bitcoin prize

"AVENTURAS DEL PENTESTING"

"AVENTURAS DEL PENTESTING"
Capitulo 1:  "La Central De Autobuses Insegura"

luego de que recordara una gran anecdota ocurrida hace poco mas de un año,   y es de esas historias que si bien no tienen nada que ver con objetivos paranormales, si que se acercan un poco a las terrorificas historias de terror de la inseguridad informatica,  puesto que en  algunas ocasiones nos da por mucho mas temor estas historias de inseguridad que las mismas de fantasmas (si eres creyente , claro).
pues sin mas preambulos,  comenzaremos con la historia.
un dia no muy lejano,  me encontraba en mi periodo vacacional,  cuando de pronto ,  una serie de redes wifi aparecen  dentro del listado de mi celular,  una se llamaba algo asi como central01,   central01 tenia la seguridad wep en su seguridad basica inalambrica,   lo que me decidi a encender mi laptop y empezar a arrancar en mi distribucion linux de seguridad informatica con una maquina virtual ,  saque de mi kit ,  la antena de doble alcance que llevo conmigo para viajes y espere a que se cargara mi sistema operativo.
finalizando la carga de mi sistema operativo,  me dispuse a buscar ahora en el listado de redes con la herramienta airodump-ng en la terminal,  lo cual me devolvio la misma red llamada central01 y con la seguridad wep,  entonces me dispuse y entrene mi mente y mi espiritu para que realizara un ataque viable y rapido mucho antes de que mi autobus llegara y mi viaje comenzara,  pues me puse manos ala obra para reflexionar y filosofear cual era de todos los ataques que existen para wep, el mas viable y entonces se me vinieron ala mente los siguientes ataques que habia investigado anteriormente de los cuales mi mente recreo los siguientes al mismo tiempo que planificaba la estrategia de un ataque viable y rapido sin dar mucho ruido a los administradores de sistemas.
 ------------ataques WEP------------
 CHOP CHOP ATTACK
la practica de este ataque consiste en lo siguiente:
para efectuar este ataque,  es necesario tener la tarjeta inalambrica en modo monitor.
el ataque funciona de la siguiente manera:
consiste en que el atacante corta de alguna manera el ultimo byte del paquete enviado justo antes del ICV (que también está encriptado en el paquete).

ICV = Vector de inicializacion.

es posible crear un paquete dañado en funcion de un paquete capturado que relativamente sera aceptado por el punto de acceso y por lo tanto la suma de comprobacion del ICV es correcta. el objetivo del ataque chop chop no es crear un paquete dañado el principal proposito es recrear el paquete original el texto poco a poco.
imagine el siguiente paquete
Datos + ICV
0101 = Datos  11 = ICV 
Paquete completo =   0101 11
El ataque chop chop  funciona cortando el ultimo byte del paquete (supongamos que obtenem.s 0101 1 ) por supuesto este paquete no sera aceptado por el AP , ya que no hay una forma de que la suma de comprobacion de ICV siga siendo correcta en estos alances.
necesitamos modificar este paquete para que las matematicas nos cuadren y el AP valide de una forma correcta por ejemplo (0101 0) se ha demostrado matematicamente que necesitamos el bit de datos original para saber como tenemos que modificar el mismo paquete para que sea aceptado nuevamente.
necesitamos un calculo que use el bit de texto sin formato como una entrada valida 
en caso de no conocer el bit de texto sin formato, no podremos como modificar el paquete modificado para que su ICV vuelva a ser correcto.
por lo tanto en este ataque,  comenzamos adivinar el bit cortado o modificado y lo ejecutamos a traves de calculos crc, adaptamos el ICV y verificamos si el AP lo acepta, si lo hace, sabemos que hemos adivinado el bit que antes fue cortado si no, se vuelve a intentar nuevamente.

ARP-REPLAY ATTACK
el mas antiguo de los ataques y uno de los primeros en ser probados para crackear redes inalambricas wep por alla en el año 2004,   su funcionamiento consiste en lo siguiente:
aparte de ser uno de los ataques mas efectivos que existen y el mas antiguo,  este ataque es el mas eficiente ala hora de generar nuevos vectores de inicializacion.
el programa esta ala escucha y a ala espera de un paquete ARP, este mismo paquete debe de retransmitirse y volver al AP, esta accion hace causar que el AP repita el paquete ARP mismo con un nuevo vector de inicializacion o ICV.  el programa transmite el mismo paquete ARP una y otra vez.
todos estos paquetes generados, son capaces de generar tantos vectores de inicializacion que con capaces de reconstruir como un rompecabezas hasta dar el texto que lleva la llave WEP.

FRAGMENTATION ATTACK
este ataque se basa en los ataques de inyecciones,  el exito de este ataque puede hacer generar mas de 1500 bytes e PRGA (pseudo random generation algorithm).
este ataque no es capaz de recuperar la llave WEP todavia, pero puede ser de una utilidad enorme al obtener los PRGA, estos mismos pueden ser usados para generar paquetes los cuales son usados para reinyectarlos en la red y causar como dice el titulo del ataque:  una fragmentacion en la red  confusion en el AP lo que puede propiciar y facilitar la entrada a los demas ataques listados en esta entrada.

CAFE-LATE ATACK 
este ataque consiste en conseguir la llave WEP de un cliente de la red conectado en ese preciso momento,  se realiza capturando un paquete ARP de un cliente relativamente activo para posteriormente manipularlo y reenviarlo de nueva cuenta al cliente, el cliente genera paquetes que pueden ser capturados y crackeados.

HIRTE ATTACK 

este ataque utiliza paquetes ARP o IP,   este mismo ataque es una extension del anterior ataque cafe late que solo se limita a manipular paquetes ARP.
el funcionamiento del ataque a fondo es el siguiente:
la idea basica de este ataque es generar muchos ARP REQUEST para enviarlos de vuelta hacia el cliente para que este mismo responda.
el ataque necesita ya sea un paquete ARP o un paquete IP, ya que necesitamos generar muchos requerimientos ARP.
los paquetes ARP REQUEST necesitan tener el objetivo que esn este caso es la direccion ip del cliente en el byte de la posicion 33 dentro del mismo paquete y la direccion MAC con todos a cero.
la direccion ip de destino que podria ser el AP de donde viene la señan inalambrica,   recibe el paquete antes enviado con la posicion 33 y la posicion 23 para paquetes ARP o 21 para IP.
las posiciones anteriormente mencionadas se utilizan para reensamblar  las mismas posiciones que podrian contener el paquete completo con los CRC correctos e ICV y asi mismo descubrir el paquete con la llave WEP.
FMS ATTACK
este es un ataque un poco mas complicado ya que utiliza y juega con los cifrados mas a fondo,   
con los cifrados RC4 de flujo para recuperar la llave WEP que esta contenida en un gran numero de mensajes cifrados con el mismo RC4.
el ataque comienza cuando la debilidad de los IV O ICV (vectores de inicializacion que dan pie a la generacion de numeros pseudoaleatorios dentro del algoritmo) el algoritmo RC4 cifra un byte por un periodo de tiempo corto con un numero pseudoaleatorio, con este ataque el atacante va des-cifrando de izquierda a derecha los bytes cifrados dentro del s-box  hasta dar con el mensaje cifrado que contiene la llave WEP original.

lo siento por la extension en la explicacion  del funcionamiento de los ataques WEP,   pero era necesario para que entiendan este capitulo de las aventuras de hacking que a continuacion seguire narrando.
continuando con mi historia del escaneo y de la central101 que tenia por nombre el BSSID,  continue reflexionando aver que ataque estaria bien utilizar a lo que me arrojo que no habia clientes conectados por lo que me puse a repasar cuales ataques no es necesario que existan clientes conectados.
entonces conclui que el mas eficiente seria el ARP-REPLAY ATTACK que tenia que mandar muchos requerimientos ARP para que el AP mandara nuevos ICV para ir descubriendo cual era la llave y al cabo de unos 10 minutos y con el largo alcance de mi antena,  vuala!!!! la clave era  centralbuses101 a lo que me conecte rapidamente antes de que si tenian un IDS se dieran cuenta los administradores de sistemas o de redes,  entonces me puse a colocar el comando con ifconfig y me volvo que la puerta de enlace era la tipica .1  osease 192.168.0.1 de tipo privada estatica,  entonces intui que este mismo era el servidor DHCP,   pero algo extraño sucedio, resulta que escanie la misma red con nmap y vuala!! ahi estaba como un mounstruo en nuestra era moderna oculto sin nada que decir,  otra direccion ip 192.168.0.101 a lo que me dispuse a escanear y encontre que el puerto RDP de microsoft estaba abierto ,  ademas de que estaban conectados 5 hosts a esta red.
estos 5 hosts pertenecian ala misma red del segundo router, pero esta vez estaba conectado en modo puente hacia el primero,  el segundo router en modo bridge es el que en realidad guardaba las sorpresas ya que casi todos los hosts tenian el puerto abierdo rdp, supongo que el administrador de sistemas se conectaba a ellos remotamente,  pero... para que?
eso es el escalofrios que me dio, mientras seguia investigando miniciosamente con mi computadora.
escanie el primer AP y tambien tenia abierto el RDP,  aunque ya habia investigado esta parte , me dispuse a asegurarme si mi investigacion habia sido certera en este aspecto y en esta parte y para mi satisfaccion asi era completamente.
hay algo que me llamo la atencion completamente,  la direccion 192.168.0.105 era un windows server 2003 con el resultado del escaneo nmap -O  que mediante fingerprinting arroja resultados sobre que sistemas operativos pueden ser y vuala! cuando coloque la direccion ip dentro de mi cliente RDP me pidio las credenciales de acceso alo que me dispuse a investigar mas ,  ya que si realizaba un ataque de fuerza bruta, haria mucho ruido a los administradores de sistemas y se quedaria registrados en los logs.
me dispuse si el windows server tenia alguna vulnerabilidad efectiva en los sitios de bases de datos de exploits para lanzarlo posteriormente con el framework metasploit.


la vulnerabilidad era de tipo critico,  es decir con una alta probabilidad de causar daño y elevar los privilegios del sistema que en este caso puede llegar el exploit a avanzar hasta System que es el tipo de usuario mas elevado , inclusive de administrador.
me dispuse a buscar el modulo para metasploit y escanie el host si consecuentemente era vulnerable con metasploit a lo que me arrojo que en efecto tal host no habia sido parchado ni se habia actualizado con los nuevos packs de windows en actualizaciones referentemente,   la hora de llegada de mi viaja ya casi estaba cerca, solo disponia de 10 minutos para hacer el resto, entonces lanza el exploit y oh vuala!!   era usuario SYSTEM lo que podia hacer cualquier cosa que me viniera en gana,  lo primero que hice es realizar un dir para ver que es lo que habia. y oh sopresa.!!  estaba un archivo texto .txt por nombre rdpusers,  y entocnes estaba la magia:
decia algo asi como
rdp usuarios y contraseñas:
admin124555
45555
lo que intui que era el usuario y la contraseña del usuario administrador para entrar remotamente alas maquinas.
entre en la maquina .102 por RDP y habia un programa personalizado que conaba las salidas y entradas de los operadores y autobuses asi como los precios y para comprar boletos, hubiera tenido la posibilidad de comprarme boletos gratis pero mi etica profesional no me lo permitio , aunque debo admitirlo que mi curiosidad siempre ha sido mas grande que eso,  de repente escuche un ruido que mi camion habia llegado a lo que me dispuse a borrar los logs rapidamente y apuntar las contraseñas RDP para en un futuro poder volver con mas tranquilidad.
este es un claro ejemplo de como no parchear los fallos de seguridad nos puede comprometer en toda la red,  asi que cuidad el trasero admins!.
Happy hacking!!  

0 comments:

Publicar un comentario

My Instagram

Uso cookies para darte un mejor servicio.
Mi sitio web utiliza cookies para mejorar tu experiencia. Acepto Leer más