Estoy haciendo algo de investigación y me pregunto si existe alguna base de datos que recoja las cadenas de 'fingerprinting' para poder reconocer el software y version de los diferentes productos. Es decir, en algun sitio se puede consultar p.e. el fingerprinting de filezilla server version 9.3.

Sería interesante crear un sitio recogiendo esa información.

Gracias por adelantado,
Opportunity

---

Supongo que las herramientas de fingerprinting/scaneo ya disponen de una buena base de datos de cadenas de fingerprinting, de esa forma son capaces de reconocer las versiones de los servicios/sistemas operativos en los escaneos. Es decir, cuando nmap/nessus dice que el SO es windows xp service pack 2 o la version de apache es x.xx; esa informacion la obtiene al comparar la cadena que devuelve el servicio con una serie de cadenas que tiene nmap/nessus.

¿alguien sabe si existe una base de datos ó un web que recoja todas esas cadenas? ¿o en que ficheros residen esas cadenas dentro de nmap/nessus/webscarab/etc?

Gracias,
Opportunity

---

La idea es a partir de esas cadenas usarlas en el buscador shodan de forma que p.e. busco cadenas que identifican a algun producto concreto de schneider ó honeywell y busco esas cadenas en el buscador shodan para ver si existe algun dispositivo conectado a internet.

Supongo que nmap, nessus y otros scaners disponen de esas cadenas de fingerprinting en algun fichero del sw, base de datos sqllite o algo parecido; porque al scanear un servidor devuelve puertos abiertos y version de los servicios que corren en esos puertos, tmb puede devolver version de s.o. etc.

¿alguien sabe donde se puede conseguir esa información?
thanks,
opportunity

---

Estudiando un poco los ficheros de nmap aparecen algunos que son interesantes:

- nmap.prints
- nmap-os-db
- nmap-mac-prefixes

De estos ficheros se puede obtener una buena lista de fabricantes y versiones de SO; no es exactamente lo que buscaba pero de momento sirve para cruzar esta info con busquedas en shodan.

Opportunity

---

Solamente quería dejar un par de links para quien quiera aprender y practicar con shodan:

El blog del propio web (ingles), en el cual hay ejemplos de uso de shodan:
https://shodanio.wordpress.com/

Resultados del proyecto SHINE hecho a partir de Shodan:
http://www.slideshare.net/BobRadvanovsky/project-shine-findings-report-dated-1oct2014

Opprotunity


[MOD] No está permitido hacer doble post, y en tu caso son cinco seguidos.
             Usa "modificar", para añadir comentarios.
             Deberias leerte las Reglas del Foro.

El otro dia estuve leyendo sobre el puerto 1 y la verdad que su definicion parece interesante. No he encontrado mucha informacion; como intro podeis leer la wiki en ingles:

http://en.wikipedia.org/wiki/TCP_Port_Service_Multiplexer

Viene a decir que es un puerto al que se le puede preguntar sobre si otros puertos/aplicaciones estan ejecutandose en el sistema; si se esta ejecutando algo en el puerto pedido devuelve '+'; si no se esta ejecutando nada en ese puerto pero esta presente, devuelve '+' y ademas lo ejecuta; si no se esta ejecutando y no esta presente, devuelve '-'.

¿Alguien sabe algo mas de este puerto?

Tiene pinta de poder ser un buen agujero si está en ejecucion en la maquina. A traves suyo se puede hacer un scaneo de puertos y tmb ejecutar los procesos de esos puertos.

Jugando con netcat me he preguntado si es posible que dos procesos estén a la escucha del mismo puerto.

Creo que no es posible y las pruebas que he hecho dicen que no es posible, pero tengo mis dudas.

Alguien ha visto el primer capitulo de las entrevistas de julian? Al final del todo aparecen un par de claves muy curiosas; una pone PGP.
Que pensais que puede ser?

http://www.bitsrojiverdes.org/wordpress/?p=6721

Alguien sabe para que se usa o el significado de la IP 0.0.0.0?

Ejecutando netstat -na siempre aparecen conexiones desde la ip 0.0.0.0, ¿que significa? ¿existe realmente una conexion?

chas gracias

Tengo una pequeña duda; si tengo un rooter bien configurado (es decir, tengo controlados los puertos abiertos y cerrados) ¿es necesario tmb tener un firewall en el pc? ¿Es redundante? ¿que riesgos tiene?

gracixx

Hola,

Recientemente he cambiado el acceso a internet pasando del cable-modem de nono al rooter de vodapone (la passwd por defecto - vodafone/vodafone ya la cambie).

Desde el pc de un amigo he hecho un nmap a mi maquina para comprobar (ver puertos abiertos) como se ve mi pc desde internet, el resultado es:

nmap -sS -T5 -F -PN xxx.xxx.xxx.xxx

21 tcp filtered ftp  no-response       
23 tcp open telnet  syn-ack       
80 tcp open http  syn-ack       
135 tcp filtered msrpc  no-response       
139 tcp filtered netbios-ssn  no-response       
445 tcp filtered microsoft-ds  no-response       
8081 tcp open blackice-icecap  syn-ack

Supuestamente los puertos 21 y 23 estan cerrados en mi pc (los servicios ftp y telnet estan parados), pero nmap los detecta como abiertos. Desde el otro pc intento hacer telnet pero no pide user/pass, al teclear cualquier caracter sale del telnet y vuelve al prompt de windows. Al intentar ftp no consigue conectar y devuelve Unknown error number.

Los puertos 135, 139 y 445 ya he leido por aqui como se pueden cerrar parando el servicio Remote Registry, o temas de Wins/Netbios, si no consigo cerrarlos ya os preguntare.

De lo que no tengo ni idea es de los puertos 80 y 8081, ¿para que los utiliza? ¿hay peligro de que alguien pueda acceder a mi pc a través de ellos? ¿es necesario que esten abiertos? ¿como se pueden cerrar? ¿pq que muestra los puertos de telnet y ftp si luego no es posible conectarse?

Muxas gracias por adelantado.

Necesito saber si alguien ha hecho sql injection en paginas aspx?
He investigado un poco y he encontrado que la variable __viewstate de las paginas web recoge todas las variables/valor de la pagina; viene codificada en base64 y puede ser cifrada configurando el servidor.

Hay algo de documentación en:
http://aspalliance.com/articleViewer.aspx?aId=135&pId=

Decoder online de viewstate para ver la estructura de la pagina en estructura de arbol:
http://lachlankeown.blogspot.com/2008/05/online-viewstate-viewer-decoder.html

Parece que tmb existen decoders como addons del firefox pero no los he probado.

Alguien puede aportar algo mas? es posible injectar?
Como se puede saber si la variable enableViewStateMac del fichero web.config esta activa?
para que sirven las variables __eventargument y __eventtarget?

gracias por adelantado

queria saber ¿Que ficheros son interesantes leer en una injeccion sql bajo windows? al igual que en linux se lee /etc/passwd en windows que se puede leer?
he intentado leer c:\boot.ini o con barra invertida c:/boot.ini y tmb el fich C:\WINNT\system32\drivers\etc pero no da resultados.

alguna pista? grace

estoy tratando de buscar la pagina de login de un web o de un cms pero no hay forma de lograrlo.

he intentado buscar en google por admin, panel,intranet, login,... y con directiva site: pero los resultados no me dicen nada util.

mi pregunta es: ¿como puedo buscar la pagina de login de un web o cms si no conozco la url? ¿y si esta url no esta enlazada por ninguna otra pagina del web como puedo encontrarla?

Explico mi duda:
Los webcrawlers rastrean desde la pagina inicio de un web p.e. www.elhacker.net y a partir de las url's encontradas en esa pagina de inicio van rastreando en busca de nuevas url's y asi hasta rastrear todo el arbol de url's. Pero si la url que busco no esta enlazada desde ninguna, ¿es imposible encontrarla? es decir, si existe la pagina www.elhacker.net/panel/login.php pero no está enlazada desde ninguna otra pagina de www.elhacker.net, ¿como puedo encontrarla?

grace