Pentesting Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
Αυτή θα είναι μια σύντομη ενότητα σχετικά με το πώς να βρείτε IPs που απαντούν από το Διαδίκτυο. Σε αυτή την περίπτωση έχετε κάποιο εύρος IPs (ίσως ακόμη και αρκετές σειρές) και πρέπει απλώς να βρείτε ποια IPs απαντούν.
Αυτή είναι η ευκολότερη και ταχύτερη μέθοδος για να ανακαλύψετε αν ένας υπολογιστής είναι ενεργός ή όχι.
Μπορείτε να προσπαθήσετε να στείλετε κάποια πακέτα ICMP και να περιμένετε απαντήσεις. Ο ευκολότερος τρόπος είναι να στείλετε ένα αίτημα echo και να περιμένετε την απάντηση. Μπορείτε να το κάνετε αυτό χρησιμοποιώντας ένα απλό ping
ή χρησιμοποιώντας fping
για σειρές.
Μπορείτε επίσης να χρησιμοποιήσετε το nmap για να στείλετε άλλους τύπους πακέτων ICMP (αυτό θα αποφύγει τα φίλτρα για τα κοινά αιτήματα-απαντήσεις ICMP echo).
Είναι πολύ συνηθισμένο να διαπιστώνουμε ότι όλα τα είδη πακέτων ICMP φιλτράρονται. Έτσι, το μόνο που μπορείτε να κάνετε για να ελέγξετε αν ένας υπολογιστής είναι ενεργός είναι να προσπαθήσετε να βρείτε ανοιχτούς θύρες. Κάθε υπολογιστής έχει 65535 θύρες, οπότε, αν έχετε ένα "μεγάλο" πεδίο, δεν μπορείτε να ελέγξετε αν κάθε θύρα κάθε υπολογιστή είναι ανοιχτή ή όχι, αυτό θα πάρει πολύ χρόνο. Έτσι, αυτό που χρειάζεστε είναι ένας γρήγορος σαρωτής θύρας (masscan) και μια λίστα με τις πιο χρησιμοποιούμενες θύρες:
Μπορείτε επίσης να εκτελέσετε αυτό το βήμα με το nmap
, αλλά είναι πιο αργό και κάπως το nmap
έχει προβλήματα με την αναγνώριση των hosts που είναι ενεργοί.
Αυτή είναι απλώς μια ανακάλυψη TCP port που είναι χρήσιμη όταν θέλετε να εστιάσετε στην ανακάλυψη υπηρεσιών HTTP:
Μπορείτε επίσης να προσπαθήσετε να ελέγξετε αν κάποια UDP port είναι ανοιχτή για να αποφασίσετε αν θα δώσετε περισσότερη προσοχή σε έναν host. Δεδομένου ότι οι υπηρεσίες UDP συνήθως δεν απαντούν με κανένα δεδομένο σε ένα κανονικό κενό πακέτο UDP probe, είναι δύσκολο να πείτε αν μια θύρα φιλτράρεται ή είναι ανοιχτή. Ο ευκολότερος τρόπος για να το αποφασίσετε είναι να στείλετε ένα πακέτο σχετικό με την τρέχουσα υπηρεσία, και καθώς δεν γνωρίζετε ποια υπηρεσία εκτελείται, θα πρέπει να δοκιμάσετε την πιο πιθανή με βάση τον αριθμό της θύρας:
Η γραμμή nmap που προτάθηκε προηγουμένως θα δοκιμάσει τα top 1000 UDP ports σε κάθε host μέσα στο /24 εύρος, αλλά ακόμη και μόνο αυτό θα πάρει >20min. Αν χρειάζεστε ταχύτερα αποτελέσματα, μπορείτε να χρησιμοποιήσετε το udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24
Αυτό θα στείλει αυτές τις UDP probes στο αναμενόμενο port τους (για ένα /24 εύρος αυτό θα πάρει μόλις 1 λεπτό): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.
Εδώ μπορείτε να βρείτε έναν ωραίο οδηγό για όλες τις γνωστές επιθέσεις Wifi την εποχή της συγγραφής:
Pentesting WifiΑν βρίσκεστε μέσα στο δίκτυο, ένα από τα πρώτα πράγματα που θα θέλετε να κάνετε είναι να ανακαλύψετε άλλους hosts. Ανάλογα με πόσο θόρυβο μπορείτε/θέλετε να κάνετε, μπορούν να εκτελούνται διαφορετικές ενέργειες:
Μπορείτε να χρησιμοποιήσετε αυτά τα εργαλεία για να ανακαλύψετε παθητικά hosts μέσα σε ένα συνδεδεμένο δίκτυο:
Σημειώστε ότι οι τεχνικές που σχολιάζονται στο Discovering hosts from the outside (TCP/HTTP/UDP/SCTP Port Discovery) μπορούν επίσης να εφαρμοστούν εδώ. Αλλά, καθώς βρίσκεστε στο ίδιο δίκτυο με τους άλλους hosts, μπορείτε να κάνετε περισσότερα πράγματα:
Σημειώστε ότι οι τεχνικές που σχολιάστηκαν στο Discovering hosts from the outside (ICMP) μπορούν επίσης να εφαρμοστούν εδώ. Αλλά, καθώς βρίσκεστε στο ίδιο δίκτυο με τους άλλους hosts, μπορείτε να κάνετε περισσότερα πράγματα:
Αν ping ένα subnet broadcast address, το ping θα πρέπει να φτάσει σε κάθε host και αυτοί θα μπορούσαν να απαντήσουν σε εσάς: ping -b 10.10.5.255
Κάνοντας ping στο network broadcast address, θα μπορούσατε ακόμη να βρείτε hosts μέσα σε άλλα subnets: ping -b 255.255.255.255
Χρησιμοποιήστε τις σημαίες -PE
, -PP
, -PM
του nmap
για να εκτελέσετε ανακάλυψη hosts στέλνοντας αντίστοιχα ICMPv4 echo, timestamp, και subnet mask requests: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24
Το Wake On Lan χρησιμοποιείται για να ενεργοποιήσει υπολογιστές μέσω ενός δικτυακού μηνύματος. Το μαγικό πακέτο που χρησιμοποιείται για να ενεργοποιήσει τον υπολογιστή είναι μόνο ένα πακέτο όπου παρέχεται μια MAC Dst και στη συνέχεια επανεπαναλαμβάνεται 16 φορές μέσα στο ίδιο πακέτο. Στη συνέχεια, αυτού του είδους τα πακέτα συνήθως αποστέλλονται σε ένα ethernet 0x0842 ή σε ένα UDP πακέτο στην πόρτα 9. Αν δεν παρέχεται [MAC], το πακέτο αποστέλλεται σε broadcast ethernet (και η broadcast MAC θα είναι αυτή που επαναλαμβάνεται).
Αφού έχετε ανακαλύψει όλες τις διευθύνσεις IP (εξωτερικές ή εσωτερικές) που θέλετε να σαρώσετε σε βάθος, μπορούν να εκτελούνται διάφορες ενέργειες.
Ανοιχτή θύρα: SYN --> SYN/ACK --> RST
Κλειστή θύρα: SYN --> RST/ACK
Φιλτραρισμένη θύρα: SYN --> [ΧΩΡΙΣ ΑΠΑΝΤΗΣΗ]
Φιλτραρισμένη θύρα: SYN --> ICMP μήνυμα
Υπάρχουν 2 επιλογές για να σαρώσετε μια θύρα UDP:
Στείλτε ένα UDP packet και ελέγξτε για την απάντηση ICMP unreachable αν η θύρα είναι κλειστή (σε πολλές περιπτώσεις το ICMP θα είναι φιλτραρισμένο οπότε δεν θα λάβετε καμία πληροφορία αν η θύρα είναι κλειστή ή ανοιχτή).
Στείλτε formatted datagrams για να προκαλέσετε μια απάντηση από μια υπηρεσία (π.χ., DNS, DHCP, TFTP και άλλες, όπως αναφέρονται στο nmap-payloads). Αν λάβετε μια απάντηση, τότε η θύρα είναι ανοιχτή.
Nmap θα μειγνύει και τις δύο επιλογές χρησιμοποιώντας "-sV" (οι σαρώσεις UDP είναι πολύ αργές), αλλά προσέξτε ότι οι σαρώσεις UDP είναι πιο αργές από τις σαρώσεις TCP:
SCTP (Stream Control Transmission Protocol) έχει σχεδιαστεί για να χρησιμοποιείται παράλληλα με TCP (Transmission Control Protocol) και UDP (User Datagram Protocol). Ο κύριος σκοπός του είναι να διευκολύνει τη μεταφορά τηλεφωνικών δεδομένων μέσω δικτύων IP, αντικατοπτρίζοντας πολλές από τις δυνατότητες αξιοπιστίας που βρίσκονται στο Signaling System 7 (SS7). SCTP είναι ένα βασικό συστατικό της οικογένειας πρωτοκόλλων SIGTRAN, η οποία στοχεύει στη μεταφορά σημάτων SS7 μέσω δικτύων IP.
Η υποστήριξη για SCTP παρέχεται από διάφορα λειτουργικά συστήματα, όπως IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS, και VxWorks, υποδεικνύοντας την ευρεία αποδοχή και χρησιμότητά του στον τομέα των τηλεπικοινωνιών και των δικτύων.
Δύο διαφορετικές σάρωσεις για το SCTP προσφέρονται από το nmap: -sY και -sZ
Κακώς ρυθμισμένοι δρομολογητές, τείχη προστασίας και συσκευές δικτύου μερικές φορές απαντούν σε δίκτυα probes χρησιμοποιώντας μη δημόσιες διευθύνσεις προέλευσης. tcpdump μπορεί να χρησιμοποιηθεί για να εντοπίσει πακέτα που λαμβάνονται από ιδιωτικές διευθύνσεις κατά τη διάρκεια της δοκιμής. Συγκεκριμένα, στο Kali Linux, τα πακέτα μπορούν να καταγραφούν στη διεύθυνση eth2, η οποία είναι προσβάσιμη από το δημόσιο Διαδίκτυο. Είναι σημαντικό να σημειωθεί ότι αν η ρύθμισή σας είναι πίσω από NAT ή τείχος προστασίας, τέτοια πακέτα είναι πιθανό να φιλτράρονται.
Με το Sniffing μπορείτε να μάθετε λεπτομέρειες σχετικά με τις διευθύνσεις IP, τα μεγέθη υποδικτύων, τις διευθύνσεις MAC και τα ονόματα υπολογιστών αναθεωρώντας τα κατεχόμενα πλαίσια και πακέτα. Εάν το δίκτυο είναι κακώς διαμορφωμένο ή το switching fabric είναι υπό πίεση, οι επιτιθέμενοι μπορούν να συλλάβουν ευαίσθητο υλικό μέσω παθητικού network sniffing.
Εάν ένα δίκτυο Ethernet με διακόπτες είναι σωστά διαμορφωμένο, θα βλέπετε μόνο broadcast frames και υλικό που προορίζεται για τη διεύθυνση MAC σας.
Μπορεί κανείς, επίσης, να συλλάβει πακέτα από μια απομακρυσμένη μηχανή μέσω μιας συνεδρίας SSH με το Wireshark ως GUI σε πραγματικό χρόνο.
Προφανώς.
Μπορείτε να χρησιμοποιήσετε εργαλεία όπως https://github.com/lgandx/PCredz για να αναλύσετε διαπιστευτήρια από ένα pcap ή μια ζωντανή διεπαφή.
Το ARP Spoofing συνίσταται στην αποστολή δωρεάν ARPResponses για να υποδείξει ότι η IP μιας μηχανής έχει το MAC της συσκευής μας. Στη συνέχεια, το θύμα θα αλλάξει τον πίνακα ARP και θα επικοινωνήσει με τη μηχανή μας κάθε φορά που θέλει να επικοινωνήσει με την IP που έχει spoofed.
Πλημμυρίστε τον πίνακα CAM του διακόπτη στέλνοντας πολλά πακέτα με διαφορετικές διευθύνσεις mac προέλευσης. Όταν ο πίνακας CAM είναι γεμάτος, ο διακόπτης αρχίζει να συμπεριφέρεται σαν κόμβος (εκπέμποντας όλη την κίνηση).
In modern switches this vulnerability has been fixed.
Το Dynamic Trunking Protocol (DTP) έχει σχεδιαστεί ως πρωτόκολλο επιπέδου σύνδεσης για να διευκολύνει ένα αυτόματο σύστημα για trunking, επιτρέποντας στους διακόπτες να επιλέγουν αυτόματα θύρες για λειτουργία trunk (Trunk) ή μη trunk. Η ανάπτυξη του DTP συχνά θεωρείται ένδειξη υποβέλτιστης σχεδίασης δικτύου, υπογραμμίζοντας τη σημασία της χειροκίνητης ρύθμισης των trunks μόνο όπου είναι απαραίτητο και της διασφάλισης κατάλληλης τεκμηρίωσης.
Από προεπιλογή, οι θύρες του διακόπτη είναι ρυθμισμένες να λειτουργούν σε Dynamic Auto mode, πράγμα που σημαίνει ότι είναι έτοιμες να ξεκινήσουν το trunking αν ζητηθεί από έναν γειτονικό διακόπτη. Ένα ζήτημα ασφαλείας προκύπτει όταν ένας pentester ή επιτιθέμενος συνδέεται με το διακόπτη και στέλνει ένα DTP Desirable frame, αναγκάζοντας τη θύρα να εισέλθει σε λειτουργία trunk. Αυτή η ενέργεια επιτρέπει στον επιτιθέμενο να απαριθμήσει τα VLAN μέσω ανάλυσης STP frame και να παρακάμψει τον κατακερματισμό VLAN δημιουργώντας εικονικές διεπαφές.
Η παρουσία του DTP σε πολλούς διακόπτες από προεπιλογή μπορεί να εκμεταλλευτεί από αντιπάλους για να μιμηθούν τη συμπεριφορά ενός διακόπτη, αποκτώντας έτσι πρόσβαση στην κίνηση σε όλα τα VLAN. Το σενάριο dtpscan.sh χρησιμοποιείται για να παρακολουθεί μια διεπαφή, αποκαλύπτοντας αν ένας διακόπτης είναι σε Default, Trunk, Dynamic, Auto ή Access mode—η τελευταία είναι η μόνη ρύθμιση που είναι ανθεκτική σε επιθέσεις VLAN hopping. Αυτό το εργαλείο αξιολογεί την κατάσταση ευπάθειας του διακόπτη.
Εάν εντοπιστεί ευπάθεια δικτύου, το εργαλείο Yersinia μπορεί να χρησιμοποιηθεί για να "ενεργοποιήσει το trunking" μέσω του πρωτοκόλλου DTP, επιτρέποντας την παρακολούθηση πακέτων από όλα τα VLAN.
Για να καταμετρήσετε τα VLANs, είναι επίσης δυνατό να δημιουργήσετε το DTP Desirable frame με το σενάριο DTPHijacking.py. Μην διακόπτετε το σενάριο υπό οποιεσδήποτε συνθήκες. Εισάγει DTP Desirable κάθε τρία δευτερόλεπτα. Οι δυναμικά δημιουργημένοι trunk channels στον διακόπτη ζουν μόνο για πέντε λεπτά. Μετά από πέντε λεπτά, το trunk αποσυνδέεται.
Θα ήθελα να επισημάνω ότι το Access/Desirable (0x03) υποδεικνύει ότι το DTP frame είναι του τύπου Desirable, το οποίο λέει στην θύρα να αλλάξει σε Trunk mode. Και το 802.1Q/802.1Q (0xa5) υποδεικνύει τον τύπο encapsulation 802.1Q.
Αναλύοντας τα STP frames, μαθαίνουμε για την ύπαρξη των VLAN 30 και VLAN 60.
Μόλις γνωρίζετε τις τιμές VLAN IDs και IPs, μπορείτε να ρυθμίσετε μια εικονική διεπαφή για να επιτεθείτε σε ένα συγκεκριμένο VLAN. Εάν το DHCP δεν είναι διαθέσιμο, τότε χρησιμοποιήστε το ifconfig για να ορίσετε μια στατική διεύθυνση IP.
Η συζητηθείσα επίθεση του Dynamic Trunking και της δημιουργίας εικονικών διεπαφών για την ανακάλυψη hosts μέσα σε άλλες VLAN είναι αυτόματα εκτελούμενη από το εργαλείο: https://github.com/nccgroup/vlan-hopping---frogger
Εάν ένας επιτιθέμενος γνωρίζει την τιμή του MAC, IP και VLAN ID του θύματος, θα μπορούσε να προσπαθήσει να διπλοετικετάρει ένα πλαίσιο με την καθορισμένη VLAN του και την VLAN του θύματος και να στείλει ένα πακέτο. Καθώς το θύμα δεν θα μπορεί να συνδεθεί πίσω με τον επιτιθέμενο, η καλύτερη επιλογή για τον επιτιθέμενο είναι να επικοινωνήσει μέσω UDP με πρωτόκολλα που μπορούν να εκτελέσουν κάποιες ενδιαφέρουσες ενέργειες (όπως το SNMP).
Μια άλλη επιλογή για τον επιτιθέμενο είναι να εκκινήσει μια σάρωση TCP port spoofing μια IP που ελέγχεται από τον επιτιθέμενο και είναι προσβάσιμη από το θύμα (πιθανώς μέσω διαδικτύου). Στη συνέχεια, ο επιτιθέμενος θα μπορούσε να παρακολουθήσει τη δεύτερη διεπαφή που κατέχει αν λάβει κάποια πακέτα από το θύμα.
Για να εκτελέσετε αυτήν την επίθεση μπορείτε να χρησιμοποιήσετε το scapy: pip install scapy
Αν έχετε πρόσβαση σε έναν διακόπτη στον οποίο είστε άμεσα συνδεδεμένοι, έχετε τη δυνατότητα να παρακάμψετε την κατανομή VLAN εντός του δικτύου. Απλά αλλάξτε τη θύρα σε λειτουργία trunk (γνωστή και ως trunk), δημιουργήστε εικονικές διεπαφές με τα IDs των στοχευμένων VLAN, και ρυθμίστε μια διεύθυνση IP. Μπορείτε να προσπαθήσετε να ζητήσετε τη διεύθυνση δυναμικά (DHCP) ή μπορείτε να την ρυθμίσετε στατικά. Εξαρτάται από την περίπτωση.
Lateral VLAN Segmentation BypassΣε ορισμένα περιβάλλοντα, όπως τα δίκτυα ασύρματων επισκεπτών, οι ρυθμίσεις απομόνωσης θυρών (γνωστές και ως ιδιωτικά VLAN) εφαρμόζονται για να αποτρέψουν τους πελάτες που είναι συνδεδεμένοι σε ένα ασύρματο σημείο πρόσβασης από το να επικοινωνούν άμεσα μεταξύ τους. Ωστόσο, έχει εντοπιστεί μια τεχνική που μπορεί να παρακάμψει αυτά τα μέτρα απομόνωσης. Αυτή η τεχνική εκμεταλλεύεται είτε την έλλειψη ACL δικτύου είτε την εσφαλμένη τους ρύθμιση, επιτρέποντας στα πακέτα IP να δρομολογούνται μέσω ενός δρομολογητή για να φτάσουν σε έναν άλλο πελάτη στο ίδιο δίκτυο.
Η επίθεση εκτελείται δημιουργώντας ένα πακέτο που φέρει τη διεύθυνση IP του πελάτη προορισμού αλλά με τη MAC διεύθυνση του δρομολογητή. Αυτό προκαλεί στον δρομολογητή να προωθήσει κατά λάθος το πακέτο στον στοχευμένο πελάτη. Αυτή η προσέγγιση είναι παρόμοια με αυτή που χρησιμοποιείται στις επιθέσεις Double Tagging, όπου η ικανότητα ελέγχου ενός host προσβάσιμου από το θύμα χρησιμοποιείται για να εκμεταλλευτεί την ασφάλεια.
Βασικά Βήματα της Επίθεσης:
Δημιουργία Πακέτου: Ένα πακέτο δημιουργείται ειδικά για να περιλαμβάνει τη διεύθυνση IP του στοχευμένου πελάτη αλλά με τη MAC διεύθυνση του δρομολογητή.
Εκμετάλλευση Συμπεριφοράς Δρομολογητή: Το δημιουργημένο πακέτο αποστέλλεται στον δρομολογητή, ο οποίος, λόγω της ρύθμισης, ανακατευθύνει το πακέτο στον στοχευμένο πελάτη, παρακάμπτοντας την απομόνωση που παρέχεται από τις ρυθμίσεις ιδιωτικού VLAN.
Το VTP (VLAN Trunking Protocol) κεντρικοποιεί τη διαχείριση VLAN. Χρησιμοποιεί αριθμούς αναθεώρησης για να διατηρεί την ακεραιότητα της βάσης δεδομένων VLAN. Οποιαδήποτε τροποποίηση αυξάνει αυτόν τον αριθμό. Οι διακόπτες υιοθετούν ρυθμίσεις με υψηλότερους αριθμούς αναθεώρησης, ενημερώνοντας τις δικές τους βάσεις δεδομένων VLAN.
VTP Server: Διαχειρίζεται τα VLAN—δημιουργεί, διαγράφει, τροποποιεί. Διαδίδει ανακοινώσεις VTP στα μέλη του τομέα.
VTP Client: Λαμβάνει ανακοινώσεις VTP για να συγχρονίσει τη βάση δεδομένων VLAN του. Αυτός ο ρόλος περιορίζεται από τροποποιήσεις ρυθμίσεων VLAN τοπικά.
VTP Transparent: Δεν συμμετέχει σε ενημερώσεις VTP αλλά προωθεί τις ανακοινώσεις VTP. Δεν επηρεάζεται από επιθέσεις VTP, διατηρεί έναν σταθερό αριθμό αναθεώρησης μηδέν.
Summary Advertisement: Διαδίδεται από τον VTP server κάθε 300 δευτερόλεπτα, μεταφέροντας βασικές πληροφορίες τομέα.
Subset Advertisement: Αποστέλλεται μετά από αλλαγές ρυθμίσεων VLAN.
Advertisement Request: Εκδίδεται από έναν VTP client για να ζητήσει μια Summary Advertisement, συνήθως ως απάντηση στην ανίχνευση υψηλότερου αριθμού αναθεώρησης ρύθμισης.
Οι ευπάθειες VTP είναι εκμεταλλεύσιμες αποκλειστικά μέσω θυρών trunk καθώς οι ανακοινώσεις VTP κυκλοφορούν μόνο μέσω αυτών. Σενάρια επιθέσεων μετά το DTP μπορεί να στραφούν προς το VTP. Εργαλεία όπως το Yersinia μπορούν να διευκολύνουν επιθέσεις VTP, στοχεύοντας να διαγράψουν τη βάση δεδομένων VLAN, διαταράσσοντας αποτελεσματικά το δίκτυο.
Σημείωση: Αυτή η συζήτηση αφορά την έκδοση VTP 1 (VTPv1).
Στη γραφική λειτουργία του Yersinia, επιλέξτε την επιλογή διαγραφής όλων των VTP vlans για να καθαρίσετε τη βάση δεδομένων VLAN.
Εάν δεν μπορείτε να συλλάβετε τα πλαίσια BPDU στις διεπαφές σας, είναι απίθανο να πετύχετε σε μια επίθεση STP.
Αποστέλλοντας πολλά BPDUs TCP (Ειδοποίηση Αλλαγής Τοπολογίας) ή Conf (τα BPDUs που αποστέλλονται όταν δημιουργείται η τοπολογία) οι διακόπτες υπερφορτώνονται και σταματούν να λειτουργούν σωστά.
Όταν αποστέλλεται ένα TCP, ο πίνακας CAM των διακοπτών θα διαγραφεί σε 15 δευτερόλεπτα. Στη συνέχεια, αν στέλνετε συνεχώς αυτού του είδους τα πακέτα, ο πίνακας CAM θα επανεκκινείται συνεχώς (ή κάθε 15 δευτερόλεπτα) και όταν επανεκκινείται, ο διακόπτης συμπ behaves ως hub.
Ο επιτιθέμενος προσομοιώνει τη συμπεριφορά ενός διακόπτη για να γίνει ο STP root του δικτύου. Στη συνέχεια, περισσότερα δεδομένα θα περάσουν μέσω αυτού. Αυτό είναι ενδιαφέρον όταν είστε συνδεδεμένοι σε δύο διαφορετικούς διακόπτες. Αυτό γίνεται στέλνοντας πακέτα BPDUs CONF που λένε ότι η προτεραιότητα είναι μικρότερη από την πραγματική προτεραιότητα του πραγματικού διακόπτη ρίζας.
Αν ο επιτιθέμενος είναι συνδεδεμένος σε 2 διακόπτες, μπορεί να είναι η ρίζα του νέου δέντρου και όλη η κίνηση μεταξύ αυτών των διακοπτών θα περνά μέσα από αυτόν (θα εκτελεστεί μια επίθεση MITM).
Το CISCO Discovery Protocol (CDP) είναι απαραίτητο για την επικοινωνία μεταξύ συσκευών CISCO, επιτρέποντάς τους να αναγνωρίζουν η μία την άλλη και να μοιράζονται λεπτομέρειες διαμόρφωσης.
Το CDP είναι ρυθμισμένο να εκπέμπει πληροφορίες μέσω όλων των θυρών, γεγονός που μπορεί να οδηγήσει σε κίνδυνο ασφάλειας. Ένας επιτιθέμενος, μόλις συνδεθεί σε μια θύρα διακόπτη, θα μπορούσε να αναπτύξει εργαλεία παρακολούθησης δικτύου όπως Wireshark, tcpdump ή Yersinia. Αυτή η ενέργεια μπορεί να αποκαλύψει ευαίσθητα δεδομένα σχετικά με τη συσκευή δικτύου, συμπεριλαμβανομένου του μοντέλου της και της έκδοσης του Cisco IOS που εκτελεί. Ο επιτιθέμενος μπορεί στη συνέχεια να στοχεύσει συγκεκριμένες ευπάθειες στην αναγνωρισμένη έκδοση του Cisco IOS.
Μια πιο επιθετική προσέγγιση περιλαμβάνει την εκκίνηση μιας επίθεσης Denial of Service (DoS) πλημμυρίζοντας τη μνήμη του διακόπτη, προσποιούμενος ότι είναι νόμιμες συσκευές CISCO. Παρακάτω είναι η ακολουθία εντολών για την εκκίνηση μιας τέτοιας επίθεσης χρησιμοποιώντας το Yersinia, ένα εργαλείο δικτύου σχεδιασμένο για δοκιμές:
Κατά τη διάρκεια αυτής της επίθεσης, η CPU του διακόπτη και ο πίνακας γειτόνων CDP επιβαρύνονται βαριά, οδηγώντας σε αυτό που συχνά αναφέρεται ως “παράλυση δικτύου” λόγω της υπερβολικής κατανάλωσης πόρων.
Μπορείτε επίσης να χρησιμοποιήσετε το scapy. Βεβαιωθείτε ότι το έχετε εγκαταστήσει με το πακέτο scapy/contrib
.
Τα τηλέφωνα VoIP, που ενσωματώνονται ολοένα και περισσότερο με συσκευές IoT, προσφέρουν λειτουργίες όπως το άνοιγμα θυρών ή ο έλεγχος θερμοστατών μέσω ειδικών αριθμών τηλεφώνου. Ωστόσο, αυτή η ενσωμάτωση μπορεί να θέσει σε κίνδυνο την ασφάλεια.
Το εργαλείο voiphopper έχει σχεδιαστεί για να προσομοιώνει ένα τηλέφωνο VoIP σε διάφορα περιβάλλοντα (Cisco, Avaya, Nortel, Alcatel-Lucent). Ανακαλύπτει το VLAN ID του φωνητικού δικτύου χρησιμοποιώντας πρωτόκολλα όπως CDP, DHCP, LLDP-MED και 802.1Q ARP.
VoIP Hopper προσφέρει τρεις λειτουργίες για το Πρωτόκολλο Ανακάλυψης Cisco (CDP):
Sniff Mode (-c 0
): Αναλύει τα πακέτα δικτύου για να προσδιορίσει το VLAN ID.
Spoof Mode (-c 1
): Δημιουργεί προσαρμοσμένα πακέτα που μιμούνται αυτά μιας πραγματικής συσκευής VoIP.
Spoof with Pre-made Packet Mode (-c 2
): Στέλνει πακέτα ταυτόσημα με αυτά ενός συγκεκριμένου μοντέλου τηλεφώνου Cisco IP.
Η προτιμώμενη λειτουργία για ταχύτητα είναι η τρίτη. Απαιτεί τον καθορισμό:
Της διεπαφής δικτύου του επιτιθέμενου (-i
παράμετρος).
Του ονόματος της συσκευής VoIP που προσομοιώνεται (-E
παράμετρος), σύμφωνα με τη μορφή ονοματοδοσίας της Cisco (π.χ., SEP ακολουθούμενο από μια διεύθυνση MAC).
Σε εταιρικά περιβάλλοντα, για να μιμηθεί μια υπάρχουσα συσκευή VoIP, μπορεί κανείς να:
Εξετάσει την ετικέτα MAC στο τηλέφωνο.
Περιηγηθεί στις ρυθμίσεις οθόνης του τηλεφώνου για να δει πληροφορίες μοντέλου.
Συνδέσει τη συσκευή VoIP σε ένα φορητό υπολογιστή και να παρακολουθήσει τα αιτήματα CDP χρησιμοποιώντας το Wireshark.
Ένα παράδειγμα εντολής για να εκτελέσετε το εργαλείο στην τρίτη λειτουργία θα ήταν:
DoS
Δύο τύποι DoS μπορούν να εκτελούνται κατά των DHCP servers. Ο πρώτος τύπος συνίσταται στο να προσομοιώσετε αρκετούς ψεύτικους hosts για να χρησιμοποιήσετε όλες τις δυνατές διευθύνσεις IP. Αυτή η επίθεση θα λειτουργήσει μόνο αν μπορείτε να δείτε τις απαντήσεις του DHCP server και να ολοκληρώσετε το πρωτόκολλο (Discover (Comp) --> Offer (server) --> Request (Comp) --> ACK (server)). Για παράδειγμα, αυτό δεν είναι δυνατό σε δίκτυα Wifi.
Ένας άλλος τρόπος για να εκτελέσετε μια DHCP DoS είναι να στείλετε ένα DHCP-RELEASE packet χρησιμοποιώντας ως πηγή κάθε δυνατή IP. Τότε, ο server θα νομίζει ότι όλοι έχουν τελειώσει τη χρήση της IP.
Ένας πιο αυτόματος τρόπος για να το κάνετε αυτό είναι να χρησιμοποιήσετε το εργαλείο DHCPing
Μπορείτε να χρησιμοποιήσετε τις αναφερόμενες επιθέσεις DoS για να αναγκάσετε τους πελάτες να αποκτήσουν νέες μισθώσεις εντός του περιβάλλοντος και να εξαντλήσετε τους νόμιμους διακομιστές ώστε να γίνουν μη ανταγωνιστικοί. Έτσι, όταν οι νόμιμοι προσπαθήσουν να επανασυνδεθούν, μπορείτε να σερβίρετε κακόβουλες τιμές που αναφέρονται στην επόμενη επίθεση.
Ένας κακόβουλος διακομιστής DHCP μπορεί να ρυθμιστεί χρησιμοποιώντας το σενάριο DHCP που βρίσκεται στο /usr/share/responder/DHCP.py
. Αυτό είναι χρήσιμο για επιθέσεις δικτύου, όπως η καταγραφή HTTP traffic και διαπιστευτηρίων, ανακατευθύνοντας την κίνηση σε έναν κακόβουλο διακομιστή. Ωστόσο, η ρύθμιση ενός κακόβουλου gateway είναι λιγότερο αποτελεσματική καθώς επιτρέπει μόνο την καταγραφή της εξερχόμενης κίνησης από τον πελάτη, χάνοντας τις απαντήσεις από το πραγματικό gateway. Αντίθετα, συνιστάται η ρύθμιση ενός κακόβουλου διακομιστή DNS ή WPAD για μια πιο αποτελεσματική επίθεση.
Παρακάτω είναι οι επιλογές εντολών για τη ρύθμιση του κακόβουλου διακομιστή DHCP:
Η Διεύθυνση IP μας (Διαφήμιση Gateway): Χρησιμοποιήστε -i 10.0.0.100
για να διαφημίσετε τη διεύθυνση IP της μηχανής σας ως gateway.
Τοπικό Όνομα Τομέα DNS: Προαιρετικά, χρησιμοποιήστε -d example.org
για να ορίσετε ένα τοπικό όνομα τομέα DNS.
Αρχική Διεύθυνση IP Router/Gateway: Χρησιμοποιήστε -r 10.0.0.1
για να προσδιορίσετε τη διεύθυνση IP του νόμιμου router ή gateway.
Διεύθυνση IP Κύριου Διακομιστή DNS: Χρησιμοποιήστε -p 10.0.0.100
για να ορίσετε τη διεύθυνση IP του κακόβουλου διακομιστή DNS που ελέγχετε.
Διεύθυνση IP Δευτερεύοντος Διακομιστή DNS: Προαιρετικά, χρησιμοποιήστε -s 10.0.0.1
για να ορίσετε μια δευτερεύουσα διεύθυνση IP διακομιστή DNS.
Μάσκα Δικτύου Τοπικού Δικτύου: Χρησιμοποιήστε -n 255.255.255.0
για να ορίσετε τη μάσκα για το τοπικό δίκτυο.
Διεπαφή για Κίνηση DHCP: Χρησιμοποιήστε -I eth1
για να ακούσετε την κίνηση DHCP σε μια συγκεκριμένη διεπαφή δικτύου.
Διεύθυνση Ρύθμισης WPAD: Χρησιμοποιήστε -w “http://10.0.0.100/wpad.dat”
για να ορίσετε τη διεύθυνση για τη ρύθμιση WPAD, βοηθώντας στην παρεμβολή της κίνησης ιστού.
Ψεύτικη Διεύθυνση IP Προεπιλεγμένου Gateway: Συμπεριλάβετε -S
για να ψεύσετε τη διεύθυνση IP του προεπιλεγμένου gateway.
Απάντηση σε Όλες τις Αιτήσεις DHCP: Συμπεριλάβετε -R
για να κάνετε τον διακομιστή να απαντά σε όλες τις αιτήσεις DHCP, αλλά να είστε προσεκτικοί καθώς αυτό είναι θορυβώδες και μπορεί να ανιχνευθεί.
Χρησιμοποιώντας σωστά αυτές τις επιλογές, μπορεί να δημιουργηθεί ένας κακόβουλος διακομιστής DHCP για να παρεμβαίνει αποτελεσματικά στην κίνηση δικτύου.
Here are some of the attack tactics that can be used against 802.1X implementations:
Ενεργή βίαιη προσπάθεια αποκωδικοποίησης κωδικών πρόσβασης μέσω EAP
Επίθεση στον διακομιστή RADIUS με κακώς διαμορφωμένο περιεχόμενο EAP **(exploits)
Καταγραφή μηνυμάτων EAP και εκτός σύνδεσης αποκωδικοποίηση κωδικών πρόσβασης (EAP-MD5 και PEAP)
Εξαναγκασμός της πιστοποίησης EAP-MD5 για παράκαμψη της επικύρωσης πιστοποιητικού TLS
Εισαγωγή κακόβουλης δικτυακής κίνησης κατά την πιστοποίηση χρησιμοποιώντας ένα hub ή παρόμοιο
If the attacker if between the victim and the authentication server, he could try to degrade (if necessary) the authentication protocol to EAP-MD5 and capture the authentication attempt. Then, he could brute-force this using:
FHRP (Πρωτόκολλο Πρώτης Εναλλαγής) είναι μια κατηγορία πρωτοκόλλων δικτύου που έχει σχεδιαστεί για να δημιουργήσει ένα ζεστό εφεδρικό σύστημα δρομολόγησης. Με το FHRP, φυσικοί δρομολογητές μπορούν να συνδυαστούν σε μια ενιαία λογική συσκευή, η οποία αυξάνει την ανθεκτικότητα σε σφάλματα και βοηθά στη διανομή του φορτίου.
Οι μηχανικοί της Cisco Systems έχουν αναπτύξει δύο πρωτόκολλα FHRP, GLBP και HSRP.
GLBP & HSRP AttacksΤρεις εκδόσεις του Πρωτοκόλλου Πληροφοριών Δρομολόγησης (RIP) είναι γνωστό ότι υπάρχουν: RIP, RIPv2 και RIPng. Τα datagrams αποστέλλονται σε ομότιμους μέσω της θύρας 520 χρησιμοποιώντας UDP από το RIP και το RIPv2, ενώ τα datagrams μεταδίδονται στη θύρα UDP 521 μέσω IPv6 multicast από το RIPng. Η υποστήριξη για την αυθεντικοποίηση MD5 εισήχθη από το RIPv2. Από την άλλη πλευρά, η εγγενής αυθεντικοποίηση δεν ενσωματώνεται από το RIPng; αντίθετα, βασίζεται σε προαιρετικούς επικεφαλίδες IPsec AH και ESP εντός του IPv6.
RIP και RIPv2: Η επικοινωνία γίνεται μέσω UDP datagrams στη θύρα 520.
RIPng: Χρησιμοποιεί τη θύρα UDP 521 για τη μετάδοση datagrams μέσω IPv6 multicast.
Σημειώστε ότι το RIPv2 υποστηρίζει την αυθεντικοποίηση MD5 ενώ το RIPng δεν περιλαμβάνει εγγενή αυθεντικοποίηση, βασιζόμενο σε επικεφαλίδες IPsec AH και ESP στο IPv6.
EIGRP (Πρωτόκολλο Εσωτερικής Πύλης Ενισχυμένο) είναι ένα δυναμικό πρωτόκολλο δρομολόγησης. Είναι ένα πρωτόκολλο απόστασης-διανύσματος. Εάν δεν υπάρχει αυθεντικοποίηση και ρύθμιση παθητικών διεπαφών, ένας εισβολέας μπορεί να παρεμβαίνει στη δρομολόγηση EIGRP και να προκαλέσει δηλητηρίαση πινάκων δρομολόγησης. Επιπλέον, το δίκτυο EIGRP (με άλλα λόγια, το αυτόνομο σύστημα) είναι επίπεδο και δεν έχει τμηματοποίηση σε ζώνες. Εάν ένας επιτιθέμενος εισάγει μια διαδρομή, είναι πιθανό αυτή η διαδρομή να διαδοθεί σε όλο το αυτόνομο σύστημα EIGRP.
Για να επιτεθεί σε ένα σύστημα EIGRP απαιτείται η εγκαθίδρυση γειτονιάς με έναν νόμιμο δρομολογητή EIGRP, που ανοίγει πολλές δυνατότητες, από βασική αναγνώριση μέχρι διάφορες ενέσεις.
FRRouting σας επιτρέπει να υλοποιήσετε έναν εικονικό δρομολογητή που υποστηρίζει BGP, OSPF, EIGRP, RIP και άλλα πρωτόκολλα. Το μόνο που χρειάζεται να κάνετε είναι να το αναπτύξετε στο σύστημα του επιτιθέμενου και μπορείτε πραγματικά να προσποιηθείτε ότι είστε ένας νόμιμος δρομολογητής στον τομέα δρομολόγησης.
EIGRP AttacksColy έχει δυνατότητες για την παρεμβολή εκπομπών EIGRP (Πρωτόκολλο Εσωτερικής Πύλης Ενισχυμένο). Επιτρέπει επίσης την ένεση πακέτων, τα οποία μπορούν να χρησιμοποιηθούν για την τροποποίηση ρυθμίσεων δρομολόγησης.
Στο πρωτόκολλο Open Shortest Path First (OSPF) η αυθεντικοποίηση MD5 χρησιμοποιείται συνήθως για να διασφαλίσει ασφαλή επικοινωνία μεταξύ δρομολογητών. Ωστόσο, αυτό το μέτρο ασφαλείας μπορεί να παραβιαστεί χρησιμοποιώντας εργαλεία όπως το Loki και το John the Ripper. Αυτά τα εργαλεία είναι ικανά να συλλάβουν και να σπάσουν MD5 hashes, εκθέτοντας το κλειδί αυθεντικοποίησης. Μόλις αποκτηθεί αυτό το κλειδί, μπορεί να χρησιμοποιηθεί για την εισαγωγή νέων πληροφοριών δρομολόγησης. Για να ρυθμίσετε τις παραμέτρους διαδρομής και να καθορίσετε το παραβιασμένο κλειδί, χρησιμοποιούνται οι καρτέλες Injection και Connection, αντίστοιχα.
Σύλληψη και Σπάσιμο MD5 Hashes: Εργαλεία όπως το Loki και το John the Ripper χρησιμοποιούνται για αυτό το σκοπό.
Ρύθμιση Παραμέτρων Διαδρομής: Αυτό γίνεται μέσω της καρτέλας Injection.
Ρύθμιση του Παραβιασμένου Κλειδιού: Το κλειδί ρυθμίζεται στην καρτέλα Connection.
Above: Εργαλείο για σάρωση δικτυακής κίνησης και εύρεση ευπαθειών
Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με επιθέσεις δικτύου εδώ.
Ο επιτιθέμενος ρυθμίζει όλες τις παραμέτρους δικτύου (GW, IP, DNS) του νέου μέλους του δικτύου στέλνοντας ψεύτικες απαντήσεις DHCP.
Δείτε την προηγούμενη ενότητα.
Το ICMP Redirect συνίσταται στην αποστολή ενός πακέτου ICMP τύπου 1 κωδικός 5 που υποδεικνύει ότι ο επιτιθέμενος είναι ο καλύτερος τρόπος για να φτάσετε σε μια διεύθυνση IP. Στη συνέχεια, όταν το θύμα θέλει να επικοινωνήσει με την IP, θα στείλει το πακέτο μέσω του επιτιθέμενου.
Ο επιτιθέμενος θα επιλύσει μερικούς (ή όλους) τους τομείς που ζητάει το θύμα.
Ρυθμίστε το δικό σας DNS με το dnsmasq
Πολλές διαδρομές προς συστήματα και δίκτυα συχνά υπάρχουν. Αφού δημιουργήσετε μια λίστα με διευθύνσεις MAC εντός του τοπικού δικτύου, χρησιμοποιήστε το gateway-finder.py για να εντοπίσετε υπολογιστές που υποστηρίζουν την προώθηση IPv4.
Για την τοπική επίλυση ονομάτων όταν οι αναζητήσεις DNS αποτυγχάνουν, τα συστήματα της Microsoft βασίζονται στην Link-Local Multicast Name Resolution (LLMNR) και την NetBIOS Name Service (NBT-NS). Ομοίως, το Apple Bonjour και οι υλοποιήσεις Linux zero-configuration χρησιμοποιούν το Multicast DNS (mDNS) για την ανακάλυψη συστημάτων εντός ενός δικτύου. Λόγω της μη αυθεντικοποιημένης φύσης αυτών των πρωτοκόλλων και της λειτουργίας τους μέσω UDP, εκπέμποντας μηνύματα, μπορούν να εκμεταλλευτούν από επιτιθέμενους που στοχεύουν να ανακατευθύνουν τους χρήστες σε κακόβουλες υπηρεσίες.
Μπορείτε να προσποιηθείτε υπηρεσίες που αναζητούνται από τους hosts χρησιμοποιώντας το Responder για να στείλετε ψευδείς απαντήσεις. Διαβάστε εδώ περισσότερες πληροφορίες σχετικά με πώς να προσποιηθείτε υπηρεσίες με το Responder.
Οι περιηγητές χρησιμοποιούν συνήθως το Web Proxy Auto-Discovery (WPAD) πρωτόκολλο για να αποκτούν αυτόματα ρυθμίσεις proxy. Αυτό περιλαμβάνει την ανάκτηση λεπτομερειών ρύθμισης από έναν διακομιστή, συγκεκριμένα μέσω μιας διεύθυνσης URL όπως "http://wpad.example.org/wpad.dat". Η ανακάλυψη αυτού του διακομιστή από τους πελάτες μπορεί να συμβεί μέσω διαφόρων μηχανισμών:
Μέσω DHCP, όπου η ανακάλυψη διευκολύνεται με τη χρήση μιας ειδικής καταχώρησης κωδικού 252.
Μέσω DNS, που περιλαμβάνει την αναζήτηση ενός ονόματος υπολογιστή με την ετικέτα wpad εντός του τοπικού τομέα.
Μέσω Microsoft LLMNR και NBT-NS, που είναι μηχανισμοί εναλλακτικής λύσης που χρησιμοποιούνται σε περιπτώσεις όπου οι αναζητήσεις DNS δεν επιτυγχάνουν.
Το εργαλείο Responder εκμεταλλεύεται αυτό το πρωτόκολλο ενεργώντας ως κακόβουλος διακομιστής WPAD. Χρησιμοποιεί DHCP, DNS, LLMNR και NBT-NS για να παραπλανήσει τους πελάτες να συνδεθούν σε αυτόν. Για να εμβαθύνετε στο πώς μπορούν να προσποιηθούν οι υπηρεσίες χρησιμοποιώντας το Responder ελέγξτε αυτό.
Μπορείτε να προσφέρετε διαφορετικές υπηρεσίες στο δίκτυο για να προσπαθήσετε να παγιδεύσετε έναν χρήστη να εισάγει κάποια κωδικοποιημένα διαπιστευτήρια. Περισσότερες πληροφορίες σχετικά με αυτήν την επίθεση στο Spoofing SSDP and UPnP Devices.
Αυτή η επίθεση είναι πολύ παρόμοια με την ARP Spoofing αλλά στον κόσμο του IPv6. Μπορείτε να κάνετε το θύμα να πιστέψει ότι το IPv6 του GW έχει το MAC του επιτιθέμενου.
Ορισμένα λειτουργικά συστήματα ρυθμίζουν από προεπιλογή την πύλη από τα πακέτα RA που αποστέλλονται στο δίκτυο. Για να δηλώσετε τον επιτιθέμενο ως IPv6 δρομολογητή μπορείτε να χρησιμοποιήσετε:
Από προεπιλογή, ορισμένα λειτουργικά συστήματα προσπαθούν να διαμορφώσουν το DNS διαβάζοντας ένα πακέτο DHCPv6 στο δίκτυο. Στη συνέχεια, ένας επιτιθέμενος θα μπορούσε να στείλει ένα πακέτο DHCPv6 για να διαμορφωθεί ως DNS. Το DHCP παρέχει επίσης μια διεύθυνση IPv6 στο θύμα.
Βασικά, αυτό που κάνει αυτή η επίθεση είναι, σε περίπτωση που ο χρήστης προσπαθήσει να πρόσβαση σε μια σελίδα HTTP που ανακατευθύνει στην έκδοση HTTPS. Το sslStrip θα διατηρήσει μια σύνδεση HTTP με τον πελάτη και μια σύνδεση HTTPS με τον διακομιστή ώστε να μπορεί να συλλάβει τη σύνδεση σε καθαρό κείμενο.
More info here.
Η διαφορά μεταξύ sslStrip+ και dns2proxy σε σχέση με sslStrip είναι ότι θα ανακατευθύνουν για παράδειγμα www.facebook.com σε wwww.facebook.com (σημειώστε το επιπλέον "w") και θα ορίσουν τη διεύθυνση αυτού του τομέα ως τη διεύθυνση IP του επιτιθέμενου. Με αυτόν τον τρόπο, ο πελάτης θα συνδεθεί με το wwww.facebook.com (τον επιτιθέμενο) αλλά πίσω από τις σκηνές sslstrip+ θα διατηρεί τη πραγματική σύνδεση μέσω https με www.facebook.com.
Ο στόχος αυτής της τεχνικής είναι να αποφευχθεί το HSTS επειδή wwww.facebook.com δεν θα αποθηκευτεί στην κρυφή μνήμη του προγράμματος περιήγησης, οπότε το πρόγραμμα περιήγησης θα παραπλανηθεί να εκτελέσει την αυθεντικοποίηση του facebook σε HTTP. Σημειώστε ότι για να εκτελεστεί αυτή η επίθεση, το θύμα πρέπει αρχικά να προσπαθήσει να αποκτήσει πρόσβαση στο http://www.faceook.com και όχι στο https. Αυτό μπορεί να γίνει τροποποιώντας τους συνδέσμους μέσα σε μια σελίδα http.
More info here, here and here.
sslStrip ή sslStrip+ δεν λειτουργεί πια. Αυτό συμβαίνει επειδή υπάρχουν κανόνες HSTS που έχουν αποθηκευτεί στους προγράμματα περιήγησης, οπότε ακόμη και αν είναι η πρώτη φορά που ένας χρήστης αποκτά πρόσβαση σε έναν "σημαντικό" τομέα, θα αποκτήσει πρόσβαση μέσω HTTPS. Επίσης, σημειώστε ότι οι αποθηκευμένοι κανόνες και άλλοι παραγόμενοι κανόνες μπορούν να χρησιμοποιούν τη σημαία includeSubdomains
έτσι το wwww.facebook.com παράδειγμα από πριν δεν θα λειτουργεί πια καθώς το facebook.com χρησιμοποιεί HSTS με includeSubdomains
.
TODO: easy-creds, evilgrade, metasploit, factory
Κάποιες φορές, αν ο πελάτης ελέγξει ότι η CA είναι έγκυρη, θα μπορούσατε να εξυπηρετήσετε ένα πιστοποιητικό άλλου ονόματος κεντρικού υπολογιστή υπογεγραμμένο από μια CA. Ένας άλλος ενδιαφέρον έλεγχος είναι να εξυπηρετήσετε ένα πιστοποιητικό του ζητούμενου ονόματος κεντρικού υπολογιστή αλλά αυτο-υπογεγραμμένο.
Άλλα πράγματα που μπορείτε να δοκιμάσετε είναι να προσπαθήσετε να υπογράψετε το πιστοποιητικό με ένα έγκυρο πιστοποιητικό που δεν είναι έγκυρη CA. Ή να χρησιμοποιήσετε το έγκυρο δημόσιο κλειδί, να αναγκάσετε τη χρήση ενός αλγορίθμου όπως το diffie hellman (ένας που δεν χρειάζεται να αποκρυπτογραφήσει τίποτα με το πραγματικό ιδιωτικό κλειδί) και όταν ο πελάτης ζητήσει μια δοκιμή του πραγματικού ιδιωτικού κλειδιού (όπως ένα hash) να στείλετε μια ψεύτικη δοκιμή και να περιμένετε ότι ο πελάτης δεν θα ελέγξει αυτό.
Λάβετε υπόψη ότι όταν αποστέλλεται ένα πακέτο UDP σε μια συσκευή που δεν έχει την ζητούμενη θύρα, αποστέλλεται ένα ICMP (Port Unreachable).
Τα πακέτα ARP χρησιμοποιούνται για να ανακαλύψουν ποιες IPs χρησιμοποιούνται μέσα στο δίκτυο. Ο υπολογιστής πρέπει να στείλει ένα αίτημα για κάθε πιθανή διεύθυνση IP και μόνο οι χρησιμοποιούμενες θα απαντήσουν.
Το Bettercap στέλνει ένα αίτημα MDNS (κάθε X ms) ζητώντας το _services_.dns-sd._udp.local. Η μηχανή που βλέπει αυτό το πακέτο συνήθως απαντά σε αυτό το αίτημα. Στη συνέχεια, αναζητά μόνο τις μηχανές που απαντούν σε "services".
Tools
Avahi-browser (--all)
Bettercap (net.probe.mdns)
Responder
Το Bettercap εκπέμπει πακέτα στη θύρα 137/UDP ζητώντας το όνομα "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".
Το Bettercap εκπέμπει πακέτα SSDP αναζητώντας κάθε είδους υπηρεσίες (UDP Port 1900).
Το Bettercap εκπέμπει πακέτα WSD αναζητώντας υπηρεσίες (UDP Port 3702).
Network Security Assessment: Know Your Network (3rd edition)
Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things. By Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)