como hackear capitulo 1

CAPITULO 1. MERODEO Y RASTREO DEL OBJETIVO

Un explorador no explora a tontas y locas...sabe bien cual es su
objetivo=2E Por lo tanto, lo que evidentemente hemos de subrayar como
fundamental es la informacion que tenemos del sistema objetivo. Puede
ser que conozcamos su nombre de dominio, su IP, y muchos datos mas,
pero puede ser que para comenzar tengamos algo asi como poco menos que
el nombre de la organizacion o la entidad "organizacion
objetivo". Afortunadamente desde nuestra maquina linux podemos usar la
utilidad whois que permitira hacer consultas en la base de datos
InterNIC, simplemente haciendo

$>whois "organizacion objetivo"

y de este modo podremos ver muchos dominios diferentes asociados a tal
entidad. No obstante los servidores de InterNIC truncan los resultados
a 50 items, con lo que puede convenirnos consultar en
http://www.websitez.com, que proporciona todos los registros asociados
con la entidad buscada. Una vez conseguido el listadopodemos consultar
los dominios relacionados (p.ej. objetivo.net) mediante

$>whois objetivo.net

El resultado nos proporciona:
-Domain Name
-Registrar
-Whois server
-Referral ULR
-Name Servers
-Update Date

De este modo conseguimos informacion vinculada el objetivo y los
servidores DNS. Ademas tambien la fecha de actualizacion nos informa
de la precision de la informacion contenida en el objetivo. Si hace
mucho tiempo que no se actualiza, podria estar obsoleta. Pero, una
vez hemos consultado las bases de datos sobre los dominios es menester
hacer lo propio sobre redes para comprobar si hay alguna red real
asociada al dominio objetivo. Para ello podemos usar la base de datos
de ARIN. Para ello haremos

$>whois X.X.X.X@whois.arin.net

donde X.X.X.X es la IP de algun servidor DNS de los ya
vistos. Revisando los datos podemos saber quien es el proveedor
principal de la red central y la clase de red (ya que nos proporciona
el intervalo de IPs) a que nuestro objetivo esta asociado.

Por ejemplo, supongamos que estoy interesado en la empresa transmeta
(donde trabaja Linus Benedict Torvalds) pero no se nada mas.

$>whois "transmeta"

[rs.internic.net]

Whois Server Version 1.1

Domain names in the .com, .net, and .org domains can now be registered
with many different competing registrars. Go to
http://www.internic.net for detailed information.

TRANSMETA.ORG
TRANSMETA.NET
TRANSMETA.COM

To single out one record, look it up with "xxx", where xxx is one of
the of the records displayed above. If the records are the same, look
them up with "=3Dxxx" to receive a full display for each record.

>>> Last update of whois database: Tue, 1 Aug 00 04:13:33 EDT <<<

The Registry database contains ONLY .COM, .NET, .ORG, .EDU domains and
Registrars.

Con esto me pongo a probar. Supongamos que me da por empezar por
transmeta.com

$>whois transmeta.com

[rs.internic.net]

Whois Server Version 1.1

Domain names in the .com, .net, and .org domains can now be registered
with many different competing registrars. Go to
http://www.internic.net for detailed information.

Domain Name: TRANSMETA.COM
Registrar: NETWORK SOLUTIONS, INC.
Whois Server: whois.networksolutions.com
Referral URL: www.networksolutions.com
Name Server: NS1.TRANSMETA.COM
Name Server: NS2.TRANSMETA.COM
Updated Date: 06-jan-2000

>>> Last update of whois database: Tue, 1 Aug 00 04:13:33 EDT <<<

The Registry database contains ONLY .COM, .NET, .ORG, .EDU domains and
Registrars.

Bueno...no se actualiza desde enero de 2000, pero me interesa. Voy a
utilizar la utilidad nslookup para conseguir las IPs de transmeta.com
y los dos DNS servers De este modo consigo

Name: transmeta.com
Addresses: 209.10.41.231, 209.10.41.232 (puede ser una pagina web y su espejo o gemelo)
Name: ns1.transmeta.com
Address: 209.10.41.227
Name: ns2.transmeta.com
Address: 209.10.217.68

Ahora voy a buscar si existe una red global que contenga el objetivo:

$>whois 209.10.41.227@whois.arin.net

[whois.arin.net]
Globix Corporation (NETBLK-GLOBIXBLK3)
295 Lafayette St- 3rd Fl
NY, NY 10012

Netname: GLOBIXBLK3
Netblock: 209.10.0.0 - 209.11.159.255
Maintainer: PFMC

Coordinator:
Hostmaster, Globix Corporation (GCH2-ARIN) arin-admin@GLOBIX.NET
212.334.8500 (FAX) 212.334.8615

Domain System inverse mapping provided by:

Z1.NS.NYC1.GLOBIX.NET 209.10.66.55
Z1.NS.SJC1.GLOBIX.NET 209.10.34.55
Z1.NS.LHR1.GLOBIX.NET 212.111.32.38

ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE

Record last updated on 10-Jul-2000.
Database last updated on 1-Aug-2000 06:07:11 EDT.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.

De este modo hemos sabido que la red global es GLOBIXBLK3 de Globix
Corporation y que va desde la IP 209.10.0.0 hasta la
209.11.159.255. Tambien se nos ofrecen datos acerca del Coordinador
que muy bien podrian servir para ciertas tecnicas de ingenieria social
:).

Ahora no vendria nada mal determinar algo de la topologia rutas de
acceso potencial de la red. Con el programa traceroute podemos
descubrir la secuencia de hosts hasta llegar al objetivo e identificar
dispositivos de control de acceso como routers o cortafuegos.

$> traceroute transmeta.com

1 SEVI-X9.red.retevision.es (62.81.56.41) 138.486 ms 119.613 ms 130.83 ms
2 SEVI-R1.red.retevision.es (62.81.56.28) 139.057 ms SEVI-R3.red.retevision.es (62.81.56.27) 120.209 ms SEVI-R1.red.retevision.es (62.81.56.28) 129.753 ms
3 SEVI-R15.red.retevision.es (62.81.55.229) 120.721 ms 119.941 ms 129.843 ms
4 BARC-R16.red.retevision.es (62.81.125.3) 139.933 ms 139.88 ms 150.833 ms
5 BARC-R0.red.retevision.es (62.81.63.193) 159.007 ms 139.807 ms 149=2E913 ms
6 mi4-retevision-E3-2-es.seabone.net (195.22.192.229) 161.544 ms 159.903 ms 159.887 ms
7 gi-eth-2-mi5.seabone.net (195.22.205.235) 239.99 ms 159.912 ms 159=2E894 ms
8 itmil201-ta-p5-1-0.ebone.net (195.158.241.117) 159.935 ms 149.876 ms 169.88 ms
9 chgen102-tc-p0-1.ebone.net (195.158.241.37) 189.92 ms 169.909 ms 169.884 ms
10 chgen101-tc-p3-0.ebone.net (195.158.237.34) 180.842 ms * 240.1 ms
11 frpar205-tc-p1-0.ebone.net (195.158.228.22) 189.865 ms 178.867 ms 180.005 ms
12 gblon303-tc-p1-0.ebone.net (195.158.228.150) 199.884 ms 199.848 ms 189.897 ms
13 gblon504-tc-p1-0.ebone.net (195.158.232.33) 199.908 ms 199.824 ms 199.944 ms
14 195.158.232.66 (195.158.232.66) 189.855 ms 189.901 ms 199.922 ms
15 pos5-0-0-core2.lhr1.globix.net (209.10.12.197) 189.851 ms * pos2-2-core1.lhr1.globix.net (209.10.12.193) 230.109 ms
16 170.atm0-0-core2.sjc1.globix.net (209.10.11.70) 359.851 ms 146.atm0-0-core2.sjc1.globix.net (209.10.11.46) 369.861 ms 359.918 ms
17 pos5-0-0-aggr1.sjc1.globix.net (209.10.3.30) 359.882 ms 359.847 ms 370.234 ms
18 v2-edge2.sjc1.globix.net (209.10.3.22) 359.627 ms 369.855 ms 359.959 ms
19 www1.transmeta.com (209.10.41.231) 369.915 ms 379.868 ms 369.896 ms

Por fin...Parece ser que el =FAltimo eslabon es el servidor web
www1.transmeta.com(una de las IP de transmeta.com, la otra sera el
gemelo www2.transmeta.com) y el anterior a el podria ser un router
frontera. Para conocer los registros de Mail eXchange (MX), es decir
las maquinas que gestionan el correo de nuestro objetivo existe la
utilidad host. Al hacer

$>host transmeta.com

transmeta.com has address 209.10.41.232
transmeta.com has address 209.10.41.231
transmeta.com mail is handled (pri=3D40) by neosilicon.transmeta.com

obtengo el nombre del sistema que gestiona el correo. Esto es
fundamental porque generalmente en los entornos comerciales el correo
se administra en el mismo sistema que el cortafuegos. Con un nslookup
descubrimos que la IP de neosilicon.transmeta.com es 209.10.217.68.

Bueno. Hasta ahora disponemos de una lista de direcciones Ip de red,
servidores DNS, de correo y otras yerbas...pero =BFsabemos que
sistemas estan activos y accesibles via internet?=BFy que puertos
estan a la escucha? Bien, eso vamos a arreglarlo
inmediatamente. Podriamos hacer barridos ping enviando paquetes ICMP
ECHO(8) para recibir ICMP ECHO REPLY (0) si el destino esta
activo. Mejor que ping es la herramienta fping que "pregunta" en
paralelo y permite barrer rapidamente varias direcciones IP. Fping se
usa mediante shell scripts con la utilidad gping (que viene incluida
en fping) junto con el intervalo de IP, por ejemplo

$>gping 209 10 0 0 254 (equivale a 209.10.0.0-209.10.0.254)

devolvera la IP junto con "is alive" si el host esta activo...pero
vamos a pasar a la utilidad mas interesante para la exploracion que es
nmap (www.insecure.org/nmap. Nmap no es solamente un explorador de
puertos: permite hacer como fping barridos ping y determinar el
sistema operativo por rastreo de pila. Cuando el trafico ICMP se
encuentra bloqueado la exploracion de puertos es la mejor tecnica para
encontrar hosts activos. Nmap permite la opcion de hacer TCP ping scan
mediante la opcion -PT en el puerto 80 (puerto comun usado por los
routers frontera para los sistemas de su misma zona y sus cortafuegos
principales. Y permite analizar toda la red indicada como intervalo,
con "mask" o utilizando bloques CIDR: por ejemplo 209.10.*.* equivale
a 209.10.0-255.0-255 o usando mask, 209.10.0.0/16. Cualquiera de estas
formas vale para usar con nmap. Si usamos la notaci=F3n de mask IP/n
n=3D0 escanea toda internet y n=3D32 el host particular
correspondiente a dicha IP.la mask /24 barrera una serie de IP
correspondiente a x.x.x.0-225 (red de clase C con mascara de subred
255.255.255.0)y /16 lo hara con una serie correspondiente a una clase
B (x.x.0-255.0-255). Para ello hacemos como root

#>nmap -sP -PT80 209.10-11.0-159.0-255

(barremos toda la red global)

y para cada host activo, aparecera "Host (x.x.x.x) appears to be up".

Las opciones y posibilidades de nmap son grandes; conviene leerse el
manual porque aqui solamente trataremos un nivel muy muy
basico. Podemos realizar una exploracion de puertos sigilosa mediante
un barrido semi abierto (TCP SYN scan) realizado como superusuario:

#>nmap -sS transmeta.com

(los resultados pueden almacenarse en un fichero con la opcion -o
fichero)

# Nmap (V. nmap) scan initiated 2.53 as: nmap -sS transmeta.com
Interesting ports on www1.transmeta.com (209.10.41.231):
(The 1521 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
80/tcp open http

# Nmap run completed at Tue Aug 1 23:17:52 2000 -- 1 IP address (1 host up) scanned in 28 seconds

Como puede verse www1.transmeta.com solamente tiene dos puertos
abiertos, el de secure shell y el de servidor web.

Para que la exploracion sea todavia mas silenciosa conviene hacer el
barrido utilizando se=F1uelos con la opcion -D. Supongamos que estamos
interesados especificamente en una direccion x.x.x.x y en los puertos
25, 139 y 443. Podemos hacer

#>nmap -sS x.x.x.x -D se=F1uelo1, se=F1uelo2, ME -p25, 139, 443

De este modo se realiza un barrido SYN en tales puertos con dos host se=F1uelos 1 y 2. Asi el host escaneado pensara que esta siendo barrido ademas por dichos se=F1uelos. Hay que separar cada maquina se=F1uelo por comas y se puede usar "ME" como se=F1uelo que representa la posicion usada por nuestra maquina. Si se coloca ME en la sexta posicion o superior podemos estar casi seguros que no nos rastrearan, pero los hosts usados como se=F1uelos (en este ultimo caso del 1 al 5) han de estar activos porque si no podria producirse un SYN flooding en la maquina escaneada ademas de no ser notados tales se=F1uelos. Si usamos la opcion -I (ident) podemos conocer el nombre del usuario propietario del proceso conectado via TCP, pero para ello hay que hacer la conexion completa TCP (-sT) y seriamos vistos.

Una vez que conocemos los puntos a la escucha en nuestro sistema
destino, el siguiente objetivo es identificar su sistema operativo. El
procedimiento mas comun es mediante telnet al puerto 23; p.ej.

$> telnet 163.143.103.12
=2E...algunos mensajes tipicos....
HP-UX hpux B.10.01 A 9000/715 (ttyp2)
login:

El problema es que muchos administradores eliminan el banner del
sistema operativo, ciertos sistemas dan per se poca informacion y
algunos listillos mienten como bellacos en el banner. De todos modos
aunque el banner este off es posible usar otras argucias con telnet o
netcat

$>telnet ftp.netscape.com 21
=2E...mensajes....
220 ftp29 FTP server (Unix System V Release 4.0)
(entonces hacemos)
SYST
(y nos aparece si hay suerte)
215 UNIX Type: L8 Version: SUNOS

En el caso de web servers con la utilidad netcat (la navaja del
ejercito suizo para estas cuestiones) podemos hacer (p.ej., en
hotbot.com)

$>echo 'GET / HTTP/1.0\n' | nc hotbot.com 80 | egrep '^Server:'
(para obtener)
Server: Microsoft-IIS/4.0

Pero, por las otras razones, el procedimiento mas preciso es el
llamado rastreo de pila (Stack fingerprinting). A la hora de escribir
las pilas TCP/IP, cada fabricante suele interpretar a su manera la
normativa RFC especifica y mediante la deteccion de estas diferencias
se pueden realizar suposiciones razonables del sistema operativo. Para
que la fiabilidad sea maxima debe al menos existir un puerto
abierto. Hay dos utilidades que permiten realizar esto y son el ya
celebrado programa nmap y queso. Nmap lo realiza con la opcion -O e
incluso si no hay puertos a la escucha realiza una suposicion del
sistema operativo. Queso hace la deteccion basandose en un unico
puerto que por defecto es el 80, pero que puede cambiarse. Por
ejemplo, parece que v2-edge2.sjc1.globix.net (209.10.3.22) como vimos
al hacet traceroute a transmeta.com, es un router. =BFCual sera el
sistema operativo? Para ello basta con hacer #>nmap -O 209.10.3.22 (o
con la opcion -sS para no ser detectados) y en mi caso no se
encontraron puertos abiertos pero la suposicion del sistema operativo
fue en todos los casos un Cisco Router.

=BFOs acordais del gestor de correo de transmeta.com? Se trataba de
neosilicon.transmeta.com (209.10.217.68) y pensabamos que se trataba
de un posible cortafuegosSi hago #>nmap -sS -O 209.10.217.68 tarda un
monton, pero se observa que tiene abiertos los puertos 25 (gestor de
correo, 21 (servidor ftp) y 53 (domain, consulta de DNS). Si hacemos
la consulta a las bravas con #>nmap -O 209.10.217.68 -p25 nos sale un
Linux 2.0.x y si lo hacemos con #>queso 209.10.217.68:25 nos sale lo
mismo.

Cabria decir que neosilicon.transmeta.com se encarga del correo y el
ftp de transmeta.com. Si nos atrevemos a hacer un telnet a esos
puertos nos sale:

$>telnet 209.10.217.68 25
=2E...mensajes....
220 neosilicon.transmeta.com ESMTP Sendmail 8.9.3 ...

$>telnet 209.10.217.68 21
=2E...mensajes intimidatorios....
220 neosilicon transmeta.com FTP Server (Version wu-2.6.1(1)) ready...

Y basta por esta entrega.

En el capitulo 2 trataremos de obtener informacion critica del sistema
objetivo: transferencia de zona en DNS, busqueda de cortafuegos y
routers con hping, nmap y netcat, exportacion de archivos NFS,
exportacion de listas de usuarios, aplicaciones RPC, NIS y bugs de los
demonios escuchantes en los puertos tipicos smpt, pop, imap...

Tened cuidado ahi fuera :-D