Página 1 de 3 123 ÚltimoÚltimo
Resultados 1 al 20 de 53

como realizar y estructurar un ataque a 1 red, dominio e incluso sistema en concreto

  1. #1 como realizar y estructurar un ataque a 1 red, dominio e incluso sistema en concreto 
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    Buenas como veo a mucha gente perdida en esto a ver si asi os aclaro un poco .
    todo esto lo voy a ver desde el lado bueno de la fuerza, intentando resolver los problemas, que un hacker puede crear en nuestras redes, es decir desde el lado del tecnico en seguridad que intenta resolver todos los ataques, y para ello tiene que explicar como se ejecutan y como se contrarestan.

    vayamos por pasos, empecemos enumerando

    1-Identificar el problema.

    EN esta parte voy a explicar como un hacker antes de entrar en nuestros sistemas, tiene que recompilar mucha informacion y como se puede hacer de forma facil para que le sea dificil recompilarla.

    2- Hack del sistema

    Aqui explicare como despues de recompilar la informacion necesaria se empieza a atacar el sistema. Esto abarca a todos los sistemas operativos y todos sus agujeros.
    Incluiremos tambien como borran todas sus huellas los que saben y como dejan brechas casi invisibles en nuestro sistema para entrar cuando quieran.

    3- Hack a la red

    Aqui detallare como se puede hacer uso de dispositivos tales como servidores de acceso telefonico, routers, cortafuegos, vulnerabilidades en protocolos de bajo nivel como el x25.
    Explicare como echar un candado hermetico a tu red para solucionar estas posibles brechas.

    4- Hack del soft.

    Examinaremos aqui las aplicaciones que nos llevan de cabeza a los tecnicos en seguridad informatica, tales como por ejemplo programas de control remoto, puertas traseras, software de servidor de red y demas brechas potenciales de los mismos.

    Como esto no va a ser cosa de diez minutos hire poniendo cada apartado, cada semana, asi tambien me da tiempo a repasar mis apuntes a mi que no soy dios y siempre aunqeu se sepa hacer se debe consultar en los apuntes.

    Mañana tendreis la primera seccion subida si hoy no me da tiempo.
    Un saludo espero que sea de vuestro agrado.


    pd. no se si este post va en esta seccion si no es asi cambiarlo de sitio a donde pertenezca, yo creo que si perooooo no quiero molestar mas
    Última edición por hail; 10-05-2006 a las 19:48
     

  2. #2  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    un hacker antes de nada, cuando quiere atacar un sistema en concreto o una red,tiene que recompilar gran cantidad de informacion de la estructura intranet/extranet y de los sistemas de seguridad implementados en ellos.

    Internet desde el principio fue diseñada para ser funcional, dando mas informacion de la necesaria a quien sepa encontrarla.
    En este apartado os vamos a enseñar como y donde se recompila esa informacion tan valiosa para poder llevar a cabo un buen ataque y como hacer para que sea mas dificil para el mismo recompilarla.

    Un atacante puede recompilar una cantidad desconocida y reducirla a uan extension especifica de nombres de dominio, bloques de redes y direcciones ip individuales de sistemas conectados directamente a internet, mediante una combinacion de herramientas y tecnicas.

    Veamos la informacion critica que un atacante puede recompilar dia a dia de nuestros sistemas de seguridad y redes implementados.

    DE INTERNET.

    Nombre de dominio, bloques de red, direcciones ip especificas de sistemas via internet, servicios tcp y udp funcionando en cada sistema, arquitectura del sistema,
    mecanismos de control de acceso y listas de control de accesos relacionadas(ACL),sistemas de deteccion de intrusion(IDS), enumeracion del sistema (nombres de usuarios y grupos, encabezados del sistema, tablas de direccionamiento, informacion SNMP.)

    DE INTRANET.

    Protocolos de red en uso(ip,ipx,decnet), nombres de dominio internos, bloques de red, direcciones ip especificas de sistemas disponibles via intranet, servicios tcp y udp funcionando en cada uno de los sistemas, arquitectura del sistema, mecanismos de control de acceso y ACL, sistemas de deteccion de intrusion, enumeracion del sistema (nombres de usuarios y grupos, encabezados del sistema, tablas de direccionamiento, informacion SNMP.)

    DE ACCESOS REMOTOS

    Numeros de telefono analogico/digital, tipos de sistemas remotos, mecanismos de autentificacion.

    DE EXTRANET

    Origen y destino de la conexion, tipos de conexion, mecanismos de control de acceso.


    Veamos como seguir el rastro por internet.



    todo esto lo voy a empezar guiando para seguir el rastro a una empresa conectada a internet.

    En primer lugar tendremos que decidir si solo vamos a seguir el rastro de esa empresa o si vamos a seguirlo tambien de todas las qeu tenga conectadas como podrian ser las filiales.


    Lo primero sera ir a la pagina web de la empresa si la tiene para sacar la maxima informacion de la misma.

    buscaremos ubicaciones, compañias relacionadas, noticias de fusion o adquisicion, nombres de contacto y direcciones de correo, politicas de seguridad y privacidad que indiquen los tipos de mecanismos de seguridad instalados, enlaces a otros servidores web relacionados con la empresa, ver el codigo fuente de la pag para leer los comentarios puesto que a veces se da informacion critica en los comentarios.


    Tambien buscaremos en internet informacion sobre si esa empresa ha tenido ya ataques de seguridad puestos que podria revelar informacion muy util para el atacante.

    una vez tengamos cuentas de correo apuntadas buscaremos en usenet correos con el @dominioempresa. para ver que tipo de comentarios hacen, si estan en foros, preguntando dudas sobre sus aplicaciones y sistemas etc.
    Finalmente siempre podras utilizar las busquedas avanzadas de altavista o hotbot. aqui puedes encontrar los sitios que enlacen con la empresa objetivo para seguir recompilando informacion.
    Un fallo muy comun en empresas que estan fusionandose es dar conectividad entre ellas sin mirar la seguridad, en las pag de la empresa y las que linkean podemos encontrar este tipo de informacion ademas de muchas mas informacion relevante de la empresa.

    La manera de solventar esto es eliminando de las pag web de la empresa cualquier informacion sobre la misma en el ambito de la seguridad de la red y de la estructura de la misma, otra cosa a evitar es qeu los usuarios de la red que gestionamos hagan consultas en foros sobre programas o implementaciones que existan en la red.

    ENUMERACION DE LA RED.

    El primer paso a dar es identificar nombres de dominio y redes asociadas relacionadas con la empresa en particular. Asi constataremos la presencia de la empresa en internet.

    Para enumerar los dominios y empezar a averiguar cosas hacemos una busqueda whois en los servidores whois de la zona geografica en la que este ubicada la empresa.
    direccion ip europea http://ripe.net
    direccion ip asiatica http://whois.apnic.net
    direccion ip eeuu militar http://whois.nic.mil este lo han desabilitado jajajajaja si es que hace unos años que estudie.
    direccion gobiern.eeuu http://whois.nic.goveste tambien lo han quitao jodios militares y gobierno de eeuu jajajaja.
    sigue estando esta del gobierno americano mirad

    alfredo@linux:~> whois nic.gov
    % DOTGOV WHOIS Server ready
    Domain Name: nic.gov
    Status: Active

    Please be advised that this whois server only contains information pertaining to the .GOV domain. For information for other domains please use the whois server at RS.INTERNIC.NET.
    alfredo@linux:~>

    les han cambiado las direcciones solo eso pero vamos es lo que es.


    y mañana sigo que estoy cansao.
    Última edición por hail; 12-05-2006 a las 19:05
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Jun 2005
    Ubicación
    Sevilla
    Mensajes
    330
    Descargas
    0
    Uploads
    0
    Que wenaaaaaa, esto va de cabeza para la eZine...
    Más sabe el diablo por viejo que por diablo.
     

  4. #4  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    eso significa que te gusta o que no te gusta nada??? lo estoy haciendo lo mejor y mas claro que puedo un saludo y gracias de antemano
     

  5. #5  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    1 vez q hemos identificado una red entidad u organización, nos vamos a internic o a cualquier base de datos de este tipo, y hacemos 1 consulta whois, de este modo vemos los dominios asociados a la empresa y filiales, pero como bien sabemos no tienen porque estar activos todos, a veces se compran todos los nombres para proteger 1 marca con lo cual, habrá q seleccionar los activos, como bien sabemos internic limita los documentos encontrados asociados a 1 dominio a los 50 primeros, pero en http://www.websitez.com suele asociarse todos los documentos asociados al dominio.
    Parece haber cambiado la pag websitez pero aqui os dejo un nuevo linck jejeje como no .http://www.searchengines.net/websitez_se.htm
    realizamos una consulta whois en una consola de sistema poniendo el nombre de dominio de la victima, y nos dara los dns de la misma.

    AQUI OS PONGO UN EJEMPLO DE COMO DA INFORMACION ESTO.

    Whois JUANITOPEREZ.com

    Whois Server Version 2.0

    Domain names in the .com and .net domains can now be registered
    with many different competing registrars. Go to http://www.internic.net
    for detailed information.


    Domain Name: juanito perez.COM
    Registrar: LAGORDA INC.
    Whois Server: whois.opensrs.net
    Referral URL: http://domainhelp.lagorda.com
    Name Server: NS2.juanitoperez.COM
    Name Server: NS1.juanitoperez.COM
    Status: ACTIVE
    EPP Status: ok
    Updated Date: 02-Jun-2005
    Creation Date: 02-Jun-2005
    Expiration Date: 02-Jun-2006

    >>> Last update of whois database: Fri, 12 May 2006 07:01:41 EDT <<<

    NOTICE: The expiration date displayed in this record is the date the
    registrar's sponsorship of the domain name registration in the registry is
    currently set to expire. This date does not necessarily reflect the expiration
    date of the domain name registrant's agreement with the sponsoring
    registrar. Users may consult the sponsoring registrar's Whois database to
    view the registrar's reported date of expiration for this registration.

    TERMS OF USE: You are not authorized to access or query our Whois
    database through the use of electronic processes that are high-volume and
    automated except as reasonably necessary to register domain names or
    modify existing registrations; the Data in VeriSign Global Registry
    Services' ("VeriSign") Whois database is provided by VeriSign for
    information purposes only, and to assist persons in obtaining information
    about or related to a domain name registration record. VeriSign does not
    guarantee its accuracy. By submitting a Whois query, you agree to abide
    by the following terms of use: You agree that you may use this Data only
    for lawful purposes and that under no circumstances will you use this Data
    to: (1) allow, enable, or otherwise support the transmission of mass
    unsolicited, commercial advertising or solicitations via e-mail, telephone,
    or facsimile; or (2) enable high volume, automated, electronic processes
    that apply to VeriSign (or its computer systems). The compilation,
    repackaging, dissemination or other use of this Data is expressly
    prohibited without the prior written consent of VeriSign. You agree not to
    use electronic processes that are automated and high-volume to access or
    query the Whois database except as reasonably necessary to register
    domain names or modify existing registrations. VeriSign reserves the right
    to restrict your access to the Whois database in its sole discretion to ensure
    operational stability. VeriSign may restrict or terminate your access to the
    Whois database for failure to abide by these terms of use. VeriSign
    reserves the right to modify these terms at any time.

    The Registry database contains ONLY .COM, .NET, .EDU domains and
    Registrars.
    Registrant:
    juanito perez SL
    juanito perez SL
    Murcia, Murcia 30009
    ES

    Domain name: JUANITOPEREZ.COM

    Administrative Contact:
    JUANITO PEREZ [email protected]
    Technical Contact:

    Registration Service Provider:
    .


    Registrar of Record: LAGORDA, INC.
    Record last updated on 02-Jun-2005.
    Record expires on 02-Jun-2006.
    Record created on 02-Jun-2005.

    Domain servers in listed order:
    NS1.JUANITOPEREZ.COM 92.63.53.18
    NS2.JUANITOPEREZ.COM 92.63.53.25


    Domain status: ACTIVE

    The Data in the Tucows Registrar WHOIS database is provided to you by Tucows
    for information purposes only, and may be used to assist you in obtaining
    information about or related to a domain name's registration record.

    Tucows makes this information available "as is," and does not guarantee its
    accuracy.

    By submitting a WHOIS query, you agree that you will use this data only for
    lawful purposes and that, under no circumstances will you use this data to:
    a) allow, enable, or otherwise support the transmission by e-mail,
    telephone, or facsimile of mass, unsolicited, commercial advertising or
    solicitations to entities other than the data recipient's own existing
    customers; or (b) enable high volume, automated, electronic processes that
    send queries or data to the systems of any Registry Operator or
    ICANN-Accredited registrar, except as reasonably necessary to register
    domain names or modify existing registrations.

    The compilation, repackaging, dissemination or other use of this Data is
    expressly prohibited without the prior written consent of Tucows.

    Tucows reserves the right to terminate your access to the Tucows WHOIS
    database in its sole discretion, including without limitation, for excessive
    querying of the WHOIS database or for failure to otherwise abide by this
    policy.

    Tucows reserves the right to modify these terms at any time.

    By submitting this query, you agree to abide by these terms.

    NOTE: THE WHOIS DATABASE IS A CONTACT DATABASE ONLY. LACK OF A DOMAIN
    RECORD DOES NOT SIGNIFY DOMAIN AVAILABILITY.



    Basándonos en la consulta, el punto de partida + lógico, es nombre de la empresa.com, al hacer 1 consulta sobre el dominio, lo mas lógico es q, entre la información que nos da estén las ips de los dns del dominio.

    Este tipo de consulta nos proporciona mucha información sobre el dominio,
    Quien registro el dominio
    El nombre del dominio
    El administrador
    Cuando fue creado y actualizado el registro
    Los servidores de nombres (dns)

    Llegados a este punto, tendremos q empezar a analizar la información conseguida, en busca de datos necesarios para seguir acercándonos a nuestro objetivo.
    Los contactos administrativos son importantes, al igual q los números de tel. fax y direcciones de email,
    Con los primeros es posible identificar al responsable de la conexión del cortafuegos o al administrador, los telef y fax son útiles para la revisión de penetración telefónica, los mails nos proporcionan 1 vía de contacto, para intentar colar código, rastrear los mails y post de usuarios de ese dominio en busca de preguntas sobre soft y medidas implementadas para saltarlas, y para intentar engañar a 1 usuario de la red mediante ingeniería social.
    Apunta todo esto y empezaras con buen pie.
    El buscar todos los dominios relacionados también te puede llevar hasta pag web ilegales dentro del dominio subida por usuarios de la red sin permiso ni control del administrador .


    Llegados a este punto y con 1 mail anónimo puedes suplantar la identidad del administrador y engañar a 1 usuario de la red en cuestión que no se entere mucho y hacerle cambiar su contraseña diciéndole q son políticas implementadas por el proyecto de seguridad que sigue la empresa .
    Las fechas en las q se crea y actualiza el registro del dominio nos indican si la información recopilada es valida o puede haber cambiado.
    Si el documento fue creado hace 2 años y no se ha actualizado nunca es posible q ya no sea el mismo administrador o que la red debido a su crecimiento haya cambiado.

    Utilizando la instrucción server con el registro HST conseguido con 1 consulta whois podrás descubrir los otros dominios para los q esta autorizado 1 servidor dns

    Ejecuta 1 consulta whois en tu dominio con 1 whois destino.com
    Ejemplo whois emaredes.com
    Localiza el primer dns
    Haz una consulta a tu dns y ejecuta una consulta whois dirección ip del dns
    Ejemplo
    whois IP DESTINO



    Localiza el registro HST para el servidor dns

    Ejecuta consola whois con la instrucción server utilizando whois
    server NS9999-HST

    CONSULTA DE RED
    Ahora q ya tenemos 1 rango de redes suministrado por los anteriores servidores dns , comenzamos 1 consulta para ver las redes reales asociadas al dominio de la empresa .
    Para esta consulta volvemos a las bases de datos de arin, ya q internic solo contiene dominios.
    En
    http://www.arin.net/whois
    Aqui veremos cual es el proveedor isp q ha concedido las ips al dns de nuestra victima.

    CONSULTA POC

    Como el contacto administrativo puede serlo de varias empresas, realiza 1 consulta poc para intentar descubrir dominios q no encontraramos anteriormente .
    Podemos realizar también 1 consulta del tipo @dominio.net para sacar todas las cuentas de correo pertenecientes al dominio.
    Consulta el RFC 954-NIC-VALUE/WHOIS
    Si pones whois ? Te sacara toda la ayuda del mismo.
    Para obtener 1 lista completa de los miembros de 1 grupo u organización, o 1 lista de todos los usuarios autorizados de un host ponga delante del nomb. Del host u organización 1 asterisco ejemplo *SRI-NIC




    he de aclarar que toda esta documentacion y todo lo que voy aclarando no lo se por ciencia infusa, estoy siguiendo mis apuntes y mis libros de los masters y cursos que he realizado en seguridad informatica.

    Que no os extrañe que parte del texto sea muy parecido a algun libro que conozcais puesto que los profes se guian en ellos y los alumnos y to el que quiere aprender tambien ..
    Luego o mañana subo mas, un saludo y espero que os mole, esta parte primera se la dedico a un tio que me ha molao como funciona, parece un tio legal y tambien parece saber tela.
    Un saludo clarinetista va por ustedes.
    CONTRAMEDIDAS.
    SEGURIDAD EN BASES DE DATOS PUBLICAS.

    Cuando una empresa registra un dominio en internet, necesita contactos administrativos, bloques de red registrados e informacion del servidor de nombres autorizado.
    Muchas veces el contacto administrativo cambia y es capaz de cambiar la informacion relativa a la empresa que aparece en estas bases de datos publicas.
    Lo primero seria tener esa informacion bien actualizada y asegurarnos de que sea fiable.
    Con los numeros de telefono y fax lo que podemos hacer es utilizar numeros gratuitos o en su defecto sacarlos de la centralita de la red.
    Cree una cuenta de administrativo ficticia y asi conseguira que si alguien intenta hacer ingenieria social con alguno de sus usuarios nos ponga en alerta de posibles ataques.
    Es importante que el metodo de autentificacion para poder cambiar los datos de estas bases sea mediante contraseña y autentificacion PGP. Asi evitaremos que nos pase lo de a AOL.


    Se me olvidaba si alguien cree que eso se podria explicar mejor o que lo ampliaria asi o asao pos pos pos por favor pa eso esta pa que entre tos lo hagamos mas guapo a ver si hacemos algo que incluso nos sirva de verdadera guia a todos.
    la siguiente parte va desde la consulta de dns
    determinar los registros mx
    contramedidas.
    reconocimiento de la red y sus contramedidas y ya paso a la exploracion.
    Pido perdon a las empresas cuya informacion aparecia, no volvera a pasar, aunque esta informacion es publica y deberia de ocultarse para que esto no pasara.
    Última edición por hail; 17-10-2006 a las 18:43
     

  6. #6  
    Avanzado
    Fecha de ingreso
    Mar 2006
    Ubicación
    en internet
    Mensajes
    441
    Descargas
    6
    Uploads
    0
    Yo creo que eso significa que le gusta y mucho!
    Salu2
    Es la hora de ponerse a estudiar!

    Constancia y Perseverancia ante todo!
     

  7. #7  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    pos asias y que sea pa bien porque yo lo que quiero de veras es que to dios aprenda a tapar estas cosas no que las utilice pa joder sino pa ayudar, espero no estar equivocandome al hacer esto.
     

  8. #8  
    Avanzado
    Fecha de ingreso
    Jun 2005
    Ubicación
    Sevilla
    Mensajes
    330
    Descargas
    0
    Uploads
    0
    Me gusta y mucho como dice el amigo Kirtash, asi me gusta, gente implicada con la causa.
    Más sabe el diablo por viejo que por diablo.
     

  9. #9  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    lo siento pero no he dormio todavia porque me he tirao toa la noche de guardia y por eso no he subido ni escrito la parte que tocaba hoy. Mañana hago el doble lo prometo. Buenas tardes y es un placer R3D5KULL espero que cada vez te vaya gustando mas porque esto va a mas. jejejejeje

    La bibliografia utilizada es de:
    Stuart McClure

    Joel Scambray
    George Kurtz
    Fulgencio Gomez Bastida
    Javier Mosquera Vazquez
    Antonio Vaquero Sanchez
    Cris M. Prosise
    Martin W.Dolphin
    Richard Stevens

    y claro esta mis apuntes cogidos de mis profes.

    Despues de identificar todos los dominios asociados, empezaremos las consultas al dns.
    El dns es una base de datos distribuida, que trasnforma direcciones ip en nombres (nombres de host) y viceversa.
    Si el dns no ha sido muy bien configurado, uno de las posibles fallas que nos encontraremos, es que se permite la trasnferencia de zonas, a usuarios no autorizados desde internet.
    Las trasnferencias de zona, permiten al servidor secundario actualizar su base de datos de zona, esto es lo normal puesto que siempre se pone un dns secundario para tener redundancia a fallos, por posibles caidas puntuales del servidor dns principal.
    Lo que pasa aqui, es que si el no esta bien configurado transferira las zonas a cualquier usuario que sepa pedirselas, poniendo asi al descubierto el mapa interno de la red.
    Para realizar las transferencias de zona utilizaremos un cliente nslookup,
    ejemplo
    nslookup
    >> server (aqui pon el servidor dns de la victima)dale al intro y aparece

    Default server: (aqui te saldra la ip del dns de la victima)
    Address: (aqui te saldra la ip del dns de la victima)
    Una vez aqui ya estamos haciendo las consultas desde su dns.

    >> set type=any (aqui le decimos que nos muestre cualquier tipo de registro asociado con la consulta)
    >> ls -d (nombre de dominio victima). >>/tmp/zone_out (aqui le decimos que lo liste y redirigimos la salida al archivo /tmp/zone_out para poder manipularlo comodamente luego)

    despues de que se complete la transferencia de zona, podemos mirar el archivo generado, para ver si podemos encontrar informacion especifica de algun sistema.
    Podremos ver que en cada entrada tiene un registro A, que es una direccion ip,
    ademas veremos tambien que cada host, cuenta con un archivo HINFO, que nos identifica el sistema operativo que se esta utlizando. (RFC-952)
    Esta es la forma manual, existen en muchas herramientas que lo haran automaticamente, por ejemplo el mandato host.
    @linux:~> host --help
    host: illegal option -- -
    host: illegal option -- h
    host: illegal option -- e
    host: illegal option -- p
    Usage: host [-aCdlriTwv] [-c class] [-N ndots] [-t type] [-W time]
    [-R number] hostname [server]
    -a is equivalent to -v -t *
    -c specifies query class for non-IN data
    -C compares SOA records on authoritative nameservers
    -d is equivalent to -v
    -l lists all hosts in a domain, using AXFR
    -i IP6.INT reverse lookups
    -N changes the number of dots allowed before root lookup is done
    -r disables recursive processing
    -R specifies number of retries for UDP packets
    -t specifies the query type
    -T enables TCP/IP mode
    -v enables verbose output
    -w specifies to wait forever for a reply
    -W specifies how long to wait for a reply
    -4 use IPv4 query transport only
    -6 use IPv6 query transport only

    SamSpade, axfr, dig y en general muchas mas.

    DETERMINAR LOS REGISTROS MAIL EXCHANGE.
    Normalmente en las redes en las que existen servidores de correo, en el mismo servidor, es donde se suele instalar un firewall, o por lo menos pertenecen a la misma red, si la empresa tiene subredes internas implementadas.
    Con la informacion que nos de el mandato host, y contrastandolo con las busquedas anteriores, vamos a asegurarnos de que todos los datos encontrados son muy probablemente fiables.

    CONTRAMEDIDA: SEGURIDAD EN EL DNS

    Desde la perspectiva de configuracion de un host, debera restringir las transferencias de zona a usuarios autorizados.
    En BIND, en el archivo named.boot, podra utlilzar la directiva xfernets para imponer este tipo de restricciones.
    En windows para restringir las transferencias de zona de un dns de mocosoft, activando notify aplicara la restricciones.
    En la red puede activar un cortafuegos, o un router que filtre el puerto 53 tcp.
    Como las transferencias de zona son tcp, desbarataremos sus planes.
    Asi conseguiremos que el que intente transferirselas, se quede con las ganas puesto que las consultas son udp, y las transferencias tcp jejejeje.
    Ademas como ya sabemos, deberemos de configurar el dns, para que solo ofrezca nombres de maquinas, que esten conectadas a internet directamente.
    Los archivos HINFO mejor nop, no los useis son peligrositos, puesto que facilitan la deteccion mediante el empleo de programas, de sistemas potencialmente vulnerables.

    Y aunque os sepa a poco luego sigo con mas molla. Ala salud y
    "que la fuerza os acompañe".
    pd. me via fumar uno gordiiiiiiiiisssiiiiiiiiimmmmmmoooooo.
    Última edición por hail; 16-05-2006 a las 09:58
     

  10. #10  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    RECONOCIMIENTO DE LA RED.
    Ahora que ya tenemos identificadas redes de la empresa, empezamos a utliizar el traceroute o tracert en windows, para identificar las rutas de acceso potenciales.
    La herramienta de diagnostico traceroute, le indica la ruta que sigue un paquete ip desde un host al siguiente hasta llegar a su destino.
    utiliza un ttl para obtener un mensaje icmp time_exceeded de cada router, de esta forma el campo ttl se vuelve un contador de saltos.
    Esto nos permitira, descubrir la topologia de la red empleada por la red de la empresa,la red formada por el gateway, cortafuegos y sistemas conectados a internet o qeu hagan uso de las listas de acceso de un router, con los dispositivos de enrutamiento de su isp, ademas de identificar cortafuegos basados en aplicacion, o routers con filtracion de paquetes.
    Con el mandato host anteriormente hemos visto los registros mx comparandolos con los registros del traceroute veremos que seguramente como minimo concuerda uno, el cual va a ser un host activo de la empresa y el salto anterior a el, el router frontera de la empresa.
    Tambien podria ser un firewall o algun sistema de filtrado.
    Aunque aun no lo sabemos con seguridad generalmente esto suele ser asi.
    En un entorno mas complejo, puede haber multiples rutas, dispositivos de enrutamiento con multiples interfaces tipo teldat, cisco 7500 y cosas asi, y cada interface puede tener distintas listas de acceso, cosa que dificultara el trabajo del traceo puesto que no dejara pasar las peticiones, aunqeu en muchos casos si lo hara.
    Asi pues es importante asignar la red completa utilizando traceroute.
    Despues de indagar mucho los sistemas de la red empezaremos a poder tener una vision mas amplia del diagrama de red, del gateway de internet y los sistemas que estan utilizando las listas de control de accesos. Esto es comunmente llamado diagrama de ruta de acceso.

    y mañana sigo que no tengo mas ganas, y sino que lo siga alguien ala jajajajajaa saludoooooossssss es que llevo un dia largo caluroso y joio y me desganao, que le vamos a hacer me desganao

    Conviene explicar que lo mas normal es que las medidas de filtrado paren nuestros paquetes. Lo que hay que hacer es ver qué tipo de paquetes bloquea, si icmp o udp, de todas tambien esta la posibilidad de que permitan el paso de paquetes encaminados a su dns como consultas, puerto udp 53, puesto que muchas empresas permiten en sus dns consultas entrantes.
    Ejemplo :
    traceroute -S -p53 (ip victima), en este caso los paquetes habran pasado felizmente por entre los dispositivos de control de acceso.
    Al hacer este tipo de sondeo no se reciben paquetes normales de icmp no alcanzado, sino que no se recibira ningun paquete cuando alcance su destino final, con lo cual no veremos aparecer un host cuando llegue al final.
    Si preferis el modo grafico visualroute va mu bien, aunque hay muchos programas que hacen esto. Existen tecnicas adicionales que te permitiran determinar las ACL especificas para dispositivos de control de acceso dados.
    La tecnica Firewall protocol scanning es una de ellas y la trataremos mas adelante.
    Contramedidas
    Frustrar el reconocimiento de la red.

    Muchos programas IDS detecten estos tipos de sondas d reconocimiento de la red, como tdetect q registra mediante logs cualquier paquete udp icmp con ttl 1.

    También podemos generar respuesta falsa con RotoRouter q además registra las peticiones .
    En nuestros sitios web habría q emplear una seguridad q nos permitiera config los routers para limitar el trafico udp e icmp a ciertos sistemas .
    Estas herramientas y tecnicas eran las mas comunes hace unos cinco años pensad q como si digeramos esta es la manera mas pura de rastrear, y que todos los dias aparecen nuevas tecnicas y programas .
    Todas estas tareas se deberían automatizar con shells y scripts expect o programas perl.
    Habra por tanto q vigilar los accesos si se quiere llevar un control de seguridad.

    EXPLORACIÓN .

    Ya hemos merodeado en busca de información y ahora nos disponemos a empezar a buscar posibles vias de entrada.
    Hemos conseguido 1 lista de direcciones ip y de red utilizando las transferencias de zona y las consultas whois.
    Estas tecnicas nos han proporcionado nombres de empleados, num de telf, rangos ip, servidor dns y servidor de correo.
    Ahora veremos los sistemas que se encuentran activos y cuales son accesibles desde internet, mediante el uso de barridos ping, exploracion de puertos y programas de busqueda automatizadas.

    Última edición por hail; 19-05-2006 a las 09:42
     

  11. #11  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    estoy editando los post y cambiando cosillas que creo que asi se ven mas claras. Un saludo buenos dias. Ademas ire añadiendo a los post que empieze y no tengan un tamaño mas o menos como los anteriores.
     

  12. #12  
    Avanzado
    Fecha de ingreso
    Jun 2005
    Ubicación
    Sevilla
    Mensajes
    330
    Descargas
    0
    Uploads
    0
    Sigue posteando poco a poco, me estoy copiando tus post y arreglandolos, cuando termines, y por tanto yo los haya corregido todos, lo colgamos entero corregido. Contacta conmigo a traves de privado.
    Más sabe el diablo por viejo que por diablo.
     

  13. #13  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    Muchas veces nos encontraremos como deciamos, servidores de nombres que transfieren sus zonas e incluso una lista con direcciones ips. Dado que ciertos rangos de direcciones ip no son direccionables en internet, tendriamos muchos problemas para conseguir acceder a las mismas.
    Tendremos pues que seguir recompilando informacion en la fase de exploracion.
    Un paso basico en la exploracion son los barridos ping, le asignamos un rango de direcciones ip y bloques de red a una utlidad que nos lo hara mas sencillo que es fping.
    Fping fue diseñada para ser usada en una scripts de shell con gping.
    Con gping generamos una lista de direcciones ip que se introduce en fping para determinar que sistemas estan activos. Tambien podremos realizar esta tarea con nmap.
    Cuando encontremos el trafico icmp bloqueado en el router frontera de la empresa, lo mejor es que exploremos los puertos que las maquinas que estan conectadas que hemos visto anteriormente tienen a la espera.Para determinar si el sistema esta activo lo mejor es utilizar nmap y su opcion para hacer un ping tcp al puerto 80, puerto que los routers tendran abierto al igual qeu los sistemas activos, y tambien veremos si bloquea icmp. En general haremos lo mismo con los puertos mas comunmente usados como 25,110,143,23.....tambien y mediante hping conseguiremos pasar muchas reglas de filtrado y dispositivos de control de acceso dado que podremos fragmentar los paquetes, cosa a la cual la mayoria de controles de acceso dejaran pasar. Esto es debido a que no manejan correctamente estos paquetes fragmentados y entonces los dejan pasar.

    buenas no he posteado durante estos dias porque no me funcionaba el foro no se a vosotros pero yo no podia acceder mañana sigo con lo que ando.

    seguimos
    CONTRAMEDIDAS PARA BARRIDOS PING
    Como se ha visto los barridos ping en redes son una muy buena herramienta, para saber cuales de los equipos encontramos activos despues de indagar que servicios ofrecen y que puertas vamos a usar meidante la exploracion que hemos hecho.
    Los programas IDS basados en red, nos ofreceran una manera de deteccion de los mismos, como bien sabeis tambien se puede generar codigo para detectar este tipo de barridos.

    #ICMP/Ping flood detection

    ping_schema = library_schema:new( 1, [ "time", "ip", "ip", "ethmac",
    "ethmac" ],


    scope ( ) ) ;
    count = 0;
    maxtime = 10;
    maxcount =5;
    dest = 0;


    y etc que no voy a desarrollar del todo buscar y aprender a programar estas cosillas que es sencillo.
    Si detectamos ICMP ECHO desde un sistema o red determinados es posible que nos esten haciendo un reconocimiento de red desde nuestro sitio web. Por tanto convendria controlar estas cositas.Tendremos pues que evaluar el tipo de trafico ICMP que permiten nuestras redes, que yo sepa en la actualidad existen 18 tipos de ICMP, con lo cual a mirarlo to muy bien.
    Tendremos que presentar especial atencion a las necesidades de la empresa, segun que tipo de trafico ICMP necesite deberemos controlarlo pero no cortarlo , y cortar eso si el restro de trafico de este tipo a ser posible con un firewall de hardware. Una solucion puede ser permitir unicamente el paso de la red DMZ de paquetes ICM ECHO_REPLY, HOST UNRECHABLE Y TIME EXCEEDED. Ademas deberiamos de limitar como siempre las ACL para asegurar bien y si es posible el trafico ICMP para direcciones ip especificas de nuestro ISP. Esto dificultara los barridos a sistemas conectados directamente a internet .
    Aunque ICMP nos permite diagnosticar problemas de red, tambien si esta habilitado en nuestro gateway o router frontera, permitira que los atacantes pueda hacer una negacion de servicios a nuestra red, incluso si quieren podran ocultar paquetes en ICMP ECHO usando programas como loki, este programa se puede encontrar en la pagina de phrack.com.
    Otro concepto importante es pingd, fue desarrollado por Tom Ptacek y pasado a linux por Mike Schiffman, es un demonio de usuario que gestiona a nivel de host todo el trafico ICMP_ECHO e ICMP_ECHOREPLY, esto se consigue eliminando la compatibilidad del procesado ICMP_ECHO, desde el nucleo e implementaun demonio de usuario con un socket ICMP en bruto para manejar los paquetes. Esto proporcionara al administrador un sistema de control de acceso a nivel de sistema para ping.

    CONSULTAS ICMP

    Los barridos ping es una minima parte en lo que se refiere a la informacion que ICMP da.
    Con icmpquery o icmpush, puedes solicitar desde la hora del sistema y ver en que franjacion horaria esta, hasta la mascara de red de un dispositivo en concreto, con lo cual podriamos saber cuantas subredes o redes engloba la misma y evitar asi las direcciones de difusion

    CONTRAMEDIDAS PARA ICMP

    La contramedida a utilizar es evitar que los router frontera tales como los cisco de la empresa, acepten en su red paquetes TIMESTAMP y ADDRESS MASK utilizando las ACL para ello.

    ejemplo al canto.

    access-list 101 deny icmp any any 13 ! peticion de estampacion de hora

    access_list 101 deny icmp any any 17 ! peticion de mascara de direcciones

    esto en los routers cisco por ejemplo impediria estas peticiones y como bien dice clarinetista si no se aplica a la interfaz como si oyes caer agua, y se podria usar tambien la opcion established para hacer esto.

    EXPLORACION DE PUERTOS

    Teniendo la informacion necesaria ya podemos empezar a explorar los puertos UDP y TCP del sistema escogido para ver que servicios hay y cuales de los puertos estan LISTENING.
    De esta manera podremos identificar programas utilizados por esos puertos y al juntar toda la informacion conseguiremos identificar el sistema operativo.
    De esta manera tambien podremos intentar encontrar fallos en los programas a la escucha y en uso, e incluso malas configuraciones de los mismos que permitan a usuarios no autorizados entrar en el sistema.
    Asi conseguiremos ver cuales son las vias de entrada potenciales del sistema ;-)
    Los pasos a seguir en una exploracion de puertos son:
    Identificar los servicios UDP y TCP que se ejecutan.
    Identificar el sistema operativo.
    Identificar versiones y aplicaciones especificas de cada servicio.
    Un pionero en la exploracion de puertos fue FYODOR con Nmap.
    EXPLORACION DE CONEXIONES TCP.-
    Este tipo de exploracion conecta con el puerto y ejecuta el acuerdo de tres vias (SYN, SYN/ACK Y ACK).

    EXPLORACION TCP SYN.-
    En esta no se realiza una conexion tcp completa, por ello recibe el nombre de semiabierta.
    Se envia paquete SYN y si se recibe paquete SYN/ACK podemos decir que esta "listening".
    Si se recibe un RST/ACK el puerto no esta a la escucha.
    Enviaremos entonces un paquete RST/ACK para no realizar nunca una conexion completa.

    EXPLORACION TCP FIN.-
    Enviaremos un paquete FIN al puerto objetivo y segun el RFC 793, el sistema objetivo devolvera un RST para todos los puertos que esten cerrrados.
    Esta tecnica nos funcionara en sistemas like Unix.

    EXPLORACION ARBOL DE NAVIDAD TCP.-
    Esta tecnica se utiliza para enviar paquetes FIN, URG Y PUSH al puerto objetivo.
    El sistema objetivo devolvera un RST para todos los puertos cerrrados.

    EXPLORACION NULA TCP.-

    Esta apaga las flags y nos devuelve un RST para todos los puertos cerrados.

    EXPLORACION UDP.-

    Enviaremos un paquete UDP al puerto objetivo y si el mismo nos contesta con un ICMP no alcanzable significara que el puerto esta cerrado, si no hubiera respuesta tendriamos ahi un puerto udp abierto.
    Como este tipo de puertos tiene un protocolo sin conexion, dependera la fiabilidad de la misma del tipo de uso que se este dando a los recursos del sistema y de la red.
    Por otra parte se enlentecera muchisimo si existe algun tipo de filtrado de paquetes.
    Algunas instalaciones IP devuelven a todos los puertos escaneados un RST, con lo cual los resultados obtenidos podran variar considerablemente.

    Utilizar herramientas como Strobe, Udp_scan, Netcat en unix y linux,
    en windows tenemos PortPro, Portscan y netcat que no hace bien la exploracion UDP en sistemas NT.

    CONTRAMEDIDAS PARA LA EXPLORACION DE PUERTOS.
    Detectar una actividad de scaneo de puertos es importante para la seguridad puesto que nos proporcionara informacion del atacante y de sobre que puertos esta dirigiendo el mismo, podremos utilizar programas IDS basados en red para detectarlos, NFR o mecanismos basados en host nos podran ayudar en nuestra labor.

    Deberemos buscar cortafuegos que no solo tengan opciones especificas para detectar exploraciones SYN sino tambien las FIN puesto que muchos ignoran estas ultimas siendo un grave fallo de seguridad.
    En windows BlackIce nos ayudara a controlar los scaneos de puertos y los intentos de intrusion por los mismos, reportandonos informacion critica del atacante como pueda ser su ip y su nombre dns.
    En la medida de lo posible (puesto que el puerto 139 en windows da muchos servicios) intentaremos dejar unica y exclusivamente activos los servicios necesarios para nuestro trabajo diario, en resto de servicios deberiamos desactivarlos para evitar asi riesgos innecesarios.

    DETECCION DEL SISTEMA OPERATIVO.

    Hemos identificado los puertos y ahora el sistema operativo con su version.

    Rastreo de pilas .-

    El rastreo de pilas es una tecnica que nos ayudara a identificar cual es el sistema operativo instalado en la maquina.
    A la hora de escribir las pilas tcp/ip los fabricantes interpreta a su manera la normativa RFC, con lo cual si identificamos las diferencias podremos saber casi a ciencia cierta cual es el sistema operativo.
    Con programas como nmap podremos siempre que haya un puerto a la escucha acertar cual es el sistema, aun asi explicare cuales son los diferentes sondeos que podemos hacer:

    Sondeo FIN.-

    Se envia un paquete FIN a un puerto, el comportamiento correcto del sistema seria no responder pero sistemas como NT responderan con un FIN/ACK.

    Sondeo Bogus Flag.-

    Se introduce un flag TCP (bandera tcp) indefinida en la cabecera TCP del paquete SYN. Sistemas operativos como linux responden con esta misma bandera en su paquete.

    Valor ACK.-

    Las pilas IP no son iguales en el valor de la secuencia del campo ACK, por lo que algunos responderan con el mismo desarrollo que han recibido y otros con el numero de secuencia mas 1.

    Apagado del mensaje de error ICMP.-

    Los sistemas se ajustan al RFC 1812 quedando asi limitada la velocidad con la que se envian los mensajes de error, al enviar paquetes udp a un puerto con un num aleatorio alto, podremos contar los mensajes recibidos no contestados en un tiempo x.

    Muestreo de numero de secuencia inicial (ISN).-

    Cuando se responde a una solicitud de conexion intentaremos encontrar un patron en la secuencia inicial elegida por la implementacion TCP.

    Gestion de fragmentacion.-

    Cada pila trata de manera diferente la superposicion de fragmentos, algunas pilas escriben datos nuevos encima de los viejos y al reves, cuando recomponen los fragmentos, si miramos como se recomponen los paquetes de sondeo sacaremos mas infomacion sobre el sistema operativo en concreto.

    Tipo de servicio.-

    El TOS se puede analizar en los mensajes de respuesta tipo ICMP UNREACHABLE

    Citado de mensajes ICMP.-

    No todos los sistemas coinciden en la cantidad de informacion que dan cuando lanzan un mensaje de error ICMP, con los datos que da podremos sacar conclusiones de cual puede ser el sistema operativo.

    Supervision de bit no fragmentado.-

    Algunos sistemas para optimizar rendimientos activan el bit no fragmentado, con lo cual estando atentos a ese bit podemos saber si es de los que lo activan.

    Tamaño de ventana inicial TCP.-

    En los paquetes de respuesta el tamaño de la ventana inicial , que en algunas pilas es unico tambien nos ayudara en nuestra labor .

    Integridad de eco de mensaje de error ICMP.-

    Algun desarrollo de pila puede alterar la cabecera IP al devolver mensaje de error ICMP. Examinando la cabecera podremos intuir cual es el sistema operativo.

    Nmap utiliza estas tecnicas mediante la opcion -o


    CONTRAMEDIDAS DETECCION SISTEMA OPERATIVO.

    Al igual que nmap y queso pueden averiguar estos datos tambien puede detectar si se esta intentando en nuestro sistema y avisarnos, por ejemplo si se esta utilizando banderas SYN.
    En cuanto a intentar ocultar la informacion y que no dijera que sistema operativo es dando pistas de una manera u otra es casi imposible y afectaria si lo intentaramos al funcionamiento del sistema negativamente, puesto que cambiariamos las caracteristicas unicas del seguimiento de pila.

    Hasta ahora hemos visto todas las tecnicas necesarias para barridos ping (tcp, icmp) exploracion de puertos y identificacion de sistemas operativos.
    Mediante los barridos ping identificamos los sistemas que estan activos y los objetivos potenciales.
    Mediante la exploracion tcp udp identificamos los servicios que hay a la escucha.
    Y por ultimo hemos visto como identificar el sistema operativo del sistema objetivo.
    Con toda esta informacion critica ya podremos empezar a ver como se desencadena un ataque bien dirigido.

    ENUMERACION.-

    Existen varias formas de extraer nombres de recursos exportados y cuentas de usuario validas.
    La diferencia entre la recopilacion que haciamos con las tecnicas hasta ahora descritas y las tecnicas de enumeracion es que en las primeras no existe una conexion real al sistema y no quedan registrado nada, si lo haces medianamente bien, ahora bien, con la enumeracion nuestros pasos deberian de quedar registrados.
    En el momento en que un tio consiga averiguar un nombre de usuario de una cuenta valida del sistema o el nombre de un recurso compartido, solo sera cuestion de tiempo que consiga la clave de acceso, tambien solo sera cuestion de tiempo que identifique algun fallo en el protocolo de comparticion de recursos. Si cerrramos las vias de acceso le quitaremos una pata a la mesa del tio en cuestion.
    En la enumeracion el tipo de informacion que un hacker buscara seran, recursos de red y recursos compartidos, usuarios y grupos, aplicaciones y mensajes.
    Llegados a este punto y con la informacion que habiamos conseguido anteriormente, aplicaremos tecnicas especificas para cada sistema operativo utilizando esta informacion que tenemos.
    WINDOWS EN GENERAL.-
    Desgraciadamente windows nt, 2000 y 2003server, no se diseñaron para la privacidad, sino todo lo contrario, para dar a quien sepa buscarla toda la informacion necesaria.
    Con el comando net view podemos identificar los dominios disponibles en la red,enumerar las maquinas de un dominio etc.
    Casi todas las tecnicas usadas en la enumeracion van a sacar partido de un fallo de windows, permitir a usuarios anonimos conectar y enumerar determinados recursos sin tener permisos.
    Una conocida vulnerabiliad de windows es redbutton, conexion de sesion nula o inicio de sesion anonima.

    NET USE \\(ip de destino)\IPC$ " "/USER: " "

    La linea anterior conecta con la comparticion de las comunicaciones ocultas entre procesos (IPC$) en la ip de destino mendiante un usuario anonimo con una contraseña nula.Si esto funciona en ese momento tendra un canal abierto por el que extraer mucha informacion critica de nuestros sistemas.

    esto se puede corregir no del todo pero si un poco para que no de tanta informacion,
    ejecutamos regedt32
    buscamos HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA

    Seleccionamos edicion|agregar valor e introducimos los siguientes datos.
    Nombre de valor:RestrictAnonymous
    Tipo de dato: REG_DWORD
    Valor:1
    Salimos del editor y reiniciamos para que lo cargue y listo.
    Incluso en sistemas como windows 2003 server este valor esta a 0, existe la clave pero el valor no es correcto, tendremos que ponerlo en valor 1.
    Aun asi programas como sid2user se saltan estos filtrados.

    Una vez que tenemos abierta una sesion nula, volvemos a utilizar net view para ver los recursos compartidos en la maquina.
    Con herramientas como DumpACL enumeraremos cuentas compartidas y muchas mas cositas claro.
    Esta herramienta audita desde los permisos en el sistema de archivos hasta los servicios disponibles en sistemas remotos.
    Tambien utilizaremos scaner de NETBIOS como legion para scanear recursos compartidos en redes enteras.
    Apartir de aqui podriamos usar programas de fuerza bruta para intentar conectar con un recurso compartido.


    CONTRAMEDIDAS.-

    La manera mas sencilla de evitar que se filtre toda esta informacion es filtrando todos los puertos tcp y udp desde el 135 al 139 en los dispositivos de acceso de red perimetrales.
    Tambien vendria bien desactivar los enlaces NetBios de la interfaz en la ficha enlaces pertenecientes a la aplicacion de red del panel de cotrol de red.
    Por ultimo y como deciamos antes resolveremos el problema de las vulnerabilidades de sesiones nulas.

    GRUPOS Y USUARIOS.

    Al igual que para enumerar los recursos compartidos, para enumerar usuarios y grupos iniciaremos una conexion nula, para ejecutar las herramientas necesarias.
    Mediante nbtstat -A (direccion ip del sistema) (ver help nbtstat) enumeraremos los usuarios y grupos a los que pertenece la maquina y los que tiene conectados.
    La mejor herramienta para enumerar grupos, usuarios, politicas y permisos de usuarios es DumpACL

    c:\>>dumpacl /computer=\\(ip de destino) /rpt=useronly /saveas=tsv /outfile=c: \temp \users.txt

    con esta linea de comando desde la consola de sistema hacemos que DumpACL nos muestre informacion relativa a los usuarios de un sistema remoto, exportandolo a un txt.
    Los sistemas NT en su instalacion emiten un numero de logitud variable SID de seguridad. Una vez identificado un SID de un dominio, para ello utililzaremos programas como user2sid, se podran utilizar para enumerar los nombres de usuario.

    c:\>>user2sid \\(ip destino) "domain users"

    S-1-7-23-8915389-1645823063-1918254000-513


    Number of sbauthorities is 7
    Domain is WINDOWSNT
    Length of SID in memory is 28 bytes
    Type of SID is SidTypeGroup

    Aqui vemos en la respuesta el SID de la maquina, cuya cadena de caracteres comienza con el identificador S-1, la cadena numerica que sigue al ultimo quion es la cadena de indentificador relativo RID y es la predefinida para los grupos de usuarios predefinidos de windows tales como los grupos de invitados, administradores,etc. Asi el RID del administrador es 500, el de un usuario invitado 501 etc. Asi pues podremos añadir a una cadena SID conocida un RID 500 para encontrar el nombre de la cuenta de administrador, por si este ha cambiado de nombre.

    c:\>>sid2user \\(ip destino) 7 23 8915389 1645823063 1918254000 500

    Name is Ares
    Domain is WINDOWSNT
    Type of SID is SidTypeUser

    Asi pues y sabiendo que a cualquier cuenta creada en un dominio NT se le asigna un RID 1000 y el siguiente objeto creado posteriormente recibe el siguiente RID libre, podremos enumerar todos los grupos y usuarios alojados en el sistema.
    Ademas estos programas se saltaran RestrictAnonymous, pudiendo enumerar puesto que estos RID no se repiten, todos los grupos no solo que hay sino que habian antes tambien, claro esta siempre y cuando pueda acceder al puerto 139.
    En el agente snmp se podria acceder utilizando cadenas como public, con snmputil podremos enumerar los usuarios.

    c:\\snmputil walk (ip de destino) public .1.3.6.1.4.1.73.2.1.25

    el "25" que es el ultimo parametro de la sintaxis anterior es el identificador de objeto (OID) el cual especifica una rama determinada de la base de datos de informacion de administracion o (MIB) de microsoft, esto es un espacio gerarquico en el que cuanto mas se asciende en el arbol, se obtienen mayores cantidades de informacion.
    Lo normal es usar cadenas de texto equivalentes puesto que recordar estas ristras de numeros es un lio,

    .server.svSvcTable.svSvcEntry.svSvcName........... ....................(servicios en ejecucion)
    .server.svShareTable.svShareEntry.svSharePath..... .........................(ruta de acceso compartidas)

    y unas cuantas bastantes mas que no voy a enumerar, si quereis ampliar esto buscarlo en internet que lo encontrais rapido.

    De todas siempre podras utilizar herramientas tales como el IP Network Browser que es en definitiva un explorador SNMP.


    CONTRAMEDIDAS SNMP.-

    Lo suyo seria si podemos detener el agente SNMP, si no podemos siempre podemos hacer lo siguiente:

    evitar que "public" este habilitado ya que no es un nombre de comunidad privado,

    utilizar nombres de comunidad privados he impedir que otros nombres puedan mostrar informacion relevante, tales como public.

    cambiar ciertas claves del registro podria ser muy beneficioso si es el caso que no podamos detener el agente SNMP.

    Para ello ejecutaremos regedt32

    en la clave HKLM\System\CurrentControl-Set\Services\SNMPParameters\ValidCommunities elegir Security|Permissions y luego definalos para permitir solo el acceso a usuarios autorizados.

    despues abrimos HKLM\System\CurrentControlSet\Services\SNMP\Parame ters\ExtensionAgents borraremos el valor que contiene la cadena LANManagerMIB2Agent y renombraremos numericamente el resto de cadenas de manera que si esta era la numero uno la siguiente a el pasaria a ser ahora la uno y sucesivamente.

    Si estamos usando SNMP para gestionar la red tendremos que asegurarnos de bloquear los puertos udp y tcp numero 161 y 162 a todos los dispositivos de acceso a red perimetrales.

    deberiamos tambien prestar atencion especial a los puertos 135 y 139 .

    TELNET.-

    Es un mecanismo mediante el cual podemos obtener informacion sobre aplicaciones y enumerar mensaje

    telnet www.(dominio.com)80
    HTTP/1.0 400 Bad Request
    Server: Netscape-comrce/1.12

    Your browser sent a non-HTTP compliant message

    Esto funciona en las aplicaciones normales que responden al puerto, tales como http puerto 80, smtp puerto 25, ftp puerto 21, etc.....
    Asi conseguiremos gran cantidad de informacion de los servidores windows.

    Utilizando netcat podremos conectar con un puerto TCP/IP remoto.

    c:\>>nec -v www.(dominio.com) 80
    www.(dominio.com) [ip del dominio] 80 (?) open

    La respuesta a la instruccion anterior seria

    HTTP/1.1 400 Bad Request
    Server: Microsoft-IIS/4.0
    Date: Mond, 06 Apr 2006 10:45:00 GMT
    Content-Type: text/html
    Content-Length: 87

    <html><head><title>Error</tilte></head><body>El parametro es incorrecto. </body>
    </html>

    Conseguiriamos con esto como se ve claramente saber cual es el fabricante y la version del servidor web, ahora aplicando las tecnicas necesarias para la plataforma implementada, se aprovecharan las rutinas hasta tener la respuesta que esperarmos.con DumpACL podremos como todos bien sabemos, puesto que todos los programas dejan su huella en el registro, extraer el contenido del registro de windows de la maquina atacada, para buscar las aplicaciones que hay instaladas.
    Con DumpACL conseguiremos enumerar todos los servicios de Win32 y el controlador del nucleo del sistema.

    Ademas en la medida de lo posible, intentaremos introducir punteros a puertas traseras.

    CONTRAMEDIDAS.-

    Las aplicaciones criticas deberiamos de restringir la forma en la que dan informacion, buscando pues la manera de conseguir que no la den.

    Ya que disponemos de netcat y tenemos tambien scan de puertos no estaria mal hacerles una auditoria a los sistemas, asi veremos la misma informacion que vea el atacante y nos sera mas facil ir restringiendola.
    Nos aseguraremos tambien de que el registro no es accesible en forma remota, analizaremos pues la clave del registro

    HKLM\SYSTEM\CurrentControlSet\SecurePiperServers\w inreg

    y todas las subclaves asociadas a la misma.

    Esta clave denota qeu el resgistro de windows esta restringido en forma remota para los administradores.



    luego sigo que tengo lio pero hoy posteo mas seguro. Un saludo esto se va liando que es lo que a mi me gusta jejejeje.
    Última edición por hail; 29-09-2006 a las 11:25
     

  14. #14  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    buenos dias ya estoy de vuelta, pero estoy mu cansadito y mañana seguiremos con el manual de marras que va mu bien, jajajaja muuuuuu bien, he de deciros que no lo explico todo, espero que seais avispados y os deis cuenta de la cantidad de cosas que se pueden hacer con estas tecnicas, no solo el camino que estoy tomando, indagar y vereis que se pueden hacer mas cosas de las que digo, pero es que como pa fiarse que lo meten en la carcel a uno como se descuide.
     

  15. #15  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    bien por fin esta esto otra vez funcionando pues nada no tardo en subir moya
     

  16. #16  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    lo siento estoy muy liado espero terminar para la semana que viene y poder seguir posteando. Lo siento mucho pero no penseis que desisto, en tas que tenga tiempo sigo, pero no puedo por ahora que tengo mucho curro. Un saludo y disculpame R3D5KULL enseguida seguiremos con el lio. Asias y hasta pronto

    ya toy aqui de nuevo encantado de estar con vosotros como siempre.
    Prosigamos
    Última edición por hail; 14-09-2006 a las 10:53
     

  17. #17  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    esto sigue amigos si mirais encontrareis que he editado el post del 21/05/06 y he metido mas cositas, luego seguire metiendo que llevo retraso, un saludo. :-)
     

  18. #18  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Hummm, eso de la contramedida icmp... supongo que se trata de c

    No sabía que pudiera ser tan simple, gracias por la info

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
     

  19. #19  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    pa ezo estamos compy todos aprendemos de todos, y os lo agradezco
     

  20. #20  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    ejemplo al canto pa que no digas que no

    access-list 101 deny icmp any any 13 ! peticion de estampacion de hora

    access_list 101 deny icmp any any 17 ! peticion de mascara de direcciones

    esto en los routers cisco por ejemplo impediria estas peticiones.
     

Temas similares

  1. Visualización de un ataque a un sistema VoIP
    Por 4v7n42 en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 14-03-2011, 22:13
  2. Como realizar un ataque a los archivos de contraseña
    Por chico1988 en el foro INTRUSION
    Respuestas: 2
    Último mensaje: 03-07-2007, 21:57
  3. Respuestas: 3
    Último mensaje: 10-05-2006, 19:33
  4. "Ataque" dirigido a un punto en concreto
    Por 1kva en el foro GENERAL
    Respuestas: 5
    Último mensaje: 29-01-2004, 19:50
  5. Ataque DoS sobre el sistema operativo Linux (26/05/2003)
    Por {^JaB3^} en el foro VULNERABILIDADES
    Respuestas: 0
    Último mensaje: 27-05-2003, 12:20

Marcadores

Marcadores