Анализ взлома от А до Я (Часть 2)

Опубликовано: 10 Апреля, 2023

  • Анализ взлома от А до Я (Часть 1)

Теперь мы остановились в первой части, взглянув на последовательность открытия пакетов, отправленных Nmap. Отправляемая последовательность начинается с эхо-ответа ICMP, чтобы убедиться, что компьютеру или сети присвоен IP-адрес. Кроме того, мы смогли предположить, что компьютерная сеть жертвы, вероятно, была сетью на основе Microsoft Windows, основываясь на ttl в пакете эхо-ответа ICMP, который он отправил обратно злоумышленнику. Что мы сейчас сделаем, так это продолжим просмотр оставшихся пакетов в сканировании Nmap и извлечем оставшуюся информацию, которая позволит нам профилировать сеть-жертву.

Двигаемся дальше







Вышеупомянутые два пакета пришли сразу после основанных на ICMP пакетов, которые мы рассмотрели в первой части. Nmap отправил пакет ACK на сетевой IP-адрес жертвы 192.168.111.23 через порт 80. Что касается информации о профилировании, у нас здесь не так много. Мы видели, что пакет ACK, полученный от хакера, вызывал ответный пакет RST, так как этот ACK был неожиданным. По существу это не принадлежало ранее установленной связи. У нас все еще есть ttl 128, что соответствует ttl, который мы видели ранее.










После обмена пакетами ACK и RST мы теперь видим фактический пакет SYN, отправленный хакером в сеть жертвы, о чем свидетельствует пакет с выделенной буквой S. Затем это вызывает пакет SYN/ACK обратно из сети жертвы на ее порт 21. Затем этот обмен завершается пакетом RST, отправленным обратно с компьютера хакера в сеть жертвы. Эти три пакета теперь содержат гораздо более богатую информацию о профилировании.

У нас тот же ttl 128 с компьютера-жертвы, но у нас также есть размер окна 64240. Хотя этого значения нет в списке, на который я ссылался ранее, это действительно размер окна, который я видел много раз раньше на Win32. (32-битные варианты Microsoft Windows, такие как Win NT, 2K, XP и 2K3). Другой определяющей особенностью компьютера Microsoft Windows является предсказуемое увеличение номеров IP-идентификаторов. В этом случае у нас есть только значение IP ID, в данном случае 398 в среднем пакете выше. Нам понадобится как минимум еще один, прежде чем мы сможем с большей уверенностью сказать, что этот компьютер действительно является компьютером с MS Windows. На этой ноте давайте взглянем на оставшиеся пакеты сканирования Nmap.










Первая часть информации, на которую обращает внимание хакер, заключается в том, чтобы увидеть, увеличивается ли номер IP-идентификатора до 399. Этот IP-идентификатор действительно равен 399, как показано в среднем пакете. Обладая этой информацией, хакер совершенно уверен, что имеет дело либо с NT, либо с 2K, либо с XP, либо с 2K3. В этой последовательности пакетов также видно, что порт 80 в сети-жертве, по-видимому, имеет службу, о чем свидетельствует SYN/ACK. Пакет SYN/ACK подтверждается проверкой поля флага в заголовке TCP, в данном случае шестнадцатеричного значение 12 или десятичное число 18. Это значение достигается путем добавления значения 2 флага SYN к значению флага ACK 16.

К перечислению

Теперь, когда хакер знает, что порты 21 и 80 открыты для работы, он переходит к этапу перечисления. Теперь ему нужно знать, какой тип веб-сервера прослушивает соединения. Для него было бы бессмысленно использовать эксплойт Apache на веб-сервере IIS. Имея это в виду, он открывает сеанс cmd.exe и запускает netcat.







Мы можем видеть в приведенном выше синтаксисе netcat или nc.exe, что он вводит IP-адрес жертвы, а также номер порта 80. Как только он нажимает ввод, он вводит HTTP-глагол GET, за которым следует какая-то тарабарщина. Это приводит к тому, что сетевой веб-сервер жертвы отправляет обратно свою системную информацию, поскольку он не понимает запрос. По сути он сам себя перечисляет:-). Итак, теперь хакер знает, что он смотрит на Microsoft IIS 5.0. Действительно отличные новости, так как у него есть множество эксплойтов для этой версии IIS. Все хорошо упаковано в структуру Metasploit.

Заворачивать

После того, как хакер просканировал сеть жертвы с помощью Nmap, хакер получил важную серию пакетов. Как мы видели, внутри этих пакетов было достаточно информации, чтобы хакер мог нанести очень грамотный удар по операционной системе, архитектуре, а с помощью netcat — также по типу сервера.

  • У нас был увеличивающийся идентификационный номер IP, указывающий на MS Windows.
  • У нас был ttl 128, что снова указывает на MS Windows.
  • Значение ttl, равное 128, также указывает на архитектуру Intel x86, например, на SPARC.
  • Затем через netcat мы увидели, что веб-сервером является MS IIS 5.0.

В общем, не плохая информация. Это позволило хакеру составить профиль хоста, архитектуры и предлагаемых услуг. Получив эту информацию, хакер был готов начать атаку на веб-сервер сети жертвы. В третьей части мы увидим именно это. Тогда увидимся.

  • Анализ взлома от А до Я (Часть 1)

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023