LUN, 6 / JUN / 2011

Escuela de Hacking: Cómo realizar un Penetration Test – Parte II

Como todos los trabajos, ser un profesional de la seguridad informática tiene sus partes divertidas y sus partes aburridas y uno de las temas más entretenidos es el de realizar pruebas de intrusión, o Penetration Tests que consisten, básicamente, en hacer lo que haría una persona que quisiera atacar los sistemas de la organización para la cual hacemos el trabajo: aquí les traemos la segunda parte de la nota.

Como vimos en el artículo anterior, antes de empezar a trabajar debemos considerar los temas burocráticos. Una vez hecho esto, podemos empezar a obtener información acerca de la empresa analizada.

Vamos a utilizar los datos obtenidos de las consultas al dominio, para buscar todos los recursos accesibles a través de internet.

Lo primero que podemos hacer es utilizar el comando ‘dig’ para obtener la información acerca de los servidores DNS asociados a dicho dominio. Por ejemplo:

=========================================================================
fabian@debian:~$ dig sinnombre.com.ar NS

; <<>> DiG 9.7.3 <<>> sinnombre.com.ar NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58741
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;sinnombre.com.ar.            IN    NS

;; ANSWER SECTION:
sinnombre.com.ar.        576    IN    NS    ns1.sinnombre.com.ar.
sinnombre.com.ar.        576    IN    NS    ns2.sinnombre.com.ar.

;; Query time: 13 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Wed Jun  1 22:23:59 2011
;; MSG SIZE  rcvd: 68
=========================================================================

De aquí podemos ver que los servidores ns1.sinnombre.com.ar y ns2.sinnombre.com.ar son los encargados de los DNS de este dominio.

Ya con esto podemos utilizar el comando ‘fpdns’ para obtener más información acerca de cada uno de ellos:

fabian@debian:~$ fpdns ns1.sinnombre.com.ar
fingerprint (ns1.sinnombre.com.ar, 123.123.123.123): Microsoft Windows DNS 2003

Con esto ya sabemos que el servidor DNS es un Windows 2003 Server. Lo cual es un dato no menor.

Vamos a guardar los datos del equipo en nuestra lista de activos a analizar.

Nuestro siguiente paso será volver a utilizar el comando ‘dig’, esta vez para averiguar los servidores de correo, así:

fabian@debian: ~$ dig sinnombre.com.ar MX

De aquí vamos a hacer un análisis similar al de la consulta anterior, y guardaremos los registros MX que asocian a cada servidor de correo. En este caso SIN NOMBRE S.A. utiliza un único servidor: mx.sinnombre.com.ar

Ahora podemos analizar el servidor de correo (SMTP), con el siguiente comando:

fabian@debian:~$ telnet mx.sinnombre.com.ar 25
Trying 111.222.111.222
Connected to mx.sinnombre.com.ar.
Escape character is ‘^]’.
220 mx.sinnombre.com.ar ESMTP MDaemon 10.0.0; Wed, 01 Jun 2011 22:32:29 -0300

Rápidamente podemos observar el tipo de servidor de correo y su versión (MDaemon 10.0.0). También tenemos que guardar estos datos en nuestra lista de activos analizados.

Lo que debemos hacer ahora es buscar en el sitio web del fabricante del software SMTP (www.altn.com) cuál es la última versión de este software. Al día 01/06/2011, la última versión es la 12. Así que en el caso de SIN NOMBRE S.A. el software está muy desactualizado.

Esto, de por sí, ya puede considerarse una falla de seguridad. Pero, para ir más allá de esto, podemos buscar en internet cuáles son las vulnerabilidades existentes en MDaemon 10.0.0

Por ejemplo, en el sitio web de Tenable podemos encontrar el siguiente reporte:
http://www.nessus.org/plugins/index.php?view=single&id=34849

Este reporte indica una vulnerabilidad explotable en las versiones anteriores a la 10.0.2, así podemos ir armando el listado de posibles vulnerabilidades a los sistemas de la empresa analizada.

En estos casos debemos recordar siempre que si vamos a utilizar exploits que han sido desarrollados por desconocidos, debemos verificar exactamente qué hace el código o, por lo menos, hacer pruebas en servidores que no sean productivos.

También podemos probar rápidamente si los servidores de correo tienen abiertos los puertos 110 (POP3) e IMAP (143), directamente haciendo telnet a estos puertos. Como el SMTP es un MDaemon, que tiene todo el paquete integrado de webmail, POP3, IMAP y SMTP, podemos estar casi seguros de que vamos a encontrar estos servicios también en la versión 10.0.0, y sólo será cuestión de investigar a través de internet cuáles son las vulnerabilidades conocidas para estos servicios.

Más adelante haremos escaneos más avanzados con otras herramientas.

Ahora que ya tenemos la información acerca de los servidores DNS y SMTP, podemos pasar a analizar los servidores web. Pero eso será material para un próximo artículo.

Nos vemos en la próxima entrega!

Fabian Portantier
www.portantier.com
www.twitter.com/#!/portantier

¡Comparte esta noticia!