Microsoft Windows BROWSER protocol

Hoy tenia ganas de Sniffear la red de la empresa donde laboro. Quienes no saben que es Sniffear es la adaptación verbal a la acción de ejecutar un programa Sniffer, un Sniffer es un “capturador” de paquetes de datos, y digo capturador por que en realidad lo que hace el Sniffer es simplemente “escuchar” lo que pasa por nuestra interfase de red y mostrárnoslo.

¿Por que puede hacer esto? Hay varias razones, siendo la principal que en las redes de datos los paquetes se trasmiten para TODOS los computadores que están conectados a esta, pero solo el “verdadero” destinatario es quien “recoge” el paquete, ¿Quien es el verdadero destinatario? bueno si la aplicación que se esta usando es basada en TCP/IP el destinatario será el equipo con la IP destino, campo que encontramos en el paquete de datos, ¿Y entonces por que lo pueden ver todos? por que IP es un protocolo que se encuentra en la Capa 3 del modelo OSI de redes, en otras palabras eso significa que IP funciona basado en protocolos inferiores los cuales no la tienen tan clara y como tal no fueron hechos única y exclusivamente para IP, es por ello que podemos ver los datos que se trasmiten, por que un Sniffer NO depende de IP para funcionar.

Dejando claro eso en primera instancia explicamos el segundo punto, ¿Y como se ven los datos? por razones que comienzan a ser obvias los datos no se ven como quisiéramos, se ven aun mas claros, obtenemos todo lo que envía un computador cuando se conecta a una red, claro esta que NO en un lenguaje tan sencillo como lo vemos en Outlook o en Messenger, pero si podemos entender bastante bien lo que dicen estos paquetes, mas adelante tendremos un ejemplo.

Después de esta pequeña introducción hablemos del protocolo que lleva el titulo de esta entrada. Microsoft Windows Browser Protocol, la verdad no conocía este protocolo de red, fue desarrollado por Microsoft para su famoso sistema operativo Windows, como muchas de las cosas que Microsoft desarrolla este protocolo es de uso privativo y no tiene nada que ver con Internet o HTTP.

El Browser Protocol registra los nombres SMB (CIFS) o de NetBIOS de una red, los almacena y los comparte para los demás nodos de la red. No se puede confundir ni con SAMBA ni con el WINS los cuales cumplen funciones parecidas pero no iguales. ¿Para que almacenar los nombres NetBIOS de los computadores que hacen parte de la red?, bueno es que este protocolo no solo almacena el nombre, también tiene un campo en el que se incluyen los servicios que el host ofrece, claro los servicios que están integrados con el sistema operativo, en este caso, Windows.

Todos estos datos son enviados por parte del computador cliente, el servidor solo registra lo que lee en el campo del protocolo.

¿Que nos ofrece este campo? Este campo se llama Server Type y tenemos 8 grupos de 4 bits con los que podemos identificar que rol tiene un host en una red, debemos recordar que esto SOLO aplica para los host que usen un sistema operativo que tenga esta característica de MailSlot en SMB, principal y casi únicamente Windows.

Veamos un ejemplo de trama.

browser1

El campo en cuestión es el que esta subrayado, como podemos ver después del 0x tenemos 8 dígitos hexadecimales los cuales me pueden indicar lo siguiente:

browser2

He remarcado los bits que identifican al host en la red, es así como sabemos que esta es una Estación de trabajo (para Windows TODO es una estación de trabajo) y es un servidor (Para Windows todos los host pueden ser servidor), este es un ejemplo de un nodo sencillo, pero si vemos uno como esto:

browser4

Sabríamos que se trata de un equipo en la red, con sistema operativo Windows, que tiene una impresora conectada y compartida. Por ultimo como para ver hasta donde llega este protocolo podemos encontrarnos con información como esta:

browser5

Con lo que ya tendríamos mucha información y una muy posible víctima de ataque, valgan la redundancia.

DISCLAIMER: toda la información contenida en esta entrada es para fines educativos y de Pen Testing, JAMAS se ha pensando en modificar una trama de este tipo para generar un DoS sobre algún dominio, no puede haber alguien tan malo.

No Comments