1.3 סריקה אקטיבית הרצאה

שלב הסריקה האקטיבית (Enumeration)¶

בשלב זה של תקיפת מערכת, המטרה היא לאסוף כמה שיותר מידע על היעד באמצעות כלים אקטיביים. הכוונה כאן היא לבצע סריקות ואיסוף מידע על המערכות, הפורטים הפתוחים, שירותים פעילים, ותצורות אחרות שיכולות להוביל לחשיפת פגיעויות.

הכלי NMAP¶

הכלי Nmap הוא אחד הכלים הבסיסיים והחשובים ביותר בשרשרת של סריקות אקטיביות. בעזרתו, אפשר לסרוק רשתות ושרתים, ולמצוא פורטים פתוחים ושירותים פעילים.

סריקת פורטים, שירותים ודגלים¶

הכלי Nmap מאפשר סריקת פורטים על IPים מסוימים או על טווח רחב של כתובת IP. הוא גם יכול לזהות את השירותים הרצים על כל פורט, ואת הגרסאות שלהם.

דוגמה לפקודת Nmap לסריקת פורטים פתוחים:

nmap <target-ip>

דוגמה לפקודת Nmap לזיהוי שירותים וגרסאות:

nmap -sV <target-ip>

האפשרות -sV תסרוק את הפורטים הפתוחים ותשיב גם את גרסת השירות שרץ על כל פורט.

דוגמה לסריקה מלאה של כל השירותים שמריצה את כל הסקריפטים של nmap:

nmap -A <target-ip>

כדי לגרום לnmap לעדכן בזמן ההרצה על ממצאים ניתן להשתמש בדגל -v
כדי לגרום לnmap לעלות את כמות הthread-ים שהיא משתמשת בהם כדי ליצור סריקה יותר מהירה (אך פחות מדוייקת) ניתן להשתמש בדגל -T עם מספר הthread-ים (מספר בין 1 ל5.)

nmap -T4 <target-ip>

בנוסף לסריקות הבסיסיות, ניתן לבצע סריקות מקיפות על כל הפורטים של יעד מסוים, כולל פורטים לא סטנדרטיים, ולנסות להבין אילו שירותים נחשפים ברשת.

nmap -p- <target-ip>

האפשרות -p- מבצעת סריקה על כל הפורטים האפשריים של ה-IP, בלי להחסיר אף אחד.

וניתן גם לסרוק ip-ים ספציפים, למשל:

nmap -p 80,443 <target-ip>

או טווח.

nmap -p 100-200 <target-ip>

סריקת פורטים עם nmap בדרך כלל עובדת על syn scan (שליחת tcp syn לכמה פורטים), כמובן זה לא יעזור לנו לסרוק פורטים udp, ובשביל זה יש לנו סריקות אחרות.
לכו תקראו בעצמכם על עוד סוגי סריקות בnmap ואיך להשתמש בהם.

סריקת סאבנט IP-ים עם ping scan¶

סריקת Ping scan מאפשר לסרוק טווח כתובות IP ביעילות ולהבין אילו מכונות ברשת פעילויות. זהו שלב מקדים מצוין לפני סריקות פורטים מורכבות יותר.
סריקה זו עובדת באמצעות שליחת icmp request לסאבנט ip-ים מסויים ובודקת איזה IP-ים למעלה ואיזה IP-ים למטה.

nmap -sn <network-range>

האפשרות -sn מבצעת סריקה פשוטה של טווח ה-IP ומחזירה את כל המכשירים החיים.

הכלי Sublist3r¶

הכלי Sublist3r הוא כלי אוטומטי שמסייע באיסוף תתי-דומיינים של אתר מסוים. הכלי מבצע סריקה דרך מנועי חיפוש שונים, שרתים DNS וכלים אחרים, ומייצר רשימה של דומיינים תתי-מיניים שעשויים להיות חשופים.

דוגמה לשימוש:

sublist3r -d example.com

הכלי יחפש ויחזיר את כל הדומיינים התת-מיניים הנמצאים תחת example.com.

הכלי Amass¶

הכלי Amass הוא כלי מתוחכם יותר שמיועד לאיסוף מידע על תשתיות רשת דרך חיפוש תתי-דומיינים, מידע מ-OSINT, ופרוטוקולי DNS. הוא גם יכול לבצע סריקות על רשתות ציבוריות כמו גוגל ודומיינים ציבוריים אחרים.

דוגמה לשימוש:

amass enum -d example.com

הפקודה הזו תבצע סריקה לאיתור כל הדומיינים התת-מיניים תחת example.com.

הכלי Gobuster¶

הכלי Gobuster הוא כלי סריקה שמיועד לחיפוש דומיינים, וירטואליים ונתיבים (directories) בשרתים. זהו כלי מהיר מאוד שניתן להשתמש בו לסריקת פרטי מערכת ושרתים.

סריקת שרת DNS¶

נוכל להשתמש ב-Gobuster כדי לסרוק את שירותי ה-DNS של שרת ולמצוא רשומות DNS תלויות.

gobuster dns -d example.com -w /path/to/wordlist.txt

הפקודה הזו תסרוק את רשומות ה-DNS עבור example.com על בסיס מילון מילים.
בקאלי יש המון קבצי wordlist שנוכל להשתמש בהם, לסריקות האלו, הסתכלו על כל הקבצים בנתיב:
/usr/share/seclists/

הקבצים הבאים הם קבצים נהדרים שמכילים דומיינים וסאב-דומיינים נפוצים:

/usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt
/usr/share/seclists/Discovery/DNS/namelist.txt
/usr/share/seclists/Discovery/DNS/fierce-hostlist.txt

סריקת VHost¶

סריקת vHost מאפשרת לחפש אתרים שונים מאחורי אותו שרת http- למי שעשה את הקורס ווב- כמו שאנחנו יכולים לעשות בapache וnginx.,
כביכול כשאנחנו עושים בקשת http אנחנו יכולים לשלוח את הבקשה עם הheader שנקרא host שמאפשר לנו לציין לאיזה דומיין אנחנו פונים בhttp, וכך מאחורי שרת http אחד (ip אחד) יכולים להיות כמה דומיינים.

gobuster vhost -u http://example.com -w /path/to/wordlist.txt

גם פה נצטרך להביא wordlist, מוזמנים להשתמש בניתובים שציינתי למעלה.

סריקת Dir (נתיבים)¶

הכלי Gobuster מצוין גם למציאת דפים או קבצים רגישים שלא חשפו את עצמם בדרך אחרת, לדוגמה נתיבים שלא פורסמו אך עשויים להיות גישה אליהם באתר אינטרנט.

gobuster dir -u http://example.com -w /path/to/wordlist.txt

הפקודה הזאת תסרוק את הנתיבים השונים בכתובת האתר example.com ותביא את כל הנתיבים שנמצאו במילון.
הנה רשימה של נתיבים לקבצים שמכילים רשימה של קבצים נפוצים:

/usr/share/seclists/Discovery/Web-Content/common.txt
/usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
/usr/share/seclists/Discovery/Web-Content/big.txt

סריקת Traceroute¶

הכלי Traceroute הוא כלי המסייע לעקוב אחרי הדרך בה חבילות נתונים עוברות ברשת בדרך לכתובת IP יעד. הוא מציג את כל השרתים (הנתבים) שהחבילות עוברות דרכם עד הגעתן ליעד. זה יכול לעזור לחשוף את המיקומים הפיזיים של שרתים ושירותים.

traceroute example.com

הפקודה הזו תתאר את הדרך של חבילות נתונים מכתובת ה-IP שלך ועד לשרת example.com, תראה כל נתב בתהליך.