Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Lidt sjov med NMAP
02-09-2014, 19:16 (Denne besked var sidst ændret: 04-09-2014, 18:22 af BaltoZ|-|aar.)
#1
Lidt sjov med NMAP
Havde oprindeligt tænkt mig at kalde denne lille frækkert for ’Kedsomhedshacking med NMAP’, da det er en af de utallige ting jeg kan benytte mig af hvis jeg af en eller anden grund ikke har alverden at give mig til. Valgte dog hurtigt at skifte overskrft, da det gik op for mig, at størstedelen nok ville finde dette mere spændende end kedeligt.

EDIT:
Satans. Havde glemt det igen. Har skåret ned fra 35 til 10 billeder! ;)
Blev en halv-lang og rodet smøre, så må lige se om ikke jeg kan indskrænke det lidt.
Har heller ikke stavekontrol på dyret her, så det bliver ordnet senere.

Introduktion
Det er ABSOLUT ikke noget nyt, og min overbevisning er, at mange herinde allerede har været noget lignende igennem. Det er bare sådan, at når man normalt bruger NMAP, så er det for at skanne et målrettet offer (En IP-adresse eller et netværk) - eller også er det for at skanne efter specifikke porte og fejl i diverse services).
Her vil vi nøjes med at skanne efter de mest brugte porte, som benyttes af alle de forskellige enheder som er forbundet til internettet (Om det så er meningen at de skal være det eller ej er en anden sag).

Krav
NMAP – Her bruger vi Zenmap - for at ydnytte den grafiske brugerflade, samt lettere tilgang til tidligere gennemførte skanninger, profiler, plugins osv. http://nmap.org/download.html)
Et styresystem som understøttes af NMAP (Windows, Linux eller Mac)
Zenmap har samme funktioner og brugerflade uafhængig af styresystem, så lige meget hvilket et du foretrækker, vil du stadig være i stand til at følge denne ’tutorial’ uden at afvige fra mine parametre.

Zenmap Vs. Shodan Vs. Google Dorks
Lad os lige få dette på det rene før vi begynder at skanne!

Google Dorks
http://www.exploit-db.com/google-dorks/
Google Dorks er helt sikkert en sjov måde at finde diverse servere, overvågningskameraer, routere osv. med, men der er også nogle småting der gør det mindre attraktivt at benytte:
Citer:- Enhederne skal på forhånd være crawled/cached af Google
- Enhederne må ikke have dynamisk IP
- En million-milliard 1337-HaX0rZ har allerede kendskab til enheder du vil kunne finde igennem Google.

Shodan
http://www.shodanhq.com/
Shodan er et fantastisk projekt, og helt sikkert et jeg har haft min fair andel sjov med. Desværre er flere af de ting der kan ses som uattraktive ved Google Dorks dog også gældende her:
Citer:- Enhederne skal på forhånd være registreret i Shodans database (Hvis enheden var slukket da Shodans skanningsmotor kørte deres ping/banner grab, vil denne enhed være blevet sprunget over)
- Igen må de ikke have dynamisk IP – Så snart de skifter IP vil det kræve at Shodan – tilfældigt – støder på dem igen
- Igen har et HAV af personer allerede kørt listerne igennem uanede gange
- Koster penge hvis du vil mere end bare skimte til et par søgeresultater

Zenmap/NMAP
Med Zenmap skanner vi hele rækker af IP’er, og vil derfor ikke være påvirket af de samme begrænsninger som de 2 ovenstående eksempler. Er en IP online, så ved vi med det samme at der er liv i en enhed af en slags. Kører selvskabet bag forbindelsen med et setup af dynamiske IP’er, så har vi stadig samme problem som før, men det er også en af det eneste negative sider fra de 2 andre metoder vi støder på)

Let’s Do It
Undskylder på forhånd at jeg har fjernet den IP række jeg på nuværende tidspunkt skanner igennem – Det er en guldmine ;)

Citer:Hvis du ikke lige har en liste over danske IP adresser, kan du som udgangspunkt gå til http://www.whatismyip.com/ eller http://myip.dk/ og starte ud med din egen IP. Her kan du så gå op og ned indtil du ikke længere finder resultater der stammer fra en dansk ydbyder. Efter det, kan du begynde at kigge på danske webhost- og email udbydere.

Opsætningen er meget lig den fra min sidste NMAP tutorial, så følgende er gældende:

[Billede: n1.png]


Citer:nmap -p 22,23,80,443,445,8080,5900 --open --script vnc-brute,ssl-heartbleed xx.xx.231-236.1-255

Citer:nmap: Giver sig selv. Det er det program vi kører - resten er parametre.
-p - Dette er portene vi vil skanne efter:
Citer:- 22 (SSH)
- 23 (Telnet)
- 80 (HTTP)
- 443 (HTTPS)
- 445 (SMB)
- 8080 (Alternativ til port 80, bruges af flere forskellige services)
- 5900 (VNC)
--open: Begrænser vores skanningen til KUN at vise resultater med åbne porte. Uden dette vil vi få en væg af tekst med lukkede og firewalled porte.
--script vnc-brute,ssl-heartbleed: Her vælger vi de script der skal testes på alle online maskiner med portene 5900 og/eller 445 åbne. VNC Brute-Force angreb på opsætninger der udelukkende kører med ingen eller svage kodeord (Og ingen brug af brugernavne) og Heartbleed SSL sårbarheden.
xx.xx.231-236.1-255: IP-adresserne der skal skannes efter.
-- Vi kan bare fylde på af de porte der tilhører diverse services vi er interesserede i.
Tag for eksempel et hurtigt kig efter ”POS manual” eller ”Point-of-Sale Manual” eller ”payment terminal manual” på Google – de har i de fleste tilfælde portene stående under setup/konfiguration.


Hvis vi nu er så heldige at støde på en VNC server uden kodeord, vil vi få følgende output af Zenmap:

[Billede: nvnc.png]



(Her kan vi så bruge en hvilket som helst VNC klient / Viewer til at forbinde til værtscomputeren)



Hvorimod hvis vi støder på en forbindelse der endnu ikke er patched mod heartbleed sårbarheden, så vil vi få følgende output:

[Billede: nssl.png]



(Her kan vi så bruge de uendeligt mange Heartbleed scripts til at dumpe hukommelse, hvilket kan være alt fra Kredit Kort, Session, Bruger+Kodeord, Tilfældig HTML osv.)

I langt de fleste tilfælde vil HTTP (port 80) og HTTPS (port 445) dog være de porte vi vil være interesserede i, og hvor vi kan få adgang via vores browser til alle mulige forskellige slags enheder/services.
Og hvis vi nu finder en IP vi gerne vil have lidt ekstra informationer om, såsom styresystem, service-scan og andre åbne porte, så kan vi jo bare kopiere IP adressen ind som ’Target’ og køre f. eks. ’Regular Scan’ eller en af de andre profiler (Eller opsætte vores egen profil).

[Billede: n2.png]



Nu er der ikke rigtig andet at gøre, end at kopiere disse IP’er ind i vores browser, og se hvad vi støder på. Hvis det er SSL/HTTPS, så husk at skrive ’https://’ foran IP’en.
De fleste af disse enheder vil kræve at du logger ind, før du kan ændre indstillinger, se systemstatus eller se live video. Her ville det bedste være at søge efter lige præcis den enhed du er havnet i, efterfulgt af ’default password’. Her er et par eksempler:

Citer:D-Link default password
Linksys default password
CamEye default password

Her er min liste over mest udbredte kodeord – De vil IKKE komme som en overaskelse ;)
Citer:Brugernavn: admin
Citer:’ ’ - Tomt kodeord
’admin’
’1234’
’12345’
’123456’
’4321’
’1111’
‘11111111’



Blandt andet mange DVR eller IPCam enheder kræver forskellige browsere, og plugins. Internet Explorer er meget udbredt blandt kompatible browsere når det kommer til de lidt ældre enheder. Her kræves det man ændrer lidt i IE’s instillinger for at få lov til at installere usignerede drivers og plugins. Det er bare et spørgsmål om at prøve.

Der er sindsygt mange enheder inden for hvad vi kan kalde Danmarks Kritiske Infrastruktur, som ikke burde være frit tilgængeligt over internettet. Alligevel har jeg fundet uhyggeligt mange af disse, og det er direkte fucked-up. Dem får i dog ikke lov at se. Men med et par timers søgning, er jeg sikker på i selv hurtigt vil få øje på hvor udbredt det er. Vi snakker el- og vandværker der står komplet åbne og klar til at blive angrebet.

Hvad kan vi så bruge det til?

En hel række ting. Her er et par eksempler:

Køre din egen DNS server
Og indtaste dennes IP i forskellige routere du finder. Det kan du bruge til at sniffe folks oplysninger, eller inficere dem ved hjælp af BeeF, Metasploit eller et Exploit Kit.


Udspionere folk eller virksomheder
I ville blive FORBLØFFET hvis i vidste hvor mange overvågningssystemer jeg har fundet, hvis eneste formål er at holde vagt over virksomhedens/personens pengeskab – uviddende om at en tredjepart(mig) kan sidde og kigge med når de indtaster/drejer koden ind. Det samme gælder når det kommer til alarmpaneler/tyverialarmer. Disse kan også sidde lige i skudlinien for deres overvågning.


Indbrud/Røverier
Ikke bare alarmpaneler og pengeskabe kan bruges når det kommer til denne type kriminalitet. Hvis du har adgang til et hjems overvågning, har du adgang til deres dagligdag, vaner, husets layout eventuelle steder de gemmer deres egendele.


Voldtægt?
Det er nu ikke noget jeg går særlig meget op i ;)
Men har en lang række kameaer der er opsat i og omkring familiehjem. Der kan jeg se når forældrene tager på arbejde, og efterlader børnene alene indtil de selv skal i skole. Hvis en psykisk syg person får fat i et sådan overvågningsystem, ville han kunne udnytte det til noget meget grimt.


(D)DoS angreb
Alle disse systemer har utrollight dårlig sikkerhed, og hvis du kan DDoS’e eller DoS’e et system, vil f. eks. deres overvågningssystem være ubrugeligt, og forskellige forbrydelser vil kunne begåes uden at du bliver optaget på bånd eller harddisk.


Bruge det til fremtidige angreb
Der er mange muligheder for at bruge disse enheder til fremtidige angreb. Er telnet aktiveret? Er SSH aktiveret, og kan det brute-forces? Kan enhedens firmware opdateres? Og i så fald, kan du finde firmwaren og reverse engineer den? - Langt størstedelen af plugins er usignerede, og der er ingen tjek der sørger for at disse rent faktisk stammer fra det rette sted.
Hvis du kan, kan du inficere browser plugins, køre command injection, installere SSH eller Netcat, aktivere telnet osv.
Når du har adgang til selve enheden, og ikke bare dens interface, er der næsten 100% chance for at du kan få adgang til andre enheder og computere på netværket.
Du kan jo overføre NMAP til enheden, og skanne hele netværket igennem – UDEN at skulle være bekymret for eventuelle firewalls.


Personligt har jeg brugt denne metode til at få adgang til blandt andet POS systemer over alt i landet. Dette har selvfølgelig udelukkende været for ’educational purposes;)

Den letteste var nok en tankstation der brugte admin/admin til deres online DVR system. Dette DVR system tilladte brugeren at opsætte FTP og Telnet adgang til enheden, og brugte igen admin/admin til forbindelsen. Jeg overførte NMAP, og efter ganske få minutter havde jeg adgang til alle terminalerne, som ovenikøbet ikke havde noget der bare mindede om AV eller IDS. Altså var det næsten skæbnen at de ville have mig til at installere Dexter eller BlackPOS...
I et andet tilfælde kunne jeg køre Netcat igennem reverse engineered firmware, og herefter var historien næsten den samme som før.  Har dog også bricked en helvedes masse enheder ved det. Så det er ikke mit første valg.
Og som nævnt før, så har jeg op til flere forskellige kombinationer til diverse pengeskabe fra en håndfuld firmaer – blandt andet en restaurant jeg er blevet lidt forelsket i. Jeg kan desværre ikke vise jer de aller saftigste fangster, men her er lige lidt blandet for at få en idé om hvad man kan få adgang til:

Et casino (Hvor er det?):
[Billede: casino.png]


En kiosk:
[Billede: quick.png]


En restaurrant:
[Billede: rest.png]


Tilfældige hjem:
[Billede: priv1.png]


Lidt blandede routere (Og en IP-telefon):
[Billede: random.png]


En rar mand og en Heat Controller:
[Billede: vibe.png]


Vil lige igen nævne, at dette LANGT fra er det saftigste jeg har fundet, og kun skal opfattes som en lille demonstration. Mulighederne for at begå diverse former for kriminalitet (Også den syge slags) er ubegrænsede når først man har adgang til direkte videoovervågning eller har et fodfæste i netværket!
Find alle beskeder fra denne bruger
Citer denne besked i et svar
02-09-2014, 20:49
#2
RE: Lidt sjov med NMAP
Så også en talk fra defcon hvor en person havde fået adgang til samtlige backends til sportshaller i DK. Her kunne han blandt andet tø skøjtebanen op (Grinern nok midt i en opvisning el. lign.) lege med lyset og aktivere alarmer, sprinklere mm.
Det er flot så mange ting der bare kører med default indstillinger. Underligt at vi ikke er nået længere.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
02-09-2014, 23:01
#3
RE: Lidt sjov med NMAP
Har siddet og leget lidt med det før, og syntes faktisk du kommer ret godt igennem meget af hvad man kan bruge det til :D
God begyndervenlig guide.

Kan også anbefales at tjekke Youtube ud mht. Zenmap guides ;)
Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-09-2014, 07:31
#4
RE: Lidt sjov med NMAP
Fantastisk guide, har ikke rigtigt prøvet at lege med NMAP før men skal da helt klart lige prøve at lege lidt med det her de kommende par dage efter denne guide!
[Billede: rGvl8UM.png]
Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-09-2014, 15:05
#5
RE: Lidt sjov med NMAP
(02-09-2014, 20:49)Doctor Blue Skrev: Så også en talk fra defcon hvor en person havde fået adgang til samtlige backends til sportshaller i DK. Her kunne han blandt andet tø skøjtebanen op (Grinern nok midt i en opvisning el. lign.) lege med lyset og aktivere alarmer, sprinklere mm.
Det er flot så mange ting der bare kører med default indstillinger. Underligt at vi ikke er nået længere.

Prøvede at google lidt, men kunne ikke lige finde en. Så du bliver nød til at smide et link :)
w00t?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-09-2014, 16:14
#6
RE: Lidt sjov med NMAP
(03-09-2014, 15:05)Adam Skrev: Prøvede at google lidt, men kunne ikke lige finde en. Så du bliver nød til at smide et link :)

Jeg tror det er enten Defcon 18 - Shodan For Penetration Testers, eller Defcon 20 - Drinking From the Firehose We Know As Shodan... Jeg er ikke sikker, men med 3.5 GB til resten af måneden er jeg ikke interesseret i at downloade hele defcon taler hvis du forstår ;)
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-09-2014, 17:57 (Denne besked var sidst ændret: 03-09-2014, 17:58 af Adam.)
#7
RE: Lidt sjov med NMAP
(03-09-2014, 16:14)Doctor Blue Skrev: Jeg tror det er enten Defcon 18 - Shodan For Penetration Testers, eller Defcon 20 - Drinking From the Firehose We Know As Shodan... Jeg er ikke sikker, men med 3.5 GB til resten af måneden er jeg ikke interesseret i at downloade hele defcon taler hvis du forstår ;)

Defcon 20 - Dan Tentler - Drinking from the caffeine firehose we know as shodan

Takker, kiggede bare hurtigt deres slides igennem. Men den bliver nok sat på i aften :)
w00t?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-09-2014, 16:49 (Denne besked var sidst ændret: 04-09-2014, 18:20 af BaltoZ|-|aar.)
#8
RE: Lidt sjov med NMAP
Åh ja. Kan godt huske den talk. Vil dog foretrække Zen/NMAP over både Shodan og GD til enhver tid.
Man kunne eventuelt lave en begyndervenlig guide, der kommer ordentligt ind over brugen af Zenmaps forskellige scan types, profiler, plugins osv. - hvornår det er bedst at bruge hvad, og hvad forskellen er på forskellige opsætninger/netværk.
Porte er der ikke så meget at skrive om. Det kommer jo helt an på hvad man leder efter, og hvad ens intentioner er efter man har fundet dem.
Har en lang liste POS porte, som måske ikke lige ville være alt for smart at dele her. De kan alligevel let findes på en times tid.
Port 992 sammen med port 23 kan være være noget så spændende, hvis man støder på et fingerprint der påstår man har at gøre med enten IBM os/XXX eller z/OS. Men her er det man skal begynde at passe lidt på. ;)

Glemte også at nævne, at det kan være en god idé at skanne efter port 3389(RDP). Dette er fjernskrivebordet (Remote Desktop Protocol), og selvom LANGT de fleste resultater ikke vil være andet end ubrugelige servere, vil en mindre andel også være hjemmePC'er, med ingen/svage kodeord eller kodeord-hints.



EDIT:
Lige et par stykker mere for sjovs skyld:

Endnu et casino
[Billede: casino.png]


Et par motionscentre
[Billede: center.png]

[Billede: center2.png]


Et bookingsystem - Med SQLi i GET parametrene
[Billede: room.png]

Denne slags er der også et hav af
[Billede: tv.png]
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-09-2014, 18:15 (Denne besked var sidst ændret: 04-09-2014, 18:16 af Doctor Blue.)
#9
RE: Lidt sjov med NMAP
(04-09-2014, 16:49)BaltoZ|-|aar Skrev: Åh ja. Kan godt huske den talk. Vil dog foretrække Zen/NMAP over både Shodan og GD til enhver tid.
Man kunne eventuelt lave en begyndervenlig guide, der kommer ordentligt ind over brugen af Zenmaps forskellige scan types, profiler, plugins osv. - hvornår det er bedst at bruge hvad, og hvad forskellen er på forskellige opsætninger/netværk.
Porte er der ikke så meget at skrive om. Det kommer jo helt an på hvad man leder efter, og hvad ens intentioner er efter man har fundet dem.
Har en lang liste POS porte, som måske ikke lige ville være alt for smart at dele her. De kan alligevel let findes på en times tid.
Port 992 sammen med port 23 kan være være noget så spændende, hvis man støder på et fingerprint der påstår man har at gøre med enten IBM os/XXX eller z/OS. Men her er det man skal begynde at passe lidt på. ;)

Glemte også at nævne, at det kan være en god idé at skanne efter port 3389(RDP). Dette er fjernskrivebordet (Remote Desktop Protocol), og selvom LANGT de fleste resultater ikke vil være andet end ubrugelige servere, vil en mindre andel også være hjemmePC'er, med ingen/svage kodeord eller kodeord-hints.

Jeg mener heller ikke at Shodan er optimalt, jeg synes bare det var skægt at det lige var danske tjenester han var stødt på. Han er desuden også god til lige at udpensle hvor meget "lort" der ligger frit tilgængeligt på internettet. Hvad angår Point-of-Sale så har du helt ret i at det er noget vi helst ikke diskuterer her :)
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-09-2014, 18:46
#10
RE: Lidt sjov med NMAP
(04-09-2014, 18:15)Doctor Blue Skrev: Jeg mener heller ikke at Shodan er optimalt, jeg synes bare det var skægt at det lige var danske tjenester han var stødt på. Han er desuden også god til lige at udpensle hvor meget "lort" der ligger frit tilgængeligt på internettet. Hvad angår Point-of-Sale så har du helt ret i at det er noget vi helst ikke diskuterer her :)

Ja. Det er sku altid sjovt når sådan noget kommer lidt tættere på en selv. Og ja, folk glemmer at huske, at ens internetforbundne enheder er frit tilgængelige, og ikke bare er opsat til at kunne bruges over det lokale netværk.
Man regner jo ikke med ens egen IP tilfældigvis bliver skannet igennem.
Man bliver dog hurtigt klogere hvis man kigger sin router log igennem.

Roger. Så lader vi lige POS systemer ligge for nu. Ved heller ikke hvordan jeg skulle skrive om dem på en white hat måde. Hvad med mainframes? Det gamle lort bliver stadig benyttet i Stor stil herhjemme.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)