Captura de banderas con curl, telnet y netcat

La técnica más fundamental durante la enumeración de servicios es la captura de banderas o banner grabbing. Ésta técnica consiste en establecer conexiones con servicios remotos, y analizar la respuesta que éstos servicios nos regresan. Aunque no lo parezca, la respuesta puede ser sumamente informativa.

Por ejemplo, si abres la terminal de comandos y escribes:

$ curl -I http://alanchavez.com

Mi servidor te responderá con el siguiente mensaje:

HTTP/1.1 200 OK
Date: Thu, 22 Jan 2015 04:47:28 GMT
Server: Apache
X-Pingback: http://alanchavez.com/xmlrpc.php
X-Powered-By: W3 Total Cache/0.9.4.1
Cache-Control: max-age=3600
Expires: Thu, 22 Jan 2015 05:47:28 GMT
Vary: Accept-Encoding,Cookie,User-Agent
Content-Type: text/html; charset=UTF-8

Como puedes observar, los headers te muestran el tipo de servidor web que utiliza mi página web (Apache), e incluso regresa un encabezado opcional "X-Powered-By" junto con el programa y su versión  que mi servidor utiliza para el caché de archivos.

Si pones otros sitios en la terminal, observarás que la respuesta del servidor cambia dependiendo de las tecnologías que se utilicen para servir el servicio que intentas enumerar. Por ejemplo:

$ curl -I domain.tld
HTTP/1.1 200 OK
Server: nginx
Date: Thu, 22 Jan 2015 04:54:31 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.4.34
Set-Cookie: bb_sessionhash=577b3f36586e0bf13917dc5aad5be133; path=/; HttpOnly
Set-Cookie: bb_lastvisit=1421902471; expires=Fri, 22-Jan-2016 04:54:31 GMT; path=/
Set-Cookie: bb_lastactivity=0; expires=Fri, 22-Jan-2016 04:54:31 GMT; path=/
Vary: Accept-Encoding

En el caso anterior, puedes ver la versión de PHP que el servicio utiliza para generar la página.

Otra excelente herramienta para empezar a capturar banderas es telnet. Telnet es una reliquia de tiempos inmemoriales, es una herramienta de comunicación remota entre computadoras, y en la gran mayoría de los sistemas operativos ya viene instalada de fábrica (a excepción de Windows, por supuesto, a menos de que utilices Windows Server).

Por ejemplo, usando telnet puedes obtener la misma información de mi servidor usando el siguiente comando:

$ telnet alanchavez.com 443
 Trying 69.89.25.141...
 Connected to alanchavez.com.
 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
 <html><head>
 <title>301 Moved Permanently</title>
 </head><body>
 <h1>Moved Permanently</h1>
 <p>The document has moved <a href="https:///">here</a>.</p>
 <hr>
 <address>Apache Server at alanchavez.com Port 80</address>
 </body></html>

El primer argumento de telnet es el hostname, y el segundo argumento es el puerto. Telnet es una excelente herramienta para capturar banderas de servicios comunes como HTTP (puerto 80), FTP (puerto 21) o SMTP (puerto 25)

Sin embargo, para capturar banderas de servicios personalizados y/o ocultos, la herramienta por excelencia para ésta tarea es netcat.

Netcat, en el mundo de la seguridad informática, se conoce como "la navaja suiza" de los expertos en seguridad. Cuando ésta herramienta es utilizada por expertos, netcat se convierte en una arma de "destrucción masiva", y creéme, no estoy exagerando.

Por ejemplo, si ingresas la siguiente instrucción en tu terminal:

$ nc -v alanchavez.com 443

Mi servidor te responderá con lo siguiente:

found 0 associations
found 1 connections:
 1: flags=82<CONNECTED,PREFERRED>
 outif en1
 src 192.168.1.134 port 49300
 dst 69.89.25.141 port 443
 rank info not available
 TCP aux info available
Connection to alanchavez.com port 443 [tcp/https] succeeded!

En ese punto, mi servidor se encuentra esperando por más instrucciones de tu parte. Si posteriormente ingresas:

GET / HTTP/1.1

Seguido de un <Enter> mi servidor responderá con el siguiente mensaje:

HTTP/1.1 301 Moved Permanently
Date: Thu, 22 Jan 2015 05:14:32 GMT
Server: Apache
Location: https:///400.shtml
Cache-Control: max-age=3600
Expires: Thu, 22 Jan 2015 06:14:32 GMT
Vary: Accept-Encoding
Content-Length: 291
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="https:///400.shtml">here</a>.</p>
<hr>
<address>Apache Server at alanchavez.com Port 443</address>
</body></html>

Con ésta técnica tan sencilla, un atacante puede obtener información acerca de los servicios que se encuentran corriendo en tu servidor, y un administrador de sistemas que no es cauteloso, puede revelar información valiosa como las versiones y el nombre del servicio operando en un puerto.

Conociendo esas 2 piezas de información, un atacante puede enfocarse solamente en encontrar vulnerabilidades para ése servicio y esa versión específicamente, para poder comprometer un servidor.

Medidas Preventivas

Es importante que tus servidores no revelen mas información de la necesaria. Por ejemplo cuando instalas Apache, abre el archivo httpd.conf generalmente localizado en /etc/httpd/conf/httpd.conf

Y busca la directiva ServerSignature, si esta directiva se encuentra encendida (On), cambia su valor por Off:

ServerSignature Off

Posteriormente, busca la directiva ServerTokens, y si el valor de ésta directiva es OS, cámbialo por el de Prod:

ServerTokens Prod

Si utilizas PHP, abre el archivo php.ini generalmente localizado en /etc/php.ini y busca la directiva expose_php y asegúrate que su valor sea el de Off:

expose_php = Off

Reinicia Apache para que los cambios tomen efecto, y asegúrate de que tu servidor no filtre información innecesariamente.

Notas adicionales

Si quieres aprender más acerca de seguridad, estoy iniciando un curso de seguridad informática, si te suscribes a mi lista de correo o me dejas un comentario en ésta entrada, te mantendré actualizado acerca del lanzamiento del mismo.

A %d blogueros les gusta esto: