NMAP Na Veia

7/21/2019 NMAP Na Veia

http://slidepdf.com/reader/full/nmap-na-veia 1/41

NMAP na veiaVerifique primeiro se você já o têm.

#nmap -version

O site do nmap : www.nmap.org é a fonte oficial do namp.

nele você pode baixar o código fonte e os binários donmap e do zenmap.

O código fonte é distribuído em arquivos .tar comprimidoscomo gzip e bzip2, e os binários estão disponíveis

para linux no formato RPM, windows MAC OS X e imagem

de disco .dmg.



• Encontre servidores web aleatoriamente "4096"

• #nmap -sS -PS80 -iR 0 -p80

• --------------------------

• utilize a opção --exclude

• ou –excludefile

• -------------------------

• macetes do dns

• host -t ns target.com

• host -t a target.com

• host -t aaa target.com

• host -t mx target.com

• host -t soa target.com







• Uma consulta whois mostra que todo bloco 207.46.0.0/16

• pertence a Microsoft, em seu endereço, "One Microsoft Way",

•

em Redmond.

• Isto lhe dá 65.536 endereços IP para examinar,mas as

• tabelas de BGP expõem muito mais.

• Entidades como Microsoft, Google etc. têm números de

• sistemas autônomos (AS, na sigla em inglês) para fins

• de roteamento.

• Uma ferramenta útil para a determinação do número de AS

• divulgado para um dado endereço IP está disponível

• em http://asn.cymru.com



• Se você deseja encontrar todos endereços IP que são roteadospara um determinado AS.

• Uma ferramenta útil está disponível em

• http://www.robtex.com/as

• experimente digitando AS8075

• Embora a obtenção de informações de BGP a partir de

• formulários web seja bastante conveniente, a obtenção

• de dados de roteamento a partir roteadores reais é mais• divertida e pode permitir consultas personalizadas e

• mais poderosas.



• Várias organizações fornece esse serviço.

• Por exemplo, faça telnet para route-views.routeviews.org

•

ou visite http://routeviews.org

• ----------------------------------

• Resolução DNS

•

-n = nenhuma resolução DNS• -R = resolução DNS para todos os alvos

• -PN = examinar todos os IP´s

• -sP = descoberta apenas de hospedeiros

•

-sL = apenas exibir alvo e sair antes de enviar prova• de ping -iL = usar entrada de lista "um arquivo com

• lista de alvos"



• exame de lista: -sL

• O exame de lista é uma forma degenerada de descoberta

• de hospedeiros que simplesmente lista cada hospedeiro

• nas redes especificadas, sem enviar qualquer pacote ao

• hospedeiro alvo.

• Por omissão, o nmap ainda efetua e resolução de DNS

• reverso nos hospedeiros para descobrir os seus nomes.

• O nmap também relata o número total de endereços IP no

• final.

• O exame de lista é um bom cheque de sanidade para

• assegurar que você tem endereços IP apropriados para

• seus alvos.



• Se os hospedeiros simularem nomes de domínio que você

• não reconheça, valerá a pena investigar mais além para

•

evitar o exame da rede da companhia errada.

• exemplo de exame de lista:

• #nmap -sL www.clubedohacker.com.br

• -----------------------------------

• Exame por ping -sP

•

Essa opção diz ao nmap para realizar somente um exame• por ping e depois exibir os hospedeiros disponíveis

• que responderem ao exame.



• Nenhum outro teste será realizado, com exceção

• de scripts de hospedeiro do mecanismo de scripts do nmap

• "--script" e provas de traceroute "-traceroute"

• se você tiver especificado estas opções.

• exemplo: #nmap -sP -T4 www.clubedohacker.com.br/24

• No exemplo acima enviamos uma solicitação de eco de ICMP

• e um pacote TCP ACK para a porta 80, como usuários sem

• privilégios do unix e sem a biblioteca winpcap instalada no

• Windows não podem enviar esses pacotes crus, um pacote

• SYN é enviado.

• Nesses casos o pacote SYN é enviado usando-se uma chamada

• de conexão TCP do sistema à porta 80 do hospedeiro alvo.



• Técnicas de descobertas de hospedeiros

• Ouve um tempo em que a descoberta, se um endereço IP

• estava registrado para um hospedeiro ativo, era fácil

• Simplesmente se enviava um pacote ICMP de requisição

• de eco "ping" e se esperava por uma resposta.

• Os firewalls raramente bloqueavam essas requisições

• e a vasta maioria de hospedeiros respondiam de maneira

• obediente.

• Uma tal resposta era exigida desde 1989 pela RFC 1122,

• que atestava claramente que "Todo hospedeiro deverá

• implementar uma função servidora de eco ICMP que receba

• solicitações de eco e envie correspondente resposta de eco.



• Ex: #nmap -sP -PE -R -v microsoft.com citibank.com

• google.com - Aqui usamos um exemplo de ICMP puro do

•

nmap em 3 sites famosos

• As opções

• -sP -PE especificam um explo de ping ICMP puro.

•

-R diz ao nmap para realizar a resolução de DNS reverso• em todos os hospedeiros, mesmo os que estiverem fora do ar.

• --------------------------



• Ping por TCP SYN (-PS<lista de portas>)

• a opção -PS envia um pacote TCP vazio, com o sinalizador

• SYN ligado.

• A porta omissiva de destino é a 80, mas pode ser

• configurada outra porta na hora da compilação,

• bastando pra isso mudar em DEFAULT_TCP_PROBE_PORT_SPEC

• em nmap.h, mas portas alternativas também podem ser

• especificadas como parâmetro.



• por exemplo: -PS22,80,113,1050,35000 nos casos em que

• as provas serão executadas em cada porta em paralelo.

• O sinalizador SYN sugere ao sistema remoto que você está• tentando estabelecer uma conexão.

• Normamente a porta de destino estará fechada e um pacote

• RST será enviado de volta.

• Se a porta estiver aberta, o alvo dará o segundo passo de umasaudação TCP de três tempos, respondendo com um

•

pacote TCP SYN/ACK.• A máquina que está rodando o nmap então, corta a conexão

• iniciada, respondendo com um RST, em vez de enviar pacote

• ACK que completaria a saudação de três tempos e estabeleceria a

conexão completa.



• O Importante nisso é que o nmap não se preocupa se a

• porta está aberta ou fechada. Qualquer das respostas,

• seja RST ou SYN/ACK confirmará para o nmap que a

• máquina alvo está disponível.

• ex: #nmap -sP -PE -R -v microsoft.com citibank.com

• google.com

• --------------------------------------

• Ping por TCP ACK: -PA<lista de portas>

• O ping por TCP ACK é similar ao ping por SYN, a diferença

• é que o sinalizador de TCP ACK está ligado, no lugar do

• sinalizador SYN.



• Um pacote ACK supõe está reconhecendo dados através de

• uma conexão TCP estabelecida, mas essa conexão não

•

existe.

• Assim a máquina alvo deverá sempre responder com um

• pacote RST, revelando sua existência nesse processo.

• A opção -PA usa a mesma porta omissiva que a porta SYN

• (80) mas também pode receber uma lista de portas de

• destino, no mesmo formato.

• A razão para se executar ambas as provas de ping por SYN

• e por ACK é maximizar as chances de ultrapassar

• firewalls.



• Muitos administradores configuram roteadores e firewalls

• simples para bloquear pacotes SYN que chegam, exceto por

• aqueles destinados a serviços públicos, como websites ou

• servidor de e-mail etc.

• Isto evita a chegada de outras conexões à empresa,• enquanto permite que os usuários façam conexões de saída

• livremente com a internet.

•ex: nmap -sP -PA www.microsoft.com



• Ping de UDP (-PU<lista de portas)

• Uma outra opção de descoberta de hospedeiros é o ping

• de UDP, que envia um pacote vazio de UDP para as determinadasportas.

• A lista de portas usa o mesmo formato nas opções -PS e -PA, mas

se nenhuma porta for especificada, a omissiva é 31338.

• Esta porta omissiva pode ser configurada na compilação,

• bastando mudar em DEFAULT_UDP_PROBE_PORT_SPEC em

nmap.h.

• Uma porta altamente incomum e usada por omissão porque

• o envio para portas abertas é freqüentemente indesejável

•

para esse tipo de exame.



• Ao atingir uma porta fechada na máquina alvo, a prova de

• UDP deverá induzir o retorno de um pacote ICMP de porta

• inalcançável.

• Isto significa para o nmap, que a máquina está no ar e disponível.

• Muitos outros tipos de ICMP, tais como rede ou máquina

• não alcançável ou TTL excedido são indicadores de uma

• máquina fora do ar ou inalcançável.

• A falta de uma resposta também é interpretada desta forma.

• Se uma porta aberta for alcançada, a maioria dos serviços

• simplesmente ignora o pacote vazio e falham em retornar

• qualquer resposta.



• É por isso que a porta omissiva da prova é 31338, que é

• altamente improvável de estar em uso.

• Alguns serviços, como o protocolo gerador de caracteres

• (chargen) responderão a um pacote a um pacote a um pacote

• vazio de UDP, e assim, revelarão para o nmap que a

• máquina está disponível.

• A principal vantagem desse tipo de exame é que ele

• dribla firewalls e filtros que só filtram TCP.



• Tipos de ping de ICMP (-PE, -PP, e -PM)

• Além dos tipos comuns de descoberta de máquina por TCP e

• UDP, o nmap pode enviar os pacotes padrões enviados pelo

• onipresente programa ping.

• O nmap envia um pacote ICMP tipo 8 (requisição de eco)

• ao alvo, e aguarda por uma resposta de tipo 0 (resposta

• de eco)

• Muitos firewall bloqueiam estes tipos de pacotes, em vez

• de responderem como é a determinação da RFC 1122.

• Por isso que exames de ICMP raramente são confiáveis o

• bastante para alvos desconhecidos pela internet.



• Mas para administradores de sistemas monitorando uma

• rede interna, esta pode ser uma abordagem prática e

• eficiente.

• Use a opção -PE para habilitar este comportamento de

• requisição de eco.

• Embora a requisição de eco seja a consulta padrão do

• ping ICMP, o nmap não para por aí.

•

• O padrão ICMP (RFC 792) especifica, também, pacotes de

• requisição de horário, requisição de informação e

• requisição de mascará de endereço, como códigos 13, 15

• e 17, respectivamente.



• Embora o propósito ostensivo destas consultas seja tomar

• conhecimentos de informações, tais como mascara de

• endereços e horários correntes, elas podem facilmente

• ser usadas para descoberta de hospedeiro.

• O nmap não implementa atualmente, os pacotes de requisição

• de informações, já que eles não são amplamente suportados.

• (a RFC 1122 insite que um hospedeiro não deve implementar

• estas mensagens).



• As consultas de horário e de mascara de rede podem ser

• enviadas com as opções -PP e PM, respectivamente.

• Uma resposta de horário, "código 14" ou de mascará "código 18"revela que o alvo está disponível.

• Estas duas consultas são valiosas quando os

• administradores bloqueiam os pacotes de requisição de

• eco, mas esquecem que outras consultas de ICMP podem serusadas para o mesmo propósito.



• Ping de protocolo IP ( -PO<lista de protocolos>

• Uma nova opção de descoberta de hospedeiro é o ping de

• protocolo IP, que envia pacotes IP com número de• protocolos especificado ajustado em seus cabeçalhos de IP.

• A lista de protocolos usa o mesmo formato das listas de portas das

opções de descoberta de hospedeiro por TCP e UDP.

• Se nenhum protocolo for especificado, por omissão serão enviadosmúltiplos pacotes de IP para ICMP (protocolo 1), IGMP (protocolo 2)e IP-emIP (protocolo 4).

• Os protocolos omissivos pedem ser configurados durante

• a compilação alterando-se DEFAULT_PROTO_PROBE_PORT_SPEC

• em nmap.h.



• Este método de descoberta de hospedeiro procura por

• qualquer resposta usando o mesmo protocolo como prova,

• ou mensagens de inalcançável do protocolo ICMP, o que

• significa que tal protocolo não é suportado pelo

• hospedeiro de destino.

• qualquer tipo de resposta significa que a máquina alvo

• está ativa.



• Mecanismo de scripts• --script = selecionar um script especifico.• -sC = habilita os scripts mais comuns

• -----------------------------------• Os scripts NSE definem uma lista de categorias a que pertencem.• As categorias atualmente definidas são:

• *auth = autenticação

• - Esses scripts tentam descobrir credenciais de autenticação• no sistema alvo, normalmente através de ataques de força• bruta.



• *discovery = descoberta

• - Esses scripts tentam ativamente descobrir mais sobre a

• rede, consultando registros públicos, dispositivos habilitados

• ao SNMP, serviços de diretórios.

• @Ex: html-title que obtém o titulo do caminho na raiz

• de um website.

• @Ex:O smb-enum-shares que enumera compartilhamentos do

• windows.

• @Ex: snmp-sysdescr que extrai detalhes do sistema

• através do SNMP.



• *version = versão

• - Os scripts nessa categoria especial são uma extensão

• a funcionalidade da detecção de versão e não podem ser

• selecionados explicitamente.

• Eles são selecionados para execução somente se detecção

• de versão (-sV) for solicitada.

• A saída deles não podem ser distinguidas da saída de

• detecção de versão e eles não produzem resultados

• de scripts de serviços ou de hospedeiros.

• @Ex: são o skypev-2-version, o pptp-version e o iax2-version.

• *vuln = versão



vuln = versão

• -Estes scripts checam vulnerabilidades específicas conhecidas e,geralmente, só reportam resultados se elas forem encontradas.

• @EX: realvnc-auth-bypass e o xampp-default-auth

• ------------------------------------

• *default = omissivo

• - Esses scripts são o conjunto omissivo e são executados quandousamos as opções -sC ou -A, ao invés de listar os scripts com --

script.

• Essa categoria pode ser especificada explicitamente, comoqualquer outra, usando-se --script=default.



• *external = externos

• - Os srcipts desta categoria podem enviar dados a bases

•

de dados de terceiros ou outros recursos de rede.

• Um bom exemplo é whois, que faz uma conexão a servidores

• de whois para descobrir informações sobre o endereço do alvo.

• -------------------------------------

• *intrusive = intrusivos

•

- Alguns scripts são muito intrusivos, porque usam recursos• significativos no sistema remoto, podendo até derrubar o sistema ou

serviço.

• Normalmente são percebidos como ataque pelos administradores

•

remotos.



• *malware =

• - Estes scripts testam se a plataforma está infectada• por malwares ou backdoors.

• Exemplos incluem o smtp-strangeport, que observa servidores

• SMTP rodando em números de portas incomuns e o auth-spoof • que detecta servidores de simulação de identd que fornecem• uma resposta falsa, antes mesmo de receberem uma consulta.

• Ambos esses comportamentos são associados a infecções• de malwares.



• *safe = seguros

• - Scripts que não foram projetados para derrubar serviços,

• usar grande quantidade de largura de banda da rede ou

• outros recursos, ou explorar brechas de segurança são

• categorizados como safe.

• O objetivo da maioria deles é a descoberta gerais de rede.

• @Ex: ssh-hostkey que recupera uma chave de SSH e o

• html-title que captura o titulo de uma página web.



• Alguns Argumentos de Linha de Comando

• -sC = habilita os scripts mais comuns

•

-sC = Realiza um exame por script usando o conjunto omissivo• de scripts. É o equivalente de --script=default.

• --script = selecionar um script especifico.

• --script<categoria de script>|<diretório>|

•

<nome do aqruivo>|all• Roda o exame por script da mesma forma que -sC só que usa a

lista separada por virgulas de categorias de script.

• Pode radar script individual ou diretório de scripts.

• --script-args

• Fornece os arqumentos para os scripts.

• --script-updatedb

•

Atualiza a base de dados de scripts.



• Descrição dos scripts NSE

• *asn-query-nse

•

Mapeia endereços IP para números de sistemas autônimos• (AS).

• O script funciona enviando consultas TXT de DNS

• a um servodor de DNS que, por sua vez, consulta um

•

serviço de terceiros, fornecido pela Team Cymru team-cymru.org.

• --------------------------------

• *auth-owners.nse

•

Tenta encontrar o proprietário de uma determinada porta• TCP aberta, consultando um servidor de autenticação

• (identd-port 113) que deverá também, está aberto no

• sistema alvo.



• *auth-spoof.nse

•

Verifica um servidor identd (autenticação) que estejam• simulando suas respostas.

• Testa se um servidor identd (autenticação) responde com• uma resposta, antes mesmo de nós enviarmos a consulta.

• --------------------------------• *daytime.nse

• Recupera o dia e a hora do serviço UDP daytime.



• *dns-random-srcport.nse

• Checa um servidor de DNS com relação a vulnerabilidade

• da recursividade de porta predizível.

• Portas de origem predizíeis podem tornar um servidor

• de DNS vulnerável a ataques de envenenamento de cache.

• --------------------------------• *dns-random-txid.nse

• Checa um servidor DNS pela vulnerabilidade da

• recursividade de DNS de TXID previzível.

• ---------------------------------

• *dns-recursion.nse

• checa se um servidor DNS permite consultas de nome de terceiros.



• Espera-se que a recursividade esteja habilitada em seu

• próprio servidor de nomes interno.

•

---------------------------------• *dns-zone-transfer.nse

• solicita uma transferência de zona (AXFR) de um servidor

• de DNS.

• O script envia uma mensagem AXFR a um servidor de DNS.

• O domínio a ser consultado é determinado pelo exame do

• nome dado na linha na linha de comando.

• Se a consulta tiver sucesso, todos os domínios e tipos

• de domínio serão retornados, juntamente com dados

• específicos de tipos comuns (SOA/MX/NS/PTR/A).



• Examine: http://www.zytrax.com/books/dns

• e: http://cr.yp.to/djbdns/axfr-notes.html

• ------------------------------------

• *finger.nse

• Tenta recuperar uma lista de nomes de usuários usando o serviço

finger.• ------------------------------------

• *ftp-anon.nse

• Checa se um servidor de FTP permite logins anônimos.

• ------------------------------------• *ftp-bounce.nse

• Checa se um servidor de FTP permite o exame de portas

• usando o método de rebate de FTP.



• *html-title.nse

• Mostra o titulo da página omissiva de um servidor web.

• ------------------------------------

• *http-auth.nse

• Recupera o esquema de autenticação e o território de um

• serviço web que requeira autenticação.

• ------------------------------------

• *http-open-proxy.nse

• Checa se um proxy de http está aberto.



• *http-passwd.nse

• Checa se um servidor web é vulnerável a travessia de

•

diretórios, tentando recuperar /etc/passwd usando vários• métodos de travessia, como pela solicitação

• de /../../../etc/passwd.

•

------------------------------------• *http-trace.nse

• envia uma requisição de HTTP TRACE e mostra os do

• cabeçalho que foram modificados na resposta.

• Essa aula continua no próximo post que farei sobre nmap.

• Adonel Bezerra – www.clubedohacker.com.br

NMAP Na Veia

Documents