lunes, agosto 20, 2012

Analizando hosts Windows y *NIX* con SNMP (1 de 2)

En esta tercera entrega sobre Shodan y SNMP [Administrando el mundo con agentes SNMP y Descubrir la red de una empresa con consultas SNMP] estuve jugando un poco con los agentes que se instalan en los hosts. Estos pueden ser sistemas empotrados, servidores e incluso teléfonos móviles, lo que puede permitir extraer información del sistema detallada del equipo y el software instalado en ellos.

Para encontrarlos, basta con seleccionar búsquedas en Shodan por el puerto 161 (SNMP) y buscar una cadena con el nombre del sistema operativo. Después, configurar el cliente SNMP - yo usé MIB Browser - para realizar las consultas con la versión SNMPv2, que no está autenticada y es pública, y conectarse al sistema para lanzar queries SNMP que extraigan información del host. 

Figura 1: Consultas SNMP relativas al hosts

Encontrar agentes SNMP instalados en sistemas Microsoft Windows es mucho más común de lo que se puede pensar. El problema es que muchas empresas tienen sistemas Microsoft con agentes SNMP desplegados que soportan consultas SNMPv2 públicas, y cuando estos equipos se conectan a Internet sin un firewall por delante desde otra ubicación que no es la red de la empresa quedan expuestos. 

El siguiente ejemplo muestra un Windows 2000 en un sistema Huawei, que tiene como curiosidad que en la información SNMP del sistema se puede leer el número de teléfono de la compañía. La información del equipos es un sub-árbol que cuelga de System.

Figura 2: Equipo con Windows NT 5.0

Eligiendo la versión del sistema concreta, también salen Windows 6.0 - Windows Vista o Windows Server 2008 - y Windows 6.1 - Windows 7 o Windows Server 2008 R2 -. En el siguiente ejemplo se puede ver un Windows 7, ya que en el nombre aparece el nombre de la máquina terminado con -PC.

Figura 3 - Equipo con Windows 7

Me ha llamado más atención encontrar equipos Windows CE de terminales móviles, administrados probablemente por SNMP usando algún System Center, en los que se puede extraer mucha info. En la imagen siguiente, accediendo a la información del sistema aparece el nombre del terminal.

Figura 4: Equipo con WIndows CE 5.0

De estos sistemas, consultado las tablas de información de host se pueden sacar cosas bastante curiosas, como por ejemplo el almacenamiento del sistema en la tabla hrDiskStorageTable.

Figura 5: Información de almacenamiento de un Windows CE

También es posible consultar los dispositivos conectados al terminal del teléfono en la tabla hrDeviceTable.

Figura 6: Información en hrDeviceTable

Si el equipo es más potente, se pueden obtener muchos más datos, como por ejemplo este servidor Intel con VMWare, en el que aparecen todos los microprocesadores y sus velocidades.

Figura 7: Información de hrDeviceTable de un servidor Intel con VMWare

Lo más curioso es que entre las tablas que pueden ser consultadas están las relativas al software que está en ejecución en un sistema, dentro de la tabla SNMP hrSWRunTable.

Figura 8: Procesos en ejecución en un Windows CE

En la siguiente parte de este artículo os mostraré más datos de lo que se puede consultar con SNMP en  algunos otros sistemas Linux y UNIX que también salen cosas muy peculiares.

Saludos Malignos!

***************************************************************************************************
Analizando hosts Windows y *NIX* con SNMP (1 de 2) 
***************************************************************************************************

No hay comentarios:

Entrada destacada

Cibercriminales con Inteligencia Artificial: Una charla para estudiantes en la Zaragoza

Hoy domingo toca ir a participar en un evento, con una charla y una pequeña demo. Ahora mismo sí, así que el tiempo apremia, os dejo una cha...

Entradas populares