Pentesting Network
Otkrivanje hostova sa spoljne strane
Ovo će biti kratka sekcija o tome kako pronaći IP adrese koje odgovaraju sa Interneta. U ovoj situaciji imate neki opseg IP adresa (možda čak i nekoliko opsega) i samo treba da pronađete koje IP adrese odgovaraju.
ICMP
Ovo je najlakši i najbrži način da otkrijete da li je host dostupan ili ne.
Možete pokušati da pošaljete neke ICMP pakete i očekujete odgovore. Najlakši način je jednostavno slanje echo zahteva i očekivanje odgovora. To možete uraditi koristeći jednostavnu ping
komandu ili koristeći fping
za opsege.
Takođe možete koristiti nmap da pošaljete druge vrste ICMP paketa (ovo će izbeći filtere za uobičajeni ICMP echo zahtev-odgovor).
Otkriće TCP porta
Veoma je uobičajeno da su svi tipovi ICMP paketa filtrirani. Zatim, sve što možete uraditi da proverite da li je host dostupan je pokušati pronaći otvorene portove. Svaki host ima 65535 portova, tako da, ako imate "veliki" opseg, ne možete testirati da li je svaki port svakog hosta otvoren ili ne, to bi oduzelo previše vremena. Zatim, ono što vam je potrebno je brzi skener portova (masscan) i lista najčešće korišćenih portova:
Otkrivanje HTTP porta
Ovo je samo otkrivanje TCP porta korisno kada želite da se usredsredite na otkrivanje HTTP servisa:
Otkrivanje UDP porta
Takođe možete pokušati da proverite da li je neki UDP port otvoren kako biste odlučili da li treba da posvetite više pažnje nekom hostu. Pošto UDP servisi obično ne odgovaraju sa bilo kakvim podacima na običan prazan UDP probni paket, teško je reći da li je port filtriran ili otvoren. Najlakši način da se ovo utvrdi je slanje paketa koji je povezan sa pokrenutim servisom, a pošto ne znate koji servis je pokrenut, trebalo bi da probate najverovatniji na osnovu broja porta:
Linija nmap-a koja je predložena ranije testiraće top 1000 UDP portova na svakom hostu unutar /24 opsega, ali čak i to će trajati >20min. Ako su vam potrebni najbrži rezultati, možete koristiti udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24
Ovo će poslati ove UDP probe na njihove očekivane portove (za /24 opseg će trajati samo 1 minut): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.
Otkrivanje SCTP portova
Testiranje bezbednosti Wifi mreže
Ovde možete pronaći koristan vodič sa svim poznatim napadima na Wifi mreže u vreme pisanja:
pagePentesting WifiOtkrivanje računara unutar mreže
Ako se nalazite unutar mreže, jedna od prvih stvari koje ćete želeti da uradite jeste otkrivanje drugih računara. Zavisno od koliko buke možete/želite da napravite, mogu se izvršiti različite radnje:
Pasivno
Možete koristiti ove alate za pasivno otkrivanje računara unutar povezane mreže:
Aktivno
Imajte na umu da se tehnike komentarisane u Otkrivanje domaćina spolja (TCP/HTTP/UDP/SCTP Otkrivanje portova) takođe mogu primeniti ovde. Međutim, pošto ste u istoj mreži kao i drugi domaćini, možete uraditi više stvari:
Aktivni ICMP
Imajte na umu da se tehnike komentarisane u Otkrivanje hostova spolja (ICMP) takođe mogu primeniti ovde. Međutim, pošto ste u istoj mreži kao i drugi hostovi, možete uraditi više stvari:
Ako pingujete subnet broadcast adresu, ping bi trebalo da stigne do svakog hosta i oni bi mogli da vam odgovore:
ping -b 10.10.5.255
Pingovanjem network broadcast adrese čak možete pronaći hostove unutar drugih subnetova:
ping -b 255.255.255.255
Koristite zastave
-PE
,-PP
,-PM
unmap
za obavljanje otkrivanja hostova slanjem odgovarajuće ICMPv4 echo, timestamp i subnet mask zahteva:nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24
Budjenje preko LAN-a
Budjenje preko LAN-a se koristi za uključivanje računara putem mrežne poruke. Čarobni paket koji se koristi za uključivanje računara je samo paket u kojem je naveden MAC Dst i zatim se ponavlja 16 puta unutar istog paketa. Ovakve vrste paketa obično se šalju u ethernet 0x0842 ili u UDP paketu na port 9. Ako nije pružen [MAC], paket se šalje na broadcast ethernet (i broadcast MAC će biti onaj koji se ponavlja).
Skeniranje Hostova
Kada ste otkrili sve IP adrese (spoljne ili unutrašnje) koje želite detaljno skenirati, mogu se izvršiti različite radnje.
TCP
Otvoren port: SYN --> SYN/ACK --> RST
Zatvoren port: SYN --> RST/ACK
Filtriran port: SYN --> [BEZ ODGOVORA]
Filtriran port: SYN --> ICMP poruka
UDP
Postoje 2 opcije za skeniranje UDP porta:
Pošaljite UDP paket i proverite odgovor ICMP nedostupno ako je port zatvoren (u nekim slučajevima ICMP će biti filtriran pa nećete dobiti informaciju da li je port zatvoren ili otvoren).
Pošaljite formatirane datagrame da biste izazvali odgovor od servisa (npr. DNS, DHCP, TFTP i drugi, kao što je navedeno u nmap-payloads). Ako dobijete odgovor, onda je port otvoren.
Nmap će mešati obe opcije koristeći "-sV" (UDP skeniranja su veoma spora), ali imajte na umu da su UDP skeniranja sporija od TCP skeniranja:
SCTP Skeniranje
SCTP (Protokol za kontrolu toka prenosa) dizajniran je da se koristi uz TCP (Protokol za kontrolu prenosa) i UDP (Protokol za korisničke datagrame). Njegova glavna svrha je olakšavanje prenosa telefonskih podataka preko IP mreža, oponašajući mnoge od karakteristika pouzdanosti koje se nalaze u Signalizacijskom sistemu 7 (SS7). SCTP je osnovna komponenta porodičnog protokola SIGTRAN, koji ima za cilj prenos SS7 signala preko IP mreža.
Podrška za SCTP pružena je različitim operativnim sistemima, poput IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS i VxWorks, što ukazuje na široko prihvatanje i korisnost u oblasti telekomunikacija i mrežnih veza.
Nmap nudi dva različita skeniranja za SCTP: -sY i -sZ
Ekvazija IDS i IPS
pageIDS and IPS EvasionViše opcija za nmap
pageNmap Summary (ESP)Otkrivanje internih IP adresa
Ponekad loše konfigurisani ruteri, firewall-i i mrežni uređaji odgovaraju na mrežne upite koristeći nejavne izvorne adrese. tcpdump se može koristiti za identifikaciju paketa primljenih sa privatnih adresa tokom testiranja. Konkretno, na Kali Linux-u, paketi mogu biti uhvaćeni na eth2 interfejsu, koji je dostupan sa javnog interneta. Važno je napomenuti da ako je vaša postavka iza NAT-a ili Firewall-a, takvi paketi verovatno će biti filtrirani.
Snifing
Snifingom možete saznati detalje opsega IP adresa, veličine podmreža, MAC adrese i imena hostova pregledanjem uhvaćenih okvira i paketa. Ako je mreža loše konfigurisana ili je prekidački sloj pod stresom, napadači mogu uhvatiti osetljive materijale putem pasivnog snifinga mreže.
Ako je preklopljena Ethernet mreža pravilno konfigurisana, videćete samo emitovane okvire i materijal namenjen vašoj MAC adresi.
TCPDump
Može se, takođe, snimati pakete sa udaljene mašine preko SSH sesije sa Wireshark-om kao GUI-em u realnom vremenu.
Bettercap
Wireshark
Očigledno.
Snimanje pristupnih podataka
Možete koristiti alate poput https://github.com/lgandx/PCredz za parsiranje pristupnih podataka iz pcap datoteke ili sa živog interfejsa.
Napadi na LAN
ARP prevara
ARP prevara se sastoji od slanja lažnih ARP odgovora kako bi se naznačilo da IP adresa mašine ima MAC adresu našeg uređaja. Zatim, žrtva će promeniti ARP tabelu i kontaktiraće naš uređaj svaki put kada želi da kontaktira IP adresu koja je lažirana.
Bettercap
Arpspoof
MAC poplava - preplavljivanje CAM tabele
Preplavite CAM tabelu prekidača slanjem velikog broja paketa sa različitim izvornim MAC adresama. Kada je CAM tabela puna, prekidač počinje da se ponaša kao hub (emitovanje saobraćaja).
U modernim prekidačima ova ranjivost je ispravljena.
802.1Q VLAN / DTP Napadi
Dinamičko trunkovanje
Protokol dinamičkog trunkovanja (DTP) dizajniran je kao protokol sloja veze kako bi olakšao automatski sistem za trunkovanje, omogućavajući prekidačima automatski odabir portova za režim trunka (Trunk) ili režim non-trunka. Implementacija DTP često se smatra pokazateljem suboptimalnog dizajna mreže, ističući važnost ručnog konfigurisanja trunkova samo tamo gde je potrebno i osiguravanja odgovarajuće dokumentacije.
Prema podrazumevanim podešavanjima, portovi prekidača postavljeni su da rade u režimu Dinamički auto, što znači da su spremni da pokrenu trunkovanje ako ih podstakne susedni prekidač. Bezbednosna zabrinutost nastaje kada pentester ili napadač poveže sa prekidačem i pošalje DTP željeni okvir, prisiljavajući port da uđe u režim trunka. Ova akcija omogućava napadaču da nabraja VLAN-ove kroz analizu STP okvira i zaobilazi segmentaciju VLAN-ova postavljanjem virtuelnih interfejsa.
Prisustvo DTP-a u mnogim prekidačima podrazumevano može biti iskorišćeno od strane protivnika da imitira ponašanje prekidača, čime dobija pristup saobraćaju preko svih VLAN-ova. Skripta dtpscan.sh koristi se za praćenje interfejsa, otkrivajući da li je prekidač u podrazumevanom, trunk, dinamičkom, auto ili pristup režimu - poslednji je jedina konfiguracija imuna na napade VLAN hopping-a. Ovaj alat procenjuje status ranjivosti prekidača.
U slučaju identifikacije ranjivosti mreže, alat Yersinia može se koristiti za "omogućavanje trunkovanja" putem DTP protokola, omogućavajući posmatranje paketa sa svih VLAN-ova.
Za enumeraciju VLAN-ova takođe je moguće generisati DTP Desirable ram sa skriptom DTPHijacking.py. Nemojte prekidati skriptu pod bilo kojim okolnostima. Ona ubacuje DTP Desirable svakih tri sekunde. Dinamički kreirani trunk kanali na prekidaču žive samo pet minuta. Nakon pet minuta, trunk nestaje.
Želim da istaknem da Pristup/Poželjan (0x03) ukazuje da je DTP okvir tipa Poželjan, što govori portu da prebaci u Trunk režim. I 802.1Q/802.1Q (0xa5) označava tip enkapsulacije 802.1Q.
Analizom STP okvira, saznajemo o postojanju VLAN-a 30 i VLAN-a 60.
Napadi na specifične VLAN-ove
Kada saznate VLAN ID-ove i IP vrednosti, možete konfigurisati virtuelni interfejs da napadnete određeni VLAN. Ako DHCP nije dostupan, koristite ifconfig za postavljanje statičke IP adrese.
Automatski VLAN skakač
Razmatrani napad Dinamičko prebacivanje i kreiranje virtuelnih interfejsa za otkrivanje hostova unutar drugih VLAN-ova automatski se izvodi pomoću alata: https://github.com/nccgroup/vlan-hopping---frogger
Dvostruko označavanje
Ako napadač zna vrednost MAC adrese, IP adrese i VLAN ID-a žrtvenog hosta, može pokušati dvostruko označiti okvir sa svojim određenim VLAN-om i VLAN-om žrtve i poslati paket. Pošto žrtva neće moći da se poveže nazad sa napadačem, najbolja opcija za napadača je komunicirati putem UDP-a sa protokolima koji mogu izvršiti neke zanimljive akcije (kao što je SNMP).
Druga opcija za napadača je da pokrene TCP skeniranje porta lažirajući IP adresu kojom upravlja napadač i kojoj žrtva može pristupiti (verovatno preko interneta). Zatim, napadač može špijunirati drugi host koji mu pripada da vidi da li prima pakete od žrtve.
Da biste izveli ovaj napad, možete koristiti scapy: pip install scapy
Bypassiranje Lateralne VLAN Segmentacije
Ako imate pristup prekidaču kojem ste direktno povezani, imate mogućnost da zaobiđete VLAN segmentaciju unutar mreže. Jednostavno prebacite port u režim trunke (trunk), kreirajte virtuelne interfejse sa ID-ovima ciljanih VLAN-ova, i konfigurišite IP adresu. Možete pokušati zatražiti adresu dinamički (DHCP) ili je konfigurisati statički. To zavisi od slučaja.
pageLateral VLAN Segmentation BypassBypassiranje Privatne VLAN na Nivou 3
U određenim okruženjima, kao što su gostujuće bežične mreže, postavke izolacije porta (poznate i kao privatne VLAN) se implementiraju kako bi se sprečilo da klijenti povezani sa bežičnom tačkom pristupa direktno komuniciraju jedni sa drugima. Međutim, identifikovana je tehnika koja može zaobići ove mere izolacije. Ova tehnika iskorišćava ili nedostatak ACL-ova u mreži ili njihovu nepravilnu konfiguraciju, omogućavajući IP paketima da budu rutirani preko rutera kako bi stigli do drugog klijenta na istoj mreži.
Napad se izvodi kreiranjem paketa koji nosi IP adresu odredišnog klijenta ali sa MAC adresom rutera. Ovo uzrokuje da ruter greškom prosledi paket ciljnom klijentu. Ovaj pristup je sličan onome koji se koristi u napadima sa dvostrukim označavanjem, gde se sposobnost kontrole nad hostom koji je dostupan žrtvi koristi za iskorišćavanje sigurnosne greške.
Ključni Koraci Napada:
Kreiranje Paketa: Paket je posebno kreiran da uključuje IP adresu ciljnog klijenta ali sa MAC adresom rutera.
Iskorišćavanje Ponašanja Rutera: Kreirani paket se šalje do rutera, koji, zbog konfiguracije, preusmerava paket ka ciljnom klijentu, zaobilazeći izolaciju koju pružaju postavke privatne VLAN.
Napadi VTP-a
VTP (VLAN Trunking Protocol) centralizuje upravljanje VLAN-ovima. Koristi revizijske brojeve za održavanje integriteta baze podataka VLAN-ova; svaka modifikacija povećava ovaj broj. Prekidači usvajaju konfiguracije sa većim revizijskim brojevima, ažurirajući svoje VLAN baze podataka.
Uloge Domena VTP-a
VTP Server: Upravlja VLAN-ovima—kreira, briše, modifikuje. Emituje VTP obaveštenja članovima domena.
VTP Klijent: Prima VTP obaveštenja radi sinhronizacije svoje VLAN baze podataka. Ova uloga je ograničena od lokalnih modifikacija konfiguracije VLAN-ova.
VTP Transparent: Ne učestvuje u VTP ažuriranjima već prosleđuje VTP obaveštenja. Nezahvaćen VTP napadima, održava konstantan revizijski broj nula.
Tipovi Obaveštenja VTP-a
Sažeto Obaveštenje: Emituje ga VTP server svakih 300 sekundi, noseći bitne informacije o domenu.
Podskup Obaveštenja: Poslat nakon promena konfiguracije VLAN-ova.
Zahtev za Obaveštenjem: Izdaje ga VTP klijent kako bi zatražio Sažeto Obaveštenje, obično kao odgovor na otkrivanje većeg revizijskog broja konfiguracije.
VTP ranjivosti su iskorišćive isključivo putem trunk portova jer se VTP obaveštenja kruže samo kroz njih. Scenariji napada nakon DTP-a mogu se preusmeriti ka VTP-u. Alati poput Yersinie mogu olakšati VTP napade, sa ciljem brisanja baze podataka VLAN-ova, efikasno remeteći mrežu.
Napomena: Ova diskusija se odnosi na VTP verziju 1 (VTPv1).
Napadi STP-a
Ako ne možete uhvatiti BPDU okvire na svojim interfejsima, malo je verovatno da ćete uspeti u napadu na STP.
STP BPDU DoS
Slanjem velikog broja BPDU okvira TCP (obaveštenje o promeni topologije) ili Conf (BPDU okviri koji se šalju prilikom kreiranja topologije) preopterećuju se prekidači i prestaju pravilno raditi.
STP TCP Napad
Kada se TCP pošalje, CAM tabela prekidača će biti obrisana za 15s. Zatim, ako neprekidno šaljete ovu vrstu paketa, CAM tabela će se neprekidno restartovati (ili svakih 15 sekundi) i kada se restartuje, prekidač se ponaša kao hub.
Napad na STP koren
Napadač simulira ponašanje prekidača kako bi postao STP koren mreže. Zatim će više podataka prolaziti kroz njega. Ovo je interesantno kada ste povezani sa dva različita prekidača. Ovo se postiže slanjem BPDUs CONF paketa koji govore da je vrednost prioriteta manja od stvarnog prioriteta stvarnog korenskog prekidača.
Ako napadač ima pristup 2 prekidača, može postati koren novog stabla i sav saobraćaj između tih prekidača će prolaziti kroz njega (izvršiće se napad čovek-u-sredini).
Napadi CDP-a
CISCO Discovery Protocol (CDP) je ključan za komunikaciju između CISCO uređaja, omogućavajući im da identifikuju jedan drugog i dele detalje konfiguracije.
Pasivno prikupljanje podataka
CDP je konfigurisan da emituje informacije kroz sve portove, što može predstavljati sigurnosni rizik. Napadač, nakon povezivanja na switch port, može implementirati mrežne snifere poput Wireshark, tcpdump, ili Yersinia. Ova akcija može otkriti osetljive podatke o mrežnom uređaju, uključujući njegov model i verziju Cisco IOS-a koji koristi. Napadač može zatim ciljati specifične ranjivosti u identifikovanoj verziji Cisco IOS-a.
Izazivanje preplavljivanja CDP tabele
Agresivniji pristup uključuje pokretanje napada Denial of Service (DoS) preplavljujući memoriju switch-a, praveći se da su legitimni CISCO uređaji. U nastavku je niz komandi za pokretanje takvog napada korišćenjem alata Yersinia, mrežnog alata dizajniranog za testiranje:
Tokom ovog napada, CPU prekidača i CDP tabela suseda su jako opterećeni, što dovodi do onoga što se često naziva "paraliza mreže" zbog prekomerne potrošnje resursa.
Napad na impersonaciju CDP-a
Takođe možete koristiti scapy. Obavezno ga instalirajte sa paketom scapy/contrib
.
Napadi na VoIP i alat VoIP Hopper
VoIP telefoni, sve više integrisani sa IoT uređajima, nude funkcionalnosti poput otključavanja vrata ili upravljanja termostatima putem posebnih telefonskih brojeva. Međutim, ova integracija može predstavljati sigurnosne rizike.
Alat voiphopper je dizajniran da emulira VoIP telefon u različitim okruženjima (Cisco, Avaya, Nortel, Alcatel-Lucent). Otkriva VLAN ID glasovne mreže koristeći protokole poput CDP, DHCP, LLDP-MED i 802.1Q ARP.
VoIP Hopper nudi tri moda za Cisco Discovery Protocol (CDP):
Režim Sniff (
-c 0
): Analizira mrežne pakete kako bi identifikovao VLAN ID.Režim Spoof (
-c 1
): Generiše prilagođene pakete koji imitiraju pakete stvarnog VoIP uređaja.Spoof sa Pre-made Packet Mode (
-c 2
): Šalje pakete identične onima određenog modela Cisco IP telefona.
Preferirani režim za brzinu je treći. Potrebno je specificirati:
Mrežni interfejs napadača (parametar
-i
).Ime VoIP uređaja koji se emulira (parametar
-E
), pridržavajući se Cisco formata imenovanja (npr. SEP praćeno MAC adresom).
U korporativnim okruženjima, kako bi se imitirao postojeći VoIP uređaj, moglo bi se:
Pregledati MAC oznaku na telefonu.
Navigirati kroz postavke ekrana telefona kako bi se vidjele informacije o modelu.
Povezati VoIP uređaj sa laptopom i posmatrati CDP zahteve korišćenjem alata Wireshark.
Primer komande za izvršavanje alata u trećem modu bio bi:
Napadi DHCP
Nabrojavanje
DoS
Protiv DHCP servera mogu se izvršiti dve vrste DoS napada. Prvi se sastoji od simuliranja dovoljno lažnih hostova kako bi se iskoristile sve moguće IP adrese. Ovaj napad će uspeti samo ako možete videti odgovore DHCP servera i završiti protokol (Otkrij (Računar) --> Ponudi (server) --> Zahtev (Računar) --> Potvrda (server)). Na primer, ovo nije moguće u Wifi mrežama.
Drugi način izvođenja DHCP DoS je slanje DHCP-RELEASE paketa koristeći kao izvorni kod svaku moguću IP adresu. Tada će server pomisliti da je svako završio sa korišćenjem IP adrese.
Način automatskog obavljanja ovoga je korišćenje alata DHCPing
Možete koristiti pomenute DoS napade da biste naterali klijente da dobiju nove zakupljene adrese unutar okruženja, i iscrpeli legitimne servere kako bi postali neodzivni. Tako kada legitimni pokušaju ponovno da se povežu, možete poslužiti zlonamerne vrednosti navedene u sledećem napadu.
Postavljanje zlonamernih vrednosti
Lažni DHCP server može biti postavljen korišćenjem DHCP skripte smeštene na /usr/share/responder/DHCP.py
. Ovo je korisno za mrežne napade, poput hvatanja HTTP saobraćaja i akreditiva, preusmeravanjem saobraćaja ka zlonamernom serveru. Međutim, postavljanje lažne gateway-a je manje efikasno jer dozvoljava samo hvatanje odlaznog saobraćaja sa klijenta, propuštajući odgovore od pravog gateway-a. Umesto toga, postavljanje lažnog DNS ili WPAD servera se preporučuje za efikasniji napad.
Ispod su opcije komandi za konfigurisanje lažnog DHCP servera:
Naša IP adresa (Oglašavanje gateway-a): Koristite
-i 10.0.0.100
da oglašavate IP vašeg računara kao gateway.Lokalno DNS ime domena: Opciono, koristite
-d example.org
da postavite lokalno DNS ime domena.Originalni Router/Gateway IP: Koristite
-r 10.0.0.1
da specificirate IP adresu legitimnog rutera ili gateway-a.Primarni DNS Server IP: Koristite
-p 10.0.0.100
da postavite IP adresu lažnog DNS servera koji kontrolišete.Sekundarni DNS Server IP: Opciono, koristite
-s 10.0.0.1
da postavite IP adresu sekundarnog DNS servera.Netmaska lokalne mreže: Koristite
-n 255.255.255.0
da definišete netmasku za lokalnu mrežu.Interfejs za DHCP saobraćaj: Koristite
-I eth1
da osluškujete DHCP saobraćaj na određenom mrežnom interfejsu.WPAD Konfiguraciona adresa: Koristite
-w “http://10.0.0.100/wpad.dat”
da postavite adresu za WPAD konfiguraciju, pomažući u presretanju web saobraćaja.Lažiranje IP adrese podrazumevanog gateway-a: Uključite
-S
da lažirate IP adresu podrazumevanog gateway-a.Odgovor na sve DHCP zahteve: Uključite
-R
da server odgovara na sve DHCP zahteve, ali budite svesni da je ovo bučno i može biti otkriveno.
Pravilnim korišćenjem ovih opcija, lažni DHCP server može biti uspostavljen da efikasno presretne mrežni saobraćaj.
EAP Napadi
Evo nekih taktika napada koje se mogu koristiti protiv implementacija 802.1X:
Aktivno grubo silovanje lozinke putem EAP-a
Napad na RADIUS server sa neispravnim EAP sadržajem (eksploatacije)
Snimanje EAP poruka i offline pucanje lozinke (EAP-MD5 i PEAP)
Prisiljavanje EAP-MD5 autentikacije radi zaobilaženja provere TLS sertifikata
Ubacivanje zlonamernog mrežnog saobraćaja prilikom autentikacije korišćenjem hub-a ili slično
Ako je napadač između žrtve i servera za autentikaciju, mogao bi pokušati da degradira (ako je potrebno) protokol autentikacije na EAP-MD5 i snimi pokušaj autentikacije. Zatim, mogao bi grubo silovati ovo korišćenjem:
Napadi FHRP (GLBP & HSRP)
FHRP (First Hop Redundancy Protocol) je klasa mrežnih protokola dizajnirana da stvori redundantni sistem za rutiranje. Sa FHRP-om, fizički ruteri mogu biti kombinovani u jedan logički uređaj, što povećava otpornost na greške i pomaže u distribuciji opterećenja.
Inženjeri kompanije Cisco Systems su razvili dva FHRP protokola, GLBP i HSRP.
pageGLBP & HSRP AttacksRIP
Postoje tri verzije Routing Information Protocol (RIP): RIP, RIPv2 i RIPng. Datagrami se šalju vršnjacima preko porta 520 korišćenjem UDP-a od strane RIP-a i RIPv2, dok se datagrami emituju na UDP port 521 putem IPv6 multicast-a od strane RIPng. Podrška za MD5 autentikaciju je uvedena od strane RIPv2. S druge strane, RIPng ne uključuje nativnu autentikaciju; umesto toga, oslanja se na opcione IPsec AH i ESP zaglavlja unutar IPv6.
RIP i RIPv2: Komunikacija se vrši putem UDP datagrama na portu 520.
RIPng: Koristi UDP port 521 za emitovanje datagrama putem IPv6 multicast-a.
Napomena: RIPv2 podržava MD5 autentikaciju dok RIPng ne uključuje nativnu autentikaciju, oslanjajući se na IPsec AH i ESP zaglavlja u IPv6.
Napadi na EIGRP
EIGRP (Enhanced Interior Gateway Routing Protocol) je dinamički rutirni protokol. To je distance-vector protokol. Ako nema autentikacije i konfiguracije pasivnih interfejsa, napadač može ometati EIGRP rutiranje i izazvati trovanje tabela rutiranja. Osim toga, EIGRP mreža (tj. autonomni sistem) je ravna i nema segmentaciju u zone. Ako napadač ubaci rutu, verovatno je da će se ova ruta proširiti kroz autonomni EIGRP sistem.
Napad na EIGRP sistem zahteva uspostavljanje susedstva sa legitimnim EIGRP ruterom, što otvara mnoge mogućnosti, od osnovnog izviđanja do različitih ubrizgavanja.
FRRouting vam omogućava da implementirate virtuelni ruter koji podržava BGP, OSPF, EIGRP, RIP i druge protokole. Sve što treba da uradite je da ga implementirate na sistemu napadača i zapravo možete se pretvarati da ste legitimni ruter u domenu rutiranja.
pageEIGRP AttacksColy ima mogućnosti za presretanje EIGRP (Enhanced Interior Gateway Routing Protocol) emitovanja. Takođe omogućava ubrizgavanje paketa, što se može koristiti za izmenu konfiguracija rutiranja.
OSPF
U Open Shortest Path First (OSPF) protokolu MD5 autentikacija se često koristi kako bi se osigurala sigurna komunikacija između rutera. Međutim, ova sigurnosna mera može biti kompromitovana korišćenjem alata poput Loki i John the Ripper. Ovi alati su sposobni da uhvate i dešifruju MD5 hešove, otkrivajući autentikacioni ključ. Kada se ovaj ključ dobije, može se koristiti za unošenje novih rutinskih informacija. Za konfigurisanje parametara rute i uspostavljanje kompromitovanog ključa, koriste se kartice Injection i Connection, redom.
Hvatanje i Dešifrovanje MD5 Hešova: Alati poput Loki i John the Ripper se koriste u tu svrhu.
Konfigurisanje Parametara Rute: To se radi putem kartice Injection.
Postavljanje Kompromitovanog Ključa: Ključ se konfiguriše pod karticom Connection.
Ostali Generički Alati i Izvori
Above: Alat za skeniranje mrežnog saobraćaja i pronalaženje ranjivosti
Možete pronaći više informacija o mrežnim napadima ovde.
Falsifikovanje identiteta (Spoofing)
Napadač konfiguriše sve mrežne parametre (GW, IP, DNS) novog člana mreže slanjem lažnih DHCP odgovora.
ARP Spoofing
Proverite prethodni odeljak.
ICMPRedirect
ICMP preusmeravanje se sastoji od slanja ICMP paketa tipa 1 kôda 5 koji ukazuje da je napadač najbolji način da se dođe do određene IP adrese. Zatim, kada žrtva želi da kontaktira tu IP adresu, poslaće paket preko napadača.
DNS Prevara
Napadač će rešiti neke (ili sve) domene za koje žrtva traži.
Konfigurišite sopstveni DNS pomoću dnsmasq-a
Lokalni prolazi
Često postoje više ruta do sistema i mreža. Nakon što napravite listu MAC adresa unutar lokalne mreže, koristite gateway-finder.py da identifikujete hostove koji podržavaju IPv4 prosleđivanje.
Za lokalno razrešavanje imena kada DNS upiti ne uspeju, Microsoft sistemi se oslanjaju na Link-Local Multicast Name Resolution (LLMNR) i NetBIOS Name Service (NBT-NS). Slično tome, Apple Bonjour i Linux zero-configuration implementacije koriste Multicast DNS (mDNS) za otkrivanje sistema unutar mreže. Zbog neautentifikovane prirode ovih protokola i njihovog rada preko UDP, emitovanjem poruka, oni mogu biti iskorišćeni od strane napadača koji ciljaju da preusmere korisnike ka zlonamernim servisima.
Možete se predstaviti kao servisi koje traže hostovi koristeći Responder za slanje lažnih odgovora. Pročitajte više informacija o kako se predstaviti kao servis pomoću Responder-a.
Pregledači često koriste Web Proxy Auto-Discovery (WPAD) protokol za automatsko dobijanje podešavanja proksi servera. To uključuje dobijanje detalja konfiguracije sa servera, posebno putem URL-a poput "http://wpad.example.org/wpad.dat". Otkrivanje ovog servera od strane klijenata može se desiti putem različitih mehanizama:
Putem DHCP, gde se otkrivanje olakšava korišćenjem specijalnog unosa koda 252.
Preko DNS-a, što uključuje traženje imena hosta označenog sa wpad unutar lokalne domene.
Putem Microsoft LLMNR i NBT-NS, koji su rezervni mehanizmi korišteni u slučajevima kada DNS upiti ne uspeju.
Alat Responder iskorišćava ovaj protokol delujući kao zlonamerni WPAD server. Koristi DHCP, DNS, LLMNR i NBT-NS da zavede klijente da se povežu sa njim. Da biste dublje istražili kako servisi mogu biti predstavljeni korišćenjem Responder-a proverite ovo.
Možete ponuditi različite servise u mreži kako biste prevarili korisnika da unese neke plain-text kredencijale. Više informacija o ovom napadu u Falsifikovanje SSDP i UPnP uređaja.
IPv6 Falsifikovanje Suseda
Ovaj napad je veoma sličan ARP Falsifikovanju ali u svetu IPv6. Možete naterati žrtvu da pomisli da IPv6 GW ima MAC adresu napadača.
IPv6 Router Advertisement Spoofing/Flooding
Neke OS konfigurišu po difoltu gateway iz RA paketa poslatih u mreži. Da biste proglasili napadača kao IPv6 ruter možete koristiti:
IPv6 DHCP spoofing
Podrazumevano, neki operativni sistemi pokušavaju da konfigurišu DNS čitanjem DHCPv6 paketa u mreži. Zatim, napadač može poslati DHCPv6 paket da se konfiguriše kao DNS. DHCP takođe pruža IPv6 adresu žrtvi.
HTTP (lažna stranica i ubacivanje JS koda)
Internet napadi
sslStrip
Osnovno što ovaj napad radi je, u slučaju da korisnik pokuša pristupiti HTTP stranici koja se preusmjerava na HTTPS verziju. sslStrip će održavati HTTP vezu sa klijentom i HTTPS vezu sa serverom tako da će moći da uhvati vezu u čistom tekstu.
Više informacija ovde.
sslStrip+ i dns2proxy za zaobilaženje HSTS
Razlika između sslStrip+ i dns2proxy u odnosu na sslStrip je što će preusmeriti na primer www.facebook.com na wwww.facebook.com (primetite dodatno slovo "w") i postaviće IP adresu ovog domena kao napadački IP. Na ovaj način, klijent će se povezati na wwww.facebook.com (napadača) ali iza kulisa sslstrip+ će održavati pravu vezu putem https sa www.facebook.com.
Cilj ove tehnike je da izbegne HSTS jer se wwww.facebook.com neće sačuvati u kešu pregledača, tako da će pregledač biti prevaren da izvrši autentikaciju na Facebook-u preko HTTP. Imajte na umu da bi se izveo ovaj napad, žrtva mora pokušati prvo da pristupi http://www.faceook.com a ne https. Ovo se može postići modifikovanjem linkova unutar http stranice.
Više informacija ovde, ovde i ovde.
sslStrip ili sslStrip+ više ne funkcionišu. To je zato što postoje HSTS pravila unapred sačuvana u pregledačima, tako da čak i ako je prvi put da korisnik pristupa "važnom" domenu, pristupiće mu putem HTTPS. Takođe, primetite da unapred sačuvana pravila i druga generisana pravila mogu koristiti zastavicu includeSubdomains
tako da primer _wwww.facebook.com_ od ranije više neće funkcionisati jer facebook.com koristi HSTS sa includeSubdomains
.
TODO: easy-creds, evilgrade, metasploit, factory
TCP slušanje na portu
TCP + SSL slušanje na portu
Generisanje ključeva i samopotpisanog sertifikata
Slušanje korišćenjem sertifikata
Slušajte koristeći sertifikat i preusmerite ka hostovima
Ponekad, ako klijent proveri da li je CA validan, možete poslužiti sertifikat drugog imena hosta potpisan od strane CA. Još jedan interesantan test je da poslužite sertifikat za traženi hostname ali samopotpisan.
Drugi testovi koje možete izvršiti su pokušaj potpisivanja sertifikata validnim sertifikatom koji nije validan CA. Ili korišćenje validnog javnog ključa, prisiljavanje korišćenja algoritma poput Diffie-Hellman-a (koji ne zahteva dešifrovanje bilo čega sa pravim privatnim ključem) i kada klijent zatraži probu pravog privatnog ključa (poput heša), poslati lažnu probu i očekivati da klijent to ne proveri.
Bettercap
Beleške o aktivnom otkrivanju
Imajte na umu da kada se UDP paket pošalje uređaju koji nema traženi port, šalje se ICMP (Port Unreachable).
ARP otkrivanje
ARP paketi se koriste za otkrivanje IP adresa koje se koriste unutar mreže. Računar mora poslati zahtev za svaku moguću IP adresu i samo će one koje se koriste odgovoriti.
mDNS (multicast DNS)
Bettercap šalje MDNS zahtev (svakih X ms) tražeći _services_.dns-sd._udp.local mašinu koja vidi ovaj paket obično odgovara na ovaj zahtev. Zatim, traži samo mašine koje odgovaraju na "services".
Alati
Avahi-browser (--all)
Bettercap (net.probe.mdns)
Responder
NBNS (NetBios Name Server)
Bettercap emituje pakete na port 137/UDP tražeći ime "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".
SSDP (Simple Service Discovery Protocol)
Bettercap emituje SSDP pakete tražeći sve vrste servisa (UDP Port 1900).
WSD (Web Service Discovery)
Bettercap emituje WSD pakete tražeći servise (UDP Port 3702).
Reference
Network Security Assessment: Know Your Network (3. izdanje)
Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things. By Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood
Last updated