Skenaarion labran käynnistyminen kestää hetken, joten voit käydä käynnistämässä sen sivun alalaidasta nyt ja lukea moduulin sillä aikaa.
Verkkoisäntien ja porttien alkukartoitus Nmapilla, RPC ja SMB
Aloita tutkimalla nmapilla verkko. Voit käyttää esimerkiksi seuraavia vipuja:
- -O: Yritä tunnistaa käyttöjärjestelmä
- -sS: Käytä SYN-skannausta
- -sV: Yritä tunnistaa verkkopalvelut
- 10.0.0.0/24: Yritysverkon IP-alue (osoitteet 10.0.0.0-10.0.0.255).
Tee lisäksi kevyt UDP-skanni mutta ota siihen ajan säästämiseksi nyt vain portti 137. Oikeassa asiakascasessa varaisit aikaa, ottaisit mukavan asennon ja skannaisit kaikki portit.
Muistiinpanot CherryTreellä
Kali Linux -työasemaasi on asennettu CherryTree niminen ohjelma. Voit käyttää sitä muistiinpanoihin skenaarion aikana. Avaa CherryTree, luo uusi node nimeltä "Enumerointi" ja sen sisälle uusi node nimeltä "Nmap" ja copy-pasteta nmapin tulokset terminaalista nodeen.
Nmap tulosten purkaminen
Tulokset paljastavat kaksi mielenkiintoista kohdetta, 10.0.0.2 (dc1.evilcorp.local) ja 10.0.0.3 (iis.evilcorp.local).
DC1 on selvästi toimialueohjain (domain controller) ja IIS1 on web-palvelin.
DC1-palvelimella on auki useita Windows-ympäristölle tyypillisiä portteja. Tässä skenaariossa oleellisia näistä ovat seuraavat:
135/tcp, 593/tcp: epmapper
MS-RPC
MSRPC (Microsoft Remote Procedure Call) on Microsoftin kehittämä protokolla, joka mahdollistaa eri tietokoneiden sovellusten välisen kommunikoinnin.
Esimerkiksi, Windows-palvelin voisi tarjota TCP portilla 49502 "etäproseduurin" (RPC) jonka nimi voisi olla vaikkapa "LaskeYhteen", jota voisi sitten käyttää yhdistämällä porttiin ja kutsumalla funktiota joka suoritetaan sitten kyseisellä palvelimella.
Epmapper
RPC käyttää tyypillisesti tällaisia "dynaamisia" (vaihtelevia) portteja alueelta 49152-65535 etäproseduurien tarjoamiseen. Jotta palvelua käyttävä taho voisi tietää että milloin joku tietty palvelu löytyy mistäkin, tarvitaan tavallaan osoitehakemisto josta voidaan kysyä että "mistäköhän portista tämä LaskeYhteen palvelu mahtaa löytyä".
Ja juuri tämä palvelu on kyseessä porteilla 135 ja 593. Epmapper (MS-RPC EndPoint Mapper) on verkkopalvelu joka kuuntelee TCP porteilla 135 ja 593. Erona on että portti 593 tarjoaa protokollan HTTP:n yli. Protokolla on sama.
Eli epmapper toimii MSRPC-palvelujen resoluutorina. Tämä tarkoittaa, että kun sovellus haluaa muodostaa yhteyden MSRPC-palveluun, se lähettää RPC-endpoint-mapper-portille kyselyn. RPC-endpoint-mapper-portti vastaa sitten kyselyyn kertoen, mihin TCP-porttiin kyseinen MSRPC-palvelu on kytketty.
impacket-rpcdump
Työasemaltasi löytyy työkalu "impacket-rpcdump" jolla voit kokeilla hakea epmapperilta Windows-palvelimen listaamat RPC-palvelut.
Jos katsot samalla Wiresharkilla, huomaat TCP-liikennettä porttiin 135 jonka Wireshark on tunnistanut DCE/RPC Endpoint Mapper liikenteeksi.
Sekä vastauksen:
RPC toimii myös SMB yli
RPC-palvelu ei aina löydy dynaamisesta TCP-portista. Palvelu saataa löytyä myös nimetyn putken (named pipe) takaa jonka kanssa voidaan kommunikoida SMB-protokollalla, jolloin taas käytettäisiin portteja 139 ja 445.
139/tcp, 445/tcp: SMB
SMB (Server Message Block) on laajalti Windows-ympäristöissä käytössä oleva protokolla jota käytetään pääasiallisesti kolmeen tarkoitukseen:
- Tiedostojen jakamiseen
- Tulostinten jakamiseen
- Prosessien väliseen kommunikointiin (IPC, Inter Process Communication) käyttämällä ns. putkia (pipes).
SMB toimii suoraan TCP portin 445 yli.
SMB-protokolla on tavoitettavissa myös TCP portista 139 jolloin protokolla tarjoillaan NBT (NetBIOS over TCP/IP) avulla. NetBIOS on vanha protokolla joka on tarjolla SMB:tä varten lähinnä sitä varten jos verkossa on todella vanhoja laitteita kuten vaikkapa Windows XP-koneita. Se on kuitenkin oletuksena päällä silloin kun SMB:kin on.
137/udp, NetBIOS Name Service
NetBIOS-nimipalvelu on protokolla, jota käytetään tietokoneverkkojen nimien tunnistamiseen. Se on osa vanhempaa Windows-verkkoympäristöä, mutta edelleen oletuksena päällä uusissakin Windows-palvelimissa. NetBIOS-nimipalvelu mahdollistaa tietokoneiden tunnistamisen niiden NetBIOS-nimillä, jotka voivat olla enintään 15 merkkiä pitkiä.
nbtscan
NetBIOS-nimipalvelua voidaan myös hyödyntää Windows-verkkojen tutkimiseen. Työasemallasi on "nbtscan" -niminen työkalu joka lähettää NetBIOS -nimikyselyitä kaikkiin haluamiisi IP-osoitteisiin ja tulostaa vastaukset taulukossa.
Taas jos katsotaan Wiresharkilla, voidaan nähdä UDP-liikennettä porttiin 137 jonka Wireshark tunnistaa oikein NetBIOS-nimipalvelun NBSTAT -kyselyiksi. NBSTAT tarkoittaa tavallaan että "esittele itsesi".
3389/tcp, RDP
TCP portilla 3389 on RDP (Remote Desktop) eli etätyöpöytäprotokolla. Yhdistämme tähän porttiin kurssin lopussa kun teemme kovennuksia.
80/tcp, HTTP
Portti 80 on tyypillisesti HTTP-palvelu, tässä tapauksessa nmap on tunnistanut IIS (Internet Information Services) web-palvelimen joka on Microsoftin HTTP-palvelin.
Harjoitukset
Tee nmap-skanni kuvatulla tavalla. Mikä on IIS-palvelimen (10.0.0.3) IIS-palvelun versio?
Labra
Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.
Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.