Estoy haciendo algo de investigación y me pregunto si existe alguna base de datos que recoja las cadenas de 'fingerprinting' para poder reconocer el software y version de los diferentes productos. Es decir, en algun sitio se puede consultar p.e. el fingerprinting de filezilla server version 9.3.

Sería interesante crear un sitio recogiendo esa información.

Gracias por adelantado,
Opportunity

---

Supongo que las herramientas de fingerprinting/scaneo ya disponen de una buena base de datos de cadenas de fingerprinting, de esa forma son capaces de reconocer las versiones de los servicios/sistemas operativos en los escaneos. Es decir, cuando nmap/nessus dice que el SO es windows xp service pack 2 o la version de apache es x.xx; esa informacion la obtiene al comparar la cadena que devuelve el servicio con una serie de cadenas que tiene nmap/nessus.

¿alguien sabe si existe una base de datos ó un web que recoja todas esas cadenas? ¿o en que ficheros residen esas cadenas dentro de nmap/nessus/webscarab/etc?

Gracias,
Opportunity

---

La idea es a partir de esas cadenas usarlas en el buscador shodan de forma que p.e. busco cadenas que identifican a algun producto concreto de schneider ó honeywell y busco esas cadenas en el buscador shodan para ver si existe algun dispositivo conectado a internet.

Supongo que nmap, nessus y otros scaners disponen de esas cadenas de fingerprinting en algun fichero del sw, base de datos sqllite o algo parecido; porque al scanear un servidor devuelve puertos abiertos y version de los servicios que corren en esos puertos, tmb puede devolver version de s.o. etc.

¿alguien sabe donde se puede conseguir esa información?
thanks,
opportunity

---

Estudiando un poco los ficheros de nmap aparecen algunos que son interesantes:

- nmap.prints
- nmap-os-db
- nmap-mac-prefixes

De estos ficheros se puede obtener una buena lista de fabricantes y versiones de SO; no es exactamente lo que buscaba pero de momento sirve para cruzar esta info con busquedas en shodan.

Opportunity

---

Solamente quería dejar un par de links para quien quiera aprender y practicar con shodan:

El blog del propio web (ingles), en el cual hay ejemplos de uso de shodan:
https://shodanio.wordpress.com/

Resultados del proyecto SHINE hecho a partir de Shodan:
http://www.slideshare.net/BobRadvanovsky/project-shine-findings-report-dated-1oct2014

Opprotunity


[MOD] No está permitido hacer doble post, y en tu caso son cinco seguidos.
             Usa "modificar", para añadir comentarios.
             Deberias leerte las Reglas del Foro.

En ste enlace hay bastantes formatos de cifras-hashes que reconoce john the ripper

http://pentestmonkey.net/cheat-sheet/john-the-ripper-hash-formats


Advertencia: no se han publicado mensajes en este tema por aproximadamente 60 días.
Por favor considera mejor crear un nuevo tema, no se reabren temas tan antiguos.

Alguien sabe como diferenciar hashes mysql-fast de hashes mysql?

Ambos son de longitud 16.

http://pentestmonkey.net/cheat-sheet/john-the-ripper-hash-formats

mysql-fast – MYSQL_fast:

$ cat hashes.txt
60671c896665c3fa
$ john hashes.txt
$ john --format=mysql-fast hashes.txt


mysql – MYSQL:

$ cat hashes.txt
5d2e19393cc5ef67
$ john hashes.txt # Doesn't work.  JTR detects hash as "MYSQL_fast".
$ john --format=mysql hashes.txt

Aqui puedes ver un buen listado de cifras distintas.

http://pentestmonkey.net/cheat-sheet/john-the-ripper-hash-formats

He estado mirando y no he visto ninguna de 28 caracteres.

Echa un vistazo a sta pagina, habla de los diferentes formatos de cifras de johntheripper.

http://pentestmonkey.net/cheat-sheet/john-the-ripper-hash-formats

El otro dia estuve leyendo sobre el puerto 1 y la verdad que su definicion parece interesante. No he encontrado mucha informacion; como intro podeis leer la wiki en ingles:

http://en.wikipedia.org/wiki/TCP_Port_Service_Multiplexer

Viene a decir que es un puerto al que se le puede preguntar sobre si otros puertos/aplicaciones estan ejecutandose en el sistema; si se esta ejecutando algo en el puerto pedido devuelve '+'; si no se esta ejecutando nada en ese puerto pero esta presente, devuelve '+' y ademas lo ejecuta; si no se esta ejecutando y no esta presente, devuelve '-'.

¿Alguien sabe algo mas de este puerto?

Tiene pinta de poder ser un buen agujero si está en ejecucion en la maquina. A traves suyo se puede hacer un scaneo de puertos y tmb ejecutar los procesos de esos puertos.

Curioso programa socat; dejo unos links para el que quiera saber mas de socat; es un netcat avanzado, con posibilidades de ssl, sockets, proxy, ...

http://www.netsecure.com.ar/2010/11/26/socat-con-ejemplos/

http://thehackerway.com/2011/08/10/herramientas-para-hacking-en-entornos-de-red-%E2%80%93-tipos-de-conexiones-avanzadas-con-socat-ssl-sockets-proxy-parte-iv/

http://thehackerway.com/2011/08/08/herramientas-para-hacking-en-entornos-de-red-%E2%80%93-conectividad-con-socat-parte-iii/

www.dest-unreach.org/socat/ (ing)

He probado con socat y tmb da error:

En una consola pongo a la escucha nc en el puerto 80 ejecutando:

nc -l -p 80

En otra consola ejecuto socat a ver que ocurre:

socat TCP4-LISTEN:80 TCP4:www.google.com:80

(este comando pone a la escucha al pc en el puerto 80 y el trafico que reciba lo redirige al server www.google.com por el puerto 80)

Y el resultado es:
2012/11/02 03:57:07 socat[2177] E bind(3, {AF=2 0.0.0.0:80}, 16): Address already in use

Segun dice el error, el puerto ya esta en uso y por tanto no puede hacer bind.

Hago la misma prueba pero usando solamente socat:

Me pongo a la escucha del puerto 80 redirigiendo a www.google.com:80:

socat TCP4-LISTEN:80 TCP4:www.google.com:80

Intento ponerme a la escucha otra vez por el puerto 80 pero redirigiendo a www.bing.com:

socat TCP4-LISTEN:80 TCP4:www.bing.com:80

Y de nuevo obtengo el mismo error:

2012/11/02 04:03:01 socat[2187] E bind(3, {AF=2 0.0.0.0:80}, 16): Address already in use

Por lo que parece, segun disegno de TCP/IP no es posible poner dos procesos a escuchar por el mismo puerto.

He hecho una prueba y parece ser que dos procesos no pueden escuchar por el mismo puerto.

Prueba:
Arranco el servidor web Apache escuchando por el puerto 80.
Intento poner netcat a escuchar en el mismo puerto

ncat -l -p 80

Retorna error:

ncat: bind to 0.0.0.0:80: Address already in use. QUITTING.

ó tmb:
ncat localhost -l -p 80
ncat: bind to 127.0.0.1:80: Address already in use. QUITTING.

Mirando documentacion de TCP/IP tmb parece que el standard no lo permite por definicion.

Solo se me ocurre que sea posible saltarse el standard buscando algun bug en el s.o.

Jugando con netcat me he preguntado si es posible que dos procesos estén a la escucha del mismo puerto.

Creo que no es posible y las pruebas que he hecho dicen que no es posible, pero tengo mis dudas.