Sobre informe de NMAP (escaneo de puertos)

Iniciado por jarlnder, 7 Enero 2011, 18:07 PM

0 Miembros y 1 Visitante están viendo este tema.

Garfield07

Bueno... repasando  ;D Si es asi, solo puede ser un firewall de los buenos o un server completito  :silbar:

A no ser que hayas sacado la IP de un mal sitio  :P a ver si te metes con la CIA xD...
De donde sacastes tu IP?


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

jarlnder

#11
La IP la he sacado tanto del campo X-Originating-IP del código fuente del e-mail (de hotmail.es) como lo he verificado con netstat durante la conexión por MSN (que también pasa por hotmail.es, claro). También le envié un e-mail de estos que te envían la IP y demás información de la persona que lo ha abierto, y me ha arrojado los mismos resultados.
En cuanto pueda también probaré de que entre en mi web, y veré las estadísticas.

La persona en cuestión tampoco parece un hacker avanzado ni nada por el estilo. No creo que tenga un server montado en su casa.
Me parecen demasiadas molestias para alguien que simplemente se aburre y quiere pasar el rato; no creo que pretenda nada más.

Es extraño, pero parece que esa IP corresponda más bien a un server de ONO, y no me gustaría que se presentaran en mi casa o me denunciaran por intrusismo, claro.

No tengo mucha idea de cómo funciona todo esto; apenas empecé a investigar a raíz de este problema. De todas las pruebas que he hecho, el único caso en que tengo estos resultados tan extraños es en este.
Y son demasiadas cosas raras...: Al trazar la ruta és la única que pasa por UK, el tema del servidor, ...

No sé si es muy normal, todo esto.

Y lo que dije antes: ¿qué pasaría si esta persona se está conectando mediante Internet móvil por USB con Ono, por ejemplo? En teoría en UK tendría que coger señal, y quizás estoy pillando la IP del servidor que gestiona esa conexión...

Saludos.

Garfield07

Puede ser.
Ahhh joer sere tonto !!!!!!

Claro! Esa IP es la del router de su casa. Por eso es asi! No puedes acceder asi, tienes que acceder primero a ese router... Busca vulns en Google xD. Ono creo que es facil, pero no lo he hecho nunca...


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

jarlnder

#13
Cita de: Sagrini en  8 Enero 2011, 21:13 PM
Puede ser.
Ahhh joer sere tonto !!!!!!

Claro! Esa IP es la del router de su casa. Por eso es asi! No puedes acceder asi, tienes que acceder primero a ese router... Busca vulns en Google xD. Ono creo que es facil, pero no lo he hecho nunca...
Hm... pero entonces estamos en lo del principio: esa IP sí indica donde se haya la persona. No me cuadra mucho.

La verdad es que de esto último que dices no tengo mucha idea. Para poder acceder a su router, debería saber qué router tiene, ¿no?
El informe de puertos no me indica nada de routers, sino de servidores y demás...
Y ya digo: el resto de pruebas que he hecho, he obtenido la IP del PC, no del router (empezando conmigo mismo).

Cuanto más entras en este mundo, más liado estás...

Garfield07

Sep, vamos a ver, este user esta conectado a Internet desde un router. Entonces tu no puedes acceder desde fuera a su PC. Primero tienes que entrar en el router, y una vez en su red local, entrar :P
Es como una urbanización de casas. Para entrar en una casa, tienes que entrar primero en la urbanización  ;-)
Dudas here xD


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

jarlnder

Entonces las conclusiones que saco son:

a) La localización de la IP es correcta.
b) No voy a poder entrar en su PC ni saber quién es la persona (no sé qué modelo de router tiene, y tiene todos los puertos cerrados).

Pues vaya :(

Garfield07

1) Correcto
2) Que va! Ahora se pone muy interesante :P. Te ayudare desde aqui  ;)

Lo primero que tenemos que hacer es recolectar algo de info de la victima  ::)
1) Empieza con un scan de puertos rapido, codea algo sencillito, o nmap, y luego posteas y veremos que tiene el muchachote.
2) Luego podriamos buscar alguna vulnerabilidad en sus versiones. Nada mas sencillo. Pero por favor ni Nessus ni Metasploit ni nada. Si no quieres buscarla tu en el code (lo cual por desgracia no querras hacer), mira en Google, pero nada mas. Seguro que hay algo xD... Pero es ya lo veremos cuando veamos los puertos.

Aqui te espero!


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

jarlnder

De nuevo y por enésima vez: mil gracias, Sagrini :)

El log más intenso que he hecho a esa IP es el que he posteado en el primer mensaje.
Ahora he hecho uno "normal", me arroja esto:
CitarStarting Nmap 5.21 ( http://nmap.org ) at 2011-01-08 23:11 Hora estándar romance

NSE: Loaded 36 scripts for scanning.

Initiating Ping Scan at 23:11

Scanning xx.x7.xx1.xx7 [8 ports]

Completed Ping Scan at 23:11, 0.37s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 23:11

Completed Parallel DNS resolution of 1 host. at 23:11, 0.25s elapsed

Initiating SYN Stealth Scan at 23:11

Scanning xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7) [1000 ports]

Completed SYN Stealth Scan at 23:11, 31.41s elapsed (1000 total ports)

Initiating Service scan at 23:11

Initiating OS detection (try #1) against xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)

Retrying OS detection (try #2) against xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)

Initiating Traceroute at 23:11

Completed Traceroute at 23:11, 0.06s elapsed

Initiating Parallel DNS resolution of 2 hosts. at 23:11

Completed Parallel DNS resolution of 2 hosts. at 23:11, 0.04s elapsed

NSE: Script scanning xx.x7.xx1.xx7.

NSE: Script Scanning completed.

Nmap scan report for xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)

Host is up (0.035s latency).

All 1000 scanned ports on xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7) are filtered

Too many fingerprints match this host to give specific OS details

Network Distance: 2 hops



TRACEROUTE (using proto 1/icmp)

HOP RTT      ADDRESS

1   28.00 ms 10.204.96.1

2   38.00 ms xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)



Read data files from: C:\Program Files\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 37.97 seconds

           Raw packets sent: 2055 (93.344KB) | Rcvd: 15 (988B)


Creo que este log no dice nada; pero tal y como decía el otro: tiene todos los puertos cerrados. Y sin puertos...

P.D.: Te mando un MP

Garfield07

Con que argumentos lo has hecho?
Prueba sencillamente con:

sudo nmap -v -sV 127.0.0.1

Eso nos da bastante informacion importante...


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

jarlnder

Con este comando simplemente obtengo este log:
Citar

Starting Nmap 5.21 ( http://nmap.org ) at 2011-01-09 00:34 Hora estándar romance

NSE: Loaded 4 scripts for scanning.

Initiating Ping Scan at 00:34

Scanning xx.x7.xx1.xx7 [4 ports]

Completed Ping Scan at 00:34, 0.34s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 00:34

Completed Parallel DNS resolution of 1 host. at 00:34, 0.11s elapsed

Initiating SYN Stealth Scan at 00:34

Scanning xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7) [1000 ports]

Completed SYN Stealth Scan at 00:35, 48.82s elapsed (1000 total ports)

Initiating Service scan at 00:35

NSE: Script scanning xx.x7.xx1.xx7.

NSE: Script Scanning completed.

Nmap scan report for xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)

Host is up (0.046s latency).

All 1000 scanned ports on xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7) are filtered

Read data files from: C:\Program Files\Nmap

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 50.95 seconds

           Raw packets sent: 2004 (88.152KB) | Rcvd: 1 (28B)

Pero no veo ninguna información sobre los puertos; ni entiendo lo último de los paquetes (¿sólo ha recibido uno?).

Saludos.