PDF de programación - NMAP web hacking 101

Nmap web hacking

101



-

Walter Cuestas Agramonte
wcu@
wcuestas open sec com

35745
@

.



Derechos de Autor y Licencia
Copyright © 2003 – 2014 Fundación OWASP

Este documento es publicado bajo
licencia Creative
Commons Attribution ShareAlike 3.0. Para
cualquier
reutilización o distribución, usted debe dejar en claro a otros
los términos de la licencia sobre este trabajo.

la

http://www.owasp.org

DESCARGO DE RESPONSABILIDAD

Esta presentación tiene como propósito proveer unicamente información. No
aplicar este material ni conocimientos sin el consentimiento explícito que autorice a
hacerlo. Los lectores (participantes, oyentes, videntes) asumen la responsabilidad
completa por la aplicación o experimentación de este material y/o conocimientos
presentados. El(los) autor(es) quedan exceptuados de cualquier reclamo directo o
indirecto respecto a daños que puedan haber sido causado por la aplicación de este
material y/o conocimientos expuestos.
La información aquí expuesta representa las opiniones y perspectivas propias del
autor respecto a la materia y no representan ninguna posición oficial de alguna
organización asociada.

http://www.owasp.org

http://www.owasp.org

El team...

http://www.owasp.org

Experiencia

http://www.owasp.org

NMAP ?

http://www.owasp.org

Quiz Time !!!

● Sí eres root, qué tipo de escaneo hace por

default (la fácil!) ?

● Sí no se indica los puertos a escanear, cuáles

escanea y de dónde los toma ?

● Sí le cambias el banner a un Apache usando,

por ejemplo, mod_sec, NMAP la hace ?
– SI (cuéntame cómo que no me sale!!!)
– NO (próximo “chapter meeting” la solución)

● Puedo explotar vulnerabilidades con NMAP ?

http://www.owasp.org

● nmap 4.50 y posteriores
● Basados en LUA ( Lightweight Scripting

Language )

● Objetivo inicial : Mejorar la detección de

versiones de software, detección de malware.

● Se ubican en /usr/local/share/nmap/scripts

– /usr/share/nmap en Kali Linux

● -sC : la forma más fácil de usarlos.

http://www.owasp.org

NSE : NMAP Script

Engine

● Los scripts requieren la instalación de LUA y LUALIB
● En el archivo script.db esta la relación y categorías de scripts :

– Entry { filename = "ftp-anon.nse", categories = { "auth",

"default", "safe", } }

– Entry { filename = "ftp-bounce.nse", categories = { "default",

"intrusive", } }

– Entry { filename = "ftp-brute.nse", categories = { "auth",

"intrusive", } }

● La categoría se puede indicar con el parámetro :

--script=CATEGORIA

http://www.owasp.org

NSE : Para web

● ls *web* *http* | wc -l

– 105

● Cubren todo el “ciclo clásico” del hacking

– Aunque no hagan todo

http://www.owasp.org

Footprint (fingerprint)

● Clásico : obtener cuentas de email
– Para qué ? En serio ?! No sabes ?!

● http-email-harvest.nse

http://www.owasp.org

Footprint (fingerprint)

● Revisar sí fue vulnerable y se reporto

– Http-xssed.nse

http://www.owasp.org

Scanning

● Para mejorar el -sV ?

– Hay situaciones donde no funciona adecudamente

● Cambiar banner por uno que se encuentre en firmas

http://www.owasp.org

Scanning

● En ocasiones (ALGUNAS POCAS) el

http-waf-detect.nse funciona

http://www.owasp.org

Enumeración

● robots.txt

– Para qué ? En serio ?!

http://www.owasp.org

Enumeración

● Listar directorios

– Básico porque las aplicaciones web siempre se

evalúan de forma automatizada, verdad ?

http://www.owasp.org

Enumeración

● Métodos

– Que tal si encontramos un PUT o DELETE ?

● Para qué ? En serio ?!

http://www.owasp.org

Búsqueda de
Vulnerabilidades

● Todos quieren SQL Injection !!!

http://www.owasp.org

Búsqueda de
Vulnerabilidades

● Qué tal sí nos dejaron un “regalito” en los

comments ?

http://www.owasp.org

Búsqueda de
Vulnerabilidades

● http-backup-finder.nse
● http-config-backup.nse (CMS y web servers

más comúnes)

● http-default-accounts.nse
●ssl-heartbleed.nse

http://www.owasp.org

Penetración

(Explotación/Ataques)

● http-vuln-cve2009-3960.nse
● http-vuln-cve2010-0738.nse
● http-vuln-cve2010-2861.nse
● http-vuln-cve2011-3192.nse
● http-vuln-cve2011-3368.nse
● http-vuln-cve2012-1823.nse
● http-vuln-cve2013-0156.nse
● http-vuln-zimbra-lfi.nse

● http-axis2-dir-traversal.nse
● http-barracuda-dir-traversal.nse
● http-brute.nse
● http-cors.nse
● http-default-accounts.nse
● http-dombased-xss.nse
● http-fileupload-exploiter.nse
● http-form-brute.nse
● http-passwd.nse
● http-phpmyadmin-dir-traversal.nse
● http-slowloris.nse

●

http://www.owasp.org

Toma de Evidencias

● Todos dejan evidencia en los reportes

– PERO, por ejemplo, uno “no oficial” permite tomar un

screenshot del web
– http-screenshot.nse

● wget http://wkhtmltopdf.googlecode.com/files/wkhtmltoimage-

0.11.0_rc1-static-i386.tar.bz2

● tar -jxvf wkhtmltoimage-0.11.0_rc1-static-i386.tar.bz2
● cp wkhtmltoimage-i386 /usr/local/bin/
● git clone git://github.com/SpiderLabs/Nmap-Tools.git
● cd Nmap-Tools/NSE/
● cp http-screenshot.nse /usr/local/share/nmap/scripts/
● nmap --script-updatedb

http://www.owasp.org

Toma de Evidencias

http://www.owasp.org

Datos Adicionales

● Documentación suficiente en

– http://nmap.org/nsedoc/
● Scripts “no oficiales” en

– https://secwiki.org/w/Nmap/External_Script_Library

http://www.owasp.org