Pentesting Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: jiandikishe kwa Intigriti, jukwaa la bug bounty la kiwango cha juu lililotengenezwa na hackers, kwa hackers! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na uanze kupata zawadi hadi $100,000!
Hii itakuwa sehemu fupi kuhusu jinsi ya kupata IPs zinazojibu kutoka kwa Mtandao. Katika hali hii una mipango ya IPs (labda hata mifumo kadhaa) na unahitaji tu kupata IPs zipi zinazojibu.
Hii ndiyo njia rahisi na ya haraka kugundua ikiwa mwenyeji yupo au la.
Unaweza kujaribu kutuma baadhi ya ICMP pakiti na kusubiri majibu. Njia rahisi ni kutuma tu ombio la echo na kusubiri majibu. Unaweza kufanya hivyo kwa kutumia ping
rahisi au kutumia fping
kwa mifumo.
Unaweza pia kutumia nmap kutuma aina nyingine za pakiti za ICMP (hii itakwepa filters za kawaida za ombi la echo la ICMP).
Ni kawaida sana kukuta kwamba aina zote za pakiti za ICMP zinachujwa. Hivyo, unachoweza kufanya ili kuangalia kama mwenyeji yuko hewani ni kujaribu kupata bandari zilizo wazi. Kila mwenyeji ana bandari 65535, hivyo, ikiwa una "wigo mkubwa" huwezi kujaribu kama kila bandari ya kila mwenyeji iko wazi au la, hiyo itachukua muda mwingi. Hivyo, unachohitaji ni scanner ya bandari ya haraka (masscan) na orodha ya bandari zinazotumika zaidi:
You could also perform this step with nmap
, but it slower and somewhat nmap
has problems identifying hosts up.
Hii ni ugunduzi wa bandari ya TCP inayofaa unapotaka kuzingatia kugundua HTTP huduma:
Unaweza pia kujaribu kuangalia baadhi ya UDP port open ili uamue kama unapaswa kuzingatia zaidi host. Kwa kuwa huduma za UDP kawaida hazijibu na data yoyote kwa pakiti ya kawaida ya UDP isiyo na maudhui, ni vigumu kusema kama port inachujwa au iko wazi. Njia rahisi ya kuamua hili ni kutuma pakiti inayohusiana na huduma inayotumika, na kwa kuwa hujui ni huduma ipi inayotumika, unapaswa kujaribu ile inayowezekana zaidi kulingana na nambari ya port:
Laini la nmap lililopendekezwa hapo awali litajaribu bandari 1000 za UDP katika kila mwenyeji ndani ya /24 anuwai lakini hata hii itachukua >20min. Ikiwa unahitaji matokeo ya haraka unaweza kutumia udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24
Hii itatuma UDP probes hizi kwa bandari zao zinazotarajiwa (kwa anuwai ya /24 hii itachukua dakika 1 tu): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.
Hapa unaweza kupata mwongozo mzuri wa mashambulizi yote maarufu ya Wifi wakati wa uandishi:
Pentesting WifiIkiwa uko ndani ya mtandao, moja ya mambo ya kwanza unayotaka kufanya ni kugundua wenyeji wengine. Kulingana na kiasi cha kelele unachoweza/unataka kufanya, hatua tofauti zinaweza kuchukuliwa:
Unaweza kutumia zana hizi kugundua wenyeji kwa pasivu ndani ya mtandao uliounganishwa:
Kumbuka kwamba mbinu zilizozungumziwa katika Kugundua mwenyeji kutoka nje (TCP/HTTP/UDP/SCTP Port Discovery) zinaweza pia kutumika hapa. Lakini, kwani uko katika mtandao huo huo na wenyeji wengine, unaweza kufanya mambo zaidi:
Kumbuka kwamba mbinu zilizozungumziwa katika Discovering hosts from the outside (ICMP) zinaweza pia kutumika hapa. Lakini, kwa kuwa uko katika mtandao mmoja na wenyeji wengine, unaweza kufanya mambo zaidi:
Ikiwa unafanya ping kwenye anwani ya matangazo ya subnet, ping inapaswa kufika kwa kila mwenyeji na wanaweza kujibu wewe: ping -b 10.10.5.255
Kufanya ping kwenye anwani ya matangazo ya mtandao unaweza hata kupata wenyeji ndani ya subnets nyingine: ping -b 255.255.255.255
Tumia lippu -PE
, -PP
, -PM
za nmap
kufanya ugunduzi wa wenyeji kwa kutuma kwa mtiririko wa ICMPv4 echo, timestamp, na maombi ya subnet mask: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24
Wake On Lan inatumika kuwasha kompyuta kupitia ujumbe wa mtandao. Pakiti ya kichawi inayotumika kuwasha kompyuta ni pakiti tu ambapo MAC Dst inatolewa na kisha inarudiwa mara 16 ndani ya pakiti hiyo hiyo. Kisha aina hii ya pakiti kawaida hutumwa katika ethernet 0x0842 au katika pakiti ya UDP kwa bandari 9. Ikiwa hakuna [MAC] inayotolewa, pakiti inatumwa kwa matangazo ya ethernet (na MAC ya matangazo itakuwa ile inayorudiwa).
Mara tu unapogundua IP zote (za nje au za ndani) unazotaka kuchunguza kwa undani, hatua tofauti zinaweza kufanywa.
Bandari iliyo funguliwa: SYN --> SYN/ACK --> RST
Bandari iliyo fungwa: SYN --> RST/ACK
Bandari iliyo chujwa: SYN --> [NO RESPONSE]
Bandari iliyo chujwa: SYN --> ujumbe wa ICMP
Kuna chaguzi 2 za kuchunguza bandari ya UDP:
Tuma UDP packet na angalia majibu ICMP unreachable ikiwa bandari ime fungwa (katika kesi kadhaa ICMP itachujwa hivyo hutapokea taarifa yoyote ikiwa bandari imefungwa au wazi).
Tuma formatted datagrams ili kupata majibu kutoka kwa service (mfano, DNS, DHCP, TFTP, na wengine, kama ilivyoorodheshwa katika nmap-payloads). Ikiwa unapokea response, basi, bandari iko wazi.
Nmap itachanganya chaguzi zote mbili kwa kutumia "-sV" (uchunguzi wa UDP ni polepole sana), lakini zingatia kwamba uchunguzi wa UDP ni polepole zaidi kuliko uchunguzi wa TCP:
SCTP (Stream Control Transmission Protocol) imeundwa kutumika pamoja na TCP (Transmission Control Protocol) na UDP (User Datagram Protocol). Kusudi lake kuu ni kuwezesha usafirishaji wa data za simu kupitia mitandao ya IP, ikionyesha sifa nyingi za kuaminika zinazopatikana katika Signaling System 7 (SS7). SCTP ni sehemu muhimu ya familia ya protokali ya SIGTRAN, ambayo inalenga kusafirisha ishara za SS7 kupitia mitandao ya IP.
Msaada kwa SCTP unapatikana kutoka kwa mifumo mbalimbali ya uendeshaji, kama vile IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS, na VxWorks, ikionyesha kukubalika kwake pana na matumizi katika uwanja wa mawasiliano na mitandao.
Nmap inatoa scans mbili tofauti za SCTP: -sY na -sZ
Router, firewalls, na vifaa vya mtandao vilivyopangwa vibaya wakati mwingine vinajibu kwa uchunguzi wa mtandao kwa kutumia anwani za chanzo zisizo za umma. tcpdump inaweza kutumika kubaini pakiti zinazopokelewa kutoka kwa anwani za kibinafsi wakati wa majaribio. Kwa haswa, kwenye Kali Linux, pakiti zinaweza kukamatwa kwenye kiunganishi cha eth2, ambacho kinapatikana kutoka kwa Mtandao wa umma. Ni muhimu kutambua kwamba ikiwa mipangilio yako iko nyuma ya NAT au Firewall, pakiti kama hizo zinaweza kuchujwa.
Kwa kutumia sniffing unaweza kujifunza maelezo ya anuwai za IP, ukubwa wa subnet, anwani za MAC, na majina ya mwenyeji kwa kupitia muhtasari wa fremu na pakiti zilizokamatwa. Ikiwa mtandao umewekwa vibaya au kitambaa cha kubadili kiko chini ya shinikizo, washambuliaji wanaweza kukamata nyenzo nyeti kupitia sniffing ya mtandao isiyo ya moja kwa moja.
Ikiwa mtandao wa Ethernet ulio na kubadili umewekwa vizuri, utaona tu fremu za matangazo na nyenzo zinazokusudiwa anwani yako ya MAC.
Mtu anaweza pia kukamata pakiti kutoka kwa mashine ya mbali kupitia kikao cha SSH kwa kutumia Wireshark kama GUI katika wakati halisi.
Kwa wazi.
Unaweza kutumia zana kama https://github.com/lgandx/PCredz kuchambua akiba kutoka kwa pcap au kiolesura cha moja kwa moja.
ARP Spoofing inajumuisha kutuma ARPResponses za bure kuonyesha kwamba IP ya mashine ina MAC ya kifaa chetu. Kisha, mwathirika atabadilisha jedwali la ARP na atawasiliana na mashine yetu kila wakati anapotaka kuwasiliana na IP iliyovunjwa.
Mwagilia meza ya CAM ya swichi kwa kutuma pakiti nyingi zenye anwani tofauti za mac. Wakati meza ya CAM imejaa, swichi inaanza kujiendesha kama hub (ikitoa matangazo ya trafiki yote).
In modern switches this vulnerability has been fixed.
The Dynamic Trunking Protocol (DTP) imeundwa kama protokali ya tabaka la kiungo ili kuwezesha mfumo wa kiotomatiki wa trunking, ikiruhusu swichi kuchagua porti kwa njia ya kiotomatiki kwa ajili ya hali ya trunk (Trunk) au hali isiyo ya trunk. Utekelezaji wa DTP mara nyingi huonekana kama ishara ya muundo wa mtandao usio bora, ukisisitiza umuhimu wa kuweka trunks kwa mikono tu pale inavyohitajika na kuhakikisha kuwa kuna nyaraka sahihi.
Kwa kawaida, porti za swichi zimewekwa kufanya kazi katika hali ya Dynamic Auto, ikimaanisha ziko tayari kuanzisha trunking ikiwa itasababishwa na swichi jirani. Wasiwasi wa usalama unatokea wakati pentester au mshambuliaji anapounganisha na swichi na kutuma fremu ya DTP Desirable, ikilazimisha porti kuingia katika hali ya trunk. Kitendo hiki kinamwezesha mshambuliaji kuhesabu VLANs kupitia uchambuzi wa fremu za STP na kupita segmentation ya VLAN kwa kuanzisha interfaces za virtual.
Uwepo wa DTP katika swichi nyingi kwa kawaida unaweza kutumika na maadui kuiga tabia ya swichi, hivyo kupata ufikiaji wa trafiki katika VLAN zote. Skripti dtpscan.sh inatumika kufuatilia interface, ikifunua ikiwa swichi iko katika hali ya Default, Trunk, Dynamic, Auto, au Access—hali ya mwisho ikiwa ndio pekee iliyohifadhiwa dhidi ya mashambulizi ya VLAN hopping. Chombo hiki kinakadiria hali ya udhaifu wa swichi.
Iwapo udhaifu wa mtandao utagundulika, chombo Yersinia kinaweza kutumika "kuwezesha trunking" kupitia protokali ya DTP, ikiruhusu uchunguzi wa pakiti kutoka VLAN zote.
Ili kuhesabu VLANs, pia inawezekana kuzalisha fremu ya DTP Desirable kwa kutumia script DTPHijacking.py**. Usikatishe script hiyo kwa hali yoyote. Inachoma DTP Desirable kila sekunde tatu. Makanali ya trunk iliyoundwa kwa muda kwenye swichi inaishi kwa dakika tano tu. Baada ya dakika tano, trunk inanguka.
Ningependa kuonyesha kwamba Access/Desirable (0x03) inaonyesha kwamba fremu ya DTP ni ya aina ya Desirable, ambayo inamwambia bandari ibadilike kuwa katika hali ya Trunk. Na 802.1Q/802.1Q (0xa5) inaonyesha aina ya encapsulation ya 802.1Q.
Kwa kuchambua fremu za STP, tunajifunza kuhusu uwepo wa VLAN 30 na VLAN 60.
Mara tu unavyojua IDs za VLAN na thamani za IP, unaweza kuunda kiunganishi cha virtual ili kushambulia VLAN maalum. Ikiwa DHCP haipatikani, basi tumia ifconfig kuweka anwani ya IP ya kudumu.
Shambulio lililozungumziwa la Dynamic Trunking na kuunda interfaces za virtual na kugundua mwenyeji ndani ya VLAN nyingine linafanywa kiotomatiki na chombo: https://github.com/nccgroup/vlan-hopping---frogger
Ikiwa mshambuliaji anajua thamani ya MAC, IP na VLAN ID ya mwenyeji wa kuteseka, anaweza kujaribu kugonga mara mbili fremu na VLAN yake iliyotengwa na VLAN ya kuteseka na kutuma pakiti. Kwa kuwa mwenyeji wa kuteseka hataweza kuungana tena na mshambuliaji, hivyo chaguo bora kwa mshambuliaji ni kuwasiliana kupitia UDP kwa protokali ambazo zinaweza kufanya vitendo vya kuvutia (kama SNMP).
Chaguo lingine kwa mshambuliaji ni kuzindua TCP port scan ikijifanya kuwa IP inayodhibitiwa na mshambuliaji na inayoweza kufikiwa na mwenyeji wa kuteseka (labda kupitia intaneti). Kisha, mshambuliaji anaweza kunusa katika mwenyeji wa pili aliye na yeye ikiwa inapokea baadhi ya pakiti kutoka kwa mwenyeji wa kuteseka.
Ili kufanya shambulio hili unaweza kutumia scapy: pip install scapy
Ikiwa una ufikiaji wa swichi ambayo umeunganishwa moja kwa moja, una uwezo wa kupita VLAN segmentation ndani ya mtandao. Rahisi tu badilisha bandari kuwa katika hali ya trunk (inayojulikana pia kama trunk), tengeneza interfaces za virtual zenye IDs za VLAN zinazolengwa, na uweke anwani ya IP. Unaweza kujaribu kuomba anwani hiyo kwa njia ya kidinamik (DHCP) au unaweza kuipanga kwa njia ya statiki. Inategemea hali.
Lateral VLAN Segmentation BypassKatika mazingira fulani, kama vile mitandao ya wireless ya wageni, mipangilio ya port isolation (inayojulikana pia kama private VLAN) inatekelezwa ili kuzuia wateja waliounganishwa na kituo cha wireless kuwasiliana moja kwa moja. Hata hivyo, mbinu imegundulika ambayo inaweza kuzunguka hatua hizi za kutengwa. Mbinu hii inatumia ama ukosefu wa ACL za mtandao au mipangilio yao isiyo sahihi, ikiruhusu pakiti za IP kupitishwa kupitia router ili kufikia mteja mwingine kwenye mtandao huo huo.
Shambulio linafanywa kwa kuunda pakiti inayobeba anwani ya IP ya mteja wa mwisho lakini ikiwa na anwani ya MAC ya router. Hii inasababisha router kupeleka pakiti hiyo kwa makosa kwa mteja wa lengo. Njia hii ni sawa na ile inayotumiwa katika Shambulio za Double Tagging, ambapo uwezo wa kudhibiti mwenyeji anayepatikana kwa mwathirika unatumika kutekeleza kasoro ya usalama.
Hatua Muhimu za Shambulio:
Kuunda Pakiti: Pakiti inaundwa kwa njia maalum ili kujumuisha anwani ya IP ya mteja wa lengo lakini ikiwa na anwani ya MAC ya router.
Kutatua Tabia ya Router: Pakiti iliyoundwa inatumwa kwa router, ambayo, kutokana na mipangilio, inarudisha pakiti hiyo kwa mteja wa lengo, ikipita hatua za kutengwa zinazotolewa na mipangilio ya private VLAN.
VTP (VLAN Trunking Protocol) inakusanya usimamizi wa VLAN. Inatumia nambari za marekebisho kudumisha uaminifu wa hifadhidata ya VLAN; mabadiliko yoyote huongeza nambari hii. Swichi zinachukua mipangilio yenye nambari za marekebisho za juu, zikisasisha hifadhidata zao za VLAN.
VTP Server: Inasimamia VLANs—inaunda, inafuta, inabadilisha. Inatangaza matangazo ya VTP kwa wanachama wa eneo.
VTP Client: Inapokea matangazo ya VTP ili kuunganisha hifadhidata yake ya VLAN. Jukumu hili haliruhusiwi kufanya mabadiliko ya mipangilio ya VLAN za ndani.
VTP Transparent: Haishiriki katika masasisho ya VTP lakini inapeleka matangazo ya VTP. Haijaguswa na shambulio za VTP, inashikilia nambari ya marekebisho isiyobadilika ya sifuri.
Summary Advertisement: Inatangazwa na VTP server kila sekunde 300, ikibeba taarifa muhimu za eneo.
Subset Advertisement: Inatumwa kufuatia mabadiliko ya mipangilio ya VLAN.
Advertisement Request: Inatolewa na VTP client kuomba Summary Advertisement, kawaida kama jibu la kugundua nambari ya marekebisho ya mipangilio ya juu.
Uhalifu wa VTP unaweza kutumika pekee kupitia bandari za trunk kwani matangazo ya VTP yanazunguka kupitia hizo pekee. Baada ya hali za shambulio la DTP, huenda zikageukia VTP. Zana kama Yersinia zinaweza kusaidia shambulio za VTP, zikilenga kufuta hifadhidata ya VLAN, kwa ufanisi kuharibu mtandao.
Kumbuka: Majadiliano haya yanahusiana na toleo la VTP 1 (VTPv1).
Katika hali ya picha ya Yersinia, chagua chaguo la kufuta VTP vlans zote ili kufuta hifadhidata ya VLAN.
Ikiwa huwezi kukamata fremu za BPDU kwenye viunganishi vyako, ni vigumu kwamba utafanikiwa katika shambulio la STP.
Kutuma BPDUs nyingi za TCP (Notification ya Mabadiliko ya Topolojia) au Conf (BPDUs ambazo zinatumwa wakati topolojia inaundwa) swichi zinachanganyikiwa na kuacha kufanya kazi ipasavyo.
Wakati TCP inatumwa, jedwali la CAM la swichi litaondolewa ndani ya sekunde 15. Kisha, ikiwa unatumia pakiti hizi kwa kuendelea, jedwali la CAM litaanzishwa upya mara kwa mara (au kila sekunde 15) na wakati linapoanzishwa upya, swichi inafanya kazi kama hub.
Mshambuliaji anasimulia tabia ya swichi ili kuwa mzizi wa STP wa mtandao. Kisha, data zaidi itapita kupitia kwake. Hii ni ya kuvutia unapokuwa umeunganishwa na swichi mbili tofauti. Hii inafanywa kwa kutuma BPDUs CONF pakiti zikisema kwamba thamani ya kipaumbele ni ndogo kuliko kipaumbele halisi cha swichi halisi ya mzizi.
Ikiwa mshambuliaji ameunganishwa na swichi 2 anaweza kuwa mzizi wa mti mpya na trafiki yote kati ya swichi hizo itapita kupitia yeye (shambulio la MITM litafanywa).
CISCO Discovery Protocol (CDP) ni muhimu kwa mawasiliano kati ya vifaa vya CISCO, ikiruhusu kuvitambua na kushiriki maelezo ya usanidi.
CDP imewekwa kutangaza habari kupitia bandari zote, ambayo inaweza kusababisha hatari ya usalama. Mshambuliaji, anapounganisha kwenye bandari ya swichi, anaweza kutumia waandishi wa mtandao kama Wireshark, tcpdump, au Yersinia. Kitendo hiki kinaweza kufichua data nyeti kuhusu kifaa cha mtandao, ikiwa ni pamoja na mfano wake na toleo la Cisco IOS linalotumika. Mshambuliaji anaweza kisha kulenga udhaifu maalum katika toleo lililotambuliwa la Cisco IOS.
Njia yenye nguvu zaidi inahusisha kuzindua shambulio la Denial of Service (DoS) kwa kujaa kumbukumbu ya swichi, akijifanya kuwa vifaa halali vya CISCO. Hapa chini kuna mfuatano wa amri za kuanzisha shambulio kama hilo kwa kutumia Yersinia, chombo cha mtandao kilichoundwa kwa ajili ya majaribio:
Katika shambulio hili, CPU ya switch na jedwali la majirani la CDP yanakabiliwa na mzigo mzito, na kusababisha kile kinachojulikana mara nyingi kama “kufeli kwa mtandao” kutokana na matumizi makubwa ya rasilimali.
You could also use scapy. Be sure to install it with scapy/contrib
package.
Simu za VoIP, ambazo zinaunganishwa zaidi na vifaa vya IoT, zinatoa kazi kama kufungua milango au kudhibiti thermostats kupitia nambari maalum za simu. Hata hivyo, muunganisho huu unaweza kuleta hatari za usalama.
Zana voiphopper imeundwa kuiga simu ya VoIP katika mazingira mbalimbali (Cisco, Avaya, Nortel, Alcatel-Lucent). Inagundua ID ya VLAN ya mtandao wa sauti kwa kutumia protokali kama CDP, DHCP, LLDP-MED, na 802.1Q ARP.
VoIP Hopper inatoa njia tatu za Protokali ya Ugunduzi wa Cisco (CDP):
Sniff Mode (-c 0
): Inachambua pakiti za mtandao ili kubaini ID ya VLAN.
Spoof Mode (-c 1
): Inazalisha pakiti maalum zinazofanana na zile za kifaa halisi cha VoIP.
Spoof with Pre-made Packet Mode (-c 2
): Inatuma pakiti zinazofanana na zile za mfano maalum wa simu ya IP ya Cisco.
Njia inayopendekezwa kwa kasi ni ya tatu. Inahitaji kufafanua:
Kiunganishi cha mtandao cha mshambuliaji (-i
parameter).
Jina la kifaa cha VoIP kinachoungwa mkono (-E
parameter), ikizingatia muundo wa majina ya Cisco (mfano, SEP ikifuatiwa na anwani ya MAC).
Katika mazingira ya kampuni, ili kuiga kifaa cha VoIP kilichopo, mtu anaweza:
Kukagua lebo ya MAC kwenye simu.
Kupitia mipangilio ya onyesho la simu ili kuona taarifa za mfano.
Kuunganisha kifaa cha VoIP kwenye kompyuta ya mkononi na kuangalia maombi ya CDP kwa kutumia Wireshark.
Mfano wa amri ya kutekeleza zana katika njia ya tatu ingekuwa:
DoS
Aina mbili za DoS zinaweza kufanywa dhidi ya seva za DHCP. Ya kwanza inajumuisha kuiga wenyeji wa uwongo wa kutosha kutumia anwani zote zinazowezekana za IP. Shambulio hili litafanya kazi tu ikiwa unaweza kuona majibu ya seva ya DHCP na kukamilisha itifaki (Discover (Comp) --> Offer (server) --> Request (Comp) --> ACK (server)). Kwa mfano, hii haiwezekani katika mitandao ya Wifi.
Njia nyingine ya kufanya DoS ya DHCP ni kutuma pakiti ya DHCP-RELEASE ikitumia kama msimbo wa chanzo kila anwani ya IP inayowezekana. Kisha, seva itafikiria kwamba kila mtu amemaliza kutumia IP.
A more automatic way of doing this is using the tool DHCPing
You could use the mentioned DoS attacks to force clients to obtain new leases within the environment, and exhaust legitimate servers so that they become unresponsive. So when the legitimate try to reconnect, unaweza kutoa thamani mbaya zilizotajwa katika shambulio linalofuata.
A rogue DHCP server can be set up using the DHCP script located at /usr/share/responder/DHCP.py
. This is useful for network attacks, like capturing HTTP traffic and credentials, by redirecting traffic to a malicious server. However, setting a rogue gateway is less effective since it only allows capturing outbound traffic from the client, missing the responses from the real gateway. Instead, setting up a rogue DNS or WPAD server is recommended for a more effective attack.
Below are the command options for configuring the rogue DHCP server:
Our IP Address (Gateway Advertisement): Use -i 10.0.0.100
to advertise your machine's IP as the gateway.
Local DNS Domain Name: Optionally, use -d example.org
to set a local DNS domain name.
Original Router/Gateway IP: Use -r 10.0.0.1
to specify the IP address of the legitimate router or gateway.
Primary DNS Server IP: Use -p 10.0.0.100
to set the IP address of the rogue DNS server you control.
Secondary DNS Server IP: Optionally, use -s 10.0.0.1
to set a secondary DNS server IP.
Netmask of Local Network: Use -n 255.255.255.0
to define the netmask for the local network.
Interface for DHCP Traffic: Use -I eth1
to listen for DHCP traffic on a specific network interface.
WPAD Configuration Address: Use -w “http://10.0.0.100/wpad.dat”
to set the address for WPAD configuration, assisting in web traffic interception.
Spoof Default Gateway IP: Include -S
to spoof the default gateway IP address.
Respond to All DHCP Requests: Include -R
to make the server respond to all DHCP requests, but be aware that this is noisy and can be detected.
By correctly using these options, a rogue DHCP server can be established to intercept network traffic effectively.
Hapa kuna baadhi ya mbinu za shambulio ambazo zinaweza kutumika dhidi ya utekelezaji wa 802.1X:
Kusaidia nguvu za siri za nywila kupitia EAP
Kushambulia seva ya RADIUS kwa maudhui ya EAP yaliyovunjika **(exploits)
Kukamata ujumbe wa EAP na kuvunja nywila bila mtandao (EAP-MD5 na PEAP)
Kulazimisha uthibitisho wa EAP-MD5 ili kupita uthibitishaji wa cheti cha TLS
Kuingiza trafiki mbaya ya mtandao wakati wa kuthibitisha kwa kutumia hub au sawa
Ikiwa mshambuliaji yuko kati ya mwathirika na seva ya uthibitishaji, anaweza kujaribu kudhoofisha (ikiwa ni lazima) itifaki ya uthibitishaji hadi EAP-MD5 na kukamata jaribio la uthibitishaji. Kisha, anaweza kusaidia nguvu hii kwa kutumia:
FHRP (First Hop Redundancy Protocol) ni darasa la protokali za mtandao zilizoundwa ili kuunda mfumo wa upitishaji wa ziada wa moto. Kwa FHRP, route za kimwili zinaweza kuunganishwa kuwa kifaa kimoja cha mantiki, ambacho kinapanua uvumilivu wa makosa na kusaidia kugawa mzigo.
Injinia wa Cisco Systems wameendeleza protokali mbili za FHRP, GLBP na HSRP.
GLBP & HSRP AttacksToleo tatu la Protokali ya Taarifa za Upitishaji (RIP) linajulikana kuwepo: RIP, RIPv2, na RIPng. Datagrams zinatumwa kwa wenzake kupitia bandari 520 kwa kutumia UDP na RIP na RIPv2, wakati datagrams zinatangazwa kwa bandari ya UDP 521 kupitia IPv6 multicast na RIPng. Msaada wa uthibitisho wa MD5 ulianzishwa na RIPv2. Kwa upande mwingine, uthibitisho wa asili haujajumuishwa na RIPng; badala yake, kutegemea kunafanywa kwenye vichwa vya IPsec AH na ESP ndani ya IPv6.
RIP na RIPv2: Mawasiliano yanafanywa kupitia datagrams za UDP kwenye bandari 520.
RIPng: Inatumia bandari ya UDP 521 kwa kutangaza datagrams kupitia IPv6 multicast.
Kumbuka kwamba RIPv2 inasaidia uthibitisho wa MD5 wakati RIPng haina uthibitisho wa asili, ikitegemea vichwa vya IPsec AH na ESP katika IPv6.
EIGRP (Enhanced Interior Gateway Routing Protocol) ni protokali ya upitishaji wa dynamic. Ni protokali ya distance-vector. Ikiwa hakuna uthibitisho na usanidi wa interfaces za passiv, mshambuliaji anaweza kuingilia kati upitishaji wa EIGRP na kusababisha kuharibu meza za upitishaji. Zaidi ya hayo, mtandao wa EIGRP (kwa maneno mengine, mfumo huru) ni tambarare na haina mgawanyiko katika maeneo yoyote. Ikiwa mshambuliaji anaingiza njia, kuna uwezekano kwamba njia hii itasambaa katika mfumo huru wa EIGRP.
Kushambulia mfumo wa EIGRP kunahitaji kuanzisha jirani na route halali ya EIGRP, ambayo inafungua uwezekano mwingi, kutoka kwa upelelezi wa msingi hadi sindano mbalimbali.
FRRouting inakuwezesha kutekeleza router ya virtual inayosaidia BGP, OSPF, EIGRP, RIP na protokali nyingine. Unachohitaji kufanya ni kuisambaza kwenye mfumo wa mshambuliaji wako na unaweza kuonekana kama router halali katika eneo la upitishaji.
EIGRP AttacksColy ina uwezo wa kukamata matangazo ya EIGRP (Enhanced Interior Gateway Routing Protocol). Pia inaruhusu sindano ya pakiti, ambayo inaweza kutumika kubadilisha usanidi wa upitishaji.
Katika protokali ya Open Shortest Path First (OSPF) uthibitisho wa MD5 unatumika kwa kawaida ili kuhakikisha mawasiliano salama kati ya router. Hata hivyo, kipimo hiki cha usalama kinaweza kuathiriwa kwa kutumia zana kama Loki na John the Ripper. Zana hizi zina uwezo wa kukamata na kuvunja hash za MD5, zikifunua funguo za uthibitisho. Mara funguo hii inapopatikana, inaweza kutumika kuingiza taarifa mpya za upitishaji. Ili kusanidi vigezo vya njia na kuanzisha funguo zilizovunjwa, tabo za Injection na Connection zinatumika, mtawalia.
Kukamata na Kuvunja Hash za MD5: Zana kama Loki na John the Ripper zinatumika kwa kusudi hili.
Kusanidi Vigezo vya Njia: Hii inafanywa kupitia tabo ya Injection.
Kuweka Funguo Iliyovunjwa: Funguo inasanidiwa chini ya tabo ya Connection.
Above: Zana ya kuchanganua trafiki ya mtandao na kutafuta udhaifu
Unaweza kupata maelezo zaidi kuhusu mashambulizi ya mtandao hapa.
Mshambuliaji anasanidi vigezo vyote vya mtandao (GW, IP, DNS) vya mwanachama mpya wa mtandao kwa kutuma majibu ya DHCP ya uongo.
Angalia sehemu ya awali.
ICMP Redirect inajumuisha kutuma pakiti ya ICMP aina 1 msimbo 5 ambayo inaonyesha kwamba mshambuliaji ndiye njia bora ya kufikia IP. Kisha, wakati mwathirika anataka kuwasiliana na IP, itatuma pakiti kupitia kwa mshambuliaji.
Mshambuliaji atatatua baadhi (au zote) za maeneo ambayo mwathirika anahitaji.
Sanidi DNS yako mwenyewe na dnsmasq
Njia nyingi za mifumo na mitandao mara nyingi zipo. Baada ya kujenga orodha ya anwani za MAC ndani ya mtandao wa ndani, tumia gateway-finder.py kutambua mwenyeji wanaounga mkono IPv4 forwarding.
Kwa ajili ya kutatua mwenyeji wa ndani wakati utafutaji wa DNS haufanikiwi, mifumo ya Microsoft inategemea Link-Local Multicast Name Resolution (LLMNR) na NetBIOS Name Service (NBT-NS). Vivyo hivyo, Apple Bonjour na Linux zero-configuration zinafanya kazi kwa kutumia Multicast DNS (mDNS) kwa ajili ya kugundua mifumo ndani ya mtandao. Kutokana na asili isiyo na uthibitisho ya protokali hizi na uendeshaji wao juu ya UDP, kutangaza ujumbe, zinaweza kutumiwa na washambuliaji wanaolenga kuelekeza watumiaji kwenye huduma mbaya.
Unaweza kujifanya kuwa huduma zinazotafutwa na wenyeji kwa kutumia Responder kutuma majibu ya uongo. Soma hapa maelezo zaidi kuhusu jinsi ya Kujifanya huduma na Responder.
Vivinjari kwa kawaida hutumia Web Proxy Auto-Discovery (WPAD) protocol ili kupata mipangilio ya proxy kiotomatiki. Hii inahusisha kupata maelezo ya usanidi kutoka kwa seva, hasa kupitia URL kama "http://wpad.example.org/wpad.dat". Ugunduzi wa seva hii na wateja unaweza kutokea kupitia mitindo mbalimbali:
Kupitia DHCP, ambapo ugunduzi unarahisishwa kwa kutumia nambari maalum ya kuingia 252.
Kwa DNS, ambayo inahusisha kutafuta jina la mwenyeji lililo na alama wpad ndani ya eneo la ndani.
Kupitia Microsoft LLMNR na NBT-NS, ambazo ni mitindo ya akiba inayotumiwa katika matukio ambapo utafutaji wa DNS haufanikiwi.
Chombo cha Responder kinatumia faida ya protokali hii kwa kutenda kama seva mbaya ya WPAD. Kinatumia DHCP, DNS, LLMNR, na NBT-NS kuwapotosha wateja kuungana nayo. Ili kuingia kwa undani zaidi kuhusu jinsi huduma zinaweza kujifananisha kwa kutumia Responder angalia hii.
Unaweza kutoa huduma tofauti katika mtandao ili kujaribu kudanganya mtumiaji kuingiza baadhi ya akidi za maandiko wazi. Maelezo zaidi kuhusu shambulio hili katika Spoofing SSDP and UPnP Devices.
Shambulio hili linafanana sana na ARP Spoofing lakini katika ulimwengu wa IPv6. Unaweza kumfanya mwathirika kufikiri kwamba IPv6 ya GW ina MAC ya mshambuliaji.
Baadhi ya mifumo ya uendeshaji huweka chaguo-msingi lango kutoka kwa pakiti za RA zinazotumwa kwenye mtandao. Ili kutangaza mshambuliaji kama router ya IPv6 unaweza kutumia:
Kwa default, baadhi ya mifumo ya uendeshaji hujaribu kuunda DNS kwa kusoma pakiti ya DHCPv6 katika mtandao. Kisha, mshambuliaji anaweza kutuma pakiti ya DHCPv6 ili kujipatia mwenyewe kama DNS. DHCP pia inatoa IPv6 kwa mwathirika.
Kimsingi, kile ambacho shambulio hili linafanya ni, ikiwa mtumiaji anajaribu kufikia ukurasa wa HTTP ambao unarejelea toleo la HTTPS. sslStrip itakuwa na kiunganishi cha HTTP na mteja na kiunganishi cha HTTPS na server ili iweze kunusa kiunganishi hicho kwa maandishi wazi.
More info here.
tofauti kati ya sslStrip+ na dns2proxy dhidi ya sslStrip ni kwamba wat elekeza kwa mfano www.facebook.com kwenda wwww.facebook.com (zingatia ziada "w") na wataweka anwani ya kikoa hiki kama IP ya mshambuliaji. Kwa njia hii, mteja at unganishwa na wwww.facebook.com (mshambuliaji) lakini nyuma ya pazia sslstrip+ it hifadhi unganisho halisi kupitia https na www.facebook.com.
lengo la mbinu hii ni kuepuka HSTS kwa sababu wwww.facebook.com hata itahifadhiwa katika cache ya kivinjari, hivyo kivinjari kitadanganywa kufanya uthibitishaji wa facebook katika HTTP. Zingatia kwamba ili kufanya shambulio hili, mwathirika lazima ajaribu kufikia kwanza http://www.faceook.com na sio https. Hii inaweza kufanywa kwa kubadilisha viungo ndani ya ukurasa wa http.
More info here, here and here.
sslStrip au sslStrip+ haitumiki tena. Hii ni kwa sababu kuna sheria za HSTS zilizohifadhiwa katika vivinjari, hivyo hata ikiwa ni mara ya kwanza kwa mtumiaji kufikia kikoa "muhimu" atakifikia kupitia HTTPS. Pia, zingatia kwamba sheria zilizohifadhiwa na sheria nyingine zilizoundwa zinaweza kutumia bendera includeSubdomains
hivyo mfano wa wwww.facebook.com kutoka awali hautafanya kazi tena kwani facebook.com inatumia HSTS na includeSubdomains
.
TODO: easy-creds, evilgrade, metasploit, factory
Wakati mwingine, ikiwa mteja atakagua kwamba CA ni halali, unaweza kutumikia cheti cha jina la mwenyeji mwingine kilichosainiwa na CA. Jaribio lingine la kuvutia, ni kutumikia cheti cha jina la mwenyeji kilichohitajika lakini kilichojisaini.
Mambo mengine ya kujaribu ni kujaribu kusaini cheti na cheti halali ambacho si CA halali. Au kutumia funguo halali za umma, kulazimisha kutumia algorithimu kama diffie hellman (moja ambayo haitahitaji kufichua chochote na funguo halisi za faragha) na wakati mteja anapohitaji jaribio la funguo halisi za faragha (kama hash) tuma jaribio bandia na tarajia kwamba mteja hataangalia hili.
Kumbuka kwamba wakati pakiti ya UDP inatumwa kwa kifaa ambacho hakina bandari iliyoombwa, ICMP (Port Unreachable) inatumwa.
Pakiti za ARP zinatumika kugundua IP zipi zinatumika ndani ya mtandao. PC inapaswa kutuma ombi kwa kila anwani ya IP inayowezekana na zile tu zinazotumika zitajibu.
Bettercap inatuma ombi la MDNS (kila X ms) ikitafuta _services_.dns-sd._udp.local mashine inayoshuhudia pakiti hii kawaida inajibu ombi hili. Kisha, inatafuta tu mashine zinazojibu "services".
Tools
Avahi-browser (--all)
Bettercap (net.probe.mdns)
Responder
Bettercap inatangaza pakiti kwa bandari 137/UDP ikitafuta jina "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".
Bettercap inatangaza pakiti za SSDP ikitafuta huduma za kila aina (UDP Port 1900).
Bettercap inatangaza pakiti za WSD ikitafuta huduma (UDP Port 3702).
Network Security Assessment: Know Your Network (3rd edition)
Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things. By Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood
Bug bounty tip: jiandikishe kwa Intigriti, jukwaa la bug bounty la kiwango cha juu lililotengenezwa na hackers, kwa hackers! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na uanze kupata zawadi hadi $100,000!
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)