Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 5.

smb cifs netbios

En los cuatro primeros capítulos de esta serie dedicada a  los eventos SMB / CIFS – NETBIOS, hemos visto los mensajes del tipo  Name query NB, Name query response NB, pasos previos a Negotiate protocol y Negotiate protocol Request y Negotiate protocol Response. Estos pasos, recordad, eran:

  • Echo ping request
  • Echo ping response
  • Session request, to….
  • Positive session response
  • Negotiate protocol Request
  • Negotiate protocol Response

En esta ocasión vamos a ver la negociación de autentificación con el servidor del recurso.

Los procesos de los que vamos a hablar hoy lo podemos ver en el siguiente gráfico:

smb cifs netbios

Los dos primeros los vimos en el anterior capítulo, los enmarcados en cuadro rojo los veremos hoy.

Se trada del proceso de negociación de autentificación que es iniciado (paquete 28) or el host identificado como SISTEMAS (192.168.1.5) que envía a 192.168.1.30 CLIENTE un paquete Session Setup Andx Request, NTLMSSP_NEGOTIATE.

Cada paso corresponde a los paquetes 28,29,30 y 31 que pasamos a describir según la siguiente captura:

smb cifs netbios

El objetivo es la autentificación  usuario / contraseña o credenciales contra el servidor del recurso. Por defecto son tomadas las credenciales con que, en este caso, SISTEMAS (192.168.1.5) se conectó a su sistema. Se negocia también que la contraseña se cifrará. La contraseña forma parte del campo Security Blop.

En la captura paquete número el 28 vemos los detalles.

En este paquete, a parte de otros valores de campos que ya hemos visto, el host que inicia el proceos de negociación, envia datos como:

  • Versión S.O. Windows 2002
  • Service Packs Service Pack 3 2600
  • Administrador LAN Nativo Windows 2002 5.1

También envía las capacidades soportadas establecidas en Capabilities. Podeis desplegar en Wireshark este campo para ver las capacidades que envia SISTEMAS.

Seguimos con el siguiente paquete.

Responde 192.168.1.30, paquete 29, con Session Setup Andx Request, NTLMSSP_CHALLENGE.

El host receptor CLIENTE (192.168.1.30 ) comprueba las credenciales  si no es correcto, se envia un código de error. Si es correcto, se envia el UID que SISTEMAS (192.168.1.5) que debe usar en el proceso.

En este caso la etiqueta Error: STATUS_MORE_PROCESSING_REQUIRED no es un error es si, significa que necesita más procesamiento, hay más información de autentificación que transmitir.

Vemos en el paquete 29 que ya se establece un UID (User ID: 2048), en el paquete 28 estaba a 0. El resto de paquetes llevarán establecido User ID: 2048.

El paquete 30 es la segunda solicitud Session Setup Andx Request, del tipo  NTLMSSP_NEGOTIATE y comprende la parte final de la autenticación de contraseña y contiene el nombre de usuario del administrador.

En este paquete se envia también información sobre:

  • Nombre de la máquina
  • Nombre Netbios
  • Usuario

El campo Byte Count indica el tamaño de Security Blop.

En todos los casos observamos que el tipo de comando SBM es Session setup (0x73) lo vemos claramente en las capturas.

El paquete 31 indica el final del SMB Session setup para la autentificacióncon el servidor del recurso.

Observad el campo Action 0x0000, está desactivado e indica que no se ha logeado como guest.

Observad también el NT Status: STATUS_SUCESS (0x00000000). Se trata de que la autentificación se realizó de forma exitosa.

Vemos los campos de los que hemos hablado en los paquetes o frames 28 y 29:

  • Paquete 28.  

smb cifs netbios

  • Paquete 29.

smb cifs netbios

—-

En la sexta parte veremos los paquetes del tipo Tree Connect Andx Reques, Response …..

Esta entrada fue publicada en Seguridad y redes y etiquetada . Guarda el enlace permanente.

Una respuesta a Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 5.

  1. Pingback: Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 6. Comandos Tans2. | Seguridad y Redes

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s