Nmap | Complexity is the enemy of Security

BGA CEH Eğitimi Notları #Gün 1 – Ders 2

Huzeyfe ONAL — Tue, 10 May 2011 19:17:22 +0000

ÜstNot:Bilgi Güvenliği AKADEMİSİ’nde verdiğim Beyaz Şapkalı Hacker eğitimi katılımcılarından bir arkadaşın ders boyunca aldığı kısa notlar. http://wug.blogspot.com

Eğitime katılmayan arkadaşlar için eğitim içeriği ve kalitesi hakkında ipucu verecektir.

Bilgi Toplama (Devam)

Arama motorlarından bilgi toplama
- Pentest tarafı için başka arama motorları da özelleşiyor, google devri yavaş yavaş kapanıyor.
- pipl.com
- google.com/linux vs.
- shodanhq.com <== SHODAN – ÖNEMLİ!!!
  - “default password admin” yazarak default şifresi admin olan siteleri sorgulayabiliyoruz mesela.
- Google Hacking
  - site:www.google.com => sadece bir uygulamada ara
  - allintitle:…
  - “Welcome to phpMyAdmin” => Bu geliyorsa google’da, şifresiz bir phpMyAdmin kurulu demektir.
  - Jboss => site:*.tr inurl:\jmx-console\
- clez.net

Aktif Bilgi Toplama

Karşı tarafa bilgi veriyoruz.
Karşı tarafta log tutulduğunu düşünerek hareket ediyoruz.
Önce DNS üzerinden bilgi topluyoruz.
- Zone transferi => domain’e ait bütün alt alanların tek yolu.
- who.is/nameserver/DNS_Sunucusu_Adresi ile o DNS sunucu üzerindeki tüm domainler. hepsiburada.com için örnekle.
- DNS sunucu versiyon bilgisi
- hackertarget.com => Alt domainleri bulmak için kullanılır.
- http://clez.net/net.dns?ip=tubitak.gov.tr#graph => Bulabildiği tüm subdomainleri listeler.
- Zone transferi genellikle kapalıdır. TCP Port 53 kapatılır bunun için.
SMTP üzerinden bilgi toplama
- Mail sunucunun iç IP bilgileri. Eğer engellenmediyse.
- Olmayan bir mail adresine mail gönderilir. Bounce özelliği devreye girerek mail sunucu böyle bir adres yok diye mail gönderir. Bu mailden alınan bilgiyle SMTP deşme başlar.
- En önemli başlık bilgisi “Received-By”
Network haritası çıkarma
- Router, firewall, IPS/WAF, Açık port bulma.
- Router çok önemli değil, firewall daha önemli, IPS/WAF daha da önemli…
- Ağ haritası çıkarma: Traceroute (tracert in Windows)
  - Layer3’te uğradığı makineler.
  - IPS, Layer2’de çalıştığından traceroute ile bulunamazlar.
  - Traceroute TTL (TimeToLive) bilgisini kullanır. Bu bilgi, istediğimiz anda bir araçlar değiştirebileceğimiz bir bilgi.
- HPING => Traceroute çalışma mantığı
  - hping -p 80 www.google.com -t 1 => ilk router paketi alır, “bu paket bende öldü” bilgisi gönderir.
- tcptraceroute => ICMP ve UDP değil, TCP üzerinden bu işi yapıyoruz.
- MALTEGO. İşin pratik kısmı. Bir domain’e ait tüm detaylar. Ücretsiz versiyonu günlük 60-70 kullanım sağlıyormuş sanırım. BackTrack içinde ücretsiz versiyonu var.
  - Kişi hakkında bilgi toplama için de kullanılıyor. Oldukça ilginç.
Özet:
- Bilgi toplama, testin belki de en uzun ve önemli kısmıdır.
- Subdomain için brute-force denemeler yapılarak sonuca ulaşılır. dig komutu kullanılabilir. NXDOMAIN yazdıysa bu domain yoktur; NO ERROR diyorsa var demektir.

Ağ Keşif Taramaları

Neyi tarıyoruz? Niye tarıyoruz?
- Whitebox – Blackbox
Tarama çeşitleri
- Host/ağ tarama
- Port tarama
- Ağ haritalama. Eskiden isteniyormuş firmalar tarafından, artık pek istenmiyor.
- OS belirleme
- Zafiyet tarama.
Aktif sistemlerin belirlenmesi
- ICMP tarama (Klasik Ping)
- TCP ping kavramı => hping -p 80 -S www.garanti.com.tr
- UDP ping kavramı
- ARP ping => Yerel ağ protokolüdür. Bütün trafik kapalı olsabile açık olanARP scan’e mutlaka cevap vermek zorunda.
Klasik ping, ICMP üzerindendi. ICMP Smurf ile DoS saldırıları düzenlendiğinden beri ICMP cevapları engelleniyor.
RFC konsorsiyum.
SYN paketi gönderdik. Response yorumlanır:
- RST döndüyse port kapalı
- SYN+ACK döndüyse port açık
- Birşey dönmediyse (makine açıkken) port filtreli.
NMAP!

NMAP

Komut satırından kullanımı daha esnek
-n => isim çözmeye çalışmasını engellemek için. Aksihalde yavaşlar sorgu. Mutlaka kullan!
ICMP (ayıp olmasın), TCP pinglerle önce makinenin açık olup olmadığına karar vermeye çalışır.
–packet_trace parametresi ile NMAP paket hareketleri izlenebilir.
-PN parametresi: Nmap makinenin açık olmadığını düşünüyorsa bile “sen karışma, tara” demiş oluyoruz.
15 farklı port tarama çeşidini destekler Nmap.
Sistemler üzerindeki firewall’lar (statefull firewall). Her bağlantı SYN ile başlamak zorundadır. Stateful firewall’lar ilk paket bu olmadığı zaman gelen paketi DROP eder, dolayısıyla SYN ile başlayan scan’ler harici ÇALIŞMAZ günümüzde!
Port tarama, TCP başlığındaki flag’lerle (SYN, ACK, RST, PSH…) yapılır.
TCP SYN Scan: -sS
- SA dönerse port açık
- R dönerse kapalı
- Cevap gelmezse “filtered”dır, hedef sistemin önünde güvenlik duvarı vardır.
nmap www.google.com –top-ports 10 –reason => En çok açık olan 10 portu tara, neden açık/kapalı/filtered olduğunu da bana raporla (–reason)
Bazı firewall’lar kapalı portlar için RST dönerken, bazıları cevap dönmeyebilir. Firewall’un politikası ile alakalı. Dolayısıyla yanıt dönmediğinde Nmap filtered diyecek ama kapalı da olabilir o port.
TCP Connect Scan: -sT => 3lü el sıkışmayı tamamlamaya çalışır.
Diğer scan türlerini unut: SYN, Connect ve … tarama türleri ile işimizi görelim.

The post BGA CEH Eğitimi Notları #Gün 1 – Ders 2 first appeared on Complexity is the enemy of Security.

Nmap Kullanım Kitapçığı(Türkçe)

Huzeyfe ONAL — Wed, 04 Aug 2010 19:25:55 +0000

Gökay BEKŞEN tarafından hazırlanan Nmap Kullanım Kitapçığı Bilgi Güvenliği AKADEMİSİ kütüphanesine eklenmiştir.

Kitapçık http://www.bga.com.tr/calismalar/nmap_guide.pdf adresinden indirilebilir.

The post Nmap Kullanım Kitapçığı(Türkçe) first appeared on Complexity is the enemy of Security.

Az bilinen yonleri ile Nmap

Huzeyfe ONAL — Sat, 17 Jan 2009 14:19:55 +0000

10 yılı aşkın süredir açık kaynak kodlu geliştirilen Nmap’e özellikle son birkaç yıldır güvenlik uzmanlarının işlerini kolaylaştıran özellikler ekleniyor. Yine yoğun olarak eğitim notlarını güncellerken aslında Nmap’in birçok özelliğini eksik bıraktığımı farkettim. Nmap notlarım iki senedir felan güncellenmediği için gözüme bayat geliyordu.

Bu aralar işimin de tamamen güvenlik testlerine kayması ile birlikte bol zaman bulabiliyorum. Eğitim notları hazırlarken buraya da ufak tefek eklemeler yapıyorum.

İşte nmap’in az bilinen fakat çok işe yarayan özelliklerinden birkaçı.

En sık kullanılan portlar üzerinde tarama

Port taramalarında en büyük sorunlardan biri hangi portların taramaya dahil edileceğidir. Bilindiği üzere TCP ve UDP protokollerinin her biri 65535 port olasılığı var. Taramalarda tüm bu portları taramaya dahil edecek olursak tarama zamanı oldukça uzayacaktır. Dahil edilmezse de arada açık olup fakat bizim taramadığımız portlar olabilir. Bu sıkıntıyı aşmak için Nmap yazarı Fyodor geçen sene internet üzerinde yaptığı uzun araştırmalar sonucu internete açık portların belli oranını çıkartmış. Bu araştırma ile top 10, top 100, top 1000 gibi portları taratmak mümkün hale gelmiştir.

Taramanın sonuçlarına göre internette en fazla bulunan açık portlar şu şekildedir.

TCP

1. 80
2. 23
3. 22
4. 443
5. 3389
6. 445
7. 139
8. 21
9. 135
10. 25

UDP

1. 137
2. 161
3. 1434
4. 123
5. 138
6. 445
7. 135
8. 67
9. 139
10. 53

Taramalarda bu özelliği kullanmak için –top-ports 10 ya da –top-ports 1000 parametreleri kullanılabilir.

C:\Documents and Settings\elmasekeri>nmap 192.168.2.1 –top-ports 10

Starting Nmap 4.76 ( http://nmap.org ) at 2009-01-17 15:23 GTB Standard Time
Interesting ports on RT (192.168.2.1):
PORT     STATE SERVICE
21/tcp   open   ftp
22/tcp   open   ssh
23/tcp   open   telnet
25/tcp   closed smtp
80/tcp   open   http
110/tcp closed pop3
139/tcp closed netbios-ssn
443/tcp closed https
445/tcp closed microsoft-ds
3389/tcp closed ms-term-serv
MAC Address: 00:1A:2A:A7:22:5C (Arcadyan Technology)

Nmap done: 1 IP address (1 host up) scanned in 0.44 seconds

Tarama sonuçlarının sebepleri

Nmap taraması yaparken bir porta ait open|closed|Filtered gibi sonuçlar alırız. Bu sonuçların neden olduğunu konusunda detay bilgi için –reason parametresi kullanılabilir. Böylece açık olan portun neden açık olduğu, kapalı olan portun neden kapalı olduğu konusunda bilgimiz olur.

UDP taramalar için –reason kullanımı

# nmap -sU -p 52,53 192.168.2.1 –reason

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-17 13:35 GMT
Interesting ports on RT (192.168.2.1):
PORT STATE SERVICE REASON
52/udp closed xns-time port-unreach
53/udp open domain udp-response
MAC Address: 00:1A:2A:A7:22:5C (Arcadyan Technology)

TCP taramalar için –reason kullanımı

# nmap -n -p 80,3389 -sS 192.168.2.1 –reason

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-17 13:36 GMT
Interesting ports on 192.168.2.1:
PORT STATE SERVICE REASON
80/tcp open http syn-ack
3389/tcp closed ms-term-serv reset
MAC Address: 00:1A:2A:A7:22:5C (Arcadyan Technology)

Nmap done: 1 IP address (1 host up) scanned in 0.170 seconds

Bu çıktılar tatmin etmediyse daha detaylı çıktı almak için paket_trace özelliği ve -v parametresi kullanılabilir.

Taramalarda detay çıktı alma(nmap -v)

# nmap -n -p 80,3389 -sS 192.168.2.1 -vv

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-17 13:37 GMT
Initiating ARP Ping Scan at 13:37
Scanning 192.168.2.1 [1 port]
Completed ARP Ping Scan at 13:37, 0.01s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 13:37
Scanning 192.168.2.1 [2 ports]
Discovered open port 80/tcp on 192.168.2.1
Completed SYN Stealth Scan at 13:37, 0.01s elapsed (2 total ports)
Host 192.168.2.1 appears to be up … good.
Interesting ports on 192.168.2.1:
PORT STATE SERVICE
80/tcp open http
3389/tcp closed ms-term-serv
MAC Address: 00:1A:2A:A7:22:5C (Arcadyan Technology)

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.176 seconds
Raw packets sent: 3 (130B) | Rcvd: 3 (134B)

-v kullanmadan yapılan tarama

home-labs scripts # nmap -n -p 80,3389 -sS 192.168.2.1

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-17 13:37 GMT
Interesting ports on 192.168.2.1:
PORT STATE SERVICE
80/tcp open http
3389/tcp closed ms-term-serv
MAC Address: 00:1A:2A:A7:22:5C (Arcadyan Technology)

Nmap done: 1 IP address (1 host up) scanned in 0.169 seconds

-v parametresinin yeterli olmadığı durumlarda -d[seviye] parametresi ile oldukça detaylı çıktılar alınabilir. Özellikle sonuçlarından şüphelendiğiniz ve sebebini bulamadığınız taramalarda oldukça yardımcı olacaktır.

home-labs scripts # nmap localhost -p 22 -d9

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-17 13:48 GMT
Fetchfile found /usr/local/share/nmap/nmap-services
The max # of sockets we are using is: 0
————— Timing report —————
hostgroups: min 1, max 100000
rtt-timeouts: init 1000, min 100, max 10000
max-scan-delay: TCP 1000, UDP 1000
parallelism: min 0, max 0
max-retries: 10, host-timeout: 0
———————————————
mass_rdns: Using DNS server 192.168.2.1
Initiating SYN Stealth Scan at 13:48
Scanning localhost (127.0.0.1) [1 port]
Pcap filter: dst host 127.0.0.1 and (icmp or (tcp and (src host 127.0.0.1)))
Packet capture filter (device lo): dst host 127.0.0.1 and (icmp or (tcp and (src host 127.0.0.1)))
SENT (0.0370s) TCP 127.0.0.1:55455 > 127.0.0.1:22 S ttl=40 id=42642 iplen=44 seq=2252809853 win=1024
**TIMING STATS** (0.0370s): IP, probes active/freshportsleft/retry_stack/outstanding/retranwait/onbench, cwnd/ccthresh/delay, timeout/srtt/rttvar/
Groupstats (1/1 incomplete): 1/*/*/*/*/* 10.00/75/* 1000000/-1/-1
127.0.0.1: 1/0/0/1/0/0 10.00/75/0 1000000/-1/-1
RCVD (0.0380s) TCP 127.0.0.1:55455 > 127.0.0.1:22 S ttl=40 id=42642 iplen=44 seq=2252809853 win=1024
Found 127.0.0.1 in incomplete hosts list.
RCVD (0.0380s) TCP 127.0.0.1:22 > 127.0.0.1:55455 SA ttl=64 id=0 iplen=44 seq=644236104 win=32792 ack=2252809854
Found 127.0.0.1 in incomplete hosts list.
Discovered open port 22/tcp on 127.0.0.1
Changing ping technique for 127.0.0.1 to TCP
Timeout vals: srtt: -1 rttvar: -1 to: 1000000 delta 1352 ==> srtt: 1352 rttvar: 5000 to: 100000
Timeout vals: srtt: -1 rttvar: -1 to: 1000000 delta 1352 ==> srtt: 1352 rttvar: 5000 to: 100000
Moving 127.0.0.1 to completed hosts list with 0 outstanding probes.
Completed SYN Stealth Scan at 13:48, 0.02s elapsed (1 total ports)
pcap stats: 6 packets received by filter, 0 dropped by kernel.
Host localhost (127.0.0.1) appears to be up … good.
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack
Final times for host: srtt: 1352 rttvar: 5000 to: 100000

Read from /usr/local/share/nmap: nmap-services.
Nmap done: 1 IP address (1 host up) scanned in 0.049 seconds
Raw packets sent: 1 (44B) | Rcvd: 2 (88B)

-flist

Bu parametre ile Nmap sistemde gördüğü arabirimleri ve yönlendirme tanımlarını gösterir.

home-labs scripts # nmap -iflist

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-17 13:50 GMT
************************INTERFACES************************
DEV (SHORT) IP/MASK         TYPE     UP MAC
lo   (lo)    127.0.0.1/8     loopback up
eth0 (eth0) 192.168.2.22/24 ethernet up 00:0C:29:29:96:05
eth1 (eth1) 100.100.100.2/8 ethernet up 00:0C:29:29:96:0F

**************************ROUTES**************************
DST/MASK      DEV GATEWAY
192.168.2.0/0 eth0
100.0.0.0/0   eth1
127.0.0.0/0   lo
0.0.0.0/0     eth0 192.168.2.1
0.0.0.0/0     eth1 100.100.100.1

–packet_trace ile tarama için tüm adımların takibi

Nmap tarama yaparken gönderdiği ve aldığı tüm paketleri görmek isterseniz –packet_trace parametresini kullanabilirsiniz. Arada başka bir cihaz yüzünden taramalarınız sağlıklı sonuçlar vermiyorsa bu çıktılarda görülecektir.

home-labs scripts # nmap -p 80,3389 -sS 192.168.2.1 –packet_trace

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-17 13:38 GMT
SENT (0.0340s) ARP who-has 192.168.2.1 tell 192.168.2.22
RCVD (0.0350s) ARP reply 192.168.2.1 is-at 00:1A:2A:A7:22:5C
NSOCK (0.0460s) msevent_new (IOD #1) (EID #8)
NSOCK (0.0460s) UDP connection requested to 192.168.2.1:53 (IOD #1) EID 8
NSOCK (0.0460s) msevent_new (IOD #1) (EID #18)
NSOCK (0.0460s) Read request from IOD #1 [192.168.2.1:53] (timeout: -1ms) EID 18
NSOCK (0.0460s) msevent_new (IOD #1) (EID #27)
NSOCK (0.0460s) Write request for 42 bytes to IOD #1 EID 27 [192.168.2.1:53]: ………….1.2.168.192.in-addr.arpa…..
NSOCK (0.0470s) nsock_loop() started (timeout=500ms). 3 events pending
NSOCK (0.0470s) wait_for_events
NSOCK (0.0470s) Callback: CONNECT SUCCESS for EID 8 [192.168.2.1:53]
NSOCK (0.0470s) msevent_delete (IOD #1) (EID #8)
NSOCK (0.0470s) Callback: WRITE SUCCESS for EID 27 [192.168.2.1:53]
NSOCK (0.0470s) msevent_delete (IOD #1) (EID #27)
NSOCK (0.0480s) wait_for_events
NSOCK (0.0520s) Callback: READ SUCCESS for EID 18 [192.168.2.1:53] (58 bytes): ………….1.2.168.192.in-addr.arpa………….’….RT.
NSOCK (0.0520s) msevent_new (IOD #1) (EID #34)
NSOCK (0.0520s) Read request from IOD #1 [192.168.2.1:53] (timeout: -1ms) EID 34
NSOCK (0.0520s) msevent_delete (IOD #1) (EID #34)
NSOCK (0.0520s) msevent_delete (IOD #1) (EID #18)
SENT (0.0650s) TCP 192.168.2.22:37890 > 192.168.2.1:80 S ttl=40 id=12041 iplen=44 seq=1831862001 win=1024
SENT (0.0660s) TCP 192.168.2.22:37890 > 192.168.2.1:3389 S ttl=39 id=63913 iplen=44 seq=1831862001 win=4096
RCVD (0.0660s) TCP 192.168.2.1:80 > 192.168.2.22:37890 SA ttl=64 id=0 iplen=44 seq=303354857 win=5840 ack=1831862002
RCVD (0.0670s) TCP 192.168.2.1:3389 > 192.168.2.22:37890 RA ttl=255 id=0 iplen=40 seq=0 win=0 ack=1831862002
Interesting ports on RT (192.168.2.1):
PORT STATE SERVICE
80/tcp open http
3389/tcp closed ms-term-serv
MAC Address: 00:1A:2A:A7:22:5C (Arcadyan Technology)

Nmap done: 1 IP address (1 host up) scanned in 0.182 seconds

Çıktıdan görüleceği üzere Nmap öncelikle hedef ip adresinin MAC adresini almak için arp istek paketi gönderiyor ve sonrasında -n parametresi kullanılmadığı için hedef
ip adresinin dns sorgulamasını yapmaya çalışıyor. Sonradan ilgili TCP portlarina SYN bayraklı paketler göndererek bunların cevabını alıyor ve taramayı bitiriyor.

Nmap ile Traceroute

Nmap bir port üzerinde TCP ya da UDP protokolünü kullanarak traceroute yapabilir.

# nmap -n -P0 –traceroute www.gezginler.net

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-17 13:43 GMT
Interesting ports on 208.43.98.30:
Not shown: 1700 closed ports
PORT     STATE    SERVICE
1/tcp    open     tcpmux
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   open     smtp
26/tcp   open     unknown
53/tcp   open     domain
80/tcp   open     http
110/tcp open     pop3
111/tcp open     rpcbind
143/tcp open     imap
443/tcp open     https
465/tcp open     smtps
993/tcp open     imaps
995/tcp open     pop3s
1720/tcp filtered H.323/Q.931

TRACEROUTE (using port 1/tcp)
HOP RTT    ADDRESS
1   0.94   192.168.2.1
2   10.51 85.96.186.1
3   …
4   815.81 212.156.118.253
5   10.71 81.212.26.125
6   17.01 212.156.117.38
7   28.49 212.156.119.246
8   77.55 212.73.206.9
9   78.76 4.68.109.158
10 87.75 4.69.133.82
11 80.41 4.69.132.142
12 106.71 4.69.140.21
13 169.46 4.69.141.110
14 167.60 4.69.141.110
15 174.82 4.69.134.146
16 166.92 4.68.17.70
17 166.83 4.79.170.174
18 167.89 208.43.98.30

Nmap done: 1 IP address (1 host up) scanned in 46.502 seconds

Nmap GUI-Zenmap

Uzun yıllar sonra Nmap hem yazarını hem de kullanıcıları memnun eden bir GUI’ye kavuştu. Google SOC kapsamında bir öğrencinin başlattığı proje(umit ) Zenmap adı ile resmi Nmap GUI’si olarak dağıtlııyor. Arabirimde birbirinden hoş özellikler var. Benim en çok işime yarayan özelliklerden birisi yapılan taramaların kaydedilmesi ve sonrasında aynı hedefe farklı zamanlarda yapılan taramaların karşılaştırılarak sonuç üretilmesi. Böylece X tarihinde Y hostuna yapılan tarama ile Z tarihinde Y hostuna yapılan tarama arasındaki fark görülebilir oluyor.

The post Az bilinen yonleri ile Nmap first appeared on Complexity is the enemy of Security.

Nmap NSE kullanarak DNS Cache Poisoning Zafiyeti Testleri

Huzeyfe ONAL — Mon, 12 Jan 2009 21:14:35 +0000

Bir önceki blog girdisinde NSE’in faydalarından ve basit kullanımından bahsetmiştim. Şimdi de çeşitli NSE scriptlerini kullanarak manuel ya da scriptlerle yaptığımız işleri Nmap’e nasıl havale edeceğimize bakalım. Ilk test sistemlerin DNS cache poisoning’e açık olup olmadığını test etmek. Bugün yaptığım bazı testler sonrası bu konunun oldukça önemli olduğunu anladım. Hatta derdimi anlatacak birileri bulsam tüm Türkiye’nin ip aralığını alıp bu testten gerçirmek isterdim ama arada bir arıza çıkar da sen bizim networkümüzü hangi hakla tararsın(Taramak? DNS sunucusuna çeşitli istekler göndermek illegal mıdır?) diye söylenir diye bu fikrimden şimdilik vazgeçtim.

İçinde birden fazla DNS sunucu barındıranların kendi sistemlerini test etmeleri için buraya Nmap ile testlerin nasıl yapılacağını yazayım belki birilerine faydası dokunur.
Dns cache poisoning açıklığını test etmek için hedef sistemde iki değer kontrol edilir. Birincisi dns sorgulamalarında kaynak portun değiştirilmesi, diğeri de dns sorgularındaki TXID değerinin yeteri kadar random/rastgele olması. Nmap ile bu iki değeri de kontrol edebiliriz. Hatta tek bir taramada her ikisi de kontrol edilebilir.

Önce kaynak port rastgeleliğini test edelim.

# nmap -P0 -sU -p 53 –script dns-random-srcport 100.100.100.2 -vv

Starting Nmap 4.76 ( http://nmap.org ) at 2009-01-12 11:14 GMT
Initiating Parallel DNS resolution of 1 host. at 11:14
Completed Parallel DNS resolution of 1 host. at 11:14, 0.00s elapsed
Initiating UDP Scan at 11:14
Scanning (100.100.100.2) [1 port]
Completed UDP Scan at 11:14, 2.02s elapsed (1 total ports)
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 11:14
Discovered open port 53/udp on 100.100.100.2
Completed SCRIPT ENGINE at 11:14, 5.83s elapsed
Host host- (100.100.100.2) appears to be up … good.
Scanned at 2009-01-12 11:14:39 GMT for 8s
Interesting ports on (100.100.100.2):
PORT STATE SERVICE
53/udp open domain
|_ dns-random-srcport: 100.100.100.2 is POOR: 52 queries in 108.6 seconds from 1 ports with std dev 0

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 8.04 seconds
Raw packets sent: 2 (56B) | Rcvd: 0 (0B)

Benzer şekilde txid üretecinin tahmin edilebilirligini test etmek için

# nmap -P0 -sU -p 53 –script dns-random-txid 100.100.100.2 -vv
komutu kullanılabilir.

bt scripts # nmap -P0 -sU -p 53 –script dns-random-txid 100.100.100.5 -vv

Starting Nmap 4.76 ( http://nmap.org ) at 2009-01-12 11:50 GMT
Initiating Parallel DNS resolution of 1 host. at 11:50
Completed Parallel DNS resolution of 1 host. at 11:50, 0.10s elapsed
Initiating UDP Scan at 11:50
Scanning 100.100.100.5 [1 port]
Completed UDP Scan at 11:50, 2.02s elapsed (1 total ports)
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 11:50
Discovered open port 53/udp on 100.100.100.5
Completed SCRIPT ENGINE at 11:50, 5.80s elapsed
Host 100.100.100.5 appears to be up … good.
Scanned at 2009-01-12 11:50:48 GMT for 8s
Interesting ports on 100.100.100.5:
PORT STATE SERVICE
53/udp open domain
|_ dns-random-txid: x.y.z.t is GREAT: 26 queries in 5.3 seconds from 26 txids with std dev 17822

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 8.09 seconds
Raw packets sent: 2 (56B) | Rcvd: 0 (0B)

Her iki testi de tek bir Nmap taraması ile gerçekleştirmek için scriptler arasına “, ” koyulması yeterli olacaktır.

Nmap tarafından dns ile ilgili yapılabilecek diğer taramalar.

bt scripts # ls dns*
dns-random-srcport.nse dns-random-txid.nse dns-recursion.nse dns-test-open-recursion.nse dns-zone-transfer.nse

The post Nmap NSE kullanarak DNS Cache Poisoning Zafiyeti Testleri first appeared on Complexity is the enemy of Security.

Nmap’i zayıflık tarama aracı olarak kullanma-NSE

Huzeyfe ONAL — Mon, 12 Jan 2009 21:01:56 +0000

NSE- Nmap Scripting Engine

Nmap’in en begendigim ozelliklerinden biri cok yaygin kullanilmayan NSE’dir. NSE(Nmap Script Engine) basit scriptlerle Nmap’in gucunu kat kat arttıran bir bileşen. NSE ile Nessus benzeri zayıflık tarama sistemlerinin yaptığı bazı taramaları yapabilirsiniz. Mesela Turkiye’deki Zone transfere acık DNS sunucularını bulmak isterseniz NSE scriptleri arasından zone-transfer scriptini kullanabilirsiniz. Böylece hem ek bir program kullanmadan hem de Nmap’in hızını arkanıza alarak istediğiniz sonuçlara kısa sürede ulaşmış olursunuz.

Her ne kadar Nmap yazarı Fyodor yazılımının Nessus ya da Metasploit benzeri bir arac olmayacağını söylese de kullanıcılar tarafından hazırlanan lua scriptleri gidişatın o yönde olduğunu gösteriyor. Scriptler arasında basit sql-injection’dan tutun güncel Windows exploit denemelerine kadar bir sürü çeşit var. Kısaca Nmap NSE özelliği ile Network tarayıcı kategorisine sığmaz olmuştur.

Uzun zamandır NSE konusunu detaylı incelemek için fırsat kolluyordum. Pentest eğitimi için notlarımı zenginleştireyim derken biraz daha detaylı inceleme fırsatı buldum ve çok hoşuma gitti. Buraya da basit basit aktarmaya çalışacağım…

NSE ile ilgili Nmap parametreleri

SCRIPT SCAN:
-sC: equivalent to –script=safe,intrusive
–script=: is a comma separated list of
directories, script-files or script-categories
–script-args=: provide arguments to scripts
–script-trace: Show all data sent and received
–script-updatedb: Update the script database.

NSE’i test etmek için en basitinden -sC parametresi kullanılabilir.

# nmap -P0 -sC -p 21,22,23,25,80,3306 mail.lifeoverip.net

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-12 20:47 GMT
Interesting ports on mail.lifeoverip.net (80.93.212.86):
PORT     STATE SERVICE
21/tcp   open   ftp
22/tcp   open   ssh
23/tcp   closed telnet
25/tcp   open   smtp
| SMTP: Responded to EHLO command
| mail.sistembil.com
| AUTH LOGIN CRAM-MD5 PLAIN
| AUTH=LOGIN CRAM-MD5 PLAIN
| PIPELINING
| 250 8BITMIME
| Responded to HELP command
|_ qmail home page: http://pobox.com/~djb/qmail.html
80/tcp   open   http
|_ HTML title: 302 Found
3306/tcp open   mysql
| MySQL Server Information: MySQL Error detected!
| Error Code was: 1130
|_ Host ‘85.96.187.185’ is not allowed to connect to this MySQL server

Nmap done: 1 IP address (1 host up) scanned in 6.237 seconds

NSE scriptleri /usr/local/share/nmap/scripts dizini altında bulunur. Ara ara svn update yaparak yeni eklenen imzalar indirilebilir. Her imza ekleme sonrası nmap –script-updatedb komutunun çalıştırılması gerekir.

Örnek Kullanımlar:

Anonim ftp destekleyen sistemlerin bulunması

# nmap -P0 -p 21 –script anonFTP.nse ftp.linux.org.tr

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-12 20:55 GMT
Interesting ports on ftp.linux.org.tr (193.140.100.100):
PORT STATE SERVICE
21/tcp open ftp
|_ Anonymous FTP: FTP: Anonymous login allowed

Nmap done: 1 IP address (1 host up) scanned in 0.152 seconds

Hedef sistemin SSLV2 desteklediğinin öğrenmek için

# nmap -P0 -p 443 –script SSLv2-support blog.lifeoverip.net

Starting Nmap 4.60 ( http://nmap.org ) at 2009-01-12 20:57 GMT
Interesting ports on mail.lifeoverip.net (80.93.212.86):
PORT    STATE SERVICE
443/tcp open https
| SSLv2: server still supports SSLv2
|       SSL2_DES_192_EDE3_CBC_WITH_MD5
|       SSL2_RC2_CBC_128_CBC_WITH_MD5
|       SSL2_RC4_128_WITH_MD5
|       SSL2_RC4_64_WITH_MD5
|       SSL2_DES_64_CBC_WITH_MD5
|       SSL2_RC2_CBC_128_CBC_WITH_MD5
|_      SSL2_RC4_128_EXPORT40_WITH_MD5

Nmap done: 1 IP address (1 host up) scanned in 0.114 seconds

Yukarıda basit scriptleri kullanarak Nmap’e port tarama haricinde bazı işler yaptırdık. Scriptler incelenirse daha ileri seviye işlemlerin yaptırılabileceği görülecektir.

NSE ve yazılan scriptler hakkında detay bilgi için aşağıdaki adresler kullanılabilir.

http://nmap.org/book/nse.html
http://nmap.org/nsedoc/

The post Nmap’i zayıflık tarama aracı olarak kullanma-NSE first appeared on Complexity is the enemy of Security.