NETBIOS (Network Basic Output/Input System que traducido, Sistema Bsico de Red Entrada/Salida) es el protocolo que se encarga de compartir los archivos y las impresoras entre varios ordenadores. Tal vez habrs odo mencionar alguna vez el NETBEUI (NetBIOS Extended User Interface o Interfaz de Usuario Extendido), pues bien, es lo mismo pero NETBIOS lo desarrollaron IBM y Sytek, y NETBEUI lo desarrollo Microsoft, tratando de optimizar el NETBIOS para Windows.
Es habitual or hablar simplemente del "139" este es el puerto por el que funciona este protocolo, el 137 y el 138 tambin forman parte de este protocolo:
NetBIOS-ns 137 TCP / UDP NetBIOS Name Service
NetBIOS-dgm 138 TCP / UDP NetBIOS Datagram Service
NetBIOS-ssn 139 TCP / UDP NetBIOS Session Service
Para poder comprobar este ataque con xito debemos tener instalado el protocolo en la PC, para ello, si tenemos Windows 95 / 98 /Me debemos ir a:
INICIO \ CONFIGURACION \ PANEL DE CONTROL \ RED e instalar el cliente para redes Microsoft, el protocolo TCP/IP y activar "Compartir archivos e impresoras", si tenemos el Windows NT4 / 2000 / XP debes hacer lo mismo pero, en estos sistemas se hace en cada conexin a Internet por separado (slo necesitamos activarlo en aquella que vayamos a utilizar para el ataque).
ENTRANDO POR NETBIOS
Lo que se explica a continuacin se puede utilizar desde un Windows para atacar otro Windows, aunque el ataque est pensado para NT sera muy similar si quisiramos atacar un Windows 9x, pero no voy a entrar en muchos detalles, porque debido a que hoy en da existen maneras ms fciles y rpidas de hacerlo, esta seccin la hemos puesto slo por cuestiones didcticas del tema intrusiones.
Una vez elegida la mquina a la que quieres entrar solo necesitamos el MS-DOS, o el Smbolo de Sistema, que para el caso es lo mismo, pues bien abrimos una ventana y escribimos:
a) nbtstat -A 192.168.0.1 (Si lo que conocemos es la IP de la victima)
b) nbtstat -a nombre_del_PC (Si conocemos slo su nombre)
Pueden ocurrir varias cosas, si recibimos:
DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES) Prof. Carlos Arroyo UNIDAD 14 Pgina 2 de 9
C:\WINDOWS>nbtstat -A 192.168.0.1 Host not found.
Pues queda claro que "not found", o no est conectado, o no comparte archivos, o no existe (revisar si no hay error de sintaxis) Si la respuesta es:
C:\WINDOWS>nbtstat -A 192.168.0.1 NetBIOS Remote Machine Name Table
Pues aunque parezca mejor, para el caso nos da igual, porque aunque si lo tiene instalado, no comparte nada. En el caso que recibamos esta respuesta:
C:\WINDOWS>nbtstat -A 192.168.0.1 NetBIOS Remote Machine Name Table
Name Type Status ----------------------------------------------------------------
NAME <00> UNIQUE Registered
WORKGROUP <00> GROUP Registered
NAME <03> UNIQUE Registered
NAME <20> UNIQUE Registered
WORKGROUP <1E> GROUP Registered
MAC Address = 00-00-00-00-00-00
DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES) Prof. Carlos Arroyo UNIDAD 14 Pgina 3 de 9 En este caso son buenas noticias. La diferencia importante es el <20> que corresponde al "File Server Service" (Servicio servidor de archivos), solo las PC que tienen el <20> tienen archivos compartidos y accesibles.
El IPC$ (Inter-Process Communication) es un recurso compartido oculto estndar en una mquina NT, y es utilizado por el servidor para establecer comunicacin con otros equipos.
Conectndose al IPC$ un intruso puede establecer una comunicacin valida con el servidor NT. Conectndose como null, el intruso puede establecer dicha comunicacin sin necesidad de introducir user:password.
Para ello se utiliza el siguiente comando:
c:\>net use \\[ip_de_la_vctima]\ipc$ "" /user:"" The command completed successfully.
Podemos verificar qu comparte esa computadora sin necesidad de entrar, para ello utiliza el comando NET
C:\>net view \\192.168.0.1
Recibiremos la siguiente respuesta:
Shared resources at 192.168.0.1
Share name Type Used as Comment ------------------------------------------------------------- NETLOGON Disk Logon server share
Test Disk
The command completed successfully.
Adems es posible que ocurra esto:
C:\>net view \\192.168.0.1
System error 5 has occurred.
Entonces primero tenemos que establecer una "null session", es decir, anularemos la sesin:
C:\>net use \\192.168.0.1\ipc$ "" /user:""
The command completed successfully.
DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES) Prof. Carlos Arroyo UNIDAD 14 Pgina 4 de 9 Ahora escribiremos lo siguiente:
C:\>net view \\192.168.0.1
Esta vez la el sistema renuente ceder, para conectar a la carpeta compartida:
2 O en su defecto: INICIO EJECUTAR y poner lo mismo \\192.168.0.1
3 Lo mismo sera: Botn derecho en Mis Sitios de Red Buscar Equipos... y escribimos la IP: 192.168.0.1
4 En una ventana de smbolo de sistema escribir:
C:\>net use x: \\192.168.0.1\test
Y despus:
C:\>dir x:
Este ataque solo funcionar si la carpeta compartida no tiene password. (Para ellos existen otras estratagemas).
Recuerda que un intruso no est limitado a los recursos compartidos que aparecen con el net view.
Un intruso que conozca NT sabe que existen otros recursos compartidos ocultos para uso administrativo. Por defecto NT crea el IPC$ y otro por cada particin (por ejemplo una mquina que tiene C, D, y E tendr sus correspondientes C$, D$, y E$).
DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES) Prof. Carlos Arroyo UNIDAD 14 Pgina 5 de 9 Tambin hay un ADMIN$ que pertenece a la ruta donde fue instalado el NT (por ejemplo si instalaste NT en C:\winnt, entonces ADMIN$ apunta exactamente a esa parte del disco).
CRAKEANDO LOS PASSWORDS
El 24 de agosto del 2000 NS-FOCUS - http://www.nsfocus.com/ - haca pblica una vulnerabilidad en la implementacin del protocolo NETBIOS en todos los sistemas operativos corriendo el kernel 9x de la empresa Microsoft, incluyendo el nuevo Windows ME y las versiones ms avanzadas de Windows 98.
La vulnerabilidad en s misma no es ms que un error de implementacin a la hora de establecer la longitud del password para validarlo ante una peticin NETBIOS.
Los sistemas vulnerables obtienen el nmero de bytes a comparar para el password del paquete que reciben del cliente.
Un usuario malicioso podra establecer la longitud del password a 1 byte intentar un ataque por fuerza bruta contra el password compartido. El nmero de intentos que debera realizar sera tan slo de 256 (2 elevado a 8).
El exploit que proporciona NS-FOCUS en su WEB modifica el cliente de samba en su versin 2.0.6 para atacar los recursos compartidos de un sistema vulnerable.
Veremos los pasos a seguir en caso de que perdimos o no conocemos la contrasea del administrador:
1 Entramos a la consola de Comandos ( + R) cmd 2 Dentro de ella escribimos los siguientes comandos: cd\ Esto nos servir para salir del prompt existente. 3 Luego entraremos a un prompt de sistema, para ello escribiremos:
cd Windows Seguidamente de:
cd system32
4 Con ello nos habr quedado el prompt de la siguiente manera: C:\Windows\Systems32>
5 Utilizaremos el comando net user, para poder romper la contrasea del usuario:
net user administrador * El sistema le pedir un password. 6 Es cuando debemos dar ENTER, nos pide confirmar, damos ENTER de nuevo.
DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES) Prof. Carlos Arroyo UNIDAD 14 Pgina 6 de 9
COMANDOS TCP/IP
TCP/IP incluye dos grupos de comandos utilizados para suministrar servicios de red:
Los comandos remotos BERKELEY Los comandos DARPA
Los comandos remotos BERKELEY, que fueron desarrollados en la Universidad Berkeley (California), incluyen rdenes para comunicaciones entre sistemas operativos UNIX, como copia remota de archivos, conexin remota, ejecucin de shell remoto, etc. Permiten utilizar recursos con otros hosts, pudiendo tratar distintas redes como si fueran una sola. En la versin 4 para UNIX Sistema V, se pueden distinguir los siguientes comandos ms comunes: RCP Realiza una copia de archivos al mismo o a otro servidor RLOGINGL-RLOGINVT Se utiliza para hacer una conexin al mismo o a otro servidor REXEC-RSH Permite ejecutar comandos del sistema operativo en El mismo o en otro servidor. Los comandos DARPA incluyen facilidades para emulacin de terminales, transferencia de archivos, correo y obtencin de informacin sobre usuarios. Pueden ser utilizadas para comunicacin con computadoras que ejecutan distintos sistemas operativos. En la versin 2.05 para DOS, dependiendo de las funciones que realizan, se pueden distinguir los siguientes grupos de comandos:
Kernel PC/TCP y herramientas asociadas Se utilizan para cargar el ncleo TCP/IP en la memoria del computador. BOOTP Asigna la direccin IP de la estacin de trabajo INET Descarga el ncleo PC/TCP de la memoria y/o realiza estadsticas de red KERNEL Carga el ncleo TCP/IP en la memoria y lo deja residente
Configuraci6n de la red Permiten configurar TCP/IP con determinados parmetros. IFCONFIG Configura el hardware para TCP/IP IPCONFIG Configura el software TCP/IP y la direcci6n IP IPCONFIG /ALL Muestra todas las conexiones existentes, tanto la nuestras como las intrusas.
Transferencia de archivos Se utilizan para transferir archivos entre distintos computadores. Son la utilizadas para subir archivos y data a los servidores de internet que alojan las pginas web.
DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES) Prof. Carlos Arroyo UNIDAD 14 Pgina 7 de 9 Si dentro del comando ftp, escribimos help, nos sale todos los sub-comandos existentes dentro de l, a decir:
DDAT'ES Muestra las fechas y horas guardadas en un archivo creado con el comando TAR. FTP Transfiere archivos entre unidades de trabajo y servidor. FRPSRV Convierte una estacin de trabajo en un servidor FTP PASSWD Se utiliza para poner contraseas en las estaciones de trabajo a los usuarios para poder utilizar el comando FTPSRV RMT Permite realizar copia de archivos en una unidad de cinta TAR Realiza una copia de archivos creando un nico archivo de BACKUP TFTP Transfiere archivos entre una estacin de trabajo un servidor o a otra estacin de trabajo.
Impresin Permiten el control de la impresin en las impresoras conectadas al servidor. DOPREDIR Imprime un trabajo de impresin que an no ha sido impreso. IPRINT Enva texto o un archivo a un servidor de impresoras de imagen. LPQ Indica la cola de impresin indicada.
DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES) Prof. Carlos Arroyo UNIDAD 14 Pgina 8 de 9 LPR Enva un texto o un archivo a una impresora local o de red. LPRM Elimina trabajos pendientes de la cola de impresin ONPREDIR Realiza tareas de configuracin para el comando PREDIR PREDIR Carga o descarga el programa que permite la impresin remota y lo deja residente. PRINIT Se usa con los comandos PREDIR y ONPREDIR PRSTART Indica a la estacin de trabajo remota que imprima un archivo usando la configuracin por defecto.
Conexin a servidores Permiten la conexin de los computadores a servidores de nuestra red. SUPDUP Permite conectarse a otro servidor de la red. TELNET-TN Es el mtodo normal de conectarse a un servidor de la red.
Informacin de usuarios Muestran informacin sobre los usuarios conectados a la red. FINGER Muestra informacin sobre un usuario conectado a otra estacin de trabajo NICNAME Muestra informacin sobre un usuario o sobre un servidor solicitada al centro de informacin de redes. WHOIS Muestra informacin sobre un usuario registrado que est conectado a otra estacin de trabajo.
Envo y recepcin de correo Estos comandos permiten el envo y/o recepcin de correo entre los usuarios de la red.
MAIL Permite enviar y recibir correo en la red PCMAIL Permite leer correo. Se ha de usar con el comando VMAIL POP2 - POP3 Se utiliza para leer correo. Se han de usar con VMAIL Y SMTP SMTP Se utiliza para enviar correo en la red SMTPSRV Permite leer el correo recibido VMAIL Es un comando que muestra una pantalla preparada para leer el correo recibido. Se utiliza en conjuncin con los comandos PCMAIL, POP2 o POP3.
DIAGNOSTICO Y MANTENIMIENTO DE PC (REDES) Prof. Carlos Arroyo UNIDAD 14 Pgina 9 de 9
Chequeo de Red Permiten chequear la red cuando aparecen problemas de comunicaciones. HOST Indica el nombre y la direccin IP de una estacin de trabajo determinada PING Enva una Llamada a una estacin de trabajo e informa si se puede establecer conexin o no con ella. SETCLOCK Muestra la fecha y la hora que tiene la red
COMO FUNCIONA TCP/IP
Una red TCP/IP transfiere datos mediante el ensamblaje de bloques de datos en paquetes, cada paquete comienza con una cabecera que contiene informacin de control; tal como la direccin del destino, seguido de los datos. Cuando se enva un archivo por la red TCP/IP, su contenido se enva utilizando una serie de paquetes diferentes. El Internet Protocol (IP), un protocolo de la capa de red, permite a las aplicaciones ejecutarse transparentemente sobre redes interconectadas. Cuando se utiliza IP, no es necesario conocer que hardware se utiliza, por tanto sta corre en una red de rea local. El Transmissin Control Protocol (TCP); un protocolo de la capa de transporte, asegura que los datos sean entregados, que lo que se recibe, sea lo que se pretenda enviar y que los paquetes que sean recibidos en el orden en que fueron enviados. TCP terminar una conexin si ocurre un error que haga la transmisin fiable imposible.
ADMINISTRACION TCP/IP TCP/IP es una de las redes ms comunes utilizadas para conectar computadoras con sistema UNIX. Las utilidades de red TCP/IP forman parte de la versin 4, muchas facilidades de red como un sistema UUCP, el sistema de correo, RFS y NFS, pueden utilizar una red TCP/CP para comunicarse con otras mquinas. Para que la red TCP/IP est activa y funcionando ser necesario:
Obtener una direccin Internet. Instalar las utilidades Internet en el sistema Configurar la red para TCP/IP Configurar los guiones de arranque TCP/IP Identificar otras mquinas ante el sistema Configurar la base de datos del o y ente de STREAMS Comenzar a ejecutar TCP/IP
Para ms informacin, entrar al archivo de Comandos de Redes, all podr bucear un poco en este under y tal vez adentrarse en el mundo del hackin e Ing inversa.
* Material obtenido desde diferentes fuentes de Internet al solo efecto de divulgacin didctica entre los alumnos de ICAFI. La Empresa y el Autor NO se hacen responsables por el uso indebido del presente material.