BlogRecon

Hack como un profesional Cómo usar el nuevo p0f 3.0 para huellas dactilares y análisis forense del sistema operativo

¡Bienvenidos de nuevo, mis hackers novatos!

Hace poco, hice un tutorial sobre cómo realizar huellas dactilares de SO pasivo con p0f. Como recordará, p0f es diferente de otras herramientas de huellas dactilares del sistema operativo, ya que no envía ningún paquete al objetivo, sino que simplemente toma los paquetes del cable y los examina para determinar el sistema operativo que los envió.

p0f se basa en las diferentes formas en que cada sistema operativo implementa la pila TCP / IP, y estas diferentes implementaciones dejan sus huellas digitales únicas en los paquetes TCP / IP. Estas diferencias se encuentran en cuatro campos clave del paquete TCP / IP: el DF, TTL, Ventana, y TOS.

En nuestro tutorial anterior de p0f, probamos p0f contra sistemas operativos más antiguos y ¡hizo su toma de huellas dactilares de manera excelente! Cuando lo probamos contra Windows 7 y otros sistemas más actuales, encontramos que las firmas no se habían actualizado desde 2006.

Podríamos haber recopilado las firmas de diferentes sistemas y agregarlas al /etc/p0f/p0f.fp para actualizar la base de datos de firmas, pero mencioné en ese momento que los desarrolladores de p0f finalmente lo actualizaron y lanzaron la versión 3.0 después de permanecer inactivo durante más de 6 años.

En la nueva versión, no solo actualizaron las firmas, sino que también agregaron una nueva capacidad a p0f. La nueva versión se ha incluido en la última versión de Kali (1.0.6), así que echémosle un vistazo aquí. Para aquellos que usan BackTrack o versiones anteriores de Kali, pueden descargar el nuevo p0f aquí.

Paso 1: Enciende Kali y abre p0f

Comencemos por encender Kali y abrir p0f 3.0. Curiosamente, Kali ha colocado a p0f bajo Forense herramientas, así que para abrirlo, tenemos que ir a Kali Linux -> Forensics -> Network Forensics -> p0f.

Cuando lo abrimos, se nos recibe con una pantalla de ayuda como la que se muestra a continuación. La sintaxis es prácticamente la misma que la de las versiones anteriores; es simplemente el comando y la interfaz.

Paso 2: enviar paquetes desde Windows Server 2003

Ahora, como hicimos con el antiguo p0f 1.6, enviemos paquetes desde un sistema Windows Server 2003. Podemos hacerlo de varias formas: ftp, telnet, netcat o simplemente abriendo un navegador dirigido a la dirección IP de nuestro sistema Kali.

Cuando lo hacemos, obtenemos los resultados a continuación. p0f identifica la dirección IP y el enlace y luego identifica el sistema operativo como un “kernel de Windows NT”. No es realmente específico, pero exacto.

Paso 3: envíe paquetes desde Windows XP

Intentemos ahora lo mismo con Windows XP y veamos qué puede descifrar p0f por nosotros. En este caso, intentaré conectarme a un servidor ftp en Kali.

Una vez más, p0f es precisa, pero no muy específica. Identifica el sistema operativo como kernel de Windows NT. Recuerde que p0f está usando las diferencias en la implementación de la pila TCP / IP como la forma de identificar el sistema operativo y si un rango de sistemas operativos está usando la misma pila TCP / IP, no puede diferenciar entre ellos.

Paso 4: enviar paquetes desde Windows 7

Uno de los problemas que encontramos con el p0f más antiguo es que las firmas eran antiguas (sin actualizaciones después de 2006) y no tenía firmas para Windows 7, 8, Server 2008 y Server 2012. Probemos p0f en uno de los sistemas modernos. , como Windows 7.

Como puede ver, lo identificó con precisión como “Windows 7 u 8”. Como estos dos sistemas son de la misma construcción, no se puede distinguir la diferencia entre ellos. Como hacker, en la mayoría de los casos, las diferencias no son importantes.

Paso 5: enviar paquetes desde Ubuntu

Ahora intentemos enviar algunos paquetes desde una máquina Ubuntu.

Como puede ver, p0f descifró con precisión que el sistema que envía los paquetes era un sistema Linux con kernel 3.x.

Paso 6: Ejecute p0f para análisis forense

En nuestra prueba final de la efectividad del nuevo p0f, dejemos que p0f se ejecute en nuestra interfaz y veamos qué detecta. Esto puede ser útil para realizar análisis forenses en un sistema comprometido o en un sistema bajo ataque.

Cuando dejé que p0f se ejecutara por un momento en mi interfaz eth0, pronto comencé a obtener entradas como las anteriores. Encontré esto desconcertante. Mi sistema Kali se estaba conectando a una dirección IP desconocida en 64.182.234.103.

En la captura de pantalla anterior, lo identifica como un servidor Linux y se aleja 17 saltos. Esto parece extraño por varias razones. Primero, no me he conectado a ningún sitio web o servidor en esa dirección. De hecho, mi sistema ha estado completamente inactivo. En segundo lugar, 17 saltos es mucho, muy largo. Generalmente, puede conectarse a casi cualquier servidor del planeta en 15 saltos. ¡Esto es algo que debería investigar!

A medida que me desplazo hacia abajo por las entradas de p0f, puedo obtener más información sobre este servidor al que está conectado mi sistema Kali. Puedo ver que mi sistema se conectó desde mi puerto 37416 a su puerto 80 y que este servidor ha estado activo durante 31 días seguidos.

Una investigación más profunda revela que esta dirección IP pertenece a owncloud.org. Nunca fui a esta dirección, pero aparentemente la gente de Offensive Security ha puesto un cliente en Kali que se conecta a este sitio automáticamente. A partir de la documentación del sitio web, pude descifrar que aparentemente es un servicio en la nube gratuito similar a Google Apps.

¡No estoy feliz por esto! No hay nada que pueda encontrar en la documentación de Kali al respecto. No estoy diciendo que esto sea algo malicioso, pero creo que la gente de Offensive Security debería habernos dicho explícitamente que han incluido un cliente que se conecta automáticamente a este servicio en la nube.

El nuevo p0f es una mejora con respecto a la versión anterior, pero aún no es perfecto. El reconocimiento pasivo tiene la ventaja de ser indetectable, pero la desventaja de una menor confiabilidad de los resultados. Sin embargo, una herramienta como p0f puede ser invaluable para identificar los sistemas operativos de los clientes que acceden a su sitio web o los sistemas que pasan su cable mientras detectan el tráfico.

Imagen de huella digital codificada original a través de Shutterstock, remezclado por Justin Meyers / WonderHowTo

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar