Inventaire * NIX

Inventaire * NIX
Donc, maintenant je voudrais aller à l'un des sujets les plus controversés dans l'inventaire. Controversé, car aucune information importante que vous ne peut pas collecter du tout, parce que nix basé sur TCP Sécurité - protocole IP (qui a travaillé pendant des années) avec peu ou pas d'innovation.
*** Je vais noter que Linux a plus d'innovations.
Par conséquent, si vous tomberez un système qui a été construit avec l'esprit, il n'y a rien d'utile que vous ne pouvez pas gagner, mais si quelqu'un de nouveau - alors décidé d'installer tout et plus encore, le ... système peut devenir très faible dans la défense.
Pour moi, la question de savoir comment écrire l'article correctement (!!!) est très aiguë. La raison est à nouveau que «dire trop» peut être presque tous les démons de réseau, mais je ne peux pas consacrer leur attention à la façon de «parler» Apache ou SendMail (ce qui peut être trouvé dans le plus restreindre les articles ou bagtakah, advisori et etc.). Par conséquent, je dois dire que le plus populaire et ce qui est susceptible de travailler. Par conséquent, cet article sera très court.
Pour commencer, je dirai ce qui est intéressant à lire des scans de ports, avant de lire.
Dans * systèmes nix ont un des sacs très populaires qui sont d'un intérêt certain pour nous. Par exemple, le service déjà notoire RPC (Remote Procedure Call), ainsi que NFS (système de fichiers réseau) et NIS (Network Information Service).
LET premier regard sur le RPC. Ce service nécessite des programmes qui communiquent sur le réseau. Surtout pour ce qui a été développé et RPC. Sur la base de ce protocole fonctionne programme rpcbind. Son but: être un médiateur entre le client et le port. Le programme attribue dynamiquement les ports aux clients. Pour l'inventaire RPC il Rpcinfo utilitaire qui fonctionne comme un doigt (discuté ci-dessous).
Eh bien, nous avons de nouveau confrontés au fait que nous avons besoin d'une liste des ports ouverts, comme nous avons besoin d'un port 111. Si nous savons que nous devons faire face à Sun, un port est 32771.
/ * Gardez à l'esprit que, dans la réalité, vous serez très probablement pas vu le même qu'il était dans mes articles précédents, qui ont été écrites en utilisant des machines qui fuient, qui sont encore sur le réseau. Maintenant, je modélisé une telle machine de votre réseau pour gagner du temps sur la recherche de machines qui fuient sur Internet. Par conséquent, dans les listes, vous verrez principalement ce qui est une vulnérabilité et ce que vous devez rechercher dans l'inventaire * /
---------------------------------------
#rpcinfo -p XX.XXX.XX.XXX
programme vers le port proto
100000 2 111 tcp rpcbind
100002 3 712 rusersd udp
100005 1 udp 635 mountd
100003 2 udp 2049 nfs
100004 2 tcp 778 ypserv
... ... ... ... ...
---------------------------------------
De cela, nous voyons que nous avons un rusersd démon (qui peut nous montrer plus de détails), ypserv (serveur de service NIS), le mountd, à partir de laquelle nous obtenons par showmount -e (discuté plus en détail ci-dessous). Vous pouvez voir s'il y a serveur rquotad: rpcinfo -t -n 111 100011
Dans le rquotad serveur RPC correspond au numéro 100.011.
Ainsi, nous pouvons facilement trouver ce qui est en cours d'exécution sur le système, ainsi que pour obtenir une sorte de complément d'information. Bien sûr, nous pourrions obtenir via un scan de port, mais! S'il vous plaît noter que nous voir et udp tcp, et le scanner faudrait analyser un autre udp.
Considérons maintenant NFS.
Ici, tout est assez simple. Si nous savons que nous (100003 2 udp 2049 nfs), nous entrons et voir des ballons
--------------------------------------
showmount -e XX.XXX.XX.XXX
liste d'exportation pour XX.XXX.XX.XXX
/ Pub (tout le monde)
/ Source (tout le monde)
/ Loc (tout le monde)
/ User Usr
--------------------------------------
Il est à noter qu'il est maintenant inclus dans la partie Linux de NFS Samba alternative! En cela résout défauts NFS, sont ajoutés à votre auto. Samba utilise le protocole SMB (Server Message Block), il est une sorte de point de contact * nix et Windows sur les fichiers partagés et les imprimantes.
Suivant une "friandise" appelé le NIS. Parfois, il me semble qu'il a été développé par notre gouvernement. L'idée est bonne, mais la mise en œuvre est tout gâché. Donc, son bon côté est qu'il est conçu pour supporter une base de données distribuée de l'information du réseau. Et maintenant ... la réalisation d'une demande de serveur RPC NIS simple, nous obtenons tout NIS de carte. La carte est un fichier qui contient des informations pour chaque nœud de domaine, jusqu'à ce que les mots de passe Sourire triste
Premièrement, nous devons trouver un nom de domaine. Vous pouvez utiliser pscan (couché partout). Il est la méthode de sélection nous fournira toutes les informations.
Nous avons une liste de fichiers et de leurs cartes correspondantes.
___________________________________________________________
/ Etc / hosts | hosts.byname, hosts.byaddr
/ etc / réseaux | networks.byname, networks.byaddr
/ Etc / passwd | passwd.byname, passwd.byuid
/ Etc / group | group.byname, group.bygid
/ etc / services | services.byname, services.bynumber
/ Etc / rpc | rpc.byname, rpc.bynumber
/ etc / protocoles | protocols.byname, protocols.bynumber
/ usr / lib / aliases | mail.aliases
-------------------------------------------------- ---------
À l'avenir et dire que l'ensemble du piratage pourrait finir ici ---> #ypx -o passwd.byname -g target.remote.com
D'autres mots de passe nourris une sorte de prog favori, que nous normalement leur forme actuelle, bien, supposons racine ne peut pas produire, mais quelques-uns des mots de passe, nous allons.
Imaginons que nous ayons une conjecture sur les noms des utilisateurs du système, ou nous voulons vérifier si un utilisateur particulier dans le système. Dans ce cas, nous vous aiderons à SMTP (protocole de transfert de courrier simple). Entre autres, il a deux commandes utiles:
// Dans config vous pouvez les désactiver
1. vrfy - confirme que le nom entré est disponible dans le système
2. expn - il montre l'adresse réelle de la remise des messages. Mais si nous avons affaire à une liste de diffusion (mailing list), le PHA sera eogo tous les membres de la liste.
exemple:
---------------------------------------
#telnet XX.XXX.XX.XXX 25
Essayer XX.XXX.XX.XXX ...
Connecté à XX.XXX.XX.XXX.
caractère d'échappement est '^]'.
220 mail.target.ru ESMTP Postfix
vrfy john
252 john
expn mike
250 mike
quitter
connexion de fermeture 221 mail.target.ru
----------------------------------------
Maintenant, très brièvement. Si nous avons vu qui a ouvert le port 79, puis nous avons affaire à un doigt. Il est un vieil outil, mais encore plus fréquent. Juste en fait, il byladeystvitelno besoin à l'aube de l'Internet, quand il n'a pas été si facile à utiliser. Finger servi à quelqu'un d'autre pourrait obtenir des informations sur les utilisateurs.
Il est préférable de regarder du tout l'exemple:
--------------------------------------------
#finger -l @ haha.lala.com

[Haha.lala.com]
Connexion: root
Répertoire: / root
Sur depuis Jeu Jan 28, 23:12 (HNP) le TTY1 2 minutes d'inactivité
(Messages off)
Sur depuis Jeu Jan 28, 23:12 (HNP) le ttyp1 12 minutes d'inactivité
1 poste
Régime:
Je suis racine
Mon téléphone num 555.555.55
--------------------------------------------
En général, il n'y a rien de spécial, mais nous pouvons voir ce que les utilisateurs sont, combien de temps ils sont inactifs. Par exemple, nous pouvons voir il y a maintenant garder un oeil sur le système Ruth, dans ce cas, je travaillais activement pour que la montée ne serait pas la peine.
En conclusion, je tiens à dire que pour chaque distribution, vous pouvez trouver leurs propres méthodes d'inventaire peuvent être un jour je rassemblerai toutes les informations possibles sur le sujet. Étalez comme suppléments à la "Inventaire RedHat". Ce qui a été décrit ci-dessus en quelque sorte aide à comprendre le système Unix d'inventaire et de ses clones. Vous pouvez trouver beaucoup de systèmes avec des violations similaires. Dans mon prochain article, je vais décrire comment utiliser le pare-feu à leur avantage. En tant que routeur. Par conséquent, le réseau va ouvrir beaucoup. Système Unix, Windows et d'autres complètement non protégés. Inventaire de chacun est séparément aussi très utile car elle ce sont des points d'intrusion de réseau. Ici et se souvint tout.