

Espero haberte entendido y ayudado, 1 saludo.


PD: Para la 1 siempre t kedara usar un firewall

[soco]

gracias por vuestras respuestas. Hago alguna aclaracion a lo que escribí.
1. No todos tenemos los mismos privilegios. Como en toda red windows, hay unos usuarios con privilegios de administracion de la red, los demas somos simples usuarios.
Gracias por aconsejarme el LANGuard. No lo conozco, le echare un vistazo. Antes usaba el Essential Nettools (que no es un firewall) o algo asi, pero se paso la licencia y no encuentro el crack.
Por otro lado no tenia claro si poner un firewall en mi maquina en el curro era algo beneficioso para currar el dia a dia.
2. etriniti no me entendió. No es que haya alguien conectado o no a mi maquina. Te explico mejor la situacion. El viernes hice algo con lo que consegui informacion delicada de mi empresa (nada malo, ni hare nada malo con ello, era solo curiosidad) y ahora simplemente me voy a proteger por si el administrador de la red tiene algun programa que vigile el transito de ficheros dentro de la red. Si lo tiene sabra que alguien hizo eso, por lo que quiero un programa q en todo momento me diga si alguien esta conectado a mi maquina. El Essential tools hasta se ponia en rojo el icono cuando alguien me ingresaba en la maquina.
Gracias por Juanma por la info. Tienes razon, lo del ipconfig lo conocia, pero no lo recordaba, gracias. Cuando hice lo que hice cerre la sesion y volvi a entrar por si acaso se quedaba algo colgando. Mirare lo del netstat, aunque tener q mirarlo de continuo es un poco rollo, me vendria mejor algo automatizado, pero para un momento dado saber las conexiones q tengo con otra maquina o al reves, me sirve, gracias.
3. lo del sniffer y los privilegios de administrador..... Cuando hablaba si necesitaba privilegios de administrador para correr el sniffer me referia a administrador de la red, administrador del sistema, del dominio. YA soy administrador de mi maquina sin problema. Pero me parecia recordar que para snifear en la red hacia falta privilegios de administrador de red, esa era mi duda. Gracias Juanma por tu info.

4. Algun sniffer que useis que os vaya bien para obtener las claves de acceso de los usuarios al iniciar la sesion?. Conoceis el LC4 (de http://www.atstake.com/ , ya van por la LC5) ???? Cual habeis usado en red windows 2000?

5. Edito para comentar que el LC5 no me funcionaba no por el tema de privilegios de administracion (como bien dijo Juanma, gracias), sino porque dicho programa no soporta NTLMv2:
"The network sniffing function of LC 5 does not support NTLMv2. NTLMv2 authentications will be ignored. However, usernames and passwords can still be retrieved from the SAM or Active Directory even if a machine is using NTLMv2.".
no hagais caso de lo de la pass en local con el SAM, porque no me sirve, las pass no se guardan en local, sino supongo en alguna maquina, quizas el servidor (PDC), para lo que necesitaria acceder a ella como administrador o apagarla y entrar con disco de arranque, cosa que obviamente no puedo hacer en la empresa :-), dejaria el servidor colgado y tendria rapido a la gente encima :-)

Conoceis alguno que soporte NTLMv2???.
Gracias

[juanma.m.d]

de nada
PD : no no conozco ninguno q lo soporte

[soco]

Hola Juanma y demas.
He resuelto algunas de mis dudas. He encontrado la version 3.0 del Essential Nettools con su crack. Esta muy bien porque el icono se pone en rojo y te suena un pitido cuando alguien ingresa en tu maquina. Justo lo que queria. Tuve que recurrir a "mis programas historicos" :-), y buscarme una version para la que existiera un crack.
Tambien he resuelto lo de conseguir claves mediante un programa que soporte el NTLMV2. Cain lo soporta. Lo que queria hacer ya esta hecho :-). Aunque es un programa muy mal documentado jugando con el salen las cosas, pero lleva su tiempo. Eso si, cuando lo consigues, la clave se consigue por si sola sin necesidad de crackeos ni similar.
En fin.....que gracias por vuestras ayudas.

[juanma.m.d]

el cain sniffea bien ? has conseguidop ya algo ? :O

[soco]

si que sniffea bien. Queria el pass de un usuario y lo he conseguido. Me ha costado un poquillo entender el programa, o mejor dicho, dar con la opcion adecuada y jugar con el programita un poco. Una vez hecho...sin problema. Limité el sniffeo a solo la maquina que queria (para evitarme problemas) y en menos de 5 minutos lo tenia.

[juanma.m.d]

q version bajaste? q voy a ver q sniffeo yo por aki xDD

[soco]

me bajé la version 2.5 del Cain, para NT, W2000 y XP.
Disfrutala :-).
Cuando te diga si quieres instalar el winpcap, dile que si, es necesario.

[soco]

Por cierto Juanma, a ver si me ayudas.
Con el Essential Nettools me he dado cuenta de que cada 10 minutos EXACTOS (hasta al segundo!!!!!), se establece una conexion TCP/IP desde 127.0.0.1 a 127.0.0.1, es decir de mi mismo a mi mismo. Esto es periodico cada 10 minutos EXACTOS. Intuyo que podria ser algun programa que hace cosas raras. Sabes tu de alguna aplicacion que me diga las conexiones que efectuan programas en local en mi maquina?. Lo digo porque es una forma de operar parecida a lo que haria un troyano, no?. Quizas sea otra cosa, pero me gustaria salir de dudas.
Por cierto, ya me diras si te ha funcionado el sniffer Cain ;-)

[juanma.m.d]

trankilo, eso no debe ser nada malo. Todavia no voy a probar el sniferr a ver si un dia de estos lo pruebo.

salu2

[soco]

nada malo??? y que puede ser?. Es curioso porque esta mañana me he quedado sin red como media hora y esa media hora no he tenido la conexion q tengo de cada 10 minutos. Que crees q puede ser?

[juanma.m.d]

pues nu se cualkier comprobacion q haga el windows, mientras la conexion sea con el loopback no creo yo q deba preocuparte.

[ssad]

Solo alguien que tiene privilegios de administrador puede colocar la tarjeta de red en modo promiscuo, tenedlo en cuenta. Si os estais validando contra un servidor, lo mas probable es que necesites la contraseña si quieres sacarlo del dominio en el que estais para tener root. Asi que el sniffer no es servira de nada, tambien, como decían por ahi, si estais en una red conmutada vais a tener que hacer un MiM para poder sniffar algo, ya que el switch sabe rutar directamente cada paquete a su correspondiente MAC.

[juanma.m.d]

en una red con switch metes el APR y sniffea perfecto, lo pones pa q poisonee entre el router y el pc en cuestion y va perfecto.

[4-all]

Podría valer, http://www.softperfect.com/download/netsniffer.exe

[4-all]

Me traigo este pequeño manual, que igualmente puede servir. Saludos.. INDICE:
------
1. Crackeo de Passwords en Sistemas Windows 9x
2. Crackeo de Passwords en Sistemas Windows NT/2000
3. Crackeo de Passwords en Sistemas Windows XP
4. Conclusiones
5. Despedida

Antes que nada quiero agradecer a la gente de SWP por darme la oportunidad
de poder publicar un peque~o articulo sobre crackeo de passwords en los
sistemas mocosoft :P agarrate tio bill! xD

1. Crackeo de Passwords en Sistemas Windows 9x:
-------------------------------------------

Las contrase~as en los sistemas windows 9x se almacenan en los archivos PWL,
los cuales tienen una seguridad criptografica muy baja, la cual deja mucho
que desear, por lo cual se nos va a hacer facil la tarea . Un archivo PWL
es solo una lista oculta de contrase~as utilizadas para acceder a los
siguientes recursos de red:

- Recursos protegidos mediante seguridad a nivel compartido.
- Aplicaciones que se han escrito para apoyar a la interfaz de programacion
de aplicaciones (API) con ocultacion de contrase~a, como por ejemplo:
Acceso telefónico a redes.
- Pc's con Windows NT que no pertenecen a un dominio.
- Contrase~as de inicio de sesión en Windows NT que no son el inicio de
sesión de red primario.
- Servidores NetWare.

Antes de la version OSR2, Windows 95 utilizaba un algoritmo de encriptacion
debil para los archivos PWL, que era relativamente facil de romper
utilizando herramientas de amplia difusion. OSR2 (OEM System Release 2) fue
una version interna de Windows 95 que estaba solo disponible en sistemas
nuevos comprados a fabricantes de equipos originales, es decir, la empresa
que fabricaba el sistema. El algoritmo PWL actual es mas fuerte, pero
todavia se basa en las credenciales de usuario de inicio de sesion en
Windows. Esto hace que los ataques basados en desencriptacion de contrase~as
necesiten mas tiempo, pero igual siguen siendo efectivos. (:

Para averiguar la contrase~a de un usuario solo necesitamos el archivo PWL y
un software como el cain o el pwltool los cuales se van a encargar de
desencriptar mediante ataques de diccionario los archivos PWL y
posteriormente brindarnos la password de aquel usuario. Si tenemos acceso
fisico a la PC nos bastaria con un diskette y brindar unos minutos a buscar
el archivo que contenga la password del usuario, por ejemplo si estamos
buscando la password del usuario juan, buscamos los archivos juan*.pwl, una
vez que lo ubicamos, lo copiamos al diskette y posteriormente procedemos con
el cain o el pwltool a desencriptarla. Si no tenemos acceso a la PC por
medio de una cuenta, pero si fisico, bastaria con un disco de inicio, una
vez que estemos en la interfaz de comandos (en este caso DOS) copiamos los
PWL sin problemas con el comando copy [archivo] [destino]. Si queremos
entrar en la PC podemos renombrar los PWL con el comando rename [archivo]
[nuevo], por poner un ejemplo ---> rename *.pwl *.xxx . Posteriormente
tenemos que borrar los logs renombrandolos a PWL.

Una vez que hayamos capturado el archivo PWL que tanto sacrificio nos ha
costado ubicarlo :P jejeje (es una broma gente, una joda) ejecutamos el cain
o el pwltool y los dejamos trabajar tranquilos, si la password no es tan
jodida, al toque nos la botara, depende de ello gente, pero de que la vamos
a tener como sea la tendremos! x-))

Aqui les dejo los enlaces para que descarguen estos softwares, recomiendo el
primero, el cain que es el que mas nos facilitara el trabajo:

Descarga Cain 2.5 web oficial -----> http://www.oxid.it/
Descarga Cain 2.5 + Manual de uso ----->
http://datafull.com/datahack/notas/nota.php?codigo=69
Descarga Pwltool 6.80 ----->
http://lastbit.com/vitas/pwltool.asp

2. Crackeo de Passwords en Sistemas Windows NT/2000:
------------------------------------------------

Las contrase~as en los sistemas Windows NT/2000/XP se almacenan en los
archivos SAM (Security Accounts Manager) o Administrador de cuentas de
seguridad de NT. El SAM contiene los nombres de usuarios y las contrase~as
encriptadas de todos los usuarios del sistema local, o del dominio si la
maquina es un controlador de dominio. Este es el punto culminante del
pirateo de un sistema NT, el equivalente al archivo /etc/passwd de UNIX.
Incluso si el archivo SAM pertenece a un sistema NT individual, es probable
que al hacer crackinglo se descubran las credenciales que proporcionen
acceso al controlador del dominio, por lo tanto conseguir hacer cracking
sobre el SAM es tambien una de las herramientas mas poderosas en la escalada
de privilegios y explotacion del sistema.

Si tenemos algun tipo de acceso fisico a la pc, crackearemos la SAM, que es
el archivo que se encarga de guardar las passwords encriptadas del
administrador y diversos usuarios del mismo server, diran como lo hago? pos
es simple, aunque sinceramente se llevara tiempo si es que el administrador
es bueno y sabe aplicar una buena password, Para obtener el archivo SAM del
disco rigido lo podemos encontrar en el directorio \\WINNT\SYSTEM32\CONFIG.
Por default este archivo se puede leer pero no lo vamos a poder hacer
mientras Windows NT se este ejecutando porque en ese momento se encuentra
abierto de forma exclusiva por el sistema operativo. Lo que podemos hacer es
iniciar la PC con otro sistema operativo y copiarlo directamente, si lo
hacemos desde Linux no vamos a tener problemas porque este soporta las
particiones NTFS de Windows NT; pero si lo queremos hacer desde Windows 9x,
deberemos conseguir un programa como el Ntfsdos que nos permite acceder a la
particion NTFS desde una particion FAT como la de Windows 9x; o sea, que
haces un disco de inicio y copias el Ntfsdos en el, inicias el sistema con
este disco y ejecutas el Ntfsdos que lo que hace es montar la particion NTFS
a la FAT y entonces te vas al directorio \\WINNT\SYSTEM32\CONFIG y copias el
archivo SAM al disco. Luego Dumpeamos los hashes con el pwdump2.exe /
samdump.dll y luego las pastemos (copiamos) en un txt para desencriptarlas
con el LC3 o LC4, no debera llevarnos mucho tiempo, como les dije antes,
depende de la password que le haya asignado el administrador y/o usuario.

Otra manera de obtener el archivo SAM es mediante un disco de reparacion,
durante la instalacion de Windows NT una copia del archivo de passwords es
puesta en el directorio \\WINNT\REPAIR. En este archivo ya que se creo
durante la instalacion solo vamos a encontrar la cuenta del Administrador y
la del Guest (invitado) y nos va a ser util solo si el Administrador no
cambio la contrase~a despues de la instalacion; pero si el Administrador
actualizo sus discos de reparacion entonces si vamos a poder encontrar una
copia de todos los passwords del sistema. En este directorio vamos a
encontrar el archivo SAM pero comprimido como SAM. Para poder crackearlo con
el LC4, lo hacemos normalmente pero siempre y cuando lo estemos corriendo
bajo Windows NT, si en cambio estamos corriendo el LC4 en Windows 9x para
poder importar el SAM, primero vamos a tener que descomprimirlo utilizando
el comando "expand" de Windows NT de la siguiente forma: "expand SAM._ SAM"
y luego lo importamos normalmente para poder crackearlo.

El archivo SAM tambien queda guardado en las cintas de copia de seguridad
cuando se hace un backup del sistema. Si conseguimos una cinta de backup,
podemos restaurar el archivo SAM de \\WINNT\SYSTEM32\CONFIG a otra
computadora para despues crackearlo.
La herramienta que vamos a utilizar para crackear los SAM va a ser el LC4,
simplemente porque es el mejor crackeador de passwords de Windows NT. Una
vez que ya tenemos el SAM tememos que ir al menu "File" y seleccionar la
opcion "Import SAM File" que nos va a desplegar un menu para poder
seleccionar el archivo, una vez que ya lo importamos vamos a la opcion
"Tools" y seleccionamos la opcion "Run Crack", luego de esto es cuestion de
tiempo y por supuesto algo de suerte.

Enlaces para que descarguen los juguetes (softwares) que nos van a permitir
hacer travesuras con la SAM xD:

Descarga LC4 4.00 web oficial ----->
http://www.atstake.com/research/lc/download.html
Descarga Ntfsdos web oficial ----->
http://www.sysinternals.com/ntw2k/freeware/NTFSDOS.shtml
Descarga Pwdump ----->
http://hercules.lss.ksu.edu/download/MSSTUFF/

Otras Herramientas: IMP

3. Crackeo de Passwords en Sistemas Windows XP:
-------------------------------------------

Vamos a ver 2 tipos de vulnerabilidades para poder romper la password del
administrador en este sistema.

a)Cambiar la password del usuario Administrador de Windows XP con los
privilegios minimos.

Primero abrimos un Prompt
Vamos al root del directorio:
cd
vamos al directorio system32:
cd \windows\system32

Hacemos un backup del archivo logon.scr y cmd.exe
mkdir temphack
copy logon.scr c:\temphack\logon.scr
copy cmd.exe c:\temphack\cmd.exe

Borramos el archivo original logon.scr
del logon.scr

Luego reemplazamos el archivo logon.scr por cmd.exe (esto habilita un prompt
de DOS en lugar del screen para seleccionar el usuario.)
rename cmd.exe logon.scr
exit

Luego de esto reiniciamos la maquina y notaremos que tendremos acceso a un
prompt de DOS.

Si la cuenta del Administrador se llama Juan y queremos cambiarle la
contrase~a:
net user Juan password (donde "password" es la nueva contrase~a)

Ahora podemos loguearnos como Administradores con la nueva contrase~a.

Nota: Esta vulnerabilidad solo funciona teniendo acceso fisico y a la
maquina y una cuenta de usuario. Se han reportado casos en donde esta
vulnerabilidad no funciona, posiblemente dependiendo de los parches
instalados en el sistema.

b)Cambiar el Password del administrador mediante un CD-Room

Bueno esta tecnica es la mas sencilla de todas, simplemente consiste en
tomar cualquier PC con Windows XP e iniciarlo desde un CD-ROM de Windows
2000. En el menu del CD se selecciona la opcion de iniciar la consola de
reparacion, empleada para detectar errores en sistemas inestables.

Mediante la consola se obtiene acceso ilimitado al contenido del PC sin
necesidad de digitar contrase~a alguna. Incluso es posible copiar ficheros
desde el disco duro a soportes portatiles. Como es sabido, en Windows 2000
no es posible hacer lo anterior sin contar con derechos de administrador.
Bueno una vez dentro, ya sabemos que hacer con la SAM (:


Conclusiones:
------------

Bueno he llegado a una enorme conclusion, los sistemas windows son demasiado
inestables, cada vez se descubren nuevas fallas y vulnerabilidades en el
software del tio bill y este por mas que trata de mejorarlo no puede xD.
Hace mucho tiempo que Unix sigue manteniendose en el liderato y preferencia
de nosotros las personas que nos encanta estar frente a una Pc y entrar en
retos, y desafios constantemente, no hay que negar que todos empezamos
usando Windows, pero poco a poco vamos cambiando de gusto y buscando cosas
mas seguras y estables.

Windows 9x es relativamente inerte desde la perspectiva de un ataque basado
en la red, debido a la ausencia de utilidades de inicio de sesion remotas.
Las unicas amenazas reales para la integridad de red de Windows 9x son la
comparticion de archivos, algo que podremos evitar bastante bien elegiendo
adecuadamente las contrase~as a utilizar Manual editado por Crackman en http://foro.elhacker.net/index.php/topic,13464.0.html

[juanma.m.d]

esta muy bien el manual, desconocia ese metodo para windows XP (el de net user)

[TseTse]

Siempre que se ponga un tutorial o notícia de otro lugar, citad la fuente y/o autor.

TseTse