O NMAP 7 tem recebido um boost muito grande de novos scripts e funcionalidades muito bacanas para administração de redes e pentest. Uma delas é o script vuln que faz uma série de testes nos serviços encontrados nas portas do host.Vi alguns desses exemplos em um post do NullByte e decidi complementar com alguns scripts que eu testei de antemão.
Usando o NMAP para encontrar vulnerabilidades:
O parâmetro é bem simples de ser utilizado, na verdade é só chamar o script com o parâmetro --script
# nmap -sS -sC -Pn --script vuln scanme.nmap.org
matheus@fidelis:~$ nmap -Pn --script vuln scanme.nmap.org
Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-21 22:50 BRT
Nmap scan report for scanme.nmap.org (45.33.32.156)
Host is up (0.21s latency).
Other addresses for scanme.nmap.org (not scanned): 2600:3c01::f03c:91ff:fe18:bb2f
Not shown: 994 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
|_http-cross-domain-policy: ERROR: Script execution failed (use -d to debug)
| http-csrf:
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=scanme.nmap.org
| Found the following possible CSRF vulnerabilities:
|
| Path: http://scanme.nmap.org:80/
| Form id: cse-search-box-sidebar
| Form action: https://nmap.org/search.html
|
| Path: http://scanme.nmap.org/
| Form id: cse-search-box-sidebar
|_ Form action: https://nmap.org/search.html
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-enum:
| /images/: Potentially interesting directory w/ listing on 'apache/2.4.7 (ubuntu)'
|_ /shared/: Potentially interesting directory w/ listing on 'apache/2.4.7 (ubuntu)'
|_http-fileupload-exploiter:
|_http-frontpage-login: false
| http-slowloris-check:
| VULNERABLE:
| Slowloris DOS attack
| State: LIKELY VULNERABLE
| IDs: CVE:CVE-2007-6750
| Slowloris tries to keep many connections to the target web server open and hold
| them open as long as possible. It accomplishes this by opening connections to
| the target web server and sending a partial request. By doing so, it starves
| the http server's resources causing Denial Of Service.
|
| Disclosure date: 2009-09-17
| References:
| http://ha.ckers.org/slowloris/
|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
1434/tcp filtered ms-sql-m
9929/tcp open nping-echo
31337/tcp open Elite
Nmap done: 1 IP address (1 host up) scanned in 339.36 seconds
Utilizando o NMAP para buscar exploits
Também existe um script muito legal que procura somente os exploits, diferente do script acima que faz vários testes consecutivos. 'Pow, já sei que é vulnerável', então use o script 'exploit'.
# nmap -Pn -sS -sC --script exploit scanme.nmap.org
Utilizando o NMAP para testar vulnerabilidade a ataques DoS
Podemos fazer um teste básico para analisar a reposta do servidor mediante a um simples ataque de flood nas portas encontradas. O software utiliza o SlowLoris, um script em Pearl muito tenso utilizado para fazer SynFlood em servidores web
# nmap -Pn -sS -sC --script dos scanme.nmap.org
Utilizando o NMAP para realizar ataques DoS com um simulador do Slow Loris
Além do teste, o nmap disponibiliza um script para realizar o ataque DoS de forma séria e consecutiva, ainda assim utilizando o SlowLoris como base. Eu não testei esse script ainda nos servidores da minha rede nem na núvem, mas creio eu, que se o mesmo utiliza o SlowLoris para SynFlood, os efeitos devem ser monstruosos em produção.
# nmap --max-parallelism 750 -Pn --script http-slowloris --script-args http-slowloris.runforever=true canme.nmap.org
Encontrando subdomínios com NMAP
O Nmap possui um script nse muito bacana que nos permite realizar pesquisas de subdomínios através de um alvo, esse script é o dns-brute.nse
# nmap -p 80 --script dns-brute.nse vulnweb.com
Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-24 09:06 BRT
Nmap scan report for vulnweb.com (176.28.50.165)
Host is up (0.00078s latency).
rDNS record for 176.28.50.165: rs202995.rs.hosteurope.de
PORT STATE SERVICE
80/tcp open http
Host script results:
| dns-brute:
| DNS Brute-force hostnames:
| stats.vulnweb.com - 176.28.50.165
| mx.vulnweb.com - 176.28.50.165
| host.vulnweb.com - 176.28.50.165
| devel.vulnweb.com - 176.28.50.165
| admin.vulnweb.com - 176.28.50.165
| http.vulnweb.com - 176.28.50.165
| development.vulnweb.com - 176.28.50.165
| mx0.vulnweb.com - 176.28.50.165
| svn.vulnweb.com - 176.28.50.165
| administration.vulnweb.com - 176.28.50.165
| mx1.vulnweb.com - 176.28.50.165
| id.vulnweb.com - 176.28.50.165
| devsql.vulnweb.com - 176.28.50.165
| syslog.vulnweb.com - 176.28.50.165
| ads.vulnweb.com - 176.28.50.165
| mysql.vulnweb.com - 176.28.50.165
| images.vulnweb.com - 176.28.50.165
...
:)
No caso esse script do exploit é usado para tomar o controle do sistema alvo? depois de usar esse script aparece algum shell do sistema alvo, no qual é possível interagir?
ResponderExcluirNão, apenas identifica e tenta rodar "mini exploits" pra ver se existe a vulnerabilidade.
ExcluirMuito boa dica, Parabens
ResponderExcluirObrigado!!
Excluircara gosto muito de todos artigos continue assim !e obrigado por compartilhar
ResponderExcluirObrigado pelo Feedback Jeferson!!
ExcluirPode contar comigo! :)
Gera algum ruído? Ou pode ser usado tranquilamente?
ResponderExcluirÓtimo tutorial, Obrigado
Acho que gera sim , use o -D RND:5 ipalvo para enganar o firewall.
ResponderExcluirO 5 corresponde o quantia de ips que o nmap gerara para simular mais maquinas.