Metasploit Unleashed en Espanol (4.3/17)

7.11.09

Notas sobre Escaneres y Módulos Auxiliares

Escáneres y la mayoría de los otros módulos auxiliares usan la opción RHOSTS en vez de RHOST. RHOSTS puede tomar un rango de IP (192.168.1.20-192.168.1.30), rangos CIDR (192.168.1.0/24), múltiples rangos separados por comas (192.168.1.0/24, 192.168.3.0/24), y separados en lista en un archivo (file:/tmp/hostlist.txt). Estas son otras funciones para nuestro archivo de salida de Nmap.

Tenga en cuanta que, por defecto, todos los módulos de escaner tendrán el valor de THREADS en "1". La opción de THREADS establece el numero presentes de procesos para ser utilizados durante el escaneo. Establezca este valor a un numero alto a fin de acelerar la exploración o mantengalo bajo para reducir el trafico de red pero asegúrese de cumplir con las siguientes reglas:

  • Mantenga el valor de THREADS menor a 16 en un sistema nativo de Win32.
  • Mantenga el valor de THREADS menor a 200 cuando se ejecuta MSF bajo Cygwin.
  • En sistemas operativos Unix-like, puede poner el valor de THREADS en 256.
Escaneo de Puertos

Ademas de ejecutar Nmap, hay una variedad de otros exploradores de puertos que están disponibles para nosotros dentro del framework.

msf > search portscan
[*] Searching loaded modules for pattern 'portscan'...

Auxiliary
=========

   Name                        Description
   ----                        -----------
   scanner/portscan/ack        TCP ACK Firewall Scanner
   scanner/portscan/ftpbounce  FTP Bounce Port Scanner
   scanner/portscan/syn        TCP SYN Port Scanner
   scanner/portscan/tcp        TCP Port Scanner
   scanner/portscan/xmas       TCP "XMas" Port Scanner


Vamos a comparar nuestro resultado del puerto 80 realizado con Nmap con los modulos de escaneo de Metasploit. Primero vamos a determinar que hosts tienen el puerto 80 abierto segun Nmap.

msf > cat subnet_1.gnmap | grep 80/open | awk '{print $2}'
[*] exec: cat subnet_1.gnmap | grep 80/open | awk '{print $2}'

192.168.1.1
192.168.1.2
192.168.1.10
192.168.1.109
192.168.1.116
192.168.1.150


El escaneo con Nmap realizado hace un rato fue un escaneo SYN por lo que ejecutaremos el mismo escaneo a través de la subred (subnet) buscando puertos 80 por la interfaz eth0 usando Metasploit.

msf > use scanner/portscan/syn
msf auxiliary(syn) > show options

Module options:

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   BATCHSIZE  256              yes       The number of hosts to scan per set
   INTERFACE                   no        The name of the interface
   PORTS      1-10000          yes       Ports to scan (e.g. 22-25,80,110-900)
   RHOSTS                      yes       The target address range or CIDR identifier
   THREADS    1                yes       The number of concurrent threads
   TIMEOUT    500              yes       The reply read timeout in milliseconds

msf auxiliary(syn) > set INTERFACE eth0
INTERFACE => eth0
msf auxiliary(syn) > set PORTS 80
PORTS => 80
msf auxiliary(syn) > set RHOSTS 192.168.1.0/24
RHOSTS => 192.168.1.0/24
msf auxiliary(syn) > set THREADS 50
THREADS => 50
msf auxiliary(syn) > run

[*] TCP OPEN 192.168.1.1:80
[*] TCP OPEN 192.168.1.2:80
[*] TCP OPEN 192.168.1.10:80
[*] TCP OPEN 192.168.1.109:80
[*] TCP OPEN 192.168.1.116:80
[*] TCP OPEN 192.168.1.150:80
[*] Auxiliary module execution completed


Así podemos ver que los módulos de escaner incorporados en Metasploit son mas que capaces para encontrar sistemas y con puertos abiertos para nosotros. Es otra excelente herramienta para tener en tu arsenal si estas usando Metasploit en un sistema sin Nmap instalado.

SMB Version Scanning

Ahora que hemos determinado cuales hosts están disponibles en la red, podemos intentar determinar cual sistema operativo están ejecutando. Esto nos ayudara a reducir los ataques para atacar un sistema en especifico y dejaremos de perder el tiempo en aquellos que no son vulnerables a un exploit en particular.

Como hay muchos sistemas en la exploración con el puerto 445 abierto, vamos a usar el modulo "scanner/smb/version" para determinar cual versión de Windows usa el objetivo y cual version de Samba se encuentra en un host con Linux.

msf auxiliary(version) > set RHOSTS 192.168.1.0/24
RHOSTS => 192.168.1.0/24
msf auxiliary(version) > set THREADS 50
THREADS => 50
msf auxiliary(version) > run

[*] 192.168.1.100 is running Windows 7 Enterprise (Build 7600) (language: Unknown)
[*] 192.168.1.116 is running Unix Samba 3.0.22 (language: Unknown)
[*] 192.168.1.121 is running Windows 7 Ultimate (Build 7100) (language: Unknown)
[*] 192.168.1.151 is running Windows 2003 R2 Service Pack 2 (language: Unknown)
[*] 192.168.1.111 is running Windows XP Service Pack 3 (language: English)
[*] 192.168.1.114 is running Windows XP Service Pack 2 (language: English)
[*] 192.168.1.124 is running Windows XP Service Pack 3 (language: English)
[*] Auxiliary module execution completed


Observe que si usamos el comando "db_hosts" ahora, la información recién obtenida es guarda en la base de datos de Metasploit.

msf auxiliary(version) > db_hosts
[*] Time: Thu Aug 13 19:39:05 -0600 2009 Host: 192.168.1.1 Status: alive OS:
[*] Time: Thu Aug 13 19:39:05 -0600 2009 Host: 192.168.1.2 Status: alive OS:
[*] Time: Thu Aug 13 19:39:05 -0600 2009 Host: 192.168.1.10 Status: alive OS:
[*] Time: Thu Aug 13 19:39:05 -0600 2009 Host: 192.168.1.100 Status: alive OS: Windows Windows 7 Enterprise
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.104 Status: alive OS:
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.109 Status: alive OS:
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.111 Status: alive OS: Windows Windows XP
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.114 Status: alive OS: Windows Windows XP
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.116 Status: alive OS: Unknown Unix
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.121 Status: alive OS: Windows Windows 7 Ultimate
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.123 Status: alive OS:
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.124 Status: alive OS: Windows Windows XP
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.137 Status: alive OS:
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.150 Status: alive OS:
[*] Time: Thu Aug 13 19:39:06 -0600 2009 Host: 192.168.1.151 Status: alive OS: Windows Windows 2003 R2
 

Idle Scanning

Nmap con el "IPID Idle scannning" nos permite ser un poco mas cauteloso explorando un objetivo, mientras se entrega una dirección IP (spoofing) de otro host en la red. Para que este tipo de exploración trabaje, tendremos que buscar un host que este inactivo en la red y usar su numero de secuencia IPID incremental o un Broken little-endian incremental. Metasploit contiene el modulo "scanner/ip/ipidseq" para explorar y ver un host que se adapte a los requisitos.

Para mas informacion sobre idle scanning con Nmap, ver http://nmap.org/book/idlescan.html (enlace en ingles) O en http://nmap.org/idlescan-es.html (enlace en español)

msf auxiliary(writable) > use scanner/ip/ipidseq
msf auxiliary(ipidseq) > show options

Module options:

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   RHOSTS                    yes       The target address range or CIDR identifier
   RPORT    80               yes       The target port
   THREADS  1                yes       The number of concurrent threads
   TIMEOUT  500              yes       The reply read timeout in milliseconds

msf auxiliary(ipidseq) > set RHOSTS 192.168.1.0/24
RHOSTS => 192.168.1.0/24
msf auxiliary(ipidseq) > set THREADS 50
THREADS => 50
msf auxiliary(ipidseq) > run

[*] 192.168.1.1's IPID sequence class: All zeros
[*] 192.168.1.2's IPID sequence class: Incremental!
[*] 192.168.1.10's IPID sequence class: Incremental!
[*] 192.168.1.104's IPID sequence class: Randomized
[*] 192.168.1.109's IPID sequence class: Incremental!
[*] 192.168.1.111's IPID sequence class: Incremental!
[*] 192.168.1.114's IPID sequence class: Incremental!
[*] 192.168.1.116's IPID sequence class: All zeros
[*] 192.168.1.124's IPID sequence class: Incremental!
[*] 192.168.1.123's IPID sequence class: Incremental!
[*] 192.168.1.137's IPID sequence class: All zeros
[*] 192.168.1.150's IPID sequence class: All zeros
[*] 192.168.1.151's IPID sequence class: Incremental!
[*] Auxiliary module execution completed


Viendo los resultados de nuestro analisis, tenemos un numero de un potencial zombie que podemos utilizar para realizar un idle scanning. Vamos a intentar escanear un host usando el zombie con 192.168.1.109 y ver si obtenemos los mismos resultados.

msf auxiliary(ipidseq) > nmap -PN -sI 192.168.1.109 192.168.1.114
[*] exec: nmap -PN -sI 192.168.1.109 192.168.1.114

Starting Nmap 5.00 ( http://nmap.org ) at 2009-08-14 05:51 MDT
Idle scan using zombie 192.168.1.109 (192.168.1.109:80); Class: Incremental
Interesting ports on 192.168.1.114:
Not shown: 996 closed|filtered ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-term-serv

MAC Address: 00:0C:29:41:F2:E8 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 5.56 seconds



© Offensive Security 2009


  • Original by www.offensive-security.com
  • Traslated by Jhyx

0 comentarios:

Creative Commons License
Esta obra está bajo una licencia de Creative Commons.