Post on 04-Aug-2015
description
BANNER GRABBING HERRAMIENTAS: Amap UnicorScan P0f
2011
Alumno: Javier García Cambronel SEGUNDO DE ASIR
06/11/2011
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 1
HERRAMIENTAS UTILIZADAS
AMAP
Amap contra Máquina virtual
Amap contra objetivo de la red
UNICORNSCAN
Unicornscan contra Máquina virtual
Unicornscan contra objetivo de la red
P0F
P0f contra Máquina virtual
P0f contra objetivo de la red
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 2
AMAP
Herramienta: AMAP
Prerequisitos: Ninguno
Contramedidas: Desinstalar y/o deshabilitar servicios innecesarios que se ejecutan en la
máquina (ejemplo: SSH, VPN, IPSEC), alteración de banner’s.
Descripción: La herramienta AMAP es utilizada para obtener información especifica de los
banner ofrecidos por los servicios instalados en los puertos de nuestro objetivo.
Procedimiento: Ejecutar mediante la siguiente sintaxis desde la shell de BackTrack.
MANUAL AMAP
Sintaxis
Amap –opciones ipobjetivo
OPCIONES
-A envía activa y analiza las respuestas (por defecto)
B-Sólo muestra los puertos, no envía triggers
-P No cosas bandera o de la aplicación - un (full connect) puerto de escáner
opciones:
-1 Sólo enviar triggers a un puerto hasta el 1 de identificación. Es muy Rápido
-6 IPv6 en lugar de utilizar IPv4
-b de impresión ascii de los banners
-i archivo archivo salida Nmap legible por la máquina.
-u Puertos de línea de comandos se especifica en UDP (por defecto es TCP)
-R /-S no se identifican RPC / SSL servicios
-H NO envia solicitud desencadena marcados como potencialmente peligrosos
U-No muestra las respuestas no reconocidas (mejor para scripting)
-d Vuelca todas las respuestas
-v modo detallado, usar dos veces (o más) para la depuración (no se recomienda )
-q no reporta los puertos cerrados, y no se imprimen como no identificados
-o ARCHIVO [m] Escribe la salida a fichero,-m crea una salida legible por máquina
c-CONS Cantidad de conexiones en paralelo para hacer (por defecto 32, máximo 256)
C-Número de RETRIES reconecta los tiempos de espera de conexión (ver-T) (por defecto 3)
-T SEC Configura tiempo de espera en los intentos de conexión en segundos (por defecto 5)
-t tiempo de espera de respuesta de la SEC . Espera en segundos (por defecto 5)
-p proto Sólo envia factores desencadenantes de este protocolo (por ejemplo, ftp)
Puerto de destino La dirección de destino y el puerto (s) para escanear (además de la-i)
AMAP es una herramienta para identificar los protocolos de aplicación en los puertos de
destino.
Pista de uso: Opciones "-bqv" se recomienda, añadir "-1" para comprobaciones rápidas.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 3
CON AMAP INFORMACIÓN DOS MÁQUINAS VIRTUALES BACTRACK5R1 VS BACKTRACK4
Lo primero que hacemos es ejecutar el laboratorio de backtrack4 para activar los servicios
como MYSQL y APACHE para así ya poder trabajar con todas las herramientas en backtrack5
y sacar la información correspondiente.
Ejecutamos amap y escribimos el siguiente comando para hacer un análisis lo más completo
posible con este programa amap –bqv 192.168.1.38 Recordemos que podemos personalizar
el análisis con las opciones que tengo detalladas en el manual de arriba.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 4
Que como vemos en la foto nos da toda esta cantidad de información pero claro, ahora hay
que saber interpretarla los puntos clave de esta información que es analizada más abajo
están en rojo:
Total amount of tasks to perform in plain connect mode: 1507305
Protocol on 192.168.1.38:80/tcp (by trigger http) matches http - banner: HTTP/1.1 200
OK\r\nDate Sun, 06 Nov 2011 163920 GMT\r\nServer Apache/2.2.9 (Ubuntu) PHP/5.2.6-
2ubuntu4.5 with Suhosin-Patch\r\nLast-Modified Fri, 19 Mar 2010 231848 GMT\r\nETag
"b42c3-95-4822f91cc4600"\r\nAccept-Ranges bytes\r\nContent-Length 149\r\nVary
ANALIZANDO LOS DATOS PARA VER LA INFORMACIÓN OBTENIDA
Puertos Abiertos: En este caso solamente uno, el puerto 80
Servicios: que corren en los puertos abiertos, en este caso vemos que tenemos Apache en su
versión 2.2.9 y PHP en su versión 5.2.6-2 con Suhosin-Patch. También vemos la última vez
que fueron modificados, la fecha completa, Mes, Día y hora GMT-
Sistema Operativo: Vemos que nos dice que es una versión de Ubuntu, pero no nos dice
exactamente que versión ni nada parecido.
CON AMAP INFORMACIÓN OBJETIVO DE LA RED MARISTAS
Hacemos un Ping a la página para así hallar la IP
Como vemos la IP del servidor es 84.124.4.16
Entonces lo que hacemos es coger e introducir el siguiente comando para ver los protocolos
que están abiertos en dicha WEB
Vemos que los protocolos utilizados y ya con eso sacamos algo de la versión de apache que
está corriendo.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 5
Pero vamos a hacer un análisis exhaustivo con el comando que más completo que tiene Amap y no es otro que amap –bqv1 84.124.4.16 1025 443 111 21 80 110 8080 3306 1352 “aquí vemos que le hemos añadido el número uno en opciones para que el análisis sea más
rápido” y también que solo hemos analizado los puertos que directamente están abiertos y
que se han visto con la herramienta Nmap que es muchísimo más rápida.
Hay que tener en cuenta que si analizamos todos los puertos como hemos hecho la duración
del análisis es muy alta.
Nos da todos estos datos que en el próximo punto analizaremos.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 6
ANALIZANDO LOS DATOS PARA VER LA INFORMACIÓN OBTENIDA
Puertos Abiertos: 21 80 110 111 443 1025 1352 3306 8080
Servicios que corren en cada puerto:
Como podemos ver tenemos información bastante amplia del objetivo reconociendo mucho
de los servicios que se corren en ese servidor como son el tipo de servidor mail que usan el
servidor web y su versión la versión de MySQL que utilizan y demás información como el
sistema operativo que nos puede interesar
21/tcp open ftp vsftpd (before 2.0.8) or WU-FTPD
22/tcp filtered ssh
25/tcp filtered smtp
80/tcp open http Apache httpd 2.2.3 ((CentOS))
110/tcp open pop3 qmail pop3d
111/tcp open rpcbind (rpcbind V2) 2 (rpc #100000)
443/tcp open ssl/http Apache httpd 2.2.3 ((CentOS))
1025/tcp open smtp Lotus Domino smtpd 8.0.1
1352/tcp open lotusnotes Lotus Domino server (CN=ender;Org=stiva)
3306/tcp open mysql MySQL 5.0.77
8080/tcp open http Lotus Domino httpd
Sistema Operativo: Linux Cent Os
Fechas de última modificación: Las fechas en las que fueron modificados dichos servicios que
se encuentran en las cabeceras de los protocolos, en este caso HTTP1.1…
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 7
UNICORNSCAN
Herramienta: UnicorScan
Prerrequisitos: Ninguno
Contramedidas: Firewall, Desinstalar y/o deshabilitar servicios
innecesarios que se ejecutan en la máquina (ejemplo: SSH, VPN,
IPSEC), alteración de banner’s.
Descripción: Esta herramienta es un escáner de puertos y protocolo con gran potencia y
velocidad. Realmente, un escáner veraz que se adapta a redes muy grandes manteniendo
una velocidad realmente alta. El escáner es veraz pues dice al probador exactamente qué
datos se están devolviendo en un formato claro. Los resultados pueden ir a un Base de Datos
SQL para que usted pueda revisarlos y hacer un seguimiento. Una herramienta
indispensable.
Lanzar un escaneo a los puertos más comunes y ver su respuesta, se puede hacer con
muchos escáneres, según muchos especialistas nmap y unicornscaner son los mejores.
Procedimiento: Ejecutar mediante la siguiente sintaxis desde la shell de BackTrack.
CON UNICORNSCAN INFORMACIÓN DOS MÁQUINAS VIRTUALES BACTRACK5R1 VS
BACKTRACK4
Lo primero que vamos a comprobar es el número de puertos que están abiertos, cuales son y
qué protocolo están corriendo, para ello lo que hacemos es ejecutar el siguiente comando
unicornscan ipdelobjetivo en este caso unicornscan 84.124.4.216
Como podemos ver la información obtenida con este comando es:
Puertos Abiertos: 80
Protocolos activos: http en el puerto 80
Sistema operativo: se puede saber mediante el ttl que nos ha dado que es 64 y se sabe que
pertenece a LINUX
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 8
CON UNICORNSCANINFORMACIÓN OBJETIVO DE LA RED MARISTAS
Lo primero que vamos a comprobar es el número de puertos que están abiertos, cuales son y
qué protocolo están corriendo, para ello lo que hacemos es ejecutar el siguiente comando
unicornscan ipdelobjetivo en este caso unicornscan 84.124.4.216
La Información que obtenemos es
Puertos abiertos: 21 80 110 111 443 1025 1352 3306 8080
Protocolos que corren en cada puerto y en algún caso el servicio concreto los cuales están
marcados en rojo:
21 ftp
80 http
110 pop3
111 sunrpc
443 https
1025 blackjacks
1352 lotusnote
3306 mysql
8080 http-alt
Sistema operativo: También se sabe Gracias al ttl el cual nos da esta información se sabe que
se está corriendo un Sistema Operativo Linux y es más sabemos hasta la cantidad de saltos
que tenemos hasta llegar al servidor con la simple fórmula de de restar 64ttl que pertenece a
este sistema operativo con 54 ttl que nos da, lo podemos comprobar con un simple
traceroute para ver que esta información es cierta.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 9
P0F
Herramienta: P0f
Prerrequisitos: Ninguno
Contramedidas: Firewall, camuflar sistema operativo con herramientas dedicadas a ello.
Descripción: P0f es una herramienta de identificación pasiva de sistema operativo, permite
detectar el sistema y la versión de las maquinas conectadas a nuestro sistema, a las que
nosotros nos conectamos, a las que podemos ver su tráfico e incluso a las que no podemos
conectarnos (bastante útil).
Aparte de todo esto P0f puede realizar otras tareas bastante interesantes, por ejemplo es
capaz de dar una distancia física aproximada del sistema remoto, les dejo un pequeño
listado de sus funciones “extra”:
Detecta la existencia de un balanceador de carga.
La distancia al sistema remoto y su tiempo en funcionamiento,
Detecta la presencia de un firewall
Identifica que conexión tiene el equipo remoto (DSL, OC3, avian carriers) y su
proveedor de Internet.
El éxito de P0f es que no genera ningún tráfico en la red, gracias a esto es posible identificar
el sistema de equipos que estén detrás de un cortafuegos donde nuestro escáner habitual no
podría llegar, además es liviano, rápido y funciona en entornos Windows y gnu Linux.
CON P0F INFORMACIÓN DOS MÁQUINAS VIRTUALES BACTRACK5R1 VS BACKTRACK4
Con este programa lo que vamos a intentar hacer va a ser reconocer el sistema operativo de
nuestro equipo de la máquina virtual, en la cual está corriendo una versión de backtrack4
para ello lo primero que debemos hacer es ejecutar en backtrack 4 los laboratorios, al igual
que hemos hecho cuando hemos utilizado Amap, y ¿para qué necesitamos todo esto? Pues
según las características de este programa necesitamos ponernos en contacto con esa red
para que así pueda “escuchar” la información necesaria y así poder reconocer el sistema
operativo.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 10
Para poder reconocer el sistema operativo de nuestro objetivo debemos meternos en su
Web, esto lo vamos a conseguir gracias a los laboratorios que hemos activado previamente.
Para ello lo único que debemos hacer es escribir en nuestro navegador la ip de nuestro
objetivo (máquina virtual con bactrack 4 y laboratorios ejecutados) y accedemos a una
página tal que así.
Entonces P0f empieza a trabajar mediante el comando que hemos insertado que es el que
nos va a reconocer el sistema operativo, la versión y todo el recorrido que está haciendo.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 11
Para ello hemos utilizado el comando p0f –i eth2(puede ser eth0, eth1….dependiendo del
ordenador, para asegurarnos de cual utilizar el comando ifconfig si utilizamos Linux e
ipconfig si lo utilizamos en Windows.
Esta es la Información que obtenemos en la Imagen y como vemos no nos reconoce el
Sistema operativo utilizando esta técnica que es la que se suele utilizar en la mayoría de los
casos, entonces… ¿qué información hemos obtenido?
root@bt:~# p0f -i eth2
p0f - passive os fingerprinting utility, version 2.0.8
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>
p0f: listening (SYN) on 'eth2', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'.
192.168.13.164:38681 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:56723 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 69.195.141.179:443 (link: ethernet/modem)
192.168.13.164:42061 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 72.167.239.239:80 (link: ethernet/modem)
192.168.13.164:38684 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:38685 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:38686 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:38687 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:38688 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:56471 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 213.98.99.53:80 (link: ethernet/modem)
192.168.13.164:51826 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 12
-> 74.125.230.101:80 (link: ethernet/modem)
192.168.13.164:38691 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:38692 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:38693 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 192.168.13.132:80 (link: ethernet/modem)
192.168.13.164:36863 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 63.245.217.112:443 (link: ethernet/modem)
192.168.13.164:36863 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 63.245.217.112:443 (link: ethernet/modem)
192.168.13.164:36010 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 199.7.52.72:80 (link: ethernet/modem)
192.168.13.164:36011 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 199.7.52.72:80 (link: ethernet/modem)
192.168.13.164:53759 - UNKNOWN [S10:64:1:60:M1460,S,T,N,W5:.:?:?] (up: 0 hrs)
-> 209.85.143.101:80 (link: ethernet/modem)
ANALIZANDO INFORMACIÓN OBTENIDA
Podemos ver todos los saltos que hacemos, es decir por donde pasa la información del
objetivo, lo único que sacamos en claro y útil es el puerto y/o puertos que están abiertos.
Claro no obtenemos más porque es una herramienta que está casi determinada a averiguar
el Sistema Operativo.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 13
OTROS TIPOS DE ANALISIS POSIBLES
Podemos hacer otros análisis como de acceso remoto con root@bt:~# p0f -i eth2 –A
p0f -R -i eth2 para máquinas que rechazan nuestras conexiones.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 14
CON P0F INFORMACIÓN OBJETIVO DE LA RED MARISTAS
Vamos a probar las mismas operaciones que hemos utilizado cuando hemos analizado la
máquina virtual.
P0f –i eth2
Vemos que tampoco nos da la información del sistema operativo y solo vemos lo que
habíamos dicho antes por donde pasa la información y los puertos abiertos, que se
encuentran justo después de los dos puntos detrás de cada IP.
[BANNER GRABBING] 6 de noviembre de 2011
S E G U N D O D E A S I R
Página 15
Pero entonces lo que hacemos es probarlo desde BACKTRACK4 y……SORPRESA. Funciona
Perfectamente.
INFORMACIÓN OBTENIDA
Como vemos en la imagen de arriba conseguimos todos esos datos que nos dan:
Sistema Operativo: Linux con la versión del Kernel 2.6
Dirección del servidor: 84.124.4.21
Puertos Abiertos: 80, 21.