web-dev-qa-db-fra.com

Test de pénétration sur une plate-forme système d'infotainment

Je pente une plate-forme d'infotainment qui est encore en cours de développement. J'ai fait une numérisation NMAP (pour tous les ports avec option -p-) de la plate-forme et a trouvé quelques ports ouverts.

111/tcp   open  rpcbind
3490/tcp  open  colubris
5355/tcp  open  llmnr
8888/tcp  open  Sun-answerbook
9999/tcp  open  abyss
16509/tcp open  unknown
51331/tcp open  unknown
58485/tcp open  unknown

Faire un netcat sur les ports n'a donné aucune information sauf pour le port 3490. Sur le port 3490, Je pourrais lire des journaux utilisées par les ivi-graphiques, certaines journaux IP (avec ID de service), etc. J'ai également obtenu un processus et des identifiants de thread d'applications exécutées sur le système. J'ai aussi essayé telnet sur tous les ports ouverts et cela ne m'a plus fourni d'informations. J'ai fait service version analyse également sur tous les ports, il n'a pas donné d'informations significatives. J'ai recherché des modules métasployants, mais pour les services mentionnés ci-dessus, il n'y en a pas.

Cependant, maintenant je suis coincé et incapable de continuer. Quelqu'un a-t-il d'autres suggestions pour aller plus loin?

Deuxièmement, je sais que le système IVI fonctionne Linux et Android. En ce moment, je suis dans le sous-réseau de Linux. Linux et Android ont un réseau virtuel privé entre eux. Y a-t-il quelque chose, je peux atteindre le réseau virtuel et effectuer davantage de pentest d'Android?


Kali Machine : 192.168.1.20
Infotainment system : 192.168.1.11

$ rpcinfo  192.168.1.11
program version netid     address                service    owner
    100000    4    tcp6      ::.0.111               portmapper superuser
    100000    3    tcp6      ::.0.111               portmapper superuser
    100000    4    udp6      ::.0.111               portmapper superuser
    100000    3    udp6      ::.0.111               portmapper superuser
    100000    4    tcp       0.0.0.0.0.111          portmapper superuser
    100000    3    tcp       0.0.0.0.0.111          portmapper superuser
    100000    2    tcp       0.0.0.0.0.111          portmapper superuser
    100000    4    udp       0.0.0.0.0.111          portmapper superuser
    100000    3    udp       0.0.0.0.0.111          portmapper superuser
    100000    2    udp       0.0.0.0.0.111          portmapper superuser
    100000    4    local     /run/rpcbind.sock      portmapper superuser
    100000    3    local     /run/rpcbind.sock      portmapper superuser

Je voulais étudier quelles applications utilisent les ports ouverts actuels mentionnés dans la numérisation nmap. Par conséquent, j'ai utilisé netstat sur le système d'infotainment. Le système ne prend pas en charge lsof ou ss. Le NetStat manque également de -p Option qui fournit des informations sur le programme. netstat prend en charge les options suivantes [-ral] [-tuwx] [en].
[.____] Voici la sortie de netstat


root@infotainment-system:~# netstat -lutxn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:48717           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:9999            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:8888            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:16509           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:50753           0.0.0.0:*               LISTEN
tcp        0      0 :::5355                 :::*                    LISTEN
tcp        0      0 :::111                  :::*                    LISTEN
tcp        0      0 ::1:53                  :::*                    LISTEN
tcp        0      0 :::22                   :::*                    LISTEN
tcp        0      0 :::16509                :::*                    LISTEN
tcp        0      0 :::3490                 :::*                    LISTEN
udp        0      0 0.0.0.0:5353            0.0.0.0:*
udp        0      0 0.0.0.0:5355            0.0.0.0:*
udp        0      0 0.0.0.0:30490           0.0.0.0:*
udp        0      0 10.23.0.2:30490         0.0.0.0:*
udp        0      0 10.23.0.2:30499         0.0.0.0:*
udp        0      0 0.0.0.0:55897           0.0.0.0:*
udp        0      0 127.0.0.1:53            0.0.0.0:*
udp        0      0 0.0.0.0:111             0.0.0.0:*
udp        0      0 0.0.0.0:60805           0.0.0.0:*
udp        0      0 :::5353                 :::*
udp        0      0 :::5355                 :::*
udp        0      0 :::57031                :::*
udp        0      0 ::1:53                  :::*
udp        0      0 :::111                  :::*

Avec cette information, il est incapable de savoir quels programmes utilisent réellement les ports ouverts.


J'ai découvert que le portmapper est vulnérable aux attaques d'amplification de port. J'ai donc utilisé le module métasploit suivant pour initier davantage une attaque:

msf5 > use auxiliary/scanner/portmap/portmap_amp 

msf5 auxiliary(scanner/portmap/portmap_amp) > set RHOSTS => 192.168.1.11
msf5 auxiliary(scanner/portmap/portmap_amp) > run

[*] Sending Portmap RPC probes to 192.168.1.11->192.168.1.11 (1 hosts)
[+] 192.168.1.11:111 - Vulnerable to Portmap RPC DUMP (Program version: 3) amplification: No packet amplification and a 17x, 644-byte bandwidth amplification
[+] 192.168.1.11:111 - Vulnerable to Portmap RPC GETSTAT amplification: No packet amplification and a 7x, 244-byte bandwidth amplification
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

Exécution de l'attaque métasploitant, la production indique que la cible est vulnérable à rpc-dump et rpc getstat. Je suis nouveau à Metasploit, alors je ne suis donc pas au courant de la manière dont Metasploit interprète l'attaque et crache la production. J'ai lu sur - attaque d'amplification de port et peut comprendre ce qui se passe. Cependant, je ne comprends pas la production de métasploit.

Cela signifie-t-il que ma cible est vulnérable à ces attaques? Si oui, quel est le moyen le plus simple dans lequel je peux créer un petit concept pour l'attaque?

1
gst

Dans votre situation, ne sachant pas à certains des protocoles que vous êtes confrontés, je pourrais être tenté de regarder de plus près les paquets, une chose que vous pourriez faire est d'utiliser un outil comme Scédy pour les ports de sondage et peut-être capturer L'échange avec WireShark aussi.

NMAP est un outil merveilleux, mais il fait également des suppositions éduquées et interprète des résultats pour vous, ce qui n'est pas toujours suffisant.

Mais supposons que vous êtes sur le même réseau local et qu'un service LLMNR fonctionne en effet sur cette machine. Vous pourriez peut-être envoyer des requêtes dans un effort d'essayer de mieux comprendre le réseau (ceci est après tout un résolveur). Nmap a même un script pour ceci: LLMNR-RESOLVE

Un scénario encore meilleur (mais qui est loin de certains) est que d'autres machines envoient des demandes de diffusion à ce service, vous pourriez éventuellement intercepter ces questions et envoyer des réponses empoisonnées avec un outil comme répondez , ces machines à parler à un hôte malveillant contrôlé par vous. Voir ci-dessous pour un article qui explique l'attaque des détails.

Dernier point mais non le moindre, par défaut NMAP ne scanne que les 1 000 ports les plus courants de TCP, ce qui signifie que si vous exécutez des options par défaut, vous pouvez manquer des ports intéressants. Je le mentionne depuis que vous n'avez pas fourni la ligne de commande NMAP utilisée pour rassembler les résultats.

Les références

NetBIOS et LLMNR: les cadeaux qui continuent à donner (loin des informations d'identification)

1
Anonymous