Você está na página 1de 5

A constante busca e distribuio

CLUBE DO HACKER do conhecimento nossa meta!

Nmap
Como o Nmap um scanner de redes de domnio publico, vamos apenas
colocar aqui alguns comandos e explicaes resumidas de como voc deve
fazer para utiliza-lo.

1 - Encontre servidores web aleatoriamente "4096"


#nmap-sS-PS80 -iR0 -p80
utilize a opo --exclude
ou excludefile

2 - Macetes do dns
host -t nstarget.com
host -t a target.com
host -t aaatarget.com
host -t mx target.com
host -t soa target.com

>Resoluo dns:
transferncia de zona com a ferramenta dig.
exemplo: dig@ns2.eppi.com -t AXFR cpsr.org
traceroutecom nmap
nmap-PN -T4 --traceroutewww.clubedohacker.com.br
usando o whoispara encontrar o dono de um domnio.
whois189.59.249.70
Funcionalidades da netcraftsobre dns
http://searchdns.netcraft.com/?host

2 - Informaes de roteamentoda internet.


-o protocolo de rotementocentral da internet o border gateway
protocol"BGP".
Quando do exame de organizaes de mdio a grande porte, as tabelas de
roteamento de BGP podem lhe ajudar a encontrar suas sub-redes IP em todo o
mundo. Por exemplo, suponha que voc quer examinar os endereos IP
pertencentes a Microsoft Corporation.
Uma busca de DNS por microsoft.com fornece o endereo IP 207.46.196.115.
Uma consulta whoismostra que todo bloco 207.46.0.0/16 pertence a Microsoft,
em seu endereo, "OneMicrosoft Way", em Redmond.
Isto lhe d 65.536 endereos IP para examinar,mas as tabelas de BGP
expem muito mais.
Entidades como Microsoft, Google etc. tm nmeros de sistemas autnomos
(AS, na sigla em ingls) para fins de roteamento.
Uma ferramenta til para a determinao do nmero de AS divulgado para um
dado endereo IP est disponvel em http://asn.cymru.com
A constante busca e distribuio
CLUBE DO HACKER do conhecimento nossa meta!

Se voc deseja encontrar todos endereos IP que so roteados para um


determinado AS.
Uma ferramenta til est disponvel em http://www.robtex.com/as experimente
digitando AS8075 Embora a obteno de informaes de BGP a partir de
formulrios web seja bastante conveniente, a obteno de dados de
roteamento a partir roteadores reais mais divertida e pode permitir consultas
personalizadas e mais poderosas.
Vrias organizaes fornece esse servio. Por exemplo, faa telnet para route-
views.routeviews.org ou visite http://routeviews.org

Resoluo DNS
-n = nenhuma resoluo DNS
-R = resoluo DNS para todos os alvos
-PN = examinar todos os IPs
-sP= descoberta apenas de hospedeiros
-sL= apenas exibir alvo e sair antes de enviar prova de ping
-iL= usar entrada de lista "um arquivo com lista de alvos"
exame de lista: -sL
O exame de lista uma forma degenerada de descoberta de hospedeiros que
simplesmente lista cada hospedeiro nas redes especificadas, sem enviar
qualquer pacote ao hospedeiro alvo.
Por padro o nmap ainda efetua e resoluo de DNS reverso nos hospedeiros
para descobrir os seus nomes.
O nmap tambm relata o nmero total de endereos IP no final.
Se os hospedeiros simularem nomes de domnio para que voc no
reconhea, valer a pena investigar mais a fundo para evitar o exame da rede
da companhia errada.
exemplo de comando para exame de lista: #nmap-
sLwww.clubedohacker.com.br

Exame por ping-sP


Essa opo diz ao nmap para realizar somente um exame por ping e depois
exibir os hospedeiros disponveis que responderem ao exame.
Nenhum outro teste ser realizado, com exceo de scripts de hospedeiro do
mecanismo de scripts do nmap "--script" e provas de traceroute"-
traceroute" se voc tiver especificado estas opes. exemplo: #nmap-sP-T4
www.clubedohacker.com.br/24
No exemplo acima enviamos uma solicitao de eco de ICMP e um pacote
TCP ACK para a porta 80, como usurios sem privilgios do unix e sem a
biblioteca winpcap instalada no
Windows no podem enviar esses pacotes crus, um pacote SYN enviado.
Nesses casos o pacote SYN enviado usando-se uma chamada de conexo
TCP do sistema porta 80 do hospedeiro alvo.

Tcnicas de descobertas de hospedeiros


Ouve um tempo em que a descoberta, se um endereo IP estava registrado
para um hospedeiro ativo, era fcil simplesmente se enviava um pacote ICMP
de requisio de eco "ping" e se esperava por uma resposta. Os firewalls
A constante busca e distribuio
CLUBE DO HACKER do conhecimento nossa meta!

raramente bloqueavam essas requisies e a vasta maioria de hospedeiros


respondiam de maneira obediente.
Uma tal resposta era exigida desde 1989 pela RFC 1122, que atestava
claramente que "Todo hospedeiro dever implementar uma funo servidora de
eco ICMP que receba solicitaes de eco e envie correspondente resposta de
eco.

Ex: #nmap-sP-PE -R -v microsoft.com citibank.com


google.com - Aqui usamos um exemplo de ICMP puro do nmap em 2 sites
famosos
As opes
-sP-PE especificam um exemplo de ping ICMP puro.
-R diz ao nmap para realizar a resoluo de DNS reverso em todos os
hospedeiros, mesmo os que estiverem fora do ar.
Ping por TCP SYN (-PS<lista de portas>)
a opo -PS envia um pacote TCP vazio, com o sinalizador SYN ligado.
A porta omissiva de destino a 80, mas pode ser configurada outra porta na
hora da compilao,
bastando pra isso mudar em DEFAULT_TCP_PROBE_PORT_SPEC em
nmap.h, mas portas alternativas tambm podem ser especificadas como
parmetro. por exemplo: -PS22,80,113,1050,35000 nos casos em que as
provas sero executadas em cada porta em paralelo.
O sinalizador SYN sugere ao sistema remoto que voc est tentando
estabelecer uma conexo.
Normalmente a porta de destino estar fechada e um pacote RST ser
enviado de volta.
Se a porta estiver aberta, o alvo dar o segundo passo de uma saudao TCP
de trs tempos, respondendo com um pacote TCP SYN/ACK.
A mquina que est rodando o nmap ento, corta a conexo iniciada,
respondendo com um RST, em vez de enviar pacote ACK que completaria a
saudao de trs tempos e estabelecer a conexo completa.
O Importante nisso tudo que o nmap no se preocupa se a porta est aberta
ou fechada. Qualquer das respostas, seja RST ou SYN/ACK confirmar para o
nmap que a mquina alvo est disponvel. ex: #nmap-sP-PE -R -v
microsoft.com citibank.com google.com

Ping por TCP ACK: -PA <lista de portas>


O ping por TCP ACK similar ao ping por SYN, a diferena que o sinalizador
de TCP ACK est ligado, no lugar do sinalizador SYN.
Um pacote ACK supe est reconhecendo dados atravs de uma conexo
TCP estabelecida, mas essa conexo no existe.
Assim a mquina alvo dever sempre responder com um pacote RST,
revelando sua existncia nesse processo.
A opo -PA usa a mesma porta padro que a porta SYN (80) mas tambm
pode receber uma lista de portas de destino, no mesmo formato. A razo para
se executar ambas as provas de ping por SYN e por ACK maximizar as
chances de ultrapassar os firewalls. Muitos administradores configuram
roteadores e firewalls simples para bloquear pacotes SYN que chegam, exceto
por aqueles destinados a servios pblicos, como web ou servidor de e-mail
A constante busca e distribuio
CLUBE DO HACKER do conhecimento nossa meta!

etc. Isto evita a chegada de outras conexes empresa, enquanto permite que
os usurios faam conexes de sada livremente com a internet. ex: nmap-sP-
PA www.microsoft.com
Esclarecemos que esse no um curso de nmap, por isso vamos explicar um
pouco mais e voltar para nosso escopo principal que o Metasploit, esses
comandos de nmap foram colocados aqui porque podem ser chamados de
dentro do Metasploit.

Mecanismo de scripts
--script = selecionar um script especifico.
-sC= habilita os scripts mais comuns

Os scripts NSE definem uma lista de categorias a que pertencem.


As categorias atualmente definidas so:
*auth= autenticao, Esses scripts tentam descobrir credenciais de
autenticao no sistema alvo, normalmente atravs de ataques de fora bruta.

*discovery= descoberta, Esses scripts tentam ativamente descobrir mais


informaes sobre a rede, consultando registros pblicos, dispositivos
habilitados ao SNMP, servios de diretrios.
@Ex: html-title que obtm o titulo do caminho na raiz de um website.
@Ex:O smb-enum-sharesque enumera compartilhamentos do windows.
@Ex: snmp-sysdescrque extrai detalhes do sistema atravs do SNMP.

*version = verso, Os scripts nessa categoria especial so uma extenso a


funcionalidade da deteco de verso e no podem ser selecionados
explicitamente. Eles so selecionados para execuo somente se a deteco
de verso (-sV) for solicitada.
A sada deles no podem ser distinguidas da sada de deteco de verso e
eles no produzem resultados de scripts de servios ou de hospedeiros.
@Ex: so o skypev-2-version, o pptp-versione o iax2-version.

*vuln= verso, Estes scripts checam vulnerabilidades especficas conhecidas


e, geralmente, s reportam resultados se elas forem encontradas.
@EX: realvnc-auth-bypasse o xampp-default-auth

*default = Esses scripts so o conjunto padro e so executados quando


usamos as opes sC ou -A, ao invs de listar os scripts com --script. Essa
categoria pode ser especificada explicitamente, como qualquer outra, usando-
se --script=default.

*external= externos, Os srcipts desta categoria podem enviar dados a bases


de dados de terceiros ou outros recursos de rede. Um bom exemplo o whois,
que faz uma conexo aos servidores de whois para descobrir informaes
sobre o endereo do alvo.
A constante busca e distribuio
CLUBE DO HACKER do conhecimento nossa meta!

*intrusive= intrusivos, Alguns scripts so muito intrusivos, porque usam


recursos significativos no sistema remoto, podendo at derrubar o sistema ou
servio. Normalmente so percebidos como ataque pelos administradores
remotos.

*malware= , Estes scripts testam se a plataforma est infectada por malwares


ou backdoors.
Exemplos incluem o smtp-strangeport, que observa servidores SMTP rodando
em nmeros de portas incomuns e o auth-spoof que detecta servidores de
simulao de identd que fornecem uma resposta falsa, antes mesmo de
receberem uma consulta. Ambos esses comportamentos so associados a
infeces de malwares.

*safe = seguros, Scripts que no foram projetados para derrubar servios,


usar grande quantidade de largura de banda da rede ou outros recursos, ou
explorar brechas de segurana so categorizados como safe. O objetivo da
maioria deles a descoberta geral de rede.
@Ex: ssh-hostkey que recupera uma chave de SSH e o html-title que
captura o titulo de uma pgina web.

Alguns Argumentos de Linha de Comando


-sC= habilita os scripts mais comuns
-sC= Realiza um exame por script usando o conjunto padro de scripts. e o
equivalente de
--script=default.
--script = selecionar um script especifico.
--script<categoria de script>|<diretrio>|<nome do aqruivo>|all
Roda o exame por script da mesma forma que sC s que usa a lista
separada por virgulas de categorias de script. Pode rodar script individual ou
diretrio de scripts.
--script-args, Fornece os argumentos para os scripts.
--script-updatedb, Atualiza a base de dados de scripts.

*auth-owners.nse, Tenta encontrar o proprietrio de uma determinada porta


TCP aberta, consultando um servidor de autenticao (identd-port113) que
dever tambm, est aberta no sistema alvo.
Existem muitos scripts e por isso ns temos um curso exclusivo para ao estudo
de nmap

Script com Nmap: msf > nmap -sT -A --script=smb-check-vulns -P0


192.168.33.130
msf > nmap -sT -A -P0 192.168.33.132