Tests d'intrusion

From Deimos.fr / Bloc Notes Informatique
Jump to: navigation, search

1 Introduction

Une fois le réseau installé et configuré, celui-ci ne va cesser d'évoluer. De nouveaux systèmes viennent s'y ajouter, de vieilles et fidéles machines disparaissent, bref, tout change tout le temps. Les utilisateurs peuvent également agir dans le dos de l'administrateur et apporter leurs propres modifications au réseau.

Pour vérifier l'état de son réseau, un administrateur doit se comporter comme un pirate et tenter de pénétrer ses propres défenses. Cet article présente la démarche à suivre.

Il est important de tester la sécurité de son propre réseau en se mettant à la place du pirate pour découvrir d'éventuelles failles. Ces tests se décomposent en plusieurs étapes :

  • Phase d'approche : récupération d'informations sur le réseau cible
  • Phase d'analyse : détermination, à l'aide des résultats obtenus à l'étape précédente, des vulnérabilités potentielles et des outils nécessaires à leur exploitation
  • Phase d'attaques : passage à l'acte.

Avant d'entreprendre la derniére étape, l'administrateur du réseau doit impérativement vous avoir donné son consentement, et pas uniquement oral. Le chapitre III du code pénal traite des atteintes aux systémes de traitement automatisé de données. On y trouve 7 articles, dont voici les trois premiers :

  • Article 323-1 : Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un systéme de traitement automatisé de données est puni d'un an d'emprisonnement et de 15 000 Euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce systéme, la peine est de deux ans d'emprisonnement et de 17 500 Euros d'amende.

  • Article 323-2 : Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 30 000 euros d'amende.
  • Article 323-3 : Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 15 000 Euros d'amende.

Le 323-1 concerne l'intrusion en elle-méme. Lorsque que, de plus, elle induit des altérations des données du systéme, la peine est majorée. Le 323-2 porte sur des nuisances faites au réseau (virus, mail bombing, DoS, ...). Enfin, le 323-3 punit les modifications faites volontairement aux données présentes sur le réseaux (comprendre par "données" aussi bien les meilleurs scores à xbill que les fichiers de configuration du réseau).

Mettre à l'épreuve la sécurité d'un réseau signifie en général "résistance aux menaces externes". Cependant, de nombreuses opérations malveillantes sont facilement menées depuis une machine du réseau lui-méme (virus, backdoor, sniffer...). Ces sources de danger sont rarement prises en considération lors de l'évaluation du réseau. De méme, la plupart des attaques présentées dans l'article d'éric Detoisien doivent également étre évaluées (spoofing, (D)Dos...).

Des scénarii variés sont envisageables en guise de tests d'intrusion :

  • Le testeur ne connait rien du réseau cible et ne dispose d'aucun accés à celui-ci, nous sommes dans le cas d'un test d'intrusion externe
  • Le testeur dispose de priviléges minimaux sur le réseau cible (compte utilisateur quelconque). Il cherche à accroétre ses priviléges depuis l'intérieur méme du réseau (écrans de veille non activés, sniffing, exploitation de vulnérabilités locales..). Dans ce cas, il s'agit d'un test d'intrusion interne.

Les résultats obtenus doivent permettre de mieux cerner, afin de les corriger, les problémes potentiels ou existants sur le réseau cible. Par exemple, il faut évaluer le comportement de l'administrateur face aux tentatives d'intrusion ou à l'intrusion elle-méme si elle réussit (sera-t-elle détectée ? Au bout de combien de temps ? ...)

2 La guerre de l'information

Nous nous plaçons donc dans la peau d'une personne qui cherche à récolter un maximum de renseignements sur un réseau cible. Cette collecte se divise en deux étapes. Dans un premier temps, nous allons récupérer toutes les informations disponibles sans accéder directement aux ressources de la cible. Ensuite, lorsque nous commencerons à avoir une idée plus précise de ce dont il retourne, nous accéderons directement aux moyens fournis par la cible.

2.1 Les requêtes indirectes

Dans cette catégorie, nous plaçons tous les moyens qui permettent d'en apprendre plus sur la cible, mais sans la contacter directement. Ces informations sont disponibles, il suffit de savoir où chercher.

2.1.1 Interrogation des bases whois

Les serveurs whois, aussi appelés nicname (port 43), permettent d'accéder à la base de données des renseignements fournis lors de l'enregistrement d'un nom de domaine :

  • Des informations administratives comme des noms, téléphones et adresses pour différents contacts (admin-c, tech-c, zone-c, bill-c...) ;
  • Des informations techniques telles que le(s) nom(s) du(des) DNS(s), les adresses emails des responsables évoqués ci-dessus, les ensembles d'adresses IP alloués à la cible...

Cette base de données, autrefois gérée par InterNIC et maintenant par Network Solutions, reste simplement accessible à tous car elle permet de vérifier si un nom de domaine existe déjà.

Les sociétés qui enregistrent les noms de domaine offrent généralement un service d'interrogation en ligne (voir le tableau 1). Sous Unix, il existe également la commande whois.

Noms Significations URL Descriptions
AFNIC Association Française pour le Nommage Internet en Coopération http://www.nic.fr/cgi-bin/whois tous les ".fr"
RIPE Réseau IP Européen http://www.ripe.net/cgi-bin/whois couvre l'Europe, le Moyen-Orient et quelques pays d'Asie et d'Afrique
InterNIC Pris sur leur page web : "InterNIC is a registered service mark of the U.S. Department of Commerce. This site is being hosted by ICANN on behalf of the U.S. Department of Commerce". http://www.internic.net/whois.html les ".com", ".net", ".edu" et autres ".org"

Pour vous montrer la richesses des informations contenues dans ce type de base, rien de tel qu'un petit exemple sur un nom de domaine (fictif pour des raisons de confidentialité) :

whois pigeons.fr(at)whois.nic.fr
[whois.nic.fr]
 
Tous droits reserves par copyright.
Voir http://www.nic.fr/outils/dbcopyright.html
Rights restricted by copyright.
See http://www.nic.fr/outils/dbcopyright.html
 
domain:      pigeons.fr
descr:       PIGEON ET CIE
descr:       10 RUE DE PARIS
descr:       75001 Paris 
admin-c:     BPxxx-FRNIC
tech-c:      LPxxx-FRNIC
zone-c:      CPxxx-FRNIC
 
nserver:     ns1.pigeons.fr
nserver:     ns2.pigeons.fr
nserver:     ns.heberge.fr
 
mnt-by:      FR-NIC-MNT
mnt-lower:   FR-NIC-MNT
changed:     frnic-dbm-updates(at)nic.fr 20001229
source:      FRNIC
 
role:        HEBERGE Hostmaster
address:     Heberge Telecom
address:     10 rue de Gennevilliers
address:     92230 Gennevilliers
phone:       +33 1 41 00 00 00
fax-no:      +33 1 41 00 00 01
e-mail:      hostmaster(at)heberge.fr
admin-c:     AAxxx-FRNIC
tech-c:      BBxxx-FRNIC
nic-hdl:     CCxxx-FRNIC
notify:      hm-dbm-msgs(at)ripe.net
mnt-by:      HEBERGE-NOC
changed:     hostmaster(at)heberge.fr 20000814
changed:     migration-dbm(at)nic.fr 20001015
source:      FRNIC
 
person:      Bernard Pigeon
address:     PIGEON ET CIE
address:     10 RUE DE PARIS
address:     75001 Paris
address:     France
phone:       +33 1 53 00 00 00
fax-no:      +33 1 53 00 00 01
e-mail:      bernard.pigeon(at)pigeons.fr
nic-hdl:     BPxxxx-FRNIC
notify:      bernard.pigeon(at)pigeons.fr
mnt-by:      HEBERGE-NOC
changed:     bernard.pigeon(at)pigeons.fr 20001228
source:      FRNIC
 
person:      Luc Pigeon
address:     PIGEON ET CIE
address:     10 RUE DE PARIS
address:     75001 Paris
address:     France
phone:       +33 1 53 00 00 00
fax-no:      +33 1 53 00 00 01
e-mail:      luc.pigeon(at)pigeons.fr
nic-hdl:     LPxxx-FRNIC
mnt-by:      HEBERGE-NOC
changed:     aaa(at)heberge.fr 20001228
source:      FRNIC

Nous apprenons que la société Pigeon et Cie est en fait hébergée par Heberge Telecom. Les adresses emails correspondent sans doute à des alias, mais elles nous fournissent également une piste sur l'existence de comptes sur des machines : si les mots de passe correspondant sont faibles (comme les prénoms, dates de naissance...), cette information peut se révéler utile.

Toujours via les bases whois des recherches plus poussées à partir d'une adresse IP appartenant à la société Pigeon et Cie nous amènent à découvrir les classes d'adresses IP qui lui ont été allouées. Pour cela, nous utilisons la base whois de RIPE qui se révéle être la plus pertinente :

whois 10.51.23.246(at)whois.ripe.net
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
 
inetnum:      10.51.23..0 - 10.51.23.255
netname:      PIGEON-CIE
descr:        Pigeon et Cie
country:      FR
admin-c:      OMxxxx-RIPE
tech-c:       OMxxxx-RIPE
status:       ASSIGNED PA
notify:       admin(at)pigeons.fr
mnt-by:       PC-XXX
changed:      admin(at)pigeons.fr 20000223
source:       RIPE

En outre, des recherches croisées sur les noms récupérés peuvent nous donner des informations supplémentaires sur la cible (découvrir de nouvelles adresses IP ou de nouveaux serveurs DNS).

Le bilan des recherches via les bases whois est très concluant puisque nous avons récupéré :

  • Les serveurs DNS ayant autorité sur le domaine pigeons.fr
  • Les coordonnées des contacts administratifs et techniques liés à Pigeon et Cie
  • Les classes d'adresses IP alloués à la société Pigeon et Cie.

Nous pouvons tout de même continuer à glaner des informations sur Internet.

2.1.2 News Group

Souvent les administrateurs ou les développeurs se retrouvent face à des problèmes. Pour les résoudre, ils utilisent les NewsGroup pour poser des questions. Malheureusement, ils donnent souvent beaucoup trop d'informations sur leur système d'information (technologie, version des applications utilisées, fragment de code...). Pour faire des recherches, nous pouvons demander à groups.google.com avec comme critère de recherche (at)pigeons.fr par exemple. Ce moteur, très performant, remonte alors tous les messages postés par des personnes de la société Pigeon et Cie. Outre les informations techniques, nous pouvons obtenir des renseignements sur les goûts personnels de certaines personnes de la société. Ces indications servirons lors de recherche de mots de passe ou pour améliorer une éventuelle tentative Social Engineering (expliqué ultérieurement).

2.1.3 Moteur de recherche

Même principe que pour les NewsGroup, nous essayons de récupérer d'autres données sur le système d'information cible en utilisant un moteur de recherche. Dès lors, les mots clés employer ne seront limités que par notre imagination. Là encore, www.google.com est très performant surtout grâce à son cache. Néanmoins, des méta-moteurs comme www.dogpile.com donnent des résultats pertinents en multipliant les recherches sur plusieurs moteurs.

2.1.4 Social Engineering

Nous sortons un peu des requêtes indirectes puisque cette technique implique un contact direct avec la cible. Néanmoins, cette démarche n'est toujours pas technique c'est pourquoi elle ne fait pas partie des requêtes directes. Le social engineering se pratique pour obtenir des informations confidentielles (mot de passe, renseignements techniques, numéro de téléphone, adresse IP...) des utilisateurs du système d'information cible. Tous les moyens possibles et imaginables sont à disposition (téléphone, mail, fax...). Avec une usurpation d'identité et une exploitation habile des informations récoltées au préalable sur les personnes et la société, la crédibilité est au rendez-vous ainsi que de précieuses données.

2.1.5 Divers

Les requêtes indirectes sont quasiment illimités, un pirate a le temps pour lui, il ira jetter un oeil sur le site de la société ou de ces filiales. D'autres données sur les sociétés et sur les marques se retrouvent sur des sites comme www.societe.com ou celui des pages jaunes (les num?ros de téléphone ou des noms de personnes). Les résultats dépendent evidemment de l'inventivité du pirate.

2.2 Les requêtes directes

Les informations récupérées jusqu'ici ne proviennent pas directement de la cible. Nous allons maintenant lancer quelques sondes dans sa direction et voir tout ce que nous pouvons récupérer.

Du point de vue de la cible, nous verrons également comment déjouer certaine interrogation. A la différence des étapes précédentes, la cible contrôle maintenant les données que le testeur recherche. C'est donc à elle de faire en sorte de les limiter au minimum.

2.2.1 Interrogation des DNS

La requête whois nous montre les DNS utilisés. Que peuvent nous révéler ces derniers ?
Pour obtenir des informations de ces serveurs, il suffit de les interroger dans un langage qu'ils comprennent à savoir le protocole DNS. Plusieurs requêtes sont à notre disposition :

  • Récupération de tous les serveurs DNS ayant autorités sur le domaine
host -v -t ns pigeons.fr ns1.pigeons.fr
      Using domain server:
      Name: ns1.pigeons.fr
      Address: 10.250.149.163
      Aliases:
 
      Trying null domain
      rcode = 0 (Success), ancount=3
 
      The following answer is not verified as authentic by the server:
      pigeons.fr	172800 IN	NS	ns1.pigeons.fr
      pigeons.fr	172800 IN	NS	ns2.pigeons.fr
      pigeons.fr	172800 IN	NS	ns.heberge.fr
 
      Additional information:
      ns1.pigeons.fr	172800 IN	A	10.250.149.163
      ns2.pigeons.fr	172800 IN	A	10.250.149.165
      ns.heberge.fr	345317 IN	A	10.51.3.65

Nous avons donc la confirmation des serveurs DNS utilisés ainsi que leur adresse IP.

  • Récupération des serveurs de messagerie (Mail eXchanger) du domaine
host -v -t mx pigeons.fr ns1.pigeons.fr
      Using domain server:
      Name: ns1.pigeons.fr
      Address: 10.250.149.163
 
      Aliases:
 
      Trying null domain
      rcode = 0 (Success), ancount=1
 
      The following answer is not verified as authentic by the server:
      pigeons.fr	172800 IN	MX	0 smtp1.pigeons.fr
 
      For authoritative answers, see:
      pigeons.fr	172800 IN	NS	ns1.pigeons.fr
      pigeons.fr	172800 IN	NS	ns2.pigeons.fr
      pigeons.fr	172800 IN	NS	ns.heberge.fr
 
      Additional information:
      smtp1.pigeons.fr	172800 IN	A	10.250.149.35
      ns1.pigeons.fr		172800 IN	A	10.250.149.163
      ns2.pigeons.fr		172800 IN	A	10.250.149.165
      ns.heberge.fr		345239 IN	A	10.51.3.65
  • Vérification des deux requêtes précédentes
host -a pigeons.fr ns1.pigeons.fr
      Using domain server:
      Name: ns1.pigeons.fr
      Address: 10.250.149.163
      Aliases:
 
      Trying null domain
      rcode = 0 (Success), ancount=5
      The following answer is not verified as authentic by the server:
 
      pigeons.fr	172800 IN   NS	ns1.pigeons.fr
      pigeons.fr	172800 IN   SOA	ns1.pigeons.fr dnsmaster.pigeons.fr(
				      2000060601     ;;serial (version)
				      21600	     ;refresh period
				      3600	     ;retry refresh this often
				      3600000	     ;expiration period
				      172800	     ;minimum TTL
				     )
 
      pigeons.fr	172800 IN	NS	ns2.pigeons.fr
      pigeons.fr	172800 IN	NS	ns.heberge.com
      pigeons.fr	172800 IN	MX	0 smtp1.pigeons.fr
 
      For authoritative answers, see:
      pigeons.fr	172800 IN	NS	ns1.pigeons.fr
      pigeons.fr	172800 IN	NS	ns2.pigeons.fr
      pigeons.fr	172800 IN	NS	ns.heberge.fr
 
      Additional information:
      ns1.pigeons.fr	172800 IN	A	10.250.149.163
      ns2.pigeons.fr	172800 IN	A	10.250.149.165
      ns.heberge.fr	345225 IN	A	10.51.3.65
      smtp1.pigeons.fr	172800 IN	A	10.250.149.35

Désormais nous avons toutes les informations que nous pouvions recupérer facilement et à tous les coups. Explorons plus avant le domaine pigeons.fr en recherchant des informations sur les machines présentes sur le réseau :

Le transfert de zone renvoie toute la configuration du serveur DNS

  • host -l pigeons.fr ns1.pigeons.fr
      Using domain server:
      Name: ns1.pigeons.fr
      Address: 10.250.149.163
      Aliases:
 
      pigeons.fr name server ns1.pigeons.fr
      pigeons.fr name server ns2.pigeons.fr
      pigeons.fr name server ns.heberge.fr
 
      m01.pigeons.fr has address 10.51.23.226
      m02.pigeons.fr has address 10.51.23.227
      www2.pigeons.fr has address 10.51.23.247
      m03.pigeons.fr has address 10.51.23.228
      m04.pigeons.fr has address 10.51.23.229
      m05.pigeons.fr has address 10.51.23.230
      m10.pigeons.fr has address 10.51.23.238
      m09.pigeons.fr has address 10.51.23.237
      m12.pigeons.fr has address 10.250.149.162
      m13.pigeons.fr has address 10.250.149.163
 
      m14.pigeons.fr has address 10.250.149.165
      m16.pigeons.fr has address 10.51.23.251
      m39.pigeons.fr has address 10.51.23.249
      w3.pigeons.fr has address 10.101.154.68
      w5.pigeons.fr has address 10.101.154.67
      w7.pigeons.fr has address 10.101.154.73
      w8.pigeons.fr has address 10.101.154.77
      w9.pigeons.fr has address 10.101.154.79
      w5-private.pigeons.fr has address 10.101.154.70
      w3-ccc.pigeons.fr has address 10.101.154.72
      w3-bbb.pigeons.fr has address 10.101.154.71
      www.pigeons.fr has address 10.51.23.246

La chance est avec nous, une mauvaise configuration nous a permis de lister toutes les machines du domaine pigeons.fr. Dans le cas contraire, nous aurions refait la même opération sur les autres serveurs DNS car souvent le serveur principale est bien configuré contrairement aux autres.

  • D'autres tests sont intéressants quand le transfert de zone est impossible. Par exemple, nous pouvons regarder s'il est possible de récupérer l'adressage interne.
host -a 0.168.192.in-addr.arpa ns1.pigeon2.com
      Using domain server:
      Name: ns1.pigeons2.fr
      Address: 10.81.144.121
      Aliases:
 
      Trying null domain
      rcode = 0 (Success), ancount=4
      The following answer is not verified as authentic by the server:
      0.168.192.in-addr.arpa 3600 IN NS   server2.pigeons2.fr
      0.168.192.in-addr.arpa 3600 IN NS   server1.pigeons2.fr
      0.168.192.in-addr.arpa 3600 IN NS   echange.pigeons2.fr
      0.168.192.in-addr.arpa 3600 IN SOA  server1.pigeons2.fr root.pigeons2.fr(
					      585     ;serial (version)
					      900     ;refresh period
					      600     ;retry refresh this often
					      86400   ;expiration period
					      3600    ;minimum TTL
					     )
      Additional information:
      server2.pigeons2.fr       3600 IN A       192.168.0.1
 
      server1.pigeons2.fr       3600 IN A       192.168.0.2
      server1.pigeons2.fr       3600 IN A       10.81.144.121
      echange.pigeons2.fr       3600 IN A       192.168.0.3

Nous avons pris ici une autre cible puisque le transfert de zone précédent nous a montré aucune machine avec un adressage privé (192.168.0.1 par exemple). Nous voyons donc que la zone 0.168.192.in-addr.arpa est gérée par le serveur DNS ns1.pigeons2.fr. Il suffit donc de tester toutes les machines du réseau 192.168.0.*.

host 192.168.0.1 ns1.pigeons2.fr
1.0.168.192.IN-ADDR.ARPA        1200 IN PTR     server1.pigeons2.fr

Il ne reste plus qu'à créer un petit script (en Perl par exemple) qui répéte cette commande pour les adresses de 192.168.0.1 à 192.168.0.254.

  • Enfin, dans le cas d'un Bind uniquement, nous pouvons obtenir sa version, ce qui est très intéressant quand on connait le long passé de ce serveur en terme d'exploits à distance.
nslookup
      Default Server:  ns1.pigeons.fr
      Address:  10.250.149.163
 
      > set class=chaos
      > set query=txt
      > version.bind
      Server:  ns1.pigeons.fr
      Address:  10.250.149.163
 
      VERSION.BIND    text = "8.2.3-REL"

Nous obtenons bien la version de Bind, ce qui pourra nous permettre de trouver une éventuelle vulnérabilité sur cette version (un buffer overflow par exemple).

2.2.2 Utilisation de ping

Les requêtes indirectes (whois) et l'interrogation des DNS nous ont permis de récupérer des adresses IP et des classes d'adresses IP appartenant à la cible. En effectuant, un ping sur chacune de ces adresses IP, nous allons savoir lesquelles sont accessibles. Il faut néanmoins prendre en compte le fait que la présence d'un firewall peut empêcher la machine de répondre au ping. Le scan de port solutionnera se problème en détectant la présence de la machine dans le cas où elle a un port ouvert. Nmap effectue très bien cette tâche :

nmap -sP 10.51.23.* -n
Starting nmap V. 2.54BETA25 ( www.insecure.org/nmap/ )
Host  (10.51.23.226) appears to be up.
Host  (10.51.23.227) appears to be up.
Host  (10.51.23.228) appears to be up.
Host  (10.51.23.229) appears to be up.
Host  (10.51.23.230) appears to be up.
Host  (10.51.23.237) appears to be up.
Host  (10.51.23.238) appears to be up.
Host  (10.51.23.246) appears to be up.
Host  (10.51.23.247) appears to be up.
Host  (10.51.23.249) appears to be up.
Host  (10.51.23.251) appears to be up.
 
Nmap run completed -- 256 IP addresses (11 hosts up) scanned in 2 seconds

2.2.3 Utilisation de traceroute

Le but du jeu est d'obtenir l'adresse IP d'un routeur d'accès aux machines cibles. Pour cela, il suffit de faire un traceroute en direction d'une machine du réseau cible :

traceroute 10.51.23.251
traceroute 10.101.154.70
 
 1  10.0.0.1        1.612 ms  1.443 ms  1.532 ms
 2  10.18.23.5      5.790 ms  5.454 ms  5.536 ms
 3  10.20.20.1      5.605 ms  5.453 ms  5.338 ms
 4  10.51.15.1      6.805 ms  6.437 ms  6.552 ms
 5  10.51.192.7     7.783 ms  7.246 ms  7.329 ms
 6  10.51.173.65    7.402 ms  7.246 ms  7.732 ms
 7  10.51.159.33    7.582 ms  7.844 ms  7.935 ms
 8  10.51.23.1      8.202 ms  7.639 ms  7.909 ms
 9  10.51.23.251    7.807 ms  7.633 ms  7.733 ms

La machine juste avant la destination est un routeur.

2.2.4 Port Scan

Il existe une grande variétés de méthodes pour scanner, dont la description dépasse largement le cadre de cet article. Le principe général de toute méthode de scan est d'envoyer un paquet (TCP, UDP, ICMP...) sur la machine cible et de voir ce qui se passe. Selon la méthode employées, le testeur détermine l'état du port (ouvert, fermé, filtré).

Le but du scan est similaire à celui de l'éclaireur. Le testeur (ou le pirate) détermine ainsi le rôle des machines, les services accessibles, les protocoles supportés... A la fin de l'opération, les informations suivantes sont obtenues :

  • Les adresses IP des machines du réseau
  • La liste des services disponibles
  • La liste des différents protocoles supportés (TCP, UDP, ICMP...)
  • Pour un maximum de machines, l'état de chacun de ses ports.

Pour un administrateur, cette étape dévoile les accès à ses machines. Il doit également installer des outils lui permettant de détecter les scans qu'il n'a pas lui-même dilligentés (iplog ou portsentry par exemple).

Il existe différentes solutions pour échapper à ce genre de détecteurs, en spoofant des adresses IP ou en distribuant le scan depuis plusieurs machines.

Par exemple, lorsque l'adresse source du paquet est spoofée, la machine de test reste inconnue de la machine cible, bien que celle-ci sache alors qu'elle a été scannée :

  • kelly (192.168.1.3) la machine de tests
  • bosley (192.168.1.2) une machine calme (i.e. qui ne génére pas beaucoup de trafic)
  • charly (192.168.1.1) la machine cible.

Pour détecter si un port TCP laisse passer les paquets, kelly envoie régulièrement des paquets à bosley. Si bosley génère peu de trafic sur le réseau, le champs id de ses paquets varie peu. Dans le même temps, kelly envoie à charly des paquets TCP avec le drapeau SYN activé (comme pour une demande de connexion normale), mais en mettant comme adresse source celle de bosley. Ainsi, charly répond à bosley avec des paquets SYN-ACK si le port est ouvert. bosley, qui n'a rien demandé, envoie un paquet RST à charly pour couper la connexion. Du coup, le champs id augmente puisque deux paquets sont émis (le RST et la réponse à kelly :

hping -r bosley
46 bytes from 192.168.1.2: flags=RA seq=1 ttl=255 id=+1 win=0 rtt=0.3 ms
46 bytes from 192.168.1.2: flags=RA seq=2 ttl=255 id=+1 win=0 rtt=0.3 ms
46 bytes from 192.168.1.2: flags=RA seq=3 ttl=255 id=+1 win=0 rtt=0.4 ms
46 bytes from 192.168.1.2: flags=RA seq=4 ttl=255 id=+1 win=0 rtt=0.3 ms
 
46 bytes from 192.168.1.2: flags=RA seq=5 ttl=255 id=+2 win=0 rtt=0.4 ms
46 bytes from 192.168.1.2: flags=RA seq=6 ttl=255 id=+2 win=0 rtt=0.4 ms
46 bytes from 192.168.1.2: flags=RA seq=7 ttl=255 id=+3 win=0 rtt=0.3 ms
46 bytes from 192.168.1.2: flags=RA seq=8 ttl=255 id=+2 win=0 rtt=0.4 ms
46 bytes from 192.168.1.2: flags=RA seq=9 ttl=255 id=+2 win=0 rtt=0.3 ms
 
46 bytes from 192.168.1.2: flags=RA seq=10 ttl=255 id=+1 win=0 rtt=0.4 ms
46 bytes from 192.168.1.2: flags=RA seq=11 ttl=255 id=+1 win=0 rtt=0.4 ms

Simultanément depuis un autre terminal :

hping -a bosley -p 22 -S charly
eth0 default routing interface selected (according to /proc)
HPING charly (eth0 192.168.1.1): S set, 40 headers + 0 data bytes
 
--- charly hping statistic ---
6 packets tramitted, 0 packets received, 100% packet loss

Il est normal que kelly ne recoive aucune réponse de charly puisqu'elles sont envoyées à bosley.

Au contraire, lorsque le port cible n'est pas ouvert, charly n'émet aucun paquet. Le champs id ne varie alors pas :

hping -r bosley
..
46 bytes from 192.168.1.2: flags=RA seq=61 ttl=255 id=+1 win=0 rtt=0.3 ms
46 bytes from 192.168.1.2: flags=RA seq=62 ttl=255 id=+1 win=0 rtt=0.3 ms
46 bytes from 192.168.1.2: flags=RA seq=63 ttl=255 id=+1 win=0 rtt=0.4 ms
46 bytes from 192.168.1.2: flags=RA seq=64 ttl=255 id=+1 win=0 rtt=0.3 ms
..

Le port cible (hping -a bosley -p 80 -S charly) est donc fermé. Les logs de charly contiennent une tentative de connexion provenant de bosley.

Pour induire un scan en erreur, il est également possible de laisser tourner un pot de miel (honney pot). Ceci ressemble à un serveur, a le goût d'un serveur, mais ce n'est pas un vrai serveur :

/* fake.c : just a socket bound to a port */
#include <stdlib.h>
#include <netinet/in.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <stdio.h>
#include <unistd.h>
 
main(int argc,char *argv[]) {
 
  int port;                 //port number
  struct sockaddr_in sock;  //the socket for the server
  int sd;                   //socket descriptor
 
  if (argc!=2) exit(EXIT_FAILURE);
  port = htons(atoi(argv[1]));
 
  if ( (sd = socket(AF_INET, SOCK_STREAM, 0)) == -1) {
    perror("No socket");
    exit(EXIT_FAILURE);
  }
 
  sock.sin_family = AF_INET;
  sock.sin_port = port;
 
  sock.sin_addr.s_addr = INADDR_ANY;
  if (bind(sd, (struct sockaddr*)&sock, sizeof(struct sockaddr)) == -1) {
    perror("can't bind");
    exit(EXIT_FAILURE);
  }
 
  /* Let's go for LISTEN mode */
  if (listen(sd, 2) == -1) {
    perror("Bad listen");
    exit(EXIT_FAILURE);
  }
 
  while(1) sleep(1);
}

Il suffit alors de le mettre sur le port de son choix :

gcc -o fake fake.c
./fake 21 &
[2] 3373
lsof -ni | grep fake
fake    3373   root    3u  IPv4 201230       TCP *:ftp (LISTEN)
nmap charly          
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on charly (192.168.1.1):
(The 1538 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp                     
22/tcp     open        ssh                     
6000/tcp   open        X11

Nous lançons notre serveur fake sur le port 21 (ftp). lsof nous révèle bien qu'un serveur écoute sur ce port 21. Toutefois, nmap (scanner de port) se laisse abuser car il tente juste d'ouvrir une connexion sur le port 21. Comme il réussit, il croit que c'est bien un serveur ftp. L'illusion fonctionne avec ce type de scanners réseau car ils ne cherchent pas réellement à se connecter. Toute connexion plus approfondie révèlera la supercherie, à moins d'affiner le faux serveur (par exemple en ajoutant les bannières pour simuler le service désiré). Signalons enfin que la commande nc (netcat) produit un résultat similaire (nc -l -p 21 pour écouter sur le port 21).

Ce genre de défense s'appelle pot de miel. Les projets honeynets et honneypots mettent en place des réseaux, ou des machines, destinés à attirer les pirates pour apprendre leurs techniques.

Scanner une machine se résumé toujours à envoyer un paquet de la machine de tests à la machine cible, indépendamment de la méthode employée. Selon les moyens de la machine cible (i.e. la sécurité attendue sur celle-ci), une tentative avec 2 paquets par jour suffit pour détecter le scan. Il faut alors de gros disques et enregistrer tous les paquets qui arrivent sur la machine pour analyser ces données sur plusieurs jours afin de reconstituer le scan.

2.2.5 OS Fingerprinting

Grâce au scan du réseau cible, nous connaissons maintenant les machines actives. Nous affinons notre connaissance en déterminant leur système d'exploitation. Cette connaissance nous permettra, lorsque nous aurons également déterminé la version des daemons qui attendent sur les ports de la machine cible, de rechercher les exploits nécessaires à nos tests d'intrusion.

Chaque OS possède sa propre conception de la gestion des protocoles réseaux. D'une part, certains champs sont laissés à la charge de l'OS (TTL, ToS, Win, DF...). D'autre part, même si les RFC définissent l'essentiel, elles ne sont pas toujours scrupuleusement respectées. De plus, si elles interdisent bien certaines configurations de paquets, elles ne précisent toutefois pas comment y répondre. Par exemple, que faire d'un paquet qui contient le flag 64, non défini ? A Chacun a sa solution.

Valeurs par défaut dans les paquets :

En récupérant des paquets émis par la cible, nous découvrons la valeur de paramètres :

  • le champs TTL (time to live) des paquets sortants ;
  • la taille de la fenêtre (window) ;
  • le bit DF (Don't Fragment) ;
  • le champs TOS (Type Of Service).
  • ...

Selon les OS, tous ces paramètres changent. Une base de données contenant leur valeur par défaut facilite alors l'identification. Il suffit ainsi d'envoyer des paquets différents pour tester les réponses puis de comparer ces dernières à une base de signatures pour identifier l'OS.

Par exemple, le champs id permet de distinguer facilement les linux 2.2.x des 2.4.x (la commande hping -1 -c 3 émet 3 paquets de type 1 i.e. ICMP) :

uname -a
Linux charly 2.4.4 #4 Wed May 23 10:18:08 CEST 2001 i686 unknown
hping -1 -c 3 charly
28 bytes from 192.168.1.1: icmp_seq=0 ttl=255 id=0 rtt=0.4 ms
28 bytes from 192.168.1.1: icmp_seq=1 ttl=255 id=0 rt
t=0.3 ms
28 bytes from 192.168.1.1: icmp_seq=2 ttl=255 id=0 rtt=0.3 ms
uname -a
Linux kelly 2.2.19ow1 #2 Mon May 21 12:29:48 CEST 2001 i686 unknown
hping -1 -c 3 kelly
28 bytes from 128.93.24.10: icmp_seq=0 ttl=255 id=4901 rtt=0.3 ms
28 bytes from 128.93.24.10: icmp_seq=1 ttl=255 id=4903 rtt=0.2 ms
28 bytes from 128.93.24.10: icmp_seq=2 ttl=255 id=4906 rtt=0.2 ms

La pile TCP/IP

Cependant, cette méthode n'est pas très fiable car les OS permettent souvent de modifier certaines de ces valeurs (avec sysctl sous Linux ou dans la base de registres pour Windows).

Une méthode plus performante consiste à analyser les réponses de l'OS cible face à certains paquets : le testeur connait alors le comportement de la pile TCP/IP de la cible, ce qui est suffisant pour identifier l'OS si les t ests sont bien choisis.

nmap (encore et toujours ;) utilise exactement cette démarche lorsque l'option -O (OS identification) est activée. Une base de données contient les réponses types selon les OS. Ainsi, l'empreinte des noyaux Linux 2.4.0 - 2.4.5 correspond à :

Contributed by  root(at)dexter.dynu.com
Fingerprint Linux Kernel 2.4.0 - 2.4.5 (X86)
TSeq(Class=RI%gcd=<6%SI=<2983C7E&>3DAF6%IPID=Z%TS=100HZ)
T1(DF=Y%W=16A0|7FFF%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=Y%DF=Y%W=16A0|7FFF%ACK=S++%Flags=AS%Ops=MNNTNW)
T4(DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(DF=Y|N%TOS=C0|0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E|F%ULEN=134%DAT=E)

Les tests en eux-mêmes sont décrits par les lignes Ti. La lecture de l'article de Fyodor paru dans phrack vous les détaillera (phrack 54, fichier 9/12). Toutefois, dévoilons succinctement la signification de chacun :

  • TSeq : décrit la nature de l'incrémentation des numéros de séquence
  • T1 : paquet TCP avec le flag SYN|64 (comme 64 ne correspond à aucune valeur de flag, le paquet est "syn-bogué") vers un port ouvert
  • T2 : paquet TCP NULL, i.e. ne contenant aucune option ni aucun flag, vers un port ouvert
  • T3 : paquet TCP avec les flags SYN|FIN|URG|PSH vers un port ouvert
  • T4 : paquet TCP avec le flag ACK vers un port ouvert
  • T5 : paquet TCP avec le flag SYN vers un port fermé
  • T6 : paquet TCP avec le flag ACK vers un port fermé
  • T7 : paquet TCP avec le flag FIN|PSH|URG vers un port fermé
  • PU : paquet UDP envoyé à un port fermé afin de récupérer un paquet ICMP "port unreachable".

S'il est souvent possible de modifier les valeurs de certains paramètres, modifier le comportement complet de la pile est autrement difficile, voire impossible avec certains OS dont les sources ne sont pas disponibles.

2.2.6 Bannières

L'objectif est simple : connaître la version de l'application utilisé pour un service spécifique. La plupart du temps, un simple telnet sur le port désiré nous donne le renseignement. Signalons les quelques services qui ne délivrent pas cette information : finger (port 79), exec (port 512), login (port 513), printer (port 515).

Il existe également un article sur ce wiki : Banières : Cacher les banières de ses applications (Service banner faking)

  • FTP (port 21) :

Souvent la version est dévoilée dès le login :

telnet ftp.pigeons.fr
      Trying 192.168.14.35...
      Connected to ftp.pigeons.fr
      Escape character is '^]'.
      220 ProFTPD 1.2.0pre9 Server (ProFTPD) [ftp1-1.pigeons.fr

Cependant, certains serveurs autorisent la dissimulation de la bannière. La commande STAT peut nous sauver :

telnet ftp.pigeons2.fr 21
      Trying 192.168.96.24...
      Connected to ftp.pigeons2.fr.
      Escape character is '^]'.
      220 ftp.pigeons2.fr FTP server ready.
      USER ftp
      331 Guest login ok, send your complete e-mail address as password.
      PASS raynal(at)home.net
      230 Guest login ok, access restrictions apply.
      STAT
      211-ftp.pigeons2.fr FTP server status:
         Version wu-2.6.1(1) Fri Feb 16 19:32:14 CET 2001
         Connected to bosley (192.168.1.2)
         Logged in anonymously
         TYPE: ASCII, FORM: Nonprint; STRUcture: File; transfer MODE: Stream
         No data connection
         0 data bytes received in 0 files
         0 data bytes transmitted in 0 files
         0 data bytes total in 0 files
         144 traffic bytes received in 0 transfers
         2502 traffic bytes transmitted in 0 transfers
         2696 traffic bytes total in 0 transfers
      211 End of status
  • telnet (port 23):

Avant même que la connexion soit validée par le mot de passe, le serveur renvoie les informations recherchées :

telnet 192.168.1.1
      Trying 192.168.1.1...
      Connected to charly (192.168.1.1).
      Escape character is '^]'.
 
      Red Hat Linux release 7.1 (Seawolf)
      Kernel 2.4.4 on an i686

Si vous tenez vraiment à utiliser telnet, l'option -h ne les affichera qu'une fois le client authentifié.

  • DNS (port 53) :

Nous avons vu qu'il était assez simple de récupérer la version d'un serveur DNS. Il est cependant possible de fausser cette information en modifiant le champs options dans /etc/named.conf :

      # /etc/named.conf
      ...
      options {
                 directory "/var/named";
                 version "What are you doing, dude !";
              };
  • HTTP (port 80) :

La commande HEAD ne renvoie que les méta-informations constituant l'en-tête HTTP :

telnet minimum 80
      Trying 192.168.1.1...
      Connected to charly (192.168.1.1).
      Escape character is '^]'.
      HEAD / HTTP/1.0
 
      HTTP/1.1 200 OK
      Date: Mon, 11 Jun 2001 19:28:57 GMT
      Server: Apache/1.3.19 (Unix)  (Red-Hat/Linux)
      mod_ssl/2.8.1 OpenSSL/0.9.6 DAV/1.0.2 PHP/4.0.4pl1 mod_perl/1.24_01
 
      Last-Modified: Thu, 29 Mar 2001 17:53:01 GMT
      ETag: "731a-b4a-3ac3767d"
      Accept-Ranges: bytes
      Content-Length: 78208
      Connection: close
      Content-Type: text/html
 
      Connection closed by foreign host.

L'ajout de la ligne ServerToken Prod limite l'information au nom du serveur, i.e. Apache.

  • portmap (port 111) et les RPCs :

Comme nous le détaillons dans la suite de cet article, la commande rpcinfo fournit toutes les versions des services RPCs qui tournent sur la cible.

  • identd (port 113) :

Certaines versions supportent une extension à la RFC 1413 : la commande VERSION :

telnet charly 113
      Connected to charly...
      VERSION
      0 , 0 : X-VERSION : pidentd 3.0.10 for Linux 2.2.5-22smp (Jul 20 2000 15:09:20)

Les serveurs qui supportent cette commande dispose également souvent d'une option pour la désactiver.

2.2.7 Informations relatives à des protocoles spécifiques

Nous savons maintenant ce qui tourne précisément sur chacun des systèmes (OS, serveurs, version des serveurs...). Nous continuons notre quête de renseignements car de nombreux serveurs en dévoilent encore beaucoup sur le réseau et ses utilisateurs :

  • finger fournit des informations sur les utilisateurs du système :
finger (at)charly
      Login     Name              Tty     Idle  Login Time   Office  Office Phone
      detoisien Eric Detoisien    pts/7     3d  Jun  5 09:47 (jil)
      detoisien Eric Detoisien   *pts/10  160d  Jun  5 11:08 (kelly)
      raynal    Frederic Raynal   tty1     10d  May 31 09:57  
      raynal    Frederic Raynal   pts/1     3d  Jun  5 09:26 (:0)
      raynal    Frederic Raynal   pts/3     3d  May 31 09:58 (:0)
      raynal    Frederic Raynal   pts/11    3d  May 31 11:52 (:0)
      raynal    Frederic Raynal   pts/7     3d  Jun  6 12:08 (:0)
      raynal    Frederic Raynal   pts/2         Jun 10 09:35 (bosley)
      root      root              pts/4     5d  May 31 09:58

En outre, il est possible d'enchaîner les requêtes avec la notation finger raynal(at)hots1(at)host2.

  • Le serveur de mails : le protocole SMTP (RFC 821) définit les commandes VRFY et EXPN :
VERIFY (VRFY)

Cette commande demande au récepteur de confirmer que les arguments fournis désignent bien un utilisateur. S'il s'agit d'un nom d'utilisateur, le nom complet de ce dernier (s'il est connu du récepteur) ainsi que la boîte aux lettres totalement qualifiée doivent être renvoyés au requérant.

EXPAND (EXPN)

Cette commande demande au récepteur de confirmer si l'argument associé identifie une liste de diffusion, et, si c'est le cas, de renvoyer la liste des membres de cette liste. Le nom complet des utilisateurs (s'il est connu) et les adresses de boîtes-aux-lettres entiérement qualifiées seront renvoyées via une réponse multilignes.

Sur charly, nous obtenons les informations suivantes :

      vrfy root
      250 system PRIVILEGED account <root(at)charly.pigeons.fr>
      vrfy bin
      250 system librarian account <bin(at)charly.pigeons.fr>
      vrfy web
      250 Web Server manager <web(at)charly.pigeons.fr>
      vrfy ftp
      550 ftp... User unknown
      vrfy raynal
      250 Frederic Raynal <raynal(at)charly.pigeons.fr>
      expn pigeons
      050 pigeons... aliased to detoisien, pappy, raynal
      050 /home/detoisien/.forward: line 1: forwarding to detoisien(at)pigeons.fr
      050 /home/raynal/.forward: line 1: forwarding to \raynal(at)charly.pigeons.fr
      050 /home/raynal/.forward: line 2: forwarding to frederic.raynal(at)linuxmag.fr
 
      250-Eric Detoisien <detoisien(at)pigeons.fr>
      250-Frederic Raynal <pappy(at)charly.pigeons.fr>
      250-Frederic Raynal <\raynal(at)charly.pigeons.fr>
      250-Frederic Raynal <frederic.raynal(at)linuxmag.fr>

La plupart des serveurs SMTP permettent maintenant de les désactiver, ce qui est donc recommandé ;)

  • identd (anciennement appelé auth, port 113 - RFC 1413) fournit des informations sur l'identité des utilisateurs du système. Il dévoile le détenteur d'une connexion, ce qui nécessite de connaître les ports cible et destination. Pour le port cible, comme nous sommes sur notre machine, la commande netstat -A inet nous le révéle. Quant au port destination, nous avons déjà scann? la machine cible ! Il ne nous reste plus qu'à nous connecter à chacun des ports ouverts puis à demander à identd qui est en charge de cette connexion.

Le résultat du scan de bosley est le suivant :

      7/tcp      open        echo                    
      22/tcp     open        ssh                     
      80/tcp     open        http                    
      113/tcp    open        auth                    
      664/tcp    open        unknown                 
      1024/tcp   open        kdm                     
      1025/tcp   open        listen                  
      6000/tcp   open        X11

Nous initialisons une connexion sur le port 113 de bosley. Puis, pour chacun des ports ouverts, nous nous connectons avec un simple client telnet (telnet bosley 664). Nous demandons alors à identd de nous donner les informations voulues (la syntaxe des requêtes est <port-sur-serveur>,<port-sur-client>) :

telnet bosley 113
      Trying 192.168.1.2...
      Connected to bosley.
      Escape character is '^]'.
      7,32924
      7 , 32924 : USERID : OTHER :root
      22,32927
      22 , 32927 : USERID : OTHER :root
      80,32928
      80 , 32928 : ERROR : UNKNOWN-ERROR
      113, 32926
      113 , 32926 : USERID : OTHER :nobody
      664,32930
      664 , 32930 : USERID : OTHER :root
      1024,32931
      1024 , 32931 : USERID : OTHER :rpcuser
      1025,32932
      1025 , 32932 : USERID : OTHER :root
      6000,32933
      6000 , 32933 : USERID : OTHER :root
      Connection closed by foreign host.

Nous voyons ici quelques limites à nmap. Tout d'abord, l'erreur obtenue sur le port 80 signifie qu'en fait il n'y a pas de serveur web sur bosley . Ensuite, le kdm qui tourne avec l'identité rpcuser laisse plutôt penser qu'il s'agit en fait d'un programme RPC.

Regardez attentivement les indications de configuration de votre daemon. Il est souvent possible de remplacer le nom de l'utilisateur par son UID, mais d'une manière générale, mieux vaut désactiver ce serveur.

  • portmap (sunrpc port 111) est le serveur essentiel au bon fonctionnement des services qui reposent sur les RPCs (NIS, NFS, rusers, rstat...). La commande rpcinfo révéle ce qui tourne sur une machine :
rpcinfo -p bosley
      program vers proto   port
      100000    2   tcp    111  portmapper
      100000    2   udp    111  portmapper
      100007    2   udp    661  ypbind
      100007    1   udp    661  ypbind
      100007    2   tcp    664  ypbind
      100007    1   tcp    664  ypbind
      100024    1   udp   1024  status
      100024    1   tcp   1024  status
      100011    1   udp    855  rquotad
      100011    2   udp    855  rquotad
      100005    1   udp   1025  mountd
      100005    1   tcp   1025  mountd
      100005    2   udp   1025  mountd
      100005    2   tcp   1025  mountd
      100003    2   udp   2049  nfs
      100003    3   udp   2049  nfs
      100021    1   udp   1026  nlockmgr
      100021    3   udp   1026  nlockmgr
      100021    4   udp   1026  nlockmgr
      390113    1   tcp   7937

rpcinfo se connecte au port 111 de la machine cible et lui demande ce qui fonctionne dessus. portmap n'a pas prévu de mécanismes de contrôle. Il est donc conseillé de bloquer l'accès à ce serveur via le pare-feu et le tcp-wrapper. Dans ce cas, toutes les requêtes fondées sur les RPC (comme les 2 suivantes) échoueront.

Cependant, l'authentification de RPCs repose sur l'adresse IP du client. Sur un réseau local, il est très facile d'usurper une adresse et d'accéder ainsi à tous les services RPCs disponibles.

  • Un serveur NIS contrôle les clients autorisés à l'interroger par un mécanisme appelé securenets. Par défaut, tout le monde peut se connecter au serveur. N'importe quelle machine peut alors se déclarer client de telle base NIS. Une fois connu le nom de la base NIS (il s'agit souvent du m?me nom que le serveur), nous déclarons notre machine de tests (kelly - 192.168.1.3) comme cliente du serveur NIS (charly - 192.168.1.1) :
cat /etc/yp.conf
domain charly server charly
ypwhich        #quel est mon serveur NIS ?
charly        #bingo, il répond ;)
ypcat -k passwd.byname
      ...
      fguest fguest:B4wLh7jxO1eZA:5555:5555:Compte temporaire:/home/fguest:/bin/bash
      raynal raynal:YP5.ojuxdA/6.:10943:21196:Frederic Raynal:/home/raynal:/bin/bash
      ...
      [raynal(at)kelly intrusion]$ ypcat -k netgroup
      angels (charly,,) (bosley,,) (kelly,,) (jil,,) (sabrina,,)
  • Lorsque la machine cible exporte des répertoires par NFS, il est parfois possible de les connaître en utilisant la commande showmount :
showmount -e charly
      /var/spool/mail  angels
      /home/web/www    (everyone)
      /home            angels
      /opt/download    jil

Nous retrouvons ici le netgroup angels découvert précédemment dans la base NIS. Les répertoires exportés à tout le monde (signalés par (everyone)) sont alors accessibles sur la machine tests par mount -t nfs <cible>:<répertoire> /mnt/cible.

  • Toujours parmi les RPC, voici quelques serveurs moins courants :

- ruserd révèle les utilisateurs connectés sur une machine :

rusers -l charly
      	    raynal   charly:tty1 Jun 16 18:11      :51 
      	    raynal   charly:pts/ Jun 16 18:11          (:0)
      	    raynal   charly:pts/ Jun 16 18:11      :19 (:0)
      	    raynal   charly:pts/ Jun 16 18:11      :06 (:0)
      	    raynal   charly:pts/ Jun 16 18:11      :20 (:0)
      	    raynal   charly:pts/ Jun 16 18:59      :03 (bosley)

On apprend ainsi les dates de connexion et leur provenance.

- rstatd génère des statistiques sur le système, lues par la commande rup :

rup -d charly
charly      19:15pm up      1:05,  load average: 0.09 0.14 0.13

2.2.8 Envoie de mail

L'en-tête d'un mail fourmille d'informations pertinentes comme la version du serveur smtp utilisé voir l'adressage interne. Nous obtenons le chemin emprunté par le mail.

Received: from smtp1.pigeons.fr ([xxx.xxx.xxx.xxx])
	  by front.testeur.fr (8.9.3/No_Relay+No_Spam_MGC990224) with ESMTP id OAA00632
	  for <detoisien(at)testeur.fr>; Wed, 18 Apr 2001 14:18:11 +0200 (MET DST)
Received: from bpigeon ([10.33.11.153]) by smtp1.pigeons.fr
          (Netscape Messaging Server 3.6)  with SMTP id AAA3A01
          for <detoisien(at)testeur.fr>; Wed, 18 Apr 2001 14:14:50 +0200
Message-ID: <004401c0c801$319eff40$990b210a(at)sit.fr>
From: "Bernard Pigeon" bernard.pigeon(at)pigeons.fr
To: detoisien(at)testeur.fr
Subject: Test 
Date: Wed, 18 Apr 2001 14:15:01 +0200
MIME-Version: 1.0
Content-Type: text/plain;
	charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2919.6600
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6600

Nous récupérons le nom et l'adresse d'une machine interne, la version du serveur SMTP ainsi que la version du client SMTP utilisé. Il est fréquent d'envoyer un mail à une adresse inexistante. Ainsi, le serveur SMTP de la cible renvoie automatiquement une réponse avec la plupart des informations.

2.2.9 Scan CGI

L'installation par défaut d'un serveur Web et/ou une mauvaise configuration font que de nombreux scripts peuvent être présent sur un serveur Web. Un nombre important de ces scripts sont la source de failles. Un scanner de CGI permet de tester la présence de ces scripts sur un serveur cible. Le pirate pourra ainsi les utiliser pour attaquer la machine cible. Le scanner le plus connu est whisker.

perl whisker.pl -h www.pigeons.fr -i
-- whisker / v1.3.0a / rain forest puppy / ADM / wiretrip --
 
= - = - = - = - = - =
= Host: www.pigeons.fr
- Directory index: /
 
= Server: Microsoft-IIS/4.0
 
- Appending ::, %2E, or 0x81 to URLs may give script source
- Requesting a bogus .pl may give physical path like .idc bug does
- if perl is installed
- Security settings on directories can be bypassed if you use 8.3
- Warning: Syntax Error: names
- http://www.securityfocus.com/templates/archive.pike?list=1
- &date=1999-08-15&msg=37B5D87E.D6600553(at)urban-a.net
- Content-Location: http://10.51.23.246/cfdocs/index.htm
 
+ 200 OK: GET /cfdocs/cfmlsyntaxcheck.cfm
 
+ 200 OK: GET /cfide/Administrator/startstop.html
- can start/stop the server...w00h00
 
+ 200 OK: HEAD /iisadmpwd/aexp4b.htr
- gives domain/system name
 
+ 200 OK: HEAD /msadc/msadcs.dll
- RDS.  See RDS advisory, RDP9902
- Need I remind you, do not abuse, kids?

Nous avons une liste de scripts potentiellement vulnérables qui pourront exploités ultérieurement.

2.2.10 War Dialing

Le War Dialing est une technique un peu à part. En effet, cela consiste à scanner tout un ensemble de numéros de téléphone.

Un logiciel (Toneloc, THC-Scan...) appelle chacun des numéros de téléphone et détecte s'il s'agit d'une VMB (Voice Mail Box), d'un fax, d'une personne, d'un type de sonnerie (occupé, pas de réponse...) ou d'une porteuse c'est à dire un modem (ou plus généralement un Remote Access) qui répond. L'attaque suivant cette découverte se focalise sur la découverte d'un login/password permettant d'accéder à la machine derrière le modem.

3 L'utilisation des informations

Après avoir récupéré tous ces renseignements sur le système d'information cible, nous pouvons planifier la suite du test d'intrusion.

3.1 La recherche de vulnérabilités

Cette étape utilise directement les données précédentes. L'objectif de la phase d'analyse est de trouver les vulnérabilités au niveau du réseau, des systèmes, et des applications de la cible. Ces failles se trouvent dans des bases publiques (comme bugtraq qui est la liste la plus connue) et sur des sites de groupe de pirates. Cette recherche aboutit à l'établissement d'une liste des vulnérabilités utilisables contre les machines de la cible.

Dans le cas où de nombreuses machines sont à tester, nous pouvons utiliser un scanner de vulnérabilités (comme Nessus). Il s'agit d'un logiciel qui automatise la découverte de vulnérabilités. Celles-ci sont maintenues au sein d'une base qui peut être mise à jour on-line. Ce type d'application est très utile mais a ses limites. En effet, un tel scanner peut remonter de fausses alertes ou, à l'inverse, ne pas détecter certaines vulnérabilités. Il pourra, néanmoins, compléter notre liste de failles qui nous sert dans la dernière étape.

3.2 L'exploitation des vulnérabilités

Ces failles sont exploitées en utilisant des outils disponibles sur Internet ou développés pour l'occasion (en C ou en Perl la plupart du temps). Cette dernière phase pourra aboutir à la compromission d'une machine. L'exploitation est très spécifique et dépend évidemment des vulnérabilités découvertes.

4 Conclusion

Cet article s'est focalisé sur la recherche d'informations sur la cible dans l'objectif d'un test d'intrusion externe (via Internet). Cette phase d'approche est sensiblement la même à chaque test contrairement à l'attaque en elle-même. En ce qui concerne les tests d'intrusion internes, la méthodologie reste identique mais le nombre de vulnérabilités est souvent plus important et les techniques d'attaque plus nombreuses.