Код:
Сканирование с Nmap.
===================
Введение
--------
Иногда, перед хакером встает такая проблема: Он получил задание сломать какой-то сервак за вполне реальные деньги, он долго
искал уязвимость на web,пробовал php и sql-иньекции, изучал скрипты которые стоят на сайте, но все безрезультатно :( казалось
бы ВСЕ ,надежды не осталось, хакер не сломает заказанный сайт и не получит бабки ,но тут на помощь взломщику приходит сетевой
сканнер NMAP ....
Многие говорят "Nmap это офигенная тулза, я юзаю только ее", а на самом деле никто из этих выскочек не умеет пользоваться,
этим по истине офигенным сканнером. Что бы ты смог понять, как это сделать, в этой статье я подробно расскажу весь процесс
установки и последующего сканирования сканером.Итак, поехали!
Установка
-------------
Для начала нашей задумки тебе придется обзавестись хорошим и быстро-канальным шеллом, это будет нашей с тобой площадкой,
где мы выгрузим наш сканнер, настроим и запустим.Ниже я привел несколько ресурсов, где ты сможешь найти себе шелл:
grex.cyberspace.org
m-net.arbornet.org
www.freeshell.org
www.nyx.net
После того как ты получил shell-аккаунт, приступаем к работе. Заходим на шелл,идем в папку tmp (туда обычно разрешена запись),
командой: cd /tmp. Следующий шаг заливка самого nmap'a к себе на шелл. Сам сканнер лежит здесь –
http://freshmeat.net/redir/nmap/7202/url_tgz/nmap-4.11.tgz.
Проверь, какая качалка стоит у тебя на шелле(wget,curl,lynx/links,fetch) и после этого заливай.Например
#wget http://freshmeat.net/redir/nmap/7202/url_tgz/nmap-4.11.tgz
Как видишь, сканнер находится в архиве(.tgz), поэтому после заливки тебе нужно его разархивировать, командой:
#tar xvzf nmap-4.11.tgz.
Выполнил? Красавец, дальше нужно его собрать командой :
#./configure,
Если сборка сканнера прошла без проблем(а я думаю что это так),будем запускать его командой make, ждем .. и последняя команда
make install.ВСЕ!Сканнер готов к работе...Теперь перейди в папку куда ты залил свой сканнер, если ты следовал моим указаниям,
то сканнер находится в папке tmp ( cd /tmp/nmap-4.11 ) .Можешь выполнить вот эту команду
#nmap --help
и узнать синтаксис сканера. Вообщем с установкой все. Теперь разберемся в опциях
nmap.
Опции
------
У nmap большое количество различных опций, большинство которых могут комбинироваться друг с другом, что и делает этот сканнер
многофункциональным и одним из лучших сканнеров.Приведу наиболее нужные и полезные для сканирования:
=======================================
-sT (scan TCP) - использовать метод TCP connect(). Наиболее общий метод сканирования TCP-портов. Функция connect(),
присутствующая в любой ОС, позволяет создать соединение с любым портом удаленной машины. Для того, чтобы использовать
данный метод, пользователь может не иметь никаких привилегий на сканирующем хосте.
=========================================================================================================================
-sS (scan SYN) - Сканирование скрытно от фаера. Этот метод часто называют "полуоткрытым" сканированием, поскольку при
этом полное TCP-соединение с портом сканируемой машины не устанавливается.
=========================================================================================================================
-sP (scan Ping) - ping-"сканирование".(Думаю тут объяснения не нужны.)
=======================================================================================================================
-sV (scan Version) - включение режима определения версий служб, за которыми закреплены сканируемые порты. После окончания
сканирования будет получен список открытых TCP и/или UDP-портов. Без этой опции в списке напротив каждого порта будет
указана служба, которая обычно использует данный порт. При включенной опции будет запущена подсистема определения версий
служб, которая проведет последовательное тестирование этих портов с целью определения типов и версий служб, за которыми
закреплены обнаруженные порты.
=======================================================================================================================
-sI <zombie_хост[:порт]> (scan Idle) - позволяет произсести абсолютно невидимое сканирование портов.
Атакующий может просканировать цель, не посылая при этом пакетов от своего IP-адреса. Вместо этого
используется метод IdleScan, позволяющий просканировать жертву через так называемый хост-"зомби".
Кроме абсолютной невидимости, этот тип сканирования позволяет определить политику доверия между
машинами на уровне протокола IP. Листинг результатов показывает открытые порты со стороны хоста-"зомби".
Таким образом, можно просканировать цель с использованием нескольких "зомби", которым цель может "доверять",
в обход файрволлов и пакетных фильтров. Такого рода информация может быть самой важной при выборе целей
"первого удара". Мы подготовили статью с описанием этого метода, Вы можете ознакимиться с ней здесь.
Вы можете указать конкретный порт для проверки изменения IPID на хосте-"зомби". В противном случае Nmap
будет использовать номер порта по умолчанию для "tcp ping".
=========================================================================================================================
-sR (scan RPC) - использовать RPC-сканирование. Этот метод используется совместно с другими методами сканирования
и позволяет определить программу, которая обслуживает RPC-порт, и номер ее версии. Для этого все открытые TCP/UDP-порты
хоста затопляются NULL-командами оболочки SunRPC, после чего определяются RPC-порты и закрепленные за ними программы.
Таким образом, вы легко получаете информацию, которую могли бы получить с помощью команды 'rpcinfo -p', даже если
portmapper сканируемого хоста закрыт файрволлом или TCP-wrapper'ом.
====================================================================================================================
-sW (scan Window) - использовать метод TCP Window. Этот метод похож на ACK-сканирование, за исключением того, что иногда
с его помощью можно определять открытые порты точно так же, как и фильтруемые/нефильтруемые. Это можно сделать, проверив
значение поля Initial Window TCP-пакета, возвращаемого хостом в ответ на посланный ему запрос, ввиду наличия определенных
особенностей обработки данного поля у некоторых ОС. Список уязвимых операционных систем включает в себя по крайней
мере несколько версий AIX, Amiga, BeOS, BSDI, Cray, Tru64 UNIX, DG/UX, OpenVMS, Digital UNIX, FreeBSD, HP-UX, OS/2, IRIX,
MacOS, NetBSD, OpenBSD, OpenStep, QNX, Rhapsody, SunOS 4.X, Ultrix, VAX и VxWorks. Для более подробной информации
смотрите архив nmap-hackers.
========================================================================================================================
-p <диапазон(ы)_портов> (ports) - эта опция указывает Nmap, какие порты необходимо просканировать. Например, '-p23'
означает сканирование 23 порта на целевой машины. Если указано выражение типа '-p 20-30,139,', Nmap будет
сканить порты с номерами с 20 по 30 включительно, 139 .
=========================================================================================================================
-o(Operating system detection) - эта опция позволяет определить операциоку сканируемого хоста с помощью метода
отпечатков стека TCP/IP.
=========================================================================================================================
-PP - использует пакет ICMP "timestamp request (code 13)" для определения активных хостов.
=========================================================================================================================
-b <ftp_relay хост> (bounche scan) - использовать атаку "Прорыв через FTP". Интересной "возможностью" протокола FTP (RFC 959)
является поддержка "доверенных" (proxy) ftp-соединений. Другими словами, с доверенного хоста source.com можно соединиться
с ftp-сервером target.com и отправить файл, находящийся на нем, на любой адрес Internet! Заметим, что данная возможность
известна с 1985 года (когда был написан этот RFC). Nmap использует эту "дыру" для сканирования портов с "доверенного"
ftp-сервера. Итак, вы можете подключиться к ftp-серверу "над" файрволлом и затем просканировать заблокированные им
порты (например 139-й). Если ftp-сервер позволяет читать и записывать данные в какой-либо каталог (например /incoming),
вы также можете отправить любые данные на эти порты. Аргумент, указываемый после '-b', представляет собой URL сервера ftp,
используемого в качестве "доверенного". Формат URL следующий: имя_пользователя:пароль@сервер:порт. Адрес сервера нужно
указать обязательно, остальное можно не указывать.
============================================================================================================================
-I (Ident scan) - использовать reverse-ident сканирование. Протокол Ident (RFC 1413) позволяет вскрыть имя пользователя
(username) процесса, использующего TCP, даже если этот процесс не инициализировал соединение. Так, например, вы можете
подключиться к порту http и затем использовать identd для поиска на сервере пользователя root. Это может быть сделано
только при установлении "полного" TCP-соединения с портом сканируемой машины (т.е. необходимо использовать опцию '-sT').
Nmap опрашивает identd сканируемого хоста параллельно с каждым открытым портом. Естественно, этот метод не будет работать,
если на целевом хосте не запущен identd.
=======================================================================================================================
-oN <имя_файла> (output Normal) - записывает результаты сканирования в указанный файл в удобной для пользователя форме.
=======================================================================================================================
--resume <имя_файла> - если вы прервали сканирование сети нажатием комбинации <Ctrl C>, то вы можете продолжить его,
используя эту опцию, если результаты сканирования записывались в лог-файл с помощью опций '-oG' или '-oN'. В этом случае
запустите Nmap с указанием этой опции и имени файла, в который производилась запись предыдущего сеанса. При этом никаких
других опций указывать не нужно, поскольку при возобновлении сканирования будут использоваться опции, указанные в
предыдущем сеансе. Nmap продолжит сканирование с адреса, следующего за последним "завершенным".
========================================================================================================================
-v (verbose output) - использовать режим "подробного отчета". Эту опцию рекомендуется использовать в любых случаях,
поскольку при этом Nmap подробно сообщает о ходе выполнения текущей операции. Для получения лучшего эффекта можно
указать ее дважды. Ну а если вы укажете еще опцию '-d', то от скроллинга экрана у вас может закружиться голова.
=========================================================================================================================
Как я уже сказал ,опций у этого сканнера много, но я расписал самые распрстроненные на мой взгляд.
Сканинг
--------
Допустим у нас есть сайт, который мы хотим просканировать(если у тебя нет такого, то беги в google и вводи в поисковике
следующее: .pl -покажет огромный список польских сайтов, .jp -то же самое только японские, .de -немцы и тд. ), пусть это
будут немцы ;)Итак теперь у меня есть сайт - www.target.de. Можно выполнить команду - nmap www.target.de и запустить
сканнер, но особо нужных нам результатов мы не получим т.к. сканнер выдаст нам только список открытых и закрытых портов,
это конечно нужная информация о сервере, но я предлагаю пойти немного другим путем. Для начала пропингуем сервер и узнаем его
ip.Выполняем:
#ping www.target.de
Мы узнали ip сервера, пусть будет xx.xx.xx.76,значит диапазон, по которому сканим будет xx.xx.xx.1 - xx.xx.xx.254.
Итак, сканнер мы установили, опции узнали , ip пропинговали, что теперь нам мешает начать сканить? Да ни чего!
Даем такую команду:
#nmap -p 110 -sV xx.xx.xx.*
Отсюда следует то, что мы говорим сканнеру, что сканируем все диапазоны ip, по 110 порту(-p 110) с определением версий служб
(-sV), за которыми закреплен сканируемый порт. Попробуем еще кое-что:
#nmap -o -p 22,23,110,80 xx.xx.xx.1/35
Тут мы даем сканнеру команду, что бы он сканил диапазон айпишников с xx.xx.xx.1 по xx.xx.xx.35, с определением операционки
(-o),по 22,23,110,80 портам. Можно выполнить следующую команду, на мой взгляд полезную:
#nmap -sV -o -SS xx.xx.xx.*
Как видишь, мы добавили новую опцию (если ты читал раздел опции, то она для тебя неновая) -sS ,которая означает что мы
сканим скрыто от фаервола, с определением операционки и версий служб.
Заключение
-----------
Вобщем, комбинировать можно как угодно, главное грамотно суметь оценить результат, так что пробуй добавлять новые опции,
экспериментируй, и в дальнейшем ты сможешь юзать это сканнер без всяких манов или доков и будешь знать все опции наизусть...
=============================================================================================================================
l1s, Ru24 Security team.
мдас...