Анализ трафика при пентесте с помощью Above на Kali Linux

Анализ трафика пентест Above Kali Linux

В предыдущей статье я рассказывал про MITM-атаку в локальной сети. Сегодня продолжим эту тему и погово­рим о сбо­ре информа­ции при пентесте и о том, какие возможные век­торы атак можно использовать при начальном ана­лизе тра­фика.

Еще по теме: Техники туннелирования при пентесте

Анализ трафика при пентесте с помощью Above на Kali Linux

L2 — это каналь­ный уро­вень компь­ютер­ной сети. Здесь про­исхо­дит ком­мутация кад­ров, сег­мента­ция сети. Ата­ки каналь­ного уров­ня могут быть довольно опас­ными, потому что, про­ник­нув в этот сег­мент, хакер спо­собен нанес­ти огромный урон. А попасть злоумышленник может либо если его туда пус­тили, либо если он обес­печил себя L2-тун­нелем.

Для первоначального анализа трафика мы будем использовать инс­тру­мен­т Above.

Above — автоматизирует поиск сетевых уязвимостей, предназначен для пентестеров, команд Red Team и специалистов по сетевой безопасности.

Установка Above на Kali Linux

Для установки клонируйте репозиторий и установите зависимиости:

Пример использования (полное сканирование):

Первое подключение

Уже после первого подключения к сетевому коммутатору злоумышленник может создать шум в сети. Например, автоматически активизировать NetworkManager с DHCP. Советую не торопиться с активным DHCP, убедитесь, что хотя бы интерфейс находится в состоянии UP.

Стоит также отметить, что DHCP автоматически отправляет имя устройства, получившего адрес. Вся эта будет сохраняться на DHCP-сервере. Это весьма нежелательная ситуация для пентестера, но передачу имени хоста по DHCP можно отключить в файле конфигурации dhcpd.conf:

Первое подключение пентест

На скрине выше вы можете видеть передачу имени хоста перед конфигурацией NM.

Первое подключение пентест

На скрине выше сокрытие имени хоста системы после конфигурации NMС

Это позволяет скрыть имя хоста системы от DHCP-сервера, просто не передавая его через настройки NetworkManager.

Discovery-протоколы

Discovery-протоколы (протоколы обнаружения) требуются для обмена информацией между устройствами, но в как правило сетевые устройства настроены так, что DP-рассылка происходит практически во все порты коммутатора, что и уменьшает уровень сетевой безопасности. Злоумышленник, получив эти кадры, сможет получить чувствительную информацию об устройствах: тип прошивки, модель устройства, тип адресации.

Discovery протоколы пентест

Выше на скрине информация о CDP, полученная с помощью Above.

ARP/NBNS-разведка

При запус­ке ARP-ска­ниро­вания ты дол­жен иметь в виду, что можешь ока­зать боль­шую наг­рузку на обо­рудо­вание, да и сис­тема Storm Control подаст сиг­нал тре­воги, если ты пре­высишь порог допус­тимого широко­веща­тель­ного тра­фика. Ког­да запус­каешь инс­тру­мент, про­водя­щий ARP-ска­ниро­вание, обя­затель­но нас­трой его ско­рость, то есть чис­ло пакетов в секун­ду.

Рас­простра­нен­ные инс­тру­мен­ты для L2-ска­ниро­вания — это netdiscover и nbtscan. Рекомен­дую вни­матель­но изу­чить все нас­трой­ки и ста­рать­ся не запус­кать эти прог­раммы в режиме «Халк кру­шить».

Для netdiscover в качес­тве пер­вичной раз­ведки хорошо выбирать Passive ARP: инс­тру­мент в авто­ном­ном режиме будет ана­лизи­ровать все ARP-кад­ры вок­руг себя и выс­тра­ивать спи­сок хос­тов.

ARP NBNS разведка

На скрине выше результат работы пассивного ARP

Обнаружение динамической маршрутизации

Про­токо­лы динами­чес­кой мар­шру­тиза­ции исполь­зуют­ся в каж­дой круп­ной кор­поратив­ной сети и при этом час­то оста­ются без вни­мания с точ­ки зре­ния безопас­ности.

DRP-про­токо­лы исполь­зуют муль­тикас­товую рас­сылку, и, что­бы доб­рать­ся до пакетов этих про­токо­лов, ата­кующе­му необ­ходим имен­но L2-дос­туп (либо физичес­кое под­клю­чение к сети, либо L2-тун­нель пос­ле мероп­риятий пивотин­га). Нап­ример, OSPF для муль­тикас­товой рас­сылки исполь­зует адрес 224.0.0.5, а EIGRP — 224.0.0.10.

Ча­ще все­го DRP-пакеты ходят в поль­зователь­ских сег­ментах баналь­но из‑за того, что не заданы нас­трой­ки пас­сивно­го интерфей­са. Ког­да мар­шру­тиза­тор анон­сиру­ет ту или иную сеть, в ту же сеть отправ­ляют­ся эти пакеты при­ветс­твия. Если ата­кующий доберет­ся до них, то смо­жет под­клю­чить­ся к домену мар­шру­тиза­ции, узнать о сущес­тво­вании тех или иных под­сетей, инъ­екции мар­шру­тов и про­чего.

Результат обнаружения EIGRP Above

Вы видите результат обнаружения EIGRP с помощью Above.

Соб­рав эту информа­цию, ата­кующий пой­мет, что в сети исполь­зует­ся динами­чес­кая мар­шру­тиза­ция с небезо­пас­ными нас­трой­ками. Тог­да он может про­вес­ти ата­ку на домен. Счи­тай, еще один век­тор для ата­ки изнутри сети.

Ес­ли этих про­токо­лов нет в тра­фике, зна­чит, в сети нет динами­чес­кой мар­шру­тиза­ции либо нас­тро­ены пас­сивные интерфей­сы.

Обнаружение системы резервирования

FHRP обес­печива­ют отка­зоус­той­чивость на уров­не мар­шру­тиза­ции. Основная идея зак­люча­ется в том, что­бы объ­еди­нить нес­коль­ко мар­шру­тиза­торов в одну логичес­кую груп­пу. Внут­ри нее будет вир­туаль­ный мар­шру­тиза­тор с вир­туаль­ным IP-адре­сом, который будет наз­начать­ся как адрес шлю­за по умол­чанию.

До­мен FHRP может под­вер­гнуть­ся спу­финг‑ата­ке про­тив Master-роуте­ра, при­ори­тет которо­го менее 255. Ата­кующий в таком слу­чае смо­жет стать «челове­ком посере­дине» и перех­ватывать тра­фик всей сети, которую обслу­жива­ют FHRP-спи­керы.

В класс FHRP вхо­дят сле­дующие про­токо­лы:

  • HSRP (Hot Standby Redundancy Protocol);
  • VRRP (Virtual Router Redundancy Protocol);
  • GLBP (Gateway Load Balancing Protocol).

Как и в слу­чае с DRP-пакета­ми, для обна­руже­ния FHRP тоже нужен L2-дос­туп, и этот про­токол тоже исполь­зует муль­тикас­товую рас­сылку:

  • HSRP: 224.0.0.2, для вто­рой вер­сии 224.0.0.102 (UDP/1985);
  • VRRP: 224.0.0.18;
  • GLBP: 224.0.0.102 (UDP/3222).

Анализ трафика пентест Above Kali Linux

На скрине информация о присутствии HSRP.

Изучение трафика пентест Above Kali Linux

На скрине выше информация о присутствии VRRP.

Та­ким обра­зом ата­кующий получа­ет информа­цию о сис­теме резер­вирова­ния мар­шру­тиза­ции и может про­вес­ти ата­ку.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий