Inicio > Hacking, Networking, Services - Software > Técnicas de Recolección de Información – Scripting con NMAP

Técnicas de Recolección de Información – Scripting con NMAP


Con NMAP se pueden realizar muchísimas tareas relacionadas con el reconocimiento de un objetivo determinado, sin embargo es una herramienta que intenta ir un poco mas allá de esto, ya que permite utilizar muchísimas técnicas para llevar a cabo un proceso de penetración exitoso, estas técnicas van desde simples escaneos hasta el manejo de las opciones de los paquetes IP y técnicas de evasión de IDS y Firewalls. En esta ocasión se intentará explicar el uso de “scripting” en Nmap, una característica que es realmente útil y que en algunas ocasiones por desconocimiento u otros factores algunos pentester no utilizan. A continuación se indicaran algunos Scripts Nmap bastante útiles.

SCRIPTS AUTH:

Este tipo de Scripts permiten determinar credenciales de autenticación en el sistema objetivo, frecuentemente realizando ataques de fuerza bruta sencillos, algunos ejemplos de este tipo de scripts son ftp-anon, snmp-brute, http-auth, etc.

SCRIPTS BROADCAST:

Realizan un escaneo broadcast en todo el segmento de la red donde se ejecuta el comando Nmap sin necesidad de indicar los host de forma manual por linea de comandos , utilizando el argumento “newtargets” se le indica a Nmap que permita a estos scripts automáticamente incluir los host descubiertos en la pila de escaneo.

SCRIPTS DISCOVERY:

Estos scripts tratan de descubrir de forma activa servicios en el segmento de red tales como registros públicos, dispositivos SNMP, servicios de directorio, etc.

SCRIPTS DOS:

Intentan causar denegación de servicio sobre un servicio determinado.

SCRIPTS EXPLOIT:

Tratan de detectar y explotar algún tipo de vulnerabilidad sobre el objetivo.

SCRIPTS EXTERNAL:

Registran la información de un escaneo determinado en un recurso externo como por ejemplo un servicio de almacenamiento en internet, sin embargo es necesario ser cauteloso con este tipo de scripts ya que pueden enviar a una fuente externa la dirección IP del objetivo y del atacante.

SCRIPTS FUZZER:

Estos Scripts envían información al servidor que es inesperada, incompleta o aleatoria, con el fin de detectar una posible vulnerabilidad en el servicio, sin embargo es costoso en términos de rendimiento del escaneo

SCRIPTS INTRUSIVE:

Son Scripts con un alto grado de ser perjudiciales para el sistema objetivo, ya que intenta utilizar recursos del sistema objetivo tales como proxys HTTP o dispositivos con SNMP habilitado.

SCRIPTS MALEWARE:

Intentan determinar si el objetivo se encuentra infectado con maleware o backdoors, algunos ejemplos de esta categoría de Scripts son: smtp-strangeport y auth-spoof

SCRIPTS SAFE:

Están diseñados para no afectar ni dañar el objetivo, simplemente tratan de capturar información que pueda ser sensible sin afectar el rendimiento u otros factores de la ejecución del servicio, ejemplos de este tipo de scripts pueden ser: ssh-hostkey o html-title

SCRIPTS VERSION:

Se trata de scripts que extienden el proceso de detección de versiones de servicios, están diseñados para ejecutarse solamente si el escaneo tiene la opción (Scan Version -sV)

SCRIPTS VULN:

Chequean vulnerabilidades especificas de software y generan resultados solamente si dichas vulnerabilidades son encontradas, ejemplos de este tipo de scripts son: realvnc-auth-bypass y afp-path-vuln

SCRIPTS DEFAULT

Se trata de un conjunto de scripts que ejecutan operaciones concretas tratando de capturar la mayor cantidad de información contra un objetivo, se trata de una categoría que debe ser evitada, ya que puede hacer mucho ruido contra un sistema remoto que tenga un IDS/IPS instalado, utilizando esta categoría, probablemente el escaneo no sea tan discreto como se espera.

Opciones por linea de comandos para Scripting con NMAP

Todos los tipos de scripts mencionados anteriormente son seleccionados y controlados por medio de las opciones por linea de comandos que soporta Nmap para este fin, en concreto las opciones son:

––script <script, categoria, expresion, all>

Se trata de la opción que se utiliza para indicar el script a ejecutar, los otros parámetros que se indican (categoría y expresión) son valores opcionales que pueden o no, ser declarados. Cuando se indica el parámetro all se ejecutan todos los scripts contenidos en el directorio de scripts.

––script-args <argumentos>

Se trata de un conjunto de argumentos que se suministran a los Scripts que admiten parámetros para configurar su ejecución.

––script-help <categoria, directorio, expresion, all>

Enseña ayuda sobre los scripts suministrados por parámetro, se puede indicar una categoría de scripts, un fichero .nse concreto, un directorio de scripts, una expresión o simplemente que enseñe toda la información de todos los scripts.

––script-trace

Se trata de una opción similar a –packet-trace pero funciona a nivel de aplicación en lugar de paquete a paquete. Si esta opción se especifica, toda la comunicación entrante y saliente ejecutada por los scripts es impresa en pantalla

––script-db

Actualiza la base de datos de scripts que se encuentra localizada en el fichero scripts/script.db de Nmap, solamente es útil ejecutar esta opción si se ha realizado algún cambio sobre la estructura de los Scripts como por ejemplo adicionar uno nuevo o remover uno existente.
-sC

Es equivalente a –script=default simplemente ejecuta un conjunto de script preconfigurados y que se encuentran en la categoría “Default”

Algunos Scripts NMAP:

Ahora es el momento de poner en practica algunas de las opciones anteriormente definidas, a continuación se enseña el uso de algunos scripts Nmap y las opciones de Scripting que ofrece enseñando los resultados sobre una red de privada para pruebas.

1. Ejecutando descubrimiento de Samba o servicios RPC en la maquina objetivo.

>nmap ––script=smb-os-discovery 192.168.1.35

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-02 12:48 CEST

NSE: Script Scanning completed.

Nmap scan report for 192.168.1.35

Host is up (0.00029s latency).

Not shown: 997 closed ports

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 08:00:27:61:34:29 (Cadmus Computer Systems)

Host script results:

| smb-os-discovery:

| OS: Windows XP (Windows 2000 LAN Manager)

| Name: WORKGROUP\ANONYMOUS

|_ System time: 2011-06-02 19:48:30 UTC-5

Nmap done: 1 IP address (1 host up) scanned in 1.74 seconds

2. Ejecutando el script de enumeración de sesiones sobre el servicio SMB

>nmap ––script smb-enum-sessions 192.168.1.35

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-02 12:54 CEST

NSE: Script Scanning completed.

Nmap scan report for 192.168.1.35

Host is up (0.00074s latency).

Not shown: 997 closed ports

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 08:00:27:61:34:29 (Cadmus Computer Systems)

Host script results:

| smb-enum-sessions:

| Users logged in

|_ Active SMB sessions

Nmap done: 1 IP address (1 host up) scanned in 1.84 seconds

3. Verificando si el objetivo tiene alguna vulnerabilidad explotable sobre el servicio remoto de SMB

>nmap ––script smb-check-vulns ––script-args=unsafe=1 192.168.1.35

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-02 12:56 CEST

NSE: Script Scanning completed.

Nmap scan report for 192.168.1.35

Host is up (0.00046s latency).

Not shown: 997 closed ports

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 08:00:27:61:34:29 (Cadmus Computer Systems)

Host script results:

| smb-check-vulns:

| MS08-067: NOT VULNERABLE

| Conficker: Likely CLEAN

|

|_ SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE

Nmap done: 1 IP address (1 host up) scanned in 6.71 seconds

4. Capturando información relacionada con los headers de un servidor web.

>nmap ––script http-headers http://www.xxxxxx.com

Starting Nmap 5.21 ( http://nmap.org ) at 2011-06-02 13:07 CEST

NSE: Script Scanning completed.

Nmap scan report for http://www.xxxxxx.com (86.109.162.80)

Host is up (0.063s latency).

rDNS record for 86.109.162.80: a0019.abansys.com

Not shown: 977 closed ports

PORT STATE SERVICE

21/tcp open ftp

22/tcp open ssh

25/tcp open smtp

53/tcp open domain

80/tcp open http

| http-headers:

| Date: Thu, 02 Jun 2011 11:07:25 GMT

| Server: Apache/2.0.53 (Fedora)

| X-Powered-By: PHP/4.4.4

| Set-Cookie: qtrans_cookie_test=qTranslate+Cookie+Test; path=/; domain=www.xxxxxx.com

| X-Pingback: http://www.xxxxxx.com/xmlrpc.php

| Connection: close

| Content-Type: text/html; charset=UTF-8

|

|_ (Request type: HEAD)

106/tcp open pop3pw

110/tcp open pop3

111/tcp open rpcbind

143/tcp open imap

199/tcp open smux

443/tcp open https

| http-headers:

| Date: Thu, 02 Jun 2011 11:07:25 GMT

| Server: Apache/2.0.53 (Fedora)

| Last-Modified: Wed, 24 Aug 2005 06:26:41 GMT

| ETag: “780189-33f-fee24a40″

| Accept-Ranges: bytes

| Content-Length: 831

| Connection: close

| Content-Type: text/html

|

|_ (Request type: HEAD)

465/tcp open smtps

587/tcp open submission

631/tcp open ipp

993/tcp open imaps

995/tcp open pop3s

1720/tcp filtered H.323/Q.931

3306/tcp open mysql

8009/tcp open ajp13

8080/tcp open http-proxy

8443/tcp open https-alt

| http-headers:

| Date: Thu, 02 Jun 2011 11:07:25 GMT

| Server: Apache

| Location: https://a0019.abansys.com:8443

| Connection: close

| Content-Type: text/html; charset=iso-8859-1

|

|_ (Request type: GET)

9080/tcp open unknown

32769/tcp open unknown

Nmap done: 1 IP address (1 host up) scanned in 8.28 seconds

5. Verificando la existencia de Maleware en un objetivo.

>nmap ––script http-malware-host 192.168.1.34

Starting Nmap 5.21 ( http://nmap.org ) at 2011-06-02 13:15 CEST

NSE: Script Scanning completed.

Nmap scan report for 192.168.1.34

Host is up (0.00058s latency).

Not shown: 987 closed ports

PORT STATE SERVICE

21/tcp open ftp

80/tcp open http

|_http-malware-host: Host appears to be clean

135/tcp open msrpc

139/tcp open netbios-ssn

443/tcp open https

|_http-malware-host: Host appears to be clean

445/tcp open microsoft-ds

3306/tcp open mysql

5357/tcp open unknown

49152/tcp open unknown

49153/tcp open unknown

49154/tcp open unknown

49155/tcp open unknown

49156/tcp open unknown

MAC Address: 08:00:27:E3:E3:3D (Cadmus Computer Systems)

Nmap done: 1 IP address (1 host up) scanned in 2.20 seconds

6. Escaneo broadcast, ejecutando distintos scripts definidos en Nmap retornando como resultado información útil sobre el segmento de red donde se ejecuta

>nmap -P0 ––script broadcast

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 00:03 CEST

Pre-scan script results:

| broadcast-upnp-info:

| 192.168.1.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

| Location: http://192.168.1.1:62042/

| 192.168.249.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

|_ Location: http://192.168.249.1:62042/

| broadcast-dns-service-discovery:

| 192.168.1.33

| 9/tcp workstation

| Address=192.168.1.33 fe80:0:0:0:5642:49ff:fefa:c10d

| 192.168.1.41

| 9/tcp workstation

|_ Address=192.168.1.41 fe80:0:0:0:21b:24ff:fec3:4e62

WARNING: No targets were specified, so 0 hosts scanned.

Nmap done: 0 IP addresses (0 hosts up) scanned in 40.09 seconds

7. Ejecución de escaneo utilizando los perfiles de scripts “default” y “safe” indicados en párrafos anteriores.

>nmap ––script default,safe

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 22:04 CEST

Stats: 0:00:06 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-Scan

Pre-scan script results:

| broadcast-upnp-info:

| 192.168.1.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

| Location: http://192.168.1.1:62042/

| 192.168.249.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

|_ Location: http://192.168.249.1:62042/

| broadcast-dns-service-discovery:

| 192.168.1.33

| 9/tcp workstation

| Address=192.168.1.33 fe80:0:0:0:5642:49ff:fefa:c10d

| 192.168.1.41

| 9/tcp workstation

|_ Address=192.168.1.41 fe80:0:0:0:21b:24ff:fec3:4e62

WARNING: No targets were specified, so 0 hosts scanned.

Nmap done: 0 IP addresses (0 hosts up) scanned in 40.31 seconds

8. Ejecuta los scripts contenidos en la categoría “default”, ejecuta el script “banner” y los scripts localizados en el directorio /home/adastra”

>nmap ––script default,banner,/home/adastra/ 192.168.1.34

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 22:08 CEST

Nmap scan report for 192.168.1.34

Host is up (0.0000030s latency).

Not shown: 994 closed ports

PORT STATE SERVICE

21/tcp open ftp

| banner: 220———- Welcome to Pure-FTPd [privsep] [TLS] ———-\x

|_0D\x0A220-You are user number 3 of 50 allowed.\x0D\x0A220-Local time…

22/tcp open ssh

|_banner: SSH-2.0-OpenSSH_5.5p1 Debian-6

| ssh-hostkey: 1024 57:91:68:60:9d:1c:18:7e:9f:f2:31:ad:82:9d:34:5f (DSA)

|_2048 aa:39:79:ef:31:01:14:91:ae:42:c6:e4:0f:36:96:96 (RSA)

53/tcp open domain

80/tcp open http

|_http-title: Site doesn’t have a title (text/html).

111/tcp open rpcbind

443/tcp open https

|_http-title: Site doesn’t have a title (text/html).

Nmap done: 1 IP address (1 host up) scanned in 10.37 seconds

9. Ejecutando todos los script que coincidan con la expresión “http-*” el símbolo de “*” tiene el mismo significado que en cualquier sistema UNIX.

>nmap ––script “http-*” 192.168.1.34

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 22:17 CEST

Nmap scan report for 192.168.1.34

Host is up (0.0000030s latency).

Not shown: 994 closed ports

PORT STATE SERVICE

21/tcp open ftp

22/tcp open ssh

53/tcp open domain

80/tcp open http

| http-brute:

|_ ERROR: No path was specified (see http-brute.path)

|_http-methods: GET HEAD POST OPTIONS

| http-headers:

| Date: Thu, 30 Jun 2011 20:17:02 GMT

| Server: Apache/2.2.16 (Debian)

| Last-Modified: Fri, 03 Jun 2011 09:32:38 GMT

| ETag: “30763-b1-4a4cb6f36ec48″

| Accept-Ranges: bytes

| Content-Length: 177

| Vary: Accept-Encoding

| Connection: close

| Content-Type: text/html

|

|_ (Request type: HEAD)

|_http-malware-host: Host appears to be clean

| http-form-brute:

|_ ERROR: No uservar was specified (see http-form-brute.uservar)

|_http-title: Site doesn’t have a title (text/html).

|_http-iis-webdav-vuln: ERROR: This web server is not supported.

|_http-date: Thu, 30 Jun 2011 20:17:02 GMT; +1s from local time.

| http-enum:

| /icons/: Potentially interesting folder w/ directory listing

|_ /manual/: Potentially interesting folder

| http-domino-enum-passwords:

|_ ERROR: No valid credentials were found (see domino-enum-passwords.username and domino-enum-passwords.password)

111/tcp open rpcbind

443/tcp open https

| http-brute:

|_ ERROR: No path was specified (see http-brute.path)

| http-form-brute:

|_ ERROR: No uservar was specified (see http-form-brute.uservar)

|_http-methods: GET HEAD POST OPTIONS

|_http-title: Site doesn’t have a title (text/html).

|_http-iis-webdav-vuln: ERROR: This web server is not supported.

|_http-date: Thu, 30 Jun 2011 20:17:02 GMT; +1s from local time.

|_http-malware-host: Host appears to be clean

| http-headers:

| Date: Thu, 30 Jun 2011 20:17:02 GMT

| Server: Apache/2.2.16 (Debian)

| Last-Modified: Fri, 03 Jun 2011 09:32:38 GMT

| ETag: “30763-b1-4a4cb6f36ec48″

| Accept-Ranges: bytes

| Content-Length: 177

| Vary: Accept-Encoding

| Connection: close

| Content-Type: text/html

|

|_ (Request type: HEAD)

| http-enum:

| /icons/: Potentially interesting folder w/ directory listing

|_ /manual/: Potentially interesting folder

| http-domino-enum-passwords:

|_ ERROR: No valid credentials were found (see domino-enum-passwords.username and domino-enum-passwords.password)

Nmap done: 1 IP address (1 host up) scanned in 8.55 seconds

10. Ejecuta un escaneo utilizando todos los script cargados, excepto aquellos que se encuentran la categoría intrusive anteriormente indicada.

>nmap ––script “not intrusive”

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 22:20 CEST

Pre-scan script results:

| broadcast-upnp-info:

| 192.168.1.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

| Location: http://192.168.1.1:62042/

| 192.168.249.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

|_ Location: http://192.168.249.1:62042/

| broadcast-dns-service-discovery:

| 192.168.1.33

| 9/tcp workstation

| Address=192.168.1.33 fe80:0:0:0:5642:49ff:fefa:c10d

| 192.168.1.41

| 9/tcp workstation

|_ Address=192.168.1.41 fe80:0:0:0:21b:24ff:fec3:4e62

WARNING: No targets were specified, so 0 hosts scanned.

Nmap done: 0 IP addresses (0 hosts up) scanned in 40.19 seconds

11. Ejecuta los scripts contenidos en las categorías default o en la categoría safe es equivalente a ejecutar –script “default,safe”

>nmap ––script “default or safe”

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 22:24 CEST

Pre-scan script results:

| broadcast-upnp-info:

| 192.168.1.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

| Location: http://192.168.1.1:62042/

| 192.168.249.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

|_ Location: http://192.168.249.1:62042/

| broadcast-dns-service-discovery:

| 192.168.1.33

| 9/tcp workstation

| Address=192.168.1.33 fe80:0:0:0:5642:49ff:fefa:c10d

| 192.168.1.41

| 9/tcp workstation

|_ Address=192.168.1.41 fe80:0:0:0:21b:24ff:fec3:4e62

WARNING: No targets were specified, so 0 hosts scanned.

Nmap done: 0 IP addresses (0 hosts up) scanned in 40.16 seconds

12. Ejecutando un escaneo utilizando los scripts declarados en la categoría default o safe o intrusive y sin incluir todos los scripts que coincidan con el patrón “http-*”

>nmap ––script “(default or safe or intrusive) and not http-*”

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 22:33 CEST

Pre-scan script results:

| broadcast-upnp-info:

| 192.168.1.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

| Location: http://192.168.1.1:62042/

| 192.168.249.1

| Server: POSIX, UPnP/1.0, Intel MicroStack/1.0.2126

|_ Location: http://192.168.249.1:62042/

| broadcast-dns-service-discovery:

| 192.168.1.33

| 9/tcp workstation

|_ Address=192.168.1.33 fe80:0:0:0:5642:49ff:fefa:c10d

WARNING: No targets were specified, so 0 hosts scanned.

Nmap done: 0 IP addresses (0 hosts up) scanned in 40.24 seconds

13. Obteniendo información sobre los scripts que cumplen con el patrón “ssh-*”

>nmap ––script-help “ssh-*”

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 22:41 CEST

ssh-hostkey

Categories: safe default discovery

http://nmap.org/nsedoc/scripts/ssh-hostkey.html

Shows SSH hostkeys.

Shows the target SSH server’s key fingerprint and (with high enough verbosity level) the public key itself. It records the discovered host keys in <code>nmap.registry</code> for use by other scripts. Output can be controlled with the <code>ssh_hostkey</code> script argument.

14. Ejecutando un escaneo contra un servidor SSH utilizando el script ssh-hostkey, este script recibe como argumento el formato visual de la clave localizada, los valores posibles son: hex,bubble,visual,full y all

>nmap ––script ssh-hostkey -p22 192.168.1.34 –script-args ssh_hostkey=’hex bubble visual’

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-30 23:04 CEST

Nmap scan report for 192.168.1.34

Host is up (0.000065s latency).

PORT STATE SERVICE

22/tcp open ssh

| ssh-hostkey: 1024 57:91:68:60:9d:1c:18:7e:9f:f2:31:ad:82:9d:34:5f (DSA)

| 1024 xulom-pecym-nybig-rykok-fonal-putad-mydez-fazot-fitop-heget-pexyx (DSA)

|

| +–[ DSA 1024]—-+

| | +*.+.. |

| | o. * .. |

| | … . |

| | . o o |

| | S = = E |

| | = * = |

| | . + + |

| | . |

| | |

| +—————–+

|

| 2048 aa:39:79:ef:31:01:14:91:ae:42:c6:e4:0f:36:96:96 (RSA)

| 2048 xekaz-futyl-zelyk-dalik-pysam-ryfes-vofit-reket-zikor-zuruv-saxux (RSA)

|

| +–[ RSA 2048]—-+

| | ++ |

| | . .. |

| | + o .. |

| | E .. |

| | * + . S |

| | . o . . |

| | . .. o |

| | oo. o |

| | oo oo |

|_+—————–+

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Finalmente, se aconseja tener instalada la ultima versión de Nmap para poder ejecutar los scripts anteriores (en este caso la versión 5.51) Como se ha mencionado anteriormente, si la instalación de Nmap se ha realizado desde apt-get o dpkg, probablemente la ubicación de todos los scripts se encuentre en /usr/share/nmap/scripts

  1. Aún no hay comentarios.
  1. No trackbacks yet.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 959 seguidores

%d personas les gusta esto: