Footprinting y Reconocimiento

Capítulo 2
Contenido del Curso
1. Introducción al Hacking Ético
2. Footprinting y Reconocimiento
3. Scanning Networks
4. Buffer Overflows
5. Utilizando Exploits
6. Ataques a Passwords
7. Vulnerabilidades Web
8. Malware
Capítulo 2
● Intro
● Recolección pasiva de información
● Whois
● Redes Sociales
● Pipl
● Google Hacking
● Shodan
● Otras herramientas
Capítulo 2
● Recolección activa de información
● Banner grabbing
● Registros DNS
● Servidores SMTP
● SNMP
● LDAP
● Email Tracking
● Web fingerprinting
● Netbios
Intro Video
Capitulo 2
Recolección Pasiva de
Información
Capítulo 2
Recolección pasiva
● No se interactúa directamente con el target
del ataque.
● Se busca información disponible de manera
pública
● Se investiga al objetivo utilizando medios
provistos por terceros
whois
● Herramienta de consulta de información de
dominios.
● Existe en modo consola o interfaz web.
Redes Sociales
● La gente no siempre tiene cuidado con lo que
publica.
● Información al alcance de todos!
● Fotos con metadata (Redes sociales viejas).
pipl
● Permite buscar personas en Internet.
● ¿Qué tan expuesta está nuestra información?
● Busqueda automática en varias redes sociales,
feeds de noticias, sitios web, etc.
Google Hacking
● Utilizar google con el fin de:
● Obtener información que los administradores de red
no esperan que veamos.
● Obtener información acerca de usuarios/empleados
de nuestro objetivo.
● Buscar nuevas puertas de acceso, como interfaces de
administración en el sitio.
● Utilizar la imaginación en busca de información
inesperada.
● www.exploit-db.com/google-dorks/
Operadores Google
● site: Restringir la búsqueda a un dominio
determinado.
● inurl: Buscar contenido en el URL solamente.
● Inbody: Buscar en el cuerpo del documento HTML
solamente.
● ext/filetype: búsqueda de archivos por extensión.
● AND/OR: operadores lógicos para concatenar
varios criterios en una sola búsqueda.
● “”: Busqueda textual.
● +/-: Inclusión o exclusión de términos.
Google Hacking
● Restringiendo búsquedas por dominio:
● site:example.org

● Buscando directorios listables:

● Intitle:”index of”

● Archivos interesantes:
● ext:sql
● ext:bkp
Google Hacking
● Buscando intranets:
● intitle:intranet

● SPAM (viagra test):

● site:misitio.com viagra

● Errores de bases de datos:

● “Mysql Error”
Google Hacking
● Cadenas Simples:
● Login | logon
● “your username is”
● Password|passcode
● admin|administrator
● -ext:html -ext:htm -ext:asp -ext:php
● Inurl:backup
Google Hacking
● Camaras web
● Equipos de red
● Impresoras
● Equipos de domótica
● Etc…
● www.exploit-db.com/google-hacking/
Google Hacking
● Enumeración de cuentas de correo de un
dominio.
● Enumeración de subdominios indexados.
The harvester
● Automatiza la tarea tediosa de buscar
dominios y cuentas de correo de manera
manual.
● La cantidad de resultados obtenidos podría
reducirse.
SHODAN
● Buscador de equipos de red.
● Indexa banners de puertos en lugar de páginas
web.
● Facilita la exploración del internet.
● Se requiere una cuenta para realizar la
mayoría de acciones.
SHODAN: Filtros
● after/ before: limit results by date in the format
day/month/year (ex. before:20/03/2010)
● city: name of the city (ex. city:"San Diego")
● country: 2-letter country code (ex. country:US)
● geo: latitude and longitude (ex. geo:50.23,20.06)
● port: 21, 22, 23, 80, 161 or 443
● os: operating system (ex. os:Linux)
● net: IP range using CIDR notation (ex. net:18.7.7.0/24 )
● hostname: full or partial host name (ex.
hostname:google)
Otras herramientas en línea
● www.robtex.com
● www.my-ip-neighbors.com
● www.netcraft.com
● www.centralops.net
Lab 2-1
● Elegir un objetivo cualquiera
● Bancos
● Gobierno
● ISP
● Top Level Domain (.edu.ec, .ec, .com.ec, etc…)
● Etc…
● Obtener por los medios aprendidos la mayor cantidad de
información posible acerca del objetivo en 90 minutos.
● Presentar cualquier dato curioso encontrado
● Respaldos de bases de datos
● Camaras web abiertas
● Dispositivos de red
● Etc.
Recolección Activa de
Información
Capítulo 2
Recolección activa
● Se interactúa directamente con los servidores
objetivos.
● Se busca obtener la mayor cantidad de
información de cada servidor por medio de
pruebas sobre el mismo.
● Dado que se requiere de interacción directa
con el objetivo, pueden ser detectados con
mayor facilidad.
Banner Grabbing
● Técnica que consiste en recopilar banners de
los servicios activos en un equipo de red
● Nos proporciona información de software de
red instalado, versiones y sistema operativo.
● Herramientas útiles:
● telnet
● amap
amap
● Permite obtener una lista de Banners
rápidamente.
● Utilización:
amap -bqv 192.168.1.1 1-1024

● UDP?
Referencias DNS
Forward bruteforcing

● Tomamos una lista de nombres conocidos y verificamos si

existen en el dominio (ej. www, dns1, mail, etc.)

Reverse bruteforcing

● A partir de un rango de direcciones IP conocidas, obtenemos

nombres de dominio

Zone Transfer

● Solicitamos al servidor una copia de todos sus registros

referentes a un dominio específico
DNS : Manual
● Forward Bruteforce
● host www.dominio.net
● host web.dominio.net
● …
● Reverse Bruteforce
● host 8.8.8.1
● host 8.8.8.2
● …
● Zone Transfer
● host -t any -l dominio.net dns1.dominio.net
DNS : Automático
● Buscar como utilizar las herramientas:
● dnsenum
● fierce
SMTP VRFY
● Permite listar cuentas de correo por ataques
de fuerza bruta.
● Herramientas:
● telnet
● smtp-user-enum.pl

● Ejemplo:
● mx1.espol.edu.ec
SNMP
● Protocolo utilizado para monitoreo y
administración de equipos.
● Muestra información acerca del
funcionamiento y configuraciones de los
equipos.
● Existen comunidades por defecto:
● public
● private
● password
SNMP
● Herramientas a utilizar:
● snmpwalk
● snmp-check
● onesixtyone
LDAP
● Cualquier cliente LDAP sirve.
● Los administradores suelen dejar habilitadas
las sesiones anónimas.
● Dependiendo de la configuración del servidor,
una sesión anónima podría permitirnos listar
hasta credenciales de usuario.
jxplorer
Netbios / SMB
● Servicio utilizado para compartición de
recursos en Windows (y en Linux).
● Equipos con Windows corren NetBIOS / SMB
por defecto!
● Ciertas versiones de Windows permiten Null
Sessions.
Netbios Null Session
● Equivale a acceso anónimo al servicio de
NetBIOS.
● Dependiendo de la configuración, el servicio
permite listar:
● Recursos compartidos
● Usuarios del sistema
● Privilegios
● Impresoras
● Información del sistema
nbtscan
● Permite listar los equipos corriendo NetBIOS
en una red.
● Nos provee cierta información de los mismos.
● Utilización:
nbtscan 192.168.1.0/24
nbtscan –hv 192.168.1.0/24
rpcclient
● Cliente NetBIOS por consola.
● Permite establecer Null Sessions de manera
sencilla:

rpcclient -U "" -N 192.168.0.1

● El programa nos presenta una consola interactiva

y una gran selección de comandos a utilizar.
● Muchos de los comandos requieren privilegios de
administración.
rpcclient
● El comando “help” nos indica los comandos
válidos:
rpcclient
● Comandos interesantes:
● enumdomusers
● srvinfo
● lsaenumsid
● lookupsids
● querydispinfo
● netshareenum
● netshareenumall
● querydominfo
Web Fingerprinting
● Análisis de servidores web y sus aplicativos.
● Los servidores web son de los más utilizados.
● Se busca obtener versiones de software, CMS,
plugins, librerías conocidas, scripts, etc.
● El conocimiento de esto nos permite
identificar vulnerabilidades ya conocidas.
Web Fingerprinting
● El proceso consta de las siguientes 3 etapas:
● Identificación del servidor web
● Identificación del CMS
● Identificación de plugins y vulnerabilidades
Identificación del servidor web
● Httprint
httprint -h 10.10.10.1 -s signatures.txt
Identificación de CMS
● Whatweb:
whatweb www.example.com
Identificación de Plugins
● Joomla!
● joomscan.pl
● Drupal
● DPScan.py
● Wordpress
● plecost
Nikto
● Scanner de vulnerabilidades web
genérico.
● Código abierto.
● Detecta vulnerabilidades
conocidas solamente.
● No testea vulnerabilidades
genéricas como XSS, SQLi, etc…
Email Tracking
● Nos permite saber cuando un email enviado
por nosotros fue abierto por el destinatario.
● Adicionalmente nos brinda información como
el navegador utilizado para leer el correo,
cuanto tiempo duró la lectura del mensaje,
entre otros.
Maltego
● Herramienta de “inteligencia” open source
● Maltego permite determinar relaciones entre:
● Personas
● Compañías
● Sitios Web
● Infraestructuras de Internet
● Frases
● Documentos
● Etc.
● Interfaz altamente gráfica.
Contramedidas
● Remover información innecesaria de sitios
web o cualquier otro recurso público.
● Deshabilitar transferencias de zona en
servidores DNS.
● Separar DNS interno de externo.
● Deshabilitar servicios innecesarios en equipos
de red.
● Prevenir que los buscadores hagan caching de
nuestros sitios web.
Contramedidas
● Configurar los routers para no responder a
ciertas peticiones. (ej. ICMP de fuentes
desconocidas)
● Ocultar información de versiones de los
servicios publicados.
● Habilitar firewalls en cada equipo para
restringir los puertos mostrados al mundo.