viernes, 15 de septiembre de 2017

Asistencia Remota en Windows

Existen muchas aplicaciones que permiten a un usuario avanzado dar asistencia remota a un usuario de conocimiento bajo, entre las que conozco (aunque son muchas) son la de teamviewer.

Esta aplicación te permite conectarte a un escritorio remoto para dar asistencia, ya sea de forma local en la misma red LAN o a través de Internet.

No obstante, el día de hoy utilizaremos una herramienta propia de Windows que te permite dar y recibir asistencia remota, claro esta sin importar el nivel de conocimientos que tengas.

PASOS A SEGUIR POR PARTE DEL USUARIO QUE SOLICITA LA ASISTENCIA

- Clic en inicio
- Escribir "Asistencia Remota" en buscar programas y archivos
- Clic en "Asistencia Remota de Windows"


Una vez hecho esto se nos muestra el cuadro de dialogo donde se nos pregunta que deseamos hacer, si dar o prestar ayuda.

En primer lugar, nos pondremos en la situación de un usuario que pide ayuda, por lo tanto, seleccionamos.

- Invitar a una persona de confianza para ayudarle.


Después de esto se nos pregunta como deseamos invitar a la persona de confianza.

- Clic en "Guardar esta invitación como un archivo"
- Clic en "Guardar" 



El siguiente paso es proporcionarle al invitado el archivo de invitación y la contraseña que se nos muestra a continuación.


Es importante mencionar que el archivo de invitación se puede enviar a través de correo electrónico, se pueden almacenar en un recurso compartido en red o en algún dispositivo de almacenamiento masivo.

Hasta este ultimo paso, como usuarios necesitados de ayuda solo nos bastaría esperar la asistencia para la solución de nuestro problema.

PASOS A SEGUIR POR PARTE DEL USUARIO QUE RESPONDE A LA ASISTENCIA REMOTA


Existen dos formas de responder a una solicitud de una asistencia remota cuando se nos solicita ayuda.

La primera es dando doble clic sobre el archivo de invitación y escribiendo la contraseña que se nos proporciono.

La segunda es abrir directamente el programa de Asistencia Remota y seguir los pasos que se nos preguntan.

Nosotros, optaremos por la segunda.

- Clic Inicio
- Escribir Asistencia Remota
- Clic en Asistencia Remota de Windows

Nuevamente se nos presenta el cuadro de dialogo de bienvenida donde se nos pregunta si deseamos pedir u ofrecer ayuda, donde en este caso seremos quien ayudemos a un usuario en particular.

- Clic "Ayudar a una persona que solicito su asistencia" 


- Clic en "Usar un archivo de invitación"

Importante: Seleccionarlo donde lo almacenaron.


Una vez seleccionado se nos pedirá la contraseña que el usuario nos proporciono junto con la invitación. 


Y al dar "Aceptar" el programa se pone a la espera de que el usuario remoto acepte la conexión. 


En la siguiente imagen se muestra el cuadro de dialogo que el usuario quien solicita ayuda visualizaría en su equipo, todo con el fin de aceptar o negar la petición de conexión.


Una vez hecho esto podremos ver el escritorio remoto del usuario y debemos proceder a solicitar el control remoto y esperar a que el usuario haga la confirmación donde acepta cedernos el permiso.



Ya finalizado este paso con la confirmación del usuario tendremos acceso total al equipo remoto para prestar la ayuda que se nos ha solicitado.


Como a forma de resumen es importante mencionar algunas cosas.

1- La herramienta de Asistencia Remota funciona muy bien de forma local sin la necesidad de configuraciones extras.

2- Si se desea usar este programa para dar asistencia a través de  Internet se tendría que hacer mapeo de puertos en ambos router's, del usuario que pide ayuda así como el que ofrece.

3- Una vez establecida la conexión se puede interactuar con el usuario mediante un chat.







miércoles, 19 de julio de 2017

Escaneando con TCP Connect

El día de hoy, en este documento paso a paso les hablare acerca de una técnica de scanning muy básica y sencilla, pero que forma parte de los conocimientos y habilidades que un usuario experto en seguridad informática debe tener, y que comúnmente un hacker malicioso llevaría a la practica.

La técnica es llamada TCP Connect, o Full TCP Connect. Y tiene como objetivo determinar cuando un puerto esta abierto estableciendo una conexión TCP completa.

Pero, ¿Que quiere decir esto?

En el mundo de las redes y las comunicaciones cuando dos equipos se quieren comunicar entre si tienen que llevarse acabo mecanismos de autenticacion, es decir, ambas partes tienen que identificarse mutuamente para poder llevar acabo la transmisión de información.

Y esto pasa de la siguiente manera.

1.- El equipo 1 que se quiere comunicar con el otro equipo (equipo 2) suele enviarle un paquete de red de tipo TCP SYN mas el puerto.

El paquete SYN es utilizado para iniciar una comunicacion.

2.- El equipo 2 recibe el paquete TCP SYN del equipo 1 y entonces envía un paquete TCP SYN ACK al equipo 1.

El paquete SYN ACK es un acuse de recibo, es como una forma de decirle "Recibí tu petición de conexión, hablemos por el puerto especificado"

3.- Para finalizar, el equipo 1 envia un paquete ACK + RST al equipo 2 para comunicarle que "Esta enterado que acepto la solicitud de comunicación"

Y a partir de aquí la comunicación es iniciada y la transmisión de información da comienzo entre ambos equipos.

He aquí una imagen.

Attacker = Usuarios malintencionados - Lammer's - Hacker's
Target = Equipo victima



Es importante mencionar que cuando un puerto esta cerrado y no se puede iniciar una comunicación normal, el equipo enviara rápidamente un paquete RST que tiene como objetivo comunicar que no se ha podido establecer la conexión y esta ha sido terminada o reiniciada.

Bien, ahora que ya conocemos como se establece una comunicación entre dos equipos pasemos a lo interesante, a la practica, a portarnos mal, a testear un equipo.

¿Que ocupamos?

N-Map que es el escaner de red mas potente que existe.

Equipo victima dentro de red LAN.

Manos a la obra....

Lo primero que tenemos que hacer en nuestro equipo atacante es especificarle a N-MAP que el tipo de escaneo que llevaremos a cabo es de tipo TCP Connect.

En command escribimos:

nmap -sT 192.168.1.67

Donde:

nmap es el comando que invoca al programa
-sT específica el tipo de escaneo
192.168.1.67 es la dirección IP de nuestra victima


Una vez especificado los comandos damos clic en "Scan" y en escasos segundos el programa nos mostrara los resultados con los puertos abiertos y los servicios que corren a través de el.



Y a partir de aquí se pueden realizar muchas cosas, como por ejemplo tratar de saber la versión del sistema operativo y su arquitectura, para después buscar vulnerabilidades en el equipo y tratar de hacerse con el control de el.

VENTAJAS DEL ESCANEO

Solo dos, no requiere de permisos especiales (administrativos) para llevarse acabo.

Muy potente a la hora de obtener los resultados.

DESVENTAJAS DEL ESCANEO

Muchas, es fácil de detectar por los sistemas de seguridad.

Antivirus, Cortafuegos, IDS de Red, IDS de equipo local, Sistemas de prevención de intrusos.

Suele dejar muchos rastros del escaneo en los log's del equipo escaneado.

No obstante, aunque parezca raro existen muchos sistemas que no suelen bloquear este tipo de escaneos y un hacker remoto puede aprovecharse de esto.

CONTRA MEDIDAS

- Siempre tener un sistema de detención de intrusos
- Crear regalas de inspección de paquetes en el cortafuegos




















martes, 21 de marzo de 2017

Ataque DOS + Metasploit

El dia de hoy, en este documento paso a paso explicare como realizar un ataque de denegación de servicios con metasploit framework.

Este ataque tiene como objetivo explotar una vulnerabilidad en Windows, específicamente la MS12-020 encontrada en el servicio de Escritorio Remoto. Según Microsoft, si un atacante explota con éxito dicha vulnerabilidad podría provocar que el equipo afectado deje de responder o se reinicie.

Para que el ataque tenga éxito, no solamente se requiere que el equipo sea vulnerable si no que también tenga activado el servicio de Escritorio Remoto. Por defecto, este servicio suele estar desactivado y estos usuarios no se miran afectados.

No obstante, muchas empresas suelen activarlo para permitir comunicaciones externas a la red local, y aunque pareciera imposible atacar, solo basta un poco de paciencia y tarde o temprano se verán los resultados.

Manos a la obra...

¿Que necesitamos?

- Nmap (Escaner de puertos)
- Metasploit Framework 

Paso 1 ... Buscando Sistemas Vivos

Una de las tareas que se tienen que llevar acabo cuando se esta haciendo una prueba de penetración o se esta intentando atacar a alguien o a algo es precisamente la de information gathering.

Este proceso tiene como objetivo recolectar informacion acerca del objetivo que vamos a atacar.

- Equipos Vivos o Activos en la red
- Rangos de IP de red
- Puertos Abiertos y Servicios que escuchan atravez de ellos
- Versiones de Sistemas Operativos y Arquitecturas
- Email's de empleados
- Información de cuentas de usuarios
- Lugares donde se encuentran el o los equipos

Y muchas cosas mas, y que por el momento no mencionare por que el objetivo de este manual es otro especifico y no la recolección de información de forma general.

El primer paso en nuestro ataque el dia de hoy es la de encontrar equipos vivos o activos en la red, y para esto usaremos N-map. Un escaner de puertos muy potente que puede escanear redes protegidas y desprotegidas.

Abrimos N-Map y seleccionamos un escaneo regular, y en el campo especificado como "Command" escribiremos el comando.

-sP 192.168.1.0-255

Donde:

-sP especifica que es un escaneo de solo ping.
192.168.1.0-255 Nuestro rango de red.

Y para empezar el escaneo clic en "Scan"

Como podemos observar nmap escanea con gran velocidad devolviendo los resultados deseados, es decir, diciendo que equipos están activos o vivos.

En mi caso ataque la IP 192.168.1.67



Paso 2 ... Investigando versión del Sistema Operativo en la IP seleccionada.

N-map tiene un comando que permite sacar la versión de un sistema operativo mediante la investigación de las huellas de conexión TCP-IP, no obstante, muchas veces la exactitud no es del 100% y gracias a esto usare el scanner de metasploit para lograr mi cometido.

El scanner de metasploit se basa en checar la versión del Sistema Operativo en base a un análisis a SMB.

SMB es un protocolo usado por redes basadas en Windows y que permiten compartir archivos e impresoras. Y como en muchas empresas y lugares siempre andan de compartidos pues no habrá problema en esto.

Abrimos Metasploit y tecleamos.

- Use auxiliary/scanner/smb/smb_version
- Show options

Y entonces podremos ver lo que es necesario configurar.

En este caso se requiere.

La dirección IP del equipo remoto (Victima 192.168.1.67)
Threads (Tramas enviadas durante el escaneo)

PDT: Como nota extra, en muchos exploits o auxiliarys al momento de ejecutar el comando show options miraran que en donde dice "Current Settings" hay valores por defecto, esto quiere decir que aunque sean requeridos no son necesarios especificar ya que estos valores por defecto son útiles durante el ataque.



Espeficiamos los datos requeridos

Comando set RHOSTS 192.168.1.67

Ejecutamos el exploit

Comando exploit



Y como podemos ver en la imagen anterior. El equipo que vamos a atacar corre Windows XP Professional.

Paso 3 ... Investigando si es vulnerable a MS12-020

Nuestro tercer paso es investigar si el equipo es vulnerable al servicio y para eso ocuparemos el auxiliary de metasploit que nos dará la información deseada.

Tecleamos 

use auxiliary/scanner/rdp/ms12_020_check
Show Options

Y como podemos ver en la imagen nuevamente requiere solamente la dirección IP del equipo que desea checar.

Se la especificamos con el comando set RHOSTS y ejecutamos el exploit.


Y Como podemos ver ....

!El equipo es vulnerable!



Paso 4 ... Reiniciando el equipo de la victima

Llego el momento esperado, después de saber la versión del sistema operativo del equipo victima, y si es vulnerable o no al servicio (En este caso si) vamos a lanzar el ataque.

Que como mencione al principio tiene como objetivo lograr que el equipo deje de responder o se reinicie.

Tecleamos

Use auxiliary/dos/windows/rdp/ms12_020_maxchannelids
Show Options

Y nuevamente SOLO necesitamos la direccion IP del equipo que vamos a atacar, ya que por defecto el puerto 3389 esta configurado.

set RHOST 192.168.1.67
exploit

Y una vez hecho esto.. El resultado habla por si solo

Seems down - Aparece Caido (El equipo Victima)



Contra medidas

- Actualizar no solo el parche para la vulnerabilidad aquí explicada si no para todo el sistema operativo.

- Configurar el equipo para que no respondan a sondeos de tipo ping mediante la regla de firewall.

- Usar Securizacion de Equipos y Servidores











martes, 10 de enero de 2017

Inicia Sesion en Windows sin conocer la contraseña


El dia de hoy, en este documento paso a paso les enseñare como iniciar sesion en un equipo basado en Windows sin conocer la contraseña que permite el accceso al equipo, esto es posible debido a una vulnerabilidad en el Kernel de Windows que permite saltarse la autenticacion. 

El kernel de Windows es un software que forma parte del sistema operativo y ejecuta el modo maximo de administrador del sistema.

Es importante dejar en claro algo, para poder tener acceso a un equipo que ejecuta Windows sin saber la contraseña existen varios metodos que pueden utilizar.

- Crakeo de contraseñas apartir de un hash (Algo muy lento)
- Cargando sistema de archivos y editando el archivo SAM
- Utilizando el metodo pass the hash
- Aprovechandose de vulnerabilidades en el equipo

En este manual, nos basaremos en el uso de un software muy util que permite reparar computadoras a nivel hardware y software llamado Hiren's boot.

Link de descarga

https://hirens-bootcd.uptodown.com/windows


IMPORTANTE:

El manual comienza despues de que ustedes como usuarios descargaron y grabaron el programa en un CD o DVD y configuraron la BIOS para que esta pueda iniciar desde este dispositivo.

Una vez que han insertado el disco y han iniciado el programa esta sera la pantalla de Bienvenida.




La herramienta a utilizar sera "Kon-Boot". Para seleccionarla, basta con dirigirse hacia abajo con las teclas.

Algo interesante para comentar es que TODAS las herramientas de Hiren's boot son comerciales, es decir, de pago. No obstante, todo este arsenal ya tienen sus claves y parches necesarios para funcionar completamente con todas sus funciones.

Al abrir el Kon-Boot aparecera la siguiente ventana:

* Recomiendo presionar una tecla tan pronto la vean



Despues de esto aparecera otra imagen que por supuesto, menciona informacion del software y su creador, etc etc,.



Ya despues comenzara la carga normal de Windows y se mostrara la tipica pantalla donde se encuentran las cuentas creadas en el sistema, mismas que piden una contraseña para permitir el acceso al equipo.

En mi caso 2 cuentas, donde iniciare sesion. 

Cuenta Alfonso:



Doy clic y como pueden ver me permite iniciar sesion.



Aunque pareciera que es un procedimiento muy facil o absurdo, es cierto que a muchas personas les ayudara a poder ingresar a su equipo de una forma segura sin aplicar otros procedimientos que pueden provocar inestabilidad en el equipo.

Proximamente, mostrare un procedimiento que permite CAMBIAR la contraseña de Windows mediante la edicion del archivo SAM para poder iniciar sesion.