Напоминаю, что проникновение в чужие сети является незаконным! Используйте данный материал только для тестирования своих сетей!
Добрый день!
В прошлой статье я просканировал сеть и получил примерное представление, какие хосты находятся в этой сети.
За время, прошедшее с написания прошлой статьи я немного изменил свой тестовый стенд, переустановил все Windows системы и Kali на виртуальные машины, дабы случайно не уронить реальную сеть. Виртуальные машины находятся в host only network, так что MAC и IP адреса изменились. Но главное принцип, поэтому продолжаем.
Теперь имеем следующую картину:
Где 192.168.2.130 Kali, 192.168.2.128 и 192.168.2.131 предположительно Windows машины.
Следующий этап выяснить какие службы запущены на потенциальных жертвах.
nmap имеет несколько типов сканирования портов. Условно их можно разделить на 2 типа.
Первый тип - функция connect, т.е. штатная попытка произвести подключение к службе.
Второй тип - отправка каких либо "неверных" пакетов на хост, дабы целевая система приняла пакет за повреждённый и каким либо образом среагировала, например отправила запрос на повторную передачу, сбросила соединение и т.п. Если есть какая то обратная связь, значить на этом порту что-то есть.
Более подробно о типах сканирования на официальном сайте.
Т.к. я подозреваю, что оба адреса относятся к Windows машинам, то отсканирую порт 135/tcp
Попробуем функцию connect:
nmap -n -sT -p 135 192.168.2.128, где
-n не отсылать DNS запросы,
-sT использовать системную функцию connect,
-p порт 135
Попробуем функцию по-умолчанию - SYN
nmap -n -p 135 192.168.2.128, где
-n не отсылать DNS запросы,
-p порт 135
Как и ожидалось, оба адреса принадлежать Windows машинам. Визуально разницы в смысле результата сканирования нет, но если при сканировании собрать данные с интерфейса сниффером, то разница будет. Пробуем:
Как видим, отправляется ARP запрос для выяснения IP адреса, затем выполняется полноценное соединение SYN - ACK ,соединение сбразывается - RST, что подтверждается ACK.
SYN сканирование:
Примерно то же самое, но в данном случае направляется пакет SYN и после получения ответа ACK сразу посылается RST.
Главное отличие этих способов в скорости сканирования. Второй способ быстрее.
Ещё один интересный тип сканирования - "зомби" или Idle сканирование. При этом способе предполагается, что целевая и "зомби" система ведут какой то обмен данными, на целевую систему посылаются запросы от имени "зомби" системы с подменой IP заголовка и увеличением номера фрагмента, целевая же машина считает, что пакет приходит от "зомби". Так же это является одним из способов обхода Firewall, т.к. целевая система вполне может иметь доверенные отношения с "зомби" системой.
Для выполнения данного сканирования нужно для начала понять, возможно ли использовать какой либо другой хост в сети в виде "зомби". С этой целью попробуем применить скрипт ipidseq для тестирования данной уязвимости на другой найденной машине:
nmap --script=ipidseq.nse -n 192.168.2.131, где
--script= <имя скрипта>
-n не отсылать DNS запросы.
Результат Incremental, т.е. данная машина подходит для использования в виде "зомби".
Пробуем:
nmap -n -sI 192.168.2.131 192.168.2.128 -Pn, где
-n не отсылать DNS запросы,
-sI использовать Idle сканирование
192.168.2.131 "зомби" система
192.168.2.128 целевая система
-Pn считать целевую системой в состоянии up, т.е. не выполнять определение наличия хоста. Это позволит избежать лишнего трафика при сканировании.
Что-то насканировалось. Но из личного опыта могу сказать, что результаты такого сканирования далеко не всегда верны и полны. Но самое главное то, что при сканировании IP адрес атакующей машины никак не взаимодействует с целевой системой!
Когда это может быть полезно. Допустим в атакуемой сети имеется какое либо устройство, имеющее минимум интерактивного взаимодействия с пользователем, но подключенное в сеть. Принтер, сканер и т.п. Именно его можно использовать в качестве "зомби". И, в случае обнаружения атаки на сеть, админов ждёт сюрприз в том, что сканирование производится с кофеварки.
Конечно приведённые примеры являются условными и достаточно "синтетическими", но принцип я, думаю, показал.
С уважением..