Compétences Cisco Pour Tous3

09/11/2023 00:55 Compétences Cisco pour tous
Lab - Création de paquets avec Scapy Télécharger HTML
Enregistrer la progression La progression du cours n'est pas enregistrée. Veuillez cliquer ici pour enregistrer votre progression.
3.2
LabEffectuer
- Création une reconnaissance
de paquets avec Scapy
active
Objectifs
Dans cet atelier, vous utiliserez Scapy, un outil de manipulation de paquets basé sur Python, pour
créer des paquets personnalisés. Ces paquets personnalisés seront utilisés pour effectuer une
reconnaissance
Faites sur un système cible.
défiler pour commencer
P ti 1 E êt l' til S
3.2.1 Aperçu
Solutions de sécurité Protego
Dans le cadre du processus de collecte

d'informations PenTesting, vous participerez à la
reconnaissance active du réseau interne Pixel
Paradise. Voici ce que nous savons jusqu’à présent
sur le réseau.
Le réseau Pixel Paradise comprend les éléments

suivants :
Points de terminaison des utilisateurs :

ordinateurs de bureau, ordinateurs portables,
appareils mobiles et consoles de jeux utilisés
par les employés.
Points finaux liés aux installations : caméras
de surveillance, système d'alarme, capteurs et
actionneurs de climatisation, systèmes de
contrôle d'éclairage et systèmes VoIP.
Périphériques intermédiaires : routeurs et
commutateurs qui connectent les points finaux
et autres réseaux.
Points d'accès sans fil : appareils qui
fournissent un accès Wi-Fi aux employés.
Pare-feu : appareils qui protègent le réseau
des menaces externes et des accès non
autorisés.
Serveurs : serveurs sur site qui fournissent le
stockage de fichiers, l'accès aux bases de
données et d'autres services tels que la
messagerie électronique.
Infrastructure Cloud : Amazon Web Services
Reconnaissance active
https://skillsforall.com/launch?id=80c156bc-84a4-47c9-a233-5eafe7bdde82&tab=curriculum&view=742af5cf-0d8b-5b19-bc92-3c6c3dc478c0 1/33
Comme mentionné précédemment dans ce module, à chaque étape de la phase de collecte d'informations, l'objectif est de
Lab -collecter
Création des informations supplémentaires sur la cible. Le processus de collecte de ces informations est
appelé énumération. Parlons donc du type d’énumération que vous feriez généralement lors d’un test d’intrusion. Dans un
exemple précédent, nous avons examiné l'énumération des hôtes exposés à Internet par h4cker.org. L'énumération externe
des hôtes est généralement l'une des premières choses que vous faites lors d'un test d'intrusion. La détermination des hôtes
connectés à Internet d'un réseau cible peut vous aider à identifier les systèmes les plus exposés. De toute évidence, un
appareil accessible au public sur Internet est exposé aux attaques d’acteurs malveillants du monde entier. Après avoir
identifié ces systèmes, vous devez ensuite identifier quels services sont accessibles. Un serveur doit être derrière un pare-feu,
permettant une exposition minimale aux services qu'il exécute. Parfois, cependant, des services inattendus sont exposés. Pour
déterminer si un réseau exécute de tels services, vous pouvez exécuter une analyse de port pour énumérer les services qui
s'exécutent sur les hôtes exposés.
Analyses de ports
Lab - Création de paquets avec Scapy

Une analyse de port est une analyse active dans laquelle l'outil d'analyse envoie différents types de sondes à l'adresse IP
cible, puis examine les réponses pour déterminer si le service écoute réellement. Par exemple, avec une analyse Nmap SYN,
l'outil envoie un paquet TCP SYN au port TCP qu'il sonde. Ce processus est également appelé analyse semi-ouverte car il
n'ouvre pas de connexion TCP complète. Si la réponse est un SYN/ACK, cela indiquerait que le port est réellement dans un
état d'écoute. Si la réponse au paquet SYN est un RST (réinitialisation), cela indiquerait que le port est fermé ou n'est pas en
Objectifs
état d'écoute. Si la sonde SYN ne reçoit aucune réponse, Nmap la marque comme filtrée car elle ne peut pas déterminer si le
port est ouvert ou fermé. Le tableau 3-2 définit les réponses de l'analyse SYN lors de l'utilisation de Nmap.
Dans cet
Tableau 3-2 atelier, vous
- Réponses duutiliserez
scan SYNScapy, un outil de manipulation de paquets basé sur Python, pour
reconnaissance sur un système cible.
État du port Nmap

P ti signalé
1 E êt Réponse
l' de
til STarget Analyse Nmap
Ouvrir ACK de synchronisation TCP Le service est à l'écoute sur le port.
Fermé TCP RST Le service n'écoute pas sur le port.
Filtré Aucune réponse de la cible ou destination ICMP inaccessible Le port est protégé par un pare-feu.
La figure 3-8 illustre le fonctionnement d'une analyse SYN et l'exemple 3-19 montre le résultat d'une analyse SYN.
Figure 3-8 - Illustration de l'analyse SYN Nmap
SYN + Port 80
SYN/ACK
TVD
Système Système cible
d'attaque
Exemple 3-19 - Exemple de sortie de Nmap SYN Scan
|--[root@websploit]--[~]
|---- #nmap -sS 192.168.88.251
Starting Nmap 7.80 ( https://nmap.org )
Nmap scan report for 192.168.88.251
Host is up (0.00011s latency).
Not shown: 992 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3306/tcp open mysql
8888/tcp open sun-answerbook
9000/tcp open cslistener
9090/tcp open zeus-admin
MAC- Création
Lab Address: 1E:BD:4F:AA:C6:BA
de paquets avec (Unknown)
Scapy
Nmap done: 1 IP address (1 host up) scanned in 0.23 seconds
L'exemple 3-19 montre comment exécuter une analyse TCP SYN à l'aide de Nmap en spécifiant l' option -sS sur un hôte avec
l'adresse IP 192.168.88.251. Comme vous pouvez le constater, ce système dispose de plusieurs ports ouverts. Dans certaines
situations, vous souhaiterez utiliser les nombreuses options Nmap différentes dans vos analyses pour obtenir les résultats que
vous recherchez. Les sections qui suivent examinent certaines des options et types d'analyses les plus courants disponibles
dans Nmap.
Objectifs
3.2.2 Types d'analyse Nmap
Les sections suivantes couvrent certaines des options d'analyse Nmap les plus courantes utilisées pour des scénarios
spécifiques, notamment les suivants :
Analyse de connexion TCP ( -sT )

Analyse UDP ( -sU )
Analyse TCP FIN ( -sF )
Analyse de découverte d'hôte ( -sn )
Options de synchronisation ( -T 0-5 )
Analyse de connexion TCP ( -sT )
Une analyse de connexion TCP utilise en fait le mécanisme de mise en réseau du système d'exploitation sous-jacent pour
établir une connexion TCP complète avec le périphérique cible analysé. Parce qu’il crée une connexion complète, il crée plus
de trafic (et prend donc plus de temps à s’exécuter). Il s'agit du type d'analyse par défaut utilisé si aucun type d'analyse n'est
spécifié avec la commande nmap . Cependant, il ne doit généralement être utilisé que lorsqu'une analyse SYN n'est pas une
option, par exemple lorsqu'un utilisateur qui exécute la commande nmap ne dispose pas de privilèges sur les paquets bruts
sur le système d'exploitation, car de nombreux types d'analyse Nmap reposent sur l'écriture de paquets bruts. . Cette section
illustre le fonctionnement d'une analyse de connexion TCP et fournit un exemple d'analyse à partir d'un système Kali
Linux. Le Tableau 3-3 définit les réponses de l'analyse de connexion TCP.
Tableau 3-3 - Réponses à l'analyse de connexion TCP
État du port Nmap signalé Réponse de Target Analyse Nmap
Ouvrir ACK de synchronisation TCP Le service est à l'écoute sur le port.
Fermé
Lab - Création de paquets avecTCP RST
Scapy Le service n'écoute pas sur le port.
Filtré Aucune réponse de la cible Le port est protégé par un pare-feu.
La figure 3-9 illustre le fonctionnement d'une analyse de connexion TCP.
Figure 3-9 - Illustration de l'analyse de connexion TCP

SYN + Port 80
Objectifs
SYN/ACK
ACCK
TVD
d'attaque
L'exemple 3-20 montre le résultat d'une analyse complète de la connexion TCP.
Exemple 3-20 - Exemple de sortie d'analyse Nmap TCP Connect
|--- #nmap -sT 192.168.88.251
Starting Nmap 7.80 ( https://nmap.org ) at 2021-06-21 12:48 EDT
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
3306/tcp open mysql
MAC Address: 1E:BD:4F:AA:C6:BA (Unknown)
Le résultat de l'exemple 3-20 montre les résultats d'une analyse de connexion TCP Nmap. Comme vous pouvez le constater,
les résultats indiquent qu'un certain nombre de ports TCP écoutent sur le périphérique cible et ces résultats sont très similaires
à ceux présentés dans l'exemple 3-19.
Une analyse de connexion TCP complète nécessite que le scanner envoie un paquet supplémentaire par analyse, ce qui
augmente la quantité de bruit sur le réseau et peut déclencher des alarmes qu'une analyse à moitié ouverte ne déclencherait
pas. Les outils de sécurité et le système ciblé sous-jacent sont plus susceptibles d'enregistrer une connexion TCP complète, et
les systèmes de détection d'intrusion (IDS) sont également plus susceptibles de déclencher des alarmes sur plusieurs
connexions TCP à partir du même hôte.

CONSEIL Nmap analyse uniquement les 1 000
ports les plus courants pour chaque protocole. Vous
pouvez spécifier des ports supplémentaires à
analyser à l'aide de l'option -p. Vous pouvez obtenir
des informations supplémentaires sur les
spécifications du port et l'ordre d'analyse
sur https://nmap.org/book/man-port-
spécification.html . Omar Santos a également créé
une feuille de triche Nmap qui inclut toutes les
options et est disponible dans son référentiel
Hacking/h4cker/blob/master/cheat_sheets/NMA
GitHub, https://github.com/The-Art-of-
P_cheat_sheet.md .
Objectifs
reconnaissance
Analyse UDP ( -sU sur
) un système cible.
P du
La plupart ti temps,
1 E vous êtrechercherez
l' til S
les ports TCP, car c'est ainsi que vous vous connectez à la plupart des services
exécutés sur les systèmes cibles. Cependant, vous pourriez rencontrer certains cas dans lesquels vous devrez rechercher des
ports UDP, par exemple si vous essayez d'énumérer un serveur DNS, SNMP ou DHCP. Ces services utilisent tous UDP pour
la communication entre le client et le serveur. Pour analyser les ports UDP, Nmap envoie un paquet UDP à tous les ports
spécifiés dans la configuration de ligne de commande. Il attend une réponse de la cible. S'il reçoit un message de port ICMP
inaccessible en provenance d'une cible, ce port est marqué comme fermé. S'il ne reçoit aucune réponse du port UDP cible,
Nmap marque le port comme ouvert/filtré. Le Tableau 3-4 présente les réponses de l'analyse UDP.
REMARQUE Vous devez savoir que les messages ICMP inaccessibles peuvent parfois être limités en débit et,
lorsqu'ils le sont, une analyse de port UDP peut prendre beaucoup plus de temps. La limitation du débit ICMP est
principalement utilisée pour limiter les comportements de vers ou de virus et doit normalement être configurée pour
permettre à 1 % à 5 % de la bande passante entrante disponible (à des vitesses de 10 Mbps ou 100 Mbps) ou de
100 kbit/s à 10 000 kbit/s (à des vitesses de 1 Gbit/s ou 10 Gbit/s). être utilisé pour le trafic ICMP.
Tableau 3-4 - Réponses à l'analyse UDP
Ouvrir Données renvoyées par le port Le service est à l'écoute sur le port.
Fermé Message d'erreur ICMP reçu Le service n'écoute pas sur le port.
Ouvert/filtré Aucune réponse ICMP de la cible Le port est protégé par un pare-feu ou a expiré.
La figure 3-10 illustre le fonctionnement d'une analyse UDP.
Figure 3-10 - Illustration de l'analyse UDP
UDP + Port 53
Données UDP + port 53

d'attaque
Lab -La
Création de paquets avec Scapy
sortie de l'exemple 3-21 montre les résultats d'une analyse Nmap UDP sur le port 53 de la cible 192.168.88.251. Comme
vous pouvez le constater, les résultats indiquent que ce port est ouvert.
Exemple 3-21 - Exemple de sortie d'analyse Nmap UDP
|--- # nmap -sU -p 53 192.168.88.251
PORT STATE SERVICE
53/udp open domain
Objectifs
Analyse TCP FIN ( -sF )
Il arrive parfois qu'une analyse SYN puisse être détectée par un filtre réseau ou un pare-feu. Dans un tel cas, vous devez
utiliser un type de paquet différent dans une analyse de port. Avec l'analyse TCP FIN, un paquet FIN est envoyé à un port
cible. Si le port est effectivement fermé, le système cible renvoie un paquet RST. Si rien n'est reçu du port cible, vous pouvez
considérer le port ouvert car le comportement normal serait d'ignorer le paquet FIN. Le Tableau 3-5 présente les réponses de
l'analyse TCP FIN.
REMARQUE Une analyse TCP FIN n'est pas utile lors de l'analyse de systèmes Windows, car ils répondent avec des
paquets RST, quel que soit l'état du port.
Tableau 3-5 - Réponses à l'analyse TCP FIN
Filtré Erreur ICMP inaccessible reçue Le port fermé devrait répondre avec RST.
Fermé Paquet RST reçu Le port fermé devrait répondre avec RST.
Ouvert/Filtré Aucune réponse reçue Le port ouvert devrait laisser tomber FIN.
La figure 3-11 illustre le fonctionnement d'une analyse TCP FIN.
Figure 3-11 - Illustration de l'analyse TCP FIN

FIN + Port 80
Pas de réponse
Système d'attaque Système cible

Le port est
probablement ouvert.
Objectifs
FIN + Port 80
TVD
Système d'attaque Système cible

Le port est
probablement fermé.
L'exemple 3-22 montre le résultat d'une analyse TCP FIN sur le port 80 de la cible. La sortie affiche les résultats d'une
analyse Nmap TCP FIN, en spécifiant le port 80 sur la cible. La réponse de la cible indique que le port est ouvert/filtré.
Exemple 3-22 - Exemple de sortie d'analyse Nmap TCP FIN
|--- # nmap -sF -p 80 192.168.88.251
PORT STATE SERVICE
80/tcp open|filtered http
|--- #
Analyse de découverte d'hôte ( -sn )
Une analyse de découverte d'hôte est l'un des types d'analyse les plus couramment utilisés pour énumérer les hôtes sur un
réseau, car elle peut utiliser différents types de messages ICMP pour déterminer si un hôte est en ligne et répond sur un
réseau.
REMARQUE La valeur par défaut de l'option -sn scan consiste à envoyer un paquet de demande d'écho ICMP à la
cible, un TCP SYN au port 443, un TCP ACK au port 80 et une demande d'horodatage ICMP. Ceci est documenté
sur https://nmap.org/book/man-host-discovery.html . Si la cible répond à l'écho ICMP ou aux paquets
susmentionnés, elle est alors considérée comme vivante.
L'exemple 3-23 montre un exemple d'analyse ping du sous-réseau 192.168.88.0/24. Il s'agit d'une analyse de découverte
d'hôte très basique qui peut être effectuée pour déterminer quels périphériques d'un réseau sont actifs. Une telle analyse pour
la découverte d'hôtes sur un sous-réseau entier est parfois appelée balayage ping .
Exemple 3-23 - Analyse de découverte d'hôte Nmap

|---- #nmap -sn 192.168.88.0/24
MAC Address: E0:55:3D:E9:61:74 (Cisco Meraki)
MAC Address: 0E:64:AF:27:9C:44 (Unknown)
MAC Address: 00:B8:B3:FD:BF:C2 (Cisco Systems)
MAC Address: 00:E1:6D:E5:43:C2 (Cisco Systems)
Objectifs
MAC Address: BE:38:F5:2D:6C:C0 (Unknown)
MAC Address: FE:82:8C:A3:D2:3C (Unknown)
Host is upP (0.00040s
ti 1 E latency).
êt l' til S
Host is up.
Host is up.
Nmap done: 256 IP addresses (11 hosts up) scanned in 2.45 seconds
|--- #
Options de synchronisation ( -T 0-5 )
Le scanner Nmap fournit six modèles de synchronisation qui peuvent être spécifiés avec l' option -T et le numéro du modèle
(0 à 5) ou son nom. Les modèles de synchronisation Nmap vous permettent de dicter le degré d'agressivité d'une analyse, tout
en laissant Nmap choisir les valeurs de synchronisation exactes. Voici les options de synchronisation :
-T0 (Paranoid) : Très lent, utilisé pour l'évasion IDS

-T1 (Sneaky) : Assez lent, utilisé pour l'évasion IDS
-T2 (Polite) : Ralentit pour consommer moins de bande passante, fonctionne environ 10 fois plus lentement que la
valeur par défaut
-T3 (Normal) : Par défaut, un modèle de timing dynamique basé sur la réactivité de la cible
-T4 (Agressif) : Suppose un réseau rapide et fiable et peut submerger les cibles
-T5 (Insensé) : Très agressif ; va probablement submerger les cibles ou manquer des ports ouverts
REMARQUE Le mode Normal est le mode Nmap par défaut. Si vous utilisez ce mode (en spécifiant - T3 ), vous ne
verrez aucune différence par rapport à une analyse classique. Vous pouvez trouver des informations supplémentaires sur
les options de synchronisation et les performances de Nmap sur https://nmap.org/book/man-performance.html .
3.2.3 Pratique - Types d'analyse Nmap
question 1
Un technicien en cybersécurité utilise l'outil Nmap pour effectuer une analyse de port à l'aide de la commande :
Objectifs
nmap -sn 172.16.50.0/24
Quel type d’analyse de port est utilisé par le technicien ?

Analyse de connexion TCP
Analyse UDP
analyse de découverte d'hôte
Analyse TCP FIN
Réinitialiser
Afficher les commentaires
question 2
Un attaquant utilise l'outil Nmap pour effectuer un scan de port avec la commande :
nmap -sn -T0 172.18.12.0/24
Quel est le but d’utiliser l’option -T0 ?
pour exécuter l'analyse environ 10 fois plus lentement que la valeur par défaut
pour arrêter l'analyse après une période de temps spécifiée par T0
effectuer l'analyse de manière agressive
pour éviter d'être détecté par IDS ou IPS

Réinitialiser
Objectifs
3.2.4 Types de dénombrement
Cette section couvre les techniques d'énumération qui doivent être appliquées lors de la phase de collecte d'informations d'un
test d'intrusion. Vous apprendrez comment et quand ces techniques de dénombrement doivent être utilisées. Cette section
comprend également des exemples d'exécution de ces types d'énumération à l'aide de Nmap ainsi qu'une plongée approfondie
dans la création de paquets avec Scapy.
Énumération des hôtes

Énumération des utilisateurs
Énumération de groupe
Énumération des partages réseau
Exemples supplémentaires d'énumération SMB
Énumération de pages Web/énumération d'applications Web
Énumération des services
Explorer l'énumération via la création de paquets
Énumération des hôtes
L'énumération des hôtes est l'une des premières tâches que vous devez effectuer lors de la phase de collecte d'informations
d'un test d'intrusion. L'énumération des hôtes est effectuée en interne et en externe. Lorsqu'elle est effectuée en externe, vous
souhaitez généralement limiter les adresses IP que vous analysez uniquement à celles qui font partie de la portée du test. Cela
réduit le risque d'analyser par inadvertance une adresse IP que vous n'êtes pas autorisé à tester. Lorsque vous effectuez une
énumération d'hôte interne, vous analysez généralement le ou les sous-réseaux complets des adresses IP utilisées par la
cible. L'énumération des hôtes est généralement effectuée à l'aide d'un outil tel que Nmap ou Masscan ; cependant, les
scanners de vulnérabilités effectuent également cette tâche dans le cadre de leurs tests automatisés. L'exemple 3-23, plus haut
dans ce module, montre un exemple d'analyse ping Nmap utilisée pour l'énumération des hôtes sur le réseau
192.168.88.0/24. Dans les versions antérieures de Nmap, l'option d'analyse ping de Nmap était -sP (et non -sn ).
Énumération des utilisateurs
Rassembler une liste valide d’utilisateurs est la première étape pour déchiffrer un ensemble d’informations
Lab -d’identification.
Création deLorsque
paquets vous avez le nom d'utilisateur, vous pouvez alors lancer des tentatives par force brute pour obtenir
avec Scapy
le mot de passe du compte. Vous effectuez une énumération des utilisateurs lorsque vous avez accès au réseau interne. Sur
un réseau Windows, vous pouvez le faire en manipulant le protocole Server Message Block (SMB), qui utilise le port TCP
445. La figure 3-12 illustre le fonctionnement d'une implémentation SMB typique.
Figure 3-12 – Illustration des messages SMB
SMB_COM_NEGOTIATE (Demande)
Lab - Création de paquets avec

SMB_COM_NEGOTIATE Scapy
(Réponse)
SMB_COM_SESSION_SETUP_ANDX (Demande)
Objectifs
SMB_COM_SESSION_SETUP_ANDX
Dans cet atelier, vous utiliserez (Réponse)
Scapy, un outil de manipulation de paquets basé sur Python, pour
Client PME SMB_COM_TREE_CONECT_ANDX (Demande) Serveur
P ti 1 E êt l' til S PME
SMB_COM_TREE_CONECT_ANDX (Réponse)
Les informations contenues dans les réponses à ces messages permettent de révéler des informations sur le serveur :
SMB_COM_NEGOTIATE : ce message permet au client d'indiquer au serveur quels protocoles, indicateurs et

options il souhaite utiliser. La réponse du serveur est également un message SMB_COM_NEGOTIATE. Cette réponse
est relayée au client concernant les protocoles, les indicateurs et les options qu'il préfère. Ces informations peuvent être
configurées sur le serveur lui-même. Une mauvaise configuration révèle parfois des informations que vous pouvez
utiliser dans les tests d'intrusion. Par exemple, le serveur peut être configuré pour autoriser les messages sans
signature. Vous pouvez déterminer si le serveur utilise des mécanismes d'authentification au niveau du partage ou de
l'utilisateur et s'il autorise les mots de passe en texte brut. La réponse du serveur fournit également des informations
supplémentaires, telles que l'heure et le fuseau horaire utilisé par le serveur. Il s’agit d’informations nécessaires pour de
nombreuses tâches de tests d’intrusion.
SMB_COM_SESSION_SETUP_ANDX : Une fois que le client et le serveur ont négocié les protocoles, les
indicateurs et les options qu'ils utiliseront pour la communication, le processus d'authentification
commence. L'authentification est la fonction principale du message SMB_COM_SESSION_SETUP_ANDX. Les
informations envoyées dans ce message incluent le nom d'utilisateur, le mot de passe et le domaine du client. Si ces
informations ne sont pas cryptées, il est facile de les détecter directement sur le réseau. Même si elles sont cryptées, si
le mécanisme utilisé n'est pas suffisant, les informations peuvent être révélées à l'aide d'outils tels que Lanman et
NTLM dans le cas des implémentations Microsoft Windows. L'exemple suivant montre ce message utilisé avec le
script smb-enum-users.nse :
nmap --script smb-enum-users.nse <hôte>
L'exemple 3-24 montre les résultats du script Nmap smb-enum-users exécuté sur la cible 192.168.88.251. Comme vous
pouvez le constater, les résultats indiquent que le script a pu énumérer les utilisateurs configurés sur cette cible Windows. La
ligne en surbrillance révèle l'utilisateur qui a été énuméré par Nmap (derek).
Exemple 3-24 - Énumération des utilisateurs PME
|--- #nmap --script smb-enum-users.nse 192.168.88.251
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
3306/tcp open mysql
Host script results:
| smb-enum-users:
| VULNHOST-1\derek (RID: 1000)
| Full name:
| Description:
|_ Flags: Normal user account
Énumération de groupe
Pour un testeur d'intrusion, l'énumération des groupes est utile pour déterminer les rôles d'autorisation utilisés dans
l'environnement cible. Le script Nmap NSE pour énumérer les groupes SMB est smb-enum-groups . Ce script tente
d'extraire une liste de groupes d'une machine Windows distante. Vous pouvez également révéler la liste des utilisateurs
membres de ces groupes. La syntaxe de la commande est la suivante :
nmap --script smb-enum-groups.nse -p445 <hôte>

L'exemple 3-25 montre un exemple de sortie de cette commande exécutée sur le serveur Windows à l'adresse
192.168.56.3. Cet exemple utilise des informations d'identification connues pour collecter des informations.
Objectifs
Exemple 3-25 - Énumération des groupes SMB
|--- # nmap --script smb-enum-groups.nse --script-
args smbusername=vagrant,smbpass=vagrant 192.168.56.3
Starting Nmap 7.91 ( https://nmap.org )
PORT STATE SERVICE
22/tcp open ssh
135/tcp open msrpc
3306/tcp open mysql
3389/tcp open ms-wbt-server
MAC Address: 08:00:27:1B:A4:60 (Oracle VirtualBox virtual NIC)
| smb-enum-groups:
| Builtin\Administrators (RID: 544): Administrator, vagrant, sshd_server
| Builtin\Users (RID: 545): vagrant, sshd, sshd_server, leia_organa,
luke_skywalker, han_solo, artoo_detoo, c_three_pio, ben_kenobi, darth_
vader, anakin_skywalker, jarjar_binks, lando_calrissian, boba_fett,
jabba_hutt, greedo, chewbacca, kylo_ren
| Builtin\Guests (RID: 546): Guest, ben_kenobi
| Builtin\Power Users (RID: 547): boba_fett
| Builtin\Print Operators (RID: 550): jabba_hutt
| Builtin\Backup Operators (RID: 551): leia_organa
| Builtin\Replicator (RID: 552): chewbacca
| Builtin\Remote Desktop Users (RID: 555): greedo
| Builtin\Network Configuration Operators (RID: 556): anakin_skywalker
| Builtin\Performance Monitor Users (RID: 558): lando_calrissian
| Builtin\Performance Log Users (RID: 559): jarjar_binks
| Builtin\Distributed COM Users (RID: 562): artoo_detoo
| Builtin\IIS_IUSRS (RID: 568): darth_vader
| Builtin\Cryptographic Operators (RID: 569): han_solo
| Builtin\Event Log Readers (RID: 573): c_three_pio
| Builtin\Certificate Service DCOM Access (RID: 574): luke_skywalker
|_ VAGRANT-2008R2\WinRMRemoteWMIUsers__ (RID: 1003): <empty>
|--- #
La sortie en surbrillance dans l'exemple 3-25 montre les groupes et utilisateurs énumérés dans l'hôte cible. Sous Windows,
l'identifiant relatif (RID) est un numéro de longueur variable attribué aux objets et devient une partie de l'identifiant de
sécurité (SID) de l'objet qui identifie de manière unique un compte ou un groupe au sein d'un domaine. Pour en savoir plus
sur les différents numéros RID, consultez https://docs.microsoft.com/en-us/troubleshoot/windows-
server/identity/security-identifiers-in-windows .
Énumération des partages réseau
L'identification des systèmes sur un réseau qui partagent des fichiers, des dossiers et des imprimantes est utile pour créer une
surface d'attaque d'un réseau interne. Le script NSE Nmap smb-enum-shares utilise Microsoft Remote Procedure Call
(MSRPC) pour l'énumération des partages réseau . La syntaxe du script Nmap smb-enum-shares.nse est la suivante :
nmap --script smb-enum-shares.nse -p 445 <hôte>
Lab -L'exemple
3-26 illustre l'énumération des partages SMB.
Exemple 3-26 - Énumération des partages SMB
|--- # nmap --script smb-enum-shares.nse -p 445 192.168.88.251
PORT Lab - Création de paquets avec Scapy

STATE SERVICE

Objectifs
| smb-enum-shares:
| account_used: guest
| \\192.168.88.251\IPC$:
| Type:
créer desSTYPE_IPC_HIDDEN
paquets personnalisés. Ces paquets personnalisés seront utilisés pour effectuer une
| Comment: IPCsur
reconnaissance Service (Samba
un système cible.4.9.5-Debian)
| Users: 1
| MaxPUsers:
ti 1 E <unlimited>
êt l' til S
| Path: C:\tmp
| Anonymous access: READ/WRITE
| Current user access: READ/WRITE
| \\192.168.88.251\print$:
| Type: STYPE_DISKTREE
| Comment: Printer Drivers
| Users: 0
| Max Users: <unlimited>
| Path: C:\var\lib\samba\printers
| Anonymous access: <none>
| Current user access: <none>
| \\192.168.88.251\secret_folder:
| Type: STYPE_DISKTREE
| Comment: Extremely sensitive information
| Users: 0
| Max Users: <unlimited>
| Path: C:\secret_folder
| Anonymous access: <none>
|_ Current user access: <none>

|--- #
Exemples supplémentaires d'énumération SMB
Le système utilisé dans les exemples précédents (avec l'adresse IP 192.168.88.251) exécute Linux et Samba. Cependant, il
n'est pas facile de déterminer qu'il s'agit d'un système Linux à partir des résultats des analyses précédentes. Un moyen simple
d'effectuer une énumération et une prise d'empreintes supplémentaires des applications et du système d'exploitation exécutés
sur un hôte consiste à utiliser la commande nmap -sC . L'option -sC exécute les scripts NSE les plus courants en fonction
des ports ouverts sur le système cible.
REMARQUE Vous pouvez localiser les scripts NSE installés dans Kali Linux et Parrot OS en utilisant simplement la
commande Locate *.nse . Le site https://nmap.org/book/man-nse.html comprend une explication détaillée du NSE et
comment créer de nouveaux scripts à l'aide du langage de programmation Lua.
L'exemple 3-27 montre le résultat de la commande nmap -sC lancée sur le système Linux à l'adresse 192.168.88.251, qui
exécute Samba.
Exemple 3-27 - Exécution des scripts par défaut de Nmap NSE
|--- # nmap -sC 192.168.88.251
PORT STATE SERVICE
22/tcp open ssh
| ssh-hostkey:
| 2048 d0:0c:83:4d:7f:84:2c:60:96:9f:df:26:da:d2:11:9a (RSA)
| 256 e2:aa:69:ab:a3:e6:0f:13:c5:5a:65:f2:d5:16:8c:3e (ECDSA)
|_ 256 21:4b:27:7b:6e:a6:d4:33:86:60:cb:39:3b:48:9c:0b (ED25519)
80/tcp open http
|_http-title: WebSploit Mayhem
3306/tcp open mysql
| mysql-info:
| Protocol: 10
| Version: 5.5.47-0ubuntu0.14.04.1
|
| Lab - Création de paquets avec Scapy
Thread ID: 3
Capabilities flags: 63487
| Some Capabilities: InteractiveClient,
DontAllowDatabaseTableColumn, FoundRows, IgnoreSigpipes,
Support41Auth, ODBCClient, ConnectWithDatabase, LongPassword,
Objectifs
SupportsTransactions, IgnoreSpaceBeforeParenthesis,
Speaks41ProtocolOld, Speaks41ProtocolNew, SupportsCompression,
SupportsLoadDataLocal, LongColumnFlag,
Dans cet atelier, vous utiliserez SupportsMultipleResults,
Scapy, un outil de manipulation de paquets basé sur Python, pour
SupportsMultipleStatments, SupportsAuthPlugins
| Status: Autocommit
| Salt: b_60.4ZH=52:l5ajmhBP
|_ Auth P ti 1 Name:
Plugin E êtmysql_native_password
l' til S
|_clock-skew: mean: 17s, deviation: 0s, median: 17s
|_nbstat: NetBIOS name: VULNHOST-1, NetBIOS user: <unknown>, NetBIOS
MAC: <unknown> (unknown)
| smb-os-discovery:
| OS: Windows 6.1 (Samba 4.9.5-Debian)
| Computer name: vulnhost-1
| NetBIOS computer name: VULNHOST-1\x00
| Domain name: ohmr.org
| FQDN: vulnhost-1.ohmr.org
|_ System time: 2022-06-21T21:38:40+00:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2021-06-21T21:38:40
|_ start_date: N/A
|--- #
Les lignes en surbrillance dans l'exemple 3-27 montrent des détails sur la version de Samba exécutée sur le système (Samba
version 4.9.5). Vous pouvez également voir que même si le système d'exploitation est marqué comme Windows 6.1, le
système d'exploitation correct est Debian. L'exemple 3-28 montre le résultat de la commande samba -V sur le système cible
(vulnhost-1), qui confirme que l'analyseur a pu déterminer la version correcte de Samba.
Exemple 3-28 - Confirmation des résultats d'analyse dans le système cible
omar@vulnhost-1:~$ sudo samba -V

Version 4.9.5-Debian
omar@vulnhost-1:~$
Vous pouvez également utiliser des outils tels que enum4linux pour énumérer les partages Samba, y compris les comptes
d'utilisateurs, les partages et d'autres configurations. L'exemple 3-29 montre la sortie de l'outil enum4linux après son
lancement sur le système cible (192.168.88.251).
É
Exemple 3-29 - Énumération d'informations supplémentaires à l'aide d'enum4linux
|-- [root@websploit]--[~]
|--- # enum4linux 192.168.88.251
Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ )
==========================
| Target Information |
==========================
Target ........... 192.168.88.251
RID Range ........ 500-550,1000-1050

Username ......... ''
Password ......... ''
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none
======================================================
|
Objectifs
Enumerating Workgroup/Domain on 192.168.88.251
======================================================
|
[+] Got domain/workgroup name: WORKGROUP

==============================================
| Nbtstat
créer Information
des paquets for 192.168.88.251
personnalisés. |
Ces paquets personnalisés seront utilisés pour effectuer une
==============================================
Looking up status of 192.168.88.251
P ti 1 E <00>
VULNHOST-1 êt - l' til S B <ACTIVE> Workstation Service
VULNHOST-1 <03> - B <ACTIVE> Messenger Service
VULNHOST-1 <20> - B <ACTIVE> File Server Service
..__MSBROWSE__. <01> - <GROUP> B <ACTIVE> Master Browser
WORKGROUP <00> - <GROUP> B <ACTIVE> Domain/Workgroup Name
WORKGROUP <1d> - B <ACTIVE> Master Browser
WORKGROUP <1e> - <GROUP> B <ACTIVE> Browser Service
Elections
MAC Address = 00-00-00-00-00-00
=======================================
| Session Check on 192.168.88.251 |
=======================================
[+] Server 192.168.88.251 allows sessions using username '', password ''
=============================================
| Getting domain SID for 192.168.88.251 |
=============================================
Domain Name: WORKGROUP
Domain Sid: (NULL SID)
[+] Can't determine if host is part of domain or part of a workgroup
========================================
| OS information on 192.168.88.251 |
========================================
Use of uninitialized value $os_info in concatenation (.) or string at ./enum4linux.pl line 464.
[+] Got OS info for 192.168.88.251 from smbclient:
[+] Got OS info for 192.168.88.251 from srvinfo:
VULNHOST-1 Wk Sv PrQ Unx NT SNT Samba 4.9.5-Debian
platform_id : 500
os version : 6.1
server type : 0x809a03
===============================
| Users on 192.168.88.251 |
===============================
index: 0x1 RID: 0x3e8 acb: 0x00000010 Account: derek Name: Desc:
user:[derek] rid:[0x3e8]
===========================================
| Share Enumeration on 192.168.88.251 |
===========================================
Sharename Type Comment
--------- ---- -------
print$ Disk Printer Drivers
secret_folder Disk Extremely sensitive information
IPC$ IPC IPC Service (Samba 4.9.5-Debian)
SMB1 disabled -- no workgroup available
[+] Attempting to map shares on 192.168.88.251
//192.168.88.251/print$ Mapping: DENIED, Listing: N/A
//192.168.88.251/secret_folder Mapping: DENIED, Listing: N/A
======================================================
| Password Policy Information for 192.168.88.251 |
======================================================
[+] Attaching to 192.168.88.251 using a NULL share
[+] Trying protocol 139/SMB...
[+] Found domain(s):
[+] VULNHOST-1
[+] Builtin
[+] Password Info for Domain: VULNHOST-1
[+] Minimum password length: 5
[+] Password history length: None
[+] Maximum password age: 37 days 6 hours 21 minutes
[+] Password Complexity Flags: 000000
[+] Domain
Lab - Création Refuse avec
de paquets Password
ScapyChange: 0
[+] Domain Password Store Cleartext: 0
[+] Domain Password Lockout Admins: 0
[+] Domain Password No Clear Change: 0
[+] Domain Password No Anon Change: 0
[+] Domain Password Complex: 0
[+] Minimum password age: None
[+] Reset Account Lockout Counter: 30 minutes
[+] Locked Account Duration: 30 minutes
[+] Account Lockout Threshold: None
[+] Forced Log off Time: 37 days 6 hours 21 minutes
[+] Retrieved partial password policy with rpcclient:

Password Complexity: Disabled
Minimum Password Length: 5
================================
| Groups on 192.168.88.251 |
================================
Objectifs
[+] Getting builtin groups:
[+] Getting builtin group memberships:
[+] Getting
Dans cet local groups:
atelier, vous utiliserez Scapy, un outil de manipulation de paquets basé sur Python, pour
[+] Getting
créer deslocal
paquets group memberships:
personnalisés. Ces paquets personnalisés seront utilisés pour effectuer une
[+] Getting domainsur
reconnaissance groups:
un système cible.
[+] Getting domain group memberships:
=======================================================
| Users on 192.168.88.251 via RID cycling (RIDS: 500-550, 1000-1050) |
=======================================================
[I] Found new SID: S-1-22-1
[I] Found new SID: S-1-5-21-2226316658-154127331-1048156596
[I] Found new SID: S-1-5-32
[+] Enumerating users using SID S-1-5-21-2226316658-154127331-
1048156596 and logon username '', password ''
<output omitted for brevity>
S-1-5-21-2226316658-154127331-1048156596-501 VULNHOST-1\nobody (Local User)
S-1-5-21-2226316658-154127331-1048156596-513 VULNHOST-1\None (Domain Group)
S-1-5-21-2226316658-154127331-1048156596-1000 VULNHOST-1\derek (Local User)
[+] Enumerating users using SID S-1-22-1 and logon username '', password ''
S-1-22-1-1000 Unix User\omar (Local User)
S-1-22-1-1001 Unix User\derek (Local User)
[+] Enumerating users using SID S-1-5-32 and logon username '', password ''
=================================================
| Getting printer info for 192.168.88.251 |
=================================================
No printers returned.
|--- #
Il existe une implémentation enum4linux basée sur Python appelée enum4linux-ng qui peut être téléchargée
depuis https://github.com/cddmp/enum4linux-ng .
L'exemple 3-30 montre un exemple d'énumération SMB utilisant enum4linux-ng.
Exemple 3-30 - Énumération utilisant enum4linux-ng
|--[root@websploit]--[~/enum4linux-ng]
|--- # ./enum4linux-ng.py -As 192.168.88.251
ENUM4LINUX - next generation
==========================
| Target Information |
==========================
[*] Target ........... 192.168.88.251
[*] Username ......... ''
[*] Random Username .. 'opaftohf'
[*] Password ......... ''
[*] Timeout .......... 5 second(s)
======================================
| Service Scan on 192.168.88.251 |
======================================
[*] Checking LDAP
[-] Could not connect to LDAP on 389/tcp: connection refused
[*] Checking LDAPS
[-] Could not connect to LDAPS on 636/tcp: connection refused
[*]- Création
Lab Checking SMB
[+] SMB is accessible on 445/tcp
[*] Checking SMB over NetBIOS
[+] SMB over NetBIOS is accessible on 139/tcp
===========================================
| SMB Dialect Check on 192.168.88.251 |
===========================================
[*] Check for legacy SMBv1 on 445/tcp
[+] Server supports dialects higher SMBv1
===========================================
| RPC Session Check on 192.168.88.251 |
===========================================

[*] Check for null session
[+] Server allows session using username '', password ''
[*] Check for random user session
[+] Server allows session using username 'opaftohf', password ''
[H] Rerunning enumeration with user 'opaftohf' might give more results
Objectifs
=====================================================
| Domain Information via RPC for 192.168.88.251 |
=====================================================
[+] Domain:
créer desWORKGROUP
paquets personnalisés. Ces paquets personnalisés seront utilisés pour effectuer une
[+] SID: NULL SID sur un système cible.
reconnaissance
[+] Host is part of a workgroup (not a domain)
================================================
| OS Information via RPC on 192.168.88.251 |
================================================
[+] The following OS information were found:
server_type_string = Wk Sv PrQ Unx NT SNT Samba 4.9.5-Debian
platform_id = 500
os_version = 6.1
server_type = 0x809a03
os = Linux/Unix (Samba 4.9.5-Debian)
=======================================
| Users via RPC on 192.168.88.251 |
=======================================
[*] Enumerating users via 'querydispinfo'
[+] Found 2 users via 'querydispinfo'
[*] Enumerating users via 'enumdomusers'
[+] Found 2 users via 'enumdomusers'
[+] After merging user results we have 2 users total:
'1000':
username: derek
name: ''
acb: '0x00000010'
description: ''
'1001':
username: omar
name: ''
acb: '0x00000010'
description: ''
========================================
| Groups via RPC on 192.168.88.251 |
========================================
[*] Enumerating local groups
[+] Found 0 group(s) via 'enumalsgroups domain'
[*] Enumerating builtin groups
[+] Found 0 group(s) via 'enumalsgroups builtin'
[*] Enumerating domain groups
[+] Found 0 group(s) via 'enumdomgroups'
========================================
| Shares via RPC on 192.168.88.251 |
========================================
[*] Enumerating shares
[+] Found 3 share(s):
IPC$:
comment: IPC Service (Samba 4.9.5-Debian)
type: IPC
print$:
comment: Printer Drivers
type: Disk
secret_folder:
comment: Extremely sensitive information
type: Disk
[*] Testing share IPC$
[-] Could not check share: STATUS_OBJECT_NAME_NOT_FOUND
[*] Testing share print$
[+] Mapping: DENIED, Listing: N/A
[*] Testing share secret_folder
[+] Mapping: DENIED, Listing: N/A
===========================================
| Policies via RPC for 192.168.88.251 |
===========================================
[*]- Création
Lab Trying portde445/tcp
paquets avec Scapy
[+] Found policy:
domain_password_information:
pw_history_length: None
min_pw_length: 5
min_pw_age: none
max_pw_age: 49710 days 6 hours 21 minutes
pw_properties:
- DOMAIN_PASSWORD_COMPLEX: false
- DOMAIN_PASSWORD_NO_ANON_CHANGE: false
- DOMAIN_PASSWORD_NO_CLEAR_CHANGE: false
- DOMAIN_PASSWORD_LOCKOUT_ADMINS: false

- DOMAIN_PASSWORD_PASSWORD_STORE_CLEARTEXT: false
- DOMAIN_PASSWORD_REFUSE_PASSWORD_CHANGE: false
domain_lockout_information:
lockout_observation_window: 30 minutes
lockout_duration: 30 minutes
Objectifs
lockout_threshold: None
domain_logoff_information:
force_logoff_time:
Dans cet atelier, vous49710 days
utiliserez 6 hours
Scapy, 21 de
un outil minutes
manipulation de paquets basé sur Python, pour
===========================================
| Printers via sur
reconnaissance RPCunfor 192.168.88.251
système cible. |
===========================================
P ti 1 returned
[+] No printers E êt (this l' tilisS not an error)
Completed after 0.70 seconds
|--- #
Les lignes en surbrillance dans l'exemple 3-30 montrent les utilisateurs énumérés, la version de Samba et les dossiers
partagés. Vous pouvez également utiliser des outils simples tels que smbclient pour énumérer les partages et autres
informations d'un système exécutant SMB, comme le montre l'exemple 3-31.
Exemple 3-31 - Énumération à l'aide de smbclient
|--[root@websploit]
|--- #smbclient -L \\\192.168.88.251
Sharename Type Comment
--------- ---- -------
print$ Disk Printer Drivers
secret_folder Disk Extremely sensitive information
IPC$ IPC IPC Service (Samba 4.9.5-Debian)
SMB1 disabled -- no workgroup available
|--- #
Énumération de pages Web/énumération d'applications Web
Une fois que vous avez identifié qu'un serveur Web s'exécute sur un hôte cible, l'étape suivante consiste à examiner
l'application Web et à commencer à cartographier la surface d'attaque en effectuant une énumération de pages
Web ou souvent appelée énumération d'applications Web . Vous pouvez cartographier la surface d’attaque d’une application
Web de différentes manières. L'outil pratique Nmap dispose en fait d'un script NSE disponible pour forcer brutalement les
chemins de répertoire et de fichiers des applications Web. Armé d'une liste de fichiers et de répertoires connus utilisés par les
applications Web courantes, il sonde le serveur pour chacun des éléments de la liste. Sur la base de la réponse du serveur, il
peut déterminer si ces chemins existent. Ceci est pratique pour identifier des éléments tels que la page du gestionnaire par
défaut d'Apache ou de Tomcat qui sont généralement laissés sur les serveurs Web et peuvent constituer des voies potentielles
d'exploitation. La syntaxe du script http-enum NSE est la suivante :
nmap -sV --script=http-enum <cible>
L'exemple 3-32 affiche les résultats de l'exécution de ce script sur l'hôte avec l'adresse IP 192.168.88.251.
Exemple 3-32 - Exemple de sortie de script Nmap http-enum
|--- #nmap -sV --script=http-enum -p 80 192.168.88.251
Host
Lab is up (0.0011s
- Création latency).
PORT STATE SERVICE VERSION
80/tcp open http nginx 1.17.2
| http-enum:
| /admin/: Possible admin folder
| /admin/index.html: Possible admin folder
|_ /s/: Potentially interesting folder
|_http-server-header: nginx/1.17.2
Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .

|--- #
Objectifs
Lacréer
sortiedes
en surbrillance dans l'exempleCes
paquets personnalisés. 3-32paquets
montre plusieurs répertoires/dossiers
personnalisés énumérés
seront utilisés et la version
pour effectuer unedu serveur Web
utilisé (Nginx 1.17.2).
reconnaissance surC’est un bon point
un système de départ pour attaquer une application Web.
cible.
Nikto estP untiautre
1 outil
E d'énumération
êt l' tildeSserveurs Web dont nous devrions parler. Nikto est un scanner de vulnérabilités Web
open source qui existe depuis de nombreuses années. Il n'est pas aussi robuste que les scanners de vulnérabilités Web
commerciaux ; cependant, il est très pratique pour exécuter un script rapide permettant d'énumérer des informations sur un
serveur Web et les applications qu'il héberge. En raison de la vitesse à laquelle Nikto analyse un serveur Web, celui-ci est très
bruyant. Il offre un certain nombre d'options d'analyse, notamment la possibilité de s'authentifier auprès d'une application
Web nécessitant un nom d'utilisateur et un mot de passe. L'exemple 3-33 montre le résultat d'une analyse Nikto exécutée sur
le même hôte que dans l'exemple 3-32 (192.168.88.251). La sortie de l'exemple 3-33 montre des résultats similaires à ceux
du script Nmap utilisé dans l'exemple 3-32.
Exemple 3-33 - Exemple de Nikto Scan
|--- #nikto -h 192.168.88.251
- Nikto v2.1.6
-----------------------------------------------------------------------
+ Target IP: 192.168.88.251
+ Target Hostname: 192.168.88.251
+ Target Port: 80
-----------------------------------------------------------------------
+ Server: nginx/1.17.2
+ The anti-clickjacking X-Frame-Options header is not present.
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to
the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the
user agent to render the content of the site in a different fashion
to the MIME type
+ No CGI Directories found (use '-C all' to force check all possible
dirs)
+ OSVDB-3092: /admin/: This might be interesting...
+ /admin/index.html: Admin login page/section found.
+ /wp-admin/: Admin login page/section found.
+ /wp-login/: Admin login page/section found.
+ 7916 requests: 0 error(s) and 7 item(s) reported on remote host
+ End Time: 2021-06-22 11:57:59 (GMT-4) (15 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
|--- #
CONSEIL Aucun outil n’est parfait. Il est

recommandé de vous familiariser avec le
comportement et les résultats des différents
outils. Le module 10 couvre plusieurs outils
supplémentaires qui peuvent être utilisés pour le
dénombrement et la reconnaissance.
Objectifs
Énumération des services
L'énumération des services est le processus d'identification des services exécutés sur un système distant et constitue l'un des
principaux objectifs de Nmap en tant que scanner de ports. Les discussions précédentes dans ce module mettent en évidence
les différents types d'analyse et comment ils peuvent être utilisés pour contourner les filtres. Lorsque vous êtes connecté à un
système situé sur un segment de réseau directement connecté, vous pouvez exécuter des scripts supplémentaires pour une
énumération plus approfondie. Une analyse de port adopte le point de vue d'un utilisateur distant accrédité. Le script NSE
Nmap smb-enum-processes énumère les services sur un système Windows, et il le fait en utilisant les informations
d'identification d'un utilisateur ayant accès pour lire l'état des services en cours d'exécution. Il s'agit d'un outil pratique pour
interroger à distance un système Windows afin de déterminer la liste exacte des services en cours d'exécution. La syntaxe de
la commande est la suivante :
nmap --script smb-enum-processes.nse --script-args smbusername= <nom d'utilisateur> , smbpass= <mot de passe> -p
Explorer l'énumération via la création de paquets
Lorsqu'il s'agit d'énumération via la création et la génération de paquets, Scapy est l'un des outils et frameworks préférés des
pentesters. Scapy est un framework ou un écosystème très complet basé sur Python pour la génération de paquets. Cette
section examine certaines des façons simples d'utiliser cet outil pour effectuer une reconnaissance de base du réseau.
REMARQUE Scapy doit être exécuté avec les autorisations root pour pouvoir modifier les paquets.
Lancer le shell interactif Scapy est aussi simple que de taper sudo scapy à partir d'une fenêtre de terminal, comme illustré
dans la figure 3-13.
Figure 3-13 - Démarrage de scapy à partir de la ligne de commande
Objectifs
L'exemple 3-34 montre à quel point il est facile de commencer à créer des paquets. Dans cet exemple, un simple paquet
ICMP est créé avec malware_payload comme charge utile envoyée à l'hôte de destination 192.168.88.251.
Exemple 3-34 - Création d'un paquet ICMP simple à l'aide de Scapy
>>> send(IP(dst="192.168.88.251")/ICMP()/"malicious_payload")
.
Sent 1 packets.
L'exemple 3-35 montre le paquet ICMP reçu par le système cible (192.168.88.225/vulnhost-1). L'outil de capture de paquets
tshark est utilisé pour capturer le paquet ICMP contrefait.
Exemple 3-35 - Collecte d'un paquet contrefait à l'aide de tshark
omar@vulnhost-1 ~ % sudo tshark host 192.168.78.142

Capturing on 'eth0'
1 0.000000000 192.168.78.142 ? 192.168.88.251 ICMP 60 Echo (ping) request id=0x0000,
seq=0/0, ttl=63
2 0.000026929 192.168.88.251 ? 192.168.78.142 ICMP 59 Echo (ping) reply id=0x0000,
seq=0/0, ttl=64 (request in 1)
Scapy prend en charge un grand nombre de protocoles. Vous pouvez utiliser la fonction ls() pour répertorier tous les formats
et protocoles disponibles, comme le montre l'exemple 3-36.
Exemple 3-36 - La fonction Scapy ls()
>>> ls()
AH : AH
AKMSuite
Lab - Création: AKM suite
ARP : ARP
ASN1P_INTEGER : None
ASN1P_OID : None
ASN1P_PRIVSEQ : None
ASN1_Packet : None
ATT_Error_Response : Error Response
ATT_Exchange_MTU_Request : Exchange MTU Request
ATT_Exchange_MTU_Response : Exchange MTU Response
ATT_Execute_Write_Request : Execute Write Request
ATT_Execute_Write_Response : Execute Write Response
ATT_Find_By_Type_Value_Request : Find By Type Value Request

ATT_Find_By_Type_Value_Response : Find By Type Value Response
ATT_Find_Information_Request : Find Information Request
ATT_Find_Information_Response : Find Information Response
ATT_Handle : ATT Short Handle
ATT_Handle_UUID128 : ATT Handle (UUID 128)
Objectifs
ATT_Handle_Value_Indication : Handle Value Indication
ATT_Handle_Value_Notification : Handle Value Notification
ATT_Handle_Variable : None
ATT_Hdr : paquets
créer des ATT headerpersonnalisés. Ces paquets personnalisés seront utilisés pour effectuer une
ATT_Prepare_Write_Request
reconnaissance sur un système: Prepare
cible. Write Request
Vous pouvez utiliser la fonction ls() pour afficher toutes les options et champs d'un protocole ou d'un format de paquet
spécifique pris en charge par Scapy, comme le montre l'exemple 3-37. Cet exemple montre les champs disponibles pour le
protocole TCP.
Exemple 3-37 - Liste des champs TCP Layer 4 dans Scapy
>>> ls(TCP)
sport : ShortEnumField = (20)
dport : ShortEnumField = (80)
seq : IntField = (0)
ack : IntField = (0)
dataofs : BitField (4 bits) = (None)
reserved : BitField (3 bits) = (0)
flags : FlagsField (9 bits) = (<Flag 2 (S)>)
window : ShortField = (8192)
chksum : XShortField = (None)
urgptr : ShortField = (0)
options : TCPOptionsField = (b'')
L'exemple 3-38 montre les champs des paquets DNS qui peuvent être modifiés par Scapy.
Exemple 3-38 - Liste des champs de paquets DNS disponibles dans Scapy
>>> ls(DNS)
length : ShortField (Cond) = (None)
id : ShortField = (0)
qr : BitField (1 bit) = (0)
opcode : BitEnumField (4 bits) = (0)
aa : BitField (1 bit) = (0)
tc : BitField (1 bit) = (0)
rd : BitField (1 bit) = (1)
ra : BitField (1 bit) = (0)
z : BitField (1 bit) = (0)
ad : BitField (1 bit) = (0)
cd : BitField (1 bit) = (0)
rcode : BitEnumField (4 bits) = (0)
qdcount : DNSRRCountField = (None)
ancount : DNSRRCountField = (None)
nscount : DNSRRCountField = (None)
arcount : DNSRRCountField = (None)
qd : DNSQRField = (None)
an : DNSRRField = (None)
ns -
Lab Création :deDNSRRField
paquets avec Scapy = (None)
ar : DNSRRField = (None)
Vous pouvez utiliser la fonction explore() pour parcourir les couches et protocoles Scapy. Après avoir exécuté la
fonction explore() , l'écran de la figure 3-14 s'affiche.
Figure 3-14 - Utilisation de la fonction explore() dans Scapy
Objectifs
Vous pouvez utiliser la fonction explore() avec n’importe quel format de paquet ou protocole. L'exemple 3-39 montre les
paquets contenus dans scapy.layers.dns à l'aide de la fonction explore("dns") .
Exemple 3-39 - Utilisation de la fonction explore("dns") pour afficher les types de paquets dans scapy. couches.dns
>>> explore("dns")
Packets contained in scapy.layers.dns:
Class |Name
---------------------------|------------------------------
DNS |DNS
DNSQR |DNS Question Record
DNSRR |DNS Resource Record
DNSRRDLV |DNS DLV Resource Record
DNSRRDNSKEY |DNS DNSKEY Resource Record
DNSRRDS |DNS DS Resource Record
DNSRRMX |DNS MX Resource Record
DNSRRNSEC |DNS NSEC Resource Record
DNSRRNSEC3 |DNS NSEC3 Resource Record
DNSRRNSEC3PARAM |DNS NSEC3PARAM Resource Record
DNSRROPT |DNS OPT Resource Record
DNSRRRSIG |DNS RRSIG Resource Record
DNSRRSOA |DNS SOA Resource Record
DNSRRSRV |DNS SRV Resource Record
DNSRRTSIG |DNS TSIG Resource Record
EDNS0TLV |DNS EDNS0 TLV
InheritOriginDNSStrPacket|
Vous pouvez utiliser Scapy comme scanner de différentes manières. Omar Santos propose plusieurs exemples de scripts
Python pour effectuer une analyse du réseau et du système à l'aide de Scapy dans son référentiel
GitHub ; voir https://github.com/The-Art-of-Hacking/h4cker/blob/master/python_ruby_and_bash . Cependant, vous
pouvez effectuer une simple analyse TCP SYN sur n'importe quel port donné, comme le montre l'exemple 3-40. Dans cet
exemple, un paquet SYN du port TCP 445 est envoyé à l'hôte avec l'adresse IP 192.168.88.251. La sortie indique qu'il a reçu
une réponse, mais elle ne précise pas quelle était la réponse réelle (réponse).
Exemple 3-40 - Envoi d'un paquet TCP SYN à l'aide de Scapy

>>> ans, unans = sr(IP(dst='192.168.88.251')/TCP(dport=445,flags='S'))
Objectifs
Begin emission:
Finished sending 1 packets.
....*Dans cet atelier, vous utiliserez Scapy, un outil de manipulation de paquets basé sur Python, pour
Received
créer 5 packets,
des got 1 answers,
paquets personnalisés. Cesremaining 0 packets seront utilisés pour effectuer une
paquets personnalisés
>>> reconnaissance sur un système cible.
L'exemple 3-41 montre la capture de paquets sur l'hôte cible (192.168.88.251).
Exemple 3-41 - Capture de paquets TCP sur l'hôte cible
omar@vulnhost-1 ~ % sudo tshark host 192.168.78.142

Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
1 0.000000000 192.168.78.142 ? 192.168.88.251 TCP 60 20 ? 445 [SYN] Seq=0 Win=8192 Len=0
2 0.000033735 192.168.88.251 ? 192.168.78.142 TCP 58 445 ? 20 [SYN, ACK] Seq=0 Ack=1
Win=64240 Len=0 MSS=1460
3 0.001065273 192.168.78.142 ? 192.168.88.251 TCP 60 20 ? 445 [RST] Seq=1 Win=0 Len=0
3.2.5 Pratique - Explorer l'énumération via la création de

paquets avec Scapy
Lab -Quel
outil peut être utilisé par un attaquant pour générer des paquets modifiés ?
Nmap
Scapy

ExifTool
Objectifs
Reconnaissance
Réinitialiser
3.2.6 Lab - Énumération avec Nmap

Tâche des solutions de sécurité Protego
Nmap est un outil de reconnaissance active classique

pour les pentesters. Tout pentester devrait le
connaître car il possède une flexibilité
inégalée. Nmap est un outil en ligne de commande et
Zenmap en est une version GUI. Bien que Zenmap
rende moins cruciale la connaissance du large
éventail d'options de Nmap, Zenmap ne peut pas
remplacer la maîtrise de la ligne de commande de
Nmap.
Lab - Création de paquets avec
NousScapy
commencerons bientôt à effectuer une
reconnaissance active sur les systèmes de nos
clients. Veuillez mettre en pratique vos compétences
Nmap dans cet atelier afin de pouvoir participer
Objectifs pleinement au travail de notre équipe sur
l'engagement Pixel Paradise.
Dans cetPatelier,
ti 1 vous
E atteindrez
êt l' objectifs
les til S suivants :
Enquêter sur Nmap

Effectuer des analyses Nmap de base
Lab - Énumération avec Nmap
Veuillez répondre aux questions suivantes après avoir terminé le laboratoire.
Vérification des compétences
Construisez la commande nmap qui a créé la sortie ci-dessous en sélectionnant dans les listes déroulantes.
À partir de Nmap 7.93 ( https://nmap.org ) le 2023-04-10 16:44 UTC

Le rapport d'analyse Nmap pour 10.6.6.11
L'hôte est en place (latence de 0,000098 s).
PORT STATE SERVICE VERSION

8888/tcp open http nginx 1.18.0
Détection de service effectuée. Veuillez signaler tout résultat incorrect sur https://nmap.org/submit/ .
Nmap terminé : 1 adresse IP (1 hôte activé) analysée en 6,39 secondes
nmap -sV -p8888 10.6.6.11
Réinitialiser
Enquête en laboratoire
Lab -Veuillez
nous faire part de votre expérience avec le laboratoire en indiquant votre niveau d'accord avec les énoncés suivants.
J'ai confiance dans les compétences que j'ai mises en pratique dans ce laboratoire.
Veuillez sélectionner une option
Réaliser ce laboratoire a été une bonne utilisation de mon temps.

Objectifs
reconnaissance surSoumettre
un système cible.
3.2.7 Inspection des paquets et écoute clandestine
Lab -En
tant que testeur d'intrusion, vous pouvez utiliser des outils tels que Wireshark, tshark et tcpdump pour collecter les
captures de paquets à des fins d'inspection et d'écoute clandestine. Toute personne impliquée dans les réseaux ou la sécurité a,
à un moment donné, utilisé ces outils pour capturer et analyser le trafic sur un réseau. Pour un testeur d’intrusion, de tels
outils peuvent être pratiques pour effectuer une reconnaissance passive. Bien entendu, ce type de reconnaissance nécessite
une connexion physique ou sans fil avec la cible. Si vous craignez d'être détecté, vous feriez probablement mieux d'essayer
une connexion sans fil, car cela ne nécessiterait pas que vous soyez à l'intérieur du bâtiment. Il arrive souvent que l’empreinte
sans fil d’une entreprise s’étende au-delà de ses murs physiques. Cela donne à un testeur d'intrusion la possibilité de
potentiellement collecter des informations sur la cible et éventuellement d'accéder au réseau pour détecter le trafic. Le
module 5, « Exploiter les réseaux filaires et sans fil », aborde ce sujet en profondeur.
Objectifs
3.2.8 Pratique – Inspection des paquets et écoute

clandestine
Quels outils peuvent être utilisés pour effectuer une reconnaissance passive ? (Choisissez tout ce qui correspond.)
Nikto
Nmap
requin
tcpdump
Requin filaire
enum4linux

Reset
Objectifs
3.2.9 Lab - Création de paquets avec Scapy
Scapy vous permet de créer et d'envoyer des paquets

contenant les valeurs souhaitées dans les champs de
données du protocole. Par exemple, vous pouvez
créer des paquets contenant des adresses IP source et
de destination, des indicateurs TCP et des numéros
de port manipulés, ainsi que de nombreuses autres
valeurs que vous spécifiez. Nous l'utilisons tout le
temps chez Protego.
Suivez cet atelier pour apprendre les bases de

Scapy. Vous pourrez alors nous aider dans notre
reconnaissance active de Pixel Paradise.
Dans cet atelier, vous utiliserez Scapy, un outil de manipulation de paquets basé sur Python, pour créer des paquets
personnalisés. Ces paquets personnalisés seront utilisés pour effectuer une reconnaissance sur un système cible.
Partie 1 : Enquêter sur l'outil Scapy.

Partie 2 : Utilisez Scapy pour renifler le trafic réseau.
Partie 3 : Créer et envoyer un paquet ICMP.
Partie 4 : Créer et envoyer des paquets TCP SYN.

Sélectionnez jouer pour regarder une démonstration du laboratoire.
Objectifs
Vous souhaitez envoyer un paquet au port HTTP bien connu sur l'hôte 192.168.99.17 avec l'indicateur TCP SYN
défini. Quelles options utiliserez-vous avec la fonction Scapy send() pour créer ce paquet ? (Choisissez tout ce qui
correspond.)
IP(dst="192.168.99.17")
TCP(drapeaux="SN")
TCP(port=80)
TCP(port=8080)
TCP(drapeaux="S")
Soumettre

Veuillez nous faire part de votre expérience avec le laboratoire en indiquant votre niveau d'accord avec les énoncés suivants.

Objectifs
Soumettre
3.2.10 Lab – Reniflage de réseau avec Wireshark

Wireshark et tcpdump sont des outils indispensables

pour capturer le trafic sur un réseau. Ils permettent
une inspection détaillée du trafic réseau, y compris
les mots de passe, les hachages, les fichiers et les
échanges de paquets entiers. Wireshark utilise une
interface graphique pour les captures de paquets,
tandis que tcpdump est un outil en ligne de
commande. Il faut vraiment les connaître tous les
deux pour travailler chez Protego.
Lab - Création de paquets avec Scapyavec tcpdump et Wireshark en
Familiarisez-vous
laboratoire. Mettez en pratique vos compétences afin
de pouvoir nous aider dans le cadre de l'engagement
Pixel Paradise.
Objectifs
reconnaissance
Dans sur
cet atelier, vous un système
utiliserez cible.
l'utilitaire Linux tcpdump pour capturer et enregistrer le trafic réseau. Vous utiliserez ensuite
Wireshark pour enquêter sur la capture du trafic.
Préparez l'hôte pour capturer le trafic réseau.
Capturez et enregistrez le trafic réseau.
Affichez et analysez la capture de paquets.
Laboratoire - Reniflage de réseau avec Wireshark
Démonstration vidéo
Sélectionnez jouer pour regarder une démonstration du laboratoire.
Lab -Que
fera cette instruction tcpdump ?
sudo tcpdump -i eth0 -s 0 -w packetdump.pcap
Avec Veuillez sélectionner une option. privilèges, ce sera
capturer Veuillez sélectionner une option. octets de données et enregistrer un fichier

appelé packetdump.pcap au Veuillez sélectionner une option. annuaire.
Objectifs
reconnaissance surSoumettre
un système cible.
Veuillez nous faire part de votre expérience avec le laboratoire en indiquant votre niveau d'accord avec les énoncés suivants.
Soumettre

Compétences Cisco Pour Tous3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Compétences Cisco Pour Tous3

Transféré par

Droits d'auteur :

Formats disponibles

09/11/2023 00:55 Compétences Cisco pour tous

Lab - Création de paquets avec Scapy Télécharger HTML

Solutions de sécurité Protego

Dans le cadre du processus de collecte

Le réseau Pixel Paradise comprend les éléments

Points de terminaison des utilisateurs :

Lab - Création de paquets avec Scapy

État du port Nmap

Ouvrir ACK de synchronisation TCP Le service est à l'écoute sur le port.

Fermé TCP RST Le service n'écoute pas sur le port.

Figure 3-8 - Illustration de l'analyse SYN Nmap

Exemple 3-19 - Exemple de sortie de Nmap SYN Scan

3.2.2 Types d'analyse Nmap

Analyse de connexion TCP ( -sT )

Analyse de connexion TCP ( -sT )

Tableau 3-3 - Réponses à l'analyse de connexion TCP

État du port Nmap signalé Réponse de Target Analyse Nmap

Ouvrir ACK de synchronisation TCP Le service est à l'écoute sur le port.

Filtré Aucune réponse de la cible Le port est protégé par un pare-feu.

La figure 3-9 illustre le fonctionnement d'une analyse de connexion TCP.

Figure 3-9 - Illustration de l'analyse de connexion TCP

Lab - Création de paquets avec Scapy

L'exemple 3-20 montre le résultat d'une analyse complète de la connexion TCP.

Exemple 3-20 - Exemple de sortie d'analyse Nmap TCP Connect

Nmap done: 1 IP address (1 host up) scanned in 0.16 seconds

Lab - Création de paquets avec Scapy

Tableau 3-4 - Réponses à l'analyse UDP

État du port Nmap signalé Réponse de Target Analyse Nmap

La figure 3-10 illustre le fonctionnement d'une analyse UDP.

Figure 3-10 - Illustration de l'analyse UDP

Données UDP + port 53

Système Système cible

Exemple 3-21 - Exemple de sortie d'analyse Nmap UDP

Tableau 3-5 - Réponses à l'analyse TCP FIN

État du port Nmap signalé Réponse de Target Analyse Nmap

La figure 3-11 illustre le fonctionnement d'une analyse TCP FIN.

Figure 3-11 - Illustration de l'analyse TCP FIN

Lab - Création de paquets avec Scapy

Système d'attaque Système cible

Système d'attaque Système cible

Exemple 3-22 - Exemple de sortie d'analyse Nmap TCP FIN

Analyse de découverte d'hôte ( -sn )

Exemple 3-23 - Analyse de découverte d'hôte Nmap

Lab - Création de paquets avec Scapy

Options de synchronisation ( -T 0-5 )

-T0 (Paranoid) : Très lent, utilisé pour l'évasion IDS

Lab - Création de paquets avec Scapy

3.2.3 Pratique - Types d'analyse Nmap

Quel type d’analyse de port est utilisé par le technicien ?

analyse de découverte d'hôte

Analyse TCP FIN

Afficher les commentaires

nmap -sn -T0 172.18.12.0/24

Quel est le but d’utiliser l’option -T0 ?

pour arrêter l'analyse après une période de temps spécifiée par T0

effectuer l'analyse de manière agressive

pour éviter d'être détecté par IDS ou IPS

Lab - Création de paquets avec Scapy

Afficher les commentaires

Lab - Création de paquets avec Scapy

3.2.4 Types de dénombrement

Énumération des hôtes

Énumération des hôtes