2011

BANNER GRABBING
HERRAMIENTAS: Amap UnicorScan P0f

Alumno: Javier Garca Cambronel SEGUNDO DE ASIR 06/11/2011

[BANNER GRABBING] 6 de noviembre de 2011

HERRAMIENTAS UTILIZADAS

AMAP

Amap contra Mquina virtual

Amap contra objetivo de la red

UNICORNSCAN Unicornscan contra Mquina virtual Unicornscan contra objetivo de la red

P0F P0f contra Mquina virtual P0f contra objetivo de la red

SEGUNDO DE ASIR Pgina 1

[BANNER GRABBING] 6 de noviembre de 2011

AMAP
Herramienta: AMAP Prerequisitos: Ninguno Contramedidas: Desinstalar y/o deshabilitar servicios innecesarios que se ejecutan en la mquina (ejemplo: SSH, VPN, IPSEC), alteracin de banners. Descripcin: La herramienta AMAP es utilizada para obtener informacin especifica de los banner ofrecidos por los servicios instalados en los puertos de nuestro objetivo. Procedimiento: Ejecutar mediante la siguiente sintaxis desde la shell de BackTrack. MANUAL AMAP Sintaxis Amap opciones ipobjetivo OPCIONES -A enva activa y analiza las respuestas (por defecto) B-Slo muestra los puertos, no enva triggers -P No cosas bandera o de la aplicacin - un (full connect) puerto de escner opciones: -1 Slo enviar triggers a un puerto hasta el 1 de identificacin. Es muy Rpido -6 IPv6 en lugar de utilizar IPv4 -b de impresin ascii de los banners -i archivo archivo salida Nmap legible por la mquina. -u Puertos de lnea de comandos se especifica en UDP (por defecto es TCP) -R /-S no se identifican RPC / SSL servicios -H NO envia solicitud desencadena marcados como potencialmente peligrosos U-No muestra las respuestas no reconocidas (mejor para scripting) -d Vuelca todas las respuestas -v modo detallado, usar dos veces (o ms) para la depuracin (no se recomienda ) -q no reporta los puertos cerrados, y no se imprimen como no identificados -o ARCHIVO [m] Escribe la salida a fichero,-m crea una salida legible por mquina c-CONS Cantidad de conexiones en paralelo para hacer (por defecto 32, mximo 256) C-Nmero de RETRIES reconecta los tiempos de espera de conexin (ver-T) (por defecto 3) -T SEC Configura tiempo de espera en los intentos de conexin en segundos (por defecto 5) -t tiempo de espera de respuesta de la SEC . Espera en segundos (por defecto 5) -p proto Slo envia factores desencadenantes de este protocolo (por ejemplo, ftp) Puerto de destino La direccin de destino y el puerto (s) para escanear (adems de la-i) AMAP es una herramienta para identificar los protocolos de aplicacin en los puertos de destino.

Pista de uso: Opciones "-bqv" se recomienda, aadir "-1" para comprobaciones rpidas.

SEGUNDO DE ASIR

Pgina 2

[BANNER GRABBING] 6 de noviembre de 2011

CON AMAP INFORMACIN DOS MQUINAS VIRTUALES BACTRACK5R1 VS BACKTRACK4 Lo primero que hacemos es ejecutar el laboratorio de backtrack4 para activar los servicios como MYSQL y APACHE para as ya poder trabajar con todas las herramientas en backtrack5 y sacar la informacin correspondiente.

Ejecutamos amap y escribimos el siguiente comando para hacer un anlisis lo ms completo posible con este programa amap bqv 192.168.1.38 Recordemos que podemos personalizar el anlisis con las opciones que tengo detalladas en el manual de arriba.

SEGUNDO DE ASIR

Pgina 3

[BANNER GRABBING] 6 de noviembre de 2011

Que como vemos en la foto nos da toda esta cantidad de informacin pero claro, ahora hay que saber interpretarla los puntos clave de esta informacin que es analizada ms abajo estn en rojo: Total amount of tasks to perform in plain connect mode: 1507305 Protocol on 192.168.1.38:80/tcp (by trigger http) matches http - banner: HTTP/1.1 200 OK\r\nDate Sun, 06 Nov 2011 163920 GMT\r\nServer Apache/2.2.9 (Ubuntu) PHP/5.2.62ubuntu4.5 with Suhosin-Patch\r\nLast-Modified Fri, 19 Mar 2010 231848 GMT\r\nETag "b42c3-95-4822f91cc4600"\r\nAccept-Ranges bytes\r\nContent-Length 149\r\nVary ANALIZANDO LOS DATOS PARA VER LA INFORMACIN OBTENIDA Puertos Abiertos: En este caso solamente uno, el puerto 80 Servicios: que corren en los puertos abiertos, en este caso vemos que tenemos Apache en su versin 2.2.9 y PHP en su versin 5.2.6-2 con Suhosin-Patch. Tambin vemos la ltima vez que fueron modificados, la fecha completa, Mes, Da y hora GMTSistema Operativo: Vemos que nos dice que es una versin de Ubuntu, pero no nos dice exactamente que versin ni nada parecido.

CON AMAP INFORMACIN OBJETIVO DE LA RED MARISTAS Hacemos un Ping a la pgina para as hallar la IP

Como vemos la IP del servidor es 84.124.4.16 Entonces lo que hacemos es coger e introducir el siguiente comando para ver los protocolos que estn abiertos en dicha WEB

Vemos que los protocolos utilizados y ya con eso sacamos algo de la versin de apache que est corriendo.

SEGUNDO DE ASIR

Pgina 4

[BANNER GRABBING] 6 de noviembre de 2011

Pero vamos a hacer un anlisis exhaustivo con el comando que ms completo que tiene Amap y no es otro que amap bqv1 84.124.4.16 1025 443 111 21 80 110 8080 3306 1352 aqu vemos que le hemos aadido el nmero uno en opciones para que el anlisis sea ms rpido y tambin que solo hemos analizado los puertos que directamente estn abiertos y que se han visto con la herramienta Nmap que es muchsimo ms rpida. Hay que tener en cuenta que si analizamos todos los puertos como hemos hecho la duracin del anlisis es muy alta.

Nos da todos estos datos que en el prximo punto analizaremos.

SEGUNDO DE ASIR

Pgina 5

[BANNER GRABBING] 6 de noviembre de 2011

ANALIZANDO LOS DATOS PARA VER LA INFORMACIN OBTENIDA Puertos Abiertos: 21 80 110 111 443 1025 1352 3306 8080 Servicios que corren en cada puerto: Como podemos ver tenemos informacin bastante amplia del objetivo reconociendo mucho de los servicios que se corren en ese servidor como son el tipo de servidor mail que usan el servidor web y su versin la versin de MySQL que utilizan y dems informacin como el sistema operativo que nos puede interesar 21/tcp open ftp vsftpd (before 2.0.8) or WU-FTPD

22/tcp filtered ssh 25/tcp filtered smtp 80/tcp open 110/tcp open 111/tcp open 443/tcp open 1025/tcp open 1352/tcp open 3306/tcp open 8080/tcp open ssl/http smtp lotusnotes mysql http http pop3 Apache httpd 2.2.3 ((CentOS)) qmail pop3d rpcbind (rpcbind V2) 2 (rpc #100000) Apache httpd 2.2.3 ((CentOS)) Lotus Domino smtpd 8.0.1 Lotus Domino server (CN=ender;Org=stiva) MySQL 5.0.77 Lotus Domino httpd

Sistema Operativo: Linux Cent Os Fechas de ltima modificacin: Las fechas en las que fueron modificados dichos servicios que se encuentran en las cabeceras de los protocolos, en este caso HTTP1.1

SEGUNDO DE ASIR

Pgina 6

[BANNER GRABBING] 6 de noviembre de 2011

UNICORNSCAN
Herramienta: UnicorScan Prerrequisitos: Ninguno Contramedidas: Firewall, Desinstalar y/o deshabilitar servicios innecesarios que se ejecutan en la mquina (ejemplo: SSH, VPN, IPSEC), alteracin de banners. Descripcin: Esta herramienta es un escner de puertos y protocolo con gran potencia y velocidad. Realmente, un escner veraz que se adapta a redes muy grandes manteniendo una velocidad realmente alta. El escner es veraz pues dice al probador exactamente qu datos se estn devolviendo en un formato claro. Los resultados pueden ir a un Base de Datos SQL para que usted pueda revisarlos y hacer un seguimiento. Una herramienta indispensable. Lanzar un escaneo a los puertos ms comunes y ver su respuesta, se puede hacer con muchos escneres, segn muchos especialistas nmap y unicornscaner son los mejores. Procedimiento: Ejecutar mediante la siguiente sintaxis desde la shell de BackTrack. CON UNICORNSCAN INFORMACIN DOS MQUINAS VIRTUALES BACTRACK5R1 VS BACKTRACK4 Lo primero que vamos a comprobar es el nmero de puertos que estn abiertos, cuales son y qu protocolo estn corriendo, para ello lo que hacemos es ejecutar el siguiente comando unicornscan ipdelobjetivo en este caso unicornscan 84.124.4.216

Como podemos ver la informacin obtenida con este comando es: Puertos Abiertos: 80 Protocolos activos: http en el puerto 80 Sistema operativo: se puede saber mediante el ttl que nos ha dado que es 64 y se sabe que pertenece a LINUX

SEGUNDO DE ASIR

Pgina 7

[BANNER GRABBING] 6 de noviembre de 2011

CON UNICORNSCANINFORMACIN OBJETIVO DE LA RED MARISTAS Lo primero que vamos a comprobar es el nmero de puertos que estn abiertos, cuales son y qu protocolo estn corriendo, para ello lo que hacemos es ejecutar el siguiente comando unicornscan ipdelobjetivo en este caso unicornscan 84.124.4.216

La Informacin que obtenemos es Puertos abiertos: 21 80 110 111 443 1025 1352 3306 8080 Protocolos que corren en cada puerto y en algn caso el servicio concreto los cuales estn marcados en rojo: 21 ftp 80 http 110 pop3 111 sunrpc 443 https 1025 blackjacks 1352 lotusnote 3306 mysql 8080 http-alt Sistema operativo: Tambin se sabe Gracias al ttl el cual nos da esta informacin se sabe que se est corriendo un Sistema Operativo Linux y es ms sabemos hasta la cantidad de saltos que tenemos hasta llegar al servidor con la simple frmula de de restar 64ttl que pertenece a este sistema operativo con 54 ttl que nos da, lo podemos comprobar con un simple traceroute para ver que esta informacin es cierta.

SEGUNDO DE ASIR

Pgina 8

[BANNER GRABBING] 6 de noviembre de 2011

P0F
Herramienta: P0f Prerrequisitos: Ninguno Contramedidas: Firewall, camuflar sistema operativo con herramientas dedicadas a ello. Descripcin: P0f es una herramienta de identificacin pasiva de sistema operativo, permite detectar el sistema y la versin de las maquinas conectadas a nuestro sistema, a las que nosotros nos conectamos, a las que podemos ver su trfico e incluso a las que no podemos conectarnos (bastante til). Aparte de todo esto P0f puede realizar otras tareas bastante interesantes, por ejemplo es capaz de dar una distancia fsica aproximada del sistema remoto, les dejo un pequeo listado de sus funciones extra:

Detecta la existencia de un balanceador de carga. La distancia al sistema remoto y su tiempo en funcionamiento, Detecta la presencia de un firewall Identifica que conexin tiene el equipo remoto (DSL, OC3, avian carriers) y su proveedor de Internet.

El xito de P0f es que no genera ningn trfico en la red, gracias a esto es posible identificar el sistema de equipos que estn detrs de un cortafuegos donde nuestro escner habitual no podra llegar, adems es liviano, rpido y funciona en entornos Windows y gnu Linux. CON P0F INFORMACIN DOS MQUINAS VIRTUALES BACTRACK5R1 VS BACKTRACK4 Con este programa lo que vamos a intentar hacer va a ser reconocer el sistema operativo de nuestro equipo de la mquina virtual, en la cual est corriendo una versin de backtrack4 para ello lo primero que debemos hacer es ejecutar en backtrack 4 los laboratorios, al igual que hemos hecho cuando hemos utilizado Amap, y para qu necesitamos todo esto? Pues segn las caractersticas de este programa necesitamos ponernos en contacto con esa red para que as pueda escuchar la informacin necesaria y as poder reconocer el sistema operativo.

SEGUNDO DE ASIR

Pgina 9

[BANNER GRABBING] 6 de noviembre de 2011

Para poder reconocer el sistema operativo de nuestro objetivo debemos meternos en su Web, esto lo vamos a conseguir gracias a los laboratorios que hemos activado previamente. Para ello lo nico que debemos hacer es escribir en nuestro navegador la ip de nuestro objetivo (mquina virtual con bactrack 4 y laboratorios ejecutados) y accedemos a una pgina tal que as.

Entonces P0f empieza a trabajar mediante el comando que hemos insertado que es el que nos va a reconocer el sistema operativo, la versin y todo el recorrido que est haciendo.

SEGUNDO DE ASIR

Pgina 10

[BANNER GRABBING] 6 de noviembre de 2011

Para ello hemos utilizado el comando p0f i eth2(puede ser eth0, eth1.dependiendo del ordenador, para asegurarnos de cual utilizar el comando ifconfig si utilizamos Linux e ipconfig si lo utilizamos en Windows. Esta es la Informacin que obtenemos en la Imagen y como vemos no nos reconoce el Sistema operativo utilizando esta tcnica que es la que se suele utilizar en la mayora de los casos, entonces qu informacin hemos obtenido? root@bt:~# p0f -i eth2 p0f - passive os fingerprinting utility, version 2.0.8 (C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com> p0f: listening (SYN) on 'eth2', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'. 192.168.13.164:38681 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:56723 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 69.195.141.179:443 (link: ethernet/modem) 192.168.13.164:42061 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 72.167.239.239:80 (link: ethernet/modem) 192.168.13.164:38684 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:38685 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:38686 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:38687 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:38688 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:56471 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 213.98.99.53:80 (link: ethernet/modem) 192.168.13.164:51826 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)

SEGUNDO DE ASIR

Pgina 11

[BANNER GRABBING] 6 de noviembre de 2011

-> 74.125.230.101:80 (link: ethernet/modem) 192.168.13.164:38691 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:38692 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:38693 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 192.168.13.132:80 (link: ethernet/modem) 192.168.13.164:36863 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 63.245.217.112:443 (link: ethernet/modem) 192.168.13.164:36863 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 63.245.217.112:443 (link: ethernet/modem) 192.168.13.164:36010 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 199.7.52.72:80 (link: ethernet/modem) 192.168.13.164:36011 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 199.7.52.72:80 (link: ethernet/modem) 192.168.13.164:53759 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs) -> 209.85.143.101:80 (link: ethernet/modem) ANALIZANDO INFORMACIN OBTENIDA Podemos ver todos los saltos que hacemos, es decir por donde pasa la informacin del objetivo, lo nico que sacamos en claro y til es el puerto y/o puertos que estn abiertos. Claro no obtenemos ms porque es una herramienta que est casi determinada a averiguar el Sistema Operativo.

SEGUNDO DE ASIR

Pgina 12

[BANNER GRABBING] 6 de noviembre de 2011

OTROS TIPOS DE ANALISIS POSIBLES Podemos hacer otros anlisis como de acceso remoto con root@bt:~# p0f -i eth2 A

p0f -R -i eth2 para mquinas que rechazan nuestras conexiones.

SEGUNDO DE ASIR

Pgina 13

[BANNER GRABBING] 6 de noviembre de 2011

CON P0F INFORMACIN OBJETIVO DE LA RED MARISTAS Vamos a probar las mismas operaciones que hemos utilizado cuando hemos analizado la mquina virtual. P0f i eth2

Vemos que tampoco nos da la informacin del sistema operativo y solo vemos lo que habamos dicho antes por donde pasa la informacin y los puertos abiertos, que se encuentran justo despus de los dos puntos detrs de cada IP.

SEGUNDO DE ASIR

Pgina 14

[BANNER GRABBING] 6 de noviembre de 2011

Pero entonces lo que hacemos es probarlo desde BACKTRACK4 ySORPRESA. Funciona Perfectamente.

INFORMACIN OBTENIDA Como vemos en la imagen de arriba conseguimos todos esos datos que nos dan: Sistema Operativo: Linux con la versin del Kernel 2.6 Direccin del servidor: 84.124.4.21 Puertos Abiertos: 80, 21.

SEGUNDO DE ASIR

Pgina 15