• Author / Uploaded
• Iker Castresana

Citation preview

Hoja de respuestas Módulo

Hacking Ético

Nombre y apellidos

Iker Castresana Morillas

←

Fecha entrega

Contenido 1º Parte................................................................................................................................................2 2.1 Búsqueda de información......................................................................................................2 2.1.1 Reconocimiento activo (fingerprinting).........................................................................2 Enumeración DNS........................................................................................................................2 2º Parte................................................................................................................................................8 2.1Escaneo (Comandos básicos y puertos, servicios)......................................................................8 2.1.2 Descubrimiento de red...................................................................................................8 Desde Kali ejecuto un ifconfig para ver mi dirección IP. A continuación, realizo un netdiscover -r 192.168.32.0 para ver la IP del servidor que vamos a escanear. Una vez obtenida la IP de la víctima (192.168.32.130) realizo un nmap..................................................................................8 2.1.3 Descubrimiento de servicios..........................................................................................9 2.2 Búsqueda de vulnerabilidades.............................................................................................10 2.2.1 Escaneo de vulnerabilidades.............................................................................................10 Realizo un escaneo con OpenVAS donde podemos ver que el la gravedad de las vulnerabilidades es muy elevada................................................................................................10 2.2.2 FLAGS..............................................................................................................................10

← 1º Parte 2.1 Búsqueda de información 2.1.1

Reconocimiento activo (fingerprinting)

Enumeración DNS Se realiza una búsqueda de los servidores DNS

Se realiza una búsqueda para ver que registros MX tiene la zona pública de cada uno de los dominios. Cada registro MX hace referencia a un HOST A y este a su vez a un servidor, con lo cual, entendemos que en el caso de imf.org hay dos servidores de correo.

En el caso de imf.net no vemos registros MX por lo que no tiene servidores de correo asociados.

Buscamos las IPs públicas y hostnames.

Aplicamos un script de fuerza bruta para obtener los diferentes subdominios que forman parte de la organización.

Dominio imf.com

Dominio imf.es

Dominio imf.org

Dominio imf.net

Lookup y reverse lookup En la fase anterior es posible que nos hayamos dejado nombres de dominio por encontrar. Por lo tanto, sondeando el rango de direcciones podemos encontrarlos. A continuación se realiza un ejemplo con imf.es

Vemos que los servidores están configurados bien y no se permite la transferencia de zona.

Podemos automatizar esta tarea con un script como “dnsrecon”

También podemos usar dnsrecon para realizar transferencias de zona en el dominio imf.es

Enumeración SMB Podemos utilizar ntbscan para realizar un escaneo y obtener el NETBIOS.

Enumeración de sesiones NULL Existen varias formas de realizar el análisis. En este caso se ha utilizado enum4linux en los servidores detectados en los apartados anteriores.

Enumeración SMTP En nuestro caso no es posible obtener información de este protocolo por lo que entendemos que están bien configurados.

Enumeración SNMTP Realizamos un escaneo con NMAP para comprobar si el puerto 161 está abierto. Comprobamos que están escuchando por el puerto.

Utilizamos nmap para ver si es público el SNMP. Vemos que no lo es.

← 2º Parte

2.1Escaneo (Comandos básicos y puertos, servicios) 2.1.2

Descubrimiento de red

Desde Kali ejecuto un ifconfig para ver mi dirección IP. A continuación, realizo un netdiscover -r 192.168.32.0 para ver la IP del servidor que vamos a escanear. Una vez obtenida la IP de la víctima (192.168.32.130) realizo un nmap.

Vemos que la víctima tiene un servicio web publicado a través del puerto por defecto (80) lo que nos indica que no está bajo SSL.

Vemos que más puertos tiene abiertos. Tratándose de una web, únicamente tendría que tener el 443 abierto al exterior ya que se tendría que encontrar en una DMZ. En un entorno ideal en el que para acceder a la DMZ haría falta un proxy inverso.

2.1.3

Descubrimiento de servicios

Sabiendo la IP y el puerto ya podemos acceder vía web y ver de qué se trata.

Vemos el resto de servicios publicados a internet.

Con la opción –A vemos más detalles de los servicios.

2.2 Búsqueda de vulnerabilidades 2.2.1 Escaneo de vulnerabilidades Realizo un escaneo con OpenVAS donde podemos ver que el la gravedad de las vulnerabilidades es muy elevada.

Revisando en detalle el informe se pueden ver las vulnerabilidades que nos servirán de entrada para la búsqueda de los flags del siguiente apartado.

2.2.2 FLAGS FLAG{FTP_4n0nym0us_D00D_JoB!}: El primer FLAG lo encuentro en que tiene el acceso anónimo al FTP habilitado como hemos visto en el apartado anterior.

FLAG{YEAH_R0B0T$.RUL3$}: A partir del fichero robots.txt logro acceder.

FLAG{LOGIN_Y_JAVASCRIPT}: Viendo el código fuente descubro el flag del login_1

FLAG{B13N_Y4_T13N3S_UN4_+}: En el código fuente de la aplicación veo en un comentario un flag.

FLAG {SIMPLEMENTE_RCE}: Abrimos una Shell remota en la víctima con Metasploit. Encontramos el flah de RCE. Compruebo que puedo inyectar código en el sitio /ping aparece.

FLAG {ENUMERA_DIRECTORIOS_SIEMPRE}: Lo encuentro revisando el árbol de directorios.

FLAG{BYPASS1NG_HTTP_METH0DS_G00D!}: Se encuentra dentro de Login_2 en index.php

FLAG{W211_D0N3_R00T_1S_W41T1nG_U}: Se encuentra dentro de la home del usuario deloitte.