Desarrollo de Script multipropósito para uso manual y remoto:
- El siguiente trabajo práctico ha sido incorporado para potenciar en el alumno, el desarrollo de
herramientas manuales.
- INSTRUCCIONES:
- Usar el archivo base visto en clases, sin prejuicio de que, el equipo pueda desarrollar un script propio, siempre que este realice el empaquetado pcap y el resultado sea legible por la herramienta Wireshark.
- El Script debe incluir las siguientes funcionalidades: (Total 45 pts)
- Debe integrar el sniffer, con scanner de host y de puertos 30 pts
- Se debe priorizar un script que sea capaz de guardar archivos 5 pts
- El archivo debe incluir en el nombre del paquete, el timestamp tmstmp=calendar.timegm(gmt) 5 pts
- El script debe contener comentarios de funciones. 5 pts
- Debe incluir un Menú y debe incluir lo siguiente: (Total 25 pts)
- Selección de funcionalidades del menú en formato lista. 5 pts
- Debe recibir input para selección 10 pts
- Debe tener modo verbose con -v 5 pts
- Debe indicar error de sintaxis 5 pts
- INSTRUCCIONES:
- NOTA: Usar como modelo scripts vistos en clase por Prof. Oscar Bravo y Prof. Claudio Reyes.
%> bash scanner.sh -v hosts 192.168.1.0/28
* Activado modo verboso
* Calculando informacion de la red:
Address : 192.168.1.0 11000000 10101000 00000001 00000000
Netmask : 255.255.255.240 11111111 11111111 11111111 11110000
Wildcard : 0.0.0.15 00000000 00000000 00000000 00001111
Network : 192.168.1.0 11000000 10101000 00000001 00000000
Broadcast: 192.168.1.15 11000000 10101000 00000001 00001111
HostMin : 192.168.1.1 11000000 10101000 00000001 00000001
HostMax : 192.168.1.14 11000000 10101000 00000001 00001110
* Buscando hosts desde 192.168.1.1 a 192.168.1.14:
Escaneando 192.168.1.1
Escaneando 192.168.1.2
Escaneando 192.168.1.3
Escaneando 192.168.1.4
Escaneando 192.168.1.5
Escaneando 192.168.1.6
Escaneando 192.168.1.7
Escaneando 192.168.1.8
Escaneando 192.168.1.9
Escaneando 192.168.1.10
Escaneando 192.168.1.11
Escaneando 192.168.1.12
Escaneando 192.168.1.13
Respuesta desde 192.168.1.7
Respuesta desde 192.168.1.2
* Los resultados encontrados se guardaron en 20220202.115506-hosts.log
%> bash scanner.sh -v ports 192.168.1.7
* Activado modo verboso
* Buscando puertos abiertos en 192.168.1.7
22 > Puerto abierto
53 > Puerto abierto
443 > Puerto abierto
>> escaneados 5000 puertos
5000 > Puerto abierto
>> escaneados 10000 puertos
>> escaneados 15000 puertos
>> escaneados 20000 puertos
>> escaneados 25000 puertos
>> escaneados 30000 puertos
>> escaneados 35000 puertos
>> escaneados 40000 puertos
>> escaneados 45000 puertos
49494 > Puerto abierto
>> escaneados 50000 puertos
>> escaneados 55000 puertos
>> escaneados 60000 puertos
>> escaneados 65000 puertos
* Resultados:
PUERTO > SALIDA DEL PUERTO >> RESPUESTA A PETICION HTTP ;
22 > SSH2.0OpenSSH_7.4 >> ;
53 > >> ;
443 > >> HTTP/1.1 400 Bad Request; Server: nginx; Date: Wed 02 Feb 2022 14:57:36 GMT; ContentType: text/html; ContentLength: 264; Connection: close; ;
5000 > >> HTTP/1.1 200 OK; CacheControl: nocache; Date: Wed 02 Feb 2022 14:57:42 GMT; ;
49494 > >> HTTP/1.1 200 OK; CONTENTLENGTH: 24429; AcceptRanges: bytes; CONTENTTYPE: text/html; DATE: Wed 02 Feb 2022 15:03:34 GMT; LASTMODIFIED: Wed 07 Apr 2021 12:42:34 GMT; SERVER: Linux/3.10.01160.31.1.el7.x86_64 UPnP/1.0 Portable SDK for UPnP devices/1.14.0; XUserAgent: redsonic; CONNECTION: close; ;
* Los resultados encontrados se guardaron en 20220202.115733-ports.log
%> bash scanner.sh -v sniff enp2s1
* Activado modo verboso
* Iniciando captura de paquetes desde la interfaz
Presione ^C para terminar la captura...
tcpdump: listening on enp2s1, link-type EN10MB (Ethernet), capture size 262144 bytes
^C38 packets captured
39 packets received by filter
0 packets dropped by kernel
* MACs distintas encontradas
08:00:27:09:d2:79
08:00:27:4a:24:28
33:33:00:00:00:01
7c:db:98:57:75:ee
b0:22:7a:8a:4f:26
b0:6e:bf:0b:05:8c
b0:6e:bf:0b:17:be
ff:ff:ff:ff:ff:ff
* La captura se encuentra en 20220202.121227-sniff.pcap
FASE 1: Especificaciones del Contrato La empresa CyberOps, después de haber recibido un ataque de hacktivistas, le han solicitado su empresa de Red Team (conformada por 5 personas) que realice un análisis sobre los activos que pudieron verse comprometido, con el fin de detectar las brechas de seguridad y los puntos de accesos que los atacantes pudieron haber utilizado. En consideración a que en el RED TEAM es caja negra, lo primero que deberán es hacer un reconomiento de la infraestructura.
Objetivo de la Evaluación.
Enumerar puertos y servicios que corren dentro de la red. Obtener información relevante respecto a su pagina web. Realizar un reconocimiento de que tipo de web es la pagina de la empresa Proponer herramientas de trabajo, justificando su uso. Contexto
Deberán considerar cada máquina dockerizada con parte de la infraestructura del cliente Se debe omitir las explotación de las vulnerabilidades de los sitios y acceder a la máquina con credenciales. (solo debe hacer reconocimiento) Dentro de la evaluación se considerará la entrega fuera de plazo, si el grupo necesita más tiempo, deberá entregar el formulario de entrega fuera de plazo 24 horas antes del cierre de la evaluación justificando la entrega de esta.
- Enumeración de puertos y servicios a través de un script bash, que recorra los puertos de una máquina objetivo y que entrege información de los puertos abiertos.
- Scrapear los servidores web para obtener información relevante sobre las páginas
Para tener una comparación fiable de los resultados, hice un escaneo con NMAP
> nmap -n -PN -sT -p- 192.168.1.129
Starting Nmap 7.70 ( https://nmap.org ) at 2022-01-19 16:05 -03
Nmap scan report for 192.168.1.129
Host is up (0.015s latency).
Not shown: 65509 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
24/tcp open priv-mail
25/tcp open smtp
80/tcp open http
82/tcp open xfer
83/tcp open mit-ml-dev
84/tcp open ctf
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
512/tcp open exec
513/tcp open login
514/tcp open shell
1099/tcp open rmiregistry
1524/tcp open ingreslock
2121/tcp open ccproxy-ftp
3306/tcp open mysql
3632/tcp open distccd
5432/tcp open postgresql
6667/tcp open irc
6697/tcp open ircs-u
8009/tcp open ajp13
8180/tcp open unknown
8787/tcp open msgsrvr
Nmap done: 1 IP address (1 host up) scanned in 12.75 seconds
Y la siguiente es la salida del script:
> bash enumera.sh -e 192.168.1.129
* Scanning target 192.168.1.129
>> scanned 5000 ports
>> scanned 10000 ports
>> scanned 15000 ports
>> scanned 20000 ports
>> scanned 25000 ports
>> scanned 30000 ports
>> scanned 35000 ports
>> scanned 40000 ports
>> scanned 45000 ports
>> scanned 50000 ports
>> scanned 55000 ports
>> scanned 60000 ports
>> scanned 65000 ports
21> 220 (vsFTPd 2.3.4)
22> SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.4
23> #'
24> SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1
25> 220 metasploitable.localdomain ESMTP Postfix (Ubuntu)
80> HTTP/1.1 - HTTP/1.1 200 OK; Date: Thu 20 Jan 2022 04:23:17 GMT; Server: Apache/2.4.7 Ubuntu; XPoweredBy: PHP/5.5.91ubuntu4.24; SetCookie: PHPSESSIDhtuu3mse1b6o30qprc0k414423; path/; Expires: Thu 19 Nov 1981 08:52:00 GMT; CacheControl: nostore nocache mustrevalidate postcheck0 precheck0; Pragma: nocache; ContentType: text/html; ;
82> HTTP/1.1 - HTTP/1.1 200 OK; Date: Thu 20 Jan 2022 04:23:17 GMT; Server: Apache/2.2.8 Ubuntu DAV/2; XPoweredBy: PHP/5.2.42ubuntu5.10; ContentType: text/html; ;
83> HTTP/1.1 - HTTP/1.1 200 OK; Date: Thu 20 Jan 2022 04:23:17 GMT; Server: Apache/2.4.7 Ubuntu; XPoweredBy: PHP/5.5.91ubuntu4.29; XPingback: http://192.168.20.105:83/xmlrpc.php; Link: http://192.168.20.105:83/; relshortlink; SecretHeader: SecretValue; via: Squid 1.0.0; ContentType: text/html; charsetUTF8; ;
84> HTTP/1.1 - HTTP/1.1 200 OK; AccessControlAllowOrigin: ; XContentTypeOptions: nosniff; XFrameOptions: SAMEORIGIN; FeaturePolicy: payment self; AcceptRanges: bytes; CacheControl: public maxage0; LastModified: Wed 19 Jan 2022 07:10:32 GMT; ETag: W/78417e712c3ec8; ContentType: text/html; charsetUTF8; ContentLength: 1924; Vary: AcceptEncoding; Date: Thu 20 Jan 2022 04:23:17 GMT; Connection: keepalive; KeepAlive: timeout5; ;
111>
139>
445>
512>
513>
514>
1099>
1524>
2121> 220 ProFTPD 1.3.1 Server (Debian) [::ffff:172.17.0.3]
3306> 5.0.51a-3ubuntu5Mu*ld1d&.R4Md3nP(u7N
3632>
5432>
:irc.Metasploitable.LAN NOTICE AUTH :*** Found your hostname (cached)me...
6697> ERROR :Closing Link: [192.168.1.20] (Throttled: Reconnecting too fast) -Email [email protected] for more information.
8009>
8180> HTTP/1.1 - HTTP/1.1 200 OK; Server: ApacheCoyote/1.1; ContentType: text/html;charsetISO88591; TransferEncoding: chunked; Date: Thu 20 Jan 2022 04:23:30 GMT; ;
8787>