Una de ellas fue el evento que cada año lidera incansablemente Diego A Salazar: Securinf; en este evento participé con dos conferencias: Análisis de Malware sobre windows y un WorkShop de BackTrack.

El objetivo de este post es publicar los video tutoriales que presenté ese día. Aunque son muy cortos y básicos pueden servir para quienes recién inician en este campo de la seguridad mediante el uso de la distribución BackTrack. También debe tenerse en cuenta que estos los realicé exclusivamente para un workshop, por lo tanto no tienen audio, pues están pensados en ir mostrando la herramienta e ir explicando su funcionamiento y configuración en vivo. Haré una recopilación de lo publicado hasta el momento sobre los laboratorios de BackTrack y luego los enlaces de descarga con una pequeña descripción de los videos presentados en la conferencia.

Video Tutorial BackTrack, Introducción y Conceptos Básicos

Video Tutorial BackTrack: Booteo, Interfaz Gráfica y Directorios

Video Tutorial: Instalación de BackTrack 4 (Pre-Final)

Video Tutorial: Configuración Básica de Red en BackTrack 4 (Pre-Final)

Video Tutorial: Instalación de VMWare WorkStation en BackTrack 4 (Pre-Final)

——————————————————————————————————————————————————————————–

Videos del WorkShop de Backtrack:

01- Booteo BackTrack (Creación y configuración de una máquina virtual en VirtualBox – Booteo inicial de BackTrack)

02 – Ejecución inicial de BackTrack (Inicio del servicio de red, Inicio del servidor X, Cambio de contraseña, Rápido recorrido por el menú K)

03 – Recorrido por los directorios de herramientas contenidas en BackTrack -Web, Wireless, Passwords, Cisco, etc. Ejecución de servicios disponibles en BackTrack – HTTP, VNC, TFPT, etc.

04 – Escaneo e identificación  de puertos y servicios con Nmap en BackTrack.

05 – Escaneo automatizado de nuestra red con la herramienta AutoScan en BackTrack.

06 – Information Gathering/Footprinting con Maltego en BackTrack.

07 – Introducción al análisis básico de ejecutables con OllyDbg en BackTrack.

08 – Identificación de cifrados utilizados en la web con BackTrack.

09 – Escaneo e identificación de directorios y archivos sensibles en servidores web con DirBuster en BackTrack.

10 – Identificación del servidor Web con netcat y httprint.

11 – Escaneo e identificación de directorios y archivos sensibles en servidores Web con Nikto (BackTrack) y Wikto (Windows).

12 – Spidering con Wget en BackTrack.

13 – Xhydra y John The Ripper en BackTrack.

El laboratorio pretende ofrecer a los interesados en la materia un taller personalizado sobre seguridad informática. Dejando de lado el típico wargame donde cada uno va por su lado, excluyendo a los principiantes con deseos de aprender.

El tema para este primer HackTaller será una nivelación de conocimientos mediante un Test de Intrusión de un Aplicativo Web. No se requiere un nivel de conocimientos avanzados en temas de seguridad, más si en informática en general, nociones básicas de seguridad, programación, linux y principalmente muchos deseos de aprender y compartir conocimiento.

En el HackTaller se llevará a cabo un test de intrusión desde cero a un sistema virtualizado, haciendo el paso a paso de cada una de las diferentes fases necesarias para este proceso:

• Identificación de banners
• Enumeración del objetivo
• Escaneo
• Ataques de fuerza bruta
• Escaneo de vulnerabilidades
• Análisis de código fuente
• Injecciones de código y archivos
• Explotación de vulnerabilidades
• etc

Se recomienda además leer los laboratorios que se han publicado en la página, donde se dan algunas definiciones importantes y necesarias para el HackTaller, y donde se hace uso de algunas herramientas imprescindibles para este tipo de prácticas.

• BackTrack
• NetCat
• Nmap – Nmapfe
• Hydra
• etc

El lugar donde se realizará el HackTaller será en la sede oficial de los Laboratorios de la Comunidad DragonJAR, Netmania Media Group.

Hora: 2 pm
Valor: 1.000 pesos la hora por el servicio de computadores disponibles (este precio es el acordado por el administrador del local comercial), el HackTaller se llevará en un mínimo de 5 horas.
Materiales: Deseos de aprender y compartir

Notas aclaratorias: El local comercial ofrece servicios de internet a usuarios regulares, por ello se estableció cobrar las horas en que haremos uso de las máquinas. En ningún momento, yo (4v4t4r), o la Comunidad DragonJAR busca algún tipo de lucro económico con este HackTaller.

Las máquinas, con los sistemas virtualizados, la documentación y las memorias del HackTaller, quedan abiertas y disponibles al público en general para que realicen el laboratorio en los horarios de servicio del local comercial (Lunes a Sabado de 9 am a 10 pm).

IMPORTANTE:
Es necesario realizar previa inscripción al HackTaller enviando un correo electrónico a 4v4t4r@gmail.com (nombre o nick, e-mail de contacto)

Los cupos son bastante limitados así que para este primer HackTaller se tendrá preferencia para usuarios activos de la Comunidad. Además dependiendo de la cantidad de pre-inscritos se considerará hacer dos sesiones, una por la mañana con un grupo de usuarios y una por la tarde con otro grupo.

Ubicación:

Para el ejemplo utilizaremos el sistema www.dragonjar.org

Algunos resultados interesantes son los siguientes (cabe recordar que el objetivo de la enumeración, es recolectar información que pueda ser de utilidad, así que, por más mínima que ésta sea, puede ser de utilidad:

El sistema www.dragonjar.org está encaminado bajo la IP 208.113.204.167 (rango 208.113.128.0 – 208.113.223.255)
Registrado a travéz de Wild West Domains Inc.
Usa los siguientes DNS
Name Server: NS1.DREAMHOST.COM
Name Server: NS2.DREAMHOST.COM
Name Server: NS3.DREAMHOST.COM
A nombre de Arnoldo Viafara Valencia XD
Además de su correo electrónico.

__________________________________________________________

Práctica 21 – Identificación del Sistema Operativo
Herramienta: Netcraft
Prerequisitos: Ninguno
Contramedidas: Según el experto ninguna (talvez funcione la alteración de banner)
Procedimiento: Ingresar a la página Netcraft, y desde ahí dirigir la consulta al sistema (hostname o IP).

Para el ejemplo, utilizaremos de nuevo el sistema www.dragonjar.org

La información obtenida es la siguiente:

Sistema Operativo: Linux
Servicios Web: Apache/2.0.54(Unix), PHP /4.4.7 , mod_ssl/2.0.54, OpenSSL/0.9.7e mod_fastcgi/2.4.2 DAV/2 SVN/1.4.2
IP asociada al sistema 208.113.204.167
Bloque de red
Además de la última fecha de modificación

Veamos otro ejemplo a otro sistema objetivo

En este caso, el Sistema Operativo que gestiona esta máquina es FreeBSD, bajo el servidor Web Apache.

__________________________________________________________

Práctica 22 – Identificación del Sistema Operativo / Servicios
Herramienta: RemOS
Prerequisitos: Ninguno
Contramedidas: Alteración de Banner
Descripción: La herramienta RemOS es utilizada para recolectar información correspondiente al Sistema Operativo de la máquina objetivo y los servicios gestionados en el mismo.
Procedimiento: Descargar la herramienta RemOS, disponible solo para windows, ejecutar mediante la siguiente sintaxis.

scan <hostname o IP objetivo>

Descargar el archivo comprimido

Descomprimir y ejecutar el archivo RemOS.exe

Dirigir la consulta a la máquina objetivo. Para este caso el sistema www.dragonjar.org

Visualización de resultados

Consulta a otro sistema

Rápidamente obtenemos los resultados esperados, tanto de servicios como de S.O.

__________________________________________________________

Práctica 23 – Recursos compartidos por defecto (predeterminados)
Prerequisitos: Ninguno
Contramedidas: Firewalls, Restricción de conexiones anónimas, edición de registro del sistema.
Descripción: Los recursos compartidos de los sistemas windows, pueden ser utilizados por los atacantes para realizar ataques específicos (como hemos visto en los laboratorios anteriores), principalmente los ataques de fuerza bruta. Por defecto los recursos por defecto pueden ser los dispositivos C$, D$, etc. bajo el perfil ADMIN$.

El objetivo de este laboratorio es aprender a deshabilitar (desactivar) estos recursos predeterminados. (contramedidas)

Nota: La desactivación de los recursos compartidos predeterminados puede generar errores de conectividad para efectos de administración. Es decir si eres el admin de una red y desactivas estos recursos en alguno de tus equipos gestionados tal vez puedas perder operatividad en los mismo. Como este es un laboratorio controlado puedes prácticar alguna de tus máquinas virtuales con Windows. Veamos.

Procedimiento: Primeo veamos como se vería un equipo con estos u otros recursos activados. Para este caso clic derecho sobre la unidad , luego clic en “compartir y seguridad”.

Ahora vamos al panel de control, herramientas administrativas.

Luego Administración de equipos.

Vemos ahora el panel de administración de equipos, vamos ahora a Recursos compartidos. Vemos en esta consulta que aparece ADMIN$, para efectos de administración remota, ademas de C$ (recurso predeterminado) .

Ya identificados los recursos predeterminados vamos a aprender a deshabilitarlos (contramedidas).
Para este efecto ejecutaremos el editor de registro que viene incorporado en Windows. Veamos.

Clic en inicio luego, ejecutar (combinación de las teclas Ctrl+R).

Escribimos regedit (herramienta para la edición del registro del sistema)

Esta es la interface del editor de registro de Windows.

Nos ubicamos en la llave HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/
lanmanserver/parameters

Clic derecho, nuevo, valor DWORD, y escibimos AutoShareServer.

Asignamos el valor de 0 (cero).

Hacemos lo mismo para otra nueva llave DWORD, con el nombre AutoShareWks, al igual que la anterior le asignamos el valor de 0 (cero).

Reiniciamos la máquina, y vamos de nuevo a las herramientas administrativas. Recursos compartidos. Veamos los resultados.

Como vemos, hemos deshabilitado satisfactoriamente los recursos predeterminados de la máquina ADMIN$ y C$.

Para otro laboratorio aprenderemos como deshabilitar las sesiones nulas IPC$.

__________________________________________________________

Práctica 24 – Enumeración de objetivo /host
Herramienta: WinFingerprint
Prerequisitos: Sesión nula, acceso a UDP -137, IPX, o NetBEUI.
Contramedidas: La herramienta WinFingerprint es usada para enumerar la información de la máquina objetivo. Esta información incluye puertos abiertos, servicios, recursos compartidos, políticas de contraseñas, etc.
Procedimiento: Después de descargar e instalar la herramienta ingresamos la IP o Hostname de la máquina objetivo, además de la elección de las opciones disponibles. Veamos.

Instalación de la herramienta (secuencia de capturas de pantalla)

Después de instalar ejecutamos el acceso directo creado.
Nos encontramos con la siguiente pantalla.

Ingresamos entonces nuestra máquina objetivo.

Seleccionamos las opciones que deseamos consultar. Para el ejemplo utilicé primero un scan de servicios.

Luego un scan de usuarios. Les recuerdo que cada investigador debe profundizar en cada una de las opciones.

Recuerdo además que todo este largo proceso de enumeración se hace necesario para recolectar información sensible de la/las maquinas o sistemas objetivos.

Termina de esta manera la sesión del laboratorio “Enumeración del objetivo”, hagamos un recuento de lo aprendido.

- Definición del concepto Enumeración del objetivo (Target enumeration).
- Sesiones nulas.
- Enumeración de MAC Address – GetMac.
- Enumeración SID /ID – user2sid / sid2user.
- Enumeración de información de usuarios – userdump.
- Enumeración de información de usuarios – userinfo.
- Enumeración de información de usuarios – dumpsec.
- Enumeración host/dominios – comandos net.
- Conectividad de router – Ping – PathPing.
- Enumeración del Sistema Operativo – Nmap – Nmapfe.
- Enumeración IP / Hostname – Nslookup.
- Localización geográfica del objetivo – Visual Route.
- Identificación de registros – Sam Spade.
- Enumeración del Sistema Operativo – Netcraft.
- Enumeración del Sistema Operativo / servicios – RemOS.
- Desactivación de recursos predeterminados (contramedidas).
- Enumeración de host – WinFingerprint.

Taller individual:
Estos laboratorios no pretenden cubrir la totalidad de herramientas y métodos disponibles para la enumeración de objetivos, solo trata de abarcar las más eficaces para estos propositos. Invito a los investigadores consultar otras herramientas y métodos para el proposito de la enumeración de objetivos (Target Enumeration).

Próxima sesión:
Escaneo (Scanning)

Práctica 17 – Identificación del Sistema Operativo
Herramienta: NMAP /nmapFE- Descargar NMAP Windows – Descargar NMAP Linux
Prerequisitos: Ninguno
Contramedidas: Alteración de banners, Firewalls, Sistemas de detección de intrusos (IDS).
Descripción: La aplicación Nmap puede ser utilizada para identificar el posible S.O de la máquina objetivo. Un atacante puede utilizar esta información para llevar a cabo ataques más elaborados. A diferencia de la herramienta Xprobe2 analizada en la sesión de identificación de banners, nmap permite otra cantidad de opciones de encubrimiento de IP de la máquina atacante, que no son posibles realizar desde Xprobe2.
Procedimiento: Desde la shell de Linux (BackTrack) ejecutar la siguiente sintaxis:

nmap <opciones> (Dirección IP)

Para la práctica utilizaremos las siguientes opciones para identificar el Sistema Operativo de la máquina objetivo (192.168.146.131):

nmap -sS -p 139 -O -D 24.213.28.234 192.168.146.131

La opción -sS, dá la instrucción a nmap que utilize TCP sincronizado (SYN) encubierto o sigiloso, enviando un paquete SYN, sin luego enviar el paquete ACK, evitando de esta manera el establecimiento de conexión y por ende el registro en los logs.
La opción -p 139 ordena a nmap dirigir su actividad (escaneo) al puerto 139.
La opción -O ordena a nmap usar TCP/IP fingerprinting para identificar el S.O de la máquina objetivo.
La opción -D 24.213.28.234 ordena a nmap usar esta IP como metodo encubierto, es decir, que los sistemas de detección de intrusos o los mismos logs que puedan generar los intentos de identificación del S.O lanzado por nmap quedarán registrados con esta IP como dirección de inicio del “ataque”. Esta es una de las opciones más interesantes de nmap, pues permite a un atacante encubrir su verdadera identidad. Para hacer el trabajo más complicado para el administrador del sistema, el atacante puede utilizar varias IP falsas separadas por una coma (24.24.24.24, 24.24.24.25, 24.24.24.26, etc.)

El resultado de esta consulta nos arroja que el sistema operativo que gestiona la máquina objetivo es Microsoft Windows XP|2003|2000, con una alta probabilidad de que sea Microsoft Windows XP SP2, seguido de Windows 2003 Server, que en este caso es el S.O correcto.

Veamos a continuación una demostración del potencial de la herramienta nmap. Para la demostración utilizaremos un sniffer en la máquina objetivo, para determinar en este caso desde donde viene la consulta y a que puerto en especifico.

Claramente observamos que el origen de la consulta se hace desde la IP que utilizamos para encubrir nuestra verdadera identidad, además vemos el puerto en especifico al cual dirigimos la consulta.

Pasemos ahora a la utilización de la utilidad interactiva entre nmap y el usuario (Front-end) para linux, nmapfe.
Desde la shell de BackTrack ejecutamos el siguiente comando para ejecutar la herramienta:

nmapfe

Escribimos la dirección IP de la máquina objetivo, para este caso 192.168.146.131.

Cambiamos la opción de puertos a escanear que aparece por defecto a Range Given Below, y allí ingresamos el puerto 139.

Verificamos que la detección de Sistema Operativo este seleccionada.

Luego vamos a la pestaña de opciones y allí seleccionamos la opción Decoy (la cual nos permite encubrir nuestra IP real), y entramos una IP falsa. Para este caso 24.213.28.234.

Por último clic en Scan y esperamos los resultados.

Los resultados obtenidos son idénticos a los que arrojó el nmap sin utilizar el Front-end, Microsoft Windows.

Hagamos de nuevo la prueba del sniffer.

Perfectamente encubierta la dirección IP origen. (Cabe recordar que pueden ser utilizadas múltiples IP para encubrir, estas deben estar separadas por “,”. ej. 25.25.25.25, 25.25.25.26, 25.25.25.27, etc.

Hagamos uso ahora de la herramienta Nmap desde un entorno Windows.

Al igual que el uso desde la distribución BackTrack, la herramienta nmap puede ser utilizada con los mismo comandos.

nmap <opciones> (Dirección IP)

Pero para este laboratorio utilizaremos el Front-end disponible para Windows.

Después de descargar la herramienta procedemos a su instalación. (haré una simple secuencia de capturas sin muchos comentarios, pues es muy sencilla la instalación de la misma).

Ubicación del instalador.

Acuerdo de licencia. (GNU-GPL)

Componentes a instalar. (Dejamos la selección por defecto)

Ruta de instalación.

Instalación adicional del winpcap.

Creación de accesos directos.

Terminada la instalación procedemos a su ejecución y puesta en marcha.

Interfaz principal de la herramienta nmap.

Es esta pantalla la que nos ofrece todas las posibilidades de nmap.
La nueva versión de nmap nos permite dirigir escaneos pre-establecidos, es decir, simplemente seleccionando la opción perfil, obtendremos los comandos necesarios para dirigir un “ataque”. Para el caso seleccionaremos Quick Operating System detection, pero mejoraremos la línea de comandos pre-establecida, agregando la opción señuelo -D con la IP 69.69.69.69. Veamos:

Rápidamente nos arroja los resultados obtenidos, tanto puertos y servicios abiertos, MAC Address y el objetivo: Sistema Operativo, para este caso Windows 2003 Server.

Así mismo como en las prácticas anteriores hacemos la prueba de efectividad de encubierto de nmap. Activemos el sniffer.

Vemos que la IP de origen efectivamente es la que asignamos como señuelo (69.69.69.69)

__________________________________________________________

Práctica 18 – Enumeración IP/Hostname
Herramienta: Nslookup
Prerequisitos: Ninguno
Contramedidas: Firewalls, Sistemas de Detección de Intrusos (IDS).
Descripción: La herramienta nslookup permite realizar consultas al sistema de nombres de dominio (DNS), ofreciendo de esta manera el nombre de host para una ip determinada o Host determinado.
Procedimiento: Desde una shell de Windows o BackTrack, ejecutar la siguiente sintaxis:

nslookup (Nombre de host o dirección IP)

En el ejemplo hemos determinado el nombre del host para la IP 64.233.169.99, uno de los servidores de google.

Veamos ahora el caso inverso, donde conociendo el nombre del host haremos la respectiva consulta:

Para este caso www.microsoft.com

Hemos resuelto las direcciones IP 207.46.193.254 y 207.46.19.190 de microsoft corp.

__________________________________________________________

Práctica 19 – Localización / Identificación de registros
Herramienta: Visual Route
Prerequisitos: Ninguno
Contramedidas: Ocultar datos sensibles y/o personales en el momento de hacer registros de máquinas, dominios y/o servicios derivados.
Descripción: La aplicación Visual Route permite no solo hacer un trazado de ruta a la máquina Web objetivo, sino también ofrece un servidor geolocalizador de la misma. Además de Ping test, IP Trace, Localización de IP’s, DNS Lookup y más.
Procedimiento: Descargar la versión que más se ajuste a tus necesidades, tenemos dos opciones, una versión Lite con algunas limitaciones importantes para la información que pretendemos obtener y otra versión completamente operativa por un periodo de 15 días.

Haremo uso de las dos versiones (pero en las capturas haré uso de la instalación de la versión lite, aunque ambas son iguales en este proceso, y en la utilización haré además uso de la versión completa).

Entramos a la URL del producto y seleccionamos la versión a descargar.

Después de descargar vamos a la carpeta contenedora del archivo.

Procedemos en ese momento a la instalación. (los pasos son sencillos, por lo tanto haré una secuencia de capturas)

Terminada la instalación procedemos a iniciar el aplicativo. Podemos seleccionar el idioma de nuestra preferencia.

Ahora haremos algunas pruebas tomando como objetivo el sistema www.dragonjar.org

Vemos todos los saltos que realiza antes de llegar al objetivo final, además de observar la IP de los router donde hace los saltos, podemos con tan solo pararnos sobre los cuadros obtener otra información importante para la enumeración. Veamos.

Quiero además citar el pequeño reporte que genera la herramienta:

Este rastreo fue iniciado en 23/10-2007 06:15:17 PM. El sistema www.dragonjar.org (Conocido como apache2-heavy.elcamino.dreamhost.com) fue encontrado, fue alcanzado en 11 saltos.
En general esta ruta tiene buen rendimiento, con los saltos respondiendo en promedio dentro de 48ms

Otro ejemplo, en este caso hacia el sistema www.microsoft.com

Y el reporte generado:

Este rastreo fue iniciado en 23/10-2007 06:17:57 PM. El sistema www.microsoft.com no pudo ser alcanzado – no responde a paquetes diagnósticos de VisualRoute. No hay información disponible para determinar el salto que sigue salto 13 – esto normalmente indica un cortafuegos a tal punto.

Ahora veamos el aspecto visual que nos permite la versión completa (trial de 15 días) .

Y hacemos la misma consulta al sistema www.dragonjar.org

Veamos en el mapa los saltos que hace, desde mi ciudad/pais, hasta el sistema objetivo.

Próxima sesión: Técnicas y contramedidas – Enumeración del objetivo III

La enumeración de objetivos, es la actividad mediante la cual podemos obtener, recolectar y organizar la información de máquinas, redes, aplicaciones, servicios y/o otras tecnológias disponibles y ofrecidas por el o los objetivos.
Realmente no se considera un ataque, púes solo pretende recopilar de manera organizada información disponible mediante consultas, con el fin de elaborar verdaderos ataques, basados en los resultados obtenidos mediante la enumeración.

Las herramientas y técnicas de enumeración están basadas en su mayoría en escaneos simples a la máquina objetivo, o en simples peticiones o consultas.

__________________________________________________________

Práctica 7 – Estableciendo sesiones nulas
Prerequisitos: TCP 139 (Protocolo de Control de Transmisión – Transfer Control Protocol), IPX
(Internetwork Packet Exchange -Intercambio de paquetes interred), NetBEUI (Interfaz extendida de usuario de NetBIOS – NetBIOS Extended User Interface).
Contramedidas: Seguridad en la Lista de Control de Acceso (ACL’s), resticción de conexiones anónimas.
Descripción: Las sesiones nulas son utilizadas en máquinas Windows haciendo uso de la comunicación entre procesos (Inter-Comunication Process -IPC$), para permitir la visualización de los recursos compartidos. Este tipo de conexiones es realizada sin utilizar usuario/contraseña. Por este motivo los atacantes podrían utilizar este tipo de conexiones para enumerar la información de los objetivos .
Muchas de las prácticas que desarrollaremos estarán basadas en sesiones nulas con la máquina obejtivo.
Procedimiento: Desde la línea de comandos de Windows ejecutar la siguiente sintaxis.

net use \\dirección IP Objetivo\IPC$ “” /u:””

Después de ejecutar el comando debemos recibir la respuesta:
Se ha completado el comando correctamente.

Como anotación importante cabe recordar que esta actividad no quedará registrada en el log de eventos de la máquina objetivo.

__________________________________________________________

Práctica 8 – Enumerar MAC Address del objetivo
Herramienta: GETMAC
Prerequisitos: Sesión nula
Contramedidas: Restringir conexiones anónimas, Firewalls
Descripción: La aplicación getmac puede ser utilizada para identificar la dirección MAC (Media Access Control address) asignada a cada tarjeta de red (NIC) del objetivo. Otro de los usos de la herramienta getmac es identificar el número de tarjetas de red de el objetivo.
Procedimiento: Descargar e instalar la herramienta, y desde una shell originada en el directorio creado por el instalador ejecutar la siguiente sintaxis.

getmac Dirección IP Objetivo

En el resultado observamos la MAC Address de la máquina objetivo.
00-0C- 29-21-56-A0

__________________________________________________________

Práctica 9 – Enumerar SID desde User ID
Herramienta: USER2SID
Prerequisitos: Sesión nula
Contramedidas: Restringir conexiones anónimas, Firewalls
Descripción: Todas las cuentas de usuarios Windows están identificadas con un SID (Identificador de Seguridad – Security Identifier). El identificador de seguridad de los usuarios en Windows es un valor fijo en la máquina y la función que realiza la herramienta USER2SID es enumerar el SID de un usuario determinado, sin importar que este usuario haya sido renombrado.
Procedimiento: Descargar la herramienta user2sid y ejecutar desde la línea de comandos la siguiente sintaxis.

user2sid <\\Dirección IP Objetivo> nombre de usuario

Para este ejemplo utilizamos como cuenta objetivo la del Administrador

Los resultados de enumeración de SID para administrador son:
SID 5-21-2213796941-1208922877-1245299738
Dominio XOFTWARE_INC

El valor 500 es el número establecido del Identificador Relativo (RID) de la cuenta de administrador de cualquier máquina Windows.

__________________________________________________________

Práctica 10 – Enumerar ID de usuario desde SID
Herramienta: SID2USER
Prerequisitos: Sesión nula
Contramedidas: Restringir conexiones anónimas, Firewalls
Descripción: Todas las cuentas de usuarios Windows tienen asigando un RID (Identificador relativo – Relativer Identifier) . La herramienta SID2USER será utilizada para enumerar los nombres de usuarios desde SID de un usuario determinado, sin importar que este usuario haya sido renombrado.
Procedimiento: Descargar la herramienta sid2user y ejecutar desde la línea de comandos la siguiente sintaxis.

sid2user <\\Dirección IP Objetivo> SID RID

Los identificativos RID son los siguientes:

Nombre de Usuario RID
Administrador 500
Invitado 501
Usuarios 1000 +

Para esta práctica utilizaremos el SID enumerado en la práctica anterior con el RID 500 del Administrador.

El resultado es claro, la cuenta administrativa de la máquina tiene el nombre de Administrador y el dominio es XOFTWARE_INC.

Me parece interesante en el laboratorio propuesto, el renombramiento que se le puede hacer al usuario Administrador, y luego hacer de nuevo la enumeración al mismo objetivo. Veamos:

Cambiamos el nombre de usuario de Administrador por “super_root”

Ahora, hagamos de nuevo la enumeración al mismo objetivo

Nuevamente observamos la claridad de los resultados, el RID 500 de administrador siempre conservará su valor, así este sea cambiado.

La información obtenida en este laboratorio puede servir de base para elaborar ataques de fuerza bruta a el usuario administrador, en este caso renombrado a “super_root”. He aquí la importancia de un buen proceso de enumeración y los riesgos que genera la poca sensibilización en la configuración de las máquinas con respecto a la seguridad.

__________________________________________________________

Práctica 11 – Enumerar información de usuarios
Herramienta: USERDUMP
Prerequisitos: Sesión nula
Contramedidas: Restringir conexiones anónimas, Firewalls
Descripción: La herramienta USERDUMP esta diseñada para recolectar la información del usuario en la máquina objetivo. Algunos datos de información que puede ser recolectada mediante el uso de la herramienta es la siguiente: RID, privilegios, fechas y duración de login’s, expriración de cuentas, etc.
Procedimiento: Descargar y ejecutar una shell desde el mismo directorio la siguiente sintaxis. (Windows)

userdump <\\Dirección IP Objetivo> Nombre de usuario

Los resultados obtenidos mediante esta consulta son los siguientes:
ID de usuario 500 perteneciente al administrador
Privilegios administrativos
La contraseña nunca expira
La contraseña fue creada el 17 de julio de 2006
El último acceso fue el 01 de octubre de 2007
El administrador se ha logueado 146 veces

__________________________________________________________

Práctica 12 – Enumerar información de usuarios
Herramienta: USERINFO
Prerequisitos: Sesión nula
Contramedidas: Restringir conexiones anónimas, Firewalls
Descripción: La herramienta USERINFO esta diseñada para recolectar la información del usuario en la máquina objetivo. Algunos datos de información que puede ser recolectada mediante el uso de la herramienta es la siguiente: RID, privilegios, fechas y duración de login’s, expriración de cuentas, etc.
Procedimiento: Descargar y ejecutar una shell desde el mismo directorio la siguiente sintaxis. (Windows) .

userinfo <\\Dirección IP Objetivo> Nombre de usuario

Los resultados son identicos a los obtenidos con la herramienta userdump, esto es debido a que ambas herramientas hacen llamado a la API de WIndows NetUserGetInfo.

__________________________________________________________

Práctica 13 – Enumerar información de usuarios
Herramienta: DUMPSEC (DumpAcl)
Prerequisitos: Sesión nula
Contramedidas: Restringir conexiones anónimas, Firewalls
Descripción: La aplicación DUMPSEC esta diseñada para recolectar información de usuarios en la máquina objetivo, al igual que las herramientas anteriores hace uso de la API de Windows NetUserGetInfo, con la diferencia que esta ofrece una interfaz gráfica.
Prcedimiento: Después de descargar e instalar, procedemos a ejecutar desde uno de los accesos creados por la instalación.

Ahora vamos a Report y select computer e ingresamos la IP objetivo.

Para los resultados de la enumeración le diremos que queremos ver el volcado por usuario y como tabla. Seleccionamos todos los items. Clic en ok.

A continuación veremos los resultados ordenados como tabla. (cada investigador puede analizar cada una de las formas de volcado de la herramienta). Rápidamente veremos los usuarios de la máquina, grupos, comentarios, estado de la cuenta, último acceso, SID, caducidad de la contraseña, etc.

Además, la herramienta puede ser ejecutada mediante línea de comandos. Desde el directorio de instalación ejecutar la siguiente sintaxis:

dumpsec /computer=dirección IP /rpt=users /saveas=cvs /outfile=usuarios.txt

El archivo txt de salida con formato cvs puede ser importado a otras herramientas para su posterior análisis o para generar reportes con el mismo.

__________________________________________________________

Práctica 14 – Enumeración de Host/Dominios
Prerequisitos: Acceso UDP al puerto 137, IPX, NetBEUI
Descripción: Los comandos net son usados para obtener y enumerar información de las Redes de Área Local (LAN).
Procedimiento: Desde la shell de windows pueden ejecutarse los siguientes comandos:

net <opciones>

Probemos con la opción view (net view)

Vemos la lista de máquinas.
Veamos ahora una consulta de dominios net view /domain para ver los dominios de nuestra red.

Veamos ahora como enumerar las máquinas de un dominio o de un grupo. (net view /domain:nombre de dominio)

Consulta de recursos disponibles en la máquina objetivo. net view \\Dirección IP Objetivo

En este caso la máquina objetivo comparte varios recursos importantes.

__________________________________________________________

Práctica 15 – Conectividad del objetivo /Router
Detectando la conectividad del objetivo con PING
Prerequisitos: Ninguno
Contramedidas: Denegar o restringir respuestas a ICMP (Protocolo de Mensajes de Control de Internet – Internet Control Messenger Protocol).
Descripción: La aplicación ping puede ser utilizada por los atacantes para establecer el estado de conexión del objetivo a Internet mediante las respuestas a las peticiones ping.
Procedimiento: Desde una shell de windows o linux ejecutar la siguiente sintaxis:

ping (Dirección IP Objetivo o Nombre de host)

En el ejemplo anterior ejecutamos la utilidad ping desde la máquina con Windows XP, diriendo la consulta a www.google.com, obteniendo su dirección IP.

Veamos ahora como se ejecuta desde linux (BackTrack) .

En ambos casos obtenemos los mismos resultados resolviendo la dirección IP del host objetivo.

A diferencia de otros S.O, Windows no soporta la selección de un NIC especifico en el objetivo. Para contrarestar un poco este tipo de peticiones se hace necesario deshabilitar los NIC’s innecesarios en la máquina.

__________________________________________________________

Práctica 16 – Conectividad del objetivo /Router
Detectando la conectividad del objetivo con Pathping
Prerequisitos: Ninguno
Contramedidas: Denegar peticiones/respuestas ECHO/ICMP en el/los routers.
Descripción: Proporciona información acerca de la latencia de red y las pérdidas de red en saltos intermedios entre un origen y un destino. Pathping envía múltiples mensajes de solicitud de eco a cada enrutador entre un origen y un destino en un período de tiempo y calcula los resultados en función de los paquetes devueltos desde cada enrutador. La mayoría de las veces las máquinas objetivos estan detras de routers, este comando ayuda a identificar los mismos.
Procedimiento: Desde la shell de Windows ejecutar la siguiente sintaxis:

pathping (Dirección IP Objetivo o nombre de host)

Los resultados arrojados en esta consulta permiten conocer los saltos en cada router hasta la máquina o router objetivo. Además permite calcular las estadísticas por cada salto en cada router. Cabe recordar que en muchos de los casos en último salto (en este caso 74.14.232.21) es la ip perteneciente a un router. Router potencialmente propenso a ataques si se encuentra debilmente asegurado.

Próxima sesión: Enumeración del objetivo II