6. Testiranje napada na mreže - Napadi poslije spajanja (eng. Network Penetration Testing - Post Connection Attacks)

U prošlom poglavlju su polaznici naučili kako se spojiti na mrežu koja je zaštićena, dok će se ovo poglavlje baviti napadima koji se mogu izvesti nakon spajanja na mrežu. U kojima nije bitno na koji način se spaja na mrežu, već što činiti kada se spoji.


Do sada je mrežna kartica bila postavljena u "monitor" mod, što treba promijeniti u "managed" mod jer nisu više potrebni svi paketi koji se kreću mrežom ili spojiti računalo i ruter sa ethernet kabelom za direktnu vezu.

6.1. Prikupljanje informacija (eng. Gathering Information)

6.1.1. Netdiscover

Program koji se koristi za otkrivanje spojenih klijenata na našu mrežu. To je najbrži način za dobivanje informacija o ostalim klijentima u mreži, no nažalost ne prikazuje detaljnije informacije od IP i MAC adresa.
Naredba: "netdiscover -i [INTERFACE] -r [RANGE]" gdje [INTERFACE] označava sučelje s kojim smo spojeni na mrežu (provjerava se naredbom "ifconfig"), a [RANGE] je opseg IP adresa koje su predviđane za skeniranje (Slika 1.).
Slika 1.

6.1.2. Nmap

Nmap je najkorišteniji i prema mnogima najbolji program za identificiranje uređaja u mreži i dobavljanje detaljnih informacija o njima.
Za primjer u ovom tečaju koristit će se Zenmap, koji je u suštini Nmap sa grafičkim korisničkim sučeljem (eng. GUI) (Slika 2.).

Slika 2.
Biti će odrađene 3 vrste pretraživanja mreža:
  • Ping scan
  • Quick scan
  • Quick scan plus
Ping scan je najbrža vrsta pretraživanja, no ne prikazuje  nikakve detaljnije informacije osim IP adrese uređaja spojenih na mrežu.
Quick scan uz informacije koje pruža ping scan, također daje informacije o port-ovima koji su otvoreni na uređaju.
Quick scan plus proširuje quick scan time da prikazuje aplikacije zbog kojih je otvoren određeni port na uređaju. Isto tako pruže informacije o tipu uređaja i operacijskom sustavu koji uređaj koristi.

Predavač konstantira da je prikupljanje informacija najbitnija stavka u izvršavanju uspješnih napada na uređaje, zbog toga što pomoću saznanja o otvorenom port-u i programu koji ga drži otvorenim, možemo lako pronaći nedostatke (eng. exploits) i iskoristiti se za dobivanje neuatoriziranog pristupa uređaju. O čemu će biti riječ u kasnijim lekcijama.

6.2. Čovjek u sredini napadi (eng. Man In The Middle Attacks)

MITM napadi se odvijaju na način da napadač preusmjerava pakete sa i od bilo kojeg uređaja na mreži na svoj uređaj. To mu omogućava da čita/modificira/briše bilo koje pakete na mreži čime može doći do bitnih informacija.
U predavanju je objašnjeno da kod MITM napada haker šalje tvrdnju uređaju koji napada u kojoj se predstavlja kao ruter, što automatski preusmjeruje promet na njegov uređaj. Dok istu stvar čini sa ruterom te se predstavlja kao meta (Slika 3.). Što se u terminologiji naziva ARP (eng. Address Resolution Protocol) Poisoning.
Slika 3.

6.2.1. MITMf alat

U narednih nekoliko lekcija, tečaj se bavi korištenjem MITMf alata koji je framework za lansiranje velikog broja MITM napada. Koristi se u obliku naredbe "mitmf --arp --spoof -i [interface mrežne kartice]  --gateway [ruter ip] --targets [target ip]" uz dodatne parametre koji su zabilježeni u uputama (eng. manual). Sve dok se proces uspješno izvršava, meta je spojen na internet preko napadačeva računala te su svi paketi vidljivi unutar konzolnog prozora u kojem se proces odvija.
Predavač napominje da to nije slučaj ukoliko meta pretražuje stranice sa https zaštitom, metu možemo preusmjeriti na običnu http stranicu ukoliko postoji sa parametrom "--hsts", no većina današnjih aplikacija koristi isključivo https protokol te je nemoguće vidjeti paketi koji se šalju u tom obliku.

6.2.2. Ferret-sidejack alat

Ne dolazi kao osnovna oprema Kali Linux-a već ga se treba preuzeti "apt-get install ferret-sidejack". Predavač nije spomenuo da je ovo 32-bit-an alat koji ne postoji za 64-bit-ne sustave, te ukoliko polaznik ima 64-bti Kali Linux, prije instalacije mora pokrenuti naredbu: "dpkg --add-architecture i386".
Koristi se sa MITMf alatom, odnosno nakon što je pokrenut MITM napad. Služi za krađu kolačića (eng. cookies) sa uređaja od mete. Uz njega se paralelno može pokrenuti naredba "hamster" koja stvara lokalni server na portu 1234 i služi za grafički prikaz kolačića i njihovo direktno korištenje u web pregledniku (Slika 4.).
Slika 4.


Primjedbe

Objavi komentar

Popularni postovi s ovog bloga

3. Linux osnove (eng. Linux basics)

Slika
U ovo predavanju predavač pokazuje radno okruženje Kali Linux-a s kojim će polaznici biti suočeni od sad pa na dalje. U startnom izborniku se nalaze alati koji su potrebni za etičko hakiranje kategorizirani po tipu napada. Pokraj kojeg se nalaze moji dokumenti sa nazivom "Places", gdje je predavač dodatno objasnio strukturu Linux operativnog sustava i koje ćemo direktorije najčešće koristit. Ističe da za razliku od Windows-a, Linux podržava više takozvanih radnih prostora na kojima se mogu nalaziti različite ikone na radnoj površini i/ili različiti otvoreni prozori. U nastavku su pokazani osnovni meniji za settings-e i bežičnu internet mrežu koji su jako slični onima na Windows-u. 3.1 Terminal i Linux komande (eng. the terminal and linux commands) Linux terminal je konzolni prozor u kojemu se može mjenjati bilo koja postavka operativnog sustava te izvoditi bilo koji program instaliran na OS. Predavač ističe kako je terminal veoma moćan alat koji uglavnom ima više opci...
Pročitajte više

5. Testiranje napada na mreže - Napadi prije spajanja (eng. Network Penetration Testing - Pre Connection Attacks)

Slika
Prije početka ove lekcije, treba provjeriti je li mrežna kartica trenutno u "monitor" modu kao što je objašnjeno u prošloj lekciji. Nakon toga korisnik može započeti pregledavati dostupne mreže u svojoj fizičkoj okolici sa naredbom "airodump-ng mon0" gdje "mon0" označava naziv sučelja (eng. interface) mrežne kartice u "monitor" modu (Slika 1.).   Slika 1. Gdje stupci redom označavaju: BSSID - MAC adresa rutera  PWR - Fizičku blizinu rutera, što je veći broj to je ruter bliži Beacons - Signali koji ruter šalje #Data - Broj preuzetih paketa #/s - Broj preuzetih paketa u zadnjih 10 sekundi CH - Broj kanala na kojem ruter odašilje MB - Maksimalna brzina rutera ENC - Enkripcija koja se koristi kao zaštita CIPHER - Dekripcija koja se koristi AUTH - Tip autentikacije ESSID - Naziv rutera 5.1. Ciljano njuškanje paketa (eng. Targeted packet sniffing) Predavač za primjer uzima svoju kućnu mrežu sa WPA enkripcijom na kojoj će vršiti n...
Pročitajte više

7. Dobivanje pristupa (eng. Gaining access)

Slika
U ovoj kratkoj lekciji predavač opisuje načine na koji se može dobiti pristup nad uređajem. Uređaj u ovom slučaju može biti bilo koja naprava koja je spojena na internet (laptop, smart tv, mobitel...). Server side napadi  Ne zahtjeva interakciju od korisnika, koristi se uglavnom za napade na servere  koji rade na automatizirani način. Sve što je potrebno za napad je poznavanje IP adrese mete. Koristi nedostatke u operativnim sustavima kako bi omogućila pristup napadaču. Client side napadi Zahtjeva od korisnika napadnutog uređaja napravi nešto. Odnosno pristane na instaliranje ažuriranja, otvaranje slike, otvaranje .exe datoteke ili nešto slično. Tada se na njegov uređaj instalira trojan virus, iliti stražnji ulaz (eng. backdoor) kojeg napadač može koristiti za dobivanje pristupa nad uređajem. 7.1. Server side napadi Najčešće se koriste nad web serverima i serverima općenito, zbog toga što su osobna računala uglavnom skrivena iza rutera, stoga je prikupljanje i...
Pročitajte više