Network PenetrationAdrian Catalan

@ykro

¿Quien soy y que hago aqui?

El arte de la guerra nos enseña a no depender en que nuestro enemigo no aparezca, sino en nuestra capacidad de recibirlo; a no depender en que no ataque, sino de la habilidad de haber hecho impenetrable nuestra posición.

-Sun Tzu

Agenda

● Consideraciones eticas● Scanning y reconocimiento

● NMAP FTW!

● ElAtaque● Alguien dijo script kiddies?● Infames overflows● Metasploit

● Y despues?● Rootkits● Analis Forense

Consideraciones eticas

● Cual es mi sombrero?

Divulgacion

● Casos DEFCON● 2001 Adobe ebooks - Dmitry Sklyarov● 2005 Cisco - Michael Lynn● 2008 Boston Subway – Estudiantes de MIT

Divulgacion

● CERT● RFP● Zero Day Initiative

Scanning y Reconocimiento

● Por que hablamos de dos fases aqui?● Objetivo claro: Identificación

● Topologia de la red● Hosts● Servicios

Reconocimiento

● Antes de robar un banco…● Soluciones Hi-tech … o ¿ no?

● Herramientas disponibles● Ingenieria Social● Whois● Dig/Traceroute● “Search the <f> web” (<f> as in <fine>)

Reconocimiento

● Google como consultor de seguridad● 20f1aeb7819d7858684c898d1e98c1bb● Mas busquedas interesantes

● intitle:”index of” finance.xls● “welcome to intranet”

● intitle:”welcome to IIS 4.0”

Scanning

● War Driving● Activo● Pasivo● Modo Monitor vs Modo Promiscuo

● Busqueda de vulnerabilidades● Nessus 2.0 & OpenVAS

NMAP TCP Connect Scan(-sT)

● El mas “amable” (y rapido)● No le da problemas al target● Para nada sigiloso● Como funciona?

NMAP TCP SYN Scan (-sS)

● Envio de SYN y luego de RESET● Solo 2/3 del handshake se completan● Menos paquetes

● Somos mas sigilosos! ● Es posible que la victima no lo anote en e log

● Desventajas?

NMAP FIN, XMAS & NULL

● Enviamos FIN a una conexion intexistente● Puerto cerrado, protocolo dice “envie RESET”● Puerto abierto, protocolo no dice nada● Si no hay respuesta, puede ser un puerto abierto

● Violacion al protocolo● No funciona contra windows

NMAP OS Fingerprinting (-O)

● Active, Passive & Semipassive● (tambien xprobe2 es una herramienta a

considerar)

El Ataque

● Ataques conocidos disponibles para cualquiera● Script Kiddies se multiplican #ohcielos● Web Goat● Metasploit (mas de esto en un rato)

Stack

● Estructuras de datos● Espacio de direcciones de un proceso

Codigo vulnerable

Atacando el stack

24

Ejemplo

Desensamblando

Nos interesa la direccion 0x401034

25

Ejemplo

Resulta que 0x401034 es “@^P4” en ASCII

26

Ejemplo

Le damos vuelta a “4^P@” y..

27

Defensa

● Utilizar un stack no ejecutable● Bit NX

● Utilizar funciones “seguras”● strncpy en vez de strcpy

● Utilizar un canario● ASLR (Address Space Layout Randomization)

Metasploit

● La mayoria de cosas se vuelven mas “faciles” con el tiempo

● Point.Click.Own.● msf

● Que es y que hace?

● Por que usarlo?

29

Arquitectura

Libraries

ModulesInterfaces

Custom Plugins

msfapi

msfgui

msfconsole

msfcli

msfweb

auxiliary

nops

encoders

payloads

exploits

Framework:Base

Framework:Core

REX

Interfaces

Interfaces

Interfaces

Protocol Tools

Security Tools

Web Services

Integration

Diagram by HDMoore/MSF

Interfaces

● Msfgui● Msfweb● Msfcli● Msfconsole● Msfd

metasploit

● Tenemos exploits y payloads● Inicialmente eran 15 exploits, hoy son 300+● Tipos de payload

● Inline (Single Round Trip)● Staged (Multiple Round Trips)

metasploit

● Meterpreter● Exploits avanzados

Y despues?

● Rootkits● Estado de procesos, usuarios, red

● last | awk '$1 !~ /ykro/ {print $0}'

● lrk4 y lrk5

Rootkits

● Deteccion● Tripwire● Chkrootkit● AIDE

Rootkits

● Algo un poco mas avanzado● Modificando codigo del kernel● Colocando codigo en modulos● Escondiendo procesos

Analisis Forense

Analisis Forense

● Computer forensics● Preservacion● Identificacion● Extraccion● Documentacion● Interpretacion

● Esteganografia

Preguntas | KTHXBYE