Portal Zarządzających Bezpieczeństwem

Zakończymy analizę skanującego pakietu śledzącego (scan packet trace), aby zdobyć wszystkie informacje na temat profilowania oraz rozpocząć atak na sieć.

Idąc dalej

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Powyższe dwa pakiety przyszły zaraz po tych opartych na ICMP, którym przyglądaliśmy się w części pierwszej. Nmap wysłał pakiet ACK do IP 192.168.111.23 sieci ofiary na porcie 80. Pod względem profilowania informacji nie ma tu tego za dużo. Widzieliśmy, że pakiet ACK otrzymany od hakera uzyskał z powrotem pakiet RST, ponieważ ACK był niespodziewany. W istocie nie należał on do wcześniej ustalonego połączenia. Nadal mamy TTL o wartości 128, co odpowiada wartości TTL, jaką widzieliśmy wcześniej.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E.., Ten adres email jest ukrywany przed spamerami, włącz obsługę JavaScript w przeglądarce, by go zobaczyć
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Po wymianie pakietów ACK i RST widzimy teraz rzeczywisty pakiet SYN wysłany od hakera do sieci ofiary, co potwierdza się w pakiecie poprzez podświetlone S. Dzięki temu uzyskuje się pakiet powrotny SYN/ACK z sieci ofiary na porcie 21. Wymiana ta jest następnie finalizowana poprzez wysłanie z powrotem pakietu RST z komputera hakera do sieci ofiary. Te trzy pakiety zbierają teraz o wiele bogatsze plony pod względem profilowania informacji.

Mamy ten sam TTL o wartości 128 z komputera ofiary, lecz mamy też rozmiar okna 64240. Chociaż ta wartość nie znajduje się na liście, do której wcześniej odsyłałem, jest to naprawdę rozmiar okna, który widziałem wcześniej wiele razy w Win32 (32-bitowe wersje Microsoft Windows, takie jak Win NT, 2K, XP i 2K3). Inną funkcją pozwalającą na określenie komputera Microsoft Windows jest ta o możliwym do przewidzenia przyroście numerów IP ID. W tym przypadku mamy tylko wartość IP ID, tutaj akurat 398 w środkowym pakiecie powyżej. Potrzebowalibyśmy przynajmniej jeszcze jednego, zanim będziemy w stanie z większą pewnością powiedzieć, że ten komputer naprawdę działa pod systemem Windows. Aby to pokazać, przyglądnijmy się pozostałym pakietom ze skanu Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E.., Ten adres email jest ukrywany przed spamerami, włącz obsługę JavaScript w przeglądarce, by go zobaczyć
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Pierwszą informacją, na którą patrzy haker jest sprawdzenie czy numer IP ID wzrasta do 399. Ta wartość IP ID wynosi właśnie 399, jak widać w środkowym pakiecie. Mając tę informację, haker jest raczej pewny, że ma do czynienia albo z NT, 2K , XP, albo 2K3. W tej sekwencji pakietu widać także, że port 80 w sieci ofiary wydaje się mieć usługę, co pokazuje SYN/ACK. Pakiet SYN/ACK jest ustalony dzięki weryfikacji pola flagi w nagłówku TCP, w tym przypadku podkreślona szesnastkowa wartość 12 albo liczba dziesiętna 18. Wartość ta jest osiągana poprzez dodanie wartości 2 flagi SYN do wartości 16 flagi ACK.

I dalej do wyliczania

Skoro haker teraz wie, że oba porty 21 i 80 są otwarte, przechodzi do etapu wyliczania. To co musi wiedzieć, to pytanie jaki rodzaj serwera WWW oczekuje na połączenia. Byłoby bez sensu, gdyby użył do tego Apache exploit na serwerze IIS. Pamiętając o tym, haker otwiera sesję cmd.exe i uruchamia program netcat.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Powyżej widać składnię netcat lub nc.exe, którą wpisuje do adresu IP ofiary, jak i numer portu 80. Gdy przyciśnie „enter”, wpisuje HTTP czasownika „GET”, a za nim jakiekolwiek bzdury. Powoduje to, że serwer WWW ofiary wyśle z powrotem informacje systemowe, ponieważ nie rozumie prośby. W istocie wylicza je sam :-). Tak więc haker wie teraz, że patrzy na Microsoft IIS 5.0. Tak naprawdę jest to wspaniała wiadomość, ponieważ ma on różnorodne exploity dla tej wersji IIS. Wszystko ładnie wkomponowane w Metasploit Framework.

Gdy haker przeskanował sieć ofiary przy użyciu narzędzia Nmap, otrzymał istotną serię pakietów. W tych pakietach ukrytych było – jak zauważyliśmy – wystarczająco dużo informacji, aby haker mógł w mądry sposób zaatakować system operacyjny, architekturę, a przy użyciu netcata także rodzaj serwera.

• Mieliśmy wzrastający numer IP ID, wskazujący na MS Windows.
• Mieliśmy TTL o wartości 128, co ponownie wskazuje na MS Windows.
• TTL o wartości 128 wskazuje także na architekturę Intel x86 w miejsce – powiedzmy – SPARC.
• Następnie poprzez netcat zobaczyliśmy, że serwerem WWW był MS IIS 5.0.

W sumie niezły zbiór informacji. Pozwolił on hakerowi sprofilować host, architekturę oraz oferowaną usługę. Mając te informacje w dłoni, haker był gotowy, aby rozpocząć atak na serwery sieci ofiary. W części trzeciej właśnie temu się przyglądniemy. Do zobaczenia.