Phenquestions
Nmap
Network Mapper, couramment utilisé comme Nmap, est un outil gratuit et open source pour l'analyse du réseau et des ports. Il est également compétent dans de nombreuses autres techniques de collecte d'informations actives. Nmap est de loin l'outil de collecte d'informations le plus utilisé par les testeurs d'intrusion. C'est un outil basé sur la CLI, mais il a également une version basée sur l'interface graphique sur le marché nommée Zenmap. C'était autrefois un outil "Unix uniquement", mais il prend désormais en charge de nombreux autres systèmes d'exploitation tels que Windows, FreeBSD, OpenBSD, Sun Solaris et bien d'autres. Nmap est pré-installé dans les distributions de tests d'intrusion comme Kali Linux et Parrot OS. Il peut également être installé sur d'autres systèmes d'exploitation. Pour cela, cherchez Nmap ici.
Figure 1.1 vous montre une analyse et des résultats normaux. L'analyse a révélé les ports ouverts 902 et 8080. Figure 1.2 vous montre une analyse de service simple, qui indique quel service s'exécute sur le port. Figure 1.3 affiche une analyse de script par défaut. Ces scripts révèlent parfois des informations intéressantes qui peuvent être utilisées ultérieurement dans les parties latérales d'un pen-test. Pour plus d'options, tapez nmap dans le terminal, et il vous montrera la version, l'utilisation et toutes les autres options disponibles.
Fig. 1.1 : Analyse simple de Nmap
Fig. 1.2: service Nmap/analyse de version
Fig. 1.3: Analyse de script par défaut
Tcpdump
Tcpdump est un analyseur de paquets de réseau de données gratuit qui fonctionne sur l'interface CLI. Il permet aux utilisateurs de voir, lire ou capturer le trafic réseau transmis sur un réseau connecté à l'ordinateur. Initialement écrit en 1988 par quatre employés du Lawrence Berkely Laboratory Network Research Group, il a été organisé en 1999 par Michael Richardson et Bill Fenner, qui ont créé www.tcpdump.organisation. Il fonctionne sur tous les systèmes d'exploitation de type Unix (Linux, Solaris, tous les BSD, macOS, SunSolaris, etc.). La version Windows de Tcpdump s'appelle WinDump et utilise WinPcap, l'alternative Windows pour libpcap.
Pour installer tcpdump :
$ sudo apt-get install tcpdumpUsage:
# tcpdump [ Options ] [ expression ]Pour le détail des options :
$ tcpdump -hRequin filaire
Wireshark est un analyseur de trafic réseau extrêmement interactif. On peut vider et analyser les paquets au fur et à mesure qu'ils sont reçus. Développé à l'origine par Gerald Combs en 1998 sous le nom d'Ethereal, il a été renommé Wireshark en 2006 en raison de problèmes de marque. Wireshark propose également différents filtres afin que l'utilisateur puisse spécifier le type de trafic à afficher ou à vider pour une analyse ultérieure. Wireshark peut être téléchargé sur www.fil de fer.org/#télécharger. Il est disponible sur la plupart des systèmes d'exploitation courants (Windows, Linux, macOS) et est préinstallé dans la plupart des distributions de pénétration comme Kali Linux et Parrot OS.
Wireshark est un outil puissant et nécessite une bonne compréhension des réseaux de base. Il convertit le trafic dans un format que les humains peuvent facilement lire. Il peut aider les utilisateurs à résoudre les problèmes de latence, les paquets abandonnés ou même les tentatives de piratage contre votre organisation. De plus, il prend en charge jusqu'à deux mille protocoles réseau. On peut ne pas être en mesure de les utiliser tous car le trafic commun se compose de paquets UDP, TCP, DNS et ICMP.
Une carte
Application Mapper (également une carte), comme son nom l'indique, est un outil pour mapper des applications sur des ports ouverts sur un appareil. C'est un outil de nouvelle génération qui peut découvrir des applications et des processus même lorsqu'ils ne s'exécutent pas sur leurs ports conventionnels. Par exemple, si un serveur Web s'exécute sur le port 1337 au lieu du port standard 80, amap peut le découvrir. Amap est livré avec deux modules importants. D'abord, merde peut envoyer des données fictives aux ports pour générer une sorte de réponse du port cible, qui peut ensuite être utilisée pour une analyse plus approfondie. Deuxièmement, amap a le module de base, qui est le Mappeur d'applications (une carte).
Utilisation d'une carte :
$ amap -hamap v5.4 (c) 2011 par van Hauser
Syntaxe : amap [Modes [-A|-B|-P]] [Options] [TARGET PORT [port]… ]
Modes :
-A (Par défaut) Envoyer des déclencheurs et analyser les réponses (Applications cartographiques)
-B Saisissez UNIQUEMENT les bannières ; ne pas envoyer de déclencheurs
-P Un scanner de ports de connexion à part entière
Options :
-1 rapide! Envoyer des déclencheurs à un port jusqu'à la 1ère identification
-6 Utilisez IPv6 au lieu d'IPv4
-b Imprimer la bannière ASCII des réponses
-i FILE Fichier de sortie lisible par machine pour lire les ports depuis
-u Spécifiez les ports UDP sur la ligne de commande (par défaut : TCP)
-R Ne PAS identifier le service RPC
-H N'envoyez PAS de déclencheurs d'application potentiellement dangereux
-U NE PAS vider les réponses non reconnues
-d Vider toutes les réponses
-v Mode détaillé ; utiliser deux fois ou plus pour plus de verbosité
-q Ne signalez pas les ports fermés et ne les imprimez pas comme non identifiés
-o FICHIER [-m] Écrire la sortie dans le fichier FICHIER ; -m crée une sortie lisible par machine
-c CONSEffectuer des connexions parallèles (par défaut 32, max 256)
-C RETRIES Nombre de reconnexions sur les délais de connexion (par défaut 3)
-T SEC Délai de connexion lors des tentatives de connexion en secondes (par défaut 5)
-t SEC Réponse attendre un délai d'attente en secondes (par défaut 5)
-p PROTO Envoyer les triggers UNIQUEMENT à ce protocole (e.g. FTP)
PORT CIBLE L'adresse cible et le(s) port(s) à analyser (en plus de -i)
Figure 4.1 Exemple de numérisation de carte
p0f
p0f est la forme abrégée de "passidu OS Fempreintes digitales" (Un zéro est utilisé au lieu d'un O). C'est un scanner passif qui peut identifier les systèmes à distance. p0f utilise des techniques d'empreintes digitales pour analyser les paquets TCP/IP et afin de déterminer différentes configurations incluant le système d'exploitation de l'hôte. Il a la capacité d'effectuer ce processus de manière passive sans générer de trafic suspect. p0f peut également lire les fichiers pcap.
Usage:
# p0f [Options] [règle de filtrage]
Figure 5.1 exemple de sortie p0f
L'hôte doit soit se connecter à votre réseau (spontanément ou induit) soit être connecté à une entité de votre réseau par des moyens standard (navigation sur le Web, etc.) L'hébergeur peut accepter ou refuser la connexion. Cette méthode est capable de voir à travers les pare-feu de paquets et n'est pas liée par les restrictions d'une empreinte active. L'empreinte digitale passive du système d'exploitation est principalement utilisée pour le profilage des attaquants, le profilage des visiteurs, le profilage client/utilisateur, les tests de pénétration, etc.
Cessation
La reconnaissance ou la collecte d'informations est la première étape de tout test d'intrusion. C'est une partie essentielle du processus. Commencer un test d'intrusion sans une reconnaissance décente, c'est comme partir en guerre sans savoir où et contre qui vous vous battez. Comme toujours, il existe un monde d'outils de reconnaissance incroyables en dehors de ceux ci-dessus. Tout cela grâce à une incroyable communauté open source et cybersécurité!
Bonne reconnaissance! 🙂
