Nmap: Características de la nueva versión 7.40

Buen día!

Decidí resumir las nuevas características de Nmap. de su reciente versión 7.40 lanzada el pasado 20 de diciembre de 2016. Como siempre digo, no me detendré a explicar qué es Nmap, en Google está esa información o Wiki.

La lista oficial de cambios la puedes ver de acá https://nmap.org/changelog.html. Dentro de los cambios más importantes están:


Actualización en cientos de firmas para detectar sistemas operativos y su versión


Se integraron a Nmap los servicios y versiones enviadas por la comunidad durante abril de 2016 a septiembre de 2016 (779 de ellos), con esto la herramienta ahora detecta 1161 protocolos, puedes ver más detalles acá http://seclists.org/nmap-dev/2016/q4/115

Además de los servicios, se integraron las firmas enviadas de sistemas operativos (568 adicionales), aumentando a un total de 5.336 firmas, entre ellas, Linux 4.6, macOS 10.12 Sierra, NetBSD 7.0. Pueds ver más detalles acá http://seclists.org/nmap-dev/2016/q4/110


Sistema para cracking de contraseñas vía fuerza bruta más rápida


El script de fuerza bruta, para el cracking de contraseñas es ahora más veloz y preciso. Las mejoras incorporadas en el script (parte del NSE) brute.lua ayudan a utilizar de mejor manera los recursos. Se crean nuevos hilos (procesos) de forma dinámica, dependiento de los mensajes y respuestas del protocolo auditado, por ejemplo, errores 421 del servicio FTP, errores en la red como timeouts, entre otros.

Actualización de la librería npcap que se usa en plataformas Windows


npcap es un proyecto de Nmap, es un paquete de librerías para realizar sniffing en Windows, este proyecto está basado en la famosa librería winpcap (más información).

Ahora Nmap pasó desde usar npcap 0.10r9 a npcap 0.78r5, con una experiencia de instalación mejorada, actualización en las firmas de los drivers (controladores) para trabajar con Windows 10 build 1607 y la corrección de errores al trabajar con WiFi.


12 nuevos scripts (NSE) a partir de 4 autores

El Nmap Scripting Engine (NSE) es una característica que permite a los usuarios escribir sus propias herramientas usando el motor de Nmap, con los nuevos 12 scripts incorporados se llega a un total de 512 scripts (más información).

Los scripts incorporados son:


   - cics-enum enumerates CICS transaction IDs, mapping to screens in
   TN3270 services. [Soldier of Fortran]
   - cics-user-enum brute-forces usernames for CICS users on TN3270
   services. [Soldier of Fortran]
   - fingerprint-strings will print the ASCII strings it finds in the
   service fingerprints that Nmap shows for unidentified services. [Daniel
   Miller]
   - [GH#606] ip-geolocation-map-bing renders IP geolocation data as an
   image via Bing Maps API. [Mak Kolybabi]
   - [GH#606] ip-geolocation-map-google renders IP geolocation data as an
   image via Google Maps API. [Mak Kolybabi]
   - [GH#606] ip-geolocation-map-kml records IP geolocation data in a KML
   file for import into other mapping software [Mak Kolybabi]
   - nje-pass-brute brute-forces the password to a NJE node, given a valid
   RHOST and OHOST. Helpfully, nje-node-brute can now brute force both of
   those values. [Soldier of Fortran]
   - [GH#557] ssl-cert-intaddr will search for private IP addresses in TLS
   certificate fields and extensions. [Steve Benson]
   - tn3270-screen shows the login screen from mainframe TN3270 Telnet
   services, including any hidden fields. The script is accompanied by the new
   tn3270 library. [Soldier of Fortran]
   - tso-enum enumerates usernames for TN3270 Telnet services. [Soldier of
   Fortran]
   - tso-brute brute-forces passwords for TN3270 Telnet services. [Soldier
   of Fortran]
   - vtam-enum brute-forces VTAM application IDs for TN3270 services.
   [Soldier of Fortran]


Ahora habrá que probar!.

Saludos


Comentarios

Publicar un comentario

Entradas populares de este blog

Desempaquetando Themida 2 (unpacking windows binary) - Análisis de Malware

Imagen
Comparto el mecanismo que me ha funcionado para desempacar los binarios protegidos con Themida 2. Para quienes no conocen Themida, se trata de un software comercial, cuyo objetivo es proteger los binarios de la ingeniería inversa, pensando en proteger a los fabricantes de software de la copia de sus códigos, impedir la generación de cracks o keygens para sus licencias, entre otros. Pero obviamente, esto también es aprovechado por los atacantes que escriben malware, ya que este mecanismo hace mucho más difícil el análisis de los investigadores. En el ejemplo que explico ahora, revisaré un troyano que comparto acá: https://github.com/inc0d3/malware/blob/master/windows/Trusteer.zip Para el análisis recomiendo usar Windows 7 32 bits con las herramientas de Flare: https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html Ejecuté el malware e inmediatamente surgió este error: Es porque tenía corriendo las utilidades Process Monitor y Proce
Leer más

Ocultando la web shell como una imagen (Apache + PHP)

Imagen
Iniciamos marzo con una técnica muy utilizada, se trata de ocultar una shell que hemos subido a nuestro servidor objetivo, ocultarla 100% no será posible, pero si pasará desapercibida para muchos administradores y webmasters. La técnica consiste en que nuestro script (PHP en este caso) se oculte bajo una supuesta imagen. Primero, se asume que detectamos una vulnerabilidad que nos permita crear un archivo en el servidor, luego explotamos la vulnerabilidad y subimos nuestra shell, supongamos un plugin de Wordpress que hace upload de imagenes sin validar. Podríamos ver un directorio similar a este: Lo que vemos, es claramente un script PHP, debe mantener esa extensión para que el servidor lo interprete, lo ejecute y podamos hacer uso de este. El problema es que es demasiado evidente que se ha vulnerado la aplicación, entonces se hace necesario ocultar o camuflar esta intrusión de alguna forma. Apache permite sobre escribir algunas configuraciones a través de un archivo qu
Leer más

Evasión de antivirus modernos usando Process Injection - MITRE T1055

Imagen
  En octubre de este año revisé algunas técnicas comunes de inyección de shellcode en otros procesos, también conocido como Process Injection y puse a prueba algunos antivirus, me hubiese gustado probar más, pero por tiempo no pude. Me sorprendió que siendo técnicas conocidas y sin ofuscación alguna lograra evadir varios antivirus.  Si bien esto lo hago con el propósito de aprender y poner a prueba algunas marcas (a todas les reporté esto), deja en evidencia lo que siempre decimos, que no debemos descansar en "cajas" ni en productos de seguridad si no que deben ser parte de una cadena de mecanismos de protección (protección por capas, partiendo por la capa 8). Incluye el código fuente por si quieres poner a prueba tu antivirus.
Leer más