Een aanval analyseren (deel 2)

Een aanval analyseren (deel 1)

Don Parker

In deel één hebben we u laten zien welke informatie u kunt waarnemen bij het openen van de pakketreeks die door Nmap wordt verzonden. De verzonden reeks begint met een ICMP-echo-antwoord om te bepalen of er een IP-adres aan de computer of het netwerk is toegewezen.

Bovendien kunnen we ook vaststellen dat het netwerk van de aangevallen computer een Windows-gebaseerd netwerk is door te kijken naar de TTL in het ICMP-echoresponspakket dat de computer terugstuurt. Wat nu gedaan moet worden, is doorgaan met het observeren van de resterende pakketten in de Nmap-scanner, en de resterende informatie achterhalen om het profiel van het slachtoffernetwerk te kunnen achterhalen.

Doorgaan

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

De twee bovenstaande pakketten volgen op de ICMP-pakketten die we in deel 1 hebben bekeken. Nmap heeft een ACK-pakket verzonden naar het netwerk-IP 192.168.111.23 van het slachtoffer op poort 80. Omdat het hier om vervalste informatie gaat, krijgen we hier niet het volledige beeld. Het enige dat gezien kan worden is dat het ACK-pakket dat van de aanvaller ontvangen werd, een RST-pakket was als antwoord, aangezien deze ACK niet verwacht werd. Het maakt in wezen geen deel uit van een eerder tot stand gebrachte verbinding. We hebben nog steeds een ttl van 128, wat overeenkomt met de eerder waargenomen ttl.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Na de uitwisseling van ACK- en RST-pakketten zien we dat er een echt SYN-pakket is verzonden van de hacker naar het netwerk van het slachtoffer, zoals blijkt uit het pakket met de vetgedrukte S. Hieruit kunnen we afleiden dat het SYN/ACK-pakket via poort 21 terugkomt van het netwerk van het slachtoffer. Deze uitwisseling wordt vervolgens beëindigd door een RST-pakket terug te sturen van de computer van de hacker naar het netwerk van het slachtoffer. Deze drie pakketjes bevatten nu een schat aan informatie over de vervalsing.

We hebben ook ttl 128 van de machine van het slachtoffer, maar ook win64240. Hoewel deze waarde niet in de lijst staat, is het inderdaad een grootte die ik al vaker heb gezien bij Win32 (32-bits versies van Microsoft Windows, zoals Win NT, 2K, XP en 2K3). Een andere beperking van Windows-computers is dat het aantal IP-ID's onvoorspelbaar is. In dit geval hebben we slechts één IP-ID-waarde. We hebben minimaal nog één waarde nodig voordat we met zekerheid kunnen zeggen dat deze computer een Microsoft Windows-computer is. Let op: kijk naar de resterende pakketten van de Nmap-scan.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Het eerste wat de hacker bekijkt, is of het IP-ID-nummer oploopt tot 399. Dit DI-IP-nummer is inderdaad 399, zoals we in het midden van het pakket kunnen zien. Met deze informatie is de hacker er vrij zeker van dat de computer die hij aanvalt Windows NT, 2K, XP of 2K3 is. Ook valt op te merken dat poort 80 op het netwerk van het slachtoffer een service lijkt te hebben, zoals blijkt uit het SYN/ACK-pakket. Het SYN/ACK-pakket wordt bepaald door het flag-veld in de TCP-header te onderzoeken; in dit geval is de onderstreepte hexadecimale waarde 12 of 18 decimaal. Deze waarde kan worden gedetecteerd door de waarde van SYN-vlag 2 toe te voegen aan de waarde van ACK-vlag 16.

Opsomming

Zodra de hacker weet dat zowel poort 21 als poort 80 open zijn voor de onderneming, zal hij de opsommingsstatus ingaan. Wat hij nu moet weten, is welk type webserver luistert naar verbindingen. Het zou zinloos zijn voor deze hacker om een ​​Apache-kwetsbaarheid op een IIS-webserver te misbruiken. Met dat in gedachten zal de aanvaller een cmd.exe-sessie openen en het netwerktype achterhalen.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

We kunnen het hierboven aangegeven netwerktype of de nc.exe-syntaxis observeren die de hacker typt in het IP-adres van het slachtoffer, evenals poort 80. Zodra de hacker binnen is, typt hij de HTTP van de GET-methode, gevolgd door een aantal grammaticaal incorrecte zinnen. Deze actie kan ertoe leiden dat de webserver van het slachtoffernetwerk informatie terugstuurt naar zijn systeem, terwijl het niet begrijpt wat het verzoek inhoudt. Daarom vermelden ze vanzelfsprekend de informatie die hackers nodig hebben. De hacker kan nu zien dat hij zich in Microsoft IIS 5.0 bevindt. Nog beter nieuws is dat hackers verschillende exploits voor deze versie hebben bedacht.

Conclusie

Door met Nmap een scan uit te voeren van het netwerk van het slachtoffer, kan de hacker een reeks belangrijke datapakketten ontvangen. In deze datapakketten zit, zoals we hebben gezien, veel informatie waarmee hackers misbruik kunnen maken van kwetsbaarheden in de architectuur, het besturingssysteem, het netwerktype en het servertype.

Kortom, op deze manier kunnen hackers belangrijke informatie over de host, de architectuur en de aangeboden diensten verkrijgen. Met deze informatie kan de hacker een aanval uitvoeren op de webserver van het slachtoffernetwerk. In het volgende gedeelte leggen we uit welke aanvallen hackers kunnen gebruiken om in dit geval gebruikers aan te vallen.

Een aanval analyseren (deel 3)