Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 14:08:26 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['generic-methodologies-and-resources/pentesting-network/READ

Browse source
This commit is contained in:
Translator 2024-08-21 08:52:17 +00:00
parent e27c022dba
commit 71b4fb9abf
1 changed files with 65 additions and 65 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

130
generic-methodologies-and-resources/pentesting-network/README.md
View file

@ -16,14 +16,14 @@ Leer & oefen GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size=
{% endhint %}
<img src="../../.gitbook/assets/i3.png" alt="" data-size="original">\
**Bug bounty wenk**: **meld aan** by **Intigriti**, 'n premium **bug bounty platform geskep deur hackers, vir hackers**! Sluit vandag by ons aan by [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) en begin om bounties tot **$100,000** te verdien!
**Bug bounty wenk**: **meld aan** by **Intigriti**, 'n premium **bug bounty platform geskep deur hackers, vir hackers**! Sluit by ons aan by [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) vandag, en begin verdien bounties tot **$100,000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
## Ontdek hosts van buite
Dit gaan 'n **kort afdeling** wees oor hoe om **IP's wat antwoord gee** van die **Internet** te vind.\
In hierdie situasie het jy 'n paar **reeks IP's** (miskien selfs verskeie **reekse**) en jy moet net vind **watter IP's antwoord gee**.
In hierdie situasie het jy 'n paar **bereik van IP's** (miskien selfs verskeie **reekse**) en jy moet net vind **watter IP's antwoord gee**.
### ICMP
@ -35,9 +35,9 @@ ping -c 1 199.66.11.4 # 1 echo request to a host
fping -g 199.66.11.0/24 # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests
```
### TCP Port Ontdekking
### TCP Port Discovery
Dit is baie algemeen om te vind dat alle soorte ICMP-pakkette gefilter word. Dan is al wat jy kan doen om te kyk of 'n gasheer aan is, om **oop poorte** te probeer vind. Elke gasheer het **65535 poorte**, so, as jy 'n "groot" omvang het, kan jy **nie** toets of **elke poort** van elke gasheer oop is of nie, dit sal te veel tyd neem.\
Dit is baie algemeen om te vind dat alle soorte ICMP-pakkette gefilter word. Dan is al wat jy kan doen om te kyk of 'n gasheer aan is, om **te probeer om oop poorte te vind**. Elke gasheer het **65535 poorte**, so, as jy 'n "groot" omvang het, kan jy **nie** toets of **elke poort** van elke gasheer oop is of nie, dit sal te veel tyd neem.\
Dan, wat jy nodig het, is 'n **vinnige poortskandeerder** ([masscan](https://github.com/robertdavidgraham/masscan)) en 'n lys van die **meest gebruikte poorte:**
```bash
#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
@ -53,7 +53,7 @@ masscan -p80,443,8000-8100,8443 199.66.11.0/24
```
### UDP Port Discovery
Jy kan ook probeer om te kyk vir 'n paar **UDP poorte wat oop** is om te besluit of jy **meer aandag** aan 'n **gasheer** moet gee. Aangesien UDP dienste gewoonlik **nie antwoordgee** met **enige data** op 'n gewone leë UDP-probe-pakket nie, is dit moeilik om te sê of 'n poort gefilter of oop is. Die maklikste manier om dit te besluit, is om 'n pakket te stuur wat verband hou met die lopende diens, en aangesien jy nie weet watter diens aan die gang is nie, moet jy die mees waarskynlike probeer op grond van die poortnommer:
Jy kan ook probeer om te kyk vir 'n paar **UDP poorte wat oop** is om te besluit of jy **meer aandag** aan 'n **gasheer** moet gee. Aangesien UDP dienste gewoonlik **nie antwoordgee** met **enige data** op 'n gewone leë UDP-probe-pakket nie, is dit moeilik om te sê of 'n poort gefiltreer of oop is. Die maklikste manier om dit te besluit, is om 'n pakket te stuur wat verband hou met die lopende diens, en aangesien jy nie weet watter diens aan die gang is nie, moet jy die mees waarskynlike probeer op grond van die poortnommer:
```bash
nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
@ -63,7 +63,7 @@ Die nmap lyn wat voorheen voorgestel is, sal die **top 1000 UDP-poorte** in elke
### SCTP Poort Ontdekking
```bash
#Probably useless, but it's pretty fast, why not trying?
#Probably useless, but it's pretty fast, why not try it?
nmap -T4 -sY -n --open -Pn <IP/range>
```
## Pentesting Wifi
@ -92,7 +92,7 @@ set net.show.meta true #more info
### Aktief
Let daarop dat die tegnieke wat in [_**Ontdekking van gasheer vanaf die buitekant**_](./#discovering-hosts-from-the-outside) (_TCP/HTTP/UDP/SCTP Poort Ontdekking_) kommentaar gelewer is, ook **hier toegepas kan word**.\
Maar, aangesien jy in die **selfde netwerk** as die ander gashere is, kan jy **meer dinge** doen:
Maar, aangesien jy in die **dieselfde netwerk** as die ander gashere is, kan jy **meer dinge** doen:
```bash
#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
@ -117,13 +117,13 @@ alive6 <IFACE> # Send a pingv6 to multicast.
Let daarop dat die tegnieke wat in _Ontdekking van gasheer vanaf die buitekant_ ([_**ICMP**_](./#icmp)) genoem word, ook **hier toegepas kan word**.\
Maar, aangesien jy in die **dieselfde netwerk** as die ander gashere is, kan jy **meer dinge** doen:
* As jy 'n **subnet uitsaai adres** **ping**, moet die ping by **elke gasheer** aankom en hulle kan **aan jou** **antwoordgee**: `ping -b 10.10.5.255`
* As jy 'n **subnet uitsaai adres** **ping**, moet die ping by **elke gasheer** aankom en hulle kan **op jou** **antwoord gee**: `ping -b 10.10.5.255`
* Deur die **netwerk uitsaai adres** te ping, kan jy selfs gashere binne **ander subnets** vind: `ping -b 255.255.255.255`
* Gebruik die `-PE`, `-PP`, `-PM` vlae van `nmap` om gasheer ontdekking uit te voer deur onderskeidelik **ICMPv4 echo**, **tydstempel**, en **subnetmasker versoeke** te stuur: `nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24`
### **Wake On Lan**
Wake On Lan word gebruik om **rekenaars aan te skakel** deur 'n **netwerk boodskap**. Die magiese pakket wat gebruik word om die rekenaar aan te skakel, is net 'n pakket waar 'n **MAC Dst** verskaf word en dan word dit **16 keer herhaal** binne dieselfde pakket.\
Wake On Lan word gebruik om rekenaars deur 'n **netwerk boodskap** te **aan te skakel**. Die magiese pakket wat gebruik word om die rekenaar aan te skakel, is net 'n pakket waar 'n **MAC Dst** verskaf word en dan word dit **16 keer herhaal** binne dieselfde pakket.\
Dan word hierdie tipe pakkette gewoonlik in 'n **ethernet 0x0842** of in 'n **UDP pakket na poort 9** gestuur.\
As **geen \[MAC]** verskaf word nie, word die pakket na **uitsaai ethernet** gestuur (en die uitsaai MAC sal die een wees wat herhaal word).
```bash
@ -156,8 +156,8 @@ syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000
Daar is 2 opsies om 'n UDP-poort te skandeer:
* Stuur 'n **UDP-pakket** en kyk vir die antwoord _**ICMP onbereikbaar**_ as die poort **gesluit** is (in verskeie gevalle sal ICMP **gefilter** word sodat jy nie enige inligting sal ontvang as die poort gesluit of oop is nie).
* Stuur 'n **geformateerde datagram** om 'n antwoord van 'n **diens** uit te lok (bv., DNS, DHCP, TFTP, en ander, soos gelys in _nmap-payloads_). As jy 'n **antwoord** ontvang, dan is die poort **oop**.
* Stuur 'n **UDP-pakket** en kyk vir die reaksie _**ICMP onbereikbaar**_ as die poort **gesluit** is (in verskeie gevalle sal ICMP **gefilter** word, so jy sal nie enige inligting ontvang as die poort gesluit of oop is nie).
* Stuur 'n **geformateerde datagram** om 'n reaksie van 'n **diens** uit te lok (bv., DNS, DHCP, TFTP, en ander, soos gelys in _nmap-payloads_). As jy 'n **reaksie** ontvang, dan is die poort **oop**.
**Nmap** sal **albei** opsies meng met "-sV" (UDP-skanderings is baie stadig), maar let daarop dat UDP-skanderings stadiger is as TCP-skanderings:
```bash
@ -173,9 +173,9 @@ nmap -sU -sV --version-intensity 0 -n -T4 <IP>
```
### SCTP Scan
**SCTP (Stream Control Transmission Protocol)** is ontwerp om saam met **TCP (Transmission Control Protocol)** en **UDP (User Datagram Protocol)** gebruik te word. Die hoofdoel is om die vervoer van telekommunikasiedata oor IP-netwerke te fasiliteer, wat baie van die betroubaarheidskenmerke wat in **Signaling System 7 (SS7)** voorkom, naboots. **SCTP** is 'n kernkomponent van die **SIGTRAN** protokolgesin, wat daarop gemik is om SS7 seine oor IP-netwerke te vervoer.
**SCTP (Stream Control Transmission Protocol)** is ontwerp om saam met **TCP (Transmission Control Protocol)** en **UDP (User Datagram Protocol)** gebruik te word. Die hoofdoel is om die vervoer van telekommunikasiedata oor IP-netwerke te fasiliteer, wat baie van die betroubaarheidskenmerke van **Signaling System 7 (SS7)** weerspieël. **SCTP** is 'n kernkomponent van die **SIGTRAN** protokolgesin, wat daarop gemik is om SS7 seine oor IP-netwerke te vervoer.
Die ondersteuning vir **SCTP** word verskaf deur verskeie bedryfstelsels, soos **IBM AIX**, **Oracle Solaris**, **HP-UX**, **Linux**, **Cisco IOS**, en **VxWorks**, wat die breë aanvaarding en nut daarvan in die veld van telekommunikasie en netwerking aandui.
Die ondersteuning vir **SCTP** word verskaf deur verskeie bedryfstelsels, soos **IBM AIX**, **Oracle Solaris**, **HP-UX**, **Linux**, **Cisco IOS**, en **VxWorks**, wat die breë aanvaarding en nut daarvan in die veld van telekommunikasie en netwerke aandui.
Twee verskillende skande vir SCTP word deur nmap aangebied: _-sY_ en _-sZ_
```bash
@ -198,7 +198,7 @@ nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>
### Onthulling van Interne IP Adresse
**Sleg geconfigureerde routers, vuurmure en netwerktoestelle** reageer soms op netwerkprobes met **nie-openbare bronadresse**. **tcpdump** kan gebruik word om pakkette te identifiseer wat van private adresse ontvang is tydens toetsing. Spesifiek, op Kali Linux, kan pakkette op die **eth2-koppelvlak** gevang word, wat vanaf die openbare internet toeganklik is. Dit is belangrik om te noem dat as jou opstelling agter 'n NAT of 'n Vuurmuur is, sulke pakkette waarskynlik gefilter sal word.
**Sleg geconfigureerde routers, vuurmure en netwerktoestelle** reageer soms op netwerkprobes met **nie-openbare bronadresse**. **tcpdump** kan gebruik word om pakkette te identifiseer wat tydens toetsing van private adresse ontvang is. Spesifiek, op Kali Linux, kan pakkette op die **eth2-koppelvlak** gevang word, wat vanaf die openbare internet toeganklik is. Dit is belangrik om te noem dat as jou opstelling agter 'n NAT of 'n Vuurmuur is, sulke pakkette waarskynlik gefiltreer sal word.
```bash
tcpdump nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
@ -208,7 +208,7 @@ IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64
```
## Sniffing
Sniffing kan jy besonderhede van IP-reekse, subnetgroottes, MAC-adresse en hostname leer deur gevangenis rame en pakkette te hersien. As die netwerk verkeerd geconfigureer is of die switching fabric onder druk is, kan aanvallers sensitiewe materiaal vang deur passiewe netwerk sniffing.
Sniffing kan jy besonderhede van IP-reekse, subnetgroottes, MAC-adresse en hostname leer deur gevangenis rame en pakkette te hersien. As die netwerk verkeerd geconfigureer is of die switching-fabriek onder druk is, kan aanvallers sensitiewe materiaal vang deur passiewe netwerk sniffing.
As 'n geswikte Ethernet-netwerk behoorlik geconfigureer is, sal jy slegs uitsendingsrame en materiaal wat bestem is vir jou MAC-adres sien.
@ -276,7 +276,7 @@ Die **Dinamiese Trunking Protokol (DTP)** is ontwerp as 'n skakelvlakprotokol om
Standaard is skakelpoorte ingestel om in Dinamiese Auto-modus te werk, wat beteken dat hulle gereed is om trunking te begin indien 'n naburige skakel dit vra. 'n Sekuriteitskwessie ontstaan wanneer 'n pentester of aanvaller aan die skakel koppel en 'n DTP Desirable-raam stuur, wat die poort dwing om in trunkmodus te gaan. Hierdie aksie stel die aanvaller in staat om VLANs te tel deur STP-raamontleding en om VLAN-segmentasie te omseil deur virtuele interfaces op te stel.
Die teenwoordigheid van DTP in baie skakels standaard kan deur teenstanders uitgebuit word om 'n skakel se gedrag na te boots, en sodoende toegang tot verkeer oor alle VLANs te verkry. Die skrip [_**dtpscan.sh**_](https://github.com/commonexploits/dtpscan) word gebruik om 'n interface te monitor, wat onthul of 'n skakel in Standaard, Trunk, Dinamies, Auto, of Toegang-modus is—laasgenoemde is die enigste konfigurasie wat immuun is teen VLAN-hopping-aanvalle. Hierdie hulpmiddel evalueer die kwesbaarheidstatus van die skakel.
Die teenwoordigheid van DTP in baie skakels standaard kan deur teenstanders uitgebuit word om 'n skakel se gedrag na te boots, en sodoende toegang tot verkeer oor alle VLANs te verkry. Die skrip [_**dtpscan.sh**_](https://github.com/commonexploits/dtpscan) word gebruik om 'n koppelvlak te monitor, wat onthul of 'n skakel in Standaard, Trunk, Dinamies, Auto, of Toegang-modus is—laasgenoemde is die enigste konfigurasie wat immuun is teen VLAN-hopping-aanvalle. Hierdie hulpmiddel evalueer die kwesbaarheidstatus van die skakel.
As netwerk kwesbaarheid geïdentifiseer word, kan die _**Yersinia**_ hulpmiddel gebruik word om "trunking te aktiveer" via die DTP-protokol, wat die waarneming van pakkette van alle VLANs moontlik maak.
```bash
@ -291,13 +291,13 @@ yersinia -G #For graphic mode
```
![](<../../.gitbook/assets/image (269).png>)
Om die VLANs te tel, is dit ook moontlik om die DTP Desirable-raam te genereer met die skrip [**DTPHijacking.py**](https://github.com/in9uz/VLANPWN/blob/main/DTPHijacking.py)**. Moet die skrip onder geen omstandighede onderbreek nie. Dit spuit DTP Desirable elke drie sekondes in. **Die dinamies geskepte trunk-kanale op die skakelaar leef net vir vyf minute. Na vyf minute val die trunk af.**
Om die VLANs te tel, is dit ook moontlik om die DTP Desirable-raam te genereer met die skrif [**DTPHijacking.py**](https://github.com/in9uz/VLANPWN/blob/main/DTPHijacking.py)**. Moet die skrif onder geen omstandighede onderbreek nie. Dit inspuit DTP Desirable elke drie sekondes. **Die dinamies geskepte trunk-kanale op die skakelaar leef net vir vyf minute. Na vyf minute val die trunk af.**
```
sudo python3 DTPHijacking.py --interface eth0
```
Ek wil daarop wys dat **Access/Desirable (0x03)** aandui dat die DTP-raam van die Desirable-tipe is, wat die poort vertel om na Trunk-modus te skakel. En **802.1Q/802.1Q (0xa5)** dui die **802.1Q** inkapselingstipe aan.
Ek wil daarop wys dat **Access/Desirable (0x03)** aandui dat die DTP-raam van die Desirable tipe is, wat die poort vertel om na Trunk-modus te skakel. En **802.1Q/802.1Q (0xa5)** dui die **802.1Q** enkapsulasietipe aan.
Deur die STP-raam te analiseer, **leer ons oor die bestaan van VLAN 30 en VLAN 60.**
Deur die STP-raamwerke te analiseer, **leer ons oor die bestaan van VLAN 30 en VLAN 60.**
<figure><img src="../../.gitbook/assets/image (124).png" alt=""><figcaption></figcaption></figure>
@ -339,11 +339,11 @@ sudo dhclient -v eth0.30
```
#### Automatiese VLAN Hopper
Die bespreekte aanval van **Dinamiese Trunking en die skep van virtuele interfaces om gashere binne** ander VLANs te ontdek, word **automaties uitgevoer** deur die hulpmiddel: [**https://github.com/nccgroup/vlan-hopping---frogger**](https://github.com/nccgroup/vlan-hopping---frogger)
Die bespreekte aanval van **Dinamiese Trunking en die skep van virtuele interfaces om gaste binne** ander VLANs te ontdek, word **automaties uitgevoer** deur die hulpmiddel: [**https://github.com/nccgroup/vlan-hopping---frogger**](https://github.com/nccgroup/vlan-hopping---frogger)
#### Dubbele Etiket
As 'n aanvaller die waarde van die **MAC, IP en VLAN ID van die slagoffer gasheer** ken, kan hy probeer om 'n **dubbele etiket op 'n raam** te plaas met sy aangewese VLAN en die VLAN van die slagoffer en 'n pakket te stuur. Aangesien die **slagoffer nie terug kan verbind** met die aanvaller nie, is die **beste opsie vir die aanvaller om via UDP te kommunikeer** met protokolle wat 'n paar interessante aksies kan uitvoer (soos SNMP).
As 'n aanvaller die waarde van die **MAC, IP en VLAN ID van die slagoffer** ken, kan hy probeer om 'n **dubbele etiket op 'n raam** te plaas met sy aangewese VLAN en die VLAN van die slagoffer en 'n pakket te stuur. Aangesien die **slagoffer nie terug kan verbind** met die aanvaller nie, is die **beste opsie vir die aanvaller om via UDP te kommunikeer** met protokolle wat interessante aksies kan uitvoer (soos SNMP).
'n Ander opsie vir die aanvaller is om 'n **TCP-poortskandering te begin wat 'n IP naboots wat deur die aanvaller beheer word en deur die slagoffer toeganklik is** (waarskynlik deur die internet). Dan kan die aanvaller snuffel in die tweede gasheer wat hy besit as dit 'n paar pakkette van die slagoffer ontvang.
@ -358,7 +358,7 @@ sendp(packet)
```
#### Lateral VLAN Segmentation Bypass <a href="#d679" id="d679"></a>
As jy **toegang het tot 'n skakelaar waaraan jy direk gekoppel is**, het jy die vermoë om **VLAN-segmentering** binne die netwerk te **omseil**. Skakel eenvoudig die poort na trunk-modus (ook bekend as trunk), skep virtuele interfaces met die ID's van die teiken VLAN's, en konfigureer 'n IP-adres. Jy kan probeer om die adres dinamies aan te vra (DHCP) of jy kan dit staties konfigureer. Dit hang van die geval af.
As jy **toegang het tot 'n skakelaar waaraan jy direk gekoppel is**, het jy die vermoë om **VLAN-segmentering** binne die netwerk te **omseil**. Skakel eenvoudig die poort na trunk-modus (ook bekend as trunk), skep virtuele interfaces met die ID's van die teiken VLAN's, en konfigureer 'n IP-adres. Jy kan probeer om die adres dinamies aan te vra (DHCP) of jy kan dit staties konfigureer. Dit hang af van die geval.
{% content-ref url="lateral-vlan-segmentation-bypass.md" %}
[lateral-vlan-segmentation-bypass.md](lateral-vlan-segmentation-bypass.md)
@ -366,14 +366,14 @@ As jy **toegang het tot 'n skakelaar waaraan jy direk gekoppel is**, het jy die
#### Layer 3 Private VLAN Bypass
In sekere omgewings, soos gaste draadlose netwerke, word **poort-isolasie (ook bekend as private VLAN)** instellings geïmplementeer om te voorkom dat kliënte wat aan 'n draadlose toegangspunt gekoppel is, direk met mekaar kommunikeer. 'n Tegniek is egter geïdentifiseer wat hierdie isolasiemaatreëls kan omseil. Hierdie tegniek benut óf die gebrek aan netwerk ACL's óf hul onvanpaste konfigurasie, wat IP-pakkette in staat stel om deur 'n router na 'n ander kliënt op dieselfde netwerk gelei te word.
In sekere omgewings, soos gaste draadlose netwerke, word **poort-isolasie (ook bekend as private VLAN)** instellings geïmplementeer om te voorkom dat kliënte wat aan 'n draadlose toegangspunt gekoppel is, direk met mekaar kommunikeer. 'n Tegniek is egter geïdentifiseer wat hierdie isolasiemaatreëls kan omseil. Hierdie tegniek benut óf die gebrek aan netwerk ACL's óf hul onjuiste konfigurasie, wat IP-pakkette in staat stel om deur 'n router na 'n ander kliënt op dieselfde netwerk gelei te word.
Die aanval word uitgevoer deur 'n **pakket te skep wat die IP-adres van die bestemmingskliënt dra, maar met die router se MAC-adres**. Dit veroorsaak dat die router die pakket verkeerdelik na die teiken kliënt stuur. Hierdie benadering is soortgelyk aan dié wat in Double Tagging Attacks gebruik word, waar die vermoë om 'n gasheer wat vir die slagoffer toeganklik is, te beheer, gebruik word om die sekuriteitsfout te benut.
**Belangrike Stappe van die Aanval:**
1. **Skep van 'n Pakket:** 'n Pakket word spesiaal geskep om die teiken kliënt se IP-adres in te sluit, maar met die router se MAC-adres.
2. **Benut die Router Gedrag:** Die geskepte pakket word na die router gestuur, wat, as gevolg van die konfigurasie, die pakket na die teiken kliënt omlei, terwyl dit die isolasie wat deur private VLAN-instellings verskaf word, omseil.
2. **Benut die Router Gedrag:** Die geskepte pakket word na die router gestuur, wat, as gevolg van die konfigurasie, die pakket na die teiken kliënt herlei, terwyl dit die isolasie wat deur private VLAN-instellings verskaf word, omseil.
### VTP Attacks
@ -381,7 +381,7 @@ VTP (VLAN Trunking Protocol) sentraliseer VLAN-bestuur. Dit gebruik hersieningsn
#### VTP Domain Roles
* **VTP Server:** Bestuur VLAN's—skep, verwyder, wysig. Dit versprei VTP-aankondigings na domeinlede.
* **VTP Server:** Bestuur VLAN's—skep, verwyder, wysig. Dit stuur VTP-aankondigings na domeinlede.
* **VTP Client:** Ontvang VTP-aankondigings om sy VLAN-databasis te sinkroniseer. Hierdie rol is beperk van plaaslike VLAN-konfigurasiewysigings.
* **VTP Transparent:** Neem nie deel aan VTP-opdaterings nie, maar stuur VTP-aankondigings voort. Onbeïnvloed deur VTP-aanvalle, handhaaf dit 'n konstante hersieningsnommer van nul.
@ -391,7 +391,7 @@ VTP (VLAN Trunking Protocol) sentraliseer VLAN-bestuur. Dit gebruik hersieningsn
* **Subset Advertisement:** Gestuur na VLAN-konfigurasiewysigings.
* **Advertisement Request:** Uitgereik deur 'n VTP-kliënt om 'n Summary Advertisement aan te vra, tipies in reaksie op die opsporing van 'n hoër konfigurasie hersieningsnommer.
VTP kwesbaarhede kan uitsluitlik via trunk-poorte benut word, aangesien VTP-aankondigings slegs deur hulle sirkuleer. Na DTP-aanvalscenario's kan die fokus na VTP verskuif. Gereedskap soos Yersinia kan VTP-aanvalle fasiliteer, met die doel om die VLAN-databasis uit te wis, wat effektief die netwerk ontwrig.
VTP kwesbaarhede is slegs via trunk-poorte benutbaar, aangesien VTP-aankondigings slegs deur hulle sirkuleer. Post-DTP aanvalscenario's kan na VTP draai. Gereedskap soos Yersinia kan VTP-aanvalle fasiliteer, met die doel om die VLAN-databasis uit te wis, wat effektief die netwerk ontwrig.
Nota: Hierdie bespreking handel oor VTP weergawe 1 (VTPv1).
````bash
@ -413,14 +413,14 @@ yersinia stp -attack 3
```
#### **STP TCP-aanval**
Wanneer 'n TCP gestuur word, sal die CAM-tafel van die skakelaars binne 15s verwyder word. Dan, as jy voortdurend hierdie soort pakkette stuur, sal die CAM-tafel voortdurend (of elke 15 sekondes) herbegin word en wanneer dit herbegin word, gedra die skakel soos 'n hub.
Wanneer 'n TCP gestuur word, sal die CAM-tafel van die skakelaars binne 15s verwyder word. Dan, as jy voortdurend hierdie soort pakkette stuur, sal die CAM-tafel voortdurend (of elke 15 sekondes) herbegin word en wanneer dit herbegin word, gedra die skakelaar soos 'n hub.
```bash
yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen
```
#### **STP Root Aanval**
Die aanvaller simuleer die gedrag van 'n skakelaar om die STP wortel van die netwerk te word. Dan sal meer data deur hom beweeg. Dit is interessant wanneer jy aan twee verskillende skakelaars gekoppel is.\
Die aanvaller simuleer die gedrag van 'n skakelaar om die STP wortel van die netwerk te word. Dan sal meer data deur hom verbygaan. Dit is interessant wanneer jy aan twee verskillende skakelaars gekoppel is.\
Dit word gedoen deur BPDUs CONF-pakkette te stuur wat sê dat die **prioriteit** waarde minder is as die werklike prioriteit van die werklike wortel skakelaar.
```bash
yersinia stp -attack 4 #Behaves like the root switch
@ -441,7 +441,7 @@ CDP is geconfigureer om inligting deur alle poorte te broadcast, wat 'n sekurite
#### Indusering van CDP Tabelvloei <a href="#id-0d6a" id="id-0d6a"></a>
'n Meer aggressiewe benadering behels die ontploffing van 'n Denial of Service (DoS) aanval deur die skakel se geheue te oorweldig, terwyl daar voorgegee word om wettige CISCO-toestelle te wees. Hieronder is die opdragreeks om so 'n aanval te begin met behulp van Yersinia, 'n netwerktool wat ontwerp is vir toetsing:
'n Meer aggressiewe benadering behels die ontplooiing van 'n Denial of Service (DoS) aanval deur die skakel se geheue te oorweldig, terwyl daar voorgegee word om wettige CISCO-toestelle te wees. Hieronder is die opdragreeks om so 'n aanval te begin met behulp van Yersinia, 'n netwerktool wat ontwerp is vir toetsing:
```bash
sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
@ -460,24 +460,24 @@ You could also use [**scapy**](https://github.com/secdev/scapy/). Be sure to ins
VoIP-telefone, wat toenemend geïntegreer is met IoT-toestelle, bied funksies soos die ontsluiting van deure of die beheer van termostate deur middel van spesiale telefoonnommers. Hierdie integrasie kan egter sekuriteitsrisiko's inhou.
Die gereedskap [**voiphopper**](http://voiphopper.sourceforge.net) is ontwerp om 'n VoIP-foon in verskillende omgewings (Cisco, Avaya, Nortel, Alcatel-Lucent) na te boots. Dit ontdek die stemnetwerk se VLAN-ID deur gebruik te maak van protokolle soos CDP, DHCP, LLDP-MED, en 802.1Q ARP.
Die gereedskap [**voiphopper**](http://voiphopper.sourceforge.net) is ontwerp om 'n VoIP-telefoon in verskillende omgewings (Cisco, Avaya, Nortel, Alcatel-Lucent) na te boots. Dit ontdek die stemnetwerk se VLAN-ID deur gebruik te maak van protokolle soos CDP, DHCP, LLDP-MED, en 802.1Q ARP.
**VoIP Hopper** bied drie modi vir die Cisco Discovery Protocol (CDP):
1. **Sniff Mode** (`-c 0`): Analiseer netwerkpakkette om die VLAN-ID te identifiseer.
2. **Spoof Mode** (`-c 1`): Genereer pasgemaakte pakkette wat dié van 'n werklike VoIP-toestel naboots.
3. **Spoof with Pre-made Packet Mode** (`-c 2`): Stuur pakkette wat identies is aan dié van 'n spesifieke Cisco IP-foonmodel.
3. **Spoof with Pre-made Packet Mode** (`-c 2`): Stuur pakkette wat identies is aan dié van 'n spesifieke Cisco IP-telefoonmodel.
Die verkiesde modus vir spoed is die derde een. Dit vereis dat die volgende gespesifiseer word:
* Die aanvaller se netwerkinterfaan (`-i` parameter).
* Die naam van die VoIP-toestel wat nagebootst word (`-E` parameter), wat voldoen aan die Cisco benoemingsformaat (bv. SEP gevolg deur 'n MAC-adres).
* Die naam van die VoIP-toestel wat nagebootst word (`-E` parameter), wat aan die Cisco-namingformaat moet voldoen (bv. SEP gevolg deur 'n MAC-adres).
In korporatiewe omgewings, om 'n bestaande VoIP-toestel na te boots, kan 'n mens:
* Die MAC-etiket op die foon inspekteer.
* Die foon se vertooninstellings navigeer om modelinligting te sien.
* Die VoIP-toestel aan 'n skootrekenaar koppel en CDP-versoeke met Wireshark waarneem.
* Die MAC-etiket op die telefoon inspekteer.
* Die telefoon se vertooninstellings navigeer om modelinligting te sien.
* Die VoIP-toestel aan 'n skootrekenaar koppel en CDP-versoeke met Wireshark observeer.
'n Voorbeeldopdrag om die gereedskap in die derde modus uit te voer, sou wees:
```bash
@ -513,13 +513,13 @@ Hierdie aanval sal slegs werk as jy die antwoorde van die DHCP-bediener kan sien
yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed
```
'n Meer outomatiese manier om dit te doen, is deur die hulpmiddel [DHCPing](https://github.com/kamorin/DHCPig) te gebruik.
'n Meer outomatiese manier om dit te doen, is om die hulpmiddel [DHCPing](https://github.com/kamorin/DHCPig) te gebruik.
Jy kan die genoemde DoS-aanvalle gebruik om kliënte te dwing om nuwe huurooreenkomste binne die omgewing te verkry, en om wettige bedieners uit te put sodat hulle onresponsief raak. So wanneer die wettige probeer om weer aan te sluit, **kan jy kwaadwillige waardes bedien wat in die volgende aanval genoem word**.
Jy kan die genoemde DoS-aanvalle gebruik om kliënte te dwing om nuwe huurooreenkomste binne die omgewing te verkry, en om wettige bedieners uit te put sodat hulle onresponsief raak. So wanneer die wettige probeer om weer te verbind, **kan jy kwaadwillige waardes bedien wat in die volgende aanval genoem word**.
#### Stel kwaadwillige waardes in
'n Rogue DHCP-bediener kan opgestel word met behulp van die DHCP-skrip geleë by `/usr/share/responder/DHCP.py`. Dit is nuttig vir netwerkaanvalle, soos om HTTP-verkeer en geloofsbriewe te vang, deur verkeer na 'n kwaadwillige bediener te herlei. Dit is egter minder effektief om 'n rogue gateway in te stel, aangesien dit slegs toelaat om uitgaande verkeer van die kliënt te vang, terwyl die antwoorde van die werklike gateway gemis word. In plaas daarvan, word dit aanbeveel om 'n rogue DNS of WPAD-bediener op te stel vir 'n meer effektiewe aanval.
'n Rogue DHCP-bediener kan opgestel word met behulp van die DHCP-skrip geleë by `/usr/share/responder/DHCP.py`. Dit is nuttig vir netwerkaanvalle, soos om HTTP-verkeer en geloofsbriewe te vang, deur verkeer na 'n kwaadwillige bediener te herlei. Dit is egter minder effektief om 'n rogue gateway op te stel, aangesien dit slegs toelaat om uitgaande verkeer van die kliënt te vang, terwyl die antwoorde van die werklike gateway gemis word. In plaas daarvan, word dit aanbeveel om 'n rogue DNS of WPAD-bediener op te stel vir 'n meer effektiewe aanval.
Hieronder is die opdragopsies vir die konfigurasie van die rogue DHCP-bediener:
@ -532,7 +532,7 @@ Hieronder is die opdragopsies vir die konfigurasie van die rogue DHCP-bediener:
* **Koppelvlak vir DHCP Verkeer**: Gebruik `-I eth1` om na DHCP-verkeer op 'n spesifieke netwerk-koppelvlak te luister.
* **WPAD Konfigurasie Adres**: Gebruik `-w “http://10.0.0.100/wpad.dat”` om die adres vir WPAD-konfigurasie in te stel, wat help met webverkeer onderskep.
* **Spoof Standaard Gateway IP**: Sluit `-S` in om die standaard gateway IP-adres te spoof.
* **Reageer op Alle DHCP Versoeke**: Sluit `-R` in om die bediener te laat reageer op alle DHCP versoeke, maar wees bewus dat dit lawaaierig is en opgespoor kan word.
* **Reageer op Alle DHCP Versoeke**: Sluit `-R` in om die bediener te laat reageer op alle DHCP versoeke, maar wees bewus dat dit luidrugtig is en opgespoor kan word.
Deur hierdie opsies korrek te gebruik, kan 'n rogue DHCP-bediener gevestig word om netwerkverkeer effektief te onderskep.
```python
@ -555,7 +555,7 @@ eapmd5pass r pcap.dump w /usr/share/wordlist/sqlmap.txt
```
### FHRP (GLBP & HSRP) Aanvalle <a href="#id-6196" id="id-6196"></a>
**FHRP** (First Hop Redundancy Protocol) is 'n klas van netwerkprotokolle wat ontwerp is om **'n warm redundante routeringstelsel** te skep. Met FHRP kan fisiese routers in 'n enkele logiese toestel gekombineer word, wat fouttoleransie verhoog en help om die las te versprei.
**FHRP** (First Hop Redundancy Protocol) is 'n klas van netwerkprotokolle wat ontwerp is om **'n warm redundante routeringstelsel** te skep. Met FHRP kan fisiese routers in 'n enkele logiese toestel gekombineer word, wat foutverdraagsaamheid verhoog en help om die las te versprei.
**Cisco Systems ingenieurs het twee FHRP protokolle, GLBP en HSRP, ontwikkel.**
@ -565,20 +565,20 @@ eapmd5pass r pcap.dump w /usr/share/wordlist/sqlmap.txt
### RIP
Drie weergawes van die Routing Information Protocol (RIP) is bekend: RIP, RIPv2, en RIPng. Datagramme word na gelyke via poort 520 met UDP deur RIP en RIPv2 gestuur, terwyl datagramme na UDP-poort 521 via IPv6 multicast deur RIPng gebroadcast word. Ondersteuning vir MD5-outeentifikasie is deur RIPv2 bekendgestel. Aan die ander kant is inheemse outeentifikasie nie deur RIPng ingesluit nie; eerder word daar op opsionele IPsec AH en ESP koppe in IPv6 vertrou.
Drie weergawes van die Routing Information Protocol (RIP) is bekend: RIP, RIPv2, en RIPng. Datagramme word na gelyke via poort 520 met UDP deur RIP en RIPv2 gestuur, terwyl datagramme na UDP-poort 521 via IPv6 multicast deur RIPng uitgesaai word. Ondersteuning vir MD5-sertifisering is deur RIPv2 bekendgestel. Aan die ander kant is inheemse sertifisering nie deur RIPng ingesluit nie; eerder word daar op opsionele IPsec AH en ESP koppe in IPv6 vertrou.
* **RIP en RIPv2:** Kommunikasie word deur UDP datagramme op poort 520 gedoen.
* **RIPng:** Gebruik UDP-poort 521 om datagramme via IPv6 multicast te broadcast.
* **RIPng:** Gebruik UDP-poort 521 om datagramme via IPv6 multicast uit te saai.
Let daarop dat RIPv2 MD5-outeentifikasie ondersteun terwyl RIPng nie inheemse outeentifikasie insluit nie, en op IPsec AH en ESP koppe in IPv6 vertrou.
Let daarop dat RIPv2 MD5-sertifisering ondersteun terwyl RIPng nie inheemse sertifisering insluit nie, en op IPsec AH en ESP koppe in IPv6 vertrou.
### EIGRP Aanvalle
**EIGRP (Enhanced Interior Gateway Routing Protocol)** is 'n dinamiese routeringprotokol. **Dit is 'n afstandsvektorprotokol.** As daar **geen outeentifikasie** en konfigurasie van passiewe interfaces is nie, kan 'n **indringer** inmeng met EIGRP-routering en **routeringstabelle vergiftig**. Boonop is die EIGRP-netwerk (met ander woorde, outonome stelsel) **plat en het geen segmentering in enige sones nie**. As 'n **aanvaller 'n roete inspuit**, is dit waarskynlik dat hierdie roete deur die outonome EIGRP-stelsel **sal versprei**.
**EIGRP (Enhanced Interior Gateway Routing Protocol)** is 'n dinamiese routeringprotokol. **Dit is 'n afstandsvektorprotokol.** As daar **geen sertifisering** en konfigurasie van passiewe interfaces is nie, kan 'n **indringer** inmeng met EIGRP-routering en **routeringstabelle vergiftig**. Boonop is die EIGRP-netwerk (met ander woorde, outonome stelsel) **plat en het geen segmentering in enige sones nie**. As 'n **aanvaller 'n roete inspuit**, is dit waarskynlik dat hierdie roete deur die outonome EIGRP-stelsel **sal versprei**.
Om 'n EIGRP-stelsel aan te val, vereis dit **om 'n buurman met 'n wettige EIGRP-router** te vestig, wat baie moontlikhede oopmaak, van basiese verkenning tot verskeie inspuitings.
Om 'n EIGRP-stelsel aan te val, vereis **die vestiging van 'n buur met 'n wettige EIGRP-router**, wat baie moontlikhede oopmaak, van basiese verkenning tot verskeie inspuitings.
[**FRRouting**](https://frrouting.org/) laat jou toe om **'n virtuele router te implementeer wat BGP, OSPF, EIGRP, RIP en ander protokolle ondersteun.** Al wat jy hoef te doen is om dit op jou aanvaller se stelsel te ontplooi en jy kan eintlik voorgee om 'n wettige router in die routeringdomein te wees.
[**FRRouting**](https://frrouting.org/) laat jou toe om **'n virtuele router te implementeer wat BGP, OSPF, EIGRP, RIP en ander protokolle ondersteun.** Alles wat jy moet doen, is om dit op jou aanvaller se stelsel te ontplooi en jy kan eintlik voorgee om 'n wettige router in die routeringdomein te wees.
{% content-ref url="eigrp-attacks.md" %}
[eigrp-attacks.md](eigrp-attacks.md)
@ -588,7 +588,7 @@ Om 'n EIGRP-stelsel aan te val, vereis dit **om 'n buurman met 'n wettige EIGRP-
### OSPF
In die Open Shortest Path First (OSPF) protokol **word MD5-outeentifikasie algemeen gebruik om veilige kommunikasie tussen routers te verseker**. Hierdie sekuriteitsmaatreël kan egter gekompromitteer word met behulp van gereedskap soos Loki en John the Ripper. Hierdie gereedskap is in staat om MD5-hashes te vang en te kraak, wat die outeentifikasiesleutel blootstel. Sodra hierdie sleutel verkry is, kan dit gebruik word om nuwe routeringinligting in te voer. Om die roeteparameters te konfigureer en die gekompromitteerde sleutel te vestig, word die _Injection_ en _Connection_ oortjies onderskeidelik gebruik.
In die Open Shortest Path First (OSPF) protokol **word MD5-sertifisering algemeen gebruik om veilige kommunikasie tussen routers te verseker**. Hierdie sekuriteitsmaatreël kan egter gekompromitteer word met behulp van gereedskap soos Loki en John the Ripper. Hierdie gereedskap is in staat om MD5-hashes te vang en te kraak, wat die sertifiseringssleutel blootstel. Sodra hierdie sleutel verkry is, kan dit gebruik word om nuwe routeringinligting in te voer. Om die roeteparameters te konfigureer en die gekompromitteerde sleutel te vestig, word die _Injection_ en _Connection_ oortjies onderskeidelik gebruik.
* **Vang en Kraak MD5 Hashes:** Gereedskap soos Loki en John the Ripper word vir hierdie doel gebruik.
* **Konfigurasie van Roeteparameters:** Dit word deur die _Injection_ oortjie gedoen.
@ -631,7 +631,7 @@ dig @localhost domain.example.com # Test the configured DNS
```
### Plaaslike Poorte
Meerdere roetes na stelsels en netwerke bestaan dikwels. Wanneer 'n lys van MAC-adresse binne die plaaslike netwerk opgebou word, gebruik _gateway-finder.py_ om gasheer te identifiseer wat IPv4-oorplasing ondersteun.
Meerdere roetes na stelsels en netwerke bestaan dikwels. Wanneer 'n lys van MAC-adresse binne die plaaslike netwerk opgestel word, gebruik _gateway-finder.py_ om gasheer te identifiseer wat IPv4-oorplasing ondersteun.
```
root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
@ -651,7 +651,7 @@ gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
```
### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
Vir plaaslike gasheeroplossing wanneer DNS-opsoeke onsuksesvol is, staat Microsoft-stelsels op **Link-Local Multicast Name Resolution (LLMNR)** en die **NetBIOS Name Service (NBT-NS)**. Op soortgelyke wyse gebruik **Apple Bonjour** en **Linux zero-configuration** implementasies **Multicast DNS (mDNS)** om stelsels binne 'n netwerk te ontdek. Vanweë die nie-geverifieerde aard van hierdie protokolle en hul werking oor UDP, wat boodskappe uitsaai, kan dit deur aanvallers uitgebuit word wat daarop gemik is om gebruikers na kwaadwillige dienste te herlei.
Vir plaaslike gasheeroplossing wanneer DNS-opsoeke onsuksesvol is, staat Microsoft-stelsels op **Link-Local Multicast Name Resolution (LLMNR)** en die **NetBIOS Name Service (NBT-NS)**. Net so gebruik **Apple Bonjour** en **Linux zero-configuration** implementasies **Multicast DNS (mDNS)** om stelsels binne 'n netwerk te ontdek. Vanweë die nie-geverifieerde aard van hierdie protokolle en hul werking oor UDP, wat boodskappe uitsaai, kan dit deur aanvallers uitgebuit word wat daarop gemik is om gebruikers na kwaadwillige dienste te herlei.
Jy kan dienste naboots wat deur gashere gesoek word deur Responder te gebruik om vals antwoorde te stuur.\
Lees hier meer inligting oor [hoe om dienste te naboots met Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).
@ -661,14 +661,14 @@ Lees hier meer inligting oor [hoe om dienste te naboots met Responder](spoofing-
Browers gebruik algemeen die **Web Proxy Auto-Discovery (WPAD) protokol om outomaties proxy-instellings te verkry**. Dit behels die verkryging van konfigurasie besonderhede van 'n bediener, spesifiek deur 'n URL soos "http://wpad.example.org/wpad.dat". Die ontdekking van hierdie bediener deur die kliënte kan deur verskeie meganismes plaasvind:
* Deur **DHCP**, waar die ontdekking gefasiliteer word deur 'n spesiale kode 252 inskrywing te gebruik.
* Deur **DNS**, wat behels om te soek na 'n gasheernaam met die etiket _wpad_ binne die plaaslike domein.
* Deur **DNS**, wat behels om 'n gasheernaam met die etiket _wpad_ binne die plaaslike domein te soek.
* Deur **Microsoft LLMNR en NBT-NS**, wat terugvalmeganismes is wat gebruik word in gevalle waar DNS-opsoeke nie slaag nie.
Die hulpmiddel Responder maak voordeel van hierdie protokol deur as 'n **kwaadwillige WPAD-bediener** op te tree. Dit gebruik DHCP, DNS, LLMNR, en NBT-NS om kliënte te mislei om met hom te verbind. Om dieper in te duik in hoe dienste naboots kan word met Responder [kyk hier](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).
Die hulpmiddel Responder maak voordeel van hierdie protokol deur as 'n **kwaadwillige WPAD-bediener** op te tree. Dit gebruik DHCP, DNS, LLMNR, en NBT-NS om kliënte te mislei om met dit te verbind. Om dieper in te duik in hoe dienste naboots kan word met Responder [kyk hier](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).
### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)
Jy kan verskillende dienste in die netwerk aanbied om te probeer om **'n gebruiker te mislei** om sekere **planktekst geloofsbriewe** in te voer. **Meer inligting oor hierdie aanval in** [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**.**
Jy kan verskillende dienste in die netwerk aanbied om te probeer om **'n gebruiker te mislei** om 'n paar **planktekst geloofsbriewe** in te voer. **Meer inligting oor hierdie aanval in** [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**.**
### IPv6 Neighbor Spoofing
@ -700,7 +700,7 @@ mitm6
### sslStrip
Basies wat hierdie aanval doen, is, in die geval dat die **gebruiker** probeer om 'n **HTTP** bladsy te **benader** wat na die **HTTPS** weergawe **herlei**. **sslStrip** sal 'n **HTTP-verbinding met** die **klant** en 'n **HTTPS-verbinding met** die **bediener** **onderhou** sodat dit in staat sal wees om die verbinding in **plank teks** te **sniff**.
Basies wat hierdie aanval doen is, in die geval dat die **gebruiker** probeer om 'n **HTTP** bladsy te **benader** wat na die **HTTPS** weergawe **herlei**. **sslStrip** sal 'n **HTTP-verbinding met** die **klient** en 'n **HTTPS-verbinding met** die **bediener** **onderhou** sodat dit in staat sal wees om die verbinding in **plank teks** te **sniff**.
```bash
apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
@ -709,22 +709,22 @@ sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT
```
More info [here](https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf).
More info [hier](https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf).
### sslStrip+ en dns2proxy vir om HSTS te omseil
### sslStrip+ en dns2proxy om HSTS te omseil
Die **verskil** tussen **sslStrip+ en dns2proxy** teenoor **sslStrip** is dat hulle **herlei** byvoorbeeld _**www.facebook.com**_ **na** _**wwww.facebook.com**_ (let op die **bykomende** "**w**") en die **adres van hierdie domein as die aanvaller se IP** sal stel. Op hierdie manier sal die **klient** met _**wwww.facebook.com**_ **(die aanvaller)** verbind, maar agter die skerms sal **sslstrip+** die **werklike verbinding** via https met **www.facebook.com** **onderhou**.
Die **verskil** tussen **sslStrip+ en dns2proxy** teenoor **sslStrip** is dat hulle **omlei** byvoorbeeld _**www.facebook.com**_ **na** _**wwww.facebook.com**_ (let op die **bykomende** "**w**") en sal die **adres van hierdie domein as die aanvaller se IP** stel. Op hierdie manier sal die **klient** met _**wwww.facebook.com**_ **(die aanvaller)** verbind, maar agter die skerms sal **sslstrip+** die **werklike verbinding** via https met **www.facebook.com** **onderhou**.
Die **doel** van hierdie tegniek is om **HSTS te vermy** omdat _**wwww**.facebook.com_ **nie** in die **kas** van die blaaiers gestoor sal word nie, so die blaaiers sal mislei word om **facebook-akkreditering in HTTP** uit te voer.\
Die **doel** van hierdie tegniek is om **HSTS te vermy** omdat _**wwww**.facebook.com_ **nie** in die **kas** van die blaaier gestoor sal word nie, so die blaaiers sal bedrieg word om **facebook-akkreditering in HTTP** uit te voer.\
Let daarop dat om hierdie aanval uit te voer, die slagoffer aanvanklik moet probeer om toegang te verkry tot [http://www.faceook.com](http://www.faceook.com) en nie https nie. Dit kan gedoen word deur die skakels binne 'n http-bladsy te wysig.
More info [here](https://www.bettercap.org/legacy/#hsts-bypass), [here](https://www.slideshare.net/Fatuo\_\_/offensive-exploiting-dns-servers-changes-blackhat-asia-2014) and [here](https://security.stackexchange.com/questions/91092/how-does-bypassing-hsts-with-sslstrip-work-exactly).
More info [hier](https://www.bettercap.org/legacy/#hsts-bypass), [hier](https://www.slideshare.net/Fatuo\_\_/offensive-exploiting-dns-servers-changes-blackhat-asia-2014) en [hier](https://security.stackexchange.com/questions/91092/how-does-bypassing-hsts-with-sslstrip-work-exactly).
**sslStrip of sslStrip+ werk nie meer nie. Dit is omdat daar HSTS-reëls in die blaaiers gestoor is, so selfs al is dit die eerste keer dat 'n gebruiker 'n "belangrike" domein benader, sal hy dit via HTTPS benader. Let ook daarop dat die gestoor reëls en ander gegenereerde reëls die vlag** [**`includeSubdomains`**](https://hstspreload.appspot.com) **kan gebruik, so die** _**wwww.facebook.com**_ **voorbeeld van voor sal nie meer werk nie, aangesien** _**facebook.com**_ **HSTS met `includeSubdomains` gebruik.**
TODO: easy-creds, evilgrade, metasploit, factory
## TCP luister in poort
## TCP luister op poort
```bash
sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -
@ -752,7 +752,7 @@ sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FI
Soms, as die kliënt nagaan dat die CA 'n geldige een is, kan jy **'n sertifikaat van 'n ander hostname wat deur 'n CA onderteken is, bedien**.\
'n Ander interessante toets is om **'n sertifikaat van die versoekte hostname maar self-onderteken** te bedien.
Ander dinge om te toets, is om te probeer om die sertifikaat te onderteken met 'n geldige sertifikaat wat nie 'n geldige CA is nie. Of om die geldige publieke sleutel te gebruik, te dwing om 'n algoritme soos diffie hellman te gebruik (een wat nie nodig het om enigiets met die werklike private sleutel te ontsleutel nie) en wanneer die kliënt 'n proef van die werklike private sleutel versoek (soos 'n hash) 'n vals proef te stuur en te verwag dat die kliënt dit nie nagaan nie.
Ander dinge om te toets, is om te probeer om die sertifikaat te onderteken met 'n geldige sertifikaat wat nie 'n geldige CA is nie. Of om die geldige publieke sleutel te gebruik, te dwing om 'n algoritme soos diffie hellman te gebruik (een wat nie nodig het om enigiets met die werklike private sleutel te ontsleutel nie) en wanneer die kliënt 'n proef van die werklike private sleutel versoek (soos 'n hash) 'n valse proef te stuur en te verwag dat die kliënt dit nie nagaan nie.
## Bettercap
```bash
@ -784,13 +784,13 @@ wifi.recon on; wifi.ap
Hou in gedagte dat wanneer 'n UDP-pakket na 'n toestel gestuur word wat nie die versoekte poort het nie, 'n ICMP (Port Unreachable) gestuur word.
### **ARP ontdekking**
### **ARP ontdek**
ARP-pakkette word gebruik om te ontdek watter IP's binne die netwerk gebruik word. Die rekenaar moet 'n versoek vir elke moontlike IP-adres stuur en slegs diegene wat gebruik word, sal antwoordgee.
### **mDNS (multicast DNS)**
Bettercap stuur 'n MDNS versoek (elke X ms) wat vra vir **\_services\_.dns-sd.\_udp.local**. Die masjien wat hierdie pakket sien, antwoord gewoonlik op hierdie versoek. Dan soek dit net vir masjiene wat op "services" antwoordgee.
Bettercap stuur 'n MDNS-versoek (elke X ms) wat vra vir **\_services\_.dns-sd.\_udp.local**. Die masjien wat hierdie pakket sien, antwoord gewoonlik op hierdie versoek. Dan soek dit net vir masjiene wat op "services" antwoordgee.
**Gereedskap**
@ -800,15 +800,15 @@ Bettercap stuur 'n MDNS versoek (elke X ms) wat vra vir **\_services\_.dns-sd.\_
### **NBNS (NetBios Naam Bediener)**
Bettercap stuur uitsendings na poort 137/UDP wat vra vir die naam "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".
Bettercap broadcast pakkette na die poort 137/UDP wat vra vir die naam "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".
### **SSDP (Simple Service Discovery Protocol)**
Bettercap stuur SSDP-pakkette uit wat soek na alle soorte dienste (UDP Poort 1900).
Bettercap broadcast SSDP pakkette wat soek na alle soorte dienste (UDP Poort 1900).
### **WSD (Web Service Discovery)**
Bettercap stuur WSD-pakkette uit wat soek na dienste (UDP Poort 3702).
Bettercap broadcast WSD pakkette wat soek na dienste (UDP Poort 3702).
## Verwysings