Análisis de un ataque (Parte 3)
En la parte 2 de esta serie, hemos dejado toda la información necesaria para un ataque a la red de la víctima.
Análisis de un ataque (Parte 1)
Don Parker
En la primera parte te mostramos la información que se puede observar al abrir la secuencia de paquetes enviada por Nmap. La secuencia enviada comienza con una respuesta de eco ICMP para determinar si a la computadora o red se le ha asignado una dirección IP.
Además, también podemos suponer que la red de la computadora atacada es una red basada en Windows mirando el ttl en el paquete de respuesta de eco ICMP que envía. Lo que se debe hacer ahora es continuar observando los paquetes restantes en el escáner Nmap, y averiguar la información restante para poder conocer el perfil de la red víctima.
Continuar
10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..
10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........
Los dos paquetes anteriores vienen después de los paquetes ICMP que observamos en la parte 1. Nmap envió un paquete ACK a la IP de la red víctima 192.168.111.23 en el puerto 80. Como información falsificada, aquí no obtenemos el panorama completo. Solo se ve que el paquete ACK recibido del atacante fue un paquete RST en respuesta, ya que este ACK no se esperaba. En esencia, no es parte de una conexión previamente establecida. Todavía tenemos un ttl de 128 correspondiente al ttl observado antes.
10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...
10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........
10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..
Tras el intercambio de paquetes ACK y RST, podemos ver que se ha enviado un paquete SYN real desde el hacker a la red de la víctima, como se evidencia en el paquete con la S en negrita. Esto nos permite deducir que el paquete SYN/ACK regresa de la red de la víctima en su puerto 21. Este intercambio luego finaliza con un paquete RST que se envía de vuelta desde la computadora del hacker a la red de la víctima. Estos tres paquetes contienen ahora una gran cantidad de información sobre la falsificación.
También tenemos ttl 128 de la máquina víctima, pero también win64240. Si bien este valor no aparece en la lista, es un tamaño que he visto muchas veces antes en Win32 (versiones de 32 bits de Microsoft Windows como Win NT, 2K, XP y 2K3). Otra limitación de las computadoras Windows es que son impredecibles en cuanto al número de identificaciones IP. En este caso, solo tenemos un valor de ID de IP. Necesitamos al menos un valor más antes de poder decir con seguridad que esta computadora es una computadora Microsoft Windows. Tenga en cuenta que debe observar los paquetes restantes del escaneo de Nmap.
10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...
10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........
10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......
La primera información que mira el hacker es ver si el número de identificación IP aumenta a 399. Esta IP DI es de hecho 399 como podemos observar en el medio del paquete. Con esta información, el hacker está bastante seguro de que el ordenador víctima que está atacando es Windows NT, 2K, XP o 2K3. También se observa en esta secuencia de paquetes que el puerto 80 en la red víctima parece tener un servicio, como lo demuestra el paquete SYN/ACK, el paquete SYN/ACK se determina examinando el campo de bandera en el encabezado TCP, en este caso el valor hexadecimal subrayado es 12 o 18 en decimal. Este valor se puede detectar agregando el valor del indicador SYN 2 al valor del indicador ACK 16.
Enumeración
Una vez que el hacker sabe que los puertos 21 y 80 están abiertos para la empresa, ingresará al estado de enumeración. Lo que necesita saber ahora es qué tipo de servidor web está escuchando las conexiones. Sería inútil que este hacker utilizara una vulnerabilidad de Apache en un servidor web IIS. Con esto en mente, el atacante abrirá una sesión cmd.exe y averiguará el tipo de red.
C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87
The parameter is incorrect.
C:\>
Podemos observar el tipo de red marcado arriba o la sintaxis nc.exe que el hacker escribe en la dirección IP de la víctima así como el puerto 80. Una vez dentro, el hacker escribirá el HTTP del método GET seguido de algunas oraciones gramaticalmente incorrectas. Esta acción puede provocar que el servidor web de la red víctima envíe información a su sistema cuando no comprende cuál es la solicitud. Es por eso que naturalmente enumeran la información que necesitan los piratas informáticos. El hacker ahora puede ver que está en Microsoft IIS 5.0. Noticias aún mejores porque los hackers tienen varios exploits para esta versión.
Conclusión
Al realizar un escaneo de la red de la víctima usando Nmap, el hacker puede recibir una serie de paquetes de datos importantes. Dentro de estos paquetes de datos, como hemos visto, hay mucha información para que los hackers exploten vulnerabilidades en la arquitectura, el sistema operativo, el tipo de red y el tipo de servidor.
En resumen, de esta manera los hackers pueden obtener información clave sobre el host, la arquitectura y los servicios prestados. Con esta información en la mano, el hacker puede lanzar un ataque al servidor web de la red víctima. En la siguiente sección presentaremos más sobre qué ataques pueden utilizar los piratas informáticos para atacar a los usuarios en este caso.
En la parte 2 de esta serie, hemos dejado toda la información necesaria para un ataque a la red de la víctima.
Esta serie se basará en una vulnerabilidad de la red. Lo que se presentará en el artículo es un ataque real, desde el reconocimiento hasta la enumeración, la explotación del servicio de red y termina con estrategias de explotación de notificaciones. Todos estos pasos se observarán a nivel de paquete de datos y luego se explicarán en detalle.
El período del 6 al 13 de octubre es una semana emocionante para la comunidad de observación del cielo, ya que se podrán ver impresionantes auroras en muchos lugares alrededor del mundo.
Priorizar un horario de sueño consistente y una rutina de relajación por la noche puede ayudar a mejorar la calidad de su sueño. Esto es lo que necesita saber para dejar de dar vueltas en la cama durante la noche.
Hay muchas formas de numerar páginas en Word entre las que podemos elegir, dependiendo de los requisitos para numerar páginas en Word.
En el dispositivo Galaxy Z, hay una función para personalizar la pantalla exterior, donde puedes elegir cualquier imagen como fondo de pantalla para la pantalla exterior en el Galaxy Z Flip3.
En los teléfonos Samsung, existe una opción para crear accesos directos a aplicaciones para escuchar música en el teléfono, como Zing, Spotify o aplicaciones de podcast.
Si te preguntas si estás listo para la relación seria que deseas, consulta esta lista de formas en las que puedes saber si estás listo o si tienes más trabajo por hacer:
El clima frío hace que muchas personas tengan miedo de abrir las ventanas en invierno. Sin embargo, ¿es bueno mantener las puertas cerradas todo el tiempo en invierno? ¿Deben abrirse las ventanas en invierno? ¡Descubrámoslo juntos!
Opera GX, el navegador web centrado en los juegos, ha llegado a una interesante asociación con Discord, ofreciendo a los usuarios una prueba gratuita de un mes de Discord Nitro.
Actualmente, existen muchos programas de grabación de pantalla de computadora compatibles con Win 10, que le ayudan a grabar la pantalla de su computadora fácilmente, especialmente para jugadores.
Al ver una transmisión en vivo en Facebook, los comentarios se muestran automáticamente en la pantalla de video en línea. Entonces los espectadores conocerán los comentarios de otras personas.
Desde su lanzamiento en noviembre de 2022, ChatGPT ha recibido mucha atención por su gran variedad de usos. Para ayudarle a aprovechar al máximo esta herramienta, aquí hay 15 formas en que puede utilizar ChatGPT.
Los widgets de Gemini ayudan a este asistente de inteligencia artificial a llegar a los usuarios en más aspectos, como encontrar pasajes de avión baratos a través del widget Google Flights.
En Golang, los parámetros de retorno con nombre a menudo se denominan parámetros con nombre. Golang permite nombrar los parámetros de retorno o los resultados de las funciones en la firma o definición de la función.
WhatsApp tiene una función para cambiar el fondo de pantalla del chat, que permite a los usuarios configurar temas de chat en WhatsApp. Los usuarios podrán elegir entre 30 fondos diferentes para sus chats, o utilizar sus imágenes personales como fondos de chat en WhatsApp.
A menudo descargas vídeos de Internet a tu ordenador para verlos sin conexión y con frecuencia ves archivos FLV. ¿Tienes dificultades para descubrir cómo abrirlos? Hoy le brindaremos información sobre los archivos de video FLV en el siguiente artículo.