<![CDATA[Latest posts for the topic "Bản Lược dịch Hacking Expose 4th PHẦN I"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Bản Lược dịch Hacking Expose 4th PHẦN I Bản Lược dịch Hacking Expose: Network Security Secret&Solutions 4th PHẦN MỘT Chương 1: Footprinting. (tạm dịch là thu thập thông tin mục tiêu hoặc in dấu ấn) Trước khi 1 hacker bắt đầu thực hiện một công việc gì đó, có 3 bước quan trọng cần phải thực hiện. Trong chương này sẽ phân tích bước đầu tiên đó là footprinting, đây là một nghệ thuật thu thập thông tin, Ví du: một băng cướp muốn cướp một ngân hàng, thay vì việc đi thẳng vào ngân hàng chĩa họng súng đen ngòm vào các nhân viên thu ngân và yêu cầu số tiền chúng muốn cướp (phương pháp này không phải là tối ưu) bằng việc chúng thu thập các thông tin về ngân hàng đó như các xe luân chuyển, các lần chuyển tiền, các ống kính theo dõi, các số điện thoại, lối ra, hệ thống bảo vệ… và các yếu tố khác giúp cho việc cướp ngân hàng được thành công trọn vẹn. Một hacker muốn thành công trong việc thâm nhập hệ thống họ cũng phải bỏ nhiều thời gian và công sức để thu thập càng nhiều các thông tin về mục tiêu mà họ muốn tấn công càng tốt. Các hacker sẽ phải thu thập các thông tin như: các mô tả của tổ chức đó trên internet, hệ thống bảo vệ, truy cập từ xa, hệ thống mạng trong, ngoài, footprinting…. và với những thông tin họ có được, họ sẽ mô hình hoá về hệ thống họ muốn tấn công một cách cụ thể. 1.1. Footprinting là gì??? Hệ thống hoá các thông tin mục tiêu của tổ chức mà kẻ tấn công có thể xâm nhập, sơ lược các đặc điểm bảo mật của hệ thống bằng cách sử dụng các công cụ, các kỹ thuật… và đưa ra số lượng không cụ thể lắm về dung lượng đường truyền kết nối internet của mục tiêu, giảm đi đáng kể số lượng các domain mục tiêu, các mạng trong, các dải địa chỉ IP hoặc các hệ thống trực tiếp ra internet. Tuy nhiên có rất nhiều kiểu thu thập thông tin mục tiêu footprinting nhưng họ thường chú ý đến các thông tin quan trọng như sau: Công nghệ Xác định Mạng Internet Domain Các khối mạng Địa chỉ IP đặc biệt của hệ thống kết nối ra internet Các dịch vụ TCP, UDP chạy độc lập trên từng hệ thống Cấu trúc hệ thống Kỹ thuật truy cập, điều khiển và danh sách liên quan đến truy cập và điều khiển. Hệ thống phát hiện xâm nhập. Hệ thống liệt kê (người dùng và nhóm người dùng, hệ thống quan trọng, hệ dẫn đường, định tuyến và thông tin về SNMP) Mạng LAN Giao thức mạng được sử dụng (IP, ĨP, DecNet…) Tên miền của mạng LAN. Các khối mạng Địa chỉ IP đặc biệt của hệ thống kết nối ra internet Các dịch vụ TCP, UDP chạy độc lập trên từng hệ thống Cấu trúc hệ thống Kỹ thuật truy cập, điều khiển và danh sách liên quan đến truy cập và điều khiển. Hệ thống phát hiện xâm nhập. Hệ thống liệt kê (người dùng và nhóm người dùng, hệ thống quan trọng, hệ dẫn đường, định tuyến và thông tin về SNMP) Truy nhập từ xa Tín hiệu/số điện thoại Kiểu truy cập từ xa Kỹ thuật nhận dạng Mạng ảo và các giao thức liên quan (Ipsecurity và PPP) Mạng WAN Kết nối nguyên bản và điểm truy cập Kiểu truy cập Kỹ thuật truy cập Kỹ thuật thu thập thông tin mục tiêu rất cần thiết để hệ thống hoá và phương pháp hoá nhằm mục đích rằng tất cả các thông tin đã kể trên được xác định rõ ràng. Nếu thiếu phương pháp này, bạn dường như đã bỏ qua mục thông tin quan trọng liên quan đến các đặc tính kỹ thuật của mục tiêu. Thu thập thông tin mục tiêu thường là một bước khó khăn khi xác định về thực tế bảo mật của hệ thống. Tuy nhiên nó vẫn là một phần quan trọng không thể thiếu được. 1.2. Thu thập thông tin mục tiêu trên Internet. Có rất nhiều kỹ thuật khác nhau để thu thập thông tin mục tiêu trên (internet&intranet), trong chương này chúng tôi chỉ tập trung vào thu thập thông tin mục tiêu qua kết nối interent. Truy nhập từ xa sẽ được đề cập lại chi tiết trong chương 8. Một điều rất khó khi cung cấp, hướng dẫn từng bước một về thu thập thông tin mục tiêu bởi vì nó là một bước mà có thể dẫn bạn đến vài ba hướng khác nhau. Tuy nhiên, trong chương này chỉ mô tả các bước cơ bản giúp bạn có thể hoàn thành, phân tích thu thập thông tin mục tiêu. Có rất nhiều các biện pháp đã được ứng dụng và các biện pháp này đã được đề cập sớm hơn. Xác định phạm vi hoạt động của bạn Mục đầu tiên là xác định phạm vi hoạt động, mức độ thu thập thông tin về mục tiêu. Bạn phải biết được các thông tin cơ bản của tổ chức hoặc công ty bạn muốn thâm nhập. May mắn thay mạng Internet có thể giúp chúng ta một cách hữu hiệu trong việc thu thập thông tin về mục tiêu, giới hạn phạm vi của nó. Khởi điểm của việc thu thập thông tin mục tiêu là bạn xem tổ chức bạn muốn xâm nhập có trang web riêng không???, thông thường các trang web này cung cấp một số thông tin bổ ích cho chúng ta như họ có bao nhiêu trang web liên quan, các tên miền liên quan… . Chúng ta có thể tham khảo được hệ thống tường lửa của họ trên máy chủ… Các mục mà hacker quan tâm gồm có: + Vùng mục tiêu + kết hợp các thông tin mà chúng ta thu thập đựoc + Các thành viên liên quan của mục tiêu + điện thoại + địa chỉ liên lạc + địa chỉ email + chính sách bảo mật, kiểu bảo mật + các kết nối đến các Webserver khác có liên quan. Tiếp theo là việc tham khảo các mã nguồn của trang Web, rất nhiều thông tin không xuất hiện trên trang Web nhưng lại được cất dấu rất kỹ trong mã nguồn, cụ thể ở đấy là HTML, trong các thẻ của ngôn ngữ này. Tất nhiên là việc xem mà nguồn offline sẽ nhanh hơn rất nhiều lần so với online do vậy chúng ta nên ánh xạ trang web đó và xem chúng offline. Sau khi nghiên cứu các mã nguồn của trang web chúng ta sẽ có được thông tin cần thiết đầu tiên của mục tiêu. Việc tiếp theo là chúng ta phải xem trang Web đó được lưu trữ ở máy chủ nào????, Trên bao nhiêu máy chủ???? Với bao nhiêu tên miền??? Công việc này hiện nay đã rất nhàn cho chúng ta bởi các máy tìm kiếm trên mạng như: altavista; google…. Công việc này đối với các mem thì là việc cực kỳ đơn giản nên chúng ta sẽ không đề cập sâu đến vấn đề này nữa. (Còn nữa) ]]> /hvaonline/posts/list/2218.html#11398 /hvaonline/posts/list/2218.html#11398 GMT Re: Bản Lược dịch Hacking Expose 4th PHẦN I Bước 2: Liệt kê các mạng (Network Enumeration) Bước này chúng ta phải tìm được máy lưu trữ tên miền của mục tiêu, Có một số các trang cho bạn tham khảo: + http://www.networksolution.com + http://www.arin.net Các trang này từ trước những năm 1999 được độc quyền kiểm soát các tên miền có đuôi dạng com. Edu, org. + http://www.ripe.net + http://www.apnic.net + http://www.internic.net/ …… Hiện nay có rất nhiều các trang khác được độc quyền kiểm soát các tên miền có đuôi dạng khác… Còn các trang có đuôi sau cùng là tên các quốc gia thì được kiểm soát bởi hệ thống tên miền của chính quốc gia đó hoặc của vùng đó. Đây là một số ví dụ khi lấy các thông tin của các trang web qua http://www.internic.net/
Domain: www.hvaonline.net Report from: Email: Registrant: Nguyen, LongChau (NSAWTORKHD) 6262 Hillside Road Springfield, VA 22152 US Domain Name: HVAONLINE.NET Administrative Contact: Nguyen, LongChau (QVEMXMQEWI) cuongmtt@yahoo.com 6262 Hillside Road Springfield, VA 22152 US 703-913-7429 fax: 703-913-7429 Technical Contact: Network Solutions, LLC. (HOST-ORG) customerservice@networksolutions.com 13200 Woodland Park Drive Herndon, VA 20171-3025 US 1-888-642-9675 fax: 571-434-4620 Record expires on 16-Aug-2007. Record created on 30-Jun-2004. Database last updated on 12-Oct-2004 03:09:22 EDT. Domain servers in listed order: NS7.WORLDNIC.COM 216.168.225.137 NS8.WORLDNIC.COM 216.168.225.138 REGISTRY WHOIS: Whois Server Version 1.3 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Domain Name: HVAONLINE.NET Registrar: NETWORK SOLUTIONS, LLC. Whois Server: whois.networksolutions.com Referral URL: http://www.networksolutions.com Name Server: NS7.WORLDNIC.COM Name Server: NS8.WORLDNIC.COM Status: REGISTRAR-LOCK Updated Date: 13-aug-2004 Creation Date: 16-aug-2003 Expiration Date: 16-aug-2007 >>> Last update of whois database: Mon, 11 Oct 2004 18:59:14 EDT <<< 
Chúng ta có thể tìm thêm các thông tin của HVA trên trang http://www.networksolution.com
OrgName: Internet Assigned Numbers Authority OrgID: IANA Address: 4676 Admiralty Way, Suite 330 City: Marina del Rey StateProv: CA PostalCode: 90292-6695 Country: US NetRange: 1.0.0.0 - 1.255.255.255 CIDR: 1.0.0.0/8 NetName: RESERVED-9 NetHandle: NET-1-0-0-0-1 Parent: NetType: IANA Reserved Comment: RegDate: Updated: 2002-09-12 OrgAbuseHandle: IANA-IP-ARIN OrgAbuseName: Internet Corporation for Assigned Names and Number OrgAbusePhone: +1-310-301-5820 OrgAbuseEmail: abuse@iana.org OrgTechHandle: IANA-IP-ARIN OrgTechName: Internet Corporation for Assigned Names and Number OrgTechPhone: +1-310-301-5820 OrgTechEmail: abuse@iana.org 
Bằng cách này chúng ta có thể tìm được các thông số của trang http://www.quannhala.com Domain: www.quannhala.com Report from: Email:
Registrant: Namesdirect Fraud Dept PO Box 821067 Vancouver, WA 98682 US Registrar: DOTSTER Domain Name: QUANNHALA.COM Created on: 13-JUN-03 Expires on: 13-JUN-05 Last Updated on: 15-JUN-04 Administrative, Technical Contact: Fraud Dept, Namesdirect support@namesdirect.com Namesdirect Fraud Dept PO Box 821067 Vancouver, WA 98682 US 360.253.2210 Domain servers in listed order: NS1.PUREDNS.COM NS2.PUREDNS.COM End of Whois Information REGISTRY WHOIS: Whois Server Version 1.3 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Domain Name: QUANNHALA.COM Registrar: DOTSTER, INC. Whois Server: whois.dotster.com Referral URL: http://www.dotster.com Name Server: NS1.PUREDNS.COM Name Server: NS2.PUREDNS.COM Status: ACTIVE Updated Date: 15-jun-2004 Creation Date: 13-jun-2003 Expiration Date: 13-jun-2005 >>> Last update of whois database: Mon, 11 Oct 2004 18:59:14 EDT <<<  
Chúng ta có thể tìm thêm các thông tin của quannhala.com trên trang http://www.networksolution.com
QUANNHALA.COM 66.150.161.35 Record Type: Internap Network Services PNAP-06-2001 (NET-66-150-0-0-1) 66.150.0.0 - 66.151.255.255 Dotster.com INAP-SEF-DOTSTER-1053 (NET-66-150-161-32-1) 66.150.161.32 - 66.150.161.63 
]]>
/hvaonline/posts/list/2218.html#11401 /hvaonline/posts/list/2218.html#11401 GMT
Re: Bản Lược dịch Hacking Expose 4th PHẦN I Bước 3: Chất vấn DNS (DNS Interrogation) Sau khi đã xác định được các tên miền có liên quan chúng ta bắt đầu bước truy vấn hệ thống các tên miền đó. Hệ thống các tên miền được xây dựng và sử dụng để sắp xếp các địa chỉ IP đến các host. Nếu như hệ thống tên miền cấu hình không an toàn, điều đó có thể để lộ ra các thông tin về tổ chức. Một trong những lỗi nghiêm trọng của người quản trị hệ thống là cho phép người không có quyền truy cập hệ thống và chuyển tải các thông tin về hệ thống tên miền. Chuyển tải các thông tin về hệ thống tên miền cho phép server phụ có thể cập nhật các thông tin về hệ cơ sở dữ liệu của miền từ server chính. Một số các server hệ thống tên miền cấu hình bảo mật không tốt nên đã chuyển tải các thông tin về miền của mình cho bất cứ ai đó khi họ có yêu cầu. Các thông tin này nhiều khi chứa đựng những thông tin rất nhậy cảm của tổ chức như các mạng nội bộ, địa chỉ các dải IP… Hãy tham khảo một vài biện pháp mà chúng ta có thể xem chuyển tải các thông tin trên miền và các thông tin có thể thu lượm được.. Tuy nhiên hiện nay có rất nhiều các tiện ích có thể thực hiện được chức năng này. Đầu tiên chúng ta hãy thử với lệnh nslookup Ví dụ:
nslookup [bash]$ nslookup Default Server: ns1.examble.net Address: 10.10.20.2 > server 216.182.1.1 Server: ns1.examble.net Address: 10.10.10.2 Name: gate tellurian.net Address: 216.182.1.1 >> set type=any >> ls -d tellurian.net. >> /tmp/zone_out 
Đầu tiên chúng ta chạy với lệnh nslookup. Khi lệnh này được thực thi nó cho chúng ta biết tên của server DNS đang chạy. Server DNS này có thể là máy chủ quản lý tên mền của công ty chúng ta hoặc là máy chủ của nhà cung cấp dich vụ internet ISP. Câu lệnh set type=any cho phép chúng ta xem có bao nhiêu bản ghi của DNS có sẵn. Câu lệnh ls –d cho phép chúng ta liệt kê tất cả các bản ghi cho domain Câu lệnh /tmp/zone_out cho phép chúng ta chuyển đổi các bản ghi của vùng về máy tính của mình và sau đó chúng ta có thể xem xem có thông tin nào bổ ích không. Tuy nhiên một số các thông tin mục tiêu không cho phép chúng ta chuyển vùng. Ví dụ dưới đây có tính minh hoạ.
[bash]$ more zone_out acct18 1D IN A 192.168.230.3 1D IN HINFO "Gateway2000" "WinWKGRPS" 1D IN MX 0 acmeadmin-smtp 1D IN RP bsmith.rci bsmith.who 1D IN TXT "Location:Telephone Room" ce 1D IN CNAME aesop au 1D IN A 192.168.230.4 1D IN HINFO "Aspect" "MS-DOS" 1D IN MX 0 andromeda 1D IN RP jcoy.erebus jcoy.who 1D IN TXT "Location: Library" acct21 1D IN A 192.168.230.5 1D IN HINFO "Gateway2000" "WinWKGRPS" 1D IN MX 0 acmeadmin-smtp 1D IN RP bsmith.rci bsmith.who 1D IN TXT "Location:Accounting" 
Chúng ta không thể xem chi tiết từng bản ghi, tuy nhiên chúng ta sẽ đánh dấu một vài chi tiết quan trọng. - bản ghi có ký tự A cho chúng ta thấy địa chỉ IP của hệ thống - Bản ghi có HINFO cho chúng ta xác định được nền tảng của hệ thống và của hệ điều hành. - Với cac bản ghi này chúng ta có thể phân tích, vận dụng chúng rất dễ dàng qua các câu lệnh của hệ thống UNIX như: grep, sed, awk, or perl. Hy vọng rằng chúng ta đã quen thuộc với hệ điều hành Sun OS , Scolary hoặc SPARC và sử dụng tốt các câu lệnh sau:
[bash]$ grep -i solaris zone_out |wc –l 388 Chúng ta có kết quả 388 bản ghi với từ “Solaris.” [bash]$ grep -i test /tmp/zone_out |wc –l 96 
Chúng ta có kết quả 96 bản ghi với từ “test.” Now that we have shown you the manual method, there are plenty of tools that speed the process, including, host, Sam Spade, axfr, and dig. The host command comes with many flavors of UNIX. Some simple ways of using host are as follows: host -l Acme.net or host -l -v -t any Acme.net If you need just the IP addresses to feed into a shell script, you can just cut out the IP addresses from the host command: host -l acme.net |cut -f 4 -d" " >> /tmp/ip_out However, this is not recommended. To run axfr, you would type the following: [bash]$ axfr Acme.net axfr: Using default directory: /root/axfrdb Found 2 name servers for domain 'Acme.net.': Text deleted. Received XXX answers (XXX records). To query the axfr database for the information you just obtained, you would type the following: [bash]$ axfrcat Acme.net Xác định các bản ghi của Mail Exchange [bash]$ host Acme.net Acme.net has address 10.10.10.1 Acme.net mail is handled (pri=20) by smtp-forward.Acme.net Acme.net mail is handled (pri=10) by gate.Acme.net If host is used without any parameters on just a domain name, it will try to resolve A Bước 4: thăm dò mạng Chúng ta dung câu lệnh traceroute
[bash]$ traceroute Acme.net traceroute to Acme.net (10.10.10.1), 30 hops max, 40 byte packets 1 gate2 (192.168.10.1) 5.391 ms 5.107 ms 5.559 ms 2 rtr1.bigisp.net (10.10.12.13) 33.374 ms 33.443 ms 33.137 ms 3 rtr2.bigisp.net (10.10.12.14) 35.100 ms 34.427 ms 34.813 ms 4 hssitrt.bigisp.net (10.11.31.14) 43.030 ms 43.941 ms 43.244 ms 5 gate.Acme.net (10.10.10.1) 43.803 ms 44.041 ms 47.835 ms . We refer to this as an accesspath diagram. [bash]$ traceroute 10.10.10.2 traceroute to (10.10.10.2), 30 hops max, 40 byte packets 1 gate (192.168.10.1) 11.993 ms 10.217 ms 9.023 ms 2 rtr1.bigisp.net (10.10.12.13)37.442 ms 35.183 ms 38.202 ms 3 rtr2.bigisp.net (10.10.12.14) 73.945 ms 36.336 ms 40.146 ms 4 hssitrt.bigisp.net (10.11.31.14) 54.094 ms 66.162 ms 50.873 ms 5 * * * 6 * * * We can see here that our traceroute probes, which by default send out UDP pack-ets, were blocked by the firewall. Now let’s send a probe with a fixed port of UDP 53, DNS queries: [bash]$ traceroute -S -p53 10.10.10.2 traceroute to (10.10.10.2), 30 hops max, 40 byte packets 1 gate (192.168.10.1) 10.029 ms 10.027 ms 8.494 ms 2 rtr1.bigisp.net (10.10.12.13) 36.673 ms 39.141 ms 37.872 ms 3 rtr2.bigisp.net (10.10.12.14) 36.739 ms 39.516 ms 37.226 ms 4 hssitrt.bigisp.net (10.11.31.14)47.352 ms 47.363 ms 45.914 ms 5 10.10.10.2 (10.10.10.2) 50.449 ms 56.213 ms 65.627 ms 
Chúng ta có thể dùng các phần mềm như VisualRoute download tại http://www.VisualRoute.com hoặc NeoTrace tại http://www.NeoTrace.com Firewall protocol scanning sẽ được đề cập trong chương 11. SUMMARY Như bạn đã biết kẻ xâm nhập có rất nhiều cách thức để thu thập các thông tin mục tiêu trên mạng. Chúng tôi chỉ liệt kê ra đây một số cách thức thông dụng. Hãy suy nghĩ cho kỹ trước khi hành động bởi vì hiện nay có rất nhiều các công cụ trợ giúp cho bạn khi thu thập thông tin mục tiêu. Có thể vào một ngày đẹp trời nào đó, bạn thu thập thông tin mục tiêu và nhận thấy rằng mục tiêu mà bạn định tấn công có khoảng từ vài chục đến vài trăm tên miền, lúc đó bạn sẽ làm gì???? Hoặc giả sử bạn sẽ là một quản trị mạng, bạn sẽ là thế nào để bảo vệ được mạng của bạn trước các nguy cơ từ internet. Hãy nghiên cứu tài liệu Hacking Expose: network security secret&solutions 4th và tự rút ra kinh nghiệm cho mình. Hết chương I ]]>
/hvaonline/posts/list/2218.html#11404 /hvaonline/posts/list/2218.html#11404 GMT
Re: Bản Lược dịch Hacking Expose 4th PHẦN I CHƯƠNG II Quét (SCANNING) Giới thiệu về Scanning Nếu như footprinting là xác định các thông tin mục tiêu thì Scanning là công cụ dùng để quét và tìm kiếm các cổng. Trong chương I chúng ta đã đề cập đến danh sách các mạng cùng với các dải địa chỉ IP qua Whois và vùng mục tiêu. Các kỹ thuật đó đã cung cấp cho chúng ta những thông tin của vùng mục tiêu như địa chỉ IP, số điện thoại, DNS servers và mail servers. Trong chương này chúng ta sẽ học cách xác định rằng hệ thống mục tiêu đang lắng nghe và tiếp vận với mạng internet bằng cách sử dụng các kỹ thuật như ping, post scans và các công cụ khác. Một điều rất quan trọng phải ghi nhớ là địa chỉ IP mà chúng ta đã liệt kê chưa chắc nó đã là điạ chỉ trên mạng internet. Chúng ta phải kiểm tra từng dải địa chỉ IP xem nó có còn tồn tại hay không??? Nếu có, bao nhiêu cổng đang mở và lắng nghe ở cổng bao nhiêu??? Và bây giờ chúng ta hãy bắt đầu với SCANNING. Xác định xem hệ thống mục tiêu còn hoạt động hay không. Một trong những bước cơ bản là chúng ta phải sắp xếp các mạng và các khối mạng nhằm xác định xem từng khối mạng có còn hoạt động hay không bằng cách dùng câu lệnh ping sweep với các dải IP của từng mạng. Lệnh ping được sử dụng để gửi các gói ICMP (Giao thức tạo thông điệp điều khiển của Internet). Giao thức tạo thông điệp điều khiển của Internet ICMP là một giao thức báo lỗi hoạt động hợp nhất với IP. Nếu có lỗi trong mạng, chẳng hạn như thiếu một trong các đường dẫn, IP gửi một thông điệp lỗi ICMP bên trong IP datagram. Vì vậy ICMP yêu cầu IP như một cơ cấu vận chuyển. Các router sẽ gửi các thông điệp ICMP đáp ứng cho các datagram không thể phân phối được. Router đặt thông điệp vào trong IP datagram và gửi nó ngược trở lại nơi xuất phát của datagram mà nó đã không thể phân phối được. Lệnh ping sử dụng ICMP như một sự thăm dò để tìm ra trạm có thể đến được. Ping sẽ gói thông điệp ICMP echo request (yêu cầu nhắc lại) vào trong datagram và gửi nó đến đích đã chọn. Người dùng chọn đích đến bằng cách chỉ ra điạ chỉ IP hoặc tên của đích đến trong dòng lệnh với dạng như sau: Ping 100.50.25.1 Khi đích nhận được thông điệp echo request, nó sẽ đáp ứng bằng cách gửi một thông điệp ICMP đáp lại echo. Nếu không có sự đáp lại trong một khoảng thời gian, ping sẽ gửi tiếp echo request nhiều lần. Nếu sau một khoảng thời gian không có lời đáp lại, ping sẽ hiển thị thông điệp cho biết đích không thể đạt đến được. Một ứng dụng khác dùng ICMP là traceroute, dùng để cung cấp một danh sách tất cả các router dọc theo đường dẫn đến một đích xác định naò đó. cho hệ thống mục tiêu và thu nhận những thông tin ICMP phản hồi từ mục tiêu cho phép chúng ta biết được rằng mục tiêu có còn tồn tại trên mạng hay không. Với các mạng vừa và nhỏ thì lệnh ping có thể chấp nhận dùng để xác định mục tiêu, nhưng với các mạng lớn thì nó lại có ít tác dụng hoặc không hiệu quả. Quét mạng ở lớp A với lệnh ping có thể mất đến cả tiếng đồng hồ. Tuy nhiên chúng ta cũng còn rất nhiều các công cụ khác để xác định xem mục tiêu của chúng ta còn tồn tại hay không. Dưới đây là một vài ví dụ: Để thực hiện lệnh ping sweep, chúng ta có vô số các công cụ sẵn có trên hệ thống chạy UNIX hoặc Windows NT. Chúng ta thử với lệnh fping ( http://packetstorm.securify.com/exploit_Code_Archive/fping.tar.gz ) Không giống như lệnh ping sweep truyền thống là chờ cho đến khi có tín hiệu phản hồi của từng hệ thống trước khi chuyển sang hệ thống khác, fping được sử dụng để gửi liên tục các gói tin . Do đó lệnh fping sẽ nhanh hơn rất nhiều so với lệnh ping. Lệnh fping có 2 cách sử dụng: cách thứ nhất là cung cấp các dải IP đầu vào và cách thứ hai là theo file. Đọc theo file thì dễ hơn, thông thường thì phải tạo ra các dòng địa chỉ IP theo từng dòng.
192.168.51.1 192.168.51.2 192.168.51.3 192.168.51.4 … 192.168.51.253 192.168.51.254 và sau đó sử dụng –f để đọc. [stunami] $ fping –f in.txt 192.168.51.1 is alive 192.168.51.2 is alive 192.168.51.3 is alive 192.168.51.4 is alive … 192.168.51.253 is alive 192.168.51.254 is alive 
Tham số –a của lệnh fping chỉ thể hiện rằng hệ thống vẫn còn tồn tại. Chúng ta có thể kết hợp với tham số -d để giải quyết với hostname nếu chúng ta chọn. Thông thường chúng ta sử dụng tham số -a với shell scrípt và tham số -d khi chúng ta quan tâm đến hệ thống mục tiêu mà có host name duy nhất. Có tuỳ chọn khác là tham số -f., đọc từ file. Kiểu fping –h dùng để liệt kê tất cả các tuỳ chọn. Một công cụ khác được sử dụng trong suốt cuồn sách này là công cụ nmap http://www.insecure.org/nmap )
[stunami] nmap –sp 192.168.1.0/24 Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Host (192.168.1.0) seems to be a subnet broadcast address (returned 3 extra pings). Host (192.168.1.1) appears to be up. Host (192.168.1.10) appears to be up. Host (192.168.1.11) appears to be up. Host (192.168.1.15) appears to be up. Host (192.168.1.20), appears to be up. Host (192.168.1.50) appears to be up. Host (192.168.1.101) appears to be up. Host (192.168.1.102) appears to be up. Host (192.168.1.255) seem tobe a subnet broadcast address (returned 3 extra pings) Nmap run complete – 256 address (10 host up) scanned in 21 seconds. 
Chúng ta cũng có các công cụ khác như Rhino9 http://www.nmrc.org/files/snt ) hoặc Ping Sweep from SolarWinds http://www.solarwinds.net ). Công cụ . Windows ping sweep như WS_Ping ProPack www.ipswitch.com) and NetScanTools www.nwpsw.com). Các công cụ về sau này có khả năng quét được cả các mạng nhỏ. Tuy nhiên chúng chăc chắn là sẽ quét chậm hơn các công cụ như Pinger và ping Sweep Có thể bạn sẽ tự hỏi nếu như ICMP bị chặn lại bởi mục tiêu của bạn, vâng đây chính là câu hỏi thường gặp. Đó là vấn đề thường xảy ra khi mà gói tin ICMP bị chặn lại bởi router phía ngaòi hoặc bị tường lưả. Khi mà ICMP bị chặn lại, chúng ta có thêm một số các công cụ hoặc kỹ thuật khác dùng để xác định xem hệ thống có còn hoạt động hay không. Khi ICMP bị chặn lại, công cụ hữu hiệu đó là port scanning (Công cụ này sẽ được đề cập chi tiết ở cuối chương này). Khi quét cổng, chúng ta thường hay quét các cổng thường dùng của các địa chỉ IP, chúng ta có thể xác định được host nào đang tồn tại, đang mở cổng số bao nhiêu, cồng nào đang lắng nghe. Kỹ thuật này cần nhiều thời gian và cũng không phải là công cụ cuối cùng. Một công cụ sử dụng cho kỹ thuật quét cổng là nmap, như chúng ta đã được giới thiệu nmap cho phép chúng ta xem được các thông tin ICMP. Có một thuận lợi hơn với chúng ta là công cụ quét TCP ping scan. với port 80. Hãy tham khảo ví dụ sau:
[tsunami] nmap -sP -PT80 192.168.1.0/24 TCP probe port is 80 Starting nmap V. 2.53 Host (192.168.1.0) appears to be up. Host (192.168.1.1) appears to be up. Host shadow (192.168.1.10) appears to be up. -Host (192."16S-:-1.11) appears to be up. : Host (192.168.1.15) appears to be up. Host (192.168.1.20) appears to be up. Host (192.168.1.50) appears to be up. Host (192.168.1.101) appears to be ,up. Host (192.168.1.102) appears to be up. Host (192.168.1.255) appears to be up. Nmap run completed (10 hosts up) scanned in 5 seconds 
Như bạn đã thấy, phương pháp này khá hiệu quả khi xác định hệ thống có còn tồn tại hay không khi mà bị chặn ICMP. Điều đó chứng tỏ rằng sử dụng phương pháp này có thể có hiệu quả với các cổng khác như SMTP (25), POP (110), AUTH (113), IMAP (143).
Công cụ hping (http:/ /www.hping.org/) [jack]# hping2 192.168.0.2 -8 -p 80 -f HPING 192.168.0.2 (ethO 192.168.0.2): 8 set, 40 data pytes 60 pytes from 192.168.0.2: flags=8A seq=O ttl=64 id=418 win=5840 time=3.2 ms 60 pytes from 192.168.0.2: flags=8A seq=l ttl=64 id=420 win=5840 time=2.1 ms 60 bytes from,192.168.0.2: flags=8A seq=2 tt1=64 id=422 win=5840 time=2.0 ms ---192.168.0.2 hping statistic --- 3 packets tramitted, 3 packets received, 0% packet loss 
Công cụ tiếp theo là icmpenum, from Simple Nomad http://www.nmrc.org/files/sunix/icmpenum-l.l.l.tgz ).
This utility is a handy ICMP enumeration tool that will allow you to quickly identify systems that are alive by sending thetra. ditional ICMP ECHO packets, as well as ICMP TIME STAMP REQUEST and ICMP INFO requests. Thus, if ingress ICMP ECHO packets are dropped by a border router or firewall, it may still be possible to identify systems using an alternate ICMP type: [shadow] icmpenum -i2 -c 192.168.1.0 192.168.1.1 is up 192.168.1.10 is up ,. " 192.168.1.11 is up 192.168.1.15 is up 192.168.1.20.is up 192.168.1.103 is up 
Trong ví dụ này, chúng tôi liệt kê lớp mạng C với dải IP 192.168.1.0 bằng cách sử dụng một gói ICMP. Tuy nhiên sức mạnh thực của icmpenum là để xác định hệ thống sử dụng các gói spoofef để tránh bị phát hiện. Kỹ thuật này là có khả năng bởi vì icmpenum cung cấp các gói spoofed với tuỳ chọn -s và lắng nghe thông tin phản hồi một cách thụ động với sự chuyển đổi sang -p. Tóm tắt: bước này cho phép chúng ta xác định được chính xác hệ thống nào đang tồn tại bằng ICMP hoặc bằng cách quét cổng có lựa chọn. Ngoài các 255 địa chỉ lớp C chúng ta có thể xác định được một vài host đang tồn tại và nó chính là mục tiêu để chúng ta truy vấn sau này. ]]>
/hvaonline/posts/list/2218.html#11406 /hvaonline/posts/list/2218.html#11406 GMT
Re: Bản Lược dịch Hacking Expose 4th PHẦN I Xác định dịch vụ nào đang chạy hoặc lắng nghe. Như vậy là chúng ta đã xác định được hệ thống đang tồn tại bằng cách sử dụng ICMP và TCP ping sweep và cũng đã thu thập được các thông tin ICMP. Bây giờ chúng ta sẵn sàng cho việc quét các cổng của từng hệ thống. Quét cổng là qua trình thực hiện kết nối tới cổng TCP và UDP của hệ thống mục tiêu nhằm xác định dịch vụ nào của hệ thống mục tiêu đang ở trạng thái chạy hoặc lắng nghe. Việc xác định các cổng đang ở trạng thái lắng nghe nhằm mục đích phân tích và xác định các ứng dụng đang chạy của hệ thống và kiểu của hệ thống. Các cổng dịch vụ đang trong trạng thái lắng nghe có thể cho phép một user không hợp pháp nào đó truy nhập vào hệ thống khi mà hệ thống đó chưa được cấu hình tốt hoặc sử dụng phiên bản phần mềm có độ bảo mật kém. Trong phần này, chúng ta sẽ tập trung vào một vài công cụ và kỹ thuật quét cổng thông dụng, qua đó chúng ta sẽ có một vài thông tin tốt về hệ thống. Mỗi kỹ thuật quét cổng có các đặc điểm khác nhau nhưng mục tiêu chính của nó là nhằm xác định xem hệ thống mục tiêu có tồn tại không??? Các cổng dịch vù nào đang trong trạng thái mở, cổng dịch vụ nào đang trong trạng thái lắng nghe và cuối cùng là có khả năng cho chúng ta thâm nhập vào mục tiêu hay không???? - Xác định các dịch vụ TCP và UDP đang chạy của hệ thống - Xác định kiểu hệ điều hành của hệ thống mục tiêu. - Xác định các ứng dụng đặc biệt hoặc phiên bản của ứng dụng đó. Những kiểu quét. Scan Types: Trước khi chúng ta dử dụng các công cụ quét cổng, chúng ta cần phải xác định được những cổng và các kỹ thuật quét hiện có. Một trong những người có ứng dụng tiên phong để quét các cổng đó là Fyodor. Anh ta đã tích hợp được rất nhiều các kỹ thuật quét cổng trong chương trình của anh ấy kỹ thuật này được gọi là nmap (phần này tôi post toàn bộ nguyên văn tiếng anh)
TCP connect scan This type of scan connects to the target port and completes a full three-way handshake (SYN, SYNj ACK, and ACK). It is easily detected by the target system. .TCP SYN scan This technique is called half-open scanning because a full TCP connection is not made. Instead, a SYN packet is sent to the target port. If a SYN/ ACK is received from the target port, we can deduce that it is in the LISTENING state. If an RST/ACK is received, it usually indicates that the port is not listening. An RST/ACK will be sent by the system performing the port scan so that a full connection is never established. This technique has the advantage of being stealthier than a full TCP connect, and it may not be logged by the target system. TCP FIN scan This technique sends a FIN packet to the target port. Based on RFC 793 http://www.ietf.org/rfc/rfcO793.txt), the target system should send back an RST for all closed ports. This technique usually only works on UNIX- based TCP lIP stacks. TCP Xmas Tree scan This technique sends a FIN, URG, and PUSH packet to the target port. Based on RFC 793, the target system should send back an RST for all closed ports. . TCP Null scan This technique turns off all flags. Based on RFC 793, the target system should send back an RST for all closed ports. TCP ACK scan This technique is used to map out firewall rulesets. It can help determine if the firewall is a simple packet illter allowing only established connections (connections with the ACK bit set) or a stateful firewall performing advance packet filtering. TCP Windows scan This technique may detect open as well as illtered/nonfiltered ports on some systems (for example, AIX and FreeBSD) due to an anomaly in the way the TCP windows size is reported. TCP RPC scan This technique is specific to UNIX systems and is used to detect and identify Remote Procedure Call (RPC) ports and their associated program and version number. 
TCP's three-way handshake 1) SYN sent from client 2) SYN/ ACK sent from server 3) ACK sent from client UDP scan This technique sends a UDP packet to the target port. If the target rport responds with an "ICMP port unreachable" message, the port is closed. Conversely, if we don't receive an "ICMP port unreachable" message, we can deduce the port is open. Since UDP is known as a connectionless protocol, the accuracy of this technique is highly dependent on many factors related to the utilization of network and system resources. In addition, UDP scanning is a very slow process if you are trying to scan a device that employs heavy packet filtering. If you plan on doing UDP scans over the Internet, be prepared for unreliable results. Certain IP implementations have the unfortunate distinction of sending back reset ackets for all ports scanned, whether or not they are listening. Thus, your results ry when performing these scans; however, SYN and connect ( ) scans should work all hosts. Xác định các dịch vụ TCp và Udp đang chạy Một công cụ quét tốt là công cụ mà có thể phân tích, tổng hợp các thông tin mục tiêu. Hiện nay có rất nhiều các công cụ quét cho hệ thống chạy UNIX và WINDOWS NT, trong phần này chúng ta chỉ giới hạn ở một vài công cụ thường hay sử dụng. Strobe Strobe là một công cụ quét cổng TCP được viết bởi Julian Assange ftp://freeBSD.org/pub/FreeBSD/ports/distfiles/strobe-1.06.tgz). nó là một công cụ quét rất nhanh và đáng tin cậy. Một trong những đặc tính của nó chính là key tối ưu hoá những tài nguyên hệ thống và mạng nguồn nhằm mục đích quét hệ thống mục tiêu một cách hiệu quả.
Strobe output lists each listening TCP port: [stunami] strobe 192.168.1.10 strobe 1.03 @ 1995 Julian Assange (proff@suburbia.net). 192.168.1.10 echo 7/tcp Echo [95,JBP] ; 192.168.1.10 ' discard 9/tcp Discard [94,JBP] , 192.168.1.10 sunrpc 111/tcp rpcbind SUN RPC 192.168.1.10 daytime. 13/tcp Daytime [93,JBP] 192.168.1.10 chargen 19/tcp ttytst source 192.168.1.10 ftp 21/tcp F11e Transfer [Control] [96,JBP] 192.168.1.10 exec 512/tcp remote process execution; 192.168.1.10 login 513/tcp remote login a la telnet; 192.168.1.10 cmd 514/tcp shell like exec, but automatic 192.168.1.10 ssh 22/tcp Secure Shell 192.168.1.10 telnet 23/tcp Telnet [112,JBP] 192.168.1.10 smtp 25/tcp Simple Mail Transfer [102,JBP] 192.168.1.10 nfs 2049/tcp networked file system 192.168.1.10 lockd 4045/tcp 192.168.1.10 unknown 32772/tcp unassigned 192.168.1,10 unknown 32773/tcp unassigned 192.168.1.10 unknown 32778/tcp unassigned 192.168.1.10 unknown 32799/tcp unassigned 192.168.1.10 unknown 32804/tcp unassigned 
While strobe is highly reliable, it is important to keep in mind some of its limitations. Strobe is a TCP scanner only and does not provide UDP scanning capabilities. Thus, for our earlier scan, we are only looking at half the picture. For additional scanning techniques beyond what strobe can provide, we must dig deeper into our toolkit. udp_scan Since strobe only covers TCP scanning, we can use udp_scan, originally from SATAN (Security Administrator Tool for Analyzing Networks), written by Dan Farmer and Wietse Venema in 1995. While SATAN is a bit dated, its tools still work quite well. In addition, newer versions of SATAN, now called SAINT, have been released by http://wwdsilx.wwdsi.com. Many other utilities perform UDP scans; however, we have found that udp_scan is one of the most reliable UDP scanners available. We should point out that although udp_scan is reliable, it does have a nasty side effect of triggering a SATAN scan message from major IDS products. Thus, it is not one of the more stealthy tools you could employ. Typically, we will look for all well-known ports below 1024 and specific high-risk ports above 1024.
[tsunami] udp_scan 192.168.1.1 1-1024 42 : UNKNOWN: 53:UNKNOWN: 135:UNKNOWN: 
Netcat Another excellent utility is netcat or nc, written by Hobbit (hobbit@avian.org). This utility can perform so many tasks that everyone in the industry calls it the Swiss army knife of security. While we will discuss many of its advanced features throughout the book, nc will provide basic TCP and UDP port scanning capabilities. The -v and -vv options provide verbose and very verbose output, respectively. The -z option provides zero mode I/O and is used for port scanning, and the -w2 option provides a timeout value for each connection. By default, nc will use TCP ports. Therefore, we must specify the -u option for UDP scanning (as in the second example shown next).
[tsunami] nc -v -z -w2 192.168.1.1 1-140 [192.168.1.1] 139 (?) open [192.168.1.1] 135 (?) open [192.168.1.1] 110 (pop-3) open [192.168.1.1] 106 (?) open [192.168.1.1] 81 (?) open [192.168.1.1] 80 (http) open [192.168.1.1] 7~ (finger) open ; [192.168.1.1] 53 (domain) open [192.168.1.1] 42 (?) open, [192.168.1.1] 25 (smtp) open . [192.168.1.1] 21(f'tp) open [tsunami] no -u -v -z -w2 192.168.1.1 1-140 [192.168.1.1] 135 (ntportmap) open [192.168.1.1] 123 (ntp) open [192.168.1.1] 53 (domain) open [192.168.1.1] 42 (name) open 
]]>
/hvaonline/posts/list/2218.html#11407 /hvaonline/posts/list/2218.html#11407 GMT
Re: Bản Lược dịch Hacking Expose 4th PHẦN I Network Mapper (nmap) Chúng ta hãy quay lại và thảo luận về công cụ quét cơ bản đó là nmap. Công cụ này, như đã đề cập ở phía trên, được viết bởi Fyodor (http:/ /www.insecure.org/nmap). Nmap cung cấp các công cụ quét TCP và UDP. Chúng ta hãy thăm dò một số đặc tính hữu ích của nó.
[tsunami] # rmlaP -h nmap V. 2.53 Usage: nmap [Scan Type(s)] [Options] Some Common Scan Types ('*' options require root privileges) -sT TCP connect() port scan (default) * -sS TCP SYN stealth port scan (best all-around TCP scan) * -sU UDP port scan -sP ping scan (Find any reachable machines) * -sF,-sX,-sN Stealth FIN, xmas, or Null scan (experts only) -sR/-I RPC/Identd scan (use with other scan types) Some Common Options (none are required, most can be combined) : * -0 Use TCP/IP fingerprinting to guess remote operating system -p ports to scan. Example range: '1-1024,1080,6666,31337' -F only scans ports listed' in nmap-services -v Verbose. Its use is recommended. Use twice for greater effect. -PO Don't ping hosts (needed to scan www.microsoft.com and others) * -Ddecoy_host1,decoy2[, ...] Hide scan using many decoys -T Gen~ral timing policy. : -n/-R Never do DNS resolution/Always resolve [defaul: sometimes resolve] -oN/ -oM Output normal/machine parsable scan logs to -iL Get targets from file; Use '-' for stdin * -S /-e Specify source address or network interface 
--interactive Go into interactive mode (then press h for help)
[tsunami] IDap -sS 192.168.1.1 -- Starting nmap V. 2.53 by fyodor@insecure.org Interesting ports on (192.168.1.11): (The 1504 ports scanned but not shown below are in state: closed) Port State Protocol Service 21 open tcp ftp 25 open tcp smtp 42 open tcp nameserver 53 open tcp domain 79 open tcp finger 80 open tcp http 81 open tcp hosts2-ns 106 open tcp pop3pw 110 open tcp pop-3 135 open tcp loc-srv 139 open tcp netbios-ssn 443 open tcp https 
Nmap có một vài đặc tính khác mà chúng ta cần phải khám phá. Như trên chúng ta đã tham khảo một số cư pháp được sử dụng để quét một hệ thống. Tuy nhiên, nmap còn cho phép chúng ta quét toàn bộ mạng một cách rất dễ dàng. Như các bạn đã thấy, nmap cho phép chúng ta nhập hàng dãy CIDR (Classless Inter-Domain Routing), các ghi chú (see RFC 1519-http://www.ietf.org/rfc/ rfc1519.txt), một thuận tiện cho phép chúng ta liệt kê dải IP từ 192.168.1.1-192.168.1.254. Nó cũng cho phép chúng ta sử dụng dấu tuỳ chọn –o để tách các file, Tuỳ chọn –oN cho phép ghi lại các kết quả dưới khuôn dạng đọc được. [tsunami]# nmap -sF" 192.168.1.0/24 -oN outfile Nếu bạn muốn ghi lại kết quả của bạn dưới dạng bảng hồ sơ và phân tích các kết quả về sau thì sử dụng cú pháp –oM. Khi mà chúng ta nhận được quá nhiều các thông tin từ quá trình quét này thì chúng ta ghi lại các kết quả đó theo từng file từng khuôn dạng, trường hợp này cũng cho phép bạn kết hợp cả cú pháp lệnh –oN và –oM trên cả hai khuôn dạng Hãy suy nghĩ rằng sau khi thu thập thông tin mục thiêu của tổ chức nào đó, chúng ta phát hiện ra rằng họ đã sử dụng một bộ lọc gói tin đơn giống như là một thiết bị firewall của họ. Trong trường hợp này chúng ta có thể sử dụng tuỳ chọn –f của nmap để bẻ gãy gói tin. Đặc biệt hơn, tuỳ chọn này có thể chia gói tiêu đề TCP ra nhiều gói khác nhau, nó chắc chắn là tạo nên các khó khăn khi chúng ta thâm nhập và điều khiển các thiết bị hoặc hệ thống IDS phát hiện ra quá trình quét.. Phần lớn các trường hợp các thiết bị lọc gói tin hiện đại và các ứng dụng cơ bản của tường lửa sẽ xếp hàng tất cả các phân mảnh IP trước khi ước lượng chúng. Có khả năng là các thiết bị điều khiển cũ hoặc cần được nâng cấp sẽ không phân mảnh gói tin trước khi chuyển chúng qua. Dựa vào độ phức tạp của mạng mục tiêu và host, quét càng lâu thì càng dễ bị phát hiện. Nmap cung cấp thêm bẫy có khả năng thiết kế để áp đảo site mục tiêu với các thông tin không cần thiết bằng cách sử dụng tuỳ chọn –D. Giả thuyết cơ bản là phía sau tuỳ chọn này có một bẫy quét scan khi mà chương trình quét chính đang thực hiện.Kết quả này có được chính là do sự giả mạo (spoofing) địa chỉ nguồn của server xác thực và sự hoà trộn giữa quá trình quét không có thật với quá trình quét cổng có thật. Hệ thống mục tiêu sau đó sẽ có phản hồi với địa chỉ giả mạo cũng như vậy với cổgn thực tế bạn quét. Tuy nhiên, site mục tiêu sẽ chịu một gánh nặng khi mà phải cố gắng theo dõi mọi thứ từ quét đến xác định rằng cái nào là xác định, cái nào là không có thật. Một đièu quan trọng cần phải nhớ đó là địa chỉ bẫy cần luôn phải tồn tại, hoặc nếu không thì việc scan của bạn có thể làm lụt các gói SYN tho hệ thống mục tiêu và dẫn đến tình trạng từ chối dịch vụ.( denial of service condition).
[tsunami] nmap -sS 192.168.1.1 -D 10.1.1.1 www.target_web.com,ME -p25,139,443 Starting nmap V. 2.53 by fyodor@insecure. org Interesting ports on (192.168.1.1): Port State Protocol Service 25 open tcp smtp 443 open tcp https Nmap run completed --1 IP address (1 host up) scanned in 1 second  
Trong ví dụ trên, nmap cung cấp các khả năng cho bẫy quét, nó làm khó hơn cho việc nhận thức quét các cổng xác thực từ một cái không có thật nào đó. Một công cụ scanning hiệu quả được thể hiện bởi ident scanning . Ident (see RFC 1413-http://www.ietf.org/rfc/rfc1413.txt). Nó được sử dụng để xác định nhận dạng (identity) của người dùng bằng cách qua một kết nối đặc biệt TCP qua cổng 113. Rất nhiều các phiên bản trước của Ident sẽ phản hồi lại với người sở hữu nó qua quá trình đó bắt buộc phải qua các cổng đặc biệt.
[tsunami] nmap -1 192.168.1.10 Starting nmap V. 2.53 by fyodor@insecure.org Port State Protocol Service Owner 22 open tcp ssh root 25 open tcp smtp root 80 open tcp http root 110 open tcp pop-3 root 113 open tcp auth root 6000 open tcp  
X11 root Notice that in the preceding we can actually determine the owner of each process. The astute reader may have noticed that the web server is running as "root" instead of as an unprivileged user such as "nobody." This is a very poor security practice. Thus, by performing an ident scan, we know that if the H1TP service were to be compromised by allowing an unauthorized user to execute commands, attackers would be rewarded with instant root access. The final scanning technique discussed is FTP bounce scanning. The FfP bounce attack was thrust into the spotlight by Hobbit. In his posting to Bugtraq in 1995 http://www.securi tyfocus.com/templates/archive. pike ?list= 1 &msg= 199507120620. CAA 1817 6@narq.avian.org), he outlines some of the inherent flaws in the FfP protocol (RFC 959-http://www.ietf.org/rfc/rfc0959.txt). While dreadfully arcane and virtually unusable on the Internet today, the FTP bounce attack is an insidious method of laundering connections through an FTP server by abusing the support for "proxy" FTP connections. As Hobbit pointed out in the aforementioned post, FfP bounce attacks "can be used to post virtually untraceable mail and news, hammer on servers at various sites, fill up disks, try to hop firewalls, and generally be annoying and hard to track down at the same time." Moreover, you can bounce port scans off the FTP server to hide your identity, or better yet, bypass access control mechanisms. Of course, nmap supports this type of scan with the -b option; however, a few conditions must be present. First, the FTP server must have a writable and readable directory such as / incoming. Second, the FfP server must allow nmap to feed bogus port information to it via the PORT command. While this technique is very effective in bypassing access control devices as well as hiding one's identity, it can be a very slow process. Additionally, many new versions of the FfP server do not allow this type of nefarious activity to take place. Now that we have demonstrated the requisite tools to perform port scanning, it is necessary to understand how to analyze the data that is received from each tool. Regardless of the tool used, we are trying to identify open ports that provide telltale signs of the operating system. For example, when ports 139 and 135 are open, a high probability exists that the target operating system is Windows NT. Windows NT normally listens on port 135 and port 139. This differs from Windows 95/98, which only listen on port 139. Reviewingthe strobe output further (seeearlier), we can see many services running on this system. If we were to make an educated guess, this system seems to be running some flavor of UNIX. We arrived at this conclusion because the portmapper (111), Berkeley R services ports (512-514), NFS (2049), and high number ports 3277)( and above were all listening. The existence of such ports normally indicates that this system is running UNIX. Moreover, if we had to guess the flavor of UNIX, we would have guessed Solaris. We know in advance that Solaris normally runs its RPC services in this range of 3277X. Just remember that we are making assumptions and that the type could potentially be something other than Solaris. By performing a simple TCP and UDP port scan, we can make quick assumptions on the exposure o( the systems we are targeting. For example, if port 139 is open on a Windows NT server, it may be exposed to a great deal of risk. Chapter 5 discusses the inherent ]]>
/hvaonline/posts/list/2218.html#11410 /hvaonline/posts/list/2218.html#11410 GMT
Re: Bản Lược dịch Hacking Expose 4th PHẦN I Liệt kê hoặc điểm danh (Enumeration) ***Phần này không có trong cuốn “Hacking Expose: network security secret&solutions 4th” nhưng nó chắc là vẫn có ích cho các bạn nên tôi post lên ***Phần này được Tham khảo từ bài viết của tác giả Fantomas311 trên diễn đàn MATRIX2K và các cuốn sách “Bảo mật mạng Windows NT/95/98/2000 NOVELL/UNIX/LINUX Các giải pháp kỹ thuật” -- “ Bảo mật trên mạng, Bí quyết và giải pháp” NOTE: Hai cuốn sách này có nội dung tương tự như nhau. “Bảo mật mạng Windows NT/95/98/2000 NOVELL/UNIX/LINUX Các giải pháp kỹ thuật” = “ Bảo mật trên mạng, Bí quyết và giải pháp” Các bạn có mua thì đừng mua nhầm nhé :D) Giả sử việc thực hiện các bước I và II đều không thành công hoặc những thông tin thu được không thể đủ để phát động một cuộc tấn công tức thời nào, hacker sẽ chuyển sang phương pháp định danh các tài khoản người dùng hợp lệ hoặc các tài nguyên dùng chung không được bảo vệ kỹ Enumeration (điểm danh) là một cách để trích các tài khoản hợp lệ hoặc các tài nguyên từ hệ thống. Ở Part III này, tôi sẽ nêu chi tiết các phương pháp thông dụng nhất, và các công cụ cơ bản của kỹ thuật điểm danh - buớc thứ ba trong basic hacking Sự khác biệt chính giữa các kỹ thuật thu thập thông tin ở part I ( Foot Printing) và part II (scanning) và kỹ thuật enumeration dưới đây nằm ở cấp xâm nhập của hacker . Điểm danh liên quan đến các tuyến nối tích cực với các hệ thống và các truy vấn có định hướng. Phần lớn thông tin thu thập được qua kỹ thuật điểm danh thoạt nhìn có vẻ như vô hại.Tuy nhiên, những thông tin rò rĩ từ lỗ thủng theo sau nó có thể gây tai hại. Nói chung, sau khi điểm danh một tên người dùng hoặc một phần dùng chung hợp lệ, vấn đề còn lại là thời gian trước khi hacker đoán được mật hiệu tương ứng hoặc tìm ra các điểm yếu kết hợp với các giao thức chia sẽ tài nguyên. Những thông tin mà kỹ thuật điểm danh thu được có thể tạm thu gọn thành các phạm trù sau : ++ Các tài nguyên mạng và các phần dùng chung ++ User và các group ++ Các ứng dụng và biểu ngữ (banner) Kỹ thuật điểm danh cũng cụ thể theo từng hệ điều hành của server, và do đó ,nó cũng phụ thuộc vào các thông tin thu thập được từ part I và part II . Trong phần này, sẽ lần lươt đề cập đến kỹ thuật điểm danh trong các hệ điều hành : WinNT , Novell và Unix Windows NT Điểm danh khu ủy (domain) của winNT bằng netview : Windows là hệ điều hành được thiết kế tạo thuận lợi cho tính năng duyệt các tài nguyên mạng, do đó tiến trình điểm danh các domain NT là cực kỳ đơn giản so với các hệ điều hành khác. Trong hầu hết các trường hợp, chỉ cần dùng các công cụ cài sẵn trong OS (Operating System ). Lệnh netview là một thí dụ điển hình. Nó sẽ liệt kê các domain sẵn dùng trên mạng, rồi phơi bày thông tin của tất cả các máy tính trong một domain (ta cũng có thể dùng thông tin từ các đợt quét ping trong các phần trước để tìm hiểu các tên domain từ các máy riêng lẻ chỉ việc dùng địa chỉ IP thay cho server name . Sau đây là thí dụ : Trước hết là điểm dang các domain trên mạng : C:\> netview /domain Ví dụ liệt kê các máy tính trong domain cụ thể : C:\> netview /domain:corleone Server name remark ------------------------------------------- \\VITO Make him an offer he can’t refuse \\MICHAEL Nothing personal \\SONY Badda bing badda boom \\FREDO I’m smart Điểm danh các hệ điều khiển domain NT : Để đào sâu hơn một chút vào cấu trúc mạng NT , ta cần dùng một công cụ từ NT Resource Kit (NTRK - lưu ý : từ này dùng khá nhiều trong bài viết này !) , cũng được xem là Windows NT Hacking Kit bởi bản chất dao hai lưỡi của nhiều trình tiện ích điều hành mạnh mà nó cung cấp ! Trước tiên, xin giới thiệu sơ lược về cái gọi là NTRK này : - NTRK là một bộ tài liệu bổ trợ cho WinNT có kèm CD chứa các trình tiện ích để quản lý mạng.NTRK chứa một tập hợp các trình tiện ích mạnh, đa dạng từ ngôn ngữ Perl phổ dụng đến các cổng của nhiều trình tiện ích Unix , đến các công cụ điều hành từ xa không có trong các phiên bản lẻ của WinNT.Nó là một bộ đồ nghề không thề thiếu cho các điều hành viên mạng NT và cũng là công cụ hữu ích cho các hacker muốn khai thác winNT. Cũng có lẽ vì đó mà giá bán lẻ của NTRK vào khoảng ... 200 USD. Hì, nhưng không sao, vẫn còn một giải pháp free cho bạn tại ftp://ftp.microsoft.com/bussys/winnt/winnt-public/reskit/ Trở lại vấn đề điểm danh các hệ điều khiển domain NT: để thực hiện công việc này, ta dùng công cụ có tên là nltest trong NTRK để định danh các PDC (Primary Domain Controllers ) và BDC (Backup Domain Controllers) Câu lệnh : C:\> nltest /delist:[domain name] Thậm chí, để tiến xa hơn, ta cần dùng Holy Grail của tính năng điểm danh NT, tuyến nối rỗng , hoặc nặc danh (sẽ giới thiệu sau đây). Sau khi xác lập một phiên làm việc rỗng cho một trong các máy trên khu ủy điểm danh, ta có thể dùng cú pháp nltest /server:[server name] và /trusted_domain để tìm hiểu thêm các domain NT có liên quan đến domain đầu tiên ! Phương pháp NT toàn cục ** Hầu hết các kỹ thuật thu thập thông tin mà tôi mô tả trong phần này đều vận dụng một thiếu sót về bảo mật của winNT là cho phép các người dùng nặc danh( anonymous user ) kết nồi và điểm danh một số tài nguyên nhất định mà không cần sự "cho phép" . Chỗ yếu này được biết đến với cái tên "Red Button" tuyến nối phiên làm việc rỗng hay đăng nhập nặc danh.....và nó vẫn là chỗ đứng có tiềm năng tàn phá nhất trên mạng mà hacker tìm kiếm. Tôi nhớ có một bài viết lưu truyền khá rộng rãi trên mạng với tiêu đề rất "ghê" là " hướng dẫn deface một trang web" trong đó hướng dẫn cách dò tìm chỗ yếu anonymous user và khai thác nó ! Để thực hiện một tuyến nối phiên làm việc rỗng, ta dùng cú pháp: C:\> net use \\IP\IPC$ ''''''' /user:''''' Cú pháp trên nối "phần dùng chung" truyền thông tin xử lý ẩn (IPC$) tại địa chỉ IP mà ta cung cấp dưới dạng người dùng nặc danh là [user:''''] và một mật hiệu rỗng [''''''']. Nếu thành công, ta có thể có một lệnh mở để sử dụng những kỹ thuật khác nhau nhằm "thu gom" càng nhiều thông tin càng tốt : thông tin mạng , các phần dùng chung, các người dùng , các nhóm , các khóa Registry..... Các phần dùng chung NetBIOS Sau khi thiết lập một phiên làm việc rỗng, ta cũng có thể dùng lại lệnh net view để điểm danh các phần dùng chung trên hệ thống từ xa. NetBIOS Code Resource [00] Workstation Service [00] Domain Name [03] Messenger Service (for messages sent to this computer) [03] Messenger Service (for messages sent to this user) [20] Server Service [1D] Master Browser [1E] Browser Service Elections [1B] Domain Master Browser D:\Toolbox\nbtscan102>nbtscan 192.168.234.0/24 Doing NBT name scan for adresses from 192.168.234.0/24 IP address NetBIOS Name Server User MAC address -------------------------------------------------------------------- 192.168.234.36 WORKSTN12 RSMITH 00-00-86-16-47-d6 192.168.234.110 CORP-DC CORP-DC 00-c0-4f-86-80-05 192.168.234.112 WORKSTN15 ADMIN 00-80-c7-0f-a5-6d 192.168.234.200 SERVR9 ADMIN 00-a0-cc-57-8c-8a Ba công cụ điểm danh các phần dùng chung khác trong NTRK là rmtshare , srvcheck và srvinfo Một trong các công cụ thích hợp nhất để điểm danh các tệp dùng chung NT( và các nội dung khác là Dump ACL .Download free tại http://38.15.19.115 Dump ACL kiểm toán mọi thứ, từ giấy phép hệ tập tin đến các dịch vụ sẵn dùng trên các hệ thống từ xa. Thậm chí nó còn có thể lấy thông tin người dùng cơ bản qua một tuyến nối rỗng vô hại, và có thể chạy từ dòng lệnh, tạo thuận lợi cho việc lập ký mã và tự động hóa. Việc mở các tuyến nối rỗng và dùng các công cụ trên đây theo thủ công là một phương pháp tuyệt vời cho các cuộc tấn công có định hướng, nhưng hầu hết các hacker thường sử dụng một bộ quét NetBIOS để nhanh chóng kiểm tra nguyên cả mạng để tìm các tệp dùng chung phơi bày. Một trong các công cụ phổ dụng đó là Legion (có thể tìm thấy trên nhiều kho tàng trữ internet). Legion có thể nghiền ngẫm qua một mạng IP Class C và tiết lộ tất cả các tệp dùng chung sẵn dùng trong giao diện đồ họa của nó. Phiên bản 2.1 có gộp một "công cụ cưỡng bức", công cụ này sẽ cố gắng nối kết với một tệp dùng chung nhất định thông qua một danh sách các mật hiệu do người dùng cung cấp. Cách bẻ khóa cưỡng bức đối với Win9x và WinNT sẽ được nêu cụ thể ở các phần sau Một bộ quét tệp dùng chung windows phổ dụng khác là NetBIOS Auditing Tool (NAT) có thể tìm thấy trên các kho tàng trữ internet Các kiểu điểm danh NT khác **** Ngoài ra còn có một số bộ điểm danh thông tin mạng NT khác như : epdump của Microsoft ( http://www.ntshop.net/security/tools/def.htm ), getmac và netdom trong NTRK và netviewx ( http://www.ibt.ku.dk/jesper/NTtools/ ) epdump truy vấn bộ ánh xạ điểm cuối RPC và nêu các dịch vụ kết gán với các địa chỉ IP và các số hiệu cổng. Dùng phiên làm việc rỗng, get mac hiển thị các địa chỉ MAC và các thiết bị của các card giao tiếp mạng trên các máy từ xa. Điều này cung cấp các thông tin hữu ích giúp hacker định hình một hệ thống có nhiều giao diện trên mạng . netdom còn hữu ích hơn điểm danh các thông tin chính về các domain NT trên tuyến, bao gồm tư cách thành viên domain và các danh xưng của Backup Domain Controllers . netviewx thường được dùng để dò tìm NT Remote Access Services ( RAS ) đề thu được khái niệm về số lượng các hệ phục vụ quay số tồn tại trên mạng Cuối cùng, quả thật đáng trách nếu không đề cập đến SNMP ( Simple Network Management Protocol ) như một nguồn thông tin NT tuyệt vời.SNMP sẽ được đề cập chi tiết hơn trong phần tiếp theo: kỹ thuật điểm danh người dùng ( user ) trong WinNT Điểm danh người dùng và nhóm (user and group) trong WinNT Trước khi đề cập đến điểm danh người dùng như thế nào , hãy nói đến công cụ cần dùng cho kỹ thuật này .Sau khi định danh một danh sách user , hacker có thể sử dụng các công cụ đoán pass tự động (brute force). Cũng như trường hợp của các tệp dùng chung, các máy NT config sai dễ dàng phun ra các thông tin user Một lần nữa, ta sẽ dùng tuyến nối rỗng để cung cấp khả năng truy cập ban đầu để chạy các công cụ hacking đã biết . cách đầu tiên và đơn giản nhất để định danh các user trên một hệ thống windows từ xa là dùng lệnh nbstat C:\> nbstat -A [IP] Dumping the NetBIOS Name Table with nbtstat and nbtscan Another great built-in tool is nbtstat, which calls up the NetBIOS Name Table from a remote system. The Name Table contains great information, as seen in the following example: C:\>nbtstat -A 192.168.202.33 NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- SERVR9 <00> UNIQUE Registered SERVR9 <20> UNIQUE Registered 9DOMAN <00> GROUP Registered 9DOMAN <1E> GROUP Registered SERVR9 <03> UNIQUE Registered INet~Services <1C> GROUP Registered IS~SERVR9......<00> UNIQUE Registered 9DOMAN <1D> UNIQUE Registered ..__MSBROWSE__.<01> GROUP Registered ADMINISTRATOR <03> UNIQUE Registered MAC Address = 00-A0-CC-57-8C-8A Kỹ thuật này cho ta nội dung bảng tên NetBIOS của hệ thống từ xa, nêu tên hệ thống, domai mà nó đang ở trong đó , và những user đã đăng nhập . Có vài công cụ NTRK khác có thể cung cấp thông tin về các user (dù có tuyến nối rỗng hay không) chẳng hạn như các trình tiện ích usrstat , showgrps, local, global nhưng công cụ thông dụng để lấy thông tin của user nhất vẫn là DumpACL. DumpACL có thể kéo một danh sách các người dùng, các nhóm, và các quyền user của hệ thống NT. Ngoài ra, hai công cụ điểm danh NT khác cũng khá mạnh là user2sid và sid2user của Evgenii Rudnyi ( xem http://www.chem.msu.sn:8080~rudnyi/NT/sid.txt ) muốn sử dụng tốt hai công cụ này cần phải có thời gian tìm hiểu. Tôi chỉ có thể nói là nó có thể làm việc ngay cả khi các quản trị mạng đã kích hoạt RestrictAnonymous , chỉ cần có thề truy cập port 139 ! SNMP (Simple Network Management Protocol )**** Một hệ thống NT đang chạy các tác nhân NT SNMP có thể truy cập bằng các chuỗi cộng đồng ngầm định như "public".Việc điểm danh các user NT thông qua SNMP là một điều dễ dàng khi dùng trình duyệt SNMP snmputil trong NTRK.Tuy nhiên, công cụ này lại cung cấp rất nhiều số liệu được coi là "lùng bùng, khó nhớ, khó hiểu".Do đó, để tránh rắc rối (hacking có quá nhiều rắc rối phải giải quyết rồi !!!) bạn có thể sử dụng trình duyệt SNMP của solar wind tên là IP network browser tại http://solarwinds.net . C:\>snmputil walk 192.168.202.33 public .1.3.6.1.4.1.77.1.2.25 Variable = .iso.org.dod.internet.private.enterprises.lanmanager. lanmgr-2.server.svUserTable.svUserEntry.svUserName.5. 71.117.101.115.116 Value = OCTET STRING - Guest Variable = .iso.org.dod.internet.private.enterprises.lanmanager. lanmgr-2.server. svUserTable.svUserEntry.svUserName.13. 65.100.109.105.110.105.115.116.114.97.116.111.114 Value = OCTET STRING - Administrator End of MIB subtree. The last variable in the preceding snmputil syntax—”.1.3.6.1.4.1.77.1.2.25”—is the ob-ject identifier (OID) that specifies a specific branch of the Microsoft enterprise Management Information Base (MIB), as defined in the SNMP protocol. The MIB is a hierarchical namespace, so walking “up” the tree (that is, using a less-specific number like .1.3.6.1.4.1.77) will dump larger and larger amounts of info. Remembering all those numbers is clunky, so.an intruder will use the text string equivalent. The following table lists some segments of the MIB that yield the juicy stuff: SNMP MIB (append this to .iso.org.dod.internet.private.enterprises.lanmanager.lanmgr2) Enumerated Information .server.svSvcTable.svSvcEntry.svSvcName Running services .server.svShareTable.svShareEntry.svShareName Share names .server.svShareTable.svShareEntry.svSharePath Share paths .server.svShareTable.svShareEntry.svShareComment Comments on shares .server.svUserTable.svUserEntry.svUserName Usernames .domain.domPrimaryDomain Domain name Win 2000 DNS Zone Transfers As we saw in Chapter 1, one of the primary sources of footprinting information is the Domain Name System (DNS), the Internet standard protocol for matching host IP ad-dresses with human-friendly names like amazon.com. Since Windows 2000 Active Direc-tory namespace is based on DNS, Microsoft has completely upgraded Win 2000’s DNS server implementation to accommodate the needs of AD and vice versa. For clients to locate Win 2000 domain services such as AD and Kerberos, Win 2000 re-lies on the DNS SRV record (RFC 2052), which allows servers to be located by service type (for example, LDAP, FTP, or WWW) and protocol (for example, TCP). Thus, a simple zone transfer (nslookup, ls –d ) can enumerate a lot of interesting net-work information, as shown in the following sample zone transfer run against the do-main “labfarce.org” (edited for brevity and line-wrapped for legibility). D:\Toolbox>nslookup Default Server: corp-dc.labfarce.org Address: 192.168.234.110 > ls -d labfarce.org [[192.168.234.110]] labfarce.org. SOA corp-dc.labfarce.org admin. labfarce.org. A 192.168.234.110 labfarce.org. NS corp-dc.labfarce.org . . . _gc._tcp SRV priority=0, weight=100, port=3268, corp-dc.labfarce.org _kerberos._tcp SRV priority=0, weight=100, port=88, corp-dc.labfarce.org _kpasswd._tcp SRV priority=0, weight=100, port=464, corp-dc.labfarce.org _ldap._tcp SRV priority=0, weight=100, port=389, corp-dc.labfarce.org Per RFC 2052, the format for SRV records is Service.Proto.Name TTL Class SRV Priority Weight Port Target NOVELL ********* Tuy nói WinNT là bạn của các "phiên làm việc rỗng" nhưng netware của Novell cũng gặp sự cố tương tự : +++ Network Neighborhood :Dùng Network Neighborhood để tìm hiểu về các hệ phục vụ và các "cây" sẵn dùng trên đường truyền .Bước này không đe dọa trực tiếp thông tin, nó chỉ như một bước khởi động đơn giản mà thôi. +++ Các tuyến nối Novell Client32 Chương trình Netware Services của Novell chạy trong khay hệ thống và cho phép quản lý các tuyến nối Netware của bạn thông qua tùy chọn Netware Connections khả năng này có thể cực kỳ quý giá trong việc quản lý các gắn kết và các đợt đăng nhập .Tuy nhiên, quan trọng hơn là sau khi tạo một mối gắn kết (attachment ), bạn có thể truy lục cậy NDS chứa hệ phục vụ, số hiệu tuyến nối, và địa chỉ mạng hoàn chỉnh.Điều này có thể hữu ích cho việc nối với hệ phục vụ về sau và giành quyền ưu tiên cấp điều hành (admin) +++On-site Admin : Xem các hệ phục vụ Novell Nếu không có tiến trình thẩm định quyền theo một hệ phục vụ đơn lẻ, bạn có thể dùng sản phẩm On-site Admin của Novell ( ftp://ftp.cdrom.com ) để xem tình trạng của mọi hệ phục vụ trên đường truyền.Thay vì gửi các yêu cầu quảng bá riêng, On-Site Admin dường như hiển thị các hệ phục vụ được Network Neighborhood lập cache, gửi các đợt quảng bá định kỳ riêng về các hệ phục vụ Novell trên mạng +++On-site Admin duyệt cây : Ta có thể duyệt hầu hết các cây Novell bằng On-site Admin. Trong trường hợp này , Client32 thực tế gắn kết với hệ phục vụ đã lựa bên trong cây. Lý do đó là theo ngầm định, Netware 4.x cho phép mọi người duyệt cây.Bạn có thể giảm thiểu điều này bằng cách bổ sung tính năng lọc các quyền thừa kế vào gốc cây. Những thông tin thu được quan On-Site Admin có thể giúp ta chuyển sang cuộc đột nhập hệ thống chủ động. Điểm danh NT kết thúc ở đây !!!! UNIX ******* Hầu hết các thực thể Unix hiện đại đều dựa trên các tính năng nối mạng TCP/IP chuẩn và do đó không dễ gì công khai thông tin thoải mái như NT thông qua các giao diện NetBIOS hoặc NetWare .Tất nhiên, điều đó không có nghĩa là Unix không bị các kỹ thuật điểm danh tấn công, nhưng kỹ thuật nào sẽ cho ra các kết quả tốt nhất ??? Điều đó còn tùy thuộc vào cách cấu hình hệ thống. Ví dụ như Remote Procedure Call (RPC) , Network Information System (NIS) và Network File System (NFS) của Sun Microsystem nhắm đến trong nhiều năm qua. Ta sẽ đề cập đến một số kỹ thuật cổ điển ngay sau đây. +++Điểm danh tệp dùng chung và tài nguyên mạng Unix Nguồn thông tin mạng Unix tốt nhất là những kỹ thuật TCP/IP đã mô tả trong Part II, nhưng một công cụ tuyệt vời hơn để đào sâu chính là trình tiện ích Unix showmount rất hữu ích trong việc điểm danh các hệ tập tin xuất khẩu NFS trên một mạng. Ví dụ : giả sử một đợt quét trước đó cho biết cổng 2049 (NFS) đang lắng chờ trên một đích tiềm năng . Như vậy, ta có thể dùng showmount để xem một cách chính xác các thư mục đang được share ra sao : showmount -e 192.168.202.34 export list for 192.168.202.34 /pub (everyone) /var (everyone) /usr (user) Khóa chuyển -e nêu danh sách xuất khẩu của hệ phục vụ NFS, đáng tiếc cho các nhà bảo mật ,và mừng cho hacker là lỗ rò rĩ thông tin này không thể nà bịt kín được , bởi đây là cách ứng xử ngầm định của NFS NFS không là phần mềm chia sẻ tập tin duy nhất mà bạn tìm thấy trên Unix , nhờ tính phổ dụng ngày càng tăng của bộ phần mềm sampa nguồn mở, cung cấp các dịch vụ tập tin và in trôi chảy cho các hệ khách SMB (Server Message Block )tạo thành nền móng của tính năng nối mạng windows .Samba có thể download tại http://samba.org và được phân phối cùng với nhiều bộ Linux.Mặc dù tập tin cấu hình hệ phục vụ Samba (/etc/smb.conf) có một số tham số bảo mật dể hiểu, việc cấu hình sai vẫn có thể dẫn đến các tập tin dùng chung mạng không được bảo vệ. Một nguồn tiềm năng khác về thông tin mạng của Unix là NIS.Sự cố chính với NIS là một khi biết được tên domain NIS của một hệ phục vụ, bạn có thể dùng một đợt truy vấn RPC đơn giản để thu thập bất kỳ bản ánh xạ NIS nào của nó. Các bản ánh xạ NIS là những phép ánh xạ phân phối thông tin quan trọng của từng hệ chủ domain chẳng hạn như nội dung tập tin passwd . Kiểu tấn công NIS truyền thống thường dùng các công cụ khách NIS để cố gắng đoán tên domain. Ngoài ra, còn một số công cụ khai thác cũng khá hữu ích là psean và snmpwalk +++Điểm danh người dùng và các nhóm Unix :Kỹ thuật này không thu được những thông tin thật quý giá, nó chỉ có thể cho bạn biết user nào là root trong hệ phục vụ đích. Công cụ : finger , rusers , rwho _ UNIX Users and Group Enumeration Perhaps the oldest trick in the book when it comes to enumerating users is the UNIX finger utility. Finger was a convenient way of giving out user information automatically back in the days of a much smaller and friendlier Internet. Wediscuss it here primarily to describe the attack signature, since many scripted attack tools still try it, and many unwitting sys admins leave fingerd running with minimal security configurations. Again, the following assumes that a valid host running the finger service (port 79) has been identified in previous scans: [root$]finger –l @target.hackme.com [target.hackme.com]. Login: root Name: root Directory: /root Shell: /bin/bash On since Sun Mar 28 11:01 (PST) on tty1 11 minutes idle (messages off) On since Sun Mar 28 11:01 (PST) on ttyp0 from :0.0 3 minutes 6 seconds idle No mail. Plan: John Smith Security Guru Telnet password is my birthdate. finger 0@hostname also turns up good info: [root$]finger 0@192.168.202.34 [192.168.202.34] Line User Host(s) Idle Location *2 vty 0 idle 0 192.168.202.14 Se0 Sync PPP 00:00:02 ****** Phần này được Tham khảo từ bài viết của tác giả Fantomas311 trên diễn đàn MATRIX2K và các cuốn sách “Bảo mật mạng Windows NT/95/98/2000 NOVELL/UNIX/LINUX Các giải pháp kỹ thuật” -- “ Bảo mật trên mạng, Bí quyết và giải pháp” Hai cuốn sách này có nội dung tương tự như nhau. “Bảo mật mạng Windows NT/95/98/2000 NOVELL/UNIX/LINUX Các giải pháp kỹ thuật” = “ Bảo mật trên mạng, Bí quyết và giải pháp” ]]> /hvaonline/posts/list/2218.html#11413 /hvaonline/posts/list/2218.html#11413 GMT Bản Lược dịch Hacking Expose 4th PHẦN I /hvaonline/posts/list/2218.html#67317 /hvaonline/posts/list/2218.html#67317 GMT