Внимание! На этой странице вы найдете материал урока из архивного курса по пентесту (Тестирование на проникновение во внутреннюю сеть под управлением Active Directory). Курс был написан в 2024 году и будет интересен системным администраторам, специалистам по защите данных и другим специалистам.
Полный список уроков доступен по тегу Архивный курс по пентесту Active Directory и на странице первого урока.
Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в образовательных и ознакомительных целях. Все действия происходят на виртуальных машинах и внутри локальной сети автора. Спасибо!
- Wireshark - инструмент для захвата и анализа сетевого трафика, используется в образовательных целях и для устранения неполадок в сети.
- В этом уроке применяется Wireshark для пассивного поиска хостов в сети.
- Статья поверхностная и ориентирована на знакомство с Wireshark в контексте прохождения лабораторного стенда GOAD.
- Wireshark имеет следующие основные окна: фильтр, панель пакетов, панель уровней и панель метаданных.
- Знание базовых протоколов модели OSI может быть полезным при анализе сетевого трафика.
- Wireshark позволяет фильтровать пакеты по IP-адресу источника и анализировать "общение хостов" (conversations).
- tcpdump - еще один инструмент для захвата сетевого трафика, который может быть мощным и полезным в умелых руках.
- В реальной сети захват трафика осуществляется намного сложнее, чем в лабораторном стенде GOAD. Обсудим это позднее.
В предыдущем уроке научились перебирать DNS-имена при помощи aiodnsbrute и создавать словари утилитой Crunch. В разделе по разведке нельзя не сказать про Wireshark - инструмент для захвата и анализа сетевого трафика. Он используется как в образовательных целях, так и с целью устранения неполадок в сети. Мы в этом уроке применим Wireshark для пассивного поиска хостов в сети. Есть нюанс, который стоит понимать при захвате трафика, о котором будет сказано в конце статьи. Дополнительно о захвате сетевого трафика (сниффинг) поговорим в следующих уроках.
Также познакомимся со встроенной во многие дистрибутивы Linux утилитой tcpdump, предназначенной для захвата трафика.
Сразу скажу, статья очень поверхностная и ориентирована на знакомство с Wireshark в контексте прохождения лабораторного стенда GOAD. Более детальную информацию ищите на просторах интернета, так как в одной статье невозможно описать все возможности программы. Статья даст вам начальную точку, от которой нужно двигаться в изучении Wireshark и его возможностей.
Как использовать программу Wireshark?
Откроем Kali Linux и найдем в ней предустановленный Wireshark:
Откроется главное окно:
Лаборатория GOAD находится в подсети 192.168.56.0/24 (интерфейс eth1):
На стартовом окне Wireshark мы видим множество сетевых интерфейсов, трафик которых можем захватить. Нам достаточно выбрать eth1. После увидим следующее:
Рассмотрим основные части окна подробнее:
- Фильтр. Для поиска и вывода нужной информации.
- Панель пакетов. Основное окно, на котором отображаются перехваченные пакеты в реальном времени.
- Панель уровней. Разбиение по модели OSI выбранного пакета.
- Панель метаданных. Представление данных в шестнадцатеричном коде и символах.
Анализ сетевого трафика в Wireshark
Знание базовых протоколов модели OSI не помешает при анализе сетевого трафика. Для примера выберем пакет протокола Kerberos:
Как видите, в панели уровней можно найти множество полезной информации, например: DNS-имя хоста 192.168.56.22 и его обращение к хосту 192.168.56.11.
Поиск необходимых пакетов
Запустив буквально на пару минут Wireshark в такой небольшой сети, было собрано огромное количество пакетов, в которых что-то найти довольно сложно. Попробуем отфильтровать по IP-адресу источника:
ip.src==192.168.56.22В панели пакетов отображаются все пакеты, источник которых хост с IP-адресом 192.168.56.22.
Статистика "общения хостов" (conversations)
Сейчас мы используем Wireshark с целью разведки, поэтому полезно узнать какие хосты засветились в трафике и кто с кем "общается". Нажимаем Statistics -> Conversations:
Откроется окно. Для удобства переименуем номера портов на названия соответствующих протоколов:
Переходим на вкладку IPv4 и сортируем по Address A, например:
Видим, что в сети 5 хостов. Можем добавить их в заметки для последующего изучения. Ранее мы их уже обнаруживали при помощи CrackMapExec и Nmap. Далее можем изучить порты (протоколы), которые используются при взаимодействии между хостами и сделать выводы (предположения) о ролях каждого хоста в сети.
Откроем вкладку TCP и поищем хосты, на которых открыт порт 88 (протокол аутентификации Kerberos):
Или откроем вкладку UDP и выясним, какие хосты являются DNS-серверами (порт 53):
Накопив информацию, можно сделать предположение, какие хосты являются контроллерами домена, клиентскими машинами, сервером с веб-ресурсом и так далее.
На этом закончим знакомство с Wireshark в рамках разведки лабораторного стенда GOAD.
Захват сетевого трафика с помощью tcpdump
Кратко пробежались по Wireshark, теперь попробуем перехватить пакеты с помощью tcpdump:
sudo tcpdump -i eth1Флаг -i указывает название интерфейса, с которого будет захватываться трафик. Конечно, tcpdump не обладает визуализацией и удобством как Wireshark, но в умелых руках он очень мощный и полезный инструмент.
Мы можем сохранять захваченные пакеты в файл .pcap для последующего анализа через Wireshark:
sudo tcpdump -i eth1 -w 1.pcap
Возможности tcpdump огромные. Рекомендую ознакомиться со статьей: Руководство по tcpdump
Нюанс про захват трафика
В начале статьи я заикнулся про какой-то нюанс захвата трафика, с которым вы столкнетесь в реальной сети, а не в лабораторном стенде (GOAD).
Не будем углубляться в историю сетей и сетевого оборудования, когда все устройства были подключены к общей передающей среде, в которой использовалась технология CSMA/CD. В такой случае каждый в сети видит все гуляющие в ней пакеты, включая устройство захвата трафика.
В нашем стенде GOAD все устройства подключены к, можно сказать, концентратору, поэтому мы захватываем весь трафик.
Заключение
Это ещё не всё, что хочется сказать про захват сетевого трафика. В следующем уроке обсудим в каком режиме должна работать сетевая карта и что означают понятия SPAN и TAP.
В этом уроке познакомились с инструментами Wireshark и tcpdump, научились перехватывать трафик в локальной сети для его последующего изучения.
Переходите к следующему уроку курса, а так же не забудьте посмотреть новый материал на Codebra по тегам Пентест и Active Directory.
