Профилирование операционной системы (часть 3)

Профилирование операционной системы, часть III

Мы завершили вторую часть, запустив те же критерии тестирования пакетов SYN, RST и ACK для Windows XP Pro. Возвратный стимул или его отсутствие был таким же, как и у коробки с Windows 2000 Pro. В этой третьей части мы попробуем это на компьютере с Windows 2003 Standard. После этого мы перейдем к другому методу определения операционной системы Windows или Win32 (Windows NT/2000/XP/2003).

На шоу

Итак, теперь мы отправим пакет SYN на стандартную коробку W2K через его TCP-порт 135. Синтаксис, используемый в Hping, следующий:

Это отправит пакет SYN, как указано «-S», на IP-адрес «192.168.1.106» на TCP-порту 135, как показано в «-p 135», и, наконец, будет отправлен только один пакет «-c 1». ». На мой взгляд, способность отправлять точное количество пакетов является одной из определяющих особенностей Hping. Это дает пентестеру возможность быть скрытным и сливаться с сетевым трафиком при выполнении пентеста. Ниже отмечены SYN/ACK, возвращенные из коробки W2K3, и ответ ноутбука на этот пакет. Давайте посмотрим на это ниже.

В приведенном выше пакете мы видим, как блок W2K3 отвечает на свой порт 135 с помощью SYN/ACK на ноутбук. Так и должно быть, поскольку есть служба, прослушивающая порт 135. Подчеркнутые части «S» и «ack» говорят вам, что этот пакет является пакетом SYN/ACK, как и подчеркнутое мной «12». Это шестнадцатеричное значение «12» разбивается на 18 в десятичном виде и представляет как SYN, так и ACK, установленные в поле флагов в заголовке TCP.

Теперь мы видим в этом пакете, что ноутбук отправляет пакет RST обратно в коробку W2K3. Почему это происходит? В конце концов, он отправил пакет SYN на устройство W2K3, которое, в свою очередь, правильно ответило пакетом SYN/ACK. Что ж, он вернул пакет RST, поскольку на ноутбуке не было ничего, что пыталось бы инициировать трехстороннее рукопожатие TCP / IP. Все, что было отправлено, было пакетом SYN. Не было соответствующего ACK для SYN/ACK W2K3, следовательно, пакета RST. По сути, то, что мы увидели, — это типичное сканирование SYN-пакетов. Наконец, вы заметите, что пара портов 135 и 2607 остается неизменной в течение сеанса между двумя компьютерами. Это тоже так и должно быть. Порты изменятся, если сеанс будет завершен и будет предпринята еще одна попытка связи.

Теперь для краткости скажу, что коробка W2K3 реагировала на RST и ACK так же, как и W2K и XP Pro. Ответа на RST не было, а на пакет ACK ответил RST. Так что, по сути, W2K, XP и W2K3 реагировали на стимул одинаково. Вариаций не обнаружено. Хотя тестирование не было обширным, до сих пор мы не нашли отличительных признаков, позволяющих отличить их друг от друга. Это не значит, что при другом творческом зондировании мы не смогли найти каких-то отличий. На этой ноте я бы посоветовал вам попробовать некоторые творческие исследования. Теперь мы перейдем к другому методу идентификации компьютера Win32. Это влечет за собой отправку серии пакетов на компьютер, чтобы увидеть, предсказуемо ли увеличивается номер IP-идентификатора (IP ID). В случае Win32 он будет увеличиваться на единицу. Давайте попробуем.

Теперь мы можем видеть в пакетах, показанных ниже, что номера IP ID действительно увеличиваются предсказуемо. Эту странность первым заметил создатель Hping Сальваторе Санфиллипо и сообщил в Microsoft. По сей день Microsoft еще не исправила это. Эта предсказуемость полезна при проведении так называемого «сканирования вслепую».

Итак, мы видим, что эти номера IP ID определенно увеличиваются предсказуемым образом. Обратите внимание, что я не вставил SYN-пакеты с ноутбука, из-за которого были созданы эти SYN/ACK-пакеты.

Заворачивать

Чему мы научились? Что ж, мы увидели, что с небольшим творческим подходом к созданию пакетов и некоторой информацией из Интернета, как показано в гиперссылке в первой части, мы можем сделать довольно хорошее предположение о том, какую операционную систему мы рассматриваем. Вот что я имею в виду под архитектурным профилированием. Windows и, в частности, варианты Win32, имеют значение ttl по умолчанию, равное 128, и другие конкретные показатели стека TCP/IP. Используя эти метрики, вы можете сказать, что знаете, что указанная операционная система является Win32, то есть SPARC, которая имеет более низкий ttl 64, а также другие отличия. В четвертой части этой серии мы продолжим профилирование хоста. Вы увидите, что именно вы можете извлечь из NBTSTAT, и вам покажут, как читать эту информацию. Знание того, как понимать вывод NBTSTAT, может быть очень полезным для вас как пен-тестера. В конце концов, нет смысла атаковать компьютер с кодом эксплойта IIS 5, если это всего лишь простая рабочая станция. На этой ноте скоро увидимся.

• Профилирование операционной системы (часть 4)