Anterior: De-Ice I: Desarrollo práctico (I de III)

El siguiente paso es explorar un poco la red, o en este caso el servidor atacado, ya que la red es la nuestra.

Para esto lo primero que se nos ocurre es lanzar un ping para localizar la máquina. Pero al lanzar este no obtenemos respuesta. De lo que deducimos que deben de estar bloqueadas en el servidor las respuestas ICMP.

Lo siguiente que procedemos es a escanear el servidor a ver si comprobamos que hay en él:

nmap -sV -p 7,21,22,23,25,79,80,1433,8080,1521,3306,10000,5900 192.168.1.100

Donde –sV nos ayuda a sacar las versiones de cada servicio levantado, y –p le indica los puerto que queremos consultar. ¿Por qué la especificación de puerto? Especificándolos conseguimos que aunque estén filtrados aparezcan en el escaneo. Al lanzar el escaneo sin especificar puertos, la mayoría de los puertos que tiene servicios pero los tienen filtrados no devolverían resultados. ¿Por qué estos puertos? Bueno, lo normal es coger una lista de puertos que tengamos por ahí y escoger los que pensemos que pueden estar: SSH, Apache, MySQL, smtp, POP3, etc…

Con este escaneo deberéis recibir una respuesta similar a la siguiente:

7/tcp     filtered echo

21/tcp    open     ftp              vsftpd (broken: could not bind listening IPv4 socket)

22/tcp    open     ssh              OpenSSH 4.3 (protocol 1.99)

23/tcp    filtered telnet

25/tcp    open     smtp?

79/tcp    filtered finger

80/tcp    open     http             Apache httpd 2.0.55 ((Unix) PHP/5.1.2)

1433/tcp  filtered ms-sql-s

1521/tcp  filtered oracle

3306/tcp  filtered mysql

5900/tcp  filtered vnc

8080/tcp  filtered http-proxy

10000/tcp filtered snet-sensor-mgmt

Service Info: OS: Unix

Como podemos ver, existen varios servicios levantados y algunos de ellos están filtrados. Uno de los más interesantes, es el de SSH, ya que con los usuarios que hemos generado antes y con una herramienta adecuada como THC-Hydra o Medusa podemos intentar conseguir acceso. Así que esto es lo que vamos a hacer a continuación.

Yo en mi caso he utilizado Medusa, ya que inicialmente probé con THC-Hydra y me dio problemas de conexión, pero aún no he investigado el por qué. De todas formas, esto me sirve para ejemplificar porque razón hay que conocer más de una herramienta de cada tipo.

medusa -h 192.168.1.100 -U user.txt -P pass.txt -O salida.txt -M ssh

Donde –U es el listado de usuarios, -P un diccionario a vuestra elección, -O el fichero de salida con los resultados y –M el módulo de Medusa a utilizar.

Tras finalizar Medusa su trabajo, he conseguido encontrar un resultado correcto para el usuario aadams. Nos os voy a decir la contraseña para motivaros a probar vosotros. De todas formas si necesitáis alguna ayuda, preguntad y os puedo sugerir algún diccionario.

En la página del proyecto Sec-track (1), proponen utilizar una herramienta que se basa en smtp para buscar los usuarios válidos de forma más fácil. Yo no conocía la herramienta y me ha parecido muy curiosa, os recomiendo que le echéis un vistazo.

Bueno, pues hasta aquí ya tenemos acceso al sistema.

Seguimos en De-Ice I: Desarrollo práctico (III de III)