Categorías
Hacking Networking Services - Software

Filtros útiles en Wireshark para administración y pentesting

Wireshark y TCPDump son las herramientas imprescindibles para cualquier administrador de redes y, por supuesto, muy útiles en pentesting. Si realizas un pentest interno, es posible que una de las primeras cosas que debas hacer es descubrir las máquinas del entorno. Para ello, usas herramientas específicas en redes Windows como «Responder.py», pero no te puedes olvidar de usar un buen sniffer.

Wireshark lleva muchos años de desarrollo y tiene características muy interesantes, la primera de ellas es que funciona sobre sistemas Linux, MacOS y Windows, cuenta con una interfaz gráfica y soporta filtros de captura y “display”. Es una herramienta tan potente como TCPDump que merece la pena conocer.

Es oportuno señalar que ambas se basan en la tecnología BPF (Berkeley Packet Filter), lo que significa que los filtros que aplicas para capturar paquetes, funcionan en ambas. Esta es una gran ventaja, ya que no necesitas aprender una sintaxis nueva para las operaciones de captura habituales de ambas herramientas.

En este post, quisiera compartir contigo algunos de los filtros de display que puedes aplicar en Wireshark sobre una captura activa.

  • ip.addr == IP → Filtra por la dirección IP indicada, en origen o destino

  • ip.dst == IP_DST && ip.src == IP_SRC → Filtra por las direcciones IP indicadas en origen y destino

  • http or dns → Enseña todos los paquetes HTTP o DNS capturados

  • tcp.port==PORT → Enseña los paquetes TCP cuyo puerto en origen o destino coincida con el especificado

  • tcp.flags.reset==1 → Enseña todos los paquetes TCP que tengan la flag RST establecida

  • tcp contains TERMINO → Filtra por aquellos paquetes que contengan el término especificado

  • !(arp or icmp or dns or ssdp or udp) → Filtra todos los paquetes no utilicen el protocolo ARP, ICMP, DNS, SSDP o UDP.

  • tcp.port in {80 25} → Enseña todos los paquetes cuyo puerto TCP en origen o destino sea el 80 o 25.

  • !(tcp.port in {22 443}) → Enseña todos los paquetes cuyo puerto TCP en origen o destino no sea el 22 o 443.

Esto en cuanto a filtros de display, es decir, aquellos que aplicas sobre un conjunto de paquetes que has cargado de un PCAP o una captura activa.

No obstante, también tienes filtros de captura, los cuales siguen el formato de BPF. Estos los aplicas antes de arrancar el sniffer.

A continuación, te enseño algunos que son muy útiles:

  • not arp → Captura todos los tipos de paquetes excepto ARP

  • port 22 → Solamente captura paquetes cuyo puerto de origen o destino sea el 22, sin importar si es tráfico TCP o UDP

  • tcp port 443 → Solamente captura paquetes TCP cuyo puerto de origen o destino sea el 443

  • not port 25 and not port 53 → Ignora todos los paquetes TCP o UDP cuyo puerto sea el 25 o 53

  • tcp src port 80 → Captura paquetes TCP cuyo puerto de origen sea el 80

  • tcp[tcpflags] == tcp-syn → Captura los paquetes TCP con la flag SYN

  • tcp[tcpflags] == (tcp-syn + tcp-ack) → Captura los paquetes TCP con las flags SYN+ACK

  • tcp[tcpflags] == tcp-rst → Captura los paquetes TCP con la flag RST

Wireshark es una herramienta que, en mi opinión, es un “must to know”, como Nmap. No es muy complicada de usar, pero tiene varias opciones que debes conocer. Si estás interesado en dominar esta herramienta, te recomiendo el curso de Análisis de redes con Wireshark. En el que rápidamente aprenderás las mejores prácticas de uso, analizar los principales protocolos de red, e interpretar la información contenida en los paquetes de datos.

¿Conoces algún otro filtro de display o captura que merezca la pena incluir en este listado?

¡Te leo en los comentarios!

 

 


Recuerda que tienes todas las formaciones y packs de The Hacker Way.

Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.

Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos

Además de los cursos y la comunidad THW, tenemos el Plan Starter en Ciberseguridad (PSC) con el que no solo aprenderás Hacking ético, además adquirirás las habilidades necesarias para trabajar en el sector de la ciberseguridad.
Ya sea que seas un trabajador en activo o busques una primera experiencia, en THW podemos ayudarte mediante el plan PSC. Tienes más información en este enlace

¡Un saludo y Happy Hack!
Adastra.

Categorías
Hacking MetaSploit Networking Services - Software

Hacking sobre Active Directory con GhostPack

Cuando te piden realizar un pentest sobre una infraestructura de red, lo más habitual es que te encuentres con controladores de dominio, servidores y estaciones de trabajo, casi todo con sistemas Windows.

Muchas empresas utilizan Active Directory en su día a día y por ese motivo es buena idea saber cómo se puede atacar.

Es una tecnología compleja, pero al mismo tiempo muy interesante desde el punto de vista del Hacking por la cantidad de opciones y funcionalidades que ofrece, en mi opinión es una de las cosas más chulas que puedes aprender en el mundo de la ciberseguridad.

Es por ese motivo que existen cientos de herramientas orientadas a estos entornos, tanto en las etapas de reconocimiento y acceso inicial como en la post-explotación.
En esta ocasión te hablaré de un framework muy conocido en el mundo de la post-explotación en Windows, especialmente en entornos de AD, se trata de GhostPack.

No hablamos de una herramienta como tal, sino de una suite completa de utilidades, todas ellas desarrolladas en C# y preparadas para realizar labores muy concretas.

Para que te hagas una idea, a lo mejor has escuchado el proyecto Rubeus para ataques sobre Kerberos, o no, pero es uno de los proyectos incluidos en este framework. Todas estas utilidades están pensadas para la etapa de post-explotación y debes tener acceso al entorno, un servidor o controlador comprometido sería lo ideal, pero también te podría valer una estación de trabajo unida al dominio.

Las herramientas más interesantes que vienen incluidas en #GhostPack son las siguientes

SharpDump:

Es una herramienta capaz de abrir un proceso y volcar la información cargada en memoria en un fichero. Funciona muy bien sobre el proceso LSASS y el fichero resultante es compatible con Mimikatz.

SharpUp:

Esta utilidad ejecuta múltiples pruebas de seguridad y permite detectar vías para elevar privilegios en el sistema. Se trata de la versión en C# del proyecto PowerUp.

SharpWMI:

Permite ejecutar consultas utilizando la interfaz WMI, de esta forma es posible obtener información abundante sobre el sistema auditado. Aunque se puede usar WMI directamente sobre una terminal, el beneficio que aporta SharpWMI es que simplifica su ejecución y cuenta con rutinas ya preparadas para la enumeración del sistema y detección de vulnerabilidades.

LockLess:

Accede a un proceso determinado y, a continuación, permite listar y copiar los ficheros que tiene abiertos un proceso seleccionado. Esto es interesante para obtener información que se encuentra en ficheros temporales o que están bloqueados por el proceso.

SeatBelt:

Pretende automatizar los procesos de enumeración sobre entornos Windows. Entre otras cosas, permite detectar problemas de seguridad potenciales en el entorno y recolectar información sensible.

Rubeus:

Esta herramienta está diseñada para ejecutar diferentes tipos de ataques sobre el servicio de Kerberos. Incluye la posibilidad de gestionar tickets TGT y TGS, siendo posible solicitar, listar o renovar tickets. Soporta diferentes tipos de ataques, tales como kerberoasting, asreproasting, golden ticket, silver ticket, pass the ticket, entre otras técnicas habituales sobre este servicio.

Certify:

Permite realizar una enumeración completa sobre un servicio de ADCS (Active Directory Certificate Services). Además de obtener información, también es capaz de solicitar y gestionar certificados digitales para una cuenta de dominio, ya sea de usuario o máquina.

 

Si quieres aprender a usar GhostPack para realizar auditorías sobre entornos Windows con Active Directory, te recomiendo el curso de «Hacking sobre Windows y Active Directory con GhostPack».

Se trata de un curso completamente práctico en el que aprenderás a compilar y ejecutar cada una de las herramientas, así como las opciones avanzadas que admiten cada una de ellas, especialmente Rubeus y Certify, que son las más potentes de todo el framework.

Se trata de utilidades que deberías conocer para realizar actividades de post-explotación sobre redes Windows, así que te animo a que aprendas a usarlas.

 

 


Recuerda que tienes todas las formaciones y packs de The Hacker Way.

Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.

Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos

Además de los cursos y la comunidad THW, tenemos el Plan Starter en Ciberseguridad (PSC) con el que no solo aprenderás Hacking ético, además adquirirás las habilidades necesarias para trabajar en el sector de la ciberseguridad.
Ya sea que seas un trabajador en activo o busques una primera experiencia, en THW podemos ayudarte mediante el plan PSC. Tienes más información en este enlace

¡Un saludo y Happy Hack!
Adastra.

Categorías
Hacking Networking Services - Software

15 scripts NSE disponibles en Nmap

Nmap es una de las herramientas más útiles que tenemos actualmente, no solamente desde la perspectiva de un profesional de la #ciberseguridad, también aporta información valiosa a un administrador de sistemas.
En sus orígenes, en la década de los noventa, su objetivo era el escaneo de redes y servicios en ejecución.
Esto no ha cambiado desde entonces, pero todos estos años de desarrollo han dado lugar a la creación de una herramienta capaz de detectar vulnerabilidades y configuraciones inseguras en los servicios expuestos en una red.
Una de las características más potentes en esta herramienta son los scripts NSE (Nmap Scripting Engine).
Se trata de rutinas de código escritas en lenguaje LUA y que pretenden descubrir detalles muy concretos sobre un servicio u host.

Estos scripts se agrupan en categorías y se pueden ejecutar con la opción «–script».

En la documentación oficial se explica el uso de todos ellos, algunos de los cuales, requieren una serie de parámetros adicionales para que funcionen correctamente.

Cuando instalas Nmap en un sistema basado en Linux, los scripts se encuentran en su ruta por defecto, ubicada en «/usr/share/nmap/script»
Al ejecutar la herramienta, es posible indicar el nombre del script o la ruta completa, esto último en el caso de que no se encuentre en el directorio indicado anteriormente.

Aunque existen cientos de scripts incluidos en Nmap y en cada versión se van incorporando nuevos, cualquiera puede crear estas rutinas utilizando la API existente en la herramienta.
Por si fuese poco, existen proyectos como «vulners», «vulscan», entre otros, que permiten convertir a Nmap en una herramienta capaz de detectar vulnerabilidades concretas, comportándose de una forma similar a utilidades como Nessus, OpenVas o NeXpose.

En este artículo, mencionaré 15 de los scripts más interesantes en Nmap.

ip-forwarding: Detecta si el dispositivo remoto tiene el reenvío de IP habilitado. Para ello, envía una petición «echo ICMP» a un objetivo determinado usando el host escaneado como pasarela.

• http-virustotal.nse: Comprueba si VirtusTotal ha determinado que un archivo es malware. Dicho fichero debe indicarse con el parámetro «http-virustotal.filename»

• tor-consensus-checker.nse: Comprueba si el objetivo es un nodo de TOR conocido.

• xmlrpc-methods.nse: Consulta las características disponibles para el servicio XMLRPC habilitado en el objetivo.

• http-waf-detect.nse: Determina si el objetivo está protegido por un IPS, IDS o WAF.

• http-waf-fingerprint.nse: Intenta detectar la presencial de un WAF, así como su tipo y versión.

• http-wordpress-enum.nse: Enumera los temas y plugins disponibles en una instalación de WordPress

• http-webdav-scan.nse: Detecta si el objetivo tiene una instalación de WebDAV, para ello utiliza los métodos HTTP OPTIONS y PROPFIND

• firewalk.nse: Utiliza la técnica de expiración de TTL, también conocida como «firewalking» para descubrir las reglas instaladas en un firewall.

• firewall-bypass.nse: Detecta una vulnerabilidad en netfilter y otros firewalls reportada hace varios años, en la cual, es posible abrir dinámicamente puertos para protocolos como FTP y SIP.

• nbstat.nse: Intenta recuperar el nombre NetBIOS y direcciones MAC del objetivo.

• msrpc-enum.nse: Consulta un endpoint MSRPC y, si es posible, lista los servicios relacionados y la información disponible.

• ms-sql-info.nse: Intenta determinar los detalles de configuración y la versión de un servidor MS SQL Server.

• ms-sql-xp-cmdshell.nse: Si se cuenta con acceso a un servidor MS SQL Server y el procedimiento xp_cmdshell está habilitado, este script permite la ejecución de un comando sobre el objetivo. Es necesario especificar las credenciales de un usuario válido mediante las opciones «mssql.username» y «mssql.password»

• krb5-enum-users.nse: Descubre nombres de usuario válidos en un servicio de Kerberos mediante fuerza bruta.

Si quieres aprender a usar Nmap en profundidad, te recomiendo el curso de «Pentesting con Nmap». Se trata de un curso corto y 100% práctico en el que aprenderás los tipos de escaneos disponibles en la herramienta, opciones de evasión, opciones avanzadas para la detección de servicios y, por supuesto, el uso de los scripts NSE.

 

 


Recuerda que tienes todas las formaciones y packs de The Hacker Way.

Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.

Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos

Además de los cursos y la comunidad THW, tenemos el Plan Starter en Ciberseguridad (PSC) con el que no solo aprenderás Hacking ético, además adquirirás las habilidades necesarias para trabajar en el sector de la ciberseguridad.
Ya sea que seas un trabajador en activo o busques una primera experiencia, en THW podemos ayudarte mediante el plan PSC. Tienes más información en este enlace

¡Un saludo y Happy Hack!
Adastra.

Categorías
Hacking Networking

Ataques comunes de Ingeniería Social

La ingeniería social se define como «el acto de influir en el comportamiento de persona para que esta ejecute una acción» y, en la mayoría de los casos, no es favorable para la «víctima».

Se trata de un compendio de técnicas que se basan en los principios de la psicología aplicada, sin embargo, introducen elementos tecnológicos que hacen que sean especialmente peligrosas para las empresas.

El Social Engineer Framework (SEF) es uno de los recursos más completos en el campo de la ingeniería social y, entre otras cosas, define las herramientas y tácticas que permiten persuadir, engañar y manipular.
Aunque puede parecer algo negativo, lo cierto es que los seres humanos utilizamos este tipo tácticas continuamente en la interacción con otros.

No siempre con el objetivo de «dañar», pero sí para obtener algún tipo de beneficio.
Las metas típicas de un ingeniero social son las siguientes:
• Dinero o juegos de estatus
• Apoyar o defender una causa
• Entretenimiento
• Conocimiento
• Ego
• Envidia o venganza

Un ingeniero social entiende la forma en la que el objetivo se comporta y piensa.
Sabe qué es lo busca y le reporta satisfacción, así como aquello que teme y evita.
En otras palabras, las técnicas de ingeniería social más efectivas se centran en la parte más primigenia del cerebro humano, el subconsciente, esas zonas de la mente que hacen que alguien actúe de una forma determinada, aunque no sea la más racional o inteligente.

Los seres humanos evaluamos cada situación en función del beneficio, oportunidad o amenaza.
Si consideramos que una situación puede reportar algún tipo de ventaja, la aprovechamos. Si, por el contrario, representa una amenaza, la evitamos.

Los ingenieros sociales «juegan» con las emociones y tienen conocimientos sobre hacking, por ese motivo, pueden llegar a ser muy peligrosos para los empleados de una organización.

¿Cuáles son las técnicas más comunes de la ingeniería social?

• Phishing: Técnicas que pretenden engañar a un usuario por medio de correos electrónicos fraudulentos. El objetivo de estos mensajes es el de persuadirle para realizar una acción, como hacer click en un enlace o descargar un fichero.
• Suplantación: Consiste en engañar a un usuario haciéndole creer que se está comunicando con una persona o sistema de confianza.
• Pretextos: Es una técnica que busca crear un escenario inventado para hacer creer a la víctima que se encuentra en una situación legítima, pero que, en realidad, ha sido creada por el ingeniero social para forzar la ejecución de una acción.
• Elicitation: Se trata de un término cuya traducción al castellano más cercano es «sonsacamiento». Se basa en las técnicas que permiten construir confianza con la víctima y, a continuación, realizar preguntas aparentemente inofensivas y sin mala intención, pero que le permiten al ingeniero social recolectar información.

• Microexpresiones y programación neurolingüística (NLP): Una microexpresión es una expresión corporal involuntaria y momentánea, la cual expresa las emociones que una persona siente en un determinado momento. Estos movimientos son difíciles de controlar y un buen observador los podrá identificar. Por otro lado, la NLP es una rama de la inteligencia artificial orientada al procesamiento e interpretación del lenguaje humano, tanto en formato de texto y voz como en imágenes.

• Influencia y persuasión: El objetivo de estas técnicas consiste en influir en el comportamiento de una persona mediante la persuasión y manipulación. Típicamente, estas técnicas emplean elementos como la presión, urgencia y un beneficio inmediato que la víctima no puede ignorar fácilmente. Son muy habituales en el mundo de las ventas y el marketing.

Aunque el contexto de estas técnicas suele vincularse con actividades desempeñadas por ciberdelincuentes, hay que tener en cuenta que no siempre es así.
El conocimiento es fundamental para no caer en engaños y evitar las consecuencias de este tipo de ataques.
En este sentido, es altamente recomendable leer los libros de Christopher Hadnagy y el Social Engineering Framework.


Recuerda que tienes todas las formaciones y packs de The Hacker Way.

Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.

Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos

Además de los cursos y la comunidad THW, tenemos el Plan Starter en Ciberseguridad (PSC) con el que no solo aprenderás Hacking ético, además adquirirás las habilidades necesarias para trabajar en el sector de la ciberseguridad.
Ya sea que seas un trabajador en activo o busques una primera experiencia, en THW podemos ayudarte mediante el plan PSC. Tienes más información en este enlace

¡Un saludo y Happy Hack!
Adastra.

Categorías
Ciberinteligencia FileSystem Hacking Networking

Formación en DFIR y análisis forense

En análisis forense es una pieza muy importante en el mundo de la ciberseguridad y, aunque ser perito informático es complejo, no deja de ser un desafío profesional muy interesante.

Tanto en las charlas que he realizado en todos estos años, como en entrevistas y contenido que publico en Internet, siempre destaco la importancia de la formación en el desarrollo profesional de cualquier persona, pero, no cualquier tipo de formación, debe ser de calidad y contar con rigor técnico.

¿Cómo sabes cuándo una formación merece la pena?

Cuando la persona que te va a enseñar domina perfectamente su campo porque trabaja en él. En otras palabras: Si el formador no puede demostrar que ha trabajado y tiene experiencia práctica en lo que enseña, desconfía.

Incluso, aunque diga que tiene experiencia de 2 o 3 años y tenga certificaciones como la OSCP, CEH, CISSP, OSWE, EJTP, RDDSR, YTGR, HHYT, ATPC y sea muy conocido, desconfía igualmente, porque no tiene experiencia suficiente y aún tendrá lagunas de conocimientos muy profundas.

Si todo lo que gira en torno al Blue Team, DFIR y análisis forense te resulta interesante y te quieres dedicar a ello, mi recomendación de hoy es que te apuntes al plan de formación en DFIR y análisis forense que está disponible en Securízame.

Lorenzo Martínez será tu formador y me consta, porque ya he realizado cursos con él, que es un profesional que no solo domina perfectamente este campo, porque se dedica a ello, sino que, además, lo explica todo de una forma muy clara.

Y no solo lo digo yo, es la opinión de cientos de personas a las que Lorenzo ha formado desde hace varios años.

Así que, mi recomendación es que te apuntes a los cursos que empiezan en el mes de abril. Es una formación muy especializada que no encontrarás en otras academias, por lo que es de alto valor profesional.

Si quieres saber más, tienes toda la información sobre lo que aprenderás y las fechas concretas en este enlace

¡Un saludo y Happy Hack!

Adastra.