02 Reconnaissance

AKHAM Omar
IT Talents School
La collecte
de l’information
(Reconnaissa
nce)
If I had six hours to chop down a tree, I’d spend the first four hours of them sharpening my axe
Abraham Lincoln
Formation PIRATAGE ETHIQUE 2

Rappel sur l'Anatomie d’une attaque

Introduction
• C'est le premier pas dans le piratage d'un réseau d'entreprise.
– Avant d’exécuter un exploit, l’attaquant doit connaître l’environnement qu’il
prend pour cible.
• gagner le plus d'informations ciblées sur le réseau, sur les systèmes
et sur l’organisation en utilisant des sources auxquelles le public
peut avoir accès (sans donner l’alarme).
– Il a donc besoin de collecter des informations lui permettant d’évaluer le
nombre de machines, leurs types, les systèmes d’exploitation, etc.
• La réussite de l’opération est conditionnée par la quantité
d’informations obtenue.
– Si un attaquant parvient à en recueillir suffisamment, l’accès lui est
pratiquement garanti.
• Un Hacker peut passer 90% du temps de l’attaque dans la collecte
d’informations et 10% de ce temps pour réaliser l’intrusion (Règle
90/10).
Méthodes utilisées à l'empreinte d'un
réseau
• Attaques de type “social engineering” (Contacts)
• Faire des recherches (Site Web corporatif, journaux,
newsgroup, moteurs de recherche, …)
• Les serveurs whois sont aujourd’hui démultipliés, ex :
www.whois.net (personnes responsables, serveurs DNS,
plage d’adressage IP, noms de domaines, …)
• serveurs de messagerie, firewalls, systèmes de détection
d’intrusion
• On peut interroger les DNS s’ils sont mal protégés:
samspade
• Le tracé de route vers un serveur peut être riche
d’enseignements: traceroute
Les informations accessibles au public
• Une entreprise doit connaître les informations qu’un
attaquant peut obtenir à son sujet afin de minimiser les
dégâts potentiels.
• Les entreprises fournissent parfois elles-mêmes une
grande quantité d’informations sans le savoir.
– Des informations qu’une société considère d’ordre général ou à
destination de la clientèle, peuvent aussi simplifier la tâche de
l’attaquant. Leur collecte et leur analyse n’ont rien de criminel.
– Il est donc important que les entreprises fassent attention et
limitent les renseignements qu’elles donnent. Si une entreprise
est obligée de fournir des informations au public, il lui faut
considérer également les dangers potentiels pour minimiser les
risques.

L’Ingénierie sociale
• Contrairement à toutes les autres methodes de
Reconnaissance, c’est une Reconnaissance Active.
• La manipulation (Social Engineering) est un ensemble de
méthodes et de techniques permettant au travers d'une
approche relationnelle basée sur l'influence et la
manipulation, d'obtenir l'accès à un système
d'information ou à des informations confidentielles.
• La manipulation, une fois maîtrisée, peut être utilisée
pour obtenir l’accès à tout système en dépit de la qualité
du matériel et des logiciels présents.
• Deux classes de moyens (médias):
– Moyens non techniques (Human-Based)
– Moyens techniques (Computer-Based)
Les Classes de l’Ingénierie sociale
• Les moyens non techniques les plus utilisées sont:
– La téléphonie
– Le courrier
– L’approche directe
– La fouille des poubelles (Dumpster Diving)
– La navigation au dessus de l’épaule (Shoulder Surfing)
– L’écoute (Eavesdropping)
– L’accès non autorisé
• Les moyens techniques les plus utilisées sont:
– Usurpation d’identité sur les réseaux sociaux
– Phishing
– Spam emails
– Infections informatique (Malware)
– Instant Chat Messenger
– Utilisation des SMS

Le Site Web de l’entreprise
• Cas particulier où l’attaquant fait accès direct aux
informations de l’entreprise sans qu’il soit suspect.
• La plupart des sites Web d’entreprise comportent un
annuaire mentionnant différents responsables. On y
trouve le nom du directeur général et du directeur de
l’exploitation mais aussi ceux de chefs de département et
de directeurs de second rang.
– Un attaquant qui appelle l’équipe de l’assistance technique en
prétendant travailler pour un responsable de l’entreprise risque
de convaincre facilement qu’il est celui qu’il prétend être.
– « Je viens d’être appelé pour une mission urgente pour votre
entreprise et Eric C. m’a dit de vous contacter afin d’accélérer
l’ouverture de mon compte; d’ailleurs je peux vous donner son
numéro de téléphone si vous voulez avoir sa confirmation. »
Le Site Web de l’entreprise (Suite)
• Exemple, dans le but de rehausser sa réputation auprès
de ses clients, une entreprise de conseil en gestion des
réseaux publia sur son site Web l’annonce suivante:
– «Nous avons construit un centre innovent pour faire bénéficier
nos clients des meilleurs fonctionnalités de gestion réseau
existantes.
Toutes les stations de monitoring exécutent Windows 2008 et
accèdent aux données via un réseau Cisco composé des derniers
routeurs et commutateurs de cette entreprise. HP Openview est
employé pour la surveillance des systèmes, laquelle est prise en
charge par plusieurs stations de travail SUN. Le centre dispose
aussi de trois points d’accès à Internet, ce qui lui assure un haut
niveau de tolérance aux pannes.»

Le fichier robots.txt (Suite)
• Le fichier robots.txt est un fichier texte utilisé pour le
référencement naturel des sites web, contenant des
commandes à destination des robots d'indexation des
moteurs de recherche afin de leur préciser les pages qui
peuvent ou ne peuvent pas être indexées.

Le fichier robots.txt
• robots.txt communique une liste d’adresse aux robots en
les invitant à ne pas y accéder.
• De nombreux robots respectent ces instructions, mais ce
n’est certainement pas le cas de programmes dont les
auteurs sont mal intentionnés.
• Ces programmes mal intentionnés pourraient même
puiser dans robots.txt des informations leur facilitant le
piratage de votre site. Ceci permet de découvrir le nom
des fichiers interdits.
• On ne peut donc, en aucun cas, utiliser robots.txt pour
protéger des fichiers sensibles.

Informations sur un site Web: Netcraft
• Netcraft.com permet d’obtenir des informations sur un
site Web:
– Le netblock owner.
– Les adresses IP
– Les versions d’OS et de logiciels utilisés.

Informations sur un site Web: Netcraft

Extraction des archives d'un site Web
• Le site www.archive.org conserve les copies des sites depuis
1996.Utile pour consulter d’anciennes versions de sites.
– Suivre l'évolution de l'entreprise en consultant toutes les mises à
jours,
– Extraction de la base de données des employés, les communiqués
de presse,
…

Les pages orphelines d'un site Web
• Lorsqu'un attaquant se connecte au site Web d'une
entreprise, il clique sur des liens pour parcourir les pages
du site
– Donc, il peut atteindre uniquement les pages accessibles par des
liens.
• Un grand nombre de sites comportent des pages
orphelines
– Peuvent être affichées seulement si l'on connaît le nom du
fichier
– Peuvent soit être devinées soit aspirées par des programmes
aspirateurs
– Les développeurs Web ne suppriment pas toujours les pages
tests, pensant qu'on ne peut pas y accéder
– Ces pages peuvent contenir surtout des comptes actives avec
des mots de passe et d'autres informations utiles
Extraction des Métadonnées
• Une métadonnée est une donnée qui en décrit une autre.
• Une métadonnée n'est pas intrinsèquement dangereuse,
mais peut communiquer plus d'information sur vous,
votre entreprise, ou votre équipement que vous ne le
pensez.
• Voici quelques exemples de métadonnées:
– Date et heure de création du fichier
– L'adresse ou la géolocalisation de l'endroit où le fichier a été
créé
– Votre nom, celui de votre entreprise ou de votre ordinateur ou
encore son adresse IP
– Les noms des contributeurs ayant travaillé sur le document ou
les commentaires qu'ils ont ajoutés
• FOCA est un logiciel, qui fonctionne sous Windows.
• FOCA est capable de récupérer illégalement des docu-
ments de 12 formats différents sur la toile, à partir d’un
simple nom de domaine (.net, .com, .gov, etc….):
– suite MS Office (.doc, .docx, .ppt…),
– suite OpenOffice,
– suite StarOffice et
– Pdf
• FOCA est capable de trouver le vrai auteur ou créateur de
document, la date de création, le logiciel utilisé etc…. (Grâce à la
métadonné) – trouver la personne qui a modifié le document etc….
(Garder une trace sur le document…).

Trouver les documents
sur un domaine
Après clique droit sur le document

> Extract metadata

Les moteurs de recherche
• L'agresseur ne se limite pas aux seules informations
techniques afin de préparer son attaque.
• L'interrogation des moteurs de recherche Web classiques,
tels que Google, Yahoo, peut révéler de nombreuses
informations:
– noms d'employés, ayant par exemple postés dans des mailing-
lists ou adresses IP d'employés accédant à distance au réseau
interne (VPN)
– liens hypertextes à partir d'autres sites vers le site cible
– communiqués de presse, détaillant des partenariats,
rapprochements.

Les moteurs de recherche: Google
• www.google.com
– Il suffit de taper le nom de l’entreprise pour avoir le URL du site
Web ainsi qu’une grande quantité d’informations utiles pour la
reconnaissance passive

Les moteurs de recherche:
Google Hacking
• Le Google hacking est l'art d'interroger le moteur de recherche
Google. Google possède en effet des fonctions de recherche
avancées permettant de rechercher de manière pointue des
informations.
• Cependant, un site mal configuré laissera les moteurs de
recherches indexer du contenu censé n'être disponible que pour
l'administrateur du système ou aux utilisateurs.
• En sachant bien utiliser les fonctions de recherche, il sera ainsi
possible de dresser la liste de tous les contenus sensibles sans
même se connecter directement au site concerné (donc aucune
trace dans les logs du serveur). L'administrateur du site cible ne se
rend ainsi même pas compte que des données ont été volées.

Moteurs de recherche:
Opérateurs de Google
• Google possède des opérateurs de recherches permettant
de rechercher de manière pointue des informations.
• Les opérateurs sont utilisés pour raffiner les résultats et
maximiser la valeur d’une recherche. Ils sont vos outils de
même que des armes pour les pirates.

Opérateurs de Google
• Opérateurs de base
– +, -, ~ , ., *, “”, |, OU
– "toto1.toto2" +toto
–titi
• Opérateurs avancés
– filetype:pdf - site:toto.com
– link:www.toto.com - [all]intitle:toto
– phonebook:Bill Gates+WA - intext:toto
– cache:www.toto.com/titi.html - [all]inurl:toto
– related:www.toto.com/titi.html -
define:toto
Opérateurs de base de Google
• (+) inclusion forcée d’un mot commun
– Google ignore par défaut les mots communs (exemple : où,
comment, chiffre, lettre singulière, etc.) :
– Exemple : StarStar Wars Episode +I
• (-) exclut un terme de recherche
– Exemple : apple –red
• (“”) Utiliser les guillemets au début et à la fin d’une
expression pour une recherche exacte :
– Exemple : “Robert Masse”
– Robert masse sans guillemets “”obtient 309,000 résultats,
mais“robert masse”avec guillemets “”obtient seulement 927
résultats,Réduisant de 99% les résultats qui ne sont pas
pertinents Formation PIRATAGE ETHIQUE 25
Opérateurs de base de Google
• (~) recherche de synonyme :
– Exemple: ~food
– Affiche tous les résultats qui s’associent à la nourriture, aux
recettes, à la nutrition et à toutes autres informations connexes
à ce terme
• ( . ) recherche toutes les possibilités avec un caractère
simple «wildcard»:
– Exemple: m.trix
– Affiche tous les résultats de : M@trix, matrix, metrix…….
• ( * ) recherche toutes les possibilités avec n’importe quel
mot «wildcard»
Moteurs de recherche: Opérateurs de Google

Moteurs de recherche: Utilité pour le
piratage
• Identification passive de la nature du serveur Web
• Détection invisible des proxies HTTP et FTP sortants de
l’entreprise
• En-têtes SMTP
– Plus besoin d’envoyer un faux mail ou un mail à un utilisateur
inexistant!
• Accès à des fichiers sensibles ou d’anciennes versions de
pages Web retirés des serveurs Web mais toujours
présents dans le cache de Google

Moteurs de recherche: Opérateurs de Google
• Exemple:

Listes de répertoires sensibles
• Exemple: Intitle: index.of.winnt

Parcours Offline et Mots de passe
• Accès à des fichiers sensibles ou d’anciennes versions de
pages Web retirés des serveurs Web mais toujours
présents dans le cache de Google
– cache:toto.com -> renvoie toutes les pages en cache du site
toto.com
• Découverte de mots de passe
– "Index of" htpasswd / passwd
– filetype:xls username password email
– allinurl: admin mdb
– service filetype:pwd (FrontPage)

Google Hacking DataBase (GHDB)
• Une base de donnée gigantesque baptisée GHDB (Google
Hacking Database) créée par Johnny Long et contenant un
tas de Google Dorks permettant par exemple :
– De trouver des emails
– De connaitre la configuration d’un serveur
– De trouver des MP3
– De contrôler quelques webcams
– Des documents excels remplis de mots de passe
• Partant de ce constat, Google peut ainsi être utilisé
comme un outil de pentest par un attaquant et ses
fonctions peuvent être redoutables.




Effets Indirects
• Social engineering
– Identification d’ex-employés, maintenant dans des entreprises
concurrentes
– Informations personnelles sur les administrateurs et les salariés
d’une entreprise
• Hobbies
• Compétences
• Niveaux d’expertise et de motivation
• Amis et réseaux relationnels
• Etc.

Les moteurs de recherche: Shodan
• Alors que les moteurs de recherche traditionnels recensent
principalement des pages Web, le moteur de recherche
Shodan (http://www.shodanhq.com/ ) se donne pour objectif
de répertorier les objets et appareils connectés à l’Internet.
– “Google fouille les sites web, je fouille les objets”, avoue John
Matherly, le fondateur de Shodan.
• Près de 15 milliards d’« objets» (caméras, routeurs, serveurs,
téléphones, webcams, alarmes, feux de signalisation,
appareils médicaux, compteurs électriques, automobiles,
contrôleurs cardiaques, systèmes de contrôle du chauffage ou
de climatisation éoliennes… ) seraient aujourd’hui connectées
au réseau mondial, contre 4 milliards en 2010. 80 milliards
d’objets devraient être mis en réseau d’ici l’année 2020.
• De façon similaire aux Google Dorkz, Il est dès lors
possible d'utiliser des motifs de recherche
caractéristiques pour récupérer des listes d'éléments
spécifiques.
• Quelques motifs:
– Country
– Hostname
– Port
– Os

• Quelques motifs de recherche:

• Exemple: camera country:lb hostname:.net.lb

• Autre Exemple: Balayage des smartphones

Les groupes de discussion
• Newsgroups, forums, blogs:
– Sources d’information intéressantes.
– Les équipes d’assistance les utilisent pour résoudre les
problèmes rencontrés (exemple problème avec un serveur
courrier).
– Si un seul élément permet d’identifier l’entreprise, un attaquant
établira le rapprochement entre les différentes requêtes émises
par cette personne et l’entreprise pour laquelle elle travaille.
Il se procurera alors des indications sur les équipements de
l’entreprise et pourra aussi évaluer le niveau de technicité de
l’équipe informatique.

Les groupes de discussion: Exemple

• Richard Brust" <brust@tbri.com> wrote in message
news:f12180f2.0201301055.2535848c@posting.google.c
om...
have a Cisco PIX 501 and am trying to create a VPN that
would allow employees to remote in from home.
Employees can remote in using Windows but cannot
access any LAN resources. The problem seems to be that I
am not writing the NAT correctly from the remote IP pool
to the LAN IP pool. Each pool has a different internal
scheme and different subnets.
Here's the "sh run":
Result of firewall command: "sh run"

• interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxxxxxxx encrypted
passwd xxxxxxxxxxx encrypted
hostname GMP-Hawaii
domain-name ciscopix.com
clock timezone HST -10
access-list
inside_outbound_nat0_acl
permit ip 192.9.200.0
255.255.255.0 192.9.210.0
255.255.255.224
access-list outside_access_in deny ip any any
access-list inside permit udp any any eq domain
access-list inside permit tcp any any eq www
access-list inside permit tcp any any eq https
access-list inside permit tcp any any eq smtp
access-list inside permit tcp any any eq pop3
access-list inside permit tcp any any eq domain
…
• The line in question is "access-list inside_outbound_nat0_acl permit ip 192.9.200.0
255.255.255.0 192.9.210.0 255.255.255.224," where 192.9.210.0 255.255.255.224 is the
VPN pool and 192.9.200.0 255.255.255.0 is the LAN pool.
Any help on this would save me. I've called a Cisco expert in on this but to no avail.
Thanks. Formation PIRATAGE ETHIQUE 45
Les réseaux sociaux
• Les réseaux sociaux (comme Facebook ou MySpace)
sont conçus pour permettre de rester en contact avec
des amis existants, échanger des informations et
également rechercher de nouveaux amis.
• Les réseaux sociaux constituent des endroits géniaux
pour être en contact avec des gens qui partagent les
mêmes intérêts professionnels, mais ils peuvent
également être très dangereux pour les utilisateurs
comme pour les entreprises.

Les Réseaux Sociaux

Risques des réseaux sociaux
• Le manque de contact physique qui caractérise le site de
réseau social amène les utilisateurs à relâcher leur
vigilance naturelle, les poussant à livrer des informations
privées ou professionnelles qu'ils n'auraient jamais
révélées à quelqu'un qu'ils viendront de rencontrer dans
la rue ou lors d'une soirée.

• Cliquer partout:
– Facebook et Twitter sont particulièrement connus pour leurs
boîtes de réception pleines de tout et n'importe quoi, comme
des invitations à un verre ou à s'engager pour une cause.
– Certains utilisateurs de réseaux sociaux cliquent sur de telles
invitations comme ils respirent. Malheureusement, la
personne mal intentionnée le sait et va vous envoyer des liens
qui semblent venir de vrais amis.
– En ouvrant le lien, vous invitez un programme malveillant à
infecter votre ordinateur.

• Mettre en danger les autres et vous-même
– L’utilisation imprudente de réseaux sociaux peut vraiment
menacer la vie d'une personne.
– Il pourrait s'agir d'un parent ou d'un collègue, ou de vous.
– Il est conseillé et logique de prendre des précautions lorsque
vous postez des informations sur un anniversaire, trop de
détails sur votre épouse ou vos enfants, etc. Sans cela, ils
pourraient devenir la cible d'un imposteur, etc.

Reconnaissance et réseaux sociaux
• Les personnes susceptibles d’attaquer une entreprise
font d’abord de la reconnaissance, et la présence d’une
entreprise dans les réseaux sociaux leur offre une
excellente occasion de mieux connaître ses faiblesses et
de trouver une façon de pénétrer l’entreprise; elles
repèrent ses vulnérabilités et les exploitent.
• Sans une stratégie solide en matière de réseaux sociaux,
les entreprises risquent de communiquer sans le savoir
des renseignements sensibles par l’intermédiaire de
leurs comptes ou de trop faire confiance à des
personnes qui pourraient leur nuire.

Reconnaissance et réseaux sociaux
• Un pirate utilisant une fausse identité virtuelle peut facilement se
lier d’amitié avec les employés de l’entreprise sur des sites sociaux
et commencer à recueillir de l’information qui pourra lui
servir à accéder aux données cruciales.
• Par exemple, si le CV d’un employé dans le réseau LinkedIn
fait mention des outils de pare-feu et des autres applications
de sécurité qu’il a utilisés au sein d’une entreprise, et si cet
employé devient ami sans le savoir avec un pirate, ce
dernier pourrait déceler des indices sur
le mode de fonctionnement de cette entreprise.
• Les pirates utilisent aussi les réseaux sociaux pour réunir d’autres
indices, par exemple, des organigrammes, l’emplacement d’actifs
informatiques physiques ou les catégories de données recueillies
afin d’avoir une meilleure idée de l’entreprise et de planifier une
attaque contre ces actifs et ces données.
Recherche des offres d'emplois
• Un pirate peut collecter des détails sur l'infrastructure de
l'entreprise en cherchant les annonces des offres
d'emplois:
– "Recherche d'un administrateur système ayant une bonne
expérience avec le système Solaris 10."
– Ce qui veut dire que l'entreprise utilise Solaris 10.

Recherche des offres d'emplois

Bounces de découverte: Introduction
• La plupart des serveurs de messagerie (SMTP et News)
rajoutent aux messages qu'ils véhiculent des informations
de diagnostic, masquées ensuite par le logiciel client de
l'utilisateur.
• Les en-têtes des e-mails comportent non seulement
expéditeur, destinataire, mais aussi tout le cheminement
du message au travers des serveurs de messagerie.
Typiquement, chaque serveur rajoute au message une en-
tête From: décrivant le serveur (adresse IP locale,
identification du logiciel et numéro de version) et l'heure
de passage.

Bounces de découverte:
Collecte d'informations
• Une technique classique de découverte consiste à envoyer un e-
mail de reconnaissance à une adresse invalide du domaine cible.
L'e-mail est très souvent retourné à son expéditeur avec un
message d'erreur, d'où le nom de bounce.
• L'examen des en-têtes présents dans le mail retourné va donc
donner au pirate des informations importantes comme les versions
des serveurs de messagerie externes, les adresses, noms et
versions des serveurs de messagerie internes.
• Ces renseignements seront utiles par la suite lors des attaques et de
la progression dans le système d'information compromis.
• Si le bounce ne fonctionne pas (cas des bounces détruits sans
retour à l'expéditeur d'origine), le pirate dissimule ceci sous
forme d'un e-mail de demande d'information et attend la réponse
légitime.
Exemple du message
Received: from saturn.fi.usj.edu.lb ([212.98.137.204]) by cesar.FI.USJ.EDU.LB with
Microsoft SMTPSVC(5.0.2195.6713);
Tue, 8 Jul 2008 07:06:36 +0200
Received: from Unknown [80.168.70.181] by saturn.fi.usj.edu.lb - SurfControl E-
mail Filter (5.5.0); Tue, 08 Jul 2008 07:16:04 +0200
Received: from [80.87.87.67] (helo=User)
by relay1.mail.uk.clara.net with esmtpa (Exim 4.62)
(envelope-from <marfisher2@yahoo.co.uk>)
id 1KG4Q0-0006c7-Jl; Tue, 08 Jul 2008 05:03:09
+0100
Reply-To: <jenniealfred1@megamail.pt>
From: "Dr. Richard"<marfisher2@yahoo.co.uk>
Subject: NOTIFICATION OF YOUR IMMEDIATE PAYMENT
Date: Tue, 8 Jul 2008 04:05:06 +0100
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Bounces de découverte: eMailTrackerPro

VisualRoute Mail Tracker

VisualRoute Mail Tracker

Whois
• Whois est un service de recherche public, une base de
données permettant de connaître les informations
relatives au titulaire d'un nom de domaine ou d'une
adresse IP.
• Whois a donc une fonction d'identification du registrant,
ce qui permet à celui qui revendique un nom de domaine
indisponible de connaître son titulaire.
• Pour effectuer une recherche Whois :
whois.iana.org

Whois
• En utilisant le nom de domaine ou d'autres mots clés
(Nom de l'entreprise, adresse IP, personne, …), l'attaquant
va consulter les registres publiques des noms de
domaines (whois), afin de découvrir des informations
supplémentaire.
• Rendre sur un des registres Whois et d'y chercher
l'information:
– ARIN pour l'Amérique,
– RIPE pour l'Europe, l'Afrique du Nord et le Moyen-Orient,
– APNIC pour Asie-Pacifique et reste de l'Afrique,
– AfriNIC pour l’Afrique et l’océan Indien.
– LACNIC pour l'Amérique Latine

Whois: Résultat
• Le résultat obtenu est la liste des domaines
correspondants aux mots clés entrés, ainsi que
toutes les informations associées: entre autres,
– noms des contacts techniques, administratifs, adresses
postales, téléphones: Utiles pour lancer une attaque
par ingénierie sociale
– adresses IP des serveurs DNS (primaire et secondaires)
ayant autorité pour le domaine considéré. A cette
phase, l'objectif principal de l'attaquant est de se
procurer des adresses IP du réseau cible, pour savoir
où attaquer sur le réseau.
– plage des adresses réseau: Détermination du masque
du sous-réseau (subnet mask)
Whois: Résultat

Whois: Outils
• La plupart des versions UNIX sont fournies avec le
programme whois.
– Il suffit de taper, par exemple:
whois –h whois.crsnic.com cnn.com
• Avec Windows, l'attaquant doit recourir à un outil
d'une tierce partie pour réaliser les consultations des
registres Whois:
–www.samspade.org
–www.geektools.com
–www.whois.net
–SmartWhois
–…

SmartWhois

Sam Spade

Détermination de la plage des adresses:
Résultat de SmartWhois

Serveur de noms
• L'attaquant peut demander une liste de tous les couples
nom/adresse IP enregistrés dans le DNS pour un domaine
donné. Cette fonctionnalité, dite AXFR, est nécessaire
pour le transfert de zones entre serveurs de noms.
– Elle est très intéressante pour un attaquant et est donc
communément restreinte aux seuls serveurs autorisés.
• L'attaquant peut obtenir les adresses des machines
courantes, telles que www.x.com, ftp.x.com, mail.x.com
ainsi que les adresses des serveurs de messagerie
externes (entrées MX, mail-exchanger, des DNS).

Serveur de noms (Suite)
• Fort des informations de la phase précédente, il est
ensuite utile d'évaluer l'étendue des domaines, en
utilisant une fois de plus les services du DNS.
• L'attaquant peut ainsi déterminer si les serveurs DNS sont
hébergés chez des prestataires (ISP) ou directement chez
la victime.
– Si elles appartiennent à un ISP, ces adresses ne font pas partie
des adresses possédées par l'entreprise et il faut donc les
ignorer.

Outils DNS
• La majorité des systèmes UNIX et Windows intègrent un
client nslookup.
• L'attaquant peut utiliser un outil d'une tierce partie:
– Sam Spade
– DNS Stuff
– Necrosoft Advanced DIG (ADIG)
–…

Outils DNS (Exemple)

Sites d’extraction d’information des
serveurs DNS

Sites d’extraction d’information des
serveurs DNS

Détermination de la plage effective des
adresses
Le DNS n'est pas
exhaustif; étant donné
que chaque machine,
donc chaque adresse
IP, est potentiellement
une cible, l'attaquant
va étendre sa
connaissance de
quelques adresses IP à
toute la plage effective
des adresses réseau.

Détermination de la plage effective des
adresses
• L'attaquant a besoin de déterminer cette plage pour deux
raisons:
– Efficacité: Il n'est pas envisageable de balayer toute la plage des
adresses d'un réseau (surtout pour un réseau de classe A). Cela
représente une trop grande perte de temps.
– Risque de donner l'alarme sur un site possédant une bonne
sécurité. Par conséquent, plus la plage à couvrir est large, plus
les dangers d'être repéré avant même d'avoir commencé à
attaquer sont importants.
• Un attaquant peut trouver cette information de deux
manières:
– Rendre sur un des registres Whois et d'y chercher
l'information
– Traceroute pour analyser les résultats (plus difficile à mettre en
œuvre). Formation PIRATAGE ETHIQUE 79
Traceroute
• Le programme traceroute permet de connaître le chemin
qu'emprunte un paquet sur le réseau.
• traceroute commence par envoyer un paquet ICMP avec
une TTL de 1, puis une TTL de 2, puis de 3, etc., jusqu'à ce
qu'il atteigne la destination.
– Ce comportement suppose que les routeurs situés sur le chemin
des paquets retournent un message "time exceeded" lorsque la
TTL atteint 0.
• A la réception de ces messages, traceroute est renseigné
sur les différents routeurs traversés par les paquets qu'il
envoie.
– Ce qui permet de reconstituer l'itinéraire emprunté par les
paquets, depuis la source jusqu'à la destination finale.
Traceroute

Traceroute:
C:\>tracert host1.entreprise.com
Exemple
Tracing route to host1.entreprise.com [10.10.10.33]
over a maximum of 30 hops:
1 <1 ms <1 ms 212.98.137.2
<1 ms
2 4 ms 5 ms 192.168.5.214
2 ms 192.168.97.254
3 6 ms 7 ms router1.terra.net.lb [212.98.138.101]
6 ms router2.terra.net.lb [212.98.136.44]
4 6 ms 8 ms * * Request timed out.
5 ms 155 147 ms 12.118.94.97
5 66 ms ms 6 ms167 ms ae-73.NewYork1.Level3.net [4.69.134.101]
7 ms 175 164 ms ae-3.Washington1.Level3.net [4.69.132.89]
6 * ms
175 ms 161 ms parefeu.entreprise.com [10.14.1.1]
7 147 ms 157 174 ms 164 ms host1.entreprise.com [10.10.10.33]
• 8 En185 ms ms
plus du chemin emprunté, l'attaquant peut savoir les noms des
9 155 ms
routeurs (utilisant la résolution DNS inverse) ainsi que les ISP et
10 203 ms
11l'emplacement
177 ms géographique de ces routeurs.
Traceroute: Analyse
• En réalisant des traceroutes sur les différentes adresses IP,
un attaquant peut déterminer si les machines visées
appartiennent ou non au même réseau.
– Toutes les machines dont le trafic passe par le même routeur
externe sont situées sur le même réseau et appartiennent à la
même entreprise.
– La méthode reste valable même avec l'existence d'un pare-feu
derrière le routeur externe.
• Cette opération peut être réalisée manuellement ou à
l'aide d'un script (shell, perl, python, …).

Traceroute: Analyse
• L'attaquant peut alors déduire la cartographie du réseau
IP de l'entreprise.

Outils graphiques: 3D Traceroute

Outils graphiques: NeoTrace
• Actuellement, McAfee Visual Trace

Traceroute: Risques
• Traceroute et ses dérivés laissent cependant des traces
dans les systèmes de détection d'intrusion
– Ils utilisent couramment des paquets UDP en incrémentant le
numéro de port à chaque saut, la réponse est un paquet ICMP)
• Comme les informations peuvent être obtenues par
d'autres moyens publics, l'utilisation de traceroute et ses
dérivés dans cette phase est donc superflue et risque
d'alerter prématurément les administrateurs de la
victime.

Maltego
• Maltego est aujourd’hui l’un des outils les plus puissants
de cartographie de l’information suivant sa pertinence.
• Utile dans la première phase de récolte d’information, il
permet de « crawler » différentes sources et d’interroger
des services afin de posséder une première vision de la
cible.
• C’est une application graphique très simple, qui permet
de retrouver des relations entre différentes informations
comme les adresses IP, les Noms des Domaines, les DNS,
les réseaux sociaux ou encore des documents.

Maltego

02 Reconnaissance

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

02 Reconnaissance

Transféré par

Droits d'auteur :

Formats disponibles

AKHAM Omar

Formation PIRATAGE ETHIQUE 2

Formation PIRATAGE ETHIQUE 3

Formation PIRATAGE ETHIQUE 6

Formation PIRATAGE ETHIQUE 8

Formation PIRATAGE ETHIQUE 10

Formation PIRATAGE ETHIQUE 11

Formation PIRATAGE ETHIQUE 12

Formation PIRATAGE ETHIQUE 13

Formation PIRATAGE ETHIQUE 14

Formation PIRATAGE ETHIQUE 15

Formation PIRATAGE ETHIQUE 18

Après clique droit sur le document

Formation PIRATAGE ETHIQUE 19

Formation PIRATAGE ETHIQUE 20

Formation PIRATAGE ETHIQUE 21

Formation PIRATAGE ETHIQUE 22

Formation PIRATAGE ETHIQUE 23

Formation PIRATAGE ETHIQUE 27

Formation PIRATAGE ETHIQUE 28

Formation PIRATAGE ETHIQUE 29

Formation PIRATAGE ETHIQUE 30

Formation PIRATAGE ETHIQUE 31

Formation PIRATAGE ETHIQUE 32

Formation PIRATAGE ETHIQUE 33

Formation PIRATAGE ETHIQUE 34

Formation PIRATAGE ETHIQUE 35

Formation PIRATAGE ETHIQUE 36

Formation PIRATAGE ETHIQUE 38

Formation PIRATAGE ETHIQUE 39

Formation PIRATAGE ETHIQUE 40

Formation PIRATAGE ETHIQUE 41

Formation PIRATAGE ETHIQUE 42

Formation PIRATAGE ETHIQUE 43

Here's the "sh run":

Result of firewall command: "sh run"

Formation PIRATAGE ETHIQUE 46

Formation PIRATAGE ETHIQUE 47

Formation PIRATAGE ETHIQUE 49

Formation PIRATAGE ETHIQUE 50

Formation PIRATAGE ETHIQUE 51

Formation PIRATAGE ETHIQUE 52

Formation PIRATAGE ETHIQUE 55

Formation PIRATAGE ETHIQUE 56

Formation PIRATAGE ETHIQUE 57

Formation PIRATAGE ETHIQUE 60

Formation PIRATAGE ETHIQUE 61

Formation PIRATAGE ETHIQUE 62

Formation PIRATAGE ETHIQUE 63

Formation PIRATAGE ETHIQUE 64

Formation PIRATAGE ETHIQUE 67

Formation PIRATAGE ETHIQUE 68

Formation PIRATAGE ETHIQUE 69

Formation PIRATAGE ETHIQUE 70

Formation PIRATAGE ETHIQUE 71

Formation PIRATAGE ETHIQUE 72

Formation PIRATAGE ETHIQUE 73

Formation PIRATAGE ETHIQUE 74

Formation PIRATAGE ETHIQUE 75

Formation PIRATAGE ETHIQUE 76

Formation PIRATAGE ETHIQUE 77

Formation PIRATAGE ETHIQUE 78

Formation PIRATAGE ETHIQUE 81