PENTESTING CON BACKTRACK
Presentacin Del Ponente JHON CSAR ARANGO SERNA
Ingeniero de Sistemas, Especialista en Telecomunicaciones de la Universidad Autnoma
de Bucaramanga en convenio con la Universidad de Manizales, Especialista en Finanzas
de la Universidad de EAFIT en convenio con la Universidad de Manizales,
Certificacin CCNA, Certificacin del Programa 3Com University.
Certificacin en Seguridad en redes Pblicas a ITU,
Certificacin GIAC en Seguridad Informtica a travs SANS Institute,
Seguridad en Microsoft y Certificacin de Voz x IP a travs de Asterisk.
Segundo Puesto en el Combat Training Versin 2.0 2010 Director del proyecto: http://www.thehackingday.com
Autor Libro Electrnico: El Atacante Informtico Disponible en: http://www.itforensic-la.com/descargas_rv.html
IT FORENSIC LTDA www.itforensic-la.com Naci en Manizales, 2008. Reconocida por Frontech Esset Nod32 como una de las mejores
empresas de Seguridad Informtica del Eje Cafetero.
Su Misin: Proteger el activo mas valioso para usted: LA INFORMACION
Nuestro Blog
http://portal.thehackingday.com/
Temario del ThD
Introduccin al BackTrack (Bt5-R1 Final)
Fases del Pentest
Modos Operandi de un Atacante
Ataques Pasivos
Ataques Activos
Explotacin
Documentacin Final de un Pentest
Introduccin al BT5-R1 Final
BackTrack es una distribucin GNU/Linux en formato LiveCD pensada y diseada para la auditora de seguridad y relacionada con la seguridad informtica en general. Actualmente tiene una gran popularidad y aceptacin en la comunidad que se mueve en torno a la seguridad informtica.
Se deriva de la unin de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX. WHAX es la evolucin del Whoppix (WhiteHat Knoppix), el cual pas a basarse en la distribucin Linux SLAX en lugar de Knoppix. La ltima versin de esta distribucin cambi el sistema base, antes basado en Slax y ahora en Ubuntu
Incluye una larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de anlisis forense y herramientas para la auditora Wireless. Es incluida entre las primeras 10 herramientas de seguridad.
Introduccin al BT5-R1 Final
Segn su registro de desarrollo, Remote Exploit liber las siguientes versiones de BackTrack.
Febrero de 2006: 1.0 Beta
Mayo de 2006: 1.0 Final Edition
Octubre de 2006: 2.0 Beta1
Noviembre de 2006: 2.0 Beta2
Marzo de 2007: 2.0 Final Edition
Diciembre de 2007: 3.0 Beta
Junio de 2008: 3.0 Final Edition
Febrero de 2009: 4.0 Beta
Junio de 2009: 4.0 Pre Release
Enero de 2010: 4.0 Final Release
Mayo de 2010: 4.0 R1 Final
Noviembre de 2010: 4.0 R2 Final
Mayo 10 de 2011: 5.0 R1 Final
Introduccin al BT5-R1 Final
Modos de Trabajo:
Live CD
Instalacin en Disco
Maquina Virtual
Usb
Introduccin al BT5-R1 Final
Primeros Pasos: Usuario: root Password: toor
Ingresar a un directorio : cd /pentest Listar el contenido de un directorio : ls o ls l o dir l Ver el contenido de un archivo : cat /etc/passwd o more /etc/passwd Copiar un archivo : cp /etc/passwd /tmp Editar un archivo : nano /tmp/passwd
CTRL + O = Guarda Cambios CTRL + X = Sale del Editor
Introduccin al BT5-R1 Final
Primeros Pasos: Ver informacin de interfaz de red : ifconfig
Bajar interfaz de red eth0 : ifdown eth0 Subir interfaz de red eth0 : ifup eth0 Establecer IP a la interfaz de red eth0 : ifconfig eth0 192.168.1.5 netmask 255.255.255.0
Levantar el entorno grfico con el comando startx
Otra forma de activacin es a travs de comando desde Consola: /etc/initd.d/networking stop /etc/initd.d/networking start /etc/initd.d/networking restart
Introduccin al BT5-R1 Final
Mtodos para Trasferir Archivos: TRASFERENCIA VIA HTTP
El objetivo de este laboratorio, es transferir un archivo desde BackTrack hacia maquina real. Levante el Servicio Apache desde Menu BackTrack Services HTTPD Apache Start" Copie el archivo nc.exe al directorio raz del sitio Web: cp /pentest/windows-binaries/tools/nc.exe /var/www Desde la maquina real en uno de los navegadores, accede al sitio Web de su BackTrack y descargue el archivo nc.exe. (http://IP_de_su_backtrack/nc.exe) Guarde el archivo nc.exe en el C:\
Introduccin al BT5-R1 Final
Mtodos para Trasferir Archivos:
TRASFERENCIA VIA TFTP El objetivo de este laboratorio, es transferir un archivo desde BackTrack hacia su maquina real, utilizando TFTP. Debe instalar el servicio, para ello desde consola ejecute: apt-get install tftpd El Servicio queda levantado por defecto: ps fea |grep tftpd Copie el archivo fgdump.exe al directorio tmp: cp /pentest/windows-binaries/passwd-attack/fgdump.exe /tmp Desde su maquina real, abra una consola, vaya a C:\, y copie el archivo fgdump.exe usando tftp:
Introduccin al BT5-R1 Final
Mtodos para Trasferir Archivos:
TRASFERENCIA VIA FTP El objetivo de este laboratorio, es transferir un archivo desde BackTrack hacia su maquina real, utilizando FTP. Verifique que el servicio FTP ya se encuentra corriendo en BackTrack, y si es posible acceder utilizando las siguientes credenciales: Usuario: anonymous Password: [email protected] En caso de no tenerlo instalado siga los pasos dados por el instructor
Introduccin al BT5-R1 Final
Mtodos para Trasferir Archivos: INSTALAR FTP
Instale el FTP utilizando el comando apt-get install vsftpd Corra el comando /etc/init.d/vsftpd restart . puede ser necesario un reboot a la mquina de BackTrack
Introduccin al BT5-R1 Final
Mtodos para Trasferir Archivos:
TRASFERENCIA VIA FTP Copie el archivo wget.exe al home de la cuenta ftp que se utilizara para la transferencia: cp /pentest/windows-binaries/tools/wget.exe /home/ftp/ Desde el navegador de su maquina real, ingrese al siguiente Link: ftp://IP_de_su_Backtrack/
Introduccin al BT5-R1 Final
Actualizando BackTrack
Desde la consola de BackTrack, ejecute el comando: apt-get update Una vez culmine la ejecucin del comando anterior, desde la misma consola, ejecute el comando: apt-get upgrade
Introduccin al BT5-R1 Final
Fases del Pentesting
Write report
Cover tracks
Post exploit
exploit enumerate scan recon
Fases del Pentesting Autorizacin Escrita Asunto: Evaluacin de vulnerabilidades y la autorizacin de pruebas de penetracin Fecha: MMDDAA Para garantizar adecuadamente los activos de esta organizacin de tecnologa de la informacin, el equipo de seguridad informtica realizara unas pruebas de vulnerabilidad es y penetracin. Estas actividades incluyen exploracin nuestros equipos de escritorio, porttiles, servidores, elementos de la red, y otros sistemas informticos propiedad de esta organizacin sobre una base regular y peridica para descubrir las vulnerabilidades presentes en estos sistemas. Slo con el conocimiento de estas vulnerabilidades puede nuestra organizacin aplicar las medidas adecuas: parches de seguridad u otros controles de compensacin para mejorar la seguridad de nuestro medio ambiente. Por la razones antes expuestas, se autoriza a los miembros especficos de nuestro equipo de seguridad de la informacin para llevar a cabo evaluaciones de vulnerabilidad y pruebas de penetracin contra los bienes de esta organizacin. Firmas
Modos Operandi Ataques Pasivos
Enumeracin Pasiva Osint Google hacking Metadatos Ingeniera Social Sniffers
Ataques Activos Enumeracin Activa
Identificacin de Servicios Identificacin de Arquitectura Identificacin de Vulnerabilidades
Identificacin de Redes Inalmbricas Wi-Fi Bluetooth
Fuente: Capitulo 1 - Atacante Informtico http://www.itforensic-la.com/descargas_rv.html
Enumeracin Pasiva
Antes de efectuar una ofensiva, el atacante necesita conocer el entorno del sitio y empieza por reunir la mayor cantidad de informacin que le sea posible. La enumeracin pasiva tienen como objetivo, entre las ms importantes conocer la siguiente informacin: Posibles usuarios y contraseas Rangos de direcciones IPs Equipos activos Nombres de equipos Correos electrnicos del personal afiliado a nuestro objetivo Datos sensibles sobre la victima u usuarios pertenecientes a nuestro objetivo. Reconocimiento general de la Red de datos (Switches, Routers, Firewall, Puntos
de Acceso, Etc)
Enumeracin Pasiva Comando Ping
Ip, Clase de Direccin, Posible Hosting
Posible Bloqueo Posible Firewall
Red Filtrada
Enumeracin Pasiva arping
Enumeracin Pasiva WHOIS Es una herramienta utilizada para comprobar la
disponibilidad de un dominio y para obtener informacin sobre la persona o entidad que lo posee.
http://www.nic.ve/ (Venezuela) http://www.nic.ar/ (Argentina) http://www.nic.cl/ (Chile) http://nic.es/ (Espaa) http://nic.mx/ (Mexico)
Enumeracin Pasiva WHOIS
http://www.whois.co (Colombia) http://www.punto.pe/whois.php (Peru) http://www.whois.mx/form.jsf (Mexico)
http://www.internic.com/whois.html http://hexillion.com/asp/samples/AutoWhois.vbs.asp http://www.domaintools.com/
Bsquedas de Primer Nivel
Enumeracin Pasiva DESCUBRIENDO REDES Se trata de obtener la informacin que sea posible sobre la topologa de red de la vctima, utilizando mtodos de bsqueda pasivos en sitios de internet pblicos: (Passive Recon) Sitios Publicos:
http://centralops.net/co/ http://www.intodns.com/ http://www.domaintools.com/ http://www.dnsstuff.com/ http://news.netcraft.com/ http://www.robtex.com/ http://www.archive.org/web/web.php http://anonymouse.org/anonwww.html
Enumeracin Pasiva TRACEROUTE Es un programa de servicios de Internet que muestra por un
lado el tiempo requerido para la llegada del paquete de datos del computador origen al computador destino a travs de Internet y por otro lado permite descubrir el camino que el paquete o mensaje lleva desde la fuente hasta el destino.
Enumeracin Pasiva TRACEROUTE
Enumeracin Pasiva HPING Hping es una excelente herramienta de tipo
generador de paquetes TCP, UDP, ICMP, etc. Que nos Permite hacer innumerables cosas, entre ellas, testear firewalls, scanner de puertos (mediante flags), Os Fingerprint, Traceo de rutas, e incluso D.o.Seador, Hping2 es una utilidad principalmente creada para auditar redes.
Enumeracin Pasiva HPING
Como podr ver a partir del salto 12, no se muestra la salida; lo que nos hace suponer que existen dispositivos configurados de tal forma que bloquea la informacin entregada en esta peticin
Enumeracin Pasiva HPING Ahora bien, el mismo objetivo sabemos que el puerto 80 (Web Server) funciona sin problema alguno, porque al cargar la victima desde un navegador nos muestra su contenido. Ello nos indica que sus posibles cortafuegos tienen permitido el puerto 80. Intentemos trazar la ruta con el siguiente comando, desde la consola de BackTrack: hping S n z p 80 t 1 www.victima.com Una vez que este en marcha este comando, se presiona las teclas CTRL+Z para que se incremente la TTL y descubra todos los routers, hasta llegar al objetivo final.
Enumeracin Pasiva HPING
Enumeracin Pasiva DESCUBRIENDO CON DNS Se divide en 3 tipos:
Forward Lookup BruteForce Reverse Lookup BruteForce Zone Transfers
Enumeracin Pasiva DESCUBRIENDO CON DNS Forward Lookup BruteForce
Enumeracin Pasiva DESCUBRIENDO CON DNS Forward Lookup BruteForce
host t ns amazon.com host t any amazon.com host T -t ns amazon.com host l amazon.com
Enumeracin Pasiva DESCUBRIENDO CON DNS Reverse Lookup BruteForce
Enumeracin Pasiva DESCUBRIENDO CON DNS Zone Transfers
Enumeracin Pasiva DESCUBRIENDO CON DNS Zone Transfers
Enumeracin Pasiva BUSQUEDAS EN BASUREROS
Enumeracin Pasiva IMGENES SATELITALES (http://earth.google.com).
OSINT
Las redes sociales cada da cobran ms fuerzas, es as como muchos usuarios crean sus perfiles indicando sus gustos, hobbies, profesiones, amigos y en fin una variedad de informacin que un atacante podra utilizar con el fin de realizar a futuro un ataque de Ingeniera Social.
OSINT
Sitios Publicos: http://www.rediris.es/cert/servicios/keyserver/ http://pipl.com/ http://www.123people.com/ http://whoozy.es/ http://whostalkin.com/ http://namechk.com/ http://www.linkedin.com/ http://www.facebook.com/ http://delicious.com/ http://twitter.com/ http://google.com/
MALTEGO Qu hace Maltego?
Busca links reales entre: Personas Redes Sociales Empresas/Organizaciones Sitios Web Infraestructura de Red Documento y Archivos
OSINT THEHARVESTER cd /pentest/enumeration/theharvester/
python theHarvester.py d victima.com l 100 b google
GOOGLE HACKING Productos vulnerables Mensajes de error Ficheros que contienen informacin sensible Ficheros que contienen claves Ficheros que contienen nombres de usuario Footholds e informacin de apoyo al acceso Pginas con formularios de acceso Pginas que contienen datos relativos a vulnerabilidades Directorios sensibles Informacin sensible sobre comercio y banca electrnica Dispositivos hardware online Ficheros vulnerables Servidores vulnerables Deteccin de servidores web
GOOGLE HACKING GOOGLE-DORKS
http://www.exploit-db.com/google-dorks/
GOOGLE HACKING SHODAN
http://www.shodanhq.com/
METADATOS METAGOOFIL Es una herramienta que se encarga de extraer
Meta-Data (Datos sobre los Datos), de ciertos ficheros accesibles en los websites de nuestro "objetivo".
METADATOS METAGOOFIL
METADATOS FOCA - (Windows Mil Disculpas) http://www.informatica64.com/DownloadFOCA/
INGENIERIA SOCIAL
Conseguir informacin confidencial manipulando usuarios legtimos y
cercanos a un sistema
No se aprovechan vulnerabilidades del sistema, se aprovecha la confianza de las
personas.
Cualquier mtodo que permita engaar a los usuarios y llevarlos a revelar
informacin es vlido
INGENIERIA SOCIAL SET (Social Engineering Toolkit) cd /pentest/exploits/SET ./set
INGENIERIA SOCIAL SET (Social Engineering Toolkit)
DEMO
INGENIERIA SOCIAL SET (Social Engineering Toolkit)
http://www.dragonjar.org/the-social-engineer-toolkit.xhtml http://www.dragonjar.org/video-tutorial-set-social-engineering-toolkit.xhtml
SNIFFERS
Esta tcnica se hace mediante un programa llamado Sniffer y si somos lo suficientemente pacientes, podemos obtener informacin muy importante, como: Usuarios y contraseas Mensajes de broadcast de dispositivos de red (switches,
routers, impresoras, etc) Protocolos que pasan por la red. Solicitudes ARP Entre otras
SNIFFERS
SNIFFERS
TCPDUMP
Uso Bsico: tcpdump n i eth0 s 1515 w archivo.pcap Grabando y Leyendo: tcpdump n i eth0 s 1515 l | tee archivo.txt Leyendo Datos: tcpdump n r archivo.pcap | less
Wireshark
Antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didctica para educacin. Cuenta con todas las caractersticas estndar de un analizador de protocolos. La funcionalidad que provee es similar a la de tcpdump, pero aade una interfaz grfica y muchas opciones de organizacin y filtrado de informacin.
SNIFFERS
Wireshark
http://thehackingday.blogspot.com/2011/04/analisis-de-trafico-con-wireshark_html
SNIFFERS
Wireshark
Display Filters Top 10: "ip.addr == x.x.x.x" "eth.addr == xx:xx:xx:xx:xx:xx" "icmp" "!eth.addr == xx:xx:xx:xx:xx:xx" "bootp" "tcp.port == x" "udp.port == x" "tcp.analysis.ack_rtt > 1" "icmp[0] == 8 or "icmp[0]==0" http.request.version == HTTP/1.1
Enumeracin Activa
cd /pentest/scanners/netifera
./netifera
Enumeracin Activa
Detectar IPs activas en una red: nmap -sP 192.168.0.* Otra opcin para subnets es:
nmap -sP 192.168.0.0/24
Identifica Servicios y Arquitectura:
Enumeracin Activa
Enumeracin Activa
NMAP
Enumeracin Activa
NMAP
Obtener informacin de un host remoto y deteccin del SO: nmap -sS -P0 -sV -O [direccin]
Donde [direccin] es la IP del servidor/nodo o una subnet. -sS = escaneo TCP SYN (o escaneo sigiloso)
-P0 = no se envan pings ICMP -sV = detecta las versiones
-O = se intenta identificar el Sistema Operativo
Otras opciones:
-A = habilita OS fingerprinting y deteccin de versin -v = usar dos veces -v para obtener mas detalles
Enumeracin Activa
NMAP
Listar servidores con un puerto especifico abierto: nmap -sT -p 80 -oG 192.168.1.* | grep open
Cambiar el argumento -p por el numero del puerto.
Hacer ping a un rango de IPs: nmap -sP 192.168.1.100-254
Nmap acepta una gran variedad de rangos, notacin de direcciones, objetivos mltiples, etc.
Enumeracin Activa
NMAP
Crear un seuelo durante el escaneo de puertos para evitar ser detectado:
nmap -sS 192.168.0.10 -D 192.168.0.2 Escanea los puertos del nodo 192.168.1.10 mientras spoofea la IP 192.168.0.2 como nodo atacante (esta IP debe estar activa) as parecer que el escaneo se ejecuta desde la IP 192.168.0.2 (la ip spoofeada). Comprobar los logs en /var/log/secure para comprobar si ha funcionado correctamente.
Enumeracin Activa
NMAP
Cmo Optimizar el Host Discovery ? nmap -sP -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 --source-port 53 -T4 IP_DE_Victima WINDOWS
TCP: 135,139,445,1025-1030,3389 UDP: 137,138,445,1025-1030 UNIX/LINUX TCP: 21,22,23,25,80,111 UDP: 53,67-69,111,161,514
Descubrir Vulnerabilidades
BRUTE FORCE
Hydra es una excelente herramienta para realizar testeo de contraseas en servicios por medio de la fuerza bruta, lastimosamente la herramienta pareca abandonada y muchas personas recomendaban algunas alternativas como medusa, mas actualizada por sus autores. Dentro de los servicios soportados, se tiene: TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA
hydra l login P pass.txt v IP servicio
Descubrir Vulnerabilidades
OpenVas
Es el acrnimo de Open Vulnerability Assessment System, un completo escanner de vulnerabilidades que permite evaluar los riesgos de seguridad en los equipos de una red y cerrar sus vulnerabilidades proactivamente utilizando herramientas como John-the-Ripper, ClamAV, Tripwire, Chkrootkit, LSOF, Niktoy.
Descubrir Vulnerabilidades
OpenVas - Instalacin
Tips: 1 Generar Certificado 2 Adicionar Usuario (admin identificado con password) 3 Ejecutar el NTV Sync para actualizar la herramienta. 4 Abrir el OpenVas Server (openvassd) 5 Abrir el OpenVas Client
Descubrir Vulnerabilidades
MITM
En criptografa, un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos vctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando ste se emplea sin autenticacin.
Descubrir Vulnerabilidades
MITM
ATAQUES BASADOS EN EL DESVIO DE TRAFICO ARP SPOOFING ICMP REDIRECT DHCP SPOOFING ROBO DE PUERTOS MAC-FLOODING
Descubrir Vulnerabilidades
MITM - ETTERCAP
Interceptor/sniffer/registrador para LANs con switch Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). Tambin hace posible la inyeccin de datos en una conexin establecida y filtrado al vuelo aun manteniendo la conexin sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing.
LABORATORIO 22
Redes Inalmbricas
Redes Wi-fi
Redes Inalmbricas
Redes Wi-fi
Redes Inalmbricas
Redes Bluetooth
Redes Inalmbricas
Redes Bluetooth - btscanner
Redes Inalmbricas
Redes Bluetooth - btscanner
Redes Inalmbricas
Explotacin
Consultando los Expedientes
http://www.exploit-db.com/
http://www.securityfocus.com/
QU ES UN EXPLOIT ?
Es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informticos, hardware, o componente electrnico (por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cmputo o permitir la escalada de privilegios o un ataque de denegacin de servicio.
MetaSploit
http://www.metasploit.com/
El Proyecto Metasploit es un proyecto open source de seguridad informtica que proporciona informacin acerca de vulnerabilidades de seguridad y ayuda en tests de penetracin y en el desarrollo de firmas para Sistemas de Deteccin de Intrusos.
MetaSploit
ACTUALIZACION Y PUESTA EN MARCHA
cd /pentest/exploits/framework3 svn update
MetaSploit
DEMO
MetaSploit
WebSecurify
Reportes
Agradecimientos
PREGUNTAS?
Top Related