Pentesting Network
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: prijavite se za Intigriti, premium bug bounty platformu koju su kreirali hakeri, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
Otkriće hostova sa spoljašnje strane
Ovo će biti kratka sekcija o tome kako pronaći IP adrese koje odgovaraju sa Interneta. U ovoj situaciji imate neki opseg IP adresa (možda čak i nekoliko raspona) i samo treba da pronađete koje IP adrese odgovaraju.
ICMP
Ovo je najlakši i najbrži način da otkrijete da li je host aktivan ili ne.
Možete pokušati da pošaljete neke ICMP pakete i očekujete odgovore. Najlakši način je jednostavno slanje echo zahteva i očekivanje odgovora. To možete uraditi koristeći jednostavan ping
ili koristeći fping
za raspone.
Takođe možete koristiti nmap da pošaljete druge tipove ICMP paketa (to će izbeći filtere za uobičajene ICMP echo zahtev-odgovor).
TCP Port Discovery
Veoma je uobičajeno da se svi tipovi ICMP paketa filtriraju. Tada, sve što možete da uradite da proverite da li je host aktivan je pokušati da pronađete otvorene portove. Svaki host ima 65535 portova, tako da, ako imate "velik" opseg, ne možete testirati da li je svaki port svakog hosta otvoren ili ne, to će potrajati previše vremena. Tada, ono što vam je potrebno je brzi skener portova (masscan) i lista najčešće korišćenih portova:
Možete takođe izvršiti ovaj korak sa nmap
, ali je sporije i nmap
ima problema sa identifikovanjem aktivnih hostova.
HTTP Port Discovery
Ovo je samo otkrivanje TCP portova korisno kada želite da fokusirate na otkrivanje HTTP usluga:
UDP Port Discovery
Možete takođe pokušati da proverite da li je neki UDP port otvoren kako biste odlučili da li treba da obratite više pažnje na host. Pošto UDP servisi obično ne odgovaraju sa bilo kojim podacima na običan prazan UDP probe paket, teško je reći da li je port filtriran ili otvoren. Najlakši način da to odlučite je da pošaljete paket vezan za aktivnu uslugu, a pošto ne znate koja usluga radi, trebali biste probati najverovatniju na osnovu broja porta:
Linija nmap koja je predložena ranije će testirati top 1000 UDP portova na svakom hostu unutar /24 opsega, ali čak i to će trajati >20min. Ako su potrebni najbrži rezultati, možete koristiti udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24
Ovo će poslati ove UDP probe na njihov očekivani port (za /24 opseg ovo će trajati samo 1 min): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike, ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.
SCTP Otkriće Portova
Pentesting Wifi
Ovde možete pronaći lep vodič o svim poznatim Wifi napadima u vreme pisanja:
Pentesting WifiOtkriće hostova iznutra
Ako ste unutar mreže, jedna od prvih stvari koje ćete želeti da uradite je da otkrijete druge hostove. U zavisnosti od koliko buke možete/želite da napravite, različite akcije se mogu izvesti:
Pasivno
Možete koristiti ove alate za pasivno otkrivanje hostova unutar povezane mreže:
Active
Napomena da se tehnike komentarisane u Otkrivanju hostova sa spoljne strane (TCP/HTTP/UDP/SCTP otkrivanje portova) takođe mogu primeniti ovde. Ali, pošto ste u isto mreži kao i ostali hostovi, možete raditi više stvari:
Active ICMP
Napomena da se tehnike komentarisane u Otkrivanju hostova sa spolja (ICMP) takođe mogu primeniti ovde. Ali, pošto ste u isto mreži kao i ostali hostovi, možete uraditi više stvari:
Ako pingujete adresu za emitovanje podmreže, ping bi trebao da stigne do svakog hosta i oni bi mogli da odgovore vama:
ping -b 10.10.5.255
Pinging adresu za emitovanje mreže mogli biste čak pronaći hostove unutar drugih podmreža:
ping -b 255.255.255.255
Koristite
-PE
,-PP
,-PM
zastavicenmap
za otkrivanje hostova slanjem ICMPv4 echo, vremenskih oznaka, i zahteva za masku podmreže:nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24
Wake On Lan
Wake On Lan se koristi za uključivanje računara putem mrežne poruke. Magični paket koji se koristi za uključivanje računara je samo paket gde je MAC Dst obezbeđen i zatim se ponavlja 16 puta unutar istog paketa. Ove vrste paketa se obično šalju u ethernet 0x0842 ili u UDP paket na port 9. Ako nema [MAC] obezbeđen, paket se šalje na emitovanje ethernet (i emitovani MAC će biti onaj koji se ponavlja).
Skenerisanje hostova
Kada otkrijete sve IP adrese (spoljašnje ili unutrašnje) koje želite detaljno skenirati, mogu se izvršiti različite radnje.
TCP
Otvoren port: SYN --> SYN/ACK --> RST
Zatvoren port: SYN --> RST/ACK
Filtriran port: SYN --> [NEMA ODGOVORA]
Filtriran port: SYN --> ICMP poruka
UDP
Postoje 2 opcije za skeniranje UDP porta:
Pošaljite UDP paket i proverite odgovor ICMP unreachable ako je port zatvoren (u nekoliko slučajeva ICMP će biti filtriran pa nećete dobiti nikakve informacije ako je port zatvoren ili otvoren).
Pošaljite formatirane datagrame da izazovete odgovor od usluge (npr., DNS, DHCP, TFTP i druge, kako je navedeno u nmap-payloads). Ako dobijete odgovor, onda je port otvoren.
Nmap će kombinovati obe opcije koristeći "-sV" (UDP skeniranja su veoma spora), ali imajte na umu da su UDP skeniranja sporija od TCP skeniranja:
SCTP Scan
SCTP (Stream Control Transmission Protocol) je dizajniran da se koristi zajedno sa TCP (Transmission Control Protocol) i UDP (User Datagram Protocol). Njegova glavna svrha je da olakša transport telefonskih podataka preko IP mreža, odražavajući mnoge karakteristike pouzdanosti koje se nalaze u Signaling System 7 (SS7). SCTP je osnovna komponenta SIGTRAN protokol porodice, koja ima za cilj transport SS7 signala preko IP mreža.
Podršku za SCTP pružaju različiti operativni sistemi, kao što su IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS, i VxWorks, što ukazuje na njegovu široku prihvaćenost i korisnost u oblasti telekomunikacija i umrežavanja.
Dva različita skeniranja za SCTP nudi nmap: -sY i -sZ
IDS i IPS izbegavanje
IDS and IPS EvasionViše nmap opcija
Nmap Summary (ESP)Otkivanje unutrašnjih IP adresa
Pogrešno konfigurisani ruteri, vatrozidi i mrežni uređaji ponekad odgovaraju na mrežne probe koristeći nejavne izvore adresa. tcpdump se može koristiti za identifikaciju paketa primljenih sa privatnih adresa tokom testiranja. Konkretno, na Kali Linux-u, paketi se mogu uhvatiti na eth2 interfejsu, koji je dostupan sa javnog Interneta. Važno je napomenuti da, ako je vaša konfiguracija iza NAT-a ili vatrozida, takvi paketi verovatno neće biti propušteni.
Sniffing
Sniffing možete saznati detalje o IP opsezima, veličinama podmreža, MAC adresama i nazivima hostova pregledanjem uhvaćenih okvira i paketa. Ako je mreža pogrešno konfigurisana ili je preklopna tkanina pod stresom, napadači mogu uhvatiti osetljive materijale putem pasivnog mrežnog sniffinga.
Ako je preklopna Ethernet mreža pravilno konfigurisana, videćete samo broadcast okvire i materijale namenjene vašoj MAC adresi.
TCPDump
Može se, takođe, uhvatiti pakete sa udaljenog računara preko SSH sesije koristeći Wireshark kao GUI u realnom vremenu.
Bettercap
Wireshark
Očigledno.
Capturing credentials
Možete koristiti alate kao što su https://github.com/lgandx/PCredz za parsiranje kredencijala iz pcap-a ili sa aktivnog interfejsa.
LAN attacks
ARP spoofing
ARP Spoofing se sastoji od slanja besplatnih ARP odgovora kako bi se naznačilo da IP mašine ima MAC našeg uređaja. Tada će žrtva promeniti ARP tabelu i kontaktirati našu mašinu svaki put kada želi da kontaktira IP koji je spoofovan.
Bettercap
Arpspoof
MAC Flooding - CAM overflow
Preplavite CAM tabelu prekidača slanjem velikog broja paketa sa različitim izvornih MAC adresama. Kada je CAM tabela puna, prekidač počinje da se ponaša kao hub (šalje sve saobraćaje u broadcast).
U modernim prekidačima ova ranjivost je ispravljena.
802.1Q VLAN / DTP Napadi
Dinamičko Trunkovanje
Dinamički Trunking Protokol (DTP) je dizajniran kao protokol na link nivou kako bi olakšao automatski sistem za trunkovanje, omogućavajući prekidačima da automatski biraju portove za trunk mod (Trunk) ili non-trunk mod. Implementacija DTP se često smatra pokazateljem suboptimalnog dizajna mreže, naglašavajući važnost ručne konfiguracije trunkova samo gde je to neophodno i osiguranje pravilne dokumentacije.
Podrazumevano, portovi prekidača su postavljeni da rade u Dinamičkom Auto modu, što znači da su spremni da iniciraju trunkovanje ako ih pozove susedni prekidač. Bezbednosna zabrinutost se javlja kada pentester ili napadač poveže na prekidač i pošalje DTP Desirable okvir, primoravajući port da uđe u trunk mod. Ova akcija omogućava napadaču da enumeriše VLAN-ove kroz analizu STP okvira i zaobiđe VLAN segmentaciju postavljanjem virtuelnih interfejsa.
Prisutnost DTP u mnogim prekidačima podrazumevano može biti iskorišćena od strane protivnika da oponaša ponašanje prekidača, čime se stiče pristup saobraćaju kroz sve VLAN-ove. Skripta dtpscan.sh se koristi za praćenje interfejsa, otkrivajući da li je prekidač u Default, Trunk, Dynamic, Auto ili Access modu—potonji je jedina konfiguracija imuna na napade VLAN hopping. Ovaj alat procenjuje status ranjivosti prekidača.
Ukoliko se identifikuje ranjivost mreže, alat Yersinia može biti korišćen za "omogućavanje trunkovanja" putem DTP protokola, omogućavajući posmatranje paketa iz svih VLAN-ova.
Da biste enumerisali VLAN-ove, takođe je moguće generisati DTP Desirable okvir pomoću skripte DTPHijacking.py**. **Ne prekidajte skriptu ni pod kojim okolnostima. Ona injektuje DTP Desirable svake tri sekunde. Dinamčki kreirani trunk kanali na switch-u žive samo pet minuta. Nakon pet minuta, trunk se gasi.
Želeo bih da istaknem da Access/Desirable (0x03) označava da je DTP okvir tipa Desirable, što govori portu da pređe u Trunk režim. A 802.1Q/802.1Q (0xa5) označava tip enkapsulacije 802.1Q.
Analizom STP okvira, saznajemo o postojanju VLAN 30 i VLAN 60.
Napad na specifične VLAN-ove
Kada znate VLAN ID-ove i IP vrednosti, možete konfigurisati virtuelno sučelje za napad na specifičan VLAN. Ako DHCP nije dostupan, koristite ifconfig da postavite statičku IP adresu.
Automatic VLAN Hopper
Napad o kojem se govori, Dynamic Trunking i kreiranje virtuelnih interfejsa i otkrivanje hostova unutar drugih VLAN-ova se automatski izvršava alatom: https://github.com/nccgroup/vlan-hopping---frogger
Double Tagging
Ako napadač zna vrednost MAC, IP i VLAN ID žrtve, mogao bi pokušati da duplo označi okvir sa svojim dodeljenim VLAN-om i VLAN-om žrtve i pošalje paket. Kako žrtva neće moći da se poveže nazad sa napadačem, najbolja opcija za napadača je komunikacija putem UDP-a sa protokolima koji mogu izvršiti neke zanimljive akcije (kao što je SNMP).
Druga opcija za napadača je da pokrene TCP port skeniranje lažirajući IP koji kontroliše napadač i koji je dostupan žrtvi (verovatno putem interneta). Tada bi napadač mogao da prisluškuje na drugom hostu koji mu pripada ako primi neke pakete od žrtve.
Da biste izvršili ovaj napad, možete koristiti scapy: pip install scapy
Lateral VLAN Segmentation Bypass
Ako imate pristup switch-u na koji ste direktno povezani, imate mogućnost da zaobiđete VLAN segmentaciju unutar mreže. Jednostavno prebacite port u trunk mod (poznat i kao trunk), kreirajte virtuelne interfejse sa ID-evima ciljanih VLAN-ova i konfigurišite IP adresu. Možete pokušati da zatražite adresu dinamički (DHCP) ili je možete konfigurisati statički. To zavisi od slučaja.
Lateral VLAN Segmentation BypassLayer 3 Private VLAN Bypass
U određenim okruženjima, kao što su mreže za goste, izolacija portova (poznata i kao privatni VLAN) postavke se implementiraju kako bi se sprečilo da klijenti povezani na bežični pristupni tačku direktno komuniciraju jedni s drugima. Međutim, identifikovana je tehnika koja može zaobići ove mere izolacije. Ova tehnika koristi ili nedostatak mrežnih ACL-ova ili njihovu nepravilnu konfiguraciju, omogućavajući IP paketima da se rutiraju kroz ruter kako bi došli do drugog klijenta na istoj mreži.
Napad se izvršava kreiranjem paketa koji nosi IP adresu odredišnog klijenta, ali sa MAC adresom rutera. Ovo uzrokuje da ruter greškom prosledi paket ciljanom klijentu. Ovaj pristup je sličan onom koji se koristi u napadima sa dvostrukim označavanjem, gde se sposobnost kontrole hosta dostupnog žrtvi koristi za iskorišćavanje sigurnosne greške.
Ključni koraci napada:
Kreiranje paketa: Paket je posebno kreiran da uključuje IP adresu ciljanog klijenta, ali sa MAC adresom rutera.
Iskorišćavanje ponašanja rutera: Kreirani paket se šalje ka ruteru, koji, zbog konfiguracije, preusmerava paket ka ciljanom klijentu, zaobilazeći izolaciju koju pružaju postavke privatnog VLAN-a.
VTP Attacks
VTP (VLAN Trunking Protocol) centralizuje upravljanje VLAN-ovima. Koristi brojeve revizije za održavanje integriteta VLAN baze podataka; svaka izmena povećava ovaj broj. Switch-evi usvajaju konfiguracije sa višim brojevima revizije, ažurirajući svoje VLAN baze podataka.
VTP Domain Roles
VTP Server: Upravljanje VLAN-ovima—kreira, briše, modifikuje. Emituje VTP obaveštenja članovima domena.
VTP Client: Prima VTP obaveštenja kako bi sinhronizovao svoju VLAN bazu podataka. Ova uloga je ograničena od lokalnih modifikacija VLAN konfiguracije.
VTP Transparent: Ne učestvuje u VTP ažuriranjima, ali prosleđuje VTP obaveštenja. Nije pogođen VTP napadima, održava konstantan broj revizije nula.
VTP Advertisement Types
Summary Advertisement: Emituje ga VTP server svake 300 sekundi, noseći osnovne informacije o domenu.
Subset Advertisement: Šalje se nakon promena u VLAN konfiguraciji.
Advertisement Request: Izdaje ga VTP klijent da zatraži Summary Advertisement, obično kao odgovor na otkrivanje višeg broja revizije konfiguracije.
VTP ranjivosti se mogu iskoristiti isključivo putem trunk portova, jer VTP obaveštenja cirkulišu samo kroz njih. Post-DTP scenariji napada mogu se preusmeriti ka VTP-u. Alati poput Yersinia mogu olakšati VTP napade, sa ciljem da unište VLAN bazu podataka, efektivno ometajući mrežu.
Napomena: Ova diskusija se odnosi na VTP verziju 1 (VTPv1).
U Yersinia-inom grafičkom režimu, izaberite opciju za brisanje svih VTP VLAN-ova da biste očistili VLAN bazu podataka.
STP Napadi
Ako ne možete da uhvatite BPDU okvire na vašim interfejsima, malo je verovatno da ćete uspeti u STP napadu.
STP BPDU DoS
Slanjem velikog broja BPDUs TCP (Obaveštenje o promeni topologije) ili Conf (BPDUs koje se šalju kada se topologija kreira) prekidači su preopterećeni i prestaju da rade ispravno.
STP TCP Attack
Kada se TCP pošalje, CAM tabela prekidača će biti obrisana za 15s. Tada, ako neprekidno šaljete ovu vrstu paketa, CAM tabela će se neprekidno restartovati (ili svakih 15 sekundi) i kada se restartuje, prekidač se ponaša kao hub.
STP Root Attack
Napadač simulira ponašanje prekidača kako bi postao STP root mreže. Tada će više podataka prolaziti kroz njega. Ovo je zanimljivo kada ste povezani na dva različita prekidača. To se postiže slanjem BPDUs CONF paketa koji kažu da je prioritet vrednost manja od stvarnog prioriteta stvarnog root prekidača.
Ako je napadač povezan na 2 prekidača, može postati koren novog stabla i sav saobraćaj između tih prekidača će prolaziti kroz njega (biće izvršen MITM napad).
CDP Napadi
CISCO Discovery Protocol (CDP) je ključan za komunikaciju između CISCO uređaja, omogućavajući im da identifikuju jedni druge i dele detalje konfiguracije.
Pasivno prikupljanje podataka
CDP je podešen da emituje informacije kroz sve portove, što može dovesti do bezbednosnog rizika. Napadač, kada se poveže na port prekidača, može koristiti mrežne sniffer-e kao što su Wireshark, tcpdump ili Yersinia. Ova akcija može otkriti osetljive podatke o mrežnom uređaju, uključujući njegov model i verziju Cisco IOS-a koju koristi. Napadač bi zatim mogao ciljati specifične ranjivosti u identifikovanoj verziji Cisco IOS-a.
Indukcija CDP Tabele Flooding-a
Agresivniji pristup uključuje pokretanje napada uskraćivanja usluge (DoS) preplavljivanjem memorije prekidača, pretvarajući se da su legitimni CISCO uređaji. Ispod je redosled komandi za pokretanje takvog napada koristeći Yersinia, alat za testiranje mreže:
Tokom ovog napada, CPU prekidača i CDP tabela suseda su jako opterećeni, što dovodi do onoga što se često naziva “paraliza mreže” zbog prekomerne potrošnje resursa.
CDP Impersonation Attack
Možete takođe koristiti scapy. Obavezno ga instalirajte sa scapy/contrib
paketom.
VoIP napadi i VoIP Hopper alat
VoIP telefoni, sve više integrisani sa IoT uređajima, nude funkcionalnosti poput otključavanja vrata ili kontrolisanja termostata putem posebnih brojeva telefona. Međutim, ova integracija može predstavljati sigurnosne rizike.
Alat voiphopper je dizajniran da emulira VoIP telefon u raznim okruženjima (Cisco, Avaya, Nortel, Alcatel-Lucent). Otkriva VLAN ID glasovne mreže koristeći protokole kao što su CDP, DHCP, LLDP-MED i 802.1Q ARP.
VoIP Hopper nudi tri moda za Cisco Discovery Protocol (CDP):
Sniff Mode (
-c 0
): Analizira mrežne pakete kako bi identifikovao VLAN ID.Spoof Mode (
-c 1
): Generiše prilagođene pakete koji imituju one stvarnog VoIP uređaja.Spoof with Pre-made Packet Mode (
-c 2
): Šalje pakete identične onima određenog Cisco IP telefonskog modela.
Preferirani mod za brzinu je treći. Zahteva specificiranje:
Mrežnog interfejsa napadača (
-i
parametar).Imena VoIP uređaja koji se emulira (
-E
parametar), u skladu sa Cisco formatom imenovanja (npr. SEP praćeno MAC adresom).
U korporativnim okruženjima, da bi se imitirao postojeći VoIP uređaj, može se:
Istražiti MAC oznaka na telefonu.
Navigirati podešavanjima prikaza telefona da bi se videli podaci o modelu.
Povezati VoIP uređaj na laptop i posmatrati CDP zahteve koristeći Wireshark.
Primer komande za izvršavanje alata u trećem modu bio bi:
DHCP Napadi
Enumeracija
DoS
Dva tipa DoS mogu se izvesti protiv DHCP servera. Prvi se sastoji od simuliranja dovoljno lažnih hostova da se iskoriste sve moguće IP adrese. Ovaj napad će raditi samo ako možete videti odgovore DHCP servera i završiti protokol (Discover (Comp) --> Offer (server) --> Request (Comp) --> ACK (server)). Na primer, ovo nije moguće u Wifi mrežama.
Drugi način za izvođenje DHCP DoS je slanje DHCP-RELEASE paketa koristeći kao izvorni kod svaku moguću IP adresu. Tada će server pomisliti da su svi završili sa korišćenjem IP adrese.
Jedan automatskiji način za to je korišćenje alata DHCPing
Možete koristiti pomenute DoS napade da primorate klijente da dobiju nove zakupnine unutar okruženja i iscrpite legitimne servere tako da postanu neodgovorni. Tako kada se legitimni pokušaju ponovo povezati, možete poslužiti zlonamerne vrednosti pomenute u sledećem napadu.
Postavljanje zlonamernih vrednosti
Zlonameran DHCP server može biti postavljen korišćenjem DHCP skripte koja se nalazi na /usr/share/responder/DHCP.py
. Ovo je korisno za mrežne napade, poput hvatanja HTTP saobraćaja i kredencijala, preusmeravanjem saobraćaja na zlonamerni server. Međutim, postavljanje zlonamerne gateway adrese je manje efikasno jer omogućava samo hvatanje izlaznog saobraćaja sa klijenta, propuštajući odgovore sa pravog gateway-a. Umesto toga, preporučuje se postavljanje zlonamernog DNS ili WPAD servera za efikasniji napad.
Ispod su opcije komandi za konfiguraciju zlonamernog DHCP servera:
Naša IP adresa (Gateway oglašavanje): Koristite
-i 10.0.0.100
da oglasite IP vaše mašine kao gateway.Lokalno DNS ime domena: Opcionalno, koristite
-d example.org
da postavite lokalno DNS ime domena.Originalni Router/Gateway IP: Koristite
-r 10.0.0.1
da navedete IP adresu legitimnog rutera ili gateway-a.Primarna DNS server IP: Koristite
-p 10.0.0.100
da postavite IP adresu zlonamernog DNS servera koji kontrolišete.Sekundarna DNS server IP: Opcionalno, koristite
-s 10.0.0.1
da postavite sekundarnu DNS server IP.Mrežna maska lokalne mreže: Koristite
-n 255.255.255.0
da definišete mrežnu masku za lokalnu mrežu.Interfejs za DHCP saobraćaj: Koristite
-I eth1
da slušate DHCP saobraćaj na određenom mrežnom interfejsu.WPAD konfiguraciona adresa: Koristite
-w “http://10.0.0.100/wpad.dat”
da postavite adresu za WPAD konfiguraciju, pomažući u presretanju web saobraćaja.Lažiranje IP adrese podrazumevanog gateway-a: Uključite
-S
da lažirate IP adresu podrazumevanog gateway-a.Odgovarajte na sve DHCP zahteve: Uključite
-R
da server odgovara na sve DHCP zahteve, ali budite svesni da je ovo bučno i može biti otkriveno.
Ispravnim korišćenjem ovih opcija, može se uspostaviti zlonamerni DHCP server za efikasno presretanje mrežnog saobraćaja.
EAP napadi
Evo nekih od taktika napada koje se mogu koristiti protiv 802.1X implementacija:
Aktivno brute-force otkrivanje lozinki putem EAP
Napad na RADIUS server sa neispravnim EAP sadržajem **(eksploati)
Snimanje EAP poruka i offline otkrivanje lozinki (EAP-MD5 i PEAP)
Prisiljavanje EAP-MD5 autentifikacije da zaobiđe TLS validaciju sertifikata
Umetanje zlonamernog mrežnog saobraćaja prilikom autentifikacije koristeći hub ili slično
Ako je napadač između žrtve i servera za autentifikaciju, mogao bi pokušati da degradira (ako je potrebno) autentifikacioni protokol na EAP-MD5 i snimi pokušaj autentifikacije. Zatim bi mogao da koristi brute-force za ovo:
FHRP (GLBP & HSRP) Attacks
FHRP (First Hop Redundancy Protocol) je klasa mrežnih protokola dizajniranih da stvore vrući redundantni sistem rutiranja. Sa FHRP-om, fizički ruteri mogu biti kombinovani u jedan logički uređaj, što povećava otpornost na greške i pomaže u raspodeli opterećenja.
Inženjeri Cisco Systems-a su razvili dva FHRP protokola, GLBP i HSRP.
GLBP & HSRP AttacksRIP
Poznate su tri verzije Protokola za rutiranje informacija (RIP): RIP, RIPv2 i RIPng. Datagrami se šalju partnerima putem porta 520 koristeći UDP kod RIP i RIPv2, dok se datagrami emitiraju na UDP port 521 putem IPv6 multicast kod RIPng. Podrška za MD5 autentifikaciju uvedena je RIPv2. S druge strane, nativna autentifikacija nije uključena u RIPng; umesto toga, oslanja se na opcione IPsec AH i ESP zaglavlja unutar IPv6.
RIP i RIPv2: Komunikacija se vrši putem UDP datagrama na portu 520.
RIPng: Koristi UDP port 521 za emitovanje datagrama putem IPv6 multicast.
Napomena: RIPv2 podržava MD5 autentifikaciju dok RIPng ne uključuje nativnu autentifikaciju, oslanjajući se na IPsec AH i ESP zaglavlja u IPv6.
EIGRP Attacks
EIGRP (Enhanced Interior Gateway Routing Protocol) je dinamički protokol rutiranja. To je protokol zasnovan na udaljenosti. Ako nema autentifikacije i konfiguracije pasivnih interfejsa, napadač može ometati EIGRP rutiranje i izazvati trovanje tabela rutiranja. Štaviše, EIGRP mreža (drugim rečima, autonomni sistem) je ravna i nema segmentaciju u bilo koje zone. Ako napadač injektuje rutu, verovatno će se ova ruta proširiti kroz autonomni EIGRP sistem.
Da bi se napao EIGRP sistem, potrebno je uspostaviti komšiluk sa legitimnim EIGRP ruterom, što otvara mnoge mogućnosti, od osnovne rekognosciranja do raznih injekcija.
FRRouting vam omogućava da implementirate virtuelni ruter koji podržava BGP, OSPF, EIGRP, RIP i druge protokole. Sve što treba da uradite je da ga postavite na sistem napadača i zapravo možete da se pretvarate da ste legitimni ruter u rutirajućem domenu.
EIGRP AttacksColy ima mogućnosti za presretanje EIGRP (Enhanced Interior Gateway Routing Protocol) emitovanja. Takođe omogućava injekciju paketa, što se može koristiti za promenu konfiguracija rutiranja.
OSPF
U protokolu Open Shortest Path First (OSPF) MD5 autentifikacija se obično koristi za obezbeđivanje sigurne komunikacije između rutera. Međutim, ova sigurnosna mera može biti kompromitovana korišćenjem alata kao što su Loki i John the Ripper. Ovi alati su sposobni da hvataju i razbijaju MD5 hešove, otkrivajući autentifikacioni ključ. Kada se ovaj ključ dobije, može se koristiti za uvođenje novih informacija o rutiranju. Za konfiguraciju parametara rute i uspostavljanje kompromitovanog ključa koriste se Injection i Connection kartice, redom.
Hvatanje i razbijanje MD5 hešova: Alati kao što su Loki i John the Ripper se koriste u tu svrhu.
Konfiguracija parametara rute: Ovo se vrši putem Injection kartice.
Postavljanje kompromitovanog ključa: Ključ se konfiguriše pod Connection karticom.
Other Generic Tools & Sources
Above: Alat za skeniranje mrežnog saobraćaja i pronalaženje ranjivosti
Možete pronaći neke dodatne informacije o mrežnim napadima ovde.
Spoofing
Napadač konfiguriše sve mrežne parametre (GW, IP, DNS) novog člana mreže šaljući lažne DHCP odgovore.
ARP Spoofing
Proverite prethodnu sekciju.
ICMPRedirect
ICMP Redirect se sastoji od slanja ICMP paketa tipa 1 kod 5 koji ukazuje da je napadač najbolji način za pristup IP-u. Tada, kada žrtva želi da kontaktira IP, poslaće paket kroz napadača.
DNS Spoofing
Napadač će rešiti neke (ili sve) domene koje žrtva traži.
Konfigurišite sopstveni DNS sa dnsmasq
Lokalne Gejtove
Više ruta do sistema i mreža često postoji. Nakon izrade liste MAC adresa unutar lokalne mreže, koristite gateway-finder.py da identifikujete hostove koji podržavaju IPv4 prosleđivanje.
Za lokalno rešavanje hostova kada DNS pretrage nisu uspešne, Microsoft sistemi se oslanjaju na Link-Local Multicast Name Resolution (LLMNR) i NetBIOS Name Service (NBT-NS). Slično tome, Apple Bonjour i Linux zero-configuration implementacije koriste Multicast DNS (mDNS) za otkrivanje sistema unutar mreže. Zbog neautentifikovane prirode ovih protokola i njihove operacije preko UDP, emitovanjem poruka, mogu ih iskoristiti napadači koji imaju za cilj da preusmere korisnike na zlonamerne usluge.
Možete se pretvarati da ste usluge koje traže hostovi koristeći Responder za slanje lažnih odgovora. Pročitajte ovde više informacija o kako se pretvarati da ste usluge sa Responder-om.
Pregledači obično koriste Web Proxy Auto-Discovery (WPAD) protokol za automatsko preuzimanje proxy podešavanja. To uključuje preuzimanje konfiguracionih detalja sa servera, posebno putem URL-a kao što je "http://wpad.example.org/wpad.dat". Otkriće ovog servera od strane klijenata može se dogoditi kroz različite mehanizme:
Kroz DHCP, gde se otkrivanje olakšava korišćenjem posebnog koda 252.
Preko DNS, što uključuje pretragu za imenom hosta označenim kao wpad unutar lokalne domene.
Putem Microsoft LLMNR i NBT-NS, koji su mehanizmi povratne veze korišćeni u slučajevima kada DNS pretrage ne uspevaju.
Alat Responder koristi ovaj protokol delujući kao zlonameran WPAD server. Koristi DHCP, DNS, LLMNR i NBT-NS da zavarava klijente da se povežu sa njim. Da biste dublje istražili kako se usluge mogu pretvarati koristeći Responder proverite ovo.
Možete ponuditi različite usluge u mreži kako biste pokušali da prevarite korisnika da unese neke plain-text akreditive. Više informacija o ovom napadu u Spoofing SSDP and UPnP Devices.
IPv6 Neighbor Spoofing
Ovaj napad je vrlo sličan ARP Spoofingu, ali u IPv6 svetu. Možete navesti žrtvu da pomisli da IPv6 GW ima MAC adresu napadača.
IPv6 Router Advertisement Spoofing/Flooding
Neki operativni sistemi podrazumevano konfigurišu gateway iz RA paketa poslatih u mreži. Da biste proglasili napadača kao IPv6 ruter, možete koristiti:
IPv6 DHCP spoofing
Podrazumevano, neki operativni sistemi pokušavaju da konfigurišu DNS čitajući DHCPv6 paket u mreži. Tada bi napadač mogao poslati DHCPv6 paket da se konfiguriše kao DNS. DHCP takođe obezbeđuje IPv6 žrtvi.
HTTP (lažna stranica i JS kod injekcija)
Internet napadi
sslStrip
U suštini, ono što ovaj napad radi je da, u slučaju da korisnik pokuša da pristupi HTTP stranici koja se preusmerava na HTTPS verziju. sslStrip će održavati HTTP vezu sa klijentom i HTTPS vezu sa serverom tako da će moći da snifa vezu u čistom tekstu.
Više informacija ovde.
sslStrip+ i dns2proxy za zaobilaženje HSTS
Razlika između sslStrip+ i dns2proxy u odnosu na sslStrip je u tome što će preusmeriti na primer www.facebook.com na wwww.facebook.com (obratite pažnju na dodatno "w") i postaviće adresu ovog domena kao IP napadača. Na taj način, klijent će se povezati na wwww.facebook.com (napadač), ali u pozadini sslstrip+ će održavati pravu vezu putem https sa www.facebook.com.
Cilj ove tehnike je da se izbegne HSTS jer wwww.facebook.com neće biti sačuvan u kešu pregledača, tako da će pregledač biti prevaren da izvrši facebook autentifikaciju u HTTP. Napomena: da bi se izvršio ovaj napad, žrtva mora prvo pokušati da pristupi http://www.faceook.com a ne https. To se može uraditi modifikovanjem linkova unutar http stranice.
Više informacija ovde, ovde i ovde.
sslStrip ili sslStrip+ više ne funkcionišu. To je zato što postoje HSTS pravila unapred sačuvana u pregledačima, tako da čak i ako je prvi put da korisnik pristupa "važnom" domenu, on će mu pristupiti putem HTTPS. Takođe, obratite pažnju da unapred sačuvana pravila i druga generisana pravila mogu koristiti oznaku includeSubdomains
tako da wwww.facebook.com primer iz prethodnog dela više neće raditi jer facebook.com koristi HSTS sa includeSubdomains
.
TODO: easy-creds, evilgrade, metasploit, factory
TCP slušanje na portu
TCP + SSL slušanje na portu
Generišite ključeve i samopotpisani sertifikat
Slušanje pomoću sertifikata
Slušanje koristeći sertifikat i preusmeravanje na hostove
Nekada, ako klijent proveri da li je CA validan, mogli biste poslužiti sertifikat drugog imena hosta potpisan od strane CA. Još jedan zanimljiv test je da poslužite sertifikat traženog imena hosta, ali samopotpisan.
Druge stvari koje treba testirati su pokušaj potpisivanja sertifikata sa validnim sertifikatom koji nije validan CA. Ili koristiti validni javni ključ, primorati korišćenje algoritma kao što je diffie hellman (onog koji ne zahteva dešifrovanje bilo čega sa pravim privatnim ključem) i kada klijent zatraži probe pravog privatnog ključa (kao što je hash) poslati lažnu probu i očekivati da klijent to ne proveri.
Bettercap
Active Discovery Notes
Imajte na umu da kada se UDP paket pošalje uređaju koji nema traženi port, šalje se ICMP (Port Unreachable).
ARP discover
ARP paketi se koriste za otkrivanje koji IP-ovi se koriste unutar mreže. PC mora poslati zahtev za svaku moguću IP adresu i samo će se one koje se koriste odazvati.
mDNS (multicast DNS)
Bettercap šalje MDNS zahtev (svakih X ms) tražeći _services_.dns-sd._udp.local mašine koje vide ovaj paket obično odgovaraju na ovaj zahtev. Zatim, samo traži mašine koje odgovaraju na "services".
Tools
Avahi-browser (--all)
Bettercap (net.probe.mdns)
Responder
NBNS (NetBios Name Server)
Bettercap emituje pakete na port 137/UDP tražeći ime "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".
SSDP (Simple Service Discovery Protocol)
Bettercap emituje SSDP pakete tražeći sve vrste usluga (UDP Port 1900).
WSD (Web Service Discovery)
Bettercap emituje WSD pakete tražeći usluge (UDP Port 3702).
References
Network Security Assessment: Know Your Network (3rd edition)
Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things. By Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood
Bug bounty tip: prijavite se za Intigriti, premium bug bounty platformu koju su kreirali hakeri, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated