Interpretando y explotando la informacion ]

Solo veremos algunos de los puertos mas utiles para nuestro objetivo,
los demas se los dejo para que los investiguen ustedes y usen su
imaginacion.
Lo que aqui haremos en definitiva es tratar de averiguar las versiones
de los demonios que esta corriendo el sistema, para encontrar algun
bug de esa version y su respectivo exploit. Tambien veremos algunos
puertos que nos pueden brindar datos interesantes.

Interesting ports on zapala.com.ar (200.32.91.1)
Port State Service Protocol
21 open tcp ftp
25 open tcp smtp
79 open tcp finger
80 open tcp http


- Puerto 21: yo lo primero que provaria es intentar hacer un ftp
anonimo, muchos sistemas estan tan mal configurados que hasta
podriamos conseguir el archivo de password. Luego tendriamos que
intentar ver que version del demonio ftp esta corriendo, seria
algo asi:

caos@CAOS~ telnet ftp.zapala.com.ar 21
Trying 200.32.91.1 ...
Connected to ftp.zapala.com.ar.
Escape character is '^]'.
220 ftp.zapala.com.ar FTP server (Version wu-2.5.0(1) Tue Sep 21
16:48:12 EDT 1999) ready.

Aqui vemos que version del FTP server esta corriendo el host, que
no hace falta decir lo famoso que es por sus innumerables bugs,
ahora lo que hacemos es buscar el exploit para esa version.

- Puerto 25: en este puerto generalmente encontraremos el servidor
de correo; si es el sendmail u otro, telneteamos a este puerto y
vemos cual es la version, y por supuesto vemos si podemos encontrar
algun exploit que nos sirva.

Para lo que tambien nos puede ser util este puerto es para enviar
mails anonimos o fake mails. Por ejemplo nos podriamos hacer pasar
por el Administrador del sistema y pedirle que nos envie su
contrase~a:

telnet universidad.edu.ar 25
220 universidad.edu.ar Microsoft Sendmail 1.0 ready at Sat, 2-1-98
HELO CAOS
250 <universidad.edu.ar> Hello CAOS
MAIL FROM: administrador@universidad.edu.ar
250 <administrador@universidad.edu.ar> ...Sender OKay
RCTP TO: victima@universidad.edu.ar
250 <victima@universidad.edu.ar> ...Recipient OKay
DATA
354 Enter mail, end with "." on a line by itself
Estimado usuario, debido a una reestructuracion del sistema
necesitamos nos envie su contrase~a para agregarla a la nueva
base de datos. Muchas gracias y disculpe las molestias.
El Administrador.
.
250 Mail accepted
QUIT
221 universidad.edu.ar closing connection.

Este ejemplo es muy inocente pero todo esta en la imaginacion
de cada uno. Algo a tener en cuenta es que muchos servidores de
correo loguean nuestra direccion IP y puede aparecer en el mail
que enviamos, por eso es preferible primero enviarnos un mail a
nosotros mismos para ver si aparece nuestra IP.

- Puerto 79: en este puerto podemos encontrar importante
informacion sobre los usuarios que se encuentran en el sistema.
Por ejemplo podemos probar hacer algo como esto:

telnet jperez@victima.edu.ar 79

Login Name Tty Idle Login Time Office Office Phone
jperez Juan Perez 1 Feb 7 02:06 4785-6548

Y obtendriamos informacion personal de ese usuario como ser su
telefono, que podriamos utilizar para hacer Ingenieria social.

Ahora si queremos ver todos los usuarios que hay en un sistema en
algunos servidores podemos hacer esto:

telnet @victima.edu.ar 79

Login Name Tty Idle Login Time Office Office Phone
jperez Juan Perez 1 Feb 7 02:06 4785-6548
root root *2 4:28 Feb 7 02:05

Y como vemos obtenemos todos los usuarios que en ese momento se
encuentran logueados en el sistema.

- Puerto 80: este puerto es el que nos ofrece el servicio de
web. Podriamos utilizarlo para conseguir el archivo de password
mediante la tecnica del PHF, pero como esta tecnica ya esta
quedando obsoleta no mencionare como hacerlo. Todo depende de
lo actualizado que estemos en los bugs que dia a dia aparecen,
hoy si este host estuviera corriendo el servidor web de Microsoft
podriamos probar la vulnerabilidad del ISS que afecta al 90% de
los servidores web existentes en Internet, o como ya hemos visto
antes podriamos usarlo para obtener informacion del sistema.

[ Fingerprinting ]

 El fingerprinting es basicamente determinar que sistema operativo corre
una computadora, diferenciando las distintas respuestas que tiene un
sistema a un pedido que hacemos. Asi comparando la respuesta de un
sistema con respecto de otro, y de otro, podemos ubicar cual es el sistema
que corre. Vale decir que el fingerprinting no es 100% seguro con ningun
programa que utilisemos, pero segun cual fuese nos puede acercar lo
suficiente como para ubicar el sistema, yo personalmente recomiendo el
Nmap(www.insecure.org/nmap). A continuacion veremos las tecnicas mas
representativas del fingerprinting que muchos programas utilizan:

- El FIN probe: mandamos un paquete FIN, o cualquiera que no mande un
flag SYN o ACK, a un puerto abierto y esperamos por una respuesta. Segun
el RFC 793 no deberiamos obtener ninguna respuesta pero muchas malas
implementaciones como el MS Windows, CISCO, BSDI, HP/UX, MVS e IRIX
mandan un RESET de respuesta.

- El BOGUS flag probe: la idea es marcar un flag TCP indefinido (64 o
128) en la cabezera de un paquete SYN. Algunos Linux anteriores al
2.0.35 dejan marcado este flag en la respuesta; y algunos sistemas
resetean la coneccion cuando reciben un paquete SYN+BOGUS.

- TCP ISN sampling: la idea aqui es encontar patrones en el ISN(Initial
Sequence Number) en aplicaciones TCP ante un pedido de coneccion. Osea
hay distintos grupos de Sistemas Operativos que usan diferentes formas
de generar los ISN, de esta manera podemos ubicar al sistema.

- Don't fragment bit: muchos sistemas comienzan seteando el "Don't
fragment" bit en el IP, en algunos de los paquetes que envian. Y muchos
otros sistemas lo hacen pero solo en algunos casos. Osea que si vemos
como va marcado este bit podemos obtener informacion interesante.

- TCP initial window: aqui lo unico que hacemos es chequear el tama~o
del window de los paquetes que nos devuelven. Algunos sistemas tienen
un window unico, por lo que esta tecnica muchas veces es por la unica
forma en que los podemos detectar.

- ACK value: mas alla de que supongamos que el valor del ACK va a ser
siempre estandar, en algunas implementaciones este valor varia. Por
ejemplo supongamos que mandamos un FIN|PSH|URG a un puerto TCP cerrado,
la mayoria de las implementaciones van a setear el ACK como el mismo
numero de ISN que nosotros enviamos, pero no Windows claro, que manda
nuestro ISN + 1.

- ICMP error message quenching: esta tecnica consiste en ver la cantidad
de menasjes de error que se nos devuelve ante un pedido. Muchos sistemas
limitan la cantidad de mensajes de error usando un ratio por segundo o
otros formulas. Esta tecnica no es muy usada porque se hace muy lento el
tener que estar esperando a que nos devuelva los mensajes de error.

- ICMP message quoting: segun los RFC los mensajes ICMP de error deben
seguir una constante, sin embargo algunos sistemas no lo hacen asi y
varian en las respuestas. Este es un gran punto con el cual podemos
identificar algunos sistemas.

- Exploit chronology: esta tecnica es muy divertida. Dado que no se
puede distinguir entre el TCP stack de Windows 95, 98 y NT, porque no
lo han actualizado en lo mas minimo, osea el NT sigue teniendo el mismo
stack que el 95 y que el 98, surgio esta tecnica que todos seguramente
hemos usado alguna vez. Consiste en hacer un ataque de DOS (Denial of
Service) para tirar al Windows, podemos empezar con un Nuke, o un Ping
de la Muerte, y luego vamos usando tecnicas un poco mas avanzadas como
Teardrop y Land; entonces despues de cada ataque hacemos un PING a la
victima y segun con que tecnica haya caido podemos deducir que sistema
es y hasta que Service Pack o Hotfix tiene instalado.

- SYN flood resistance: muchos sistemas paran de aceptar conexiones
cuando uno les envia varios paquetes SYN; algunos solo aceptan 8
paquetes. simplemente podemos determinar el sistema por la cantidad de
paquetes que puede aceptar.

[ Averiguando el Sistema Operativo ]

Saber que sistema operativo esta corriendo nuestra victima es algo
obviamente muy valioso, ya que muchas de las vulnerabilidades que podemos
encontrar dependen del sistema y la version que tenga.

La forma mas efectiva de poder conocer que sistema corre nuestra victima
seria hacerle un telnet. Suponiendo que el puerto 21 estuviera abierto
veriamos algo asi:

caos@CAOS~ telnet afrodita.unrl.edu
Trying 208.145.173.12...
Connected to afrodita.unrl.edu.
Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

Como podemos ver al telnetear al host hpux.u-aizu.ac.jp nos aparece que
sistema operativoy que version esta corriendo; y nos aparece un prompt
pidiendonos los datos del login. Lamentablemente esta tecnica no es muy
efectiva ya que el banner que nos muestra los datos del sistema es
facilmente modificable; en los Linux solo basta con modificar los archivos
/etc/issue y /etc/issue.net, por ejemplo al telnetear a mi computadora
veriamos algo asi:

/////// CAOS - Ezkracho Team
// - = -
/////// Feel the Power !

login:

Pero el modificar los banners del login no afecta los banners defaults
que vienen en los demas servicios; por ejemplo al telnetear a un ftp nos
apareceria lo siguiente:

caos@CAOS~ telnet ftp.netscape.com 21
Trying 207.200.74.26 ...
Connected to ftp.netscape.com.
Escape character is '^]'.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS

Otra truco que podemos utilizar si nuestra victima tiene montado un
servidor web seria el siguiente:

caos@CAOS~ echo 'GET / HTTP/1.0\n' | nc hotbot.com 80 | egrep '^Server:'
Server: Microsoft-IIS/4.0
caos@CAOS~

Con lo que nos aparece creo que todos pueden deducir el sistema opreativo
que esta corriendo.

Que es el escaneo de puertos ? ]

Que es el escaneo de puertos ? ]


El escaneo de puertos consiste basicamente en detectar que servicios
nos esta ofreciendo un determinado host. Si al hacer un escaneo
encontramos un puerto abierto, segun cual fuese este es el servicio
que nos ofrece.

Por ejemplo vamos a escanear el host zapala.com.ar:

Interesting ports on zapala.com.ar (200.32.91.1)
Port State Service Protocol
21 open tcp ftp
25 open tcp smtp
80 open tcp http

Suponiendo que solo estos puertos estuvieran abiertos (HEH!) lo que nos
resulta de este escaneo, es que zapala.com.ar esta ofreciendo servicios
de transferencia de archivos, de correo y de web.
Mas adelante veremos de que forma podemos explotar la informacion que
hemos obtenido ahora.



3. [ Diferentes tecnicas de escaneo de puertos ]


Debido a los diferentes tipos de protocolos, los numerosos puertos que
pueden estar escuchando, y a los dispositivos empleados para evitar o
detectar el escaneo de puertos, han surgido diferentes tecnicas las
cuales tienen sus ventajas como desventajas. A continuacion veremos
algunas de las distintas tecnicas que hoy dia conocemos.

- TCP connect() scanning: esta es la forma mas popular de escaneo TCP y
consiste basicamente en usar la llamada a sistema connect() del sistema
operativo, si se logra establecer la coneccion con el puerto de la otra
computadora entonces este puerto esta abierto. Las ventajas que tiene
esta forma de escaneo es que no se necesita ningun privilegio especial
para poder llevarla a cabo, en la mayoria de los Unix cualquier usuario
puede hacer uso de la llamada connect(). Otra gran ventaja es la
velocidad. El lado negativo que encontramos es que es muy facil de
detectar y de filtrar, y generalmente el host loguea que establecemos
una coneccion e inmediatamente nos desconectamos.

- TCP SYN scanning: esta tecnica es la llamada escaneo "half-open" (o
mitad-abierta), porque no establecemos una coneccion TCP completa. Lo
que hacemos es enviar un paquete SYN como si fueramos a entablar una
coneccion TCP completa y esperamos por una respuesta. Podemos recibir
un SYN|ACK si el puerto esta escuchando o un RST si el puerto esta
cerrado. Si recibimos un SYN|ACK en respuesta, inmediatamente le
enviamos un RST. La mayor ventaja de esta tecnica es que muy pocos
servers nos loguean; y la desventaja es que se necesita privilegios de
root para construir estos paquetes SYN a enviar.

- TCP FIN scanning: algunos firewalls y packets filters escuchan por los
paquetes SYN en algunos puertos, y programas como el synlogger puden
detectar este tipo de escaneo. En cambio los paquetes FIN pueden penetrar
sin mayor problemas. La idea consiste en que al enviar un paquete FIN
si el puerto esta cerrado nos va a devolver un RST, y si el puerto esta
abierto nos va a ignorar. Esto se debe a un error en las implementaciones
TCP pero no funciona en un 100%. La mayoria de los sistemas parecen
susceptibles excepto los sistemas Microsoft que son inmunes (aunque
usted no lo crea).

- Fragmentation scanning: esta no es una tecnica en si misma, sino una
modificacion de otras tecnicas. Consiste en hacer una divicion de los
paquetes que enviamos, para no ser detectados por los packet filters y
los firewalls. Por ejemplo podemos hacer un SYN o un FIN scanning
fragmentando los paquetes que enviamos, y al ir quedando en cola en los
firewalls y en los packet filters no somos detectados.

- TCP reverse ident scanning: el protocolo ident permite averiguar el
nombre de usuario y el due~o de cualquier servicio corriendo dentro de
una coneccion TCP. Por ejemplo podemos conectarnos al puerto http y
usar identd para averiguar que esta corriendo la victima como root; esto
solo es posible estableciendo una coneccion TCP completa.

- FTP bounce attack: algo interesante del protocolo ftp, es que permite
lo que se llama coneccion proxy ftp. Osea yo podria conectarme a un ftp
desde un servidor proxy y al hacer esto establecer una coneccion y enviar
un archivo a cualquier parte de la Internet. Esto lo podemos aprovechar
tambien para hacer por ejemplo un escaneo TCP, ya que estariamos haciendolo
desde un servidor ftp pero detras de un firewall. Lo bueno que tiene esta
tecnica es obviamente que es muy dificil de rastrear, y lo malo es que
puede volverse sumamente lento.

- UDP ICMP port unreachable scanning: Lo que varia significativamente de
esta tecnica con respecta a las otras es que estamos usando el protocolo
UDP, este protocolo puede ser mas simple que el TCP pero al escanear se
vuelve sumamente mas complejo; esto se debe a que si un puerto esta abierto
no tiene que enviarnos un paquete de respuesta, y si un puerto esta cerrado
tampoco tiene que enviarnos un paquete de error. Afortunadamente, la
mayoria de los hosts nos envian un paquete de error "ICMP_PORT_UNREACH"
cuando un puerto UDP esta cerrado. Esta tecnica suele volverse muy lenta

DESCRIPCION DE ETHERNET

Ethernet es una topología de red que basa su operación en el protocolo MAC

CSMA/CD. En una implementación “Ethernet CSMA/CD”, una estación con un

paquete listo para enviar, retarda la transmisión hasta que “sense” o verifique que el

medio por el cual se va ha trasmitir, se encuentre libre o desocupado. Después de

comenzar la transmisión existe un tiempo muy corto en el que una colisión puede

ocurrir, este es el tiempo requerido por las estaciones de la red para “sensar” en el

medio de transmisión el paquete enviado. En una colisión las estaciones dejan de

http://www.cybercursos.net

22

transmitir, esperan un tiempo aleatorio y entonces vuelven a sensar el medio de

transmisión para determinar si ya se encuentra desocupado.

Una correcta operación, requiere que las colisiones sean detectadas antes

de que la transmisión sea detenida y también que la longitud de un paquete

colisionado no exceda la longitud del paquete. Estos requerimientos de coordinación

son el factor limitante del espacio de la red. En un cableado Ethernet el medio

coaxial es partido en segmentos, se permite un máximo de 5 segmentos entre 2

estaciones. De esos segmentos únicamente 3 pueden ser coaxiales, los otros 2

deben de tener un enlace punto-a-punto. Los segmentos coaxiales son conectados

por medio de repetidores, un máximo de 4 repetidores pueden ser instalados entre 2

estaciones. La longitud máxima de cada segmento es:

1.- 500 mts para 10Base5

2.-185 mts para l0Base2.

La función del repetidor es regenerar y retransmitir las señales que viajen

entre diferentes segmentos, y detectar colisiones.

3.3.- MODOS DE RADIACION INFRARROJOS

Las estaciones con tecnología infrarroja pueden usar tres modos diferentes

de radiación para intercambiar la energía Optica entre transmisores-receptores:

punto-a-punto cuasi-difuso y difuso (FIG. 3.2.1, 3.2.2, 3.2.3).

http://www.cybercursos.net

23

PUNTO-A-PUNTO

FIG 3.2.1

CUASI-DIFUSO

S A T E L I T E

FIG 3.2.2

http://www.cybercursos.net

24

DIFUSO

FIG 3.2.3

En el modo punto-a-punto los patrones de radiación del emisor y del receptor

deben de estar lo más cerca posible, para que su alineación sea correcta. Como

resultado, el modo punto-a-punto requiere una línea-de-vista entre las dos

estaciones a comunicarse. Este modo es usado para la implementación de redes

Inalámbricas Infrarrojas Token-Ring. El “Ring” físico es construido por el enlace

inalámbrico individual punto-a-punto conectado a cada estación.

A diferencia del modo punto-a-punto, el modo cuasi-difuso y difuso son de

emisión radial, o sea que cuando una estación emite una señal Optica, ésta puede

ser recibida por todas las estaciones al mismo tiempo en la célula. En el modo

cuasi–difuso las estaciones se comunican entre si, por medio de superficies

reflejantes . No es necesaria la línea-de-vista entre dos estaciones, pero si deben

de estarlo con la superficie de reflexión. Además es recomendable que las

estaciones estén cerca de la superficie de reflexión, esta puede ser pasiva ó activa.

En las células basadas en reflexión pasiva, el reflector debe de tener altas

http://www.cybercursos.net

25

propiedades reflectivas y dispersivas, mientras que en las basadas en reflexión

activa se requiere de un dispositivo de salida reflexivo, conocido como satélite, que

amplifica la señal óptica. La reflexión pasiva requiere más energía, por parte de las

estaciones, pero es más flexible de usar.

En el modo difuso, el poder de salida de la señal óptica de una estación,

debe ser suficiente para llenar completamente el total del cuarto, mediante múltiples

reflexiones, en paredes y obstáculos del cuarto. Por lo tanto la línea-de-vista no es

necesaria y la estación se puede orientar hacia cualquier lado. El modo difuso es el

más flexible, en términos de localización y posición de la estación, sin embargo esta

flexibilidad esta a costa de excesivas emisiones ópticas.

Por otro lado la transmisión punto-a-punto es el que menor poder óptico

consume, pero no debe de haber obstáculos entre las dos estaciones. En la

topología de

producido por el acceso al punto óptico de cada estación es muy representativo en

el rendimiento de la red. Es más recomendable y más fácil de implementar el modo

de radiación cuasi-difuso. La tecnología infrarroja esta disponible para soportar el

ancho de banda de Ethernet, ambas reflexiones son soportadas (por satélites y

reflexiones pasivas).Ethernet se puede usar el enlace punto-a-punto, pero el retardo

LIMITE DE LA LONGITUD DEL PAQUETE Y SU TIEMPO.

Cuando el paquete es más pequeño, la proporción del tiempo usado al

accesar el canal, es mayor, aunque la carga pueda ser pequeña para algunas

funciones, la transferencia y descarga de archivos son mejor administrados cuando

la longitud del paquete es de buen tamaño, para minizar el tiempo de transferencia.

En paquetes grandes, se incrementa la posibilidad de que el paquete tenga

errores en el envío, en sistemas de radio el tamaño aproximado ideal es de 512

octetos o menos , un paquete con una longitud de 100-600 octetos puede permitir la

salida oportuna de respuestas y datagramas prioritarios junto con los datagramas

normales.

Es necesario de proveer formas para dividir los paquetes en segmentos

dentro de las redes inalámbricas. Para un protocolo propuesto, el promedio de

mensajes transferidos, es mayor para el tráfico originado por el “saludo inicial”, que

el originado por el punto de acceso. En este promedio se incluyen campos de

dirección de red y otras funciones que son agregadas por el protocolo usado y no

por el sistema de radio.

El mensaje más largo permitido para superar un retardo de acceso de 1.8.

m

octetos utiliza 400

que sobran pueden ser usados para solicitar requerimiento pendientes. El tiempo

marcado para un grupo de Reuso de 4 puede ser de 2,400

puede ser uniforme, entre grupos comunes y juntos, con 4 puntos de acceso. sin

seg. y un factor de Reuso de 4, utiliza menos de 600 mseg. Un mensaje de 600mseg. a una velocidad de transmisión de 12 Mbs, los 200 mseg.mseg. Este tiempo total

http://www.cybercursos.net

19

embargo la repartición del tiempo entre ellos será según la demanda.

Las computadoras necesitan varios anchos de banda dependiendo del

servicio a utilizar, transmisiones de datos, de vídeo y voz de voz, etc. La opción es,

si:

1.- El medio físico puede multiplexar de tal manera que un paquete sea un

conjunto de servicios.

2.- El tiempo y prioridad es reservado para el paquete y los paquetes

relacionados con el, la parte alta de la capa MAC es multiplexada.

La capacidad de compartir el tiempo de estos dos tipos de servicios ha

incrementado la ventaja de optimizar la frecuencia en el espacio y los requerimientos

para armar un sistema.

EFICIENCIA DEL TIEMPO

El tiempo es importante para poder maximizar el servicio, al momento de

diseñar la frecuencia en el espacio. El uso del tiempo está determinado por los

protocolos y por los métodos de acceso que regularmente usen los canales de

http://www.cybercursos.net

16

transmisión de la estación.

Las características del método de acceso para que se considere que tiene

un tiempo eficiente, pueden estar limitada por los métodos que sean utilizados.

Algunas de estas características son:

1.- Después de completar una transmisión/ recepción, la comunicación debe

de estar disponible para su siguiente uso.

a.- No debe de haber tiempos fijos entre la transmisión-recepción.

b.- Rellenar la longitud de un mensaje para complementar el espacio, es

desperdiciarlo.

2.- La densidad de distribución geográfica y tiempo irregular de la demanda

del tráfico deben ser conocidas.

a.- Un factor de Reuso, es más eficiente por un uso secuencial del tiempo

que por una división geográfica del área.

b.- Para la comunicación en una área, se debe de considerar la posibilidad

de que en áreas cercanas existan otras comunicaciones.

c.- La dirección del tráfico desde y hacia la estación no es igual, el uso de

un canal simple de transmisión y recepción da una ventaja en el uso

del tiempo.

3.- Para tráfico abundante, se debe de tener una “lista de espera” en la que

http://www.cybercursos.net

17

se manejen por prioridades: “El primero en llegar, es el primero en salir”,

además de poder modificar las prioridades.

4.- Establecer funciones para usar todo el ancho de banda del canal de

comunicación, para que el tiempo que exista entre el comienzo de la

transmisión y la disponibilidad de la comunicación, sea lo más corto

posible.

5.- El uso de un “saludo inicial” minimiza tiempos perdidos, en el caso de que

los paquetes transferidos no lleguen correctamente; cuando los

paquetes traen consigo una descripción del servicio que requieren,

hacen posible que se mejore su organización.

6.- La conexión para mensajes debe ser más eficiente que la selección,

particularmente al primer intento, sin embargo la selección puede ser

eficiente en un segundo intento cuando la lista de las estaciones a

seleccionar sea corta.

Para transacciones de tipo asincrona, es deseable completar la transacción

inicial antes de comenzar la siguiente. Deben completarse en el menor tiempo

posible. El tiempo requerido para una transacción de gran tamaño es un parámetro

importante para el sistema, que afecta la capacidad del administrador de control

para encontrar tiempos reservados con retardos, como hay un tiempo fijo permitido

para la propagación, el siguiente paso debe comenzar cuando termina el actual. El

control del tráfico de datos en ambas direcciones, se realiza en el administrador de

control.