Comenzando en el Hacking v2.0 ( Information Gathering )

Hola gente !

Este post va sobre recolectar información sobre un objetivo.
Les pido que si les es útil el material pongan un comentario sobre que les parece, si tienen algo para agregar háganlo y si ven que estoy errado en algo por favor díganlo!
Hice un post anterior a este con lo basico que uno deberia tener conocimiento y lo pueden visitar aca
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

---

Entonces.. Porque information gathering ?
Elegi este proceso porque es el primer paso de un pentest, el cual normalmente consiste de 5 fases (pueden ser mas, pueden ser menos) depende el caso

La pagina web que elegí para este ejercicio fue la de una organización de mi ciudad, no voy a tapar el nombre ya que toda la informacion esta de manera publica asique no le veo nada de malo 
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Aun asi aclaro que no me hago responsable del uso que se le pueda hacer de esta información, es solo para propositos educativos 
Por donde empiezo ? Que hay que tener en cuenta ? Como interpreto la información ?

---

Lo primero que hice fue usar Nmap que es una de mis herramientas preferidas, ya que se pueden hacer incontables cosas con esta.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hay muchisimos parametros que se le pueden pasar dependiendo el momento o el objetivo

Cheat Sheet con los comandos basicos mas utilizados
Este tipo de listas de comandos me sirvieron mucho al principio ya que al no saber como se usaba solo usaba comandos en este tipo de listas, reconociendo para que sirven los parametros pero mas importante, analizando la información que nos arroja el output
Aclaro, hay una alternativa grafica que se llama ZeNmap, para los que no son muy amantes de la consola

---

En fin..
1) Abrimos una terminal y ejecutamos el comando
"nmap -A -P0 66.228.61.65"
El cual escanea los puertos en busca de cuales estan abiertos. El parametro -A agrega informacion adicional sobre los mismos.
Se podría haber cambiado la ip por la url del sitio y hubieramos tenido el mismo resultado



En este caso el output nos da la siguiente informacion:

• Puertos abiertos: 21 (FTP), 22 (SSH), 25(SMTP), 53 (domain), 80 (HTTP), 110 (POP3), 143(IMAP), 587(SMTP), 3000(Ntop-HTTP), 3306(MySQL).


• El servicio FTP (File Transfer Protocol) corriendo en el puerto 21 corresponde a la version 1.3.1 de ProFTPD


• El servicio SSH (Secure SHell) corriendo en el puerto 22 corresponde a la version "5.1p1 Debian 5 (protocol 2.0)" de OpenSSH
  Tambien nos brinda las llaves SSH en DSA(1024 bits) y RSA(2048 bits)
     SSH-hostkey:
     DSA: 1024 a3:ef:e0:af:c0:70:ce:74:c4:ba:0a:f8:cc:34:75:3e
     RSA: 2048 b3:49:4a:a8:66:38:53:f1:83:ca:ff:0f:c4:37:26:19


• El servicio SMTP (Simple Mail Transfer Protocol) corriendo en el puerto 25 corresponde a la version "ispCP OMEGA 1.0.7" de Postfix


• La pagina de acceso al servicio SMTP en este caso se encuentra en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


• Este servicio SMTP se repite en el puerto 587 con las mismas caracteristicas
• Los comandos smtp identificados nos sirven para tener una idea de como esta configurado el servicio y como funciona el mismo (PIPELINING, SIZE, VRFY, ETRN, AUTH PLAIN LOGIN NTLM DIGEST-MD5 CRAM-MD5).
• El servicio DNS (Domain Name Server) corriendo en el puerto 53 corresponde a la version "9.6-ESV-R4" de ISC BIND, un servidor dns Open Source.
• El servicio HTTP corriendo en el puerto 80 corresponde a la version 2.2.9 de Apache
• El servidor Apache tiene instalado el modulo "fastcgi" para poder introducir librerias de Perl, en este caso Perl v5.10.0
• Dentro de la informacion del mismo puerto 80, nos dice que utiliza "ispCP Omega" que es un gestor de hostings virtuales Open Source
• El servicio POP3 (Post Office Protocol) corriendo en el puerto 110 corresponde a la version "Courier pop3d" de Courier Mail Server.
• El servicio IMAP (Internet Message Access Protocol) corriendo en el puerto 143 corresponde a la version "Courier Imapd" de Courier
• El servicio corriendo en el puerto 3000 corresponde a Ntop, version 3.3. Ntop es una interfaz de cliente basada en HTTP para crear aplicaciones de monitoreo y almacenar persistentemente estadísticas de tráfico.
• El servicio MySQL (Sistema de base de datos open source) corre en el puerto 3306 y corresponde a la version "MySQL 5.0.51a-24+lenny5"

---

Todo esto con un comando de Nmap ? Si. Love Nmap

---

2)Continuando con el uso de nmap corremos el siguiente comando:

Este utiliza uno de los llamados NSE scripts, en este caso utiliza un script de enumeracion de directorios utilizados comunmente en aplicaciones web y servidores.

Con esto encontramos un archivos con información A FONDO de la configuración completa del sitio, no solo la version de php, sino que tambien parches que se han aplicado, la build date, que configuraciones estan activadas y cuales desactivadas
Podemos ver tambien todas las variables de configuracion de php como
_REQUEST
_COOKIE
_SERVER_SOFTWARE
_SERVER_REMOTE_ADDR
_SERVER_REQUEST_METHOD
_SERVER_DOCUMENT_ROOT

Tambien mediante las variables "date.default_latitude" y "date.default_longitude" podemos tener una ubicación aproximada del mismo.
En la configuración de hashes tambien se puede ver cuales son con los que trabaja

"hash support: enabled
Hashing Engines: md2 md4 md5 sha1 sha256 sha384 sha512 ripemd128 ripemd160 ripemd256 ripemd320 whirlpool tiger128,3 tiger160,3 tiger192,3............."

Se puede encontrar la configuracion completa de MySQL, la API version del mismo, tambien encontramos los drivers de la base de datos por ej "PDO Driver for MySQL, client library version 5.0.51a"

Ingresando al siguiente link se ve toda la informacion completa
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El script tambien nos ofrece la ubicación del panel de administrador que como nombramos anteriormente trabaja con "ispCP Omega"
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Login al webmail
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Login al servicio FTP, el acceso a este punto seria CRITICO ya que nos permitiria modificar lo que queramos, subir o descargar archivos, comprimir, descomprimir, encriptar, navegar por TODOS los archivos y subcarpetas.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En este punto me gustaria hacer un ejercicio / pregunta
¿Para que utilizarian o porque creen que toda esta información es importante ?

---

3) Buscando vulnerabilidades con Nmap
Se que se podrian utilizar otras herramientas para esto, que las hay las hay, a estas alturas el post empieza a sonar como "Utilizando nmap para todo"  jaja asique si estas pensando eso te pregunto ¿Que otras herramientas recomendarias?

Haciendo uso de un script, en este caso el llamado "vuln" lo que hace es tratar de encontrar passwords por defecto, usuarios con contraseñas vacias, posibles vulnerabilidades a ataques de denegación de servicio, etc. a un nivel basico cabe aclarar, ya que si nos enfocaramos en tratar de encontrar especificamente vulnerabilidades para un cierto tipo de ataques existen herramientas mas 'especificas'





Este comando nos devuelve varias vulnerabilidades:

Tipo CSRF (Cross-Site Request Forgery):
Este tipo de ataque fuerza al navegador a enviar una peticion a una aplicación web vulnerable, la cual realiza la acción al tratarse de un usuario confiable.

|     Path: http://unix13.mardelhosting.net:80/
|     Form id: uname
|     Form action: index.php
|     
|     Path: http://unix13.mardelhosting.net/lostpassword.php
|     Form id: capcode
|     Form action: lostpassword.php
|     
|     Path: http://unix13.mardelhosting.net/ftp/
|     Form id: loginform
|     Form action: /ftp/index.php
|     
|     Path: http://unix13.mardelhosting.net/index.php
|     Form id: uname
|_    Form action: index.php

Se encontró que la pagina podria ser vulnerable al ataque "Slowloris Attack", este ataque es posible debido a que slowloris trata de mantener las conexiones del servidor web abiertas y esperando tanto como se pueda.
Debido a esto, uno puede efectuar este ataque desde una simple computadora sin necesitar un gran ancho de banda para lograr que este sea efectivo

Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750

Tambien se encontraron dos urls donde seria posible una inyección SQL

|   Possible sqli for queries:
|     http://unix13.mardelhosting.net/pma/./Documentation.html?phpMyAdmin=rv33vfjpds9pc9gmthomrbkv4ot4pmg9%27%20OR%20sqlspider
|_    http://unix13.mardelhosting.net/pma/./Documentation.html?phpMyAdmin=rrsp7rpo81pe7t0jvkfu1nves4m0op2t%27%20OR%20sqlspider

4)Chequear si la pagina contiene modulos de WordPress mediante google dork



efectivamente esta utiliza la version 4.2.19

5)Sabiendo que la pagina utiliza WordPress

procedemos a ejecutar la herramienda WPscan
Pagina oficial---> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Git Clone---> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Tutorial----> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Corremos el siguiente comando:


Este comando busca enumerar todos los nombres de usuario, timthumbs, themes vulnerables y pluguins vulnerables.
Los plugins se utilizan para añadir funcionalidades a la pagina web, puede ser para crear un formulario de contacto, una tienda online, iconos de redes sociales para compartir, etc.
Desde nuestro punto de vista, saber que plugins tiene la pagina y su version, nos permitiria buscar vulnerabilidades de los mismos para poder explotar.

En este caso el tema en uso de la pagina es "PMKT – AM V1.0" ubicado en la url
"No tienes permitido ver los links. Registrarse o Entrar a mi cuenta "
Podemos ver el codigo CSS generado por el tema de word press.

Se encontraron 24 plugins, Solo uno de ellos contiene vulnerabilidades criticas, relacionada a la conexión con la base de datos

[+] Name: contact-form-7-to-database-extension - v2.8.17
 |  Last updated: 2017-01-14T00:42:00.000Z
 |  Location: http://accionmarplatense.org/wp-content/plugins/contact-form-7-to-database-extension/

Tambien encontro una vulnerabilidad critica, de tipo de denegación de servicio (DDOS) "WordPress Core – 'load-scripts.php'" (CVE: CVE-2018-6389), resultando en la caida de la pagina al no poder responder la excesiva cantidad de solicitudes generadas.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

6)Utilizando FOCA

FOCA es una herramienta utilizada principalmente para extraer los metadatos e información dentro de los archivos que escanea. Tambien serviria para ver la estructura interna de la red si contaramos con suficientes documentos pero eso ya queda fuera de mi liga 
La utilización es muy simple, le damos como parametro la URL de la web a escanear y la herramienta se encarga de descargar los archivos y analizar los datos en ellos.
Descarga---> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Libro Oficial 0xWord---> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Como vemos en la imagen, en este caso se encontraron 20 archivos, en formato doc, docx y PDF.
Al analizar los datos en los archivos obtenemos la siguiente información




Nombre de los hosts que han editado/creado los documentos: "PC_aferro" "PC_Estudio" "PC_Full name" "3PC_Gisela" "PC_Marcos"
Vemos que el SO utilizado en la mayoria de los casos es Windows, incluso uno en la version Shadow Lite y uno de los hosts con macOS.
Tambien se logra ver que los programas con los que se han editado son Microsoft Office, AutoCAD y un editor de PDFs de MacOS.
Toda esta información nos serviria por ej. en el caso de querer generar un payload, lo hariamos para Windows ya que es el sistema operativo predominante.

7)Información de WHOIS

Información del registrante:
Nombre: Adrian
Abogado en "Estudio Juridico asdasd" ubicado en "Av. luro 123123 3 "A""
Telefono: 0223 491-444444(de su oficina)
CUIT:20-231231231231231-2
Organización: Accion marplatense
Dirección: La Rioja 15312312345
Ciudad: Mar del Plata, Buenos Aires, Argentina
Codigo Postal: 7600
Telefono: +54.54223123123123 (de la organización)
Email: [email protected]

Name Servers
NS1.MARDELHOSTING.NET
IP: 173.255.205.241
NS12.MARDELHOSTING.NET
IP:50.116.47.214

Con esta información, una manera de atacar al registrante seria la Ingenieria Social basandonos en su situación crediticia por ejemplo, la cual obtenemos facilmente una vez que sabemos su nombre completo o CUIT.
Utiliza el banco Santander Rio, actualmente tiene consumos por $392.000 (en total) sin deuda en esa cuenta.
Sin embargo, en su reporte del banco central figura que tiene un cheque rechazado en diciembre de 2017, lo cual puede ser un vector para un ataque de ingenieria social.
Tambien en ARBA figura que esta persona tiene una deuda de categoria 3, lo que quiere decir que debe mas de $10.000, por lo cual tambien podriamos intimarlo via mail y seria creible.

---

---

Hasta aca llega la información 'basica' que se pudo conseguir con un par de herramientas..
Asique nada, dale compartir y suscribite a mi canal y si te gusto tambien dale like (?)(?)

Cualquier pregunta / duda / sugerencia y mas que nada corrección será mas que bien recibida como vengo aclarando, esta es una bitacora, voy tomando mis screenshots, comparto el material que me llega o que tengo y las conjeturas que saco de lo que leo o investigo para que entre todos aprendamos un poco mas

Saludos Underc0ders !  

estan muy bien tus post son procesos que se deben realizar siempre al comenzar un pentest, saludos buen post

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
estan muy bien tus post son procesos que se deben realizar siempre al comenzar un pentest, saludos buen post

Muchas gracias bro !

Me ha venido genial. Directo a favoritos