Pentesting Network
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty wenk: meld aan by Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin verdien bounties tot $100,000!
Dit gaan 'n kort afdeling wees oor hoe om IP's wat antwoord gee van die Internet te vind. In hierdie situasie het jy 'n paar bereik van IP's (miskien selfs verskeie reekse) en jy moet net vind watter IP's antwoord gee.
Dit is die gemaklikste en vinnigste manier om te ontdek of 'n host aan is of nie.
Jy kan probeer om 'n paar ICMP pakkette te stuur en antwoord te verwag. Die maklikste manier is om net 'n echo aanvraag te stuur en van die antwoord te verwag. Jy kan dit doen met 'n eenvoudige ping of met fping vir reekse.
Jy kan ook nmap gebruik om ander tipes ICMP pakkette te stuur (dit sal filters vir algemene ICMP echo aanvraag-antwoord vermy).
Dit is baie algemeen om te vind dat alle soorte ICMP-pakkette gefilter word. Dan is al wat jy kan doen om te kyk of 'n gasheer aan is, om te probeer om oop poorte te vind. Elke gasheer het 65535 poorte, so, as jy 'n "groot" omvang het, kan jy nie toets of elke poort van elke gasheer oop is of nie, dit sal te veel tyd neem. Dan, wat jy nodig het, is 'n vinnige poortskandeerder (masscan) en 'n lys van die meest gebruikte poorte:
U kan ook hierdie stap met nmap uitvoer, maar dit is stadiger en nmap het probleme om gashere te identifiseer.
Dit is net 'n TCP-poortontdekking wat nuttig is wanneer u wil fokus op die ontdekking van HTTP dienste:
Jy kan ook probeer om te kyk vir 'n paar UDP poorte wat oop is om te besluit of jy meer aandag aan 'n gasheer moet gee. Aangesien UDP dienste gewoonlik nie antwoordgee met enige data op 'n gewone leë UDP-probe-pakket nie, is dit moeilik om te sê of 'n poort gefiltreer of oop is. Die maklikste manier om dit te besluit, is om 'n pakket te stuur wat verband hou met die lopende diens, en aangesien jy nie weet watter diens aan die gang is nie, moet jy die mees waarskynlike probeer op grond van die poortnommer:
Die nmap lyn wat voorheen voorgestel is, sal die top 1000 UDP-poorte in elke gasheer binne die /24 reeks toets, maar selfs dit sal >20min neem. As jy vinniger resultate nodig het, kan jy udp-proto-scanner gebruik: ./udp-proto-scanner.pl 199.66.11.53/24 Dit sal hierdie UDP-probes na hul verwachte poort stuur (vir 'n /24 reeks sal dit net 1 min neem): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.
Hier kan jy 'n lekker gids vind van al die bekende Wifi-aanvalle ten tyde van die skryf:
Pentesting WifiAs jy binne die netwerk is, is een van die eerste dinge wat jy wil doen om ander hosts te ontdek. Afhangende van hoeveel geraas jy kan/wil maak, kan verskillende aksies uitgevoer word:
Jy kan hierdie gereedskap gebruik om passief hosts binne 'n gekonnekteerde netwerk te ontdek:
Let daarop dat die tegnieke wat in Ontdekking van gasheer vanaf die buitekant (TCP/HTTP/UDP/SCTP Poort Ontdekking) kommentaar gelewer is, ook hier toegepas kan word. Maar, aangesien jy in die dieselfde netwerk as die ander gashere is, kan jy meer dinge doen:
Let daarop dat die tegnieke wat in Ontdekking van gasheer vanaf die buitekant (ICMP) genoem word, ook hier toegepas kan word. Maar, aangesien jy in die dieselfde netwerk as die ander gashere is, kan jy meer dinge doen:
As jy 'n subnet uitsaai adres ping, moet die ping by elke gasheer aankom en hulle kan op jou antwoord gee: ping -b 10.10.5.255
Deur die netwerk uitsaai adres te ping, kan jy selfs gashere binne ander subnets vind: ping -b 255.255.255.255
Gebruik die -PE, -PP, -PM vlae van nmap om gasheer ontdekking uit te voer deur onderskeidelik ICMPv4 echo, tydstempel, en subnetmasker versoeke te stuur: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24
Wake On Lan word gebruik om rekenaars deur 'n netwerk boodskap te aan te skakel. Die magiese pakket wat gebruik word om die rekenaar aan te skakel, is net 'n pakket waar 'n MAC Dst verskaf word en dan word dit 16 keer herhaal binne dieselfde pakket. Dan word hierdie tipe pakkette gewoonlik in 'n ethernet 0x0842 of in 'n UDP pakket na poort 9 gestuur. As geen [MAC] verskaf word nie, word die pakket na uitsaai ethernet gestuur (en die uitsaai MAC sal die een wees wat herhaal word).
Sodra jy al die IP's (eksterne of interne) ontdek het wat jy in diepte wil skandeer, kan verskillende aksies uitgevoer word.
Oop poort: SYN --> SYN/ACK --> RST
Geslote poort: SYN --> RST/ACK
Gefiltreerde poort: SYN --> [GEEN ANTWOORD]
Gefiltreerde poort: SYN --> ICMP boodskap
Daar is 2 opsies om 'n UDP-poort te skandeer:
Stuur 'n UDP-pakket en kyk vir die reaksie ICMP onbereikbaar as die poort gesluit is (in verskeie gevalle sal ICMP gefilter word, so jy sal nie enige inligting ontvang as die poort gesluit of oop is nie).
Stuur 'n geformateerde datagram om 'n reaksie van 'n diens uit te lok (bv., DNS, DHCP, TFTP, en ander, soos gelys in nmap-payloads). As jy 'n reaksie ontvang, dan is die poort oop.
Nmap sal albei opsies meng met "-sV" (UDP-skanderings is baie stadig), maar let daarop dat UDP-skanderings stadiger is as TCP-skanderings:
SCTP (Stream Control Transmission Protocol) is ontwerp om saam met TCP (Transmission Control Protocol) en UDP (User Datagram Protocol) gebruik te word. Die hoofdoel is om die vervoer van telekommunikasiedata oor IP-netwerke te fasiliteer, wat baie van die betroubaarheidskenmerke van Signaling System 7 (SS7) weerspieël. SCTP is 'n kernkomponent van die SIGTRAN protokolgesin, wat daarop gemik is om SS7 seine oor IP-netwerke te vervoer.
Die ondersteuning vir SCTP word verskaf deur verskeie bedryfstelsels, soos IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS, en VxWorks, wat die breë aanvaarding en nut daarvan in die veld van telekommunikasie en netwerke aandui.
Twee verskillende skande vir SCTP word deur nmap aangebied: -sY en -sZ
Sleg geconfigureerde routers, vuurmure en netwerktoestelle reageer soms op netwerkprobes met nie-openbare bronadresse. tcpdump kan gebruik word om pakkette te identifiseer wat tydens toetsing van private adresse ontvang is. Spesifiek, op Kali Linux, kan pakkette op die eth2-koppelvlak gevang word, wat vanaf die openbare internet toeganklik is. Dit is belangrik om te noem dat as jou opstelling agter 'n NAT of 'n Vuurmuur is, sulke pakkette waarskynlik gefiltreer sal word.
Sniffing kan jy besonderhede van IP-reekse, subnetgroottes, MAC-adresse en hostname leer deur gevangenis rame en pakkette te hersien. As die netwerk verkeerd geconfigureer is of die switching-fabriek onder druk is, kan aanvallers sensitiewe materiaal vang deur passiewe netwerk sniffing.
As 'n geswikte Ethernet-netwerk behoorlik geconfigureer is, sal jy slegs uitsendingsrame en materiaal wat bestem is vir jou MAC-adres sien.
Een kan ook pakkette van 'n afstandmasjien oor 'n SSH-sessie met Wireshark as die GUI in werklike tyd vasvang.
Duidelik.
Jy kan gereedskap soos https://github.com/lgandx/PCredz gebruik om kredensiale uit 'n pcap of 'n lewende koppelvlak te ontleed.
ARP Spoofing bestaan uit die stuur van gratis ARP Responses om aan te dui dat die IP van 'n masjien die MAC van ons toestel het. Dan sal die slagoffer die ARP-tabel verander en ons masjien kontak elke keer as dit die IP wat gespoof is, wil kontak.
Oorgeloop die skakel se CAM tabel deur 'n groot aantal pakkette met verskillende bron MAC adresse te stuur. Wanneer die CAM tabel vol is, begin die skakel soos 'n hub te werk (uit te saai al die verkeer).
In moderne skakels is hierdie kwesbaarheid reggestel.
Die Dinamiese Trunking Protokol (DTP) is ontwerp as 'n skakelvlakprotokol om 'n outomatiese stelsel vir trunking te fasiliteer, wat skakels in staat stel om outomaties poorte vir trunkmodus (Trunk) of nie-trunkmodus te kies. Die implementering van DTP word dikwels gesien as 'n aanduiding van suboptimale netwerkontwerp, wat die belangrikheid van handmatige konfigurasie van trunks slegs waar nodig beklemtoon en verseker dat behoorlike dokumentasie bestaan.
Standaard is skakelpoorte ingestel om in Dinamiese Auto-modus te werk, wat beteken dat hulle gereed is om trunking te begin indien 'n naburige skakel dit vra. 'n Sekuriteitskwessie ontstaan wanneer 'n pentester of aanvaller aan die skakel koppel en 'n DTP Desirable-raam stuur, wat die poort dwing om in trunkmodus te gaan. Hierdie aksie stel die aanvaller in staat om VLANs te tel deur STP-raamontleding en om VLAN-segmentasie te omseil deur virtuele interfaces op te stel.
Die teenwoordigheid van DTP in baie skakels standaard kan deur teenstanders uitgebuit word om 'n skakel se gedrag na te boots, en sodoende toegang tot verkeer oor alle VLANs te verkry. Die skrip dtpscan.sh word gebruik om 'n koppelvlak te monitor, wat onthul of 'n skakel in Standaard, Trunk, Dinamies, Auto, of Toegang-modus is—laasgenoemde is die enigste konfigurasie wat immuun is teen VLAN-hopping-aanvalle. Hierdie hulpmiddel evalueer die kwesbaarheidstatus van die skakel.
As netwerk kwesbaarheid geïdentifiseer word, kan die Yersinia hulpmiddel gebruik word om "trunking te aktiveer" via die DTP-protokol, wat die waarneming van pakkette van alle VLANs moontlik maak.
Om die VLANs te tel, is dit ook moontlik om die DTP Desirable-raam te genereer met die skrif DTPHijacking.py**. Moet die skrif onder geen omstandighede onderbreek nie. Dit inspuit DTP Desirable elke drie sekondes. Die dinamies geskepte trunk-kanale op die skakelaar leef net vir vyf minute. Na vyf minute val die trunk af.
Ek wil daarop wys dat Access/Desirable (0x03) aandui dat die DTP-raam van die Desirable tipe is, wat die poort vertel om na Trunk-modus te skakel. En 802.1Q/802.1Q (0xa5) dui die 802.1Q enkapsulasietipe aan.
Deur die STP-raamwerke te analiseer, leer ons oor die bestaan van VLAN 30 en VLAN 60.
Sodra jy VLAN-ID's en IP-waardes ken, kan jy 'n virtuele koppelvlak konfigureer om 'n spesifieke VLAN aan te val. As DHCP nie beskikbaar is nie, gebruik dan ifconfig om 'n statiese IP-adres in te stel.
Die bespreekte aanval van Dinamiese Trunking en die skep van virtuele interfaces om gaste binne ander VLANs te ontdek, word automaties uitgevoer deur die hulpmiddel: https://github.com/nccgroup/vlan-hopping---frogger
As 'n aanvaller die waarde van die MAC, IP en VLAN ID van die slagoffer ken, kan hy probeer om 'n dubbele etiket op 'n raam te plaas met sy aangewese VLAN en die VLAN van die slagoffer en 'n pakket te stuur. Aangesien die slagoffer nie terug kan verbind met die aanvaller nie, is die beste opsie vir die aanvaller om via UDP te kommunikeer met protokolle wat interessante aksies kan uitvoer (soos SNMP).
'n Ander opsie vir die aanvaller is om 'n TCP-poortskandering te begin wat 'n IP naboots wat deur die aanvaller beheer word en deur die slagoffer toeganklik is (waarskynlik deur die internet). Dan kan die aanvaller snuffel in die tweede gasheer wat hy besit as dit 'n paar pakkette van die slagoffer ontvang.
Om hierdie aanval uit te voer, kan jy scapy gebruik: pip install scapy
As jy toegang het tot 'n skakelaar waaraan jy direk gekoppel is, het jy die vermoë om VLAN-segmentering binne die netwerk te omseil. Skakel eenvoudig die poort na trunk-modus (ook bekend as trunk), skep virtuele interfaces met die ID's van die teiken VLAN's, en konfigureer 'n IP-adres. Jy kan probeer om die adres dinamies aan te vra (DHCP) of jy kan dit staties konfigureer. Dit hang af van die geval.
Lateral VLAN Segmentation BypassIn sekere omgewings, soos gaste draadlose netwerke, word poort-isolasie (ook bekend as private VLAN) instellings geïmplementeer om te voorkom dat kliënte wat aan 'n draadlose toegangspunt gekoppel is, direk met mekaar kommunikeer. 'n Tegniek is egter geïdentifiseer wat hierdie isolasiemaatreëls kan omseil. Hierdie tegniek benut óf die gebrek aan netwerk ACL's óf hul onjuiste konfigurasie, wat IP-pakkette in staat stel om deur 'n router na 'n ander kliënt op dieselfde netwerk gelei te word.
Die aanval word uitgevoer deur 'n pakket te skep wat die IP-adres van die bestemmingskliënt dra, maar met die router se MAC-adres. Dit veroorsaak dat die router die pakket verkeerdelik na die teiken kliënt stuur. Hierdie benadering is soortgelyk aan dié wat in Double Tagging Attacks gebruik word, waar die vermoë om 'n gasheer wat vir die slagoffer toeganklik is, te beheer, gebruik word om die sekuriteitsfout te benut.
Belangrike Stappe van die Aanval:
Skep van 'n Pakket: 'n Pakket word spesiaal geskep om die teiken kliënt se IP-adres in te sluit, maar met die router se MAC-adres.
Benut die Router Gedrag: Die geskepte pakket word na die router gestuur, wat, as gevolg van die konfigurasie, die pakket na die teiken kliënt herlei, terwyl dit die isolasie wat deur private VLAN-instellings verskaf word, omseil.
VTP (VLAN Trunking Protocol) sentraliseer VLAN-bestuur. Dit gebruik hersieningsnommers om die integriteit van die VLAN-databasis te handhaaf; enige wysiging verhoog hierdie nommer. Skakelaars neem konfigurasies met hoër hersieningsnommers aan, wat hul eie VLAN-databasisse opdateer.
VTP Server: Bestuur VLAN's—skep, verwyder, wysig. Dit stuur VTP-aankondigings na domeinlede.
VTP Client: Ontvang VTP-aankondigings om sy VLAN-databasis te sinkroniseer. Hierdie rol is beperk van plaaslike VLAN-konfigurasiewysigings.
VTP Transparent: Neem nie deel aan VTP-opdaterings nie, maar stuur VTP-aankondigings voort. Onbeïnvloed deur VTP-aanvalle, handhaaf dit 'n konstante hersieningsnommer van nul.
Summary Advertisement: Word elke 300 sekondes deur die VTP-server uitgesaai, wat essensiële domein-inligting dra.
Subset Advertisement: Gestuur na VLAN-konfigurasiewysigings.
Advertisement Request: Uitgereik deur 'n VTP-kliënt om 'n Summary Advertisement aan te vra, tipies in reaksie op die opsporing van 'n hoër konfigurasie hersieningsnommer.
VTP kwesbaarhede is slegs via trunk-poorte benutbaar, aangesien VTP-aankondigings slegs deur hulle sirkuleer. Post-DTP aanvalscenario's kan na VTP draai. Gereedskap soos Yersinia kan VTP-aanvalle fasiliteer, met die doel om die VLAN-databasis uit te wis, wat effektief die netwerk ontwrig.
Nota: Hierdie bespreking handel oor VTP weergawe 1 (VTPv1).
In Yersinia se grafiese modus, kies die opsie om alle VTP vlans te verwyder om die VLAN-databasis te verwyder.
As jy nie BPDU-raamwerke op jou interfaces kan vang nie, is dit onwaarskynlik dat jy in 'n STP-aanval sal slaag.
Deur 'n groot aantal BPDUs TCP (Topologie Verandering Kennisgewing) of Conf (die BPDUs wat gestuur word wanneer die topologie geskep word) te stuur, word die skakelaars oorlaai en stop hulle om korrek te werk.
Wanneer 'n TCP gestuur word, sal die CAM-tafel van die skakelaars binne 15s verwyder word. Dan, as jy voortdurend hierdie soort pakkette stuur, sal die CAM-tafel voortdurend (of elke 15 sekondes) herbegin word en wanneer dit herbegin word, gedra die skakelaar soos 'n hub.
Die aanvaller simuleer die gedrag van 'n skakelaar om die STP wortel van die netwerk te word. Dan sal meer data deur hom verbygaan. Dit is interessant wanneer jy aan twee verskillende skakelaars gekoppel is. Dit word gedoen deur BPDUs CONF-pakkette te stuur wat sê dat die prioriteit waarde minder is as die werklike prioriteit van die werklike wortel skakelaar.
As die aanvaller met 2 skakels verbind is, kan hy die wortel van die nuwe boom wees en al die verkeer tussen daardie skakels sal deur hom verbygaan (‘n MITM-aanval sal uitgevoer word).
CISCO Discovery Protocol (CDP) is noodsaaklik vir kommunikasie tussen CISCO-toestelle, wat hulle in staat stel om mekaar te identifiseer en konfigurasiedetails te deel.
CDP is geconfigureer om inligting deur alle poorte te broadcast, wat 'n sekuriteitsrisiko kan inhou. 'n Aanvaller, wanneer hy aan 'n skakelpoort koppel, kan netwerk-sniffers soos Wireshark, tcpdump, of Yersinia ontplooi. Hierdie aksie kan sensitiewe data oor die netwerktoestel onthul, insluitend sy model en die weergawe van Cisco IOS wat dit gebruik. Die aanvaller kan dan spesifieke kwesbaarhede in die geïdentifiseerde Cisco IOS-weergawe teiken.
'n Meer aggressiewe benadering behels die ontplooiing van 'n Denial of Service (DoS) aanval deur die skakel se geheue te oorweldig, terwyl daar voorgegee word om wettige CISCO-toestelle te wees. Hieronder is die opdragreeks om so 'n aanval te begin met behulp van Yersinia, 'n netwerktool wat ontwerp is vir toetsing:
Tijdens hierdie aanval word die skakelaar se CPU en CDP-buurtafel swaar belas, wat lei tot wat dikwels verwys word as “netwerk-paralisie” weens die oormatige hulpbronverbruik.
You could also use scapy. Be sure to install it with scapy/contrib package.
VoIP-telefone, wat toenemend geïntegreer is met IoT-toestelle, bied funksies soos die ontsluiting van deure of die beheer van termostate deur middel van spesiale telefoonnommers. Hierdie integrasie kan egter sekuriteitsrisiko's inhou.
Die gereedskap voiphopper is ontwerp om 'n VoIP-telefoon in verskillende omgewings (Cisco, Avaya, Nortel, Alcatel-Lucent) na te boots. Dit ontdek die stemnetwerk se VLAN-ID deur gebruik te maak van protokolle soos CDP, DHCP, LLDP-MED, en 802.1Q ARP.
VoIP Hopper bied drie modi vir die Cisco Discovery Protocol (CDP):
Sniff Mode (-c 0): Analiseer netwerkpakkette om die VLAN-ID te identifiseer.
Spoof Mode (-c 1): Genereer pasgemaakte pakkette wat dié van 'n werklike VoIP-toestel naboots.
Spoof with Pre-made Packet Mode (-c 2): Stuur pakkette wat identies is aan dié van 'n spesifieke Cisco IP-telefoonmodel.
Die verkiesde modus vir spoed is die derde een. Dit vereis dat die volgende gespesifiseer word:
Die aanvaller se netwerkinterfaan (-i parameter).
Die naam van die VoIP-toestel wat nagebootst word (-E parameter), wat aan die Cisco-namingformaat moet voldoen (bv. SEP gevolg deur 'n MAC-adres).
In korporatiewe omgewings, om 'n bestaande VoIP-toestel na te boots, kan 'n mens:
Die MAC-etiket op die telefoon inspekteer.
Die telefoon se vertooninstellings navigeer om modelinligting te sien.
Die VoIP-toestel aan 'n skootrekenaar koppel en CDP-versoeke met Wireshark observeer.
'n Voorbeeldopdrag om die gereedskap in die derde modus uit te voer, sou wees:
DoS
Twee tipes DoS kan teen DHCP-bedieners uitgevoer word. Die eerste een bestaan uit simuleer genoeg vals gashere om al die moontlike IP-adresse te gebruik. Hierdie aanval sal slegs werk as jy die antwoorde van die DHCP-bediener kan sien en die protokol kan voltooi (Discover (Comp) --> Offer (server) --> Request (Comp) --> ACK (server)). Byvoorbeeld, dit is nie moontlik in Wifi-netwerke nie.
'n Ander manier om 'n DHCP DoS uit te voer, is om 'n DHCP-RELEASE-pakket te stuur met elke moontlike IP as bronkode. Dan sal die bediener dink dat almal klaar is om die IP te gebruik.
'n Meer outomatiese manier om dit te doen, is om die hulpmiddel DHCPing te gebruik.
Jy kan die genoemde DoS-aanvalle gebruik om kliënte te dwing om nuwe huurooreenkomste binne die omgewing te verkry, en om wettige bedieners uit te put sodat hulle onresponsief raak. So wanneer die wettige probeer om weer te verbind, kan jy kwaadwillige waardes bedien wat in die volgende aanval genoem word.
'n Rogue DHCP-bediener kan opgestel word met behulp van die DHCP-skrip geleë by /usr/share/responder/DHCP.py. Dit is nuttig vir netwerkaanvalle, soos om HTTP-verkeer en geloofsbriewe te vang, deur verkeer na 'n kwaadwillige bediener te herlei. Dit is egter minder effektief om 'n rogue gateway op te stel, aangesien dit slegs toelaat om uitgaande verkeer van die kliënt te vang, terwyl die antwoorde van die werklike gateway gemis word. In plaas daarvan, word dit aanbeveel om 'n rogue DNS of WPAD-bediener op te stel vir 'n meer effektiewe aanval.
Hieronder is die opdragopsies vir die konfigurasie van die rogue DHCP-bediener:
Ons IP-adres (Gateway Advertensie): Gebruik -i 10.0.0.100 om jou masjien se IP as die gateway te adverteer.
Plaaslike DNS Domeinnaam: Opsioneel, gebruik -d example.org om 'n plaaslike DNS-domeinnaam in te stel.
Oorspronklike Router/Gateway IP: Gebruik -r 10.0.0.1 om die IP-adres van die wettige router of gateway spesifiek aan te dui.
Primêre DNS Bediener IP: Gebruik -p 10.0.0.100 om die IP-adres van die rogue DNS-bediener wat jy beheer, in te stel.
Sekondêre DNS Bediener IP: Opsioneel, gebruik -s 10.0.0.1 om 'n sekondêre DNS-bediener IP in te stel.
Netmasker van Plaaslike Netwerk: Gebruik -n 255.255.255.0 om die netmasker vir die plaaslike netwerk te definieer.
Koppelvlak vir DHCP Verkeer: Gebruik -I eth1 om na DHCP-verkeer op 'n spesifieke netwerk-koppelvlak te luister.
WPAD Konfigurasie Adres: Gebruik -w “http://10.0.0.100/wpad.dat” om die adres vir WPAD-konfigurasie in te stel, wat help met webverkeer onderskep.
Spoof Standaard Gateway IP: Sluit -S in om die standaard gateway IP-adres te spoof.
Reageer op Alle DHCP Versoeke: Sluit -R in om die bediener te laat reageer op alle DHCP versoeke, maar wees bewus dat dit luidrugtig is en opgespoor kan word.
Deur hierdie opsies korrek te gebruik, kan 'n rogue DHCP-bediener gevestig word om netwerkverkeer effektief te onderskep.
Hier is 'n paar van die aanvalstaktieke wat teen 802.1X-implementasies gebruik kan word:
Aktiewe brute-force wagwoordgrinding via EAP
Aanval op die RADIUS-bediener met misvormde EAP-inhoud **(exploits)
EAP-boodskapvangs en offline wagwoordkraking (EAP-MD5 en PEAP)
Dwing EAP-MD5-sertifisering om TLS-sertifikaatvalidasie te omseil
Inspuit van kwaadwillige netwerkverkeer tydens autentisering met 'n hub of soortgelyk
As die aanvaller tussen die slagoffer en die autentiseringsbediener is, kan hy probeer om (indien nodig) die autentiseringsprotokol na EAP-MD5 te degradeer en die autentiseringpoging te vang. Dan kan hy dit brute-force met:
FHRP (First Hop Redundancy Protocol) is 'n klas van netwerkprotokolle wat ontwerp is om 'n warm redundante routeringstelsel te skep. Met FHRP kan fisiese routers in 'n enkele logiese toestel gekombineer word, wat foutverdraagsaamheid verhoog en help om die las te versprei.
Cisco Systems ingenieurs het twee FHRP protokolle, GLBP en HSRP, ontwikkel.
GLBP & HSRP AttacksDrie weergawes van die Routing Information Protocol (RIP) is bekend: RIP, RIPv2, en RIPng. Datagramme word na gelyke via poort 520 met UDP deur RIP en RIPv2 gestuur, terwyl datagramme na UDP-poort 521 via IPv6 multicast deur RIPng uitgesaai word. Ondersteuning vir MD5-sertifisering is deur RIPv2 bekendgestel. Aan die ander kant is inheemse sertifisering nie deur RIPng ingesluit nie; eerder word daar op opsionele IPsec AH en ESP koppe in IPv6 vertrou.
RIP en RIPv2: Kommunikasie word deur UDP datagramme op poort 520 gedoen.
RIPng: Gebruik UDP-poort 521 om datagramme via IPv6 multicast uit te saai.
Let daarop dat RIPv2 MD5-sertifisering ondersteun terwyl RIPng nie inheemse sertifisering insluit nie, en op IPsec AH en ESP koppe in IPv6 vertrou.
EIGRP (Enhanced Interior Gateway Routing Protocol) is 'n dinamiese routeringprotokol. Dit is 'n afstandsvektorprotokol. As daar geen sertifisering en konfigurasie van passiewe interfaces is nie, kan 'n indringer inmeng met EIGRP-routering en routeringstabelle vergiftig. Boonop is die EIGRP-netwerk (met ander woorde, outonome stelsel) plat en het geen segmentering in enige sones nie. As 'n aanvaller 'n roete inspuit, is dit waarskynlik dat hierdie roete deur die outonome EIGRP-stelsel sal versprei.
Om 'n EIGRP-stelsel aan te val, vereis die vestiging van 'n buur met 'n wettige EIGRP-router, wat baie moontlikhede oopmaak, van basiese verkenning tot verskeie inspuitings.
FRRouting laat jou toe om 'n virtuele router te implementeer wat BGP, OSPF, EIGRP, RIP en ander protokolle ondersteun. Alles wat jy moet doen, is om dit op jou aanvaller se stelsel te ontplooi en jy kan eintlik voorgee om 'n wettige router in die routeringdomein te wees.
EIGRP AttacksColy het vermoëns om EIGRP (Enhanced Interior Gateway Routing Protocol) uitsendings te onderskep. Dit laat ook die inspuiting van pakkette toe, wat gebruik kan word om routeringkonfigurasies te verander.
In die Open Shortest Path First (OSPF) protokol word MD5-sertifisering algemeen gebruik om veilige kommunikasie tussen routers te verseker. Hierdie sekuriteitsmaatreël kan egter gekompromitteer word met behulp van gereedskap soos Loki en John the Ripper. Hierdie gereedskap is in staat om MD5-hashes te vang en te kraak, wat die sertifiseringssleutel blootstel. Sodra hierdie sleutel verkry is, kan dit gebruik word om nuwe routeringinligting in te voer. Om die roeteparameters te konfigureer en die gekompromitteerde sleutel te vestig, word die Injection en Connection oortjies onderskeidelik gebruik.
Vang en Kraak MD5 Hashes: Gereedskap soos Loki en John the Ripper word vir hierdie doel gebruik.
Konfigurasie van Roeteparameters: Dit word deur die Injection oortjie gedoen.
Stel die Gekompromitteerde Sleutel: Die sleutel word onder die Connection oortjie geconfigureer.
Above: Gereedskap om netwerkverkeer te skandeer en kwesbaarhede te vind
Jy kan meer inligting oor netwerkaanvalle hier vind.
Die aanvaller konfigureer al die netwerkparameters (GW, IP, DNS) van die nuwe lid van die netwerk deur vals DHCP-antwoorde te stuur.
Kyk na die vorige afdeling.
ICMP Redirect bestaan uit die stuur van 'n ICMP-pakket tipe 1 kode 5 wat aandui dat die aanvaller die beste manier is om 'n IP te bereik. Dan, wanneer die slagoffer die IP wil kontak, sal dit die pakket deur die aanvaller stuur.
Die aanvaller sal sommige (of al) die domeine wat die slagoffer vra, oplos.
Konfigureer eie DNS met dnsmasq
Meerdere roetes na stelsels en netwerke bestaan dikwels. Wanneer 'n lys van MAC-adresse binne die plaaslike netwerk opgestel word, gebruik gateway-finder.py om gasheer te identifiseer wat IPv4-oorplasing ondersteun.
Vir plaaslike gasheeroplossing wanneer DNS-opsoeke onsuksesvol is, staat Microsoft-stelsels op Link-Local Multicast Name Resolution (LLMNR) en die NetBIOS Name Service (NBT-NS). Net so gebruik Apple Bonjour en Linux zero-configuration implementasies Multicast DNS (mDNS) om stelsels binne 'n netwerk te ontdek. Vanweë die nie-geverifieerde aard van hierdie protokolle en hul werking oor UDP, wat boodskappe uitsaai, kan dit deur aanvallers uitgebuit word wat daarop gemik is om gebruikers na kwaadwillige dienste te herlei.
Jy kan dienste naboots wat deur gashere gesoek word deur Responder te gebruik om vals antwoorde te stuur. Lees hier meer inligting oor hoe om dienste te naboots met Responder.
Browers gebruik algemeen die Web Proxy Auto-Discovery (WPAD) protokol om outomaties proxy-instellings te verkry. Dit behels die verkryging van konfigurasie besonderhede van 'n bediener, spesifiek deur 'n URL soos "http://wpad.example.org/wpad.dat". Die ontdekking van hierdie bediener deur die kliënte kan deur verskeie meganismes plaasvind:
Deur DHCP, waar die ontdekking gefasiliteer word deur 'n spesiale kode 252 inskrywing te gebruik.
Deur DNS, wat behels om 'n gasheernaam met die etiket wpad binne die plaaslike domein te soek.
Deur Microsoft LLMNR en NBT-NS, wat terugvalmeganismes is wat gebruik word in gevalle waar DNS-opsoeke nie slaag nie.
Die hulpmiddel Responder maak voordeel van hierdie protokol deur as 'n kwaadwillige WPAD-bediener op te tree. Dit gebruik DHCP, DNS, LLMNR, en NBT-NS om kliënte te mislei om met dit te verbind. Om dieper in te duik in hoe dienste naboots kan word met Responder kyk hier.
Jy kan verskillende dienste in die netwerk aanbied om te probeer om 'n gebruiker te mislei om 'n paar planktekst geloofsbriewe in te voer. Meer inligting oor hierdie aanval in Spoofing SSDP and UPnP Devices.
Hierdie aanval is baie soortgelyk aan ARP Spoofing, maar in die IPv6 wêreld. Jy kan die slagoffer laat dink dat die IPv6 van die GW die MAC van die aanvaller het.
Sommige OS konfigureer standaard die gateway vanaf die RA-pakkette wat in die netwerk gestuur word. Om die aanvaller as 'n IPv6-router te verklaar, kan jy gebruik maak van:
Standaard probeer sommige bedryfstelsels om die DNS te konfigureer deur 'n DHCPv6-pakket in die netwerk te lees. Dan kan 'n aanvaller 'n DHCPv6-pakket stuur om homself as DNS te konfigureer. Die DHCP bied ook 'n IPv6 aan die slagoffer.
Basies wat hierdie aanval doen is, in die geval dat die gebruiker probeer om 'n HTTP bladsy te benader wat na die HTTPS weergawe herlei. sslStrip sal 'n HTTP-verbinding met die klient en 'n HTTPS-verbinding met die bediener onderhou sodat dit in staat sal wees om die verbinding in plank teks te sniff.
More info hier.
Die verskil tussen sslStrip+ en dns2proxy teenoor sslStrip is dat hulle omlei byvoorbeeld www.facebook.com na wwww.facebook.com (let op die bykomende "w") en sal die adres van hierdie domein as die aanvaller se IP stel. Op hierdie manier sal die klient met wwww.facebook.com (die aanvaller) verbind, maar agter die skerms sal sslstrip+ die werklike verbinding via https met www.facebook.com onderhou.
Die doel van hierdie tegniek is om HSTS te vermy omdat wwww.facebook.com nie in die kas van die blaaier gestoor sal word nie, so die blaaiers sal bedrieg word om facebook-akkreditering in HTTP uit te voer. Let daarop dat om hierdie aanval uit te voer, die slagoffer aanvanklik moet probeer om toegang te verkry tot http://www.faceook.com en nie https nie. Dit kan gedoen word deur die skakels binne 'n http-bladsy te wysig.
sslStrip of sslStrip+ werk nie meer nie. Dit is omdat daar HSTS-reëls in die blaaiers gestoor is, so selfs al is dit die eerste keer dat 'n gebruiker 'n "belangrike" domein benader, sal hy dit via HTTPS benader. Let ook daarop dat die gestoor reëls en ander gegenereerde reëls die vlag includeSubdomains kan gebruik, so die wwww.facebook.com voorbeeld van voor sal nie meer werk nie, aangesien facebook.com HSTS met includeSubdomains gebruik.
TODO: easy-creds, evilgrade, metasploit, factory
Soms, as die kliënt nagaan dat die CA 'n geldige een is, kan jy 'n sertifikaat van 'n ander hostname wat deur 'n CA onderteken is, bedien. 'n Ander interessante toets is om 'n sertifikaat van die versoekte hostname maar self-onderteken te bedien.
Ander dinge om te toets, is om te probeer om die sertifikaat te onderteken met 'n geldige sertifikaat wat nie 'n geldige CA is nie. Of om die geldige publieke sleutel te gebruik, te dwing om 'n algoritme soos diffie hellman te gebruik (een wat nie nodig het om enigiets met die werklike private sleutel te ontsleutel nie) en wanneer die kliënt 'n proef van die werklike private sleutel versoek (soos 'n hash) 'n valse proef te stuur en te verwag dat die kliënt dit nie nagaan nie.
Hou in gedagte dat wanneer 'n UDP-pakket na 'n toestel gestuur word wat nie die versoekte poort het nie, 'n ICMP (Port Unreachable) gestuur word.
ARP-pakkette word gebruik om te ontdek watter IP's binne die netwerk gebruik word. Die rekenaar moet 'n versoek vir elke moontlike IP-adres stuur en slegs diegene wat gebruik word, sal antwoordgee.
Bettercap stuur 'n MDNS-versoek (elke X ms) wat vra vir _services_.dns-sd._udp.local. Die masjien wat hierdie pakket sien, antwoord gewoonlik op hierdie versoek. Dan soek dit net vir masjiene wat op "services" antwoordgee.
Gereedskap
Avahi-browser (--all)
Bettercap (net.probe.mdns)
Responder
Bettercap broadcast pakkette na die poort 137/UDP wat vra vir die naam "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".
Bettercap broadcast SSDP pakkette wat soek na alle soorte dienste (UDP Poort 1900).
Bettercap broadcast WSD pakkette wat soek na dienste (UDP Poort 3702).
Netwerk Sekuriteits Assessering: Ken Jou Netwerk (3de uitgawe)
Praktiese IoT Hacking: Die Definitiewe Gids om die Internet van Dinge aan te val. Deur Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood
Bug bounty wenk: meld aan vir Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om bounties tot $100,000 te verdien!
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
