Acest articol va oferi o scurtă descriere a unui lucru atât de familiar NetBIOS. Ce informații poate furniza unui potențial atacator/pentester.
Domeniul demonstrat de aplicare a tehnicilor de recunoaștere se referă la rețelele interne, adică izolate și inaccesibile din exterior. De regulă, orice companie chiar și cea mai mică are astfel de rețele.
în sine NetBIOS Folosit de obicei pentru a obține un nume de rețea. Și asta va fi suficient pentru a face cel puțin 4 lucruri.
Descoperirea gazdei
Deoarece NetBIOS poate folosi UDP ca transport, viteza acestuia îi permite să descopere gazde în rețele foarte mari. Deci, de exemplu, un instrument nbtscan, inclus în pachetul cu același nume, poate rezolva adrese de rețea precum 2/192.168.0.0 în doar 16 secunde (poate bloca o rețea), în timp ce o scanare TCP tradițională va dura zeci de minute. Această caracteristică poate fi utilizată ca o tehnică de scanare a gazdei pe rețele foarte mari despre care nu se știe nimic înainte de a rula nmap. Deși rezultatul nu garantează o detectare 100%, deoarece majoritatea gazdelor Windows vor răspunde și nu toate, vă va permite totuși să determinați aproximativ în ce intervale se află gazdele live.
Identificarea gazdei
Utilizarea rezultatelor obținerii de nume de la adrese IP:
puteți vedea: pe lângă faptul că numele dezvăluie proprietarul stației de lucru (deși acest lucru nu se întâmplă întotdeauna, apropo), una dintre adrese se evidențiază clar de celelalte. Putem vedea că numele a fost primit TIMP. Acest comportament este de obicei tipic pentru unix-implementari SMB/NetBIOS ca parte a pachetului software samba sau foarte vechi Windows 2000.
Obținerea unui nume TIMP, în timp ce pe alte gazde estenecunoscut> indică prezența așa-numitului sesiune nulă. Cu setări implicite SMB-servere pornite linux predispus la aceasta. Sesiune nulă vă permite doar să obțineți în mod absolut anonim (și nu am introdus nicio parolă, așa cum puteți vedea în captură de ecran) să obțineți o mulțime de informații suplimentare, cum ar fi politica locală de parole, o listă de utilizatori locali, grupuri și o listă. de resurse partajate (share):
Adesea pe Linux SMB-serverele au partajări accesibile public, nu doar pentru citire, ci chiar și pentru scris. Prezența ambelor reprezintă diverse amenințări, a căror utilizare depășește domeniul de aplicare al acestui articol.
NetBIOS De asemenea, vă permite să obțineți numele tuturor tipurilor pe care le stochează stația de lucru:
în acest caz, acest lucru vă permite să aflați că gazda este și un controler de domeniu ARRIVA.
De asemenea, merită remarcat faptul că NetBIOS vă permite să obțineți mac-abordare. Mai mult, spre deosebire de cererile arp, cererile NetBIOS pot merge dincolo de subrețea. Acest lucru poate fi util dacă, de exemplu, trebuie să găsiți un laptop sau un hardware specific în rețea, cunoscând producătorul acestuia. Încă din primii trei octeți mac-adresele identifica producatorul, apoi puteti trimite similare NetBIOS-interogări către toate subrețelele cunoscute pentru a încerca să găsească dispozitivul dorit (http://standards-oui.ieee.org/oui.txt).
Determinarea apartenenței la domeniu
Adesea, atunci când se deplasează prin rețelele interne ale companiei, este necesar să se atace o stație de lucru care este inclusă într-un domeniu (de exemplu, pentru a ridica privilegiile la nivelul administratorului de domeniu) sau invers. În acest caz NetBIOS din nou, asta ar putea ajuta:
În acest caz, folosind NetBIOS au fost recuperate toate numele de toate tipurile. Printre acestea puteți vedea, pe lângă numele PC-ului (ceea ce a fost deja primit anterior), și numele grupului de lucru. Implicit pentru ferestre de obicei este ceva de genul GRUP DE LUCRU sau IVAN-PC, dar dacă stația de lucru este într-un domeniu, atunci grupul său de lucru este numele domeniului.
Astfel, cu ajutorul NetBIOS puteți afla dacă stația de lucru este într-un domeniu și, dacă da, care.
Dacă trebuie să obțineți o listă de gazde de domeniu dintr-o subrețea, atunci este suficientă o solicitare de difuzare cu numele domeniului dorit:
Ca rezultat, toate gazdele din acest domeniu vor răspunde.
Detectarea gazdelor multihomed
Și în sfârșit, o altă tehnică probabil foarte puțin cunoscută, pentru care pur și simplu este de neînlocuit găsind căi în rețele securizate, poate chiar izolate fizic. Acestea ar putea fi rețele de ateliere de întreprinderi, pline cu controlere. Accesul la această rețea înseamnă pentru un atacator posibilitatea de a influența procesul tehnologic, iar pentru întreprindere riscul de a suferi pierderi colosale.
Așadar, ideea este că, chiar dacă rețeaua este izolată de rețeaua corporativă, de multe ori unii administratori, fie din lene, fie din altceva, le place să instaleze o altă placă de rețea pe computerele lor pentru a accesa chiar această rețea. Mai mult, toate acestea se întâmplă, desigur, ocolind toate regulile firewall-urilor corporative. Convenabil, da, dar nu foarte sigur, dacă ești piratat, atunci vei deveni o punte către această rețea și vei purta responsabilitatea.
Cu toate acestea, există o problemă pentru atacator - să găsească chiar administratorul care s-a alăturat rețelei protejate într-un mod atât de ilegal. În plus, aceasta este o problemă dificilă pentru furnizorii de securitate de rețea înșiși. În întreprinderile mari, aceasta este o sarcină cu adevărat dificilă, cum ar fi găsirea unui ac într-un car de fân.
În această situație, ar exista două opțiuni evidente pentru un atacator:
1. încercați să utilizați fiecare PC din subrețeaua corporativă ca o poartă către rețeaua dorită. Acest lucru ar fi foarte convenabil, dar acest lucru se întâmplă rar, deoarece pe ferestre gazde redirecționare ip aproape întotdeauna cu handicap. Mai mult, o astfel de verificare este posibilă doar în cadrul propriei subrețea și, de asemenea, necesită ca atacatorul să cunoască exact adresa țintă dintr-o rețea izolată.
2. încercați să vă conectați la fiecare gazdă de la distanță și să executați o comandă banală ipconfig/ifconfig. Și aici totul nu este atât de lin. Chiar dacă atacatorul și-a asigurat drepturile unui administrator de domeniu, nimeni nu a anulat firewall-urile și firewall-urile locale. Deci, această sarcină nu este 100% automatizată. Ca urmare, ești lăsat să te conectezi dureros la fiecare gazdă, depășind firewall-urile (blocând adesea portul 445/tcp), în speranța de a vedea în sfârșit interfața de rețea dorită.
Totuși, totul este mult mai simplu. Există un truc extrem de simplu care vă permite să obțineți o listă de interfețe de rețea de la o anumită gazdă. Să presupunem că avem o anumită gazdă:
Aceasta este o adresă IP cu rezoluție inversă → numele rețelei. Dacă acum încercăm să facem o rezoluție directă a numelui rețelei → adresa ip:
apoi aflăm că această gazdă este și o poartă (aparent) pe altă rețea. Este de remarcat faptul că în acest caz cererea a fost difuzată. Cu alte cuvinte, va fi auzit doar de gazdele din subrețeaua atacatorului.
Dacă gazda țintă se află în afara subrețelei, atunci puteți trimite o solicitare vizată:
În acest caz, este clar că ținta se află în afara subrețelei atacatorului. Folosind comutatorul -B, s-a specificat ca cererea să fie trimisă la o anumită adresă, și nu la o adresă de difuzare.
Acum nu mai rămâne decât să colectați rapid informații din întreaga subrețea de interes, și nu de la o singură adresă. Pentru aceasta puteți folosi un mic piton-script:
Și după câteva secunde:
Gazda dedicată, în acest caz improvizat, ar deveni prima țintă a atacatorului dacă ar urma să urmărească rețeaua 172.16.1/24.
Numele repetate pe IP-uri diferite indică faptul că gazda are și două plăci de rețea, dar în aceeași subrețea. Este de remarcat aici că NetBIOS nu dezvăluie alias-s (care poate fi calculat cu ușurință prin cereri arp ca ip cu același mac). În acest caz Adrese IP au diferite mac.
Un alt exemplu de utilizare a acestei tehnici este Wi-Fi-ul public. Uneori puteți întâlni o situație în care, printre dispozitivele oaspeților, personalul care lucrează într-un segment corporativ închis se conectează la o rețea publică. Apoi, cu ajutorul acestei tehnici de recunoaștere, atacatorul va putea foarte repede să-și traseze o cale pentru a intra în rețeaua închisă:
În acest caz, printre cei 65 de clienți Wi-Fi publici, au existat două stații de lucru care aveau o interfață suplimentară, probabil legată de rețeaua corporativă.
Dacă uneori între segmentele de rețea sau direct pe stațiile de lucru există filtrarea traficului pe portul 445/tcp, împiedicând autentificarea de la distanță la sistem (execuția codului de la distanță), atunci în acest caz, pentru a rezolva numele prin NetBIOS este utilizat portul 137/udp, a cărui blocare deliberată nu este aproape niciodată întâlnită, deoarece confortul de a lucra în rețea va avea de suferit foarte mult din cauza asta, de exemplu, mediul de rețea poate dispărea etc.
Cum se spune, enumerarea este cheia
Există vreo protecție împotriva asta? Nu există, pentru că nu este deloc vulnerabilitate. Aceasta este doar funcționalitatea standard a puținului disponibil în mod implicit. ferestre (În linux comportamentul este ușor diferit). Și dacă brusc necoordonat, ocolind regulile de rutare a rețelei, te-ai alăturat unui segment închis, atunci atacatorul te va găsi cu siguranță și o va face foarte repede.
Sursa: www.habr.com
