Hackerlab Неделя 1: Кто там? - port scan и banner grabbing на nmap

[Сергей Попов]

Старт серии: понедельник, 1 июня 20:00. Дедлайн недели: воскресенье, 7 июня, 23:59 МСК. Первая неделя месячного марафона «Сетевая разведка за 30 дней».

Внимание! В конкурсе могут принять участие только те, кто РАНЕЕ не решал или не решил это задание. Флаги, которые сданы раньше 1 июня 20:00 не учитываются в конкурсе.

Recon начинается со стука. Прежде чем эксплуатировать что-либо, нужно знать: какие порты открыты, что за сервисы там сидят, какие версии. На веб-эксплойт уходит 30 минут, на recon с нуля - 2 часа, и большинство новичков начинают сразу со второго шага. Эта неделя - про первый.

Задача недели​

Кто там? - HackerLab, Pentest Machines, 200 очков, retired. Идея в названии: перед тем, как войти, принято стучаться.

Открыть прямо сейчас: hackerlab.pro.

Инструменты этой недели​

Один инструмент, но в четырёх режимах. Если до сих пор запускали nmap <ip> без флагов - на этой неделе разбираемся, что флаги вообще делают.

• nmap -sS <ip> - TCP SYN scan, дефолт пентестера. Быстрее -sT потому что не открывает полное соединение
• nmap -p- <ip> - все 65535 портов. Без этого пропустите сервисы на нестандартных портах
• nmap -sV -sC <ip> - детект версий + дефолтные NSE-скрипты. Возвращает баннеры, основу для CVE-поиска
• nmap -O <ip> - fingerprint операционной системы. Полезно когда выбираете цепочку эксплуатации

Запоминаем не команды, а что делает каждый флаг. Команды можно нагуглить, понимание - нельзя.

Что почитать перед стартом​

• TryHackMe room «Further Nmap» - бесплатная комната, ~2 часа. Если nmap для вас новый - начните отсюда
• PortSwigger Academy: Information Disclosure - не про nmap, но про то, что искать в выводе сканера. Тот же mindset

Обсуждаем в комментариях​

• Какие 3-5 флагов nmap вы запускаете первой командой при работе с новой целью? Почему именно эти?
• -sS vs -sT vs -sU - в каких сценариях имеет смысл переключаться?
• Какие порты, кроме «стандартных 1024», вы обязательно проверяете и почему?

Анти-спойлер: до воскресенья 23:59 МСК - никаких прямых команд, которые ведут к флагу задачи. Обсуждаем инструменты, подходы, ошибки. После дедлайна открываем writeup'ы.

Серия: Сетевая разведка за 30 дней. Следующая неделя - service enumeration на тех самых открытых портах.

 

[r0dd9]

Первая команда на новой цели

nmap -sS -sV -sC -O --open -T3 192.168.2.204

Объяснение флагов:

-sS — полураскрытое (SYN) сканирование. Быстрее и менее шумное, чем -sT
-sV — определение версий сервисов.
-sC — запуск стандартных скриптов NSE (default). Полезны для автоматического обнаружения анонимного FTP, уязвимости HTTP.
-O — определение ОС.
--open — показывает только открытые порты.
-T3 — ускоряет сканирование, не будучи слишком агрессивным.

-sS vs -sT vs -sU — переключаем:

• Если видим, что -sS не работает (например, фаервол фильтрует SYN), переключаемся на -sT.
• Если подозреваем наличие сервисов UDP используем -sU

Кроме «стандартных 1024», проверяю

8080, 8000, 8888, 8443 HTTP(S) Альтернативные веб-порты. Админ-панели, веб-приложения.

 

[Kria]

Посмотреть вложение 83495

Старт серии: понедельник, 1 июня 20:00. Дедлайн недели: воскресенье, 7 июня, 23:59 МСК. Первая неделя месячного марафона «Сетевая разведка за 30 дней».

Recon начинается со стука. Прежде чем эксплуатировать что-либо, нужно знать: какие порты открыты, что за сервисы там сидят, какие версии. На веб-эксплойт уходит 30 минут, на recon с нуля - 2 часа, и большинство новичков начинают сразу со второго шага. Эта неделя - про первый.

Задача недели​

Кто там? - HackerLab, Pentest Machines, 200 очков, retired. Идея в названии: перед тем, как войти, принято стучаться.

Открыть прямо сейчас: hackerlab.pro.

Инструменты этой недели​

Один инструмент, но в четырёх режимах. Если до сих пор запускали nmap <ip> без флагов - на этой неделе разбираемся, что флаги вообще делают.

• nmap -sS <ip> - TCP SYN scan, дефолт пентестера. Быстрее -sT потому что не открывает полное соединение
• nmap -p- <ip> - все 65535 портов. Без этого пропустите сервисы на нестандартных портах
• nmap -sV -sC <ip> - детект версий + дефолтные NSE-скрипты. Возвращает баннеры, основу для CVE-поиска
• nmap -O <ip> - fingerprint операционной системы. Полезно когда выбираете цепочку эксплуатации

Запоминаем не команды, а что делает каждый флаг. Команды можно нагуглить, понимание - нельзя.

Что почитать перед стартом​

• TryHackMe room «Further Nmap» - бесплатная комната, ~2 часа. Если nmap для вас новый - начните отсюда
• PortSwigger Academy: Information Disclosure - не про nmap, но про то, что искать в выводе сканера. Тот же mindset

Обсуждаем в комментариях​

• Какие 3-5 флагов nmap вы запускаете первой командой при работе с новой целью? Почему именно эти?
• -sS vs -sT vs -sU - в каких сценариях имеет смысл переключаться?
• Какие порты, кроме «стандартных 1024», вы обязательно проверяете и почему?

Анти-спойлер: до воскресенья 23:59 МСК - никаких прямых команд, которые ведут к флагу задачи. Обсуждаем инструменты, подходы, ошибки. После дедлайна открываем writeup'ы.

Серия: Сетевая разведка за 30 дней. Следующая неделя - service enumeration на тех самых открытых портах.

Доброго! Считаю что в первую очередь нужно собрать информацию - "а какие вообще порты открыты на целевом сервисе" прежде чем в одну команду пускать скрипты - даже базовые для сбора информации о конфигурациях которые могут спровоцировать IDS/IPS (ну тут скорее смотря в каком контексте мы ставим вопрос - изначально работать по приближённому к Red Team сценарию или упрощённая проверка обычной офисной сети). Ну даже если в рамках обычной проверки:

nmap -sS -p- {target_ip} + можно и по UDP пройтись но учитывая принцип работы этого протокола, пожалуй, хватит только сканирования первых ~100 портов: nmap -sU --top-ports 100 {target_ip}.

Почему не "--open" - потому что всё что могло попасть под filtered будет отброшено в выводе в конце, а такое может быть... По итогу через 1 и 2 прогон мы получаем практически видимость карты сети - TCP и UDP порты которые нас уже чем-то привлекают, и дальнейшие команды по сбору баннеров (-sV) и выполнение NSE сценариев проводить "точечно" по уже известным портам + T2;3 что бы сканирование не было сильно агрессивным.

-p- для того что бы учесть тот момент когда системные администраторы посчитают безопасным спрятать сервис на порт не по умолчанию - все 65535 портов конечно сканировать дольше, но это даёт больше видимости что какой-нибудь там ssh не был спрятан на какой нибудь 34545 порт.

 

[Kria]

Сперва мог изменить текущее сообщение но потом решил написать отдельное "опровержение" пока этого не заметил кто-то из участников форума. Данные команды без sudo работать не будут из-за необходимости работы на низком уровне с сетевыми пакетами, а для этого требуются соответствующие привилегии - это 1-я оговорка в моём ответе и 2) при использовании "sudo nmap .... {target_ip}" флаг -sS используется в автоматическом режиме НО всё ещё привычка прописывать вручную его даже через sudo что бы флаг УЖ ТОЧНО СРАБОТАЛ)))

Уважаемые энтузиасты в этой сфере - внимательнее!

 

[r0dd9]

Уважаемые энтузиасты в этой сфере - внимательнее!

в Kali без sudo все работает, имеется ввиду что это уже настроено в системе видимо, и явно не надо sudo для -sS прописывать
а вы про какую ОС говорили?

 

[Kria]

в Kali без sudo все работает, имеется ввиду что это уже настроено в системе видимо, и явно не надо sudo для -sS прописывать
а вы про какую ОС говорили?

Ну тут момент да... Интересный, я не особо делаю привязку к какой-то конкретной системе/сборке, но в Parrot OS например это так как писал выше)

В каком-то роде в Kali действительно этот процесс настроен, разница всё таки есть:

 

[FSHhx9]

Я обязательно проверяю 3389, 5985, 5986, 8080, 8443, 8000, 8888, 9000 и широкий хвост 49152-65535. Эти диапазоны часто содержат RDP/WinRM, админки, прокси, dev-сервисы и случайно открытые внутренние приложения, которые не попадают в «классический» список.
Отдельно всегда смотрю 53, 67-68, 123, 161, 500, 514 и 1900 на UDP, потому что именно там часто живут базовые сетевые и инфраструктурные сервисы.

 

[r0dd9]

Не для этого задания а вообще как понять что есть IDS/IPS, и чем я могу её спровоцировать?
Какие команды шумные какие нет?
Когда IDS/IPS начинает блокировать атаку, какой там уровень шума или что вообще происходит?)
Где это всё проверить? На metasploitable2 есть IDS/IPS ?
Лабораторию хочу построить на metasploitable2)

 

[r0dd9]

В каком-то роде в Kali действительно этот процесс настроен, разница всё таки есть:

Извечный вопрос kali либо parrot или ставить все что нужно на unix систему самому )

 

[Kria]

Извечный вопрос kali либо parrot или ставить все что нужно на unix систему самому )

Задавался этим вопросом сам долгое время... Даже сидел на обычном Arch с repo blackarch в течении пары лет в качестве основной ОС. Пришёл к мнению что дело вкуса - не сборка делает человека профессионалом) У самого VM с Kali, прекрасно хватает! В качестве основной ОС Kali плохой выбор - тут отдаю предпочтение в сторону Parrot OS Home (даже не в рамках пентеста, а просто чтоб на слабом железе система могла дышать и +- инет сёрфить можно было), либо Arch если тонкую настройку любите или параноидальны - желание самим решать что ставить и по минимализму всё делать. Сборок много... Людей тоже, а от этого и мнений ещё больше, кому-то Ubuntu хватит)

Про Windows-based на подобие Ninjutsu OS всяких шутить воздержусь...

Android и мобильные платформы в целом? Ну... Скрывать не буду проект Nethunter мне нравится, когда то и termux нужен, всякое бывает) Некий вайб возможности сделать что-то такое с почти обычного смартфона который всегда в кармане)

 

[Kria]

Не для этого задания а вообще как понять что есть IDS/IPS, и чем я могу её спровоцировать?
Какие команды шумные какие нет?
Когда IDS/IPS начинает блокировать атаку, какой там уровень шума или что вообще происходит?)
Где это всё проверить? На metasploitable2 есть IDS/IPS ?
Лабораторию хочу построить на metasploitable2)

1) "Не для этого задания а вообще как понять что есть IDS/IPS, и чем я могу её спровоцировать?"
Если мы про тот же nmap то порты что фильтруются вернут filtered состояние в большинстве случаев, nmap приходит к такому решению если в течении определённого количества времени хост не вернут ответ на счёт этого порта - не промолчат и не ответил, а просто проигнорировал - это ассоциация с фильтрацией, трафик просто не прошёл)

2) Какие команды шумные какие нет?
Полное -sT шумное так как ожидается подтверждение что порт открыт и в ответ мы подтверждаем это, но и -sS не панацея скрытности, увы... Если бы средства защиты не улавливали бы такие полуоткрытые сканы то nmap был бы топ 1 утилит (хотя он всё ещё в этих местах и держится). В справке nmap есть подсказки о том как усложнить сканирование, есть способы обмануть системы обнаружения - не всё идеально.

3) Когда IDS/IPS начинает блокировать атаку, какой там уровень шума или что вообще происходит?)

Уровень шума не важен раз система среагировала на аномалию или бурную сетевую активность. Что происходит - что захотят сделать владельцы то и прозойдёт, в большинстве случаев блокируется попытка дальнейшего сканирования, либо просто "закрывается дверь", например если мы вдруг додумается брутить mysql через nmap а там попыток 3-4 после чего IP улетает в бан до РУЧНОЙ разблокировке со стороны сервера то сперва - до брута мы будем видеть на 3306 - "open", а после брута - "filtered", тем самым мы спровоцировали систему и нам закрыли вход)

4) Где это всё проверить? На metasploitable2 есть IDS/IPS ?

Где проверять: играться с suricata/snort или подобными решениями, metasploitable2 изначально задуман как машина которую ЛОМАТЬ нужно, без защит и прочего но вам ничего и никто не мешает модифицировать и как раз таки на базе metasploitable собрать стенд для экспериментов - накатить туже самую suricata/snort и тд и тп

 

[r0dd9]

есть способы обмануть системы обнаружения

По грубому если то это перебор с много ip адресов и смотреть реакцию, может так как-то

Насколько знаю на metasploitable2 есть waf и логирование, похоже это на подобие IDS/IPS?
suricata/snort и тд и тп, не накатывал надо попробовать спасибо за совет.
Как я предполагаю что IDS/IPS срабатывают автоматически с логирование при syn ack трёхстороннем, почему и -sS в nnap называют полуоткрытым и менее шумным.

 

[Kria]

По грубому если то это перебор с много ip адресов и смотреть реакцию, может так как-то

Насколько знаю на metasploitable2 есть waf и логирование, похоже это на подобие IDS/IPS?
suricata/snort и тд и тп, не накатывал надо попробовать спасибо за совет.
Как я предполагаю что IDS/IPS срабатывают автоматически с логирование при syn ack трёхстороннем, почему и -sS в nnap называют полуоткрытым и менее шумным.

1) "По грубому если то это перебор с много ip адресов и смотреть реакцию, может так как-то"

Да, например через использование proxy что бы было много IP адресов, но как упомянул в справке nmap (man nmap) есть подсказки как усложнить системам обнаружения вторжения жизнь)

2) "Насколько знаю на metasploitable2 есть waf и логирование, похоже это на подобие IDS/IPS?"

WAF и IDS/IPS - немного разные технологии, лучше не путать их. Какой бы WAF не был крутым он будет ловить попытки IDOR, SQLi, XSS и прочего web-ского, но не SYN скан в сети, не его полномочия - он для этого не создан)

3) "Как я предполагаю что IDS/IPS срабатывают автоматически с логирование при syn ack трёхстороннем, почему и -sS в nnap называют полуоткрытым и менее шумным."

Что бы не путаться IDS (просто наблюдает, логирует), IPS (видит (логирует) - реагирует, например отбрасывает) - обычно в продукте они работают в паре от одного IDS толку то что оно логирует когда логов сотни тысяч в лучшем случае...

-sS сканирования может не отобразится в логах у служб если вдруг на них настроено логирование только успешных подключений - ACK в ответ не отправляем, значит такой лог просто не запишется.

-sS не спасёт от той же suricata (та же IDS/IPS по нашему выбору) - хорошо умеет с ним работать, на самом деле не нужны дорогие игрушки что бы защитить свою сеть, хватит и опенсорс решений и пары тройки утилиток).