web by spit
spit - tecnica y metodo de scaneo
  UNEFA-NUCLEO-GUACARA-SECCION G-015-D
  CONTACTO (deja tu correo)
  Libro de visitantes
  tutoriales
  => como hackear paginas web
  => manual del troyano netbus para torpes
  => manual sobre el troyano subseven
  => manuales del backoriffice para torpes
  => informacion sobre troyanos
  => programacion Shell script unix
  => Manual del troyano netbus para torpes...
  => MANUAL DE SQL SERVE
  => RESUMEN DEL HACKING NT
  => manual mirc scripting
  => introduccion a los routers cisco y sus seguridad
  => MANUAL Q EXPLICA QEU ES UN IP Y REDES Y ETC PARA PRINCIPIANTES
  => explicaciones del dns, y dns abuse
  => hacking ataques atraves de hadware
  => cmo hacer mi primer scripts en ares
  => instrucciones de para hacer un script en ares
  => COMO HACKEAR PC X NETBIOS lo mas buscado por el ares
  => aprender a hackear pagina web
  => tecnica y metodo de scaneo
  => bug del unicodex
  => biblia del hacker
  deja tu web aqui!
  descargas
  LOGIN
  foro de programadores y otras areas
----------------------------------------------- Este texto esta escrito dentro de los primeros "127" caracteres del codigo ASCII para evitar posibles errores al visualizarlo; por lo que no se usaran acentos y la "enie" se pondra como ~. ----------------------------------------------- T E M A R I O 0. Introduccion. 1. Breve teoria de TCP. 2. Que es el escaneo de puertos ? 3. Diferentes tecnicas de escaneo de puertos. 4. Averiguando el Sistema Operativo. 5. Fingerprinting. 6. Interpretando y explotando la informacion. 7. Acerca del Ezkracho Team. 8. Contacto. 0. [ Introduccion ] En este texto vamos a ver distintas tecnicas con las que podemos buscar informacion sobre un host, y luego de que forma podemos aprovechar la informacion obtenida. Nos concentraremos mas que nada en el escaneo de puertos y en las tecnicas existentes para identificar que sistema operativo corre nuestra victima. Muchas veces recibi mails diciendo cosas como "ayudame a hackear pirulo.com, ya le hice un escaneo de puertos pero ahora no se que hacer". Esto es algo muy comun, muchos al fijar los ojos en una victima lo primero que hacen es un port scanning, pero cuantos mas alla de la simple teoria conocen las diferentes tecnicas de escaneo, y mucho mas importante que hacer con la informacino obtenida. Con este texto intento que no solo sepamos que hacen muchos de los metodos que utilizamos, sino tambien como funcionan, porque al saber como funcionan comprenderemos mejor lo que estamos haciendo y aprovecharemos mas la informacion obtenida. Bueno, como siempre espero que disfruten tanto en leer este texto como yo en escribirlo. 1. [ Breve teoria de TCP ] No es el objetivo de este texto explicar como funciona el protocolo TCP, pero dado que a medida que avansemos con la lectura se nos van a presentar terminos y conceptos referidos mas que nada a este protocolo, decidi hacer una breve introducion a la teoria del TCP, y a lo que mas nos interesa saber para este texto. Al que le interese saber mas sobre el TCP o el TCP/IP que busque en el respectivo RFC. El TCP es un protocolo que generalmente se usa con otros, o es mas conocido como TCP/IP; quiero aclarar que el TCP/IP es una suit de protocolos y no un solo protocolo como se cree comunmente, esto quiere decir que dentro del TCP/IP tenemos muchos protocolos pero se lo conoce asi por ser estos dos los mas representativos. El protocolo TCP es un servicio de comunicacion que forma un circuito, o lo que podriamos llamar una conexion. A diferencia de otros programas que usan UDP, con el TCP tenemos un servicio de conexion entre los programas llamados y los que llaman, chequeo de errores, control de flujo y capacidad de interrupcion. Por todo esto es que se dice que el TCP es un protocolo orientado a la conexion. A continuacion veremos como es el segmento TCP, ya que esto es lo que mas usaremos al ver escaneo de puertos y fingerprinting. Formato del segmento TCP El segmento TCP consiste en una cabecera y datos. A continuacion veremos una descripcion de los campos del segmento TCP. - Numero de puerto del origen/destino (Source/Destination Port Numbers): Este campo tiene una longitud de 16 bits. - Numeros de secuencia (Secuence Numbers): existen dos numeros de secuencia en la cabecera TCP. El primer numero de secuencia es el numero de secuencia final y el otro numero de secuencia es el numero de secuencia esperado de recepcion. - Longitud de la cabecera (Header Length): este campo tiene una longitud de 4 bits y contiene un entero igual al numero de octetos que forman la cabecera TCP dividido por cuatro. - Codigo de bits (Code bits): el motivo y contenido del segmento TCP lo indica este campo. Este campo tiene una longitud de seis bits: Bit URG (bit +5): cin este bit identificamos datos urgentes. Bit ACK (bit +4): cuando este bit se pone a 1, el campo reconocimiento es valido. Bit PSH (Bit +3): aunque el buffer no este lleno, como emisores podemos forzar a enviarlo. Bit RST (Bit +2): con este bit abortamos la conexion y todos los buffers asociados se vacian. Bit SYN (Bit +1): este bit sirve para sincronizar los numeros de secuencia. Bit FIN (Bit +0): este bit se utiliza solo cuando se esta cerrando la conexion. Ventana (Window): este campo contiene un entero de 32 bits. Se utiliza para indicar el tama~o de buffer disponible que tiene el emisor para recibir datos. Opciones (Options): este campo permite que una aplicacion negocie durante la configuracion de la conexion caracteristicas como el tama~o maximo del segmento TCP. Si este campo tiene el primer octeto a cero, esto indica que no hay opciones. Relleno (Padding): este campo consiste en un numero de octetos (De uno a tres), que tienen valor cero y sirven para que la longitud de la cabecera sea divisible por cuatro. Checksum: mientras que el protocolo IP no tiene ningun mecanismo para garantizar la integridad de los datos, ya que solo comprueba la cabecera del mensaje, el TCP dispone de su propio metodo para garantizar dicha integridad. 2. [ Que es el escaneo de puertos ? ] El escaneo de puertos consiste basicamente en detectar que servicios nos esta ofreciendo un determinado host. Si al hacer un escaneo encontramos un puerto abierto, segun cual fuese este es el servicio que nos ofrece. Por ejemplo vamos a escanear el host zapala.com.ar: Interesting ports on zapala.com.ar (200.32.91.1) Port State Service Protocol 21 open tcp ftp 25 open tcp smtp 80 open tcp http Suponiendo que solo estos puertos estuvieran abiertos (HEH!) lo que nos resulta de este escaneo, es que zapala.com.ar esta ofreciendo servicios de transferencia de archivos, de correo y de web. Mas adelante veremos de que forma podemos explotar la informacion que hemos obtenido ahora. 3. [ Diferentes tecnicas de escaneo de puertos ] Debido a los diferentes tipos de protocolos, los numerosos puertos que pueden estar escuchando, y a los dispositivos empleados para evitar o detectar el escaneo de puertos, han surgido diferentes tecnicas las cuales tienen sus ventajas como desventajas. A continuacion veremos algunas de las distintas tecnicas que hoy dia conocemos. - TCP connect() scanning: esta es la forma mas popular de escaneo TCP y consiste basicamente en usar la llamada a sistema connect() del sistema operativo, si se logra establecer la coneccion con el puerto de la otra computadora entonces este puerto esta abierto. Las ventajas que tiene esta forma de escaneo es que no se necesita ningun privilegio especial para poder llevarla a cabo, en la mayoria de los Unix cualquier usuario puede hacer uso de la llamada connect(). Otra gran ventaja es la velocidad. El lado negativo que encontramos es que es muy facil de detectar y de filtrar, y generalmente el host loguea que establecemos una coneccion e inmediatamente nos desconectamos. - TCP SYN scanning: esta tecnica es la llamada escaneo "half-open" (o mitad-abierta), porque no establecemos una coneccion TCP completa. Lo que hacemos es enviar un paquete SYN como si fueramos a entablar una coneccion TCP completa y esperamos por una respuesta. Podemos recibir un SYN|ACK si el puerto esta escuchando o un RST si el puerto esta cerrado. Si recibimos un SYN|ACK en respuesta, inmediatamente le enviamos un RST. La mayor ventaja de esta tecnica es que muy pocos servers nos loguean; y la desventaja es que se necesita privilegios de root para construir estos paquetes SYN a enviar. - TCP FIN scanning: algunos firewalls y packets filters escuchan por los paquetes SYN en algunos puertos, y programas como el synlogger puden detectar este tipo de escaneo. En cambio los paquetes FIN pueden penetrar sin mayor problemas. La idea consiste en que al enviar un paquete FIN si el puerto esta cerrado nos va a devolver un RST, y si el puerto esta abierto nos va a ignorar. Esto se debe a un error en las implementaciones TCP pero no funciona en un 100%. La mayoria de los sistemas parecen susceptibles excepto los sistemas Microsoft que son inmunes (aunque usted no lo crea). - Fragmentation scanning: esta no es una tecnica en si misma, sino una modificacion de otras tecnicas. Consiste en hacer una divicion de los paquetes que enviamos, para no ser detectados por los packet filters y los firewalls. Por ejemplo podemos hacer un SYN o un FIN scanning fragmentando los paquetes que enviamos, y al ir quedando en cola en los firewalls y en los packet filters no somos detectados. - TCP reverse ident scanning: el protocolo ident permite averiguar el nombre de usuario y el due~o de cualquier servicio corriendo dentro de una coneccion TCP. Por ejemplo podemos conectarnos al puerto http y usar identd para averiguar que esta corriendo la victima como root; esto solo es posible estableciendo una coneccion TCP completa. - FTP bounce attack: algo interesante del protocolo ftp, es que permite lo que se llama coneccion proxy ftp. Osea yo podria conectarme a un ftp desde un servidor proxy y al hacer esto establecer una coneccion y enviar un archivo a cualquier parte de la Internet. Esto lo podemos aprovechar tambien para hacer por ejemplo un escaneo TCP, ya que estariamos haciendolo desde un servidor ftp pero detras de un firewall. Lo bueno que tiene esta tecnica es obviamente que es muy dificil de rastrear, y lo malo es que puede volverse sumamente lento. - UDP ICMP port unreachable scanning: Lo que varia significativamente de esta tecnica con respecta a las otras es que estamos usando el protocolo UDP, este protocolo puede ser mas simple que el TCP pero al escanear se vuelve sumamente mas complejo; esto se debe a que si un puerto esta abierto no tiene que enviarnos un paquete de respuesta, y si un puerto esta cerrado tampoco tiene que enviarnos un paquete de error. Afortunadamente, la mayoria de los hosts nos envian un paquete de error "ICMP_PORT_UNREACH" cuando un puerto UDP esta cerrado. Esta tecnica suele volverse muy lenta. 4. [ Averiguando el Sistema Operativo ] Saber que sistema operativo esta corriendo nuestra victima es algo obviamente muy valioso, ya que muchas de las vulnerabilidades que podemos encontrar dependen del sistema y la version que tenga. La forma mas efectiva de poder conocer que sistema corre nuestra victima seria hacerle un telnet. Suponiendo que el puerto 21 estuviera abierto veriamos algo asi: caos@CAOS~ telnet afrodita.unrl.edu Trying 208.145.173.12... Connected to afrodita.unrl.edu. Escape character is '^]'. HP-UX hpux B.10.01 A 9000/715 (ttyp2) login: Como podemos ver al telnetear al host hpux.u-aizu.ac.jp nos aparece que sistema operativoy que version esta corriendo; y nos aparece un prompt pidiendonos los datos del login. Lamentablemente esta tecnica no es muy efectiva ya que el banner que nos muestra los datos del sistema es facilmente modificable; en los Linux solo basta con modificar los archivos /etc/issue y /etc/issue.net, por ejemplo al telnetear a mi computadora veriamos algo asi: /////// CAOS - Ezkracho Team // - = - /////// Feel the Power ! login: Pero el modificar los banners del login no afecta los banners defaults que vienen en los demas servicios; por ejemplo al telnetear a un ftp nos apareceria lo siguiente: caos@CAOS~ telnet ftp.netscape.com 21 Trying 207.200.74.26 ... Connected to ftp.netscape.com. Escape character is '^]'. 220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready. SYST 215 UNIX Type: L8 Version: SUNOS Otra truco que podemos utilizar si nuestra victima tiene montado un servidor web seria el siguiente: caos@CAOS~ echo 'GET / HTTP/1.0n' | nc hotbot.com 80 | egrep '^Server:' Server: Microsoft-IIS/4.0 caos@CAOS~ Con lo que nos aparece creo que todos pueden deducir el sistema opreativo que esta corriendo. 5. [ Fingerprinting ] El fingerprinting es basicamente determinar que sistema operativo corre una computadora, diferenciando las distintas respuestas que tiene un sistema a un pedido que hacemos. Asi comparando la respuesta de un sistema con respecto de otro, y de otro, podemos ubicar cual es el sistema que corre. Vale decir que el fingerprinting no es 100% seguro con ningun programa que utilisemos, pero segun cual fuese nos puede acercar lo suficiente como para ubicar el sistema, yo personalmente recomiendo el Nmap(www.insecure.org/nmap). A continuacion veremos las tecnicas mas representativas del fingerprinting que muchos programas utilizan: - El FIN probe: mandamos un paquete FIN, o cualquiera que no mande un flag SYN o ACK, a un puerto abierto y esperamos por una respuesta. Segun el RFC 793 no deberiamos obtener ninguna respuesta pero muchas malas implementaciones como el MS Windows, CISCO, BSDI, HP/UX, MVS e IRIX mandan un RESET de respuesta. - El BOGUS flag probe: la idea es marcar un flag TCP indefinido (64 o 128) en la cabezera de un paquete SYN. Algunos Linux anteriores al 2.0.35 dejan marcado este flag en la respuesta; y algunos sistemas resetean la coneccion cuando reciben un paquete SYN+BOGUS. - TCP ISN sampling: la idea aqui es encontar patrones en el ISN(Initial Sequence Number) en aplicaciones TCP ante un pedido de coneccion. Osea hay distintos grupos de Sistemas Operativos que usan diferentes formas de generar los ISN, de esta manera podemos ubicar al sistema. - Don't fragment bit: muchos sistemas comienzan seteando el "Don't fragment" bit en el IP, en algunos de los paquetes que envian. Y muchos otros sistemas lo hacen pero solo en algunos casos. Osea que si vemos como va marcado este bit podemos obtener informacion interesante. - TCP initial window: aqui lo unico que hacemos es chequear el tama~o del window de los paquetes que nos devuelven. Algunos sistemas tienen un window unico, por lo que esta tecnica muchas veces es por la unica forma en que los podemos detectar. - ACK value: mas alla de que supongamos que el valor del ACK va a ser siempre estandar, en algunas implementaciones este valor varia. Por ejemplo supongamos que mandamos un FIN|PSH|URG a un puerto TCP cerrado, la mayoria de las implementaciones van a setear el ACK como el mismo numero de ISN que nosotros enviamos, pero no Windows claro, que manda nuestro ISN + 1. - ICMP error message quenching: esta tecnica consiste en ver la cantidad de menasjes de error que se nos devuelve ante un pedido. Muchos sistemas limitan la cantidad de mensajes de error usando un ratio por segundo o otros formulas. Esta tecnica no es muy usada porque se hace muy lento el tener que estar esperando a que nos devuelva los mensajes de error. - ICMP message quoting: segun los RFC los mensajes ICMP de error deben seguir una constante, sin embargo algunos sistemas no lo hacen asi y varian en las respuestas. Este es un gran punto con el cual podemos identificar algunos sistemas. - Exploit chronology: esta tecnica es muy divertida. Dado que no se puede distinguir entre el TCP stack de Windows 95, 98 y NT, porque no lo han actualizado en lo mas minimo, osea el NT sigue teniendo el mismo stack que el 95 y que el 98, surgio esta tecnica que todos seguramente hemos usado alguna vez. Consiste en hacer un ataque de DOS (Denial of Service) para tirar al Windows, podemos empezar con un Nuke, o un Ping de la Muerte, y luego vamos usando tecnicas un poco mas avanzadas como Teardrop y Land; entonces despues de cada ataque hacemos un PING a la victima y segun con que tecnica haya caido podemos deducir que sistema es y hasta que Service Pack o Hotfix tiene instalado. - SYN flood resistance: muchos sistemas paran de aceptar conexiones cuando uno les envia varios paquetes SYN; algunos solo aceptan 8 paquetes. simplemente podemos determinar el sistema por la cantidad de paquetes que puede aceptar. 6. [ Interpretando y explotando la informacion ] Solo veremos algunos de los puertos mas utiles para nuestro objetivo, los demas se los dejo para que los investiguen ustedes y usen su imaginacion. Lo que aqui haremos en definitiva es tratar de averiguar las versiones de los demonios que esta corriendo el sistema, para encontrar algun bug de esa version y su respectivo exploit. Tambien veremos algunos puertos que nos pueden brindar datos interesantes. Interesting ports on zapala.com.ar (200.32.91.1) Port State Service Protocol 21 open tcp ftp 25 open tcp smtp 79 open tcp finger 80 open tcp http - Puerto 21: yo lo primero que provaria es intentar hacer un ftp anonimo, muchos sistemas estan tan mal configurados que hasta podriamos conseguir el archivo de password. Luego tendriamos que intentar ver que version del demonio ftp esta corriendo, seria algo asi: caos@CAOS~ telnet ftp.zapala.com.ar 21 Trying 200.32.91.1 ... Connected to ftp.zapala.com.ar. Escape character is '^]'. 220 ftp.zapala.com.ar FTP server (Version wu-2.5.0(1) Tue Sep 21 16:48:12 EDT 1999) ready. Aqui vemos que version del FTP server esta corriendo el host, que no hace falta decir lo famoso que es por sus innumerables bugs, ahora lo que hacemos es buscar el exploit para esa version. - Puerto 25: en este puerto generalmente encontraremos el servidor de correo; si es el sendmail u otro, telneteamos a este puerto y vemos cual es la version, y por supuesto vemos si podemos encontrar algun exploit que nos sirva. Para lo que tambien nos puede ser util este puerto es para enviar mails anonimos o fake mails. Por ejemplo nos podriamos hacer pasar por el Administrador del sistema y pedirle que nos envie su contrase~a: telnet universidad.edu.ar 25 220 universidad.edu.ar Microsoft Sendmail 1.0 ready at Sat, 2-1-98 HELO CAOS 250 Hello CAOS MAIL FROM: administrador@universidad.edu.ar 250 ...Sender OKay RCTP TO: victima@universidad.edu.ar 250 ...Recipient OKay DATA 354 Enter mail, end with "." on a line by itself Estimado usuario, debido a una reestructuracion del sistema necesitamos nos envie su contrase~a para agregarla a la nueva base de datos. Muchas gracias y disculpe las molestias. El Administrador. . 250 Mail accepted QUIT 221 universidad.edu.ar closing connection. Este ejemplo es muy inocente pero todo esta en la imaginacion de cada uno. Algo a tener en cuenta es que muchos servidores de correo loguean nuestra direccion IP y puede aparecer en el mail que enviamos, por eso es preferible primero enviarnos un mail a nosotros mismos para ver si aparece nuestra IP. - Puerto 79: en este puerto podemos encontrar importante informacion sobre los usuarios que se encuentran en el sistema. Por ejemplo podemos probar hacer algo como esto: telnet jperez@victima.edu.ar 79 Login Name Tty Idle Login Time Office Office Phone jperez Juan Perez 1 Feb 7 02:06 4785-6548 Y obtendriamos informacion personal de ese usuario como ser su telefono, que podriamos utilizar para hacer Ingenieria social. Ahora si queremos ver todos los usuarios que hay en un sistema en algunos servidores podemos hacer esto: telnet @victima.edu.ar 79 Login Name Tty Idle Login Time Office Office Phone jperez Juan Perez 1 Feb 7 02:06 4785-6548 root root *2 4:28 Feb 7 02:05 Y como vemos obtenemos todos los usuarios que en ese momento se encuentran logueados en el sistema. - Puerto 80: este puerto es el que nos ofrece el servicio de web. Podriamos utilizarlo para conseguir el archivo de password mediante la tecnica del PHF, pero como esta tecnica ya esta quedando obsoleta no mencionare como hacerlo. Todo depende de lo actualizado que estemos en los bugs que dia a dia aparecen, hoy si este host estuviera corriendo el servidor web de Microsoft podriamos probar la vulnerabilidad del ISS que afecta al 90% de los servidores web existentes en Internet, o como ya hemos visto antes podriamos usarlo para obtener informacion del sistema. 7. [ Acerca del Ezkracho Team ] Puedo definir al Ezkracho Team como un grupo de Seguridad e Inseguridad Informatica. Este grupo surgio en un principio por el simple hecho de querer compartir conocimientos e ideas, con quienes nos dimos cuenta teniamos las mismas curiosidades y ansias de saber; mas adelante al empezar a organizarnos surgimos por la necesidad de una propuesta seria entre las pocas que hay en lo que es la seguridad informatica. En lo que es hoy el Ezkracho Team tenemos muchos proyectos que estamos llevando adelante, y muchos ideas para muchos mas; tambien estamos comenzando grandes proyectos con otros grupos que con el tiempo van a salir a la luz. Los miembros actuales del Ezkracho Team son: CAOS (osea yo), Powertech, Giba, Bach y [Hellraiser] El Ezkracho Team es un grupo cerrado por lo que no se aceptan nuevos miembros, pero siempre es bienvenido cualquier tipo de colaboracion. 8. [ Contacto ] Si me queres contactar por cualquier cosa que se te ocurra, como tambien a los demas miembros de Eskracho nuestras direcciones de mail son estas: CAOS ezkracho@hotmail.com <---- este soy yo Powertech powertech@mixmail.com Bach bach@lacasilla.com.ar Giba giba@lacasilla.com.ar [Hellraiser] askhell@ciudad.com.ar Si queres ver mas trabajos de mi autoria como de todo el Ezkracho Team, lo podes hacer en nuestro website. NOTA: debido a que actualmente estamos registrando nuestro dominio y estamos cambiando de server nos podes encontrar en estas URL's. ezkracho.piratas.org www.ezkracho.com www.ezkracho.com.ar www.ezkrachoteam.com.ar Tambien podes encontrar todo nuestro material y mucho mas en el Ezkracho BBS, pero por razones operativas busca el numero de telefono y los horarios que esta online en la web. - EOT - Hasta la proxima, CAOS.
 
Hoy habia 10 visitantes¡Aqui en esta página!
aqui encontraras de todo Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
Registrarse gratis