2013-03-12

Seccionando los Archivos CAP

Siempre que uno tiene que hacer una análisis de tráfico y captura los archivos .cap estos quedan usualmente de unos tamaños enormes, lo cual los hace inmanejables para analizarlos con wireshark o cualquier otra herramienta para análisis de este tipo de archivos, sin embargo Linux siempre nos da una opción para solucionar nuestro problema.

Existe un paquete llamado editcap, cuyo nombre es más que disiente y permite dividir o seccionar un archivo cap en varios archivos ya sea por tiempo o dividirlo en x cantidad de paquetes,  la estructura básica del comando es la siguiente:

root@localhost:# editcap [opciones] dump_original dump_sec

Ya con la base del comando clara podemos ver unos ejemplos

1. Seccionar usando una muestra de tiempo

Si la captura original es muy larga es posible seccionarla en tiempos cortos, contando por segundos. El ejemplo del comando es así

root@localhost:# editcap -t 20 dump_original dump_sec

siendo el 20 los segundos de cada archivo creado


2. Seccionar por tamaño de archivo

Puedes generar segmentos de un tamaño especifico en bytes con el siguiente comando

root@localhost:# editcap -s 64 dump_original dump_sec

Siendo el 64 el tamaño en bytes que va a quedar cada segmento


3. Seccionar por cantidad de paquetes

Puedes generar segmentos según la cantidad de paquetes capturados en cada uno

root@localhost:# editcap -c 500 dump_original dump_sec

Siendo el 500 la cantidad de paquetes que quedara en cada captura


4. Extraer paquetes específicos

Es posible que en el archivo resultado solo contener unos paquetes específicos del original, esto de la siguiente forma

root@localhost:# editcap -r dump_original dump_sec 1 5 10-20 50 55

Siendo los números en el comando los paquetes que se extraen del original


5. Cambiar el tipo del archivo

Es posible que le modifiques el tipo del archivo de la captura, para usarlo con otro tipo de herramientas de análisis

root@localhost:# editcap -F Snoop dump_original.cap dump_sec.snoop


Toda esta información esta disponible en varios sitios que la mayoría están en Ingles y esa fue la principal razón de hace reste post. Les dejo algunos enlaces

http://www.wireshark.org/docs/man-pages/editcap.html
http://www.thegeekstuff.com/2009/02/editcap-guide-11-examples-to-handle-network-packet-dumps-effectively/
http://docs.huihoo.com/wireshark/1.0.0/user-guide/AppToolseditcap.html

Espero que esto les sirva.

2013-03-11

Guardando desde Metasploit

Muchas veces que uno hace pentesting necesita ir guardando hasta lo que no te funciona y desde Metasploit esto no me parecía tan fácil. Un día necesitaba guardar el resultado de una prueba de SMTP de una maquina Solaris que salían más de 500 lineas como resultado y necesitaba almacenarlas en un archivo.

Tras una búsqueda que realizo mi amigo Diego encontramos que el comando spool de Metasploit nos permite hacer eso que necesitábamos. Entonces voy a mostrar como esta configurado el Metasploit para el ataque y verán donde guardo el archivo 


Después de esto ejecutas el proceso en Metasploit y esperas que termine. Cuando termine le das el comando

msf auxiliary(smtp_enum) > > spool off

Con el que cierras la carga de información en el archivo y una vez termine puedes ver en el archivo cada uno de los comandos y procesos ejecutados en Metasploit durante la sesión


Espero les sirva y les recuerdo que esto es netamente educativo, no promuevo ningún acto ilegal y todo lo expresado acá es a manera educativa y en laboratorios controlados,

2013-03-04

Configurar Particiones Cifradas

En esta instalación que hice nueva era para mi fundamental cifrar las particiones donde va a quedar mi información, esto porque en mi equipo portátil considero que contiene información no solo personal sino que crítica, entonces para que en caso de perdida o robo no puedan acceder a mi información cifro la partición de mi home.

Entonces empecemos con el procedimiento de configuración de particiones cifradas en la instalación, no haré un manual de como instalar Debian, sino que me enfocare en la configuración de las particiones cifradas, entonces cuando inicias la instalación veras lo siguiente


Yo selecciono la de install normal, pero es casi igual la de graphical install. Lo que se debe tener en cuenta es que se debe tener una partición sin cifrar donde este el boot (en mi caso el sistema operativo completo) y dos particiones cifradas una para la swap y otra para el directorio de los usuarios (home). 

Entonces ya con esto aclarado y saltándonos los pasos iniciales de instalación, llegamos a la primera pantalla de configuración de las particiones que es la que se encuentra a la izquierda y donde se ve que esta seleccionada el espacio libre donde se realizaran las particiones que deseamos.


Una vez ya seleccionamos el disco iniciamos con las particiones, a continuación voy a mostrarles como crear una de esas pero el procedimiento es igual para las tres que se deben crear, entonces se inicia así





Una vez se ha terminado de cuadrar las particiones, se debe ver así y como ven ya esta listo para ingresar a la parte de cifrar las particiones.


Bueno entonces ahora si se inicia con la parte de asegurar las particiones, donde se empieza con la confirmación de las particiones anteriores en la siguiente ventana.


Bueno ya acá si se inicia el proceso de cifrar las particiones, el cual es muy similar al anterior. El proceso inicia diciéndonos que si deseamos crear una partición cifrada, como se ve en la imagen a la derecha y a lo cual damos click al tenerlo seleccionado.


Esto nos muestra una ventana nueva donde debemos señalar las particiones que vamos a cifrar, en este caso las particiones de home y de swap. como se ve a continuación


Ya con estas particiones seleccionadas entonces se inicia nuevamente la configuración de la partición, la cual en pasos resumidos es así





Después de esto el sistema te solicita que confirmes que ya estás seguro que así es como quieres las particiones y que escriba en el disco todos los cambios. Después de esto ya no existe como volver a los datos del disco.

Una vez termina esto, el sistema te pide una contraseña de cifrado, la cual si es muy débil el sistema te advertirá que esa contraseña es muy débil que mejor la cambies, yo te recomiendo una contraseña de mínimo 20 caracteres. Esto te lo pedirá con cada una de las particiones que desees cifrar y se ve así


Una vez se tengan las contraseñas listas y las particiones terminadas, el sistema te muestra como quedaría tu tabla de particiones, así


Listo ya tienes todo configurado y sigues con la instalación normal del Debian. Cuando termines y el sistema arranque te pedirá que accedas las contraseñas de cifrado de los discos, como se puede apreciar a continuación


Y listo tu información esta cifrada y segura.