Nmap port skener. Obsah

Transkript

1 Obsah 1 Úvod lockdown Vaše ochrana Nmap - první seznámení O projektu nmap Manuálové stránky Klasifikace přepínačů Výstup do souboru (-oa, -on, -ox, -og) Potlačení DNS překladu (-n) Host discovery - ping probes Jak přeskočit host discovery (-Pn) Ping probes bez port skenu (-sn, -sp) Zkoumání s volbou --packet-trace Definujeme vlastní Ping probe List sken (-sl) pasivní host discovery přes DNS TCP port skeny Rozsahy portů TCP SYN scan(-ss) TCP connect scan (-st) Scénáře s firewallem Mapujeme síť (--traceroute) Traceroute pod lupou Extra úkol Detekce stavového firewallu TCP ACK sken (-sa) - nestavový firewall Pod lupou TCP ACK sken (-sa) - stavový firewall Ohodnocení stavu portu (--reason) TCP skeny FIN, XMAS, NULL a Maimon TCP FIN sken (-sf) TCP Xmas sken (-sx) TCP NULL sken (-sn) TCP Maimon sken (-sm) Vlastní TCP příznaky (--scanflags) TCP Window Size sken (-sw) Pokročilé skenovací techniky...25 Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 2

2 6.1 FTP bounce sken (-b) Idle sken (-si) Predikce hodnot id v IP paketech Prostředník (zombie) Podvrh IP adres UDP port sken Primitivní UDP sken (-su) UDP sken s detekcí služeb (-suv) Detekce verzí služeb (-sv) Intenzita detekce (--version-intensity) Sledování dotazů (--version-trace) Databáze dotazů pro detekci služeb Definice dotazů - probes TCP NULL TCP GenericLines TCP GetRequest Detekce OS (-O) OS detekce s port skenem Verbose mód (-v) Všechny testy v jednom - přepínač (-A) Nmap Scripting Engine (NSE) Nápověda ke skriptům Spuštění skriptu Závěr Příloha 1 Nmap reference...44 Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 3

3 1 Úvod Vítejte v hackerlabu. Tento výukový materiál slouží studentům jako pracovní sešit, který využijete během kurzu jako referenční příručku. 1.1 lockdown Působíme od roku 2013 pod značkou lockdown se zaměřením na penetrační testování a bezpečnost databází Oracle. Více informací naleznete na našem webu Přehled aktuálních hacking kurzů naleznete na Vaše ochrana Získané znalosti z kurzu etického hackingu můžete aplikovat jen na systémech, které přímo vlastníte (případně s písemným souhlasem jejich vlastníka). I dobrý úmysl Vás může přivést do nepříjemné situace. Uvědomte si prosím, že každá komunikace vytváří na síti záznam a překonání i sebemenší obrany může být považováno za trestný čin. Hackerlab je bezpečné prostředí právě pro tyto experimenty. Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 4

4 2 Nmap - první seznámení Pokuste se interpretovat výsledek následujícího výpisu. root@bt:~# nmap Starting Nmap 6.25 ( ) at :51 CEST Nmap scan report for ns.hacker.lab ( ) Host is up (0.024s latency). Not shown: 998 closed ports 53/tcp open domain MAC Address: 00:50:B6:07:30:CF (Good WAY IND. CO.) Nmap done: 1 IP address (1 host up) scanned in 1.20 seconds 2.1 O projektu nmap Nmap je opensource projekt pod licencí GNU. Online dokumentaci najdete na webu Manuálové stránky man nmap 2.3 Klasifikace přepínačů Nmap má příliš mnoho voleb, pokusíme se v nich najít určitý řád. Můžete si zapamatovat, že počáteční písmeno popisuje akci. Je-li přepínač tvořen dvěma písmeny, pak druhé písmeno značí podtyp akce stejné kategorie. Například: -P* pro ping skeny (host discovery), následuje typ ping probe (-PS, -PA). -s* pro skenovací techniky portů, následuje typ skenu (-ss, -st, -su) -o* definuje formát výstupu (-oa, -og, -ox) -i* souvisí se vstupem nebo jeho pořadím (vstup je pro Nmap vždy cílové zařízení, tj. IP adresa nebo doménové jméno, které se následně přeloží na IP adresu za pomocí DNS serveru nebo jiné služby) Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 5

5 2.4 Výstup do souboru (-oa, -on, -ox, -og) Prozkoumejte následující přepínače a obsah vygenerovaných souborů. -on normální -ox XML -os s <ript kiddi3 -og grepovací -oa všechny formáty <prefix_nazvu_souboru> Příklad volání nmap oa nazev-souboru 2.5 Potlačení DNS překladu (-n) nmap n Starting Nmap 6.25 ( ) at :46 CEST Nmap scan report for Host is up (0.041s latency). Not shown: 998 closed ports 53/tcp open domain MAC Address: 00:50:B6:07:30:CF (Good WAY IND. CO.) Nmap done: 1 IP address (1 host up) scanned in 1.20 seconds 3 Host discovery - ping probes Pod pojmem host discovery rozumíme nalezení aktivního zařízení na síti (resp. IP adresy). Pokusy, které vedou k odhalení takového zařízení, se označují jako ping probes. Cílem host discovery je odpověď, zda je zařízení online (host up) offline (host down). 3.1 Jak přeskočit host discovery (-Pn) Nmap bez dalších voleb provádí vždy nejdříve host discovery a pro aktivní IP adresy následně skenuje porty. Pokud selže host discovery, port sken se nespustí. Chceme-li toto chování potlačit a skenovat porty bez host discovery, použijeme přepínač -Pn. Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 6

6 nmap -ss p 22 -n -Pn --packet-trace Starting Nmap 6.25 ( ) at :47 CEST SENT (0.0810s) TCP :44848 > :22 S ttl=53 id=22681 iplen=44 seq= win=1024 <mss 1460> RCVD (0.0893s) TCP :22 > :44848 SA ttl=63 id=28 iplen=44 seq= win=5840 <mss 1460> Nmap scan report for Host is up (0.0084s latency). Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds 4.3 TCP connect scan (-st) nmap -st Starting Nmap 6.25 ( ) at :46 CEST Nmap scan report for Host is up (0.086s latency). Not shown: 997 closed ports 111/tcp open rpcbind 6000/tcp open X11 Nmap done: 1 IP address (1 host up) scanned in seconds Prozkoumáme sken podrobněji s volbou packet-trace. nmap -st p 22 -n -Pn --packet-trace Starting Nmap 6.25 ( ) at :50 CEST CONN (0.0594s) TCP localhost > :22 => Operation now in progress Nmap scan report for Host is up (0.0040s latency). Nmap done: 1 IP address (1 host up) scanned in 0.06 seconds Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 12

7 5.3.3 TCP NULL sken (-sn) Všechny příznaky u TCP segmentu jsou vypnuty. nmap -sn Starting Nmap 6.25 ( ) at :35 CEST Nmap scan report for webcenter.corp.org ( ) Host is up (0.080s latency). All 1000 scanned ports on webcenter.corp.org ( ) are open filtered Nmap done: 1 IP address (1 host up) scanned in seconds Vidíme dva odeslané TCP segmenty. nmap -sn p80 -n -Pn --packet-trace --reason Starting Nmap 6.25 ( ) at :44 CEST SENT (0.0885s) TCP :36479 > :80 ttl=47 id=12473 iplen=40 seq= win=1024 SENT (1.0903s) TCP :36480 > :80 ttl=56 id=64571 iplen=40 seq= win=1024 Nmap scan report for Host is up, received user-set. REASON 80/tcp open filtered http no-response Nmap done: 1 IP address (1 host up) scanned in 2.09 seconds V síťovém filtru wireshark si můžeme ověřit, že příznaky (flags) jsou nulové. Internet Protocol Version 4, Src: ( ), Dst: ( ) Transmission Control Protocol, Src Port: (40312), Dst Port: 80 (80), Seq: 1, Len: 0 Flags: 0x000 (<None>) = Reserved: Not set = Nonce: Not set = Congestion Window Reduced (CWR): Not set = ECN-Echo: Not set = Urgent: Not set = Acknowledgment: Not set = Push: Not set = Reset: Not set = Syn: Not set = Fin: Not set Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 21

8 8.2 Sledování dotazů (--version-trace) nmap -sv p version-trace --version-intensity 1 -n -Pn Starting Nmap 6.25 ( ) at :32 CEST Timing report hostgroups: min 1, max rtt-timeouts: init 1000, min 100, max max-scan-delay: TCP 1000, UDP 1000, SCTP 1000 parallelism: min 0, max 0 max-retries: 10, host-timeout: 0 min-rate: 0, max-rate: NSE: Using Lua 5.2. NSE: Loaded 19 scripts for scanning. Packet capture filter (device eth0): dst host and (icmp or icmp6 or ((tcp or udp or sctp) and (src host ))) Overall sending rates: packets / s, bytes / s. NSOCK (0.1990s) nsi_new (IOD #1) NSOCK (0.2000s) TCP connection requested to :5357 (IOD #1) EID 8 NSOCK (0.2030s) Callback: CONNECT SUCCESS for EID 8 [ :5357] Service scan sending probe NULL to :5357 (tcp) NSOCK (0.2030s) Read request from IOD #1 [ :5357] (timeout: 6000ms) EID 18 NSOCK (6.2040s) Callback: READ TIMEOUT for EID 18 [ :5357] Service scan sending probe GenericLines to :5357 (tcp) NSOCK (6.2040s) Write request for 4 bytes to IOD #1 EID 27 [ :5357]:... NSOCK (6.2040s) Read request from IOD #1 [ :5357] (timeout: 5000ms) EID 34 NSOCK (6.2040s) Callback: WRITE SUCCESS for EID 27 [ :5357] NSOCK ( s) Callback: READ TIMEOUT for EID 34 [ :5357] NSOCK ( s) nsi_delete (IOD #1) NSOCK ( s) nsi_new (IOD #2) NSOCK ( s) TCP connection requested to :5357 (IOD #2) EID 40 NSOCK ( s) Callback: CONNECT SUCCESS for EID 40 [ :5357] Service scan sending probe GetRequest to :5357 (tcp) NSOCK ( s) Write request for 18 bytes to IOD #2 EID 51 [ :5357]: GET / HTTP/ NSOCK ( s) Read request from IOD #2 [ :5357] (timeout: 4999ms) EID 58 NSOCK ( s) Callback: WRITE SUCCESS for EID 51 [ :5357] NSOCK ( s) Callback: READ SUCCESS for EID 58 [ :5357] (513 bytes) Service scan match (Probe GetRequest matched with GetRequest line 6164): :5357 is http. Version: Microsoft HTTPAPI httpd 2.0 SSDP/UPnP NSOCK ( s) nsi_delete (IOD #2) NSE: Script scanning NSE: Starting runlevel 1 (of 1) scan. Nmap scan report for Host is up (0.025s latency). Scanned at :32:11 CEST for 11s Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 35

9 Některé skripty potřebují i další volby pro svůj běh, což většinou vypozorujeme z dokumentace. Například skript firewalk vyžaduje navíc ještě přepínač -traceroute. nmap -sv --script=firewalk traceroute -p Starting Nmap 6.25 ( ) at :10 CEST Nmap scan report for Host is up (0.0085s latency). Not shown: filtered ports VERSION 21/tcp closed ftp OpenSSH 3.9p1 (protocol 1.99) 80/tcp open http Apache httpd ((CentOS)) 443/tcp open ssl/http Apache httpd ((CentOS)) Host script results: firewalk: HOP HOST PROTOCOL BLOCKED PORTS tcp 0,8 _ tcp 1-7,9 TRACEROUTE (using port 21/tcp) HOP RTT ADDRESS ms ms ms Service detection performed. Please report any incorrect results at Nmap done: 1 IP address (1 host up) scanned in seconds 11 Závěr Nmap je komplexní nástroj a v kurzu jsme prozkoušeli jeho základní i pokročilé možnosti. Úmyslně jsme vypustili některé detaily pro udržení pozornosti (např. sekce časování a výkon, IPv6, Decoy sken). Soustředili jsme se na pozorování. Získáné závěry jsme přeměnili na zkušenosti, které využijete i s jinými port skenery. Nmap je jistě kvalitní nástroj, ale to neznamená, že se hodí ve všech situacích. Pokud jste objevili další otázky nebo souvislosti, nezapomeňte se o ně podělit a navštivte naše diskusní fórum Věříme, že se vám kurz líbil, a budeme se těšit na další setkání. Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 43