Tweet
1. Obtendo informações iniciais do alvo com navegadores Web
Visita ao site da empresa em busca de:
- Endereços
- Empresas ou entidades relacionadas
- Notas de fusões e aquisições
- Números de telefone
- Nomes e endereços de correio eletrônico para contato.
- Normas de privacidade ou segurança que indicam o tipo de mecanismo de segurança em uso
- Links para outros servidores Web relacionados
Examinar código-fonte de páginas em busca de comentários. Vasculhar listas de discussão em busca de pedidos de ajuda que revelem senhas padrão, configurações de rede etc.
Examinar bancos de dados sofisticados como Miners ou Altavista. Nesses bancos de dados é possível conhecer outros sites associados ao site principal
Examinar banco de dados públicos como sites da Receita, CVM, SEC (americana), sites de notícias econômicas, etc.
2. Obtendo informações do site com whois
Whois Exibe informações sobre:
- Organizacionais
- Domínio
- Rede
- Ponto de contato
Servidores Whois
Europa Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Ásia Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Militar Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... (EUA)
Governo Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... (EUA)
Brasil Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Cliente Whois, distribuído em qualquer versão de UNIX/Linux, é capaz de
verificar domínios .com,.gov, .org e .edu.
OU diretamente no site Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ou Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
As informações coletadas em pesquisas whois podem trazer informações
relevantes como
- Quem registrou o domínio
- O nome do domínio
- O contato administrativo
- Quando o registro foi atualizado e criado
- Os servidores de nomes
O nome do responsável técnico traz seu telefone, fax, email e endreço, os quais podem ser usados para ataques de engenharia social. Os telefones podem ser usados para discagens de guerra.
Para pesquisas de sites brasileiros, a consulta é a seguinte:
$ whois domínio.com.br@whois.registro.br
Para obter informações sobre o domínio.
Depois executa-se whois sobre o endereço IP do primeiro DNS e se obtém a faixa de endereços IPs atribuídos ao domínio.
$whois 10.10.10.1@whois.registro.br
3. Interrogação de DNS com nslookup e host
O DNS (Domain Name Server) é um serviço para conversão de nomes de domínio, tais como Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e seu endereço IP, exemplo 10.10.10.1, e vice-versa.
O DNS na realidade são sempre, no mínimo, dois computadores (primário mestre, e primário escravo, muitas vezes chamado de primário e secundário). Esses computadores contêm um pequeno banco de dados com informações OFICIAIS sobre seu próprio domínio. A informação se torna oficial porque o endereço IP desses servidores têm de ser registrados na FAPESP, Internic ou outro órgão de registro.
Se alguém deseja informações de conversão (resolução) de nomes para um determinado servidor de um domínio, quer seja ele um servidor web, correio, ftp ou outro, consulta o DNS daquele domínio.
O DNS também armazena na memória RAM do computador as informações relativas a domínios consultados na rede (cache), informações essas obtidas dos DNS oficiais dos domínios consultados.
O servidor DNS secundário contém uma réplica do banco de dados do servidor primário. Quando se altera o banco de dados do primário, há uma transferência dos dados do servidor primário para o servidor secundário. Essa transferência é chamada de transferência de zona.
O problema das transferências de zona é que muitas empresas colocam ali dados sobre suas redes internas. O invasor pode usar o comando nslookup, default em aplicações U*X (Unix/Linux) para executar essas transferências de zona para sua própria máquina.
A solução para esse problema está em definir DNSs separados para a rede interna e a rede externa. Também deve-se barrar qualquer consulta na porta 53 via TCP que venha de fora da rede no firewall, já que as solicitações de transferências de zona são feitas com protocolo TCP e as consultas de nomes, inevitáveis para quem quer se conectar à rede da empresa, são feitas com protocolo UDP.
Usando o comando whois estudado acima, obtém-se o endereço do DNS de um domínio alvo.
Usa-se o comando nslookup da seguinte forma:
nslookup
Este comando abre um prompt interativo indicado pelo sinal “>”. Assim, digita-se:
>server 10.10.10.1
>set type=any
> ls -d dominioalvo.com.br.
Observe que o endereço fictício 10.10.10.1 é o endereço do DNS primário do domínio alvo. O comando server serve para definir este servidor como o default, ou seja, aquele de quem vamos solicitar a transferência de zona. O comando set type=any permite obter todos os registros DNS disponíveis. O
comando ls -d domínioalvo.com.br. lista todos os os registros do domínio.
Observe que depois de dominioalvo.com.br há um ponto final.
Outros comandos que realizam o mesmo trabalho são os comandos:
host -l dominioalvo.com.br
ou
host -l -v -t any dominioalvo.com.br
Para descobrir servidores de correio é só digitar:
host dominioalvo.com.br
A importância deste último comando está em que o servidor de correio
normalmente está na mesma rede do firewall da rede interna.
4. Traçando a rota da rede com traceroute/tracert
O comando traceroute (Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...), tracert no Windows 9X/NT/2K, permite a determinação da rota a partir de uma máquina até seu destino.
A sintaxe padrão é:
traceroute <endereço IP ou nome do destino>
No caso do Windows 9x/NT/2k, esse comando é
tracert <endereço IP ou nome do destino>
O resultado é algo como:
1 a47002.provedor.com.br (10.10.10.2) 160.200 ms 157.133 ms 149.642 ms
2 a01001.sp2.provedor.com.br (10.11.11.1) 149.872 ms 159.742 ms 149.769 ms
3 b13041.provedor.com.br (10.11.12.41) 159.860 ms b13001.provedor.com.br (10.11.12.1) 169.645 ms b13041.provedor.com.br (10.10.10.41) 149.791 ms
4 provedor-A3-3-31-dist04.spo.backbone.net.br (10.10.10.9) 489.654 ms 489.619 ms 480.043 ms
5 provedor-A3-3-31-dist04.spo.backbone.net.br (10.10.10.9) 479.637 ms bb-F1-1-0-acc06.spo.backbone.net.br (10.10.10.73) 499.758 ms 488.718 ms
6 hm31.site-alvo.com.br (10.10.10.101) 489.825 ms 488.736 ms bb-F1-1-0-acc06.spo.backbone.net.br (10.10.10.73) 489.880 ms
O traceroute do Unix/Linux trabalha com pacotes UDP, o tracert trabalha com pacotes ICMP. Para usar pacotes ICMP com traceroute, pode ser usada a opção -I. A porta de conexão do traceroute pode ser escolhida -pela opção -p.
Com este comando é possível tirar conclusões sobre a topologia da rede alvo.
5. Varredura de rede com nmap
Um dos programas mais conhecidos atualmente para levantamento de topologia de rede é o nmap (Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...). Ele permite vasculhar uma rede e identificar todas as máquinas ativas, retornando seus endereços IP. Ele também permite descobrir que portas estão abertas em cada máquina e identificar o sistema operacional. O sistema operacional pode ser identificado devido à natureza aberta das especificações da pilha TCP/IP. Cada implementação da pilha carrega peculiaridades que permitem identificá-la.
Um exemplo de comando nmap para vasculhar a rede é:
# nmap -O -v -v 10.0.0.1-254
Neste caso o nmap vai varrer todas as máquinas com endereços de 10.0.0.1 a 10.0.0.254, identificar que portas estão abertas, seu estado (ouvindo, por exemplo) e apresentar o sistema operacional provável.
O nmap também tem recursos avançados para realizar varreduras de modo furtivo para que o alvo não detecte está sofrendo uma varredura de portas.
6 Consultas de hora e máscara de sub-rede com ICMP
Varreduras de ping são apenas um dos recursos para obtenção de informações sobre a rede. Um programa chamado icmpquery (Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...) é capaz de solicitar a hora do servidor e a máscara de sub-rede baseado em mensagens do protocolo ICMP
icmpquery -t <endereço IP ou nome do alvo>
ou
icmpquery -m <endereço IP ou nome do alvo>
Com a hora é possível determinar em que fuso horário está o servidor, o que pode dar dicas de sua localização física. Com a máscara de sub-rede é possível determinar se há outras sub-redes a serem exploradas.
7 Consultas sobre domínios NT com o comando net e nbtstat
No Windows há uma série de ferramentas que vêm padrão na instalação. O comando net traz uma série de opções que permitem conhecer recursos compartilhados na rede (discos e impressoras, por exemplo), usuários, grupos de trabalho, aplicativos e “banners”.
O comando
net view /domain
exibe os domínios de uma rede.
O comando
net view /domain:<nome de um domínio>
apresenta as máquinas sob aquele domínio. Também é possível usar os endereços IP adquiridos na consulta com varreduras de ping vistas anteriormente (com o nmap, por exemplo).
O comando
net view \<nome de uma máquina>
exibe os recursos compartilhados em uma determinada máquina via NetBIOS.
O comando
nbtstat -A <endereço IP da máquina NT>
Exibe os usuários e grupos conectados a uma determinada máquina via NetBIOS
8 Consulta de “banners” com telnet
Um aplicativo muito útil para ver “banners” (pequenos avisos devolvidos pelos servidores em função de uma ação de tentativa de conexão, por exemplo) é o Telnet.
O Telnet pode ser usado para uma infinidade de serviços, por exemplo para saber o tipo de servidor HTTP usado:
telnet <endereço IP ou nome do domínio> 80
Observe que o número colocado depois do nome do domínio após um espaço é o número da porta do serviço (HTTP normalmente é 80).
A pressionar algumas vezes a tecla enter, o servidor responderá com respostas tais como
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Fri, 03 Nov 2000 17:53:29 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body></html>Connection closed by foreign host.
ou
<!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”>
<HTML><HEAD>
<TITLE>501 Method Not Implemented</TITLE>
</HEAD><BODY>
<H1>Method Not Implemented</H1>
to /index.html not supported.<P>
Invalid method in request <P>
<HR>
<ADDRESS>Apache/1.3.12 Server at servidor.dominioalvo.com.br Port 80</ADDRESS>
</BODY></HTML>
Connection closed by foreign host.
Essas informações são usadas pelo invasor potencial para definir o tipo de ataque, já que se sabe agora o tipo de servidor e sua versão (o que pode indicar as possíveis vulnerabildiades
Usando a porta 25 (smtp) para envio de correio, pode-se obter também o tipo de servidor de correio e sua versão.
Os fabricantes normalmente definem como desativar tais banners para que o invasor em potencial tenha o mínimo de informações possíveis sobre sua rede.
9 Consulta de recursos compartilhados em rede UNIX usando showmout
NFS (Network File System) é um protocolo de compartilhamento de disco em redes locais usado por sistemas operacionais tipo UNIX. Caso se tenha detectado que a porta 2049 esteja aberta (indicando a possível presença do serviço NFS ativado) pode-se digitar o comando:
showmount -e <endereço do alvo>
para obter uma resposta tal como mostrado abaixo:
export list for <endereço do alvo>
/pub (everyone)
/var (everyone)
/usr user
Esta informação apresenta os volumes compartilhados e as permissões de acesso.
A característica permissiva inerente do serviço NFS impede que estas informações deixem de ser mostradas. No entanto, o controle de quem acessa a máquina pode ser feito com um firewall bem configurado.
10 Consulta de SNMP com comando snmpwalk
A maioria dos pacotes de sistemas operacionais baseados em UNIX oferecem a ferramenta snmpwalk para controle remoto de configuração de dispositivos via rede usando SNMP.
11 Consulta de informações de usuários e grupos com finger
Finger é uma ferramenta clássica que mostra informações de usuários cadastrados em uma determinada máquina.
Finger pode apresentar informações como as abaixo
finger -l @<endereço IP da máquina alvo>
[endereço IP]
Login: Fulano Name:
Directory: /home/Fulano Shell: /bin/bash
On since Thu Nov 9 20:35 (EDT) on tty1 2 hours 21 minutes idle
No mail.
No Plan.
Este tipo de ataque pode ser usado para aplicar engenharia social, que se vale de habilidades sociais do invasor e da ingenuidade das pessoas para convencê-las a praticar (sem elas saberem) atitudes que comprometam a segurança.
Outros comandos como who, users, rwho, rusers são variantes como o mesmo fim.
O ideal é desabilitar esses serviços ou, melhor ainda, retirar esses programas do sistema operacional.
12 Uso do Telnet para consulta de usuários em servidores de correio eletrônico
Para enviar e-mail usando Telnet é necessário saber o nome do servidor de correio ou seu endereço IP. Normalmente um servidor de correio espera conexões na porta 25.
Portanto se o nome do servidor de correio é, por exemplo, smtp.qualquerdominio.com.br, ou seu endereço IP é 300.200.100.50, então os comandos deverão ser apresentados da seguinte maneira:
telnet smtp.qualquerdominio.com.br 25
ou
telnet 300.200.100.50 25
Quando o servidor responder, dê o seguinte comando
helo smtp.qualquerdominio.com.br
A resposta será algo do tipo terá algumas informações mais a mensagem
Pleased to meet you
Ou algo parecido.
Digite então
mail from: seunome@seudominio
Depois:
rcpt to: nomedodestinatario@dominio-do-destinatario
Por fim:
data
E depois escreva o cabeçalho e o conteúdo da mensagem separados por uma linha em branco
To: Fulano de Tal <nomedodestinatario@dominio-do-destinatario>
From: Cicrano <seunome@seudominio>
Subject: Pagode na casa do gago
Fulano,
Amanhã vamos ter um pagode na casa do gago.
Não se esqueça de levar a caipirinha.
Abraços.
Cicrano.
.
Observe que a mensagem terminou com um ponto sozinho na última linha. É assim que o servidor de correio descobre que a mensagem acabou. Você pode enviar mais uma mensagem usando os comandos acima ou terminar a conexão digitando o comando
quit
Esses comandos podem ser usados para enviar uma mensagem legítima ou SPAMs. O comando vrfy, por exemplo, pode ser usado para confirmar a presença de um usuário específico.
O comando expn pode ser usado para descobrir se há um alias para usuários default como root por exemplo ou usuários reais de listas de distribuição de correio.
Esses comandos podem ser usados para envio de correios forjados para os mais diversos objetivos, desde SPAMs até disseminação de vírus via correio eletrônico.
Visita ao site da empresa em busca de:
- Endereços
- Empresas ou entidades relacionadas
- Notas de fusões e aquisições
- Números de telefone
- Nomes e endereços de correio eletrônico para contato.
- Normas de privacidade ou segurança que indicam o tipo de mecanismo de segurança em uso
- Links para outros servidores Web relacionados
Examinar código-fonte de páginas em busca de comentários. Vasculhar listas de discussão em busca de pedidos de ajuda que revelem senhas padrão, configurações de rede etc.
Examinar bancos de dados sofisticados como Miners ou Altavista. Nesses bancos de dados é possível conhecer outros sites associados ao site principal
Examinar banco de dados públicos como sites da Receita, CVM, SEC (americana), sites de notícias econômicas, etc.
2. Obtendo informações do site com whois
Whois Exibe informações sobre:
- Organizacionais
- Domínio
- Rede
- Ponto de contato
Servidores Whois
Europa Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Ásia Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Militar Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... (EUA)
Governo Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... (EUA)
Brasil Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Cliente Whois, distribuído em qualquer versão de UNIX/Linux, é capaz de
verificar domínios .com,.gov, .org e .edu.
OU diretamente no site Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ou Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
As informações coletadas em pesquisas whois podem trazer informações
relevantes como
- Quem registrou o domínio
- O nome do domínio
- O contato administrativo
- Quando o registro foi atualizado e criado
- Os servidores de nomes
O nome do responsável técnico traz seu telefone, fax, email e endreço, os quais podem ser usados para ataques de engenharia social. Os telefones podem ser usados para discagens de guerra.
Para pesquisas de sites brasileiros, a consulta é a seguinte:
$ whois domínio.com.br@whois.registro.br
Para obter informações sobre o domínio.
Depois executa-se whois sobre o endereço IP do primeiro DNS e se obtém a faixa de endereços IPs atribuídos ao domínio.
$whois 10.10.10.1@whois.registro.br
3. Interrogação de DNS com nslookup e host
O DNS (Domain Name Server) é um serviço para conversão de nomes de domínio, tais como Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e seu endereço IP, exemplo 10.10.10.1, e vice-versa.
O DNS na realidade são sempre, no mínimo, dois computadores (primário mestre, e primário escravo, muitas vezes chamado de primário e secundário). Esses computadores contêm um pequeno banco de dados com informações OFICIAIS sobre seu próprio domínio. A informação se torna oficial porque o endereço IP desses servidores têm de ser registrados na FAPESP, Internic ou outro órgão de registro.
Se alguém deseja informações de conversão (resolução) de nomes para um determinado servidor de um domínio, quer seja ele um servidor web, correio, ftp ou outro, consulta o DNS daquele domínio.
O DNS também armazena na memória RAM do computador as informações relativas a domínios consultados na rede (cache), informações essas obtidas dos DNS oficiais dos domínios consultados.
O servidor DNS secundário contém uma réplica do banco de dados do servidor primário. Quando se altera o banco de dados do primário, há uma transferência dos dados do servidor primário para o servidor secundário. Essa transferência é chamada de transferência de zona.
O problema das transferências de zona é que muitas empresas colocam ali dados sobre suas redes internas. O invasor pode usar o comando nslookup, default em aplicações U*X (Unix/Linux) para executar essas transferências de zona para sua própria máquina.
A solução para esse problema está em definir DNSs separados para a rede interna e a rede externa. Também deve-se barrar qualquer consulta na porta 53 via TCP que venha de fora da rede no firewall, já que as solicitações de transferências de zona são feitas com protocolo TCP e as consultas de nomes, inevitáveis para quem quer se conectar à rede da empresa, são feitas com protocolo UDP.
Usando o comando whois estudado acima, obtém-se o endereço do DNS de um domínio alvo.
Usa-se o comando nslookup da seguinte forma:
nslookup
Este comando abre um prompt interativo indicado pelo sinal “>”. Assim, digita-se:
>server 10.10.10.1
>set type=any
> ls -d dominioalvo.com.br.
Observe que o endereço fictício 10.10.10.1 é o endereço do DNS primário do domínio alvo. O comando server serve para definir este servidor como o default, ou seja, aquele de quem vamos solicitar a transferência de zona. O comando set type=any permite obter todos os registros DNS disponíveis. O
comando ls -d domínioalvo.com.br. lista todos os os registros do domínio.
Observe que depois de dominioalvo.com.br há um ponto final.
Outros comandos que realizam o mesmo trabalho são os comandos:
host -l dominioalvo.com.br
ou
host -l -v -t any dominioalvo.com.br
Para descobrir servidores de correio é só digitar:
host dominioalvo.com.br
A importância deste último comando está em que o servidor de correio
normalmente está na mesma rede do firewall da rede interna.
4. Traçando a rota da rede com traceroute/tracert
O comando traceroute (Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...), tracert no Windows 9X/NT/2K, permite a determinação da rota a partir de uma máquina até seu destino.
A sintaxe padrão é:
traceroute <endereço IP ou nome do destino>
No caso do Windows 9x/NT/2k, esse comando é
tracert <endereço IP ou nome do destino>
O resultado é algo como:
1 a47002.provedor.com.br (10.10.10.2) 160.200 ms 157.133 ms 149.642 ms
2 a01001.sp2.provedor.com.br (10.11.11.1) 149.872 ms 159.742 ms 149.769 ms
3 b13041.provedor.com.br (10.11.12.41) 159.860 ms b13001.provedor.com.br (10.11.12.1) 169.645 ms b13041.provedor.com.br (10.10.10.41) 149.791 ms
4 provedor-A3-3-31-dist04.spo.backbone.net.br (10.10.10.9) 489.654 ms 489.619 ms 480.043 ms
5 provedor-A3-3-31-dist04.spo.backbone.net.br (10.10.10.9) 479.637 ms bb-F1-1-0-acc06.spo.backbone.net.br (10.10.10.73) 499.758 ms 488.718 ms
6 hm31.site-alvo.com.br (10.10.10.101) 489.825 ms 488.736 ms bb-F1-1-0-acc06.spo.backbone.net.br (10.10.10.73) 489.880 ms
O traceroute do Unix/Linux trabalha com pacotes UDP, o tracert trabalha com pacotes ICMP. Para usar pacotes ICMP com traceroute, pode ser usada a opção -I. A porta de conexão do traceroute pode ser escolhida -pela opção -p.
Com este comando é possível tirar conclusões sobre a topologia da rede alvo.
5. Varredura de rede com nmap
Um dos programas mais conhecidos atualmente para levantamento de topologia de rede é o nmap (Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...). Ele permite vasculhar uma rede e identificar todas as máquinas ativas, retornando seus endereços IP. Ele também permite descobrir que portas estão abertas em cada máquina e identificar o sistema operacional. O sistema operacional pode ser identificado devido à natureza aberta das especificações da pilha TCP/IP. Cada implementação da pilha carrega peculiaridades que permitem identificá-la.
Um exemplo de comando nmap para vasculhar a rede é:
# nmap -O -v -v 10.0.0.1-254
Neste caso o nmap vai varrer todas as máquinas com endereços de 10.0.0.1 a 10.0.0.254, identificar que portas estão abertas, seu estado (ouvindo, por exemplo) e apresentar o sistema operacional provável.
O nmap também tem recursos avançados para realizar varreduras de modo furtivo para que o alvo não detecte está sofrendo uma varredura de portas.
6 Consultas de hora e máscara de sub-rede com ICMP
Varreduras de ping são apenas um dos recursos para obtenção de informações sobre a rede. Um programa chamado icmpquery (Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...) é capaz de solicitar a hora do servidor e a máscara de sub-rede baseado em mensagens do protocolo ICMP
icmpquery -t <endereço IP ou nome do alvo>
ou
icmpquery -m <endereço IP ou nome do alvo>
Com a hora é possível determinar em que fuso horário está o servidor, o que pode dar dicas de sua localização física. Com a máscara de sub-rede é possível determinar se há outras sub-redes a serem exploradas.
7 Consultas sobre domínios NT com o comando net e nbtstat
No Windows há uma série de ferramentas que vêm padrão na instalação. O comando net traz uma série de opções que permitem conhecer recursos compartilhados na rede (discos e impressoras, por exemplo), usuários, grupos de trabalho, aplicativos e “banners”.
O comando
net view /domain
exibe os domínios de uma rede.
O comando
net view /domain:<nome de um domínio>
apresenta as máquinas sob aquele domínio. Também é possível usar os endereços IP adquiridos na consulta com varreduras de ping vistas anteriormente (com o nmap, por exemplo).
O comando
net view \<nome de uma máquina>
exibe os recursos compartilhados em uma determinada máquina via NetBIOS.
O comando
nbtstat -A <endereço IP da máquina NT>
Exibe os usuários e grupos conectados a uma determinada máquina via NetBIOS
8 Consulta de “banners” com telnet
Um aplicativo muito útil para ver “banners” (pequenos avisos devolvidos pelos servidores em função de uma ação de tentativa de conexão, por exemplo) é o Telnet.
O Telnet pode ser usado para uma infinidade de serviços, por exemplo para saber o tipo de servidor HTTP usado:
telnet <endereço IP ou nome do domínio> 80
Observe que o número colocado depois do nome do domínio após um espaço é o número da porta do serviço (HTTP normalmente é 80).
A pressionar algumas vezes a tecla enter, o servidor responderá com respostas tais como
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Fri, 03 Nov 2000 17:53:29 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body></html>Connection closed by foreign host.
ou
<!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”>
<HTML><HEAD>
<TITLE>501 Method Not Implemented</TITLE>
</HEAD><BODY>
<H1>Method Not Implemented</H1>
to /index.html not supported.<P>
Invalid method in request <P>
<HR>
<ADDRESS>Apache/1.3.12 Server at servidor.dominioalvo.com.br Port 80</ADDRESS>
</BODY></HTML>
Connection closed by foreign host.
Essas informações são usadas pelo invasor potencial para definir o tipo de ataque, já que se sabe agora o tipo de servidor e sua versão (o que pode indicar as possíveis vulnerabildiades
Usando a porta 25 (smtp) para envio de correio, pode-se obter também o tipo de servidor de correio e sua versão.
Os fabricantes normalmente definem como desativar tais banners para que o invasor em potencial tenha o mínimo de informações possíveis sobre sua rede.
9 Consulta de recursos compartilhados em rede UNIX usando showmout
NFS (Network File System) é um protocolo de compartilhamento de disco em redes locais usado por sistemas operacionais tipo UNIX. Caso se tenha detectado que a porta 2049 esteja aberta (indicando a possível presença do serviço NFS ativado) pode-se digitar o comando:
showmount -e <endereço do alvo>
para obter uma resposta tal como mostrado abaixo:
export list for <endereço do alvo>
/pub (everyone)
/var (everyone)
/usr user
Esta informação apresenta os volumes compartilhados e as permissões de acesso.
A característica permissiva inerente do serviço NFS impede que estas informações deixem de ser mostradas. No entanto, o controle de quem acessa a máquina pode ser feito com um firewall bem configurado.
10 Consulta de SNMP com comando snmpwalk
A maioria dos pacotes de sistemas operacionais baseados em UNIX oferecem a ferramenta snmpwalk para controle remoto de configuração de dispositivos via rede usando SNMP.
11 Consulta de informações de usuários e grupos com finger
Finger é uma ferramenta clássica que mostra informações de usuários cadastrados em uma determinada máquina.
Finger pode apresentar informações como as abaixo
finger -l @<endereço IP da máquina alvo>
[endereço IP]
Login: Fulano Name:
Directory: /home/Fulano Shell: /bin/bash
On since Thu Nov 9 20:35 (EDT) on tty1 2 hours 21 minutes idle
No mail.
No Plan.
Este tipo de ataque pode ser usado para aplicar engenharia social, que se vale de habilidades sociais do invasor e da ingenuidade das pessoas para convencê-las a praticar (sem elas saberem) atitudes que comprometam a segurança.
Outros comandos como who, users, rwho, rusers são variantes como o mesmo fim.
O ideal é desabilitar esses serviços ou, melhor ainda, retirar esses programas do sistema operacional.
12 Uso do Telnet para consulta de usuários em servidores de correio eletrônico
Para enviar e-mail usando Telnet é necessário saber o nome do servidor de correio ou seu endereço IP. Normalmente um servidor de correio espera conexões na porta 25.
Portanto se o nome do servidor de correio é, por exemplo, smtp.qualquerdominio.com.br, ou seu endereço IP é 300.200.100.50, então os comandos deverão ser apresentados da seguinte maneira:
telnet smtp.qualquerdominio.com.br 25
ou
telnet 300.200.100.50 25
Quando o servidor responder, dê o seguinte comando
helo smtp.qualquerdominio.com.br
A resposta será algo do tipo terá algumas informações mais a mensagem
Pleased to meet you
Ou algo parecido.
Digite então
mail from: seunome@seudominio
Depois:
rcpt to: nomedodestinatario@dominio-do-destinatario
Por fim:
data
E depois escreva o cabeçalho e o conteúdo da mensagem separados por uma linha em branco
To: Fulano de Tal <nomedodestinatario@dominio-do-destinatario>
From: Cicrano <seunome@seudominio>
Subject: Pagode na casa do gago
Fulano,
Amanhã vamos ter um pagode na casa do gago.
Não se esqueça de levar a caipirinha.
Abraços.
Cicrano.
.
Observe que a mensagem terminou com um ponto sozinho na última linha. É assim que o servidor de correio descobre que a mensagem acabou. Você pode enviar mais uma mensagem usando os comandos acima ou terminar a conexão digitando o comando
quit
Esses comandos podem ser usados para enviar uma mensagem legítima ou SPAMs. O comando vrfy, por exemplo, pode ser usado para confirmar a presença de um usuário específico.
O comando expn pode ser usado para descobrir se há um alias para usuários default como root por exemplo ou usuários reais de listas de distribuição de correio.
Esses comandos podem ser usados para envio de correios forjados para os mais diversos objetivos, desde SPAMs até disseminação de vírus via correio eletrônico.
Comment