\n# nmap -PN 123.123.123.123\n<\/pre>\n<\/blockquote>\n<\/div>\nIl risultato sar\u00e0 qualcosa del genere:<\/p>\n
\n\nStarting Nmap 5.51 ( http:\/\/nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for www.chrisbinnie.tld (123.123.123.123) \nHost is up (0.00051s latency).\nNot shown: 999 closed ports\nPORT\tSTATE SERVICE\n22\/tcp\topen\tssh\nNmap done: 1 IP address (1 host up) scanned in 0.09 seconds\n<\/pre>\n<\/blockquote>\n<\/div>\nCome si pu\u00f2 osservare dal risultato della scansione, il Nmap<\/b> ha testato 999 porte – quelle di default – senza controllare le altre porte rilevando una porta aperta, la 22, SSHD<\/b>.<\/p>\n
Come si pu\u00f2 vedere dall’esempio sottostante Nmap<\/b> \u00e8 in grado di scansionare intere reti.<\/p>\n
\n\n# nmap -PN 123.123.123.0\/24\n<\/pre>\n<\/blockquote>\n<\/div>\nAggiungendo l\u2019opzione \u201c-n\u201d si possono disabilitare i \u201cDNS lookups\u201d in modo da aumentare la velocit\u00e0 e da evitare di venire scoperti da un DNS server.<\/p>\n
Se si \u00e8 interessati a TCP<\/b> allora ci si pu\u00f2 connettere a porte TCP<\/b> usando Nmap<\/b> come segue:<\/p>\n
\n\n# nmap -sT www.chrisbinnie.tld\n<\/pre>\n<\/blockquote>\n<\/div>\nSe si ha di bisogno di connettersi a porte UDP<\/b> usare l\u2019opzione \u201c-sU\u201d invece che \u201c-sT\u201d.<\/p>\n
Come detto in precedenza, ci sono moltissime opzioni ma al momento, prima di passare al meglio, ecco alcune altre opzioni che ritengo siano molto utili.<\/p>\n
Per esempio, se si sta effettuando un “port\/ip scan”<\/b> nella propria rete locale ma si vogliono escludere alcuni host, si pu\u00f2 fare uso dell\u2019opzione \u201cexclude file<\/b>\u201d (escludere file) in questo modo:<\/p>\n
\n\n# nmap 10.10.10.0\/24 --excludefile \/home\/chrisbinnie\/exclusions.txt\n<\/pre>\n<\/blockquote>\n<\/div>\nSe i server da escludere durante lo scan sono pochi opterei per la seguente sintassi:<\/p>\n
\n\n# nmap 10.10.10.0\/24 --exclude 10.10.10.1,10.10.10.10,10.10.10.100\n<\/pre>\n<\/blockquote>\n<\/div>\nPer controllare solo specifiche porte usare la \u201cU\u201d per UDP e la T per TCP come segue:<\/p>\n
\n\n# nmap -p U:53,T:0-1024,8080 10.10.10.111\n<\/pre>\n<\/blockquote>\n<\/div>\nE infine, se si vuole controllare quali server sono raggiungibili nella propria rete locale, il comando che fa per noi \u00e8 il seguente (usa \u201cdiscovery\u201d o un ping scan, l\u2019opzione \u201c-sP\u201d):<\/p>\n
\n\n# nmap -sP 10.10.10.0\/24\n<\/pre>\n<\/blockquote>\n<\/div>\nCome risultato si potrebbe ottenere un output simile a questo:<\/p>\n
\n\nNmap scan report for mail.chrisbinnie.tld (10.10.10.10) Host is up (0.028s latency).\nNmap scan report for smtp.chrisbinnie.tld (10.10.10.11) Host is up (0.029s latency).\n<\/pre>\n<\/blockquote>\n<\/div>\nL’output di questo comando sar\u00e0 un host per riga.<\/p>\n
Lo Scripting Engine di Nmap (NSE)<\/h2>\n
Nmap<\/b> offre una serie di funzioni estremamente sofisticate. Queste funzionalit\u00e0 aggiuntive vengono chiamate NSE (Nmap Scripting Engine). Ora daremo un occhiata ad alcuni soggetti trattati nella documentazione di Nmap<\/b> indicando quando usare quale funzionalit\u00e0 aggiuntiva.<\/p>\n
Lo straordinario NSE<\/b> fu creato tenendo in mente qualche funzione base. Queste funzioni includono network discovery<\/b> usando il port scan<\/b>, un metodo avanzato per rilevare i servizi in uso usando una variet\u00e0 di \u201csignatures\u201d predefinite, testare le vulnerabilit\u00e0 \u2013 e \u201cexploitarle\u201d \u2013 e infine un metodo per rilevare delle backdoor<\/b>.<\/p>\n
Il punto forte di NSE<\/b> \u00e8 la sua versatilit\u00e0 e estende questa qualit\u00e0 offrendo in aggiunta, come si pu\u00f2 capire dal nome, la possibilit\u00e0 di creare nuovi script che possono venire scritti da chiunque usando la lingua di programmazione \u201cLua\u201d. Per usare NSE<\/b> dalla linea di comando eseguire Nmap<\/b> con l\u2019opzione \u201c–script\u201d o in alternativa l\u2019opzione \u201c-sC\u201d.<\/p>\n
Quelli che seguono sono due esempi di port scanning<\/b> effettuarti con Nmap<\/b>. Il primo senza usare NSE<\/b> e il secondo esempio facendone uso. Questi esempi sono utili perch\u00e9 danno la possibilit\u00e0 di potere osservare la differenza tra i due risultati. Nell\u2019esempio sottostante si pu\u00f2 notare il risultato del primo comando senza usare NSE<\/b>. I comandi vengono eseguiti in questo esempio da un utente normale, non root.<\/p>\n
\n\n$ nmap -p0-1024 -T4 localhost\nStarting Nmap 5.51 ( http:\/\/nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for localhost (127.0.0.1)\nHost is up (0.00049s latency). Not shown: 1021 closed ports\nPORT\tSTATE SERVICE\n22\/tcp open ssh \n25\/tcp open smtp \n80\/tcp open http \n111\/tcp open rpcbind\nNmap done: 1 IP address (1 host up) scanned in 0.11 seconds \n<\/pre>\n<\/blockquote>\n<\/div>\nNel prossimo esempio invece, si pu\u00f2 notare che NSE<\/b> viene usato cosa che aggiunge diverse informazioni aggiuntive al risultato.<\/p>\n
\n\n$ nmap -sC -p0-1024 -T4 localhost\nStarting Nmap 5.51 ( http:\/\/nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for localhost (127.0.0.1)\nHost is up (0.00054s latency). Not shown: 1021 closed ports \nPORT\tSTATE SERVICE\n22\/tcp open ssh\n| ssh-hostkey: 1024 d7:46:46:2d:fc:ad:9e:c7:25:d3:a1:96:45:4f:59:d9 (DSA)\n|_2048 80:f2:29:c0:ee:a1:80:99:2e:7f:26:c3:b1:2d:c4:37 (RSA)\n25\/tcp open smtp \n80\/tcp open http\n| http-methods: Potentially risky methods: TRACE\n|_See http:\/\/nmap.org\/nsedoc\/scripts\/http-methods.html\n|_http-title: Site doesn't have a title (text\/html; charset=UTF-8). \n111\/tcp open rpcbind\nNmap done: 1 IP address (1 host up) scanned in 0.16 seconds\n<\/pre>\n<\/blockquote>\n<\/div>\nCome si pu\u00f2 notare dall\u2019output, nel secondo comando che usa NSE<\/b> si possono trovare informazioni in pi\u00f9. Con NSE<\/b> vengono mostrate anche delle URLs utili per fare ricerche riguardo al risultato ottenuto, vengono mostrati pi\u00f9 dettagli (come per esempio la SSH host key) e anche commenti riguardo al fatto che Nmap<\/b> crede che il codice HTML non sia valido.<\/p>\n
I Timing Templates di Nmap<\/h2>\n
Nel precedente esempio abbiamo richiesto informazioni riguardo le porte 0-1024 (le porte privilegiate, raw, o porte superuser in sistemi Unix o Unix-like) usando l\u2019opzione \u201c-p0-1024\u201d. L\u2019opzione \u201c-T4\u201d non \u00e8 una sorta di timeout in cui si aspettano 4 secondi, \u00e8 un metodo in cui si usano dei \u201ctime templates<\/b>\u201d di NSE<\/b>. Pi\u00f9 \u00e8 alto il numero e pi\u00f9 Nmap<\/b> scansiona in modo veloce, i valori variano da 0 a 5. I valori del \u201ctiming template\u201d sono molto importanti e fanno anche una differenza per quanto riguarda il proprio \u201cbenessere emotivo\u201d. Questi valori da 0 a 5 stanno per: paranoico (paranoid), subdolo (sneaky), corretto (polite), normale (normal), aggressivo (aggressive) e malsano (insane). Le parole \u2013 in inglese \u2013 possono venire anche usate come opzione al posto dei numeri se per qualcuno \u00e8 pi\u00f9 comodo e facile da ricordare.<\/p>\n
Per via del fatto che con Nmap NSE<\/b> si hanno a disposizione moltissime funzionalit\u00e0 aggiuntive, i programmatori si sono resi conto che gli utenti si sarebbero potuti \u201cperdere\u201d in tutta quella complessit\u00e0 e cos\u00ec hanno creato dei templates molto utili. La ragione principale per la quale i templates sono cos\u00ec importanti da usare con Nmap<\/b>, \u00e8 che se si usa NSE<\/b> per analizzare molti host alla volta o una grande rete, il processo di scansione pu\u00f2 metterci molto tempo per finire. \u00c8 anche possibile di trovare pochissime informazioni (per via di firewalls configurati come si deve) investendo molto tempo.<\/p>\n
Quali differenze esistono nei vari templates ci si pu\u00f2 chiedere? Entrambi, il template paranoid e il template sneaky, offrono un certo livello di sicurezza per quanto riguarda l\u2019evitare di venire scoperti da un \u201cintrusion detection system<\/b>\u201d (IDS).<\/p>\n
Il template polite rallenta il port scanner<\/b> in modo da limitare la banda usata ad entrambi le parti della connessione come anche le risorse del server preso di mira. L\u2019opzione \u201c-T3\u201d non apporta nessun cambiamento per via del fatto che viene usata di default. Il template aggressive che abbiamo usato nel precedente esempio usando l\u2019opzione \u201c-T4\u201d velocizza il processo di scan e testa una rete con molta banda in modo pi\u00f9 rigoroso. L\u2019ultimo template, insane, assume che si \u00e8 contenti del fatto di metterci meno tempo a scapito dell\u2019accuratezza. Per usare questo template bisogna avere una connessione veloce e stabile.<\/p>\n
Le categorie di script di Nmap NSE<\/h2>\n
Nonostante l’utilizzo di un mezzo altamente sofisticato, NSE<\/b> \u00e8 stato progettato in modo tale che persino un utente novizio \u00e8 in grado di capire come usarlo con relativa facilit\u00e0. \u00c8 quindi possibile iniziare ad usare NSE<\/b> in modo rapido e senza il bisogno di avere studiato la cosa in anticipo.<\/p>\n
\u00c8 utile sapere in che modo NSE<\/b> fa riferimento ai diversi script che utilizza. Quando si esegue uno script tramite NSE<\/b> viene eseguita una scansione delle porte prima o durante la sua esecuzione al fine di verificarne lo stato della disponibilit\u00e0 di rete di un server remoto. Esistono anche altre somiglianze tra i molti script NSE<\/b> come per esempio i DNS lookup<\/b> e i traceroute<\/b>.<\/p>\n
\n\n
\n Categoria<\/th>\n Descrizione<\/th>\n<\/tr>\n \n auth<\/td>\n Questi script analizzano i metodi di autenticazione e cercano possibili modi per bypassarli \u2013 per esempio X11-access, ftp-anon e oracle-enum-users. La categoria brute serve per testare le password con un attacco brute force.<\/td>\n<\/tr>\n \n Broadcast<\/td>\n Se si ha bisogno di inviare pacchetti via broadcast nella rete locale, usare questi script.<\/td>\n<\/tr>\n \n brute<\/td>\n Per testare la sicurezza delle password di un server remoto con attacchi di tipo brute force usare questa collezione di script. Ce ne sono tanti per i diversi protocolli.<\/td>\n<\/tr>\n \n Default<\/td>\n Gli script default vengono eseguiti usando l\u2019opzione \u201c-sC\u201d o \u201c-A\u201d. Per usare altri script non default usare l\u2019opzione \u201c–script<\/b>=\u201d.<\/td>\n<\/tr>\n \n Discovery<\/td>\n Per controllare chi e cosa \u00e8 connesso a una rete usare questi script. Si tratta di esaminare per esempio registri pubblici (public registries), dispositivi con SNMP attivato e \u201cdirectory services\u201d.<\/td>\n<\/tr>\n \n Dos<\/td>\n Se si vuole testare se si \u00e8 vulnerabili ad attacchi di tipo DOS o (fare attenzione) eseguire script che sono in grado di far \u201ccrashare\u201d servizi, questi script fanno al caso giusto.<\/td>\n<\/tr>\n \n Exploit<\/td>\n Questi script servono per testare degli exploits.<\/td>\n<\/tr>\n \n External<\/td>\n Fare attenzione ad eseguire questi script visto che le proprie azioni verranno notate da terze parti. Questo perch\u00e9 questi script eseguono dei WHOIS Lookup cosa visibile al servizio WHOIS.<\/td>\n<\/tr>\n \n fuzzer<\/td>\n Questi script testano i bug e le falle nella sicurezza dei programmi. Ci mettono molto di pi\u00f9 rispetto ad altre tecniche per trovare informazioni interessanti o rendere un server non raggiungibile.<\/td>\n<\/tr>\n \n Intrusive<\/td>\n Questi script sono molto rischiosi da usare. Alcuni dei rischi includono crash, saturazione di banda e venire scoperti dall\u2019amministratore del server preso di mira.<\/td>\n<\/tr>\n \n Malware<\/td>\n I malware<\/b> conosciuti lasciano tracce nel sistema come delle backdoor<\/b> e altri segni. Questi script controllano porte aperte e servizi sospetti per determinare se si \u00e8 infetti.<\/td>\n<\/tr>\n \n Safe<\/td>\n Questi script non offendono l\u2019amministratore del sistema preso di mira. Nonostante questo non si dovrebbe contare completamente sul fatto che non causino problemi.<\/td>\n<\/tr>\n \n Version<\/td>\n Questi script sono un estensione della funzione di NSE<\/b> che serve per rilevare la versione in uso. Per usare questi script usare l\u2019opzione \u201c-sV”.<\/td>\n<\/tr>\n \n Vuln<\/td>\n Se vengono trovate delle vulnerabilit\u00e0 si riceve un avvertimento.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Trovare falle nella sicurezza con Nmap<\/h2>\n
Ora che abbiamo dato un occhiata alle categorie di script NSE<\/b> di Nmap<\/b> iniziamo con l\u2019effettuare un penetration test<\/b> utilizzando il sapere appena acquisito e il vasto numero di script che vengono forniti con Nmap<\/b>.<\/p>\n
Effettuare un test delle vulnerabilit\u00e0 sul server locale come segue:<\/p>\n
\n\n# nmap --script vuln localhost\nStarting Nmap 5.51 ( http:\/\/nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for localhost (127.0.0.1)\nHost is up (0.00090s latency). Not shown: 996 closed ports \nPORT\tSTATE SERVICE\n22\/tcp open ssh \n25\/tcp open smtp \n80\/tcp open http\n| http-enum:\n|_ \/icons\/: Potentially interesting folder w\/ directory listing 111\/tcp open rpcbind\nNmap done: 1 IP address (1 host up) scanned in 1.18 seconds\n<\/pre>\n<\/blockquote>\n<\/div>\nIl risultato ha immediatamente attirato la mia attenzione quando ho visto \u201cPotentially interesting folder\u201d per il servizio RPC. Chiaro, \u00e8 probabile che l\u2019accesso alla cartella \/icons\/ \u00e8 permesso solo da locale ma dare comunque un occhiata (e anche urgentemente). Si potrebbe bloccare la porta TCP 111 con un firewall o disabilitare il servizio per rimediare al problema a meno che non si configuri RPC in modo da limitarne l\u2019accesso.<\/p>\n
Se NSE<\/b> identifica una vulnerabilit\u00e0<\/b> conosciuta mostra nell\u2019output informazioni come una patch ID per un server Windows o qualche URL utile in modo da potere fare ricerche a riguardo. Questo ci pu\u00f2 in alcuni casi fare risparmiare del tempo visto che non si devono cercare gli exploits<\/b> online. Ci sono buone probabilit\u00e0 che se NSE<\/b> trova qualcosa non si tratta di un falso allarme visto che differenti test sono stati effettuati per arrivare a tale conclusione, e al contrario di certi altri programmi, bisognerebbe prendere gli avvertimenti sul serio e effettuare dei controlli.<\/p>\n
La categoria NSE discovery di Nmap<\/h2>\n
Considera di utilizzare il seguente commando per ottenere maggiori informazioni su un host.<\/p>\n
\n\n# nmap --script discovery localhost\nStarting Nmap 5.51 ( http:\/\/nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for localhost (127.0.0.1)\nHost is up (0.00070s latency). Not shown: 996 closed ports \nPORT\tSTATE SERVICE\n22\/tcp open ssh\n|_banner: SSH-2.0-OpenSSH_5.3\n| ssh-hostkey: 1024 d7:46:46:2d:fc:ad:9e:c7:25:d3:a1:96:45:4f:59:d9 (DSA)\n|_2048 80:f2:29:c0:ee:a1:80:99:2e:7f:26:c3:b1:2d:c4:37 (RSA)\n25\/tcp open smtp\n|_banner: 220 mail.chrisbinnie.tld ESMTP Postfix\n| smtp-enum-users:\n|\troot\n|\tadmin\n|_ Method RCPT returned a unhandled status code.\n|_smtp-open-relay: Server is an open relay (16\/16 tests) 80\/tcp open http\n| http-headers:\n|\tDate: Mon, 16 Nov 2015 11:37:52 GMT\n|\tServer: Apache\/2.2.15 (Red Hat)\n|\tLast-Modified: Mon, 15 Jun 2015 13:57:09 GMT\n|\tETag: \"4bc-61-5188ed5743e6a\"\n|\tAccept-Ranges: bytes\n|\tContent-Length: 97\n|\tConnection: close\n|\tContent-Type: text\/html; charset=UTF-8\n|\n|_ (Request type: HEAD)\n|_http-title: Site doesn't have a title (text\/html; charset=UTF-8).\n|_http-date: Mon, 16 Nov 2015 11:37:52 GMT; 0s from local time.\n| http-vhosts:\n|_393 names had status 200\n| http-enum:\n|_ \/icons\/: Potentially interesting folder w\/ directory listing\n111\/tcp open rpcbind\n| rpcinfo:\n|\t100000 2,3,4\t111\/tcp rpcbind\n|_ 100000 2,3,4\t111\/udp rpcbind\nNmap done: 1 IP address (1 host up) scanned in 11.51 seconds\n<\/pre>\n<\/blockquote>\n<\/div>\nCome si pu\u00f2 vedere dall\u2019output del comando, usando discovery<\/b> vengono mostrate diverse informazioni come gli HTTP headers<\/b>, i banner SMTP, rcpinfo e altro. Anche se l\u2019errore SMTP \u201cServer is an open relay (16\/16 tests)\u201d \u00e8 molto probabilmente un falso positivo (false positive), vale comunque la pena di controllare per esserne sicuri.<\/p>\n
Con tutte queste funzionalit\u00e0 questa modalit\u00e0 \u00e8 estremamente utile e rappresenta la parte chiave di NSE<\/b>. Dopo tutto si pu\u00f2 \u201cexploitare<\/b>\u201d servizi senza essere a conoscenza della loro esistenza. Osservando i risultati generati da NSE<\/b> \u00e8 facile constatare che quando si tratta di scoprire servizi e server le informazioni ottenute sono molto utili. NSE<\/b> non ti bombarda di dettagli, ti fornisce comunque abbastanza informazioni per essere estremamente utile.<\/p>\n
L\u2019impatto negativo che si pu\u00f2 avere usando le categorie di script \u00e8 che la performance viene ridotta se si usano tutti gli script di una categoria.<\/p>\n
Nmap NSE \u2013 Espressioni regolari<\/h2>\n
Con NSE<\/b> si possono usare le espressioni regolari (regular expressions). Per esempio ho menzionato i 15 script HTTP, per utilizzarli tutti assieme eseguire il seguente comando:<\/p>\n
\n\n# nmap --script \"http-*\"\n<\/pre>\n<\/blockquote>\n<\/div>\nSi possono usare anche le decisioni booleane come segue:<\/p>\n
\n\n# nmap --script \"default or safe\"\n<\/pre>\n<\/blockquote>\n<\/div>\nNella documentazione si possono trovare anche esempi pi\u00f9 complessi:<\/p>\n
\n\n# nmap --script \"(default or safe or intrusive) and not http-*\"\n<\/pre>\n<\/blockquote>\n<\/div>\nIn questo esempio vengono usate le categorie default, safe o intrusive ma non quelle che hanno a che fare con i web server.<\/p>\n
Zenmap – Nmap con interfaccia grafica<\/h2>\n
\nCi sono circostanze, specialmente se si ha a che fare con molti “target” (obbiettivi) in differenti reti, in cui si ha bisogno di aiuto per quanto riguarda l\u2019analizzare i risultati. Immagina di essere in grado di aggiungere i risultati delle varie scansioni in una banca dati in modo da poterle analizzare e comparare tra di loro.<\/p>\n
![\"Zenmap,](\"..\/..\/..\/grafica\/port-scanner-nmap-nse-gui-zenmap-esempio.jpg\")