16
BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f 2011 Alumno: Javier García Cambronel SEGUNDO DE ASIR 06/11/2011

BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

Embed Size (px)

DESCRIPTION

2011BANNER GRABBINGHERRAMIENTAS: Amap UnicorScan P0fAlumno: Javier García Cambronel SEGUNDO DE ASIR 06/11/2011[BANNER GRABBING] 6 de noviembre de 2011HERRAMIENTAS UTILIZADASAMAPAmap contra Máquina virtualAmap contra objetivo de la redUNICORNSCAN Unicornscan contra Máquina virtual Unicornscan contra objetivo de la redP0F P0f contra Máquina virtual P0f contra objetivo de la redSEGUNDO DE ASIR Página 1[BANNER GRABBING] 6 de noviembre de 2011AMAPHerramienta: AMAP Prerequisi

Citation preview

Page 1: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

2011

Alumno: Javier García Cambronel SEGUNDO DE ASIR

06/11/2011

Page 2: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 1

HERRAMIENTAS UTILIZADAS

AMAP

Amap contra Máquina virtual

Amap contra objetivo de la red

UNICORNSCAN

Unicornscan contra Máquina virtual

Unicornscan contra objetivo de la red

P0F

P0f contra Máquina virtual

P0f contra objetivo de la red

Page 3: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 2

AMAP

Herramienta: AMAP

Prerequisitos: Ninguno

Contramedidas: Desinstalar y/o deshabilitar servicios innecesarios que se ejecutan en la

máquina (ejemplo: SSH, VPN, IPSEC), alteración de banner’s.

Descripción: La herramienta AMAP es utilizada para obtener información especifica de los

banner ofrecidos por los servicios instalados en los puertos de nuestro objetivo.

Procedimiento: Ejecutar mediante la siguiente sintaxis desde la shell de BackTrack.

MANUAL AMAP

Sintaxis

Amap –opciones ipobjetivo

OPCIONES

-A envía activa y analiza las respuestas (por defecto)

B-Sólo muestra los puertos, no envía triggers

-P No cosas bandera o de la aplicación - un (full connect) puerto de escáner

opciones:

-1 Sólo enviar triggers a un puerto hasta el 1 de identificación. Es muy Rápido

-6 IPv6 en lugar de utilizar IPv4

-b de impresión ascii de los banners

-i archivo archivo salida Nmap legible por la máquina.

-u Puertos de línea de comandos se especifica en UDP (por defecto es TCP)

-R /-S no se identifican RPC / SSL servicios

-H NO envia solicitud desencadena marcados como potencialmente peligrosos

U-No muestra las respuestas no reconocidas (mejor para scripting)

-d Vuelca todas las respuestas

-v modo detallado, usar dos veces (o más) para la depuración (no se recomienda )

-q no reporta los puertos cerrados, y no se imprimen como no identificados

-o ARCHIVO [m] Escribe la salida a fichero,-m crea una salida legible por máquina

c-CONS Cantidad de conexiones en paralelo para hacer (por defecto 32, máximo 256)

C-Número de RETRIES reconecta los tiempos de espera de conexión (ver-T) (por defecto 3)

-T SEC Configura tiempo de espera en los intentos de conexión en segundos (por defecto 5)

-t tiempo de espera de respuesta de la SEC . Espera en segundos (por defecto 5)

-p proto Sólo envia factores desencadenantes de este protocolo (por ejemplo, ftp)

Puerto de destino La dirección de destino y el puerto (s) para escanear (además de la-i)

AMAP es una herramienta para identificar los protocolos de aplicación en los puertos de

destino.

Pista de uso: Opciones "-bqv" se recomienda, añadir "-1" para comprobaciones rápidas.

Page 4: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 3

CON AMAP INFORMACIÓN DOS MÁQUINAS VIRTUALES BACTRACK5R1 VS BACKTRACK4

Lo primero que hacemos es ejecutar el laboratorio de backtrack4 para activar los servicios

como MYSQL y APACHE para así ya poder trabajar con todas las herramientas en backtrack5

y sacar la información correspondiente.

Ejecutamos amap y escribimos el siguiente comando para hacer un análisis lo más completo

posible con este programa amap –bqv 192.168.1.38 Recordemos que podemos personalizar

el análisis con las opciones que tengo detalladas en el manual de arriba.

Page 5: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 4

Que como vemos en la foto nos da toda esta cantidad de información pero claro, ahora hay

que saber interpretarla los puntos clave de esta información que es analizada más abajo

están en rojo:

Total amount of tasks to perform in plain connect mode: 1507305

Protocol on 192.168.1.38:80/tcp (by trigger http) matches http - banner: HTTP/1.1 200

OK\r\nDate Sun, 06 Nov 2011 163920 GMT\r\nServer Apache/2.2.9 (Ubuntu) PHP/5.2.6-

2ubuntu4.5 with Suhosin-Patch\r\nLast-Modified Fri, 19 Mar 2010 231848 GMT\r\nETag

"b42c3-95-4822f91cc4600"\r\nAccept-Ranges bytes\r\nContent-Length 149\r\nVary

ANALIZANDO LOS DATOS PARA VER LA INFORMACIÓN OBTENIDA

Puertos Abiertos: En este caso solamente uno, el puerto 80

Servicios: que corren en los puertos abiertos, en este caso vemos que tenemos Apache en su

versión 2.2.9 y PHP en su versión 5.2.6-2 con Suhosin-Patch. También vemos la última vez

que fueron modificados, la fecha completa, Mes, Día y hora GMT-

Sistema Operativo: Vemos que nos dice que es una versión de Ubuntu, pero no nos dice

exactamente que versión ni nada parecido.

CON AMAP INFORMACIÓN OBJETIVO DE LA RED MARISTAS

Hacemos un Ping a la página para así hallar la IP

Como vemos la IP del servidor es 84.124.4.16

Entonces lo que hacemos es coger e introducir el siguiente comando para ver los protocolos

que están abiertos en dicha WEB

Vemos que los protocolos utilizados y ya con eso sacamos algo de la versión de apache que

está corriendo.

Page 6: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 5

Pero vamos a hacer un análisis exhaustivo con el comando que más completo que tiene Amap y no es otro que amap –bqv1 84.124.4.16 1025 443 111 21 80 110 8080 3306 1352 “aquí vemos que le hemos añadido el número uno en opciones para que el análisis sea más

rápido” y también que solo hemos analizado los puertos que directamente están abiertos y

que se han visto con la herramienta Nmap que es muchísimo más rápida.

Hay que tener en cuenta que si analizamos todos los puertos como hemos hecho la duración

del análisis es muy alta.

Nos da todos estos datos que en el próximo punto analizaremos.

Page 7: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 6

ANALIZANDO LOS DATOS PARA VER LA INFORMACIÓN OBTENIDA

Puertos Abiertos: 21 80 110 111 443 1025 1352 3306 8080

Servicios que corren en cada puerto:

Como podemos ver tenemos información bastante amplia del objetivo reconociendo mucho

de los servicios que se corren en ese servidor como son el tipo de servidor mail que usan el

servidor web y su versión la versión de MySQL que utilizan y demás información como el

sistema operativo que nos puede interesar

21/tcp open ftp vsftpd (before 2.0.8) or WU-FTPD

22/tcp filtered ssh

25/tcp filtered smtp

80/tcp open http Apache httpd 2.2.3 ((CentOS))

110/tcp open pop3 qmail pop3d

111/tcp open rpcbind (rpcbind V2) 2 (rpc #100000)

443/tcp open ssl/http Apache httpd 2.2.3 ((CentOS))

1025/tcp open smtp Lotus Domino smtpd 8.0.1

1352/tcp open lotusnotes Lotus Domino server (CN=ender;Org=stiva)

3306/tcp open mysql MySQL 5.0.77

8080/tcp open http Lotus Domino httpd

Sistema Operativo: Linux Cent Os

Fechas de última modificación: Las fechas en las que fueron modificados dichos servicios que

se encuentran en las cabeceras de los protocolos, en este caso HTTP1.1…

Page 8: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 7

UNICORNSCAN

Herramienta: UnicorScan

Prerrequisitos: Ninguno

Contramedidas: Firewall, Desinstalar y/o deshabilitar servicios

innecesarios que se ejecutan en la máquina (ejemplo: SSH, VPN,

IPSEC), alteración de banner’s.

Descripción: Esta herramienta es un escáner de puertos y protocolo con gran potencia y

velocidad. Realmente, un escáner veraz que se adapta a redes muy grandes manteniendo

una velocidad realmente alta. El escáner es veraz pues dice al probador exactamente qué

datos se están devolviendo en un formato claro. Los resultados pueden ir a un Base de Datos

SQL para que usted pueda revisarlos y hacer un seguimiento. Una herramienta

indispensable.

Lanzar un escaneo a los puertos más comunes y ver su respuesta, se puede hacer con

muchos escáneres, según muchos especialistas nmap y unicornscaner son los mejores.

Procedimiento: Ejecutar mediante la siguiente sintaxis desde la shell de BackTrack.

CON UNICORNSCAN INFORMACIÓN DOS MÁQUINAS VIRTUALES BACTRACK5R1 VS

BACKTRACK4

Lo primero que vamos a comprobar es el número de puertos que están abiertos, cuales son y

qué protocolo están corriendo, para ello lo que hacemos es ejecutar el siguiente comando

unicornscan ipdelobjetivo en este caso unicornscan 84.124.4.216

Como podemos ver la información obtenida con este comando es:

Puertos Abiertos: 80

Protocolos activos: http en el puerto 80

Sistema operativo: se puede saber mediante el ttl que nos ha dado que es 64 y se sabe que

pertenece a LINUX

Page 9: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 8

CON UNICORNSCANINFORMACIÓN OBJETIVO DE LA RED MARISTAS

Lo primero que vamos a comprobar es el número de puertos que están abiertos, cuales son y

qué protocolo están corriendo, para ello lo que hacemos es ejecutar el siguiente comando

unicornscan ipdelobjetivo en este caso unicornscan 84.124.4.216

La Información que obtenemos es

Puertos abiertos: 21 80 110 111 443 1025 1352 3306 8080

Protocolos que corren en cada puerto y en algún caso el servicio concreto los cuales están

marcados en rojo:

21 ftp

80 http

110 pop3

111 sunrpc

443 https

1025 blackjacks

1352 lotusnote

3306 mysql

8080 http-alt

Sistema operativo: También se sabe Gracias al ttl el cual nos da esta información se sabe que

se está corriendo un Sistema Operativo Linux y es más sabemos hasta la cantidad de saltos

que tenemos hasta llegar al servidor con la simple fórmula de de restar 64ttl que pertenece a

este sistema operativo con 54 ttl que nos da, lo podemos comprobar con un simple

traceroute para ver que esta información es cierta.

Page 10: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 9

P0F

Herramienta: P0f

Prerrequisitos: Ninguno

Contramedidas: Firewall, camuflar sistema operativo con herramientas dedicadas a ello.

Descripción: P0f es una herramienta de identificación pasiva de sistema operativo, permite

detectar el sistema y la versión de las maquinas conectadas a nuestro sistema, a las que

nosotros nos conectamos, a las que podemos ver su tráfico e incluso a las que no podemos

conectarnos (bastante útil).

Aparte de todo esto P0f puede realizar otras tareas bastante interesantes, por ejemplo es

capaz de dar una distancia física aproximada del sistema remoto, les dejo un pequeño

listado de sus funciones “extra”:

Detecta la existencia de un balanceador de carga.

La distancia al sistema remoto y su tiempo en funcionamiento,

Detecta la presencia de un firewall

Identifica que conexión tiene el equipo remoto (DSL, OC3, avian carriers) y su

proveedor de Internet.

El éxito de P0f es que no genera ningún tráfico en la red, gracias a esto es posible identificar

el sistema de equipos que estén detrás de un cortafuegos donde nuestro escáner habitual no

podría llegar, además es liviano, rápido y funciona en entornos Windows y gnu Linux.

CON P0F INFORMACIÓN DOS MÁQUINAS VIRTUALES BACTRACK5R1 VS BACKTRACK4

Con este programa lo que vamos a intentar hacer va a ser reconocer el sistema operativo de

nuestro equipo de la máquina virtual, en la cual está corriendo una versión de backtrack4

para ello lo primero que debemos hacer es ejecutar en backtrack 4 los laboratorios, al igual

que hemos hecho cuando hemos utilizado Amap, y ¿para qué necesitamos todo esto? Pues

según las características de este programa necesitamos ponernos en contacto con esa red

para que así pueda “escuchar” la información necesaria y así poder reconocer el sistema

operativo.

Page 11: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 10

Para poder reconocer el sistema operativo de nuestro objetivo debemos meternos en su

Web, esto lo vamos a conseguir gracias a los laboratorios que hemos activado previamente.

Para ello lo único que debemos hacer es escribir en nuestro navegador la ip de nuestro

objetivo (máquina virtual con bactrack 4 y laboratorios ejecutados) y accedemos a una

página tal que así.

Entonces P0f empieza a trabajar mediante el comando que hemos insertado que es el que

nos va a reconocer el sistema operativo, la versión y todo el recorrido que está haciendo.

Page 12: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 11

Para ello hemos utilizado el comando p0f –i eth2(puede ser eth0, eth1….dependiendo del

ordenador, para asegurarnos de cual utilizar el comando ifconfig si utilizamos Linux e

ipconfig si lo utilizamos en Windows.

Esta es la Información que obtenemos en la Imagen y como vemos no nos reconoce el

Sistema operativo utilizando esta técnica que es la que se suele utilizar en la mayoría de los

casos, entonces… ¿qué información hemos obtenido?

root@bt:~# p0f -i eth2

p0f - passive os fingerprinting utility, version 2.0.8

(C) M. Zalewski <[email protected]>, W. Stearns <[email protected]>

p0f: listening (SYN) on 'eth2', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'.

192.168.13.164:38681 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:56723 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 69.195.141.179:443 (link: ethernet/modem)

192.168.13.164:42061 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 72.167.239.239:80 (link: ethernet/modem)

192.168.13.164:38684 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:38685 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:38686 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:38687 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:38688 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:56471 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 213.98.99.53:80 (link: ethernet/modem)

192.168.13.164:51826 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

Page 13: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 12

-> 74.125.230.101:80 (link: ethernet/modem)

192.168.13.164:38691 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:38692 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:38693 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 192.168.13.132:80 (link: ethernet/modem)

192.168.13.164:36863 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 63.245.217.112:443 (link: ethernet/modem)

192.168.13.164:36863 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 63.245.217.112:443 (link: ethernet/modem)

192.168.13.164:36010 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 199.7.52.72:80 (link: ethernet/modem)

192.168.13.164:36011 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 199.7.52.72:80 (link: ethernet/modem)

192.168.13.164:53759 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

-> 209.85.143.101:80 (link: ethernet/modem)

ANALIZANDO INFORMACIÓN OBTENIDA

Podemos ver todos los saltos que hacemos, es decir por donde pasa la información del

objetivo, lo único que sacamos en claro y útil es el puerto y/o puertos que están abiertos.

Claro no obtenemos más porque es una herramienta que está casi determinada a averiguar

el Sistema Operativo.

Page 14: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 13

OTROS TIPOS DE ANALISIS POSIBLES

Podemos hacer otros análisis como de acceso remoto con root@bt:~# p0f -i eth2 –A

p0f -R -i eth2 para máquinas que rechazan nuestras conexiones.

Page 15: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 14

CON P0F INFORMACIÓN OBJETIVO DE LA RED MARISTAS

Vamos a probar las mismas operaciones que hemos utilizado cuando hemos analizado la

máquina virtual.

P0f –i eth2

Vemos que tampoco nos da la información del sistema operativo y solo vemos lo que

habíamos dicho antes por donde pasa la información y los puertos abiertos, que se

encuentran justo después de los dos puntos detrás de cada IP.

Page 16: BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f

[BANNER GRABBING] 6 de noviembre de 2011

S E G U N D O D E A S I R

Página 15

Pero entonces lo que hacemos es probarlo desde BACKTRACK4 y……SORPRESA. Funciona

Perfectamente.

INFORMACIÓN OBTENIDA

Como vemos en la imagen de arriba conseguimos todos esos datos que nos dan:

Sistema Operativo: Linux con la versión del Kernel 2.6

Dirección del servidor: 84.124.4.21

Puertos Abiertos: 80, 21.