quarta-feira, 24 de fevereiro de 2016

NMAP 7 :: Utilizando Scripts de Análise de Vulnerabilidades do NMAP



O NMAP 7 tem recebido um boost muito grande de novos scripts e funcionalidades muito bacanas para administração de redes e pentest. Uma delas é o script vuln que faz uma série de testes nos serviços encontrados nas portas do host.Vi alguns desses exemplos em um post do NullByte e decidi complementar com alguns scripts que eu testei de antemão.

Usando o NMAP para encontrar vulnerabilidades:

O parâmetro é bem simples de ser utilizado, na verdade é só chamar o script com o parâmetro --script

 # nmap -sS -sC -Pn --script vuln scanme.nmap.org  
 matheus@fidelis:~$ nmap -Pn --script vuln scanme.nmap.org  
   
 Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-21 22:50 BRT  
   
 Nmap scan report for scanme.nmap.org (45.33.32.156)  
 Host is up (0.21s latency).  
 Other addresses for scanme.nmap.org (not scanned): 2600:3c01::f03c:91ff:fe18:bb2f  
 Not shown: 994 closed ports  
 PORT   STATE  SERVICE  
 22/tcp  open   ssh  
 25/tcp  filtered smtp  
 80/tcp  open   http  
 |_http-cross-domain-policy: ERROR: Script execution failed (use -d to debug)  
 | http-csrf:   
 | Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=scanme.nmap.org  
 |  Found the following possible CSRF vulnerabilities:   
 |     
 |   Path: http://scanme.nmap.org:80/  
 |   Form id: cse-search-box-sidebar  
 |   Form action: https://nmap.org/search.html  
 |     
 |   Path: http://scanme.nmap.org/  
 |   Form id: cse-search-box-sidebar  
 |_  Form action: https://nmap.org/search.html  
 |_http-dombased-xss: Couldn't find any DOM based XSS.  
 | http-enum:   
 |  /images/: Potentially interesting directory w/ listing on 'apache/2.4.7 (ubuntu)'  
 |_ /shared/: Potentially interesting directory w/ listing on 'apache/2.4.7 (ubuntu)'  
 |_http-fileupload-exploiter:   
 |_http-frontpage-login: false  
 | http-slowloris-check:   
 |  VULNERABLE:  
 |  Slowloris DOS attack  
 |   State: LIKELY VULNERABLE  
 |   IDs: CVE:CVE-2007-6750  
 |    Slowloris tries to keep many connections to the target web server open and hold  
 |    them open as long as possible. It accomplishes this by opening connections to  
 |    the target web server and sending a partial request. By doing so, it starves  
 |    the http server's resources causing Denial Of Service.  
 |      
 |   Disclosure date: 2009-09-17  
 |   References:  
 |    http://ha.ckers.org/slowloris/  
 |_   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750  
 |_http-stored-xss: Couldn't find any stored XSS vulnerabilities.  
 1434/tcp filtered ms-sql-m  
 9929/tcp open   nping-echo  
 31337/tcp open   Elite  
   
 Nmap done: 1 IP address (1 host up) scanned in 339.36 seconds  
   


Utilizando o NMAP para buscar exploits 

Também existe um script muito legal que procura somente os exploits, diferente do script acima que faz vários testes consecutivos. 'Pow, já sei que é vulnerável', então use o script 'exploit'.
 # nmap -Pn -sS -sC --script exploit scanme.nmap.org  


Utilizando o NMAP para testar vulnerabilidade a ataques DoS

Podemos fazer um teste básico para analisar a reposta do servidor mediante a um simples ataque de flood nas portas encontradas. O software utiliza o SlowLoris, um script em Pearl muito tenso utilizado para fazer SynFlood em servidores web
 # nmap -Pn -sS -sC --script dos scanme.nmap.org  


Utilizando o NMAP para realizar ataques DoS com um simulador do Slow Loris

Além do teste, o nmap disponibiliza um script para realizar o ataque DoS de forma séria e consecutiva, ainda assim utilizando o SlowLoris como base. Eu não testei esse script ainda nos servidores da minha rede nem na núvem, mas creio eu, que se o mesmo utiliza o SlowLoris para SynFlood, os efeitos devem ser monstruosos em produção.
 # nmap --max-parallelism 750 -Pn --script http-slowloris --script-args http-slowloris.runforever=true canme.nmap.org  


Encontrando subdomínios com NMAP

O Nmap possui um script nse muito bacana que nos permite realizar pesquisas de subdomínios através de um alvo, esse script é o dns-brute.nse
 # nmap -p 80 --script dns-brute.nse vulnweb.com  
 Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-24 09:06 BRT  
 Nmap scan report for vulnweb.com (176.28.50.165)  
 Host is up (0.00078s latency).  
 rDNS record for 176.28.50.165: rs202995.rs.hosteurope.de  
 PORT  STATE SERVICE  
 80/tcp open http  
   
 Host script results:  
 | dns-brute:   
 |  DNS Brute-force hostnames:   
 |   stats.vulnweb.com - 176.28.50.165  
 |   mx.vulnweb.com - 176.28.50.165  
 |   host.vulnweb.com - 176.28.50.165  
 |   devel.vulnweb.com - 176.28.50.165  
 |   admin.vulnweb.com - 176.28.50.165  
 |   http.vulnweb.com - 176.28.50.165  
 |   development.vulnweb.com - 176.28.50.165  
 |   mx0.vulnweb.com - 176.28.50.165  
 |   svn.vulnweb.com - 176.28.50.165  
 |   administration.vulnweb.com - 176.28.50.165  
 |   mx1.vulnweb.com - 176.28.50.165  
 |   id.vulnweb.com - 176.28.50.165  
 |   devsql.vulnweb.com - 176.28.50.165  
 |   syslog.vulnweb.com - 176.28.50.165  
 |   ads.vulnweb.com - 176.28.50.165  
 |   mysql.vulnweb.com - 176.28.50.165  
 |   images.vulnweb.com - 176.28.50.165  
   ...


:)

SOBRE O AUTOR

Matheus Fidelis

http://msfidelis.github.io/

Power Ranger, Piloto de Helicópteros e Astronauta da NASA. Desenvolvedor Web PHP com foco em Backend e POO, Linux SysAdmin DevOps e Entusiasta Python. Criou esse site pra contribuir com a comunidade com coisas que aprende dentro de um setor maluco de TI :)

8 comentários:

  1. No caso esse script do exploit é usado para tomar o controle do sistema alvo? depois de usar esse script aparece algum shell do sistema alvo, no qual é possível interagir?

    ResponderExcluir
    Respostas
    1. Não, apenas identifica e tenta rodar "mini exploits" pra ver se existe a vulnerabilidade.

      Excluir
  2. cara gosto muito de todos artigos continue assim !e obrigado por compartilhar

    ResponderExcluir
    Respostas
    1. Obrigado pelo Feedback Jeferson!!
      Pode contar comigo! :)

      Excluir
  3. Gera algum ruído? Ou pode ser usado tranquilamente?
    Ótimo tutorial, Obrigado

    ResponderExcluir
  4. Acho que gera sim , use o -D RND:5 ipalvo para enganar o firewall.
    O 5 corresponde o quantia de ips que o nmap gerara para simular mais maquinas.

    ResponderExcluir

 
Nanoshots | Open Source Security, Linux e Tutoriais © 2015 - Designed by Templateism.com