Академический Документы
Профессиональный Документы
Культура Документы
Metasploit
====================================================
iniciar metasploit
service metasploit start
service postgresql
msfconsole
porque brinda todas la disponibilidad del framework
===================================================
comandos
show options: muestra las opciones iniciales del framwore
IRB: inicia el interprete de ruby
info: permite dar informacion de un modulo
Setg: permite crear variable globales dentro del framework esto ayuda a no tene
r que estar escribiendo continuamente las sentencias usadas habitualmente. Muy ti
l.
show scanners : muestra los scanners auxiliary
load nessus: carga nessus
nessus_help : muestra las opciones de nessus
show payloads: mustra los payloads
Idenfiticar
search y show: el primero puede ser ms especifico y buscar algo para cierto servi
cio, mientras que el otro busca de forma general.
search portscan : busca scanner de puertos.
scaneo tcp: muestra todos los puetos abiertos pasados como parametro en el show
options, muy bueno para saber puertos abiertos
escaner de ip : muestra informacion de un equipo.
Filtros de busqueda
exploits/windows
exploit/linux
auxiliary/scanner
auxiliary/scanner/servicio !!!
===================================================
Conceptos
Explotacion
Activa : explota una maquina especifica.
Pasiva : esperar que la maquina se conecte, sitios web, ftp, navegadores.
poc (pruebas de concepto): refleja las vulnerabilidades de un sistema, listo par
a ser explotado
Payloads : son cargas que se combinan con los exploit para realizar el trabajo d
e ingresar a la victima
existen:
inline
meterpreter
passivex
inline
===================================================
auxiliares
realizan multiples tareas:
escaneo
auxiliary/scanner/snmp/snmp_enum
Auxiliary/scanner/smb/smb_version
Auxiliary/scanner/http/webdva_scanner
enumeracion
====================================================
nmap con metasploit
existe la posiblidad de extrear la info de nmap para metsploit.
msf>db_import archivo.xml
msf>db_hosts -c address
o hosts
====================================================
workspace
son entornos de trabajo donde se guarda lorecolectado, para crear uno se usa
workspace -a nombre del entorno
luego para usarlo se usa
workspace nombre
===================================================
Base de datos con metasploiit
con ello podemos obtener todos los beneficios del framework
init.d/postgresql version start
service postgresql start
service metasploit start
root@bt~# /etc/init.d/postgresql-8.3 start
service postgresql star
===================================================
escaneo de servicios
Podemos comenzar con los portscan, son auxiliares que permiten obtener informaci
on detallada de puertos.
si se tiene informacion sobre algun servicio se puede usar
auxiliary/scanner/nombre del servicio, por ejemplo
auxiliary/scanner/ftp nos mostrara escaner de ftp
METERPRETER
Es un payload que se carga despues de que una vulnerabilidad es explotada, es co
mo la informacion devuelta cuando se desencadena una explotacion.
Antes de nada vamos a explicar los payloads a fondo
existen tres tipos de payloads para el framework son:
simple
stagers
stages
supongamos un payload
Usando Meterpreter
1) Antes de usarlo necesitamos comprometer un sistema o buscar una vulnerabilida
d.
===================================================
escaneo de ip
===================================================
escaneo de vulnerabilidades
Por excelencia la herramienta mas usada y de mejor contenido es Nessus, una apli
cacion que ejecuta para saber que tipo de vulnerabilidades contien el equipo.
Aclaracin!!
Los escaners de vulnerabilidades generan mucho trafico, si el objetivo es no ser
descubrierto, es mala idea usar uno de estos (TRAFICO ICMP)
existe una aplicacion web para nessus, con todo su potencial.
===================================================
Protocolos y aplicaciones atacadas
Maquina de metasploit
PUERTO
21
ftp: se utilizo un escanner de servicios, con ello se logro obtener el tipo de s
ervicio ftp que corre para este fue
vsFTPD 2.3.4
adicional a ello se uso un auxiliar para determinar si por ataque de fuerza brut
a se obtenia un login, en el caso fue correcto se obtuvo un login como usario sw
eep.
Luego con el servicio y su version se busc una vulnerabilidad y un exploit, en es
te caso se obtuvo un backdoor, el cual logro ingresar a la maquina, permitiendo
escritura y lectura.
vulnerabilidad VSFTPD: se obtuvo porque en el archivo se obtenia una puerta trac
era al instalaro, es decir introdujeron en el archivo vsftpd-2.3.4.tar.gz una pu
erta tracera.
Mas ataques
Luego de realizar un ataque de fuerza bruta se logro obtener dos usuarios con co
ntrasea, para ingresar al servicio ftp,
la mala configuracion de este servicio puede permitir el ingreso a un desconocid
o, como lo es la directiva
<anonymous> yes su valor por defecto.
Cuando se ingreso al servicio ftp, el usuario user, tena privilegios de escritura
y lectura, inicialmente se obtuvo la informacion sobre el historial bash, para
================================================
PUERTO
22
ssh: Se utilizo escaner de servicios como auxiliares aparecieron 9 scanner, la i
ntencion es determinar el servicio. Para ello se uso uno a uno.
se logro encontrar con nmap y el script -A, informacino sobre dos llaves
===========================================
Puerto 23
Telnet
Es un servicio de control remoto para acceder a un servidor o equipo de forma re
mota a diferencia de ssh este envia su informacion sin encriptar lo que lo hace
muy critico en cuestiones de seguridad, para algun sniffer.
se logro ingresar usando un ataque de fuerza bruta, con lo cual se obtuvo un usu
ario especifico y su contrasea, para el caso fue msfadmin y contrasea fue msfadmin
, esto es una mala configuracion de contrasea.
el id mostradba privilegios de lectura, escritura y ejecucin.
============================================
Puerto 25
smtp
Protocolo de transferencia de mensajes, permite la gestion de envio y recepcion
de mensajes
la comunicacion se realiza por MUA con un cliente y un servidor, para enviar un
mensaje el servidor recibe la peticion y envia un 220 si el servicio esta dispon
ible o un 402 si el servicio no esta disponible,luego el cliente comienza la tra
nsaccion del correo con una orden MAIL FROM con unargumento de la direccion del
correo, luego hay que enviarle RCPT que es el destinatario, luego se le envia un
DATA para que sepa que luego de eso sigue la informacion del correo, luego envi
ara, si no hay mas se le envia un argumento QUIT con lo cual cierra la conexion.
Algo interesante es comenzar un ataque por ac puesto que facilmente se puede obte
ner usuario, entonces generalmente los usuarios de mail son iguales a los del si
stema, ya se puede empezar a atacar otros servicios a partir de los nombres obte
nidos con smtp
===========================================
Puerto 53
DNS
es el puerto utilizado por defecto para servicios de servidores de nombres de do
minio, la version para y servicio que corre en ese puerto es un ISC BIN 9.4.2
Funcionamiento DNS
Cuando un usuario realiza una peticion para encontrar una URL especifica o un do
minio, el servidor entre en juego es decir recive esa peticion por ejemplo itm.e
du.co, entonces el buscara donde esta el dominio .co luego se ira por .edu hasta
alcanzar el dominio solicitado, consultando a la raiz de servidores de dominio.
Pero que sucede cuando tu ya has visitado este sitio ?, pues el servidor DNS ti
ene una funcion de guardar cache es decir los dominios visitados guardarlos para
mejorar el rendimiento del servidore, entonces el provedor de servicios cuenta
con sus propios DNS.
Peticion DNS
cliente envia una peticion para resolver el nombre de dominio.
Servidor recibe ese nombre de dominio y lo resuelve con una direccion IP.
viceversa
Cliente envia una direccion IP para resolver el nombre asociado con la ip
servidor responde con el nombre de dominio para esa ip pedida.
Para este puerto se busco exploits para la version que corria el servicio DNS qu
e era BIND en su version 9.4.2, se encontro varias vulnerabilidades una de ellas
era el envenenamiento de cache dns, que consiste en envenenar el cache, remplaz
ando alguna peticion del cliente dns usual como por ejemplo www.google.com por u
na direccion ip o dominio de nuestro interes seguramente uno que este infectado
para que se instale una backdoor o un spyware o troyano etc etc.
Tambien existe la posibilidad de realizar un script en python que cubra estos re
querimientos ya que python contiene un modulo un paquete dnspython muy bueno.
============================================
Puerto 80
servidor apache httpd
El servicio que corre es el http un protocolo de transferencia de hipertexto, cl
iente servidor, donde se realizan transacciones HTTP, entonces cuando el cliente
realiza una peticion, es decir el usuario accede a una url, entonces el cliente
web (mozila,safari etc) descodifica la URL, separando sus diferentes partes, co
n ello logra identificar el documento http, el protocolo de acceso, la direccion
DNS, luego se genera una peticion tcp/ip , al realizar la peticion se envia el
comando necesario (get, post, head), la direccion del objeto requerido (url), do
nde la url contiene el host que sigue la direccion del servidor, la version del
protocolo http empleada, y variables de informacion del broswer. El servidor dev
==========================================
Puertos cerrados 88 Kerberos cerrado
===========================================
Puerto 111
link
http://www.computersecuritystudent.com/SECURITY_TOOLS/METASPLOITABLE/EXPLOIT/les
son4/
RCP
Es un protocolo de red que permite ejecutar un codigo en una maquina remota, sin
tener que preocuparse sobre la conexin entre ambas, entonces el cliente realiza
una peticion a un procedimiento y el servidor o el daemon RCP escucha ese proce
dimiento y de acuerdo al numero de programa que contiene RCP ejecuta la instrucc
ion requerida. Entonce este enruta las peticioness de clientes.
Con RCP podemos utilizar como aplicacion NFS que simplemente son sistemas de fic
hero compartidos en una red local.
NFS
Los clientes acceden a los archivos en el servidor.
Los archivos pueden ser mostrados a todos los host y modificar y crear archivos
etc. etc.
Este utiliza procedimientos los cuales son interpretados por el RCP y llama al p
rograma asignado en la solicitud.
Para solicitar informacion al portmap que ahora es un rcpbind el cual me brinda
la informacion sobre los puertos que esta escuchando el demonio asi como los ser
vicios y programas, con ello podre realizar un ataque, para este caso observamos
que mount esta activado, lo cual nos permite montar un fichero desde la red.
============================================
Lo realizado
Nov 26
Se logro ingresar al servidor por medio de RPC y NFS, puesto que rcpbind logro b
rindar una informacion sobre los programas y procedimientos que corre ese protoc
olo. Ademas se logro usar un modulo escaner de metasploit para escaner servicios
rpc.