2012-07-13

Revisar Tamaño de Directorios

Hace poco en twitter alguien comento sobre que su Ubuntu le estaba apareciendo una señal que indicaba que el disco estaba muy lleno peor que el no sabia que era lo que estaba llenando lo o como revisar que era lo que estaba sucediendo, por lo que me pareció un buen tema para hacer esta entrada.

Bueno veremos de dos formas como revisar que tan cargado esta el disco duro y como identificar que directorio es el que esta generando la mayoría de la carga. La primera forma será por consola (mi favorita) y la segunda por medio de un paquete que viene instalado en Ubuntu para este análisis..

Por Consola

El primer comando que necesitas es ver que tan cargadas están las particiones de nuestro disco duro, para esto se usa el comando df -h y su respuesta se ve así


Como puedes ver se ve que tanto haz usado, cuanto tienes disponible y el tamaño de cada partición, así puede identificar que tan lleno tienes el disco duro o que partición es la que tiene mayor cantidad de información. 

Si solo tienes una partición entonces tienes que usar el comando du -s para identificar el tamaño de cada directorio, acá en la siguiente imagen verán como envió el comando para que quede ordenado de mayor a menos usando el comando sort.


Como ven el directorio que más contenido tiene en mi caso es el home con mas de 20G, seguido de lejos por usr con un poco más de 2,5G. Ahora para poder analizar internamente en los directorios se usa también el du y así poder ir viendo donde esta la carga en el directorio.


Una vez identificado el directorio debes ver que usuario esta creando los archivos y que puede ser lo que esta haciendo cargar este directorio.

Por Entorno Gráfico

Se debe buscar el programa Analizador de uso de disco, lo cual pues es más que claro que sirve para eso y que al buscarla en las aplicaciones la veras con el siguiente icono


El entorno gráfico es realmente sencillo, ya que solo debes seleccionar el Disco del analizar y dar en la flecha de la recarga, esto mostrara las estadísticas en una tabla y en un gráfico, de la siguiente manera


Y ya tendrás plenamente identificado cual es la que más datos tiene, si quieres revisar más a profundidad, puedes seleccionar el directorio darle recargar y sacara solo los datos de todos los directorios ocultos o visibles del directorio que estas analizando y si con el puntero te paras en la grafica te dara un poco más de información como se ve a continuación



Espero que les sirva.

2012-07-12

Armitage

Hace ya un buen tiempo coloque una entrada donde indicaba como usar Armitage, refiriéndome a que en el BT5 nunca me arrancaba bien, pero en esta oportunidad y por petición de Dr.D45H en esa misma entrada voy a hacer una entrada de uno de las miles de formas de usar Armitage y de como esta herramienta facilita la ejecución de un pentest. Ahora como me enseño alguien a quien admiro mucho (B4ck_D4wn) "La herramienta no hace al hacker, el hacker hace la herramienta" esta es una forma para los que empezamos en esto de entender muchas cosas y de ver el poder de algunas herramientas.

ESTO ES ÚNICAMENTE PARA USO PEDAGÓGICO, NO ME HAGO RESPONSABLE POR EL USO QUE LE DEN A LO QUE ACÁ SE VA A MOSTRAR, ESTE PROCEDIMIENTO FUE REALIZADO EN UN ESCENARIO CONTROLADO Y DISEÑADO PARA ESTE FIN.

Empecemos con la ejecución de una intrusión a una maquina con Windows 2000, al cual es vulnerable a CVE-2008-4250 y la cual se corrigió con el boletín MS08-067 la cual permite ejecución remota de código. Bueno entonces la primera fase de un pentest es identificar y conocer tus posibles victimas (Information Gathering). 

Armitage permite ejecutar varias herramientas dentro de la cual esta NMAP la cual es una de las opciones, como vemos en la imagen de la izquierda esta en la pestaña de Hosts y existen varias formas de lanzar el  escaneo. Una vez se selecciona cual deseas el sistema te pide la red con la siguiente ventana

Una vez cargas la red y le das Ok el sistema inicia el escaneo, que según como lo escoges y lo grande de la red se puede demorar, pero una vez termina te muestra gráficamente las maquinas detectadas, mostrando su posible sistema operativo y los servicios detectados, como se ve en la siguiente gráfica


Una vez tenemos esto, le podemos solicitar al sistema que nos busque los posibles ataques que se puedan ejecutar a los servicios que se encontraron. Para esto en la pestaña Attacks seleccionamos Find Attacks. Ojo no todos los que salen se pueden ejecutar satisfactoriamente, ya que no es un sistema de detección de vulnerabilidades. Una vez el sistema termina le das click sobre uno de los "computadorcitos" que se ven en la consola, se ven los posibles ataques a ejecutar, como se ve en la siguiente imagen


Acá como ven se puede tomar la ms08_067_netapi, la cual ataca lo que habíamos definido inicialmente como objetivo de esta entrada y de este estudio. Como pueden ver es "fácil" pero esto en la vida real nunca es así de simple. Una vez seleccionas este ataque el sistema te muestra una pantalla con los datos del ataque, como la que se ve a continuación

Esto son los datos que se pueden manejar como variables del exploit que se va a ejecutar. Como se ve en esta imagen es como la pone por defecto el sistema con los datos de direccionamiento ya cargados y los puertos listos para la ejecución, si no sabes lo que estas haciendo bien es el momento de detenerte antes de causar un daño a algo. Si decides continuar yo cargue que use una conexión reversa, para tener control de la maquina tras el ataque.

Una vez le das Lauch y la ejecución del sistema fue exitosa el sistema te evidencia gráficamente que la maquina esta comprometida colocando en rojo la maquina como se ve a continuación.


Les deje la ventana completa para que vean que al seleccionar el Use Reverse Conection el sistema me deja una consola de Meterpreter, y así ejecutar comando sobre el mismo sistema  a través de este sistema. Una de las posibilidades que da el Meterpreter es obtener la SAM del Windows que es donde están guardadas las contraseñas del sistema, para esto damos click sobre la maquina comprometida y seleccionamos el Isass method en la ruta como se ve en la siguiente gráfica


Y el te muestra la tabla como se ve a continuación


Otro procedimiento que se puede ejecutar es tomar un printscreen de la pantalla, como se ve a continuación


Y la que personalmente más me gusta es capturar el tráfico de una interface, lo cual se hace como se ve a continuación


Espero que este pequeño manual de uso le haya servido y les muestre un poco del poder de Metasploit y de Armitage.

2012-07-10

Herramienta para Informes

Leyendo en twitter encontre un post de @4v4t4r que recomendaba una herramienta para reportes de Pentest llamada MagicTree y que @crodallega habia posteado en su blog aquí. A mi me pareció una herramienta excelente, pro que como él dice "El desarrollo de reportes en procesos de Test de Penetración es quizás una de las fases más importantes", porque es lo que te vende y lo que demuestra que eres bueno.

Después de las respectivas menciones y de darle el crédito a quien lo merece, procedemos con la forma en que realice las pruebas y lo que encontré, con lo cual quede muy contento con la herramienta y de antemano felicito a sus creadores. Lo primero que veremos es como descargarla (para los que no usan BT5), lo cual se hace en esta URL http://www.gremwell.com/download  o si lo quieren hacer por consola sería así

root@bt5:~# wget http://www.gremwell.com/sites/default/files/MagicTree-1.1-build1643.jar

Una vez tienes este archivo en tu PC, solo debes ejecutarlo con el siguiente comando

root@bt5:~# java -jar MagicTree-1.1-build1643.jar

Con lo que se vera la siguiente ventana tras aceptar los términos de uso


Bueno ese es el programa ahora como usarlo, en la primera parte solo voy a mostrar como generar los reportes si ya se tiene los archivos de resultados de NMAP y de NESSUS, que son los que use para las pruebas. Primero como se cargan, lo cual es muy simple en la barra de herramientas seleccionas File -> Open y cargas tu archivo, ya sea el .xml de nmap o el .nessus de Nessus, con lo que se ve la carga así



Ahora para generar el reporte es super sencillo, en la barra de herramientas seleccionan Report -> Generate Report y se va a ver la siguiente ventana



 El sistema tiene por defecto varios  modelos de informe en odt y en docx, por lo que debes eligir en cual deseas que se presente tu información, de esto depende como quede, las opciones son las siguientes


Tras ejecutar el de nessus en esa plantilla que se ve seleccionada el informe queda como se ve a continuación


Como se puede apreciar es muy buen resumen para adjuntar a tu informe, ya que con solo esto no es suficiente información.

Adicionalmente, el sistema también permite que se ejecuten desde el las pruebas de NMAP, BURP y otras herramientas de Obtención de Información, a continuación mostrare como usar NMAP dentro de este software e instalado sobre un BT5, es bueno hacer la salvedad que no lo he instalado en ningún otro lado por lo que no se si funcione igual en todos los Ubuntu o Debian.

Primero vamos a Node - Autocreate, y cargamos el rango de red, la IP o el nombre de lo que deseamos escanear, si se agrega una red debe ser en notación CIDR como se ve a continuación


Al cargarla el sistema crea un nodo, este nodo se selecciona y se da click encima donde dice Q1, y se cargan los datos en la sección de la izquierda donde se indican el netblock a usar, por lo que la pantalla se ve así


Si no están los datos completamente cargados no se puede ejecutar el comando y te sacara un error. Ahora en la sección de INPUT colocas el comando de nmap que deseas enviar , así


Al dar Run, se cargan unos datos en la sección de la Izquierda, como se ve en la siguiente imagen


Cuando el sistema termina de escanear te aparecen los resultados y le haces un MERGE para cargarlos al árbol de manejo y te queda disponible como anteriormente. Espero que les sirva  ya que no solo es para seguridad sino para informes de todo tipo que tengan esta estructura y que puedas pasar a través de una de las plantillas.

2012-07-03

Teoría de IPTABLES

Hace algún tiempo encontré una herramienta on-line de presentaciones que es muy buena y se llama Prezi, por lo que a modo de prueba hice una presentación sobre la teoría del funcionamiento de IPTABLES, la cual pueden apreciar en este link.



Espero que les sirva, con esta he dictado algunas clases sobre el funcionamiento y pues me ha ido como bien, muchos quedan contentos de entender como es el paso a paso que realiza este comando para calificar el tráfico que esta analizando.