Les techniques

de Scanning et
énumeration

Enumération et scanning
Version du document

Scénario et Schéma
Scénario

Pour ce scénario, nous nous situerons dans un réseau local avec 3 machines :
• La machine attaquante Kali Linux 
• La machine Windows 7 
• La machine Metasploitable

/!\Les IP présentes sur les captures d’écran ne correspondent pas toujours exactement à ce que
nous recherchons, l’important est bien entendu d’adapter la démarche aux IPs de notre réseau.
 Enumération LAN – Couche 2
Les détails

Pour et contre :

Pour :

• Rapide
• Non-protégé

Contre :
• Possible seulement en réseau local.

Il peut être important de noter les informations récupérées ou d'inclure

dans un fichier les informations récupérées grâce à l'option > fichier

optimisation Arping

Il est possible avec quelques fonctions d'optimiser quelques outils.

Exemple :

Affichez le contenu de test.txt

Arping a scanné tout le réseau et listé seulement les réponses valides.
Dans le cas présent, nous trouvons bel et bien l’adresse IP et l’adresse
MAC de notre machine vulnérable Windows 7.

2eme Optimisation

La seconde optimisation consiste à retirer le test pour récupérer seulement

l'adresse IP.

Affichez le contenu de ipliste.txt

Essayez de comprendre la syntaxe de la commande.

Utilisation Metasploit.

msfconsole

Lancez Metasploit.

Choisir le module arp_sweep qui permet le scan ARP.

Listez les options disponibles du module

Il est possible de lancer des commandes shell sous le prompt msf.

Il faut donc remplir tous les champs requis (au minimum), listés dans show
options
Vérifiez grâce à show options que le champ interface a bien été modifié

Il est possible de modifier l'adresse MAC et IP source, cependant la

réponse à la requête ne va pas revenir à la machine attaquante.

Lancez le scan

Nous trouvons en effet l’adresse IP de notre machine Windows 7 qui est

bien active.

Enumération ICMP – Couche 3

Utilisation du ping

Il est possible de déterminer si l'hôte est actif ou non grâce à la fonction

ping (qui peut être bloquée via pare-feu)
La machine 192.168.2.1 répond, elle est donc active. Comme ARPING, il
faut couper le ping pour qu'il arrête l’envoi des requêtes ICMP (ctrl+c)

Il est donc possible de préciser le nombre de requêtes à envoyer.

Le ping retourne plusieurs informations comme le TTL, chaque système a

un TTL par défaut.
Windows = 128
Cisco = 255
Unix = 64

Grâce au ping il est possible de déterminer (si aucune modification du

système) l'OS de la machine.

Analysez dans Wireshark le flux ICMP

Optimisation du ping

Lancez la commande.
Listez les réponses :

Nous retrouvons bien l’adresse de notre machine Windows 7 (.56) et celle

de notre machine attaquante (.28).

Utilisation hping3

Hping a la particularité de pouvoir scanner sur la couche 3 et 4.

Lancez la commande hping3

Précisez le nombre de paquets à envoyer.

Vérifiez une requête non aboutie.

La chaîne de caractères présente seulement dans les réponses est len=

Optimisation hping3

Lancez la commande
Listez les réponses

Nous retrouvons bien l’adresse de la Windows 7 (.56)

Scanning de couche 4
Scan UDP avec Nmap

Le scan UDP du port 53 n’est pas possible sur la Windows 7 car ce dernier est
fermé. Nous allons donc passer sur la machine Metasploitable que vous pouvez
allumer.

Utilisation de nmap

Lancez un scan UDP avec nmap grâce à l'option -sU

Le scan UDP pour nmap est particulier car il utilise des profils de scan
pour chaque port différent, cela peut donc prendre un certain temps. Il faut
donc scanner les ports classiques.
Coupez les scans UDP (Ctrl + C )

Scannez le port DNS à l'aide de l'option -p

Le port 53 est ouvert cela indique qu'il y a un service DNS.

Avec l'option -p il est possible de préciser une plage de ports.

Le port 69 est ouvert mais ce dernier est filtré, il peut donc il y a avoir un
pare-feu présent sur ce port.
Il est aussi possible de scanner sur une plage réseau.

Nous nous apercevons que le port 53 de notre machine attaquante (.28) est
fermé ainsi que celle de notre machine Windows 7 (.56) en revanche, nous
avons la confirmation que notre machine Metasploitable (.42) a bien son
port 53 ouvert.

Optimisation

Il est aussi possible de scanner seulement les ip obtenues dans les fichiers
avec l'optimisation des outils lors de la phase de découverte.
Msfconsole

Nous pouvons également effectuez un scan UDP avec Metasploit.

Lancez Metasploit.

Chargez le module udp_sweep

Listez les options

Il faut donc modifier la cible à scanner avec le champ RHOSTS

Vérifiez le changement

Lancez le scan
Il est possible de préciser une plage ip dans le champ RHOSTS
Utilisation NMAP

Continuons de scanner la machine Metasploitable (192.168.10.42) en utilisant nmap. Il est

important de préciser qu’une explication de chaque scan est indiqué en faisant cette
commande.

Vous pourrez trouver des compléments d’information sur chaque scan effectué.

Pour lancer un scan TCP – SYN avec nmap rajoutez la fonction -sS

Pour scannez des ports précis, il faut utiliser l'option -p

Il est aussi possible de scanner une plage de port.

Scannez l'intégralité des ports TCP

Pour scanner l’intégralité des ports cette commande fonctionne aussi :

Scan TCP SYN avec hping3

Lancez hping3 avec l'option –scan pour scanner un port de la machine cible et -S pour SYN.
On remarque que la réponse porte le flag SYN+ACK, le SYN a donc aboutit.

Scannez plusieurs ports précis :

https envoie les flags ACK + RST , il est donc fermé.

Scannez une plage de port :

Scan TCP CONNECT(Three Way Handshake) avec Nmap

Scan TCP connect. NMAP

Lancez un scan TCP connect avec nmap grâce à l'option -sT sur le port 80

Lancez un scan sur des ports précis et un second sur une plage de ports.

Analyse avec Wireshark

Lancement de Wireshark

Lancez Wireshark

Choisissez votre carte réseau

Lancez la capture

Il ne faudra cependant pas oublier de faire Ctrl+z dans votre terminal de

commande afin de mettre wireshark en tache de fond et continuer à
pouvoir utiliser votre terminal.

Analysez la différence dans le scan avec Wireshark.

Scan TCP CONNECT(Three Way Handshake) avec Dmitry

Lancez un scan avec dmitry

Analyse des versions

Banner Grabbing

Le but de cette démarche est d'envoyer une requête de connexion afin

d'avoir le retour sur la bannière du service.

Netcat

On utilise Netcat pour envoyer une requête de connexion (netcat peut aussi
permettre la création d'un socket).

Listez les options de netcatnc

Connexion sur le port 22 sur la machine 192.168.2.1 sans résolution DNS.

On dispose donc du Service, OpenSSH ainsi que de la version 4.7. Il est

donc possible de vérifier si cette version possède des failles.

Coupez la connexion (CTRL + C)

Faire de même pour différents ports relevés avec le scan TCP/UDP

Exemple :

Dmitry

Il est possible d’exécuter un rapide scan TCP avec dmitry sur les 150 ports
les plus utilisés.
Il est aussi possible de rajouter l'option -b pour récupérer les bannières.

Il y a des informations sur le SMTP.

Analyse des services

Pour cela il faut utiliser la fonction -sV de nmap

Nmap retourne donc le Service Apache et la version 2.2.8

-sV permet donc de spécifier les ports ouverts, le service associé ainsi que
la version utilisée sur ce port
Il est possible de scanner les 1024 ports les plus souvent usités
Détection de l’OS

Ping

Il est possible de détecter le système d'exploitation via le protocole ICMP.

Chaque système d'exploitation dispose d'un ttl par défaut :
Windows : 128
Unix : 64
Cisco :255

Pingez les adresses 192.168.10.56 et 192.168.10.42, déterminez l'OS.

Nmap

Nmap permet la détection d'un système d'exploitation en fonction des

signatures sur les services.