nmap na veia
Post on 04-Mar-2016
18 Views
Preview:
DESCRIPTION
TRANSCRIPT
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 1/41
NMAP na veiaVerifique primeiro se você já o têm.
#nmap -version
O site do nmap : www.nmap.org é a fonte oficial do namp.
nele você pode baixar o código fonte e os binários donmap e do zenmap.
O código fonte é distribuído em arquivos .tar comprimidoscomo gzip e bzip2, e os binários estão disponíveis
para linux no formato RPM, windows MAC OS X e imagem
de disco .dmg.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 2/41
• Encontre servidores web aleatoriamente "4096"
• #nmap -sS -PS80 -iR 0 -p80
• --------------------------
• utilize a opção --exclude
• ou –excludefile
• -------------------------
• macetes do dns
• host -t ns target.com
• host -t a target.com
• host -t aaa target.com
• host -t mx target.com
• host -t soa target.com
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 3/41
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 4/41
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 5/41
• Uma consulta whois mostra que todo bloco 207.46.0.0/16
• pertence a Microsoft, em seu endereço, "One Microsoft Way",
•
em Redmond.
• Isto lhe dá 65.536 endereços IP para examinar,mas as
• tabelas de BGP expõem muito mais.
• Entidades como Microsoft, Google etc. têm números de
• sistemas autônomos (AS, na sigla em inglês) para fins
• de roteamento.
• Uma ferramenta útil para a determinação do número de AS
• divulgado para um dado endereço IP está disponível
• em http://asn.cymru.com
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 6/41
• Se você deseja encontrar todos endereços IP que são roteadospara um determinado AS.
• Uma ferramenta útil está disponível em
• http://www.robtex.com/as
• experimente digitando AS8075
• Embora a obtenção de informações de BGP a partir de
• formulários web seja bastante conveniente, a obtenção
• de dados de roteamento a partir roteadores reais é mais• divertida e pode permitir consultas personalizadas e
• mais poderosas.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 7/41
• Várias organizações fornece esse serviço.
• Por exemplo, faça telnet para route-views.routeviews.org
•
ou visite http://routeviews.org
• ----------------------------------
• Resolução DNS
•
-n = nenhuma resolução DNS• -R = resolução DNS para todos os alvos
• -PN = examinar todos os IP´s
• -sP = descoberta apenas de hospedeiros
•
-sL = apenas exibir alvo e sair antes de enviar prova• de ping -iL = usar entrada de lista "um arquivo com
• lista de alvos"
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 8/41
• exame de lista: -sL
• O exame de lista é uma forma degenerada de descoberta
• de hospedeiros que simplesmente lista cada hospedeiro
• nas redes especificadas, sem enviar qualquer pacote ao
• hospedeiro alvo.
• Por omissão, o nmap ainda efetua e resolução de DNS
• reverso nos hospedeiros para descobrir os seus nomes.
• O nmap também relata o número total de endereços IP no
• final.
• O exame de lista é um bom cheque de sanidade para
• assegurar que você tem endereços IP apropriados para
• seus alvos.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 9/41
• Se os hospedeiros simularem nomes de domínio que você
• não reconheça, valerá a pena investigar mais além para
•
evitar o exame da rede da companhia errada.
• exemplo de exame de lista:
• #nmap -sL www.clubedohacker.com.br
• -----------------------------------
• Exame por ping -sP
•
Essa opção diz ao nmap para realizar somente um exame• por ping e depois exibir os hospedeiros disponíveis
• que responderem ao exame.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 10/41
• Nenhum outro teste será realizado, com exceção
• de scripts de hospedeiro do mecanismo de scripts do nmap
• "--script" e provas de traceroute "-traceroute"
• se você tiver especificado estas opções.
• exemplo: #nmap -sP -T4 www.clubedohacker.com.br/24
• No exemplo acima enviamos uma solicitação de eco de ICMP
• e um pacote TCP ACK para a porta 80, como usuários sem
• privilégios do unix e sem a biblioteca winpcap instalada no
• Windows não podem enviar esses pacotes crus, um pacote
• SYN é enviado.
• Nesses casos o pacote SYN é enviado usando-se uma chamada
• de conexão TCP do sistema à porta 80 do hospedeiro alvo.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 11/41
• Técnicas de descobertas de hospedeiros
• Ouve um tempo em que a descoberta, se um endereço IP
• estava registrado para um hospedeiro ativo, era fácil
• Simplesmente se enviava um pacote ICMP de requisição
• de eco "ping" e se esperava por uma resposta.
• Os firewalls raramente bloqueavam essas requisições
• e a vasta maioria de hospedeiros respondiam de maneira
• obediente.
• Uma tal resposta era exigida desde 1989 pela RFC 1122,
• que atestava claramente que "Todo hospedeiro deverá
• implementar uma função servidora de eco ICMP que receba
• solicitações de eco e envie correspondente resposta de eco.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 12/41
• Ex: #nmap -sP -PE -R -v microsoft.com citibank.com
• google.com - Aqui usamos um exemplo de ICMP puro do
•
nmap em 3 sites famosos
• As opções
• -sP -PE especificam um explo de ping ICMP puro.
•
-R diz ao nmap para realizar a resolução de DNS reverso• em todos os hospedeiros, mesmo os que estiverem fora do ar.
• --------------------------
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 13/41
• Ping por TCP SYN (-PS<lista de portas>)
• a opção -PS envia um pacote TCP vazio, com o sinalizador
• SYN ligado.
• A porta omissiva de destino é a 80, mas pode ser
• configurada outra porta na hora da compilação,
• bastando pra isso mudar em DEFAULT_TCP_PROBE_PORT_SPEC
• em nmap.h, mas portas alternativas também podem ser
• especificadas como parâmetro.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 14/41
• por exemplo: -PS22,80,113,1050,35000 nos casos em que
• as provas serão executadas em cada porta em paralelo.
• O sinalizador SYN sugere ao sistema remoto que você está• tentando estabelecer uma conexão.
• Normamente a porta de destino estará fechada e um pacote
• RST será enviado de volta.
• Se a porta estiver aberta, o alvo dará o segundo passo de umasaudação TCP de três tempos, respondendo com um
•
pacote TCP SYN/ACK.• A máquina que está rodando o nmap então, corta a conexão
• iniciada, respondendo com um RST, em vez de enviar pacote
• ACK que completaria a saudação de três tempos e estabeleceria a
conexão completa.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 15/41
• O Importante nisso é que o nmap não se preocupa se a
• porta está aberta ou fechada. Qualquer das respostas,
• seja RST ou SYN/ACK confirmará para o nmap que a
• máquina alvo está disponível.
• ex: #nmap -sP -PE -R -v microsoft.com citibank.com
• google.com
• --------------------------------------
• Ping por TCP ACK: -PA<lista de portas>
• O ping por TCP ACK é similar ao ping por SYN, a diferença
• é que o sinalizador de TCP ACK está ligado, no lugar do
• sinalizador SYN.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 16/41
• Um pacote ACK supõe está reconhecendo dados através de
• uma conexão TCP estabelecida, mas essa conexão não
•
existe.
• Assim a máquina alvo deverá sempre responder com um
• pacote RST, revelando sua existência nesse processo.
• A opção -PA usa a mesma porta omissiva que a porta SYN
• (80) mas também pode receber uma lista de portas de
• destino, no mesmo formato.
• A razão para se executar ambas as provas de ping por SYN
• e por ACK é maximizar as chances de ultrapassar
• firewalls.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 17/41
• Muitos administradores configuram roteadores e firewalls
• simples para bloquear pacotes SYN que chegam, exceto por
• aqueles destinados a serviços públicos, como websites ou
• servidor de e-mail etc.
• Isto evita a chegada de outras conexões à empresa,• enquanto permite que os usuários façam conexões de saída
• livremente com a internet.
•ex: nmap -sP -PA www.microsoft.com
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 18/41
• Ping de UDP (-PU<lista de portas)
• Uma outra opção de descoberta de hospedeiros é o ping
• de UDP, que envia um pacote vazio de UDP para as determinadasportas.
• A lista de portas usa o mesmo formato nas opções -PS e -PA, mas
se nenhuma porta for especificada, a omissiva é 31338.
• Esta porta omissiva pode ser configurada na compilação,
• bastando mudar em DEFAULT_UDP_PROBE_PORT_SPEC em
nmap.h.
• Uma porta altamente incomum e usada por omissão porque
• o envio para portas abertas é freqüentemente indesejável
•
para esse tipo de exame.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 19/41
• Ao atingir uma porta fechada na máquina alvo, a prova de
• UDP deverá induzir o retorno de um pacote ICMP de porta
• inalcançável.
• Isto significa para o nmap, que a máquina está no ar e disponível.
• Muitos outros tipos de ICMP, tais como rede ou máquina
• não alcançável ou TTL excedido são indicadores de uma
• máquina fora do ar ou inalcançável.
• A falta de uma resposta também é interpretada desta forma.
• Se uma porta aberta for alcançada, a maioria dos serviços
• simplesmente ignora o pacote vazio e falham em retornar
• qualquer resposta.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 20/41
• É por isso que a porta omissiva da prova é 31338, que é
• altamente improvável de estar em uso.
• Alguns serviços, como o protocolo gerador de caracteres
• (chargen) responderão a um pacote a um pacote a um pacote
• vazio de UDP, e assim, revelarão para o nmap que a
• máquina está disponível.
• A principal vantagem desse tipo de exame é que ele
• dribla firewalls e filtros que só filtram TCP.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 21/41
• Tipos de ping de ICMP (-PE, -PP, e -PM)
• Além dos tipos comuns de descoberta de máquina por TCP e
• UDP, o nmap pode enviar os pacotes padrões enviados pelo
• onipresente programa ping.
• O nmap envia um pacote ICMP tipo 8 (requisição de eco)
• ao alvo, e aguarda por uma resposta de tipo 0 (resposta
• de eco)
• Muitos firewall bloqueiam estes tipos de pacotes, em vez
• de responderem como é a determinação da RFC 1122.
• Por isso que exames de ICMP raramente são confiáveis o
• bastante para alvos desconhecidos pela internet.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 22/41
• Mas para administradores de sistemas monitorando uma
• rede interna, esta pode ser uma abordagem prática e
• eficiente.
• Use a opção -PE para habilitar este comportamento de
• requisição de eco.
• Embora a requisição de eco seja a consulta padrão do
• ping ICMP, o nmap não para por aí.
•
• O padrão ICMP (RFC 792) especifica, também, pacotes de
• requisição de horário, requisição de informação e
• requisição de mascará de endereço, como códigos 13, 15
• e 17, respectivamente.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 23/41
• Embora o propósito ostensivo destas consultas seja tomar
• conhecimentos de informações, tais como mascara de
• endereços e horários correntes, elas podem facilmente
• ser usadas para descoberta de hospedeiro.
• O nmap não implementa atualmente, os pacotes de requisição
• de informações, já que eles não são amplamente suportados.
• (a RFC 1122 insite que um hospedeiro não deve implementar
• estas mensagens).
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 24/41
• As consultas de horário e de mascara de rede podem ser
• enviadas com as opções -PP e PM, respectivamente.
• Uma resposta de horário, "código 14" ou de mascará "código 18"revela que o alvo está disponível.
• Estas duas consultas são valiosas quando os
• administradores bloqueiam os pacotes de requisição de
• eco, mas esquecem que outras consultas de ICMP podem serusadas para o mesmo propósito.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 25/41
• Ping de protocolo IP ( -PO<lista de protocolos>
• Uma nova opção de descoberta de hospedeiro é o ping de
• protocolo IP, que envia pacotes IP com número de• protocolos especificado ajustado em seus cabeçalhos de IP.
• A lista de protocolos usa o mesmo formato das listas de portas das
opções de descoberta de hospedeiro por TCP e UDP.
• Se nenhum protocolo for especificado, por omissão serão enviadosmúltiplos pacotes de IP para ICMP (protocolo 1), IGMP (protocolo 2)e IP-emIP (protocolo 4).
• Os protocolos omissivos pedem ser configurados durante
• a compilação alterando-se DEFAULT_PROTO_PROBE_PORT_SPEC
• em nmap.h.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 26/41
• Este método de descoberta de hospedeiro procura por
• qualquer resposta usando o mesmo protocolo como prova,
• ou mensagens de inalcançável do protocolo ICMP, o que
• significa que tal protocolo não é suportado pelo
• hospedeiro de destino.
• qualquer tipo de resposta significa que a máquina alvo
• está ativa.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 27/41
• Mecanismo de scripts• --script = selecionar um script especifico.• -sC = habilita os scripts mais comuns
• -----------------------------------• Os scripts NSE definem uma lista de categorias a que pertencem.• As categorias atualmente definidas são:
• *auth = autenticação
• - Esses scripts tentam descobrir credenciais de autenticação• no sistema alvo, normalmente através de ataques de força• bruta.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 28/41
• *discovery = descoberta
• - Esses scripts tentam ativamente descobrir mais sobre a
• rede, consultando registros públicos, dispositivos habilitados
• ao SNMP, serviços de diretórios.
• @Ex: html-title que obtém o titulo do caminho na raiz
• de um website.
• @Ex:O smb-enum-shares que enumera compartilhamentos do
• windows.
• @Ex: snmp-sysdescr que extrai detalhes do sistema
• através do SNMP.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 29/41
• *version = versão
• - Os scripts nessa categoria especial são uma extensão
• a funcionalidade da detecção de versão e não podem ser
• selecionados explicitamente.
• Eles são selecionados para execução somente se detecção
• de versão (-sV) for solicitada.
• A saída deles não podem ser distinguidas da saída de
• detecção de versão e eles não produzem resultados
• de scripts de serviços ou de hospedeiros.
• @Ex: são o skypev-2-version, o pptp-version e o iax2-version.
• *vuln = versão
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 30/41
vuln = versão
• -Estes scripts checam vulnerabilidades específicas conhecidas e,geralmente, só reportam resultados se elas forem encontradas.
• @EX: realvnc-auth-bypass e o xampp-default-auth
• ------------------------------------
• *default = omissivo
• - Esses scripts são o conjunto omissivo e são executados quandousamos as opções -sC ou -A, ao invés de listar os scripts com --
script.
• Essa categoria pode ser especificada explicitamente, comoqualquer outra, usando-se --script=default.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 31/41
• *external = externos
• - Os srcipts desta categoria podem enviar dados a bases
•
de dados de terceiros ou outros recursos de rede.
• Um bom exemplo é whois, que faz uma conexão a servidores
• de whois para descobrir informações sobre o endereço do alvo.
• -------------------------------------
• *intrusive = intrusivos
•
- Alguns scripts são muito intrusivos, porque usam recursos• significativos no sistema remoto, podendo até derrubar o sistema ou
serviço.
• Normalmente são percebidos como ataque pelos administradores
•
remotos.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 32/41
• *malware =
• - Estes scripts testam se a plataforma está infectada• por malwares ou backdoors.
• Exemplos incluem o smtp-strangeport, que observa servidores
• SMTP rodando em números de portas incomuns e o auth-spoof • que detecta servidores de simulação de identd que fornecem• uma resposta falsa, antes mesmo de receberem uma consulta.
• Ambos esses comportamentos são associados a infecções• de malwares.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 33/41
• *safe = seguros
• - Scripts que não foram projetados para derrubar serviços,
• usar grande quantidade de largura de banda da rede ou
• outros recursos, ou explorar brechas de segurança são
• categorizados como safe.
• O objetivo da maioria deles é a descoberta gerais de rede.
• @Ex: ssh-hostkey que recupera uma chave de SSH e o
• html-title que captura o titulo de uma página web.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 34/41
• Alguns Argumentos de Linha de Comando
• -sC = habilita os scripts mais comuns
•
-sC = Realiza um exame por script usando o conjunto omissivo• de scripts. É o equivalente de --script=default.
• --script = selecionar um script especifico.
• --script<categoria de script>|<diretório>|
•
<nome do aqruivo>|all• Roda o exame por script da mesma forma que -sC só que usa a
lista separada por virgulas de categorias de script.
• Pode radar script individual ou diretório de scripts.
• --script-args
• Fornece os arqumentos para os scripts.
• --script-updatedb
•
Atualiza a base de dados de scripts.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 35/41
• Descrição dos scripts NSE
• *asn-query-nse
•
Mapeia endereços IP para números de sistemas autônimos• (AS).
• O script funciona enviando consultas TXT de DNS
• a um servodor de DNS que, por sua vez, consulta um
•
serviço de terceiros, fornecido pela Team Cymru team-cymru.org.
• --------------------------------
• *auth-owners.nse
•
Tenta encontrar o proprietário de uma determinada porta• TCP aberta, consultando um servidor de autenticação
• (identd-port 113) que deverá também, está aberto no
• sistema alvo.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 36/41
• *auth-spoof.nse
•
Verifica um servidor identd (autenticação) que estejam• simulando suas respostas.
• Testa se um servidor identd (autenticação) responde com• uma resposta, antes mesmo de nós enviarmos a consulta.
• --------------------------------• *daytime.nse
• Recupera o dia e a hora do serviço UDP daytime.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 37/41
• *dns-random-srcport.nse
• Checa um servidor de DNS com relação a vulnerabilidade
• da recursividade de porta predizível.
• Portas de origem predizíeis podem tornar um servidor
• de DNS vulnerável a ataques de envenenamento de cache.
• --------------------------------• *dns-random-txid.nse
• Checa um servidor DNS pela vulnerabilidade da
• recursividade de DNS de TXID previzível.
• ---------------------------------
• *dns-recursion.nse
• checa se um servidor DNS permite consultas de nome de terceiros.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 38/41
• Espera-se que a recursividade esteja habilitada em seu
• próprio servidor de nomes interno.
•
---------------------------------• *dns-zone-transfer.nse
• solicita uma transferência de zona (AXFR) de um servidor
• de DNS.
• O script envia uma mensagem AXFR a um servidor de DNS.
• O domínio a ser consultado é determinado pelo exame do
• nome dado na linha na linha de comando.
• Se a consulta tiver sucesso, todos os domínios e tipos
• de domínio serão retornados, juntamente com dados
• específicos de tipos comuns (SOA/MX/NS/PTR/A).
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 39/41
• Examine: http://www.zytrax.com/books/dns
• e: http://cr.yp.to/djbdns/axfr-notes.html
• ------------------------------------
• *finger.nse
• Tenta recuperar uma lista de nomes de usuários usando o serviço
finger.• ------------------------------------
• *ftp-anon.nse
• Checa se um servidor de FTP permite logins anônimos.
• ------------------------------------• *ftp-bounce.nse
• Checa se um servidor de FTP permite o exame de portas
• usando o método de rebate de FTP.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 40/41
• *html-title.nse
• Mostra o titulo da página omissiva de um servidor web.
• ------------------------------------
• *http-auth.nse
• Recupera o esquema de autenticação e o território de um
• serviço web que requeira autenticação.
• ------------------------------------
• *http-open-proxy.nse
• Checa se um proxy de http está aberto.
7/21/2019 NMAP Na Veia
http://slidepdf.com/reader/full/nmap-na-veia 41/41
• *http-passwd.nse
• Checa se um servidor web é vulnerável a travessia de
•
diretórios, tentando recuperar /etc/passwd usando vários• métodos de travessia, como pela solicitação
• de /../../../etc/passwd.
•
------------------------------------• *http-trace.nse
• envia uma requisição de HTTP TRACE e mostra os do
• cabeçalho que foram modificados na resposta.
• Essa aula continua no próximo post que farei sobre nmap.
• Adonel Bezerra – www.clubedohacker.com.br
top related