RedTomahawk

In questo blog voglio mostrarvi una serie di attacchi che possono essere sferrati a voi o ai sistemi informatci aziendali. Il WWW è ormai diventata la strada digitale per eccellenza. Come nel mondo reale se gli edifici sono ben protetti potremmo sentirci sicuri all'interno delle nostre "mura domestiche", mentre se lasciamo le porte aperte, prima o poi qualcuno proverà ad entrare.

venerdì, marzo 10, 2006

Port-scan fantasma con nmap

Ciao!
Quante volte vi sarà capitato di dover censire le macchine e relativi servizi attivi di una LAN aziendale.... tutti i giorni....

Uno dei problemi principali che ho avuto in questo tipo di assessment è la reazione degli utenti della rete, soprattutto se nella VLAN c'è il gruppo di IT Security.
Infatti le volte che un utente si accorge di essere scansionato, inevitabilmente scoppia il cyber conflitto.
Te ne accorgi della sfilza di payload che iniziano ad arrivarti su tutte le porte...
Per cui sei obbligato a scollegarti o a cambiare MAC e nome macchina o a rimandare la scansione di qualche ora.

Una tecnica valida per evitare di essere individuato, è quella di utilizzare nmap con idlescan.

La modalità Idlescan di nmap permette di sfuttare una macchina zombie da cui far partire le proprie scansioni, in modo che l'host da scansire riceva i pacchetti da una macchina che non sia la nostra.

Il parametro da usare per questo tipo di scansione è :
-sI : Idlescan
quindi:
nmap -vv -P0 -sI 10.10.1.11:23 192.168.0.1-25 -p1720 -T Polite

ovvero, scansioniamo tutte le macchine comprese tra l'indirizzo 192.168.0.1 e l'indirizzo 192.168.0.25 alla ricerca di servizi SIP su protocollo H.323, utilizzando l'host zombie 10.10.1.11 sulla porta 23.

In questo modo le macchine da censire vedranno arrivare le richieste da 10.10.1.11 e noi potremmo stare abbastanza tranquilli:

Starting Nmap 4.01 ( http://www.insecure.org/nmap ) at 2006-03-10 16:51 W. Europe Standard Time
DNS resolution of 1 IPs took 0.22s. Mode: Async [#: 1, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Idlescan using zombie 10.10.1.11 (10.10.1.11:23); Class: Incremental


Attenzione:
La macchina che utilizzaremo come zombie deve essere a riposo in modo da poter spoofare i pacchetti IP.

Le macchine migliori da poter utilizzare sono le stampanti di rete.
Un consiglio: le HP laserjet hanno un web server per l'amministrazione che ci dice proprio che stiamo conversando con una stampante.
Quindi, sempre con nmap, ci facciamo un giretto sulla sola porta 80 della sottorete e individuiamo gli IP con un webserver. Poi ci basta un netcat o un telnet.

Ciao!!!!

0 Comments:

Posta un commento

Links to this post:

Crea un link

<< Home

Statistiche sito,contatore visite, counter web invisibile