Анализ трафика при пентесте с помощью Above на Kali Linux

В предыдущей статье я рассказывал про MITM-атаку в локальной сети. Сегодня продолжим эту тему и погово­рим о сбо­ре информа­ции при пентесте и о том, какие возможные век­торы атак можно использовать при начальном ана­лизе тра­фика.

Еще по теме: Техники туннелирования при пентесте

Анализ трафика при пентесте с помощью Above на Kali Linux

L2 — это каналь­ный уро­вень компь­ютер­ной сети. Здесь про­исхо­дит ком­мутация кад­ров, сег­мента­ция сети. Ата­ки каналь­ного уров­ня могут быть довольно опас­ными, потому что, про­ник­нув в этот сег­мент, хакер спо­собен нанес­ти огромный урон. А попасть злоумышленник может либо если его туда пус­тили, либо если он обес­печил себя L2-тун­нелем.

Для первоначального анализа трафика мы будем использовать инс­тру­мен­т Above.

Above — автоматизирует поиск сетевых уязвимостей, предназначен для пентестеров, команд Red Team и специалистов по сетевой безопасности.

Установка Above на Kali Linux

Для установки клонируйте репозиторий и установите зависимиости:

Пример использования (полное сканирование):

Первое подключение

Уже после первого подключения к сетевому коммутатору злоумышленник может создать шум в сети. Например, автоматически активизировать NetworkManager с DHCP. Советую не торопиться с активным DHCP, убедитесь, что хотя бы интерфейс находится в состоянии UP.

Стоит также отметить, что DHCP автоматически отправляет имя устройства, получившего адрес. Вся эта будет сохраняться на DHCP-сервере. Это весьма нежелательная ситуация для пентестера, но передачу имени хоста по DHCP можно отключить в файле конфигурации dhcpd.conf:

На скрине выше вы можете видеть передачу имени хоста перед конфигурацией NM.

На скрине выше сокрытие имени хоста системы после конфигурации NMС

Это позволяет скрыть имя хоста системы от DHCP-сервера, просто не передавая его через настройки NetworkManager.

Discovery-протоколы

Discovery-протоколы (протоколы обнаружения) требуются для обмена информацией между устройствами, но в как правило сетевые устройства настроены так, что DP-рассылка происходит практически во все порты коммутатора, что и уменьшает уровень сетевой безопасности. Злоумышленник, получив эти кадры, сможет получить чувствительную информацию об устройствах: тип прошивки, модель устройства, тип адресации.

Выше на скрине информация о CDP, полученная с помощью Above.

ARP/NBNS-разведка

При запус­ке ARP-ска­ниро­вания ты дол­жен иметь в виду, что можешь ока­зать боль­шую наг­рузку на обо­рудо­вание, да и сис­тема Storm Control подаст сиг­нал тре­воги, если ты пре­высишь порог допус­тимого широко­веща­тель­ного тра­фика. Ког­да запус­каешь инс­тру­мент, про­водя­щий ARP-ска­ниро­вание, обя­затель­но нас­трой его ско­рость, то есть чис­ло пакетов в секун­ду.

Рас­простра­нен­ные инс­тру­мен­ты для L2-ска­ниро­вания — это netdiscover и nbtscan. Рекомен­дую вни­матель­но изу­чить все нас­трой­ки и ста­рать­ся не запус­кать эти прог­раммы в режиме «Халк кру­шить».

Для netdiscover в качес­тве пер­вичной раз­ведки хорошо выбирать Passive ARP: инс­тру­мент в авто­ном­ном режиме будет ана­лизи­ровать все ARP-кад­ры вок­руг себя и выс­тра­ивать спи­сок хос­тов.

На скрине выше результат работы пассивного ARP

Обнаружение динамической маршрутизации

Про­токо­лы динами­чес­кой мар­шру­тиза­ции исполь­зуют­ся в каж­дой круп­ной кор­поратив­ной сети и при этом час­то оста­ются без вни­мания с точ­ки зре­ния безопас­ности.

DRP-про­токо­лы исполь­зуют муль­тикас­товую рас­сылку, и, что­бы доб­рать­ся до пакетов этих про­токо­лов, ата­кующе­му необ­ходим имен­но L2-дос­туп (либо физичес­кое под­клю­чение к сети, либо L2-тун­нель пос­ле мероп­риятий пивотин­га). Нап­ример, OSPF для муль­тикас­товой рас­сылки исполь­зует адрес 224.0.0.5, а EIGRP — 224.0.0.10.

Ча­ще все­го DRP-пакеты ходят в поль­зователь­ских сег­ментах баналь­но из‑за того, что не заданы нас­трой­ки пас­сивно­го интерфей­са. Ког­да мар­шру­тиза­тор анон­сиру­ет ту или иную сеть, в ту же сеть отправ­ляют­ся эти пакеты при­ветс­твия. Если ата­кующий доберет­ся до них, то смо­жет под­клю­чить­ся к домену мар­шру­тиза­ции, узнать о сущес­тво­вании тех или иных под­сетей, инъ­екции мар­шру­тов и про­чего.

Вы видите результат обнаружения EIGRP с помощью Above.

Соб­рав эту информа­цию, ата­кующий пой­мет, что в сети исполь­зует­ся динами­чес­кая мар­шру­тиза­ция с небезо­пас­ными нас­трой­ками. Тог­да он может про­вес­ти ата­ку на домен. Счи­тай, еще один век­тор для ата­ки изнутри сети.

Ес­ли этих про­токо­лов нет в тра­фике, зна­чит, в сети нет динами­чес­кой мар­шру­тиза­ции либо нас­тро­ены пас­сивные интерфей­сы.

Обнаружение системы резервирования

FHRP обес­печива­ют отка­зоус­той­чивость на уров­не мар­шру­тиза­ции. Основная идея зак­люча­ется в том, что­бы объ­еди­нить нес­коль­ко мар­шру­тиза­торов в одну логичес­кую груп­пу. Внут­ри нее будет вир­туаль­ный мар­шру­тиза­тор с вир­туаль­ным IP-адре­сом, который будет наз­начать­ся как адрес шлю­за по умол­чанию.

До­мен FHRP может под­вер­гнуть­ся спу­финг‑ата­ке про­тив Master-роуте­ра, при­ори­тет которо­го менее 255. Ата­кующий в таком слу­чае смо­жет стать «челове­ком посере­дине» и перех­ватывать тра­фик всей сети, которую обслу­жива­ют FHRP-спи­керы.

В класс FHRP вхо­дят сле­дующие про­токо­лы:

• HSRP (Hot Standby Redundancy Protocol);
• VRRP (Virtual Router Redundancy Protocol);
• GLBP (Gateway Load Balancing Protocol).

Как и в слу­чае с DRP-пакета­ми, для обна­руже­ния FHRP тоже нужен L2-дос­туп, и этот про­токол тоже исполь­зует муль­тикас­товую рас­сылку:

• HSRP: 224.0.0.2, для вто­рой вер­сии 224.0.0.102 (UDP/1985);
• VRRP: 224.0.0.18;
• GLBP: 224.0.0.102 (UDP/3222).

На скрине информация о присутствии HSRP.

На скрине выше информация о присутствии VRRP.

Та­ким обра­зом ата­кующий получа­ет информа­цию о сис­теме резер­вирова­ния мар­шру­тиза­ции и может про­вес­ти ата­ку.

ПОЛЕЗНЫЕ ССЫЛКИ:

• ICMP-туннелирование при пентесте
• Создание VPN-туннеля на Windows и Linux
• Пентест Active Directory на машине HTB Intelligence