Enumerar los Servicios de De-ICE S1.100

  • Posted on: 2 June 2016
  • By: ReYDeS

Luego de haber descubierto los puertos TCP y UDP en estado abierto o cerrado del objetivo en evaluación, el siguiente procedimiento implica enumerar cada servicio, tratando de obtener información más detallada como nombres de usuarios, acceso hacia recursos mal configurados, información sobre algún servicio desconocido, nombres de programas y versiones vulnerables, entre otra gran cantidad de información.

De los ocho puertos TCP reportados por la herramienta Nmap, séis de ellos se encuentran en estado abierto, y dos de ellos están en estado cerrado. El único puerto UDP encontrado está en estado abierto.

Puerto TCP 21

Según la información obtenida por Nmap se detecta un servidor vsftpd, aunque no se puede identificar su versión exacta. Al establecer una conexión utilizando un cliente ftp se muestra un mensaje el cual versa sobre la imposibilidad de enlazar un socket en atención IPv4. Este mensaje es altamente probable sea debido a un error en la configuración.

# ftp 192.168.0.10

Aún obteniendo este mensaje de error se procede a ejecutar todos los scripts NSE incluidos en nmap pertinentes al servicio ftp. No obteniéndose algún resultado adicional.

# nmap -n -Pn -p21 --script ftp* 192.168.0.100

Puerto TCP 22

Según la información obtenida por Nmap se detecta un servidor ssh OpenSSH 4.3 (protocol 1.99). Lo cual se verifica estableciendo una sesión manual utilizando un cliente ssh.

# ssh -v -lroot 192.168.0.100

Se procede a ejecutar todos los scripts NSE incluidos en Nmap pertinentes al servicio ssh. Obteniéndose información adicional relevante, como la huella de las llaves del servidor ssh. También se obtiene el número de algoritmos (para cifrado, compresión, etc.) ofrecidos por el servidor objetivo ssh 2. También se verifica el hecho del servidor ssh soporta un protocolo obsoleto y menos seguro, como es la versión 1.

# nmap -n -Pn -p22 --script ssh* 192.168.0.100

Puerto TCP 25

Según la información obtenida por Nmap se detecta un servidor smtp Sendmail 8.13.7/8.13.7. Lo cual se verifica estableciendo una sesión manual utilizando la herramienta netcat.


El servidor smtp soporta ciertos métodos; como EXPN, RCPT o VRFY; los cuales pueden ser utilizados para enumerar usuarios válidos.

Para este propósito es factible utilizar la herramienta smtp-user-enum, utilizando el método RCPT y una lista genérica de usuarios para sistemas Unix, la cual se incluye por defecto en la herramienta Metasploit Framework. Mediante este método se enumeran 19 usuarios válidos en el sistema objetivo.

# smtp-user-enum -m 1 -M RCPT -U /usr/share/metasploit-framework/data/wordlists/unix_users.txt -t 192.168.0.100

Se procede a ejecutar todos los scripts NSE incluidos en Nmap pertinentes al servicio smtp. Obteniéndose información sobre los comandos extendidos soportados por el servidor smtp. Adicionalmente se intenta retransmitir correo mediante la utilización de una combinación predefinida de comandos SMTP. El objetivo es verificar si el servidor smtp es un vulnerable a la retransmisión de correo.

# nmap -n -Pn -p25 --script smtp* 192.168.0.100

Puerto TCP 110

Según la información obtenida por Nmap se detecta un servidor pop Openwall popa3d. Esto no puede ser verificado únicamente estableciendo una sesión manual utilizando la herramienta netcat.

# nc -n -vv 192.168.0.100 110

Se procede a ejecutar todos los scripts NSE incluidos en Nmap pertinentes al servicio pop3. No obteniéndose tampoco información relevante adicional.

# nmap -n -Pn -p110 --script pop* 192.168.0.100

Puerto TCP 143

Según la información obtenida por Nmap se detecta un servidor imap UW imapd 2004.357. Lo cual se verifica estableciendo una sesión manual utilizando la herramienta netcat.

# nc -n -vv 192.168.0.100 143

Se procede a ejecutar todos los scripts NSE incluidos en Nmap pertinentes al servicio imap. Obteniéndose información sobre las capacidades del servidor de correo IMAP. El comando CAPABILITY permite a un cliente consultar al servidor cuales comandos soporta y posiblemente cualquier política especifica del sitio.

# nmap -n -Pn -p143 --script imap* 192.168.0.100

El puerto TCP 80 requiere una evaluación y análisis particular. Razón por la cual se detallará este proceso en otra publicación.

Los scripts NSE de Nmap utilizados han sido ejecutados con su configuración por defecto, de hecho es factible configurar algunos de ellos; como por ejemplo los realizando ataques por fuerza bruta; para optimizar su capacidad de obtener información relevante para nuestra evaluación.

Fuentes:

http://www.reydes.com/d/?q=Escaneo_de_Puertos_Versiones_y_Sistema_Operat...
https://wiki.archlinux.org/index.php/Very_Secure_FTP_Daemon
http://www.basicconfig.com/linuxnetwork/ftp_server
https://nmap.org/nsedoc/scripts/ssh-hostkey.html
https://nmap.org/nsedoc/scripts/ssh2-enum-algos.html
https://nmap.org/nsedoc/scripts/sshv1.html
https://tools.ietf.org/html/rfc821
http://pentestmonkey.net/tools/user-enumeration/smtp-user-enum
https://nmap.org/nsedoc/scripts/smtp-commands.html
https://nmap.org/nsedoc/scripts/smtp-open-relay.html
https://nmap.org/nsedoc/scripts/imap-capabilities.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete