Consulta informatica forense

Todos los comentarios sobre redes y servidores en linux y su interacción con otros sistemas operativos.

Moderadores: doc, Kde_Tony, ps-ax

Responder
miguelacho123
Forista Nuevo
Forista Nuevo
Mensajes: 3
Registrado: Mié Feb 08, 2017 4:59 pm

Consulta informatica forense

Mensaje por miguelacho123 »

Estimados:

Les comento que estoy efectuando una tarea para mi facultad, y una de las guías de ejercicios incluye una práctica de NETCAT para obtener información entre dos PC's

Tengo dos máquinas virtuales ejecutando KALI Linux, en la máquina 1 ejecuto este comando de netcad:

PC1 : #nc -l -p 3333 > eld-fecha_inicio_recol ( está escuchando )

En la PC2: #mnt/cdrom/date -u | /mnt/cdrom/nc 192.168.1.6 3333 -w 3 ( envía información)

El problema está en que no logro transmitir la información desde la PC2. Por lo que entiendo, se está queriendo enviar la fecha de montaje de la cdrom de la PC2 a la PC 1, pero no se está enviando nada, surge un error cuando tipeo ese comando.

Además, no quiero hacerlo con el cdrom, estoy usando una memoria flash de 4 Gigas que está conectada a la PC2. Monté la memoria flash en una carpeta que creé en el directorio HOME.



La guía también me pide obtener esta información de la PC2 con los siguientes comandos:

#/mnt/cdrom/arp -an | /mnt/cdrom/nc 192.168.1.6 3333 -w 3
# /mnt/cdrom/route -Cn | /mnt/cdrom/nc 192.168.1.6 3333 -w 3
# /mnt/cdrom/netsat -an| /mnt/cdrom/nc 192.168.1.6 3333 -w 3
# /mnt/cdrom/cat /proc/net/netstat | /mnt/cdrom/nc 192.168.1.6 3333 -w 3
#/mnt/cdrom/dd < /proc/kcore | /mnt/cdrom/nc 192.168.1.6 3333 -w 3
#/mnt/cdrom/memdump | /mnt/cdrom/nc 192.168.1.6 3333 -w 3
#mnt/cdrom/date -u | /mnt/cdrom/nc 192.168.1.6 3333 -w 3

Alguien tiene una idea de cual es el problema en estos comandos que impide que se envíe la información de la PC2 A LA PC1?

Desde ya gracias por sus aportes

MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: Consulta informatica forense

Mensaje por MetTxin »

Creo que sobra la opción "-p" en

Código: Seleccionar todo

nc -l -p 3333
al menos en OpenBSD sería así

Código: Seleccionar todo

nc -l 3333 > fichero_salida
quedaría escuchando en el puerto de la ip que pongas. Por ejemplo

Código: Seleccionar todo

nc -l 192.168.1.6 3333
después en PC2 bastaría por ejemplo con enviarle los comandos:

Código: Seleccionar todo

(date -u && arp -an) | nc 192.168.1.6 3333
y cuando acabe hacer Ctrl-C (quizás tu -w 3 sirve para pararlo, no he mirado) y verás si en fichero_salida ha registrado las salidas de los comandos. Igual con el resto de comandos.

Lo que no sé es por qué pones la ruta entera en el caso de los comandos, "/mnt/cdrom/date -u", ¿tienes ahí los ejecutables?, si no es así sería normal que te diese un error al no encontrarlos.

miguelacho123
Forista Nuevo
Forista Nuevo
Mensajes: 3
Registrado: Mié Feb 08, 2017 4:59 pm

Re: Consulta informatica forense

Mensaje por miguelacho123 »

Muchas gracias por tu respuesta master!

Estoy siguiendo una guía de estudio ( que adjunto en formato pdf) en donde se indica, paso a paso, lo que hay que realizar para la prueba.

En uno de los puntos previos a la práctica, se establece que hay que formatear la memoria flash y guardar ahí las herramientas que van a servir para recolectar la información solicitada mas adelante. También menciona que se debe montar sin permisos de escritura.

Ahora entiendo que lo que se está sugiriendo en la guía es que se usen las herramientas guardadas en la memoria flash, por eso especifican las rutas con este comando. Tanto date como nc están en la ruta mnt/cdrom y que envíe lo que obtenga a 192.168.1.6 por el 3333.

En la PC2: #mnt/cdrom/date -u | /mnt/cdrom/nc 192.168.1.6 3333 -w 3

Según la guía este comando se usaría si las herramientas estuvieran en un cdrom, ¿Pero si en mi caso yo las tengo en la memoria flash (sdb) como sería la sintáxis para hacer que mi linux use las herramientas de esta memoria flash?

Ojo, no tengo las herramientas que se piden usar( date, arp, route, netstat,cat, dd, memdump, ni nc) En la guía está un vínculo aparente donde deberían estar http://www2.opensourceforensics.org/tools/unix.html , pero no hay nada disponible ahí.
Adjuntos
03-Guia-Recol-Linux.pdf
(543 KiB) Descargado 18 veces
Última edición por miguelacho123 el Jue Feb 09, 2017 2:52 am, editado 1 vez en total.

MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: Consulta informatica forense

Mensaje por MetTxin »

Ahora entiendo lo de poner la ruta completa, sí, al ser un análisis donde prima la seguridad utiliza los binarios propios y no los del sistema diana.

Pues es lo primero que necesitas, las herramientas que vas a meter en la memoria USB desde donde vas a ejecutarlas, y efectivamente el enlace donde dices que deberían estar está caído, da un error mysql

Para montar la memoria en el pc diana tienes que hacer exactamente igual que para el cdrom, lo único que cambiará es el cómo te reconocerá el dispositivo (siempre puedes hacer un "dmesg" en el pc diana para saber cómo te la reconoce), si es sdb lo montas donde quieras, en /mnt/cdrom vale perfectamente si existe (no es más que un nombre de directorio eso, puede llamarse como quiera).

Vamos, asegúrate de recopilar todas las herramientas que te dicen, las copias en la memoria USB, la montas en lectura como montarías cualquier dispositivo y ejecutas los binarios con la ruta completa cuando los hayas conseguido.

Lo de la opción "-p" es curioso, también en el pdf la ponen, sin embargo en la página man de nc de OpenBSD pone que es imcompatible con "-l". Puede que sean versiones diferentes.

Edito. He mirado la manpage de linux de nc y es igual,
-l
Used to specify that nc should listen for an incoming connection rather than initiate a connection to a remote host. It is an error to use this option in conjunction with the -p , -s , or -z options. Additionally, any timeouts specified with the -w option are ignored.

miguelacho123
Forista Nuevo
Forista Nuevo
Mensajes: 3
Registrado: Mié Feb 08, 2017 4:59 pm

Re: Consulta informatica forense

Mensaje por miguelacho123 »

¡Perfecto! ¡Mucho mas claro que al principio!

Como no tengo las herramientas estoy usando directamente las instaladas en el Kali, es una prueba de concepto. Preguntaré donde se consigue el pack de herramientas, pero lo que se quería demostrar queda entendido.

Muchas gracias

Responder
  • Temas similares
    Respuestas
    Vistas
    Último mensaje