Enumerar los Servicios de De-ICE S1.100
Luego de haber descubierto los puertos TCP y UDP en estado abierto o cerrado del objetivo en evaluación, el siguiente procedimiento implica enumerar cada servicio, tratando de obtener información más detallada como nombres de usuarios, acceso hacia recursos mal configurados, información sobre algún servicio desconocido, nombres de programas y versiones vulnerables, entre otra gran cantidad de información.
De los ocho puertos TCP reportados por la herramienta Nmap, séis de ellos se encuentran en estado abierto, y dos de ellos están en estado cerrado. El único puerto UDP encontrado está en estado abierto.
Puerto TCP 21
Según la información obtenida por Nmap se detecta un servidor vsftpd, aunque no se puede identificar su versión exacta. Al establecer una conexión utilizando un cliente ftp se muestra un mensaje el cual versa sobre la imposibilidad de enlazar un socket en atención IPv4. Este mensaje es altamente probable sea debido a un error en la configuración.
# ftp 192.168.0.10
Aún obteniendo este mensaje de error se procede a ejecutar todos los scripts NSE incluidos en nmap pertinentes al servicio ftp. No obteniéndose algún resultado adicional.
# nmap -n -Pn -p21 --script ftp* 192.168.0.100
Puerto TCP 22
Según la información obtenida por Nmap se detecta un servidor ssh OpenSSH 4.3 (protocol 1.99). Lo cual se verifica estableciendo una sesión manual utilizando un cliente ssh.
# ssh -v -lroot 192.168.0.100
Se procede a ejecutar todos los scripts NSE incluidos en Nmap pertinentes al servicio ssh. Obteniéndose información adicional relevante, como la huella de las llaves del servidor ssh. También se obtiene el número de algoritmos (para cifrado, compresión, etc.) ofrecidos por el servidor objetivo ssh 2. También se verifica el hecho del servidor ssh soporta un protocolo obsoleto y menos seguro, como es la versión 1.
# nmap -n -Pn -p22 --script ssh* 192.168.0.100
Puerto TCP 25
Según la información obtenida por Nmap se detecta un servidor smtp Sendmail 8.13.7/8.13.7. Lo cual se verifica estableciendo una sesión manual utilizando la herramienta netcat.
El servidor smtp soporta ciertos métodos; como EXPN, RCPT o VRFY; los cuales pueden ser utilizados para enumerar usuarios válidos.
Para este propósito es factible utilizar la herramienta smtp-user-enum, utilizando el método RCPT y una lista genérica de usuarios para sistemas Unix, la cual se incluye por defecto en la herramienta Metasploit Framework. Mediante este método se enumeran 19 usuarios válidos en el sistema objetivo.
# smtp-user-enum -m 1 -M RCPT -U /usr/share/metasploit-framework/data/wordlists/unix_users.txt -t 192.168.0.100
Se procede a ejecutar todos los scripts NSE incluidos en Nmap pertinentes al servicio smtp. Obteniéndose información sobre los comandos extendidos soportados por el servidor smtp. Adicionalmente se intenta retransmitir correo mediante la utilización de una combinación predefinida de comandos SMTP. El objetivo es verificar si el servidor smtp es un vulnerable a la retransmisión de correo.
# nmap -n -Pn -p25 --script smtp* 192.168.0.100
Puerto TCP 110
Según la información obtenida por Nmap se detecta un servidor pop Openwall popa3d. Esto no puede ser verificado únicamente estableciendo una sesión manual utilizando la herramienta netcat.
# nc -n -vv 192.168.0.100 110
Se procede a ejecutar todos los scripts NSE incluidos en Nmap pertinentes al servicio pop3. No obteniéndose tampoco información relevante adicional.
# nmap -n -Pn -p110 --script pop* 192.168.0.100
Puerto TCP 143
Según la información obtenida por Nmap se detecta un servidor imap UW imapd 2004.357. Lo cual se verifica estableciendo una sesión manual utilizando la herramienta netcat.
# nc -n -vv 192.168.0.100 143
Se procede a ejecutar todos los scripts NSE incluidos en Nmap pertinentes al servicio imap. Obteniéndose información sobre las capacidades del servidor de correo IMAP. El comando CAPABILITY permite a un cliente consultar al servidor cuales comandos soporta y posiblemente cualquier política especifica del sitio.
# nmap -n -Pn -p143 --script imap* 192.168.0.100
El puerto TCP 80 requiere una evaluación y análisis particular. Razón por la cual se detallará este proceso en otra publicación.
Los scripts NSE de Nmap utilizados han sido ejecutados con su configuración por defecto, de hecho es factible configurar algunos de ellos; como por ejemplo los realizando ataques por fuerza bruta; para optimizar su capacidad de obtener información relevante para nuestra evaluación.
Fuentes:
http://www.reydes.com/d/?q=Escaneo_de_Puertos_Versiones_y_Sistema_Operat...
https://wiki.archlinux.org/index.php/Very_Secure_FTP_Daemon
http://www.basicconfig.com/linuxnetwork/ftp_server
https://nmap.org/nsedoc/scripts/ssh-hostkey.html
https://nmap.org/nsedoc/scripts/ssh2-enum-algos.html
https://nmap.org/nsedoc/scripts/sshv1.html
https://tools.ietf.org/html/rfc821
http://pentestmonkey.net/tools/user-enumeration/smtp-user-enum
https://nmap.org/nsedoc/scripts/smtp-commands.html
https://nmap.org/nsedoc/scripts/smtp-open-relay.html
https://nmap.org/nsedoc/scripts/imap-capabilities.html
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero