it-swarm.dev

Come aggirare tcpwrapped con nmap scan

Avevo un'attività di scansione e ho affrontato il seguente risultato

Host is up (0.032s latency).
Scanned at 2012-10-25 16:06:38 AST for 856s
PORT      STATE SERVICE    VERSION
1/tcp     open  tcpwrapped
3/tcp     open  tcpwrapped
4/tcp     open  tcpwrapped
.
.
19/tcp    open  tcpwrapped
20/tcp    open  tcpwrapped
21/tcp    open  tcpwrapped
22/tcp    open  tcpwrapped
23/tcp    open  tcpwrapped
.
.
64623/tcp open  tcpwrapped
64680/tcp open  tcpwrapped
65000/tcp open  tcpwrapped
65129/tcp open  tcpwrapped
65389/tcp open  tcpwrapped

La metodologia di scansione era

nmap -n -vv -A x.x.x.x --min-parallelism=50 --max-parallelism=150 -PN -T2 -oA x.x.x.x

Sono sicuro che questo è un gioco di firewall o loadbalancer. Ho provato in molti modi come cambiare la porta sorgente, IP sorgente, frammentazione, ecc.

  • Hai qualche idea/suggerimento per aggirare questo caso?
  • d'altra parte, sai come farlo sulla politica del firewall (su qualsiasi firewall)? Grazie
35
KING SABRI

"tcpwrapped" si riferisce a tcpwrapper, un programma di controllo dell'accesso alla rete basato su host su Unix e Linux. Quando Nmap identifica qualcosa tcpwrapped, significa che il comportamento della porta è coerente con uno protetto da tcpwrapper. In particolare, significa che un full TCP è stato completato, ma l'host remoto ha chiuso la connessione senza ricevere dati.

È importante notare che tcpwrapper protegge i programmi , non le porte. Ciò significa che una risposta valida (non falsa positiva) tcpwrapped indica che è disponibile un servizio di rete reale, ma non si è nell'elenco degli host autorizzati a parlare con esso. Quando un numero così elevato di porte viene mostrato come tcpwrapped, è improbabile che rappresentino servizi reali, quindi il comportamento probabilmente significa qualcos'altro.

Quello che probabilmente stai vedendo è un dispositivo di sicurezza di rete come un firewall o IPS. Molti di questi sono configurati per rispondere a TCP, anche per gli indirizzi IP che non sono assegnati a loro. Questo comportamento può rallentare una scansione delle porte e offuscare i risultati con falsi positivi.

EDIT: Dato che questo post è stato contrassegnato come plagio ed eliminato, vorrei sottolineare che la fonte presunta ( questa pagina su SecWiki.org ) è stata scritta anche da me. Questa risposta Security.StackExchange (31 ottobre 2013) precede quella pagina (12 novembre 2013) di quasi due settimane.

116
bonsaiviking

Stai cercando di mappare le regole del firewall. Gli strumenti "Firewalking" potrebbero essere d'aiuto in questo, ma non ho grandi speranze.

  • Prova a rallentare la velocità. Stai usando T2, che è molto veloce e potresti ottenere risultati strani.
  • Prova a non usare -A, ma specifica direttamente l'opzione -sV
  • Prova a cercare opportunità di "port knocking"
  • Prova a utilizzare un crafter di pacchetti, come scapy o hping3, per approfondire il traffico che invii e provare a mappare ciò che può passare.
9
schroeder

Potresti provare a usare nmap -sV che prenderà le informazioni di intestazione e versione. Tutte TCP saranno ancora aperte (ovviamente non c'è niente che tu possa fare al riguardo), ma potresti comunque eseguire il grep e trovare banner interessanti e andare da lì.

3
rook

Ho lottato con questo problema per una settimana e l'unica risposta che ho avuto è stata questa: non c'è nulla da aggirare lì! Ora mi sono reso conto che non c'era nulla da bypassare. A TCP viene completato quando si esegue la scansione ma la connessione verrà chiusa dall'applicazione dietro quella porta. Quindi provare a connettersi alla porta con nc:

nc -v <IP> <port>

Vedrai che puoi connetterti con la porta.

1
LD2

Uno dei modi in cui sono stato in grado di bypassare un firewall Baracuda che stava avvolgendo TCP tutte le porte e finendo l'handshake a 3 vie per loro conto era di scansionare utilizzando una sola porta come il TCP80, TCP443, UDP53 più famoso dell'intervallo, se il la gamma di indirizzi IP è grande, sceglierei i primi per testarli. Esistono alcune tecniche sul sito nmap come la frammentazione, l'esca, la porta inattiva, ecc. Ma quelle per qualche motivo non danno buoni risultati nel caso di TCP wrapping di un firewall o IPS.

metodi testati

nmap -PS80 TARGET 
nmap -PS443 TARGET 
nmap -PU53 TARGET 
nmap -PU161 TARGET 
nmap -PS3389 TARGET

il -PU161 mostrava meno porte aperte rispetto agli altri metodi.

Anche se questo è stato chiesto molti anni fa, lascerò solo alcuni suggerimenti per i futuri tester nmap

-A is very noisy and will get caught by IDS and blocked by a firewall or an IPS
-sV same thing as it runs several scripts to know the services running
-O will also get flagged 

nello scenario peggiore, se tutto viene oscurato, fallo manualmente, cercando le porte più comuni una per una, -p80 su una e -p443 su un'altra e così via. Puoi rallentare le cose in modo significativo usando -T0 ma la scansione impiegherà un'eternità a terminare poiché verrà analizzata ogni pochi minuti, 5 se non sbaglio.

-vv is no problem
-n is also useful if you are not worried about DNS resolution

Rimuoverei anche il parallelismo minimo o lo abbasserei a un numero molto basso.

1
nassim

https://www.enisa.europa.eu/activities/cert/support/chiht/tools/tcpd-tcpwrapper è un buon articolo rapido su tcpwrapped. Probabilmente è un firewall a cui non piace il tuo IP, quindi sta semplicemente abbandonando la connessione.

A meno che tu non riesca a capire quali IP gli piacciono o indurlo a pensare a un tuo IP LAN (non so se sia possibile tbh), non penso che tu possa scoprire quali sono quelle porte. Potresti anche provare ncat a connettersi direttamente alle porte e vedere se rispondono a qualsiasi protocollo (crea un paio di file di testo che hanno tipiche richieste "ciao" per ogni protocollo, come GET / HTTP/1.0 o altro) e quindi ncat x.x.x.x port < httpget.txt

Assicurati di essere autorizzato ad accedere a questa rete prima di provare.

0
mark