Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Comenzando en el Hacking v2.0 ( Information Gathering )

  • 3 Respuestas
  • 3085 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Conectado Bartz

  • *
  • Moderador
  • Mensajes: 140
  • Actividad:
    31.67%
  • Reputación 4
  • ~Afaik~
    • Ver Perfil
« en: Agosto 16, 2018, 01:58:26 am »
Hola gente !

Este post va sobre recolectar información sobre un objetivo.
Les pido que si les es útil el material pongan un comentario sobre que les parece, si tienen algo para agregar háganlo y si ven que estoy errado en algo por favor díganlo!
Hice un post anterior a este con lo basico que uno deberia tener conocimiento y lo pueden visitar aca
https://underc0de.org/foro/hacking/(tutorial)-bitacora-de-un-novato-v1-0-(introduccion-al-hacking)/



Entonces.. Porque information gathering ?
Elegi este proceso porque es el primer paso de un pentest, el cual normalmente consiste de 5 fases (pueden ser mas, pueden ser menos) depende el caso

La pagina web que elegí para este ejercicio fue la de una organización de mi ciudad, no voy a tapar el nombre ya que toda la informacion esta de manera publica asique no le veo nada de malo  ::)
https://accionmarplatense.org
Aun asi aclaro que no me hago responsable del uso que se le pueda hacer de esta información, es solo para propositos educativos  :)
Por donde empiezo ? Que hay que tener en cuenta ? Como interpreto la información ?


Lo primero que hice fue usar Nmap que es una de mis herramientas preferidas, ya que se pueden hacer incontables cosas con esta.
https://nmap.org/
Hay muchisimos parametros que se le pueden pasar dependiendo el momento o el objetivo

Cheat Sheet con los comandos basicos mas utilizados
Este tipo de listas de comandos me sirvieron mucho al principio ya que al no saber como se usaba solo usaba comandos en este tipo de listas, reconociendo para que sirven los parametros pero mas importante, analizando la información que nos arroja el output
Aclaro, hay una alternativa grafica que se llama ZeNmap, para los que no son muy amantes de la consola

Cheat Sheet---> https://highon.coffee/blog/nmap-cheat-sheet/
Nmap Tutorial para Principiantes---> https://esgeeks.com/como-usar-nmap-con-comandos/
PDF Demasiado completo sobre Nmap https://1drv.ms/b/s!AvrrZIJAzh79jnPFV229fk-N8tz8 (y cuando digo demasiado es que son 1500 paginas que solo recorrí haciendo Ctrl+F en ocasiones  :P )
PDF Libro oficial de Nmap "Nmap Network Scanning Guide" https://1drv.ms/b/s!AvrrZIJAzh79jnU5RjMhhmiY7HcJ
PDF Este si que lo podemos leer, lo necesario sobre los comandos, para que utilizarlos y como llamarlos https://1drv.ms/b/s!AvrrZIJAzh79jnJQk3Gf54FRiieh


En fin..
1) Abrimos una terminal y ejecutamos el comando
"nmap -A -P0 66.228.61.65"
El cual escanea los puertos en busca de cuales estan abiertos. El parametro -A agrega informacion adicional sobre los mismos.
Se podría haber cambiado la ip por la url del sitio y hubieramos tenido el mismo resultado



En este caso el output nos da la siguiente informacion:
  • Puertos abiertos: 21 (FTP), 22 (SSH), 25(SMTP), 53 (domain), 80 (HTTP), 110 (POP3), 143(IMAP), 587(SMTP), 3000(Ntop-HTTP), 3306(MySQL).
  • El servicio FTP (File Transfer Protocol) corriendo en el puerto 21 corresponde a la version 1.3.1 de ProFTPD
  • El servicio SSH (Secure SHell) corriendo en el puerto 22 corresponde a la version "5.1p1 Debian 5 (protocol 2.0)" de OpenSSH
    Tambien nos brinda las llaves SSH en DSA(1024 bits) y RSA(2048 bits)
       SSH-hostkey:
       DSA: 1024 a3:ef:e0:af:c0:70:ce:74:c4:ba:0a:f8:cc:34:75:3e
       RSA: 2048 b3:49:4a:a8:66:38:53:f1:83:ca:ff:0f:c4:37:26:19
  • El servicio SMTP (Simple Mail Transfer Protocol) corriendo en el puerto 25 corresponde a la version "ispCP OMEGA 1.0.7" de Postfix
  • La pagina de acceso al servicio SMTP en este caso se encuentra en unix13.mardelhosting.net
  • Este servicio SMTP se repite en el puerto 587 con las mismas caracteristicas
  • Los comandos smtp identificados nos sirven para tener una idea de como esta configurado el servicio y como funciona el mismo (PIPELINING, SIZE, VRFY, ETRN, AUTH PLAIN LOGIN NTLM DIGEST-MD5 CRAM-MD5).
  • El servicio DNS (Domain Name Server) corriendo en el puerto 53 corresponde a la version "9.6-ESV-R4" de ISC BIND, un servidor dns Open Source.
  • El servicio HTTP corriendo en el puerto 80 corresponde a la version 2.2.9 de Apache
  • El servidor Apache tiene instalado el modulo "fastcgi" para poder introducir librerias de Perl, en este caso Perl v5.10.0
  • Dentro de la informacion del mismo puerto 80, nos dice que utiliza "ispCP Omega" que es un gestor de hostings virtuales Open Source
  • El servicio POP3 (Post Office Protocol) corriendo en el puerto 110 corresponde a la version "Courier pop3d" de Courier Mail Server.
  • El servicio IMAP (Internet Message Access Protocol) corriendo en el puerto 143 corresponde a la version "Courier Imapd" de Courier
  • El servicio corriendo en el puerto 3000 corresponde a Ntop, version 3.3. Ntop es una interfaz de cliente basada en HTTP para crear aplicaciones de monitoreo y almacenar persistentemente estadísticas de tráfico.
  • El servicio MySQL (Sistema de base de datos open source) corre en el puerto 3306 y corresponde a la version "MySQL 5.0.51a-24+lenny5"

Todo esto con un comando de Nmap ? Si. Love Nmap :-*


2)Continuando con el uso de nmap corremos el siguiente comando:

Este utiliza uno de los llamados NSE scripts, en este caso utiliza un script de enumeracion de directorios utilizados comunmente en aplicaciones web y servidores.

Con esto encontramos un archivos con información A FONDO de la configuración completa del sitio, no solo la version de php, sino que tambien parches que se han aplicado, la build date, que configuraciones estan activadas y cuales desactivadas
Podemos ver tambien todas las variables de configuracion de php como
_REQUEST
_COOKIE
_SERVER_SOFTWARE
_SERVER_REMOTE_ADDR
_SERVER_REQUEST_METHOD
_SERVER_DOCUMENT_ROOT

Tambien mediante las variables "date.default_latitude" y "date.default_longitude" podemos tener una ubicación aproximada del mismo.
En la configuración de hashes tambien se puede ver cuales son con los que trabaja
Código: [Seleccionar]
"hash support: enabled
Hashing Engines: md2 md4 md5 sha1 sha256 sha384 sha512 ripemd128 ripemd160 ripemd256 ripemd320 whirlpool tiger128,3 tiger160,3 tiger192,3............."

Se puede encontrar la configuracion completa de MySQL, la API version del mismo, tambien encontramos los drivers de la base de datos por ej "PDO Driver for MySQL, client library version 5.0.51a"

Ingresando al siguiente link se ve toda la informacion completa
http://unix13.mardelhosting.net/info.php

El script tambien nos ofrece la ubicación del panel de administrador que como nombramos anteriormente trabaja con "ispCP Omega"
http://unix13.mardelhosting.net/pma/

Login al webmail
http://unix13.mardelhosting.net/webmail/src/login.php

Login al servicio FTP, el acceso a este punto seria CRITICO ya que nos permitiria modificar lo que queramos, subir o descargar archivos, comprimir, descomprimir, encriptar, navegar por TODOS los archivos y subcarpetas.
http://unix13.mardelhosting.net/ftp/
http://unix13.mardelhosting.net/index/

En este punto me gustaria hacer un ejercicio / pregunta
¿Para que utilizarian o porque creen que toda esta información es importante ?


3) Buscando vulnerabilidades con Nmap
Se que se podrian utilizar otras herramientas para esto, que las hay las hay, a estas alturas el post empieza a sonar como "Utilizando nmap para todo"  :o jaja asique si estas pensando eso te pregunto ¿Que otras herramientas recomendarias?

Haciendo uso de un script, en este caso el llamado “vuln” lo que hace es tratar de encontrar passwords por defecto, usuarios con contraseñas vacias, posibles vulnerabilidades a ataques de denegación de servicio, etc. a un nivel basico cabe aclarar, ya que si nos enfocaramos en tratar de encontrar especificamente vulnerabilidades para un cierto tipo de ataques existen herramientas mas 'especificas'





Este comando nos devuelve varias vulnerabilidades:

Tipo CSRF (Cross-Site Request Forgery):
Este tipo de ataque fuerza al navegador a enviar una peticion a una aplicación web vulnerable, la cual realiza la acción al tratarse de un usuario confiable.

Código: [Seleccionar]
|     Path: http://unix13.mardelhosting.net:80/
|     Form id: uname
|     Form action: index.php
|     
|     Path: http://unix13.mardelhosting.net/lostpassword.php
|     Form id: capcode
|     Form action: lostpassword.php
|     
|     Path: http://unix13.mardelhosting.net/ftp/
|     Form id: loginform
|     Form action: /ftp/index.php
|     
|     Path: http://unix13.mardelhosting.net/index.php
|     Form id: uname
|_    Form action: index.php

Se encontró que la pagina podria ser vulnerable al ataque "Slowloris Attack", este ataque es posible debido a que slowloris trata de mantener las conexiones del servidor web abiertas y esperando tanto como se pueda.
Debido a esto, uno puede efectuar este ataque desde una simple computadora sin necesitar un gran ancho de banda para lograr que este sea efectivo
Código: [Seleccionar]
Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750

Tambien se encontraron dos urls donde seria posible una inyección SQL
Código: [Seleccionar]
|   Possible sqli for queries:
|     http://unix13.mardelhosting.net/pma/./Documentation.html?phpMyAdmin=rv33vfjpds9pc9gmthomrbkv4ot4pmg9%27%20OR%20sqlspider
|_    http://unix13.mardelhosting.net/pma/./Documentation.html?phpMyAdmin=rrsp7rpo81pe7t0jvkfu1nves4m0op2t%27%20OR%20sqlspider

4)Chequear si la pagina contiene modulos de WordPress mediante google dork



efectivamente esta utiliza la version 4.2.19

5)Sabiendo que la pagina utiliza WordPress

procedemos a ejecutar la herramienda WPscan
Pagina oficial---> https://wpscan.org/
Git Clone---> https://github.com/wpscanteam/wpscan
Tutorial----> https://blog.sucuri.net/espanol/2015/12/usando-wpscan-encontrando-vulnerabilidades-de-wordpress.html

Corremos el siguiente comando:


Este comando busca enumerar todos los nombres de usuario, timthumbs, themes vulnerables y pluguins vulnerables.
Los plugins se utilizan para añadir funcionalidades a la pagina web, puede ser para crear un formulario de contacto, una tienda online, iconos de redes sociales para compartir, etc.
Desde nuestro punto de vista, saber que plugins tiene la pagina y su version, nos permitiria buscar vulnerabilidades de los mismos para poder explotar.

En este caso el tema en uso de la pagina es “PMKT – AM V1.0” ubicado en la url
“http://accionmarplatense.org/wp-content/themes/pmkt/style.css “
Podemos ver el codigo CSS generado por el tema de word press.

Se encontraron 24 plugins, Solo uno de ellos contiene vulnerabilidades criticas, relacionada a la conexión con la base de datos

Código: [Seleccionar]
[+] Name: contact-form-7-to-database-extension - v2.8.17
 |  Last updated: 2017-01-14T00:42:00.000Z
 |  Location: http://accionmarplatense.org/wp-content/plugins/contact-form-7-to-database-extension/

Tambien encontro una vulnerabilidad critica, de tipo de denegación de servicio (DDOS) “WordPress Core – 'load-scripts.php’“ (CVE: CVE-2018-6389), resultando en la caida de la pagina al no poder responder la excesiva cantidad de solicitudes generadas.
https://www.exploit-db.com/exploits/43968/

6)Utilizando FOCA

FOCA es una herramienta utilizada principalmente para extraer los metadatos e información dentro de los archivos que escanea. Tambien serviria para ver la estructura interna de la red si contaramos con suficientes documentos pero eso ya queda fuera de mi liga  :P
La utilización es muy simple, le damos como parametro la URL de la web a escanear y la herramienta se encarga de descargar los archivos y analizar los datos en ellos.
Descarga---> http://www.elladodelmal.com/2013/12/download-foca-final-version-fear-final.html
Libro Oficial 0xWord---> https://1drv.ms/b/s!AvrrZIJAzh79jnRojz3M1ncejNtO



Como vemos en la imagen, en este caso se encontraron 20 archivos, en formato doc, docx y PDF.
Al analizar los datos en los archivos obtenemos la siguiente información




Nombre de los hosts que han editado/creado los documentos: “PC_aferro” “PC_Estudio” “PC_Full name” “3PC_Gisela” “PC_Marcos”
Vemos que el SO utilizado en la mayoria de los casos es Windows, incluso uno en la version Shadow Lite y uno de los hosts con macOS.
Tambien se logra ver que los programas con los que se han editado son Microsoft Office, AutoCAD y un editor de PDFs de MacOS.
Toda esta información nos serviria por ej. en el caso de querer generar un payload, lo hariamos para Windows ya que es el sistema operativo predominante.

7)Información de WHOIS

Código: [Seleccionar]
Información del registrante:
Nombre: Adrian
Abogado en "Estudio Juridico asdasd" ubicado en “Av. luro 123123 3 "A"”
Telefono: 0223 491-444444(de su oficina)
CUIT:20-231231231231231-2
Organización: Accion marplatense
Dirección: La Rioja 15312312345
Ciudad: Mar del Plata, Buenos Aires, Argentina
Codigo Postal: 7600
Telefono: +54.54223123123123 (de la organización)
Email: asdadrian@hotmail.com

Name Servers
NS1.MARDELHOSTING.NET
IP: 173.255.205.241
NS12.MARDELHOSTING.NET
IP:50.116.47.214

Con esta información, una manera de atacar al registrante seria la Ingenieria Social basandonos en su situación crediticia por ejemplo, la cual obtenemos facilmente una vez que sabemos su nombre completo o CUIT.
Utiliza el banco Santander Rio, actualmente tiene consumos por $392.000 (en total) sin deuda en esa cuenta.
Sin embargo, en su reporte del banco central figura que tiene un cheque rechazado en diciembre de 2017, lo cual puede ser un vector para un ataque de ingenieria social.
Tambien en ARBA figura que esta persona tiene una deuda de categoria 3, lo que quiere decir que debe mas de $10.000, por lo cual tambien podriamos intimarlo via mail y seria creible.



Hasta aca llega la información 'basica' que se pudo conseguir con un par de herramientas..
Asique nada, dale compartir y suscribite a mi canal y si te gusto tambien dale like (?)(?)

Cualquier pregunta / duda / sugerencia y mas que nada corrección será mas que bien recibida :D como vengo aclarando, esta es una bitacora, voy tomando mis screenshots, comparto el material que me llega o que tengo y las conjeturas que saco de lo que leo o investigo para que entre todos aprendamos un poco mas :D

Saludos Underc0ders !   ;)
« Última modificación: Septiembre 09, 2018, 09:37:53 pm por Bartz »


Con la fuerza del mar, con la paz del rio


Desconectado arthusu

  • *
  • Underc0der
  • Mensajes: 555
  • Actividad:
    0%
  • Reputación 2
  • Yo solo se que no se nada - Socrátes
    • Ver Perfil
    • Arthusu BLOG
  • Skype: arthusuxD
« Respuesta #1 en: Agosto 17, 2018, 12:19:14 am »
estan muy bien tus post son procesos que se deben realizar siempre al comenzar un pentest, saludos buen post
Pentest - Hacking & Security Services

Contact me: arthusu@gmail.com

Conectado Bartz

  • *
  • Moderador
  • Mensajes: 140
  • Actividad:
    31.67%
  • Reputación 4
  • ~Afaik~
    • Ver Perfil
« Respuesta #2 en: Agosto 21, 2018, 05:57:43 pm »
estan muy bien tus post son procesos que se deben realizar siempre al comenzar un pentest, saludos buen post

Muchas gracias bro !


Con la fuerza del mar, con la paz del rio


Desconectado Jusep47

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
« Respuesta #3 en: Septiembre 11, 2018, 04:54:37 am »
Me ha venido genial. Directo a favoritos

 

¿Te gustó el post? COMPARTILO!



Hacking Google + Archive.org = Archive.is

Iniciado por Rootkit_Pentester

Respuestas: 7
Vistas: 6361
Último mensaje Abril 25, 2017, 06:57:58 pm
por Rootkit_Pentester
Legal Hacking 2 - Descargas ¿Qué es legal y qué no?

Iniciado por HATI

Respuestas: 0
Vistas: 3116
Último mensaje Marzo 10, 2017, 10:00:18 pm
por HATI
Hacking "Password Self Manager"

Iniciado por Rootkit_Pentester

Respuestas: 0
Vistas: 2102
Último mensaje Abril 08, 2018, 11:36:04 am
por Rootkit_Pentester
Taller de Hacking con buscadores 3 "Censys.io"

Iniciado por Rootkit_Pentester

Respuestas: 0
Vistas: 2256
Último mensaje Marzo 31, 2018, 07:33:44 pm
por Rootkit_Pentester
Taller de Hacking con buscadores 4. "Shodan.io"

Iniciado por Rootkit_Pentester

Respuestas: 2
Vistas: 2828
Último mensaje Junio 15, 2018, 03:26:08 am
por Rootkit_Pentester