Técnicas de escaneo de puertos


[ Introducción ]
En este texto vamos a ver distintas técnicas con las que podemos buscar información sobre un host, y luego de que forma podemos aprovechar la información obtenida. Nos concentraremos mas que nada en el escaneo de puertos y en las técnicas existentes para identificar que sistema operativo corre nuestra victima. 

Muchas veces recibí mails diciendo cosas como "ayúdame a hackear pirulo.com, ya le hice un escaneo de puertos pero ahora no se que hacer". Esto es algo muy común, muchos al fijar los ojos en una víctima lo primero que hacen es un port scanning, pero cuantos mas allá de la simple teoría conocen las diferentes técnicas de escaneo, y mucho mas importante que hacer con la información obtenida. 

Con este texto intento que no solo sepamos que hacen muchos de los métodos que utilizamos, sino también como funcionan, porque al saber como funcionan comprenderemos mejor lo que estamos haciendo y aprovecharemos mas la información obtenida. 

Bueno, como siempre espero que disfruten tanto en leer este texto como yo en escribirlo.

[ Breve teoría de TCP ]
No es el objetivo de este texto explicar como funciona el protocolo TCP, pero dado que a medida que avancemos con la lectura se nos van a presentar términos y conceptos referidos mas que nada a este protocolo, decidí hacer una breve introducción a la teoría del TCP, y a lo que mas nos interesa saber para este texto. Al que le interese saber mas sobre el TCP o el TCP/IP que busque en el respectivo RFC. 

El TCP es un protocolo que generalmente se usa con otros, o es mas conocido como TCP/IP; quiero aclarar que el TCP/IP es una suite de protocolos y no un solo protocolo como se cree comúnmente, esto quiere decir que dentro del TCP/IP tenemos muchos protocolos pero se lo conoce así por ser estos dos los mas representativos. 

El protocolo TCP es un servicio de comunicación que forma un circuito, o lo que podríamos llamar una conexión. A diferencia de otros programas que usan UDP, con el TCP tenemos un servicio de conexión entre los programas llamados y los que llaman, chequeo de errores, control de flujo y capacidad de interrupción. Por todo esto es que se dice que el TCP es un protocolo orientado a la conexión. 

A continuación veremos como es el segmento TCP, ya que esto es lo que mas usaremos al ver escaneo de puertos y fingerprinting.

Formato del segmento TCP:
El segmento TCP consiste en una cabecera y datos. A continuación veremos una descripción de los campos del segmento TCP: 

Ventana (Window): este campo contiene un entero de 32 bits. Se utiliza para indicar el tamaño de buffer disponible que tiene el emisor para recibir datos.  

Opciones (Options): este campo permite que una aplicación negocie durante la configuración de la conexión características como el tamaño máximo del segmento TCP. Si este campo tiene el primer octeto a cero, esto indica que no hay opciones. 

Relleno (Padding): este campo consiste en un número de octetos (De uno a tres), que tienen valor cero y sirven para que la longitud de la cabecera sea divisible por cuatro.  

Checksum: mientras que el protocolo IP no tiene ningún mecanismo para garantizar la integridad de los datos, ya que solo comprueba la cabecera del mensaje, el TCP dispone de su propio método para garantizar dicha integridad. 

 

[ Que es el escaneo de puertos ? ]
El escaneo de puertos consiste básicamente en detectar que servicios nos esta ofreciendo un determinado host. Si al hacer un escaneo encontramos un puerto abierto, según cual fuese este es el servicio que nos ofrece.  

Por ejemplo vamos a escanear el host zapala.com.ar:

Interesting ports on zapala.com.ar (200.32.91.1)
Port State Service Protocol
21 open tcp ftp
25 open tcp smtp 
80 open tcp http

Suponiendo que sólo estos puertos estuvieran abiertos (HEH!) lo que nos resulta de este escaneo, es que zapala.com.ar esta ofreciendo servicios de transferencia de archivos, de correo y de web. Mas adelante veremos de que forma podemos explotar la información que hemos obtenido ahora.

 

[ Diferentes técnicas de escaneo de puertos ]
Debido a los diferentes tipos de protocolos, los numerosos puertos que pueden estar escuchando, y a los dispositivos empleados para evitar o detectar el escaneo de puertos, han surgido diferentes técnicas las cuales tienen sus ventajas como desventajas. A continuación veremos algunas de las distintas técnicas que hoy día conocemos: 

TCP connect() scanning: esta es la forma mas popular de escaneo TCP y consiste básicamente en usar la llamada a sistema connect() del sistema operativo, si se logra establecer la conexión con el puerto de la otra computadora entonces este puerto esta abierto. Las ventajas que tiene esta forma de escaneo es que no se necesita ningún privilegio especial para poder llevarla a cabo, en la mayoría de los Unix cualquier usuario puede hacer uso de la llamada connect(). Otra gran ventaja es la velocidad. El lado negativo que encontramos es que es muy fácil de detectar y de filtrar, y generalmente el host loguea que establecemos una conexión e inmediatamente nos desconectamos.

TCP SYN scanning: esta técnica es la llamada escaneo "half-open" (o mitad-abierta), porque no establecemos una conexión TCP completa. Lo que hacemos es enviar un paquete SYN como si fuéramos a entablar una conexión TCP completa y esperamos por una respuesta. Podemos recibir un SYN|ACK si el puerto esta escuchando o un RST si el puerto esta cerrado. Si recibimos un SYN|ACK en respuesta, inmediatamente le enviamos un RST. La mayor ventaja de esta técnica es que muy pocos servers nos loguean; y la desventaja es que se necesita privilegios de root para construir estos paquetes SYN a enviar. 

TCP FIN scanning: algunos firewalls y packets filters escuchan por los paquetes SYN en algunos puertos, y programas como el synlogger pueden detectar este tipo de escaneo. En cambio los paquetes FIN pueden penetrar sin mayor problemas. La idea consiste en que al enviar un paquete FIN si el puerto esta cerrado nos va a devolver un RST, y si el puerto esta abierto nos va a ignorar. Esto se debe a un error en las implementaciones TCP pero no funciona en un 100%. La mayoría de los sistemas parecen susceptibles excepto los sistemas Microsoft que son inmunes (aunque usted no lo crea). 

Fragmentation scanning: esta no es una técnica en si misma, sino una modificación de otras técnicas. Consiste en hacer una división de los paquetes que enviamos, para no ser detectados por los packet filters y los firewalls. Por ejemplo podemos hacer un SYN o un FIN scanning fragmentando los paquetes que enviamos, y al ir quedando en cola en los firewalls y en los packet filters no somos detectados. 

TCP reverse ident scanning: el protocolo ident permite averiguar el nombre de usuario y el dueño de cualquier servicio corriendo dentro de una conexión TCP. Por ejemplo podemos conectarnos al puerto http y usar identd para averiguar que esta corriendo la victima como root; esto solo es posible estableciendo una conexión TCP completa. 

FTP bounce attack: algo interesante del protocolo ftp, es que permite lo que se llama conexión proxy ftp. O sea, yo podría conectarme a un ftp desde un servidor proxy y al hacer esto establecer una conexión y enviar un archivo a cualquier parte de la Internet. Esto lo podemos aprovechar también para hacer por ejemplo un escaneo TCP, ya que estaríamos haciéndolo desde un servidor ftp pero detrás de un firewall. Lo bueno que tiene esta técnica es obviamente que es muy difícil de rastrear, y lo malo es que puede volverse sumamente lento. 

UDP ICMP port unreachable scanning: Lo que varia significativamente de esta técnica con respecta a las otras es que estamos usando el protocolo UDP, este protocolo puede ser mas simple que el TCP pero al escanear se vuelve sumamente mas complejo; esto se debe a que si un puerto esta abierto no tiene que enviarnos un paquete de respuesta, y si un puerto esta cerrado tampoco tiene que enviarnos un paquete de error. Afortunadamente, la mayoría de los hosts nos envían un paquete de error "ICMP_PORT_UNREACH" cuando un puerto UDP esta cerrado. Esta técnica suele volverse muy lenta.

 

[ Averiguando el Sistema Operativo ]
Saber que sistema operativo esta corriendo nuestra víctima es algo obviamente
muy valioso, ya que muchas de las vulnerabilidades que podemos encontrar dependen del sistema y la versión que tenga. 

La forma mas efectiva de poder conocer que sistema corre nuestra víctima seria hacerle un telnet. Suponiendo que el puerto 21 estuviera abierto veríamos algo asi: 

caos@CAOS~ telnet afrodita.unrl.edu
Trying 208.145.173.12... 
Connected to afrodita.unrl.edu. 
Escape character is '^]'. 

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login: 

Como podemos ver al telnetear al host hpux.u-aizu.ac.jp nos aparece que sistema operativo y que versión esta corriendo; y nos aparece un prompt pidiéndonos los datos del login. Lamentablemente esta técnica no es muy efectiva ya que el banner que nos muestra los datos del sistema es fácilmente modificable; en los Linux solo basta con modificar los archivos /etc/issue y /etc/issue.net, por ejemplo al telnetear a mi computadora veríamos algo así: 

/////// CAOS - Ezkracho Team
// - = -
/////// Feel the Power !

login:

Pero el modificar los banners del login no afecta los banners defaults que vienen en los demás servicios; por ejemplo al telnetear a un ftp nos aparecería lo siguiente: 

caos@CAOS~ telnet ftp.netscape.com 21
Trying 207.200.74.26 ...
Connected to ftp.netscape.com.
Escape character is '^]'.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS 

Otra truco que podemos utilizar si nuestra víctima tiene montado un servidor web seria el siguiente: 

caos@CAOS~ echo 'GET / HTTP/1.0\n' | nc hotbot.com 80 | egrep '^Server:'
Server: Microsoft-IIS/4.0
caos@CAOS~  

Con lo que nos aparece creo que todos pueden deducir el sistema operativo que esta
corriendo.

 

[ Fingerprinting ]
El fingerprinting es básicamente determinar que sistema operativo corre una computadora, diferenciando las distintas respuestas que tiene un sistema a un pedido que hacemos. Así comparando la respuesta de un sistema con respecto de otro, y de otro, podemos ubicar cual es el sistema que corre. Vale decir que el fingerprinting no es 100% seguro con ningún programa que utilicemos, pero según cual fuese nos puede acercar lo suficiente como para ubicar el sistema, yo personalmente recomiendo el Nmap (www.insecure.org/nmap). A continuación veremos las técnicas mas representativas del fingerprinting que muchos programas utilizan:

 

[ Interpretando y explotando la información ]
Solo veremos algunos de los puertos mas útiles para nuestro objetivo, los demás se los dejo para que los investiguen ustedes y usen su imaginación. Lo que aquí haremos en definitiva es tratar de averiguar las versiones de los demonios que esta corriendo el sistema, para encontrar algún bug de esa versión y su respectivo exploit. También veremos algunos puertos que nos pueden brindar datos interesantes. 

Interesting ports on zapala.com.ar (200.32.91.1)
Port State Service Protocol
21 open tcp ftp
25 open tcp smtp 
79 open tcp finger
80 open tcp http

Puerto 21: yo lo primero que probaría es intentar hacer un ftp anónimo, muchos sistemas están tan mal configurados que hasta podríamos conseguir el archivo de password. Luego tendríamos que intentar ver que versión del demonio ftp esta corriendo, seria algo asi: 

caos@CAOS~ telnet ftp.zapala.com.ar 21
Trying 200.32.91.1 ...
Connected to ftp.zapala.com.ar.
Escape character is '^]'.
220 ftp.zapala.com.ar FTP server (Version wu-2.5.0(1) Tue Sep 21
16:48:12 EDT 1999) ready. 

Aquí vemos que versión del FTP server esta corriendo el host, que no hace falta decir lo famoso que es por sus innumerables bugs, ahora lo que hacemos es buscar el exploit para esa versión. 

Puerto 25: en este puerto generalmente encontraremos el servidor de correo; si es el sendmail u otro, telneteamos a este puerto y vemos cual es la versión, y por supuesto vemos si podemos encontrar algún exploit que nos sirva. 

Para lo que también nos puede ser útil este puerto es para enviar mails anónimos o fake mails. Por ejemplo nos podríamos hacer pasar por el Administrador del sistema y pedirle que nos envíe su contraseña: 

telnet universidad.edu.ar 25 
220 universidad.edu.ar Microsoft Sendmail 1.0 ready at Sat, 2-1-98 
HELO CAOS 
250 <universidad.edu.ar> Hello CAOS 
MAIL FROM: administrador@universidad.edu.ar 
250 <administrador@universidad.edu.ar> ...Sender OKay 
RCTP TO: victima@universidad.edu.ar 
250 <victima@universidad.edu.ar> ...Recipient OKay 
DATA 
354 Enter mail, end with "." on a line by itself 
Estimado usuario, debido a una reestructuración del sistema necesitamos nos envíe su contraseña para agregarla a la nueva base de datos. Muchas gracias y disculpe las molestias.
El Administrador. 

250 Mail accepted 
QUIT 
221 universidad.edu.ar closing connection. 

Este ejemplo es muy inocente pero todo esta en la imaginación de cada uno. Algo a tener en cuenta es que muchos servidores de correo loguean nuestra dirección IP y puede aparecer en el mail que enviamos, por eso es preferible primero enviarnos un mail a nosotros mismos para ver si aparece nuestra IP. 

Puerto 79: en este puerto podemos encontrar importante información sobre los usuarios que se encuentran en el sistema. Por ejemplo podemos probar hacer algo como esto: 

telnet jperez@victima.edu.ar 79

Login Name Tty Idle Login Time Office Office Phone
jperez Juan Perez 1 Feb 7 02:06 4785-6548

Y obtendríamos información personal de ese usuario como ser su teléfono, que podríamos utilizar para hacer Ingeniería social. 

Ahora, si queremos ver todos los usuarios que hay en un sistema en algunos servidores podemos hacer esto: 

telnet @victima.edu.ar 79

Login Name Tty Idle Login Time Office Office Phone
jperez Juan Perez 1 Feb 7 02:06 4785-6548
root root *2 4:28 Feb 7 02:05

Y como vemos obtenemos todos los usuarios que en ese momento se encuentran logueados en el sistema. 

Puerto 80: este puerto es el que nos ofrece el servicio de web. Podríamos utilizarlo para conseguir el archivo de password mediante la técnica del PHF, pero como esta técnica ya esta quedando obsoleta no mencionare como hacerlo. Todo depende de lo actualizado que estemos en los bugs que día a día aparecen, hoy si este host estuviera corriendo el servidor web de Microsoft podríamos probar la vulnerabilidad del IIS que afecta al 90% de los servidores web existentes en Internet, o como ya hemos visto antes podríamos usarlo para obtener información del sistema.