Cyberattaques et tests d’intrusions

Reconnaissance : Énumération
Comprendre les attaques pour mieux se défendre

Mohamed Mejri

Université Laval

3 septembre 2023

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 1 / 68

 Introductions

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 2 / 68

 Introductions

Introduction

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 3 / 68

 Introductions

Introduction
Quoi : Informations à énumérer

utilisa-
teurs et
groupes
services
partages
et
réseaux
versions

équipements Informa-
et tions à ...
protocoles
réseaux
énumérer

tables de SNMP et
routages DNS info
configura-
tions des
services

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 4 / 68

 Introductions

Introduction
Pourquoi : Informations et vecteurs d’attaques (Exemples)
Informations et vecteurs d’attaques

noms d’utilisateurs
authentification (attaque par dictionnaire/force brute)

adresses courriel
ingénerie social : envoyer des courriels infectés
services et versions, services connus sur des ports inconnus
services vulnérables : versions pour lesquelles des exploits existent
partages réseau
ingénierie sociale : placer du contenu infecté
ingénierie sociale : données sensibles mal protégées
équipements et protocoles réseau

MITM sur DNS, DHCP, Passerelle, etc.

MITM : participer à la construction de table de routage
Authentification : protocoles d’authentification vulnérables (exemple : NTLM)
fichiers log et de configuration (noms d’applications, mots de passe hachés, etc. )
briser des mots de passe hachés
escalader les privilèges via des applications vulnérables
configurations de services
ingénierie sociale : pourriel via des serveurs courriel qui permettent le relai
contourner la sécurité : un VPN mal configuré
...

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 5 / 68

 Introductions

Introduction

Comment :
Techniques
analyse de bannières : services et versions
mots de passe par défaut : SNMP (private ; public), FTP (anonymous), etc.

serveur courriel : adresses courriel, version antivirus, relai

Active directory : force brute
DNS : zone transfer (détails incluant SRV, Version)
RPC : services connus associés à des ports inconnus
SMB, SAMBA, NFC : partages réseau
...

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 6 / 68

 Introductions

Introduction
Quelques services classiques

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 7 / 68

 Introductions

Introduction

Exemples de ports à énumérer

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 8 / 68

 Introductions

Introduction
Énumération avec nmap
û L’option -sC de nmap permet de faire un scan basé sur les scripts (équivalent
à --script=default)

û Cela inclut des scripts intrusifs (à appliquer seulement sur votre réseau)
û Pour connaı̂tre les scripts par défaut de nmap, taper la commande suivante :

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 9 / 68

 Analyse de bannières

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 10 / 68

 Analyse de bannières

Analyse de bannières

Découvrir les services et leurs versions

û Ouvrir une session avec un service TCP en utilisant telnet ou netcat, et
observer les sorties

û Utiliser nmap avec l’option -sV

Remarque : Sans l’option -sV, nmap se base sur le numéro de port pour
donner le nom de service par défaut (donc, c’est moins fiable).

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 11 / 68

 Énumération des services communs FTP

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 12 / 68

 Énumération des services communs FTP

Énumération de FTP (port TCP 21)

û FTP (File Transfert Protocol) est aujourd’hui obsolète (mot de passe en
claire), mais son énumération pourrait être rentable. Plusieurs objets IOT
l’utilisent ainsi que le TFTP
Techniques
mot de passe par défaut (anonymous/anonymous

Informations
répertoires accessibles en lecture (récupérer le contenu)
répertoires accessibles en écriture
...

û Découvrir si un serveur ftp permet une connexion anonyme avec nmap

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 13 / 68

 Énumération des services communs FTP

Énumération de FTP (port TCP 21) : Exemple

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 14 / 68

 Énumération des services communs SMTP

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 15 / 68

 Énumération des services communs SMTP

Énumération de SMTP (TCP 25 (sans chiffrement)/ TCP 465

(smtps :ssl)/TCP 587 (smtp+authentification : user +pwd) )

û SMTP (Simple Mail Transport Protocol) : permet de transférer des courriels

vers des serveurs de messagerie électronique.
Techniques

Énumeration de comptes
Informations
adresses courriel
noms d’utilisateurs

Énumeration d’antivirus
Informations
nom et version d’antivirus
Test de relai
Informations
relai (oui/non)

...

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 16 / 68

 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

La porte d’entrée idéale d’un système d’information. Entre 7 et 9/10 des attaques
auraient comme origine les courriels. Les principales attaques sont :
I phishing : inciter la victime à cliquer sur des liens puis saisir des informations
confidentielles ou exécuter un programme malveillant (ex. ransomware).
I usurpation d’identités : récupération de logins/mots de passe

Remarque
Compromettre un compte courriel ouvre la porte à plusieurs autres attaques :
I lire des documents confidentiels,
I injecter des courriels (un salarier pourrait recevoir un courriel d’un supérieur
l’incitant à lui fournir des informations sensibles ou à changer des informations
bancaires comme (ex. RIP) liées à un fournisseur, etc.),
I accéder à d’autres comptes en utilisant le service de récupération de mots de
passe par courriels,
I etc.
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 17 / 68
 Énumération des services communs SMTP

Énumération de SMTP (TCP 25 / TCP 465/TCP 587 )

û SMTP (Simple Mail Transport Protocol) : permet de transférer des courriels

vers des serveurs de messagerie électronique.
û On peut envoyer un courriel en ligne de commandes sans faire appel à un
client (email, outlook, etc.)

source : http ://[Link]/wiki/Simple Mail Transfer Protocol

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 18 / 68

 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

Techniques

Énumeration de comptes
Informations
adresses courriel
noms d’utilisateurs

û Préparation : Construire un dictionnaire de noms d’utilisateurs possibles

û Commandes utiles :
RCPT TO : permet de confirmer si une adresse est valide
VRFY : permet de confirmer si une adresse est valide
EXPN : révèle les adresses courriel, des aléas et des listes de diffusions

source : http ://[Link]/server/rfclist/smtp/[Link]

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 19 / 68

 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

Techniques

Énumeration de comptes
Informations
adresses courriel
noms d’utilisateurs

û Accélération : smtp-user-enum (kali)

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 20 / 68

 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

Techniques

Énumeration d’antivirus
Informations
nom et version d’antivirus

û Nom et version de l’antivirus : Envoyer un fichier exécutable non malicieux

(ex. [Link]) en espérant que le serveur nous retourne un message pour dire
que ce genre de fichier n’est pas accepté tout en indiquant le nom et la version
de l’antivirus utilisé dans le serveur.
û Remarque : Exemples de sites où vous pouvez tester si un antivirus peut
détecter votre code malicieux :
[Link]
http ://[Link]

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 21 / 68

 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

Techniques

Test de relai
Informations)
relai (oui/non)

û Test de relai : Essayer d’envoyer de n’importe quelle source vers n’importe

quelle destination
Réponse positive Réponse négative

source : Network Security Assessment (livre)

I Le relai permet à un pirate de se faire passer pour n’importe quelle employée (boss) et d’envoyer des courriels à d’autres
I Si votre serveur SMTP devient un générateur de SPAM, il y a un grand risque de voir votre serveur courriel, voir tout
votre réseau, devint dans des listes noires. Vos clients ne recevront plus vos courriels.
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 22 / 68
 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

Techniques
Examiner la possibilité de MITM

Examiner la possibilité d’avoir un MITM pour SMTP : analyser le domaine

du serveur du courriel et voir les erreurs probables : oublier un point, deux ”m”
deux ”t”, un ”s”, une tirée, etc.
û Exemples : [Link] (à la place de [Link]), [Link] (à la place
de [Link]), [Link] (à la place de [Link]), etc.
û Technique :
acheter les domaines d’erreurs (exemple [Link], [Link])
installer un serveur courriel pour ces sous-domaines
configurer le serveur SMTP pour que tout message reçu soit relayé à la
bonne adresse tout en changeant l’adresse source avec le ”faux” domaine
pour recevoir la réponse et la relayer de nouveau
c’est un MITM pour le SMTP
û Généralisation : le principe est applicable pour d’autres services (HTTP,
DNS, etc.)
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 23 / 68
 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

Contre mesures
û Désactiver les commandes VRFY et EXPN ou les restreindre à des utilisateurs
authentifiés
û Désactiver le relai

source : http ://[Link]//techtips/wp-content/uploads/2013/11/13-1127 [Link]

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 24 / 68

 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

Contre mesures
Pour réduire le risque de détournement des comptes courriels :
û Activer le MAF (Multi-Factor Authentication) sur tous les comptes d’accès
au SI et même sur les applications SaaS,
û Chiffrer les courriels importants et leurs fichiers attachés,
û Bien former et sensibiliser les utilisateurs (ex. ne pas utiliser les mots de passe
professionnels sur de comptes personnels.),
û Renouveler régulièrement les mots de passe (ex. chaque 3 à 6 mois),
û Etc.

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 25 / 68

 Énumération des services communs SMTP

Énumération de SMTP (TCP 25)

Contre mesures
û dnstwist : un outil qui permet de trouver des noms de domaine proche du
vôtre. Il faudrait bloquer tous les liens et courriels allant vers/ou provenant
de ces domaines.

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 26 / 68

 Énumération des services communs DNS

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 27 / 68

 Énumération des services communs DNS

Énumération de DNS (TCP/UDP 53)

Techniques

zone trnasfer ou ”force brute”

Informations
autres services cachés
voir si le serveur est récursif et déterminer son facteur d’amplification
...

û Les emplacements de services importants peuvent être découverts via des

enregistrements de type SRV
[root$] dig @[Link] [Link] axfr
; <<>> DiG 9.3.2 <<>> @[Link] [Link] axfr
;(1 server found)
;; global options: printcmd
[Link] 86400 IN SOA [Link] admin
[Link] 86400 IN A [Link]
[Link] 86400 IN NS [Link]
...
kerberos. tcp 86400 IN SRV 0 100 88 [Link]
ldap. tcp 86400 IN SRV 0 100 389 [Link]
;; Query time: 500 msec
;; SERVER: [Link]#53([Link])
;; WHEN: Tue Sep 5 [Link] 2009
;; XFR size: 42 records (message 1)

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 28 / 68

 Énumération des services communs DNS

Énumération de DNS (TCP/UDP 53)

û BIND (serveur DNS pour UNIX) contient un enregistrement de la classe

”CHAOS” donnant sa version dans une ligne commençant par [Link]
[root$] dig @[Link] [Link] txt chaos
; <<>> DiG 9.3.2 <<>> @[Link] [Link] txt chaos
;; ANSWER SECTION:
[Link] 0S CHAOS TXT "8.2.4"

source : Network Security Assessment (livre)

û Vérifier si le serveur DNS est ouvert au public et déterminer son meilleur taux
d’amplification (utile pour les DDOS)

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 29 / 68

 Énumération des services communs HTTP

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 30 / 68

 Énumération des services communs HTTP

Énumération de HTTP (TCP 80)

û Quel serveur est utilisé et quelle est sa version ?

û Le site fait-il appel à des bases de données ?
û Le site web est-il statique ou dynamique ?
û Quelles sont les variables utilisées ?
û Quelles sont les méthodes permises (GET, POST, PUT, DELETE, etc.) ?
û Est-ce qu’il y a des formulaires et quels sont leurs champs ?
û Le serveur envoie-t-il des cookies ?
û Le site fait-il appel à du JavaScript ?
û Quelles sont les pages qui demandent une authentification ?
û Quelles sont les pages qui permettent de créer un compte ou de modifier un
mot de passe ?
û Est ce que le site permet de déposer des messages ou de téléverser des fichiers ?
û Quelles sont les adresses courriel qui se trouvent sur le site web ?
û Etc.
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 31 / 68
 Énumération des services communs HTTP

Énumération de HTTP (TCP 80)

Nikto : Outils permettant l’énumération automatique d’un site web à la

recherche de vulnérabilités.

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 32 / 68

 Énumération des services communs NTP

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 33 / 68

 Énumération des services communs NTP

Énumération de NTP (UDP 123)

û NTP (Network Time Protocol) :
Rôle : synchroniser les horloges dans un réseau
Précision : 200 microsecondes pour des machines du même réseau local
et 100 millisecondes entre machines sur Internet.
Importance : les fichiers logs (événements et leurs dates), jetons d’au-
thentification, etc.
Impact d’une mauvaise synchronisation : un faux serveur NTP ou
un serveur serveur mal synchronisé peut nuire aux enquêtes (chronologie
d’événements) et rendre plusieurs services inutilisables.
Techniques

commandes NTP usuelles

Informations
machines ayant contactées NTP

adresse IP de machine de l’Intranet, si le serveur NTP est dans le DMZ

noms de machines
systèmes d’exploitation
facteur d’amplification
...

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 34 / 68

 Énumération des services communs NTP

Énumération de NTP (UDP 123)

û NTP (Network Time Protocol) :

û Monitoring : Certaines vielles versions supportent le monitoring : Via

la commande monlist on peut visualiser les machines qui ont interrogé
le serveur NTP.
Facteur d’amplification : Puisque NTP fonctionne sur UDP, une com-
mande comme monlist ouvre la porte à des attaques DDOS réfléchies
et amplifiées : un facteur d’amplification qui pourrait devenir dévastateur
(jusqu’à 200 :1 pour NTP, souvent moins que 70 :1 pour DNS).
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 35 / 68
 Énumération des services communs SNMP

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 36 / 68

 Énumération des services communs SNMP

Énumération de SNMP (UDP 161/162)

û SNMP (Simple Network Management Protocol) : Offre trois opérations

GET (UDP 161) Lire des informations sur les activités de différentes
ressources du réseau : serveurs, routeurs, PC, etc.
SET (UDP 161) Modifier des informations (p. ex. configuration) sur une
ressource
TRAP (162) : être notifié suite à un certain événement
Techniques
mots de passe par défaut ou attaque par dictionnaire

Informations
services actifs
noms des utilisateurs (username)
informations sur des partages
processus en cours d’exécution
fichiers de configurations
fichiers log

adresses IP
...(une mine d’or)...
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 37 / 68
 Énumération des services communs SNMP

Énumération de SNMP (UDP 161/162)

û Les objets administrés sont une abstraction des ressources physiques (inter-
faces, équipements, etc.) et logiques (connexions TCP, paquets IP, etc.).
û Les données des objets administrés sont stockées dans une base de données
appelée MIB (Management Information Base) : un arbre ayant une structure
standardisée
û Chaque donnée dans le MIB a une adresse (Object IDentifier : OID) : en mode
texte ou en mode numérique (comme @IP vs nom de domaine)

source : http ://[Link]

û Des outils comme snmputil, snmpget ou snmpwalk permettent d’y accéder

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 38 / 68
 Énumération des services communs SNMP

Énumération de SNMP (UDP 161/162)

û SNMP V1 (1980). faible sécurité : communauté (mot de passe) circule en

clair, communautés par défaut : private (read/write) et public (read)

û SNMP V2(1993) : amélioration de la version 1 (performance, sécurité), mais

la sécurité est complexe ; (non adopté)
û SNMP V2C(1996) : même chose que la version 2, mais une sécurité simplifiée
(utilisation de communauté comme la version 1)
û SNMP V3(1999) : Renforcement de la sécurité (authentification + chiffre-
ment) de la version 2
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 39 / 68
 Énumération des services communs SNMP

Énumération de SNMP (UDP 161/162)

û Le serveur détient deux mots de passe (community strings) :

un pour lecture seulement : sa valeur par défaut est public
un pour lecture/écriture : sa valeur par défaut est private
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 40 / 68
 Énumération des services communs SNMP

Énumération de SNMP (UDP 161/162)

û snmputil
C:\>snmputil get [Link] public [Link].[Link].1.3

[Link] : l’@ IP de la cible

public : mot de passe
[Link].[Link].1.3 : OID (Object Identifier) qui est l’adresse de
l’information demandée dans le MIB (les ports TCP ouverts).

û snmpset / snmpwalk : modifier/afficher le contenu d’un objet

snmpset [options...] <hostname> {<community>} [<objectID> <type> <value> ...]
snmpwalk [options...] <hostname> {<community>} [<objectID>]
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 41 / 68
 Énumération des services communs SNMP

Énumération de SNMP (UDP 161/162)

û Il y a aussi des outils intéressants avec interfaces graphiques comme Solar-

Winds :

source : http ://[Link]

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 42 / 68

 Énumération des services communs Services Windows

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 43 / 68

 Énumération des services communs Services Windows

Énumération de services réseaux Windows TCP 135, UDP 135, UDP 137, UDP
138, TCP 139, TCP, 593, TCP 445, UDP 5535 )

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 44 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : SMB (TCP 139/445)

Techniques
Chercher des ressources partagées
Informations
récupérer des fichiers mal protégés
voir la possibilité de placer des fichiers
...

SMB : Concept
û Protocole client-serveur : client accède à des ressources mises à sa disposition
par le serveur
û Partages :
Partage de fichiers
Partage d’imprimantes
Partage spécial : IPC$
û SMB est orienté session et il est accessible via des APIs
û Une session SMB commence toujours par une authentification en utilisant des
protocoles comme NTLM et Kerberos V
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 45 / 68
 Énumération des services communs Services Windows

Énumération des services réseaux Windows : SMB (TCP 139/445)

SMB : en pratique
û Client SMB
Commande net view permet de visualiser les partages SMB
Commande net use pour l’établissement d’une session SMB
û Serveur SMB
Commande net share : gestion des partages (voir les partages actifs,
ajout, suppression)
Commande net sessions : gestion de sessions SMB (énumération, sup-
pression)
Commande net files : gestion des ressources partagées (énumération,
suppression)

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 46 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : SMB (TCP 139/445)

SMB : en pratique

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 47 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : SMB (TCP 139/445)

SMB : Sécurité
û Problème le plus connu :
Session SMB nulle (null session) : récupération d’informations (partages,
utilisateurs, groupes, registres, etc.) de façon anonyme
C:\>net use \\[Link]\IPC$ "" /u:""
û Autres :
MS02-045 : Unchecked Buffer in Network Share Provider Can Lead to
Denial of Service
MS02-070 : Flaw in SMB Signing Could Enable Group Policy to be
Modified
MS03-049 - Buffer Overrun in the Workstation Service Could Allow Code
Execution

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 48 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)
Techniques
Chercher des services cachés
Informations
annuaire de services)

...

MSRPC : concept
û RPC (Remote Procedure Call) : permet d’appeler des fonctions et services
distants (on envoie les données et on récupère les résultats)

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 49 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)

MSRPC : concept (terminologie)

û Opération : procédure ou méthode
û Interface : groupe d’opérations
û Service : fournit des interfaces
û Endpoint : emplacement du service
û Endpoint map : liste de Endpoints
û Endpoint mapper : Le serveur dans lequel se trouve le Endpoint map

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 50 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)
MSRPC : exemple

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 51 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)

MSRPC : exemple

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 52 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)

MSRPC : exemple

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 53 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)
MSRPC : exemple

Le Endpoint mapper peut être disponible sur différents ports (TCP 135, UDP
135, TCP 593 (sur HTTP )) ou le tube \pipe\epmapper
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 54 / 68
 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)
MSRPC : concept
û Un service RPC peut être accessible via plusieurs protocoles de transport TCP,
UDP, SMB, etc.
û DCE RPC sur TCP/IP utilise des ports TCP/IP
û DCE RPC sur SMB utilise des tubes nommés
û Les protocoles de transport utilisés par un service RPC se trouvent dans un
”endpoint” ayant le format suivant :
endpoint("ncacn ip tcp:[Link][2046]’’) : indique qu’il y a un
service qui écoute sur le port TCP 2046 du endpoind [Link]
ncacn np : SMB Named Pipes (eventlog , winreg , lsarpc, etc.)
ncacn ip tcp : RPC sur TCP 135
ncacn ip udp : RPC sur UDP 135
ncalrpc : Local interprocess communication
ncacn http : RPC sur HTTP ( via un serveur IIS)
ncadg ip udp, ncacn at dsp, ncacn nb ipx, ncacn dnet nsp, etc.
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 55 / 68
 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)

û Outils : epdump, rpctools, RpcScan, SuperScan, etc.

û Informations retournées par rpcdump :
û IFID (identifiant de l’interface ) et version (version [Link])
û UUID : identifiant du type d’objet géré par l’interface (UUID :). Une
interface peut gérer plusieurs types d’objets répartis sur plusieurs ”End-
point” :
F UUID nul (00000000-0000-0000-0000-000000000000) : l’interface gère
toutes les requêtes ne précisant pas un type d’objets
F UUID non nul : l’interface répondue seulement aux requêtes liées au type
d’objet identifié par UUID
û Binding (attache) : sous forme de ”protocoles :point de terminaison”
û Annotation : identification significative du service

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 56 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)
MSRPC : Exemple d’énumération
C:\> epdump [Link]
binding is ’ncacn_ip_tcp:[Link]’
int 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc v1.0
binding 00000000-000000000000@ncadg_ip_udp:[Link][1028]
annot ’Messenger Service’
int 1ff70682-0a51-30e8-076d-740be8cee98b v1.0
binding 00000000-000000000000@ncacn_ip_tcp:[Link][1025]
annot ’’
no more entries

û Il y a des services RPC sur les machines suivantes :

[Link][TCP,1025]
[Link][UDP, 1028]
û Le service ”Messenger Service” tourne sur :
Le port UDP 1028 de la machine [Link]
û Les IFID (interface ID) sont :
5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc v1.0
1ff70682-0a51-30e8-076d-740be8cee98b v1.0
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 57 / 68
 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)

MSRPC : Exemples de IFIDs

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 58 / 68

 Énumération des services communs Services Windows

Énumération des services réseaux Windows : MSRPC, Microsoft RPC Endpoint

Mapper, (TCP 135, UDP 135, TCP 593)
MSRPC : Exemple de problèmes de sécurité : Plusieurs problèmes liés à
l’implantation des services (débordement de tampons, etc.).

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 59 / 68

 Énumération des services communs LDAP

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 60 / 68

 Énumération des services communs LDAP

Énumération de Windows Active Directory LDAP (TCP/UDP 389 et 3268)

Techniques
Acces anonyme ou force brute
informations
noms d’utilisateurs
numéros de téléphone
nom des services
... droits d’accès
...

source : http ://[Link]/[Link]

û Active Directory : Un annuaire qui nous permet de décrire des objets (utilisa-
teurs, ordinateur, fichiers, imprimantes, etc.), de les structurer (groupe, unité
d’organisation, domaine) et de leur attribuer des droits d’accès. Le protocole
LDAP est utilisé pour accéder et manipuler ces informations à distance.
û Plusieurs serveurs y accèdent pour vous authentifier.
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 61 / 68
 Énumération des services communs LDAP

Énumération de Windows Active Directory LDAP (TCP/UDP 389 et 3268)

û Sans un accès sécurisé (accès anonyme), l’énumération est possible

û Avec un outil comme hydra ou bf ldap on peut faire des attaques ”force
brute” ou par dictionnaire sur LDAP
û Si le domaine est compatible avec des anciennes versions de Windows, telles
que WinNT, alors n’importe qui dans le domaine peut énumérer le répertoire
û Autre annuaires LDAP : OpenDirectory, OpenLDAP, Oracle iPlanet, etc.
û Autre outils d’énumération : JXplorer, LDAP Admin Tool, LDAP Browser,
etc.
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 62 / 68
 Énumération des services communs NFS

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 63 / 68

 Énumération des services communs NFS

Énumération de NFS (TCP/UDP 2049)

Techniques
Chercher des ressources partagées
Informations
récupérer des fichiers mal protégés
mots de passe hachés
clés SSH
voir la possibilité de placer des fichiers
...

source [Link]

û NFS permet le partage de répertoires via le réseau dans le monde UNIX

û C’est le même principe que SAMBA, mais plus performant
û SAMBA est pour interconnecter le monde Windows avec UNIX
û L’authentification NFS via adresses IP (SAMBA via login/mot de passe)
Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 64 / 68
 Énumération des équipements et des protocoles réseau

Plan

1 Introductions
2 Analyse de bannières
3 Énumération des services communs
FTP
SMTP
DNS
HTTP
NTP
SNMP
Services Windows
LDAP
NFS
4 Énumération des équipements et des protocoles réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 65 / 68

 Énumération des équipements et des protocoles réseau

Énumération des équipements et des protocoles réseau

Équipements réseau :
Techniques
traceroute, DNS, nmap, SNMP, etc.

Informations
équipements réseau (routeur, VPN, pare-feu, IDS, etc.)
protocoles de routage
...

û Traceroute : permet de connaitre les nœuds qui nous séparent de la cible. Le

dernier nœud est généralement un routeur.
û DNS : parfois, le rôle d’un équipement apparait dans son nom DNS (exemple
[Link]). Les enregistrements de type HINFO.
û SNMP : peut donner le type d’un équipement.
û Nmap : avec l’option -O peut dévoiler des équipements réseau

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 66 / 68

 Énumération des équipements et des protocoles réseau

Énumération des équipements et des protocoles réseau

Équipements réseau :
û ike-scan : cherche les équipements VPN qui utilisent Internet Key Exchange
(IKE). Quand un équipement VPN est configuré pour utiliser ”aggressive
mode”, il ouvre la porte à des attaques sur le Pre-Shared Key (PSK) (CVE-
2002-1623). Lors de l’échange le PSK apparaitra sous forme hachée.

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 67 / 68

 Énumération des équipements et des protocoles réseau

Énumération des équipements et des protocoles réseau

Protocoles réseau :
û ASS (Autonomous System Scanner) : Il fait des collectes actives et passives
des protocoles de routages utilisés dans un réseau : OSPF, IGRP, EIGRP, RIP,
HSRP, DHCP, ICMP. Un outil comme IRPAS (Internet Routing Attack Suite)
permet plus tard de se faire passer pour un routeur et injecter des routes
(ouvre la porte à MITM), spoofer des paquets, etc.

û Ports tcp/udp : RIP (udp/520) , BGP (tcp et udp/179), IGRP (9), EIGRP
(88), OSPF (89).

Mohamed Mejri (Université Laval) Cyberattaques et tests d’intrusions 3 septembre 2023 68 / 68