Pruebas de Penetración

Contenido

1. Planificaciónde las pruebas

2. Reconocimiento
3. Escaneo
4. Explotación
5. Pos-explotación y pivoting
6. Ataques de contraseña
Objetivos de la fase de escaneo

u Objetivo general: Obtenga más información sobre los objetivos y

encuentre vacantes interactuando con el entorno objetivo.
u Determinar las direcciones de red de los hosts, firewalls, enrutadores
y demás.
u Determinar la topología de red del entorno de destino.
u Determinar los tipos de sistemas operativos de los hosts descubiertos.
u Determinar puertos abiertos y servicios de red en un entorno de
destino
u Determinar listas de posibles vulnerabilidades
u Hágalo de una manera que minimice el riesgo de dañar el host o el
servicio
Tipos de escaneo

u Barrido de red
u Envíe una serie de paquetes de prueba para identificar hosts en vivo en direcciones IP en la red de
destino
u Rastreo de la red
u Determinar la topología de la red y dibujar un mapa
u Escaneo de puertos
u Determine los puertos TCP y UDP de escucha en los sistemas de destino
u OS fingerprinting
u Determinar el tipo de sistema operativo de destino según el comportamiento de la red
u Escaneo de versiones
u Determinar la versión de servicios y protocolos hablados por puertos TCP y UDP abiertos
u Escaneo de vulnerabilidades
u Determine una lista de posibles vulnerabilidades (configuraciones incorrectas, servicios sin parche,
etc.) en el entorno de destino
Sugerencia de escaneo: generalmente
escanea la dirección IP de destino ... no el
nombre
u Al escanear (y explotar) sistemas, generalmente configuramos herramientas de
escaneo para usar direcciones IP de destino (10.10.10.10) o rangos de direcciones,
no nombres de sistemas (www.example.com)
u Si ataca en función del nombre, el round-robin DNS puede alterar un sistema de
destino mientras se realiza la prueba
u Escaneos de puertos con resultados de dos objetivos fusionados en uno
u Explotando el servicio, intente conectarse a él, pero ahora es una máquina diferente
u Reconocer que incluso una sola dirección IP puede tener un equilibrio de carga en
varios destinos físicos (o virtuales)
u Tenga en cuenta que para los sitios web, sin embargo, es posible que deba utilizar
un nombre de dominio para que sus herramientas accedan al contenido adecuado
en la máquina de destino con el encabezado de host correcto.
Consejo: lidiar con escaneos muy
grandes
u Ocasionalmente, se pide a los probadores que escaneen un gran conjunto
de objetivos.
u Considere una solicitud para escanear 1,000 hosts, todos los puertos
u 65,536 puertos TCP y 65,536 puertos UDP (contaremos el puerto 0)
u Si tomó 1 segundo para cada puerto (una estimación de referencia), el
escaneo solo tomaría:
u 131 millones de segundos = 4.15 años
u Incluso si escanea 100 puertos a la vez, aún le tomaría 15 días de escaneo las
24 horas del día
u ¿Y si fueran 10,000 o 100,000 máquinas en lugar de solo 1,000?
u Debe haber mejores formas
Consejo: Manejo de escaneos grandes
limitando el alcance
u Numerosos enfoques para lidiar con escaneos grandes, algunos de los
cuales implican reducir el número de puertos medidos:
1) Muestra de un subconjunto de máquinas de destino
u Busque objetivos representativos
u Desventaja: ¿Qué tan representativa es la muestra, en realidad?
2) Puertos de destino de muestra
u Busque los puertos más interesantes, como TCP 21, 22, 23, 25, 80,
135,137,139, 443, 445, etc.
u Desventaja: ¿Qué pasa con otros puertos?
Manejo de escaneos grandes mayor
velocidad
3) Utilice métodos de escaneo de puertos hiperrápidos
u Gran cantidad de máquinas de escaneo
u Velocidad de envío de paquetes mucho más rápida desde la máquina
existente, lo que reduce los tiempos de espera (pero puede perder paquetes)
u Acercándose a los objetivos, cerca de la red troncal de gran ancho de banda
u Herramientas de escaneo rápido: Masscan, ScanRand, ZMap, SuperScan,
Unicornscan - Desventaja: podría crear un ataque de denegación de servicio
u ¡Tenga cuidado con los cuellos de botella de la red y la infraestructura
objetivo al atacar!
u Tenga mucho cuidado con este enfoque en entornos de producción
Consejo de escaneo: mientras
escanea, ejecute un sniffer
u Ejecute un sniffer si está ejecutando una herramienta
u Por lo general, no es necesario capturar todos los paquetes.
u Eso probablemente requeriría un gran espacio de almacenamiento
u Algunas organizaciones exigen la captura de paquetes completos para todas
sus pruebas de penetración
u En su lugar, muéstrelos en la pantalla para que pueda visualizar lo que está
sucediendo en el escaneo.
u ¿Qué sniffer usar?
u Cualquier sniffer que muestre encabezados de paquetes servirá, pero quieres
algo pequeño, flexible y rápido
u tcpdump es ideal para este propósito
Sugerencia de escaneo: use tcpdump

u Sniffer gratuito de código abierto:

u www.tcpdump.org
u Admite varias reglas de filtrado
u Durante la prueba, es probable que muestre todos los paquetes que
salen y llegan a su máquina de escaneo.
u Pero para problemas específicos, es posible que deba concentrarse en
paquetes específicos
Consejo: algunos ejemplos de uso
rápido de tcpdump
u Mostrar paquetes TCP contra el destino 10.10.10.10 en ASCII y Hex
u # tcpdump -nnX tcp and dst 10.10.10.10
u Mostrar todos los paquetes UDP de 10.10.10.10
u # tcpdump -nn udp and src 10.10.10.10
u Mostrar todos los paquetes del puerto TCP 80 que van hacia o desde el
host 10.10.10.10
u # tcpdump -nn tcp and port 80 and host 10.10.10.10
Objetivos de la fase de escaneo
El encabezado IPv6 y el campo de
límite de saltos
Capas de protocolo y TCP vs UDP

u La mayoría de los servicios en Internet son TCP o UDP

u Propiedades muy diferentes entre estos protocolos, que afectan nuestro
escaneo
u TCP: Orientado a la conexión, intenta preservar la secuencia, retransmite los
paquetes perdidos
u UDP: sin conexión, sin intentos de entrega confiables
TCP Header
Bits de control de TCP

u Los bits de control también se conocen como "indicadores de control"

o "indicadores de comunicación".
u Seis de los tradicionales, con dos más nuevos y extendidos para el
control de la congestión.
Protocolo de enlace de tres vías TCP

u Las conexiones TCP legítimas comienzan con un protocolo de enlace

de tres vías
u Se utiliza para intercambiar números de secuencia que se aplicarán de
manera creciente para todos los paquetes de esa conexión.
Escaneo de puertos TCP

u Según las especificaciones de TCP (RFC 793) ...

u ... si un puerto TCP esta escuchando...
u ... y llega un SYN a ese puerto ...
u ... el sistema responde con un SYN-ACK ...
u ... independientemente del payload del paquete SYN
u Eso ayuda a identificar, qué puertos están abiertos
Comportamiento de TCP durante la
exploración de puertos (1)
Comportamiento de TCP durante la
exploración de puertos (2)
Resultados de diferentes
comportamientos de TCP
u Suele haber más puertos cerrados que abiertos
u Por lo tanto, el comportamiento de los puertos cerrados afectará
significativamente la duración del escaneo.
u Si la herramienta de escaneo obtiene RESET o el puerto ICMP inaccesible
vuelve, el escaneo ocurrirá mucho más rápido
u Si no hay respuesta, la herramienta de escaneo tendrá que esperar a que
expire el tiempo de espera antes de pasar al siguiente puerto.
u Duplicado más de miles de puertos en docenas, cientos o miles de máquinas, ¡ese
tiempo puede sumarse!
Encabezado UDP
Escaneo de puertos UDP

u UDP es un protocolo mucho más simple, sin seguimiento del estado de

una "conexión"
u No hay conexión con UDP
u Menos opciones para escanear
u A menudo, escaneo más lento
u Y escaneo menos confiable
Comportamiento de UDP durante la
exploración de puertos (1)
Comportamiento de UDP durante la
exploración de puertos (2)

u El puerto es inaccesible, pero ¿por qué?

u Posibles razones:
a) El puerto está cerrado
b) El cortafuegos está bloqueando el paquete de sonda UDP entrante
c) El firewall está bloqueando la respuesta saliente
d) El puerto está abierto, pero buscaba datos específicos en la carga útil UDP. Sin
los datos de carga útil en la solicitud, el objetivo no envió respuesta.
u En otras palabras, no lo sabemos. Nmap marca como "open|filtered".
Escaneo de puertos con Nmap

u Escrito y mantenido por Fyodor y el equipo de desarrollo de Nmap

u Muy popular, se lo puede encontrar en www.nmap.org
u No solo es un escáner de puertos
u El escaneo de puertos es su enfoque
u Pero se ha ampliado a un escáner de vulnerabilidades de propósito
general a través de Nmap Scripting Engine (NSE)
Tipos de escaneo de puertos TCP de
Nmap: escaneo de conexión
u Nmap ofrece numerosas opciones de escaneo de TCP
u La mayoría de estos se basan en la variación de los bits de control de TCP
u El más sencillo es TCP Connect Scan, Nmap -sT
u Completa el apretón de manos de tres vías
u La conexión luego se rompe usando RESET
u Más lento
u Puede ejecutarse con o sin privilegios de administrador
Listado de comandos de NMAP
comunes (1)
1. Escaneo de puertos TCP básico
u nmap 192.168.1.1
2. Escanear un rango de IPs con Nmap
u nmap 192.168.1.1-115
3. Escanear puertos concretos o rangos de puertos con Nmap
u nmap –p 445
4. Escanear todos los puertos con Nmap
u nmap –p- 192.168.1.1
5. Lanzar un escaneo TCP SYN (opción por defecto)
u nmap –sS 192.168.1.1
Listado de comandos de NMAP
comunes (1)
6. Escaneo de sistema operativo
u nmap –O 192.168.1.1
7. Escaneo de Sistema Operativo y servicios
u nmap –A 192.168.1.1
8. Escaneo de servicios estándar
u nmap –sV 192.168.1.1
9. Escaneo de subred completa usando Nmap
u nmap 192.168.1.1/24
10. Escaneo con scripts predeterminados
u nmap –sC 192.168.1.1
Métodos para descubrir
vulnerabilidades
u ¿Cómo podemos determinar si un objetivo es vulnerable?
u Verifique la versión del software
u Los controles implementados pueden bloquear la explotación (IPS)
u Además, tenga en cuenta que algunas distribuciones de Linux corrigen una falla (como
RHEL), pero mantienen un número de versión anterior a pesar de que han parcheado el
software dado, lo que genera falsos positivos
u Para abordar esta situación, investigue el número de versión en el contexto del tipo de
sistema operativo
u Verifique el número de versión del protocolo
u Mira su comportamiento, algo invasivo
u Comprueba su configuración, más invasiva
u Requiere acceso al objetivo
u O requiere documentación de configuración del personal
Nmap Scripting Engine

u Objetivos del motor Nmap Scripting Engine de Nmap (NSE):

u Permitir que Nmap envíe o reciba mensajes arbitrarios a múltiples objetivos,
ejecutando scripts en paralelo
u Ser fácilmente ampliable con scripts desarrollados por la comunidad.
u Admite descubrimiento de red extendido (Whois, DNS, etc.)
u Realizar una detección de versiones más sofisticada
u Realizar análisis de vulnerabilidades
u Detectar sistemas infectados o con puertas traseras
u Explotar las vulnerabilidades descubiertas
u Extremadamente útil para escanear y medir una cantidad relativamente
pequeña de elementos específicos en una gran cantidad de sistemas de
destino
Nmap Scripting Engine Scripts

u Escrito en el lenguaje de programación Lua:

u A menudo utilizado en juegos, Lua es rápido, flexible y gratuito, con un pequeño intérprete
que funciona en todas las plataformas y se integra fácilmente dentro de otras aplicaciones.
u Descrito en detalle en www.lua.org
u Para invocar NSE:
u Para ejecutar todos los scripts:
# nmap -sc 192.168.1.1 –p 445
u - Para ejecutar un script individual:
u # nmap --script = nmap -p445 --script smb-vuln-ms17-010 192.168.1.1
u Agregue "--script-trace" para obtener una salida detallada de cada secuencia de comandos
u Utilice "--script-help" para obtener una descripción de la funcionalidad de cada script
u Agregue "--script-args [argumentos]" para pasar argumentos a un script
Escáner de vulnerabilidades Nessus de
Tenable Network Security
u Desarrollado y distribuido por Tenable Network Security
u http://www.tenable.com
u Comercial para uso corporativo pero gratuito para uso doméstico
u Los plugins miden fallas en el entorno de destino
u Más de 83,000 plugins
u A medida que se descubren nuevas vulnerabilidades, el personal de
Tenable lanza plugins
u Disponible para los clientes que pagan una licencia
Arquitectura Nessus

u Nessus es una arquitectura cliente-servidor

u Cliente: basado en navegador
u Servidor: nessusd
u Nessus es una de las más utilizadas en la actualidad
u OpenVAS es una bifurcación gratuita de Nessus
u Incluye nuevos complementos, pero no tantos como lo hace
Nessus corporativo
u Además, el desempeño de OpenVAS es aproximadamente un 50%
más lento que Nessus
u Aún así, OpenVAS es útil, gratuito y de código abierto.