Pentesting Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: regístrate en Intigriti, una plataforma de bug bounty premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Esta va a ser una breve sección sobre cómo encontrar IPs que responden desde el Internet. En esta situación tienes un rango de IPs (quizás incluso varios rangos) y solo necesitas encontrar qué IPs están respondiendo.
Esta es la forma más fácil y rápida de descubrir si un host está activo o no.
Podrías intentar enviar algunos paquetes ICMP y esperar respuestas. La forma más sencilla es simplemente enviar una solicitud de eco y esperar la respuesta. Puedes hacer eso usando un simple ping o usando fping para rangos.
También podrías usar nmap para enviar otros tipos de paquetes ICMP (esto evitará filtros a la solicitud-respuesta de eco ICMP común).
Es muy común encontrar que todo tipo de paquetes ICMP están siendo filtrados. Entonces, lo único que puedes hacer para verificar si un host está activo es intentar encontrar puertos abiertos. Cada host tiene 65535 puertos, así que, si tienes un alcance "grande", no puedes probar si cada puerto de cada host está abierto o no, eso tomaría demasiado tiempo. Entonces, lo que necesitas es un escáner de puertos rápido (masscan) y una lista de los puertos más utilizados:
También podrías realizar este paso con nmap, pero es más lento y nmap tiene problemas para identificar hosts activos.
Esto es solo un descubrimiento de puertos TCP útil cuando deseas enfocarte en descubrir servicios HTTP:
También podrías intentar verificar si hay algún puerto UDP abierto para decidir si deberías prestar más atención a un host. Dado que los servicios UDP generalmente no responden con datos a un paquete de sondeo UDP vacío, es difícil decir si un puerto está siendo filtrado o abierto. La forma más fácil de decidir esto es enviar un paquete relacionado con el servicio en ejecución, y como no sabes qué servicio está en ejecución, deberías intentar con el más probable según el número de puerto:
La línea de nmap propuesta anteriormente probará los 1000 puertos UDP principales en cada host dentro del rango /24, pero incluso solo esto tomará >20min. Si necesita resultados más rápidos, puede usar udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24 Esto enviará estas probes UDP a su puerto esperado (para un rango /24 esto solo tomará 1 min): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike, ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.
Aquí puedes encontrar una buena guía de todos los ataques Wifi bien conocidos en el momento de la escritura:
Pentesting WifiSi estás dentro de la red, una de las primeras cosas que querrás hacer es descubrir otros hosts. Dependiendo de cuánto ruido puedas/quieras hacer, se podrían realizar diferentes acciones:
Puedes usar estas herramientas para descubrir pasivamente hosts dentro de una red conectada:
Note que las técnicas comentadas en Descubriendo hosts desde afuera (Descubrimiento de puertos TCP/HTTP/UDP/SCTP) también pueden ser aplicadas aquí. Pero, como estás en la misma red que los otros hosts, puedes hacer más cosas:
Note que las técnicas comentadas en Descubriendo hosts desde el exterior (ICMP) también pueden ser aplicadas aquí. Pero, como estás en la misma red que los otros hosts, puedes hacer más cosas:
Si haces ping a una dirección de difusión de subred, el ping debería llegar a cada host y podrían responder a ti: ping -b 10.10.5.255
Haciendo ping a la dirección de difusión de la red podrías incluso encontrar hosts dentro de otras subredes: ping -b 255.255.255.255
Usa las banderas -PE, -PP, -PM de nmap para realizar el descubrimiento de hosts enviando respectivamente ICMPv4 echo, timestamp, y solicitudes de máscara de subred: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24
Wake On Lan se utiliza para encender computadoras a través de un mensaje de red. El paquete mágico utilizado para encender la computadora es solo un paquete donde se proporciona un MAC Dst y luego se repite 16 veces dentro del mismo paquete. Luego, este tipo de paquetes generalmente se envían en un ethernet 0x0842 o en un paquete UDP al puerto 9. Si no se proporciona [MAC], el paquete se envía a difusión ethernet (y el MAC de difusión será el que se repita).
Una vez que hayas descubierto todas las IPs (externas o internas) que deseas escanear en profundidad, se pueden realizar diferentes acciones.
Puerto abierto: SYN --> SYN/ACK --> RST
Puerto cerrado: SYN --> RST/ACK
Puerto filtrado: SYN --> [SIN RESPUESTA]
Puerto filtrado: SYN --> mensaje ICMP
Hay 2 opciones para escanear un puerto UDP:
Enviar un paquete UDP y verificar la respuesta ICMP inalcanzable si el puerto está cerrado (en varios casos, ICMP será filtrado, por lo que no recibirás ninguna información si el puerto está cerrado o abierto).
Enviar datagramas formateados para provocar una respuesta de un servicio (por ejemplo, DNS, DHCP, TFTP y otros, como se lista en nmap-payloads). Si recibes una respuesta, entonces, el puerto está abierto.
Nmap mezclará ambas opciones usando "-sV" (los escaneos UDP son muy lentos), pero ten en cuenta que los escaneos UDP son más lentos que los escaneos TCP:
SCTP (Stream Control Transmission Protocol) está diseñado para ser utilizado junto con TCP (Transmission Control Protocol) y UDP (User Datagram Protocol). Su principal propósito es facilitar el transporte de datos de telefonía a través de redes IP, reflejando muchas de las características de fiabilidad que se encuentran en Signaling System 7 (SS7). SCTP es un componente central de la familia de protocolos SIGTRAN, que tiene como objetivo transportar señales SS7 a través de redes IP.
El soporte para SCTP es proporcionado por varios sistemas operativos, como IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS y VxWorks, lo que indica su amplia aceptación y utilidad en el campo de las telecomunicaciones y redes.
Se ofrecen dos escaneos diferentes para SCTP por nmap: -sY y -sZ
Los routers, firewalls y dispositivos de red mal configurados a veces responden a sondas de red utilizando direcciones de origen no públicas. tcpdump se puede utilizar para identificar paquetes recibidos de direcciones privadas durante las pruebas. Específicamente, en Kali Linux, los paquetes se pueden capturar en la interfaz eth2, que es accesible desde Internet público. Es importante tener en cuenta que si tu configuración está detrás de un NAT o un Firewall, es probable que tales paquetes sean filtrados.
Con el sniffing, puedes aprender detalles de rangos IP, tamaños de subred, direcciones MAC y nombres de host al revisar tramas y paquetes capturados. Si la red está mal configurada o la infraestructura de conmutación está bajo estrés, los atacantes pueden capturar material sensible a través del sniffing pasivo de red.
Si una red Ethernet conmutada está configurada correctamente, solo verás tramas de difusión y material destinado a tu dirección MAC.
Se puede, además, capturar paquetes de una máquina remota a través de una sesión SSH con Wireshark como la GUI en tiempo real.
Obviamente.
Puedes usar herramientas como https://github.com/lgandx/PCredz para analizar credenciales de un pcap o de una interfaz en vivo.
La suplantación ARP consiste en enviar ARPResponses gratuitos para indicar que la IP de una máquina tiene la MAC de nuestro dispositivo. Luego, la víctima cambiará la tabla ARP y contactará nuestra máquina cada vez que quiera contactar la IP suplantada.
Desbordar la tabla CAM del switch enviando muchos paquetes con diferentes direcciones MAC de origen. Cuando la tabla CAM está llena, el switch comienza a comportarse como un hub (difundiendo todo el tráfico).
En los conmutadores modernos, esta vulnerabilidad ha sido corregida.
El Dynamic Trunking Protocol (DTP) está diseñado como un protocolo de capa de enlace para facilitar un sistema automático de trunking, permitiendo que los conmutadores seleccionen automáticamente puertos para el modo trunk (Trunk) o modo no trunk. La implementación de DTP a menudo se considera indicativa de un diseño de red subóptimo, subrayando la importancia de configurar manualmente los trunks solo donde sea necesario y asegurando una documentación adecuada.
Por defecto, los puertos de los conmutadores están configurados para operar en modo Dynamic Auto, lo que significa que están listos para iniciar el trunking si son solicitados por un conmutador vecino. Surge una preocupación de seguridad cuando un pentester o atacante se conecta al conmutador y envía un marco DTP Desirable, obligando al puerto a entrar en modo trunk. Esta acción permite al atacante enumerar VLANs a través del análisis de marcos STP y eludir la segmentación de VLAN configurando interfaces virtuales.
La presencia de DTP en muchos conmutadores por defecto puede ser explotada por adversarios para imitar el comportamiento de un conmutador, obteniendo así acceso al tráfico a través de todas las VLANs. El script dtpscan.sh se utiliza para monitorear una interfaz, revelando si un conmutador está en modo Default, Trunk, Dynamic, Auto o Access—siendo este último la única configuración inmune a ataques de VLAN hopping. Esta herramienta evalúa el estado de vulnerabilidad del conmutador.
Si se identifica una vulnerabilidad en la red, se puede emplear la herramienta Yersinia para "habilitar el trunking" a través del protocolo DTP, permitiendo la observación de paquetes de todas las VLANs.
Para enumerar las VLANs, también es posible generar el marco DTP Desirable con el script DTPHijacking.py**. No interrumpa el script bajo ninguna circunstancia. Inyecta DTP Desirable cada tres segundos. Los canales de trunk creados dinámicamente en el switch solo viven durante cinco minutos. Después de cinco minutos, el trunk se desconecta.
Quisiera señalar que Access/Desirable (0x03) indica que el marco DTP es del tipo Desirable, lo que le dice al puerto que cambie al modo Trunk. Y 802.1Q/802.1Q (0xa5) indica el tipo de encapsulación 802.1Q.
Al analizar los marcos STP, aprendemos sobre la existencia de VLAN 30 y VLAN 60.
Una vez que conozcas los IDs de VLAN y los valores de IP, puedes configurar una interfaz virtual para atacar una VLAN específica. Si DHCP no está disponible, entonces usa ifconfig para establecer una dirección IP estática.
El ataque discutido de Dynamic Trunking y la creación de interfaces virtuales para descubrir hosts dentro de otras VLANs se realiza automáticamente con la herramienta: https://github.com/nccgroup/vlan-hopping---frogger
Si un atacante conoce el valor del MAC, IP y VLAN ID del host víctima, podría intentar doble etiquetar un marco con su VLAN designada y la VLAN de la víctima y enviar un paquete. Como la víctima no podrá conectarse de vuelta con el atacante, la mejor opción para el atacante es comunicarse a través de UDP a protocolos que pueden realizar algunas acciones interesantes (como SNMP).
Otra opción para el atacante es lanzar un escaneo de puertos TCP suplantando una IP controlada por el atacante y accesible por la víctima (probablemente a través de internet). Luego, el atacante podría espiar en el segundo host de su propiedad si recibe algunos paquetes de la víctima.
Para realizar este ataque, podrías usar scapy: pip install scapy
Si tienes acceso a un switch al que estás conectado directamente, tienes la capacidad de eludir la segmentación de VLAN dentro de la red. Simplemente cambia el puerto a modo trunk (también conocido como trunk), crea interfaces virtuales con los IDs de las VLANs objetivo y configura una dirección IP. Puedes intentar solicitar la dirección dinámicamente (DHCP) o puedes configurarla estáticamente. Depende del caso.
Lateral VLAN Segmentation BypassEn ciertos entornos, como redes inalámbricas para invitados, se implementan configuraciones de aislamiento de puertos (también conocido como VLAN privada) para evitar que los clientes conectados a un punto de acceso inalámbrico se comuniquen directamente entre sí. Sin embargo, se ha identificado una técnica que puede eludir estas medidas de aislamiento. Esta técnica explota la falta de ACLs de red o su configuración incorrecta, permitiendo que los paquetes IP sean enrutados a través de un router para alcanzar a otro cliente en la misma red.
El ataque se ejecuta creando un paquete que lleva la dirección IP del cliente de destino pero con la dirección MAC del router. Esto provoca que el router reenvíe erróneamente el paquete al cliente objetivo. Este enfoque es similar al utilizado en Ataques de Doble Etiquetado, donde se utiliza la capacidad de controlar un host accesible para la víctima para explotar la vulnerabilidad de seguridad.
Pasos Clave del Ataque:
Creación de un Paquete: Se crea un paquete especialmente para incluir la dirección IP del cliente objetivo pero con la dirección MAC del router.
Explotación del Comportamiento del Router: El paquete creado se envía al router, que, debido a la configuración, redirige el paquete al cliente objetivo, eludiendo el aislamiento proporcionado por las configuraciones de VLAN privada.
VTP (Protocolo de Trunking de VLAN) centraliza la gestión de VLAN. Utiliza números de revisión para mantener la integridad de la base de datos de VLAN; cualquier modificación incrementa este número. Los switches adoptan configuraciones con números de revisión más altos, actualizando sus propias bases de datos de VLAN.
Servidor VTP: Gestiona VLANs—crea, elimina, modifica. Transmite anuncios de VTP a los miembros del dominio.
Cliente VTP: Recibe anuncios de VTP para sincronizar su base de datos de VLAN. Este rol está restringido de modificaciones locales de configuración de VLAN.
Transparente VTP: No participa en actualizaciones de VTP pero reenvía anuncios de VTP. No se ve afectado por ataques de VTP, mantiene un número de revisión constante de cero.
Anuncio Resumen: Transmitido por el servidor VTP cada 300 segundos, llevando información esencial del dominio.
Anuncio de Subconjunto: Enviado tras cambios en la configuración de VLAN.
Solicitud de Anuncio: Emitida por un cliente VTP para solicitar un Anuncio Resumen, típicamente en respuesta a la detección de un número de revisión de configuración más alto.
Las vulnerabilidades de VTP son explotables exclusivamente a través de puertos trunk, ya que los anuncios de VTP circulan únicamente a través de ellos. Los escenarios posteriores a un ataque DTP podrían pivotar hacia VTP. Herramientas como Yersinia pueden facilitar ataques de VTP, con el objetivo de eliminar la base de datos de VLAN, interrumpiendo efectivamente la red.
Nota: Esta discusión se refiere a la versión 1 de VTP (VTPv1).
En el modo gráfico de Yersinia, elige la opción de eliminar todas las VLAN de VTP para purgar la base de datos de VLAN.
Si no puedes capturar tramas BPDU en tus interfaces, es poco probable que tengas éxito en un ataque STP.
Enviando muchos BPDUs TCP (Notificación de Cambio de Topología) o Conf (los BPDUs que se envían cuando se crea la topología), los switches se sobrecargan y dejan de funcionar correctamente.
Cuando se envía un TCP, la tabla CAM de los switches se eliminará en 15s. Luego, si estás enviando continuamente este tipo de paquetes, la tabla CAM se reiniciará continuamente (o cada 15 segundos) y cuando se reinicie, el switch se comporta como un hub.
El atacante simula el comportamiento de un switch para convertirse en la raíz STP de la red. Luego, más datos pasarán a través de él. Esto es interesante cuando estás conectado a dos switches diferentes. Esto se hace enviando paquetes BPDUs CONF diciendo que el valor de prioridad es menor que la prioridad real del switch raíz actual.
Si el atacante está conectado a 2 switches, puede ser la raíz del nuevo árbol y todo el tráfico entre esos switches pasará a través de él (se realizará un ataque MITM).
CISCO Discovery Protocol (CDP) es esencial para la comunicación entre dispositivos CISCO, permitiéndoles identificarse entre sí y compartir detalles de configuración.
CDP está configurado para transmitir información a través de todos los puertos, lo que podría llevar a un riesgo de seguridad. Un atacante, al conectarse a un puerto de switch, podría desplegar sniffers de red como Wireshark, tcpdump o Yersinia. Esta acción puede revelar datos sensibles sobre el dispositivo de red, incluyendo su modelo y la versión de Cisco IOS que ejecuta. El atacante podría entonces apuntar a vulnerabilidades específicas en la versión de Cisco IOS identificada.
Un enfoque más agresivo implica lanzar un ataque de Denial of Service (DoS) al abrumar la memoria del switch, pretendiendo ser dispositivos CISCO legítimos. A continuación se muestra la secuencia de comandos para iniciar tal ataque utilizando Yersinia, una herramienta de red diseñada para pruebas:
Durante este ataque, la CPU del switch y la tabla de vecinos CDP están fuertemente sobrecargadas, lo que lleva a lo que a menudo se denomina “parálisis de red” debido al consumo excesivo de recursos.
Podrías también usar scapy. Asegúrate de instalarlo con el paquete scapy/contrib.
Los teléfonos VoIP, cada vez más integrados con dispositivos IoT, ofrecen funcionalidades como desbloquear puertas o controlar termostatos a través de números de teléfono especiales. Sin embargo, esta integración puede presentar riesgos de seguridad.
La herramienta voiphopper está diseñada para emular un teléfono VoIP en varios entornos (Cisco, Avaya, Nortel, Alcatel-Lucent). Descubre el ID de VLAN de la red de voz utilizando protocolos como CDP, DHCP, LLDP-MED y 802.1Q ARP.
VoIP Hopper ofrece tres modos para el Protocolo de Descubrimiento de Cisco (CDP):
Modo Sniff (-c 0): Analiza paquetes de red para identificar el ID de VLAN.
Modo Spoof (-c 1): Genera paquetes personalizados que imitan los de un dispositivo VoIP real.
Modo Spoof con Paquete Pre-hecho (-c 2): Envía paquetes idénticos a los de un modelo específico de teléfono IP Cisco.
El modo preferido por velocidad es el tercero. Requiere especificar:
La interfaz de red del atacante (-i parámetro).
El nombre del dispositivo VoIP que se está emulando (-E parámetro), siguiendo el formato de nomenclatura de Cisco (por ejemplo, SEP seguido de una dirección MAC).
En entornos corporativos, para imitar un dispositivo VoIP existente, uno podría:
Inspeccionar la etiqueta MAC en el teléfono.
Navegar por la configuración de pantalla del teléfono para ver la información del modelo.
Conectar el dispositivo VoIP a una laptop y observar las solicitudes CDP usando Wireshark.
Un comando de ejemplo para ejecutar la herramienta en el tercer modo sería:
DoS
Dos tipos de DoS se pueden realizar contra servidores DHCP. El primero consiste en simular suficientes hosts falsos para usar todas las direcciones IP posibles. Este ataque funcionará solo si puedes ver las respuestas del servidor DHCP y completar el protocolo (Discover (Comp) --> Offer (servidor) --> Request (Comp) --> ACK (servidor)). Por ejemplo, esto no es posible en redes Wifi.
Otra forma de realizar un DoS de DHCP es enviar un paquete DHCP-RELEASE utilizando como código fuente cada IP posible. Entonces, el servidor pensará que todos han terminado de usar la IP.
Una forma más automática de hacer esto es utilizando la herramienta DHCPing
Podrías usar los ataques DoS mencionados para forzar a los clientes a obtener nuevos arrendamientos dentro del entorno y agotar los servidores legítimos para que se vuelvan inoperantes. Así que cuando los legítimos intenten reconectarse, puedes servir valores maliciosos mencionados en el siguiente ataque.
Se puede configurar un servidor DHCP malicioso utilizando el script DHCP ubicado en /usr/share/responder/DHCP.py. Esto es útil para ataques de red, como capturar tráfico HTTP y credenciales, redirigiendo el tráfico a un servidor malicioso. Sin embargo, establecer una puerta de enlace maliciosa es menos efectivo ya que solo permite capturar tráfico saliente del cliente, perdiendo las respuestas de la puerta de enlace real. En su lugar, se recomienda configurar un servidor DNS o WPAD malicioso para un ataque más efectivo.
A continuación se presentan las opciones de comando para configurar el servidor DHCP malicioso:
Nuestra dirección IP (Anuncio de puerta de enlace): Usa -i 10.0.0.100 para anunciar la IP de tu máquina como la puerta de enlace.
Nombre de dominio DNS local: Opcionalmente, usa -d example.org para establecer un nombre de dominio DNS local.
IP del router/puerta de enlace original: Usa -r 10.0.0.1 para especificar la dirección IP del router o puerta de enlace legítima.
IP del servidor DNS primario: Usa -p 10.0.0.100 para establecer la dirección IP del servidor DNS malicioso que controlas.
IP del servidor DNS secundario: Opcionalmente, usa -s 10.0.0.1 para establecer una IP de servidor DNS secundario.
Máscara de red local: Usa -n 255.255.255.0 para definir la máscara de red para la red local.
Interfaz para tráfico DHCP: Usa -I eth1 para escuchar el tráfico DHCP en una interfaz de red específica.
Dirección de configuración WPAD: Usa -w “http://10.0.0.100/wpad.dat” para establecer la dirección para la configuración WPAD, ayudando en la interceptación de tráfico web.
Suplantar la IP de la puerta de enlace predeterminada: Incluye -S para suplantar la dirección IP de la puerta de enlace predeterminada.
Responder a todas las solicitudes DHCP: Incluye -R para hacer que el servidor responda a todas las solicitudes DHCP, pero ten en cuenta que esto es ruidoso y puede ser detectado.
Al usar correctamente estas opciones, se puede establecer un servidor DHCP malicioso para interceptar el tráfico de red de manera efectiva.
Aquí hay algunas de las tácticas de ataque que se pueden utilizar contra implementaciones de 802.1X:
Fuerza bruta activa de contraseñas a través de EAP
Ataque al servidor RADIUS con contenido EAP malformado **(exploits)
Captura de mensajes EAP y cracking de contraseñas offline (EAP-MD5 y PEAP)
Forzar la autenticación EAP-MD5 para eludir la validación del certificado TLS
Inyectar tráfico de red malicioso al autenticar usando un hub o similar
Si el atacante está entre la víctima y el servidor de autenticación, podría intentar degradar (si es necesario) el protocolo de autenticación a EAP-MD5 y capturar el intento de autenticación. Luego, podría realizar fuerza bruta utilizando:
FHRP (First Hop Redundancy Protocol) es una clase de protocolos de red diseñados para crear un sistema de enrutamiento redundante en caliente. Con FHRP, los enrutadores físicos pueden combinarse en un solo dispositivo lógico, lo que aumenta la tolerancia a fallos y ayuda a distribuir la carga.
Los ingenieros de Cisco Systems han desarrollado dos protocolos FHRP, GLBP y HSRP.
GLBP & HSRP AttacksSe conocen tres versiones del Protocolo de Información de Enrutamiento (RIP): RIP, RIPv2 y RIPng. Los datagramas se envían a los pares a través del puerto 520 utilizando UDP por RIP y RIPv2, mientras que los datagramas se transmiten al puerto UDP 521 a través de multicast IPv6 por RIPng. El soporte para la autenticación MD5 fue introducido por RIPv2. Por otro lado, la autenticación nativa no está incorporada por RIPng; en su lugar, se confía en encabezados opcionales de IPsec AH y ESP dentro de IPv6.
RIP y RIPv2: La comunicación se realiza a través de datagramas UDP en el puerto 520.
RIPng: Utiliza el puerto UDP 521 para transmitir datagramas a través de multicast IPv6.
Tenga en cuenta que RIPv2 admite autenticación MD5 mientras que RIPng no incluye autenticación nativa, confiando en encabezados IPsec AH y ESP en IPv6.
EIGRP (Enhanced Interior Gateway Routing Protocol) es un protocolo de enrutamiento dinámico. Es un protocolo de vector de distancia. Si no hay autenticación y configuración de interfaces pasivas, un intruso puede interferir con el enrutamiento de EIGRP y causar envenenamiento de tablas de enrutamiento. Además, la red EIGRP (en otras palabras, el sistema autónomo) es plana y no tiene segmentación en ninguna zona. Si un atacante inyecta una ruta, es probable que esta ruta se propague por todo el sistema EIGRP autónomo.
Atacar un sistema EIGRP requiere establecer un vecindario con un enrutador EIGRP legítimo, lo que abre muchas posibilidades, desde reconocimiento básico hasta varias inyecciones.
FRRouting le permite implementar un enrutador virtual que admite BGP, OSPF, EIGRP, RIP y otros protocolos. Todo lo que necesita hacer es desplegarlo en el sistema de su atacante y puede pretender ser un enrutador legítimo en el dominio de enrutamiento.
EIGRP AttacksColy tiene capacidades para interceptar transmisiones de EIGRP (Enhanced Interior Gateway Routing Protocol). También permite la inyección de paquetes, que se pueden utilizar para alterar configuraciones de enrutamiento.
En el protocolo Open Shortest Path First (OSPF), la autenticación MD5 se emplea comúnmente para garantizar una comunicación segura entre enrutadores. Sin embargo, esta medida de seguridad puede ser comprometida utilizando herramientas como Loki y John the Ripper. Estas herramientas son capaces de capturar y descifrar hashes MD5, exponiendo la clave de autenticación. Una vez que se obtiene esta clave, se puede utilizar para introducir nueva información de enrutamiento. Para configurar los parámetros de ruta y establecer la clave comprometida, se utilizan las pestañas Injection y Connection, respectivamente.
Capturando y Descifrando Hashes MD5: Herramientas como Loki y John the Ripper se utilizan para este propósito.
Configurando Parámetros de Ruta: Esto se realiza a través de la pestaña Injection.
Estableciendo la Clave Comprometida: La clave se configura en la pestaña Connection.
Above: Herramienta para escanear el tráfico de red y encontrar vulnerabilidades.
Puede encontrar más información sobre ataques de red aquí.
El atacante configura todos los parámetros de red (GW, IP, DNS) del nuevo miembro de la red enviando respuestas DHCP falsas.
Consulta la sección anterior.
ICMP Redirect consiste en enviar un paquete ICMP tipo 1 código 5 que indica que el atacante es la mejor manera de alcanzar una IP. Luego, cuando la víctima quiera contactar la IP, enviará el paquete a través del atacante.
El atacante resolverá algunos (o todos) los dominios que la víctima solicite.
Configurar propio DNS con dnsmasq
A menudo existen múltiples rutas hacia sistemas y redes. Al construir una lista de direcciones MAC dentro de la red local, utiliza gateway-finder.py para identificar hosts que soportan el reenvío de IPv4.
Para la resolución de hosts locales cuando las búsquedas DNS no tienen éxito, los sistemas de Microsoft dependen de Link-Local Multicast Name Resolution (LLMNR) y el NetBIOS Name Service (NBT-NS). De manera similar, Apple Bonjour y las implementaciones de Linux de configuración cero utilizan Multicast DNS (mDNS) para descubrir sistemas dentro de una red. Debido a la naturaleza no autenticada de estos protocolos y su operación sobre UDP, transmitiendo mensajes, pueden ser explotados por atacantes que buscan redirigir a los usuarios a servicios maliciosos.
Puedes suplantar servicios que son buscados por hosts utilizando Responder para enviar respuestas falsas. Lee aquí más información sobre cómo suplantar servicios con Responder.
Los navegadores comúnmente emplean el protocolo Web Proxy Auto-Discovery (WPAD) para adquirir automáticamente configuraciones de proxy. Esto implica obtener detalles de configuración de un servidor, específicamente a través de una URL como "http://wpad.example.org/wpad.dat". El descubrimiento de este servidor por los clientes puede ocurrir a través de varios mecanismos:
A través de DHCP, donde el descubrimiento se facilita utilizando una entrada de código especial 252.
Por DNS, que implica buscar un nombre de host etiquetado como wpad dentro del dominio local.
A través de Microsoft LLMNR y NBT-NS, que son mecanismos de respaldo utilizados en casos donde las búsquedas DNS no tienen éxito.
La herramienta Responder se aprovecha de este protocolo actuando como un servidor WPAD malicioso. Utiliza DHCP, DNS, LLMNR y NBT-NS para engañar a los clientes y hacer que se conecten a él. Para profundizar en cómo se pueden suplantar servicios utilizando Responder consulta esto.
Puedes ofrecer diferentes servicios en la red para intentar engañar a un usuario para que ingrese algunas credenciales en texto plano. Más información sobre este ataque en Spoofing SSDP y Dispositivos UPnP.
Este ataque es muy similar al Spoofing ARP pero en el mundo IPv6. Puedes hacer que la víctima piense que el IPv6 del GW tiene la MAC del atacante.
Algunos sistemas operativos configuran por defecto la puerta de enlace a partir de los paquetes RA enviados en la red. Para declarar al atacante como router IPv6, puedes usar:
Por defecto, algunos sistemas operativos intentan configurar el DNS leyendo un paquete DHCPv6 en la red. Entonces, un atacante podría enviar un paquete DHCPv6 para configurarse a sí mismo como DNS. El DHCP también proporciona una IPv6 a la víctima.
Básicamente, lo que hace este ataque es que, en caso de que el usuario intente acceder a una página HTTP que está redireccionando a la versión HTTPS. sslStrip mantendrá una conexión HTTP con el cliente y una conexión HTTPS con el servidor para que pueda esnifar la conexión en texto plano.
Más información aquí.
La diferencia entre sslStrip+ y dns2proxy contra sslStrip es que redirigirán por ejemplo www.facebook.com a wwww.facebook.com (nota la extra "w") y establecerán la dirección de este dominio como la IP del atacante. De esta manera, el cliente se conectará a wwww.facebook.com (el atacante) pero tras bambalinas sslstrip+ mantendrá la conexión real a través de https con www.facebook.com.
El objetivo de esta técnica es evitar HSTS porque wwww.facebook.com no será guardado en la caché del navegador, por lo que el navegador será engañado para realizar la autenticación de facebook en HTTP. Tenga en cuenta que para realizar este ataque la víctima debe intentar acceder inicialmente a http://www.faceook.com y no a https. Esto se puede hacer modificando los enlaces dentro de una página http.
Más información aquí, aquí y aquí.
sslStrip o sslStrip+ ya no funcionan. Esto se debe a que hay reglas HSTS preguardadas en los navegadores, por lo que incluso si es la primera vez que un usuario accede a un dominio "importante", lo hará a través de HTTPS. Además, tenga en cuenta que las reglas preguardadas y otras reglas generadas pueden usar la bandera includeSubdomains por lo que el wwww.facebook.com ejemplo de antes ya no funcionará ya que facebook.com usa HSTS con includeSubdomains.
TODO: easy-creds, evilgrade, metasploit, factory
A veces, si el cliente verifica que la CA es válida, podrías servir un certificado de otro nombre de host firmado por una CA. Otra prueba interesante es servir un certificado del nombre de host solicitado pero autofirmado.
Otras cosas a probar son intentar firmar el certificado con un certificado válido que no sea una CA válida. O usar la clave pública válida, forzar el uso de un algoritmo como Diffie-Hellman (uno que no necesita descifrar nada con la verdadera clave privada) y cuando el cliente solicite una prueba de la verdadera clave privada (como un hash) enviar una prueba falsa y esperar que el cliente no verifique esto.
Tenga en cuenta que cuando se envía un paquete UDP a un dispositivo que no tiene el puerto solicitado, se envía un ICMP (Puerto Inalcanzable).
Los paquetes ARP se utilizan para descubrir qué IPs se están utilizando dentro de la red. La PC tiene que enviar una solicitud para cada posible dirección IP y solo las que están en uso responderán.
Bettercap envía una solicitud MDNS (cada X ms) pidiendo _services_.dns-sd._udp.local; la máquina que ve este paquete generalmente responde a esta solicitud. Luego, solo busca máquinas que respondan a "services".
Tools
Avahi-browser (--all)
Bettercap (net.probe.mdns)
Responder
Bettercap transmite paquetes al puerto 137/UDP pidiendo el nombre "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".
Bettercap transmite paquetes SSDP buscando todo tipo de servicios (Puerto UDP 1900).
Bettercap transmite paquetes WSD buscando servicios (Puerto UDP 3702).
Network Security Assessment: Know Your Network (3rd edition)
Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things. By Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood
Bug bounty tip: regístrate en Intigriti, una plataforma de recompensas por errores creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
