Ncat: ¿Que es netcat?

Hoy y en adelante vamos a ver detenidamente que es y ejemplos sobre netcat. En las siguientes entradas veremos ejemplos prácticos en los que veremos y pondremos en práctica esta herramienta básica para cualquier IT.

Ncat tiene ya muchos años pero es una de las primeras herramientas que usé cuando me pidieron que iniciara un chat entre dos máquinas mediante un terminal y de las que sigo usando, Netcat nos permite abrir puertos sencillamente y asociar una shell a este. Después de esto nos permite jugar con esto de múltiples maneras transferencia de ficheros, chats, usarlo para que nos de la hora del mismo servidor, mensajes.

Antes de nada como siempre tendremos que leer algo de ncat en wikipedia por ejemplo:

Netcat es una herramienta de red que permite a través de intérprete de comandos y con una sintaxis sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos). Fue originalmente desarrollada por Hobbit en 1996 y liberada bajo una licencia de software libre permisiva (no copyleft, similar a BSD, MIT) para UNIX. Posteriormente fue portada aWindows y Mac OS X entre otras plataformas. Existen muchos forks de esta herramienta que añaden características nuevas como GNU Netcat o Cryptcat.

Una vez tenemos una idea clara de lo que es netcat y que es lo que nos ofrece acabaremos mirando un pequeño vistazo como siempre al manual de netcat mediante "man netcat".

En siguientes entradas veremos más en profundidad casos prácticos en los que veremos lo que netcat nos ofrece y podemos hacer con él.

Atop, monitorizando la carga en nuestro servidor Linux.

Hoy vamos a hablar de un monitor de sistema el cual nos es más que permitirá monitorizar el sistema, crear logs del mismo con reportes de actividad de los procesos de nuestro servidor Linux y el cual es básico para centralizar todos las cargas de trabajo de nuestro servidor.. 

Atop es un monitor interactivo que nos permite ver los usos de los recursos de todos los procesos, ver la utilización de los discos,adaptadores de red, cpu, memoria y un largo etcétera de posibilidades. Para instalarlo como nosotros hacemos uso de debian nos basta con "sudo aptitude atop" si tenemos otra distribución variaría. Una vez instalado lo iniciamos mediante "sudo atop".

Como vemos en la imagen se nos despliega la interfaz de terminal con todos los procesos y recursos monitorizados. Ahora vamos a dar un repaso los acrónimos que se nos muestran:

PRC: Este línea contiene el total de tiempo consumido de la CPU por el sistema (sys), el usuario (user), el total de los procesos presentes en este momento (proc), el total de número de entradas en ese momento(run), dormidos interrumpibles(tslpi), dormidos ininterrumpibles(tslpu), el número de procesos zombies(zombie), numero de llamadas clonadas del sistema(clones) y el numero de procesos finalizado durante el intervalo de resfresco (exit).

CPU: Esta línea contiene el porcentage de tiempo de CPU que usa en modo kernnel por todos los procesos (sys), en modo usuario (user) por todos los procesos activos (incluidos los procesos iniciados con un valor mas largo de cero), el manejo de las interrupciones(irq), también el porcentaje de tiempo de CPU no usada mientras no hay procesos esperando entrar o salir de disco(idle), tambien mientras un proceos espera a entrar o salir (wait), en casos de multiprocesador hay una línea adicional por cada uno de los procesador individuales.

CPL: Esta línea contiene la información sobre la carga de CPU, el numero de entradas que son permitidas para iniciarse en la CPU o también la espera de entrada/salida del disco, el número de cambios de contexto (csw), el número de servicios interrupidos(intr) y el numero de CPUs disponibles.

MEM: Esta línea contiene información relatada al consumo de memoria, como el total de la cantidad de la memoria física(tot), la cantidad de memoria libre(free), la cantidad de memoria uso cache(cache), la cantidad  memoria usada por el sistema de ficheros metadatos (buff) y la cantidad memoria usada por el kernel malloc's(slab).

SWP: Esta línea contiene la cantidad total de swap en el disco (tot), y la cantidad del espacio libre(feee), la convinación de la memoria virtual.

DSK: Esta línea contiene información sobre la utilización del disco, el porcentaje de tiempo que la unidad esta esperando respuesta (busy), el numero de solicitudes de lectura(read), el número de peticiones de lectura emitidas(write), el número de KiBytes por lectura(KiB/r), el número de KiBytes por escritura(KiB/w), el número de MiBytes por segundo de rendimiento por lecturas (MBr/s), el número de MiBytes por segundo de rendimiento por escritura(MBw/s), la media de espera (avq), la media de numero de milisegundos necesarios por una búsqueda(avio) por búsqueda, latencia y transferencia de datos.

NET: Esta es la información realatada a la utilización de red (TCP/IP), una de estas líneas muestra la actividad de la capa de transporte(TCP y UDP), una línea es la capa IP y una linea por cada interfaz activa.

Esta información del sistema está acompañada por la información del nivel de proceso, información que indica detalles relacionados con los procesos de utilización de los recursos que cambian durante el ultimo intervalo de tiempo( 10 segundos por defecto).

Un importante punto a mencionar son los colores usados por atop (rojo, cian y otros) para indicar el nivel critico del consumo de recursos, como ejemplo un uso excesivo o crítico se indicaría con color rojo.

En cuánto a los comandos interactivos, se puede controlar la salida de información desde el teclado. Por ejemplo, escribiendo m par amostrar la memoria usada, d para ver el uso de la memoria. n para ver la información relacionada al red, v para mostrar las características de los procesos, c la línea de comandos de los procesos, etc... En la siguiente imagen vemos un ejemplo de la opción v.

En definitiva Atop es una herramienta muy util que nos provee de un bucle de actualización de la información sobre la carga de trabajo de nuestro servidor y sus recursos. Como siempre podemos ver más exaustivamente los comandos de configuración en 'man atop'.

Nmap: Detectando impresoras

Como hemos visto anteriormente a lo largo de las entradas de nmap este tiene la versatilidad de poder amoldarse a nuestras necesidades. Por ejemplo en este caso veremos como nos puede servir para la detección de impresoras, muchas veces nuestros clientes se conectan a la red empresarial y tenemos que detectar donde se encuentra la impresora o simplemente nosotros mismos tenemos que detectarla. Esta búsqueda de la dirección ip de la misma la tenemos que hacer a mano, pero siempre tenemos la posibilidad de detectar en que ip está la impresora mediante nmap.

Lo primero que tenemos que ver, los puertos donde podemos buscar las impresoras, estos pueden ser:

9100 - Servicio de impresión RAW de la mayoría de las impresoras.
515   - Puerto LPR/LPD de la mayoría de las impresoras.
631   - El puerto IPP para la mayoría de impresoras modernas y servidores de impresión CUPS.

Con todo esto ya podemos lanzar la petición de detección de impresoras la cual exportaremos a un fichero xml llamado "printer.xml".

nmap -p 9100,515,631 192.168.1.0/24 -oX printer.xml

La clase de red y el rango de dirección IP lo tendremos que modificar en función del tipo de red en el que nos encontremos. Una configurada y lanzada la orden revisaremos el fichero "printer.xml" en busca de las direcciones de las impresoras.

Securizando nuestras conexiones: Instalando y configurarando OpenVPN

Como IT una parte importante es la seguridad y esta hay que tomársela bastante en serio y para el ámbito empresarial más aún. En el mundo empresarial son muchas las ocasiones en que sus empleados trabajan en remoto fuera de la intranet, ya sea por trabajo a pie de calle, porque  su estructura empresarial no está centralizada en un lugar concreto en definitiva, a la hora de trabajar con sus sistemas y redes se tienen que vale de conexiones remotas que no son ni seguras ni estables y es aquí donde entra VPN.

Una VPN o red privada virtual nos permite tener una conexión estable, segura, fiable e incluso más rápida que otro tipo de conexiones remotas. Este tipo de conexión nos permite trabajar  a través de la WAN como si estuviéramos en la propia LAN y esto lo permite creando un túnel de conexión desde nuestro cliente hasta la red interna permitiendo trabajar al cliente remoto de una manera local y segura.

Para poner en práctica todo esto nos vamos a valer de un servidor Debian  y de OpenVPN. Antes de empezar la instalación recomiendo que visitéis los enlaces puestos a lo largo de la entrada y que os empapéis bien de los conocimientos previos, también es recomendable la web de OpenVPN que está en perfecto inglés como se ha de esperar. Vuelvo a repetir OpenVPN no es una instalación sencilla, requiere de conocimientos previos para poder llevar a cabo su correcta instalación, configuración y puesta en marcha.

1.- Instalación: Actualizamos el sistema e instalamos OpenVPN.

sudo apt-get update
sudo apt-get install openvpn

2.- Configuración: Comenzamos con la configuración de ficheros y generación de certificados necesarios.

Copiamos ficheros:

cp –r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa

Nos movemos al directorio easy-rsa:

cd /etc/openvpn/easy-rsa

Editamos el fichero vars:

vim /etc/openvpn/easy-rsa/vars

Dejamos esta línea así:

export KEY_SIZE=2048

Ponemos los valores siguientes:

export KEY_COUNTRY="ES"
export KEY_PROVINCE="SE"
export KEY_CITY="Seville"
export KEY_ORG="TEST"
export KEY_EMAIL="mail.mydomain"
export KEY_EMAIL="mail@host.domain
export KEY_CN=changeme
export KEY_NAME=changeme
export KEY_OU=changeme
export PKCS11_MODULE_PATH=changeme
export PKCS11_PIN=1234

Generamos los certificados dentro del directorio easy-rsa, esto puede variar en el tiempo de exportación en función del tamaño del key:

source ./vars
./clean-all

./build-ca

Generamos el certificado del server:

./build-key-server saw

Ahora generamos el certificado del cliente:

./build-key

Generamos la clave HMAC:

openvpn --genkey --secret ta.key
cp ta.key keys

cp -r easy-rsa/keys/ .

Modificamos la configuración VPN para poner el servidor en funcionamiento:

vim /etc/openvpn/server.conf

Dejamos el archivo como aparece a continuación:

port 1194
proto tcp
dev tun

#Nuevos certificados
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/saw.crt
key /etc/openvpn/keys/saw.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0

#rangos de direcciones
server 192.168.1.50 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"

#DNS 
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

client-to-client
keepalive 10 120

cipher AES-256-CBC # Triple-DES
comp-lzo

max-clients 5

user nobody
group nogroup
tcp-nodelay
persist-key
persist-tun

log /var/log/openvpn.log
status /var/log/openvpn-status.log

verb 3
mute 20
#client-config-dir ccd

Habilitamos el bit de forwarding:

echo 1 > /proc/sys/net/ipv4/ip_forward

Eliminamos decomentamos la linea "net.ipv4.ip_forward=1"en el fichero "/etc/sysctl.conf":

vim /etc/syscrl.conf

Cargamos el módulo tun:

modprobe tun

Después de esto habilitamos el servicio y lo arrancamos:

/etc/init.d/openvpn start

Añadimos la siguiente línea de comando para iptables:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s "192.168.88.0/24" -j ACCEPT
iptables -A FORWARD -j REJECT

iptables -t nat -A POSTROUTING -s "192.168.1.0/24" -j MASQUERADE

Finalmente guardar las reglas:

iptables-save


Finalmente vuelvo a recordar que para montar un servidor de este tipo debemos de tener unos conocimientos previos, esta guía es una mera muestra de como montarlo. Para llevarlo a acabo se deben tener conocimientos preestablecidos sobre redes, sistemas operativos, VPN y OpenVPN.

Estafas everywhere: Falsos sorteos de facebook, falsas páginas "oficiales" e Ingeniería Social.

Esta semana he visto como muchos de los mis "amigos" de Facebook compartían una foto de un sorteo de televisiones que pondré como ejemplo de ingeniería social más abajo y que claro me ha llevado a abrir esta entrada para concienciar un poco y es por esto que voy a hablar de ello.

Muchos de nosotros disponemos de nuestra cuenta en la red social Facebook, en ella estamos cansados de ver múltiples sorteos. Que si móviles desprecintados, que si ropa descatalogada o el viaje de tu vida hasta llegar al millón de dólares que te pueden tocar por un Like y compartir. Todo esto no es más que lo que se utiliza para estafar al usuario. Esta estafa se realiza para varias cosas como dirigirte a una web con malware, conseguir información tuya como por ejemplo el número de teléfono hasta contactos, emails y demás para realizarte ataques de Phishing a tu correo para la obtención de tu contraseña o datos sensibles, en definitiva para estafarte o infectarte.

Hoy pondré como ejemplo el sorteo de las televisiones Samsung (que si ponemos la vista atrás es prácticamente igual que la estafa de los móviles con el texto prácticamente calcado) donde una página nos dice que por unos motivos tiene que sortear unas televisiones. En definitiva que tenemos que dar a Like y compartir y por supuesto claro esta entrar en su enlace.

Antes de seguir explorando, me he dirigido a buscar la pagina en buscador de Facebook y me he encontrado ¡que casualidad! esta web es la única que no tiene la verificación entre Samsung y Facebook mediante su sistema de verificación. Y esto se ve mediante "el circulo azul de verificación" que vemos en todas menos en una de ellas. En definitiva con un solo vistazo ya esta claramente visto para sentencia que es una estafa pero vamos a seguir más adelante.

Voy a seguir en enlace que nos dice que sigamos, ahora nos pide que completemos un formulario como no...

Voy seguir pinchando en un enlace de una web falsa de un falso perfil en Facebook. Y como no ya nos están pidiendo datos y nuestro teléfono para poder seguir el formulario con la escusa de unos patrocinadores (¿de verdad alguien se cree una compañía como Samsung necesita unos patrocinadores para sortear televisiones?).

Ya sabemos que no es más que un enlace que nos lleva a otra web maliciosa y otro enlace distinto.

En fin empezamos viendo un sorteo de televisiones y hemos acabado con una web que nos dice que estamos infectados y que ellos tienen la solución. ¿Curioso no?

Como habéis visto al principio ya sabéis como y que es lo que quieren. También como haciendo una simple consulta en la misma web de Facebook vemos que es una pagina falsa que quiere la obtención de nuestros datos.

Bueno tenemos que aprender que Internet es como la calle o el mundo, hay gente buena y gente mala. En la calle no le daríais el número de teléfono vuestro apellido, nombre, dirección, acceso a vuestro facebook, el nombre de vuestros amigos, acceso a vuestras fotos, donde vivís, cual es vuestra familia y demás ¿verdad? pues en Internet tampoco. En definitiva como IT tenemos que concienciar al cliente tras solucionarle sus problemas y explicarle el motivo y el porqué de las cosas.

Explorando Powershell: SYSTEMINFO, mostrando información del sistema

Systeminfo, nos va a salvar y ahorrar mucho tiempo en cuanto a sacar las características del sistema. Toda esta información nos vale de mucho cuando por ejemplo estamos tratando de sacar información de un sistema con el cual vamos a tratar. Toda esta información del sistema, como espacio de disco, adaptadores de red, nombre del sistema, cuando ha sido iniciado por última vez, la arquitectura del procesador, memoria, actualizaciones del sistema instaladas, etc ... nos vale de mucho a la hora de trabajar con él.

Solución de problemas - Internet / Acceso a la Red en Linux: Comprobando/configurando dirección IP & puerta de enlace (GW)

En esta entrada vamos a ver como comprobar/cambiar/establecer la dirección IP y su máscara de red ( estática, DHCP) y por último la puerta de enlace (GW).

Para mostrar la dirección IP usaremos 'ifconfig' ( 'ipconfig -a' para mostrar todos los dispositivos sin importar si están levantados o no). 

Ahora tendremos que decidirnos por una dirección estática o dinámica (DHCP).


· Dirección dinámica (DHCP): En este tipo de asignación sera al servidor DHCP al que le solicitaremos la dirección, después de solicitarlo este nos asignará una dirección IP, también nos asignará una puerta de enlace y una DNS.

A la hora de solicitar la dirección ip para el dispositivo de red nos bastará con escribir 'dhclient -r eth1' y 'dhclient eth1'.

· Dirección estática: En este tipo de asignación seremos nosotros el que lo asignaremos.

Ahora para asignar una dirección manual o estática, asignaremos la dirección IP y la máscara de red.

En este ejemplo trabajar con una ip con máscara clase C, en la imagen veremos como asignarla simplemente escribiendo 'ifconfig eth1 192.168.1.90/24' y comprobaremos la dirección nueva 'ifconfig eth1'

Para hacer que estos cambios sean persistentes, es decir que se mantengan tras el reinicio tendremos que alterar un fichero. Y si vamos a alterar el fichero lo mejor que podemos hacer es realizar una copia del mismo 'cp -f /etc/network/interfaces{,.bak}' 

Una vez realizada la copia de seguridad podremos editar el fichero 'vim /etc/network/interfaces' para disponer de una dirección asignada mediante DHCP o manualmente.


DHCP persistente: Añadiremos al fichero que estamos editando lo siguiente.

auto eth0
iface eth0 inet dhcp

IP estática persistente: Añadiremos al fichero que estamos editando lo siguiente que variará en función de la configuración que queramos.

iface eth0 inet static
address 192.168.1.90
netmask 255.255.255.0
gateway 

Por último veremos como mostrar/configurar la puerta de enlace (GW). Para mostrar la puerta de enlace que tenemos actualmente lo veremos mediante 'route -n'.

Una vez mostrada, para cambiar la puerta de enlace asignada en este adaptador de red tan solo tendremos que asignarla manualmente mediante 'route add default gw 192.168.1.2 eth1'

Para eliminar una puerta de enlace tan solo con escribir 'route delete default gw 192.168.1.2 eth1'

Windows "la técnica del setch": Comprometiendo autenticación en sistemas Windows/xp/vista/8/8.1

Muchas veces como IT nos vemos en la necesidad de saltarnos las credenciales o el proceso de autenticación en sistemas Windows, para los que hay varios métodos con los cuales podemos saltarnos la autenticación como usar el Kon-boot que hemos visto anteriormente.

El proceso que vamos a realizar a continuación es un proceso que afecta a sistemas Windows/xp/vista/7/8/8.1 y que consiste en editar el fichero sethc.exe y sustituirlo por el fichero cmd.exe. Una vez reiniciemos el sistema, nos encontramos en la pantalla de autenticación, pulsamos 5 veces la tecla shift y ya tendremos nuestra ventana de comandos con privilegios para manejar a nuestro antojo.

Este fichero lo podremos editar con cualquier Live-CD Linux o con el mismo CD de instalación Windows. El ejemplo lo realizaré tanto con el Live-CD Linux (Kali Linux) como el CD de instalación de Windows.


Mediante Live-CD Linux (Kali Linux):

Iniciamos el Live-CD Kali Linux y una vez dentro abrimos un terminal en el que identificaremos el disco ntfs de windows mediante el comando "fdisk -l | grep NTFS". A continuación crearemos la carpeta donde montaremos el disco "mkdir /media/windows" y finalmente lo montaremos en la carpeta creada "mount -t ntfs-3g /dev/sda2 /media/windows"

Ahora en esta siguiente imagen editaremos el ejecutable. Para ello nos dirigimos a la ruta donde se encuentra"cd /media/windows/Windows/System32/" . Cambiamos el nombre del fichero "mv setch.exe sethccp.exe"  y finalmente copiamos el cmd.exe y le ponemos un nuevo nombre "cp cmd.exe sethc.exe"

Y para acabar desmontamos "umount /dev/sda2" y reinciamos "reboot".

Ahora una vez reiniciado el sistema y llegamos a la parte de la autenticación, aquí pulsaremos la tecla shift 5 veces para que se ejecute el programa sethc.exe. Una vez pulsado ya tenemos una ventana de comandos en la cual llamaremos mediante el comando "control userpasswords2" > seleccionaremos el usuario > restearemos la contraseña y finalmente la cambiaremos o dejaremos en blanco y le daremos a aceptar para aplicar los cambios.

Y ya tendremos acceso al sistema.




Mediante el CD de Instalación de Windows:


Iniciamos el CD de instalación de windows y le damos a "Next" o "Siguiente"

Ahora seguimos y le damos a "Repair your computer" o "Reparar el ordenador".

Ahora hacemos clic en "Troubleshooting" o "Solución de problemas".

Ahora "Advanced options" o "Opciones avanzadas".

Ahora a "Command Prompt" o "Símbolo del sistema".

Ahora nos dirigiremos a la ruta donde vamos a editar el ejecutable. Primero "d:" > "Windows" > "System32" > "ren sethc.exe sethccp.exe" > "copy cmd.exe sethc.exe"  > "Exit".

Y finalmente apagamos el sistema haciendo clic en "Turn off your PC".

Ahora iniciamos el sistema y llegamos a la parte de la autenticación, aquí pulsaremos la tecla shift 5 veces para que se ejecute el programa sethc.exe. Una vez pulsado ya tenemos una ventana de comandos con la cual llamaremos mediante el comando "control userpasswords2" > seleccionaremos el usuario > restearemos la contraseña y finalmente la cambiaremos o dejaremos en blanco y le daremos a aceptar para aplicar los cambios.

Y ya tendremos acceso al sistema.

NirLauncher: las herramientas de NirSoft reunidas en una sola.

Anteriormente os hemos hablado de ProduKey que no es más que un producto de NirSoft, en esta web además de ProduKey encontraremos muchas más herramientas que nos serán muy útiles para desempeñar nuestro trabajo como IT. 

Hoy simplemente voy a enseñaros el paquete completo donde se incluyen todas las herramientas clasificadas y unidas en una sola. Este paquete se llama NirLauncher y lo podemos descargar aquí. Una vez descargado solo bastará con ejecutarlo y ya tendremos acceso a las múltiples herramientas de esta magnífica página. 

Una vez aquí nos podemos mover por las múltiples herramientas a las que tendremos acceso y que poco a poco veremos mas adelante más exhaustivamente.

kon boot: Saltando la autenticación de sistemas Windows, OSX

¿Que es Kon boot?

Kon boot es una herramienta que nos va a permitir entrar en el sistema sin contraseña. Esto lo hace gracias a que salta el proceso de loggin parcheandose directamente n la memoria del kernel y finalmente nos va a permitir entrar como administrador/root en el sistema. Kon boot nos permite entrar en sistemas OSX, Windows (incluye la autenticación online) en sus versiones de pago. Hay que tener en cuenta que la versión gratuita es limitada pero si indagamos en la red, podremos encontrar la versión de pago.

¿Para que nos sirve? 

Muchas veces nuestro clientes pueden olvidar la contraseña, recibimos sistemas sin credenciales, nuestro sistema ya sea cliente o servidor ha sido vulnerado y han modificado las credenciales o muchos más casos donde nos imperan que penetremos el sistema.

¿Como funciona?

Pues es tan simple como instalarlo en un usb boteable arrancar desde el usb y el hará el trabajo solo se cargará y posteriormente cargar el sistema y podremos entrar sin contraseña

Ahora te voy a mostrar un vídeo de como funciona. En el vídeo el proceso lo realiza con NetHunter, pero es idéntico con un usb de arranque.

En definitiva esta herramienta se nos hará indispensable para trabajar y dar soporte como IT.

Explorando powershell: Scannow ( comprobando/reparando archivos del sistema )

Muchas veces se nos daña archivos de Windows (Microsoft) o simplemente queremos chequearlos para ello veremos algo que ya lleva muchos años implementado en windows. Es scannow, el comando sfc /scannow nos permite analizar los archivos protegidos del sistema y reemplaza los archivos dañados. Es decir una herramienta muy util en caso de tener un archivo dañado o comprobar la integridad de los mismos.


Para usarlo no es más sencillo que usar la siguiente línea:


sfc /scannow