http://evilcodecave.blogspot.com/2009/11/dnascan-malicious-network-activity.html

Nmap, sistem yöneticilerinin geniş ağlarını taramasında ve hangi istemci/sunucusunda hangi servislerin çalıştığını saptamasında kullanabileceği bir araç olarak tasarlandı.

Nmap geniş bir tarama yelpazesini destekler ; UDP, TCP Connect, TCP SYN (Yarı Açık), FTP Proxy Bounce Atağı, TCP FIN, TCP Xmass Tree, ICMP (Ping Sweep), ACK Sweep, SYN Sweep ve Null Scan bunlara birkaç örnektir. Bahsi geçen port türleriyle ilgili daha ayrıntılı bilgi bu yazının ilerleyen bölümlerinde ve Port Tarama Nedir? yazımızda bulunmaktadır. Nmap ayrıca gelişmiş özelliklere sahip bir araçtır, TCP/IP parmak izleri ile hedefin işletim sistemini saptayabilir, Stealth (Gizli) tarama yapabilir, taramalarında dinamik zamanlamalar kullanılabilir, paralel taramalar yapabilir, ping atarak aktif hostları bulabilir, RPC taraması yapabilir, esnek port ve hedef özelliklerine sahiptir.

Unutulmaması gereken en önemli nokta hedef sistemde açık olan portların nmap’in standart olarak nitelendirilen ve /etc/services dosyasından aldığı port numarası ve sunucu servis karşılaştırılmaları tablosu aracılığıyla tespit edilmiş olmasıdır.

Örnek olarak standart kullanımda 21/TCP ftp protokolü için kullanılan bir port olması dolayısıyla bu portu açık bulan nmap servisin ftp olduğunu bildirecektir, ancak o portu dinleyen servis farklı bir servis (örnegin vnc sunucusu) olabilir.

Şimdi neler yapabileceği anlatıldığına göre sıra bunların nasıl yapıldığını anlatmaya geldi.

Tarama Türleri

-sT  TCP Connect Scan : En basit anlamda çalışan tarama tekniğidir, hedef porta bağlanmak için SYN paket gönderir, karşılığında SYN/ACK paketi gelirse ACK paketi göndererek porta bağlanır ve portun açık olduğunu rapor eder, eğer SYN paketine RST cevabı gelirse portun kapalı olduğunu rapor eder. Bu tarama türünde extra paket özelliklerine sahip olmak gerekmediği için root olmayan kullanıcılarda kullanabilir. En kötü özelliği açılan tüm oturumların hedef sistem, Firewall yada IDS tarafından loglanıyor olmasıdır.

-sS TCP SYN Scan : Yarı açık olarakta tanınan SYN tarama oturumu tamamen açmaz, SYN paketinin karşılığında SYN/ACK paketi geldiğinde portun açık olduğunu rapor eder ve RST paketi göndererek oturumu kapatır, port kapalı ise hedef zaten direk RST cevabı gönderir. Bu yöntemi uygulayabilmek için root olmak gerekmektedir. IDS ve Firewall’lara yakalanma ihtimali ve loglanma ihtimali azdır.

-sF, -sX, -sN : Bu tarama yöntemleri ise sırayla gizli FIN , Xmass Tree ve Null Scan’dir. IDS ve Firewall’ların SYN taramaları loglayabileceğini düşünerek kullanılan yöntemlerdir. FIN, Xmass Tree ve Null scan paketlerinin gönderilmesi durumunda hedefin RFC 793’te açıklandığı gibi kapalı olan tüm portlar için RST cevabı göndermesi mantığına dayanır. Bu yöntem IPeye ve NmapNT ile windows platformunda da uygulanabilmektedir. Ayrıca bu tarama yöntemleri açık port buluyorsa (FIN taramada Windows sistemlerindeki tüm portlar açık olarak görünmektedir, çünkü Windows tabanlı sistemler bir oturuma ait olmayan FIN paketleri ile karşılaşıyorsa tümünü göz ardı ederler ve göz ardı edilen paketler standart olarak portun açık olduğu anlamına gelir.) hedefin sistemi Windows tabanlı değildir. Eğer SYN scan açık port buluyor ve bu tarama yöntemleri bulamıyor ise hedef Windows tabanlı bir sisteme sahip demektir. Nmap’in İşletim sistemi saptama özelliklerine bu durum dahildir. Windows’la aynı tepkiyi veren bazı sistemler ise Cisco, BSDI, HP/UX, MVS ve IRIX’ tir.

-sP Ping Sweep : Taranılan ağda hangi hostların aktif olduğuna ihtiyaç olduğunda kullanılan genel yöntem ICMP Echo paketleri gönderip cevap beklemektir, son zamanlarda bu ping isteklerinin Firewall’lar tarafından bloke edildiği düşünüldüğünde alternatif çözümler geliştirilmelidir. Bu durumda nmap TCP ACK paketi gönderiyor (standart olarak 80. porttan – değiştirilebilir), eğer porttan RST cevabı geliyorsa sistemin aktif olduğu rapor ediliyor. Diğer alternatif teknikte bir SYN paket gönderip hedeften SYN/ACK yada RST cevabı beklemektir, her iki cevapta sistemin aktif oldugunu gösterir. Root olmayan kulanıcılar için ise standart TCP Connect yöntemi kullanılır. Standart olarak ICMP ve ACK teknikleri paralel olarak uygulanır. Eğer bunun değiştirilmesi istenirse -P* parametreleri kullanılarak bu yöntemler değiştirilebilir. Ayrıca bu pingleme işlemi tamamlandığında sadece aktif sistemler taranır, bu seçenek ping taraması kullanmadan port taramaya geçmek isteniyorsa kullanılabilir.

-sU UDP Scan : Bu teknik hedef bilgisayarın UDP portlarından hangilerinin açık olduğunu saptamak için kullanılır.

(RFC 768) Hedef makinede açık olduğu düşünülen porta 0 byte’lik bir UDP paket göndermek ve “ICMP Port Unreachable” paketini beklemek temeline dayanır. Paket gelirse port kapalı gelmezse açık olduğuna karar verilir. Bazı insanlar UDP taramayı önemsemezler. Önemsemelerini gerektiren sebepler arasında Tftp, NFS, Snmp gibi protokollerin UDP üzerinden çalışması ve Solaris’in RPCBind açığı sayılabilir.

-sA ACK Scan : ACK tarama yöntemi Firewall`ların ACL`lerini bypass ederek tarama yapılmasını sağlar. Bazı Firewall`lar stateful yada basit paket filtreleme Firewall`ları olabilir, dışarıdan gelen SYN paketlerini bloke edebilir ancak ACK flag’lı paketin geçişine izin veriyor olabilir. Rastgele üretilmiş ack/sequence numaralarıyla yapılır. Cevap gelmezse yada ICMP port unreachable mesajı geliyorsa port filtrelenen bir porttur. Nmap genellikle portlar için unfiltered nitelemesi yapmaz. Bu taramada bulunan portları asla açıkca `open` olarak nitelendirmez.

-sW Window Scan : Bu gelişmis tarama türü ACK tarama türüne çok benzer, portların açık olup olmadığını taraması dışında bu portları filtered/unfiltered olarak nitelendirir ve çerçeve boyutundaki farklılıklardan hedefin işletim sistemini saptar. Aralarında AIX, Amiga, BeOS, BSDI, Cray, Tru64 UNIX, DG/UX, OpenVMS, Digital UNIX, FreeBSD, HP-UX, OS/2, IRIX, MacOS, NetBSD, OpenBSD, OpenStep, QNX, Rhapsody, SunOS 4.X, Ultrix, VAX ve VxWorks gibi işletim sistemlerininde bulunduğu işletim sistemlerinin bazı versiyonları bu durumdan etkilenir. Tam listeye ulaşabilmek için Nmap-Hackers posta listesinin arşivlerine bakılabilir.

-sR RPC Scan : RPC taramaları için diğer tarama türleriyle beraber kullanılır. Bütün TCP/UDP portları tarayarak açık bulduğu portlarda SunRPC`nin “NULL” komutlarını kullanarak rpc portlarını saptamaya çalışır, eğer rpc portu bulursa çalışan program ve sürümlerini saptamaya çalışır. Böylece Firewall yada diğer paket filtreleme cihazları hakkında bazı işe yarar bilgiler saptamaya çalışır. Decoy özelliği şu an için RPC taramalarda kullanılamıyor ancak bazı UDP RPC taramalarında bu özellik nmap`e eklenmiştir.

-b (ftp relay host) : Ftp protokolunun ilginç bir özelliği proxy için destek vermesidir (RFC 959). Bunun için öncelikle hedefin ftp sunucusuna bağlanmak gereklidir, daha sonra internette herhangi bir yerden o sunucuya bir dosya gönderilebilir. RFC nin yazıldığı 1985 yılından günümüze kadar ftp bu özelliğe sahip olabilir. Böylece bir ftp sunucu üzerinden TCP port tarama yapabilme imkanıda kazanılmış olur. Bu seçenek ile bu denemeler uygulanabilir.

Genel Seçenekler

-P0 : Ping atmayı denemeden tüm hostları nmap`e taratmak için kullanılır. Bazı ağlar ICMP Echo ve ICMP Echo Reply paketlerini bloke etmektedir, böyle durumlarda -P0 yada -PT80 kullanılmalıdır. Böylece Firewall`un arkasındaki sistemleri saptama imkanı kazanılmaktadır.

-PT : TCP ping atılarak aktif sistemlerin saptanması için kullanılmaktadır. ICMP Echo paketlerinin engellendiği ağlarda
TCP ACK flag’lı paketler göndererek etkili olmaktadır. Eğer hedef sistemler aktif ise RST flag’lı paketler gönderir ve böylece aktif olduğu anlaşılır. Bu seçeneğin kullanılması için root olunması gereklidir. -PT[port] şeklinde kullanılır ,
varsayılan portu 80`dir. Eğer hedef ağda kullanılan filtreleme cihazı statik paket filtreleme cihazı ise bu paketin erişim kontrol listelerine rağmen içeri girmesi mümkündür.

-PS : SYN flag’lı paketler ile TCP ping taraması için kullanılır. Hedefe SYN flag’lı bir paket gönderilir ve hedeften RST yada SYN/ACK flag’lı paketler beklenir. Eğer bu paketlerden biri gelirse hedefin aktif olduğuna karar verir.

-PI : Standart ICMP ping taramaları için kullanılır. Hedefe ICMP Echo (type 0) paketi göndererek karşılığında ICMP
(type paketi bekler, eğer bu paket gelirse hedefin aktif olduğuna karar verir. Ayrıca bu tarama türüyle broadcast ping’de atılmaktadır ve böylece broadcast ping isteklerine cevap veren bilgisayarlarda saptanmaktadır. Bu durum hedefe denial of
service (servis durdurma) saldırılarından bazılarını test etmek içinde kullanılır. (Smurf , TFN gibi)

-PB : Varsayılan ping taramalarında kullanılacak ping türüdür. 2 yönlü olarak yapılmaktadır. İlki ACK (-PT) flag’lı TCP
paketiyle ikincisi ise ICMP Echo paketleriyle yapılan ping türüdür. Firewall`ların arkasındaki sistemleri belirlemek için ikisinden sadece biri kullanılır.

-O : Bu seçenek aktif durumdaki hedef sistemin TCP/IP parmakizleriyle işletim sistemini saptamak için kullanılır. Taranılan hedefin işletim sistemini tüm taramalardaki farklılıkları birleştirerek saptamaktadır. Bu taramalara işletim sistemlerinin verdikleri cevaplar nmap tarafından bir veritabanında tutulmaktadır ve karşılaştırmalar bu veritabanı üzerinden yapılmaktadır. Bu veritabanında düzenlemeler yaparak bilinen işletim sistemlerinin listeye eklenmesi mümkündür. Eğer nmap tanımadığı bir işletim sistemi olduğunu söylüyorsa ve siz bu işletim sisteminin hangi işletim sistemi olduğu ve versiyonu hakkında bilgiye sahipseniz nmap`in yazarı Fyodor`un fyodor@dhp.com adresine mail yolu ile çıktıları gönderebilirsiniz. Daha ayrıntılı bilgi almak için Nmap’in Anasayfasında bulunan “Remote OS detection via TCP/IP Stack FingerPrinting” isimli dökumana başvurabilirsiniz. Bu dökumanın Egemen Taş tarafından çevrilmiş türkçe sürümüde mevcuttur.

-I : Bu seçenek Ident protokolü ile tarama yapma imkanı sunmaktadır. Dave Goldsmith tarafından 1996 yılında Bugtraq
posta listesine atılan postada Ident protokolunun (RFC 1413) herhangi bir servisi başlatan kullanıcının saptanmasına izin verdiği belirtilmiştir. Örnegin eğer http portu açık ise ve dinleyen servisi başlatan kullanıcının root olduğu saptanıyorsa bu
programdan kaynaklanabilecek olası güvenlik zayıflıkları işletim sistemine root haklarıyla erişimi sağlayabilir. Diğer tarama yöntemleri ile beraber kullanılır ancak hedef bilgisayarda Identd aktif durumda değil ise kullanılabilir durumda
değildir.

-f : Bu seçenek SYN, FIN , XMAS veya Null taramalarda kullanılabilir durumdadır. Teori hedef sistemdeki Firewall ,
diğer paket filtreleme cihazlarının yada saldırı tespit sistemlerinin parçalanmış paketlerden taramayı farkedemeyecekleri temeline dayanmaktadır. Kullanılması tavsiye edilmektedir. Ancak bu teknik hedef sistemlerde gelen parçalar bekletilip bütün parçalar geldikten sonra hedefe gönderiyorsa işe yaramamaktadır. Bu özellik henüz tüm işletim sistemleri üzerinde
çalışmamaktadır ; ancak Linux , FreeBSD ve OpenBSD üzerinde çalışmaktadır. Diğer *nix sistemlerde başarı ile çalıştırılması durumunda yazara bildirilmesi rica edilmektedir.

-v : Verbose seçeneğinin kullanımı tavsiye edilmektedir çünkü taramalar hakkında daha fazla bilgi gösterilmesini
sağlamaktadır. Çıktıları iki kez alma imkanına böylece kavuşulmuş olur, eğer bu çıktılar yetmiyorsa -d seçeneği ile ekrana
tamamen sığamayacak kadar bilgi alınabilir.

-h : Nmap`in sıkça kullanılan bazı parametrelerinin kullanımı konusunda yardımcı bilgiler içerir. Bir nevi hızlı başvuru
klavuzu denilebilir.

-on (Log Dosyası) : Nmap`in ürettiği sonuçları ismi verilen dosyaya yazmasını sağlar.

-oM (Log Dosyası) : Nmap`in ürettigi sonuçlari ismi verilen dosyaya makine okuyabilir şekilde yazmasını sağlar. / | , gibi noktalama işaretleriyle sonuçları ayırır. -v parametresi kullanılarak daha fazla ayrıntı yazdırılması da sağlanabilir.

–resume (Log Dosyası) : CTRL+C ile yarıda kesilen taramaların devam etmesi için kullanılır. Ancak yarıda kesilen tarama -on yada -oM kullanılarak bir log dosyasına kayıt edilmiş olmalı ve bu log dosyası parametre ile verilmelidir. Nmap bu log dosyasındaki başarılı son taramadan itibaren taramaya devam eder.

-iL (Log Dosyası) : Nmap`e taranacak hedeflerin bir dosya aracılığıyla verilmesini sağlar. Bu dosyada hedefler boşluk , sekme yada yeni satırlarla sıralanmış olabilir.

-p (port aralığı) : Bu seçenek ile nmap`in özel port aralıklarını taraması sağlanabilir. Örneğin `-p 23` hedefin 23. portunu
tarayacaktır. `-p 20-30, 139, 60000-` ise 20 ile 30 arasındaki tüm portların 139. portun ve 60000`den büyük tüm portların
taranmasını sağlayacaktır. Varsayılan değeri 1 ile 1024 arasındaki tüm portlar ve /etc/services dosyasında listelenmiş
portların taranmasıdır.

-F Hızlı tarama : Özel bir portun taranması istenmiyorsa , sadece /etc/services dosyasındaki portların taranması
isteniyorsa kullanılabilecek bir seçenektir.

-D [yanıltma1], [yanıltma2], [ME] : Hedefi tararken ait olduğu sistemin IP`sini saklamaya yardımcı olur. Normalde taramalar bir IDS , Firewall yada diğer paket filtreleme cihazlarına kaydedilebilir ve gelen paketler bu sistemden geldiği için IP bilgisi log dosyalarına kaydedilmektedir. Ancak decoy yani yanıltma yada tuzak kullanıldığı durumda bu sistemin IP si ile beraber parametre olarak verilen diğer IP`lerde taramalarda görünecektir ve onlardan da hedefe paket geliyormuş gibi olacaktır. Bu durum bazı paket filtreleme cihazlarının ve port tarama saptayıcılarının yanılmasına veya birden fazla hata vermesine sebep olabilmektedir, böylece söz konusu tarama çok daha az dikkat çekecektir. Yanıltmalar aralarında `,` işareti ile ayrılarak girilmelidir, istenirse parametlere `ME` seçenegi eklenerek bu sistemin IP`sinin de decoylar arasında istenilen bir sırada bulunması sağlanabilir. Bazı port tarama saptayıcılar (Örneğin scanlogd) 6. pozisyon yada sonrasında bu sistemin IP`sini farkedemeyebilir. Eğer `ME` seçeneği yanıltmalar arasında kullanılmazsa nmap sistem IP`sini rastgele bir pozisyona koyacaktır. Dikkat edilmesi gereken bir durumda seçilen yanıltmaların aktif durumda olması yada kazayla hedefe SYN Flood denilen DOS atağının yapılma olasılığıdır. Ayrıca kullanılan yanıltmaların tamamının aktif olmaması durumunda kolayca port taramayı yapan sistem anlaşılacaktır. Yanıltma özelliği ping taramalarında da (ICMP, SYN , ACK yada hangisi olursa) kullanılabilir durumdadır. Yanıltma ayrıca -O seçeneği yani işletim sistemi saptama seçeneği ile beraberde kullanılabilmektedir. Kullanılan yanıltmaların sayısı kadar taramalarda yavaşlayacaktır. Ayrıca bazı ISP`ler spoof yapılmış yani yanıltılmış IP`lerin barındığı paketleri hedefe ulaşmadan önce kendi ağ bölümünden olmadığı için
engelleyebilir.

-S (IP Adresi) : Bazı durumlarda nmap sistemin kaynak IP`sini belirleyemeyecektir, ki bunuda söyleyecektir. Böyle
durumlarda -S seçeneğini kullanılarak kaynak IP`si nmap`e belirtilebilir. Ayrıca bu seçenek ile IP spoofing denilen adres
yanıltmasıda kullanılabilir. Örneğin taramalarda hedefin rakip şirketinin IP`leri kullanılabilir, bu epey yanıltıcı olacaktır.
Ancak bu seçeneğin böyle kullanılması desteklenmemektedir. Çünkü bu durum taramalardan başkalarının sorumlu tutulma
ihtimalini yükseltmektedir. -e seçeneği genellikle bu seçenek kullanılırken gerekli olmaktadır.

-e (arayüz) : Nmap`e taramaları yaparken paketleri hangi ağ arayüzünü kullanarak gönderebileceğinin belirtilmesini
sağlar. Nmap bunu bazı durumlarda belirleyememekte ve bunu söylemektedir.

-g (port numarası) : Taramalarda paketlerin kaynak portlarını isteklere göre belirlemeyi sağlar. Bazı paket filtreleme
cihazları ve Firewall`lar oturumun ilk olarak hangi taraftan başlatıldığını saptayamayabilirler. Genelde statik paket filtreleme cihazlarında karşılaşılan bir durum olmasına rağmen dinamik paket filtreleme cihazlarında da benzer durumlar
geçerlidir. Böylece 20/TCP ftp data ve 53/TCP-UDP gibi portların kaynak port olarak ayarlanması durumunda filtreleme cihazlarının erişim kontrol listelerinin içinden geçerek hedefe ulaşma gibi bir şans sunulur. Genelde saldırganlar
gönderdikleri paketlerde kaynak portları bu şekilde ayarlayarak paketlerini ftp yada dns geri dönüşleriymiş gibi maskeleyebilir ve filtreleme cihazlarını geçme şansı kazanırlar. UDP taramalarında.

53/UDP, TCP taramalarınızda ise
53/TCP’den önce 20/TCP yani FTP-DATA portu kullanılabilir. Nmap -g seceneği ile kaynak portu belirleme şansını
sunmaktadır.

-r : Nmap`e taramalarda portları rastgele değilde sırayla taramasını belirtmek için kullanılır.

–randomize_hosts : Nmap`in verilen aralıktaki taranacak sistemleri rastgele sırayla taramasını sağlamak için kullanılır.
Bazı IDS`lere yakalanmamak için bu teknik ile beraber işlemleri zamanlama seçeneklerini kullanarak yavaşlatmakta etkili olabilir.

-M (en fazla soket sayısı) : Aynı anda açılabilecek en fazla soket sayısını belirtmek için kullanılır. Taramaları daha
yavaş yaparak yakalanmamak ve hedef sistemin çökmesini engellemek için kullanılabilir.

Zamanlama Seçenekleri

Genellikle Nmap ağ yapılarına göre zamanlamasını ve daha hızlı/yavaş tarama şekillerini belirleyebilir, böylece saptanamayan sistem sayısını minimuma indirmiş olur. Ancak nmap`in zamanlama ayarlarında değişiklik yapma ihtiyacı
oluştuğunda aşağıdaki parametreler kullanılarak bu değerlerin değiştirilmesi mümkündür.

-T (Paranoid | Sneaky | Polite | Normal | Aggressive | Insane) : Bu seçenek belirli zaman periyotlarının ve belirli son bekleme sürelerinin poliçelere aktarılmış halidir ve kullanımı kolaylaştırmak için yapılmıştır. Paranoid , taramalar yavaşça ve aralarında fazlaca zaman bırakarak IDS`lere yakalanmadan taramanın tamamlanması için yapılmıştır. Sneaky, taramalar arası 15 sn. aralıklarla paketleri gönderir. Polite, hedef ağı kolayca meşgul edebilecek ve hedef sistemi kilitleyebilecek kadar hızlı bir taramadır. Portların taranması arasında 0.4 sn. den az bir zaman vardır. Normal, standart nmap tarama süreleridir. Aggressive, sistem başına 5 dakikalık bekleme süresi ve 1.25 sn.lik bir porttan cevap bekleme süresine sahiptir. Insane, hızlı ağlarda kullanışlıdır, sistem başına 0.75 sn.lik bekleme port başına ise 0.3 sn. cevap bekleme süresine sahiptir.
Bu arada seçenek içinde poliçenin sadece adını yazmak yerine sayısıda yazılabilir, -T0 Paranoid -T5 ise Insane`e karşılık gelmektedir.

–host_timeout (milisaniye) : Bir sistemin taranması durumunda özel bekleme süresinin belirlenmesi için kullanılır.
Standart olarak nmap süre sınırı belirtmez.

–max_rtt_timeout (milisaniye) : Nmap`in bir porta gönderdiği paketin cevabını bekleyeceği sürenin en fazla ne kadar
olacağının belirlenmesi için kullanılır, standart değerin 9000 oldugu varsayılır.

–min_rtt_timeout (milisaniye) : Nmap sistemin cevaplarının çabuk gelmesi durumunda bekleme süresinin değerini
düşürmektedir. Böyle durumlarla karşılaşmamak ve belirli bir bekleme süresini garantiye almak amacıyla verilebilecek en
az bekleme süresidir. Böylece zaman farkından kaynaklanacak paket kayıpları minimuma indirilmiş olur.

–initial_rtt_timeout (milisaniye) : İlk araştırma için süre sınırı belirtmeyi sağlar. Genellikle sadece Firewall ile korunan
sistemlerin -P0 seçeneği ile taranması durumunda kullanışlıdır. Normalde nmap ilk ping isteği ve ilk birkaç denemeden
sonra iyi bir rtt zamanlaması yapar. Varsayılan değeri 6000`dir.

–max_parallelism (sayi) : Aynı anda en fazla kaç işlemin beraber yapılabileceğinin belirlenmesi için kullanılır. Bu
seçenek ayrıca RPC taraması , Ping taraması gibi taramalarıda etkiler.

–scan_delay (milisaniye) : Taranan portlar arasındaki bekleme zamanının belirlenmesini sağlar. Aği fazla yüklememek,
hedef sistemi kilitlememek ve sessizce tarayarak IDS`lere yakalanmamak için kullanışlıdır.

Hedef Özellikleri

Nmap oldukça esnek bir hedef seçme özelliğine sahiptir. İstenilirse IP adresi vererek /maske ile taranacak ağı belirtmek
mümkündür. Örnegin /24 C sınıfı bir ağ için /16 B sınıfı bir ağ için kullanılabilir. Ayrıca B sınıfı bir ağı taramak için
128.210.*.* , `128.210.*.*` , 128.210.0-255.0-255 yada 128.210.0.0/16 gibi düzenler kullanılabilir. Bu tanımlamaların
hepsi geçerlidir.

Örnekler:

nmap -v -sS -O www.ornek.com

Bu örnekte -v seçeneği daha fazla bilgi almayı , -sS seçeneği SYN tarama uygulanmasını , -O seçeneği ise hedefin işletim
sistemini saptamayı sağlar.

nmap -sX -p 22,53,110,143,4564 128.210.*.1-127

Bu örnekte ise -sX seçeneği Xmass Tree taramasının uygulanmasını , 22,53,110,143,4564 nolu portların taranmasını ve
128.210.*.1-127, 128.210.0.0/16 ağında IP`si 1 ile 127 arasındaki tüm hostların taranmasını ifade eder.

Kaynak: Nmap Manuel
Çeviren: Bu döküman Fatih Özavcı tarafından NMAP`in ingilizce yazılmış “manual” sayfasından derlenmiştir. Anlatımı kolaylaştırmak amacıyla bazı bölümler çıkartılmış bazı yerler ise değiştirilmiştir. Yazarın ve Derleyenin haklarına saygı duyarak her türlü kaynakta yazılması ve yayınlanması serbesttir.

El virus Conficker (también llamado Downandup o Kido) es, probablemente uno de los mas activos desde su aparición en Octubre de 2008.

En este post vamos a analizar cómo detectar equipos infectados con Conficker, en sus diferentes variantes, en una red.

Introducción

Primero, aclarar que este post se dirige exclusivamente a la detección de Conficker, y no a su eliminación. Detectar este virus es complicado debido a que es polimórfico y se guarda a sí mismo de forma cifrada de tal forma que muchos antivirus no consiguen detectarlo.

El virus aprovecha una vulnerabilidad publicada por Microsoft en Octubre de 2008 en el boletín MS08-067 y se corrige mediante la instalación del parche KB958644

Asimismo, Conficker ha sufrido diferentes mutaciones que le permiten infectar a otros equipos no sólo explotando dicha vulnerabilidad, sino a través de dispositivos de almacenamiento USB en equipos que tengan activada la función “autorun” (activada por defecto) usando un archivo autorun.inf que llama al ejecutable malicioso, aprovechando usuarios con password en blanco o débiles, o incluso mediante ataques de fuerza bruta y de diccionario.

Dado que Conficker se esconde bien, en ocasiones y sobretodo si administramos una red relativamente grande, la detección de equipos infectados puede convertirse en un auténtico quebradero de cabeza. Por suerte, existen herramientas que facilitan la labor.

Para más información sobre Conficker, recomiendo leer la entrada de Wikipedia al respecto.

La siguiente ilustración (también de Wikipedia) muestra los diferentes mecanismos de propagación e infección de Conficker:

Estas herramientas se basan en el excelente trabajo realizado por el grupo especializado en Conficker de la  Universidad de Bonn.

Detectando Conficker en la LAN: herramientas

1-Nmap

La conocida herramienta Nmap permite, desde la versión 4.85, detectar si un equipo o rango de equipos de la red está infectado con Conficker. Puede detectar además, si el equipo dispone del parche KB958644.

Lo primero sería descargar la última versión de Nmap desde su web oficial e instalarlo.

Una vez instalado, bastará con ejecutarlo con los parámetros adecuados que buscan la presencia de Nmap en la IP, red, o rango especificados:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns
 --script-args safe=1 192.168.100.0/24

En el ejemplo anterior, lanzaríamos una auditoría en busca de Conficker para la red 192.168.100.0/24.

Una máquina limpia aparecerá como  “Conficker: Likely CLEAN”, mientras que una posiblemente infectada indicará “Conficker: Likely INFECTED”

Podríamos añadir al final del comando algo así como “> C:\detecciones.txt” para que nos guarde un archivo de texto con los resultados del escaneo.

Otro ejemplo:

nmap --script smb-check-vulns.nse -p445 <host>
sudo nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 <host>

Salida del comando anterior en caso de que el equipo “host” estuviese infectado:

Host script results:
|  smb-check-vulns:
|  MS08-067: FIXED
|  Conficker: Likely INFECTED
|  regsvc DoS: FIXED
|_ SMBv2 DoS (CVE-2009-3103): VULNERABLE

2- Nessus

Nessus también dispone de un plugin específico para detectar la presencia de Conficker en una red.

Descargar Nessus desde su web oficial, e instalarlo. Nos pedirá registro (gratuito para uso doméstico) para poder descargar todos los plugins disponibles.

Una vez iniciado, en la pestaña Scan indicamos:

- Host/rango/red/subred a escanear

- Creamos una política específica para que escanee sólo con los plugins de Conficker. Para la creación de la política, tendremos en cuenta:

a) Pestaña “credentials”: añadiremos aquí las credenciales de los equipos a escanear (usuario, contraseña y dominio si procede). No es imprescindible, pero si muy necesario; sin credenciales para que la herramienta inicie sesión en los equipos, podría haber equipos infectados que no fuesen correctamente detectados.

b) Plugin selection: pinchamos en “Find” y escribimos “conficker” en la ventana “name contains…”. Automáticamente seleccionará los dos plugins que detectan Conficker.

c) Advanced:  seleccionar “Global variables settings”  y poner la opción “Log verbosity” en “debug” y “Debug level” en “1″ para obtener más información.

Hecho esto, lanzar el análisis. Los resultados aparecerán en el log C:\Program Files\Tenable\Nessus\nessus\logs\nessud.dump  y será algo así como:

conficker_detect.nasl(172.16.127.159): host is clean
 conficker_detect.nasl[29689.24]>DEBUG: conficker_detect.nasl(172.16.127.163): host is INFECTED
 conficker_detect.nasl[29690.24]>DEBUG: conficker_detect.nasl(172.16.127.164): host is clean
 conficker_detect.nasl[29692.24]>DEBUG: conficker_detect.nasl(172.16.127.166): host is clean
 conficker_detect.nasl[29691.24]>DEBUG: conficker_detect.nasl(172.16.127.165): host is clean
 conficker_detect.nasl[29654.22]>DEBUG: conficker_detect.nasl(172.16.127.128): Could not connect to port 445

Más información en este enlace.

3- Foundstone Conficker Detection Tool

Foundstone, empresa de seguridad propiedad de McAfee, especializada en sistemas de auditoría de red, ofrece una herramienta gratuita llamada “Foundstone Conficker Detection Tool” que se puede descargar desde la propia página de la compañía. Conviene decir que sólo detecta las variantes B, C y E del virus.

El uso es sencillo, y no requiere instalación ni credenciales de los equipos a escanear. Ejecutamos la herramienta, indicamos el host o rango a escanear (permite importar un listado de IP’s desde un archivo), y el resto de opciones si queremos (por ejemplo, podríamos indicar que envíe un mensaje a los usuarios de los equipos infectados).

Bueno, ahora vengo a presentaros un proyecto en el que estoy dedicando mi tiempo libre últimamente se trata de Sec-track

¿Qué es Sec-Track?

Sec-Track es un proyecto colaborativo que ofrece un repositorio de recursos relacionados con la implementación y desarrollo de laboratorios  de entrenamiento e investigación sobre Seguridad Informatica. Estos recursos son distribuidos por  medio de entornos virtualizados que asemejan entornos reales, dichos entornos pueden ser implementados en diferentes ambientes de capacitación e investigación.
Sec-Track ofrece también un amplio repertorio de instrucciones para la implementación de entornos de virtualización, con la finalidad de que cada interesado en implementar uno de los laboratorios y/o entornos disponibles pueda hacerlo simplemente siguiendo dichas instrucciones.
Sec-Track pone a disposición la documentación base para el desarrollo de entornos virtualizados por parte de los usuarios inscritos. Estos serán publicados en Sec-Track y cualquier persona, organización o entidad podrá descargarlos y tratar de cumplir con los objetivos propuestos por sus desarrolladores.

Otro de los objetivos de Sec-Track es ofrecer un espacio colaborativo en el cual, las diferentes comunidades y usuarios puedan publicar sus propios entornos de entrenamiento, retos y pruebas en cualquiera de las diferentes temáticas, con la finalidad de que las demás comunidades puedan descargarlos e implementarlos para buscar una solución al mismo, pero aun más importante generar la respectiva documentación de dicho proceso.

¿Cómo puedo participar en Sec-Track?

Todos son bienvenidos a Sec-Track (Y).

Sec-Track pone a disposición una serie de recursos para la implementación de laboratorios de entrenamiento en seguridad (entornos, retos, wargames, pruebas, CTF, documentación, etc) cada usuario puede descargar y poner a prueba sus conocimientos o adquirirlos siguiendo los video tutoriales y documentación publicada.

Los usuarios más avanzados pueden proponer nuevas formas de cumplir dichos objetivos, nuevos retos o mejorar los ya existentes.

¿Cuáles son las temáticas que abarca Sec-Track?

Sec-Track tratará de cubrir cada una de las temáticas relacionadas con la seguridad informática. Por ahora ofrecemos los siguientes campos de acción:

• Test de Penetración
• Análisis de Malware
• Criptografía
• Aseguramiento (Hardening)
• Ingeniería Inversa
• Informática Forense
• Gobierno IT

¿Cómo funciona Sec-Track?

Sec-Track es un proyecto colaborativo. Por lo tanto espera ser autosostenible a nivel de contenido y publicaciones.

Esto quiere decir que se publicarán una serie de entornos, retos, pruebas, wargames, etc. y estos deben ser solucionados por sus propios usuarios (comunidades, grupos de estudio e investigación, empresas, listas de seguridad, etc.)

La finalidad es que alguno de estos grupos publique la respectiva documentación (papers, video tutoriales, audios) de como realizó dicho proceso.

Si uno de estos grupos tiene una nueva propuesta basada en los entornos publicados o sobre nuevos entornos (aseguramiento, análisis forense, aumento de complejidad de las técnicas utilizadas) puede utilizar el formulario de contacto y enviar estas ideas para que sean implemetadas en Sec-Track.

En otras palabras:

Sec-Track: Propone y reta.

Tu: Descargas, implementas, solucionas, analizas, aseguras, mejoras, documentas y compartes!…Propones y retas!!

Bueno una vez sabemos que es sec-track, veamos que objetivos nos proponen:

Estos son algunos de los objetivos generales a alcanzar mediante el desarrollo de los entornos De-Ice I, II, III y PwnOS.

• Realizar un mapeo de red e identificar la dirección IP del sistema objetivo.
• Identificar el estado de los puertos (abietos/filtrados).
• Identificar  los servicios / aplicaciones / versiones / Sistema Operativo.
• Identificar la estructura de directorios.
• Identificar los posibles usuarios del sistema.
• Listar las técnicas de obtención de dichos datos.
• Listar los resultados obtenidos.
• Búsqueda y verificación de vulnerabilidades y errores de configuración por aplicación o servicio.
• Listar las posibles vulnerabilidades y puntos de intrusión.
• Testear las aplicaciones (autenticación, firewalls, exploits, etc)
• Penetración del sistema, descifrado de passwords, escalada de privilegios, recuperación de información crítica, etc.
• Backdoors y cubrimiento de huellas.
• Reporte básico.

Primero nos descargaremos la ISO y la haremos correr en VMware, la explicación de cómo hacer eso la podeis encontrar aquí:

Instalación del primer entorno en VMware

Para empezar también nos cuentan la misión que hemos de llevar a cabo:

Un CEO de una pequeña empresa que ha sido presionado por el Comité Administrativo para ser objeto de un Test de Penetración a realizarse desde la empresa. El Director General afirma que su empresa es segura, cree además de que este Test de Penetración será un enorme desperdicio de dinero, sobre todo porque ya tiene una solución de exploración (escaneo) de vulnerabilidades (Nessus).
Para hacer “felices” a los del Comité Administrativo, él decide contratarlo a usted y le da un plazo de 5 días para realizar el trabajo, pues como se mencionó él no cree que la empresa sea vulnerable a cualquier intento de acceso no autorizado.
Su tarea es analizar solo un servidor en el cual se aloja una página Web que ofrece información de contacto de la misma.El Director General espera que usted intente con todos los tipos de ataques que estén a su disposición, pues está seguro de que usted no podrá vulnerar el sistema y obtener acceso.

Una vez sabemos lo que hay que hacer… empezamos.

Identificación del Host

Como hemos podido leer que la máquina tiene asiganada de manera automática una dirección IP 192.168.1.100.

Vamos a ver si responde a los pings

Como podéis comprobar la máquina en cuestión no responde a los pings que he lanzado.

Seguramente tenga capado el tema del protocolo ICMP.

A si que, directamente le mandaremos un escaneo con nmap, y veremos que esta corriendo en esta máquina.

Identificando Servicios

Ahora pondremos nmap y realizaremos el escaneo, para realizar el escaneo me he echo uno de personalizado, la sintaxis es la siguiente:

nmap -sV -T5 -O -A -v -PE -PS22,25,80 -PA21,23,80,3389

Con esto obtendríamos estos resultados:

Starting Nmap 5.00 ( http://nmap.org ) at 2009-10-30 00:10 Hora estándar romance

NSE: Loaded 30 scripts for scanning.

Initiating ARP Ping Scan at 00:10

Scanning 192.168.1.100 [1 port]

Completed ARP Ping Scan at 00:11, 1.56s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 00:11

Completed Parallel DNS resolution of 1 host. at 00:11, 16.48s elapsed

Initiating SYN Stealth Scan at 00:11

Scanning 192.168.1.100 [1000 ports]

Discovered open port 143/tcp on 192.168.1.100

Discovered open port 80/tcp on 192.168.1.100

Discovered open port 110/tcp on 192.168.1.100

Discovered open port 21/tcp on 192.168.1.100

Discovered open port 25/tcp on 192.168.1.100

Discovered open port 22/tcp on 192.168.1.100

Completed SYN Stealth Scan at 00:11, 3.53s elapsed (1000 total ports)

Initiating Service scan at 00:11

Scanning 6 services on 192.168.1.100

Completed Service scan at 00:11, 6.41s elapsed (6 services on 1 host)

Initiating OS detection (try #1) against 192.168.1.100

NSE: Script scanning 192.168.1.100.

NSE: Starting runlevel 1 scan

Initiating NSE at 00:11

Completed NSE at 00:11, 7.42s elapsed

NSE: Script Scanning completed.

Host 192.168.1.100 is up (0.0028s latency).

Interesting ports on 192.168.1.100:

Not shown: 992 filtered ports

PORT    STATE  SERVICE  VERSION

20/tcp  closed ftp-data

21/tcp  open   ftp      vsftpd (broken: could not bind listening IPv4 socket)

22/tcp  open   ssh      OpenSSH 4.3 (protocol 1.99)

|_ sshv1: Server supports SSHv1

|  ssh-hostkey: 2048 83:4f:8b:e9:ea:84:20:0d:3d:11:2b:f0:90:ca:79:1c (RSA1)

|  2048 6f:db:a5:12:68:cd:ad:a9:9c:cd:1e:7b:97:1a:4c:9f (DSA)

|_ 2048 ab:ab:a8:ad:a2:f2:fd:c2:6f:05:99:69:40:54:ec:10 (RSA)

25/tcp  open   smtp     Sendmail 8.13.7/8.13.7

|  smtp-commands: EHLO slax.example.net Hello [192.168.1.2], pleased to meet you, ENHANCEDSTATUSCODES, PIPELINING, 8BITMIME, SIZE, DSN, ETRN, AUTH DIGEST-MD5 CRAM-MD5, DELIVERBY, HELP

|_ HELP 2.0.0 This is sendmail version 8.13.7 2.0.0 Topics: 2.0.0 HELO EHLO MAIL RCPT DATA 2.0.0 RSET NOOP QUIT HELP VRFY 2.0.0 EXPN VERB ETRN DSN AUTH 2.0.0 STARTTLS 2.0.0 For more info use “HELP <topic>”. 2.0.0 To report bugs in the implementation see 2.0.0 http://www.sendmail.org/email-addresses.html 2.0.0 For local information send email to Postmaster at your site. 2.0.0 End of HELP info

80/tcp  open   http     Apache httpd 2.0.55 ((Unix) PHP/5.1.2)

110/tcp open   pop3     Openwall popa3d

|_ pop3-capabilities: capa

143/tcp open   imap     UW imapd 2004.357

|_ imap-capabilities: BINARY THREAD=ORDEREDSUBJECT IMAP4REV1 STARTTLS LOGIN-REFERRALS UNSELECT SCAN SASL-IR THREAD=REFERENCES MAILBOX-REFERRALS SORT AUTH=LOGIN LITERAL+ IDLE NAMESPACE MULTIAPPEND

443/tcp closed https

MAC Address: 00:0C:29:FD:F9:27 (VMware)

Device type: general purpose

Running: Linux 2.6.X

OS details: Linux 2.6.13 – 2.6.24

Uptime guess: 0.758 days (since Thu Oct 29 06:00:44 2009)

Network Distance: 1 hop

TCP Sequence Prediction: Difficulty=196 (Good luck!)

IP ID Sequence Generation: All zeros

Service Info: Host: slax.example.net; OS: Unix

Read data files from: C:\Archivos de programa\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 43.14 seconds

Raw packets sent: 2023 (91.338KB) | Rcvd: 24 (1138B)

Que si lo queréis ver mejor en una imagen:

Y después de haber echo el escaneo podemos ver que esta corriendo como servicios, FTP, SSH, SMTP, HTTP, POP3, IMAP y HTTPS

Podéis también verlo en una imagen:

Escaneadores de Vulnerabilidades

Una vez ya sabemos que servicios está corriendo es el momento de ver mejor en que versión están corriendo y si es vulnerable a exploits.

Primero utilizaremos Acunetix.

Acunetix,

Es un escaner de vulnerabilidades en servidores web como SQL injection, Xss y otras más. HTTP funciona en el puerto 80, con acunetix se puede hacer sniffing, y nos debe de servir para poder proteger nuestros sitios de ataques de hackers que tienen las páginas web a su disposición las 24 horas del día para escanearlas y afectarnos en las vulnerabilidades que tengamos.

Después de realizar el escaneo que podeis descargar de aqui:

Informe de escaneo de Acunetix.

Podemos ver que la vesión de PHP no está actualizada y que es vulnerable, SSH tambiñen presenta problemas.

También realizé un escaneo con Shadow Security Scanner

Shadow Security Scanner

Shadow Security Scanner (escáner de vulnerabilidad de la red de evaluación) se ha ganado el nombre de los más rápidos – y con mejores resultados – escáner de seguridad en su sector de mercado, superando muchas marcas famosas. Shadow Security Scanner ha sido desarrollada para proporcionar una detección segura, rápida y fiable de una amplia gama de agujeros sistema de seguridad. . Después de completar el escaneo del sistema, Shadow Security Scanner analiza los datos recogidos, localiza las vulnerabilidades y posibles errores en el servidor las opciones de ajuste, y sugiere posibles vías de solución del problema. Shadow Security Scanner emplea un único algoritmo de seguridad del sistema de análisis basada en un conjunto patentado de “intelectual” . Shadow Security Scanner realiza la exploración del sistema con una velocidad y con tal precisión a fin de poder competir con los profesionales de TI los servicios de seguridad y hackers, intentando entrar en su red.

También me ha encontrado varias vulnerabilidades a nivel web, como PHP y SSH.

Aquí os podéis descargar el informe realizado con Shadow Security Scanner:

Informe Shadow Security Scanner

Y por último e echo un escaneo con Nessus:

Nessus

es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados con cron.En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje scripting optimizado para interacciones personalizadas en redes.

Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades.

Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando “unsafe test” (pruebas no seguras) antes de escanear.

También me ha encontrado las mismas fallas que los anteriores.

El informe de Nessus lo podeis descargar de aqui:

Informe de Nessus

Ahora que ya se que servicios está corriendo y las vulnerabilidades podré empezar a probar a lgún exploit para aprovecharme de alguna vulnerabilidad.

Hasta la próxima!

Nmap en Matrix

Nuestro podcast trata el tema de la seguridad informática y el cine, discutimos las películas del tema analizándolas y comentando los aciertos y errores conceptuales sobre seguridad. Ya que en muchas ocasiones lo que para algunas personas es una excelente película de seguridad en realidad es una película con una impresionante cantidad de cosas irreales y con situaciones imposibles dentro del ambito de la seguridad computacional.

Comentamos lo difícil que es realizar este tipo de películas y porque en ocasiones quedan diferentes a la realidad. También hacemos un análisis a la evolución de este género, las diferencias notorias entre las primeras películas de este género y como es que se ha complicado la creación de este tipo de películas.

Esperemos que les guste y aprovechen esta oportunidad de conocer los errores principales de estas películas, además de que tan ciertas son las partes favoritas de las películas de seguridad.

Autor: Gabriel Membrillo Benítez, Jorge Mario Zendejas Baltazar
Fecha: 15-10-2009
Duración: 00:13:16
Formato: 128Kbps MP3
Descarga: Podcast La Seguridad Informática y El Cine

Attribution-Noncommercial-No Derivative Works 2.5 Mexico

Créditos Sonidos:

Efectos: http://www.castlesmusic.co.nz/cmpfreefx.php

Canciones:

http://www.jamendo.com/es/artist/2invention
http://www.jamendo.com/es/artist/silence
http://www.jamendo.com/es/artist/anabase

]]> http://rejex.wordpress.com/2009/10/08/individuare-e-analizzare-gli-ip-che-inviano-jumbo-frame-wireshark-lua-nmap/ Thu, 08 Oct 2009 05:15:22 +0000 jp http://rejex.wordpress.com/2009/10/08/individuare-e-analizzare-gli-ip-che-inviano-jumbo-frame-wireshark-lua-nmap/ http://lut4.wordpress.com/2009/09/27/port-scanning/ Sun, 27 Sep 2009 09:35:39 +0000 lut4 http://lut4.wordpress.com/2009/09/27/port-scanning/

I am going to grab the subject port scanning, because i love to scan PC’s. What is ports? Ports are gateways that you computer transfer data from and to. If we say that my computer had port 80 open, I would properly have HTTP serve running. So how do you do? You grab the worlds coolest tool, Nmap!(Direct download link) Nmap comes with both a command line and a GUI. I used nmap before the GUI came, so that if what i will teach you. Once you have downloaded it and installed it. Press the Start button and press run and write cmd, press enter!
Once you have done that, a black box will show on your screen. Write in the black box, “nmap” without quotation marks. See that magic of nmap running. You will get a lot of text when you pressed enter, that is just instrutions. Now to the fun part. To scan a pc/website write, nmap -sV . This will make a service scan, which not only will tell you what ports are open, but also what program there are running on the port. Volia, you have now done a port scan. Nmap can do all sorts of different scan, just write nmap and press enter, to see all the methodes.

Lut4…

အခုျပထားတဲ့ nmap script ေလးကိုသုံးျပီး IIS-FTP server တစ္ခုမွာ
၁။ anonymous session ခြင့္ျပဳထားသလား
၂။ Microsoft ftpd runထားတာလား
၃။ MKDIR command ကိုခြင့္ျပဳထားသလား

ဆိုတာေတြကို အေ၀းကေန လွမ္းစစ္ႏိုင္ျပီလို႔သိရပါတယ္။

source : http://blog.rootshell.be/2009/09/01/detecting-vulnerable-iis-ftp-hosts-using-nmap/

nmap script begin ——————————-

— Checks if a Microsoft FTP server allows anonymous logins + MKDIR
— If yes, could be vulnerable to the following exploit:
— http://seclists.org/fulldisclosure/2009/Aug/0443.html
– @output
– |_ FTP: IIS Server allow anonymous and mkdir (potentially vulnerable)

id=”IIS FTP”
description=”Checks to see if a Microsoft ISS FTP server allows anonymous logins and MKDIR (based on anonftp.nse by Eddie Bell <ejlbell@gmail.com>)”
author = “Xavier Mertens <xavier@rooshell.be>”
license = “Same as Nmap–See http://nmap.org/book/man-legal.html”
categories = {“default”, “auth”, “intrusive”}

require “shortport”
local stdnse = require “stdnse”
—
– portrule = shortport.port_or_service(21, “ftp”)
portrule = function(host,port)
if (port.number == 21 and
(port.state == “open” or port.state == “open|filtered”))
then
return true
else
return false
end
end

—
– Connects to the ftp server and checks if the server allows
– anonymous logins.
action = function(host, port)
local socket = nmap.new_socket()
local result
local status = true
local isAnon = false

local err_catch = function()
socket:close()
end

local try = nmap.new_try(err_catch())

socket:set_timeout(5000)
try(socket:connect(host.ip, port.number, port.protocol))
try(socket:send(“USER anonymous\r\n”))
try(socket:send(“PASS IEUser@\r\n”))

while status do
status, result = socket:receive_lines(1);
if string.match(result, “^230″) then
try(socket:send(“RSTATUS\r\n”))
while status do
status, result = socket:receive_lines(1);
if string.match(result, “^211-Microsoft FTP Service”) then
try(socket:send(“MKD w00t\r\n”))
while status do
status, result = socket:receive_lines(1);
if string.match(result, “^257″) then
isVuln=true
try(socket:send(“RMDIR w00t\r\n”))
break;
end
end
end
end
end
end

socket:close()

if(isVuln) then
return “IIS Server allow anonymous and mkdir (potentially vulnerable)”
end
end

nmap script end ——————————-

Το να γνωρίζουμε το λειτουργικό σύστημα από κάποιο απομακρυσμένο μηχάνημα που θέλουμε να επιτεθούμε είναι ένα από τα βασικά στοιχεία και αυτό γιατί γνωρίζοντας το λειτουργικό που τρέχει μπορούμε να βρούμε πιο εύκολα και τις αδυναμίες του.

Ποιοί τρόποι υπάρχουν?

Υπάρχουνε αρκετοί τρόποι για να βρούμε το λειτουργικό σύστημα ενός μηχανήματος.Ο πιο απλός είναι μέσω banner-grabbing στον οποίο ουσιαστικά προσπαθούμε να συνδεθούμε σε κάποιες υπηρεσίες που τρέχει το μηχάνημα όπως FTP,Telnet,HTTP,SMTP κτλ. και από τις πληροφορίες που θα μας εμφανιστούν στην οθόνη μας ακόμα και αν δεν συνδεθούμε θα μπορέσουμε να καταλάβουμε αν τρέχει Windows,Linux κτλ.

Υπάρχει όμως και μία άλλη τεχνική για ανίχνευση του λειτουργικού συστήματος η οποία λέγεται Active Stack Fingerprinting.Η τεχνική αυτήν εστιάζει στο TCP/IP stack του κάθε λειτουργικού συστήματος το οποίο και διαφέρει από λειτουργικό σε λειτουργικό.Αλλιώς δηλαδή είναι το TCP/IP stack της Microsoft αλλιώς των MacOS και αλλιώς των Linux. 

Για να έχει αξιοπιστία η τεχνική αυτήν χρειάζεται να υπάρχει τουλάχιστον ένα ανοιχτό port στο απομακρυσμένο μηχάνημα.Διότι από τα services που τρέχουν και από τα ports που είναι ανοιχτά θα γίνει και ο εντοπισμός του λειτουργικού.

Από ποιά στοιχεία γίνεται η αναγνώριση του λειτουργικού?

Ουσιαστικά τα προγράμματα που είναι για ανίχνευση ενός λειτουργικού συστήματος καταλαβαίνουν το αν είναι Windows ή Linux ή MacOS από τις αποκρίσεις που πέρνουν όταν στέλουν διάφορα πακέτα.Πιο συγκεκριμένα εάν σταλεί ένα FIN πακέτο σε ένα ανοιχτό port και το λειτουργικό σύστημα αποκριθεί με ένα FIN/ACK τότε το πρόγραμμα που τρέχουμε για ανίχνευση καταλαβαίνει ότι πρόκειται για Windows λειτουργικό.Αναλύτικα η αναγνώριση ενός λειτουργικού γίνεται από τα εξής:

FIN

Bonus Flag

Initial Sequence Number (ISN)

Fragment bit

TCP Initial Window Size

ACK value

ICMP message quoting

ICMP error message quenching

ICMP error message – echoing integrity

TOS (Type of Service)

Fragmentation Handling

TCP Options

Ποιά εργαλεία θα χρειαστούμε?

Δύο είναι τα πιο ακριβή εργαλεία που μπορούν να εντοπίσουν το λειτουργικό σύστημα από ένα απομακρυσμένο host.Το ένα είναι το nmap και το άλλο είναι το queso.Το καλό με το nmap είναι ότι υποστηρίζεται από αρκετές πλατφόρμες (Windows,Linux,MacOS) σε αντίθεση με το queso που είναι μόνο για linux.Επίσης για όσους δεν γνωρίζουν τo nmap είναι ένα port scanner αλλά με δυνατότητα ανίχνευσης λειτουργικού συστήματος ενώ το queso είναι μόνο ένα εργαλείο για να εντοπίζει λειτουργικά συστήματα απομακρυσμένων host.

Που θα τα βρούμε?

Και τα δύο αυτά τα προγράμματα διατίθενται δωρεάν από τις ακόλουθες ιστοσελίδες.

Nmap:

http://nmap.org/download.html

Queso:

http://dir.filewatcher.com/d/OpenBSD/3.3/i386/queso-980922.tgz.15765.html

Πώς τα δουλεύουμε?

Η λειτουργία τους είναι αρκετά απλή.Το nmap στην τελευταία του έκδοση και για τους χρήστες Windows υποστηρίζει πλέον και GUI interface ενώ έχει και αρκετά καλό help file.Ωστόσο η εντολή σε περίπτωση που το τρέξουμε είτε από γραμμή εντολών είτε από Linux είναι η εξής:

nmap -O IP

ενώ για το queso πληκτρολογούμε το εξής:

[root] queso IP

Παράδειγμα:

Ανίχνευση του λειτουργικού από το nmap

I have been quite busy the last few weeks, so it is time for some new stuff

This time I will show how to build nmap and how to keep it seperate from your system.

At first, create a RamDisk
The RamDisk is called nmap-5.00, the reason for this will be obvious later.

$ DISK_ID=$(hdid -nomount ram://26214400)
$ newfs_hfs -v nmap-5.00 ${DISK_ID}
$ diskutil mount ${DISK_ID}


As we have a fast RamDisk, we can use it to compile faster.

$ mkdir /Volumes/nmap-5.00/compile
$ cd /Volumes/nmap-5.00/compile/


Obtain and unpack nmap

$ curl -O http://nmap.ucsd.edu/dist/nmap-5.00.tar.bz2
$ tar xjpf nmap-5.00.tar.bz2


The GUI needs python and some libraries, I chose not to compile with a GUI

$ cd nmap-5.00
$ ./configure --prefix=/Volumes/nmap-5.00/ --without-zenmap
$ make -j 4
$ make install


Do not forget to remove the build directory

$ cd /Volumes/nmap-5.00
$ rm -rf compile


Build a Disk Image

$ cd /Volumes
$ hdiutil create -volname nmap-5.00 -srcfolder /Volumes/nmap-5.00 /tmp/nmap-5.00.tmp
$ hdiutil convert /tmp/nmap-5.00.tmp.dmg -format UDBZ -o $HOME/Desktop/nmap-5.00.dmg


Unmount the RamDisk

$ hdiutil detach /Volumes/nmap-5.00


Now you have a nmap disk ready available to use

You can set your PATH and MANPATH prior to using the mounted disk image:

$ export PATH=/Volumes/nmap-5.00/bin:$PATH
$ export MANPATH=/Volumes/nmap-5.00/share/man


Having nmap in its own disk image may seem a little overkill, but you could add Metasploit and Wireshark to add additional features of your portable network debugging disk image

Bueno ya era hora de que escriba algo bueno, salio recientemente la version 5.0  de Nmap, promete mucho, es conocida por aparecer en peliculas como Matrix entre otros, es una buena herramientas para escanear puertos y demas virtudes, ahora este post no es para escribir lo mismo de siempre.

Asi que ahora cuento mi experiencia, intente instalarlo de manera habitual y me generaba errores, asi que investigando y pidiendo ayuda a san Google, encontre una buena guia y aqui los pasos:

(OBS: debemos de asegurarnos de tener instalado en nuestro sistema lo siguiente: g++ y libssl, usamos synaptic para eso)

1ero: wget http://nmap.org/dist/nmap-5.00.tar.bz2

2do:  bzip2 -cd nmap-5.00.tar.bz2 | tar xvf -
cd nmap-5.00

3ero: ./configure

6to:  sudo ln -s nmap /usr/bin     (Para crear un acceso directo)

El enlace se encuentra en INTERNET –> Zenmap (Es la aplicacion grafica por defecto de NMap)