etické hackování: identifikace služeb pomocí nmap

etické hackování: identifikace služeb pomocí nmap

v předchozím příspěvku etického hackování stručně vysvětlíme různé možnosti, jak získat výčet IP adres a subdomén při provádění etického hackerského procesu. Pokud se vám líbilo, že “ je to velmi bezpečné, protože kdo bude vědět, že tato subdoména existuje „(že ačkoli tomu nemůžete uvěřit, je to častější, než se zdá), nenechte si ujít, jak „kdo bude vědět, že jsem tuto službu vložil do tohoto portu s tak podivným číslem“…

Stručně řečeno, v tomto příspěvku se pokusíme zjistit, jak je možné provést soupis otevřených portů v IP nebo rozsahu IP, a dokonce identifikovat technologii pod otevřeným portem, pokud je to možné. V podstatě se tento příspěvek zaměří na použití fantastického a nezbytného nástroje, nmap. Ačkoli se jedná o nástroj obvykle používaný v Linuxu (a samozřejmě zahrnutý v referenční sadě, kterou používám v těchto příspěvcích, Kali), kompilace pro jiné operační systémy již lze nalézt.

před zahájením práce chceme upozornit, že nmap je komplexní a kompletní nástroj s velkým množstvím možností, parametrů atd.; Tento příspěvek není určen jako návod k použití nástroje, ale opět úvod do něj k pochopení identifikace služeb jako fáze etického hackování před detekcí zranitelností. Chcete-li se dozvědět více o nástroji, doporučujeme si přečíst jejich příručku.

nástroj Open Source nmap nám umožňuje provádět skenování sítí a portů, být schopen skenovat jeden cíl, rozsah, seznam IPs… na základě požadavků TCP, UDP, ICMP, SCTP atd. a zahrnuje různé skenovací techniky. Obecně doporučujeme obnovit některé znalosti o transportních protokolech, například si pamatovat, jak navázání TCP spojení funguje při vyjednávání ve třech krocích: nejprve zadejte SYN volání z klienta na port, první odpověď, pokud je port uzavřen, nebo SYN-ACK, pokud je otevřený, a ACK z klienta na server pro dokončení procesu. Nmap se bude spoléhat na tyto typy zpráv, aby určil, zda port poslouchá nebo ne v cíli. Někdy to nelze použít nebo je detekováno vzdáleným serverem a existují i jiné alternativy pro skenování.

Obecná syntaxe

nmap { }

naše první skenování

můžeme provést následující příkaz:

nmap 45.33.49.119

nedáváme žádný druh hlasování, takže použijte výchozí hlasování, TCP SYN. nmap odešle SYN a předpokládá, že port je otevřený, pokud obdrží ACN SYN. Neexistuje ani žádný další parametr možností a jako cíl je jedna IP. Tento příkaz nám dá výsledek podobný následujícímu:

Starting Nmap 7.70 ( https://nmap.org ) at 2019-10-01 18:12 CESTNmap scan report for ack.nmap.org (45.33.49.119)Host is up (0.19s latency).Not shown: 993 filtered portsPORT STATE SERVICE22/tcp open ssh25/tcp open smtp70/tcp closed gopher80/tcp open http113/tcp closed ident443/tcp open https31337/tcp closed EliteNmap done: 1 IP address (1 host up) scanned in 10.86 seconds

vrací během několika sekund seznam otevřených portů na této IP, včetně SSH, poštovního serveru SMTP, webového serveru a možného zpětného otvoru (https://www.speedguide.net/port.php?port=31337).

v mnoha případech je to prostě první bod analýzy, i když například software za FTP serverem, SSH atd., je plně aktualizován a nejsou známy žádné zranitelnosti. Můžete například zahájit útok hrubou silou se slovníkem na SSH nebo FTP, který se pokouší získat přístup (existuje velké množství serverů tohoto typu s výchozími nebo nezabezpečenými pověřeními).

existují automatické nástroje (Boti), které v podstatě nepřetržitě skenují široké rozsahy IP adres a hledají rozpoznatelné otevřené porty, například databáze (MongoDB, MySQL, PostgreSQL atd.), a když zjistí otevřený port, automaticky se pokusí o přihlášení s výchozími přihlašovacími údaji. Například v případě typických instalací LAMP / WAMP, root / přístup k portu mySQL. A v podstatě bylo obrovské množství databází napadeno bez předchozího lidského zásahu. To je životaschopné, i když ji máme otevřenou v jiném portu, protože v mnoha případech je možné identifikovat, že to, co je v Portu 5555 „klamat“, něco říct, je mySQL prostřednictvím otisku prstu služby, jak uvidíme více dopředu.

Stručně řečeno, je velmi nebezpečné ponechat pověření ve výchozím nastavení na webových serverech, směrovačích, FTPs, SSHs, databázích … protože nikdo nemusí mít mánii, bot bude.

první parametr

pokud chceme mít nějaké informace o tom, jak nmap tyto informace získal, můžeme zvýšit stopy pomocí parametru-v (verbose) nebo-vv, kde vidíme, že nmap vydává příkazy SYN a v některých případech přijímá RESET (uzavřený port), v jiných SYN-ACK (open port) a v jiných žádná odpověď („filtrovaná“), což nás může přimět pochopit, že firewall zastavuje náš požadavek:

PORT STATE SERVICE REASON22/tcp open ssh syn-ack ttl 5325/tcp open smtp syn-ack ttl 5370/tcp closed gopher reset ttl 5280/tcp open http syn-ack ttl 53113/tcp closed ident reset ttl 52443/tcp open https syn-ack ttl 5331337/tcp closed Elite reset ttl 53

zvýšení rozsahu IP pro skenování

nmap 192.168.10.0/24 (subred completa)nmap 192.168.10.1-20 (20 IPs)nmap 192.168.10.*nmap 192.168.10.1 192.168.10.2 192.168.10.3

nebo si například představte, že jsme hromadili IP z našeho počátečního výčtu a máme soubor s různými IP oddělenými kartami nebo přerušeními řádků (jedna IP nebo rozsah na řádek). Můžeme načíst soubor s parametrem-iL (input list) a naskenovat tak celý inventář IP. Umožňuje také například vyloučit některé specifické IP adresy s –exclude nebo-excludefile.

definování portů pro skenování

můžeme ručně definovat porty, které chceme skenovat. Pokud například hledáme webové servery na portech 80, 443 a 8080 v podsíti, mohli bychom tak učinit pomocí parametru-p:

nmap -p 80,443,8080 192.168.10.0/24

můžeme také požádat nmap o skenování nejběžnějších portů“ N “ (celé číslo); například pro skenování 25 nejběžnějších portů v rozsahu IP:

nmap --top-ports 25 192.168.10.0/24

příjem odpovědi, jako je tato:

PORT STATE SERVICE21/tcp closed ftp22/tcp open ssh23/tcp closed telnet25/tcp closed smtp53/tcp open domain80/tcp open http110/tcp closed pop3111/tcp open rpcbind135/tcp closed msrpc139/tcp open netbios-ssn143/tcp closed imap199/tcp closed smux443/tcp closed https445/tcp open microsoft-ds587/tcp closed submission993/tcp closed imaps995/tcp closed pop3s1025/tcp closed NFS-or-IIS1720/tcp closed h323q9311723/tcp closed pptp3306/tcp closed mysql3389/tcp closed ms-wbt-server5900/tcp open vnc8080/tcp closed http-proxy8888/tcp closed sun-answerbook

můžeme požádat, aby byly skenovány všechny porty TCP, UDP a SCTP (pomalejší) s identifikátorem-p:

nmap -p- 192.168.10.0/24

identifikace operačních systémů a služeb

jak vidíme, nmap nám umožňuje detekovat porty, které poslouchají na IP nebo rozsahu. Později také uvidíme, jak lze definovat další techniky průzkumu. Kromě toho nám nmap umožňuje pokusit se zjistit, jakou technologii (produkt, verze atd.) je za otevřeným portem nebo dokonce operačním systémem nainstalovaným na Serveru s parametry-O a-sV. Tato detekce je založena na „podpisu“ (otisku prstu) odpovědí, které služba dává určitým hovorům.

nmap -O -sV 192.168.10.5

PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 6.7p1 Raspbian 5+deb8u3 (protocol 2.0)53/tcp open domain ISC BIND 9.9.5 (Raspbian Linux 8.0 (Jessie based))80/tcp open http Apache httpd 2.4.10 ((Raspbian))111/tcp open rpcbind 2-4 (RPC #100000)139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)4567/tcp open http Jetty 9.4.8.v201711215900/tcp open vnc RealVNC Enterprise 5.3 or later (protocol 5.0)MAC Address: B8:27:EB:CD:FE:89 (Raspberry Pi Foundation)Device type: general purposeRunning: Linux 3.X|4.XOS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4OS details: Linux 3.2 - 4.9Network Distance: 1 hopService Info: Host: RASPBERRYPI; OS: Linux; CPE: cpe:/o:linux:linux_kernel

v tomto případě nejen víme, že tento stroj má určité otevřené porty. Také nám říká, že se jedná o Raspberry běžící Raspbian (s nímž bychom například mohli provést test hrubé síly s uživatelem „pi“, který je výchozím uživatelem), a verze různých portů, které poslouchají, takže tyto informace lze použít k zneužití zranitelností nad neopravenými verzemi atd.

použití více technik dotazování

ve výchozím nastavení nmap používá SYN jako techniku dotazování. Je to rychlá a nepříliš rušivá / detekovatelná technika, ale někdy, ale podporuje celkem 12 různých technik, které můžeme definovat jako parametry, jak vidíme v uživatelské příručce nástroje.

pokud například chceme provést skenování na základě volání UDP, můžeme provést volání typu:

nmap -sU 192.168.10.5

hledání zranitelností pomocí nmap

ačkoli existují „pohodlnější“ a specifické nástroje pro vyhledávání zranitelností, jako je Nessus nebo sady, jako je Metasploit, které konsolidují různé nástroje, nmap nám také umožňuje provádět analýzu zranitelnosti.

k tomu používá řadu Lua skriptů, které jsou umístěny v cestě našeho stroje (v případě Kali, v / usr / share / nmap / scripts/) a které lze vyvolat pomocí-script nebo jeho ekvivalentu-sC .

skripty mohou patřit do jedné nebo několika kategorií, takže můžeme požádat nmap, aby například vyhodnotil všechny skripty v kategorii proti hostiteli. Existují některé zvláště zajímavé kategorie ,například „vuln“ (skripty určené k detekci zranitelností v cíli), „exploit“ atd.

například pokud chceme skenovat skripty Kategorie zranitelnosti proti hostiteli:

nmap --script vuln scanme.nmap.org

PORT STATE SERVICE22/tcp open ssh80/tcp open http| http-csrf: | Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=scanme.nmap.org| Found the following possible CSRF vulnerabilities: | | Path: http://scanme.nmap.org:80/| Form id: cse-search-box-sidebar|_ Form action: https://nmap.org/search.html|http-dombased-xss: Couldn't find any DOM based XSS. | http-enum: | /images/: Potentially interesting directory w/ listing on 'apache/2.4.7 (ubuntu)' | /shared/: Potentially interesting directory w/ listing on 'apache/2.4.7 (ubuntu)'| http-slowloris-check: | VULNERABLE:| Slowloris DOS attack| State: LIKELY VULNERABLE| IDs: CVE:CVE-2007-6750| Slowloris tries to keep many connections to the target web server open and hold them open as long as possible. It accomplishes this by opening connections to the target web server and sending a partial request. By doing so, it starves the http server's resources causing Denial Of Service.| Disclosure date: 2009-09-17| References:| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750|_ http://ha.ckers.org/slowloris/|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.9929/tcp open nping-echo31337/tcp open Elite

jak vidíme, skript zjistil potenciální zranitelnost na základě útoku Slowloris denial of service. Pokud analyzujeme skripty, které jsou ve výše uvedené trase, vidíme, že existuje právě ten, který tuto chybu zabezpečení využívá, nazvaný http-slowloris. Pokud chceme více informací o skriptu, můžeme spustit následující příkaz:

nmap --script-help http-slowloris

vysvětlení, jak skript funguje, jak jej spustit (je také možné to udělat se samotným nmap s-script a-script-args)atd. Můžeme také získat například popis všech skriptů, které hledají zranitelnosti:

nmap --script-help vuln

můžeme také například spustit všechny skripty určitého typu. Například pokud chceme skenovat chyby zabezpečení přes protokol SMB na daném hostiteli:

nmap --script smb-* 192.168.10.5

můžeme také například posoudit zranitelnost v celé naší síti a vybrat konkrétní skript proti rozsahu. Parametr-script

nmap --script-help vuln

nmap --script

Stručně řečeno, nmap dokonce obsahuje zajímavé možnosti pro posouzení zranitelností a dokonce i spuštění exploitů, i když pro tento účel existují i jiné nástroje běžně používané.

další zajímavé možnosti

jak jsme již uvedli, nmap má mnoho možností a není možné se pokusit pokrýt ani malé procento v příspěvku. Ve skutečnosti existuje oficiální kniha nmap o téměř 500 stránkách… ale v každém případě se zde snažíme komentovat některé, které se zdají zajímavé.

jak jsme již uvedli, nmap má mnoho možností a není možné se pokusit pokrýt ani malé procento v příspěvku. Ve skutečnosti existuje oficiální kniha nmap o téměř 500 stránkách… ale v každém případě se zde snažíme komentovat některé, které se zdají zajímavé.

• nástroj umožňuje generovat výsledek skenování ve zpracovatelném výstupním souboru, například ve formátu XML, s -oX nebo-oN .
• při skenování širokých rozsahů IP, můžeme zakázat pokus o zpětné rozlišení DNS s parametrem-n.
• během provádění příkazu můžeme zvýšit úroveň informací zobrazených na konzole (výřečnost) stisknutím klávesy „V“.
• pokud máme firewall, který nás řeže, můžeme zkusit -Pn.

Stručně řečeno, pokusili jsme se vyvinout „krátký“ úvod do nmap jako nástroje pro identifikaci otevřených portů a služeb na hostiteli nebo rozsahu IP. V pozdějších příspěvcích uvidíme další způsoby detekce zranitelností.